تارا فایل

فعالیت در بیمه توسعه



موسسه غیرانتفاعی جهاد دانشگاهی همدان
گزارش کارآموزی کارشناسی ناپیوسته / گرایش نرم افزار
موضوع : فعالیت در بیمه توسعه
محل کارآموزی:
کارآموزی شرکت بیمه توسعه

نویسنده گزارش:

تابستان 1391

فهرست مطالب :

معرفی مکان کارآموزی
وظایف من در کارآموزی
فـــــــــــــــصل دوم :
1-2 امنیت شبکه
1-1-2 مفاهیم امنیت شبکه
فــــــــــــــصل سوم :
1-3 نصب Fire Wall
2-3 آشنایی با DNS
3-3 آشنایی با DHCP
4-3 مفهوم دامین و طریقه ساخت آن
5-3 آشنایی با اکتیو دایرکتوری و اجزای آن
1-5-3 چرا Service Directory
2-5-3 اکتیو دایرکتوری چگونه کار میکند
3-5-3 مــــزایای اکتیو دایرکتوری
6-3 پروتکل های امنیتی شبکه ها
1-6-3 پروتکل امنیتی IPsec
2-6-3 پروتکل امنیتی Transport Layer Security(TLS)
7-3 انــواع حملات
1-7-3 حمله های لایه کاربرد( virus, worm)
2-7-3 راههای مقابله با چند حمله
8-3 اعمال سیاست با Group Policy
1-8-3 ایجاد Organization Unit
2-8-3 تنظیم Proxy برای کاربران بصورت گروهی
3-8-3 تنظیمات و حذف و اضافه گزینه های مربوط به Control Panel
9-3 10نکته برای حفظ امنیت
10-3 خلاصه مطالـــب
منــــــــــــابع

معرفی مکان کارآموزی :

جایی که من برای گذراندن واحد کارآموزی انتخاب نمودم شرکت بیمه توسعه نهاوند بود. من در تاریخ 3/4/ 1391 کارآموزی خود را شروع کردم و از گذراندن کارآموزی در آن شرکت راضی بودم.در آن شرکت تمامی فعالیت های گرافیکی و طراحی و انجام کارهای تایپ و کارهای مربوط به بایگانی اطلاعات بیمه شدگان را انجام می شد و میتوانست مکان فو ق العاده ای بر هر کسی اعم از دانشجو و .. باشد،من هم به کارهای طراحی خیلی علاقه داشتم وخیلی سعی کردم که بخش طراحی را به عنوان محل کارآموزی انتخاب کنم.و بتوانم در آنجا کارهایی یاد بگیرم و از دانش خودم که قبلا کسب کرده بودم استفاده کنم و بتوانم کم وکاستی های خود را برطرف سازم.

وظایف من در محل کارآموزی :

من در امور کارهای کامپیوتری در این شرکت فعالیت میکردم. البته گاهی اوقات نیز برای گرفتن اطلاعات از متقاضیان بیمه و بررسی اطلاعات نیز همراه سرپرست شرکت میرفتم. اما در کل ، من با تایپ نامه های شرکت و وارد کردن اطلاعات بیمه و بیمه شوندگان و کارهای کامپیوتری دیگر که برای پیشرفت امور شرکت مهم بود؛ شرکت را یاری میدادم. لازم بذکر است در کارهای شبکه و گرافیکی این شرکت نیز نقش اساسی داشتم همچنین در این دوره با بسیاری از اجرای شبکه و نحوه کار با آنها و پیکربیندی آنها آشنا شدم که این خود یک شانس و پیشرفت خوب در دوره تحصیل من بود.

فـــــصل دوم :
1-2 امنیت شبکه :
همانطور که در قسمت بالا نیز ذکر کردم شرکت گرافیکی بیمه توسعه دارای چیزی بالغ بر 10 سیستم کامپیوتری می باشد که این کامپیوتر ها توسط یک سرویس دهنده سرور با همدیگر در ارتباط هستند همانطور که می دانید امنیت در یک شبکه بسیار مهم می باشد به طور کلی معنا و مفهوم امنیت شبکه جلوگیری از دسترسی کاربران غیر مجاز به شبکه بوده است در ایجاد امنیت شبکه برای هر یک از کاربران حقوق معینی در نظر گرفته می شود و کاربر هنگام اتصال به شبکه باید نام و گذرواژه خود را وارد کند سرور معتبر بودن ترکیب این نام و گذرواژه را کنترل می کند سپس با استفاده از آن و با توجه به بانک اطلاعاتی مجوزهای دسترسی کاربران که روی سرور موجود است دسترسی کاربر مورد نظر را به منابع اشتراکی قبول و یا رد می کند در محیط شبکه باید این اطمینان وجود داشته باشد که داده های حساس و مهم محفوظ باقی می ماند و فقط کاربران مجاز می توانند به آن ها دسترسی داشته باشند این کار نه تنها برای امنیت اطلاعات حساس بلکه برای حفاظت از عملیات شبکه نیز اهمیت دارد هر شبکه باید در برابر خسارات عمدی و یا غیر عمدی محفوظ نگه داشته شود به همین خاطر مدیریت محترم شرکت میگفت که امنیت در شبکه ی سیستم شرکت باید به طور متعادل صورت بگیرد و نباید امنیت را آنقدر سخت گیرانه فراهم کرد تا کاربران برای استفاده از فایل های خودشان نیز دچار مشکل شود در اینجا من به این نتیجه رسیدم که باید امنیت شبکه به طور متعادل برقرار باشد یا در حد مورد نیاز امنیت برقرار باشد .
1-1-2 مفاهیم امنیت شبکه :
امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند :
1- شناسایی بخشی که باید تحت محافظت قرار گیرد.
2- تصمیم گیری درباره مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.
3- تصمیم گیری درباره چگونگی تهدیدات
4- پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.
5- مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه می پردازیم.
1- منابع شبکه:
در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.
1- تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها
2- اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.
3- منابع نامحسوس شبکه مانند عرض باند و سرعت
4- اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی
5- ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.
6- اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان
7- خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.
مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.
2- حمله :
حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:
1- دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه
2- دستکاری غیرمجاز اطلاعات بر روی یک شبکه
3- حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.
کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.
هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:
1- ثابت کردن محرمانگی داده
2- نگهداری جامعیت داده
3- نگهداری در دسترس بودن داده
3- تحلیل خطر :
پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :
1- احتمال انجام حمله
2- خسارت وارده به شبکه درصورت انجام حمله موفق
4- سیاست امنیتی :
پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:
1- چه و چرا باید محافظت شود.
2- چه کسی باید مسئولیت حفاظت را به عهده بگیرد.
3- زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.
سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:
1- مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.
2- محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.
معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.
5- طرح امنیت شبکه :
با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :
1- ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH
2- فایروالها
3- مجتمع کننده های VPN برای دسترسی از دور
4- تشخیص نفوذ
5- سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه
6- مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

6- نواحی امنیتی :
تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز می شود.
نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.
1- تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.
2- سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.
3- سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.
4- استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود.
علل عمده ای که می توانست امنیت شبکه را تهدید کند به شرح زیر بود :
• دسترسی غیر مجاز کاربران به اطلاعات شبکه و دستکاری اطلاعات
•سوء استفاده الکترونیکی
•سرقت رفتن اطلاعات محرمانه شبکه
•وارد شدن خسارات عمدی و یا غیر عمدی به اطلاعات شبکه
مدیر شبکه با پیاده سازی این امنیت های شبکه ای و دادن مجوز به کاربران برای ورود به شبکه تضمین می کند تا شبکه در برابر تهدیدات امنیتی همچنان محفوظ و ایمن باقی بماند در ضمن به این مساله نیز بایستی دقت داشت که برقراری امنیت و ایمنی اطلاعاتی برای تمامی شرکت ها یکسان نیست و شرکت های بزرگ همراه با سیستم های زیاد نیاز بیشتری به محافظت دارد تا یک شرکت کوچک با امکانات کمتر .
ایجاد امنیت برای محافظت از داراییها تعریف میگردد. روش های تعریف شده و استانداردهای متفاوتی برای حفظ داراییها موجود است.
در مورد امنیت مفاهیم مختلفی وجود دارد. امنیت می تواند شامل محافظت (protection) و یا تشخیص(detection) باشد.
* امنیت
حفظ داراییها برای جلوگیری از آسیبرسانی به آنهاست. یعنی ممکن است دارایی وجود داشته باشد، اما هیچ تهدیدی برایش معنی پیدا نکند. مانند تکههای الماسی که در کهکشان موجود است، تعریف امنیت برای این داراییها مادامی که تهدیدی برایشان نیست، معنی ندارد.

حفاظت از دارایی ها با اطلاع از اینکه این دارایی آسیب پذیری دارد و میتواند با سواستفاده از این آسیبپذیری مورد حمله قرار بگیرد، انجام میپذیرد. مثلا پایگاه دادهای که در شبکه موجود است و اطلاعات و شناسههای کاربران را در خود ذخیره کرده است، یک دارایی در شبکه محسوب میشود و باید مورد حفاظت قرار گیرد زیرا در صورت دسترسی افراد غیرمجاز، به شبکه آسیب میرسد. پس این آسیبپذیری میتواند مورد سواستفاده قرار گیرد.
* تشخیص
زمانی که تشخیص مد نظر ما باشد، باید ابزار و تمهیداتی در شبکه تعریف کنیم تا قابلیت تشخیص حملهها (attack) را داشته باشد. ابزاری که وضعیت شبکه را آمارگیری نموده و در هر زمان از وضعیت ابزار شبکه، نودهای ارتباطی، ترافیک بین مسیریابها، نوع ترافیک انتقالی، زمان پیامها و بسیاری از پارامترهای شبکه آگاهی دارد.

