.::Networking::آموزش شبكه::.

اکثر کاربران اينترنت با واژه IP آشنايي دارند.IP يک عدد 32 بيتي است که به صورت ۸ بیت ۸ بیت با یک نقطه از یکدیگر مجزا میشوند و هر يک از آنها معرف يک کامپيوتر در اينترنت است. به عبارت ديگر آدرس هر کامپيوتر در اينترنت با IP مشخص ميشود. آيا تا به حال از خود سئوال کرده ايد که فرايند تعيين IP براي سيستم شما در يک شبکه يا اينترنت چيست؟

DHCP Service :

DHCP مخفف عبارت Dynamic Host Configuration Protocol است که با نصب اين سرويس بر روي يک Server ميتوانيم در ان يک Range IP تعريف نموده و از ان بخواهيم تا به Client هايي که IP انها به صورت اتوماتيک تنظيم شده است IP اختصاص دهد.(تمامي کاربران اينترنت به صورت اتوماتيک IP دريافت ميکنند.)

چگونگي کارکرد يک DHCP:
زمانيکه يک کاربر کامپيوتر خود را راه اندازي  مي کند سيستم عامل آن بعد از بالا آمدن در خواستIP  ميکند. بعد از آن 4 مرحله انجام ميگيرد:

1-DHCP Discover
در اين مرحله Client درخواست خود را جهت دريافتIP در شبکه Broadcast ميکند. به آدرس 255.255.255.255 ارسال ميکند و IP خود او نيز 0.0.0.0 در نظر ميگيرد.

2-DHCP Offer
در اين مرحله تمام DHCP Server هائيکه Broadcast انجام شده در مرحله اول را دريافت ميکنند از Range IP تعريف شده بر روي خود يک IP  انتخاب نموده و به همراه مدت زماني که قرار است آنIP  را در اختيار Client قرار دهد و آنرا به شکل زير ارسال ميکند.

Source IP=IP of DHCP Server
Destination MAC Address=Client Destination IP=255.255.255.255

3-DHCP Request
Client درخواست کننده پس از دريافت DHCP Offer ها اولين DHCP Offer را انتخاب نموده و آنرا توسط يک Packet در شبکه Broadcast ميکند و در آن Packet  آدرسDHCP Server که Offer او قبول شده است مشخص مينمايد.

4- DHCP Ack,DHCP Nack
پس از آنکه Client به DHCP Server که Offer اوقبول شده DHCP Request را فرستاد در صورتيکه هنوز IP  که Offer شده در Range او وجود داشته باشد و توسط Admin حذف نشده باشد DHCP Server تاييد خود را مبني بر اختصاص IP به Client اعلام ميکند. ولي اگر IP توسط Admin از Range مربوطه حذف شده باشد DHCP به Client درخواست کننده پيغامDHCP Nack را ارسال ميکند و Client مجبور ميشود که تمام مراحل را دوباره طي کند.

اگر DHCP در شبکه موجود نباشد:
Client  پس از ارسال DHCP Discover يک ثانيه منتظر جواب مي ايستد اگر جوابي دريافت نکرد 3بار ديگر به فاصله زماني 9 و 13 و 16 ثانيه دوباره Broadcast ميکند اگر باز هم جوابي نگرفت هر 5 دقيقه يک بار به کار خود ادامه ميدهد.

(APIPA (Automatic Private IP Addressing :
Client هاي 98 و 2000 اگر DHCP را پيدا نکنند به هر دليلي به صورت اتوماتيک از رنج 169.254.x.y يک IP انتخاب ميکنند. در ضمن قبل از استفاده از آن آنرا Broadcast ميکنند تا احيانا Client ديگري در حال استفاده از آن IP  نباشد. با اين حال هر 5 دقيقه يک بار به تلاش خود مبني بر گرفتن IP  از DHCP ادامه ميدهد.

دستور ipconfig:
با استفاده از اين دستور که در Command Prompt اجرا ميشود ميتوان تنظيمات IP را مشاهده کنيم.براي گرفتن IP  از DHCP  بايد دستور IPCONFIG/RENEW را درCMD  وارد کنيم و براي ازاد کردن IP دستور IPCONFIG/RELEASE را در همان CMD وارد ميکنيم.

IP reservation:
در صورت نياز ميتوان براي کامپيوتر ها و مخصوصا Network Printer ها IP رزرو نمود تا هر بار که آنها درخواست IP  نمودند آن IP هاي رزرو شده به آنها اختصاص داده شود براي اين کار دانستنMAC Address کارت شبکه مورد نياز است.

Lease Time:
به مدت زماني که يک IP به يک Client  اختصاص داده ميشود Lease Time ميگويند که به صورت پيش فرض 8 روز است.

امنيت اطلاعات و ايمن سازی کامپيوترها به يک ضرورت غيرقابل انکار در عصر اطلاعات تبديل شده است. پرداختن به مقوله امنيت اطلاعات با زبانی ساده بيش از هر زمان ديگر احساس می شود، چراکه هر يک از عوامل انسانی و غيرانسانی دارای جايگاه تعريف شده ای در نطام مهندسی امنيت اطلاعات می باشند. آشنائی اصولی و منطقی با اين نطام مهندسی و آگاهی از عناصر موجود در اين ساختار به همراه شناخت علمی نسبت به مسئوليت هر يک از عناصر فوق، امری لازم و حياتی است.
فايروال ها ، يکی از عناصر اساسی در نطام مهندسی امنيت اطلاعات می باشند که استفاده از آنان به يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات و کامپيوتر تبديل شده  است . بسياری از افرادی که جديدا" قدم در عرصه گسترده امنيت اطلاعات می گذارند ، دارای نگرانی و يا سوالات مفهومی خاصی در ارتباط با فايروال ها و جايگاه استفاده از آنان در جهت ايمن سازی شبکه های کامپيوتری می باشند . 
در اين مطلب قصد داريم به برخی از مفاهيم و نکات مهم و اساسی در خصوص فايروال ها اشاره ای داشته باشيم تا از اين رهگذر بتوانيم  دانش لازم به منظور  بکارگيری و  مديريت بهينه فايروال ها را بدست آوريم .

