100 نکته مفید برای مدیریت مؤثرتر شبکه‌ها

10 نکته درباره رفع ایرادهای اتصالات ***
Virtual Privacy Network ***


1 - دسترسی کاربران به فایل سرورها امکان‌پذیر نیست

اگر کاربران از طریق آدرس IP امکان دسترسی به فایل سرور را داشته باشند، اما با استفاده از نام سرور نتوانند با سرور ارتباط برقرار کنند، محتمل‌ترین دلیل، وجود ایراد در Name Resolution یا تشخیص نام است. تشخیص نام می‌تواند در نام‌ هاست NetBIOS یا DNS مشکل ایجاد کند.

اگر سیستم‌عامل کلاینت به NetBIOS وابسته باشد، کلاینت‌های *** می‌توانند از طریق سرور *** آدرس سرور WINS را تعیین کنند، اما اگر سیستم‌عامل کلاینت ترجیحاً از DNS استفاده می‌کند، کلاینت‌های *** از طریق یک سرور DNS داخلی به نام سرور شبکه داخلی دسترسی پیدا می‌کنند.

هنگام استفاده از DNS برای تخصیص نام‌های شبکه داخلی از توانایی کلاینت‌ها برای تعیین صحیح نام دامین‌های دارای مجوز شبکه سازمانی اطمینان حاصل کنید. این مشکل اغلب زمانی به‌وجود می‌آید که کامپیوترهای خارج از دامین برای دسترسی و استفاده از نام سرورهای موجود در شبکه داخلی، که پشت *** قرار دارند، به استفاده از DNS اقدام می‌کنند.

2 - کاربران نمی‌توانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند

در بعضی مواقع کاربران می‌توانند به سرور *** راه دور متصل شوند، اما نمی‌توانند به هیچ‌کدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمی‌توانند نام ‌هاست را شناسایی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند.

رایج‌ترین دلیل وقوع این مشکل این است که کاربران به شبکه‌ای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور *** یکسان است. به‌عنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی به‌صورت 24/10.0.0.0 اختصاص یافته است.

حال چنان‌چه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آن‌گاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت *** آدرس مقصد را به‌صورت شبکه‌ای محلی می‌بیند و اتصال شبکه راه دور را از طریق رابط *** ارسال نمی‌کند.

دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینت‌های *** اجازه دسترسی به منابع موجود روی شبکه سازمانی را به‌دلیل قوانین تعیین شده از جانب فایروال نمی‌یابند. راه‌حل این مشکل پیکربندی فایروال به‌گونه‌ای است که اجازه دسترسی به منابع شبکه‌ای را به کلاینت‌های *** بدهد.

3 - کاربران نمی‌توانند از پشت ابزارهای NAT به سرور *** متصل شوند

اغلب روترهای NAT و فایروال‌ها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP *** پشتیبانی می‌کنند. هرچند برخی از فروشندگان طراز اول تجهیزات شبکه‌ای، ویرایشگر NAT را در پروتکل PPTP *** خود تعبیه نمی‌کنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط *** برای اتصال از طریق PPTP با شکست مواجه خواهد شد. البته، ممکن است با دیگر پروتکل‌های *** کار کند.

همه ابزارهای NAT و فایروال‌ها در کار با پروتکل‌های *** مبنی بر IPSec از IPSec پشتیبانی می‌کنند. این پروتکل‌های *** شامل پیاده‌سازی‌های اختصاصی مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنین این دسته از پروتکل‌های *** می‌توانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پیمایش NAT یا (NAT Traversa) پشتیبانی کنند.

چنان‌چه سرور و کلاینت *** شما از پیمایش NAT پشتیبانی کرده و کلاینت تمایل دارد از L2TP/IPSec برای اتصال به سرور سازگار با NAT استفاده کند، رایج‌ترین دلیل برای این مشکل این است که کلاینت از سیستم‌عامل Windows XP SP2 استفاده می‌کند.

سرویس پک 2 پیمایش NAT Traversal را روی کلاینت‌های L2TP/IPSec به‌اصطلاح می‌شکند. شما می‌توانید این مشکل را از طریق ویرایش رجیستری روی کلاینت *** آن‌گونه که در آدرس زیر توضیح داده شده حل کنید.


