آقای شبکه

فناوری وایرلس و یا بی سیم می تواند قابلیت ارسال و دریافت داده را در فواصل دور و نزدیک فراهم نماید. تجهیزات وایرلس از پرکاربردترین تجهیزات شبکه به شما می روند که در این میام رادیو وایرلس به دلیل وجود قدرت و توان بیشتر نسبت به نمونه‌های مشابه محدوده وسیع‌تری را پوشش می‌دهد و یکی از مهم‌ترین تجهیزاتی است که برای انتقال تصاویر دوربین یا اطلاعات در مسافت‌های طولانی استفاده می‌شود.

رادیو وایرلس چیست؟

همانطور که گفته شد رادیو وایرلس دستگاهی است که امکان جابه جایی دیتا را در فواصل طولانی فراهم کرده و از امواج رادیویی برای انتقال استفاده می نمایند. آنها از دو طریق می توانند دیتا را منتقل نمایند که شامل نقطه به نقطه (PTP) یا یک نقطه به چند نقطه (PTMP) می باشد. این رادیوها یا خود دارای آنتن یکپارچه بوده مانند SXT و یا به صورت Netmetal هستند که در این صورت نیاز به خرید یک آنتن جداگانه دارید.

زمانیکه انتقال دیتا توسط شبکه سیمی امکانپذیر نباشد شبکه وایرلس می تواند بهترین گزینه انتخابی بوده که برای این منظور از رادیو استفاده می شود. البته این نکته را نیز در نظر بگیرید که با توجه به مسافتی که دیتا باید طی کند شما باید رادیو مناسب را خریداری نماید. گاهاً فاصله بین دو نقطه یکی از مهم‌ترین مزایای رادیو وایرلس‌ها انعطاف‌پذیری آن‌ها است، به‌طوری که می‌توان از آن‌ها برای انتقال اطلاعات در فواصل مختلف استفاده کرد. گاهی اوقات ضروری است اطلاعات در مسافت‌های طولانی به‌اشتراک گذاشته شوند در نتیجه رادیو وایرلس بهترین گزینه برای دریافت و ارسال داده‌ها است.

مزایای استفاده از رادیو وایرلس:

از جمله مزایای استفاده از رادیو وایرلس می توان به:

• مقرون به صرفه: کاهش هزینه های مربوط به تجهیزات فیزیکی با استفاده از امواج و سیگنال‌ها
• انعطاف پذیری: افزایش انعطاف پذیری به دلیل عدم استفاده از کابل کشی
• قابلیت گسترش و افزونگی: با توجه به بی‌سیم بودن این تجهیزات می توان به راحتی و تا فواصل طولانی‌تر این شبکه را گسترش داد.
• قابلیت پیاده سازی ساده: زیرا دیتا را از طریق امواج دریافت خواهند کرد.
• انتقال داده‌ها بدون محدودیت مکانی

عوامل موثر در انتخاب رادیو وایرلس:

• قدرت آنتن دهی رادیو وایرلس : قدرت آنتن دهی رادیو می باشد که هر چقدر بیشتر باشد به منزله قدرت بیشتر رادیو بی سیم می باشد.
• مشخصات پردازنده آن : این نکته را در نظر داشته باشید که اگر بخواهید برای شبکه های خیلی بزرگ، اطلاعات ارسال و دریافت داشته باشید، مسلماً نیاز به رادیویی دارید که از نظر سخت افزاری بالا باشد تا بتواند حجم بالایی از اطلاعات و داده های شما را رد و بدل کند و پاسخگوی کامل باشد.
• پهنای باند و مسافت تحت پوشش : به‌طور مثال، برخی از مدل‌ها برای پوشش‌دهی محدوده‌ای به مسافت زیر ۱۰ کیلومتر با نرخ انتقال ۳۰۰ مگابیت بر ثانیه طراحی شده‌اند که البته این آمار بیشتر در در محیط‌های آزمایشگاهی به‌دست آمده و در دنیای واقعی با توجه به پارامترهای محیطی مثل آب‌ و هوا و نویزهای موجود در محیط دستیابی به این مقدار کمتر می‌شود و برخی دیگر نیز برای پوشش‌دهی محدوده بزرگ‌تری به شعاع ۳۰ کیلومتر در نظر گرفته شده‌اند که برای این منظور باید از آنتن‌های جداگانه‌ای که قدرت بالایی دارند استفاده شود.

بارزترین مشخصات یک رادیو وایرلس:

• پردازنده، حافظه رم و حافظه فلش
• لایسنس لول
• عملکرد سیستم
• استاندارد و مشخصات شبکه بی سیم
• تامین توان (Passive PoE)

کاربرد رادیو وایرلس:

قبل از ورود تجهیزات وایرلس به دنیای فناوری اطلاعات، انتقال دیتا برای مسافت های طولانی یا به سختی صورت می گرفت و یا به طور کل انجام نمی شد. مثلا اگر قرار بودن دو شعبه یک شرکت و یا سازمان را به یکدیگر متصل کنیم، این کار به دلیل حجم بالای کابل کشی بسیار سخت صورت می گرفت. اما با استفاده از رادیو وایرلس این کار به راحتی صورت گرفته و هزینه سایر تجهیزات شبکه به شدت کاهش می یابد.

پس کاربرد رادیو وایرلس را می‌توان انتقال و جابجایی داده‌ها، صوت و تصاویر بدون محدوده مکانی دانست، این امکانات به واسطه آنتن‌های بی‌سیم صورت می پذیرد. استفاده از رادیو بی‌سیم در سازمان‌ها و موسسات بزرگ کارایی بالایی دارد به علاوه در انتقال فایل‌ها در دوربین مدار بسته نیز نقش مهمی را ایفا کرده است.

آشنایی با انواع رادیو وایرلس:

رادیو بی سیم ها در قالب دو گروه تقسیم بندی شده اند که هر یک وظیفه و کاربرد خاص خود را دارند که شامل:

• رادیو وایرلس indoor
• رادیو وایرلس outdoor

پس یکی از مهمترین نکاتی که باید در نظر گرفته شود این است که رادیو قرار است در کجا نصب شود. اگر قصد استفاده از رادیو وایرلس در محیط‌های باز مثل نمایشگاه‌ها و پارک‌ها را دارید cAP و wAP و cAP lite و Metal 2 و Groove 2 از گزینه‌های خوب در این زمینه هستند.

اگر قصد استفاده از رادیو وایرلس در محیط‌های بزرگ را دارید، به‌طوری که قرار است فرایند انتقال اطلاعات در مسافت‌های طولانی ارسال شوند QRT 5 و Metal 5 و NetBox 5 و BaseBox 5 و DynaDish 5 و NetMetal 5 از گزینه‌های مطرح در این زمینه هستند و اگر قصد استفاده از رادیو وایرلس در مکان‌های کوچک مانند خانه و دفاتر را دارید SXT 5 و LHG 5 و SXTsq 5 و SXT Lite5 و DISC Lite5 و SXTsq Lite5 از گزینه‌های خوب در این زمینه هستند.

پس به طور کلی نتیجه می گیریم که رادیو بی‌سیم indoor و رادیو بی‌سیم outdoor دو نقطه مقابل هم هستند زیرا کمترین شباهتی در انتقال داده‌ها به واسطه این دو وجود دارد. به این صورت که ارسال بسته با موج کوتاه به واسطه رادیو بی‌سیم outdoor صورت می‌گیرد در حالیکه در رادیو وایرلس indoor باید از امواج بلند استفاده شود.

اینترنت وایرلس رادیویی:

اینترنت وایرلس رادیویی فناوری است که به تمام نیازهای کاربران برای اتصال به شبکه اینترنت پاسخ می دهد. در این فناوری، کاربر بدون نیاز به خط تلفن می‌تواند با نصب تجهیزات اینترنت رادیوئی در پشت بام یا بالکن ساختمان خود از پهنای باند فرکانسی برای ارسال و دریافت داده‌‌ها استفاده کند.

به‌طور معمول، اینترنت وایرلس رادیویی بر مبنای نیازهای کاربران به گروه‌های مختلفی تقسیم می‌شود که هر یک پهنای باند متفاوتی در اختیار کاربران قرار می‌دهند. بنابراین مهم است هنگامی که قصد استفاده از این نوع اینترنت را دارید به نیازهای کاری دقت کنید، زیرا این مدل اینترنت قیمت بیشتری نسبت به مدل‌های رایج دارد.

شرکت‌ها کاربران را به سه گروه خانگی، تجاری و حرفه‌ای تقسیم می‌کنند:

1. کاربران خانگی به ساختمان تک واحدی یا چند واحدی اشاره دارند که سرعتی در بازه ۴ تا ۱۲ مگ دریافت می‌کنند.
2. کاربران تجاری به شرکت‌های تجاری کوچک تا متوسط و همچنین مجتمع‌ها اشاره دارند که اینترنتی در بازه ۱۰ تا ۲۰ مگ دریافت می‌کنند.
3. کاربران حرفه‌ای مثل شرکت‌های بزرگ و هتل‌ها که اینترنتی در بازه ۳۰ تا ۵۰ مگ دریافت می‌کنند.

