در اين تايپك مطالبي در مورد  امنیت شبکه قرار مي گيرد

واحد دانش و تکنولوژی تبیان زنجان

 امنیت در همه شاخه ها از اهمیت بالایی برخوردار است و تنها در صورت فراهم بود ن امنیت است که می توان در هر زمینه در رفاه و آرامش به فعالیت مشغول شد اما در زمینه فناوری اطلاعات امنیت می تواند اهمیت دو چندانی داشته باشد، چراکه فراهم نبود ن امنیت در فضای مجازی می تواند بهای سنگینی را برای کاربر به بار آورد.

همه ما روی رایانه های شخصی خود اطلاعاتی داریم که به هیچ عنوان علاقه مند به از دست داد ن یا انتشار آنها نیستیم. حال حفظ امینت این اطلاعات از دو دید گاه می تواند حائز اهمیت باشد؛ نخست امنیت و حفظ این اطلاعات در برابر نرم افزارهای مخرب و ویروس هاست و دیگری حفظ امنیت این اطلاعات در برابر نرم افزارهای جاسوسی و نفوذ هکرها در فضای مجازی است.

در حال حاضر نسخه های متنوع نرم افزارهای امنیتی در بازار یافت می شوند که کارایی و بازد هی هر یک متفاوت است و هر کاربر بسته به نیاز خود می تواند یکی از نسخه های آنها از تولید کنند گان مختلف تهیه کند.

شرکت Kaspersky که بیش از ده سال از آغاز فعالیتش در زمینه نرم افزارهای امنیتی می گذرد، یکی از بزرگ ترین شرکت های فعال در زمینه تولید نرم افزارهای امنیتی است که از ابتدای شروع فعالیت خود بخش عمد ه ای از تمرکز خود را روی تولید نرم افزارهایی با قابلیت جلوگیری از فعالیت بد افزارها گذاشته است. در میان بسیاری از شرکت های فعال در این زمینه که به دلیل افزایش رقابت در سایر زمینه های امنیتی ،از میزان تمرکزشان بر روی نرم افزارهای امنیتی به اصطلاح anti-malware کاسته شده است، مجموعه kaspersky با بیش از 700 مهندس و محقق و همچنین بیش از 2000 نفر کارمند متخصص در سراسر دنیا همواره ثابت کرده است که یکی از فعالترین و بزرگ ترین شرکت های فعال در زمینه تولید نرم افزارهای امنیتی anti-malware است.

امنیت برای همه

نرم افزار امنیتی محافظتی anti-malware کسپرسکی محافظت خود را از desktop سیستم کاربر تا فضای ابری اینترنت و فضای پشت آن را به خوبی تحت پوشش قرار می د هد و برای هر لایه از فضای اینترنت بهترین محافظت ممکن را فراهم می کند. این نرم افزار همچنین می تواند بهترین حالت محافظت را برای محصولات مختلف در هر لایه از شبکه که مشغول فعالیت باشند، ایجاد کند.

مجموعه نرم افزارهای امنیتی anti-malware کسپرسکی با نام Open space security عرضه می شوند، در سه بسته kaspersky Enterpise space security، kaspersky Business space security و kaspersky Total space security عرضه می شوند که هر کدام برای موارد کاربری خاصی آماده شده اند.

نسخه kaspersky Business space security محافظت سطح بالایی را از اطلاعات مشترک شبکه های داخلی در برابر تهدیدات امنیتی روز اینترنتی فراهم می کند. این نسخه قابلیت محافظت از ایستگاه های کاری تحت شبکه، موبایل های هوشمند (smart phones) و فایل سررورها را در برابر انواع تهد یدات کامپیوتری شامل انواع نرم افزارهای مخرب و جاسوسی داراست و ضمن حفظ امنیت داده های به اشتراک گذاشته شده از دسترسی کاربران مجاز به منابع شبکه محافظت می کند. این نسخه برای ارتقای عملکرد شبکه هنگام افزایش بار تبادل اطلاعات روی شبکه هم کاربرد دارد.

نسخه بعدی یعنی kaspersky Enterprise space security نیز وظیفه تضمین جریان آزاد انتقال داده ها در شبکه درون سازمانی و ایجاد اتصال ایمن کامپیوترهای درون سازمان با د نیای خارج را برعهده می گیرد. این نسخه ضمن دارا بود ن تمامی قابلیت های نسخه Business مانند محافظت کامل از ایستگاه های کاری، اسمارت فون ها و دیگر تجهیزات تحت شبکه، قابلیت شناسایی و حذ ف بد افزارها و نرم افزارهای مخرب از این میل های دریافتی کاربران را نیز دارد و ضمن حفظ امنیت منابع و اطلاعات مشترک موجود روی شبکه، دسترسی کاربران مجازبه آنها را نیز تضمین می کند.

اما آخرین نسخه این مجموعه که در واقع کامل ترین نسخه نیز محسوب می شود، نسخه kaspersky Total space security است که ضمن دارابود ن تمام قابلیت های دو مدل قبل می تواند محافظتی کامل و مجتمع را برای تمامی اجزای انواع شبکه ها با هر اندازه و هر میزان پیچید گی فراهم کند.

این نسخه همچنین می تواند ضمن کنترل و حذ ف بد افزارها از ای میل های دریافتی کاربران شبکه و حفظ امنیت تمامی اجزای شبکه در ارتباط با دنیای خارج یا همان اینترنت، درگاه های اینترنتی (Internet Gatewayes) را هم به منظور افزایش امنیت تبادل اطلاعات کنترل کند. از مهمترین قابلیت های این نسخه هماهنگی کامل آنها با انواع شبکه ها، با ساختارهای گوناگون و تمامی اجزای شبکه است که می توانند کاربران خود را از انواع تهد یدات و حملات اینترنتی و شبکه ای در امان نگاه دارند.

واحد دانش و تکنولوژی تبیان زنجان

دزدي روي نت

اين‌كه چقدر شما در برابر هكرها آسيب‌پذير هستيد، سوالي است كه نمي‌توان با اطمينان به آن جواب داد. در بيشتر مواقع دزدها شب هنگام براي دزدي از منازل اقدام مي‌كنند. اگر بيدار باشيد و دزد به شما حمله كند، احتمال اين‌كه بتوانيد در برابر اين تهاجم از خود‌تان دفاع كنيد بسيار كم است؛ چرا كه با كوچك‌ترين اشتباه شما، امنيت‌تان به طور كامل به خطر خواهد افتاد.

مشكل اينجاست كه ما همگي تمام اين مسائل را مي‌دانيم، ولي با وجود اين همچنان با انجام كارهاي بسيار كوچك، امنيت كل اطلاعات موجود روي اينترنت‌مان را به خطر مي‌اندازيم. اين را هم بايد اضافه كنم كه امنيت، تنها مخصوص اطلاعات نيست و ممكن است پول را هم شامل شود. همه ما مي‌خواهيم از اطلاعات شخصي و دارايي‌مان دفاع كنيم. هيچ‌يك از ما دوست نداريم روزي برسد كه با ديدن حساب بانكي‌مان شوكه شويم. البته اين شوك مي‌تواند صفر بودن موجودي حسابمان باشد يا حتي بدتر از آن، ديدن مبلغ زياد بدهي به بانك.

به همين مناسبت در اين مقاله به بررسي بزرگ‌ترين اشتباهات كاربران رايانه و اينترنتي خواهيم پرداخت كه در تمام دنيا اتفاق مي‌افتد. ناديده گرفتن هريك از اينها ممكن است شما را مورد تهاجم دزدان، ملورها يا حتي بدتر از اينها قرار دهد.

اشتباه شماره يك در ارتباط با به روز‌كردن نرم‌افزار‌هاي ضدملوري است، به احتمال زياد تا به حال در سايت‌هاي مختلف موجود روي اينترنت با پيام دانلود‌كردن نرم‌افزار‌هاي ضدملوري مواجه شده‌ايد. بيشتر چنين تبليغاتي شامل دانلود اين نرم‌افزار ضدملوري يا به‌روز‌كردن آن است.

با اين‌كه بارها در اين زمينه هشدار داده شده، بسياري از كاربران با سهل‌انگاري چنين هشدار‌هايي را ناديده مي‌گيرند. پس اگر هنوز هم نرم‌افزار آنتي‌ويروس و آنتي‌ملوري روي رايانه‌‌تان نداريد، بهتر است هر چه سريع‌تر اقدام كرده و آن را روي سيستم‌تان نصب كنيد. تعداد زيادي از يك چنين برنامه‌هايي به صورت مجاني در دسترس همگان قرار مي‌گيرد، براي مثال برنامه‌هايي چون Advanced SystemCare و MalwareBytes.

با اين حال تنها داشتن يكي از اين برنامه‌ها كافي نيست، بلكه مهم‌ترين كار به‌روز‌كردن يك چنين نرم‌افزار‌هايي است. براي به‌روزشدن اين نرم‌افزار‌ها نه‌تنها لازم است خود برنامه را به‌روزرساني كنيد، بلكه قسمت پايگاه اطلاعات و خطرات احتمالي آن را نيز بايد دائم تغيير دهيد. اكثر برنامه‌ها داراي قسمتي است كه مي‌توانيد گزينه عمليات به‌روزرساني را در آنجا انتخاب و مدت زمان مناسب براي انجام اين كار را مشخص كنيد. پس بهتر است براي بالا بردن كارايي آنها دائم آپديت‌شان كنيد؛ زيرا در غير اين صورت اين نرم‌افزار‌ها توانايي مقابله با جديد‌ترين ويروس‌ها و ملور‌ها را نخواهند داشت.

دومين اشتباه بسيار شايع ديگر، استفاده‌نكردن از Firewall‌هاست. تعداد بسيار كمي از كاربران داراي نرم‌افزار‌هاي ضد ويروس هستند و تعداد بسيار كمتري از اين جمعيت هم علاوه بر يك چنين نرم‌افزاري از Firewall هم استفاده مي‌كنند. پس آيا واقعا ما نياز داريم Firewall داشته باشيم؟ بله، چرا كه نرم‌افزار‌هاي ضدويروس و Firewall‌ها دو چيز كاملا مجزاست، كه هريك از آنها براي هدف جداگانه‌اي ساخته شده‌ است. به همين منظور شما نياز داريد هر دو را داشته باشيد تا بتوانيد به هر طريقي شده امنيت‌تان را پوشش دهيد.

براي درك بهتر تفاوت اين دو برنامه از هم، بهتر است Firewall را به عنوان يك ديواره دفاعي نگاه كنيد و آنتي‌ويروس را به عنوان يك تفنگ. ديواره دفاعي مانع واردشدن بسياري از مهاجمان به قسمت داخل مي‌شود. هر چند اين امكان وجود دارد برحسب تصادف، دزدي بتواند از سوراخ موجود روي ديوار‌تان وارد منزل‌ شود. مسلما در چنين موقعيتي تنها سلاح باقي‌مانده براي دفاع‌تان به كارگيري سلاح است. عينا مشابه اين حالت براي ويروس‌ها و ملور‌هايي كه مي‌خواهد وارد سيستم‌تان شود نيز اتفاق مي‌افتد.

اشتباه شماره سه به ايميل‌هايي كه روي اينترنت رد و بدل مي‌شود مربوط است؛ چرا كه اين روش يكي از پراستفاده‌ترين الگو‌هايي است كه براي ايجاد ارتباط روي اينترنت مورد استفاده قرار مي‌گيرد. به همين دليل يكي از مهم‌ترين مواردي كه كاربران و كلاهبرداران در آن با يكديگر مواجه مي‌شوند، هنگام ارائه اطلاعات شخصي‌ پس از دريافت ايميلي خاص است كه مي‌تواند برايتان خطرساز شود. براي پيشگيري از بروز چنين وضع بهتر است ايميل‌هايي را كه از طرف افراد ناشناس دريافت مي‌كنيد، به هيچ عنوان باز نكرده و به آنها جواب ندهيد.

علاوه بر اين، بدون هيچ معطلي چنين ايميل‌هايي را حذف كنيد. براي اين‌كه بتوانيد به آساني بفهميد يك ايميل اسپم است يا نه، بد نيست به آدرس فرستنده آن توجه كنيد؛ چنانچه از سوي فردي ناشناس بود، پيش از بازكردن، آن را حذف كنيد.

چهارمين اشتباهي كه بسياري از ما ممكن است مرتكب شويم انتخاب نادرست گذرواژه براي سايت‌هاي مختلف است؛ زيرا بيشتر ما براي پيدا‌كردن يك گذرواژه مطمئن و قوي مشكلات فراواني داريم؛ ولي مشكل تنها به انتخاب گذرواژه مربوط نمي‌شود، بلكه اين‌كه چه مقدار گذرواژه‌مان از امنيت برخوردار است يا نه موضوع بسيار حائز اهميتي است.

از اشتباهات ديگر ما انتخاب يك گذرواژه براي سايت‌هاي متفاوت است، تا راحت‌تر آنها را به خاطر بسپاريم. مثلا با انتخاب گذرواژه‌هاي يكسان براي Gmail، Facebook و ديگر سايت‌ها، خود را به دردسر بزرگي خواهيد انداخت؛ چرا كه اگر كسي يكي از اين گذرواژه‌‌هايتان را كشف كند، مي‌تواند براي وارد شدن به تمام اكانت‌هايتان از آن استفاده كند. تنها راه‌حل جلوگيري از چنين مشكلي انتخاب گذرواژه‌هاي متفاوت براي سايت‌هاي مختلف است؛ علاوه بر اين هر سال گذرواژه‌ اكانت‌هاي متفاوت‌تان را حتما تغيير دهيد.

واحد دانش و تکنولوژی تبیان زنجان

بعضی وقت ها ممکن است دلتان بخواهد جلوی این امواج را بگیرید! مثلا اینکه نخواهید همسایه ها هیچ راهی برای ورود به شبکه بی سیم تان داشته باشند. برای عده ای خوش شانس حدس زدن پسورد مودم همکاران و همسایه ها چندان کار مشکلی به نظر نمی رسد.

رنگ، گل، میوه، و یا شاید هم نام حیوان مورد علاقه می تواند پسورد مودم وایرلسی باشد که چند متر آنطرف تر در حال کار است و می تواند مورد حمله هکر ها قرار گیرد. البته برای جلوگیری از این کار راه های مختلفی وجود دارد، یکی از آنها استفاده از این کاغذ دیواری ضد وای فای است!