4 – کاربران از سرعت پایین شکایت دارند

سرعت کم یکی از مشکلاتی است که برطرف کردن آن بسیار دشوار است. دلایل زیادی برای کاهش کارایی ارتباط *** وجود دارد و نکته مهم آن هم این است که کاربران بتوانند توضیح دهند دقیقاً در زمان انجام چه کاری با افت کارایی و کاهش در سرعت روبه‌رو می‌شوند.

یکی از عمده‌ترین موارد هنگام کاهش کارایی ارتباط *** زمانی است که کلاینت در پشت شبکه DSL قرار گرفته و از پروتکل PPPoE استفاده می‌کند. چنین ارتباطات شبکه‌ای معمولاً موجب بروز مشکلات مرتبط با MTU شده که می‌توانند بر هر دو عامل اتصال و کارایی تأثیرگذار باشند. برای اطلاعات بیشتر درخصوص موارد مرتبط با MTU در کلاینت‌های ویندوزی به آدرس زیر مراجعه کنید.


5 – کاربران از طریق PPTP متصل می‌شوند، اما امکان اتصال از طریق L2TP/IPSec وجود ندارد

PPTP پروتکل ساده‌ای برای پیکربندی و تنظیم روی سرور و کلاینت *** است. فقط کافی است که کاربر از نرم‌افزار کلاینت توکار *** که به‌همراه تمام نسخه‌های سیستم‌عامل ویندوز ارائه می‌شود استفاده کرده و نام کاربری و کلمه عبور معتبر اکانتی را که مجوز دسترسی از راه دور را دارد، در اختیار داشته باشد.

اگر کامپوننت سرور *** براساس مسیریابی ویندوز و Remote Access Service باشد، به‌سادگی تنظیم شده و پس از اجرای یک راهنمای پیکربندی کوتاه به‌طور خودکار اجرا خواهد شد. L2TP/IPSec قدری پیچیده‌تر است. اعتبار کاربر و ماشین وی باید توسط سرور *** تأیید شوند.

تأیید اعتبار ماشین می‌تواند از طریق یک کلید مشترک (Pre-shared Key) یا ماشین ثبت‌شده صورت گیرد. اگر از کلید مشترک استفاده می‌کنید (که معمولاً به دلایل امنیتی توصیه نمی‌شود)، بررسی کنید که آیا کلاینت *** برای استفاده از همان کلید مشترک پیکربندی شده یا خیر؟ اگر از روش ثبت ماشین استفاده می‌کنید نیز مطمئن شوید که کلاینت *** مجوز مربوطه را دارد یا خیر؟

6 – اتصال *** سایت‌به‌سایت برقرار می‌شود، اما هیچ ترافیکی بین گیت‌وی‌های *** جابه‌جا نمی‌شود

هنگامی که یک ارتباط *** سایت‌به‌سایت بین سرورهای RRAS ویندوزی ایجاد می‌کنید، این امکان وجود دارد که اتصال *** درظاهر برقرار نشان داده شود، اما ترافیکی میان شبکه‌های متصل‌شده رد و بدل نشود. اشکال در شناسایی نام سرورها ایجاد شده و‌هاست‌ها حتی قادر به پینگ کردن به شبکه راه دور نیز نیستند.

عمده‌ترین دلیل برای بروز این مشکل این است که هر دو طرف اتصال سایت به سایت روی یک ID شبکه یکسان هستند. راه‌حل آن نیز تغییر الگوی آدرس‌دهی IP روی یک یا هر دو شبکه‌ بوده تا به‌این ترتیب، تمام شبکه‌های متصل‌شده به‌صورت سایت به سایت روی IDهای شبکه متفاوتی قرار داشته باشند.

7 – کاربران نمی‌توانند از پشت فایروال به ارتباط در مُد تونل IPSec اقدام کنند

به‌طور معمول سرور *** و کلاینت‌ها به‌طور صحیح پیکربندی می‌شوند تا بتوانند از مُد تونل IPSec یا ارتباط L2tp/IP Sec NAT-T برای ارتباط با یک سرور *** استفاده کنند و در نتیجه ارتباط با شکست مواجه می‌شود. در برخی مواقع این اتفاق را بعد از برقراری اتصال موفق اولین کلاینت مشاهده می‌کنید، اما کلاینت‌های بعدی که در پشت همان ابزار NAT قرار دارند، با شکست در ارتباط روبه‌رو می‌شوند.

