۱۴ نکته مهمی که در زمان کار با شبکههای کامپیوتری باید به آنها دقت کنید
به نقل از شبکه
مدیریت شبکههای کامپیوتری یک فرآیند زمانبر و گاهی اوقات مشکل است، با اینحال اگر بدانید که باید چه کاری انجام دهید و ابزارهای مربوطه را داشته باشید به راحتی قادر به مدیریت شبکههای مختلف هستید. البته داشتن تجربه، پیادهسازی درست شبکهها و آشنایی با محیط عملیاتی کمک زیادی در این فرآیند میکنند، اما در بیشتر موارد لازم است با یکسری ابزارها و مفاهیم مرتبط با مدیریت شبکهها آشنایی داشته باشید.
1. سامانه تشخیص نفوذ AIDE
نرمافزارAIDE یک سامانه پیشرفته تشخیص رخنه Host است که در حقیقت میتواند سیستم ما را اسکن نموده و هر تغییری که روی فایلها و دایرکتوریها که به دلایل مختلف از جمله نفوذ، تغییر با روتکیتها و…. وجود آمده باشد را گزارش دهد. این نرمافزار به عنوان جایگزینی Free در سال ۲۰۱۰ برای نرمافزار Tripwire ارائه شد. نحوه عملکرد AIDE به این صورت است که یک snapshot از وضعیت سیستم بر اساس المانهایی چون الگوریتمهای message digest و خصایص فایلها تهیه میکند و در بانک اطلاعاتی خود ذخیره مینماید که معمولاً فایل snapshot به منظور امنیت بیشتر در یک External Device نگهداری میشود. هنگامی که مدیر سیستم میخواهد صحت و سلامت سیستم را آزمایش کند با دستور aide سیستم را دوباره اسکن مینماید و خروجی تست با فایل snapshot مقایسه میگردد. نرمافزار AIDE تمامی تغییرات به وجود آمده را مییابد و برای مدیر سیستم گزارش تغییرات ارسال میگردد. این نرمافزار فوق قابل حمل است و میتوان از آن طوری استفاده کرد که شخص مهاجم به هیچ وجه از وجود آن در سیستم ما مطلع نشود. به مدیران سیستمهای لینوکس پیشنهاد میشود که این نرمافزار را بر روی سرورهای عملیاتی خود نصب نمایند. برای اطلاعات بیشتر در خصوص این ابزار به آدرس https://aide.github.io/ مراجعه کنید.
2. Suricata
سوریکاتا (Suricata) یک سامانه تشخیص نفوذ (IDS) و سامانه جلوگیری از نفوذ (IPS) منبع باز است که توسط بنیاد امنیت اطلاعات باز OISF توسعه داده شده است. نسخه بتا آن در دسامبر ۲۰۰۹ و نسخه اول آن در ژوئیه ۲۰۱۰ منتشر شدهاست. ابزارهای شخص ثالث موجود برای اسنورت با سوریکاتا نیز سازگارند که از آن جمله میتوان به Snorby، BASE، Sguil (رایگان)، Aanval (تجاری) و Telesoft CERNE Open IDS Platform (تجاری) اشاره کرد.
