توسعه و ارتقاء شبکه ارتباطی ساختمان های شماره 1 و 2 استانداری خراسان رضوی
مقدمه :
با گسترش روز افزون استفاده از تکنولوژی اطلاعات برای انجام امور ، استفاده از رایانه و شبکه های رایانه ای به عنوان زیر ساخت این امر اهمیت بیشتری یافته است .شبکه های کامپیوتری به عنوان یکی از مهمترین زیرساختهای تحقق دولت الکترونیک در یک سازمان از اهمیت بسزایی برخوردار است که با توجه به پیشرفت سریع تکنولوژی لزوم بازنگری مداوم شبکه در بازه های مشخص زمانی بیش از پیش احساس می شود .
شبکه رایانه ای استانداری خراسان رضوی بصورت تدریجی از سال 1378 نصب و توسعه یافته است . محور اصلی این شبکه ساختمان جدید برج استانداری خراسان بود که اولین شبکه محلی بزرگ استانداری در این ساختمان بصورت توکار نصب و راه اندازی شد . تجهیزات Active مورد استفاده درآن زمان تجهیزات Accton بوده است .
در طرح توسعه بعدی تمامی ساختمان های استانداری تحت پوشش شبکه رایانه ای قرار گرفته و به یکدیگر متصل شده اند . در توسعه شبکه از تجهیزات Cisco استفاده شده است .
طرح حاضر با توجه نیاز به ارتقاء و توسعه شبکه استانداری و ساختمان های تابعه تهیه شده و مشتمل بر چهار بخش اهداف ، وضع موجود و چالشها ، وضع مطلوب و مزیتها و تجهیزات و هزینه ( فاز اول و دوم ) می باشد .
نحوه طراحی و اجرا بر مبنای اصول کابل کشی ساخت یافته
طراحی :
شبکه های کامپوتری باید مدل سه لایه داشته باشند . شبمه هایی که دارای سوئیچ های تماماً تک لایه اند ، غیر استاندارد هستند و پیاده سازی Routing و VLAN در آنها دشوار است .
کابل کشی ساخت یافته ، استانداردی برای اجرای درست یک پروژه شبکه کامپیوتری است که بر پایه ی آن چگونگی همبندی کابلها ، خم ها ، فواصل ، اجزای شبکه و … مشخص می شود . اجرای یک پروژه بر پایه ی اصول کابل کشی به شکل ساخت یافته ، تضمین کننده سلامت اتصالات و در نتیجه بستر فیزیکی مناسب است .
بستر فیزیکی و Back bone
اصول علمی :
بستر فیزیکی یک شبکه کامپیوتری ، خواه مبتنی بر باسیم و یا بی سیم ، باید از قابلیت اطمینان و سرعت و پهنای باند مناسب برخوردار باشد . ( تمام کابلها و سوئیچ های در نظر گرفته شده همگی دارای سرعت 1000Mb/s می باشند )
بستر اصلی شبکه یا Backbone رسانه ای است که تجهیزات فعال شبکه را به یکدیگر پیوند می دهد و امکان انتقال اطلاعات میان آنها را فراهم می آورد . پهنای باند این بستر دست کم 10 برابر پهنای باندی است که برای نقاط دسترسی فرهم است . در این ساختار ، تمام سوئیچ ها ، روترها و سرورهای شبکه با پهنای باند بالاتری با این بستر ارتباط دارند . ( در طرح ارائه شده ارتباط بین سوئیچ ها که جزئی از Backbone می باشد 10Gb/s در نظر گرفته شده است و از کابل فیبر نوری بدین منظور استفاده می شود )
اهداف :
* دستیابی به اهداف دولت الکترونیک
* افزایش بهره وری از VPN
* صرفه جویی در هزینه های جاری سازمان
* استفاده بهینه از تجهیزات و امکانات
* توسعه و ارتقاء شبکه ارتباطی ساختمان های شماره 1 و 2
وضع موجود و چالشها
وضع موجود :
بستر فیزیکی شبکه LAN در ساختمان شماره 2 مبتنی بر فیبر نوری با سرعت 1Gb/s می باشد . در ساختمان شماره 1 کابل کشی موجود در داخل طبقات مبتنی بر CAT5 با سرعت حداکثر 100Mb/s و ارتباط بین طبقات مبتنی بر CAT6 می باشد که با افزایش ارتباطات شبکه ( VPN وزارت کشور ، استانداریها ، فرمانداریها و بخشداریها ) ارتباط با ساختمان شماره 2 ، پیاده سازس نرم افزارهای کاربردی ( سیستم اتوماسیون اداری ، MIS معاونت پشتیبانی و توسعه منابع انسانی ) ، نرم افزار های انتخابات و … پاسخگوی نیازهای آتی نخواهد بود . در این خصوص ارتقاء این بستر به سرعت 1Gb/s با بستر فیبر نوری ضروری است . میزان تقریبی فیبر نوری مورد نیاز 3000 متر است . همچنین جهت استقرار Backbone شبکه با سرعت 1Gb/s نیاز به خریداری Manageable با امکانات VLAN و … می باشد . ارتباط بین ساختمان شماره 1 و 2 با تکنولوژی Wireless و یا ارتباط VPN ( خط دیتا / فیبر نوری ترجیحاً ) نیز نیازمند برقراری ارتباز دیتا ، خرید پهنای باند مناسب ( حداقل 100Mb/s با هزینه سالیانه 40 میلیون تومان ) ، خرید روتر ، مودم و … میباشد .
چالشها :
1. نیاز به ارتقاء سرورها
2. تجهیزات پشتیبان گیری
3. مخاطرات امنیتی و نیاز به بازنگری مستمر آن
4. مدیریت ، نظارت و سنجش دائمی شبکه
وضع مطلوب و مزیت ها
ارتقاء سرور ، خرید سرور مناسب و تجهیزات پشتیبان گیری :
سرور در واقع مرکزر اطلاعات هر سازمانی است و ایشتگاه های کاری دیگر به آن مرتبط شده و از اطلاعات و سرویس های آن بهره می برند . جهت تهیه سروری مناسب ابتدا باید نوع کاربری ، تعداد کاربران مرتبط با آن و نوع نرم افزارهای کاربردی روی آن مشخص شوند و پس از آن اقدام به تهیه سرور با سخت افزاری متناسب با نیاز نمود . داشتن پشتیبان در قطعات از شرایط دیگر یک سرور خوب است . به عنوان مثال داشتن دو پردازنده یا دو پاور با قابلیت تامین توان کافی و یا چند دیسک سخت جهت راه اندازی Raid نرم افزاری یا سخت افزاری از مزیت های یک سرور استاندارد می باشد . داشتن امکانات کافی تهیه نسخه پشتیبان از اطلاعات نظیر Tape Backup Driver و یا حتی یک دستگاه DVD Writer از مشخصه های دیگر یک سرور مناسب هستند .