 دانشمندان انستیتو پلی تکنیک دانشگاه Grenoble INP طرح یک کاغذ دیواری ضد وای فای را ارائه کرده اند که به دلیل استفاده از کریستال های نقره در غشای آن، می تواند مقابل انتشار سه نوع فرکانس ناشی از عملکرد مودم ها و روتر های وایرلس را سد کند تا به نحوی محیط های مختلف را در برابر استفاده های ناخواسته حفاظت کند.

 جالب آنجا است که ساختار آن به گونه ای خواهد بود که بر روی عملکرد تلفن های بی سیم و موبایل مورد استفاده در محیط اختلالی ایجاد نخواهد کرد. برای حفاظت محیط بایستی کلیه سطوح سقف،زمین و دیوار ها را با آن پوشاند و به نظر می رسد که برای فضاهایی که دارای پنجره های بسیار هستند چندان راه کار خوبی محسوب نمی شود.

 ایده این کاغذ دیواری و دیگر دیوار های مسدود کننده طرح جدیدی نیست و تقریبا از سال 2004 تلاش های زیادی بر روی ساخت نمونه های تجاری شده است، اما قرار است این محصول فروش خود را در طرح ها و رنگ های متنوع از سال آینده آغاز کند.

واحد دانش و تکنولوژی تبیان زنجان

خريد و فروش اطلاعات محرمانه، همكاري و نفوذ در سازمان‌هاي بزرگ دولتي و خصوصي، تبادل روش‌هاي رمزگذاري و رمزگشايي از عواملي است كه باعث رشد هكرها، دسترسي ساده‌تر آنها به اطلاعات و آموزش سريع‌تر روش‌هاي امنيتي خواهد شد. در شرايط فعلي، روش‌هاي امنيتي موجود پاسخگوي هكرها و نفوذگران فوق‌ خبره نيست و نياز به حضور مدل‌هاي جديد دفاعي در مقابل حملات مجازي احساس مي‌شود.

رشد موبايل و ضعف محيط

حملات در سطوح مختلف در حال رخ‌دادن است و هر زمينه جديدي در دنياي فناوري، نياز به بهبود امنيت دارد. چاك هاليس، معاون موسسه RSA معتقد است: سال آينده، موبايل در سازمان‌ها و شركت‌هاي تجاري حضور مفيدتري خواهد داشت و عامل قابليت تحرك اين دستگاه‌ها باعث مي‌شود يك عامل بازدارنده امنيتي (قطع دسترسي فيزيكي) از جريان خارج شود و سرويس‌هاي كاري از حالت فيزيكي به روي شبكه‌هاي قابل دسترسي از بين بروند و همين مي‌تواند دستگاه موبايل را به بستري براي حملات تبديل كند. سرويس‌هاي رايانش ابري نيز از اين قاعده مستثنا نيست و روز‌به‌روز با حملات بيشتري روبه‌رو مي‌شود.

كمبود مهارت‌هاي حياتي

اين تغييرات صرف‌نظر از آمادگي تيم امنيتي رخ خواهد داد. در بسياري از مواقع، تيم امنيتي آماده مواجهه با چنين خطراتي نيست. براي روبه‌رو‌شدن با چنين خطراتي، به مهارت‌هايي حياتي نياز است كه همراه‌شدن با اين جريان، براي بسياري از سازمان‌ها و شركت‌ها ممكن نيست. براي حل اين مشكل، دبيرستان‌ها، هنرستان‌ها و دانشگاه‌هاي مرتبط بايد برنامه درسي خود را براي پر‌كردن چنين فاصله‌اي تغيير دهند.

جدي گرفتن قوانين حريم خصوصي

بيشتر دولت‌هاي جهان در مقابل قوانين حريم خصوصي ساده‌نگري دارند. اصلاح و تغيير قوانين حريم خصوصي در اشتراك اطلاعات، بسيار حياتي است. نبود اصلاحات كافي در اين قوانين به اتفاقاتي منجر مي‌شود كه امروزه شاهد آن هستيم. اگر شركتي براي حفظ اطلاعات به كاري اقدام كند، يك يا چند قانون حريم خصوصي را زير پا مي‌گذارد، اما مجبور است براي انجام مجموعه ديگري از قوانين، آن كارها را انجام دهد.

اتفاقات ناگوار نزديك است

بايد نگران پرل‌هاربرهاي مجازي بود. شايد پرل‌هاربر ديگري به‌صورت فيزيكي رخ ندهد، اما قطعا حادثه‌اي به همان اندازه مرگبار و ترسناك در دنياي مجازي قابل رخ‌دادن است و مي‌تواند اقتصاد دنيا را فلج كند.

خرابي فقط فيزيكي نيست

امروزه هكتيويست‌ها و تروريست‌ها براي نابودي تشكيلات و شاكله يك سازمان، يك دولت يا يك شركت به نفوذ اطلاعاتي بسنده نمي‌كنند. هر روز وابستگي به خدمات دنياي مجازي بيشتر مي‌شود و همين مي‌تواند باعث خرابي‌هاي مجازي شود كه ضرر و زيان‌هاي فيزيكي را شامل مي‌شود. اكنون مدل‌هاي امنيتي از حالت چند سطحي، به حالت هوشمند در حال تغيير است. بعد از يك دهه، سازمان‌ها متوجه شده‌اند مدل قديمي امنيتي، يعني مدل سطوح دسترسي، غيرقابل نفوذ نيست و تنها احتمال حمله را كم مي‌كند و روز‌به‌روز از تاثير آن در جلوگيري از حملات كمتر مي‌شود. يك مدل امنيتي هوشمند كه مي‌تواند خطر و موقعيت‌هاي حساس را درك كند، مي‌تواند به‌اندازه كافي براي حذف يا مينيمال‌كردن حملات اقدام كند.

مدل‌هاي جديد امنيتي در راه است

مدل‌هاي جديد امنيتي مي‌توانند به‌سرعت همه‌جا استفاده شوند و عامل اين تغيير نيز، كسي بجز متخصص‌هاي امنيتي نيست. امنيت در سيستم‌هاي رايانش ابري مي‌تواند در زمان و هزينه زيادي صرفه‌جويي كند و با صرف زماني اندك، مهارت‌هاي يك سازمان در دفاع از املاك مجازي خود را بهبود ببخشد.

از تحليل داده‌هاي بزرگ مي‌توان به مدل‌هاي امنيتي هوشمند رسيد. داده‌هاي بزرگ مي‌توانند با تحليل صحيح، به روش‌هايي هوشمند منجر شوند كه ديواره‌هاي امنيتي در برابر اشتباهات كاربر، سيستم و محيطي مقاوم در برابر تهديد ايجاد مي‌كند.

منبع : جام جم

واحد دانش و تکنولوژی تبیان زنجان

خدمت‌رساني از طريق HTTPS به اين معني نيست كه ترافيك داده‌ها رمزگذاري شده‌ است، رمزگذاري تنها نيمي از ماجراست و بدون احراز هويت بي‌فايده خواهد بود. اگر رمزگذاري بين دوطرف انجام شود اما ندانيم طرف ديگر چه كسي است، چه اهميتي دارد؟ بنابراين براي استفاده از ترافيك HTTPS بايد مدركي رمزبندي‌شده داشته باشيم تا هويتمان را نشان دهد. دريافت چنين مدركي مستلزم اين است كه هويت وب‌سايت توسط يكي از Certificate Authorityها تائيد شود.

ظاهر امر، ترسناك‌تر از كاري است كه بايد انجام دهيم. بيشتر CAهاي مشهور براي احراز هويت و اهداي گواهي هزاران دلار پول درخواست مي‌كنند. اگر كار وب‌سايت شامل e-commerce هم مي‌شود، شايد منطقي باشد كه براي دريافت آن گواهي اقدام كرد، اما اگر سايت كوچكي است يا واقعا هزاران دلار پول نداريم، چنين خرجي نه منطقي است و نه لازم.

SSL‌/‌TLS به‌طور خلاصه

SSL مخفف عبارت Secure Sockets Layer است. هر چند خود SSL امروزه كمتر استفاده مي‌شود و به‌جاي آن روش پيچيده‌تر و امن‌تري به نام Transport Layer Security مورد استفاده قرار مي‌‌گيرد. عبارت SSL بيشتر به‌ اين دليل استفاده مي‌شود كه شناخته شده است و در طول اين مقاله، از اين مبحث با نام SSL‌/‌TLS ياد خواهيم كرد.

SSL‌/‌TLS تركيبي از فناوري‌هاي مختلف است اما روش كاركرد آن، مشابه همان مفهوم كليدهاي رمزگذاري عمومي و خصوصي است. يك سرور وب، يك جفت كليد عمومي و خصوصي توليد مي‌كند. وقتي كلاينت مي‌خواهد يك Session از نوع HTTPS ايجاد كند، گواهي سرور را درخواست مي‌كند. اين اقدام از طريق يكي از مقامات تحت وب مدارك انجام مي‌شود تا آدرس درخواستي معتبر شود و نشان دهد گواهي دارنده وب‌سايت منقضي يا باطل نشده باشد. (در اين زمان است كه بيشتر هشدارهاي مرورگرها نشان داده مي‌شود؛ چرا كه مرورگر در اين مرحله است كه تصميم مي‌گيرد مدرك گواهي وب‌سايت را قبول كند يا نه.)

كلاينت سپس آيتم رمزگذاري‌شده‌اي را با عنوان pre-master secret انتخاب و آن را با كليد عمومي سرور رمزگذاري مي‌كند و به سمت سرور مي‌فرستد. به‌دليل طبيعت رمزگذاري كليدهاي عمومي، چيزي كه با كليد عمومي رمزگذاري شده باشد، تنها از طريق كليدهاي خصوصي مرتبط با آن مي‌تواند خوانده شود. اگر سرور بتواند pre-master secret را رمزگشايي كند، در نتيجه كليد خصوصي فعلي در اختيار سرور است و ارتباط برقرار مي‌شود.

رمزگشايي غيرهمزمان (Asymmetric) كند است و سرور و كلاينت خيلي از آن استفاده نخواهد كرد. در حقيقت آنها از سري مراحلي پيروي كرده كه pre-master secret را بهmaster secret تبديل مي‌كند و در نتيجه يك كليد Session توليد مي‌شود. اين كليدي همزمان است كه براي رمزگذاري و رمزگشايي در دو طرف ارتباط استفاده مي‌شود.

آيا به مدركي واقعي نياز داريم؟

براي خدمت‌رساني از طريق HTTPS به يك مدرك توليدشده از سوي CAها نيازي نداريم. هرچند داشتن يك مدرك واقعي (به‌جاي آن كه خودمان توليد كرده‌ايم) مي‌تواند هشداري را كه كاربران هنگام باز كردن صفحه مي‌بينند، حذف كند. (هشداري كه ممكن است كاربران را فراري بدهد.)

استفاده از مدارك خودامضا و خودتوليد براي تست و استفاده‌ در سايت‌هاي داخلي كار صحيحي است، اما استفاده از همين مدارك در فضاي اينترنت نه‌تنها مفيد نيست بلكه يكي از دو مولفه اصلي استفاده از HTTPS را زير سوال مي‌برد. مدركي كه توسط يك CA شناخته شده امضا شود به‌اين معني است كه شما (وب‌سايت) همان كسي هستيد كه خود را معرفي مي‌كنيد. حتي مهم‌تر از آن، وب‌سايت‌هاي اينچنيني بيشتر در معرض خطر تهديد قرار خواهد گرفت؛ زيرا كاربران بسادگي آنها را رد خواهد كرد. بنابراين، بله، به مدرك واقعي نياز داريم.

انواع مدارك

CAهاي مختلف، مدارك مختلفي عرضه مي‌كنند و معمولا براي كلاس‌هاي بالاتر، هزينه‌هاي بيشتري دارند. اما تقريبا در همه موارد، ميزان رمزبندي اين مدرك برابر است و ميزان كارهايي كه براي معتبرسازي صفحه انجام مي‌شود، متفاوت خواهد بود.

وقتي به سايت‌هاي مختلف CA سر بزنيم، متوجه خواهيم شد رفرنس‌هايي به كلاس 1/2 يا 3 داده مي‌شود. همچنين مداركي با عنوان‌هاي wildcard يا extended نيز وجود دارد. هر چند از نظر قدرت كليد رمزبندي، كلاس1 از كلاس2 امن‌تر نيست، اما كلاس2 به‌دليل مرحله معتبرسازي هويت، كمي مطمئن‌تر است. بسته به عرضه كننده SSL، كلاس‌هاي مختلف زيادي وجود خواهد داشت.

مدرك extended validation يا EV به يك استاندارد تبديل شده است و در مرورگرهاي مدرن، به شيوه بهتري نشان داده مي‌شود و به رنگ سبز خواهد بود.

مدارك EV را معمولا خود CAها در وب‌سايت‌هايشان استفاده مي‌كنند. وب‌سايت‌هايي كه مستقيما براي خريد و فروش استفاده مي‌شود نيز معمولا از EV استفاده مي‌كنند. اين نوع مدارك از بقيه گران‌تر بوده و دريافت ‌آنها نيز بسيار دشوار است؛ زيرا كارهاي زيادي براي احراز هويت وب‌سايت انجام مي‌شود.

اما وب‌سايت‌هاي معمولي نيازي به EV ندارند. حتي افزونه‌هايي كه اغلب CAها تبليغ مي‌كنند نيز الزامي نيست.به مدارك wildcart (نوع خاصي از SSL‌/‌TLS كه براي سرورهاي مختلف در يك دومين استفاده مي‌شود) نيز نيازي نيست. در حقيقت براي يك وب‌سايت شخصي بجز يك مدرك ساده SSL‌/‌TLS به چيز ديگري نياز نداريم.

براي دريافت يك مدرك SSL‌/‌TLS، به يك چيز نياز داريم. سرور وب بايد نام داشته باشد. نام سرور چيزي است كه به‌عنوان بخشي از هويت آن شناسايي خواهد شد. اگر دامنه.com يا.org را ثبت نكرده‌ايد، بايد ابتدا اين كار را انجام دهيم.

