برای آشنایی بیشتر شما با این مباحث توضیحاتی برای شما ارائه شده است که در بخش های زیر می آید:

1- تست نفوذپذیری چیست ؟

2- چرا شما به آن نیاز دارید ؟

3- یک سرویس را انتخاب کنید.

4- ره آوردهای مختلف تست نفوذپذیری

5- در ازای پولتان چه چیزی به دست می آورید ؟



1-تعریف : تست نفوذپذیری چیست ؟

تست نفوذپذیری رویه ای است که درآن میزان امنیت اطلاعات سازمان شما مورد ارزیابی قرار می گیرد. یک تیم مشخص با استفاده از تکنیک های هک یک حمله واقعی را شبیه سازی می کنند تا به این وسیله سطح امنیت یک شبکه یا سیستم را مشخص کنند. تست نفوذپذیری به یک سازمان کمک می کند که ضعف های شبکه و ساختارهای اطلاعتی خود را بهتر بشناسد و در صدد اصلاح آنها بر آید. این امر به یک سازمان کمک می کند تا در زمینه تشخیص، توانایی پاسخ و تصمیم مناسب در زمان خود، بر روی امینیت نیروها و شبکه خود یک ارزیابی واقعی داشته باشد.

نتیجه این تست یک گزارش می باشد که برای اجرایی شدن و بازرسی های تکنیکی مورد استفاده قرار می گیرد.


2-چرا تست نفوذپذیری؟ چرا شما به آن نیاز دارید؟

دلایل مختلفی وجود دارد که یک سازمان تست نفوذپذری را انتخاب می کند. این دلایل می تواند از مسایل تکنیکی تا مسایل تجاری طبقه بندی گردند. اما برخی از عمومی ترین مسایل آن به صورت زیر می باشد :

- مشخص کردن خطرات و ریسک هایی که سرمایه های اطلاعاتی سازمان شما با آنها مواجهه می شوند. در اصل شما می توانید با ریسک های اطلاعاتی خود آشنا شوید و سپس برای آنها به مقدار مورد نیاز هزینه کنید.

- کاهش هزینه های امنیتی سازمان شما : با مشخص کردن نقاط ضعف و آسیب پذیری های سیستم های اطلاعاتی خود به مقدار قابل توجهی از هزینه های صرف شده برای امنیت، می کاهید ، زیرا که ممکن است آسیب پذیری ها و ضعف هایی در زیرساخت های تکنولوژیکی و یا ضعف های طراحی و پیاده سازی وجود داشته باشد که در تست نفوذپذیری مشخص می شوند.

- ضمانت و آسودگی خاطر را برای سازمان شما به ارمغان می آورد – یک ارزیابی دقیق و کامل از امنیت سازمان شما ، کل سیاستها (Policy ) ، روالها، طراحی و پیاده سازی آن را پوشش می دهد.

- دستیابی و نگهداری گواهینامه ها (BS7799 ، HIPAA و ... )

- بهترین رویه برای تست آیین نامه های صنایع و قوانین حاکم بر آن

3- یک سرویس را انتخاب کنید: چه تفاوتی بین انواع تست های مختلف وجود دارد؟

الف) تست نفوذپذیری بیرونی( External Penetration Testing ) :

یکی از عمومی ترین ره آوردهای تست نفوذپذیری می باشد. این تست روی سرور ها، زیر ساخت های شبکه و زیر ساختهای نرم افزارهای سازمان انجام می گیرد. این تست ممکن است بدون دریافت هیچگونه اطلاعاتی از سازمان مورد نظر صورت گیرد ( جعبه سیاه – Black Box ) یا با دریافت کلیه اطلاعات توپولوژیکی و محیطی صورت گیرد ( جعبه شفاف – Crystal Box ). این تست ابتدا با استفاده از اطلاعات عمومی و در دسترس از سازمان مورد نظر شروع می شود و سپس با شناسایی میزبانها و سرور های شبکه هدف و تجزیه و تحلیل آن ادامه پیدا می کند. در ادامه رفتارهای ابزارهای امنیتی مانند مسیریابها و دیواره های آتش تجزیه و تحلیل می گردند. آسیب پذیری های موجود برای هر میزبان شبکه مشخص و بازبینی می گردند و دلایل آن نیز مشخص می شود.


ب ) ارزیابی امنیتی داخلی (Internal Security Assessment ) :

روالی مانند تست بیرونی دارد اما یک دید کامل تری نسبت به مسایل امنیتی سازمان ارائه می دهد. این تست عموما از شبکه های Access Point و بازدید و مرور دوباره قسمتهای فیزیکی و منطقی شبکه انجام می گیرد. برای نمونه ممکن است لایه های شبکه، DMZ درون شبکه و شبکه های شرکاء که با شبکه شما مرتبط می باشند نیز مورد بررسی و تست قرار گیرد.


پ) ارزیابی امنیتی برنامه های کابردی (Application Security Assessment )

این تست روی تمامی برنامه های کاربردی اختصاصی و غیر اختصاصی سازمان هدف انجام می گیرد و در طی آن تمامی خطرات این برنامه ها مشخص می شود. برای مثال نباید این برنامه ها، پتانسیل این را داشته باشند که اطلاعات حساس سازمان را در معرض عموم قرار دهند. این ارزیابی مهم و حیاتی می باشد و در طی آن باید بدانیم که اولا؛ این برنامه های کاربردی ، نرم افزارها و سرور های شبکه را در معرض خطر قرار نمی دهند. دوم اینکه یک کاربر خرابکار نمی تواند به داده های حیاتی دسترسی داشته باشد و آنها را تغییر دهد یا خراب کند.