دلیل بروز این مشکل این است که تمام سرورهای IPSec NAT-T *** با RFC سازگار نیستند. سازگاری با RFC نیازمند این است که سرور مقصد NAT-T *** از تماس‌های IKE روی پورت منبع UDP 500 پشتیبانی کرده تا آن‌هابتوانند ارتباطات چندگانه را از چندین کلاینت در پشت یک گیت‌وی *** واحد مالتی‌پلکس کنند.

حل این مشکل از طریق تماس با فروشنده سرور *** و حصول اطمینان از این‌که پیاده‌سازی *** IPSec NAT-T با RFC سازگاری دارد یا خیر، امکان‌پذیر خواهد بود. اگر این‌گونه نبود، از فروشنده درباره وجود Firmware برای به‌روز رسانی سؤال کنید.

8 – کاربران نمی‌توانند به برخی از IDهای شبکه سازمانی دسترسی پیدا کنند

برخی از اوقات کاربران مواردی را گزارش می‌کنند که در آن ذکر شده، می‌توانند بعد از برقراری ارتباط *** به برخی از سرورها دسترسی پیدا کنند، اما بقیه سرورها قابل دسترسی نیستند. آنان وقتی ارتباط خود را آزمایش می‌کنند، مشاهده می‌کنند که نمی‌توانند با استفاده از نام یا آدرس IP به سرور مورد نظر خود پینگ کنند.

دلیل عمده برای این مشکل این است که سرور *** ورودی‌های جدول روزمره را برای تمام IDهای شبکه‌هایی که کاربر نمی‌تواند به آنان متصل شود، در اختیار ندارد. کاربران فقط قادر به اتصال به سرورهایی هستند که روی زیرشبکه سرور *** باشند، اما از طریق سرور *** قادر به ارتباط با IDهای شبکه راه‌دور نیستند.

راه‌حل این مشکل پرکردن جدول مسیریابی روی سرور*** به‌گونه‌ای‌ است که آدرس گیت‌وی تمام IDهای شبکه‌هایی را که *** باید به آنان متصل شود، در آن وجود داشته باشد.

9 – کاربران هنگام اتصال به سرور *** قادر به اتصال به اینترنت نیستند

در برخی مواقع کاربران نمی‌توانند پس از این‌که اتصال *** برقرار شد، به اینترنت متصل شوند. در این‌حالت همزمان با قطع ارتباط *** کاربران در اتصال به اینترنت مشکلی نخواهند داشت. این مشکل زمانی مشاهده می‌شود که نرم‌افزار کلاینت *** برای استفاده از سرور *** به عنوان گیت‌وی پیش‌فرض خود پیکربندی شده‌باشد. این تنظیم، تنظیم پیش‌فرض نرم‌افزار کلاینت *** مایکروسافت است.

از آنجا که همه ‌هاست‌ها دور از محل کلاینت *** مستقر هستند، ارتباطات اینترنت به‌سمت سرور *** مسیردهی خواهند شد. اگر سرور *** به‌گونه‌ای پیکربندی نشده باشد که ارتباط با اینترنت را از طریق کلاینت‌های *** میسر سازد، هرگونه تلاشی برای اتصال به اینترنت با شکست روبه‌رو خواهد شد.

راه‌حل این مشکل پیکربندی سرور *** به‌گونه‌ای است تا به کلاینت‌ها اجازه دسترسی به اینترنت را بدهد. سرور RRAS ویندوز و بسیاری از فایروال‌ها از چنین پیکربندی پشتیبانی می‌کنند. در برابر اصرار برای غیرفعال کردن تنظیمات پیکربندی کلاینت *** جهت استفاده سرور *** از گیت‌وی پیش‌فرض خود مقاومت کنید. زیرا این کار ویژگی Split Tunneling را که یکی از تهدیدات شناخته‌شده و خطرناک امنیتی محسوب می‌شود، فعال خواهد کرد.

