پورت کامپیوتر

مقدمه
برای آشنایی با پورت USB لازم است اول عبارت پورت را بشناسیم. پورت، در واقع مبادی ورود و خروج اطلاعات به کامپیوتر است. از طریق پورت می توان دستگاه های خارجی را به کامپیوتر وصل کرد. کامپیوترهای شخصی اولیه IBM با دو پورت (سریال و موازی) عرضه شدند. دستگاه هایی مانند مودم به پورت سریال و پرینترها به پورت موازی وصل می شدند.

شکل ۱) نمایی از پورت USB روی جعبه کامپیوتر و کابل های رابط پورت USB
پورتها نه تنها محلی برای اتصال دستگاه های خارجی به کامپیوتر هستند بلکه سرعت مبادله دیتا را هم بین آنها تعریف می کنند. (برای مطالعه بیشتر دراین مورد به سایر مقالات سایت میکرو رایانه مراجعه نمایید) اینجاست که USB ارزش خود را نشان می دهد. پورت USB بطور متوسط ده بار سریع تر از پورتهای

موازی، دیتا را منتقل می کند و بدیهی است که به مراتب سریعتر از پورت سریال است. معنای این گفته آن است که یک اسکنر یا پرینتر دارای اتصال USB، بسیار سریع تر از اسکنر یا پرینتری است که به پورت موازی وصل شده است. متوسط سرعت انتقال پورت سریال معادل ۱۵۰ کیلوبیت در ثانیه است. این سرعت برای پورت موازی ۱٫۲ مگابیت در ثانیه است در حالی که سرعت انتقال دیتا برای پورت USB معادل ۱۲ مگابیت در ثانیه می باشد که البته بستگی به نوع دستگاه

اتصالی هم دارد. بعضی از دستگاه ها، مخصوصا پرینترها قابلیت اتصال به دو نوع پورت موازی و USB را دارند. برای پیدا کردن پورت USB در کامپیوتر خود به پشت، جلو یا اطراف آن نگاه کنید. USB، پورت کوچکی است که ممکن است کمتر به چشم آید.

 

پويش پورت
پويش يک پورت فرآيندى است که مهاجمان با استفاده از آن قادر به تشخيص وضعيت يک پورت بر روى يک سيستم و يا شبکه مى باشند . مهاحمان با استفاده از ابزارهاى متفاوت ، اقدام به ارسال داده به پورت هاى TCP و UDP نموده و با توجه به پاسخ دريافتى قادر به تشخيص اين موضوع خواهند بود که کدام پورت ها در حال استفاده بوده و از کدام پورت ها استفاده نمى گردد و اصطلاحا” آنان باز مى باشند . مهاجمان در ادامه و بر اساس اطلاعات دريافتى ، بر روى پورت هاى باز متمرکز شده و حملات خود را بر اساس آنان سازماندهى مى نمايند . عملکرد مهاجمان در اين رابطه مشابه سارقانى است که به منظور نيل به اهداف

مخرب خود ( سرقت ) ، درابتدا وضعيت درب ها و پنجره هاى منازل را بررسى نموده تا پس از آگاهى از وضعيت آنان ( باز بودن و يا قفل بودن ) ، سرقت خود را برنامه ريزى نمايند.Transmission Control Protocol) TCP ) و ( UDP ( User Datagram Protocol ، دو پروتکل مهم TCP/IP مى باشند . هر يک از پروتکل هاى فوق مى توانند داراى شماره پورتى بين صفر تا ۶۵،۵۳۵ باشند . بنابراين ما داراى بيش از ۶۵،۰۰۰ درب مى باشيم که مى بايست در رابطه با باز بودن و يا

بستن هر يک از آنان تعيين تکليف نمود ( شبکه اى با بيش از ۶۵،۰۰۰ درب! ) . از ۱۰۲۴ پورت اول TCP به منظور ارائه سرويس هاى استانداردى نظير FTP,HTTP,SMTP و DNS استفاده مى گردد . ( پورت هاى خوش نام ) . به برخى از پورت هاى بالاى ۱۰۲۳ نيز سرويس هاى شناخته شده اى نسبت داده شده است ، ولى اغلب اين پورت ها به منظور استفاده توسط يک برنامه در دسترس مى باشند .
نحوه عملکرد برنامه هاى پويش پورت ها

برنامه هاى پويش پورت ها در ابتدا اقدام به ارسال يک درخواست براى کامپيوتر هدف و بر روى هر يک از پورت ها نموده و در ادامه با توجه به نتايج بدست آمده ، قادر به تشخيص وضعيت يک پورت مى باشند (باز بودن و يا بسته بودن يک پورت ) . در صورتى که اينگونه برنامه ها با اهداف مخرب به خدمت گرفته شوند ، مهاجمان قادر به تشخيص وضعيت پورت ها بر روى يک سيستم و يا شبکه کامپيوترى مى شوند. آنان مى توانند تهاجم خود را بگونه اى برنامه ريزى نمايند که ناشناخته باقى مانده و امکان تشخيص آنان وجود نداشته باشد .

برنامه هاى امنيتى نصب شده بر روى يک شبکه کامپيوترى مى بايست بگونه اى پيکربندى شوند که در صورت تشخيص ايجاد يک ارتباط و پويش مستمر و بدون وقفه مجموعه اى از پورت ها در يک محدوده زمانى خاص توسط يک کامپيوتر ، هشدارهاى لازم را در اختيار مديريت سيستم قرار دهند . مهاجمان به منظور پويش پورت ها از دو روش عمده “آشکار” و يا ” مخفى” ، استفاده مى نمايند . در روش پويش آشکار ، مهاجمان در رابطه با تعداد پورت هائى که قصد بررسى آنان را دارند ، داراى محدوديت خواهند بود ( امکان پويش تمامى ۶۵،۵۳۵ پورت وجود ندارد ) . در پويش مخفى ، مهاجمان از روش هائى نظير ” پويش کند ” استفاده نموده تا احتمال شناسائى آنان کاهش يابد . با پويش پورت ها در يک محدوده زمانى بيشتر ، احتمال تشخيص آنان توسط برنامه هاى امنيتى نصب شده در يک شبکه کامپيوترى کاهش پيدا مى نمايد .

 

برنامه هاى پويش پورت ها با تنظيم فلاگ هاى متفاوت TCP و يا ارسال انواع متفاوتى از بسته هاى اطلاعاتى TCP قادر به ايجاد نتايج متفاوت و تشخيص پورت هاى باز بر اساس روش هاى مختلفى مى باشند . مثلا” يک پويش مبتنى بر SYN با توجه به نتايج بدست آمده اعلام مى نمايد که کدام پورت باز و يا کدام پورت بسته است و يا در يک پويش مبتنى بر FIN بر اساس پاسخى که از پورت هاى بسته دريافت مى نمايد ( پورت هاى باز پاسخى را ارسال نخواهند کرد) وضعيت يک پورت را تشخيص خواهد داد .
نحوه پيشگيرى و حفاظت
مديران شبکه مى توانند با استفاده از امکانات متنوعى که در اين رابطه وجود دارد از پويش پورت ها بر روى شبکه توسط مهاجمان آگاه گردند . مثلا” مى توان تمامى پويش هاى مبتنى بر SYN را ثبت تا در ادامه امکان بررسى دقيق آنان وجود داشته باشد . ( تشخيص ارسال يک بسته اطلاعاتى SYN به پورت هاى باز و يا بسته ) .

به منظور افزايش ايمن سازى کامپيوتر و يا شبکه مورد نظر مى توان خود راسا” اقدام به پويش پورت ها نمود . با استفاده از نرم افزارهائى نظير NMap مى توان محدوده اى از آدرس هاى IP و پورت هاى مورد نظر را بررسى نمود ( شبيه سازى يک تهاجم ) . پس از مشخص شدن وضعيت هر يک از پورت ها مى بايست اقدامات لازم حفاظتى در اين خصوص را انجام داد . در صورتى که به وجود ( باز بودن ) يک پورت نياز نمى باشد ، مى بايست آنان را غير فعال نمود. در صورت ضرورت استفاده از يک پورت ، مى بايست بررسى لازم در خصوص تهديداتى که ممکن است از جانب آن پورت متوجه سيستم و يا شبکه گردد را انجام و با نصب patch هاى مرتبط با آنان امکان سوء استفاده از پورت هاى باز را کاهش داد .

نرم افزارهاى پويش پورت ها
به منظور پويش پورت ها و آگاهى از وضعيت پورت هاى TCP و UDP مى توان از برنامه هاى متعددى استفاده نمود :
Nmap ( يا Network Mapper )
FoundStone Vision

FoundStone FPort
FoundStone ScanLine
FoundStone SuperScan

FireWalls.com Port Scan ( بررسى online وضعيت پورت ها )
TCP/IP چيست؟
TCP/IP استاندارد شبکه¬ى جهانى براى اينترنت است و از همان ابتدا به جاى استفاده از وسايل مخصوص، براى ايجاد و تنظيم ارتباط بين شبکه¬اى به کار مي¬رفت.
در اوايل دهه¬ى ۷۰ تيم طراح TCP/IP اهداف خود را به اين شکل مشخص کرد: “ارتباطات بين شبکه-اى شامل دو بخش اصلى مي¬شود: انتقال سريع پيام و کنترل همه¬جانبه¬ى مکالمات.”
TCP/IP نام خود را از دو تفاهم¬نامه¬ى بااهميت (تفاهم¬نامه¬ى کنترل انتقال Transmission Control Protocol و تفاهم¬نامه¬ى اينترنت Internet Protocol) وام گرفته¬است. TCP/IP در واقع مجموعه¬اى از تفاهم¬نامه¬هاى مختلف مانند HTTP و FTP است که در حوزه¬هاى ديگر داراى اهميت هستند. TCP/IP براى مصرف¬کنندگان واقعى مناسب و بي¬دردسر است.
آغاز TCP/IP
TCP/IP به پروژه¬ى وزارت دفاع آمريکا (براى اطمينان از تداوم ارتباطات نظامى پس از حمله¬ى هسته¬اى) مربوط مي¬شود.
وزارت دفاع آمريکا از دانشگاه استانفورد و مسوولان تفاهم¬نامه براى گسترش اين طرح حمايت خود را اعلام کردند. به اين ترتيب TCP/IP قبل از ورود به بازار عمومى با يونيکس BSD ، به يک استاندارد نظامى تبديل شد.
TCP/IP براى اهداف آموزشى با نسخه¬ى ۴ (اين نسخه هنوز هم متداول است) به بازار آمد. براى کسب اطلاعات بيش¬تر مي¬توانيد به اين آدرس مراجعه کنيد:

www.cs.utexas.edu/users/chris/think/Early_Days_Of_TCP/Introduction

موارد استفاده¬ى TCP/IP
IP به لايه¬ى ۳ مدل شبکه¬اى OSI (که به تحويل، تجزيه و دوباره سوارکردن قطعات مي¬پردازد) مربوط است. TCP (در لايه¬ى چهارم، لايه¬ انتقال) ارتباطات بين دستگاه¬ها را بررسى مي¬کند.

هر دستگاه کاربرد خاصى دارد و به دليل آن¬که TCP/IP در سطوح متوسط به بالاى مدل OSI مورد استفاده قرار مي¬گيرد، ويژگي¬هاى شبکه¬ى زيربنايى اهميت چندانى ندارد.

خدمات TCP/IPاز يك مدل مشترى- سرور استفاده مي-کنند که در اين مدل ميزبان، داده¬ها و اطلاعات را در ازاى تقاضاى مشتريان، مانند مرورگرهاى وب فراهم مي¬کند.

ويژگي¬هاى بارز TCP/IP
TCP/IP از استانداردهاى نامحدود و غير اختصاصى استفاده مي¬کند و مي¬تواند هر نوع فناورى شبکه-اى، عمومى يا خصوصى، LAN( local area network)، WAN( Wide area net work) يا بدون سيم ارتباط برقرار کند. با وجود پيش‌رفت¬هاى روزافزون فناورى ارتباطات اينترنتى کنونى به طور كامل به الگوهاى سال ۱۹۷۰ شباهت دارند.

چگونه مي¬توانيم کار با TCP/IP را ياد بگيريم.

فقط يک روز براى آموختن دستورالعمل¬ها وقت لازم است و مي¬توانيد در کم¬تر از ۳ روز آموزش¬هاى عملى مربوط را تکميل کنيد.
موارد استفاده¬ى TCP/IP
در انتقال داده¬ها و شبکه¬هاى صوتى

TCP/IP در چه سيستمى اجرا مي¬شود؟
به طور تقريبى در تمام شبکه¬هاى گسترده، بدون سيم و محلى (بدون توجه به تامين¬کننده)عده¬ى کمى از مردم مي¬دانند: TCP/IP به دليل ويژگي¬هاى ياد شده پديده¬اى بدون مرز نام گرفته¬ است. مسير طى شده توسط هر پيام با مسير پيام¬هاى ديگر فرستاده شده از دو دستگاه مشابه ارتباطى ندارد.
چه تحولاتى در اين زمينه در جريان است؟
نسخه¬ى شماره¬ى ۶ IP تحت عنوان آينده¬ى اينترنت به بازار معرفى شده است.

قيمت TCP/IP
حقوق افراد با مهارت¬هاى TCP/IP به دليل تنوع حوزه¬ى فعاليت، بسيار متفاوت است و انتظار مي-رود در آينده¬اى نزديک اين ميزان به بيش¬ترين حد در محدوده¬ى شغل¬هاى مشابه برسد.
آموزش
آموزش¬هاى مورد نظر را مي¬توانيد از تامين-کنندگان تجهيزات شبکه و آموزشگاه¬هاى مستقل فرابگيريد. دوره‌هاى آموزشى وب در اين زمينه، قديمى اما قابل استفاده هستند. مي¬توانيد به اين آدرس¬ها مراجعه کنيد:
امنيت تجهيزات شبكه

براي تامين امنيت بر روي يك شبكه، يكي از بحراني ترين و خطيرترين مراحل، تامين امنيت دسترسي و كنترل تجهيزات شبكه است. تجهيزاتي همچون مسيرياب، سوئيچ يا ديوارهاي آتش. اهميت امنيت تجهيزات به دو علت اهميت ويژه‌اي مي‌يابد :
الف – عدم وجود امنيت تجهيزات در شبكه به نفوذگران به شبكه اجازه مي‌دهد كه‌ با دستيابي به تجهيزات امكان پيكربندي آنها را به گونه‌اي كه تمايل دارند آن سخت‌افزارها عمل كنند، داشته باشند. از اين طريق هرگونه نفوذ و سرقت اطلاعات و يا هر نوع صدمه ديگري به شبكه، توسط نفوذگر، امكان‌پذير خواهد شد.

ب – براي جلوگيري از خطرهاي DoS (Denial of Service) تأمين امنيت تجهزات بر روي شبكه الزامي است. توسط اين حمله‌ها نفوذگران مي‌توانند سرويس‌هايي را در شبكه از كار بياندازند كه از اين طريق در برخي موارد امكان دسترسي به اطلاعات با دور زدن هر يك از فرايندهاي AAA فراهم مي‌شود.
در اين بخش اصول اوليه امنيت تجهيزات مورد بررسي اجمالي قرار مي‌گيرد. عناوين برخي از اين موضوعات به شرح زير هستند :
– امنيت فيزيكي و تأثير آن بر امنيت كلي شبكه

– امنيت تجهيزات شبكه در سطوح منطقي
– بالابردن امنيت تجهيزات توسط افزونگي در سرويس‌ها و سخت‌افزارها

موضوعات فوق در قالب دو جنبه اصلي امنيت تجهيزات مورد بررسي قرار مي‌گيرند :
– امنيت فيزيكي
– امنيت منطقي
۱- امنيت فيزيكي
امنيت فيزيكي بازه‌ وسيعي از تدابير را در بر مي‌گيرد كه استقرار تجهيزات در مكان‌هاي امن و به دور از خطر حملات نفوذگران و استفاده از افزونگي در سيستم از آن جمله‌اند. با استفاده از افزونگي، اطمينان از صحت عملكرد سيستم در صورت ايجاد و رخداد نقص در يكي از تجهيزات (كه توسط عملكرد مشابه سخت‌افزار و يا سرويس‌دهنده مشابه جايگزين مي‌شود) بدست مي‌آيد.

در بررسي امنيت فيزيكي و اعمال آن،‌ ابتدا بايد به خطر‌هايي كه از اين طريق تجهزات شبكه را تهديد مي‌كنند نگاهي داشته باشيم. پس از شناخت نسبتاً كامل اين خطرها و حمله‌ها مي‌توان به راه‌حل‌ها و ترفند‌هاي دفاعي در برار اين‌گونه حملات پرداخت.
۱-۱- افزونگي در محل استقرار شبكه
يكي از راه‌كارها در قالب ايجاد افزونگي در شبكه‌هاي كامپيوتري، ايجاد سيستمي كامل،‌ مشابه شبكه‌ي اوليه‌ي در حال كار است. در اين راستا، شبكه‌ي ثانويه‌ي، كاملاً مشابه شبكه‌ي اوليه، چه از بعد تجهيزات و چه از بعد كاركرد،‌ در محلي كه مي‌تواند از نظر جغرافيايي با شبكه‌ي اول فاصله‌اي نه چندان كوتاه نيز داشته باشد برقرار مي‌شود. با استفاده از اين دو سيستم مشابه، علاوه بر آنكه در صورت رخداد وقايعي كه كاركرد هريك از اين دو شبكه را به طور كامل مختل مي‌كند (مانند زلزله) مي‌توان از شبكه‌ي ديگر به طور كاملاً جايگزين استفاده كرد، در استفاده‌هاي روزمره نيز در صورت ايجاد ترافيك سنگين بر روي شبكه، حجم ترافيك و پردازش بر روي دو شبكه‌ي مشابه پخش مي‌شود تا زمان پاسخ به حداقل ممكن برسد.
با وجود آنكه استفاده از اين روش در شبكه‌هاي معمول كه حجم جنداني ندارند، به دليل هزينه‌هاي تحميلي بالا، امكان‌پذير و اقتصادي به نظر نمي‌رسد، ولي در شبكه‌هاي با حجم بالا كه قابليت اطمينان و امنيت در آنها از اصول اوليه به حساب مي‌آيند از الزامات است.

۱-۲- توپولوژي شبكه
طراحي توپولوژيكي شبكه،‌ يكي از عوامل اصلي است كه در زمان رخداد حملات فيزيكي مي‌تواند از خطاي كلي شبكه جلوگيري كند.
در اين مقوله،‌ سه طراحي كه معمول هستند مورد بررسي قرار مي‌گيرند :
الف – طراحي سري : در اين طراحي با قطع خط تماس ميان دو نقطه در شبكه، كليه سيستم به دو تكه منفصل تبديل شده و امكان سرويس دهي از هريك از اين دو ناحيه به ناحيه ديگر امكان پذير نخواهد بود.

ب – طراحي ستاره‌اي : در اين طراحي، در صورت رخداد حمله فيزيكي و قطع اتصال يك نقطه از خادم اصلي، سرويس‌دهي به ديگر نقاط دچار اختلال نمي‌گردد. با اين وجود از آنجاييكه خادم اصلي در اين ميان نقش محوري دارد، در صورت اختلال در كارايي اين نقطه مركزي،‌ كه مي‌تواند بر اثر حمله فيزيكي به آن رخ دهد، ارتباط كل شبكه دچار اختلال مي‌شود، هرچند كه با درنظر گرفتن افزونگي براي خادم اصلي از احتمال چنين حالتي كاسته مي‌شود.
ج – طراحي مش : در اين طراحي كه تمامي نقاط ارتباطي با ديگر نقاط در ارتباط هستند، هرگونه اختلال فيزيكي در سطوح دسترسي منجر به اختلال عملكرد شبكه نخواهد شد،‌ با وجود آنكه زمان‌بندي سرويس‌دهي را دچار اختلال خواهد كرد. پياده‌سازي چنين روش با وجود امنيت بالا، به دليل محدوديت‌هاي اقتصادي،‌ تنها در موارد خاص و بحراني انجام مي‌گيرد.

 

۱-۳- محل‌هاي امن براي تجهيزات
در تعيين يك محل امن براي تجهيزات دو نكته مورد توجه قرار مي‌گيرد :
– يافتن مكاني كه به اندازه كافي از ديگر نقاط مجموعه متمايز باشد، به گونه‌اي كه هرگونه نفوذ در محل آشكار باشد.
– در نظر داشتن محلي كه در داخل ساختمان يا مجموعه‌اي بزرگتر قرار گرفته است تا تدابير امنيتي بكارگرفته شده براي امن سازي مجموعه‌ي بزرگتر را بتوان براي امن سازي محل اختيار شده نيز به كار گرفت.

با اين وجود، در انتخاب محل، ميان محلي كه كاملاً جدا باشد (كه نسبتاً پرهزينه خواهد بود) و مكاني كه درون محلي نسبتاً عمومي قرار دارد و از مكان‌هاي بلااستفاده سود برده است (‌كه باعث ايجاد خطرهاي امنيتي مي‌گردد)،‌ مي‌توان اعتدالي منطقي را در نظر داشت.
در مجموع مي‌توان اصول زير را براي تضمين نسبي امنيت فيزيكي تجهيزات در نظر داشت :

– محدود سازي دسترسي به تجهيزات شبكه با استفاده از قفل‌ها و مكانيزم‌هاي دسترسي ديجيتالي به همراه ثبت زمان‌ها، مكان‌ها و كدهاي كاربري دسترسي‌هاي انجام شده. – استفاده از دوربين‌هاي پايش در ورودي محل‌هاي استقرار تجهيزات شبكه و اتاق‌هاي اتصالات و مراكز پايگاه‌هاي داده.

– اعمال ترفند‌هايي براي اطمينان از رعايت اصول امنيتي.
۱-۴- انتخاب لايه كانال ارتباطي امن
با وجود آنكه زمان حمله‌ي فيزيكي به شبكه‌هاي كامپيوتري، آنگونه كه در قديم شايع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روي به دست گرفتن كنترل يكي از خادم‌ها و سرويس‌دهنده‌هاي مورد اطمينان شبكه معطوف شده است،‌ ولي گونه‌اي از حمله‌ي فيزيكي كماكان داراي خطري بحراني است.
عمل شنود بر روي سيم‌هاي مسي،‌ چه در انواع Coax و چه در زوج‌هاي تابيده، هم‌اكنون نيز از راه‌هاي نفوذ به شمار مي‌آيند. با استفاده از شنود مي‌توان

اطلاعات بدست آمده از تلاش‌هاي ديگر براي نفوذ در سيستم‌هاي كامپيوتري را گسترش داد و به جمع‌بندي مناسبي براي حمله رسيد. هرچند كه مي‌توان سيم‌ها را نيز به گونه‌اي مورد محافظت قرار داد تا كمترين احتمال براي شنود و يا حتي تخريب فيزيكي وجود داشته باشد، ولي در حال حاضر، امن ترين روش ارتباطي در لايه‌ي فيزيكي، استفاده از فيبرهاي نوري است. در اين روش به دليل نبود سيگنال‌هاي الكتريكي، هيچگونه تشعشعي از نوع الكترومغناطيسي وجود ندارد، لذا امكان استفاده از روش‌هاي معمول شنود به پايين‌ترين حد خود نسبت به استفاده از سيم در ارتباطات مي‌شود.

۱-۵- منابع تغذيه
از آنجاكه داده‌هاي شناور در شبكه به منزله‌ي خون در رگهاي ارتباطي شبكه هستند و جريان آنها بدون وجود منابع تغذيه، كه با فعال نگاه‌داشتن نقاط شبكه موجب برقراري اين جريان هستند، غير ممكن است، لذا چگونگي چينش و نوع منابع تغذيه و قدرت آنها نقش به سزايي در اين ميان بازي مي‌كنند. در اين مقوله توجه به دو نكته زير از بالاترين اهميت برخوردار است :

– طراحي صحيح منابع تغذيه در شبكه بر اساس محل استقرار تجهيزات شبكه‌. اين طراحي بايد به گونه‌اي باشد كه تمامي تجهيزات فعال شبكه، برق مورد نياز خود را بدون آنكه به شبكه‌ي تامين فشار بيش‌اندازه‌اي (كه باعث ايجاد اختلال در عملكرد منابع تغذيه شود) وارد شود، بدست آورند.
– وجود منبع يا منابع تغذيه پشتيبان به گونه‌اي كه تعداد و يا نيروي پشتيباني آنها به نحوي باشد كه نه تنها براي تغذيه كل شبكه در مواقع نياز به منابع تغذيه پشتيبان كفايت كند، بلكه امكان تامين افزونگي مورد نياز براي تعدادي از تجهيزات بحراني درون شبكه را به صورت منفرد فراهم كند.

۱-۶- عوامل محيطي
يكي از نكات بسيار مهم در امن سازي فيزيكي تجهيزات و منابع شبكه، امنيت در برار عوامل محيطي است. نفوذگران در برخي از موارد با تاثيرگذاري بر روي اين عوامل، باعث ايجاد اختلال در عملكرد شبكه مي‌شوند. از مهمترين عواملي در هنگام بررسي امنيتي يك شبكه رايانه‌اي بايد در نظر گرفت مي‌توان به دو عامل زير اشاره كرد :

– احتمال حريق (كه عموماً غير طبيعي است و منشآ انساني دارد)
– زلزله، طوفان و ديگر بلاياي طبيعي

با وجود آنكه احتمال رخداد برخي از اين عوامل، مانند حريق، را مي‌توان تا حدود زيادي محدود نمود، ولي تنها راه حل عملي و قطعي براي مقابله با چنين وقايعي،‌ با هدف جلوگيري در اختلال كلي در عملكرد شبكه، وجود يك سيستم كامل پشتيبان براي كل شبكه است. تنها با استفاده از چنين سيستم پشتيباني است كه مي‌توان از عدم اختلال در شبكه در صورت بروز چنين وقعايعي اطمينان حاصل كرد.
۲- امنيت منطقي

امنيت منطقي به معناي استفاده از روش‌هايي براي پايين آوردن خطرات حملات منطقي و نرم‌افزاري بر ضد تجهيزات شبكه است. براي مثال حمله به مسيرياب‌ها و سوئيچ‌هاي شبكه بخش مهمي از اين گونه حملات را تشكيل مي‌‌دهند. در اين بخش به عوامل و مواردي كه در اينگونه حملات و ضد حملات مورد نظر قرار مي‌گيرند مي‌پردازيم.

۲-۱- امنيت مسيرياب‌ها
حملات ضد امنيتي منطقي براي مسيرياب‌ها و ديگر تجهيزات فعال شبكه، مانند سوئيچ‌ها، را مي‌توان به سه دسته‌ي اصلي تقسيم نمود :
– حمله براي غيرفعال سازي كامل
– حمله به قصد دستيابي به سطح كنترل
– حمله براي ايجاد نقص در سرويس‌دهي
طبيعي است كه راه‌ها و نكاتي كه در اين زمينه ذكر مي‌شوند مستقيماً به امنيت اين عناصر به تنهايي مربوط بوده و از امنيت ديگر مسيرهاي ولو مرتبط با اين تجهيزات منفك هستند. لذا تأمين امنيت تجهيزات فعال شبكه به معناي تآمين قطعي امنيت كلي شبكه نيست، هرچند كه عملاً مهمترين جنبه‌ي آنرا تشكيل مي‌دهد.

۲-۲- مديريت پيكربندي
يكي از مهمترين نكات در امينت تجهيزات، نگاهداري نسخ پشتيبان از پرونده‌ها مختص پيكربندي است. از اين پرونده‌ها كه در حافظه‌هاي گوناگون اين تجهيزات نگاهداري مي‌شوند،‌ مي‌توان در فواصل زماني مرتب يا تصادفي، و يا زماني كه پيكربندي تجهيزات تغيير مي‌يابند، نسخه پشتيبان تهيه كرد.
با وجود نسخ پشتيبان،‌ منطبق با آخرين تغييرات اعمال شده در تجهيزات، در هنگام رخداد اختلال در كارايي تجهزات، كه مي‌تواند منجر به ايجاد اختلال در كل شبكه شود، در كوتاه‌ترين زمان ممكن مي‌توان با جايگزيني آخرين پيكربندي، وضعيت فعال شبكه را به آخرين حالت بي‌نقص پيش از اختلال بازگرداند. طبيعي است كه در صورت بروز حملات عليه بيش از يك سخت‌افزار، بايد پيكربندي تمامي تجهيزات تغييريافته را بازيابي نمود.
نرم‌افزارهاي خاصي براي هر دسته از تجهيزات مورد استفاده وجود دارند كه قابليت تهيه نسخ پشتيبان را فاصله‌هاي ز

ماني متغير دارا مي‌باشند. با استفاده از اين نرم‌افزارها احتمال حملاتي كه به سبب تآخير در ايجاد پشتيبان بر اثر تعلل عوامل انساني پديد مي‌آيد به كمترين حد ممكن مي‌رسد.
۲-۳- كنترل دسترسي به تجهيزات
دو راه اصلي براي كنترل تجهزات فعال وجود دارد :
– كنترل از راه دور
– كنترل از طريق درگاه كنسول
در روش اول مي‌توان با اعمال محدوديت در امكان پيكربندي و دسترسي به تجهيزات از آدرس‌هايي خاص يا استاندارها و پروتكل‌هاي خاص، احتمال حملات را پايين آورد.
در مورد روش دوم، با وجود آنكه به نظر مي‌رسد استفاده از چنين درگاهي نياز به دسترسي فيزكي مستقيم به تجهيزات دارد، ولي دو روش معمول براي دسترسي به تجهيزات فعال بدون داشتن دسترسي مستقيم وجود دارد. لذا در صورت عدم كنترل اين نوع دسترسي، ايجاد محدوديت‌ها در روش اول عملاً امنيت تجهيزات را تآمين نمي‌كند.

براي ايجاد امنيت در روش دوم بايد از عدم اتصال مجازي درگاه كنسول به هريك از تجهيزات داخلي مسيرياب، كه امكان دسترسي از راه‌دور دارند، اطمينان حاصل نمود.
۲-۴- امن سازي دسترسي
علاوه بر پيكربندي تجهيزات براي استفاده از Authentication، يكي ديگر از روش‌هاي معمول امن‌سازي دسترسي، استفاده از كانال رمز شده در حين ارتباط است. يكي از ابزار معمول در اين روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز كرده و احتمال شنود و تغيير در ارتباط كه از معمول‌ترين روش‌هاي حمله هستند را به حداقل مي‌رساند.
از ديگر روش‌هاي معمول مي‌توان به استفاده از كانال‌هاي VPN مبتني بر IPsec اشاره نمود. اين روش نسبت به روش استفاده از SSH روشي با قابليت اطمينان بالاتر است، به گونه‌اي كه اغلب توليدكنندگان تجهيزات فعال شبكه، خصوصاً توليد كنندگان مسيرياب‌ها،‌ اين روش را مرجح مي‌دانند.
۲-۵- مديريت رمزهاي عبور
مناسب‌ترين محل براي ذخيره رمزهاي عبور بر روي خادم Authentication است. هرچند كه در بسياري از موارد لازم است كه بسياري از اين رموز بر روي خود سخت‌افزار نگاه‌داري شوند. در اين صورت مهم‌ترين نكته به ياد داشتن فعال كردن سيستم رمزنگاري رموز بر روي مسيرياب يا ديگر سخت‌افزارهاي مشابه است.

۳- ملزومات و مشكلات امنيتي ارائه دهندگان خدمات
زماني كه سخن از ارائه دهندگان خدمات و ملزومات امنيتي آنها به ميان مي‌آيد، مقصود شبكه‌هاي بزرگي است كه خود به شبكه‌هاي رايانه‌اي كوچكتر خدماتي ارائه مي‌دهند. به عبارت ديگر اين شبكه‌هاي بزرگ هستند كه با پيوستن به يكديگر، عملاً شبكه‌ي جهاني اينترنت كنوني را شكل مي‌دهند. با وجود آنكه غالب اصول امنيتي در شبكه‌هاي كوچكتر رعايت مي‌شود، ولي با توجه به حساسيت انتقال داده در اين اندازه، ملزومات امنيتي خاصي براي اين قبيل شبكه‌ها مطرح هستند.
۳-۱- قابليت‌هاي امنيتي
ملزومات مذكور را مي‌توان، تنها با ذكر عناوين، به شرح زير فهرست نمود :
? – قابليت بازداري از حمله و اعمال تدابير صحيح براي دفع حملات
? – وجود امكان بررسي ترافيك شبكه، با هدف تشخيص بسته‌هايي كه به قصد حمله بر روي شبكه ارسال مي‌شوند. از آنجاييكه شبكه‌هاي بزرگتر نقطه تلاقي مسيرهاي متعدد ترافيك بر روي شبكه هستند، با استفاده از سيستم‌هاي IDS بر روي آنها، مي‌توان به بالاترين بخت براي تشخيص حملات دست يافت.
? – قابليت تشخيص منبع حملات. با وجود آنكه راه‌هايي از قبيل سرقت آدرس و استفاده از سيستم‌هاي ديگر از راه دور، براي حمله كننده و نفوذگر، وجود دارند كه تشخيص منبع اصلي حمله را دشوار مي‌نمايند، ولي استفاده از سيستم‌هاي رديابي، كمك شاياني براي دست يافتن و يا محدود ساختن بازه‌ي مشكوك به وجود منبع اصلي مي‌نمايد. بيشترين تآثير اين مكانيزم زماني است كه حملاتي از نوع DoS از سوي نفوذگران انجام مي‌گردد.
۳-۲- مشكلات اعمال ملزومات امنيتي

با وجود لزوم وجود قابليت‌هايي كه بطور اجمالي مورد اشاره قرار گرفتند، پياده‌سازي و اعمال آنها همواره آسان نيست.
يكي از معمول‌ترين مشكلات،‌ پياده‌سازي IDS است. خطر يا ترافيكي كه براي يك دسته از كاربران به عنوان حمله تعبير مي‌شود، براي دسته‌اي ديگر به عنوان جريان عادي داده است. لذا تشخيص اين دو جريان از يكديگر بر پيچيدگي IDS افزوده و در اولين گام از كارايي و سرعت پردازش ترافيك و بسته‌هاي اطلاعاتي خواهد كاست. براي جبران اين كاهش سرعت تنها مي‌توان متوسل به تجهيزات گران‌تر و اعمال سياست‌هاي امنيتي پيچيده‌تر شد.

با اين وجود،‌ با هرچه بيشتر حساس شدن ترافيك و جريان‌هاي داده و افزايش كاربران، و مهاجرت كاربردهاي متداول بر روي شبكه‌هاي كوچكي كه خود به شبكه‌هاي بزرگتر ارائه دهنده خدمات متصل هستند، تضمين امنيت، از اولين انتظاراتي است كه از اينگونه شبكه‌ها مي‌توان داشت.

دو شاخص مهم شبکه : پهناى باند و ميزان تاخير
پهناى باند از جمله واژه هاى متداول در دنياى شبکه هاى کامپيوترى است که به نرخ انتقال داده توسط يک اتصال شبکه و يا يک اينترفيس ، اشاره مى نمايد . اين واژه از رشته مهندسى برق اقتباس شده است . در اين شاخه از علوم ، پهناى باند نشان دهنده مجموع فاصله و يا محدوده بين بالاترين و پائين ترين سيگنال بر روى کانال هاى مخابرانى ( باند ) ، است. به منظور سنجش اندازه پهناى باند از واحد ” تعداد بايت در ثانيه ” و يا bps استفاده مى شود .
پهناى باند تنها عامل تعيين کننده سرعت يک شبکه از زاويه کاربران نبوده و يکى ديگر از عناصر تاثيرگذار ، “ميزان تاخير” در يک شبکه است که مى تواند برنامه هاى متعددى را که بر روى شبکه اجراء مى گردند، تحت تاثير قرار دهد .

پهناى باند چيست ؟
توليد کنندگان تجهيزات سخت افزارى شبکه در زمان ارائه محصولات خود تبليغات زيادى را در ارتباط با پهناى باند ، انجام مى دهند . اکثر کاربران اينترنت نسبت به ميزان پهناى باند مودم خود و يا سرويس اينترنت braodband داراى آگاهى لازم مى باشند.پهناى باند، ظرفيت اتصال ايجاد شده را مشخص نموده و بديهى است که هر اندازه ظرفيت فوق بيشتر باشد ، امکان دستيابى به منابع شبکه با سرعت بيشترى فراهم مى گردد . پهناى باند ، ظرفيت تئورى و يا عملى يک

اتصال شبکه و يا يک اينترفيس را مشخص نموده که در عمل ممکن است با يکديگر متفاوت باشند . مثلا” يک مودم V.90 پهناى باندى معادل ۵۶ kbps را در حالت سقف پهناى باند حمايت مى نمايد ولى با توجه به محدوديت هاى خطوط تلفن و ساير عوامل موجود، عملا” امکان رسيدن به محدوده فوق وجود نخواهد داشت . يک شبکه اترنت سريع نيز از لحاظ تئورى قادر به حمايت پهناى باندى معادل ۱۰۰Mbps است ، ولى عملا” اين وضعيت در عمل محقق نخواهد شد ( تفاوت ظرفيت تئورى پهناى باند با ظرفيت واقعى ) .

پهناى باند بالا و broadband
در برخى موارد واژه هاى “پهناى باند بالا” و ” braodband ” به جاى يکديگر استفاده مى گردند . کارشناسان شبکه در برخى موارد از واژه “پهناى باند بالا ” به منظور مشخص نمودن سرعت بالاى اتصال به اينترنت استفاده مى نمايند . در اين رابطه تعاريف متفاوتى وجود دارد . اين نوع اتصالات، پهناى باندى بين ۶۴Kbps تا ۳۰۰kbps و يا بيشتر را ارائه مى نمايند . پهناى باند بالا با broadband متفاوت است . broadband ، نشاندهنده روش استفاده شده به منظور ايجاد يک ارتباط است در صورتى که پهناى باند ، نرخ انتقال داده از طريق محيط انتقال را نشان مى دهد .