• از کجا می بایست شروع کرد؟
• به چه صورت می بایست ادامه داد ؟
• دانش لازم برای فعالیت موثر در این عرصه چیست ؟
• موثرترین مسیر برای حرکت در این راه چیست ؟
• رمز موفقیت افرادی که این مسیر را در کوتاه ترین زمان طی نموده اند چیست ؟

در پاسخ به سوالات فوق و سایر مواردی که ممکن است برای علاقه مندان فعالیت در این عرصه مطرح گردد ، می بایست به این نکته مهم اشاره گردد که قطعا” می بایست موارد فراوانی را به صورت اصولی و ساختیافته فراگرفت و متناسب با تغییر در فن آوری های استفاده شده در شبکه های کامپیوتری ،‌ فرآیند یادگیری را بدون وقفه ادامه داد . یادگیری در این عرصه همانند بسیاری از زمینه های دیگر فن آوری اطلاعات و ارتباطات ، فرآیندی مستمر و بدون توقف است . افرادی که در این عرصه گام می نهند ، لازم است پیشاپیش شرایط روحی و جسمی مناسبی را در خود ایجاد و تقویت نمایند .
قطعا” در این مطلب نمی توانیم به تمامی سوالات فوق پاسخ دهیم ولی می توان به مواردی اشاره نمود که می بایست به عنوان یک سیاست کلی یادگیری بر روی آنان متمرکز گردید :

• مدل مرجع OSI : رفتار عناصر نرم افزاری و سخت افزاری موجود در یک شبکه منطبق بر مدل مرجع OSI است . بنابراین لازم است در ابتدا و قبل از هر چیز با این مدل به خوبی آشنا گردید . شناخت و آگاهی از نحوه عملکرد مدل مرجع OSI یکی از موارد حیاتی در دنیای شبکه های کامپیوتری است . اهمیت این موضوع به حدی است که حتی  در برخی موارد برای مستندسازی یک شبکه کامپیوتری نیز از مدل مرجع OSI کمک گرفته می شود .
  

• مفاهیم پروتکل TCP/IP : با توجه به نقش غیرقابل انکار پروتکل ها خصوصا” پروتکل TCP/IP در دنیای شبکه های کامپیوتری ، لازم است با این پروتکل به خوبی آشنا گردید . آشنائی با مفاهیمی همچون نحوه آدرس دهی ، نحوه ایجاد یک آدرس (بخش شبکه و بخش مربوط به host و سایر موارد دیگر  ) ، Subnetting  و gateway  از جمله موارد حیاتی در این زمینه می باشد .
  

• پشته و یا Stacks : در این رابطه لازم است با نحوه پیاده سازی stack بر روی host آشنا گردید . همچنین ، آشنائی با هر یک از عناصر موجود در شبکه ( نظیر کارت شبکه ، درایورهای مربوط به هر یک از دستگاه ها ، سیستم عامل و سایر موارد دیگر ) نیز می بایست در دستور کار قرار گرفته تا اشکال زدائی شبکه با فرآیندی منطقی صورت پذیرد.
  

• لایه دوم :‌ در این رابطه لازم است با نحوه عملکرد سوئیچ و تفاوت آن با هاب و روتر آشنا گردید . شناخت bridge و تفاوت بین یک collision domain و  یک broadcast domain  و در ادامه آشنائی با VLAN  نیز می بایست در دستور کار قرار گیرد .
  

• روتینگ : در این رابطه لازم است با یک پروتکل روتینگ آشنا گردید .  پروتکل RIP به دلیل عدم پیچیدگی فراوان ، گزینه ای مناسب برای شروع است . هدف از آشنائی با پروتکل های روتینگ ، ایجاد بستر و زیرساخت مناسب آموزشی برای آشنائی با نحوه عملکرد روتر است  و این که چگونه دستگاه فوق اطلاعات یک شبکه را در اختیار سایر شبکه ها قرار می دهد. بنابراین لازم نیست به صورت خیلی جدی و عمیق درگیر مفاهیم پیچیده روتینگ و الگوریتم های مربوطه شد .
  

• سرویس ها : سرویس ها در یک شبکه دارای جایگاهی بسیار مهم می باشند و لازم است با نقش سرویس هائی نظیر DNS ,DHCP و WINS آشنا گردید . بدیهی است نصب ، پیکربندی ایمن ، نگهداری و اشکال زدائی سرویس های فوق می بایست در دستور کار قرار گیرد .
  

• استفاده مفید از منابع مرجع شبکه ای : در این رابطه لازم است از منابع مرجع شبکه ای به صورت اصولی استفاده نمود ( سایت whatis.com گزینه ای مناسب برای یافتن برخی از سوالات متداول و یا اصطلاحات پایه در خصوص شبکه های کامپیوتری است ) . پاسخ به سوالات و یا تشخیص و رفع اشکالات احتمالی ، می بایست مبتنی بر رویکردهای کاملا” علمی باشد حتی اگر لازم باشد در ابتدا از واژه ارزشمند ” نمی دانم ” استفاده نمود .
  

• امنیت :‌ ایمن سازی و ایمن نگهداشتن یک شبکه کامپیوتری یکی از مهمترین وظایف مدیران شبکه در عصر حاضر محسوب می گردد. بنابراین لازم است که اطلاعات خود را در زمینه امنیت خصوصا” نحوه عملکرد فایروال ها و سایر تکنولوژی های امنیتی نظیر VPN افزایش داد . همچنین ، آشنائی با authentication ، authorization و accounting و تفاوت بین هر یک از آنان نیز می بایست در دستور کار قرار گیرد.
  

• خروجی : آگاهی از آخرین وضعیت پیکربندی و عملکرد یک دستگاه شبکه ای از جمله اقدامات حیاتی یک مدیر شبکه می باشد . بنابراین لازم است با نحوه دریافت اطلاعات در خصوص وضعیت هر یک از دستگاه های شبکه ای آشنا گردید . مثلا” در ارتباط با روتر و سوئیچ می توان از مجموعه دستورات مختلف show به منظور آگاهی از اطلاعات پیکربندی و نحوه عملکرد آنان استفاده نمود .
  

