دسته بندی | کامپیوتر و IT |
فرمت فایل | doc |
حجم فایل | 156 کیلو بایت |
تعداد صفحات فایل | 51 |
فهرست مطالب:
1 رمزنگاری................................................................................ 3
١-1 - معرفیواصطلاحات............................................................... 4
1-٢ - الگوریتمها............................................................................. 6
2-سیستم های کلیدی متقارن.............................................................. 7........
3- سیستم های کلیدی نا متقارن......................................................... 11
4-کلیدهادررمزنگاری................................................................... 15
4-1 (Secret keys)- ١- کلیدهایمحرمانه................................................ 16
4-2 (Public and private keys)٢- کلیدهایعمومیواختصاصی................ 16
4-3 (Master keys and derived keys) ٣- کلیدهایاصلیوکلیدهایمشتقشد17............
4-4 (Key-encrypting keys) ۴- کلیدهایرمزکنندهکلید.............................. 18
4-5 (Session keys) ۵- کلیدهاینشست.................................................. 19
5- شکستنکلیدهایرمزنگاری.......................................................... 20
5-1 چهطولکلیدیدررمزنگاریمناسباست؟..................................... 21
5-2 الگوریتمهایمتقارن................................................................. 21
5-3 الگوریتمهاینامتقارن............................................................... 23
6- توضیحاتیدرموردالگوریتمMD5 .............................................. 24
6- 1-خلاصه:................................................................................ 25
6-2- شرایطونکاتلازم:................................................................. 26........
6- ٣-- توضیحاتالگوریتم MD5...................................................... 27
6- 4گام١- اضافهکردنبیتهاینرمکننده:............................................... 28
6-5 -گام٢- افزایشطول:............................................................... 28
6-6 - گام٣- یینبافربرایMD5....................................................... 29
6-7- گام۴- پردازشپیامدربلاکهای١۶کلمهای:.................................. 29
6-8- گام۵- خروجی:...................................................................... 32
7-آشنایی با پرو تکل SSL و عملکرد آن............................................... 34
7-1-» SSLچیست ؟......................................................................... 35
7-2ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL................................. 37
7-3-مکانیزم های تشکیل دهنده SSL:....................................................... 37
7-3-1تایید هویت سرویس دهنده............................................................. 37
7-3- ٢- تایید هویت سرویس گیرنده......................................................... 38
7-3-3-ارتباطات رمز شده..................................................................... 38
7-4 اجزاء پروتکل SSL....................................................................... 38
7-4-1 SSL Record Protoco................................................................. 39
7-4-2 SSL Handshake Protoco............................................................ 39
7-5 مزایای بخش بندی پروتکل SSL به دو زیر پروتکل................................ 39
7-6 الگوریتم های رمز نگاری پشتیبانی شده در SSL.................................... 39
7-7 نحوه عملکرد داخلی پروتکل SSL...................................................... 40
7-8 حملات تاثیر گذار بر SSL............................................................... 43
7-9امنیت اس اس ال (SSL) .............................................................. 43
7-9-1» نمایش قفل امنیت SSL:............................................................. 43
8-امنیت شبکه.................................................................................. 44
9- پیوست ها :.................................................................................. 49
9 -1 – ضمیمه 1 (کد و شکل برنامه)..................................................... 50
10- منابع:....................................................................................... 58
مقدمه
آنچه که در متن می خوانید :
در ادامه شما با نحوه عملکرد هر بخش از برنامه آشنا خواهید شد . توضیحات به همراه شکل ارائه شده است تا شما را در درک بهتر یاری نماید .
هدف از طراحی برنامه :
1-امکان مکالمه متنی بین مشتری های یک شبکه محلی
۲-به حد اقل رساندن بر شبکه ( تبادل حد اقل اطلاعات بین خطوط شبکه)
۳-استفاده از آلگوریتم های رمز گذری و رمزگشای جهتِ جلو گیری از نفوذ هکر ها
۴-عدم استفاده از بانک اطلاعات
توضیح مختصر :
این برنامه برای کاربری های زیر طراحی شده است :
1 –ارتباط بین اعضای یک شبکه توسط متن برای جلوگیری از رفت و آمد های اضافی در محیط سایت
۲-امکان ارسال فایل بدون به اشتراک گذشتن فایل های مشتری
چکیده:
به علت نیاز کاربران یک شبکه برای تبادل اطلاعات به صورت الکترونیکی نرم افزار های مختلفی در بازار من جمله نرم افزار out look وجود دارد لزوم استفاده از این نو ارتباط کاهش رفت آمدهای کاربران در یک سایت و یا حتی طبقات یک ساختمان میشود.در این میان مسالی چون صورت،امنیت و قابلیت اطمینان بسیارهاءزاهمیت است .منظور از صورت در شبکه های کامپیوترحد اقل سازی حجیم اطلاعات مراوده شده می باشدقابلیت اطمینان از این نظر هاءزاهمیت است که پیام ها با کمترین خطا به مقصد ارسال شوند.در امنیت که بحث اصلی این پروژه می باشد با الگوریتم های مختلف رمز گزاری آشنا میشویم تا از نفوذ هکرها جلوگیری شود.
رمزنگاری
١-1 - معرفیواصطلاحات
رمزنگاریعلمکدهاورمزهاست . یکهنرقدیمیاستوبرایقرنهابمنظورمحافظتازپیغامهاییکهبین فرماندهان،جاسوسان،عشاقودیگرانردوبدلمیشده،استفادهشدهاستتاپیغامهایآنهامحرمانهبماند.
هنگامیکهباامنیتدیتاسروکارداریم،نیازبهاثباتهویتفرستندهوگیرندهپیغامداریمودرضمنبایدازعدم تغییرمحتوایپیغاممطمئنشویم . اینسهموضوعیعنیمحرمانگی،تصدیقهویتوجامعیتدرقلبامنیت ارتباطاتدیتایمدرنقراردارندومیتوانندازرمزنگاریاستفادهکنند.
اغلباینمسالهبایدتضمینشودکهیکپیغامفقطمیتواندتوسطکسانیخواندهشودکهپیغامبرایآنهاارسال شدهاستودیگرانایناجازهراندارند . روشیکهتامینکنندهاینمسالهباشد "رمزنگاری" نامدارد. رمزنگاریهنر نوشتنبصورترمزاستبطوریکههیچکسبغیرازدریافتکنندهموردنظرنتواندمحتوایپیغامرابخواند.
رمزنگاریمخففهاواصطلاحاتمخصوصبهخودرادارد . برایدرکعمیقتربهمقداریازدانشریاضیاتنیازاست.
شناختهمیشود)،آنرابااستفادهازیککلید (رشتهایمحدوداز plaintext برایمحافظتازدیتایاصلی ( کهبعنوان بیتها) بصورترمزدرمیآوریمتاکسیکهدیتایحاصلهرامیخواندقادربهدرکآننباشد . دیتایرمزشده (که شناختهمیشود) بصورتیکسریبیمعنیازبیتهابدونداشتنرابطهمشخصیبادیتای ciphertext بعنوان اصلیبنظرمیرسد. برایحصولمتناولیهدریافتکنندهآنرارمزگشاییمیکند. یکشخصثالت (مثلایکهکر ) نوشتهرمزکشفیابد،دستاصلیدیتایبهکلیددانستنبدوناینکهبرایتواند )s(cryptanalysi . میکند بخاطرداشتنوجوداینشخصثالثبسیارمهماست.
رمزنگاریدوجزءاصلیدارد،یکالگوریتمویککلید . الگوریتمیکمبدلیافرمولریاضیاست . تعدادکمیالگوریتمقدرتمندوجودداردکهبیشترآنهابعنواناستانداردهایامقالاتریاضیمنتشرشدهاند. کلید،یکرشتهازارقامدودویی (صفرویک ) استکهبخودیخودبیمعنیاست . رمزنگاریمدرنفرضمیکندکهالگوریتمشناختهشدهIrcert.com P30World.com
Ircert.com P30World.com استیامیتواندکشفشود . کلیداستکهبایدمخفینگاهداشتهشودوکلیداستکهدرهرمرحلهپیادهسازیتغییرمیکند. رمزگشاییممکناستازهمانجفتالگوریتموکلیدیاجفتمتفاوتیاستفادهکند.شناختهمیشود. بصورت scrambling دیتایاولیهاغلبقبلازرمزشدنبازچینیمیشود؛اینعملعمومابعنوانتر، nfunctio hash مشخصشدهمشخصپیشازطولبهد(اشبداشتهایاندازههرتواندمیکه) اردیتاازبلوکیهاازتواند evalu hashed شودبازسازی . Hash function کاهشمیدهد. البتهدیتایاولیهنمیبخشیعنواناغلبها
ازیکسیستمتاییدهویتموردنیازهستند؛خلاصهایازپیام (شاملمهمترینقسمتهامانندشمارهپیام،تاریخوو hhas ساعت،ونواحیمهمدیتا) قبلازرمزنگاریخودپیام،ساخته
میشود.
یکالگوریتمثابتباتولیدیکامضاءبررویپیامبا MAC یا (Message Authentication Check) یکچکتاییدپیاماستفادهازیککلیدمتقارناست . هدفآننشاندادناینمطلباستکهپیامبینارسالودریافتتغییرنکردهاست. هنگامیکهرمزنگاریتوسطکلیدعمومیبرایتاییدهویتفرستندهپیاماستفادهمیایجادبهمنجرشود،میشود. (digital signature) امضایدیجیتال
1-٢ - الگوریتمها
طراحیالگوریتمهایرمزنگاریمقولهایبرایمتخصصانریاضیاست . طراحانسیستمهاییکهدرآنهاازرمزنگاریاستفادهمیشود،بایدازنقاطقوتوضعفالگوریتمهایموجودمطلعباشندوبرایتعیینالگوریتممناسبقدرتدراواخردهه٠۴واوایلدهه٠۵ (Shannon) تصمیمگیریداشتهباشند . اگرچهرمزنگاریازاولینکارهایشانونبشدتپیشرفتکردهاست،اماکشفرمزنیزپابهپایرمزنگاریبهپیشآمدهاستوالگوریتمهایکمیهنوزباگذشتزمانارزشخودراحفظکردهاند. بنابراینتعدادالگوریتمهایاستفادهشدهدرسیستمهایکامپیوتریعملیودرسیستمهایبرپایهکارتهوشمندبسیارکماست.