سريع‌ترين كار براي ثبت آن، استفاده از گوگل است. گوگل با هزينه هشت دلار مي‌تواند اينترفيسي شبيه گوگل دراختيار كاربر قرار دهد و تا ده كاربر نيز مي‌تواند از آن استفاده كند.

بعد از اين كه كليد را به دست آورديد، با اجراي دستورهاي زير در سرور مي‌توانيم كليدها را به سرور وصل كنيم.

scp ssl.key yourname@webserver:~

scp ssl.crt yourname@webserver:~

در دستور بالا، فايل كليد با نام ssl.key و فايل مدرك با نام ssl.crt مشخص شده است. شناسه كاربري و نام سرور را در بخش webserver و username قرار دهيد.

بعد از اين كه كليد و مدرك كپي شد، بايد كليد را رمزگشايي كنيم. براي اين كار، دستور زير را اجرا كنيد:

sudo openssl rsa -in ssl.key -out /etc/nginx/conf/ssl.key

نخستين بار كه اين دستور اجرا مي‌شود، شناسه و رمز عبورتان درخواست مي‌شود. openssl يك كپي رمزگشايي شده از كليد خصوصي‌را در مسير ‌/‌etc‌/‌nginx‌/‌conf قرار مي‌دهد. (به‌همين دليل از sudo استفاده شد، چرا كه كاربر با دسترسي عادي نمي‌تواند فايل در آن محل قرار دهد)

حفظ اين كليد بسيار مهم است، چرا كه پايه هويت سرور را تشكيل مي‌دهد و هر كسي به آن دست پيدا كند مي‌تواند از نظر رمزگذاري، هويت سرور را از آن خود كند. بنابراين بهتر است به Nginx و پروسس‌هاي آن دست پيدا كنند.

sudo chown www-data:www-data /etc/nginx/conf/ssl.key

sudo chmod 600 /etc/nginx/conf/ssl.key

دستور اول، فايل را در اختيار www-data قرار مي‌دهد. دستور دوم سطوح دسترسي آن را طوري تعيين مي‌كند كه تنها صاحب آن بتواند آن را خوانده يا در آن بنويسد.

بعد بايد بايد مدارك intermediate و root را ازCA‌ دريافت كرده و آنها را با مدرك سرور يكي كنيم و در يك زنجير بزرگ‌تر قرار دهيم. اين موضوع علاوه بر اين‌كه درك هويت از سوي مرورگر را راحت‌تر مي‌كند، ساده‌ترين روش ممكن در پياده‌سازي گواهي SSL در Nginx هم هست.

cd /etc/nginx/conf

sudo wget http://www.startssl.com/certs/ca.pem

sudo wget http://www.startssl.com/certs/sub.class1.server.ca.pem

سه دستور بالا، مستقيما ما را به مقصد مي‌رساند. با كمك دستور زير، هر سه فايل را به يك فايل تبديل مي‌كنيم.

sudo cat ~/ssl.crt sub.class1.server.ca.pem ca.pem » /etc/nginx/conf/ssl-unified.crt

فايل‌هاي گواهي به‌صورت متني است و بسادگي با دستور cat آنها را يكي مي‌كنيم.

اتصال به nginx

حالا كه فايل‌هاي كليد را باز كرده و مدركمان آماده است، بايد به nginx بگوييم چطور از آنها استفاده كند. دو فايل را براي انجام اين كار بايد ويرايش كنيم. نخست فايل اصلي nginx.conf و بعد فايل Vitrual Host. اگر چند وب‌سايت و فايل Virtual Host داريد، بايد يكي يكي آنها را ويرايش كنيد. فرض مي‌گيريم تنها يك Virtual Host داريد.

فايل nginx.conf را باز كرده و دستور زير را در انتهاي آن وارد كنيد:‌

ssl_session_cache shared:SSL:10m;

بعد فايل virtual host خود را باز كنيد. در اين فايل تنها يك ميزبان غير SSL وجود دارد كه در پورت 80 قرار گرفته است. مي‌خواهيم ميزبان جديدي در اين فايل ايجاد كنيم كه در پورت 443 گوش مي‌كند. بخش زير را زير سرور فعلي قرار دهيد:

server {

listen 443 ssl;

root /usr/share/nginx/html;

index index.html index.htm;

server_name your-server-name;

ssl on;

ssl_certificate /etc/nginx/conf/ssl-unified.crt;

ssl_certificate_key /etc/nginx/conf/ssl.key;

ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;

ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4: HIGH:!MD5:!aNULL:!EDH:!AESGCM;

ssl_prefer_server_ciphers on;

ssl_ecdh_curve secp521r1;

}

واحد دانش و تکنولوژی تبیان زنجان

احتمالا تا حالا بارها و بارها به حفظ امنیت اطلاعات و به عنوان مثال تهیه نسخه پشتیبان از فایل‌های ذخیره شده در کامپیوترتان توصیه شده‌ا‌ید. در واقع اینها عادت‌های خوبی در دنیای تکنولوژی هستند که همه ما به عنوان علاقه‌مندان تکنولوژی و راه‌های ارتباطی آن باید سعی کنیم آنها را حفظ کنیم.

عادت‌های خوب تکنولوژی اما تنها به کاربران حرفه‌ای محدود نمی‌شود و بهتر است هر کاربر عادی هم آنها را رعایت کند.

10- گاهی تنظیمات حریم شخصی خود در شبکه‌های اجتماعی را بررسی کنید:

 همه ما می‌دانیم که شبکه‌های اجتماعی مانند فیس‌بوک مکان خوبی برای دستبرد هکرها به اطلاعات شخصی کاربران است. درست به همین دلیل هم برای حفظ امنیت بیشتر در شبکه‌های اجتماعی بهتر است چند وقت یک بار به بررسی تنظیمات مربوط به حریم شخصی خودتان بپردازید.

9- بدانید که چه وقت گران خرید می‌کنید:

تکنولوژی چندان هم ارزان نیست، اما این به معنای آن نیست که برای خرید یک محصول دیجیتال تمام پولتان را خرج کنید. بهتر است قبل از آنکه بخواهید هر گجتی را بخرید، به جمع‌آوری اطلاعات مختلف درباره کاربردها، ویژگی‌ها و البته قیمت آن بپردازید. این کار می‌تواند کمک خوبی برای جیب‌هایتان باشد. وب سایت‌های خرده فروشی آنلاین یا سایت‌های اطلاع رسانی در این زمینه که اتفاقا تعدادشان هم کم نیست می‌توانند کمک خوبی باشند.

8- دسک تاپ و هارد درایوتان را نظم بدهید:

اگر دسک تاپ یا هارد درایو شما به هم ریخته و نامنظم است، بهتر است از فرصت استفاده کرده و هر چه سریع‌تر برای آن فکری بکنید.

نه تنها پیدا کردن فایل مورد نظر در چنین شرایطی بسیار سخت است، بلکه کند شدن سرعت عملکرد سیستم ‌عامل هم از دیگر مشکلات آن است.

برای جلوگیری از این اتفاق بهتر است فایل‌هایی با مضمون، محتوا یا کاربری مشابه را در یک پوشه‌ نگه‌دارید.

7- از آلودگی به بدافزارها بپرهیزید:

 بسیاری از ما می‌دانیم که ویروس‌ها آن هم از نوع کامپیوتری‌اش بسیار خطرناک هستند. با این حا اما شاید واقعا ندانیم که این موضوع در حقیقت چه آسیبی به کامپیوترها و اطلاعات ذخیره شده ما بزند. بهتر است کمی بیشتر درباره انواع ویروس‌های کامپیوتری، بدافزارها و راه‌های آلودگی به آنها بدانیم. بهترین کار در این مورد نصب یکی از برنامه‌های ضد ویروس است. برای این کار می‌توان از برنامه‌های آنتی ویروس رایگان موجود در اینترنت استفاده کرده یا نسخه‌ اصلی آنها را خریده و نصب کنید.

6- در جاهایی که خدمات اینترنت رایگان ارائه می‌شود، مراقب باشید:

 وقتی بیرون از خانه هستید و به دنبال مکان‌هایی که اینترنت رایگان ارائه می‌کنند یا همان هات اسپات‌ها، باید بیشتر مراقب باشید.

زمانی که در اماکن عمومی از اینترنت رایگان بی‌سیم استفاده می‌کنید، باید مراقب حفظ امنیت اطلاعات خود باشید.

بد نیست بدانید که می‌توان بدون هیچ تجربه‌ خاصی در زمینه هک، از این طریق به حساب کاربری افراد دسترسی پیدا کرد.

البته اگر برای دسترسی به اینترنت بی‌سیمی نیاز به کلمه عبور باشد به معنی آن نیست که امنیت شما تضمین شده است. اگر کاربران دیگری به جز شما و اعضای خانواده‌تان به این شبکه دسترسی داشته باشند، احتمال درز اطلاعات و هک شدن وجود دارد.

بنابراین بهتر است در زمان استفاده از خدمات اینترنت عمومی و رایگان قابلیت اشتراک‌گذاری را موقتا غیرفعال کرده و ترجیحا از اتصالات امن استفاده کنید.

5- مراقب کلاهبرداری‌های اینترنتی باشید:

 اغلب ما در گشت و گذارهای اینترنتی بارها با کلاهبرداری‌های مجازی رو به رو شده‌ایم. به عنوان مثال ایمیل‌هایی از یک بانک ناشناس که شما را برنده قرعه کشی معرفی کرده است یا ایمیل‌های مشابه همه و همه کلاهبرداری‌هایی است که هدفی جز دزدی اطلاعات شخصی شما را ندارند.

4- نیازهای مربوط به نگهداری بهتر کامپیوترتان را بدانید:

همه ما می‌دانیم که با انجام کمی تنظیمات در کامپیوتر شخصی‌مان می‌توانیم به سرعت و کارآیی آن بیفزاییم. البته برای این کار نیازی به مراجعه به شخص دیگری نیست؛ برای این کار وب‌سایت‌های آموزشی و اطلاع رسانی زیادی وجود دارند که می‌توانند به شما کمک کنند.

3- از پسوردهای ایمن استفاده کنید:

 اگر فکر می‌کنید پسوردی ایمن دارید، بهتر است از این موضوع اطمینان حاصل کنید. در واقع نباید فراموش کنید که هکرهای امروزی از راه‌های جدیدی برای دسترسی به اطلاعات شخصی افراد استفاده می‌کنند. پس پسوردهایی را انتخاب کنید که حدس زدن شان سخت‌تر باشد. علاوه بر این بهتر است هرگز پسوردهای‌تان را در مرورگرهای اینترنتی ذخیره نکنید.

2- از اطلاعات کامپیوترتان نسخه پشتیبان تهیه کنید:

 با اینکه همه ما بارها درباره تهیه نسخه پشتیبان از اطلاعاتمان شنیده‌ایم، اما معمولا آن را جدی نمی‌گیریم. اما بد نیست بدانید که انجام این کار چندان هم سخت یا پیچیده نیست و هر کسی می‌تواند با چند دقیقه وقت آن را انجام دهد. بنابراین بهتر است هر چه زودتر این کار را انجام بدهید.

1- مانند یک حرفه‌ای در گوگل جست‌وجو کنید:

 اگر بتوانید از گوگل نتیجه‌ای را که می‌خواهید به دست بیاورید، می‌توانید در هر زمینه‌ای دانش کافی را داشته باشید. برای جست‌وجوی بهتر و دقیق‌تر در گوگل بهتر است تنظیمات مختلف آن را بررسی کرده و از آنها کمک بگیرید.

منبع : دنیای اقتصاد

واحد دانش و تکنولوژی تبیان زنجان

شاید شما هم یکی از کاربران شبکه های بی سیم باشید . مثلا یک مودم وای فای در منزل دارید و از طریق آن به اینترنت متصل می شود . مسلما برای شارژ کردن آن هم مبلغی را می پردازید . حالا هر چه که سرعت و حجم دانلود بیشتر باشد ، تعرفه آن نیز بالاتر خواهد بود . مطمئنا شما دوست ندارید که کسی به شبکه بی سیم تان متصل شده و از طریق شروع به گشت و گذار در اینترنت کند . در مورد امنیت شبکه های وای فای تا با حال مطالب زیادی منتشر شده است که یا آنها را در گویا آی تی خوانده اید و یا در سایت های دیگر . اما در این مطلب می خواهیم به پنج طرز فکر غلط در مورد امنیت شبکه های بی سیم اشاره کنیم . پس با گویا آی تی همراه باشید ……

 ۱- استفاده از رمزنگاری نوع WEP

 شاید در مورد رمزنگاری شبکه های بی سیم اطلاعات زیادی نداشته باشید . اما به صورت کلی باید گفت که هرچه رمزنگاری یک شبکه قوی تر باشد ، عبور کردن از سدهای امنیتی آن مشکل تر می شود . اما همه انواع رمزنگاری نیز باعث امنیت بیشتر شبکه های بی سیم نمی شوند . رمزنگاری نوع WEP یکی از همین نوع رمزنگاری هاست که به راحتی دور زده می شود .

 در روترهایی که امروزه فروخته می شوند ، امکان استفاده از رمزنگاری WEP نیز وجود دارد . اما این قابلیت بیشتر برای دستگاه هایی قرار داده شده است که قدیمی هستند و امکان استفاده از روش های رمزنگاری جدید مثل WPA و WAP2 را ندارند . پس اگر دستگاه شما مشکلی در پشتیبانی از روش های رمزنگاری های جدید ندارد ، حتما به جای استفاده از WEP از WPA یا WPA2 استفاده کنید ( ترجیحا از WPA2 استفاده شود ) .

 اما اگر دستگاه شما قدیمی است و تنها از WEP یا WPA پشتیبانی می کند ( مثل original Xbox یا Nintendo DS ) ، می توانید با بروز رسانی کردن ، پشتیبانی از WPA2 را نیز به دستگاه خود اضافه کنید .