• آشنائی با نحوه عملکرد برنامه ها و رویه های  درگیر در فرآیند ارتباطی :‌ در این رابطه لازم است از یک  زاویه دیگر و در ابعادی عمیق تر ، حرکت داده ها از یک برنامه به برنامه دیگر بررسی گردد :
  یک برنامه بر اساس چه نوع ساختاری داده مورد نیاز خود را از یک برنامه دریافت می نماید ؟   ( segmented, packetized, framed و یا  routed )
  کامپیوتر چگونه از آدرس MAC یک بسته اطلاعاتی آگاه می گردد ؟  ( ARP )
  نحوه ایجاد یک فریم به چه صورت است ( MTU )
  سوئیچ برای فوروارد کردن یک بسته اطلاعاتی بر روی یکی از پورت های موجود از چه روشی استفاده می نماید ؟  ( FDB )
  چگونه روتر یک اینترفیس را انتخاب می نماید ؟ ( جدول روتینگ )
  و …

موارد فوق ، رویکردهای اساسی به منظور شکل گیری یک سیاست آموزشی برای علاقه مندان فعالیت در عرصه شبکه های کامپیوتری به عنوان مدیر شبکه را ترسیم می نماید . مدیرانی که می بایست علاوه بر افزایش مستمر توانمندی خود ،  قادر به مدیریت پویای سایر منابع انسانی شاغل در مراکز شبکه به منظور نگهداری مطلوب یک شبکه کامپیوتری باشند . آموزش مستمر و هدفمند وجه اشتراک تمامی کارکنان شاغل در یک مرکز شبکه ای است، چراکه مدیریت و راهبری مطلوب یک شبکه کامپیوتری بدون توجه به معیارهای علمی ، امری محال و دور از دسترس خواهد بود  که پیامد آن از دست دادن منابع ارزشمند انسانی و غیرانسانی است .

چرا به کابل های X-over نیاز داریم ؟
در زمان مبادله داده بین دو دستگاه ( مثلا” کامپیوتر ) ، یکی از آنان  به عنوان دریافت کننده و دیگری به عنوان فرستنده ایفای وظیفه می نماید . تمامی عملیات ارسال داده از طریق کابل های شبکه انجام می شود .یک کابل شبکه از چندین رشته سیم دیگر تشکیل می گردد. از برخی رشته  سیم ها به منظور ارسال داده و از برخی دیگر به منظور دریافت داده استفاده می شود. برای ایجاد یک کابل X-over  از رویکرد فوق استفاده شده و  TX ( ارسال ) یک سمت به RX (دریافت ) سمت دیگر، متصل می گردد . شکل زیر نحوه انجام این عملیات را نشان می دهد :

اتصال دو کامپیوتر به یکدیگر با استفاده از یک کابل X-over

کابل CAT5 X-over
به منظور ایجاد کابل های کراس CAT5 صرفا” از یک روش استفاده می گردد. همانگونه که قبلا” اشاره گردید ، یک کابل X-over  پین TX یک سمت را به پین RX سمت دیگر متصل می نماید( و برعکس) . شکل زیر شماره پین های یک کابل CAT5 معمولی X-over را نشان می دهد .

شماره پین های یک کابل  CAT5 X-over .

همانگونه که در شکل فوق مشاهده می گردد در کابل های X-over  صرفا” از پین های شماره یک ، دو ، سه و شش استفاده می گردد . پین های یک و دو بمنزله یک زوج بوده و پین های سه و شش زوج دیگر را تشکیل می دهند . از پین های چهار ، پنج ، هفت و هشت استفاده نمی گردد . ( صرفا” از چهار پین برای ایجاد یک کابل X-over ، استفاده می گردد ) .

موارد استفاده از کابل های X-over
از کابل های X-over صرفا” به منظور اتصال دو کامپیوتر استفاده نمی شود  و می توان از آنان در دستگاه های متفاوتی نظیر سوئیچ  و یا هاب نیز استفاده نمود . در صورتی که  قصد داشته باشیم دو هاب را به یکدیگر متصل نمائیم ، معمولا” از  پورت uplink استفاده می گردد. پورت فوق ، بخش های tx و rx را کراس نمی نماید. شکل زیر نحوه اتصال دو هاب به یکدیگر با استفاده از یک کابل Straight و از طریق پورت Uplink را نشان می دهد :

اتصال دو هاب با استفاده از پورت Uplink و یک کابل Straight

با توجه به وجود پورت uplink ، نیازی به استفاده از  یک کابل x-over نخواهد بود .  در صورتی که امکان استفاده از پورت uplink وجود نداشته باشد و بخواهیم دو هاب را با استفاده از پورت های معمولی به یکدیگر متصل نمائیم ، می توان  از یک کابل X-over استفاده نمود . شکل زیر نحوه اتصال دو هاب به یکدیگر با استفاده از یک کابل X-over را و بدون استفاده از پورت Uplink نشان می دهد :

اتصال دو هاب با استفاده از پورت معمولی و یک کابل X-over

شکل زیر تفاوت موجود بین شماره پین های یک کابل Straight و X-over را نشان می دهد :

تفاوت شماره پین های بین کابل Straight و X-over

ایده های اولیه
ایده مبادله اطلاعات به صورت دیجیتال ، تفکری جدید در عصر حاضر محسوب می گردد. درسال ۱۸۴۴ فردی با نام “ساموئل مورس”   ، یک پیام را  از Washington D.C به Baltimore و با استفاده از اختراع جدید خود (تلگراف)، ارسال نمود . با این که از آن موقع زمانی زیادی گذشته است و ما امروزه شاهد شبکه های کامپیوتری بزرگ و در عین حال پیچیده ای می باشیم ولی می توان ادعا نمود که اصول کار ، همان اصول و مفاهیم گذشته است .
کدهای مورس ، نوع خاصی از سیستم باینری می باشند  که از نقطه و خط فاصله با ترکیبات متفاوت به منظور ارائه حروف و اعداد ، استفاده می نماید . شبکه های مدرن داده از یک و صفر ، استفاده می نمایند . بزگترین تفاوت موجود بین سیستم های مدرن مبادله اطلاعات و سیستم پیشنهادی “مورس ” ، سرعت مبادله اطلاعات در آنان است.تلگراف های اواسط قرن ۱۹ ، قادر به ارسال چهار تا پنج نقطه و یا خط فاصله در هر ثانیه بودند ، در حالی که هم اینک کامپیوترها  با سرعتی معادل یک گیگابیت در ثانیه  با یکدیگر ارتباط برقرار می نمایند (ارسال  ۱،۰۰۰،۰۰۰،۰۰۰ صفر و یا یک در هر ثانیه).
تلگراف و تله تایپ رایتر ، پیشگام  مبادله داده می باشند . در طی سی و پنج سال اخیر همه چیز با سرعت بالا و غیرقابل تصوری تغییر نموده است. ضرورت ارتباط کامپیوترها با یکدیگر و  با سرعت بالا ، مهمترین علل پیاده سازی تجهیزات شبکه ای سریع ، کابل هائی با مشخصات بالا و سخت افزارهای ارتباطی پیشرفته است .