سیستمهای کلیدی متقارن
یکالگوریتممتقارنازیککلیدبرایرمزنگاریورمزگشاییاستفادهمیکند. بیشترینشکلاستفادهازرمزنگاری DEA یا data encryption algorithm کهدرکارتهایهوشمندوالبتهدربیشترسیستمهایامنیتاطلاعاتوجوددارد
یکمحصولدولتایالاتمتحدهاستکهامروزهبطوروسیعی DES . شناختهمیشود DES استکهبیشتربعنوانبعنوانیکاستانداردبینالمللیشناختهمیشود. بلوکهای۴۶بیتیدیتاتوسطیککلیدتنهاکهمعمولا۶۵بیتطولازنظرمحاسباتیسادهاستوبراحتیمیتواندتوسطپردازندههایکند DES . دارد،رمزنگاریورمزگشاییمیشوند
(بخصوصآنهاییکهدرکارتهایهوشمندوجوددارند) انجامگیرد.اینروشبستگیبهمخفیبودنکلیددارد . بنابراینبرایاستفادهدردوموقعیتمناسباست : هنگامیکهکلیدهامیتوانندبهیکروشقابلاعتمادوامنتوزیعوذخیرهشوندیاجاییکهکلیدبیندوسیستممبادلهمیشوندکه
عمومابرای DES قبلاهویتیکدیگرراتاییدکردهاندعمرکلیدهابیشترازمدتتراکنشطولنمیکشد. رمزنگاری حفاظتدیتاازشنوددرطولانتقالاستفادهمیشود.
بیتیامروزهدرعرضچندینساعتتوسطکامپیوترهایمعمولیشکستهمیشوندوبنابرایننباید DES کلیدهای۴٠ برایمحافظتازاطلاعاتمهموبامدتطولانیاعتباراستفادهشود . کلید۶۵بیتیعموماتوسطسختافزاریا سهازاستفادهبااصلیدیتایکدکردنازعبارتستتایی DES شبکههایبخصوصیشکستهمیشوند. رمزنگاری کهدرسهمرتبهانجاممیگیرد. (دومرتبهبااستفادهازیککلیدبهسمتجلو (رمزنگاری) ویکمرتبه DES الگوریتم بهسمتعقب (رمزگشایی) بایککلیددیگر) مطابقشکلزیر:
اینعملتاثیردوبرابرکردنطولمؤثرکلیدرادارد؛بعداخواهیمدیدکهاینیکعاملمهمدرقدرترمزکنندگیاست.
برایزمانیمورد IDEA و Blowfish الگوریتمهایاستانداردجدیدترمختلفیپیشنهادشدهاند. الگوریتمهاییمانند برایرقیبیبعنوانبنابرایننشدندافزاریسختسازیپیادههیچکدامامااند DES استفادهقرارگرفتهدراستفادهبرای الگوریتم (AES) کاربردهایمیکروکنترلیمطرحنبودهاند. پروژهاستانداردرمزنگاریپیشرفتهدولتیایالاتمتحده مشخصابرای Twofish بعنوانالگوریتمرمزنگاریاولیهانتخابکردهاست . الگوریتم DES رابرایجایگزیتی Rijndael یادهسازیدرپردازندههایتوانپایینمثلادرکارتهایهوشمندطراحیشد.
Fortezza ومبادلهکلیدراکهدرکارتهای Skipjack در٨٩٩١وزارتدفاعایالاتمتحدهتصمیمگرفتکهالگوریتمها استفادهشدهبود،ازمحرمانگیخارجسازد . یکیازدلایلاینامرتشویقبرایپیادهسازیبیشترکارتهایهوشمند برپایهاینالگوریتمهابود.
کهرمزنگاریدیتادرحینارسالصورتمیگیردبجایاینکهدیتای ) (streaming encryption) برایرمزنگاریجریانی ۴ازکلیدهاطولازایسرعتبالاودامنهفراهمبیت۶۵٢ات٠ RC کدشدهدریکفایلمجزاقرارگیرد ) الگوریتم 4 است،بصورتعادیبرایرمزنگاریارتباطاتدوطرفهامندراینترنت RSA کهمتعلقبهامنیتدیتای RC میکند. 4 استفادهمیشود.
سیستمهای کلیدی نا متقارن
سیستمهایکلیدنامتقارنازکلیدمختلفیبرایرمزنگاریورمزگشاییاستفادهمیکنند. بسیاریازسیستمها private منتشرشوددرحالیکهدیگری (کلیداختصاصییا (public key اجازهمیدهندکهیکجزء (کلیدعمومییا توسطصاحبشحفظشود . فرستندهپیام،متنراباکلیدعمومیگیرندهکدمیکندوگیرندهآنراباکلید (key اختصاصیخودشرمزنگاریمیکند . بعبارتیتنهاباکلیداختصاصیگیرندهمیتوانمتنکدشدهرابهمتناولیه صحیحتبدیلکرد . یعنیحتیفرستندهنیزاگرچهازمحتوایاصلیپیاممطلعاستامانمیتواندازمتنکدشدهبه متناصلیدستیابد،بنابراینپیامکدشدهبرایهرگیرندهایبجزگیرندهموردنظرفرستندهبیمعنیخواهدبود .
و Rivest ، Shamir شناختهمیشود (حروفاولپدیدآورندگانآنیعنی RSA معمولترینسیستمنامتقارنبعنوان است). اگرچهچندینطرحدیگروجوددارند. میتوانازیکسیستمنامتقارنبراینشاندادناینکهفرستنده Adlemen شاملدوتبدیل RSA . پیامهمانشخصیاستکهادعامیکنداستفادهکردکهاینعملاصطلاحاامضاءنامدارد استکههرکداماحتیاجبهبتوانرسانیماجولارباتوانهایخیلیطولانیدارد:
امضاء،متناصلیرابااستفادهازکلیداختصاصیرمزمیکند؛
رمزگشاییعملیاتمشابهایرویمتنرمزشدهامابااستفادهازکلیدعمومیاست . برای
تاییدامضاءبررسیمیکنیمکهآیاایننتیجهبادیتایاولیهیکساناست؛اگراینگونهاست،
امضاءتوسطکلیداختصاصیمتناظررمزشدهاست.
بهبیانسادهترچنانچهمتنیازشخصیبرایدیگرانمنتشرشود،اینمتنشاملمتناصلیوهمانمتنامارمز شدهتوسطکلیداختصاصیهمانشخصاست . حالاگرمتنرمزشدهتوسطکلیدعمومیآنشخصکهشماازآن مطلعیدرمزگشاییشود،مطابقتمتنحاصلومتناصلینشاندهندهصحتفردفرستندهآناست،بهاینترتیب امضایفردتصدیقمیشود. افرادیکهازکلیداختصاصیاینفرداطلاعندارندقادربهایجادمتنرمزشدهنیستند بطوریکهبارمزگشاییتوسطکلیدعمومیاینفردبهمتناولیهتبدیلشود.
X = Yk (mod r) : اینفرمولاست RSA اساسسیستم حاصلضربدوعدداولیهبزرگاستکهبادقتانتخاب r کلیداختصاصیو k ،متناصلی Y ،متنکدشده X که
شدهاند. برایاطلاعازجزئیاتبیشترمیتوانبهمراجعیکهدراینزمینهوجودداردرجوعکرد . اینشکلمحاسبات رویپردازندهبنابراین،ت.اسکندبسیارشودمیاستفادههوشمندکارتهایدرکههابیتی٨رویبخصوصبایتیهای همتصدیقهویتوهمرمزنگاریراممکنمیسازد،دراصلبرایتاییدهویتمنبعپیامازاینالگوریتم RSA اگرچه درکارتهایهوشمنداستفادهمیشودوبراینشاندادنعدمتغییرپیامدرطولارسالورمزنگاریکلیدهایآتی استفادهمیشود. مانندشوند lElGama ،nHellma-eDiffi سایرسیستمهایکلیدنامتقارنشاملسیستمهایلگاریتمگسستهمیو
سایرطرحهایچندجملهایومنحنیهایبیضوی . بسیاریازاینطرحهاعملکردهاییکطرفهایدارندکهاجازه استکهازیکتولیدکنندهمرکببرای RPK تاییدهویترامیدهندامارمزنگاریندارند . یکرقیبجدیدترالگوریتم یکپروسهدومرحلهایاست : بعدازفاز RPK . تنظیمترکیبیازکلیدهابامشخصاتموردنیازاستفادهمیکند آمادهسازیدررمزنگاریورمزگشایی (براییکطرحکلیدعمومی ) رشتههاییازدیتابطوراستثناییکاراستو میتواندبراحتیدرسختافزارهایرایجپیادهسازیشود . بنابراینبخوبیبارمزنگاریوتصدیقهویتدرارتباطات سازگاراست.
استکهآنهابرای RSA طولهایکلیدهابرایاینطرحهایجایگزینبسیارکوتاهترازکلیدهایمورداستفادهدر RS استفادهدرچیپکارتهامناسبتراست . امااست؛ماندهباقیالگوریتمهاسایرارزیابیبرایمحکی حضوروبقاینزدیکبهسهدههازاینالگوریتم،تضمینیدربرابرضعفهایعمدهبشمارمیرود.
شامل ورد 51صفحه ای
دسته بندی | کامپیوتر و IT |
فرمت فایل | doc |
حجم فایل | 47 کیلو بایت |
تعداد صفحات فایل | 37 |
پاسخگویی به حمله ها 2
کاووس پاسخگویی -حوادث 3
خلاصه حمله ها از داخل 8
متمرکز شدن روی پیشگیری 9
فکر نکنید این نمی تواند برای من رخ دهد 9
بشناسید زمانی که شما تحت حمله هستید 10
آماده شوید برای بدترین حالت 11
دریافت کنید یا تامین کنید آموزش لازم را 12
نقطه تماس را مشخص کنید POC 12
شامل حمله شوید 13
مدیر ارشد را آگاه کنید 13
مزاحم را بشناسید 14
سریع و قاطعانه عکس العمل نشان دهید 15
مشکل را زمانی که لازم است تعدیل کنید 16
خارج از جعبه امنیت 20
از نصب های خارج از جعبه جلوگیری کنید 29
شبکه تان را چک کنید 30
حسابهای قدیمی را حذف کنید 33
لیست چک 35
حرف آخر 36
شنبه شب است شبکه شما به خوبی طراحی شده است خوب اجرا و پشتیبانی می شود تیم امنیتی شما به خوبی آموزش دیده است سیاست ها و روند کار تدوین شده است اما در گیرودار به انجام رساندن بموقع سیاستها و روندکاری (بنابراین شما می توانید چک جایزه مدیر را بگیرید )شما فراموش کردید پروسه پاسخگویی -حوادث را به حساب آورید و زمانی که شما برای انجام خوب کار به خودتون تبریک می گویید یک ه ک ر به سیستم بسیار حساس شما حمله می کند حالا چه باید کرد ؟با هر سرعتی که شما می توانید به این سوال پاسخ دهید می تواند تعیین کننده سرنوشت اطلاعات شما باشد کارمندان نیاز دارند بدانند چه کار باید بکنند و چگونه و چه وقت .آنها همچنین نیاز دارند بدانند چه کسی حمله را گزارش می دهد در غیر اینصورت وضعیت به سرعت از کنترل خارج می شود بخصوص یک تعدیل مناسب مهم است اگر درجه حمله خارج از دانش پایه پشتیبانی شما باشد زمانی که یک حمله رخ می دهد هر حر کت شما می تواند معنی متفاوتی بین از دست دادن و یا حفظ اسرار شرکت شما را داشته باشد فقط تصور کنید چه اتفاقی می افتد اگر همه اطلاعات ضروری روی سیستم کامپیوتر شما دزدیده یا نابود شده بود بعید است ؟برای بیشتر مردم بعید به نظر می آید تا زمانی که این ها به سیستم هایشان حمله کنند به یاد داشته باشید داده ها روی شبکه شما مهم هستند بنا براین آماده باشید مطمئن بشوید که هر کس (از بالا تا پایین )در شرکت شما می دانند چه کاری باید انجام بدهند در هر حمله برای حفظ داده ها از دزدیده شدن و تغییر یا خرابی فقط بر آور د کنید
Dave Amstrang یک مدیر است که پشتیبانی می کند شبکه داخلی برا ی بانک first fidelityدر ایالت Dnacanst در یک آخر وقت شنبه شب Dave مشاهده کرد که یک هکر کنترل کامل همه 200 سیستم را به دست گرفته و شروع کرده به جستجو در بین آنها با اراده و جمع آوری می کند سپس وردها و داده ها را می خواند متاسفانه Dvae هیچ کاری انجام نداد اما نگاه می کرد در حالی که سعی داشت کشف کند در نیمه شب چه کسی ر وی سیستم ا و بوده در نیمه شب با وجود اینکه frist fidelity سیاست هایی و پروسه هایی برای اکثر وضعیت های دیگر نوشته بود هیچ راهنمایی پاسخگویی -حوادث رسمی وجود نداشت زیرا Daveهیچ دستورالعمل مشخصی نداشت او سه روز تمام سعی کرد برای شناختن هکر بدون موفقیت قبل از تماس با تیم امنیتی بانک . فقط برای یک لحظه تصور کند که یک هکر پرسه می زند بدون چک شدن در میا ن شبکه بانکی شما برای سه روز و جمع آوری می کند مجموعه اسم ها و شماره حسابها حتی تغییر بدهد داده ها را جا به جا کند سرمایه خراب کند گزارشات فکر کنید در مورد تغییر بانکها . من فکر می کنم چگونه چنین وضعیتی پیش می آید در این مورد Daveیک سرور نرم افزاری تشکیل داد به طوری که به وسیله سایر سیستمها مورد اعتماد قرار گرفت صد ها سیستم به سرور نرم افزاری اعتماد کردند اگر چه این توافق (سیستمهای روی شبکه دسترسی جزئی به ا ین سرور دارند ) پخش نر م افزار جدید را آسان می سازد می تواند یک ریسک باشد
اگر سیستم باید شکل بگیرد به عنوان سرور مورد اعتماد ( هیچ گزینه عملی دیگر قابل انجام نیست) سرور مورد اعتماد باید به طور کامل محافظت شود در غیر این صور ت هر هکری که به سرور مورد اعتماد وارد شود دسترسی ریشه ا ی سریع دارد بدون نیاز به رمز عبور برای هر سیستم که به سرور اعتماد کند این همان چیزی که برای first fideityرخ داد خواهد بود صد ها سیستم در شبکه داخلی به نرم افزار سرور اعتماد کردند در نتیجه سرور یک هدف وسوسه کننده برای هر هکر که به دنبال وارد شدن به شبکه کامپیوتری بانک است فراهم کرد Daveنظرش ا ین نبود که سیستم در خطر است برای او یا مدیرش هر گز رخ نداده بود که یک سیستم واحد غیر امنیتی در ها را برای سایر شبکه باز کند برای first fidelityشبکه اعتماد به درازا کشید تا اعماق بیش از 200 سیستم شبکه داخلی با صدها سیستم که به سرور نرم افزاری اعتماد می کنند سرور باید با کنترلهای امنیتی مناسب نگهداری می شد سرور هر چند روی هم رفته فقدان امنیتی داشت و فقط منتظر هکر بود تا دقیقا وارد شود و ا ین درست هما ن چیزی است که اتفاق ا فتاد وقتی هکر به دسترسی کامل به سرور مورد اعتماد رسید دسترسی ریشه ای جزئی به تمام سیستم های روی شبکه مسلم بود هکر لازم نبود کار سختی انجام دهد .اجازه بدهید نگاه دقیق تر بیاندازیم به جزئیات ا ین حمله و چیز ی که در طی ا ین روز ها رخ داد و روزهای آینده را در پی داشت
روز ا ول دسترسی بی اجازه
Daveبه وجود هکر هر ساعت 11:45دوشنبه شب پی برد زمانی که جریان عادی چک کردن شبکه انجام می شد ا و متوجه فر آیند غیر معمولی انجام می شوند که برا ی چنین زمانی مصرف cpu بیش از حالت معمول بود ا ین فعالیت غیر معمول باعث جرقه حس کنجکاوی Dave شد بنابراین ا و بیش تر تحقیق کرد بوسیله چک دخول به سیستم (قطع ارتباط) او متوجه شد که Mike Nelson یکی از اعضای تیم امنیتی بانک به سیستم وارد شده بود Mikeیک استفاده کننده قانونی بود اما بدون اعلام به گروه Dave نباید وارد می شد ا ین هکری بود که خودش را به جای Daveجا زده بود ؟Mikeکار می کرد بر روی مشکل امنیتی .اگر Mikeبود فراموش کرده بود قرار داد اطلاع –قبلی را یا او عمدا غفلت کرده بود در اطلاع دادن به دیگران ؟Daveنظری نداشت حتی بدتر از آن ا و
نمی دانست که چه کسی را صدا بزند یا چه کاری انجام دهد بعدا چه اتفاقی ا فتاد ؟چنین چیزی که برای اکثر مردم رخ می دهد در ا ول آنها شک می کنند به اینکه هکرها وارد سیستم آنها شدند Daveتجربه می کرد یک اضطراب یک احساس تهییج و مختلط با ترس و پریشانی در مورد ا ین که چه کار باید انجام دهد ا و تنها بود در نیمه شب اگر تا دیر وقت کار نمی کرد ممکن بود هیچ کس از این حمله چیزی نفهمد ا و تصمیم گرفت از آنجایی که او مسئول سیستم بود برای بدست آوردن دوباره کنترل باید کارهایی انجام می داد او کار برا ن را ا ز سیستم خارج کرد سپس حساب باطله را منتقل کرد بوسیله از کار انداختن رمز عبور کاربران Dave دوباره سیستم را کنترل می کرد گمان می کرد ماموریتش به انجام رسیده است Daveبه خانه رفت متاسفانه Daveنفهمید جریان واکنش کوتاه مدت به موقعیت بود بیرون کردن کاربر غیر مجاز از سیستم اغلب معنی اش این است که ا و فقط برای آ ن روز خارج شده است به این معنی نیست که او بر نخواهد گشت . یکبار که یک هکر وارد سیستم می شود معمولا باقی می گذارد درهایی برای بر گشت که دسترسی آسان او را برای دفعات بعد فراهم می کند کار Dave او را با یک احساس غلط از امنیت رها کرد Daveگمان کرد که او مشکل را بوسیله یک پر تاب ساده هکر به بیرون از سیستم حل کرده است اما مشکل امنیتی که به هکر اجازه اولین ورود را داده بود درست نشده بود Dave شاید دزد را از خانه بیرون انداخته بود اما درها همچنان قفل نشده بود
روز دوم : مشکل حل شده است
صبح سه شنبه Dave حادثه نیمه شب را به مدیر ش و دو مدیر سیستم دیگر شرح داد آنها برای چند لحظه بحث کردند ا ما هنوز نظری نداشتند که سیستم به وسیله یک هکر ناشناس مورد هجوم قرار گرفته یا به وسیله Mike از گروه امنیتی به هر صور ت آنها مشکل را حل شده در نظر گرفتند آن حساب مشکوک از کار افتاده بود و هیچ استفاده کننده غیر مجاز جدیدی روی سیستم نبود بنا بر این آنها این موضوع را رها کردند و بر گشتند سر کارشان هما ن طوری که در بیشتر روزها ی پشتیبانی زمان می گذشت در پایان این شیفت کار ی Dave وارد سرور نر م افزاری شد فقط یک لوگین از مدیر سیستمی که شب پشتیبانها را اجرا می کند را بر روی سیستم ها بود آن عادی به نظری می رسید حتی مورد انتظار بود سیستم داشت به خوبی اجرا می شد بنابر این با یک روز 12 ساعته دیگر تحت اختیار اوDave خارج شد و به خانه رفت
روز سوم : امنیت دوباره در هم شکسته شد