3. سامانه تشخیص نفوذ مبتنی بر شبکه
سیستم تشخیص نفوذ مبتنی بر شبکه (Network Intrusion Detection System) شناسایی و تشخیص نفوذهای غیرمجاز قبل از رسیدن به سیستمهای بحرانی، به عهده سامانه تشخیص نفوذ مبتنی بر شبکهاست. NIDS، به عنوان دومین نوع IDSها، در بسیاری از موارد عملاً یک Sniffer هستند که با بررسی بستهها و پروتکلهای ارتباطات فعال، به جستجوی تلاشهایی که برای حمله صورت میگیرد میپردازند. به عبارت دیگر معیار NIDS، تنها بستههایی است که بر روی شبکهها رد و بدل میگردد. از آن جایی که NIDS تشخیص را به یک سیستم منفرد محدود نمیکنند، عملاً گستردگی بیشتری داشته و فرایند تشخیص را به صورت توزیع شده انجام میدهند. با این وجود این سیستمها در رویایی با بستههای رمزشده یا شبکههایی با سرعت و ترافیک بالاکارایی خود را از دست میدهند. سیستم تشخیص نفوذ شبکه ترافیک یک شبکه را برای پیدا کردن فعالیتهای مشکوک مثل یک حمله یا فعالیتهای غیر مجاز مانیتور میکند. سرورهای بزرگ NIDS میتواند روی یک ستون فقرات (back bone) بارگذاری شود تا همه ترافیکها را مانیتور کند یا یک سیستم کوچکتر میتواند کارگزاری شود تا ترافیک یک بخشی از سرور را مانیتور کند، مثل سوئیچ و روتر. به علاوه برای مانیتور کردن ترافیک ورودی و خروجی شبکه، سرور NIDS میتواند فایلهای سیستم را اسکن کند تا فعالیتهای غیر مجاز را پیدا کندو جامعیت دادهها و فایلها را حفظ کند. سرور NIDS میتواند تغییراتی را که در اجزای هسته سرور ایجاد میشود را شناسایی کند. علاوه بر مانیتور کردن ترافیک، سرور NIDS میتواند فایلهای لاگ سرور را اسکن کند و ترافیکهای مشکوک را پیدا کند. سرور NIDS به عنوان امنیت اولیه مانند دیوار آتش و رمزنگاری و روشهای احراز هویت قرار داده نمیشود سرور NIDS یک پشتیبان از تمام وسایل شبکه است که باید با اقدامات احتیاطی رایج مانند ایجاد امنیت فیزیکی، قانونهای امنیتی به ثبت رسیده و غیره کارگزاری شود.
4. توان عملیاتی
توان عملیاتی (Throughput) یک شبکه را میتوان با استفاده از ابزارهای مختلف موجود روی سیستمعاملهای مختلف اندازهگیری کرد. دلیل اندازهگیری توان عملیاتی در شبکهها این است که متخصصان شبکه تمایل دارند از حداکثر توان عملیاتی دادهها در یک لینک ارتباطی یا دسترسی به شبکه در واحد بیت (bit) بر ثانیه، اطلاع داشته باشند. روش رایج برای اندازهگیری این کمیت این است که یک فایل بزرگ را از یک سیستم به سیستم دیگر انتقال میدهند و زمان مورد نیاز برای تکمیل انتقال یا کپی فایل را محاسبه میکنند. سپس توان عملیاتی با تقسیم اندازه فایل در آن زمان، در واحد مگابیت (megabit) بر ثانیه، کیلوبیت (kilobit) بر ثانیه یا بیت در ثانیه بهدست میآید. متأسفانه، نتایج حاصل از چنین آزمایشی در محدوده توان عملیاتی عادی است که کمتر از حداکثر توان عملیاتی دادهها است. به همین دلیل برخی کارشناسان شبکه تصور میکنند لینک ارتباطاتشان به درستی عمل نمیکند. در واقع، علاوه بر سربارهای انتقال، رکود، اندازه فیلد Windows دریافت شده از TCP و محدودیتهای سیستم در بیشتر آزمایشها لحاظ میشود که در مجموع اجازه نمیدهد حداکثر توان عملیاتی به درستی نشان داده شود.
5. چگونه حداکثر پهنای باند را محاسبه کنیم؟
حداکثر پهنای باند از فرمول زیر بهدست میآید:
در فرمول فوق که بهنام RWIN نامیده میشود فیلد Window دریافت شده از TCP و RTT زمان رفت و برگشت (round-trip time) در مسیر است. حداکثر اندازه فیلد Window در پروتکلTCP، در صورت عدم وجود گزینه فیلد Window مقیاس، ۶۵۵۳۵ بایت است. مثال زیر نحوه استفاده از فرمول فوق را نشان میدهد.
حداکثر پهنای باند = 0.220 ثانیه/۶۵۵۳۵بایت = 297886.36 بایت / ثانیه * ۸ = 2.383 مگابیت / ثانیه
برای دریافت نرخ بیت در واحد ثانیه، تعداد بایت در هر ثانیه را در ۸ ضرب میکنیم. روی یک اتصال TCP بین دو نقطه نهایی، پهنای باند آزمایش شده به ۲٫۳۷۶ مگابیت بر ثانیه محدود میشود، حتا اگر پهنای باند مقدار بیشتری باشد.
