مبانی  زیرساخت شبكه های مبتنی بر ویندوز

سازمان ها و موسسات بمنظور برپاسازی شبكه و اتصال هر یك از مراكز  به دفاتر مركزی  ،  نیازمند پیكربندی و مدیریت شبكه های كامپیوتری می باشند. ویندوز 2000 ،  مجموعه ای از سرویس های شبكه  مبتنی بر  پروتكل های استاندارد  و تكنولوژی های لازم بمنظور ایجاد یك شبكه مطمئن را ارائه می نماید . در این مقاله به بررسی : عناصر لازم در زیرساخت شبكه های مبتنی بر ویندوز ،جایگاه  یك اینترانت در شبكه های مبتنی بر ویندوز ، روش های  دستیابی از راه دور، نحوه اتصال یك سازمان  از راه دور به یك اینترانت، روش های دستیابی بمنظور برقراری ارتباط با اینترنت و اهداف یك   اكسترانت ، اشاره می گردد.

مروری به زیرساخت شبكه های مبتنی بر ویندوز

محصولات خانواده ویندوز 2000 سرویس دهنده ، مجموعه ای از تكنولوژی ها و سرویس ها را بمنظور نصب ،پیكربندی، مدیریت و حمایت از زیرساخت شبكه ارائه می نمایند.  زیر ساخت شبكه، می تواند شامل هر یك از عناصر زیر باشد :

اینترانت (Intranet) . یك شبكه خصوصی در یك سازمان  كه از آن بمنظور توزیع اطلاعات داخلی استفاده می گردد. اینترانت ، یك شبكه محلی (LAN) نیز نامیده می شود. اینترانت، شامل سرویس های متعددی نظیر : توزیع مستندات، توزیع نرم افزار ،دستیابی به بانك های اطلاعاتی و موارد دیگر  است . علاوه بر امكان اشتراك فایل و چاپگر، یك اینترانت امكان استفاده  از نرم افزارهای مرتبط با اینترنت را نیز فراهم می نماید: صفحات وب ،مرورگرهای وب، پروتكل ارسال فایل (FTP) ،پست الكترونیكی، گروه های خبری و لیست های ارسال نامه الكترونیكی ، نمونه هائی در این زمینه می باشند.

دستیابی از راه دور . با استفاده از ویژگی فوق ، تسهیلات و امكانات شبكه ای لازم در خصوص : ارتباط  كامپیوترهای  راه دور ، دستگاه های موبایل ، مدیران سیستم كه مسئولیت هماهنگی و مدیریت سرویس دهندگان متعدد موجود در دفاتر متفاوت یك سازمان را بر عهده دارند ، فراهم می گردد .  در چنین مواردی ، تمامی سرویس ها ، برای كاربران متصل به شبكه ( كاربرانی كه با استفاده از امكانات پیش بینی شده قادر به ارتباط با شبكه از راه دور می باشند ) ،  قابل دستیابی خواهد بود : اشتراك فایل و چاپ، دستیابی به سرویس دهنده وب نمونه هائی از این سرویس ها می باشند.

ادارات از راه دور .  بخشی از یك سازمان كه از لحاظ جغرافیائی در یك مكان مجزاء نسبت به اداره مركزی است . این نوع دفاتر خود دارای یك شبكه محلی (LAN) بوده و می توانند به شبكه  سازمان مربوطه  متصل و یك شبكه WAN را ایجاد نمایند. اتصال WAN  ، یك اتصال از راه  دور اشتراكی به شبكه بمنظور امكان دستیابی كاربران  ادارات راه دوربه منابع مشترك  در تمام  سازمان است . لینك های WAN  دائمی  بوده و همواره قابل دستیابی می باشند .

اینترنت . مجموعه ای گسترده از شبكه ها و دروازه ها كه از پروتكل TCP/IP بمنظور ارتباط با یكدیگر استفاده می نمایند. اینترنت، شامل خطوط ارتباطی با سرعت بالا بین گره های اصلی و یا كامپیوترهای میزبانی  است  كه داده ها و پیام ها را Route می نماید.

اكسترانت (Extranet) . یك شبكه مشترك كه از تكنولوژی اینترنت بمنظور تسهیل در ارتباط بین بنگاه های تجاری ، تهیه كنندگان ، مشتریان و یا سایر فعالیت های تجاری استفاده می گردد . یك اكسترانت ،ممكن است بعنوان بخشی از یك اینترانت سازمان بوده كه سایر سازمان ها قادر به دستیابی به آن می باشند. اشتراك و استفاده از اطلاعات می تواند جنبه عمومی داشته و یا صرفا"  گروه های خاصی را شامل گردد .

بمنظور پیكربندی زیر ساخت شبكه ، می بایست پروتكل های شبكه بهمراه  سرویس ها ی استفاده شده ، بدرستی پیكربندی گردند . در ادامه به تشریح هر یك از موارد فوق ، خواهیم پرداخت .

 اینترانت ها

اینترانت، یك شبكه خصوصی است كه امكان اتصال كامپیوترها و دستگاه های مورد نظر را بمنظور ارتباط با یكدیگر  فراهم می نماید. مهمترین وظیفه ( عملیات ) یك اینترانت ،امكان اشتراك اطلاعات و منابع برای كاربران است . بمنظور ارتباط با شبكه از پروتكلTCP/IP ،استفاده می گردد .TCP/IP ، مجموعه ای از پروتكل ها ئی است كه بعنوان یك استاندارد صنعتی پذیرفته شده و اغلب سرویس های شبكه در ویندوز وابسته به آن می باشند.  قابلیتTCP/IP ، بگونه ای است كه امكان استفاده از آن درشبكه هائی با ابعاد متفاوت وجود خواهد داشت . پروتكل فوق ، در زمان نصب ویندوز 2000  بصورت استاندارد و پیش فرض نصب می گردد.

روش های دستیابی از راه دور

یكی از ضرورت های شبكه های كامپیوتری ، امكان دستیابی از راه دور برای كاربران و ارتباط آنان با شبكه موجود در سازمان مربوطه است. بدین ترتیب، سرویس گیرندگان از راه دور قادر به دستیابی منابع موجود در شبكه از مكان های  دور خواهند بود ( مشابه اتصال فیزیكی آنان به شبكه ) . ویندوز 2000 ، برای دستیابی از راه دور ، دو گزینه ( روش ) متفاوت را ارائه  می نماید :

دستیابی از راه دور بصورت Dial-up . بمنظور دستیابی به شبكه از راه دور  توسط Dial-up ، یك سرویس گیرنده ، از شبكه تلفن موجود  استفاده تا با یك پورت بر روی سرویس دهنده مرتبط و یك ارتباط فیزیكی را  ایجاد نماید.  در این روش ، اغلب از یك مودم و یا آداپتورهای ISDN)Integrated Services Digital Network ) ، استفاده تا با سرویس دهنده ، ارتباط برقرار گردد .

دستیابی از راه دور VPN . یك VPN)Virtual private network ) ، امكان دستیابی از راه دور ایمن و مطمئن ، بكمك اینترنت ، را فراهم می نماید( در مقابل تماس مستقیم تلفنی ) . سرویس گیرنده VPN یك اتصال رمزشده مجازی و نقطه به نقطه (Point-to-point) را  با یك دروازه VPN كه در شبكه خصوصی وجود دارد، برقرار می نماید.در این روش می توان به اینترنت و  با سرعت بالا متصل و در ادامه اتصال VPN را ایجاد كرد .

ارزیابی روش های دستیابی از راه دور

بمنظور ارائه  یك راه حل جهت دستیابی از راه دور ، می بایست در ابتدا نیازها و خواسته های  مربوط  مشخص و در ادامه با توجه به گزینه های موجود ،  مزایا و ویژگی های هر یك از راه حل های موجود  (Dial-up و یاVPN) بررسی و مقایسه گردد .برای ارائه یك راه حل ، می توان صرفا" اقدام به انتخاب یك روش  و یا از هر دو روش ممكن ، استفاده كرد. مثلا" برخی سازمان ها از یكVPN بعنوان اتصال اولیه استفاده و از اتصالDial-up ، برای مواردیكه دستیابی به اینترنت غیرممكن است ،استفاده می نمایند . برای ارزیابی روش های دستیابی از راه دور ، موارد زیر پیشنهاد می گردد :

استفاده از روش  Dial-up ، در مواردیكه سازمان ها و موسسات دارای كاربران از راه دور محدود  و یا كاربران ساكن در مناطق محلی تماس می باشند ، پیشنهاد می گردد .

دستیابی از راه دور VPN این امكان را به سازمان ها و موسسات خواهد داد كه از زیرساخت موجود اینترنت در مقابل طراحی و ارائه  زیر ساخت اختصاصی خود استفاده نمایند . در مواردیكه تعداد كاربران از راه دور زیاد و محل استقرار آنان در مسافت های طولانی باشد ، استفاده از روش فوق پیشنهاد می گردد. پهنای باند لازم جهت دستیابی به شبكه نیز از مواردی است كه می بایست بدقت مورد بررسی قرار گیرد . در این روش تاكید بر استفاده از زیر ساخت موجود اینترنت بوده و سازمان ها در مقابل پیاده سازی زیر ساخت اختصاصی خود كه قطعا" هزینه های متعددی را بدنبال خواهد داشت ، از راه حل فوق بعنوان گزینه ای بهینه ، استفاده می نمایند.

ارتباط با ادارات از راه دور

سازمان ها و موسسات ، اغلب دارای یك و یا چندین شعبه در مكان های از راه دور بوده كه در هر یك از آنها شبكه های محلی ، نیز وجود دارد . با اتصال این شبكه ها بیكدیگر یك سازمان قادر به ارائه خدمات و عملیات خود بصورت موثرتر، خواهد بود . بدین ترتیب ،  كاركنان ادارات راه دور، قادر به اشتراك اطلاعات و ارتباط با كاركنان مستقر در دفاتر مركزی ، خواهند بود .  كاركنانی كه بین ادارات متعدد مسافرت می نمایند ، نیز قادر به دستیابی  فایل ها و منابع از طریق هر یك از ادارت راه دور، می باشند . سگمنت های متعدد شبكه های مبتنی بر پروتكلTCP/IP را می توان با استفاده از روتر بیكدیگر متصل نمود. روتر باعثforward نمودن بسته ها ی اطلاعاتی از یك سگمنت شبكه به سگمنت دیگر می گردد .

امكان دستیابی به اینترنت

سازمان ها و موسسات متعدد،  نیازمند دستیابی به اینترنت برای ایجاد یك وب سایت، دستیابی از راه دورVPN ,انجام تحقیقات و یا استفاده از سیستم پست الكترونیكی، می باشند . ویندوز 2000 ، سرویس های لازم بمنظور ارتباط یك سازمان به اینترنت را فراهم می نماید. بمنظور دستیابی به اینترنت از گزینه های متعددی استفاده می گردد :

 Dial-Up به  ISP . از  روش فوق، در سازمان های كوچك و برخی كاربران خانگی ، استفاده می گردد.

یك خط اختصاصی نظیر T1 كه به یك شبكه LAN متصل می گردد . روش فوق، برای سازمان های بزرگ كه دارای  كاربران متعدد با نوع استفاده متنوع از اینترنت ، می باشند ، مناسب است . سازمان ها و موسساتی كه تمایل به راه اندازی وب سایت و یا سرویس پست الكترونیكی و سایر سرویس های اختصاصی خود در اینترنت را دارند ، می توانند از گزینه فوق استفاده نمایند .

 اكسترانت ها

 اكسترانت، این امكان را به یك سازمان خواهد داد تا شبكه موجود را بمنظور اشتراك اطلاعات با مشتریان ، تامین كنندگان محصولات  و سایر نمایندگان تجاری، توسعه و گسترش نمایند.اكسترانت ، محدودیت های لازم بمنظور دستیابی به اطلاعات موجود در اینترانت یك سازمان را بر اساس سطح مجوزهای مربوطه ، برای كاربران ( كاربران خارج از سازمان و شبكه ) فراهم می نماید. ویندوز 2000 ، امكانات لازم بمنظور  پیكربندی یك اكسترانت را ارائه و شبكه اینترانت را در مقابل دستیابی غیر مجاز، ایمن می سازد . یك اكسترانت از طریق اتصالات ایمنVPN ایجاد ، و پیكربندی آنها  با توجه به نیازهای مربوطه ، انجام خواهد شد. مثلا" در برخی موارد ممكن است  امكان دستیابی صرفا" به اكسترانت محدود و در برخی موارد دیگر یك دپارتمان نیازمند دستیابی به دپارتمان دیگر بر روی اینترانت باشد .

مركزى براى امنیت شبكه

امروزه استفاده از تكنولوژى شبكه اهمیت بسیار زیادى دارد و این اهمیت براى شركت هاى تجارى كه مى خواهند در بازار رقابت باقى بمانند دو چندان است. در واقع سیستم عامل هاى جدید نیاز به مكانیسم هایى براى مدیریت اشیا و روابط توزیع شده در محیط شبكه دارند. Directory Service مكانى است براى ذخیره سازى اطلاعات در مورد كلیت شبكه، مثل برنامه هاى كاربردى، فایل ها، پرینترها و كاربران. بر همین اساس سرویس Active Directory یك راه مطمئن براى نامگذارى، تشریح، محل قرارگیرى، نحوه دسترسى، مدیریت ایمنى و اطلاعات در مورد این منابع را فراهم مى سازد. با این وجود Active Directory مانند یك تقسیم كننده اصلى در سیستم عامل شبكه كار مى كند. از سوى دیگر این سرویس مركزى براى مدیریت سیستم ها و رابط بین این منابع توزیع شده است. اكتیو دایركتورى به خاطر اینكه این توابع اصلى را براى سیستم عامل فراهم كند مى بایست با سیستم هاى مدیریتى و مكانیسم هاى ایمنى سیستم عامل شبكه در ارتباط باشد تا درستى اطلاعات و اختصاصى بودن آن را تضمین نماید. Directory Service نیز نقش مهمى را در توانایى شركت ها براى تعریف و نگهدارى زیربناى شبكه، اجراى مدیریت سیستم و كنترل تمام تجاربى را كه كاربران از سیستم هاى اطلاعاتى شركت به دست مى آورند بر عهده دارد.