آنتن رادیویی وایرلس:

خرید آنتن وایرلس ارزان می تواند مشکلات زیادی را هنگام انتقال دیتا ایجاد نماید. پس بهتر است به جای آنکه برند و یا مبلغ کاربرد و ویژگی های فنی آن دستگاه را مورد بررسی قرار دهیم.

به‌طور معمول آنتن رادیویی وایرلس باید ویژگی‌های زیر را داشته باشد:

1. در شرایط بد جوی و به ویژه هنگامی که باد شدید می‌وزد امواج رادیویی را در جهت درست انتقال دهد.
2. دامنه وسیعی را پوشش دهد.
3. عمر عملیاتی مفید خوبی داشته باشد.
4. نور مستقیم خورشید بر عملکرد آن تاثیر منفی نگذارد.
5. عرض پرتو (Beamwidth) قابل قبولی داشته باشد.
6. قابلیت کار در باند فرکانسی ۵ گیگاهرتز را داشته باشد.
7. توان عملیاتی (دی‌سی‌بل) بالایی داشته باشد.
8. طراحی Dual Polarization داشته باشد. به این معنا که قابلیت ارسال امواج را به صورت افقی و عمودی داشته باشد و پهنای باند و زاویه مطلوب به‌طور مثال ۱۲۰ درجه در حالت افقی داشته باشد.
9. مجهز به ویژگی کاهش تاثیر تابش‌دهنده دستگاه‌های RF مجاور با آنتن باشد.
10. از تکنیک کنترل فشار باد و نویز محیط استفاده کند تا امواج به شکل پایداری ارسال شوند.

پرکاربردترین رادیو وایرلس در ایران کدام است؟

رادیو وایرلس میکروتیک پرفروش ترین و پرکاربردترین رادیو وایرلس در ایران می باشد که در انواع مختلف با ویژگی های متفاوتی تولید شده اند. شما می توانید متناسب با نیاز خود رادیو مورد نظر خود را انتخاب نمایید.

نحوه برقراری ارتباط بین یک یا چند رادیو وایرلس:

ارتباطات وایرلس به چند دسته تقسیم می شوند که شامل: 

ـ  Point to Point:

این نوع ارتباط بین دو نقطه می باشد که برای برقراری ارتباط بین این نقاط از رادیوی وایرلس استفاده می شود. که در آن یک رادیو در نقش سرویس دهنده یا Access Point و رادیوی دیگر در نقش سرویس گیرنده یا Station می باشد. اتصالات Point to Point را می توان در مسافت کم و حتی مسافت زیاد تا ده ها کیلومتر استفاده کرد.

این روش برای شرکت هایی که دارای 2 شعبه بوده و تمایل دارند بین این آنها ارتباط برقرار نمایند استفاده می شود. این نوع از اتصالات زمانی برقرار می شود که دید کاملاً مستقیم و بدون مانع باشد. یکی از مزایای این نوع ارتباط رادیویی هزینه به صرفه و همچنین راه اندازی آسان آن نسبت به سایر روش ها می باشد.

ـ Point to MultiPoint:

این نوع ارتباط بین چند نقطه که برای برقراری ارتباط بین نقاط از رادیوی وایرلس استفاده می شود. که در آن یک رادیو نقش سرویس دهنده یا اکسس پوینت و رادیوهای دیگر در نقاط مختلف نقش سرویس گیرنده یا Station را ایفا می کنند. از این روش زمانی استفاده می شود که یک شرکت دارای شعبات مختلفی بوده و تمایل دارد بین کلیه این شعبات ارتباط برقرار نماید، در این حالت ارتباط Point to Multipoint می تواند گزینه مناسبی باشد.

زیرا این روش همانطور که گفته شد علاوه بر هزینه مناسب، دارای نصب آسانی نیز بوده و تنها گزینه ای که می بایست در آن آن رعایت شود دید مستقیم بدون وجود هیچ گونه مانعی می باشد.

منبع: راديو وايرلس چيست و چه کاربردي دارد

مطمئنا به عنوان یک ادمین شبکه برای شما پیش آمده که صدای فن های سرور اچ پی شما به حدی زیادی باشد که تمرکز شما را مختل نماید. حال این سرورها در نزدیکی سایر کاربران، می توان بسیار آزار دهنده باشد. اما این تنها مشکل نیست بلکه این صدا علاوه بر مزاحمت نشانه یک اختلال در سرور شما است. پس در ادامه همراه ما باشید تا با دلیل صدای فن سرور hp آشنا شویم و بدانیم چطور می توانیم آن را برطرف نماییم.

دلایل صدای فن سرور hp:

همانطور که می دانید سرورهای HP بسیار گران بوده و مراقبت از آنها امری اجتناب ناپذیر است. پس مدیران شبکه همواره می بایست نظارت بر عملرد هر یک از اجزای شبکه علی الخصوص سرورها را در دستور کار خود قرار دهند. حال سروصدای فن سرور اچ پی می تواند دلایل مختلفی داشته باشد که عدم توجه به هر کدام می تواند به سرور شما آسیب وارد نماید و در نتیجه شبکه شما دچار اختلال شود. از جمله عوامل صدای فن سرور hp می توان به:

1ـ جریان هوای نادرست:

عمکرد فن‌های سرور، گردش هوا جهت خنک کردن قطعات در حین کار است. حال اگر جریان هوا در محل قرارگیری سرور با اختلال روبه‌رو باشد، فن‌های سرور نمی‌توانند به راحتی کار خود را انجام دهند. به همین دلیل، فن مجبور می‌شود با سرعت بالاتری کار کند. همچنین دمای اتاق سرور را هم باید در نظر گرفت و مدام کنترل کرد. محیط‌های خنک، باعث عملکرد مطلوب‌تر فن‌ها برای خنک کردن قطعات می‌شوند.

به همین دلیل برخی رک ها درون خود فن هایی دارند که سبب گردش هوای بهتری می شوند و از طرف دیگر فضای بین رک و سرور باید به حدی باشد که جریان هوا به راحتی صورت گیرد. اگر این عامل حل نشود ممکن است سبب خرابی فن ها و یا حتی خرابی کل سرور شود.

2ـ استفاده از فریمور قدیمی:

کمپانی HP، همواره به‌روزرسانی فریمورها و پیکربندی‌های نرم‌افزاری را عامل اصلی بهینه‌سازی عملکرد سخت‌افزارها می داند. این در مورد انرژی مصرفی سرور و خنک کردن قطعات سرور نیز صدق می‌کند. اگر فریمور سرور آپدیت نباشد، ممکن است دستگاه نتواند سرعت کار فن‌ها را به درستی تنظیم کند. برای آپدیت کردن فریمور سرور می توانید با مراجعه به سایت اچ پی آخرین فریمور سرور را دانلود کرده و از طریق مقاله زیر آن را آپدیت نمایید.

3ـ تنظیمات نادرست فن سرور:

فن های سرور به صورت پیش فرص با بالاترین سرعت تنظیم شده اند تا سرور بتواند حداکثر کارایی را ارائه نماید. اما در برخی محیط های کاری که پردازش های سنگینی صورت نمی گیرد و یا سرور زیر بار شدید نیست این فن های می توانند با سرعت کمتری کار کنند که در نتیجه صدای فن ها نیز کمتر خواهد شد.

برای سرورهای hp، تغییر سرعت کار فن‌ها از طریق منوی Bios انجام می‌گیرد. و در مورد سرورهای Dell، برای کم کردن سرعت کار فن سرور، باید به سراغ منوی iDRAC در پیکربندی این سرورها رجوع کرد.

4ـ بد کار کردن پاور سرور:

گاهی بدکار کردن پاور سرور باعث بالا رفتن دمای سرور و در نتیجه بالا رفتن دور فن سرور می‌شود. از طرفی اگر پاور سرور به درستی روشن نشود فن ها نیز سرعت کمتری دارند. همچنین در مواردی خود پاور نیز به صدا می افتد.

5ـ گرد و غبار زیاد بر روی فن ها:

به طور کلی نه تنها سرورها بلکه کلیه تجهیزات شبکه اعم از سوئیچ های شبکه، روترها و غیره می بایست هر سه ما یک بار غبار روبی شوند. زیرا وجود گرد و غبار می تواند عملکرد فن ها را دچار اختلال کرده و دمای دستگاه را به شدت بالا ببرد. این عامل حتی می تواند سبب آتش سوزی در دیتا سرور شود.