10 – چندین کاربر با استفاده از یک مجوز اعتبار PPP به سرور *** متصل می‌شوند

یکی از خطراتی که تمام سازمان‌هایی را که اقدام به پیاده‌سازی امکانات دسترسی راه‌دور به سرور *** می‌کنند، تهدید می‌کند، این‌است که کاربران اطلاعات مربوط به نام کاربری و کلمه عبور را با یکدیگر به اشتراک می‌گذارند. در بسیاری از پیاده‌سازی‌های سرور *** شما قادر خواهید بود نه‌تنها پیش از برقراری ارتباط *** نسبت به بررسی اعتبار و مجوز کاربر اقدام کنید، بلکه اگر آن کاربر به دسترسی به شبکه از طریق *** مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.

اگر کاربران به استفاده اشتراکی از مجوزها اقدام کنند، این عمل وضعیتی را ایجاد خواهد کرد تا کاربران غیرمجاز بتوانند با استفاده از مجوز کاربران مجاز به شبکه متصل شوند. یک راه‌حل برای این مشکل استفاده از الگوهای اضافی بررسی اعتبار است.

به‌عنوان مثال، شما می‌توانید مجوز کلاینت کاربر را نیز بررسی کنید. به‌این ترتیب، هیچ کاربر دیگری نمی‌تواند با مجوز یک کاربر مجاز وارد شبکه شود. انتخاب دیگر استفاده از کارت‌های هوشمند، ابزارهای بیومتریک و دیگر روش‌های دو فاکتوری تعیین هویت است.

10 نکته درباره امنیت ارتباطات بی‌سیم
1 – استفاده از رمزنگاری
رمزنگاری مهم‌ترین و اصلی‌ترین ابزار امنیتی به‌حساب می‌آید، با ‌وجود این، در بسیاری از نقاط دسترسی بی‌سیم (WAP) ویژگی رمزنگاری به‌صورت پیش‌فرض فعال نیست. اگر چه اغلب WAPها از پروتکل WEP (سرنام Wired Equivalent Privacy) پشتیبانی می‌کنند، اما این پروتکل نیز به‌صورت پیش‌فرض فعال نیست.

WEP دارای چند نقیصه امنیتی بوده و یک هکر مسلط می‌تواند به آن نفوذ کند، اما در حالت کلی وجود آن بهتر از عدم وجود هرگونه پروتکل رمزنگاری خواهد بود. اطمینان حاصل کنید که روش تأیید WEP به‌جای Open System روی Shared Key تنظیم شده باشد.

روش دوم، دیتاها را رمزنگاری نمی‌کند، بلکه تنها اقدام به بررسی اعتبار کلاینت می‌کند. تغییر دادن کلید WEP در بازه‌های زمانی مشخص و حداقل استفاده از الگوی 128 بیتی روش‌هایی هستند که به بهبود امنیت شبکه بی‌سیم شما کمک شایانی خواهند کرد.

2 – از رمزنگاری قوی‌تری استفاده کنید

به‌دلیل وجود برخی نقاط ضعف در WEP می‌توانید به‌جای آن از پروتکل WPA (سرنام Wi-Fi Protected Access) استفاده کنید. برای استفاده از WPA، پروتکل WAP شما باید از آن پشتیبانی کند (با ارتقای فریم ویر می‌توانید پشتیبانی از این پروتکل را به نسخه‌های قدیمی‌تر WAP بیافزایید) همچنین کارت شبکه بی‌سیم (NIC) شما نیز باید مناسب کار با این پروتکل بوده و نرم‌افزار بی‌سیم کلاینت نیز از آن پشتیبانی کند.

Windows XP SP2 به‌عنوان پیش‌فرض کلاینت WPA را نصب می‌کند. ماشین‌هایی را که روی آنان SP1 نصب شده است نیز می‌توانید با استفاده از بسته Wireless Update Rollup Package را به کلاینت Windows WPA مجهز کنید
(آدرس
http://support.microsoft.com/kb/826942/ را مشاهده کنید).

یکی دیگر از گزینه‌های رمزنگاری استفاده از IPSec است. البته، شرط استفاده از آن، پشتیبانی روتر بی‌سیم شما از این پروتکل خواهد بود.

3 – کلمه عبور پیش‌فرض Administration را تغییر دهید

اغلب تولیدکنندگان از کلمه عبور مشخصی برای رمز عبور Administration کلیه نقاط دسترسی بی‌سیم خود استفاده می‌کنند. این کلمات عبور مشخص و ثابت در نزد هکرها شناخته شده بوده و می‌توانند به‌سادگی از آن برای تغییر تنظیمات WAP شما استفاده کنند. اولین کاری که باید هنگام تنظیم یک WAP انجام دهید، تغییر رمز عبور، به رمزی قوی‌تر، با حداقل هشت کاراکتر طول و استفاده ترکیبی از حروف و اعداد و استفاده نکردن از کلمات موجود در فرهنگ لغت است.

4 – ویژگی انتشار SSID را خاموش کنید

SSID (سرنام Service Set Identifier) نام شبکه بی‌سیم شما را مشخص می‌کند. به‌عنوان پیش‌فرض اغلب WAPها SSID را نمایش می‌دهند. این‌کار موجب می‌شود تا کاربران به‌راحتی بتوانند شبکه را پیدا کنند، زیرا در این‌صورت نام شبکه بی‌سیم در فهرست شبکه‌های قابل دسترس و روی کلاینت بی‌سیم قابل مشاهده خواهد بود.

اگر نمایش نام SSID را خاموش کنید کاربران ناچار خواهند بود تا برای اتصال به شبکه بی‌سیم از نام آن اطلاع داشته باشند. برخی معتقدند، این‌کار بی‌فایده است، زیرا هکرها می‌توانند با استفاده از نرم‌افزار Packet Sniffing نام SSID را (حتی اگر ویژگی نمایش آن خاموش باشد) پیدا کنند.

این مطلب صحیح است، اما چرا باید کار را برای آنان آسان کنیم؟ این مطلب مانند این است که بگوییم از آنجا که سارقان می‌توانند شاه‌کلید تهیه کنند، پس به‌کارگیری قفل روی درب منازل کار بیهوده‌ای است. خاموش کردن گزینه Broadcasting SSID نمی‌تواند مانع از کار یک هکر ماهر شود، اما مطمئناً جلوی کاربران کنجکاو و ماجراجو را (به‌عنوان مثال، همسایه‌ای که متوجه وجود شبکه بی‌سیم شده و می‌خواهد فقط به‌خاطر سرگرمی به آن نفوذ کند) خواهد گرفت.

5 – WAP را در مواقع غیرلازم خاموش کنید

این مورد ممکن است خیلی ساده‌انگارانه به‌نظر آید، اما شرکت‌ها و اشخاص انگشت‌شماری یافت می‌شوند که این‌کار را انجام دهند. اگر کاربران بی‌سیم شما در ساعات مشخصی به شبکه متصل می‌شوند، دلیلی وجود ندارد تا شبکه بی‌سیم شما در تمام طول شبانه‌روز روشن باشد تا فرصتی را برای مهاجمان فراهم آورد. شما می‌توانید در مواقعی که به نقطه‌دسترسی نیازی ندارید آن را خاموش کنید. مانند شب‌ها که همه به منازل خود می‌روند و هیچ‌کس به ارتباط بی‌سیم احتیاجی ندارد.

6 – SSID پیش‌فرض را تغییر دهید

تولیدکنندگان WAPها اسامی ثابت و مشخصی را برای SSID به کار می‌برند. به‌عنوان مثال، دستگاه‌های Linksys از همین نام برای SSID استفاده می‌کنند. پیشنهاد خاموش کردن نمایش SSID برای جلوگیری از اطلاع دیگران از نام شبکه شما است، اما اگر از نام پیش‌فرض استفاده کنید، حدس زدن آن کار سختی نخواهد بود. همان‌طور که اشاره شد هکرها می‌توانند از ابزارهای مختلفی برای پی بردن به SSID استفاده کنند، به همین دلیل، از به کار بردن نام‌هایی که اطلاعاتی را درباره شرکت شما به آنان می‌دهد (مانند نام شرکت یا آدرس محل) خودداری کنید.

