(2) ISA SERVER آموزش
نصب ISA Server:
ISA Server داراي دو نسخه Enterprise و Standard Edition است. هنگام نصب بايد يکي از حالتهاي Caching, Firewall و يا Integrted را انتخاب نماييم.
در حالت Caching فقط Requestهاي FTP و HTTP کاربران Cache مي شود تا سرعت دسترسي کاربران به اينترنت افزايش يابد.
در حالت Firewall دسترسي کامپيوترها و کاربران به منابع مختلف کنترل گرديده و نظارت مي شود.
در حالت Ientegrated هر دو حالت فوق باهم بصورت تلفيقي وجود دارند.
نکته: اگر بخواهيم از Caching استفاده کنيم حداقل به يک پارتيشن NTFS نياز داريم. البته جهت بالا بردن Security پيشنهاد مي شود که تمام Driveها به NTFS فرمت شوند.
هنگام نصب ISA بصورت پيش فرض به ميزان 100MB از فضاي بزرگترين پارتيشن NTFS جهت استفاده Cache انتخاب مي شود. به شرطي که حداقل150MB فضا بر روي آن وجود داشته باشد. ضمنا" حداقل اندازه Cache برابر با 5MB است.
ميزان ظرفيت Cache چقدر باشد؟
در همه Cacheها يک نقطه مشترک وجود دارد و آن هم تعيين Cache Size است. در تماس با برخي از دوستان و مديران شبکه هاي اطلاع رساني چه در تهران و چه در شهرستانها به وفور به اين مسئله برخورد کرده ام که آنها براي بالا بردن سرعت شبکه ميزان Cache Size را بالا مي برند تا به اين ترتيب حجم بيشتري از اطلاعات در Cache Server ذخيره شود. در صورتي که اين کار درست نيست! مثلا" فرض کنيد ميزان Cache Size برابر با 50GB باشد. آنگاه اگر کاربري تقاضاي يک URL کند Cache Server بايد در 50GB اطلاعات بدنبال آن URL بگردد! وجود چنين Cacheي نه تنها سرعت را بالا نمي برد بلکه نتيجه معکوس به همراه دارد.
تعيين اندازه Cache Size به تعداد Requestهاي کاربران در واحد زمان بستگي دارد. همچنين نوع کاربران (Lan يا Dialup) هم در تعيين ميزان Cache Size مؤثر است. به طور تقريبي مي توان گفت که يک کاربرDialup معمولا" در 90% زمان اتصال به شبکه Browse انجام مي دهد. و بطور متوسط در هرثانيه به ميزان 0.02 Request دارد. بنابراين از فرمول زير مي توان Peak Request Rate را براي کاربران Dialup بدست آورد.
Peak Request Rate =(Number of Lines) X.02
کاربران Lan هم هرکدام معمولا" فقط در 10% زمان کار خود Browse انجام مي دهند و بطور متوسط در هرثانيه به ميزان 0.002 Request دارند. بنابراين از فرمول زير مي توان Peak Request Rate را براي کاربران Lan بدست آورد.
Peak Request Rate = (Number of Lan Users) X .002
براي تعيين اندازه Cache Size دو مقدار فوق را باهم جمع کنيد تا Request Rate بدست آيد. اينک مطابق فرمول زير ميزان Cache Size بدست مي آيد.
Cache Size(MB) = (request rate) X 432
مثلا" اگر شما 10 کاربر Lan و 30 کاربر Dialup داشته باشيد ميزان Cache Size شما بايد تقريبا" برابر با 268MB باشد! با اين مقدار بطور تقريبي Cache Server شما بهترين Performance را خواهد داشت.
البته شرکت Microsoft درباره ISA فرمول زير را توصيه کرده است:
[(Cache Size = [100 MB + (n/2
که در آن n تعداد Clientها است. طبق اين فرمول اگر ما 40 کاربر داشته باشيم بايد ميزان Cache Size را معادل 120MB قرار دهيم. مجددا" تأکيد مي کنم که بالا بردن بي رويه رقم Cache Size اثر منفي در نتيجه کار خواهد داشت.
بگذريم! ISA فايلهاي مربوط به Cache را در داخل شاخه اي با نام URLCache ذخيره مي کند. اگر بخواهيم بيش از 10GB در يک درايو Cache کنيم تعداد فايلهاي ما بيش از يک فايل خواهد بود. زيرا هرکدام از فايلهاي Cache حداکثر مي توانند 10GB باشند.
ATيا(Local Address Table):
شامل فهرست IPهاي شبکه داخلي است. ISA با استفاده از LAT ,IPهاي داخل و خارج از شبکه را تشخيص مي دهد. در هنگام نصب ISA مي توان IPهاي LAT را معرفي کرد.
نگاه امروز:
چندي پيش اتفاقي به سايتي برخوردم که اسمش عجيب و جالب توجه بود. شما هم اگر بشنويد تعجب خواهيد کرد. واقعا" عجب دنيايي شده!؟ اول اينترنت بوجود مي آيد. بعد عده اي جمع مي شوند و کلي مطالعه مي کنند که ببينند به چه روشهايي مي شود به شبکه هاي ديگران نفوذ کرد تا از اين راه پول دربياورند! بعد عده ديگري جمع مي شوند و کلي مطالعه و تحقيق و برنامه نويسي مي کنند تا ببينند چگونه مي توان جلوي Hackerها را گرفت! سپس کلي برنامه Firewall و روش براي جلوگيري از ورود Hackerها به شبکه ابداع مي کنند تا آنها هم پولدارتر از گروه اول شوند. سپس عده اي ديگر بازهم دور هم مي نشينند و تحقيقات وسيع تري مي کنند که ببينند چگونه مي توانند Firewallها را بي اثر کنند!! و پس از چندي برنامه هاي AntiFirewall مي سازند تا پولدارترتر از همه شوند!!!
دوباره عده اي دور هم مي نشينند .... و الي آخر.
باور نمي کنيد؟ به سايت www.antifirewall.comبرويد تا باور کنيد. مطالبي که در اين سايت نوشته شده اگر حقيقت داشته باشند از نقطه نظر فني جالب و عجيب است. چون ادعا کرده تمام Firewallها يعني کشک! (حتي همين ISA که ما داريم آموزش مي دهيم!)
من که هنوز فرصت نکرده ام نرمافزار Download شده را نصب کنم. (البته نسخه Demo را) راستش را بخواهيد بخاطر مسائل امنيتي جرأت هم نکرده ام. به هر حال اگر کسي از دوستان اين نرم افزار را تست کرد و يا نسخه اصلي آنرا گير آورد به ما هم يک ندايي بدهد.