این ابزار وضعیت شبکه را همچون موجود زندهای گزارش میدهند و در صورت ایجاد هر گونه وضعیت مشکوک در شبکه اقدامات امنیتی لازم را انجام میدهند.

محافظت و تشخیص نقشی همانند پیشگیری و درمان در مقابل بیماریها را دارند. تشخیص حمله در صورتی که از آن جلوگیری نماید، یک تشخیص فعال(detection active) نامیده میشود.

دسته دیگر تشخیص را تشخیص منفعل(passive detection) می نامیم. در این تشخیص بعد از وقوع حمله، گزارشی از وضعیت شبکه داده میشود و توانایی پیشبینی و پیشگیری از حملهها وجود ندارد.

ایمن سازی ارتباطات در شبکه طبق استانداردهای تعریف شده دارای بخشها و مفاهیم متفاوتی است.

هراستانداردی بخشهایی را برای امنیت تعیین میکند وحفظ امنیت هر دادهای بعضی از این بخشها را شامل میشود. در ادامه به بخشهای اساسی مفهوم حفظ امنیت می پردازیم.

Access control-
Authentication –
Non-repudiation –
Data confidentiality –
Communication security –
Data integrity –
Availability –
Privacy –

برخی مفاهیم ضروری هستند. حفظ محرمانگی داده از ضروریات اولیه است. داده ارسالی که در شبکه تنها باید برای گیرنده و مقصد مفهوم و قابل استفاده باشد و بقیه گیرندگان غیر مجاز قابلیت بهره بردن از آن را نداشته باشند.
بجز محرمانگی , احراز هویت فرستنده پیام هم ارزشمند است.

فصــــل سوم :
1-3 نصب Fire Wall برای جلوگیری از ورود غیر مجاز به سیستم های کاربران :
این نرم افزار به عنوان مهمترین بخش برای کنترل حملات اینترنتی در شرکتی که در آن فعالیت می کردم بود و در آن تمامی سیستم ها دارای نرم افزار ذکر شده بودند تا سیستم ها را در برابر حملات اینترنتی محفوظ نگه دارد دیوارهای آتش به صورت نرم افزاری و سخت افزری موجود است که اطلاعات ارسالی به وسیله دو شبکه ارسالی را کنترل و فیلتر می کند در شرکت برای اتصال به اینترنت از یک دیوار آتش برای دسترسی به اطلاعات استفاده می کردیم بدون استفاده از دیوار آتش تمامی کامپیوتر های موجود در شبکه داخلی قادر به ارتباط با هر سایت و هر شخص بر روی اینترنت بوده و از طرف دیگر کامپیوتر های دیگر نیز به راحتی قادر خواهند بود به رایانه های شخصی و شبکه های کامپیوتری دیگر به راحتی وارد شوند و دزدی اطلاعات انجام دهند بنابر این تمامی سیستم ها را تک به تک چک کردم تا همگی فایر وال آن ها فعال باشد تا از بروز این مشکلات در شبکه شرکت مربوطه جلوگیری به عمل آید . در صورتی که بخواهید از فایر وال موجود بر روی ویندوز سیستم خود استفاده کنیم و آن را فعال کنیم می توانیم مراحل زیر را برای فعال کردن آن انتخاب کنیم .
Start >> Control Panel >> Windows Fire Wall

2-3 آشنایی با DNS ( Domain Name System) :
در این شرکت نرم افزاری چون عمده کاری بر روی شبکه انجام می گرفت با تکنولوژی دیگری نیز به نام DNS آشنا شدم و برداشتی که درباره این مورد داشتم فهمیدم که DNS ها در واقع یکی از پروتوکل های TCPIP می باشد که برای تبدیل اسامی به آدرس های IP در اینترنت بکار می رود هرگاه سیستمی از یک نام FQDN استفاده کند از سرور DNS تقاضا می کند آدرس IP معادل آن اسم را معین کند تا بتواند به وسیله آن آدرس در شبکه به آن دسترسی پیدا کند .
3-3 آشنایی با DHCP ( Dynamic Host Configuration Protocol) :
این سرویس یکی از قابلیت های TCP/IP بوده و سرور 2003 می تواند این سرویس را ارایه کند در واقع این سرور در یک شبکه وظیفه دارد به سرویس گیرنده ها یک آدرس IP اختصاص دهد تا آن ها نیز بتوانند از شبکه استفاده کند این سرویس امکان پیکره بندی خودکاربه سرویس گیرنده ها را در لحظه ی شروع می دهد این سرور روش توزیع این قابلیت را به صورت اجاره ای انجام می دهد یعنی برای مدت معینی IP در اختیار Client قرار می گیرد و پس از پایان مدت اجاره لازم است دوباره تقاضای IP از Client صادر شده تا DHCP یک آدرس IP خالی را به آن اختصاص دهد در ویندوز 2003 سرور به طور پیش فرض 6 روز یا 144 ساعت مدت اجاره یک IP می باشد .

4-3 آشنایی با مفهوم Domain در شبکه و کاربرد آن :
یکی از مهمترین مسایل در شبکه درک مفهوم دامنه یا Domain می باشد در واقع یک دامین گروهی است متشکل از یک یا چند سرور و ایستگاه های کاری که موافقت خود را برای متمرکز کردن کاربران و حساب های کاربری آن ها در یک بانک اطلاعاتی مشترک اعلام داشته اند و به همین دلیل اجازه می دهد یک کاربر دارای یک نام کاربری و یک رمز عبور بوده و در یک Domain سازماندهی شده قابل استفاده باشد .
در شرکت مدیر شرکت وقتی می خواهد که یک کارمند را استخدام کند اول محل کار و نوع کار و نوع ارتباط های کاری این کارمند را تعیین می کند یا میزان دسترسی و مجوز دسترسی به منابع سیستم را برای آن تعیین می کند Domain یکی از بهترین راه های تمرکز و مدیریت کاربران است در ویندوز NT 3.51 مدیریت به کمک یک user Profile انجام می شد که در واقع ابزاری بود برای مدیریت دسکتاپ و تنظیمات لازم هنگام ورود Log In به سیستم . در NT 4 بحث دامین به وجود آمد که در واقع مکانی بود برای مدیریت تمرکز و سیاست های سیستم به منظور کنترل بیشتر کاربران . در ویندوز 2000 سرور یک Domain می توانست اطلاعات یک DNS را نیز متمرکز کند و سیاست های سیستم را نیز بهتر مدیریت کند که این بخش به Group Policies معروف گردیده است حال در پایین با توجه به بحث گفته شده در بخش بالا می خواهیم با نحوه ساختن Domain آشنا شویم من در طی این مدت کارآموزی خود چیزی بالغ بر 5 Domain را ساختم که در زیر به نحوه ساختن یک Active Directory Domain به منظور ساخت Domain پردازیم .:
1-اول فرمان dcpromo را در زیر منوی Run از منوی Start نوشته و اجرا می کنیم برنامه نصب Active Directory Domain نمایش می یابد
2- در این ویزارد یک سری سوالات برای نصب می پرسد و در نهایت یک ساختار درختی را ایجاد می کند .
3- روی دکمه Next کلیک کنید تا کادر بعدی نمایان شود .
4- این پنجره پیغام میدهد که اگر شما یک دامین تحت 2003 سرور ساختید بدلیل افزایش امنیت نمی توانید از ویندوز 95 یا DOS استفاده کنید و این به دلیل استفاده از قرارداد SMB ماکروسافت به جهت جلوگیری از هک شدن Active Directory می باشد . در ضمن نیاز به یک ارتباط کامل بین سرویس گیرنده و Domain بوده و بایستی اطمینان داشته باشید که این ارتباط قطع نمی شود از طرف دیگر برای برقراری ارتباط ویندوز 98 با سرور 2003 لازم است که قبل از ارتباط توسط CD مربوط به 2003 سرور بخش Active Directory Client For Windows 98 نیز نصب بکنید .
5- پس از کلیک بر روی دکمه Next پنجره دیگری نمایش داده می شود که دارای دو بخش می باشد انتخاب بخش اول به این معنا است که می خواهید یک Domain Controller جدید ایجاد نمایید و بخش دوم نیز به این معنا می باشد که می خواهید یک Domain Controller جدید تحت یک دامین موجود ایجاد نمایید بخش اول را انتخاب کرده و بر روی گزینه Next کلیک کنید و در پنجره ظاهر شده مجددا Next را کلیک کنید .
6- در پنجره بعدی دو گزینه وجود دارد گزینه اول به این معنا می باشد که Dns روی این دستگاه تنظیم نشده است و لازم است ابتدا آن را تنظیم کنید و در صورتی که این گزینه انتخاب شود در پنجره بعدی دوباره پیغام تنظیم DNS را می دهد که البته با انتخاب View Help می توان از راهنمای تنظیم DNS آن را انتخاب کرد و در اینجا گزینه دوم بدین معناست که آیا مایل هستید کار ادامه یابد و DNS نیز پس از نصب Active Directory بر روی سیستم نصب شود بدین صورت که DNS را انتخاب نکرده اید گزینه دوم را انتخاب کنید و روی NEXT کلیک کنید
7-در پنجره بعدی لازم است نام کامل دامین خود را وارد کنید در این بخش نام دامین خود را My Domain.Edu قرار داده و روی Next کلیک کنید .
8-در پنجره بعدی از شما دو آدرس پرسیده می شود مسیر اول برای ذخیره سازی بانک اطلاعاتی مربوطه Active Directory بوده و لازم است پارتیشنی با سیستم فایل NTFS انتخاب شود مسیر دوم هم برای ذخیره Log فایل یا به عبارتی گزارش های Active Directory می باشد . و برای بازیابی و توانایی بازیابی بهتر داده ها بهتر است که این دو فایل در درایو فیزیکی نا برابر و یا مجزا از هم ذخیره شود آدرس این دو مسیر را بر روی دو درایو با سیستم فایل NTFS ذخیره کنید و بر روی NEXT کلیک کنید .
9- در پنجره باز شده آدرس پوشه ای به نام SYSVOL پرسیده می شود در واقع یک آدرس برای نگهداری یک کپی از فایل های عمومی از دامنه هاست در NT4 اطلاعات مهم کاربران و اطلاعات کنترلی آن ها در پوشه ای به نام NETLOGON در 2003 سرور همین کار را انجام می دهد NEXT را کلیک کنید
10- دو گزنه دیگر در اینجا وجود دارد : انتخاب اول یعنی سرویس گیرنده ها از ویندوزی قبل از 2000 استفاده می کنند انتخاب دوم یعنی سرویس گیرنده ها از ویندوزی بعد از 2000 استفاده می کنند پس بهتر است گزینه دوم که پیش فرض است را انتخاب کنیم
11- در این قسمت لازم است رمزی را برای وضعیت Restore Mode حساب کاربری Administrator تعریف کنید و در واقع این رمز هیچ ارتباطی با رمز اصلی ادمین شما ندارد و می تواند کاملا متفاوت باشد مثلا رمز 1234 را وادر کرده و پس از تایید بر روی NEXT کلیک کنید .
12-در صورت موافقت با آن ها بر روی NEXT کلیک کرده تا مراحل نصب نرم افزار انجام شود و در صورتی که نرم افزار شما به صورت صحیح نصب شده باشد حتما بعد از اتمام نصب سیستم شما Restart می شود اگر نشد جایی از مراحل نصب را اشتباه انجام داده اید به این صورت می تون دامین برای استفاده در شبکه های شازمان یا شرکت های نرم افزاری را ساخت .
5-3 آشنایی با زیرساختهای Active Directory :
یک دایرکتوری (Directory) مجموعهای ذخیره شده از اطلاعات درباره ی اشیایی است که به نوعی با یکدیگر مرتبطند. یک سرویس دایرکتوری (Directory Service) تمامی اطلاعاتی را که برای استفاده و مدیریت این اشیا لازم است، در یک محل متمرکز ذخیره نموده و بدین ترتیب نحوه ی یافتن و مدیریت این منابع را تسهیل می بخشد. یک Directory Service زمینه ای را فراهم می آورد تا دسترسی به منابع در سطح شبکه به بهترین نحو ممکن سازمان یابد . کاربران و مدیران ممکن است که نام دقیق یک شئ مورد نیاز را ندانند، اما با دانستن یک یا چند ویژگی از یک شئ و با استفاده از Directory Service می توانند لیستی از اشیا با ویژگی مورد نظر خود را جستجو کنند.
1-5-3 چرا Service Directory ؟ :
نیاز به یک Active Directory قوى و شفاف، از رشد انفجارى شبکه ها ناشى مى شود. همان طور که شبکه ها رشد مى کنند و پیچیده تر مى شوند و برنامه هاى کاربردى که نیاز به شبکه و سیستم هاى دیگر در اینترنت دارند افزایش مى یابند، به همان میزان نیاز فراوانى به Service Directory احساس مى شود. دایرکتورى سرویس یکى از مهمترین ابزارهاى سیستم هاى پیشرفته کامپیوترى است که در این جا بد نیست مزایاى این سرویس را با هم مرور مى کنیم:

1- فراهم کردن یک مرکز واحد و یکنواخت مدیریتى براى کاربران، برنامه هاى کاربردى و دستگاه ها.

2- فراهم کردن یک نقطه ورود جهت دسترسى به منابع شبکه و همچنین فراهم کردن ابزارهاى قوى و یکنواخت مدیریتى براى مدیریت سرویس هاى ایمنى براى کاربران داخلى و نیز کاربرانى که از راه دور و توسط تلفن ارتباط برقرار مى کنند.

3- مهیا کردن دسترسى استاندارد و یکسان به همه امکانات اکتیو دایرکتورى.

اکتیو دایرکتورى یک جزء اصلى از معمارى شبکه ویندوز 2000 و هسته هاى مشابه است. Active Directory به سازمان ها اجازه مى دهد که اطلاعات خود را در شبکه، شامل منابع موجود در شبکه و کاربران شبکه به اشتراک بگذارند و مدیریت کنند. اکتیو دایرکتورى همچنین به عنوان یک مرکز اصلى براى امنیت شبکه عمل مى کند. به طورى که اجازه مى دهد سیستم عامل به طور شفاف هویت کاربر را تعیین نماید و همچنین دسترسى به منابع شبکه را توسط آن کاربر کنترل نماید. نکته مهمتر این است که Active Directory به عنوان نقطه اى براى گردآورى تعمیم ها و مدیریت آنها عمل مى کند. این قابلیت ها به سازمان ها اجازه مى دهند که قوانین کارى استانداردى را براى برنامه هاى کاربردى توزیع شده و منابع شبکه به کار ببرند، بدون اینکه نیازى به مدیرانى داشته باشند که توانایى نگهدارى دایرکتورى هاى مخصوصى را داشته باشند. در عین حال Active Directory یک نقطه مرکزى را براى مدیریت حساب هاى کاربران و سرورها و برنامه هاى کاربردى در محیط ویندوز فراهم مى کند که با برنامه هاى کاربردى تحت ویندوز و دستگاه هاى سازگار با ویندوز ارتباط برقرار کنند. به این ترتیب Active Directory باعث توسعه سرمایه گذارى در شبکه مى شود. همچنین باعث کم شدن هزینه استفاده از کامپیوتر از طریق افزایش مدیریت بیشتر و راحت تر شبکه، افزایش ایمنى شبکه و افزایش قابلیت همکارى بین شبکه ها مى شود. استراتژى Directory Service شرکت مایکروسافت سبب مى شود که بسیارى از فروشنده ها و مراکز، Service Directory هاى خاصى را در برنامه هاى کاربردى یا دستگاه هایشان تعبیه نمایند تا بتوانند درخواست ها و عملیات هایى را که مورد نیاز مشتریان است برآورده سازند. براى مثال سرویس E-mail شامل Directory Service هایى است که به کاربران اجازه مى دهد تا صندوق پست خود را جست وجو کنند. سیستم عامل هاى سرور نیز مى توانند از Directory Service ها براى امکاناتى نظیر مدیریت حساب کاربران، ذخیره کردن اطلاعات و پیکربندى براى برنامه هاى کاربردى استفاده کنند. Active Directory اولین Director Service کامل و جامع است که اندازه پذیر بوده و از اندازه هاى کوچک شروع مى شود و به اندازه هاى بسیار بزرگ مى رسد و نیز براساس تکنولوژى اینترنتى ساخته شده و کاملاً با سیستم عامل هماهنگ است… علاوه بر این جهت برنامه هاى کاربردى تحت ویندوز، Active Directory طورى طراحى شده که براى کاربران، محیط هاى ایزوله و محیط هاى انتقال، محیط مدیریت متمرکز را با حداقل Directory Service مورد نیاز شرکت ها فراهم مى کند و این توانایى Active Directory را براى مدت طولانى به عنوان پایه و ستون اصلى جهت اشتراک گذاشتن اطلاعات و مدیریت مشترک منابع شبکه، شامل استفاده از برنامه هاى کاربردى، سیستم عامل هاى شبکه و سرویس هاى وابسته به دایرکتورى مطرح مى کند.
2-5-3 اکتیو دایرکتوری چگونه کار میکند ؟ :
اکتیو دایرکتورى به سازمان ها اجازه مى دهد تا اطلاعات را به صورت سلسله مراتبى طبقه بندى کنند و براى پشتیبانى محیط هاى شبکه اى توزیع شده، مدل تکثیر اطلاعات در سرورهاى متناظر را ارائه مى کند. اکتیو دایرکتورى از اشیا براى نمایش منابع شبکه استفاده مى کند. کاربران، گروه ها، ماشین ها، دستگاه ها و برنامه هاى کاربردى از بسته ها براى نشان دادن سازمان ها استفاده مى کنند مثل بخش بازاریابى و یا مجموعه اى از اشیاى وابسته به هم مانند پرینترها. این اطلاعات در ساختارهاى درختى که از این اشیا ایجاد مى شوند سازماندهى مى شوند و همانند روشى است که سیستم عامل هاى ویندوز براى فایل ها و شاخه ها جهت سازماندهى اطلاعات در کامپیوتر استفاده مى کنند. علاوه بر این اکتیو دایرکتورى روابط بین اشیا و بسته ها را فراهم مى کند تا یک دید متمرکز و جامع را نشان دهد و این باعث مى شود که درک و کنترل منابع راحت تر شده و مدیریت آنها بهینه شود. ساختار سلسله مراتبى اکتیو دایرکتورى که یک ساختار انعطاف پذیر و قابل پیکربندى است باعث مى شود که سازمان ها منابع را آن طور که به آن نیازمند هستند سازماندهى کنند. گروه بندى اشیا در داخل دایرکتورى اجازه مى دهد که مدیران اشیا را در سطح ماکرو مدیریت کنند. این کار کارایى، دقت و مدیریت را افزایش مى دهد، به طورى که سازمان ها مدیریت شبکه را با نیازهاى تجارى خودشان انجام مى دهند.