•چرا Service Directory

نیاز به یك Active Directory قوى و شفاف، از رشد انفجارى شبكه ها ناشى مى شود. همان طور كه شبكه ها رشد مى كنند و پیچیده تر مى شوند و برنامه هاى كاربردى كه نیاز به شبكه و سیستم هاى دیگر در اینترنت دارند افزایش مى یابند، به همان میزان نیاز فراوانى به Service Directory احساس مى شود. دایركتورى سرویس یكى از مهمترین ابزارهاى سیستم هاى پیشرفته كامپیوترى است كه در این جا بد نیست مزایاى این سرویس را با هم مرور مى كنیم:
1- فراهم كردن یك مركز واحد و یكنواخت مدیریتى براى كاربران، برنامه هاى كاربردى و دستگاه ها.
2- فراهم كردن یك نقطه ورود جهت دسترسى به منابع شبكه و همچنین فراهم كردن ابزارهاى قوى و یكنواخت مدیریتى براى مدیریت سرویس هاى ایمنى براى كاربران داخلى و نیز كاربرانى كه از راه دور و توسط تلفن ارتباط برقرار مى كنند.
3- مهیا كردن دسترسى استاندارد و یكسان به همه امكانات اكتیو دایركتورى.
اكتیو دایركتورى یك جزء اصلى از معمارى شبكه ویندوز 2000 و هسته هاى مشابه است. Active Directory به سازمان ها اجازه مى دهد كه اطلاعات خود را در شبكه، شامل منابع موجود در شبكه و كاربران شبكه به اشتراك بگذارند و مدیریت كنند. اكتیو دایركتورى همچنین به عنوان یك مركز اصلى براى امنیت شبكه عمل مى كند. به طورى كه اجازه مى دهد سیستم عامل به طور شفاف هویت كاربر را تعیین نماید و همچنین دسترسى به منابع شبكه را توسط آن كاربر كنترل نماید. نكته مهمتر این است كه Active Directory به عنوان نقطه اى براى گردآورى تعمیم ها و مدیریت آنها عمل مى كند. این قابلیت ها به سازمان ها اجازه مى دهند كه قوانین كارى استانداردى را براى برنامه هاى كاربردى توزیع شده و منابع شبكه به كار ببرند، بدون اینكه نیازى به مدیرانى داشته باشند كه توانایى نگهدارى دایركتورى هاى مخصوصى را داشته باشند. در عین حال Active Directory یك نقطه مركزى را براى مدیریت حساب هاى كاربران و سرورها و برنامه هاى كاربردى در محیط ویندوز فراهم مى كند كه با برنامه هاى كاربردى تحت ویندوز و دستگاه هاى سازگار با ویندوز ارتباط برقرار كنند. به این ترتیب Active Directory باعث توسعه سرمایه گذارى در شبكه مى شود. همچنین باعث كم شدن هزینه استفاده از كامپیوتر از طریق افزایش مدیریت بیشتر و راحت تر شبكه، افزایش ایمنى شبكه و افزایش قابلیت همكارى بین شبكه ها مى شود. استراتژى Directory Service شركت مایكروسافت سبب مى شود كه بسیارى از فروشنده ها و مراكز، Service Directory هاى خاصى را در برنامه هاى كاربردى یا دستگاه هایشان تعبیه نمایند تا بتوانند درخواست ها و عملیات هایى را كه مورد نیاز مشتریان است برآورده سازند. براى مثال سرویس E-mail شامل Directory Service هایى است كه به كاربران اجازه مى دهد تا صندوق پست خود را جست وجو كنند. سیستم عامل هاى سرور نیز مى توانند از Directory Service ها براى امكاناتى نظیر مدیریت حساب كاربران، ذخیره كردن اطلاعات و پیكربندى براى برنامه هاى كاربردى استفاده كنند. Active Directory اولین Director Service كامل و جامع است كه اندازه پذیر بوده و از اندازه هاى كوچك شروع مى شود و به اندازه هاى بسیار بزرگ مى رسد و نیز براساس تكنولوژى اینترنتى ساخته شده و كاملاً با سیستم عامل هماهنگ است... علاوه بر این جهت برنامه هاى كاربردى تحت ویندوز، Active Directory طورى طراحى شده كه براى كاربران، محیط هاى ایزوله و محیط هاى انتقال، محیط مدیریت متمركز را با حداقل Directory Service مورد نیاز شركت ها فراهم مى كند و این توانایى Active Directory را براى مدت طولانى به عنوان پایه و ستون اصلى جهت اشتراك گذاشتن اطلاعات و مدیریت مشترك منابع شبكه، شامل استفاده از برنامه هاى كاربردى، سیستم عامل هاى شبكه و سرویس هاى وابسته به دایركتورى مطرح مى كند.

•اكتیو دایركتورى چگونه كار مى كند

اكتیو دایركتورى به سازمان ها اجازه مى دهد تا اطلاعات را به صورت سلسله مراتبى طبقه بندى كنند و براى پشتیبانى محیط هاى شبكه اى توزیع شده، مدل تكثیر اطلاعات در سرورهاى متناظر را ارائه مى كند. اكتیو دایركتورى از اشیا براى نمایش منابع شبكه استفاده مى كند. كاربران، گروه ها، ماشین ها، دستگاه ها و برنامه هاى كاربردى از بسته ها براى نشان دادن سازمان ها استفاده مى كنند مثل بخش بازاریابى و یا مجموعه اى از اشیاى وابسته به هم مانند پرینترها. این اطلاعات در ساختارهاى درختى كه از این اشیا ایجاد مى شوند سازماندهى مى شوند و همانند روشى است كه سیستم عامل هاى ویندوز براى فایل ها و شاخه ها جهت سازماندهى اطلاعات در كامپیوتر استفاده مى كنند. علاوه بر این اكتیو دایركتورى روابط بین اشیا و بسته ها را فراهم مى كند تا یك دید متمركز و جامع را نشان دهد و این باعث مى شود كه درك و كنترل منابع راحت تر شده و مدیریت آنها بهینه شود. ساختار سلسله مراتبى اكتیو دایركتورى كه یك ساختار انعطاف پذیر و قابل پیكربندى است باعث مى شود كه سازمان ها منابع را آن طور كه به آن نیازمند هستند سازماندهى كنند. گروه بندى اشیا در داخل دایركتورى اجازه مى دهد كه مدیران اشیا را در سطح ماكرو مدیریت كنند. این كار كارایى، دقت و مدیریت را افزایش مى دهد، به طورى كه سازمان ها مدیریت شبكه را با نیازهاى تجارى خودشان انجام مى دهند.
براى فراهم كردن قابلیت اجرایى بالا، دسترسى بهتر و قابلیت انعطاف در محیط هاى توزیع شده، اكتیو دایركتورى از تكثیر اطلاعات در سرورهاى متناظر استفاده مى كند و این به سازمان ها اجازه مى دهد كه نسخه هاى گوناگون از دایركتورى ها ایجاد كنند. در نتیجه، تعویض ها و تغییراتى كه در هر جاى شبكه صورت بگیرد به طور اتوماتیك در سراسر شبكه كپى مى شوند. از سوى دیگر اكتیو دایركتورى از تكثیر اطلاعات در سرورهاى متناظر براى قابلیت انعطاف، جهت افزایش و بالا بردن میزان دسترسى و اجرا پشتیبانى مى كند. براى مثال كپى دایركتورى Syncron مى تواند از هر موقعیت و مكانى در شبكه مورد استفاده قرار گیرد. چنین پردازشى مى تواند اجراى سریع تر را در اختیار كاربر بگذارد. به این دلیل كه كاربران براى دسترسى به منابع مورد نیازشان به جاى جست وجو در شبكه ، آن را از طریق جست وجو در دایركتورى سرور محلى خود پیدا مى كنند. این دایركتورى ها بسته به منابع مدیریتى كه در دسترس است مى توانند به طور محلى یا از راه دور مدیریت شوند.

• مزایاى اكتیو دایركتورى

به علت ارتباط تنگاتنگ و كاملاً مجتمع اكتیو دایركتورى با ویندوز 2000 این قابلیت در اختیار مدیران شبكه، برنامه نویسان و كاربران قرار گرفته كه به Service Directory زیر دسترسى داشته باشند:
1- آسا ن تر كردن كارهاى مدیریت
2- افزایش امنیت شبكه
3- قابلیت استفاده از سیستم هاى موجود در محیط شبكه هاى مختلف و آسان كردن مدیریت سیستم هاى توزیع شده كه اغلب منجر به اشتراك زمانى مى شوند. در عین حال زمانى كه شركت ها برنامه هاى كاربردى را به زیرساخت و شالوده خود اضافه كنند و یا پرسنل خود را بازنشسته مى كنند و همچنین نیاز به توزیع نرم افزار بر روى كامپیوترهاى خود و همچنین مدیریت دایركتورى هاى برنامه هاى كاربردى دارند، اكتیو دایركتورى به شركت ها اجازه مى دهد كه هزینه هاى خود را با استفاده از كنترل مركزى كاربران، گروه ها و منابع شبكه به همراه نرم افزار توزیع شده و مدیریت پیكربندى كامپیوترهاى كاربران كاهش دهند. اكتیو دایركتورى از سوى دیگر به شركت ها كمك مى كند كه مدیریت آسان تر و راحت ترى داشته باشند. این سرویس با سازماندهى كاربران و منابع شبكه به طور سلسله مراتبى به مدیران اجازه مى دهد تا یك مركز واحد مدیریت را براى حساب هاى كاربران و سرورها و برنامه هاى كاربردى داشته باشند. اكتیو دایركتورى مدیریت منابع شبكه را آسان مى كند. در واقع اكتیو دایركتورى با تعویض اختیار وظایف مدیریتى به افراد یا گروه هاى خاص، انجام كارهاى مدیریتى منابع شبكه را ارتقا مى دهد. اكتیو دایركتورى یك مزیت بزرگ دیگر نیز دارد و آن هم بالا بردن امنیت است.
Active Directory مدیریت را متمركز مى كند و نقش هایى كه داراى امنیت مستحكم و استوار هستند را به وسیله پردازش قوانین جارى در سازمان ها اجرا مى كند. Active Directory امنیت رمزها و مدیریت را بالا مى برد. انجام این كار با فراهم آوردن نقطه ورود یكسان در منابع شبكه با كار گروهى و سرویس هاى امنیتى با قدرت بالا مقدور مى شود. Active Directory عملكرد كامپیوتر را نیز تثبیت مى كند. این سرویس این كار را با قفل كردن پیكربندى كامپیوتر و جلوگیرى از دسترسى عملیات در سطح كامپیوتر مشتریان انجام مى دهد و با فراهم كردن ساختارهاى پشتیبانى كننده ایجاد امنیت در پروتكل هاى استاندارد اینترنت و سنجش تصدیق ورود مكانیسم ها سرعت تجارت الكترونیكى را بالا مى برد. یكى دیگر از مزایاى Active Directory كنترل امنیت و سیستم هاى ایمنى است كه با تنظیم كردن امتیازات دسترسى بر روى اشیاى دایركتورى و عنصرهاى فردى اطلاعات كه آنها را ایجاد مى كند این كار را انجام مى دهد.

•افزایش همكارى بین شبكه ها

بسیارى از شركت ها مجموعه هاى مختلفى از تكنولوژى ها را دارا هستند كه مى باید با هم كار كنند. Active Directory داراى مجموعه روابط استاندارد براى كلیه امكانات از جمله سرمایه گذارى فعلى و انعطاف پذیرى براى برنامه هاى كاربردى است. با به هم پیوستن مدیریت دایركتورى ها برنامه هاى كاربردى متعدد و اجازه استفاده از دایركتورى به شبكه ها این كار امكان پذیر مى شود. ضمناً Active Directory یك محیط مناسب را براى برنامه هاى كاربردى كه از سرویس هاى دایركتورى استفاده مى كنند به وجود مى آورد. این امكان اجازه مى دهد كه نرم افزارنویسان، برنامه هاى كاربردى خود را براساس نقش كاربر در شركت كنترل كنند. به هر صورت با توسعه این تكنولوژى مزایاى Active Directory در محیط ویندوز مى تواند گسترش یابد. سرویس Active Directory یك مركز مهم براى مدیریت و ایجاد امنیت براى كاربران، سرورها و برنامه هاى كاربردى است. Active Directory ارزش سرمایه ایجاد شده سازمان ها را بالا مى برد و با كاهش هزینه ها و مدیریت بهینه توسط سیستم هاى كامپیوترى به تدریج با توزیع مناسب اطلاعات، داده ها، ابزار و امكانات رهبر عصرى مى شود كه افزایش ثروت و تجارت با كامپیوتر به خوبى امكان پذیر شده ضمن اینكه پیچیدگى هاى اولیه این پدیده در مدیریت و كنترل و حداقل خود مى رسد.
در واقع Active Directory فقط یك شروع است و باید منتظر بود تا با توسعه این تكنولوژى و سایر تكنولوژى هاى همگام، به تدریج شاخص هاى مدیریت و كنترل در دنیاى كامپیوتر و اداره امور به وسیله آن به سطوح درخشان و كارآمد خود نائل آیند.

برگرفته از روزنامه شرق

سرقت های شیک!

با توجه به پیش بینی شركت های امنیت IT، سرقت اطلاعات محرمانه، در سال 2007 یكی از مهم‌ترین تهدیدات علیه كاربران اینترنت و رایانه خواهد بود.

به همین منظور لابراتوارهای شركت امنیتی پاندا، PANDALABS، نكاتی را برای ارتقای شرایط امنیتی و نیز حفاظت كامل در برابر این تهدیدات مخرب به كاربران سرتاسر جهان ارائه می كند:

كلاهبرداری های اینترنتی و یا اصطلاحاً حمله های PHISHING، معمولاً بوسیله نامه های الكترونیكی خاصی انجام می شوند كه هدف آنها انتقال كاربر به وب سایت های كاذب برای سرقت اطلاعات محرمانه و شخصی وی می باشد. با استفاده از این حمله ها، كلاهبرداران اینترنتی و یا PHISHERها، قادر به سرقت رمزهای عبور، شماره حساب های بانكی، نام های كاربری،‌ شماره كارت های اعتباری و رمز های مربوط به آن و نیز سایر اطلاعات حساس و مهم برای سوء استفاده از هویت افراد و انجام جرائم دیگر هستند.آنها با استفاده از نام، نشان و مشخصات واقعی شركت ها، سازمان ها و بانك ها، و طراحی وب سایت های كاملاً مشابه با آنها، كاربران را برای سرقت اطلاعاتشان فریب می دهند.

