گزارش کار اموزی توسعه و ارتقاء شبكه ارتباطي ساختمان هاي شماره ۱ و ۲ استانداري خراسان رضوي

مقدمه :
با گسترش روز افزون استفاده از تكنولوژي اطلاعات براي انجام امور ، استفاده از رايانه و شبكه هاي رايانه اي به عنوان زير ساخت اين امر اهميت بيشتري يافته است .شبكه هاي كامپيوتري به عنوان يكي از مهمترين زيرساختهاي تحقق دولت الكترونيك در يك سازمان از اهميت بسزايي برخوردار است كه با توجه به پيشرفت سريع تكنولوژي لزوم بازنگري مداوم شبكه در بازه هاي مشخص زماني بيش از پيش احساس مي شود .

شبكه رايانه اي استانداري خراسان رضوي بصورت تدريجي از سال ۱۳۷۸ نصب و توسعه يافته است . محور اصلي اين شبكه ساختمان جديد برج استانداري خراسان بود كه اولين شبكه محلي بزرگ استانداري در اين ساختمان بصورت توكار نصب و راه اندازي شد . تجهيزات Active مورد استفاده درآن زمان تجهيزات Accton بوده است .

در طرح توسعه بعدي تمامي ساختمان هاي استانداري تحت پوشش شبكه رايانه اي قرار گرفته و به يكديگر متصل شده اند . در توسعه شبكه از تجهيزات Cisco استفاده شده است .

طرح حاضر با توجه نياز به ارتقاء و توسعه شبكه استانداري و ساختمان هاي تابعه تهيه شده و مشتمل بر چهار بخش اهداف ، وضع موجود و چالشها ، وضع مطلوب و مزيتها و تجهيزات و هزينه ( فاز اول و دوم ) مي باشد .

نحوه طراحي و اجرا بر مبناي اصول كابل كشي ساخت يافته

طراحي :
شبكه هاي كامپوتري بايد مدل سه لايه داشته باشند . شبمه هايي كه داراي سوئيچ هاي تماماً تك لايه اند ، غير استاندارد هستند و پياده سازي Routing و VLAN در آنها دشوار است .

كابل كشي ساخت يافته ، استانداردي براي اجراي درست يك پروژه شبكه كامپيوتري است كه بر پايه ي آن چگونگي همبندي كابلها ، خم ها ، فواصل ، اجزاي شبكه و … مشخص مي شود . اجراي يك پروژه بر پايه ي اصول كابل كشي به شكل ساخت يافته ، تضمين كننده سلامت اتصالات و در نتيجه بستر فيزيكي مناسب است .

بستر فيزيكي و Back bone
اصول علمي :
بستر فيزيكي يك شبكه كامپيوتري ، خواه مبتني بر باسيم و يا بي سيم ، بايد از قابليت اطمينان و سرعت و پهناي باند مناسب برخوردار باشد . ( تمام كابلها و سوئيچ هاي در نظر گرفته شده همگي داراي سرعت ۱۰۰۰Mb/s مي باشند )

بستر اصلي شبكه يا Backbone رسانه اي است كه تجهيزات فعال شبكه را به يكديگر پيوند مي دهد و امكان انتقال اطلاعات ميان آنها را فراهم مي آورد . پهناي باند اين بستر دست كم ۱۰ برابر پهناي باندي است كه براي نقاط دسترسي فرهم است . در اين ساختار ، تمام سوئيچ ها ، روترها و سرورهاي شبكه با پهناي باند بالاتري با اين بستر ارتباط دارند . ( در طرح ارائه شده ارتباط بين سوئيچ ها كه جزئي از Backbone مي باشد ۱۰Gb/s در نظر گرفته شده است و از كابل فيبر نوري بدين منظور استفاده مي شود )

اهداف :
 دستيابي به اهداف دولت الكترونيك
 افزايش بهره وري از VPN

 صرفه جويي در هزينه هاي جاري سازمان
 استفاده بهينه از تجهيزات و امكانات
 توسعه و ارتقاء شبكه ارتباطي ساختمان هاي شماره ۱ و ۲

وضع موجود و چالشها

وضع موجود :
بستر فيزيكي شبكه LAN در ساختمان شماره ۲ مبتني بر فيبر نوري با سرعت ۱Gb/s مي باشد . در ساختمان شماره ۱ كابل كشي موجود در داخل طبقات مبتني بر CAT5 با سرعت حداكثر ۱۰۰Mb/s و ارتباط بين طبقات مبتني بر CAT6 مي باشد كه با افزايش ارتباطات شبكه ( VPN وزارت كشور ، استانداريها ، فرمانداريها و بخشداريها ) ارتباط با ساختمان شماره ۲ ، پياده سازس نرم افزارهاي كاربردي ( سيستم اتوماسيون اداري ، MIS معاونت پشتيباني و توسعه

منابع انساني ) ، نرم افزار هاي انتخابات و … پاسخگوي نيازهاي آتي نخواهد بود . در اين خصوص ارتقاء اين بستر به سرعت ۱Gb/s با بستر فيبر نوري ضروري است . ميزان تقريبي فيبر نوري مورد نياز ۳۰۰۰ متر است . همچنين جهت استقرار Backbone شبكه با سرعت ۱Gb/s نياز به خريداري Manageable با امكانات VLAN و … مي باشد . ارتباط بين ساختمان شماره ۱ و ۲ با تكنولوژي Wireless و يا ارتباط VPN ( خط ديتا / فيبر نوري ترجيحاً ) نيز نيازمند برقراري ارتباز ديتا ، خريد پهناي باند مناسب ( حداقل ۱۰۰Mb/s با هزينه ساليانه ۴۰ ميليون تومان ) ، خريد روتر ، مودم و … ميباشد .

