دانلود گزارش کارآموزی شبکه کامپیوتری

معرفی شبکه کامپیوتری و اجزاء و مدل های شبکه

بطور کلی قبل از طراحی فیزیکی یک شبکه کامپیوتری ، ابتدا باید خواسته ها شناسایی وتحلیل شوند، مثلا در یک کتابخانه چرا قصد ایجاد یک شبکه را داریم واین شبکه باید چه سرویس ها وخدماتی را ارائه نماید؛ برای تامین سرویس ها وخدمات مورد نظر اکثریت کاربران ، چه اقداماتی باید انجام داد ؛ مسائلی چون پروتکل مورد نظر برای استفاده از شبکه ، سرعت شبکه واز همه مهمتر مسائل امنیتی شبکه ، هریک از اینها باید به دقت مورد بررسی قرار گیرد. سعی شده است پس از ارائه تعاریف اولیه ، مطالبی پیرامون کاربردهای عملی آن نیز ارائه شود تا  در تصمیم گیری بهتر یاری کند.

● تاریخچه پیدایش شبکه
در سال 1957 نخستین ماهواره یعنی اسپوتنیک توسط اتحاد جماهیر شوروی سابق به فضا پرتاب شد . در همین دوران رقابت سختی از نظر تسلیحاتی بین دو ابر قدرت آن زمان جریان داشت و دنیا در دوران جنگ سرد به‌سر می برد. وزارت دفاع آمریکا ‌‌ ‌در واکنش به این اقدام رقیب نظامی خود ،آژانس پروژه های تحقیقاتی پیشرفته یا آرپا‌‌‌‌
(ARPA) را تأسیس کرد.

یکی از پروژه های مهم این آژانس تأمین ارتباطات در زمان جنگ جهانی احتمالی تعریف شده بود. در همین سال‌ها در مراکز تحقیقاتی غیرنظامی که  در امتداد دانشگاه‌ها بودند، تلاش برای اتصال کامپیوترها به یکدیگر در جریان بود .در آن زمان کامپیوترها‌‌ی ‌Mainframe از طریق ترمینال‌ها به کاربران سرویس می‌دادند.
 
در اثر اهمیت یافتن این موضوع آژانس آرپا‌‌ ‌‌(ARPA) منابع مالی پروژه اتصال دو کامپیوتر از راه دور به یکدیگر را در دانشگاه‌‌ ‌MIT بر عهده گرفت . در اواخر سال 1960 اولین شبکه کامپیوتری بین چهار کامپیوتر که دو تای آنها در ‌‌MIT،  یکی  در دانشگاه کالیفرنیا و دیگری در مرکز تحقیقاتی استنفورد قرار داشتند، راه‌اندازی شد. این شبکه آرپانت‌‌
 ‌‌(ARPAnet) نامگذاری شد . در سال 1965 نخستین ارتباط راه دور بین دانشگاه ‌MIT و یک مرکز دیگر نیز بر قرار گردید .

در سال 1970 شرکت معتبر زیراکس، یک مرکز تحقیقاتی در پالوآلتو تأسیس کرد. این مرکز در طول سال‌ها مهمترین فناوری‌های مرتبط با کامپیوتر را معرفی کرده است و از این نظر به یک مرکز تحقیقاتی افسانه ای بدل گشته است. این مرکز تحقیقاتی که پارک ‌‌‌(PARC‌) نیز نامیده می شود، به تحقیقات در زمینه شبکه‌های کامپیوتری پیوست. تا این سال‌ها شبکه آرپانت‌‌ به امور نظامی اختصاص داشت، اما در سال 1972 به عموم معرفی شد. در این سال شبکه آرپانت  مراکز کامپیوتری بسیاری از دانشگاه ها و مراکز تحقیقاتی را به هم متصل کرده بود.  در سال 1972 نخستین نامه الکترونیکی از طریق شبکه منتقل گردید.

در این سال‌ها حرکتی غیرانتفاعی به‌نام‌‌ ‌MERIT که چندین دانشگاه بنیان‌گذار آن بوده‌اند، مشغول توسعه روش‌های اتصال کاربران ترمینال‌ها به کامپیوتر مرکزی یا میزبان بود. مهندسان پروژه ‌‌‌MERIT در تلاش برای ایجاد ارتباط بین کامپیوترها، مجبور شدند تجهیزات لازم را خود طراحی کنند. آنان با طراحی تجهیزات واسطه برای
 مینی‌کامپیوتر ‌‌‌DECPDP-11 نخستین بستر اصلی یا‌‌ ‌Backbone شبکه‌های کامپیوتری را ساختند. تا سال‌ها نمونه‌های اصلاح شده این کامپیوتر با نام ‌PCP یا‌ ‌Primary Communications Processor نقش میزبان را در شبکه‌ها ایفا می کرد.

نخستین شبکه از این نوع که چندین ایالت را به هم متصل می کرد‌‌ ‌Michnet نام داشت.

در سال 1973 موضوع رساله دکترای آقای باب مت‌کالف‌‌ ‌‌(Bob Metcalfe) درباره مفهوم اترنت در مرکز پارک مورد آزمایش قرار گرفت. با تثبیت اترنت تعداد شبکه های کامپیوتری رو افزایش گذاشت .

