تبليغاتX
دنیای کامپیوتر
دنیای کامپیوتر
در مورد تمام مسائل مربوط به کامپیوتر
سيستم عامل OS

در هر رايانه نرم افزار اصلي كه كنترل يك سيستم را به عهده مي گيرد و بدون آن ، دستگاه كار نمي كند، سيستم عامل يا OS مي نامند.
سيستم عامل 3 وظيفه اصلي را به عهده دارد:
1- مديريت سخت افزار رايانه مانند مانيتور ، چاپگرها ، ديسك ها ، صفحه كليد و موش
2- ساماندهي فايلها بر روي رسانه هاي مختلف سيستم همچون ديسكت ، ديسك سخت، CD - DVD و نوارها
3- مديريت خطاهاي سخت افزاري و از دست دادن اطلاعات
چگونه يك سيستم عامل عمل مي كند
سيستم عامل پردازش هاي مختلف رايانه را همچون اجراي يك برنامه صفحه گسترده يا دسترسي به اطلاعات از حافظه سيستم كنترل مي كند. يكي از مهمترين پردازش ها، فرامين مفسري يا تك خطي است كه كاربر را قادر مي سازد با رايانه ارتباط برقرار كند. برخي از فرامين مفسري در محيط متني است و مي بايست تايپ شوند و يا با انتخاب كليدهاي توابع بر روي صفحه كليد اجرا مي شوند. فرامين ديگر به صورت گرافيكي قابل اجرا هستند و كاربر با انتخاب و كليك كردن بر روي آن مي تواند آن را اجرا كند. اين فرامين توسط يك نقش گرافيكي (ICON) شناسايي مي شوند. كاربران غيرحرفه اي محيط هاي گرافيكي را راحت تر استفاده مي كنند اما بسياري از متخصصين از فرامين متني استفاده مي كنند.
دسته بندي سيستم هاي عامل
1- سيستم عامل تك منظوره (Single Task)
اكثر سيستم عامل هاي تك منظوره در هر لحظه تنها يك پردازش را انجام مي دهند. به عنوان مثال زماني كه رايانه در حال چاپ يك گزارش مي باشد ، نمي تواند پردازش ديگري انجام داده و يا به درخواست برنامه ديگر پاسخ دهد ، تا زماني كه عمل چاپ خاتمه پذيرد. (مانند MS-DOS)
2- سيستم عامل چند منظوره (Multi Task)
امروزه تمامي سيستم عامل هاي جديد چند منظوره هستند و مي توانند همزمان چندين پردازش را انجام دهند. سيستم عامل لينوكس يا ويندوز 2000 و 2003 مثال هايي از اين دسته مي باشند.
3- سيستم عامل بلادرنگ يا (Real Time Operating System) RTOS
از اين سيستم عامل براي كنترل ماشين آلات صنعتي ، ابزار آلات علمي و سيستم هاي صنعتي استفاده مي شود. RTOS معمولاً توانايي هاي رابط كاربر كمتري نسبت به ديگر سيستم عامل ها دارد و هيچ برنامه مخصوصي براي كاربر ندارد.

4- سيستم عامل تك كاربره و تك منظوره (Single- user- Single Task)
در اين نوع سيستم عامل ها در هر لحظه فقط يك كاربر مي تواند با سيستم كار كند و همچنين در هر لحظه فقط يك پردازش انجام مي شود. بهترين مورد كاربردي امروزي اين سيستم عامل ها در رايانه هاي Palm و يا جيبي مشهود است.
5- سيستم عامل تك كاربره و چند منظوره (Single-user- multi Task)
در اين سيستم عامل در هر لحظه يك كاربر با سيستم كار مي كند ، اما توانايي پردازش چند كار همزمان را دارد. سيستم عامل هاي رايانه هاي روميزي يا كيفي بهترين مثال براي اين گروه مي باشد (مانند ويندوز 98 و يا مك اينتاش)
6- سيستم عامل چند كاربره (Mnlti User)
سيستم عامل هايي كه امكان پردازش در خواست هاي چندين كاربر همزمان را در سيستم فراهم مي كنند. مانند يونيكس يا VMS در رايانه هاي Main Frame نكته مهم در تفكيك سيستم عامل هاي چندكاربره واقعي با سيستم عامل هاي تك كاربره تحت شبكه مانند Novell Netware يا Windows 2000 مي باشند.

انواع سيستم عامل هاي رايانه شخصي
شركت هاي مختلفي در ساخت سيستم عامل در دنيا صاحب تجربه و بازار جهاني هستند كه مشهورترين آنها اجمالاً معرفي مي شود.
1- مك اينتاش Macintosh) ) :سيستم عاملي كه اولين بار در سال 1994براي رايانه هاي اپل با پردازنده موتورولا معرفي و تاكنون نگارش هاي متعددي از آن ارايه شده است.
2- يونيكس Unix)) :در سال 1969در لابراتوار Bell (شركت At&T) ايجاد و در گروه كاربران آكادميك محبوبيت بسياري دارد. كار با اين سيستم عامل نيازمند مهارت تخصصي است و پيچيده تر از ديگر سيستم عامل هاست و لذا براي كاربران عمومي پيشنهاد نمي شود. اين سيستم عامل چند منظوره و چند كاربره است.
(Control Program for Microcomputer)CP/M -3 سيستم عاملي از شركت Digital Research كه با رايانه هاي با زير پردازنده اينتل عمل مي كند. اولين سيستم عامل CPM براي رايانه هاي 8088 ساخته شد و به عنوان پدر بزرگ سيستم عامل هاي رايانه شخصي حساب مي شود.
(Operating system/2) 0S/2 -4: در سال 1980توسط شركت آي.بي.ام و شركت مايكروسافت ايجاد شد. همكاري اين دو شركت تا سال 1991با ارايه نگارش هاي تكاملي برنامه ادامه داشت و از اين سال به بعد شركت آي.بي.ام ارايه نسخه جديد بعدي را به عهده گرفت.

(Disk op erating system) DOS-5 : سيستم عاملي كه توسط شركت مايكروسافت براي رايانه هاي شخصي ساخت آي.بي.ام براي اولين بار ايجاد شد و نام آن از (Quick and Dirty operating system) به MS-DOS تغيير نام پيدا كرد. اين سيستم در دهه هاي اول عمر رايانه هاي شخصي از مشهورترين سيستم عامل ها بود، اما امروز كاملاً از رده خارج شده است. محيط كاري اين برنامه غيرگرافيكي و كاملاً متني بود و براي مديريت بسياري از دستگاه ها نياز به ابزارهاي كمكي نصب شده جداگانه داشت.
6- ويندوز Windows)) :شركت مايكروسافت در سال 1985 اولين نگارش ويندوز را به عنوان سيستم عاملي با محيط گرافيكي براي رايانه هاي شخصي سازگار با اي.بي.ام ارايه كرد. اين سيستم عامل در سال هاي بعد از 1985به سرعت جايگزين DOS در سيستم ها شد و عملاً DOS را از رده خارج كرد و جايگزين آن شد.
7- ناولNovell) ): توسط شركت مشهور و متخصص نرم افزار تحت شبكه به نام ناول ايجاد شد و براي اولين بار اجازه به اشتراك گذاشتن منابع اطلاعاتي و سخت افزاري روي رايانه هاي شخصي را تحت شبكه به كاربران داد. در سال 1992، 65% بازار جهان در زمينه سيستم عامل شبكه در اختيار اين شركت قرار داشت.
8- سان (SUN) : توسط شركت آمريكايي Sun يكي از پيشتازان سازنده سيستم عامل هاي سرورها و ايستگاه هاي كاري ارايه شد.
9- لينوكس (Linux): سيستم عامل مشابه يونيكس كه به صورت رايگان يا با هزينه هاي كم براي رايانه هاي شخصي ايجاد و امكان سفارشي كردن و برنامه نويسي در آن را به كاربر مي دهد. بسياري از كشورها مانند چين با انتخاب اين سيستم عامل و برنامه نويسي سفارشي دلخواه نگارش جديد و خاصي از آن ايجاد و براي بدنه دولت خود مورد استفاده قرار مي دهند.
در آينده با پيشرفت سريع فناوري سيستم عامل ها، نگارش هاي توزيع شده راه حل نهايي خواهد بود (Distributed OS) .
+ نوشته شده در  سه شنبه پنجم مهر 1384ساعت 16:39  توسط علیرضا | 
هفت گناه نابخشودني راهبر لينوكس
به منظور كنترل دسترسي‌ها و ساير مسائل امنيتي در زمينه كامپيوتر بعضي از مسئولين سايت‌ها و ساير عوامل ذينفع، هزينه‌هاي بسيار گزافي را صرف تهيه و خريد نرم‌افزار و سخت‌افزار مي‌نمايند. ولي غافل از اينكه از كنار مسائل بسيار ساده و پيش افتاده امنيتي جهت محفوظ نگه داشتن اطلاعات مي‌گذرند.
در اين مقاله كوتاه سعي شده كه به 7 مطلب ساده و پيش پاافتاده در زمينه حفاظت اطلاعات پرداخته شود. 7 مطلب ساده و پيش پاافتاده‌اي كه با عدم رعايت آنها امكان به خطر افتادن سيستم اطلاعاتي يك سازمان وجود دارد.

خطاهاي هفتگانه

1- انتخاب اسم رمز ساده و يا اسامي رمز پيش فرض
2- باز گذاشتن درگاه‌هاي(port) شبكه
3- استفاده از نرم‌افزارهاي قديمي
4- استفاده از برنامه‌هاي نا‌امن و يا پيكربندي شده به‌صورت نادرست
5- ناكافي بودن منابع و يا نامناسب بودن ارجحيت‌ها
6- نگهداري UserIDهاي قديمي و غيرلازم و تهيه شناسه‌هاي عمومي
7 - به تعويق انداختن فعاليت‌هاي مهم در زمينه ايجاد امنيت


1. انتخاب اسم رمز ساده و يا اسامي رمز پيش فرض

با توجه به سريع شدن پردازنده‌ها و امكان دسترسي به نرم‌افزارهايي كه اسامي رمز را كشف مي‌نمايند، حتي با انتخاب اسامي رمز پيچيده نيز، رمز مي‌تواند شكسته شود.
با استفاده از ابزارهايي كه در سيستم‌عامل Unix/Linux پيش‌بيني شده است مسئول سيستم مي‌تواند اجازه توليد اسامي رمز و ساير مسائل مرتبط را كنترل نمايد.
در بعضي از سيستم‌عامل‌هاي يونيكس فايلي با نام passwd تحت /etc/default وجود دارد كه راهبر يونيكس مي‌تواند با ايجاد تغييراتي در آن به كاربر اجازه ندهد كه اسامي رمز ساده را انتخاب نمايد. اما در لينوكس به اندازه كافي كنترل‌ بر روي اسم رمز انجام مي‌گردد و مي‌توان تا حدي مطمئن بود كه كاربر نمي‌تواند اسامي رمز ساده انتخاب نمايد.
فراموش نگردد كه مسئول سايت (راهبر سيستم) اين اختيار را دارد كه اسامي رمز ساده‌اي را براي كاربران تهيه نمايد، كه اين كار خطاي مسلم راهبر مي‌باشد. چرا كه هر اسم رمز ساده دروازه‌اي براي ورود افراد مهاجم بوده و فرد مهاجم پس از وارد شدن به سيستم مي‌تواند با استفاده از نقاط ضعف ديگر احتمالي و به‌وجود آوردن سر ريز بافر(Buffer Overflow) كنترل سيستم را در ‌دست بگيرد. در بسياري از سيستم‌هاي فعلي Unix/Linux مجموعه امكانات PAM(Pluggable Authentication Modules) نصب بوده و توصيه اكيد مي‌گردد كه مجموعه زير را براي بالا بردن امنيت سيستم تحت /etc/pam.d و در فايل passwd قرار گيرد.

passwd password requisite usr/lib/security/pamcraklib.so retry=3

passwd password required /usr/lib/security/pam_pwdb.so use_authtok

در زمان اجراي برنامه passwd، كتابخانه‌هاي پويا(Dynamic) با نام‌هاي pamcraklib.so و pam_pwdb.so به برنامه متصل شده و كنترل‌هاي لازم را انجام خواهند داد.
مجموعه نرم‌افزارهاي craklib اين امكان را به سيستم اضافه مي‌نمايد تا كنترل نمايد كه آيا اسم رمز تهيه شده توسط كاربر شكستني است يا خير. فراموش نگردد كه فرمان passwd تابع راهبر سيستم بوده و راهبر سيستم مي‌تواند اسم رمز ساده را انتخاب نمايد و اين عمل گناهي نابخشودني را براي مسئول سيستم ثبت خواهد نمود. در مورد اسامي رمز پيش فرض كه در نصب بعضي سوئيچ‌ها و مسيرياب‌ها وجود دارد، راهبر سيستم مي‌بايست در اسرع وقت (زمان نصب) اسامي رمز از پيش تعيين شده را تعويض نمايد.

2. باز گذاشتن درگاه‌هاي شبكه

هر درگاه باز در TCP/IP مي‌تواند يك دروازه ورودي براي مهاجمين باشد. باز گذاشتن درگاه‌هايي كه محافظت نشده و يا بدون استفاده مي‌باشند، به مهاجمين اجازه مي‌دهد به‌ نحوي وارد سيستم شده و امنيت سيستم را مخدوش نمايند. فرمان‌هاي زيادي مانند finger وrwho و غيره وجود دارند كه افراد مهاجم مي‌توانند با اجراي آنها در شبكه و قرار دادن آدرس كامپيوتر مقصد، اسامي كاربران و تعداد زيادي از قلم‌هاي اطلاعاتي مربوط به كاربران را به‌دست آورده و با حدس زدن اسم رمز وارد سيستم گردند. به‌ وسيله‌ي ابزارهاييي كه در سيستم‌عامل Unix/Linux وجود دارد مي‌توان درگاه‌هاي باز را پيدا نموده و تمهيدات لازم را انجام داد. يكي از اين فرمان‌ها nmap است كه با اجراي اين فرمان و قرار دادن optionهاي لازم و وارد نمودن آدرس IP، درگاه‌هاي كامپيوتر مورد نظر را پيدا نموده و فعاليت‌‌هاي اخلال گونه را انجام داد. راهبر سيستم با اجراي فرمان netstat –atuv مي‌تواند سرويس‌هايي كه در حال اجرا هستند را مشخص نموده و به‌ وسيله انواع روش‌هايي كه وجود دارد سرويس را غير فعال نمايد و شايد يك روش مناسب پاك كردن برنامه هاي سرويس دهنده و يا تغيير مجوز آن به 000(به‌وسيله فرمان chmod) باشد. در هرحال مي‌توان با فرمان chkconfig اجراي بعضي از سرويس‌ها را در زمان بالا آمدن سيستم متوقف نمود. به‌ عنوان مثال با فرمان chkconfigg –del portmap مي‌توان سرويس portmap را غيرفعال نمود.

3- استفاده از نرم‌افزارهاي قديمي

توصيه مي‌شود كه از نرم‌افزارهايي كه نسخه‌هاي جديد آن به دليل وجود اشكالات امنيتي در نسخه‌هاي قديمي روانه بازار شده است، استفاده شود و گناهي بس نابخشودني است كه راهبر سيستم با استفاده از نرم‌افزارهاي قديمي راه را براي سوء‌استفاده كننده‌گان باز بگذارد.
به عنوان مثال فرمان ls داراي مشكلي بوده كه با قرار دادن آرگوماني خاص مي‌توان سرريز بافر به‌ وجود آورده و كنترل سيستم را به‌دست گرفت. شايد در ماه گذشته بود كه مجموعه نرم‌افزار مربوط به نمايش اسامي فايل‌ها و شاخه‌ها(ls , lx , lr ,….) در سايت‌هاي مهم قرار داده شد تا استفاده كننده‌گان لينوكس آن را بر روي سيستم خود نصب نمايند.

4- استفاده ازبرنامه‌هاي ناامن و يا پيكربندي شده به ‌صورت نادرست

به‌ دليل مسائل خاصي بعضي از سيستم‌ها نياز به مجوزهاي خاص داشته و اعمال مجوزها مي‌تواند مسائل غيرقابل پيش‌بيني را به‌وجود آورد و ضمناً با پيكربندي نامناسب نرم‌افزار، راه براي سوءاستفاده كنند‌گان باز خواهد شد.
به‌ عنوان مثال نرم‌افزارهايي وجود دارد كه براي اجرا شدن، مجوز s (Set UserID) را لازم داشته و اين مجوز در حالتي كه صاحب فايل اجرايي root باشد، بسيار خطرناك است. فرماني كه اين اجازه را دارد با اجراي فراخوان‌هاي سيستم(System call) مانندsetid تغيير مالكيت داده و قدرتroot را كسب مي‌نمايد و راهبر سيستم مي‌بايست تاوان اين گناه نابخشودني را نيز بدهد.
به عنوان مثال استفاده از FTP و telnet كه اطلاعات را عيناً بر روي شبكه منتقل مي‌نمايند، مي‌تواند نگراني‌هايي را براي مسئول سايت به‌ وجود آورده و شايد راه‌اندازيsshd(secure shell daemon) بتواند كمي از گناهان مسئول سيستم بكاهد و در مورد پيكربندي نادرست فايل‌ها بتوان نامي از فايل .rhosts برد كه مجوز نادرست مي‌تواند باعث لو رفتن اسم رمز گردد. بد نيست به‌ وسيله فرمان find اسامي فايل‌هايي كه مجوز s را داشته كنترل نموده تا خداي ناكرده برنامه اجرايي با مجوز s در سيستم اضافه نگردد.
ضمناً مسئول سيستم در اجراي دستور mount نيز مي‌بايست دقت فراوان داشته باشد تا برنامه‌هايي كه مجوز s بر روي سي‌دي و فلاپي وجود دارد، اجرا نگردد.

5- ناكافي بودن منابع و يا اختصاص دادن ارجحيت نامناسب

كم نمودن هزينه‌هاي مربوط به امنيت و عدم آموزش‌هاي لازم و تهيه ننمودن نرم‌افزارهاي بازدارنده مي‌تواند تعدادي مسائل غيرقابل پيش‌بيني به وجود آورد. مخصوصاً جابجايي اولويت‌هاي هزيه نمودن اعتبارات مي‌تواند امنيت سيستم را خدشته‌دار نمايد. لازم به يادآوري است كه اين مطلب فني نبوده و مديريتي مي‌باشد ولي راهبر سيستم مي‌بايست مرتباً نكات لازم را در اين زمينه به مقامات مسئول گوشزد نمايد تا مديريت ارشد سازمان بيش از بيش به اهميتِ امنيت پي برده و هزينه‌هاي لازم را تامين نمايند. عدم اطلاع رساني مسؤول سايت دراين زمينه به مديريت‌هاي مافوق كه احتمالاً در اين زمينه نيز تخصصي ندارند، گناهي نابخشودني است.

6- نگهداري UserIDهاي قديمي و غيرلازم و تهيه شناسه‌هاي عمومي

نگهداري UserIDهاي قديمي و شناسه‌هايي مانند TEST مي‌تواند معضلات زيادي را به وجود آورده و امكان سوء استفاده را بالا برد. تهيه‌ي شناسه‌هاي عمومي نيز به دليل نامشخص بودن هويت اصلي كاربر مي‌تواند مشكل‌زا باشد.

مسؤول سايت مي‌بايست رويه‌اي را براي كشف UserID هاي غير فعال اتخاذ نمايد و به‌ وسيله‌ي هر روشي كه صلاح مي‌داند پس از تهيه فايل پشتيبان لازم، UserIDهاي غيرفعال را در مقاطع معيني متوقف نمايد و شايد يكي از بهترين روش‌ها براي اين كار عوض نمودن اسم رمز باشد. به عنوان مثال به وسيله دستور زير مي‌توان UserID با نام someone را غير فعال نمود:

chmod 000 /home/someone

توليد UserID هاي عمومي مانند test و guest و غيره كه مورد علاقه بسياري از مهاجمين است، يكي از گناهان غيرقابل بخشش راهبر سيستم مي‌باشد.

7- به تعويق انداختن فعاليت‌هاي مهم در زمينه ايجاد امنيت

با كم اهميت دادن مسائل حفاظتي از جمله عدم نصب ترميم‌ها(Patch) و عدم تهيه فايل‌هاي پشتيبان، مي‌توان گفت كه مسئول سيستم تير خلاص را به كامپيوتر تحت الحفظ خود شليك نموده است و چنان گناهكار خواهد بود كه بخشش جايز نمي‌باشد.
+ نوشته شده در  سه شنبه پنجم مهر 1384ساعت 16:38  توسط علیرضا | 
نحوه انتخاب يك DVD

DVD از كلمات Digital Versatile Disc ، اقتباس شده است .با استفاده از درايوهاي DVD مي توان اطلاعاتي بالغ بر7 / 4 گيگابايت را بر روي يك ديسك ذخيره نمود.اطلاعات فوق ، تقريبا" هفت برابر داده ئي است كه مي توان بر روي يك  CD-R (ديسك هاي با قابليت نوشتن يك مرتبه ) و يا CD-RW ( ديسك هائي با قابليت نوشتن چندين مرتبه )  ذخيره نمود.  درايوهاي DVD ، نظير رايتر امكان استفاده از ديسك هائي با قابليت نوشتن يك مرتبه و ديسك هائي با قابليت نوشتن چندين مرتبه را فراهم مي نمايند. از ديسك هائي با قابليت نوشتن يك مرتبه ، اغلب در رابطه با ايجاد ديسك هاي ويدئوئي DVD  استفاده مي گردد . ( قابل استفاده در DVD Player هاي استاندارد ). از ديسك هائي با قابليت نوشتن چندين مرتبه بمنظور ذخيره سازي حجم بالائي از داده و Backup  اطلاعات موجود بر روي هاردديسك ، استفاده مي شود.نرخ انتقال اطلاعات در درايوهاي DVD بمراتب بيشتر از درايوهاي CD-ROM است .يك DVD كه داراي سرعتي بالغ بر 1X مي باشد ، سريعتر از يك CD معمولي با سرعت 8X ( سرعت يك درايو  DVD بين هشت تا نه برابر سرعت يك CD-ROM مي باشد) مي باشد. DVD از مدل  فشرده سازي  MPEG-2 در رابطه با ويدئو وصوت استفاده مي نمايد . بدين ترتيب ،تصاوير با كيفيت و شفافيت بيشتري ايجاد و امكان استفاده از پتانسيل هاي  صوتي  Dollby Digital و DTS) Dollby Theater Systems) نيز فراهم مي گردد. با استفاده از تكنولوژي MPEG-2 در هر فريم ، 480 خط افقي عرضه مي گردد . ( در ديسك هاي ليزري 425 و در VHS بين 250 تا 270 ) .
تكنولوژي DVD ، با كاهش طول موج از 780mm به 625 تا 650mm ، ظرفيت ذخيره سازي را افزايش مي نمايد . يكي از قابليت هاي جالب درايوهاي DVD ، توانائي آنان در حمايت از انواع متفاوتي از رسانه هاي  ذخيره سازي نظير:  CD-ROM,CD-R و  CD-RW است . در صورتيكه قصد تهيه يك درايو DVD  وجود داشته باشد ، مي بايست با انواع رسانه ذخيره سازي حمايت شده توسط DVD ، آشنا شويم . ديسك هاي DVD  به دو گروه عمده +  و - تقسيم مي گردند . درايوهاي  DVD مي توانند از يك و يا هردو گروه فوق ، استفاده نمايد. پس از مشخص نمودن نوع درايو DVD ، مي توان ازديسك هاي  DVD سازگار با آن ، استفاده نمود.

انواع DVD

  • DVD - RAM . روش دستيابي در اين نوع  ديسك ها  بصورت تصادفي بوده و امكان خواندن و نوشتن اطلاعات بر روي آنان وجود خواهد داشت . رسانه ذخيره سازي فوق ، داراي ويژگي هاي زير مي باشد :
    - برخلاف رسانه ذخيره سازي Tape كه داده ها  بصورت ترتيبي خوانده مي شوند ،در ديسك هاي  DVD-RAM ، داده ها نظيرهارد ديسك بصورت تصادفي خوانده مي شوند.اين نوع ديسك هاي DVD ، رسانه اي ايده آل بمنظور ذخيره سازي حجم بالائي از اطلاعات و Backup مي باشند .
    - مي توان بيش از يكصد هزار مرتبه اطلاعات را بر روي آنان نوشت ( بازنويسي مجدد )
    - عمر مفيد آنان يكصد سال برآورد مي شود .
    - بمنظور خواندن و نوشته اطلاعات بر روي اين نوع DVD ، مي بايست از درايوهاي DVD-R/RAM استفاده گردد .

  • DVD-R  يا DVD+R . بر روي اين  نوع DVD ، مي توان صرفا" يك مرتبه اطلاعاتي را ذخيره نمود ( نوشتن يك مرتبه ) . از رسانه ذخيره سازي فوق ، بمنظور ذخيره داده هاي گرافيكي با ظرفيت بالا، ويدئوهاي موزيك ، صوت و فيلم  استفاده مي گردد. امكان  نوشتن اطلاعات بر روي اين نوع DVD صرفا" يك مرتبه وجود دارد .
    خصوصيات DVD-R : بمنظور نوشتن اطلاعات بر روي اين نوع DVD مي بايست از درايوهائي با  نوع R -  وبراي  خواندن اطلاعات از درايوهاي R - و R +  استفاده گردد .
    خصوصيات DVD+R : بر روي اين نوع DVD مي توان يك ويدئو به مدت دو ساعت در حالت SP و يا چهار ساعت در حالت EP را ذخيره نمود. بمنظور نوشتن بر روي رسانه ذخيره سازي فوق ، مي بايست از درايوهائي  با نوع R + و براي خواندن اطلاعات از درايوهاي R - و يا R + استفاده گردد .

  • DVD-RW  يا DVD+RW .بر روي اين  نوع DVD ، امكان نوشتن اطلاعات بدفعات وجود دارد( نوشتن چندين مرتبه ) .از رسانه ذخيره سازي فوق ، بمنظور ذخيره داده هاي  گرافيكي با ظرفيت بالا، ويدئوهاي موزيك ، صوت و فيلم  استفاده مي گردد. بر روي اين نوع DVD مي توان تا  يكهزار مرتبه اطلاعاتي را ذخيره نمود .
    خصوصيات DVD-RW : بمنظور نوشتن اطلاعات بر روي اين نوع DVD مي بايست از درايوهاي R -  و براي خواندن اطلاعات از درايوهائي R - و يا R+ استفاده گردد .
    خصوصيات DVD+RW : اين نوع DVD قادر به ذخيره سازي دو ساعت اطلاعات MPEG2 مي باشند . بمنظور نوشتن اطلاعات بر روي اين نوع DVD مي بايست از درايوهاي R + و براي خواندن اطلاعات از درايوهائي R - و يا R+ استفاده گردد .

  • DVD-ROM . از اين نوع DVD مي توان صرفا" بمنظور خواندن استفاده گردد . فيلم ها ئي كه خريداري  و يا اجاره مي شوند ، بر روي اين نوع رسانه ذخيره مي گردند.

لازم است به اين نكنه نيز اشاره گردد كه روش دستيابي به اطلاعات ذخيره شده بر روي يك رسانه ذخيره سازي از نوع  DVD-RAM بصورت تصادفي بوده و مكانيزم دستيابي به اطلاعات ذخيره شده بر روي رسانه هاي ذخيره سازي  DVD-R ,+R ,-RW و يا ROM بصورت ترتيبي است .  

جايگاه DVD
تعداد درايوهاي DVD  استفاده شده تا پايان  سال 2003 بالغ بر 2 / 1 ميليون دستگاه برآورد مي شود. پيش بيني مي شود كه در سال 2004  ، بيش از 3 / 14 ميليون دستگاه از درايوهاي فوق بفروش برسد . درايوهاي DVD تا رسيدن به وضعيت موجود رايترها ( عموميت يافتن ) ، راهي طولاني را در پيش دارند، ولي با توجه به قابليت ذخيره سازي بالاي ديسك هاي DVD  (هفت برابر) و ذخيره  حجم بمراتب بيشتري  از اطلاعات ، استفاده از آنان  روندي كاملا" صعودي را طي مي نمايد  قيمت درايوهاي DVD  در شش ماه گذشته كاهش زيادي را داشته و پيش بيني مي گردد كه اين روند همچنان ادامه داشته باشد .
شايد اين سوال مطرح شود كه فرمت ذخيره سازي اطلاعات بر روي ديسك هاي DVD به چه صورت است و آيا در اين رابطه استانداردي وجود دارد؟ در پاسخ مي توان گفت كه در حال حاضر از دو فرمت DVD-RW و DVD+RW ( بهمراه نمونه هاي متفاوت آن : DVD-R و DVD+R )  استفاده مي گردد . تكنولوژي هاي فوق با يكديگر سازگار نبوده و رقابتي نزديك را بمنظور استانداردشدن جهاني ، دنبال مي نمايند. با استفاده از هر يك از فرمت هاي فوق ، امكان نوشتن داده و ايجاد ويدئوهاي DVD وجود خواهد داشت ( امكان استفاده از آنان توسط تعداد زيادي ( نه تمام آنان ) از درايوهاي  DVD-ROM  وDVD Players وجود خواهد داشت ) . لازم است به اين نكته نيز اشاره گردد كه  DVD-RAM  فرمت ديگري در اين راستا بوده كه بدنبال دو فرمت اشاره شده بوده ولي اكثر دستگاههاي Player و درايوهاي DVD از آن حمايت نمي نمايند. در زمان انتخاب يك درايو DVD ، نوع فرمت اطلاعات حمايت شده توسط آنان حائز اهميت بوده و مي بايست در اينخصوص با دقت تصميم گيري شود. توليد كنندگان درايوهاي DVD هر يك محصولاتي را توليد نموده اند كه از فرمت هاي فوق حمايـت مي نمايند . مثلا" شركت سوني درايوهائي را عرضه نموده است كه از دو فرمت اشاره شده ، حمايـت  مي نمايند، در حاليكه شركت پاناسونيك و LG اقدام به توليد و عرضه درايوي نموده اند كه از فرمت هاي DVD-R/-RW و DVD-RAM ، حمايت مي نمايد . در حا ل حاضر، بالاترين سرعت نوشتن اطلاعات بر روي ديسك هائي با قابليت نوشتن يك مرتبه ،  4X بوده و  پيش بيني مي شود كه سرعت فوق تا پايان سال 2003  تغيير نگردد .

ويژگي ها ي مهم
از مهمترين ويژگي هاي مرتبط با DVD ، مي توان به موارد زير اشاره نمود :

  •  DVD با قابليت نوشتن يك مرتبه . درايو DVD انتخابي، مي بايست قادر به ذخيره سازي اطلاعات بر اساس يكي از دو فرمت رقابتي موجود باشد : DVD-R ( حمايت شده توسط درايوهاي DVD-RAM و DVD-R  و تمامي درايوهاي DVD-RW ) و   DVD+R  ( حمايـت شده توسط آخرين تكنولوژي مربوط به درايوهاي DVD+RW ) . در حال حاضر بالاترين سرعت براي درايوهاي DVD-R و DVD+R معادل 4X مي باشد. در درايوهاي DVD-R قبلي ، حداكثر سرعت 2X و در درايوهاي DVD+R حداكثر سرعت   4 / 2  بوده است . رسانه ذخيره سازي با قابليت نوشتن يك مرتبه ، بهترين گزينه براي ايجاد ويدئوي هاي DVD  بمنظور استفاده در يك player مي باشند. كارشناسان فني  برآورد نموده اند كه DVD هاي با قابليت نوشتن يك مرتبه ، با  85 درصد player هاي مطرح ، سازگار مي باشند.   ديسكهائي كه داراي سرعت 4X مي باشند را نمي توان در درايوهاي قديمي DVD-R/-RW  با سرعت 2X ،استفاده نمود. تعداد زيادي از درايوهاي فوق ، توليده شده توسط Pioneer ، در زمان استفاده از ديسك هاي 4X دچار مشكل مي گردند. بدين منظور، مي توان fireware مربوطه را از سايت Pioneer دريافت و  با ارتقاء سيستم ، مشكل فوق را برطرف نمود .

  • DVD با قابليت نوشتن چندين مرتبه  . فرمت اين نوع ديسك ها DVD+RW ، DVD-RW و DVD-RAM مي باشد . فرمت  DVD-RAM داراي سازگاري بمراتب كمتري نسبت به دو فرمت ديگر بوده ولي براي گرفتن Backup مناسب مي باشد. .DVD -RAM به دو صورت  با محافظ ( بصورت كارتريج ) و بدون محافظ در دسترس مي باشد. اكثر درايوهاي  DVD-RW داراي سرعت كمتري نسبت به  DVD+RW مي باشند. سرعت ذخيره ( نوشتن ) اطلاعات كه بر روي رسانه هاي ذخيره سازي DVD-R بالغ بر 4X مي باشد در ديسك هاي DVD-RW به 2X كاهش پيدا مي كند.كارشناسان بر آورد نموده اند كه بيش از شصت درصد از ديسك هاي  DVD-RW و DVD+RW با DVD Player  و داريوهاي DVD ، سازگار مي باشند.

  • درايوهاي داخلي در مقابل درايوهاي خارجي : قيمت درايوهاي داخلي كمتر از درايوهاي خارجي مي باشد.درايوهاي خارجي از اينترفيس هاي( FireWire(IEEE1394 و  يا USB 2.0 بمنظور ارتباط با كامپيوتر استفاده مي نمايند .برخي توليد كنندگان از دو اينترفيس فوق در محصولات خود استفاده مي نمايند.

  • ذخيره اطلاعات بر روي ديسك هاي CD-RW : اكثر درايوهاي DVD با قابليت نوشتن مجدد ، قادر به نوشتن اطلاعات بر روي ديسك هاي CD-R و CD-RW مي باشند( قابليت فوق ، در درايوهاي DVD-RAM و DVD-R وجود ندارد).سرعت ذخيره سازي در درايوهاي فوق پائين مي باشد ، مثلا" درايوDVD-RW مدل DVR-A04 ،مربوط به شركت Pioneer اطلاعات را بر روي ديسك هاي CD-R با سرعت 8X ذخيره مي نمايد.درايوهاي مدل DRU-510A توليد شده توسط  شركت سوني ، قادر به ذخيره سازي اطلاعات با سرعت 24X مي باشد .

  • نرم افزار : بهمراه تمامي درايوهاي عرضه شده ، نرم افزارهاي لازم  نظير:  Sonic's MY DVD  (ايجاد منوها و تبديل ويدئوهاي آنالوگ به MPEG2 تا بتوان از آنان  در يك DVD Player استاندارد، استفاده نمود) نيز ارائه مي گردد. تمامي درايوها امكان ايجاد DVD هاي داده را با استفاده از نرم افزارهاي ارائه شده نيز فراهم مي نمايند. ( نظير برنامه RecordNow Max كه امكان نوشتن داده بر روي يك ديسك با قابليت نوشتن را فراهم مي نمايد ) . برخي از توليد كنندگان نظير HP و سوني نرم افزارهائي را  بمنظور ويرايش و Backup  گرفتن از اطلاعات بهمراه محصول خود ارائه نموده اند .

تشريح مشخصات

 در زمان تهيه يك درايو DVD ، مشخص نمودن فرمت هائي كه درايو مورد نظر قادربه حمايت از آنان است يكي از مسائل مهم بوده و اغلب اولين پرسشي است كه از جانب تهيه كنندگان مطرح مي گردد . درايوهاي DVD همانند درايوهاي CD-RW كه از ديسك هائي با قابليت نوشتن يك مرتبه و ديسك هائي با قابليت نوشتن چندين مرتبه استفاده مي نمايند ، از دو گزينه متداول در اين زمينه يعني DVD-R و DVD+R استفاده مي نمايند ( مدل هاي فوق،  ديسك هائي با قابليت نوشتن يك مرتبه را شامل مي شوند) . ديسك هاي DVD-RW و DVD+RW و DVD-RAM سه گزينه متداول در رابطه با ديسك هائي با قابليت نوشتن مجدد مي باشند . درايوهاي DVD با قابليت نوشتن مجدد ، نظير DVD-Rom داراي چندين سرعت متفاوت مي باشند:
-  درايوهاي DVD-RW : از 1X تا 2X
-  درايوهاي DVD+RW ، داراي سرعت 2.4X و 4X مي باشند.
- درايوهاي  DVD-R :  از 1X تا 4X
-  درايوهاي DVD+R، داراي سرعت 2.4X و 4X مي باشند .
پارامترهاي زير را مي توان در زمان انتخاب يك DVD در نظر گرفت :

  • سرعت نوشتن اطلاعات بر روي DVD با قابليت نوشتن يك مرتبه
    حداقل : 1X or  2X DVD-R پيشهادي : 2.4X DVD+R or  4X DVD-R, 4X DVD+R
    ديسك هاي DVD با قابليت نوشتن يك مرتبه كه دو نوع DVD-R و DVD+R را شامل مي شود ، سازگارترين فرمت DVD در حال حاضر مي باشد .ويژگي فوق ،زمانيكه  قصد استفاده از آنان  در DVD Player ها وجود داشته باشد ، حائر اهميت مي باشد.در زمان انتخاب درايو DVD لازم است به اين نكته دقت شود كه درايو انتخابي از نسل قديمي( نسل اول ) درايوهاي DVD+RW  نباشد. سرعت ، معيار ديگري در انتخاب يك درايو بوده و مي بايست  درايو انتخابي قادر به حمايت از سرعت 4X باشد.

  • سرعت نوشتن اطلاعات بر روي  DVD با قابليت نوشتن چندين مرتبه  
    حداقل : 1X DVD-RAM, 2X DVD-RW, 2.4X DVD+RW 
    پيشنهادي :  2X DVD-RAM, 2X DVD RW, 2.4X DVD+RW, 4X DVD+RW
    در ديسك هاي  DVD-RAM ،  امكان ذخيره اطلاعاتي بالغ بر 4 / 9 گيگابايت وجود خواهد داشت ( دو طرف ديسك - كارتريج هاي ديسك ) .مشكل  ديسك هاي  فوق ،عدم سازگاري اكثريت آنان با  درايوهاي DVD-ROM مي باشد. ديسك هاي  DVD-RW و DVD+RW با اكثر درايوهاي DVD-ROM ها و DVD PLAYER ها سازگار مي باشند .سرعت ذخيره سازي در DVD-RW بمراتب كمتر از DVD+RW مي باشد .

  •  اينترفيس
    حداقل :  IDE   پيشنهادي :( FireWire(IEEE1394  يا  USB 2.0
    درايوهاي داخلي نسبت به درايوهاي مشابه خارجي داراي قيمت مناسبتري مي باشند. در صورتيكه قصد تهيه يك درايو خارجي وجود داشته باشد ، از سازگاري اينترفيس هاي آن با سيستم موجود،  مي بايست مطمئن گرديد . در اين رابطه مي توان درايوي را انتخاب نمود كه داراي اينترفيش هاي USB 2.0 و FireWire باشد .

نكاتي دررابطه با تهيه DVD

  • بررسي سرعت  : سرعت درايوهاي  DVD-R  مي تواند با توجه به رسانه ذخيره سازي استفاده شده متغير باشد .اكثر درايوهاي DVD-R  داراي سرعت ذخيره سازي  معادل  4X مي باشند.در مدل هاي قديمي و يا درايوهاي قابل حمل ، صرفا" سرعت  1X و يا 2X حمايت مي گردد. در حال حاضر درايوهاي DVD-RW و DVD-RAM  داراي سرعتي معادل 2X مي باشند .

  • سازگار بودن  : در بين فرمت هاي استفاده شده بمنظور نوشتن اطلاعات ( يك مرتبه ) ، DVD-R و DVD+R  داراي سازگاري مطلوبي با  DVD Player و درايوهاي DVD-ROM  موجود ، مي باشند . با توجه به جديد بودن ديسك هاي  DVD+R  ( قدمت DVD-R بمراتب بيشتر مي باشد ) ، ممكن است برخي از درايوهاي  DVD-ROM و يا  DVD Player  قديمي، قادر به خواندن آنان نباشند. با توجه به ماهيت تغيير پذيري ديسك هاي DVD با قابليت نوشتن مجدد ، سازگاري آنان كمتر بوده و استفاده از آنان در برخي از درايوهاي DVD-ROM و يا DVD Players  ميسر نمي باشد.

  • لحاظ نمودن مدت زمان فرمت :تمامي  ديسك هاي نوري  با قابليت نوشتن مجدد،مي بايست قبل از استفاده ، فرمت گردند.ولي درايو هاي DVD+RW بدليل ارائه امكانات لازم و پيش بيني شده در Firmware  ، بصورت on the fly فرمت شده  و در اين رابطه زمان بسيار اندكي صرف خواهد شد . بديهي است بموازات كاهش زمان فوق ، مدت زمان فرآيند نوشتن نيز كاهش خواهد يافت .در مقابل ، يك درايو DVD-RW نيازمند استفاده از نرم افزار خاصي بمنظور فرمت نمودن ديسك مي باشد (قبل از اقدام به نوشتن بر روي ديسك ) . فرآيند فرمت نمودن با توجه به نرم افزار و شماره نسخه مربوطه ، مي تواند  تا يكساعت بطول انجامد. نرم افزارهاي جديد،رسانه ذخيره سازي DVD-RW را بصورت on the fly ، فرمت مي نمايند .

  • استفاده از درايوهاي داخلي بهمراه يك اينترفيس  IDE در كامپيوترهاي شخصي : با توجه به اينكه درايوهاي DVD با قابليت نوشتن مجدد، امكان خواندن DVD-ROM و  CD را دارا مي باشند ، مي توان CD-ROM و يا DVD-ROM خود را بدون از دست دادن قابليت خاصي ، جايگزين نمود. 

  • استفاده از اينترفيس هاي ديگر در صورت عدم وجود اتصالات IDE كافي  :براي درايوهاي خارجي مي توان ، از پورت هاي  FireWire و يا USB2.0 استفاده نمود. پورت هاي فوق ، سرعت مناسبي را در اينخصوص ارائه مي نمايند . نوع پورت حمايت شده توسط يك درايو تاثير مستقيمي بر قيمت آن داشته و مي توان در صورت ضرورت و نياز ، درايوي را تهيه نمود كه از دو پورت اشاره شده حمايت مي نمايد . در برخي از سيستم ها ممكن است بدليل عدم وجود شرايط لازم بمنظور استفاده از پورت هاي فوق ، نيازمند تهيه يك كارت FireWire و يا USB 2.0  باشيم .

  • اطيمنان از ارائه نرم افزارهاي ضروري :تمامي توليد كنددگان بهمراه محصول توليدي خود ، نرم افزارهائي را نيز ارائه مي نمايند. از نرم افزارها ي فوق مي توان بمظنور ايجاد و ويرايش ويدئوهاي DVD  ، استفاده نمود. برخي از توليد كنندگان علاوه بر نرم افزارهاي فوق، اقدام به ارائه نرم افزارها ي  لازم بمنظور  Backup و انجام عمليات حرفه اي در ارتباط با فايل هاي ويدئوئي نيز مي نمايند.
+ نوشته شده در  جمعه یکم مهر 1384ساعت 9:57  توسط علیرضا | 
مقدمه اي بر شبكه خصوصي مجازي (VPN)
شبكه خصوصي مجازي يا Virtual Private Network كه به اختصار VPN ناميده مي شود، امكاني است براي انتقال ترافيك خصوصي بر روي شبكه عمومي. معمولا  از VPN براي اتصال دو شبكه خصوصي از طريق يك شبكه عمومي مانند اينترنت استفاده مي شود.منظور از يك شبكه خصوصي شبكه اي است كه بطور آزاد در اختيار و دسترس عموم نيست. VPN به اين دليل مجازي ناميده مي شود كه از نظر دو شبكه خصوصي ، ارتباط از طريق يك ارتباط و شبكه خصوصي بين آنها برقرار است اما در واقع شبكه عمومي اين كار را انجام مي دهد. پياده سازي VPN معمولا اتصال دو يا چند شبكه خصوصي از طريق يك تونل رمزشده انجام مي شود. در واقع به اين وسيله اطلاعات در حال تبادل بر روي شبكه عمومي از ديد ساير كاربران محفوظ مي ماند. VPN را مي توان بسته به شيوه پياده سازي و اهداف پياده سازي آن به انواع مختلفي تقسيم كرد.  

 دسته بندي VPN براساس رمزنگاري

 VPN را مي توان با توجه به استفاده يا عدم استفاده از رمزنگاري به دو گروه اصلي تقسيم كرد:

1-       VPNرمزشده : VPN هاي رمز شده از انواع مكانيزمهاي رمزنگاري براي انتقال امن اطلاعات بر روي شبكه عمومي استفاده مي كنند. يك نمونه خوب از اين VPN ها ، شبكه هاي خصوصي مجازي اجرا شده به كمك IPSec  هستند.

2-       VPN رمزنشده : اين نوع از VPN براي اتصال دو يا چند شبكه خصوصي با هدف استفاده از منابع شبكه يكديگر ايجاد مي شود. اما امنيت اطلاعات در حال تبادل حائز اهميت نيست يا اين كه اين امنيت با روش ديگري غير از رمزنگاري تامين مي شود. يكي از اين روشها تفكيك مسيريابي است. منظور از تفكيك مسيريابي آن است كه تنها اطلاعات در حال تبادل بين دو شبكه خصوصي به هر يك از آنها مسير دهي مي شوند. (MPLS VPN) در اين مواقع مي توان در لايه هاي بالاتر از رمزنگاري مانند SSL استفاده كرد.

هر دو روش ذكر شده مي توانند با توجه به سياست امنيتي مورد نظر ، امنيت مناسبي را براي مجموعه به ارمغان بياورند، اما معمولا VPN هاي رمز شده براي ايجاد VPN امن به كار        مي روند. ساير انواع VPN مانند MPLS VPN بستگي به امنيت و جامعيت عمليات مسيريابي دارند. 

 دسته بندي VPN براساس لايه پياده سازي

VPN بر اساس لايه مدل OSI كه در آن پياده سازي شده اند نيز قابل دسته بندي هستند. اين موضوع از اهميت خاصي برخوردار است. براي مثال در VPN هاي رمز شده ، لايه اي كه در آن رمزنگاري انجام مي شود در حجم ترافيك رمز شده تاثير دارد. همچنين سطح شفافيت VPN براي كاربران آن نيز با توجه به لايه پياده سازي مطرح مي شود.

1-       VPN لايه پيوند داده : با استفاده از VPN هاي لايه پيوند داده مي توان دو شبكه خصوصي را در لايه 2 مدل OSI با استفاده از پروتكلهايي مانند ATM يا Frame Relay به هم متصل كرد.با وجودي كه اين مكانيزم راه حل مناسبي به نظر مي رسد اما معمولا روش ارزني نيست چون نياز به يك مسير اختصاصي لايه 2 دارد. پروتكلهاي Frame Relay و ATM مكانيزمهاي رمزنگاري را تامين نمي كنند. آنها فقط به ترافيك اجازه مي دهند تا بسته به آن كه به كدام اتصال لايه 2 تعلق دارد ، تفكيك شود. بنابراين اگر به امنيت بيشتري نياز داريد بايد مكانيزمهاي رمزنگاري مناسبي را به كار بگيريد.

2-       VPN لايه شبكه : اين سري از VPN ها با استفاده از tunneling لايه 3 و/يا تكنيكهاي رمزنگاري استفاده مي كنند. براي مثال مي توان به IPSec Tunneling و پروتكل رمزنگاري براي ايجاد VPN اشاره كرد.مثالهاي ديگر پروتكلهاي GRE و L2TP هستند. جالب است اشاره كنيم كه L2TP در ترافيك لايه 2 تونل مي زند اما از لايه 3 براي اين كار استفاده مي كند. بنابراين در VPN هاي لايه شبكه قرار مي گيرد. اين لايه براي انجام رمزنگاري نيز بسيار مناسب است. در بخشهاي بعدي اين گزارش به اين سري از VPN ها به طور مشروح خواهيم پرداخت.

3-       VPN لايه كاربرد : اين VPN ها براي كار با برنامه هاي كاربردي خاص ايجاد شده اند. VPN هاي مبتني بر SSL از مثالهاي خوب براي اين نوع از VPN هستند. SSL رمزنگاري را بين مرورگر وب و سروري كه SSL را اجرا مي كند، تامين          مي كند.SSH  مثال ديگري براي اين نوع از VPN ها است.SSH به عنوان يك مكانيزم امن و رمز شده براي login به اجزاي مختلف شبكه شناخته مي شود. مشكل VPNها در اين لايه آن است كه هرچه خدمات و برنامه هاي جديدي اضافه مي شوند ، پشتيباني آنها در VPN نيز بايد اضافه شود. 

 دسته بندي VPN براساس كاركرد تجاري

VPN را براي رسيدن به اهداف تجاري خاصي ايجاد مي شوند. اين اهداف تجاري تقسيم بندي جديدي را براي VPN بنا مي كنند .

1-       VPN اينترانتي : اين سري از VPN ها دو يا چند شبكه خصوصي را در درون يك سازمان به هم متصل مي كنند. اين نوع از VPN زماني معنا مي كند كه مي خواهيم شعب يا دفاتر يك سازمان در نقاط دوردست را به مركز آن متصل كنيم و يك شبكه امن بين آنها برقرار كنيم.

VPN اكسترانتي : اين سري از VPN ها براي اتصال دو يا چند شبكه خصوصي از دو يا چند سازمان به كار مي روند. از اين نوع VPN معمولا براي سناريوهاي B2B كه در آن دو شركت مي خواهند به ارتباطات تجاري با يكديگر بپردازند، استفاده مي شود.
+ نوشته شده در  جمعه یکم مهر 1384ساعت 9:50  توسط علیرضا | 
شبكه هاي بدون كابل

 شبكه هاي بدون كابل يكي از چندين روش موجود بمنظور اتصال چند كامپيوتر بيكديگر و ايجاد يك شبكه كامپيوتري است . در شبكه هاي فوق براي ارسال اطلاعات بين كامپيوترهاي موجود در شبكه از امواج راديوئي استفاده مي شود.

مباني شبكه هاي بدون كابل

تكنولوژي شبكه هاي بدون كابل از ايده " ضرورتي به كابل ها ي جديد  نمي باشد" ، استفاده مي نمايند. در اين نوع شبكه ها ، تمام كامپيوترها با استفاده از سيگنال هائي راديوئي اقدام به انتشار اطلاعات مورد نظر براي يكديگر مي نمايند.  اين نوع  شبكه ها داراي ساختاري ساده بوده و براحتي مي توان يك كامپيوتر متصل به اين نوع از شبكه ها را  مكان هاي ديگر استقرار و كماكن از امكانات شبكه بهره مند گرديد مثلا" در صورتيكه اين نوع شبكه ها را در يك فضاي كوچك نظير يك ساختمان اداري ايجاد كرده باشيم و داراي يك كامپيوتر laptop باشيم كه  از كارت شبكه مخصوص بدون كابل استفاده مي نمايد ، در هر مكاني از اداره مورد نظر كه مستقر شده باشيم با استفاده از Laptop مي توان بسادگي به شبكه متصل و از امكانات مربوطه استفاده كرد.

 شبكه هاي كامپيوتري از نقظه نظر نوع خدمات وسرويس دهي به دو گروه : نظير به نظير و سرويس گيرنده / سرويس دهنده  نقسيم مي گردند. در شبكه هاي نظير به نظير هر كامپيوتر قادر به ايفاي وظيفه  در دو نقش  سرويس گيرنده  و سرويس دهنده  در هر لحظه است . در شبكه هاي سرويس گيرنده / سرويس دهنده ، هر كامپيوتر صرفا" مي تواند يك نقش را بازي نمايد. ( سرويس دهنده  يا سرويس گيرنده ) . در شبكه هاي بدون كابل كه بصورت نظير به نظير پياده سازي مي گردنند ، هر كامپيوتر قادر به ارتباط مستقيم با هر يك از كامپيوترهاي موجود در شبكه است . برخي ديگر از شبكه هاي بدون كابل بصورت سرويس گيرنده / سرويس دهنده ، پياده سازي مي گردند. اين نوع شبكه ها داراي يك Access point مي باشند. دستگاه فوق يك كنترل كننده كابلي بوده و قادر به دريافت و ارسال اطلاعات به آداپتورهاي بدون كابل ( كارت هاي شبكه بدون كابل ) نصب شده در هر يك از كامپيوترها مي باشند.

چهار نوع متفاوت از شبكه هاي بدون كابل وجود دارد ( از كند و ارزان  تا سريع و گران )

  • BlueTooth

  • IrDA

  • HomeRF)SWAP)

  • WECA)Wi-Fi)

شبكه هاي Bluetooth در حال حاضر عموميت نداشته و بنظر قادر به پاسخگوئي به كاربران براي شبكه ها ي با سرعت بالا نمي باشند. IrDA)Infrared Data Association)  استانداردي بمنظور ارتباط دستگاههائي است كه از سيگنال ها ي نوري مادون قرمز استفاده مي نمايند. استاندارد فوق نحوه  عمليات كنترل از راه دور، ( توليد شده توسط يك توليد كننده خاص ) و يك دستگاه  راه دور ( توليد شده توسط توليد كننده ديگر ) را تبين مي كند.  دستگاههاي IrDA از نورمادون قرمز استفاده مي نمايند.

قبل از بررسي مدل هاي SWAP و Wi-Fi لازم است كه در ابتدا با استاندارد اوليه اي كه دو مد ل فوق بر اساس آنها ارائه شده اند ، بيشتر آشنا شويم . اولين مشخصات شبكه هاي اترنت بدو ن كابل با نام IEEE 802.11 توسط موسسه IEEE عرضه گرديد. در استاندارد فوق دو روش بمنظور ارتباط بين دستگاهها با سرعت دو مگابيت در ثانيه مطرح شد. دو روش  فوق  بشرح زير مي باشند :

  • DSSS)Direct-sequence spread spectrum)

  • FHSS)Frequency-hopping spread spectrum)

دو روش فوق از تكنولوژي FSK)Frequency-shift keying) استفاده مي نمايند. همچنين دو روش فوق از امواج راديوئي Spread-spectrum در محدوده 4/ 2 گيگاهرتز استفاده مي نمايند.

