سیستم خود را، با نصب نگارشهای فعلی هر نرم‌افزار، به روز نگه دارید و همه اعلانهای امنیتی را جدی بگیرید. اگر بیشتر از یک نفر به سیستم/یا سیستم‌های شما وارد شود، باید یک “خط مشی امنیتی” برای تعیین سطح امنیتی سیستم و میزان رسیدگی و نظارت روی آن، مد نظر داشته باشید.

کنترل دسترسی به فایلها و ویژگیهای آنها

نظارت بر دسترسی به فایلهای سیستم برای نگهداری تمامیت گروه‌ها و دسته‌ها مشکل است.

· سیستمتان را جهت شناسایی و تشخیص استفاده‌های غیر ضروری و بدون اجازه و امکانات دستورات setuid یا setgid بررسی کنید. برنامه‌های “Set-user-ID” به عنوان کاربر ریشه، بدون توجه به اینکه چه کسی آنها را اجرا می‌کند، اجرا می‌شوند و یکی از عوامل عمده سرریزهای بافر هستند. بسیاری از برنامه‌ها از نوع setuid و setgid هستند تا یک کاربر معمولی قادر به انجام عملیات باشد؛ در غیر این صورت به کاربر ریشه نیاز خواهد بود و اگر کاربرانتان نیازی به داشتن این دسترسیها نداشته باشند، این برنامه‌ها ممکن است حذف شوند. همه برنامه‌های setuid و getuid را روی سیستم میزبان پیدا نموده و همه دسترسیهای این برنامه‌ها را با دستور chmod تغییر داده یا حذف کنید:

root# find / -type f –perm +6000 –ls

59520 30 -rwsr-xr-x 1 root root 30560 Apr 15 1999 /usr/bin/chage

59560 16 -r-sr-sr-x 1 root lp 15816 Jan 6 2000 /usr/bin/lpq

dave$ sudo /usr/sbin/lpc

root# chmod -s /usr/bin/chage /usr/bin/lpq

root# ls -l /usr/bin/lpq /usr/bin/chage

-rwxr-xr-x 1 root root 30560 Apr 15 1999 /usr/bin/chage

-r-xr-xr-x 1 root lp 15816 Jan 6 2000 /usr/bin/lpq

· فایلهای قابل نوشتنی عمومی، به راحتی تغییر داده شده یا حذف می‌شوند. همه این فایلها را در سیستم خود پیدا کنید:

root# find / -perm -2 ! -type l -ls

در حالت معمول، فایلهای زیادی، شامل فایلهای شاخه /dev و /tmp، می‌توانند به طور عمومی قابل نوشتن باشند. کلیه فایلهایی که مالکی ندارند و به گروهی متعلق نیستند را پیدا نموده و شناسایی کنید. این فایلها می‌توانند نشانه دسترسی مهاجمی به سیستم شما باشند

.

root# find / -nouser -o -nogroup

· با استفاده از دستورات lsattr و chattr، راهبران سیستم، می‌توانند ویژگیهای فایلها و شاخه‌ها را، شامل امکان کنترل حذف و دستکاری، تغییر دهند. این دو دستور، چیزی فراتر از آنچه که chmod دارد، فراهم می‌کنند. استفاده از ویژگی “append-only” و “immutable” می‌تواند در ممانعت از حذف فایلهای log، یا جای‌گیری اسبهای تروجان در بالای فایلهای باینری مؤثر باشد. دستور chattr برای اضافه و حذف ویژگیها به کار می‌‌رود و دستور lsattr برای فهرست کردن آنها.

در فایلهای log، تنها بوسیله پیوست کردن به آنها است که می‌توان از آنها محافظت نمود. یکبار که داده‌ای در آن نوشته شود، دیگر پاک نمی‌شود. بنابراین در حالیکه نیاز به تغییراتی برای اسکریپتهای متغیر log شما خواهد بود، این قابلیت محافظهای اضافی دیگری در برابر کراکرهایی که می‌خواهند آنرا پاک کنند، بوجود می‌آورد. هر بار که تغییر کند، آنها باید به حالت تغییرناپذیر (immutable) تغییر وضعیت دهند. فایلهای مناسب برای این اعمال تغییرات /bin/login، /bin/rpm، /etc/shadow می‌باشد و سایرین نیز نباید به طور مداوم آنها را تغییر دهند.

# chattr +i /bin/login

# chattr +a /var/log/messages

# lsattr /bin/login /var/log/messages

—-i— /bin/login

—–a– /var/log/messages

· دلیلی وجود ندارد که کاربران بتوانند برنامه‌های setuid را از فهرست خانگی خود اجرا نمایند. از گزینه nosuid در /etc/fstab برای قسمتهایی که برای افرادی غیر از کاربر ریشه، قابل نوشتن می‌‌باشند، استفاده نمایید. همچنین ممکن است بخواهید از nodev و noexec در پارتیشن home کاربر و var، استفاده کنید، که از اجرای برنامه‌ها و ایجاد دستگاه‌های بلوکی یا کاراکتری، جلوگیری به عمل می‌آورد.

فرهنگ لغات فنی امنیت

· Buffer Overflow: این شرایط هنگامی رخ می‌دهد که کاربر یا پردازه‌ای بخواهد داده‌های بیشتری در بافر ذخیره یک برنامه، در حافظه، جای دهد و سپس بخواهد داده‌های واقعی برنامه را با دستورالعملهایی- که معمولاً توسط کاربر ریشه، پوسته‌ای روی سرور فراهم می‌آورد- بازنویسی نماید.

· Cryptography: علمی وابسته به ریاضیات که با تبدیل داده‌ها و انتقال آن- به گونه‌ای که مفهوم آن پیچیده و مبهم شود- سر و کار دارد. این داده‌های انتقال یافته از تغییرات و تبدیلات ناشناخته و یا استفاده غیر مجاز، مصون می‌مانند.

· Denial of Service: هنگامی رخ می‌دهد که یک فایل یا منبع توسط مهاجمانی مورد هدف قرار گیرد و مانع استفاده آن منبع توسط کاربران مجاز و قانونی‌اش شود. آنها تهدید می‌کنند که داده‌ها را در دسترس عموم قرار خواهند داد.

· IP Spoofing: حمله‌ای که در آن یک host را به host دیگری مبدل می‌کنند. از این حمله به این منظور استفاده می‌شود که مقصد داده‌ها را از یک میزبان به میزبان دیگر، ردیابی نمایند. از اینرو مهاجمان مانع رسیدن داده به مقصد واقعی‌اش می‌شوند. این حملات از نوع one-way است.

· Port Scanning: فرآیندی است که طی آن، پورتهای فعال روی یک سیستم، تعیین می‌گردند. این امکان، عموماً، یکی از عوامل آگاه‌کننده از وجود یک حمله می‌باشد.

· Packet Filtering: یکی از روشهای کم کردن ترافیک شبکه است که بین واسطهای فایروال، در سطح شبکه، حرکت می‌کند. سپس داده‌های شبکه طبق اطلاعات موجود در بسته داده‌ها تحلیل می‌شوند و طبق خط مشی امنیتی فایروال، دسترسی داده شده یا سلب می‌‌گردد.

· Proxy Gateway: به اینها مدخلها (دروازه‌ها)ی برنامه‌های کاربردی نیز اطلاق می‌‌شود که از طرف برنامه‌ای دیگر عمل می‌کنند. یک host با یک کارگزار پراکسی نصب شده، هم یک کارخواه (client) است و هم یک کارگزار و به عنوان یک دریچه بین مقصد نهایی و کارخواه عمل می‌کند. کارگزارهای پراکسی، عموماً، کوچک هستند، برنامه‌های نوشته‌شده‌ی تک-منظوره دقیقی‌اند که فقط خدمات مشخصی را از آن عبور می‌دهند. این قابلیت، معمولاً، با packet filter-ها ترکیب می‌شود.

· Set User-ID (setuid)/Set Group-ID (setgid): فایلهایی که هر کسی، خواه مالک آنها، خواه گروه‌های مربوطه، می‌تواند آنها را اجرا نماید. اینها فایلهایی هستند که غالبا توسط مهاجمین، مورد حمله قرار می‌گیرند. زیرا از این طریق می‌توانند به امتیازات کاربر ریشه دسترسی پیدا کنند.

· Trojan Horse: برنامه‌ای که خود را به جای یک برنامه بی‌خطر، جا می‌زند؛ در حالیکه واقعاً اینطور نیست. یک برنامه ممکن است توسط یک برنامه‌نویس بداندیش که ظاهراً، قصد انجام کار مفیدی دارد، با توابع مخفی آسیب‌رسان آلوده شود و از امتیازات کاربری برای اجرای آن بهره‌برداری کند.

· Vulnerebility: شرایطی که قابلیت به مخاطره انداختن امنیت سیستم را دارد. این شرایط مستقل از کامپیوتر، سطح ارتباط شبکه و سرعت پردازش رخ می‌دهد.

امنیت هسته

گزینه‌های زیادی برای پیکربندی هسته، به منظور بهبود امنیت سیستم، بوسیله شبه فایل سیستم /proc موجود می‌باشد. معدود فایلهایی در /proc/sys وجود دارند که به طور مستقیم با امنیت سیستم در ارتباطند. اگر شامل a 1 باشد، فعال و اگر a 0، غیر فعال خواهد بود. بسیاری از گزینه‌ها در /proc/sys/net/ipv4 در دسترس می‌باشند.

· icmp_echo_ignore_all: تمامی درخواستهای ICMP ECHO را نادیده می‌گیرد. فعال کردن این گزینه، مانع از پاسخگویی host، به درخواستهای ping خواهد شد.

· icmp_echo_ignore_broadcasts: درخواستهای ICMP echo را بوسیله یک آدرس مقصد broadcast/multicast نادیده می‌گیرد. شبکه شما ممکن است به عنوان وسیله‌ای برای ممانعت از حملات فراوان بسته‌های سرویس به دیگر میزبانها استفاده شود.

· ip_forward: این گزینه، IP بسته‌های ارسالی را بین واسطها، فعال یا غیر فعال می‌نماید. مقدار پیش‌فرض، به این بستگی دارد که یا کرنل یا host یا router، پیکربندی شوند.

· ip_masq_debug: اشکال‌زدایی تغییر و جعل شدن IP را فعال یا غیر فعال می‌کند.

· tcp_syncookies: از حملات SYN جلوگیری می‌کند. هنگامی که صف پس‌افت (backlog) SYN از سرریزهای یک سوکت رخ می‌دهد، syncookie-ها را می‌فرستد.

· rp_filter: تعیین می‌کند که آیا تایید آدرس منبع فعال است یا خیر. این گزینه را برای همه مسیریابها فعال کنید تا از حملات IP spoofing، علیه شبکه داخلی، جلوگیری شود.

· secure_redirects: این گزینه ICMP را جهت هدایت پیغامهایی که فقط برای مدخلهای فهرست شده در فهرست مدخل پیش‌فرض وجود دارد، بپذیرید.

· log_martians: بسته‌های با آدرسهای غیرممکن را به log هسته، گزارش می‌دهد.

· accept_source_route: تعیین می‌کند که آیا بسته‌های مسیر منبع ،پذیرفته یا رد شده‌اند. این ویژگی باید غیر فعال باشد، مگر اینکه دلایل خاصی فعال‌سازی آنرا ایجاب کند.

فایل /etc/sysctl.conf در لینوکس ردهت، به طور پیشفرض، شامل تنظیمات کمی می‌باشد و هنگام راه‌اندازی و آغاز به کار سیستم، پردازش می‌شود. برنامه /sbin/sysctl می‌تواند برای کنترل این پارامترها به کار رود. همچنین می‌توان مقادیر آنها را با استفاده از /bin/echo پیکربندی نمود. به عنوان مثال، برای غیرفعال کردن IP ارسالی، به عنوان کاربر ریشه، دستور زیر را اجرا نمایید:

echo “۰” > /proc/sys/net/ipv4/ip_forward

این دستور، باید در فایل راه‌انداز سیستم یا /etc/sysct1.conf در ردهت، نوشته شود تا بعد از هر راه‌اندازی، رخ دهد. اطلاعات بیشتر در فایل proc.txt در شاخه Documentation هسته موجود می‌باشد.

نکات امنیتی عمومی:

· از AutoRPM در ردهت و apt-get در دبیان می‌توان به منظور دانلود و نصب بسته‌های دیگر روی سیستم استفاده نمود. هنگامی‌که از سرورهای تولید به‌روزرسانی استفاده می‌کنید، دقتهای لازمه را به عمل آورید.

· تغییر و تبدیلIP، یک جعبه لینوکسی، با چندین واسط را قادر می‌سازد تا به عنوان یک مدخل (دروازه) در شبکه‌های راه دور، برای host-های متصل به جعبه لینوکسی روی واسط شبکه داخلی، عمل نماید.

· بسته nmap را برای تعیین پتانسیل کانالهای ارتباطی، نصب کنید. nmap می‌تواند نگارش سیستم‌عامل راه دور را مشخص کند، پویشهای نهانی را با دستکاری ICMP، TCP و UDP انجام دهد و حتی قابلیت تعیین نام کاربری راه دوری را که در حال اجرای سرویسی می‌باشد، دارد. با دستوری مشابه زیر، آغاز کنید:

# nmap 192.168.1.1

· محافظ رمز عبور LILO برای کارگزارهای محیطهای عمومی می‌باشد تا هنگامیکه LILO، پارامترهای هسته خط فرمان را در زمان بالا آمدن سیستم، ارسال می‌کند، اجازه نیاز باشد. آرگومانهای password و restricted را به /etc/lilo.conf، اضافه نموده، سپس با اطمینان، /sbin/lilo را مجدداً اجرا کنید:

image = /boot/vmlinuz-2.2.17

label = Linux

read-only

restricted

password = your-password

· وصله هسته OpenWall، مجموعه کاربردی و مفیدی از بهبودهای امنیتی هسته است که کمک می‌کند تا از سرریزهای بافر جلوگیری به عمل آید، اطلاعات موجود در /proc را برای یک کاربر معمولی، محدود می‌کند و سایر تغییرات. برای این کار نیاز به کامپایل کرنل دارید.