روش اتصال کاربران به کامپیوتر میزبان در آن زمان به این صورت بود  که یک نرم افزار خاص بر روی کامپیوتر مرکزی اجرا می‌شد و ارتباط کاربران را برقرار می کرد. اما در سال 1976 نرم‌افزار جدیدی به‌نام ‌‌Hermes عرضه شد که برای نخستین بار به کاربران اجازه می‌داد تا از طریق یک ترمینال به‌صورت تعاملی مستقیماً  به سیستم‌ ‌MERIT متصل شوند. این،  نخستین باری بود که کاربران می‌توانستند در هنگام برقراری ارتباط از خود بپرسند: <کدام میزبان؟>
از وقایع مهم تاریخچه شبکه‌های کامپیوتری ،  ابداع روش سوئیچینگ بسته‌ای یا ‌‌‌Packet Switching است.
 
قبل از معرفی شدن این روش از سوئیچینگ مداری یا‌‌ ‌Circuit Switching برای تعیین مسیر ارتباطی استفاده می شد. اما در سال 1974 با پیدایش پروتکل ارتباطی‌‌ TCP/IP از مفهوم ‌‌Packet Switching استفاده گسترده‌تری شد‌. این پروتکل در سال 1982 جایگزین پروتکل ‌NCP شد و به پروتکل استاندارد برای آرپانت تبدیل گشت. در همین زمان یک شاخه فرعی بنام ‌‌ ‌MILnet در آرپانت، همچنان از پروتکل قبلی پشتیبانی می‌کرد و به ارائه خدمات نظامی می پرداخت. با این تغییر و تحول، شبکه‌های زیادی به بخش تحقیقاتی این شبکه متصل شدند و آرپانت به اینترنت تبدیل گشت . در این سال‌ها حجم ارتباطات شبکه‌ای افزایش یافت و مفهوم ترافیک شبکه مطرح شد .

مسیریابی در این شبکه به‌کمک آدرس‌های IP به‌صورت 32 بیتی انجام می‌گرفته است. هشت بیت اول آدرس‌‌ ‌IP به شبکه‌های محلی تخصیص داده شده بود که به سرعت مشخص گشت تناسبی با نرخ رشد شبکه‌ها ندارد و باید در آن تجدید نظر شود. مفهوم شبکه‌های ‌‌‌LAN و شبکه‌های‌‌ ‌WAN در سال دهه 70  میلاادی  از یکدیگر تفکیک شدند.
در آدرس‌دهی 32 بیتی اولیه، بقیه 24 بیت آدرس به میزبان در شبکه اشاره می کرد.

 در سال‌‌ ‌‌1983‌‌ ‌‌سیستم نامگذاری دامنه‌ها‌ ‌‌‌(Domain Name System) به‌وجود آمد و اولین‌‌ سرویس‌دهنده نامگذاری(‌Name server) راه‌اندازی شد و استفاده از نام به‌جای آدرس‌های عددی معرفی شد. در این سال تعداد میزبان‌های اینترنت از مرز‌‌ ‌ده هزار عدد فراتر رفته بود.

● شبکه کامپیوتری چیست ؟

اساسا یک شبکه کامپیوتری شامل دو یا بیش از دو کامپیوتر وابزارهای جانبی مثل چاپگرها، اسکنرها ومانند اینها هستند که بطور مستقیم بمنظور استفاده مشترک از سخت افزار ونرم افزار، منابع اطلاعاتی ابزارهای متصل ایجاده شده است توجه داشته باشید که به تمامی تجهیزات سخت افزاری ونرم افزاری موجود در شبکه منبع (Source) گویند.
در این تشریک مساعی با توجه به نوع پیکربندی کامپیوتر ، هر کامپیوتر کاربر می تواند در آن واحد منابع خود را اعم از ابزارها وداده ها با کامپیوترهای دیگر همزمان بهره ببرد.
 دلایل استفاده از شبکه را می توان موارد ذیر عنوان کرد :
1 - استفاده مشترک از منابع :
استفاده مشترک از یک منبع اطلاعاتی یا امکانات جانبی رایانه ، بدون توجه به محل جغرافیایی هریک از منابع را استفاده از منابع مشترک گویند.
2 - کاهش هزینه :
متمرکز نمودن منابع واستفاده مشترک از آنها وپرهیز از پخش آنها در واحدهای مختلف واستفاده اختصاصی هر کاربر در یک سازمان کاهش هزینه را در پی خواهد داشت .
3 - قابلیت اطمینان :
این ویژگی در شبکه ها بوجود سرویس دهنده های پشتیبان در شبکه اشاره می کند ، یعنی به این معنا که می توان از منابع گوناگون اطلاعاتی وسیستم ها در شبکه نسخه های دوم وپشتیبان تهیه کرد ودر صورت عدم دسترسی به یک از منابع اطلاعاتی در شبکه " بعلت از کارافتادن سیستم " از نسخه های پشتیبان استفاده کرد. پشتیبان از سرویس دهنده ها در شبکه کارآیی، فعالیت وآمادگی دایمی سیستم را افزایش می دهد.
4 - کاهش زمان :
یکی دیگر از اهداف ایجاد شبکه های رایانه ای ، ایجاد ارتباط قوی بین کاربران از راه دور است ؛ یعنی بدون محدودیت جغرافیایی تبادل اطلاعات وجود داشته باشد. به این ترتیب زمان تبادل اطلاعات و استفاده از منابع خود بخود کاهش می یابد.
5 - قابلیت توسعه :
یک شبکه محلی می تواند بدون تغییر در ساختار سیستم توسعه یابد و تبدیل به یک شبکه بزرگتر شود. در اینجا هزینه توسعه سیستم هزینه امکانات وتجهیزات مورد نیاز برای گسترش شبکه مد نظر است.
6 - ارتباطات :
کاربران می توانند از طریق نوآوریهای موجود مانند پست الکترونیکی و یا دیگر سیستم های اطلاع رسانی پیغام هایشان را مبادله کنند ، حتی امکان انتقال فایل نیز وجود دارد.