Daveخوابیده بود این فقط صبح چهار شنبه بود واو آن هفته 24ساعت کار کرده بود وقتی اون به محل کار ش بعد از ظهر برگشت متوجه شد که شب گذشته Ed از سرور خارج نشده و ا ین عجیب بود Ed در یک شیفت سنگین کار میکرد معمولا در طی روز آن اطراف نبود Dave دریافت کرده بود Login شرح نداده شده از دوشنبه Dave صدا کرد Ed را برای اینکه توضیح بدهد فعالیتهایش را بر روی سیستم Ed فوراً به آن احضار پاسخ داد آن به Dave اطلاع داد که آن هیچ گونه پشتیبانی را شب گذشته اجرا نکرده است و آن از سیستم به طور رایج استفاده نکرده است کم کم به نظر رسید که گویی یک هکری خودش را به جای Ed جا زده است با تحقیقات بیشتر Dave کشف کرد Ed ساختی داشت از سیستمMilk می آمده علاوه بر این استفاده کننده نه تنها چک می کرد که ببیند چه کسی دیگر وارد شده بود بلکه اجرا می کرد یک رمز عبور را Daveفکر کرد که Mikeداشت بازی می کرد بر روی سیستم و به طور همزمان هم دسترسی داشته به سیستم به وسیله جا زد ن خودش به عنوان Ed هرگز به طور جدی احتمال اینکه یک هکر ناشناخته روی سیستم در حال دزدیدن اطلاع وجود دارد مورد بر رسی قرار نمی داد Daveجداً تا حالا آسیب دیده بود آن کشف کرد که mike سبب شده بود که آن دور خودش بچرخد و وقتش را تلف کند سطح تحمل Daveپایین بود ed را از سیستم بیرون کرد پس ورد او را از کار انداخت به مدیرش این توسعه جدید را گزارش داد مدیر mike را صدا زد برای اینکه از او بپرسد آیا آن وارد سیستم شده و استفاده کرده از رمز عبور Sniffeو از او سوالاتی بکند در مورد فعالیت های دوشنبه شب mike با تاکید زیادی اصرار کرد که کاربر مرموز نبوده mike همین ادعا را کرد که هیچ هکری نمی توانسته به سیستمش وارد شود چون او مطمئن بود که توافقی نشده عقیده mike این بود که هکر باید کلاه بردار باشد و همچنین این او تظاهر می کند از سیستم mikeآمده اما در واقع از یک جای دیگر منشا می گیرد در این مقطع موقعیت رو به انحطاط بود مدیران سیستم داشتن باور می کردند که mike روی شبکه بوده اما Mike همچنان اصرار می کرد که باز گشت یک حقه بوده و او به اشتباه متهم شده همه خواب را تر ک کردند و وقت بیش تری را صرف کردند تا متوجه شوند واقعا چه اتفاقی افتاده است
روزهای چهارم تا هفتم : تعدیل کردن اتفاق
روز پنجشنبه مدیر Dave تعدیل داد مشکل را به مدیر امنیتی بانک و بخش بازرسی داخلی چندین روز گذشت تا زمانی که همه قسمت های تیم امنیتی بخش بازرسی و مدیران سیستم منتظر هکر بودند برای دوباره ظاهر شدن اما هکر هیچ وقت بر نگشت مدیر بخش بازرسی داخلی سرگردان مانده بود اگر واقعا هکر بوده بیرون کردن او برای دفعه دوم او را دل سرد کرده بود از حمله دوباره آیا mike حمله کرده بود برا ی تفریح و زمانی که فهمیده بود همه متوجه او هستند متوقف شده بود
روز هشتم برای بدست آوردن شواهد دیر است
یک هفته کامل بعد از حمله بخش بازرسی داخلی Dave تماس گرفت و از داده های فنی که او در یافت کرده بود سوال کرد (این داده ها ) فعالیت هکر را روی سیستم شرح می داد از آنجایی که بانک یک متخصص امنیتی در گروه کاری نداشت بخش بازرسی من را استخدام کرد کار من این بود که بازدید کنم از داد ه های فنی و تعیین کنم چه کسی وارد سیستم شده است
روز نهم: چه کسی مجرم بود
وقتی رسیدم موضوع را با مدیر بازرسی مطرح کردم و داده ها را مرور کردم چندین روز از دومین حمله گذشته بود و هکر هر گز باز نگشته بود متاسفانه من نتوانستم جوابی را که بازرس دنبال آن می گشت فراهم کنم زیرا به دنبال کردن هکر با داده هایی که آنها جمع آوری کرده بودند ممکن نبود اطلاعات به من گفت که مزاحم از ابزار هک جهانی که به راحتی بر روی اینترنت قابل دسترسی است استفاده کرده است مانند کار بران قانونی اینترنت متعدد جمع آوری کرده بود یک دسته از رمزها عبور ها را به نظر می رسید که از سیستمmike آمده باشد اما اطلاعات برای گفتن این که آیا هکر از بیرون بودهmike بوده یا کس دیگری در شرکت کافی نبود زمانی کهmike, Dave را از سیستم خارج کرد راهی برای باز گشت به سر چشمه وجود نداشت هر جوابی که من می دادم یک کار حدسی محض بود مصاحبه با کارمندان مفید نبود بسیاری از انگشت ها به mikeاشاره میکرد اما هیچ مدرکی وجود نداشت گذشته از آن بهترین کاری که می توانستم انجام دهم توصیه به مدیر بازرسی برای ارتقا ء شرکت و انجام فوری پروسه پاسخگویی - حوادث اگر این فرد یک هکر بود ممکن بود درهای باز گشت به سیستم را پشت سر گذاشته باشد در جهان واحد یک هفته ممکن است زیاد به نظر نرسد ا ما در رسیدگی به جرم کامپیوتری (بله ورود به یک سیستم جنایت است ) بدون سر انجام (بی پایان ) است زمانی که اینقدر زمان سپری می شود بین یک حمله و باز رسی اطلاعات با ارزش ا صلاح می شوند کم می شوند و گاهی پیکری غیر ممکن می شود من خاطر نشا ن کردم که حمله به وسیله فقدان امنیتی بر روی سرور نرم افزاری قابل اعتماد ممکن شده بود و این که آسیب پذیر ی ها باید تصحیح می شد بعلاوه دانستن این که هکر چگونه وارد سیستم شده ممکن نبود زیرا آسیب پذیر ی های متعددی وجود داشت که هکر می توانست از آنها بهر ه برداری کرده باشد برای دستیابی ریشه ای (بنیادی ) رمز عبور های حسابهای قدیمی وجود داشت مجوزهای بیش از اندازه فایل وجود داشت تکیه های امنیتی نصب نشده بود به همین ترتیب هکر ماکزیمم دسترسی را داشته است من به مدیر بازرسی گفتم که این حقیقت در صورت هم موج می زند یک سرور قابل اعتماد غیر امنیتی شبکه کامل را باز کرده است از آنجایی که سیستم توسط هکر های واقعی شکسته شده بود Daveبه نصب دوباره سیستم نیاز داشت و اضافه کردن کنترل های امنیتی کافی برای محافظت از سرور و مورد توجه قرار دادن سایر راه حل های فنی برای بروز رسانی نر م افزار روی شبکه داخلی آنها من همچنین با بازرس بحث کردم در مورد اهمیت یک تیم امنیتی که بتوانید به آن اعتماد کنید قبل از استخدام روی نیاز به پرسنل امنیتی کامل متمرکز شوید من توضیح دادم که پروسه مناسب برای دنبال کرد تیم امنیتی باید بجا باشد و از همه کارمندان باید انتظار داشت که آن پروسه را دنبال کنند زیرا آنها اعضای تیم امنیتی درجه یک هستند این بدان معنی نیست که آنها بتوانند پرسه بزنند در تمام سیستم های بدون اعلام مناسب در این مورد آن جایی که یک عضو تیم امنیتی یک متهم مشکوک بود داشتن یک پروسه در مکان برای مسیر یابی در تحقیقات تیم امنیتی به مدیریت بالاتر می توانست مفید باشد این احتمال باید تحت بخشی تضاد در منافع پوشانده شود.
این دو حمله باعث شد اعضای کارمندان بانک مدت زیادی از زمان کاری را برای رسیدگی به مشکل هکر صرف کنند به جای انجام کارهای حقیقی شان
Dave مشکل را در دست خود گرفت و تصمیم مهمی گرفت که می توانست داده و سیستمهایش را روی شبکه در معرض ریسک قرار دهد و همچنین تصمیم گرفت که با mike از تیم امنیتی بدون مدرک مناسب برای بر گرداندن اتهامش بر خورد کند اگر چه ما هرگز نفهمیدیم آیا تهمت Dave ,و mikeدرست بوده یا غلط او راست می گفت حق داشت این که تشخیص دهد که هکر ها می توانند از داخل شبکه شما بیایند مانند آن است که از خارج بیایند شکل 1-1 به طور واضح شر ح می دهد که کارمندان داخلی یک ریسک جدی هستند البته دانستن این که کارمندان داخلی یک خطر هستند و انجام کارهایی در مورد آن دو چیز متفاوت است برای حمایت کردن از داده هایتان شما به سیاست و پروسه ها آموزش برای بسیاری از کارفرمایان نیاز دارید حفاظت از داده ها در مقابل کارمندان خود مسخره به نظر می رسد بخاطر داشته باشید به صفر و یک ها داده به عنوان پول واقعی نگاه کنید بانکها دو بار فکر نمی کنند در مورد اجرا کردن کنترل های کافی روی ذخیره پول برای مثال آنها گاو صندوق را باز نمی گذارند به طوری که هر کس در بانک کار می کنید یا هر مشتری که در بانک قدم می زند بتواند داخل شود و مقداری از آن پولها را بردارد زمانی که داده را هم ارزش با پول در نظر بگیریم کنترل های امنیتی یک نیاز می شود یک پیشنهاد این زمان First fideityخوش شانس بود با دسترسی نامحدود به شبکه برای سه روز هکر
می توانست داده ها را خراب کند سیستم هار ا خاموش کند یا حتی تنظیمات سخت افزاری
قسمت های یا همه شبکه می توانست بی فایده در آید مدیران سیستم می توانستند با روزها حتی هفته ها کار مواجه شوند فقط برای اجرای دوباره سیستم با فرض اینکه پشتیبانان جاری وجود داشتند هکرها می توانند سریع رد پای خود را بپو شانند دنبال کرد ن آنها به نقطه آغاز خیلی سخت و ناممکن می شود اگر شما در مسیر سریع عمل نکنید حتی اگر داده ها دزدیده شوند تغییر کنند یا خراب شوند ممکن است شما نفهمید صرفاً به این دلیل هر کس که دارد یا نگهداری می کند از شبکه کامپیوتری باید توسعه دهد پروسه پاسخگویی --حوادث ویژه روشن را.