براى فراهم کردن قابلیت اجرایى بالا، دسترسى بهتر و قابلیت انعطاف در محیط هاى توزیع شده، اکتیو دایرکتورى از تکثیر اطلاعات در سرورهاى متناظر استفاده مى کند و این به سازمان ها اجازه مى دهد که نسخه هاى گوناگون از دایرکتورى ها ایجاد کنند. در نتیجه، تعویض ها و تغییراتى که در هر جاى شبکه صورت بگیرد به طور اتوماتیک در سراسر شبکه کپى مى شوند. از سوى دیگر اکتیو دایرکتورى از تکثیر اطلاعات در سرورهاى متناظر براى قابلیت انعطاف، جهت افزایش و بالا بردن میزان دسترسى و اجرا پشتیبانى مى کند. براى مثال کپى دایرکتورى Syncron مى تواند از هر موقعیت و مکانى در شبکه مورد استفاده قرار گیرد. چنین پردازشى مى تواند اجراى سریع تر را در اختیار کاربر بگذارد. به این دلیل که کاربران براى دسترسى به منابع مورد نیازشان به جاى جست وجو در شبکه ، آن را از طریق جست وجو در دایرکتورى سرور محلى خود پیدا مى کنند. این دایرکتورى ها بسته به منابع مدیریتى که در دسترس است مى توانند به طور محلى یا از راه دور مدیریت شوند.

3-5-3 مــــزایای اکتیو دایرکتوری :
به علت ارتباط تنگاتنگ و کاملاً مجتمع اکتیو دایرکتورى با ویندوز 2000 این قابلیت در اختیار مدیران شبکه، برنامه نویسان و کاربران قرار گرفته که به Service Directory زیر دسترسى داشته باشند:

1-آسان تر کردن کارهاى مدیریت

2-افزایش امنیت شبکه

3-قابلیت استفاده از سیستم هاى موجود در محیط شبکه هاى مختلف و آسان کردن مدیریت سیستم هاى توزیع شده که اغلب منجر به اشتراک زمانى مى شوند. در عین حال زمانى که شرکت ها برنامه هاى کاربردى را به زیرساخت و شالوده خود اضافه کنند و یا پرسنل خود را بازنشسته مى کنند و همچنین نیاز به توزیع نرم افزار بر روى کامپیوترهاى خود و همچنین مدیریت دایرکتورى هاى برنامه هاى کاربردى دارند، اکتیو دایرکتورى به شرکت ها اجازه مى دهد که هزینه هاى خود را با استفاده از کنترل مرکزى کاربران، گروه ها و منابع شبکه به همراه نرم افزار توزیع شده و مدیریت پیکربندى کامپیوترهاى کاربران کاهش دهند. اکتیو دایرکتورى از سوى دیگر به شرکت ها کمک مى کند که مدیریت آسان تر و راحت ترى داشته باشند. این سرویس با سازماندهى کاربران و منابع شبکه به طور سلسله مراتبى به مدیران اجازه مى دهد تا یک مرکز واحد مدیریت را براى حساب هاى کاربران و سرورها و برنامه هاى کاربردى داشته باشند. اکتیو دایرکتورى مدیریت منابع شبکه را آسان مى کند. در واقع اکتیو دایرکتورى با تعویض اختیار وظایف مدیریتى به افراد یا گروه هاى خاص، انجام کارهاى مدیریتى منابع شبکه را ارتقا مى دهد. اکتیو دایرکتورى یک مزیت بزرگ دیگر نیز دارد و آن هم بالا بردن امنیت است.

Active Directory مدیریت را متمرکز مى کند و نقش هایى که داراى امنیت مستحکم و استوار هستند را به وسیله پردازش قوانین جارى در سازمان ها اجرا مى کند. Active Directory امنیت رمزها و مدیریت را بالا مى برد. انجام این کار با فراهم آوردن نقطه ورود یکسان در منابع شبکه با کار گروهى و سرویس هاى امنیتى با قدرت بالا مقدور مى شود. Active Directory عملکرد کامپیوتر را نیز تثبیت مى کند. این سرویس این کار را با قفل کردن پیکربندى کامپیوتر و جلوگیرى از دسترسى عملیات در سطح کامپیوتر مشتریان انجام مى دهد و با فراهم کردن ساختارهاى پشتیبانى کننده ایجاد امنیت در پروتکل هاى استاندارد اینترنت و سنجش تصدیق ورود مکانیسم ها سرعت تجارت الکترونیکى را بالا مى برد. یکى دیگر از مزایاى Active Directory کنترل امنیت و سیستم هاى ایمنى است که با تنظیم کردن امتیازات دسترسى بر روى اشیاى دایرکتورى و عنصرهاى فردى اطلاعات که آنها را ایجاد مى کند این کار را انجام مى دهد.
6-3 پروتکل های امنیتی شبکه ها :
پروتکل، مجموعه قوانینی برای ارتباط طرفین و یا دو موجودیت نظیر(peer entity) می باشد. مجموعه قوانینی که برای انتقال پیام بین دو طرف ارتباط در یک شبکه وجود دارد. پروتکل های مختلفی در لایه های مختلف شبکه ها تعریف شده اند. این پروتکل ها اهداف مختلفی را دنبال می نمایند. پروتکل های تعریف شده در لایه کاربرد ارتباط بین دو نهاد به صورت انتها به انتها را برقرار می نمایند. یعنی دو کاربرد در دو انتهای ارتباط به صورت امن رابطه برقرار می نمایند.
پروتکل های امنیتی در لایه های پایین تر با ارتباط کاربردی، کاری ندارند و امنیت در حد واسط ها و دیتا گرام و یا امنیت بسته را برقرار می نمایند.
پروتکل های امنیتی در ابتدا کار احراز هویت را انجام می دهند. احراز هویت به صورت یکطرفه و دو طرفه انجام می پذیرد. احراز هویت یک طرفه یعنی کاربر و یا نهادی که می خواهد از شبکه ارتباط بگیرد، باید ابتدا خود را معرفی نماید.
معرفی یک کاربر به شبکه، بسته به اینکه پروتکل امنیتی مربوط به کدام لایه باشد، فرق می کند. پروتکل امنیتی لایه سه، آدرس IP او را بررسی نموده و تصدیق می نماید. پروتکل امنیتی لایه کاربرد، آدرس پورت ها، شماره نشست و بقیه مشخصه ها را بررسی می نماید. بقیه مشخصه ها می تواند شامل شماره ترتیبی(Sequent Number) نیز باشد.
در احراز هویت دوطرفه شبکه سرویس دهنده هم باید خود را به کاربر معرفی نموده و خود را احراز نماید. بعد از معرفی اولیه دو طرف و توافق بر کیفیت ارتباط ؛ امکان ایجاد ارتباط ، تعریف شده و شروع می شود.