بنابراین با ارتقاء Backbone شبکه به 1Gb/s و برقراری ارتباط دو ساختمان جایگزین نمودن PC های فعلی که به تعداد 7 دستگاه در ساختمان شماره 2 و 3 دستگاه در ساختمان شماره 1 به عنوان سرور استفاده می شوند و اضافه کردن 2 دستگاه سرور جدید برای امور Wsus و آنتی ویروس و … با مارک های معتبر مانند HP بسیار ضروری و اجتناب ناپذیر است .
پیاده سازی امنیت در سازمان :
امنیت مختص یک یا چند دستگاه کامپیوتری نبوده بلکه کل سازمان را شامل می شود . وجود اصول و اساسنامه جهت ایمن سازی اطلاعات سازمان از درب وروی شروع شده و تا محل قرارگیری اطلاعات ادامه پیدا می کند . تعریفی که برای امنیت می شود مرزها را شکسته و کلیه عوامل تهدید کننده اطلاعات را در سازمان شامل می شود . امکان از بین رفتن اطلاعات در اثر عوامل فیزیکی ( نظیر آتش سوزی ) ، تهدیدات نفوذگران شبکه ، ویروس ها و کرم های اینترنتی ، دزدی رسانه و … همگی از عوامل تهدید کننده اطلاعات سازمانها هستند لذا داشتن برنامه و استراتژی جامع و کاملی که کلیه موارد تهدید کننده و نحوه برخورد با هر یک را مشخص نماید از اولویت های هر سازمان می باشد . در زیر تنها به برخی از عوامل تهدید کننده اطلاعات شبکه های کامپیوتری اشاره شده است :
الف ) ویروس ها ، کرمها و تروجان ها :
با توجه به گسترش شبکه های کامپیوتری و ارتباط آنها با اینترنت ، امکان ورود نرم افزارهای مخرب کوچک نظیر ویروس ها ، کرمها و تروجان ها به سرورها و ایستگاه های کاری وجود خواهد داشت لذا استفاده از ویروس یابها و ویروس کش های مناسب باید در دستور کار مدیر شبکه قرار گیرد . همچنین وجود Adware و Spyware ، باعث کندی دستگاه های کامپیوتری و سرورها شده و از کارایی شبکه می کاهد .
ب ) ارتباط به اینترنت :
پیشرفت تکنولوژی و کاهش هزینه ارتباط به اینترنت ، سازمان ها را ترقیب به استفاده بیش ار پیش نموده است . شبکه های زیادی هستند که بطور مستقیم و بدون در نظر گرفتن هر گونه امکان امنیتی ، به اینترنت مرتبط هستند و از آن استفاده می کنند . در اینگونه شبکه ها ، خطر نفوذ به سیستم و سوء استفاده از اطلاعات سازمان و همچنین ورود انواع ویروس ها و کرم ها وجود خواهد داشت . جداسازی سرور ها و سرویس ها ، استفاده از دیواره آتش مناسب ، IPS ، IDS از راه حل های ارتباط امن با اینترنت محسوب می شوند . ساده ترین ساختاری را که در طراحی امنیت سازمان تان می توانید لحاظ کنید تقسیم بندی سرورها و شبکه کامپیوتری به سه ناحیه شبکه داخلی ، شبکه خارجی و ناحیه محافظت شده است . کلیه سرورها و ایستگاه های کاری که تنها باید در شبکه داخل سازمان در دسترس باشند و نیاز به ارتباط خارجی ندارند را در ناحیه شبکه داخلی ، اینترنت و شبکه های مرتبط با آن را در ناحیه شبکه خارجی و سرورهایی از شبکه داخلی که نیاز به ارتباط با اینترنت دارند ، در ناحیه محافظت شده یا DMZ قرار دهید . نمونه این سرورها FTP Server ، Mail Server هستند .
ج ) استفاده از دیواره آتش :
دیواره آتش نرم افزار یا سخت افزاری است که جهت کحافظت و دور از دستری قرار دادن شبکه داخلی از حملات و نفوذهای تحت شبکه مورد استفاده قرار نمی گیرد . با توجه به توضیحاتی که در قسمت قبل داده شد به کمک دیواره آتش سه ناحیه داخلی ، خارجی و محافظت شده را می توان از یکدیگر متمایز نمود و پاکت های در حال تبادل بین نواحی مختلف را مورد سنجش قرار داد و حتی از عبور پاکت های اطلاعاتی غیر ضروری ممانعت نمود .
Content Filtering ، Proxy ، Virus Scaning ، VPN ، SPAM Filter ، Anti Spyware ، Traffic Shaping ، Anti Phishing ، IPS/IDS و Ahthentication از مشخصه های دیگری هستند که باید در هنگام تهیه و انتخاب دیواره آتش ، آنها را مد نظر داشته باشید .
د ) سیاست نامه امنیتی :
تهیه و اجرای اساسنامه امنیت اطلاعات مبتنی بر استانداردهای موجود متناسب با سازمان و نوع کار پایه و اساس پیاده ساری امنیت می باشد . بدون داشتن برنامه و هدف اجرای امنیت در سازمان ، قادر به ایجاد فضایی امن برای اطلاعات نخواهید بود . دامنه این اساسنامه با نظر مدیر سازمان متفائت خواهد بود . دامنه حفاظت شده یا Scope می تواند کلیه بخش های سازمان را در بر گیرد و یا حتی بخش هایی از آن را پوشش دهد . معمولاً برای شروع پیاده سازی امنیت اطلاعات سازمان از واحد و بخش کوچمی آغاز کرده و به مرور آن را به بخش های دیگر تعمیم می دهند .
و ) نصب به موقع Service Packها و Patch ها :
وجود مشکلات متعدد سیستم عامل ها و نرم افزارهای مختلف ، سازندگان آنها را موظف به رفع مشکل آنها پس از شناسایی نوع مشکل می نماید لذا شرکتهای تهیه کننده نرم افزار اقدام به پخش نرم افزارهای رفع خطا در قالب Patch ها و Service Packها می نمایند . نصب به موقع این بسته های کوچک نرم افزاری رفع خطا ، مشکلات موجود را مرتفع ساخته و از سوء استفاده از نقص های موجود جلوگیری خواهد کرد . به عنوان مثال تاکنون Service Pack 4 برای Win 2000 و Win2003 Server از جانب شرکت مایکروسافت برای استفاده کاربران عرضه شده است که قابل Download بر روی سایت آن شرکت می باشند .
بنابراین یکپارچه نمودن شبکه استانداری خرید دو دستگاه فایروال جدید ، آنتی ویروس های قوی دارای مجوز ، تجهیزات نگهداری داده ها ، Recovery ، NAS و نرم افزارهای امنیتی ( در مقابل ویروس ها ، دسترسیهای غیر مجاز و … در سطح بانکهای اطلاعاتی و نرم افزارها ) ضروری و اجتناب ناپذیر است .