Policyها در ISA:
Administrator با استفاده از Policy مي تواند با توجه به سياستهايش دسترسي افراد را به Internet کنترل نمايد. براي مثال مي تواند فرد و يا گروهي از افراد را در ساعات مشخصي از روز به يک سايت معين محدود کند. و يا مي تواند پهناي باند معيني به آنها بدهد و يا .... .
براي پياده سازي يک Policy ابتدا بايد عناصر اصلي يا پايه يک Policy را تنظيم نماييم و با ترکيب آنها يک Policy نهايي ايجاد نماييم. مهمترين Policyهاي قابل تنظيم در ISA عبارتند از:
1- Schedules: با استفاده از اين پارامتر مي توان زمان (روز و ساعت) اعمال يک Policy را تعيين کرد.
2- Destination Sets: با استفاده از اين قسمت مي توانيم يک IP Range يا HostName مشخص را مشخص نماييم و از دسترسي شبکه داخلي (يا برخي از اعضا) به اين آدرسها جلوگيري نماييم. در اين قسمت علائم Wild Cards (* و ? ) هم قابل استفاده هستند.
3- Configure Client Address Sets: با استفاده از اين قسمت مي توان يک يا تعدادي از کامپيوترهاي داخل شبکه را انتخاب کرد تا محدوديتهاي تعيين شده بر روي آنها اعمال شود.
4- Protocol Definition: با استفاده از اين قسمت مي توانيم استفاده از پروتکلهاي معين از اينترنت را Allow و يا Deny نماييم. در ISA اکثر پروتکلهاي معروف و رايج تعريف شده اند و قابل استفاده اند. مانند Http , FTP, MSN, Telnet , SMTP و ... . همچنين شما مي توانيد به تعريف پروتکلهاي دلخواه خود بپردازيد.
5- Bandwidth Priorities: با استفاده از اين قسمت مي توانيم اولويتهاي مختلفي را براي استفاده از پهناي باند تنظيم نماييم تا با استفاده از آنها در يک Policy , پهناي باندي را که به يک پروتکل يا افراد مي خواهيم اختصاص دهيم مشخص نماييم.
6- Content Groups: با استفاده از اين قسمت مي توانيم مجوز دسترسي به يکسري فايل مشخص و معلوم را صادر و يا رد کنيم.
7- Dialup Entries: در اين قسمت مي توانيم با استفاده از Dialup Connectionهايي که قبلا" تعريف نموده ايم امکان استفاده از آنها را Allow يا Deny کنيم.
Array & Enterprise Policy:
بر روي يک Array مي توان Enterprise Policy وPolicy Array را اعمال نمود. اما براي پياده سازي بايد به نکات زير توجه کرد:
1- يک Enterprise Policyيا(EP) را مي توان بر روي چندين Array اعمال نمود.
2- يکArray Policy نمي تواند مجوزهاي دسترسي را گسترش دهد بلکه فقط مي تواند دسترسي هاي افراد را محدودتر کند.
3- Userهايي که عضو Enterprise Admins و يا Domain Admins هستند مي توانند EP ها را تعريف کرده و يا تغيير دهند.
4- در صورت نياز مي توان جلوي تعريف Array Policy را گرفت تا Administratorهاي Arrayها نتوانند دسترسي ها را محدودتر نمايند.
5- تا جايي که ممکن است Policyها بايد کم و ساده باشند و بدون دليل دسترسي افراد را محدود نکنند.
6- هيچ ترتيبي در اعمال Policyها وجود ندارد. همواره Policyهايي که دسترسي ها را deny مي کنند بر روي Policyهايي که Allow مي کنند Override مي نمايند.
نحوه عملکرد Cache در ISA:
وقتي يک Client درخواستي را جهت دريافت Data از اينترنت به ISA ارسال نمايد به ترتيب مراحل زير رخ مي دهند:
1- ISA ابتدا Enterprise Policy و Array Policyها را چک مي کند تا ببيند درخواست انجام شده مجاز است يا خير.
2- اگر مجوز دسترسي وجود داشته باشد ISA در Cache خود بررسي مي کند تا اگر مورد درخواست شده در آن موجود باشد آنها را به سرعت در اختيار Client قرار دهد.
3- اگر مورد درخواستي در Cache وجــود نــداشته باشند ISA آنها را از ايــنــتــرنــت دريـــافـــت مي کـــنـــد و يــک TTLيا(Time to Live) به آنها اختصاص مي دهد و پس از Cache نمودن , آنها را در اختيار Client قرار مي دهد.
4- اگر باز هم قبل از آنکه موارد Cache شده Expire شوند دوباره درخواست شوند , ISA بدون مراجعه به اينترنت آنها را از طريق Cache خود در اختيار Client ها قرار مي دهد.
CARPيا(Cache Array Routing Protocol)
با استفاده از اين پروتکل مواردي که قرار است Cache شوند بر روي ISA Serverهاي عضو Array ذخيره مي گردند. جالب اينجاست که از ديد Clientها فضاي تک تک ISAهاي عضو Array کلا" بصورت يک Cache منطقي و واحد تلقي مي شود! اين پروتکل داراي الگوريتمي مي باشد که موارد Cache شده را را بر روي ISA Server ها ذخيره مي کند. هرگاه يک Client از يک ISA که داخل Array باشد چيزي را درخواست کند آن ISA Server با استفاده از پروتکل CARP محل دقيق آنرا بر روي ISA Server هاي ديگر تشخيص داده و پس از دريافت آن موارد آنها را در اختيار Client مربوطه قرار مي دهد. در گذشته از پروتکل ICPيا(Internet Cache Protocol) بجاي CARP استفاده مي شد. در ICP هرگاه درخواستي از Proxy Server مي شد ابتدا آن سرور مورد جستجو قرار مي گرفت و درصورت پيدا نشدن مورد درخواست شده از Cache Serverهاي ديگر وجود و يا عدم وجود آن مورد را بررسي قرار مي داد.
مزاياي CARP به ICP:
1- سرعت در اختيار قرار دادن موارد درخواست شده در CARP بيشتر است. چون در CARP دقيقا" محل URL مورد تقاضا مشخص بوده و ديگر نيازي به جستجو نيست.
2- ترافيک ايجاد شونده توسط پروتکل CARP در شبکه LAN بسيار کمتر است. چون جهت يافتن موارد Cache شده در نيازي به Search نيست.