پیاده سازی تکنولوژی های جدید شبکه
اترنت در سال ۱۹۷۰ توسط شرکت زیراکس و در مرکز تحقیقات Palo Alto در کالیفرنیا پیاده سازی گردید . در سال ۱۹۷۹ شرکت های DEC و اینتل با پیوستن به زیراکس ،  سیستم اترنت را برای استفاده عموم ، استاندارد نمودند . اولین مشخصه استاندارد در سال ۱۹۸۰ توسط سه شرکت فوق و با نام Ethernet Blue Book ارائه گردید . ( استاندارد DIX ) .
اترنت یک سیستم ده مگابیت در ثانیه است ( ده میلیون صفر و یا یک در ثانیه)  که از یک کابل کواکسیال بزرگ  به عنوان ستون فقرات و  کابل های کواکسیال کوتاه  در فواصل ۵ / ۲ متر به منظور ایستگاههای کاری استفاده می نماید . کابل کواکسیالی که به عنوان ستون فقرات استفاده می گردد ، Thick Ethernet و یا ۱۰Basee5 نامیده می شود که در آن  ۱۰ به سرعت انتقال اطلاعات در شبکه اشاره داشته ( ۱۰ مگابیت در ثانیه ) و واژه Base نشاندهنده سیستم Base band است . در سیستم فوق ، از تمامی پهنای باند به منظور انتقال اطلاعات استفاده می گردد . در Broad band   به منظور استفاده همزمان ، پهنای باند به کانال های متعددی تقسیم می گردد . عدد ۵ نیز شکل خلاصه شده ای برای نشان دادن حداکثر طول کابلی است که می توان استفاده نمود ( در این مورد خاص ۵۰۰ متر ) .
موسسه IEEE در سال ۱۹۸۳ نسخه رسمی استاندارد اترنت را با نام IEEE 802.3  و در سال ۱۹۸۵ ، نسخه شماره دو را با نام IEEE 802.3a ارائه نمود . این نسخه با نام Thin Ethernet  و یا ۱۰Base2  معروف گردید. ( حداکثر طول کابل ۱۸۵ متر می باشد و عدد ۲ نشاندهنده این موضوع است که طول کابل می تواند تا مرز ۲۰۰ متر نیز برسد )
از سال ۱۹۸۳ تاکنون ، استانداردهای متفاوتی ارائه شده است که یکی از اهداف مهم آنان ، تامین پهنای باند مناسب به منظور انتقال اطلاعات است . ما امروزه شاهد رسیدن به مرز گیگابیت در شبکه های کامپیوتری می باشیم .

کابل های (UTP (Unshielded Twisted Pair
کابل UTP یکی از متداولترین کابل های استفاده شده در شبکه های مخابراتی و کامپیوتری است . از کابل های فوق ، علاوه بر شبکه های کامپیوتری در سیستم های تلفن نیز استفاده می گردد ( CAT1 ). شش نوع کابل UTP  متفاوت وجود داشته که می توان با توجه به نوع شبکه و اهداف مورد نظر از آنان استفاده نمود . کابل CAT5 ، متداولترین نوع کابل UTP محسوب می گردد .

مشخصه های کابل UTP
با توجه به مشخصه های کابل های UTP ، امکان استفاده ، نصب و  توسعه سریع و آسان آنان ، فراهم می آورد . جدول زیر انواع کابل های UTP را نشان می دهد :

توضیحات :

• تقسیم بندی هر یک از گروه های فوق بر اساس نوع کابل مسی و  Jack انجام شده است .

• از کابل های  CAT1 ، به دلیل عدم حمایت ترافیک مناسب،  در شبکه های کامپیوتری استفاده نمی گردد .

• از کابل های گروه   CAT2, CAT3, CAT4, CAT5  و CAT6 در شبکه ها استفاده می گردد .کابل های فوق ،  قادر به حمایت از ترافیک تلفن و شبکه های کامپیوتری می باشند .

• از کابل های CAT2 در شبکه های Token Ring استفاده شده و سرعتی بالغ بر ۴ مگابیت در ثانیه را ارائه می نمایند .

• برای شبکه هائی با سرعت بالا ( یکصد مگا بیت در ثانیه )  از کابل های CAT5 و برای سرعت ده مگابیت در ثانیه از کابل های CAT3 استفاده می گردد.

• در کابل های CAT3 ,CAT4 و CAT5 از چهار زوج کابل مسی استفاده شده است . CAT5  نسبت به CAT3  دارای تعداد بیشتری پیچش در هر اینچ می باشد . بنابراین این نوع از کابل ها سرعت و مسافت بیشتر ی را حمایت می نمایند .

• از کابل های CAT3 و CAT4 در شبکه هایToken Ring استفاده می گردد .

• حداکثر مسافت در  کابل های  CAT3 ، یکصد متر است .

• حداکثر مسافت در کابل های  CAT4 ، دویست متر است .

• کابل CAT6 با هدف استفاده در شبکه های اترنت گیگابیت طراحی شده است . در این رابطه استانداردهائی نیز وجود دارد که امکان انتقال اطلاعات گیگابیت بر روی کابل های CAT5 را فراهم می نماید( CAT5e ) .کابل های CAT6 مشابه کابل های CAT5 بوده ولی بین ۴ زوج کابل آنان از یک جداکننده فیزیکی به منظور کاهش پارازیت های الکترومغناطیسی استفاده شده و سرعتی بالغ بر یکهزار مگابیت در ثانیه را ارائه می نمایند.

