پروتکل Fiber Channelچیست؟

سپتامبر 25, 2022/0 دیدگاه/در مفاهیم شبکه, مقالات /توسط فاطمه هاشمی

پروتکل Fiber Channelچیست؟

جان ولینگ

یک شبکه فضای ذخیره‌سازی (SAN) اساساً مانند یک هارددیسک خارجی عمل می‌کند، با این تفاوت که هارد اکسترنال به‌شدت کنترل می‌شود، به یک شبکه متصل است و می‌تواند توسط چندین دستگاه استفاده شود. اما این سؤال پیش می‌آید که چگونه درایوهای ذخیره‌سازی را در یکSANبه کامپیوترهای سراسر شبکه متصل می کنید؟

پروتکل Fiber Channelچیست؟

پروتکل Fiber Channelیک ابزار خیلی خاص صرفاً برای ذخیره‌سازی در نظر گرفته‌شده است. به طور خاص، پروتکل کانال فیبر فقط از پیام رسانی SCSI پشتیبانی می کند. SCSI یک رابط است که برای اتصال و ارتباط با درایوهای ذخیره‌سازی در رایانه استفاده می‌شود. شما احتمالاً فقط درایوهای SCSI را در سرور پیدا خواهید کرد، اما آن‌ها را می‌توان در ماشین‌های با کارایی بالا نیز یافت.

پروتکل Fiber Channelاز رسانه فیبر نوری برای انتقال پیام‌های SCSI از طریق شبکه استفاده می‌کند. این‌یک پروتکل SCSI با سرعت‌بالا و متصل به شبکه است.

بین پروتکل Fiber Channelو شبکه سنتی مبتنی بر اترنت شما تفاوت هایی وجود دارد. به عنوان مثال، پروتکل کانال فیبر از اتصال اترنت، IP، TCP یا UDP استفاده نمی کند. فریم ها (یا بسته ها) از طریق اترنت نیز ارسال نمی شوند.

پروتکل Fiber Channel، stack مخصوص به خود را دارد. فریم‌ها نیز کمی متفاوت از فریم اترنت سنتی شما هستندHeader . در فریم پروتکل Fiber Channel، 24 بایت است. یک فضای header اختیاری اضافی نیز وجود دارد که اندازه آن 64 بایت است .درنهایت، بخش محموله فریم، 2048 بایت وزن دارد .در برخی موارد، فضای header اضافی و بخش‌های محموله قاب باهم ترکیب می‌شوند.

FCoE ارسال فریم‌های Fiber Channelرا از طریق شبکه اترنت با پوشش دادن فریم‌های Fiber Channelدر داخل یک فریم اترنت تسهیل می‌کند.

آیا Fiber Channelبا سوئیچ‌های معمولی کار می‌کند؟

پروتکل Fiber Channelبا تجهیزات شبکه استاندارد سازگار نیست. پروتکل Fiber Chanel از اترنت، IP، TCP یا UDP استفاده نمی‌کند؛ بنابراین، تجهیزات شبکه استاندارد بیت‌های موردنیاز برای پردازش ارتباطات برای Fiber Channelرا ندارند.

در عوض، شبکه‌ها از تجهیزات خاصی که برای Fiber Channelساخته‌شده است استفاده می‌کنند. به‌عنوان‌مثال، سیسکو یک سری محصولات به نام سوئیچ‌های MDS دارد. این سوئیچ ها همچنان با استفاده از NX-OS کار می کنند. بسیاری از دستورات مشابهی که به‌طور معمول در یک سوئیچ استاندارد استفاده می‌شوند، برای مدیریت سوئیچ‌های MDS نیز استفاده می‌شوند. این سوئیچ‌ها از پروتکل Fiber Channel برای ارتباط استفاده می‌کنند.

گره‌ها یا سرورهای ذخیره‌سازی از آداپتورهای رابط شبکه استاندارد نیز استفاده نمی‌کنند. در عوض، آن‌ها از آداپتور باس میزبان استفاده می‌کنند. به نظر شبیه کارت شبکه فیبر نوری است اما به‌جای آن از پروتکل Fiber Channelاستفاده

آدرس MAC یک شناسه خاص برای هر دستگاه الکترونیکی است که به نحوی از طریق یک شبکه ارتباط برقرار می‌کند. روترها، سوئیچ‌ها و حتی گوشی هوشمند شما دارای آدرس MAC هستند. آن‌ها برای عملکرد یک شبکه مبتنی بر اترنت حیاتی هستند.

شبکه‌های Fiber Channel از آدرس‌های MAC استفاده نمی‌کنند. بااین‌حال، آن‌ها یک شناسه مشابه دارند. درواقع دو تا هستند. یکی WWNN یا نام گره جهانی نامیده می‌شود. دیگری WWPN یا نام پورت جهانی است. هر دو در دستگاه‌ها تعبیه شده‌اند و قابل‌تغییر نیستند. آن‌ها به روشی مشابه آدرس MAC کار می‌کنند.

مانند همه‌چیزهایی که در رایانه‌ها وجود دارد، پروتکل Fiber Channelمعمولاً بر روی دو قدرت عمل می‌کند. به‌عنوان‌مثال، این پروتکل با سرعت انتقال 1 گیگابایت شروع شد، سپس به2 و بعد به 4 گیگ ارتقا پیدا کرد. امروز ما سرعت64 گیگابایت را برای Fiber Channel داریم و سرعت 128 گیگابایت به‌زودی در دسترس خواهد بود.

پروتکل Fiber Channel خدمتی مفید در شبکه سازمانی مدرن امروزی است. Fiber Channelبه مدیران فناوری اطلاعات راهی می‌دهد تا حجم زیادی از ذخیره‌سازی را به شیوه‌ای کنترل‌شده تسهیل کنند. یادگیری Fiber Channelبرای هر شبکه یا sysadmin متعهد ضروری است.

مقایسه FCoE ، Fibre Channel و iSCSI

سپتامبر 18, 2022/0 دیدگاه/در ذخیره ساز, مقالات /توسط فاطمه هاشمی

برای هرکسی که نیاز به درک پروتکل‌های مختلف موجود برای اشتراک‌گذاری ذخیره‌سازی بلوک از طریق شبکه دارد، گزینه های زیادی وجود دارد. در ادامه به تفاوت‌های بین آن‌ها و اینکه چرا یک شخص یا سازمان در یک موقعیت خاص یکی را بر دیگری ترجیح می دهد، می پردازیم.

ذخیره‌سازی تحت شبکه چیست و چرا از آن استفاده می‌شود؟

در روزهای اولیه محاسبات، داده‌ها اغلب بر روی رسانه‌هایی مانند کارت پانچ، نوار مغناطیسی و فلاپی دیسک ذخیره می‌شدند. مسائل گوناگون رفاهی و قابلیت اطمینان با همه این‌ها وجود داشت. هنگامی‌که هارددیسک توسعه یافت و محبوب شد، انواع مختلف اتصال تکامل یافت. اما در بیشتر موارد، این شامل یک سیستم کامپیوتری بود. فضای ذخیره‌سازی و داده‌های ذخیره‌شده روی آن اساساً روی رایانه‌ای که به‌طور فیزیکی به آن متصل بود دنبال می‌شد. نقاط ضعف این مجموعه، دشواری دسترسی به داده‌ها از جاهای دیگر، علاوه بر اشغال بیشتر فضای دیسک است.

اختراع روش‌های به اشتراک‌گذاری این ذخیره‌سازی بین سیستم‌های کامپیوتری به حل این چالش‌ها کمک کرد. ذخیره‌سازی شبکه‌ای، تخصیص فضای دیسک در بلوک‌ها را به چندین رایانه امکان‌پذیر می‌کند و استفاده از فضای دیسک گران‌قیمت را بسیار کارآمدتر می‌کند. همچنین می‌تواند به‌عنوان‌مثال، خوشه‌ای از سرورهای پایگاه داده را فعال کند تا به‌طور هم‌زمان به همان داده‌ها دسترسی داشته باشند.

همچنین روش‌هایی برای اشتراک‌گذاری فایل‌ها در شبکه وجود دارد که به آن‌هاNAS (Network Attached Storage) می‌گویند. این‌یک استراتژی کاملاً متفاوت است که دارای پروتکل‌های خاص خود مانند NFS، SMB و AFP است که خارج از بحث این مقاله است. در این مقاله، ما روی ذخیره‌سازی «بلاک» تمرکز می‌کنیم که قسمت هایی از فضای دیسک است که به نظر می‌رسد سیستم‌عامل رایانه مانند یک هارددیسک متصل به‌صورت محلی است.

SCSI چیست؟

SCSI نسل قبلی همه آن‌هاست. در گذشته روش‌های مختلفی مانند SASI، SMD، ESDI، ST-506 و غیره برای اتصال دیسک‌های سخت به رایانه‌ها وجود داشت. بیشتر اینها اختصاصی بودند، یعنی توسط سازنده‌ای مانند سیگیت یا آی‌بی‌ام با قابلیت تعامل متقابل اندک یا بدون تعامل متقابل با سایر تجهیزات فروشنده توسعه‌یافته بودند.

پروتکل SCSI (رابط سیستم کامپیوتری کوچک) از SASI (رابط سیستمی Shugart Associates ) تکامل‌یافته و در سال 1986 به استاندارد ANSI تبدیل شد. این استاندارد به تولیدکنندگان متعددی این امکان را داد تا به‌جای اینکه خریداران را مجبور به «lock in» با یک محصول شوند، محصولاتی را توسعه دهند که باهم کار کنند. این استاندارد به‌نوبه خود باعث افزایش محبوبیت آن شد.

یک پیاده‌سازی زیرسیستم معمولی SCSI )معمولاً “skuz-ee” تلفظ می‌شود( شامل یک یا چند کنترلر (بردهای مدار با کانکتورهای کابل)، یک یا چند کابل روبان سیم مسی با چندین کانکتور دیسک سخت و مجموعه‌ای از هارددیسک است. برخی از ویژگی‌های اولیه SCSI مجموعه دستورات نسبتاً ساده‌ای است که برای کنترل هارددیسک‌ها استفاده می‌شود و تعداد دستگاه‌هایی که می‌توان به یک کنترلر متصل کرد (16 یا بیشتر). یکی از ایرادات این بود که طول کابل محدود پشتیبانی می‌شد، اما این مشکل در هارددیسک‌های یک سیستم کامپیوتری به‌ندرت پیش می آمد.

درحالی‌که این جنبه‌های فیزیکی یک زیرسیستم SCSI امروزه به‌ندرت در رایانه‌ها استفاده می‌شود، پروتکل SCSI خود به‌عنوان پایه‌ای برای پروتکل‌های جدیدتر مانند SAS (Serial Attached SCSI) و FC (کانال فیبر) ماندگاری پیداکرده است.

کانال فیبر (FC) چیست؟

کانال فیبر که به‌اختصار “FC” نامیده می‌شود، در اواخر دهه 1980 توسعه یافت و در سال 1994 به یک استاندارد موسسه استاندارد ملی آمریکا (ANSI) تبدیل شد. همان‌طور که از نام آن پیداست، بر اساس کابل‌کشی فیبر نوری چندحالته نسبتاً جدید طراحی‌شده است. به‌عنوان حمل‌ونقل فیزیکی، حداقل در سناریوهای دارای مسافت طولانی‌تر، برای غلبه بر برخی از محدودیت‌های لایه فیزیکی SCSI. FC درواقع می‌تواند روی کابل‌های مسی در فواصل کوتاه کار کند، اما محدودیت‌های فاصله در فیبر نوری بسیار بیشتر‌ است.