· از درستی ساعت سیستم، اطمینان حاصل کنید. زمانهای نوشته شده در فایلهای log، باید درست باشد تا رخدادهای امنیتی، بتوانند با سیستمهای راه دور، مرتبط شوند. ضبط و بایگانیهای نادرست، باعث می‌شود که ساختن یک خط زمانی (خط عمر) غیر ممکن شود. در ایستگاه‌های کاری، کافی است که یک گزینه ورودی corntab، اضافه کنیم:

۰-۵۹/۳۰ * * * * root /usr/sbin/ntpdate -su time.timehost.com

· ابزار سخت کردن لینوکس Bastille را نصب و اجرا کنید. Bastille یک دنباله از اسکریپتهای پوسته است که بسیاری از آسیبهایی را که در عملیات نصب لینوکس به طور پیش‌فرض، معمول و متداول هستند، حذف می‌کند. قابلیتها و ویژگیهای آن، شامل فیلتر کردن بسته‌های اولیه، غیرفعال کردن سرویسهای غیرضروری شبکه‌ای، نظارت بر دسترسی به فایلها و غیره می‌باشد.

· دستور sudo را به گونه‌ای پیکربندی نمایید که به جای استفاده از su، دستورهای مجاز و متداول از طرف یک کاربر معمولی نیز اجرا شوند. راهبر رمز عبور خود را برای اجرای دستورات خاص، دارد. فایل /etc/sudoers کاربرانی را کنترل می‌کند که برنامه‌هایی را اجرا می‌نمایند. برای اینکه به Dave، امکان دستکاری در چاپگر را روی magneto بدهیم باید:

Cmnd_Alias LPCMDS = /usr/sbin/lpc, /usr/bin/lprm dave magneto = LPCMDS

Dave دستور sudo را با فرمان تاییدشده، اجرا نموده و رمز عبور خود را با اعلانی که می‌گیرد، وارد می‌کند:

dave$ sudo /usr/sbin/lpc

Password:

lpc>

· رمز عبور مناسبی برای خود انتخاب کنید. شناسه‌های بلااستفاده را نیز، با استفاده از /usr/bin/passwd -l غیر فعال کنید. اگر توزیع شما این امکان را می‌دهد، در حین نصب، از رمز عبور MD5 استفاده کنید.

· فیلتر کردن بسته‌ها صرفاً، منحصر به firewall نیست. با استفاده از ipchains، می‌توانید محافظتهای زیادی از هر سیستم لینوکسی، در برابر تهدیدهای بیرونی (خارجی)، فراهم آورید. برای بلوکه کردن دسترسی به سرویس خاصی، حین برقراری ارتباطات بیرونی به شبکه محلی شما، می‌توانید دستور زیر را امتحان کنید:

# ipchains -I input -p TCP -s 192.168.1.11 telnet -j DENY -l

اگر قرار باشد ارتباطی خارجی به ۱۹۲٫۱۶۸٫۱٫۱۱ برقرار شود، این دستور، مانع دسترسی به پورت telnet، روی سیستم شما می‌‌شود.

شناسایی حملات شبکه‌ای

دستگاه‌ها و ابزارهای شناسایی حملات در هر شبکه‌ای ضروری و مهم می‌باشند. اینترنت به طور دائم، در حال توسعه یافتن است ؛ از اینرو آسیب‌پذیریهای و بهره‌برداریهای جدید، نیز هر روزه پیدا می‌شوند. این ابزارها زمینه شناسایی و حضور یک مهاجم را فراهم آورده و آمادگی مقابله در برابر این حملات را به کاربران می‌دهد.

یکی از ابزار شناسایی حملات شبکه‌ای، با نام snort، تحلیلهای ترافیک بلادرنگ (real-time) را انجام داده و به دنبال رخدادهای تغییرشکل دهنده که قابلیت حملات شبکه‌ای را دارند، می‌باشد.

بر مبنای محتویات ترافیک شبکه، چه در سطح IP و چه در برنامه‌های کاربردی، اعلانی (اخطاری) تولید خواهد شد. به راحتی پیکربندی شده و از روشهای مرسوم، برای قواعد تولید و توسعه استفاده می‌کند، و زمان کمی نیز صرف نصب آن می‌شود. Snort، در حال حاضر قابلیت این را دارد که حدود ۱۱۰۰ نمونه از آسیب‌پذیریهای بالقوه را شناسایی کند. ویژگیهایی که این ابزار دارد به شرح زیر می‌باشد:

o شناسایی و اعلان بر مبنای الگوهای تطبیق کننده برای تهدیدهای شامل سرریز بافر، پویشهای مخفی پورت، حملات CGI، رسیدگیهای SMB و پرس و جوهای NetBIOS، NMAP و دیگر پویشگرهای پورت، آسیب‌پذیریهای سیستمی نهانی و معروف، DDoS Client-ها و غیره.

o می‌‌تواند در یک ایستگاه کاری موجود، برای نظارت روی یک ارتباط DSL خانگی، و یا روی یک سرور اختصاصی برای نظارت روی یک وب‌سایت حقوقی، به کار گرفته شود.

منابع و مآخذ امنیتی لینوکس

· فهرست آپاچی و محافظ رمز:

http://www.apacheweek.com/features/userauth

· Bastille Linuxپروژه :

http://www.bastille-linux.org/

· ساختن فایروالهای اینترنتی، ویرایش دوم-O’Reiily & Assoc, ISBN 1565928717
· پیمانه‌های بهبود امنیتCERT :

http://www.cert.org/security-improvement/

· مقدمه‌ای بر امنیت در لینوکس:

http://www.linux-mag.com/1999-10/security_01.html

· منابع شناسایی تهاجم لینوکس:

http://www.linuxsecurity.com/intrusion-detection

· John the Ripper Password Cracker:

http://www.openwall.com/john/

· مشاوره در زمینه امنیت متن‌باز و لینوکس:

http://www.linuxsecurity.com/advisories

· منابع مرجع در زمینه امنیت لینوکس:

http://www.linuxsecurity.com/docs

· فهرستهای بحث و بررسی امنیتی لینوکس:

http://www.linuxsecurity.com/mailing-lists.html

· نکته روز لینوکس:

http://www.linuxsecurity.com/tips

· هفته‌نامه امنیت:

http://www.linuxsecurity.com/newsletter.html

· ابزار دسترسی راه دور امن OpenSSH:

http://www.openssh.com/

· پروژه امنیتیOpenWall :

http://www.openwall.com/

· اطلاعاتNetwork Time Protocol :

http://www.ntp.org/

· پویشگر پورتnmap :

http://www.insecure.org/nmap/

· امنیت اینترنت و یونیکس کاربردی، ویرایش دوم.O’Reilly & Assoc, ISBN 1565921488
· ابزار انتقال فایل افزایشیrsync :

http://rsync.samba.org/

· FAQ در مورد SSH:

http://www.employees.org/~satch/ssh/faq/

· سایت کتاب راهنمای امنیت:

http://www.linuxsecurity.com/docs/rfcs/rfc2196.txt

· ابزار کنترل دسترسیsudo root :

http://www.gratisoft.us/sudo/

· سیستم شناسایی حملات شبکه Snort :

http://www.snort.org/

· ابزار جامعیت فایل Tripwire :

http://www.tripwiresecurity.com/

· کار با Snort:

http://www.linuxsecurity.com/using-snort.html

غیر فعال ساختن سرویسهای غیرضروری

غیرفعال کردن برنامه‌ها و سرویسهای host شما، اغلب مؤثرترین راه محدود کردن تهدیدهای ناشی از یک host راه دور می‌باشد. از ابزار مدیریت بسته‌های توزیعهایتان برای پویش فهرستی از بسته‌های نصب شده استفاده کنید و آنها را که غیر ضروریند، حذف نمایید.

· بسیاری از سرویسهای اجرایی inetd، برنامه‌های پرکاربردی نیستند و به ندرت لازم می‌آیند. فایل /etc/inetd.conf به این منظور استفاده می‌شود که تعیین کند کدام سرویسها، پیشنهاد می‌شوند. برای غیر فعال کردن همه سرویسها، می‌توانید از علامت #، در ابتدای خط، به عنوان نشانی برای یک خط توضیحی، استفاده کنید.

· فهرستهای /etc/rc*.d یا /etc/rc.d/rc* شامل اسکریپتهای پوسته هستند که اجرای سرویسهای سیستم و شبکه را در طول سطوح اجرایی، کنترل می‌کنند. آن دسته از سرویسهایی را که لازم ندارید، تغییر نام داده، یا غیر فعال نموده و یا کلیه بسته نرم‌افزاری آن را حذف نمایید. کاربران ردهت می‌توانند از /sbin/chkconfig –list به منظور گرفتن لیستی از سرویسهایی که در سطوح اجرایی، اجرا می‌شوند، استفاده کرد، و /sbin/chkconfig –del را نیز به منظور غیر فعال ساختن یک سرویس، بکار برد.

اگر عملکرد سرویسی را نمی‌دانید، تا فهمیدن کار آن، می‌توانید سرویس مورد نظر را غیرفعال نمایید. از netstat و ps برای تایید سرویسهایی که پس از راه‌اندازی مجدد سیستم، آغاز به کار نکرده‌اند، استفاده می‌شود. bin/netstat –a –p –inet/، برای تعیین اینکه کدام یک از سرویسها فعالند و همچنین شناسه آن فرآیند، به کار می‌رود. از یک پویشگر پورت نیز باید به منظور دیدن نمایی از-hostهای راه دور، استفاده کرد.

چک کردن درستی بسته‌های نرم‌افزاری

دستور md5sum برای محاسبه یک finger-print، ۱۲۸ بیتی استفاده می‌شود که شدیداً به محتویات فایلی که به کار گرفته شده، بستگی دارد. این دستور همچنین برای مقایسه در برابر مجموع از قبل تولیدشده‌ای به کار می‌رود تا تعیین کند که آیا فایل تغییری نموده یا خیر. معمولاً برای اطمینان از تمامیت و درستی بسته‌های به‌روز شده، نیز که توسط یه فروشنده خاص، توزیع می‌گردد، استفاده می‌شود.

# md5sum package-name

995d4f40cda13eacd2beaf35c1c4d5c2 package-name

رشته اعداد، برای مقایسه در مقابل MD5 checksum، منتشر شده توسط تولیدکننده بسته، می‌تواند به کار رود. این رشته تمامیت بسته نرم‌افزاری را قبل از نصب آن، با بلاتغییر نمودن آن، تضمین می‌کند.

نصب و پیکربندی OpenSSH

OpenSSH جایگزینی برای سرویسهای telnet و ftp است که استراق سمع و ربودن ارتباط را نیز حذف می‌نماید و همه ارتباطات بین میزبانها را رمزگذاری می‌کند.

· بسته نرم‌افزاریOpenSSH و OpenSSL را نصب کنید:

openssh-.rpm

openssh-.rpm

openssh-.rpm

openssh-.rpm

· زوج کلیدهای خصوصی و عمومی را تولید کنید:

OpenSSH از رمزنگاری کلید عمومی برای فراهم آوردن اختیارات امنیتی استفاده می‌کند. در ابتدا کلید عمومی، که با سیستمهای راه دور به اشتراک گذارده می‌شود، و کلید خصوصی که فقط برای سیستم محلی حفظ می‌شود، به منظور پیکربندی OpenSSH تولید می‌شود.

orion$ ssh-keygen

Generating RSA keys: …ooooooO….ooooooO

Key generation complete.

Enter file in which to save the key (/home/dave/.ssh/identity):

Created directory ‘/home/dave/.ssh’.

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/dave/.ssh/identity.

Your public key has been saved in /home/dave/.ssh/identity.pub.

The key fingerprint is:

ac:42:11:c8:0d:b6:7e:b4:06:6a:a3:a7:e8:2c:b0:12 dave@orion

· کلید عمومی را برای میزبان راه دور کپی نمایید:

host2$ mkdir -m 700 ~dave/.ssh

host2$ cp /mnt/floppy/identity.pub ~dave/.ssh/authorized_keys

· به سیستم میزبان راه دور وارد شوید:

کلاینت SSH (/usr/bin/ssh)، جایگزین drop-in-ی برای rlogin و rsh می‌باشد و می‌توان از آن برای ورود ایمن به یک میزبان راه دور، استفاده نمود:

orion$ ssh host2

Enter passphrase for RSA key ‘dave@orion’:

Last login: Sat Aug 15 17:13:01 2000 from orion

No mail.

host2$

· فایلها را در میزبان راه دور، کپی کنید:

بسته نرم‌افزاری OpenSSH، همچنین شامل scp، است که جایگزینی امن و بهبود یافته برای rcp می‌باشد. این قابلیت به شما امکان کپی ایمن فایلها را در سرتاسر شبکه، می‌دهد.

orion$ scp /tmp/file.tar.gz host2:/tmp

Enter passphrase for RSA key ‘dave@orion:

file.tar.gz 100% |***************************| 98304 00:00

همچنین با SSH، امکان کپسوله کردن پروتکلهای ناامن پیش‌پا‌افتاده مثل IMAP و POP، برای ممانعت از انتقال رمزهای عبور به سرور ایمیل شما، وجود دارد. به علاوه، ابزار کمکی انتقال فایل rsync، می‌تواند از SSH، به منظور همزمان کردن ایمن (سنکرون) دو میزبان یا پشتیبان گرفتن از داده‌ها در یک log-سرور استفاده کند. SSH، حتی می‌تواند برای ارتباط امن دو زیرشبکه در اینترنت، با ایجاد یک VPN، به کار رود.

امنیت آپاچی

· آپاچی را به منظور پیروی کردن از فقط واسط محلی، محدود کرده و فایل etc/httpd/conf/httpd.conf /را برای خواندن پیکربندی نمایید:

Listen 127.0.0.1:80

· دستورهای زیر را برای غیرفعال کردن دسترسی پیش‌فرض به کلیه فایل سیستم، انجام دهید، مگر اینکه به طور صریح، اختیاری به فردی داده شده باشد. در صورتیکه فایل index.html وجود نداشته باشد و شامل server-side نباشد، این دستور، انتشار ایندکسها را غیر فعال می‌کند. غیرفعال کردن symlink-ها ممکن است روی کارایی سایتهای بزرگ تاثیراتی بگذارد.

Options None

AllowOverride None

Order deny,allow

Deny from all

· دستورات زیر را برای کنترل دسترسی به سرور، از آدرسهای محدود در /etc/httpd/conf/access.conf به منظور خواندن، دنبال کنید:

# Deny all accesses by default

Order deny,allow

# Allow access to local machine

Allow from 127.0.0.1

# Allow access to entire local network

Allow from 192.168.1.