VoIP چیست ؟
VoIP ( برگرفته از Voice over internet protocol  ) که با نام IP تلفنی نیز از آن یاد می شود ، امکان استفاده از اینترنت برای مکالمات تلفنی را فراهم می نماید . در مقابل استفاده از خطوط تلفن سنتی ، VoIP از فن آوری دیجیتال استفاده می نماید و نیازمند یک اتصال broadband نظیر DSL است . هم اینک شرکت های متعددی سرویس فوق را در اختیار علاقه مندان قرار می دهند .
متداولترین کاربرد VoIP برای موارد شخصی و استفاده در منازل ، سرویس های تلفنی مبتنی بر اینترنت است که با محوریت یک سوئیچ تلفن انجام می شود . با استفاده از فن آوری فوق ، استفاده کنندگان می توانند همچنان دارای یک شماره تلفن باشند . در چنین مواردی ممکن است از یک آداپتور نیز استفاده گردد. آداپتور فوق این امکان را دراختیار استفاده کننده قرارخواهد داد تا بتوانند از یک تلفن معمولی نیز استفاده نمایند .
در زمان استفاده از سرویس فوق ، مخاطب شما متوجه این موضوع نخواهد شد که شما از فن آوری VoIP استفاده می نمائید و قادر به تشخیص دقیق تفاوت سرویس فوق نسبت به یک تلفن سنتی نمی باشد .

چالش های امنیتی VoIP
با توجه به این که فن آوری VoIP  در ارتباط با اتصال اینترنت است و از آن استفاده می نماید ، مشکلات و مسائل امنیتی در ارتباط با کامپیوتر متصل شده به اینترنت می تواند سرویس فوق را نیز تحت تاثیر قرار دهد. فن آوری VoIP هنوز جوان است و بحث های مختلفی در خصوص ظرفیت ریسیک پذیری آن وجود دارد . مهاجمان ممکن است قادر به انجام فعالیت هائی نظیر قطع مکالمه تلفنی ، استراق سمع ، برنامه ریزی و هدایت حملات مبتنی بر مهندسی اجتماعی با بررسی Caller ID و در نهایت از کار انداختن سرویس فوق باشند .
فعالیت هائی که مستلزم استفاده از حجم بالائی از منابع شبکه است ، نظیر دریافت فایل های حجیم ، بازی های online ، استفاده از محتویات چندرسانه ای ( صوت و تصویر ) ، می تواند سرویس VoIP را تحت تاثیر قرار دهد .
در زمان استفاده از فن آوری VoIP  ممکن با مسائل دیگری که در ارتباط با روتینگ تلفن بر روی اتصال broadband اینترنت است نیز برخورد نمائیم . برخلاف خطوط تلفن سنتی ، که  امکان استفاده از آنان حتی در صوت قطع برق وجود دارد ، سرویس VoIP در چنین مواردی غیرقابل استفاده می گردد و ممکن است مسائل خاصی را برای سیستم های امنیتی منازل و یا دستیابی به شماره تلفن های اضطراری به دنبال داشته باشد .

نحوه حفاطت
در زمان استفاده از سرویس فوق لازم است به موارد زیر توجه گردد :

• بهنگام نگه داشتن نرم افزارها : در صورتی که تولید کنندگان نرم افزار برای سیستم عامل دستگاه مورد نظر نسخه های بهنگام شده ای را ارائه داده اند ، می بایست در اولین فرصت نسبت به نصب آنان اقدام گردد . نسخه های بهنگام شده ممکن است فرآیند بهنگام سازی را در سطح Firmware انجام دهند . با بهنگام سازی نرم افزارهای موجود ، پیشگیری لازم در خصوص برخی حملات برنامه ریزی شده با هدف بهره گیری از نقاط آسیب پذیر  انجام خواهد شد .

• استفاده و بهنگام سازی نرم افزارهای آنتی ویروس : برنامه های ضد ویروس قادر به تشخیص و حفاظت کامپیوتر شما در مقابل ویروس های شناخته شده می باشند. با توجه به این واقعیت که مهاجمان به صورت مستمر  اقدام به نوشتن ویروس های جدید می نمایند ، لازم است که این نوع نرم افزارها همواره بهنگام باشند .

• استفاده از گزینه ها و تنظمیات امنیتی : برخی از ارائه دهندگان سرویس VoIP ،  امکان رمزنگاری اطلاعات را نیز به عنوان یک سرویس دیگر در اختیار مشتریان خود قرار می دهند . در صورت وجود نگرانی در خصوص تعرض به حریم خصوصی خود ، می توان از این ویژگی و سایر گزینه های موجود در این رابطه استفاده نمود .

• نصب و یا فعال نمودن یک فایروال : فایروال ها  با بررسی بسته های اطلاعاتی می توانند یک سطح حفاظتی مناسب در خصوص فیلتر نمودن برخی کدهای مخرب جهت ورود به سیستم شما را انجام دهند . برخی از سیستم های عامل به همراه یک فایروال ارائه می گردند. در چنین مواردی لازم است از فعال بودن آنان اطمینان حاصل نمود .

• بررسی تنظیمات امنیتی : هم کامپیوتر شما و هم تجهیزات و نرم افزارهای ارائه شده جهت استفاده از سرویس VoIP ،‌ امکانات و گزینه های متفاوتی را در اختیار شما قرار می دهند . فعال نمودن برخی گزینه ها ممکن است ضریب آسیب پذیری شما را در مقابل حملات افزایش دهد . بنابراین لازم است گزینه های غیرضروری را غیرفعال نمود . پیشنهاد می گردد  تنظیمات امنیتی به دقت بررسی گردد و صرفا” گزینه هائی انتخاب شود که ضمن تامین اهداف عملیاتی ، باعث افزایش ضریب آسیب پذیری شما نگردد .
  

VoIP چیست ؟
VoIP ( برگرفته از Voice over internet protocol  ) که با نام IP تلفنی نیز از آن یاد می شود ، امکان استفاده از اینترنت به منظور مکالمات تلفنی را فراهم می نماید . در مقابل استفاده از خطوط تلفن سنتی ، VoIP از فن آوری دیجیتال استفاده می نماید و نیازمند یک اتصال broadband نظیر DSL است . هم اینک شرکت های متعددی سرویس فوق را در اختیار علاقه مندان قرار می دهند .
در واقع ، با استفاده از فن آوری VoIP  صدای انسان توسط بسته های اطلاعاتی IP و از طریق اینترنت ارسال می گردد . VoIP می تواند به منظور تامین خواسته فوق از سخت افزارهای شتاب دهنده استفاده نماید و یا از آن در یک محیط مبتنی بر کامپیوترهای شخصی استفاده گردد .

VoIP  چگونه کار می کند ؟
در گذشته ای نه چندان دور ، پیشگامان عرصه های علمی به این نتیجه رسیدند که می توان یک سیگنال را به صورت دیجیتال و در یک مسافت طولانی ارسال نمود . بدین منظور می بایست قبل از ارسال سیگنال ، آن را با استفاده از یک مبدل آنالوگ به دیجیتال(ADC) ، دیجیتال و سپس ارسال و در نقطه پایانی انتقال،با استفاده از یک مبدل دیجیتال به آنالوگ(DAC) مجددا” آن را به آنالوگ تبدیل نمود .
فن آوری VoIP نظیر آنچه اشاره گردید کار می کند . در ابتدا ، صدای دیجیتال شده در بسته های اطلاعاتی قرار می گیرد و پس از ارسال در مقصد مجددا” به صوت تبدیل می گردد. با ذخیره اطلاعات به فرمت دیجیتال می توان بر روی آنان کنترل بهتری را اعمال نمود . مثلا” می توان آنان را فشرده ، مسیر آنان را تعیین و یا آنان را به یک فرمت جدید دیگر تبدیل نمود .
شبکه های مبتنی‌ بر پروتکل TCP/IP از بسته های اطلاعاتی IP تشکیل می گردند که شامل یک هدر ( برای کنترل ارتباطات ) و یک paylaod به منظور مبادله داده می باشند . فن آوری VoIP از بسته های اطلاعاتی IP به منظور حرکت در شبکه و رسیدن به مقصد نهائی استفاده می نماید .

مزایای استفاده از VoIP نسبت به PSTN
در زمان استفاده از خطوط PSTN ، کاربران عملا” هزینه زمان استفاده شده توسط شرکتی که  مدیریت خط PSTN را  برعهده دارد ،‌ پرداخت می نمایند و هر اندازه که بیشتر با تلفن صحبت نمایند هزینه بیشتری را نیز می بایست پرداخت نمایند. علاوه بر این ، نمی توان بطور همزمان با بیش از یک شخص گفتگو نمود .
در فن آوری VoIP می توان هر زمان و با هر شخص گفتگو نمود . کافی است که در آن مقطع زمانی سایر افرادی که شما می خواهید با آنان گفتگو نمائید نیز به اینترنت متصل شده باشند .  مکالمه برقرار شده تا زمان دلخواه ( مستقل از هزینه های مربوطه ) می تواند ادامه یابد. علاوه بر این ، می توان در یک زمان با چندین نفر گفتگو نمود . در زمان گفتگو با سایر افراد و بطور همزمان می توان با آنان داده ئی ( نظیر تصاویر ، نمودارها و تصاویر ویدیوئی )  را نیز مبادله نمود .

چرا تاکنون از این فن آوری در ابعاد گسترده ای استفاده نشده است ؟
در این بخش لازم است به برخی مسائل حاصل از  ائتلاف بین معماری VoIP و اینترنت اشاره گردد. مبادله داده صوتی می بایست به صورت بلادرنگ و بدون توقف انجام گردد و این موضوع  با معماری نامتجانس اینترنت که ممکن است از تعدادی روتر ( ماشین هائی که مسیریابی بسته های اطلاعاتی را انجام می دهند ) به منظور مسیریابی بسته های اطلاعاتی استفاده نماید، همخوانی نداشته و می تواند باعث بروز مسائل خاصی نظیر افزایش زمان RTT ( برگرفته Round Trip Time ) گردد . بنابراین ، می بایست با اعمال تغییرات لازم و بکارگیری فن آوری های دیگر ، زمینه استفاده موثر از فن آوری VoIP  را فراهم نمود .

نحوه ایجاد یک اتصال VoIP
برای ایجاد یک ارتباط مبتنی بر VoIP ،‌ می بایست مراحل زیر را دنبال نمود ( تمامی مراحل می بایست به صورت بلادرنگ انجام گردد).

• تبدیل سیگنال آنالوگ به دیجیتال : تبدیل سیگنال صوتی آنالوگ به سیگنال دیجیتال ( مجموعه ای از صفر و یک ) توسط یک مبدل آنالوگ به دیجیتال ( ADC )

• فشرده سازی سیگنال دیجیتال :  پس از تبدیل سیگنال صوتی به دیجیتال ، بیت های موجود می بایست بر اساس یک فرمت مناسب فشرده تا آماده ارسال گردند . در این رابطه از پروتکل های متعددی استفاده می گردد .  PCM و استاندارد   ITU-T G.711 نمونه هائی در این زمینه می باشند .

• استفاده از یک پروتکل بلادرنگ : در این مرحله ، بسته های صوتی در بسته های اطلاعاتی و با استفاده از یک پروتکل بلادرنگ ( عموما” RTP بر روی UDP  ) قرار می گیرند.

• استفاده از یک پروتکل سیگنالینگ : در این مرحله لازم است از یک پروتکل سیگنالینگ به منظور فراخوانی کاربر استفاده گردد . پروتکل ITU-T H323 نمونه ای دراین زمینه می باشد .

• تبدیل سیگنال دیجیتال به آنالوگ : در سمت گیرنده ، می بایست بسته های اطلاعاتی  از یکدیگر مجزاء ، داده ها استخراج و به سیگنال های صوتی آنالوگ تبدیل و  در نهایت برای کارت صدا  و یا تلفن ارسال گردند .

دربخش دوم به بررسی چالش های امنیتی فن آوری VoIP خواهیم پرداخت .

