زیر ساخت اینترنت

اینترنت از مجموعه ای  شبكهكامپیوتری ( بزرگ ، كوچك ) تشكیل شده  است . شبكه های فوق با روش های متفاوتی بیكدیگر متصل و موجودیت واحدی با نام "اینترنت " را بوجود آورده اند. نام در نظر گرفته شده برای شبكه فوق از تركیب واژه های " Inter connected " و " Net work " انتخاب شده است . ( شبكه های بهم مرتبط )

اینترنت فعالیت اولیه خود را از سال 1969 و با چهار دستگاه كامپیوتر میزبان ( host ) آغاز و پس از رشد باورنكردنی خود ، تعداد كامپیوترهای میزبان در شبكه به بیش از ده ها میلیون دستگاه رسیده است . اینترنت به هیچ سازمان و یا موسسه خاصی در جهان تعلق ندارد. عدم تعلق اینترنت به یك سازمان ویا موسسه بمنزله عدم وجود سازمانها و انجمن های مربوطه برای استانداردسازی نیست .یكی از این نوع انجمن ها، "انجمن اینترنت " است كه در سال 1992 با هدف تبین سیاست ها و پروتكل های مورد نظر جهت اتصال به شبكه تاسیس شده است.

سلسله مراتب شبكه های كامپیوتری

هر كامپیوتری كه به شبكه اینترنت متصل می گردد ، بخشی از شبكه تلقی می گردد. مثلا" می توان با استفاده از تلفن ( منزل ) به یك مركز ارائه دهنده خدمات اینترنت ( ISP ) متصل و از اینترنت استفاده كرد. در چنین حالتی كامپیوتر مورد نظر بعنوان بخشی از شبكه بزرگ اینترنت محسوب خواهد شد. .برخی از كاربران در ادارات خود و با استفاده از بستر  ایجاد شده ، به اینترنت متصل می گردند. در مدل فوق ، كاربران  در ابتدا از شبكه محلی نصب شده در سازمان استفاده می نمایند. شبكه فوق  با استفاده از خطوط مخابراتی خاص و یا سایر امكانات مربوطه به یك مركز ارائه دهنده خدمات اینترنت متصل شده است . مركز ارائه دهنده خدمات اینترنت نیز ممكن است به یك شبكه بزرگتر متصل شده باشد. اینترنت ، شبكه ای است  كه از شبكه های بیشماری تشكیل شده است ( شبكه ای از سایر شبكه ها )

كثر شركت های مخابراتی بزرگ دارای ستون فقرات اختصاصی  برای ارتباط ناحیه های متفاوت می باشند. در هر ناحیه ، شركت مخابراتی دارای یك " نقطه حضور " ( POP : Point of Presence ) است . POP ، مكانی است كه كاربران محلی با استفاده از آن به شبكه شركت مخابراتی متصل می گردند. ( بمنظور ارتباط با شبكه از خطوط تلفن معمولی و یا خطوط اختصاصی استفاده می گردد).در مدل فوق ، چندین  شبكه سطح بالا وجود داشته كه توسط " نقاط دستیابی شبكه " ( NAP : Network Access Points ) به یكدیگر مرتبط می گردند.

فرض كنید ، شركت A یك مركزارائه دهنده خدمات اینترنت بزرگ باشد . در هر شهرستان اصلی ، شركت A دارای یك POP است . هر یك از POP ها دارای امكانات گسترده ای بمنظور تماس كاربران محلی می باشند .شركت A بمنظور اتصال POP ها بیكدیگر و شركت، از خطوط اختصاصی فیبر نوری استفاده می نماید. .فرض كنید شركت B ، یك مركز ارائه دهنده خدمات اینترنت همكار باشد.شركت B ، ساختمانهای بزرگی را در شهرهای اصلی ایجاد و ماشین های سرویس دهنده اینترنت را در آنها مستقر نموده است . شركت B از خطوط اختصاصی فیبر نوری برای ارتباط ساختمانهای استفاده می نماید. در مدل فوق ، تمام مشتركین شركت A قادر به برقراری ارتباط با یكدیگر خواهند بود. وضعیت مشتركین شركت B نیز مشابه مشتركین شركت A است . آنها نیز قادر به برقراری ارتباط با یكدیگر خواهند بود. در چنین حالتی امكان برقراری ارتباط بین مشتركین شركت A و مشتركین شركت B وجود ندارد. بدین منظور شركت های A و B تصمیم می گیرند از طریق  NAP در شهرهای متفاوت بیكدیگر متصل گردند. ترافیك موجود بین دو شركت از طریق شبكه های داخلی و NAP انجام خواهد شد.

در اینترنت ، هزاران مركز ارائه دهنده سرویس اینترنت بزرگ از طریق NAP در شهرهای متفاوت بیكدیگر متصل می گردند. در نقاط فوق ( NAP ) روزانه میلیاردها بایت اطلاعات جابجا می گردد. اینترنت ، مجموعه ای از شبكه های بسیار بزرگ بوده كه تمام آنها از طریق NAP بیكدیگر مرتبط می گردند. در چنین حالتی هر كامپیوتر موجود در اینترنت قادر به ارتباط با سایر كامپیوترهای موجود در شبكه خواهد بود.

تمام شبكه های كامپیوتری از طریق  NAP   ، ستون فقرات ایجاد شده و روتر قادر به ارتباط بایكدیگر خواهند بود. پیام ارسالی توسط یك كاربر اینترنت از چندین شبكه متفاوت عبور تا به كامپیوتر مورد نظر برسد. فرآیند فوق در كمتر از یك ثانیه انجام خواهد شد.

روتر، مسیریك بسته اطلاعاتی ارسالی توسط یك كامپیوتر برای كامپیوتر دیگر را تعیین می كند. روترها كامپیوترهای خاصی می باشند كه پیام های ارسال شده توسط كاربران اینترنت با وجود هزاران مسیر موجود را مسیریابی و در اختیار دریافت كنندگان مربوطه قرار خواهد داد. روتر دو كار اساسی را در شبكه انجام می دهد :

ایجاد اطمینان در رابطه با عدم ارسال اطلاعات به مكانهائی كه به آنها نیاز نمی باشد. اطمینان از ارسال صجیح اطلاعات به مقصد مورد نظر

روترها بمنظور انجام عملیات فوق ، می بایست دو شبكه مجزا را بیكدیگر متصل نمایند. روتر باعث ارسال اطلاعات یك شبكه به شبكه دیگر  ،  حفاظت شبكه ها از یكدیگر و پیشگیری از ترافیك می گردد. با توجه به اینكه اینترنت از هزاران شبكه كوچكتر تشكیل شده است ، استفاده از روتر یك ضرورت است .

در سال 1987 موسسه NSF ، اولین شبكه با ستون فقرات پر سرعت را ایجاد كرد. شبكه فوق NSFNET نامیده شد. در این شبكه از یك خط اختصاصی T1 استفاده و  170 شبكه كوچكتر بیكدیگر متصل می گردیدند. سرعت شبكه فوق 1.544 مگابیت در ثانیه بود. در ادامه شركت های IBM ، MCI و Merit ، شبكه فوق را توسعه و ستون فقرات آن را به  T3    تبدیل كردند( 45 مگابیت در ثانیه ) . برای ستون فقرات شبكه از خطوط فیبرنوری  ( fiber optic trunk )  استفاده  گردید.هر trunk از چندین كابل فیبرر نوری تشكیل می گردد( بمنظور افزایش ظرفیت) .

پروتكل اینترنت

هر ماشین موجود در اینترنت دارای یك شماره شناسائی منحصر بفرد است.  این شماره شناسائی ، آدرس IP ) Internet Protocol )  نامیده می گردد.  پروتكل فوق مشابه یك زبان ارتباطی مشترك برای گفتگوی كامپیوترهای موجود در اینترنت است .  پروتكل ، به مجموعه قوانینی اطلاق می گردد كه با استناد به آن گفتگو و تبادل اطلاعاتی  بین دو كامپیوتر میسر خواهد شد. IP دارای فرمتی بصورت :211.27.65.138 است . بخاطر سپردن آدرس های IP بمنظور دستیابی به كامپیوتر مورد نطر، مشكل است . بدین منظور هر  كامپیوتر دارای  نام انحصاری خود شده و از طریق سیستمی دیگر ، آدرس IP به نام درنظر گرفته شده برای  كامپیوتر ، نسبت داده می شود.

در آغاز شكل گیری اینترنت ، تعداد كامپیوترهای موجود در شبكه بسیار كم بود و هر كاربر كه قصد استفاده از شبكه را داشت ، پس از اتصال به شبكه از آدرس IP كامپیوتر مورد نظر برای برقراری ارتباط استفاده می كرد. روش فوق مادامیكه تعداد كامپیوترهای میزبان كم بودند، مفید واقع گردید ولی همزمان با افزایش تعداد كامپیوترهای میزبان در شبكه اینترنت ، كارآئی روش فوق بشدت افت و غیرقابل استفاده گردید. بمنظور حل مشكل فوق از یك فایل ساده متنی كه توسط " مركز اطلاعات شبكه " ( NIC ) پشتیبانی می گردید ، استفاده گردید.بموازات رشد اینترنت و ورود كامپیوترهای میزبان بیشتر در شبكه ، حجم فایل فوق افزایش و بدلیل سایر مسائل جانبی ، عملا" استفاده از روش فوق برای برطرف مشكل "تبدیل نام به آدرس " فاقد كارآئی لازم بود. درسال 1983 ، سیستم DNS(Domain Name System ) ارائه گردید. سیستم فوق  مسئول تطبیق نام به آدرس، بصورت اتوماتیك است . بدین ترتیب كاربران اینترنت بمنظور اتصال به یك كامپیوتر میزبان ، صرفا" می تواتند نام آن را مشخص كرده و با استفاده از DNS ، آدرس IP مربوطه آن مشخص تا زمینه برقراری ارتباط فراهم گردد.

منظور از " نام" چیست ؟

در زمان استفاده از وب و یا ارسال یك E-Mail از یك "نام حوزه" استفاده می گردد. مثلا" URL ) Uniform Resource Locator ) مربوط به http://www.oursite.com   شامل " نام حوزه " oursite.com است . در زمان استفاده از  "نام حوزه " ، می بایست از سرویس دهندگان DNS بمنظور ترجمه نام به آدرس  استفاده شود.  سرویس دهندگان DNS درخواست هائی را از برنامه ها و یا سایر سرویس دهندگان DNS بمنظور تبدیل نام به آدرس دریافت می نمایند.  سرویس دهنده DNS در زمان دریافت یك درخواست ، بر اساس یكی از روش های زیر با آن برخورد خواهد كرد :

قادر به پاسخ دادن به درخواست است. IP مورد نظر برای نام درخواست شده را می داند . قادر به ارتباط با یك سرویس دهنده DNS دیگر بمنظور یافتن آدرس IP نام درخواست شده است.( عملیات فوق ممكن است تكرارگردد) اعلام " عدم آگاهی از آدرس IP درخواست شده " و مشخص كردن آدرس IP   یك سرویس دهنده DNS دیگر كه آگاهی بیشتری دارد. ارائه یك پیام خطاء در رابطه با عدم یافتن آدرس برای نام درخواست شده

فرض نمائید ، آدرس http://www.oursite.com   در برنامه مرورگر ( IE )  تایپ شده باشد.  مرورگر با یك سرویس دهنده DNS بمنظور دریافت آدرس IP ارتباط برقرار می نماید. سرویس دهنده DNS عملیات جستجو برای یافتن آدرس IP را از یكی از سرویس دهندگان DNS سطح ریشه ، آغاز می نماید. سرویس دهندگان ریشه، از آدرس های IP تمام سرویس دهندگان DNS   كه شامل بالاترین سطح نامگذاری حوزه ها ( COM ، NET ، ORG و ...)  آگاهی دارند. سرویس دهنده DNS ، درخواست آدرس http://www.oursite.com  را نموده و سرویس دهنده ریشه  اعلام می نماید كه " من آدرس فوق را نمی دانم ولی آدرس IP مربوط به سرویس دهنده COM این است ". در ادامه سرویس دهنده DNS شما با سرویس دهنده DNS مربوط به حوزه COM ارتباط و درخواست آدرس IP سایت مورد نظر را می نماید .سرویس دهنده فوق آدرس های IP مربوط به سرویس دهنده ای كه قادر به در اختیار گذاشتن آدرس IP سایت مورد نظر است را در اختیار سرویس دهنده DNS شما قرار خواهد داد. در ادامه سرویس دهنده DNS با سرویس دهنده DNS مربوطه تماس و درخواست آدرس IP سایت مورد نطر را  می نماید ، سرویس دهنده DNS   آدرس IP سایت درخواست شده را در اختیار سرویس دهنده DNS شما قرار خواهد داد. با مشخص شده آدرس IP سایت مورد نظر ، امكان اتصال به سایت فراهم خواهد شد.

از نكات قابل توجه سیستم فوق ، وجود چندین سرویس دهنده هم سطح DNS است .بنابراین در صورتیكه یكی از آنها با اشكال مواجه گردد ، از سایر سرویس دهندگان بمنظور ترجمه نام به آدرس استفاده می گردد. یكی دیگر از ویژگی های سیستم فوق ، امكان Cacheing است. زمانیكه یك سرویس دهنده DNS به یك درخواست پاسخ لازم را داد ، آدرس IP مربوطه ای را Cache خواهد كرد. در ادامه زمانیكه درخواستی برای یكی از حوزه های COM واصل گردد ، سرویس دهنده DNS از آدرس Cache شده استفاده  خواهد كرد.

سرویس دهندگان DNS روزانه به میلیاردها درخواست پاسخ می دهند. سیستم فوق از یك بانك اطلاعاتی توزیع شده بمنظور ارائه خدمات به متقاضیان استفاده می نماید.

سرویس دهندگان وب

امكانات و سرویس های موجود بر روی اینترنت از طریق سرویس دهندگان اینترنت انجام می گیرد. تمام ماشین های موجود در اینترنت سرویس دهنده و یا سرویس گیرنده می باشند. ماشین هائی كه برای سایر ماشین ها ، خدماتی را ارائه می نمایند ، سرویس دهنده نامیده می شوند. ماشین هائی كه از خدمات فوق استفاده می نمایند ، سرویس گیرنده  می باشند. اینترنت شامل سرویس دهندگان متعددی نظیر سرویس دهنده وب ، سرویس دهنده پست الكترونیكی و ... بمنظور پاسخگوئی به نیازهای متعدد كاربران اینترنت می باشد.

زمانیكه به یك وب سایت متصل و درخواست یك صفحه اطلاعات می شود ، كامپیوتر درخواست كننده بمنزله یك سرویس گیرنده تلقی می گردد. در این حالت درخواست شما ( بعنوان سرویس گیرنده ) در اختیار سرویس دهنده وب گذاشته می شود. سرویس دهنده صفحه درخواستی را پیدا و آن را برای متقاضی ارسال خواهد داشت . در مدل فوق كاربران  و سرویس گیرندگان از یك مرورگر وب برای اعلام درخواست خود استفاده و سرویس دهندگان وب مسئول دریافت درخواست و ارسال اطلاعات مورد نظر برای سرویس گیرندگان می باشند.

یك سرویس دهنده دارای یك آدرس IP ایستا ( ثابت ) بوده كه تغییر نخواهد كرد. كامپیوتری كه با استفاده از آن به اینترنت متصل می گردید ، دارای یك IP متغیر بوده كه توسط ISP مربوطه  به شما  اختصاص داده می شود. آدرس IP تخصیص یافته در طول مدت اتصال به اینترنت ( یك جلسه كاری ) ثابت بوده و تغییر نخواهد كرد. آدرس IP نسبت داده به شما در آینده و تماس مجدد با ISP ممكن است تغییر نماید.  مراكز ISP برای هر یك از پورت های خود یك IP ایستا را نسبت می دهند. بدیهی است در آینده  با توجه به پورت مورد نظر كه در اختیار شما قرار داده می شود، ممكن است آدرس IP   نسبت به قبل متفاوت باشد.

هر یك از سرویس دهندگان ، سرویس های خود را از طریق پورت های مشخصی انجام می دهند. مثلا" در صورتیكه بر روی یك ماشین ، سرویس دهندگان وب و FTP مستقر شده باشند ، سرویس  دهنده وب معمولا" از پورت  80 و سرویس دهنده FTP از پورت 21 استفاده می نمایند.  در چنین حالتی سرویس گیرندگان از خدمات یك سرویس خاص كه دارای یك آدرس IP و یك شماره پورت منخصر بفرد است ، استفاده می نمایند.  زمانیكه سرویس گیرنده ، از طریق  یك پورت خاص به یك سرویس متصل می گردد ، بمنظور استفاده از سرویس مورد نظر، از یك پروتكل خاص استفاده خواهد شد.. پروتكل ها اغلب بصورت متنی بوده و نحوه مكالمه بین سرویس گیرنده و سرویس دهنده را تبین می نمایند. سرویس گیرنده وب و سرویس دهنده وب از پروتكل HTTP ) Hypertext Transfer Protocol ) برای برقراری مكالمه اطلاعاتی  بین خود، استفاده می نمایند.

شبكه ها ، روترها ، NAPs ، ISPs ، سرویس دهندگان DNS   و سرویس دهندگان قدرتمند، همگی سهمی در شكل گیری و سرویس دهی بزرگترین شبكه موجود در سطح جهان ( اینترنت ) را برعهده دارند. عناصر فوق در زندگی مدرن امروزی جایگاهی ویژه دارند. بدون وجود آنها ، اینترنتی وجود نخواهد داشت و بدون وجود اینترنت ، زندگی امروز بشریت را تعریفی دیگر لازم است !

شكاف امنیتی تزریق كد به فریم درIE

سایتMalware.com موفق به كشف یك شكاف امنیتی جدید درIE شده است. مدتها پیش وجود شكافهایی ازین دست درIE گزارش شده و میكروسافت وصله های امنیتی جهت حل آن ارائه كرده بود(MS98-020).

این شكاف امنیتی جدید به نفوذگر اجازه میدهد در حالی كه مشغول مشاهده سایت او هستید محتویات دلخواه خود را فریم مربوط به یك سایت مورد اعتماد شما تزریق كند. ازین طریق كد دلخواه نفوذ گر درZone مورد اعتماد شما اجرا خواهد شد و عملا امكان دارد هر برنامه ای توسط او بر روی كامپیوتر شما اجرا شود.

تا كنون گزارشات موجود تاكید میكنند كه این شكاف امنیتی بر روی تمامی نسخه هایIE6 بر روی ویندوزXP كه به صورت كامل نیزpatch شده باشند موجود است.

راه حل:

گزینه زیر را درSecurity Settings برنامهIE غیر فعال كنید:

"Navigate sub-frames across different domains"

از مشاهده محتوای سایتهایی كه به آنها اعتماد ندارید اجتناب كنید.

برگرفته از www.ircert.com

آسیب پذیری SSL

آسیب پذیریاز كاراندازی سرویسدر كتابخانهSSL مایكروسافت وجود دارد. آسیب پذیری مربوط به نحوه اداره پیغامهای بدشكلSSL در كتابخانه مایكروسافتSSL می باشد. این آسیب پذیری ممكن است باعث شود كه سیستم آسیب دیده اتصالاتSSL دریافت شده بر روی ویندوز 2000 وXP را متوقف نماید. در ویندوز سرور 2003، آسیب پذیری ممكن است باعث شود كه سیستم آسیب دیده مجددا راه اندازی گردد.

توضیحاتی درباره آسیب پذیری SSL

محدوده آسیب پذیری چیست؟

آسیب پذیری ازكار اندازی سرویس در كتابخانهSSL مایكروسافت، بر روی نحوه اداره كتابخانهSSL مایكروسافت تاثیر می گذارد. این آسیب پذیری منجر به توقف اتصالاتSSL بر روی ماشینهای آسیب دیده، ویندوز 2000 وXP می گردد. سیستمهای آسیب دیده ویندوز سرور 2003 به طور اتوماتیك راه اندازی مجدد می گردند.

آسیب پذیری ازكار اندازی سرویس، مانع از اجرای كد یا افزایش اجازه های دسترسی حمله گر نمی شود، بلكه مانع از پذیرش تقاضاهای وارد شونده توسط سیستم آسیب دیده می شود.

چه چیزی باعث آسیب پذیری می شود؟

پردازه بكار رفته توسط كتابخانهSSL برای كنترل پیغامهای ورودی، باعث آسیب پذیری می شود.