توافق های اولیه راجع به الگوریتم های رمزنگاری مورد استفاده، کلید های عمومی، کلیدهای خصوصی و بقیه مشخصه ها می باشد. پس از این مرحله هر دو طرف ارتباط می دانند که از چه کلیدی استفاده کنند تا طرف مقابل قادر به رمزگشایی باشد، از چه الگوریتمی برای رمزنمودن داده استفاده نمایند و بقیه اطلاعات لازم را از طرف دیگر بدست می آورند.
این توافق ها در بخشی به نام hand shaking و یا دست داد انجام می پذیرد. دستداد در ابتدای هر ارتباط انجام می پذیرد.
در مورد احراز هویت و روش های مختلف آْن در مقاله های بعدی توضیح خواهیم داد.
از پروتکل های امنیتی می توانم به IPsec، SSL، SSH،TLS،WTLS اشاره کنم. هر کدام از این پروتکل ها می توانند به همراه پروتکل های شبکه و در کنار آنها، وظیفه اجرا و پیاده سازی مکانیزم های امنیتی را به منظور حفظ ابعاد هشت گانه امنیتی برعهده داشته باشند.
این مکانیزم ها از بروز حمله ها جلوگیری می نمایند. پیاده سازی برخی از این پروتکل ها به صورت اجباری در پروتکل ها تعریف شده است. به عنوان مثال پیاده سازی پروتکلIPsec در پروتکل IPv6 اجباری می باشد. پروتکلIPsec مربوط به لایه شبکه و بقیه پروتکل های گفته شده مربوط به لایه کاربرد و یا انتقال می باشند.
سازگاری این پروتکل ها در کنار بقیه استانداردهای شبکه منجر به افزایش استفاده از آنها می گردد. برخی از آنها نیز همانند WTLS به منظور خاصی تعریف می گردد.
پروتکلWTLS یک پروتکل امنیتی لایه انتقال است که در شبکه های سیار برای حفظ امنیت لایه کاربرد ارتباط انتها به انتهای کاربران شبکه تعریف شده است.
پروتکل های دیگر لایه انتقال SSL، TLS می باشند و پروتکلSSH مربوط به ارتباط در لایه کاربرد می باشد. با وجودی که پروتکل های SSL، TLS شباهت زیادی دارند، به طور همزمان و در دو طرف یک ارتباط قابل استفاده نیستند. هدف این دو پروتکل صحت داده و محرمانگی ارتباط بین طرفین ارتباط می باشد.
SSL بیشتر توسطWEB browser ها و کارهای مربوط به شبکه که امنیت در آنها مهم می باشد، به کار گرفته می شود. یکی از این کاربردهای مهم تجارت الکترونیک می باشد.SSL بر روی TCP اجرا می گردد.
هر چه پروتکل امنیتی استفاده شده در لایه های پایین تر باشد نیازی به تغییر برنامه ها نخواهیم داشت. به عنوان مثال در صورت استفاده از IPsec نیازی به تغییرات در برنامه های کاربر نیست اما در صورتی که بخواهیم از SSL و یا TLS استفاده نماییم، باید برنامه کاربردی تا حدودی تغییر یابد و از پیاده سازی پروتکل امن مربوطه آگاه باشد.
1-6-3 پروتکل امنیتی IPsec :
این پروتکل مسیریابی مطمینی در شبکه موجب می گردد و از بسیاری از حملاتی که ناشی از مسیریابی جعلی است ممانعت می نماید.
این پروتکل در دو م‍د transport و tunnel مورد بهره برداری قرار می گیرد. در مد انتقال، از payload یا همان داده و قسمتی از سرآیند IP که این پروتکل به آن اضافه شده است، محافظت می شود و سرآیندهای مربوط به IP محافظت نمی شوند.
مد تونل زنی IPSec بر روی دروازه ها و یا گره هایی که توسط آنها اطلاعات از زیرشبکه خارج می گردد، اعمال می گردد و در زمان خروج بسته ها ایمنی بر روی آن ها اضافه می شود و از payload محافظت می گردد.
کل داده به همراه بخش های ایمنی، به عنوان داده جدید برای datagram جدید درنظر گرفته شده و سرآیند مربوط به datagram نیز محافظت می شود. به این معنی که یک سرآیند خارجی امنیتی به کل بسته IP شامل داده و سرآیند آن اضافه می گردد.
پروتکل IPsec از حملاتی نظیرIPSpoofing ممانعت می کند و به علت تعریف شماره های توالی در خود از حمله تکرار نیز جلوگیری می کند. در حمله تکرار مهاجم بسته فرستاده شده در شبکه را دریافت نموده و دوباره آن را ارسال می کند. در صورت داشتن شماره توالی و یا sequence Number در یک بسته وقتی دوباره بسته ای فرستاده باشد، این شماره توالی در شبکه تکراری خواهد بود و گیرنده با دریافت این موضوع بسته را drop می کند. در صورتی که بسته ای نیز از شبکه حذف شود، شماره توالی مربوط به آن حذف شده است و شبکه متوجه مفقود شدن یک بسته خواهد شد.
نوشتن شماره توالی و time stamp و یا مهر زمانی برای جلوگیری از حمله تکرار می باشد.
هر کدام از این دو مد کاری پروتکلIPSec، می توانند در دو نوع حالت پیاده سازی شوند. پیاده سازی این پروتکل با دو روش AH,ESP مورد اجرا قرار می گیرد. سرویس های پروتکل AH شامل احراز هویت، یکپارچگی داده و کنترل دسترسی است.
روش ESP با رمزنگاری، شامل سرویس های محرمانگی داده، کنترل دسترسی و محرمانگی جریان داده می باشد.
هر دو روش از ایجاد حمله تکرار بسته ها با استفاده از یک مقدار شماره توالی سی و دو بیتی، ممانعت می کنند.
زمان انتقال ترافیک، وقتی که بسته IP، به هر گره ای که بر روی آن IPSec نصب شده است، برخورد کند، بر اساس آدرس مقصد می تواند تشخیص دهد که این گره، کاربر نهایی، مسیریاب و یا یک دیواره آْتش است.
2-6-3 پروتکل امنیتی Transport Layer Security(TLS) :
این پروتکل امنیتی ، در لایه انتقال و بسیار نزدیک به پروتکل امنیتیSSL(Secure Socket Layer) تعریف شده است، تا ارتباطات روی شبکه را همانند شبکه اینترنت ایمن نماید. پروتکل های امنیتی TLSو SSL، پروتکل های امنیتی استفاده شده در لایه انتقال شبکه ها می باشند و در شبکه های سیار و سیمی می توانند پیاده سازی شوند. این پروتکل یک ارتباط انتها به انتها را رمزنگاری می نماید. موسسه IETF آن را در RFC5246 استاندارد نموده است.
هدف از تعریف و اجرای TLS در لایه انتقال، ایمن نمودن تراکنش های ارتباطی در لایه کاربرد می باشد. این پروتکل امنیتی می تواند در کنار پروتکل های ارتباطی، همانندHTTP،FTP،SMTP،NNTP مورد استفاده قرار گیرد. به عنوان مثال، مفهوم HTTPS یادآور این مطلب است که در ارتباط HTTP از پروتکل ارتباطی TLS در لایه انتقال بهره برده ایم.
به این ترتیب پروتکل های لایه بالاتر به همراه این پروتکل یک ارتباط ایمن را به همراه مکانیزم های موجود در TLS پدید می آورد. مکانیزم های درنظر گرفته شده این پروتکل، شامل رمزنگاری به منظور ایجاد محرمانگی در ارتباط و الگوریتم های صحت به منظور ایجاد یکپارچگی و تضمین حفظ صحت داده در روند انتقال آن به مقصد می باشد.
علاوه بر مکانیزم های گفته شده، تایید هویت نهادهایی که قصد شرکت در ارتباط را دارند، نیز در این پروتکل منظور شده است.
پروتکل TLS تایید هویت یک طرفه یا دوطرفه (تایید هویت کاربر به شبکه و تایید هویت شبکه به کاربر) را برای دسترسی رمزشده به شبکه ها فراهم می نماید. این عمل با استفاده از الگوریتمی صورت می گیرد که کاربر و شبکه، هردو در مورد آن توافق نموده اند.
بخش هایی همچون حفاظت از بسته داده، محدود نمودن و بهینه نمودن اندازه بسته و انتخاب یک الگوریتم سریع، به استانداردTLS افزوده شده است.
کیفیت ارتباط بین دو طرف بستگی به نوع الگوریتم های توافق شده بین آنها دارد. این توافق قبل از اجرای TLS، و با تبادل پیام بین دو طرف بوجود می آید.
الگوریتم و روش انتخابی شبکه، در پیام ارسالی به اطلاع کاربر می رسد. الگوریتم ها شامل، الگوریتم هایی می باشد که قرار است در محاسبه چکیده پیام(MAC) مورد استفاده قرار گیرد.
علاوه بر آن الگوریتم ها و روش های انتخابی برای رمزنگاری نیز در این پیام ارسال می شود.به این ترتیب کاربر متوجه می شود از چه نوع الگوریتم و از چه تنظیماتی در ارتباط خود با شبکه بهره ببرد. تست صحت داده در این پروتکل، توسط الگوریتم های عمومی تعریف شده، انجام می پذیرد.
این پروتکل برای محافظت از پروتکل کاربردی SIP استفاده می شود. پروتکل SIP، در بحثVoIP و یا تلفن مبتنی بر IP کاربرد دارد. انتقال صوت بر روی شبکه اینترنت می تواند نمونه ای از VoIP باشد.
در لایه انتقال برای تعریف کانال های ارتباطی، مفهومی به نام نشست (Session) وجود دارد. نشست هایی که لایه انتقال در ارتباط با شبکه IP تعریف می نماید، دارای زمان اعتبار می باشد.
هر نشست تعریف شده، با استفاده از Sequence Numberها و یا همان شماره توالی مشخص می شود.
یک نشست علاوه بر شماره توالی دارای یک مدت اعتبار نیز می باشد. مدت اعتبار نشست نشان می دهد که تا چه زمان، ارتباط بین کاربر و شبکه IP می تواند طول بکشد.
قابلیت دیگری که درTLS وجود دارد، امکان تعلیق یک نشست و اجرای دوباره آن در زمانی دیگر می باشد.
به این طریق یک نشست می تواند در مدت زمان طولانی، به صورت باز، ولی غیرفعال باقی بماند. این قابلیت باعث می شود تا یک حمله کننده از مشخصه های ارتباط که در زمان طولانی معتبر باقی مانده است، سو استفاده نماید.
در طول مدت معتبر بودن یک نشست، کلیدهای امنیتی آن معتبر می باشند و این موضوع احتمال کشف کلیدهای رمزنگاری را توسط یک مهاجم افزایش می دهد.

7-3 انواع حملات :
حملات در شبکههای کامپیوتری جزو جدانشدنی دنیای اینترنت شده اند. حملات به دلایل متفاوتی همانند منافع تجاری، دلایل کینهجویانه، حیلهگری و تقلب، جنگ و منافع اقتصادی انجام میپذیرند.
حملهها در نتیجه نقص یکی از ابعاد امنیتی همانند محرمانگی، یکپارچگی و یا دسترسپذیری در شبکه و منابع آن انجام میپذیرند.
تقسیم بندیهای مختلفی برای انواع حملات تعریف شده است. شما هر کتاب و مرجعی را که ببینید نوعی گروهبندی را انجام دادهاند. در مجموع حملات را به گروههای زیر تقسیم مینماییم.
– Modification Attacks (تغییر غیرمجاز اطلاعات)
– Repudiation Attacks (جلوگیری از وقوع یک اتفاق و یا تراکنش)
– Denial of service attacks (عملی که مانع میشود از اینکه منابع شبکه بتوانند سرویسهای درخواستی را به موقع ارایه دهند.)
– Access attacks (دسترسی غیرمجاز به منابع شبکه و اطلاعات)
به طور عام هر عملی که باعث میشود تا عملکرد شبکه ناخواسته گردد، حمله نامیده میشود. ممکن است این عمل تغییر رفتار مشهودی در سیستم شبکه نباشد.
حمله غیرفعال: وقتی فرد غیرمجاز در حال شنود ترافیک ارسالی میباشد، تغییر مشهودی در رفتار سیستم نداریم. این حمله، حمله غیرفعال است. در صورتی که شنودکننده موفق به رمزگشایی گردد، اطلاعات مفیدی به دست آورده است.
حمله فعال: حملهای که محتوای پیام را اصلاح نماید، فرستنده و یا گیرنده پیام را تغییر دهد و یا هر ترفندی که پاسخ مجموعه را تغییر دهد، حمله فعال نامیده میشود.
در ادامه به معرفی حملات معروف شبکه و راههای مقابله با آن خواهیم پرداخت.