نکته: با استفاده از Chains که ترکيبي از دو يا چند Array مي باشد مي توانيم يک Hierarchical Caching بوجود بياوريم.
فکر مي کنم براي امروز تا همين جا کافيست. ادامه بحث را در بخش بعدي پي مي گيريم. از تمامي دوستاني که از طريق Email با من در ارتباطند متشکرم. مجددا" از دوستان مي خواهم چنانچه نوشته و يا تحقيقي در زمينه ISA دارند براي بخش آموزش دزنگار ارسال نمايند تا با نام خودشان در اين صفحه قرار گيرد. به اميد داشتن وبلاگهاي پربارتر از هميشه. و اما بخوانيد نگاه امروز را:
نگاه امروز:
از Email هاي دوستان اينچنين به نظر مي رسد که بخشهاي مختلف نگاه امروز مورد توجه بسياري از دوستان قرار گرفته است. بي شک تماسهاي شما دوستان عزيز موجب دلگرمي بيشتر براي درج مطالب مفيدتري در اين بخش خواهد شد.
يکي از مواردي که معمولا" هر کاربر مي خواهد از آن آگاهي داشته باشد ميزان حداکثر پهناي باندي است که او مي تواند از آن استفاده کند. شما وقتي به شبکه اي Connect مي کنيد ممکن است Modem شما با سرعت 56Kb/s به ISP وصل شود. اما آيا شما واقعا" و عملا" مي توانيد به ميزان 56Kb/s از شبکه استفاده کنيد؟؟
شايد شما بخواهيد کيفيت سرويس دو ISP را باهم مقايسه کنيد. واقعا" چه معياري براي اين کار داريد؟
در بخش نگاه امروز يک روش آسان را براي اندازه گيري ميزان واقعي پهناي باند معرفي مي کنيم. امروزه سايتهاي فراواني در اينترنت يافت مي شوند که از طريق يک Backbone قوي پهناي باند واقعي شما را اندازه مي گيرند. تعدادي از اين سايتها را در اينجا معرفي مي کنيم.
http://computingcentral.msn.com/internet/speedtest.asp
Bandwidth Place Speed Test
Speed Test - dslreports.com
http://layer1software.com
Internet Download Bandwidth Test
http://www.beelinebandwidthtest.com
http://www.mac56ktest.com
البته توجه داشته باشيد براي دستيابي به نتيجه دقيقتر هنگام اندازهگيري پهناي باند بهتر است از اينترنت استفاده نکنيد.
Negative Caching
وقتي زمان TTL (زمان حيات) يک Object در Cache به پايان برسد آن مورد Expire مي شود. اما اگر ISA از نظر فضاي فيزيکي دچار محدوديت نشده باشد موارد Expire شده را پاک نمي کند. به اين ترتيب هرگاه يک کاربر درخواستي انجام دهد و اين درخواست از جمله همان مواردي باشد که Cache گرديده و Expire شده اند, ISA ابتدا سعي مي کند با مراجعه به اينترنت آنها را دوباره Cache کرده و Update نمايد. اما اگر به هردليلي امکان برقراري ارتباط با اينترنت و يا Server مربوط به Object درخواستي فراهم نشود با توجه به تنظيماتي که در قسمت Advanced واقع در Cache Configuration Properties انجام داده ايم ISA مي تواند از همان موارد Expire شده در Cache در اختيار Client قرار دهد.
Active Caching
يکي از قابليتهاي جالب ISA است. با فعال شدن Active Caching بطور هوشمندانه سايتهايي که مراجعه کننده و متقاضي زيادي دارند قبل از اينکه TTL آنها به پايان برسد و Expire شوند دوباره Cache مي شوند تا دسترسي کاربران به آنها سريعتر باشد.
Scheduled Content Download
با استفاده از اين قابليت مي توانيم از ISA بخواهيم تا صفحات و سايتهايي را که مراجعه کنندگان زيادي دارند در ساعات و تاريخهاي مشخصي Download نموده و Cache نمايد تا در هنگام نياز به سرعت در اختيار کاربران قرار گيرد.
توجه: بهتر است زماني را براي اجراي اين Jobها انتخاب کنيم که در در آن ساعات ترافيک شبکه پايين باشد. (مثل ساعات اوليه صبح)
FIREWALL
همانطور که قبلا" هم گفتيم ISA شامل يک Firewall چندلايه مي باشد که مي تواند Data ردوبدل شده از حالت Packet تا لايه Application را کنترل نمايد. شما با توجه به سياستهاي حفاظتي خود مي توانيد از قابليتهايي مثل Access Policy , IP Packet Filtering, Intrusion Detection , Application Filters, LAT , LDT و ... استفاده کنيد.
Application Filters
ISA مي تواند با تمام برنامه هاي سازگار با Winsock کار کند. بدين معنا که با استفاده از Firewall مي توانيم تبادل Data بين دو کامپيوتر مختلف را که در دوطرف ISA قرار داشته و از يک Winsock استفاده مي نمايند , امکانپذير ساخته و کنترل نماييم.
LDTيا(Local Domain Table)
در اين قسمت مي توانيم نام Domain هايي را که در شبکه داخلي ما قرار دارند وارد نموده و با اين کار Domainهاي Local را به ISA معرفي کنيم. هرگاه يک Client بخواهد نام يک Client ديگر را به IPآن Resolve کند پس از آنکه ISA, DNS Query آن Client را دريافت کرد با بررسي LDT تشخيص ميدهد که آن درخواست را بايد به يک DNS داخلي و يا يک DNS موجود در Internet ارجاع دهد. LDT را مي توانيم در قسمت Network Configuration تنظيم کنيم.
نکته: هنگام اضافه کردن يک مورد جديد به LDT اگر قصد اضافه کردن تمام کامپيوترهاي عضو يک Domain را داشته باشيم مي توانيم از فرمت domainname.* استفاده کنيم.
System Hardening
با استفاده از اين قابليت مي توانيم سرويسهايي را که يک ISA در اختيار ديگران قرار مي دهد مشخص و معلوم نماييم تا Security سيستم افزايش يابد. تنظيم اين قابليت در سه حالت است:
1- Secure: در اين حالت علاوه بر آنکه ISA سرويسهاي Firewall و Caching را ارائه مي کند, مي تواند سرويسهاي مربوط به برنامه هاي ديگر را نيز ارائه کند.
2- Limited Services: دراين حالت ISA فقط به عنوان Firewall و Caching ايفاي نقش مي کند.
3- Dedicated: در اين حالت فقط Firewall فعال مي باشد.
