معرفی شبکه کامپیوتری و اجزاء و مدلهای شبکه
بطور کلی قبل از طراحی فیزیکی یک شبکه کامپیوتری ، ابتدا باید خواسته ها شناسایی وتحلیل شوند، مثلا در یک کتابخانه چرا قصد ایجاد یک شبکه را داریم واین شبکه باید چه سرویس ها وخدماتی را ارائه نماید؛ برای تامین سرویس ها وخدمات مورد نظر اکثریت کاربران ، چه اقداماتی باید انجام داد ؛ مسائلی چون پروتکل مورد نظر برای استفاده از شبکه ، سرعت شبکه واز همه مهمتر مسائل امنیتی شبکه ، هریک از اینها باید به دقت مورد بررسی قرار گیرد.
سعی شده است پس از ارائه تعاریف اولیه ، مطالبی پیرامون کاربردهای عملی آن نیز ارائه شود تا در تصمیم گیری بهتر یاری کند.
● تاریخچه پیدایش شبکه
در سال 1957 نخستین ماهواره یعنی اسپوتنیک توسط اتحاد جماهیر شوروی سابق به فضا پرتاب شد .
در همین دوران رقابت سختی از نظر تسلیحاتی بین دو ابر قدرت آن زمان جریان داشت و دنیا در دوران جنگ سرد بهسر می برد.
وزارت دفاع آمریکا در واکنش به این اقدام رقیب نظامی خود ،آژانس پروژه های تحقیقاتی پیشرفته یا آرپا
(ARPA) را تأسیس کرد.
یکی از پروژه های مهم این آژانس تأمین ارتباطات در زمان جنگ جهانی احتمالی تعریف شده بود.
در همین سالها در مراکز تحقیقاتی غیرنظامی که در امتداد دانشگاهها بودند، تلاش برای اتصال کامپیوترها به یکدیگر در جریان بود .در آن زمان کامپیوترهای Mainframe از طریق ترمینالها به کاربران سرویس میدادند.
در اثر اهمیت یافتن این موضوع آژانس آرپا (ARPA) منابع مالی پروژه اتصال دو کامپیوتر از راه دور به یکدیگر را در دانشگاه MIT بر عهده گرفت .
در اواخر سال 1960 اولین شبکه کامپیوتری بین چهار کامپیوتر که دو تای آنها در MIT، یکی در دانشگاه کالیفرنیا و دیگری در مرکز تحقیقاتی استنفورد قرار داشتند، راهاندازی شد.
این شبکه آرپانت
(ARPAnet) نامگذاری شد .
در سال 1965 نخستین ارتباط راه دور بین دانشگاه MIT و یک مرکز دیگر نیز بر قرار گردید .
در سال 1970 شرکت معتبر زیراکس، یک مرکز تحقیقاتی در پالوآلتو تأسیس کرد.
این مرکز در طول سالها مهمترین فناوریهای مرتبط با کامپیوتر را معرفی کرده است و از این نظر به یک مرکز تحقیقاتی افسانه ای بدل گشته است.
این مرکز تحقیقاتی که پارک (PARC) نیز نامیده می شود، به تحقیقات در زمینه شبکههای کامپیوتری پیوست.
تا این سالها شبکه آرپانت به امور نظامی اختصاص داشت، اما در سال 1972 به عموم معرفی شد.
در این سال شبکه آرپانت مراکز کامپیوتری بسیاری از دانشگاه ها و مراکز تحقیقاتی را به هم متصل کرده بود.
در سال 1972 نخستین نامه الکترونیکی از طریق شبکه منتقل گردید.
در این سالها حرکتی غیرانتفاعی بهنام MERIT که چندین دانشگاه بنیانگذار آن بودهاند، مشغول توسعه روشهای اتصال کاربران ترمینالها به کامپیوتر مرکزی یا میزبان بود.
مهندسان پروژه MERIT در تلاش برای ایجاد ارتباط بین کامپیوترها، مجبور شدند تجهیزات لازم را خود طراحی کنند.
آنان با طراحی تجهیزات واسطه برای
مینیکامپیوتر DECPDP-11 نخستین بستر اصلی یا Backbone شبکههای کامپیوتری را ساختند.
تا سالها نمونههای اصلاح شده این کامپیوتر با نام PCP یا Primary Communications Processor نقش میزبان را در شبکهها ایفا می کرد.
نخستین شبکه از این نوع که چندین ایالت را به هم متصل می کرد Michnet نام داشت.
در سال 1973 موضوع رساله دکترای آقای باب متکالف (Bob Metcalfe) درباره مفهوم اترنت در مرکز پارک مورد آزمایش قرار گرفت.
با تثبیت اترنت تعداد شبکه های کامپیوتری رو افزایش گذاشت .
روش اتصال کاربران به کامپیوتر میزبان در آن زمان به این صورت بود که یک نرم افزار خاص بر روی کامپیوتر مرکزی اجرا میشد و ارتباط کاربران را برقرار می کرد.
اما در سال 1976 نرمافزار جدیدی بهنام Hermes عرضه شد که برای نخستین بار به کاربران اجازه میداد تا از طریق یک ترمینال بهصورت تعاملی مستقیماً به سیستم MERIT متصل شوند.
این، نخستین باری بود که کاربران میتوانستند در هنگام برقراری ارتباط از خود بپرسند: <کدام میزبان؟="">
از وقایع مهم تاریخچه شبکههای کامپیوتری ، ابداع روش سوئیچینگ بستهای یا Packet Switching است.
قبل از معرفی شدن این روش از سوئیچینگ مداری یا Circuit Switching برای تعیین مسیر ارتباطی استفاده می شد.