ازآنجاکه پروتکل SCSI بسیار محبوب و قوی بود، به‌عنوان یک «پروتکل لایه بالایی» که در بالای FC به‌عنوان پروتکل انتقال قرار داشت، پیاده‌سازی شد. به‌عبارت‌دیگر، FC اتصال فیزیکی، رمزگذاری و انتقال داده‌ها مانند دستورات SCSI را از یک نقطه پایانی به نقطه دیگر مدیریت می‌کند . FC درواقع قادر به انتقال انواع دیگری از داده‌ها است، اما ما در اینجا برای ذخیره‌سازی بلوک بر روی SCSI متمرکزشده‌ایم. یک شبکه FC دارای ویژگی‌های ارائه تحویل بدون تلفات داده‌های بلوک خام و همچنین تحویل «به ترتیب» بسته‌ها است که هر دو قابلیت اطمینان و کارایی را بهبود می‌بخشند.

کانال فیبر به سخت‌افزار طراحی‌شده خاصی نیاز دارد. سرورها باید یک پورت یا کارت “Host Bus Adapter” (HBA) داشته باشند و دستگاه‌های ذخیره‌سازی نیز باید یک رابط FC داشته باشند که در این مورد اغلب به‌عنوان یک پورت جلویی نامیده می‌شود. یک شبکه FC معمولاً به‌عنوان SAN (شبکه منطقه ذخیره‌سازی) نامیده می‌شود. تعدادی توپولوژی مختلف وجود دارد که یک FC SAN را می‌توان برای استفاده از آن‌ها پیکربندی کرد.

یک وضعیت معمولی شامل حداقل دو سوئیچ FC اختصاصی با چندین پورت فیزیکی است که هر سوئیچ نشان‌دهنده یک “Fabric” ازلحاظ فیزیکی جداگانه است و هر سرور یا دستگاه ذخیره حداقل یک اتصال به هر Fabric دارد. این ویژگی‌های اضافی افزونگی و پتانسیل بهبود عملکرد را فراهم می‌کند. اگر سوئیچ، HBA یا کابل فیبر نوری از کار بیفتد، اتصال به حافظه قطع نمی‌شود. در موارد خاص، از اتصالات متعدد می‌توان برای افزایش پهنای باند و توان استفاده کرد. کانال فیبر یک محیط بسیار غنی از امکانات است و مکانیسم‌های مختلفی برای کنترل مواردی دارد، مثلاً اینکه کدام‌یک از آغازگرها می‌توانند دستگاه‌های هدف را ببینند.

همچنین در اینجا شایان‌ذکر است که توسعه FC SAN، طراحی دستگاه‌های بزرگ با هارددیسک‌های زیاد را برای تولیدکنندگان امکان‌پذیر ساخت که عموماً به آن‌ها «آرایه‌های ذخیره‌سازی» می‌گویند. این‌ها معمولاً از یک روش حفاظت از داده‌ها مانند RAID (آرایه اضافی از دیسک‌های ارزان‌قیمت) استفاده می‌کنند که می‌تواند گروه‌هایی از هارددیسک‌های فیزیکی را در آرایه‌ها با چند کپی از داده‌ها یا یک برابری محاسبه‌شده که بازسازی داده‌ها را امکان‌پذیر می‌کند، ترکیب کند. اگر هارددیسک از کار بیفتد (که معمولاً با دیسک‌های چرخان اجتناب‌ناپذیر است)، می‌توان آن را به‌سادگی حذف و جایگزین کرد و داده‌ها روی درایو دوباره ساخته می‌شوند. فضای دیسک به‌صورت دلخواه بین سرورهای SAN در واحدهایی به نام Logical Unit Numbers (LUN) تقسیم می‌شود. بنابراین می‌توان از فضا به‌طور بسیار مؤثرتر و پویاتر استفاده کرد.

در حال حاضر، سرعت FC تا 128 گیگابایت در ثانیه (128GFC) در دسترس است. بااین‌حال، رایج‌ترین پیاده‌سازی در حال استفاده امروز 32 GFC، معمولاً با ترکیبی از دستگاه‌های کم‌سرعت در SAN است.

معایب کلیدی: FC SAN نتیجه کلی استفاده از FC SAN سیستمی است که بسیار قابل‌اعتماد، بسیار مقاوم در برابر خطا و بسیار گران است. کارت‌های سرور HBA گران هستند، سوئیچ‌های FC و آرایه‌های ذخیره‌سازی بسیار گران هستند و حتی کابل‌های فیبر نوری که همه این‌ها را به هم متصل می‌کنند نیز ارزان نیستند.

پروتکل iSCSI چیست؟

پروتکل رابط سیستم های کامپیوتری کوچک اینترنت (iSCSI) برای استفاده از زیرساخت شبکه TCP/IP موجود برای انتقال داده‌های ذخیره‌سازی بلوک طراحی‌شده است. پیاده‌سازی iSCSI مانند FC به‌عنوان SAN شناخته می‌شود، اما در این مورد به‌طور خاص یک SAN iSCSI است. قابلیت‌ها و محدودیت‌های این فناوری از چند جهت با FC SAN متفاوت است.

پروتکل TCP/IP ترکیبی از» لایه‌های» ارتباطی پروتکل کنترل حمل‌ونقل (TCP) و پروتکل اینترنت (IP) است. این استانداردها توسط کارگروه مهندسی اینترنت (IETF) تأیید و نگهداری می‌شوند. این پروتکل اساساً بلوک ساختمانی است که بیشتر فضای اینترنت همان‌طور که می‌دانیم بر روی آن ساخته‌شده است. آدرس‌های TCP/IP که برای هدایت بسته‌های داده از نقطه‌ای در اینترنت به نقطه دیگر استفاده می‌شوند جنبه‌ای است که اکثر ما با آن آشنا هستیم.

پروتکل iSCSI، به زبان ساده، دستورات SCSI است که دربسته‌های TCP/IP قرار داده شده‌اند و سپس از طریق هر شبکه فیزیکی موجود ارسال می‌شوند. iSCSI به‌عنوان یک استاندارد توسط IETF در سال 2004 تصویب شد. اولین مزیت آشکار برای iSCSI این است که اکثر سرورها قبلاً به یک شبکه اترنت متصل هستند و حداقل یک آدرس IP دارند. بسیاری از آرایه‌های ذخیره‌سازی مدرن دارای قابلیت iSCSI هستند، بنابراین یک iSCSI SAN را می‌توان درست بر روی یک شبکه موجود ساخت. دومین مزیت این است که نیازی به خرید سخت‌افزار FC گران‌قیمت و اجرای مجموعه دوم کابل‌های فیبر نوری نیست.

برتری دیگر این روش این است که نیازی به یادگیری مهارت‌های Fiber Channel نیست. شرکتی که شبکه اترنت دارد احتمالاً قبلاً دارای پرسنل بادانش شبکه است و راه‌اندازی iSCSI نسبتاً آسان است.

معایب کلیدی iSCSI در مقابل کانال فیبر :بااین‌حال، برخی از معایب مشخصی برای استفاده از iSCSI در مقایسه با FC وجود دارد. اول، TCP/IP دارای سربار پردازش ذاتی است که می‌تواند عملکرد و پهنای باند را کاهش دهد .اترنت

“in order” frame delivery را تضمین نمی‌کند که باعث می‌شود TCP تشخیص دهد که بسته‌ها از بین رفته یا رها می‌شوند و آن‌ها را مجدداً ارسال می‌کند. یکی دیگر از معایب، افزونگی استFC SAN :ها معمولاً با چندین HBA روی سرورها، Fabrics دوگانه ایزوله و چندین پورت هدف روی آرایه‌های ذخیره‌سازی ساخته می‌شوند.

کانال فیبر از طریق اترنت (FCoE) چیست؟

شبکه‌های اترنت از اواسط دهه 1970 به شکلی وجود داشته‌اند که در مرکز تحقیقات زیراکس پالو آلتو (PARC) اختراع‌شده‌اند و فقط برای استفاده داخلی هستند. بااین‌حال زیراکس اجازه داد تا مشخصات عمومی منتشر شود و در سال 1983 توسط کمیته 802.3 موسسه مهندسین برق و الکترونیک (IEEE) به‌عنوان یک استاندارد تأیید شد. از آن زمان به بعد، اترنت در دفاتر، مراکز داده و حتی بیشتر خانه‌ها همه‌جا وجود دارد. سرعت از 3 مگابیت در ثانیه به 100 گیگابایت بر ثانیه و بالاتر افزایش‌یافته است.

FCoE یک استاندارد جدیدتر است که بخشی از استاندارد کمیته بین‌المللی استانداردهای فناوری اطلاعات (INCITS) T11 FC-BB-5 است که در سال 2009 منتشر شد. اساساً این امکان را می‌دهد تا بسته‌های کانال فیبر بومی را در فریم‌های اترنت قرار دهیم FCoE .نیاز به اصلاحاتی در شبکه اترنت دارد، اما اکثر سوئیچ‌های اترنت مرکز داده مدرن از آن پشتیبانی می‌کنند. برای سرورها، FCoE می‌تواند بر روی یک رابط اترنت «استاندارد» اجرا شود، اما عملکرد هنگام استفاده از یک آداپتور شبکه همگرا (CNA) بسیار مناسب تر است. ازآنجایی‌که FCoE لایه‌ای است که مستقیماً بالای لایه اترنت اجرا می‌شود و TCP/IP را شامل نمی‌شود، روی شبکه‌های غیر پیوسته قابل مسیریابی نیست.

مزایای کلیدی FCoE نسبت به کانال فیبر. مزایای FCoE نسبت به FC خالص در درجه اول در کاهش هزینه، عدم نیاز به خرید سخت‌افزار اختصاصی FC و نه مهارت‌های پیشرفته موردنیاز برای نصب و مدیریت آن است. معایب آن این است که با FCoE، ترافیک ذخیره‌سازی از طریق شبکه‌ای مشابه سایر ترافیک‌ها ارسال می‌شود و مناقشه امکان‌پذیر است و تنها برخی از آرایه‌های ذخیره‌سازی از FCoE بومی پشتیبانی می‌کنند.

مزایای کلیدی FCoE نسبت به: iSCSI مزایای FCoE نسبت به iSCSI عمدتاً عملکرد و قابلیت اطمینان است، بااین‌حال با یک شبکه اترنت بسیار سریع در هر دو مورد، تفاوت ممکن است فقط در موقعیت‌های بسیار فشرده داده ظاهر شود. نقطه‌ضعف FCoE (بسته به دیدگاه فرد) این است که هنوز به مهارت‌های FC و سخت‌افزار پیشرفته نیاز دارد.

کانال فیبر، FCoE یاiSCSI ؟ کدام یک مناسب تر است، چه زمانی و چرا؟ بنابراین چگونه می‌توانیم تصمیم بگیریم که کدام را انتخاب کنیم؟ اول‌ازهمه، در مواردی که روی یک datacenter قبلاً یک FC SAN نصب شده باشد ، اگر قدیمی و کند نباشد، توجیه تغییر از آن به یک‌راه حل مبتنی بر اترنت یا TCP/IP دشوار است. این وضعیت باوجود تجهیزات ذخیره‌سازی که از پروتکلی غیر از FC پشتیبانی نمی‌کند، تشدید می‌شود.

بااین‌حال، با نگاهی به آینده، درنهایت اکثر اجزای یک FC SAN به پایان عمر مفید خود نزدیک می‌شوند و نیاز به تعویض دارند. در بسیاری از موارد، یک شبکه اترنت سریع و مدرن در حال حاضر وجود دارد و سرورها از قبل دارای رابط‌های اترنت هستند، احتمالاً حتی قبلاً به CNA مجهز شده‌اند.