براي انجام System Hardening بايد IP Packet Filter را در قسمت Access Policy ها انتخاب کرده و در پنجره سمت راست Secure your ISA Server , Computer را انتخاب مي کنيم. از اين روش زماني استفاده مي شود که نمايش Consol در حالت View/Taskpad باشد. راه ديگر انجام اين کار کليک راست بر روي کامپيوتر مربوطه در قسمت Computers و انتخاب Secure مي باشد.
در جلسه آينده بحث را در زمينه Firewall ادامه مي دهيم.
نگاه امروز:
امروز قصد داريم تعدادي نرم افزار Remote Control را معرفي کنيم. به کمک اين نرم افزارها شما از راه دور و از طريق اينترنت قادريد يک PC متصل به اينترنت را در هر نقطه جهان Monitor و کنترل کنيد. يعني شما مي توانيد بدون حضور فيزيکي دقيقا" Desktop آن کامپيوتر را مشاهده نماييد و با آن کار کنيد. شرکت Microsoft اين نياز را پيش بيني کرده و Terminal Service را در Windows براي اين منظور معرفي کرده است. اما توجه داشته باشيد که Terminal Service نمي تواند Desktop طرف مقابل را عينا" به شما نشان دهد. بلکه يک Session جديد در Windows تشکيل مي دهد و از طريق Consol اصلي فعاليتهاي کسي که از طريق Remote به کامپيوتر وصل شده است و مشغول کار است ديده نمي شود.
آقاي Norton معروف هم با درک اين نياز PC Anywhere را عرضه کرده است که حتما" با آن آشنا هستيد. اين نرم افزار از ميان نرم افزارهاي مشابه داراي قدمت بيشتري است.
نرم افزار Remote Admin هم يک نرم افزار بسيار خوب و سبک براي کنترل يک کامپيوتر از راه دور است. اين نــرم افــزار بــايــد هــم روي کــامپــيوتر مبدأ و هم روي کامپيوتر مقصد نصب شود. آدرس براي Download اين نرم افزار:
http://www.famatech.com/radmin21.zip
http://www.radmin.com/radmin21.zip
:Serial
08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA 6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23
يکي ديگر از نرم افزارهاي خوب در اين زمينه VNC مي باشد که از محبوبيت خوبي برخوردار است. يکي از امکانات منحصر به فرد اين برنامه اين است که از طريق Internet Explorer هرکامپيوتري و تنها با وارد کردن IP (به همراه پورت VNC) کامپيوتري که برنامه VNC روي آن نصب است مي توان Desktop آنرا مشاهده کرد و آنرا در اختيار گرفت.
Remote Desktop در xp هم همين کار را انجام مي دهد.
توجه داشته باشيد که در همه نرم افزارهاي فوق لازم است که نرم افزار مربوطه بر روي کامپيوتر ميزبان نصب شود. اما يک نرم افزار جالب ديگر بنام Dameware وجود دارد که مي تواند از راه دور Client خود را بر روي کامپيوتر ميزبان نصب کند! و سپس آن کامپيوتر را مانيتور کند. آن نرم افزار قابليتهاي بسيار زيادي دارد. به کمک اين نرم افزار مي توان از راه دور عمليات مختلفي بر روي کامپيوتر ميزبان به اجرا در آورد که برخي از آنها عبارتند از:
- Shutdown کردن کامپيوتر از راه دور.
- مشاهده درايوهاي يک کامپيوتر از راه دور.
- مشاهده Userهاي يک کامپيوتر از راه دور و ايجاد و حذف يک User.
- نصب و يا حذف کردن سرويسها در کامپيوتر از راه دور.
- در اختيار گرفتن Command Prompt کامپيوتر از راه دور.
و... .
البته همه اينها در شرايطي است که شما سطح دسترسي Administrator به کامپيوتر ميزبان داشته باشيد. (البته براي مشاهده ليست کاربران نياز به سطح دسترسي Administrator نيست. به اين ترتيب شما با داشتن IP مربوط به Server اصلي هر ISP مي توانيد ليست کاربران تعريف شده در آنرا مشاهده نماييد!!! )
به کمک اين نرم افزار حتي مي توانيد ماوس و Keyboard اصلي سيستم را Lock کنيد تا فقط خودتان کنترل سيستم را بر عهده بگيريد و کسي که در مقابل کامپيوتر اصلي نشسته است نتواند کاري بکند.
به هرحال اين نرم افزار داراي قابليتهاي بي شمار و جالبي مي باشد. به حرفه ايها توصيه ميکنم که حتما" اين نرم افزار را Download کرده و از آن استفاده کنند.
اين نرم افزار شامل دو بخش NT Utilities و Mini Remote Control است که از اين طريق قابل دريافت هستند:
http://download.dameware.us/files/DNTUW.zip
http://download.dameware.us/files/DWMRCW.zip
ISA Authentication
قبل از آنکه يک Client بتواند از ISA درخواستي کند بايد Authenticate شود.
در ISA روشهاي زير براي Authenticate کردن وجود دارد:
1- Basic: در اين روش Username و Password بصورت Clear text ارسال مي گردد.
2- Digested: در اين روش يکسري Data به Username و Password اضافه مي گردد تا تشخيص آن براحتي انجام نپذيرد. اگرچه در اين روش Password ها Encrypt نمي شوند ولي داراي Security بيشتري نسبت به روش قبل است.
3- Windows Integrated: در اين روش از Kerberos V.5 استفاده مي شود.
علاوه بر روشهاي فوق ISA داراي قابليت Passthrough Authentication نيز مي باشد. با استفاده از اين قابليت يک Client داخل شبکه مي تواند بر روي يک WebServer در اينترنت Authenticate شود. اين قابليت Kerberos را پشتيباني نمي کند. يکي ديگر از مزاياي اين قابليت اين است که اگر يک Client از طريق يک Downstream موجود در يک Chain بخواهد به اينترنت متصل شود کافيست که فقط بر روي همان Downstream شناسايي گردد. شناسايي شدن آن با استفاده از اين قابليت به Upstream Array موجود در Chain نيز ارسال مي شود.
