ماهیت و نحوه پیکربندی دستگاه های شبکه ای استفاده از فن آوری های متعدد و درعین حال پویا در طراحی ، پیاده سازی و نگهداری شبکه های کامپیوتری ، ضرورت ارتقاء مستمر دانش برای علاقه مندان فعالیت در این عرصه را به یک باید تبدیل کرده است . صرفنظر از میزان اطلاعات شما در خصوص شبکه های کامپیوتری، همواره لازم است که با یک دید جدید به بازنگری اندوخته های خود پرداخته تا از این رهگذر یک ساختار مناسب علمی در جهت مدیریت و اشکال زدائی بهینه شبکه در ذهن ایجاد گردد .
علاقه مندان فعالیت در عرصه مدیریت شبکه های کامپیوتری ، می بایست دارای اطلاعات مناسبی در موارد متعددی نظیر تفاوت روتر با سوئیچ و اصول اولیه آدرس دهی IP باشند. علاوه بر این ، توجه دقیق به برخی از مفاهیم کلیدی در خصوص ماهیت و نحوه پیکربندی دستگاه های شبکه ای نیز حائز اهمیت است . در ادامه به بررسی مواردی خواهیم پرداخت که توجه به آنها، مسیر ما را برای حرکت منطقی و سریع به سمت جلو هموارتر می نماید.
نکته اول : آگاهی از تفاوت بین پروتکل های routing و routed واژه routing در شبکه های کامپیوتری به انتخاب مسیر جهت ارسال داده اطلاق می گردد. پروتکل های routing ، به آندسته از پروتکل هائی اطلاق می شود که مسئولیت توزیع اطلاعات روتینگ بین سایر روترهای موجود در یک شبکه را برعهده دارند. هر روتر می بایست نسبت به سایر شبکه هائی که به وی متصل شده اند آگاهی داشته باشد . پروتکل های زیر نمونه هائی از پروتکل های routing می باشند :
OSPF ( برگرفته از Open Shortest Path First )
RIP ( برگرفته از Routing Information Protocol )
EIGRP ( برگرفته از Enhanced Interior Gateway Routing Protocol )
BGP ( برگرفته از Border Gateway Protocol )
هر پروتکل شبکه که اطلاعات لازم در سطح لایه شبکه را ارائه می نماید تا به کمک آن یک packet بتواند از یک میزبان به میزبان دیگر ( بر اساس یک مدل آدرس دهی ) ارسال گردد ، یک پروتکل routed محسوب می گردد . این نوع پروتکل ها فرمت یک packet را تعریف و از فیلدهای موجود در آن استفاده می نمایند . پروتکل IP یک نمونه از پروتکل های routed و NetBEUI ( برگرفته از NetBIOS Extended User Interface ) نمونه ای از یک پروتکل non-routable است .
نکته دوم : آشنائی با حالات متفاوت مدیریت روتر بخش رابط کاربر IOS روترهای سیسکو به چندین حالت (mode ) متفاوت تقسیم می گردد . هر command mode ، امکان پیکربندی عناصر مختلفی را بر روی روتر فراهم می نماید . با توجه به موضوع فوق ، مدیران شبکه می بایست شناخت مناسبی نسبت به هر یک از سطوح مجاز روتر داشته باشند . به عبارت دیگر ، آگاهی و شناخت مناسب نسبت به عملکرد هر command mode و نحوه استفاده از پتانسیل های موجود، امکان پیکربندی بهینه روتر را فراهم می نماید.
User Exec Mode : پس از log in به یک روتر سیسکو ، به صورت پیش فرض در این mode قرار خواهیم گرفت . در mode فوق ، عملیات زیادی را نمی توان انجام داد و صرفا" امکان دستیابی و مشاهده برخی اطلاعات وجود دارد . در این mode امکان تغییر پیکربندی روتر وجود ندارد . از دستور enable برای استقرار در Privileged EXEC Mode استفاده می گردد .
Privileged Exec Mode : پس از استقرار در این mode با استفاده از مجموعه دستورات موجود می توان به مجموعه کاملی از اطلاعات دستیابی داشت . مثلا" با استفاده از گونه های مختلف دستور show می توان اطلاعات گسترده ای در خصوص وضعیت روتر و پیکربندی آن را مشاهده نمود . در این mode نیز نمی توان پیکربندی روتر را تعییر داد و می بایست از سایر مدهای زیر مجموعه ( sub modes ) استفاده نمود . از دستور config terminal به منظور استقرار در Global Configuration Mode استفاده می گردد .
