تنظیمات IPSecurity کاملا کاربردی (قسمت اول)

IPSec  Internet Protocol Security (IPSec) ver 4

 از اين سرويس براي حفاظت كردن Network Traffic  از حمله افراد مزاحم و هكرها استفاده مي شود اين سرويس در لايه 3 شبكه فعال مي باشد

 توسط اين روش يك IP Packet را مي توان به دو روش كه در شكل  مشاهده مي كنيد Encrypt ويا Sign كرد

 در روش AH كه در زير مشاهده مي كنيد يك Packet  به طور كامل Sign مي شود يعني كل

 آن به صورت Unmodify يا غيره قابل تغيير مي شود

 در اين روش يك Packet را مي توان خواند ولي تغيير نمي توان داد در روش دوم ESP  يك Packet را

 سيستم بوسيله يك سري الگوريتم كد مي كند كه با

 اين الگوريتم ها آشنا خواهيد شد فرق اين روش با روش AH در اين هست كه در روش دوم سيستم كاري با  IP Header  ندارد

 البته شما مي توانيد از هر دو روش نيز در يك لحظه براي شبكه استفاده كنيد

 كه بهترين راه نيز همين مي باشد و امنيت شبكه  بسيار بالا مي رود

IPSec security protocols

 قبل از شروع بايد دو Protocol مهم كه اين سرويس از آنها براي محافظت از Packet هاي IP استفاده مي كند را معرفي كرد AH and ESP

Authentication Header (AH)

اين روش براي محافظت از يك Packet مي باشد كه هم از قسمت Header و هم بقيه قسمتهاي يك

 packet محافظت مي كند به اين ترتيب كه كل آن Packet را Sign مي كند يعني غيره قابل تغيير

در اين روش مي توان يك Packet را Read  كرد ولي امكان Write را نداريم چون در حالت

unmodify مي باشد لازم بذكر هست كه براي تغييردادن مسيريك Packet بايدHeader آن را تغيير

داد وچون اين روش از اين كار جلوگيري مي كند يعني اجازه Write  شدن به Header را نمي دهد

امكان داردايجاد مشكل كند اين مشكل درRouter ها به چشم مي آيد چون كار يكRouter تغير دادن

مسيرمقصد  يك Packet مي باشد كه براي اين كار بايد Header يك Packet را دستكاري كند  Authentication Header (AH)

 براي رفع اين مشكل Router  ها راه حلي پيدا كرده اند سرويسي به نام ICV وجود دارد كه تغييرات  Packet در بين مسير  را Check

مي كند كه تغييري نكند فيلدهايي كه در داخل Header  توسط Router  تغيير مي كند براي اين سرويس ارزش صفر دارند بنابراين AH دچار مشكل با Router ها

نمي شود

Encapsulating Security Payload (ESP)

اين سرويس براي كد كردن يك Packet  استفاده مي شود منظور از كد كردن همان Encrypt

 كردن آن مي باشداين كدكردن توسط يك سري الگوريتم هاي رياضي مي باشدكه MD5 and 3DES

از معروف ترين اين الگوريتم ها مي باشند البته مانند شكل كه مشاهده مي كنيد اين نوع قسمتي از 

 Packet را Sign مي كند البته زماني كه يك Packet در حالت Tunnel ساخته شود و فرستاده

شود اين قسمت ازPacket توسط اين Protocol به صورت Sign مي شود همان طور كه در شكل

مي بينيد اين روش به IP Header كاري ندارد  

Ethereal

    Ethereal ابزاری کد-باز و رایگان است، که آن‌را می‌توان در دسته‌ی Snifferها جای داد. این نرم‌افزار با توجه به ویژگی‌هایش، یکی از متداول‌ترین ابزارهای آنالیز ترافیک شبکه است، کهتغییر نام داده و با نام wireshark

 در دسترس می باشد

  این نرم‌افزار نیز مانند WinDump، پس از نصب، از کتابخانه‌ی Winpcap برای دریافت اطلاعات بسته‌ها استفاده می‌کند، لذا پیش از نصب Ethereal، آخرین نسخه‌ی نرم‌افزار Winpcap را نصب کنید. همان‌طور که گفته شد این بسته امکان دریافت بسته‌ها و استخراج اطلاعات از آن‌ها را، تحت سیستم‌عامل Windows، فراهم می‌کند.

