جلسه دهم امنیت شبکه


ساعت ۸:٠٥ ‎ب.ظ روز ٢۳ اسفند ۱۳۸٧  

به نام خدا

پروتکلIPsec امنیتی

 

پروتکل‌IPSec در لایه سه اعمال شده و مکانیزم‌های امنیتی را بر روی پروتکلIP اعمال می‌کند. ایجاد این مکانیزم‌ها بر روی IP باعث می‌شود تا حدودی امنیت در شبکه‌ اینترنت بر روی داده‌ها اعمال شود. این پروتکل در لایه سه و به همراه IPv6 به صورت اجباری اعمال می‌شود و باعث ایمن نمودن ارتباط ایجاد شده در شبکه داخلی و در کل شبکه می‌گردد.

اعمال این پروتکل امنیتی در لایه سه، نیازی به تغییر در برنامه‌های کاربردی نصب شده در شبکه ندارد و پس از پیاده‌سازی آن، همان برنامه ها و پروتکل‌های قبل از اعمالIPSec به کار خود ادامه می‌دهند.

این پروتکل مسیریابی مطمینی در شبکه موجب می‌گردد و از بسیاری از حملاتی که ناشی از مسیریابی جعلی است ممانعت می‌نماید.

این پروتکل در دو م‍د transport و tunnel مورد بهره‌برداری قرار می‌گیرد. در مد انتقال، از payload یا همان داده و قسمتی از سرآیند IP که این پروتکل به آن اضافه شده است، محافظت می‌شود و سرآیندهای مربوط به IP محافظت نمی‌شوند.

 مد تونل‌زنی‌IPSec بر روی دروازه‌ها و یا گره‌هایی که توسط آنها اطلاعات از زیرشبکه خارج می‌گردد، اعمال می‌گردد و در زمان خروج بسته‌ها ایمنی بر روی آن‌ها اضافه می‌شود و از payload محافظت می‌گردد.

کل داده به همراه بخش‌های ایمنی، به عنوان داده جدید برای datagram جدید درنظر گرفته شده و سرآیند مربوط به datagram نیز محافظت می‌شود.  به این معنی که یک سرآیند خارجی امنیتی به کل بسته ‌IP شامل داده و سرآیند آن اضافه می‌گردد.

 

پروتکلIPsec از حملاتی نظیرIPSpoofing ممانعت می‌کند و به علت تعریف شماره‌های توالی در خود از حمله تکرار نیز جلوگیری می‌کند. در حمله تکرار مهاجم بسته فرستاده شده در شبکه را دریافت نموده و دوباره آن را ارسال می‌کند. در صورت داشتن شماره توالی و   یا sequence Number در یک بسته وقتی دوباره بسته‌ای فرستاده باشد، این شماره توالی در شبکه تکراری خواهد بود و گیرنده با دریافت این موضوع بسته را drop می‌کند. در صورتی که بسته‌ای نیز از شبکه حذف شود، شماره توالی مربوط به آن حذف شده است و شبکه متوجه مفقود شدن یک بسته خواهد شد.

نوشتن شماره توالی و time stamp و یا مهر زمانی‌ برای جلوگیری از حمله تکرار می‌باشد.

هر کدام از این دو مد کاری پروتکلIPSec، می‌توانند در دو نوع حالت پیاده‌سازی شوند. پیاده‌سازی این پروتکل با دو روش AH,ESP مورد اجرا قرار می‌گیرد.  سرویس‌های پروتکل AH شامل احراز هویت، یکپارچگی داده و کنترل دسترسی است.

روش ESP با رمزنگاری، شامل سرویس‌های محرمانگی داده، کنترل دسترسی و محرمانگی جریان داده می‌باشد.

هر دو روش از ایجاد حمله تکرار بسته‌ها با استفاده از یک مقدار شماره توالی سی و دو بیتی، ممانعت می‌کنند.  

زمان انتقال ترافیک، وقتی که بسته‌IP، به هر گره‌ای که بر روی آن IPSec نصب شده است، برخورد کند، بر اساس آدرس مقصد می‌تواند تشخیص دهد که این گره، کاربر نهایی، مسیریاب و یا یک دیواره آْتش است.

ادامه مطالب در مقاله های بعدی می‌آید.

سال جدید سال خوبی باشه و به آرزوهاتون برسین……………….



 
همایش گوگل در تهران


ساعت ٩:۳٩ ‎ب.ظ روز ۱٥ اسفند ۱۳۸٧  

به نام آنکه هر چه داریم و هر چه هستیم از اوست

سلام دوستان عزیز

همایش انجام شد. نظر شما را به گزارش این همایش جلب میکنم : http://Koushandeh.Persianblog.ir

با همکاری دوستان در تلاش هستیم که همایشی را در رابطه کار گروهی در گوگل و تعامل کاربران گوگل در ساختار اینترانت گوگل را با سخنرانی آقای پژمان دشتی نژاد برگزار کنیم.

دوستانی که علاقه مند به شرکت در این همایش هستند به ایمیل بنده به آدرس koushandeh@gmail.com ایمیل بزنید و SUBJECT ایمیل را Google بنویسید و یا برای اطلاع از مشخصات شخص سخنران به این آدرس مراجعه نمایید : http://www.cyberpejman.com

 این همایش دوشنبه نوزدهم اسفند 1387 از ساعت 4:45 الی 6:30 عصر برگزار شود. این سالن 100 تا 120 نفره می باشد.