RADIUS و سرویس دهنده IAS
با استفاده از پروتکل RADIUS  می توان دستگاهی نظیر یک NAS را بگونه ای پیکربندی نمود تا یک کاربر را برای‌ استفاده از یک سرویس خاص تائید نماید . به عنوان نمونه ، یک ISP می بایست کاربر یک پورت شبکه dial-in  را تائید نماید تا این اطمینان ایجاد گردد که وی مجاز به استفاده از پورت مورد نظر می باشد . در چنین مواردی لازم است که NAS اطلاعات مورد نیاز برای این ارتباط را دریافت نماید . اطلاعات فوق توسط یک سرویس دهنده RADIUS در اختیار وی گذاشته می شود . پس از ایجاد ارتباط ، دستگاه NAS ممکن است در صورت نیاز اطلاعات accounting را به منظور اهداف مالی و شارژ کاربر تامین و ارائه نماید .
شکل ۱ نحوه تعامل بین یک سرویس گیرنده RADIUS ( نظیر یک دستگاه NAS ) و یک سرویس دهنده RADIUS ( نظیر Internet Authentication Service ) را نشان می دهد .

شکل ۱ : نحوه ارتباط بین یک سرویس دهنده و سرویس گیرنده RADIUS

به منظور حمایت از معماری های پیچیده تر شبکه ، می توان از یک RADIUS Proxy استفاده نمود که اطلاعات RADIUS را از یک سرویس گیرنده RADIUS دریافت و  آن را برای یک سرویس دهنده RADIUS رله می نماید . پاسخ سرویس دهنده RADIUS از طریق RADIUS proxy ارسال می گردد .در چنین مواردی اطلاعات مربوط به تائید و مجوزها می تواند با استفاده از یک RADIUS proxy  ارسال گردد .
شکل ۲ نحوه عملکرد RADIUS proxy را نشان می دهد .

شکل ۲ : نحوه عملکرد RADIUS proxy

در ویندوز ۲۰۰۳ ( نسخه های سرویس دهنده ) ، IAS ( برگرفته شده از  Internet Authentication Service ) مطابق استاندارد تعریف شده در  RFC 2865 و RFC 2866 به عنوان یک سرویس دهنده RADIUS و پراکسی پیاده سازی شده است . در نسخه های سرویس دهنده ویندوز ۲۰۰۰ ، شرکت مایکروسافت صرفا” ویژگی سرویس دهنده RADIUS را پیاده سازی کرده بود . علاوه بر این ، در نسخه های سرویس دهنده ویندوز ۲۰۰۳ که بر روی آنها سرویس RRAS ( برگرفته شده از  Routing and Remote Access service) اجراء شده است را می توان به عنوان یک سرویس گیرنده RADIUS پیکربندی کرد . بدین ترتیب امکان تائید سرویس گیرندگان dial-in و یا VPN ( برگرفته شده از  Virtual Private Networks ) از طریق یک سرویس دهنده RADIUS فراهم می گردد .
عناصر سرویس دهنده RADIUS در IAS  قادر به تائید درخواست های سرویس گیرندگان RADIUS از طریق یک بانک اطلاعاتی محلی و یا اکتیو دایرکتوری می باشند . IAS جزئیات اطلاعات accounting ارائه شده توسط سرویس گیرنده RADIUS را در یک فایل متن و یا یک بانک اطلاعاتی رابطه ای ذخیره می نماید . ویژگی RADIUS proxy تعبیه شده در IAS  قادر به ارسال پیام های تائید و accounting برای سایر سرویس دهندگان RADIUS  می باشد .
پیکربندی IAS را می توان بگونه ای انجام داد که وی قادر به انجام فرآیند تائید و عملیات مربوط به accounting باشد . همچنین می توان سرویس گیرندگان RADIUS و یا RADIUS Proxy را به منظور استفاده از سرویس دهندگان اضافی پیکربندی نمود .
IAS امکان دستیابی به اطلاعات accounting کاربران ، نگهداری شده بر روی سرویس دهنده IAS و یا یک کنترل کننده domain  را دارد ( در صورتی که سرویس دهنده IAS  عضوی از یک domain  باشد ).
تراکنش های دستیابی و accounting بین سرویس گیرنده و سرویس دهنده با استفاده از یک رمز محرمانه به اشتراک گذاشته شده صورت می پذیرد . رمز فوق هرگز بر روی شبکه ارسال نخواهد شد و از آن به همراه فیلد تائید کننده و به منظور ارائه یک سطح امنیتی مناسب بر روی پیام های RADIUS  استفاده می گردد . در صورت نیاز به یک سطح بالاتر امنیتی ، سرویس دهنده و سرویس گیرنده RADIUS می توانند از IPSec برای رمزنگاری پیام  های RADIUS استفاده نمایند ( این موضوع خارج از حوزه پروتکل RADIUS می باشد ) .

اسکریپت زیر به خوبی این کار را برای شما انجام می دهد , این اسکریپت نام یا آی پی کامپیوتر , کد کاربری , کلمه عبور و دامین را می پرسد.

Const wbemImpersonationLevelImpersonate = 3
Const wbemAuthenticationLevelPktPrivacy = 6
Const ENABLE_CONNECTIONS = 1
Const DISABLE_CONNECTIONS = 0

strComputer = InputBox(“Target Computer”, “Enable Remote Desktop”, default, 100, 100)
If strComputer=”" Then
WScript.Echo “Terminated due to missing parameter.”
WScript.Quit
End If
strDomain = InputBox (“Domain”, “Enable Remote Desktop”, default, 100, 100)
If strDomain=”" Then
WScript.Echo “Terminated due to missing parameter.”
WScript.Quit
End If
strUser = InputBox (“Username”, “Enable Remote Desktop”, default, 100, 100)
If strUser=”" Then
WScript.Echo “Terminated due to missing parameter.”
WScript.Quit
End If
strPass = InputBox (“Password”, “Enable Remote Desktop”, default, 100, 100)
If strPass=”" Then
WScript.Echo “Terminated due to missing parameter.”
WScript.Quit
End If

strNameSpace = “root\cimv2″
strClass = “Win32_TerminalServiceSetting”