Global Configuration Mode : با استفاده از امکانات موجود در این mode می توان پیکربندی روتر را تغییر داد . از دستور exit به منظور برگشت به Privileged Exec Mod استفاده می گردد .
نکته سوم : شناخت مناسب نسبت به گونه های مختلف دستور show دستور show ، از جمله دستورات مهم در IOS سیسکو است که از آن در موارد متعددی استفاده می گردد . با این که می بایست با تمامی قابلیت های این دستور آشنا گردید ولی استفاده از آن در برخی موارد دارای اهمیت بیشتری است :
Show ip route : دستور فوق ، مسیرهای موجود بر روی روتر را نمایش می دهد ( اطلاعات موجود در جدول روتینگ IP ) . مسیرهای روتر می توانند به صورت ایستا و یا پویا تعریف گردند . در صورت عدم تعریف یک مسیر پیش فرض و یا عدم وجود مقصدی که ترافیک روتر می بایست به آن هدایت شود ، روتر ترافیک منتقل شده به خود را نادیده گرفته و از آن صرفنظر می نماید .
show running-configuration : دستور فوق ، پیکربندی جاری روتر را نشان می دهد . در صورت اعمال هرگونه تغییرات در پیکربندی روتر ، می بایست با استفاده از دستور copy run start آنان را ذخیره نمود .
show ip interface brief : دستور فوق ، خلاصه ای از وضعیت جاری تمامی اینترفیس های موجود بر روی روتر را نمایش می دهد . از خروجی این دستور می توان به منظور تشخیص تعداد و نوع اینترفیس ها ، آدرس و وضعیت آنان ( فعال بودن و یا غیرفعال بودن ) ، استفاده نمود.
نکته چهارم : آگاهی از نحوه عملکرد آدرس های IP خصوصی و NAT با یکدیگر بر اساس RFC 1918 ، آدرس های IP خصوصی قابل route بر روی شبکه اینترنت نمی باشند .از آدرس های فوق صرفا" در شبکه های داخلی استفاده می گردد و روترهای اینترنت ترافیک دریافتی از این نوع شبکه ها را دورخواهند انداخت .
|
10.0.0.0 /8 or 255.0.0.0 |
اکثر شرکت ها و شبکه های موجود در منازل در حال حاضر از آدرس های IP خصوصی استفاده می نمایند . شاید برای شما این سوال مطرح شده باشد که با توجه به این که روترها اینگونه آدرس ها را route نخواهند کرد ، نحوه مبادله اطلاعات از طریق کاربران اینگونه شبکه ها برروی اینترنت به چه صورت است ؟ در پاسخ می بایست به این موضوع اشاره نمود که در این نوع شبکه ها از NAT ( برگرفته از network address translation ) استفاده می گردد . NAT ، آدرس های IP خصوصی را به آدرس های IP عمومی تبدیل ( ترجمه ) می نماید .( در زمان ارسال و برگشت درخواست کاربران ) .
نکته پنجم : آگاهی از نحوه اشکال زدائی شبکه با استفاده از مدل OSI اشکال زدائی شبکه از جمله وظایف مهم مدیران شبکه های کامپیوتری است که در صورت عدم تبعیت از یک رویکرد علمی به منظور برخورد با آن ، اتلاف منابع موجود خصوصا" زمان را به دنبال خواهد داشت . به منظور اشکال زدائی شبکه از روش های متفاوتی استفاده می گردد . پیشنهاد می گردد که از لایه فیزیکی ( لایه اول) مدل OSI کار شروع شود و بتدریج به سمت لایه های دیگر حرکت گردد . رویکرد فوق ، یکی از سریعترین روش های اشکال زدائی در شبکه های کامپیوتری است .
امروزه شاهد حضور مقتدرانه سیستم های عامل در تمامی عرصه های پردازش اطلاعات می باشیم .سیستم عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی حیاتی و تعیین کننده در رابطه با نحوه مدیریت منابع سخت افزاری و نرم افزاری است . پرداختن به مقوله امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است . بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام تا از یک طرف تصمیم گیرندگان مسائل استراتژیک در یک سازمان قادر به انتخاب منطقی یک سیستم عامل باشند و از طرف دیگر امکان نگهداری و پشتیبانی آن با در نظر گرفتن مجموعه تهدیدات موجود و آتی ، بسرعت و بسادگی میسر گردد .