Spread Spectrum ، بدين معني است كه داده مورد نظر براي ارسال به بخش هاي كوچكتر  تقسيم و هر يك از آنها با استفاده از فركانس هاي گسسته قابل دستيابي در هر زمان  ، ارسال خواهند شد. دستگاههائي كه از DSSS  استفاده مي نمايند  ،  هر بايت داده را  به چندين بخش مجزا تقسيم  و آنها  را بصورت  همزمان با استفاده از فركانس هاي متفاوت ، ارسال مي دارند. DSSS از پهناي باند بسيار بالائي استفاده مي نمايد ( تقريبا" 22 مگاهرتز ) دستگاههائي كه از FHSS استفاده مي نمايند  ، دريك زمان پيوسته كوتاه ، اقدام به ارسال داده  كرده و با شيفت دادن فركانس (hop) بخش ديگري از اطلاعات را ارسال مي نمايند. با توجه به اينكه هر يك از دستگاههاي FHSS كه با يكديگر مرتبط مي گردند  ، بر اساس فركانس مربوطه اي كه مي بايست Hop نمايند و از هر فركانس در يك بازه زماني بسيار كوتاه استفاده مي نمايند ( حدودا" 400 ميلي ثانيه )  ،  بنابراين مي توان از جندين شبكه FHSS در يك محيط استفاده كرد( بدون اثرات جانبي ) . دستگاههاي FHSS صرفا" داراي پهناي باند يك مگاهرتز و يا كمتر مي باشند.

HomeRF و SWAP

HomeRF  ، اتحاديه اي است كه استانداري با نام SWAP)Shared Wireless Access protocol) را ايجاد نموده است . SWAP داراي شش كانال صوتي متفاوت بر اساس استاندارد DECT و 802.11 است. دستگاههاي SWAP در هر ثانيه 50 hop ايجاد و در هر ثانيه قادر به ارسال يك مگابيت در ثانيه مي باشند. در برخي از مدل ها ميزان ارسال اطلاعات تا دو مگابيت در ثانيه هم مي رسد.  ، توانائي فوق ارتباط مستقيم به  تعداد اينترفيس هاي موجود در مجيط عملياتي دارد. مزاياي SWAP عبارتند از :

  • قيمت مناسب

  • نصب آسان

  • به كابل هاي اضافه نياز نخواهد بود

  • داراي Access point نيست

  • داراي شش كانال صوتي دو طرفه و يك كانال داده است

  • امكان استفاده از 127 دستگاه در هر شبكه وجود دارد.

  • امكان داشتن چندين شبكه در يك محل را فراهم مي نمايد.

  • امكان رمزنگاري اطلاعات بمنظور ايمن سازي داده ها وجود دارد.

برخي از اشكالات SWAP عبارتند از :

  • داراي سرعت بالا نيست ( در حالت عادي يك مگابيت در ثانيه )

  • داراي دامنه محدودي است ( 75 تا 125 فوت /  23 تا 38 متر )

  • با دستگاههاي FHSS سازگار نيست .

  • دستگاههاي داراي فلز و يا وجود ديوار  مي تواند باعث افت ارتباطات شود.

  • استفاده در شبكه هاي كابلي  ،  مشكل است .

تراتسيور بدون كابل واقعي بهمراه يك آنتن كوچك در يك كارت ISA , PCI و يا PCMCIA ايجاد( ساخته ) مي گردد. در صورتيكه از يك كامپيوتر Laptop استفاده مي شود  ، كارت PCMCIA بصورت مستقيم به يكي از اسلات هاي PCMCIA متصل خواهد شد. در كامپيوترهاي شخصي  ، مي بايست از يك كارت اختصاصي ISA  ، كارت PCI HomeRF و يا يك كارت PCMCIA بهمراه يك آداپتور مخصوص ، استفاده كرد. با توجه به ضرورت استفاده از كارت هاي اختصاصي  ، صرفا" كامپيوترها را مي توان در يك شبكه SWAP استفاده كرد. چاپگرها و ساير وسائل جانبي مي بايست مستقيما" به يك كامپيوتر متصل و توسط كامپيوتر مورد نظر بعنوان يك منبع اشتراكي مورد استفاده قرار گيرند.

اكثر شبكه هاي SWAP بصورت " نظير به نظير " مي باشند . برخي از توليدكنندگان اخيرا" بمنظور افزايش دامنه تاثير پذيري در شبكه هاي بدون كابل  ، Access point هائي را به بازار عرضه نموده اند. شبكه هاي HomeRf نسبت به ساير شبكه هاي بدون كابل  ، داراي قيمت مناسب تري مي باشند.

WECA  و Wi-Fi

WECA)Wireless Ethernet Compatibility Alliance) رويكرد جديدي را نسبت به HomeRF ارائه نموده است . Wi-Fi  ، استانداردي است كه به تمام توليدكنندگان براي توليد محصولات مبتي بر استاندارد IEEE 802.11  تاكيد مي نمايد . مشخصات فوق FHSS را حذف و تاكيد بر استفاده از DSSS دارد. ( بدليل ظرفيت بالا در نرخ انتقال اطلاعات ) . بر اساس IEEE 802.11b  ، هر دستگاه قادر به برقراري ارتباط با سرعت يازده مگابيت در ثانيه است . در صورتيكه سرعت فوق پاسخگو نباشد  ، بتدريج سرعت به 5/5 مگابيت در ثانيه  ، دو مگابيت در ثانيه و نهايتا" به يك مگابيت در ثانيه تنزل  پيدا خواهد كرد. بدين ترتيب شبكه از صلابت و اعتماد بيشتري برخوردار خواهد بود.

مزاياي Wi-Fi عبارتند از :

  • سرعت بالا ( يازده مگابيت در ثانيه )

  • قابل اعتماد

  • داراي دامنه بالائي مي باشند ( 1.000 فوت يا 305 متر در قضاي باز و 250 تا 400 فوت / 76 تا 122 متر در فضاي بسته )

  • با شبكه هاي كابلي بسادگي تركيب مي گردد.

  • با دستگاههاي DSSS 802.11 ( اوليه ) سازگار است .

برخي از اشكالات Wi-Fi عبارتند از :

  • گران قيمت مي باشند.

  • پيكربندي و تنظيمات آن مشكل است .

  • نوسانات سرعت زياد است .

Wi-Fi سرعت شبكه هاي اترنت را بدون استفاده از كابل در اختيار قرار مي دهد. كارت هاي  سازگار با Wi-Fi بمنظور استفاده در شبكه هاي " نظير به نظير " وجود دارد  ، ولي معمولا" Wi-Fi به Access Point  نياز خواهد داشت . اغلب Access point ها داراي يك اينترفيس بمنظور اتصال به يك شبكه كابلي اترنت نيز مي باشند.  اكثر ترانسيورهاي Wi-Fi بصورت كارت هاي PCMCIA عرضه شده اند. برخي از توليدكنندگان كارت هاي PCI و يا ISA را نيز عرضه نموده اند.

+ نوشته شده در  جمعه یکم مهر 1384ساعت 9:45  توسط علیرضا | 
آزمون امنيت اطلاعات

 

متن زير يك تست سريع و آموزنده مي باشد كه به برخي از سوالات شما در زمينه امنيت اطلاعات پاسخ مي دهد. همانطور كه خواهيد ديد به صورت پرسش و پاسخ بيان شده است.

باب امنيت اطلاعات اغلب پيچيده مي باشد. بر همين اساس اين مبحث به برخي از سوالاتي كه ممكن است براي شما  ايجاد شود ، پاسخ داده است و پيشنهاداتي را براي آن ارائه داده است تا به سادگي قبول كنيد كه سيستم هاي شما نيز ممكن است در معرض خطر قرار گيرد.

1-اگر امنيت اطلاعات را افزايش دهيم ، كارايي كاهش پيدا مي كند. درست يا غلط ؟

درست – امنيت اطلاعات هزينه مربوط به خودش را دارد. افزايش امنيت اطلاعات ممكن است به روالهاي موثر اضافي از جمله «تكنولوژي» و «سرمايه گذاري » نياز داشته باشد.

افزايش امنيت اطلاعات ممكن است پيشرفت جريان كار را با كندي مواجهه كند و اين امر ممكن است در كارايي افراد و شبكه شما نمود پيدا كند. امنيت اطلاعات ممكن است به معني قفل كردن ايستگاههي كاري و محدود كردن دسترسي به اتاقهاي كامپيوتر و سرور شما باشد. هر سازماني بايد هنگامي كه به مقوله امنيت اطلاعات مي پردازد به صورت انديشمندانه اي بين خطرات ( Risks ) و كارآيي توازن برقرار كند.

2-حملاتي كه توسط نفوذگران خارجي انجام مي گيرد نسبت به حملات كارمندان داخلي هزينه بر تر و خسارت بار تر مي باشد. درست يا غلط ؟

غلط- حملات كارمندان داخلي نوعا بسيار خسارت بار تر از حملات خارجي گزارش شده است. بر طبق آمارهاي انستيتو امنيت كامپيوتر (Compuetr Security Inistitu ) ميانگين حملات خارجي 57000 دلار و ميانگين هزينه حملات داخلي 2700000 دلار برآورد شده است.

كارمندان داخلي اطلاعات محرمانه بيشتري درباره سيستم هاي هدف در دسترس دارند از آن جمله مي توان اطلاعاتي درباره فعاليت هاي ديده باني (Monitoring ) را نام برد (به خصوص نقاط ضعف اين فعاليتها )

3-پيكربندي يك ديواره آتش (Firewall ) به صورت كامل ما ر در مقابل حملات خارجي ايمن مي كند. درست يا غلط ؟

غلط – آمارهاي انستيو امنيت كامپيوتر نشان مي دهد كه 3/1 شركتهايي كه از ديواره آتش استفاده كرده اند هنوز از دست نفوذگران بد انديش در امان نمانده اند. اولين كاركرد ديواره آتش بستن پورتهاي مشخص مي باشد به همين دليل در بعضي از مشاغل نياز است كه بعضي از پورتها باز باشد. هر پورت باز مي تواند يك خطري را براي سازمان ايجاد كند و يك معبر براي شبكه شما باشد.

ترافيكي كه از ميان يك پورت مي گذرد را بايد هميشه به صورت سختگيرانه اي ديده باني (Monitor ) كرد تا تمامي تلاشهايي كه منجر به نفوذ در شبكه مي شود شناسايي و گزارش شود.

يك ديواره آتش به تنهايي نمي تواند يك راه حل جامع باشد و بايد از آن به همراه تكنولوژي هاي IDS (Intrusion Detection System ) و روشهاي تركيبي استفاده كرد.

4-اگر ديواره آتش من به صورت مناسبي پيكر بندي شود ديگر نيازي به ديده باني بيشتر ترافيك شبكه نمي باشد. درست يا غلط ؟

غلط – هميشه نفوذگران خبره مي توانند يك ديواره آتش را در هم شكنند و به آن نفوذ كنند. به همين دليل ديده باني كليدي براي هر برنامه امنيت اطلاعات مي باشد. فراموش نكنيد كه ديواره آتش نيز ممكن است هك شود و IDS ها راهي مي باشند براي اينكه بدانيد چه سيستم هايي در شرف هك شدن مي باشند.

5-ديواره هاي آتش بايد به گونه اي پيكربندي شوند كه علاوه بر ترافيك ورودي به شبكه ، ترافيك هاي خروجي را نيز كنترل كنند . درست يا غلط ؟

درست  - بسياري از سازمانها توجه زيادي به محدود كردن ترافيك ورودي خود دارند ، اما در مقايسه توجه كمتري در مسدود كردن ترافيك خروجي از شبكه را دارند. خطرات زيادي ممكن است در درون سازمان وجود داشته باشد. يك كارمند ناراضي يا يك نفوذگر كه شبكه شما را در دست گرفته است ، ممكن است كه بخواهد اطلات حساس و محرمانه شما را براي شركت رقيب بفرستد.

 6-امنيت اطلاعات به عنوان يك مبحث تكنولوژيكي مطرح است  درست يا غلط ؟

غلط – امنيت اطلاعات يك پي آمد تجاري - فرهنگي مي باشد. يك استراتژي جامع امنيت طلاعات بايد شامل سه عنصر باشد: روالها و سياستهاي اداري ، كنترل دسترسي هاي فيزيكي ، كنترل دسترسي هاي تكنيكي . اين عناصر – اگر به صورت مناسبي اجرا شود – مجموعا يك فرهنگ امنيتي ايجاد مي كند. بيشتر متخصصين امنيتي معتقدند كه تكنولوژيهاي امنيتي فقط كمتر از 25 درصد مجموعه امنيت را شامل مي شوند. حال آنكه در ميان درصد باقيمانده آنچه كه بيشتر از همه نمود دارد ،« افراد » مي باشند. (كاربر انتهايي) افراد يكي از ضعيف ترين حلقه ها ، در هر برنامه امنيت اطلاعات مي باشند.

7-هرگاه كه كارمندان داخلي ناراضي از اداره اخراج شوند ، خطرات امنيتي از بين مي روند. درست يا غلط ؟

غلط – به طور واضح غلط است. براي شهادت غلط بودن اين موضوع مي توان به شركت Meltdown اشاره كرد كه لشكري از كارمندان ناراضي اما آشنا به سرقتهاي كامپيوتري براي خود ايجاد كرده بود. بر طبق گفته هاي FBI حجم فعاليتهاي خرابكارانه از كارمندان داخلي افزايش يافته است. همين امر سازمانها را با خطرات جدي در آينده مواجهه خواهد كرد.

8-نرم افزارهاي بدون كسب مجوز (Unauthorized Software ) يكي از عمومي ترين رخنه هاي امنيتي كاربران داخلي مي باشد. درست يا غلط ؟

درست – رخنه ها (Breaches ) مي تواند بدون ضرر به نظر بيايد ، مانند Screen Saver هاي دريافت شده از اينترنت يا بازي ها و ...

نتيجه اين برنامه ها ، انتقال ويروس ها ، تروجانها و  ... مي باشد. اگر چه رخنه ها مي تواند خطرناكتر از اين باشد. ايجاد يا نصب يك برنامه كنترل از راه دور كه مي تواند يك در پشتي (Backdoor ) قابل سوءاستفاده اي را در شبكه ايجاد كند  كه به وسيله ديواره آتش نيز محافظت نمي شود.

بر طبق تحقيقاتي كه توسط ICSA.net و Global Integrity انجام شده است بيش از 78 درصد گزارش ها مربوط به ايجاد يك رخنه در نرم افزار دريافتي از افراد يا سايتهاي ناشناخته است.

9-خسارتهاي ناشي از سايتهاي فقط اطلاعاتي كمتر از سايتهاي تجاري مي باشد. درست يا غلط ؟

درست – درست است كه خطرهاي مالي در سايتهاي فقط اطلاعاتي كمتر از سايتهاي تجاري مي باشد ولي خطر مربوط به شهرت و اعتبار، آنها را بيشتر تهديد مي كند. سازمانها نيازمند اين مي باشند كه مداوم سايت هاي اطلاع رساني را بازبيني كنند تا به تهديد هاي احتمالي شبكه هاي خود  خيلي سريع پي ببرند و در مقابل آنها واكنش نشان دهند تا از خسارتهايي كه ممكن است شهرت آنها را بر باد دهد جلوگيري كنند.

10-رمزهاي عبور مي تواند جلو كساني كه دسترسي فيزيكي به شبكه را دارند ، بگيرد. درست يا غلط ؟

غلط – كلمات رمز نوعا خيلي كم مي توانند جلو كارمندان داخلي و خبره را بگيرند. بسياري از سازمانها تمامي تلاش خود را روي امور تكنيكي امنيت اطلاعات صرف مي كنند  و در برخورد با مسائل اداري و كنترل دسترسي فيزيكي لازم براي ايجاد يك محافظت مناسب ، با شكست مواجه مي شوند.

11-يك نام كاربري و يك رمز عبور مي تواند شبكه ما را از ارتباط با يك شبكه غيردوستانه (Unfriendly ) محافظت كند. درست يا غلط ؟

غلط – يك ارتباط فيزيكي و يك آدرس شبكه همه آنچيزي مي باشد كه يك نفوذگر براي نفوذ در شبكه نياز دارد.با يك ارتباط مي توان تمامي ترافيك شبكه را جذب كرد (به اين كار Sniffing مي گويند ) . مهاجم قادر است با استفاده از تكنيكهاي Sniffing كل ترافيك حساس شبكه ، شامل تركيباتي از نام كاربري/رمز عبور را جذب كند و در حملات بعدي از آنها استفاده كند.

12-هيچكسي در سازمان نبايد به رمزهاي عبور دسترسي داشته باشد به جز مدير امنيت شبكه . درست يا غلط ؟

غلط – هيچ كس در سازمان نبايد به كلمات رمز كاربران دسترسي داشته باشد ، حتي مدير امنيتي شبكه! رمزهاي عبور بايد به صورت رمز شده (Encrypted ) ذخيره شوند. براي كاربران جديد ابتدا با يك رمز عبور ساخته شده اجازه ورود به شبكه داده مي شود و پس از آن بايد روالي قرار داد تا كاربران بتوانند در هر زماني كلمات رمز خود را تغيير دهند. همچنين بايد سياستهايي را براي مواردي كه كاربران رمزهاي عبور خود را فراموش كرده اند در نظر گرفت.

13- رمزگذاري بايد براي ترافيك هاي داخلي شبكه به خوبي ترافيك خروجي شبكه انجام گيرد.  درست يا غلط ؟

درست – به عنوان يك نكته بايد گفت كه فرآيند Sniffing (جذب داده هايي كه روي شبكه رد و بدل مي شود) به عنوان يك خطر امنيتي داخلي و خارجي مطرح مي شود.

14-امنيت داده ها در طول انتقال آنها هدف رمزگذاري است .  درست يا غلط ؟

غلط – رمزگذاري همچنين مي تواند جامعيت (Integrity ) ، تصديق (Authentication ) و عدم انكار (nonrepudiation ) داده ها را نيز پشتيباني كند.
+ نوشته شده در  جمعه یکم مهر 1384ساعت 9:39  توسط علیرضا | 
آسيب پذيري Negotiate SSP

Negotiate SSP Vulnerability

آسيب پذيري سرريز بافر در واسط Negotiate Security Software Provider (SSP) وجود دارد كه امكان اجراي راه دور كد را فراهم مي كند. اين آسيب پذيري، به دليل نحوه ارزيابي واسط Negotiate SSP از ارزشي كه در طي انتخاب پروتكل تصديق اصالت استفاده مي شود، وجود دارد. حمله گري كه به طور موفقيت آميزي از اين آسيب پذيري استفاده نمايد، مي تواند كنترل كاملي از سيستم آسيب ديده را بدست آورد.

عوامل تخفيف دهنده آسيب پذيري Negotiate SSP

  • در بيشتر موارد، اين آسيب پذيري ازكاراندازي سرويس مي باشد.
  • واسط Negotiate SSP، به طور پيش فرض در IIS فعال مي باشد. اما فقط ويندوز 2000 (IIS 5.0) و ويندوز سرور 2003 نسخه وب سرور (IIS 6.0IIS را به طور پيش فرض نصب مي نمايند.
  • ويندوز NT 4.0 در معرض اين آسيب پذيري نمي باشد.

Vulnerability Identifiers

Impact of Vulnerability

Windows 98, 98 SE, ME

Windows NT 4.0

Windows 2000

Windows XP

Windows Server 2003

SSL Vulnerability

Denial Of Service

None

None

Important

Important

Important

جدول 1- درباره آسيب پذيري LSASS

كارهايي كه مي توان براي تخفيف آسيب پذيري Negotiate SSP انجام داد؟

مايكروسافت راه حلهاي ذيل را توصيه نموده است. اين راه حلها، آسيب پذيري را اصلاح نمي نمايند، و فقط بردارهاي حملات شناخته شده را بلوكه مي نمايند.

  • راه حلهايي براي بلوكهاي حملات Internet Information Services
    • تصديق اصالت يكپارچه ويندوز (Integrated Windows Authentication) را از كار بيندازيد.

مديران مي توانند ريسك حمله را از طريق IIS با از كار اندازي تصديق اصالت يكپارچه ويندوز كاهش دهند.

در اينصورت برنامه كاربردي IIS بنيادي كه نياز به تصديق اصالت NTLM و يا Kerberous دارد، ديگر عمل نخواهد نمود.

    • Negotiate SSP را ازكار بيندازيد.

مدير سيستم مي تواند Negotiate SSP را به كمك دستور ذيل از كار بيندازد.                                                         Cscript      adsutil.vbs          set    w3svc/NTAuthenticationProviders    “NTLM”

در اينصورت هر برنامه IIS بنياد كه نياز به تصديق اصالت Kerberos دارد، به درستي عمل نخواهد كرد.

سوالاتي چند درباره آسيب پذيري Negotiate SSP

محدوده آسيب پذيري چقدر است؟

اين آسيب پذيري مربوط به سرريز شدن بافر مي باشد. اما اين آسيب پذيري از كار اندازي سرويس مي باشد. حمله گري كه از اين آسيب پذيري استفاده نمايد، مي تواند كنترل كامل سيستم آسيب ديده را بدست آورد، مانند نصب برنامه ها، مرور، تغيير و يا حذف داده ها و ايجاد شناسه هاي جديد كه اجازه دستيابي كامل دارد.

چه چيزي آسيب پذيري را ايجاد نموده است؟

بافر كنترل نشده اي در واسط Negotiate SSP.

واسط Negotiate SSP چه چيزي مي باشد؟

از آنجائيكه ويندوز از انواع مختلف تصديق اصالت پشتيباني مي نمايد، روش تصديق اصالت بكار رفته هنگام اتصال client به سرور بايد negotiate شود. واسط Negotiate SSP، جزئي از سيستم عامل مي باشد كه اين عملكرد را ايجاد مي نمايد. اين واسط بر مبناي مكانيزم Simple and Protected GSS-API Negotiate (SPNEGO) عمل مي كند و در RFC 2478 آمده است.

چرا IIS تاثير مي گيرد؟

واسط Negotiate SSP به طور پيش فرض در IIS  فعال مي باشد، و بنابراين IIS مي تواند به طور پيش فرض از پروتكلهاي تصديق اصالتي چون NTLM و يا Kerberos براي دستيابي امن به منابع استفاده مي نمايد.