Denial of Service (DOS)/ Distributed DOS :
درحمله DOS ، منابع یک سیستم اشغال میشود تا آن منبع توانایی پاسخگویی به درخواستها را نداشته باشد. این حمله با بمباران سیل آسای یک سرور با تعداد زیادی از درخواستها مواجه مینماید که نمیتوان به همه آنها به صورت کارآمد پاسخ گفت. مورد دیگر فرستادن مجموعه درخواستها به هارد درایو یک سیستم است که تمام منابع آن را درگیر نماید.
نوع دیگر DOS توزیع شده است که از طریق تعداد زیادی از host ها انجام میپذیرد. برنامه حمله بدون اطلاع مالکان، بر روی این سیستمها نصب و در رابطه با اجرای حمله به سوی هدف، فعال میگردند.
مثالهای زیر را میتوان برایDOS نام برد.
Buffer overflow (دریافت حجم زیادی از دادهها در پاسخ یک درخواست مانند دریافت حجم زیادی از پاسخها در مقابل دستور echo در پروتکل ICMP)
SYN attack (بهرهبرداری از فضای بافر درhandshake پروتکل TCP)
Teardrop Attack (تغییر فیلد offset در بسته IP)
Smurf (فرستادن Broadcast یک دستور PING – ارسال پاسخ کلیه آنها به سمت هدف حمله- ایجاد ترافیک اشباع شده در سمت هدف)
Back door :
حمله در مخفی از طریق مودمهای dial up و غیره انجام میگردد. سناریو آن دسترسی به شبکه از طریق کنار گذاشتن مکانیزمهای کنترلی با استفاده از راههای مخفی میباشد.
: IP Spoofing
در این حمله قربانی متقاعد میگردد که به یک سیستم شناخته شده و قابل اطمینان متصل شده است. این حمله در لایه TCP انجام میپذیرد و آدرس یک مبدا مجاز (به جای مبدا غیرمجاز) داده میشود و مقصد این بسته را گرفته و دستورات بسته را پذیرفته، اعمال مینماید.

1-7-3 حمله های لایه کاربرد( virus, worm):
حمله های مربوط به لایه کاربردی شامل انواع ویروس ها و کرم ها می باشد. یکی از روش های انتشار ویروس ها ، قرار گرفتن در boot sector است که با هر بار روش شدن و بالا آمدن سیستم، ویروس فعال می گردد و در جاهای مختلف نظیرDVD,CD و … قرار می گیرد.
یک ویروس روش های متفاوت تکثیر را در شبکه دارد. ویروس برای تکثیر نیازمند یک برنامه میزبان می باشد که در کامپیوتر میزبان نصب می گردد و از طریق اجرای این برنامه ، فعالیت خود را آغاز می نماید.
یک ویروس فایل های داده را آلوده نمی کند، چون فایلهای داده اجرا نمی شوند و قسمت اجرایی هم ندارند که بتوانند به ویروس کمک کنند.
گاهی ویروس ها به صورت رمزشده در شبکه منتقل می شوند. هدف از رمز کردن یک ویروس، ایجاد محرمانگی برای داده نمی باشد، بلکه هدف تغییر شکل ویروس است تا در شبکه توسط ابزار امنیتی مانند دیوار آتش و یا IDS ها قابل تشخیص نباشند و در مقصد توسط برنامه رمزگشایی که دارند، بازیابی شده و اجرا گردند.
ویروس ها بر اساس یک برنامه HOST و بر اساس تحریکی که ممکن است کاربر به آن پاسخ دهد( مثل کلیک کردن توسط کاربر) به سیستم وارد شده و منتشر می گردند. گاهی برنامه های نامربوطی به صورت دادن پیغام از ما می خواهند یکی از گزینه های YES/NO را انتخاب کنیم تا آنها اجازه داشته باشند که نصب شوند و ما غافل از اینکه هر دو گزینه YES/NOدر باطن یکی هستند گزینه NO را انتخاب می نماییم!! و به این ترتیب به برنامه ویروس اجازه می دهیم تا در کامپیوتر ما نصب شوند!!
علاوه بر ویروس ها که در لایه کاربرد شبکه فعال هستند، کرم ها نیز وجود دارند. کرم ها (worm ) به صورت خودکار منتشر می شوند و نیاز به تحریکی از طرف کاربر ندارند. عملکرد کرم ها مستقل است و نیازی به استفاده از برنامه میزبان ندارند.
برای جلوگیری از نفوذ کرم ها و ویروس ها در شبکه اینترنتDARPA یک گروه به نام گروه CERT
Computer Emergency Response Team را تشکیل داد که هنوز هم در زمینه امنیت فعال است.
یک مدیر شبکه خوب باید اطلاعات کافی از مهاجمین داشته باشد و بتواند تشخیص دهد که مهاجم از لحاظ داشتن امکانات و نیز اطلاعات راجع به حمله، درچه سطحی قرار دارد.
اسب های تراوا نوع دیگری از حمله های لایه کاربرد می باشد. به اسب های تراوا که در سطح سیستم عامل عمل می کنندRootkit گفته می شود.
با توجه به حمله های لایه کاربرد، بررسی و تشخیص نقاط ضعف شبکه به جلوگیری و کشف حمله ها کمک موثری نماید. این روش ها شامل موارد زیر است:
– تعیین پورت های باز
– تعیین ماشین های فعال
– به دست آوردن نقشه شبکه
– تعیین موقعیت مسیریاب ها و دیواره آتش
– تعیین سیستم عامل
– تجزیه و تحلیل دیواره آتش و نقاط ضعف و قوت آن
علاوه بر اطلاعات بالا می توان از نرم افزارهای قوی که برایscan نمودن و تشخیص وضعیت شبکه نوشته شده اند، بهره برد. نرم افزارهایی مانند ethereal ,NESUSو…. که البته دو نوع مورد استفاده مفید و مضر می توانند داشته باشند.
می توان از طریق نصب برنامه Nesus نقاط آسیب پذیر را یافت. این نوع نرم افزارها برای استفاده معمولی در شبکه طراحی شده اند تا مدیر شبکه نقاط آسیب پذیر شبکه را بیابد.
2-7-3 راههای مقابله با چند حمله :
File Extensions :
سیستم عامل ویندوز قابلیتی دارد که اجازه می دهد تا پسوند یک برنامه در مقابل کاربر مخفی باقی بماند که ظاهرا باعث راحتی در کار است، اما باعث می شود برخی کدهای مخرب در ظاهری آشنا، مخفی شوند. مثلا فایلی با نام readme.txt در ظاهر یک فایل متنی بی آزار است، در حالی که می تواند نام آن readme.txt.bat باشد! و پسوند واقعی.bat به علت خاصیت ویندوز مخفی شده باشد.
راه مقابله: شما می توانید خاصیت مخفی بودن پسوند فایل را در ویندوز غیر فعال نمایید.
Packet Sniffing :
ترافیک ایستگاه کاری شبکه های LAN ، در مقابل شنود توسط بقیه ایستگاه های کاری، در یک hub آسیب پذیر است. در این محیط، کاربر ترافیک دیگران را بدون اینکه آشکار شود و به صورت off lineگوش می دهد. ابزار شنود در این محیط، حمله را انجام داده ، ترافیک را شنود کرده، کپی نموده و سپس به مقصد نفوذکننده می فرستند. شنود شامل تمام ترافیک اینترنت مانند پست الکترونیکی، instant message و ترافیک web خواهد بود. در زمان شنود ترافیک web،تمام عملیاتی که کاربر انجام می دهد، توسط شنود کننده دیده می شود.
راه مقابله: بهترین روش محافظتی در مقابل این حمله، رمزگذاری پیام های انتقالی است تا در صورت شنود نیز نتوان استفاده ای از پیام ها نمود.
Hijacking and Session Replay :
Hijacking : به معنی دزدی در حین انتقال به منظور انتقال به مقصد جدید است.
: Session Hijacking وقتی رخ می دهد که یک session پروتکل TCP/IP توسط یک شنود کننده شبکه برداشت شود. به این معنی که در حال انتقال یک پیام بین فرستنده و گیرنده، تغییرات لازم در وضع و حالت پیام داده شده و پیام اصلاح شده دوباره در جریان ترافیک شبکه قرار می گیرد. با این تغییرات، نفوذکننده به عنوان مقصد پیام تعریف می شود.
تمام پیام های بعدی تعریف شده در آن session، بین مبدا اصلی و نفوذکننده(به عنوان مقصد جدید) در جریان خواهد بود و ترافیک به سمت مقصد مورد نظر حمله کننده، تغییر مسیر می دهد و تمامی پیام های بعدی آن session به حمله کننده می رسد.
راه مقابله: کاربردهای مبتنی بر web ، برای حمله های hijacking مناسب هستند. استفاده از پروتکل SSL از حملات hijacking و replay جلوگیری می نماید. این پروتکل بر روی TCP/IP و قبل از پروتکل های HTTP,IMAP استفاده می گردد و به صورت client- Server اجرا می شود. سرور خود را برای Client احراز هویت نموده و اجازه می دهد client نیز خود را به سرور معرفی نماید پس از احراز هویت دو سویه، یک ارتباط رمز شده بین دو طرف برقرار می شود.
8-3 اعمـــال سیاست با Group Policy :
Group policy به سرورها و مدیران شبکه قدرت تنظیم و اعمال اجباری سیاست های خود روی کاربران و کامپیوترهایی که بعنوان کلاینت در شبکه قرار دارند را می دهد. برخی از سیاست ها که توسط Group Policy روی کامپیوتری ، کاربری یا گروهی خاص و بدون دخالت کاربر و از روی سرور انجام می شود عبارتند از :
نصب برنامه های کاربردی روی سیستم
میکند) Login تنظیم اجباری رجیستری به تفکیک کاربر یا به تفکیک کامپیوتر ( منظور دستگاه کلاینتی که به شبکه
(Security setting) تنظیم موارد امنیتی
اجرای اسکریپت هایی هنگام بالا آمدن یا خاموش شدن سیستم
وکنترل پانل Start Menu و Taskbar حذف و اضافه نمودن گزینه ای
برخی تنظیمات برای سرویس هایی که از راه دور نصب می گردند
به عبارت دیگر یک مدیر شبکه با این امکان به جای اینکه روی تک تک سیستم ها تنظیماتی را انجام دهد می تواند از طریق سرور و برای گروه های مختلف سیاست های گوناگون را تنظیم و اعمال نماید طوری کاربر هیچگونه دخالتی در این خصوص نداشته باشد.
برخی از تنظیمات Group Policy مخصوص کاربر و برخی دیگر از تنظیمات مخصوص کامپیوتر است. یعنی اگر تنظیمات روی کاربر اعمال گردد ، آن کاربر از هر کامپیوتر وارد شبکه گردد آن سیاست ها و تنظیمات روی نام کاربری ( Username ) وی اعمال می شود و به کامپیوتر بستگی ندارد و برخی از سیاست ها ( Policy ها ) که روی کامپیوتر اعمال می شود به کاربر بستگی ندارد.
امروزه با توجه به گسترش و افزایش تعداد کاربران و کامپیوترها در شبکه ، یک مدیر تنظیمات لازم را برای یک فرد یا یک کامپیوتر انجام نمی دهد بلکه مدیر شبکه ابتدا گروه هایی ساخته و کاربران را عضو این گروه ها می کند و در این حالت می تواند سیاست ها و تنظیمات را روی این گروه ها اعمال کند. در این مقاله بر اساس امکانی که در ویندوز 2003 وجود دارد قصد داریم یک Organization Unit بسازیم و تنظیمات را روی آن اعمال نماییم. پس ابتدا روش ساخت یک Organization Unit را شرح می دهیم.

