خر تو خر ............

بخشي از ديدگاه هاي يك نوجوان ايراني در مورد مقوله ي با نام زندگي

قبل از اینکه بخواهیم به کاربرد پراکسی در امنیت شبکه بپردازیم باید اول با پراکسی کمی آشنا شویم
در یک تشکیلات که از اینترنت استفاده می‌کند، یک پراکسی سرور ترکیبی از سخت‌افزار و نرم‌افزار است که بعنوان یک واسطه بین کاربر داخلی و اینترنت عمل می‌کند به طوریکه امنیت، نظارت مدیریتی و سرویس‌های caching تامین می‌شود. یک سرور پراکسی دارای پروتکل مشخصی است،‌ بنابراین برای هرنوع پروتکلی (HTTP، FTP، Gogher و غیره) باید تنظیم شود. پراکسی سرور بعنوان بخشی از یک سرور gateway (نقطه‌ای در یک شبکه که ورودی به شبکه‌ای دیگر است) رفتار می‌کند و می‌تواند برای انجام یک یا چند فانکشن‌ که در بخش بعد به آن اشاره می‌شود، تنظیم شود .

عملکردهایی که پراکسی سرور می‌تواند داشته باشد
با تعریفی که از یک پراکسی ارائه شد، می‌توان از پراکسی برای بهبود عملکرد یک شبکه استفاده‌هایی کرد که در اینجا به چند مورد آن به اختصار اشاره می‌کنیم :ا

Firewall (دیواره آتش)
برای سازمانی که فایروال دارد، پراکسی سرور تقاضاهای کاربران را به فایروال می‌دهد که با آنها اجازه ورود یا خروج به شبکه داخلی را می‌دهد .ا

Caching (ذخیره سازی)
سرور پراکسی که عمل caching را انجام می‌دهد، منابعی مانند صفحات وب و فایل‌ها را ذخیره می‌کند. هنگامی که یک منبع مورد دسترسی قرار گرفت، در سرور دخیره می‌شود و تقاضاهای بعدی برای همین منبع مشخص با محتویات cache پاسخ داده می‌شود. این عمل، دسترسی به آن منبع را برای کاربرانی که از طریق پراکسی به اینترنت متصل هستند، سرعت می‌بخشد و از طرفی از ترافیک اینترنت می‌کاهد و اجازه استفاده بهتر از پهنای باند به کاربران داده می‌شود .ا

Filtering (فیلتر کردن)
سرور پراکسی می‌تواند ترافیک وارد شونده و خارج شونده از شبکه را بررسی کند و به آنچه که با معیارهای امنیتی یا سیاست سازمان مغایرت دارد، اجازه عبور ندهد .ا

Authentication (تصدیق هویت)
بسیاری منابع الکترونیکی سازمانی توسط ورود با کلمه رمز یا قرار داشتن در دامنه مشخصی از IP محدود شده‌اند. کاربران دور معمولاً از یک سرویس‌دهنده اینترنت ثالث استفاده می‌کنند که در این صورت این کاربر یا IP کامپیوتر آن برای سازمان معتبر تشخیص داده نمی‌شود. برای کاربرانی که بصورت فیزیکی به شبکه داخلی سازمان متصل نشده‌اند، پراکسی طوری عمل می‌کند که به کاربران دور اجازه ورود موقت داده شود یا به آنها بطور موقت یک IP سازمان تخصیص داده شود که بتوانند به منابع محدود شده دسترسی پیدا کنند .ا

Anonymization (تغییر هویت)
برای محافظت شبکه داخلی یک سازمان از کاربران موجود در اینترنت، سرور پراکسی می‌تواند هویت سیستم‌های متقاضی داخلی را تغییر دهد. اگر منبع (مثلاً صفحه وب یا فایل) تقاضا شده توسط کاربر داخلی سازمان، در cache موجود نباشد، سرور پراکسی برای آن کاربر، بعنوان کلاینت عمل می‌کند و از یکی از آدرس‌های IP خودش برای تقاضای آن منبع از سرور موجود در اینترنت استفاده می‌کند. این آدرس IP «موقت»، آدرسی نیست که واقعاً در شبکه داخلی سازمان استفاده گردد و در نتیجه از بعضی از حمله‌های نفوذگران جلوگیری می‌شود. هنگامی که صفحه تقاضا شده، از طرف سرور روی اینترنت به پراکسی سرور می‌رسد، پراکسی سرور آن را به تقاضای اولیه مرتبط می‌کند و برای کاربر می‌فرستد. این پروسه تغییر دادن IP باعث می‌شود که تقاضا دهنده اولیه قابل ردیابی نباشد و همچنین معماری شبکه سازمان از دید بیرونی مخفی بماند . ا

Logging (ثبت کردن)
پراکسی سرور می‌تواند تقاضاها را بهمراه اطلاعات لازم در جایی ثبت کند تا بعداً امکان پیگیری اعمال کاربران داخل سازمان فراهم شود.ا

پیکربندی مرورگر

تعامل کاربر: کاربر باید از ابتدا مرورگر خود را پیکربندی کند که بدین ترتیب نیاز است که اطلاعات را از پشتیبانی فنی سازمان بدست آورد.ا

پیکربندی دستی:در این پیکربندی کاربر باید سروری را که نرم‌افزار پراکسی را اجرا می‌کند، مشخص کند. کاربر باید استثنائات هر دامنه‌ای را که می‌تواند بطور مستقیم به آن وصل شود، مشخص کند و به این ترتیب در اتصال به این دامنه‌های مشخص‌شده، پراکسی در مسیر قرار نمی‌گیرد.ا

پیکربندی خودکار:یک فایل تنظیم پیکربندی توسط سازمان که منطق استفاده از پراکسی توسط مرورگر در آن قرار دارد. URL فایل باید در پیکربندی مرورگر وارد گردد. اینکه یک تقاضا از طریق پراکسی مسیریابی شود یا خیر، بستگی به شروط موجود در آن فایل دارد.ا

کاربرد پراکسی در امنیت شبکه

بعد از آشنایی با پراکسی به این مطلب می پردازیم که از دیدگاه امنیتی پراکسی چیست و چه چیزی نیست، از چه نوع حملاتی جلوگیری می کند و به مشخصات بعضی انواع پراکسی پرداخته می شود. البته قبل از پرداختن به پراکسی بعنوان ابزار امنیتی، بیشتر با فیلترها آشنا خواهیم شد.ا

پراکسی چیست؟
در دنیای امنیت شبکه، افراد از عبارت «پراکسی» برای خیلی چیزها استفاده می کنند. اما عموماً، پراکسی ابزار است که بسته های دیتای اینترنتی را در مسیر دریافت می کند، آن دیتا را می سنجد و عملیاتی برای سیستم مقصد آن دیتا انجام می دهد. در اینجا از پراکسی به معنی پروسه ای یاد می شود که در راه ترافیک شبکه ای قبل از اینکه به شبکه وارد یا از آن خارج شود، قرار می گیرد و آن را می سنجد تا ببیند با سیاست های امنیتی شما مطابقت دارد و سپس مشخص می کند که آیا به آن اجازه عبور از فایروال را بدهد یا خیر. بسته های مورد قبول به سرور مورد نظر ارسال و بسته های ردشده دور ریخته می شوند.ا

پراکسی چه چیزی نیست؟
پراکسی ها بعضی اوقات با دو نوع فایروال اشتباه می شوند «Packet filter و Stateful packet filter» که البته هر کدام از روش ها مزایا و معایبی دارد، زیرا همیشه یک مصالحه بین کارایی و امنیت وجود دارد.ا

تفاوت دارد

ابتدایی ترین روش صدور اجازه عبور به ترافیک بر اساس TCP/IP این نوع فیلتر بود. این نوع فیلتر بین دو یا بیشتر رابط شبکه قرار می گیرد و اطلاعات آدرس را در header IP ترافیک دیتایی که بین آنها عبور می کند، پیمایش می کند. اطلاعاتی که این نوع فیلتر ارزیابی می کند عموماً شامل آدرس و پورت منبع و مقصد می شود. این فیلتر بسته به پورت و منبع و مقصد دیتا و بر اساس قوانین ایجاد شده توسط مدیر شبکه بسته را می پذیرد یا نمی پذیرد. مزیت اصلی این نوع فیلتر سریع بودن آن است چرا که header، تمام آن چیزی است که سنجیده می شود. و عیب اصلی ان این است که هرگز آنچه را که در بسته وجود دارد نمی بیند و به محتوای آسیب رسان اجازه عبور از فایروال را می دهد. (State) * .بعلاوه، این نوع فیلتر با هر بسته بعنوان یک واحد مستقل رفتار می کند و وضعیت استیت* ارتباط را دنبال نمی کند

پراکسی با Stateful packet filter تفاوت دارد

این فیلتر اعمال فیلتر نوع قبل را انجام می دهد، بعلاوه اینکه بررسی می کند کدام کامپیوتر در حال ارسال چه دیتایی است و چه نوع دیتایی باید بیاید. این اطلاعات بعنوان وضعیت (State) شناخته می شود.