Set objSWbemLocator = CreateObject(“WbemScripting.SWbemLocator”)
Set objSWbemServices = objSWbemLocator.ConnectServer _
(strComputer, strNameSpace, strUser, strPass)

objSWbemServices.Security_.ImpersonationLevel =wbemImpersonationLevelImpersonate
objSWbemServices.Security_.AuthenticationLevel =wbemAuthenticationLevelPktPrivacy

Set objGroup = GetObject(“WinNT://” & strComputer & “/Remote Desktop Users”)
Set objNTProvider = GetObject(“WinNT:”)
Set objUser = objNTProvider.OpenDSObject(“WinNT://” &strDomain& “/” &strUser& “”,lcladmin,lcladminpass,1)
objGroup.Add(objUser.ADsPath)

Set colClass = objSWbemServices.ExecQuery(“Select * from ” & strClass)
For Each objTing in colClass
errAngivelse = objTing.SetAllowTSConnections(ENABLE_CONNECTIONS)
Next

If errAngivelse = 0 THEN
Call MsgBox (“Succesfully enabled on ” & strComputer & “.    “, ۶۴, “Enable Remote Desktop”)
Else
Call MsgBox (“Could not enable on ” & strComputer & “.    “, ۶۴, “Enable Remote Desktop”)
End If

موفق باشید

توسط وی بی اسکریپت زیر می توانید ریموت کامپیوتر مورد نظر را فعال کنید.

strComputer = InputBox (“Enter Machine Name”)

Set objWMIService = GetObject(“winmgmts:{impersonationLevel=impersonate}!\\” & strComputer & “\root\cimv2″)

Set colTSSettings = objWMIService.InstancesOf(“Win32_TerminalServiceSetting”)

For Each colTS in colTSSettings

colTS.SetAllowTSConnections(1)

Wscript.Echo UCase(strComputer) & ” Remote Desktop Is Now Enabled”

Next

لازم به ذکر است که شما باید به کامیپوتر مورد نظر دسترسی admin داشته باشید

سیستم های عامل در معرض تهدید
تقریبا” تمامی سیستم های یونیکس و لینوکس بهمراه یک نسخه از NFS و NIS ارائه می گردند. سرویس های فوق،  بصورت پیش فرض فعال می باشند .

نحوه تشخیص آسیب پذیری سیستم
بمنظور تشخیص آسیب پدیری سیستم در رابطه با سرویس های NIS و NFS موارد زیر پیشنهاد می گردد :

• بررسی و اطمینان از نصب آخرین Patch ارائه شده توسط تولید کننده . تمامی نسخه هائی که بهنگام نشده و یا آخرین Patch موجود بر روی آنان نصب نشده باشد در معرض تهدید و آسیب قرار خواهند داشت . در اکثر نسخه ها  با استفاده از دستور rpc.mountd -version  می توان از شماره نسخه NFS  نصب شده آگاهی یافت . بمنظور آگاهی از شماره نسخه NIS  می توان از دستور  ypserv -version   استفاده نمود ( دستور فوق شماره نسخه NFS را نیز نمایش خواهد داد ) .
• بمنظور تشخیص آسیب پذیری نرم افزار، می توان  از یک پویشگر نقاط آسیب پذیر بهنگام شده بصورت مستمر استفاده تا بررسی لازم در خصوص ضعف های جدید صورت پذیرد.

بمنظور برخورد با عدم پیکربندی مناسب NIS موارد زیر پیشنهاد می گردد :

• اطمینان از عدم نگهداری Root Password در یک NIS map
• سازگاری رمزهای عبور تعریف شده با سیاست های امنیتی موجود. در این راستا می توان از یک برنامه Cracker  بمنظور بررسی استحکام رمزهای عبور تعریف شده،استفاده نمود.

بمنظور برخورد با عدم پیکربندی مناسب NFS موارد زیر پیشنهاد می گردد :

• بررس لازم در خصوص بهنگام بودن میزبانان ، netgroups و مجوزها در فایل etc \ exports \ .
• اجرای دستور Showmount e بمنظور مشاهده عناصر export شده و بررسی سازگاری آنان با سیاست های امنیتی .

نحوه حفاظت در مقابل نقطه آسیب پذیر
موارد زیر در ارتباط با پیکربندی NIS ، پیشنهاد می گردد:

• مشخص نمودن صریح سرویس دهندگان NIS  بر روی سرویس گیرندگان ( پیشگیری لازم در خصوص  تظاهر سایر سیستم ها بعنوان یک سرویس دهنده NIS ) .
• در زمان ایجاد فایل های DBM ، ویژگی YP_SECURE  فعال گردد . بدین ترتیب ،سرویس دهنده صرفا” به درخواست های ارسالی توسط یک سرویس گیرنده و از طریق پورت های مجاز ، پاسخ خواهد بود . در این رابطه می توان از سوئئچ S بهمراه دستور makedbm استفاده نمود .
• درج میزبانان مورداعتماد و شبکه ها در var/yp/securenets / که توسط پردازه های  ypserv و  ypxfrd  استفاده می گردد.
• درج    ::: ۰:۰ : * :+   در password map بر روی سرویس گیرندگان NFS

موارد  زیر در ارتباط با پیکربندی NFS  پیشنهاد می گردد:

• استفاده از آدرس های عددی IP و یا FQDN) fully qualified domain names)  در مقابل اسامی مستعار (زمانیکه به سرویس گیرندگان در فایل etc / exports اجازه داده می شود) .

• بمنظوربررسی پیکربندی سیستم می توان از برنامه ای با نام NFSBug ، استفاده نمود.برنامه فوق امکانات متنوعی را بمنظور تست پیکربندی سیستم ارائه می نماید . برای دریافت برنامه NFSBug ، می توان از آدرس ftp://coast.cs.purdue.edu/pub/tools/unix/nfsbug استفاده نمود .