در صورتی که فن سرور شما، همیشه در حالت پرسرعت قرار دارد، حتی زمانی که دما پایین است و پردازش سنگینی انجام نمی‌گیرد، به احتمال زیاد، مشکلی در کار است. اغلب اوقات، با تنظیمات نرم‌افزاری، می‌توان از صدای فن سرور hp کم کرد. در ابتدا، با دنبال کردن مراحل اولیه‌ی عیب‌یابی، بررسی کنید که همه‌ی قطعات و رم‌ها، به درستی در جای خود قرار گرفته باشند. اگر به تازگی سرور خود را ارتقا داده‌اید، ممکن است قطعات جدید با پیکربندی سرور شما، سازگار نباشند. با بررسی نرم‌افزاری و سخت‌افزاری، می‌توان به کاهش صدای فن سرور hp پرداخت.

تنظیم سرعت فن سرور hp:

همان‌طور که گفتیم، در سرورهای hp، از طریق منوی بایوس می‌توان سرعت فن سرور را تنظیم کرد. برای این کار، باید گزینه‌ی Advanced options را در صفحه‌ی بایوس انتخاب کنید. در صفحه‌ی بعدی گزینه‌ی Thermal configuration را تایید کنید تا لیست گزینه‌های تنظیمات فن سرور، باز شود. با انتخاب یکی از گزینه‌های Optimal cooling یا Increased cooling می‌توان به تنظیم فن پرداخت.

• Optimal cooling: انتخاب این گزینه، سرعت کار فن را کاهش می‌دهد.
• Increased cooling: این گزینه باعث افزایش سرعت کار فن می‌شود.

با توجه به شرایط و دمای سرور، می‌توانید از روش نرم‌افزاری بالا، تنظیم سرعت فن سرور hp را انجام دهید. دقت کنید که پس از انتخاب گزینه‌ی مورد نظر، برای ذخیره تغییرات و خروج از بایوس، کلید F10 را فشار دهید. بعد از ری‌استارت شدن سرور، تغییرات اعمال شده است.

در صورتی که از سرور Dell استفاده می‌کنید، برای انجام تنظیمات، باید وارد منوی iDRAC شوید. در اینجا، با انتخاب iDRAC settings و سپس گزینه‌ی Thermal، صفحه تنظیمات فن سرور دل، باز می‌شود. برای کاهش سرعت کار و صدای فن سرور hp، باید گزینه‌ی Low fan speed offset را در حالت انتخاب‌شده، قرار دهید.

نحوه کم کردن صدای فن سرور hp:

برای کاهش صدای فن سرور hp، می‌توانید نکات و راهکارهای زیر را بکار بگیرید:

• از تمیز بودن فن‌های سرور، اطمینان حاصل کنید:

طبیعی است که فن بعد از مدتی کار کردن، گردوخاک بگیرد. در این صورت، از تاثیر خنک‌کنندگی فن کاسته می‌شود و سرعت و صدای فن افزایش می‌یابد. اگر سرور شما مدت زیادی است که تمیز نشده و حالا با افزایش صدای فن سرور hp روبرو شده‌اید، وقتش رسیده به تمیزکاری فن سرور بپردازید. برای این کار، بعد از خاموش کردن سرور، درب‌پوش آن را باز کنید وبا اسپری هوای فشرده، شیارها و منافذ را تمیز کنید. رعایت اصول استاندارد، برای رسیدن به نتیجه‌ی مطلوب، الزامی است.

• استفاده از رک های استاندارد:

رک‌های سرور، با توجه به تعداد سرورها و قطعات، در اندازه‌های مختلفی وجود دارند و دارای جنس‌های مختلفی هستند که در میزان صدای خارج شده از رک، تاثیرگذار است. به‌طور معمول، از لایه‌های فوم برای کاهش صدای سرور، در ساخت قفسه استفاده می‌شود. به همین دلیل، اگر سرور شما در نزدیکی کارمندان قرار دارد، بهتر است از رک سرورهای مخصوص کاهش صدای سرور، استفاده کنید.

• چک کردن مجدد فن ها:

گاهی اوقات با انجام کارهای بسیار ساده می توان مشکلات را حل کرد برای مثال گاهی ممکن است فن ها به درستی در جای خود قرار نگرفته باشد و یا درب دستگاه به درستی بسته نشده باشد که این عوامل خود می توانند صدای فن را تشدید نمایند.

• فن سرور را تعویض کنید.

اگر با هیچ یک از این اقدامات فن شما بی صدا نشد می توانید گزینه خرید فن جدید را بررسی نمایید. برخی تولید کنندگان فن های بی صدایی را تولید کرده اند که البته از قیمت بالایی نیز برخوردار هستند. اما قبل از هر چیز کانکتور سرور خود را بررسی نمایید چون ممکن است هر فنی با کانکتور شما سرور سازگار نباشد.

آشنایی با فن های Hot-Swap:

اگر یک فن خراب شود، باید تعویض شود اما برای انجام این کار حتما باید دستگاه خاموش شده و سپس درب دستگاه باز شود اما اگر فن شما دارای قابلیت Hot Swap باشد زمانی که سرور شما در حال فعالیت است می توان تعویض فن را براحتی انجام داد. این کار می تواند زمان سرویس دستگاه شما را به راحتی کاهش دهد و حتی کوچکترین اختلالی در عملکرد شبکه ایجاد نمی کند. اما شاید بتوان گفت که به ندرت این اتفاق می افتد که فن ها از کار بیافتند. پس برای پیشگیری از آن حتما چند عدد فن را در انبار خود ذخیره داشته باشید که اگر این اتفاق افتاد زمان خود را از دست ندهید.

منبع : دلايل صداي فن سرور hp چيست؛ چگونه آن را تنظيم کنيم

مدیر شبکه می تواند از طریق کنسول به یک روتر یا سوئیچ شبکه یا هر دستگاه دیگری دسترسی داشته باشد اما اگر دور از محل آن دستگاه بنشیند دیگر برقراری ارتباط با کنسول امکان پذیر نیست. بنابراین، در نهایت او باید از راه دور به آن دستگاه دسترسی داشته باشد.

اما از آنجایی که دسترسی از راه دور با استفاده از یک آدرس IP در دسترس خواهد بود، بنابراین، ممکن است یک کاربر غیرمجاز بتواند با استفاده از همان آدرس IP دسترسی پیدا کند، بنابراین برای اقدامات امنیتی، ما باید احراز هویت را قرار دهیم. همچنین بسته های رد و بدل شده بین دستگاه باید رمزگذاری شوند تا هر شخص دیگری نتواند اطلاعات حساس را ضبط کند. بنابراین، چارچوبی به نام AAA برای ارائه سطح امنیت اضافی استفاده می شود.

AAA (Authentication, Authorization, Accounting) چیست؟

پروتکل AAA یک چارچوب مبتنی بر استاندارد است که برای کنترل افرادی که مجاز به استفاده از منابع شبکه (از طریق احراز هویت Authentication) هستند، کارهایی که مجاز به انجام آنها هستند (از طریق مجوز Authorization) و ضبط اقدامات انجام شده در حین دسترسی به شبکه (از طریق Accounting) استفاده می شود.

ـ Authentication:

فرآیندی که طی آن می توان تشخیص داد که کاربری که می خواهد به منابع شبکه دسترسی پیدا کند، با پرسیدن برخی از اعتبارنامه ها (credentials) مانند نام کاربری و رمز عبور معتبر است یا خیر. روش‌های رایج عبارتند از قرار دادن احراز هویت در پورت کنسول، پورت AUX یا لاین های vty.

به عنوان مدیر شبکه، اگر شخصی بخواهد به شبکه دسترسی پیدا کند، می‌توانیم نحوه احراز هویت کاربر را کنترل کنیم. برخی از این روش ها شامل استفاده از پایگاه داده محلی آن دستگاه (روتر) یا ارسال درخواست های احراز هویت به یک سرور مانند سرور ACS است. برای تعیین روشی که برای احراز هویت استفاده می شود، از فهرست روش های احراز هویت پیش فرض یا سفارشی استفاده می شود.

ـ Authorization:

پس از اینکه کاربر از طریق احراز هویت به منابع شبکه دسترسی پیدا کرد، قابلیت هایی را برای اعمال سیاست ها بر روی منابع شبکه فراهم می کند. پس از موفقیت آمیز بودن احراز هویت، می توان از مجوز برای تعیین اینکه کاربر مجاز به دسترسی به چه منابعی است و عملیاتی که می توان انجام دهد استفاده کرد.