حتی در شبکه هایی که دارای زیر ساختهای قوی و قدرتمندی می باشند، یک برنامه کاربردی ناقص و آسیب پذیر می تواند کل شبکه را در معرض خطر قرار دهد.


ت) ارزیابی امنیتی شبکه های بیسیم و دسترسی های از راه دور (Remote Access )

در اصل ارزیابی خطرهایی می باشد که سیستم های سیار را در بر دارد. کار در خانه، با پهنای باند بالا از طریق اینترنت، استفاده از شبکه های بیسیم 802.11 و تکنولوژی های دسترسی از راه دور را به صورت گسترده ای افزایش داده است. طراحی و معماری امن اینگونه شبکه ها بسیار مهم و حیاتی می باشد و باید از ریسک ها و خطرهای آنها به صورت کاملی آگاه شویم.


ث) مهندسی اجتماعی (Social Engineering )

اشاره دارد به نفوذ هایی که از راه های غیر تکنیکی انجام می شود. این بخش به طور کلی روی ارتباطات افراد و کارکنان سازمان تکیه دارد و مشخص می کند چگونه مسایل انسانی سازمان می توانند مسایل امنیتی آن را در معرض خطر قرار دهند و باعث شکسته شدن برخی روال های امنیتی گردند.

مهندسی اجتماع با استفاده از ایجاد روابط قابل اعتماد و دوستانه با اشخاص سازمان و با نمایش قصد کمک به طرف مقابل، اطلاعات حساس امنیتی از جمله کلمات رمز و نام کاربری او را دریافت می کند. موارد دیگر نیز به «آشغال گردی» موسوم است که در آن با جستجو در آشغالهای سازمان مورد نظر، به دنبال اطلاعات حساس و مهم می گردند. همچنین مسایل روان شناختی افراد برای حدس زدن کلمات رمز و ... نیز جزو این بخش از کار می باشد.



4- انواع ره آوردهای مختلف : تست جعبه سیاه (Black Box) و تست جعبه سفید (White Box)

تست نفوذپذیری به دو صورت مختلف می تواند انجام گیرد: «جعبه سیاه» ( بدون دریافت هیچگونه دانش اولیه برای تست) و «جعبه سفید » (دریافت کلیه اطلاعات زیر ساختی برای تست)

معمولا شرکت هایی که کار تست نفوذپذیری را انجام می دهند از شما می خواهند که یکی از موارد فوق را انتخاب کنید. اما تست جعبه سیاه به نظر بهترین انتخاب می باشد ، زیرا که یک شبیه سازی حقیقی از حمله یک هکر را پیاده سازی می کند. این یک ایده بسیار جالبی می باشد اما به طور دقیقی درست نیست. اولا اینگونه فرض کردیم که هکر هیچگونه اطلاعاتی از سیستم های شما ندارد ، که همیشه اینگونه نیست! اگر به طور واقعی یک هکر ، سازمان شما را هدف قرار دهد اینگونه نیست که هیچگونه اطلاعاتی از سیستم ها و شبکه داخلی سازمان نداشته باشد ( فرض کنید هکر یکی از کارکنان سازمان شما باشد). البته در هر کدام از این موارد باید خطاهایی را نیز به صورت پیش فرض قبول کنیم. در اصل باید اینگونه فرض کرد که هکر اطلاعات کاملی از سیستم های شما را دارد زیرا که اگر امنیت شما بر اساس پنهان کردن طراحی شبکه باشد بنابراین از لحاظ امنیتی شبکه شما هیچ وقت نباید قابل لمس باشد که این غیر ممکن است! دوم اینکه بر خلاف یک تست کننده شبکه، یک هکر از لحاظ زمانی محدود نیست و محدودیت هایی که برای یک تست کننده وجود دارد برای یک هکر وجود ندارد. به عنوان مثال یک مهاجم ممکن است زمان زیادی (بعضی مواقع بیش از یک سال) را صرف کند تا یک آسیب پذیری را در سیستمی پیدا کند و توسط آن به شبکه نفوذ کند.

سوالی که در اینجا مطرح می شود این است که این تست چه مقدار هزینه در بردارد؟ در تست جعبه سیاه مهم آن است که تیم تست کننده باید به مقدار قابل توجهی زمان صرف شناسایی شبکه هدف کند. این زمان ممکن است حتی بیش از زمانی باشد که صرف تست آسیب پذیری ها می گردد.

اینگونه نیست که بگوییم تست جعبه سیاه هیچ هزینه ای در برندارد ، حتما هزینه هایی را در بر دارد. این مساله خیلی مهم است که تست کننده اطلاعاتی را درباره سیستم هایی که ممکن است توسط افراد دیگر مورد سوءاستفاده قرار گیرد را به دست آورد. پس حتما در تست جعبه سیاه باید زمان بیشتری برای انجام تست در نظر گرفت.