مدیریت ، نظارت و سنجش دائمی شبکه :
سنجش دائمی ترافیک شبکه و مانیتورینگ آن توسط ابزارهای مختلف نرم افزاری و سخت افزاری از عواملی مهم پیشگیری قبل از فاجعه هستند که باید در شبکه های کامپیوتری مدنظر قرار گیرند . بدین منظور می توان از سخت افزارها و نرم افزارهای مانیتورینگ نظیر Fluck Tester ، Cisco Works ، Solarwins و هزاران نرم افزار دیگر شبکه خود را مورد بازرسی و بازبینی قرار داده و مشکلات آن را قبل از بروز خطایی غیرقابل جبران ، مرتفع نمایید .
بنابراین خرید تجهیزات مدیریت شبکه و Monitoring از قبیل یک سوئیچ core قدرتمند و ماژولار ، خرید نرم افزار شناسایی نودهای غیر فعال و مشکل دار و تجهیزات عیب یابی شبکه و قطعی ان ضروری است .
فاز اول
تجهیزات و هزینه مربوطه :
با توجه به بررسی انجام شده تجهیزات مورد نیاز به انضمام هزینه خریداری برای توسعه و ارتقاء شبکه های ارتباطی ساختمان های شماره 1 و 2 در دو فاز پیش بینی شده است و تجهیزات مورد نظر برای فاز اول به شرح ذیل می باشد :
ردیف
موضوع
مبلغ برآوردی ( میلیون تومان )
1
تجهیزات passive و پیاده سازی آن شامل داکت کشی ، Keystone Patch Panel ، Patch Cord و …
30
2
3000 متر کابل فیبر نوری برای Backbone شبکه
10
3
11 عدد سوئیچ 48 پورت و 6 عدد سوئیچ 24 پورت با سرعت 1000Mb/s
120
4
یک عدد سوئیچ core ماژولار
90
5
12 عدد سرور HP
90
6
1 عدد Fluck Tester و تجهیزات مانیتورینگ شبکه
30
7
UPS
30
جمع ( فاز اول )
400
فاز دوم
در فاز دوم تجهیزات امنیتی ، پشتیبان گیری و برقراری ارتباط مد نظر قرار گرفته و برآورد هزینه بشرح ذیل می باشد :
ردیف
موضوع
مبلغ برآوردی ( میلیون تومان )
1
تجهیزات امنیتی ( خرید فایروال ، آنتی ویروس و …) و پیاده سازی استاندارد امنیتی
80
2
تجهیزات پشتیبان گیری (SAN)
120
3
تجهیزات برقراری ارتباط ساختمان شماره 1 و 2
100
جمع ( فاز دوم )
300
گزارش مستندات
پروژه ارتقای امنیت شبکه
استانداری خراسان رضوی
مقدمه :
پروژه امنیت شبکه استانداری خراسان در سال 1385 تعریف و به اجرا گذاشته شد . استانداری خراسان از حداقل امکانات نرم افزاری شبکه برخوردار بود . عدم وجودActive Directory ، عدم وجود سیستم های نرم افزاری مدیریت شبکه و عدم وجود FireWall مطمئن از بزرگترین نواقص این شبکه بود . بنابراین تصمیم بر این شد مه با بودجه تخصیص داده شده به این پروژه حداقل این امکانات مدیریتی / امنیتی فراهم گردد .
بزرگترین فعالیتی که صورت گرفت طراحی و پیاده سازی Active Directory در شبکه استانداری خراسان بود که با تلاش کارشناسان شرکت AD نصب و تمامی ویندوزهای ایستگاه های کاری شبکه به منظور یک دست سازی از نو نصب و با محدودیتهای امنیتی جدید ترکیب بندی شد .
علاوه بر این امنیت دسترسی به شبکه درونی استانداری از بیرون سازمان به کمک یک دستگاه Juniper FireWall تامین گشت . با توجه به بودجه تخصیص داده شده به این پروژه تامین امنیت فقط در سطح دسترسی از بیرون سازمان به شبکه تامین شد .
لازم است در مراحل بعدی کار سایر ملاحظات امنیتی نیز مورد توجه قرار گرفته و اجرا شود . مجموعه پیشنهادات لازم برای ادامه این کار به شرح ذیل می باشد :
* طراحی و نصب Active Directory جهت متمرکز ساختن شبکه
* نصب Antivirus تحت شبکه و مدیریت آن جهت بروز کردن کلاینت ها
* نصب سرویس Wsus در شبکه جهت گرفتن update های مایکرو سافت بطور آفیس
* تنظیمات تجهیزات ارتباطی استانداری
* نصب و راه اندازی کلاینت در شبکه
* طریقه گرفتن Backup Active Directory
* و …
فصل یک : تحلیل وضعیت موجود در شبکه استانداری
در شبکه استانداری خراسان برنامه های کاربردی زیر در حال اجرا می باشد :
شبکه فوق دارای domain نمی باشد و غیر متمرکز مدیریت می شود .
سرور و کلاینت بصورت workgoup کار می نمایند .
سروری که بتواند بصورت offline پچ های امنیتی را بگیرد وجود ندارد .
آنتی ویروس غیر قابل مدیریت و فقط update به روز share می شود .
نبودن سرویس Wins در شبکه
1 – سرور اتوماسیون اداری گویا :
ملاحظات مربوط به سرور و نرم افزارهای نصب شده :
* نرم افزار اتوماسیون گویا نصب شده بر روی server 2000 Sp4 که دارای SQL 2004 Sp4 می باشد .
* دارای Antivirus Symantec V.8.0 Server Based
* نرم افزار گویا Webbasedو با Active فعال و نرم افزار MDAC می باشد .
* متصل شدن سیستم دبیرخانه بصورت Ftp با user خاص جهت انتقال اطلاعات .
* Remot management جهت مدیریت از راه دور .
* داشتن Ip Valid برای Remot از طریق web
2- سرور روزنامه ها :
سرور فوق جهت ارائه روزنامه ها بطور آفلاین می باشد که دارای مشخصات نرم افزاری و سخت افزاری فوق می باشد .
3- سرور ذیحسابی :
سرور فوق جهت ارائه سروبی حسابداری می باشد که دارای مشخصات نرم افزاریو سخت افزاری فوق می باشد .
4- سرور پورتال :
سرور فوق جهت ارائه پورتال داخلی سازمان که دارای مشخصات نرم افزاری و سخت افزاری فوق می باشد .
5- سرور MIS
فصل دو : طراحی و نصب Active Directory و Antivirus & Wsus در شبکه استانداری
تحلیل و طراحی ساختار Active Directory :
ساختار OU ها :
بر اساس چارت سازمانی استانداری و سلسله مراتبی ساخته شود .
ساختار User Name & PassWord :
ساخت username دارای دو قسمت می باشد : 1- فامیل کاربر 2- دو حرف اول OU و پسورد به طور ترکیبی و کمتر از 8 کاراکتر نباشد .
ساختار اسامی رایانه ای :
نام کامپیوترها برگرفته از اول کلمه کامپیوتر C و نام کاربر همان سیستم و کد مربوطه
ساختار نصب آنتی ویروس در شبکه :
به این ترتیب بعد از نصب سرور آنتی ویروس همه Client ها از طریق شبکه نصب و به روز شوند که برای این منظور Symantec Antivirus در نظر گرفته شد .
