نرم افزار ISA يا Internet Securityand Acceleration توسط شرکت Microsoft براي Win2k عرضه گرديده است. اين نرم افزار که در حقيقت نسخه جديدي از MSProxy است داراي قابليتها و تواناييهاي جالبي است. اما متأسفانه هنوز هيچ کتابي در اين مورد به زبان فارسي نوشته نشده است. حتي اکثر کساني که از اين نرم افزار استفاده مي کنند با بسياري از قابليتهاي ISA آشنا نيستند. در سايتها و وب لاگهاي کامپيوتري هم کمتر کسي پيدا مي شود که حتي اشاره اي به ISA کرده باشد.
با توجه به اين نياز تصميم دارم تا در حد توان و بضاعت علمي خود در چند قسمت مختلف به بررسي ISA بپردازم. از تمامي دوستاني که در اين زمينه تحقيقات و يا مطالعاتي دارند هم خواهش مي کنم که مطالبشان را به آدرس alikia@mail.com بفرستند تا با نام خودشان در سايت قرار گيرد.
نرم افزار ISA (بخش1)
نرم افزار ISA داراي دو قابليت اصلي است.
1- Firewall - 2 Cache
با استفاده از قابليت Caching مي توان Request هاي Http و Ftp کاربران شبکه را Cache کرد تا در هنگام درخواستهاي تکراري با صرفه جويي در زمان و پهناي باند بتوان به آن درخواستها از طريق اطلاعات Cache Server پاسخ گفت.
Cache
بخش Caching خود، داراي قابليتهاي زير است:
1) Automatic & Scheduled Caching : در اين قابليت ISA بطور هوشمندانه در ساعات مشخصي (ساعاتي که ترافيک شبکه کم است) به سراغ سايتهايي که قبلا Cache شده اند اما زمان TTL آنها تمام شده است و Expire شده اند رفته و بطور اتوماتيک آنها را Update مي کند. ISA اين عمل را با اولويت سايتهاي محبوب (سايتهايي که بيش از ساير سايتها توسط کاربران درخواست شده اند) انجام مي دهد. نتيجه اين کار اين است که سايتهاي محبوب کاربران همواره بصورت Update شده در ISA براي تحويل به کاربران فراهم است. ضمن اينکه ما بصورت دستي نيز مي توانيم ساعاتي را براي Update کردن سايتهاي دلخواهمان تعيين کنيم.
2) Reverse Caching : با استفاده از اين قابليت ISA مي تواند اطلاعاتي را که بر روي Web Server داخلي شبکه قرار دارند را پس از آنکه يکبار در اختيار کاربران موجود در اينترنت قرار داد بر روي خود Cache نموده و در صورت تقاضاي مجدد بدون مراجعه به Web Server اطلاعات Cache شده را در اختيار کاربران Internet قرار دهد. اين خاصيت موجب کاسته شده ترافيک بر روي Web Server مي شود.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
3) TransparentCache: يکي از قابليتهاي ISA اين است که هم بصورت Proxy Base و هم بصورت Transparent قابليت Cache کردن را دارد. در جلسات بعد در اين مورد بيشتر صحبت خواهيم کرد.
4) Distributed and Hierarchical Caching : مي توان بجاي يک ISA Cache از چند ISA Cache در شبکه استفاده کرد. سپس همه آنها را بصورت يک Array درآورد. در اين حالت تمام ISAها دست به دست هم داده و يک Cache يکپارچه را تشکيل مي دهند. درصورتيکه Objectهاي Cache شده از لحاظ فيزيکي بر روي اين ISA Server ها توزيع شده است و هر کدام قسمتي از اطلاعات را Cache نموده اند. ضمنا" ما مي توانيم از يک Root System نيز استفاده کنيم بگونه اي که يک يا چند ISA Server به اينترنت مستقيما" وصل بوده و Object هاي مورد نياز خود را از طريق ISA Serverهاي بالاتر تأمين نمايد. در اين حالت با استفاده از پروتکلCARP يا CacheArray Routing Protocol اطلاعات مورد نياز Clientها از روي يک Array جمع آوري شده و در اختيار آنها قرار مي گيرد.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
Firewall
امروزه Firewallها در دو نوع سخت افزاري و نرم افزاري وجود دارند. مزيت عمده Firewallهاي سخت افزاري در سرعت آنهاست. از نمونه هاي سخت افزاري مي توان به Cisco PIX Firewall اشاره کرد که شکل آنرا ملاحظه مي کنيد:
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
جالب اينجاست که MicroSoft ادعا مي کند تمامي قابليتهاي يک Firewall سخت افزاري در ISA گنجانده شده است و بدليل قيمت بسيار کمتر براي استفاده اقتصادي تر است.
بطور کلي مي توان گفت قابليتهاي نرم افزار ISA در زمينه Firewall عبارتند از:
1- کنترل استفاده از اينترنت: در ISA مي توان با استفاده از Policyها ترافيک ورودي و خروجي را بر مبناي سايتها , Protocolها و محتويات Packetها Filter کرد.
2- مي توان Packetها را بر اساس لايه ها (از لايه Network تا Application) فيلتر نموده و حتي ترافيک هاي مربوط به DNS را کنترل کرد.
3- ISA با استفاده از قابليت Intrusion Detection مي تواند جلوي نفوذ هکرها را بگيرد. بر روي ISA روشهاي معروف Hack تعريف شده است و در صورتيکه فردي اقدام به استفاده از اين روشها نمايد ISA جلوي او را خواهد گرفت. به عنوان مثال ISA مي تواند Scan شدن Portها را تشخيص داده و جلوي آنرا بگيرد.
در بخشهاي بعدي ادامه اين بحث را پي مي گيريم. مجددا" از تمامي دوستان مي خواهم که نظرات , پيشنهادات و انتقادات خود را به آدرس alikia@mail.com ارسال نمايند.
نگاه امروز:
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
معمولا" وقتي صحبت از Cache مي شود نرم افزارهايي مثل Squid ,CacheXpress, RealCache و ... به ذهنــمــان خــطــور مــيکــند. ايــن ها هـمـه Request هــاي کــاربـــران شـبـکه مــحــلــي را Cache مــي کـنـنـد. امـا همـانطور که در توضيحـات فوق گفتـه شـد نـرم افـزارهــايي هــم وجـــود دارند که به صورت Reverse Caching عمل ميکــنــند. اين نــرم افـــزارهـــا در شـــبـــکه مـــحــلــي و قــبــل Web Server قــرار ميگــيـــرنــد و تــقــاضــاهــاي وارده از ايــنــتــرنت براي دستيابي به Web Server و يا Web Server ها را Cache مي کنند تا ترافيک را روي Web Serverها کاهش دهند. ديديم که ISA اين کار را مي تواند انجام دهد. در بخش نگاه امروز يک نرم افزار ديگر را معرفي مي کنيم که اين کار را انجام مي دهد. اين نرم افزار XCache نام دارد. براي آگاهي بيشتر و نيز Download کردن نسخه آزمايشي به http://www.xcache.com/home/default.asp?c=45&p=352 مراجعه کنيد. و اما ادامه بحث:
ISA داراي قابليتهاي مختلفي است که مي توان آنها را بصورت زير خلاصه کرد:
1- قابليت اعمال Policy هاي مختلف.
2- امکان کنترل Bandwidth (Qos).
توجه: اگر به ياد داشته باشيد در بخش چهارم آموزش هنگام مقايسه Linux و Windows گفتيم در Windows امکان کنترل Bandwidth وجود ندارد. در اينجا تصريح مي کنيم که امکان کنترل Bandwidth در ISA بر اساس اولويت است. در صورتيکه در Linux و يا Cisco Routers شما مي توانيد Bandwidth کاربران را به يک سقف معين محدود کنيد. (بعدها در اين مورد بيشتر صحبت خواهيم کرد.)
3- امکان پشتيباني از VPN.
4- امکان Publish کردن Webserverهاي داخلي شبکه.
پس از Publish کردن Webserverهاي داخلي هرگاه يک کاربر از طريق Intenet بخواهد به Webserver ما دسترسي پيدا کند اطلاعات مورد نياز او از طريق ISA در اختيارش قرار مي گيرد. در نتيجه هيچکس از طريق Internet نمي تواند مستقيما" به Webserver هاي ما دسترسي داشته باشد.
5- H.323GateKeeper: ويژه برنامه هايي است که از IP تلفني استفاده مي نمايند. (مثل NetMeeting)
6- Monitoring & Alerts.
نکته: ذکر اين نکته لازم است که هر سيستم عاملي که Http (ver 1.1) را پشتيباني کند مي تواند به عنوان يک WebProxyClient عمل نمايد. اگر بخواهيم از ISA به عنوان يک Firewall استفاده نماييم بايد Clientها داراي Win95 به بعد باشند. Clientها مي توانند به عنوان SecureNAT Client عمل کرده و از خيلي از قابليتهاي ISA بهره-مند شوند.
ISA Server مي تواند در دو حالت زير نصب شود:
1- Stand-alone : در اين حالت ISA Server ها مستقل از يکديگر عمل کرده و به يکديگر متصل نمي شوند.
مزاياي اين روش عبارت است از:
- هزينه کمترو تنظيمات کمتري نياز دارد.
- تمام قابليتهاي Caching و Firewall را داراست.
- از هرنوع Connection حتي Dialup مي تواند استفاده کند.
معايب اين روش هم عبارت است از:
- داراي Enterprise Policy نيست. بنابراين اگر از چند Stand-alone استفاده کنيم بايد هرکدام را جداگانه کنترل کنيم.
- Single Point of Failure: در حالت Stand alone همه چيز وابسته به ISA است و اگر ISA دچار مشکل گردد Internet قطع خواهد شد.
2- Enterprise Array: پياده سازي اين روش فقط بر روي Active Directory امکان پذير است. در اين روش يک Array مرکب از چندين ISA Server تشکيل مي شود که همگي بصورت منطقي از يک نقطه کنترل مي گردند. ضمنا" هر کدام از اعضاي Array قسمتي از اطلاعات را Cache مي کنند. در صورت نياز مي توان Array را گسترش داد. نکته قابل توجه اين است که يک Array فقط تحت يک Domain واحد قابل پياده سازي است. يعني اعضاي يک Array بايد همگي عضو يک Domain باشند.
مزاياي اين روش:
- امکان اعمال Enterprise Policy.
- امکان مديريت متمرکز
- No Single Point of Failure: در اين حالت اگر يک يا چند ISA Server دچار اختلال شود اختلالي در شبکه بوجود نمي آيد.
معايب اين روش:
- نيازمند ايجاد تغييراتي در توپولوژي شبکه است.
- از نظر هزينه نسبت به روش قبلي گرانتر است.
- در ابتداي کار نياز به مطالعه , تحقيق , برنامه ريزي و صرف وقت بيشتري براي پياده سازي دارد.
قابليت ArrayChains: اين قابليت (Hierarchical Caching) اجازه مي دهد که يک ISA Server بدون آنکه مستقيما" به اينترنت متصل باشد از طريق Cache يک ISA Server ديگر به تعدادي Client سرويس دهد.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
Publishing: در اين حالت تمام کساني که بخواهند از طريق اينترنت به WebServer ما دسترسي پيدا کنند مستقيما" با آن ارتباط ندارند بلکه ISA اين اطلاعات را در اختيار کاربران قرار مي دهد.
مزاياي Publish کردن:
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
- بالا رفتن Security شبکه درحالي که اطلاعات سرورهاي ما بدون هيچ مشکلي از طريق اينترنت قابل دريافت است.
- امکان ReverseCaching به کمک Publish کردن فراهم مي شود.
معايب Publish کردن:
- اگر طراحي را به دقت انجام ندهيم بار زيادي بر روي ISA Server اعمال مي شود.
- نياز به انجام تنظيمات دقيق داريم در نتيجه هنگام بروز مشکل براي رديابي آن به مدت زمان بيشتري نياز داريم.
در بخشهاي بعدي ادامه اين بحث را پي مي گيريم. مجددا" از تمامي دوستان مي خواهم که نظرات , پيشنهادات و انتقادات خود را به آدرس alikia@mail.com ارسال نمايند.