برای پیشگیری از ورود به وب سایت های كاذب، كاربران اینترنت باید اطمینان حاصل كنند كه كلیه تبادلات اطلاعاتی آنها در محیطی امن در حال انجام می باشد. این نكته های مهم را به خاطر بسپارید:

- بانك ها و مؤسسات مالی اعتباری، هیچ گاه از طریق نامه های الكترونیك، اطلاعات محرمانه شما را درخواست نمی كنند. بنابر این هرگاه در صندوق پستی خود نامه هایی از این دست را مشاهده كردید، در حذف كامل آن تردیدی به خود راه ندهید.

- اطمینان حاصل كنید كه صفحه وب مورد بازدید شما حتماً به بانك و یا مؤسسه مالی مورد نظرتان تعلق داشته باشد. به دامین صفحه ای كه در آن هستید، توجه كنید و مطمئن شوید كه با دامین وب سایت اصلی بانك یا مؤسسه مالی شما تفاوتی نداشته باشد.

- اتصال و تبادل اطلاعاتی شما نیز باید كاملاً امن باشد. برای اطمینان از این موضوع، می توانید به قسمت پایین و سمت راست مرورگر اینترنت خود نگاه كنید. در نوار زیرپنجره مرورگر ، باید علامت امن بودن صفحه مورد نظر وجود داشته باشد. علاوه بر این، وجود عبارت HTTPS:// در ابتدای آدرس صفحه مورد نظر نشان‌دهنده امن بودن آن است. در صورتی كه هیچ كدام از این علائم وجود نداشته باشد می توانید با دوبار كلیك كردن بر روی قسمت امنیت صفحه مورد نظر ( یكی از خانه های موجود در سمت راست نوار زیر پنجره مرور گر)، بررسی كنید كه آیا این صفحه، دارای گواهینامه معتبر می باشد یا خیر.

- روش دیگر، برای برقراری یك اتصال و تبادل اطلاعاتی امن، این است كه آدرس كامل وب سایت یا صفحه مورد نظر خود را مستقیماً در نوار آدرس مرورگر وارد نمایید و هیچ گاه از طریق HYPERLINKها (فوق پیوندها) به صفحه مورد نظر خود دسترسی پیدا نكنید.

- با بررسی صورت وضعیت منظم حساب های بانكی خود، مطمئن شوید كه هیچ نوع تغییر خاصی بدون اطلاع شما در حسابتان ایجاد نشده است. در صورت مشاهده هرگونه تغییر غیر عادی مراتب را با مسئولان بانك در میان بگذارید.

- اگر با وجود در نظر گرفتن كلیه موارد فوق، باز هم در هنگام اتصال آنلاین به وب سایت بانك یا مؤسسه مالی خود دچار تردید بودید می توانید با استفاده از یك تماس تلفنی كوتاه، عملكرد مورد نظر خود را با مسئولان بانك یا مؤسسه مربوطه در میان بگذارید تا راهنمایی امنیتی لازم را به شما ارائه دهند. اما این را بیشتر به خاطر بسپارید:

- بهترین و مطمئن ترین راه حل حفاظتی، استفاده از یك آنتی ویروس قدرتمند با قابلیت حفاظت در برابر حملات PHISHING و كلاهبرداری های اینترنتی، می باشد. برای مثال فن آوری IDENTITY PROTECT كه به طور خاص برای پیشگیری از سرقت اطلاعات محرمانه و ایجاد حداكثر امنیت در تبادلات اطلاعاتی آنلاین و ارتباط های اینترنتی،‌ طراحی شده، قادر است داده های شخصی و محرمانه موجود در سیستم را در گروه اطلاعات /"غیر قابل انتقال/" قرار داده و قبل از خارج شدن آنها، كاربر را مطلع كرده و اجازه وی را برای موافقت با خروج این داده ها دریافت نماید. مهمترین قابلیت این فن آوری، این است كه كاربران می توانند از امن بودن ارتباط اینترنتی خود كاملاً مطمئن بوده و با آسودگی خیال به فعالیت های مالی و تجاری بپردازند. با استفاده از این فن آوری دیگر جایی برای SPYWARE ها و كلاهبرداری های اینترنتی باقی نخواهد ماند.

منبع : ITIRAN.COM

بدون آگاهی كلیك نكنید

در جریان عملیات ارتباط با اینترنت، دام‌‏های شیادان این بار به منظور جلب نظر كاربران، تنها با استفاده از یك كلیك اجرایی می‌‏شود. به نحوی كه ارتباط كاربر را از طریق مسیر بین المللی به كشوری دیگر متصل كرده و صورت حساب سنگینی برای كاربران به همراه دارد.

دیده می‌‏شود كه در برخی از سایت‌‏ها پنجره‌‏های مختلفی با مضمون‌‏های گوناگون از جمله چنانچه كیفیت بهتری می‌‏خواهید اینجا را كلیك كنید ظاهر می‌‏شود و كاربر بر اثر ناآگاهی و بدون توجه به عواقب روی آن كلیك كرده و سیستم بدون این كه كاربر متوجه شود از طریق مسیر بین المللی به سایت اصلی در كشور مقصد متصل می‌‏شود و صورت‌‏حساب سنگین مطابق با نرخ وصولی مصوبه برای مشترك صادر می‌‏شود كه باعث نارضایتی و شكایات نامبردگان می‌‏شود.

از آنجایی كه هدف ایجادكنندگان این سرویس تنها كسب درآمد است و این گونه سایت‌‏ها را در نقاطی كه نرخ محاسباتی بالایی دارند دایر می‌‏كنند، بیشتر باعث سرگرمی كاربران شده و سبب وارد آمدن خسارت به اقتصاد خانواده مشتركین می‌‏شود. لذا به منظور پیشگیری از این موارد و كاهش شكایات و جهت آگاهی عمومی، به كاربران هشدار داده می‌‏شود كه بدون آگاهی از محتوای سایت‌‏ها برای روی مطالب كلیك نكنند. سایت هایی را انتخاب نمایند كه روی آنها شناخت دارند و از تصاویر مختلف كه جاذبه ایجاد می‌‏كنند، بی توجه بگذرند.

گفتنی است، طبق آمار روابط عمومی شركت ارتباطات زیرساخت طی ماه گذشته این اقدام منجر به بیش از 830 هزار تماس به مقصد كشور آلمان در یك هفته شد كه نارضایتی بسیاری از خانواده‌‏ها را به دنبال داشت.

منبع : ایلنا

ایجاد کلمات عبور امن

اگر تاکنون کیف تان را گم کرده باشید، حتماً آسیب پذیرى ناشى از این واقعه را بخوبى درک نموده اید. ممکن است، کسى با هویت شما کارهایش را انجام دهد، و ادعا کند که شما است! اگر کسى کلمه عبور یا PASSWORD شما را هم بدزدد، همین کار را مى تواند بصورت آن لاین در دنیاى اینترنت انجام دهد. یک هکر مى تواند با کلمه عبور شما براى خود کارتهاى اعتبارى جدیدى دست و پا نماید، و در ارتباطات آن لاین، خودش را بجاى شما، جا بزند. و وقتى شما به این موضوع پى خواهید برد که دیگر خیلى دیر شده است. در این مقاله این موضوع را بررسى مى کنیم که شما چگونه مى توانید با ایجاد کلمات عبور محکم و امن از هویت آن لاین خود محافظت نمائید.

آیا شما از کلمات عبور ضعیفى استفاده مى کنید؟

شاید شما بدانید که نباید از ترکیب اعداد یا حروف پى در پى مانند «12345678» یا «IMNOPQRS» و یا حروف کنار هم در صفحه کلید مانند «QWERTY» براى ایجاد کلمات عبور استفاده کنید. همچنین شاید شنیده باشید که کلمه عبورتان نباید همان نام کاربرى، نام همسر، و یا تاریخ تولدتان باشد. اما آیا مى دانید که کلمه عبور شما نباید در فرهنگ لغت هیچ زبانى موجود نباشد؟ درست است. هکرها از ابزارهاى پیچیده اى استفاده مى کنند که قادرند کلمات عبور را براساس فرهنگ لغتهاى زبانهاى مختلف حدس بزنند، این ابزارها حتى مى توانند کلماتى را که بصورت برعکس بعنوان کلمه عبور انتخاب مى شوند را تشخیص دهند.

اگر شما از کلمات عمومى بعنوان کلمه عبورتان استفاده مى کنید، شاید بتوانید با جایگزین کردن برخى از حروف با اعداد یا نشانه هاى شبیه به آن PASSWORDتان را امن تر کنید. براى مثال بجاى MICROSOFT مى توانید از M1CR0$0FT استفاده کنید و یا بجاى PASSWORD از P@S$W0RD استفاده نمائید. البته باید بدانید که هکرها از این نوع حیله ها هم بخوبى مطلع هستند.

گام اول: کلمات عبور امنى را ایجاد کنید که بتوانید بخاطر بسپارید

شما مى توانید کاملاً از اعداد و حروف و نشانه هاى تصادفى به عنوان کلمه عبور استفاده کنید، اما این کلمه عبور نمى تواند یک کلمه عبور خوب بحساب بیاید. چرا که بخاطر آوردن آن بسیار مشکل خواهد بود. احتمال دارد که شما آنرا روى تکه کاغذى بنویسید و آنرا در کشوى میزتان نگه دارید تا هرگاه که آنرا فراموش کردید، بتوانید آنرا بخاطر آورید، اما این روش نمى تواند، روش مطمئنى باشد.

یک PASSWORD خوب، کلمه عبورى است که حداقل 8 کاراکتر طول داشته باشد و ترکیبى از حروف، اعداد و نشانه ها باشد و بخاطر سپردن آن براى شما آسان ولى حدس زدن آن براى دیگران مشکل باشد.

از عبارات کلمات عبور امن بسازید

آسانترین راه براى ایجاد یک کلمه عبور قوى، استفاده از جملات روزانه زندگى شماست که شما براحتى مى توانید آنرا بخاطر بسپارید. براى مثال جمله «MY SON ARMAN IS THREE YEARS OLDER THAN MY DAUGHTER AYDA» را در نظر بگیرید. شما مى توانید با کنار هم قرار دادن حروف اول این جمله یک کلمه عبور خوب بسازید. مثلاً MSAITYOTMDA. حتى شما مى توانید با جایگزین کردن حروف با حروف بزرگ و کوچک و اعداد و نشانه ها این PASSWORD را امن تر هم نمائید. براى مثال: M$@I3Y0TMD@.

گام دوم: کلمات عبورتان را بصورت یک راز نگه دارید

نگهدارى یک کلمه عبور بصورت امن به معنى نگهداشتن آن بصورت راز است. کلمه عبورتان را به دوستانتان ندهید، آنرا روى کاغذ یا در یک فایل کامپیوترى ناامن ننویسید و فقط در ذهن تان نگه دارید. ممکن است کامپیوترتان مورد دستبرد قرار گیرد یا فرزندتان به دوستانش اجازه دهد که از کامپیوتر شما استفاده کنند و آنها کلمه عبور شما را بصورت تصادفى پیدا کنند و بعدها از آن سوء استفاده نمایند.

حتى اگر شما بدانید که نباید کلمه عبورتان را بر روى کاغذ یا فایلهاى کامپیوترى بنویسید، و نباید آن را به دوستانتان بدهید، با این حال بایستى هنگامى که آنها را به سایتها هم مى دهید، مراقب باشید. یکى از حیله هایى که هکرها براى بدست آوردن کلمه عبور اشخاص انجام میدهند، ارسال نامه هاى الکترونیکى دروغین از طرف سایتهاى معروفى چون EBAY و AMAZON و... است که از کاربران مى خواهند تا کلمه عبور و دیگر مشخصات شان را براى فرستنده ارسال کنند. این نامه هاى الکترونیکى بسیار رسمى بنظر مى رسند و میلیونها نفر به این نوع نامه هاى دروغى پاسخ مى دهند.

اما بایستى بخاطر داشته باشید که سایتهایى چون MICROSOFT، EBAY، AMAZON، PAYPAL، YAHOO، GOOGLE و دیگر سایتهاى شرکتهاى معتبر هرگز از شما درخواست نمى کنند که از طریق E-MAIL کلمه عبور و دیگر مشخصات مهم تان را برایشان بفرستید. اگر شما E-MAILى دریافت کردید که در آن از شما خواسته شده است تا کلمه عبور، شماره امنیتى اجتماعى، یا دیگر اطلاعات حساس را بازفرستید، بهتر است که شرکت مزبور را از وجود چنین نامه اى مطلع نمائید و به یاد داشته باشید که هرگز مشخصات امنیتى خود را براى دیگران از طریق E-MAIL نفرستید.

گام سوم: کلمات عبورتان را مدیریت نمائید

مطمئن ترین روش آن است که براى هر وب سایت جدید، کلمه عبور جدیدى بسازید. اما این روش تقریباً غیرممکن است، چرا که بخاطر سپردن کلمات عبور متعدد بسیار دشوار خواهد بود. یک راه حل ساده آن است که شما چند کلمه عبور امن براى سایتهایى که بایستى امنیت بیشترى داشته باشند (مانند بانکها، کارتهاى اعتبارى و...) ایجاد کنید و کلمه عبور امن دیگرى براى سایر سایتها بسازید.

بخاطر داشته باشید که کلمه عبورى امن است که شما هر چند ماه یکبار آنرا تغییر دهید. همانطور که شما در دوره هاى زمانى مشخصى نرم افزارهایتان را به روز مى کنید، از برنامه هایتان پشتیبان تهیه مى کنید، و برنامه هاى کهنه را از سیستم تان پاک مى کنید، بایستى به همین ترتیب کلمات عبورتان را نیز مرتباً تغییر دهید.