كتابخانه SSL  از مایكروسافت چیست؟

كتابخانهSSL از مایكروسافت، از تعدادی از پروتكلهای ارتباطی امن پشتیبانی می نماید. این پروتكلها عبارتند از:(TLS 1.0) Transport Layer Security 1.0،Secure Socket Layer 3.0 (SSL 3.0)، نسخه قدیمی تر و كم كاربردترSecure Socket Layer 2.0 (SSL 2.0)، و پروتكلPrivate Communication Technology 1.0 (PCT 1.0).

این پروتكلها، ارتباط رمزنگاری شده ای را بین سیستم سرور و كاربر ایجاد می نمایند.SSLكمك به حفاظت از اطلاعات به هنگام اتصال كاربران در شبكه های عمومی مانند اینترنت می نماید. پشتیبانیSSL نیازمند گواهینامهSSL، كه باید بر روی سرور نصب شود، می باشد.

حمله گر چگونه از آسیب پذیری استفاده می نماید؟

در ویندوز 2000 وXP، حمله گری كه به طور موفقیت آمیزی از آسیب پذیری استفاده نموده است، می تواند باعث توقف اتصالاتSSL شود.در ویندوز سرور 2003، حمله گر ممكن است باعث شود كه سیستم آسیب دیده به طور اتوماتیك راه اندازی مجدد شود. در آن زمان، سیستم آسیب دیده به تقاضاهای تصدیق اصالت پاسخ نمی دهد. پس از راه اندازی مجدد سیستم، سیستم آسیب دیده با عملكرد خاصی بازیابی می گردد. به هرحال، این سیستم هنوز در معرض حمله ازكاراندازی سرویس می باشد، مگر اینكه بروزرسانیهایی اعمال گردد.

اگر حمله گری از این آسیب پذیری استفاده نماید، رویداد سیستمی خطا ثبت می شود. شماره رویداد (event ID) 5000 درlog رویداد سیستم ثبت می شود، و ارزشSymbolicName آن،“SPMEVENT_PACKAGE_FAULT” می باشد و شرح آن به صورت ذیل است:

"بسته امنیتیNAME استثنایی را ایجاد نموده است" كه در آنNAME ارزش "Schannel" یا "Microsoft Unified Secuirty Protocol Provider" می باشد.

چه كسی می تواند از آسیب پذیری استفاده نماید؟

هر كاربر بدون نامی كه بتواند پیغامSSL را به سیستم آسیب دیده ارسال نماید، می تواند از این آسیب پذیری استفاده كند.

حمله گر چگونه می تواند از آسیب پذیری استفاده نماید؟

حمله گر برای استفاده از این آسیب پذیری برنامه ای ایجاد می نماید، كه می تواند با سرور آسیب پذیر از طریق سرویس فعال شده باSSL ارتباط برقرار كندو پیغامTCP خاصی را ارسال نماید.سیستم آسیب پذیر در صورت دریافت چنین پیغامی، به نحوی شكست می خورد كه حمله ازكاراندازی سرویس روی می دهد.

حمله گر، همچنین می تواند به جزء آسیب دیده از طریق دیگری دسترسی پیدا كند. مثلا حمله گر می تواند بر روی سیستم آسیب پذیر به طور محاوره ای یا به كمك برنامه دیگری كه پارامترها را به جزء آسیب پذیر می فرستد،Login نماید(به طور محلی و یا از راه دور).

چه سیستمهایی در معرض این آسیب پذیری می باشند؟

همه سیستمهایی كهSSL را فعال نموده اند، در معرض آسیب پذیری می باشند.اگرچهSSL بهIIS به كمكHTTPS و پورت 443 دسترسی پیدا می كند، هر سرویسی كهSSL را بر روی بستر آسیب دیده پیاده سازی می نماید، در معرض آن می باشد. سیستمهایIIS 4.0،IIS 5.0،IIS 5.1،Exchange Server 5.5،Exchange Server 2000،Exchange Server 2003،Analysis Services 2000 و هر برنامه ای كه ازSSL استفاده می نماید، از این نوع است.

كنترل كننده دامنه ویندوز 2000 كه بر روی دامنه دایركتوری فعال نصب می باشند، وEnterprise Root Certification Authority بر روی آن نصب می باشد، نیز در معرض آن می باشند.

Vulnerability Identifiers Impact of Vulnerability Windows 98, 98 SE, ME Windows NT 4.0 Windows 2000 Windows XP Windows Server 2003

تخفیف عوامل در آسیب پذیری SSL

تنها سیستمهایی كهSSL را فعال نموده اند، فقط سیستمهای سرور، در معرض آن می باشند. به هر حالSSL به طور عمومی بر روی وب سرورها بكار می رود تا از برنامه های تجارت الكترونیكی، بانكداریonline، و سایر برنامه هایی كه نیاز به اتصال امن دارند، پشتیبانی نماید.بهترین تمرینات برای دیوار آتش، و پیكربندی پیش فرض استاندارد برای دیوار آتش، از شبكه ها در برابر حملات نشات گرفته از خارج از آنها محافظت می نماید.ویندوزNT 4.0 ، در معرض این آسیب پذیری نمی باشد.

كارهایی كه می توان برای آسیب پذیری SSL انجام داد؟

مایكروسافت راه حلهای ذیل را توصیه نموده است. اگر چه توصیه های ذیل، آسیب پذیریها را اصلاح نمی نمایند، بردارهای شناخته شده حملات را بلوكه می كنند.

پورتهای 443 و 636 را در دیوار آتش بلوكه نمایید. پورت 443 برا دریافت ترافیكSSL بكار می رود. پورت 636 برای دریافت اتصالاتLDAP SSL(LDAPS) استفاده می شود. بلوكه كردن آنها در دیوار آتش، به سیستمهایی كه در پشت دیوار آتش می باشند، كمك می كند تا از این آسیب پذیری در امان باشند. به هرحال پورتهایی كه در ذیل آمده اند، بیشترین بردارهای حمله می باشند. مایكروسافت توصیه می كند كه همه اتصالات ورودی از اینترنت را بلوكه نماید تا مانع از استفاده حملات از سایر پورتها گردد.

تاثیر راهكار فوق:اگر پورت 443 یا 636 بلوكه گردند، سیستمهای آسیب دیده دیگر نمی توانند اتصالات خارجیSSL یاLDAPS را دریافت نمایند.

انواع كابل در شبكه های كامپیوتری

انواع كابل در شبكه های كامپیوتری

امروزه از كابل های مختلفی در شبكه ها استفاده می گردد .نوع و  سیستم كابل كشی استفاده شده در یك شبكه بسیار حائز اهمیت است . در صورتی كه قصد داشتن شبكه ای را داریم كه دارای حداقل مشكلات باشد و بتواند با استفاده مفید از پهنای باند به درستی خدمات خود را در اختیار كاربران قرار دهد ، می بایست از یك سیستم كابلینگ مناسب ، استفاده گردد . در زمان طراحی یك شبكه می بایست با رعایت مجموعه قوانین موجود در خصوص سیستم كابلینگ، شبكه ای با حداقل مشكلات را طراحی نمود .با این كه استفاده از شبكه های بدون كابل نیز در ابعاد وسیعی گسترش یافته است ، ولی هنوز بیش از 95 درصد سازمان ها و موسسات از سیستم های شبكه ای مبتنی بر كابل، استفاده می نمایند .

ایده های اولیه

ایده مبادله اطلاعات به صورت دیجیتال ، تفكری جدید در عصر حاضر محسوب می گردد. درسال 1844 فردی با نام "ساموئل مورس" ، یك پیام را  از Washington D.C به Baltimore و با استفاده از اختراع جدید خود (تلگراف)، ارسال نمود . با این كه از آن موقع زمانی زیادی گذشته است و ما امروزه شاهد شبكه های كامپیوتری بزرگ و در عین حال پیچیده ای می باشیم ولی می توان ادعا نمود كه اصول كار ، همان اصول و مفاهیم گذشته است .
كدهای مورس ، نوع خاصی از سیستم باینری می باشند  كه از نقطه و خط فاصله با تركیبات متفاوت به منظور ارائه حروف و اعداد ، استفاده می نماید . شبكه های مدرن داده از یك و صفر ، استفاده می نمایند . بزگترین تفاوت موجود بین سیستم های مدرن مبادله اطلاعات و سیستم پیشنهادی "مورس " ، سرعت مبادله اطلاعات در آنان است.تلگراف های اواسط قرن 19 ، قادر به ارسال چهار تا پنج نقطه و یا خط فاصله در هر ثانیه بودند ، در حالی كه هم اینك كامپیوترها  با سرعتی معادل یك گیگابیت در ثانیه  با یكدیگر ارتباط برقرار می نمایند (ارسال  1،000،000،000 صفر و یا یك در هر ثانیه).
تلگراف و تله تایپ رایتر ، پیشگام  مبادله داده می باشند . در طی سی و پنج سال اخیر همه چیز با سرعت بالا و غیرقابل تصوری تغییر نموده است. ضرورت ارتباط كامپیوترها با یكدیگر و  با سرعت بالا ، مهمترین علل پیاده سازی تجهیزات شبكه ای سریع ، كابل هائی با مشخصات بالا و سخت افزارهای ارتباطی پیشرفته است .

پیاده سازی تكنولوژی های جدید شبكه

اترنت در سال 1970 توسط شركت زیراكس و در مركز تحقیقاتPalo Alto در كالیفرنیا پیاده سازی گردید . در سال 1979 شركت هایDEC و اینتل با پیوستن به زیراكس ،  سیستم اترنت را برای استفاده عموم ، استاندارد نمودند . اولین مشخصه استاندارد در سال 1980 توسط سه شركت فوق و با نام Ethernet Blue Book ارائه گردید . ( استانداردDIX ) .
اترنت یك سیستم ده مگابیت در ثانیه است ( ده میلیون صفر و یا یك در ثانیه)  كه از یك كابل كواكسیال بزرگ  به عنوان ستون فقرات و  كابل های كواكسیال كوتاه  در فواصل 5 / 2 متر به منظور ایستگاههای كاری استفاده می نماید . كابل كواكسیالی كه به عنوان ستون فقرات استفاده می گردد ،Thick Ethernet و یا10Basee5 نامیده می شود كه در آن  10 به سرعت انتقال اطلاعات در شبكه اشاره داشته ( 10 مگابیت در ثانیه ) و واژهBase نشاندهنده سیستمBase band است . در سیستم فوق ، از تمامی پهنای باند به منظور انتقال اطلاعات استفاده می گردد . درBroad band   به منظور استفاده همزمان ، پهنای باند به كانال های متعددی تقسیم می گردد . عدد 5 نیز شكل خلاصه شده ای برای نشان دادن حداكثر طول كابلی است كه می توان استفاده نمود ( در این مورد خاص 500 متر ) .
موسسهIEEE در سال 1983 نسخه رسمی استاندارد اترنت را با نامIEEE 802.3  و در سال 1985 ، نسخه شماره دو را با نامIEEE 802.3a ارائه نمود . این نسخه با نامThin Ethernet  و یا10Base2  معروف گردید. ( حداكثر طول كابل 185 متر می باشد و عدد 2 نشاندهنده این موضوع است كه طول كابل می تواند تا مرز 200 متر نیز برسد )
از سال 1983 تاكنون ، استانداردهای متفاوتی ارائه شده است كه یكی از اهداف مهم آنان ، تامین پهنای باند مناسب به منظور انتقال اطلاعات است . ما امروزه شاهد رسیدن به مرز گیگابیت در شبكه های كامپیوتری می باشیم .

كابل های (UTP (Unshielded Twisted Pair

كابلUTP یكی از متداولترین كابل های استفاده شده در شبكه های مخابراتی و كامپیوتری است . از كابل های فوق ، علاوه بر شبكه های كامپیوتری در سیستم های تلفن نیز استفاده می گردد (CAT1 ). شش نوع كابلUTP  متفاوت وجود داشته كه می توان با توجه به نوع شبكه و اهداف مورد نظر از آنان استفاده نمود . كابلCAT5 ، متداولترین نوع كابلUTP محسوب می گردد .

مشخصه های كابل UTP

با توجه به مشخصه های كابل هایUTP ، امكان استفاده ، نصب و  توسعه سریع و آسان آنان ، فراهم می آورد . جدول زیر انواع كابل هایUTP را نشان می دهد :

توضیحات :

تقسیم بندی هر یك از گروه های فوق بر اساس نوع كابل مسی وJack انجام شده است .

از كابل هایCAT1 ، به دلیل عدم حمایت ترافیك مناسب،  در شبكه های كامپیوتری استفاده نمی گردد .

از كابل های گروه   CAT2, CAT3, CAT4, CAT5  وCAT6 در شبكه ها استفاده می گردد .كابل های فوق ،  قادر به حمایت از ترافیك تلفن و شبكه های كامپیوتری می باشند .

 از كابل هایCAT2 در شبكه هایToken Ring استفاده شده و سرعتی بالغ بر 4 مگابیت در ثانیه را ارائه می نمایند .

برای شبكه هائی با سرعت بالا ( یكصد مگا بیت در ثانیه )  از كابل هایCAT5 و برای سرعت ده مگابیت در ثانیه از كابل هایCAT3 استفاده می گردد.

 در كابل هایCAT3 ,CAT4 وCAT5 از چهار زوج كابل مسی استفاده شده است .CAT5  نسبت بهCAT3  دارای تعداد بیشتری پیچش در هر اینچ می باشد . بنابراین این نوع از كابل ها سرعت و مسافت بیشتر ی را حمایت می نمایند .

از كابل هایCAT3 وCAT4 در شبكه هایToken Ring استفاده می گردد .

حداكثر مسافت در  كابل هایCAT3 ، یكصد متر است .

حداكثر مسافت در كابل هایCAT4 ، دویست متر است .

كابلCAT6 با هدف استفاده در شبكه های اترنت گیگابیت طراحی شده است . در این رابطه استانداردهائی نیز وجود دارد كه امكان انتقال اطلاعات گیگابیت بر روی كابل هایCAT5 را فراهم می نماید( CAT5e ) .كابل هایCAT6 مشابه كابل هایCAT5 بوده ولی بین 4 زوج كابل آنان از یك جداكننده فیزیكی به منظور كاهش پارازیت های الكترومغناطیسی استفاده شده و سرعتی بالغ بر یكهزار مگابیت در ثانیه را ارائه می نمایند.

برگرفته از www.srco.ir

دندان آبی

ارتباط شبكه اینترنت با بهره گیری از تكنولوژی به نام Bluetooth

صنعت IT در جهان از سال 2000 به بعد تحولات بسیارى را به خود دیده است. هر روزه مردم با یك تكنولوژى جدید روبه رو مى شوند و دنیاى پیچیده و پیشرفته امروزى مردم را وادار به حركت مى كند. اما سرعت این حركت به قدرى زیاد است كه حتى متخصصین IT را هم به تعجب واداشته است. با ایجاد هر تكنولوژى مردم مشتاق شده تا با آن آشنا شوند ولى بلافاصله تكنولوژى پیشرفته دیگرى متولد مى شود. یكى از این تكنولوژى ها، Bluetooth است كه به ارتباط بى سیم با برد كوتاه مربوط مى شود. این تكنولوژى در تمام قطعات، وسائل الكترونیكى و ارتباطى كاربرد دارد و استفاده از آن تنها به شبكه ها و اینترنت مربوط نمى شود، به طورى كه امروزه حتى موس و كى بورد Bluetooth هم به بازار آمده است.

اكثر كارشناسان و متخصصین كامپیوتر و شبكه اعتقاد دارند كه امسال یعنى سال ،2004 سال پیشرفت هر چه بیشتر این تكنولوژى خواهد بود. فرض كنید در منزلتان از تكنولوژى Bluetooth استفاده مى كنید و در حال چك كردن E-mail هاى خود از طریق تلفن همراه هستید، در همان حال نامه اى از دوست خود دریافت مى كنید. شما هم نامه او را از طریق Bluetooth به پرینتر كه به این سیستم مجهز است ارسال كرده و یك پرینت از آن تهیه مى كنید. در همین زمان تلویزیون هم مشغول پخش برنامه اى است كه بلافاصله تصویر را به مانیتور انتقال داده و توسط CD-Writer كه به تكنولوژى Bluetooth مجهز است تصاویر را روى CD ذخیره مى كند. اینها تنها برخى از موارد استفاده تكنولوژى Bluetooth در زندگى امروز است. تجهیزات مجهز به این تكنولوژى در كنار هم شبكه اى خانگى به نام PAN (Personal Area Network ) را ایجاد مى كنند.

• Bluetoothاز كجا آمد

شاید جالب باشد تا از تاریخچه نام Bluetooth هم اطلاع داشته باشیم. این نام از نام یك پادشاه دانماركى به نام Harald Blaatand گرفته شده است. كلمه Blaatand پس از انتقال به زبان انگلیسى به شكل Bluetooth تلفظ شد كه به معنى دندان آبى است. این پادشاه كه بین سال هاى 940 تا 986 مى زیست، توانست دانمارك و نروژ را كه در جنگ هاى مذهبى با هم مشكل پیدا كرده بودند متحد كند و از آن پس شهرت زیادى كسب كرد. در واقع تكنولوژى Bluetooth هم بر پایه اتحاد یكپارچه سیستم هاى كامپیوتر در قالبى بدون سیستم تاكید دارد كه نماد كار و تلاش پادشاه دانماركى است. ایده اصلى ایجاد این سیستم در سال 1994 توسط شركت موبایل Ericsson ارائه شد. این شركت به همراه چند شركت دیگر به دنبال یك سیستم ارتباطى بین وسایل الكترونیكى مختلف بودند تا قادر به هماهنگى و سازگارى با هم باشند.
امروزه بسیارى از وسایل ارتباطى مانند PC ، PDA ، موبایل، پرینتر و... از پروتكل هاى متفاوت و ناسازگار با یكدیگر استفاده مى كنند و همین امر باعث عدم ارتباط مناسب بین آنها خواهد شد. بنابراین شركت هاى مربوطه تصمیم به ایجاد یك استاندارد مشترك براى انواع وسایل ارتباطى گرفتند تا ارتباط میان آنها تحت یك پروتكل ثابت و مشخص برقرار شود. در حال حاضر Ericsson ، Intel ، Nokia ، IBM و Toshiba از پدیدآورندگان و توسعه دهندگان این تكنولوژى هستند. این شركت ها با تشكیل گروهى به نام Bluetooth (Special Interest Group)SIG موفق شدند استاندارد مورد نظر را ایجاد كنند.

هر وسیله اى كه از سیم براى انتقال اطلاعات خود استفاده نمى كند از امواج رادیویى بهره مى گیرد در واقع امواج رادیویى سیگنال هایى هستند كه توسط فرستنده در هوا پخش مى شود. امواج رادیویى قادر به انتقال صدا، تصویر و هر نوع Data هستند. تلفن هاى بى سیم، موبایل، ماهواره ها، اداره تلویزیون و غیره جزء وسایلى هستند كه ارتباط خود را از طریق این امواج فراهم مى كنند. حتى دزدگیر اتومبیل شما هم از طریق امواج رادیویى كنترل مى شود. Bluetooth نوعى از ارتباطات امواج رادیویى ولى با برد كوتاه است و از پروتكل خاصى براى ارسال اطلاعات خود استفاده مى كند و به همین دلیل است كه شركت هاى معتبر سازنده دستگاه هاى ارتباطى و كامپیوترى علاقه زیادى دارند تا در این پروژه شركت كنند. در واقع تمام دستگاه هایى كه بر پایه Bluetooth ایجاد مى شود باید با استاندارد مشخصى سازگارى داشته باشند. همان طور كه مى دانید فركانس هاى امواج رادیویى با استفاده از واحد هرتز محاسبه مى شوند. فرستنده این فركانس ها كه Transmitter نام دارد امواج مورد نظر را در یك فركانس خاص ارسال مى كند و دستگاه گیرنده در همان طول موج اقدام به دریافت اطلاعات مى كند و دامنه آن GHZ2.40 تا GHZ2.48 است.

• مزایاى Bluetooth

عوامل بسیارى موجب شده تا شركت ها و موسسات ارتباطى به دنبال استفاده از Bluetooth باشند. یكى از این عوامل محدودیت در انتقال Data از طریق سیم است. دستگاه هایى كه با سیم كار مى كنند از طریق رابط هاى سریال یا پارلل و یا USB به كامپیوتر متصل مى شوند. اگر از ارتباط سریال استفاده شود در هر سیكل زمانى یك بیت ارسال مى شود و ارتباط پارلل در هر سیكل 8 تا 16بیت را ارسال مى نماید. این مقادیر در دنیاى ارتباطات پرسرعت امروزى بسیار كم است. تا چندى پیش در مقام كشورهاى پیشرفته براى ارتباط اینترنت به طور كامل از ارتباطات سیمى و تكنولوژى هایى چون ISON و DSL استفاده مى شد. البته این سیستم ها هنوز هم جزء پرطرفدارترین و كاربردى ترین وسایل ارتباطى در جهان هستند. بگذریم كه در كشور ما هنوز به طور كامل از این سیستم ها استفاده نمى شود و همچنان سیستم قدیمى و بسیار ضعیف Dial up مورد استفاده قرار مى گیرد.