1-8-3 ایجاد Organization Unit :
قبل از اینکه بخواهید Policy هایی را برای کاربران تعیین و اعمال نمایید و به منظور صرفه جویی در زمان یک Organization Unit ایجاد نمایید و کاربران مورد نظر را به عضویت آن در آورید تا نیاز نباشد برای هر کاربر جداگانه Group Policy تعریف و تنظیم شود. برای ساخت Organization Unit مراحل زیر را انجام دهید:

• در قسمت Start بر روی Administrative Tools کلیک و سپس گزینه Active Directory Users and Computers را انتخاب نمائید.
• مطابق شکل 1 روی نام سرور راست کلیک کرده و از منوی New گزینه Organization Unite را انتخاب نمایید سپس یک نام ( مانند MizbananUsers ) برای آن در نظر بگیرید.

شکل – 1
در ویندوز 2003 هر کاربری که جدید ساخته شود بصورت پیش فرض در گروه Users قرار می گیرد پس برای اینکه بتوانید User ایجاد شده را عضو گروه جدید کنید آن را توسط موس داخل گروه ساخته شده ( این در مثال MizbananUsers ) بیاندازید.
در صورتیکه کاربری ایجاد نکرده اید بر روی Organization Unit ساخته شده راست کلیک کرده و از آنجا یک کاربر جدید بسازید تا از همان ابتدا عضو آن گروه قرار گیرد.
اکنون Organization Unit ساخته شده و اعضای آن نیز مشخص می باشند حال باید برای آنها Group Policy تعریف گردد.
برای درک مفهوم Group Policy و آشنایی عملی با آن ، چند مثال را بطور عملی توضیح می دهیم.
2-8-3 تنظیم Proxy برای کاربران بصورت گروهی :
فرض کنید در شبکه محلی ( LAN ) ادره یا سازمان مطبوع خود اینترنت راه اندازی کرده اید و می خواهید فقط برای گروهی از کاربران و با استفاده از قابلیت Group Policy ، پروکسی ( Proxy ) تنظیم نمایید. اگر شبکه شما دارای یک DC Domain Controller باشد و همچنین Active Directory راه اندازی کرده اید از این پس نیازی نیست برای تک تک کاربران پروکسی تنظیم کنید. بلکه مراحل زیر را طی کنید:

• روی Organization Unit ساخته شده راست کلیک و گزینه Properties را انتخاب نمایید.

• در صفحه ظاهر شده ( در این مثال MizbananUsers Properties ) به قسمت Group Policy بروید.
•در این قسمت و مطابق شکل 2 دکمه New را بزنید و یک نام ( مانند Policy For MizbananUsers ) برای آن تعیین کنید.

شکل – 2
اکنون وقت تنظیم پروکسی می باشد. برای این منظور مراحل را به ترتیب زیر ادامه دهید:

•در همان صفحه ( مطابق شکل 2 ) Policy تعریف شده را انتخاب و گزینه Edit را بزنید.

• در صفحه Group Policy Object Editor به مسیر زیر بروید.
Users Configuration Windows Setting Internet Explorer maintenance Connection
•در صفحه سمت راست گزینه Proxy Setting را انتخاب نمائید.

•در صفحه Proxy Setting ابتدا تیک Enable Proxy Setting را بزنید ( به شکل 3 توجه کنید ).
•سپس مطابق شکل 3 در قسمت HTTP آدرسی که قرار است کاربران به آن متصل شوند و اینترنت را از آنجا دریافت کنند را وارد کنید.

شکل – 3
همانطور که در شکل 4 ملاحظه می کنید از این پس ، کاربرانی که با نام کاربری و پسوردی که در Domain موجود باشد به شبکه Login کنند و عضو Organization Unit ساخته شده توسط شما نیز باشند ، بصورت اتوماتیک در اینترنت اکسپلور خود در قسمت Proxy Server آدرس 192.168.0.10 با پورت 80 وارد شده است.
( Internet Options > Connection > LAN Setting > Proxy Server )

شکل – 4
3-8-3 تنظیمات و حذف و اضافه گزینه های مربوط به Control Panel :
با توجه به تکرار مراحل قبلی که چندین بار به آن اشاره شد یعنی با ادیت کردن Group Policy ساخته شده و در صفحه Group Policy Object Editor از طریق مسیر :
User Configuration Administrative Templates Control Panel می توان کلیه تنظیمات و محدودیت های مربوط به کنترل پانل را برای کاربران انجام داد.
به عنوان مثال اگر بخواهید دکمه Add Remove Program از داخل کنترل پانل سیستم های موجود در شبکه حذف نمایید مراحل زیر را انجام دهید. به مسیر زیر بروید:

User Configuration Administrative Templates Control Panel Add or Remove Program
از صفحه سمت راست همانطور که در شکل 8 مشاهده می کنید گزینه
Remove Add or Remove Program را با دوبار کلیک انتخاب کنید و سپس در پنجره ای که باز می شود گزینه Enable را بزنید.

شکل – 5
بعد از این تنظیم اگر کاربری که جزء گروه ایجاد شده (در این مثال (( MizbananUsers ) باشد وارد کنترل پانل سیستم خود شود با توجه Policy که در این مثال تعریف شده نمی تواند گزینه Add or Remove Program را اجرا نماید و صورت اجرای آن با پیغامی که در شکل 6 مشاهده می کنید مواجه می گردد.

شکل – 6
9-3 10نکته برای حفظ امنیت :
هر روزه اخبار جدیدی در مورد حملات و تهدیدات کامپیوتری در رسانه های مختلف انتشار می یابد. این تهدیدات شامل ویروس های جدید و یا انواع هک و نفوذ در سیستم های کامپیوتری است. انتشار این گونه اخبار باعث شیوع اضطراب و نگرانی در بین کاربرانی می شود که به صورت مستمر از کامپیوتر بهره می گیرند و یا اطلاعاتی ارزشمند بر روی کامپیوترهای خود دارند.در این مقاله سعی شده چند نکته که در رابطه با امنیت کامپیوتر اهمیت اساسی دارند به صورت مختصر شرح داده شوند. یک کاربر در صورت رعایت این نکات می تواند تا حدود زیادی از حفظ امنیت سیستم کامپیوتری خود مطمئن باشد. در رابطه با بعضی از نکات که توضیحات بیشتری لازم بوده، مقالات جامع تری معرفی گردیده اند.

استفاده از نرم افزارهای محافظتی (مانند ضدویروس ها) و به روز نگه داشتن آنها :
از وجود ضدویروس بر روی دستگاه خود اطمینان حاصل کنید. این نرم افزارها برای محافظت از کامپیوتر در برابر ویروس های شناخته شده به کارمی روند و در صورت استفاده از آنها کاربر نیاز به نگرانی در مورد ویروس ها نخواهد داشت. در شرایطی که روزانه ویروس های جدید تولید شده و توزیع می شوند، نرم افزارهای ضدویروس برای تشخیص و از بین بردن آنها باید به صورت منظم به روز شوند. برای این کار می توان به سایت شرکت تولید کننده ضدویروس مراجعه کرد و اطلاعات لازم در مورد نحوه به روز رسانی و نیز فایل های جدید را دریافت نمود. عموما نرم افزارهای ضدویروس ابزار های به روز رسانی و زمان بندی این فرایند را در خود دارند. برای مطالعه بیشتر در مورد ویروس ها و آشنایی با طرز کار و قابلیت های ضدویروس ها به سایت گروه امداد امنیت کامپیوتری ایران مراجعه نمایید.