7 – از فیلتر MAC استفاده کنید

اغلب WAPها (به‌جز انواع ارزان‌قیمت) به شما اجازه خواهند داد از سیستم فیلترینگ آدرس‌های MAC (سرنامMedia Access Control )استفاده کنید. این به‌این معنی است که شما می‌توانید «فهرست سفیدی» از کامپیوترهایی را که مجاز به اتصال به شبکه بی‌سیم شما هستند بر مبنای MAC یا آدرس فیزیکی کارت‌های شبکه تعریف کنید. درخواست‌های ارتباط از سوی کارت‌هایی که آدرس MAC آن‌ها در این فهرست موجود نیست، از جانب AP رد خواهد شد.

این روش محفوظ از خطا نیست، زیرا هکرها می‌توانند بسته‌های اطلاعاتی رد و بدل شده در یک شبکه بی‌سیم را برای تعیین مجاز بودن آدرس MAC امتحان کنند و سپس از همان آدرس برای نفوذ به شبکه استفاده کنند. با این‌حال، این کار باز هم قدری موضوع را برای «مهاجمان احتمالی» مشکل‌تر خواهد کرد. چیزی که موضوع اصلی در امنیت است.

8 – شبکه بی‌سیم را از دیگر شبکه‌ها جدا سازید

برای محافظت از شبکه باسیم داخلی خود در برابر تهدیدهایی که از طریق شبکه بی‌سیم وارد می‌شوند می‌توانید نسبت به ایجاد یک DMZ بی‌سیم یا شبکه‌ای محیطی که در برابر LAN ایزوله شده اقدام کنید. برای این‌کار می‌توانید با قرار دادن یک فایروال میان شبکه بی‌سیم و LAN هر دو شبکه را از یکدیگر جدا کنید.

پس از آن باید برای دسترسی کلاینت‌های بی‌سیم به منابع شبکه‌ای در شبکه داخلی، هویت کاربر را از طریق شناسایی توسط یک سرور راه‌دور یا به‌کارگیری از *** تأیید کنید. این‌کار موجب ایجاد یک لایه محافظتی اضافی خواهد شد.

برای اطلاعات بیشتر درباره چگونگی دسترسی به شبکه از طریق *** و ایجاد DMZ بی‌سیم با استفاده از فایروال ISA Server مایکروسافت، به آدرس زیر مراجعه کنید (برای دستیابی به این آدرس به یک حق عضویت Tech ProGuil نیاز خواهید داشت):


9 – سیگنال‌های بی‌سیم را کنترل کنید

یک WAP نمونه با استاندارد 802.11b امواج را تا مسافت نود متر ارسال می‌کند. این میزان با استفاده از آنتن‌های حساس‌تر قابل افزایش است. با اتصال یک آنتن external پرقدرت به WAP خود، خواهید توانست برد شبکه خود را گسترش دهید، اما این‌کار می‌تواند دسترسی افراد خارج از ساختمان را نیز به داخل شبکه امکان‌پذیر سازد.

یک آنتن جهت‌دار به‌جای انتشار امواج در میدانی دایره‌ای شکل آنان را تنها در یک راستا منتشر می‌سازد. به‌این ترتیب، شما می‌توانید با انتخاب یک آنتن مناسب، هم برد و هم جهت ارسال امواج را کنترل کرده و در نهایت از شبکه خود در برابر بیگانگان محافظت کنید. علاوه بر این، برخی از WAPها به شما اجازه می‌دهند تا قدرت سیگنال و جهت ارسال آن را از طریق تنظیم‌های دستگاه تغییر دهید.

10 – ارسال امواج روی فرکانس‌های دیگر

یک راه برای پنهان ماندن از دید هکری که بیشتر از فناوری رایج 802.11b/g استفاده می‌کند، این است که تجهیزات 802.11a را به‌کار بگیرید. از آنجا که این استاندارد از فرکانس متفاوتی (5 گیگاهرتز به‌جای 2/4گیگاهرتز استاندارد b/g) استفاده می‌کند، کارت‌های شبکه‌ای که بیشتر برای فناوری‌های شبکه‌ای معمول ساخته شده‌اند نمی‌توانند این امواج را دریافت کنند.