6. نرمافزارهای مورد استفاده در آزمایش پهنای باند
نرمافزار آزمایش پهنای باند (Bandwidth) برای تعیین حداکثر پهنای باند شبکه یا اتصال اینترنت استفاده میشود. این کار معمولاً از طریق دانلود یا آپلود حداکثر مقدار داده در یک دوره معینی از زمان، یا مقدار معینی از داده در حداقل زمان، انجام میشود. به همین دلیل، تستهای پهنای باند میتوانند باعث تأخیر در انتقال داده روی اتصالات اینترنتی که تستها روی آن انجام میشوند، همچنین باعث تراکم بار داده شوند. روش دقیقتر، استفاده از نرمافزارهای اختصاصی مثل Netcps، JDSU QT600، Spirent Test Center، IxChariot، Iperf، Ttcp، netperf یا bwping برای اندازهگیری حداکثر توان عملیاتی یک لینک دسترسی به شبکه است. بهطور معمول افراد از اختصار عباراتی که کاربرد زیادی دارند، استفاده میکنند. هنگامی که در مورد نرخ بیت مدار صحبت میکنیم از اصطلاحات توان عملیاتی، پهنای باند و سرعت استفاده کرده و سرعت مدار را به صورت 64k یا 2meg به معنی مداری با سرعت ۶۴ کیلوبیت بر ثانیه یا ۲ مگابیت بر ثانیه، نشان میدهند. با این حال یک مدار با سرعت 64k، فایلی با حجم 64k را نمیتواند در یک ثانیه منتقل کند. این مسئله ممکن است برای افرادی که با امور مخابراتی و محاسباتی ناآشنا هستند واضح و روشن نباشد، بهطوریکه گاهی دچار اشتباه میشوند. در حقیقت یک فایل با حجم ۶۴ کیلوبایت، 8 * 1024 * 64 بیت حجم دارد و یک مدار با سرعت 64k، با سرعت 1000 * 64 بیت در هر ثانیه عمل انتقال را انجام میدهد، بنابراین زمان لازم برای انتقال این فایل از طریق مدار 64k حداقل (8 * 1024 *64) / (1000*64) ثانیه معادل ۸٫۱۹۲ ثانیه است.
7. فشردهسازی
برخی از تجهیزات با فشردهسازی دادههایی که باید ارسال شوند کیفیت کانال را بهبود میبخشند. اکثر مودمهای آنالوگ و چند سیستمعامل مدرن از این ویژگی استفاده میکنند. اگر حجم یک فایل (۶۴کیلوبایتی) را بتوان با فشردهسازی کاهش داد، زمان مورد نیاز برای انتقال آن کم میشود. اینکار میتواند از دید کاربر پنهان باشد، در نتیجه انتقال یک فایل فشرده شده میتواند بهطور قابل ملاحظهای سریعتر از حد انتظار انجام شود. از آنجایی که این فشردهسازی پنهان را به راحتی نمیتوان غیرفعال کرد، بنابراین برای اندازهگیری توان عملیاتی با استفاده از انتقال فایلها و زمانبندی زمان انتقال، باید از فایلی استفاده کرد که امکان فشردهسازی نداشته باشد. اغلب برای این منظور از فایلهای فایلهای زیپ (zip) استفاده میکنند. با فرض اینکه امکان فشرده کردن دادهها وجود نداشته باشد، برای انتقال یک فایل ۶۴ کیلوبایتی بر روی یک کانال انتقال ۶۴ کیلوبیت بر ثانیه، زمانیکه در حالت تئوری بهدست میآید ۸٫۱۹۲ ثانیه است که حداقل زمان انتقال است و در عمل زمان بیشتری لازم است. این به علت وجود اثر سربار که برای قالببندی داده در حالت توافق شده استفاده میشود، به وجود میآید. بنابراین هر دو سمت ارتباط یک دید مداوم و ثابت از داده دارند. اترنت یکی از فناوریهای شبکه محلی (LAN) است که از روش قاببندی استفاده میکند. روشهای تعریف قاب به عنوان یک جریان الکتریکی در اتصال بین دو سیستم یک شبکه گسترده که از روشهای HDLC یا PPP استفاده میکنند متفاوت است، اما این جزییات برای محاسبه توان عملیاتی اهمیتی ندارند. اترنت یک رسانه مشترک است، بهطوریکه