به لطف تكنولوژى جدید Bluetooth كشورهایى چون آمریكا و برخى كشورهاى اروپایى كه در زمینه تكنولوژى حرف اول را در دنیا مى زنند به سمت استفاده از ارتباطات بى سیم بین شبكه ها و اینترنت حركت مى كنند كه علاوه بر سرعت زیاد، كیفیت بسیار خوبى را در اختیار كاربرانش قرار مى دهد. از دیگر مشكلاتى كه متخصصین بخش ارتباط با آن سروكار داشتند عدم وجود یك استاندارد مشخص و ثابت براى ارتباط دستگاه هاى مختلف با یكدیگر بود. تا پیش از این هر شركت دستگاه هاى خود را براساس استانداردهاى ارتباطى خود تولید مى كرد و به همین خاطر اغلب آنها براى ارتباط با دستگاه هایى از همان نوع ولى متعلق به یك كمپانى دیگر دچار مشكل مى شدند زیرا پروتكل ثابتى وجود نداشت. حال این مشكل توسط استاندارد Bluetooth به راحتى قابل حل است. قبل از مطرح شدن مسئله استفاده از Bluetooth متخصصان اعتقاد داشتند كه در ارتباطات نزدیك از اشعه مادون قرمز استفاده شود.

مثلاً در كنترل از راه دور تلویزیون از این سیستم استفاده مى شود. تكنولوژى مادون قرمز IrDA نام دارد و مخفف Infrared Data Association است. در عمل ثابت شده كه استفاده از این استاندارد قابل اطمینان است و هزینه بسیار كمى به خود اختصاص مى دهد. ولى با این وجود معایبى نیز دارد. اولین مشكل حركت نور در خط راست است. فرستنده مادون قرمز و گیرنده آن مى بایست در مقابل هم قرار بگیرند تا ارسال اطلاعات صورت گیرد، در غیر این صورت و وجود داشتن مانعى در بین راه، انتقال اطلاعات به درستى صورت نمى گیرد. یكى دیگر از مشكلات مادون قرمز اصطلاح «یك به یك» است. به این معنى كه شما فقط مى توانید اطلاعات را از یك دستگاه تنها به یك دستگاه دیگر ارسال كنید و در یك لحظه قادر به ارسال اطلاعات از یك دستگاه به چند دستگاه نخواهید بود اما هر دو مشكل IrDA از طریق Bluetooth قابل رفع است. یكى دیگر از دلایل استفاده از تراشه هاى Bluetooth قیمت بسیار مناسب آن است.
قیمت این تراشه ها عملاً 15 تا 30 دلار است كه با توجه به كارایى بسیار خوب، این قیمت كاملاً مناسب به نظر مى رسد.
همان طور كه اشاره شد این تكنولوژى از محدوده فركانس 2/40 تا 2/48 گیگا هرتز كه محدوده اى رایگان است استفاده مى كند كه 79 كانال ارتباطى را شامل مى شود. البته این محدوده در اروپا و آمریكا مورد استفاده قرار مى گیرد ولى در ژاپن این محدوده بین 2/47 تا 2/49 گیگا هرتز است و 23 كانال ارتباطى را شامل مى شود. هر كدام از این كانال هاى ارتباطى قابلیت ارسال یك مگابایت اطلاعات را دارد و برد موثر آن 10متر ذكر شده كه شركت هاى ارائه كننده این سیستم ها تا برد 7 متر را ضمانت مى كنند و بیشتر از آن به فضاى اتاقى بستگى دارد كه دستگاه ها در آن قرار دارند و همچنین به میزان وجود دیگر امواج رادیویى هم وابسته است. سرعت انتقال اطلاعات در استاندارد Bluetooth بستگى به نوع سیستم ارتباطى دارد. مثلاً اگر از ارتباط همزمان یا Synchronous استفاده شود نرخ انتقال اطلاعات 423 كیلوبایت در ثانیه خواهد بود.
در این نوع ارتباط دستگاه فرستنده و گیرنده به طور همزمان قادر به دریافت و ارسال اطلاعات هستند. در نوع دیگر ارتباط كه ارتباط غیرهمزمان یا Asynchronous نام دارد نرخ انتقال اطلاعات 721 كیلوبایت در ثانیه خواهد بود. البته با وجود سرعت بیشتر این ارتباط نسبت به ارتباط همزمان، قابلیت ارسال و دریافت در یك زمان را ندارد. البته تكنولوژى هاى مانند Wi-Fi كه بر پایه Bluetooth است برد موثر و نرخ انتقال اطلاعات بیشتر مى شود. Bluetooth از سیستم بسیار حساسى نیز برخوردار است و از این لحاظ با استفاده از آن احتمال تداخل بین دستگاه هاى مجهز به امواج رادیویى به حداقل خود مى رسد و حتى در صورت بروز تداخل در ارتباط بلافاصله اطلاعات از بین رفته مجدداً به طور خودكار براى دستگاه گیرنده ارسال خواهد شد. حال این تصور به وجود مى آید كه با وجود چندین دستگاه مجهز به این تكنولوژى در یك اتاق چگونه آنها روى یك فركانس مشخص و بدون تداخل با یكدیگر به تبادل اطلاعات مى پردازند.
براى جلوگیرى از تداخل اطلاعات Bluetooth از تكنیكى به نام Spread Spectrum Frequency استفاده مى كند و این تكنیك به دستگاه ها اجازه مى دهد كه در یك محدوده فركانسى مشخص شده به صورت خودكار تغییر فركانس داشته باشند. در واقع در این تكنولوژى یابنده كانال آزاد بیش از 1500 بار در ثانیه كانال هاى ارتباطى را چك مى كند تا از كانال هاى اشغال شده با خبر باشد و در صورت ایجاد یك ارتباط جدید یك كانال آزاد را به آن ارتباط اختصاص دهد. مثلاً یك دستگاه كامپیوتر در حال ارتباط با پرینتر از طریق فركانس GHZ2.47 باشد در همین زمان موبایل قصد ارتباط با اسكنر را دارد. با استفاده از تكنیكى كه ذكر شد به طور خودكار فركانس اشغال شده توسط كامپیوتر و پرینتر شناسایى شده و ارتباط موبایل و اسكنر به روى یك فركانس جدید برقرار مى شود.

•Wi-Fiچیست

این استاندارد از زیرمجموعه Bluetooth است و تحت آن ارتباطى با قدرتى بیشتر از خود Bluetooth ایجاد خواهد شد. ارتباط Wi-Fi كه مخفف Wireless Fidelity است بیشتر بر پایه ارتباط شبكه اینترنت به صورت بى سیم تاكید مى كند و همین امر باعث محبوبیت بسیار زیاد آن شده است با استفاده از این تكنولوژى به راحتى در مسافرت، هواپیما و یا هتل مى توان از طریق Laptop به اینترنت متصل شد. Wi-Fi كه همان استاندارد IEEE802.11 است در مدل هاى 802.11 a و 802.11 b مورد استفاده قرار مى گیرد و استاندارد اصلى آن IEEE802.11b است. در این مدل حداكثر سرعت انتقال اطلاعات 11 Mbps است و از فركانس رادیویى 4.2 گیگاهرتز استفاده مى كند. براى سرعت بخشیدن به این استاندارد مدل دیگرى نیز به نام 802.11 b + ایجاد شده كه سرعت انتقال را تا 22 mbps افزایش مى دهد. در مدل 802.11 a سرعت اطلاعات حدود 54 mbps است و از فركانس 50 GHz استفاده مى شود. به طور حتم این مدل در آینده اى نه چندان دور جاى 802.11 b را خواهد گرفت.
براى استفاده از این سیستم ایستگاه هایى به نام Access point در مناطق مختلف و به فواصل چند صد مترى قرار مى گیرد. این ایستگاه ها امواج رادیویى را در هوا منتشر مى كنند و هر كامپیوترى كه به Wi-Fi مجهز باشد و در محدوده این ایستگاه ها قرار داشته باشد قادر به استفاده از اینترنت است و كاربران با قرار دادن یك كارت سخت افزارى IEEE802.11b و یا وصل كردن یك دستگاه Wi-Fi اكسترنال از طریق USB به كامپیوتر خود قادر به استفاده از این سیستم هستند. قیمت اینترنت در این سیستم بسیار مناسب است. مثلاً در كشور آمریكا یك Account نامحدود یك ماهه با این سرویس به مبلغ 20 تا 30 دلار در اختیار كاربران قرار مى گیرد. از نظر برد موثر هم حداكثر تا 150 متر اطراف Access Point مورد پوشش قرار مى گیرد. در این حالت سرعت انتقال ارتباط 1 mbps است. البته هر چقدر فاصله كاربر با ایستگاه اصلى كمتر از 150 متر باشد سرعت انتقال اطلاعات بیشتر خواهد شد. مثلاً سرعت انتقال اطلاعات در فاصله 100 مترى mbps5.5 ، در فاصله 80 مترى 8 mbps و در فاصله 50 مترى و كمتر از آن 11 mbps است.

برگرفته از روزنامه شرق

مقابله با ویروسها به وسیله ISA Server

برای جلوگیری از حملات ساسر باید كلیه پورتهایی را كه ساسر از آن استفاده میكند را بلوك كنید. شماره پورتهای مورد استفاده توسط ساسر 445 ، 5556 و 9996 است و همگی با پروتكلTCPكار میكنند.

در موقع استفاده ازISA2004بصورت پیش فرض این پورتها بلوك شده اند. هرچند كه اگر سروری داشته باشید كه روالی برای پورت ها داشته باشد، این سرور در معرض خطر است. در ضمن ممكن است بیشتر در معرض خطر باشید وقتیكه یكExchangeServer در یكDMZداشته باشید.زیرا این پورت باید بین محدودهDMZ و شبكه داخلی باز باشد. البته شما نیازی به باز گذاشتن پورتی كه بین شبكه خارجی وDMZ قراردارد ندارید و احتمال بروز خطر را تا حد زیادی كاهش میدهید.

سیاست پیش فرض برای فایروالISA2004 از انتشار ساسر در شبكه جلوگیری میكند زیرا ساسر برای انتشار نیاز بهOutbound FTPدارد. اگر فایروال شما طوری طراحی شده كه تمام مسیرهای خروجی آن باز باشد باید برای پورتهای اشاره شده حتما" روال دسترسی مناسبی تعریف كنید.

برای جلوگیری از حملات ساسر از خارج از محدوده شبكه این عوامل ممكن است مفید باشند:

- برای پورتهای گفته شده حتما" روال های دسترسی تعریف كنید.بستن پورتTCP 445 در جهت خروجی از ترافیكCIFSخروجی جلوگیری می كند و بستن پورتهای5556 و9996 در جهت خروجی از امكان استفاده از یك كامپیوترویروسی به عنوان سرورFTP وانتشار كرم ساسر جلوگیری می كند.

- تعریف فایروال روی ایستگاه كاری برای جلوگیری از عملكرد خرابكارانه ساسر. برای این روش كاری حتما" باید روی كامپیوترClient یك فایروال نصب كرده باشید. توجه داشته باشید كه تمامClient هایی كه سیستم عاملWindowsدارند باید فایروال نصب كرده باشند. اگر تمام راه های خروجی دسترسی تعریف شده داشته باشند باعث جلوگیری از انتشار كرم ساسر خواهد شد.

كامپیوتری كه به عنوانISA Firewall عمل می كند هم بسیار آسیب پذیر است برای جلوگیری از حملات داخلی توسط ساسر به خودISA Serverبه هیچ وجه روال دسترسی برای ارتباط با كامپیوترهای شبكه محلی با پورت های گفته شده ایجاد نكنید.

روش بستن ارتباط خروجی روی پورتهای شناسایی شده

1- از كنسول مدیریت، منویMicrosoft Internet Security and Acceleration Sever 2004

را بازكنید و روی نام سرورExpandكنید و رویFirewall Policyكلیك كنید.

2- رویTab مربوط بهTasks درTask Paneكلیك كنید.

3- در صفحهWelcome to the new access Rule Wizardدر جعبه نوشتاریAccess Rule Nameوارد كنیدBlock Sasser Outboundو رویNextكلیك كنید.

4- در صفحهRule ActionوضعیتDenyرا انتخاب كنید و كلیدNextرا بزنید.

5- در صفحه پروتكل انتخابSelected Protocolsرا از لیستThis Rule Applies toانتخاب كنیدو دكمهAddرا بزنید.

6- در صفحه مربوط بهAdd protocolsرویNew كلیك كنید پروتكل را انتخاب كنید.

7- در صفحه مربوط بهWelcome to the New Protocol Definition WizardجملهSasser Outboundرا در جعبع متنProtocol Definition Name وارد كنید و رویNew كلیك كنید.

8- در صفحهPrimary Connection InformationرویNew كلیك كنید.

9- در جعبه متنNew/Edit Protocol Definitionنوع پروتكل راTCPانتخاب كنید.در اینجا همچنینDirectionراOutbound انتخاب نموده و پورتها را از445تا445انتخاب كرده كلیدOK را بزنید.

10- برای پورتهای9996 و5556 از ردیف 9 تكرار كنید.

11- در صفحهNew Protocol Definition Informationتمام پورت های تعریف شده دیده می شوند و می توانید رویNextكلیك كنید.

12- در صفحهSecondary connectionsرویNo كلیك كنید و سپسNextرا بزنید.

13-برای تكمیل عملیات در صفحهCompleting the New Protocol Definition WizardرویFinishكلیك كنید.

14- در جعبه محاوره ایAdd protocolsروی فولدرUser-definedكلیك كرده و رویSasser Outboundدوبار كلیك كنید و سپسCloseرا بزنید.

15- در صفحهProtocolsرویNextكلیك كنید.

16- در صفحهAccess Rule SourceكلیدAddرا بزنید.

17- در جعبه محاوره ایAdd Network Entities روی فولدرNetwork Sets كلیك كنید و سپس رویAll Protected Networksدوبار كلیك كنید. وCloseرا بزنید.

18- در صفحهAccess rule SourcesرویNextبزنید.

19- در صفحهAccess Rule DestinationsكلیدAddرا بزنید.

20- در جعبه محاوره ایAdd Network Entitiesروی فولدرNetworks بزنید وExternalرا دوبار كلیك كنید وCloseرا بزنید.

21- در صفحهUser Setsحالت پیش فرضAll Usersرا انتخاب وNextرا بزنید.

22- در صفحه مربوط بهCompleting the New Access Rule WizardكلیدFinishرا بزنید.

23- قاعدهBlock Sasser Outboundرا به بالای لیست انتقال دهید.

24- برای ثبت تغییرات انجام شده رویApplyكلیك كنید.

25- در جعبه محاوره ایApply New ConfigurationكلیدOk را انتخاب كنید.

روش تنظیم فایروال مربوط به ایستگاه كاری برای بلوك كردن عملكرد ساسر

عملكرد مشكوك ساسر در این مرحله بنامavserve وavserve2شناخته شده است.

توجه داشته باشیدعملكرد ساسر با نام های متفاوت انجام میشود مراحل بعدی كه توضیح داده خواهد شد 100% موثر نیست ولی اتصالات ایجاد شده توسطavserveوavserve2را بلوك خواهد كرد.

1- از كنسول مدیریت، منویMicrosoft Internet Security and Acceleration Sever 2004

را بازكنید و روی نام سرورExpandكنید و حالتConfigurationرا انتخاب كنید.

2- رویGeneralكلیك كنید.

3- رویDefine Firewall Client Settingsدر قسمتDetails paneكلیك كنید

4- در جعبه محاوره ایFirewall Client SettingرویTabمربوط بهApplication Settingبزنید.

5- رویTab مربوط بهApplication Settingروی دكمهNewكلیك كنید.

6- در پنجره محاوره ایApplication Entry Setting در جهبه متنApplicationوارد كنید:avserve. در لیستKey وضعیتDisableانتخاب كنید و از لیستValue عدد 1 را انتخابكرده سپسOkرا بزنید.

7- مرحله 5 و 6 را تكراركرده اینبار درApplicationنامavserve2را وارد كنید.

8- در پنجرهFirewall Client Settingبا انتخابOkو سپسApplyمراحل را ثبت كنید.

9- روی پنجرهApply new Configuration كلیدOkرا بزنید.

تنظیم فایروال مربوط بهClientبرایAvserve.exeوAvserve2.exe فقط از رفتار مشكوك روی كامپیوتر آلوده شده جلوگیری میكند.اگر این دستگاه به عنوانSecureNATطراحی شده باشد این تنظیمات دیگر موثر نخواهد بود. ( برای جلوگیری از دسترسیSecureNAT Clientاز طریق سرورISAمطمئن شوید كه هیچ دسترسی ناشناخته ای در مسیر خروجی وجود ندارد).

شماهمچنین میتوانید قابلیت روالBlock Sasser Outboundرا از طریقTelnet روی یك دستگاه كه در شبكه تحت محافظتISA 2004 Firewall است ، كنترل كنید.

1-كنسولMicrosoft Internet Security and Accelerationرا بازكنید و سرور راExpandكنید.و رویMonitoring كنسول كلیك كنید.

2-رویTab مخصوص بهDetailsگزینهLoggingرا انتخاب كنید.

3-رویTabمربوط بهTasksرویلینكStart Queryبزنید.

4-روی یك ایستگاه در یك شبكه محافظت شده ابتداStart و سپسRunرا بزنید. در پنجره متنیOpenدستورcmdرا تایپ كنید وOkنمایید.

5-درPromptتایپ كنید:Telnet 131.107.1.1 5556 وEnterرا بزنید.

6-به كنسولMicrosoft Internet Security and Acceleration Sever 2004 بازگردیدو گزارش مربوط به زمان(real time log) مونیتور كنید. باید متن زیر را در پیغامها ببینید:

Block Sasser Outbound.

10.0.0.2131.107.1.15556Sasser OutboundDenied Connection Block Sasser

Outbound

10.0.0.2131.107.1.15556Sasser OutboundDenied ConnectionBlock Sasser

Outbound.

برگرفته از www.sgnec.net

جرایم رایانه ای آرپانت، هكرها، كركرها و فریك‌ها

(قسمت اول)

اصطلاح فضاى رایانه‌اى (Cyberspace) براى اولین بار در سال 1982 در یك داستان علمى ـ تخیلى بكار برده شد. ما در گفتارمان از فضاى رایانه‌اى، بعنوان یك مكان فیزیكى یاد مى‌كنیم اما در واقع‌ اینطور نیست. فضاى رایانه‌اى اگر چه اصطلاحى نسبتاً جدید است اما مفهوم آن جدید نیست و پیدایش‌ این مفهوم، همزمان با اختراع تلفن توسط الكساندر گراهام‌بل در سال 1876 بوده است. در حقیقت مى‌توان گفت كه اولین “جرایم رایانه‌ای” در سال 1878 ارتكاب یافتند.
شركت بل تعداد زیادى پسر نوجوان را كه قبلاً در اداره تلگراف بعنوان تلگراف رسان كار مى‌كردند، براى متصل كردن تماس‌هاى تلفنى و ارائه اطلاعات به مشتركان سرویس تلفن استخدام كرد. اما همانطور كه بروس استرلینگ (Bruce Sterling) در كتاب خود با نام “مقابله با هكرها” (The Hacker Crackdown) اشاره كرده است، ‌این شركت بزودى با مشكلاتى از سوى كاركنان جوان خود مواجه شد:

“ ‌این بچه‌ها با مشتریان، بى‌ادبانه و با گستاخى برخورد مى‌كردند، سر به سر آنها مى‌گذاشتند و معمولاً آن‌ها را مسخره مى‌كردند. بدتر از همه آنكه از حقه‌هایى هوشمندانه در صفحه سوئیچ‌هاى اتصال استفاده مى‌كردند و به ‌این وسیله تماس‌ها را قطع مى‌كردند و كارهایى از ‌این قبیل انجام مى‌دادند. توانایى، مهارت فنى و ناشناس بودن‌ این پسران در انجام ‌این شیطنت‌ها، مجموعه عواملى را تشكیل مى‌داد كه باعث بروز مزاحمت‌ها و مشكلات مى‌شد.”
شركت بل در نهایت تصمیم گرفت كه خود را از شر ‌این بچه‌ها خلاص كند و تصمیم به استخدام خانم‌هاى جوان و محترم گرفت و نتیجه آن شد كه بروز چنین رفتارهاى ناپسندى تقریباً از میان رفت.

