تنظیمات IPSecurity کاملا کاربردی (قسمت اول)

IPSec  Internet Protocol Security (IPSec) ver 4

 از اين سرويس براي حفاظت كردن Network Traffic  از حمله افراد مزاحم و هكرها استفاده مي شود اين سرويس در لايه 3 شبكه فعال مي باشد

 توسط اين روش يك IP Packet را مي توان به دو روش كه در شكل  مشاهده مي كنيد Encrypt ويا Sign كرد

 در روش AH كه در زير مشاهده مي كنيد يك Packet  به طور كامل Sign مي شود يعني كل

 آن به صورت Unmodify يا غيره قابل تغيير مي شود

 در اين روش يك Packet را مي توان خواند ولي تغيير نمي توان داد در روش دوم ESP  يك Packet را

 سيستم بوسيله يك سري الگوريتم كد مي كند كه با

 اين الگوريتم ها آشنا خواهيد شد فرق اين روش با روش AH در اين هست كه در روش دوم سيستم كاري با  IP Header  ندارد

 البته شما مي توانيد از هر دو روش نيز در يك لحظه براي شبكه استفاده كنيد

 كه بهترين راه نيز همين مي باشد و امنيت شبكه  بسيار بالا مي رود

IPSec security protocols

 قبل از شروع بايد دو Protocol مهم كه اين سرويس از آنها براي محافظت از Packet هاي IP استفاده مي كند را معرفي كرد AH and ESP

Authentication Header (AH)

اين روش براي محافظت از يك Packet مي باشد كه هم از قسمت Header و هم بقيه قسمتهاي يك

 packet محافظت مي كند به اين ترتيب كه كل آن Packet را Sign مي كند يعني غيره قابل تغيير

در اين روش مي توان يك Packet را Read  كرد ولي امكان Write را نداريم چون در حالت

unmodify مي باشد لازم بذكر هست كه براي تغييردادن مسيريك Packet بايدHeader آن را تغيير

داد وچون اين روش از اين كار جلوگيري مي كند يعني اجازه Write  شدن به Header را نمي دهد

امكان داردايجاد مشكل كند اين مشكل درRouter ها به چشم مي آيد چون كار يكRouter تغير دادن

مسيرمقصد  يك Packet مي باشد كه براي اين كار بايد Header يك Packet را دستكاري كند  Authentication Header (AH)

 براي رفع اين مشكل Router  ها راه حلي پيدا كرده اند سرويسي به نام ICV وجود دارد كه تغييرات  Packet در بين مسير  را Check

مي كند كه تغييري نكند فيلدهايي كه در داخل Header  توسط Router  تغيير مي كند براي اين سرويس ارزش صفر دارند بنابراين AH دچار مشكل با Router ها

نمي شود

Encapsulating Security Payload (ESP)

اين سرويس براي كد كردن يك Packet  استفاده مي شود منظور از كد كردن همان Encrypt

 كردن آن مي باشداين كدكردن توسط يك سري الگوريتم هاي رياضي مي باشدكه MD5 and 3DES

از معروف ترين اين الگوريتم ها مي باشند البته مانند شكل كه مشاهده مي كنيد اين نوع قسمتي از 

 Packet را Sign مي كند البته زماني كه يك Packet در حالت Tunnel ساخته شود و فرستاده

شود اين قسمت ازPacket توسط اين Protocol به صورت Sign مي شود همان طور كه در شكل

مي بينيد اين روش به IP Header كاري ندارد  

Ethereal

    Ethereal ابزاری کد-باز و رایگان است، که آن‌را می‌توان در دسته‌ی Snifferها جای داد. این نرم‌افزار با توجه به ویژگی‌هایش، یکی از متداول‌ترین ابزارهای آنالیز ترافیک شبکه است، کهتغییر نام داده و با نام wireshark

 در دسترس می باشد

  این نرم‌افزار نیز مانند WinDump، پس از نصب، از کتابخانه‌ی Winpcap برای دریافت اطلاعات بسته‌ها استفاده می‌کند، لذا پیش از نصب Ethereal، آخرین نسخه‌ی نرم‌افزار Winpcap را نصب کنید. همان‌طور که گفته شد این بسته امکان دریافت بسته‌ها و استخراج اطلاعات از آن‌ها را، تحت سیستم‌عامل Windows، فراهم می‌کند.

    اگر برای اولین بار است که قصد نصب و کار با این دسته از نرم‌افزارها (Snifferها) را دارید، پیش‌نهاد می‌کنیم ابتدا قسمت اول مقاله‌ی مربوط به WinDump را، که به مقدمه‌یی در باب Snifferها پرداخته است، مطالعه کنید.