به این تکنیک Security Through Obscurity یا «امنیت در تاریکی» گفته می‌شود، اما این کار زمانی مؤثر است که در کنار دیگر روش‌های امنیتی به‌کار گرفته شود. در نهایت این‌که Security Through Obscurity دقیقاً همان چیزی است که وقتی به دیگران توصیه می‌کنیم نگذارند بیگانگان از اطلاعات خصوصی آن‌ها مانند شماره تأمین اجتماعی یا دیگر اطلاعات فردی مطلع شوند، به آن اشاره می‌کنیم.

یکی از دلایلی که استاندارد 802.11b/g را محبوب‌تر از 802.11a می‌سازد این است که برد فرکانس آن بیشتر از a و تقریباً دو برابر آن است. 802.11a همچنین در عبور از موانع و دیوارها با قدری مشکل رو‌به‌رو است. از نقطه نظر امنیتی، این «نقص» به‌نوعی «مزیت» به‌حساب می‌آید، زیرا به‌کارگیری این استاندارد باعث می‌شود تا نفوذ سیگنال به بیرون کاهش یابد و کار نفوذگران را حتی در صورت استفاده از تجهیزات سازگار با مشکل مواجه کند.
 
 
10 نکته درباره DomainTrust اکتیودایرکتوری
Domain Trust
1 - تعیین Trust متناسب با نیاز

پیش از این‌که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust باید خصوصیات زیر را داشته باشد:

Type: مشخص‌کننده نوع دامین‌هایی که در ارتباط با trust هستند.
Transitivity: تعیین می‌کند که آیا یک Trust می‌تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص‌کننده مسیر دسترسی و Trust (اکانت‌ها و منابع Trust)

2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید

روابط بین Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می‌شود. این کنسول به‌شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:

- ارتقای سطح عملیاتی دامین
- ارتقای سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust

برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:



3 - آشنایی با ابزار

همانند دیگر اجزای خانواده ویندوز سرور، ابزار خط فرمان می‌تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به‌کار آید. برخی از این ابزارها عبارتند از:

- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده می‌شود.
- NETDIAG: خروجی این ابزار وضعیت پایه‌ای را در روابط بین Trustها به‌دست می‌دهد.
- NLTEST: برای آزمایش ارتباطات Trust می‌توان از آن استفاده کرد.

شما همچنین می‌توانید از ویندوز اکسپلورر برای مشاهده عضویت‌ها در منابع مشترک آن‌گونه که در دامین‌های Trust و/ یا Forest تعریف شده، استفاده کنید. کاربران AD همچنین می‌توانند جزئیات عضویت آبجکت‌های اکتیو دایرکتوری‌ای که اعضایی از دامین‌های Trust و/ یا Forest دارند، مشاهده کنند.

4 - ایجاد یک محیط آزمایشی

بسته به محیط و نیازمندی‌های شما، یک اشتباه ساده در ایجاد Trust دامین‌ها می‌تواند به بازتاب‌هایی در سطح کل سازمان منجر شود. با وجود این، فراهم ساختن یک محیط آزمایش مشابه برای Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین‌هایی برای سناریوهای مشابه کار آسان‌تری بوده که برای استحکام زیرساخت‌ها و آزمایش کارکردهای اساسی می‌توان از آنان استفاده کرد.

علاوه بر این، قبل از استفاده از گروه‌های زنده، اکانت‌ها و آبجکت‌های دیگر، به آزمایش الگوی آبجکت‌ها دایرکتوری روی روابط دامین زنده توجه کنید تا مطمئن شوید که میزان دلخواه عاملیت به‌دست آمده، نه بیشتر.

5 - مجوزها را بازبینی کنید

وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی‌شده دوباره بازبینی شود. به‌عنوان مثال، چنان‌چه دامین A باید فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد.

هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.

6 – طرح Trustها را تهیه کنید

نقشه‌ای ساده با استفاده از پیکان‌ها و جعبه‌هایی که نمایان‌گر دامین‌های دارای Trust، ارتباط آنان با یکدیگر و این‌که این Trustها یک‌طرفه هستند یا دو طرفه تهیه کنید. با استفاده از تصویر‌(های) ساده مشخص کنید، کدام دامین به کدام دامین دیگر Trust دارد و Transitivity آن‌ها را نمایش دهید.