 ۲- مخفی کردن نام شبکه

 اکثر روترهای به شما اجازه می دهند تا SSID یا همان نام شبکه تان را مخفی کنید . اما در SSID برای مخفی شدن طراحی نشده است . اگر SSID را مخفی کرده و سپس به صورت دستی به آن متصل شوید ، کامپیوتر شما به صورت مداوم نام شبکه شما را منتشر می کند و به دنبال آن می گردد . حتی زمانی که شما گوشه ی دیگری از کشورتان باشید ، کامپیوتر شما هیچ راهی برای متصل شدن به شبکه تان که نزدیک شما قرار دارد پیدا نمی کند و همچنان به دنبال آن خواهد گشت . همین انتشار نام شبکه شما توسط کامپیوترتان به افراد نزدیک تان این اجازه را خواهد داد تا نام شبکه شما را مشاهده کنند . البته روش پنهان کردن SSID به راحتی قابل دور زدن است . در واقع نرم افزاری کنترل ترافیک شبکه های بی سیم می توانند به راحتی SSID مربوط به شبکه شما را تشخیص دهند .

 ۳- روش فیلتر کردن آدرس های MAC

 هر دستگاهی دارای یک شناسه منحصر به فرد است که با عنوان Media Access Control address یا همان MAC address شناخته می شود . لپ تاپ ، گوشی هوشمند ، تبلت ، کنسول بازی شما و یا هر چیزی که از شبکه های وای فای پشتیبانی کند ، دارای این شناسه می باشد . روتر شما می تواند لیستی از مک آدرس های متصل شده به آن را نمایش دهد . همچنین روترها به شما اجازه می دهند تا مک آدرس ها را فیلتر کرده و مثلا به یک یا چند مورد از آن اجازه دسترسی به شبکه تان را ندهید . مثلا فرض کنید که چند نفر مهمان دارید و از آن خوره های دانلود هستند . می توانید بلافاصله پس از متصل شدن به شبکه تان ، مک آدرس دستگاه شان را فیلتر کنید تا نتوانند به شبکه دسترسی پیدا کنند . البته بهانه اش دیگر به عهده خودتان است

 با این حال این روش نیز چندان باعث بالا رفتن امنیت تان نخواهد شد . شاید در مورد افراد عادی این روش کارساز باشد ، اما افرادی حرفه ای که سرشته ای در بحث امنیت شبکه دارند ، می توانند ترافیک وای فای شما را شنود کرده و به راحتی مک آدرس هایی که به شبکه شما متصل شده اند را پیدا کند . سپس مک آدرس دستگاه خود را به یکی از مک آدرس های مجاز تغییر دهد و به شبکه شما متصل شود . البته علاوه بر تغییر مک آدرس باید کلمه عبور شبکه شما را هم داشته باشد .

 این روش شاید مزایای داشته باشد ، اما مسلما معایبی نیز دارد . مثلا اگر یکی از آشنایان شما بخواهد به شبکه تان متصل شود ، نیازمند این است که شما در تنظیمات بخش فیلترینگ مک آدرس ها تغییراتی بوجود بیاورید .

 به نظر من هنوز استفاده از یک کلمه عبور قدرتمند و رمزنگاری WPA2 بهترین روش برای حفاظت در برابر دسترسی غیر مجاز به شبکه تان است .

 ۴- آی پی آدرس های استاتیک

 یکی دیگر از باورهای اشتباهی که برخی افراد در مورد شبکه های وای فای دارند این است که استفاده از آی پی آدرس های استاتیک می تواند باعث افزایش امنیت آنها شود . به صورت پیشفرض روترها دارای یک DHCP Sever یکپارچه هستند . هنگامی که شما یک کامپیوتر یا هر دستگاه دیگری را به شبکه تان متصل می کنید ، آن دستگاه از روتر شما درخواست یک آدرس آی پی می کند و DHCP Server نیز یک آدرس آی پی به آن دستگاه خواهد داد .

 شما می توانید DHCP Server روتر خود را غیر فعال کنید . پس از آن هر دستگاهی که بخواهد به شبکه شما وصل شود ، روتر به صورت اتوماتیک به آن دستگاه یک آدرس آی پی نخواهد داد . اکنون شما باید یک آدرس آی پی را به صورت دستی در دستگاهی که قصد اتصال به شبکه تان را دارد وارد کنید .

 اما باید به یک نکته توجه کرد . اگر کسی بتواند به یک شبکه بی سیم متصل شود ، دیگر برای آن فرد کاری ندارد که یک آدرس آی پی نیز روی دستگاه خود تنظیم کند .

 ۵- استفاده از کلمات عبور ضعیف

 همه می دانند که استفاده از کلمات عبور ساده و قابل حدس بسیار خطرناک است . شاید فکر کنید که استفاده از روش رمزنگاری WPA2 باعث امنیت کامل شما خواهد شد . اما حتی اگر از WPA2 نیز به منظور رمزنگاری استفاده کنید ولی کلمه عبورتان ضعیف باشد ، هیچ تاثیری در افزایش امنیت شما نخواهد داشت .

 سعی کنید که کلمه عبور شبکه بی سیم تان کمتر از ۸ کراکتر نباشد . چون با استفاده از حملات ” دیکشنری ” که بر پایه حدس زدن ترکیب کلمات ، اعداد و نشانه ها کار می کنند ، به راحتی در هم می شکنند . بهتر است که کلمه عبورتان بین ۱۵ تا ۲۰ کراکتر باشد . همچنین این کلمه عبور باید ترکیبی از حروف بزرگ و کوچک ، اعداد و نشانه ها باشد تا حدس زدن آن تقریبا غیر ممکن شود .

 خلاصه

 بهترین روش برای حفاظت از شبکه شما ، استفاده از یک کلمه عبور قدرتمند و همچنین رمزنگاری WPA2 است . بهتر است به توصیه افرادی که تبحر زیادی در زمینه امنیت شبکه ندارند ، توجه نکنید .

منبع:نورپورتال

واحد دانش و تکنولوژی تبیان زنجان

این سوال رو خیلی از ما از خودمون پرسیدیم و دلیل اصلی اون هم اینه که یک شبکه وایرلس با وجود تمام فوایدی که دارد، یک ضرر عمده دارد. بیش از هر بستر ارتباطی دیگری در معرض خطر نفوذ می باشد.شاید ارتقاء ایمنی یک شبکه وایرلس از اولین کارهایی باشه که یک مدیر شبکه فعال به انجامش دست می زند.من اینجا قصدم تشریح مبانی امنیت نیست. بلکه می خواهم به زبان ساده راهکارهای رایجی را برای افزایش ضریب ایمنی این شبکه در محیط های خانگی و اداری کوچک با یک Access Point بیان کنم.

این روزها لوازم شبکه های بیسیم همه جا قابل دسترس و ارزان می باشند و هر کس بخواهد می تواند با کمتر از 100 هزار تومان در عرض چند دقیقه یک شبکه بیسیم را راه اندازی نماید.این حجم استفاده از شبکه های بیسیم بدان معناست که شبکه های بیسیم این پتانسیل را دارند که در آینده ای نه چندان دور همه ی دنیا را احاطه کنند.

چه باید کرد:

اغلب سخت افزارهای شبکه های بیسیم آنقدر پیشرفت کرده اند که کابران می توانند به راحتی آنها را نصب کنند ولی نکته قابل توجه در شبکه، امنیت آن است که کاربران به آن توجهی نمی کنند. پس لازم است چند روش برای ارتقاء امنیت شبکه توضیح دهیم.این راهکارها در زمینه های زیر تشریح خواهند شد:

- استفاده از Authentication و Data Encryption

- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده

- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن

- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast

- عدم استفاده از قابلیت MAC Address Filtering

- عدم استفاده از Authentication نوع Shared Key

- فعال سازی -Firewall- SSID شبکه را غیر فعال کنید- برد شبکه بیسیم را کم کنید- کنترل از راه دور را غیر فعال کنید- استفاده از VPN برای برقراری ارتباط- استفاده از معماری Client/Server

موارد مذکور را در زیر به تفصیل بررسی خواهم کرد:

- استفاده از Authentication و Data Encryption

محافظت از شبکه های بی سیم IEEE 802.11 شامل رمزگذاری (Encryption) و اعتبارسنجی یا تصدیق هویت (Authentication) است. رمزگذاری، داده ها را در فریم های لایه 2 بی سیم قبل از ارسال مغشوش می کند و به این وسیله از مداخله مهاجمین در محتوای ارسالی جلوگیری می کند. تصدیق هویت هم همونطور که از اسمش پیداست قبل از اجازه دادن به کاربران برای اتصال به شبکه، اعتبار اونها رو کنترل می کنه و با این کار از دسترسی غیر مجاز کاربران و یا مهاجمین جلوگیری به عمل میاره. اگر از تصدیق هویت و رمزگذاری داده ها استفاده نکنید، کاربران مخرب می تونن به کامپیوترهای شما در شبکه حمله و یا از اتصال اینترنت شما برای فعالیت های مخرب و یا غیر مجاز استفاده کنن.

در یک شبکه کوچک که از Domain استفاده نمی شه می تونید یکی از ترکیب های Authentication و Encryption زیر رو برای افزایش سطح امنیت انتخاب کنید:

(از بالا به پایین سطح امنیت کاهش پیدا می کنه...)

1- Wi-Fi Protected Access 2 (WPA2) - Personal Authentication که نام دیگر اون WPA2 با (Preshared Key (WPA2-PSK هستش بهمراه استاندارد رمزنگاری پیشرفته (AES)

2- Wi-Fi Protected Access (WPA)-Personal که نام دیگرش WPA-PSK authentication هستش بهمراه رمزنگاری (Temporal Key Integrity Protocol (TKIP

3- تصدیق هویت Open system بهمراه رمزنگاری (Wired Equivalent Privacy (WEP

تنظیمات مربوط به روش Authentication ، روش Encryption ، کلید Authentication و همچنین کلید Encryption را باید علاوه بر کلاینت بر روی Access Point مورد نظر نیز اعمال کنید.

چگونه موارد فوق را بر روی کامپیوترهای کلاینت تنظیم کنیم؟

اگر به صورت دستی کلید WPA preshared ویا WPA2 preshared را ایجاد می کنید، باید یک رشته کاراکتر تصادفی را با استفاده از صفحه کلید (حروف بزرگ و کوچک، علامت ها و اعداد) در حداقل طول 20 کاراکتر یا اعداد هگزادسیمال (ارقام 0-9 و حروف A-F) در حداقل طول 24 رقم تولید کنید. اگر از گزینه Setup a wireless router or access point در ویزارد Connect to a network در ویندوز ویستا استفاده کرده باشید، ویندوز یک WPA2 preshared key با طول 63 کارکتر را به طور اتوماتیک برایتان ایجاد خواهد کرد.

Open System Authentication with WEP Encryption

Open Authentication در اصل یک روش تصدیق هویت نیست. اساسا ذکر این روش در کنار دو روش WPA و WPA2 به این علت است که در صورتی که از هیچ یک از روش های مذکور استفاده نشود، از روش Open System استفاده شده است.

Encryption نوع WEP با استفاده از Shared Key روشی بسیار آسیب پذیر است و ابدا" پیشنهاد نمی شه. به هر حال استفاده از آن بهتر از باز بودن کامل شبکه وایرلس شماست.

WEP معادل عبارت Wired Equivalent Protocol یا پروتکل معادل استفاده از کابل شبکه است.

- تغییر نام شبکه پیش فرض که بر روی هر Access Point به طور اولیه تنظیم شده

Access Point های وایرلس با نام های شبکه پیشفرض در بازار عرضه می شن که به اون (Service Set Identifier (SSID گفته می شه.

لزوم تعویض این نام های پیش فرض دو دلیل عمده داره:

- درصورت وجود شبکه های نزدیک به شما با نام های پیشفرض (که احتمالش کم نیست) ممکنه کاربران اون شبکه امکان اتصال به شبکه شما رو تحت شرایطی داشته باشند و با تداخل پیش بیاد.

- با توجه به تفاوت نام پیشفرض بین تولیدکنندگان مختلف تجهیزات شبکه، امکان تشخیص ندل و برند تجهیزات شما ممکن خواهد بود.

- حتی الامکان از نام های تحریک آمیز نظیر نام شرکت، نام سازمان ها، نام افراد استفاده نکنید.

- بهترین انتخاب می تونه یک نام بی معنا باشه، مثلا" : dFtgg33

- تغییر نام کاربری Admin (درصورت امکان) و تخصیص یک کلمه عبور امن

یهترین راه نفوذ درصورت امکان، دسترسی غیر مجاز به کلمه عبور Administrator شبکه وایرلس شماست. بهتره به موازات اون سد دیگری ایجاد کنید و نام کاربری Admin رو مثلا" به Adminjoon یا Admin34 یا هر کلمه غیر قابل پیش بینی دیگه ای تغییر بدید تا درصورت دسترسی به کلمه عبور شما نفوذگر ندنه از چه نام کاربری استفاده کنه.

قابل ذکره نام کاربری ادمین به طور پیش فرض بر روی اغلب این تجهیزات کلمه Admin هستش.

- عدم استفاده از قابلیت Hidden Wireless Network یا همون Non-Broadcast

استفاده از قابلیت Hidden Network به این معنا نیست که شبکه شما غیر قابل مشاهده است. حتی باید گفت این عمل سطح امنیت شما رو کاهش می ده، چون در هر بار اتصال کلاینت ها به این نوع شبکه، کلاینت مذکور نام شبکه شما رو داد می زنه و منتظر دریافت پاسخ از سمت Access Pint می مونه. در این فاصله زمانی یک نفوذگر نه چندان خبره هم به راحتی می تونه خودش رو به جای Access Point واقعی جا بزنه و با اتصال به کلاینت از اون کلید مورد نظر رو به راحتی دریافت کنه.

علاوه بر این مشکلاتی در ارتباط با اتصال خودکار به این نوع شبکه ها در برخی حالات خاص وجود داره.

- عدم استفاده از قابلیت MAC Address Filtering

هدف استفاده از این روش محدود کردن تقاضاهای اتصال به کلاینت های با آدرس MAC مشخص هستش که البته استفاده از این روش رو اصلا" توصیه نمی کنم.

علاوه بر لزوم ویرایش لیست آدرس های مجاز با اضافه و کم شدن کاربران ثابت شبکه، لزوم ویرایش اون برای کاربران مقطعی و احتمال بروز خطا در این زمینه، این روش اصلا روشی اصولی و قوی در محافظت از شبکه نیست.