گام چهارم: حساب هایتان را بازبینى کنید

ایجاد کلمات عبور قوى و امن از دزدیده شدن هویت آن لاین شما حفاظت خواهد کرد. هرچند که حتى این کار هم نمى تواند بصورت کامل امنیت شما را تضمین کند. اگر کسى کلمه عبورتان را بدزدد، هرچقدر که شما سریعتر به این موضوع پى ببرید و مراجع ذیصلاح را مطلع نمائید، کمتر آسیب خواهید دید. بهتر است که هر ماه اظهارنامه مالى خود را بازبینى نمائید و نکات مشکوک را سریعاً به شرکت یا بانک اطلاع دهید. همچنین به یاد داشته باشید که هر سال گزارش کارت اعتبارى تان را بازبینى نمائید.

گام بعدى حفاظت از خود است

سرقت هویت آن لاین با بدست آوردن کلمه عبور شما اتفاق خواهد افتاد، اما هکرها از روشهاى دیگرى هم براى دستیابى به کامپیوتر شما استفاده مى کنند. شما بایستى همیشه امنیت کامپیوترتان را با به روز کردن نرم افزارهایتان و استفاده از دیوار آتش (FIREWALL) تضمین کنید.

مرجع :ITIRAN.COM

آشنایی با DNS

 DNS مسئولیت حل مشكل اسامی كامپیوترها ( ترجمه نام به آدرس ) در یك شبكه و مسائل مرتبط با برنامه های Winsock را بر عهده دارد. بمنظور شناخت برخی از مفاهیم كلیدی و اساسی DNS ، لازم است كه سیستم فوق را با سیستم دیگر نامگذاری در شبكه های مایكروسافت(NetBIOS ) مقایسه نمائیم .
قبل از عرضه ویندوز 2000 تمامی شبكه های مایكروسافت از مدل NetBIOS برای نامگذاری ماشین ها و سرویس ها ی موجود بر روی شبكه استفاده می كردند. NetBIOS در سال 1983 به سفارش شركت IBM طراحی گردید. پروتكل فوق در ابتدا بعنوان پروتكلی در سطح لایه " حمل " ایفای وظیفه می كرد.در ادامه مجموعه دستورات NetBIOS بعنوان یك اینترفیس مربوط به لایه Session نیز مطرح تا از این طریق امكان ارتباط با سایر پروتكل ها نیز فراهم گردد. NetBEUI مهمترین و رایج ترین نسخه پیاده سازی شده در این زمینه است . NetBIOS برای شیكه های كوچك محلی با یك سگمنت طراحی شده است . پروتكل فوق بصورت Broadcast Base است . سرویس گیرندگان NetBIOS می توانند سایر سرویس گیرندگان موجود در شبكه را از طریق ارسال پیامهای Broadcast بمنظور شناخت و آگاهی از آدرس سخت افزاری كامپیوترهای مقصد پیدا نمایند. شكل زیر نحوه عملكرد پروتكل فوق در یك شبكه و آگاهی از آدرس سخت افزاری یك كامپیوتر را نشان می دهد. كامپیوترds2000 قصد ارسال اطلاعات به كامپیوتری با نامExeter را  دارد. یك پیامBroadcast برای تمامی كامپیوترهای موجود در سگمنت ارسال خواهد شد. تمامی كامپیوترهای موجود در سگمنت مكلف به بررسی پیام می باشند. كامپیوترExeter پس از دریافت پیام ،آدرسMAC خود را برای كامپیوترds2000 ارسال می نماید.

همانگونه كه اشاره گردید استفاده از پروتكل فوق برای برطرف مشكل اسامی ( ترجمه نام یك كامپیوتر به آدرس فیزیكی و سخت افزاری ) صرفا" برای شبكه های محلی با ابعاد كوچك توصیه شده و در شبكه های بزرگ نظیر شبكه های اترنت با ماهیت Broadcast Based با مشكلات عدیده ای مواجه خواهیم شد.در ادامه به برخی از این مشكلات اشاره شده است .* بموازات افزایش تعداد كامپیوترهای موجود در شبكه ترافیك انتشار بسته های اطلاعاتی بشدت افزایش خواهد یافت .* پروتكل های مبتنی بر NetBIOS ( نظیر NetBEUI) دارای مكانیزمهای لازم برای روتینگ نبوده و دستورالعمل های مربوط به روتینگ در مشخصه فریم بسته های اطلاعاتی NetBIOS تعریف نشده است .* در صورتیكه امكانی فراهم گردد كه قابلیت روتینگ به پیامهای NetBIOS داده شود ( نظیر Overlay نمودن NetBIOS بر روی پروتكل دیگر با قابلیت روتینگ ، روترها بصورت پیش فرض بسته های NetBIOS را منتشر نخواهند كرد.
ماهیت BroadCast بودن پروتكل NetBIOS یكی از دو فاكتور مهم در رابطه با محدودیت های پروتكل فوق خصوصا" در شبكه های بزرگ است . فاكتور دوم ، ساختار در نظر گرفته شده برای نحوه نامگذاری است . ساختار نامگذاری در پروتكل فوق بصورت مسطح (Flat) است .

Flat NetBios NameSpace

بمنظور شناخت و درك ملموس مشكل نامگذاری مسطح در NetBIOS لازم است كه در ابتدا مثال هائی در این زمینه ذكر گردد. فرض كنید هر شخص در دنیا دارای یك نام بوده و صرفا" از طریق همان نام شناخته گردد. در چنین وضعیتی اداره راهنمائی و رانندگی اقدام به صدور گواهینمامه رانندگی می نماید. هر راننده دارای یك شماره سریال خواهد شد. در صورتیكه از اداره فوق سوالاتی نظیر سوالات ذیل مطرح گردد قطعا" پاسخگوئی به آنها بسادگی میسر نخواهد شد.
- چند نفر با نام احمد دارای گواهینامه هستند؟
- چند نفر با نام رضا دارای گواهینامه هستند؟
در چنین حالی اگر افسر اداره راهنمائی و رانندگی راننده ای را بخاطر تخلف متوقف نموده و از مركز و بر اساس نام وی استعلام نماید كه آیا " راننده ای با نام احمد قبلا" نیز مرتكب تخلف شده است یا خیر ؟" در صورتیكه از طرف مركز به وی پاسخ مثبت داده شود افسر مربوطه هیچگونه اطمینانی نخواهد داشت كه راننده در مقابل آن همان احمد متخلف است كه قبلا" نیز تخلف داشته است .
یكی از روش های حل مشكل فوق، ایجاد سیستمی است كه مسئولیت آن ارائه نام بصورت انحصاری و غیرتكراری برای تمامی افراد در سطح دنیا باشد. در چنین وضعیتی افسر اداره راهنمائی و رانندگی در برخورد با افراد متخلف دچار مشكل نشده و همواره این اطمینان وجود خواهد داشت كه اسامی بصورت منحصر بفرد استفاده شده است . در چنین سیستمی چه افراد و یا سازمانهائی مسئله عدم تكرار اسامی را كنترل و این اطمینان را بوجود خواهند آورند كه اسامی بصورت تكراری در سطح دنیا وجود نخواهد داشت؟. بهرحال ساختار سیستم نامگذاری می بایست بگونه ای باشد كه این اطمینان را بوجود آورد كه نام انتخاب شده قبلا" در اختیار دیگری قرار داده نشده است . در عمل پیاده سازی اینچنین سیستم هائی غیر ممكن است.مثال فوق محدودیت نامگذاری بصورت مسطح را نشان می دهد.
سیستم نامگذاری بر اساس NetBIOS بصورت مسطح بوده و این بدان معنی است كه هر كامپیوتر بر روی شبكه می بایست دارای یك نام متمایز از دیگران باشد. در صورتیكه دو كامپیوتر موجود بر روی شبكه های مبتنی بر NetBIOS دارای اسامی یكسانی باشند پیامهای ارسالی از یك كامپیوتر به كامپیوتر دیگر كه دارای چندین نمونه ( نام تكراری ) در شبكه است، می تواند باعث بروز مشكلات در شبكه و عدم رسیدن پیام ارسال شده به مقصد درست خود باشد.

اینترفیس های NetBIOS و WinSock

DNS مسائل فوق را بسادگی برطرف نموده است . سیستم فوق از یك مدل سلسله مراتبی برای نامگذاری استفاده كرده است . قبل از پرداختن به نحوه عملكرد و جزئیات سیستم DNS لازم است در ابتدا با نحوه دستیابی برنامه ها به پروتكل های شبكه و خصوصا" نحوه ارتباط آنها با پروتكل TCP/IP آشنا شویم .
برنامه های با قابلیت اجراء بر روی شبكه هائی با سیستم های عامل مایكروسافت، با استفاده از دو روش متفاوت با پروتكل TCP/IP مرتبط می گردنند.
* اینترفیس سوكت های ویندوز (WinSock)* اینترفیس NetBIOS
اینترفیس های فوق یكی از مسائل اساسی در نامگذاری و ترجمه اسامی در شبكه های مبتنی بر TCP/IP را به چالش می كشانند.برنامه های نوشته شده كه از اینترفیس NetBIOS استفاده می نمایند از نام كامپیوتر مقصد بعنوان " نقطه آخر" برای ارتباطات استفاده می نمایند در چنین مواردی برنامه های NetBIOS صرفا" مراقبت های لازم را در خصوص نام كامپیوتر مقصد بمنظور ایجاد یك session انجام خواهند داد. در حالیكه پروتكل های TCP/IP )IP,TCP) هیچگونه آگاهی از اسامی كامپیوترهای NetBIOS نداشته و در تمامی موارد مراقبت های لازم را انجام نخواهند داد.
بمنظور حل مشكل فوق( برنامه هائی كه از NetBIOS بكمك اینترفیس NetBIOS با پروتكل TCP/IP مرتبط خواهند شد) از اینترفیس  netBT و یا NetBIOS over TCP/IP استفاده می نمایند. زمانیكه درخواستی برای دستیابی به یك منبع در شبكه از طریق یك برنامه با اینترفیس NetBIOS ارائه می گردد و به لایه Application می رسد از طریق اینترفیس NetBT با آن مرتبط خواهد شد.در این مرحله نام NetBIOS ترجمه و به یك IP تبدیل خواهد شد. زمانیكه نام NetBIOS كامپیوتر به یك آدرس فیزیكی ترجمه می گردد درخواست مربوطه می تواند لایه های زیرین پروتكل TCP/IP را طی تا وظایف محوله دنبال گردد. شكل زیر نحوه انجام عملیات فوق را نشان می دهد.

 

اینترفیس Winsock
اغلب برنامه هائی كه براساس پروتكل TCP/IP نوشته می گردنند، از اینترفیس Winsock استفاده می نمایند. این نوع برنامه ها نیازمند آگاهی از نام كامپیوتر مقصد برای ارتباط نبوده و با آگاهی از آدرس IP كامپیوتر مقصد قادر به ایجاد یك ارتباط خواهند بود.
كامپیوترها جهت كار با اعداد ( خصوصا" IP ) دارای مسائل و مشكلات بسیار ناچیزی می باشند.در صورتیكه انسان در این رابطه دارای مشكلات خاص خود است . قطعا" بخاطر سپردن اعداد بزرگ و طولانی برای هر شخص كار مشكلی خواهد بود. هر یك از ما طی روز به وب سایت های متعددی مراجعه و صرفا" با تایپ آدرس مربوطه كه بصورت یك نام خاص است (www.test.com) از امكانات سایت مربوطه بهره مند می گردیم. آیا طی این نوع ملاقات ها ما نیازمند آگاهی از آدرس IP سایت مربوطه بوده ایم؟ بهرحال بخاطر سپردن اسامی كامپیوترها بمراتب راحت تر از بخاطر سپردن اعداد ( كد ) است . از آنجائیكه برنامه های Winsock نیازمند آگاهی از نام كامپیوتر و یا Host Name نمی باشند می توان با رعایت تمامی مسائل جانبی از روش فوق برای ترجمه اسامی استفاده كرد. فرآیند فوق را ترجمه اسامی (Host Name Resoulation) می گویند.
موارد اختلاف بین NetBIOS و WinSock
برنامه های مبتنی بر NetBIOS می بایست قبل از ایجاد ارتباط با یك كامپیوتر، نام NetBIOS را به یك IP ترجمه نمایند.( قبل از ایجاد ارتباط نام NetBIOS به IP تبدیل خواهد شد.) در برنامه های مبتنی بر WinSock می توان از نام كامپیوتر (Host name) در مقابل IP استفاده كرد. قبل از عرضه ویندوز 2000 تمامی شبكه های كامپیوتری كه توسط سیستم های عامل ویندوز پیاده سازی می شدند از NetBIOS استفاده می كردند. بهمین دلیل در گذشته زمان زیادی صرف ترجمه اسامی می گردید. ویندوز وابستگی به NetBIOS نداشته و در مقابل از سیستم DNS استفاده می نماید.
DNS NameSpace
همانگونه كه اشاره گردید DNS از یك ساختار سلسله مراتبی برای سیستم نامگذاری خود استفاده می نماید. با توجه به ماهیت سلسله مراتبی بودن ساختار فوق، چندین كامپیوتر می توانند دارای اسامی یكسان بر روی یك شبكه بوده و هیچگونه نگرانی از عدم ارسال پیام ها وجود نخواهد داشت. ویژگی فوق درست نقطه مخالف سیستم نامگذاری NetBIOS است . در مدل فوق قادر به انتخاب دو نام یكسان برای دو كامپیوتر موجود بر روی یك شبكه یكسان نخواهیم نبود.
بالاترین سطح در DNS با نام Root Domain نامیده شده و اغلب بصورت یك “.” و یا یك فضای خالی “” نشان داده می شود. بلافاصله پس از ریشه با اسامی موجود در دامنه بالاترین سطح (Top Level) برخورد خواهیم كرد. دامنه های .Com , .net , .org , .edu نمونه هائی از این نوع می باشند. سازمانهائی كه تمایل به داشتن یك وب سایت بر روی اینترنت دارند، می بایست یك دامنه را كه بعنوان عضوی از اسامی حوزه Top Level می باشد را برای خود اختیار نماید. هر یك از حوزه های سطح بالا دارای كاربردهای خاصی می باشند. مثلا" سازمان های اقتصادی در حوزه .com و موسسات آموزشی در حوزه .edu و ... domain خود را ثبت خواهند نمود.شكل زیر ساختار سلسله مراتبی DNS را نشان می دهد.