پروتکل ارتباطی TCP/IP به ترتیبی از ارتباط برای برقراری یک مکالمه بین کامپیوترها نیاز دارد. در آغاز یک ارتباط TCP/IP عادی، کامپیوتر A سعی می کند با ارسال یک بسته SYN (synchronize) به کامپیوتر B ارتباط را برقرار کند. کامپیوتر B در جواب یک بسته SYN/ACK (Acknowledgement) برمی گرداند، و کامپیوتر A یک ACK به کامپیوتر ‍B می فرستد و به این ترتیب ارتباط برقرار می شود. TCP اجازه وضعیتهای دیگر، مثلاً FIN (finish) برای نشان دادن آخرین بسته در یک ارتباط را نیز می دهد.

هکرها در مرحله آماده سازی برای حمله، به جمع آوری اطلاعات در مورد سیستم شما می پردازند. یک روش معمول ارسال یک بسته در یک وضعیت غلط به منظوری خاص است. برای مثال، یک بسته با عنوان پاسخ (Reply) به سیستمی که تقاضایی نکرده، می فرستند. معمولاً، کامپیوتر دریافت کننده بیاید پیامی بفرستد و بگوید “I don’t understand” . به این ترتیب، به هکر نشان می دهد که وجود دارد، و آمادگی برقراری ارتباط دارد. بعلاوه، قالب پاسخ می تواند سیستم عامل مورد استفاده را نیز مشخص کند، و برای یک هکر گامی به جلو باشد. یک فیلتر Stateful packet منطق یک ارتباط TCP/IP را می فهمد و می تواند یک “Reply” را که پاسخ به یک تقاضا نیست، مسدود کند ـــ آنچه که یک فیلتر packet ردگیری نمی کند و نمی تواند انجام دهد. فیلترهای Stateful packet می توانند در همان لحظه قواعدی را مبنی بر اینکه بسته مورد انتظار در یک ارتباط عادی چگونه باید بنظر رسد، برای پذیرش یا رد بسته بعدی تعیین کنند. فایده این کار امنیت محکم تر است. این امنیت محکم تر، بهرحال، تا حدی باعث کاستن از کارایی می شود. نگاهداری لیست قواعد ارتباط بصورت پویا برای هر ارتباط و فیلترکردن دیتای بیشتر، حجم پردازشی بیشتری به این نوع فیلتر اضافه می کند

پراکسی ها یا Application Gateways

Application Gateways که عموماً پراکسی نامیده می شود، پیشرفته ترین روش استفاده شده برای کنترل ترافیک عبوری از فایروال ها هستند. پراکسی بین کلاینت و سرور قرار می گیرد و تمام جوانب گفتگوی بین آنها را برای تایید تبعیت از قوانین برقرار شده، می سنجد. پراکسی بار واقعی تمام بسته های عبوری بین سرور و کلاینت را می سنجد، و می تواند چیزهایی را که سیاستهای امنیتی را نقض می کنند، تغییر دهد یا محروم کند. توجه کنید که فیلترهای بسته ها فقط headerها را می سنجند، در حالیکه پراکسی ها محتوای بسته را با مسدود کردن کدهای آسیب رسان همچون فایلهای اجرایی، اپلت های جاوا، ActiveX و ... غربال می کنند

پراکسی ها همچنین محتوا را برای اطمینان از اینکه با استانداردهای پروتکل مطابقت دارند، می سنجند. برای مثال، بعضی اَشکال حمله کامپیوتری شامل ارسال متاکاراکترها برای فریفتن سیستم قربانی است؛ حمله های دیگر شامل تحت تاثیر قراردادن سیستم با دیتای بسیار زیاد است. پراکسی ها می توانند کاراکترهای غیرقانونی یا رشته های خیلی طولانی را مشخص و مسدود کنند. بعلاوه، پراکسی ها تمام اعمال فیلترهای ذکرشده را انجام می دهند. بدلیل تمام این مزیتها، پراکسی ها بعنوان یکی از امن ترین روشهای عبور ترافیک شناخته می شوند. آنها در پردازش ترافیک از فایروالها کندتر هستند زیرا کل بسته ها را پیمایش می کنند. بهرحال «کندتر» بودن یک عبارت نسبی است
آیا واقعاً کند است؟ کارایی پراکسی بمراتب سریعتر از کارایی اتصال اینترنت کاربران خانگی و سازمانهاست. معمولاً خود اتصال اینترنت گلوگاه سرعت هر شبکه ای است. پراکسی ها باعث کندی سرعت ترافیک در تست های آزمایشگاهی می شوند اما باعث کندی سرعت دریافت کاربران نمی شوند

حالا می‌توانیم در اینجا مزایای پراکسی‌ها بعنوان ابزاری برای امنیت را لیست کنیم:

· با مسدود کردن روش‌های معمول مورد استفاده در حمله‌ها، هک‌کردن شبکه شما را مشکل‌تر می‌کنند

· با پنهان کردن جزئیات سرورهای شبکه شما از اینترنت عمومی، هک‌کردن شبکه شما را مشکل‌تر می‌کنند

· با جلوگیری از ورود محتویات ناخواسته و نامناسب به شبکه شما، استفاده از پهنای باند شبکه را بهبود می‌بخشند

· با ممانعت از یک هکر برای استفاده از شبکه شما بعنوان نقطه‌ شروعی برای حمله دیگر، از میزان این نوع مشارکت می‌کاهند.

· با فراهم‌آوردن ابزار و پیش‌فرض‌هایی برای مدیر شبکه شما که می‌توانند بطور گسترده‌ای استفاده شوند، می‌توانند مدیریت شبکه شما را آسان سازند

بطور مختصر می‌توان این مزایا را اینگونه بیان کرد؛ پراکسی‌ها به شما کمک می‌کنند که شبکه‌تان را با امنیت بیشتر، موثرتر و اقتصادی‌تر مورد استفاده قرار دهید. بهرحال در ارزیابی یک فایروال، این مزایا به فواید اساسی تبدیل می‌شوند که توجه جدی را می‌طلبند

برخی انواع پراکسی

تا کنون به پراکسی بصورت یک کلاس عمومی تکنولوژی پرداختیم. در واقع، انواع مختلف پراکسی وجود دارد که هرکدام با نوع متفاوتی از ترافیک اینترنت سروکار دارند. در بخش بعد به چند نوع آن اشاره می‌کنیم و شرح می‌دهیم که هرکدام در مقابل چه نوع حمله‌ای مقاومت می‌کند.