در طراحی شبکه مواردی که قبل از راه اندازی شبکه باید مد نظر قرار دهید شامل موارد ذیل هستند:
1 - اندازه سازمان
2 - سطح امنیت
3 - نوع فعالیت
4 - سطح مدیریت
5 - مقدار ترافیک
6 - بودجه

● مفهوم گره " Node" وایستگاههای کاری ( Work Stations ) در شبکه :

هرگاه شما کامپیوتر ی را به شبکه اضافه می کنید ، این کامپیوتر به یک ایستگاه کاری یا گره تبدیل می شود.
یک ایستگاه کاری ، کامپیوتری است که به شبکه وصل شده است و در واقع واژه ایستگاه کاری روش دیگری است برای اینکه بگوییم یک کامپیوتر متصل به شبکه است. یک گره چگونگی و ارتباط شبکه یا ایستگاه کاری و یا هر نوع ابزار دیگری است که به شبکه متصل است وبطور ساده تر هر چه را که به شبکه متصل  شده است یک گره گویند.
برای شبکه جایگاه و آدرس یک ایستگاه کاری مترادف با هویت گره اش است.

● مدل های شبکه :

در یک شبکه ، یک کامپیوتر می تواند هم سرویس دهنده و هم سرویس گیرنده باشد. یک سرویس دهنده (Server) کامپیوتری است که فایل های اشتراکی وهمچنین سیستم عامل شبکه که مدیریت عملیات شبکه را بعهده دارد ، را نگهداری می کند.
برای آنکه سرویس گیرنده (Client و یا User) بتواند به سرویس دهنده دسترسی پیدا کند ، ابتدا سرویس گیرنده باید اطلاعات مورد نیازش را از سرویس دهنده تقاضا کند. سپس سرویس دهنده اطلاعات در خواست شده را به سرویس گیرنده ارسال خواهد کرد.

سه مدل از شبکه هایی که مورد استفاده قرار می گیرند ، عبارتند از :
1 - شبکه نظیر به نظیر " Peer- to- Peer "
2 - شبکه مبتنی بر سرویس دهنده " Server- Based "
3 - شبکه سرویس دهنده / سرویس گیرنده " Client Server"

● مدل شبکه نظیر به نظیر" Peer- to- Peer " :

در این شبکه ایستگاه ویژه ای جهت نگهداری فایل های اشتراکی و سیستم عامل شبکه وجود ندارد. هر ایستگاه می تواند به منابع سایر ایستگاه ها در شبکه دسترسی پیدا کند. هر ایستگاه خاص می تواند هم بعنوان Server وهم بعنوان Client عمل کند. در این مدل هر کاربر خود مسئولیت مدیریت وارتقاء دادن نرم افزارهای ایستگاه خود را بعهده دارد. از آنجایی که یک ایستگاه مرکزی برای مدیریت عملیات شبکه وجود ندارد ، این مدل معمولا برای شبکه ای با کمتر از 10 ایستگاه بکار می رود .

در این شبکه ایستگاه ویژه ای جهت نگهداری فایل های اشتراکی و سیستم عامل شبکه وجود ندارد. هر ایستگاه می تواند به منابع سایر ایستگاه ها در شبکه دسترسی پیدا کند. هر ایستگاه خاص می تواند هم بعنوان Server وهم بعنوان Client عمل کند. در این مدل هر کاربر خود مسئولیت مدیریت وارتقاء دادن نرم افزارهای ایستگاه خود را بعهده دارد. از آنجایی که یک ایستگاه مرکزی برای مدیریت عملیات شبکه وجود ندارد ، این مدل معمولا برای شبکه ای با کمتر از 10 ایستگاه بکار می رود .

● شبکه مبتنی بر سرویس دهنده" Server- Based " :

در این مدل شبکه ، یک کامپیوتر بعنوان سرویس دهنده کلیه فایل ها ونرم افزارهای اشتراکی نظیر واژه پرداز ها، کامپایلرها ، بانک های اطلاعاتی وسیستم عامل شبکه را در خود نگهداری می کند. یک کاربر می تواند به سرویس دهنده دسترسی پیدا کرده وفایل های اشتراکی را از روی آن به ایستگاه خود منتقل کند.

● شبکه سرویس دهنده / سرویس گیرنده " Client Server" :

در این مدل یک ایستگاه در خواست انجام کارش را به سرویس دهنده ارائه می دهد وسرویس دهنده پس از اجرای وظیفه محوله ، نتایج حاصل را به ایستگاه در خواست کننده عودت می دهد. در این مدل حجم اطلاعات مبادله شده شبکه ، در مقایسه با مدل مبتنی بر سرویس دهنده کمتر است واین مدل دارای کارایی بالاتری می باشد ، ارتباط در شبکه  Server- Based و Client Server از طریق Server  انجام میگیرد .