در هر سطح از ساختار سلسله مراتبی فوق می بایست اسامی با یكدیگر متفاوت باشد. مثلا" نمی توان دو حوزه .com و یا دو حوزه .net را تعریف و یا دو حوزه Microsoft.com در سطح دوم را داشته باشیم .استفاده از اسامی تكراری در سطوح متفاوت مجاز بوده و بهمین دلیل است كه اغلب وب سایت ها دارای نام www می باشند.
حوزه های Top Level و Second level تنها بخش هائی از سیستم DNS می باشند كه می بایست بصورت مركزی مدیریت و كنترل گردنند. بمنظور ریجستر نمودن دامنه مورد نظر خود می بایست با سازمان و یا شركتی كه مسئولیت ریجستر نمودن را برعهده دارد ارتباط برقرار نموده و از آنها درخواست نمود كه عملیات مربوط به ریجستر نمودن دامنه مورد نظر ما را انجام دهند. در گذشته تنها سازمانی كه دارای مجوز لازم برای ریجستر نمودن حوزه های سطح دوم را در اختیار داشت شركت NSI)Network Solutions Intcorporated) بود. امروزه امتیاز فوق صرفا" در اختیار شركت فوق نبوده و شركت های متعددی اقدام به ریجستر نمودن حوزه ها می نمایند.
مشخصات دامنه و اسم Host
هر كامپیوتر در DNS بعنوان عضوی از یك دامنه در نظر گرفته می شود. بمنظور شناخت و ضرورت استفاده از ساختار سلسله مراتبی بهمراه DNS لازم است در ابتدا با FQDN آشنا شویم .

معرفی FQDN)Fully Qualified Domain Names)
یك FQDN محل یك كامپیوتر خاص را در DNS مشخص خواهد نمود. با استفاده از FQDN می توان بسادگی محل كامپیوتر در دامنه مربوطه را مشخص و به آن دستیابی نمود. FQDN یك نام تركیبی است كه در آن نام ماشین (Host) و نام دامنه مربوطه قرار خواهد گرفت . مثلا" اگر شركتی با نام TestCorp در حوزه سطح دوم دامنه خود را ثبت نماید (TestCorp.com) در صورتیكه سرویس دهنده وب بر روی TestCorp.com اجراء گردد می توان آن را www نامید و كاربران با استفاده از www.testCorp.com به آن دستیابی پیدا نمایند.
دقت داشته باشید كه www از نام FQDN مثال فوق نشاندهنده یك شناسه خدماتی نبوده و صرفا" نام host مربوط به ماشین مربوطه را مشخص خواهد كرد. یك نام FQDN از دو عنصر اساسی تشكیل شده است :

* Label  : شامل نام حوزه و یا نام یك host است .* Dots    : نقطه ها كه باعت جداسازی بخش های متفاوت خواهد شد.
هر lable توسط نقطه از یكدیگر جدا خواهند شد. هر lable می تواند حداكثر دارای 63 بایت باشد. دقت داشته باشید كه طول ( اندازه ) هر lable بر حسب بایت مشخص شده است نه بر حسب طول رشته . علت  این است كه DNS در ویندوز 2000 از كاراكترهای UTF-8 استفاده می نماید. بر خلاف كاراكترهای اسكی كه قبلا" از آنان استفاده می گردید. بهرحال FQDN می بایست دارای طولی به اندازه حداكثر 255 بایت باشد.
طراحی نام حوزه برای یك سازمان
قبل از پیاده سازی  سیستم ( مدل ) DNS برای یك سازمان ، می بایست به نمونه سوالات ذیل بدرستی پاسخ داد:
- آیا سازمان مربوطه در حال حاضر برای ارتباط اینترانتی خود از DNS استفاده می نماید؟
- آیا سازمان مربوطه دارای یك سایت اینترنتی است ؟
- آیا سازمان مربوطه دارای یك حوزه( دامنه ) ثبت شده ( ریجستر شده ) است ؟
- آیا سازمان مربوطه از اسامی حوزه یكسان برای منابع مربوطه موجود بر روی اینترنت / اینترانت استفاده می نماید؟

استفاده از نام یكسان دامنه برای منابع اینترنت و اینترانت

استفاده از اسامی یكسان برای نامگذاری دامنه بمنظور استفاده از منابع موجود داخلی و منابع اینترنتی در مرحله اول بسیار قابل توجه و جذاب خواهد بود. تمامی ماشین ها بعنوان عضو یك دامنه یكسان محسوب و كاربران نیاز به بخاطر سپردن دامنه های متفاوت بر اساس نوع منبع كه ممكن است داخلی و یا خارجی باشد نخواهند داشت ..با توجه  به وجود مزایای فوق، بكارگیری این روش  می تواند باعث بروز برخی مشكلات نیز گردد. بمنظور حفاظت از ناحیه (Zone) های DNS از دستیابی غیر مجاز نمی بایست هیچگونه اطلاعاتی در رابطه با منابع داخلی بر روی سرویس دهنده DNS نگهداری نمود. بنابراین می بایست برای یك دامنه از دو Zone متفاوت استفاده نمود. یكی از Zone ها منابع داخلی را دنبال و Zone دیگر مسئولیت پاسخگوئی به منابعی است كه بر روی اینترنت قرار دارند. عملیات فوق قطعا" حجم وظایف مدیریت سایت را افزایش خواهد داد.
پیاده سازی نام یكسان برای منابع داخلی و خارجی
یكی دیگر از عملیاتی كه می بایست در زمان پیاده سازی دامنه های یكسان برای منابع داخلی و خارجی مورد توجه قرار دارد Mirror نمودن منابع خارجی بصورت داخلی است . مثلا" فرض نمائید كه Test.com نام انتخاب شده برای دستیابی به منابع داخلی ( اینترانت) و منابع خارجی ( اینترنت ) است.درچنین وضعیتی دارای سرویس دهنده وب برا یاینترانت باشیم كه پرسنل سازمان از آن بمنظور دستیابی به اطلاعات اختصاصی و سایر اطلاعات داخلی سازمان استفاده می نمایند.در این مدل دارای سرویس دهندگانی خواهیم بود كه بمنظور دستیابی به منابع اینترنت مورد استفاده قرار خواهند گرفت . ما می خواهیم از اسامی یكسان برای سرویس دهندگان استفاده نمائیم . در مدل فوق اگر درخواستی برای www.test.com صورت پذیرد مسئله به كامپیوتری ختم خواهد شد كه قصد داریم برای كاربران اینترنت قابل دستیابی باشد. در چنین وضعیتی ما نمی خواهیم كاربران اینترنت قادر به دستیابی به اطلاعات شخصی و داخلی سازمان باشند. جهت حل مشكل فوق Mirror نمودن منابع اینترنت بصورت داخلی است و ایجاد یك zone در DNS برای دستیابی كاربران به منابع داخلی ضروری خواهد بود. زمانیكه كاربری درخواست www.test.com را صادر نمائید در ابتدا مسئله نام از طریق سرویس دهنده داخلی DNS برطرف خواهد شد كه شامل zone داخلی مربوطه است . زمانی كه یك كاربر اینترنت قصد دستیابی به www.test.com را داشته باشد درخواست وی به سرویس دهنده اینترنت DNS ارسال خواهدشد كه در چنین حالتی آدرس IP سرویس دهنده خارجی DNS برگردانده خواهد شد.

استفاده از اسامی متفاوت برای دامنه ها ی اینترنت و اینترانت

در صورتیكه سازمانی به اینترنت متصل و یا در حال برنامه ریزی جهت اتصال به اینترنت است می توان از دو نام متفاوت برای دستیابی به منابع اینترانتی و اینترنتی استفاده نمود. پیاده سازی مدل فوق بمراتب از مدل قبل ساده تر است . در مدل فوق نیازی به نگهداری Zone های متفاوت برای هر یك از آنها نبوده و هریك از آنها دارای یك نام مجزا و اختصاصی مربوط به خود خواهند بود. مثلا" می توان نام اینترنتی حوزه را Test.com و نام اینترانتی آن را TestCorp.com قرار داد.

برای نامگذاری هر یك از زیر دامنه ها می توان اسامی انتخابی را براساس نوع فعالیت و یا حوزه جفرافیائی انتخاب نمود.
Zones of Authority
DNS دارای ساختاری است كه از آن برای گروه بندی و دنبال نمودن ماشین مربوطه براساس نام host در شبكه استفاده خواهد شد. بمنظور فعال نمودن DNS در جهت تامین خواسته ای مورد نظر می بایست روشی جهت ذخیره نمودن اطلاعات در DNS وجود داشته باشد.اطلاعات واقعی در رابطه با دامنه ها در فایلی با نام Zone database ذخیره می گردد. این نوع فایل ها، فایل های فیزیكی بوده كه بر روی سرویس دهنده DNS ذخیره خواهند شد. آدرس محل قرار گیری فایل های فوق %systemroot%/system32/dns خواهد بود. در این بخش هدف بررسی Zone های استاندارد بوده كه به دو نوع عمده تقسیم خواهند شد.* Forward Lookup Zone* Reverse Lookup Zone
در ادامه به تشریح عملكرد هر یك از Zone های فوق خواهیم پرداخت .
Forward Lookup Zone
از این نوع Zone برای ایجاد مكانیزمی برای ترجمه اسامی host به آدرس IP برای سرویس گیرندگان DNS استفاده می گردد. Zone ها دارای اطلاعاتی هستند كه بصورت ركوردهای خاص در بانك اطلاعاتی مربوطه ذخیره خواهند شد. این نوع ركوردها را " ركوردهای منبع Resource Record " می گویند. ركوردهای فوق اطلاعات مورد نیاز  در رابطه با منابع قابل دسترس در هر Zone را مشخص خواهند كرد.
تفاوت بین Domain و Zone
در ابتدا می بایست به این نكته اشاره نمود كه Zone ها با دامنه ها (Domain) یكسان نبوده و یك Zone می تواند شامل ركوردهائی در رابطه با چندین دامنه باشد. مثلا" فرض كنید ،  دامنه www.microsoft.com  دارای دو زیر دامنه با نام East , West باشد. (West.microsoft.com , East.microsoft.com ). مایكروسافت دارای دامنه اختصاصی msn.com بوده كه خود شامل دارای یك زیردامنه با نام mail.microsoft.com است

دامنه های همجوار و غیر همجوار در شكل فوق نشان داده شده است . دامنه های همجوار همدیگر را حس خواهند كرد ( برای یكدیگر ملموس خواهند بود ) . در رابطه با مثال فوق دامنه های موجود در Zone Microsoft.com همجوار و دامنه های Msn.com و Microsoft.com غیر همجوار هستند.
Zone ها مجوز واگذاری مسئولیت برای پشتیبانی منابع موجود در Zone را فراهم خواهند كرد. Zone ها روشی را بمنظور واگذاری مسئولیت پشتیبانی و نگهداری بانك اطلاعاتی مربوطه فراهم خواهند كرد. فرض كنید شركتی با نام TACteam وجودداشته باشد. شركت فوق از دامنه ای با نام tacteam.net استفاده می نماید. شركت فوق دارای شعباتی در San Francisco, Dallas, and Boston است . شعبه اصلی در Dallas بوده كه مدیران متعددی برای مدیریت شبكه در آن فعالیت می نمایند. شعبه San Francisco نیز دارای چندین مدیر ورزیده بمنظور نظارت بر سایت است . شعبه Boston دارای مدیریتی كارآمد برای مدیریت DNS نمی باشد. بنابراین همواره نگرانی های مربوط به واگذاری مسئولیت نگهداری بانك اطلاعاتی به یك فرد در Boston خواهیم بود. منابع موجود بر روی سایت Dallas در حوزه tacteam.net بوده و منابع موجود در San Francisco در سایت west.tacteam.net و منابع موجود در Boston در سایت east.tacteam.net نگهداری می گردنند. در چنین وضعیتی ما صرفا" دو Zone را برای مدیریت سه دامنه ایجاد خواهیم كرد. یك Zone برای tacteam.net كه مسئولیت منابع مربوط به tacteam.net و east.tacteam.net را برعهده داشته و یك Zone دیگر برای west.tacteam.net كه منابع موجود بر روی سایت San Francisco را برعهده خواهد گرفت . اسامی مورد نظر برای هر Zone به چه صورت می بایست انتخاب گردنند؟ هر Zone نام خود را از طریق ریشه و یا بالاترین سطح دامنه اقتباس خواهند شد. زمانیكه درخواستی برای یك منبع موجود بر روی دامنه west.tacteam.net برای DNS واصل گردد ( سرویس دهنده DNS مربوط به tacteam.net ) سرویس دهنده tacteam.net صرفا" شامل یك Zone نخواهد بود.در چنین وضعینی سرویس دهنده فوق دارای یك Delegation ( واگذاری مسئولیت ) بوده كه به سرویس دهنده DNS مربوط به west.tacteam.net اشاره خواهد كرد. بنابراین درخواست مربوطه برای ترجمه اسامی به آدرس بدرستی به سرویس دهنده مربوطه هدایت تا مشكل برطرف گردد.