ساختار به روز رسانی Client درشبکه :
به این ترتیب که بعد از نصب سرویس Wsus و استقرار آن در شبکه تمام کلینت ها از طریق این سرور بدون اتصال به اینترنت بتوانند به روز شوند .
مراحل نصب Active Directory : (سرور 1 )
1- نصب ویندوز سرور 2003
2- پارتیشن c:/ با ظرفیت 20G با فایل سیستم NTFS
3- IP Address : 192.168.100.15
4- DNS IP Address : 192.168.100.15
5- Name Server : Galaxy
6- تنظیم Time Synchronizing با خود DC
7- Dcpromo نصب AD
8- Full DNS Name : OstanKH.IR
9- Domain NetBIOS : OstanKH
10- نصب DNS همراه AD
مراحل نصب Active Directory : (سرور 2 )
1- نصب ویندوز سرور 2003
2- پارتیشن c:/ با ظرفیت 20G با فایل سیستم NTFS
3- IP Address : 192.168.100.16
4- DNS IP Address : 192.168.100.16/192.168.100.15
5- Name Server : Star
6- تنظیم Time Synchronizing با Galaxy.OstanKH.IR
7- Dcpromo نصب AD Additional
8- Full DNS Name : OstanKH.IR
9- Domain NetBIOS : OstanKH
10- نصب DNS همراه AD
تعریف Policy بر روی Domain Policy :
1- تعریف Script جهت نرم افزار Active Alternatiff
2- تعریف Security Setting
3- اضافه کردن admin و permission به profile ها جهت تعریف Profile Roaming در دبیرخانه
4- تنظیم System/Windows times Service با Server AD
5- Configuration Automatically Update : Every day , Time : 11:00 Am
6- Software Installation Office 2003 SPI
7- Internet Explorer Maintenance :
-proxy setting = 192.168.100.2 Port : 80
-URLs/home page : Http://192.168.100.11
8- Screen Saver : Enable 30 min
نصب و راه اندازی سرور Wsus & Antivirus :
نصب Wsus :
1- پارتیشن NTFS با ظرفیت 20G
2- نصب ویندوز سرور 2003 با SP1
3- IP Address : 192.168.100.14
4- DNS IP Address : 192.168.100.15 ; 192.168.100.16
5- Name Server : SRV-S
6- تنظیم Time Synchronizing با Galaxy.OstanKH.IR
7- Join کردن ویندوز به Domain استانداری
8- نصب IISV6 از سرویسهای ویندوز
9- نصب Wsus جهت گرفتن update مایکروسافت و نصب بر روی client شبکه استانداری
10- اختصاص دادن Valid IP و Synchronize کردن با سایت مایکروسافت و گرفتن update ویندوز server 2003 , office 2003 sp1 , 2000 , xp
نصب Antivirus Symantec 10.2.1 تحت شبکه :
نصب Antivirus نسخه سروری بر روی سرور SRV-S سپس به روز کردن آن حهت به اشتراک گذاشتن بین کلاینتها و سپس نصب کنسول مدیریتی جهت مدیریت و نصب clients
فصل سه : مکانیزم تست و استقرار
1- تعریف OU > IT Test
2- تعریف Policy جهت تست و اجرا
3- تعریف user هم نام با کاربران بخش IT
4- وصل کردن کلاینت ( هم نام با خود کاربر ) بخش IT به سرور AD و انتقال به OU IT
Setup کردن کلاینت اتوماسیون گویا :
نصب و تنظیم اتوماسیون :
1. منوی Tools گزینه Folder Option تب Security :
الف ) Low شدن Security سه گزینه Internet و Local Internet و Ttusted Sites
ب ) اضافه نمودن 2 آدرس ذیل در Ttusted Sites :
Http://192.168.100.1
Http://192.168.100.20
Http://Alternatiff.com
2. تب Connection دکمه LAN Setting :
الف ) تیک خوردن فقط چک باکس سوم و چهارم ، آدرس :
Proxy : 192.168.100.2
Port : 8080
ب ) دکمه Advanced : اضافه نمودن آدرسهای ذیل در قسمت Exceptions :
Http://192.168.100.1
Http://192.168.100.3
Http://192.168.100.20
3. تب Advanced در قسمت Printing ، تیک گزینه ذیل خورده شود :
Print Background Colors & Image
4. خاموش نمودن فایروال ( فقط حین نصب نرم افزار اتوماسیون اداری ) موقع وصل کردن Client به Domain
5. قابلیت نصب Mdac 2.8 به صورت جداگانه از طریق آدرس Http://192.168.100.1/officefg.htm
6. پس از نصب نرم افزار اتوماسیون جهت Client و مدیر سیستم و نرم افزار Alternatiff به ترتیب فایلهای ذیل در شاخه ویندوز کپی خواهند شد :
Gsworkflow.docfrulogo
Gsadmin.docfrulogo
Alternatiff Activex
این 3 فایل به لحاظ نصب مجدد نرم افزار اتوماسیون ( در صورت شکل دار شدن ) باید قابلیت پاک شدن داشته باشند .
7. کپی شدن شاخه Imaging در شاخه Windows XP و سپس اجرای xpreyocx.bat و دریافت 4 پیغام Successful
8. فارسی نمودن صفحه کلید از طریق kbdfa.dll : کپی نمودن dll ابتدا در مسیر C:windowssystem32dllcache و سپس کپی نمودن آن در شاخه system32 . کنسل نمودن پنجره ظاهر شده مبنی بر گذاشتن CD ویندوز و تایید نمودن پنجره مبنی بر عدم سازگاری بین dll 2
9. نصب فونت های فارسی fars.font
10. انجام تنظیمات ذیل در قسمت Regional & Language Option :
الف ) تب Regional Option : Farsi , Iran
ب ) تب Language : تیک خوردن گزینه اول
ج ) تب Advanced : Farsi و سپس تیک خوردن گزینه Apply All ……
11. Encoding صفحات
12. ایجاد میانبرهای ذیل بر روی صفحه :
نام : اتوماسیون اداری ( جهت کاربران عادی ) آدرس : Http://192.168.100.1
نام : اتوماسیون اداری ( جهت کاربران دبیرخانه ) آدرس : Http://192.168.100.1/new
نام : پورتال آدرس : Http://192.168.100.3
نام : روزنامه ها آدرس : Http://192.168.100.20
13. فعال نمودن Screen Saver پس از 5 دقیقه ( با حالت Password Protected )
14. قابلیت پاک نمودن پسوند VBD از طریق Folder Option/file type
15. نصب نرم افزارهای office و آنتی ویروس Symantec
مرحله آخر آوردن سرورها در Domain و تست آن در شبکه است .