به عنوان مثال، اگر یکی از ادمین های موجود در سازمان (که نباید به همه منابع دسترسی داشته باشد) بخواهد به دستگاه دسترسی داشته باشد، مدیر شبکه می تواند نمایی ایجاد کند که به دستورات خاص اجازه می دهد فقط توسط کاربر اجرا شوند (کامند هایی که در فهرست مجاز هستند). مدیر می تواند از لیست روش مجوز استفاده کند تا مشخص کند کاربر چگونه برای استفاده از منابع شبکه مجاز است، یعنی از طریق پایگاه داده محلی (پیکربندی در حال اجرا دستگاه) یا با استفاده از یک سرور ACS خارجی.

ـ Accounting:

ابزاری برای نظارت و ضبط رویدادهای انجام شده توسط کاربر در حین دسترسی به منابع شبکه فراهم می کند. حتی مدت زمان دسترسی کاربر به شبکه را نیز کنترل می کند. مدیر می تواند یک لیست روش اکانتینگ ایجاد کند تا مشخص کند که چه چیزی باید اکانتینگ شود و سوابق اکانتینگ برای چه کسی ارسال شود.

چرا چارچوب AAA در امنیت شبکه مهم است؟

AAA بخش مهمی از امنیت شبکه است زیرا دسترسی افراد به یک سیستم را محدود می کند و فعالیت آنها را پیگیری می کند. به این ترتیب، کابران غیرمجاز را می توان دور نگه داشت، و می توان فعالیت کاربران مجاز را ردیابی کرد، که به مدیران اطلاعات ارزشمندی در مورد فعالیت های آنها می دهد.

دو نوع اصلی پروتکل AAA برای شبکه وجود دارد: دسترسی به شبکه (Network Access) و مدیریت دستگاه (Device Administration).

ـ دسترسی شبکه (Network Access):

دسترسی به شبکه شامل مسدود کردن، اعطا یا محدود کردن دسترسی بر اساس اعتبار یک کاربر است. AAA هویت یک دستگاه یا کاربر را با مقایسه اطلاعات ارائه شده یا وارد شده با پایگاه داده مورد نظرتأیید می کند. اگر اطلاعات مطابقت داشته باشد، اجازه ی دسترسی به شبکه داده می شود.

ـ مدیریت دستگاه (Device Administration):

مدیریت دستگاه شامل کنترل دسترسی به session ها، کنسول های دستگاه شبکه، secure shell (SSH) و موارد دیگر است. این نوع دسترسی با دسترسی به شبکه متفاوت است، زیرا افراد مجاز به ورود به شبکه را محدود نمی‌کند، بلکه به دستگاه‌هایی که می‌توانند به آن دسترسی داشته باشند، محدود می‌شود.

انواع پروتکل AAA:

چندین پروتکل وجود دارد که عناصر AAA را برای تضمین امنیت هویت ترکیب می کند.

ـ Remote Authentication Dial-In User Service (RADIUS):

RADIUS یک پروتکل شبکه است که توابع AAA را برای کاربران شبکه راه دور با استفاده از مدل کلاینت/سرور انجام می دهد. RADIUS به طور همزمان احراز هویت و مجوز را برای کاربرانی که سعی در دسترسی به شبکه دارند فراهم می کند. RADIUS همچنین تمام بسته های داده AAA را می گیرد و آنها را رمزگذاری می کند و سطح امنیتی بیشتری را ارائه می دهد.

RADIUS در سه مرحله کار می کند:

کاربر درخواستی را به یک سرور دسترسی به شبکه (NAS) ارسال می کند، سپس NAS یک درخواست برای دسترسی به سرور RADIUS ارسال می کند که با پذیرش، رد یا به چالش کشیدن آن درخواست پاسخ می دهد.

ـ Diameter:

پروتکل Diameter یک پروتکل AAA است که با Long-Term Evolution (LTE) و شبکه های چند رسانه ای کار می کند. Diameter تکامل RADIUS است که از دیرباز برای مخابرات استفاده می شده است. با این حال، Diameter به طور سفارشی برای بهینه سازی اتصالات LTE و انواع دیگر شبکه های تلفن همراه طراحی شده است.

ـ Terminal Access Controller Access-Control System Plus (+TACACS):

مشابه RADIUS، +TACACS از مدل کلاینت/سرور برای اتصال کاربران استفاده می کند. با این حال، +TACACS کنترل بیشتری را در مورد راه هایی که از طریق آن دستورات مجاز می شوند را امکان پذیر می کند. +TACACS با ارائه یک کلید مخفی شناخته شده توسط کلاینت و سیستم +TACACS کار می کند. هنگامی که یک کلید معتبر ارائه می شود، اجازه اتصال داده می شود تا ادامه یابد.

+TACACS فرآیندهای احراز هویت و مجوز را از هم جدا می کند و این قابلیت، آن را از RADIUS که آنها را ترکیب می کند متمایز می کند. همچنین، +TACACS، مانند RADIUS، بسته های AAA خود را رمزگذاری می کند. بنابراین، مدیریت دسترسی را با پروتکل های هویت AAA ساده کنید

در یک zero-trust network access(ZTNA) ، همه کاربران و دستگاه‌ها به‌طور پیش‌فرض مورد بی‌اعتمادی هستند و نمی‌توان اجازه دسترسی به سیستم را تا زمانی که به‌اندازه کافی حقوق احراز هویت و مجوز خود را اثبات نکرده باشند، ندارند. این اغلب با استفاده از احراز هویت دو مرحله ای (FA2) انجام می شود.

مزایای AAA Framework:

• پروتکل aaa مقیاس پذیری شبکه را بهبود می بخشد. ظرفیت یک سیستم برای مدیریت مقدار فزاینده ای از کار با افزودن منابع به سیستم به عنوان مقیاس پذیری شناخته می شود.
• اجازه می دهد تا شبکه انعطاف پذیرتر و کنترل شود.
• به استانداردسازی پروتکل های شبکه کمک می کند.
• RADIUS به هر کاربر امکان می دهد مجموعه ای از اعتبارنامه (credential) های خود را داشته باشد.
• مدیران IT یک نقطه تماس واحد برای احراز هویت کاربر و سیستم خواهند داشت.

معایب AAA Framework:

اشکالات زیر در پیاده سازی چارچوب AAA وجود دارد:

• پیکربندی اولیه در سرورهای RADIUS می تواند دشوار و زمان بر باشد.
• انتخاب نرم افزار سرور RADIUS و متدولوژی استقرار مناسب برای تجارت شما کار دشواری است.
• تعمیر و نگهداری سخت افزار در محل می تواند پیچیده و زمان بر باشد.

پیکربندی AAA:

در این مثال ما در حال پیکربندی AAA Authentication در روتر هستیم. که شامل مراحل زیر است:

1. ابتدا AAA را در روتر فعال کنید.

router1(config)#aaa new-model

AAA با دستور aaa new-model فعال می شود.

2. ایجاد لیست احراز هویت پیش فرض

با دستور aaa authentication  ورود به سیستم محلی پیش فرض فعال می شود.

در این دستور، پیش‌فرض به این معنی است که از لیست متدهای پیش‌فرض استفاده می‌کنیم و local Means ما از پایگاه داده محلی استفاده خواهیم کرد.

3. لیست را روی خطوط vty اعمال کنید.

router1(config)#line vty 0 4

router1(config)#login authentication default

router1(config)#exit

پس از ایجاد لیست متدهای پیش‌فرض، باید آن را روی خطوط vty اعمال کنیم تا هر زمان که کاربر سعی می‌کند از طریق SSH یا telnet به روتر دسترسی پیدا کند، کاربر باید اطلاعاتی را ارائه کند که پیکربندی شده است.

4. ایجاد کاربر لوکال در روتر

router1(config)#useame MRSHABAKE

           privilege 15 password 123456

این مهمترین مرحله است زیرا باید یک پایگاه داده محلی ایجاد کنیم که در آن نام کاربری (به عنوان مثال MRSHABAKE)،privilege Level 15 و رمز عبور (به عنوان مثال 123456) را ارائه کنیم.

توجه: لیست متدهای پیش‌فرض که روی خطوط vty اعمال کرده‌ایم، کاربر (که می‌خواهد به روتر دسترسی داشته باشد) را مجبور می‌کند تا زمانی که می‌خواهد از راه دور از طریق telnet یا SSH دسترسی از راه دور داشته باشد، این اطلاعات را وارد کند.