    Ethereal، به عنوان نمونه‌یی از یک Sniffer، وظیفه‌ی ثبت رخدادها، اطلاعات و بسته‌های رد و بدل شده بر روی لایه‌ها‌ی شبکه را بر عهده دارد. با ثبت داده‌های در حال انتقال بر روی شبکه و تجزیه‌ی آنها، می‌توان بسته‌های اطلاعاتی مربوط به پروتکل‌های متفاوت را از یکدیگر تفکیک نمود و ارتباطات مجزا را شناسایی نمود. همان‌گونه که در معرفی این دسته از نرم‌افزارها گفته شد، این قبیل تحلیل‌ها، می‌توانند به شناسایی ارتباطات خطرناک، تلاش‌های پیاپی برای دست‌یابی به منابع شبکه و نفوذ به آن و یا از کار انداختن نرم‌افزارها و سخت‌افزارها فعال بر روی شبکه، بیانجامد. با این وجود از آنجاکه خروجی این‌ دسته از نرم‌افزارها به حدی پیچیده‌اند که کاربران عادی قادر به تحلیل آنها نیستند، لذا این‌گونه نتیجه‌گیری‌ها و تحلیل‌ها عموماً توسط متخصصین شبکه انجام می‌پذیرد.

VLan چیست؟

VLAN
با رشد شبكه ها از نظر اندازه و پيچيدگي ، بيشتر شركت ها به سمت شبكه هاي محلي مجازي
گرايش يافته اند. اساساً يك شبكه مجازي مجموعه اي VLANS يا Virtual local Area Network
و همچنين نحوه broadcast قرار دارند. قبلاً در مورد Broadcast Domain است از نودهايي كه در يك
ها مطالبي گفته شد . broadcast ممانعت روترها از عبور
آشنا مي شويم: VLAN در اين قسمت با دلايل استفاده از
سيستم هايي كه داراي اطلاعات حساس بوده از ساير قسمت هاي شبكه جدا مي شوند كه اين : Security
پارامتر باعث مي شود تا از احتمال دسترسي مردم به اطلاعاتي كه مجاز به ديدن آنها نيستند، مي كاهد.

پيکربندی DHCP با رعايت مسائل ايمنی

پيکربندی DHCP با رعايت مسائل ايمنی
در اين مقاله قصد داريم به بررسی نحوه پيکربندی سرويس دهنده و سرويس گيرندگانDynamic Host Configuration Protocol ) DHCP  ) ، با رعايت مسائل امنيتی پرداخته و با نحوه تنظيم پارامترهای ذيربط ، آشنا شويم . در ابتدا لازم است با جايگاه سرويس دهنده DHCP در يک شبکه بيشتر آشنا شويم .

مقدمه
تمامی پروتکل های شبکه به هر يک از کامپيوترهای موجود در شبکه، يک مشخصه (آدرس ) منحصر بفرد را نسبت می دهند پروتکل IPX ، آدرس فوق را  بصورت اتوماتيک و توسط ايستگاه کاری نسبت و منحصر بفرد بودن آن تضمين خواهد شد. پروتکل NetBEUI از يک نام NetBIOS شانزده بيتی استفاده می نمايد . پروتکل TCP/IP از يک آدرس IP ، استفاده می نمايد. در نسخه های اوليه پياده سازی شده TCP/IP ، از پروتکل فوق بمنظور اتصال تعداد اندکی از کامپيوترها استفاده می گرديد  و ضرورتی  به وجود يک مرکز متمرکز بمنظور اختصاص  اطلاعات آدرس دهی IP ، احساس نمی گرديد. بمنظور حل مشکل مديريت صدها و يا هزاران آدرس IP در يک سازمان ، DHCP پياده سازی گرديد. هدف سرويس فوق ، اختصاص آدرس های IP بصورت پويا و  در زمان اتصال يک کامپيوتربه شبکه است .
با وجود يک سرويس دهنده DHCP در شبکه ، کاربران شبکه قادر به اخذ اطلاعات مربوط به آدرس دهی IP می باشند . وضعيت فوق ، برای کاربرانی که دارای يک Laptop بوده و تمايل به اتصال به شبکه های متعدد را داشته باشند ، ملموس تر خواهد بود چراکه با برای ورود به هر يک از شبکه ها و استفاده از منابع موجود ، ضرورتی به انجام تنظيماتی خاص در رابطه با آدرس دهی IP وجود نخواهد داشت  . سرويس دهنده DHCP ،  علاوه براختصاص اطلاعات پايه IP نظير : يک آدرس IP و Subnet mask ، قادر به ارائه ساير اطلاعات مربوط به پيکربندی پروتکل TCP/IP برای سرويس گيرندگان نيز می باشد . آدرس Gateway پيش فرض ، سرويس دهنده DNS  ، نمونه هائی در اين زمينه می باشند.