نگاه امروز:
در بخش نگاه امروز روشي براي انتقال کامل کاربران Windows از يک کامپيوتر يا Domain به کامپيوتر و يا Domain ديگر را معرفي مي کنيم.
اين کار معمولا" وقتي بکار مي رود که Windows شما دچار اشکال شده باشد و شما مجبور باشيد که مجددا" Windows خود را نصب کنيد. همچنين اگر بخواهيد از Password کاربران خود بطور کامل Backup بگيريد از اين روش استفاده مي شود. در اين روش Passwordهاي عضو Domain بطور کامل قابل انتقال هستند. در حقيقت در اين روش يک کپي از فايل Sam تهيه مي شود و به کامپيوتر جديد منتقل مي شود.
هشدار: برخي افراد سودجو ممکن است از اين روش براي دستيابي به اهداف پليد خود سوء استفاده کنند. مثلا" ممکن است يک نفر با تهيه يک کپي از فايل Sam شما آنرا به کامپيوتر خودش کپي کند و با استفاده از نرم افزارهايي نظير LC4 بتواند به اصل Passwordهاي شما و کاربرانتان دست يابد. همچنين ممکن است کسي از فايل Sam کپي تهيه کند سپس Password يک يا چند کاربر را عوض کند و از Account آنها مدتي سوء استفاده نمايد سپس Sam فايل را مجددا" به جاي خود برگرداند تا کسي متوجه نشود او Passwordها را عوض کرده و از آنها سوء استفاده نموده است.
ابتدا فايل CopyPassword.zip (حجم: 40KB) را Download کنيد و آنرا Unzip کنيد.
سپس دستور زير را اجرا کنيد. Copypwd DUMP > Copypwd.txt
توجه داشته باشيد که نام فايل حتما" بايد Copypwd.txt باشد.
پس از اجراي اين دستور فايلي بنام Copypwd.txt ساخته مي شود. اين فايل شامل Usernameها و Password کاربران است. البته Password بصورت Hash ديده مي شود.
اکنون اين فايل را بر روي کامپيوتر جديد کپي کنيد. شما بايد در کامپيوتر جديد همه کاربران را بدون وارد کردن Password بطور دستي در Windows ايجاد کنيد. اگر تعداد کاربران خيلي زياد است مي توانيد از نرم افزارهايي که از طريق يک Text File نام کاربران را Import کرده و آنها را در NT ايجاد مي کنند استفاده کنيد. (مثل ISPUtil - البته اين نرم افزار بدون قفل سخت افزاري قابل اجرا نيست!) نرم افزارهايي از اين قبيل در اينترنت براحتي يافت مي شوند.
شما کافيست اين فايل را به يک کامپيوتر ديگر کپي کرده و دستور زير را بر روي آن اجرا کنيد.
CopyPwd SET
با اين کار Password کاربران موجود در فايل Copypwd.txt به حالت اوليه بازگردانده مي شود!
و اما ادامه بحث:
ISA داراي قابليتهاي مختلفي است که مي توان آنها را بصورت زير خلاصه کرد:
1- قابليت اعمال Policy هاي مختلف.
2- امکان کنترل Bandwidth (Qos).
توجه: اگر به ياد داشته باشيد در بخش چهارم آموزش هنگام مقايسه Linux و Windows گفتيم در Windows امکان کنترل Bandwidth وجود ندارد. در اينجا تصريح مي کنيم که امکان کنترل Bandwidth در ISA بر اساس اولويت است. در صورتيکه در Linux و يا Cisco Routers شما مي توانيد Bandwidth کاربران را به يک سقف معين محدود کنيد. (بعدها در اين مورد بيشتر صحبت خواهيم کرد.)
3- امکان پشتيباني از VPN.
4- امکان Publish کردن Webserverهاي داخلي شبکه.
پس از Publish کردن Webserverهاي داخلي هرگاه يک کاربر از طريق Intenet بخواهد به Webserver ما دسترسي پيدا کند اطلاعات مورد نياز او از طريق ISA در اختيارش قرار مي گيرد. در نتيجه هيچکس از طريق Internet نمي تواند مستقيما" به Webserver هاي ما دسترسي داشته باشد.
5- H.323GateKeeper: ويژه برنامه هايي است که از IP تلفني استفاده مي نمايند. (مثل NetMeeting)
6- Monitoring & Alerts.
نکته: ذکر اين نکته لازم است که هر سيستم عاملي که Http (ver 1.1) را پشتيباني کند مي تواند به عنوان يک WebProxyClient عمل نمايد. اگر بخواهيم از ISA به عنوان يک Firewall استفاده نماييم بايد Clientها داراي Win95 به بعد باشند. Clientها مي توانند به عنوان SecureNAT Client عمل کرده و از خيلي از قابليتهاي ISA بهره-مند شوند.
ISA Server مي تواند در دو حالت زير نصب شود:
1- Stand-alone : در اين حالت ISA Server ها مستقل از يکديگر عمل کرده و به يکديگر متصل نمي شوند.
مزاياي اين روش عبارت است از:
- هزينه کمترو تنظيمات کمتري نياز دارد.
- تمام قابليتهاي Caching و Firewall را داراست.
- از هرنوع Connection حتي Dialup مي تواند استفاده کند.
معايب اين روش هم عبارت است از:
- داراي Enterprise Policy نيست. بنابراين اگر از چند Stand-alone استفاده کنيم بايد هرکدام را جداگانه کنترل کنيم.
- Single Point of Failure: در حالت Stand alone همه چيز وابسته به ISA است و اگر ISA دچار مشکل گردد Internet قطع خواهد شد.
2- Enterprise Array: پياده سازي اين روش فقط بر روي Active Directory امکان پذير است. در اين روش يک Array مرکب از چندين ISA Server تشکيل مي شود که همگي بصورت منطقي از يک نقطه کنترل مي گردند. ضمنا" هر کدام از اعضاي Array قسمتي از اطلاعات را Cache مي کنند. در صورت نياز مي توان Array را گسترش داد. نکته قابل توجه اين است که يک Array فقط تحت يک Domain واحد قابل پياده سازي است. يعني اعضاي يک Array بايد همگي عضو يک Domain باشند.
مزاياي اين روش:
- امکان اعمال Enterprise Policy.
- امکان مديريت متمرکز
- No Single Point of Failure: در اين حالت اگر يک يا چند ISA Server دچار اختلال شود اختلالي در شبکه بوجود نمي آيد.
معايب اين روش:
- نيازمند ايجاد تغييراتي در توپولوژي شبکه است.
- از نظر هزينه نسبت به روش قبلي گرانتر است.
- در ابتداي کار نياز به مطالعه , تحقيق , برنامه ريزي و صرف وقت بيشتري براي پياده سازي دارد.
قابليت ArrayChains: اين قابليت (Hierarchical Caching) اجازه مي دهد که يک ISA Server بدون آنکه مستقيما" به اينترنت متصل باشد از طريق Cache يک ISA Server ديگر به تعدادي Client سرويس دهد.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
Publishing: در اين حالت تمام کساني که بخواهند از طريق اينترنت به WebServer ما دسترسي پيدا کنند مستقيما" با آن ارتباط ندارند بلکه ISA اين اطلاعات را در اختيار کاربران قرار مي دهد.
مزاياي Publish کردن:
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
- بالا رفتن Security شبکه درحالي که اطلاعات سرورهاي ما بدون هيچ مشکلي از طريق اينترنت قابل دريافت است.
- امکان ReverseCaching به کمک Publish کردن فراهم مي شود.
معايب Publish کردن:
- اگر طراحي را به دقت انجام ندهيم بار زيادي بر روي ISA Server اعمال مي شود.
- نياز به انجام تنظيمات دقيق داريم در نتيجه هنگام بروز مشکل براي رديابي آن به مدت زمان بيشتري نياز داريم.
در بخشهاي بعدي ادامه اين بحث را پي مي گيريم. مجددا" از تمامي دوستان مي خواهم که نظرات , پيشنهادات و انتقادات خود را به آدرس alikia@mail.com ارسال نمايند.
نگاه امروز:
در بخش نگاه امروز روشي براي انتقال کامل کاربران Windows از يک کامپيوتر يا Domain به کامپيوتر و يا Domain ديگر را معرفي مي کنيم.
اين کار معمولا" وقتي بکار مي رود که Windows شما دچار اشکال شده باشد و شما مجبور باشيد که مجددا" Windows خود را نصب کنيد. همچنين اگر بخواهيد از Password کاربران خود بطور کامل Backup بگيريد از اين روش استفاده مي شود. در اين روش Passwordهاي عضو Domain بطور کامل قابل انتقال هستند. در حقيقت در اين روش يک کپي از فايل Sam تهيه مي شود و به کامپيوتر جديد منتقل مي شود.
هشدار: برخي افراد سودجو ممکن است از اين روش براي دستيابي به اهداف پليد خود سوء استفاده کنند. مثلا" ممکن است يک نفر با تهيه يک کپي از فايل Sam شما آنرا به کامپيوتر خودش کپي کند و با استفاده از نرم افزارهايي نظير LC4 بتواند به اصل Passwordهاي شما و کاربرانتان دست يابد. همچنين ممکن است کسي از فايل Sam کپي تهيه کند سپس Password يک يا چند کاربر را عوض کند و از Account آنها مدتي سوء استفاده نمايد سپس Sam فايل را مجددا" به جاي خود برگرداند تا کسي متوجه نشود او Passwordها را عوض کرده و از آنها سوء استفاده نموده است.
ابتدا فايل CopyPassword.zip (حجم: 40KB) را Download کنيد و آنرا Unzip کنيد.
سپس دستور زير را اجرا کنيد. Copypwd DUMP > Copypwd.txt
توجه داشته باشيد که نام فايل حتما" بايد Copypwd.txt باشد.
پس از اجراي اين دستور فايلي بنام Copypwd.txt ساخته مي شود. اين فايل شامل Usernameها و Password کاربران است. البته Password بصورت Hash ديده مي شود.
اکنون اين فايل را بر روي کامپيوتر جديد کپي کنيد. شما بايد در کامپيوتر جديد همه کاربران را بدون وارد کردن Password بطور دستي در Windows ايجاد کنيد. اگر تعداد کاربران خيلي زياد است مي توانيد از نرم افزارهايي که از طريق يک Text File نام کاربران را Import کرده و آنها را در NT ايجاد مي کنند استفاده کنيد. (مثل ISPUtil - البته اين نرم افزار بدون قفل سخت افزاري قابل اجرا نيست!) نرم افزارهايي از اين قبيل در اينترنت براحتي يافت مي شوند.
شما کافيست اين فايل را به يک کامپيوتر ديگر کپي کرده و دستور زير را بر روي آن اجرا کنيد.
CopyPwd SET
با اين کار Password کاربران موجود در فايل Copypwd.txt به حالت اوليه بازگردانده مي شود!
ISA
Demilitarized Zone) DMZ):
در واقع شبکه کوچکي است که از شبکه داخلي مجزا بوده و رنج IP هاي مورد استفاده در آن با IPهاي شبکه داخلي متفاوت است. IPهاي DMZ در داخلLATيا(Local Address Table) قرار ندارد.
کلا" DMZ مي تواند به دو شکل زير پياده سازي شود:
1) Tree homed DMZ: در اين حالت يکي از NICهاي ISA به اينترنت , يکي به شبکه محلي و سومي به DMZ متصل مي باشد.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
2-Back to Back DMZ: همانطور که در شکل زير مشاهده مي شود در اين حالت از دو ISA استفاده مي شود که DMZ در بين آنها قرار دارد. در اين حالت امنيت شبکه داخلي بيشتر خواهد بود. زيرا براي نفوذ به داخل آن بايد از دو ISA عبور کنيم. ولي در عوض از نظر هزينه, گرانتر است.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
نصب ISAServer:
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
ISA Server داراي دو نسخه Enterprise و Standard Edition است. هنگام نصب بايد يکي از حالتهاي Caching, Firewall و يا Integrted را انتخاب نماييم.
در حالت Caching فقط Requestهاي FTP و HTTP کاربران Cache مي شود تا سرعت دسترسي کاربران به اينترنت افزايش يابد.
در حالت Firewall دسترسي کامپيوترها و کاربران به منابع مختلف کنترل گرديده و نظارت مي شود.