    اگر برای اولین بار است که قصد نصب و کار با این دسته از نرم‌افزارها (Snifferها) را دارید، پیش‌نهاد می‌کنیم ابتدا قسمت اول مقاله‌ی مربوط به WinDump را، که به مقدمه‌یی در باب Snifferها پرداخته است، مطالعه کنید.

    Ethereal، به عنوان نمونه‌یی از یک Sniffer، وظیفه‌ی ثبت رخدادها، اطلاعات و بسته‌های رد و بدل شده بر روی لایه‌ها‌ی شبکه را بر عهده دارد. با ثبت داده‌های در حال انتقال بر روی شبکه و تجزیه‌ی آنها، می‌توان بسته‌های اطلاعاتی مربوط به پروتکل‌های متفاوت را از یکدیگر تفکیک نمود و ارتباطات مجزا را شناسایی نمود. همان‌گونه که در معرفی این دسته از نرم‌افزارها گفته شد، این قبیل تحلیل‌ها، می‌توانند به شناسایی ارتباطات خطرناک، تلاش‌های پیاپی برای دست‌یابی به منابع شبکه و نفوذ به آن و یا از کار انداختن نرم‌افزارها و سخت‌افزارها فعال بر روی شبکه، بیانجامد. با این وجود از آنجاکه خروجی این‌ دسته از نرم‌افزارها به حدی پیچیده‌اند که کاربران عادی قادر به تحلیل آنها نیستند، لذا این‌گونه نتیجه‌گیری‌ها و تحلیل‌ها عموماً توسط متخصصین شبکه انجام می‌پذیرد.

VLan چیست؟

VLAN
با رشد شبكه ها از نظر اندازه و پيچيدگي ، بيشتر شركت ها به سمت شبكه هاي محلي مجازي
گرايش يافته اند. اساساً يك شبكه مجازي مجموعه اي VLANS يا Virtual local Area Network
و همچنين نحوه broadcast قرار دارند. قبلاً در مورد Broadcast Domain است از نودهايي كه در يك
ها مطالبي گفته شد . broadcast ممانعت روترها از عبور
آشنا مي شويم: VLAN در اين قسمت با دلايل استفاده از
سيستم هايي كه داراي اطلاعات حساس بوده از ساير قسمت هاي شبكه جدا مي شوند كه اين : Security
پارامتر باعث مي شود تا از احتمال دسترسي مردم به اطلاعاتي كه مجاز به ديدن آنها نيستند، مي كاهد.

پيکربندی DHCP با رعايت مسائل ايمنی

پيکربندی DHCP با رعايت مسائل ايمنی
در اين مقاله قصد داريم به بررسی نحوه پيکربندی سرويس دهنده و سرويس گيرندگانDynamic Host Configuration Protocol ) DHCP  ) ، با رعايت مسائل امنيتی پرداخته و با نحوه تنظيم پارامترهای ذيربط ، آشنا شويم . در ابتدا لازم است با جايگاه سرويس دهنده DHCP در يک شبکه بيشتر آشنا شويم .

مقدمه
تمامی پروتکل های شبکه به هر يک از کامپيوترهای موجود در شبکه، يک مشخصه (آدرس ) منحصر بفرد را نسبت می دهند پروتکل IPX ، آدرس فوق را  بصورت اتوماتيک و توسط ايستگاه کاری نسبت و منحصر بفرد بودن آن تضمين خواهد شد. پروتکل NetBEUI از يک نام NetBIOS شانزده بيتی استفاده می نمايد . پروتکل TCP/IP از يک آدرس IP ، استفاده می نمايد. در نسخه های اوليه پياده سازی شده TCP/IP ، از پروتکل فوق بمنظور اتصال تعداد اندکی از کامپيوترها استفاده می گرديد  و ضرورتی  به وجود يک مرکز متمرکز بمنظور اختصاص  اطلاعات آدرس دهی IP ، احساس نمی گرديد. بمنظور حل مشکل مديريت صدها و يا هزاران آدرس IP در يک سازمان ، DHCP پياده سازی گرديد. هدف سرويس فوق ، اختصاص آدرس های IP بصورت پويا و  در زمان اتصال يک کامپيوتربه شبکه است .
با وجود يک سرويس دهنده DHCP در شبکه ، کاربران شبکه قادر به اخذ اطلاعات مربوط به آدرس دهی IP می باشند . وضعيت فوق ، برای کاربرانی که دارای يک Laptop بوده و تمايل به اتصال به شبکه های متعدد را داشته باشند ، ملموس تر خواهد بود چراکه با برای ورود به هر يک از شبکه ها و استفاده از منابع موجود ، ضرورتی به انجام تنظيماتی خاص در رابطه با آدرس دهی IP وجود نخواهد داشت  . سرويس دهنده DHCP ،  علاوه براختصاص اطلاعات پايه IP نظير : يک آدرس IP و Subnet mask ، قادر به ارائه ساير اطلاعات مربوط به پيکربندی پروتکل TCP/IP برای سرويس گيرندگان نيز می باشد . آدرس Gateway پيش فرض ، سرويس دهنده DNS  ، نمونه هائی در اين زمينه می باشند.