NAT ( برگرفته از Network Address Translation )
اولين و در عين حال مهم ترين وظيفه يک فايروال ، جداسازی شبکه داخلی يک سازمان از اينترنت است . يکی از فنآوری های موجود که ما را در جهت نيل به خواسته فوق کمک می نمايد ، جداول NAT می باشند ( NAT  ، همچنين کمک لازم در جهت حل معضل کمبود آدرس های IP را ارائه می نمايد ) . مهمترين ايده مطرح شده توسط NAT ، عدم دستيابی به اکثر کامپيوترهای موجود در يک شبکه خصوصی از طريق اينترنت است .  يکی از روش های نيل به خواسته فوق ، استفاده از آدرس های IP غيرمعتبر ( Invalid ) می باشد .
در اکثر موارد بکارگيری NAT ، صرفا" آدرس IP معتبر (Valid ) به فايروال نسبت داده  می شود و تمامی کامپيوترهائی که مسئوليت حفاظت از آنان به فايروال واگذار شده است ، از آدرس های IP که صرفا" بر روی شبکه داخلی معتبر می باشد ، استفاده می نمايند . با تبعيت از چنين رويکردی ، زمانی که يک کامپيوتر موجود در شبکه داخلی نيازمند برقراری ارتباط با دنيای خارج است ، اقدام به ارسال درخواست خود برای فايروال می نمايد . در ادامه فايروال به نمايندگی از کامپيوتر متقاضی ، درخواست مورد نظر را ارسال می نمايد . در زمان مراجعت درخواست ارسالی ، پاسخ مربوطه به فايروال رسيده و در نهايت ، فايروال آن را برای کامپيوتر موجود در شبکه داخلی ارسال می نمايد . 
فرض کنيد ، کاربری قصد داشته باشد که يک وب سايت خاص را از طريق کامپيوتر موجود بر روی يک شبکه داخلی ملاقات نمايد .پس از درج آدرس وب سايت مورد نظر در بخش آدرس برنامه مرورگر ، درخواست وی به يک درخواست HTTP ترجمه شده و برای فايروال ارسال می گردد . در ادامه ، فايروال از آدرس IP مختص به خود در ارتباط با درخواست HTTP و به نمايندگی از کاربر ارسال کننده درخواست ، استفاده می نمايد . پس از پاسخ به درخواست ، پاسخ مربوطه برای فايروال ارسال شده و در نهايت فايروال آن را برای کاربر مربوطه ارسال می نمايد .

فيلترينگ پورت ها
فيلترينگ پورت ها از جمله مهمترين عملياتی است که توسط فايروال ها انجام می شود و شايد به همين دليل باشد که اکثر مردم بر اين اعتقاد هستند که فايروال ها صرفا"  به همين دليل خاص طراحی و پياده سازی شده اند و اغلب ،  آنان را به عنوان ابزاری در جهت فيلترينگ پورت ها تصور می نمايند . همانگونه که می دانيد ، مبادلات اطلاعات مبتنی بر پروتکل TCP/IP با استفاده و محوريت پورت ها انجام می گردد . در اين رابطه 65،535 پورت TCP و به همين اندازه پورت UDP جداگانه وجود دارد که می توان از آنان به منظور مبادله اطلاعات استفاده نمود .
به منظور آشنائی با جايگاه پورت ها و نقش آنان در مبادله اطلاعات در پروتکل TCP/IP ، می توان آنان را نظير ايستگاه های راديوئی تصور نمود . فرض کنيد TCP به عنوان موج FM و UDP به عنوان موج AM باشد . در چنين وضعيتی ، می توان يک پورت در پروتکل TCP/IP را همانند يک ايستگاه راديوئی تصور نمود . همانگونه که يک ايستگاه راديوئی با اهداف خاصی طراحی شده است ، پورت های TCP و UDP نيز چنين وضعيتـی را داشته و با اهداف خاصی طراحی شده اند . يکی از مهمترين دلايل ضرورت استفاده از فايروال ها و فيلترينگ پورت ها ، استفاده غيرمتعارف از پورت ها به منظور نيل به اهدافی ديگر است . مثلا" پورت 21 مربوط به پروتکل TCP بطور سنتی به منظور FTP استفاده می گردد و مهاجمان می توانند از پورت فوق و با استفاده از برنامه هائی نظير Telnet سوء استفاده نمايند ( با اين که پورت فوق به منظور استفاده توسط برنامه Telnet طراحی نشده است ) .
پويش پورت ها و آگاهی از پورت های باز ، از جمله روش های متداولی است که توسط مهاجمان و به منظور يافتن يک نقطه ورود مناسب به يک سيستم و يا شبکه کامپيوتری ، مورد استفاده قرار می گيرد . مهاجمان پس از آگاهی از پورت های باز ، با بکارگيری برنامه هائی نظير Telnet زمينه ورود غير مجاز به يک سيستم را برای خود فراهم می نمايند .
وضعيت فوق و تهديدات امنيتی مرتبط با آن ، ضرورت فيلترينگ پورت ها را به خوبی نشان می دهد . با فيلترينگ پورت ها ، اين اطمينان ايجاد خواهد شد که هيچ چيزی نمی تواند از طريق يک پورت باز ارسال گردد مگر پروتکل هائی که توسط مديريت شبکه به آنان اجازه داده شده است . مثلا" در صورتی که فيلترينگ پورت بر روی پورت 21 مربوط به پروتکل TCP اعمال گردد ، صرفا" به مبادلات اطلاعات مبتنی بر FTP اجازه داده خواهد شد که از اين پورت استفاده نمايند و مبادله اطلاعات به کمک ساير پروتکل ها و بکارگيری پورت فوق ، امکان پذير نخواهد بود .
محدوده عملياتی فيلترينگ پورت ها می تواند از موارد اشاره شده نيز تجاوز نموده و در سطح هدر يک بسته اطلاعاتی و حتی محتويات آن نيز تعميم يابد . در چنين مواردی ، هدر بسته اطلاعاتی بررسی و با مشاهده اطلاعاتی نظير آدرس مبداء ، مقصد ، شماره پورت و ساير موارد ديگر در رابطه با آن اتخاذ تصميم می گردد . مشکل موجود در اين رابطه به وجود اطلاعات جعلی و يا نادرست در هدر بسته های اطلاعاتی برمی گردد . مثلا" فرستنده می تواند آدرس های IP و ساير اطلاعات ذخيره شده در هدر بسته های اطلاعاتی را جعل نمايد . به منظور غلبه بر مشکل فوق ، نوع ديگری از فيلترينگ  که برخی فايروال ها به آن stateful packet inspections و يا فيلترينگ پويای بسته های اطلاعاتی می گويند ، ايجاد شده است . در مدل فوق ، در مقابل بررسی هدر بسته های اطلاعاتی ، محتويات آنان مورد بازبينی قرار می گيرد . بديهی است با آگاهی از  اين موضوع که چه چيزی در بسته اطلاعاتی موجود است ، فايروال ها بهتر می توانند در رابطه با ارسال و يا عدم ارسال آن برای يک شبکه داخلی تصميم گيری نمايند . 