در حالت Ientegrated هر دو حالت فوق باهم بصورت تلفيقي وجود دارند.
نکته: اگر بخواهيم از Caching استفاده کنيم حداقل به يک پارتيشن NTFS نياز داريم. البته جهت بالا بردن Security پيشنهاد مي شود که تمام Driveها به NTFS فرمت شوند.
هنگام نصب ISA بصورت پيش فرض به ميزان 100MB از فضاي بزرگترين پارتيشن NTFS جهت استفاده Cache انتخاب مي شود. به شرطي که حداقل150MB فضا بر روي آن وجود داشته باشد. ضمنا" حداقل اندازه Cache برابر با 5MB است.
ميزان ظرفيت Cache چقدر باشد؟
در همه Cacheها يک نقطه مشترک وجود دارد و آن هم تعيين CacheSize است. در تماس با برخي از دوستان و مديران شبکه هاي اطلاع رساني چه در تهران و چه در شهرستانها به وفور به اين مسئله برخورد کرده ام که آنها براي بالا بردن سرعت شبکه ميزان Cache Size را بالا مي برند تا به اين ترتيب حجم بيشتري از اطلاعات در Cache Server ذخيره شود. در صورتي که اين کار درست نيست! مثلا" فرض کنيد ميزان Cache Size برابر با 50GB باشد. آنگاه اگر کاربري تقاضاي يک URL کند Cache Server بايد در 50GB اطلاعات بدنبال آن URL بگردد! وجود چنين Cacheي نه تنها سرعت را بالا نمي برد بلکه نتيجه معکوس به همراه دارد.
تعيين اندازه Cache Size به تعداد Requestهاي کاربران در واحد زمان بستگي دارد. همچنين نوع کاربران (Lan يا Dialup) هم در تعيين ميزان Cache Size مؤثر است. به طور تقريبي مي توان گفت که يک کاربرDialup معمولا" در 90% زمان اتصال به شبکه Browse انجام مي دهد. و بطور متوسط در هرثانيه به ميزان 0.02 Request دارد. بنابراين از فرمول زير مي توان PeakRequest Rate را براي کاربران Dialup بدست آورد.
Peak Request Rate =(Number of Lines) X.02
کاربران Lan هم هرکدام معمولا" فقط در 10% زمان کار خود Browse انجام مي دهند و بطور متوسط در هرثانيه به ميزان 0.002 Request دارند. بنابراين از فرمول زير مي توان Peak Request Rate را براي کاربران Lan بدست آورد.
Peak Request Rate = (Number of Lan Users) X .002
براي تعيين اندازه Cache Size دو مقدار فوق را باهم جمع کنيد تا Request Rate بدست آيد. اينک مطابق فرمول زير ميزان Cache Size بدست مي آيد.
Cache Size(MB) = (request rate) X 432
مثلا" اگر شما 10 کاربر Lan و 30 کاربر Dialup داشته باشيد ميزان Cache Size شما بايد تقريبا" برابر با 268MB باشد! با اين مقدار بطور تقريبي Cache Server شما بهترين Performance را خواهد داشت.
البته شرکت Microsoft درباره ISA فرمول زير را توصيه کرده است:
[(Cache Size = [100 MB + (n/2
که در آن n تعداد Clientها است. طبق اين فرمول اگر ما 40 کاربر داشته باشيم بايد ميزان Cache Size را معادل 120MB قرار دهيم. مجددا" تأکيد مي کنم که بالا بردن بي رويه رقم Cache Size اثر منفي در نتيجه کار خواهد داشت.
بگذريم! ISA فايلهاي مربوط به Cache را در داخل شاخه اي با نام URLCache ذخيره مي کند. اگر بخواهيم بيش از 10GB در يک درايو Cache کنيم تعداد فايلهاي ما بيش از يک فايل خواهد بود. زيرا هرکدام از فايلهاي Cache حداکثر مي توانند 10GB باشند.
ATيا(Local Address Table):
شامل فهرست IPهاي شبکه داخلي است. ISA با استفاده از LAT ,IPهاي داخل و خارج از شبکه را تشخيص مي دهد. در هنگام نصب ISA مي توان IPهاي LAT را معرفي کرد.
نگاه امروز:
چندي پيش اتفاقي به سايتي برخوردم که اسمش عجيب و جالب توجه بود. شما هم اگر بشنويد تعجب خواهيد کرد. واقعا" عجب دنيايي شده!؟ اول اينترنت بوجود مي آيد. بعد عده اي جمع مي شوند و کلي مطالعه مي کنند که ببينند به چه روشهايي مي شود به شبکه هاي ديگران نفوذ کرد تا از اين راه پول دربياورند! بعد عده ديگري جمع مي شوند و کلي مطالعه و تحقيق و برنامه نويسي مي کنند تا ببينند چگونه مي توان جلوي Hackerها را گرفت! سپس کلي برنامه Firewall و روش براي جلوگيري از ورود Hackerها به شبکه ابداع مي کنند تا آنها هم پولدارتر از گروه اول شوند. سپس عده اي ديگر بازهم دور هم مي نشينند و تحقيقات وسيع تري مي کنند که ببينند چگونه مي توانند Firewallها را بي اثر کنند!! و پس از چندي برنامه هاي AntiFirewall مي سازند تا پولدارترتر از همه شوند!!!
دوباره عده اي دور هم مي نشينند .... و الي آخر.
باور نمي کنيد؟ به سايت www.antifirewall.comبرويد تا باور کنيد. مطالبي که در اين سايت نوشته شده اگر حقيقت داشته باشند از نقطه نظر فني جالب و عجيب است. چون ادعا کرده تمام Firewallها يعني کشک! (حتي همين ISA که ما داريم آموزش مي دهيم!)
من که هنوز فرصت نکرده ام نرمافزار Download شده را نصب کنم. (البته نسخه Demo را) راستش را بخواهيد بخاطر مسائل امنيتي جرأت هم نکرده ام. به هر حال اگر کسي از دوستان اين نرم افزار را تست کرد و يا نسخه اصلي آنرا گير آورد به ما هم يک ندايي بدهد.
علي کيائي فر
alikia@mail.comISA
Policyها در ISA:
Administrator با استفاده از Policy مي تواند با توجه به سياستهايش دسترسي افراد را به Internet کنترل نمايد. براي مثال مي تواند فرد و يا گروهي از افراد را در ساعات مشخصي از روز به يک سايت معين محدود کند. و يا مي تواند پهناي باند معيني به آنها بدهد و يا .... .
براي پياده سازي يک Policy ابتدا بايد عناصر اصلي يا پايه يک Policy را تنظيم نماييم و با ترکيب آنها يک Policy نهايي ايجاد نماييم. مهمترين Policyهاي قابل تنظيم در ISA عبارتند از:
1- Schedules: با استفاده از اين پارامتر مي توان زمان (روز و ساعت) اعمال يک Policy را تعيين کرد.
2- Destination Sets: با استفاده از اين قسمت مي توانيم يک IPRange يا HostName مشخص را مشخص نماييم و از دسترسي شبکه داخلي (يا برخي از اعضا) به اين آدرسها جلوگيري نماييم. در اين قسمت علائم Wild Cards (* و ? ) هم قابل استفاده هستند.
3- Configure Client Address Sets: با استفاده از اين قسمت مي توان يک يا تعدادي از کامپيوترهاي داخل شبکه را انتخاب کرد تا محدوديتهاي تعيين شده بر روي آنها اعمال شود.
4- Protocol Definition: با استفاده از اين قسمت مي توانيم استفاده از پروتکلهاي معين از اينترنت را Allow و يا Deny نماييم. در ISA اکثر پروتکلهاي معروف و رايج تعريف شده اند و قابل استفاده اند. مانند Http , FTP, MSN, Telnet , SMTP و ... . همچنين شما مي توانيد به تعريف پروتکلهاي دلخواه خود بپردازيد.
5- Bandwidth Priorities: با استفاده از اين قسمت مي توانيم اولويتهاي مختلفي را براي استفاده از پهناي باند تنظيم نماييم تا با استفاده از آنها در يک Policy , پهناي باندي را که به يک پروتکل يا افراد مي خواهيم اختصاص دهيم مشخص نماييم.
6- Content Groups:با استفاده از اين قسمت مي توانيم مجوز دسترسي به يکسري فايل مشخص و معلوم را صادر و يا رد کنيم.
7- Dialup Entries: در اين قسمت مي توانيم با استفاده از Dialup Connectionهايي که قبلا" تعريف نموده ايم امکان استفاده از آنها را Allow يا Deny کنيم.
Array & EnterprisePolicy:
بر روي يک Array مي توان Enterprise Policy وPolicy Array را اعمال نمود. اما براي پياده سازي بايد به نکات زير توجه کرد:
1- يک Enterprise Policyيا(EP) را مي توان بر روي چندين Array اعمال نمود.
2- يکArray Policy نمي تواند مجوزهاي دسترسي را گسترش دهد بلکه فقط مي تواند دسترسي هاي افراد را محدودتر کند.
3- Userهايي که عضو Enterprise Admins و يا Domain Admins هستند مي توانند EP ها را تعريف کرده و يا تغيير دهند.
4- در صورت نياز مي توان جلوي تعريف Array Policy را گرفت تا Administratorهاي Arrayها نتوانند دسترسي ها را محدودتر نمايند.
5- تا جايي که ممکن است Policyها بايد کم و ساده باشند و بدون دليل دسترسي افراد را محدود نکنند.
6- هيچ ترتيبي در اعمال Policyها وجود ندارد. همواره Policyهايي که دسترسي ها را deny مي کنند بر روي Policyهايي که Allow مي کنند Override مي نمايند.
نحوه عملکرد Cache در ISA:
وقتي يک Client درخواستي را جهت دريافت Data از اينترنت به ISA ارسال نمايد به ترتيب مراحل زير رخ مي دهند:
1- ISA ابتدا Enterprise Policy و Array Policyها را چک مي کند تا ببيند درخواست انجام شده مجاز است يا خير.
2- اگر مجوز دسترسي وجود داشته باشد ISA در Cache خود بررسي مي کند تا اگر مورد درخواست شده در آن موجود باشد آنها را به سرعت در اختيار Client قرار دهد.
3- اگر مورد درخواستي در Cache وجــود نــداشته باشند ISA آنها را از ايــنــتــرنــت دريـــافـــت مي کـــنـــد و يــک TTLيا(Time to Live) به آنها اختصاص مي دهد و پس از Cache نمودن , آنها را در اختيار Client قرار مي دهد.
4- اگر باز هم قبل از آنکه موارد Cache شده Expire شوند دوباره درخواست شوند , ISA بدون مراجعه به اينترنت آنها را از طريق Cache خود در اختيار Client ها قرار مي دهد.
CARPيا(Cache Array Routing Protocol)
با استفاده از اين پروتکل مواردي که قرار است Cache شوند بر روي ISA Serverهاي عضو Array ذخيره مي گردند. جالب اينجاست که از ديد Clientها فضاي تک تک ISAهاي عضو Array کلا" بصورت يک Cache منطقي و واحد تلقي مي شود! اين پروتکل داراي الگوريتمي مي باشد که موارد Cache شده را را بر روي ISA Server ها ذخيره مي کند. هرگاه يک Client از يک ISA که داخل Array باشد چيزي را درخواست کند آن ISA Server با استفاده از پروتکل CARP محل دقيق آنرا بر روي ISA Server هاي ديگر تشخيص داده و پس از دريافت آن موارد آنها را در اختيار Client مربوطه قرار مي دهد. در گذشته از پروتکل ICPيا(Internet Cache Protocol) بجاي CARP استفاده مي شد. در ICP هرگاه درخواستي از Proxy Server مي شد ابتدا آن سرور مورد جستجو قرار مي گرفت و درصورت پيدا نشدن مورد درخواست شده از Cache Serverهاي ديگر وجود و يا عدم وجود آن مورد را بررسي قرار مي داد.
مزاياي CARP به ICP:
1- سرعت در اختيار قرار دادن موارد درخواست شده در CARP بيشتر است. چون در CARP دقيقا" محل URL مورد تقاضا مشخص بوده و ديگر نيازي به جستجو نيست.
2- ترافيک ايجاد شونده توسط پروتکل CARP در شبکه LAN بسيار کمتر است. چون جهت يافتن موارد Cache شده در نيازي به Search نيست.
نکته: با استفاده از Chains که ترکيبي از دو يا چند Array مي باشد مي توانيم يک Hierarchical Caching بوجود بياوريم.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
فکر مي کنم براي امروز تا همين جا کافيست. ادامه بحث را در بخش بعدي پي مي گيريم. از تمامي دوستاني که از طريق Email با من در ارتباطند متشکرم. مجددا" از دوستان مي خواهم چنانچه نوشته و يا تحقيقي در زمينه ISA دارند براي بخش آموزش دزنگار ارسال نمايند تا با نام خودشان در اين صفحه قرار گيرد. به اميد داشتن وبلاگهاي پربارتر از هميشه. و اما بخوانيد نگاه امروز را:
نگاه امروز:
از Email هاي دوستان اينچنين به نظر مي رسد که بخشهاي مختلف نگاه امروز مورد توجه بسياري از دوستان قرار گرفته است. بي شک تماسهاي شما دوستان عزيز موجب دلگرمي بيشتر براي درج مطالب مفيدتري در اين بخش خواهد شد.
يکي از مواردي که معمولا" هر کاربر مي خواهد از آن آگاهي داشته باشد ميزان حداکثر پهناي باندي است که او مي تواند از آن استفاده کند. شما وقتي به شبکه اي Connect مي کنيد ممکن است Modem شما با سرعت 56Kb/s به ISP وصل شود. اما آيا شما واقعا" و عملا" مي توانيد به ميزان 56Kb/s از شبکه استفاده کنيد؟؟
شايد شما بخواهيد کيفيت سرويس دو ISP را باهم مقايسه کنيد. واقعا" چه معياري براي اين کار داريد؟
در بخش نگاه امروز يک روش آسان را براي اندازه گيري ميزان واقعي پهناي باند معرفي مي کنيم. امروزه سايتهاي فراواني در اينترنت يافت مي شوند که از طريق يک Backbone قوي پهناي باند واقعي شما را اندازه مي گيرند. تعدادي از اين سايتها را در اينجا معرفي مي کنيم.
البته توجه داشته باشيد براي دستيابي به نتيجه دقيقتر هنگام اندازهگيري پهناي باند بهتر است از اينترنت استفاده نکنيد.
ISA
Negative Caching
وقتي زمان TTL (زمان حيات) يک Object در Cache به پايان برسد آن مورد Expire مي شود. اما اگر ISA از نظر فضاي فيزيکي دچار محدوديت نشده باشد موارد Expire شده را پاک نمي کند. به اين ترتيب هرگاه يک کاربر درخواستي انجام دهد و اين درخواست از جمله همان مواردي باشد که Cache گرديده و Expire شده اند, ISA ابتدا سعي مي کند با مراجعه به اينترنت آنها را دوباره Cache کرده و Update نمايد. اما اگر به هردليلي امکان برقراري ارتباط با اينترنت و يا Server مربوط به Object درخواستي فراهم نشود با توجه به تنظيماتي که در قسمت Advanced واقع در Cache Configuration Properties انجام داده ايم ISA مي تواند از همان موارد Expire شده در Cache در اختيار Client قرار دهد.
Active Caching
يکي از قابليتهاي جالب ISA است. با فعال شدن Active Caching بطور هوشمندانه سايتهايي که مراجعه کننده و متقاضي زيادي دارند قبل از اينکه TTL آنها به پايان برسد و Expire شوند دوباره Cache مي شوند تا دسترسي کاربران به آنها سريعتر باشد.
Scheduled ContentDownload
با استفاده از اين قابليت مي توانيم از ISA بخواهيم تا صفحات و سايتهايي را که مراجعه کنندگان زيادي دارند در ساعات و تاريخهاي مشخصي Download نموده و Cache نمايد تا در هنگام نياز به سرعت در اختيار کاربران قرار گيرد.
توجه: بهتر است زماني را براي اجراي اين Jobها انتخاب کنيم که در در آن ساعات ترافيک شبکه پايين باشد. (مثل ساعات اوليه صبح)
FIREWALL
همانطور که قبلا" هم گفتيم ISA شامل يک Firewall چندلايه مي باشد که مي تواند Data ردوبدل شده از حالت Packet تا لايه Application را کنترل نمايد. شما با توجه به سياستهاي حفاظتي خود مي توانيد از قابليتهايي مثل Access Policy , IP Packet Filtering, Intrusion Detection , Application Filters,LAT , LDT و ... استفاده کنيد.
ApplicationFilters
ISA مي تواند با تمام برنامه هاي سازگار با Winsock کار کند. بدين معنا که با استفاده از Firewall مي توانيم تبادل Data بين دو کامپيوتر مختلف را که در دوطرف ISA قرار داشته و از يک Winsock استفاده مي نمايند , امکانپذير ساخته و کنترل نماييم.
LDTيا(Local DomainTable)
در اين قسمت مي توانيم نام Domain هايي را که در شبکه داخلي ما قرار دارند وارد نموده و با اين کار Domainهاي Local را به ISA معرفي کنيم. هرگاه يک Client بخواهد نام يک Client ديگر را به IPآن Resolve کند پس از آنکه ISA, DNSQuery آن Client را دريافت کرد با بررسي LDT تشخيص ميدهد که آن درخواست را بايد به يک DNS داخلي و يا يک DNS موجود در Internet ارجاع دهد. LDT را مي توانيم در قسمت Network Configuration تنظيم کنيم.
نکته: هنگام اضافه کردن يک مورد جديد به LDT اگر قصد اضافه کردن تمام کامپيوترهاي عضو يک Domain را داشته باشيم مي توانيم از فرمت domainname.* استفاده کنيم.
SystemHardening
با استفاده از اين قابليت مي توانيم سرويسهايي را که يک ISA در اختيار ديگران قرار مي دهد مشخص و معلوم نماييم تا Security سيستم افزايش يابد. تنظيم اين قابليت در سه حالت است:
1- Secure: در اين حالت علاوه بر آنکه ISA سرويسهاي Firewall و Caching را ارائه مي کند, مي تواند سرويسهاي مربوط به برنامه هاي ديگر را نيز ارائه کند.
2- Limited Services: دراين حالت ISA فقط به عنوان Firewall و Caching ايفاي نقش مي کند.
3- Dedicated: در اين حالت فقط Firewall فعال مي باشد.
براي انجام System Hardening بايد IP Packet Filter را در قسمت Access Policy ها انتخاب کرده و در پنجره سمت راست Secure your ISAServer , Computer را انتخاب مي کنيم. از اين روش زماني استفاده مي شود که نمايش Consol در حالت View/Taskpad باشد. راه ديگر انجام اين کار کليک راست بر روي کامپيوتر مربوطه در قسمت Computers و انتخاب Secure مي باشد.
در جلسه آينده بحث را در زمينه Firewall ادامه مي دهيم.
نگاه امروز:
امروز قصد داريم تعدادي نرم افزار Remote Control را معرفي کنيم. به کمک اين نرم افزارها شما از راه دور و از طريق اينترنت قادريد يک PC متصل به اينترنت را در هر نقطه جهان Monitor و کنترل کنيد. يعني شما مي توانيد بدون حضور فيزيکي دقيقا" Desktop آن کامپيوتر را مشاهده نماييد و با آن کار کنيد. شرکت Microsoft اين نياز را پيش بيني کرده و Terminal Service را در Windows براي اين منظور معرفي کرده است. اما توجه داشته باشيد که Terminal Service نمي تواند Desktop طرف مقابل را عينا" به شما نشان دهد. بلکه يک Session جديد در Windows تشکيل مي دهد و از طريق Consol اصلي فعاليتهاي کسي که از طريق Remote به کامپيوتر وصل شده است و مشغول کار است ديده نمي شود.
آقاي Norton معروف هم با درک اين نياز PCAnywhere را عرضه کرده است که حتما" با آن آشنا هستيد. اين نرم افزار از ميان نرم افزارهاي مشابه داراي قدمت بيشتري است.
نرم افزار Remote Admin هم يک نرم افزار بسيار خوب و سبک براي کنترل يک کامپيوتر از راه دور است. اين نــرم افــزار بــايــد هــم روي کــامپــيوتر مبدأ و هم روي کامپيوتر مقصد نصب شود. آدرس براي Download اين نرم افزار:
يکي ديگر از نرم افزارهاي خوب در اين زمينه VNC مي باشد که از محبوبيت خوبي برخوردار است. يکي از امکانات منحصر به فرد اين برنامه اين است که از طريق Internet Explorer هرکامپيوتري و تنها با وارد کردن IP (به همراه پورت VNC) کامپيوتري که برنامه VNC روي آن نصب است مي توان Desktop آنرا مشاهده کرد و آنرا در اختيار گرفت.
Remote Desktop در xp هم همين کار را انجام مي دهد.
توجه داشته باشيد که در همه نرم افزارهاي فوق لازم است که نرم افزار مربوطه بر روي کامپيوتر ميزبان نصب شود. اما يک نرم افزار جالب ديگر بنام Dameware وجود دارد که مي تواند از راه دور Client خود را بر روي کامپيوتر ميزبان نصب کند! و سپس آن کامپيوتر را مانيتور کند. آن نرم افزار قابليتهاي بسيار زيادي دارد. به کمک اين نرم افزار مي توان از راه دور عمليات مختلفي بر روي کامپيوتر ميزبان به اجرا در آورد که برخي از آنها عبارتند از:
- Shutdown کردن کامپيوتر از راه دور.
- مشاهده درايوهاي يک کامپيوتر از راه دور.
- مشاهده Userهاي يک کامپيوتر از راه دور و ايجاد و حذف يک User.
- نصب و يا حذف کردن سرويسها در کامپيوتر از راه دور.
- در اختيار گرفتن Command Prompt کامپيوتر از راه دور.
و... .
البته همه اينها در شرايطي است که شما سطح دسترسي Administrator به کامپيوتر ميزبان داشته باشيد. (البته براي مشاهده ليست کاربران نياز به سطح دسترسي Administrator نيست. به اين ترتيب شما با داشتن IP مربوط به Server اصلي هر ISP مي توانيد ليست کاربران تعريف شده در آنرا مشاهده نماييد!!! )
به کمک اين نرم افزار حتي مي توانيد ماوس و Keyboard اصلي سيستم را Lock کنيد تا فقط خودتان کنترل سيستم را بر عهده بگيريد و کسي که در مقابل کامپيوتر اصلي نشسته است نتواند کاري بکند.
به هرحال اين نرم افزار داراي قابليتهاي بي شمار و جالبي مي باشد. به حرفه ايها توصيه ميکنم که حتما" اين نرم افزار را Download کرده و از آن استفاده کنند.
اين نرم افزار شامل دو بخش NT Utilities و Mini Remote Control است که از اين طريق قابل دريافت هستند:
بازهم از همه دوستان به خاطر تأخير در ارائه درس جديد عذرخواهي مي کنم و با عرض پوزش بايد بگويم که اين تأخير در درسهاي بعد هم ادامه خواهد داشت. چون بدليل پاره اي مشکلات شخصي نمي توانم روي اين کار وقت زيادي بگذارم. چون همانطور که گفتم اين کار وقت زيادي را مي طلبد. من چند بار از دوستان خواستم که اگر مطالبي در زمينه ISA يا هر چيز مناسب ديگر دارند برايمان بفرستند تا با نام خودشان در سايت قرار گيرد. اما متأسفانه هيچ کس دست ياري دراز نکرد. اميدوارم که حداقل بحثهايمان را در زمينه ISA به جاي خوبي برسانيم و کارمان را تمام کنيم(!)
ISA
ISA Authentication
قبل از آنکه يک Client بتواند از ISA درخواستي کند بايد Authenticate شود.
در ISA روشهاي زير براي Authenticate کردن وجود دارد:
1- Basic: در اين روش Username و Password بصورت Clear text ارسال مي گردد.
2- Digested: در اين روش يکسري Data به Username و Password اضافه مي گردد تا تشخيص آن براحتي انجام نپذيرد. اگرچه در اين روش Password ها Encrypt نمي شوند ولي داراي Security بيشتري نسبت به روش قبل است.
3- Windows Integrated: در اين روش از Kerberos V.5 استفاده مي شود.
علاوه بر روشهاي فوق ISA داراي قابليت Passthrough Authentication نيز مي باشد. با استفاده از اين قابليت يک Client داخل شبکه مي تواند بر روي يک WebServer در اينترنت Authenticate شود. اين قابليت Kerberos را پشتيباني نمي کند. يکي ديگر از مزاياي اين قابليت اين است که اگر يک Client از طريق يک Downstream موجود در يک Chain بخواهد به اينترنت متصل شود کافيست که فقط بر روي همان Downstream شناسايي گردد. شناسايي شدن آن با استفاده از اين قابليت به Upstream Array موجود در Chain نيز ارسال مي شود.
Application Filters
در قسمت Extensions واقع در يک Array با انتخاب Application Filter مي توانيم از Filterهايي که قبلا" بر روي ISA تعريف شده اند استفاده کنيم. به عنوان مثال Http Redirector يکي از اين فيلترهاست که از آن مي توان براي ارجاع Requestهاي خاص کاربران به يک آدرس ديگر استفاده کرد. مثلا" شما مي توانيد تمام Requestها به مقصد www.yahoo.com را به www.hotmail.com هدايت (Redirect) کنيد. اگر کمي زيرکي به خرج دهيد مي توانيد از اين فيلتر براي گذاشتن تبليغ بر روي سايتهاي مختلف (مثلا" Yahoo) استفاده کنيد! (منظور اين است که مي خواهيم هرگاه کاربرانمان به www.yahoo.com مراجعه مي کنند ضمن اينکه سايت Yahoo براي آنها به نمايش درمي آيد در کنار آن تبليغ ISP هم بازشود!) فکر مي کنم از روي توضيحات فوق روش انجام اين کار را پيدا کرده باشيد. اصلا" خوب است يک مسابقه ترتيب دهيم و از شما بخواهيم روش اين کار را بنويسيد. پس سئوال مسابقه به اين شکل است:
- - - سئوال مسابقه
مي خواهيم هنگامي که کاربرانمان به يک سايت نظير www.yahoo.com مراجعه مي کنند در کنار آن تبليغي از ISPخودمان به نمايش درآيد. براي اين منظور شما چه روشي را پيشنهاد مي کنيد؟
(توجه داشته باشيد در Http Redirector هر Request را فقط به يک جا مي توان Redirect کرد.)
پاسخ خود را مي توانيد در قسمت نظرات پايين همين صفحه وارد کنيد.
ايجاد و تنظيم Array
در صورت نياز مي توانيم بر روي Servers و Arrays کليک راست کرده و يک Array جديد ايجاد کنيم. در هنگام ايجاد يک Array بايد سايت و Domainي را که آن Array در آن قرار خواهد داشت مشخص کنيم. درضمن چگونگي اعمال Policy بر روي هر Array را نيز مي توان مشخص نمود. پس از ايجاد Array مي توانيم بر روي آنRight-Click نموده و با انتخاب Properties تنظيمات مربوط به آن Array را انجام دهيم.
Policy Tab:
در اين Tab مي توانيم در صورت نياز يک Enterprise Policy دلخواه را که از قبل تعريف شده است را بر روي Array مربوطه اعمال نموده و در ضمن با Optionهاي اضافي امکانهايي از قبيل Array Level Policy , Publishing Rules و Packet Filtering را انجام دهيم.
ضمنا" در Outgoing Web Requests مي توانيم ISA Server هايي را که به درخواست Clientها جهت اتصال به اينترنت گوش مي کنند و آنها را به اينترنت متصل مي کنند مشخص و تنظيم نماييم.
توجه: بصورت Default تمام Serverهاي موجود در يک Array به تمام درخواستهايي که به IP هاي داخلي آنها ارسال مي شود گوش مي کنند.
در Incoming Web Requests مي توانيم ISAهايي را که قرار است به درخواستهاي انجام شده از طرف اينترنت جهت اتصال به شبکه داخلي گوش کرده و به آنها پاسخ دهند مشخص مي نماييم.
توجه: بصورت Default هيچ سروري اين کار را انجام نمي دهد.
در جلسه آينده بحث در زمينه Firewall را ادامه مي دهيم.
نگاه امروز:
شما به چه ميزان به Security شبکه خود اطمينان داريد؟ شما تا چه حد به غير قابل نفوذ بودن شبکه خود ايمان داريد؟ شما چه اقدام مفيدي براي بالا بردن Security شبکه خود انجام داده ايد؟
چندي پيش با مدير يکي از ICPهاي بزرگ تهران که فردي پرتلاش و با پشتکار فراوان است در مورد Security صحبت مي کردم. از آنجا که ايشان نسبت به صحت عملکرد Adminهاي خود ترديد داشتند از من خواستند تا وضعيت Security شبکه آنها را بررسي کنم. من هم با استفاده از چند نرم افزار خيلي ساده از راه دور حتي بدون Connect شدن به شبکه آنها و فقط با دانستنIP آنها موارد زير را برايش Email کردم:
1- توپولوژي شبکه آنها بصورت گرافيکي همراه با جزئيات TCP/IP.
2- تعداد و نوع روترهاي آنها.
3- ورژن IOS روترهاي آنها.
4- رنج IPهاي Invalid استفاده شده در شبکه.
5- ليست کليه کاربران.
6- ليست کاربران Online.
7- ليست Asyncهاي هر روتر به همراه کاربران فعال بر روي هر پورت.
8- Disconnect کردن هر کاربر دلخواه از شبکه.
9- نمايش فهرست نرم افزارهاي نصب شده بر روي تعدادي از کامپيوترهاي Lan از جمله کامپيوتر Adminitrator !
10- نمايش فهرست نرم افزارهاي در حال اجرا بر روي تعدادي از کامپيوترهاي Lan از جمله کامپيوتر Adminitrator !
11- ميزان کل پهناي باند استفاده شده توسط ICP بصورت لحظه اي و روزانه.
12- و ... .
بله, هميشه همه چيز آنطور نيست که ما فکر مي کنيم. اين جمله اي است که هر Administrator بايد هميشه آنرا بخاطر داشته باشد. هميشه همه چيز آنطور نيست که ما فکر مي کنيم.
اين را بخاطر داشته باشيد که اولين اقدام يک هکر براي نفوذ به شبکه شما جمع آوري اطلاعات از وضعيت شبکه شما است. اشتباه عمده اين ICP در اين بود که سرويس SNMP را بر روي روترها و بعضي از کامپيوترهاي Lan فعال کرده بود بدون آنکه Community را از public تغيير داده باشد! حتي بر روي روترهايش SNMP را RW به معناي Read-Write معرفي کرده بود!
به هر حال همه اينها را گفتم تا نرم افزار NetCrunch را معرفي کنم. نرم افزاري که در عين سادگي بسيار جالب است. (Crunch به معناي صداي خرد شدن چيزي زير دندان است.) توضيح بيشتري در مورد اين نرم افزار نمي دهم. بهتر است خودتان آنرا Download کنيد و امتحان کنيد.
علي کيائي فر
alikia@mail.com تا کنون شش قسمت از آموزش ISA را پشت سر گذاشتيم. راستش روز اولي که آموزش ISA را در اين سايت شروع کردم فکر نميکردم تا اين حد مورد استقبال قرار بگيرد. اکنون که تنها 6 قسمت از آموزش ISA به پايان رسيده روزانه تعداد زيادي Email درباره ISA دريافت مي کنم که غالبا" سئوالاتي درباره ISA دارند که پاسخ دادن به برخي از اين سئوالات مستلزم صرف وقت و آزمايش و تحقيق است. بسياري از سئوالات هم تکراري هستند. عدهاي هم پيشنهاداتي در مورد بهتر شدن آموزش دارند. مثلا" چند نفر از دوستان گفته بودند که اگر از عکس استفاده کنيد بهتر است. در جواب اين دوستان بگويم همانطور که تا کنون متوجه شدهايد ما قصد داشته ايم مفاهيم ISA را مطرح کنيم و تا کنون از درگير شدن در جزئيات منوها و پنجره هاي ISA تا آنجا که ممکن بوده اجتناب کردهايم. چون به نظر من اگر بخواهيم وارد اين جزئيات شويم هم مطالب خيلي طولاني ميشوند و هم بيان آنها و هم خواندن آنها و پي گيري مطالب مشکلتر ميشود ضمن اينکه نگارش و تهيه مطالب صد برابر بيشتر وقت ميگيرد. البته من در کلاسهاي حضوري خود سعي ميکنم تمام مطالب را بصورت عملي و همراه با جزئيات کامل آموزش دهم ولي انجام چنين کاري در Web امکان پذير نيست.
در مورد سئوالات هم براي چندمين بار از ردهت مي خواهم که يک جايي براي FAQ در اين بخش باز کند تا جواب دادن به سئوالات آسان باشد.
و اما ادامه بحث:
ISA Array Chain
اگر شما در شبکه خود دو Array داشته باشيد مي توانيد يکي را بهديگري Chain کنيد. به اين ترتيب يک ArrayChain بوجود مي آيد. اگر از يک Array در قسمت Properties , Network Configuration بگيريم مي توانيم از آن بخواهيم تا جهت اتصال به اينترنت از يک Array ديگر استفاده کند و بدين ترتيب يک Chain ايجاد کنيم. در پنجره باز شده Chain to this computer را انتخاب کرده و در آن قسمت يکي از اعضاي Upstream Array مورد نظر را مشخص مي کنيم.
Setting Up ISA Clients:
ISA به سه روش مي تواند از Clientها پشتيباني کند:
1- FirewallClients: در اين حالت يک برنامه مخصوص بر روي Client ها نصب مي گردد و امکان استفاده از تمام قابليتهاي ISA Server را به آن Clientها مي دهد. اين برنامه مخصوص Winsock Compatible مي باشد و فقط مي تواند بر روي OSهاي Win9x , Me, NT4.0 و Win2k نصب گردد. اين برنامه شامل dll هايي مي باشد که درخواستهاي برنامه هاي ديگري را که بر روي Firewall Clients نصب بوده و با Winsock , Compatible مي باشند, دريافت کرده و به Redirect , ISA مي نمايد بگونه اي که آن برنامه ها متوجه دخالت ISA در اتصال به اينترنت نشوند.
2- Client :Secure NATهايي را که نمي توان به عنوان Firewall Client تنظيم نمود به Secure NAT Client تبديل مي کنيم (مانند Linux , Macintash و ... ). در اين حالت تقريبا" تمام قابليتهاي Firewall وجود دارد. اما High Level Protocols و UserLevel Authentication پشتيباني نمي شود.
3- WebProxy: هر Client که از يک Web Browser که HTTP 1.1 را Support کند استفاده نمايد مي تواند WebProxy Client شود. در اين حالت فقط مي توان از قابليت Caching بهره برداري نمود.
نکته: IE 3.0 و Netscape 3.0 به بعد HTTP 1.1 را Support مي کنند.
نصب Firewall Client
بصورت Default برنامه Firewall Client در شاخه MSPClient بر روي ISA Server ها Share مي باشد. Client ها بايد به اين Folder متصل شده و آنرا Setup کنند.
نکته مهم: اين برنامه را نبايد بر روي ISA Serverها نصب کرد!
فايلهايي که پس از نصب Firewall Client در محل نصب شده اين برنامه وجود مي آيد عبارتند از:
1- Firewall.txt: در اين فايل عملياتي که در هنگام Setup رخ داده است به ثبت مي رسد.
2- شاخه Setupbin: در اين Folder فايلهاي مخصوص نصب برنامه Firewall Client کپي مي گردند که از آنها مي توانيم جهت Remove کردن برنامه استفاده کنيم.
3- MSPLAT.txt : در داخل اين فايل تنظيمات موجود در LAT موجود مي باشند. اين فايل هرچند وقت يکبار توسط سرويس MSPAdmin بطور خودکار Update مي شود.
4- MSPClient.ini : در داخل اين فايل تنظيمات مربوط به Firewall Clientها (که ميتوان از طريق کنسول ISA و در قسمت ClientConfiguration انجام داد) موجود مي باشد. در هنگام نصب Firewall Client اين فايل ايجاد گرديده و هر بار Client دوباره Start مي گردد اين فايل Update مي شود. ضمنا" هر 6 ساعت يکبار نيز در صورت روشن بودن Client و اتصال آن به شبکه عمل Updating انجام مي گيرد.
5- Chkwsp32: اين فايل يک Utility تحت Dos جهت بررسي وضعيت Winsock Application هاي موجود بر روي Firewall Client مي باشد.
نکته : براي آنکه هرکدام از Clientهاي ISA Server بتوانند با استفاده از Web Server خود از طريق ISA به اينترنت متصل شوند بايد در Browser آنها تنظيماتي انجام گيرد که در Firewall Clientها نيازي به تنظيم اين پارامتر بصورت Manually وجود ندارد. زيرا مي توانيم اين تنظيمات را درقسمت Client Configuration از طريق کنسول ISA انجام دهيم و در نتيجه با تغييري که در فايل MSPClient.ini ايجاد مي گردد Clientها از اين تنظيم با خبر مي شوند.
Secure NATClient: براي پياده سازي آن فقط کافيست که IP يک ISA Server را براي اين Clientها به عنوان Default Gateway تعريف نماييم.
ClientWeb Proxy: براي پياده سازي آن کافيست که در Web Browser اين Clientها آدرس ISA را به عنوان Proxy تعريف نماييم.
پياده سازي Automatic Discovery:
يکي از دغدغه هاي مديران شبکه هايي که از روش Client Web Proxy استفاده مي کنند اين است که همواره بايد به کاربران ناوارد خود يادآوري کنند که در Browserهاي خود بايد تنظيمات Proxy را Set کنند. در اينجا يک روش ابتکاري را براي حل اين مشکل معرفي مي کنيم.
براي آنکه نيازي به تنظيم آدرس Proxy در Browser کاربران بصورت Manually نباشد مي توانيم در DHCP Server يک Option تنظيم نماييم تا Clientهايي که IP اتوماتيک دريافت مي نمايند علاوه بر IP , SubnetMask و ... , تنظيمات لازم جهت Web Proxy را نيز دريافت کنند. براي انجام اينکار در کنسول DHCP بر روي Server خود R-Click نموده و Set Predefined Options را انتخاب مي کنيم. سپس در پنجره باز شده Add را زده و يک Option با تنظيمات زير اضافه مي کنيم:
(Name: WPAD (Web Proxy Automatic Discovery
DataType: String
Code: 252
پس از وارد نمودن موارد فوق Ok را مي زنيم. سپس در قسمت Value آدرس زير را وارد مي کنيم:
البته در صورت استفاده از wpad در آدرس فوق (wpad اول) بايد از قبل در DNS Server خود يک Alias براي ISA Server تعريف نماييم در غير اينصورت بايد بجاي استفاده از wpad از نام و يا IP مربوط به ISA Server استفاده نماييم.
نکته: پس از پارامتر wpad در آدرس تعريف شده بايد Port ي را که Automatic Discovery بر روي آن Publish مي گردد مشخص نماييم. براي مثال:
Publishing AutomaticDiscovery: براي آنکه از wpad استفاده نماييم بايد بر روي Server يا Array مورد نظرمان Publish شدن Automatic Discovery را تنظيم نماييم. براي اينکار در کنسول ISA از Server يا Array مورد نظرمان Properties گرفته و در قسمت AutomaticDiscovery تنظيمات لازم را انجام مي دهيم.
نکته: اگر بخواهيم در LAT يک Client (يعني فايل MSPLat.txt) تغييراتي ايجاد نماييم اين امر عملا" امکان پذير نمي باشد. زيرا پس از مدتي دوباره بر روي آن فايل Overwrite مي شود. بنابراين راه حل اين است که تنظيمات مورد نظرمان را در فايلي با نام LocalLat.txt انجام دهيم تا تنظيمات موجود در آن در صورتيکه با تنظيمات MSPLat.txt داراي اختلاف باشد بر روي آن Overwrite نمايد.
در جلسه آينده اين بحث را پي مي گيريم.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
نگاه امروز:
در دنياي امروز کمتر مي توان نرم افزاري پيدا کرد که چندين سال پياپي مورد استفاده قرار بگيرد و درآن زمينه رقيب نداشته باشد. معمولا" هر وقت نرم افزاري توليد مي شود پس از گذشت چند ماه کهنه و قديمي مي شود و ديگر نمي تواند کاربران پرتوقع را راضي نگه دارد و جاي خود را به نرم افزارهاي جديدتر مي دهد. حتي سيستم عاملها هم هر ساله عوض مي شوند و جاي خود را نو رسيده ها مي دهند. يادم هست 4 سال پيش نرم افزاري پيدا کردم که شعار تبليغاتي آن اين جمله معني دار بود:
" آخرين باري که يک نرم افزار را از روي Floppy Disk کوچک Install کرده ايد کي بوده است؟ "
بله اين نرم افزار آنقدر کم حجم بود که فضاي يک Floppy Disk هم [IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG] برايش زياد بود. در عين حال اين نرم افزار قابليتهاي فراواني داشت. جالب است که اين نرم افزار کوچک هنوز هم در بسياري از شبکه ها به وفور مورد استفاده قرار مي گيرد. از اين نرم افزار مي توان به منظور Mail Server , Proxy Server , NAT Server ,Firewall , Route Server , Internet Connection Manager و ... استفاده کرد. نام اين نرم افزار کوچک همه کاره Winroute است که حتما" قبلا" با آن کار کرده ايد. چند ماهي است که نسخه 5 اين نرم افزار همه کاره با تغييرات عمده اي نسبت به نسخه قبلي ارائه شده است که در جاي خود بسيار قابل توجه است. برخي از امکانات جديد آن عبارتند از:
- افزايش قابليتهاي Firewall.
- امکان سانسور کردن سايتها بصورت موضوعي از طريق بانک اطلاعاتي خود نرم افزار.
- امکان سانسور و تشخيص اتوماتيک سايتهاي جديد و اضافه کردن آن به بانک اطلاعاتي.
- امکان جلوگيري از نمايش تبليغات در سايتها براي کاربران به منظور صرفه جويي در پهناي باند ISP.
- امکان Cache بصورت Transparent همزمان با عمل NAT !!!
- امکان مانيتورينگ Online کاربران و آگاهي از ميزان Send/Receive هر کاربر.
- امکان مشاهده سايتهاي ملاقات شده توسط هر کاربر بصورت Online. (البته مشاهده گزارشات از طريق Log File هم امکان پذير است.)
- داشتن Antivirus بر روي نرم افزار و Update شدن اتوماتيک آن.
- پشتيباني از VOIP.
- پشتيباني از VPN.
- سازگاري با Active Directory.
- و ....
اگر تا کنون اين نرم افزار را Download نکرده ايد بهتر است هر چه زودتر آنرا Download کرده و امتحان کنيد.
بعد از مدتها دوباره فرصتي دست داد تا مباحث قبلي خود را درباره ISA ادامه دهيم. و اما ادامه بحث:
Packet Filtering:
اگر در Enterprise Policy به Arrayها اجازه استفاده از Packet Filtering داده شود در قسمت Access Policy هر Array مي توانيم با استفاده از قسمت Packet Filteringا, Packet هاي مورد نظرمان را Filter نماييم. مزيت اين Filtering نسبت به Filteringي که به صورت Default در Win2k وجود دارد در اين است که مي تواند Portها را به صورت Dynamic باز و بسته کند. در مشخصات Packet Filtering هر Array و در Tab مربوط به PacketFilters تنظيمات زير وجود دارد:
1) Enable filtering of IPfragments:
بعضي از Hacker ها براي آنکه Packetهايشان شناسايي نشوند آنها را Fragment (تکه تکه) نموده و به کامپيوتر مقصدشان ارسال مي کنند. Packetهاي ارسالي پس از عبور از Firewall در مقصد مربوطه به يکديگر متصل شده و به کامپيوتر مقصد حمله کرده و صدمه وارد مي کنند. با استفاده از اين Option مي توانيم از ISA بخواهيم تا جلوي اين نوع از Packetها را بگيرد.
توجه: دقت کنيد که با اين عمل جلوي تبادل Streamهاي Media نيز گرفته مي شود.
2) Enable IP Filtering Options:
در Header هر Packet مي توان Optionهايي را استفاده نمود که با استفاده از آنها دستوراتي به کامپيوتر مقصد داده مي شود. بعضي از Hacker ها از اين قابليت استفاده کرده و به کامپيوتر مقصد صدمه مي زنند. با استفاده از اين گزينه مي توانيم جلوي عبور چنين Packetهايي را بگيريم.
3) Log packets from ‘allow’ Filters:
با استفاده از اين قابليت مي توانيم از ISA بخواهيم تا از تمام Packetهايي که اجازه عبور به آنها داده شده است Log تهيه شود و با استفاده از اين Log اشکالهايي را که احيانا" در سيستمها رخ داده است تشخيص دهد.
StaticFilter براي DMZ:
براي آنکه کامپيوترهاي موجود در اينترنت بتوانند به Serverهاي موجود در DMZ متصل شوند بايد با Static Filter هايي که تعريف مي کنيم اجازه عبور Packetهاي مربوطه را که به Server هاي Publish شده موجود در DMZ ارسال شده اند صادر نماييم. براي اينکار بر روي IP Packet Filters کليک راست کرده و New و سپس Filter را انتخاب مي کنيم و Filter مربوطه را تعريف مي کنيم.
Intrusion Detection: بر روي ISA قابليت جلوگيري از 6 روش Hacking بصورت Builtin پيش بيني شده است که در قسمت Intrusion Detection (براي ديدن آن از IP Packet Filtering يک Properties بگيريد.) مي توانيم آنها را فعال کنيم.
1) (WinNuke)یاWindows outof band:
در اين روش Hacker ها به پورت 139 TCP متصل مي شوند. (اين پورت مخصوص NetBIOS Session Service است. توضيحات بيشتر در مورد اين پورت را از اينجا بخوانيد.) سپس Hacker با ارسال Packetهاي بيخود و مبهم يک شکاف امنيتي در Windows ايجاد کرده و Networking آنرا از کار مي اندازد!
2)Land:
در اين روش Hacker ها Packetهايي را ارسال مي کنند که در آن بگونه اي تغيير ايجاد کرده اند که کامپيوتر مقصد گمان مي کند که Packetها را خودش ارسال مي کند! و در اين ميان Hacker روزنه اي باز کرده و از آن نفوذ مي کند.
3) Ping of Death: در اين روش Hacker کامپيوتر مقصد را با ارسال حجم زيادي از Packetهاي مخصوص Pingیا(Echo ICMP) تحت تأثير قرار مي دهد و از آنجا که حجم اين Packetها زياد مي باشد (مثلا" بجاي آنکه 64Byte باشد, 65536Byte است.) , Kernelbuffer overflow شده و سيستم Crash مي کند!
4) IP halfscan:
در اين روش کامپيوتر Hackکننده Ack کامپيوتر مبدأ را ارسال نمي کند. در عوض به آن پورتي از کامپيوتر مبدأ که در انتظار دريافت Ack مي باشد, Packetي ارسال مي کند که سبب باز شدن پورتهاي ديگر جهت سوء استفاده Hacker مي شود.
5)UDP Bomb:
در اين روش Hackerها Packetهاي UDP ارسال مي کنند که در آن Packetها اطلاعات غير منطقي وجود دارد و اين سبب ايجاد اشکال در کامپيوتر مقصد مي شود.
6) Port Scan:
براي آنکه يک Hacker بتواند Packetهايي را که حامل اطلاعات مخصوص Hacking مي باشد را به يک کامپيوتر ارسال نمايد بايد آنها را به Portهايي ارسال نمايد که کامپيوتر مقصد به آنها گوش مي کند. (منظور همان پورتهاي باز است.) براي اين منظور Hacker با استفاده از الگوريتمهايي پورتهاي کامپيوتر را Scan مي کند. در صورت فعال بودن اين گزينه ISA بطور خودکار Scan شدن Portها را تشخيص داده و جلو آنرا مي گيرد.