* قابل توجه دوستان که آقای پژمان دشتی نژاد کارمند شرکت گوگل بوده است.

به نظر بنده این فرصت را از دست ندهید. شاد باشید.

آدرس محل همایش : تهران - بزرگراه جلال آل احمد - زیر پل گیشا - دانشکده مدیریت دانشگاه تهران - ساختمان شمالی - طبقه دوم- کلاس شماره 5

این همایش رایگان می باشد.

ویرایش شده در تاریخ 18 اسفند 87



 
جلسه چهاردهم آموزش Microsoft Windows Server 2003


ساعت ۱:٠٠ ‎ب.ظ روز ٦ اسفند ۱۳۸٧  

به نام آنکه هر چه داریم و هر چه هستیم از اوست

در ادمه مبحث آموزش شبکه در ویندوز سرور 2003 به سراغ سرویس SUS می رویم.


 Software Update Service )  SUS) :

تمام شما هم در شبکه های خود ویندوز و یا برنامه هایی دارید که از طریق اینترنت آنها را آپدیت می نمایید و بر روی هر کامپیوتر در شبکه این برنامه ها نصب شده اند و بایستی تک تک آنها از روی اینترنت خود را آپدیت نمایند. خوب در اینجا دو مشکل به وجود می آید یکی این میباشد که شما بایستی برای تک تک کامپیوترهای عملیات آپدیت را انجام دهید و دیگر اینکه پهنای باند بسیار زیادی برای آپدیت اختصاص داده می شود و این مقرون به صرفه نمی باشد و همچنین ترافیک شبکه نیز بالا میرود.

برای جلوگیری از مشکل ذکر شده ، سرویس SUS برطرف کننده آن می باشد. شما می توانید با راه اندازی این سرویس دارای 2 مزیت زیر شوید :

1- Update تمامی کلاینت ها با سرعت بیشتر ( که در ادامه گفته می شود به چه دلیل)

2- کاهش ترافک پهنای باند اینترنت.

در ابتدا بایستی این سرویس را نصب نماییم. برای نصب این سرویس بایستی IIS را نیز نصب نماییم.

* توجه داشته باشید که SUS برای خصوصا شبکه هایی که درایران هستند بسیار مفید می باشد چرا که پهنای باند اینترنت در ایران بالا نیست و شما می توانید با راه انداختن این سرویس از پهنای باند خود بهینه تر استفاده نمایید.

در جلسات بعدی بیستر در رابطه با SUS و طریقه استفاده از آن صحبت خواهیم کرد.

طریقه ساخت CD ویندوز با Service Pack جدید :

بسیاری از مواقع شما می خواهید برای خود سی دی ویندوز درست نمایید که حاوی سرویس پک جدید نیز باشد و نیازی به خرید سی دی ویندوز با Service Pack  جدید نداشته باشید ،به این کار که اصطلاحا ترکیب کردن ویندوز با جدیدترین سرویس پک می باشد را Slip Stream می گویند.

برای این کار مراحل زیر را به ترتیب انجام دهید :

1- ابتدا فولدر I386 ویندوز را در داخل هار کپی نمایید.

2- یک فولدر جداگانه به نام Service pack یا هر نام دیگر درست نمایید و آخرین سرویس پک را از اینترنت دانلود نمایید و در داخل آن Extract  نمایید. برای این کار دستور زیر را در Command Prompt وارد نمایید :

xpsp2.exe -x:d:\service pack

مثلا اگر فایلی که برای Service Pack  دانلود کرده اید به اسم xpsp2.exe باشد آنرا وارد کرده و با سوئیچ x- که برای Extract کردن است استفاده کرده و جلوی آن نام فولدری که ساخته اید و ی خواهید در آن Extract شود را وارد نمایید که مثلا اینجا نام فولدر Service pack  بوده و در درایو \:d قرار دارد.

3- در محیط Command Prompt وارد فولدری که سرویس پک در آن Extract شده ، شوید ( یعنی بزنید مثلا cd d:\service pack ) و سپس دستور زیر را وارد نمایید :

Update.exe  -S:e:\I386

در اینجا سوئیچ S- به معنای Slip Stream می باشد و سپس جلوی آن درایو و نام فولدر ویندوزی که در هارد کپی کرده بودیم را وارد نمایید.

بعد از انجام این عملیات فایلهای ویندوز با سرویس پک جدید مخلوط شده اند و آماده کپی بر روی سی دی می باشند.

با استفاده از برنامه Winiso یا هر برنامه دیگری از سی دی ویندوز با سرویس پک قدیمی یک Image بگیرید و بعد از آن فولدر I386 موجود در Image را پاک کرده و به جای آن فولدری که خودمان با اسم I386 درست کرده بودیم و حاوی سرویس پک جدید می باشد را در آن Image کپی می کنیم.

حال این Image را در یک سی دی رایت نموده و از سی دی ویندوز خود با سرویس پک جدید لذت ببرید.

شاد و پیروز باشید.لبخند