Application Filters
در قسمت Extensions واقع در يک Array با انتخاب Application Filter مي توانيم از Filterهايي که قبلا" بر روي ISA تعريف شده اند استفاده کنيم. به عنوان مثال Http Redirector يکي از اين فيلترهاست که از آن مي توان براي ارجاع Requestهاي خاص کاربران به يک آدرس ديگر استفاده کرد. مثلا" شما مي توانيد تمام Requestها به مقصد www.yahoo.com را به www.hotmail.com هدايت (Redirect) کنيد. اگر کمي زيرکي به خرج دهيد مي توانيد از اين فيلتر براي گذاشتن تبليغ بر روي سايتهاي مختلف (مثلا" Yahoo) استفاده کنيد! (منظور اين است که مي خواهيم هرگاه کاربرانمان به www.yahoo.com مراجعه مي کنند ضمن اينکه سايت Yahoo براي آنها به نمايش درمي آيد در کنار آن تبليغ ISP هم بازشود!) فکر مي کنم از روي توضيحات فوق روش انجام اين کار را پيدا کرده باشيد. اصلا" خوب است يک مسابقه ترتيب دهيم و از شما بخواهيم روش اين کار را بنويسيد. پس سئوال مسابقه به اين شکل است:
ايجاد و تنظيم Array
در صورت نياز مي توانيم بر روي Servers و Arrays کليک راست کرده و يک Array جديد ايجاد کنيم. در هنگام ايجاد يک Array بايد سايت و Domainي را که آن Array در آن قرار خواهد داشت مشخص کنيم. درضمن چگونگي اعمال Policy بر روي هر Array را نيز مي توان مشخص نمود. پس از ايجاد Array مي توانيم بر روي آنRight-Click نموده و با انتخاب Properties تنظيمات مربوط به آن Array را انجام دهيم.
Policy Tab:
در اين Tab مي توانيم در صورت نياز يک Enterprise Policy دلخواه را که از قبل تعريف شده است را بر روي Array مربوطه اعمال نموده و در ضمن با Optionهاي اضافي امکانهايي از قبيل Array Level Policy , Publishing Rules و Packet Filtering را انجام دهيم.
ضمنا" در Outgoing Web Requests مي توانيم ISA Server هايي را که به درخواست Clientها جهت اتصال به اينترنت گوش مي کنند و آنها را به اينترنت متصل مي کنند مشخص و تنظيم نماييم.
توجه: بصورت Default تمام Serverهاي موجود در يک Array به تمام درخواستهايي که به IP هاي داخلي آنها ارسال مي شود گوش مي کنند.
در Incoming Web Requests مي توانيم ISAهايي را که قرار است به درخواستهاي انجام شده از طرف اينترنت جهت اتصال به شبکه داخلي گوش کرده و به آنها پاسخ دهند مشخص مي نماييم.
توجه: بصورت Default هيچ سروري اين کار را انجام نمي دهد.
نگاه امروز:
شما به چه ميزان به Security شبکه خود اطمينان داريد؟ شما تا چه حد به غير قابل نفوذ بودن شبکه خود ايمان داريد؟ شما چه اقدام مفيدي براي بالا بردن Security شبکه خود انجام داده ايد؟
چندي پيش با مدير يکي از ICPهاي بزرگ تهران که فردي پرتلاش و با پشتکار فراوان است در مورد Security صحبت مي کردم. از آنجا که ايشان نسبت به صحت عملکرد Adminهاي خود ترديد داشتند از من خواستند تا وضعيت Security شبکه آنها را بررسي کنم. من هم با استفاده از چند نرم افزار خيلي ساده از راه دور حتي بدون Connect شدن به شبکه آنها و فقط با دانستنIP آنها موارد زير را برايش Email کردم:
1- توپولوژي شبکه آنها بصورت گرافيکي همراه با جزئيات TCP/IP.
2- تعداد و نوع روترهاي آنها.
3- ورژن IOS روترهاي آنها.
4- رنج IPهاي Invalid استفاده شده در شبکه.
5- ليست کليه کاربران.
6- ليست کاربران Online.
7- ليست Asyncهاي هر روتر به همراه کاربران فعال بر روي هر پورت.
8- Disconnect کردن هر کاربر دلخواه از شبکه.
9- نمايش فهرست نرم افزارهاي نصب شده بر روي تعدادي از کامپيوترهاي Lan از جمله کامپيوتر Adminitrator !
10- نمايش فهرست نرم افزارهاي در حال اجرا بر روي تعدادي از کامپيوترهاي Lan از جمله کامپيوتر Adminitrator !
11- ميزان کل پهناي باند استفاده شده توسط ICP بصورت لحظه اي و روزانه.
12- و ... .
بله, هميشه همه چيز آنطور نيست که ما فکر مي کنيم. اين جمله اي است که هر Administrator بايد هميشه آنرا بخاطر داشته باشد. هميشه همه چيز آنطور نيست که ما فکر مي کنيم.
اين را بخاطر داشته باشيد که اولين اقدام يک هکر براي نفوذ به شبکه شما جمع آوري اطلاعات از وضعيت شبکه شما است. اشتباه عمده اين ICP در اين بود که سرويس SNMP را بر روي روترها و بعضي از کامپيوترهاي Lan فعال کرده بود بدون آنکه Community را از public تغيير داده باشد! حتي بر روي روترهايش SNMP را RW به معناي Read-Write معرفي کرده بود!
به هر حال همه اينها را گفتم تا نرم افزار NetCrunch را معرفي کنم. نرم افزاري که در عين سادگي بسيار جالب است. (Crunch به معناي صداي خرد شدن چيزي زير دندان است.) توضيح بيشتري در مورد اين نرم افزار نمي دهم. بهتر است خودتان آنرا Download کنيد و امتحان کنيد.
ISA Server داراي دو نسخه Enterprise و Standard Edition است. هنگام نصب بايد يکي از حالتهاي Caching, Firewall و يا Integrted را انتخاب نماييم.
در حالت Caching فقط Requestهاي FTP و HTTP کاربران Cache مي شود تا سرعت دسترسي کاربران به اينترنت افزايش يابد.
در حالت Firewall دسترسي کامپيوترها و کاربران به منابع مختلف کنترل گرديده و نظارت مي شود.
در حالت Ientegrated هر دو حالت فوق باهم بصورت تلفيقي وجود دارند.
نکته: اگر بخواهيم از Caching استفاده کنيم حداقل به يک پارتيشن NTFS نياز داريم. البته جهت بالا بردن Security پيشنهاد مي شود که تمام Driveها به NTFS فرمت شوند.
هنگام نصب ISA بصورت پيش فرض به ميزان 100MB از فضاي بزرگترين پارتيشن NTFS جهت استفاده Cache انتخاب مي شود. به شرطي که حداقل150MB فضا بر روي آن وجود داشته باشد. ضمنا" حداقل اندازه Cache برابر با 5MB است.