البته پراکسی‌ها تنظیمات و ویژگی‌های زیادی دارند. ترکیب پراکسی‌ها و سایر ابزار مدیریت فایروال‌ها به مدیران شبکه شما قدرت کنترل امنیت شبکه تا بیشترین جزئیات را می‌دهد. در ادامه به پراکسی‌های زیر اشاره خواهیم کرد:

SMTP Proxy
HTTP Proxy
FTP Proxy
DNS Proxy

پراکسی SMTP (Simple Mail Transport Protocol) محتویات ایمیل‌های وارد شونده و خارج‌شونده را برای محافظت از شبکه شما در مقابل خطر بررسی می‌کند. بعضی از تواناییهای آن اینها هستند:اh

مشخص کردن بیشترین تعداد دریافت‌کنندگان پیام: این اولین سطح دفاع علیه اسپم (هرزنامه) است که اغلب به صدها یا حتی هزاران دریافت‌کننده ارسال می‌شود

مشخص کردن بزرگترین اندازه پیام: این به سرور ایمیل کمک می‌کند تا از بار اضافی و حملات بمباران توسط ایمیل جلوگیری کند و با این ترتیب می‌توانید به درستی از پهنای باند و منابع سرور استفاده کنید

اجازه دادن به کاراکترهای مشخص در آدرسهای ایمیل آنطور که در استانداردهای اینترنت پذیرفته شده است:ا
چنانچه قبلاً اشاره شد، بعضی حمله‌ها بستگی به ارسال کاراکترهای غیرقانونی در آدرسها دارد. پراکسی می‌تواند طوری تنظیم شود که بجز به کاراکترهای مناسب به بقیه اجازه عبور ندهد

فیلترکردن محتوا برای جلوگیری از انواعی محتویات اجراییمعمول‌ترین روش ارسال ویروس، کرم و اسب تروا فرستادن آنها در پیوست‌های به ظاهر بی‌ضرر ایمیل است. پراکسی SMTP می‌تواند این حمله‌ها را در یک ایمیل از طریق نام و نوع، مشخص و جلوگیری کند، تا آنها هرگز به شبکه شما وارد نشوند

فیلترکردن الگوهای آدرس برای ایمیل‌های مقبول\مردودهر ایمیل شامل آدرسی است که نشان‌دهنده منبع آن است. اگر یک آدرس مشخص شبکه شما را با تعداد بیشماری از ایمیل مورد حمله قرار دهد، پراکسی می‌تواند هر چیزی از آن آدرس اینترنتی را محدود کند. در بسیاری موارد، پراکسی می‌تواند تشخیص دهد چه موقع یک هکر آدرس خود را جعل کرده است. از آنجا که پنهان کردن آدرس بازگشت تنها دلایل خصمانه دارد، پراکسی می‌تواند طوری تنظیم شود که بطور خودکار ایمیل جعلی را مسدود کند

فیلترکردن Headerهای ایمیل ‌Headerها شامل دیتای انتقال مانند اینکه ایمیل از طرف کیست، برای کیست و غیره هستند. هکرها راه‌های زیادی برای دستکاری اطلاعات Header برای حمله به سرورهای ایمیل یافته‌اند. پراکسی مطمئن می‌شود که Headerها با پروتکل‌های اینترنتی صحیح تناسب دارند و ایمیل‌های دربردارنده headerهای تغییرشکل‌داده را مردود می‌کنند. پراکسی با اعمال سختگیرانه استانداردهای ایمیل نرمال، می‌تواند برخی حمله‌های آتی را نیز مسدود کند

تغییردادن یا پنهان‌کردن نامهای دامنه و IDهای پیام‌ها ایمیل‌هایی که شما می‌فرستید نیز مانند آنهایی که دریافت می‌کنید، دربردارنده دیتای header هستند. این دیتا بیش از آنچه شما می‌خواهید دیگران درباره امور داخلی شبکه شما بدانند، اطلاعات دربردارند. پراکسی SMTP می‌تواند بعضی از این اطلاعات را پنهان کند یا تغییر دهد تا شبکه شما اطلاعات کمی در اختیار هکرهایی قرار دهد که برای وارد شدن به شبکه شما دنبال سرنخ می‌گردند.

HTTP Proxy

این پراکسی بر ترافیک داخل شونده و خارج شونده از شبکه شما که توسط کاربرانتان برای دسترسی به World Wide Web ایجاد شده، نظارت می کند. این پراکسی برای مراقبت از کلاینت های وب شما و سایر برنامه ها که به دسترسی به وب از طریق اینترنت متکی هستند و نیز حملات برپایه HTML، محتوا را فیلتر می کند. بعضی از قابلیتهای آن اینها هستند :ا

برداشتن اطلاعات اتصال کلاینت: این پراکسی می تواند آن قسمت از دیتای header را که نسخه سیستم عامل، نام و نسخه مرورگر، حتی آخرین صفحه وب دیده شده را فاش می کند، بردارد. در بعضی موارد، این اطلاعات حساس است، بنابراین چرا فاش شوند؟

تحمیل تابعیت کامل از استانداردهای مقررشده برای ترافیک وب: در بسیاری از حمله ها، هکرها بسته های تغییرشکل داده شده را ارسال می کنند که باعث دستکاری عناصر دیگر صفحه وب می شوند، یا بصورتی دیگر با استفاده از رویکردی که ایجادکنندگان مرورگر پیش بینی نمی کردند، وارد می شوند. پراکسی HTTP این اطلاعات بی معنی را نمی پذیرد. ترافیک وب باید از استانداردهای وب رسمی پیروی کند، وگرنه پراکسی ارتباط را قطع می کند

فیلترکردن محتوای از نوع MIME : الگوهای MIME به مرورگر وب کمک می کنند تا بداند چگونه محتوا را تفسیر کند تا با یک تصویرگرافیکی بصورت یک گرافیک رفتار شود، یا .wav فایل بعنوان صوت پخش شود، متن نمایش داده شود و غیره. بسیاری حمله های وب بسته هایی هستند که در مورد الگوی MIME خود دروغ می گویند یا الگوی آن را مشخص نمی کنند. پراکسی HTTP این فعالیت مشکوک را تشخیص می دهد و چنین ترافیک دیتایی را متوقف می کند

فیلترکردن کنترلهای Java و ActiveX: برنامه نویسان از Java و ActiveX برای ایجاد برنامه های کوچک بهره می گیرند تا در درون یک مرورگر وب اجراء شوند (مثلاً اگر فردی یک صفحه وب مربوط به امور جنسی را مشاهده می کند، یک اسکریپت ActiveX روی آن صفحه می تواند بصورت خودکار آن صفحه را صفحه خانگی مرورگر آن فرد نماید). پراکسی می تواند این برنامه ها را مسدود کند و به این ترتیب جلوی بسیاری از حمله ها را بگیرد.

برداشتن کوکی ها پراکسی HTTP می تواند جلوی ورود تمام کوکی ها را بگیرد تا اطلاعات خصوصی شبکه شما را حفظ کند.

برداستن Header های ناشنایپراکسی HTTP ، از headerهای HTTP که از استاندارد پیروی نمی کنند، ممانعت بعمل می آورد. یعنی که، بجای مجبور بودن به تشخیص حمله های برپایه علائمشان، پراکسی براحتی ترافیکی را که خارج از قاعده باشد، دور می ریزد. این رویکرد ساده از شما در مقابل تکنیک های حمله های ناشناس دفاع می کند.

فیلتر کردن محتوا دادگاه ها مقررکرده اند که تمام کارمندان حق برخورداری از یک محیط کاری غیر خصمانه را دارند. بعضی عملیات تجاری نشان می دهد که بعضی موارد روی وب جایگاهی در شبکه های شرکت ها ندارند. پراکسی HTTP سیاست امنیتی شرکت شما را وادار می کند که توجه کند چه محتویاتی مورد پذیرش در محیط کاریتان است و چه هنگام استفاده نامناسب از اینترنت در یک محیط کاری باعث کاستن از بازده کاری می شود. بعلاوه، پراکسی HTTP می تواند سستی ناشی از فضای سایبر را کم کند. گروه های مشخصی از وب سایتها که باعث کم کردن تمرکز کارمندان از کارشان می شود، می توانند غیرقابل دسترس شوند

Proxy

بسیاری از سازمان ها از اینترنت برای انتقال فایل های دیتای بزرگ از جایی به جایی دیگر استفاده می کنند. در حالیکه فایل های کوچک تر می توانند بعنوان پیوست های ایمیل منتقل شوند، فایل های بزرگ تر توسط FTP (File Transfer Protocol) فرستاده می شوند. بدلیل اینکه سرورهای FTP فضایی را برای ذخیره فایل ها آماده می کنند، هکرها علاقه زیادی به دسترسی به این سرورها دارند. پراکسی FTP معمولاً این امکانات را دارد:

محدودکردن ارتباطات از بیرون به «فقط خواندنی»: این عمل به شما اجازه می دهد که فایل ها را در دسترس عموم قرار دهید، بدون اینکه توانایی نوشتن فایل روی سرورتان را بدهید

محدود کردن ارتباطات به بیرون به «فقط خواندنی»: این عمل از نوشتن فایل های محرمانه شرکت به سرورهای FTP خارج از شبکه داخلی توسط کاربران جلوگیری می کند

مشخص کردن زمانی ثانیه های انقضای زمانی: این عمل به سرور شما اجازه می دهد که قبل از حالت تعلیق و یا Idle request ارتباط را قطع کند.[/b]