فصل چهار : نصب و راه اندازی کلاینت در استانداری :
روال نصب ویندوز XPSp2 در تمام client ها و نرم افزارهای مربوطه ( کلیات )
1. مقدمات قبل از نصب
2. نصب OS
3. نصب نرم افزارها
4. بهینه سازی
5. تحویل
1. مقدمات قبل از نصب :
الف ) تنظیم تاریخ و ساعت در BOIS SET UP
ب ) غیر فعال کردن Virus Warning در BOIS SET UP
ج ) تغییر Boot Sequence در BOIS SET UP
د ) فراهم کردن درایو های مورد نیاز
ه ) بررسی سیستم کاربری ، اصلاخ شناسنامه سخت افزاری : آیا کسا از چاپگر shared استفاده می کند ؟
و ) تهیه Backup از اطلاعات کاربر روی شبکه
2. نصب os :
* پارتیشن بندی و نوع File System
* ( Set Defult >> Farsi ) Language & Time Zone
* Administrator Password
* CxxUsername = Computer Name
* Security Scope(Workgroup-Domain)
تغییر مجدد Boot Sequence در BOIS SETUP به Hard Disk Only
تنظیم Set Password (xxxxxxx)
نصب درایوها ( کلیه درایوها )
پیکربندی پروتکل TCP/IP
تنظیم ساعت ایستگاه با سرور
عضویت کامپیوتر در Domain ، تعریف کاربر در Domain ، عضویت موقت کاربر در گروه Domain Admin و Login به نام کاربر
پارتیشن بندی فضای باقیمانده هارددیسک مطابق دستورالعمل پارتیشن بندی
تعریف کاربرهای مورد نیاز کاربر
3. نصب نرم افزارها ( با نام کاربر مربوطه که موقتاً عضو Domain Admins است ) :
IE6 + Last Update ، اجرا
DirectX9.0b ( با دستور Dxding تست شود )
نصب office 2003 به همراه Service Pack آن . اجرا و پیکربندی MST , Policy
نصب فونت فارسی
Obat Reader6 ، اجرا و قبول Agreement
Flash Player و ACD See6
WinRAR3.2
Real بعضی ها
فعال کردن سرویس Automatic Update
مرحله آخر برگرداندن اطلاعات کاربر که local بوده می باشد .
4. بهینه سازی :
حذف Memory Dump
حذف پروفایل های اضافه Cache
Disk Clean Up و Defrag و Bootvis
غیر فعال کردن سرویسهای اضافی مطابق دستور العمل مربوطه
غیر فعال کردن کنترلرهای بلااستفاده در BOIS Set Up و انجام برخی از تنظیمات در OIS Set Up
مرتب کردن کابل ها از نظر ظاهر
5. تحویل :
Restart ، تست کاربر و نرم افزارهای مربوطه ( تهیه چک لیست تحویل )
تنظیمات شکافهای امنیتی
در ویندوز
1- امنیت فیزیکی :
واضح است که جلوگیری از دسترسی فیزیکی افراد غیر مجاز به کامپیوتر ضروری است و نادیده گرفتن این امر واضح ، صحیح نیست . واقعیت این است که بیشترین نفوذها به سیستمهای کامپیوتری از درون سازمانها ، ادارات یا شرکتها اتفاق می افتد . قفل کردن در اتاقی که کامپیوتر در آن قرار دارد ، استفاده از قفلهای ویژه برای case ، قرار ندادن کلید قفل در کنار کامپیوتر و … از جمله مواردی است که رعایت آنها اولین سطح امنیت را فراهم می کند .
2- استفاده از قابلیت NTFS :
همه درایوهای سیستم خود را بصورت NTFS در آورید . سیستم فایل NTFS سریعتر از FAT32 بوده ، امکان مجوزگذاری برای فایلها و پوشه ها را فراهم می کند . همچنین می توانید با امکان EFS اطلاعات خود را به رمز درآورید . برای تبدیل FAT32 به NTFS می توانید از دستور convert.exe و یا نرم افزار Partition Magic استفاده نمایید . ( برای استفاده از دستور convert در command prompt بنویسید convert driveletter: / fs:ntfs
3- غیر فعال کردن simple File Sharing :
بطور پیش فرض Windows XP کاربرانی را که می خواهند از طریق شبکه به کامپیوتر متصل شوند ، مجبور می کند تا از طریق کاربر Guest وارد شوند . یعنی اگر بدون استفاده از این فایروال امن به اینترنت متصل شوید ، تقریباً هر کسی می تواند به فایلهای Share روی کامپیوتر شما دسترسی داشته باشد . برای غیر فعال کردن simple File Sharing مراحل زیر را دنبال کنید :
* به start > My Computer > Tools > Folder Option مرجعه کنید .
* دکمه View را انتخاب نمایید .
* در بخش Advance Setting علامت Use simple File Sharing را بردارید و روی Apply کلیک کنید .
4- برای هم کاربران password بگذارید .
یک نکته قابل توجه اینکه کاربر Administrator در بخش Control Panel > UserAccount نمایش داده نمی شود و اگر هنگام نصب برای آن password تعیین نکرده باشیم ، هر کسی به راحتی از راه دور یا نزدیک می تواند با مجوز Administrator به دستگاه ها دسترسی داشته باشد . جهت گذاشتن password می توان از طریق زیر عمل کرد :
Control Panel > Administractive ToolS > Computer Mnangment > System Tools > Local Users and Groups > Users
5- استقاده با احتیاط از گروه Administrator :
بجز موارد ضروری برای کاربری که می خواهد با کامپیوتر شما کار کند اکانتی که در گروه Administrator باشد درست نکنید . برای کارهای معمول با دستگاه خود نیز یک اکانت عادی استفاده کنید .
6- غیر فعال کردن اکانت Guest :
اکانت Guest همواره یک روزنه محبوب به کامپیوتر شما برای نفوذگران به شمار می آید . حتی الامکان آنرا غیرفعال کنید و یا در صورت نیاز به وجود آن ، یک password مشکل برای آن انتخاب کنید .
7- استفاده از فایروال در صورت ارتباط با شبکه :
اگر از شبکه استفاده می کنید و خصوصاً اگر اتصال داوم به اینترنت دارید ، حتماً از یک فایروال شخصی استفاده کنید . به همراه Windows XP یک فایروال بنام ICF وجود دارد ، ولی بطور پیش فرض غیر فعال است . برای فعال سازی فایروال ICF مراحل زیر را طی کنید :
* به Control Panel > Network Connections مراجعه کنید .
* بر روی Local Area Connention کلیک راست کنید .
* در بخش Advanced گزینه
Protect my computer and network by limiting or preventing access to this computer from the internet را انتخاب کنید .
ICF تنها ترافیک ورودی را ***** کرده و به ترافیک خروجی کاری ندارد . بنابراین نصب فایروالهای شخصی دیگر پیشنهاد میشود . فایروالهای شخصی معروف عبارتند از : ZoneAlarm ، Outpost ، BlackIce ، McAfee و … البته نمی توان ادعا کرد یک فایروال بهترین است و هیچ ایرادی ندارد . کما اینکه در مورد فایروالهای فوق نیز گزارشات ضد و نقیضی مبتنی بر وجود حفره های امنیتی می رسد . به عنوان مثال در یک گزارش ادعا شده است که ZoneAlarm برای شرکت مایکروسافت جاسوسی می کند !
