جلسه سیزدهم آموزش +Network


ساعت ۱٠:٤٥ ‎ب.ظ روز ٢۸ مهر ۱۳۸۸  

به نام آنکه هر چه داریم و هر چه هستیم از اوست

با سلام به دوستداران شبکه و شبکه های کامپیوتری،

در ادامه مباحث مقدماتی شبکه، به برخی سرورها و نقش آنها در شبکه صحبت خواهیم کرد.

سرور دسترسی از راه دور (Remote Access Server یا RAS):

این سرویس با اجرای سرویسی قابلیت دسترسی کاربران از راه دور را برای آنها مهیا می کند. با تنظیم کردن این سرور و دیگر سرورهای مجموعه شبکه می توانیم به کاربر متصل شده امکانات داخل شبکه را همانطور که شخص در داخل خود شرکت یا سازمان دسترسی دارد در خارج از آن مجموعه نیز دسترسی داشته باشد و کار خود را انجام دهد. این اتصال در کل به دو صورت : 1- بر اساس درخواست یا Demand Dial و 2- همیشه متصل برقرار می شود که در درون ارتباطات و این سرور قابل تنظیم می باشد.

فایروال (Firewall) :

هنگامی که شبکه ما با بیرون از سازمان یا شرکت ارتباط داشته باشد و یا به طور مثال به اینترنت متصل باشد بایستی از دیوار آتش یا Firewall استفاده نماییم. امنیت دسترسی به اطلاعات چه از داخل و چه از خارج از یک سازمان توسط فایروال قابل تنظیم می باشد و در اصل این سیستم یک لایه و پوسته حفاظتی برای شبکه ما محسوب می شود و شبکه را از حملات مختلف که در شبکه ها رخ می دهد و همچنین کدهای مخرب که باعث از کار افتادن سرورها می شود، در امان نگه می دارد. فایروال ها در دو نوع سخت افزاری و نرم افزاری موجود می باشند. البته بایستی توجه داشت که در هر یک از این دو نوع دارای قابلیتها و مشکلات خاص خود می باشند.

Firewall های سخت افزاری، به آن دسته از فایروال ها گفته می شود که در بین شبکه شما و یک شبکه دیگر در سازمان دیگر و یا اینترنت قرار گرفته و سطوح امنیتی را برای شما فراهم می کند. قابل توجه می باشد که بسیاری از شرکت های سازنده قطعات شبکه فایروال را به صورت دستگاهی مجزا و یا به صورت مجموعه ای از قابلیتها بعلاوه فایروال ارائه می دهند. به طور مثال شرکت سیسکو Cisco در برخی از روترهای خود علاوه بر اینکه روتر کار اصلی خود که مسیریابی می باشد را انجام می دهد، دارای قابلیت امنیتی یا فایروال می باشد. هر چند اگر تمامی سرورها و دستگاههای شما دارای آخرین Patchها و وصله های امنیتی می باشد و همچنین از نرم افزار های آنتی ویروس به روز استفاده می کنید ولی فایروال ها یک سطح دیگر از لایه های امنیتی شما را اضافه کرده و در نتیجه در مقابل حملات هکرها و دیگر کاربران در امان بیشتر خواهید بود.

Firewall های نرم افزاری نیز برای برقراری لایه امنیتی استفاده می شوند. در برخی از سیستم عامل ها این نوع فایروال نصب شده است و بایستی آنرا فعال نمایید تا یک سطح حفاظتی اضافی در خصوص ایمن سازی کامپیوتر و اطلاعات، ایجاد گردد. در صورتی که حتی از فایروال سخت افزار استفاده می کنید پیشنهاد می کنیم که فایروال نرم افزاری را نیز فعال نمایید. در صورتی که در سیستم عاملی که نصب می کنید فایروال نرم افزاری وجود ندارد می توانید با نصب نرم افزارهای مختلفی که کار فایروال را انجام میدهند از این قابلیت برخوردار شوید. قابل توجه می باشد که فایروال های نرم افزاری در بسیاری از موارد از قیمت پایین تری نسبت به فایروال های سخت افزاری برخوردار می باشند.