ازکارانداختن فرمان FTP SITE : این از حمله هایی جلوگیری می کند که طی آن هکر فضایی از سرور شما را تسخیر می کند تا با استفاده از سیستم شما حمله بعدی خودش را پایه ریزی می کند

DNS Proxy

DNS (Domain Name Server) شاید به اندازه HTTP یا SMTP شناخته شده نیست، اما چیزی است که به شما این امکان را می دهد که نامی را مانند http://www.p30world.com/ در مرورگر وب خود تایپ کنید و وارد این سایت شوید – بدون توجه به اینکه از کجای دنیا به اینترنت متصل شده اید. بمنظور تعیین موقعیت و نمایش منابعی که شما از اینترنت درخواست می کنید، DNS نام های دامنه هایی را که می توانیم براحتی بخاطر بسپاریم به آدرس IP هایی که کامپیوترها قادر به درک آن هستند، تبدیل می کند. در اصل این یک پایگاه داده است که در تمام اینترنت توزیع شده است و توسط نام دامنه ها فهرست شده است.
بهرحال، این حقیقت که این سرورها در تمام دنیا با مشغولیت زیاد در حال پاسخ دادن به تقاضاها برای صفحات وب هستند، به هکرها امکان تعامل و ارسال دیتا به این سرورها را برای درگیرکردن آنها می دهد. حمله های برپایه DNS هنوز خیلی شناخته شده نیستند، زیرا به سطحی از پیچیدگی فنی نیاز دارند که بیشتر هکرها نمی توانند به آن برسند. بهرحال، بعضی تکنیک های هک که میشناسیم باعث می شوند هکرها کنترل کامل را بدست گیرند. بعضی قابلیت های پراکسی DNS می تواند موارد زیر باشد

تضمین انطباق پروتکلی:یک کلاس تکنیکی بالای اکسپلویت می تواند لایه Transport را که تقاضاها و پاسخ های DNS را انتقال می دهد به یک ابزار خطرناک تبدیل کند. این نوع از حمله ها بسته هایی تغییرشکل داده شده بمنظور انتقال کد آسیب رسان ایجاد می کنند. پراکسی DNS، headerهای بسته های DNS را بررسی می کند و بسته هایی را که بصورت ناصحیح ساخته شده اند دور می ریزد و به این ترتیب جلوی بسیاری از انواع سوء استفاده را می گیرد

فیلتر کردن محتوای Header ها به طورت گزینشی DNS در سال ۱۹۸۴ ایجاد شده و از آن موقع بهبود یافته است. بعضی از حمله های DNS بر ویژگی هایی تکیه می کنند که هنوز تایید نشده اند. پراکسی DNS می تواند محتوای header تقاضاهای DNS را بررسی کند و تقاضاهایی را که کلاس، نوع یا طول header غیرعادی دارند، مسدود کند

نتیجه گیری

با مطالعه این مجموعه مقالات، تا حدی با پراکسی ها آشنا شدیم. پراکسی تمام ابزار امنیت نیست، اما یک ابزار عالیست، هنگامی که با سایر امنیت سنج ها! مانند ضدویروس های استاندارد، نرم افزارهای امنیتی سرور و سیستم های امنیتی فیزیکی بکار برده شود.

+ نوشته شده توسط حاجي در یکشنبه بیست و پنجم دی 1384 و ساعت 1:54 قبل از ظهر |

چیست ؟ VLAN <<<< آموزش شبکه

Virtual Local Area Networks) VLAN) ، يکى از جديدترين و جالبترين تکنولوژى هاى شبکه است که اخيرا" مورد توجه بيشترى قرار گرفته است . رشد بدون وقفه شبکه هاى LAN و ضرورت کاهش هزينه ها براى تجهيزات گرانقيمت بدون از دست دادن کارآئى و امنيت ، اهميت و ضرورت توجه بيشتر به VLAN را مضاعف نموده است .

وضعيت شبکه هاى فعلى
تقريبا" در اکثر شبکه ها امروزى از يک (و يا چندين) سوئيچ که تمامى گره هاى شبکه به آن متصل مى گردند ، استفاه مى شود . سوئيچ ها روشى مطمئن و سريع به منظور مبادله اطلاعات بين گره ها در يک شبکه را فراهم مى نمايند.با اين که سوئيچ ها براى انواع شبکه ها ، گزينه اى مناسب مى باشند ، ولى همزمان با رشد شبکه و افزايش تعداد ايستگاهها و سرويس دهندگان ، شاهد بروز مسائل خاصى خواهيم بود . سوئيچ ها ، دستگاههاى لايه دوم (مدل مرجع OSI ) مى باشند که يک شبکه Flat را ايجاد مى نمايند . در يک شبکه کوچک ، وجود پيام هاى Broadcast نمى تواند مشکل و يا مسئله قابل توجهى را ايجاد نمايد، ولى در صورت رشد شبکه ، وجود پيام هاى braodcast مى تواند به يک مشکل اساسى و مهم تبديل گردد . در چنين مواردى و در اغلب مواقع ، سيلابى از اطلاعات بى ارزش بر روى شبکه در حال جابجائى بوده و عملا" از پهناى باند شبکه،استفاده مطلوب نخواهد شد. تمامى ايستگاههاى متصل شده به يک سوئيچ ، پيام هاى Braodcast را دريافت مى نمايند . چراکه تمامى آنان بخشى از يک Broadcast doamin مشابه مى باشند . در صورت افزايش تعداد سوئيچ ها و ايستگاهها در يک شبکه ، مشکل اشاره شده ملموس تر خواهد بود .همواره احتمال وجود پيام هاى Braodcast در يک شبکه وجود خواهد داشت . يکى ديگر از مسائل مهم ، موضوع امنيت است . در شبکه هائى که با استفاده از سوئيچ ايجاد مى گردند ، هر يک از کاربران شبکه قادر به مشاهده تمامى دستگاههاى موجود در شبکه خواهند بود . در شبکه اى بزرگ که داراى سرويس دهندگان فايل ، بانک هاى اطلاعاتى و ساير اطلاعات حساس و حياتى است ، اين موضوع مى تواند امکان مشاهده تمامى دستگاههاى موجود در شبکه را براى هر شخص فراهم نمايد . بدين ترتيب منابع فوق در معرض تهديد و حملات بيشترى قرار خواهند گرفت . به منظور حفاظت اينچنين سيستم هائى مى بايست محدوديت دستيابى را در سطح شبکه و با ايجاد سگمنت هاى متعدد و يا استقرار يک فايروال در جلوى هر يک از سيستم هاى حياتى ، انجام داد .

معرفى VLAN
تمامى مسائل اشاره شده در بخش قبل را و تعداد بيشترى را که به آنان اشاره نشده است را مى توان با ايجاد يک VLAN به فراموشى سپرد . به منظور ايجاد VLAN ، به يک سوئيچ لايه دوم که اين تکنولوژى را حمايت نمايد ، نياز مى باشد . تعدادى زيادى از افراديکه جديدا" با ديناى شبکه آشنا شده اند ، اغلب داراى برداشت مناسبى در اين خصوص نمى باشند و اينگونه استنباط نموده اند که صرفا" مى بايست به منظور فعال نمودن VLAN ، يک نرم افزار اضافه را بر روى سرويس گيرندگان و يا سوئيچ نصب نمايند . ( برداشتى کاملا" اشتباه ! ) . با توجه به اين که در شبکه هاى VLAN ، ميليون ها محاسبات رياضى انجام مى شود ، مى بايست از سخت افزار خاصى که درون سوئيچ تعبيه شده است ، استفاده گردد (دقت در زمان تهيه يک سوئيچ)،در غير اينصورت امکان ايجاد يک VLAN با استفاده از سوئيچ تهيه شده ، وجود نخواهد داشت .
هر VLAN که بر روى سوئيچ ايجاد مى گردد ، به منزله يک شبکه مجزا مى باشد . بدين ترتيب براى هر VLAN موجود يک broadcast domain جداگانه ايجاد مى گردد . پيام هاى broadcast ، به صورت پيش فرض ، از روى تمامى پورت هائى از شبکه که عضوى از يک VLAN مشابه نمى باشند، فيلتر مى گردند . ويژگى فوق ، يکى از مهمترين دلايل متداول شدن VALN در شبکه هاى بزرگ امروزى است.
در زمان ايجاد VALN ، مى بايست تمامى ايستگاهها را به سوئيچ متصل و در ادامه ، ايستگاههاى مرتبط با هر VLAN را مشخص نمود. هر سوئيچ در صورت حمايت از VLAN ، قادر به پشتيبانى از تعداد مشخصى VLAN است . مثلا" يک سوئيچ ممکن است 64 و يا 266 VLAN را حمايت نمايد