# Allow access to single remote host

Allow from 192.168.5.3

# Deny from everyone else

Deny from all

· دستورات زیر را دنبال کنید تا داشتن اختیارات رمز عبور را به هنگام دسترسی به فهرست معینی در /etc/httpd/conf/access.conf برای افراد، مستلزم کنید:

Order Deny,Allow

Deny from All

Allow from 192.168.1.11

AuthName “Private Information”

AuthType Basic

AuthUserFile /etc/httpd/conf/private-users

AuthGroupFile /etc/httpd/conf/private-groups

require group

فایل private-groups را با داشتن قالب زیر ایجاد کنید:

group-name: user1 user2 user…

مدخل رمز عبور را برای کاربران موجود در لیست فوق ایجاد نمایید:

# htpasswd -cm /etc/httpd/conf/private-users user1

New password:

Re-type new password:

Adding password for user user1

حال با اطمینان، آپاچی را دوباره راه‌اندازی نموده و آنرا امتحان کنید. گزینه –c را از htpasswd، بعد از اضافه شدن اولین کاربر، حذف کنید. مطمئن شوید که فایل رمز عبوری که ایجاد کرده‌اید، برای پیشگیری از دانلود فایل، در DocumentRoot واقع نشده است.

پیکربندی TCP Wrapper-ها

به طور مکرر، از سرویسهایی که در /etc/inetd.conf لیست شده‌اند، برای کنترل دسترسیها و نظارت بر آنها استفاده کنید. سرویس in.ftpd، ممکن است با دستور زیر، غیرفعال شده باشد:

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o

قبل از اینکه دائمون in.telnetd فعال شود، ابتدا، tcpd، تعیین می‌کند که آیا سورس، یک میزبان مجاز می‌باشد یا خیر؟ هر گونه تلاشی برای برقراری ارتباط، به syslogd فرستاده می‌شود. همه سرویسها باید طبق پیش‌فرض که در /etc/hosts.deny است، با دستور زیر، غیر فعال شوند:

ALL: ALL

برای ارسال یک ایمیل به راهبر و اعلان عدم برقراری ارتباط دستور زیر باید اجرا شود:

ALL: ALL: /bin/mail \

-s “%s connection attempt from %c” admin@mydom.com

سرویسهای تعیین شده در /etc/hosts.allow را با استفاده از نام آنها فعال کنید:

sshd: magneto.mydom.com, juggernaut.mydom.com

in.ftpd: 192.168.1.

انتهای دوره، نشان می‌دهد که به سرتاسر شبکه باید اختیارات مورد نیاز را داد. از tcpdchk برای تغییر فایلهای دسترسی‌تان استفاده کنید. یک مدخل syslog برای تلاشهای ناموفق ایجاد خواهد شد. کنترل دسترسی به ترتیب زیر، انجام می‌شود:

· دسترسی هنگامی داده می‌شود که یک جفت دائمون/کلاینت با یک مدخل در فایل /etc/hosts/allow مطابقت داشته باشد.

· در صورتی که شرط فوق برقرار نباشد، هنگامی که یک جفت دائمون/کلاینت با مدخلی در فایل /etc/hosts.deny تطبیق داشته باشد، دسترسی غیرمجاز اعلام خواهد شد.

· در هر حالت دیگری، دسترسی مجاز اعلام خواهد شد.

با یک کنترل دسترسی که موجود نیست، همچون یک فایل خالی برخورد می‌شود. بنابراین، اگر هیچ فایل کنترلی حاضر نباشد، این کنترل غیرفعال خواهد شد.

استفاده از RPM و dpkg

برنامه /bin/rpm در ردهت و مشابه آن، و نیز /usr/bin/dpkg در دبیان و سایر مشتقاتش، برای کنترل مدیریت بسته‌های نرم‌افزاری استفاده می‌شوند.

حذف یک بسته نرم‌افزاری:

# rpm -e

# dpkg -r

فهرست کردن کلیه محتویات یک بسته نرم‌افزاری:

# rpm -qvl

# dpkg -c

فهرست کردن بسته‌های نرم‌افزاری حاوی هر اطلاعی:

# rpm -qvia

# dpkg -l

فهرست کردن محتویات یک بسته:

# rpm -qvpl

# dpkg -c

چاپ اطلاعات در مورد یک بسته:

# rpm -qpi

# dpkg -I

تغییر ویژگیها و مشخصات یک بسته نرم‌افزاری (چک کردن تمامیت اولیه):

# rpm -Va

# debsums -a

تعیین اینکه یک فایل به کدام بسته تعلق دارد:

# rpm -qf

# dpkg -S

نصب بسته نرم‌افزاری جدید:

# rpm -Uvh

# dpkg -i

پیکربندی Syslog

سرویس syslogd مسوولیت ارائه گزارش در مورد اطلاعات تولید شده توسط فرایند‌های سیستم می‌باشد. اطلاعات تولید شده توسط کرنل نیز توسط سرویس klogd گزارش می‌شوند. گزارشهای سیستمی، نشانه‌های اولیه از مشکلات پنهانی و بالقوه سیستم را فراهم می‌آورند.

· تنظیمات پیش‌فرض /etc/syslog.conf را برای ارسال اطلاعات گزارشی برای فایلهای معین، به منظور تحلیل ساده‌تر، را انجام دهید.

# Monitor authentication attempts

auth.*;authpriv.* /var/log/authlog

# Monitor all kernel messages

kern.* /var/log/kernlog

# Monitor all warning and error messages

*.warn;*.err /var/log/syslog

# Send a copy to remote loghost. Configure syslogd init

# script to run with -r -s domain.com options o­n log

# server. Ensure a high level of security o­n the log

# server!

*.info @loghost

auth.*;authpriv.* @loghost

· دسترسی به دایرکتوری log و فایلهای syslog را برای کاربران معمولی، با دستورات زیر، محدود نمایید:

# chmod 751 /var/log /etc/logrotate.d

# chmod 640 /etc/syslog.conf /etc/logrotate.conf

Your public key has been saved in /home/dave/.ssh/identity.pub.

# chmod 640 /var/log/*log

امنیت DNS

· انتقالهای دامنه‌ای صرفاً باید توسط سرورهای master-name مجوز بگیرند تا اطلاعات دامنه‌ای را در سرورهای slave به‌‌روز نمایند. کوتاهی در انجام عملیات، ممکن است منجر به این شود که شماری از IP-ها و نام میزبانها، برای کاربران غیرمجاز آشکار شود. پرس و جوها را فقط به دامنه‌های عمومی محدود کنید.

// Allow transfer o­nly to our slave name server. Allow queries

// o­nly by hosts in the 192.168.1.0 network.

zone “mydomain.com” {

type master; file “master/allow-query { 192.168.1.0/24; };

db.mydomain.com”;

allow-transfer { 192.168.1.6; };

};

· پرس و جوهای شماره نسخه‌مان، بجز پرس و جوهای میزبان محلی را رد کرده و گزارش کنید. قابلیت تعیین محدوده نسخه، به مهاجم این امکان را می‌دهد که رفتار متناظر با آن نسخه را کشف کند.

// Disable the ability to determine the version of BIND running

zone “bind” chaos {

type master;

file “master/bind”;

allow-query { localhost; };

};

بعد از آن فایل ./master/binf باید شامل:

$TTL 1d

@ CHAOS SOA localhost. root.localhost. (

1 ; serial

3H ; refresh

15M ; retry

1W ; expire

1D ) ; minimum

NS localhost.

· واسطهایی که namedاجرا می‌کند، می‌توانند افشای اطلاعات را صرفاً به شبکه‌های ضروری محدود بنمایند.

listen-on { 192.168.1.1; };

· از لیستهای کنترل دسترسی برای طبقه‌بندی گروه‌های میزبانانی که درجه trust آنها متفاوت است، استفاده کنید. از برچسب ACL داخلی می‌توان برای توصیف میزبانان داخلی- که نسبت به بقیه میزان بیشتری دسترسی به اطلاعات دارند- استفاده کرد. قبل از استفاده از آن، باید آن را تعریف نمود:

acl “internal” {

{ ۱۹۲٫۱۶۸٫۱٫۰/۲۴; ۱۹۲٫۱۶۸٫۲٫۱۱; };

};

این دستور، می‌تواند در عبارات “zone” یا عبارات “options” اصلی، به کار رود:

zone “inside.mynet.com” {

type master;

file “master/inside.mynet.com”;

allow-query { “internal”; };

};

· BIND را برای اجرا، از جانب یک کاربر معمولی، پیکربندی نمایید. به محض اینکه BIND، آغاز به کار کند، امکان واگذاری امتیازاتش را دارد و به عنوان یک کاربر با تواناییهای محدود، به جای کاربر ریشه اجرا می‌شود.

# useradd -M -r -d /var/named -s /bin/false named

# groupadd -r named

این شناسه، نباید به هیچ منظوری مگر اجرای name server به کار رود. مطمئن شوید که فایلهای zone، توسط کاربر named قابل خواندن هستند. بعد از آن، لازم است که پیش‌فرض اسکریپت named init را، که معمولاً در /etc/rc.d/init.d/named در ردهت یا /etc/init.d/named در دبیان پیدا می‌شود، تغییر دهید.

/usr/sbin/named -u named -g named

برای کسب اطلاعات بیشتر از وب سایت این شرکت بازدید بعمل بیاورید  www.afraweb.net

. در شبکه های فوق هر بسته اطلاعاتی که توسط کاربری ارسال می گردد ، برای تمام کامپیوترهای موجود در شبکه نیز ارسال خواهد شد. هر کامپیوتر آدرس بسته اطلاعاتی دریافت شده را بمنظور آگاهی از مقصد بسته اطلاعاتی بررسی خواهد کرد. رویکرد فوق در رفتار شبکه های اترنت ، طراحی و پیاده سازی آنان را ساده می نماید ولی همزمان با گسترش شبکه و افزایش عملیات مورد انتظار ، کارآئی شبکه کاهش پیدا خواهد کرد. سازمان مورد نظر ( در مثال فوق ) برای حل مشکل فوق تصمیم به ایجاد دو شبکه مجزا می گیرد. یک شبکه برای گرافیست ها ایجاد و شبکه دوم برای سایر کاربران سازمان در نظر گرفته می شود. بمنظور ارتباط دو شبکه فوق بیکدیگر و اینترنت از یکدستگاه روتر استفاده می گردد.
روتر، تنها دستگاه موجود در شبکه است که تمام پیامهای ارسالی توسط کامپیوترهای موجود در شبکه های سازمان ، را مشاهده می نماید. زمانیکه یک گرافیست، فایلی با ظرفیت بالا را برای گرافیست دیگری ارسال می دارد ، روتر آدرس دریافت کننده فایل را بررسی و با توجه به اینکه فایل مورد نظر مربوط به شبکه گرافیست ها در سازمان است ، اطلاعات را بسمت شبکه فوق هدایت خواهد کرد. در صورتیکه یک گرافیست اطلاعاتی را برای یکی از پرسنل شاغل در بخش مالی سازمان ارسال دارد ، روتر با بررسی آدرس مقصد بسته اطلاعاتی به این نکنه پی خواهد برد که پیام فوق را می بایست به شبکه دیگر انتقال دهد. بدین ترتیب روتر قادر به مسیریابی صحیح یک بسته اطلاعاتی و هدایت آن به شبکه مورد نظر شده است .
یکی از ابزارهائی که روتر از آن برای تعیین مقصد یک بسته اطلاعاتی استفاده می نماید ، ” جدول پیکربندی ” است . جدول فوق شامل مجموعه اطلاعاتی بشرح ذیل است :

• <LI dir=rtl>اطلاعاتی در رابطه با نحوه هدایت اتصالات به آدرس های مورد نظر
  <LI dir=rtl>اولویت های تعریف شده برای هر اتصال
• قوانین مربوط به تبین ترافیک در حالت طبیعی وشرایط خاص

جدول فوق می تواند ساده ویا شامل صدها خط برنامه در یک روترهای کوچک باشد. در روترهای بزرگ جدول فوق پیچیده تر بوده بگونه ای که قادر به عملیات مسیریابی در اینترنت باشند. یک روتر دارای دو وظیفه اصلی است :

• <LI dir=rtl>تضمین عدم ارسال اطلاعات به محلی که به آنها نیاز نیست
• تضمین ارسال اطلاعات به مقصد صحیح

با توجه به وظایف اساسی فوق ، مناسبترین محل استفاده از یک روتر، اتصال دو شبکه است . با اتصال دو شبکه توسط روتر ، اطلاعات موجود در یک شبکه قادر به ارسال در شبکه دیگر و بالعکس خواهند بود. در برخی موارد ترجمه های لازم با توجه به پروتکل های استفاده شده در هریک از شبکه ها ، نیز توسط روتر انجام خواهد شد. روتر شبکه ها را در مقابل یکدیگر حفاظت و از ترافیک غیرضروری پیشگیری می نماید.( تاثیر ترافیک موجود در یک شبکه بر شبکه دیگر با فرض غیر لازم بودن اطلاعات حاصل از ترافیک در شبکه اول برای شبکه دوم ) . همزمان با گسترش شبکه ، جدول پیکربندی نیز رشد و توان پردازنده روتر نیز می بایست افزایش یابد. صرفنظر از تعداد شبکه هائی که به یک روتر متصل می باشند ، نوع و نحوه انجام عملیات در تمامی روترها مشابه است . اینترنت بعنوان بزرگترین شبکه کامپیوتری از هزاران شبکه کوچکتر تشکیل شده است. روترها در اتصال شبکه های کوچکتر در اینترنت دارای نقشی اساسی و ضروری می باشند.
ارسال بسته های اطلاعاتی
زمانیکه از طریق تلفن با شخصی تماسی برقرار می گردد ، سیستم تلفن، یک مدار پایدار بین تماس گیرنده و شخص مورد نظر ایجاد می نماید. مدار ایجاد شده می بایست مراحل متفاوتی را با استفاده از کابل های مسی ، سوئیچ ها ، فیبر های نوری ، ماکروویو و ماهواره انجام دهد. تمام مراحل مورد نظر بمنظور برپاسازی یک ارتباط پایدار بین تماس گیرنده و مخاطب مورد نظر در مدت زمان تماس ، ثابت خواهند بود. کیفیت خط ارتباطی مشروط به عدم بروز مشکلات فنی و غیرفنی در هر یک از تجهیزات اشاره شده ، در مدت برقراری تماس ثابت خواهد بود. با بروز هر گونه اشکال نظیر خرابی یک سوئیچ و .. خط ارتباطی ایجاد شده با مشکل مواجه خواهد شد.
اطلاعات موجود در اینترنت ( صفحات وب ، پیام های الکترونیکی و … ) با استفاده از سیستمی با نام Packet -switching network به حرکت در می آیند. در سیستم فوق ، داده های موجود در یک پیام و یا یک فایل به بسته های ۱۵۰۰ بایتی تقسیم می گردند.هر یک از بسته های فوق شامل اطلاعات مربوط به : آدرس فرستنده ، آدرس گیرنده ، موقعیت بسته در پیام و بررسی ارسال درست اطلاعات توسط گیرنده است. هر یک از بسته های فوق را Packet می گویند. در ادامه بسته های فوق با استفاده از بهترین و مناسبترین مسیر برای مقصد ارسال خواهند شد. عملیات فوق در مقایسه با سیستم استفاده شده در تلفن پیچیده تر بنظر می آید ، ولی در یک شبکه مبتنی بر داده دودلیل ( مزیت) عمده برای استفاده از تکنولوژی Packet switching وجود دارد :

• <LI dir=rtl>شبکه قادر به تنظیم لود موجود بر روی هر یک از دستگاهها با سرعت بالا است( میلی ثانیه )
• در صورت وجود اشکال در یک دستگاه ، بسته اطلاعاتی از مسیر دیگر عبور داده شده تا به مقصد برسد.