ناحيه غيرنطامی ( Demilitarized Zone )
نواحی غيرنظامی ( DMZ ) ، يکی ديگر از ويژگی های ارائه شده توسط اکثر فايروال ها می باشد . DMZ ، ناحيه ای است که تحت قلمرو حفاظتی فايروال قرار نمی گيرد . فايروال های مختلف ، نواحی DMZ را با روش های متفاوتی پياده سازی می نمايند . مثلا" برخی از فايروال ها ، صرفا" شما را ملزم به معرفی آدرس IP ماشينی می نمايند که قصد استقرار آن در ناحيه DMZ  وجود دارد .برخی از فايروال ها دارای يک پورت شبکه ای اختصاصی می باشند که می توان از آن برای هر نوع دستگاه شبکه ای که قصد استقرار آن در ناحيه DMZ وجود دارد ، استفاده گردد  .
 پيشنهاد می گردد ، حتی المقدور از نواحی DMZ استفاده نگردد ، چراکه ماشين های موجود در اين نواحی از امکانات حفاظتی و امنيتی فايروال استفاده نخواهند کرد و تنها گزينه موجود در اين رابطه امکانات ارائه شده توسط سيستم عامل نصب شده بر روی ماشين و ساير توصيه هائی است که با رعايت و بکارگيری آنان ،   وضعيت امنيتی سيستم بهتر می گردد .
در صورتی که برای ايجاد يک ناحيه DMZ دلايل موجه و قانع کننده ای وجود دارد ، می بايست با دقت و برنامه ريزی صحيح توام با رعايت مسائل امنيتی اقدام به انجام چنين کاری گردد. در صورتی که ماشين مستقر در ناحيه DMZ دارای يک اتصال به شبکه داخلی نيز باشد ، مهاجمان با تمرکز بر روی ماشين فوق می توانند نقطه مناسبی برای ورود به شبکه را پيدا نمايند . پيشنهاد می گردد به عنوان يک قانون و اصل مهم ، ماشين های موجود در ناحيه DMZ دارای اتصالاتی به غير از پورت DMZ فايروال نباشند .