+ نوشته شده توسط حاجي در یکشنبه بیست و پنجم دی 1384 و ساعت 1:48 قبل از ظهر |

آموزش شبكه در 4 مبحث N <<<< آموزش شبکه

تعريف شبکه : در کل به اتصال تعدادی کامپيوتر به يکديگر به منظور استفاده از منابع همديگر شبکه گفته می شود به عبارت ديگر به هر وسيله که ما بتوانيم چند کامپيوتر را به يکديگر متصل نماييم در حقيقت يک شبکه ايجاد کرده ايم .
اما هدف از ايجاد شبکه چيست ؟
به طور کلی اهدافی مثل زير در ايجاد يک شبکه کامپيوتری دنبال می شود :
۱) استفاده مشترک از منابع
۲) استفاده از منابع راه دور
۳) افزايش امنيت و انعطاف پذيري
۴) مكانيزه كردن يا اتوماسيون كردن مجموعه ها
۵) استفاده بهينه از وقت و امكانات و صرفه جويي در هزينه ها
به نظر مي رسد كه همين موارد دلايل خوبي براي به راه انداختن يك شبكه مي باشد . ضمن اينكه موارد متعدد ديگري نيز مي باشد
اما در مطالب فوق يك كلمه به نام منابع را بكار برديم آيا مي دانيد منابع چه هستند ؟
منظور از منابع در كامپيوترها امكانات آنها مثل پردازنده مركزي < CPU > ، هارد ديسك ، پرينتر كه جزء منابع سخت افزاري هستند و بانكهاي اطلاعاتي ، فايلهاي صوتي و تصويري به عنوان منابع نرم افزاري مي باشد . در بحث شبكه هاي كامپيوتري دسته بندي هاي مختلفي وجود دارد كه به مرور آنها را بررسي خواهيم كرد اما در ابتداي بحث يكي از اين دسته بنديها را معرفي خواهيم كرد :
۱) شبكه LAN : به شبكه هاي كوچك و محلي گفته مي شوند . مثلاً اگر در خانه اتان يك شبكه راه اندازي كنيد در واقع يك شبكه LAN ايجاد نموده ايد .

۲) شبكه WAN : اين شبكه در سطح بسيار بزرگي مطرح مي شود و حتي مي توان گفت در سطح جهاني همانند شبكه اينترنت ( خدا پدرش را بيامرزد ) . در اين شبكه براي ايجاد ارتباط از تجهيزات مخابراتي پيش رفته استفاده مي شود .

۳) شبكه MAN : در اصطلاح به شبكه هايي ما بين شبكه هاي LAN و WAN گفته مي شود و يك راه تشخيص آن ، اين است كه از تجهيزات مخابراتي آنچناني استفاده نمي شود مثلا اگر شركتي در يك شهر داراي چند شعبه باشد و بخواهيد آن شعبات را به يكديگر متصل كند اينچنين شبكه اي ايجاد مي كند .
سيستم هاي شبيه به شبكه
گاهی اوقات می توان کامپيوترها را به شکلی بکار برد که دقيقا با يک شبکه سر و کار نداريم اما می توان آنها را شبکه نيز به حساب آورد . به همين دليل نام آنها را سيستم های شبيه شبکه می ناميم و در زير آنها را توضيح می دهيم . اما قبل از آن بايد با مفهوم کامپيوتر Standelone آشنا شويد . به طور كلي به كامپيوتر هاي كه قادر باشيم پشت آنها قرار گيريم و با آنها كار انجام دهيم خواه به شبكه متصل نباشد يا امكان آن را نداشته باشد يك كامپيوتر Standelone گوييم .
اما سيستم هاي شبيه شبكه ، بطور كلي سه مورد مي باشند :
۱) كامپيوترهاي MainFrame : اين كامپيوترها داراي چندين پردازنده و حافظه هاي بزرگ مي باشند و ترمينالها كه فقط داراي مانيتور و صفحه كليد مي باشند به آن متصل مي شوند و از آن استفاده مي كنند. پس به نوعي مي توان آنها را نوعي شبكه ناميد اما نه بطور كامل .

۲) Distributed System ( سيستم هاي توزيع شده ) : اين سيستم هاي شامل جندين كامپيوتر جداگانه مي باشند كه بر روي همه آنها يك سيستم عامل مخصوص مانند ماخ ( Mach ) نصب مي شود و اين سيستم عامل است كه كليه پردازشها را مديريت مي كنند و تصميم مي گيرد كه مثلا اين برنامه روي كدام سيستم ها انجام شود و يا مثلا اين داده روي كدام سيستم ها ذخيره شود و در اين موارد كاربر نمي تواند هيچ كاري انجام دهد . اين كامپيوتر ها بيشتر براي انجام پردازشهاي بسيار سنگين و بصورت موازي بكار مي روند .

۳) كامپيوترهايي كه به يكديگر Link مي شوند : يكي از راههايي كه مي توان كامپيوترها را به يكديگر متصل كرد از طريق پورت هاي پشت آنها مي باشد . اگر دو كامپيوتر را بتوان از طريق پورت هاي پشت آنها به يكديگر متصل كرد در اصطلاح آنها را لينك كرده ايم . در سيستم عامل ويندوز نيز مي توانيد دو كامپيوتر را بدين روش به يكديگر متصل كنيد . براي اينكار در موقع نصب ويندوز بايد نرم افزار آن را نصب كنيد تا بتوانيد دو كامپيوتر را در قالب Host و Geast استفاده نماييد
شبكه ها را مي توان به دو گروه زير تقسيم نمود :
*) شبكه هاي نقطه به نقطه ( Peer To Peer ) كه نام ديگر آنها Work Group مي باشد .
**) شبكه هاي Server based كه به آنها Clinet / Server نيز مي گويند .

دسته ديگري از شبكه ها
شبکه های Peer-to-Peer به شبكه هايی گفته می شود كه در آن تعدادی كامپيوتر به كمك يك كابل يا چيزی شبيه به آن به يكديگر متصل می شوند . در اين نوع شبكه خبری از كاپيوتر سرويس دهنده به صورت جداگانه نيست و تمام كامپيوترها هم به صورت كلاينت و هم بصورت سرور عمل می كنند و انجام اموری مثل مديريت فايلها ، دادن مجوزهای دسترسی ( البته نه بصورت درست و حسابی ) به عهده كاربر همان كامپيوتر است . اما در شبكه های كلاينت/ سروری يك كامپيوتر بنام سرور وجود دارد كه تمام امور مديريتی و دادن مجوزهای دسترسی و موارد ديگر از اين دست را به عهده دارد و معمولا تمام افراد پشت آن قرار نمی گيرند و اجازه كار با آن را ندارند بلكه فقط شخص مدير شبكه ( Administrator ) با آن كار می كند . اما اجازه بدهيد تا يك مقايسه مابين اين دو شبكه داشته باشيم :

۱) اندازه ،تعداد و مكان : اگر در حدود ۱۵ كامپيوتر ( البته صحيحتر آن ۱۰ عدد می باشد ) داشته باشيم بهتر است از شبكه نقطه به نقطه استفاده شود و اگر تعداد از آن بيشتر شده بهتر است بدليل افت شديد كارآيی شبكه از شبكه كلاينت/ سروری استفاده شود . اگر از نظر مكانی كامپيوترها در فاصل دور نسبت به يكديگر باشند بهتر است از شبكه های كلاينت/ سروری استفاده شود . اگر بخواهيم يك محيط كوچك كه به ندرت گسترش و توسعه می يابد را شبكه بندی كنيم بهتر اس از شبكه نقطه به نقطه استفاده كنيم .

۲) منابع مشترك شده ( Share ) : در شبكه های نقطه به نقطه منابع مشترك شده بر روی تمام كامپيوترها گسترده شده اند و هر شخصی منابع مورد نظر خود را به اشتراك می گذارد يا از اشتراك خارج می كند . اما در شبكه های بر اساس كلاينت/ سرور تمام منابع مسترك شده بر روی يك كامپيوتر قرار دارد و به كمك همان كامپيوتر به اشتراك گذاشته می شود . يا از اشتراك خارج می شود .