* این نکته قابل اهمیت است که حتی شما از بهترین نرم افزارهای آنتی ویروس ، آخرین وصله های امنیتی سیستم عامل ها و بهترین فایروال های نرم افزاری و سخت افزاری استفاده نمایید باز نمی توانیم بگوییم که شبکه به طور 100 درصد ایمن شده است. ولی می توانیم امیدوار باشیم که شبکه از امنیت و حفاظت خوبی برخوردار است و حمله به این شبکه بسیار محدود و بسیار مشکل خواهد بود.

شاد و پیروز باشید.



 
جلسه دوازدهم آموزش لینوکس Linux


ساعت ۱۱:٤۸ ‎ب.ظ روز ۱٠ مهر ۱۳۸۸  

به نام خدا

تنظیم و پیکر بندی DNS - Domain Name System :

سیستم سلسله مراتبی که میزبان (host) موجود در اینترنت از طریق آن صاحب نشانی نام حوزه مثل www.subnet.ir میشوند و هم صاحب ip address مثل 192.173.5.3
نشانی نام حوزه توسط اشخاص به کار برده میشود و به طور خودکار به ip address عددی تبدیل میشود.این نشانی توسط نرم افزار تعیین کننده مسیر بسته ها مورد استفاده قرار میگیرد
شماره پورت 53 به DNS تعلق گرفته است

اجزای تشکیل دهنده DNS

1.Logical components-DNS name space
2.Physical components-ZOnes

DNS name space


Zones
zone ها یک شی هستند که پیکربندی DNS را شامل میشوند
ِِDNS name space ساختار و سلسله مراتب استفاده از اسم domain را مشخص میکند

DNS ساختار



انواع مختلف zone عبارتند از

1.Forward lookup zone
2.Reverse lookup zone


Forward lookup zone
این zone اطلاعات  تبدیل اسم domain به ip address را در بردارد
به یاد داشته باشید آدرسی مثل www.subnet.ir را (FQDN(Fully Qualified Domain Name میگویم که subnet.ir اسم دومین و www اسم host میباشد.پس به تعبیری دیگر forward lookup zone عمل تبدیل FQDN را به IP بر عهده دارد



Reverse lookup zone
این zone حاوی ip address برای host و یک pointer(اشاره گر) برای host record ها در forward lookup zone میباشد

هر zone میتواند به انواع مختلفی پیکربندی شود
host recod ها در forward lookup zone قرار دارند host recod ها به منظور ذخیره forward lookup zone ساخته میشود

1.Primary zone
2.secondary zone
3.stub zone

Primary zone(Default zone
اولین zone که درست میکنیم primary است

Secondary zone
یک نسخه مشابه از primary zone است که به دلیل back up و load balancing(توزیع بار کاری ) ایجاد میشود

Stub zone
name server record ها را در بردارد

قبل از اینکه به سراغ پیکربندی DNS برویم لازم است که با بعضی اصطلاحات و تنظیمات آشنا شوید


Daemon
فرایندی که در پس زمینه است و از سرویسی که در سیستم در جریان هست را پشتیبانی میکند و تنها در صورت نیاز فعال میشود

named نامیده میشود

BIND
B
erkeley Internet Names Domain, یک سرویس دهنده برای نام zone که در ابتدا در دانشگاه کالیفرنیا برای نگارش BSD یونیکس نوشته شد,اما در حال حاضر برای بیشتر نگارشهای یونیکس در دسترس است.وظیفه این سرویس دهنده ترجمه نام zone از حالت قابل درک برای انسان به نشانیهای عددی IP است که بطور گسترده در سرویس دهنده های اینترنت مورد استفاده قرار میگیرد

از فرمان زیر به منظور چک کردن اینکه package نصب شده است یا خیر استفاده میکنیم
daemon که برای DNS استفاده میشود

#rpm -qa bind*

از فرمان زیر به منظوراینکه آیا DNS در حالت اجرا هست یا خیر استفاده میکنیم

#service named status

بطور مثال قصد داریم DNS رابرای سایتی با نام www.pooya.com تنظیم کنیم
همانطور که گفته شده pooya.com اسم دومین و www اسم host میباشد.ابتدا باید domain name و host name را برای سیستمان از طریق مسیر زیر تعیین کنیم
برای تعیین host name در مسیر زیر تغییرات را انجام میدهیم