همانند فضاى رایانه‌اى كه سابقه آن از آنچه اكثر مردم مى‌پندارند بسیار بیشتر است، ‌ایده ‌اینترنت نیز كه بسیارى از ما تنها طى چند سال اخیر با آن آشنا شده‌ایم ـ بسیار قدیمى ‌است.‌ ایده‌ اینترنت در اوایل دهه 1960 و در زمانى شكل گرفت كه تشكیلات نظامى ‌ایالات متحده و شركت راند (RAND Corporation) تصمیم گرفتند از رایانه‌ها براى حصول اطمینان از امكان برقرارى ارتباطات پیوسته در صورت تهاجم هسته‌اى استفاده كنند. سیستمى‌كه تنها داراى یك رایانه مركزى باشد در مقابل صدمات وارده بسیار آسیب پذیر خواهد بود. آنچه ما امروزه از آن با عنوان “‌اینترنت” یاد مى‌كنیم، سیستمى‌ از رایانه‌هاى مرتبط با هم است به نحوى كه‌ این رایانه‌ها از تعداد بسیار زیادى خط تلفن براى برقرارى ارتباط با یكدیگر استفاده مى‌كنند و به ‌این ترتیب اطمینان حاصل مى‌شود كه در صورت عدم توانایى یك مسیر براى ارسال اطلاعات، مسیر دیگرى قابل دسترسى خواهد بود.

آنها رایانه‌ها را به صورت شبكه‌اى به هم متصل كردند و‌این كار باعث شد كه انجام محاسبات و اجراى برنامه‌ها با سرعت بسیار بیشترى انجام شود زیرا اپراتورهاى رایانه‌ها مجبور نبودند كه اطلاعات را به صورت نوارهاى مغناطیسى یا كارتهاى پانچ ارسال كنند. بجاى ارسال اطلاعات به ‌این شكل، ‌امكان ارسال اطلاعات به صورت الكترونیكى از طریق سیم‌هاى تلفن در یك لحظه بوجود آمد.

این پیش‌نمونه ‌اینترنت در سال 1969 با عنوان آرپانت (شبكه آژانس پروژه‌هاى تحقیقاتى پیشرفته) ‌ایجاد شد و به وسیله وزارت دفاع به اجرا درآمد. براى اهداف دفاعى بجاى تنها یك مسیر، مسیرهاى زیادى وجود داشت كه اطلاعات از طریق آنها در شبكه جابجا مى‌شد. آپارنت در اصل به وزارت دفاع و چندین دانشگاه (دانشگاه كالیفرنیا در لس‌آنجلس، موسسه تحقیقاتى استنفورد، دانشگاه كالیفرنیا در سانتا باربارا و دانشگاه یوتا) متصل شده بود. اما در سال 1971، آرپانت گسترش یافت و دانشگاه‌ها و آژانس‌هاى دولتى بیشترى را در برگرفت كه دانشگاه‌ هاروارد، موسسه صنعتى ماساچست (MIT) و سازمان ملى هوانوردى و فضایى (NASA) را شامل مى‌شد.

پس از آن، موضوع جالب توجهى رخ داد. بجاى مبادله خدمات محاسباتى، كاربران شبكه شروع به رد و بدل كردن یادداشت‌ها و نامه‌هاى الكترونیك و “صحبت كردن” با یكدیگر در قالب گروه‌هاى خبرى و مباحثه‌اى كردند. از سال 1973، كشورهاى دیگر و به تبع آن تمام شبكه‌هاى دیگر به آرپانت متصل شدند.

این شبكه‌هاى رایانه‌اى با آرپانت سازگار بودند زیرا از یك زبان ارتباطى جهان استفاده مى‌كردند كه به آن پروتكل كنترل شبكه (NCP) گفته مى‌شد ( امروزه ‌این زبان را معمولاً با عنوان پروتكل كنترل ارسال، كنترل‌اینترنت (TCP/IP)مى‌شناسند. ممكن است متوجه شده باشید كه گاهى هنگام جستجو در ‌اینترنت، رایانه شما خواستار یك “آدرس IP” مى‌باشد). همزمان با توسعه پروتكل‌هاى شبكه، استفاده از اسامى‌حوزه‌ها (Domains) نیز آغاز شد. براى مثال، بجاى تلاش براى یافتن شماره سرور 204.50.77.34 شما مى‌توانید با آدرس “explora .com” جستجو كنید و‌ این عبارت شما را به همان آدرس عددى هدایت مى‌كند.

تا قبل از سال 1986، تنها كسانى كه به نوعى با شركت‌هاى بزرگ رایانه‌اى مانند IBMیا دیجیتال الكترونیكس در ارتباط بودند، امكان دسترسى به ‌اینترنت داشتند اما پس از ‌این سال با كاهش قیمت رایانه‌هاى شخصى و افزایش سرعت آن‌ها، امكان دسترسى به ‌اینترنت براى افراد معمولى نیز فراهم شد. حال‌ این سئوال پیش میآاید كه در سال 1986 چه اتفاقى افتاد؟ درآن سال، شبكه ملى زیربناى علمى‌ (NSFNET) تبدیل به “ستون فقرات” ‌اینترنت شد. سرعت فزآینده ‌اینترنت در ارسال داده‌ها به معنى آن بود كه‌ اینترنت مى‌تواند داده‌هاى بیشترى را جابجا كند. مطابق با صفحات وب چند رسانه‌اى اكسپلورا (EXPLORA) در سال 1989، آرپا، مدیریت آرپانت را متوقف كرد زیرا آرپانت بر اثر مجتمع شدن با شبكه‌هاى دیگر، تبدیل به‌اینترنت شده بود. شبكه جهان‌گستر (World Wide Web) كه همه ما هر روز مطالبى درباره آن مى‌شنویم، از سوئد نشات گرفت.

متصل كردن رایانه‌هاى بیشمار در سراسر دنیا به یكدیگر منجر به پیشرفت‌هاى حیرت آورى در زمینه‌هاى آموزشى، فناورى و اقتصادى شده است. نامه‌هاى الكترونیك یا‌ ایمیل، به ما امكان مى‌دهد كه ظرف چند ثانیه با دیگران ارتباط برقرار كنیم. “اتاق‌هاى گپ” و “گپ‌هاى مبتنى بر‌اینترنت” (IRC) به ما امكان مى‌دهد كه به وسیله صفحه كلید، بطور همزمان با افراد متعددى در سراسر دنیا ارتباط برقرار كنیم. ‌اینترنت بخودى خود گستره‌اى از اطلاعات بسیار متنوع است و بهانه پیدا نكردن یك مفهوم در دائره المعارف را از دانش آموزان آاینده سلب مى‌كند اما در عین حال شبكه جهان‌گستر باعث شده است كه انواع حیرت انگیزى از جرایم (رفتارهاى كیفرى) پدید آید.

در فوریه سال 1995، پس از چندین سال پیگرد، كوین میتنیك (Kevin Mitnick) به جرم كلاهبردارى رایانه‌اى دستگیر و متهم شد. بازداشت او، به خبرسازترین رویداد دنیاى رایانه تبدیل شد. ‌این حادثه دست كم در سه كتاب ثبت شد ـ یكى از‌این سه كتاب نوشته كسى است كه میتنیك را بازداشت كرد ـ و بدون تردید منجر به ساخت فیلم‌ها و آثار دیگرى در‌ اینباره شد. اما میتنیك دقیقاً چه كرده بود كه باعث شد توجه تمام رسانه‌ها به او جلب شود؟ او به سیستم‌هاى رایانه‌اى متعددى دسترسى غیرقانونى پیدا كرده بود، برنامه‌هاى رایانه‌اى را به سرقت مى‌برد و براى انجام‌ این كار از سرویس‌هاى تلفن راه دور استفاده مى‌كرد. حال‌ این سئوال مطرح مى‌شود كه یكنفر چگونه مى‌تواند در دستكارى سیستم‌هاى رایانه‌اى و دیگر فناورى‌ها، تا‌ این حد مهارت پیدا كند؟ میتنیك بدلیل جرایمى‌كه مرتكب شده بود توسط مقامات فدرال تحت تعقیب قرار گرفت.

این تعقیب ناموفق دو سال بطول انجامید تا آنكه در كریسمس سال 1994، میتنیك كوشید كه به درون فایل‌هاى رایانه‌اى یك فیزیكدان و متخصص امنیت رایانه به نام تسوتومو شیمومورا (Tsutomu Shimomura) در كالیفرنیا رخنه كند. پس از حدود شش هفته ردیابى، شیمومورا، میتنیك را در كالیفرنیاى شمالى پیدا كرد.

میتنیك به هزاران شماره كارت اعتبارى و اطلاعات مهم دیگر دسترسى پیدا كرده بود و امكان یافته بود كه از‌ این اطلاعات براى سرقت صدها و هزاران دلار ـ اگر نگوئیم میلیون‌ها دلار ـ استفاده كند. اما او‌ این كار را نكرد. میتنیك حتى اظهار كرد كه به رایانه‌هاى وزارت دفاع نیز رخنه كرده است. او مى‌توانست‌ این اطلاعات را نابود كند یا باعث یك بحران نظامى‌ جهانى شود. اما ‌این كار را نكرد. او مى‌توانست به اطلاعات حساس رایانه‌هایى دسترسى پیدا كند كه مجاز به دیدن آنها نبود. مانند بیشتر هكرهاى رایانه، میتنیك در سیستم‌هایى كه به آنها رخنه كرده بود " گشت مى‌زد" و سپس آنجا را ترك مى‌كرد.

اگر چه بسیارى از دوستان و نزدیكان میتنیك در اواخر دهه 1970 و اوایل دهه 1980 ـ گروهى با نام تبهكاران روسكو (Roscoe Gangs) ـ اعتراف كرده بودند كه او تمایل زیادى به مختل كردن سرویس تلفن افرادى داشت كه به او صدمه زده بودند یا به او توهین كرده بودند. اما ‌این اظهارات به عنوان بخشى از سابقه كیفرى او محسوب نشد.

میتنیك در سن 17 سالگى به جرم سرقت كتاب‌هاى راهنماى قطعات الكترونیك از فروشگاه پسفیك بل (Pacific Bell)به مدت شش ماه محكوم به حبس و مجازات تعلیقى شد و در سال 1987 به دلیل سرقت نرم افزار از طریق یك خط تلفن به سى و شش ماه حبس تعلیقى محكوم شد. برخى از روزنامه‌نگاران و مقامات مسئول، میتنیك را به عنوان تهدیدى براى امنیت هر خانواده آمریكایى معرفى كرده بودند اما نویسندگان بسیارى از گروه‌هاى مختلف با ‌این عقیده موافق نبودند. در واقع بیشتر هكرها به اندازه‌‌اى كه در رسانه‌ها منعكس مى‌شود، تهدید كننده نیستند.

هكرها در یك مورد مهم با كركرها تفاوت دارند. كارهایى كه آن‌ها انجام مى‌دهند معمولاً از روى بدخواهى نیست. انگیزه بیشتر هكرها براى‌ این كار، تمایل شدید به یادگیرى نحوه كار سیستم رایانه، یافتن راهى براى ورود مخفیانه به آن‌ها و پیدا كردن سوراخ‌هاى امنیتى ‌این سیستم‌ها است. هیجان خواندن اطلاعاتى كه مى‌دانند اجازه دیدن آنها را ندارند یا انجام كارى كه مى‌دانند قانونى نیست به لذت دست زدن به چنین تجاربى توسط هكرها به عنوان سرگرمى‌ مى‌افزاید. مانند هر سرگرمى ‌دیگر، هك كردن مى‌تواند تبدیل به یك عادت شود. بسیارى از هكرها، ساعاتى طولانى را پشت رایانه خود مى‌گذرانند در حالیكه داراى همسر و خانواده مى‌باشند و مى‌كوشند كه شغل خود را از دست ندهند. كوین میتنیك هنگامى‌كه احساس كرد همسرش در كار هك كردن او دخالت مى‌كند تصمیم به جدا شدن از او گرفت.

در دهه 1970 واژه هكر به شخصى اطلاق مى‌شد كه در برنامه نویسى بسیار ماهر و باهوش باشد. بعدها در دهه 1980‌ این واژه به معنى شخصى بود كه در “نفوذ” به سیستم‌هاى جدید به صورت ناشناس تبحر داشته باشد. امروزه بیشتر با هدف ترساندن هكرها، رسانه‌ها و مقامات مسئول مانند آژانس‌هاى دولتى و ادارات پلیس، ‌این واژه را به هر شخصى كه مرتكب یك جرم مرتبط با فناورى شود، اطلاق مى‌كنند. ‌این درست است كه هكرهاى كنجكاو، مى‌توانند سهواً باعث زیان‌هاى قابل توجهى شوند اما جستجو براى یافتن اطلاعات و آموزش ـ نه انتقام گیرى یا صدمه زدن به دیگران ـ عاملى است كه باعث مى‌شود اكثر هكرها سرگرمى ‌خود را به نحوى بیرحمانه دنبال كنند.

از سوى دیگر كركرها، هكرهایى بدخواه هستند. آنها به سیستم‌ها رخنه مى‌كنند تا خرابكارى كنند، ویروس‌ها و كرم‌هاى رایانه‌اى را منتشر كنند، فایل‌ها را پاك كنند یا بعضى انواع دیگر ویرانى را ببار آورند. اختلاس، كلاهبردارى یا جاسوسى صنعتى (سرقت اطلاعات محرمانه یك شركت) تنها بخش كوچكى از اهداف احتمالى كركرها مى‌باشد. جاسوسى رایانه‌اى همانطور كه بین شركت‌ها وجود دارد، میان كشورها نیز در جریان است بنابراین امنیت ملى ما را با مخاطره مواجه مى‌كند. تروریسم رایانه‌اى، توسعه رایانه‌اى دهشتناك دیگرى است كه شاید امنیت میلیون‌ها انسان را در سراسر دنیا تهدید كند. هیچ بحثى در‌این نیست كه آنچه كركرها انجام مى‌دهند همانقدر كه غیر قانونى است، مخاطره آمیز نیز مى‌باشد.

شكل دیگرى از جرایم رایانه‌اى را “فریك‌هاى تلفن” مرتكب مى‌شوند. فریك‌ها بجاى دسترسى به سیستم‌هاى رایانه‌اى، از طریق خطوط تلفن در دنیاى رایانه گشت مى‌زنند. فریك‌ها از میان اولین هكرها در دهه 1970 پدید آمدند. یكى از حوادثى كه بوسیله فریك‌ها بوجود آمده بود و در مجله دنیاى رایانه در شماره 24 فوریه سال 1997 توسط شارون ماكلیس (Sharon Machlis)گزارش شد، مربوط به اداره پلیس شهر نیویورك (NYPD) مى‌شد. فریك‌ها به سیستم تلفن‌ این اداره نفوذ كرده بودند و متن ضبط شده‌اى را كه به تماس‌گیرندگان خوشامد مى‌گفت تغییر داده بودند.

در متن ضبط شده جدید گفته مى‌شد كه افسران پلیس مشغول خوردن نان شیرینى و نوشیدن قهوه هستند و فرصت جواب دادن به تلفن‌ها را ندارند. ‌این پیام به تماس‌گیرندگان توصیه مى‌كرد كه در موارد اورژانس با شماره 119 تماس بگیرند.

هكرها و فریك‌هاى دیگر به سیستم‌هاى پست صوتى شركت‌هایى نفوذ كردند كه خدمات معاف از مالیات به مشتریان خود ارائه مى‌كردند. آن‌ها صندوق‌هاى پست صوتى خود را بر روى خط یك شركت‌ ایجاد كردند سپس اطلاعات را از طریق‌ اینترنت ارسال مى‌كردند و با هزینه ‌این شركت خدمات پست صوتى و تلفن راه دور رایگان در اختیار دیگران قرار مى‌دادند.

سه فریك در كالیفرنیا برنامه خطوط تلفن سه‌ ایستگاه رادیویى مختلف را براى جلوگیرى از برقرارى هرگونه تماس با آن‌ها تغییر دادند تا فقط خودشان بتوانند هنگام پخش زنده یك مسابقه رادیویى با‌ این ایستگاه‌ها تماس برقرار كنند. ‌این مردان در نهایت به اتهام كلاهبردارى رایانه‌اى، گناهكار شناخته شدند. آن‌ها به ‌این وسیله برنده بیش از 20.000 دلار پول نقد، دو اتومبیل پورشه و دو سفر تفریحى به جزایر ‌هاوایى شده بودند.

تهدید هكرها، كركرها و فریك‌ها تا چه حد جدى است؟ كدام دسته از مجرمان رایانه‌اى بیش از بقیه خطرناك هستند؟ ما نیاز داریم كه سیستم‌هاى خود را در مقابل كدام فعالیت‌ها بیش از همه محافظت كنیم؟ آیا راهى براى جلوگیرى كامل از نفوذ به درون سیستم‌هاى رایانه‌اى و خطوط تلفن ما وجود دارد؟

این پرسش‌ها، پاسخ‌هاى ساده‌اى دارند. احتمالاً هیچ راهى براى جلوگیرى كامل از نفوذ وجود ندارد اما مى‌توانیم وقوع آن دسته از جرایم رایانه‌اى را كه بالقوه خطرناك هستند به حداقل برسانیم. آگاهى و مدیریت خوب كاركنان در قالب آموزش آنان مى‌تواند كارآمدترین دفاع در مقابل رخنه در سیستم امنیتى رایانه باشد.

افراد بسیارى، كوین میتنیك را یك “مهندس اجتماعی” بزرگ مى‌دانند. او به دفعات بیشمار توانست اپراتورهاى سیستم (Sysops) و مدیران سیستم (Sysadmins) را متقاعد كند كه او به صورت قانونى از سیستم‌هاى رایانه‌اى آن‌ها استفاده مى‌كند. او همچنین در تماس تلفنى یا ارتباط شخصى با منشى‌ها یا نگهبانانان امنیتى بسیار خوشایند و متقاعد كننده برخورد مى‌كرد تا بتواند گذرواژه‌ها و اطلاعات مهم دیگر را از بسیارى شركت‌ها بدست آورد و بعد بتواند از‌این اطلاعات براى رخنه در رایانه‌اى‌این شركت‌ها استفاده كند.

مثال دیگرى از “مهندس اجتماعی” در سال 1976 و در هنگامى ‌رویداد كه جرى اشنایدر (Jerry Schneider) توانست چندین هزار دلار را در یك برنامه تلویزیونى زنده با نام “60 دقیقه” اختلاس كند. اشنایدر به عنوان شخصى كه پاسخ درست داده است با برنامه تماس گرفت، به یك كارمند بانك شماره حساب دان راتر (Dan Rather) مجرى برنامه را داد و سپس در تلفن گفت: “ده هزار دلار!” راتر ناباورانه فریاد زد: “شما نمى‌توانید به سادگى با تماس تلفنى شماره كارت اعتبارى یكنفر را بگیرید و بجاى پانصد دلار، ده هزار دلار از حساب او بردارید.” اشنایدر پاسخ داد: “چرا، مى‌توانم.” او در واقع‌ این كار را در تلویزیون شبكه‌اى انجام داد.

اما خود رایانه‌ها تنها یك ابزارند. ‌این افراد هستند كه مرتكب جرایم رایانه‌اى مى‌شوند و مردم نیز مانند فایل‌هاى رایانه‌اى مى‌توانند به عنوان منابع اطلاعات حفاظت شده یا حساس مورد استفاده قرار گیرند. نكته خوبى كه در‌این میان وجود دارد آنست كه مردم نیز مى‌توانند از جرایم رایانه‌اى جلوگیرى كنند. هر قدر ما بیشتر درباره انواع مختلف جرایم رایانه‌اى و ابزارهاى كه براى جلوگیرى از آن‌ ایجاد شده است بدانیم، امنیت بیشترى خواهیم داشت.