فورواردينگ پورت ها
در بخش قبل به نحوه عملکرد فيلترينگ پورت ها به منظور بلاک نمودن استفاده از يک پروتکل بجزء يک آدرس IP خاص، اشاره گرديد . فورواردينگ پورت نيز بر اساس همين مفاهيم مطرح و در سازمان هائی که در ارتباط با NAT می باشند ، کارساز خواهد بود .
برای آشنائی با مفهوم فورواردينگ پورت ها ، يک مثال نمونه را بررسی می نمائيم  .
فرض کنيد ، سازمانی دارای يک سرويس دهنده وب است که از آدرس IP: 192.168.0.12 ( يک آدرس معتبر نمی باشد ولی فرض کنيد که چنين واقعيتی وجود ندارد ) استفاده می نمايد و می بايست امکان دستيابی عمومی به آن فراهم گردد . در صورتی که سرويس دهنده وب فوق تنها سرويس دهنده موجود در سازمان است که می بايست امکان دستيابی عمومی به آن فراهم گردد ، می بايست  يک قانون فيلترينگ بسته های اطلاعاتی در سطح  فايروال تعريف گردد که تمامی درخواست های HTTP بر روی پورت 80 و به مقصد هر آدرس موجود در شبکه بجزء آدرس IP:192.168.0.12 ، بلاک گردد  . پس از تعريف قانون فوق ، در صورتی که کاربری يک درخواست HTTP را برای آدرس های ديگری ارسال نمايد ، با پيامی مبنی بر اين که  وب سايت درخواستی وجود ندارد ، مواجه خواهد شد . 
در مثال فوق ، اين فرض نادرست را کرديم که امکان دستيابی عمومی به آدرس IP:192.168.0.12 وجود دارد . آدرس فوق صرفا" بر روی يک شبکه خصوصی معتبر بوده و امکان دستيابی آن از طريق اينترنت وجود  نخواهد داشت . بديهی است در چنين وضعيتی می بايست آدرس سرويس دهنده وب خصوصی خود را با يک آدرس عمومی جايگزين نمائيد . ( با اين که يک گزينه مطلوب در اين رابطه نمی باشد ) . برخی از مراکز ارائه دهنده خدمات اينترنت ( ISP ) ، صرفا" امکان استفاده از يک آدرس IP عمومی را در اختيار شما قرار داده و بديهی است که در چنين مواردی ما دارای گزينه های متعددی برای اختصاص اين آدرس نخواهيم بود و می بايست آن را به فايروال اختصاص داد .
يکی از موارد استفاده سنتی از NAT  به مواردی نظير آنچه اشاره گرديد ، بر می گردد . سازمان فرضی دارای صرفا" يک آدرس IP معتبر است و آن را به فايروال نسبت داده و از NAT به منظور تسهيل در مبادله اطلاعات بين ماشين های موجود در شبکه داخلی و اينترنت استفاده می نمايد . در چنين مواردی يک مشکل همچنان باقی می ماند . NAT به منظور بلاک نمودن ترافيک تمامی ارتباطات ورودی بجزء آنانی که درخواست آنان از طرف يکی از ماشين های موجود در شبکه داخلی ارسال شده است ، طراحی شده است و ما همچنان دارای يک سرويس دهنده وب می باشيم که می خواهيم امکان دستيابی عمومی به آن را نيز فراهم نمائيم .
به منظور حل مشکل فوق می توان از فورواردينگ پورت استفاده نمود . در واقع فورواردينگ پورت ، قانونی است که به فايروال می گويد در صورتی که درخواست های خاصی بر روی يک پورت خاص برای وی ارسال شده باشد ، می بايست درخواست مربوطه را برای يک ماشين طراحی شده بدين منظور بر روی شبکه داخلی، ارجاع نمايد . در مثال اشاره شده ، ما قصد داريم امکان دستيابی عمومی به سرويس دهنده وب را فراهم نمائيم . بدين منظور می بايست يک قانون فورواردينگ پورت بدين منظور تعريف که به فايروال اعلام نمايد هر درخواست HTTP بر روی پروتکل TCP و پورت 80 را به آدرس IP:192.168.0.12 تغيير مسير داده و برای آن ارسال نمايد. پس از تعريف قانون فوق ، شخصی که قصد دستيابی به وب سايت سازمان شما را داشته باشد ، پس از فعال نمودن برنامه مرورگر ، اقدام به  درج آدرس سايت سازمان شما دربخش مربوطه می نمايد. مرورگر کاربر مورد نظر به منظور آگاهی از آدرس domain سايت سازمان شما ، اقدام به ارسال يک درخواست DNS می نمايد تا از اين طريق نسبت به آدرس IP نسبت داده شده به domain آگاهی لازم را پيدا نمايد . بديهی است آدرسی که پيدا خواهد شد و به عنوان مرجع در اختيار مرورگر قرار خواهد گرفت، همان آدرس IPعمومی است که شما آن را به فايروال نسبت داده ايد . مرورگر در ادامه ، درخواست HTTP را برای آدرس IP عمومی شما ارسال می نمايد که در حقيقت اين درخواست برای فايروال ارسال می گردد . فايروال درخواست را دريافت و آن را برای سرويس دهنده وب ارسال می نمايد ( فورواردينگ )  .

منبع: سخا روش

چادرت مادر چرا خاکی شده؟

پنجه بر روی تو حکاکی شده؟

فرا رسیدن ایام شهادت صدیقه کبری حضرت زهرا (س) را به عموم شیعیان تسلیت می گوئیم.

امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری از جمله موضوعاتی است که اين روزها در کانون توجه تمامی سازمان ها و موسسات قرار گرفته  شده است . در يک شبکه کامپيوتری به منظور ارائه خدمات به کاربران ، سرويس ها و پروتکل های متعددی نصب و پيکربندی می گردد. برخی از سرويس ها  دارای استعداد لازم برای انواع حملات بوده و لازم است در مرحله اول و در زمان نصب و پيکربندی آنان ، دقت لازم در خصوص رعايت مسائل ايمنی انجام  و در مرحله دوم سعی گردد که از نصب سرويس ها و پروتکل های  غيرضروری ، اجتناب گردد . در اين مقاله قصد داريم از اين زاويه به مقوله امنيت اطلاعات و ايمن سازی شبکه های کامپيوتری پرداخته و در ادامه با انواع حملاتی که امروزه متوجه شبکه های کامپيوتری است ، بيشتر آشنا شويم . قطعا" شناسائی سرويس های غيرضروری و انواع حملاتی که مهاجمان با استفاده از آنان شبکه های کامپيوتری را هدف قرار می دهند ، زمينه برپاسازی و نگهداری  شبکه های کامپيوتری ايمن و مطمئن را بهتر فراهم می نمايد .

مقدمه
حملات در يک شبکه کامپيوتری حاصل پيوند سه عنصر مهم  سرويس ها ی فعال  ، پروتکل های استفاده شده  و پورت های باز می باشد . يکی از مهمترين وظايف کارشناسان فن آوری اطلاعات ، اطمینان از ايمن بودن شبکه و مقاوم بودن آن در مقابل حملات است (مسئوليتی بسيار خطير و سنگين ) . در زمان ارائه سرويس دهندگان ، مجموعه ای از سرويس ها و پروتکل ها به صورت پيش فرض فعال  و تعدادی ديگر نيز غير فعال شده اند.اين موضوع ارتباط مستقيمی با سياست های يک سيستم عامل و نوع نگرش آنان به مقوله امنيت  دارد. در زمان نقد امنيتی سيستم های عامل ، پرداختن به موضوع فوق  يکی از محورهائی است  که کارشناسان امنيت اطلاعات  با حساسيتی بالا آنان را دنبال می نمايند.
اولين مرحله در خصوص ايمن سازی يک محيط شبکه ، تدوين ، پياده سازی و رعايت يک سياست امنيتی است  که محور اصلی برنامه ريزی در خصوص ايمن سازی شبکه را شامل می شود . هر نوع برنامه ريزی در اين رابطه مستلزم توجه به موارد زير است :

• بررسی نقش هر سرويس دهنده به همراه پيکربندی انجام شده در جهت انجام وظايف مربوطه در شبکه
• انطباق سرويس ها ، پروتکل ها و برنامه های  نصب شده  با خواسته ها ی يک سازمان
• بررسی تغييرات لازم در خصوص هر يک از سرويس دهندگان فعلی (افزودن و يا حذف  سرويس ها و پروتکل های غيرضروری ، تنظيم دقيق امنيتی سرويس ها و پروتکل های فعال ) .