بنابراین انتخاب FCoE یا iSCSI ممکن است انتخاب مناسبی باشد. اگر خرید تجهیزات ذخیره‌سازی که قادر به پشتیبانی از پروتکل‌ها یا سوئیچ‌های «هیبریدی» هستند که می‌توانند بین شبکه‌های ذخیره‌سازی FC و شبکه‌های اترنت پل شوند، امکان‌پذیر باشد، این دیدگاه می‌تواند به واقعیت تبدیل شود. استفاده از iSCSI برای محیط‌های آزمایشگاهی کم‌هزینه یک مورد استفاده مناسب و بسیار محبوب است.

مفهومی به نام Iron Triangle «مثلث آهنی» وجود دارد که اغلب برای تجهیزات محاسباتی به کار می‌رود. این اصطلاح به این معنی است که: «سریع، خوب یا ارزان – هر دو را انتخاب کنید«. در مورد تجهیزات و پروتکل‌های ذخیره‌سازی، ممکن است جایگزینی کلمه «خوب» با «قابل‌اعتماد» منطقی‌تر باشد، اما به‌طورکلی این ایده در این بحث صدق می‌کند. اولویت‌های شما چیست؟ «سریع و قابل‌اعتماد» یا روش توافقی هردو راه‌حل‌های قابل‌اجرا هستند – این انتخاب شماست.

تفاوت DNS با DNS OVER TLS (DOT) و (DOH)DNS OVER HTTPS

سپتامبر 11, 2022/0 دیدگاه/در مفاهیم شبکه, مقالات /توسط فاطمه هاشمی

پرس‌وجوهای DNS به‌صورت متن ساده ارسال می‌شوند، به این معنی که هرکسی می‌تواند آن‌ها را بخواند. DNS OVER HTTPS و DNS OVER TLS، پرسش‌ها و پاسخ‌های DNS را رمزگذاری می‌کنند تا جستجوی کاربر را ایمن و خصوصی نگه دارد. بااین‌حال، هر دو رویکرد مزایا و معایب خود رادارند.

چرا DNS به لایه‌های امنیتی بیشتری نیاز دارد؟

DNS دفترچه تلفن اینترنت است. DNS سرورها نام‌های دامنه قابل‌خواندن توسط انسان را به آدرس‌های IP قابل‌خواندن توسط ماشین ترجمه می‌کنند. به‌طور پیش‌فرض، پرسش‌ها و پاسخ‌های DNS به‌صورت متن ساده (از طریق UDP) ارسال می‌شوند، به این معنی که می‌توانند توسط شبکه‌ها، ISP ها یا هر سرویسی که قادر به نظارت بر انتقال است، خوانده شوند. حتی اگر وب سایتی از HTTPS استفاده کند، پرس و جوی DNS موردنیاز برای پیمایش به آن وب‌سایت در معرض دید قرار می‌گیرد.

این فقدانِ حریم خصوصی، تأثیر زیادی بر امنیت و در برخی موارد حقوق بشر دارد. اگر کوئری‌های DNS خصوصی نباشند، فیلتر اینترنت برای دولت‌ها و ایجاد مزاحمت توسط مهاجمان برای کاربران آسان‌تر می‌شود.

یک درخواست DNS معمولی و رمزگذاری نشده را مانند یک کارت‌پستال در نظر بگیرید که از طریق پست ارسال می‌شود: هرکسی که نامه را جابجا می‌کند ممکن است نگاهی اجمالی به متن نوشته‌شده در پشت آن بی اندازد، بنابراین عاقلانه نیست که کارت‌پستالی حاوی اطلاعات حساس یا خصوصی را از طریق پست ارسال کنیم.

DNS OVER TLS و DNS OVER HTTPS دو استاندارد هستند که برای رمزگذاری ترافیک DNS متن ساده به‌منظور جلوگیری از امکان تفسیر داده‌ها توسط هکرها، شرکت‌های تبلیغاتی، ISP ها و غیره ایجادشده‌اند. در ادامه قیاس، هدف این استانداردها قرار دادن یک پاکت در اطراف همه کارت‌پستال‌هایی است که از طریق پست ارسال می‌شود، به‌طوری‌که هرکسی می‌تواند یک کارت‌پستال بفرستد بدون اینکه نگران باشد زیر نظر قرار می‌گیرد.

DNS OVER TLS چیست؟

DNS OVER TLS یا DoT استانداردی برای رمزگذاری پرس‌وجوهای DNS برای ایمن و خصوصی نگه‌داشتن آن‌ها است. DoT از همان پروتکل امنیتی، TLS، استفاده می‌کند که وب‌سایت‌های HTTPS از آن برای رمزگذاری و احراز هویت ارتباطات استفاده می‌کنند. (TLS همچنین به‌عنوان “SSL” شناخته می‌شود.) DoT رمزگذاری TLS را در بالای پروتکل دیتا گرام کاربر (UDP) اضافه می‌کند که برای پرس‌وجوهای DNS استفاده می‌شود. علاوه بر این، تضمین می‌کند که درخواست‌ها و پاسخ‌های DNS از طریق حملات on-path دست‌کاری یا جعل نمی‌شوند.

DNS OVER HTTPS چیست؟

DNS OVER HTTPS یا DoH جایگزینی برای DoT است. با DoH، پرسش‌ها و پاسخ‌های DNS رمزگذاری می‌شوند، اما از طریق پروتکل‌های HTTP یا HTTP/2، نه مستقیماً از طریق UDP، ارسال می‌شوند؛ مانند DoT، DoH تضمین می‌کند که مهاجمان نمی‌توانند ترافیک DNS را جعل یا تغییر دهند. ترافیک DoH شبیه سایر ترافیک‌های HTTPS به‌عنوان‌مثال تعاملات عادی کاربر محور با وب‌سایت‌ها و برنامه‌های وب – از دیدگاه مدیر شبکه است.

در فوریه 2020، مرورگر موزیلا فایرفاکس شروع به فعال کردن DoH برای کاربران ایالات‌متحده کرد. پرس‌وجوهای DNS از مرورگر فایرفاکس توسط DoH رمزگذاری می‌شوند و به Cloud flare یا NextDNS می‌روند. چندین مرورگر دیگر نیز از DoH پشتیبانی می‌کنند، اگرچه به‌طور پیش‌فرض روشن نیست.

آیا HTTPS از TLS نیز برای رمزگذاری استفاده می‌کند؟ DNS over TLS و DNS over HTTPS چگونه متفاوت هستند؟

هر استاندارد به‌طور جداگانه توسعه‌یافته است و مستندات RFC* خود را دارد، اما مهم‌ترین تفاوت بین DoT و DoH در نوع پورتی است که استفاده می‌کنند. DoT فقط از پورت 853 استفاده می‌کند، درحالی‌که DoH از پورت 443 استفاده می‌کند که همان پورتی است که سایر ترافیک‌های HTTPS نیز از آن استفاده می‌کنند.

ازآنجایی‌که DoT یک پورت اختصاصی دارد، هرکسی که قابلیت دید شبکه را دارد می‌تواند ترافیک DoT را در حال رفت‌وآمد ببیند، حتی اگر خود درخواست‌ها و پاسخ‌ها رمزگذاری شده باشند. در مقابل، با DoH، پرسش‌ها و پاسخ‌های DNS در سایر ترافیک‌های HTTPS پنهان می‌شوند، زیرا همه از یک پورت می‌آیند و می‌روند.

*RFC مخفف «درخواست برای نظرات» است و RFC تلاش جمعی توسط توسعه‌دهندگان و کارشناسان شبکه برای استانداردسازی یک فناوری یا پروتکل اینترنت است.

پورت چیست؟

در شبکه، یک پورت یک مکان مجازی بر روی یک ماشین است که برای اتصالات سایر ماشین‌ها باز است. هر کامپیوتر شبکه‌ای دارای تعدادی استاندارد پورت است و هر پورت برای انواع خاصی از ارتباطات رزرو شده است.

محل بارگیری کشتی‌ها در یک بندر را در نظر بگیرید: هر بندر کشتیرانی شماره‌گذاری شده است و انواع مختلفی از کشتی‌ها قرار است برای تخلیه بار یا مسافران به بنادر کشتیرانی خاصی بروند. شبکه‌سازی نیز به همین صورت است: انواع خاصی از ارتباطات قرار است به پورت‌های شبکه خاصی بروند. تفاوت این است که پورت‌های شبکه مجازی هستند. آن‌ها مکان‌هایی برای اتصالات دیجیتال هستند تا اتصالات فیزیکی.

DoT یا DoH؟

پیرامون این موضوع اختلاف‌نظر زیادی وجود دارد. ازنقطه‌نظر امنیت شبکه، DoT مسلماً گزینه مناسب‌تری است. DoT به مدیران شبکه این امکان را می‌دهد که پرس‌وجوهای DNS را نظارت و مسدود کنند که برای شناسایی و توقف ترافیک مخرب مهم است. در همین حال، درخواست‌های DoH در ترافیک معمولی HTTPS پنهان هستند، به این معنی که نمی‌توان آن‌ها را به‌راحتی بدون مسدود کردن سایر ترافیک‌های HTTPS مسدود کرد.

بااین‌حال، از منظر حفظ حریم خصوصی، DoH مسلماً ارجح است. با DoH، پرس‌وجوهای DNS در جریان بزرگ‌تر ترافیک HTTPS پنهان می‌شوند. DoH به مدیران شبکه دید کمتری می‌دهد اما حریم خصوصی بیشتری را برای کاربران فراهم می‌کند.

تفاوت DNS با TLS/HTTPS و DNSSEC

DNSSEC مجموعه‌ای از پسوندهای امنیتی برای تأیید هویت سرورهای ریشه DNS و سرورهای نام معتبر در ارتباطات با سرورهای DNS است. DNSSEC برای جلوگیری از DNS Cache Poisoning، در میان سایر حملات، طراحی‌شده است. DNSSEC ارتباطات را رمزگذاری نمی‌کند. از سوی دیگر، DNS over TLS or HTTPS یا HTTPS، پرس‌وجوهای DNS را رمزگذاری می‌کند. 1.1.1.1 از DNSSEC نیز پشتیبانی می‌کند.

DNS: انواع رکوردهای DNS، سرورهای DNS و Query های DNS

سپتامبر 4, 2022/0 دیدگاه/در مفاهیم شبکه /توسط فاطمه هاشمی

مفاهیم موردبحث در این مقاله:

3 نوعDNS queries: بازگشتی، تکراری و غیر بازگشتی
3 نوع سرور DNS: DNS Resolver، DNS Root Server و Authoritative Name Server
10 نوع رکورد DNS رایج: ازجمله A، AAAA، CNAME، MX و NS

DNS چگونه کار می‌کند

DNS یک سیستم جهانی برای تبدیل آدرس‌های IP به نام‌های domain مشخص است. هنگامی‌که یک کاربر سعی می‌کند به یک آدرس وب مانند “example.com” دسترسی پیدا کند، مرورگر وب یک Query DNSرا در برابر یک سرور DNS اجرا می‌کند و نام میزبان را ارائه می‌دهد. سرور DNS نام میزبان را می‌گیرد و آن را به یک آدرس IP عددی تبدیل می‌کند که مرورگر وب می‌تواند به آن متصل شود.

مؤلفه‌ای به نام DNS Resolver مسئول بررسی موجودی نام میزبان در حافظه نهان محلی می باشد و در صورتی که این نام موجود نباشد با یک سری از سرورهای نام DNS ارتباط برقرار می کند تا درنهایت آی پی سرویسی را که کاربر می‌خواهد به آن دسترسی پیدا کند، دریافت کند و آن را به مرورگر یا برنامه برگرداند. این فرآیند معمولاً کمتر از یک ثانیه طول می‌کشد.