حمله گر ممكن است چگونه از آسيب پذيري استفاده نمايد؟

اگرچه ممكن است ازكاراندازي سرويس روي دهد، حمله گري كه به طور موفقيت آميزي از اين آسيب پذيري استفاده نمايد، مي تواند كنترل كامل ماشين ماشين آسيب ديده را بدست آورد و كارهايي چون نصب برنامه ها، مرور، تغيير يا حذف داده ها، يا ايجاد شناسه هاي جديد با اجازه دستيابي كامل را انجام دهد. اگر حمله گر باعث گردد كه سيستم آسيب ديده پاسخگو نباشد، در صورت راه اندازي مجدد سيستم توسط مدير آن، سيستم عملكرد نرمال خود را از سر مي گيرد. اما تا زمانيكه بروز رساني انجام نشود، سيستم در معرض حمله از كاراندازي سرويس مي باشد.

چه كسي ممكن است از آسيب پذيري استفاده نمايد؟

هر كاربر بدون نامي كه بتواند پيغام خاصي را به سيستم آسيب ديده ارسال نمايد، مي تواند از اين آسيب پذيري استفاده نمايد. از آنجائيكه اين ويژگي به طور پيش فرض بر روي همه سيستمهاي آسيب ديده فعال مي باشد، هر كاربري كه بتواند اتصالي را با سيستم آسيب ديده ايجاد نمايد، مي تواند از اين آسيب پذيري استفاده نمايد.

حمله گر چگونه مي تواند از اين آسيب پذيري استفاده نمايد؟

حمله گر مي تواند با ايجاد پيغامهاي خاصي بر روي شبكه و ارسال پيغام به سيستم آسيب ديده، از آسيب پذيري استفاده نمايد.

حمله گر مي تواند به جزء آسيب ديده از طريق بردار ديگري دسترسي پيدا كند. مثلا حمله گر مي تواند به طور محاوره اي يا به كمك برنامه ديگري كه پارامترها را به سيستم آسيب ديده مي فرستد، به سيستم log in نمايد.

چه سيستمهايي در ريسك آسيب پذيري مي باشند؟

همه سيستمهاي آسيب ديده به طور پيش فرض مي توانند در معرض اين آسيب پذيري باشند. علاوه بر آن سيستمهايي كه IIS 5.0، IIS 5.1، IIS 6.0 را اجرا مي نمايند، از طريق پورت شنونده در معرض آسيب پذيري مي باشند.

بروزرساني چكاري را انجام مي دهد؟

بروزرساني با تغيير روشي كه واسط Negotiate SSP طول پيغام را قبل از ارسال آن به بافر بارگذاري شده، ارزيابي مي نمايد، جلوي آسيب پذيري را مي گيرد.

 
+ نوشته شده در  جمعه یکم مهر 1384ساعت 9:37  توسط علیرضا | 
آسيب پذيري SSL

آسيب پذيري از كاراندازي سرويس در كتابخانه SSL مايكروسافت وجود دارد. آسيب پذيري مربوط به نحوه اداره پيغامهاي بدشكل SSL در كتابخانه مايكروسافت SSL مي باشد. اين آسيب پذيري ممكن است باعث شود كه سيستم آسيب ديده اتصالات SSL دريافت شده بر روي ويندوز 2000 و XP را متوقف نمايد. در ويندوز سرور 2003، آسيب پذيري ممكن است باعث شود كه سيستم آسيب ديده مجددا راه اندازي گردد.

توضيحاتي درباره آسيب پذيري SSL

محدوده آسيب پذيري چيست؟

آسيب پذيري ازكار اندازي سرويس در كتابخانه SSL مايكروسافت، بر روي نحوه اداره كتابخانه SSL مايكروسافت تاثير مي گذارد. اين آسيب پذيري منجر به توقف اتصالات SSL بر روي ماشينهاي آسيب ديده، ويندوز 2000 و XP مي گردد. سيستمهاي آسيب ديده ويندوز سرور 2003 به طور اتوماتيك راه اندازي مجدد مي گردند.

آسيب پذيري ازكار اندازي سرويس، مانع از اجراي كد يا افزايش اجازه هاي دسترسي حمله گر نمي شود، بلكه مانع از پذيرش تقاضاهاي وارد شونده توسط سيستم آسيب ديده مي شود.

چه چيزي باعث آسيب پذيري مي شود؟

پردازه بكار رفته توسط كتابخانه SSL براي كنترل پيغامهاي ورودي، باعث آسيب پذيري مي شود.

كتابخانه SSL  از مايكروسافت چيست؟

كتابخانه SSL از مايكروسافت، از تعدادي از پروتكلهاي ارتباطي امن پشتيباني مي نمايد. اين پروتكلها عبارتند از: (TLS 1.0) Transport Layer Security 1.0، Secure Socket Layer 3.0 (SSL 3.0)، نسخه قديمي تر و كم كاربردتر Secure Socket Layer 2.0 (SSL 2.0)، و پروتكل Private Communication Technology 1.0 (PCT 1.0).

اين پروتكلها، ارتباط رمزنگاري شده اي را بين سيستم سرور و كاربر ايجاد مي نمايند. SSLكمك به حفاظت از اطلاعات به هنگام اتصال كاربران در شبكه هاي عمومي مانند اينترنت مي نمايد. پشتيباني SSL نيازمند گواهينامه SSL، كه بايد بر روي سرور نصب شود، مي باشد.

حمله گر چگونه از آسيب پذيري استفاده مي نمايد؟

در ويندوز 2000 و XP، حمله گري كه به طور موفقيت آميزي از آسيب پذيري استفاده نموده است، مي تواند باعث توقف اتصالات SSL شود.  در ويندوز سرور 2003، حمله گر ممكن است باعث شود كه سيستم آسيب ديده به طور اتوماتيك راه اندازي مجدد شود. در آن زمان، سيستم آسيب ديده به تقاضاهاي تصديق اصالت پاسخ نمي دهد. پس از راه اندازي مجدد سيستم، سيستم آسيب ديده با عملكرد خاصي بازيابي مي گردد. به هرحال، اين سيستم هنوز در معرض حمله ازكاراندازي سرويس مي باشد، مگر اينكه بروزرسانيهايي اعمال گردد.

اگر حمله گري از اين آسيب پذيري استفاده نمايد، رويداد سيستمي خطا ثبت مي شود. شماره رويداد (event ID) 5000 در log رويداد سيستم ثبت مي شود، و ارزش SymbolicName آن، “SPMEVENT_PACKAGE_FAULT” مي باشد و شرح آن به صورت ذيل است:

"بسته امنيتي NAME استثنايي را ايجاد نموده است" كه در آن NAME ارزش "Schannel" يا "Microsoft Unified Secuirty Protocol Provider" مي باشد.

چه كسي مي تواند از آسيب پذيري استفاده نمايد؟

هر كاربر بدون نامي كه بتواند پيغام SSL را به سيستم آسيب ديده ارسال نمايد، مي تواند از اين آسيب پذيري استفاده كند.

حمله گر چگونه مي تواند از آسيب پذيري استفاده نمايد؟

حمله گر براي استفاده از اين آسيب پذيري برنامه اي ايجاد مي نمايد، كه مي تواند با سرور آسيب پذير از طريق سرويس فعال شده با SSL ارتباط برقرار كندو پيغام TCP خاصي را ارسال نمايد. سيستم آسيب پذير در صورت دريافت چنين پيغامي، به نحوي شكست مي خورد كه حمله ازكاراندازي سرويس روي مي دهد.

حمله گر، همچنين مي تواند به جزء آسيب ديده از طريق ديگري دسترسي پيدا كند. مثلا حمله گر مي تواند بر روي سيستم آسيب پذير به طور محاوره اي يا به كمك برنامه ديگري كه پارامترها را به جزء آسيب پذير مي فرستد، Login نمايد(به طور محلي و يا از راه دور).

چه سيستمهايي در معرض اين آسيب پذيري مي باشند؟

همه سيستمهايي كه SSL را فعال نموده اند، در معرض آسيب پذيري مي باشند. اگرچه SSL به IIS به كمك HTTPS و پورت 443 دسترسي پيدا مي كند، هر سرويسي كه SSL را بر روي بستر آسيب ديده پياده سازي مي نمايد، در معرض آن مي باشد. سيستمهاي IIS 4.0، IIS 5.0، IIS 5.1، Exchange Server 5.5، Exchange Server 2000، Exchange Server 2003، Analysis Services 2000 و هر برنامه اي كه از SSL استفاده مي نمايد، از اين نوع است.

كنترل كننده دامنه ويندوز 2000 كه بر روي دامنه دايركتوري فعال نصب مي باشند، و Enterprise Root Certification Authority بر روي آن نصب مي باشد، نيز در معرض آن مي باشند.

Vulnerability Identifiers

Impact of Vulnerability

Windows 98, 98 SE, ME

 Windows NT 4.0

Windows 2000

Windows XP

Windows Server 2003

SSL Vulnerability

Denial Of Service

None

None

Important

Important

Important

تخفيف عوامل در آسيب پذيري SSL

  • تنها سيستمهايي كه SSL را فعال نموده اند، فقط سيستمهاي سرور، در معرض آن مي باشند. به هر حال SSL به طور عمومي بر روي وب سرورها بكار مي رود تا از برنامه هاي تجارت الكترونيكي، بانكداري online، و ساير برنامه هايي كه نياز به اتصال امن دارند، پشتيباني نمايد.
  • بهترين تمرينات براي ديوار آتش، و پيكربندي پيش فرض استاندارد براي ديوار آتش، از شبكه ها در برابر حملات نشات گرفته از خارج از آنها محافظت مي نمايد.
  • ويندوز NT 4.0 ، در معرض اين آسيب پذيري نمي باشد.

كارهايي كه مي توان براي آسيب پذيري SSL انجام داد؟

مايكروسافت راه حلهاي ذيل را توصيه نموده است. اگر چه توصيه هاي ذيل، آسيب پذيريها را اصلاح نمي نمايند، بردارهاي شناخته شده حملات را بلوكه مي كنند.

  • پورتهاي 443 و 636 را در ديوار آتش بلوكه نماييد. پورت 443 برا دريافت ترافيك SSL بكار مي رود. پورت 636 براي دريافت اتصالات LDAP SSL (LDAPS) استفاده مي شود. بلوكه كردن آنها در ديوار آتش، به سيستمهايي كه در پشت ديوار آتش مي باشند، كمك مي كند تا از اين آسيب پذيري در امان باشند. به هرحال پورتهايي كه در ذيل آمده اند، بيشترين بردارهاي حمله مي باشند. مايكروسافت توصيه مي كند كه همه اتصالات ورودي از اينترنت را بلوكه نمايد تا مانع از استفاده حملات از ساير پورتها گردد.

تاثير راهكار فوق: اگر پورت 443 يا 636 بلوكه گردند، سيستمهاي آسيب ديده ديگر نمي توانند اتصالات خارجي SSL يا LDAPS را دريافت نمايند.
+ نوشته شده در  جمعه یکم مهر 1384ساعت 9:35  توسط علیرضا |