تعلل و يا ناديده گرفتن فاز برنامه ريزی می تواند زمينه بروز يک فاجعه عظيم اطلاعاتی را در يک سازمان به دنبال داشته باشد . متاسفانه در اکثر موارد توجه جدی به مقوله برنامه ريزی و تدوين يک سياست امنيتی نمی گردد . فراموش نکنيم که فن آوری ها به سرعت و به صورت مستمر در حال تغيير بوده و می بايست متناسب با فن آوری های جديد ، تغييرات لازم با هدف افزايش ضريب مقاومت سرويس دهندگان و کاهش نقاط آسيب پذير آنان با جديت دنبال شود . نشستن پشت يک سرويس دهنده و پيکربندی آن بدون وجود يک برنامه مدون و مشخص ، امری بسيار خطرناک بوده که بستر لازم برای  بسياری از حملاتی که در آينده اتفاق خواهند افتاد را فراهم می نمايد . هر سيستم عامل دارای مجموعه ای از سرويس ها ، پروتکل ها  و  ابزارهای خاص خود بوده  و نمی توان بدون وجود يک برنامه مشخص و پويا  به تمامی ابعاد آنان توجه و از  پتانسيل های آنان در جهت افزايش کارائی و ايمن سازی شبکه استفاده نمود. پس از تدوين يک برنامه مشخص در ارتباط با سرويس دهندگان ، می بايست در فواصل زمانی خاصی ، برنامه های تدوين يافته مورد بازنگری قرار گرفته و تغييرات لازم در آنان با توجه به شرايط موجود و فن آوری های جديد ارائه شده ، اعمال گردد . فراموش نکنيم که حتی راه حل های انتخاب شده فعلی که دارای عملکردی موفقيت آميز می باشند ، ممکن است در آينده و با توجه به شرايط پيش آمده  قادر به ارائه عملکردی صحيح ، نباشند .

وظيفه يک سرويس دهنده
پس از شناسائی جايگاه و نقش هر سرويس دهنده در شبکه می توان در ارتباط با سرويس ها و پروتکل های مورد نياز آن به منظور انجام وظايف مربوطه ، تصميم گيری نمود . برخی از سرويس دهندگان به همراه وظيفه آنان در يک شبکه کامپيوتری به شرح زير می باشد :

Logon Server : اين نوع سرويس دهندگان مسئوليت شناسائی و تائيد کاربران در زمان ورود به شبکه را برعهده دارند . سرويس دهندگان فوق می توانند عمليات خود را به عنوان بخشی در کنار ساير سرويس دهندگان نيز انجام دهند .

Network Services Server : اين نوع از سرويس دهندگان مسئوليت ميزبان نمودن سرويس های مورد نياز شبکه را  برعهده دارند . اين سرويس ها عبارتند از :
- Dynamic Host Configuration Protocol )  DHCP)
- Domain Name System ) DNS)
- Windows Internet Name Service)  WINS)
- Simple Network Management Protocol )  SNMP)

 Application Server : اين نوع از سرويس دهندگان مسئوليت ميزبان نمودن برنامه ها ی کاربردی نظير بسته نرم افزاری Accounting و ساير نرم افزارهای مورد نياز در سازمان را برعهده دارند .

 File Server : از اين نوع سرويس دهندگان به منظور دستيابی به فايل ها و دايرکتوری ها ی کاربران ، استفاده می گردد .

Print Server : از اين نوع سرويس دهندگان به منظور دستيابی به چاپگرهای اشتراک گذاشته شده در شبکه ، استفاده می شود .

Web Server : اين نوع سرويس دهندگان مسئوليت ميزبان نمودن برنامه های وب و وب سايت های داخلی و يا خارجی را برعهده دارند .

FTP Server : اين نوع سرويس دهندگان مسئوليت ذخيره سازی فايل ها برای انجام عمليات Downloading و Uploading را برعهده دارند. سرويس دهندگان فوق می توانند به صورت داخلی و يا خارجی استفاده گردند . 

 Email Server : اين نوع سرويس دهندگان مسئوليت ارائه سرويس پست الکترونيکی را برعهده داشته و می توان از آنان به منظور ميزبان نمودن فولدرهای عمومی و برنامه های Gropuware ، نيز استفاده نمود.

News/Usenet (NNTP) Server : اين نوع سرويس دهندگان به عنوان يک سرويس دهنده newsgroup  بوده  و کاربران می توانند اقدام به ارسال و دريافت پيام هائی بر روی آنان  نمايند .

به منظور شناسائی سرويس ها و پروتکل های مورد نياز بر روی هر يک از سرويس دهندگان ، می بايست در ابتدا به اين سوال پاسخ داده شود که  نحوه دستيابی به هر يک از آنان  به چه صورت است ؟ : شبکه داخلی ، شبکه جهانی  و يا هر دو مورد . پاسخ به سوال فوق زمينه نصب و پيکربندی سرويس ها و پروتکل های ضروری و حذف و غير فعال نمودن سرويس ها و پروتکل های غيرضروری در ارتباط با هر يک از سرويس دهندگان موجود در يک شبکه کامپيوتری را فراهم می نمايد .