بیایید به آنجا نرویم
با دادن طبیعت حساس به داده هایشان first fiddity خوش شانس بود البته تکیه کردن بر خوش شانسی معبر امنیتی خوبی نیست در عوض این چیزی است که آنها باید انجام می دادند
با دادن راه کارها شما احتمالا می پرسید چرا first fiddity از چنین ترکیب آسیب پذیری استفاده کرد ؟ چرا داده هایتا ن را در معرض خطر بزرگ قرار دهید
البته پاسخ این است چرا نه در هر صورت راهی وجود نداشت که هکر بتواند به سیستم آنها حمله کند به طور عجیب تعدادی زیادی از شرکتها هنوز اینطور فکر می کنند
از آنجایی که این شرکتها بسیار مطمئن هستند که آنها چنان در مقابل دسترسی هکر ها ایمن هستند که آنها حتی احتیاط های اساسی را انجام نمی دهند از آنجایی که این هرگز برای آنها اتفاق نخواهد افتاد آنها هیچ وقت برای امنیت بودجه اختصاصی نمی دهند آنها پروسه پاسخگویی حوادث را توسعه نمی دهند بنا بر این آنها به کارمندان خود آ موزش نمی دهند چگونه به یک حادثه پاسخ دهند به همین سادگی که به نظر می رسد مهمترین چیزی که شما می توانید انجام دهید برای جلوگیری از یک حمله به فهمیدن اینکه آن می تواند برای شما اتفاق بیافتد بستگی دارد برای جلوگیری کردن از وقوع آن از ابزار آموزشی امنیتی موثر استفاده کنید به همه آموزش دهید از مدیر بالا تا پایین ترین سطح کار مندان وارد کننده اطلاعات همه باید بدانند چگونه از داده ها در مقابل دزدیده شدن تغییر کردن و یا خراب شدن به وسیله کار بران غیر مجازی محافظت کنند یک هکر بد خواه با دسترسی زیاد می تواند هر کس را از کار بیرون کند در یک بیان صریح استفاده غیر قانو نی هر نوع استفاده ا ز سیستم کامپیوتری که بطور خاص تحت اختیار مدیر سیستم نباشد است بنا بر ا ین یک استفاده کننده غیر قانونی می تواند یک هکر بد خواه با شد سارق خوش گذران نافرمان یا حتی کارمندی که اجازه ندارد از سیستم مخصوص در یک زمان مشخص یا برای هدف خاصی استفاده کند در حادثه fist fidelity کاربر غیر مجاز شناسایی شده می توانست هر کدام از موارد بالا باشد همانطور که (CST )موسسه امنیتی کامپیوتر در یافت در تحقیق اخیر و همانطور که شکل 2-1 شر ح می دهد بسیاری از مدیران حتی از اینکه دسترسی بی اجازه یا سوء استفاده غیر قانونی فرا گیر چگونه است بی ا طلا ع هستند
اولین مشکل در بررسی یک حمله تشخیص زمانی است که سیستم شما مورد حمله قرار گرفته شما نیاز دارید مطمئن شوید چیزی که می بینید واقعا یک حمله است نه فقط یک تغییر ناگهانی سخت افزار یا نرم افزار یا رفتار عجیب یک کاربر . در مرحله اول باز رسی نر م افزار می تواند در تعیین اینکه شما تحت حمله اید کمک کند به هر حال نصب کردن نر م افزار باز رسی قبل از حمله کاملا مهم است رسیدگی کنید به آخرین تماس کد قرمز در 19 جولای 2001 کد قرمز به 354104 میزبان سرایت کرد چیزی که فقط در 13 ساعت انجام شد در ماکزیمم فعالیت در حدود 2000 سایت جدید در دقیقه حتی سایت های که نر م افزار بازرسی را نصب کرده بودند بیشتر سیستم های بازرسی دخول سر زده IDS می تواند پیدا کند حمله را فقط اگر یک امضا ء وجود داشته باشد احمقانه به نظر می رسد اگر شما در مورد آن فکر کنید این مانند این است که منتظر دزد باشید تا وارد خانه شما شود قبل از اینکه یک قفل برای در خریداری کنید. بعلاوه یک بار که شما امضا ء را نصب کردید این برای رقیبان آسان است که یک ور ژن جدید از حمله روا نه کنند و IDS آن را از قلم بیندازد مطمئن شوید IDS شما حمله های جدید روز صفر را می تواند پیدا کند (بعضی اوقات گفته می شود اولین بر خورد یا حمله های شناخته نشده زیرا آنها هنوز گزارش داده نشده اند آنها به طور عمومی شناخته نشده اند و امضایی هم وجود ندارد )
اگر IDSشما نتواند نمایان کند حمله های روز -صفر را شما نیاز به بروز رسا نی معمارتان دارید اینگونه عمل کردن کمک میکند به شما حفاظت کنید در مقابل حمله هایی که پروتکل ها را مورد حمله قرار می دهد مانند Nimda code Red و ورژن های آنها من پیشنهاد نمی کنم که شما نر م افزار بازرسی بر روی هر سیستم روی شبکه تان را نصب کنید در هر حال نصب استراژیکی آن در مکانهای کلید ی (بر روی شبکه ها و سیستم ماموریت -بحرانی ) می تواند به شما یک کمک بیشتری بکند
با وجود اینکه پیش گیری0 8% از درمان هست همیشه 20% دیگر وجود د ا رد حقیقت این است که هیچ چیزی مهم نیست هر چند شما خوب طراحی کرده باشید همیشه مشکلات پیش بینی نشده وجود دارد قادر بودن به بر خورد با آن مشکل خیلی اوقات خلاصه می شود به آماده شد ن برای شناخته ها برای اجتناب از موقعیتی که first Fidelity به آ ن دچار شد کار های زیر انجام دهید توسعه دهید یک سیاست کتبی برای مواجه شدن با حمله ها اگر شرکت شما فاقد یک سیاست کتبی برای مواجه شدن با دخول های سر زده شبکه است شما تنها نیستید اگر چه ما مایلیم که روی شرکتهای بزرگ آمریکایی متمرکز شویم ایمنی ضعیف به فر ا سوی مرز های ملی گستر ش یافته است یک تحقیق روی 2001 از شر کتهای کانادایی هدایت شد ه بوسیله KPUG نشا ن داد که فقط نیمی از جوابگویی ها فر آیند های جواب گویی حوادث برای کنترل کر د ن رخنه های امنیتی تجارت الکترونیک دارند . اگر نیاز دار ید یک متخصص استخدام کنید
شکل دادن یک تیم پاسخگویی – حوادث(IRT) توسعه دادن سیاست ها و فرآیندها و به روز رساند ن همه چیز می تواند یک وظیفه بزرگ با شد نیاز به وقت دانش هما هنگی پرسنل و منابع دارد ا گر شما پرو سه در مکان ندارید و هیچ کس در شر کت شما تخصص توسعه آنها را ندارد یک متخصص استخدام کنید متخصص معنی هکر را نمی دهد مراقب باشید چه کسی را استخدام می کنید همان طور که در شکل 3-1نشان داده شده بیشتر شرکتها هکر های سابق را به عنوان مشاور استخدام نکردند چند ین شر کت وجود دارند که این مسئله مهم را جدی می گیرند و خدمات با ارزشی فرا هم می کنند ( جز ئیات را در پیوست A ببیند . مردم تولیدات برای شناختن) هنگامی که فر آیند پاسخگویی -حوادث برای یک شرکت در چندین سال قبل توسعه می یافت من با یک هئیت رئیسه از یک شرکت مشاوره امنیتی در بار ه تخصص های پشتیبانی امنیتی که ارائه می کردند صحبت کردم من سوال کردم چه قدر طول می کشد اگر ما یک متخصص نیاز داشته باشیم . او گفت ما پوشش جهانی داریم و می توانیم یک تیم در هر کجا در جهان ظرف چند دقیقه تا چند ساعت داشته با شیم بستگی به محل دارد شرکت امنیتی که این نوع سرویس را عرضه می کند آماده است و می خواهد که کمک کند فوراً متخصصانشان را به سو ی شما خواهند فرستاد اگر یک مشکل رخ دهد آنها حادثه های بد را دیده ا ند و آنها می دانند پاک کرد ن بعد از یک حمله جدی چقدر سخت است این مهم است که این نوع ارتباط را قبل از این که حمله ای داشته باشیم بسازیم بنا بر این شما می دانید که کسانی هستند که پاسخ دهند به شما اگر یا زمانی که شما خو دتا ن را میان یک حادثه بد ببینید .
حتی زمانی که فر آیند پاسخگویی حوادث وجود دارد مدیران سیستم و کار بران شاید در استفاده از آ نها آ موز ش ندیده باشند سیاست ها یا پروسه هایی که کاملا درک نشد ه باشند زیاد مفید نیستند آنها شاید حتی احساس غلطی از امنیت به افراد بدهند نه تنها لازم است فرآیندهای غیر منتظره به خوبی شناخته شوند و تعمیم داده شوند بلکه هر کار بر کامپیوتری در شرکت از مدیر اجرایی شرکت تا کارمند وارد کننده داده نیاز دارند بدانندچگونه آنها را اجر ا کنند مسئولیت امنیت کامپیوتر بر روی دوش همه کارمندان است پیشنهاد خوبی است که سیا ست ها و
پروسه هایمان را چک کنیم قبل از رخ دادن یک بحران یک حر کت خشک را در نظر بگیرید شما شاید بخواهید یک تیم نفوذی برای تست کرد ن امنیت سایتتان استخدام کنید تیم Tiger می تواند سعی کند وار د سایت شما شود وهم زمان پاسخگویی تیم شما را به یک حمله تست کند با ا ین و جود ا ین نظر خوبی نیست که ا فرا د را رها کنیم در حالی که حدس می زنند آیا این یک حمله واقعی است یا نه اگر شما یک مشاور امنیتی برای تست کر د ن امنیت سایتتان و پاسخگویی به حمله استخدام کنید به پرسنل پشتیبانی اطلاع دهید اجازه دهید آنها بدانند که ا ین حرکت خشک است نه یک یا چند واقعی.
در طول یک حمله ساعت هر گز از حر کت نمی ایستد اگر شما باید فکر کنید چه کسی احتیاج است که آگاه شود از حمله شرکت شما باید یک poc د ا شته با شد معادل یک خط اورژانس 911که کار برا ن بتوانند در هنگام وقوع یک حمله تماس بگیرند . هدف هایتان را بشناسید و ا ز قبل تعیین کنید . اهدا ف و بر تر ی های شرکت شما شاید با اهدا ف و بر تر ی های فرد کناری متفاوت باشد نکته قابل توجه اینجاست که واقعه های پیچیده اجازه فکر کردن در مورد برتری ها را نمی دهد بنا براین اهداف شما در طول حمله باید قبلا تعیین شده باشند و شناخته شوند قبل از اینکه حمله رخ دهد شناختن اهداف ضروری است برای فرموله کردن یک طرح مناسب حمله اهدافی که به شبکه شما اختصاص دارند شاید شامل بعضی یا همه موارد زیر باشند
محافظت کنید از اطلاعات مشتری . شما ممکن است از اطلاعات بحرانی مشتری رو ی
شبکه تان نگهداری کنید ا گر یک هکر بدزدد تغییر دهید خراب کنید یا حتی اطلاعات را روی اینترنت اعلا ن کنید شما شاید خودتان را در یک دادگاه بیا بید .
جلو گیری کنید از استفاده از سیستم شما برای روانه کردن حمله ها بر علیه دیگر شر کتها بعضی از اوقات شما شاید لازم داشته باشید که یک سیستم را از شبکه قطع کنید برای جلو گیر ی از زیان بیشتر و محدود کنید حوزه حمله را برای مثال اگر شما یک مشتری شبکه خار ج از شبکه داشته باشید که به شبکه شما متصل است و یک هکر بدست می آورد دسترسی به سیستم که متصل می کند شمار ا به مشتری خار ج از شبکه شما باید حفاظت کنید از شبکه مشتری خود اگر شما باید این کار را بکنید آ ماده باشید و بدانید چگونه دست به کار شوید.
شامل ورد 37صفحه ای
دسته بندی | کامپیوتر و IT |
فرمت فایل | ppt |
حجم فایل | 556 کیلو بایت |
تعداد صفحات فایل | 20 |
وظائف این لایه فقط در میزبانها (سیستم عامل فرستنده و گیرنده) انجام می شود
فایل پاورپوینت 20 اسلاید
دسته بندی | کامپیوتر و IT |
فرمت فایل | ppt |
حجم فایل | 267 کیلو بایت |
تعداد صفحات فایل | 32 |
فایل پاورپوینت 32 اسلاید
دسته بندی | فنی و حرفه ای |
فرمت فایل | docx |
حجم فایل | 281 کیلو بایت |
تعداد صفحات فایل | 20 |
شبکه ها و پروتکل های صنعتی
مقدمه :
امروزه فناوریهای جدید در عرصه سیستمهای کنترل صنعتی ظاهر شده اند که یکی از آنها استفاده از فیلد باس (field bus) در شبکه های صنعتی است. تجهیزات و سیستمهای هوشمند مستقر در سایت که قابلیت توسعه دارند و به صورت بخشهای کوچک جدا از هم ساخته شدهاند. فرصت تازه ای در جهت بهبود چشمگیر عملکرد فرآیند و افزایش کارایی سیستمهای کنترل و کاهش هزینه نسبت به سیستمهای کنترل مرسوم از جمله dcs ایجاد کرده اند.
در این پروژه قصد داریم با چگونگی طراحی شبکه های اتوساسیون صنعتی زیمن آشنا شویم:
مقدمات و تعاریف
1-شبکه (Net work) چیست:
شبکه مسیری مشترک برای ایستگاههای مختلف است به طوری که آنها می توانند از طریق این مسیر مشترک با یکدیکر ارتباط برقرار کنند.
2-پروتکل (protocol) چیست؟
پروتکل ، مجموعه ای از روشهای و ضوابط ارتباطی است که بین ایستگاههای مختلف یکسان است و توسط آن تجهیزات مختلف متصل به شبکه می توانند با موفقیت با یکدیگر ارتباط برقرار کنند:
پروتکل (نوع مدولاسیون ، نوع واسطه الکتریکی، راههای برطرف کردن مشکلات خطاها و نویزها و در شبکه و... را مشخص می کند.
وجود پروتکل سبب می شود که تولید کنندگان تجهیزات شبکه ملزم به رعایت روشهای ثابتی در ساخت محصولات خود شوند.
برای اجرای بهتری پروتکلهای حاکم بر انتقال داده در شبکه ها ایده لابندی مطرح شده است ، به عبارت دیگر مسئولیت اجرای هر یک از قوانین پروتکل به عهده یک لایه گذاشته شده است.
دسته بندی | آموزشی |
فرمت فایل | ppt |
حجم فایل | 334 کیلو بایت |
تعداد صفحات فایل | 21 |
در این آموزش می توانید به نکاتی در زمینه مقایسه IP V4 IP V6 بپردازید و دیگران را متوجه تفاوت های این دو کنید
دسته بندی | روانشناسی و علوم تربیتی |
فرمت فایل | docx |
حجم فایل | 21 کیلو بایت |
تعداد صفحات فایل | 8 |
دسته بندی | الکترونیک و مخابرات |
فرمت فایل | doc |
حجم فایل | 13 کیلو بایت |
تعداد صفحات فایل | 15 |
*مقاله درباره انتقالات کابل فیبر نوری*
انتقالات کابل فیبرنوری،مشکل تداخل الکتریکی ونویز ندارندودر هرمحیطی می توانند به کار روند به علت پهنای باند زیاد وسرعت انتقال داده ها بسیار سریع است(انتقال فعلی تقریبا100 MBpSبا سرعتهای نمایشی تا بیشتراز1GbpS).آنها می توانند یک سیگنال (امواج نوری)راکیلومترها حمل نمایند.
اندازة فیبر نوری معمولا با قطر مغزی،پوششی شیشیه ای وجلیقه فیبر بر حسب میکرون بیان می شود.
مثلا:فیبر 50/125/250 بیانگرفیبری با قطر مغزی 50 میکرون،قطر (CLADING) 125میکرون وقطر جلیقه(COATING) 250میکرون می باشد. یک میکرون(U M) معادل یک میلیونیم متر است. برگه کاغذ معمعولی تقریبا 25 میکرون ضخامت دارد.
5/1/4:انتخاب کابل کشی:
برای تعیین نوع کابل کشی مورد نیاز،لازم است به سوالات زیر پاسخ دهید:
1.سنگینی ترافیک شبکه،چگونه خواهدبود؟
2.فواصل که کابل باید بپوشاند چیست؟
3.بودجه تعیین شده برای کابل کشی چه میزان است؟
4.نیازهای ایمنی شبکه کدامند؟
5.گزینه های کابل کدامند؟
کابل،بیشتر باید در مقابل نویز وتداخل الکتریکی حفاظت شود تادر مسیر طولانی تر وبا سرعت بالاتر،عمل نماید.اما توجه داشته باشید که بهترین،ایمنی بالا وفواصل دورتر،مستلزم صرف هزینه ی کابل کشی بیشتر است.
قرارداده ها
6/1:پروتکل چیست وچگونه کار می کنند؟
پروتکل ها ،قوانین وروالهایی برای ارتباطات هستند.وقتی چندین رایانه شبکه سازی می شوند قوانین وروالهای تکنیکی ها حاکم بر ارتباط ومحاوره انها،پروتکل ها نامیده می شود.
3 نکته،مهم درمورد پروتکل ها در محیط شبکه وجود داردعبارتند از:
مثلا پروتکلی که درلایه فیزیکی کارمی کند،به این معنا که پروتکل دران لایه اطمینان می دهدکه بسته داده هاازطریق کارت شبکه درکابل شبکه انتقال می یابد.
مراحل باید به ترتیب در هر رایانه انجام می شوند.در رایانه فرستنده،این مراحل باید از بالا به پایین ودر دستگاه گیرنده از پایین به بالا انجام شود.هر دو رایانه ی فرستنده و گیرنده،نیاز به انجام هر مرحله با روش یکسانی دارند به طوری که وقتی داده ها در یافت می شوند همان داده های ارسالی باشند.
چناچه دورایانه در مرحله متناظری،روشی یکسانی نداشته باشند می توانند به طور موفقیت امیزی ارتباط برقرار نمایند.در چنین حالتی،با قرار دادن یک رابط نرم افزاری یا سخت افزاری سعی در تبدیل دو پروتکل به یکدیگر داریم.
6/2:فرایند مقید سازی(BINDING):
این فرایند،امکان انعطاف پذیری زیادی رادربرپاسازی شبکه فراهم می اورد.پروتکلهاو شبکه می تواند براساس نیازو ترکیب وهماهنگ گردند.
دسته بندی | کامپیوتر و IT |
فرمت فایل | doc |
حجم فایل | 2575 کیلو بایت |
تعداد صفحات فایل | 150 |
نحوه ارسال اطلاعات در مدل OSI
سیگنال ها و پروتکل ها
کامپیوتر های موجود در یک شبکه به طرق مختلفی می توانند با همدیگر ارتباط برقرار کنند اما بخش بزرگی از این فرآیند ربطی به ماهیت داده هایی که از طریق رسانه شبکه عبور می کند ندارد . قبل از اینکه داده هایی که کامپیوتر فرستنده تولید کرده است به کابل یا نوع دیگری از رسانه برسد به سیگنال هایی که متناسب با آن رسانه می باشد تجزیه می شود.این سیگنال ها ممکن است مثلا برای سیم های مسی ولتاژهای الکتریکی برای فیبر نوری پالس های نور و در شبکه های بی سیم امواج رادیویی و مادون قرمز باشند.این سیگنال ها کدی را تشکیل می دهند که رابط شبکه هر کامپیوتر گیرنده ای ٬آنرا به داده های باینری قابل درک با نرم افزار در حال اجرای روی آن کامپیوتر تبدیل می کند .
بعضی از شبکه ها متشکل از کامپیوتر های مشابهی هستند که دارای سیستم عامل و برنامه های یکسانی می باشند در صورتی که شبکه هایی هم وجود دارند که دارای سکوهای (platform) متفاوتی هستند و نرم افزارهایی را اجرا می کنند که کاملا با یکدیگر تفاوت دارند . ممکن است اینطور به نظر آید که برقراری ارتباط بین کامپیوترهای یکسان ساده تر از بین کامپیوتر های متفاوت است و البته در بعضی از موارد این نتیجه گیری صحیح می باشد. صرفنظر از نرم افزارهایی که در یک شبکه روی کامپیوترها اجرا می شود و صرفنظر از نوع آن کامپیوترها ، باید زبان مشترکی بین آنها وجود داشته باشد تا برقراری ارتباط میسر شود . این زبان مشترک پروتکل نامیده می شود و حتی در ساده ترین نوع تبادل اطلاعات ، کامپیوترها از تعداد زیادی از آنها استفاده می کنند.در واقع همانطور که برای اینکه دو نفر بتوانند با یکدیگر صحبت کنند باید از زبان مشترکی استفاده کنند کامپیوترها هم برای تبادل اطلاعات نیاز به یک یا چند پروتکل مشترک دارند .
یک پروتکل شبکه می تواند نسبتا ساده یا کاملا پیچیده باشد .در بعضی موارد پروتکل فقط یک کد است (مثلا الگویی از ولتاژهای الکتریکی ) که مقدار دودویی یک بیت را نشان می دهد و همانطور که می دانید این مقدار می تواند 0 یا 1 باشد. پروتکل های پیچیده تر شبکه می توانند سرویس هایی را ارائه دهند که بعضی از آنها در اینجا نام برده شده است:
اعلام دریافت بسته (packet acknowledgment) :که ارسال یک پیغام از طرف گیرنده به فرستنده مبنی بر دریافت یک یا چند بسته می باشد. یک بسته جزء بنیادی اطلاعات فرستاده شده روی یک شبکه محلی (LAN) می باشد.
بخش بندی (segmentation) : که در واقع به تقسیم کردن یک جریان داده طولانی به بخش های کوچکتر می باشد به صورتی که بتوان آنرا در داخل بسته ها ، روی یک شبکه انتقال داد .
کنترل جریان (flow control) : شامل پیغام هایی می باشد که از طرف گیرنده به فرستنده مبنی بر بالا یا پایین بردن سرعت انتقال داده فرستاده می شود .
تشخیص خطا (error detection) : شامل کدهای بخصوصی می باشد که در یک بسته وجود دارد و سیستم گیرنده از آنها برای اطمینان از اینکه داده های آن بسته سالم به مقصد رسیده است یا نه استفاده می کند .
تصحیح خطا (error correction) : پیغام هایی که توسط سیستم گیرنده تولید می شود و به اطلاع فرستنده می رسانند که بسته های معینی آسیب دیدند و باید دوباره فرستاده شوند .
فشرده سازی (data compression) : مکانیزمی است که در آن با حذف اطلاعات اضافه، مقدار داده ای را که باید از طریق شبکه فرستاده شود در حد امکان کم می کنند .
کدگذاری داده (data encryption) : مکانیزمی است برای محافظت از داده هایی که قرار است از طریق شبکه منتقل شود و در آن توسط کلیدی که سیستم گیرنده از آن مطلع است داده ها کد گذاری می شوند.
اغلب پروتکل ها بر مبنای استاندارد های عمومی می باشند که توسط یک کمیته مستقل تولید شده اند نه یک تولید کننده بخصوص. بدین صورت این تضمین وجود دارد که سیستم های مختلف می توانند از آنها به راحتی استفاده کنند .
معهذا هنوز تعدادی پروتکل وجود دارد که اختصاصی هستند و هرگز در بین عموم معرفی نشده اند مسئله مهمی که همیشه باید در نظر داشت این است که همه ی کامپیوتر های موجود در یک شبکه در طول فرآیند برقراری ارتباط و تبادل اطلاعات از پروتکل های گوناگون استفاده می کنند .کارهایی که پروتکل های مختلف در یک شبکه انجام می دهند در بخش هایی به نام لایه تقسیم می شوند که مدل OSI را تشکیل می دهند .
رابطه ی بین پروتکل ها
اغلب به مجموع پروتکل هایی که در لایه های مختلف مدل OSI وجود دارد پشته پروتکل اطلاق می شود .این مجموعه پروتکل ها به کمک همدیگر سرویس هایی را که یک برنامه بخصوص ممکن است نیاز داشته باشد ، ارائه می کنند و هیچ یک از آنها قابلیت انجام کار دیگری را ندارند به عنوان مثال اگر پروتکلی در یک لایه سرویس خاصی را ارائه می کند ، پروتکل های موجود در لایه های دیگر دقیقا آن سرویس خاص را ارائه تامین نمی کنند . نسبت به جهت جریان داده ها ، پروتکل های لایه های کنار همدیگر سرویس هایی را برای همدیگر تامین می کنند در یک شبکه ، اطلاعات از یک برنامه که در لایه بالایی پشته پروتکل قرار دارد سرچشمه می گیرد و متعاقبا لایه ها را به سمت پایین طی می کند .
پایین ترین بخش پشته پروتکل را رسانه شبکه تشکیل می دهد که وظیفه انتقال داده ها به کامپیوتر های دیگر موجود در شبکه را دارد .
وقتی داده ها از طریق شبکه به مقصد می رسند ، کامپیوتر گیرنده دقیقا عکس عملیاتی را که کامپیوتر فرستنده انجام داده است باید انجام دهد .
اطلاعات از لایه پایینی پشته به سمت برنامه گیرنده که در لایه بالایی قرار دارد عبور می کند و در هر لایه عملیاتی مشابه با آنچه در فرستنده در همان لایه انجام شده است ،اعمال می شود به عنوان مثال اگر پروتکلی در لایه سوم فرستنده مسئول کد گذاری اطلاعات می باشد ، همان پروتکل در لایه سوم گیرنده مسئول کد گشایی اطلاعات می باشد .به این صورت پروتکل های موجود در لایه های مختلف سیستم فرستنده با پروتکل های معادل خود که در همان لایه اولی در بخش گیرنده وجود دارند ارتباط بر قرار می کنند .شکل 2 این مطلب را نمایش می دهد.
تاریخچه پیدایش شبکه
در سال 1957 نخستین ماهواره، یعنی اسپوتنیک توسط اتحاد جماهیر شوروی سابق به فضا پرتاب شد. در همین دوران رقابت سختی از نظر تسلیحاتی بین دو ابرقدرت آن زمان جریان داشت و دنیا در دوران رقابت سختی از نظر تسلیحاتی بین دو ابر قدرت آن زمان جریان داشت و دنیا در دوران جنگ سرد به سر می برد. وزارت دفاع امریکا در واکنش به این اقدام رقیب نظامی خود، آژانس پروژه های تحقیقاتی پیشرفته یا آرپا (ARPA) را تاسیس کرد. یکی از پروژه های مهم این آژانس تامین ارتباطات در زمان جنگ جهانی احتمالی تعریف شده بود. در همین سال ها در مراکز تحقیقاتی غیر نظامی که بر امتداد دانشگاه ها بودند، تلاش برای اتصال کامپیوترها به یکدیگر در جریان بود. در آن زمان کامپیوتر های Mainframe از طریق ترمینال ها به کاربران سرویس می دادند. در اثر اهمیت یافتن این موضوع آژانس آرپا (ARPA) منابع مالی پروژه اتصال دو کامپیوتر از راه دور به یکدیگر را در دانشگاه MIT بر عهده گرفت. در اواخر سال 1960 اولین شبکه کامپیوتری بین چهار کامپیوتر که دو تای آنها در MIT، یکی در دانشگاه کالیفرنیا و دیگری در مرکز تحقیقاتی استنفورد قرار داشتند، راه اندازی شد. این شبکه آرپانت نامگذاری شد. در سال 1965 نخستین ارتباط راه دور بین دانشگاه MIT و یک مرکز دیگر نیز برقرار گردید.
در سال 1970 شرکت معتبر زیراکس یک مرکز تحقیقاتی در پالوآلتو تاسیس کرد. این مرکز در طول سال ها مهمترین فناوری های مرتبط با کامپیوتر را معرفی کرده است و از این نظریه به یک مرکز تحقیقاتی افسانه ای بدل گشته است. این مرکز تحقیقاتی که پارک (PARC) نیز نامیده می شود، به تحقیقات در زمینه شبکه های کامپیوتری پیوست. تا این سال ها شبکه آرپانت به امور نظامی اختصاص داشت، اما در سال 1927 به عموم معرفی شد. در این سال شبکه آرپانت مراکز کامپیوتری بسیاری از دانشگاه ها و مراکز تحقیقاتی را به هم متصل کرده بود. در سال 1927 نخستین نامه الکترونیکی از طریق شبکه منتقل گردید.
در این سال ها حرکتی غیر انتفاعی به نام MERIT که چندین دانشگاه بنیان گذار آن بوده اند، مشغول توسعه روش های اتصال کاربران ترمینال ها به کامپیوتر مرکزی یا میزبان بود. مهندسان پروژه MERIT در تلاش برای ایجاد ارتباط بین کامپیوتر ها، مجبور شدند تجهیزات لازم را خود طراحی کنند. آنان با طراحی تجهیزات واسطه برای مینی کامپیوتر DECPDP-11 نخستین بستر اصلی یا Backbone شبکه کامپیوتری را ساختند. تا سال ها نمونه های اصلاح شده این کامپیوتر با نام PCP یا Primary Communications Processor نقش میزبان را در شبکه ها ایفا می کرد. نخستین شبکه از این نوع که چندین ایالت را به هم متصل می کرد Michnet نام داشت.
روش اتصال کاربران به کامپیوتر میزبان در آن زمان به این صورت بود که یک نرم افزار خاص بر روی کامپیوتر مرکزی اجرا می شد. و ارتباط کاربران را برقرار می کرد. اما در سال 1976 نرم افزار جدیدی به نام Hermes عرضه شد که برای نخستین بار به کاربران اجازه می داد تا از طریق یک ترمینال به صورت تعاملی مستقیما به سیستم MERIT متصل شوند.این، نخستین باری بود که کاربران می توانستند در هنگام برقراری ارتباط از خود بپرسند: کدام میزبان؟
از وقایع مهم تاریخچه شبکه های کامپیوتری، ابداع روش سوئیچینگ بسته ای یا Packet Switching است. قبل از معرفی شدن این روش از سوئیچینگ مداری یا Circuit Switching برای تعیین مسیر ارتباطی استفاده می شد. اما در سال 1974 با پیدایش پروتکل ارتباطی TCP/IP از مفهوم Packet Switching استفاده گسترده تری شد. این پروتکل در سال 1982 جایگزین پروتکل NCP شد و به پروتکل استاندارد برای آرپانت تبدیل گشت. در همین زمان یک شاخه فرعی بنام MILnet در آرپانت همچنان از پروتکل قبلی پشتیبانی می کرد و به ارائه خدمات نظامی می پرداخت. با این تغییر و تحول، شبکه های زیادی به بخش تحقیقاتی این شبکه متصل شدند و آرپانت به اینترنت تبدیل گشت. در این سال ها حجم ارتباطات شبکه ای افزایش یافت و مفهوم ترافیک شبکه مطرح شد.
مفهوم شبکه
هسته اصلی سیستم های توزیع اطلاعات را شبکه های کامپیوتری تشکیل می دهند. مفهوم شبکه های کامپیوتری بر پایه اتصال کامپیوتر ها و دیگر تجهیزات سخت افزاری به یکدیگر برای ایجاد امکان ارتباط و تبادل اطلاعات استوار شده است. گروهی از کامپیوتر ها و دیگر تجهیزات متصل به هم را یک شبکه می نامند.
ساده ترین نوع شبکه با متصل کردن چند کامپیوتر به وسیله کابل های خاصی به وجود می آید . ممکن است یک چاپگر به یکی از کامپیوترها متصل باشد و با استفاده از این سیستم شبکه ٬ این چاپگر به اشتراک بقیه کامپیوترها نیز گذاشته شود . همچنین ممکن است چاپگر مستقیما به شبکه متصل شده باشد . سایر تجهیزات جانبی کامپیوتر نیز می توانند برای استفاده همه کاربران در یک شبکه به اشتراک گذاشته شوند . هر دستگاه با یک کابل به شبکه اتصال می یابد و دارای یک آدرس یگانه و منحمصر به فرد است ٬ که در شبکه با آن آدرس شناخته می شود . به همین دلیل اطلاعات دقیقا به همان کامپیوتری که مد نظر است فرستاده می شود و خطایی رخ نمی دهد . دسترسی به منابع به اشتراک گذاشته دارای ارزش بسیار زیادی است . یک منبع می تواند یک فایل ٬ متن ٬ چاپگر ٬ دیسک سخت ٬ مودم یا دسترسی به اینترنت باشد و حتی توانایی پردازش کامپیوترها نیز می تواند به اشتراک گذاشته شود . به اشتراک گذاشتن منابع بیان شده نوعی قابلیت سیستم عامل تحت شبکه است که به کاربر امکان دسترسی به اطلاعات موجود در سایر کامپیوترهای شبکه را می دهد . نکته مهم در این سیستم این است که سیستم عامل باید دارای امنیت باشد و باید بتواند در دسترسی به اطلاعات (به خصوص داده ها ) محدودیت ایجاد کند.
فهرست
فصل اول ....................................................................................... 1
سیگنال ها و پروتکل ها ................................................................
فصل دوم ...................................................................................... 39
مدل OSI
فصل سوم..................................................................................... 54
پروتکل TCP/IP
فصل چهارم..................................................................................... 81
لایه اینترنت
فصل پنجم..................................................................................... 121
ارسال اطلاعات با استفاده از TCP/IP
فصل ششم..................................................................................... 129
مسیریابی
دسته بندی | کامپیوتر و IT |
فرمت فایل | doc |
حجم فایل | 47 کیلو بایت |
تعداد صفحات فایل | 52 |
پروتکل TCP/IP
از زمان پیدایش آن در دهه 1970مجموعه پروتکلTCP/IPبه عنوان استاندارد صنعتی برای پروتکل های انتقال داده در لایه های شبکه و انتقال مدل OSI پذیرفته شده است.علاوه بر این،این مجموعه شامل تعداد زیادی پروتکل های دیگر است که از لایه پیوند داده تا لایه کاربردی کار میکنند.