● هر شبکه اساسا از سه بخش ذیل تشکیل می شود :

ابزارهایی که به پیکربندی اصلی شبکه متصل می شوند:

بعنوان مثال کامپیوتر ها ، چاپگرها، هاب ها " Hubs " سیم ها ، کابل ها وسایر رسانه هایی که برای اتصال ابزارهای شبکه استفاده می شوند. سازگار کننده ها (Adaptor) : که بعنوان اتصال کابل ها به کامپیوتر هستند . اهمیت آنها در این است که بدون وجود آنها شبکه تنها شامل چند کامپیوتر بدون ارتباط موازی است که قادر به سهیم شدن منابع یکدیگر نیستند . عملکرد سازگارکننده در این است که به دریافت وترجمه سیگنال ها ی درون داد از شبکه از جانب یک ایستگاه کاری وترجمه وارسال برون داد به کل شبکه می پردازد.

● اجزا ءشبکه :

اجزا اصلی یک شبکه کامپیوتری عبارتند از : 1 - کارت شبکه  ( NIC- Network Interface Card) : برای استفاده از شبکه و برقراری ارتباط بین کامپیوتر ها از کارت شبکه ای استفاده می شود که در داخل یکی از شیارهای برد اصلی کامپیوتر های شبکه " اعم از سرویس دهنده و گیرنده " بصورت سخت افزاری و برای کنترل ارسال ودریافت داده نصب می گردد.

2 - رسانه انتقال ( Transmission Medium ) : رسانه انتقال کامپیوتر ها را به یکدیگر متصل کرده وموجب برقراری ارتباط بین کامپیوتر های یک شبکه می شود . برخی از متداولترین رسانه های انتقال عبارتند از : کابل زوج سیم بهم تابیده " Twisted- Pair" ، کابل کواکسیال " Coaxial" وکابل فیبر نوری "Fiber- Optic" .

3 - سیستم عامل شبکه  ( NOS- Network Operating System ) : سیستم عامل شبکه برروی سرویس دهنده اجرا می شود و سرویس های مختلفی مانند: اجازه ورود به سیستم "Login" ، رمز عبور "Password" ، چاپ فایل ها " Printfiles" ، مدیریت شبکه " Net work management " را در اختیار کاربران می گذارد.

ويژگي هاي شبكه همان طور كه قبلاً گفته شد، يكي از مهم‌ترين اجزاي شبكه‌هاي كامپيوتري، كامپيوتر سرور است.  سرور مسؤول ارائه خدماتي از قبيل انتقال فايل، سرويس‌هاي چاپ و غيره است. با افزايش حجم و ترافيك شبكه، ممكن است براي سرور مشكلاتي بروز كند. در شبكه‌هاي بزرگ براي حل اين مشكل، از افزايش تعداد كامپيوترهاي سرور استفاده مي‌شود كه به اين سرورها، سرورهاي اختصاصي گفته مي‌شود. دو نوع متداول اين سرورها عبارتند از‌ File and Print Server و Application Server . نوع اول يعني سرويس‌دهنده فايل و چاپ مسؤول ارائه خدماتي از قبيل ذخيره‌سازي فايل، حذف فايل و تغيير نام فايل است كه اين درخواست‌ها را از كامپيوترهاي‌  سرويس‌گيرنده دريافت مي‌كند. اين سرور همچنين مسؤول مديريت امور چاپگر نيز هست. هنگامي كه يك كاربر درخواست دسترسي به فايلي واقع در سرور را ارسال مي كند، كامپيوتر سرور نسخه‌اي از فايل كامل را براي آن كاربر ارسال مي‌كند. بدين ترتيب كاربر مي‌تواند به صورت محلي، يعني روي كامپيوتر خود اين فايل را ويرايش كند. كامپيوترسرويس‌دهنده چاپ، مسؤول دريافت درخواست‌هاي كاربران براي چاپ اسناد است. اين سرور اين درخواست‌ها را در يك صف قرار مي‌دهد و به نوبت آن‌ها را به چاپگر ارسال مي‌كند. اين فرايند ‌spooling نام دارد. به كمك ‌‌spooling كاربران مي‌توانند بدون نياز به انتظار براي اجراي فرمان پرينت به فعاليت بر روي كامپيوتر خود ادامه دهند. نوع ديگر سرور، ‌‌Application Server نام دارد. اين سرور مسؤول  اجراي برنامه هاي ‌‌client/server و تأمين داده‌هاي   سرويس‌گيرنده است. ‌سرويس‌دهنده‌ها، حجم زيادي از اطلاعات را در خود نگهداري مي‌كنند. براي امكان بازيابي سريع و ساده اطلاعات، اين داده‌ها در يك ساختار مشخص ذخيره مي‌شوند. هنگامي كه كاربري درخواستي را به‌ چنين سرويس‌دهنده‌اي ارسال مي‌كند، سرور نتيجه درخواست را به كامپيوتر كاربر انتقال مي‌دهد. به عنوان مثال يك شركت بازاريابي را در نظر بگيريد. اين شركت در نظر دارد تا براي مجموعه‌اي از محصولات جديد خود، تبليغ كند. اين شركت مي‌تواند براي كاهش حجم ترافيك، براي مشتريان با طيف درآمدهاي مشخص، فقط گروهي از محصولات را تبليغ نمايد. علاوه بر سرورهاي يادشده، در يك شبكه مي‌توان براي خدماتي از قبيل پست الكترونيك، فكس، سرويس‌هاي دايركتوري و غيره نيز سرورهايي اختصاص داد. اما بين سرورهاي فايل و ‌Application Server‌ها تفاوت‌هاي مهمي نهفته است. يك سرور فايل در پاسخ به درخواست كاربر براي دسترسي به يك فايل، يك نسخه كامل از فايل را براي او ارسال مي‌كند در حالي كه يك‌ ‌Application Server فقط نتايج درخواست كاربر را براي وي ارسال مي‌نمايد.