انواع DNS : سه نوع Query DNS

سه نوع Query در سیستم DNS وجود دارد:

Query بازگشتی

در یک Query بازگشتی، یک سرویس‌گیرنده DNS یک نام میزبان را ارائه می‌دهد و » DNS Resolver باید» پاسخی را ارائه دهد – در صورت یافت نشدن، با یک رکورد منبع مرتبط یا یک پیام خطا پاسخ می‌دهد. Resolver یک فرآیند جستجوی بازگشتی را از DNS Root Serverشروع می‌کند تا زمانی که سرور نام معتبر را پیدا کند.

Query تکراری

در یک Query تکراری، یک سرویس‌گیرنده DNS یک نام میزبان را ارائه می‌دهد و DNS Resolver مناسب ترین پاسخی را که می‌تواند بازمی‌گرداند. اگر DNS Resolver رکوردهای DNS مربوطه را در حافظه پنهان خود داشته باشد، آن‌ها را برمی‌گرداند. در غیر این صورت، کاربر DNS را به DNS Root Server یا سرور نام معتبر دیگری که نزدیک‌ترین منطقه DNS موردنیاز است ارجاع می‌دهد .سپس کاربرDNS باید Query را مستقیماً در برابر سرور DNS که به آن ارجاع داده‌شده است، تکرار کند.

Query غیر بازگشتی

Query غیر بازگشتی Query است که DNS Resolver از قبل پاسخ آن را می‌داند یا فوراً یک رکورد DNS را برمی‌گرداند زیرا قبلاً آن را در حافظه پنهان محلی ذخیره می‌کند، یا از یک سرور نام DNS که برای رکورد معتبر است سؤال می‌کند، به این معنی که قطعاً IP صحیح را برای آن نام میزبان دارد. در هر دو مورد، نیازی به دورهای اضافی Query وجود ندارد (مانند Queryهای بازگشتی یا تکراری) .در عوض، یک پاسخ بلافاصله به کاربر بازگردانده می‌شود.

انواع DNS: سه نوع سرور DNS

موارد زیر رایج‌ترین انواع سرور DNS هستند که برای resolve نام‌های میزبان در آدرس‌های IP استفاده می‌شوند.

DNS Resolver

یک DNS Resolver، برای دریافت DNS queries که شامل یک نام میزبان مشخص مانند «www.example.com» است، طراحی‌شده است و مسئول ردیابی آدرس IP آن نام میزبان است.

DNS Root Server

DNS Root Server اولین گام در حرکت از نام میزبان به آدرس IP است DNS Root Server .دامنه (TLD) را از درخواست کاربر استخراج می‌کند – برای مثال www.example.com -جزئیاتی را برای سرور نام TLD.com ارائه می‌دهد. در نتیجه، آن سرور جزئیاتی را برای دامنه‌های دارای منطقه DNS.com ازجمله “example.com” ارائه می‌دهد.

13 Root Serverدر سراسر جهان وجود دارد که با حروف A تا M نشان داده‌شده است و توسط سازمان‌هایی مانند کنسرسیوم سیستم‌های اینترنت، Verisign، ICANN، دانشگاه مریلند و آزمایشگاه تحقیقات ارتش ایالات‌متحده اداره می‌شود.

Authoritative DNS Server

سرورهای سطح بالاتر در رده بندی DNS تعریف می‌کنند که کدام سرورDNS، Authoritative Name Server برای یک نام میزبان خاص است، به این معنی که اطلاعات به‌روز را برای آن نام میزبان نگهداری می‌کند.

Authoritative Name Server آخرین توقف در Query سرور نام است – نام میزبان را می‌گیرد و آدرس IP صحیح را به DNS Resolverبرمی‌گرداند (اگر دامنه را پیدا نکرد، پیام NXDOMAIN را برمی‌گرداند).

انواع 10 : DNS نوع رکورد برتر DNS

سرورهای DNS یک رکورد DNS برای ارائه اطلاعات مهم در مورد یک دامنه یا نام میزبان، به‌ویژه آدرس IP فعلی آن ایجاد می‌کنند. رایج‌ترین انواع رکورد DNS عبارت‌اند از:

رکورد نگاشت آدرس (A Record) – که به‌عنوان رکورد میزبان DNS نیز شناخته می‌شود، نام میزبان و آدرس IPv4 مربوط به آن را ذخیره می‌کند.
IP نسخه 6 رکورد آدرس (AAAA Record) – نام میزبان و آدرس IPv6 مربوطه آن را ذخیره می‌کند.
رکورد نام (CNAME Record) Canonical می‌تواند برای نام مستعار میزبان نام میزبان دیگر استفاده شود. هنگامی‌که یک سرویس‌گیرنده DNS رکوردی را درخواست می‌کند که حاوی یک CNAME است که به نام میزبان دیگری اشاره می‌کند، فرآیند DNS resolution بانام میزبان جدید تکرار می‌شود.
رکورد مبدل ایمیل (MX Record) یک سرور ایمیل SMTP را برای دامنه مشخص می‌کند که برای مسیریابی ایمیل‌های خروجی به سرور ایمیل استفاده می‌شود.
رکوردهای سرور نام (NS Record) مشخص می‌کند که یک منطقهDNS، مانند “example.com” به یک سرور نام معتبر خاص واگذار می‌شود و آدرس سرور نام را ارائه می‌دهد.
سوابق اشاره‌گر جستجوی معکوس (PTR Record) – به یک DNS Resolverاجازه می‌دهد یک آدرس IP ارائه کند و یک نام میزبان دریافت کند (جستجوی معکوس DNS).
رکورد گواهی(CERT Record) گواهی‌های رمزگذاری – PKIX، SPKI، PGP و غیره را ذخیره می‌کند.
محل سرویس (SRV Record) – یک رکورد موقعیت مکانی سرویس، مانند MX اما برای سایر پروتکل‌های ارتباطی.
Text Record (TXT Record) معمولاً داده‌های خوانای ماشین مانند رمزگذاری فرصت‌طلبانه، چارچوب خط‌مشی فرستنده، DKIM، DMARC و غیره را حمل می‌کند.
Start of Authority (SOA Record) این رکورد در ابتدای یک فایل منطقه DNS ظاهر می‌شود و سرور نام معتبر برای منطقه DNS فعلی، جزئیات تماس برای سرپرست دامنه، شماره‌سریال دامنه و اطلاعات مربوط به تعداد دفعات اطلاعات DNS را که برای این منطقه باید تجدید شود نشان می‌دهد.

خدمات DNS

اکنون‌که ما انواع اصلی زیرساخت‌های DNS سنتی را پوشش دادیم، باید بدانید که DNS می‌تواند چیزی بیش از «سیستم لوله‌کشی» اینترنت باشد. DNS خدمات فوق العاده ای ارائه می دهد، ازجمله:

تعادل بار سرور جهانی :(GSLB) مسیریابی سریع اتصالات بین مراکز داده توزیع‌شده در سطح جهانی
Multi CDN : مسیریابی کاربران به CDN که بهترین تجربه را ارائه می‌دهد.
مسیریابی جغرافیایی :شناسایی موقعیت فیزیکی هر کاربر و اطمینان از مسیریابی آن‌ها به نزدیک‌ترین منبع ممکن
مرکز داده و انتقال ابر :انتقال ترافیک به شیوه‌ای کنترل‌شده از منابع داخلی به منابع ابری
مدیریت ترافیک اینترنت :کاهش ازدحام شبکه و اطمینان از جریان ترافیک به منبع مناسب به شیوه‌ای بهینه

این قابلیت‌ها توسط سرورهای DNS نسل بعدی که قادر به مسیریابی و فیلتر کردن ترافیک هوشمند هستند امکان‌پذیر شده است .

آشنایی با AAA (Authentication, Authorization and Accounting)

آگوست 21, 2022/0 دیدگاه/در امنیت شبکه /توسط فاطمه هاشمی

شبکه کامپیوتری (Authentication, Authorization, Accounting) AAA

Admin می‌تواند از طریق یک کنسول به یک Router یا یک دستگاه دسترسی داشته باشد اما شرایط نامطلوب زمانی بوجود می آید که امکان ارتباط با دستگاه از نزدیک میسر نیست و بنابراین، باید از راه دور به آن دستگاه دسترسی داشته باشد.

اما ازآنجایی‌که دسترسی از راه دور با استفاده از یک آدرس IP امکان‌پذیر خواهد بود، ممکن است یک کاربر غیرمجاز بتواند با استفاده از همان آدرس IP به سیستم دسترسی پیدا کند. بنابراین برای اقدامات امنیتی، باید Authentication انجام دهیم. همچنین بسته‌های مبادله شده بین دستگاه باید رمزگذاری شوند تا هر شخص دیگری نتواند آن اطلاعات حساس را به دست آورد. بنابراین، چارچوبی به نام AAA برای تأمین آن سطح امنیتی ویژه استفاده می‌شود.

AAA:
AAA یک چارچوب مبتنی بر استاندارد است که برای کنترل افرادی که مجاز به استفاده از منابع شبکه (از طریق Authentication) هستند، آنچه مجاز به انجام آن هستند (از طریق Authorization) و دسترسی به اقدامات انجام‌شده در حین دسترسی به شبکه (از طریق Accounting)، استفاده می شود.

احراز هویت (Authentication)
فرآیندی که توسط آن می‌توان تشخیص داد که کاربری که می‌خواهد به منابع شبکه دسترسی پیدا کند، با درخواست برخی از اطلاعات هویتی مانند نام کاربری و رمز عبور، معتبر است یا خیر. روش‌های رایج عبارت‌اند از قرار دادن Authenticationدر پورت کنسول، پورت AUX یا خطوط vty.

اگر شخصی بخواهد به شبکه دسترسی پیدا کند، به‌عنوان سرپرست شبکه، می‌توانیم نحوه Authenticationکاربر را کنترل کنیم. برخی از این روش‌ها شامل استفاده از پایگاه داده محلی (Router) یا ارسال درخواست‌های Authenticationبه یک سرور خارجی مانند سرور ACS است. برای تعیین روشی که برای Authenticationاستفاده می‌شود، از method list‌ Authenticationپیش‌فرض یا سفارشی استفاده می‌شود.

2. مجوز (Authorization)
قابلیت‌هایی را برای اعمال سیاست‌ها در منابع شبکه پس‌ازاینکه کاربر از طریق Authenticationبه منابع شبکه دسترسی پیدا کرد، فراهم می‌کند. پس از موفقیت‌آمیز بودن احراز هویت، می‌توان از Authorization برای تعیین اینکه کاربر مجاز به دسترسی به چه منابعی است و عملیاتی که می‌تواند انجام شود استفاده کرد.

به‌عنوان‌مثال، اگر یک مهندس شبکه تازه کار(که نباید به همه منابع دسترسی داشته باشد) بخواهد به دستگاه دسترسی داشته باشد، Admin می‌تواند نمایه‌ای ایجاد کند که اجازه ‌دهد دستورات خاص فقط توسط کاربر اجرا شوند (فرمان‌هایی که درروش فهرست مجاز هستند. Admin می‌تواند از method list مجاز استفاده کند تا مشخص کند کاربر چگونه برای منابع شبکه مجاز است، یعنی از طریق یک پایگاه داده محلی یا سرور .ACS

حسابداری(Accounting)
ابزاری برای کنترل و ثبت رویدادهای انجام‌شده توسط کاربر در حین دسترسی به منابع شبکه را فراهم می‌کند.حتی بر مدت‌زمانی که کاربر به شبکه دسترسی دارد نظارت می‌کند. Admin می‌تواند یک method list حسابداری ایجاد کند تا مشخص کند که چه چیزی باید حسابداری شود و سوابق حسابداری برای چه کسی ارسال شود.