هیچ تضمینی وجود ندارد که اتصال شبکه منحصراً در اختیار دو سیستمی باشد که در حال تبادل داده هستند. اگر چندین سیستم بهطور همزمان برای برقراری ارتباط تلاش کنند، توان عملیاتی بین هر جفت از سیستمها بهطور قابل ملاحظهای پایینتر از مقداری خواهد شد که به صورت تئوری محاسبه میشود. سیستمهای کمی هستند که فایلها و دادهها را به سادگی با کپی کردن محتوای فایل در بخش رشته داده(data field) از قاب HDLC یا PPP انتقال میدهند. پروتکل دیگری وجود دارد که برای قالببندی داده درون بخش رشته داده از قاب HDLC یا PPP استفاده میکند. رایجترین پروتکل مورد استفاده برای اینکار IP است که توسط RFC 791 تعریف شده و سربار خاص خود را دارد. البته این امکان وجود دارد که از روش ساده کپی محتوای فایل درون بسته IP استفاده شود، اما در عین حال از پروتکل دیگری برای مدیریت اتصال میان دو سیستم نیز بهره میبرند که همان پروتکل TCP (پروتکل کنترل انتقال) است و توسط RFC 1812 تعریف شده است. این پروتکل نیز سربار مخصوص خود را دارد. در نهایت یک پروتکل نیز فرایند واقعی انتقال داده را مدیریت میکند. رایجترین پروتکل برای این کار پروتکل انتقال فایل (FTP) است.
8. اکتیو دایرکتوری
اکتیو دایرکتوری (Active Directory) از سرویسهای شرکت مایکروسافت برای مدیریت منابع شبکه است که به وسیله کنترل کننده دامنه (دامین کنترلر) مدیریت میشود و در اساس یک کنترلکننده متمرکز شبکه است که برای سرویسدهندههای بر مبنای ویندوز سرور تهیه گردیدهاست. بدون اکتیو دایرکتوری مدیریت منابع نیازمند مدیریت تکبهتک آنها به صورت منفرد است، در حالی که توسط اکتیو دایرکتوری مدیریت منابع شبکه به صورت مجتمع صورت میگیرد. این فناوری طوری طراحی شدهاست که مسئولیت رسیدگی به تعداد زیادی عملیات خواندن و جستجو و همچنین تعداد قابل توجهی تغییرات و بروزرسانیهای کوچک را به عهده دارد. اطلاعات اکتیو دایرکتوری سلسله مراتبی، برگردان و قابل تمدید هستند. به دلیل برگردان بودن کاربر نیازی به ذخیرهسازی اطلاعات پویا، همانند قیمت سهام یک شرکت بزرگ یا عملکرد واحد پردازش مرکزی ندارد. بهعنوان مثال برای بهاشتراکگذاری چند پوشه روی شبکه در حالتی که اکتیو دایرکتوری موجود نباشد نیازمند تعیین دسترسی هر کاربر در هر پوشه به صورت مجزا میباشیم و با بروز تغییرات در کاربران و پوشهها بایستی این تغییرات به صورت مجزا اعمال گردد در حالی که در حالت اکتیو دایرکتوری با اعمال قوانین گروهی (group policy) میتوان این اعمال را به صورت متمرکز انجام داد. مثال دوم بهکارگیری اکتیو دایرکتوری زمانی است که کاربر تصمیم به تعویض گذرواژه خود میگیرد تمامی سیستمهای کاربری که با اکتیو دایرکتوری مجتمع شدهاند به صورت خودکار با گذرواژه جدید شما هماهنگ میگردند و نیازی به تغییر تک تک آنها نمیباشد. سروری که سرویس اکتیودایرکتوری را ارائه میکند، دامین کنترولر (DC) نام دارد. این سیستم وظیفه احراز هویت و تعیین سطح دسترسی برای تمامی کاربران و کامپیوترهای متصل به دامین را بر عهده دارد. بهطور مثال وقتی یک کاربر به یک کامپیوتر متصل به دامین لاگین میکند، اکتیو دایرکتوری صحت گذرواژه را بررسی میکند و مشخص میکند آن کاربر چه سطح دسترسی را دارا میباشد. اکتیو دایرکتوری از پروتکلهای LDAP نسخه ۲ و ۳، کربرس و DNS استفاده میکند.