روترها که بخش اصلی شبکه اینترنت را تشکیل می دهند ، قادر به ” پیکربندی مجدد مسیر ” بسته های اطلاعاتی می باشند. در این راستا شرایط حاکم بر خطوط نظیر تاخیر در دریافت و ارسال اطلاعات و ترافیک موجود بر روی عناصر متفاوت شبکه بصورت دائم مورد بررسی قرار خواهند گرفت . روتر دارای اندازه های متفاوت است :
- در صورتیکه از امکان Internet connection sharing بین دو کامپیوتری که بر روی آنها ویندوز ۹۸ نصب شده است استفاده گردد، یکی از کامپیوترها که خط اینترنت به آن متصل شده است بعنوان یک روتر ساده رفتار می نماید. در مدل فوق روتر، عملیات ساده ای را انجام می دهد. داده مورد نظر بررسی تا مقصد آن برای یکی از دو کامپیوتر تعیین گردد.
- روترهای بزرگتر نظیر روترهائی که یک سازمان کوچک را به اینترنت متصل می نمایند ، عملیات بمراتب بیشتری را نسبت به مدل قبلی انجام می دهند. روترهای فوق از مجموعه قوانین امنیتی حاکم بر سازمان مربوطه تبعیت و بصورت ادواری سیستم امنیتی تبین شده ای را بررسی می نمایند.
- روترهای بزرگتر مشابه روترهائی که ترافیک اطلاعات را در نقط حساس ومهم اینترنت کنترل می نمایند ، در هر ثانیه میلیون ها بسته اطلاعاتی را مسیریابی می نمایند.
در اغلب سازمانها و موسسات از روترهای متوسط استفاده می گردد. در این سازمانها از روتر بمنظور اتصال دو شبکه استفاده می شود. شبکه داخلی سازمان از طریق روتر به شبکه اینترنت متصل می گردد. شبکه داخلی سازمان از طریق یک خط اترنت ( یک اتصال ۱۰۰base-T 9 ، خط فوق دارای نرخ انتقال ۱۰۰ مگابیت در ثانیه بوده و از کابل های بهم تابیده هشت رشته استفاده می گردد ) به روتر متصل می گردد. بمنظور ارتباط روتر به مرکز ارائه دهنده خدمات اینترنت (ISP) می توان از خطوط اختصاصی با سرعت های متفاوت استفاده کرد. خط اختصاصی T1 یک نمونه متداول در این زمینه بوده و دارای سرعت ۱٫۵ مگابیت در ثانیه است . برخی از موسسات با توجه به حساسیت و نوع کار خود می توانند از یک خط دیگر نیز بمنظور ارتباط روتر با ISP استفاده نمایند. خط فوق بصورت Backup بوده و بمحض بروز اشکال در خط اختصاصی ( مثلا” T1 ) می توان از خط دوم استفاده نمود. با توجه به اینکه خط فوق بصورت موقت و در مواقع اضطراری استفاده می شود ، می توان یک خط با سرعت پایین تر را استفاده کرد.
روترها علاوه بر قابلیت روتینگ بسته های اطلاعاتی از یک نقطه به نقطه دیگر ، دارای امکانات مربوط به پیاده سازی سیستم امنیتی نیز می باشند. مثلا” می توان مشخص کرد که نحوه دستیابی کامپیوترهای خارج از شبکه داخلی سازمان به شبکه داخلی به چه صورت است . اکثر سازمانها و موسسات دارای یک نرم افزار و یا سخت افزار خاص فایروال بمنظور اعمال سیاست های امنیتی می باشند. قوانین تعریف شده در جدول پیکربندی روتر از لحاظ امنیتی دارای صلابت بیشتری می باشند.
یکی از عملیات ادواری ( تکراری ) که هر روتر انجام می دهد ، آگاهی از استقرار یک بسته اطلاعاتی در شبکه داخلی است . در صورتیکه بسته اطلاعاتی مربوط به شبکه داخلی بوده نیازی به روت نمودن آن توسط روتر نخواهد بود. بدین منظور از مکانیزمی با نام Subnet mask استفاده می شود. subnet مشابه یک آدرس IP بوده و اغلب بصورت ۲۵۵٫۲۵۵٫۲۵۵٫۰ است . آدرس فوق به روتر اعلام می نماید که تمام پیام های مربوط به فرستنده و یا گیرنده که دارای یک آدرس مشترک در سه گروه اول می باشند ، مربوط به یک شبکه مشابه بوده و نیازی به ارسال آنها برای یک شبکه دیگر وجود ندارد. مثلا” کامپیوتری با آدرس ۱۵٫۵۷٫۳۱٫۴۰ پیامی را برای کامپیوتر با آدرس ۱۵٫۵۷٫۳۱٫۵۲ ارسال می دارد. روتر که در جریان تمام بسته های اطلاعاتی است ، سه گروه اول در آدرس های فرستنده و گیرنده را مطابقت می نماید و بسته اطلاعاتی را بر روی شبکه داخلی نگه خواهد داشت .
آگاهی از مقصد یک پیام
روتر یکی از مجموعه دستگاههائی است که در شبکه استفاده می شود. هاب ، سوئیچ و روتر سیگنال هائی را ار کامپیوترها و یا شبکه ها دریافت و آنها را برای کامپیوترها و یا شبکه های دیگر ارسال می دارند. روتر تنها دستگاه موجود می باشد که در رابطه با مسیر یک بسته اطلاعاتی تصمیم گیری می نماید. بمنظور انجام عملیات فوق ، روترها می بایست نسبت به دو موضوع آگاهی داشته باشند : آدرس ها و ساختار شبکه .
زمانیکه توسط یکی از دوستانتان برای شما یک کارت تبریک سال نو ارسال می گردد ، از آدرسی مطابق زیر استفاده می نماید : ” تهران – خیابان ایران – کوچه شمیرانات – پلاک ۱۱۰ ” آدرس فوق دارای چندین بخش بوده که به اداره پست مربوطه امکان پیدا نمودن آدرس فوق را خواهد داد. استفاده از کد پستی باعث سرعت در ارسال کارت تبریک و دریافت آن توسط شخص مورد نظر می نماید .ولی حتی در صورتیکه از کد پستی هم استفاده نشود ، امکان دریافت کارت تبریک با توجه به مشخص شدن شهرستان ، خیابان ، کوچه و پلاک نیز وجود خواهد داشت . آدرس فوق یک نوع آدرس منطقی است . آدرس فوق روشی را برای دریافت کارت تبریک ، مشخص می نماید. آدرس فوق به یک آدرس فیزیکی مرتبط خواهد شد.
هر یک از دستگاههای موجود که به شبکه متصل می گردند ، دارای یک آدرس فیزیکی می باشند. آدرس فوق منحصر بفرد بوده و توسط دستگاهی که به کابل شبکه متصل است ، در نظر گرفته خواهد شد. مثلا” در صورتیکه کامپیوتر شما دارای یک کارت شبکه (NIC) می باشد ، کارت فوق دارای یک آدرس فیزیکی دائمی بوده که در یک محل خاص از حافظه ذخیره شده است . آدرس فیزیکی که آدرس MAC )Media Access Control) نیز نامیده می شود ، دارای دو بخش بوده که هر یک سه بایت می باشند. اولین سه بایت ، شرکت سازنده کارت شبکه را مشخص می نماید . دومین سه بایت یک شماره سریال مربوط به کارت شبکه است .
کامپیوتر می تواند دارای چندین آدرس منطقی در یک لحظه باشد. وضعیت فوق در رابطه با اشخاص نیز صدق می کند. مثلا” یک شخص می تواند دارای آدرس پستی ، شماره تلفن ، آدرس پست الکترونیکی و … باشد. از طریق هر یک از آدرس های فوق امکان ارسال پیام برای شما وجود خواهد داشت . آدرس های منطقی در کامپیونر نیز مشابه سیستم فوق کار می کنند. در این راستا ممکن است از مدل های متفاوت آدرس دهی و یا پروتکل های مربوط به شبکه های متفاوت بطور همزمان استفاده گردد. در زمان اتصال به اینترنت ، شما دارای یک آدرس بوده که از پروتکل TCP/IP مشتق شده است . در صورتیکه دارای یک شبکه کوچک می باشید ، ممکن است از پروتکل NetBEUI مایکروسافت استفاده می نمائید. بهرحال یک کامپیوتر می تواند دارای چندین آدرس منطقی بوده که پروتکل استفاده شده قالب آدرس فوق را مشخص خواهد کرد.
آدرس فیزیکی یک کامپیونر می بایست به یک آدرس منطقی تبدیل گردد. از آدرس منطقی در شبکه برای ارسال و دریافت اطلاعات استفاده می گردد. برای مشاهده آدرس فیزیکی کامپیوتر خود می توانید از دستور IPCONFIG ( ویندوز ۲۰۰۰و XP) استفاده نماید.

پروتکل ها
اولین و مهمترین وظیفه روتر ، آگاهی از محلی است که می بایست اطلاعات ارسال گردند. اکثر روترها که یک پیام را برای شما مسیریابی می نمایند، از آدرس فیزیکی کامپیوتر شما آگاهی ندارند. روترها بمنظور شناخت اکثر پروتکل های رایج ، برنامه ریزی می گردند. بدین ترتیب روترها نسبت به فورمت هر یک از مدل های آدرس دهی دارای شناخت مناسب می باشند. ( تعداد بایت های موجود در هر بسته اطلاعاتی ، آگاهی از نحوه ارسال درست اطلاعات به مقصد و … ) روترها بعنوان مهمترین عناصر در ایجاد ستون فقرات اینترنت مطرح می باشند. روترها در هر ثانیه میلیون ها بسته اطلاعاتی را مسیریابی می نمایند. ارسال یک بسته اطلاعاتی به مقصد مورد نظر ، تنها وظیفه یک روتر نخواهد بود. روترها می بایست قادر به یافتن بهترین مسیر ممکن باشند. دریک شبکه پیشرفته هر پیام الکترونیکی به چندین بخش کوچکتر تقسیم می گردد. بخش های فوق بصورت مجزا ارسال و در مقصد مجددا” با ترکیب بخش های فوق بیکدیگر ، پیام اولیه شکل واقعی خود را پیدا خواهد کرد. بخش های اطلاعاتی اشاره شده Packet نامیده شده و هر یک ازآنان می توانند از یک مسیر خاص ارسال گردند. این نوع از شبکه ها را Packet-Switched network می گویند. در شبکه های فوق یک مسیر اختصاصی بین کامپیوتر فرستنده بسته های اطلاعاتی و گیرنده ایجاد نخواهد گردید. پیام های ارسالی از طریق یکی از هزاران مسیر ممکن حرکت تا در نهایت توسط کامپیوتر گیرنده ، دریافت گردد. با توجه به ترافیک موجود در شبکه ممکن است در برخی حالات عناصر موجود در شبکه لود بالائی را داشته باشند ، در چنین مواردی روترها با یکدیگر ارتباط و ترافیک شبکه را بهینه خواهند کرد. ( استفاده از مسیرهای دیگر برای ارسال اطلاعات باتوجه به وجود ترافیک بالا در بخش های خاصی از شبکه )
ردیابی یک پیام
در صورتیکه از سیستم عامل ویندوز استفاده می نمائید ، با استفاده از دستور Traceroute می توانید مسیر بسته های اطلاعاتی را دنبال نمائید. مثلا” در صورتیکه بخواهیم از مسیر پیوستن به سایت http://www.microsoft.com/ آگاهی پیدا نمائیم ، کافی است دستور فوق را بصورت زیر تایپ نمائیم :

خروجی دستور فوق مشابه زیر است :
اولین اعداد نشاندهنده تعداد روترموجود بین کامپیوتر شما و سایت مایکروسافت است . در این مدل خاص از روتر استفاده شده است . سه عدد بعدی ، نشاندهنده مدت زمانی است که اطلاعات از کامپیوتر شما برای روتر ( مشخص شده ) ارسال و مجددا” مراجعت می نمایند. در برخی موارد ممکن است نام روتر نیز اعلام گردد. در نهایت آدرس IP هر یک از روترها نشان داده شده است .بدین ترتیب برای رسیدن به سایت مایکروسافت از محلی که دستور فوق تایپ می گردد ، …. روتر استفاده و ثانیه زمان برای دریافت اطلاعات از سرویس دهنده و مراجعت مجدد اطلاعات ، نیاز خواهد بود.
ستون فقرات اینترنت
باتوجه به گستردگی اینترنت و وجود میلیون ها بسته اطلاعاتی در هر ثانیه بمنظور مسیریابی ، می بایست از روترهای با سرعت بالا استفاده شود. روتر سری ۱۲۰۰۰ سیسکو یکی از این نوع روترها بوده که بعنوان ستون فقرات اصلی در اینترنت استفاده می شود. تکنولوژی بکار گرفته شده در طراحی روترهای فوق مشابه ******** کامپیوترها می باشد. ( استفاده از پردازنده های با سرعت بالا بهمراه مجموعه ای از سویئچ های پر سرعت ). در روتر مدل ۱۲۰۰۰ از پردازنده های ۲۰۰MHZ MIPS R5000 استفاده می شود. ۱۲۰۱۶ ، یکی از مدل های سری فوق است . مدل فوق قادر دارای توان عملیات ۳۲۰ میلیارد بیت از اطلاعات را در ثانیه را دارد. در صورتیکه مدل فوق با تمام توان و ظرفیت خود نصب گردد ، امکان انتقال ۶۰ میلیون بسته اطلاعاتی در هر ثانیه را دارا است .
روترها با استفاده از جدول پیکربندی خود قادر به مسیریابی صحیح بسته های اطلاعاتی خواهند بود. قوانین موجود در جدول فوق سیاست مسیریابی یک بسته اطلاعاتی را تبین خواهند کرد . قبل از ارسال بسته های اطلاعاتی توسط مسیر مشخص شده ، روتر خط( مسیر ) مربوطه را از از نقطه نظر کارآئی بررسی می نماید . در صورتیکه مسیر فوق فاقد کارآئی لازم باشد ، روتر مسیر فوق را چشم پوشی نموده و مجددا” یک مسیر دیگر را مشخص خواهد کرد. پس از اطمینان از کارآئی مسیر مشخص شده ، بسته اطلاعاتی توسط مسیر مورد نظر ارسال خواهد گردید. تمام عملیات فوق صرفا” در کسری از ثانیه انجام می گردد. در هر ثانیه، فرآیند فوق میلیون ها مرتبه تکرار خواهد شد.
آگاهی از محلی که پیام ها می بایست ارسال گردند ، مهمترین وظیفه یک روتر است . برخی از روترهای ساده، صرفا” عملیات فوق را انجام داده و برخی دیگر از روترها عملیات بمراتب بیشتر و پیچیده تری را انجام می دهند.