باز نکردن نامه های دریافتی از منابع ناشناس :
این قانون ساده را پیروی کنید، "اگر فرستنده نامه را نمی شناسید، نسبت به نامه و پیوست های آن بسیار با دقت عمل نمایید". هرگاه یک نامه مشکوک دریافت کردید، بهترین عمل حذف کل نامه همراه با پیوست های آن است.
برای امنیت بیشتر حتی اگر فرستنده نامه آشنا باشد هم باید با احتیاط بود. اگر عنوان نامه نا آشنا و عجیب باشد، و بالاخص در صورتی که نامه حاوی لینک های غیرمعمول باشد باید با دقت عمل کرد. ممکن است دوست شما به صورت تصادفی ویروسی را برای شما فرستاده باشد. ویروس "I Love You" دقیقا به همین صورت میلیون ها کامپیوتر را در سراسر دنیا آلوده نمود. تردید نکنید، نامه های مشکوک را پاک نمایید.
مقالات محافظت در برابر خطرات ایمیل ۱ و ۲ به صورت مفصل در رابطه با این موضوع نگاشته شده است

استفاده از گذرواژه های مناسب :
گذرواژه تنها در صورتی دسترسی غریبه ها به منابع موجود را محدود می کند که حدس زدن آن به سادگی امکان پذیر نباشد. گذرواژه های خود را در اختیار دیگران قرار ندهید و از یک گذرواژه در بیشتر از یک جا استفاده نکنید. در این صورت اگر یکی از گذرواژه های شما لو برود، همه منابع در اختیار شما در معرض خطر قرار نخواهند گرفت. قانون طلایی برای انتخاب گذرواژه شامل موارد زیر است:
گذرواژه باید حداقل شامل ۸ حرف بوده، حتی الامکان کلمه ای بی معنا باشد. در انتخاب این کلمه اگر از حروف کوچک، بزرگ و اعداد استفاده شود (مانند xk27D8Fy) ضریب امنیت بالا تر خواهد رفت.
به صورت منظم گذرواژه های قبلی را عوض نمایید.
گذرواژه خود را در اختیار دیگران قرار ندهید.
در مقاله انتخاب و محافظت از کلمات عبور نکات دقیق تری در این رابطه بیان شده است.

محافظت از کامپیوتر در برابر نفوذ با استفاده از حفاظ(Firewall) :
حفاظ دیواری مجازی بین سیستم کامپیوتری و دنیای بیرون ایجاد می کند. این محصول به دو صورت نرم افزاری و سخت افزاری تولید می شود و برای حفاظت کامپیوترهای شخصی و نیز شبکه ها به کار می رود. حفاظ داده های غیر مجاز و یا داده هایی که به صورت بالقوه خطرناک می باشند را فیلتر کرده و سایر اطلاعات را عبور می دهد. علاوه بر این حفاظ در شرایطی که کامپیوتر به اینترنت وصل است، مانع دسترسی افراد غیرمجاز به کامپیوتر می شود.
مقاله مقدمه ای بر فایروال به معرفی نحوه عملکرد حفاظ ها می پردازد و یکی از رایج ترین حفاظ های شخصی در مقاله حفاظ شخصی Zone Alarm معرفی شده است.

خودداری از به اشتراک گذاشتن منابع کامپیوتر با افراد غریبه :
سیستم های عامل این امکان را برای کاربران خود فراهم می آورند که با هدف به اشتراک گذاری فایل، دسترسی دیگران را از طریق شبکه و یا اینترنت به دیسک سخت محلی فراهم آورند. این قابلیت امکان انتقال ویروس از طریق شبکه را فراهم می آورد. از سوی دیگر در صورتی که کاربر دقت کافی را در به اشتراک گذاشتن فایل ها به عمل نیاورد، امکان مشاهده فایل های خود را به دیگرانی که مجاز نیستند ایجاد می کند. بنابراین درصورتی که نیاز واقعی به این قابلیت ندارید، به اشتراک گذاری فایل را متوقف نمایید.

قطع اتصال به اینترنت در مواقع عدم استفاده :
به خاطر داشته باشید که بزرگ راه دیجیتال یک مسیر دوطرفه است و اطلاعات ارسال و دریافت می شوند. قطع اتصال کامپیوتر به اینترنت در شرایطی که نیازی به آن نیست احتمال اینکه کسی به دستگاه شما دسترسی داشته باشد را از بین می برد.

تهیه پشتیبان از داده های موجود بر روی کامپیوتر :
همواره برای از بین رفتن اطلاعات ذخیره شده بر روی حافظه دستگاه خود آمادگی داشته باشید. امروزه تجهیزات سخت افزاری و نرم افزاری متنوعی برای تهیه نسخه های پشتیبان توسعه یافته اند که با توجه به نوع داده و اهمیت آن می توان از آنها بهره گرفت. بسته به اهمیت داده باید سیاست گذاری های لازم انجام شود. در این فرایند تجهیزات مورد نیاز و زمان های مناسب برای تهیه پشتیبان مشخص می شوند. علاوه بر این باید همواره دیسک های Start up در دسترس داشته باشید تا در صورت وقوع اتفاقات نامطلوب بتوانید در اسرع وقت سیستم را بازیابی نمایید.

گرفتن منظم وصله های امنیتی(Patches) :
بیشتر شرکت های تولید کننده نرم افزار هر از چند گاهی نرم افزارهای به روز رسان و وصله های امنیتی جدیدی را برای محصولات خود ارائه می نمایند. با گذر زمان اشکالات جدید در نرم افزارهای مختلف شناسایی می شوند که امکان سوءاستفاده را برای هکرها بوجود می آورند. پس از شناسایی هر اشکالی شرکت تولید کننده محصول اقدام به نوشتن وصله های مناسب برای افزایش امنیت و از بین بردن راه های نفوذ به سیستم می کنند. این وصله ها بر روی سایت های وب شرکت ها عرضه می شود و کاربران باید برای تامین امنیت سیستم خود همواره آخرین نسخه های وصله ها را گرفته و بر روی سیستم خود نصب کنند. برای راحتی کاربران ابزارهایی توسعه داده شده اند که به صورت اتوماتیک به سایت های شرکت های تولید کننده محصولات وصل شده، لیست آخرین وصله ها را دریافت می نمایند. سپس با بررسی سیستم موجود نقاط ضعف آن شناسایی و به کاربر اعلام می شود. به این ترتیب کاربر از وجود آخرین نسخه های به روز رسان آگاه می شود.

بررسی منظم امنیت کامپیوتر :
در بازه های زمانی مشخص وضعیت امنیتی سیستم کامپیوتری خود را مورد ارزیابی قرار دهید. انجام این کار در هر سال حداقل دو بار توصیه می شود. بررسی پیکربندی امنیتی نرم افزارهای مختلف شامل مرورگرها و حصول اطمینان از مناسب بودن تنظیمات سطوح امنیتی در این فرایند انجام می شوند.
حصول اطمینان از آگاهی اعضای خانواده و یا کارمندان از نحوه برخورد با کامپیوترهای آلوده :
هر کسی که از کامپیوتر استفاده می کند باید اطلاعات کافی در مورد امنیت داشته باشد. چگونگی استفاده از ضدویروس ها و به روز رسانی آنها، روش گرفتن وصله های امنیتی و نصب آنها و چگونگی انتخاب گذرواژه مناسب از جمله موارد ضروری می باشد.

10-3 خلاصه مطالب :
*آشنایی با شبکه و انواع سرویس های آن
* انواع روش های دسترسی به خط انتقال اطلاعات در شبکه
*کابل به کار برده در شبکه و استاندارد به کار رفته در اتصال سیم های شبکه شرکت
*آشنایی با آرایش ستاره ای سیستم ها و نحوه ارتباط سیستم ها در این شرکت
*نصب سیستم عامل Windows Server بر روی سیستم هایی که دچار مشکلات ویروسی
شده بودند و برای راه اندازی مجدد شبکه نیاز به نصب این نرم افزار و تنظیمات دیگر داشتند .
*آشنایی با امنیت شبکه و مواردی که امنیت شبکه را تهدید می کند
*نصب نرم افزار Fire Wall بر روی تک تک سیستم ها برای محافظت در برابر حملات و نفوذ در سیستم های شرکت
*آشنایی باDNS و DHCP
*آشنایی با دامین و طریقه ساختن یک Active Directory Domain
( در پایان از استاد راهنما جناب مهندس شیرزاد بیات که مرا در هرچه بهتر کردن این گزارش یاری کردند کمال تشکر را دارم.)

منابع:

1-کتاب شبکه های کامپیوتری اندرو اس تنن بام (ترجمه دکتر پدرام)
2-کتاب شبکه های کامپیوتری سال سوم هنرستان رشته کامپیوتر (فنی) چاپ 85
3- چند سایت اینترنتی منجمله :
http://www.ircert.com
http://www.prozhe.com
http://www.srco.ir
http://computer224.persianblog.com
pctips.javanblog.com
foxttm.pib.ir

27


تعداد صفحات : 55 | فرمت فایل : WORD

بلافاصله بعد از پرداخت لینک دانلود فعال می شود

    موضوعات اصلی

    آخرین محصولات