9. LDAP
قرارداد دسترسی سبکوزن راهنما (Lightweight Directory Access Protocol) قراردادی در شبکههای رایانهای و در لایه کاربرد است که برای ارتباط با سرویس دایرکتوری استفاده میشود. این قرار داد در RFC 2251 و RFC 3377 مستندسازی شدهاست. الدپ امکان مدیریت و ارتباط با دایرکتوریهای مختلف روی شبکه که هر یک ممکن است سکوی سیستمعاملی و ساختار متفاوتی داشته باشند را فراهم میآورد. این سرویس در لینوکس توسط ابزار اوپنالدپ قابل اجرا است. سرویسهای ایمیل و سایر برنامهها میتوانند با استفاده از این قرارداد اطلاعات روی کارساز را بیابند. کارسازهای الدپ اطلاعات مدخلهای خود را فهرست میکنند و برای دسترسی به اطلاعات مورد نظر، میتوان از پالایههای مختلف استفاده کرد. از الدپ میتوان برای جستجوی اطلاعات تماس افراد، گواهینامههای رمزنگاری و دیگر سرویسهای شبکه استفاده کرد و در جایی که یک گذرواژه کاربر در سرویسهای مختلف یکسان باشد میتوان با یک ثبت ورود به همگی آنها وارد شد. الدپ برای هر نوع اطلاعات دایرکتوریمانندی که بهروزرسانیهایش بسامد کمی داشته باشد و یافتن سریع مد نظر باشد مناسب خواهد بود. مانند دیگر قراردادهای شبکه این قرارداد شیوه عملکرد برنامهها را تعیین نمیکند، بلکه زبان مورد استفاده برای ارتباط را مشخص میکند. در الدپ شیوه رمزنگاری اطلاعات تعریف نشده است، برای رمزنگاری باید از روشهای حفاظتی دیگری مانند استفاده از اساسال بهره جست. سرپرستان شبکه میتوانند دسترسی به کارساز الدپ را برای گروه خاصی از کاربران محدود کنند و برخی اطلاعات را خصوصی نگاه دارند.
10. Firewall
دیوار آتش (Firewall) نام عمومی برنامههایی است که از دستیابی غیرمجاز به یک سیستم رایانه جلوگیری میکنند. در برخی از این نرمافزارها، برنامهها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانهها، داده ارسال کنند. به این گونه نرمافزارها، تارباروی دو طرفه گویند، زیرا علاوه بر درگاه ورودی (Incoming)، درگاههای خروجی (Outing) هم کنترل میشوند. بستههای اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله تاربارو متوقف میشوند. نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس میگویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر میکند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر میکند. در عمل، فیلتر کردن برای هر دوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرمافزار یکسانی انجام میشود. فایروالها صرفاً پورتهای ضروری برای کاربران یا سایر برنامههای موجود در خارج از شبکه را در دسترس و قابل استفاده میکنند. برای افزایش ایمنی، سایر پورتها غیرفعال میگردد تا امکان استفاده از آنان توسط هکرها وجود نداشته باشد. در برخی موارد و با توجه به نیاز یک برنامه میتوان موقتاً تعدادی از پورتها را فعال و پس از اتمام کار مجدداً آنان را غیرفعال نمود. اگر برای اتصال به اینترنت از وسیلهای مانند روتر بیسیم، دستگاهی که به شما امکان میدهد تا از اینترنت بیسیم استفاده کنید، داشته باشید احتمالاً هماکنون نیز دیوار آتش دارید و نیازی به نصب جداگانه آن بر روی سیستم در بسیاری از مواقع وجود ندارد. سیستمهای فایروال معمولاً به سه دسته عمومی تقسیمبندی میشوند. البته یک سیستم ممکن است ترکیبی از گونههای مختلف فایروال را همزمان استفاده کند.