امنيت شبكه يكي از مهم ترين فعاليت هاي مدير شبكه، تضمين امنيت منابع شبكه است. دسترسي غيرمجاز به منابع شبكه و يا ايجاد آسيب عمدي يا غيرعمدي به اطلاعات، امنيت شبكه را مختل مي كند. از طرف ديگر امنيت شبكه نبايد آن چنان باشد كه كاركرد عادي  كاربران را مشكل سازد. براي تضمين امنيت اطلاعات و منابع سخت‌افزاري شبكه، از دو مدل امنيت شبكه استفاده مي شود. اين مدل ها عبارتند از: امنيت در سطح اشتراك ‌(share-level) ‌و امنيت در سطح كاربر‌‌‌ (user-level).  در مدل امنيت در سطح اشتراك، اين عمل با انتساب اسم رمز يا‌‌password  براي هر منبع به اشتراك گذاشته تأمين مي‌شود. دسترسي به منابع مشترك فقط هنگامي برقرار مي‌گردد كه كاربر اسم رمز صحيح را براي منبع به اشتراك گذاشته شده را به درستي بداند. به عنوان مثال اگر سندي قابل دسترسي براي سه كاربر باشد، مي‌توان با نسبت دادن يك اسم رمز به اين سند مدل امنيت در سطح‌ ‌share-level را پياده‌سازي كرد. منابع شبكه را مي‌توان در سطوح مختلف به اشتراك گذاشت. براي مثال در سيستم عامل ويندوز 95 مي توان دايركتوري ها را به صورت فقط خواندني ‌(Read only)، برحسب اسم رمز يا به شكل  كامل‌‌ ‌‌(Full) به اشتراك گذاشت. از مدل امنيت در سطح ‌ ‌share-level مي‌توان براي ايجاد بانك‌هاي اطلاعاتي ايمن استفاده كرد. در مدل دوم يعني امنيت در سطح كاربران، دسترسي كاربران به منابع به اشتراك گذاشته شده با دادن اسم رمز به كاربران تأمين مي‌شود. در اين مدل كاربران در هنگام اتصال به شبكه بايد اسم رمز و كلمه عبور را وارد نمايند. در اين‌جا سرور مسؤول تعيين اعتبار اسم رمز و كلمه عبور است. سرور در هنگام دريافت درخواست كاربر براي دسترسي به منبع به اشتراك گذاشته شده، به بانك اطلاعاتي خود مراجعه كرده و درخواست كاربر را رد يا قبول مي‌كند. تفاوت اين دو مدل در آن است كه در مدل امنيت در سطح ‌‌share-level، اسم رمز به منبع نسبت داده شده و در مدل دوم اسم رمز و كلمه عبور به كاربر نسبت داده مي شود. بديهي است كه مدل امنيت در سطح كاربر بسيار مستحكم‌تر از مدل امنيت در سطح اشتراك است. بسياري از كاربران به راحتي مي‌توانند اسم رمز يك منبع را به ديگران بگويند، اما اسم رمز و كلمه عبور شخصي را‌ نمي توان به سادگي به شخص ديگر منتقل كرد

پروتکل امنيت در لايه شبکه IPSec

پروتکل امنيت در لايه شبکه IPSec

مقدمه

در پشته پروتکل  TCP/IP  هر لايه داراي يک يا چند پروتکل مي باشد که هر پروتکل وظيفه خاصي را در آن لايه انجام مي دهد, بر همين اساس جهت ايجاد امنيت هر لايه بنا به اصول طراحي زير پروتکلها ، يک  يا چند پروتکل امنيتي تعبيه شده است.مطابق اصول طراحي زير لايه هر لايه وظيفه اي را بر عهده دارد که منحصر بفرد مي باشد و در هر لايه نيز هر پروتکل مي تواند بنا به قرارداد عمليات خاصي را برعهده بگيرد .بر همين اساس امنيت در لايه شبکه بر عهده IPSec     مي باشد. از اين پروتکل بطور وسيعي درشبکه هاي مجازي خصوصي (Virtal Private Network  ) VPN براي دفاترمربوط به يک شرکت يا سازمان و اساساً ايجاد ارتباط امن بين دو يا چند سازمان  بکار مي رود . امنيت  شبکه هاي  مجازي خصوصي((VPN از چند روش امکان پذير مي باشد که عبارت اند از استفاده از ديواره آتش ، IPsec , AAA Server و کپسوله سازي.

اما روش IPsec به علت امن بودن ، پايداري بالا ،ارزان بودن ،انعطاف پذير بودن و مديريت بالا، مورد توجه قرار گرفته است. اين پروتکل شامل مباحث :

● سرآيند احراز هويت (Authentication Header(AH) ) :که بحث پيرامون فرمت بسته ها و مسائل عمومي مربوط به استفاده از AH براي احراز هويت بسته مي پردازد.