چالشها :
۱٫ نياز به ارتقاء سرورها
۲٫ تجهيزات پشتيبان گيري
۳٫ مخاطرات امنيتي و نياز به بازنگري مستمر آن
۴٫ مديريت ، نظارت و سنجش دائمي شبكه

وضع مطلوب و مزيت ها

ارتقاء سرور ، خريد سرور مناسب و تجهيزات پشتيبان گيري :
سرور در واقع مركزر اطلاعات هر سازماني است و ايشتگاه هاي كاري ديگر به آن مرتبط شده و از اطلاعات و سرويس هاي آن بهره مي برند . جهت تهيه سروري مناسب ابتدا بايد نوع كاربري ، تعداد كاربران مرتبط با آن و نوع نرم افزارهاي كاربردي روي آن مشخص شوند و پس از آن اقدام به تهيه سرور با سخت افزاري متناسب با نياز نمود . داشتن پشتيبان در قطعات از شرايط ديگر يك سرور خوب است . به عنوان مثال داشتن دو پردازنده يا دو پاور با قابليت تأمين توان كافي و يا چند ديسك سخت جهت راه اندازي Raid نرم افزاري يا سخت افزاري از مزيت هاي يك سرور استاندارد مي باشد . داشتن امكانات كافي تهيه نسخه پشتيبان از اطلاعات نظير Tape Backup Driver و يا حتي يك دستگاه DVD Writer از مشخصه هاي ديگر يك سرور مناسب هستند .

بنابراين با ارتقاء Backbone شبكه به ۱Gb/s و برقراري ارتباط دو ساختمان جايگزين نمودن PC هاي فعلي كه به تعداد ۷ دستگاه در ساختمان شماره ۲ و ۳ دستگاه در ساختمان شماره ۱ به عنوان سرور استفاده مي شوند و اضافه كردن ۲ دستگاه سرور جديد براي امور Wsus و آنتي ويروس و … با مارك هاي معتبر مانند HP بسيار ضروري و اجتناب ناپذير است .

پياده سازي امنيت در سازمان :
امنيت مختص يك يا چند دستگاه كامپيوتري نبوده بلكه كل سازمان را شامل مي شود . وجود اصول و اساسنامه جهت ايمن سازي اطلاعات سازمان از درب وروي شروع شده و تا محل قرارگيري اطلاعات ادامه پيدا مي كند . تعريفي كه براي امنيت مي شود مرزها را شكسته و كليه عوامل تهديد كننده اطلاعات را در سازمان شامل مي شود . امكان از بين رفتن اطلاعات در اثر عوامل فيزيكي ( نظير آتش سوزي ) ، تهديدات نفوذگران شبكه ، ويروس ها و كرم هاي اينترنتي ، دزدي رسانه و … همگي از عوامل تهديد كننده اطلاعات سازمانها هستند لذا داشتن برنامه و استراتژي جامع و كاملي كه كليه موارد تهديد كننده و نحوه برخورد با هر يك را مشخص نمايد از اولويت هاي هر سازمان مي باشد . در زير تنها به برخي از عوامل تهديد كننده اطلاعات شبكه هاي كامپيوتري اشاره شده است :

الف ) ويروس ها ، كرمها و تروجان ها :
با توجه به گسترش شبكه هاي كامپيوتري و ارتباط آنها با اينترنت ، امكان ورود نرم افزارهاي مخرب كوچك نظير ويروس ها ، كرمها و تروجان ها به سرورها و ايستگاه هاي كاري وجود خواهد داشت لذا استفاده از ويروس يابها و ويروس كش هاي مناسب بايد در دستور كار مدير شبكه قرار گيرد . همچنين وجود Adware و Spyware ، باعث كندي دستگاه هاي كامپيوتري و سرورها شده و از كارايي شبكه مي كاهد .