5. Debugging(اشکال زدایی) aaa authentication

ما می توانیم پیام های احراز هویت AAA را از طریق دستور “debug aaa authentication” ببینیم.

router1#debug aaa authentication

 حال به روتر 1 (آدرس IP-10.1.1.1/24) از روتر2 (آدرس IP – 10.1.1.2/24) telnet می زنیم ، یوزر و پسورد را وارد می کنیم.

router2# telnet 10_1_1_1

Trying 10_1_1_1 …. Open

User Access Verification

Useame: MRSHABAKE

:Password

router1<

به محض اینکه کاربر اطلاعات کاربری را وارد کرد، می توانیم پیام های احراز هویت را مشاهده کنیم. علاوه بر این، اگر بخواهیم قبل از درخواست اعتبار، بنری را اعمال کنیم، می توانیم آن را با استفاده از دستور نشان داده شده اعمال کنیم:

router1(config)#aaa authentication

        banner ” welcome to MRSHABAKE network”

اگر بخواهیم اعلان (prompt) نام کاربری و رمز عبور اضافه کنیم، می‌توانیم آن را با استفاده از دستور زیر اعمال کنیم:

router1(config)#aaa authentication

       useame-prompt “enter your useame”

router1(config)#aaa authentication

       password-prompt “enter your password”

همچنین، اگر بخواهیم زمانی که اطلاعات وارد شده توسط کاربر اشتباه است، پیامی را نشان دهیم، می‌توانیم آن را با استفاده از دستور زیر نشان دهیم:

router1(config)#aaa authentication

 fail-message “wrong useame or password

  Please try again…”

همچنین، می‌توانیم تعداد تلاش‌هایی را که کاربر می‌تواند اطلاعات اشتباه وارد کند، محدود کنیم. پس از سومین تلاش برای وارد کردن اطلاعات، ارتباط به طور خودکار خاتمه می یابد:

router1(config)#aaa authentication

       attempts login 3

 منبع : بررسي مفهوم AAA در امنيت شبکه به همراه پيکربندي

IPsec چیست؟

IPsec گروهی از پروتکل‌ها هستند که با هم برای راه‌اندازی اتصالات رمزگذاری شده بین دستگاه‌ها استفاده می‌شوند و کمک می کند تا داده های ارسال شده از طریق شبکه های عمومی را ایمن نگه دارد. IPsec اغلب برای راه اندازی VPN ها استفاده می شود و با رمزگذاری بسته های IP، همراه با احراز هویت مبدأ که بسته ها از آنجا آمده اند، کار می کند.

در اصطلاح IP مخفف پروتکل اینترنت و sec به مهنای ایمن است. پروتکل اینترنت پروتکل اصلی مسیریابی مورد استفاده در اینترنت است. IPsec مشخص می کند که داده ها با استفاده از آدرس های IP به کجا خواهند رفت. این پروتکل امن است زیرا رمزگذاری و احراز هویت را به این فرآیند اضافه می کند. رمزگذاری، فرآیند پنهان کردن اطلاعات با تغییر ریاضی داده ها به گونه ای است که تصادفی به نظر برسد. به عبارت ساده تر، رمزگذاری استفاده از یک «کد مخفی» است که فقط اشخاص مجاز می توانند آن را تفسیر کنند.

VPN چیست؟ IPsec VPN چیست؟

virtual private network (VPN) یک اتصال رمزگذاری شده بین دو یا چند کامپیوتر است. اتصالات VPN از طریق شبکه های عمومی انجام می شود، اما داده های مبادله شده از طریق VPN همچنان خصوصی هستند زیرا رمزگذاری شده است. VPN ها دسترسی ایمن و تبادل داده های محرمانه را از طریق زیرساخت شبکه مشترک، مانند اینترنت عمومی، ممکن می سازند. به عنوان مثال، زمانی که کارمندان به جای اینکه در دفتر کار کنند از راه دور کار می کنند، اغلب از VPN برای دسترسی به فایل ها و برنامه های شرکتی استفاده می کنند.

بسیاری از VPN ها از مجموعه پروتکل IPsec برای ایجاد و اجرای این اتصالات رمزگذاری شده استفاده می کنند. با این حال، همه VPN ها از IPsec استفاده نمی کنند. پروتکل دیگر برای VPN ها، SSL/TLS است که در مدل OSI در لایه ای متفاوت از IPsec عمل می کند.

چگونه کاربران به IPsec VPN متصل می شوند؟

کاربران می توانند با ورود به یک برنامه VPN یا “کلاینت” به IPsec VPN دسترسی پیدا کنند. این معمولاً مستلزم آن است که کاربر برنامه را روی دستگاه خود نصب کرده باشد.

ورود به VPN معمولاً مبتنی بر رمز عبور است. در حالی که داده های ارسال شده از طریق VPN رمزگذاری شده است، اگر رمزهای عبور کاربر به خطر بیفتد، مهاجمان می توانند وارد VPN شده و این داده های رمزگذاری شده را بدزدند. استفاده از احراز هویت دو مرحله‌ای (FA2) می‌تواند امنیت IPsec VPN را تقویت کند، زیرا سرقت رمز عبور به تنهایی دیگر به مهاجم اجازه دسترسی نمی‌دهد.

IPsec چگونه کار می کند؟

  IPsec connections شامل مراحل زیر است:

ـ تبادل کلید:

کلیدها برای رمزگذاری ضروری هستند. یک کلید رشته ای از کاراکترهای تصادفی است که می تواند برای “قفل کردن” (رمزگذاری encrypt) و “باز کردن قفل” (رمزگشایی decrypt) پیام ها استفاده شود. IPsec کلیدهایی را با تبادل کلید بین دستگاه های متصل تنظیم می کند، به طوری که هر دستگاه می تواند پیام های دستگاه دیگر را رمزگشایی کند.

ـ سرصفحه ها و تریلرهای بسته:

تمام داده هایی که از طریق شبکه ارسال می شوند به قطعات کوچکتری به نام packet ها تقسیم می شوند. packet ها شامل یک بار یا داده های واقعی ارسال شده و header ها یا اطلاعات مربوط به آن داده ها هستند تا سیستم های دریافت کننده packet ها بدانند که با آنها چه کاری انجام دهند. IPsec چندین هدر به packet های داده حاوی اطلاعات احراز هویت و رمزگذاری اضافه می کند. IPsec همچنین تریلرهایی را اضافه می کند که به جای قبل از هر packet، پس از بارگیری هر packet می روند.

ـ احراز هویت:

IPsec احراز هویت را برای هر packet فراهم می کند، مانند یک مهر اعتبار بر روی یک آیتم کلکسیونی. این تضمین می کند که packet ها از یک مبدا قابل اعتماد هستند و نه یک مهاجم.

ـ رمزگذاری:

IPsec محموله های درون هر packet و هدر IP هر بسته را رمزگذاری می کند. این داده های ارسال شده از طریق IPsec را امن و خصوصی نگه می دارد.

ـ انتقال:

packet های IPsec رمزگذاری شده با استفاده از یک پروتکل حمل و نقل از طریق یک یا چند شبکه به مقصد خود می روند. در این مرحله، ترافیک IPsec با ترافیک IP معمولی متفاوت است زیرا اغلب از UDP به عنوان پروتکل حمل و نقل خود به جای TCP استفاده می کند. TCP( Transmission Control Protocol) اتصالات اختصاصی را بین دستگاه ها تنظیم می کند و اطمینان می دهد که همه packet ها می رسند. UDP یا User Datagram Protocol این اتصالات اختصاصی را راه اندازی نمی کند. IPsec از UDP استفاده می کند زیرا به بسته های IPsec اجازه می دهد از فایروال ها عبور کنند.

ـ رمزگشایی: در انتهای دیگر ارتباط، packet ها رمزگشایی می‌شوند و برنامه‌ها (مانند مرورگر) اکنون می‌توانند از داده‌های تحویل‌شده استفاده کنند.

چه پروتکل هایی در IPsec استفاده می شود؟

در شبکه، پروتکل یک روش مشخص برای قالب‌بندی داده‌ها است به طوری که هر سیستم شبکه‌ای می‌تواند داده‌ها را تفسیر کند. IPsec یک پروتکل نیست، بلکه مجموعه ای از پروتکل ها است. پروتکل هایی که زیر مجموعه IPsec را تشکیل می دهند:

• Authentication Header یا AH: پروتکل AH تضمین می کند که packet های داده از یک منبع قابل اعتماد هستند و داده ها دستکاری نشده اند، مانند یک مهر و موم ضد دستکاری روی یک محصول مصرفی. این هدرها هیچ رمزگذاری ارائه نمی دهند. آنها به پنهان کردن داده ها از مهاجمان کمک نمی کنند.

•  ESP یا Encapsulating Security Protocol: این پروتکل هدر IP و محموله هر packet را رمزگذاری می کند (مگر اینکه از transport mode استفاده شود، در این صورت فقط محموله را رمزگذاری می کند). ESP هدر و یک تریلر خود را به هر packet داده اضافه می کند.

• Security Association یا SA: پروتکل SA به تعدادی از پروتکل های مورد استفاده برای مذاکره کلیدهای رمزگذاری و الگوریتم ها اشاره دارد. یکی از رایج ترین پروتکل های SA، Inteet Key Exchange (IKE) است.

در نهایت، در حالی که پروتکل اینترنت (IP) بخشی از مجموعه IPsec نیست، IPsec مستقیماً در بالای IP اجرا می شود.