پیاده‌سازی AAA: AAA را می‌توان با استفاده از پایگاه داده محلی دستگاه یا با استفاده از یک سرور ACS خارجی پیاده‌سازی کرد.

پایگاه داده محلی –اگر می‌خواهیم از پیکربندی در حال اجرای محلی Router یا سوئیچ برای پیاده‌سازی AAA استفاده کنیم، ابتدا باید کاربرانی را برای Authenticationایجاد کنیم و سطوح امتیاز را برای Authorization به کاربران ارائه دهیم.

سرور – ACS این، روش رایج مورداستفاده است. یک سرور ACS خارجی )می‌تواند دستگاه ACS یا نرم‌افزار نصب‌شده روی Vmware باشد( برای AAA استفاده می‌شود که روی آن پیکربندی روی Router و ACS موردنیاز است. این پیکربندی شامل ایجاد یک کاربر، method list سفارشی جداگانه برای احراز هویت، Authorization و حسابداری است.

کلاینت یا سرور دسترسی شبکه (NAS) درخواست‌های Authenticationرا به سرور ACS ارسال می‌کند و سرور تصمیم می‌گیرد که به کاربر اجازه دهد طبق اعتبار ارائه‌شده توسط کاربر به منبع شبکه دسترسی داشته باشد یا نه.

توجه – اگر سرور ACS موفق به Authenticationنشد، Admin باید استفاده از پایگاه داده محلی دستگاه را به‌عنوان پشتیبان، در method list، برای پیاده‌سازی AAA ذکر کند.

10 آسیب‌پذیری مهم OWASP در سال 2022

آگوست 14, 2022/0 دیدگاه/در امنیت شبکه /توسط فاطمه هاشمی

آخرین لیست OWASP پیرامون تهدیدهای رایج برای شرکت‌ها در سال 2022 و چگونگی محافظت در برابر آن‌هاست.
OWASP به‌تازگی لیست اصلاح‌شده خود را از ده مورد آسیب‌پذیری مهم برای مشاغل در سال‌های 2021-2022، پنج سال پس از آخرین اطلاعیه خود منتشر کرده است.
OWASP Top 10 مدل 2021-2022 در مقایسه با مدل 2017
Open Web Application Security Project (OWASP) یک سازمان غیردولتی است که هدف آن بهبود امنیت نرم‌افزار است. OWASP یک فروشگاه چندمنظوره برای افراد، شرکت‌ها، سازمان‌های دولتی و سایر سازمان‌های جهانی است که به دنبال عیب‌یابی و دانش واقعی در مورد امنیت application هستند. OWASP خدمات یا محصولات تجاری را تبلیغ نمی‌کند، اما مجموعه‌ای از دوره ‌های خود را در مورد امنیت برنامه‌ها و حوزه‌های مرتبط ارائه می‌دهد.
علاوه بر این، مفهوم “open community” را مطرح می‌کند، به این معنی که هرکسی آزاد است در مکالمات آنلاین OWASP، طرح‌ها و سایر فعالیت‌ها شرکت کند. OWASP تضمین می‌کند که تمام منابع خود، ازجمله ابزارهای آنلاین، ویدیوها، انجمن‌ها و رویدادها، از طریق وب‌سایت خود در دسترس عموم قرار ‌گیرد. با افزایش جرائم سایبری، حملات (DDoS)، کنترل دسترسی معیوب و فاش شدن اطلاعات به دفعات اتفاق می‌افتد. بنیاد OWASP، OWASP Top 10را برای جلوگیری از این نگرانی‌های امنیتی ایجاد کرد. OWASP Top 10 ‌یک رتبه‌بندی از ده خطر جدی امنیتی برای برنامه‌های آنلاین موجود است که بر اساس اولویت آورده ‌شده است. آخرین لیست OWASP Top 10در سال 2017 منتشر شد که اخیراً در سه‌ماهه چهارم سال 2021 به‌روزرسانی شده است.
در اینجا برخی از تغییرات مهم قابل مشاهده است:

A03: SQL Injections 2021 گسترده‌تر می‌شوند
اولین اصلاحات در ارتباط با SQL Injections است. حملات SQL Injections زمانی اتفاق می‌افتد که یک هکر سعی می‌کند داده‌ها را به یک برنامه وب ارسال کند، به‌طوری‌که برنامه وب یک عمل ناخواسته را انجام دهد. این‌ها ممکن است شامل اشکالات SQL Injections، سیستم‌عامل و پروتکل (LDAP) باشد. ازآنجایی‌که این نقص نیز injectable است، به‌روزرسانی فعلی OWASP Top 10 حملات(XSS) A07:2017 را تشدید می‌کند.

A05: پیکربندی اشتباه امنیتی 2021 در اولویت قرار دارد

با توجه به افزایش تعداد گزینه‌های پیکربندی، این دسته در OWASP Top 10 ارتقا یافته است. حمله XXE یک برنامه client-sideرا هدف قرار می‌دهد که ورودی XML را پردازش می‌کند. یک XML-External-Entities-Attack زمانی اتفاق می‌افتد که ارجاعات ورودی XML ناامن، به موجودیت‌های خارجی تفسیر و پردازش شوند. بااین‌حال، این حمله تنها با یک تجزیه‌کننده XML معیوب یا پیکربندی نامناسب موفقیت‌آمیز است؛ بنابراین، A04:2017-XML External Entities (XXE) در A05:2021-Security misconfiguration به‌عنوان یک نوع خاص از پیکربندی نادرست ادغام‌شده است.

10 آسیب‌پذیری برتر OWASP برای سال 2022 چیست؟

سه دسته‌بندی جدید در OWASP Top 10 سال 2021 با تغییرات و ادغام دامنه و نام‌گذاری اضافه شده است. برای شروع و محافظت در برابر این تهدیدها، در اینجا مهم‌ترین آسیب‌پذیری‌های امنیتی که باید در سال 2022 مراقب آن‌ها بود، آورده شده است:

کنترل دسترسی خراب Broken access control

کنترل دسترسی استراتژی‌هایی را برای جلوگیری از عملکرد کاربران فراتر از محدوده مشخص‌شده خود پیاده‌سازی می‌کند. به دلیل آسیب‌پذیری‌های دسترسی، کاربران احراز هویت نشده ممکن است به داده‌ها و فرآیندهای طبقه‌بندی‌شده و تنظیمات امتیاز کاربر دسترسی داشته باشند.

دست‌کاری metadata، ازجمله دست‌کاری یا اجرای مجدد یک نشانه کنترل دسترسی JSON (JWT)، یا تغییر cookies یا فیلدهای مخفی برای افزایش امتیازات یا سوء استفاده از باطل شدن JWT، نمونه‌ای از آسیب‌پذیری کنترل دسترسی است. مثال دوم نقض اصل denial به‌طور پیش‌فرض است. دسترسی باید فقط به نقش‌ها، قابلیت‌ها یا کاربران خاصی داده شود، اما برای همه قابل‌دسترسی است. چنین خطاهایی ممکن است دسترسی Attackers به همه جا را آسان کنند.

بااین‌حال، ممکن است با استفاده از رویکردهای کدگذاری ایمن و انجام اقدامات احتیاطی مانند غیرفعال کردن حساب‌های admin و محدودیت‌ها و نصب احراز هویت چندعاملی، از مکانیسم‌های امنیتی دسترسی ناکافی و مسائل مربوط به مدیریت هویت یا رمز عبور جلوگیری کنید.

تکنیک‌های پیشگیری تکمیلی عبارت‌اند از:

مکانیسم‌های کنترل دسترسی را فقط یک‌بار اجرا کنید و برای کاهش اشتراک‌گذاری منابع متقاطع (CORS) از آن‌ها برای مدت‌زمان برنامه مجددا استفاده کنید.
مدل‌های Domain باید موانع محدود تجاری یک application متفاوت را اعمال کنند.
دسترسی به رابط‌های برنامه‌نویسی برنامه (API) و کنترل‌کننده‌ها را محدود کنید تا اثرات ابزارهای حمله خودکار را کاهش دهید.
هر گونه اشکال در کنترل دسترسی را یادداشت کرده و در صورت لزوم به مدیران اطلاع دهید.
به‌جای ارائه دسترسی به کاربر برای ایجاد، مشاهده، اصلاح یا پاک کردن هرگونه اطلاعات، کنترل‌های دسترسی model باید از مالکیت رکورد تبعیت کنند.

مشکلات رمزنگاری(Cryptographic Failures)

مشکلات رمزنگاری که قبلاً به‌عنوان قرار گیری در معرض داده‌های حساس شناخته می‌شد، به جایگاه دوم رسید. این بیشتر یک علامت است تا اینکه علت اصلی باشد. در اینجا تأکید بر خطاهای رمزنگاری یا عدم وجود آن‌ها است که اغلب داده‌های حساس را در معرض دید قرار می‌دهد. موارد زیر نمونه‌های متداولی از قرار گرفتن در معرض اطلاعات حساس هستند:

توکن‌های Session
شناسه‌های ورود و رمز عبور
معاملات آنلاین
اطلاعات شخصی (شبکه سرویس سوئیچ شده یا SSN، health records و غیره)

به‌عنوان‌مثال، یک application ممکن است به‌طور ایمن داده‌های کارت اعتباری را با رمزگذاری خودکار پایگاه داده انجام دهد. متأسفانه، هنگامی‌که به این اطلاعات دسترسی پیدا می‌شود، رمزگذاری بلافاصله انجام نمی گیرد و یک خطای Injection SQL را قادر می‌سازد تا اطلاعات کارت اعتباری را در قالب یک متن مشخص استخراج کند که ممکن است یک فرد خاطی از آن سوءاستفاده کند. با استفاده از تکنیک‌های پیشگیری زیر می‌توان از این مشکلات جلوگیری کرد:

شما باید از الگوریتم‌های hashing قوی، salted و تطبیقی با ضریب تأخیر برای ذخیره رمزهای عبور از قبیل scrypt، Argon2، PBKDF2 یا bcrypt استفاده کنید.
هنگام انتقال داده‌های حساس باید از پروتکل‌های قدیمی‌تر مانند پروتکل انتقال فایل (FTP) و پروتکل انتقال‌نامه ساده (SMTP) اجتناب شود.
به‌جای استفاده صرف از رمزگذاری، توصیه می‌شود رمزگذاری تأییدشده را پیاده‌سازی کنید.
کلیدهای تصادفی رمزنگاری باید به‌صورت آرایه بایت تولید و ذخیره شوند. اگر از رمزهای عبور استفاده می‌شود، باید با استفاده از الگوریتمی برای ایجاد کلید مبتنی بر رمز عبور، به چیزی شبیه به یک کلید تبدیل شود.

SQL Injection

SQL Injection (یا Injection) یک حمله پایگاه داده علیه وب‌سایتی است که از زبان (SQL) برای به دست آوردن اطلاعات یا انجام فعالیت‌هایی استفاده می‌کند که معمولاً به یک حساب کاربری تأییدشده نیاز دارند. تفسیر این کدها برای برنامه از روی کد خود دشوار است و به مهاجمان این امکان را می‌دهد که حملات SQL Injection را انجام دهند تا به مناطق محافظت‌شده دسترسی داشته باشند و داده‌های حساس را به‌عنوان کاربران قابل‌اعتماد پنهان کنند. SQL Injection شامل SQL Injection، SQL Injection فرمان، SQL Injection CRLF و SQL Injection LDAP و غیره است.