ميزان ظرفيت Cache چقدر باشد؟
در همه Cacheها يک نقطه مشترک وجود دارد و آن هم تعيين Cache Size است. در تماس با برخي از دوستان و مديران شبکه هاي اطلاع رساني چه در تهران و چه در شهرستانها به وفور به اين مسئله برخورد کرده ام که آنها براي بالا بردن سرعت شبکه ميزان Cache Size را بالا مي برند تا به اين ترتيب حجم بيشتري از اطلاعات در Cache Server ذخيره شود. در صورتي که اين کار درست نيست! مثلا" فرض کنيد ميزان Cache Size برابر با 50GB باشد. آنگاه اگر کاربري تقاضاي يک URL کند Cache Server بايد در 50GB اطلاعات بدنبال آن URL بگردد! وجود چنين Cacheي نه تنها سرعت را بالا نمي برد بلکه نتيجه معکوس به همراه دارد.
تعيين اندازه Cache Size به تعداد Requestهاي کاربران در واحد زمان بستگي دارد. همچنين نوع کاربران (Lan يا Dialup) هم در تعيين ميزان Cache Size مؤثر است. به طور تقريبي مي توان گفت که يک کاربرDialup معمولا" در 90% زمان اتصال به شبکه Browse انجام مي دهد. و بطور متوسط در هرثانيه به ميزان 0.02 Request دارد. بنابراين از فرمول زير مي توان Peak Request Rate را براي کاربران Dialup بدست آورد.
Peak Request Rate =(Number of Lines) X.02
کاربران Lan هم هرکدام معمولا" فقط در 10% زمان کار خود Browse انجام مي دهند و بطور متوسط در هرثانيه به ميزان 0.002 Request دارند. بنابراين از فرمول زير مي توان Peak Request Rate را براي کاربران Lan بدست آورد.
Peak Request Rate = (Number of Lan Users) X .002
براي تعيين اندازه Cache Size دو مقدار فوق را باهم جمع کنيد تا Request Rate بدست آيد. اينک مطابق فرمول زير ميزان Cache Size بدست مي آيد.
Cache Size(MB) = (request rate) X 432
مثلا" اگر شما 10 کاربر Lan و 30 کاربر Dialup داشته باشيد ميزان Cache Size شما بايد تقريبا" برابر با 268MB باشد! با اين مقدار بطور تقريبي Cache Server شما بهترين Performance را خواهد داشت.
البته شرکت Microsoft درباره ISA فرمول زير را توصيه کرده است:
[(Cache Size = [100 MB + (n/2
که در آن n تعداد Clientها است. طبق اين فرمول اگر ما 40 کاربر داشته باشيم بايد ميزان Cache Size را معادل 120MB قرار دهيم. مجددا" تأکيد مي کنم که بالا بردن بي رويه رقم Cache Size اثر منفي در نتيجه کار خواهد داشت.
بگذريم! ISA فايلهاي مربوط به Cache را در داخل شاخه اي با نام URLCache ذخيره مي کند. اگر بخواهيم بيش از 10GB در يک درايو Cache کنيم تعداد فايلهاي ما بيش از يک فايل خواهد بود. زيرا هرکدام از فايلهاي Cache حداکثر مي توانند 10GB باشند.
ATيا(Local Address Table):
شامل فهرست IPهاي شبکه داخلي است. ISA با استفاده از LAT ,IPهاي داخل و خارج از شبکه را تشخيص مي دهد. در هنگام نصب ISA مي توان IPهاي LAT را معرفي کرد.
نگاه امروز:
چندي پيش اتفاقي به سايتي برخوردم که اسمش عجيب و جالب توجه بود. شما هم اگر بشنويد تعجب خواهيد کرد. واقعا" عجب دنيايي شده!؟ اول اينترنت بوجود مي آيد. بعد عده اي جمع مي شوند و کلي مطالعه مي کنند که ببينند به چه روشهايي مي شود به شبکه هاي ديگران نفوذ کرد تا از اين راه پول دربياورند! بعد عده ديگري جمع مي شوند و کلي مطالعه و تحقيق و برنامه نويسي مي کنند تا ببينند چگونه مي توان جلوي Hackerها را گرفت! سپس کلي برنامه Firewall و روش براي جلوگيري از ورود Hackerها به شبکه ابداع مي کنند تا آنها هم پولدارتر از گروه اول شوند. سپس عده اي ديگر بازهم دور هم مي نشينند و تحقيقات وسيع تري مي کنند که ببينند چگونه مي توانند Firewallها را بي اثر کنند!! و پس از چندي برنامه هاي AntiFirewall مي سازند تا پولدارترتر از همه شوند!!!
دوباره عده اي دور هم مي نشينند .... و الي آخر.
باور نمي کنيد؟ به سايت www.antifirewall.comبرويد تا باور کنيد. مطالبي که در اين سايت نوشته شده اگر حقيقت داشته باشند از نقطه نظر فني جالب و عجيب است. چون ادعا کرده تمام Firewallها يعني کشک! (حتي همين ISA که ما داريم آموزش مي دهيم!)
من که هنوز فرصت نکرده ام نرمافزار Download شده را نصب کنم. (البته نسخه Demo را) راستش را بخواهيد بخاطر مسائل امنيتي جرأت هم نکرده ام. به هر حال اگر کسي از دوستان اين نرم افزار را تست کرد و يا نسخه اصلي آنرا گير آورد به ما هم يک ندايي بدهد.
Policyها در ISA:
Administrator با استفاده از Policy مي تواند با توجه به سياستهايش دسترسي افراد را به Internet کنترل نمايد. براي مثال مي تواند فرد و يا گروهي از افراد را در ساعات مشخصي از روز به يک سايت معين محدود کند. و يا مي تواند پهناي باند معيني به آنها بدهد و يا .... .
براي پياده سازي يک Policy ابتدا بايد عناصر اصلي يا پايه يک Policy را تنظيم نماييم و با ترکيب آنها يک Policy نهايي ايجاد نماييم. مهمترين Policyهاي قابل تنظيم در ISA عبارتند از:
1- Schedules: با استفاده از اين پارامتر مي توان زمان (روز و ساعت) اعمال يک Policy را تعيين کرد.
2- Destination Sets: با استفاده از اين قسمت مي توانيم يک IP Range يا HostName مشخص را مشخص نماييم و از دسترسي شبکه داخلي (يا برخي از اعضا) به اين آدرسها جلوگيري نماييم. در اين قسمت علائم Wild Cards (* و ? ) هم قابل استفاده هستند.