۳) پشتيبانی سيستم عامل : شبكه های نقطه به نقطه توسط تمامی سيتم های عامل پشتيبانی می شوند اما شبكه های بر اساس كلاينت/ سرور را سيتم عاملهای خاص مانند Windows 2000 server ، Linux, Unix , Win Nt و اخيرا توسط سيستم عامل Windows 2003 پشتيبانی می شود.

۴) امنيت : شبكه های نقطه به نقطه دارای امنيت مطلوبی نيستند اما شبكه های بر اساس كلاينت/ سرور دارای امنيت بالايی هستند كه قابل توسعه نيز می باشد.

تعريف Right : به مجوزهای دسترسی كه به كاربران داده می شود در اصطلاح Right گويند .

تعريف Dedicated server : در بعضی از محيطهای شبكه كامپيوترهای سروری را به طور اختصاصی برای انجام بعضی كارها در نظر می گيريم ، كه به آنها سرورهای اختصاصی يا Dedicated server گويند . مثلاً در بعضی شبكه ها يك كامپيوتر برای ارائه فايلها در نظر گرفته می شود كه به آنها File server گويند و موارد مشابه ديگر .

تعريف Node : به كامپيوترها و كليه تجهيزات مرتبط با شبكه كه به تنهايی قادر به كار باشند Node يا گره گويند مانند : PC ها ، هاب ، سوئيچ

تعريف Webmaster : به مديران شبكه هايی كه بر روی اينترنت قرار دارند Webmaster گويند . بايد توجه كرد كه به مديران شبكه هايی كه بر روی اينترنت قرار ندارند Administrator گويند .

تعريف Login : در اصطلاح به عمل اتصال به شبكه يا ورود به شبكه گويند و به عمل خروج از شبكه Logout گويند .

تعريف GNOS : به سيستم های عامل گرافيكی شبكه GNOS گويند و اگر گرافيكی نباشد به آن NGNOS گويند . از سيستم های عامل گرافيكی می توان به ويندوز NT و لينوكس اشاره كرد و از سيستم های عامل غير گرافيكی می توان به Unix ، Novell اشاره كرد .

تعريف Diskless Network ( شبكه های بدون ديسك ) : گاهی اوقات می توان كامپيوترهای كلاينت را بدون هارد ديسك ، فلاپی ديسك و حتی CD-Rom در شبكه بكار ، برد . اين كلاينتها از طريق يك چيپ مخصوص كه بر روی كارت شبكه قرار دارد ، در هنگام بوت شدن و از طريق شبكه به كامپيوتر سرور بطور اتوماتيك متصل می شوند و از اين طريق سيستم عامل و برنامه های مورد نياز را بكار می برند . برای اطلاعات بيشتر هم می توانيد با همين عنوان در موتورهای جستجو به دنبال مطلب بگرديد .البته در بررسی كارت شبكه نيز مقدار بيشتری توضيح ارائه خواهيم كرد .

+ نوشته شده توسط حاجي در یکشنبه بیست و پنجم دی 1384 و ساعت 1:47 قبل از ظهر |

آموزش شبکه

اينترنت با سرعتی باورنکردنی همجنان در حال گسترش است . تعداد کامپيوترهای ارائه دهنده اطلاعات ( خدمات ) و کاربران اينترنت روزانه تغيير و رشد می يابد. با اينکه نمی توان دقيقا" اندازه اينترنت را مشخص کرد ولی تقريبا" يکصد ميليون کامپيوتر ميزبان (Host) و 350 ميليون کاربر از اينترنت استفاده می نمايند. رشد اينترنت چه نوع ارتباطی باNetwork Address Translation) NAT ) دارد؟ هر کامپيوتر بمنظور ارتباط با ساير کامپيوترها و سرويس دهندگان وب بر روی اينترنت، می بايست دارای يک آدرس IP باشد. IP يک عدد منحصر بفرد 32 بيتی بوده که کامپيوتر موجود در يک شبکه را مشخص می کند. اولين مرتبه ای که مسئله آدرس دهی توسط IP مطرح گرديد، کمتر کسی به اين فکر می افتاد که ممکن است خواسته ای مطرح شود که نتوان به آن يک آدرس را نسبت داد. با استفاده از سيستم آدرس دهی IP می توان 4.294.976.296 (232) آدرس را توليد کرد. ( بصورت تئوری ). تعداد واقعی آدرس های قابل استفاده کمتر از مقدار ( بين 3.2 ميليارد و 3.3 ميليارد ) فوق است . علت اين امر، تفکيک آدرس ها به کلاس ها و رزو بودن برخی آدرس ها برای multicasting ، تست و موارد خاص ديگر است .
همزمان با انفجار اينترنت ( عموميت يافتن) و افزايش شبکه های کامپيوتری ، تعداد IP موجود، پاسخگوی نيازها نبود. منطقی ترين روش، طراحی مجدد سيستم آدرس دهی IP است تا امکان استفاده از آدرس های IP بيشَتری فراهم گردد. موضوع فوق در حال پياده سازی بوده و نسخه شماره شش IP ، راهکاری در اين زمينه است . چندين سال طول خواهد کشيد تا سيستم فوق پياده سازی گردد، چراکه می بايست تمامی زيرساخت های اينترنت تغيير واصلاح گردند. NAT با هدف کمک به مشکل فوق طراحی شده است . NAT به يک دستگاه اجازه می دهد که بصورت يک روتر عمل نمايد. در اين حالت NAT بعنوان يک آژانس بين اينترنت ( شبکه عمومی ) و يک شبکه محلی ( شبکه خصوصی ) رفتار نمايد. اين بدان معنی است که صرفا" يک IP منحصر بفرد بمنظور نمايش مجموعه ای از کامپيوترها( يک گروه ) مورد نياز خواهد بود. کم بودن تعداد IP صرفا" يکی از دلايل استفاده از NAT است .در ادامه به بررسی علل استفاده از NATخواهيم پرداخت .

قابليت های NAT

عملکرد NAT مشابه يک تلفتچی در يک اداره بزرگ است . فرض کنيد شما به تلفنچی اداره خود اعلام نموده ايد که تماس های تلفنی مربوط به شما را تا به وی اعلام ننموده ايد ، وصل نکند . در ادامه با يکی ازمشتريان تماس گرفته و برای وی پيامی گذاشته ايد که سريعا" با شما تماس بگيرد. شما به تلفتچی اداره می گوئيد که منتظر تماس تلفن از طرف يکی از مشتريان هستم، در صورت تماس وی ، آن را به دفتر من وصل نمائيد. در ادامه مشتری مورد نظر با اداره شما تماس گرفته و به تلفنچی اعلام می نمايد که قصد گفتگو با شما را دارد ( چراکه شما منتظر تماس وی هستيد ). تلفنچی جدول مورد نظر خود را بررسی تا نام شما را در آن پيدا نمايد. تلفنچی متوجه می شود که شما تلفن فوق را درخواست نموده ايد، بنابراين تماس مورد نظر به دفتر شما وصل خواهد شد.

NAT توسط شرکت سيسکو و بمنظور استفاده در يک دستگاه ( فايروال ، روتر، کامپيوتر ) ارائه شده است .NAT بين يک شبکه داخلی و يک شبکه عمومی مستقر و شامل مدل ها ی متفاوتی است .

- NAT ايستا . عمليات مربوط به ترجمه يک آدرس IP غير ريجستر شده ( ثبت شده ) به يک آدرس IP ريجستر شده را انجام می دهد. ( تناظر يک به يک ) روش فوق زمانيکه قصد استفاده از يک دستگاه را از طريق خارج از شبکه داشته باشيم، مفيد و قابل استفاده است . در مدل فوق همواره IP 192.168.32.10 به IP 213.18.123.110 ترجمه خواهد شد.

- NAT پويا . يک آدرس IP غير ريجستر شده را به يک IP ريجستر شده ترجمه می نمايد. در ترجمه فوق از گروهی آدرس های IP ريجستر شده استفاده خواهد شد.

- OverLoading . مدل فوق شکل خاصی از NAT پويا است . در اين مدل چندين IP غير ريجستر شده به يک IP ريجستر شده با استفاده از پورت های متعدد، ترجمه خواهند شد. به روش فوق PAT)Port Address Translation) نيز گفته می شود.