اما در سال 1974 با پیدایش پروتکل ارتباطی TCP/IP از مفهوم Packet Switching استفاده گستردهتری شد.
این پروتکل در سال 1982 جایگزین پروتکل NCP شد و به پروتکل استاندارد برای آرپانت تبدیل گشت.
در همین زمان یک شاخه فرعی بنام MILnet در آرپانت، همچنان از پروتکل قبلی پشتیبانی میکرد و به ارائه خدمات نظامی می پرداخت.
با این تغییر و تحول، شبکههای زیادی به بخش تحقیقاتی این شبکه متصل شدند و آرپانت به اینترنت تبدیل گشت .
در این سالها حجم ارتباطات شبکهای افزایش یافت و مفهوم ترافیک شبکه مطرح شد .
مسیریابی در این شبکه بهکمک آدرسهای IP بهصورت 32 بیتی انجام میگرفته است.
هشت بیت اول آدرس IP به شبکههای محلی تخصیص داده شده بود که به سرعت مشخص گشت تناسبی با نرخ رشد شبکهها ندارد و باید در آن تجدید نظر شود.
مفهوم شبکههای LAN و شبکههای WAN در سال دهه 70 میلاادی از یکدیگر تفکیک شدند.
در آدرسدهی 32 بیتی اولیه، بقیه 24 بیت آدرس به میزبان در شبکه اشاره می کرد.
در سال 1983 سیستم نامگذاری دامنهها (Domain Name System) بهوجود آمد و اولین سرویسدهنده نامگذاری(Name server) راهاندازی شد و استفاده از نام بهجای آدرسهای عددی معرفی شد.
در این سال تعداد میزبانهای اینترنت از مرز ده هزار عدد فراتر رفته بود.
کدام> ● تاریخچه پیدایش شبکه در سال 1957 نخستین ماهواره یعنی اسپوتنیک توسط اتحاد جماهیر شوروی سابق به فضا پرتاب شد .
وزارت دفاع آمریکا در واکنش به این اقدام رقیب نظامی خود ،آژانس پروژه های تحقیقاتی پیشرفته یا آرپا (ARPA) را تأسیس کرد.
یکی از پروژه های مهم این آژانس تأمین ارتباطات در زمان جنگ جهانی احتمالی تعریف شده بود.
در همین سالها در مراکز تحقیقاتی غیرنظامی که در امتداد دانشگاهها بودند، تلاش برای اتصال کامپیوترها به یکدیگر در جریان بود .در آن زمان کامپیوترهای Mainframe از طریق ترمینالها به کاربران سرویس میدادند.
در اثر اهمیت یافتن این موضوع آژانس آرپا (ARPA) منابع مالی پروژه اتصال دو کامپیوتر از راه دور به یکدیگر را در دانشگاه MIT بر عهده گرفت .
در اواخر سال 1960 اولین شبکه کامپیوتری بین چهار کامپیوتر که دو تای آنها در MIT، یکی در دانشگاه کالیفرنیا و دیگری در مرکز تحقیقاتی استنفورد قرار داشتند، راهاندازی شد.
این شبکه آرپانت (ARPAnet) نامگذاری شد .
در سال 1965 نخستین ارتباط راه دور بین دانشگاه MIT و یک مرکز دیگر نیز بر قرار گردید .
در سال 1970 شرکت معتبر زیراکس، یک مرکز تحقیقاتی در پالوآلتو تأسیس کرد.
این مرکز تحقیقاتی که پارک (PARC) نیز نامیده می شود، به تحقیقات در زمینه شبکههای کامپیوتری پیوست.
در سال 1972 نخستین نامه الکترونیکی از طریق شبکه منتقل گردید.
در این سالها حرکتی غیرانتفاعی بهنام MERIT که چندین دانشگاه بنیانگذار آن بودهاند، مشغول توسعه روشهای اتصال کاربران ترمینالها به کامپیوتر مرکزی یا میزبان بود.
مهندسان پروژه MERIT در تلاش برای ایجاد ارتباط بین کامپیوترها، مجبور شدند تجهیزات لازم را خود طراحی کنند.
آنان با طراحی تجهیزات واسطه برای مینیکامپیوتر DECPDP-11 نخستین بستر اصلی یا Backbone شبکههای کامپیوتری را ساختند.
تا سالها نمونههای اصلاح شده این کامپیوتر با نام PCP یا Primary Communications Processor نقش میزبان را در شبکهها ایفا می کرد.
نخستین شبکه از این نوع که چندین ایالت را به هم متصل می کرد Michnet نام داشت.
در سال 1973 موضوع رساله دکترای آقای باب متکالف (Bob Metcalfe) درباره مفهوم اترنت در مرکز پارک مورد آزمایش قرار گرفت.
با تثبیت اترنت تعداد شبکه های کامپیوتری رو افزایش گذاشت .
روش اتصال کاربران به کامپیوتر میزبان در آن زمان به این صورت بود که یک نرم افزار خاص بر روی کامپیوتر مرکزی اجرا میشد و ارتباط کاربران را برقرار می کرد.
اما در سال 1976 نرمافزار جدیدی بهنام Hermes عرضه شد که برای نخستین بار به کاربران اجازه میداد تا از طریق یک ترمینال بهصورت تعاملی مستقیماً به سیستم MERIT متصل شوند.
این، نخستین باری بود که کاربران میتوانستند در هنگام برقراری ارتباط از خود بپرسند: از وقایع مهم تاریخچه شبکههای کامپیوتری ، ابداع روش سوئیچینگ بستهای یا Packet Switching است.
قبل از معرفی شدن این روش از سوئیچینگ مداری یا Circuit Switching برای تعیین مسیر ارتباطی استفاده می شد.