5- در ازای پولتان چه چیزی به دست می آورید ؟

تست نفوذپذیری در اصل یک تجزیه و تحلیل اصولی برای تعین میزان امنیت سازمان شما می باشد. یک پروژه کامل ممکن است کلیه موارد مشخص شده در زیر را در بر گیرد:

Network Security

· Network Surveying

· Port Scanning

· System Identification

· Services Identification

· Vulnerability Research & Verification

· Application Testing & Code Review

· Router Testing

· Firewall Testing

· Intrusion Detection System Testing

· Trusted Systems Testing

· Password Cracking

· Denial of Service Testing

· Containment Measures Testing



Information Security

· Document Grinding

· Competitive Intelligence Scouting

· Privacy Review



Social Engineering

· Request Testing

· Guided Suggestion Testing

· Trust Testing



Wireless Security

· Wireless Networks Testing

· Cordless Communications Testing

· Privacy Review

· Infrared Systems Testing



Communications Security

· PBX Testing

· Voicemail Testing

· FAX review

· Modem Testing

Physical Security

· Access Controls Testing

· Perimeter Review

· Monitoring Review

· Alarm Response Testing

· Location Review

· Environment Review

بنابراین برای انجام کامل تست نیاز به صرف وقت کافی می باشد. گوهر و ارزش تست نفوذپذیری به گزارشی می باشد که در انتها دریافت می کنید. این گزارش باید در بخش های مختلفی آماده شود حتی این گزارش باید برای مدیران قابل فهم باشد و از طرفی باید گزارش برای کسانی که در بخش امنیتی سازمان شما و یا در بخش های تکنیکی و گواهینامه های امنیتی فعالیت دارند نیز کاربرد داشته باشد.

هیئت مدیره سازمان نیاز دارد که از خطرات موجود و راه حل های ممکن آن به دور از مسایل تکنیکی آگاه شود. مدیران تکنیکی نیاز دارند که دید بازتری نسبت به وضعیت موجود داشته باشند که البته این دسته از افراد نیز ، نیازی به کلیه جزییات ندارند. ولی مدیران سیستم ها و مدیران شبکه باید از آسیب پذیری های هر سیستم به صورت جزیی و دقیق اطلاعات کاملی داشته باشند.

البته این گزارش ها برای سازمانهای مختلف می تواند متفاوت باشد. در بعضی مواقع از چند صفحه تا چند صد صفحه گزارش می تواند تغییر داشته باشد.