3- Configure Client Address Sets: با استفاده از اين قسمت مي توان يک يا تعدادي از کامپيوترهاي داخل شبکه را انتخاب کرد تا محدوديتهاي تعيين شده بر روي آنها اعمال شود.
4- Protocol Definition: با استفاده از اين قسمت مي توانيم استفاده از پروتکلهاي معين از اينترنت را Allow و يا Deny نماييم. در ISA اکثر پروتکلهاي معروف و رايج تعريف شده اند و قابل استفاده اند. مانند Http , FTP, MSN, Telnet , SMTP و ... . همچنين شما مي توانيد به تعريف پروتکلهاي دلخواه خود بپردازيد.
5- Bandwidth Priorities: با استفاده از اين قسمت مي توانيم اولويتهاي مختلفي را براي استفاده از پهناي باند تنظيم نماييم تا با استفاده از آنها در يک Policy , پهناي باندي را که به يک پروتکل يا افراد مي خواهيم اختصاص دهيم مشخص نماييم.
6- Content Groups: با استفاده از اين قسمت مي توانيم مجوز دسترسي به يکسري فايل مشخص و معلوم را صادر و يا رد کنيم.
7- Dialup Entries: در اين قسمت مي توانيم با استفاده از Dialup Connectionهايي که قبلا" تعريف نموده ايم امکان استفاده از آنها را Allow يا Deny کنيم.
Array & Enterprise Policy:
بر روي يک Array مي توان Enterprise Policy وPolicy Array را اعمال نمود. اما براي پياده سازي بايد به نکات زير توجه کرد:
1- يک Enterprise Policyيا(EP) را مي توان بر روي چندين Array اعمال نمود.
2- يکArray Policy نمي تواند مجوزهاي دسترسي را گسترش دهد بلکه فقط مي تواند دسترسي هاي افراد را محدودتر کند.
3- Userهايي که عضو Enterprise Admins و يا Domain Admins هستند مي توانند EP ها را تعريف کرده و يا تغيير دهند.
4- در صورت نياز مي توان جلوي تعريف Array Policy را گرفت تا Administratorهاي Arrayها نتوانند دسترسي ها را محدودتر نمايند.
5- تا جايي که ممکن است Policyها بايد کم و ساده باشند و بدون دليل دسترسي افراد را محدود نکنند.
6- هيچ ترتيبي در اعمال Policyها وجود ندارد. همواره Policyهايي که دسترسي ها را deny مي کنند بر روي Policyهايي که Allow مي کنند Override مي نمايند.
نحوه عملکرد Cache در ISA:
وقتي يک Client درخواستي را جهت دريافت Data از اينترنت به ISA ارسال نمايد به ترتيب مراحل زير رخ مي دهند:
1- ISA ابتدا Enterprise Policy و Array Policyها را چک مي کند تا ببيند درخواست انجام شده مجاز است يا خير.
2- اگر مجوز دسترسي وجود داشته باشد ISA در Cache خود بررسي مي کند تا اگر مورد درخواست شده در آن موجود باشد آنها را به سرعت در اختيار Client قرار دهد.
3- اگر مورد درخواستي در Cache وجــود نــداشته باشند ISA آنها را از ايــنــتــرنــت دريـــافـــت مي کـــنـــد و يــک TTLيا(Time to Live) به آنها اختصاص مي دهد و پس از Cache نمودن , آنها را در اختيار Client قرار مي دهد.
4- اگر باز هم قبل از آنکه موارد Cache شده Expire شوند دوباره درخواست شوند , ISA بدون مراجعه به اينترنت آنها را از طريق Cache خود در اختيار Client ها قرار مي دهد.
CARPيا(Cache Array Routing Protocol)
با استفاده از اين پروتکل مواردي که قرار است Cache شوند بر روي ISA Serverهاي عضو Array ذخيره مي گردند. جالب اينجاست که از ديد Clientها فضاي تک تک ISAهاي عضو Array کلا" بصورت يک Cache منطقي و واحد تلقي مي شود! اين پروتکل داراي الگوريتمي مي باشد که موارد Cache شده را را بر روي ISA Server ها ذخيره مي کند. هرگاه يک Client از يک ISA که داخل Array باشد چيزي را درخواست کند آن ISA Server با استفاده از پروتکل CARP محل دقيق آنرا بر روي ISA Server هاي ديگر تشخيص داده و پس از دريافت آن موارد آنها را در اختيار Client مربوطه قرار مي دهد. در گذشته از پروتکل ICPيا(Internet Cache Protocol) بجاي CARP استفاده مي شد. در ICP هرگاه درخواستي از Proxy Server مي شد ابتدا آن سرور مورد جستجو قرار مي گرفت و درصورت پيدا نشدن مورد درخواست شده از Cache Serverهاي ديگر وجود و يا عدم وجود آن مورد را بررسي قرار مي داد.
مزاياي CARP به ICP:
1- سرعت در اختيار قرار دادن موارد درخواست شده در CARP بيشتر است. چون در CARP دقيقا" محل URL مورد تقاضا مشخص بوده و ديگر نيازي به جستجو نيست.
2- ترافيک ايجاد شونده توسط پروتکل CARP در شبکه LAN بسيار کمتر است. چون جهت يافتن موارد Cache شده در نيازي به Search نيست.
نکته: با استفاده از Chains که ترکيبي از دو يا چند Array مي باشد مي توانيم يک Hierarchical Caching بوجود بياوريم.
فکر مي کنم براي امروز تا همين جا کافيست. ادامه بحث را در بخش بعدي پي مي گيريم. از تمامي دوستاني که از طريق Email با من در ارتباطند متشکرم. مجددا" از دوستان مي خواهم چنانچه نوشته و يا تحقيقي در زمينه ISA دارند براي بخش آموزش دزنگار ارسال نمايند تا با نام خودشان در اين صفحه قرار گيرد. به اميد داشتن وبلاگهاي پربارتر از هميشه. و اما بخوانيد نگاه امروز را:
نگاه امروز:
از Email هاي دوستان اينچنين به نظر مي رسد که بخشهاي مختلف نگاه امروز مورد توجه بسياري از دوستان قرار گرفته است. بي شک تماسهاي شما دوستان عزيز موجب دلگرمي بيشتر براي درج مطالب مفيدتري در اين بخش خواهد شد.