Network Load Balancing Overview

Network Load Balancing Overview

کار این سرویس توضیع کردن Connection های  Client ها بین دو یا چندین سرور یکسان می باشد .Client Request های که از LAN برای  گرفتن یک سرویس ارسال می شود

به سوی سرور ها  توسط این سرویس می توان مدیریت و کنترل کرد و ....

هر سروری که  عضو یک Cluster باشد در واقع Host آن Cluster نامیده می شود .در هر Cluster می توان تا HOST 32  عضو داشت .

Figure 1 NLB Networks

Web Server ها  که دارای Request های بسیار زیاد می باشند توسط این سرویس می توانند بهتر و با سرعت و دقت بیشتری جوابگو باشند .

این سرویس توسط فایل Wlbs.sys تصمیم می گیرد بر اساس یک سری الگوریتم ها که کدام Host عضو باید جواب کدام یک از Incoming Request را بدهد .

سرویسهایی که می توان نوسط NLB ترافیکشان را کنترل کرد عبارتند از FireWall و Proxy و Web Serv .

تذکر بسیار تاکید شده که سرویس هایی همانند WINS , DHCP را نمی توان برای کنترل ترافیکشان از این سرویس استفاده کرد .

برای آتها از سرویس دیگری به نام Windows Server Cluster استفاده می شود تذکر در آن سرویس حداکثر می توان HOST 8  عضو داشت .

دیوار آتش یا فایروال (FireWall)

دیوار آتش یا فایروال

یک فایروال شبکه را در برابر ترافیک ناخواسته و همچنین نفوذ دیگران به کامپیوترها حفاظت می کند. توابع اولیه یک فایروال به این صورت است که اجازه می دهد ترافیک خوب عبور کند و ترافیک بد را مسدود می کند. دیوار آتش سیستمی سخت افزاری یا نرم افزاری است که بین کامپیوتر شما یا یک شبکه LAN و شبکه بیرونی (مثلا اینترنت) قرار گرفته و ضمن نظارت بر دسترسی به منابع resource سیستم ، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد. هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات شبکه خود را کنترل کند موظف است تمام ارتباطات مستقیم شبکه خود را با دنیای خارج قطع نموده و هر گونه ارتباط خارجی از طریق یک دروازه که دیوار آتش یا فیلتر نام دارد، انجام شود. قبل از تحلیل اجزای دیوار آتش عملکرد کلی و مشکلات استفاده از دیوار آتش را بررسی میکنیم. بسته های TCP و IP قبل از ورود یا خروج به شبکه ابتدا وارد دیوار آتش میشوند و منتظر میمانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد : 1- اجازه عبور بسته صادر میشود (Accept Mode) 2- بسته حذف میشود (Blocking Mode) 3- بسته حذف شده و پاسخ مناسب به مبدا آن بسته داده شود (Response Mode)

غیر از حذف بسته میتوان عملیاتی نظیر ثبت، اخطار، ردگیری، جلوگیری از ادامه استفاده از شبکه و توبیخ هم در نظر گرفت.

کارت های گرافیک موازی

کارت های گرافیک موازی

شاید این مقاله برای من و شما یه توحم باشه و این دو تکنولوژی برای بچه پولدارها خوب باشه و در حال حاضر پولشو نداشته باشیم ازش استفاده بکنیم و از اون هم مهم تر نیازی بهش نداشته باشیم !!!!!!!   آخه اکثر ما هنوز از cpu های پایین و مادربردهای قدیمی استفاده میکنیم!!!!

اما دونستن واطلاعات داشتن در این مورد خالی از لطف نیست........
برخی از ما برای این که پول هامونو جاهای دیگه خرج کنیم به کامپیوتر که میرسیم خسیس میشیم و ترجیه میدیم از یه مادربرد با یک کارت گرافیک مجتمع (onboard) استفاده کنیم تا دیگه برای کارت گرافیک پول ندیم!!
اکثر این مادربرد ها یک درگاه گرافیکی هستند که در صورت تمایل میتونیم یک کارت گرافیک مجزا رو به اون درگاه وصل کنیم.
بعد از خرید این مادر برد حس میکنیم که نیاز گرافیکی ما تامین نمیشه و به این نتیجه میرسیم یه کارت گرافیک مجزا بخریم.
با این کار بخش گرافیکی مجتمع ( onboard) غیر فعال  میشه و کاربر تنها از گرافیک مجزا استفاده میکنه، غیر فعال شدن گرافیک مجتمع چیزیه که خیلی از ما هارو ناراحت میکنه ( پول مفت نداریم بدیم یه چیزی بخریم و بعد استفادش نتونیم بکنیم)
دو غول چیپست سازی دنیا در جهان گرافیک یعنی ATI  و NVDIA برای حل این مشکل راحی رو پیشنهاد کردند: