تبليغاتX
mehr cn
mehr cn
خط توليد پيشرفته‌ترين لودر جهان ‪ L90F‬در شركت هپكوي اراك راه‌اندازي شد
خط توليد پيشرفته‌ترين لودر جهان ‪ L90F‬در شركت هپكوي اراك راه‌اندازي شد

اراك ، خبرگزاري جمهوري اسلامي ‪۸۶/۰۳/۰۹‬

داخلي. اقتصادي. صنعت. نوآوري. هپكو. لودر
خط توليد پيشرفته‌ترين لودر جهان بامدل ‪ L90F‬روز چهارشنبه باحضور مسوولان اجرايي و صنعتي استان مركزي در شركت هپكوي اراك راه‌اندازي شد.

مدير مونتاژ شركت هپكوي اراك در آيين راه‌اندازي‌اين خط توليد گفت: طراحي و توليد اين لودر با همكاري كشور سوئد سالانه با ‪ ۴۱۵‬دستگاه ‪ ۱۲/۴‬ميليون دلار صرفه‌جويي ارزي در بردارد.

"فرشيد ميرمكي" افزود: ساخت هر دستگاه از اين لودر ‪ ۳۰‬هزار دلارارزآوري براي كشور دارد و علاوه بر تامين نياز داخلي زمينه صادرات آن نيز مهياست.

وي گفت: توليد جديد هپكو در طرحهاي زيربنايي كشورنظير سدسازي، راهسازي، خدمات شهري و معادن كاربرد دارد.

وي افزود: اين لودر داراي ‪ ۱۵‬تن وزن و ظرفيت بيل ‪ ۲/۵‬تا ‪ ۲/۷‬متر مكعب است و علاوه بر برخورداري تمامي استانداردهاي زيست محيطي ،توان موتور ‪۱۷۵‬ اسب بخار را داراست.

ميرمكي ، زمان تامين و تدارك توليد اين لودر را ‪ ۱۸‬ماه و مدت مونتاژ آن را براي هر دستگاه ‪ ۹۰‬نفر ساعت عنوان كرد.

وي با بيان اينكه ‪ ۳۰‬درصد قطعات اصلي اين لودر ساخت كارخانه هپكو است گفت: بهبود سيستم سوخت اين محصول ، بهره‌وري بالا در ميدان عمل طراحي سيستم اتاقك باامكانات فيلتراسيون، گرمايشي وسرمايشي‌مناسب براي اپراتور و سهولت در سرويس پذيري دستگاه از ويژگيهاي اين لودر است.

وي افزود: براي اين محصول خدمات پس از فروش به مدت ده سال و دو هزار ساعت گارانتي در نظر گرفته شده است.

وي‌افزود: پيش‌بيني افزايش ظرفيت توليد اين لودر به ‪ ۸۰۰‬تا يكهزار دستگاه صورت گرفته وبرتري كيفيت آن از لودرهايي كه با همكاري كماتسو توليد مي‌شود مشهود است.

استاندار استان مركزي نيز دراين آيين گفت: رسيدن به خودكفايي در ماشين آلات صنعتي و كشاورزي با توجه به وجود توان بالاي فني مهندسي و اجرايي در استان مركزي ضروري است.

"عبدالله سهرابي" افزود: دولت نهم آمادگي حمايت كامل از صنايع كارآمد و جذب سرمايه‌گذاران خارجي را براي شكوفايي صنعت و ارتقاي توان مهندسي كشور را دارد.

وي گفت: صنعت نوك پيكان توليد واشتغال و سازندگي كشور است و شركت هپكو به عنوان يكي از سازندگان عمده ماشين آلات سنگين جايگاه موثري در اين بخشها دارد.

شركت هپكوي اراك با قدمت شانزده ساله در زمينه توليد انواع ماشين آلات راهسازي و معدن و تجهيزات مربوط به تجهيزات نفت و گاز و پتروشيمي فعاليت دارد.ك/‪۳‬
http://www2.irna.ir/ar/news/view/line-8/8603094135134507.htm
+ نوشته شده در  دوشنبه هجدهم تیر 1386ساعت 20:0  توسط مهر  | 

سیستم توزیع 01
تعریف سیستم توزیع شده:
هر سیستمی که بر روی مجموعه ای از ماشین ها که دارای حافظه اشتراکی نیستند، اجرا شده و برای کاربران به گونه ای اجرا شود که گویا بر روی یک کامپیوتر می باشند ، يک سيستم توزيع شده است.
در يک سيستم توزيع شده :
  • يک نرم افزار يا مجموعه نرم افزاری واحد و متحد الشکل بر روی هر گره اجرا می شود.
  • همه ماشینها یک کرنل مشابه را اجرا می کند.
  • هر کرنل منابع خود را کنترل می کند
 
مواردی که در طراحی سیستم توزیع شده باید در نظر گرفت:
  • شفافیت
  • انعطاف پذیری
  • قابلیت اطمینان
  • کارایی خوب
  • قابليت گسترش
 
قابلیت اطمینان:
  • در دسترس بودن یک فاکتور مهم مرتبط با اين سيستم ها است.
  • طراحی نباید به گونه ای باشد که نیاز به اجرای همزمان کامپوننت های اساسی باشد.
  • افزونگی بیشتر داده هاه باعث افزایش در دسترس بودن شده اما ناسازگاری را بیشتر میکند.
  • قدرت تحمل نقص(Fault tolerance) باعث پوشاندن خطاهای ایجاد شده توسط کاربر می شود.
 
کارآیی:
  • بدون کارآیی مناسب کلیه موارد استفاده نرم افزار بی فایده می باشد.
  • اندازه گیری کارايی در سيستم های توزيع شده کار آسانی نيست.
  • برای رسيدن به کارايی بايد توازنی خاص در تعداد پیغامها و اندازه کامپوننهای توزیع شده بر قرار باشد.
 
قابليت گسترش:
  • قابليت گسترش یک اصل کلی برای توسعه سیستمهای توزیع شده می باشد.
  • برای رسيدن به اين قابليت بايد از کامپوننتها، جداول و الگوریتمهای متمرکز دوری کرد.
  • فقط باید از الگوریتمهای غیر متمرکز استفاده شود.
 
 خصوصیات الگوریتمهای غیرمتمرکز:
  • هیچ ماشینی نباید اطلاعات کاملی در مورد وضعیت سیستم داشته باشد.
  • ماشینها باید بر مبنای اطلاعات محلی خود تصمیم بگیرند.
  • خرابی یک ماشین نباید تاثیری در اجرای الگوریتم داشته باشد.
  • نباید تصوری ضمنی از وجود ساعتی عمومی وجود داشته باشد.
 
 
گونه های مختلف سیستمهای توزیع شده:
  • سرور- ایستگاه کاری
  • Processor pool
  • هیبرید
  • یکپارچه
 
مدل سرور -  ایستگاه کاری
 
مدل Processor Pool
 
 
 
مدل هیبرید
 
مدل یکپارچه
 


سیستمهای توزیع شده متکی بر ارتباطات هستند و به طور کلی از دو سرويس زیر استفاده می کنند:
  • انتقال پيام Message Passing
  • فراخوانی از راه دور رویه ها Remote Procedure Call
 
سیستم توزیع شده از ديد لايه بندی ها
 
برنامه های کاربردی
DBMS,TPS, …
سیستم عامل توزیع شده
سخت افزار
 
بخشهای اصلی سیستم عامل توزیع شده
·        مدیریت فایل
·        مدیریت منابع
·        مدیریت حافظه
·        مدیریت فرآیندها
·        Kernel
 
سیستم عامل توزیع شده باید امکانات Encapsulating منابع را مهیا سازد. کرنل و سرورها هر دو وظیفه مدیریت منابع را بر عهده دارند و چون شامل منابع نیز می باشند، باید موارد زیر را مهیا سازند:
  • مجتمع سازی داده ها و سرويس ها Encapsulating
  • پردازش همزمان
  • محافظت داده ها
 
نحوه دسترسی به منابع
کلاینتها با مشخص سازی منابع در آرگومان عملیات (فراخوانی از راه دور رویه ها در سرور یا فراخوانی سیستم در کرنل)به آنها دسترسی پیدا می کنند.
 


ارتباط بین قسمتهای مختلف DBMS
 
 
قسمتهای اضافه DDBMS
 
 


معماری سیستمهای توزیع شده
 
 
بر اساس استاندارد ISO در مدل معماری Open Distributed Computing موارد ذيل بايد transparent (شفاف) باشند :
  • دسترسی(Access)
  • موقعیت (Location)
  • همزمانی(Concurrency)
  • کپی برداری داده ها (Replication)
  • اشکالات (Failure)
  • تبديل پلتفرم (Migration)
  • کارآیی (Performance)
  • توسعه پذيری (Scaling)
 


مدلهايی برای تعامل فرآیندها
  • مدل خادم / مخدوم (Client/Server)
  • مدل یکپارچه
  • مدل پایپ
  • فراخوانی رویه از راه دور(RPC)
 
مدل کلاینت سرور
در اين حالت نرم افزار خاص کلاينت روی هر ماشين اجرا می شود و کلاينت با واسطه سرور به منابع دسترسی پيدا می کند. سه مشکل عمده مدل کلاینت سرور عبارت است از:
  • کنترل منابع اختصاصی بر روی یک سرور متمرکز می شود.
  • هر سرور به طور بالقوه یک گلوگاه (Bottleneck) است.
  • برای بهبود کارآیی، پیاده سازی چندگانه برای توابع مشابه باید انجام شود.
 

 


مدل کلاینت سرور در سیستم توزیع شده
 
 
مدل یکپارچه
در این مدل هر نرم افزار کامپیوتر بعنوان ابزاری کامل طراحی شده که دارای فایل سیستمی عمومی و مکانیسمی جهت تفسیر اسامی می باشد. این بدین معناست که هر کامپیوتر در سیستم توزیع شده از یک نرم افزار استفاده می‌کند.
توجه داشته باشید که اگر سیستمی بر پایه مدل یکپارچه توسعه یافته باشد، اگر به صورت مناسبی پیکره بندی شده باشد، می تواند به راحتی به شکل سیستمی مبتنی بر مدل Client/Server ديده شود.
 
مدل Pipe
مدل پایپ بر اساس مفهوم فرآیند پایه ریزی شده است که در این مدل داده از طریق استراتژی FIFO می توانند بین فرآیندها منتقل شوند. همچنین این مدل اجازه همگام بودن اجرای فرآیندها را می دهد. در این مدل به طور سنتی از فایل سیستم برای ذخیره داده ها استفاده شده و از قابلیتهای منحصر بفرد آن امکان ارسال کلی داده توسط فرآیند به یک گره می باشد.


مدل RPC
در سیستمهای مبتنی بر RPC، یک فرآیند می تواند یک رویه را در یک کامپیوتر راه دور فراخوانی کند. هنگامی که عمل فراخوانی انجام می شود، پیغام درخواستی برای کامپیوتر راه دوری که رویه در آن قرار دارد فرستاده می‌شود، سپس فرآیندی ایجاد می شود تا رویه اجرا شود، بعد از کامل شدن این فرآیند، پیغام پاسخ به فرآیند صد‌ازننده فرستاده می شود.
 
دلایل توزیع داده
·         DBMS متمرکز در مقابل سیستم پایگاه داده توزیع شده
·     سیستم پایگاه داده توزیع شده مجموعه ای از داده ها است که از لحاظ منطقی به یک سیستم تعلق دارند ولی از لحاظ فیزیکی در سایتهای مختلف یک شبکه کامپیوتری قرار دارند.
 
فاکتورهای مختلفی که باعث توسعه سیستم پایگاه داده توزیع شده شده اند عبارت است از:
  • طبیعت توزیع شدگی برخی از برنامه های دیتا بیس
  • افزایش قابلیت اطمینان و در دسترس بودن
  • امکان به اشتراک گذاشتن داده ها
  • افزایش کارآیی
 
طراحی و پیاده سازی سیستم پایگاه داده توزیع شده از پیچیدگیهای بیشتری برخوردار است و نسبت به DBMS‌های متمرکز توابع بیشتری را باید پیاده سازی کرد از جمله:
  • دسترسی به سایتها و انتقال جستجو ها و داده ها
  • اطلاع از توزیع داده ها و Replication در کاتالوگ DDBMS
  • بکارگیری استراتژیهای مناسب برای اجرای پرس و جو ها و ... که دادهایشان در چندين سایت مختلف قرار دارد.
  • تصمیم گیری در مورد استفاده از کدامین داده Replicate شده
  • سازگار نگه داشتن کپی های داده های Replicate شده
  • قابلیت بازیابی داده ها از سایتهایی که دارای مشکل شده اند.
  • و ...
 


 
معماری فیزیکی DDBS
 
 
 
 
 


 
قانونهایی برای سیستمهای توزیع شده
 
قانون صفر: سیستمهای توزیع شده باید برای کاربر نهایی دقیقا به صورت سیستمهای متمرکز باشند.
 
  1. استقلال محلی
  2. عدم وابسته بودن به سایت مرکزی
  3. عملیات پیوسته
  4. استقلال Location
  5. استقلال قطعات(Fragmentation)
  6. استقلال Replication
  7. پردازش توزیع شده جستجوها
  8. مدیریت توزیع شده Transaction
  9. استقلال سخت افزاری
  10. استقلال سیستم عامل
  11. استقلال شبکه
  12. استقلال DBMS
 


قانون 1: استقلال محلی
  • سایتها باید تا حد امکان(بیشترین حد ممکن) مستقل باشند.
  • داده های محلی باید در محل ذخیره و مدیریت شوند(با توجه به در نظر گرفتن یکپارچگی و امنیت)
  • عملیات محلی باید حتما در خود محل اجرا شوند.
  • تمام عملیات در یک سایت باید توسط همان سایت کنترل شود. این بدین معناست که سایت X نباید برای انجام موفقیت آمیز عملیات خود وابسته به سایت Y باشد.
  • در برخی موارد، از دست دادن مقدار کمی از استقلال، اجتناب ناپذیر است:
§         مشکل قطعه قطعه شدن(قانون 5)
§         مشکل Replication(قانون 6)
§         به روز رسانی رابطه Replicate شده(قانون 6)
§         مشکل محدودیت یکپارچگی بین چند سایت(قانون 7)
§         A problem in participation in a 2 phase commit process(قانون 8)
 
قانون 2: عدم وابسته بودن به سایت مرکزی
  • به هیچ عنوان نباید برای یک سرویس مرکزی به یک سایت وابسته بود. بعنوان مثال نباید دارای یک پردازشگر مرکزی(متمرکز) جستجوها یا مدیریت مرکزی(متمرکز) Transaction بود، چرا که کل سیستم به یک سایت خاصی وابسته می شوند.
  • وابسته بودن به یک سایت خاص، حداقل به دو دلیل زیر غیر مطلوب می باشد:
§         سایت مرکزی ممکن است یک گلوگاه(Bottleneck) باشد.
§         سیستم ممکن است آسیب پذیر باشد.
  • در یک سیستم توزیع شده، عملیات زیر (در میان سایر عملیات) حتما باید توزیع شده باشند:
§         مدیریت دیکشنری
§         پردازش جستجو
§         کنترل همزمان
§         کنترل بازیابی
 
قانون 3: عملیات پیوسته
هیچگاه نباید نیاز به خاموش کردن (از قبل پیش بینی شد)ه کل سیستم برای اعمال تغییرات داشته باشیم.
اضافه کردن سایت جدید X به سیستم توزیع شده D، نباید باعث توقف کل سیستم شود.
اضافه کردن سایت جدید X به سیستم توزیع شده D، نباید نیازمند تغییری در برنامه های کاربر یا فعالیتهای ترمینال باشد.
حذف سایت X از سیستم توزیع شده، نباید ئقفه های غیر ضروری در سرویس ایجاد کند.
ایجاد و حذف و تکثیر قطعات به صورت پویا باید در یک سیستم توزیع شده امکان پذیر باشد.
باید بتوان بدون نیاز به خاموش کردن کل سیستم، DBMS یک سایت را به روز کرد.
 
قانون 4: استقلال Location
  • نه تنها کاربران نباید از محلی فیزیکی ذخیره داده ها مطلع باشند، بلکه از لحاظ منطقی باید به تصور کنند که داده ها در سایتهای محلی خودشان قرار دارد.
  • ساده کردن برنامه های کاربر و فعالیتهای ترمینال
  • اجازه تغییر سکو
  • فراهم کردن استقلال Location برای عملیات ساده بازیابی ساده تر از عملیات به روز رسانی می باشد.
  • داشتن طرحی برای نام گذاری داده توزیع شده(Distributed Data Naming Scheme) و ایجاد پشتیبانی مناسب از طریق زیر سیستم دیکشنری
  • مواردی که باید در مورد کاربران پیاده سازی شود:
§         کاربر U باید شناسه معتبری برای ورود در سایتهای مختلف داشته باشد.
§         پروفایل هر کاربر برای هر شناسه مجاز باید در دیکشنری باشد.
  • دسترسی های هر کاربر در هر سایت به وی اختصاص داده شود.
 
قانون 5: استقلال قطعات(Fragmentation)
  • سیستمهای توزیع شده از قطعه قطعه شدن داده ها پشتیبانی می کنند، منوط به اینکه یک رابطه خاص قابلیت تقسیم به قسمتهای مختلف برای ذخیره در محلهای فیزیکی گوناگون را داشته باشد. سیستمی که این قابلیت را داشته باشد، از استقلال قطعات نیز پشتیبانی می کند.
  • کاربران باید از لحاظ منطقی به گونه ای تصور کنند که گویا اصلا داده ها در قسمتهای مختلف ذخیره نشده اند.
  • از دلایل قطعه قطعه شدن داده ها، می توان به افزایش کارآیی اشاره کرد.
  • قطعه قطعه شدن افقی(Select)
  • قطعه قطعه شدن عمودی(Project)
  • قطعه قطعه شدن باید در متن یک پایگاه داده توزیع شده تعریف شود.
  • استقلال قطعات همانند استقلال Location باعث ساده تر شدن برنامه های کاربر و فعالیتهای ترمینال می شود.
  • داده هایی که به کاربران نمایش داده می شود، از ترکیب منطقی قطعات مختلف (به واسطه الحاقها(Joins) و اجتماعات(Unions) مناسب)به دست می آید.


مثالی از قطعه قطعه شدن:
داده ها از دید کاربران:
شماره کارمندی
دپارتمان
حقوق
E1
DX
450.000
E2
DY
400.000
E3
DZ
500.000
E4
DY
630.000
E5
DZ
400.000
 
قطعه مشهد                                                     قطعه تهران
 
 
 
 
شماره کارمندی
دپارتمان
حقوق
 
شماره کارمندی
دپارتمان
حقوق
E2
DY
400.000
 
E1
DX
450.000
E4
DY
630.000
 
E3
DZ
500.000
 
 
 
 
E5
DZ
400.000
 
 
محل فیزیکی ذخیره داده ها(مشهد)                 محل فیزیکی ذخیره داده ها(تهران)
 
قانون 6: استقلال Replication
  • کاربران باید از لحاظ منطقی به گونه ای تصور کنند که گویا اصلا داده ها تکرار(replicated) نشده اند.
  • سیستم توزیع شده از کپی برداری دادها پشتیبانی می کند، به شرط آن که یک رابطه( یا بطور کلی تر یک قطعه از رابطه) بتواند از لحاظ فیزیکی در کپی های مجزا و در سایتهای مجزا ذخیره شود.
  • کپی برداری داده ها باید همانند قطعه قطعه شدن برای کاربران شفاف(غیر قابل تشخیص) باشد.
  • دلایل عمده کپی برداری داده ها
§         کارآیی
§         در دسترس بودن(دسترسی)
  • مشکل انتشار به روز رسانی
  • استقلال Replication   همانند استقلال قطعات و استقلال Location باعث ساده تر شدن برنامه های کاربر و فعالیتهای ترمینال می شود.
  • رو نوشت از داده ها (Snapshots)
 


مثالی از کپی برداری داده ها:
 
داده ها از دید کاربران:
شماره کارمندی
دپارتمان
حقوق
E1
DX
450.000
E2
DY
400.000
E3
DZ
500.000
E4
DY
630.000
E5
DZ
400.000
 
قطعه مشهد                                                     قطعه تهران
 
 
 
 
شماره کارمندی
دپارتمان
حقوق
 
شماره کارمندی
دپارتمان
حقوق
E2
DY
400.000
 
E1
DX
450.000
E4
DY
630.000
 
E3
DZ
500.000
 
 
 
 
E5
DZ
400.000
 
 
                  کپی قطعه تهران                                        کپی قطعه مشهد
 
 
 
 
شماره کارمندی
دپارتمان
حقوق
 
شماره کارمندی
دپارتمان
حقوق
E1
DX
450.000
 
E2
DY
400.000
E3
DZ
500.000
 
E4
DY
630.000
E5
DZ
400.000
 
 
 
 
 
 
محل فیزیکی ذخیره داده ها(مشهد)                 محل فیزیکی ذخیره داده ها(تهران)
 
 


قانون 7: پردازش توزیع شده جستجوها
  • یکی از مهمترین و حیاتی ترین نکات در مرود سیستمهای پایگاه داده توزیع شده، انتخاب استراتژی مناسب برای پردازش توزیع شده جستجو(Query) می باشد.
  • پردازش جستجو در سیستم های توزیع شده شامل موارد زیر می باشد:
      • عملیات محلی ورودی و خروجی(I/O) و CPU در سایتهای مجزا
      • تبادل اطلاعات میان سایتهای فوق الذکر
  • Query Compilation Ahead Of Time
  • Views That Span Multiple Sites
  • integrity constraints that within DDBS that span multiple sites
 
 
قانون 8: مدیریت توزیع شده Transaction
  • دو نکته مهم برای مدیریت Transaction، کنترل بازیابی(Recovery Control ) و کنترل سازگاری(Consistency Control) می باشد که نیاز به اعمال و دقت بیشتری در محیط های توزیع شده دارند.
  • در یک سیستم توزیع شده، یک Transaction می تواند باعث اجرای کد در چندین سایت شده که همین امر خود می تواند باعث عملیات به روز رسانی در سایتهای مختلف شود.
  • هر Transaction را می توان شامل چندید Agent در نظر گرفت که هر Agent، فرآیندی است که از طرف Transaction  در سایت به خصوصی اجرا می شود.
 
بن بست عمومی: هیچ سایتی نمی تواند با استفاده از اطلاعات داخلی خود، آن را تشخیص دهد.
قانون 9 :استقلال سخت افزاری
·         صرفه نظر از اینکه چه Platform سخت افزاری استفاده می شود، کاربران باید تصویر واحدی از سیستم داشته باشند.
·         بهتر است بتوان یک DBMS را بر روی سیستمهای سخت افزاری مختلف اجرا کرد.
·         بهتر است سیستم های مختلف سخت افزاری سهم یکسانی در یک سیستم توزیع شده داشته باشند.
·     نمی توان به راحتی فرض کرد که همواره می توان از سیستمهای همگن استفاده کرد، به همین دلیل هنوز باید یک DBMS بر روی سیستمهای مختلف سخت افزاری قابل اجرا باشد.
 
قانون 10: استقلال سیستم عامل
·     بهتر است که علاوه بر استقلال سخت افزاری، قادر به راه اندازی DBMS بر روی سیستم عاملهای مختلف (حتی سیستم عاملهای مختلف بر روی یک سخت افزار) باشیم.
·     حداقل سیستم عاملهای مهمی که باید DBMS پشتیبانی کند(با توجه به معیارهای تجاری)، عبارتند از: MVS/XA؛ MVS/ESA، VM/CMS، VAX/VMS، UNIX(محصولات مختلف)، OS/2، MS/DOS و WINDOWS
 
قانون 11: استقلال شبکه
·         مطلوب آن است که بتوانیم شبکه های نامتجانس مختلف را پشتیبانی نماییم.
·         از دید یک DBMS توزیع شده، شبکه یک سرویس مطمئن انتقال پیغام می باشد.
·     مفهموم مطمئن در عبارت فوق را می توان بدین صورت توصیف نمود که به طور مثال اگر شبکه پیغامی را از سایت X برای تحویل به سایت Y دریافت کرد، سرانجام آن پیغام را به سایت Y تحویل دهد.
·         نباید در محتوای پیغامها خللی ایجاد شده و پیغامها باید به ترتیب فرستاده شدن ارسال شده و بیش از یکبار نیز تحویل مقصد نشوند.
·         شبکه مسئول تایید سایت(Site Authentication) نیز می باشد.
·         یک سیستم ایده آل باید هم از شبکه های محلی(LAN) و هم از شبکه های گسترده(WAN) پشتیبانی نماید.
·         سیتمهای توزیع شده باید معماریهای مختلف شبکه را پشتیبانی نمایند.
 
قانون 12:استقلال DBMS
سیستم توزیع شده ایده آل باید استقلال DVBMS را مهیا سازد.
 

 http://www.safarayaneh.com/persian/articledetails.aspx?pageid=653&parentid=13
+ نوشته شده در  یکشنبه سوم تیر 1386ساعت 15:49  توسط مهر  | 

لینوکس 05
تعاريف پايه و نكات كاربردي در لينوكس و يونيكس

در ابتدای كاربا
سيستمهای عاملهای يونيكس بيس مثل لينوكس نكات مهمی وجود دارد كه دانستن آنها به هر
كاربر در امر آشناشدن با اين سيستم عامل و فهميدن مفاهيم پايه آن كمك ميكند . در
اين مقاله تصميم دارم تعدادی از اين مفاهيم را بصورت خلاصه برشمرده و شما را با
آنها آشنا نمايم :


1- فرامين و دستورات
در محيط سيستم عاملهای گنو / لينوكس به بزرگی و كوچكی حروف حساس يا باصطلاح
case sesitive‌ ميباشند ، اين بدان معناست كه كلماتی چون  Mozilla, MOZILLA, mOzilla , mozilla
كاملا با هم متفاوت هستند و بعنوان چهار دستور جداگانه تلقی ميشوند .و بصورت پيش فرض فقط دستور mozilla‌   برای اجرای مرورگر اينترنت موزيلا در محيط اين سيستم قابل اجراست و بقيه دستورات
بدون نتيجه خواهد بود . همچنين كلمه عبور ورودی شما به سيستم و كلمه رمز عبور نيز
از اين قائده پيروی ميكنند .


2- نام فايلها در لينوكس ميتواند حداكثر شامل 256 كاراكتر باشد كه اين كاراكترها كليه حروف و اعداد و
( -  و  _  و  . ) و حتی تعدادی كاراكترهای غير مصطلح ديگر باشد .

3- فايلهائی كه نام آنها با دات يا ( . ) آغاز ميشود را نميتوان با دستور ls‌ ياdirمشاهده و ليست نمود . چرا كه سيستم تصور ميكند اين فايلها دارای خصوصيت پنهان بوده و بايد حتما از دستور  ls
?a   برای مشاهده همه فايلهای موجود در مسير جاری استفاده كرد . (a=all)

4- كاراكتر / در لينوكس مشابه همتای خود درداس يعنی \
بوده و به معنای ريشه تمام دايركتوريهای موجود در سيستم فايل لينوكس است . برای
مثال برای رفتن به يكی از دايركتوريهای سيستم از دستور cd   /usr/doc   استفاده ميشود .

5- در لينوكس همه دايركتوريها در زير شاخه يك دايركتوری اصلی بنام ريشه يا root‌ قرار دارند و هيچگونه درايوی مثل داس يا ويندوز (c,d,e,f,?) وجود ندارد . اين بدان معناست كه حتی درايوهای فيزيكی مثل هارد ديسكهای متعدد و يا حتی درايوهای شبكه پس از اتصال به سيستم فايل لينوكس در زير مجموعه دايركتوری ريشهroot‌ قرار ميگيرند .

6- در فايلهای پيكربندی سيستمی لينوكس كليه خطوط دستوری كه با كاراكتر # شروع ميشوند صرفا حاوی توضيحاتی برای راهنمائی كاربران ميباشند و در هنگام اجرای فايل پيكربندی ناديده گرفته خواهند شد .

7- لينوكس بصورت ذاتی يك سيستم چند كاربره ميباشد و كليه تنظيمات سيستمی  و فايلهای متعلق به هر كاربر در يك دايركتوری اختصاصی وی در شاخه  /home/ قرار ميگيرد . تنظيمات كاربری و كلمه شناسائی و ساير تنظيمات اختصاصی اعمال شده در سيستم توسط هر كاربر در دايركتوری
home‌ مخصوص وی و در فايلهائی قرار ميگيرد كه همگی با نقطه يا " . " آغاز ميگردند .
8- فايلهای تنظيمات عمومی سيستم در دايركتوری /etcقرار دارند .
9- در لينوكس همچون ساير سيستمهای عامل چند كاربره همه دايركتوريها و حتی تك تك فايلها  حاوی اطلاعات مربوط به خصوصيات  و سطح دسترسی قابل تعريف  permissions  ميباشند .

10- دستورات تكميلی هر فرمان اجرا شده در خط فرمان متنی با كاراكتر  -    و وقتی فرمان كمكی حاوی بيش از يك كاراكتر باشد با  - -   آغاز ميشوند. اين مورد را ميتوان با برخی سوئيچها
كمكی فرمان داس  /  مقايسه كرد .

11- هنگامی كه بخواهيد يك فرمان در پس زمينه سيستم اجرا شود بايد پس از تايپ دستور يا فرمان
مربوطه كاراكتر & را قرا دهيد .

http://www.shabgard.org/doc/publish/nix/article_9.shtml

 

در زمينه ميزبانی وب همواره 2 سيستم عامل مهم وجود داشته است: ويندوز و يونيکس (لينوکس). مهمترين سوالی که همواره در اين زمينه از ما ميشود آن است که کدام سيستم برای سايت ما مناسب است؟ ويندوز يا لينوکس؟ پاسخ ما با توجه به هدف شما از داشتن وب سايت و برنامه ای که برای آن سايت در نظر داريد متفاوت است. ما اکثرا به مشتريان خود توصيه ميکنيم که برای شروع با لينوکس شروع کنند و اگر در آينده نياز به گسترش کار و استفاده از قابليتهای ويندوز بود، سايت خود را به ويندوز منتقل نمايند.

معمولا سرورهای ويندوز قابليتهای بيشتری دارند و البته از نظر هزينه گرانتر از لينوکس ميباشند. اما سرورهای لينوکس معمولا با ثبات تر (Stable) هستند و از نظر سرعت نيز بين دو سيستم تفاوت چندانی وجود ندارد.

از نظر امنيت سرورهای لينوکس امن تر از ويندوز هستند. اما ما در شرکت ارتباط نوين با در نظر گرفتن تمامي مسائل امنيتی بر روی هر دو سيستم امنيت هر دو پلاتفرم را تضمين مينماييم و به شما پيشنهاد ميکنيم در هنگام انتخاب سرور بيشتر به امکاناتی که به شما ارائه ميشوند توجه کنيد تا مسائل امنيتی.

نکته مهم : عده ای تصور ميکنند که برای استفاده از سرور لينوکس ، بايد بر روی کامپيوتر خود سيستم عامل لينوکس نصب کنند. اين فرضيه 100% اشتباه است و کاربران با هر سيستم عاملی ميتوانند به سادگی از خدمات سرورهای لينوکس و سايتهايی که بر روی اين سيستم عامل قرار دارند استفاده نمايند. در کاربری خدمات اين سرورها هيچ مشکلی وجود ندارد و بعضا حتی از کار با ويندوز نيز راحتتر است.
 

جدول مقايسه قابليتها و تواناييهای دو سيستم عامل (بدترين=0 ، بهترين=5) :

ويندوز 2003 لينوکس  
4 5 قابليت اطمينان
4 5 سادگی استفاده
5 5 قابليت ارتقاء در صورت نياز
5 3 قابليت کار با محصولات مايکروسافت
3 5

نرم افزارهای رايگان يا Open Source

5 5 سرعت
5 5 امکانات
5 5 قيمت

 

نرم افزارهايي که توسط اين سيستمها پشتيبانی ميشوند :

 
  لينوکس ويندوز 2003
FrontPage Extention
Flash
Shockwave
Real Audio/Video
CGI-Scripts
Perl
PHP
SSH
MySQL
Web-Based Control Panel
Anonymous FTP
Web Site Statistics
Web-Based Email
SQL 2000
Cold Fusion
ASP
MS Access
Visual Basic Scripts
Windows Media

.NET Framework 1 & 2

http://enovin.net/winlin.php
+ نوشته شده در  شنبه بیست و ششم خرداد 1386ساعت 18:7  توسط مهر  | 

لینوکس 04
اصول VPN در لينوكس‌

 اشاره :
VPN يا Virtual Private Network شبكه‌هايي خصوصي هستند كه در محيط اينترنت ساخته مي‌شوند. فرض كنيد كه شركت يا سازماني داراي شعب گوناگوني در سطح يك كشور باشد. اگر اين سازماني بخواهد كه شبكه‌هاي داخلي شعب خود را به‌يكديگر متصل كند، چه گزينه‌هايي پيش‌رو خواهد داشت؟ به‌طور معمول يكي از ساده‌ترين راه‌حل‌ها، استفاده از اينترنت خواهد بود. اما چگونه چنين سازماني مي‌تواند منابع شبكه‌هاي LAN درون سازماني خود را در محيط نا امن اينترنت بين شعب خود به اشتراك بگذارد؟ از طرف ديگر استفاده از ارتباطات تلفني راه‌دور و يا خطوط استيجاري (leased line) نيز هزينه‌هاي بسيار سنگيني دارند. در نتيجه نمي‌توان از چنين روش‌هايي به‌طور دائم براي اتصال مثلاً چاپگر دفتر مركزي به سيستم‌هاي شعب راه‌دور استفاده كرد. VPNها راه‌حلي هستند كه سازمان‌ها و مراكز ديگر مي‌توانند به‌كمك آن شبكه‌هاي LAN شعب گوناگون خود را از طريق شبكه اينترنت ( البته با حفظ امنيت) به يكديگر متصل سازند. در طراحي شبكه‌هاي VPN، مسائل متنوعي مطرح هستند كه هر يك از آنها تاثير زيادي بر پارامترهاي اساسي شبكه‌هاي VPN بر جاي مي‌گذارند. فاكتورهايي همچون مقياس‌پذيري و Interoperability يا سازگاري علاوه بر كارايي و امنيت شبكه‌ها، ويژگي‌هايي هستند كه طرح‌هاي گوناگون VPNها را از يكديگر متمايز مي‌سازند. طراحان شبكه‌هاي VPN بايد به مواردي از قبيل وجود ديواره‌هاي آتش، مسيرياب‌ها و Netmask و بسياري از عوامل ديگر توجه كافي داشته باشند. شناخت كافي و صحيح از توپولوژي شبكه منجر به تشخيص صحيح نقل و انتقالات بسته‌هاي اطلاعاتي و در نتيجه درك نقاط ضعف و آسيب‌پذير شبكه‌ها و مسائل ديگري از اين دست خواهد شد. در اين نوشته سعي شده است كه علاوه بر موارد فوق، به موضوعاتي مانند نگهداري از شبكه و كارايي آن نيز پرداخته شود.  

Gateway يا دروازه
مي‌دانيم كه شبكه‌هاي VPN قابليت اتصال شبكه‌هاي گوناگون را به‌يكديگر دارند و در اين زمينه سناريو‌هاي متفاوتي مانند host-network و ياnetwork-network مطرح شده‌اند. در تمامي شبكه‌هاي VPN، از دو ميزبان براي انجام امور encryption/decryption در ترافيك شبكه VPN استفاده مي‌شود كه به نقاط پاياني (end point) شبكه‌هاي VPN  معروف شده‌اند. زماني كه يكي از اين نقاط و يا هردوي آنها، دسترسي به شبكه‌اي از ماشين‌هاي ديگر داشته باشند، به آن ميزبان مربوطه يك دروازه يا Gateway گفته مي‌شود. مفهوم Gateway يكي از مفاهيم و كليدواژه‌هاي استاندارد در بين اصطلاحات شبكه تلقي مي‌شود. به عنوان مثال، مسيريابي كه يك سازمان را به ISP خود متصل مي‌سازد، يك دروازه محسوب مي‌شود. البته بر حسب موضوع مي‌توان به همان مسيريابي كه تمام ترافيك شبكه از آن عبور مي‌كند، ديواره‌آتش نيز نام داد. در اصطلاح VPN، به چنين دروازه‌اي يك نقطه پاياني گفته مي‌شود كه در ابتداي شبكه  واقع شده است و دسترسي به VPN را فراهم مي‌آورد. طراحان VPN براي تفكيك سناريوهاي گوناگون از يكديگر، از اصطلاحاتي مانند host-to-host  ،host-to-gateway و ياgateway-to-gateway استفاده مي‌كنند. اصطلاح نخست، بيان كننده نقطه پاياني VPN است (صرف‌نظر از آن‌كه آن نقطه يك ميزبان است يا يك gateway) عبارات دوم و سوم به توصيف كننده نوع اتصال هستند كه مي‌تواند يك ميزبان ديگر و يا يك شبكه ديگر باشد. خلاصه آن‌كه زماني كه گفته مي‌شود كه شبكه VPN براي اتصال 192.168.1.0 به 192.168.2.0 آرايش شده است (يعني از 192.168.1.0 تا 192.168.2.0)،‌ منظور آن است‌ كه قرار است دو شبكه به يكديگر ارتباط يابند. در اين مثال مي‌توانيد فرض كنيد كه هر يك از اين شبكه‌هاي داراي دروازه‌اي هستند كه توسط نشاني‌هاي 192.168.1.1 و  192.168.2.1 شناسايي مي‌شوند و مسئول انتقال ترافيك به شبكه‌هاي خود هستند.

شكل 1

يك مثال‌
براي كمك به درك بهتر سناريوهاي مطرح شده،‌ از يك مثال ساده network-network استفاده مي‌كنيم (شكل 1). همان‌طور كه در شكل ديده مي‌شود، سناريوي شبكه- شبكه نمايش داده شده، شامل دو شبكه در شهر‌هاي متفاوت است. در اين تصوير شبكه شهر الف با 24/192.168.2.0 شناسايي مي‌شود. در اين شبكه سيستمي به‌نام Bears با نشاني IP به‌صورت 192.168.1.1 نقش سرور VPN يا gateway را ايفا مي‌كند. در سمت ديگر نيز شبكه شهر ب داراي آرايش مشابهي است و سيستم Falcon درآن در نشاني 192.168.2.1 در نقش VPN server/Gateway ظاهر شده است. هر دو شبكه از آدرس‌دهي در ناحيه شبكه خصوصي private network بر اساس مشخصه  RFC 1918 بهره مي‌برند. در تصوير شماره يك، نشاني‌هاي خارج از اين دو شبكه (مثلاً  280.8.8.8 و 270.7.7.7) نشاني‌هاي مسير‌يابي اينترنتي (Internet-routable) فرضي هستند كه هر يك از ماشين‌ها براي ارتباط حقيقي بين خود، ازآن استفاده مي‌كنند.

نشاني‌هاي اينترنتي خارجي‌
ممكن است كه از ديدن نشاني‌هاي 280.8.8.8 و نشاني ديگر كه در مثال فوق از آن استفاده شده، تعجب كرده باشيد. چنين نشاني‌‌هايي صحيح نيستند و همان‌طور كه مي‌دانيد، هر يك از بخش‌هاي نشاني‌هاي IP صحيح در ناحيه‌اي بين صفر تا 255 واقع هستند.در اين شبكه، قصد طراح چنين بوده است كه از نشاني‌هاي واقعي قابل مسير‌يابي اينترنتي استفاده نشود، تا بر اثر اشتباه تايپي امكان بر‌قراري يك ارتباط VPN با سيستم‌ خارجي ناشناس وجود نداشته باشد. در نتيجه در طرح‌هايي كه در عمل ارئه مي‌شوند، دو راه متصور خواهد بود:

يا بايد ازIPهاي اختصاصي به عنوان IPهاي خارجي استفاده شود، كه به معني آن خواهد بود كه كاربر بايد چنين نشاني‌هايي را با نشاني‌هاي واقعي قابل مسير‌يابي اينترنتي تعويض كند.

راه دوم آن است كه از نشاني‌هايي به‌صورت W.X.Y.Z به عنوان نشاني‌خارجي به‌گونه‌اي استفاده شود كه آن w عددي بزرگ‌تر از 255 و در نتيجه نشاني اينترنتي غير موجه باشد.
ناريوي شبكه- شبكه (network-network) فوق را مي‌توان تنها با يك تغيير به‌گونه‌اي تغيير داد كه تبديل به شبكه‌اي host-network گردد. براي اين‌كار كافي است كه رابط اترنت eth0 و تمام شبكه 24/192.168.2.0 را از سيستم Bears برداريم و Bears را به سيستم Falcon متصل سازيم. به همين طريق مي‌توان سناريوي host-network را با برداشتن رابط eth1 و شبكه 24/192.168.2.0 از روي سيستم Falcon و تبديل سيستم‌هاي Bears و Falcon به تنها سيستم‌هايي كه در VPN قرار دارند، به سناريوي host-host تبديل ساخت.البته بايد توجه داشت كه قبل از هرگونه تصميم‌گيري در مورد نوع VPN مناسب، بايد ابتدا نيازمندي‌ها با دقت تعيين و تعريف شوند. در ادامه اين مقاله چنين ملاحظاتي را مورد نظر قرار خواهيم داد.

توزيع كليدها
موضوعKey distribution در بين كلاينت‌هاي VPN و سرورهاي شبكه يكي از نخستين مواردي هستند كه بايد در نظر گرفته شوند. توزيع كليدها مي‌تواند شامل دو نوع Key باشد.يعني كليدهاي متقارن و نامتقارن (symmetric / asymmetric). انتقال ايمن كليدها يكي از مهم‌ترين موضوعاتي است كه بايد رعايت گردد. در بهترين شرايط شما بايد قادر باشيد كه از كانال فيزيكي خارج از شبكه كه ايمن هم باشد براي دسترسي به هر دو سيستم‌ها بهره ببريد و تنظيم كليدها را خود بر عهده گيريد.البته در عمل و بسياري از موارد چنين امكاني وجود نخواهد داشت. در صورتيكه شما ناگزير به توزيع كليدهاي متقارن از راه دور هستيد، حداقل اطمينان حاصل كنيد كه از پروتكل‌هاي ايمني همچون، SFTP-SCP-SSL/TLS  استفاده كنيد. به‌خاطر داشته باشيد كه پروتكل‌هايي مانند Telnet يا FTP به هيچ وجه امن نيستند و در صورتي‌كه از چنين روش‌هايي براي توزيع كليدها استفاده كنيد، به معني آن خواهد بود كه كليدهاي خود را تقديم هكر‌ها كرده‌ايد. شايد حتي مناسب‌تر باشد كه از يك متخصص ويژه و يا يكي از كارمندان خود براي سفر به سايت راه دور و انتقال كليدها از طريق ديسكت استفاده كنيد. بحث كليدهاي نامتقارن ( كه شامل يك جفت كليد عمومي و خصوصي هستند)، موضوعي كاملاً متفاوت است. در اين موارد، مي‌توان كليد  عمومي را بدون نگراني از بابت امنيت، از روش‌‌هاي معمولي مانند FTP و يا حتي از طريق پست الكترونيك، انتقال داد. كليدهاي عمومي به‌خودي خود اطلاعات با ارزشي را نمي‌توانند به هكرها انتقال دهند كه از آن بتوان براي نفوذ به شبكه VPN بهره‌برداري كرد. در اين روش، وضعيت به‌گونه‌اي است كه پس از دريافت كليد ‌عمومي، كاربر آن را به‌كمك نرم‌افزار VPN نصب كرده و پس از اين مرحله از مديريت شبكه راه دور در سمت مقابل شبكه VPN مي‌خواهد تا كليد را با صداي بلند بخواند. در اين سناريو، در صورتي‌كه كليد به‌گونه‌اي انتقال داده شود كه امكان دستكاري آن توسط هكر فرضي وجود داشته باشد، آنگاه شبكه VPN شما در معرض خطري قرار مي‌گيرد كه اصطلاحاً به آن حمله man-in-the-middle گفته مي‌شود. به‌طور خلاصه، انتقال ايمن كليد مهم‌ترين فاكتور امنيت يك شبكه محسوب مي‌شود.

مقياس‌پذيري
شبكه‌هاي VPN هم مانند تمامي بخش‌هاي ديگر ابر‌ساختار شبكه، بايد قابليت تطابق با ترافيك كاري امور اداري يا تجاري سازمان‌ها را دارا باشد و بتواند با تغيير مقياس‌هاي سازماني هماهنگ گردد. در صورتيكه از شبكه VPN براي اتصال دفتر مركزي يك سازمان به شعب راه‌دور آن بهره گرفته شود و به عبارت ديگر طرح توسعه محدودي براي آن در نظر گرفته شده باشد، احتمالاً چندان درگير موضوعمقياس‌پذيري (Scalability) نخواهيد بود. دليل اين مطلب آن است كه اكثر تكنولوژي‌هاي VPN تا حدودي مي‌توانند پاسخگوي نيازمندي‌هاي توسعه سازماني باشند. اما اگر قرار باشد از شبكه VPN در يك ساختار سازماني بزرگ استفاده شود و كاربران زيادي بخواهند از VPN  بهره‌برداري كنند، آنگاه موضوع مقياس‌پذيري تبديل به يكي از موارد اصلي در فهرست موضوعات با اهميت خواهد شد. براي تعريف مقياس‌پذيري از سه مورد نام برده مي‌شود:

قابليت پشتيباني از اتصالات بيشتر

سهولت نگهداري و پشتيباني‌

‌ هزينه‌
پارامترهاي فوق تا حد زيادي به نوع و طراحي VPN وابسته هستند. از طرف ديگر توپولوژي انتخاب شده براي شبكه VPN تعيين كننده‌ترين فاكتور سنجش مقياس‌پذيري محسوب مي‌شود.

توپولوژي ستاره‌اي
در ادامه يك شبكه VPN نمونه از نوع network-network را بررسي خواهيم كرد كه در طراحي آن از توپولوژي ستاره‌اي استفاده شده است.در توپولوژي ستاره، هر يك از سايت‌‌هاي راه‌دور داراي يك ارتباط VPN با هاب VPN مركزي هستند. هاب VPN مركزي بايد قابليت پشتيباني از تعداد n ارتباط VPN را داشته باشد كه در اينجا تعداد n برابر است با تعداد سايت‌هاي راه‌دور. در چنين شبكه‌اي هر جفت از سيستم‌هايي كه قصد ارتباط با يكديگر را داشته باشند، بايد ترافيك خود را به‌صورت ايمن از بين هاب مركزي به مقصد نهايي هدايت كنند.مزيت اصلي چنين مدلي در آن است كه اضافه كردن سايت‌هاي جديد (در واقع توسعه پذيري) در چنين آرايشي بسيار سرراست است. اما نقاظ ضعف اين آرايش را مي‌توان به‌صورت زير برشمرد:

در شبكه‌هاي VPN از نوع ستاره‌اي، يك نقطه آسيب‌پذير مركزي وجود دارد كه در صورت از كار افتادن آن، كل شبكه از كار خواهد ايستاد.

در صورتي‌‌كه كارايي در سيستم هاب مركزي دچار اشكال و نقص شود، در آن صورت كارايي در تمام سيستم‌هاي VPN راه دور نيز دچار مشكل خواهند شد.

اشكال ديگر آرايش‌هاي ستاره‌اي آن است كه حتي دو سيستم كه از نظر جغرافيايي نيز به‌يكديگر نزديك هستند، باز هم بايد از ارسال و دريافت بسته‌هاي داده از طريق هاب مركزي براي ارتباطات بين خود كمك بگيرند.
البته بسياري از طراحان شبكه‌هاي VPN با آرايش ستاره‌اي، بسياري از مشكلات فوق را به‌وسيله نصب تعداد بيشتري از هاب‌ها در نقاط مختلف شبكه، رفع مي‌كنند و بدين ترتيب بار ترافيك شبكه را بين چند هاب تقسيم مي‌كنند.

توپولوژي Full Mesh 

شكل 3

در شكل 3 نمونه‌اي از يك شبكه VPN در آرايش Mesh كامل را مشاهده مي‌كنيد. در اين شبكه‌ها، هر دو سيستم موجود در شبكه مستقيماً با يكديگر ارتباط دارند. شبكه‌هاي Mesh كامل، داراي چندين مزيت و يك اشكال عمده هستند. مزاياي چنين شبكه‌هايي عبارتند از:

در اين شبكه‌هاي، خبري از يك نقطه آسيب‌پذير مركزي نيست و سايت‌ها براي ارتباط با يكديگر وابسته به يك هاب مركزي نيستند.

كارايي كلي شبكه به كارايي يك سيستم وابسته نيست.

سايت‌هايي كه از نظر جغرافيايي به يكديگر نزديك هستند، در اين شبكه‌ها مستقيماً با يكديگر ارتباط خواهند داشت.
مشكل شبكه‌هاي VPN در آرايش Mesh كامل، آن است كه در صورت نياز به اضافه كردن يك گره جديد در شبكه، بايد براي هر گره موجود در شبكه يك ارتباط جديد افزوده شود.


شكل 2

همان‌طور كه ملاحظه مي‌كنيد، اگرچه چنين آرايشي فقط يك نقطه ضعف دارد، اما اين نقطه ضعف به‌تنهايي اشكال بزرگ و مهمي محسوب مي‌شود.

در چنين شبكه‌هايي، به‌جاي آن‌كه نياز به مديريت كليدها در يك سيستم مركزي داشته باشيد، ناگزير به تنظيم كليدها در يكايك گره‌ها خواهيد بود. شبكه‌اي شامل هزار گره را مجسم كنيد. تنظيم دستي كليدها در چنين شبكه‌اي، امري غير ممكن خواهد بود.از بررسي دو نمونه شبكه‌هاي VPN كه در بالا انجام داديم، مشخص مي‌شود كه اضافه كردن گره‌هاي جديد به شبكه‌هايي با آرايش ستاره‌اي و يا Mesh كامل، نياز به روش مقياس‌پذيري براي توزيع كليدها در سطح شبكه به شيوه‌اي امن دارد. در بعضي از شبكه‌هاي VPN، به‌جاي قرار دادن كليدها بر روي هر سرور، از روش ديگري استفاده كرده‌اند كه درآن اطلاعات كليدها از يك منبع مركزي برداشت مي‌شود. به عنوان مثال، در راه حلي به‌نام FreeS/WAN ترتيبي اتخاذ شده است كه اطلاعات Key‌ها از DNS استخراج شوند. ضمناً در اين روش اطلاعات به‌روش موسوم به opportunistic encryption رمز مي‌شوند.
همان‌طور كه گفته شد، يكي از مسائل مهم ديگر در شبكه‌هاي VPN مسئله مسيريابي است. در شبكه‌هاي
VPN درصورتي‌كه نخواهيد از شيوه‌هاي تنظيم پارامترهاي مسير‌يابي به‌شكل دستي استفاده كنيد، ممكن است ناگزير به انتشار اطلاعات مسير‌يابي به شيوه‌هاي خودكار ( مثلاً از طريق اجراي پروتكل مسير‌يابي IGP مانند RIP يا OSFP در شبكه) باشيد.

پياده‌سازي‌هاي رايگان IPSec براي سكوهاي لينوكس و BSD

free S/WAN: يكي از پيشرو‌ترين اجراهاي IPSec براي سكوي لينوكس به‌شمار مي‌رود و از طرف بسياري از متخصصان استفاده از آن توصيه شده است.

NIST Cerberus: يك پياده‌سازي IPSec مرجع براي سكوي لينوكس است.

KAME: اجراي IPSec و  IPV6 راي هسته‌هاي BSD است. پروژه KAME هنوز فعال است و توسط كارمنداني كه از سوي بسياري از شركت‌هاي بزرگ ژاپني حقوق دريافت مي‌كنند، توسعه داده مي‌شود.

OpenBSD: به‌صورت عادي در درون خود IPSec را پياده‌سازي كرده است.

Pipsec: در واقع انتقال يافته كد BSD IPSec به سكو‌هاي لينوكسي است. اما تاريخ آخرين ارتقاي اين مجموعه سال 1998 مي‌باشد.

Linux x.kernel: پروژه‌اي در دانشگاه آريزونا كه هدف آن پياده‌سازي IPSec در هسته لينوكس مي‌باشد. حساسيت زيادي در مورد عدم خروج كد اين پروژه از آمريكا وجود دارد.

سازگاري‌
در زمينه سازگاري، حتي نرم‌افزارهايي كه بر اساس استاندارد‌هاي باز و يا RFC توسعه يافته‌اند، نيز دچار مشكلاتي هستند. به عنوان مثال، بسياري از مديران شبكه با شرايطي روبرو مي‌شوند كه محصولات استاندارد تجاري هم به هيچ وجه با يكديگر سازگاري ندارند.در نتيجه در چنين مواقعي ممكن است نيازمندي‌هاي وابسته به سازگاري منجر به زير‌پا گذاشتن برخي از تصميمات و استراتژي‌هاي شبكه VPN شود. نخستين موردي كه بايد به آن پاسخ داد آن است كه آيا اصولاً ممكن است شرايطي پيش‌آيد كه لازم باشد به شبكه VPN ديگري كه به شما تعلق ندارد متصل شويد؟ اگر قرار باشد كه به تجهيزاتي كه به شما تعلق ندارند (و در نتيجه كنترلي بر آن‌ها نداريد) متصل شويد، بهترين گزينه آن خواهد بود كه از استاندارد‌هايي كه كمك بگيريم كه بيشترين سازگاري را ارئه مي‌دهند. از ديدگاه سازگاري، FreeS/WAN انتخاب مناسبي است. IPSec استاندارد ديگري است كه بسياري از توليد كنندگان آن را در درون محصولات خود پياده‌سازي كرده‌اند. اگرچه بعضي از توليد كنندگان تنها بخشي از اين استاندارد را در محصولات خود پياده‌سازي كرده‌اند، با اين حال، به‌طور معمول مي‌توان در هر دو سمت شبكه‌هاي VPN به‌گونه‌اي تنظيمات را انجام داد كه مجموعه‌اي از ويژگي‌هاي مشترك قابل استفاده باشند.
FreeS/WAN از استاندارد رمزگذاري 56 بيتي DES استفاده نمي‌كند و به‌جاي آن از رمزنگاري  168
بيتي tripleDES پشتيباني مي‌كند. اين موضوع اگرچه از سوي برنامه‌نويسان FreeS/WAN به‌جهت ايجاد امنيت بيشتر انجام شده است، اما باعث عدم سازگاري با محصولات ديگر شده است. بسياري از شركت‌ها به‌جهت پشتيباني از riple DES ،IPSec را نيز در محصولات خود گنجانيده‌اند.چنين مسايلي تنها برخي از مشكلاتي هستند كه ممكن است در راه اتصال به شبكه‌هاي خارجي با آن‌ها روبرو شويد. در نهايت، مسأله سازگاري را مي‌توان در اين پرسش خلاصه كرد: آيا زماني نياز به اتصال شبكه‌هايي خواهيم داشت كه در اختيار و كنترل ما نباشند؟ اگر پاسخ شما به چنين پرسشي مثبت است، بايد به استفاده از راه‌حل‌هاي استاندارد فكر كنيد.در صورتيكه چنين نيازي نداشته باشيد، موضوع سازگاري ديگر چندان براي شما اهميت نخواهد داشت و به‌جاي آن مي‌توانيد توان خود را معطوف به راه‌حل‌هايي كنيد كه به نيازمندي‌هاي توسعه احتمالي آينده شما را به بهترين شكل پاسخ مي‌دهند.
چند سكويي
موضوع ديگري كه در زمان انتخاب و تصميم‌گيري در مورد پياده‌سازي شبكه‌هاي VPN اهميت مي‌يابد، اين مسئله است كه آيا پكيج VPN ‌انتخاب شده بايد بر روي سكو‌هاي گوناگون اجرا گردد. برخي از بسته‌هاي VPN بر اساس رابط‌هاي نرم افزاري كه دارند، در سكوهاي مختلف كار مي‌كنند. به عنوان مثال، درايور TUN/TAP داراي چنين رابطي است كه توسط cIPe  به‌كار گرفته مي‌شود. نتيجتا cIPe كمتر به معماري سكو وابسته خواهد بود و به محض آن كه درايور به سكوي جديدي انتقال داده‌ شود، مي‌توان آن را به‌سرعت به شبكه اضافه نمود.

IPSec

PSec استاندارد عملي امنيت IP محسوب مي‌شود. در اين استاندارد، از رمزنگاري براي احراز هويت و همچنين براي رمزنگاري بسته‌هاي IP استفاده مي‌شود. Authentication يا احراز هويت، تضمين كننده آن خواهد بود كه بسته‌ها واقعاً از طرف فرستنده‌اي كه ادعا مي‌كند، ارسال شده‌اند.  رمزنگاري داده‌ها نيز تضمين مي‌كند كه اطلاعات در بين راه توسط افراد غير مجاز خوانده نشده‌اند. بسياري از توليدكنندگان بزرگ نظير مايكروسافت يا Cisco در حال حركت به‌سمت IPSec هستند.
IPSec از سوي ديگر بخشي اجتناب‌ناپذير از استاندارد  IPV 6 (نسل بعدي پروتكل اينترنت) است كه از هم اكنون بر روي IPV 4 به‌كار گرفته شده است. IPSec از سه پروتكل مستقل تشكيل شده است. AH يا Authentication Header  كه مسوول تاييد هويت در سطح بسته‌ها است. ESP يا Encapsulation Security Payload كه تامين كننده رمزنگاري و تاييد هويت است و IKE يا Internet Key Exchange كه مسوول كليد‌هاي ارتباطي و پارامترهاي آن است.كاربران بايد در كنار IPSec از سرورهاي DNS با قابليتDNSSEC براي انتشار كليدهاي عمومي استفاده كنند. (نسخه‌هاي فعلي BIND از DNSSEC پشتيباني مي‌كنند)  ضمناً در اين‌باره مقاله‌اي تحت عنوان <امنيت اطلا‌عات در حين انتقال به وسيله IPSec > در شماره 47 ماهنامه شبكه درج شده است.

هزينه‌
خوشبختانه به دليل رايگان بودن سيستم‌عامل لينوكس، هزينه‌هاي نصب و راه‌اندازي شبكه‌هاي VPN متكي به لينوكس، از هزينه‌هاي راه‌حل‌هاي تجاري متداول كمتر هستند. هزينه‌هاي راه‌حل‌هاي VPN لينوكسي بيشتر معطوف سخت‌افزار و هزينه‌هاي پشتيباني و خدمات نرم‌افزاري خواهد بود. در صورت استفاده از سيستم‌عامل‌هاي ديگر، علاوه بر هزينه سيستم‌عامل، بايد هزينه‌هاي مجوزهاي نرم‌افزار‌هاي VPN را نيز در نظر داشت. اگرچه VPNهاي لينوكسي ارزان هستند، اما بسته‌هاي VPN موجود براي سكوهاي وينتل كمياب هستند و در نتيجه انتخاب مناسبي براي كاربران VPN محسوب نمي‌شوند (مگر آنكه كاربران همگي لينوكسي باشند). بدين ترتيب در صورتيكه موضوع سكوي كاربران چندان مورد توجه نباشند، راه‌حل‌هاي لينوكسي بهترين روش پياده‌سازي شبكه‌هاي network-network محسوب مي‌شوند.

Tunnel Encapsulation

به‌طور معمول VPN‌ها لايه‌اي بر روي شبكه عمومي اينترنت تشكيل مي‌دهند كه در آن اطلاعات خصوصي در بسته‌هاي معمولي TCP/IP جايگذاري و يا به اصطلاح فني‌تر كپسوله مي‌شوند. بدين ترتيب جرياني كه چنين كپسول‌هايي را از يك نقطه به نقطه ديگر هدايت مي‌كند، مانند تونلي عمل مي‌كند كه دو نقطه را به‌يكديگر متصل مي‌سازد و راه و روزنه‌اي در بين ورودي و خروجي آن وجود ندارد.


بر همين اساس گفته مي‌شود كه هرچيزي كه قابليت كپسوله شدن داشته باشد، را مي‌توان بصورت تونلي نيز انتقال داد. به عنوان مثال، شما مي‌توانيدپروتكل NetBIOS ،Novel Netware ،SCSI يا حتي IPV 6 را بر روي شبكه‌اي با پروتكل IPV4 تونل بزنيد. به‌خاطر داشته باشيد كه استفاده از تونل الزاماً به معني رمزنگاري داده‌ها نيست، هرچند كه در اكثر كاربردها، به رمزنگاري احتياج داريد.

تعامل VPN و ديواره‌آتش‌
شبكه‌هاي VPN يكي از ابزارهاي برقراري ارتباط بين دو نقطه هستند كه سابقه آنها به اندازه ابزارهاي امنيتي مانند ديواره‌هاي‌آتش نيست. ديواره‌هاي‌آتش فناوري پذيرفته شده‌اي است كه تقريباً در هر شبكه‌‌اي مي‌توان آن را يافت. بنابراين در زمان انتخاب يك راه‌حل VPN بايد دقت شود كه بين بسته VPN انتخاب‌شده و ديواره آتش موجود سازگاري كافي وجود داشته باشد.

انواع ديواره‌هاي آتش‌
Packet filterها ساده‌ترين شكل ديواره‌هاي آتش هستند. يك فايروال مبتني بر اصول Packet filter تمام بسته‌هاي IP عبوري از ديواره‌آتش را با فهرست ACL يا همان Access Control List دروني خود مقايسه مي‌كند و در صورتي‌كه آن بسته مجاز به عبور از ديواره آتش باشد،‌ به آن بسته اجازه عبور داده مي‌شود و در صورتي‌كه بسته‌اي غيرمجاز،  يا به‌سادگي از محيط شبكه حذف مي‌گردد و يا آنكه يك پيام خطاي ICMP به معني Reject صادر مي‌شود. Packet filterها فقط به پنج مورد نگاه مي‌كنند، نشاني‌هاي IP مبدا و مقصد در بسته‌هاي عبوري، درگاه‌هاي مبدا و مقصد و نهايتاً پروتكل‌ها ( مثلا ًUDP يا TCP و نظاير اين‌ها). از آن‌جايي ‌كه تمامي اطلاعات فوق در سربار بسته‌هاي عبوري قرار گرفته‌اند، انجام چنين بررسي‌هايي بر روي بسته‌هاي عبوري بسيار سريع خواهد بود. به دليل سادگي و سرعت روش عملكرد ديواره‌هاي آتش ازنوع Packet
filter مي‌توان چنين ابزارهايي در درون مسير‌ياب‌ها جايگذاري كرد و بدين ترتيب از نياز به نصب يك ديواره‌آتش مستقل بي‌نياز گرديد.
از طرف ديگر، يكي از اشكالات ديواره‌هاي آتش از نوع Packet filter نيز در همين موضوع يعني عدم بررسي دقيق محتويات بسته‌هاي عبوري نهفته است. به عنوان مثال ممكن است شما يك Packet filter را به‌گونه‌اي تنظيم كرده باشيد كه دسترسي محدود به پورت 25 (يعني پورت پروتكل SMTP يا پست الكترونيك) را فراهم كند، اما به هيچ وجه از آن‌كه چنين پورتي از پروتكل‌هاي ديگري ممكن است استفاده كند، اطلاعي نخواهيد داشت.مثلاً ممكن است كاربري با اطلاع از اين موضوع كه Packet filter امكان عبور از پورت 25 را مي‌دهد، SSH را بر روي درگاه 25 سيستمي اجرا كند و بدين ترتيب از ديواره‌آتش عبور كند. مشكل ديگر Packet filterها آن است كه اين ابزارها امكان مديريت موثر بر پروتكل‌هاي ارتباطات چند گانه ديناميك را ندارند. به عنوان مثال، پروتكل FTP مي‌تواند كانالي باز كند كه از طريق آن فراميني نظير user ،RECV و LIST قابل ارسال باشند. زماني كه بين دو ميزبان اطلاعاتي مانند فايل يا خروجي فرمان LIST در حال عبور باشد، كانال ديگري بين دو سيستم برقرار مي‌گردد و براي آن‌كه چنين داده‌هايي بتوانند عبور كنند، لازم است كه يك ACL براي كاركرد FTP فراهم شود. نقطه ضعفPacket filter ‌ها در همين جا آشكار مي‌شود. واقعيت آن است كه Packet filterها داراي مكانيسمي براي خواندن كانال فرمان FTP نيستند كه بتوانند از وجود ACL مجاز اطلاع يابند.

Application Gateway
Application gatewayها يك گام فراتر از packet filterها برمي‌دارند. AGها به‌جاي آن‌كه فقط به اطلاعات موجود در سربار (header) بسته‌هاي داده‌ نگاه كنند، به لايه Application توجه مي‌كنند. به‌طور معمول به هر يك از AG‌ها، پروكسي گفته مي‌شود. مثلاً پروكسي SMTP كه از پروتكلSMTP پشتيباني مي‌كند. چنين پروكسي‌هايي مسؤول بررسي اطلاعات عبوري براي تعيين صحت كاربرد پروتكل‌هاي به‌كار رفته هستند. ض كنيد كه ما در حال راه‌اندازي يك SMPT application gateway هستيم. لازم خواهد بود كه state ارتباطات  را با دقت بررسي كنيم. مثلاً اين‌كه آيا كلاينت درخواست HELO/ELHO را ارسال كرده است؟ آيا اين كلاينت قبل از ارسال درخواست DATA اقدام به ارسال MAIL FROM كرده است؟ تا زماني كه از پروتكل‌ها تبعيت شده باشد، يك پروكسي دخالتي در ارسال فرامين بين كلاينت و سرور نخواهد كرد. يك AG بايد درك كاملي از پروتكل داشته باشد و وقايع هر دو سمت يك اتصال را پردازش كند. همانطور كه ديده مي‌شود، چنين مكانيسمي نياز به كاركرد پردازنده مركزي خواهد داشت و از عملكرد ابزارهايي مانند Packet filter  پيچيده‌تر هستند.اما در برابر چنين پيچيدگي‌هايي، امنيت بيشتري فراهم خواهد گرديد و امكان  نفوذ از طريقي مانند اجراي SSH بر روي پورت 25 نخواهد داشت، زيرا يك AG متوجه خواهد شد كه SMTP مورد استفاده نيست. اما مواقعي وجود دارند كه لازم است اجازه عبور به پروتكلي داده شود كه AG به‌طور كامل از آن پشتيباني نمي‌كند.SSH يا HTTPS نمونه‌هايي از چنين پروتكل‌هايي محسوب مي‌شوند. از آن‌جايي‌كه در اين پروتكل‌ها اطلاعات رمزنگاري مي‌شوند، امكان بررسي اطلاعات ارسالي و دريافتي براي AGها وجود نخواهد داشت. در اين مواقع امكان آن وجود دارد كه ديواره‌آتش به‌گونه‌اي تنظيم شود كه به بسته‌هاي مربوطه اجازه عبور بدهد. به چنين حالتي در اصطلاح plug گفته مي‌شود. اين اصطلاح از نام بخشي از مجموعه ابزار ديواره‌آتش FWTK برداشت شده است كه در آن از فرماني به‌نام plug-gwاستفاده مي‌شود. به‌دليل توان پردازش موردنياز AG‌ها، امكان ادغام چنين ابزارهايي در تجهيزات استاندارد مسير‌يابي، به‌راحتي فراهم نيست. اما برخي از مسير‌ياب‌هاي جديد داراي قابليت عملكرد مشابه AG هستند. اما همانطور كه گفته شد، براي استفاده از چنين مسير‌ياب‌هايي بايد از پردازنده‌هاي قوي استفاده شود. توجه داشته باشيد كه حتي AGها را نيز مي‌توان به خطا انداخت. به عنوان مثال مي‌توانيد پروتكل دلخواهي را بر روي SMTP تونل بزنيد. چنين كلاينتي مي‌تواند داده‌ها را در بخش DATA يك تبادل انتقال دهد و سرور نيز مي‌تواند در درون پيام خطا پاسخ دهد.طبيعت HTTP  اين موضوع را حتي ساده‌تر مي‌كند. SOAP و NET. فقط دو نمونه پذيرفته شده از تونل‌زني پروتكل‌ها برروي HTTP محسوب مي‌شوند. Http tunnel ابزار رايگاني است كه مي‌توانيد از آن براي تونل‌زني پروتكل‌ها بر روي HTTP استفاده كنيد. اين ابزار را مي‌توانيد از نشاني httptunnel.com دريافت كنيد.

نصب ديواره‌آتش‌
امروزه ديگر كاربري را نمي‌توان يافت كه در كنار VPN از ديواره‌آتش استفاده نكند. اما موضوع اين است كه استفاده از ديواره‌آتش در كنار VPN نيازمند به طراحي دقيق است و مسايل و نكات بسياري در طراحي چنين سيستم‌هايي بايد مورد توجه قرار گيرد.

سرور VPN بر روي ديواره‌آتش‌
طبيعي‌ترين راه‌حل آن است كه نرم‌افزار VPN را بر روي ديواره ‌آتش نصب كنيم. همان‌طور كه بسياري از فايروال‌هاي تجاري داراي اجزاي VPN به‌صورت امكانات اختياري اضافي هستند.  در چنين آرايشي شبكه داراي يك نقطه ورودي خواهد بود كه داراي كاربردهاي زير است:
ديواره‌آتش امكان دسترسي به اينترنت را فراهم مي‌كند.
ديواره‌آتش امكان دسترسي به شبكه را به سمت خارج محدود مي‌كند.
سرويس VPN ترافيك خروجي به سمت كلاينت‌هاي راه‌دور و شبكه‌هاي ديگر را رمزنگاري مي‌كند.
مزاياي قرار دادن VPN بر روي ديواره‌آتش به قرار زير هستند:
مديريت و كنترل پارامتر‌هاي امنيتي فقط از يك نقطه انجام مي‌شوند و ماشين‌هاي كمتري به مديريت نياز دارند.
شما مي‌توانيد با استفاده از همان ديواره‌آتش و ابزارهاي موجود براي اعمال سياست‌هاي امنيتي بر روي ترافيك VPN نيز بهره ببريد.
اما قرار گيري VPN بر روي ديواره‌‌هاي آتش داراي معايبي نيز هست:
به دليل آن‌كه تمام پارامترهاي امنيتي از يك نقطه قابل مديريت هستند، چنين سيستمي بايد خيلي ايمن و مطمئن باشد.

اشتباه در تنظيمات ديواره‌آتش منجر به هدايت ترافيك اينترنت به درون VPN خواهد شد.

ترافيك اينترنت و VPN در رقابت با يكديگر منابع بيشتري از سيستم طلب مي‌كنند و در نتيجه ماشين مورد نظر بايد از نظر منابع غني‌ باشد.

ديواره‌هاي آتش متداول براي لينوكس‌
(Firewall Toolkit (FWTK اين ابزار نخستين application gateway در دسترس عموم براي لينوكس محسوب مي‌شود و اساس محصول تجاري Gauntlet نيز بوده است. اگرچه از اين ابزار به‌طور رسمي در سال‌هاي اخير پشتيباني نشده است، اما با اين وجود هنوز در بسياري از كاربردها از آن استفاده مي‌شود. شما مي‌توانيد آن را از نشاني www.fwtk.org دريافت كنيد.
IPF: يكPacket filter لينوكسي براي كرنل‌هاي قديمي نسخه 2 است.
Packet filiter :IPChains جديدتري براي كرنل‌هاي نسخه 2/2 است. اگرچه برنامه ساده‌اي محسوب مي‌شود، اما مي‌توان از طريق مدول‌هاي كرنل از پروتكل‌ها ديگري نيز پشتيباني كرد. به عنوان مثال، به‌كمك مدول ipmasqftp مي‌توان پشتيباني از پروتكل FTP را نيز اضافه كرد.مشكل عمده IPChains در آن است كه فيلتر‌هاي بسته‌هاي كرنل قبل از آن‌كه مدول‌ها بتوانند بسته‌ها را ببينند انجام مي‌شود. معني اين مطلب آن است كه بايد دسترسي inbound به درگاه‌هايي كه احتمالاً از طرف كرنل به‌كار گرفته خواهند شد را فراهم كنيد. 
IPTables: نرم‌افزار ديواره آتش براي كرنل‌هاي 4/2 لينوكس است كه به‌ نام Netfilter نيز شناخته مي‌شود. اين ابزار از قابليت‌هاي Packet filtering و applicaton gateway به‌طور همزمان پشتيباني مي‌كند.
Packet filter :IPFilter پيش‌گزيده براي NetBSD و FreeBSD محسوب مي‌شود. البته مي‌توان اين ابزار را بر روي هسته‌هاي لينوكس قديمي با كرنل‌هاي نسخه 2 نيز اجرا كرد. 
Dante: به‌طور معمول از دانته در بسته‌هاي نرم‌افزاري تجاري بزرگ‌تر استفاده مي‌شود. اين ابزار در واقع يك
 Packet filter در لايه circuit  محسوب مي‌شود و از ديد كاربران پنهان است. 
 T.REX: اين ابزار يك مجموعه نرم‌افزار بسيار پيچيده است كه از قابليت‌هاي ديواره‌آتش و application gateway به همراه امكاناتي از قبيل intrusion-detection ،authentication و logging پيشرفته نيز برخوردار است. شما مي‌توانيد اين ابزار را به‌صورت رايگان از نشاني www.opensourcefirewall.com دريافت كنيد.
سرور VPN به موازات ديواره‌آتش‌
آرايش ديگري كه براي كاربردهاي VPN مناسب به نظر مي‌رسد، استفاده موازي از سرور VPN و ديواره آتش است. البته سيستم‌هاي دروني هنوز به ديواره ‌آتش به عنوان مسير‌ياب خواهند نگريست. اما مي‌توان مسير‌ياب را به‌گونه‌اي تنظيم كرد كه شبكه پشت VPN را بشناسد و به‌جاي تنظيم قوانين مسير‌يابي در ديواره‌آتش، آن‌ها را در سرور ‌ VPN تنظيم كرد. مزاياي استفاده از سرور VPN و ديواره‌آتش به‌صورت موازي به شرح زير هستند:
ترافيك VPN به هيچ وجه امكان عبور از ديواره‌آتش را نمي‌يابد. در نتيجه نيازي به تغيير دادن تنظيمات ديواره‌آتش براي پشتيباني از بسته‌هاي VPN ‌نخواهد بود. زيرا برخي از پروتكل‌هاي VPN توسط ديواره‌‌هاي آتش پشتيباني نمي‌شوند.
مقياس‌پذيري سيستم‌هاي موازي بسيار سهل‌تر انجام مي‌شوند. به عنوان مثال، در صورتي‌كه در يابيد كه سرور VPN تحت بار زيادي قرار گرفته است، مي‌توانيد به‌راحتي سرور‌هاي VPN جديدي به شبكه اضافه كرده و بار را بين آنها توزيع كنيد.
معايب سرور‌هاي VPN موازي با ديواره‌هاي آتش شامل موارد زير است:
سرور VPN مستقيماً به اينترنت اتصال خواهد داشت. در اين حالت شما بايد از امنيت كامل چنين سيستمي اطمينان داشته باشيد. در غير اين صورت يك هكر ممكن است با نفوذ به درون سرور VPN به تمامي شبكه دسترسي بيابد.
در آرايش موازي، شما داراي دو ماشين متصل به اينترنت خواهيد بود و بايد از تنظيمات صحيح دو سيستم اطمينان داشته باشيد. بدين ترتيب حجم كارهاي حساس و هزينه‌هاي مربوط به آنها افزايش خواهد يافت.

سرور VPN در پشت ديواره‌آتش‌
مكان ديگري كه مي‌توان سرور VPN را در آنجا قرار داد، پشت ديواره‌آتش است. در چنين حالتي، سرور VPN به‌طور كامل به شبكه دروني متصل خواهد بود و از طريق اينترنت نمي‌تواند مورد حمله واقع شود. در اين وضعيت، همانند آرايش قبلي لازم خواهد بود كه مسير‌هاي هدايت ترافيك VPN از ماشين‌هاي دروني به سمت سرور VPN را به ديواره‌آتش اضافه كنيد.همچنين لازم خواهد بود كه ديواره‌آتش به‌گونه‌اي تنظيم شود كه امكان عبور ترافيك رمزنگاري شده VPN به‌ سمت سرور VPN داده شود. مزاياي استفاده از اين آرايش عبارتند از:

حفاظت شدن سرور VPN از اينترنت توسط ديواره‌آتش‌

وجود يك سيستم منفرد براي كنترل دسترسي به اينترنت و از طريق اينترنت.

محدوديت‌هاي ترافيكي VPN تنها بر روي سرور VPN واقع شده‌اند و اين موضوع نوشتن و تنظيم قوانين دسترسي را راحت‌تر مي‌كند.
اما معايب چنين آرايشي به‌صورت زير هستند:

به‌دليل عبور تمام ترافيك از يك سيستم، تاخير‌هاي ناخواسته افزايش مي‌يابند.

 به‌دليل آن كه ديواره‌آتش در اين روش مسئول تفكيك ترافيك VPN از اينترنت خواهد بود و به‌دليل رمز بودن ترافيكVPN، لازم خواهد بود كه نوعي Packet filter ساده با ACL  يا plug proxy به‌كار گرفته شود.

  تنظيم ديواره‌آتش براي عبور دادن ترافيك رمزنگاري شده VPN به سرور VPN در برخي از مواقع دشوار خواهد بود. برخي از ديواره‌‌هاي آتش نمي‌دانند با پروتكل‌هايي غير از ICMP ،TCP يا UDP چه بايد بكنند.
 اين موضوع به آن معني است كه پشتيباني كردن ديواره‌آتش از VPN ‌هايي كه از پروتكل‌هايIP  متفاوت نظير بسته‌هاي ESP براي IPSec يا بسته‌هاي GRE براي VPN‌هاي PPTP استفاده مي‌كنند، دشوار و در بعضي از موارد غير ممكن خواهد بود.

در اين وضعيت، تمام ترافيك VPN دوبار از يك رشته كابل شبكه عبور خواهد كرد. يك‌بار از سمت كلاينت‌ها به طرف سرور VPN ‌و يك‌بار به‌صورت رمزنگاري شده از سرور VPN به‌سمت كلاينت‌ها. اين موضوع ممكن است باعث كارايي شبكه شود.يك راه‌حل مسأله تأخير، آن خواهد بود يك كارت شبكه ديگر (eth 1) به سرور VPN افزوده شود كه مستقيماً توسط يك كابل crossover به ديواره‌آتش اتصال يافته باشد. البته در صورتيكه ترجيح دهيد، مي‌توانيد از يك هاب استفاده كرده و يك قطعه يا segment واقعي شبكه ايجاد كنيد. بدين‌ترتيب مي‌توان ترافيك رمزنگاري شده را به‌جاي عبور دادن از شبكه اصلي از اين مسير جديد به مقصد هدايت نمود. (هرچند كه روش نخست به‌دليل ساده‌تر بودن از سرعت بيشتري نيز برخوردار خواهد بود). در هر صورت اگر حالت دوم را به روش اتصال نقطه به نقطه اول يعنيVPN-to-Firewall، ترجيح مي‌دهيد، توصيه مي‌كنيم كه نشاني 92.168.254.254 را به ديواره‌آتش تخصيص دهيد و از نشاني 192.168.254.253 براي رابط خارجي VPN استفاده كنيد. بدين ترتيب نشاني ساير شبكه به‌صورت 252/192.168.254.252 خواهد بود.

تنظيم VPN با ديواره‌آتش اختصاصي‌
در هر يك از آرايش‌هايي كه تشريح گرديد، امكان محدود كردن ترافيك عبوري از اتصال VPN وجود دارد. چنين حالتي زماني مفيد واقع خواهد شد كه شبكه‌ها يا ميزبان‌هاي طرف ارتباط در سطوح امنيتي متفاوت قرار داشته باشند. در حالتي كه سرور VPN و ديواره‌آتش بر روي يك سيستم نصب شده باشند، چنين كاربردي را مي‌توان به‌سادگي با استفاده از نرم‌افزار ديواره‌آتش موجود انجام داد.

 

در حالاتي كه از سرور VPN جداگانه‌اي استفاده مي‌كنيد، ممكن است از يك ماشين مستقل به عنوان ديواره‌آتش در جلوي سرور VPN استفاده كنيد و يا آن‌كه به Packet filter موجود در هسته لينوكس اكتفا كنيد. به عنوان مثال، اگر قصد داشته باشيد كه به ترافيك ايميل‌ها اجازه عبور از VPN بدهيد، مي‌توانيد با اجراي تنظيمات بالا‌ در سيستم سرور VPN چنين وضعيتي را پياده‌سازي كنيد.
   
منابع:
http://linas.org/linux/vpn.html
http://www.informit.com/articles/article.asp?p=25946
http://ibilio.org/pub/linux/docs
http://www.astaro.com
http://www.impsec.org/linux

 
+ نوشته شده در  شنبه بیست و ششم خرداد 1386ساعت 18:0  توسط مهر  | 

لینوکس 03
اوبونتو، تجربه‌اي متفاوت از لينوكس
شهرام انسان- دنياي كامپيوتر و ارتباطات
درصد بالايي از كاربران ايراني در جامعه كامپيوتري امروز واژه لينوكس را به عنوان يك سيستم‌عامل شنيده‌اند و كم‌‌وبيش بر حسب نوع فعاليت خود ممكن است تجاربي نيز با لينوكس، جايگزين سيستم‌عامل محبوب بيل گيتس كسب نموده‌ باشند.
هنوز خاطره نصب طاقت‌فرساي نسخه‌هاي قديمي‌تر از ردهت لينوكس ۶ را خوب به ياد دارم كه پس از موفقيت در مراحل پيچيده نصب، محيط خشك و ناكاراي گرافيكي آن نسخه‌ها به ‌خصوص در فراهم‌ ساختن امكانات زبان فارسي چگونه خستگي كار را در بدن كاربر باقي مي‌گذاشت! از آن زمان تاكنون نسخه‌هاي متفاوت و توزيع‌هاي متنوعي از لينوكس ارايه و معرفي شده‌ كه تحولاتي چشمگير در زمينه امكانات desktop و پشتيباني از زبان فارسي را باعث شده ‌است.
در اين گفتار قصد معرفي يا آموزش لينوكس را نداريم و به تجربه عملي در راه‌اندازي امكانات عمومي مورد نياز كاربر كامپيوتر در محيط اوبونتو اشاره مي‌شود.
اوبونتو (Ubuntu)، توزيعي از لينوكس بر پايه توزيع معروف دبيان (Debian) است. با آنكه Debian تفاوت‌هاي بسياري نسبت به انواع Redhat در امكانات و برخورد با مسائل مختلف دارد، تفاوت مدنظر در اين گفتار سيستم نصب و بسته‌بندي ماژول‌هاي نرم‌افزاري مورد استفاده براي نصب برنامه‌هاست. ابتدا به بررسي برخي از خواص اوليه Debian كه مشترك با اوبونتو است، مي‌پردازيم و در نهايت به تجارب عملي در اوبونتو متمركز خواهيم شد.
به طور خلاصه مي‌توان گفت كه بسته‌هاي نصب نرم‌افزار ياrpmهاي مرسوم در redhat در Debian به سلسله مراتبي از بسته‌هاي نصب موسوم به deb تبديل يافته‌اند كه براي نصب هر نرم‌افزار موردنظر، به نصب يك سلسله مراتب درختي خاص از اين بسته‌ها بر حسب نوع رابطه‌هاي وابستگي موجود بين آنها نياز است. براي تشخيص خودكار وابستگي‌ها و سهولت در امر نصب ابزارهايي در Debian پيش‌بيني شده‌اند كه شايد بتوان برنامه (دستور) aptitude را از آن جمله ناميد.
اين دستور قابليت بررسي وضعيت نصب بودن يا نبودن يك نرم‌افزار، قابليت نصب يا پاكسازي برنامه نصب شده از سيستم‌عامل را خواهد داشت. اصول كار به اين صورت در نظر گرفته شده است كه براي هر عمليات نصب، انباره‌اي كامل در مسيري مشخص از بسته‌هاي نرم‌افزاري نصب (deb فايل‌ها) وجود دارد كه مورد استفاده برنامه aptitude قرار مي‌گيرد. اين انباره مي‌تواند در مسيري خاص در اينترنت يا در كامپيوتري محلي در شبكه محلي موجود باشد.
معمولاً در يك شبكه محلي براي اجتناب از download تكراري بسته‌ها، مدير شبكه يك نسخه محلي از انباره موسوم به mirror را download و در اختيار ساير كامپيوترهاي شبكه قرار مي‌دهد. چگونگي تنظيم و راه‌اندازي اين گونه انباره‌ها از حوصله اين بحث خارج است، و به عنوان مرجعي كامل در اين زمينه مي‌توان به آدرس www.debian-administration.org مراجعه نمود.
نصب يك نرم‌افزار
شايد ساده‌ترين روش نصب يك نرم‌افزار استفاده از دستور aptitude install باشد اما قبل از آن بايد مسير انباره مورد استفاده براي نصب مشخص شده‌ باشد. تعريف يك يا چند انباره در فايل
/etc/apt/sources.list انجام مي‌شود. معمولاً در اين فايل مسير انباره‌هاي معروف و عمومي مخصوص اوبونتو يا دبيان به فرمتي خاص تعريف شده‌اند. در راهنماي نصب نرم‌افزارهايي كه در توزيع‌هاي رسمي اوبونتو وجود ندارند، مسير انباره مورد نياز براي نصب آن نرم‌افزار معرفي شده ‌است. نكته قابل توجه اينكه پس از هر تغيير در فايل فوق براي به روز رساني مرجع مورد استفاده در نصب بايد دستور زير اجرا شود:
apt-get update و پس از آن، دستور زير نرم‌افزار مورد نظر را پس از بررسي و download بسته مورد نياز نصب مي‌نمايد:
aptitude install . همانگونه كه مشخص است دستورات فوق در حال دسترسي به اينترنت قابل اجرا هستند مگر آنكه مسير انباره تعريف شده در شبكه محلي يا روي دستگاه جاري وجود داشته باشد.
امكانات اداري يا Office
شايد اولين نيازمندي كاربر، امكان استفاده از نرم‌افزارهاي اداري همانند واژه‌پردازها (Word)، صفحه گسترده‌ها (Excel) و نرم‌افزارهاي ارائه (Presentation) باشد. هم زمان با نصب نسخه CD اوبونتو مجموعه كامل OpenOffice به صورت خودكار نصب مي‌شود كه كاملاً قابل رقابت با مجموعه Office مايكروسافت به حساب مي‌آيد. نكته جالب توجه اينكه اين مجموعه به خوبي از فرمت‌هاي فايل متناظر خود در مجموعه Office مايكروسافت پشتيباني مي‌كند به صورتي كه به عنوان مثال فايلي كه در OpenOffice – Writer توليد و به فرمت Word ذخيره شوند در ويندوز و Microsoft Word قابل استفاده خواهند بود و به همين ترتيب براي ساير برنامه‌هاي OpenOffice.
براي پشتيباني از زبان فارسي نيازمند نصب فونت‌هاي فارسي هستيم. اصولاً لينوكس از تمامي فونت‌هاي ttf به خوبي پشتيباني مي‌كند و هر فونت (true type) كه در ويندوز استفاده مي‌شود در لينوكس نيز قابل بهره برداري است. فونت‌ها معمولاً در مسير:
/usr/share/fonts/truetype يا در زير شاخه‌هايي از آن مسير كپي مي‌شود. در اين زمينه راهنماي كاملي از مسير فونت‌هاي فارسي مفيد و چگونگي كپي آنها در آدرس www.hezardastan.org آورده شده‌ است.
در عمل از آنجايي كه در سيستم ما ويندوز نيز وجود دارد، بهتر است تمام فونت‌هاي شاخه ويندوز را نيز به فونت‌هاي كپي شده در لينوكس اضافه كنيم. اين امر بهره‌گيري از فونت‌هاي محلي ويندوز را كه طبق عادت كاربران ويندوزي استاندارد شده‌است، ميسر مي‌سازد. در همان راهنماي اشاره شده در فوق، چگونگي تعريف كي‌بورد فارسي و تنظيم دكمه‌هاي alt+Shift يا هر تركيب دلخواه ديگر براي تغيير زبان توضيح داده‌ شده ‌است.
امكانات اداري در اوبونتو




وبگردي
وجود فايرفاكس در اوبونتو هر گونه كاستي در زمينه كاوشگري وب را از بين خواهد برد. اگر مراحل نصب فونت‌هاي فارسي در قسمت قبل به صورت كامل طي شده ‌باشد هيچ‌گونه اختلافي در ظاهر سايت‌هاي فارسي در نسخه ويندوزي و لينوكسي فايرفاكس ديده نخواهد شد.
چت
اوبونتو با برنامه gaim به عنوان نرم‌افزار instant messaging ارائه شده‌است. gaim در حقيقت به عنوان client اكثر سرويس‌هاي چت معروف از قبيل Yahoo، MSN، AIM و IRC قابل بهره‌گيري است. كافي است براي استفاده از هر سرويس يك account از سرويس مورد نظر تعريف و به آن متصل شويم. نكته جالب در اين نرم‌افزار اين است كه به طور همزمان مي‌توان به تعداد نامحدودي سرويس متصل شد و از آنها استفاده نمود. به عنوان مثال مي‌توان به دو user از ياهو و يك user از MSN متصل شد. در جايي كه سرويس‌دهنده امكانات اتاق‌هاي چت را فراهم نموده باشد، gaim قابليت استفاده از آنها را نيز خواهد داشت.
مسئله ناخوشايندي كه ممكن است برخي از كاربران را ناراضي گرداند عدم پشتيباني gaim استاندارد از وب‌كم و ويدئوچت مي‌باشد. راه حل اين مشكل نصب و استفاده از نسخه‌اي خاص به نام gaim-vv است كه قابليت پشتيباني از وب‌كم را خواهد داشت. اين برنامه در صورت عدم وجود در توزيع اصلي از مسير gaim-vv.sourceforge.net قابل download است.



مولتي‌مديا
در برخورد اول با اوبونتو مجموعه‌اي از نرم‌افزارهاي مولتي‌مديا براي پخش موسيقي و فيلم به چشم مي‌خورند. اما با اولين تست مشخص مي‌شود كه اين برنامه‌ها فقط قابليت پخش فرمت‌هاي فايل مولتي‌مدياي سورس آزاد از قبيل ogg را دارا هستند. در حقيقت coderهاي مورد نياز براي پخش فرمت‌هاي مولتي‌مديا كه بر حسب عادت كاربران ويندوزي (ما!) استاندارد به حساب آمده‌اند به عمد بر روي آنها نصب نشده‌ است.
از دلايل اين عمل كه مربوط به دعواهاي مربوط به حق كپي‌رايت آن فرمت‌ها و از اين قبيل است كه بگذريم مي‌توان با نصب تعداي decoder امكان پخش انواع موسيقي از جمله wav، mp3 و انواع ويدئو از جمله ويدئو سي‌دي انواع avi يا حتي wmvهاي ويندوز را به دست آورد! براي نيل به اين هدف بايد نسخه‌اي خاص از نرم‌افزار پخش فيلم اوبونتو كه با نام Totem Movie Player در ليست برنامه‌ها موجود است، نصب نمود.
نكته اساسي در deinstall نمودن نسخه اوليه و نصب نسخه totem-xine به جاي آن مي‌باشد. از آنجايي كه مراحل كار كمي پيچيدگي دارد به دستورالعمل كاملي كه در forum مربوطه به آدرس www.ubuntuforums.org موجود است، مراجعه نماييد. بدون درگير شدن در مسائل مربوط به نصب decoderها يا تغيير نسخه Totem اگر هدف فقط پخش موسيقي mp3 باشد نصب نرم‌افزار قدرتمند XMMS كه در توزيع اصلي موجود است، توصيه مي‌شود!
فرهنگ لغت انگليسي به فارسي
استفاده از dictionary از نيازهاي جدايي ناپذير كاربران ايراني است. فرهنگ لغات xfardic را نصب كنيد و لذت ببريد! نكته جالب توجه در مورد اين برنامه كاربري آسان آن است به نحوي كه قابليت نمايش معني لغت انتخاب شده به صورت task bar hint را به كاربر خود ارائه مي‌دهد. علاوه بر آن امكان افزودن منبع لغات اضافه به منابع اصلي آن وجود دارد. در حال حاضر سه فرهنگ انگليسي به فارسي آريانپور، تخصصي كامپيوتر و الكترونيك انگليسي به انگليسي و تخصصي اصطلاحات و لغات gnu انگليسي به انگليسي براي آن موجود است.
نوشتن بر روي ديسك‌هاي ntfs
پس از نصب، اوبونتو ليست تمام درايو‌هاي ويندوزي شما را به صورت آيكون گرافيكي در desktop نمايش مي‌دهد و از آن طريق مي‌توان به محتواي آنها دسترسي داشت. اما اگر اين درايو‌ها با فرمت fat ايجاد شده ‌باشد دسترسي نوشتن خواهيم داشت در غير اينصورت دسترسي فقط خواندني است. براي رفع مشكل نوشتن بر روي درايو‌هاي با فرمت ntfs نياز به نصب برنامه خيلي كوچك ntfs-3g داريم كه در توزيع اصلي موجود است. در مرحه آخر پس از نصب تعريف درايو‌هاي سيستم كه در فايل:
/etc/fstab انجام شده‌است نياز به يك تغيير كوچك دارد. در اين فايل دسترسي به درايوهاي ntfs كه به صورت پيش‌فرض ntfs در نظر گرفته شده‌اند بايد به ntfs-3g تغيير و سطح دسترسي از default به rw تبديل شود. پس از آن مشكل نوشتن بر روي درايوهاي ntfs مرتفع مي‌گردد.
راه‌اندازي مودم
وحشتناك‌ترين قسمت استفاده خانگي از اوبونتو راه‌اندازي مودم است. در اين مرحله دو حالت عمده پيش‌رو است. يا مودم مورد استفاده شما بر اساس چيپ‌هاي conexant است يا خير. در حالت اول كه تقريباً درصد قابل ملاحظه‌اي از مدل‌ها و مارك‌هاي مودم موجود در بازار را شامل مي‌شود، به علت آنكه طراحي چيپ و api داخل آن بر اساس توانمندي‌هاي ويندوز (به زبان ساده بگوييم win-modem) انجام شده‌ است، بهره‌گيري از مودم در محيط غير ويندوزي بسيار مشكل مي‌شود.

تقريباً درايورهاي مختلفي كه براي اين دسته نوشته مي‌شود به شدت به نسخه كرنل لينوكس وابسته است و نياز به كمپايل شدن بر روي همان نسخه از لينوكس و هزار درد سر ديگر را دارند و به زبان ساده براي كاربر خانگي ما غيرقابل استفاده مي‌باشند. تا لحظه نگارش اين مطلب، خود شركت conexant درايوري با كيفيت بالا براي اين دسته از مودم‌ها ارائه داده است كه قيمت آن از سخت افزار خود مودم بيشتر است(!) و البته بسيار عالي كار مي‌كند.
اين دايور از آدرس www.linuxant.com/drivers قابل download است. نكته قابل توجه اينكه نسخه رايگان آن فقط در سرويس داده (data) و آن هم با محدوديت در سرعت قابل استفاده است كه البته به عنوان تنها راه‌حل يك كاربر خانگي قابل تحمل است. در نسخه رايگان سرويس voice و به دنبال آن fax غير قابل استفاده‌ مي‌باشد. (در توزيع‌هاي ايراني لينوكس درايور مناسبي براي اينگونه مودم‌ها تهيه شده ‌است.)
دسته دوم كه مودم‌هاي غير Conexant هستند، درايور مربوط به خود را داشته و براي استفاده از آنها مشكلي وجود ندارد. پس از تعريف مودم براي تعريف مشخصات اينترنت خود از دستور pppconfig و براي اتصال به اينترنت از دستور pon و قطع ارتباط از دستور poff استفاده كنيد.
راه‌اندازي مودم ADSL
مودم‌هاي ADSL كه در ايران ارائه شده‌اند عمدتاً به دو روش USB و رابط شبكه قابل استفاده هستند. ساده‌تر آن است كه در اوبونتو از مدل رابط شبكه بهره جست و به سادگي به كمك كابل كراس همراه مودم و كارت شبكه، كامپيوتر را به مودم و اينترنت متصل نمود. بر حسب تنظيمات شبكه‌اي ISP روش‌هاي متنوع اتصال از قبيل Bridge يا PPPOE قابل تعريف است كه در اين مورد به Admin شركت ISP خود مراجعه نماييد. در حالت استفاده از PPPOE نياز به نصب بسته مورد نظر با همين نام و اجراي دستور pppoeconf براي تعريف مشخصات ارتباط خواهيد داشت.
نصب Krusader
اگر شما هم مانند من امكان استفاده از يك سيستم‌عامل گرافيكي بدون بكارگيري يك ابزار مديريت فايل دو پنلي را نداشته باشيد حتماً از نصب اين نرم‌افزار شگفت‌ زده خواهيد شد. در ويندوز نرم‌افزار قدرتمند total-commander را ديده‌ايد و به امكانات آن آشنا هستيد. فرض كنيد همان امكانات به اضافه امكان ايجاد ارتباط ssh و چندين قابليت قدرتمند ديگر در لينوكس به صورت گرافيكي با محيطي بسيار كاربر پسند و ميان‌برهاي مفيد موردنياز باشد. پاسخ krusader است. نصب اين نرم‌افزار به صورت دستي مشكل بوده و روي توزيع كامل دبيان يافت مي‌شود.


راه‌اندازي محيط توسعه
اگر برنامه‌نويس هستيد، استفاده از لينوكس شما را حرفه‌اي‌‌تر و قدرتمند‌تر خواهد ساخت. نصب بانك‌هاي اطلاعاتي mysql و postgresql از توزيع اصلي اوبونتو و فقط با يك دستور aptitude قابل نصب است. كم‍پايلر‌هاي حرفه‌اي ++C موجود در محيط لينوكس آشناي ذهن برنامه‌نويسان زبان C است و شركت Sun نيز نسخه‌اي خاص از JDK زبان جاواي خود را براي لينوكس ارائه داده است كه به سادگي قابل نصب است. در صورت استفاده از هر زبان برنامه‌نويسي بكارگيري IDE قدرتمند Eclipse از شركت IBM كه با ليسانس سورس آزاد ارائه مي‌شود را فراموش نكنيد!
نصب برنامه‌هاي ويندوزي!
ممكن است در نهايت شما نياز به نصب و اجراي يك برنامه ويندوزي داشته باشيد. امكان پيش آمدن اين نياز كم نيست. به سادگي فرض كنيد كه قرار است يك وب‌سايت خاص كه فقط با Internet Explorer كار مي‌كند را ببينيد و كاري در آن انجام دهيد. از آنجايي كه وب‌سايت‌هاي فارسي و به خصوص دولتي(!) به گونه‌اي طراحي شده‌اند كه فقط و فقط با Internet Explorer كار مي‌كنند نياز به نصب اين نرم‌افزار احساس مي‌شود. يا در حالت ديگر گرافيستي هستيد كه برنامه‌هاي گرافيكي پيش‌فرض اوبونتو همانند GIMP كار شما را راه نمي‌اندازد و نياز به نصب خود PhotoShop داريد.
براي نيل به اين هدف برنامه‌هاي emulator مختلفي نوشته‌شده اند كه ضمن شبيه‌سازي محيط ويندوز قابليت نصب و اجراي برنامه‌هاي ويندوزي را فراهم مي‌آورند. در اين زمينه مي‌توان به برنامه‌هاي wine و CrossOver اشاره نمود. براي اطلاعات بيشتر به آدرس‌هاي www.winehq.com و www.codeweavers.com مراجعه فرماييد.
اكنون با كسب تجربه عملي اوبونتو و نيم نگاهي به توزيع‌هاي ايراني لينوكس آماده لحظه‌اي مي‌شويم كه نياز دائمي از محصولات بي‌كيفيت و نا‌امن و صد البته گران و تحت تحريم مبتني بر ويندوز را كم‌رنگ‌تر كنيم و همديگر را به پيشواز سيستم‌عامل ملي مبتني بر سورس آزاد فراخوانيم.

http://www.itna.ir/archives/article/007050.php
+ نوشته شده در  شنبه بیست و ششم خرداد 1386ساعت 17:11  توسط مهر  | 

لینوکس 02
http://www.shabakeh-mag.com/Articles/Show.aspx?n=1001124
لينوكس سحرآميز ، Mandrake Linux 10.1

مهيار داعي‌الحق
ماهنامه شبکه - بهمن ۱۳۸۳ شماره 51

اشاره :
لينوكس مندريك براي اولين‌بار در سال 1998 و به منظور هر چه آسان‌تر كردن محيط كار با سيستم‌عامل لينوكس، طراحي و ساخته شد. به ‌طور كلي سيستم‌عامل لينوكس همواره به دليل قدرت هسته آن و پايداري محيطش زبانزد متخصصان بوده است. به همين منظور شركت مندريك برآن شد تا با ارايه يك محيط گرافيكي زيبا و با كاربرد آسان و همچنين الحاق برنامه‌ها و نرم‌افزارهاي مختلف به آن، نسخه ساخت خود را به يكي از پرطرفدارترين و جذاب‌ترين لينوكس‌ها تبديل كند. با اين تصميم، مندريك به سيستم‌عاملي قوي و ايستا براي كاربران خانگي و يا حرفه‌اي تبديل شد. مجوز استفاده از سورس‌كد اين سيستم‌عامل همانند ساير لينوكس‌ها به صورت ليسانس GPL عرضه مي‌شود. بدين صورت هر كسي مجاز است تا از اين سورس‌كد، نسخه‌برداري كرده و آن را تغيير دهد و وارد جامعه لينوكس‌كاران گردد. در نتيجه كليه برنامه‌نويسان و متخصصان حوزه سيستم‌عامل در بهبود كيفيت آن سهيم مي‌شوند و آن را به جايگاه يك لينوكس بي‌بديل مي‌رسانند. مجله معتبر CNET در مقايسه لينوكس مندريك با ساير لينوكس‌ها، آن را به عنوان برترين سيستم‌عامل معرفي كرده و به كاربراني كه به محيط‌هاي جذابي چون ويندوز XP و حتي MAC عادت كرده‌اند توصيه مي‌نمايد كه حتماً مندريك را به عنوان يك سيستم‌عامل قابل رقابت در اين زمينه مدنظر قرار دهند. مندريك با داشتن بيش از 2300 برنامه كاربردي كاربرپسند، قيمتي در حدود 69 دلار دارد كه در مقايسه با ويندوز به همراه آفيس كه در حدود 685 دلار به فروش مي‌رسد، شگفتي هر خريداري را برمي‌انگيزد. با اين حال شركت مندريك پس از فروش محصول هم هيچ‌گاه مشتريان خود را تنها نمي‌گذارد. امكان دريافت انواع نرم‌افزارهاي به‌روز شده و جديد از طريق اينترنت و ارايه يك پشتيباني خوب در سراسر جهان از اين محصول، لينوكس‌كاران را بيش از هر زمان ديگري براي روي آوردن به آن وسوسه مي‌نمايد. همچنين بد نيست بدانيد كه مندريك نام گياهي است كه از آن در ساخت داروي خواب‌آور استفاده مي‌شود، ضمن آنكه در قديم اعتقاد داشتند كه اين دارو خواص جادويي نيز دارد.


 ويژگي‌ها
سيستم‌عامل مندريك مي‌تواند ماه‌ها بدون نياز به بوت شدن مجدد به كار خود ادامه دهد و در همين حين با مديريت خوبي كه براي نرم‌افزارهاي نصب‌شده و اجراي آن‌ها به عمل مي‌آورد، امكان تداخل بين برنامه‌هاي مختلف يا سرويس‌هاي موجود را به حداقل مي‌رساند و از اين لحاظ پايداري جالب توجهي از خود به نمايش مي‌گذارد.


محيط گرافيكي در مندريك از همان آغاز و در اولين مراحل نصب آن، خود را به نمايش مي‌گذارد و در اين راه به بهترين نحو، ادوات سخت‌افزاري را شناسايي كرده و درايورهاي لازم براي استفاده از آن‌ها را آماده مي‌سازد. در زمان استفاده از مندريك هم، ابزارهاي مديريتي،  بهترين شماي گرافيكي را در اختيار مديران سيستم قرار مي‌دهند. در حوزه امنيت هم بسياري از تنظيمات و سطوح دسترسي به‌صورت خودكار تعيين مي‌شود، ضمن اين‌كه كاربر هم به راحتي قادر است، سياست‌ها و سطوح امنيتي دلخواه خود را بر آن اعمال نمايد. در مندريك، قرار گرفتن چندين برنامه در يك قسمت واحد كه كار مشابهي را انجام مي‌دهند، جالب توجه است. به عنوان مثال در قسمت Control Center  كليه ابزارهاي مديريت سيستم قابل دستيابي و  استفاده مي‌باشند.
با اين تفاسير، لينوكس مندريك جايگاه خاصي در ميان ساير لينوكس‌ها به دست آورده  و در برخي موارد در رتبه‌هاي مختلف (مثل برترين لينوكس‌هاي دسكتاپ به انتخاب ماهنامه پي‌سي‌مگزين)، رتبه بهترين را از آن خود كرد. در اين مقايسه آخرين نسخه منتشر شده از مندريك در آن زمان به نام Mandrake PowerPack  به دلايل زير گوي سبقت را از بزرگاني مثل ردهت ياSuSE  ربود و در زمينه لينوكس‌هاي دسكتاپ (با كاربرد خانگي يا (single  رتبه اول را از آن خود كرد:
1  -آساني نصب
2 - محيط كار موسوم بهGalaxy 
3-  وجود هزاران برنامه كاربردي متنوع
4 - پشتيباني از طيف وسيعي از سخت‌افزارها خصوصاً كارت‌هاي گرافيكي
5 - مديريت و نگهداري آسان از سيستم‌عامل و برنامه‌هاي نصب شده روي آن

آخرين نسخه منتشر شده شركت مندريك يعني Mandrake Linux 01.1 Official  سيستم‌عاملي است كه از بالاترين سطح كيفيت و كارايي برخوردار بوده و با تكنولوژي‌هاي جديدي چون Bluetooth  وWifi  بسيار سازگار است. پشتيباني از كامپيوترهاي  لپ‌تاپ و بسياري برنامه‌هاي كاربردي مثل كامپايلرهاي جديد كه به آن اضافه شده به همراه استفاده از آخرين استانداردهاي دنياي لينوكس به شرح زير، لينوكس مندريك را متمايز ساخته است:

محيط گرافيکي در مندريک از همان آغاز و در اولين مراحل نصب آن، خود را به نمايش مي‌گذارد و در اين راه به بهترين نحو، ادوات سخت‌افزاري را شناسايي کرده و درايورهاي لازم براي استفاده از آنها را آماده مي‌سازد. در زمان استفاده از مندريک هم، ابزارهاي مديريتي، بهترين شماي گرافيکي را در اختيار مديران  سيستم قرارمي‌دهد.

كرنل نسخه 20608 و بسياري از تغييرات موجود در نسخه 20609
Xorg 6.7.0
KDE 3.2.3
Gnome 2.6
GCC 3.4.1
Apache 2.0.50
MySQL 4.0.18
Samba 3.0.6
PHP 4.3.8
Mozila 1.7.2
Gimp 2.0.4
Open office 1.1.3

نصب 
يكي از اولين افتخارات مندريك، آسان نمودن عمليات نصب نسبت به لينوكس‌هاي ديگر است. قدرت تشخيص و كار با درايوهاي 23 FAT و NTFS  و حتي امكان پارتيشن‌‌بندي مجدد هاردديسك با هر نوع فرمتي كه داشته باشد، از جمله اين موارد است. در هنگام نصب مندريك، پرينترها، درايوهاي CD  ياDVD ، انواع فايل‌سيستم‌هاي ويندوزي و غيرويندوزي، فايل سيستم‌هاي شبكه مثلSMB  وNFS web DAV  به‌صورت خودكار مورد شناسايي قرار مي‌گيرند. يعني مندريك امكان تعريف پارتيشن‌هاي جديد را با فرمت‌هاي مختلفي چون 3EXT،XFS  فراهم آورده و به‌طور كامل از سيستم‌هاي ذخيره انبوه RAID  پشتيباني به عمل مي‌آورد. عمليات نصب مندريك علاوه بر آسان‌بودن مزيت ديگري هم دارد و آن امكان نصب اين سيستم‌عامل از طريق شبكه است. ضمن اين‌كه مشروح و راهنماي مراحل اين عمليات به 50 زبان مختلف وجود دارد كه در زمان نصب توسط كاربر انتخاب شده تا وي را در اين عمليات گام به گام ياري دهد.

پيكربندي و تنظيم سخت‌افزار

امکانات پيکربندي شبکه و سرويس‌هاي مربوط به آن با ويزاردهاي مخصوص، بسيار ساده و قابل انجام است.

مندريك به دليل پشتيباني از حوزه وسيعي از سخت‌افزارها، شهرت دارد.
مركز كنترل (Control Center)  جديد موجود در مندريك تمام امكانات و ابزارهاي لازم براي پيكربندي سخت‌افزار را در اختيارتان قرار مي‌دهد. علاوه برسخت‌افزار، سرويس‌هاي مختلف شبكه‌اي  مثل وب سرور آپاچي، ايميل سرورPostFix ، ديواره آتش Shorewall  و بسياري از برنامه‌ها و سرويس‌هاي ديگر از همين مكان قابل نصب هستند. در همين حين ابزار ديگري به نام Webmin  امكان پيكربندي سيستم را به صورت راه‌دور و حتي از طريق اينترنت هم فراهم مي‌آورد. در حوزه ادوات سخت‌افزاري، آخرين چاپگرها توسط سيستم CUPS  قابل تشخيص و پيكربندي هستند. ابزار Hot Plug  موجود در مندريك، امكان اتصال و تشخيص  خودكار برخي از سخت‌افزارها را حتي در حين كار كامپيوتر مهيا مي‌سازد. سيستم ACPI  مي‌تواند به بهترين شكل منبع تغذيه و توان مصرفي را درLaptop  ها كنترل كند. ابزار Zero Conf  مي‌تواند دو كامپيوتر با سيستم‌عامل مندريك را جهت يك ارتباط شبكه‌اي دو به دو به راحتي پيكربندي نمايد. كارت‌هاي گرافيكيNVIDIA  و ATI  با پكيج‌هاي موجود در مندريك به‌راحتي قابل تشخيص و تنظيم مي‌باشند.



نگهداري از سيستم
همانند بسياري از لينوكس‌ها و سيستم‌عامل‌هاي ديگر، مندريك هم براي عمليات نگهداري از سيستم (Maintenance)  شگردهاي خاص خود را دارد. سري ابزارهاي مشهور به URPMI  و URPME  به همراه مديريت نرم‌افزار و ارتقاء موجود در مندريك به راحتي و فقط با وارد كردن يك فرمان يا يك كليك ساده، نصب و حذف انواع برنامه‌ها را برايتان انجام مي‌دهند. ابزار Drak Connect  قادر است كليه ارتباطات اينترنتي را برايتان كنترل كند برنامه Drak Park  مديريت نرم‌افزارها را از طريق شبكه انجام مي‌دهد. برنامه DrakUPS  برنامه ويژه مديريت شبكه برق يو‌پي‌اس است. ابزار Drak VPN  شبكه‌هاي مجازي را مديريت مي‌نمايد و بسياري از برنامه‌ها و سرويس‌هاي ديگر، ابزار كامل نگهداري از سيستم را در اختيارتان مي‌گذارند.

مجموعه آفيس و اينترنت
برنامه Open office  يك بسته نرم‌افزاري كامل جهت انجام ويرايش و پردازش ستون، ساخت جلوه‌هاي نمايشي، انجام محاسبات مختلف، رسم نمودارها و اشكال متنوع و بسياري كاربردهاي ديگر همانند آفيس مايكروسافت است. علاوه بر آن، برنامه Koffice  يك آفيس ديگر ويژه محيط‌هاي KDE  است كه در مندريك،  هم وجود دارد.
با در كنار هم قرار گرفتن اين دو مجموعه بزرگ آفيس در مندريك امكان انجام هرگونه كار دفتري فراهم مي‌آيد.
در زمينه مرورگرهاي اينترنتي، وجود موزيلا، كانكرر و اپيفاني و در زمينه ابزارهاي كار با پست‌الكترونيك وجود برنامه‌ايKmail ،Mozila Mail  وEvolution  هر نوع نيازي را در اين راه جوابگو خواهند بود.

مرکز کنترل در مندريک، تمام تنظيمات قابل انجام را به صورت مجتمع گردآوري و ارائه کرده است


مالتي مديا
يكي ديگر از نقاط قوت مندريك نسبت به ساير لينوكس‌ها، قدرت پخش و كار با انواع فايل‌هاي صوتي و تصويري است. وجودGnomeMeeting  امكان انجام كنفرانس ويديويي راه‌دور از طريق شبكه را فراهم مي‌سازد. برنامه‌هاي gphoto  وXaw TV  مي‌توانند به راحتي با انواع دوربين‌هاي ديجيتال ارتباط برقرار كنند. برنامه‌هاي ديگري چونMplayer ،XMMS ،Xine ، Totem  و Real  قادرند انواع فايل‌هاي ويديويي را با انواع codec   مختلف مثل Divx  پخش كنند. غير از اين برنامه‌هاي كاربردي، ابزارهاي ديگري هم جهت حرفه‌اي‌هاي اين حوزه در نظرگرفته شده است. برنامهGimp  كه مشهورترين ويرايشگر گرافيكي تحت لينوكس است، برنامهKDenLive  كه يك ويراستار فايل‌هاي ويدئويي است. برنامه Xscan  كه مخصوص كار با انواع اسكنرها مي‌باشد. دو برنامه به نام‌هاي Grip  و KAudioCreator  كه براي ضبط انواع فرمت‌هاي طراحي شده‌اند و برنامه‌هاي ديگري مثلCdrecord  وK3B  كه براي رايت كردنCD  و DVD  نوشته شده‌اند، همه و همه مندريك را تبديل به سيستم‌عاملي قوي از لحاظ ارتباط مالتي‌مديا با كاربران كرده‌اند.

سرور و سرويس‌هاي شبكه
لينوكس مندريك به عنوان يك سيستم‌عامل قابل اطمينان، امن و راحت براي ايفاي نقش سرور در شبكه‌هاي اينترنت يا اينترانت شناخته شده است. بسياري از نيازهاي يك سيستم‌عامل سرور براي ارايه سرويس‌هاي شبكه، در مندريك پيش‌بيني و تعبيه شده است.
1 - كرنل مورد استفاده در اين نسخه تا 4 گيگابايت حافظه اصلي رم و 16 پردازنده را به راحتي پشتيباني مي‌كند.
2- ابزار جديدي به نامDrakEW  امكان به‌اشتراك‌گذاري اينترنت (internet sharing)  را براي استفاده چند نفر به‌صورت همزمان از يك اتصال اينترنتي، فراهم مي‌كند.
همچنين سرويس Spam Assassin  يك فيلتر قوي براي مقابله با اسپم‌ها است كه در مندريك به كمك كاربران اينترنتي مي‌آيد. كليه سرويس‌هاي مهم شبكه‌اي كه يك سيستم‌عامل سرور بايد داشته باشد مثلDHCP ،DNS ، NFS  و غيره در مندريك به صورت بسيار شفاف و قابل كنترل پياده‌سازي شده است. در زمينه سرويس‌هاي اطلاعاتي هم وجود دو پايگاه‌داده مشهور محيط لينوكس يعني MySQL  و Postgre SQL  و ابزاري مثل Onix ODBC  نياز مديران و طراحان بانك‌هاي اطلاعاتي را در اين وادي مرتفع مي‌سازد. در زمينه ارتباطات شبكه‌اي هم وجود نسخه جديد سامبا كه از اكتيودايركتوري ويندوز سرور و يوني‌كد هم پشتيباني مي‌كند گام مهمي در تقويت ارتباط اين سيستم‌عامل با ساير همتايان خود در سطح شبكه محسوب مي‌شود. در حوزه سرويس‌هاي وب سرور و ايميل سرور هم همان‌طور كه گفته شد، وجود دو نرم‌افزار ويژه اين كار يعني آپاچي وPostfix ، مندريك را به يك سرور اينترنتي قوي مبدل ساخته است.


محيط‌هاي توسعه
كامپايلرهاي مشهور و با سابقه‌اي چونGCC ،C++ ، 77Fortran ،Objective C  و 59Ada  به‌علاوه زبان‌هاي اسكريپت‌نويسي مثلPHP ،  پرل  و پايتون علاقمندان به كارهاي برنامه‌نويسي را در مندريك تنها نمي‌گذارند. انواع محيط‌هاي برنامه‌نويسي قوي مثل KDevelop  وQuanta ، ابزارهاي ويژه‌اي چون QT  وGTK+ ، كامپايلرهاي جاوايي مثلJ2RE ، J2SDK  همه و همه از نقاط قوت مندريك در ارايه ابزارهاي برنامه‌نويسي به‌حساب مي‌آيند.

امنيت

ديواره آتش shorewall ، آسان و مطمئن

مندريك در حوزه امنيت از جايگاه خاصي برخوردار است به‌طوري كه بسياري از لينوكس‌كاران آن را به عنوان امن‌ترين لينوكس موجود مي‌شناسند. سطوح مختلف امنيت در مندريك بسيار قابل درك و واضح بوده و تنظيم آن هم كار راحت و بي‌دردسري است. اعمال سياست‌هاي امنيتي در مندريك  از سطح پايين (very low)  يا سطح بسيار حساس و كليدي (Paranoid)  قابل تنظيم است. ديواره آتش موجود در مندريك به نام shorewall  آسان‌تر از هر ديواره آتش ديگري كه تاكنون ديده‌ايد قابل تنظيم توسط كاربر است.
پشتيباني از كريپتوگرافي با استفاده از ابزارهاي مديريتSSL ، Open SSH  وGnu PG  و همچنين ابزارهاي كدينگ فايل‌سيستم، ايميل‌ها و ماژول‌هاي كرنل به‌خوبي قابل انجام است. عمليات هويت‌سنجي  (Authentication)  هم براي دسترسي محلي و هم براي دسترسي شبكه از طريق NIS  يا LDAP  انجام مي‌گيرد.

 خلاصه
هدف  اين نوشتار، معرفي لينوكس مندريك به عنوان يكي از پايدارترين و كاربر پسندترين نسخه‌هاي لينوكس بود و به طور گذرا به قابليت‌هاي مهم آن نيز اشاره شد. اگر از زمره طرفداران لينوكس‌ردهت هستيد پيشنهاد مي‌كنيم كه نگاهي به اين نسخه هم بيندازيد و اگر مي‌خواهيد به تازگي به جمع لينوكس‌كاران بپيونديد " لينوكس مندريك" دروازه ورود خوبي به دنياي لينوكس است. 
http://www.shabakeh-mag.com/Articles/Show.aspx?n=1001124
+ نوشته شده در  شنبه بیست و ششم خرداد 1386ساعت 17:7  توسط مهر  | 

لینوکس 01

لينوكس ارزانتر از ويندوز

 مرجع : WinBeta

آفتاب - در تحقیقات جدیدی كه میان سازمانهای مختلف جامعه اطلاعاتی صورت گرفته مشخص شده است پیشرفتهای اخیر در سیستم‌عامل لینوكس از پیچیدگی آن كاسته و هزینه‌های نصب، راه‌اندازی، نگهداری و كار با نرم‌افزارهای تحت آن را به میزان زیادی كاهش داده و حتی به پایین‌تر از هزینه‌های مشابه سیستم‌عامل "ویندوز" رسانده است.

 
 

به گزارش سایت اینترنتی نیوزفكتور، مطالعه اخیر با حمایت "گروه توسعه نرم‌افزارهای دارای كد باز"(‪ (OSDL‬و توسط "انجمن مدیریت تجاری"(‪(EMA‬ آمریكا صورت گرفته است.

در این تحقیقات تعداد زیادی از سازمانهای كاربر سیستم عامل لینوكس اعلام كردند مدیریت و نگهداری شبكه‌های تحت لینوكس ارزان‌تر از شبكه‌های براساس ویندوز بوده و بیش از نیمی از سوال‌شوندگان نیز اظهار داشته‌اند كه در شبكه‌های استفاده‌كننده از نگارشهای جدید سیستم‌عامل لینوكس، اغلب مشكلات پیش آمده برای شبكه‌های رایانه‌ای در كمتر از ‪ ۳۰‬دقیقه برطرف می‌شود.

این درحالی است كه مطالعه‌های قدیمی‌تر از ضعفهای متعدد لینوكس و هزینه‌های بالای آن در مقایسه با ویندوز خبر می‌دادند.

از سوی دیگر، هم‌اكنون شركت مایكروسافت برنامه‌ای را موسوم به "حقایق را بدان" (‪ (Get The Facts‬آغاز كرده و در آن تلاش می‌كند كاربران را در مورد محدودیتها، هزینه‌ها و مشكلات امنیتی سیستم "لینوكس" آگاه كند.

كارشناسان عقیده دارند شرایط فعلی و تبلیغات گسترده دو جبهه رقیب مایكروسافت و تولیدكنندگان لینوكس، سبب سردرگمی جدی سازمانهای مختلف برای انتخاب یكی از دو گزینه ویندوز و لینوكس شده و آنها را در تصمیم‌گیری دچار مشكل كرده است.

http://www.aftabnews.ir/vdcf1mdw60dyj.html

مايكروسافت و نگهداري از لينوكس!

مايكروسافت واحد ويژه‌‏اي را راه‌‏اندازي كرده كه مسووليت نصب و نگهداري 120 نوع لينوكس موجود در جهان را عهده دار است.

به گزارش بخش خبر سايت اخبار فن آوري اطلاعات ايران، به نقل از ايلنا، اخيرا شركت مايكروسافت, واحد ويژه‌‏اي را راه‌‏اندازي كرده كه مسووليت نصب و نگهداري 120 نوع لينوكس را عهده دار است و در صورت درخواست ديگر واحدهاي مايكروسافت, خدمات پشتيباني و راهنمايي‌‏هاي لازم را ارائه مي دهد.
بنا به اين گزارش, به گفته يكي از مديران ارشد شركت مايكروسافت "بدون سيستم عامل longhorn جديد هم مي توانيم با لينوكس مبارزه كنيم.
گفتني است, در مقايسه با محيط‌‏هاي ناهمخوان لينوكس, سيستم عامل ويندوز يك مجموعه يكپارچه و يكنواخت تر, براي توليد كنندگان نرم‌‏افزارهاي كاربردي ايجاد مي‌‏كند تا بر پايه آن, نرم افزارهاي قوي تر و سريع تر توليد كنند.

 http://www.iritn.com/index.php?action=show&type=news&id=4373

ايجاد ديسكت بوت لينوكس

دلائل چندی وجود دارد كه يك كاربر ميبايست يك ديسكت بوت لينوكس برای خود ايجاد و از آن استفاده و آن را نگهداری نمايد . بعنوان مثال اگر سيستم شما توانائی بوت از روی سی دی را نداشته و يا شما بخواهيد عمل نصب لينوكس را بجای سی دی از روی درايو سخت (هارد ديسك) ويا درايو شبكه انجام دهيد و يا درصورتی كه سيستم لينوكس شما پس از نصب بدليل آسيب ديدگی بوت لودر نتواند بدرستی بالا بيايد بايد يك عدد ديسكت بوت لينوكس مناسب با نوع عملی كه ميخواهيد انجام دهيد بسازيد و آنرا در موقع لزوم در اختيار داشته باشيد .

ملاحظه ميكنيد كه انواع ديسكت بوت لينوكس با توجه به نوع كارائی متفاوت است ولی روش ايجاد همه انواع آن تقريبا مشابه ميباشد .

نخستين چيزی كه برای ايجاد يك ديكت بوت لينوكس ضروری است وجود فايل image حاوی اطلاعات لازم برای ساخت ديسكت ميباشد .

فايلهای image‌ ضروری برای ايجاد انواع ديسكت بوت لينوكس عبارتند از :

1 - cdrom.img‌ اين فايل برای ايجاد ديسكت بوت برای نصب لينوكس از روی هارد ديسك يا سی دی رام در مواقعی كه بوت از طريق سی دی مقدور نباشد بكار ميرود .

2 - network.img‌ اين فايل برای ايجاد ديسكت بوت برای نصب لينوكس از روی درايو شبكه بكار ميرود .

3 - pcmcia.img اين فايل برای ايجاد ديسكت بوت برای نصب لينوكس از طريق يك ابزار با رابط pcmcia‌ مثل انواع سی دی رام ياكارت شبكه با اين مشخصات بكار ميرود .

نكته : چون امروزه كارتهای pcmcia با تكنولوژی كارتهای شبكه جايگزين شده در صورت عدم كارائی ميتوان از فايل network.img‌ استفاده كرد .

4 - hd.img اين فايل برای ايجاد ديسكت بوت برای نصب لينوكس از طريق هارد ديسك بكار ميرود .

5 - hdcdrom_usb.img اين فايل برای ايجاد ديسكت بوت برای نصب لينوكس از طريق رسانه های مبتنی بر پورت usb بكار ميرود .



توضيح : تعداد فايلهای ايميج و نام آنها و كاربرد هريك ممكن است در توزيعهای مختلف لينوكس متفاوت باشد و برای اطلاعات بيشتر ميتوان به اطلاعات متون موجود در توزيع مربوطه مراجعه كرد . ضمنا كليه فايلهای فوق عموما در دايركتوری image واقع در اولين سی دی توزيع لينوكس مورد استفاده كاربر قرار دارند و يا ميتوان آنها را از سايت تخصصی توزيع لينوكس مربوط دانلود كرد .

بايد دانست كه ديسكت بوت لينوكس را ميتوان هم در محيط ويندوز (بوسيله برنامه های كمكی موجود برروی توزيع لينوكس مورد استفاده در سطح DOS ) و هم در محيط لينوكس ايجاد نمود كه در اينجا سعی ميكنم به توضيح مختصر هر دو روش بپردازم .

الف ) ايجاد ديسكت بوت لينوكس در محيط ويندوز :

چون اغلب كاربران جديد لينوكس با ويندوز آشنائی قبلی داشته اند برنامه های كاربردی چندی برای ايجاد ديسكت بوت در محيط ويندوز نوشته شده كه يكی از مهمترين آنها برنامه گرافيكی RawWrite ميباشد . اين برنامه كه يك فايل اجرائی تنهاست عموما در سی دی اول توزيع لينوكس و در شاخه dosutils‌ قرار دارد ودر رابط گرافيكی خود محل فايل image ‌ و درايو فلاپی مقصد را پرسيده و به سهولت كار ايجاد ديسكت بوت لينوكس را انجام ميدهد .

ب ) ايجاد ديسكت بوت لينوكس در محيط گنو / لينوكس :

اگر يك محيط لينوكس نصب شده در دسترس قرار داشته باشد يا كاربر پس از نصب لينوكس بخواهد ديسكت بوت ايجاد كند مراحل كار عبارتند از :

1 - يك پنچره كنسول متنی يا shell فرمان باز كنيد .



2 - با دستور su‌ و سپس وارد كردن رمز عبور بصورت كاربر ريشه وارد سيستم شويد .



3 - اولين سی دی توزيع لينوكس را در سی دی درايو قرار داده و آنرا به سيستم متصل يا mount‌ نمائيد . (روش mount كردن سی دی در درسهای گذشته گفته شد ليكن بايد دانست كه اغلب توزيعهای جديد لينوكس اين كار را بطورت خود كار انجام ميدهند) .



3 - يك فلاپی خالی در فلاپی درايو قرار داده و دستور زير را تايپ كنيد :



# dd if=/mnt/cdrom/images/cdrom.img of=/dev/fd0 bs=512

همانطوريكه می بينيد با اجرای اين دستور فايل ايميج موجود در مسير /mnt/cdrom/images/cdrom.img خوانده شده و بر روی فلاپی درايو اول سيستم يعنی fd0‌ ديسكت بوت لينوكس ايجاد ميگردد .

بديهی است كه آدرس فلاپی درايو دوم سيستم در صورت نصب بودن /dev/fd1‌ خواهد بود .

نكته : محيطهای گرافيكی پيشرفته برخی توزيعهای لينوكس مثل suse‌ و مندريك و ... امكان ايجاد ديسكت بوت لينوكس را برای مقاصد مختلف بصورت برنامه های دارای رابط گرافيكی در محيط لينوكس در اختيار كاربر قرار داده اند كه بمنظور اختصار به آنها پرداخته نميشود .

 http://www.iritn.com/index.php?action=show&type=news&id=4286
+ نوشته شده در  شنبه بیست و ششم خرداد 1386ساعت 17:5  توسط مهر  | 

هک 03
دفاعيه تيم امنيتي آشيانه درباره هك كردن بيش از 200 سايت در يكروز

تیم آشیانه تیمی هست که با سابقه چندین ساله در مقوله هک و امنیت شبکه فعالیت می کند و تابحال درس ها و مقالات امنیتی این تیم در سایت های IT و مجله و روزنامه هایی مثل دنیای اقتصاد چاپ شده است.

به گزارش بخش خبر سايت اخبار فن آوري اطلاعات ايران، اين تيم، در سایت خود یعنی http://www.ashiyane.com هر روزه مقالاتی نوشته و قرار مي‌دهد که در آن به معرفی باگ ها و حفره های جدید کشف شده توسط هکرهای مختلف می پردازد. تيم آشيانه در ادامه افزود: «ما همیشه به مدیران سرورهای عزیز ایرانی گوشزد می کنیم که فلان باگ جدید کشف شده و سریعPatch کنید ولی بعضی از آنها تا به وضوح مشاهده نکنند که سرورشان هک شده بخود نیامده و به فکر امنیت سرور خود نمی افتند.» هدف اصلی ما هم از این کار همین بود. ما هیچ خسارتی به اطلاعاتی که در این سرور و سایت ها بود وارد نکردیم و فقط چهره اول بعضی از سایت هایHost شده بر روی این سرور را عوض کردیم و حتی در ایمیلی که به مسئولان سرور مورد نظر زدیم به آنها گفتیم که می توانیم اگر آنها مایل باشند به صورت رایگان باگ های سرور آنها را از بین ببریم تا خدای نکرده توسط یک فرد خارجی هک نشود و یا اطلاعات مهم آن سرور توسط کسی از بین نرود ولی تا الان به ایمیل ما جواب ندادند.

همچنین در صفحه آن سایت ها این نکته را ذکر کردیم که می توانیم به شما رایگان کمک کنیم. هدف ما از این کار خیرخواهانه بوده و قصد آگاه کردن مسئولان این سرور از اهمیت مقوله امنیت شبکه را داشتیم نه قصد تخریب یا خسارت. با این خبر مطمئن هستیم دیگر مدیرهای سرورهای ایرانی به امنیت سرور خود بیشتر از گذشته توجه می کنند و ما حاضر هستیم به صورت رایگان به هر مدیر ایرانی که مشکلی در بالا بردن امنیت سرور خود دارد کمک کنیم. امیدواریم این دلایل برای شما قانع کننده باشد.
هدف اصلی ما بالا بردن سطح علمی مدیرها و توجه به مقوله مهم امنیت شبکه هست و این آخرین تذکر ما بود و دیگر قصد نداریم به این صورت به مدیری تذکر بدهیم چون متاسفانه در ایران به این قبیل کارها خراب کاری گفته می شود و فرد نفوذگر را دزد و خراب کار می نامند. از این موضوع خوشحال هستیم که نیروی تکنسین دانشگاه شریف بعد از حدود 30 دقیقه از این موضوع باخبر شدند و سرور را از نظر تغییراتی که در بعضی از سایت ها پیش آمده بود تصحیح کردند و به رفع باگ مورد نظر پرداختند که البته فکر می کنم تا صبح سه شنبه این امر به طول انجامید.

در بعضی از خبرها آمده بود که این نیرو ، هکرهایی که 200 سایت را هک کرده اند را شناسایی کردند! ولی سوال ما از این عزیزان این است که آیا می توان با شناسایی هکرها و دستگیری آنها باگ های سرور خود را از دید عموم پنهان سازیم و با گذاشتن سمینارهایی در مورد امنیت شبکه ادعای امنیت کنیم؟ آیا با دستگیری چند نفر که فقط قصد تذکر و آگاه کردن داشتند دیگر هیچ سرور ایرانی هک نمی شود؟ ما در چهره سایت ها آدرس سایت خود را داده ایم و این حرف ایشان که ما آنها را شناسایی کردیم تا حدودی برای کسانی که از ریز این ماجرا باخبر هستند تعجب آور بود چون اگر ما نمی خواستیم که شما ما را بشناسید مطمئن باشید هیچ اثری از خود بر روی index سایت ها و log فایل های سرور باقی نمی گذاشتیم. ما حتی پسورد Root سرور شما را هم عوض نکردیم تا شما بتوانید سریعا به رفع مشکلات سرور خود بپردازید.
چند روز پیش جناب آقای پرویزی دبیر محترم مبارزه با جرایم کامپیوتری در طی صحبت های خود ذکر کردن که هک هیچ فرقی با دزدی ندارد! سوال من از ایشان و کسانی که این حرف را قبول دارند این است که آیا وقتی کسی درب خانه خود را باز می گذارد و شخصی از روی حس کنجکاوی به داخل منزل ایشان می رود ولی کالایی برنمی دارد و یک پیغام مبنی بر اینکه درب خانه شما باز بود و سعی کنید آن را همیشه ببندید در خانه ایشان می گذارد، بازهم می توان گفت این فرد دزد هست و به قصد خرابکاری به منزلی که درب آن باز بوده است رفته است؟

متاسفانه مسئولان این سرور بزرگ هم فراموش کرده بودند که درب سرور خود را به خوبی ببندند. البته نمی خواهیم منکر زحماتی که ایشان برای بالا بردن امنیت سرور خود کرده اند باشیم ولی بازهم می گوییم که متاسفانه حفره ای در این سیستم وجود داشت که اجازه نفوذ و گرفتن Root سرور را به هکرها می داد. ار اینکه وقت خود را برای خواندن این متن گذاشتید ممنون هستیم و امیدواریم روزی برسد که کشورمان در دنیا در زمینه امنیت شبکه مثال زدنی باشد.

سعی خواهیم کرد بیشتر در سایت خود مقالات امنیتی را به صورت رایگان قرار می دهیم تا عزیزانی که به این رشته علاقه مند هستند از مهمترین و جدیدترین باگ ها باخبر شوند و سرور خود را Secure کنند.
هر سوال ، انتقاد و پیشنهادی داشتید با آدرس info@ashiyane.com تماس بگیرید.

 http://www.shabake.com/?action=show&type=news&id=2854

 
+ نوشته شده در  پنجشنبه بیست و چهارم خرداد 1386ساعت 20:41  توسط مهر  | 

هک 02
Replay
وقتي يك هكر به وسيله ابزار Sniffer بسته هاي اطلاعاتي را از روي سيم بر مي دارد ، يك حمله Replay رخ داده است. وقتي بسته ها دزديده شدند ،هكر اطلاعات مهم و نامهاي كاربري و كلمات عبور را از درون آن استخراج مي كند. وقتي كه اطلاعات ازبسته ها استخراج شدند ،دوباره بسته ها روي خط قرار مي گيرند و يا بدانها به صورت دروغين پاسخ داده مي شود.
Denial Of Service ( DOS) و( Distributed Denial Of Service ( DDOS
اين نوع حملات به منظور از كار انداختن يك سرويس و يا از دسترس كاربران خارج كردن يك سرويس به كار مي رود. نوع توزيع شده اين نوع حملات ، از تعداد زيادي كامپيوتر ( Zompbie ) در سراسر دنيا استفاده مي شود. و در لحظه اي كه حمله كننده اصلي دستور مي دهد تمام اين Zompbie ها به طور همزمان به يك قرباني خاص از پيش تعييد شده ،حمله مي كنند. نمونه ايراني آن كرم دامبي بود كه پس از انتشار به سايتهاي IIRIB و ISNA حمله مي كرد.
Birthday
يك حمله Birthday نامي است براي يك رده از حملات Brute-Force  براي فهم بهتر اين حمله شما بايد به روشهاي رمز كردن و شكاندن آنها، اطلاع داشته باشيد.
Brute force
يك روش براي به شكستن كلمات رمز و به دست آوردن آنهاست. حمله Brute-force حروف را به صورت تركيبي استفاده مي كند و با تست كردن آنها رمز عبور را پيدا مي كند. براي مقابله با اين روش بايد كلمات رمز با طول زياد انتخاب كرد و يا كلمات رمز را هر دفعه تغيير داد.
Dictionary
يك روش براي به دست آوردن كلمات رمز عبور است.  كلمه Dictionary در اصل لغتنامه اي از كلمات معروف مي باشد كه در يك فايل ذخيره شده اند و به وسيله يك ابزار براي شكستن كلمات رمز،مورد استفاده قرار مي گيرند. براي مقابله با اين حمله بايد از كلماتي استفاده كرد كه در لغتنامه وجود ندارد.
Software Exploitation
حمله عليه سوراخها و باگهاي موجود در كدهاي سيستم براي اصلاح آنها بايد از Hotfix ها و Service Pack ها استفاده كرد.
War Dialing
استفاده از يك ابزار پويشگر براي اتصال به يك رنجي از شماره هاي تلفن به وسيله مودم براي اهداف نفوذگرانه يك War Dialer نرم افزار مي باشد كه با استفاده از مودم با يك رنجي از شماره ها تماس گرفته و شماره هايي كه تماسي موفق داشته اند را جمع آوري مي كند.

Buffer Overflow
حمله سرريزي بافر از كدهاي نوشته شده ضعيف استفاده مي كند اگر در كدهاي مختلف نرم افزاري طول آرگومانها بررسي نگردد در معرض اين حمله قرار دارند.

PING OF DEATH
نوعي خرابكاري در اينترنت كه بسته اي از طريق پروتكل PING به يك كامپيوتر راه دور ارسال ميشود كه اساسا بزرگتر از 64 بايت معمول است.اندازه بسته سبب مي شود كه كامپيوتر متوقف شود (HANG)يا مجددا راه اندازي شود BOOT.
POCKET
واحدي از اطلاعات که در يك شبكه به صورت واحد از يك وسيله به يك وسيله ديگر انتقال ميابد. در شبكه هاي PACKET_SWITCHING به واحدي از انتقالات گفته ميشود كه حداکثر اندازه ثابت را دارد .و ازارقام باينري تشكيل مي شود كه هم نمايان گر داده ها هستند و هم سرايندي كه حاوي يک شماره شناسايي .نشاني مبدا و مقصد و گاهي اوقات داده هاي کنترل خطا.
(INTERNT SERVISE PROVIDER) ISP
به معني تامين كننده خدمات اينترنت است . اداره يا شركتي كه خدمات اتصال به اينترنت را براي اشخاص، ادارات و سازمانهاي ديگر فراهم مي كند برخي از اي ـاس ـ پي‌ها شركتهاي بزرگ ملي يا چند مليتي هستند.
PING
سرنام POCKET INTERNT GROPER.پروتكلي براي ازمايش اين كه يك كامپيوتر خاص به اينترنت متصل است يا خير.براي اين كار بسته اي براي دريافت به نشاني IP آن ارسال مي شود.
PORT
محلی است كه داده ها وارد يا خارج ميشوند که معمولا به هرکدام عددی نسبت ميدهيم. اين اعداد بين ۱ و ۶۵۵۳۵ هستند. معمولا به يك سری از پورتها کار خاصی را نسبت ميدهند و بقيه به صورت پيشفرض برای استفاده شما هستند.
HOST
در اينترنت يا شبکه هاي بزرگ ديگر به کامپيوتر سرويس دهنده اي گفته مي شود که به ديگر کامپيوتر هاي شبکه دستيابي دارد و وظيفه اش فراهم کردن خدمات براي كامپيوتر هاي سرويس گيرنده اي است که از نقاط دور متصل مي شوند. مثلا دستيابي به اينترنت يا عمل کردن به عنوان منبع يا اخبار پستي.
TROJAN HORSE
يا اسبهاي تروا برنامه هاي مخربي هستند که بصورت يک بازي , برنامه خدماتي يا برنامه هاي کاربردي پنهان مي شوند . وقتي اين برنامه ها اجرا مي شوند, در عين حاليکه مفيد به نظر مي رسند , عمل مخربي را در سيستم کامپيوتري انجام مي دهند. اين فايلها اکثرا اجرايي هستند ولي با يک پسوند دوم معرفي مي شوند.
IP (INTERNT PROTOCOL) چيست؟
شماره‌ايست که به هر کامپيوتر متصل به اينترنت داده می‌شود تا بتوان به كمكآن شماره به آن کامپيوترها دسترسی داشت. اين عدد برای كامپيوترهايی كه حالت سرور دارند (مثلا سايت‌ها) و نيز كامپيوتر‌های کلاينتی كه معمولا به روشی غير از شماره‌گيری Dial Up به اينترنت وصل هستند، عددی ثابت و برای ديگران عددی متغير است. مثلا هر بار که شما با شركت ISP خود تماس گرفته و به اينترنت وصل می‌شويد، عددی جديد به شما نسبت داده می‌شود.
port
در ساده ترين تعريف، محلی است که داده‌ها وارد با خارج می‌شوند. در مبحثي كه معمولا با پورت‌های نرم‌افزاری سروکار داريم که به هركدام عددی نسبت می‌دهيم. اين اعداد بين ۱ و ۶۵۵۳۵ هستند. معمولا به يك سری از پورت‌ها كار خاصی را نسبت می‌دهند و بقيه به‌صورت پيش‌فرض برای استفاده شما هستند. پورت‌های که فعال هستند، هرکدام توسط يك نرم‌افزار خاص مديريت می‌شوند. مثلا پورت ۲۵ برای ارسال Email است، بنابراين بايد توسط يك نرم‌افزار اين کار انجام شود و اين نرم‌افزار بر روی پورت ۲۵ منتظر (فال‌گوش) می‌ماند. اينجا ممكن است شخصی از فلان نرم‌افزار و ديگری از بهمان نرم‌افزار استفاده كند ولی به‌هر حال پورت ۲۵ هميشه برای ارسال Email است.
مفهوم Portهاي باز و بسته چيست ؟
Port باز : Port باز به Port ي گفته مي شود . كه بتوان با آن ارتباط برقرار كرد و از روي آن اطلاعاتي گرفته و يا برروي آن داده اي ارسال كنيمPort بسته : به پرتي گفته مي شود كه نتوانيم با آن ارتباط برقرار كنيم و در نتيجه از ارسال و دريافت داده برروي آن باز بمانيم .
هكرها چگونه حمله ميکنند؟
در سري جديد بررسي كلي روشهاي حمله به شبكه ها و سيستم هاي رايانه اي مدنظر قرار گرفته و در آن به صورت خلاصه كاربر مي تواند يك چارچوب كلي از اين موضوع كه چگونه به يك سيستم يا شبكه نفوذ مي كنند را به دست بياورد.
چارچوب عمومي حملات
اولين سوالي كه با آن روبه رو مي شويم اين است كه براساس سيستم عامل هاي موجود حملات چگونه چارچوب بندي مي شود.
به بيان ديگر شماي كلي حملات مبتني بر سيستم عامل چگونه تقسيم بندي مي شود؟ در جواب بايد 2 چارچوب متفاوت را تعريف كرد
يك چارچوب براساس سيستم عامل ويندوز - مايكروسافت مي تواند شامل ويندوز 98 ، Me ، 2000 ، ايكس پي و ان تي باشد - است و چارچوب بعدي سيستم عامل هاي اوپن سورس شامل لينوكس ، OpenBSD ، ترينوكس و برخي سيستم هاي يونيكس با درجه اهميت پايين تر است
چارچوب عمومي حملات سيستم عامل ويندوز ، سيستم عامل هاي مبتني بر اوپن سورس شامل 98 ، Me ، 2000 ، ايكس پي و ان تي شامل لينوكس ، OpenBSD ، ترينوكس و برخي سيستم هاي يونيكس سطح پايين تر است.
Tell Net چيست؟
دسترسي به يك شبكه رايانه اي از راه دور با وجود اينكه امروزه تور جهان گسترده وب دنياي اينترنت را قبضه كرده است اما اگر براي يك لحظه تصور كنيم كه سرويسي به نام وب وجود ندارد آنگاه مهمترين سرويس اينترنتي پس از همان وب Telnet خواهد بود در واقع Telnet _E _mail است اما بدون صوت و تصوير فقط متن اما دسترسي به اطلاعات و نحوه محاوره شما با افراد كاملا زنده و بهنگام است امروزه اين سرويس تنها براي دسترسي به سايت ها ي خبري يا بانك هاي اطلاعاتي يا محاوره ازطريق تايپ كردن جملات استفاده مي شود و كاربرد عمده ديگري ندارد.
تروجان چيست چگونه كار مي كنند؟
با گسترش فرهنگ استفاده از كامپيوتر و راهيابي آن به ادارات، منازل، اين ابزار از حالت آكادميك و تحقيقاتي بدر آمد و مبدل به پاره اي از نيازهاي معمول زندگي شد. يكي از دستاوردهاي اين پيشرفت، ظهور شبكه اينترنت است كه به سرعت در كشورها توسعه يافته و به يك پديده اجتماعي مبدل گشته است.
اجتماع بزرگ كاربران اينترنت در سرتاسر دنيا از هر منطقه و نژادي كه باشند شامل افراد خوب و بد خواهند بود، عده اي در جهت كسب منافع براي خود و ديگران تلاش مي كنند وعده اي در جهت جذب منابع ديگران براي خود. با توجه به نو پا بودن اينترنت نمي توان انتظار داشت كه يك فرهنگ صحيح و غني بر آن حاكم شده باشد و لذا احتمال سرقت اطلاعات و يا دستكاري و انهدام آنها بنا به انگيزه هاي ناسالم، اهداف سياسي، جذب نامشروع ثروت مي رود.
اين مجموعه که قرار است بطور منظم در نشريه تخصصی IC منتشر گردد درباره چگونگي كار تروجان ها، انواع آنها و چگونگي تشخيص و مقابله با آنها به نكات مفيدي اشاره خواهد نمود. ضمناً در قسمت پاياني هر قسمت نيزآدرسهاي منابع تحقيق بصورت مستقيم در اختيار خواننده محترم قرار خواهد گرفت. همچنين علاقه مندان مي توانند براي دريافت اطلاعات بيشتر به سايت هاي معرفي شده مراجعه نموده و نرم افزارهاي مربوط را دريافت نمايند. ذکر اين نکته لازم است که به دليل گستردگي استفاده از سيستم عامل ويندوز در ايران، مطالب ارائه شده درباره تروجانهای تحت ويندوز می باشد.
انواع ويروسها از لحاظ نوع عملكرد و محل استقرار :
1- ويروس ركورد راه انداز اصلي (Master boot record )
2- ويروسهاي بوت سكتور (Boot Sector )
3- ويروسهاي انگلي يا فايلي
4- ويروس چند بخشي(Multipartite )
5- ويروسهاي مقيم حافظه (Memory resident)
ويژگي ويروسها
1- مقيم در حافظه(Memory resident)
2- استتاري يا نهان( Size stealth or full stealth)
3- رمزي( Encrypting)
4- چند شكلي يا هزار چهره(Polymorphic)
5- انفجاري يا تريگر(Triggerd event)
Firewall
تعريف ديواره‌هاي آتش
ديواره‌هاي آتش يكي از مؤثرترين و مهمترين روشهاي پياده سازي "مصونيت شبكه" هستند و قادرند تا حد زيادي از دسترسي غير مجاز دنياي بيرون به منابع داخلي جلوگيري كنند.ديواره‌هاي آتش، مانند خندق‌هاي دور قلعه‌هاي دوران قرون وسطي عمل مي‌كنند. خندق دور قلعه باعث مي‌شود نفوذ به قلعه مشكل باشد.
انجمن Network Computer Security Association) NCSA) تعريف زير را از ديواره‌هاي آتش ارائه داده است."ديواره آتش يک سيستم يا ترکيبي از چندين سيستم است كه يك سري محدوديت را بين دو يا چند شبکه اعمال مي‌كند."در واقع يك ديواره آتش با محدودكردن دسترسي بين دو شبكه سعي مي‌كند يكي را از ديگري محافظت كند. عموماً ديواره‌هاي آتش به منظور محافظت شبكه خصوصي ‌كه به يك شبكه عمومي يا مشترك متصل است به كار گرفته مي‌شوند. ديواره‌هاي آتش يك نقطه محدود كننده‌‌را بين دو شبكه ايجاد مي‌كند.
توانايي‌هاي ديواره‌هاي آتش
در اين بخش توانايي‌هاي ديواره‌هاي آتش را مورد بررسي قرار مي‌دهيم.
يك ديواره آتش مي‌تواند اجراي تصميمات امنيتي را در يك نقطه متمركزكند.يك ديواره آتش مي‌تواند سياست امنيتي شبكه را به اجرا در آورد. ديواره‌هاي آتش قادرند با پاسباني و كنترل سرويسهاي مختلف تنها به سرويسهاي مجاز تعريف شده در سياست امنيتي اجازه عبور دهند و بدين ترتيب سياست امنيتي شبكه را به اجرا در‌آورند.
يك ديواره آتش مي‌‌تواند فعاليتهاي مهم را ثبت كند
يك ديواره آتش قادر است سطوح مختلفي از امنيت را براي بخشهاي مختلف پياده‌سازي كند.
انواع ديواره‌هاي آتش
ديواره‌هاي آتش پالايشگر بسته
ديواره‌هاي آتش سطح مدار
ديواره‌هاي آتش لاية كاربرد
ديواره‏هاي آتش پالايشگر بسته پويا
ديواره‏‏هاي آتش Kernel Proxy
ديواره‌هاي آتش مخفي
ديواره‌هاي آتش توزيع شده
ديواره‌هاي آتش شخصي
ديواره‌هاي آتش با توسعه‌پذيري بالا
ديواره‌هاي آتش نرم‌افزاري.
ديواره‌هاي آتش اختصاصی
پياده­سازي ديواره آتش
پياده­سازي ديواره­هاي آتش تحت سيستم عامل­هاي مبتني بر Unix كار نسبتاً ساده­اي است. اين سادگي نتيجه كدهاي رايگان متعددي است كه در اين زمينه وجود دارند. نمونه­هايي از اين دست pf براي سيستم عامل OpenBSD و iptableReplay  وقتي يك هكر به وسيله ابزار Sniffer بسته هاي اطلاعاتي را از روي سيم بر مي دارد ، يك حمله Replay رخ داده است. وقتي بسته ها دزديده شدند ،هكر اطلاعات مهم و نامهاي كاربري و كلمات عبور را از درون آن استخراج مي كند. وقتي كه اطلاعات ازبسته ها استخراج شدند ،دوباره بسته ها روي خط قرار مي گيرند و يا بدانها به صورت دروغين پاسخ داده مي شود.
Denial Of Service ( DOS) و( Distributed Denial Of Service ( DDOS
اين نوع حملات به منظور از كار انداختن يك سرويس و يا از دسترس كاربران خارج كردن يك سرويس به كار مي رود. نوع توزيع شده اين نوع حملات ، از تعداد زيادي كامپيوتر ( Zompbie ) در سراسر دنيا استفاده مي شود. و در لحظه اي كه حمله كننده اصلي دستور مي دهد تمام اين Zompbie ها به طور همزمان به يك قرباني خاص از پيش تعييد شده ،حمله مي كنند. نمونه ايراني آن كرم دامبي بود كه پس از انتشار به سايتهاي IIRIB و ISNA حمله مي كرد.
Birthday
يك حمله Birthday نامي است براي يك رده از حملات Brute-Force براي فهم بهتر اين حمله شما بايد به روشهاي رمز كردن و شكاندن آنها، اطلاع داشته باشيد.
Brute force
يك روش براي به شكستن كلمات رمز و به دست آوردن آنهاست. حمله Brute-force حروف را به صورت تركيبي استفاده مي كند و با تست كردن آنها رمز عبور را پيدا مي كند. براي مقابله با اين روش بايد كلمات رمز با طول زياد انتخاب كرد و يا كلمات رمز را هر دفعه تغيير داد.
Dictionary
يك روش براي به دست آوردن كلمات رمز عبور است. كلمه Dictionary در اصل لغتنامه اي از كلمات معروف مي باشد كه در يك فايل ذخيره شده اند و به وسيله يك ابزار براي شكستن كلمات رمز،مورد استفاده قرار مي گيرند. براي مقابله با اين حمله بايد از كلماتي استفاده كرد كه در لغتنامه وجود ندارد.
Software Exploitation
حمله عليه سوراخها و باگهاي موجود در كدهاي سيستم براي اصلاح آنها بايد از Hotfix ها و Service Pack ها استفاده كرد.
War Dialing
استفاده از يك ابزار پويشگر براي اتصال به يك رنجي از شماره هاي تلفن به وسيله مودم براي اهداف نفوذگرانه يك War Dialer نرم افزار مي باشد كه با استفاده از مودم با يك رنجي از شماره ها تماس گرفته و شماره هايي كه تماسي موفق داشته اند را جمع آوري مي كند.
Buffer Overflow
حمله سرريزي بافر از كدهاي نوشته شده ضعيف استفاده مي كند اگر در كدهاي مختلف نرم افزاري طول آرگومانها بررسي نگردد در معرض اين حمله قرار دارند.
PING OF DEATH
نوعي خرابكاري در اينترنت كه بسته اي از طريق پروتكل PING به يك كامپيوتر راه دور ارسال ميشود كه اساسا بزرگتر از 64 بايت معمول است.اندازه بسته سبب مي شود كه كامپيوتر متوقف شود (HANG)يا مجددا راه اندازي شود BOOT.
POCKET
واحدي از اطلاعات که در يك شبكه به صورت واحد از يك وسيله به يك وسيله ديگر انتقال ميابد. در شبكه هاي PACKET_SWITCHING به واحدي از انتقالات گفته ميشود كه حداکثر اندازه ثابت را دارد .و ازارقام باينري تشكيل مي شود كه هم نمايان گر داده ها هستند و هم سرايندي كه حاوي يک شماره شناسايي .نشاني مبدا و مقصد و گاهي اوقات داده هاي کنترل خطا.
(INTERNT SERVISE PROVIDER) ISP
به معني تامين كننده خدمات اينترنت است . اداره يا شركتي كه خدمات اتصال به اينترنت را براي اشخاص، ادارات و سازمانهاي ديگر فراهم مي كند برخي از اي ـاس ـ پي‌ها شركتهاي بزرگ ملي يا چند مليتي هستند.
PING
سرنام POCKET INTERNT GROPER.پروتكلي براي ازمايش اين كه يك كامپيوتر خاص به اينترنت متصل است يا خير.براي اين كار بسته اي براي دريافت به نشاني IP آن ارسال مي شود.
PORT
محلی است كه داده ها وارد يا خارج ميشوند که معمولا به هرکدام عددی نسبت ميدهيم. اين اعداد بين ۱ و ۶۵۵۳۵ هستند. معمولا به يك سری از پورتها کار خاصی را نسبت ميدهند و بقيه به صورت پيشفرض برای استفاده شما هستند.
HOST
در اينترنت يا شبکه هاي بزرگ ديگر به کامپيوتر سرويس دهنده اي گفته مي شود که به ديگر کامپيوتر هاي شبکه دستيابي دارد و وظيفه اش فراهم کردن خدمات براي كامپيوتر هاي سرويس گيرنده اي است که از نقاط دور متصل مي شوند. مثلا دستيابي به اينترنت يا عمل کردن به عنوان منبع يا اخبار پستي. TROJAN HORSE   يا اسبهاي تروا برنامه هاي مخربي هستند که بصورت يک بازي , برنامه خدماتي يا برنامه هاي کاربردي پنهان مي شوند . وقتي اين برنامه ها اجرا مي شوند, در عين حاليکه مفيد به نظر مي رسند , عمل مخربي را در سيستم کامپيوتري انجام مي دهند. اين فايلها اکثرا اجرايي هستند ولي با يک پسوند دوم معرفي مي شوند.
IP (INTERNT PROTOCOL)   چيست؟
شماره‌ايست که به هر کامپيوتر متصل به اينترنت داده می‌شود تا بتوان به كمكآن شماره به آن کامپيوترها دسترسی داشت. اين عدد برای كامپيوترهايی كه حالت سرور دارند (مثلا سايت‌ها) و نيز كامپيوتر‌های کلاينتی كه معمولا به روشی غير از شماره‌گيری Dial Up به اينترنت وصل هستند، عددی ثابت و برای ديگران عددی متغير است. مثلا هر بار که شما با شركت ISP خود تماس گرفته و به اينترنت وصل می‌شويد، عددی جديد به شما نسبت داده می‌شود.
port
در ساده ترين تعريف، محلی است که داده‌ها وارد با خارج می‌شوند. در مبحثي كه معمولا با پورت‌های نرم‌افزاری سروکار داريم که به هركدام عددی نسبت می‌دهيم. اين اعداد بين ۱ و ۶۵۵۳۵ هستند. معمولا به يك سری از پورت‌ها كار خاصی را نسبت می‌دهند و بقيه به‌صورت پيش‌فرض برای استفاده شما هستند. پورت‌های که فعال هستند، هرکدام توسط يك نرم‌افزار خاص مديريت می‌شوند. مثلا پورت ۲۵ برای ارسال Email است، بنابراين بايد توسط يك نرم‌افزار اين کار انجام شود و اين نرم‌افزار بر روی پورت ۲۵ منتظر (فال‌گوش) می‌ماند. اينجا ممكن است شخصی از فلان نرم‌افزار و ديگری از بهمان نرم‌افزار استفاده كند ولی به‌هر حال پورت ۲۵ هميشه برای ارسال Email است.
مفهوم Portهاي باز و بسته چيست ؟
Port باز : Port باز به Port ي گفته مي شود . كه بتوان با آن ارتباط برقرار كرد و از روي آن اطلاعاتي گرفته و يا برروي آن داده اي ارسال كنيم. Port بسته : به پرتي گفته مي شود كه نتوانيم با آن ارتباط برقرار كنيم و در نتيجه از ارسال و دريافت داده برروي آن باز بمانيم .
هكرها چگونه حمله ميکنند؟
در سري جديد بررسي كلي روشهاي حمله به شبكه ها و سيستم هاي رايانه اي مدنظر قرار گرفته و در آن به صورت خلاصه كاربر مي تواند يك چارچوب كلي از اين موضوع كه چگونه به يك سيستم يا شبكه نفوذ مي كنند را به دست بياورد.
چارچوب عمومي حملات
اولين سوالي كه با آن روبه رو مي شويم اين است كه براساس سيستم عامل هاي موجود حملات چگونه چارچوب بندي مي شود. به بيان ديگر شماي كلي حملات مبتني بر سيستم عامل چگونه تقسيم بندي مي شود؟ در جواب بايد 2 چارچوب متفاوت را تعريف كرديك چارچوب براساس سيستم عامل ويندوز - مايكروسافت مي تواند شامل ويندوز 98 ، Me ، 2000 ، ايكس پي و ان تي باشد - است و چارچوب بعدي سيستم عامل هاي اوپن سورس شامل لينوكس ، OpenBSD ، ترينوكس و برخي سيستم هاي يونيكس با درجه اهميت پايين تر است چارچوب عمومي حملات سيستم عامل ويندوز ، سيستم عامل هاي مبتني بر اوپن سورس شامل 98 ، Me ، 2000 ، ايكس پي و ان تي شامل لينوكس ، OpenBSD ، ترينوكس و برخي سيستم هاي يونيكس سطح پايين تر است.
Tell Net چيست؟
دسترسي به يك شبكه رايانه اي از راه دور با وجود اينكه امروزه تور جهان گسترده وب دنياي اينترنت را قبضه كرده است اما اگر براي يك لحظه تصور كنيم كه سرويسي به نام وب وجود ندارد آنگاه مهمترين سرويس اينترنتي پس از همان وب Telnet خواهد بود در واقع Telnet _E _mail است اما بدون صوت و تصوير فقط متن اما دسترسي به اطلاعات و نحوه محاوره شما با افراد كاملا زنده و بهنگام است امروزه اين سرويس تنها براي دسترسي به سايت ها ي خبري يا بانك هاي اطلاعاتي يا محاوره ازطريق تايپ كردن جملات استفاده مي شود و كاربرد عمده ديگري ندارد.
تروجان چيست چگونه كار مي كنند؟
با گسترش فرهنگ استفاده از كامپيوتر و راهيابي آن به ادارات، منازل، اين ابزار از حالت آكادميك و تحقيقاتي بدر آمد و مبدل به پاره اي از نيازهاي معمول زندگي شد. يكي از دستاوردهاي اين پيشرفت، ظهور شبكه اينترنت است كه به سرعت در كشورها توسعه يافته و به يك پديده اجتماعي مبدل گشته است. اجتماع بزرگ كاربران اينترنت در سرتاسر دنيا از هر منطقه و نژادي كه باشند شامل افراد خوب و بد خواهند بود، عده اي در جهت كسب منافع براي خود و ديگران تلاش مي كنند وعده اي در جهت جذب منابع ديگران براي خود. با توجه به نو پا بودن اينترنت نمي توان انتظار داشت كه يك فرهنگ صحيح و غني بر آن حاكم شده باشد و لذا احتمال سرقت اطلاعات و يا دستكاري و انهدام آنها بنا به انگيزه هاي ناسالم، اهداف سياسي، جذب نامشروع ثروت مي رود. اين مجموعه که قرار است بطور منظم در نشريه تخصصی IC منتشر گردد درباره چگونگي كار تروجان ها، انواع آنها و چگونگي تشخيص و مقابله با آنها به نكات مفيدي اشاره خواهد نمود. ضمناً در قسمت پاياني هر قسمت نيزآدرسهاي منابع تحقيق بصورت مستقيم در اختيار خواننده محترم قرار خواهد گرفت. همچنين علاقه مندان مي توانند براي دريافت اطلاعات بيشتر به سايت هاي معرفي شده مراجعه نموده و نرم افزارهاي مربوط را دريافت نمايند. ذکر اين نکته لازم است که به دليل گستردگي استفاده از سيستم عامل ويندوز در ايران، مطالب ارائه شده درباره تروجانهای تحت ويندوز می باشد. انواع ويروسها از لحاظ نوع عملكرد و محل استقرار :
1- ويروس ركورد راه انداز اصلي (Master boot record )
2- ويروسهاي بوت سكتور (Boot Sector )
3- ويروسهاي انگلي يا فايلي
4- ويروس چند بخشي(Multipartite )
5- ويروسهاي مقيم حافظه (Memory resident)
ويژگي ويروسها
1- مقيم در حافظه(Memory resident)
2- استتاري يا نهان( Size stealth or full stealth)
3- رمزي( Encrypting)
4- چند شكلي يا هزار چهره(Polymorphic)
5- انفجاري يا تريگر(Triggerd event)
Firewall
تعريف ديواره‌هاي آتش
ديواره‌هاي آتش يكي از مؤثرترين و مهمترين روشهاي پياده سازي "مصونيت شبكه" هستند و قادرند تا حد زيادي از دسترسي غير مجاز دنياي بيرون به منابع داخلي جلوگيري كنند.ديواره‌هاي آتش، مانند خندق‌هاي دور قلعه‌هاي دوران قرون وسطي عمل مي‌كنند. خندق دور قلعه باعث مي‌شود نفوذ به قلعه مشكل باشد.
انجمن Network Computer Security Association) NCSA) تعريف زير را از ديواره‌هاي آتش ارائه داده است."ديواره آتش يک سيستم يا ترکيبي از چندين سيستم است كه يك سري محدوديت را بين دو يا چند شبکه اعمال مي‌كند."در واقع يك ديواره آتش با محدودكردن دسترسي بين دو شبكه سعي مي‌كند يكي را از ديگري محافظت كند. عموماً ديواره‌هاي آتش به منظور محافظت شبكه خصوصي ‌كه به يك شبكه عمومي يا مشترك متصل است به كار گرفته مي‌شوند. ديواره‌هاي آتش يك نقطه محدود كننده‌‌را بين دو شبكه ايجاد مي‌كند.
توانايي‌هاي ديواره‌هاي آتش
در اين بخش توانايي‌هاي ديواره‌هاي آتش را مورد بررسي قرار مي‌دهيم. يك ديواره آتش مي‌تواند اجراي تصميمات امنيتي را در يك نقطه متمركزكند.يك ديواره آتش مي‌تواند سياست امنيتي شبكه را به اجرا در آورد. ديواره‌هاي آتش قادرند با پاسباني و كنترل سرويسهاي مختلف تنها به سرويسهاي مجاز تعريف شده در سياست امنيتي اجازه عبور دهند و بدين ترتيب سياست امنيتي شبكه را به اجرا در‌آورند. يك ديواره آتش مي‌‌تواند فعاليتهاي مهم را ثبت كند يك ديواره آتش قادر است سطوح مختلفي از امنيت را براي بخشهاي مختلف پياده‌سازي كند.
انواع ديواره‌هاي آتش
ديواره‌هاي آتش پالايشگر بسته
ديواره‌هاي آتش سطح مدار
ديواره‌هاي آتش لاية كاربرد
ديواره‏هاي آتش پالايشگر بسته پويا
ديواره‏‏هاي آتش Kernel Proxy
ديواره‌هاي آتش مخفي
ديواره‌هاي آتش توزيع شده
ديواره‌هاي آتش شخصي
ديواره‌هاي آتش با توسعه‌پذيري بالا
ديواره‌هاي آتش نرم‌افزاري.
ديواره‌هاي آتش اختصاصی
پياده­سازي ديواره آتش
پياده­سازي ديواره­هاي آتش تحت سيستم عامل­هاي مبتني بر Unix كار نسبتاً ساده­اي است. اين سادگي نتيجه كدهاي رايگان متعددي است كه در اين زمينه وجود دارند. نمونه­هايي از اين دست pf براي سيستم عامل OpenBSD و iptable براي سيستم عامل Linux مي­باشند. برخلاف وجود منابع گوناگون و متعدد براي سيستم­هاي مبتني بر UNIX براي پياده­سازي يك ديواره آتش تحت ويندوز منابع چندان زيادي در دست نمي­باشد و اكثر منابع موجود نيز هزينه­هاي زيادي را براي اجازه استفاده از خود تحميل مي­كنند. همچنين روش استاندارد و مشخصي نيز براي انجام اين كار در ويندوز وجود ندارد.  براي سيستم عامل Linux مي­باشند. برخلاف وجود منابع گوناگون و متعدد براي سيستم­هاي مبتني بر UNIX براي پياده­سازي يك ديواره آتش تحت ويندوز منابع چندان زيادي در دست
نمي­باشد و اكثر منابع موجود نيز هزينه­هاي زيادي را براي اجازه استفاده از خود تحميل مي­كنند. همچنين روش استاندارد و مشخصي نيز براي انجام اين كار در ويندوز وجود ندارد.

http://www.l0pht.myblog.ir/More-34.ASPX
+ نوشته شده در  پنجشنبه بیست و چهارم خرداد 1386ساعت 20:18  توسط مهر  | 

درباره هك و هكرها

شايد تا به حال براي شما اتفاق افتاده باشد كه مورد حمله هكرها (hackers) قرار بگيريد.
شايد بارها account هاي اينترنت تان در عرض يك روز خالي شده باشد بدون آنكه خودتان استفاده كرده باشيد.
شايد متوجه شده باشيد كه در yahoo messenger شخص ديگري هم از ID شما استفاده مي كند.


هك چيست و Hacker كيست ؟

hack به زبان ساده و شايد عاميانه ترين تعبير آن دزديده شدن كلمه عبور يك سيستم يا account مي باشد.
به طور كلي نفوذ به هر سيستم امنيتي كامپيوتري را hack مي گويند.
Hacker شخصي است باهوش , فرصت طلب , داراي معلومات بالا با افكار سازنده و مطمئنا با وجدان .
لازم به ذكر است كه از نظر من هكرها با دزدان اينترنتي و يا الكترونيكي فرق دارند. هكرهاي واقعي در ميان خود مرام نامه اي دارند كه همه پايبند به آن مي باشند.
هكر در موقع هك كردن يك سيستم امنيتي هدفش ضربه زدن (چه مادي و چه معنوي) به شخص يا اشخاصي نيست.
او هك مي كند تا معلوماتش را نشان دهد. هك مي كند تا همگان بدانند كه سيستمهاي امنيتي داراي مشكل هستند. هك مي كنند تا نواقص (حفره هاي امنيتي ) اين سيستمها نمايان شوند. اگر هكرها نمي بودند مطمئنا سيستمهاي امنيتي به كاملي سيستمهاي امروزي نمي بود. پس هكرها مفيدند.
در اين ميان افرادي هستند كه با سوء استفاده از معلومات خود و يا ديگران هدفشان از هك كردن ضربه زدن به اشخاص است يا به دنبال پركردن جيب خود مي باشند. از نظر من اين افراد دزداني بيش نيستند.
در اين مقاله منظور من از هكر همان دزد اينترنتي يا الكترونيكي است.

به دليل اينكه نمي خواهم وارد مباحث تخصصي شوم و حتي آنقدر اطلاعاتش را ندارم و البته هيچكدام از ما بانك اينترنتي يا فروشگاه مجازي نيز نداريم , لذا منظور من از هك در اينجا دزديدن كلمه عبور حسابهاي dialUp و yahoo messenger و Hotmail مي باشد كه بسياري از خوانندگان از آنها استفاده مي كنند.


چگونه هك مي شويم ؟!

روزي با هكري صحبت مي كردم و از او پرسيدم رايج ترين و مطمئن ترين روش هك كردن چيست ؟ و او در جواب گفت :رايج ترين روش , ساده ترين روش است. آنروز معني سخنش را نفهميدم. ولي وقتي كمي تحقيق كردم و در دنياي اينترنت هك شدم, متوجه منظورش شدم. يكي از متداول ترين روش هاي هك كردن, حدس زدن password است.

روش رايج ديگر خواندن password از روي دست User به هنگام تايپ آن مي باشد. يا فرستادن صفحه اي مانند صفحه ورودي Hotmail , Yahoo به صورت يك Email كه در آن به ظاهر كاركنان شركت سرويس دهنده از user خواسته اند به منظور اطمينان از صحت سرويس دهي password خود را تايپ كند. كه اين password در همان لحظه براي هكر mail مي شود.
برنامه جالبي وجود دارد كه LOG تمامي حرفهايي كه وارد شده است را ذخيره مي كند. هكر برنامه را اجرا مي كند و بعد از شما مي خواهد كه رمز خود را بزنيد. كليدهاي تايپ شده توسط شما درون يك فايل متني TXT ذخيره مي شود و هكر بعدا به آن رجوع مي كند و رمز شما را كشف مي نمايد.

روش ديگر حدس زدن جواب سوالي است كه شما انتخاب نموده ايد تا در صورت فراموش نمودن رمزتان از شما پرسيده شود. در yahoo استفاده از اين روش سخت است زيرا تاريخ دقيق تولد و آدرس و حتي كد پستي را نيز مي خواهد. ولي در سرويس hotmail به سادگي مي توانيد جواب سوال را حدس بزنيد و رمز را بدست آوريد. و نيز هكر مي تواند به كاركنان hotmail نامه زده و در آن ابراز نمايد كه account اش مورد هك قرار گرفته و درخواست رمز جديد كند كه كاركنان Hotmail از او چند سوال در مورد سن و آخرين دسترسي به account و آخرين رمزي كه به خاطر دارد مي كنند و سپس رمز جديد در اختيار او قرار مي گيرد.
(چند بار از اين روش توانسته ام به رمزها دست يابم) يا براي يافتن رمز account هاي اينترنت, به ISP شما زنگ مي زند و با دادن مشخصات خواستار تغيير رمز مي شود. جالب اينجاست كه در بسياري از موارد منشيان رمز قبلي را نمي پرسند.

اينها همه روشهاي ساده ولي رايج و متداول بودند. روش ديگري كه در اينجا در موردش صحبت مي كنم كمي تخصصي است و هر شخصي نمي تواند از اين روش استفاده كند بلكه بايد معلوماتي در خصوص اينترنت و IP و يك سري نرم افزارها داشته باشد.
در اين روش شخص با فرستادن يك فايل آلوده به ويروس يا Trojan سيستم شما را آلوده مي كند. با اجراي اين فايل , فايل مورد نظر در حافظه جاي مي گيرد و هر زمان كه كامپيوتر روشن شود دوباره در حافظه صدا مي شود. پس با پاك نمودن فايل اوليه مشكل شما حل نمي شود. اين فايل كامپيوتر شما را به عنوان يك Server در مي آورد و يكي از پورت ها را براي استفاده هكر باز مي گذارد. (برخي از اين trojan ها پرتي را باز نمي گذارند بلكه از طريق يك email رمز ها را براي هكر ارسال مي نمايند.) حال هكر مي تواند با پيدا كردن IP شما و اتصال به پورت مورد نظر در زماني كه هم شما Online هستيد هم هكرتان هر كاري با كامپيوتر شما بكند حتي آنرا خاموش كند و رمزهاي موجود در كامپيوتر شما را بدزدد.

البته ارسال فايل گاهي به صورت online نمي باشد. هكر مي تواند اگر با شما آشنايي داشته باشد به پشت كامپيوتر شما بي آيد و فايل مورد نظر را روي آن اجرا كند.
جالب اينجاست كه اغلب ويروس كشها از شناسايي Trojan هاي جديد عاجزند. از همين رو من مدتها گرفتار يكي از آنان بودم.


چه بايد كرد ؟!
چگونه هك نشويم ؟!

روشهاي ساده را به سادگي و با كمي دقت مي توان مسدود كرد. مثلا رمزي انتخاب كنيد كه حدس زدنش كار هر كسي نباشد. شماره تلفن , اسم , فاميل , شماره شناسنامه يا تاريخ توليد و تركيبي از اينها معمولا اولين چيزي است كه به ذهن هر كسي مي رسد. سعي كنيد در رمز انتخابي خود از پرانتز يا كروشه استفاده كنيد يا حتي كاما كه اينها به ذهن هيچ هكري نخواهد رسيد. هنگامي كه رمز خود را وارد مي كنيد مراقب باشيد , كسي نزديكتان نباشد. يا از كليد هاي منحرف كننده استفاده كنيد. مثلا چند كليد الكلي بزنيد و بعد با Backspace پاكش كنيد كه اگر كسي هم ديد , متوجه رمز شما نشود.

پشت كامپيوتر كسي كه به او اطميناني نداريد , رمزي وارد نكنيد. يا اگر مجبوريد, با استفاده از كليد هاي Ctrl+Alt+Del و باز نمودن Task Manager كليه برنامه هاي مشكوك را ببنديد. معمولا اسامي آنها مانند Thief يا Keylogger يا keyl يا هر اسم مشكوك ديگري مي تواند باشد. در موقع ثبت نام در سرويسهاي Hotmail و Yahoo به شما تذكر داده مي شود كه كاركنان شركت سرويس دهنده به هيچ عنوان از طريق Email از شما درخواست Password نمي كنند. پس هيچ گاه از طريق هيچ Email ي رمز خود را وارد نكنيد. از جايي اينترنت تهيه كنيد كه امنيت بيشتري دارد و تجربه كارشان بالاست. زيرا علاوه بر منشيان بي تجربه كه بعضاً رمزها را برباد مي دهند , اگر شبكه (ISP) هك شده باشد , ديگر از دست شما كاري بر نمي آيد و رمز شما و ديگر كاربران در خطر مي باشد.

احتمال حمله با روش تخصصي كه در بالا توضيح دادم به كاربراني كه از سيستمهاي Instant messaging مانند Yahoo messenger يا MSN messenger يا ICQ و ... استفاده مي كنند بيشتر است چون اينگونه برنامه ها به راحتي IP شما را در اختيار هكر قرار مي دهند و همواره يك پورت آزاد را اشغال مي كنند و معمولا به صورت مستقيم با كاربر مقابل در ارتباط هستند. مخصوصا در مواقع ارسال و دريافت فايل. پس اگر مي خواهيد در امان باشيد از اين برنامه ها استفاده نكنيد.
ولي امروزه در ايران اينترنت بدون اينگونه برنامه ها فايده اي ندارد ! پس هيچگونه فايلي را كه از افراد ناشناس فرستاده مي شود , باز نكنيد.
حال اگر كامپيوتر شما از قبل آلوده شده باشد چه بايد كرد ؟!

اگر مطئمن ترين راه را مي خواهيد. كامپيوتر خود را فرمت نموده و دوباره ويندوز را نصب كنيد. زيرا اغلب ويروس كشها قادر به شناسايي يا پاك نمودن بسياري از اين نوع ويروسها نمي باشند. ولي معمولا اين روش به صرفه نيست. كاري كه من براي مبارزه با اين نوع ويروس ها (كه نمي دانم آيا به آن مبتلا هستم يا خير) كردم اين است كه يك ويروس كش جديد نصب نمودم كه هر هفته آنرا Update مي كنم. من Norton Antivirus 2003 را پيشنهاد مي كنم كه خود به صورت اتوماتيك هر 10 روز يكبار به روز مي شود.
حال اگر ويروسي پيدا شد كه ويروس كش من نتوانست آنرا شناسايي كند چه ؟!

همانطور كه گفتم فايلي كه در حافظه شما اجرا مي شود و كامپيوتر شما را به عنوان Server آماده حمله هكر مي كند براي اتصال به اينترنت و فرستادن اطلاعات احتياج به يك پورت آزاد دارد. روشهاي زيادي براي مسدود نمودن پورت هاي آزاد وجود دارد. همواره در ايران رسم است كه مي گويند اينترنت بدون Proxy بهتر است ولي بايد بدانيد كه Proxy نه تنها سرعت كار شما در اينترنت را بالا مي برد بلكه جلوي حمله هكرها را نيز مي گيرد.

روش ديگر استفاده از Firewall مي باشد. امروزه بسياري برنامه هاي كم حجم با عنوان Firewall خانگي وجود دارند.
شما با استفاده از يكي از اين برنامه ها مي توانيد به راحتي هرگونه رد و بدل شدن اطلاعات بين كامپيوتر خود و اينترنت را ببينيد و كنترل نماييد.برنامه اي كه من پيشنهاد مي كنم ZoneAlarm مي باشد. با نصب اين برنامه هرگاه , برنامه اي بخواهد با اينترنت تبادل اطلاعات نمايد ابتدا به شما تذكر مي دهد و شما مي توانيد اگر برنامه مشكوكي بود اجازه فرستادن اطلاعات را از او صلب كنيد. در ضمن هيچ شخص و برنامه اي هم نمي تواند بدون اطلاع شما از بيرون به كامپيوتر شما وصل شود. ويندوز XP از نظر امنيت در شبكه بسيار پيشرفته است و احتمال هك شدنش كمتر است , پيشنهاد مي كنم از اين ويندوز استفاده كنيد.
در آخر بايد بگويم هيچ روشي به صورت 100% شما را ايمن نمي كند. فقط سعي مي كنيم احتمال هك شدنمان را پايين بياوريم

منبع : http://bestlearn.persianblog.com

http://www.iritn.com/?action=show&type=news&id=4981

اشاره :
در حال حاضر سياست كشورهاي جهان بر اين است كه نفوذ و نفوذگري را ممنوع كنند و هر آن چه را كه بوي هك از آن به مشام مي‌رسد محكوم نمايند. اما ميوه ممنوعه وسوسه‌كننده است و اقداماتي كه در جهت بستن دست هكرها صورت مي‌گيرد، غالباً براي خود هكرها مثل مبارزه‌جويي و حريف‌طلبي است. اما در بارسلونِ اسپانيا با پديده هك نوع ديگري برخورد مي‌شود. در اين شهر براي مبارزه با نفوذگري پروژه جديدي طرح شده است.




● ‌مدرسه هكرها
همان دپارتماني در دانشگاه <لاساله> كه برخي از بهترين طراحان بارسلون را فارغ‌التحصيل مي‌كند، متولي تشكيل <دبيرستان هك> نيز شده است. هدف از اين طرح، برخلاف آن چه كه در ابتداي امر به ذهن مي‌رسد، راه‌اندازي يك <كارگاه شيطاني> نبوده، بلكه هدف آگاه‌سازي و آشنا كردن جوانان با يك تابو مدرن امروزي، يعني پديده هك است. به گفته پِت هرتزوگ، مدير اجرايي دبيرستان: <هك چيزي است كه در دنياي واقعي وجود دارد و نمي‌توان آن را كتمان كرد. اما هيچ كس نيامده بگويد اين هك واقعاً چگونه است. همه مي‌گويند صندوق‌پستي شما ممكن است با كرم آلوده شود، يك نفر ممكن است تروجاني را به كامپيوتر شما وارد كند يا مي‌آيند و اطلاعات شما را مي‌دزدند. ولي هيچ كس تا به حال ياد نداده كه اين كارها را چگونه انجام مي‌دهند. همه صرفاً مي‌گويند اين كار غيرقانوني است و هر كس از اين كارها بكند آدم بدي است>.


اين برنامه از طرف ISECOM، مؤسسه امنيت و متدولوژي‌هاي باز (نشاني http://www.isecom.org) تنظيم شده است، يك مؤسسه غيرانتفاعي كه سعي دارد جوانان را با ناهنجارهاي اينترنتي و بدآموزي‌هايي كه از طرف نااهلان ترويج مي‌شود آشنا كند. دانش‌آموزان به نوعي يك دوره دفاع شخصي ديجيتالي مي‌بينند و ياد مي‌گيرند با كلاهبرداري‌هاي اينترنتي چگونه برخورد كنند، دزدان را چگونه تشخيص دهند و در مقابل حملاتي كه به سيستم‌شان مي‌شود چگونه به دفاع بپردازند. پت هرتزوگ ادامه مي‌دهد: <ما به بچه‌ها نشان مي‌دهيم كه اين كارهاي غيرقانوني چگونه انجام مي‌شود و چه اتفاقي در سيستم مي‌افتد. با اين كار، آن‌ها يك درك فني از موضوع به دست مي‌آورند و مي‌فهمند كه چگونه با حملات مقابله كنند>.

يكي از معلمين اين مدرسه مي‌گويد: <دانش‌آموز بايد ياد بگيرد كه وقتي نامه‌اي دريافت مي‌كند چگونه تشخيص بدهد كه اين نامه واقعاً از طرف چه كسي فرستاده شده، آيا محتواي آن راست است يا دروغ. آن‌ها بايد به همه چيز شك داشته باشند و هر چه مي‌بينند زود باور نكنند>.
بديهي است كه براي ياد دادن اين مسائل، به سيستم‌هاي واقعي نفوذ نمي‌كنند، بلكه مسؤولين ISECOM براي آموزش و آزمايش دانش‌آموزان، چهار سرور آزمايشي تهيه كرده‌اند كه دانش‌آموزان كارهاي خود را روي آن‌ها انجام دهند: <اگر بچه‌ها دوست داشته باشند هك كردن را تجربه كنند، ما محيط كنترل‌شده‌اي را در اختيارشان قرار مي‌دهيم تا هر كار دلشان مي‌خواهد انجام دهند. منتها از آن‌ها مي‌خواهيم كه به معلمشان بگويند چه كرده‌اند و از چه راهي وارد شده‌اند. ما مي‌خواهيم نفوذگري سالم را به آن‌ها ياد بدهيم و از آن‌ها هكرهاي بااخلاقي بسازيم كه توانايي‌هاي خود را مي‌دانند و حدود خود را هم مي‌دانند>.
مسؤولين مدرسه معتقدند كه براي اين هكرهاي با اخلاق شغل در بازار بيرون فراوان پيدا مي‌شود، چرا كه يكي از پررونق‌ترين مشاغل در صنعت كامپيوتر همين مشاغل حوزه امنيت است.


‌● متجاوزين فضاي سايبر

در علم حقوق معروف است كه مي‌گويند: اگر 90 درصد چيزي را تصاحب كني، قانوناً مالك آن هستي. اما به نظر مي‌رسد در فضاي سايبر از اين حرف‌ها خبري نيست. وقتي بنيامين كوهن دامنه itunes.co.uk را خريد، فكر مي‌كرد تا هر وقت بخواهد مي‌تواند صاحبش باشد. اما بعدها اپل آمد و سايتي را براي دانلود موسيقي راه انداخت به نام iTunes.com. و از اينجا بود كه موضوع جالب شد.
نام، يكي از ارزشمندترين دارايي‌هاي هر شركت يا شخص است، و از زماني كه سرمايه‌گذاران براي نشاني سايت‌هاي اينترنتي خود شروع به خريد اسامي مشهور كردند، شكايت‌هاي بسياري از سوي اشخاص حقيقي و حقوقي مطرح شد. بسياري از اشخاص يا سازمان‌ها قانوناً موفق شدند كنترل سايت‌هاي هم‌نامِ خودشان را به دست بگيرند، و <متجاوزين فضاي سايبر> را عقب بنشانند. اما اگر كسي اسمي را بخرد كه بعدها مشهور مي‌شود، چه؟ بنيامين كوهن يك جوان 22 ساله است كه در ساختماني در شرق لندن زندگي مي‌كند. اين جوان در اينترنت ناشناس نيست، چرا كه در سن 17 سالگي با راه‌اندازي چندين وب‌سايت مشهور از همين اتاق كوچك خودش، به يك ميليونر <دات‌كام> تبديل شد. و انتظار داشت از iTunes.co.uk هم سود كلاني ببرد.

<شركت من در دوره‌اي كه به غرش دات‌كام معروف شد نزديك به 200 نام دامنه را ثبت كرد، و ما يك سرويس دانلود موسيقي راه انداختيم كه موتور جستجو هم داشت. Itunes.co.uk داشت به عضو مهمي در مجموعه وب‌سايت‌هاي دانلود موسيقي تبديل مي‌شد. آن زمان اصلاً ITunes اپل وجود نداشت>. اين اظهارات بن كوهن بود.
يك سال بعد، شركت بزرگ كامپيوتري اپل iPod، را خلق كرد، و دو سال بعد از آن، در سال 2003، يك وب‌سايت براي دانلود موسيقي به نام iTunes را افتتاح كرد. اپل خيلي زود توانست از طريق اين سايت هزاران آهنگ را در هر روز به فروش برساند. اپل تصميم گرفت با كوهن تماس بگيرد و پيشنهاد خوبي به او بدهد. خود بنيامين مي‌گويد: <آن‌ها گفتند حاضرند پنج‌هزار دلار بابت اين نام به من بدهند، اما من قبول نكردم. گفتند خودت چقدر در نظر داري؟ من گفتم حداقل پنجاه‌هزار تا، چون به نظر ما اين اسم بيشتر از اين‌ها مي‌ارزد>.

اپل عقب ننشست و شكايتي را تنظيم كرد. در حال حاضر، چهار ميليون نام دامنه با پسوند UK وجود دارد، كه تمام آن‌ها از طريق يك شركت خصوصي به نام Nominet ثبت مي‌شوند. همه مي‌توانند با پرداخت 5 دلار از اين دامنه‌ها براي خود ثبت كنند و هر كس زودتر بيايد، دامنه به اسم او ثبت مي‌شود. اين شركت يك نقش مهم ديگر هم دارد و آن اين است كه اگر اختلافي بر سر نام دامنه‌ها در بگيرد، شركت به حل و فصل آن مي‌پردازد. خيلي از اين اختلافات با ميانجيگري Nominet و به طور رايگان رفع مي‌شوند، اما بعضي از آن‌ها كه جدي‌تر هستند (مثل همين مورد اپل) به يك كارشناس مستقل امور حقوقي سپرده مي‌شود تا مورد رسيدگي دقيق‌تر قرار بگيرد. اميلي تايلور، مدير بخش حقوقي اين شركت مي‌گويد: <اكثر اختلافات خيلي زود با پادرمياني ما حل مي‌شوند و به ندرت كار به شكايت حقوقي مي‌كشد>.

اپل حتي به دنبال اين نبوده كه از طريق آدرس انگليسي iTunes به فروش بيشتري برسد، چرا كه كوهن پس از مدت كوتاهي، سرويس دانلود موسيقي را از سايت خود حذف كرده بوده است. اين سايت سال‌ها كار نمي‌كرد، يا گاهي هم كه كار مي‌كرد، بازديدكننده را به سايت ديگري مي‌برد كه كوهن براي فروش يك سري خرت و پرت بر‌پا كرده بود. اما اپل زماني واقعاً نگران شد كه كوهن بازديدكنندگان سايت خود را به Napster هدايت كرد، يعني رقيب اپل. اما وقتي اپل از كوهن خواست كه لينك سايتش را از Napster قطع كند، كوهن پذيرفت و اين كار را كرد.
بعد كوهن به سراغ Napster رفت و پيشنهاد فروش سايتش را به آن‌ها داد: <ما به اين علت اين پيشنهاد را به Napster داديم كه فكر مي‌كرديم يك شركت فعال در زمينه موسيقي به موتور جستجوي سايت ما علاقه‌مند باشد. درست است كه ما از فروش اين سايت به رقيب اپل سود مي‌برديم, ولي اين كار كه غيرقانوني نيست>.
اما Nominet نظر ديگري دارد: <نام دامنه كه مثل ملك و اتومبيل نيست كه از يك دست بخري و از دست ديگر بفروشي. دامنه را مي‌گيري تا از آن استفاده كني. ثبت هر دامنه‌اي يك سري الزامات را به دنبال دارد كه بايد رعايت شوند>.

ماه گذشته، كارشناس مستقل حقوقي Nominet تشخيص داد كه iTunes.co.uk بايد به اپل سپرده شود. اما بن كوهن، اولين نوجوان ميليونر دات‌كام، نه تنها قصد دارد شكايتي را از اپل به دادگاه عالي ببرد، بلكه مي‌خواهد از Nominet سؤال كند كه به چه حقي چنين كاري كرده است. Nominet معتقد است كه تصميمش قانوني و منصفانه است و هفته گذشته كنترل اين نام را به اپل داد. در حال حاضر، اپل از اين آدرس براي عرضه و نمايش iPod و iTunes بهره مي‌گيرد.

http://sub9.persianblog.com/

 
+ نوشته شده در  پنجشنبه بیست و چهارم خرداد 1386ساعت 19:58  توسط مهر  | 

صفحه نخست
پست الکترونیک
آرشیو وبلاگ
عناوین مطالب وبلاگ
نوشته های پیشین
هفته سوم تیر 1386
هفته اوّل تیر 1386
هفته چهارم خرداد 1386
هفته دوم خرداد 1386
هفته اوّل خرداد 1386
هفته چهارم اردیبهشت 1386
هفته سوم اردیبهشت 1386
هفته دوم اردیبهشت 1386
هفته اوّل اردیبهشت 1386
هفته چهارم فروردین 1386
هفته سوم فروردین 1386
هفته دوم فروردین 1386
هفته اوّل فروردین 1386
هفته چهارم اسفند 1385
هفته سوم اسفند 1385
هفته دوم اسفند 1385
هفته اوّل اسفند 1385
هفته چهارم بهمن 1385
هفته سوم بهمن 1385
هفته سوم دی 1385
هفته دوم دی 1378
پیوندها
تحقيق 1
2
3
آهنگ و موزيك 1
آهنگ و موزيك 2
4
5
باغباني
مشروطيت
مشروطيت01
كشورها و آموزش و ...
روانشناسي
مطالب مفيد درباره عكاسي
تحقيق 4

  RSS 

POWERED BY
BLOGFA.COM