Reverse Lookup Zones

Zoneها ی از نوع Forward امكان ترجمه نام یك كامپیوتر به یك IP را فراهم می نمایند..یك Reverse Lookup این امكان را به سرویس گیرندگان خواهد داد كه عملیات مخالف عملیات گفته شده را انجام دهند: ترجمه یك آدرس IP به یك نام . مثلا" فرض كنید شما می دانید كه آدرس IP مربوط به كامپیوتر مقصد 192.168.1.3 است اما علاقه مند هستیم كه نام آن را نیز داشته باشیم . بمنظور پاسخگوئی به این نوع درخواست ها سیستم DNS از این نوع Zone ها استفاده می نماید. Zone های فوق بسادگی و راحتی Forward Zone ها رفتار نمی نمایند. مثلا" فرض كنید Forward Lookup Zone مشابه یك دفترچه تلفن باشد ایندكس این نوع دفترچه ها بر اساس نام اشخاص است . در صورتیكه قصد یافتن یك شماره تلفن را داشته باشید با حركت بر روی حرف مربوطه و دنبال نمودن لیست كه بترتیب حروف الفباء است قادر به یافتن نام شخص مورد نظر خواهید بود. اگر ما شماره تلفن فردی را بدانیم و قصد داشته باشیم از نام وی نیز آگاهی پیدا نمائیم چه نوع فرآیندی را می بایست دنبال نمود؟. از آنجائیكه دفترچه تلفن بر اساس نام ایندكس شده است تنها راه حركت و جستجو در تمام شماره تلفن ها و یافتن نام مربوطه است .قطعا" روش فوق روش مناسبی نخواهد بود. بمنظور حل مشكل فوق در رابطه با یافتن نام در صورتیكه IP را داشته باشیم از یك دامنه جدید با نام in-addr.arpa استفاده می گردد. دامنه فوق اسامی مربوطه به دامنه ها را بر اساس شناسه شبكه (Network ID) ایندكس و باعث افزایش سرعت و كارآئی در بازیابی اطلاعات مورد نظر با توجه به نوع درخواست ها خواهد شد.
با استفاده از برنامه مدیریتی DNS می توان براحتی اقدام به ایجاد این نوع Zone ها نمود. مثلا" اگر كامپیوتری دارای آدرس 192.168.1.0 باشد یك آدرس معكوس ایجاد و Zone مربوطه بصورت زیر خواهد بود :1.168.192.in-addr.arpa.dns

برگرفته از سایت www.srco.ir

دو شاخص مهم شبكه ؛پهنای باند و میزان تاخیر

امروزه شاهد حضور مقتدرانه سیستم های عامل در تمامی عرصه های پردازش اطلاعات می باشیم .سیستم عامل، یكی از عناصر چهار گانه در یك سیستم كامپیوتری است كه دارای نقشی حیاتی و تعیین كننده  در رابطه با نحوه مدیریت منابع سخت افزاری و نرم افزاری است . پرداختن به مقوله  امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یك سیستم كامپیوتری بوده كه امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است . بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی كاملا" علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام تا از یك طرف تصمیم گیرندگان مسائل استراتژیك در یك سازمان قادر به انتخاب  منطقی یك سیستم عامل باشند و از طرف دیگر امكان نگهداری و پشتیبانی آن با در نظر گرفتن مجموعه تهدیدات موجود و آتی  ، بسرعت و بسادگی میسر گردد .
اكثر كرم ها و سایر حملات موفقیت آمیز در اینترنت ، بدلیل وجود نقاط آسیب پذیر در تعدادی  اندك  از سرویس های سیستم  های عامل متداول است . مهاجمان ، با فرصت طلبی خاص خود از روش  های متعددی بمنظور سوء استفاده از نقاط ضعف امنیتی شناخته شده ، استفاده نموده  و در این راستا ابزارهای  متنوع ، موثر و گسترده ای را به منظور نیل به اهداف خود ، بخدمت می گیرند . مهاجمان ، در این رهگذر متمركز بر سازمان ها و موسساتی می گردند كه هنوز مسائل موجود امنیتی ( حفره ها و نقاط آسیب پذیر ) خود را برطرف نكرده و بدون هیچگونه تبعیضی آنان را بعنوان هدف ، انتخاب می نمایند . مهاجمان بسادگی و بصورت مخرب ،  كرم هائی نظیر : بلستر ، اسلامر وCode Red را در شبكه  منتشر می نمایند. آگاهی از مهمترین نقاط آسیب پذیر در سیستم های  عامل ، امری ضروری است . با شناسائی و آنالیز اینگونه نقاط آسیب پذیر توسط كارشناسان امنیت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوین شده بمنظور برخورد منطقی با مشكلات موجود و ایجاد یك لایه حفاظتی مناسب می باشند.
شناسائی متداولترین پورت هائی كه تاكنون مهاجمان با استفاده از آنان حملات خود را سازماندهی نموده اند ، امری لازم و ضروری است .  برخی از پورت ها بدفعات و بطور متناوب توسط مهاجمان و به منظور انجام یك تهاجم مورد استفاده قرار گرفته است . با بلاك نمودن اینگونه پورت ها ، حداقل امكانات لازم به منظور ایجاد یك محیط ایمن ایجاد خواهد شد . بهترین روشی كه در این رابطه توصیه شده است ، بلاك نمودن تمامی پورت ها ( غیرفعال نمودن تمامی ترافیك ) و صدور مجوز جداگانه برای هر یك از پروتكل های مورد نیاز در یك سازمان و با توجه به شرایط موجود می باشد . حتی در صورتی كه تمامی پورت ها بلاك شده باشند ، می بایست بطور مستمر آنان را به منظور تشخیص مزاحمت ها و سوء استفاده های احتمالی مانیتور نموده  تا در صورت بروز مشكلات احتمالی سریعا" نسبت به رفع آنان اقدام گردد .
بخاطر داشته باشید كه پورت های زیر را می بایست بر روی تمامی كامپیوترهای میزبان با لحاظ  نمودن مسائل امنیتی پیكربندی نمود . غیر فعال نمودن پورت های زیر خلاء طراحی یك سیاست امنیتی  را پر نخواهد كرد و می بایست در این رابطه تابع یك سیستم و سیاست امنیتی مناسب باشیم .
جدول زیر متداولترین پورت های آسیب پذیر را تاكنون توسط مهاجمان بكار گرفته شده است ، نشان می دهد :

برگرفته از سایت srco.ir

NAT در شبكه

اینترنت  با سرعتی  باورنكردنی  همجنان در حال گسترش است . تعداد كامپیوترهای ارائه دهنده اطلاعات ( خدمات ) و كاربران اینترنت روزانه تغییر و رشد می یابد.  با اینكه نمی توان دقیقا" اندازه اینترنت را مشخص كرد ولی تقریبا" یكصد میلیون كامپیوتر میزبان(Host) و 350 میلیون كاربر از اینترنت استفاده می نمایند. رشد اینترنت چه نوع ارتباطی باNetworkAddressTranslation)NAT ) دارد؟ هر كامپیوتر بمنظور ارتباط با سایر كامپیوترها و سرویس دهندگان وب بر روی اینترنت، می بایست دارای یك آدرسIP باشد.IP یك عدد منحصر بفرد 32 بیتی بوده كه كامپیوتر موجود در یك شبكه را مشخص می كند.

اولین مرتبه ای كه مسئله آدرس دهی توسطIP  مطرح گردید، كمتر كسی به این فكر می افتاد كه ممكن است  خواسته ای  مطرح شود كه نتوان به آن یك آدرس را نسبت داد. با استفاده از سیستم آدرس دهیIP می توان 4.294.976.296 (232) آدرس را تولید كرد. ( بصورت تئوری ). تعداد واقعی آدرس های قابل استفاده كمتر از مقدار ( بین 3.2 میلیارد و 3.3 میلیارد ) فوق است . علت این امر، تفكیك آدرس ها به كلاس ها و رزو بودن برخی آدرس ها برایmulticasting ، تست و موارد خاص دیگر است .

همزمان با انفجار اینترنت ( عمومیت یافتن)  و افزایش شبكه های كامپیوتری ،  تعدادIP  موجود،  پاسخگوی نیازها نبود. منطقی ترین روش، طراحی مجدد سیستم آدرس دهیIP است تا امكان استفاده از آدرس هایIP بیشَتری فراهم گردد. موضوع فوق در حال پیاده سازی بوده و نسخه شماره ششIP ، راهكاری در این زمینه است . چندین سال طول خواهد كشید تا سیستم فوق پیاده سازی گردد، چراكه می بایست تمامی زیرساخت های اینترنت تغییر واصلاح گردند.NAT با هدف كمك به مشكل فوق طراحی شده است .NAT به یك دستگاه اجازه می دهد كه بصورت یك  روتر عمل نماید. در این حالتNAT بعنوان یك آژانس بین اینترنت ( شبكه عمومی ) و یك شبكه محلی ( شبكه خصوصی ) رفتار نماید. این بدان معنی است كه صرفا" یكIP منحصر بفرد بمنظور نمایش مجموعه ای از كامپیوترها( یك گروه ) مورد نیاز خواهد بود.

كم بودن تعدادIP صرفا" یكی از دلایل استفاده ازNAT است .در ادامه به بررسی علل استفاده ازNATخواهیم پرداخت .

قابلیت های NAT

عملكردNAT مشابه یك تلفتچی در یك اداره بزرگ است . فرض كنید شما به تلفنچی اداره خود اعلام نموده اید  كه تماس های تلفنی مربوط به شما را تا به وی اعلام ننموده اید ، وصل  نكند . در ادامه  با  یكی ازمشتریان تماس گرفته  و برای وی پیامی گذاشته اید كه  سریعا"  با شما تماس بگیرد.  شما به تلفتچی اداره می گوئید كه منتظر تماس تلفن از طرف یكی از مشتریان هستم، در صورت تماس وی ، آن را به دفتر من وصل نمائید. در ادامه مشتری مورد نظر با اداره شما تماس گرفته و به تلفنچی اعلام می نماید كه قصد گفتگو با شما را دارد ( چراكه شما منتظر تماس وی هستید ). تلفنچی جدول مورد نظر خود را بررسی تا نام شما را در آن پیدا نماید. تلفنچی متوجه می شود كه شما تلفن فوق را درخواست نموده اید، بنابراین تماس مورد نظر به دفتر شما وصل خواهد شد.

NAT توسط شركت سیسكو و بمنظور استفاده در یك دستگاه ( فایروال ، روتر، كامپیوتر ) ارائه شده است .NAT بین یك شبكه داخلی و یك شبكه عمومی مستقر و شامل مدل ها ی  متفاوتی  است .

- NAT ایستا .

  عملیات مربوط به ترجمه یك آدرسIP غیر ریجستر شده ( ثبت شده ) به یك آدرسIP ریجستر شده را انجام می دهد. ( تناظر یك به یك ) روش فوق زمانیكه قصد استفاده از یك دستگاه را از طریق خارج از شبكه داشته باشیم، مفید و قابل استفاده است . در مدل فوق هموارهIP 192.168.32.10 بهIP 213.18.123.110 ترجمه خواهد شد.

-

NAT پویا

. یك آدرسIP غیر ریجستر شده را به یكIP ریجستر شده ترجمه می نماید. در ترجمه فوق از گروهی  آدرس هایIP ریجستر شده استفاده خواهد شد.

-

OverLoading

. مدل فوق شكل خاصی ازNAT پویا است . در این مدل چندینIP غیر ریجستر شده به یكIP ریجستر شده با استفاده ازپورت های متعدد، ترجمه خواهند شد. به روش فوقPAT)Port Address Translation) نیز گفته می شود.

-

Overlapping

. در روش فوق شبكه خصوصی از مجموعه ایIP ریجستر شده استفاده می كند كه توسط  شبكه دیگر استفاده می گردند.NAT می بایست آدرس های فوق را به آدرس هایIP ریجستر شده منحصربفرد ترجمه نماید.NAT همواره آدرس های یك شبكه خصوصی را به آدرس های ریجستر شده منحصر بفرد ترجمه می نماید.NAT همچنین آدرس های ریجستر شده عمومی را به آدرس های منحصر بفرد در یك شبكه خصوصی ترجمه می نماید. ( در هر حالت خروجیNAT ، آدرس هایIP منحصر بفرد خواهد بود. آدرس های فوق می تواند در شبكه های عمومی ریجستر شده جهانی باشند و در شبكه های خصوصی  ریجستر شده محلی باشند )

شبكه اختصاصی ( خصوصی ) معمولا" بصورت یك شبكهLAN می باشند . به این نوع شبكه ها كه از آدرس هایIP داخلی استفاده می نمایند حوزه محلی می گویند. اغلب ترافیك شبكه در حوزه محلی بصورت داخلی بوده و بنابراین ضرورتی به ارسال اطلاعات  خارج از شبكه را  نخواهد داشت . یك حوزه محلی می تواند دارای آدرس هایIP ریجستر شده و یا غیرریجستر شده  باشد. هر كامپیوتری كه از آدرس هایIP غیرریجستر شده استفاده می كنند، می بایست ازNAT بمنظور ارتباط با دنیای خارج از شبكه محلی استفاده نمایند.

NAT می تواند با استفاده از روش های متفاوت پیكربندی گردد. در مثال زیرNAT بگونه ای پیكربندی شده است كه بتواند آدرس های غیر ریجستر شدهIP ( داخلی و محلی ) كه بر روی شبكه خصوصی ( داخلی ) می باشند را به آدرس هایIP ریجستر شده ترجمه نماید.

- یكISP ( مركز ارائه دهنده خدمات اینترنت ) یك محدوده از آدرس هایIP را برای شركت شما در نظر می گیرد. آدرس های فوق ریجستر و منحصر بفرد خواهند بود . آدرس های فوقInside global نامیده می شوند. آدرس هایIP خصوصی و غیرریچستر شده به دو گروه عمده تقسیم می گردند : یك گروه كوچك كه توسطNAT استفاده شده(Outside local address) و گروه بزرگتری كه توسط حوزه محلی استفاده خواهند شد ( Inside local address) . آدرس هایOutside local بمنظور ترجمه به آدرس های منحصربفردIP استفاده می شوند.آدرس های منحصر بفرد فوق،outside global نامیده شده و اختصاص به دستگاههای موجود بر روی شبكه عمومی ( اینترنت) دارند.

- اكثر كامپیوترهای موجود در حوزه داخلی با استفاده از آدرس هایinside local با یكدیگر ارتباط برقرار می نمایند.

- برخی از كامپیوترهای موجود در حوزه داخلی كه نیازمند ارتباط دائم با خارج از شبكه باشند ،از آدرس هایinside global استفاده  و بدین ترتیب نیازی به ترجمه  نخواهند داشت .

- زمانیكه  كامپیوتر موجود در حوزه محلی  كه دارای یك آدرسinside local است، قصد ارتباط با خارج شبكه را داشته باشد بسته های اطلاعاتی وی در اختیارNAT قرار خواهد گرفت .

-NAT  جدول روتینگ خود را بررسی تا به این اطمینان برسد كه برای آدرس مقصد یكentry در اختیار دارد. در صورتیكه پاسخ مثبت باشد،NAT بسته اطلاعاتی مربوطه را ترجمه و یكentry برای آن ایجاد و آن را در جدول ترجمه آدرس(ATT) ثبت خواهد كرد. در صورتیكه پاسخ منفی باشد بسته اطلاعاتی دور انداخته خواهد شد.