یک نفوذگر نه چندان حرفه ای می تونه با گوش دادن به ترافیک ارسالی از سورس های مجاز و یا به مقصدهای مجاز، آدرس های MAC مجاز رو شناسایی و با شبیه سازی اونها به شبکه دسترسی پیدا کنه. علاوه بر اون استفاده از این روش الگوریتم ذخیره سازی و تصدیق آدرس های MAC مرتبط با Access Point شما رو در دسترس افراد نفوذگر قرار می ده.

- عدم استفاده از Authentication نوع Shared Key

Shared Key Authentication نوع دیگری از تصدیق هویته که بهمراه رمزنگاری WEP انجام می شه (نوع دیگرش Open System بود که بررسی کردیم). در اغلب Access Point ها کلید بکار رفته برای Authentication با کلید WEP Encryption یکسانه و شخص نفوذگر، در لحظه اتصال یک کلاینت به شبکه (رد و بدل شدن Shared Key) با گوش دادن به پیغام ارسال کلید و پیغام تأیید صحت کلید و آنالیز اون به سادگی می تونه به کلمه WEP دسترسی پیدا کنه و حالا دیگه شخص نفوذگر از خدا هیچی نمی خواد چون انگار هیچ نوع رمزنگاری در شبکه شما فعال نیست!

- فعال سازی Firewall

فایروال رو هم که حتما" همتون می دونید که باید فعال کنید و ترافیک بیرون به درون رو محدود کنید.

 - SSID شبکه را غیر فعال کنید

روترهای بیسیم به صورت اتوماتیک و منظم اسم شبکه یا شناسه سرویس دستگاه(SSID ) را در محیط انتشار می دهند . غیر فعال کردن انتشار SSID ، شبکه را از همسایه ها و عابران مخفی نگه می دارد. (البته هنوز هم احتمال دسترسی به شبکه توسط هکرها وجود دارد)

 - برد شبکه بیسیم را کم کنید

این ویژگی را در همه روترها نخواهید یافت ولی بعضی از روترها به شما این اجازه را می دهند تا نیروی فرستنده روتر را کم کنید.بدین معنی که برد سیگنال ارسالی کم می شود.این تقریبا غیر ممکن است که بتوان یک سیگنال را طوری تنظیم کرد که به بیرون از خانه یا محل کار انتشار پیدا نکند، ولی بوسیله روش آزمون و خطا می توانید مسافتی که سیگنال قابل دسترسی می باشد را تنظیم کنید و فرصت دستیابی به سیگنالها را توسط افراد خارج از محدوده کم کنید.

- کنترل از راه دور را غیر فعال کنید

اغلب روترها این ویژگی را دارند که از طریق اینترنت و از راه دور کنترل شوند. در واقع شما باید کنترل از راه دور را زمانی فعال کنید که بتوان برای روتر یک IP خاص تعریف کرد.به عنوان یک راهنمایی تا زمانی که کنترل از راه دور را احتیاج ندارید بهتر است آنرا خاموش کنید و از آن استفاده نکنید.

منبع: دانشجو

واحد دانش و تکنولوژی تبیان زنجان

حفظ امنيت زندگي ديجيتال يكي از مسائل پراهميت در دنياي امروز است. حفاظت از اين زندگي و جلوگيري از بروز استرس‌هاي ناشي از حملات ديجيتال در سلامت جسمي ما نيز تاثير دارد؛ حملاتي مانند پاك‌شدن اطلاعات رايانه‌تان توسط يك بدافزار، هك‌شدن حساب‌هاي آنلاين‌تان يا به سرقت‌رفتن هويت. با توجه به اهميت اين موضوع، در اين نوشتار چند نكته را براي حفظ امنيت زندگي ديجيتال ‌بيان مي‌كنيم.

استفاده از پين‌كد

تلفن‌هاي هوشمند و تبلت‌ها رايانه‌هاي كوچكي است و اگر اين رايانه‌هاي كوچك مفقود يا سرقت شود، ديگران مي‌توانند به ايميل و حساب شبكه اجتماعي‌تان، عكس‌ها، فايل‌ها و پيام‌هاي متني ‌و ديگر حساب‌هاي آنلاين‌تان دسترسي پيدا كنند. با اين حال، شما مي‌توانيد براحتي با استفاده از پين‌كد يا قفل صفحه‌نمايش از اين خطرات در امان باشيد.

اگرچه روش به كارانداختن پين‌كد حفاظتي در همه دستگاه‌ها يكسان نيست، اما شما مي‌توانيد اين كد حفاظتي را در قسمت تنظيمات (settings) تبلت يا تلفن‌تان پيدا كنيد. شايد رمزعبور يا پين‌كد بدون خطا نباشد و امكان دورزدنش وجود داشته باشد، اما مي‌تواند اولين سد حفاظتي در برابر دزدان اطلاعات باشد.

نصب برنامه‌هاي ضدسرقت

اگر تلفن هوشمند، آيپد يا تبلت‌تان گم شود يا به سرقت برود، شايد هيچ شانسي براي يافتن آن برايتان نباشد، اما داشتن يك برنامه ضدسرقت شانس شما را براي دوباره ديدن گجت‌تان افزايش مي‌دهد. شما مي‌توانيد گجت‌تان را از راه دور و به وسيله يك دستگاه ديگر يا يك PC روي نقشه مكان‌يابي كنيد يا آژير آن را به صدا درآوريد (مثلا اگر دستگاه‌تان در جايي افتاده كه از چشمانتان پنهان است، اين آژير به شما كمك زيادي خواهد كرد) يا اگر از پيدا‌شدن دستگاه‌تان نااميد شده باشيد اطلاعات دستگاه را برايتان پاك مي‌كند.

 بسياري از اين دستگاه‌ها به طور پيش‌فرض برنامه ضدسرقت با مكان‌يابي از راه دور را دارند، اما اگر دستگاه شما از اين برنامه بي‌بهره است، مي‌توانيد از برنامه‌هاي رايگان كه براي اندرويد و iOS وجود دارد، استفاده كنيد.

اين برنامه را مي‌توانيد روي لپ‌تاپ‌تان نيز نصب كرده تا در صورت لزوم از آن استفاده كنيد؛ هرچند اميدواريم هرگز به اين نرم‌افزار‌ها نيازمند نشويد!

انجام چك امنيتي PC

شما بايد به صورت دوره‌اي PC خود را از نظر امنيتي چك كنيد. آنتي‌ويروس چيزي است كه بايد داشته باشيد،اما يك آنتي ويروس نمي‌تواند تمام تهديدات را تشخيص دهد. آنتي‌ويروس‌ها هميشه به‌روزرساني امنيتي را براي ويندوز و نرم‌افزارهاي آسيب‌پذير مانند ادوبي‌ريدر و فلش، جاوا و مرورگر وب‌تان بررسي نمي‌كنند. علاوه بر اين، اين نرم‌افزارها رمزهاي عبور‌تان را آناليز نمي‌كنند تا ضعيف بودن آن را گوشزد كنند. از اين رو بايد به دنبال نرم‌افزارهايي فراتر از يك آنتي ويروس فكر كنيد ؛ نرم‌افزارهايي مانند Belarc Advisor و ShieldsUp.

رمزگذاري لپ‌تاپ

يك رمز‌عبور ساده ويندوز مي‌تواند رايانه شما و فايل‌ها و سند‌هاي موجود در آن را از نيمي تهديدات ناشي از دسترسي افراد فرصت‌طلب به لپ‌تاپ‌تان حفظ كند، اگرچه اين رمزعبور براحتي حذف يا كنار زده مي‌شود.

علاوه بر اين، دزدان اطلاعات و افراد فضول مي‌توانند هاردديسك را جدا كرده، آن را روي رايانه ديگري نصب و به فايل‌شما دسترسي پيدا مي‌كنند يا مي‌توانند ازCD هاي مخصوصي استفاده كنند و پسورد ويندوزتان را حذف كند و بعد از آن وارد رايانه‌تان شود.از آنجا كه يك لپ‌تاپ مي‌تواند براحتي دزيده يا گم شود، رمزگذاري هاردديسك‌هاي داخلي ايده خوبي به نظر مي‌رسد كه مانع دور زدن يا حذف رمز عبور مي‌شود.

درايو USB خود را رمزگذاري كنيد

درايو‌هاي فلش و USB براحتي گم مي‌شوند و هر كسي مي‌تواند آن را به دست آورد و به رايانه‌اي نصب كند و به تمام فايل‌هاي شما كه موجود در آن است، دسترسي پيدا كند. با در نظر گرفتن اين موضوع، اگر از اين درايو اكسترنال براي ذخيره‌سازي يا انتقال اطلاعات حساس و مهم استفاده مي‌كنيد بهتر است آنها را رمزنگاري كنيد، به طوري كه براي دسترسي به فايل‌هايتان بايد رمز عبوري را وارد كنيد. شما مي‌توانيد درايو‌هايي را كه قابل رمزنگاري است، خريداري كنيد يا خودتان اين كار را با كمك نرم‌افزارها انجام دهيد.

پشتيبان‌گيري آنلاين

حتما شما مي‌دانيد كه بايد يك نسخه پشتيبان از هاردديسك رايانه‌تان ايجاد كنيد، اما چه اتفاقي مي‌افتد اگر به درستي اين كار را انجام ندهيد؟ يك راه خوب براي حفاظت اسناد باارزش‌‌تان استفاده از سرويس تهيه نسخه پشتيبان آنلاين است؛ چون ممكن است بعد از بك‌آپ‌گيري از هاردديسك‌تان در يك فاجعه واقعي، هم اطلاعات هاردديسكتان و هم نسخه پشتيبان آن از بين برود يا دچار اشكال شود.

سرويس‌هاي آنلايني وجود دارد كه به شما امكان بك‌آپ‌گيري از هاردديسكتان را مي‌دهد، برخي شركت‌هاي توليدكننده آنتي‌ويروس هم به مشتريان خود خدمات بك‌آپ‌گيري آنلاين را ارائه مي‌كنند. اگرچه ممكن است شيوه‌هاي امنيتي براي ارائه‌‌كنندگان ذخيره‌سازي آنلاين متفاوت باشد، اما اين روش مي‌تواند براي حفظ اطلاعات مهم و حياتي‌تان مفيد باشد.

بررسي امنيت واي ـ فاي

اگر واي ـ‌ فاي شما رمزگذاري نشده ـ به اين معنا كه وقتي مي‌خواهيد به آن متصل شويد از شما رمز عبور نمي‌خواهد ـ هر فردي كه در نزديكي شماست مي‌تواند از طريق آن به اينترنت وصل شود و ترافيك شما را مصرف كند. براي ممانعت از ورود كاربران غيرمجاز، شما بايد روتر بي‌سيم خانه‌تان را با سيستم‌هاي امنيتي بي‌سيم تنظيم كنيد: Wi-Fiبا دسترسي حفاظت شده. (WPAياWPA2)

براي چك‌كردن امنيت روتر بي‌سيم خود به فهرستي از شبكه‌هاي بي‌سيم در دسترس در ويندوز مراجعه كنيد. در اين فهرست كنار روترهاي رمزگذاري‌نشده يك علامت هشداردهنده وجود دارد و همچنين هنگامي كه شما اشاره‌‌گر ماوس را روي نام شبكه قرار مي‌دهيد، نوع سيستم امنيتي را نيز نشان مي‌دهد. اگر روتر شما رمزگذاري نشده است مي‌توانيد به كمك دفترچه راهنمايي روترتان، آن را رمزگذاري كنيد.

منبع: جام جم

واحد دانش و تکنولوژی تبیان زنجان

 دستگاه‌های سری NG سایبروم با بهترین سخت‌افزارهای موجود و نرم‌افزارهای متناسب، حجم انتقال اطلاعات تا 5 برابر بیشتر از متوسط فعلی صنعت IT در دفاتر کاری کوچک و متوسط ارائه می‌دهد که آنرا به "سریعترین دستگاه‌های UTM" در این بخش تبدیل می‌کند.

سری NG دفاتر کاری کوچک و متوسط را برای آینده آماده می‌کند تا از شبکه‌هایی با زیر ساخت‌های گیگابیتی و اینترنت‌های پرسرعت استفاده کنند. اگرچه امروزه، امنیت شبکه آنها برای چنین زیرساخت‌هایی آماده نیست، چرا که هیچ سازنده تجهیزات امنیت شبکه‌ای چنین خروجی و یا پورت گیگابیتی که لازمه چنین شبکه‌هایی است را ارائه نمی‌دهد.در نتیجه موضوع امنیت، گلوگاه در شبکه‌های دفاتر کاری کوچک و متوسط محسوب می‌گردد.

امروزه، دفاتر کاری کوچک و متوسط، به علت کمبود راه‌حل‌های امنیتی مبتنی بر عملکرد گیگابیپتی در این بخش نمی‌توانند به طور کامل به زیرساخت‌های شبکه‌های گیگابیتی منتقل شوند. برای کنار آمدن با این مشکل، آنها مجبورند یا امنیت را ساده‌تر انجام دهند، و یا بودجه‌های امنیتی را افزایش دهند تا امنیتی در حد سازمان‌های بزرگ تهیه کنند. سری‌های NG سایبروم برای دفاتر کاری کوچک و متوسط، با ارائه بهترین فایروال و خروجی UTM به همراه پورتهای گیگابیت، این نیاز را برطرف می‌کند. در حقیقت، پایینترین دستگاه در سری NG با خروجی فایروال گیگابیت عرضه می‌گردد.

دستگاه‌های سری NG با سیستم عامل CyberoamOS– باهوش‌ترین و قدرتمندترین فایروال سایبروم تاکنون - عرضه می‌شوند. Firmware جدید با سخت‌افزار همخوانی کاملی در شبکه و کدگزاری اطلاعات را دارند تا بالاترین عملکرد را ارائه دهند. CyberoamOS همچنین بالاترین عملکرد را از یک پلت فرم با پردازنده چندهسته‌ای به همراه کمترین تاخیر و بهبود سرعت پردازش- با استفاده از تعداد وقفه‌های بهینه شده و تکنولوژی مسیر سریع – ارائه می‌دهد.