#vi /etc/sysconfig/network
#HOSTNAME=www

از مسیر زیر برای تعیین اسم دومین استفاده میکنیم

#vi /etc/hosts
192.168.10.1              pooya.com     www

  بخاطرداشته باشید ip 192.168.10.1 آدرس DNS ما میباشد و و پس از تغییرات باید سیستم را با فرمان init 6 دوباره راه اندازی کنیم


حال به سراغ پیکربندی named.conf که در دایرکتوری etc/named.conf قرار دارد که محتویات اصلی پیکربندی DNS را شامل میشود میریم.named.conf به BIND میگوید کجا میتواند پیکربندی فایلهای zone را پیدا کند

این فایل معمولا دو حوزه, forward zone که مشخص کننده domain به IP و reverse zone که مشخص کننده IP address به domain است را شامل میشود

جهت پیکربندی named.conf از ادیتور vi طبق فرمان زیر استفاده میکنیم

#vi /etc/named.conf

در این فایل باید دوچیز را تغییر دهیم اولی وارد کردن اسم دومین و دیگری ip مورد نظر ما میباشد
توجه کنید که باید network ID را به صورت برعکس وارد کنیم.یعنی اگر ip ما 192.168.10.1 است باید 10.168.192 را وارد کنیم
در فایل مورد نظر دنبال} zone "local.host" IN میگردیم و آن را با توجه به نام دومینمان به صورت زیر تغییر میدهیم

zone "pooya.com" IN {
           type master;
           file "localhost.zone";
           allow-update { none; };
};

سپس دنبال} zone"0.0.127.in-addr.arpa" IN  میگردیم و آن را با توجه به ip مورد نظر تغییر میدهیم

zone "10.168.192.in-addr.arpa" IN {
         type master;
         file "named.local";
         allow-update { none; };
};


اکنون به سراغ پیکربندی forward lookup zone که وظیفه تحلیل اسم دومین به IP را دارد میپردازیم.این پیکربندی را میتوانید با ادیتور vi در مسیری که زیر مشاهده میکنید انجام دهید

#vi /var/named/chroot/var/named/localhost.zone

خط ) IN     SOA  @  root       @ به شکل زیر تغییر میدهیم


$TTL  3D
@                  IN       SOA                      pooya.com.   root.pooya.com. (

همچنیین تغییرات زیر را میدهیم

                             IN      NS    rooman.com.
www                    IN       A     192.168.10.1
pooya.com          IN       A      192.168.10.1



حال به توضیحی در مورد موارد بالا مبپردازیم
TTL به معنی Time To Live است و نشان میدهد که اطلاعات در این DNS server سه روز(3D) نگهداشته میشود
SOA(Start Of Authority دیباچه ای برای همه فایلهای zone است.SOA مدیریت عمومی و کنترل اطلاعات درباره domain را شامل میشود
NS به معنی Name Server است

A که به مفهوم host record است به منظور ذخیره forward lookup zones است

 


اکنون به پیکربندی revers lookup zone از طریق مسیر زیر میپردازیم

#vi /var/named/chroot/var/named/named.local

حال خط  ) IN  SOA      localhost.root.  local host   @ را طبق خط زیر تغییر میدهیم

@      IN     SOA              pooya.com.      root.pooya.com. (

همچنین تغییرات زیر را میدهیم

                        IN     NS           pooya.com.
1                      IN     PTR        pooya.com.