اما در سال 1974 با پیدایش پروتکل ارتباطی TCP/IP از مفهوم Packet Switching استفاده گستردهتری شد.
این پروتکل در سال 1982 جایگزین پروتکل NCP شد و به پروتکل استاندارد برای آرپانت تبدیل گشت.
در همین زمان یک شاخه فرعی بنام MILnet در آرپانت، همچنان از پروتکل قبلی پشتیبانی میکرد و به ارائه خدمات نظامی می پرداخت.
در این سالها حجم ارتباطات شبکهای افزایش یافت و مفهوم ترافیک شبکه مطرح شد .
مسیریابی در این شبکه بهکمک آدرسهای IP بهصورت 32 بیتی انجام میگرفته است.
هشت بیت اول آدرس IP به شبکههای محلی تخصیص داده شده بود که به سرعت مشخص گشت تناسبی با نرخ رشد شبکهها ندارد و باید در آن تجدید نظر شود.
مفهوم شبکههای LAN و شبکههای WAN در سال دهه 70 میلاادی از یکدیگر تفکیک شدند.
در آدرسدهی 32 بیتی اولیه، بقیه 24 بیت آدرس به میزبان در شبکه اشاره می کرد.
در سال 1983 سیستم نامگذاری دامنهها (Domain Name System) بهوجود آمد و اولین سرویسدهنده نامگذاری(Name server) راهاندازی شد و استفاده از نام بهجای آدرسهای عددی معرفی شد.
در این سال تعداد میزبانهای اینترنت از مرز ده هزار عدد فراتر رفته بود.
● شبکه کامپیوتری چیست ؟
اساسا یک شبکه کامپیوتری شامل دو یا بیش از دو کامپیوتر وابزارهای جانبی مثل چاپگرها، اسکنرها ومانند اینها هستند که بطور مستقیم بمنظور استفاده مشترک از سخت افزار ونرم افزار، منابع اطلاعاتی ابزارهای متصل ایجاده شده است توجه داشته باشید که به تمامی تجهیزات سخت افزاری ونرم افزاری موجود در شبکه منبع (Source) گویند.
در این تشریک مساعی با توجه به نوع پیکربندی کامپیوتر ، هر کامپیوتر کاربر می تواند در آن واحد منابع خود را اعم از ابزارها وداده ها با کامپیوترهای دیگر همزمان بهره ببرد.
دلایل استفاده از شبکه را می توان موارد ذیر عنوان کرد : 1 - استفاده مشترک از منابع : استفاده مشترک از یک منبع اطلاعاتی یا امکانات جانبی رایانه ، بدون توجه به محل جغرافیایی هریک از منابع را استفاده از منابع مشترک گویند.
2 - کاهش هزینه : متمرکز نمودن منابع واستفاده مشترک از آنها وپرهیز از پخش آنها در واحدهای مختلف واستفاده اختصاصی هر کاربر در یک سازمان کاهش هزینه را در پی خواهد داشت .
3 - قابلیت اطمینان : این ویژگی در شبکه ها بوجود سرویس دهنده های پشتیبان در شبکه اشاره می کند ، یعنی به این معنا که می توان از منابع گوناگون اطلاعاتی وسیستم ها در شبکه نسخه های دوم وپشتیبان تهیه کرد ودر صورت عدم دسترسی به یک از منابع اطلاعاتی در شبکه " بعلت از کارافتادن سیستم " از نسخه های پشتیبان استفاده کرد.
پشتیبان از سرویس دهنده ها در شبکه کارآیی، فعالیت وآمادگی دایمی سیستم را افزایش می دهد.
4 - کاهش زمان : یکی دیگر از اهداف ایجاد شبکه های رایانه ای ، ایجاد ارتباط قوی بین کاربران از راه دور است ؛ یعنی بدون محدودیت جغرافیایی تبادل اطلاعات وجود داشته باشد.
به این ترتیب زمان تبادل اطلاعات و استفاده از منابع خود بخود کاهش می یابد.
5 - قابلیت توسعه : یک شبکه محلی می تواند بدون تغییر در ساختار سیستم توسعه یابد و تبدیل به یک شبکه بزرگتر شود.
در اینجا هزینه توسعه سیستم هزینه امکانات وتجهیزات مورد نیاز برای گسترش شبکه مد نظر است.
6 - ارتباطات : کاربران می توانند از طریق نوآوریهای موجود مانند پست الکترونیکی و یا دیگر سیستم های اطلاع رسانی پیغام هایشان را مبادله کنند ، حتی امکان انتقال فایل نیز وجود دارد.
در طراحی شبکه مواردی که قبل از راه اندازی شبکه باید مد نظر قرار دهید شامل موارد ذیل هستند: 1 - اندازه سازمان 2 - سطح امنیت 3 - نوع فعالیت 4 - سطح مدیریت 5 - مقدار ترافیک 6 - بودجه ● مفهوم گره " Node" وایستگاههای کاری ( Work Stations ) در شبکه : هرگاه شما کامپیوتری را به شبکه اضافه می کنید ، این کامپیوتر به یک ایستگاه کاری یا گره تبدیل می شود.
یک ایستگاه کاری ، کامپیوتری است که به شبکه وصل شده است و در واقع واژه ایستگاه کاری روش دیگری است برای اینکه بگوییم یک کامپیوتر متصل به شبکه است.
یک گره چگونگی و ارتباط شبکه یا ایستگاه کاری و یا هر نوع ابزار دیگری است که به شبکه متصل است وبطور ساده تر هر چه را که به شبکه متصل شده است یک گره گویند.
برای شبکه جایگاه و آدرس یک ایستگاه کاری مترادف با هویت گره اش است.
● مدل های شبکه : در یک شبکه ، یک کامپیوتر می تواند هم سرویس دهنده و هم سرویس گیرنده باشد.
یک سرویس دهنده (Server) کامپیوتری است که فایل های اشتراکی وهمچنین سیستم عامل شبکه که مدیریت عملیات شبکه را بعهده دارد ، را نگهداری می کند.
برای آنکه سرویس گیرنده (Client و یا User) بتواند به سرویس دهنده دسترسی پیدا کند ، ابتدا سرویس گیرنده باید اطلاعات مورد نیازش را از سرویس دهنده تقاضا کند.
سپس سرویس دهنده اطلاعات در خواست شده را به سرویس گیرنده ارسال خواهد کرد.
سه مدل از شبکه هایی که مورد استفاده قرار می گیرند ، عبارتند از : 1 - شبکه نظیر به نظیر " Peer- to- Peer " 2 - شبکه مبتنی بر سرویس دهنده " Server- Based " 3 - شبکه سرویس دهنده / سرویس گیرنده " Client Server" ● مدل شبکه نظیر به نظیر" Peer- to- Peer " : در این شبکه ایستگاه ویژه ای جهت نگهداری فایل های اشتراکی و سیستم عامل شبکه وجود ندارد.
هر ایستگاه می تواند به منابع سایر ایستگاه ها در شبکه دسترسی پیدا کند.
هر ایستگاه خاص می تواند هم بعنوان Server وهم بعنوان Client عمل کند.
در این مدل هر کاربر خود مسئولیت مدیریت وارتقاء دادن نرم افزارهای ایستگاه خود را بعهده دارد.
از آنجایی که یک ایستگاه مرکزی برای مدیریت عملیات شبکه وجود ندارد ، این مدل معمولا برای شبکه ای با کمتر از 10 ایستگاه بکار می رود .
● شبکه مبتنی بر سرویس دهنده" Server- Based " : در این مدل شبکه ، یک کامپیوتر بعنوان سرویس دهنده کلیه فایل ها ونرم افزارهای اشتراکی نظیر واژه پرداز ها، کامپایلرها ، بانک های اطلاعاتی وسیستم عامل شبکه را در خود نگهداری می کند.
یک کاربر می تواند به سرویس دهنده دسترسی پیدا کرده وفایل های اشتراکی را از روی آن به ایستگاه خود منتقل کند.
● شبکه سرویس دهنده / سرویس گیرنده " Client Server" : در این مدل یک ایستگاه در خواست انجام کارش را به سرویس دهنده ارائه می دهد وسرویس دهنده پس از اجرای وظیفه محوله ، نتایج حاصل را به ایستگاه در خواست کننده عودت می دهد.
در این مدل حجم اطلاعات مبادله شده شبکه ، در مقایسه با مدل مبتنی بر سرویس دهنده کمتر است واین مدل دارای کارایی بالاتری می باشد ، ارتباط در شبکه Server- Based و Client Server از طریق Server انجام میگیرد .
● هر شبکه اساسا از سه بخش ذیل تشکیل می شود : ابزارهایی که به پیکربندی اصلی شبکه متصل می شوند: بعنوان مثال کامپیوتر ها ، چاپگرها، هاب ها " Hubs " سیم ها ، کابل ها وسایر رسانه هایی که برای اتصال ابزارهای شبکه استفاده می شوند.
سازگار کننده ها (Adaptor) : که بعنوان اتصال کابل ها به کامپیوتر هستند .
اهمیت آنها در این است که بدون وجود آنها شبکه تنها شامل چند کامپیوتر بدون ارتباط موازی است که قادر به سهیم شدن منابع یکدیگر نیستند .
عملکرد سازگارکننده در این است که به دریافت وترجمه سیگنال ها ی درون داد از شبکه از جانب یک ایستگاه کاری وترجمه وارسال برون داد به کل شبکه می پردازد.
● اجزا ءشبکه : اجزا اصلی یک شبکه کامپیوتری عبارتند از : 1 - کارت شبکه ( NIC- Network Interface Card) : برای استفاده از شبکه و برقراری ارتباط بین کامپیوتر ها از کارت شبکه ای استفاده می شود که در داخل یکی از شیارهای برد اصلی کامپیوتر های شبکه " اعم از سرویس دهنده و گیرنده " بصورت سخت افزاری و برای کنترل ارسال ودریافت داده نصب می گردد.
2 - رسانه انتقال ( Transmission Medium ) : رسانه انتقال کامپیوتر ها را به یکدیگر متصل کرده وموجب برقراری ارتباط بین کامپیوتر های یک شبکه می شود .
برخی از متداولترین رسانه های انتقال عبارتند از : کابل زوج سیم بهم تابیده " Twisted- Pair" ، کابل کواکسیال " Coaxial" وکابل فیبر نوری "Fiber- Optic" .
3 - سیستم عامل شبکه ( NOS- Network Operating System ) : سیستم عامل شبکه برروی سرویس دهنده اجرا می شود و سرویس های مختلفی مانند: اجازه ورود به سیستم "Login" ، رمز عبور "Password" ، چاپ فایل ها " Printfiles" ، مدیریت شبکه " Net work management " را در اختیار کاربران می گذارد.
ویژگی های شبکه همان طور که قبلاً گفته شد، یکی از مهمترین اجزای شبکههای کامپیوتری، کامپیوتر سرور است.
سرور مسؤول ارائه خدماتی از قبیل انتقال فایل، سرویسهای چاپ و غیره است.
با افزایش حجم و ترافیک شبکه، ممکن است برای سرور مشکلاتی بروز کند.
در شبکههای بزرگ برای حل این مشکل، از افزایش تعداد کامپیوترهای سرور استفاده میشود که به این سرورها، سرورهای اختصاصی گفته میشود.
دو نوع متداول این سرورها عبارتند از File and Print Server و Application Server .
نوع اول یعنی سرویسدهنده فایل و چاپ مسؤول ارائه خدماتی از قبیل ذخیرهسازی فایل، حذف فایل و تغییر نام فایل است که این درخواستها را از کامپیوترهای سرویسگیرنده دریافت میکند.
این سرور همچنین مسؤول مدیریت امور چاپگر نیز هست.
هنگامی که یک کاربر درخواست دسترسی به فایلی واقع در سرور را ارسال می کند، کامپیوتر سرور نسخهای از فایل کامل را برای آن کاربر ارسال میکند.
بدین ترتیب کاربر میتواند به صورت محلی، یعنی روی کامپیوتر خود این فایل را ویرایش کند.
کامپیوترسرویسدهنده چاپ، مسؤول دریافت درخواستهای کاربران برای چاپ اسناد است.
این سرور این درخواستها را در یک صف قرار میدهد و به نوبت آنها را به چاپگر ارسال میکند.
این فرایند spooling نام دارد.
به کمک spooling کاربران میتوانند بدون نیاز به انتظار برای اجرای فرمان پرینت به فعالیت بر روی کامپیوتر خود ادامه دهند.
نوع دیگر سرور، Application Server نام دارد.
این سرور مسؤول اجرای برنامه های client/server و تأمین دادههای سرویسگیرنده است.
سرویسدهندهها، حجم زیادی از اطلاعات را در خود نگهداری میکنند.
برای امکان بازیابی سریع و ساده اطلاعات، این دادهها در یک ساختار مشخص ذخیره میشوند.
هنگامی که کاربری درخواستی را به چنین سرویسدهندهای ارسال میکند، سرور نتیجه درخواست را به کامپیوتر کاربر انتقال میدهد.
به عنوان مثال یک شرکت بازاریابی را در نظر بگیرید.
این شرکت در نظر دارد تا برای مجموعهای از محصولات جدید خود، تبلیغ کند.
این شرکت میتواند برای کاهش حجم ترافیک، برای مشتریان با طیف درآمدهای مشخص، فقط گروهی از محصولات را تبلیغ نماید.
علاوه بر سرورهای یادشده، در یک شبکه میتوان برای خدماتی از قبیل پست الکترونیک، فکس، سرویسهای دایرکتوری و غیره نیز سرورهایی اختصاص داد.
اما بین سرورهای فایل و Application Serverها تفاوتهای مهمی نهفته است.
یک سرور فایل در پاسخ به درخواست کاربر برای دسترسی به یک فایل، یک نسخه کامل از فایل را برای او ارسال میکند در حالی که یک Application Server فقط نتایج درخواست کاربر را برای وی ارسال مینماید.
امنیت شبکه یکی از مهم ترین فعالیت های مدیر شبکه، تضمین امنیت منابع شبکه است.
دسترسی غیرمجاز به منابع شبکه و یا ایجاد آسیب عمدی یا غیرعمدی به اطلاعات، امنیت شبکه را مختل می کند.
از طرف دیگر امنیت شبکه نباید آن چنان باشد که کارکرد عادی کاربران را مشکل سازد.
برای تضمین امنیت اطلاعات و منابع سختافزاری شبکه، از دو مدل امنیت شبکه استفاده می شود.
این مدل ها عبارتند از: امنیت در سطح اشتراک (share-level) و امنیت در سطح کاربر (user-level).
در مدل امنیت در سطح اشتراک، این عمل با انتساب اسم رمز یاpassword برای هر منبع به اشتراک گذاشته تأمین میشود.
دسترسی به منابع مشترک فقط هنگامی برقرار میگردد که کاربر اسم رمز صحیح را برای منبع به اشتراک گذاشته شده را به درستی بداند.
به عنوان مثال اگر سندی قابل دسترسی برای سه کاربر باشد، میتوان با نسبت دادن یک اسم رمز به این سند مدل امنیت در سطح share-level را پیادهسازی کرد.
منابع شبکه را میتوان در سطوح مختلف به اشتراک گذاشت.
برای مثال در سیستم عامل ویندوز 95 می توان دایرکتوری ها را به صورت فقط خواندنی (Read only)، برحسب اسم رمز یا به شکل کامل (Full) به اشتراک گذاشت.
از مدل امنیت در سطح share-level میتوان برای ایجاد بانکهای اطلاعاتی ایمن استفاده کرد.
در مدل دوم یعنی امنیت در سطح کاربران، دسترسی کاربران به منابع به اشتراک گذاشته شده با دادن اسم رمز به کاربران تأمین میشود.
در این مدل کاربران در هنگام اتصال به شبکه باید اسم رمز و کلمه عبور را وارد نمایند.
در اینجا سرور مسؤول تعیین اعتبار اسم رمز و کلمه عبور است.
سرور در هنگام دریافت درخواست کاربر برای دسترسی به منبع به اشتراک گذاشته شده، به بانک اطلاعاتی خود مراجعه کرده و درخواست کاربر را رد یا قبول میکند.
تفاوت این دو مدل در آن است که در مدل امنیت در سطح share-level، اسم رمز به منبع نسبت داده شده و در مدل دوم اسم رمز و کلمه عبور به کاربر نسبت داده می شود.
بدیهی است که مدل امنیت در سطح کاربر بسیار مستحکمتر از مدل امنیت در سطح اشتراک است.
بسیاری از کاربران به راحتی میتوانند اسم رمز یک منبع را به دیگران بگویند، اما اسم رمز و کلمه عبور شخصی را نمی توان به سادگی به شخص دیگر منتقل کرد پروتکل امنیت در لایه شبکه IPSec پروتکل امنیت در لایه شبکه IPSec مقدمه در پشته پروتکل TCP/IP هر لایه دارای یک یا چند پروتکل می باشد که هر پروتکل وظیفه خاصی را در آن لایه انجام می دهد, بر همین اساس جهت ایجاد امنیت هر لایه بنا به اصول طراحی زیر پروتکلها ، یک یا چند پروتکل امنیتی تعبیه شده است.مطابق اصول طراحی زیر لایه هر لایه وظیفه ای را بر عهده دارد که منحصر بفرد می باشد و در هر لایه نیز هر پروتکل می تواند بنا به قرارداد عملیات خاصی را برعهده بگیرد .بر همین اساس امنیت در لایه شبکه بر عهده IPSec می باشد.
از این پروتکل بطور وسیعی درشبکه های مجازی خصوصی (Virtal Private Network ) VPN برای دفاترمربوط به یک شرکت یا سازمان و اساساً ایجاد ارتباط امن بین دو یا چند سازمان بکار می رود .
امنیت شبکه های مجازی خصوصی((VPN از چند روش امکان پذیر می باشد که عبارت اند از استفاده از دیواره آتش ، IPsec , AAA Server و کپسوله سازی.
اما روش IPsec به علت امن بودن ، پایداری بالا ،ارزان بودن ،انعطاف پذیر بودن و مدیریت بالا، مورد توجه قرار گرفته است.
این پروتکل شامل مباحث : ● سرآیند احراز هویت (Authentication Header(AH) ) :که بحث پیرامون فرمت بسته ها و مسائل عمومی مربوط به استفاده از AH برای احراز هویت بسته می پردازد.
● الگوریتم رمزنگاری (Encryption Algorithm ) :که به نحوی رمزنگاری های مختلف در ESP می پردازد.
● الگوریتم احراز هویت که نحوه استفاده از الگوریتمهای احراز هویت مختلف در ESP , AH (اختیاری) را بیان می دارد.
● مدیریت کلید(Key Management ) :که به مسائل مربوط به مدیریت کلید می پردازد.
● ارتباط بین دامنه ای (Domain of Inter Predation ): یا مطالب مربوط به ارتباط بین قسمت های مختلف مانند شناسه های استفاده شده برای الگوریتم ها و پارامترهایی از قبیل طول عمر کلید.
پروتکل IPSec خود شامل اجزاء تشکیل دهنده قراردادها و نحوی تامل بین آنهاست.
در شکل 1 ارتباط بخشهای مختلف این قرارداد نمایش داده شده است.
شکل 1.معماری پروتکل IPSec و نحوی تامل اجزاء آن در پروتکل IPSecسرویسهای امنیتی در دو قرارداد ESP , AH تدارک دیده شده اند .این سرویسهای امنیتی شامل_ :کنترل دسترسی (Access Control ) ،صحت و درستی (Integrity) ، احراز هویت مبدا داده (Data Origin Authentication ) ، رد بسته های دوباره ارسال شده (Anti Replay ) ، محرمانگی (confidentially) ، محرمانگی جریان ترافیک بصورت محدود_ خواهند بود.
این سرویسها در سه نوع ترکیب IPSec ارتباط فراهم آمده اند: پروتکلهای ESP , AH فقط بصورت رمزنگاری (Encryption) و ESP بصورت Encryption و احراز هویت (Authentication).
IPSec یک پروتکل توسعه یافته روی پروتکل IP است که جهت امنیت IP تهیه شده است.
این پروتکل از دو پروتکل AHوESP برای اطمینان بیشتر روی احراز هویت،تمامیت داده ها(سلامت داده) و محرمانگی استفاده می کند.
این پروتکل می تواند،هم امنیت درلایه شبکه و هم امنیت در پروتکلهای لایه بالاتر در حالت Transport Modeرا برقرار سازد.
این پروتکل از دو حالت Tunnel و Transport جهت اعمال سرویسهای امنیتی استفاده می کنند، یعنی برای امنیت لایه شبکه از حالت mode Tunnel استفاده می کند و برای امنیت لایه های بالاتر از حالت انتقال یا mode Transport استفاده می نماید.
درحالت Tunneling ؛دیتاگرام IP بطور کامل توسط دیتاگرامIP جدیدی کپسوله شده و آنرا برای پروتکل IPSec بکار می برد.
ولی در حالت Transport فقط payload دیتاگرام بوسیله پروتکل IPSec فیلد سرآیند IPSec و سرآیندIP و فیلدهای لایه های بالایی درج (inserting) می شود.مطابق شکل2 این دو حالت به نمایش در آمده است.
شکل 2.
حالت انتقال و تونل مزایای حالت Tunnel این است که آدرسها معمولاً آدرس Gateway هاست که پس از بازگشایی آدرس واقعی بدست می آید و این موضوع از حملات شبکه جلوگیری می کند و مزیت دوم آن است که بسته بیرونی، یک بسته IP همانند بقیه بسته هاست و قابلیت مسیریابی دارد.
در حالت Transport احراز هویت بصورت مستقیم بین Server و سرویس گیرنده (Client)توسط کلید متقارن مشترک انجام میگیرد.
در این حالت که الزاماً دو کامپیوتر در یک LAN قرار ندارند.
اما در حالت Tunnel، سرویس گیرنده هویت خود را به Gateway اثبات می کند.
در هر دو روش هر یک حالت خودشان (Transport mode Manuel mode) را از طریق SA استخراج کرده و مورد استفاده قرار می دهند.
حالت های انتقال و تونل در AH قرارداد AH در بسته IP برای حفاظت ازتمامیت داده های تبادلی دیتاگرام IP ، IPSec از کدهای هَش احراز هویت پیام hash (Hash Message Authentication Code- )و یا با اختصار HMAC استفاده می کند.
برای استفاده از HMAC،پروتکلهای IPSec از الگوریتم های hash ؛SHA برای محاسبات یک hash مبنا روی یک کلید سری(secret key) و محتویات دیتاگرام IP استفاده می کند.
بنابراین این کدهای هش احراز هویت پیام hash هم در سرآیند پروتکل IPSec و هم در پکت های دریافتی که بتواند این کدها را چک نماید که در واقع می تواند به کلید سری دسترسی داشته باشد،قرار می گیرد.
برای ارائه سرویس محرمانگی دیتاگرام IP ،پروتکلهای IPSec از استانداردهای الگوریتم رمزنگاری متقارن (Symmetric Encryption Algorithm ) استفاده می کنند.
IPSec از استانداردهای NULL ، DESاستفاده خواهد کرد.
امروزه معمولاً یکی از الگوریتم های قوی مثل Blowfish , AES,3DES را بکار می برد.
IPSec برای دفاع وحفاظت از تهاجمات داده های تبادلی(Denial of services) ،از روش پنجره اسلایدی sliding windows استفاده می کند.
در این روش هر پکت یک شماره توالی(sequence number) را به خود اختصاص می دهد و اگر عدد آن پکت به همراه یک windowsیا newer درست شده باشد، در این صورت پکت قدیمی بلافاصله دور انداخته (dispatched) می شود(این روش همچنین برای حفاظت از تهاجمات میانه راه پاسخ (The– of- middle Response Attach) نیز دوباره بکار می آید یعنی حفاظت از مهاجمانی که پکت های اصلی را ثبت کرده و بعد از چند لحظه تأخیر و احتمالاً تغییر دادن آن، ارسال می دارند.
برای کپسوله کردن و بازگشائی این یک پکت کپسوله شده ، با استفاده ازروشهای ذخیره سازی، کلیدهای سری،الگوریتم هاIP و آدرسها درگیر در تبادلات اینترنتی را ذخیره نمایند و بکار میگیرد.
همه این پارامترهای مورد نیاز جهت حفاظت دیتاگرامIP درجایی بنام مجمع امنیتی یا SA ها ذخیره می شوند.
این مجمع امنیتی به نوبت در پایگاه داده مجمع امنیتی(security association database ) یا (SAD) ذخیره می شوند.
مجمع امنیتی (SA) دارای سه پارامتر یگانه (یکتا-یکه) است که شامل : 1- شاخص پارامتر امنیت :(Security Parameter Index) این پارامتر 32 بیتی ارزش محلی داشته.
این پارامتربهمراه ESP , HA حمل می شود تا سیستم دریافت کننده بتواند SA مربوط به آن را انتخاب نماید.
2- مشخصه پارامتر امنیت (security Parameter Identifier )SPI :این پارامتر نوع پروتکل امنیتی SA را تعیین می کند، AH یا ESP طبیعتاً این مشخصه بطور همزمان هر دو پروتکل را بهمراه ندارد.
3- آدرس مقصد : IP ، این آدرس اساساً آدرس یک نقطه انتهایی یا یک شبکه (روتر، حفاظ) خواهد بود.
با این تفاصیل، بطور کاملترو ریزتر مجمع امنیتی یا SA شامل اطلاعات و پارامترهای زیر است: 1- آدرس مبداءو مقصد مربوط به سرآیند IPSec.اینها IP آدرسهای پکت های نظیر به نظیر مبداء و مقصد حفاظت شده توسط IPSec می باشند.
2- الگوریتم و کلید سری بکار برده شده در IPSec ( ESP Informationو .AH Informantion) برخی پایگاه ذخیره سازی SA ها،اطلاعات بیشتری را نیز ذخیره می کنند که شامل : 3- حالت های اصلی انتقال بستهIPSec(Transport یاTunnel ) 4- اندازه Sliding windows جهت حفاظت از تهاجمات بازگشتی (replay attach) 5- زمان حیات (life time ) SA ها .فاصله زمانی است که پس از آن SA باید پایان یابد یا باSA جدیدی عوض شود.
6- حالت ویژه پروتکل IPSec که در این پارامتر علاوه بر حالتهای Transport , Tunnel ، حالت wildcard نیز مشخص می شود.
7Sequence Number caurter- که یک پارامتر 32 بیتی که در سرآیند ESP,AH بعنوان فیلد شماره سریال قراردارد.
8sequence caunter cnerflow- یک شمارشگر که سرریز در شماره سریال را ثبت می کند و تعیین اینکه بسته های بعدی SA ارسال شود یا خیر؟
9-Path Maximum Transportation limit یا ماکزیمم بسته ای که در مسیر قابل انتقال است.
از آنجائیکه IP آدرس مبدأ و مقصد توسط خود SA ها تعریف می شوند.
حفاظت از مسیر دو طرفه کامل IPSec بطور مستقیم فقط برای یک طرف امکان پذیر خواهد بود.
برای اینکه بتوانیم حفاظت هر دو طرف را انجام دهیم نیازمند دو مجمع امنیتی غیر مستقیم (indirection ) خواهیم بود.
SA ها فقط چگونگی حفاظت توسط IPSec را تعریف می کنند : اطلاعات مقررات امنیتی راجع به هر پکت در مقررات امنیتی (Security Policy) تعریف شده است که در پایگاه ذخیره کننده مقررات امنیتی (Database Security Policy ) ثبت ونگهداری می شود.
SP یامقررات امنیتی شامل اطلاعات زیر است : 1- آدرس مبدأ و مقصد پکت های حفاظت شده.
در حالت Transport این آدرسها درست همان آدرسهای مبدأ و مقصد SA است.