IPSec tunnel چیست؟

IPSec tunnel یا Inteet Protocol Security tunnel مجموعه‌ای از استانداردها و پروتکل‌ها است که در ابتدا توسط گروه Inteet Engineering Task Force (IETF) برای پشتیبانی از ارتباطات امن به‌عنوان بسته‌های اطلاعاتی از یک آدرس IP در سراسر مرزهای شبکه و بالعکس، توسعه داده شد. یک tunnel  IPSec امکان پیاده‌سازی یک شبکه خصوصی مجازی (VPN) را فراهم می‌کند که یک شرکت ممکن است از آن برای گسترش ایمن دسترسی خود فراتر از شبکه خود به مشتریان، شرکا و تامین‌کنندگان استفاده کند.

IPSec VPN ها ممکن است به صورت زیر طبقه بندی شوند:

• Intranet VPNs: دفتر مرکزی شرکت را با دفاتر در مکان های مختلف متصل می کند.
• Extranet VPNs: شرکت ها را با شرکای تجاری یا تامین کنندگان متصل می کند.
• Remote-Access VPNs: کاربران فردی و از راه دور مانند مدیران یا افرادی که از راه دور کار می کنند را به شبکه شرکت خود متصل می کند.

IPSec tunnel در مقابل normal security tunnel:

 انواع مختلفی از پروتکل های VPN برای تونل زدن یا انتقال داده ها از طریق اینترنت وجود دارد. به عنوان مثال، اکثر سایت های تجارت الکترونیک از Secure Sockets Layer (SSL) و Transport Layer Security (TLS) استفاده می کنند. برخی از شبکه ها از Secure Shell (SSH) و برخی دیگر از Layer 2 Tunneling Protocol (L2TP) استفاده می کنند. در مقایسه با انواع مختلف tunnelهای معمولی، IPSec قوی‌ترین امنیت رمزنگاری را فراهم می‌کند.

IPSec tunnel لایه های امنیتی قوی ایجاد می کند تا به طور کامل از داده هایی که از طریق اینترنت یا از طریق شبکه سازمانی منتقل می شود محافظت کند. tunnel IPSec کل بسته داده را چنان به طور کامل رمزگذاری می کند که هیچ نهادی نمی تواند منبع داده، نقطه پایان داده یا نقطه مبدا داده را ببیند. تونل های امنیتی “عادی” به سادگی این نوع رمزگذاری را ندارند.

منبع : IPsec و IPSec tunnel چيست

IPsec چیست؟

IPsec گروهی از پروتکل‌ها هستند که با هم برای راه‌اندازی اتصالات رمزگذاری شده بین دستگاه‌ها استفاده می‌شوند و کمک می کند تا داده های ارسال شده از طریق شبکه های عمومی را ایمن نگه دارد. IPsec اغلب برای راه اندازی VPN ها استفاده می شود و با رمزگذاری بسته های IP، همراه با احراز هویت مبدأ که بسته ها از آنجا آمده اند، کار می کند.

در اصطلاح IP مخفف پروتکل اینترنت و sec به مهنای ایمن است. پروتکل اینترنت پروتکل اصلی مسیریابی مورد استفاده در اینترنت است. IPsec مشخص می کند که داده ها با استفاده از آدرس های IP به کجا خواهند رفت. این پروتکل امن است زیرا رمزگذاری و احراز هویت را به این فرآیند اضافه می کند. رمزگذاری، فرآیند پنهان کردن اطلاعات با تغییر ریاضی داده ها به گونه ای است که تصادفی به نظر برسد. به عبارت ساده تر، رمزگذاری استفاده از یک «کد مخفی» است که فقط اشخاص مجاز می توانند آن را تفسیر کنند.

VPN چیست؟ IPsec VPN چیست؟

virtual private network (VPN) یک اتصال رمزگذاری شده بین دو یا چند کامپیوتر است. اتصالات VPN از طریق شبکه های عمومی انجام می شود، اما داده های مبادله شده از طریق VPN همچنان خصوصی هستند زیرا رمزگذاری شده است. VPN ها دسترسی ایمن و تبادل داده های محرمانه را از طریق زیرساخت شبکه مشترک، مانند اینترنت عمومی، ممکن می سازند. به عنوان مثال، زمانی که کارمندان به جای اینکه در دفتر کار کنند از راه دور کار می کنند، اغلب از VPN برای دسترسی به فایل ها و برنامه های شرکتی استفاده می کنند.

بسیاری از VPN ها از مجموعه پروتکل IPsec برای ایجاد و اجرای این اتصالات رمزگذاری شده استفاده می کنند. با این حال، همه VPN ها از IPsec استفاده نمی کنند. پروتکل دیگر برای VPN ها، SSL/TLS است که در مدل OSI در لایه ای متفاوت از IPsec عمل می کند.

چگونه کاربران به IPsec VPN متصل می شوند؟

کاربران می توانند با ورود به یک برنامه VPN یا “کلاینت” به IPsec VPN دسترسی پیدا کنند. این معمولاً مستلزم آن است که کاربر برنامه را روی دستگاه خود نصب کرده باشد.

ورود به VPN معمولاً مبتنی بر رمز عبور است. در حالی که داده های ارسال شده از طریق VPN رمزگذاری شده است، اگر رمزهای عبور کاربر به خطر بیفتد، مهاجمان می توانند وارد VPN شده و این داده های رمزگذاری شده را بدزدند. استفاده از احراز هویت دو مرحله‌ای (FA2) می‌تواند امنیت IPsec VPN را تقویت کند، زیرا سرقت رمز عبور به تنهایی دیگر به مهاجم اجازه دسترسی نمی‌دهد.

IPsec چگونه کار می کند؟

  IPsec connections شامل مراحل زیر است:

ـ تبادل کلید:

کلیدها برای رمزگذاری ضروری هستند. یک کلید رشته ای از کاراکترهای تصادفی است که می تواند برای “قفل کردن” (رمزگذاری encrypt) و “باز کردن قفل” (رمزگشایی decrypt) پیام ها استفاده شود. IPsec کلیدهایی را با تبادل کلید بین دستگاه های متصل تنظیم می کند، به طوری که هر دستگاه می تواند پیام های دستگاه دیگر را رمزگشایی کند.

ـ سرصفحه ها و تریلرهای بسته:

تمام داده هایی که از طریق شبکه ارسال می شوند به قطعات کوچکتری به نام packet ها تقسیم می شوند. packet ها شامل یک بار یا داده های واقعی ارسال شده و header ها یا اطلاعات مربوط به آن داده ها هستند تا سیستم های دریافت کننده packet ها بدانند که با آنها چه کاری انجام دهند. IPsec چندین هدر به packet های داده حاوی اطلاعات احراز هویت و رمزگذاری اضافه می کند. IPsec همچنین تریلرهایی را اضافه می کند که به جای قبل از هر packet، پس از بارگیری هر packet می روند.

ـ احراز هویت:

IPsec احراز هویت را برای هر packet فراهم می کند، مانند یک مهر اعتبار بر روی یک آیتم کلکسیونی. این تضمین می کند که packet ها از یک مبدا قابل اعتماد هستند و نه یک مهاجم.

ـ رمزگذاری:

IPsec محموله های درون هر packet و هدر IP هر بسته را رمزگذاری می کند. این داده های ارسال شده از طریق IPsec را امن و خصوصی نگه می دارد.

ـ انتقال:

packet های IPsec رمزگذاری شده با استفاده از یک پروتکل حمل و نقل از طریق یک یا چند شبکه به مقصد خود می روند. در این مرحله، ترافیک IPsec با ترافیک IP معمولی متفاوت است زیرا اغلب از UDP به عنوان پروتکل حمل و نقل خود به جای TCP استفاده می کند. TCP( Transmission Control Protocol) اتصالات اختصاصی را بین دستگاه ها تنظیم می کند و اطمینان می دهد که همه packet ها می رسند. UDP یا User Datagram Protocol این اتصالات اختصاصی را راه اندازی نمی کند. IPsec از UDP استفاده می کند زیرا به بسته های IPsec اجازه می دهد از فایروال ها عبور کنند.

ـ رمزگشایی: در انتهای دیگر ارتباط، packet ها رمزگشایی می‌شوند و برنامه‌ها (مانند مرورگر) اکنون می‌توانند از داده‌های تحویل‌شده استفاده کنند.

چه پروتکل هایی در IPsec استفاده می شود؟

در شبکه، پروتکل یک روش مشخص برای قالب‌بندی داده‌ها است به طوری که هر سیستم شبکه‌ای می‌تواند داده‌ها را تفسیر کند. IPsec یک پروتکل نیست، بلکه مجموعه ای از پروتکل ها است. پروتکل هایی که زیر مجموعه IPsec را تشکیل می دهند:

• Authentication Header یا AH: پروتکل AH تضمین می کند که packet های داده از یک منبع قابل اعتماد هستند و داده ها دستکاری نشده اند، مانند یک مهر و موم ضد دستکاری روی یک محصول مصرفی. این هدرها هیچ رمزگذاری ارائه نمی دهند. آنها به پنهان کردن داده ها از مهاجمان کمک نمی کنند.