50005ارسال فایلها بدون استفاده از اینترنت HyperTerminal برنامه ای است که توسط آن می توانید با استفاده از خطوط تلفن (و بدون نیاز به اینترنت) فایلهایی را از هر نوع به دوستانتان ارسال و یا از آنها فایلهایی را دریافت نمایید. شاید شما هم مانند من از ارسال فایلها توسط ابزار ذخیره سازی (مانند CD، دیسک و...) خسته شده اید در این قسمت قصد داریم به بررسی یکی از قابلیتهای جذاب و کمتر شناخته شده ویندوز که توانایی بالایی در ارسال و دریافت فایلهای مختلف به نام Hyper Terminal بپردازیم. HyperTerminal چیست؟ HyperTerminal برنامه ای است که توسط آن می توانید با استفاده از خطوط تلفن (و بدون نیاز به اینترنت) فایلهایی را از هر نوع به دوستانتان ارسال و یا از آنها فایلهایی را دریافت نمایید. در صورت کار با این برنامه در بسیاری از موارد شما دیگر نیازی به استفاده از اینترنت نخواهید داشت، بنابراین قادرید در هزینه های اتصال به اینترنت تا حد زیادی صرفه جویی کنید. برنامه Hyper Terminal به صورتی کاملاً ساده و آسان طراحی گردیده به صورتی که شما با چند بار کار کردن با آن می توانید با نحوه کار کاملاً آشنا گردید. نکته: برای استفاده از HyperTerminal شما به امکانات خاص نیاز ندارید فقط کافی است که کامپیوتر شما و فردگیرنده به یک مودم مجهز باشد تا شما از طریق خط تلفن فایل مورد نظرتان را ارسال و یا دریافت نمایید. نحوه استفاده از Hyper Terminal برای فعال نمودن HyperTerminal در ویندوز xp به روی کلید Start کلیک نموده و از منوی کشویی ظاهر شده به ترتیب Accessories < All programs < Hyper Terminal< Communications را انتخاب کنید تا پنجره Connection Description در روی صفحه نمایش ظاهر گردد. در کادر فوق یک نام را برای اتصال وارد کرده و از قسمت Icon یک آیکون را به دلخواه انتخاب نموده و بر روی کلید OK کلیک کنید. در پنجره Connect To از منوی کشویی Country / region کشور محل سکونت خود (که در اینجا IRAN را باید انتخاب نمایید مگر اینکه خارج از ایران زندگی می کنید)، AreaCode کد کشور، phonenumber شماره تلفن تماس و از منوی ConnectUsing ابزار مورد استفاده (که در این جا مودم می باشد) را انتخاب کرده و برروی کلید OK کلیک نمایید. نکته: در قسمت phone number شما باید شماره تلفن شخصی که می خواهید برای او فایل مورد نظرتان را ارسال کنید را وارد نمایید. در پنجره Connect شما کافی است بر روی کلید Dial کلیک کنید تا شماره گیری انجام گیرد. در این مرحله در صورتی که می خواهید تغییری در شماره تلفن تماس و یا محل سکونت خود دهید کافی است برروی کلیدهای Modify یا Dialing properties کلیک کرده و در کادرهای محاوره ای ظاهر شده تغییرات مورد نظر را اعمال نمایید. بعد از چند لحظه شماره گیری توسط مودم انجام می شود. تنظیماتی که فرد گیرنده باید انجام دهد برای دریافت یک فایل از طریق HyperTerminal فقط کافی است در پنجره اصلی برنامه از منوی Call گزینه Wait For a Call را انتخاب نمایید. بعد از چند لحظه شما می توانید فایلهای ارسالی را دریافت کنید. ارسال فایلها بعد از اینکه در پنجره Connect تنظیمات مربوطه را انجام دادید و توسط شماره گیری به شماره مربوطه متصل شدید. برای مشخص کردن فایلهای ارسالی از منوی Transfer گزینه Send File را انتخاب کنید تا کادر محاوره ای Send File در روی صفحه نمایش ظاهر گردد. در کادر محاوره ای ظاهر شده برای انتخاب فایل مورد نظرتان بر روی کلید Browse کلیک کنید تا کادر محاوره ای Select File to Send در روی صفحه نمایش ظاهر گردد. در کادر محاوره ای فوق شما کافی است فایل مورد نظرتان را انتخاب نموده و بر روی کلید Open کلیک نمایید و در کادر محاوره ای Send file بر روی کلید Send کلیک کنید تا عمل ارسال انجام پذیرد. ارسال پیغام به صورت متن بعد از اینکه به شماره مورد نظرتان متصل شدید در پنجره اصلی برنامه Hyper Terminal شما به صورت مستقیم می توانید متن مورد نظرتان را تایپ نمایید. متن تایپی در این قسمت برای دوست شما که به کامپیوتر او توسط برنامه Hyper Terminal متصل شدید نیز قابل مشاهده می باشد. مشخص کردن محلی برای ذخیره سازی فایلهای دریافتی شما به سادگی می توانید محلی را برای ذخیره سازی فایلهای دریافتی از طریق برنامه را به صورت پیش فرض تعریف نمایید. برای این منظور از منوی Transfer گزینه Receive File را انتخاب نمایید تا کادر محاوره ای مربوطه در روی صفحه نمایش ظاهر گردد. در کار محاوره ای فوق شما با کلیک نمودن کلید Browse می توانید محلی را برای ذخیره سازی فایل دریافتی تعیین نمایید. ذخیره سازی اتصال بعد از برقراری ارتباط از طریق برنامه Hyper Terminal، شما می توانید اتصال فوق را برای استفاده مجدد ذخیره نمایید. برای این منظور از منوی کشویی File گزینه Save را انتخاب کنید. با این کار اتصال شما با اسمی که شما برای آن مشخص نموده اید ذخیره می گردد، برای برقراری اتصال برای دفعات آتی، در زیر منوی Accessories < All Programs < Start HyperTerminal Communications کافی است به روی نام اتصال فقط کلیک کنید. قطع نمودن اتصال بعد از اینکه فایل های موردنظرتان را برای دوستانتان ارسال کردید و یا از آنها دریافت کردید، برای قطع نمودن اتصال به روی گزینه Disconnect کلیک نمایید تا اتصال شما قطع گردد. نوار ابزار برنامه Hyper Terminal در نوار ابزار برنامه HyperTerminal مجموعه دستورات پراستفاده به صورت آیکونهایی در دسترس شما قرار گرفته است. در صورتی که نوار ابزار برنامه در زیر نوار منوها وجود نداشت از زیر منوی View گزینه ToolBar را انتخاب کنید