برگرفته از آی تی ایران

كلیــــــاتی درباره امنیت شبكه

وقتی از امنیت شبكه صحبت می كنیم، مباحث زیادی قابل طرح و بررسی هستند، موضوعاتی كه هر كدام به تنهایی می توانند در عین حال جالب، پرمحتوا و قابل درك باشند. اما وقتی صحبت كار عملی به میان می آید، قضیه تا حدودی پیچیده می شود. تركیب علم و عمل، احتیاج به تجربه دارد و نهایت هدف یك علم بعد كاربردی آن است.
  وقتی دوره تئوری امنیت شبكه را با موفقیت پشت سر گذاشتید و وارد محیط كار شدید، ممكن است این سوال برایتان مطرح شود كه " حالا باید از كجا شروع كرد؟ اول كجا باید ایمن شود؟ چه استراتژی را در  پیش گرفت و كجا كار را تمام كرد؟ به این ترتیب " انبوهی از این قبیل سوالات فكر شما را مشغول می كند و كم كم حس می كنید كه تجربه كافی ندارید (كه البته این حسی طبیعی است ).
  پس اگر شما نیز چنین احساسی دارید و می خواهید یك استراتژی علمی - كاربردی داشته باشید، تا انتهای این مقاله را بخوانید.
همیشه در امنیت شبكه موضوع لایه های دفاعی، موضوع داغ و مهمی است. در این خصوص نیز نظرات مختلفی وجود دارد. عده ای فایروال را اولین لایه دفاعی می دانند، بعضی ها همAccess List رو اولین لایه دفاعی می دانند، اما واقعیت این است كه هیچكدام از این‌ها، اولین لایه دفاعی محسوب نمی شوند. به خاطر داشته باشید كه اولین لایه دفاعی در امنیت شبكه و حتی امنیت فیزیكی وجود یك خط مشی (Policy) هست. بدونpolicy، لیست كنترل، فایروال و هر لایه دیگر، بدون معنی می شود و اگر بدونpolicy شروع به ایمن سازی شبكه كنید، محصول وحشتناكی از كار در می آید.
با این مقدمه، و با توجه به این كه شماpolicy مورد نظرتان را كاملا تجزیه و تحلیل كردید و دقیقا می دانید كه چه می خواهید و چه نمی خواهید، كار را شروع می‌شود. حال باید پنج مرحله رو پشت سر بگذاریم تا كار تمام شود. این پنج مرحله عبارت اند از :

1-Inspection ( بازرسی )

2-Protection ( حفاظت )

3-Detection ( ردیابی )

4-Reaction ( واكنش )

5-Reflection ( بازتاب)

در طول مسیر ایمن سازی شبكه از این پنج مرحله عبور می كنیم، ضمن آن كه این مسیر، احتیاج به یك  تیم امنیتی دارد و یك نفر به تنهایی نمی تواند این پروسه را طی كند.

1-

اولین جایی كه ایمن سازی را شروع می كنیم، ایمن كردن كلیه سندیت های (authentication) موجود است. معمولا رایج ترین روشauthentication، استفاده از شناسه كاربری و كلمه رمز است.
مهمترین قسمت هایی كه بایدauthentication را ایمن و محكم كرد عبارتند از :

- كنترل كلمات عبور كاربران، به ویژه در مورد مدیران سیستم.

- كلمات عبور سوییچ و روتر ها ( در این خصوص روی سوییچ تاكید بیشتری می شود، زیرا از آنجا كه این ابزار  (device) به صورتplug and play كار می كند، اكثر مدیرهای شبكه ازconfig كردن آن غافل می شوند. در حالی توجه به این مهم  می تواند امنیت شبكه را ارتقا دهد. لذا  به مدیران امنیتی توصیه میشود كه حتما سوییچ و روتر ها رو كنترل كنند ).

- كلمات عبور مربوط بهSNMP.

- كلمات عبور مربوط به پرینت سرور.

- كلمات عبور مربوط به محافظ صفحه نمایش.

در حقیقت آنچه كه شما در كلاس‌های امنیت شبكه در موردAccount and PasswordSecurity یاد گرفتید این جا به كار می رود.

2-

گام دوم نصب و به روز رسانی  آنتی ویروس ها روی همه كامپیوتر ها، سرورها و میل سرورها است. ضمن اینكه آنتی ویروس های مربوط به كاربران باید به صورت خودكار به روز رسانی شود و آموزش های لازم در مورد فایل های ضمیمه ایمیل ها و راهنمایی لازم جهت اقدام صحیح در صورت مشاهده موارد مشكوك نیز باید به  كاربران داده شود.

3 -

گام سوم شامل نصب آخرین وصله های امنیتی و به روز رسانی های امنیتی سیستم عامل و سرویس های موجود است. در این مرحله علاوه بر اقدامات ذكر شده، كلیه سرورها، سوییچ ها، روتر ها و دسك تاپ ها با ابزار های شناسایی حفره های امنیتی بررسی می شوند تا علاوه بر شناسایی و رفع حفره های امنیتی، سرویس های غیر ضروری هم شناسایی و غیرفعال بشوند.

4-

در این مرحله نوبت گروه بندی كاربران و اعطای مجوزهای لازم به فایل ها و دایركتوری ها است. ضمن اینكه اعتبارهای(account) قدیمی هم باید غیر فعال شوند.

 گروه بندی و اعطای مجوز بر اساس یكی از سه مدل استانداردAccess ControlTechniques یعنیMAC , DAC یاRBAC انجام می شود. بعد از پایان این مرحله، یك بار دیگر امنیت سیستم عامل باید چك شود تا چیزی فراموش نشده باشد.

5-

حالا نوبتdevice ها است كه معمولا شامل روتر، سوییچ و فایروال می شود. بر اساسpolicy موجود و توپولوژی شبكه، این ابزار بایدconfig شوند. تكنولوژی هایی مثلNAT , PAT وfiltering و غیره در این مرحله مطرح می شود و بر همین علت این مرحله خیلی مهم است. حتی موضوع مهمIP Addressing كه از وظایف مدیران شبكه هست نیز می تواند مورد توجه قرار گیرد تا اطمینان حاصل شود كه از حداقل ممكن برایIP Assign به شبكه ها استفاده شده است.

6-

قدم بعد تعیین استراژی تهیه پشتیبان(backup) است. نكته مهمی كه وجود دارد این است كه باید مطمئن بشویم كه سیستمbackup و بازیابی به درستی كار كرده و در بهترین حالت ممكن قرار دارد.

7-

امنیت فیزیكی. در این خصوص  اول از همه باید به سراغUPS ها رفت. باید چك كنیم كهUPS ها قدرت لازم رو برای تامین نیروی الكتریكی لازم جهت كار كرد صحیح سخت افزار های اتاق سرور در زمان اضطراری را داشته باشند. نكات بعدی شامل كنترل درجه حرارت و میزان رطوبت،ایمنی در برابر سرقت و آتش سوزی است. سیستم كنترل حریق باید به شكلی باشد كه به نیروی انسانی و سیستم های الكترونیكی آسیب وارد نكند. به طور كل آنچه كه مربوط به امنیت فیزیكی می شود در این مرحله به كار می رود.

8-

امنیت وب سرور یكی از موضوعاتی است كه باید وسواس خاصی در مورد آن داشت.به همین دلیل در این قسمت، مجددا و با دقت بیشتر وب سرور رو چك و ایمن می كنیم. در حقیقت، امنیت وب نیز در این مرحله لحاظ می شود.

(توجه:هیچ گاه  اسكریپت های سمت سرویس دهنده را فراموش نكنید )

9 -

حالا نوبت بررسی، تنظیم و آزمایش  سیستم هایAuditing وLogging هست. این سیستم ها هم می تواند بر پایهhost و هم بر پایهnetwork باشد. سیستم های رد گیری و ثبت حملات هم در این مرحله نصب و تنظیم می شوند. باید مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبی محافظت می شود. در ضمن ساعت و تاریخ سیستم ها درست باشد چرا كه در غیر این صورت كلیه اقداما قبلی از بین رفته و امكان پیگیری های قانونی در صورت لزوم نیز دیگر  وجود نخواهد داشت.

10-

ایمن كردنRemote Access با پروتكل و تكنولوژی های ایمن وSecure گام بعدی محسوب می شود. در این زمینه با توجه به شرایط و امكانات، ایمن ترین پروتكل و تكنولوژی ها را باید به خدمت گرفت.

11 -

نصب فایروال های شخصی در سطحhost ها، لایه امنیتی مضاعفی به شبكه شما میدهد. پس این مرحله را نباید فراموش كرد.

12 -

شرایط بازیابی در حالت های اضطراری را حتما چك و بهینه كنید. این حالت ها شامل خرابی قطعات كامپیوتری، خرابكاری كاربران، خرابی ناشی از مسایل طبیعی ( زلزله - آتش سوزی – ضربه خوردن - سرقت - سیل) و خرابكاری ناشی از نفوذ هكرها، است. استاندارد هایwarm site وhot site را در صورت امكان رعایت كنید.

به خاطر داشته باشید كه " همیشه در دسترس بودن اطلاعات "، جز، قوانین اصلی امنیتی هست.

13-

و قدم آخر این پروسه كه در حقیقت شروع یك جریان همیشگی هست، عضو شدن در سایت ها و بولتن های امنیتی و در آگاهی ازآخرین اخبار امنیتی است.

برگرفته از www.sgnec.net

آزمون امنیت اطلاعات

متن زیر یك تست سریع و آموزنده می باشد كه به برخی از سوالات شما در زمینه امنیت اطلاعات پاسخ می دهد. همانطور كه خواهید دید به صورت پرسش و پاسخ بیان شده است.

باب امنیت اطلاعات اغلب پیچیده می باشد. بر همین اساس این مبحث به برخی از سوالاتی كه ممكن است برای شماایجاد شود ، پاسخ داده است و پیشنهاداتی را برای آن ارائه داده است تا به سادگی قبول كنید كه سیستم های شما نیز ممكن است در معرض خطر قرار گیرد.

1-اگر امنیت اطلاعات را افزایش دهیم ، كارایی كاهش پیدا می كند. درست یا غلط ؟

درست –

امنیت اطلاعات هزینه مربوط به خودش را دارد. افزایش امنیت اطلاعات ممكن است به روالهای موثر اضافی از جمله «تكنولوژی» و «سرمایه گذاری » نیاز داشته باشد.

افزایش امنیت اطلاعات ممكن است پیشرفت جریان كار را با كندی مواجهه كند و این امر ممكن است در كارایی افراد و شبكه شما نمود پیدا كند. امنیت اطلاعات ممكن است به معنی قفل كردن ایستگاههی كاری و محدود كردن دسترسی به اتاقهای كامپیوتر و سرور شما باشد. هر سازمانی باید هنگامی كه به مقوله امنیت اطلاعات می پردازد به صورت اندیشمندانه ای بین خطرات (Risks ) و كارآیی توازن برقرار كند.

2-حملاتی كه توسط نفوذگران خارجی انجام می گیرد نسبت به حملات كارمندان داخلی هزینه بر تر و خسارت بار تر می باشد. درست یا غلط ؟

غلط-

حملات كارمندان داخلی نوعا بسیار خسارت بار تر از حملات خارجی گزارش شده است. بر طبق آمارهای انستیتو امنیت كامپیوتر (Compuetr Security Inistitu ) میانگین حملات خارجی 57000 دلار و میانگین هزینه حملات داخلی 2700000 دلار برآورد شده است.

كارمندان داخلی اطلاعات محرمانه بیشتری درباره سیستم های هدف در دسترس دارند از آن جمله می توان اطلاعاتی درباره فعالیت های دیده بانی (Monitoring ) را نام برد (به خصوص نقاط ضعف این فعالیتها )

3-پیكربندی یك دیواره آتش (Firewall ) به صورت كامل ما ر در مقابل حملات خارجی ایمن می كند. درست یا غلط ؟

غلط –

آمارهای انستیو امنیت كامپیوتر نشان می دهد كه 3/1 شركتهایی كه از دیواره آتش استفاده كرده اند هنوز از دست نفوذگران بد اندیش در امان نمانده اند. اولین كاركرد دیواره آتش بستن پورتهای مشخص می باشد به همین دلیل در بعضی از مشاغل نیاز است كه بعضی از پورتها باز باشد. هر پورت باز می تواند یك خطری را برای سازمان ایجاد كند و یك معبر برای شبكه شما باشد.

ترافیكی كه از میان یك پورت می گذرد را باید همیشه به صورت سختگیرانه ای دیده بانی (Monitor ) كرد تا تمامی تلاشهایی كه منجر به نفوذ در شبكه می شود شناسایی و گزارش شود.

یك دیواره آتش به تنهایی نمی تواند یك راه حل جامع باشد و باید از آن به همراه تكنولوژی هایIDS (Intrusion Detection System ) و روشهای تركیبی استفاده كرد.

4-اگر دیواره آتش من به صورت مناسبی پیكر بندی شود دیگر نیازی به دیده بانی بیشتر ترافیك شبكه نمی باشد. درست یا غلط ؟

غلط –

همیشه نفوذگران خبره می توانند یك دیواره آتش را در هم شكنند و به آن نفوذ كنند. به همین دلیل دیده بانی كلیدی برای هر برنامه امنیت اطلاعات می باشد. فراموش نكنید كه دیواره آتش نیز ممكن است هك شود وIDS ها راهی می باشند برای اینكه بدانید چه سیستم هایی در شرف هك شدن می باشند.

5-دیواره های آتش باید به گونه ای پیكربندی شوند كه علاوه بر ترافیك ورودی به شبكه ، ترافیك های خروجی را نیز كنترل كنند . درست یا غلط ؟

درست  -

بسیاری از سازمانها توجه زیادی به محدود كردن ترافیك ورودی خود دارند ، اما در مقایسه توجه كمتری در مسدود كردن ترافیك خروجی از شبكه را دارند. خطرات زیادی ممكن است در درون سازمان وجود داشته باشد. یك كارمند ناراضی یا یك نفوذگر كه شبكه شما را در دست گرفته است ، ممكن است كه بخواهد اطلات حساس و محرمانه شما را برای شركت رقیب بفرستد.

 6-امنیت اطلاعات به عنوان یك مبحث تكنولوژیكی مطرح است  درست یا غلط ؟

غلط –

امنیت اطلاعات یك پی آمد تجاری -فرهنگی می باشد. یك استراتژی جامع امنیت طلاعات باید شامل سه عنصر باشد: روالها و سیاستهای اداری ، كنترل دسترسی های فیزیكی ، كنترل دسترسی های تكنیكی . این عناصر – اگر به صورت مناسبی اجرا شود – مجموعا یك فرهنگ امنیتی ایجاد می كند. بیشتر متخصصین امنیتی معتقدند كه تكنولوژیهای امنیتی فقط كمتر از 25 درصد مجموعه امنیت را شامل می شوند. حال آنكه در میان درصد باقیمانده آنچه كه بیشتر از همه نمود دارد ،« افراد » می باشند. (كاربر انتهایی) افراد یكی از ضعیف ترین حلقه ها ، در هر برنامه امنیت اطلاعات می باشند.

7-هرگاه كه كارمندان داخلی ناراضی از اداره اخراج شوند ، خطرات امنیتی از بین می روند. درست یا غلط ؟

غلط –

به طور واضح غلط است. برای شهادت غلط بودن این موضوع می توان به شركتMeltdown اشاره كرد كه لشكری از كارمندان ناراضی اما آشنا به سرقتهای كامپیوتری برای خود ایجاد كرده بود. بر طبق گفته هایFBI حجم فعالیتهای خرابكارانه از كارمندان داخلی افزایش یافته است. همین امر سازمانها را با خطرات جدی در آینده مواجهه خواهد كرد.

8-نرم افزارهای بدون كسب مجوز (Unauthorized Software ) یكی از عمومی ترین رخنه های امنیتی كاربران داخلی می باشد. درست یا غلط ؟

درست –

رخنه ها (Breaches ) می تواند بدون ضرر به نظر بیاید ، مانندScreen Saver های دریافت شده از اینترنت یا بازی ها و ...

نتیجه این برنامه ها ، انتقال ویروس ها ، تروجانها و... می باشد. اگر چه رخنه ها می تواند خطرناكتر از این باشد. ایجاد یا نصب یك برنامه كنترل از راه دور كه می تواند یك در پشتی (Backdoor ) قابل سوءاستفاده ای را در شبكه ایجاد كندكه به وسیله دیواره آتش نیز محافظت نمی شود.

بر طبق تحقیقاتی كه توسطICSA.net وGlobal Integrity انجام شده است بیش از 78 درصد گزارش ها مربوط به ایجاد یك رخنه در نرم افزار دریافتی از افراد یا سایتهای ناشناخته است.

9-خسارتهای ناشی از سایتهای فقط اطلاعاتی كمتر از سایتهای تجاری می باشد. درست یا غلط ؟

درست –

درست است كه خطرهای مالی در سایتهای فقط اطلاعاتی كمتر از سایتهای تجاری می باشد ولی خطر مربوط به شهرت و اعتبار، آنها را بیشتر تهدید می كند. سازمانها نیازمند این می باشند كه مداوم سایت های اطلاع رسانی را بازبینی كنند تا به تهدید های احتمالی شبكه های خودخیلی سریع پی ببرند و در مقابل آنها واكنش نشان دهند تا از خسارتهایی كه ممكن است شهرت آنها را بر باد دهد جلوگیری كنند.

10-رمزهای عبور می تواند جلو كسانی كه دسترسی فیزیكی به شبكه را دارند ، بگیرد. درست یا غلط ؟

غلط –

كلمات رمز نوعا خیلی كم می توانند جلو كارمندان داخلی و خبره را بگیرند. بسیاری از سازمانها تمامی تلاش خود را روی امور تكنیكی امنیت اطلاعات صرف می كنندو در برخورد با مسائل اداری و كنترل دسترسی فیزیكی لازم برای ایجاد یك محافظت مناسب ، با شكست مواجه می شوند.

11-یك نام كاربری و یك رمز عبور می تواند شبكه ما را از ارتباط با یك شبكه غیردوستانه (Unfriendly ) محافظت كند. درست یا غلط ؟

غلط –

یك ارتباط فیزیكی و یك آدرس شبكه همه آنچیزی می باشد كه یك نفوذگر برای نفوذ در شبكه نیاز دارد.با یك ارتباط می توان تمامی ترافیك شبكه را جذب كرد (به این كارSniffing می گویند ) . مهاجم قادر است با استفاده از تكنیكهایSniffing كل ترافیك حساس شبكه ، شامل تركیباتی ازنام كاربری/رمز عبور را جذب كند و در حملات بعدی از آنها استفاده كند.

12-هیچكسی در سازمان نباید به رمزهای عبور دسترسی داشته باشد به جز مدیر امنیت شبكه . درست یا غلط ؟

غلط –

هیچ كس در سازمان نباید به كلمات رمز كاربران دسترسی داشته باشد ، حتی مدیر امنیتی شبكه! رمزهای عبور باید به صورت رمز شده (Encrypted ) ذخیره شوند. برای كاربران جدید ابتدا با یك رمز عبور ساخته شده اجازه ورود به شبكه داده می شود و پس از آن باید روالی قرار داد تا كاربران بتوانند در هر زمانی كلمات رمز خود را تغییر دهند. همچنین باید سیاستهایی را برای مواردی كه كاربران رمزهای عبور خود را فراموش كرده اند در نظر گرفت.

1

3- رمزگذاری باید برای ترافیك های داخلی شبكه به خوبی ترافیك خروجی شبكه انجام گیرد.

درست یا غلط ؟

درست –

به عنوان یك نكته باید گفت كه فرآیندSniffing (جذب داده هایی كه روی شبكه رد و بدل می شود) به عنوان یك خطر امنیتی داخلی و خارجی مطرح می شود.

14-امنیت داده ها در طول انتقال آنها هدف رمزگذاری است .  درست یا غلط ؟

غلط –

رمزگذاری همچنین می تواند جامعیت (Integrity ) ، تصدیق (Authentication ) و عدم انكار (nonrepudiation ) داده ها را نیز پشتیبانی كند.

برگرفته ازسایت SGNEC.net

آشنائی با شبكه های بی سیم

قسمت اول:

مقدمه

نیاز روز افزون به پویاییكارها ، استفاده از تجهیزاتی مانند تلفن همراه ، پیجرها و ...

بواسطه وجود شبكه های بی سیم امكان پذیر شده است.

اگر كاربر یا شركت یا برنامه كاربردی خواهان آن باشد كه داده و اطلاعات مورد نیاز خود را به صورت متحرك در هر لحظه در اختیار داشته باشند شبكه های بی سیم جواب مناسبی برای آنهاست.

این مقاله دربخش‌های مختلفی ارائه میشود، در بخش حاضر فقط به بیان كلیاتی در رابطهبا شبكه‌های بی‌سیم و كابلی پرداخته شده، در بخش‌های بعدی به جزئیات بیشتری در رابطه با شبكه‌های بی‌سیم خواهیم پرداخت.