● الگوريتم رمزنگاري (Encryption Algorithm ) :که به نحوي رمزنگاري هاي مختلف در ESP مي پردازد.

● الگوريتم احراز هويت كه نحوه استفاده از الگوريتمهاي احراز هويت مختلف در  ESP , AH (اختياري) را بيان مي دارد.

● مديريت كليد(Key Management ) :كه به مسائل مربوط به مديريت كليد مي پردازد.

● ارتباط بين دامنه اي (Domain of Inter Predation ): يا مطالب مربوط به ارتباط بين قسمت هاي

مختلف مانند شناسه هاي استفاده شده براي الگوريتم ها و پارامترهايي از قبيل طول عمر كليد.

پروتکل IPSec خود شامل اجزاء تشكيل دهنده قراردادها و نحوي تامل بين آنهاست. در شكل 1 ارتباط بخشهاي مختلف اين قرارداد نمايش داده شده است.

شکل 1.معماري پروتکل IPSec  و نحوي تامل اجزاء آن

در پروتکل  IPSecسرويسهاي امنيتي در دو قرارداد ESP , AH تدارک ديده شده اند .اين سرويسهاي امنيتي شامل_ :كنترل دسترسي (Access Control )  ،صحت و درستي (Integrity)   ، احراز هويت مبدا داده (Data Origin Authentication )  ، رد بسته هاي دوباره ارسال شده (Anti Replay  ) ، محرمانگي (confidentially) ، محرمانگي جريان ترافيك بصورت محدود_ خواهند بود.

اين سرويسها در سه نوع ترکيب  IPSec   ارتباط فراهم آمده اند:

پروتكلهاي ESP , AH فقط بصورت رمزنگاري (Encryption) و ESP بصورت Encryption و احراز هويت (Authentication).

IPSec يك پروتكل توسعه يافته روي پروتكل IP است كه جهت امنيت IP تهيه شده است. اين پروتكل از دو پروتكل  AHوESP  براي اطمينان بيشتر روي احراز هويت،تماميت داده ها(سلامت داده) و محرمانگي استفاده مي كند. اين پروتكل مي تواند،هم امنيت درلايه شبکه و هم امنيت در پروتكلهاي لايه بالاتر در حالت Transport Modeرا برقرار سازد. اين پروتكل از دو حالت  Tunnel و Transport جهت اعمال سرويسهاي امنيتي استفاده مي كنند، يعني براي امنيت لايه شبکه از حالت mode Tunnel استفاده مي كند و براي امنيت لايه هاي بالاتر از حالت انتقال يا mode  Transport استفاده مي نمايد.

درحالت Tunneling ؛ديتاگرام IP بطور كامل توسط ديتاگرامIP جديدي كپسوله شده و آنرا براي پروتكل IPSec بكار مي برد. ولي در حالت Transport فقط payload ديتاگرام بوسيله پروتكل IPSec فيلد سرآيند IPSec و سرآيندIP و فيلدهاي لايه هاي بالايي درج (inserting) مي شود.مطابق شكل2 اين دو حالت به نمايش در آمده است.

شکل 2. حالت انتقال و تونل

مزاياي حالت Tunnel اين است كه آدرسها معمولاً آدرس Gateway هاست كه پس از بازگشايي آدرس واقعي بدست مي آيد و اين موضوع از حملات شبكه جلوگيري مي كند و مزيت دوم آن است كه بسته بيروني، يك بسته IP همانند بقيه بسته هاست و قابليت مسيريابي دارد.

در حالت Transport احراز هويت بصورت مستقيم بين Server و سرويس گيرنده (Client)توسط كليد متقارن مشترك انجام ميگيرد. در اين حالت كه الزاماً دو كامپيوتر در يك LAN قرار ندارند. اما در حالت Tunnel، سرويس گيرنده هويت خود را به Gateway اثبات مي كند. در هر دو روش هر يك حالت خودشان (Transport mode Manuel mode) را از طريق  SA استخراج کرده و مورد استفاده قرار مي دهند.

حالت هاي انتقال و تونل در AH

قرارداد AH در بسته IP  براي حفاظت ازتماميت داده هاي تبادلي ديتاگرام IP ، IPSec از كدهاي هَش احراز هويت پيام hash (Hash Message Authentication Code- )و يا با اختصار HMAC استفاده مي كند. براي استفاده از HMAC،پروتكلهاي IPSec از الگوريتم هاي hash ؛SHA براي محاسبات يك hash مبنا روي يك كليد سري(secret key) و محتويات ديتاگرام IP استفاده مي كند.

بنابراين اين كدهاي هش احراز هويت پيام hash هم در سرآيند پروتكل IPSec  و هم در پكت هاي دريافتي كه بتواند اين كدها را چك نمايد كه در واقع مي تواند به كليد سري دسترسي داشته باشد،قرار مي گيرد. براي ارائه سرويس محرمانگي ديتاگرام IP ،پروتكلهاي IPSec از استانداردهاي الگوريتم رمزنگاري متقارن (Symmetric Encryption Algorithm  ) استفاده مي كنند. IPSec از استانداردهاي NULL ، DESاستفاده خواهد كرد. امروزه معمولاً يكي از الگوريتم هاي قوي مثل Blowfish , AES,3DES را بكار مي برد.