Lan: به شبکه محلی که در آن کامپیوتر ها نزدیک به هم بوده و ارتباط آنها از طریق Hub ،Switch و یا Wireless باشد اطلاق می شود.

Intranet و Internet: منظور از اینترانت همان شبکه جهانی اینترنت است که در محیط بسته (Lan) پیاده سازی شده و با دنیای خارج از آن ارتباطی ندارد.

Protocol: عبارتست از قراردادی که تعدادی کامپیوتر طبق آن با یکدیگر ارتباط برقرار کرده و به تبادل اطلاعات می پردازند.

TCP/IP: یک پروتکل جامع در اینترنت بوده و تمام کامپیوترهایی که با اینترنت کار می کنند از آن تبعیت می کنند.

IP Address: در اینترنت هر کامپیوتر دارای یک آدرس IP است. هر IP متشکل از ۴ عدد بوده که با یک نقطه ازهم جدا می شوند. ( مثل ۲۱۷٫۲۱۹٫۱۷۵٫۱۱ ) هر کدام از این اعداد حداکثر می توانند ۲۵۴ باشند. هر IP دارای یک Mask می باشد که از روی آن می توان تعداد IP های یک شبکه محلی را تشخیص داد.

Valid IP: به IP هایی گفته می شود که در اینترنت معتبر بوده و قابل شناسایی باشند.

Invalid IP: به IP هایی گفته می شود که در اینترنت فاقد هویت و غیر قابل شناسایی می باشند. از این IP ها معمولا در شبکه های Lan در صورت نداشتن Valid IP به میزان کافی و یا جهت امنیت شبکه استفاده می شود. از Invalid IP بدلیل نداشتن هویت در اینترنت نمی توان برای اتصال به اینترنت استفاده کرد. بلکه باید از تکنیکهایی مثل NAT یا ***** استفاده کرد.

****: در مفهوم عامیانه به سانسور کردن سایتها تعبیر می شود. اما از نظر فنی راه حلی است برای اینکه ما بتوانیم از Invalid IP ها برای اتصال به اینترنت استفاده کنیم. در این روش باید یک ***** Server در شبکه نصب شود. در کل این روش مطلوب نبوده و دارای نقاط ضعف عمده زیر است: ۱- نیاز است که کاربران تنظیمات خاصی را در کامپیوتر خود انجام دهند. ۲- در این روش بسیاری از پروتکلها پشتیبانی نشده و قابل استفاده نیستند.
با این حال برخی از مراکز اینترنتی نظیر دانشگاهها، مؤسسات دولتی و امنیتی و … برای کنترل بیشتر کاربران خود و گزارشگیری از سایتهای مرور شده توسط هر کاربر از ***** استفاده می کنند. از جمله نرم افزارهای ***** Server می توان به Squid، ISA، CacheXpress و . . . اشاره کرد.

NAT: یک تکنیک خوب برای بکارگیری Invalid IP است. در این روش تقریبا تمام پروتکل ها پشتیبانی می شوند و مهمتر اینکه نیاز به تنظیم خاصی بر روی کامپیوتر کاربران نیست. از جمله نرم افزارهایی که کار NAT را انجام می دهند می توان به ISA و Winroute اشاره کرد.

DNS: پروتکل تبدیل اسم Domain به IP می باشد. در شبکه به دستگاهی که این کار را انجام می دهد DNS Server گفته می شود. (۶۲٫۲۱۷٫۱۵۶٫۲۰۵ = http://www.yahoo.com/ )

Routing: اگر کامپیوتری بخواهد با یک کامپیوتر دیگر در اینترنت ارتباط برقرار کند، Packet هایش الزاما از چندین Node (کامپیوتر یا Router ) عبور می کند تا به مقصد برسد. به عملی که یک Node بر روی Packet ها و ارسال آنها به Node دیگر برای رسیدن به مقصد انجام می دهد Routing گفته می شود.

Mail Server: در شبکه به سروری گفته می شود که کار دریافت، ارسال و نگهداری Email را انجام میدهد. از جمله نرم افزارهایی که برای Mail Server مورد استفاده قرار می گیرند می توان به MDaemon و Exchange اشاره کرد.

Web Server: به سروری گفته می شود که صفحات Web بر روی آن قرار گرفته و Page های آن از طریق اینترنت قابل دستیابی است.

FTP Server: به سروری گفته می شود که فایلهای مورد نیاز برای Download کردن کاربران بر روی آن قرار گرفته است. و کاربران می توانند فایلهای موجود در FTP Server را Download کنند.

Domain: به نام یک شبکه که منحصر بفرد بوده و در اینترنت Register شده است گفته می شود. مثل persiannetworks.com . یک شبکه می تواند دارای یک یا چند Domain باشد. البته یک شبکه می تواند بدون Domain یا دارای Domain محلی نیز باشد.

Domain Registration: به عمل ثبت Domain گفته می شود. چنانچه شما بخواهید یک Domain برای خود رجیستر کنید ابتدا باید یک نام را که تا کنون در اینترنت استفاده نشده است انتخاب کنید. سپس توسط شرکتهایی که عمل Domain Registration را انجام می دهند آنرا بنام خود به مدت زمان معین Register کنید.

Host: به کامپیوترهای میزبان که صفحات Web یا فایلهای FTP بر روی آن قرار دارند Host گفته می شود.

PC 2 Phone: به امکان ایجاد ارتباط تلفنی بوسیله اینترنت از طریق یک کامپیوتر با یک تلفن PC2Phone گفته می شود.

Phone 2 Phone: به امکان ایجاد ارتباط تلفنی بوسیله اینترنت از طریق یک تلفن با یک تلفن دیگر Phone2Phone گفته می شود.

ISP: به مراکز سرویس دهی اینترنت ISP گفته می شود. (Internet Service Provider)

ITSP: به مراکز سرویس دهی Phone2Phone گفته می شود. (Internet Telephony Service Provider)

DVB: به کارت سخت افزاری اطلاق می شود که در یکی از Slot های کامپیوتر قرار می گیرد و بوسیله یک کابل به دیش متصل شده و از طریق آن می تواند Receive کند.

Receiver: یک Device است که به دیش وصل شده و عمل دریافت اطلاعات از دیش را انجام می دهد.

Transiver : یک Device است که به دیش وصل شده و عمل ارسال اطلاعات به دیش را انجام می دهد.

Cache Server: در حقیقت ***** Server ای است که بتواند هنگام کارکردن کاربران، سایتهای بازدید شده توسط آنها را در خود نگهداری کرده و در صورتی که کاربر دیگری بخواهد همان سایتها را بازدید نماید با سرعت بیشتر و صرفه جویی در پهنای باند پاسخ خود را از طریق Cache Server دریافت کند. وجود Cache Server در شبکه می تواند تا ۵۰ درصد در اندازه پهنای باند صرفه جویی کند و راندمان شبکه را بالا ببرد. (در شرایط بهینه این میزان تا ۶۰ درصد هم افزایش می یابد.) Cache Server هم می تواند سخت افزاری باشد (مثل Cache Force) و هم می تواند نرم افزاری باشد.(مثل: ۱- Squid که تحت Linux و Windows قابل نصب است. ۲- ISA که تحت Win2000 قابل نصب است. ۳- CacheXpress که تحت Linux و اکثر Windowsها قابل نصب است.)

Accounting/Billing: به نرم افزارهای مدیریت کاربران در یک ISP گفته می شود. این نرم افزارها کنترل میزان استفاده کاربران از شبکه اینترنت را برعهده دارند. پر استفاده ترین نرم افزار در این زمینه، NTTacPlus است.

Firewall: هم بصورت سخت افزاری و هم بصورت نرم افزاری وجود دارد و وظیفه آن بالا بردن ضریب امنیتی شبکه به منظور جلوگیری از Hack شدن و سوء استفاده توسط افراد سودجو می باشد.

Filtering: هم بصورت سخت افزاری و هم بصورت نرم افزاری وجود دارد و وظیفه آن جلوگیری از ورود کاربران به سایتهای غیر مجاز می باشد.

MultiPort: دستگاهی است که معمولا در ISPها مورد استفاده قرار می گیرد. دارای یک کارت PCI بوده و بر روی Mainboard یک کامپیوتر نصب می شود. با نصب MultiPort می توان Comport های یک کامپیوتر را افزایش داد و تعداد زیادی Modem به یک کامپیوتر متصل کرد.

RAS: به کامپیوتری گفته می شود که تعداد زیادی Modem به آن متصل بوده و کاربران می توانند به آن Connect کرده و از اینترنت استفاده کنند.

Access Server: به دستگاههایی گفته می شود که کاربران اینترتنی قادر باشند به آن Connect کرده و از طریق آن به اینترنت دسترسی پیدا کنند.

VOIP Gateway: به دستگاههایی گفته می شود که کاربران تلفنی قادر باشند به آن Connect کرده و از طریق آن با کشورهای مختلف ارتباط تلفنی برقرار کنند.

VOIP Carrier: به تشکیلاتی گفته می شود که با VoIP Gateway از طریق اینترنت در ارتباط بوده و ارتباط های تلفنی بین VoIP Gateway و کشورهای مختلف را برقرار می سازد.

انواع راههای ارتباط کاربر به ISP:
خط آنالوگ، خط Leased، خط E1 ،Wireless ،ADSL

هر ISP می تواند برای دستیابی به اینترنت از یک یا چند روش از روشهای زیر استفاده کند.
خط آنالوگ، خط Leased، خط E1 ،Wireless ،ADSL ،Receive Only Sattelite ،Send/Rec Sattelite.

انواع دستگاههای ارتباطی که کاربر را به ISP متصل می کند(برای خطوط آنالوگ و E1 ) عبارتند از:
۱- روترهای Cisco: امروزه استفاده از روترهای Cisco به منظور برقراری ارتباط کاربران با ISP از جمله رایج ترین روشهای موجود است.

۲- Multiports: همانگونه که قبلا گفته شد از Multiport برای افزایش دادن پورتهای Com و اتصال مودمهای External به آنها استفاده می شود. رایج ترین Multiport محصول شرکت Moxa می باشد که دارای دو مدل Desktop (رومیزی) و Rackmount (قابل نصب در Rack ) می باشد. Multiport ها دارای مدلهای ۸پورت، ۱۶ پورت و ۳۲ پورت هستند. از انواع دیگر مولتی پورت می توان به Equinox اشاره کرد.

۳- Moxa Async Server: محصول شرکت Moxa بوده و دارای CPU می باشد و در شبکه مستقیما به Hub وصل می شود. و تعداد زیادی خطوط تلفن به آن وصل می شود و کاربران از طریق آن می توانند به شبکه وصل شوند.

۴- Lucent Max TNT : محصول شرکت Lucent بوده و همانند Router قادر است هم به منظور Access Server برای ISP ها و هم به منظور VoIP Gateway برای ITSP ها مورد استفاده قرار بگیرد. در این دستگاه کلا امکان نصب ۱۰ Module وجود دارد. برخی از این Module ها عبارتند از:

modem, ISDN, VoIP, V.110, and PHS MultiDSP module: support for analog
Digital modem module: support for analog modem and ISDN users
Analog modem module
Channelized T1/E1
Ethernet module

ضمنا این دستگاه دارای چهار Ethernet با سرعت ۱۰MB/s و یک Ethernet با سرعت ۱۰۰MB/s می باشد. این دستگاه توانایی پشتیبانی از انواع خطوط مخابراتی را دارد. هر مادیول MultiDSP توانایی پشتیبانی از ۹۶ پورت Dialup را دارد. بنابراین اگر ۱۰ مادیول MultiDSP را به Max وصل کنیم توانایی پشتیبانی از ۹۶۰ خط را خواهد داشت!

Lucent Max 3000: این دستگاه هم مانند Max TNT محصول Lucent بوده و دارای مشخصات زیر است :
دارای ۲ WAN برای اتصال خطوط E1 می باشد. ۳۲MB اندازه Ram و ۱۶MB اندازه ظرفیت Flash آن می باشد.

Taicom TopServer: این دستگاه محصول شرکت Taicom بوده و دارای ۳۰ مودم Internal برای اتصال به خطوط آنالوگ می باشد.

USRobotics Net Server: این دستگاه هم محصول شرکت USRobotics بوده و از خطوط معمولی و E1 پشتیبانی می کند.

Zyxel ModemPool: محصول Zyxel بوده که حاوی تعداد زیادی مودم است که در یک Box جاسازی شده اند و می توان آنرا به یک کامپیوتر متصل کرده و از آن استفاده نمود. اخیرا یک شرکت ایرانی بنام قاصدک نیز یک ModemPool مشابه بنام Ghasedak را تولید کرده است.

Quintum: Tenor: دستگاه تک منظوره ای است که فقط برای VoIP مورد استفاده قرار می گیرد. در انواع متنوع ۲، ۴ و ۸ پورت موجود میباشد.

ChannelBank: دستگاهی است که از آن برای تبدیل خطوط E1 به خطوط تلفن معمولی و بالعکس استفاده می شود.

PSTN: منظور از آن شبکه مخابراتی عمومی می باشد. (Public Switched Telephone Network)

خطوط آنالوگ معمولی: منظور از این خطوط همان خطوط تلفنی معمولی می باشد. نرخ انتقال Data توسط این خطوط حداکثر ۳۳٫۶ Kb/s می باشد. استفاده از این خطوط برای اتصال به اینترنت در کشورمان بسیار رایج می باشد.

T1: نام خطوط مخابراتی مخصوصی است که در آمریکا و کانادا ارائه می شود. بر روی هر خط T1 تعداد ۲۴ خط تلفن معمولی شبیه سازی می شود. هر خط T1 می تواند حامل ۱٫۵ MB/s پهنای باند باشد.