با حداکثر بروز تخمینی 19 درصد، میانگین میزان بروز 3 درصد و 274000 مورد، 94 درصد از برنامه‌ها برای SQL Injection غربالگری شدند. درنتیجه، Injection به رتبه سوم در لیست اصلاح‌شده سقوط کرد.

برخی از تکنیک‌های پیشگیری عبارت‌اند از:

یک جایگزین ترجیحی استفاده از یک API است که به‌طور کامل از مفسر اجتناب می‌کند، یک API پارامتری ارائه می‌دهد، یا به ابزارهای نگاشت شی – رابطه (ORM) منتقل می‌شود.

استفاده از ورودی اعتبارسنجی مثبت سمت سرور توصیه می‌شود. برنامه‌های کاربردی متعدد، ازجمله فیلدهای متنی و API برای برنامه‌های تلفن همراه، به کاراکترهای ویژه‌ای نیاز دارند.

استفاده از LIMIT و سایر محدودیت‌های SQL در داخل پرس‌و‌جوها راهی عالی برای جلوگیری از قرار گرفتن در معرض داده‌های عظیم در مورد SQL Injection است.

بیشتر بخوانید: فایروال چیست؟ تعریف، مؤلفه‌های کلیدی و بهترین روش‌ها

طراحی ناامن

این‌یک مقوله کاملاً جدید برای سال 2021 است که بر روی اشکالات طراحی و معماری تمرکز دارد و نیاز به استفاده بیشتر از مدل‌سازی تهدید، توصیه‌های ایمنی طراحی و معماری‌های مرجع دارد. طراحی ناایمن مقوله وسیعی است که شامل مشکلات گوناگونی است، مانند «نقص یا ناکافی بودن طراحی کنترل.» این بدان معنا نیست که طراحی ناامن ریشه تمام 10 دسته خطر اصلی دیگر است.

طراحی ناایمن با اجرای ناایمن یکسان نیست. نقص‌های پیاده‌سازی می‌تواند منجر به آسیب‌پذیری‌ها شود، حتی زمانی که طراحی امن باشد. از سوی دیگر، یک طراحی معیوب را نمی‌توان با اجرای بی‌عیب و نقص جبران کرد زیرا تدابیر امنیتی لازم برای دفاع در برابر تهدیدات خاص وجود ندارد.

می‌توان با استفاده از تکنیک‌های پیشگیری زیر از این تهدیدات جلوگیری کرد:

با کمک متخصصان AppSec یک چرخه حیات توسعه ایمن را برای ارزیابی و ایجاد تدابیر امنیتی و حریم خصوصی تنظیم و استفاده کنید.

راه‌اندازی و استفاده از Lifecycle توسعه ایمن با کمک متخصصان AppSec برای ارزیابی و ایجاد تدابیر امنیتی و حفظ حریم خصوصی توصیه می‌شود.

اصطلاحات امنیتی و کنترل‌ها را در Story ‌های کاربر قرار دهید.
Tenant segregation بر اساس طراحی در تمام سطوح نیز به‌عنوان یک رویکرد پیشگیرانه عملی دیده می‌شود.

تنظیمات اشتباه امنیتی

مسائل اجرای امنیت عمومی، مانند کنترل‌های دسترسی نادرست پیکربندی‌شده، با فراهم کردن دسترسی سریع و آسان Attackers به داده‌های حیاتی و Site Regions، خطرات قابل‌توجهی ایجاد می‌کند.

OWASP با نرخ متوسط بروز 4% و بیش از 208000 رخداد[1] (CWE) در این دسته، 90% برنامه‌ها را برای پیکربندی نادرست بررسی کرد. «پیکربندی CWE-16 و محدودیت نامناسب CWE-611 مرجع خارجی XML، دو CWE قابل‌توجه هستند». برای جلوگیری از پیچیدگی‌های پیکربندی، باید از تکنیک‌های نصب ایمن استفاده کرد که عبارت‌اند از:

یک فرآیند تقویت سیستماتیک امکان استقرار سریع و آسان یک محیط امن را فراهم می‌کند. پیکربندی محیط‌های توسعه، کنترل کیفیت و عملیاتی باید مشابه و دارای امتیازات کاربر متمایز باشد.
برای خودکارسازی فرآیندها در جهت ایجاد یک محیط امن جدید، صرفه‌جویی در زمان و تلاش لازم، ایده آل است. ویژگی‌ها و فریمورک های استفاده‌نشده باید حذف شوند یا نصب نشوند. یک پلتفرم اصلی بدون ویژگی‌ها، مؤلفه‌ها، مستندات یا نمایش‌های غیرضروری، احتمال آسیب‌پذیری‌های پیکربندی را کاهش می‌دهد.

اجزای آسیب‌پذیر و قدیمی

اکثر برنامه‌های آنلاین با کمک چارچوب‌های شخص ثالث ایجاد می‌شوند. کدهای برنامه ناشناخته ممکن است منجر به نتایج نامطلوب و موقعیت‌های ناخواسته مانند Accent Control Violations، SQL Injection و غیره شود.

اگر برنامه ناامن، پشتیبانی نشده یا قدیمی ‌باشد، ممکن است خطرات مربوط به آسیب‌پذیری وجود داشته باشد. این بسته شامل Application / وب سرور، سیستم‌عامل، Applications، سیستم مدیریت پایگاه داده (DBMS)، API ها، عناصر دیگر، کتابخانه‌ها و محیط‌های زمان اجرا می‌باشد.

رویکردهای خودکار برای کمک به Attackers دریافتن ماشین‌هایی که به‌درستی پیکربندی نشده یا وصله نشده‌اند، در دسترس هستند. برای مثال، موتور جستجوی IoT Shodan ممکن است به کاربران در کشف دستگاه‌هایی که در معرض تهدید Heartbleed هستند که در آوریل 2014 رفع شد، کمک کند. برخی از تکنیک‌های پیشگیری عبارت‌اند از:

بهتر است قطعات را از منابع معتبر از طریق کانال‌های امن خریداری کنید.
مراقب ماژول‌ها و عناصری باشید که کاربردی نیستند یا به‌روزرسانی‌های امنیتی را برای نسخه‌های قدیمی‌تر ارائه نمی‌کنند. اگر نمی‌توان Patching را انجام داد، برای مشاهده، شناسایی یا محافظت در برابر آسیب‌پذیری مشاهده‌شده، Patching مجازی ایجاد کنید.
هرگونه الزامات، قابلیت‌ها، عناصر، پوشه‌ها یا اسناد اضافی را حذف کنید.

مشکلات شناسایی و احراز هویت

این دسته که قبلاً به‌عنوان احراز هویت ناقص شناخته می‌شد، از رتبه دوم سقوط کرد و اکنون حاوی CWE های مرتبط با مشکلات شناسایی است. هنگامی‌که یک Attacker اطلاعات کاربر، بازیابی رمز عبور، جلسات ID و سایر اعتبارنامه‌های ورود را به دست می‌آورد، مشکلات امنیتی ایجاد می‌کند. همان‌طور که از نام آن پیداست، مشکلات احراز هویت و شناسایی شامل هکرهایی است که از چنین آسیب‌پذیری‌هایی برای استفاده از احراز هویت نادرست سوءاستفاده می‌کنند.

اگر برنامه اجازه حملات خودکار مانند پر کردن اعتبار – زمانی که Attacker به لیست کاربران واقعی و گذرواژه‌ها دسترسی دارد – یا گذرواژه‌های از پیش تعریف‌شده، ضعیف‌تر و رایج مانند «Password1» یا «Admin/Admin» را می‌دهد، این‌ها می‌تواند نشانه‌ای از نقص‌های احراز هویت باشد.

برای جلوگیری از چنین نقص‌هایی، باید اقدامات پیشگیرانه زیر را در نظر گرفت:

احراز هویت چندعاملی باید هر جا که امکان‌پذیر باشد برای جلوگیری از پر کردن خودکار اعتبار، حملات brute-force و استفاده مجدد از اعتبارنامه‌های سرقت شده استفاده شود.
با بررسی گذرواژه‌های جدید یا اصلاح‌شده در برابر پایگاه داده‌ای از 10000 مورد از ضعیف‌ترین رمز عبورها، می‌توان امنیت رمز عبور را افزایش داد.
استفاده از پیام‌های مشابه برای هر نتیجه، به جلوگیری از حملات شمارش حساب در بازیابی رمز عبور، ثبت‌نام‌ها و مسیرهای API کمک می‌کند.
هیچ اعتبار پیش‌فرضی را نصب نکنید، به‌خصوص برای کاربران اداری.

نقص نرم‌افزار و یکپارچگی داده‌ها

ازآنجایی‌که اطلاعات حساس‌تر در پایگاه‌های داده ذخیره می‌شوند و در برابر نقض‌های امنیتی آسیب‌پذیر هستند، نگرانی‌های یکپارچگی داده‌ها برای نرم‌افزار ضروری می‌شود.

این‌یک مقوله جدید است و برفرض یکپارچگی به‌روزرسانی‌های نرم‌افزار، داده‌های حیاتی و رویه‌های CI/CD بدون تأیید آن‌ها، تمرکز دارد. یک مثال زمانی است که برنامه‌ها از افزونه‌ها، ماژول‌ها یا مخازن از شبکه‌های تحویل محتوا (CDN) یا منابع غیرمجاز استفاده می‌کنند. یک فرآیند یکپارچه‌سازی/تحویل پیوسته (CI/CD) که محافظت نشده است ممکن است خطر کد مخرب، به خطر افتادن سیستم یا دسترسی غیرمجاز را افزایش دهد.

تکنیک‌های پیشگیری عبارت‌اند از:

می‌توان از معیارهایی مانند امضای دیجیتال برای تأیید اینکه داده‌ها یا نرم‌افزار از منابع مورد انتظار بدون هیچ‌گونه دست‌کاری تهیه‌شده‌اند، استفاده کرد.
یک ابزار امنیتی برای زنجیره‌های تأمین نرم‌افزار، مانند OWASP CycloneDX یا OWASP Dependency-Check، ممکن است برای تضمین عدم وجود ایرادات طراحی در اجزا استفاده شود.
لازم است تضمین شود که گردش کار CI/CD دارای بخش‌بندی، کنترل دسترسی و پارامتر سازی لازم برای محافظت از یکپارچگی کد در طول عملیات راه‌اندازی و استقرار است.
داده‌های جمع‌آوری‌شده بدون امضا یا رمزگذاری نشده نباید به مشتریان غیرقابل‌اعتماد ارسال شوند، مگر اینکه آزمایش یکپارچگی یا امضای دیجیتالی برای شناسایی تغییر یا تکرار داده‌ها وجود داشته باشد.

مشکلات logging و monitoring امنیتی

عدم ردیابی اقدامات و رویدادهای مشکوک می‌تواند شکاف‌های زمانی نظارت‌نشده را افزایش دهد و اجازه می‌دهد نقض‌های امنیتی برای مدت طولانی‌تری به‌واسطه logging مناسب‌تر نادیده گرفته شوند. این بخش OWASP Top 10 2021 به‌منظور کمک به شناسایی، تشدید و حل‌وفصل نقض‌های اخیر است. تشخیص نقض امنیتی احتمالاً بدون ثبت و کنترل است.