تشریح مقدماتی شبكه های بی سیم و كابلی

شبكه های محلی (LAN ) برای خانه و محیط كار می توانند به دو صورت كابلی (Wired ) یا بی سیم (Wireless ) طراحی گردند . درابتدا این شبكه ها به روش كابلی با استفاده از تكنولوژیEthernet طراحی می شدند اما اكنون با روند رو به افزایش استفاده از شبكه های بی سیم با تكنولوژیWi-Fiمواجه هستیم .

در شبكه های كابلی (كه در حال حاضر بیشتر با توپولوژی ستاره ای بكار می روند ) بایستی از محل هر ایستگاه كاری تا دستگاه توزیع كننده (هاب یا سوئیچ ) به صورت مستقل كابل كشی صورت پذیرد(طول كابل ازنوعCAT5نبایستی 100 متر بیشتر باشد در غیر اینصورت از فیبر نوری استفاده میگردد) كه تجهیزات بكار رفته از دونوع غیر فعال (Passive ) مانند كابل ، پریز، داكت ، پچ پنل و.......... . و فعال (Active )مانند هاب ،سوئیچ ،روتر ، كارت شبكه و........... هستند .

موسسه مهندسیIEEE استانداردهای802.3u را برایFast Ethernetو802.3ab و802.3z را برایGigabit Ethernet( مربوط بهكابلهای الكتریكی و نوری ) در نظر گرفته است.

شبكه های بی سیم نیز شامل دستگاه مركزی (Access Point )می باشد كه هر ایستگاه كاری می تواند حداكثر تا فاصله 30 متر ی آن (بدون مانع ) قرار گیرد. شبكه های بی سیم (Wlan ) یكی از سه استاندارد ارتباطیWi-Fi زیر را بكار می برند:

802.11b كه اولین استانداردی است كه به صورت گسترده بكار رفته است .802.11a سریعتر اما گرانتر از802.11b می باشد.802.11g جدیدترین استاندارد كه شامل هر دو استاندارد قبلی بوده و از همه گرانتر میباشد.

هر دونوع شبكه های كابلی و بی سیم ادعای برتری بر دیگری را دارند اما انتخاب صحیح با در نظر گرفتن قابلیتهای آنها میسر می باشد.

عوامل مقایسه

در مقایسه شبكه های بی سیم و كابلی می تواند قابلیتهای زیر مورد بررسی قرار گیرد:

نصب و راه اندازی هزینه قابلیت اطمینان كارائی امنیت

نصب و راه اندازی

در شبكه های كابلی بدلیل آنكه به هر یك از ایستگاههای كاری بایستی از محل سویئچمربوطه كابل كشیده شود با مسائلی همچون سوارخكاری ، داكت كشی ، نصب پریز و......... مواجه هستیمدر ضمن اگر محل فیزیكی ایستگاه مورد نظر تغییر یابد بایستی كه كابل كشی مجدد و .......صورت پذیرد

شبكه های بی سیم از امواج استفاده نموده و قابلیت تحرك بالائی را دارا هستند بنابراین تغییرات در محل فیزیكی ایستگاههای كاری به راحتی امكان پذیر می باشد برای راه اندازی آن كافیست كه از روشهای زیر بهره برد:

بنابراین میتوان دریافت كه نصب و را ه اندازی شبكه های كابلی یا تغییرات در آن بسیار مشكلتر نسبت به مورد مشابه یعنی شبكه های بی سیم است .

هزینه

تجهیزاتی همچون هاب ، سوئیچ یا كابل شبكه نسبت به مورد های مشابه در شبكه های بی سیم ارزانتر می باشد اما درنظر گرفتن هزینه هاینصب و تغییرات احتمالی محیطی نیز قابل توجه است .

قابل به ذكر است كه با رشد روز افزون شبكه های بی سیم ، قیمت آن نیز در حال كاهش است .

قابلیت اطمینان

تجهیزات كابلی بسیار قابل اعتماد میباشند كه دلیل سرمایه گذاری سازندگان از حدود بیست سال گذشته نیز همین می باشد فقط بایستی در موقع نصب و یا جابجائی ، اتصالاتبا دقت كنترل شوند.

تجهیزات بی سیم همچونBroadband Router هامشكلاتی مانند قطع شدن‌های پیاپی، تداخل امواج الكترومغناظیس، تداخل با شبكه‌های بی‌سیم مجاور و ... را داشته اند كه روند رو به تكامل آننسبت به گذشته(مانند802.11g ) باعث بهبود در قابلیت اطمیناننیز داشته است .

كارائی

شبكه های كابلی دارای بالاترین كارائی هستند در ابتدا پهنای باند10 Mbps سپس به پهنای باندهای بالاتر(100 Mbps و1000Mbps) افزایشیافتند حتی در حال حاضر سوئیچهائیبا پهنای باند1Gbpsنیز ارائه شده است .

شبكه های بی سیم با استاندارد802.11b حداكثر پهنای باند11Mbpsو با802.11a و802.11gپهنای باند54 Mbps را پشتیبانی می كنندحتی در تكنولوژیهای جدید این روند با قیمتی نسبتا بالاتر به108Mbpsنیز افزایش داده شده است علاوه بر این كارائیWi-Fiنسبت به فاصله حساس می باشد یعنی حداكثر كارائی با افزایش فاصله نسبت به َAccess Point پایین خواهد آمد. این پهنای باند برای به اشتراك گذاشتن اینترنت یا فایلها كافی بوده اما برای برنامه هائی كه نیاز به رد و بدل اطلاعات زیاد بین سرور و ایستگاهای كاری (Client to Server ) دارند كافی نیست .

امنیت

بدلیل اینكه در شبكه های كابلی كه به اینترنت هم متصل هستند، وجود دیواره آتش از الزامات است و تجهیزاتی مانند هاب یا سوئیچ به تنهایی قادر به انجام وظایف دیواره آتش نمیباشند، بایستی در چنین شبكه هایی دیواره آتش مجزایی نصب شود.

تجهیزات شبكه های بی سیم مانندBroadband Routerها دیواره آتش بصورت نرم افزاری وجود داشته و تنها بایستی تنظیمات لازم صورت پذیرد. از سوی دیگر به دلیل اینكه در شبكه‌های بی‌سیم از هوا بعنوان رسانه انتقال استفاده میشود، بدون پیاده سازی تكنیك‌های خاصی مانند رمزنگاری، امنیت اطلاعات بطور كامل تامین نمی گردداستفاده از رمزنگاریWEP (Wired Equivalent Privacy ) باعث بالا رفتن امنیت در این تجهیزات گردیده است .

انتخاب صحیح كدام است؟

با توجه به بررسیو آنالیز مطالبی كه مطالعه كردید بایستی تصمیم گرفت كه در محیطی كه اشتراك اطلاعات وجود دارد و نیاز به ارتباط احساس می شو دكدام یك از شبكه های بی سیم و كابلی مناسبتر به نظر می رسند .

جدول زیر خلاصه ای از معیارهای در نظر گرفته شده در این مقاله می باشد . بعنوان مثال اگر هزینه برای شما مهم بوده و نیاز به استفاده از حداكثر كارائی را دارید ولی پویائی برای شما مهم نمی باشد بهتر است از شبكه كابلی استفاده كنید.

بنابراین اگر هنوز در صدد تصمیم بین ایجاد یك شبكه كامپیوتری هستید جدول زیر انتخاب رابرای شما ساده تر خواهد نمود.

جدول مقایسه ای :

نوع سرویس شبكه های كابلی شبكه های بی‌سیم

برگرفته از www.sgnec.net

مراقب حملات مهندسی اجتماعی و كلاهبرداری باشید

این هكرهای خوش تیپ!

آیا شما از جمله افرادی هستید كه به ظاهر افراد و نحوه برخورد آنان بسیار اهمیت داده و با طرح صرفا یك سوال از جانب آنان، هر آنچه را كه در ارتباط با یك موضوع خاص می‌دانید در اختیار آنان قرار می‌دهید؟ رفتار فوق گرچه می‌تواند در موارد زیادی دستاوردهای مثبتی را برای شما به‌دنبال داشته باشد، ولی در برخی حالات نیز ممكن است چالش‌ها و یا مسائل خاصی را برای شما و یا سازمان شما، ایجاد نماید. آیا وجود این‌گونه افراد در یك سازمان مدرن اطلاعاتی(خصوصا سازمانی كه با داده‌های حساس و مهم سروكار دارد) نمی‌تواند تهدیدی در مقابل امنیت آن سازمان محسوب گردد؟ به منظور ارائه اطلاعات حساس خود و یا سازمان خود از چه سیاست‌ها و رویه‌هایی استفاده می‌نمایید ؟  آیا در چنین مواردی تابع مجموعه مقررات و سیاست‌های خاصی می‌باشید؟ صرفنظر از پاسخی كه شما به هر یك از سوالات فوق خواهید داد، یك اصلمهم در این راستا وجود دارد كه می‌بایست همواره به آن اعتقاد داشت: «هرگز اطلاعات حساس خود و یا سازمان خود را در اختیار دیگران قرار نداده مگر این كه مطمئن شوید كه آن فرد همان شخصی است كه ادعا می‌نماید و می‌بایست به آن اطلاعات نیز دستیابی داشته باشد«.

یك حمله مهندسی اجتماعی چیست؟

به منظور تدارك و یا برنامه‌ریزی یك تهاجم از نوع حملات مهندسی اجتماعی، یك مهاجم با برقراری ارتباط با كاربران و استفاده از مهارت‌های اجتماعی خاص (روابط عمومی‌مناسب، ظاهری آراسته و...)، سعی می‌نماید به اطلاعات حساس یك سازمان و یا كامپیوتر شما دستیابی و یا به آنان آسیب رساند. یك مهاجم ممكن است خود را به عنوان فردی متواضع و قابل احترام نشان دهد. مثلا وانمود نماید كه یك كارمند جدید است، یك تعمیر كار است و یا یك محقق و حتی اطلاعات حساس و شخصی خود را به منظور تایید هویت خود به شما ارائه نماید. یك مهاجم، با طرح سوالات متعدد و برقراری یك ارتباط منطقی بین آنان، می‌تواند به بخش‌هایی از اطلاعات مورد نیاز خود به منظور نفوذ در شبكه سازمان شما دستیابی پیدا نماید. در صورتی كه یك مهاجم قادر به اخذ اطلاعات مورد نیاز خود از یك منبع نگردد، وی ممكن است با شخص دیگری از همان سازمان ارتباط برقرار نموده تا با كسب اطلاعات تكمیلی و تلفیق آنان با اطلاعات اخذ شده از منبع اول، توانمندی خود را افزایش دهد. (یك قربانی دیگر(!.

یك حمله Phishing چیست ؟

این نوع از حملات شكل خاصی از حملات مهندسی اجتماعی بوده كه با هدف كلاهبرداری و شیادی سازماندهی می‌شوند. در حملات فوق از آدرس‌های Emailو یا وب سایت‌های مخرب به منظور جلب نظر كاربران و دریافت اطلاعات شخصی آنان نظیر اطلاعات مالی استفاده می‌گردد. مهاجمان ممكن است با ارسال یك Emailبا ظاهری قابل قبول و از یك شركت معتبر كارت اعتباری  و یا موسسات مالی، از شما درخواست اطلاعات مالی را نموده  و اغلب عنوان نمایند كه یك مشكل خاص ایجاد شده است و ما در صدد رفع آن می‌باشیم. پس از پاسخ كاربران به اطلاعات درخواستی، مهاجمان از  اطلاعات اخذ شده به منظور دستیابی به سایر اطلاعات مالی و بانكی  استفاده می‌نمایند.

نحوه پیشگیری از حملات مهندسی اجتماعی و كلاهبرداری

به تلفن‌ها، نامه‌های الكترونیكی و ملاقات‌هایی كه عموما ناخواسته بوده و در آنان از شما درخواست اطلاعاتی خاص در مورد كاركنان و یا سایر اطلاعات شخصی می‌گردد، مشكوك بوده و با دیده سوء ظن به آنان نگاه كنید. در صورتی كه یك فرد ناشناس ادعا می‌نماید كه از یك سازمان معتبر است، سعی نمایید با سازمان مورد ادعای وی  تماس گرفته و  نسبت به هویت وی كسب تكلیف كنید.

هرگز اطلاعات شخصی و یا اطلاعات مربوط به سازمان خود را ( مثلا ساختار و یا شبكه‌ها ) در اختیار دیگران قرار ندهید، مگر این كه اطمینان حاصل گردد  كه فرد متقاضی مجور لازم به منظور دستیابی به اطلاعات درخواستی را  دارا می‌باشد .

هرگز اطلاعات شخصی و یا مالی خود را در یك emailافشا نكرده و به نامه‌های الكترونیكی ناخواسته‌ای كه درخواست این نوع اطلاعات را از شما می‌نمایند، پاسخ ندهید (به لینك‌های موجود در این‌گونه نامه‌های الكترونیكی ناخواسته نیز توجهی نداشته باشید(.

هرگز اطلاعات حساس و مهم شخصی خود و یا سازمان خود را بر روی اینترنت ارسال ننمایید. قبل از ارسال این‌گونه اطلاعات حساس، می‌بایست Privacyوب سایت مورد نظر به دقت مطالعه شده تا مشخص شود كه اهداف آنان از جمع آوری اطلاعات شخصی شما چیست و نحوه برخورد آنان با اطلاعات به چه صورت است ؟

دقت لازم در خصوص آدرس URLیك وب سایت را داشته باشید. وب سایت های مخرب ممكن است خود را مشابه یك وب سایت معتبر ارائه نموده كه آدرس URLآنان دارای تفاوت اندكی با وب سایت‌های شناخته شده باشد. وجود تفاوت اندك در حروف استفاده شده برای نام سایت و یا تفاوت در domain، نمونه‌هایی در این زمینه می‌باشند  مثلا.com)در مقابل. net)

در صورت عدم اطمینان از معتبر بودن یك Emailدریافتی،  سعی نمایید با برقراری تماس مستقیم با شركت مربوطه  نسبت به هویت آن اطمینان حاصل نمایید. از اطلاعات موجود بر روی یك سایت مخرب به منظور تماس با آنان استفاده نمایید چرا كه این اطلاعات می‌تواند شما را به مسیری دیگر هدایت نماید كه صرفا اهداف مهاجمان را تامین نماید. به منظور آگاهی از این نوع حملات كه تاكنون به‌وقوع پیوسته است، می‌توانید به آدرسhttp://www.antiphishing.org/phishingarchive.html،  مراجعه  نمایید.

با نصب و نگهداری نرم افزارهای آنتی ویروس، فایروال‌ها و فیلترینگ نامه‌های الكترونیكی ناخواسته‌

 ( spam)، سعی نمایید یك سطح حفاظتی مناسب به منظور كاهش این نوع حملات را ایجاد نمایید.

اقدامات لازم در صورت بروز تهاجم

در صورتی كه فكر می‌كنید به هر دلیلی اطلاعات حساس سازمان خود را در اختیار دیگران ( افرادغیر مجاز ) قرار داده‌اید، بلافاصله موضوع را به اطلاع افراد ذیربط شاغل در سازمان خود (مثلا مدیران شبكه ) برسانید. آنان می‌توانند در خصوص هر گونه فعالیت‌های غیرمعمول و یا مشكوك، هشدارهای لازم را در اسرع وقت در اختیار دیگران قرار دهند.

در صورتی كه فكر می‌كنید اطلاعات مالی شما ممكن است در معرض تهدید قرار گرفته شده باشد، بلافاصله با موسسه مالی خود تماس حاصل نموده و تمامی‌حساب‌های مالی در معرض تهدید را مسدود نمایید. در این رابطه لازم است دقت، حساسیت و كنترل لازم در خصوص هر گونه برداشت از حساب‌های بانكی خود را داشته باشید.

گزارشی در خصوص نوع تهاجم را تهیه نموده و  آن را در اختیار سازمان‌های ذی ربط قانونی قرار دهید

برگرفته از سخاروش

آشنائی با شبكه های بی سیم

قسمت دوم

WLANS(Wireless Local Area Networks )

این نوع شبكه برای كاربران محلی از جمله محیطهای(Campus) دانشگاهی یا آزمایشگاهها كه نیاز به استفاده از اینترنت دارند مفید می باشد. در این حالت اگر تعداد كاربران محدود باشند می توان بدون استفاده ازAccess Pointاین ارتباط را برقرار نمود .در غیر اینصورت استفاده ازAccess Point ضروری است.می توان با استفاده از آنتن های مناسب مسافت ارتباطی كاربران را به شرط عدم وجود مانع تاحدی طولانی تر نمود.

WPANS(Wireless Personal Area Networks )

دو تكنولوژی مورد استفاده برای این شبكه ها عبارت از :IR (Infra Red ) وBluetooth (IEEE 802.15 ) می باشد كه مجوز ارتباط در محیطی حدود 90 متر را می دهد البته درIR نیاز به ارتباط مستقیم بوده و محدودیت مسافت وجود دارد .

 WMANS(Wireless Metropolitan Area Networks )

توسط این تكنولوژی ارتباط بین چندین شبكه یا ساختمان در یك شهر برقرار می شود برایBackupآن می توان از خطوط اجاره ای ،فیبر نوری یا كابلهای مسی استفاده نمود .

WWANS(Wireless Wide  Area Networks )

برای شبكه هائی با فواصل زیاد همچون بین شهرها یا كشورها بكار می روداین ارتباط از طریق آنتن ها ی بی سیم یا ماهواره صورت می پذیرد .

جدول و شكل زیركاربرد انواع شبكه های بی سیم در فواصل متفاوت را نشان می دهد:

امنیت در شبكه های بی سیم

سه روش امنیتی در شبكه های بی سیم عبارتند از :

-

WEP

(

Wired Equivalent Privacy

)

در این روش از شنود كاربرهایی كه در شبكه مجوز ندارند جلوگیریبه عمل می آید كه مناسب برای شبكه های كوچك بوده زیرا نیاز به تنظیمات دستی(KEY) مربوطه در هرClient می باشد.

اساس رمز نگاریWEP بر مبنای الگوریتمRC4بوسیلهRSA می باشد.

-

SSID

(

Service Set Identifier

)

شبكه هایWLAN دارای چندین شبكه محلی می باشند كه هر كدام آنها دارای یك شناسه (Identifier ) یكتا می باشند این شناسه ها در چندینAccess Pointقرار داده می شوند . هر كاربر برای دسترسی به شبكه مورد نظر بایستی تنظیمات شناسهSSID مربوطه را انجام دهد .

-

MAC

(

Media Access Control

)

لیستی ازMAC آدرس های مورد استفاده در یك شبكه بهAP (Access Point ) مربوطه وارد شدهبنابراین تنها كامپیوترهای دارای اینMAC آدرسها اجازه دسترسی دارند به عبارتی وقتی یك كامپیوتر درخواستی را ارسال می كندMAC آدرس آن با لیستMAC آدرس مربوطه درAP مقایسه شده و اجازه دسترسی یا عدمدسترسی آن مورد بررسی قرار می گیرد .این روش امنیتی مناسب برای شبكه های كوچك بوده زیرا در شبكه های بزرگ امكان ورود این آدرسها بهAPبسیار مشكل می باشد.

انواع استاندارد  802.11

اولین بار در سال 1990 بوسیله انستیتیوIEEE معرفی گردید كه اكنون تكنولوژیهای متفاوتی از این استاندارد برای شبكه های بی سیم ارائه گردیده است .

802.11

برای روشهای انتقالFHSS(frequency hopping spared spectrum )یاDSSS (direct sequence spread spectrum )با سرعت1 Mbpsتا2Mbps در كانال2.4 GHz قابل استفاده می باشد.

802.11a

برای روشهای انتقالOFDM (orthogonal frequency division multiplexing ) با سرعت54Mbps در كانال5GHz قابل استفاده است.

802.11b

این استاندارد با نامWI-Fi یاHigh Rate 802.11 قابل استفاده در روشDSSS بوده و در شبكه های محلی بی سیم نیز كاربرد فراوانی دارد همچنیندارای نرخ انتقال11Mbpsمی باشد.

802.11g

این استاندارد برای دستیابی به نرخ انتقال بالای20Mbps در شبكه های محلی بی سیم و در كانال2.4GHz كاربرد دارد.

جدول زیر خلاصه سایر استانداردهایIEEEدر شبكه های بی سیم را نمایش می دهد:

.