تمامی پروتکل های شبکه به هر یک از کامپیوترهای موجود در شبکه، یک مشخصه (آدرس ) منحصر بفرد را نسبت می دهند پروتکل IPX ، آدرس فوق را بصورت اتوماتیک و توسط ایستگاه کاری نسبت و منحصر بفرد بودن آن تضمین خواهد شد. پروتکل NetBEUI از یک نام NetBIOS شانزده بیتی استفاده می نماید . پروتکل TCP/IP از یک آدرس IP ، استفاده می نماید. در نسخه های اولیه پیاده سازی شده TCP/IP ، از پروتکل فوق بمنظور اتصال تعداد اندکی از کامپیوترها استفاده می گردید و ضرورتی به وجود یک مرکز متمرکز بمنظور اختصاص اطلاعات آدرس دهی IP ، احساس نمی گردید. بمنظور حل مشکل مدیریت صدها و یا هزاران آدرس IP در یک سازمان ، DHCP پیاده سازی گردید. هدف سرویس فوق ، اختصاص آدرس های IP بصورت پویا و در زمان اتصال یک کامپیوتربه شبکه است .
با وجود یک سرویس دهنده DHCP در شبکه ، کاربران شبکه قادر به اخذ اطلاعات مربوط به آدرس دهی IP می باشند . وضعیت فوق ، برای کاربرانی که دارای یک Laptop بوده و تمایل به اتصال به شبکه های متعدد را داشته باشند ، ملموس تر خواهد بود چراکه با برای ورود به هر یک از شبکه ها و استفاده از منابع موجود ، ضرورتی به انجام تنظیماتی خاص در رابطه با آدرس دهی IP وجود نخواهد داشت . سرویس دهنده DHCP ، علاوه براختصاص اطلاعات پایه IP نظیر : یک آدرس IP و Subnet mask ، قادر به ارائه سایر اطلاعات مربوط به پیکربندی پروتکل TCP/IP برای سرویس گیرندگان نیز می باشد . آدرس Gateway پیش فرض ، سرویس دهنده DNS ، نمونه هائی در این زمینه می باشند.
DHCP ویندوز 2000 ( نسخه های سرویس دهنده ) با سرویس دهنده DNS)Domain Name System) ، در ارتباط خواهد بود. ویژگی فوق ، به یک سرویس دهنده DHCP اجازه می دهد که با یک سرویس دهنده پویای DNS ویندوز 2000 ( DDNS ) ، مرتبط و اطلاعات ضروری را با وی مبادله نماید . سرویس دهنده DHCP ویندوز 2000 ، قادر به ارائه پویای آدرس IP و Host name بصورت مستقیم برای یک سرویس دهنده DDNS است .
DHCP ، مسئولیت ارائه اطلاعات آدرس های IP سرویس گیرندگان را برعهده دارد . بمنظور اخذ اطلاعات آدرس دهی IP ، سرویس گیرنده می بایست یک lease را از سرویس دهنده DHCP دریافت نماید.زمانیکه سرویس دهنده DHCP ، اطلاعات آدرسی دهی IP را به یک سرویس گیرنده DHCP نسبت ( اختصاص) می دهد ، سرویس گیرنده DHCP مالکیت آدرس IP را نخواهد داشت .در چنین حالتی ، سرویس دهنده DHCP همچنان مالکیت آدرس IP را بر عهده داشته و سرویس گیرنده اطلاعات فوق را اجاره و بصورت موقت و بر اساس یک بازه زمانی در اختیار خواهد داشت . می توان یک آدرس IP را بمنزله یک قطعه زمین در نظر گرفت که بصورت اجاره ای در اختیار سرویس گیرنده قرار گرفته و لازم است قبل از سررسید مدت قرارداد! نسبت به تمدید آن اقدام گردد.در صورت عدم تمدید ، سرویس گیرنده قادر به حضور درشبکه نخواهد بود. دراین مقاله قصد نداریم به بررسی فرآیند اختصاص IP توسط سرویس دهنده به سرویس گیرنده پرداخته و مراحل چهارگانه ( Discover, Offer, Request, Acknowledgement ) را تشریح نمائیم !
DHCP ، یکی از استانداردهای پروتکل TCP/IP بوده که باعث کاهش پیچیدگی و عملیات مدیریتی در ارتباط با آدرس های IP سرویس گیرندگان در شبکه می گردد . در این راستا سرویس دهنده DHCP ، بصورت اتوماتیک عملیات اختصاص آدرس های IP و سایر اطلاعات مرتبط با TCP/IP را در اختیار کاربرانی قرار می دهد که امکان DHCP-client آنان فعال شده باشد . بصورت پیش فرض ، کامپیوترهائی که بر روی آنان ویندوز 2000 اجراء می گردد ، سرویس گیرندگان DHCP-Enabled خواهند بود.