E1: نام خطوط مخابراتی مخصوصی است که در اروپا و همچنین ایران ارائه می شود. بر روی هر خط E1 تعداد ۳۰ خط تلفن معمولی شبیه سازی می شود. هر خط E1 می تواند حامل ۲ MB/s پهنای باند باشد. خطوط E1 نمی توانند همزمان هم Dialin باشند و هم Dialout.
در حال حاضر برخی از شرکتها و سازمانهای خصوصی در ایران از E1 برای ارتباط تلفنی خود استفاده می کنند که مشخصه این سیستم ۸ رقمی بودن شماره های این سازمانهاست. متأسفانه در دزفول هنوز خطوط E1 ارائه نمی شوند.

ISDN: اساس طراحی تکنولوژی ISDN به اواسط دهه ۸۰ میلادی باز میگردد که بر اساس یک شبکه کاملا دیجیتال پی ریزی شده است .در حقیقت تلاشی برای جایگزینی سیستم تلفنی آنالوگ با دیجیتال بود که علاوه بر داده های صوتی ، داده های دیجیتال را به خوبی پشتیبانی کند. به این معنی که انتقال صوت در این نوع شبکه ها به صورت دیجیتال می باشد . در این سیستم صوت ابتدا به داده ها ی دیجیتال تبدیل شده و سپس انتقال می یابد .
ISDN به دو شاخه اصلی تقسیم می شود . N-ISDN و B-ISDN . B-Isdn بر تکنولوژی ATM استوار است که شبکه ای با پهنای باند بالا برای انتقال داده می باشد که اکثر BACKBONE های جهان از این نوع شبکه برای انتقال داده استفاده می کنند ( از جمله شبکه دیتا ایران ) .
نوع دیگر B-ISDN یا ISDN با پهنای باند پایین است که برای استفاده های شخصی طراحی شده است . در
N-ISDN دو استاندارد مهم وجود دارد. BRI و PRI . نوع PRI برای ارتباط مراکز تلفن خصوصی (PBX ) ها با مراکز تلفن محلی طراحی شده است . E1 یکی از زیر مجموعه های PRI است که امروزه استفاده زیادی دارد . E1 شامل سی کانال حامل (B-Channel ) و یک کانال برای سیگنالینگ ( D-Channel) میباشد که هر کدام ۶۴Kbps پهنای باند دارند .
بعد از سال ۹۴ میلادی و با توجه به گسترش ایتنرنت ، از PRI ISDN ها برای ارتباط ISP ها با شبکه PSTN استفاده شد که باعث بالا رفتن تقاضا برای این سرویس شد. همچنانکه در ایران نیز ISP هایی که خدمات خود را با خطوط E1 ارایه می کنند روز به روز در حال گسترش است .
نوع دیگر ISDN، BRIاست( نوعی که در کیش از آن استفاده شده ) که برای کاربران نهایی طراحی شده است. این استاندارد دو کانال حامل ۶۴Kbps و یک کانال برای سیگنالینگ با پهنای باند ۱۶kbps را در اختیار مشترک قرار می دهد .این پهنای باند در اواسط دهه ۸۰ میلادی که اینترنت کاربران مخصوصی داشت و سرویسهای امروزی همچون HTTP ، MultiMedia ، Voip و …. به وجود نیامده بود ، مورد نیاز نبود همچنین برای مشترکین عادی تلفن نیز وجود یک ارتباط کاملا دیجیتال چندان تفاوتی با سیستمهای آنالوگ فعلی نداشت و به همین جهت صرف هزینه های اضافی برای این سرویس از سوی کاربران بی دلیل بود و به همین جهت این تکنولوژی استقبال چندانی نشد . تنها در اوایل دهه ۹۰ بود که برای مدت کوتاهی مشترکین ISDN افزایش یافتند . پس از سال ۹۵ نیز با وجود تکنولوژیهایی با سرعتهای بسیار بالاتر مانند ADSL که سرعتی حدود۸Mb/s برای دریافت و ۶۴۰Kb/s را برای دریافت با هزینه کمتر از ISDN در اختیار مشترکین قرار میدهد ، انتخاب ISDN از سوی کاربران عاقلانه نبود.
در حقیقت می توان گفت کهISDN BRI تکنولوژی بود که در زمانی به وجود آمد که نیازی به آن نبود و زمانی که به آن نیاز احساس می شد ، با تکنولوژیهای جدید تری که سرعت بالاتر و قیمت بیشتر داشتند جایگزین شده بود .
Leased Line یا Digital Subscriber Line یا DSL : خطی است که بصورت نقطه به نقطه دو محل را به یکدیگر متصل می کند که از آن برای تبادل Data استفاده می شود. این خط دارای سرعت بالایی برای انتقال Data است. نکته قابل توجه این که در دو سر خط Leased باید مودمهای مخصوصی قرار داد.

خط Asynchronous Digital Subscriber Line یا ADSL: همانند خطوط DSL بوده با این تفاوت که سرعت انتقال اطلاعات آن بیشتر است.

Wireless: یک روش بی سیم برای تبادل اطلاعات است. در این روش از آنتنهای فرستنده و گیرنده در مبدأ و مقصد استفاده می شود. این آنتنها باید رو در روی هم باشند. برد مفید این آنتنها بین ۲ تا ۵ کیلومتر بوده و در صورت استفاده از تقویت کننده تا ۲۰ کیلومتر هم قابل افزایش است. از نظر سرعت انتقال Data این روش مطلوب بوده اما بدلیل ارتباط مستقیم با اوضاع جوی و آب و هوایی از ضریب اطمینان بالایی برخوردار نیست.

Leased Modem: به مودم هایی گفته می شود که در دو طرف خط Leased قرار می گیرند. از جمله این مودم ها می توان به Patton , Paradyne , WAF , PairGain , Watson اشاره کرد.

از میان انواع مودم های Leased مدل Patton در کشورمان رایج تر بوده و دارای مدلهای زیر است:
۱۰۹۲A (Upto 128Kb/s) , 1088C ( Upto 2Mb/s) و ۱۰۸۸i (Upto 2Mb/s)
مدل ۱۰۸۸i مودم/ روتر بوده و برای کار Bridge بیشتر استفاده می شود.

ChannelBank: دستگاهی است که از آن برای تبدیل خطوط E1 به خطوط تلفن معمولی و بالعکس استفاده می شود.

انواع Modem
مودمها دارای انواع مختلفی هستند که مهمترین آنها عبارتند از:
۱- Analog Modems: از این مودمها برای برقراری ارتباط بین دو کامپیوتر (User و ISP) از طریق یک خط تلفن معمولی استفاده می شود. انواع گوناگونی از این نوع مودم در بازار یافت می شود که برخی از آنها عبارتند از: Acorp , Rockwell , Dlink و … .
۲- Leased Modems: استفاده از این مودمها در دوسر خط Leased الزامی است. مدلهای معروف این نوع مودمها عبارتند از: Patton , Paradyne , WAF , PairGain , Watson

Satellite: به معنای ماهواره می باشد. امروزه بسیاری از ماهواره ها خدمات اینترنت ارائه می کنند. برخی از آنها عبارتند از: Taicom , Sesat , Telestar 12 , EuroAsia Sat
IntelSat 902 , France Telecom , ArabSat

Bandwidth: به اندازه حجم ارسال و دریافت اطلاعات در واحد زمان Bandwidth گفته می شود. واحد اصلی آن بیت بر ثانیه می باشد. هنگامی یک ISP می خواهد پهنای باند خود را چه از طریق دیش و چه از طریق سایر روشها تهیه کند باید میزان پهنای باند درخواستی خود را در قراردادش ذکر کند. معمولا” پهنای باند برای ISPهای خیلی کوچک۶۴KB/s است و برای ISPهای بزرگتر این مقدار افزایش می یابد و برای ISPهای خیلی بزرگ تا ۲MB/s و حتی بیشتر هم می رسد.

پهنای باند بر دو نوع است:
۱- Shared Bandwidth: این نوع پهنای باند ارزان تر بوده و در آن تضمینی برای تأمین پهنای باند طبق قرارداد برای مشترک وجود ندارد. چراکه این پهنای باند بین تعداد زیادی ISP مشترک بوده و همگی از آن استفاده می کنند. بنابراین طبیعی است که ممکن است در ساعات پر ترافیک ISP نتواند از پهنای باند درخواستی خود بهره ببرد.
۲- Dedicated Bandwidth: این نوع پهنای باند گران تر بوده اما در آن استفاده از سقف پهنای باند در تمام ساعات شبانه روز تضمین شده است. زیرا پهنای باند بصورت اختصاصی به مشترک اختصاص یافته است.

Bandwidth Quality: به معنای کیفیت پهنای باند می باشد.کیفیت پهنای باند به دو عامل زیر بستگی دارد:
۱- Ping Time: به مدت زمانی گفته می شود که یک Packet از ISP به مقصد یک Host قوی (مثلا” http://www.yahoo.com/) در اینترنت ارسال شده و پس از دریافت پاسخ مناسب دوباره به ISP باز می گردد. هرچه این زمان کمتر باشد پهنای باند از کیفیت بهتری برخوردار است.
۲- Packet Loss: هنگامی که یک Packet به اینترنت ارسال می شود ممکن است که بدلایل مختلف مفقود شده و یا از دست برود. Packet Loss عبارت است از نسبت Packetهای از دست رفته و مفقود شده به کل Packetها. هر چه این نسبت کمتر باشد پهنای باند از کیفیت بهتری برخوردار است.

خطاهای هفتگانه

۱- انتخاب اسم رمز ساده و یا اسامی رمز پیش فرض
۲- باز گذاشتن درگاه‌های(port) شبکه
۳- استفاده از نرم‌افزارهای قدیمی
۴- استفاده از برنامه‌های نا‌امن و یا پیکربندی شده به‌صورت نادرست
۵- ناکافی بودن منابع و یا نامناسب بودن ارجحیت‌ها
۶- نگهداری UserIDهای قدیمی و غیرلازم و تهیه شناسه‌های عمومی
۷ – به تعویق انداختن فعالیت‌های مهم در زمینه ایجاد امنیت

۱/ انتخاب اسم رمز ساده و یا اسامی رمز پیش فرض

با توجه به سریع شدن پردازنده‌ها و امکان دسترسی به نرم‌افزارهایی که اسامی رمز را کشف می‌نمایند، حتی با انتخاب اسامی رمز پیچیده نیز، رمز می‌تواند شکسته شود.
با استفاده از ابزارهایی که در سیستم‌عامل Unix/Linux پیش‌بینی شده است مسئول سیستم می‌تواند اجازه تولید اسامی رمز و سایر مسائل مرتبط را کنترل نماید.
در بعضی از سیستم‌عامل‌های یونیکس فایلی با نام passwd تحت /etc/default وجود دارد که راهبر یونیکس می‌تواند با ایجاد تغییراتی در آن به کاربر اجازه ندهد که اسامی رمز ساده را انتخاب نماید. اما در لینوکس به اندازه کافی کنترل‌ بر روی اسم رمز انجام می‌گردد و می‌توان تا حدی مطمئن بود که کاربر نمی‌تواند اسامی رمز ساده انتخاب نماید.
فراموش نگردد که مسئول سایت (راهبر سیستم) این اختیار را دارد که اسامی رمز ساده‌ای را برای کاربران تهیه نماید، که این کار خطای مسلم راهبر می‌باشد. چرا که هر اسم رمز ساده دروازه‌ای برای ورود افراد مهاجم بوده و فرد مهاجم پس از وارد شدن به سیستم می‌تواند با استفاده از نقاط ضعف دیگر احتمالی و به‌وجود آوردن سر ریز بافر(Buffer Overflow) کنترل سیستم را در ‌دست بگیرد. در بسیاری از سیستم‌های فعلی Unix/Linux مجموعه امکانات PAM(Pluggable Authentication Modules) نصب بوده و توصیه اکید می‌گردد که مجموعه زیر را برای بالا بردن امنیت سیستم تحت /etc/pam.d و در فایل passwd قرار گیرد.

passwd password requisite usr/lib/security/pamcraklib.so retry=3

passwd password required /usr/lib/security/pam_pwdb.so use_authtok

در زمان اجرای برنامه passwd، کتابخانه‌های پویا(Dynamic) با نام‌های pamcraklib.so و pam_pwdb.so به برنامه متصل شده و کنترل‌های لازم را انجام خواهند داد.
مجموعه نرم‌افزارهای craklib این امکان را به سیستم اضافه می‌نماید تا کنترل نماید که آیا اسم رمز تهیه شده توسط کاربر شکستنی است یا خیر. فراموش نگردد که فرمان passwd تابع راهبر سیستم بوده و راهبر سیستم می‌تواند اسم رمز ساده را انتخاب نماید و این عمل گناهی نابخشودنی را برای مسئول سیستم ثبت خواهد نمود. در مورد اسامی رمز پیش فرض که در نصب بعضی سوئیچ‌ها و مسیریاب‌ها وجود دارد، راهبر سیستم می‌بایست در اسرع وقت (زمان نصب) اسامی رمز از پیش تعیین شده را تعویض نماید.

۲/ باز گذاشتن درگاه‌های شبکه

هر درگاه باز در TCP/IP می‌تواند یک دروازه ورودی برای مهاجمین باشد. باز گذاشتن درگاه‌هایی که محافظت نشده و یا بدون استفاده می‌باشند، به مهاجمین اجازه می‌دهد به‌ نحوی وارد سیستم شده و امنیت سیستم را مخدوش نمایند. فرمان‌های زیادی مانند finger وrwho و غیره وجود دارند که افراد مهاجم می‌توانند با اجرای آنها در شبکه و قرار دادن آدرس کامپیوتر مقصد، اسامی کاربران و تعداد زیادی از قلم‌های اطلاعاتی مربوط به کاربران را به‌دست آورده و با حدس زدن اسم رمز وارد سیستم گردند. به‌ وسیله‌ی ابزارهاییی که در سیستم‌عامل Unix/Linux وجود دارد می‌توان درگاه‌های باز را پیدا نموده و تمهیدات لازم را انجام داد. یکی از این فرمان‌ها nmap است که با اجرای این فرمان و قرار دادن optionهای لازم و وارد نمودن آدرس IP، درگاه‌های کامپیوتر مورد نظر را پیدا نموده و فعالیت‌‌های اخلال گونه را انجام داد. راهبر سیستم با اجرای فرمان netstat –atuv می‌تواند سرویس‌هایی که در حال اجرا هستند را مشخص نموده و به‌ وسیله انواع روش‌هایی که وجود دارد سرویس را غیر فعال نماید و شاید یک روش مناسب پاک کردن برنامه های سرویس دهنده و یا تغییر مجوز آن به ۰۰۰(به‌وسیله فرمان chmod) باشد. در هرحال می‌توان با فرمان chkconfig اجرای بعضی از سرویس‌ها را در زمان بالا آمدن سیستم متوقف نمود. به‌ عنوان مثال با فرمان chkconfigg –del portmap می‌توان سرویس portmap را غیرفعال نمود.