Network Load Balancing Overview

Network Load Balancing Overview

کار این سرویس توضیع کردن Connection های  Client ها بین دو یا چندین سرور یکسان می باشد .Client Request های که از LAN برای  گرفتن یک سرویس ارسال می شود

به سوی سرور ها  توسط این سرویس می توان مدیریت و کنترل کرد و ....

هر سروری که  عضو یک Cluster باشد در واقع Host آن Cluster نامیده می شود .در هر Cluster می توان تا HOST 32  عضو داشت .

Figure 1 NLB Networks

Web Server ها  که دارای Request های بسیار زیاد می باشند توسط این سرویس می توانند بهتر و با سرعت و دقت بیشتری جوابگو باشند .

این سرویس توسط فایل Wlbs.sys تصمیم می گیرد بر اساس یک سری الگوریتم ها که کدام Host عضو باید جواب کدام یک از Incoming Request را بدهد .

سرویسهایی که می توان نوسط NLB ترافیکشان را کنترل کرد عبارتند از FireWall و Proxy و Web Serv .

تذکر بسیار تاکید شده که سرویس هایی همانند WINS , DHCP را نمی توان برای کنترل ترافیکشان از این سرویس استفاده کرد .

برای آتها از سرویس دیگری به نام Windows Server Cluster استفاده می شود تذکر در آن سرویس حداکثر می توان HOST 8  عضو داشت .

دیوار آتش یا فایروال (FireWall)

دیوار آتش یا فایروال

یک فایروال شبکه را در برابر ترافیک ناخواسته و همچنین نفوذ دیگران به کامپیوترها حفاظت می کند. توابع اولیه یک فایروال به این صورت است که اجازه می دهد ترافیک خوب عبور کند و ترافیک بد را مسدود می کند. دیوار آتش سیستمی سخت افزاری یا نرم افزاری است که بین کامپیوتر شما یا یک شبکه LAN و شبکه بیرونی (مثلا اینترنت) قرار گرفته و ضمن نظارت بر دسترسی به منابع resource سیستم ، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد. هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات شبکه خود را کنترل کند موظف است تمام ارتباطات مستقیم شبکه خود را با دنیای خارج قطع نموده و هر گونه ارتباط خارجی از طریق یک دروازه که دیوار آتش یا فیلتر نام دارد، انجام شود. قبل از تحلیل اجزای دیوار آتش عملکرد کلی و مشکلات استفاده از دیوار آتش را بررسی میکنیم. بسته های TCP و IP قبل از ورود یا خروج به شبکه ابتدا وارد دیوار آتش میشوند و منتظر میمانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد : 1- اجازه عبور بسته صادر میشود (Accept Mode) 2- بسته حذف میشود (Blocking Mode) 3- بسته حذف شده و پاسخ مناسب به مبدا آن بسته داده شود (Response Mode)

غیر از حذف بسته میتوان عملیاتی نظیر ثبت، اخطار، ردگیری، جلوگیری از ادامه استفاده از شبکه و توبیخ هم در نظر گرفت.