 دستگاه‌های سری NG با بهترین سخت‌افزار ارائه می‌گردند که متشکل از پردازشگرهای گیگاهرتزی برای پردازش‌های امنیتی در زمان‌های نانو ثانیه‌ای و همچنین پورت‌های شبکه گیگابیتی و تراکم بالای پورت هستند. طراحی منحصر به فرد و قطعات مستحکم استفاده شده در سری NG از ورودی و خروجی سرعت بالا برای عملکرد بهتر پشتیبانی کرده و همچنین از شرایط سخت محیطی شامل نوسانات برق محافظت می‌کند.

منبع:سخت افزار

وقتي از امنيت شبكه صحبت می کنیم، مباحث زيادي قابل طرح و بررسی هستند، موضوعاتي كه هر كدام به تنهايي مي توانند در عین حال جالب، پرمحتوا و قابل درك باشند. اما وقتي صحبت كار عملي به ميان می آید، قضيه تا حدودي پيچيده مي شود. تركيب علم و عمل، احتياج به تجربه دارد و نهايت هدف يك علم بعد كاربردي آن است.
 وقتي دوره تئوري امنيت شبكه را با موفقيت پشت سر گذاشتيد و وارد محيط كار شديد، ممكن است اين سوال برایتان مطرح شود كه " حالا بايد از كجا شروع كرد؟ اول كجا بايد ايمن شود؟ چه استراتژي را در  پيش گرفت و كجا كار را تمام كرد؟ به اين ترتيب " انبوهي از اين قبيل سوالات فكر شما را مشغول مي كند و كم كم حس مي كنيد كه تجربه كافي نداريد (كه البته اين حسي طبيعي است ).
  پس اگر شما نيز چنين احساسي داريد و مي خواهيد يك استراتژي علمي - كاربردي داشته باشيد، تا انتهاي اين مقاله را بخوانيد.
هميشه در امنيت شبكه موضوع لايه هاي دفاعي، موضوع داغ و مهمي است. در اين خصوص نيز نظرات مختلفي وجود دارد. عده اي فايروال را اولين لايه دفاعي مي دانند، بعضي ها هم Access List رو اولين لايه دفاعي مي دانند، اما واقعيت اين است كه هيچكدام از اين‌ها، اولين لايه دفاعي محسوب نمي شوند. به خاطر داشته باشيد كه اولين لايه دفاعي در امنيت شبكه و حتي امنيت فيزيكي وجود يك خط مشي (Policy) هست. بدون policy، ليست كنترل، فايروال و هر لايه ديگر، بدون معني مي شود و اگر بدون policy شروع به ايمن سازي شبكه كنيد، محصول وحشتناكي از كار در مي آید.
با اين مقدمه، و با توجه به اين كه شما policy مورد نظرتان را كاملا تجزيه و تحليل كرديد و دقيقا مي دانيد كه چه مي خواهید و چه نمي خواهيد، كار را شروع مي‌شود. حال بايد پنج مرحله رو پشت سر بگذاريم تا كار تمام شود. اين پنج مرحله عبارت اند از :

1- Inspection ( بازرسي )

2- Protection ( حفاظت )

3- Detection ( رديابي )

4- Reaction ( واكنش )

5- Reflection ( بازتاب)

در طول مسير ايمن سازي شبكه از اين پنج مرحله عبور مي كنيم، ضمن آن كه اين مسير، احتياج به يك  تيم امنيتي دارد و يك نفر به تنهايي نمي تواند اين پروسه را طي كند.
1- اولين جايي كه ايمن سازي را شروع مي كنيم، ايمن كردن كليه سنديت هاي (authentication) موجود است. معمولا رايج ترين روش authentication، استفاده از شناسه كاربري و كلمه رمز است.
مهمترين قسمت هايي كه بايد authentication را ايمن و محكم كرد عبارتند از :

- كنترل كلمات عبور كاربران، به ويژه در مورد مديران سيستم.

- كلمات عبور سوييچ و روتر ها ( در اين خصوص روي سوييچ تاكيد بيشتري مي شود، زيرا از آنجا كه اين ابزار  (device) به صورت plug and play كار مي كند، اكثر مديرهاي شبكه از config كردن آن غافل مي شوند. در حالي توجه به اين مهم  مي تواند امنيت شبكه را ارتقا دهد. لذا  به مديران امنيتي توصيه ميشود كه حتما سوييچ و روتر ها رو كنترل كنند ).

- كلمات عبور مربوط به SNMP.

- كلمات عبور مربوط به پرينت سرور.

- كلمات عبور مربوط به محافظ صفحه نمايش.

در حقيقت آنچه كه شما در كلاس‌هاي امنيت شبكه در مورد Account and Password Security ياد گرفتيد اين جا به كار مي رود.

2- گام دوم نصب و به روز رساني  آنتي ويروس ها روي همه كامپيوتر ها، سرورها و ميل سرورها است. ضمن اينكه آنتي ويروس هاي مربوط به كاربران بايد به صورت خودكار به روز رساني شود و آموزش هاي لازم در مورد فايل هاي ضميمه ايميل ها و راهنمايي لازم جهت اقدام صحيح در صورت مشاهده موارد مشكوك نيز بايد به  كاربران داده شود.

3 - گام سوم شامل نصب آخرين وصله هاي امنيتي و به روز رساني هاي امنيتي سيستم عامل و سرويس هاي موجود است. در اين مرحله علاوه بر اقدامات ذكر شده، كليه سرورها، سوييچ ها، روتر ها و دسك تاپ ها با ابزار هاي شناسايي حفره هاي امنيتي بررسي مي شوند تا علاوه بر شناسايي و رفع حفره هاي امنيتي، سرويس هاي غير ضروري هم شناسايي و غيرفعال بشوند.

4-در اين مرحله نوبت گروه بندي كاربران و اعطاي مجوزهاي لازم به فايل ها و دايركتوري ها است. ضمن اينكه اعتبارهاي( account) قديمي هم بايد غير فعال شوند.

 گروه بندي و اعطاي مجوز بر اساس يكي از سه مدل استاندارد Access Control Techniques يعني MAC , DAC يا RBAC انجام مي شود. بعد از پايان اين مرحله، يك بار ديگر امنيت سيستم عامل بايد چك شود تا چيزي فراموش نشده باشد.

5- حالا نوبت device ها است كه معمولا شامل روتر، سوييچ و فايروال مي شود. بر اساس policy موجود و توپولوژي شبكه، اين ابزار بايد config شوند. تكنولوژي هايي مثل NAT , PAT و filtering و غيره در اين مرحله مطرح مي شود و بر همين علت اين مرحله خيلي مهم است. حتي موضوع مهم IP Addressing كه از وظايف مديران شبكه هست نيز مي تواند مورد توجه قرار گيرد تا اطمينان حاصل شود كه از حداقل ممكن براي IP Assign به شبكه ها استفاده شده است.

6- قدم بعد تعيين استراژي تهيه پشتيبان(backup) است. نكته مهمي كه وجود دارد اين است كه بايد مطمئن بشويم كه سيستم backup و بازيابي به درستي كار كرده و در بهترين حالت ممكن قرار دارد.

7- امنيت فيزيكي. در اين خصوص  اول از همه بايد به سراغ UPS ها رفت. بايد چك كنيم كه UPS ها قدرت لازم رو براي تامين نيروي الكتريكي لازم جهت كار كرد صحيح سخت افزار هاي اتاق سرور در زمان اضطراري را داشته باشند. نكات بعدي شامل كنترل درجه حرارت و ميزان رطوبت،ايمني در برابر سرقت و آتش سوزي است. سيستم كنترل حريق بايد به شكلي باشد كه به نيروي انساني و سيستم هاي الكترونيكي آسيب وارد نكند. به طور كل آنچه كه مربوط به امنيت فيزيكي مي شود در اين مرحله به كار مي رود.

8- امنيت وب سرور يكي از موضوعاتي است كه بايد وسواس خاصي در مورد آن داشت.به همين دليل در اين قسمت، مجددا و با دقت بيشتر وب سرور رو چك و ايمن مي كنيم. در حقيقت، امنيت وب نيز در اين مرحله لحاظ مي شود.

(توجه:هيچ گاه  اسكريپت هاي سمت سرويس دهنده را فراموش نكنيد )

9 - حالا نوبت بررسي، تنظيم و آزمايش  سيستم هاي Auditing و Logging هست. اين سيستم ها هم مي تواند بر پايه host و هم بر پايه network باشد. سيستم هاي رد گيري و ثبت حملات هم در اين مرحله نصب و تنظيم مي شوند. بايد مطمئن شوید كه تمام اطلاعات لازم ثبت و به خوبي محافظت مي شود. در ضمن ساعت و تاريخ سيستم ها درست باشد چرا كه در غير اين صورت كليه اقداما قبلي از بين رفته و امكان پيگيري هاي قانوني در صورت لزوم نيز ديگر  وجود نخواهد داشت.

10- ايمن كردن Remote Access با پروتكل و تكنولوژي هاي ايمن و Secure گام بعدي محسوب مي شود. در اين زمينه با توجه به شرايط و امكانات، ايمن ترين پروتكل و تكنولوژي ها را بايد به خدمت گرفت.

11 - نصب فايروال هاي شخصي در سطح host ها، لايه امنيتي مضاعفي به شبكه شما ميدهد. پس اين مرحله را نبايد فراموش كرد.

12 - شرايط بازيابي در حالت هاي اضطراري را حتما چك و بهينه كنيد. اين حالت ها شامل خرابي قطعات كامپيوتري، خرابكاري كاربران، خرابي ناشي از مسايل طبيعي ( زلزله - آتش سوزي – ضربه خوردن - سرقت - سيل) و خرابكاري ناشي از نفوذ هكرها، است. استاندارد هاي warm site و hot site را در صورت امكان رعايت كنيد.

به خاطر داشته باشید كه " هميشه در دسترس بودن اطلاعات "، جز، قوانين اصلي امنيتي هست.

13- و قدم آخر اين پروسه كه در حقيقت شروع يك جريان هميشگي هست، عضو شدن در سايت ها و بولتن هاي امنيتي و در آگاهي ازآخرين اخبار امنيتي است.

 منبع: پرشین هک

واحد دانش و تکنولوژی تبیان زنجان

این هکر که پس از رمزگشایی در نامه ای بلند به جهان نوشته که بدون کمک فرد یا سازمانی است و به تنهایی این کار را انجام داده است ذکر کرده من هکری هستم با تجربیات هزاران هکر ، و برنامه نویسی هستم با تجربیات هزاران برنامه نویس، این هکر همچنین خود را مستقل از ارتش سایبری ایران دانسته و نوشته که من هیچ ارتباطی با این گروه نداشته و فعالیت خود را به صورت مستقل انجام می دهم.

 تصویر کاربران هک شده توسط هکر ایرانی

بنابر این گزارش، در این نامه که به زبان انگلیسی انتشار داده شده جوان ایرانی کار خود را توضیح داده و رمز نگاری الگوریتم امنیتی را از طریق جعل امضای دیجیتال ذکر می کند و می گوید این اقدامی متقابل برای بدافزار استاکس نت بود که امریکا و اسراییل تولید کردند بود .

این هکر در آخر افرادی که با جمهوری اسلامی ایران تضاد و دشمنی دارند را مورد خطاب قرار داده و آنها را فاقد حریم شخصی و امنیت در فضای مجازی می داند .

لازم به ذکر است متن نامه انگلیسی این فرد که در اختیار عموم است تاکنون 81 هزار بار دیده شده است.

متن نامه ( ترجمه شده ):

««سلام

این را می نویسم برای جهان ، می نویسم تا در باره من بیشتر بدانید ...

در ابتدا می نویسم برخی از نکات این عملیات را که شما مطمئن شوید من هکر هستم :

من هک کردم شرکت کومودو را از سایت InstantSSL.it که پست الکترونیکی مدیر آن هست : mfpenco@mfpenco.com

نام کاربری و کلمه عبور کومودو هست : نام کاربری : gtadmin کلمه عبور : [trimmed]

نام پایگاه داده شرکت : globaltrust و instantsslcms

سایت GlobalTrust.it یک dll که صدا می کند TrustDLL.dll برای پاسخ گویی به درخواست های شرکت کومودو ، این شرکت یک نماینده است و آدرس آن

http://www.globaltrust.it/reseller_admin/

چی شد ؟ نه ... ! بله افرادی که باید بدانند که هک شده اند با این توضیحات اندک ولی اساسی فهمیده اند ، درسته آقای Abdulhayoglu

در هر صورت باید در ابتدا من ذکر کنم بنده هیچ ارتباطی با ارتش سایبری ایران ندارم ، من DNS ها را تغییر ندادم ، من فقط رمزگشایی و هک کردم و این تنها نشان دهنده ضعف شماست .

من مطالب گفته شده توسط مدیر شرکت و سایر کارکنان این شرکت در باره اینکه این حمله برنامه ریزی شده و از طرف گروهی از مجرمان اینترنتی بوده و ... را خواندم .

اجازه بدهید توضیح دهم :

1) من از گروه هکر ها و مجرمان نیستم، من یک هکر تنها هستم با تجربیات هزاران هکر ، و یک برنامه نویس تنها هستم با تجربیات هزاران برنامه نویس ، من هستم یک برنامه ریز و مدیر با تجربیات هزاران برنامه نویس و مدیر ، با همه این حال شما درست می گویید این این کار تنها توسط گروهی از هکر های موفق بر می آید اما این کار توسط من با تجربیات هزاران هکر موفق اتفاق افتاد.