۳- استفاده از نرم‌افزارهای قدیمی

توصیه می‌شود که از نرم‌افزارهایی که نسخه‌های جدید آن به دلیل وجود اشکالات امنیتی در نسخه‌های قدیمی روانه بازار شده است، استفاده شود و گناهی بس نابخشودنی است که راهبر سیستم با استفاده از نرم‌افزارهای قدیمی راه را برای سوء‌استفاده کننده‌گان باز بگذارد.
به عنوان مثال فرمان ls دارای مشکلی بوده که با قرار دادن آرگومانی خاص می‌توان سرریز بافر به‌ وجود آورده و کنترل سیستم را به‌دست گرفت. شاید در ماه گذشته بود که مجموعه نرم‌افزار مربوط به نمایش اسامی فایل‌ها و شاخه‌ها(ls , lx , lr ,….) در سایت‌های مهم قرار داده شد تا استفاده کننده‌گان لینوکس آن را بر روی سیستم خود نصب نمایند.

۴- استفاده ازبرنامه‌های ناامن و یا پیکربندی شده به ‌صورت نادرست

به‌ دلیل مسائل خاصی بعضی از سیستم‌ها نیاز به مجوزهای خاص داشته و اعمال مجوزها می‌تواند مسائل غیرقابل پیش‌بینی را به‌وجود آورد و ضمناً با پیکربندی نامناسب نرم‌افزار، راه برای سوءاستفاده کنند‌گان باز خواهد شد.
به‌ عنوان مثال نرم‌افزارهایی وجود دارد که برای اجرا شدن، مجوز s (Set UserID) را لازم داشته و این مجوز در حالتی که صاحب فایل اجرایی root باشد، بسیار خطرناک است. فرمانی که این اجازه را دارد با اجرای فراخوان‌های سیستم(System call) مانندsetid تغییر مالکیت داده و قدرتroot را کسب می‌نماید و راهبر سیستم می‌بایست تاوان این گناه نابخشودنی را نیز بدهد.
به عنوان مثال استفاده از FTP و telnet که اطلاعات را عیناً بر روی شبکه منتقل می‌نمایند، می‌تواند نگرانی‌هایی را برای مسئول سایت به‌ وجود آورده و شاید راه‌اندازیsshd(secure shell daemon) بتواند کمی از گناهان مسئول سیستم بکاهد و در مورد پیکربندی نادرست فایل‌ها بتوان نامی از فایل .rhosts برد که مجوز نادرست می‌تواند باعث لو رفتن اسم رمز گردد. بد نیست به‌ وسیله فرمان find اسامی فایل‌هایی که مجوز s را داشته کنترل نموده تا خدای ناکرده برنامه اجرایی با مجوز s در سیستم اضافه نگردد.
ضمناً مسئول سیستم در اجرای دستور mount نیز می‌بایست دقت فراوان داشته باشد تا برنامه‌هایی که مجوز s بر روی سی‌دی و فلاپی وجود دارد، اجرا نگردد.

۵- ناکافی بودن منابع و یا اختصاص دادن ارجحیت نامناسب

کم نمودن هزینه‌های مربوط به امنیت و عدم آموزش‌های لازم و تهیه ننمودن نرم‌افزارهای بازدارنده می‌تواند تعدادی مسائل غیرقابل پیش‌بینی به وجود آورد. مخصوصاً جابجایی اولویت‌های هزیه نمودن اعتبارات می‌تواند امنیت سیستم را خدشته‌دار نماید. لازم به یادآوری است که این مطلب فنی نبوده و مدیریتی می‌باشد ولی راهبر سیستم می‌بایست مرتباً نکات لازم را در این زمینه به مقامات مسئول گوشزد نماید تا مدیریت ارشد سازمان بیش از بیش به اهمیتِ امنیت پی برده و هزینه‌های لازم را تامین نمایند. عدم اطلاع رسانی مسؤول سایت دراین زمینه به مدیریت‌های مافوق که احتمالاً در این زمینه نیز تخصصی ندارند، گناهی نابخشودنی است.

۶- نگهداری UserIDهای قدیمی و غیرلازم و تهیه شناسه‌های عمومی

نگهداری UserIDهای قدیمی و شناسه‌هایی مانند TEST می‌تواند معضلات زیادی را به وجود آورده و امکان سوء استفاده را بالا برد. تهیه‌ی شناسه‌های عمومی نیز به دلیل نامشخص بودن هویت اصلی کاربر می‌تواند مشکل‌زا باشد.
مسؤول سایت می‌بایست رویه‌ای را برای کشف UserID های غیر فعال اتخاذ نماید و به‌ وسیله‌ی هر روشی که صلاح می‌داند پس از تهیه فایل پشتیبان لازم، UserIDهای غیرفعال را در مقاطع معینی متوقف نماید و شاید یکی از بهترین روش‌ها برای این کار عوض نمودن اسم رمز باشد. به عنوان مثال به وسیله دستور زیر می‌توان UserID با نام someone را غیر فعال نمود:

chmod 000 /home/someone

تولید UserID های عمومی مانند test و guest و غیره که مورد علاقه بسیاری از مهاجمین است، یکی از گناهان غیرقابل بخشش راهبر سیستم می‌باشد.

۷- به تعویق انداختن فعالیت‌های مهم در زمینه ایجاد امنیت

با کم اهمیت دادن مسائل حفاظتی از جمله عدم نصب ترمیم‌ها(Patch) و عدم تهیه فایل‌های پشتیبان، می‌توان گفت که مسئول سیستم تیر خلاص را به کامپیوتر تحت الحفظ خود شلیک نموده است و چنان گناهکار خواهد بود که بخشش جایز نمی‌باشد.

۱- روی BIOS سیستم خود پسورد بگذارید. ابتدا کامپیوتر خود را ری استارت کنید، هنگام راه اندازی مجدد سیستم دکمه Del را فشار دهید تا به محیط  تنظیمات بایوس وارد شوید. در این قسمت دو گزینه برای گذاشتن پسورد وجود دارد:

Set supervisor password: با انتخاب این گزینه فقط محیط بایوس شما رمزدار می شود.

Set user password: با انتخاب این گزینه، هنگامی که کامپیوتر راه اندازی می شود کاربر موظف است رمز عبور را وارد کند.
۲- گزینه First Boot را روی Hard disk  قرار دهید تا همواره سیستم با دیسک سخت بوت شود.
۳- در Screen server دستگاه، گزینه Password protect را فعال کنید تا وقتی پای دستگاه نیستید، دیگرانبه راحتی به اطلاعات شما دسترسی نداشته باشند.
۴- همیشه سیستم عامل خود را به روز نگه دارید. برای داشتن یک سیستم سالم، به کمک سرویس پک ها و هات فیکس از سوءاستفاده هکرها و کدهای مخرب جلوگیری کنید.
۵- برای روشن کردن به روزرسانی خودکار مراحل زیر را بپیمایید:

Start -» control panel -» security center

پس از کلیک بر روی Security center روی Automatic updates کلیک کنید و تنظیمات روز و ساعت آن را انجام دهید.
۶- سعی کنید روش پیکربندی (فرمت) تمامی درایوها NTFS باشد. برای آنکه تمامی درایوهای شما NTFS شود بدون آنکه به محتویات درایو شما آسیبی برسد، دستور زیر را رادر خط فرمان ویندوز خود وارد کنید:

Convert  [نام درایو] :  /FS:NTFS

7- کاربر Guest و بقیه کاربران غیرلازم را غیرفعال کنید. برای این کار، بر My computer راست کلیک و سپس Manage را انتخاب کنید حال در کنسول Computer management در قسمت Local User and Group در قسمت Users روی کاربر Guest و بقیه کاربران غیرلازم با دابل کلیک، تیک Account is disable را بزنید. در ضمن برای همه اکانت ها (به ویژه Administrator) یک رمز عبور مناسب انتخاب کنید.
۸- Remote Desktop سیستم را به این صورت غیرفعال کنید:

Start -» Control panel -» system -» remote -» remote desktop

سپس مطمئن شوید گزینه  Allow users to connect remotely to this computer غیرفعال باشد.
۹- Simple file sharing را غیرفعال کنید. برای انجام این کار، در Folder option، زبانه View از قسمت Advanced setting تیک Use simple file sharing را بردارید.
۱۰- سرویس های زیر را غیرفعال کنید (در RUN عبارت services.msc را بزنید):

Telnet
IIS
Remote registry
Remote desktop help session manager
Universal Plug and Play Device Host
Routing and remote access
SSDP Discovery Service
Netmeeting remote desktop sharing

11- تنظیمات پاک کردن Page file در هنگام Shutdown

این تنظیمات در Group policy ویندوز صورت می گیرد.

برای ورود به group policy دستور gpedit.msc را در run تایپ کنید و در صفحه باز شده مسیر زیر را طی کنید:

Computer configuration -» windows setting -»
security setting -» local policies -» security option
و گزینه   shut down : clear virtual memory page fileرا غیرفعال کنید.
۱۲- Dump file را ازمسیر زیر غیرفعال کنید:

Control panel -» system -» advanced -» startup and recovery -» setting

حال در بخش Write debugging information پارامتر مربوط به None را تغییر دهید

یک dump file می تواند به عنوان یک ابزار رفع اشکال به ما یاری رساند، مخصوصا وقتی که یک سیستم دچار مشکل شود و یا پیام معروف  “Blue screen of death” رخ بدهد. ولی همین dump fileها می توانند کمک خوبی برای هکرها باشند.
۱۳- قابلیت Auto run را برای CD غیرفعال کنید. یکی از راه های دسترسی فیزیکی هکرها به کامپیوتر از طریق انتشار کدهای مخرب به کمک سی دی است.

RUN -» gpedit.msc -» administrative templates -» system -» Turn of auto play

14- Default shareها را غیرفعال کنید. ویندوز در حالت پیش فرض درایوهای خود را به صورت مخفی به اشتراک گذاشته است، برای غیرفعال کردن آن مراحل زیر را طی کنید:

RUN -» regedit -» HKEY_LOCAL_MACHINE -» System -» CurrentControlSet -» Services -» Lanmanserver -» parameters

آموزش شبکه LAN

Lan چیست؟
شبکه چیست ؟
شبکه مجموعه ای از سرویس دهنده ها و سرویس گیرنده های متعددی می باشد که به یکدیگر متصل هستند.
در این بین سرویس دهنده ها (server) نقش سرویس دهنده و خدمات دهی وسرویس گیرنده ها (Client) نقش سرویس گیرنده یا همان مشتری را بازی می کنند.

انواع شبکه : شبکه ها را می توان به دو دسته ی «شبکه های محلی » LAN و شبکه های بزرگ تر از آن (WAN) تقسیم کرد.

شبکه های محلی : Local Area Network این نوع شبکه ها به شبکه های( (LAN) معروف هستند. شبکه های محلی معمولا میزبان ۲ تا ۲۰کامپیوتر و در غالب Work Group میباشند. سرعت این نوع شبکه بسیار زیاد است (معمولا ۱۰۰MB Per Sec) و می توان حجم داده های بالا را در مدت بسیار کم انتقال داد.

شبکه های گسترده : Wide Area Network این نوع شبکه ها به شبکه های WAN معروف هستند.

این شبکه ها بزرگتر از شبکه های LAN و اغلب برای امور عمومی از آن استفاده می شود. ازجمله این شبکه ها میتوان شبکه های VAN و یا شبکه های بزرگتر مانند Internet و.. را نام برد. سرعت انتقال داده ها در این نوع شبکه ها نسبت به LAN (در ایران) بسیار ناچیز میباشد. این سرعت به خاطر استفاده از خطوط ۵۶K است. البته می توان با استفاده از خطوط DSL یا ISDN و یا بی سیم Wire Less سرعت این ارتباط را به اندازه ۱۲۸K ,256 k , 512 kیا بالاتر افزایش داد. Internet Protocol: IP IP یک عدد ۳۲ بیتی (bit) است که پس از اتصال به شبکه (… , Internet , LAN) به ما متعلق می گیرد.
شکل کلی IP را می توان به صورت http://www.xxx.yyy.zzz در نظر گرفت که با هر بار اتصال به اینترنت به صورت Dial Up این عدد تغییر می کند.
به عنوان مثال در حال حاضر IP ما ۲۱۳٫۱۵۵٫۵۵٫۱۰۴ است اما در اتصال بعدی ممکن است این عدد به ۲۱۳٫۱۵۵٫۵۵٫۲۰ تغییر کند.

IP چه کاربردی دارد؟
IP به عنوان یک شناسنامه در شبکه است و کاربردهای بسیاری دارد .برای توصیف کامل IP نیاز به شرح TCP/IP است که بعدا به آن اشاره خواهیم کرد. همان طور که در جامعه شناسنامه وسیله ای برای احراز هویت ماست و بدون آن جزو آن جامعه محسوب نمی شویم ، IP نیز وسیله ای برای شناسایی ما در شبکه است و امکان اتصال به شبکه بدون آن وجود ندارد. به طور مثال هنگامی که در شبکه مشغول چت (Chat) هستیم ، کامپیوتر شما دارای یک IP می باشد. و جملاتی را که شما تایپ می کنید به وسیله مسیر یابها (Router ) مسیر یابی (Routing) شده و به کامپیوتر شخص مقابل میرسند و متنی را هم که شخص مقابل تایپ میکند روی IP شما فرستاده می شود.
خط فرمان در ویندوز چیست؟ خط فرمان یا همان ”Command Prompt” در ویندوز نوعی شبیه ساز سیستم عامل Dos در ویندوز است که فایلهای اجرایی ”exe,com” در آن اجرا می شود. خط فرمان ویندوز دستورات بسیار زیاد و کاربردی دارد که به مرور زمان انها را خواهیم آموخت.