- با استفاده از یك آدرسinside global  ، روتر بسته اطلاعاتی را به مقصد مورد نظر ارسال خواهد كرد.

-  كامپیوتر موجود در شبكه عمومی ( اینترنت )، یك بسته اطلاعاتی را برای شبكه خصوصی ارسال می دارد. آدرس مبداء بسته اطلاعاتی از نوعoutside global است . آدرس مقصد یك آدرسinside global است .

-NAT در جدول مربوطه به خود جستجو و آدرس مقصد را تشخیص و در ادامه آن را به  كامپیوتر موجود در حوزه داخلی نسبت خواهد كرد.

-NAT آدرس هایinside global بسته  اطلاعاتی را به آدرس هایinside local ترجمه و آنها را برای كامپیوتر مقصد ارسال خواهد كرد.

روشOverloading از یك ویژگی خاص پروتكلTCP/IP استفاده می نماید. ویژگی فوق این امكان را فراهم می آورد كه یك كامپیوتر قادر به پشتیبانی از چندین اتصال همزمان با یك و یا چندین كامپیوتر با استفاده از پورت های متفاوتTCP و یاUDP باشد.. یك بسته اطلاعاتیIP دارای یك هدر(Header) با اطلاعات زیر است :

آدرس مبداء . آدرس كامپیوتر ارسال كننده اطلاعات است .

پورت مبداء. شماره پورتTCP و یاUDP بوده كه توسط كامپیوتر مبداء به بسته اطلاعاتی نسبت داده شده است .

آدرس مقصد : آدرس كامپیوتر دریافت كننده اطلاعات است .

پورت مقصد. شماره پورتTCP و یاUDP بوده كه كامپیوتر ارسال كننده برای باز نمودن بسته اطلاعاتی برای گیرنده مشخص كرده است .

آدرس ها ، كامپیوترهای مبداء و مقصد  را مشخص كرده ،  در حالیكه شماره پورت این اطمینان را بوجود خواهد آورد كه ارتباط بین دو كامپیوتر دارای یك مشخصه منحصر بفرد است . هر شماره پورت از شانزده بیت استفاده می نماید.( تعداد پورت های ممكن 65536 (16 2 ) خواهد بود ) . عملا" از تمام محدوده پورت های فوق استفاده نشده و 4000 پورت بصورت واقعی استفاده خواهند شد.

NAT پویا و Overloading

نحوه كارNAT پویا بصورت زیر است :

- یك شبكه داخلی ( حوزه محلی) با استفاده از مجموعه ای از آدرس هایIP كه توسطIANA)Internet Assigned Numbers Authority) به شركت و یا موسسه ای اختصاص داده نمی شوند پیكربندی می گردد. ( سازمان فوق مسئول اختصاص آدرس هایIP در سطح جهان می باشد) آدرس های فوق بدلیل اینكه منحصربفرد می باشند، غیر قابل روتینگ نامیده می شوند.

- موسسه مربوطه یك روتر با استفاده از قابلیت هایNAT را پیكربندی می نماید. روتر دارای یك محدوده از آدرس هایIP منحصر بفرد بوده كه توسطIANA د ر اختیار موسسه و یا شركت مربوطه گذاشته شده است .

- یك كامپیوتر موجود بر روی حوزه محلی سعی درایجاد ارتباط با كامپیوتری خارج از شبكه ( مثلا" یك سرویس دهنده وب) را دارد.

- روتر بسته اطلاعاتی را از كامپیوتر موجود در حوزه محلی  دریافت می نماید.

- روتر آدرسIP غیرقابل روت  را در  جدول ترجمه آدرس ها ذخیره می نماید. روتر آدرسIP غیر قابل روت را با یك آدرس از مجموعه آدرس های منحصر بفرد جایگزین می نماید. بدین ترتیب جدول ترجمه، دارای یك رابطه ( معادله ) بین آدرسIP غیرقابل روت با یك آدرسIP منحصر بفرد خواهد بود.

- زمانیكه یك بسته اطلاعاتی از كامپیوتر مقصد مراچعت می نماید، روتر آدرس مقصد بسته اطلاعاتی را بررسی خواهد كرد.بدین منظور روتر در جدول آدرسهای ترجمه شده جستجو تا از كامپیوتر موجود در حوزه محلی كه بسته اطلاعاتی به آن تعلق دارد، آگاهی پیدا نماید.روتر آدرس مقصد بسته اطلاعاتی را تغییر ( از مقادیر ذخیره شده قبلی استفاده می كند ) و آن را برای كامپیوتر مورد نظر ارسال خواهد كرد. در صورتیكه نتیجه جستجو در جدول، موفقیت آمیز نباشد، بسته اطلاعاتی دور انداخته خواهد شد.

- كامپیوتر موجود در حوزه  ، بسته اطلاعاتی را دریافت می كند. فرآیند فوق مادامیكه كامپیوتر با سیستم خارج از شبكه  ارتباط دارد، تكرار خواهد شد.

نحوه كارOverloading پویا بصورت زیر است :

-یك شبكه داخلی ( حوزه محلی) با استفاده از مجموعه ای از آدرس هایIP كه توسطIANA)Internet Assigned Numbers Authority) به شركت و یا موسسه ای اختصاص داده نمی شوند پیكربندی می گردد. آدرس های فوق بدلیل اینكه منحصربفرد می باشند غیر قابل روتینگ نامیده می شوند.

-موسسه مربوطه یك روتر را با استفاده از قابلیت هایNAT ، پیكربندی می نماید. روتر دارای یك محدوده از آدرس هایIP منحصر بفرد بوده كه توسطIANA د ر اختیار موسسه و یا شركت مربوطه گذاشته شده است .

-یك كامپیوتر موجود بر روی حوزه داخلی ، سعی درایجاد ارتباط با كامپیوتری خارج از شبكه( مثلا" یك سرویس دهنده وب) را دارد.

-روتر بسته اطلاعاتی را از كامپیوتر موجود در حوزه داخلی دریافت می نماید.

-روتر آدرسIP غیرقابل روت و شماره پورت را در  جدول ترجمه آدرس ها ذخیره می نماید. روتر آدرسIP غیر قابل روت را با یك آدرس منحصر بفرد جایگزین می نماید. روتر شماره پورت كامپیوتر ارسال كننده را با شماره پورت اختصاصی خود جایگزین و آن را در محلی ذخیره تا  با آدرس كامپیوتر ارسال كننده اطلاعات ، مطابقت نماید.

- زمانیكه یك بسته اطلاعاتی از كامپیوتر مقصد مراچعت می نماید ، روتر پورت مقصد بسته اطلاعاتی را بررسی خواهد كرد.بدین منظور روتر در جدول آدرس های ترجمه شده جستجو تا از كامپیوتر موجود در حوزه داخلی كه بسته اطلاعاتی به آن تعلق دارد آگاهی پیدا نماید.روتر آدرس مقصد بسته اطلاعاتی و شماره پورت را تغییر ( از مقادیر ذخیره شده قبلی استفاده می كند ) و آن را برای كامپیوتر مورد نظر ارسال خواهد كرد. در صورتیكه نتیجه جستجو در جدول ، موفقیت آمیز نباشد بسته اطلاعاتی دور انداخته خواهد شد.

- كامپیوتر موجود در حوزه داخلی ، بسته اطلاعاتی را دریافت می كند. فرآیند فوق مادامیكه كامپیوتر با سیستم خارج از شبكه  ارتباط دارد، تكرار خواهد شد.

- با توجه به اینكهNAT  آدرس كامپیوتر مبداء و پورت مربوطه آن را در جدول ترجمه آدرس ها ذخیره شده دارد، مادامیكه ارتباط فوق برقرار باشد از شماره پورت ذخیره شده ( اختصاص داده شده  به بسته اطلاعاتی ارسالی) استفاده خواهد كرد. روتر دارای یكTimer بوده وهر بار كه یك آدرس از طریق آن استفاده می گرددreset می گردد.در صورتیكه در مدت زمان مربوطه (Timer صفر گردد ) به اطلاعات ذخیره شده درNAT مراجعه ای نشود،  اطلاعات فوق ( یك سطر از اطلاعات ) از داخل جدول حذف خواهند شد.

در صورتیكه برخی ازكامپیوترهای موجود در شبكه خصوصی از آدرس هایIP اختصاصی خود استفاده می نمایند ، می توان یك لیست دستیابی از آدرس هایIP را ایجاد تا به روتر اعلام نماید كه كدامیك از كامپیوترهای موجود در شبكه بهNAT نیاز دارند.

تعداد ترجمه های همزمانی كه یك روتر می تواند انجام دهد، ارتباط مستقیم با حافظه اصلی سیستم دارد. با توجه به اینكه در جدول ترجمه آدرس هرentry صرفا" 160 بایت را اشغال خواهد كرد، یك روتر با 4 مگابایت حافظه قادر به پردازش 26.214 ترجمه همزمان است. مقدار فوق برای اغلب موارد كافی بنظر می آید.

IANA  محدوده ای از آدرس هایIP را كه غیرفابل روت بوده و شامل آدرس های داخلی شبكه هستند مشخص نموده است .آدرس های فوق غیرریجستر شده می باشند.. هیچ شركت و یا آژانسی نمی تواند ادعای مالكیت آدرس های فوق را داشته باشد و یا آنها را در شبكه های عمومی ( اینترنت ) استفاده نماید. روترها بگونه ای طراحی شده اند كه آدرس های فوق را عبور(Forward) نخواهند كرد.

Range 1: Class A - 10.0.0.0       through 10.255.255.255

Range 2: Class B - 172.16.0.0    through 172.31.255.255

Range 3: Class C - 192.168.0.0  through 192.168.255.255

امنیت

همزمان با پیاده سازی یكNAT پویا، یك فایروال بصورت خودكار بین شبكه داخلی و شبكه های خارجی ایجاد می گردد.NAT صرفا" امكان ارتباط به كامپیوترهائی را كه در حوزه داخلی می باشند را خواهد داد. این بدان معنی است كه یك كامپیوتر موجود در خارج از شبكه داخلی ، قادر به  ارتباط مستقیم با یك كامپیوتر موجود در حوزه داخلی  نبوده ،  مگر اینكه ارتباط فوق توسط كامپیوتر شما مقدار دهی اولیه ( هماهنگی های اولیه از بعد مقداردهی آدرس های مربوطه ) گردد. شما براحتی قادر به استفاده از اینترنت  دریافت فایل و ... خواهید بود ولی افراد خارج از شبكه نمی توانند با استفاده از آدرسIP شما، به كامپیوتر شما متصل گردند.NAT ایستا ، امكان برقراری  ارتباط با یكی از كامپیوترهای موجود در حوزه داخلی توسط  دستگاههای موجود در  خارج از شبكه را ،  فراهم می نمایند. برخی از روترهای مبتنی برNAT امكان فیلترینگ و ثبت ترافیك را ارائه می دهند. با استفاده از فیلترینگ می توان سایت هائی را كه پرسنل یك سازمان از آنها  استفاده می نمایند را كنترل كرد.با ثبت ترافیك یك سایت می توان از سایت های ملاقات شده توسط كاربران آگاهی و گزارشات متعددی را بر اساس اطلاعات ثبت شده  ایجاد كرد.

NAT دربرخی موارد  با سرویس دهندگانProxy ، اشتباه در نظر گرفته می شود.NAT وProxy دارای تفاوت های زیادی می باشند.NAT  بی واسطه بین كامپیوترهای مبداء و مقصد قرار می گیرد.Proxy بصورت بی واسطه نبوده و پس از استقرار بین كامپیوترهای مبداء و مقصد تصور هر یك از كامپیوترهای فوق را تغییر خواهد داد.  كامپیوتر مبداء می داند كه درخواستی را ازProxy داشته و می بایست بمنظور انجام عملیات فوق ( درخواست ) پیكربندی گردد. كامپیوتر مقصد فكر می كند كه سرویس دهندهProxy بعنوان كامپیوتر مبداء می باشد.Proxy در لایه چهارم(Transport) و یا بالاتر مدلOSI ایفای وظیفه می نماید در صورتیكهNAT در لایه سوم(Network)  فعالیت می نماید.Proxy ، بدلیل فعالیت در لایه بالاتر در اغلب موارد  ازNAT كندتر است  .

برگرفته از سایت www.srco.ir

شبكه های بدون كابل

اینترنت میان سیاره ای

INTERPLANETARY INTERNET

با پیشرفت صنعت هوافضا، سفر انسان به کره مریخ در قرن بیست و یکم دور از انتظار نیست. اما چگونگی برقراری ارتباط با فضانوردان برفراز مریخ سؤالی است که ذهن متخصصان ارتباطات فضایی را به خود مشغول کرده است. دانشمندان، مهندسین و برنامه نویسان مدتی است که بر روی اینترنت میان سیاره ای کار می کنند تا امکان ارتباط آسان با فضانوردان وجود داشته باشد و ارسال اطلاعات بیشتری به زمین ممکن شود.

اینترنت میان سیاره ای

امروزه به لطف اینترنت و پیشرفت‌های صورت گرفته در ارتباطات الکترونیک می توانیم در یک چشم بر هم زدن با دور افتاده ترین نقاط کره زمین هم به راحتی ارتباط برقرار کنیم. در دهکده جهانی، همه نقاط دنیا به اندازه یک کلیک از هم فاصله دارند و دیگر مثل سابق، فاصله، یک محدودیت محسوب نمی شود. اکنون با حل مشکل فاصله‌های زمینی، دانشمندان و فضانوردان به دنبال راهی برای برقراری همین ارتباط پرسرعت با کرات و دیگر سیاره‌های منظومه شمسی هستند. فاصله بعدی اینترنت در سال های آتی احتمالاً ما را به اعماق دور دست منظومه شمسی خواهد برد تا سیستمی ارتباطی برای سفر انسان به مریخ و دیگر سیاره‌ها پایه گذاری کنیم.

علیرغم سرعت روزافزون ارتباطات الکترونیک در زمین، امروزه ارتباطات در فضا با سرعت حلزون پیش می رود! و دلایل متعددی برای این امر وجود دارند:

فاصله نور باید میلیون ها کیلومتر در فضا سفر کند، در صورتی که فاصله بین گیرنده و فرستنده در زمین تنها چند هزار کیلومتر است.