- Overlapping . در روش فوق شبکه خصوصی از مجموعه ای IP ريجستر شده استفاده می کند که توسط شبکه ديگر استفاده می گردند. NAT می بايست آدرس های فوق را به آدرس های IP ريجستر شده منحصربفرد ترجمه نمايد. NAT همواره آدرس های يک شبکه خصوصی را به آدرس های ريجستر شده منحصر بفرد ترجمه می نمايد. NAT همچنين آدرس های ريجستر شده عمومی را به آدرس های منحصر بفرد در يک شبکه خصوصی ترجمه می نمايد. ( در هر حالت خروجی NAT ، آدرس های IP منحصر بفرد خواهد بود. آدرس های فوق می تواند در شبکه های عمومی ريجستر شده جهانی باشند و در شبکه های خصوصی ريجستر شده محلی باشند )
شبکه اختصاصی ( خصوصی ) معمولا" بصورت يک شبکه LAN می باشند . به اين نوع شبکه ها که از آدرس های IP داخلی استفاده می نمايند حوزه محلی می گويند. اغلب ترافيک شبکه در حوزه محلی بصورت داخلی بوده و بنابراين ضرورتی به ارسال اطلاعات خارج از شبکه را نخواهد داشت . يک حوزه محلی می تواند دارای آدرس های IP ريجستر شده و يا غيرريجستر شده باشد. هر کامپيوتری که از آدرس های IP غيرريجستر شده استفاده می کنند، می بايست از NAT بمنظور ارتباط با دنيای خارج از شبکه محلی استفاده نمايند.
NAT می تواند با استفاده از روش های متفاوت پيکربندی گردد. در مثال زير NAT بگونه ای پيکربندی شده است که بتواند آدرس های غير ريجستر شده IP ( داخلی و محلی ) که بر روی شبکه خصوصی ( داخلی ) می باشند را به آدرس های IP ريجستر شده ترجمه نمايد.
- يک ISP ( مرکز ارائه دهنده خدمات اينترنت ) يک محدوده از آدرس های IP را برای شرکت شما در نظر می گيرد. آدرس های فوق ريجستر و منحصر بفرد خواهند بود . آدرس های فوق Inside global ناميده می شوند. آدرس های IP خصوصی و غيرريچستر شده به دو گروه عمده تقسيم می گردند : يک گروه کوچک که توسط NAT استفاده شده (Outside local address) و گروه بزرگتری که توسط حوزه محلی استفاده خواهند شد ( Inside local address) . آدرس های Outside local بمنظور ترجمه به آدرس های منحصربفرد IP استفاده می شوند.آدرس های منحصر بفرد فوق، outside global ناميده شده و اختصاص به دستگاههای موجود بر روی شبکه عمومی ( اينترنت) دارند.
- اکثر کامپيوترهای موجود در حوزه داخلی با استفاده از آدرس های inside local با يکديگر ارتباط برقرار می نمايند.

- برخی از کامپيوترهای موجود در حوزه داخلی که نيازمند ارتباط دائم با خارج از شبکه باشند ،از آدرس های inside global استفاده و بدين ترتيب نيازی به ترجمه نخواهند داشت .

- زمانيکه کامپيوتر موجود در حوزه محلی که دارای يک آدرس inside local است، قصد ارتباط با خارج شبکه را داشته باشد بسته های اطلاعاتی وی در اختيار NAT قرار خواهد گرفت .

- NAT جدول روتينگ خود را بررسی تا به اين اطمينان برسد که برای آدرس مقصد يک entry در اختيار دارد. در صورتيکه پاسخ مثبت باشد، NAT بسته اطلاعاتی مربوطه را ترجمه و يک entry برای آن ايجاد و آن را در جدول ترجمه آدرس (ATT) ثبت خواهد کرد. در صورتيکه پاسخ منفی باشد بسته اطلاعاتی دور انداخته خواهد شد.

- با استفاده از يک آدرس inside global ، روتر بسته اطلاعاتی را به مقصد مورد نظر ارسال خواهد کرد.

- کامپيوتر موجود در شبکه عمومی ( اينترنت )، يک بسته اطلاعاتی را برای شبکه خصوصی ارسال می دارد. آدرس مبداء بسته اطلاعاتی از نوع outside global است . آدرس مقصد يک آدرس inside global است .

- NAT در جدول مربوطه به خود جستجو و آدرس مقصد را تشخيص و در ادامه آن را به کامپيوتر موجود در حوزه داخلی نسبت خواهد کرد.

- NAT آدرس های inside global بسته اطلاعاتی را به آدرس های inside local ترجمه و آنها را برای کامپيوتر مقصد ارسال خواهد کرد.

روش Overloading از يک ويژگی خاص پروتکل TCP/IP استفاده می نمايد. ويژگی فوق اين امکان را فراهم می آورد که يک کامپيوتر قادر به پشتيبانی از چندين اتصال همزمان با يک و يا چندين کامپيوتر با استفاده از پورت های متفاوت TCP و يا UDP باشد.. يک بسته اطلاعاتی IP دارای يک هدر(Header) با اطلاعات زير است :

آدرس مبداء . آدرس کامپيوتر ارسال کننده اطلاعات است .
پورت مبداء. شماره پورت TCP و يا UDP بوده که توسط کامپيوتر مبداء به بسته اطلاعاتی نسبت داده شده است .
آدرس مقصد : آدرس کامپيوتر دريافت کننده اطلاعات است .
پورت مقصد. شماره پورتTCP و يا UDP بوده که کامپيوتر ارسال کننده برای باز نمودن بسته اطلاعاتی برای گيرنده مشخص کرده است .
آدرس ها ، کامپيوترهای مبداء و مقصد را مشخص کرده ، در حاليکه شماره پورت اين اطمينان را بوجود خواهد آورد که ارتباط بين دو کامپيوتر دارای يک مشخصه منحصر بفرد است . هر شماره پورت از شانزده بيت استفاده می نمايد.( تعداد پورت های ممکن 65536 ( 16 2 ) خواهد بود ) . عملا" از تمام محدوده پورت های فوق استفاده نشده و 4000 پورت بصورت واقعی استفاده خواهند شد.

NAT پويا و Overloading

نحوه کار NAT پويا بصورت زير است :