8- به روز نگهداری Windows با hotfix ها و service pack ها :
یک روش متداول نفوذگران ، استفاده از آخرین شکافهای امنیتی گزارش شده است . 99 درصد نفوذها بخاطر سوء استفاده از شکافهای امنیتی شناخته شده و به روز نگه نداشتن سیستمهای قربانی و نصب نکردن patch های امنیتی است . از امکان windows update و یا Automatic Update برای به روز نگهداری Windows خود استفاده نمایید . برای فعال سازی Automatic Update وارد بخش Control Panel ویندوز خود شوید و در مسیر Performance and Maintenance تنظیمات مورد نظر خود را در بخش Automatic Update انجام دهید .
9- نصب برنامه های ضد ویروس :
از ابتدایی ترین گامها در ایمن سازی سیستم ، نصب برنامه های ضد ویروس است . البته در صورتی که آنرا به روز نکنید ، تقریباً فایده ای برای شما نخواهد داشت . از جمله ضد ویروسهای معروف Norton و McAfee هستند . نسخه 2002 نرم افزار McAfee و 2003 Norton را می توان بمدت یکسال بدون نیاز به خرید به روز نمود .
10- استفاده از password برای screen saver :
استفاده از password برای screen saver باعث می شود اگر برای مدتی از میز کار خود دور شدید ، فرد غیرمجاز دیگری نتواند از کامپیوتر شما سوء استفاده نماید . برای پسورد گذاری روی screen saver باید :
* بر روی desktop کلیک راست کنید .
* گزینه Properties را انتخاب نموده ، بخش screen saver را انتخاب کنید .
* با تنظیم زمان لازم برای فعال شدن screen saver گزینه On resume , display Wellcome screen را انتخاب نمایید .
11- ایمنی اطلاعات Backup کامپیوتر :
در برخی موسسات و شرکتها هزینه زیادی برای بسترسازی امنیت شبکه های کامپیوتری خود و رمزکردن داده های روی کامپیوترها انجام می دهند ، ولی با کمال تعجب Backup همان داده های رمز شده بر روی CD ها و Tapeهایی که نه رمز شده اند و نه قفلی دارند و حتی در برخی موارد در مکان امنی هم نیستند قرار دارد !
انواع
دیواره های
آتش
انواع دیواره های آتش :
دیواره آتش به دو شکل سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ارائه می شود :
1- دیواره اتش های سخت افزاری :
این نوع از دیواره آتش ها که به آنان دیواره آتش های شبکه نیز گفته می شود بین کامپیوترها و کابل و یا خط ADSL قرار خواهند گرفت . تعداد زیادی از تولیدکنندگان و برخی از مراکز ISP ، دستگاه هایی با نام Router را ارائه می دهند که دارای یک دیواره آتش نیز می باشند .
دیواره آتش های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بوده و یک سطح مناسب حفاظتی را ارائه می نمایند .
دیواره آتش های سخت افزاری ، دستگاه های سخت افزاری مجزایی می باشند که دارای سیستم عامل اختصاصی خود می باشد . بنابراین بکارگیری آنان باعث ایجاد یک لایه دفاعی اضافه در مقابل تهاجمات می گردد .
2- دیواره آتش نرم افزاری :
برخی از سیستم عامل ها دارای یک دیواره آتش تعبیه شده دورن خود می باشند . بنابراین می توان دیواره آتش موجود در سیستم عامل را فعال نموده تا یک سطح حفاظتی در خصوص ایمن سازی کامپیوتر و اطلاعات ( به صورت نرم افزاری ) ایجاد گردد .
در صورتی که سیستم عامل نصب شده بر روی کامپیوتر فاقد دیواره آتش باشد ، می توان اقدام به تهیه یک دیواره آتش نرم افزاری کرد که در این حالت برای نصب دیواره آتش نرم افزاری بایستی از طریق سی دی درایو این روش اقدام گردد و حتی المقدور باید از نصب دیواره آتش نرم افزاری از طریق اینترنت اجتناب نمود . چون در این روش کامپیوتر محافظت نشده می باشد و در حین نصب نرم افزار امکان ایجاد مشکلات برای سیستم امکان پذیر می باشد
نحوه عملکرد دیواره آتش :
یک دیواره آتش کل ترافیم بین دو شبکه را بازرسی کرده ، تا طبق معیارهای حفاظتی و امنیتی پردازش شوند .
پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیافتد :
1- اجازه عبور بسته صادر می شود . (Accept mode )
2- بسته حذف می شود . ( Blocking mode )
3- بسته حذف شده و پاسخ مناسب به مبدا آن بسته داده می شود . (Response mode )
همچنین علاوه بر حذف بسته می توان عملیاتی نظیر ثبت ، اخطار ، ردگیری و جلوگیری از ادامه استفاده تز شبکه هم در نظر گرفت .
به مجموعه قواعد دیواره آتش سیاست امنیتی نیز گفته می شود . همانطور که همه جا عملیات ایست و بازرسی وقت گیر است ، دیواره آتش هم به عنوان گلوگاه می تواند منجر به بالا رفتن ترافیک ، تاخیر ازدحام و نهایتاً بن بست در شبکه شود . گاهی اوقات بسته ها آنقدر در پشت دیوار آتش معطل می مانند تا زمان طول عمرشان به اتمام رسیده و فرستنده مجبور می شود مجدداً اقدام به ارسال آنها کند و این متناوباً تکرار می گردد . به همین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا کمترین تاخیر را در اطلاعات امن و صحیح ایجاد نماید . تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید بگونه ای باشد که بحران ایجاد نکند .
از آنجایی که معماری شبکه به صورت لایه لایه است و مدل های مختلفی در طراحی شبکه می باشند ، در مدل TCP/IP برای انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایه ها را بگذارند ، هر لایه برای انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اضافه کرده و آن را تحویل لایه پایین تر می دهد . قسمت اعظم کار یک دیواره آتش تخلیل فیلدهای اضافه شده در هر لایه و header هر بسته می باشد .
سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنابر ماهیتشان در یکی از لایه های دیوار آتش تعریف می شوند :
1- قواعد تعیین بسته های ممنوع در اولین لایه از دیواره آتش
2- قواعد بستن برخی از پورت ها متعلق به سرویسهایی مانند FTP یا Telnet در لایه دوم
3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم
بنابراین دیواره آتش دارای سه لایه می باشد ، که جزئیات هر کدام به شرح زیر می باشد :
الف ) لایه اول دیواره آتش :
لایه اول دیواره آتش بر اساس تحلیل بسته IP و فیلدهای header این بسته کار می کند و در این بسته فیلدهای زیر قابل نظارت و بررسی هستند :
1- آدرس مبدا : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص حق ارسال بسته نداشته باشند و بسته های آنها به محض ورود به دیواره آتش حدف نشود .
2- آدرس مقصد : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص حق دریافت بسته نداشته باشند و بسته های آنها به محص ورود به دیواره آتش حذف شود .