PTR به مفهوم POINTER میباشد و عدد 1 که در ابتدای خط است با توجه به ip 192.168.10.1 است و با توجه به IP مورد نظرمان قابل تغییر است

دراین قسمت پیکربندی DNS به پایان رسید فقط لازم است با فرمان زیر سرویسDNS را restart میکنیم

#service named restart

اکنون با فرمانهای زیر درست تنظیم شدن DNS را امتحام میکنیم و اگر خروجی NOERROR را مشاهده کردیم نشانگر درست پیکربندی شدن این سرویس میباشد

#dig www.pooya.com
#dig pooya.com
#dig -x 192.168.10.1



 
جلسه چهاردهم امنیت شبکه


ساعت ۱:۱۸ ‎ب.ظ روز ٤ مهر ۱۳۸۸  

با نام خدا

 

بخش‌های امنیتی پروتکلSNMP

 

در ادامه معرفی پروتکل مدیریتی SNMP به مکانیزم‌های امنیتی آن می‌رسیم.


بخش‌های امنیتی همانند احراز هویت، محرمانگی و یکپارچگی در نسخه سومSNMP مورد توجه قرار گرفته است. در زمان انتقال پیام توسط SNMP می‌توان حالتهای دسترسیread-write, no-acces read-only, را برای پیام‌‌ها‌ تنظیم نمود. در نسخه‌ 1 و 2 این پروتکل شنود بسته‌های ارسال شده قابل انجام بود زیرا رمزنگاری داده  در ترافبک شبکه انجام نمی‌شد.


این پروتکل می‌تواند بر روی TCP پیاده‌سازی شود اما در اغلب موارد بر روی‌UDP پیاده‌سازی می‌شود که IP spoofing را در این بخش میسر می‌نماید و شنود بسته‌های داده ارسال شده در شبکه را در لایه IP قابل انجام می‌نماید.


حملات brute force (شکستن رمز با امتحان تعدادی کلید با توجه به طول کلید الگوریتم رمزنگاری) و  dictionary attack از جمله مواردی هستند که تمام نسخه‌های این پروتکل نسبت به آن ضعف دارند. این ضعف به خاطر عدم پشتیبانی  پروتکل‌ از پروتکل دستداد چالش و پاسخ(challenge- response handshake) می‌باشد.


علاوه بر حملات بالا، این پروتکل می‌بایست در مقابل حمله dos (وقفه) نیز مقابله نماید. به این منظور، مقایسه پاسخ‌های دریافت شده به ازای درخواست‌های ارسال شده به شبکه در SNMP انجام می‌پذیرد. هر پاسخی که دریافت می‌شود می‌بایست به ازای درخواستی، ارسال شده به شبکه باشد؛ در غیر این صورت احتمال وجود حمله DOS وجود دارد.


در نسخه سوم این پروتکل مدل امنیتی مبتنی بر کاربر با نام (User-based Security Model(USM)) تعریف شده است. مدلUSM  در معماریSNMP کاربرد دارد و پروسیجرهایی تولید می‌کند تا در ایجاد سطوح امنیتی برای پیام‌های SNMP استفاده شوند. یکسری MIB مدیریتی برای مونیتورینگ و نظارت بر این مدل امنیتی(USM) تعریف شده است. نحوه انجام این تنظیمات در RFC 3414 تشریح شده است.


در بخش احراز هویت از الگوریتم‌های رمزنگاری HMAC-MD5-96 و HMAC-SHA-96 استفاده می‌شود و CBC-DES برای محرمانگی در پروتکلSNMP کاربرد دارد. به منظور حفظ محرمانگی، احراز هویت پیام بایستی الزامی باشد. مدلUSM پروتکلSNMP امکان استفاده از این الگوربتم‌ها را در کنارSNMP  مهیا نموده است.


هر کدام از الگوریتم‌ها به روشی پیاده‌سازی می‌شوند و توضیح نحوه پیاده سازی روش‌ها و الگوریتم‌های ذکرشده در بالا  جزو معرفی SNMP نمی‌باشد. برای آشنایی با هر کدام از این الگوریتم‌ها می‌توانید از شبکه اینترنت استفاده نموده و شرح پیاده‌سازی آن‌ها را مطالعه نمایید. روش و مدلUSM این الگوریتم‌ها را به منظور افزایش کارایی و امنیت پروتکل SNMP در کنار هم وبه کمک واحدهایMIB پیاده سازی نموده است. نحوه پیاده‌سازی آن‌ها در جلسه آینده مورد بحث قرار می‌گیرد.

 

موفق باشین..........