IPSec براي  دفاع وحفاظت از تهاجمات داده هاي تبادلي(Denial of services) ،از روش پنجرة اسلايدي sliding windows استفاده مي كند. در اين روش هر پكت يك شمارة توالي(sequence number)  را به خود اختصاص مي دهد و اگر عدد آن پكت به همراه يك windowsيا newer درست شده باشد، در اين صورت پكت قديمي بلافاصله دور انداخته (dispatched) مي شود(اين روش همچنين براي حفاظت از تهاجمات ميانه راه پاسخ (The– of- middle  Response Attach)  نيز دوباره بكار مي آيد يعني حفاظت از مهاجماني كه پكت هاي اصلي را ثبت كرده و بعد از چند لحظه تأخير و احتمالاً تغيير دادن آن، ارسال مي دارند.

براي كپسوله كردن و بازگشائي اين يک پكت كپسوله شده ، با استفاده ازروشهاي ذخيرة سازي، كليدهاي سري،الگوريتم هاIP و آدرسها درگير در تبادلات اينترنتي را ذخيره نمايند و بکار ميگيرد. همة اين پارامترهاي مورد نياز جهت حفاظت ديتاگرامIP درجايي بنام مجمع امنيتي يا SA ها ذخيره مي شوند. اين مجمع امنيتي به نوبت در پايگاه دادة مجمع امنيتي(security association database ) يا (SAD) ذخيره مي شوند.

مجمع امنيتي (SA) داراي سه پارامتر يگانه (يكتا-يكه) است كه شامل :

1-    شاخص پارامتر امنيت :(Security Parameter Index) اين پارامتر 32 بيتي ارزش محلي داشته. اين پارامتربهمراه ESP , HA حمل مي شود تا سيستم دريافت كننده بتواند SA مربوط به آن را انتخاب نمايد.

2-    مشخصه پارامتر امنيت (security Parameter Identifier )SPI :اين پارامتر نوع پروتكل امنيتي SA را تعيين مي كند، AH يا ESP طبيعتاً اين مشخصه بطور همزمان هر دو پروتكل را بهمراه ندارد.

3-       آدرس مقصد : IP ، اين آدرس اساساً  آدرس يك نقطه انتهايي يا يك شبكه (روتر، حفاظ) خواهد بود.

با اين تفاصيل، بطور کاملترو ريزتر مجمع امنيتي يا SA شامل اطلاعات و پارامترهاي زير است:

1- آدرس مبداءو مقصد مربوط به سرآيند IPSec.اينها IP آدرسهاي پكت هاي نظير به نظير مبداء و مقصد حفاظت شده توسط IPSec مي باشند.

2- الگوريتم و كليد سري بكار برده شده در IPSec ( ESP Informationو .AH Informantion)

برخي پايگاه ذخيره سازي SA ها،اطلاعات بيشتري را نيز ذخيره مي كنند كه شامل :

3- حالت هاي اصلي انتقال بستهIPSec(Transport ياTunnel )

4- اندازه Sliding windows جهت حفاظت از تهاجمات بازگشتي (replay attach)

5- زمان حيات (life time ) SA ها .فاصله زماني است كه پس از آن SA بايد پايان يابد يا باSA جديدي عوض شود.

6- حالت ويژه پروتكل IPSec كه در اين پارامتر علاوه بر حالتهاي Transport , Tunnel ، حالت wildcard  نيز مشخص مي شود.

7Sequence Number caurter- كه يك پارامتر 32 بيتي كه در سرآيند ESP,AH بعنوان فيلد شمارة سريال قراردارد.

8sequence caunter cnerflow- يك شمارشگر كه سرريز در شماره سريال را ثبت مي كند و تعيين اينكه بسته هاي بعدي SA ارسال شود يا خير؟

9-Path Maximum Transportation limit يا ماكزيمم بسته اي كه در مسير قابل انتقال است.

از آنجائيكه IP آدرس مبدأ و مقصد توسط خود SA ها تعريف مي شوند. حفاظت از مسير دو طرفه كامل IPSec بطور مستقيم فقط براي يك طرف امكان پذير خواهد بود. براي اينكه بتوانيم حفاظت هر دو طرف را انجام دهيم نيازمند دو مجمع امنيتي غير مستقيم (indirection  ) خواهيم بود. SA ها فقط چگونگي حفاظت توسط IPSec را تعريف مي كنند :

اطلاعات مقررات امنيتي راجع به هر پكت در مقررات امنيتي (Security Policy) تعريف شده است كه در پايگاه ذخيره كنندة مقررات امنيتي (Database Security Policy  ) ثبت ونگهداري مي شود.

SP يامقررات امنيتي شامل اطلاعات زير است :

1- آدرس مبدأ و مقصد پكت هاي حفاظت شده. در حالت Transport اين آدرسها درست همان آدرسهاي مبدأ و مقصد SA است.

2- پروتكل و پورت حفاظت شده . برخي  IPSecها اجاره نمي دهند يك پروتكل به خصوص حفاظت شود. در اين حالت تمام تبادلات ارسال و دريافت بين IP آدرسهاي ذكر شده حفاظت مي شوند.

3-  مجمع امنيتي(SA) (Security Associate )  براي حفاظت پكت ها مورد استفاده قرار مي گردد.