ب ) ارتباط به اينترنت :
پيشرفت تكنولوژي و كاهش هزينه ارتباط به اينترنت ، سازمان ها را ترقيب به استفاده بيش ار پيش نموده است . شبكه هاي زيادي هستند كه بطور مستقيم و بدون در نظر گرفتن هر گونه امكان امنيتي ، به اينترنت مرتبط هستند و از آن استفاده مي كنند . در اينگونه شبكه ها ، خطر نفوذ به سيستم و سوء استفاده از اطلاعات سازمان و همچنين ورود انواع ويروس ها و كرم ها وجود خواهد داشت . جداسازي سرور ها و سرويس ها ، استفاده از ديواره آتش مناسب ، IPS ، IDS

از راه حل هاي ارتباط امن با اينترنت محسوب مي شوند . ساده ترين ساختاري را كه در طراحي امنيت سازمان تان مي توانيد لحاظ كنيد تقسيم بندي سرورها و شبكه كامپيوتري به سه ناحيه شبكه داخلي ، شبكه خارجي و ناحيه محافظت شده است . كليه سرورها و ايستگاه هاي كاري كه تنها بايد در شبكه داخل سازمان در دسترس باشند و نياز به ارتباط خارجي ندارند را در ناحيه شبكه داخلي ، اينترنت و شبكه هاي مرتبط با آن را در ناحيه شبكه خارجي و سرورهايي از شبكه داخلي كه نياز به ارتباط با اينترنت دارند ، در ناحيه محافظت شده يا DMZ قرار دهيد . نمونه اين سرورها FTP Server ، Mail Server هستند .

ج ) استفاده از ديواره آتش :
ديواره آتش نرم افزار يا سخت افزاري است كه جهت كحافظت و دور از دستري قرار دادن شبكه داخلي از حملات و نفوذهاي تحت شبكه مورد استفاده قرار نمي گيرد . با توجه به توضيحاتي كه در قسمت قبل داده شد به كمك ديواره آتش سه ناحيه داخلي ، خارجي و محافظت شده را مي توان از يكديگر متمايز نمود و پاكت هاي در حال تبادل بين نواحي مختلف را مورد سنجش قرار داد و حتي از عبور پاكت هاي اطلاعاتي غير ضروري ممانعت نمود .
Content Filtering ، Proxy ، Virus Scaning ، VPN ، SPAM Filter ، Anti Spyware ، Traffic Shaping ، Anti Phishing ، IPS/IDS و Ahthentication از مشخصه هاي ديگري هستند كه بايد در هنگام تهيه و انتخاب ديواره آتش ، آنها را مد نظر داشته باشيد .

 

د ) سياست نامه امنيتي :
تهيه و اجراي اساسنامه امنيت اطلاعات مبتني بر استانداردهاي موجود متناسب با سازمان و نوع كار پايه و اساس پياده ساري امنيت مي باشد . بدون داشتن برنامه و هدف اجراي امنيت در سازمان ، قادر به ايجاد فضايي امن براي اطلاعات نخواهيد بود . دامنه اين اساسنامه با نظر مدير سازمان متفائت خواهد بود . دامنه حفاظت شده يا Scope مي تواند كليه بخش هاي سازمان را در بر گيرد و يا حتي بخش هايي از آن را پوشش دهد . معمولاً براي شروع پياده سازي امنيت اطلاعات سازمان از واحد و بخش كوچمي آغاز كرده و به مرور آن را به بخش هاي ديگر تعميم مي دهند .

و ) نصب به موقع Service Packها و Patch ها :
وجود مشكلات متعدد سيستم عامل ها و نرم افزارهاي مختلف ، سازندگان آنها را موظف به رفع مشكل آنها پس از شناسايي نوع مشكل مي نمايد لذا شركتهاي تهيه كننده نرم افزار اقدام به پخش نرم افزارهاي رفع خطا در قالب Patch ها و Service Packها مي نمايند . نصب به موقع اين بسته هاي كوچك نرم افزاري رفع خطا ، مشكلات موجود را مرتفع ساخته و از سوء استفاده از نقص هاي موجود جلوگيري خواهد كرد . به عنوان مثال تاكنون Service Pack 4 براي Win 2000 و Win2003 Server از جانب شركت مايكروسافت براي استفاده كاربران عرضه شده است كه قابل Download بر روي سايت آن شركت مي باشند .

بنابراين يكپارچه نمودن شبكه استانداري خريد دو دستگاه فايروال جديد ، آنتي ويروس هاي قوي داراي مجوز ، تجهيزات نگهداري داده ها ، Recovery ، NAS و نرم افزارهاي امنيتي ( در مقابل ويروس ها ، دسترسيهاي غير مجاز و … در سطح بانكهاي اطلاعاتي و نرم افزارها ) ضروري و اجتناب ناپذير است .

مديريت ، نظارت و سنجش دائمي شبكه :
سنجش دائمي ترافيك شبكه و مانيتورينگ آن توسط ابزارهاي مختلف نرم افزاري و سخت افزاري از عواملي مهم پيشگيري قبل از فاجعه هستند كه بايد در شبكه هاي كامپيوتري مدنظر قرار گيرند . بدين منظور مي توان از سخت افزارها و نرم افزارهاي مانيتورينگ نظير Fluck Tester ، Cisco Works ، Solarwins و هزاران نرم افزار ديگر شبكه خود را مورد بازرسي و بازبيني قرار داده و مشكلات آن را قبل از بروز خطايي غيرقابل جبران ، مرتفع نماييد .