مدیریت کابل به ندرت در راس کارهای واجب مدیر یک شبکه معمولی قرار دارد. بعد از اتمام کارها، اگر همه چیز درست کار کند، دیگر چه کسی اهمیت می دهد که آیا کابل کشی شبکه یک بشقاب ماکارونی به نظر می رسد یا نه، اینطور نیست؟ اشتباه همین جاست. این امر مادامی صحیح است که همه فعالیتها به صورت دلچسبی انجام گیرد و شما بتوانید بدون مدیریت کابل زندگی کنید. وقتی شروع به تغییر بعضی موارد می کنید یا به طور معنی دارتر، وقتی که بعضی کارها غلط از آب در می آیند و احتیاج به شروع ردیابی دارید، بزودی از ناقص بودن تشکیلاتتان افسوس می خورید. در اینجا 10 ترفند وجود دارد که سبب می شود جعبه سیم کشی تان در محل بهتری قرار گیرد. کدرنگ رنگ، کابلهای شما را کد گذاری می کند. چه شما سیمهای کانکتور خورده خودتان را درست کنید یا آنها را به طور آماده از یک فروشنده بخرید، به هر حال به صورت یک تعداد رنگ در دسترس می باشند. اغلب چنین نصب و راه اندازی هایی را، در جایی که از UTP flood-wiring شبیه به هم استفاده می نمایید، به منظور راه اندازی انواع مختلفی از سرویس ها می یابید. مانند: ISDN، تلفن و شبکه، که برای هر کدام رنگهای متفاوتی استفاده می شود و اگر کابلهای شبکه cross-over دارید، رنگهای مختلف دیگری استفاده می کنید و یا اگر شما مثلا، آبی را برای سر سیمهای LAN، قرمز را برای تلفن، خاکستری را برای ISND و نارنجی پاستیلی را برای Cross-over شبکه استفاده می کنید متوجه خواهید شد که بیش از این نمی توانید اشتباهی تلفن کسی را بیرون بکشید چون روی کابل اشتباهی عمل کرده اید. طول صحیح اگر شما یک سیم کانکتور خورده به طول یک فوت احتیاج دارید، از یک سیم Patch به طول یک فوت استفاده نمائید نه به طول 6 فوت. و عکس این مطلب، شما باید سعی کنید به جای داشتن باری از سیم های نقطه به نقطه فقط در کنار rack سیمهایی که به سمت بالا و پایین می روند داشته باشید، پس یک اتصال مستقیم ایجاد نکنید فقط به خاطر اینکه یک کابل شیک و تر و تمیزتر در دستتان دارید و برایتان زحمتی ندارد که بروید و یک کابل بلندتر تهیه کنید. اتصالات بدون گیر حتی اگر کابلهایتان را به طور منظم در گوشه های rack مرتب کنید، بعضی وقتها مجبورخواهید بود تا سیمها را از دسته سیمها بیرون بکشید. بنابراین سعی کنید همیشه اتصالات بدون گیر snagless بخرید تا بتوانید کابل را از دسته کابلها بدون پاره کردن نوار پلاستیکی بیرون بکشید البته هزینه آن کمی زیاد است، (نواری که آن را وقتی متصل است در پورت نگه می دارد. ) در آخر کار از خودتان تشکر خواهید کرد. پورت های برچسب خورده این امر بی معنی به نظر می رسد، ولی همیشه پورت های خود را برچسب بزنید. هیچ چیز رنج آورتر از پیدا کردن سر یک patch در بین 24 سوکت نیست. یعنی همانجایی که فقط یک سر در انتهای هر کدام برچسب خورده است. چون شما برای شمردن پورت ها ساعتها از عمرتان را صرف می کنید و آنها را مجددا وصل می نمائید زیرا آنها را در درگاه اشتباهی جای داده اید. دستگاه های برچسب خورده همچنین باید همه سوئیچها، روترها، مودم ها، سرورها، دسک تاپ ها و نظایر این ها را برچسب بزنید. در نتیجه شما می دانید که کدام کابل ها را به چه دستگاه هایی وصل می کنید. این امر نیز نامفهوم به نظر می رسد مخصوصا اگر شما فقط یک یا دو سرور دارید. این امر مانع شما از انجام یک کار نادرست، مانند جداساختن اشتباه سرور از شبکه LAN می سازد. کابل های برچسب خورده جایی که کابل های طولانی می کشید، در فواصل مکرر و معینی آنها را بر چسب بزنید. در نتیجه می توانید به سرعت آنها را شناسایی کنید بویژه اگر شما فیبر تیره یا سیمهای مسی می کشید که به زودی مورد استفاده قرار نمی گیرند. یک روز ممکن است شما مجبور شوید تا روکش فیبری سر سیمها را تعویض نمائید و اگر انتهای تمام آن کابلهای شبیه به هم به طرز خوبی برچسب خورده باشد، از خودتان تشکر خواهید کرد. تهیه مستندات طرح بندی کابل هایتان را ثبت کرده و بنویسید. بر طبق حالتهای قانون Sod (Sod`s Law States) بعضی چیزها وقتی شما نیستید مختل خواهد شد و اگر بتوانید از پای تلفن به کسی بگوئید که احتیاج به جابجا کردن کابل سبز از پورت 24 به پورت 95 دارید، از اینکه خود را به سختی به محل کار برسانید تا اکثر وظایف بدیهی پشتیبانی را انجام دهید، صرفه جویی خواهید نمود. نرم افزارهای پیگیری دارایی اگر شما شبکه بزرگی دارید، به خرید نرم افزار تخصصی که موجودی IT شما را به همراه زیربنای کابل کشی پیگری می نماید، توجه داشته باشید. مخصوصا برای نصب و راه اندازی های بزرگ، توانایی توجه به یک تاریچه تغییرات و شاید مجموعه ای از وقایع می تواند مفید باشد. آزمایش کننده کابل یک آزمایش کننده مابل بخرید و هر زمان که نصب یا جابجایی و حذف کابلی را انجام می دهید یک آزمایش سریع روی آن انجام دهید. سیمهای patch در حالتهای خاصی در کشوهای میز گیر می کنند و یا زیر صندلی های چرخ دار له می شوند و یا ضربه شدیدی می خورند، پس یک آزمایش 5 ثانیه ای در هر زمان که تغییری ایجاد می کنید ممکن است به شما کمک کند تا یک سیم معیوب را شناسایی کنید و از یک حادثه بد در شرف وقوع جلوگیری نمائید. همیشه غیر از شما، حداقل یک نفر دیگر هم وجود دارد که به امور شبکه توجه داشته باشد، هر شخصی باید در محدوده خط مشی مدیریت کابل خود عمل نماید. دقیقا یک وصله غیر هماهنگ، تصادفی و بدون سند همه چیز را به طور کامل بیهوده و بی معنی ارائه می دهد.