سیستم های عامل به تسهیل شکل ظاهری پشته می پردازند تا آن را برای کاربران عادی قابل فهم تر کنند.مثلاً در یک ایستگاه کاری ویندوز،نصبTCP/IPبا انتخاب فقط یک واحد که پروتکل نامیده
می شود انجام می شود ،در حالی که در حقیقت طی این فرآیند ، پشتیبان یک خانواده کامل از پروتکل ها نصب می گردد ، که پروتکل کنترل ارسال (TCP) و پروتکل اینترنت (IP) فقط دو تا از آنها هستند.انتخابهای دیگر غیر از TCP/IPنیز تا حدود زیادی به همین صورت عمل می کنند. مجموعه پروتکل IPX شامل چند پروتکل است که عملکرد آنها شبیه TCP/IPمی باشد ، و NETBEUIهر چند خیلی ساده تر است اما برای انجام بسیاری از عملیات خود به پروتکل های دیگری وابسته می باشد ، مثل (SMB)
SERVER MESSAGE BLOCKS.
آگاهی از نحوه عملکرد پروتکل های مختلف TCP/IPو نحوه کار آنها با هم برای ارائه سرویسهای ارتباطی لازمه مدیریت شبکه های TCP/IPمی باشد .
خواص TCP/IP
اینکه چرا TCP/IPبه مجموعه پروتکل منتخب برای غالب شبکه های داده تبدیل شده است دلایل متعددی دارد ،و یکی از آنها این است که اینها پروتکلهایی هستند که در اینترنت مورد استفاده قرار می گیرند. TCP/IP مدتی پیش از عرضه PC برای پشتیبانی از اینترنت جوان طراحی شد (که بعدها آرپانت نام گرفت)، در واقع در زمانی که تعامل بین محصولات ساخت سازندگان مختلف تقریباً مسئله جدیدی بود ، اینترنت از انواع مختلف زیادی از کامپیوترها تشکیل شده بود و هست و بدین لحاظ به مجموعه پروتکلی نیاز بود که توسط همه آنها به طور مشترک مورد استفاده قرار گیرد .
مهمترین عنصری کهTCP/IPرا از سایر مجموعه پروتکل ها که سرویس های لایه های شبکه و انتقال را در اختیار می گذارند متمایز می کند مکانیزم آدرس دهی جامع آن است .به هر یک از وسیله های روی یک شبکه TCP/IP یک (یا گاهی بیش ازیک)آدرس IPاختصاص داده می شود که آن را به طور یکتا به سیستم های دیگر میشناساند.
بیشترPCهای شبکه های امروزی از آداپتورهای واسط شبکه اترنت یاTOKEN RING استفاده می کنند که شناسه های یکتایی(آدرس های MAC) به صورت سخت افزاری در آنها حک شده است و این شناسه ها باعث می شوند که آدرس هایIP مازاد مصرف شوند.اما به بسیاری از انواع دیگر کامپوترها شناسه هایی توسط مدیران شبکه اختصاص داده می شود،و هیچ مکانیزمی وجود نداردکه تضمین کند سیستم دیگری از یک شبکه تقابلی جهانی همچون اینترنت از همان شناسه استفاده نمی کند.
از آنجا که یک مجمع مرکزی وجود دارد که آدرسهای IPرا ثبت می کند،میتوان مطمئن بود که هیچ دو دستگاهی از اینترنت(اگر پیکربندی درستی داشته باشند) آدرسشان یکی نیست .به دلیل همین آدرس دهی است که پروتکل هایTCP/IPمی توانند تقریباً هر پلت فرم نرم افزاری یا سخت افزاری را که در حال حاضر به کار میرود پشتیبانی کنند.
پروتکل های IPX همیشه اساساً با ناول نت ور همراه خواهند بود، وازNETBEUI تقریباً فقط در شبکه های مایکرو سافت ویندوز استفاده می شود . اما TCP/IP واقعاً تعامل جهانی پلت فرمها را ممکن می سازد، به طوری که همه آن را پشتیبانی می کنند و هرگز مغلوب پروتکل دیگری نشده است .
جنبه منحصربه فرد دیگر پروتکلهای TCP/IP نحوه طراحی ،تخلیص و تصویب استانداردهای آنهاست . به جای وابستگی به یک مجمع تدوین استاندارد همچون IEEE، پروتکلهای TCP/IP با حفظ اصول دموکراسی و توسط یک گروه اتفاقی از داوطلبان که از طریق خود اینترنت ارتباط گسترده ای دارند تدوین میشوند ،و مقدم هر کس که علاقمند به شرکت در تدوین یک پروتکل باشد گرامی داشته می شود. علاوه بر این خود استانداردها توسط مجمعی تحت عنوان (IETF)
INTERNET ENGINEERING TASK FORCE منتشر می شوند و در اختیار عموم قرار می گیرند ، و برای همه کس قابل دسترسی و دریافت هستند . استانداردهایی همچون آنها که IEEE منتشر می کند نیز در دسترس هستند ، ولی تا همین چند وقت پیش برای خریدن یک کپی از یک استاندارد IEEE مثل 3/802 که اترنت بر اساس آن است باید صدها دلار می پرداختید . این در حالی است که می توان هر یک از استانداردهای TCP/IPرا که Request for commetns (RFCها) نامیده میشوند از سایت وب IETF درhttp://www.ietf.org/، یا از برخی سایتهای اینترنت دیگر به طور قانونی داون لود کرد .
پروتکلهای TCP/IP مقیاس پذیری فوق العاده ای دارند .شاهدی بر این مدعا آن است که این پروتکل ها زمانی طراحی شدند که آرپانت اساساً یک کلوب انحصاری برای دانشگاهیان و دانشمندان بود و هیچ کس تصور آن را هم نمی کرد که این پروتکل ها که تولید می شوند زمانی روی شبکه ای به اندازه اینترنت کنونی به کار گرفته شوند . عامل اصلی محدود کننده گسترش اینترنت در حال حاضر فضای آدرس خود IP است که 32بیتی می باشد ، و نسخه جدید پروتکل IP تحت عنوان IPV6 در صدد رفع این نقیصه به کمک یک فضای آدرس 128بیتی است .
معماری TCP/IP
TCP/IP برای آن طراحی شده است که شبکه های با تقریباً هر اندازه ای را پشتیبانی کند . در نتیجه TCP/IPباید بتواند سرویسهای مورد نیاز برنامه هایی که از آن استفاده می کنند را بدون مصرف زیاد پهنای باند و سایر منابع شبکه در اختیار آنها قرار دهد . مثلاً پروتکل NETBEUI با ارسال یک پیغام همگانی و انتظار دریافت پاسخ از سیستم مطلوب سیستمهای دیگر را شناسایی می کند .
به همین دلیل NETBEUI فقط روی شبکه های کوچک که از یک دامنه انتشار تشکیل شده اند به کار می رود. تصور کنید که در اینترنت هر کامپیوتر برای پیدا کردن یک دستگاه دیگر مجبور بود هر بار یک پیغام همگانی را برای میلیون ها دستگاه شبکه ارسال نماید ! برای رسیدگی به نیازهای برنامه های خاص و عملیات داخل آنها ، TCP/IPاز ترکیب چند پروتکل استفاده می کند تا کیفیت سرویس لازم برای این منظور را در اختیار بگذارد .
پشته پروتکل TCP/IP
قدمت TCP/IP از مدل مرجعOSI بیشتر است،ولی پروتکل های آن به چهار لایه تقسیم می شوندکه می توانند تقریباً معادل پشته هفت لایه ای OSI می باشند.
کاربردی کاربردی
نمایش -
جلسه -
انتقال انتقال
شبکه اینترنت
پیوند دادها پیوند
فیزیکی -
OSI TCP/IP
درLANها،عملکرد لایه پیوند را یک پرتکلTCP/IP تعریف نمی کند،بلکه پروتکل های استاندارد لایه پیوند داده ها همچون اترنت و TOKEN RING تعریف میکنند.برای برقراری مصالحه بین آدرس MAC که آداپتور واسط شبکه در اختیارمی گذارد و آدرس IP که در لایه شبکه به کار میرود،سیستم ها از یک پروتکل TCP/IP به نام پروتکل تصمیم گیری درباره آدرس (ARP) استفاده می کنند ،اما استانداردهایTCP/IP دو پروتکل را تعریف می کنند که معمولاً برای برقراری ارتباطات لایه پیوند با استفاده از مودم و سایر اتصالات مستقیم از آنها استفاده می شود.این دو عبارتند از:پروتکل نقطه به نقطه (PPP) و پروتکل اینترنت خط سری(SLIP).
در لایه اینترنت،پروتکل اینترنت (IP) قرار داردکه حامل اصلی همه پروتکل هایی است که در لایه های بالاتر کار می کنند،و پروتکل پیغام های کنترلی اینترنت (ICMP) ،که سیستم های TCP/IPاز آن برای عملیات تشخیصی و گزارش خطا استفاده می کنند.IP،به عنوان یک پروتکل حامل عمومی،بدون اتصال و غیر قابل اطمینان است ، زیرا سرویسهایی همچون تصحیح خطا و تحویل تضمین شده در صورت لزوم توسط لایه انتقال ارائه می شوند .
در لایه انتقال ، دو پروتکل کار می کنند : پروتکل کنترل ارسال (TCP) و پروتکل دیتاگرام کاربر (UDP) . TCPاتصال گرا و قابل اطمینان است ،در حالی که UDP بدون اتصال و غیر قابل اطمینان می باشد.هر برنامه بسته به نیازهای خود و سرویس هایی که لایه های دیگر در اختیارش می گذارند از یکی از این دو استفاده می کند .
می توان گفت که لایه انتقال به گونه ای شامل لایه های نشست و انتقال مدل OSI است ، ولی نه از هر لحاظ . مثلاً سیستم های ویندوز می توانند برای انتقال پیغام های نت بایوس که برای عملیات اشتراک فایل و چاپگر مورد استفاده شان قرار می گیرند از TCP/IP استفاده کنند ، و نت بایوس همچنان همان عملکرد لایه نشستی را در اختیار می گذارد که وقتی سیستم از NETBEUI یا IPX به جای TCP/IP استفاده می کند ارائه می دهد . این فقط یک مثال است از اینکه چگونه لایه های پشته پروتکل TCP/IP تقریباً معادل لایه های مدل OSI هستند ، ولی انطباق کاملی بین آنها وجود ندارد . هر دوی این مدلها بیشتر ابزارهای آموزشی و تشخیصی هستند .تا دستور العمل تدوین و سازمان دهی پروتکل ، و تطابق دقیقی بین عملکرد لایه های مختلف و پروتکلهای واقعی وجود ندارد .
تعریف لایه کاربردی از همه دشوارتر است ،زیرا پروتکل هایی که در این لایه کار می کنند می توانند خود برنامه های وزین و کاملی باشند مثل پروتکل انتقال فایل (FTP)، یا مکانیزم هایی که توسط سایر برنامه ها به کار می روند و سرویسی را ارائه می کنند ، مثل سیستم نام دامنه (DNS) و پروتکل ساده انتقال نامه (SMTP) .