دسترسی به خط فرمان در ویندوز: دسترسی به خط فرمان به دو روش میسر است. روش اول : روی Start Menu کلیک کرده و گزینه Run را انتخاب می کنیم . سپس در پنجره ظاهر شده اگر ویندوز شما ۹۸/ME باشد عبارت ”Command” و اگر ۲۰۰۰/۲۰۰۳/XP باشد عبارت ”CMD” را تایپ می کنیم هم اکنون محیط Command Prompt در جلوی شما قرار دارد! روش دوم : با طی کردن مسیر Start> Programs>Accessories و کلیک کردن برروی Command Prompt این محیط برای شما باز میشود. ادامه مبحث IP : چگونه IPخود را بدست آوریم :
برای بدست آوردن IP خود در سیستم عامل ویندوز کافی است همان طور که در بالا توضیح داده شد به محیط Command Prompt رفته و عبارت ” IPCONFIG ” را تایپ کنیم.
به طور مثال پس از اجرای دستور به نتایج زیر می رسید :
Windows IP Configuration 0 Ethernet adapter :
IP Address. . . . . . . . . : 213.155.55.232
Subnet Mask . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . : 213.155.55.232

فعلا تنها به سطر IP Address که با رنگ قرمز مشخص شده است توجه کنید (Default Gateway و Subnet Mask) بعدا برسی خواهد شد. ملاحظه میکنید که IP ما۲۱۳٫۱۵۵٫۵۵٫۲۳۲ است. آدرسهای IP به چند دسته تقسیم می شوند؟
آدرسهای IP به پنج کلاس A,B,C,D,E تقسیم می شوند. از بین این کلاسها تنها کلاسهای A,B,C کاربرد دارند که به شرح آنها می پردازیم .

کلاس A : تمام IP هایی که www آنها (در درس قبل شکل کلی IP را به صورت http://www.xxx.yyy.zzz معرفی کردیم) بین ۱ تا ۱۲۶ است ، جزو کلاس A محسوب می شوند. به عنوان مثال : ۱۱۲٫۱۰٫۵۷٫۱۳ یک IP کلاس A است. این کلاس ویژه پایگاهای بزرگ اینترنتی است.

کلاس B : تمام IP هایی که WWW آنها بین ۱۲۸ تا ۱۹۱ می باشد را شامل می شود. مانند IP ی ۱۷۲٫۱۵۵٫۵۵٫۷۳ که جزو کلاس B است.

کلاس C : این کلاس تمام IP هایی که WWW آنها بین ۱۹۲ تا ۲۲۳ است را شامل می شود: مانند ۲۱۳٫۱۳۳٫۵۲٫۱۳۸ که جزو کلاس C محصوب می شود. تحلیل IP : همان طور که گفته شد IP یک عدد ۳۲ بیتی است. هم اکنون این گفته را کاملتر شرح داده و مطلب را بازتر می کنیم/ درک این قسمت از مطلب نیازمند دانستن مفاهیم Bit و Byte است .

این در حقیقت واحدهای اندازه گیری حافظه کامپیوتر هستند که در پایین آنها را شرح می دهیم :
BIT :به کوچکترین واحد اندازه گیری حافظه کامپیوتری می گویند. Byte : به مجموع ۸ بیت ، یک بایت می گویند. بنابر این نتیجه می گیریم ۳۲ بیت همان ۴ بایت در مبنای اعشاری (مبنای ۱۰ ) است و برای این که کامپیوتر اعداد را در مبنای ۲ در نظر می گیرد آن را به صورت Binary (مبنای ۲ ) می نویسیم. برای اینکه این مفاهیم را بهتر متوجه شوید آنها را در جدول برسی می کنیم.
IP از چند قسمت تشکیل شده است؟
IP از دو قسمت Net ID و Host ID تشکیل شده است و مقادیر بیت ها در این دو قسمت در کلاسهای مختلف IP متفاوت است. Net ID در واقع شناسه شبکه و Host ID شناسه میزبان در IP است.

بررسی Net ID در کلاساهی مختلف: Net ID در کلاس A به صورت http://www.0.0.0 یعنی تنها www را شامل می شود.
در کلاس B به صورت : http://www.xxx.0.0 است یعنی http://www.xxx در واقع Net Id می باشد. و در کلاس C به صورت : http://www.xxx.yyy.0 است یعنی NetID .. این رودیگه باید فهمیده باشید چیه

کلاس A : در کلاس A : Net ID هشت بیت است و Host ID آن ۲۴ بیت که مجموعا ۳۲ بیت می شود. این کلاس می تواند ۱۶٫۷۷۷٫۱۴ میزبان (Host) داشته باشد یعنی ۱۶٫۷۷۷٫۱۴ IP که زیر مجموعه آن قرار می گیرند. به عنوان مثال http://www.44.4.13 که ۴۴٫۴٫۱۳ یکی از میزبان ها (Host) می باشد.

کلاس B : در کلاس B : NetID از هشت بیت به شانزده بیت افزایش می یابد و فضا را برای host ID کمتر می کند، به همین دلیل IP های زیر مجموعه آن به ۵۶٫۵۳۴ کاهش می یابد. به عنوان مثال IP : http://www.xxx.55.137 که ۵۵٫۱۳۷ یکی از میزبانهاست .

کلاس C : NetID باز هم بزرگتر شده و از ۱۶ بیت در کلاس B به بیست و چهار افزایش می یابد و Host ID به کوچکترین مقدار خود یعنی هشت بیت می رسد. این کلاس تنها ۲۴۲ IP را پشتیبانی می کند. به عنوان مثال http://www.xxx.yyy.93 که در آن ۹۳ یکی از میزبانهاست.

نکات مهم درس :
۱- سعی کنید بیشتر در محیط Command Prompt کار کنید تا به آن عادت کرده و دست خود را در اجرای دستورات سریع تر کنید. سرعت در اجرای دستورات هنگام Hack کردن بخصوص Client بسیار مهم است.
۲- با کمی دقت حتما متوجه می شوید که IP ای که www آن ۱۲۷ باشد در هیچ یک از کلاسهای مطرح شده وجود ندارد. در حقیقت IP ی ۱۲۷٫۰٫۰٫۱ از قبل برای کامپیوتر خودمان رزرو شده و به آن Local Host می گویند.
۳- هنگامی که به صورت Dial Up به اینترنت متصل می شوید معمولا IP کلاس C به شما تعلق می گیرد. ۴- توصیه و پیشنهاد برای استفاده از Command Line ویندوز ۲۰۰۰ یا XP است.

اموزش شبکه کردن دو کامپیوتر

با آمدن رایانه های جدید افراد بسیاری تمایل به خرید آنها پیدا می کنند پس از خرید یک رایانه جدید و سریعتر مدل قدیمی رایانه در گوشه ای انداخته میشود .بعضی از اشخاص از رایانه های لپ تاپ استفاده می کنند و می خواهند آن را با رایانه شخصی شبکه کنند .وصل کردن دو رایانه به هم از ساده ترین مباحث شبکه به حساب می آید .پس از ساخت شبکه علاوه بر امکان انتقال اطلاعات از این طریق شما می توانید از یک امکان لذت بخش دیگر نیز استفاده کنید . با شبکه شدن دو رایانه شما می توانید بازیهای مختلفی را تحت شبکه خانگی خودتان بازی کنید و از آن لذت ببرید .برای شبکه کردن دو رایانه شما احتیاج به سخت افزار شبکه روی هر دو سیستم و به مقدار لازم کابل شبکه دارید.بساری از مادربورد های جدید خودشان دارای پورت شبکه هستند .اما اگر مادربورد شما دارای سخت افزار شبکه نیست باید کارت شبکه را برای هر دو سیستم تهیه کنید انواع معمولی کارت های شبکه قیمت های بسیار مناسبی دارند و …
در تمام فروشگاهها نیز پیدا می شوند .به جز کارت شبکه شما باید به اندازه فاصله دو رایانه کابل شبکه خریداری کنید در موقع خرید اری کابل شبکه باید حتما به فروشنده گوشزد کنید که کابل را برای اتصال تنها دو رایانه می خواهید. این مساله باعث می شود که فروشنده برای نصب فیشهای دو سر کابل رشته های آن را به نحو خاصی که مخصوص اتصال دو رایانه است دو رایانه است مرتب کند .
حتما می دانید برای شبکه کردن بیش از دو رایانه احتیاج به سخت افزارهای دیگری مثل سیستم ارتباط مرکزی یا هاب HUB نیاز می باشد .نحوه چیده شدن رشته های کابل شبکه برای اتصال به HUB و شبکه کردن بیش از دو رایانه متفاوت می باشد.
پس از خرید این وسایل حالا باید شما کارتهای شبکه را روی سیستم ها نصب کنید این کارتها معمولا با استفاده از درایورهای خودشان به راحتی نصب می شوند بعد از نصب کارت های شبکه در قسمت Network Connections ویندوز شما گزینه ای با عنوان Local Area Connections اضافه می شود حالا کابل را به کارت های شبکه دو رایانه وصل کنید و هر دو رایانه را تحت ویندوز XP روشن نمایید .در این مرحله برای درست کردن شبکه روی گزینه MY Computer هر دو رایانه کلیک راست کرده و گزینه Properties را انتخاب نمایید. حالا به قسمت Computer Name بروید هر دو رایانه باید دارای Workgroup یکسانی باشند .برای یکسان کردن آنها روی گزینه Change کلیک کرده و سپس اسمی را برای Workgroup هر دو رایانه وارد نمایید.حتما دقت نمایید که Computer Name های هر دو رایانه باید متفاوت باشد .
حالا روی هر دو رایانه به قسمت Network Connections بروید و روی Local Area Connections کلیک کنید و Properties را انتخاب کنید و در پنجره باز شده دنبال خطی با عنوان Protocol TCP/internet بگردید این خط را انتخاب نموده و روی گزینه Properties کلیک نمایید
معمولاگزینه Obtain Automatically an ip Address به عنوان پیش فرض انتخاب شده است .شما گزینه Use The Following ip Address را انتخاب کنید ، در قسمت ip Address یکی از رایانه IP را ۱۹۲٫۱۶۸٫۰٫۱ و در رایانه دیگر ۱۹۲٫۱۶۸٫۰٫۲ وارد نموده ، در قسمت Subnet Mask هر دو رایانه این مقدار را وارد نمایید : ۲۵۵٫۲۵۵٫۲۵۵٫۰
حالا دیگر کار شبکه شدن رایانه ها تمام شده است هر دو رایانه را برای اطمینان مجددا راه اندازی کنید .
به یاد داشته باشید که درایو ها و پوشه هایی را که می خواهید در هر رایانه روی شبکه قرار بگیرد را باید Share کنید برای این کار :
روی درایو ها و پوشه ها کلیک راست کرده و گزینه Properties را انتخاب کنید در قسمت Sharing این پنجره شما باید گزینه share this folder را انتخاب کنید .

http://www.afraweb.net/themes/afraweb/_images_/DATACENTR.jpg

http://afraweb.net/dc1.jpg

http://afraweb.net/dc2.JPG

چرا این دیتا سنتر :
۱- شبکه بسیار قوی
۲-تضمین اپ تایم ۱۰۰ درصد
۳- پورت اختصاصی ۱۰۰
۴-پشتیبانی ۲۴ ساعته
۵- استفاده از قطعات سخت افزاری بسیار قدرتمند در سرور ها
۶-عدم تحریم و مسائل مرتبط
۷- سرور های فول منیج

چرا نمایندگی رسمی :
۱-خرید از شرکتی معتبر و ثبت شده
۲- پرداخت هزینه سرور به تومان و به حساب شرکت
۳- استفاده از تخفیف های ویزه دیتا سنتر برای نمایندگان فروش
۴- استفاده از ترافیک بالا که توسط دیتا سنتر به مشتریان نماینده ارائه می شود
۵- ارائه سرور های منیج شده که به مشتریان نماینده فروش ارائه می شود
خرسند هستیم که توانسته ایم در بازار های جهانی نقش مهمی را ایفا نماییم و توانسته ایم سرور های با کیفیت و مطمعن با امنیت بسیار بالا را به هموطنان خود ارائه نماییم .

لینک اپ تایم دیتا سنتر

http://www.webhostingstuff.com/uptime/Netelligent.html

MAKE THE “NET”ELLIGENT CHOICE :

In choosing Netelligent for your hosting services you make the best choice for several reasons: 24/7/365 professional support with the only goal to satisfy our customers at 100% on top of a personalized service. Your data is always safe no matter the day, time or external condition of the data center. Our BGP network provides you and your customers the best online presence with no interruptions. Our certified technicians, reaction time and a top of the line service make Netelligent a undeniable leader in the international hosting industry.

NETELLIGENT NETWORK:

We run our own redundant BGP network with only premium providers such as Teleglobe, NLayer, Tiscali, Videotron and Level3. We have 3 pops 625 Rene-Levesque, 3000 Rene-Levesque and 1250 Rene-Levesque fully redundant in case of failure. Our core network is 100% CISCO with Juniper routers to ensure the best possible network environment.

NETELLIGENT DATA CENTER:

Netelligent data center space is located in the city of Montreal in Canada. We have 3 locations all in downtown Montreal. The most recent is in the IBM tower a world class data center facility. There is over 44,000 square feet of data center space, here is what you should know about our infrastructure:

- We have multiple power and cooling distribution path with only one active and includes redundant components (N+1)
- Raised floor and sufficient and distribution to carry load on one path
- UPS, Generator, secondary generator
- Redundant power sources (A+B)
- BGP network with five tier1 providers in different sections to avoid downtime
- Water cooled air conditioning and fire suppression
- Secured place monitored 24/7/365 by closed circuit camera; security guards surveillance is also 24/7/365 on top of our mantrap, biometric and magnetic card key access

]]> http://afraweb.net/blog/?feed=rss2&p=26 0 http://afraweb.net/blog/?p=16 http://afraweb.net/blog/?p=16#comments Tue, 25 May 2010 13:48:22 +0000 admin http://afraweb.net/blog/?p=16 برای نصب دایرکت ادمین بر روی سرور های لینوکس مراحل زیر را طی میکنیم

۱-ابتدا پکیج ها رو نصب و آپدیت میکنیم:

yum update -y
yum install gcc-c++ gcc automake -y

2- با دستور های زیر به ترتیپ شروع به نصب دایرکت ادمین میکنیم:

wget http://www.directadmin.com/setup.sh

chmod 755 setup.sh

setup.sh./

توجه نمایید در طی مراحل نصب یک سری اطلاعات را باید وارد نمایید بطور مثال اطلاعات لایسنس دایرکت ادمین و همچنین ای پی اصلی و nameserver را باید وارد نمایید  برای نیم سرور پیشنهاد میشه از این  نمونه استفاده نمایید   server.yourdomain.com  نصب دایرکت ادمین زمانی در حدود ۲۰ تا ۳۰ دقیقه را نیاز دارد که این زمان بستگی به پورت سرور شما نیز دارد در پایان نصب پیغام نصب موفقیت را مشاهدهم ینمایید که از این طریق میتوانید وارد پنل دایرکت ادمین خود شوید

http://ipserver:222

همچنین پس از نصب دستورات زیر را اعمال نمایید

/etc/init.d/httpd restart
/etc/init.d/proftpd restart
/etc/init.d/exim restart
/etc/init.d/dovecot restart