تنظيم دستي SA ها همواره دچار خطا و بي دقت است. از سوي ديگر كليد سري و الگوريتم هاي رمزنگاري مابين همه نقاط شبكه اختصاصي مجازي (VPN) بايد به اشتراك گذاشته شود. به خصوص براي مديران سيستم , تبادل كليد مسئله بحراني خواهد كرد. بطور مثال اينكه چطور مي توانيم تشخيص دادهيم هيچ عمليات رمزنگاري انجام نمي شود تا در آن هنگام تبادل کليد متقارن سري انجام گيرد يکي از همين مسائل است.براي حل اين مشکل پروتكل تبادل كليد اينترنت (Internet Key Exchange  ) پياده سازي شده است . اين پروتكل احراز هويت، براي نقاط نظير اولين گام خواهد بود. دومين گام ايجاد SA و كليد سري متقارن جهت انتخاب و بكارگيري كلي تبادلي ديفن هيلمن(Diffle – Hellman key exchange ) خواهد بود.پروتكلIKE براي اطمينان از محرمانگي بطور دوره اي بدقت كليد سري را دوباره دريافت مي دارد.

اولين قدم در جهت تدوين اساس نامه امنيتي، طراحي آن مي باشد.  در اين مقاله سعي بر اين شده است كه درباره نحوه تدوين يك اساس نامه امنيتي بحث شود و روشهاي عملي آن بيان شده است ...

اجزاي اساس نامه امنيتي

اشخاص اغلب به اساس نامه امنيتي شركت ها فقط به عنوان يك سند جداگانه نگاه مي كنند. حتي در اينجا من نيز همين كار را كرده ام. در حقيقت مانند پروتكل هاي TCP/IP كه از چندين پروتكل تشكيل شده است، اساس نامه امنيتي نيز از چندين سياست(Policy) به خصوص تشكيل شده است؛ مانند سياستهاي دسترسي بيسيم يا سياستهاي فيلترينگ ترافيك ورودي به شبكه. مانند روش شناسي هاي عمومي اساس نامه امنيتي، براي تمامي آنها اجزاي عمومي مشتركي وجود دارد. در اين فصل به اين اجزا و روش شناسي ها مي پردازيم.

از كجا شروع كنيم ؟

همانطور كه در قبل نيز اشاره كرديم، اساس نامه امنيتي در اصل تعريف مي كند كه در كجا هستيم و به كجا مي خواهيم برويم.

در اينجا سه قدم وجود دارد كه بايد با آنها درگير شويم :

  طراحي اساس نامه امنيتي

 پياده سازي و اجراي اساس نامه امنيتي

  نظارت و بازبيني اساس نامه امنيتي

طراحي اساسنامه امنيتي

اولين قدم در جهت تدوين اساس نامه امنيتي، طراحي آن مي باشد. براي تمامي مقاصد و اهداف ما، اولين مرحله از اساس نامه امنيتي فرآيند طراحي آن مي باشد. اين كار بايد توسط كميته اي انجام شود كه روي تمامي سياستهاي استراتژيك سازمان كار مي كنند.

اجزاي تشكيل دهنده اين كميته، بايد نمايندگاني از تمامي بخش هاي سازمان شما باشند. مديريت هاي سطوح بالا و مياني سازمان، كاربران محلي و راه دور، منابع شخصي، حقوقي، تيم تكنولوژي اطلاعات (IT) ، تيم امنيتي سازمان و هر كسي كه صاحب داده اي مي باشد بايد در اين كميته حضور داشته باشند. خواه ما خوشمان بيايد يا نيايد، سياسي كاري نقش واقعي را در پيشبرد اساس نامه امنيتي بازي مي كند. مطمئن باشيد اگر هر كسي در طراحي اساس نامه امنيتي، نظري داشته باشد ، از لحاظ سياسي راحت تر مي تواند آنها را در اجراي هر چه بهتر اساس نامه متقاعد كرد.

طراحي اساس نامه امنيتي ابتدا با مروري بر كليات شروع مي شود و سپس با ريز كردن هر بخش به قواعد اصلي آن مي رسيم. قبل از اينكه شروع به طراحي اساس نامه امنيتي كنيد نكته هاي زير را در نظر بگيريد :

شناسايي منابع بحراني تجاري : براي مثال شما بايد سرور ها و شبكه داده هاي مالي، منابع انساني و موقعيت آنها را مشخص كنيد.

شناسايي سياستهاي تجاري بحراني : آيا سياست هاي حقوقي عمومي موجودند كه شما بايد به عنوان منابع خود مشخص مي كرديد ؟

شناسايي خطراتي كه منابع را تهديد مي كنند: آيا دسترسي غير مجاز روي منابع شما وجود دارد؟ چه منابعي مي توانند دسترسي ها را روي داده هاي حساس و وابسته به ديگران ايجاد كنند؟ آيا شما در شبكه بيسيم خود نياز به امنيت داريد و يا به طور اضافه در دسترسي به نرم افزار و سخت افزار بيسيم خود امنيت لازم داريد؟

تعيين نقش و وظيفه افراد كليدي سازمان: چه كسي درباره منبعي كه توسط اساس نامه امنيتي مشخص شده است پاسخگو مي باشد؟ چه كساني كاربران منابعي مي باشند كه توسط اساس نامه مشخص شده است ؟ چه انتظاري از مديران داريد ؟ چه انتظاري از كاربران داريد؟