Bluetooth

نوع ساده ای از ارتباط شبكه های بی سیم است كه حداكثر ارتباط 8 دستگاه رابا تكنولوژیBluetoothپشتیبانی می كند دستگاههایی از قبیلPDA ، نوت بوك ، تلفن های همراه و كامپیوترهای شخصی از جمله این موارد هستند می دهد اگرچه این تكنولوژی ممكن است در صفحه كلیدها ،موس ها وHeadsetوHands-free تلفن های همراه نیز دیده شود این تكنولوژی در سال 1994توسط شركت اریكسون ایجاد شددر سال 1998تعداد كوچكی از كمپانیهای مشهور مانند اریكسون ،نوكیا ، اینتل و توشیبا استفاده شد. بلوتوس در فواصل كوتاهی بین 9 تا 90 متر كار می كنند این فاصله پشتیبانی به امنیت این تكنولوژی می افزاید .چرا كه اگر كسی بخواهد ارتباط شما را شنود كند گر چه به ابزار خاصی نیاز ندارد اما بایستی در فاصله نزدیكی از شما قرار بگیرد مهمتری ویژگی بلوتوس این است كه بر خلافInfraredموانعی مانند دیوار تاثیری بر روی سیگنال آن ندارند از تكنولوژی رادیوئی استفاده كرده كه خیلی گران نبوده و مصرف برق خیلی كمی دارد .

برگرفته از farsilinux.org

امنیت شبكه: چالشها و راهكارها

(قسمت دوم)

4: راهكارهای امنیتی شبكه 4-1: كنترل دولتی

علاوه بر بهره‌گیری از امكانات فنی، روشهای كنترل دیگری نیز برای مهار اینترنت پیشنهاد شده است. در این روش، سیاست كلی حاكم بر كشور اجازه دسترسی به پایگاههای مخرب و ضد اخلاقی را نمی‌دهد و دولت شبكه‌های جهانی را از دروازه اتصال و ورود به كشور با فیلترهای مخصوص كنترل می‌كند.
 

4-2: كنترل سازمانی

روش دیگر كنترل سازمانی است كه معمولاً سازمان، اداره یا تشكیلاتی كه مسئولیت سرویس‌دهی و اتصال شهروندان را به اینترنت به عهده می‌گیرند، خود موظف به كنترل شبكه و نظارت بر استفاده صحیح از آن می‌شود تا با الزامات قانونی و اخلاقی تواماً انجام این وظیفه را تضمین كند.
 

4-3: كنترل فردی

كنترل فردی روش دیگری است كه قابل انجام است. در این نوع كنترل تمام تضمینهای اجرایی، درون فردی است و شخص با بهره‌گیری از وجدان فردی و مبانی اخلاقی و تعهد دینی، مراقبتهای لازم را در ارتباط با شبكه‌های جهانی به عمل آورد. این اعتقاد و فرهنگ در محدودة خانواده نیز اعمال می‌شود و چه بسا اطرافیان را نیز تحت تأثیر قرار دهد. البته شیوة اخیر در صورتی ممكن خواه بود كه واگذاری خط اشتراك IP پس از شناسایی كامل افراد و با ملاحظه خصوصیات اخلاقی آنان انجام پذیرد. در غیر این صورت تصور اعمال چنین كنترلی از سوی تك تك افراد جامعه صرفاً در حد آرزو باقی خواهد ماند. آرزویی كه نمی‌تواند بسیاری از تأثیرات سوء این شبكه را از بین ببرد و آن را بسوی شبكه سالم سوق دهد.
 

4-4: تقویت اینترانت‌ها

از سوی دیگر تقویت شبكه‌های داخلی كه به اینترانت معرو ف است می‌تواند نقش بسزایی در كاهش آلودگیهای فرهنگی و اطلاعاتی اینترنت یاری كند. قرار دادن اطلاعات مفید اینترنت به صورت ناپیوسته و روی شبكه‌های داخلی یا اینترانتها، علاوه بر ارائة خدمات و اطلاع‌رسانی سالم، پس از چندی، بایگانی غنی و پرباری از انواع اطلاعات فراهم آمده از چهار گوشه جهان را در اختیار كاربران قرار می‌دهد كه با افزایش اطلاعات داخلی و یا روزآمد كردن آن، به عنوان زیربنای اطلاعاتی كشور قابل طرح می‌باشد. به هر حال سرعت بالا و هزینه كم در استفاده از اینترانتها، دو عامل مورد توجه كاربران به شبكه‌های داخلی است كه به نظر نمی‌رسد محمل مناسبی برای اطلاعات گزینش شده اینترنت باشد.
 

4-5: وجود یك نظام قانونمند اینترنتی

مورد دیگر كه كارشناسان از آن به عنوان پادزهر آسیبهای اینترنتی از قبیل تهاجم فرهنگی، اطلاعات نادرست و یا پیامدهای ضد اخلاقی نام می‌برند، وجود یك نظام قانونمند اینترنتی در جامعه است كه ادارة آن از سوی یك متولی قدرتمند و كاردان می‌تواند اینترنت سركش و افسار گسیخته را مهار كند و از آن به نحو شایسته بهره‌برداری نماید.
این نظام اگر با یك نظام حقوقی و دادرسی جامع و عمیق توأم باشد، موارد تخلف و سوءاستفاده از این ابزار به راحتی قابل تشخیص و پیگیری قضایی خواهد بود. در این صورت امكان سوءاستفاده و تأثیرپذیری از فرهنگهای بیگانه كه عموماً مغایر با اصول اخلاقی ماست، به طرز چشمگیری كاهش می‌یابد.
 

4-6: كار گسترده فرهنگی برای آگاهی كاربران

اما بهترین روش، كار گستردة فرهنگی، برای آگاهی كاربران است. كافی است كه آنها آگاه شوند كه گرایش و ارتباط با پایگاههای غیرمتعارف جز ضلالت و تباهی ثمره‌های ندارد. باید تقوای درونی و اعتقادات دینی كاربران را رشد داد و آنها را تقویت كرد. بنابراین بهترین بارو (فایروال) برای ممانعت از خطرات اینترنت و جلوگیری از تأثیر ابعاد منفی آن، وجدان درونی و ایمان هر نسل است كه بخشی از این ایمان را علمای دین باید در وجود نسل جوان و انسانهای این عصر بارور سازند.

4-7: فایروالها

در حقیقت فایروال یا بارو شبكه‌های كوچك خانگی و شبكه‌های بزرگ شركتی را از حملات احتمالی رخنه‌گرها (هكرها) و وب سایتهای نامناسب و خطرناك حفظ می‌كند و مانع و سدی است كه متعلقات و دارایهای شما را از دسترس نیروهای متخاصم دور نگاه می‌دارد.
بارو یك برنامه یا وسیله سخت‌افزاری است كه اطلاعات ورودی به سیستم رایانه‌ و شبكه‌های اختصاصی را تصفیه می‌كند. اگر یك بسته اطلاعاتی ورودی به وسیلة فیلترها نشان‌دار شود، اجازه ورود به شبكه و رایانه كاربر را نخواهد داشت.
به عنوان مثال در یك شركت بزرگ بیش از صد رایانه‌ وجود دارد كه با كارت شبكه به یكدیگر متصل هستند. این شبكة داخلی توسط یك یا چند خط ویژه به اینترنت متصل است. بدون استفاده از یك بارو تمام رایانه‌ها و اطلاعات موجود در این شبكه برای شخص خارج از شبكه قابل دسترسی است و اگر این شخص راه خود را بشناسد می‌تواند یك یك رایانه‌ها را بررسی و با آنها ارتباط هوشمند برقرار كند. در این حالت اگر یك كارمند خطایی را انجام دهد و یك حفره امنیتی ایجاد شود، رخنه‌گرها می‌توانند وارد سیستم شده و از این حفره سوء استفاده كنند.
اما با داشتن یك بارو همه چیز متفاوت خواهد بود. باروها روی خطوطی كه ارتباط اینترنتی برقرار می‌كنند، نصب می‌شوند و از یك سری قانونهای امنیتی پیروی می‌كنند. به عنوان مثال یكی از قانونهای امنیتی شركت می‌تواند به صورت زیر باشد:
از تمام پانصد رایانه‌ موجود در شركت فقط یكی اجازه دریافت صفحات ftp را دارد و بارو باید مانع از ارتباط دیگر رایانه‌ها از طریق ftp شود.
این شركت می‌تواند برای وب سرورها و سرورهای هوشمند و غیره نیز چنین قوانینی در نظر بگیرد. علاوه بر این، شركت می‌تواند نحوة اتصال كاربران- كارمندان به شبكه اینترنت را نیز كنترل كند به عنوان مثال اجازه ارسال فایل از شبكه به خارج را ندهد.
در حقیقت با استفاده از بارو یك شركت می‌تواند نحوة استفاده از اینترنت را تعیین كند. باروها برای كنترل جریان عبوری در شبكه‌ها از سه روش استفاده می‌كنند:

1:Packet Filtering

یك بسته اطلاعاتی با توجه به فیلترهای تعیین شده مورد تحلیل و ارزیابی قرار می‌گیرند. بسته‌هایی كه از تمام فیلترها عبور می‌كنند به سیستمهای موردنیاز فرستاده شده و بقیه بسته‌ها رد می‌شوند.

2: Proxy Services

اطلاعات موجود در اینترنت توسط بارو اصلاح می‌شود و سپس به سیستم فرستاده می‌شود و بالعكس.

3: Stateful Inspection

این روش جدید محتوای هر بسته با بسته‌های اطلاعاتی ویژه‌ای از اطلاعات مورد اطمینان مقایسه می‌شوند. اطلاعاتی كه باید از درون بارو به بیرون فرستاده شوند، با اطلاعاتی كه از بیرون به درون ارسال می‌شود، از لحاظ داشتن خصوصیات ویژه مقایسه می‌شوند و در صورتی كه با یكدیگر ارتباط منطقی داشتن اجازه عبور به آنها داده می‌شود و در غیر اینصورت امكان مبادلة اطلاعات فراهم نمی‌شود.
 

4-8: سیاست‌گذاری ملی در بستر جهانی

واقعیت این است كه بدون ملاحظه چند الگوی ملی در برخورد با اینترنت نمی‌توان از سیاست‌گذاری مبتنی بر فهم جهانی سخن گفت. لذا معرفی اجمالی چند نمونه كه با سه رویكرد تحول‌گرا، ثبات‌گرا، و اعتدال‌گرا تناسب بیشتری دارند ضروری است.
 

4-8-1: الگوی آمریكایی

اینترنت در آمریكا هم به عنوان تهدید امنیتی و هم به عنوان بزرگترین فرصت ملی تلقی می‌شود. كاخ سفید در پنجم ژانویه سال 2000 بیانیه‌ای را تحت عنوان «استراتژی امنیت ملی در قرن جدید» منتشر كرد. در این بیانیه ضمن برشمردن منافع حیاتی آمریكا، از اینترنت به عنوان مهمترین ابزار دیپلماسی مردمی نام برده شده است.
پیشرفت جهانی تكنولوژیهای آزاد و اطلاع‌رسانی چون اینترنت توانایی شهروندان و مؤسسات را برای تأثیرگذاری بر سیستمهای دولتها تا حد غیرقابل تصوری بالا برده است. دیپلماسی مردمی یعنی تلاش برای انتقال اطلاعات و پیامهایمان به مردم جهان یكی از ابعاد مهم استراتژی امنیت ملی ماست. برنامه‌ریزی ما باید به گونه‌ای باشد كه توانایی ما را برای اطلاع‌رسانی و تأثیرگذاری بر ملل كشورهای دیگر در جهت منافع آمریكا تقویت كند و گفتگوی میان شهروندان و مؤسسات آمریكایی را با نظائرشان در دیگر كشورها توسعه ببخشد. توسعة اینترنت در داخل و استفاده از آن برای تأثیرگذاری بر دیگران بخش مهمی از سیاستهای استراتژیك آمریكاست.
افزایش جرایم رایانه‌ای در آمریكا از جمله حمله به سایتهای Amazon و yahoo، ریس FBI را واداشت تا در فوریه 2000 از كنگره بخواهد 37 میلیون دلار به بودجه 100 میلیون دلاری وزارت دادگستری برای مبارزه با جرایم رایانه‌ای بیفزاید و كلینتون در همان ماه درخواست یك بودجه 9 میلیون دلاری برای تأسیس مركز امنیت ملی، مشاركت شركتهای اینترنتی و تجارت الكترونیك علیه حمله‌كنندگان به سایتهای رایانه‌ای را به كنگره ارائه داد.
 

4-8-2: الگوی فلسطین اشغالی

این كشور در فاصله سال 1994 تا 2000 تبدیل به یك غول صنعت اینترنت شده است این كشور در سطح داخلی چنین سیاستهایی اتخاذ كرده است:
- اختصاص 3% از GDP كشور معادل 90 میلیارد دلار به تحقیق و توسعه در زمینه تكنولوژی پیشرفته
- آموزش مهارتهای پیشرفته رایانه‌ای در دوران سربازی و تداوم آموزش در دوران خدمت احتیاط.
تولید Checkpoint با پیشینه و ریشه در كاربردهای نظامی و به عنوان یكی از قابل اطمینان‌ترین و پرفروشترین باروهای جهان كه كشورهای عربی نیز به آن متكی هستند، یكی از سیاستهای جهانی كشور مذكور است.
 

4-8-3: الگوی چینی

چین رسماً اعلام كرده است به دنبال برقراری توازن میان جریان آزاد اطلاعات و صیانت فرهنگ و ارزشهای اجتماعی خود می‌باشد. پیتر پیت معاون شركت دولتی اینترنت چین گفته است:
ما علاقه به قمار، پورنوگرافی و موارد حساسیت برانگیز سیاسی نداریم اما حتی با محتوای فیلتر شده، اینترنت را تنها و مهمترین نیرویی می‌دانیم كه درهای چین را بر روی دنیا می‌گشاید راه تغییرات اقتصادی را هموار می‌كند.
در اجرای این استراتژی چین اقدامات زیر را انجام داده است:
- سرمایه‌گذاری عظیم در صنایع الكترونیك، مخابرات و رایانه
- اقدامات وسیع و سازمان یافته برای تكثیر، شكستن قفل و شبیه‌سازی نرم‌افزارها و برنامه‌های كاربردی رایانه‌ای و تقویت صنعت عظیم نرم‌افزار در چین
- تأسیس شركت دولتی اینترنت چین و انحصار ورود اینترنت به كشور از طریق این شركت
- همكاری شركت با غولهای اینترنتی آمریكا برای ایجاد خدمات مبتنی بر وب با استانداردهای كیفی AQL و استانداردهای اخلاقی و قانونی چین
- جلب همكاری AQL و Netscape برای تولید یك پویشگر اینترنت به زبان چینی
- هزینه عظیم برای فیلتر كردن محتوای نامناسب اخلاقی و سیاسی در اینترنت
 

4-8-4: الگوی كشورهای عربی حاشیه خلیج فارس

تقریباً در تمام كشورهای حاشیه خلیج فارس كنترل قوی دولتی بر محتوا و توزیع اطلاعات وجود دارد. این كنترلها به علل مذهبی، سیاسی و فشارهای داخلی صورت می‌گیرد. روش اصلی كنترل اطلاعات الكترونیك، در این كشورها انحصار مخابرات در شركتهای دولتی است. یكی از پیامدهای اصلی این كنترل دولتی تأخیر در رسیدن اینترنت و كندی در همه‌گیر شدن آن در این كشورهاست. در كشورهای عربی منطقه خلیج فارس دولت و بخش دانشگاهی عامل گسترش اینترنت نبوده‌اند، در عوض تجارت آزاد و بازرگانان خارجی مقیم، بیشترین مشتاقان و كاربران اینترنت را تشكیل می‌دهند. در واقع هیچ شخص، سازمان، و تجارت مدنی نمی‌تواند بدون اتكاء به وب و اینترنت در رقابت جهانی برای دسترسی به منابع طبیعی و اقتصادی خلیج فارس به بقاء خود ادامه دهد. اقتصاد وابسته و ادغام منطقه در اقتصاد جهانی، اتصال به اینترنت را گریزناپذیر می‌كند. بازار مصرف اینترنت در كشورهای عربی خلیج فارس، اساساً تجاری است.
كشورهای خلیج فارس از نظر سیاستگذاری در مورد اینترنت روی یك طیف قرار دارند كه یك طرف آن عراق و طرف دیگر آن یمن و قطر است.
عراق تاكنون رسماً به اینترنت متصل نشده است و مودمهای شخصی را ممنوع كرده است. از طرف دیگر یمن و قطر با حذف هرگونه كنترلی بر روی اینترنت و سرمایه‌گذاری برای گسترش زیر ساختها به منافع اینترنت بیشتر از خطرات آن بها داده‌اند.
كویت با برخورداری از سیستم مخابراتی كاملاً پذیرفته در سال 1994 ارائه خدمات عمومی اینترنت را آغاز كرد. وزارت مخابرات كویت امتیاز ISP را ابتدا به گلف نت و سپس به یك كمپانی دیگر واگذار كرد. گلف نت از طریق ماهواره Sprint به آمریكا متصل است. دانشجویان كویتی بدون هیچ گونه هزینه به اینترنت دسترسی دارند
عمان به واسطه جبران عقب ماندگی نسبی از دیگر كشورهای خلیج فارس، بازسازی سیستم مخابراتی را در اولویتهای خود قرار داده است. در چارچوب یك طراحی ملی برای زیرساختها و خدمات مخابراتی GTO سازمان عمومی مخابرات طرحی را برای سال 2000 ارائه كرد كه در آن امكان دسترسی به هر اطلاعی در هر زمانی در هر كجا و به هر شكل برای دولت و بخش خصوصی پیش‌بینی شده‌اند. GTO در سال 1995 یك مناقصه بین‌المللی را برای ISP اعلام كرد. در این مناقصه Sprint آمریكا برگزیده شد و علاوه بر ایجاد سایت، اداره آن را به مدت 5 سال تعهد كرد. دسترسی عمومی به اینترنت از دسامبر 1996 فراهم شد و كاربری تجاری آن به سرعت توسعه یافت.
قطر مدرن‌ترین شبكة مخابراتی منطقه را ایجاد كرده است و انحصار مخابرات دولتی توسط Qtel اعمال می‌شود كه تنها ISP كشور را دارا می‌باشد، ولی بررسیهایی به منظور خصوصی‌سازی، ولی به صورت غیررقابتی در حال انجام است. دولت در كنار اینترنت، یك سیستم اطلاعاتی ژئوفیزیكی را با اهداف توسعه بخشی عمومی و خصوصی به سرعت توسعه داده است ولی آموزش عالی و دانشگاه بهره چندانی از آن نبرده‌اند. قطر تنها كشور حاشیه خلیج فارس است كه خود را منطقه فارغ از سانسور اطلاعات معرفی كرده و هیچ‌گونه كنترلی بر محتوای اینترنت اعمال نمی‌كند. تنها حساسیت دولت مسأله پورنوگرافی است كه با استفاده از باروها تا حدی كنترل می‌شود.
امارات متحده عربی از سال 1995 ارزان قیمت‌ترین و نظارت شده‌ترین خدمات اینترنت منطقه را ارائه می‌كند و نسبت به جمعیت دارای بیشترین تعداد رایانه متصل به اینترنت است. دولت و بخش تجاری و دانشگاهها همه پشتیبان اینترنت هستند و از آن به خوبی بهره‌برداری می‌كنند. وزارت مخابرات با راه‌اندازی چند پراكسی سرور گران قیمت تمام تبادلات داده‌ها را فیلتر و كنترل می‌كند. در عین حال امارات شاهد بیشترین مباحثات افكار عمومی درباره خطرات استفاده از اینترنت بوده است.
عربستان سعودی بزرگترین و محافظه‌كارترین كشور منطقه است و به موارد غیراخلاقی و فعالیتهای تبعیدیان خارج نشین بسیار حساس است. هنوز اینترنت در سعودی توسعة چندانی پیدا نكرده است و دسترسی عمومی در اینترنت همگانی نشده است، اما برخی از بخشهای دولتی، پزشكی و دانشگاهی از طریق یك اتصال ماهواره‌ای به آمریكا از خدمات اینترنت استفاده می‌كنند. سعودی گران‌ترین طرح مطالعاتی در مورد كاربردها و استلزامات اینترنت را به مدت دو سال پیگیری كرد و در نتیجه روش مدیریت كاملاً متمركز برای ورود اینترنت به كشور و كنترل كل ورودی توسط یك باروی ملی برای جلوگیری از دسترسی به محتوای نامناسب از طرف دولت پذیرفته شد.