موانع فضایی: میلیون‌ها مانع ناشناخته در فضا وجود دارد و هر چیزی که میان فرستنده و گیرنده سیگنال ها قرار بگیرد یا مسیر را مسدود کند، می تواند باعث اختلال در ارتباط شود.

وزن: آنتن های قدرتمندی که می توانند ارتباط با اعماق فضا را تقویت کنند، معمولاً سنگین هستند و امکان ارسال آنها به فضا وجود ندارد.

به هم متصل کردن منظومه شمسی!

با نگاهی دقیق تر به مأموریت فضاپیمای راهیاب مریخ در سال 1997 در می یابیم که فضا پیماها برای ارتباط با زمین از اعماق فضا به ارتباط ویژه ای نیاز دارند. در مأموریت راهیاب، داده ها با سرعت 300 بیت در ثانیه به زمین ارسال می شد. این در صورتی است که کامپیوترهایمان می توانند حداقل 200 برابر این میزان داده را در ثانیه منتقل کنند. در صورت راه اندازی اینترنت بین مریخ و زمین، داده ها احتمالاً با سرعت 11000 بیت در ثانیه منتقل خواهند شد. این سرعت همچنان از سرعت در روی زمین پایین تر است ولی برای ارسال تصاویری با جزئیات بیشتر از سطح کره مریخ تخمین می زنند که با آغاز فعالیت این شبکه، سرعت انتقال به تدریج تا یک مگابایت (608, 288,8 بیت) در ثانیه افزایش می یابد و همگان می توانند هر وقت که بخواهند به مریخ سفر مجازی داشته باشند.

اینترنت میان سیاره ای در حقیقت نسخه ای از اینترنت زمینی در مقیاسی عظیم تر و با زیرساختی تکامل یافته تر می باشد. سه جزء اولیه این اینترنت به ترتیب زیر می باشند:

? DEEP SPACE NETWORK (DSN) ناسا

? شش ماهواره کوچک که دور کره مریخ قرار می گیرند

? یک پروتکل جدید برای انتقال داده ها

DSN:

شبکه بین المللی DSN متعلق به ناسا و از چندین آنتن عظیم تشکیل شده است. از این آنتن ها برای کنترل حرکت فضاپیماهای ناسا استفاده می شود و به گونه ای طراحی شده اند که امکان ارتباط مداوم رادیویی با فضاپیماها را فراهم می کنند. ناسا تجهیزات این شبکه عظیم را در سه سایت مختلف در کالیفرنیا، استرالیا و اسپانیا مستقر کرده است. در هر یک از سایت ها یک آنتن 34 متری با دقت بالا، یک آنتن 34 متری برای هدایت پهنای امواج (در کالیفرنیا سه عدد از این نوع آنتن مستقر است)، یک آنتن 26 متری، یک آنتن 70 متری و یک آنتن 11 متری وجود دارد.

طبق برنامه ریزی های صورت گرفته، قرار است DSN به عنوان پل ارتباطی زمین به شبکه اینترنت میان سیاره ای عمل کند.

پروتکل جدید برای انتقال داده ها:

برنامه نویسان آزمایشگاه JPL ناسا، بر روی طراحی پروتکل جدیدی برای ارسال فایل ها در فواصل طولانی بین سیاره ها و سفینه های فضایی کار می کنند. این پروتکل مانند پروتکل اینترنت (IP) و پروتکل کنترل انتقالات (TCP) به عنوان زیربنای کلی سیستم عمل خواهد کرد. همان طور که می دانید IP و TCP در دهه هفتاد توسط دکتر CERF و همکارانش ایجاد شدند و امروزه به عنوان سیستم پیغام رسانی اینترنت زمینی عمل می کنند. این پروتکل ها، پیغام های ارسالی را به بسته های متشکل از واحد های کوچک داده می شکنند و سپس آنها را به مقصد مورد نظر ارسال می کنند.

مهم ترین عامل در طراحی یک پروتکل فضایی سازگاری آن با تأخیرهای ناشی از انتقال داده در فضا می باشد. هدف گروه این است که با راه اندازی پروتکل جدید، حتی در صورت گم شدن تعدادی از بسته‌های داده در حین انتقال، خللی به کارایی کلی اینترنت وارد نشود. این پروتکل همچنین باید بتواند پارازیت های دریافتی به هنگام عبور از میلیون ها کیلومتر فضا را فیلتر کند. یکی از پروتکل های پیشنهادی PARCEL TRANSFER PROTOCOL نام دارد که داده ها را در پایگاه ورودی هر سیاره ذخیره و سپس ارسال می کند. این پروتکل باید درخواست اطلاعاتی که برای پایگاه ارسال شده را پردازش کرده و آن را به مقصد مورد نظرش ارسال کند. پس از آن اطلاعات را به همان مسیری که تقاضا از آن ارسال شده می فرستد.

مشکلات نجومی!

راه‌اندازی اینترنت میان سیاره‌ای، سرعت انتقال داده بین زمین و کاوشگرهایی که میلیون ها کیلومتر از زمین فاصله دارند را به میزان قابل توجهی افزایش خواهد داد. اما قبل از اینکه بتوانیم برای سفرهای مجازی مان به مریخ برنامه ریزی کنیم، تیم محققان پروژه باید بر مشکلات و محدودیت های فراوانی غلبه کنند. بزرگ ترین این محدودیت ها عبارتند از:

? تأخیر در سرعت حرکت نور

? نگهداری از ماهواره ها

? امکان حملات هکرها

تأخیر در سرعت حرکت نور

برخلاف فواصل نزدیک زمینی فاصله بین یک ایستگاه فضایی بر روی زمین و مریخ می تواند بین 56 میلیون کیلومتر (38 میلیون مایل) باشد. با چنین فواصلی یک سیگنال رادیویی ممکن است ساعت ها برای رسیدن به مقصد ش در راه باشد! گرچه اینترنت بین سیاره‌ای نمی تواند برای کاهش فاصله ها معجزه کند ولی روش ذخیره و ارسال داده ها به صورت بسته، خطر از دست دادن آنها به خاطر تأخیرهای ناشی از مسافت را به میزان چشم گیری کاهش می دهد.

نگهداری از ماهواره ها

تعمیر و عیب یابی ماهواره هایی که باید در مدار مریخ نصب شوند، خیلی مشکل خواهد بود. به همین جهت اجزاء و قطعات این ماهواره ها باید در مقایسه با ماهواره هایی که در مدار زمین می چرخند از کیفیت بسیار بالاتری برخوردار باشند.

حملات هکری

شاید خطرهک شدن شبکه ارتباطی میان دو سیاره(!) برای خیلی ها دور از نظر و عجیب باشد! اما متأسفانه هکرها با افتخار در تمامی عرصه ها حضور دارند و حتی قبل از راه اندازی این اینترنت پیشاپیش بزرگ ترین خطر برای آن محسوب می شوند. پروتکل فضایی باید برخلاف پروتکل هایی که برای اینترنت ابداع شده در مقابل هکرها نفوذناپذیر باشد. تیم برنامه نویسان با نیم نگاهی به پروتکل لایه SSL (SECURE SOCKETS LAYER) که برای نقل و انتقالات مالی در اینترنت استفاده می شود قصد دارند از آن به عنوان مدلی برای حفظ امنیت در اینترنت میان سیاره ای استفاده کنند، اما تحقیقاتشان در این زمینه همچنان ادامه دارد.

علیرغم تمامی مشکلات، احتمال اینکه تا ده سال آینده با اینترنت میان سیاره ای به مریخ متصل شویم خیلی زیاد است. دانشمندان قصد دارند پس از راه اندازی شبکه مریخ، رفته رفته تمام منظومه شمسی را به هم وصل کنند. به این ترتیب در سال های آتی دیگر برای کاوش در فضا نیازی به سفرهای خطرناک فضانوردان در اعماق فضا نخواهد بود، فضا از صفحه مانیتورمان برای همگان در دسترس خواهد بود! احتمال اینکه در آینده از سفر مجازی به جزایر قناری خسته شویم و در عوض از کوه های مریخ، حلقه های زحل و خال عظیم بر روی سیاره مشتری (ژوپیتر) دیدن کنیم آنقدرها هم بعید نیست!

منبع : نشریه اینترنت

شبكه های خصوصی مجازی

 در امان از دید نامحرمان

آسیب پذیریLSASS در مایكروسافت ویندوز

LSASS vulnerability in Microsoft Windows

آسیب پذیری سرریز شدن بافر، درLSASS وجود دارد كه منجر به اجرای كد از راه دور بر روی سیستم آسیب دیده می شود. حمله گری كه از این آسیب پذیری به طور موفقیت آمیزی استفاده می نماید، می تواند كنترل كاملی از سیستم بدست آورد.

توضیحاتی چند درباره آسیب پذیری LSASS

محدوده آسیب پذیری چیست؟

آسیب پذیریLSASS، آسیب پذیری سرریز بافر می باشد. حمله گری كه به طور موفقیت آمیز از این آسیب پذیری استفاده نماید، می تواند كنترل كاملی از سیستم آسیب دیده را بدست آورد، مثلا می تواند كارهایی چون نصب برنامه ها، مرور، تغییر و حذف داده ها، یا شناسه هایی با اجازه های دستیابی كامل را ایجاد نماید. (جدول 1)

چه چیزی آسیب پذیری را ایجاد می نماید؟

بافر كنترل نشده ای در سرویسLSASS، آنرا ایجاد می كند.

LSASS چیست؟

Local Security Authority Subsystem Service (LSASS) واسطی را برای مدیریت محلی امنیت، تصدیق اصالت دامنه، و پردازه های دایركتوری فعال ایجاد می نماید.LSASS، تصدیق اصالتی را برای كاربر و برای سرور ایجاد می كند. همچنین ویژگیهایی برای پشتیبانی از برنامه های دایركتوری فعال دارد.

حمله گر ممكن است از چه چیزی بر علیه آسیب پذیریاستفاده نماید؟

حمله گری كه به طور موفقیت آمیزی از آسیب پذیری استفاده نماید، می تواند كنترل كامل سیستم آسیب دیده را بدست آورد.

حمله گر چگونه از آسیب پذیری استفاده می نماید؟

در ویندوز 2000 وXP، هر كاربر بدون نامی كه بتواند پیغامی را به سیستم آسیب دیده ارسال كند، می تواند از این آسیب پذیری استفاده نماید.

حمله گر چگونه از آسیب پذیری استفاده می نماید؟

حمله گر می تواند پیغام خاصی را ایجاد نماید و آنرا به سیستم آسیب دیده ارسال نماید، و سپس منجر به اجرای كد بر روی سیستم آسیب دیده گردد. همچنین حمله گر می تواند به صورت محاوره ای به درون سیستمlogin نماید و پارامترها را به اجزاء آسیب دیده ارسال نماید.

جدول 1- درباره آسیب پذیریLSASS

عوامل تسكین دهنده آسیب پذیری LSASS

فقط ویندوز 2000 وXP می توانند توسط كاربر بدون نام (anonymous) راه دور مورد حمله قرار گیرند. درحالیكه ویندوز سرور 2003 و ویندوزXP، 64 بیتی نسخه 2003 آسیب پذیر می باشند، فقط توسط كاربر محلی مورد سوء استفاده قرار می گیرند.ویندوزNT 4.0 آسیب پذیر نمی باشند.بهترین تمرینات دیوار آتش و پیكربندی استاندارد پیش فرض دیوار آتش از شبكه ها در برابر حملاتی كه از خارج از سازمان نشات می گیرند، محافظت می كند. توصیه می شود كه سیستمهایی كه به اینترنت متصلند، پورتهای باز كمی داشته باشند.

راههای بهبود آسیب پذیری LSASS

راه حلهای ذیل توسط مایكروسافت پیشنهاد شده است. در حالیكه این راه حلها آسیب پذیر را اصلاح نمی نماید، بلوكهای حمله شناخته شده را اصلاح می نماید.

فایلی به نام%systemroot%/debug/dcpromo.log را ایجاد نمایید و فایل را فقط خواندنی نمایید. برای انجام چنین كاری دستور ذیل را تایپ نمایید:

Echodcpromo >%systemroot%/debug/dcpromo.log & attrib +r %systemroot%/debug/dcpromo.log

لازم به ذكر است كه این تكنیك مفیدترین تكنیك می باشد زیراكه این آسیب پذیری را تخفیف می دهد چون اجازه نمی دهد كه كد آسیب پذیر هیچگاه اجرا گردد. این اقدام برای همه بسته های ارسال شده به پورتهای آسیب پذیر كارساز می باشد.

از دیوار آتش شخصی، مانندICF، كه به همراه ویندوزXP و ویندوز سرور 2003 می باشد، استفاده نمایید.

اگر ازICF در ویندوزXP یا ویندوز سرور 2003 استفاده می نمایید، به طور پیش فرض ترافیك وارد شوند بلوكه می گردد. مایكروسافت توصیه می كند كه همه ترافیك وارد شونده را بلوكه نمایید.

موارد ذیل را بر روی دیوار آتش بلوكه نمایید:پورتهایUDP 135، 137، 138، و 445 و پورتهایTCP 135، 139، 445 و 593.همه ترافیك وارد شونده بر روی پورتهای بزرگتر از 1024.همه پورتهایRPC كه به طور خاص پیكربندی شده اند.

این پورتها برای آغازین دهی اتصال باRPC بكار می روند. با بلوكه شدن این پورتها در دیوار آتش، مانع از این می شوند كه از این آسیب پذیری استفاده گردد. همچنین مطمئن شوید كه همه پورتهایRPC بر روی سیستم راه دور بلوكه می گردند.

فیلترینگ پیشرفتهTCP/IP را برای بلوكه كردن ترافیك وروردی ناخواسته فعال نمایید.پورتهای آسیب دیده را با بكارگیریIPSec بر روی سیستمهای آسیب دیده بلوكه نمایید.

ازIPSec برای حفاظت از اتصالات شبكه استفاده نمایید.

تهیه كننده: طلا تفضلی

فناوری بی سیم قدرت خود را به رخ جهانیان می كشد