این جدول ساده موجب درک بهتر وظایف محوله شده و به شما اجازه خواهد داد تا دامین‌های نیازمند به جهت دسترسی (Access Direction) و همچنین جهت صحیح را مشخص ساخته و نمایش دهید. برخی از دامین‌ها فقط نقش یک دروازه ساده را برای دسترسی به دیگر دامین‌ها ایفا می‌کنند.

7 – ارتباطات بین Trustها را مستند کنید

امروزه، سازمان‌ها دائم در حال پیوستن و جدا شدن از یکدیگر هستند. به‌همین دلیل، این نکته اهمیت دارد که نقشه واضحی از ارتباط بین دامین‌ها و Trustهای بینابین تهیه شده تا همواره از وجود اطلاعات لازم بدون نیاز به مراجعه به کدهای مربوطه اطمینان حاصل شود.

به‌عنوان مثال، اگر شما روی دامین B قرار داشته باشید و دفتر مرکزی شما روی دامین A نمایندگی شما را ابطال و Trust را قطع کند، یک سند کوچک و مختصر که قبلاً روی دامین A ذخیره شده کمک بسیار بزرگی برای شما خواهد بود.

نوع Trust، جهت، ملزومات تجاری مورد نیاز برای آن Trust، مدت اعتبار پیش‌بینی شده برای Trust، مجوز، اطلاعات پایه‌ای دامین و فارست (شامل نام، DNS، آدرس IP، مکان فیزیکی، نام کامپیوترها و...) و اطلاعات تماس فرد یا افراد مسئول دامین‌ها از اطلاعاتی هستند که ذخیره‌سازی آنان در یک محل مطمئن بسیاری از کارها را آسان‌تر خواهد کرد.

8 – از پیچیده کردن ارتباط Trustها پرهیز کنید

برای صرفه‌جویی در وقت و زمان، از جلو بردن عضویت‌ها در بیش از یک لایه هنگام کار و استفاده از Trust در دامین‌ها و فارست‌های چندگانه پرهیز کنید. با این‌که تودر تو کردن عضویت‌ها می‌تواند به یکپارچگی و کاهش آبجکت‌های قابل مدیریت در AD کمک کند، اما این‌کار موجب افزایش میزان تصمیم‌گیری در مدیریت اعضا خواهد شد.

9 – چگونگی مدیریت نسخه‌های مختلف ویندوز

وقتی AD را روی ویندوز 2000 و ویندوز سرور 2003 اجرا می‌کنید، امکانات کامل برای دامین‌ها و فارست‌های عضو فراهم خواهد بود. چنان‌چه هرگونه سیستم عضو یا دامین NT در سازمان حضور داشته باشند، امکانات ورودی Trust آن‌ها به‌دلیل ناتوانی در شناسایی آبجکت‌های AD محدود خواهد شد. راه‌حل عمومی این سناریو ایجاد «دامین‌های جزیره‌ای» برای آن دسته از افرادی است که معمولاً به ساختارهای عمومی سازمان متصل نمی‌شوند.

10 – Trustهای منقضی و Overlap شده را پاک کنید

تغییرات ایجاد شده در روابط مابین سازمان‌های تجاری ممکن است موجب برجای گذاشتن تعدادی از Trustهای بدون استفاده در دامین شما شود. هرگونه تراستی را که به‌عنوان فعال مورد استفاده قرار نمی‌گیرد، از روی دامین بردارید. همچنین از تنظیم صحیح تراست موجود و مطابقت آن‌ها با دسترسی مو
/ 3 نظر / 22 بازدید
مسلم هادی

سلام. شما و من در وبلاگهامون تبادل لینک 2 طرفه داریم. بخاطر فعالیت جدید گوگل در جهت تنبیه تبادل لینک های دوطرفه، ازتون درخواست دارم که لینک من رو حذف کنید. در صورت تمایل میتونید با من تبادل لینک 3 طرفه کنید. من رو با نام: "آموزش طراحی سایت" و آدرس "http://blog.autobacklink.ir" لینک کنید. من هم آدرس شما رو در وبلاگ http://programmer.persianblog.ir که پیجرنک 1 داره میذارم. در صورت تمایل پس از قرار دادن لینک، در وبلاگ programmer نظر بذارین. موفق باشید. هادی