کارت های گرافیک موازی

کارت های گرافیک موازی

شاید این مقاله برای من و شما یه توحم باشه و این دو تکنولوژی برای بچه پولدارها خوب باشه و در حال حاضر پولشو نداشته باشیم ازش استفاده بکنیم و از اون هم مهم تر نیازی بهش نداشته باشیم !!!!!!!   آخه اکثر ما هنوز از cpu های پایین و مادربردهای قدیمی استفاده میکنیم!!!!

اما دونستن واطلاعات داشتن در این مورد خالی از لطف نیست........
برخی از ما برای این که پول هامونو جاهای دیگه خرج کنیم به کامپیوتر که میرسیم خسیس میشیم و ترجیه میدیم از یه مادربرد با یک کارت گرافیک مجتمع (onboard) استفاده کنیم تا دیگه برای کارت گرافیک پول ندیم!!
اکثر این مادربرد ها یک درگاه گرافیکی هستند که در صورت تمایل میتونیم یک کارت گرافیک مجزا رو به اون درگاه وصل کنیم.
بعد از خرید این مادر برد حس میکنیم که نیاز گرافیکی ما تامین نمیشه و به این نتیجه میرسیم یه کارت گرافیک مجزا بخریم.
با این کار بخش گرافیکی مجتمع ( onboard) غیر فعال  میشه و کاربر تنها از گرافیک مجزا استفاده میکنه، غیر فعال شدن گرافیک مجتمع چیزیه که خیلی از ما هارو ناراحت میکنه ( پول مفت نداریم بدیم یه چیزی بخریم و بعد استفادش نتونیم بکنیم)
دو غول چیپست سازی دنیا در جهان گرافیک یعنی ATI  و NVDIA برای حل این مشکل راحی رو پیشنهاد کردند:

Slang Network

1378Terminology

شبکه: از به هم پیوستن چند کامپیوتر به یکدیگر و برقراری ارتباط بین آنها یک شبکه تشکیل می گردد.

Lan: به شبکه محلی که در آن کامپیوتر ها نزدیک به هم بوده و ارتباط آنها از طریقHub ،Switch و یاWireless باشد اطلاق می شود.

Intranet و Internet: منظور از اینترانت همان شبکه جهانی اینترنت است که در محیط بسته (Lan) پیاده سازی شده و با دنیای خارج از آن ارتباطی ندارد.

Protocol: عبارتست از قراردادی که تعدادی کامپیوتر طبق آن با یکدیگر ارتباط برقرار کرده و به تبادل اطلاعات می پردازند.

TCP/IP: یک پروتکل جامع در اینترنت بوده و تمام کامپیوترهایی که با اینترنت کار می کنند از آن تبعیت می کنند.

IP Address: در اینترنت هر کامپیوتر داراییک آدرس IP است. هر IP متشکل از 4 عدد بوده که با یک نقطه ازهم جدا می شوند. ( مثل 217.219.175.11 ) هر کدام از این اعداد حداکثر می توانند 254 باشند. هر IP داراییکMask می باشد که از روی آن می توان تعداد IP هاییک شبکه محلی را تشخیص داد.

اگر بوت شدن ويندوز7 شما با مشکل روبه‌رو است، مي‌توان به‌سادگي بوت‌لودر ويندوز7 را به‌صورت دستي از نو تنظيم کرد. اين کار تنها به يک ديسک ويندوز نياز دارد.

اگر به‌اشتباه، يک ويندوز قديمي را روي دستگاهي که ويندوز7 دارد، نصب کرديد، به‌احتمال زياد با اين مشکل مواجه خواهيد شد و بايد اين عمليات را انجام دهيد:

از ديسک ويندوز سيستم خود را بوت کنيد. سپس روي گزينه Repair your computer کليک کنيد. حالا بايد نگارش صحيح نصب‌شده روي سيستم خود را انتخاب کنيد و گزينه Next را بزنيد.

حالا به صفحه System Recover Options مي‌رويد که مي‌توانيد از آنجا به خط‌فرمان دسترسي داشته باشيد. اكنون اگر بخواهيد MBR را از نو بسازيد، مي‌توانيد دستور زير را وارد کنيد:‌

bootrec /fixmbr

همچنين مي‌توان يک سکتور بوت جديد در پارتيشن سيستم ايجاد کرد (که اغلب مفيدتر است):

bootrec /fixboot

همچنين با زدن دستور ?/ bootrec مي‌توان گزينه‌هاي ديگر را هم ديد. اگر هنگام بوت ويندوز7 يا ويستا، با پيغام BOOTMGR is missing روبه‌رو شديد، همين کار را انجام دهيد.