11. پالایشکننده بستههای اطلاعاتی (Packets)
در اینگونه سیستمها بستهها بر اساس قانون خاصی متوقف میشوند. این قانون میتواند بستگی به جهت حرکت بسته، پروتکل خاص استفاده شده، آدرس فرستنده، شماره پرت پرتکل (مثلاً در TCP/IP)، واسطه فیزیکی و غیره طراحی شده باشد. اینگونه فایروال معمولاً در روتر(Router) انجام میشود. به عنوان مثالی معروف از Configurable access control lists یا ACLs در روترهای Cisco میتوان نام برد.
12. بازرسیکننده سطوح بالاتر شبکه
اینگونه سیستمها مانند تصفیهکننده بستههای اطلاعاتی بوده با این تفاوت که به دلیل آگاهی از تمامی لایهها و سطوح مختلف در stack پروتکل هوشمندتر عمل میکنند. اینگونه سیستمها معمولاً حافظه دار بوده اجازه آن را میدهد که به یک بسته اطلاعاتی نه به صورت مجزا بلکه به عنوان بخشی از جریان دادهها نگاه کند.
13. سرویس دهنده پروکسی
یک یا چند سیستم که به نظر میآید که خدماتی را به خارج میدهند، اما بهطور معمول به عنوان پروکسی برای سیستم اصلی عمل میکنند؛ بنابراین سیستم خارجی مستقیماً به سیستم درونی وصل نشده و پروکسی بین آنها قرار میگیرد. پیادهسازی آنها میتوانند در سطح مدار(سختافزار) یا در سطح برنامه رایانهای (نرمافزار) باشد.
14. SNMP
پروتکل مدیریت آسان شبکه (Simple Network Management Protocol) قراردادی جهت نقل و انتقال بستههای داده که در لایۀ کاربرد روی TCP/IP یا قرارداد دادهنگار کاربر پیادهسازی میشود. این پروتکل که برای سادهکردن نقل و انتقالات بستههای مدیریت سیستمها طراحی شدهاست، فقط پنج فرمان دارد که ساختار همه آنها کاملاً مشخص و معلوم است. با استفاده از همین پنج فرمان میتوان کل نیارمندیهای مدیریت یک وسیله از روی شبکه را مدیریت کرد. این پروتکل دادههای وابسته با جابجایی مدیریت بین سرورهای شبکه را پشتیبانی میکند. SNMP در لایۀ Application از مدل OSI رفتار مینماید؛ به این گونه که برای جلوگیری از پیدایش ناهماهنگی در کارکرد پروتکل TCP/IP، پروتکل SNMP تبادل داده را بدون برگزاری پیوند انجام میدهد، یعنی داده فرستاده شده با این پروتکل از لایۀ Session که لایۀ برگزارکنندۀ اتصال میان فرستنده و گیرنده است نمیگذرد و در نتیجه برای ارسال داده خط اشغال نشده و اختلالی در کارکرد پروتکل اصلی شبکه (TCP/IP) پدید نمیآید. در واقع پروتکل SNMP راهی را در شبکه برای ارسال داد پدید نمیآورد، بلکه داده را از یک میانگاه به میانگاه دیگر راهبری میکند تا به مقصد برسد. از همین رو، قابلیت اطمینان پروتکل SNMP که حاوی لایۀ Session نمیباشد، کمتر از پروتکل TCP/IP است.کاربرد این پروتکل در شبکههای با بیش از یک سرور ( مانند سیستمهای اتوماسیون پستها که دارای دو سرور روشن و سرورذخیره روشن هستند) میباشد که با از دست رفتن سرور روشن، پیام راهاندازی سرور ذخیره از سوی این پروتکل به آن داده شده و روشن میگردد و مدیریت شبکه را به جای سرور از دست رفته به عهده میگیرد.