سرويس های حياتی و موردنياز
هر سيستم عامل به منظور ارائه خدمات و انجام عمليات مربوطه ، نيازمند استفاده از سرويس های متفاوتی است . در حالت ايده آل ، عمليات نصب و پيکربندی يک سرويس دهنده می بايست صرفا" شامل سرويس ها و پروتکل های ضروری و مورد نياز به منظور انجام وظايف هر سرويس دهنده باشد. معمولا" توليد کنندگان سيستم های عامل در مستندات مربوطه  به اين سرويس ها اشاره می نمايند. استفاده از مستندات و پيروی از روش های  استاندارد ارائه شده برای پيکربندی و آماده سازی سرويس دهندگان ،زمينه نصب  و پيکربندی مطمئن با رعايت مسائل ايمنی را بهتر فراهم می نمايد .
زمانی که کامپيوتری در اختيار شما گذاشته می شود ، معمولا" بر روی آن نرم افزارهای متعددی  نصب و پيکربندی های خاصی نيز در ارتباط با  آن اعمال شده است . يکی از مطمئن ترين روش ها به منظور آگاهی از اين موضوع که سيستم فوق انتظارات شما را متناسب با برنامه تدوين شده ، تامين می نمايد ، انجام يک نصب Clean با استفاده از سياست ها و ليست ها ی از قبل مشخص شده است . بدين ترتيب در صورت بروز اشکال می توان به سرعت از اين امر آگاهی و هر مشکل را در محدوده خاص خود بررسی و برای آن راه حلی انتخاب نمود. ( شعاع عمليات نصب و پيکربندی را به تدريج افزايش دهيم ) .

مشخص نمودن پروتکل های مورد نياز
برخی از مديران شبکه عادت دارند که پروتکل های غيرضروری را نيز بر روی سيستم نصب نمايند ، يکی از علل اين موضوع ، عدم آشنائی دقيق آنان با نقش و عملکرد هريک از  پروتکل ها در شبکه بوده و در برخی موارد نيز بر اين اعتقاد هستند که شايد اين پروتکل ها در آينده مورد نياز خواهد بود. پروتکل ها همانند سرويس ها ، تا زمانی که به وجود آنان نياز نمی باشد ، نمی بايست نصب گردند . با بررسی يک محيط شبکه با سوالات متعددی در خصوص پروتکل های مورد نياز برخورد نموده  که پاسخ به آنان امکان شناسائی و نصب پروتکل های مورد نياز را فراهم نمايد .

•  به چه نوع پروتکل و يا پروتکل هائی برای ارتباط سرويس گيرندگان ( Desktop ) با سرويس دهندگان ، نياز می باشد ؟
• به چه نوع پروتکل  و يا پروتکل هائی برای ارتباط سرويس دهنده با  سرويس دهنده ، نياز می باشد ؟
• به چه نوع پروتکل  و يا پروتکل هائی برای ارتباط سرويس گيرندگان ( Desktop ) از راه دور  با سرويس دهندگان ، نياز می باشد ؟ 
• آيا پروتکل و يا پروتکل های انتخاب شده ما را ملزم به نصب سرويس های اضافه ای می نمايند ؟ 
• آيا پروتکل های انتخاب شده دارای مسائل امنيتی خاصی بوده که می بايست مورد توجه و بررسی قرار گيرد ؟

در تعداد زيادی از شبکه های کامپيوتری ،از چندين سيستم عامل نظير ويندوز ، يونيکس و يا لينوکس ، استفاده می گردد . در چنين مواردی می توان از پروتکل TCP/IP به عنوان فصل مشترک بين آنان استفاده نمود. در ادامه می بايست در خصوص فرآيند اختصاص آدرس های IP تصيم گيری نمود ( به صورت ايستا و يا پويا و به کمک DHCP ) . در صورتی که تصميم گرفته شود که فرآيند اختصاص آدرس های IP به صورت پويا و به کمک DHCP ، انجام شود، به يک سرويس اضافه و با نام DHCP نياز خواهيم داشت . با اين که استفاده از  DHCP  مديريت شبکه را آسانتر می نمايد ولی از لحاظ امنيتی دارای درجه پائين تری نسبت به اختصاص ايستای  آدرس های IP ، می باشد چراکه کاربران ناشناس و گمنام می توانند پس از اتصال به شبکه ،  بلافاصله از منبع صادرکننده آدرس های IP ، يک آدرس IP را دريافت و به عنوان يک سرويس گيرنده در شبکه ايفای وظيفه نمايند. اين وضعيت در ارتباط با شبکه های بدون کابل غيرايمن نيز صدق می نمايد. مثلا" يک فرد می تواند با استقرار در پارکينگ يک ساختمان و به کمک يک Laptop به شبکه شما با استفاده از يک اتصال بدون کابل ، متصل گردد.  پروتکل TCP/IP  ، برای "معادل سازی نام به آدرس " از يک سرويس دهنده DNS نيز استفاده می نمايد . در شبکه های ترکيبی شامل چندين سيستم عامل نظير ويندوز و يونيکس  و با توجه به اين که ويندوز NT 4.0 و يا 2000 شده است ، علاوه بر  DNS به سرويس  WINS  نيز نياز می باشد . همزمان با انتخاب پروتکل ها و سرويس های مورد نياز آنان ، می بايست بررسی لازم در خصوص چالش های امنيتی هر يک از آنان نيز بررسی  و اطلاعات مربوطه مستند گردند( مستندسازی ، ارج نهادن به زمان خود و ديگران است ) . راه حل انتخابی ، می بايست کاهش تهديدات مرتبط با هر يک از سرويس ها و پروتکل ها را در يک شبکه به دنبال داشته باشد .