- يک شبکه داخلی ( حوزه محلی) با استفاده از مجموعه ای از آدرس های IP که توسط IANA)Internet Assigned Numbers Authority) به شرکت و يا موسسه ای اختصاص داده نمی شوند پيکربندی می گردد. ( سازمان فوق مسئول اختصاص آدرس های IP در سطح جهان می باشد) آدرس های فوق بدليل اينکه منحصربفرد می باشند، غير قابل روتينگ ناميده می شوند.
- موسسه مربوطه يک روتر با استفاده از قابليت های NAT را پيکربندی می نمايد. روتر دارای يک محدوده از آدرس های IP منحصر بفرد بوده که توسط IANA د ر اختيار موسسه و يا شرکت مربوطه گذاشته شده است .
- يک کامپيوتر موجود بر روی حوزه محلی سعی درايجاد ارتباط با کامپيوتری خارج از شبکه ( مثلا" يک سرويس دهنده وب) را دارد.
- روتر بسته اطلاعاتی را از کامپيوتر موجود در حوزه محلی دريافت می نمايد.
- روتر آدرس IP غيرقابل روت را در جدول ترجمه آدرس ها ذخيره می نمايد. روتر آدرس IP غير قابل روت را با يک آدرس از مجموعه آدرس های منحصر بفرد جايگزين می نمايد. بدين ترتيب جدول ترجمه، دارای يک رابطه ( معادله ) بين آدرس IP غيرقابل روت با يک آدرس IP منحصر بفرد خواهد بود.
- زمانيکه يک بسته اطلاعاتی از کامپيوتر مقصد مراچعت می نمايد، روتر آدرس مقصد بسته اطلاعاتی را بررسی خواهد کرد.بدين منظور روتر در جدول آدرسهای ترجمه شده جستجو تا از کامپيوتر موجود در حوزه محلی که بسته اطلاعاتی به آن تعلق دارد، آگاهی پيدا نمايد.روتر آدرس مقصد بسته اطلاعاتی را تغيير ( از مقادير ذخيره شده قبلی استفاده می کند ) و آن را برای کامپيوتر مورد نظر ارسال خواهد کرد. در صورتيکه نتيجه جستجو در جدول، موفقيت آميز نباشد، بسته اطلاعاتی دور انداخته خواهد شد.
- کامپيوتر موجود در حوزه ، بسته اطلاعاتی را دريافت می کند. فرآيند فوق ماداميکه کامپيوتر با سيستم خارج از شبکه ارتباط دارد، تکرار خواهد شد.
نحوه کار Overloading پويا بصورت زير است :
- يک شبکه داخلی ( حوزه محلی) با استفاده از مجموعه ای از آدرس های IP که توسط IANA)Internet Assigned Numbers Authority) به شرکت و يا موسسه ای اختصاص داده نمی شوند پيکربندی می گردد. آدرس های فوق بدليل اينکه منحصربفرد می باشند غير قابل روتينگ ناميده می شوند.
- موسسه مربوطه يک روتر را با استفاده از قابليت های NAT ، پيکربندی می نمايد. روتر دارای يک محدوده از آدرس های IP منحصر بفرد بوده که توسط IANA د ر اختيار موسسه و يا شرکت مربوطه گذاشته شده است .
- يک کامپيوتر موجود بر روی حوزه داخلی ، سعی درايجاد ارتباط با کامپيوتری خارج از شبکه( مثلا" يک سرويس دهنده وب) را دارد.
- روتر بسته اطلاعاتی را از کامپيوتر موجود در حوزه داخلی دريافت می نمايد.
- روتر آدرس IP غيرقابل روت و شماره پورت را در جدول ترجمه آدرس ها ذخيره می نمايد. روتر آدرس IP غير قابل روت را با يک آدرس منحصر بفرد جايگزين می نمايد. روتر شماره پورت کامپيوتر ارسال کننده را با شماره پورت اختصاصی خود جايگزين و آن را در محلی ذخيره تا با آدرس کامپيوتر ارسال کننده اطلاعات ، مطابقت نمايد.
- زمانيکه يک بسته اطلاعاتی از کامپيوتر مقصد مراچعت می نمايد ، روتر پورت مقصد بسته اطلاعاتی را بررسی خواهد کرد.بدين منظور روتر در جدول آدرس های ترجمه شده جستجو تا از کامپيوتر موجود در حوزه داخلی که بسته اطلاعاتی به آن تعلق دارد آگاهی پيدا نمايد.روتر آدرس مقصد بسته اطلاعاتی و شماره پورت را تغيير ( از مقادير ذخيره شده قبلی استفاده می کند ) و آن را برای کامپيوتر مورد نظر ارسال خواهد کرد. در صورتيکه نتيجه جستجو در جدول ، موفقيت آميز نباشد بسته اطلاعاتی دور انداخته خواهد شد.
- کامپيوتر موجود در حوزه داخلی ، بسته اطلاعاتی را دريافت می کند. فرآيند فوق ماداميکه کامپيوتر با سيستم خارج از شبکه ارتباط دارد، تکرار خواهد شد.
با توجه به اينکه NAT آدرس کامپيوتر مبداء و پورت مربوطه آن را در جدول ترجمه آدرس ها ذخيره شده دارد، ماداميکه ارتباط فوق برقرار باشد از شماره پورت ذخيره شده ( اختصاص داده شده به بسته اطلاعاتی ارسالی) استفاده خواهد کرد. روتر دارای يک Timer بوده وهر بار که يک آدرس از طريق آن استفاده می گردد reset می گردد.در صورتيکه در مدت زمان مربوطه ( Timer صفر گردد ) به اطلاعات ذخيره شده در NAT مراجعه ای نشود، اطلاعات فوق ( يک سطر از اطلاعات ) از داخل جدول حذف خواهند شد.

Source
Computer
Source
Computer's
IP Address
Source
Computer's
Port
NAT Router's
IP Address
NAT Router's
Assigned
Port Number

A
192.168.32.10
400
215.37.32.203
1

B
192.168.32.13
50
215.37.32.203
2

C
192.168.32.15
3750
215.37.32.203
3

D
192.168.32.18
206
215.37.32.203
4

در صورتيکه برخی ازکامپيوترهای موجود در شبکه خصوصی از آدرس های IP اختصاصی خود استفاده می نمايند ، می توان يک ليست دستيابی از آدرس های IP را ايجاد تا به روتر اعلام نمايد که کداميک از کامپيوترهای موجود در شبکه به NAT نياز دارند. تعداد ترجمه های همزمانی که يک روتر می تواند انجام دهد، ارتباط مستقيم با حافظه اصلی سيستم دارد. با توجه به اينکه در جدول ترجمه آدرس هر entry صرفا" 160 بايت را اشغال خواهد کرد، يک روتر با 4 مگابايت حافظه قادر به پردازش 26.214 ترجمه همزمان است. مقدار فوق برای اغلب موارد کافی بنظر می آيد.

IANA محدوده ای از آدرس های IP را که غيرفابل روت بوده و شامل آدرس های داخلی شبکه هستند مشخص نموده است .آدرس های فوق غيرريجستر شده می باشند.. هيچ شرکت و يا آژانسی نمی تواند ادعای مالکيت آدرس های فوق را داشته باشد و يا آنها را در شبکه های عمومی ( اينترنت ) استفاده نمايد. روترها بگونه ای طراحی شده اند که آدرس های فوق را عبور (Forward) نخواهند کرد.

Range 1: Class A - 10.0.0.0 through 10.255.255.255
Range 2: Class B - 172.16.0.0 through 172.31.255.255
Range 3: Class C - 192.168.0.0 through 192.168.255.255
امنيت
همزمان با پياده سازی يک NAT پويا، يک فايروال بصورت خودکار بين شبکه داخلی و شبکه های خارجی ايجاد می گردد. NAT صرفا" امکان ارتباط به کامپيوترهائی را که در حوزه داخلی می باشند را خواهد داد. اين بدان معنی است که يک کامپيوتر موجود در خارج از شبکه داخلی ، قادر به ارتباط مستقيم با يک کامپيوتر موجود در حوزه داخلی نبوده ، مگر اينکه ارتباط فوق توسط کامپيوتر شما مقدار دهی اوليه ( هماهنگی های اوليه از بعد مقداردهی آدرس های مربوطه ) گردد. شما براحتی قادر به استفاده از اينترنت دريافت فايل و ... خواهيد بود ولی افراد خارج از شبکه نمی توانند با استفاده از آدرس IP شما، به کامپيوتر شما متصل گردند. NAT ايستا ، امکان برقراری ارتباط با يکی از کامپيوترهای موجود در حوزه داخلی توسط دستگاههای موجود در خارج از شبکه را ، فراهم می نمايند.
برخی از روترهای مبتنی بر NAT امکان فيلترينگ و ثبت ترافيک را ارائه می دهند. با استفاده از فيلترينگ می توان سايت هائی را که پرسنل يک سازمان از آنها استفاده می نمايند را کنترل کرد.با ثبت ترافيک يک سايت می توان از سايت های ملاقات شده توسط کاربران آگاهی و گزارشات متعددی را بر اساس اطلاعات ثبت شده ايجاد کرد.
NAT دربرخی موارد با سرويس دهندگان Proxy ، اشتباه در نظر گرفته می شود. NAT و Proxy دارای تفاوت های زيادی می باشند. NAT بی واسطه بين کامپيوترهای مبداء و مقصد قرار می گيرد. Proxy بصورت بی واسطه نبوده و پس از استقرار بين کامپيوترهای مبداء و مقصد تصور هر يک از کامپيوترهای فوق را تغيير خواهد داد. کامپيوتر مبداء می داند که درخواستی را از Proxy داشته و می بايست بمنظور انجام عمليات فوق ( درخواست ) پيکربندی گردد. کامپيوتر مقصد فکر می کند که سرويس دهنده Proxy بعنوان کامپيوتر مبداء می باشد. Proxy در لايه چهارم (Transport) و يا بالاتر مدل OSI ايفای وظيفه می نمايد در صورتيکه NAT در لايه سوم (Network) فعاليت می نمايد. Proxy ، بدليل فعاليت در لايه بالاتر در اغلب موارد از NAT کندتر است .

+ نوشته شده توسط حاجي در یکشنبه بیست و پنجم دی 1384 و ساعت 1:44 قبل از ظهر |