یک شرکت هواپیمایی بزرگ اروپایی برای نشان دادن این شکست، یک رویداد گزارشی(GDPR) داشت. احتمالاً متخلفان از نقایص امنیتی app پرداخت برای به دست آوردن اطلاعات بیش از 400000 پرداختی مصرف‌کنندگان سوءاستفاده کرده‌اند. در پاسخ، متصدیان حریم خصوصی، این شرکت هواپیمایی را به دلیل داده‌های نادرست، 20 میلیون پوند جریمه کردند. برای جلوگیری از چنین حملاتی، لازم است کاربران نکات زیر را در نظر بگیرند:

بررسی تمامی مشکلات authentication، سیستم‌های امنیتی دسترسی و اعتبارسنجی داده‌های server-side با استفاده از اطلاعات کافی کاربر برای شناسایی حساب‌های مشکوک یا کلاه‌بردار ثبت‌شده که برای یک دوره مناسب ذخیره می‌شوند تا تحقیقات جامعی در زمان مناسب صورت گیرد.
کسب اطمینان از ایجاد log ‌ها در فرمت‌های قابل‌قبول توسط سیستم‌های مدیریت log
به‌کارگیری یک استراتژی برای اعمال بازیابی رویدادها و تلاش‌های پاسخ، مانند NIST 800-61r2 یا نسخه جدیدتر.
کسب اطمینان از کدگذاری صحیح داده‌های گزارش برای جلوگیری از نفوذ یا تهدیدات سایبری برای سیستم‌های نظارتی

[1] Common Weakness Enumeration

این نوشته در حال به روزرسانی است.

مقایسه سیستم عامل های IOS، NX-OS و IOS-XR

آگوست 7, 2022/0 دیدگاه/در سوئیچ و روتر /توسط فاطمه هاشمی

تا کنون سیسکو از سیستم‌عامل‌های بسیاری رونمایی کرده است که تعداد زیادی از آن‌ها اکنون دیگر ازرده‌خارج شده‌اند. برخی از این سیستم‌عامل‌ها حاصل ادغام شرکت‌های مختلف توسط شرکت سیسکو بودند. به‌عنوان‌مثال، در اواسط دهه 1990، سیسکو با خرید شرکت‌های Grand Junction، Kalpana و Crescendo شروع به توسعه خط تولید سوئیچ‌های کاتالیست سیسکو کرد. این سوئیچ‌ها سیستم‌عامل‌های متفاوتی را اجرا می‌کردند. محصولات سیسکو همچنین با سیستم‌عامل‌های گوناگونی برای هاب‌های خود، Load Balancers، سخت‌افزارهای امنیتی، ماژول‌های پیام‌رسانی یکپارچه و غیره به بازار عرضه شدند. بااین‌حال، سیستم‌عامل IOS سیسکو تا مدت‌ها عملاً سیستم‌عامل مورداستفاده این شرکت شناخته می‌شد که بر روی طیف وسیعی از روترها و سوئیچ‌های سیسکو کاتالیست اجرا می‌شد. اما نکته جالب‌توجه این است که چندین سیستم‌عامل دیگر سیسکو به شهرت رسیده‌اند و امروزه در حال استفاده گسترده هستند، به‌ویژه: NX-OS و IOS-XR.

این پست پیرامون تفاوت‌های عمده بین سیستم‌عامل‌های IOS، NX-OS، و IOS-XR شرکت سیسکو می‌باشد و همچنین اطلاعاتی در خصوص این که در چه مکان‌ها و موقعیت‌هایی ممکن است با هرکدام از این سیستم‌عامل‌ها مواجه شوید را در اختیار شما قرار می‌دهد. ابتدا، در نظر داریم به بررسی مقایسه‌ای آن‌ها در سطح پیشرفته بپردازیم:

سیستم‌عامل IOS سیسکو: این نوع از سیستم‌عامل‌ها، در «شبکه‌های بدون محدودیت» یافت می‌شوند (یعنی شبکه‌هایی که به «هرکسی، در هر مکان و با هر تجهیزات سخت‌افزاری» اجازه می‌دهد به یک شبکه شرکتی متصل شود). به‌عنوان‌مثال، یک‌روتر ISR2 سری 3900 سیسکو، سیستم‌عامل IOS را اجرا می‌کند.
سیستم‌عامل NX-OS سیسکو: این سیستم‌عامل در سوئیچ‌های Nexus واقع در مراکز داده یافت می‌شود. به‌عنوان‌مثال، یک سوئیچ سیسکوی Nexus سری 7000، یک سیستم‌عامل NX-OS را اجرا می‌کند.
سیستم‌عامل IOS-XR سیسکو: در روترهای ارائه‌دهنده خدمات سیسکو یافت می‌شود. به‌عنوان‌مثال، یک‌روتر سیسکو XR سری 12000، یک سیستم‌عامل IOS-XR را اجرا می‌کند.

درگذشته، سه گروه سازمانی مجزا در شرکت سیسکو وجود داشتند که این سیستم‌عامل‌ها را توسعه دادند. خوشبختانه، این سه گروه در حال حاضر تحت یک واحد سازمانی مشترک در سیسکو ترکیب شده‌اند. این ادغام سازمانی تاکنون منجر به سازگاری بیشتر بین این سیستم‌عامل‌های متنوع شده است. بااین‌حال، تفاوت‌های قابل‌توجهی هنوز وجود دارد. برای درک بهتر تفاوت‌های اساسی، در ادامه برخی از ویژگی‌های اصلی هر سیستم‌عامل را بیان می‌کنیم:

سیستم‌عامل IOS سیسکو

اگرچه اصطلاح “IOS” بعدها مطرح شد، قدمت این سیستم‌عامل به اواسط دهه 1980 بازمی‌گردد. سیستم‌عامل IOS با استفاده از زبان برنامه‌نویسی C توسعه یافت و دارای محدودیت‌های متعددی بود که مربوط به زمان تولید آن بود. به‌عنوان‌مثال، از چند پردازش متشابه پشتیبانی نمی‌کرد. در نتیجه، پیش از اینکه مجموعه‌ای از کدهای دستوری شروع به اجرا شوند، باید یک کد دستوری تکمیل می‌شد. یکی دیگر از محدودیت‌های مهم ساختاری، استفاده از فضای حافظه مشترک بود. پیش‌ازاین، همه فرایندها از یک منبع حافظه استفاده می‌کردند و یک پردازش OSPF¹ نادرست (به‌عنوان‌مثال) می‌توانست باعث ایجاد اختلال در سایر فرایندهای روتر شود.

برخی از پلتفرم‌های روتر راه‌حل‌های جایگزینی را ارائه می‌دادند. برای نمونه، یک‌روتر ماژولار 7513 سیسکو می‌توانست به یک ماژول پردازشگر رابط همه‌کارهVIP ² مجهز شود که کارت‌های شبکه اختصاصی را قادر می‌ساخت تا مدل‌های نمونه‌سازی شده خود را از سیستم‌عامل IOS اجرا کنند که سطحی از تعادل را برای حجم ترافیک و افزونگی اطلاعات فراهم می‌کرد.

توجه: نسخه دیگری از سیستم‌عامل IOS که ممکن است نامش را شنیده باشید سیستم‌عامل IOS-XE است که سیستم‌عامل IOS را روی لینوکس اجرا می‌کند. به‌عنوان‌مثال، می‌توانید سیستم‌عامل IOS-XE سیسکو را در حال اجرا بر روی روتر ASR سری 1000 سیسکو بیابید. سیستم‌عامل IOS-XE سیسکو به لطف مجموعه ویژگی‌های لینوکس، پشتیبانی از چند پردازش مشابه و فضاهای حافظه اختصاصی را ارائه می‌دهد. بااین‌حال، به‌غیراز زیربنای لینوکس، IOS-XE در اصل همان سیستم‌عامل IOS قبلی است؛ بنابراین، در این مقاله رویکرد مشخصی برای آن ارائه داده نشده است.

سیستم‌عامل NX-OS سیسکو

این سیستم‌عامل که در ابتدا SAN نام داشت (مخفف Storage Area Network بود)، امکانات ساختاری گسترده‌تری را نسبت به نسخه قدیمی سیستم‌عامل IOS سیسکو ارائه می‌دهد. اگرچه سیستم‌عامل NX-OS در ابتدا یک نسخه 32 بیتی بود، اما از آن زمان تا کنون به یک سیستم‌عامل 64 بیتی تبدیل شده است. برخلاف سیستم‌عامل IOS سیسکو، سیستم‌عامل NX-OS از فضای حافظه مشترکی استفاده نمی‌کند اما از چند پردازش متقارن با ورودی، خروجی یا مسیر مشترک پشتیبانی می‌کند. همچنین امکان چندوظیفه ای نوبه ای Preemptive Multitasking ³ را فراهم می‌کند که به یک فرایند با درجه اهمیت بالاتر اجازه می‌دهد تا پیش از یک فرایند با درجه اهمیت پایین‌تر اجرا شود.

NX-OS بر روی هسته لینوکس ساخته شده است و به طور طبیعی از زبان Python برای ایجاد اسکریپت در سوئیچ‌های Cisco Nexus پشتیبانی می‌کند. علاوه بر این، دارای چندین ویژگی دسترسی‌پذیری پیشرفته است و همه ویژگی‌های خود را به یکباره اجرا نمی‌کند. در عوض، می‌توانید مشخص کنید که کدام ویژگی را می‌خواهید فعال کنید. حذف اجرای ویژگی‌های غیرضروری، حافظه و پردازنده را برای ویژگی‌هایی که می‌خواهید آزاد می‌کند. بااین‌حال، در حوزه پیکربندی، شباهت‌های زیادی بین NX-OS و سیستم‌عامل IOS سیسکو وجود دارد.

سیستم‌عامل IOS-XR سیسکو

این سیستم‌عامل که در اصل برای عملکرد 64 بیتی طراحی شده بود، بسیاری از امکانات پیشرفته موجود در سیستم‌عامل NX-OS را ارائه می‌دهد (مانند پردازش چندگانه متقارن، فضاهای حافظه اختصاصی، و فعال‌کردن خدمات موردنیاز). بااین‌حال، درحالی‌که سیستم‌عامل NX-OS بر روی هسته لینوکس ساخته شده، سیستم‌عامل IOS-XR بر مبنای توسعه داده شده است. میکرو کرنل نوترینو QNX ⁴Neutrino Microkernel مشابه یونیکس است و اکنون تحت مالکیت شرکت بلک‌بری است.

یکی از ویژگی‌های سیستم‌عامل IOS-XR که در سیستم‌عامل NX-OS یافت نمی‌شود، امکان داشتن نمونه‌ای از سیستم‌عامل است که چندین کیس را کنترل می‌کند. همچنین، ازآنجایی‌که سیستم‌عامل IOS-XR محیط‌های ارائه‌دهنده خدمات را هدف قرار می‌دهد، از رابط‌هایی مانند DWDM و Packet over SONET پشتیبانی می‌کند.

در حالی که پیکربندی IOS-XR تا حدودی شباهت به ورژن قدیمی IOS سیسکو دارد، تفاوت‌ها در مقایسه با تفاوت‌های موجود در NX-OS بسیار محسوس‌تر هستند. مثلاً هنگامی که واردکردن دستورات پیکربندی به پایان رسید، باید تغییرات خود را برای اجرایی‌شدن آن‌ها و قبل از خروج از حالت پیکربندی اعمال کنید.