دیواره آتشین (Fire wall) سیستمى است بین کاربران یک شبکه محلى و یک شبکه بیرونى (مثل اینترنت) که ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد. بر خلاف تصور عموم کاربرى این نرم افزارها صرفاً در جهت فیلترینگ سایت ها نیست. براى آشنایى بیشتر با نرم افزارهاى دیواره هاى آتشین، آشنایى با طرز کار آنها شاید مفیدترین راه باشد. در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبکه وارد دیواره آتش مى شوند و منتظر مى مانند تا طبق معیارهاى امنیتى خاصى پردازش شوند. حاصل این پردازش احتمال وقوع سه حالت است: ?- اجازه عبور بسته صادر مى شود. ?- بسته حذف مى شود.?- بسته حذف مى شود و پیام مناسبى به مبدا ارسال بسته فرستاده مى شود. • ساختار و عملکرد با این توضیح، دیواره آتش محلى است براى ایست بازرسى بسته هاى اطلاعاتى به گونه اى که بسته ها براساس تابعى از قواعد امنیتى و حفاظتى پردازش شده و براى آنها مجوز عبور یا عدم عبور صادر شود. همانطور که همه جا ایست بازرسى اعصاب خردکن و وقت گیر است دیواره آتش نیز مى تواند به عنوان یک گلوگاه باعث بالا رفتن ترافیک، تاخیر، ازدحام و بن بست شود. از آنجا که معمارى TCP/IP به صورت لایه لایه است (شامل ? لایه: فیزیکى، شبکه، انتقال و کاربردى) و هر بسته براى ارسال یا دریافت باید از هر ? لایه عبور کند بنابراین براى حفاظت باید فیلدهاى مربوطه در هر لایه مورد بررسى قرار گیرند. بیشترین اهمیت در لایه هاى شبکه، انتقال و کاربرد است چون فیلد مربوط به لایه فیزیکى منحصر به فرد نیست و در طول مسیر عوض مى شود. پس به یک دیواره آتش چند لایه نیاز داریم. سیاست امنیتى یک شبکه مجموعه اى از قواعد حفاظتى است که بنابر ماهیت شبکه در یکى از سه لایه دیواره آتش تعریف مى شوند. کارهایى که در هر لایه از دیواره آتش انجام مى شود عبارت است از: ?- تعیین بسته هاى ممنوع (سیاه) و حذف آنها یا ارسال آنها به سیستم هاى مخصوص ردیابى (لایه اول دیواره آتش) ?- بستن برخى از پورت ها متعلق به برخى سرویس ها مثلTelnet، FTP و... (لایه دوم دیواره آتش) ?- تحلیل برآیند متن یک صفحه وب یا نامه الکترونیکى یا .... (لایه سوم دیواره آتش) ••• در لایه اول فیلدهاى سرآیند بسته IP مورد تحلیل قرار مى گیرد: آدرس مبدأ: برخى از ماشین هاى داخل یا خارج شبکه حق ارسال بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود. آدرس مقصد: برخى از ماشین هاى داخل یا خارج شبکه حق دریافت بسته را ندارند، بنابراین بسته هاى آنها به محض ورود به دیواره آتش حذف مى شود. IP آدرس هاى غیرمجاز و مجاز براى ارسال و دریافت توسط مدیر مشخص مى شود. شماره شناسایى یک دیتا گرام تکه تکه شده: بسته هایى که تکه تکه شده اند یا متعلق به یک دیتا گرام خاص هستند حذف مى شوند. زمان حیات بسته: بسته هایى که بیش از تعداد مشخصى مسیریاب را طى کرده اند حذف مى شوند. بقیه فیلدها: براساس صلاحدید مدیر دیواره آتش قابل بررسى اند. بهترین خصوصیت لایه اول سادگى و سرعت آن است چرا که در این لایه بسته ها به صورت مستقل از هم بررسى مى شوند و نیازى به بررسى لایه هاى قبلى و بعدى نیست. به همین دلیل امروزه مسیریاب هایى با قابلیت انجام وظایف لایه اول دیواره آتش عرضه شده اند که با دریافت بسته آنها را غربال کرده و به بسته هاى غیرمجاز اجازه عبور نمى دهند. با توجه به سرعت این لایه هر چه قوانین سختگیرانه ترى براى عبور بسته ها از این لایه وضع شود بسته هاى مشکوک بیشترى حذف مى شوند و حجم پردازش کمترى به لایه هاى بالاتر اعمال مى شود. ••• در لایه دوم فیلدهاى سرآیند لایه انتقال بررسى مى شوند: شماره پورت پروسه مبدأ و مقصد: با توجه به این مسئله که شماره پورت هاى استاندارد شناخته شده اند ممکن است مدیر دیواره آتش بخواهد مثلاً سرویس FTP فقط براى کاربران داخل شبکه وجود داشته باشد بنابراین دیواره آتش بسته هاى TCP با شماره پورت ?? و ?? که قصد ورود یا خروج از شبکه را داشته باشند حذف مى کند و یا پورت ?? که مخصوص Telnet است اغلب بسته است. یعنى بسته هایى که پورت مقصدشان ?? است حذف مى شوند. کدهاى کنترلى: دیواره آتش با بررسى این کدها به ماهیت بسته پى مى برد و سیاست هاى لازم براى حفاظت را اعمال مى کند. مثلاً ممکن است دیواره آتش طورى تنظیم شده باشد که بسته هاى ورودى با SYN=1 را حذف کند. بنابراین هیچ ارتباط TCP از بیرون با شبکه برقرار نمى شود. فیلد شماره ترتیب و :Acknowledgement بنابر قواعد تعریف شده توسط مدیر شبکه قابل بررسى اند. در این لایه دیواره آتش