5- اینترنت و امنیت فرهنگی ایران

در بحبوحه جنگ نگرشها، این واقعیت را نباید از نظر دور داشت كه در حال حاضر اینترنت در ایران نقش بسیار مهمی از لحاظ امنیت فرهنگی ایفاء می‌كند. از نظر علمی افزایش توانایی دسترسی دانشجویان، اساتید، و محققان ایرانی به منابع الكترونیك و تماسهای علمی با دانشمندان دیگر كشورها كاملاً مرهون اینترنت دانشگاهیان است. از نظر افزایش توان كسب آگاهیهای سیاسی و اجتماعی و دریافت آراء مختلف و امكان گفتگو نمی‌توان نقش اینترنت را انكار كرد. امروزه سایتهای مختلف ایرانی با تشكیل گروههای مباحثاتی بسیار جدید در مورد مسائل جهانی و ملی عرضه وسیعی را برای آگاهی جویی و اعلام نظرهای تخصصی و عمومی فراهم كرده‌اند (سیك، 1999). پیگیری نظرسنجی‌های اینترنتی در مورد انتخاب مجلس ششم، انتخاب رئیس مجلس، فایده یا ضرر ارتباط با آمریكا، انتخاب مهمترین شخصیت قرن اخیر ایران، نشان می‌دهد كه اینترنت برای ایرانیان امكانات كاملاً‌مساعدی برای ابراز آزادانه عقاید و مشاركت سیاسی و فرهنگی فراهم آورده است. حتی برخی احزاب و داوطلبان نمایندگی برای تبلیغات انتخاباتی خود، از اینترنت استفاده كرده‌اند. به این ترتیب می‌توان نقش مهمی برای اینترنت در گسترش آزادیها و مشاركت سیاسی و دمكراسی فرهنگی قائل شد.

5-1: معیارهای امنیت فرهنگی در سیاستگذاری

برای تحلیل فرآیند سیاستگذاری در مورد اینترنت در ایران، پاسخ به سؤالاتی در مورد آزادی بیان، كنترل جریان اطلاعات، قوانین مربوط و در یك بیان نظریه هنجاری حاكم بر رسانه‌های جدید ضروری است. این سؤالات به 5 حیطه اصلی قابل تحلیل است:
حق ارتباط خصوصی
حق ارتباط ناشناس
حق رمزگذاری در ارتباط
معافیت كانال ارتباطی از مسئولیت محتوی
دسترسی عمومی و ارزان
با توجه به تحقیق محسنیان راد (1376) نظریه حاكم بر رسانه‌های مرسوم در ایران در سال 1376، آمیزه‌ای از نظریه مسئولیت اجتماعی، توسعة بخش و ایدئولوژیك بوده است. تغییرات سیاسی سال 76 به بعد نقش نظریه مسئولیت اجتماعی را تقویت كرده است. ولی در مورد اینترنت وضع كاملاً متفاوت است و حاكمیت تئوری آزادی‌گرا بر دسترسی و انتشار از طریق اینترنت كاملاً ملموس است. تا اواخر نیمه اول سال 1380، دولت هیچ گونه نظارت و دخالت ملموسی در مورد آن نداشته است. زیرا:
1. قوانین مربوط به مطبوعات كه عمده‌ترین قانون در حوزة محدوده محدودیتهای آزادی بیان است شامل گفتار روی شبكه نمی‌شود.
2. افراد، سازمانها و شركتها امكان دسترسی به سرویس دهندگان اینترنت را از طریق خطوط تلفن دارند.
3. برای دسترسی به اینترنت هیچ گونه مجوز دولتی لازم نیست.
4. دسترسی به اینترنت با پست یا پست الكترونیك نیاز به هیچ گونه تأییدای از طرف هیچ سازمان دولتی ندارد.
5. هیچ دستورالعمل یا بخشنامه‌ای وجود ندارد كه سرویس دهندگان را موظف كند اطلاعات مربوط به مشتركان، كاربران و محتوای داده‌های تبادل شده را به سازمانهای دولتی ارائه دهند.
6. هیچ قانون یا دستورالعملی برای منع رمزگذاری محتوای داده‌های مبادله شده وجود ندارد.
7. هیچ قانونی وجود ندارد كه سرویس‌دهندگان ملزم به كنترل محتوا نماید.
8. هیچ سیاست و اقدام مشخصی در مورد سانسور یا بلوك كردن سایتها، گروههای مباحثاتی و آدرسهای پست الكترونیكی وجود ندارد و ایران فاقد یك بارو و سیستم فیلترینگ ملی و مركزی است.
9. هیچ قانونی وجود ندارد كه سرویس‌دهندگان را مسئول محتوای سایتهای روی سرویس بداند.
10. كافه‌های اینترنتی به سرعت در حال رشد است و هیچ قانون خاصی برای نحوة تأسیس و نحوة اداره وجود ندارد، این كافه‌ها تابع قانون اماكن عمومی هستند.
11. خدمات اینترنت در ایران به سرعت ارزان شده است و دولت برای دسترسیهای دانشگاهی سوبسید قابل ملاحظه‌ای را پذیرفته است. سیاست گسترش فیبر نوری و افزایش ظرفیت تبادل بین‌المللی داده‌ها از سیاستهای جاری دولت است.

5-2: مشكلات فعلی سیاستگذاری در امنیت فرهنگی و اینترنت

در جریان سیاستگذاری برای اینترنت در كشور ما موانع جدی وجود دارد. این موانع را می‌توان به شرح زیر مرتب كرد:
1. فقدان استراتژی فرهنگی كلان در مورد صنایع فرهنگی جدید
2. فقدان سیاست ملی مخابراتی
- روشن نبودن اولویت‌بندی در مورد گسترش تلفن ثابت، همراه و مخابرات داده‌ها
- روشن نبودن میزان ظرفیت دولت در پذیرش مشاركت بخش خصوصی در وارد كردن و توزیع اینترنت
3. فقدان سیاست روشن گمركی
در مورد مجاز یا ممنوع بودن واردات تجهیزات، دریافت و ارسال ماهواره‌ای برای خدمات اینترنت
4. وجود رقابت تخریبی میان ارگانهای عمومی
متولی اینترنت در كشور از جمله فیزیك نظری، شركت مخابرات، صدا و سیما
5. فقدان سیاست ملی اطلاع‌رسانی
علی‌الرغم تشكیل شورای عالی اطلاع‌رسانی این شورا به سیاست‌گذاری تفصیلی و اعلام شده‌ای در زمینة اطلاع‌رسانی دست نیافته است. وجود مدعیان و متولیان متعدد در مدیریت ملی اطلاعات و عدم تفكیك وظایف آنها موجب كندی و بلكه عقب‌ماندگی جدی ایران در تولید و سازماندهی اطلاعات الكترونیك شده است. امروزه به علت عدم سازماندهی اطلاعات علمی كشور، دسترسی به كتابخانه كنگرة آمریكا بسیار ساده‌تر و مفیدتر از دسترسی به كتابخانه‌های ملی، مجلس و دانشگاه تهران است.
6. فقدان سیاستهای نظارتی و امنیتی
هم اكنون بایستی روشن شود كه مسئول حفاظت از داده‌های موجود در سامانه‌های نظامی، امنیتی، اقتصادی كشور كیست؟
چه سازمانی مسئول جلوگیری، پیشگیری و پیگیری حملات الكترونیكی و نقش امنیت سامانه‌های ملی است؟
چه سازمانی متولی سیاستگذاری و تعیین موارد ممنوعه در تبادل داده‌ها است؟
كدام سازمان مسئول نظارت بر كیفیت فرهنگی و محتوای سایتهای تولیدشده و قابل دسترس در كشور است؟

5-3: ملاحظات فرهنگی در سیاستگذاری
به نظر می‌رسد ملاحظات اساسی فرهنگی در سیاستگذاری آتی در مورد اینترنت در ایران به شرح زیر می‌باشد:
- گسترش اینترنت در كشور ایران باید به گونه‌ای باشد كه به خلاقیت‌گستری مدد رسانده، نه اینكه موجبات خلاقیت‌زدایی را فراهم آورد. سیاستگذاری در مورد توسعه اینترنت نباید به توسعه مصرف یا باز تولید محتوای آن محدود شود، بلكه باید گسترش فرهنگ بومی و مذهبی و مقاومت فرهنگی را به دنبال داشته باشد.
- بیش و پیش از توسعه اینترنت باید به نظام تولید و سازماندهی الكترونیك اطلاعات علمی، اداری و مالی براساس استانداردهای قابل تبادل در شبكة اهتمام داشت و بودجه‌های كلانی را به این امر اختصاص داد.
- تدوین و اجرای قوانین موردنیاز و روزآمد در حوزة ارتباطات شبكه‌ای بسیار اساسی است این قوانین به خصوص موضوع حقوق تكثیر و مالكیت آثار فرهنگی و نرم‌افزارها و اطلاعات الكترونیك تأثیر قطعی در تشویق تولید فرهنگی بر روی شبكه دارد.
- در سیاستگذاری فرهنگی باید چگونگی كاربرد تكنولوژی توسط مؤسسات فرهنگی و تأثیر آن را بر مخاطبان در نظر گرفت. معلوم نیست كه هرگونه استفاده از تكنولوژی جدید لزوم به افزایش تأثیرپذیری مخاطبان منجر شود.
- نظام نظارت فرهنگی بر محتوای داده‌های مبادله شده و ثبت ملی نقش اساسی در پیشگیری از گسترش فساد، تهدیدات امنیتی، رسوخ جاسوسی و خرابكاری الكترونیك و عملیات روانی دارد.

جمع‌بندی

به نظر می‌رسد تهدید اصلی و بالفعل كشور در مورد اینترنت، فقدان گفتمان امنیتی در مورد این پدیده است. اینترنت كه بطور بالقوه می‌تواند هم تهدید و هم فرصتی طلایی برای امنیت فرهنگی و سیاسی باشد، به وسیله‌ای برای فشار سیاسی و اقتصادی تبدیل شده است.
فقدان دانش جامع‌نگر در مورد صورت مسأله و عدم وجود مطالعات سیاستگذاری مقایسه‌ای در كشور، حاكمیت روش آزمون خطا و اعمال سلایق فردی و سازمانی را به دنبال داشته است.
مسئولیت‌پذیری دولت در سیاستگذاری علمی، كارشناسانه و همه سو نگر و بهره‌گیری از تمام توان علمی كشور، شرط اصلی تحقق بیشترین منافع و كمترین آسیبها از صنعت اینترنت در ایران است.
برای جلوگیری از اثرات مخرب ارتباط با پایگاههای ضداخلاقی باید به سمتی حركت كنیم كه سایتهای مفید، جذابیت پیدا كند. یعنی ابتدا در حد توان باید در زمینة سایتهای مفید و درعین حال جذاب سرمایه‌گذاری كنیم. از طرف دیگر هم باید موارد منفی را سد كنیم، یعنی از نفوذ سایتهای مخرب، به این سو جلوگیری كنیم. چون در كشورهای غربی، مثل انگلیس، مسأله استفاده از سایتهای مستهجن توسط دانش‌آموزان مدارس به صورت یك بحران درآمده است و آنها به این نتیجه رسیده‌اند كه دو راه در پیش رو دارند: بستن راه‌های دسترسی به اینترنت یا كنترل آن
بطور كلی آنچه را كه از مطالب بالا می‌توان نتیجه‌گیری كرد می‌توان در پنج بند خلاصه نمود:
1) اینترنت به عنوان یك پدیدة مثبت ارزیابی می‌شود.
2) سوءاستفاده از شبكة جهانی نباید مانع از بهره‌برداری از این رسانه دو سویه شود.
3) امكان گزینش اطلاعات سالم و ارائه آن برای عموم وجود دارد.
4) امكان كنترل این شبكه تا حدود زیادی با روشهای فنی، سازمانی و فرهنگی وجود دارد.
5) همه كشورهای جهان در پی مسدود كردن نفوذ اطلاعات آلوده هستند و سعی در تدوین قوانین و مقرراتی برای جلوگیری از بهره‌برداری سوء از شبكة جهانی‌اند.
در هر حال نیاز اساسی جوامع در حال رشد به دریافت اطلاعات مفید و سازنده را نمی‌توان نادیده گرفت. و این در حالی است كه از تخریب مبانی اعتقادی و اجتماعی جامعه نیز می‌باید با حساسیت تمام جلوگیری كرد.
نفوذ اطلاعات آلوده به شبكه‌های اطلاع‌رسانی به مثابه سرایت سموم مهلك و خطرناك به شبكة آب آشامیدنی سالم شهری است. این درحالی است كه آلاینده‌های روحی و اخلاقی ضرباتی دهشتناكتر و جبران‌ناپذیرتر از آلاینده‌های جسمی بر پیكر اجتماعات انسانی وارد می‌سازند.
 

منابع:

بوزان، باری. (1378). مردم، دولتها و هراس. تهران: پژوهشكده مطالعات راهبردی.
تاجیك، محمدرضا. (1377). قدرت و امنیت در عصر پسامدرنیسم. گفتمان، شماره صفر.
رنجبر، مقصود. (1379). ملاحظات امنیتی در سیاست خارجی جمهوری اسلامی ایران. تهران: پژوهشكده مطالعات راهبرد.ی
رابرت، ماندل. (1377). چهره متغیر امنیت ملی. تهران: پژوهشكده مطالعات راهبردی.
محسنیان‌راد، مهدی. (1377) ارتباط جمعی در كشورهای اسلامی. دانشگاه امام صادق، انتشار محدود.
محسنیان‌راد، مهدی. (1376). انتقاد در مطبوعات ایران. مركز مطالعات و تحقیقات رسانه‌ها، انتشار محدود.
محمدی، مجید. (1379) سیمای اقتدارگرایی تلویزیون دولتی ایران. تهران: جامعه ایرانیان.
مولانا، حمید. (1379). جریان بین‌المللی اطلاعات. ترجمة یونس شكرخواه. تهران: مركز مطالعات و تحقیقات رسانه‌ها.

Mohammadi Annabelle Sreberny, Ali. Small media, Big Revolution: Communication, Culture, and the Iranian Revolution. Univ of Minnesota Press.

Sick, Gary. Middle East Studies Association Bulletin, December, 1999.

Us Dept of State 2000. A National security Strategy for a new centry, 2000.

Tehranian, Majid. Global Communication and World Politics: Domination, Development and Discourse. Lynne Rienner Publisher.

علیرضا گنجی  كارشناس ارشد كتابداری و اطلاع‌رسانی دانشگاه فردوسی مشهد

برگرفته از سایت www.irandoc.ac.ir

مقدمه ای بر شبكه خصوصی مجازی (VPN)

شبكه خصوصی مجازی یاVirtual Private Network كه به اختصارVPN نامیده می شود، امكانی است برای انتقال ترافیك خصوصی بر روی شبكه عمومی. معمولا  ازVPN برای اتصال دو شبكه خصوصی از طریق یك شبكه عمومی مانند اینترنت استفاده می شود.منظور از یك شبكه خصوصی شبكه ای است كه بطور آزاد در اختیار و دسترس عموم نیست.VPN به این دلیل مجازی نامیده می شود كه از نظر دو شبكه خصوصی ، ارتباط از طریق یك ارتباط و شبكه خصوصی بین آنها برقرار است اما در واقع شبكه عمومی این كار را انجام می دهد. پیاده سازیVPN معمولا اتصال دو یا چند شبكه خصوصی از طریق یك تونل رمزشده انجام می شود. در واقع به این وسیله اطلاعات در حال تبادل بر روی شبكه عمومی از دید سایر كاربران محفوظ می ماند.VPN را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم كرد.

 دسته بندی VPN براساس رمزنگاری

VPN را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم كرد:

1-

VPN

رمزشده :

VPN های رمز شده از انواع مكانیزمهای رمزنگاری برای انتقال امن اطلاعات بر روی شبكه عمومی استفاده می كنند. یك نمونه خوب از اینVPN ها ، شبكه های خصوصی مجازی اجرا شده به كمكIPSec هستند.

2-

VPN

رمزنشده :

این نوع ازVPN برای اتصال دو یا چند شبكه خصوصی با هدف استفاده از منابع شبكه یكدیگر ایجاد می شود. اما امنیت اطلاعات در حال تبادل حائز اهمیت نیست یا این كه این امنیت با روش دیگری غیر از رمزنگاری تامین می شود. یكی از این روشها تفكیك مسیریابی است. منظور از تفكیك مسیریابی آن است كه تنها اطلاعات در حال تبادل بین دو شبكه خصوصی به هر یك از آنها مسیر دهی می شوند. (MPLS VPN) در این مواقع می توان در لایه های بالاتر از رمزنگاری مانندSSL استفاده كرد.

هر دو روش ذكر شده می توانند با توجه به سیاست امنیتی مورد نظر ، امنیت مناسبی را برای مجموعه به ارمغان بیاورند، اما معمولاVPN های رمز شده برای ایجادVPN امن به كار        می روند. سایر انواعVPN مانندMPLS VPN بستگی به امنیت و جامعیت عملیات مسیریابی دارند.

 دسته بندی VPN براساس لایه پیاده سازی

VPN بر اساس لایه مدلOSI كه در آن پیاده سازی شده اند نیز قابل دسته بندی هستند. این موضوع از اهمیت خاصی برخوردار است. برای مثال درVPN های رمز شده ، لایه ای كه در آن رمزنگاری انجام می شود در حجم ترافیك رمز شده تاثیر دارد. همچنین سطح شفافیتVPN برای كاربران آن نیز با توجه به لایه پیاده سازی مطرح می شود.

1-

VPN

لایه پیوند داده :

با استفاده ازVPN های لایه پیوند داده می توان دو شبكه خصوصی را در لایه 2 مدلOSI با استفاده از پروتكلهایی مانندATM یاFrame Relay به هم متصل كرد.با وجودی كه این مكانیزم راه حل مناسبی به نظر می رسد اما معمولا روش ارزنی نیست چون نیاز به یك مسیر اختصاصی لایه 2 دارد. پروتكلهایFrame Relay وATM مكانیزمهای رمزنگاری را تامین نمی كنند. آنها فقط به ترافیك اجازه می دهند تا بسته به آن كه به كدام اتصال لایه 2 تعلق دارد ، تفكیك شود. بنابراین اگر به امنیت بیشتری نیاز دارید باید مكانیزمهای رمزنگاری مناسبی را به كار بگیرید.

2-

VPN

لایه شبكه :

این سری ازVPN ها با استفاده ازtunneling لایه 3 و/یا تكنیكهای رمزنگاری استفاده می كنند. برای مثال می توان بهIPSec Tunneling و پروتكل رمزنگاری برای ایجادVPN اشاره كرد.مثالهای دیگر پروتكلهایGRE وL2TP هستند. جالب است اشاره كنیم كهL2TP در ترافیك لایه 2 تونل می زند اما از لایه 3 برای این كار استفاده می كند. بنابراین درVPN های لایه شبكه قرار می گیرد. این لایه برای انجام رمزنگاری نیز بسیار مناسب است. در بخشهای بعدی این گزارش به این سری ازVPN ها به طور مشروح خواهیم پرداخت.

3-

VPN

لایه كاربرد :

اینVPN ها برای كار با برنامه های كاربردی خاص ایجاد شده اند.VPN های مبتنی برSSL از مثالهای خوب برای این نوع ازVPN هستند.SSL رمزنگاری را بین مرورگر وب و سروری كهSSL را اجرا می كند، تامین          می كند.SSH مثال دیگری برای این نوع ازVPN ها است.SSH به عنوان یك مكانیزم امن و رمز شده برایlogin به اجزای مختلف شبكه شناخته می شود. مشكلVPNها در این لایه آن است كه هرچه خدمات و برنامه های جدیدی اضافه می شوند ، پشتیبانی آنها درVPN نیز باید اضافه شود.

 دسته بندی VPN براساس كاركرد تجاری

VPN را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند. این اهداف تجاری تقسیم بندی جدیدی را برایVPN بنا می كنند .

1-

VPN

اینترانتی :

این سری ازVPN ها دو یا چند شبكه خصوصی را در درون یك سازمان به هم متصل می كنند. این نوع ازVPN زمانی معنا می كند كه می خواهیم شعب یا دفاتر یك سازمان در نقاط دوردست را به مركز آن متصل كنیم و یك شبكه امن بین آنها برقرار كنیم.

VPN

اكسترانتی :

این سری ازVPN ها برای اتصال دو یا چند شبكه خصوصی از دو یا چند سازمان به كار می روند. از این نوعVPN معمولا برای سناریوهایB2B كه در آن دو شركت می خواهند به ارتباطات تجاری با یكدیگر بپردازند، استفاده می شود.

برگرفته از سایت www.ircert.com