بنابراين خريد تجهيزات مديريت شبكه و Monitoring از قبيل يك سوئيچ core قدرتمند و ماژولار ، خريد نرم افزار شناسايي نودهاي غير فعال و مشكل دار و تجهيزات عيب يابي شبكه و قطعي ان ضروري است .

فاز اول
تجهيزات و هزينه مربوطه :
با توجه به بررسي انجام شده تجهيزات مورد نياز به انضمام هزينه خريداري براي توسعه و ارتقاء شبكه هاي ارتباطي ساختمان هاي شماره ۱ و ۲ در دو فاز پيش بيني شده است و تجهيزات مورد نظر براي فاز اول به شرح ذيل مي باشد :
رديف موضوع مبلغ برآوردي ( ميليون تومان )
۱ تجهيزات passive و پياده سازي آن شامل داكت كشي ، Keystone Patch Panel ، Patch Cord و … ۳۰
۲ ۳۰۰۰ متر كابل فيبر نوري براي Backbone شبكه ۱۰

۳ ۱۱ عدد سوئيچ ۴۸ پورت و ۶ عدد سوئيچ ۲۴ پورت با سرعت ۱۰۰۰Mb/s 120
4 يك عدد سوئيچ core ماژولار ۹۰
۵ ۱۲ عدد سرور HP 90
6 1 عدد Fluck Tester و تجهيزات مانيتورينگ شبكه ۳۰
۷ UPS 30
جمع ( فاز اول ) ۴۰۰

فاز دوم
در فاز دوم تجهيزات امنيتي ، پشتيبان گيري و برقراري ارتباط مد نظر قرار گرفته و برآورد هزينه بشرح ذيل مي باشد :
رديف موضوع مبلغ برآوردي ( ميليون تومان )
۱ تجهيزات امنيتي ( خريد فايروال ، آنتي ويروس و …) و پياده سازي استاندارد امنيتي ۸۰
۲ تجهيزات پشتيبان گيري (SAN) 120
3 تجهيزات برقراري ارتباط ساختمان شماره ۱ و ۲ ۱۰۰
جمع ( فاز دوم ) ۳۰۰

گزارش مستندات
پروژه ارتقاي امنيت شبكه
استانداري خراسان رضوي

مقدمه :
پروژه امنيت شبكه استانداري خراسان در سال ۱۳۸۵ تعريف و به اجرا گذاشته شد . استانداري خراسان از حداقل امكانات نرم افزاري شبكه برخوردار بود . عدم وجودActive Directory ، عدم وجود سيستم هاي نرم افزاري مديريت شبكه و عدم وجود FireWall مطمئن از بزرگترين نواقص اين شبكه بود . بنابراين تصميم بر اين شد مه با بودجه تخصيص داده شده به اين پروژه حداقل اين امكانات مديريتي / امنيتي فراهم گردد .

 

بزرگترين فعاليتي كه صورت گرفت طراحي و پياده سازي Active Directory در شبكه استانداري خراسان بود كه با تلاش كارشناسان شركت AD نصب و تمامي ويندوزهاي ايستگاه هاي كاري شبكه به منظور يك دست سازي از نو نصب و با محدوديتهاي امنيتي جديد تركيب بندي شد .
علاوه بر اين امنيت دسترسي به شبكه دروني استانداري از بيرون سازمان به كمك يك دستگاه Juniper FireWall تأمين گشت . با توجه به بودجه تخصيص داده شده به اين پروژه تأمين امنيت فقط در سطح دسترسي از بيرون سازمان به شبكه تأمين شد .

لازم است در مراحل بعدي كار ساير ملاحظات امنيتي نيز مورد توجه قرار گرفته و اجرا شود . مجموعه پيشنهادات لازم براي ادامه اين كار به شرح ذيل مي باشد :
• طراحي و نصب Active Directory جهت متمركز ساختن شبكه
• نصب Antivirus تحت شبكه و مديريت آن جهت بروز كردن كلاينت ها
• نصب سرويس Wsus در شبكه جهت گرفتن update هاي مايكرو سافت بطور آفيس
• تنظيمات تجهيزات ارتباطي استانداري
• نصب و راه اندازي كلاينت در شبكه
• طريقه گرفتن Backup Active Directory
• و …

فصل يك : تحليل وضعيت موجود در شبكه استانداري

در شبكه استانداري خراسان برنامه هاي كاربردي زير در حال اجرا مي باشد :
شبكه فوق داراي domain نمي باشد و غير متمركز مديريت مي شود .
سرور و كلاينت بصورت workgoup كار مي نمايند .
سروري كه بتواند بصورت offline پچ هاي امنيتي را بگيرد وجود ندارد .
آنتي ويروس غير قابل مديريت و فقط update به روز share مي شود .
نبودن سرويس Wins در شبكه

۱ – سرور اتوماسيون اداري گويا :
ملاحظات مربوط به سرور و نرم افزارهاي نصب شده :
 نرم افزار اتوماسيون گويا نصب شده بر روي server 2000 Sp4 كه داراي SQL 2004 Sp4 مي باشد .
 داراي Antivirus Symantec V.8.0 Server Based

 نرم افزار گويا Webbasedو با Active فعال و نرم افزار MDAC مي باشد .
 متصل شدن سيستم دبيرخانه بصورت Ftp با user خاص جهت انتقال اطلاعات .
 Remot management جهت مديريت از راه دور .
 داشتن Ip Valid براي Remot از طريق web
2- سرور روزنامه ها :
سرور فوق جهت ارائه روزنامه ها بطور آفلاين مي باشد كه داراي مشخصات نرم افزاري و سخت افزاري فوق مي باشد .
۳- سرور ذيحسابي :
سرور فوق جهت ارائه سروبي حسابداري مي باشد كه داراي مشخصات نرم افزاريو سخت افزاري فوق مي باشد .

۴- سرور پورتال :
سرور فوق جهت ارائه پورتال داخلي سازمان كه داراي مشخصات نرم افزاري و سخت افزاري فوق مي باشد .

۵- سرور MIS

فصل دو : طراحي و نصب Active Directory و Antivirus & Wsus در شبكه استانداري

تحليل و طراحي ساختار Active Directory :

ساختار OU ها :
بر اساس چارت سازماني استانداري و سلسله مراتبي ساخته شود .
ساختار User Name & PassWord :
ساخت username داراي دو قسمت مي باشد : ۱- فاميل كاربر ۲- دو حرف اول OU و پسورد به طور تركيبي و كمتر از ۸ كاراكتر نباشد .
ساختار اسامي رايانه اي :
نام كامپيوترها برگرفته از اول كلمه كامپيوتر C و نام كاربر همان سيستم و كد مربوطه

ساختار نصب آنتي ويروس در شبكه :
به اين ترتيب بعد از نصب سرور آنتي ويروس همه Client ها از طريق شبكه نصب و به روز شوند كه براي اين منظور Symantec Antivirus در نظر گرفته شد .
ساختار به روز رساني Client درشبكه :
به اين ترتيب كه بعد از نصب سرويس Wsus و استقرار آن در شبكه تمام كلينت ها از طريق اين سرور بدون اتصال به اينترنت بتوانند به روز شوند .

مراحل نصب Active Directory : (سرور ۱ )
۱- نصب ويندوز سرور ۲۰۰۳
۲- پارتيشن c:/ با ظرفيت ۲۰G با فايل سيستم NTFS
3- IP Address : 192.168.100.15
4- DNS IP Address : 192.168.100.15
5- Name Server : Galaxy
6- تنظيم Time Synchronizing با خود DC
7- Dcpromo نصب AD
8- Full DNS Name : OstanKH.IR
9- Domain NetBIOS : OstanKH
10- نصب DNS همراه AD

مراحل نصب Active Directory : (سرور ۲ )
۱- نصب ويندوز سرور ۲۰۰۳
۲- پارتيشن c:/ با ظرفيت ۲۰G با فايل سيستم NTFS
3- IP Address : 192.168.100.16
4- DNS IP Address : 192.168.100.16/192.168.100.15
5- Name Server : Star

۶- تنظيم Time Synchronizing با Galaxy.OstanKH.IR
7- Dcpromo نصب AD Additional
8- Full DNS Name : OstanKH.IR
9- Domain NetBIOS : OstanKH
10- نصب DNS همراه AD

تعريف Policy بر روي Domain Policy :
1- تعريف Script جهت نرم افزار Active Alternatiff
2- تعريف Security Setting
3- اضافه كردن admin و permission به profile ها جهت تعريف Profile Roaming در دبيرخانه
۴- تنظيم System/Windows times Service با Server AD

۵- Configuration Automatically Update : Every day , Time : 11:00 Am
6- Software Installation Office 2003 SPI
7- Internet Explorer Maintenance :
-proxy setting = 192.168.100.2 Port : 80
-URLs/home page : Http://192.168.100.11
8- Screen Saver : Enable 30 min

نصب و راه اندازي سرور Wsus & Antivirus :

نصب Wsus :
1- پارتيشن NTFS با ظرفيت ۲۰G
2- نصب ويندوز سرور ۲۰۰۳ با SP1
3- IP Address : 192.168.100.14

۴- DNS IP Address : 192.168.100.15 ; 192.168.100.16
5- Name Server : SRV-S
6- تنظيم Time Synchronizing با Galaxy.OstanKH.IR

۷- Join كردن ويندوز به Domain استانداري
۸- نصب IISV6 از سرويسهاي ويندوز
۹- نصب Wsus جهت گرفتن update مايكروسافت و نصب بر روي client شبكه استانداري
۱۰- اختصاص دادن Valid IP و Synchronize كردن با سايت مايكروسافت و گرفتن update ويندوز server 2003 , office 2003 sp1 , 2000 , xp

نصب Antivirus Symantec 10.2.1 تحت شبكه :
نصب Antivirus نسخه سروري بر روي سرور SRV-S سپس به روز كردن آن حهت به اشتراك گذاشتن بين كلاينتها و سپس نصب كنسول مديريتي جهت مديريت و نصب clients

فصل سه : مكانيزم تست و استقرار

۱- تعريف OU > IT Test
2- تعريف Policy جهت تست و اجرا
۳- تعريف user هم نام با كاربران بخش IT
4- وصل كردن كلاينت ( هم نام با خود كاربر ) بخش IT به سرور AD و انتقال به OU IT

Setup كردن كلاينت اتوماسيون گويا :
نصب و تنظيم اتوماسيون :
۱٫ منوي Tools گزينه Folder Option تب Security :
الف ) Low شدن Security سه گزينه Internet و Local Internet و Ttusted Sites
ب ) اضافه نمودن ۲ آدرس ذيل در Ttusted Sites :
Http://192.168.100.1
Http://192.168.100.20
Http://Alternatiff.com

۲٫ تب Connection دكمه LAN Setting :
الف ) تيك خوردن فقط چك باكس سوم و چهارم ، آدرس :
Proxy : 192.168.100.2
Port : 8080

ب ) دكمه Advanced : اضافه نمودن آدرسهاي ذيل در قسمت Exceptions :
Http://192.168.100.1
Http://192.168.100.3
Http://192.168.100.20

۳٫ تب Advanced در قسمت Printing ، تيك گزينه ذيل خورده شود :
Print Background Colors & Image
4. خاموش نمودن فايروال ( فقط حين نصب نرم افزار اتوماسيون اداري ) موقع وصل كردن Client به Domain
5. قابليت نصب Mdac 2.8 به صورت جداگانه از طريق آدرس Http://192.168.100.1/officefg.htm
6. پس از نصب نرم افزار اتوماسيون جهت Client و مدير سيستم و نرم افزار Alternatiff به ترتيب فايلهاي ذيل در شاخه ويندوز كپي خواهند شد :
Gsworkflow.docfrulogo

Gsadmin.docfrulogo
Alternatiff Activex
اين ۳ فايل به لحاظ نصب مجدد نرم افزار اتوماسيون ( در صورت شكل دار شدن ) بايد قابليت پاك شدن داشته باشند .

۷٫ كپي شدن شاخه Imaging در شاخه Windows XP و سپس اجراي xpreyocx.bat و دريافت ۴ پيغام Successful
8. فارسي نمودن صفحه كليد از طريق kbdfa.dll : كپي نمودن dll ابتدا در مسير C:\windows\system32\dllcache و سپس كپي نمودن آن در شاخه system32 . كنسل نمودن پنجره ظاهر شده مبني بر گذاشتن CD ويندوز و تأييد نمودن پنجره مبني بر عدم سازگاري بين dll 2
9. نصب فونت هاي فارسي fars.font
10. انجام تنظيمات ذيل در قسمت Regional & Language Option :
الف ) تب Regional Option : Farsi , Iran
ب ) تب Language : تيك خوردن گزينه اول
ج ) تب Advanced : Farsi و سپس تيك خوردن گزينه Apply All ……

۱۱٫ Encoding صفحات

۱۲٫ ايجاد ميانبرهاي ذيل بر روي صفحه :
نام : اتوماسيون اداري ( جهت كاربران عادي ) آدرس : Http://192.168.100.1
نام : اتوماسيون اداري ( جهت كاربران دبيرخانه ) آدرس : Http://192.168.100.1/new
نام : پورتال آدرس : Http://192.168.100.3

نام : روزنامه ها آدرس : Http://192.168.100.20

۱۳٫ فعال نمودن Screen Saver پس از ۵ دقيقه ( با حالت Password Protected )
14. قابليت پاك نمودن پسوند VBD از طريق Folder Option/file type
15. نصب نرم افزارهاي office و آنتي ويروس Symantec
مرحله آخر آوردن سرورها در Domain و تست آن در شبكه است .
فصل چهار : نصب و راه اندازي كلاينت در استانداري :

روال نصب ويندوز XPSp2 در تمام client ها و نرم افزارهاي مربوطه ( كليات )

 

۱٫ مقدمات قبل از نصب
۲٫ نصب OS
3. نصب نرم افزارها
۴٫ بهينه سازي
۵٫ تحويل

۱٫ مقدمات قبل از نصب :
الف ) تنظيم تاريخ و ساعت در BOIS SET UP
ب ) غير فعال كردن Virus Warning در BOIS SET UP
ج ) تغيير Boot Sequence در BOIS SET UP
د ) فراهم كردن درايو هاي مورد نياز
ه ) بررسي سيستم كاربري ، اصلاخ شناسنامه سخت افزاري : آيا كسا از چاپگر shared استفاده مي كند ؟
و ) تهيه Backup از اطلاعات كاربر روي شبكه

۲٫ نصب os :
• پارتيشن بندي و نوع File System
• ( Set Defult >> Farsi ) Language & Time Zone
• Administrator Password
• CxxUsername = Computer Name
• Security Scope(Workgroup-Domain)

تغيير مجدد Boot Sequence در BOIS SETUP به Hard Disk Only
تنظيم Set Password (xxxxxxx)
نصب درايوها ( كليه درايوها )
پيكربندي پروتكل TCP/IP
تنظيم ساعت ايستگاه با سرور
عضويت كامپيوتر در Domain ، تعريف كاربر در Domain ، عضويت موقت كاربر در گروه Domain Admin و Login به نام كاربر
پارتيشن بندي فضاي باقيمانده هاردديسك مطابق دستورالعمل پارتيشن بندي
تعريف كاربرهاي مورد نياز كاربر

۳٫ نصب نرم افزارها ( با نام كاربر مربوطه كه موقتاً عضو Domain Admins است ) :
IE6 + Last Update ، اجرا
DirectX9.0b ( با دستور Dxding تست شود )
نصب office 2003 به همراه Service Pack آن . اجرا و پيكربندي MST , Policy
نصب فونت فارسي
Obat Reader6 ، اجرا و قبول Agreement
Flash Player و ACD See6
WinRAR3.2
Real بعضي ها
فعال كردن سرويس Automatic Update

مرحله آخر برگرداندن اطلاعات كاربر كه local بوده مي باشد .

۴٫ بهينه سازي :
حذف Memory Dump
حذف پروفايل هاي اضافه Cache
Disk Clean Up و Defrag و Bootvis
غير فعال كردن سرويسهاي اضافي مطابق دستور العمل مربوطه
غير فعال كردن كنترلرهاي بلااستفاده در BOIS Set Up و انجام برخي از تنظيمات در OIS Set Up
مرتب كردن كابل ها از نظر ظاهر

۵٫ تحويل :
Restart ، تست كاربر و نرم افزارهاي مربوطه ( تهيه چك ليست تحويل )

تنظيمات شكافهاي امنيتي
در ويندوز

۱- امنيت فيزيكي :
واضح است كه جلوگيري از دسترسي فيزيكي افراد غير مجاز به كامپيوتر ضروري است و ناديده گرفتن اين امر واضح ، صحيح نيست . واقعيت اين است كه بيشترين نفوذها به سيستمهاي كامپيوتري از درون سازمانها ، ادارات يا شركتها اتفاق مي افتد . قفل كردن در اتاقي كه كامپيوتر در آن قرار دارد ، استفاده از قفلهاي ويژه براي case ، قرار ندادن كليد قفل در كنار كامپيوتر و … از جمله مواردي است كه رعايت آنها اولين سطح امنيت را فراهم مي كند .

۲- استفاده از قابليت NTFS :
همه درايوهاي سيستم خود را بصورت NTFS در آوريد . سيستم فايل NTFS سريعتر از FAT32 بوده ، امكان مجوزگذاري براي فايلها و پوشه ها را فراهم مي كند . همچنين مي توانيد با امكان EFS اطلاعات خود را به رمز درآوريد . براي تبديل FAT32 به NTFS مي توانيد از دستور convert.exe و يا نرم افزار Partition Magic استفاده نماييد . ( براي استفاده از دستور convert در command prompt بنويسيد convert driveletter: / fs:ntfs

۳- غير فعال كردن simple File Sharing :
بطور پيش فرض Windows XP كاربراني را كه مي خواهند از طريق شبكه به كامپيوتر متصل شوند ، مجبور مي كند تا از طريق كاربر Guest وارد شوند . يعني اگر بدون استفاده از اين فايروال امن به اينترنت متصل شويد ، تقريباً هر كسي مي تواند به فايلهاي Share روي كامپيوتر شما دسترسي داشته باشد . براي غير فعال كردن simple File Sharing مراحل زير را دنبال كنيد :
• به start > My Computer > Tools > Folder Option مرجعه كنيد .
• دكمه View را انتخاب نماييد .
• در بخش Advance Setting علامت Use simple File Sharing را برداريد و روي Apply كليك كنيد .

۴- براي هم كاربران password بگذاريد .
يك نكته قابل توجه اينكه كاربر Administrator در بخش Control Panel > UserAccount نمايش داده نمي شود و اگر هنگام نصب براي آن password تعيين نكرده باشيم ، هر كسي به راحتي از راه دور يا نزديك مي تواند با مجوز Administrator به دستگاه ها دسترسي داشته باشد . جهت گذاشتن password مي توان از طريق زير عمل كرد :
Control Panel > Administractive ToolS > Computer Mnangment > System Tools > Local Users and Groups > Users

۵- استقاده با احتياط از گروه Administrator :
بجز موارد ضروري براي كاربري كه مي خواهد با كامپيوتر شما كار كند اكانتي كه در گروه Administrator باشد درست نكنيد . براي كارهاي معمول با دستگاه خود نيز يك اكانت عادي استفاده كنيد .

۶- غير فعال كردن اكانت Guest :
اكانت Guest همواره يك روزنه محبوب به كامپيوتر شما براي نفوذگران به شمار مي آيد . حتي الامكان آنرا غيرفعال كنيد و يا در صورت نياز به وجود آن ، يك password مشكل براي آن انتخاب كنيد .