•  ESP یا Encapsulating Security Protocol: این پروتکل هدر IP و محموله هر packet را رمزگذاری می کند (مگر اینکه از transport mode استفاده شود، در این صورت فقط محموله را رمزگذاری می کند). ESP هدر و یک تریلر خود را به هر packet داده اضافه می کند.

• Security Association یا SA: پروتکل SA به تعدادی از پروتکل های مورد استفاده برای مذاکره کلیدهای رمزگذاری و الگوریتم ها اشاره دارد. یکی از رایج ترین پروتکل های SA، Inteet Key Exchange (IKE) است.

در نهایت، در حالی که پروتکل اینترنت (IP) بخشی از مجموعه IPsec نیست، IPsec مستقیماً در بالای IP اجرا می شود.

IPSec tunnel چیست؟

IPSec tunnel یا Inteet Protocol Security tunnel مجموعه‌ای از استانداردها و پروتکل‌ها است که در ابتدا توسط گروه Inteet Engineering Task Force (IETF) برای پشتیبانی از ارتباطات امن به‌عنوان بسته‌های اطلاعاتی از یک آدرس IP در سراسر مرزهای شبکه و بالعکس، توسعه داده شد. یک tunnel  IPSec امکان پیاده‌سازی یک شبکه خصوصی مجازی (VPN) را فراهم می‌کند که یک شرکت ممکن است از آن برای گسترش ایمن دسترسی خود فراتر از شبکه خود به مشتریان، شرکا و تامین‌کنندگان استفاده کند.

IPSec VPN ها ممکن است به صورت زیر طبقه بندی شوند:

• Intranet VPNs: دفتر مرکزی شرکت را با دفاتر در مکان های مختلف متصل می کند.
• Extranet VPNs: شرکت ها را با شرکای تجاری یا تامین کنندگان متصل می کند.
• Remote-Access VPNs: کاربران فردی و از راه دور مانند مدیران یا افرادی که از راه دور کار می کنند را به شبکه شرکت خود متصل می کند.

IPSec tunnel در مقابل normal security tunnel:

 انواع مختلفی از پروتکل های VPN برای تونل زدن یا انتقال داده ها از طریق اینترنت وجود دارد. به عنوان مثال، اکثر سایت های تجارت الکترونیک از Secure Sockets Layer (SSL) و Transport Layer Security (TLS) استفاده می کنند. برخی از شبکه ها از Secure Shell (SSH) و برخی دیگر از Layer 2 Tunneling Protocol (L2TP) استفاده می کنند. در مقایسه با انواع مختلف tunnelهای معمولی، IPSec قوی‌ترین امنیت رمزنگاری را فراهم می‌کند.

IPSec tunnel لایه های امنیتی قوی ایجاد می کند تا به طور کامل از داده هایی که از طریق اینترنت یا از طریق شبکه سازمانی منتقل می شود محافظت کند. tunnel IPSec کل بسته داده را چنان به طور کامل رمزگذاری می کند که هیچ نهادی نمی تواند منبع داده، نقطه پایان داده یا نقطه مبدا داده را ببیند. تونل های امنیتی “عادی” به سادگی این نوع رمزگذاری را ندارند.

تفاوت بین حالت IPsec tunnel و حالت IPsec transport چیست؟

حالت tunnel IPsec بین دو روتر اختصاصی استفاده می شود که هر روتر به عنوان انتهای یک “تونل” مجازی از طریق یک شبکه عمومی عمل می کند. در حالت tunnel IPsec، هدر IP اصلی حاوی مقصد نهایی بسته، علاوه بر payload بسته، رمزگذاری می شود. برای اینکه به روترهای واسطه بگوید کجا بسته ها را ارسال کنند، IPsec یک هدر IP جدید اضافه می کند. در هر انتهای tunnel، روترها هدرهای IP را رمزگشایی می کنند تا بسته ها را به مقصد تحویل دهند.

در حالت انتقال، payload هر بسته رمزگذاری شده است، اما هدر IP اصلی رمزگذاری نشده است. بنابراین روترهای واسطه می توانند مقصد نهایی هر بسته را مشاهده کنند مگر اینکه از یک پروتکل tunneling جداگانه (مانند GRE) استفاده شود.

IPsec از چه پورتی استفاده می کند؟

پورت شبکه مکانی مجازی است که داده ها در یک سیستم در آنجا قرار می گیرند. پورت ها نحوه پیگیری فرآیندها و اتصالات مختلف توسط کامپیوترها هستند. اگر داده ها به پورت خاصی بروند، سیستم عامل کامپیوتر می داند که به کدام فرآیند تعلق دارد. IPsec معمولا از پورت 500 استفاده می کند.

IPsec چگونه بر MSS و MTU تأثیر می گذارد؟

MSS و MTU دو اندازه گیری اندازه packet هستند. بسته ها فقط می توانند به اندازه معینی برسند (بر حسب بایت اندازه گیری می شود) قبل از اینکه سیستم ها، روترها و سوئیچ ها نتوانند آنها را مدیریت کنند. MSS اندازه محموله هر packet را اندازه گیری می کند، در حالی که MTU کل packet، از جمله هدرها را اندازه گیری می کند. packet هایی که از MTU شبکه فراتر می روند ممکن است تکه تکه شوند، به این معنی که به packet های کوچکتر تقسیم شده و سپس دوباره سرهم می شوند. packet هایی که بیش از MSS هستند به سادگی حذف می شوند.

پروتکل های IPsec چندین هدر و تریلر به packet ها اضافه می کنند که همه آنها چندین بایت را اشغال می کنند. برای شبکه‌هایی که از IPsec استفاده می‌کنند، یا باید MSS و MTU بر این اساس تنظیم شوند، یا بسته‌ها تکه تکه شده و کمی تأخیر خواهند داشت. معمولا MTU برای یک شبکه 1500 بایت است. یک هدر IP معمولی 20 بایت طول دارد و یک هدر TCP نیز 20 بایت طول دارد، به این معنی که هر بسته می تواند حاوی 1460 بایت payload کند. با این حال، IPsec یک header احراز هویت، یک هدر ESP و تریلرهای مرتبط اضافه می کند. اینها 50-60 بایت به یک بسته یا بیشتر اضافه می کنند.

منبع : IPsec و IPSec tunnel چیست

هر کامپیوتری که به شبکه متصل است یک IP دارد. آدرس IP (پروتکل اینترنت) دستگاه را منحصر به فرد می کند. سرور پروکسی یک کامپیوتر در شبکه است که آدرس IP مخصوص به خود را دارد. اما گاهی اوقات، ما می خواهیم به آن دسته از وب سایت ها یا سرورهایی دسترسی داشته باشیم که محدود هستند و نمی خواهیم هویت خود (آدرس IP) را نشان دهیم. در چنین سناریویی، سرور پروکسی به وجود می آید. ما می توانیم با استفاده از سرور پروکسی به همین نتیجه برسیم. سطوح مختلفی از عملکرد، امنیت و حریم خصوصی را ارائه می دهد که به موارد استفاده، نیازها یا سیاست های شرکت بستگی دارد. در این جا به این می پردازیم که پروکسی سرور چیست، انواع آن، مزایا، نیاز و عملکرد سرورهای پروکسی.

پروکسی سرور کامپیوتری در اینترنت است که درخواست های دریافتی کلاینت (کلاینت) را می پذیرد و آن درخواست ها را به سرور مقصد ارسال می کند. این به عنوان یک دروازه بین کاربر نهایی و اینترنت کار می کند. آدرس IP مخصوص به خود را دارد. سیستم کلاینت و وب سرور را از شبکه جهانی جدا می کند.

به عبارت دیگر، می توان گفت که سرور پروکسی به ما اجازه می دهد تا به هر وب سایتی با آدرس IP متفاوت دسترسی داشته باشیم این سرور نقش واسطه ای بین کاربران و وب سایت ها یا سرورهای هدف دارد. اطلاعات مربوط به درخواست های کاربر را جمع آوری و ارائه می کند. مهمترین نکته در مورد سرور پروکسی این است که ترافیک را رمزگذاری نمی کند.

دو هدف اصلی از پروکسی سرور وجود دارد:

1. سیستم پشت آن ناشناس بماند.
2. تسریع دسترسی به یک سورس از طریق caching (کش کردن).

مکانیزم پروکسی سرور:

شکل زیر مکانیسم سرور پروکسی را نشان می دهد.