اکثر کرم ها و سایر حملات موفقیت آمیز در اینترنت ، بدلیل وجود نقاط آسیب پذیر در تعدادی اندک از سرویس های سیستم های عامل متداول است . مهاجمان ، با فرصت طلبی خاص خود از روش های متعددی بمنظور سوء استفاده از نقاط ضعف امنیتی شناخته شده ، استفاده نموده و در این راستا ابزارهای متنوع ، موثر و گسترده ای را به منظور نیل به اهداف خود ، بخدمت می گیرند . مهاجمان ، در این رهگذر متمرکز بر سازمان ها و موسساتی می گردند که هنوز مسائل موجود امنیتی ( حفره ها و نقاط آسیب پذیر ) خود را برطرف نکرده و بدون هیچگونه تبعیضی آنان را بعنوان هدف ، انتخاب می نمایند . مهاجمان بسادگی و بصورت مخرب ، کرم هائی نظیر : بلستر ، اسلامر و Code Red را در شبکه منتشر می نمایند. آگاهی از مهمترین نقاط آسیب پذیر در سیستم های عامل ، امری ضروری است . با شناسائی و آنالیز اینگونه نقاط آسیب پذیر توسط کارشناسان امنیت اطلاعات ، سازمان ها و موسسات قادر به استفاده از مستندات علمی تدوین شده بمنظور برخورد منطقی با مشکلات موجود و ایجاد یک لایه حفاظتی مناسب می باشند.
شناسائی متداولترین پورت هائی که تاکنون مهاجمان با استفاده از آنان حملات خود را سازماندهی نموده اند ، امری لازم و ضروری است . برخی از پورت ها بدفعات و بطور متناوب توسط مهاجمان و به منظور انجام یک تهاجم مورد استفاده قرار گرفته است . با بلاک نمودن اینگونه پورت ها ، حداقل امکانات لازم به منظور ایجاد یک محیط ایمن ایجاد خواهد شد . بهترین روشی که در این رابطه توصیه شده است ، بلاک نمودن تمامی پورت ها ( غیرفعال نمودن تمامی ترافیک ) و صدور مجوز جداگانه برای هر یک از پروتکل های مورد نیاز در یک سازمان و با توجه به شرایط موجود می باشد . حتی در صورتی که تمامی پورت ها بلاک شده باشند ، می بایست بطور مستمر آنان را به منظور تشخیص مزاحمت ها و سوء استفاده های احتمالی مانیتور نموده تا در صورت بروز مشکلات احتمالی سریعا" نسبت به رفع آنان اقدام گردد .
بخاطر داشته باشید که پورت های زیر را می بایست بر روی تمامی کامپیوترهای میزبان با لحاظ نمودن مسائل امنیتی پیکربندی نمود . غیر فعال نمودن پورت های زیر خلاء طراحی یک سیاست امنیتی را پر نخواهد کرد و می بایست در این رابطه تابع یک سیستم و سیاست امنیتی مناسب باشیم .
جدول زیر متداولترین پورت های آسیب پذیر را تاکنون توسط مهاجمان بکار گرفته شده است ، نشان می دهد :
|
Name |
Port |
Protocol |
Description |
| Small services | <20 | tcp/udp | small services |
| FTP | 21 | tcp | file transfer |
| SSH | 22 | tcp | login service |
| TELNET | 23 | tcp | login service |
| SMTP | 25 | tcp | |
| TIME | 37 | tcp/udp | time synchronization |
| WINS | 42 | tcp/udp | WINS replication |
| DNS | 53 | udp | naming services |
| DNS zone transfers | 53 | tcp | naming services |
| DHCP server | 67 | tcp/udp | host configuration |
| DHCP client | 68 | tcp/udp | host configuration |
| TFTP | 69 | udp | miscellaneous |
| GOPHER | 70 | tcp | old WWW-like service |
| FINGER | 79 | tcp | miscellaneous |
| HTTP | 80 | tcp | web |
| alternate HTTP port | 81 | tcp | web |
| alternate HTTP port | 88 | tcp | web (sometimes Kerberos) |
| LINUXCONF | 98 | tcp | host configuration |
| POP2 | 109 | tcp | |
| POP3 | 110 | tcp | |
| PORTMAP/RPCBIND | 111 | tcp/udp | RPC portmapper |
| NNTP | 119 | tcp | network news service |
| NTP | 123 | udp | time synchronization |
| NetBIOS | 135 | tcp/udp | DCE-RPC endpoint mapper |
| NetBIOS | 137 | udp | NetBIOS name service |
| NetBIOS | 138 | udp | NetBIOS datagram service |