• اسفاده از فایل etc\exports بمنظور اعمال محدودیت در رابطه با دستیابی به سیستم فایل NFS با افزودن  پارامترهای زیر :
  - ممانعت کاربران معمولی از mounting یک سیستم فایل NFS با افزودن یک پارامتر ایمن پس از آدرس IP و یا نام Domain مربوط به سرویس گیرنده NFS .
  مثلا” : ( home 10.20.1.25(secure /
  - export نمودن سیستم فایل NFS با مجوزهای مناسب .عملیات فوق را می توان با افزودن مجوزهای لازم ( ro برای فقط خواندنی و یا rw برای خواندن و نوشتن ) پس از آدرس IP مربوط به نام domain  سرویس گیرنده NFS  در فایل etc\export  انجام داد.
  مثلا” : ( home 10.20.1.25(ro /  .
  - در صورت امکان ، از پارامتر root_squash  بعد از آدرس IP و نام Domain مربوط به سرویس گیرنده NFS استفاده گردد . در صورتیکه پارامتر فوق فعال شده باشد ،  superuser ID root  بر روی سرویس گیرنده NFS با کاربر ID nobody  در سرویس دهنده NFS جایگزین می گردد. بدین ترتیب root user  بر روی سرویس گیرنده ، قادر به دستیابی و یا تغییر فایل ها  بر روی root نخواهند بود.
  مثلا” : ( home 10.20.1.25(root_squash / .

• بر روی سیستم عامل سولاریس ، مانیتورینگ پورت فعال گردد. عملیات فوق را می توان با افزودن  Line set nfssrv:nfs_portmon = 1  در فایل etc/system / ، انجام داد .

موارد زیر در  ارتباط با NFS و NIS  پیشنهاد می گردد :

• بازنگری و بررسی  سیاست های فایروال بمنظور اطمینان از بلاک شدن تمامی پورت های غیر ضروری(  مثلا” پورت ۱۱۱ ( portmap ) و پورت ۲۰۴۹ ( Rpc.nfsd ) ) .امکان دستیابی به سرویس دهندگان NFS و NIS ، می بایست صرفا” از طریق سرویس گیرندگان مجاز انجام شود.

• بررسی لازم در خصوص استفاده از NFS بر روی یک پروتکل ایمن نظیر SSH . در این رابطه می توان از آدرس  http://www.math.ualberta.ca/imaging/snfs/ استفاده نمود .

• نصب تمامی patch های ارائه شده توسط تولید کنندگان و یا ارتقاء  سرویس دهندگان NIS و  NFS به آخرین نسخه موجود. برای آگاهی از اطلاعات  مربوط به نصب و  پیکربندی یونیکس با لحاظ نمودن مسائل امنیتی مضاعف ، می توان از آدرس UNIX Security Checklist استفاده نمود.

• غیر فعال نمودن NFS و NIS مربوط به deamons بر روی سیستم هائی که مختص یک سرویس دهنده NFS و یا NIS طراحی و تائید نشده اند . بمنظور پیشگیری لازم در اینخصوص می توان سرویس های  NIS و یا NFS ( و یا هر دو آنان ) را  از روی سیستم حذف نمود.

دهمین نقطه آسیب پذیر : ( Open Secure Sockets Layer (SSL
کتابخانه OpenSSL ( بصورت Open source است ) ، نرم افزاری رایج  بمنظور افزدون امنیت رمزنگاری به برنامه ها ئی است که از طریق شبکه با یکدیگر ارتباط برقرار می نمایند .سرویس دهنده  آپاچی ، مهمترین وشناخته ترین برنامه استفاده کننده از  پکیج فوق می باشد ( بمنظور حمایـت از  hhtps ، ارتباط بر روی پورت ۴۴۳ ) . برنامه های متعدد دیگر با انجام برخی تغییرات ، استفاده از  OpenSSL بمنظور افزایش امنیـت اطلاعات مبادله شده در یک شبکه را در دستور کار خود قرار داده اند .
برنامه های متعددی بمنظور ارائه امنیت رمزنگاری در ارتباط با یک Connection از OpenSSL استفاده می نمایند . مهاجمان در اغلب موارد در مقابل هدف قرار دادن مستقیم OpenSSL ، برنامه هائی را برای حملات خود انتخاب می نمایند که از OpenSSL  استفاده می نمایند . یکی از اهداف مهاجمین در این رابطه ، سرویس دهنده آپاچی است که از OpenSSL استفاده می نماید . برنامه هائی دیگر نظیر: mail ، openldap,CUPS     که از OpenSSL استفاده می نمایند نیز در معرض تهاجم قرار خواهند داشت .
OpenSSL دارای نقاط آسیب پذیر متعددی بوده که می توان به چهار نمونه مهم آنان اشاره نمود :   مورد اول ، مورد دوم ، مورد سوم ، مورد چهارم . مهاجمان با  استفاده از نقاط آسیب پذیر فوق، قادر به اجرای کد دلخواه بعنوان کاربر کتابخانه OpenSSL می باشند.

سیستم های عامل در معرض تهدید
هر یک از سیستم های یونیکس و یا لینوکس که بر روی آنان نخسه OpenSSL 0.9.7 و یا  قبل از آن اجراء می گردد، در معرض این آسیب قرار خواهند داشت .

نحوه تشخیص آسیب پذیری سیستم
در صورتیکه نسخه version 0.9.7a و یا قبل از آن  نصب شده باشد ، سیستم در معرض تهدید و آسیب قرار خواهد داشت . در این رابطه می توان از دستور OpenSSL version ، بمنظور آگاهی از شماره نسخه نرم افزار نصب شده ، استفاده نمود.

نحوه حفاظت در مقابل نقطه آسیب پذیر
بمنظور حفاظت در مقابل نقطه آسیب پذیر فوق ، موارد زیر پیشنهاد می گردد :

• ارتقاء به آخرین و جدیدترین نسخه OpenSSL . در صورتیکه OpenSSL بهمراه سیستم عامل نصب شده است ، از تولیدکننده سیستم عامل مربوطه می بایست آخرین نسخه مربوطه را  دریافت و آن را  بر روی سیستم  نصب نمود.
• در صورت امکان ، از ipfilter و سایر ابزارهای موجود در این زمینه  بمنظور اعمال محدودیت در رابطه با  سیستم هائی که می بایست به سرویس دهنده  OpenSSL متصل گردند ،استفاده شود .

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش اول )

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش دوم )

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش سوم )

مهمترین نقاط آسیب پذیر یونیکس و لینوکس ( بخش چهارم )