سرور پروکسی درخواست کلاینت را می پذیرد و بر اساس شرایط زیر پاسخی را تولید می کند:

1. اگر داده یا صفحه درخواستی قبلاً در حافظه پنهان محلی (local cache) وجود داشته باشد، خود سرور پروکسی بازیابی مورد نیاز را برای کلاینت فراهم می کند.
2. اگر داده یا صفحه درخواستی در کش محلی وجود نداشته باشد، سرور پروکسی آن درخواست را به سرور مقصد ارسال می کند.
3. سرورهای پروکسی پاسخ ها را به کلاینت منتقل می کنند و همچنین به آنها کش می شوند.

بنابراین می توان گفت که سرور پروکسی به عنوان یک کلاینت و همچنین سرور عمل می کند.

انواع پروکسی سرورها:

انواع مختلفی از سرورهای پروکسی موجود است. دو نوع رایج از سرورهای پروکسی، سرورهای پروکسی forward و reverse هستند. سرور پروکسی دیگر ویژگی ها و مزایای خاص خود را دارد.

 بیایید هر کدام را با جزئیات بررسی کنیم:

1ـ Open or Forward Proxy Server:

شناخته شده ترین نوع سرور واسطه ای است که کلاینت به آن دسترسی پیدا می کند. یک سرور پروکسی Open یا Forward به آن دسته از واسطه‌هایی اطلاق می‌شود که درخواست‌هایی را از کلاینت‌های وب دریافت می‌کنند و سپس مقصدها را برای جمع‌آوری اطلاعات ذکر شده بررسی می‌کنند. پس از جمع آوری داده ها از سایت ها، داده ها را مستقیماً به کاربران اینترنتی ارسال می کند. فایروال ساخته شده را دور می زند. تصویر زیر پیکربندی پروکسی فوروارد را نشان می دهد.

2ـ Reverse Proxy Server:

یک سرور پراکسی است که در مجاورت چندین سورس داخلی دیگر نصب می شود. یک تراکنش را به گونه ای تایید و پردازش می کند که کلاینت ها مستقیماً با هم ارتباط برقرار نمی کنند. محبوب ترین پروکسی های معکوس Vaish و Squid هستند.

3ـ Split Proxy Server:

به صورت دو برنامه نصب شده بر روی دو کامپیوتر مختلف پیاده سازی می شود.

4ـ Transparent Proxy:

یک سرور پراکسی است که درخواست یا پاسخ را فراتر از آنچه برای احراز هویت و شناسایی پروکسی لازم است تغییر نمی دهد. روی پورت 80 کار میکند.

5ـ Non-Transparent Proxy:

واسطه ای است که واکنش درخواست را تغییر می دهد تا برخی از انواع کمک های اضافی را به کلاینت ارائه دهد. درخواست‌های وب به‌راحتی از سوی واسطه ارسال می‌شود و توجه کمی به کارگر از جایی که شروع کرده‌اند، دارد.

6ـ Hostile Proxy:

برای استراق سمع از جریان داده بین ماشین کلاینت و وب استفاده می شود.

7ـ Intercepting Proxy Server:

سرور پراکسی را با یک دروازه ترکیب می کند. معمولاً در مشاغل برای جلوگیری از اجتناب از سیاست استفاده قابل قبول و سهولت مدیریت استفاده می شود.

8ـ Forced Proxy Server:

ترکیبی از سیاست های رهگیری و غیر رهگیری است.

9ـ Caching Proxy Server:

سرویس دهی به درخواست کلاینت ها با کمک محتویات ذخیره شده از درخواست های قبلی است، بدون اینکه با سرور مشخص شده ارتباط برقرار کند.

10ـ Web Proxy Server:

پروکسی که برای شبکه جهانی وب مورد هدف قرار می گیرد به عنوان سرور پروکسی وب شناخته می شود.

11ـ Anonymous Proxy:

سرور تلاش می کند تا وب گردی را ناشناس کند.

12ـ Socks Proxy:

این یک استاندارد ITEF (گروه وظیفه مهندسی اینترنت) است. این دقیقاً مانند یک سیستم پراکسی است که از برنامه های کاربردی آگاه از پروکسی پشتیبانی می کند. به اجزای شبکه خارجی اجازه نمی دهد اطلاعات کلاینت را که درخواست را ایجاد کرده است جمع آوری کند. از اجزای زیر تشکیل شده است:

ـ یک کتابخانه dient برای SOCK.

ـ یک برنامه dient مانند FTP، telnet یا مرورگر اینترنت.

ـ یک سرور SOCK برای سیستم عامل مشخص شده.

13ـ High Anonymity Proxy:

سرور پروکسی که شامل، نوع سرور پروکسی و آدرس IP کلاینت در سرصفحه درخواست نیست. کلاینت که از پروکسی استفاده می کنند قابل ردیابی نیستند.

14ـ Rotating Proxy:

یک آدرس IP منحصر به فرد را به هر کلاینت متصل به آن اختصاص می دهد. این برای کاربرانی که بسیاری از حذف مداوم وب را انجام می دهند ایده آل است. به ما این امکان را می دهد که دوباره و دوباره همان وب سایت را برگردانیم. بنابراین، استفاده از پراکسی چرخان نیاز به توجه بیشتری دارد.

15ـ SSL Proxy Server:

داده های بین کلاینت و سرور را رمزگشایی می کند. یعنی داده ها در هر دو جهت رمزگذاری شده اند. از آنجایی که پروکسی وجود خود را از کلاینت و سرور پنهان می کند. این برای سازمان هایی مناسب است که حفاظت در برابر تهدیدات را افزایش می دهند. در پروکسی SSL، محتوای رمزگذاری شده در حافظه پنهان (Cache) ذخیره نمی شود.

16ـ Shared Proxy:

یک سرور پراکسی اشتراکی توسط بیش از یک کاربر در یک زمان استفاده می شود. یک آدرس IP در اختیار کلاینت قرار می دهد که می تواند با سایر کلاینت به اشتراک گذاشته شود. همچنین به کاربران این امکان را می دهد که مکانی را از جایی که کاربر می خواهد جستجو کند، انتخاب کنند. برای کاربرانی که نمی خواهند پول زیادی برای اتصال سریع خرج کنند ایده آل است. کم هزینه بودن مزیت آن است. نقطه ضعف آن این است که یک کاربر می تواند به خاطر فعالیت شیطانی شخص دیگری سرزنش شود. به همین دلیل کاربر می تواند از سایت بلاک شود.

17ـ Public Proxy:

یک پروکسی عمومی رایگان در دسترس است. این برای کاربرانی که هزینه برای آنها نگرانی اصلی است، در حالی که امنیت و سرعت نگران کننده نیستند، عالی است. سرعت آن معمولاً کند است. استفاده از یک پروکسی عمومی کاربر را در معرض خطر بالایی قرار می دهد زیرا اطلاعات توسط دیگران در اینترنت قابل دسترسی است.

18ـ Residential Proxy:

یک آدرس IP را به یک دستگاه خاص اختصاص می دهد. تمام درخواست های ارسال شده توسط کلاینت از طریق آن دستگاه ارسال می شود. برای کاربرانی که می‌خواهند تبلیغاتی را که در وب‌سایت‌هایشان نمایش می‌دهند تأیید کنند، ایده‌آل است. با استفاده از Residential Proxy، می توانیم تبلیغات ناخواسته و مشکوک رقبا را مسدود کنیم. در مقایسه با سایر سرورهای پروکسی، این پروکسی قابل اعتمادتر است.

19ـ Distorting Proxy:

با دیگران متفاوت است زیرا خود را به عنوان پروکسی یک وب سایت معرفی می کند اما هویت خود را پنهان می کند. آدرس IP واقعی با ارائه یک آدرس نادرست تغییر می کند. این برای کلاینت که نمی خواهند مکان خود را در طول موج سواری فاش کنند عالی است.

20ـ Data Center Proxy:

نوع خاصی از پروکسی است که به ISP وابسته نیست. توسط شرکت های دیگر از طریق یک مرکز داده ارائه می شود. این سرورها را می توان در مراکز داده فیزیکی پیدا کرد. برای کلاینت که خواهان پاسخ سریع هستند ایده آل است. ناشناس بودن سطح بالایی را ارائه نمی دهد. به همین دلیل، می تواند اطلاعات کلاینت را در معرض خطر بالایی قرار دهد.

21ـ HTTP Proxy:

پروکسی های HTTP آن دسته از سرورهای پروکسی هستند که برای ذخیره فایل های کش وب سایت های مرور شده استفاده می شوند. این باعث صرفه جویی در زمان و افزایش سرعت می شود زیرا فایل های کش در حافظه محلی قرار دارند. اگر کاربر دوباره بخواهد به همان فایل دسترسی پیدا کند، خود پروکسی همان فایل را بدون مرور واقعی صفحات ارائه می دهد.

منبع : پروکسي سرور چيست و چگونه کار مي کند