نگاه امروز:
اگر به خاطر داشته باشيد در بخش نگاه امروز درس چهارم روشي را براي Reset کردن password در Windows معرفي کردم که با استقبال زيادي روبرو شد. اين روش فقط بر روي Windows 2000 و WinNT4 عمل مي کرد و توانايي Reset کردن Password در WinXP را نداشت. پس از آن در Weblog هاي جند نفر از دوستان ازجمله اين وبلاگ و چند وبلاگ ديگر تعدادي از دوستان روشهايي را براي عوض کردن Password معرفي کردند که اکثر آنها اصولي نبودند. مثلا" توصيه کرده بودند که اگر کاربري در WinXP کلمه عبور خود را فراموش کرد بايد در Safe Mode با کاربر Administrator و بدون Password (در صورتي که هنگام نصب ويندوز کلمه عبوري براي Administrator تعريف نشود.) به ويندوز Logon کنيد و سپس کلمه عبور کاربر قبلي را عوض کنيد! حال سئوال اين است که اگر کلمه عبور Administrator را هم ندانيم چه بايد بکنيم؟؟
در اينجا روشي را معرفي مي کنم که مي تواند Password تمامي نسخه هاي Windowsها را بدون چون و چرا و در هر حالتي Reset کند!!! براي اين کار شما به يک فلاپي ديسک و نيز CD نصب ويندوز احتياج داريد. در اينجا مراحل گام به گام Reset کردن Password در Windows 2000 در حالتي که ActiveDirectory بر روي آن نصب است توضيح داده مي شود. شما مي توانيد همين روش را براي Reset کردن Password ساير ويندوزها از جمله XP به کار ببريد.
ابتدا فايل Farstec.zip را Download کنيد. آنرا Unzip کرده و فايلهاي درون آن را بر روي فلاپي خود کپي کنيد. اينک سي دي Windows خود را درون دستگاه قرار داده و کامپيوتر را از روي آن Boot کنيد.
به محض باز شدن صفحه آبي شکل زيرکليد F6 را بزنيد:
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image002.gif[/IMG]
سپس کمي صبر کنيد تا شکل زير به نمايش درآيد. در اينجا کليد S را بزنيد.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image003.gif[/IMG]
پس از زدن کليد S فلاپي آماده شده را درون درايو قرار دهيد و Enter بزنيد. اگر تا اينجاي کار را درست انجام داده باشيد بايد شکل زير را داشته باشيد.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image004.gif[/IMG]
در اينجا Enter را به منزله تأييد بزنيد و اندکي صبر کنيد تا صفحه زير نمايان شود:
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image005.gif[/IMG]
در اينجا شما عبارت farstec (باحروف کوچک) را به عنوان Password اين برنامه وارد کنيد.
سپس Folder مربوط به windows خود را انتخاب کنيد. : Please select Windows XP/2000/NT installation tobe processed
Path Undo available#
--- -------- --------------
[1] [C:\WINNT [X
[Please enter your selection 1..1 or 0to quit: [1
اينک در پاسخ به سئوال زير Y بزنيد.
.Found undo information
( Would you like to undoWindows XP/2000/NT Key changes? (Y/N
در پاسخ به سئوال زير هم کاربر Administrator مربوط به Active Directory را انتخاب کنيد تا کلمه عبورش به “12345” Reset شود.
.Loading Active Directory database. Pleasewait
:Please choose domain Administrator to reset passwordfor
administrator@domain #
--- ---------------------
Administratorat testر[1]
[1] :Please enter your selection 1..1or 0 to quit
Set Active Directory password for Administrator@test to '12345'? (Y/N): Y
Resetting password for domain: test
The password hasbeen reset
Administrator name: Administrator
New password: 12345
سپس در پرسش بعدي همين کار را براي کاربر Administrator که بصورت Local بر روي سيستم وجود دارد انجام دهيد تا کلمه عبورش Reset شود.
پس از اينکار کامپيوترتان را Restart کنيد و با Password جديد 12345 به ويندوزتان Logon کنيد!!!
جالبه! نه؟. بي اختيار ياد اين جمله معروف ميفتم که ميگه:
No Security in this crazy world!!!
در پايان اين درس هم لازمه اين نکته رو عرض کنم که تقريبا" 2 درس ديگه از ISA باقي مونده که سعي مي کنم اونها رو زودتر بنويسم و بذارم روي سايت. راستش مدتيه سرم خيلي شلوغ شده و روي چند پروژه بصورت همزمان کار مي کنم و شايد ديگه نتونم به نوشتن ادامه بدم. باز هم مثل هميشه از همه دوستاني که از طريق Email با من در تماس هستن تشکر مي کنم. (خصوصا" دوستان اهل ساري, مرند, اردستان, تبريز, بندرعباس و همين دزفول و تهران خودمون)
علي کيائي فر
alikia@mail.com
دوسـتانـی که بـخـش آمـوزش سـایـت فـارس تِـک را دنـبـال مـی کـنـنـد احـتـمـالا مـی دانـنـد کـه دقـیـقـا ۱۱۷ روز (چـیـزی در حـدود ۴ ماه) از آخـرین بـخـش نـرم افـزار ISA مـیـگـذرد. حـالا پس از مدت طولانی دوســت عـزیزمان علی کیائی زحـمـت کـشـیـده انـد و قـسـمـت نـهـم از آمـوزش ISA را نـوشـتـه انـد و فـرسـتـاده اند. هـمـچـنـیـن قـول داده انـد کـه اگـر یـک مـقـدار مـشـغـله کـاریـشـان کـم شـود دیـگـر نـگـذارنـد کـه آمـوزش سـایـت خـاک بـخـورد.
در هـر صـورت بـخـش نـهـم از آمـوزش آمـاده اسـت کـه مـیـتـوانـیـد بـخـوانـیـد. (در ضـمن سـوالاتـتـان را هـم مـیـتـوانـیـد قـسـمـت پـایـیـن هـمـیـن مـطلـب بـنـویسـید و هـمـان جـا هـم پاسـخـتـان را دریـافـت کـنـیـد.)
ــــــــ تا كنون در هشت درس مختلف مباحثي پيرامون ISA داشتيم. در اينجا بخش نهم را به همه خوانندگان Farstec.com تقديم مي كنم. لازم است كه اضافه كنم كه در درس دهم با طرح مطالبي در مورد GateKeeper پرونده ISA را خواهيم بست. اين خبر را هم همين الآن اعلام كنم كه پس از ISA در بخش آموزش سایت Farstec به بيان مطالب آموزشي در مورد روترهاي Cisco خواهيم پرداخت. البته سعي مي شود اين مطالب آموزشي به گونه اي باشد تا تازه كارها هم به راحتي بتوانند از آن استفاده كنند. ــــــــ
Creating & Managing Routing Rules:
با استفاده از Rule Routing ها مي توانيم مسيرهايي را كه مي خواهيم با استفاده از آنها Client ها بتوانند به Data مورد نيازشان دست يابند، مشخص نماييم.
به صـورت Default يك Rule وجود دارد كه تمام درخـواسـتـها را به Internet ارسـال مي كـنـد ( اين Rule را نمي توان Delete كرد ). در صورت نياز مي توان Rule هاي بيشتري را نيز معرفي نمود. مثلاً مي توانيم يك Rule تعريف نماييم تا درخواست بعضي از Client ها جهت اتصال به بعضي از Site ها فقط با استفاده از Cache پاسخ داده شود و يا بعضي از درخواستها به يك ISA Upstream ارجاع شود.
ترتيب Ruleهاي اعمال شده بسيار مهم مي باشد. هرگاه درخواستي از يك ISA انجام شود، Rule ها به ترتيب الويت بررسي شده و مسير مشخص مي گردد.RuleDefault همواره آخرين Rule خواهد بود.
Bandwidth Rules & Application Filters:
با استفاده از Bandwidth Rules مي توانيم ميزان پهناي باند اختصاص داده شده به User ها جهت استفاده از Protocol هاي دلخواه را در هنگام اتصال به Site هاي مورد نظرشان كنترل نماييم. حتي مي توانيم اين تنظيمات را در ساعات خاصي اعمال نماييم.
اين عمليات با استفاده از Qosر( Quality of Service ) انجام مي گيرد.
بصورت Default يك Rule وجود دارد كه نمي توان آن را Delete يا Edit نمود. در صورت نياز مي توانيمRule هاي مختلفي را تعريف كنيم كه هر كدام از آنها مي توانند شامل پارامترهاي زير باشند:
1- Destination Set
2- Schedule
3- Specific users or groups
4- Protocol
5- Content Rule
6- Priority
Bandwidth Priorities:
در Elements Policy مي توانيم اولويتهايي را جهت استفاده از پهناي باند بين 1 الي 200 تعريف نموده، و از آنها درRules Bandwidth استفاده نماييم.
الويتهاي تعيين شده با در نظرگرفتن BandwidthEffective ميزان پهناي باند مورد نظرمان را مشخص مي كند. براي مثال اگر پهناي باند مؤثرمان 100 kbps باشد با توجه به اين مقدار و Priority هاي تنظيم شده، ميزان پهناي باند اختصاص داده شده مشخص مي گردد.
BandwidthEffective:
براي آنكه ISA بتواند با توجه به Priority هاي تعريف شده درRule Bandwidth ها پهناي باندي را كه بايد اختصاص دهد، تشخيص دهد بايد پهناي باند مؤثري را كه با استفاده از آن مي توانيم به Internet متصل شويم برايش تعريف نمائيم.
اگر Connection ما از طريق كارت شبكه است براي تعيين اين مقدار از قسمت Bandwith Rules يك Properties گرفته و ميزان پهناي باند مؤثر را تنظيم مي كنيم. اگر براي اتصال به Internet از خطوط Dial-up استفاده كنيم اين مقدار را در Properties هر Dial-up واقع در Elements Policy مشخص مي نمائيم.
نكته:
همواره پهناي باند مؤثر قدري كمتر از آن مقداري است كه بنظرمان مي رسد. بعنوان مثال اگر با يك خط Dial-up با سرعت 33.600 به Internet متصل هستيم، پهناي باند مؤثر ما تقريباً 28 الي 30 kbps مي باشد.
ISA Application & Web Filters:
در قسمت Extentions مي توانيم Packet ها را با توجه به برنامه اي كه از آنها استفاده مي نمايد، فيلتر نمائيم. در قسمت Application Filters بصورت default تعدادي فيلتر تعبيه گرديده است كه با استفاده از آنها مي توانيم امكان تبادل Packet هايي را كه مخصوص RPC , FTP ,HTTP و... هستند برقرار سازيم.
در قسمت Web Filters بصـورت Default فيلتـري وجود ندارد. ولي در صورت نيـاز مي توانيم از برنامه هاي Third-Party استفاده كرده و پس از نصب آن از فيلترهـاي اضافه شده در اين قسمت استفاده كنيم.
(براي كسب اطلاعات بيشتر به اينجا مراجعه كنيد.)
Publishing:
براي آنكه كامپيوترهاي موجود در اينترنت بتوانند به كامپيوترهاي موجود در شبكه داخلي ما منتقل گردند، از Publishing استفاده مي كنيم كه داراي مزاياي امنيتي و Rceverse Caching مي باشد. براي انجام اينكار ابتدا در Server properties يا Array در Tab مربوط به Incomming امكان برقراري ارتباط از خارج به داخل را فراهم مي كنيم وسپس با استفاده ازقسمت Publishing ، Webserver ياApplication Server هايمان را Publish مي كنيم.
با استفاده از قسمت Web Rublishing Rules مي توانيم Web Server هايمان را كه در شبكه داخلي قرار دارند، براي افراد و كامپيوترهاي مورد نظرمان Publish نمائيم بصورت Default يك Rule وجود دارد كه هرگونه دسترسي را منع مي نمايد.
نكته:
ISA از Portهاي 8443 , 8080 جهت Outgoing Connection و از Portهاي 443 , 80 جهت Incoming Connection كه به ترتيب براي SSL , HTTP مي باشند، استفاده مي كند.