همچنين اگر روي سيستمي که ويندوز7 دارد، ويندوز اکس‌پي ريختيد، متوجه خواهيد شد که اجراي ويندوز7 ناممکن خواهد شد. بنابراين با کمک اين دستور مي‌توان بوت‌لودر ويندوز7 را بازگرداند:

bootsect /nt60 all

بسته به پارتيشني که ويندوز روي آن نصب است، احتمالا بايد گزينه drive letter را به‌جاي all، دقيقا وارد کنيد.

پس از اين‌که وارد ويندوز7 شديد، اگر مايل به حفظ ويندوز اکس‌پي بوديد، در ويندوز کامند عبارت زير را وارد کنيد:

bcdedit /create {ntldr} -d “Windows XP

آشنایی با Multicast در شبکه

آشنایی با Multicast در شبکه

هدف از Multicast ارسال پيام تنها به گروهی از گیرندگان است که علاقه مشترکی در دریافت یک Data بخصوص دارند. پس جهت دریافت ترافيک مورد نظر عضو آن گروه ميشوند. Multicast کاربردهايی نظير IPTV، CCTV، Online Training – ELearning، Software Distribution، Video Conferencing و غيره دارد و در لايه دو و لايه سه قابل پياده سازی است.

در شبکه سه نوع ترافيک IP منتقل ميشود:

· Unicast بسته ای که از يک فرستنده به يک گيرنده ارسال ميشوند.

· Broadcast بسته ای که از يک فرستنده به همه ارسال (منتشر) ميشود. این نوع بسته ها، توسط روتر به بخشهای ديگر شبکه منتقل نميگردد مگر آنکه بدلیل خاصی آنرا برای اين کار تنظيم کنيم. نظیر درخواستهای DHCP

· Multicast بسته ای که از یک فرستنده به سمت یک گروه از گيرندگان ارسال ميشود.

Ethernet و FDDI ارسال Unicast، Multicast و Broadcast را پشتيبانی کردند و Token Ring نيز توسط Functional Address اين مزیت را پیاده سازی کرد. اگر کاربرد برای يک LAN باشد، استفاده از L2 Multicast (لايه دو) در شبکه LAN کافی بنظر میرسد، اما در جاييکه پراکندگی بين گيرنده ها در سطح چندین شبکه یا VLAN باشد، باید از Multicast Routing استفاده کنیم. هرچند که برای پیاده سازی Multicast درون یک شبکه لایه دو نیاز به برخی از Feature های لایه سه نظیم IGMP Querierداریم.

انواع استاندارد Wireless

انواع استاندارد 802.11
اولين بار در سال 1990 بوسيله انستيتيو IEEE معرفي گرديد كه اكنون تكنولوژيهاي متفاوتي از اين استاندارد براي شبكه هاي بي سيم ارائه گرديده است .
802.11
براي روشهاي انتقال FHSS(frequency hopping spared spectrum ) يا DSSS (direct sequence spread spectrum ) با سرعت 1 Mbpsتا 2Mbps در كانال 2.4 GHz قابل استفاده مي باشد.
802.11a
براي روشهاي انتقال OFDM (orthogonal frequency division multiplexing ) با سرعت 54Mbps در كانال 5GHz قابل استفاده است.
802.11b
اين استاندارد با نام WI-Fi يا High Rate 802.11 قابل استفاده در روش DSSS بوده و در شبكه هاي محلي بي سيم نيز كاربرد فراواني دارد همچنين داراي نرخ انتقال 11Mbps مي باشد.
802.11g
اين استاندارد براي دستيابي به نرخ انتقال بالاي 20Mbps در شبكه هاي محلي بي سيم و در كانال 2.4GHz كاربرد دارد.

802.11b       2.4 گیگاهرتز   5-11 مگابایت بر ثانیه

802.11g       2.4 گیگاهرتز   25-54 مگابایت بر ثانیه

802.11a       5.0 گیگاهرتز   25-54 مگابایت بر ثانیه

802.11n       2.4 گیگاهرتز   100-200 مگابایت بر ثانیه