مزايای غيرفعال نمودن  پروتکل ها و سرويس های غيرضروری
استفاده عملياتی از يک سرويس دهنده بدون بررسی دقيق سرويس ها ، پروتکل ها و پيکربندی متنتاظر با هر يک از آنان زمينه بروز تهديدات و حملات را در يک شبکه به دنبال خواهد داشت . فراموش نکنيم که مهاجمان همواره قربانيان خود را از بين سرويس دهندگانی که به درستی پيکربندی نشده اند ، انتخاب می نمايند. بنابراين می بايست به سرعت در خصوص سرويس هائی که قصد غيرفعال نمودن آنان را داريم ، تصميم گيری شود . قطعا" نصب سرويس ها و يا پروتکل هائی که قصد استفاده از آنان وجود ندارد ، امری منطقی و قابل قبول نخواهد بود.  در صورتی که اين نوع از سرويس ها نصب و به درستی پيکربندی نگردند ، مهاجمان می توانند با استفاده از آنان ، آسيب های جدی را متوجه شبکه نمايند . تهديد فوق می تواند از درون شبکه و يا خارج از شبکه متوجه يک شبکه کامپيوتری گردد . بر اساس برخی آمارهای منتشر شده ، اغلب آسيب ها و تهديدات  در شبکه يک سازمان توسط کارکنان کنجکا و و يا ناراضی  صورت می پذيرد تا از طريق مهاجمان خارج از شبکه .
بخاطر داشته باشيد که ايمن سازی شبکه های کامپيوتری مستلزم اختصاص زمان لازم و کافی برای برنامه ريزی است . سازمان ها و موسسات علاقه مندند به موازات عرضه فن آوری های جديد ، به سرعت از آنان استفاده نموده تا بتوانند از مزايای آنان در جهت اهداف سازمانی خود استفاده نمايند. تعداد و تنوع  گزينه های انتخابی در خصوص  پيکربندی هر سيستم عامل ، به سرعت رشد می نمايد . امروزه  وجود توانائی لازم در جهت شناسائی و پياده سازی سرويس ها و پروتکل های مورد نياز در يک شبکه خود به يک مهارت ارزشمند تبديل شده است. بنابراين لازم است کارشناسان فن آوری اطلاعات که مسئوليت شغلی آنان در ارتباط با شبکه و ايمن سازی اطلاعات است ، به صورت مستمر و با  اعتقاد به اصل بسيار مهم " اشتراک دانش و تجارب " ، خود را بهنگام نمايند. اعتقاد عملی به اصل فوق ، زمينه کاهش حملات و تهديدات را در هر شبکه کامپيوتری به دنبال خواهد داشت .

حملات ( Attacks )
با توجه به ماهيت ناشناس بودن کاربران شبکه های کامپيوتری ، خصوصا" اينترنت ،امروزه  شاهد افزايش حملات بر روی تمامی انواع سرويس دهندگان می باشيم . علت بروز چنين حملاتی می تواند از يک کنجکاوی ساده  شروع و تا اهداف مخرب و ويرانگر ادامه يابد.
برای پيشگيری ، شناسائی ، برخورد سريع  و توقف حملات ، می بايست در مرحله اول قادر به تشخيص و شناسائی زمان و موقعيت بروز يک تهاجم باشيم . به عبارت ديگر چگونه از بروز يک حمله و يا تهاجم در شبکه خود آگاه می شويم ؟ چگونه با آن برخورد نموده و در سريعترين زمان  ممکن آن را متوقف نموده  تا ميزان صدمات و آسيب به منابع اطلاعاتی سازمان به حداقل مقدار خود برسد ؟ شناسائی نوع حملات و نحوه پياده سازی يک سيستم حفاظتی مطمئن در مقابل آنان يکی از وظايف مهم  کارشناسان امنيت اطلاعات و شبکه های کامپيوتری است .شناخت دشمن و آگاهی از روش های تهاجم وی ، احتمال موفقيت ما را در روياروئی با آنان افزايش خواهد داد. بنابراين لازم است با انواع حملات و تهاجماتی که تاکنون متوجه شبکه های کامپيوتری شده است ، بيشتر آشنا شده و از اين رهگذر تجاربی ارزشمند را کسب تا در آينده بتوانيم به نحو مطلوب از آنان استفاده نمائيم . جدول زير برخی از حملات متداول را نشان می دهد :

انواع حملات
Denial of Service (DoS) & Distributed Denial of Service (DDoS)
Back Door	Spoofing
Man in the Middle	Replay
TCP/IP Hijacking	Weak Keys
Mathematical	Password Guessing
Brute Force	Dictionary
Birthday	Software Exploitation
Malicious Code	Viruses
Virus Hoaxes	Trojan Horses
Logic Bombs	Worms
Social Engineering	Auditing
System Scanning

منبع: شرکت سخا روش

آيا تاکنون برای شما  اين سوال مطرح شده است که نحوه مبادله اطلاعات بين دو کامپيوتر موجود در يک شبکه به چه صورت است ؟ کامپيوترهای موجود در يک شبکه به منظور مبادله اطلاعات تابع مدل مرجع OSI می باشند . مدل فوق، همانند يک دستورالعمل اجرائی بوده و عمليات لازم در زمان ارسال و يا دريافت داده را برای يک کامپيوتر مشخص می نمايد . به منظور آشنائی و آناليز فرآيند مبادله داده بين دو کامپيوتر موجود در يک شبکه  به بررسی يک نمونه مثال کاربردی خواهيم پرداخت .

زمانی که يک اتومبيل در کارخانه ای توليد می گردد ، يک نفر تمامی کارها را انجام نخواهد داد . توليد يک اتومبيل بر اساس يک خط توليد انجام شده و همزمان با حرکت اتومبيل در خط توليد هر شخص بخش های متفاوتی را به آن اضافه نموده  و زمانی که به انتهای خط توليد می رسيم ، اتومبيل مورد نظر توليد و آماده استفاده خواهد بود .
وضعيت فوق در رابطه با داده ارسالی از يک کامپيوتر به کامپيوتر ديگر نيز صدق می کند . مدل OSI که توسط کميته IEEE ايجاد شده است، قوانين لازم  به منظور مبادله اطلاعات بين کامپيوترها را فراهم می نمايد . بدين ترتيب و با پيروی از مجموعه رهنمودهای ارائه شده در مدل مرجع OSI ، هر کامپيوتر قادر به مبادله اطلاعات با ساير کامپيوترها ( صرفنظر از نوع کامپيوتر ) خواهد بود . حرکت داده با دو روش متفاوت در مدل مرجع OSI انجام می شود . در سمت فرستنده ( به طرف پائين ) ، داده ها کپسوله شده و برای کامپيوتر گيرنده ارسال می شوند . در سمت گيرنده ( به طرف بالا ) ، داده ها از حالت کپسوله خارج شده و در  نهايت در اختيار کامپيوتر گيرنده قرار داده می شوند.