چگونگي اتصال يك كامپيوتر داخلي به Internet:
زمانيكه يك Client تقاضاي اتصال به اينترنت مي نمايد، پس از آنكه درخواستش را به ISA ارسال نمود، ISA ابتدا AccessPolicy ها را جهت اجازه يا رد درخواست مربوطه بررسي مي نمايد. بدين ترتيب كه تمام Rule هاي موجود در Site & Content و Protocol Rules را كه Allow مي باشند با هم جمع كرده و سپس Rule هاي Deny را بر روي آنها اعمال مي كند. سپس درخواست انجام شده را با قوانين باقيمانده مقايسه مي كند. اگر اجازه داده شده باشد، درخواست مربوطه را انجام مي دهد. براي انجام درخواست مربوطه Bandwidth Rule و Routing Rule ها را استفاده مي نمايد، و در هنگام انجام درخواست فرستاده شده Rule هاي فوق تأثير مي گذارند.
مـثـال:
فرض كنيد يك User با نام علي مي خواهد به سايت www.Farstec.com در ساعت PMر6 توسط HTTP متصل گردد. ابتدا با استفاده از Access Policy ها امكان انجام درخواست او بررسي مي گردد. اگراجازه صادر شده باشد، Ruleهاي Routing و Bandwidth Priority چك مي گردند. اين در صورتي است كه Dataهاي درخواست شده Ali در Cache وجود نداشته باشد. درنتيجه اگر نياز به دريافت Data از اينترنت بوجود آيد، ( از خود سايت www.Farstec.com) ،باتوجه به Routing Rule هاي موجود، چگونگي دسترسي به آن Data مشخص مي گردد. اگر قرار باشد Data مستقيماً از سايت Download www.Farstec.com شود، با توجه به Bandwidth هاي موجود، پهناي باندي كه جهت انجام اين كار اختصاص خواهد يافت، مشخص مي گردد. علي کيائي فر
alikia@mail.com
PSTN: منظور از آن شبکه مخابراتي عمومي مي باشد. (Public Switched Telephone Network)
خطوط آنالوگ معمولي: منظور از اين خطوط همان خطوط تلفني معمولي مي باشد. نرخ انتقال Data توسط اين خطوط حداکثر 33.6 Kb/s مي باشد. استفاده از اين خطوط براي اتصال به اينترنت در کشورمان بسيار رايج مي باشد.
T1: نام خطوط مخابراتي مخصوصي است که در آمريکا و کانادا ارائه مي شود. بر روي هر خط T1 تعداد 24 خط تلفن معمولي شبيه سازي مي شود. هر خط T1 مي تواند حامل 1.5 MB/s پهناي باند باشد.
E1: نام خطوط مخابراتي مخصوصي است که در اروپا و همچنين ايران ارائه مي شود. بر روي هر خط E1 تعداد 30 خط تلفن معمولي شبيه سازي مي شود. هر خط E1 مي تواند حامل 2 MB/s پهناي باند باشد. خطوط E1 نمي توانند همزمان هم Dialin باشند و هم Dialout.
در حال حاضر برخي از شرکتها و سازمانهاي خصوصي در ايران از E1 براي ارتباط تلفني خود استفاده مي کنند که مشخصه اين سيستم 8 رقمي بودن شماره هاي اين سازمانهاست. متأسفانه در دزفول هنوز خطوط E1 ارائه نمی شوند.
ISDN: اساس طراحي تکنولوژي ISDN به اواسط دهه 80 ميلادي باز ميگردد که بر اساس يک شبکه کاملا ديجيتال پي ريزي شده است .در حقيقت تلاشي براي جايگزيني سيستم تلفني آنالوگ با ديجيتال بود که علاوه بر داده هاي صوتي ، داده هاي ديجيتال را به خوبي پشتيباني کند. به اين معني که انتقال صوت در اين نوع شبکه ها به صورت ديجيتال مي باشد . در اين سيستم صوت ابتدا به داده ها ي ديجيتال تبديل شده و سپس انتقال مي يابد .
ISDN به دو شاخه اصلي تقسيم مي شود . N-ISDN و B-ISDN .B-Isdn بر تکنولوژي ATM استوار است که شبکه اي با پهناي باند بالا براي انتقال داده مي باشد که اکثر BACKBONE هاي جهان از اين نوع شبکه براي انتقال داده استفاده مي کنند ( از جمله شبکه ديتا ايران ) .
نوع ديگر B-ISDN يا ISDN با پهناي باند پايين است که براي استفاده هاي شخصي طراحي شده است . در
N-ISDN دو استاندارد مهم وجود دارد. BRI و PRI . نوع PRI براي ارتباط مراکز تلفن خصوصي (PBX ) ها با مراکز تلفن محلي طراحي شده است . E1 يکي از زير مجموعه هاي PRI است که امروزه استفاده زيادي دارد . E1 شامل سي کانال حامل (B-Channel ) و يک کانال براي سيگنالينگ ( D-Channel) ميباشد که هر کدام 64Kbps پهناي باند دارند .
بعد از سال 94 ميلادي و با توجه به گسترش ايتنرنت ، از PRI ISDN ها براي ارتباط ISP ها با شبکه PSTN استفاده شد که باعث بالا رفتن تقاضا براي اين سرويس شد. همچنانکه در ايران نيز ISP هايي که خدمات خود را با خطوط E1 ارايه مي کنند روز به روز در حال گسترش است .
نوع ديگر ISDN، BRIاست( نوعي که در کيش از آن استفاده شده ) که براي کاربران نهايي طراحي شده است. اين استاندارد دو کانال حامل 64Kbps و يک کانال براي سيگنالينگ با پهناي باند 16kbps را در اختيار مشترک قرار مي دهد .اين پهناي باند در اواسط دهه 80 میلادی که اينترنت کاربران مخصوصي داشت و سرويسهاي امروزي همچون HTTP ، MultiMedia ، Voip و .... به وجود نيامده بود ، مورد نياز نبود همچنين براي مشترکين عادي تلفن نيز وجود يک ارتباط کاملا ديجيتال چندان تفاوتي با سيستمهاي آنالوگ فعلي نداشت و به همين جهت صرف هزينه هاي اضافي براي اين سرويس از سوي کاربران بي دليل بود و به همين جهت اين تکنولوژي استقبال چنداني نشد . تنها در اوايل دهه 90 بود که براي مدت کوتاهي مشترکين ISDN افزايش يافتند . پس از سال 95 نيز با وجود تکنولوژيهايي با سرعتهاي بسيار بالاتر مانند ADSL که سرعتي حدود8Mb/s براي دريافت و 640Kb/s را براي دريافت با هزينه کمتر از ISDN در اختيار مشترکين قرار ميدهد ، انتخاب ISDN از سوي کاربران عاقلانه نبود.
در حقيقت مي توان گفت کهISDN BRI تکنولوژي بود که در زماني به وجود آمد که نيازي به آن نبود و زماني که به آن نياز احساس مي شد ، با تکنولوژيهاي جديد تري که سرعت بالاتر و قيمت بيشتر داشتند جايگزين شده بود .
Leased Line يا Digital SubscriberLine يا DSL : خطي است که بصورت نقطه به نقطه دو محل را به يکديگر متصل مي کند که از آن براي تبادل Data استفاده مي شود. اين خط داراي سرعت بالايي براي انتقال Data است. نکته قابل توجه اين که در دو سر خط Leased بايد مودمهاي مخصوصي قرار داد.
خط Asynchronous Digital Subscriber Line يا ADSL : همانند خطوط DSL بوده با اين تفاوت که سرعت انتقال اطلاعات آن بيشتر است.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]Wireless: يک روش بي سيم براي تبادل اطلاعات است. در اين روش از آنتنهاي فرستنده و گيرنده در مبدأ و مقصد استفاده مي شود. اين آنتنها بايد رو در روي هم باشند. برد مفيد اين آنتنها بين 2 تا 5 کيلومتر بوده و در صورت استفاده از تقويت کننده تا 20 کيلومتر هم قابل افزايش است. از نظر سرعت انتقال Data اين روش مطلوب بوده اما بدليل ارتباط مستقيم با اوضاع جوي و آب و هوايي از ضريب اطمينان بالايي برخوردار نيست.
Leased Modem : به مودم هايي گفته مي شود که در دو طرف خط Leased قرار مي گيرند. از جمله اين مودم ها مي توان به Patton , Paradyne , WAF , PairGain , Watson اشاره کرد.
[IMG]file:///D:/DOCUME%7E1/ADMINI%7E1/LOCALS%7E1/Temp/msohtml1/02/clip_image001.gif[/IMG]
از ميان انواع مودم هاي Leased مدل Patton در کشورمان رايج تر بوده و داراي مدلهاي زير است:
1092A (Upto 128Kb/s) , 1088C (Upto 2Mb/s) و 1088i (Upto 2Mb/s)
مدل 1088i مودم/ روتر بوده و براي کار Bridge بيشتر استفاده مي شود.
ChannelBank: دستگاهي است که از آن براي تبديل خطوط E1 به خطوط تلفن معمولي و بالعکس استفاده مي شود.
انواع Modem
مودمها داراي انواع مختلفي هستند که مهمترين آنها عبارتند از:
1- Analog Modems: از اين مودمها براي برقراري ارتباط بين دو کامپيوتر (User و ISP) از طريق يک خط تلفن معمولي استفاده مي شود. انواع گوناگوني از اين نوع مودم در بازار يافت مي شود که برخي از آنها عبارتند از: Acorp , Rockwell , Dlink و ... .
2- Leased Modems: استفاده از اين مودمها در دوسر خط Leased الزامي است. مدلهاي معروف اين نوع مودمها عبارتند از: Patton , Paradyne , WAF ,PairGain , Watson
Satellite: به معناي ماهواره مي باشد. امروزه بسياري از ماهواره ها خدمات اينترنت ارائه مي کنند. برخي از آنها عبارتند از: Taicom , Sesat , Telestar 12 , EuroAsia Sat
IntelSat 902 ,France Telecom , ArabSat
Bandwidth: به اندازه حجم ارسال و دريافت اطلاعات در واحد زمان Bandwidth گفته مي شود. واحد اصلي آن بيت بر ثانيه مي باشد. هنگامي يک ISP مي خواهد پهناي باند خود را چه از طريق ديش و چه از طريق ساير روشها تهيه کند بايد ميزان پهناي باند درخواستي خود را در قراردادش ذکر کند. معمولا" پهناي باند براي ISPهاي خيلي کوچک64KB/s است و براي ISPهاي بزرگتر اين مقدار افزايش مي يابد و براي ISPهاي خيلي بزرگ تا 2MB/s و حتي بيشتر هم مي رسد.
پهناي باند بر دو نوع است:
1- Shared Bandwidth: اين نوع پهناي باند ارزان تر بوده و در آن تضميني براي تأمين پهناي باند طبق قرارداد براي مشترک وجود ندارد. چراکه اين پهناي باند بين تعداد زيادي ISP مشترک بوده و همگي از آن استفاده مي کنند. بنابراين طبيعي است که ممکن است در ساعات پر ترافيک ISP نتواند از پهناي باند درخواستي خود بهره ببرد.
2- Dedicated Bandwidth: اين نوع پهناي باند گران تر بوده اما در آن استفاده از سقف پهناي باند در تمام ساعات شبانه روز تضمين شده است. زيرا پهناي باند بصورت اختصاصي به مشترک اختصاص يافته است.
BandwidthQuality: به معناي کيفيت پهناي باند مي باشد.کيفيت پهناي باند به دو عامل زير بستگي دارد:
1- Ping Time: به مدت زماني گفته مي شود که يک Packet از ISP به مقصد يک Host قوي (مثلا" www.yahoo.com) در اينترنت ارسال شده و پس از دريافت پاسخ مناسب دوباره به ISP باز مي گردد. هرچه اين زمان کمتر باشد پهناي باند از کيفيت بهتري برخوردار است.
2- PacketLoss: هنگامي که يک Packet به اينترنت ارسال مي شود ممکن است که بدلايل مختلف مفقود شده و يا از دست برود. Packet Loss عبارت است از نسبت Packetهاي از دست رفته و مفقود شده به کل Packetها. هر چه اين نسبت کمتر باشد پهناي باند از کيفيت بهتري برخوردار است.
موضوعات مشابه:
41سپاس
LinkBack URL
About LinkBacks