3- شماره شناسایی یک دیتا گرام قطعه قطعه شده (Fragment & Identifier offset ) : بسته هایی که قطعه قطعه نشده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف نشوند .
4- شماره پروتکل : بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می توانند حذف نشوند . یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر ؟
5- زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسریاب را طی کرده اند مشکوک هستند و باید حذف نشوند .
6- بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیواره آتش قابل بررسی هستند .
مهمترین خصوصیت لایه ازن از دیواره آتش آن است که در این لایه بسته ها بطور مجزا و مستقل از هم بررسی می شوند و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یک بسته نیست . به همین دلیل ساده ترین و سریع ترین تصمیم گیری در این لایه انجام می شود . امروزه برخی مسیریابها با امکان لایه اول دیوار آتش به بازار عرضه می شوند . یعنی بغیر از مسیریابی وظیفه لایه اول یم دیواره آتش را هم انجام می دهند که به آنها مسیریابهای فیلتر کننده بسته (Pocket Filtering Router ) گفته می شود . بنابراین مسیریاب قبل از اقدام به مسیریابی بر اساس جدولی ، بسته های IP را غربال می کند و تنظیم این جدول بر اساس نظر مسئول شبکه و برخی قواعد امنیتی انجام می گیرد .
با توجه به سریع بودن این لایه هرچه درصد قواعد امنیتی در این لایه دقیقتر و سخت گیرتر باشند ، حجم پردازش در لایه های بالاتر کسر و در عین حال احتمال نفوذ پایین تر خواهد بود . ولی در مجموع به خاطر تنوع میلیاردی آدرسهای IP نفوذ در این لایه با آدرسهای جعلی یا قرضی امکان پذیر خواهد بود و این ضعف در لایه های بالاتر باید جبران شود .
ب ) لایه دوم دیواره آتش :
در این لایه از فیلدهای header لایه انتقال برای تحلیل بسته استفاده می شود . عمومی ترین فیلدهای بسته لایه انتقال جهت بازرسی در دیوار آتش عبارتند از :
1- شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورت های استاندارد شناخته شده هستند ، ممکن است مسئول یک دیوار آتش بخواهد سرویس FTP فقط در محیط شبکه محلی امکان پذیر باشد و برای تمام ماشین های خارجی این امکان وجود نداشته باشد . بنابراین دیواره آتش می تواند بسته های TCP با شماره پورت های 20 و 21 ( مربوط به FTP ) که مقصد ورود و خروج از شبکه را دارند ، حذف کند . یکی دیگر از سرویسهای خطرناک که ممکن است مورد سوء استفاده قرار گیرند Telnet می باشد که می توان به راحتی پورت 23 را مسدود کرد یعنی بسته هایی را که مقصدشان شماره پورت 23 است ، حذف شوند .
2- فیلد شماره ترتیب و فیلد Ackrowledgment : این دو فیلد نیز بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند .
3- کدهای کنترلی ( TCP code Bits ) : دیواره آتش با بررسی این کدها ، به ماهیت آن بسته پی برده و سیاست های لازم را بر روی آن اعمال می کند . بعنوان مثال یک دیواره آتش ممکن است بگونه ای تنظیم شود که تمام بسته هایی که از بیرون به شبکه وارد می شوند و دارای بیت SYN=1 هستند را حذف کند ، بدین ترتیب هیچ ارتباط TCP از بیرون به دورن شبکه برقرار نخواهد شد .
از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگذرد و چون در ارتباط TCP ، تا مراحل سه گانه اش به پایان نرسد ، انتقال داده امکان پذیر نیست لذا قبل از هرگونه مبادله دیواره آتش می تواند مانع برقراری هر ارتباط غیر مجاز شود . بدین معنا که دیواره آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نموده و در صورت قابل اطمینان نبودن مانع از برقراری ارتباط گردد . دیواره آتش این لایه نیاز به جدولی از شماره پورت های غیر مجاز دارد .
ج ) لایه سوم دیواره آتش :
در این لایه حفاظت بر اساس نوع سرویس و برنامه کاربردی انجام می شود . بدین معنا که با در نظر گرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد . تعداد header در این لایه بسته به نوع سرویس بسیار متنوع و فراوان است .
بنابراین در لایه سوم دیواره آتش برای هر سرویس مجزا ( مانند وب ، پست الکترونیک و … ) باید یک سلسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است .
بنابراین توصیه می شود که تمام سرویسهاس غیر ضروری و شماره پورت هایی که مورد استفاده نیستند در لایه دوم مسدود شوند تا کار در لایخ سوم کمتر باشد .
انواع فایروال ها از لحاظ عملکرد :
انواع مختلف فایروالها اعم از سخت افزاری و نرم افزاری ( که در واقع به نوعی فایروالهای سخت افزاری خود دارای سیستم عامل و نرم افزارهای مربوط به خود می باشند و بایستی تنظیم گردند ) ، روش انجام کار توسط آنها متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروالها می شود . بنابراین بر این اساس ، فایروال ها را به 5 گروه تقسیم می نمایند :
1- دیواره های آتش سطح مدار ( Circuit – Level Firewall ) :
این دیواره های آتش به عنوان یک رله برای ارتباطات TCP عمل می کنند . آنها ارتباط TCP را با رایانه پشتیبان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند . تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند . این نوع از دیواره های آتش هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند ضمناً امکان ایجاد محدودیت بر روی سایر پروتکل ها ( غیر از TCP ) را نیز نمی دهند .
2- دیواره های اتش پروکسی سرور ( Proxy Based Firewall ) :
فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازند . یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی را قطع می کند و خود به جای آنها درخواست را ارسال میکند . نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه هاب کاربردی ارسال می کند . این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند . از آنجایی که این دیواره های آتش پروتکل های سطح کاربرد را می شناسد ، لذا می توانند بر مبنای این پروتکل ها محدودیت هایی را ایجاد کنند . همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیت های لازم بپردازند . البته این سطح بررسی می تواند به کندی این دیواره های آتش بیانجامد . همچنین از آنجایی که این دیواره های آتش باید ترافیک ورودی و اطلاعات برنام های کاربردی کاربر انتهایی را پردازش کند ، کارایی آنها بیشتر کاهش می یابد . اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند این دیواره های آتش را به کار گیرد . هر برنامه جدیدی که بخواهد از این نوع دیواره آتش عبور کند ، باید تغییراتی در پشته پروتکل دیواره آتش ایجاد کرد .