۷- استفاده از فايروال در صورت ارتباط با شبكه :
اگر از شبكه استفاده مي كنيد و خصوصاً اگر اتصال داوم به اينترنت داريد ، حتماً از يك فايروال شخصي استفاده كنيد . به همراه Windows XP يك فايروال بنام ICF وجود دارد ، ولي بطور پيش فرض غير فعال است . براي فعال سازي فايروال ICF مراحل زير را طي كنيد :
• به Control Panel > Network Connections مراجعه كنيد .
• بر روي Local Area Connention كليك راست كنيد .
• در بخش Advanced گزينه
Protect my computer and network by limiting or preventing access to this computer from the internet را انتخاب كنيد .
ICF تنها ترافيك ورودي را ***** كرده و به ترافيك خروجي كاري ندارد . بنابراين نصب فايروالهاي شخصي ديگر پيشنهاد ميشود . فايروالهاي شخصي معروف عبارتند از : ZoneAlarm ، Outpost ، BlackIce ، McAfee و … البته نمي توان ادعا كرد يك فايروال بهترين است و هيچ ايرادي ندارد . كما اينكه در مورد فايروالهاي فوق نيز گزارشات ضد و نقيضي مبتني بر وجود حفره هاي امنيتي مي رسد . به عنوان مثال در يك گزارش ادعا شده است كه ZoneAlarm براي شركت مايكروسافت جاسوسي مي كند !

۸- به روز نگهداري Windows با hotfix ها و service pack ها :
يك روش متداول نفوذگران ، استفاده از آخرين شكافهاي امنيتي گزارش شده است . ۹۹ درصد نفوذها بخاطر سوء استفاده از شكافهاي امنيتي شناخته شده و به روز نگه نداشتن سيستمهاي قرباني و نصب نكردن patch هاي امنيتي است . از امكان windows update و يا Automatic Update براي به روز نگهداري Windows خود استفاده نماييد . براي فعال سازي Automatic Update وارد بخش Control Panel ويندوز خود شويد و در مسير Performance and Maintenance تنظيمات مورد نظر خود را در بخش Automatic Update انجام دهيد .

۹- نصب برنامه هاي ضد ويروس :
از ابتدايي ترين گامها در ايمن سازي سيستم ، نصب برنامه هاي ضد ويروس است . البته در صورتي كه آنرا به روز نكنيد ، تقريباً فايده اي براي شما نخواهد داشت . از جمله ضد ويروسهاي معروف Norton و McAfee هستند . نسخه ۲۰۰۲ نرم افزار McAfee و ۲۰۰۳ Norton را مي توان بمدت يكسال بدون نياز به خريد به روز نمود .

۱۰- استفاده از password براي screen saver :
استفاده از password براي screen saver باعث مي شود اگر براي مدتي از ميز كار خود دور شديد ، فرد غيرمجاز ديگري نتواند از كامپيوتر شما سوء استفاده نمايد . براي پسورد گذاري روي screen saver بايد :
• بر روي desktop كليك راست كنيد .
• گزينه Properties را انتخاب نموده ، بخش screen saver را انتخاب كنيد .
• با تنظيم زمان لازم براي فعال شدن screen saver گزينه On resume , display Wellcome screen را انتخاب نماييد .

۱۱- ايمني اطلاعات Backup كامپيوتر :
در برخي مؤسسات و شركتها هزينه زيادي براي بسترسازي امنيت شبكه هاي كامپيوتري خود و رمزكردن داده هاي روي كامپيوترها انجام مي دهند ، ولي با كمال تعجب Backup همان داده هاي رمز شده بر روي CD ها و Tapeهايي كه نه رمز شده اند و نه قفلي دارند و حتي در برخي موارد در مكان امني هم نيستند قرار دارد !

انواع
ديواره هاي
آتش

انواع ديواره هاي آتش :
ديواره آتش به دو شكل سخت افزاري ( خارجي ) و نرم افزاري ( داخلي ) ارائه مي شود :

۱- ديواره اتش هاي سخت افزاري :
اين نوع از ديواره آتش ها كه به آنان ديواره آتش هاي شبكه نيز گفته مي شود بين كامپيوترها و كابل و يا خط ADSL قرار خواهند گرفت . تعداد زيادي از توليدكنندگان و برخي از مراكز ISP ، دستگاه هايي با نام Router را ارائه مي دهند كه داراي يك ديواره آتش نيز مي باشند .
ديواره آتش هاي سخت افزاري در مواردي نظير حفاظت چندين كامپيوتر مفيد بوده و يك سطح مناسب حفاظتي را ارائه مي نمايند .
ديواره آتش هاي سخت افزاري ، دستگاه هاي سخت افزاري مجزايي مي باشند كه داراي سيستم عامل اختصاصي خود مي باشد . بنابراين بكارگيري آنان باعث ايجاد يك لايه دفاعي اضافه در مقابل تهاجمات مي گردد .