ارسال داده  : شکل زير  نحوه ارسال داده توسط يک کامپيوتر را نشان می دهد : 

توضيحات :

• کامپيوتر موجود در شبکه ، قصد ارسال داده برای کامپيوتر ديگر را دارد . در لايه Application ، رابط کاربر وجود داشته و از طريق آن کاربر با برنامه مورد نظر ارتباط برقرار می نمايد .
• پس از ارسال داده از لايه Application ، داده ارسالی به ترتيب لايه های Presentation و Session را طی می نمايد . هر يک از لايه های فوق اطلاعات اضافه ای را به داده اوليه اضافه نموده و در نهايت داده در اختيار لايه Transport قرار داده می شود .
• در لايه Transport ، داده به بخش های کوچکتری تقسيم و هدر TCP به آن اضافه می گردد . به داده موجود در لايه Transport ، "سگمنت"  گفته می شود . هر سگمنت شماره گذاری شده تا امکان بازسازی مجدد آنان در مقصد وجود داشته باشد ( انتظار داريم داده دريافتی توسط گيرنده همان داده ارسالی توسط فرستنده باشد ) .
• هر سگمنت در ادامه به منظور آدرس دهی شبکه ( منظور آدرس دهی منطقی است ) و روتينگ مناسب در اختيار لايه Network قرار داده می شود . به داده موجود در لايه Network ، بسته اطلاعاتی و يا Packet گفته می شود . لايه Network ، هدر IP خود را به آن اضافه نموده و آن را برای لايه DataLink ارسال می نمايد .
• در لايه DataLink به داده ئی که هم اينک شامل هدر لايه های Transport و Network است ، "فريم"  گفته می شود . در اين لايه ، هر يک از بسته های اطلاعاتی دريافتی، کپسوله شده و در يک فريم به همراه آدرس سخت افزاری ( آدرس MAC ) کامپيوترهای فرستنده و گيرنده  سازماندهی می شوند . در فريم فوق اطلاعات مربوط به LLC ( نوع پروتکل ارسالی توسط  لايه قبلی زمانی که به کامپيوتر مقصد می رسد )،  نيز اضافه می شود . در بخش انتهائی فريم ، فيلدی با نام FCS که از کلمات Frame Check Sequence  اقتباس شده است به منظور بررسی خطاء اضافه می گردد .
• در صورتی که کامپيوتر مقصد بر روی يک کامپيوتر از راه دور باشد ، فريم به روتر و يا gateway به منظور مسيريابی مناسب ارسال می گردد .
• به منظور استقرار فريم بر روی شبکه می بايست اطلاعات موجود به صورت سيگنال های ديجيتال تبديل شوند . با توجه به اين که يک فريم مشتمل بر مجموعه ای از صفر و يک  است ، لايه  Physical عمليات کپسوله نمودن ارقام موجود در فريم به يک سيگنال ديجيتال را انجام خواهد داد .
• در ابتدای فريم و به منظور انجام عمليات همزمان سازی ( هماهنگ شدن دريافت کننده با فرستنده ) ، تعداد اندکی صفر و يک اضافه می گردد .

 دريافت داده : شکل زير نحوه دريافت داده توسط يک کامپيوتر  را نشان می دهد :

توضيحات :

• کامپيوتر دريافت کننده در ابتدا به منظور هماهنگ کردن خود با کامپيوتر فرستنده در جهت خواندن سيگنال ديجيتال، تعداد محدودی از بيت ها را می خواند . پس از اتمام عمليات همزمان سازی و دريافت تمامی فريم آن را به لايه بالاتر ( لايه DataLink )، ارسال می نمايد .
•  لايه DataLink ، در ابتدا بررسی لازم در رابطه با وجود خطاء ( CRC ) و يا همان Cyclic Redundancy Check را در خصوص اطلاعات دريافتی انجام خواهد داد . محاسبات فوق توسط کامپيوتر دريافت کننده انجام شده  و ماحصل کار با مقدار موجود در فيلد FCS مقايسه شده و بر اساس آن تشخيص داده خواهد شد که آيا فريم دريافتی بدون بروز خطاء دريافت شده است ؟ در ادامه لايه DataLink ، اطلاعات اضافه و يا هدری را که توسط لايه DataLink کامپيوتر از راه دور به آن اضافه شده است را  برداشته و مابقی داده را که به آن Packet اطلاق می گردد برای لايه Network ارسال می نمايد .
• در لايه Network ، آدرس IP موجود در بسته اطلاعاتی با آدرس IP کامپيوتر دريافت کننده مقايسه شده و  در صورت مطابقت ، هدر لايه Network و يا هدر IP از بسته اطلاعاتی برداشته شده و مابقی بسته اطلاعاتی برای لايه بالاتر ( لايه Transport ) ، ارسال می گردد . به داده موجود در اين لايه ، سگمنت گفته می شود .
• سگمنت در لايه Transport پردازش و عمليات بازسازی مجدد داده دريافتی ، انجام خواهد شد . در زمان بازسازی مجدد داده دريافتی توسط کامپيوتر گيرنده به فرستنده اطلاع داده می شود که وی هر يک از بخش ها را دريافت نموده است تا خللی در بازسازی مجدد داده ايجاد نگردد . با توجه به ارسال يک ACK  برای فرستنده ( اعلام وضعيت سگمنت دريافتی به کامپيوتر فرستنده ) ، از پروتکل TCP در مقابل UDP استفاده شده است . پس از انجام عمليات فوق ، داده دريافتی در اختيار لايه Application گذاشته می شود .

در زمان مبادله اطلاعات بين کامپيوترهای موجود در شبکه ، کاربران درگير جزئيات مسئله نشده و تمامی فرآيندهای اشاره شده به صورت اتوماتيک انجام خواهد شد .