2) من در ابتدا واقعا قصد مدیریت این نفوذ را نداشتم ، ابتدا تنها تصمیم رمز نگاری الگوریتم های RSA را داشتم ، من تحقیقات زیادی در باره پروتوکل SSL کردم ، تلاش برای پیدا کردن الگوریتم اعداد صحیح بکار رفته ، تجزیه و تحلیل الگوریتم های موجود ، اما می دانستم این کار شدنی نیست و حداقل تا کنون انجام نشده است ، اما می دانستم غیر ممکن نیست و من این را ثابت خواهم کرد ، به هر حال من راه آسانی برای این موضوع پیدا خواهم کرد ، شبیه به هک الگوریتم . من به دنبال آن بودم تا که الگوریتم های امنیتی شرکت های Thawthe, Verisign Comodo را بدست آورم ، من قسمت های آسیب پذیر کوچک در سرور ها را بدست آوردم ولی کافی نبود برای رخنه کردن در سرور ها و بارگزاری الگوریتم ، در طول انجام عملیات و جستجوی من در باره InstantSSL شرکت Comodo بلافاصله من پیدا کردم InstantSSL.it را که در دستور کار سرور های شرکت بود. پس از برسی و تجزیه تحلیل وب سرور براحتی ( برای من راحت ، سخت برای سایرین ) توانستم دسترسی کاملی از سرور بدست آورم ، پس از تحقیقات کمی از بر روی سرور متوجه فایل TrustDll.dll که در خواست هایی برای تایید گواهینامه بود شدم که به زبان C# -ASP.NET بود. ابتدا فایل را رمزنگاری کرده و سورس برنامه آن را بدست آوردم و سپس در فایل کلیه مشخصات نام کاربری و کلمه عبور های GeoTrust Comodo و نمایندگانش را بدست آوردم ، لینک نمایندگان GeoTrust کار نمی کرد ، این قرار داشت در ADTP.cs ، سپس متوجه شدم این با حساب های خارج از خود در حال ارتباط است و لینک ورودی Comodo نیز فعال بود . سپس من وارد Comodo اکانت شدم و سپس دیدم امکان ایجاد امضای دیجیتالی با استفاده از APIs را دارم ، من تا ان زمان هیچ اطلاعاتی از این سیستم نداشتم و نمی دانستم چطور کار می کند. سپس من کدی نوشتم با CSRs که درخواست جابجایی با نمایندگان را می کرد ( مشتری های شرکت ) ، من رابط های برنامه کاربردی APIs را سریع یاد گرفتم و TrustDLL.DLL خیلی قدیمی بود و درست کار نمی کرد و همه پارامتر های مورد نیاز را بدرستی ارسال نمی کرد .

هر کس داخل ایران مشکل دارد ، از جنبش سبز جعلی که همه اعضا آنها از سازمان مجاهدین خلق و تروریست ها هستند ، باید از من بترسند ، من هرکسی داخل ایران ، به مردم ایران آسیب بزند ، به دانشمندان هسته ای من آسیب بزند ، به رهبر من آسیب بزند ( که هیچ کس نمی تواند ) ، به رئیس جمهور من آسیب بزند که با من زندگی می کنند ، که قادر به چنین کاری نخواهند بود انتظار حریم خصوصی در اینترنت نداشته باشند

این برای امضای دیجیتال کافی نبود ، من دوباره نوشتم کد این برنامه را (AutoApplySSL and !PickUpSSL APIs) ، ابتدا برنامه بر می گرداند OrderID و در قسمت دوم API بر می گرداند امضای دیجیتال مشتری ها را که در صورت گذشتن از مرحله قبل بدست می آید.

یاد گرفتم همه این چیز ها را ، از ابتدا کد را نوشتم و یک CSR ( امضای دیجیتال )جدید برای کلیه سایت ها در 15 تا 20 دقیقه ساختم ، و ...خیلی سریع انجام شد

با همه این حال می دانم که شما در باره تخصص من ، سرعت من ، ابتکار من ، دانش من ، و مهارت من در این حمله شکه شده اید

خیلی خوب ، این ها برای من بسیار آسان است ، چیز های مهمتری در این موضوع بوده است که من از بحث در باره ان پرهیز می کنم در صورتی که شما نخواهید باز بنویسم ...

نگرانید ؟ شما باید تگران باشید .... باید بگم من 21 سال دارم

بر می گردیم به دلیل ارسال این پیام

من صحبت هایم با تمام جهان است پس خوب گوش کنید :

زمانی که اسرائیل و امریکا بدافزار و ویروس استاکس نت را تولید کردند ، هیچ کسی در این باره صحبت نکرد ، هیچ چیزی رخ نداد و هیج اتفاقی هرگز رخ نداد، حال زمانی که من این کار را کردم باید اتفاقی بیافتد ؟ نه من به شما می گویم هیچ چیزی رخ نمی دهد ، این یک معامله ساده است

شنیده ام برخی سوال می کنند در این باره از سفیر ایران در سازمان ملل متحد ، واقعا ؟ حال شما خوب است ؟

شما ها کجا بودید زمانی که استاکس نت توسط اسرائیل و امریکا با میلیون ها دلار از بودجه ایجاد شد ؟

این ویروس با دسترسی به سیستم های اسکادا SCADA و نرم افزار های هسته ای ایجاد شد پس آن زمان شما کجا بودید ؟

آیا احدی از سفیر رژیم جعلی اسرائیل و امریکا پرسید در این باره سوالی ؟

بنابر این شما نمی توانید سوال کنید در این باره از سفیر من.

من جواب شما را می دهم ، "بپرسید در باره استاکس نت از سفیر های اسراییل و امریکا" این پاسخ شماست

وقت سفیر ایران را هم نگیرید.

زمانی که ایالات متحده و اسرائیل می توانند ایمیل های شخصی من را در یاهو و هات میل ، جیمیل و اسکایپ و ... بخوانند ، بدون دردسر و براحتی ، زمانی که شما جاسوسی ما را توسط Echelon می کنید ، من می توانم ، ما می توانیم هر کاری که شما می توانید .

این یک قانون ساده است ، شما می توانید ، من نیز می توانم.

هیچ کس نمی تواند من را متوقف کند ، این یک قانون است .

قانون 1 : قوانین من در برابر قوانین شما در اینترنت ، شما خوب می دانید .

قانون 2 : چرا همه جهان نگران شدند ؟ اینترنت شکه شد ؟

و همه شروع به نوشتن در این باره کردند ؟ ولی هیچ کسی در باره استاکس نت چیزی ننوشت ؟هیچ کس در باره HAARP چیزی ننوشت ؟ هیچ کس درباره Echelon چیزی ننوشت ؟

پس هیچ کس هم چیزی در باره جعل امضای دیجیتال ، رمزگشایی الگوریتم اس اس ال نیز چیزی ننویسد.

قانون 3 : هر کس داخل ایران مشکل دارد ، از جنبش سبز جعلی که همه اعضا آنها از سازمان مجاهدین خلق و تروریست ها هستند ، باید از من بترسند ، من هرکسی داخل ایران ، به مردم ایران آسیب بزند ، به دانشمندان هسته ای من آسیب بزند ، به رهبر من آسیب بزند ( که هیچ کس نمی تواند ) ، به رئیس جمهور من آسیب بزند که با من زندگی می کنند ، که قادر به چنین کاری نخواهند بود انتظار حریم خصوصی در اینترنت نداشته باشند .

شما هیچ امنیتی در فضای دیجیتال ندارید ، تنها منتظر بمانید و ببینید ...

به هر حال یا شما تا کنون این را دیده اید یا کور هستید ، ایا در اینترنت هدفی بالاتر از رمزنگاری و هک امضای دیجیتال هست ؟

قانون 4: شرکت کومودو و سایر شرکت های امنیتی جهان : هرگز فکر نکنید امن هستید ، هرگز فکر نکنید شما قانون های اینترنت را تعیین می کنید ، قانون های جهان با 256 کاراکتر که هیچ کس نتواند آن را پیدا کند سخت نیست ، دوست دارید باز نشانتان دهم ؟

شما یک نفر بیابید در سن و سال من که قوانین را برای دنیای دیجیتال شما وضع کند ؟ شما همواره اشتباه می کنید و شما این موضوع رو می دونید .

قانون 5 : میکروسافت ، موزیلا و کروم بعد از رمزنگاری اقدام به بروزرسانی نرم افزار های خودشون کردند ، شما نیز هدف های من هستید . چرا بعد از ویروس استاکس نت شما بعد از 2 سال وصله امنیتی دادید ولی اکنون یک هفته ای بروز رسانی نسخه جدید می دهید ؟ شاید شما نیاز داشتید به استاکس نت ؟

بنابر این شما نیز نیاز دارید یاد بگیرید برخی از مواقع چشم های خودتون رو بر روی بعضی مسائل نبندید .

شما بزودی یاد میگیرید... به زودی می فهمید ، من برابری دی اینترنت را به شما آموزش خواهم داد ، سفارش من به دستور سازمان سیا به شما خواهد رسید .

خنده

قانون 6 : من یک روح هستم .

قانون 7 : من غیر قابل پیش بینی و توقف هستم ، می ترسید حق دارید ، نگران هستید باید باشید

پیام من به مردم و افرادی که با جمهوری اسلامی ایران مشکل دارند

گواهینامه SSL و RSA رمزنگاری شدند ، من این کار را انجام دادم ، بگذارید به شما اطمینان دهم این کار برایم راحت است ، دفعه بعد نخواهم گفت این کار را کرده ام ، و بدون اینکه شما متوجه شوید این کار را انجام می دهم .

هیچ کسی نخواهد فهمید

بعضی از مردم استفاده می کنند از VPNs و برخی دیگر از TOR و برخی دیگر UltraSurf و ..آیا فکر می کنید این ها برای شما امن هست ؟

RSA 2048 نتوانست جلوی من مقاومت نشان دهد ، فکر می کنید UltraSurf می تواند ؟

جانم فدای رهبر

نگذارید ابتکار عمل و قدرت اجرایی از دست شما خارج شود. به عنوان یک مدیر، هنگامی که در یک وضعیت بحرانی به سر میبرید، آنچه انجام نمیدهید، میتواند به اندازه آنچه انجام میدهید پر ارزش باشد.

به چند توصیه کوتاه و مفید از کارشناسان مدیریت تکنولوژی توجه کنید:

نگذارید ابتکار عمل و قدرت اجرایی از دست شما خارج شود:

 هنگام وقوع شرایط تنش زا و در حالی که کارمندانتان مشغول کار بر روی مساله و یافتن روشهایی فنی برای جلوگیری از پیشرفت مشکلات هستند، شما یا جانشینتان باید برای تصمیم گیری حضور داشته باشید.

علاوه بر این، باید به طور واضح اعلام کنید که کارکنان در چه زمانی و چگونه باید از اختلاف نظرها، مشاجرات و هرگونه مشکل دیگری که میتواند موجب لطمه زدن به اصل موضوع شود، کاسته و تنش محیط را به حداقل برسانند.

هرگز درباره کاری که نسبت به انجام شدن آن مطمئن نیستید، قول مساعد ندهید:

اگر نتوانید به وعده خود عمل کنید، به اعتبار خود لطمه زده و روحیه کارکنان خود را نیز به شدت تضعیف کرده اید.

توقع نداشته باشید که همه تغییرات به سرعت و با بالاترین حد توان انجام شود:

 شاید کارکنان شما بتوانند چند هفته ای کار مداوم و پرفشار را تحمل کنند، به خصوص اگر برای حل مشکلی عمده متحد شده باشند.

اما اگر از آنها توقع داشته باشید که چندین کار تعمیر و بهسازی را در زمانی کوتاه و به سرعت انجام دهند، فرسوده و ناتوان خواهند شد و نمیتوانند در صورت بروز اتفاقی ناگهانی، هوشمندانه و موفق عمل کنند.

بیش از حد خودمانی نشوید:

 ابراز همبستگی و دوستی به کارکنان IT بسیار اهمیت دارد، اما شما نباید بیش از حد اوقات خود را در این بخش بگذرانید. در عوض زمان خود را به طور متعادل میان بخشهای مختلف-کارمندان، همکاران، مردم، مدیر اجرایی و هیئت مدیره- تقسیم کنید.

منبع:کامپیوتر ورلد

واحد دانش و تکنولوژی تبیان زنجان

Ip شماره ایست که به هر کامپیوتر متصل به اینترنت داده میشود تا بتوان به کمک آن شماره به آن کامپیوترها دسترسی داشت. این عدد برای کامپیوترهایی که حالت سرور دارند و نیز کامپیوترهای کلاینتی که معمولا به روشی غیر از شمارهگیری (Dial Up) به اینترنت وصل هستند، عددی ثابت و برای دیگران عددی متغیر است.و در هر بار وصل شدن به اینترنت این شماره عوض میشود یعنی هر بار که شما با شرکت ISP خود تماس گرفته و به اینترنت وصل میشوید، عددی جدید به شما نسبت داده میشود.

این عدد یک عدد 32 بیتی است و برای راحتی بهصورت زیر نوشته میشود:

xxx.xxx.xxx.xxx که منظور از xxx عددی بین 0 تا 255 است (البته بعضی شمارهها قابل استفاده نیست ). مثلا ممکن است آدرس شما به صورت 195.219.176.69 باشد. حتی اسمهایی مثل http://www.yahoo.com/ که برای اتصال استفاده میکنید، در نهایت باید به یک IP تبدیل شود، تا شما سایت یاهو را ببینید.

در IP معمولا xxx اولی معنای خاصی دارد، که بعدا توضیح میدهم... فقط این را بگویم که اگر به روش Dial Up به اینترنت وصل شوید، معمولا عددی که به عنوان xxx اول میگیرید، مابین 192 تا 223 خواهد بود.این توضیح برای تشخیص کامپیوترهای کلاینت از سرور (حداقل در ایران) بسیار میتواند مفید باشد.

بعد از اتصال به اینترنت برای به دست آوردن IP خود، از دستور IPCONFIG یا در command prompt استفاده کنید.

● پورت (Port):

محلی است که دادهها وارد با خارج میشوند. در مبحث هک معمولا با پورتهای نرمافزاری سروکار داریم که به هر کدام عددی نسبت میدهیم. این اعداد بین 1 و 65535 هستند. معمولا به یک سری از پورتها کار خاصی را نسبت میدهند و بقیه بهصورت پیشفرض برای استفاده شما هستند. پورتهای که فعال هستند، هرکدام توسط یک نرمافزار خاص مدیریت میشوند. مثلا پورت 25 برای ارسال Email است، بنابراین باید توسط یک نرمافزار این کار انجام شود و این نرمافزار بر روی پورت 25 منتظر (فالگوش) میماند. اینجا ممکن است شخصی از فلان نرم افزار و دیگری از بهمان نرم افزار استفاده کند ولی به هر حال پورت 25 همیشه برای ارسال Email است.و پورتی که یاهو مسنجر از آن استفاده میکند 5050 هست. از پورت های مهم : 79 ,110,139,21,7,15,23,119و....که بعد در موردشان بیشتر توضیح میدم.