عملکرد دیواره آتش پروکسی سرور بدین صورت می باشد که بطور مثال زمانی که یک کامپوتر مبدا تقاضای یک نشست (Session) مانند FTP یا برقراری ارتباط TCP با سرویس دهنده وب را برای کامپیوتر ارسال می کند ، فرایند زیر اتفاق می افتد :
پروکسی به نیابت از کامپیوتر مبدا این نشست را برقرار می کند . یعنی طرف نشست دیواره آتش خواهد بود نه کامپیوتر اصلی . سپس یک نشست مستقل بین دیواره آتش و کامپیوتر مقصد برقرار می شود . پروکسی داده ها مبدا را می گیرد ، سپس از طریق نشست دوم برای مقصد ارسال می نماید . بنابراین در دیواره آتش مبتنی بر پروکسی هیچ نشست مستقیم رودررویی بین مبدا و مقصد شکل نمی گیرد ، بلکه ارتباط آنها بوسیله یک کامپیوتر واسط برقرار می شود . بدین نحو دیواره آتش قادر خواهد بود بر روی داده های مبادله شده در خلال نشست اعمال نفوذ کند . حال اگر نفوذگر بخواهد با ارسال بسته های کنترلی خاص مانند SYN-ACK که ظاهراً مجاز به نظر می آیند واکنش ماشین هدف را در شبکه داخلی ارزیابی کند . در حقیقت واکنش دیواره آتش را مشاهده می کند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست آورد .
همچنین دیواره آتش پروکسی سرور به حافظه نسبتاً زیاد و CPU بسیار سریع نیازمند است و لذا نسبتاً گران تمام می شوند . بدین علت که این نوع دیواره آتش باید تمام نشست های بین ماشین های درون و بیرون شبکه را مدیریت و اجرا کند ، لذا گلوگاه شبکه محسوب می شود و هر گونه تاخیر با اشکال در پیکربندی آن ، کل شبکه را با بحران جدی مواجه خواهد نمود .
3- دیواره آتش غیر هوشمند یا فیلترهای Nosstatful pocket :
این نوع دیواره های آتش روش کار ساده ای دارند . آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند . این تصمیم ها با توجه به اطلاعات آدرس دهی موجود در پروتکل های لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکل های لایه انتقال مانند سرایندهای TCP و UDP اتخاذ می شود . این فیلترها زمانی می توانند بخوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند . همچنین این نوع دیواره های آتش می توانند سریع باشند ، چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکل های لایه کاربرد ندارند .
4- دیواره آتش هوشمند یا فیلترهای Stateful pocket :
دیواره آتشی که قادر باشد مشخصات ترافیک خروجی از شبکه را برای مدتی حفظ کنند و بر اساس پردازش آنها مجوز عبور صادر نمایند ، دیواره آتش هوشمند نامیده می شوند . این فیلترها یا به نوعی دیواره آتش با هوس تر از فیلترهای ساده هستند . آنها تقریباٌ تمامی ترافیک ورودی را بلوکه می کنند ، اما می توانند به ماشین های پشتشان اجازه بدهند تا به پاسخگویی بپردازند . آنها این کار را با نگهداری رکورد اتصالاتی که ماشین های پشتشان در لایه انتقال می کنند ، انجام می دهند . این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی دیواره آتش در شبکه مدرن هستند . این فیلترها می توانند ردپای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ، ثبت کنند .
برای مثال شماره پورت های TCP و UDP مبداو مقصد ، شماره ترتیب TCP و پرچم های TCP . بسیاری از فیلترهای جدید Stateful می توانند پروتکل های لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل ها انجام دهند .
همچنین فیلترهای هوشمند باعث می شود بسته هایی که با ظاهر مجاز می خواهند درون شبکه راه پیدا کنند را از بسته های واقعی تمیز داده شوند . بزرگترین مشکل این فیلترها غلبه بر تاخیر پردازش و حجم حافظه مورد نیاز می باشد ، ولی در مجموع قابلیت اعتماد بالاتری دارند و ضریب امنیت شبکه را افزایش خواهند داد و بطور کل یک دیواره آتش یا فیلتر هوشمند پیشینه ترافیک خروجی را برای چند ثانیه آخر به خاطر می سپارد و بر اساس آن تصمیم می گیرد که آیا ورود یک بسته مجاز است یا خیر ؟
5- دیواره های آتش شخصی ( Personal Firewall ) :
دیواره های آتش شخصی ، دیواره های آتشی هستند که بر روی رایانه های شخصی نصب می شوند . آنها برای مقابله با حملات شبکه ای طراحی شده اند . معمولاً از برنام های در حال اجرا در ماشین آگاهی دارند و تنها PC ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند . نصب یک دیواره آتش شخصی بر روی یک کامپیوتر بسیار مفید است ، زیرا سطح امنیت پیشنهادی توسط دیواره آتش شبکه را افزایش می دهد از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده ، انجام می شوند ، دیواره آتش شبکه نمی تواند کاری برای آنها انجام دهد و لذا یم دیواره آتش شخصی بسیار مفید خواهد بود . معمولاً نیازی به تغییر برنامه جهت عبور از دیواره آتش شخصی نصب شده ( همانند پروکسی ) نیست .
موقعیت یابی برای دیواره آتش :
محل و موقعیت نصب دیواره آتش همانند انتخاب نوع صحیح دیواره آتش و پیکربندی کامل آن ، از اهمیت ویژه ای برخوردار است . نکاتی که باید برای یافتن جای مناسب نصب دیواره آتش در نظر گرفت ، عبارتند از :
1- موقعیت و محل نصب از لحاظ توپولوژیکی :
معمولاً مناسب به نظر می رسد که دیواره آتش را در درگاه ورودی / خروجی شبکه خصوصی نصب کرد . این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک دیواره آتش از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند .
2- قابلیت دسترسی و نواحی امنیتی :
اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از دیواره آتش و در ناحیه DMZ قرار دهید . قرار دادن این سرورها در شبکه خصوصی و تنظیم دیواره آتش جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود و با هک شدن شبکه داخلی بدین علت که در این حالت مسیر را برای هکرها باز شده است . در حالی که با استفاده از ناحیه DMZ ، سرورهای قابل دسترسی برای شبکه عمومی از شبکه خصوصی بطور فیزیکی جدا می باشند . لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ نمایند ، باز هم دیواره آتش را پیش روی خود دارند .
3- مسیریابی نامتقارن :
بیشتر دیواره های آتش مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنها شبکه داخلی را به شبکه عمومی وصل کرده است ، نگهداری می کنند . این اطلاعات کمک می کنند تا تنها بسته های اطلاعاتی مجاز به شبکه خصوصی وارد شوند . در نتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به / از شبکه خصوصی از طریق یک دیواره آتش باشد .
4- دیواره های آتش لایه ای :
در شبکه های با درجه اهمیت بالا بهتر است از دو یا چند دیواره آتش در مسیر استفاده شود . در این حالت اگر اولین دیواره اتش با مشکلی روبرو گردد ، دومین دیواره آتش به کار خود ادامه می دهد . در این روش بهتر است از دیواره های آتش شرکت های مختلف استفاده گردد تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند .
توپولوژی های دیواره آتش :
برای پیاده سازی و پیکربندی دیواره آتش ها در یک شبکه از توپولوژی های متفاوتی استفاده می گردد .
توپولوژی انتخابی به ویژگی های شبکه و خواسته های موجود بستگی خواهد داشت .
دانشگاه
گزارش و مستندات کارآموزی
زیر نظر استاد محترم :
کارآموز : م
تابستان