نمونه‌های پیکربندی

برای نمایش برخی تنظیمات اولیه در این سه سیستم‌عامل، موارد زیر را در نظر بگیرید. این دستورات روی روتر سیستم‌عامل IOS سیسکو، سوئیچ NX-OS و نمونه های روتر IOS-XR که در Cisco VIRL اجرا می‌شوند داده شده است. هر یک از مثال‌های زیر نسخه فعلی روتر یا سوئیچ سیستم‌عامل را نشان می‌دهند. سپس وارد حالت پیکربندی سراسری می‌شویم و نام میزبان روتر یا سوئیچ را تغییر می‌دهیم و به دنبال آن یک رابط Loopback 0 ایجاد می‌کنیم، بعد از اختصاص یک آدرس IP ، به حالت دسترسی بازمی‌گردیم و دستور کوتاه نمایش IP را صادر می‌کنیم.

هنگام تخصیص آدرس‌های IP به رابط‌های Loopback در سیستم‌های سخت‌افزاری، توجه داشته باشید که سیستم‌عامل IOS سیسکو نیاز دارد که عدد پوشش زیر شبکهSubnet Mask ⁵ با نماد اعشاری نقطه‌دار وارد شود، درحالی‌که NX-OS و IOS-XR از واردکردن پوشش زیر شبکه به‌صورت اسلش پشتیبانی می‌کنند (یعنی استفاده از /32 به‌جای استفاده از 255.255.255.255). همچنین توجه داشته باشید که قبل از خروج از حالت پیکربندی باید دستور commit را در IOS-XR اجرا کنید. همچنین، تنها زمانی که آن فرمان را صادر می‌کنیم، جدیدترین پیکربندی نام میزبان اعمال می‌شود.

مقایسه شبکه SD-WAN و WAN

جولای 31, 2022/0 دیدگاه/در سوئیچ و روتر /توسط فاطمه هاشمی

تفاوت بین TRADITIONAL WAN و SD-WAN چیست و کدام‌یک برای حرفه شما مناسب‌تر است؟

روی آوردن به شبکه SD-WAN برای کسب‌وکارها در سراسر جهان در حال گسترش است. بر اساس تحقیقات شرکت Adroit Market Research، پیش‌بینی می‌شود که بازار جهانی SD-WAN تا سال 2028 به 26 میلیارد دلار برسد.

بااین‌حال، استفاده از فناوری TRADITIONAL WAN هنوز روشی معتبر و قابل‌اعتماد برای ارائه و دریافت خدمات شبکه است. در برخی موارد، یک رویکرد ترکیبی قابل‌اجرا کاربردی‌ترین روش است. این امر درواقع به نیازها و موقعیت منحصربه‌فرد هر سازمان بستگی دارد.

فارغ از اینکه سازمان شما همچنان از فناوری TRADITIONAL WAN استفاده کند یا به‌طور کامل به SD-WAN تغییر کاربری داده باشد و یا از ترکیبی از این دو بهره ببرد، در این مقاله می‌توانید تمامی اطلاعات موردنیاز در مورد این دو فناوری را به دست آورید.

TRADITIONAL WAN چیست؟

فناوری TRADITIONAL WAN مدت‌هاست که برای زیرساخت‌های شبکه‌های فناوری اطلاعات، صدا و داده مورد استفاده قرار گرفته است. یک TRADITIONAL WAN که برای اتصال چندین شرکت استفاده می‌شود، شبکه‌های محلی(LAN) را از طریق روترها و شبکه‌های خصوصی مجازی (VPN) به یکدیگر متصل می‌کند.

شبکه‌های TRADITIONAL WAN بیشتر به اتصالات سوئیچینگ با کمک برچسب‌زنی چند پروتکل اختصاصی (MPLS) برای ارائه اتصالات امن و مستقیم برای جریان ترافیک شبکه قابل‌اعتماد و کارآمد متکی هستند. با استفاده از این تکنیک می‌توانید ترافیک صوتی، ویدیویی و داده را در شبکه خود اولویت‌بندی کنید.

SD-WAN

ازآنجایی‌که ابزارها و برنامه‌های حیاتی برای کسب‌وکار، مجازی شده‌اند، ترافیک شبکه افزایش‌یافته است و به اتصالات MPLS یک TRADITIONAL WAN فشار زیادی وارد می‌شود. SD-WAN یک رویکرد منحصربه‌فرد برای شبکه‌های گسترده است زیرا فناوری‌های TRADITIONAL WAN مانند MPLS اختصاصی را با اتصالات باند پهن ارزان‌تر ترکیب می‌کند.

شبکه‌های SD-WAN دید وسیعی از کل شبکه WAN و توانایی اولویت‌بندی ترافیک شبکه در سراسر اتصالات مختلف را به سازمان‌ها ارائه می‌دهند. SD-WAN ترافیک را بررسی می‌کند و در لحظه بهترین مسیر را برای هر َپکِت داده انتخاب می‌کند.

با SD-WAN، سازمان‌ها می‌توانند تمام دفاتر خود را به یک شبکه مرکزی در محیط رایانش ابری متصل کنند که کنترل و انعطاف‌پذیری بیشتری را به همراه دارد.

معیار مقایسه SD-WAN با TRADITIONAL WAN

معیارهایی که برای مقایسه SD-WAN و TRADITIONAL WAN مورد استفاده قرار می گیرند به شرح زیر است:

قابلیت اطمینان و اولویت‌بندی

به‌طورکلی، TRADITIONAL WAN هایی که بر روی MPLS اجرا می‌شوند، کیفیتی فوق العاده از خدمات (QoS)را ارائه می‌دهند، زیرا با جداسازی پَکِت ‌ها به‌صورت مجازی عملاً از Packet Loss جلوگیری می‌کنند. بیشتر اوقات، این مورد از طریق یک اتصال مدار حامل رده اجرا می‌شود. بااین‌حال، نکته‌ای که باید مدنظر قرارداد این است که پهنای باند MPLS از این نوع، معمولاً گران‌تر است.

تعیین اینکه کدام ترافیک اولویت بیشتری دارد ضروری است و به سازمان‌ها کمک می‌کند تا مطمئن شوند تماس‌هایشان قطع نمی‌شود. فناوری TRADITIONAL WAN امکان اولویت‌بندی را فراهم می‌کند و می‌تواند امکان پیش‌بینی و قابلیت اطمینان ترافیک را به شما ارائه دهد.

تحقیقات نشان می‌دهد که هزینه‌های اینترنت را می‌توان با SD-WAN کاهش داد. دلیل این امر این است که برای ارتقای پهنای باند خود و همچنین امکان ترکیب و تطبیق لینک‌های شبکه به روشی مقرون‌به‌صرفه، با توجه به نوع محتوا و اولویت، نیازی به پرداخت هزینه اضافه ندارید. SD-WAN می‌تواند روی 4G LTE و پهنای باند اینترنت اجرا شود که معمولاً هزینه کمتری نسبت به خدمات ارائه‌شده از طریق شبکه MPLS دارد.

SD-WAN به شما این امکان را می‌دهد که مهم‌ترین ترافیک داده خود را از طریق لینک شبکه مناسب همراه با ده‌ها گزینه اولویت‌بندی برنامه ارسال کنید. این امر منجر به تأخیر به میزان کم یا عدم وجود تأخیر و Packet Loss می‌شود. علاوه بر این، اگر قطعی رخ دهد، ترافیک شما فوراً جایگزین اتصال دیگری می‌گردد.

امنیت

TRADITIONAL WAN کاملاً امن در نظر گرفته می‌شود. َپکِت‌هایی که از طریق اتصال MPLS ارسال می‌شوند خصوصی هستند و فقط بااتصال MPLS مقصد قابل‌مشاهده می‌باشند و امکان ارتباط ایمن بین سایت‌ها را فراهم می‌کنند.

SD-WAN با ارائه رمزگذاری سرتاسری از طریق اتصال (VPN) ترافیک داده شمارا ایمن نگه می‌دارد. این فناوری همچنین به شما این امکان را می‌دهد که به‌راحتی لایه‌های امنیتی جانبی مانند فایروال و خدمات مرتبط را برای مدیریت یکپارچه تهدید، پیاده‌سازی و ادغام کنید.

کنترل و مقیاس‌پذیری

اعمال تغییرات در TRADITIONAL WAN، باید به‌صورت دستی انجام شود. این فرآیند نیازمند زمان طولانی‌تری است و کارایی شرکت‌های تازه تأسیس، به‌ویژه آن‌هایی که شعبات متعددی دارند را پایین می‌آورد.

درصورتی‌که با یک ارائه‌دهنده موفق خدمات همکاری داشته باشید SD-WAN را به‌عنوان یک‌ تکنولوژی نرم‌افزاری می‌توان متناسب با گسترش سازمان به سهولت توسعه داد.

SD-WAN در مقایسه با WAN معمولی

SD-WAN روی ترکیبی از اتصالات شبکه اجرا می‌شود که می‌تواند به کاهش هزینه کمک کند.
SD-WAN گزینه‌های اولویت‌بندی برنامه‌ها را ارائه می‌دهد و داده‌های مهم را از طریق مناسب‌ترین لینک شبکه ارسال می‌کند.
SD-WAN از رمزگذاری و VPN برای اتصالات شبکه سرتاسری ایمن استفاده می‌کند.
به‌روزرسانی و توسعه SD-WAN آسان است.
TRADITIONAL WAN ها در MPLS، QoS بی‌نظیری را ارائه می‌دهند، اما ممکن است گران‌تر باشند.
TRADITIONAL WAN قابلیت اطمینان و پیش‌بینی را با اولویت ترافیک بحرانی مانند صدا و تصویر، ارائه می‌دهد.
اتصال Traditional WAN’s MPLS بسیار امن است.
تغییرات در TRADITIONAL WAN باید به‌صورت دستی انجام شود.

درنهایت، انتخاب بین TRADITIONAL WAN و SD-WAN به وضعیت سازمان و زیرساخت فعلی شما بستگی دارد. بسیاری از سازمان‌ها در حال روی آوردن به SD-WAN هستند، اما شرایط متفاوت است. این موضوع به اهداف کوتاه‌مدت و نیازهای بلندمدت هر سازمان بستگی دارد.

منابع:

Simpson,S. (2017). SD-WAN vs. Traditional WAN. https://www.aureon.com/.

انواع حملات سایبری که ما را تهدید می کنند

آگوست 8, 2020/1 دیدگاه/در امنیت شبکه /توسط عباس اشرفی

حفظ امنیت اطلاعات در عصر اطلاعات پارامتر مهمی است که دغدغه اصلی بسیاری از مدیران است و باید به آن توجه ویژه ای کرد. برای اینکه بتوانیم از اطلاعاتمان محافظت کنیم، به شناخت راه های مقابله با حملات سایبری، بد افزارها و آسیب پذیری ها نیاز داریم. از طرفی این موضوع که در معرض کدام یکی از آنها هستیم هم می تواند به ما کمک کند. ادامه نوشته

انواع فایروال هایی که باید آن ها را بشناسید

آگوست 1, 2020/0 دیدگاه/در امنیت شبکه /توسط عباس اشرفی

اولین راه مقابله با بدافزارها و حملات سایبری، استفاده از فایروال می باشد. بخش زیادی از بد افزارها و malware ها در طول سال های گذشته، توسط فایروال ها دفع و خنثی شده اند. برای نمونه برخی از بزرگترین نفوذهای چند سال اخیر از جمله WannaCry، Nyetya و VPNFilter را در نظر بگیرید؛ حمله WannaCry در تاریخ 12 ماه می 2017 در صدر اخبار جهانی قرار گرفت. در حالیکه مشتریان فایروال NGFW سیسکو از مدت‌ها پیش در تاریخ 14 ماه مارس در برابر آن حفاظت می شدند، بدون اینکه خودشان مجبور به انجام کاری باشند. از این رو شناخت انواع فایروال و کاربرد آنها و انتخاب فایروال مناسب مسئله ای مهم برای مدیران شبکه است. ادامه نوشته