اولین نکتهای که لازم است بگویم اینه که وقت خود را برای هک کردن کامپیوترهای کلاینت هدر ندهید (اگرچه برای افراد مبتدی کار با نرم افزاری مثل Sub7 زیاد هم بد نیست ولی نباید زیاده روی کرد) علت هم اینه که هربار که به اینترنت وصل میشوند ip جدیدی به آنها اختصاص پیدا میکنه و زحماتتون هدر میره .

● یافتن آدرس IP

با وجود اینکه به احتمال قوی این مقاله نه تنها کاملترین نوشته در مورد روشهای یافتن IP به زبان فارسی، بلکه به طور کلی کاملترین نوشته در این زمینه بر روی اینترنت می باشد، فراموش نکنید که روشهای یافتن IP به این موارد محدود نمی شوند و به همین دلیل در زیر ابتدا مقدمه ای در مورد کلیت روشهای یافتن IP و مجاز یا غیرمجاز بودن آنها آورده ایم و سپس به چند روش مهم اشاره کرده ایم.

هر بار که یک کامپیوتر به کامپیوتر دیگری متصل می شود، حداقل اطلاعاتی که باید به آن بدهد آدرس IP خود است؛ بنابراین یافتن IP کسی که به دلیلی قصد اتصال به رایانه شما را داشته است نه تنها غیر قانونی نیست بلکه یک موضوع کاملاً طبیعی است. تمامی روشهای یافتن IP به نوعی به این اصل کلی برمی گردند. شاید به نظرتان بیاید که هنگامی که با کسی روی مسنجر صحبت می کنید باید کامپیوترهای شما به هم متصل باشند و بنابر این به سادگی بتوان IP فرد مقابل را به دست آورد، اما مسنجرهای معتبر مانند Yahoo یا MSN در حقیقت میزبان خود را بین شما و فرد مقابل قرار می دهند به این صورت که شما و دوستتان هر دو به سرور مسنجر متصل می شوید و همه پیامها از آن عبور می کنند. پس پیامی که شما می نویسید وارد سرور مسنجر می شود و سپس از طریق سرور مسنجر به فرد مقابلتان می رسد و بالعکس. اما نگذارید این موضوع شما را ناامید کند! هنگامی که شما و دوستتان در یک بازی مسنجری شرکت کنید یا فایلی را به طور مستقیم برای او بفرستید دو کامپیوتر به طور مستقیم به هم متصل هستند! این روش یکی از مناسبترین روشهاست.

در زیر چند روش مناسب یافتن IP را برای شما توضیح می دهیم، اما قبل از آن، نکته مهمی را یادآوری می کنیم: اگر کسی از اینترنت قطع شود، IP او عوض می شود! پس اگر شما امروز IP کسی را به دست آورید که با خط تلفن و مودم به اینترنت وصل می شود، ممکن است 30 ثانیه بعد او Disconnect کند و دوباره Connect شود که در این شرایط قاعدتاً IP دیگری خواهد داشت که این موضوع اطلاع قبلی شما را بی فایده می کند! اما اگر کسی به هردلیل قصد حمله و آزار شما را داشت، بلافاصله IP او را به دست آورید که از طریق آن بتوانید به طور قانونی از وی شکایت کنید. تمامی مدارک را نگه دارید. من حاضرم به محض دریافت IP آنها و مدارکی که دلالت به مهاجم بودن آنها کند، اطلاعات کامل مربوط به صاحب IP شامل شماره تلفن و آدرس ایمیل او را برای شما ارسال کنم تا از این طریق و با دادن زمان دقیقی که فردی با آن IP قصد آزار شما را داشته است به صاحب IP، وی را به دام بیندازید. از طرف دیگر اگر کسی از Proxy استفاده کند، به دست آوردن IP او بسیار دشوار می شود (اگر فرد Java Script را از کار نینداخته باشد با استفاده از آن می توانید IP را به دست آورید!)

● خواندن IP از طریق ایمیل

هنگامی که شما یک ایمیل از فردی می گیرید، معمولاً آدرس IP وی در آن نامه وجود دارد. ابتدا باید با رفتن به قسمت تنظیمات ایمیل خود آن را در حالتی قرار دهید که تمامی Header نامه را به شما نشان دهد که با کمی گردش در قسمت تنظیمات ایمیل خود آن را پیدا خواهید کرد. حال به بالای ایمیل دقت کنید و به دنبال عبارت Received: from باشید. شما معمولاً دو یا چند بار عبارت "Received: from" را در بالای ایمیل خواهید دید که ما فقط با پایینی کار داریم که معمولاً کمی با بالاییها فاصله دارد و بعد از Message ID قرار می گیرد. آدرس IP فرستنده ایمیل درست در ابتدای این عبارت قرار می گیرد. دادن روش دقیق غیر ممکن است، اما معمولاً همانطور که گفتیم در پایینترین Received باید به دنبال IP باشید. با این حال در شرایطی که فقط در بالاترین Received عددی شبیه IP مشاهده کنید، IP همان است. از سوی دیگر بسیاری از میزبانان ایمیل، راه آسانتری هم برای کمک به شما در نظر می گیرند به این صورت که قسمتی با نامی شبیه به X-Originating-Ip برای شما قرار می دهند و IP فرستنده نامه را در آن می نویسند. به مثالهای زیر توجه کنید که IP فرستنده مشخص شده است:

Received: from farsiedu@farsiedu.com [62.145.61.1] by server4pfs

(SMTPD32-7.12 ) id A90313018E Mon, 30 Jun 2003 00:38:43 -0700

Message-Id: <200306300104500.SM01212@farsiedu@farsiedu.com>

From:farsiedu@farsiedu.com

Date: Mon, 30 Jun 2003 01:06:38 -0700

X-RCPT-TO: farsiedu@farsiedu.com

Status: U

X-UIDL: 347731237

Received: from spf1.us.outblaze.com [205.158.62.158] by server4pfs

(SMTPD32-7.12 ) id AC9E5400EA Sat, 07 Jun 2003 09:02:38 -0700

Received: (qmail 31068 invoked from network) 7 Jun 2003 16:03:39 -0000

Received: from unknown (205.158.62.68)

by spf1.us.outblaze.com with QMQP 7 Jun 2003 16:03:39 -0000

Received: (qmail 61611 invoked from network) 7 Jun 2003 16:03:37 -0000

Received: from unknown (HELO ws1-7.us4.outblaze.com) (205.158.62.57)

by 205-158-62-153.outblaze.com with SMTP 7 Jun 2003 16:03:37 -0000

Received: (qmail 54891 invoked by uid 1001) 7 Jun 2003 16:03:35 -0000

Message-ID: <20030607160335.54889.qmail@mail.com>

Content-Type: multipart/mixed boundary="----------=_1055001809-54370-0"

Content-Transfer-Encoding: 7bit

MIME-Version: 1.0

X-Mailer: MIME-tools 5.41 (Entity 5.404)

Received: from [217.218.57.55] by ws1-7.us4.outblaze.com with http for

farsiedu@farsiedu.com Sat, 07 Jun 2003 11:03:29 -0500

From: "Reza"

To: farsiedu@farsiedu.com

Date: Sat, 07 Jun 2003 11:03:29 -0500

Subject: The Interactive Matrix

X-Originating-Ip: 217.218.57.55

X-Originating-Server: ws1-7.us4.outblaze.com

X-RCPT-TO:

Status: U

X-UIDL: 344393350

اما یک استثنا اگر فرد برای فرستادن ایمیل از فرمهای موجود در برخی سایتها مانند سایتهایی که اجازه ارسال یک خبر یا کارت را می دهند یا سایتهایی که ادعای ارسال ایمیل فارسی را دارند هرچند واقعا فارسی تایپ کردن در یاهو از اکثر آنها بهتر است یا فرمهای تماس با ما در سایتها استفاده کنند بعید است IP آنها در ایمیل شما باشد و معمولا IP سرور خود سایت را در آن می بینید در مثال زیر که ایمیلی است که با استفاده از فرم تماس با ما سایت همسفر برای مدیر آن ارسال شده بوده است فقط IP خود همسفر را مشاهده می کنید

MReceived from server4pfs 38 118 143 98 by farsiedu com with ESMTP SMTPD32 7 12 id A5C54400DC Sat 07 Jun 2003 06 16 53 0700 From To Subject farsiedu Date Sat 7 Jun 2003 06 16 53 0700 Message ID lt 000301c32cf7 1046b740 628f7626 server4pfs gt MIME Version 1 0 Content Type text plain charset iso 8859 1 Content Transfer Encoding 7bit X Mailer Microsoft CDO for Windows 2000 Thread Index AcMs9xBGKda5j5B RZms1WTby6vhkQ Content Class urn content classes message X MimeOLE Produced By Microsoft MimeOLE V6 00 2800 1165 X RCPT TO Status U X UIDL 347730753

به دست آوردن IP از طریق سایت خودتان اگر سایت یا وبلاگی دارید راههای بسیاری برای به دست آوردن IP بازدیدکنندگانتان دارید و با دادن آدرس سایت یا وبلاگتان به یکی از دوستان می توانید IP او را به دست آورید از آنجایی که در یک لحظه ممکن است چندین بازدید کننده داشته باشید بهتر است صفحه زیبایی مخصوص این کار بسازید که هیچ لینکی به آن نباشد و آن را برای به دست آوردن IP مورد استفاده قرار دهید برای این کار دو روش اصلی داریم

1 )برنامه نویسی با کمی جستجو در اینترنت کدهای بسیار کوتاهی را می یابید که IP را به دست می دهند و به سادگی می توانید آن را به همراه تاریخ و ساعت در یک فایل متنی یا پایگاه داده ذخیره کنید

2 )استفاده از سایتهای دیگر اکثر شمارنده ها این امکان را به شما می دهند که IP بازدید کنندگان صفحات خود حداقل چند بازدید کننده اخیر را ببینید پس با نصب یک شمارنده روی آن صفحه ای که گفتیم IP به دست آمده است به دست آوردن IP از طریق مسنجرها همانطور که در مقدمه گفتیم فقط هنگامی که شما در حال ارسال یا دریافت فایلی به طور مستقیم یا در برخی بازیهای مسنجری باشید می توانید از این روش استفاده کنید

 این روش که به روش Netstat معروف است از همه روشها معروفتر است ولی به نظر من به خوبی روشهای بالا نیست با کمی Social Engineering می توان هر کسی را راضی به دریافت یک فایل یا عکس کرد بهتر است حجم فایل کم نباشد که فرصت کافی داشته باشید البته اگر از AOL مسنجر استفاده می کنید در منوهای آن گزینه ای برای برقراری Direct connection خواهید دید که مناسبتر است هنگامی که فردی در حال دریافت یا فرستادن فایل به شما به طور مستقیم نه روش فرستادن فایل با استفاده از Upload در یاهو مسنجر باشد با استفاده از Netstat می توانید IP او را ببینید با توجه به شلوغ بودن خروجی Netstat یکبار قبل از آغاز به گرفتن فرستادن فایل و بار دیگر بعد از آن این خروجی را بگیرید تا IP فرد را که به تازگی به لیست اضافه شده تشخیص دهید برای ساده شدن کار بهتر است تمامی برنامه هایی که به هر طریق از اینترنت استفاده می کنند را ببندید که از شلوغی لیست کم شود

 اگرچه در بیشتر راهنماها گفته می شود از پسوند n استفاده کنید به طور معمول در ایران استفاده نکردن از آن بهتر است تنها تاثیر n این است که تمام آدرسها را به طور عددی نشان می دهد و این کار یافتن آدرس IP ایرانیها را که به طور معمول به هر حال به شکل عددی است در میان عددهای دیگر دشوارتر می کند برای اجرای netstat کافی است cmd exe را از run اجرا کنید و به سادگی در آن تایپ کنید netstat و enter را فشار دهید لیستی از تمامی اتصالهای موجود بین کامپیوتر شما و کامپیوترهای دیگر را مشاهده خواهید کرد حال پس از برقراری ارتباط دوباره این کار را تکرار کنید آدرس جدید آدرس IP فرد مورد نظر است اگر در لیست آدرسهای عددی ندیدید از netstat n استفاده کنید با کمی تمرین این روش برایتان آسان می شود یک روش کمکی استفاده از روش رو به رو است 039 netstat gt temp1 txt 039 که این کار خروجی netstat را به درون فایل temp1 txt می ریزد که اگر وجود نداشته باشد ساخته می شود و اگر از قبل موجود باشد اطلاعات قبلی آن پاک می شود 

 سپس پس از برقراری اتصال 039 netstat gt temp2 txt 039 را وارد می کنید و سر فرصت تفاوت فایلها را بررسی می کنید به دست آوردن IP از طریق دادن IP خودتان مسخره ترین روش به دست آوردن IP آدرس این است که اول IP خودتان را به آنها بدهید تا شاید روی آن کلیک کنند و IP آنها به دست شما بیفتد متاسفانه برنامه هایی که برای به دست آوردن IP از اینرنت می گیرید یا روی CDهای بی ارزشی که به قیمت زیادی از بازار می خرید پیدا می کنید از این روش استفاده می کنند IP شما را به طور واضح یا کمی کد شده به فرد می دهند یا از شما می خواهند که خودتان آن لینک را که چیزی جز IP شما نیست به او بدهید تا اگر روی آن کلیک کرد IP او را به شما بدهد شکی نیست که این روش غیر منظقی ترین روش است و بهتر است از خیر چنین برنامه هایی بگذرید کار پیچیده ای هم نمی کنند Port خاصی را زیر نظر می گیرند کاری که با Netstat خودتان هم می توانستید انجام دهید و لینکی می سازند که با کلیک روی آن فرد به آن port شما متصل شود جدای از خطرات این روش و مشکلات آن با Firewallها این کار به طور کلی صحیح نیست اما روشی بسیار مشابه آن وجود دارد که کمی بهتر است اگر از web server یا ftp server موجود در IIS ویندوز یا هر میزبان دیگری استفاده کنید و به این شکل سایتی به راه بیندازید باز هم با دادن IP خودتان این شانس را دارید که IP آنها را هم به دست آورید

انجمن علمی دانشگاه شیخ بهایی