| NetBIOS/SAMBA | 139 | tcp | file sharing & login service |
| IMAP | 143 | tcp | |
| SNMP | 161 | tcp/udp | miscellaneous |
| SNMP | 162 | tcp/udp | miscellaneous |
| XDMCP | 177 | udp | X display manager protocol |
| BGP | 179 | tcp | miscellaneous |
| FW1-secureremote | 256 | tcp | CheckPoint FireWall-1 mgmt |
| FW1-secureremote | 264 | tcp | CheckPoint FireWall-1 mgmt |
| LDAP | 389 | tcp/udp | naming services |
| HTTPS | 443 | tcp | web |
| Windows 2000 NetBIOS | 445 | tcp/udp | SMB over IP (Microsoft-DS) |
| ISAKMP | 500 | udp | IPSEC Internet Key Exchange |
| REXEC | 512 | tcp | } the three |
| RLOGIN | 513 | tcp | } Berkeley r-services |
| RSHELL | 514 | tcp | } (used for remote login) |
| RWHO | 513 | udp | miscellaneous |
| SYSLOG | 514 | udp | miscellaneous |
| LPD | 515 | tcp | remote printing |
| TALK | 517 | udp | miscellaneous |
| RIP | 520 | udp | routing protocol |
| UUCP | 540 | tcp/udp | file transfer |
| HTTP RPC-EPMAP | 593 | tcp | HTTP DCE-RPC endpoint mapper |
| IPP | 631 | tcp | remote printing |
| LDAP over SSL | 636 | tcp | LDAP over SSL |
| Sun Mgmt Console | 898 | tcp | remote administration |
| SAMBA-SWAT | 901 | tcp | remote administration |
| Windows RPC programs | 1025 | tcp/udp | } often allocated |
| Windows RPC programs | to | } by DCE-RPC portmapper | |
| Windows RPC programs | 1039 | tcp/udp | } on Windows hosts |
| SOCKS | 1080 | tcp | miscellaneous |
| LotusNotes | 1352 | tcp | database/groupware |
| MS-SQL-S | 1433 | tcp | database |
| MS-SQL-M | 1434 | udp | database |
| CITRIX | 1494 | tcp | remote graphical display |
| WINS replication | 1512 | tcp/udp | WINS replication |
| ORACLE | 1521 | tcp | database |
| NFS | 2049 | tcp/udp | NFS file sharing |
| COMPAQDIAG | 2301 | tcp | Compaq remote administration |
| COMPAQDIAG | 2381 | tcp | Compaq remote administration |
| CVS | 2401 | tcp | collaborative file sharing |
| SQUID | 3128 | tcp | web cache |
| Global catalog LDAP | 3268 | tcp | Global catalog LDAP |
| Global catalog LDAP SSL | 3269 | tcp | Global catalog LDAP SSL |
| MYSQL | 3306 | tcp | database |
| Microsoft Term. Svc. | 3389 | tcp | remote graphical display |
| LOCKD | 4045 | tcp/udp | NFS file sharing |
| Sun Mgmt Console | 5987 | tcp | remote administration |
| PCANYWHERE | 5631 | tcp | remote administration |
| PCANYWHERE | 5632 | tcp/udp | remote administration |
| VNC | 5800 | tcp | remote administration |
| VNC | 5900 | tcp | remote administration |
| X11 | 6000-6255 | tcp | X Windows server |
| FONT-SERVICE | 7100 | tcp | X Windows font service |
| alternate HTTP port | 8000 | tcp | web |
| alternate HTTP port | 8001 | tcp | web |
| alternate HTTP port | 8002 | tcp | web |
| alternate HTTP port | 8080 | tcp | web |
| alternate HTTP port | 8081 | tcp | web |
| alternate HTTP port | 8888 | tcp | web |
| Unix RPC programs | 32770 | tcp/udp | } often allocated |
| Unix RPC programs | to | } by RPC portmapper | |
| Unix RPC programs | 32899 | tcp/udp | } on Solaris hosts |
| COMPAQDIAG | 49400 | tcp | Compaq remote administration |
| COMPAQDIAG | 49401 | tcp | Compaq remote administration |
| COMPAQDIAG | 49401 | tcp | Compaq remote administration |
برگرفته از سایت سخاروش