2- پروتکل و پورت حفاظت شده .
برخی IPSecها اجاره نمی دهند یک پروتکل به خصوص حفاظت شود.
در این حالت تمام تبادلات ارسال و دریافت بین IP آدرسهای ذکر شده حفاظت می شوند.
3- مجمع امنیتی(SA) (Security Associate ) برای حفاظت پکت ها مورد استفاده قرار می گردد.
تنظیم دستی SA ها همواره دچار خطا و بی دقت است.
از سوی دیگر کلید سری و الگوریتم های رمزنگاری مابین همه نقاط شبکه اختصاصی مجازی (VPN) باید به اشتراک گذاشته شود.
به خصوص برای مدیران سیستم , تبادل کلید مسئله بحرانی خواهد کرد.
بطور مثال اینکه چطور می توانیم تشخیص دادهیم هیچ عملیات رمزنگاری انجام نمی شود تا در آن هنگام تبادل کلید متقارن سری انجام گیرد یکی از همین مسائل است.برای حل این مشکل پروتکل تبادل کلید اینترنت (Internet Key Exchange ) پیاده سازی شده است .
این پروتکل احراز هویت، برای نقاط نظیر اولین گام خواهد بود.
دومین گام ایجاد SA و کلید سری متقارن جهت انتخاب و بکارگیری کلی تبادلی دیفن هیلمن(Diffle – Hellman key exchange ) خواهد بود.پروتکلIKE برای اطمینان از محرمانگی بطور دوره ای بدقت کلید سری را دوباره دریافت می دارد.
اولین قدم در جهت تدوین اساس نامه امنیتی، طراحی آن می باشد.
در این مقاله سعی بر این شده است که درباره نحوه تدوین یک اساس نامه امنیتی بحث شود و روشهای عملی آن بیان شده است ...
اجزای اساس نامه امنیتی اشخاص اغلب به اساس نامه امنیتی شرکت ها فقط به عنوان یک سند جداگانه نگاه می کنند.
حتی در اینجا من نیز همین کار را کرده ام.
در حقیقت مانند پروتکل های TCP/IP که از چندین پروتکل تشکیل شده است، اساس نامه امنیتی نیز از چندین سیاست(Policy) به خصوص تشکیل شده است؛ مانند سیاستهای دسترسی بیسیم یا سیاستهای فیلترینگ ترافیک ورودی به شبکه.
مانند روش شناسی های عمومی اساس نامه امنیتی، برای تمامی آنها اجزای عمومی مشترکی وجود دارد.
در این فصل به این اجزا و روش شناسی ها می پردازیم.
از کجا شروع کنیم ؟
همانطور که در قبل نیز اشاره کردیم، اساس نامه امنیتی در اصل تعریف می کند که در کجا هستیم و به کجا می خواهیم برویم.
در اینجا سه قدم وجود دارد که باید با آنها درگیر شویم : طراحی اساس نامه امنیتی پیاده سازی و اجرای اساس نامه امنیتی نظارت و بازبینی اساس نامه امنیتی طراحی اساسنامه امنیتی اولین قدم در جهت تدوین اساس نامه امنیتی، طراحی آن می باشد.
برای تمامی مقاصد و اهداف ما، اولین مرحله از اساس نامه امنیتی فرآیند طراحی آن می باشد.
این کار باید توسط کمیته ای انجام شود که روی تمامی سیاستهای استراتژیک سازمان کار می کنند.
اجزای تشکیل دهنده این کمیته، باید نمایندگانی از تمامی بخش های سازمان شما باشند.
مدیریت های سطوح بالا و میانی سازمان، کاربران محلی و راه دور، منابع شخصی، حقوقی، تیم تکنولوژی اطلاعات (IT) ، تیم امنیتی سازمان و هر کسی که صاحب داده ای می باشد باید در این کمیته حضور داشته باشند.
خواه ما خوشمان بیاید یا نیاید، سیاسی کاری نقش واقعی را در پیشبرد اساس نامه امنیتی بازی می کند.
مطمئن باشید اگر هر کسی در طراحی اساس نامه امنیتی، نظری داشته باشد ، از لحاظ سیاسی راحت تر می تواند آنها را در اجرای هر چه بهتر اساس نامه متقاعد کرد.
طراحی اساس نامه امنیتی ابتدا با مروری بر کلیات شروع می شود و سپس با ریز کردن هر بخش به قواعد اصلی آن می رسیم.
قبل از اینکه شروع به طراحی اساس نامه امنیتی کنید نکته های زیر را در نظر بگیرید : شناسایی منابع بحرانی تجاری : برای مثال شما باید سرور ها و شبکه داده های مالی، منابع انسانی و موقعیت آنها را مشخص کنید.
شناسایی سیاستهای تجاری بحرانی : آیا سیاست های حقوقی عمومی موجودند که شما باید به عنوان منابع خود مشخص می کردید ؟
شناسایی خطراتی که منابع را تهدید می کنند: آیا دسترسی غیر مجاز روی منابع شما وجود دارد؟
چه منابعی می توانند دسترسی ها را روی داده های حساس و وابسته به دیگران ایجاد کنند؟
آیا شما در شبکه بیسیم خود نیاز به امنیت دارید و یا به طور اضافه در دسترسی به نرم افزار و سخت افزار بیسیم خود امنیت لازم دارید؟
تعیین نقش و وظیفه افراد کلیدی سازمان: چه کسی درباره منبعی که توسط اساس نامه امنیتی مشخص شده است پاسخگو می باشد؟
چه کسانی کاربران منابعی می باشند که توسط اساس نامه مشخص شده است ؟
چه انتظاری از مدیران دارید ؟
چه انتظاری از کاربران دارید؟