با بررسى تقاضاى ارتباط با لایه TCP، تقاضاهاى غیرمجاز را حذف مى کند. در این مرحله دیواره آتش نیاز به جدولى از شماره پورت هاى غیرمجاز دارد. هر چه قوانین سخت گیرانه ترى براى عبور بسته ها از این لایه وضع شود و پورت هاى بیشترى بسته شوند بسته هاى مشکوک بیشترى حذف مى شوند و حجم پردازش کمترى به لایه سوم اعمال مى شود. ••• در لایه سوم حفاظت براساس نوع سرویس و برنامه کاربردى صورت مى گیرد: در این لایه براى هر برنامه کاربردى یک سرى پردازش هاى مجزا صورت مى گیرد. بنابراین در این مرحله حجم پردازش ها زیاد است. مثلاً فرض کنید برخى از اطلاعات پست الکترونیکى شما محرمانه است و شما نگران فاش شدن آنها هستید. در اینجا دیواره آتش به کمک شما مى آید و برخى آدرس هاى الکترونیکى مشکوک را بلوکه مى کند، در متون نامه ها به دنبال برخى کلمات حساس مى گردد و متون رمزگذارى شده اى که نتواند ترجمه کند را حذف مى کند. یا مى خواهید صفحاتى که در آنها کلمات کلیدى ناخوشایند شما هست را حذف کند و اجازه دریافت این صفحات به شما یا شبکه شما را ندهد. • انواع دیواره هاى آتش دیواره هاى آتش هوشمند: امروزه حملات هکرها تکنیکى و هوشمند شده است به نحوى که با دیواره هاى آتش و فیلترهاى معمولى که مشخصاتشان براى همه روشن است نمى توان با آنها مقابله کرد. بنابراین باید با استفاده از دیواره هاى آتش و فیلترهاى هوشمند با آنها مواجه شد. از آنجا که دیواره هاى آتش با استفاده از حذف بسته ها و بستن پورت هاى حساس از شبکه محافظت مى کنند و چون دیواره هاى آتش بخشى از ترافیک بسته ها را به داخل شبکه هدایت مى کنند، (چرا که در غیر این صورت ارتباط ما با دنیاى خارج از شبکه قطع مى شود)، بنابراین هکرها مى توانند با استفاده از بسته هاى مصنوعى مجاز و شناسایى پورت هاى باز به شبکه حمله کنند. بر همین اساس هکرها ابتدا بسته هایى ظاهراً مجاز را به سمت شبکه ارسال مى کنند. یک فیلتر معمولى اجازه عبور بسته را مى دهد و کامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را مى دهد. بنابراین هکر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن کامپیوتر هدف اطمینان حاصل مى کند. براى جلوگیرى از آن نوع نفوذها دیواره آتش باید به آن بسته هایى اجازه عبور دهد که با درخواست قبلى ارسال شده اند. حال با داشتن دیواره آتشى که بتواند ترافیک خروجى شبکه را براى چند ثانیه در حافظه خود حفظ کرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد مى توانیم از دریافت بسته هاى بدون درخواست جلوگیرى کنیم. مشکل این فیلترها زمان پردازش و حافظه بالایى است که نیاز دارند. اما در عوض ضریب اطمینان امنیت شبکه را افزایش مى دهند. دیواره هاى آتش مبتنى بر پروکسى: دیواره هاى آتش هوشمند فقط نقش ایست بازرسى را ایفا مى کنند و با ایجاد ارتباط بین کامپیوترهاى داخل و خارج شبکه کارى از پیش نمى برد. اما دیواره هاى آتش مبتنى بر پروکسى پس از ایجاد ارتباط فعالیت خود را آغاز مى کند. در این هنگام دیواره هاى آتش مبتنى بر پروکسى مانند یک واسطه عمل مى کند، به نحوى که ارتباط بین طرفین به صورت غیرمستقیم صورت مى گیرد. این دیواره هاى آتش در لایه سوم دیواره آتش عمل مى کنند، بنابراین مى توانند بر داده هاى ارسالى در لایه کاربرد نیز نظارت داشته باشند. دیواره هاى آتش مبتنى بر پروکسى باعث ایجاد دو ارتباط مى شود: ? - ارتباط بین مبدا و پروکسى ? - ارتباط بین پروکسى و مقصد حال اگر هکر بخواهد ماشین هدف در داخل شبکه را مورد ارزیابى قرار دهد در حقیقت پروکسى را مورد ارزیابى قرار داده است و نمى تواند از داخل شبکه اطلاعات مهمى به دست آورد. دیواره هاى آتش مبتنى بر پروکسى به حافظه بالا و CPU بسیار سریع نیاز دارند و از آنجایى که دیواره هاى آتش مبتنى بر پروکسى باید تمام نشست ها را مدیریت کنند گلوگاه شبکه محسوب مى شوند. پس هرگونه اشکال در آنها باعث ایجاد اختلال در شبکه مى شود. اما بهترین پیشنهاد براى شبکه هاى کامپیوترى استفاده همزمان از هر دو نوع دیواره آتش است. با استفاده از پروکسى به تنهایى بارترافیکى زیادى بر پروکسى وارد مى شود. با استفاده از دیواره هاى هوشمند نیز همانگونه که قبلاً تشریح شد به تنهایى باعث ایجاد دیواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع دیواره آتش به صورت همزمان هم بار ترافیکى پروکسى با حذف بسته هاى مشکوک توسط دیواره آتش هوشمند کاهش پیدا مى کند و هم با ایجاد ارتباط واسط توسط پروکسى از خطرات احتمالى پس از ایجاد ارتباط جلوگیرى مى شود.