يکي از مواردي که معمولا" هر کاربر مي خواهد از آن آگاهي داشته باشد ميزان حداکثر پهناي باندي است که او مي تواند از آن استفاده کند. شما وقتي به شبکه اي Connect مي کنيد ممکن است Modem شما با سرعت 56Kb/s به ISP وصل شود. اما آيا شما واقعا" و عملا" مي توانيد به ميزان 56Kb/s از شبکه استفاده کنيد؟؟
شايد شما بخواهيد کيفيت سرويس دو ISP را باهم مقايسه کنيد. واقعا" چه معياري براي اين کار داريد؟
در بخش نگاه امروز يک روش آسان را براي اندازه گيري ميزان واقعي پهناي باند معرفي مي کنيم. امروزه سايتهاي فراواني در اينترنت يافت مي شوند که از طريق يک Backbone قوي پهناي باند واقعي شما را اندازه مي گيرند. تعدادي از اين سايتها را در اينجا معرفي مي کنيم.
http://computingcentral.msn.com/internet/speedtest.asp
Bandwidth Place Speed Test
Speed Test - dslreports.com
http://layer1software.com
Internet Download Bandwidth Test
http://www.beelinebandwidthtest.com
http://www.mac56ktest.com
البته توجه داشته باشيد براي دستيابي به نتيجه دقيقتر هنگام اندازهگيري پهناي باند بهتر است از اينترنت استفاده نکنيد.
Negative Caching
وقتي زمان TTL (زمان حيات) يک Object در Cache به پايان برسد آن مورد Expire مي شود. اما اگر ISA از نظر فضاي فيزيکي دچار محدوديت نشده باشد موارد Expire شده را پاک نمي کند. به اين ترتيب هرگاه يک کاربر درخواستي انجام دهد و اين درخواست از جمله همان مواردي باشد که Cache گرديده و Expire شده اند, ISA ابتدا سعي مي کند با مراجعه به اينترنت آنها را دوباره Cache کرده و Update نمايد. اما اگر به هردليلي امکان برقراري ارتباط با اينترنت و يا Server مربوط به Object درخواستي فراهم نشود با توجه به تنظيماتي که در قسمت Advanced واقع در Cache Configuration Properties انجام داده ايم ISA مي تواند از همان موارد Expire شده در Cache در اختيار Client قرار دهد.
Active Caching
يکي از قابليتهاي جالب ISA است. با فعال شدن Active Caching بطور هوشمندانه سايتهايي که مراجعه کننده و متقاضي زيادي دارند قبل از اينکه TTL آنها به پايان برسد و Expire شوند دوباره Cache مي شوند تا دسترسي کاربران به آنها سريعتر باشد.
Scheduled Content Download
با استفاده از اين قابليت مي توانيم از ISA بخواهيم تا صفحات و سايتهايي را که مراجعه کنندگان زيادي دارند در ساعات و تاريخهاي مشخصي Download نموده و Cache نمايد تا در هنگام نياز به سرعت در اختيار کاربران قرار گيرد.
توجه: بهتر است زماني را براي اجراي اين Jobها انتخاب کنيم که در در آن ساعات ترافيک شبکه پايين باشد. (مثل ساعات اوليه صبح)
FIREWALL
همانطور که قبلا" هم گفتيم ISA شامل يک Firewall چندلايه مي باشد که مي تواند Data ردوبدل شده از حالت Packet تا لايه Application را کنترل نمايد. شما با توجه به سياستهاي حفاظتي خود مي توانيد از قابليتهايي مثل Access Policy , IP Packet Filtering, Intrusion Detection , Application Filters, LAT , LDT و ... استفاده کنيد.
Application Filters
ISA مي تواند با تمام برنامه هاي سازگار با Winsock کار کند. بدين معنا که با استفاده از Firewall مي توانيم تبادل Data بين دو کامپيوتر مختلف را که در دوطرف ISA قرار داشته و از يک Winsock استفاده مي نمايند , امکانپذير ساخته و کنترل نماييم.
LDTيا(Local Domain Table)
در اين قسمت مي توانيم نام Domain هايي را که در شبکه داخلي ما قرار دارند وارد نموده و با اين کار Domainهاي Local را به ISA معرفي کنيم. هرگاه يک Client بخواهد نام يک Client ديگر را به IPآن Resolve کند پس از آنکه ISA, DNS Query آن Client را دريافت کرد با بررسي LDT تشخيص ميدهد که آن درخواست را بايد به يک DNS داخلي و يا يک DNS موجود در Internet ارجاع دهد. LDT را مي توانيم در قسمت Network Configuration تنظيم کنيم.
نکته: هنگام اضافه کردن يک مورد جديد به LDT اگر قصد اضافه کردن تمام کامپيوترهاي عضو يک Domain را داشته باشيم مي توانيم از فرمت domainname.* استفاده کنيم.
System Hardening
با استفاده از اين قابليت مي توانيم سرويسهايي را که يک ISA در اختيار ديگران قرار مي دهد مشخص و معلوم نماييم تا Security سيستم افزايش يابد. تنظيم اين قابليت در سه حالت است:
1- Secure: در اين حالت علاوه بر آنکه ISA سرويسهاي Firewall و Caching را ارائه مي کند, مي تواند سرويسهاي مربوط به برنامه هاي ديگر را نيز ارائه کند.
2- Limited Services: دراين حالت ISA فقط به عنوان Firewall و Caching ايفاي نقش مي کند.
3- Dedicated: در اين حالت فقط Firewall فعال مي باشد.
براي انجام System Hardening بايد IP Packet Filter را در قسمت Access Policy ها انتخاب کرده و در پنجره سمت راست Secure your ISA Server , Computer را انتخاب مي کنيم. از اين روش زماني استفاده مي شود که نمايش Consol در حالت View/Taskpad باشد. راه ديگر انجام اين کار کليک راست بر روي کامپيوتر مربوطه در قسمت Computers و انتخاب Secure مي باشد.
در جلسه آينده بحث را در زمينه Firewall ادامه مي دهيم.
نگاه امروز:
امروز قصد داريم تعدادي نرم افزار Remote Control را معرفي کنيم. به کمک اين نرم افزارها شما از راه دور و از طريق اينترنت قادريد يک PC متصل به اينترنت را در هر نقطه جهان Monitor و کنترل کنيد. يعني شما مي توانيد بدون حضور فيزيکي دقيقا" Desktop آن کامپيوتر را مشاهده نماييد و با آن کار کنيد. شرکت Microsoft اين نياز را پيش بيني کرده و Terminal Service را در Windows براي اين منظور معرفي کرده است. اما توجه داشته باشيد که Terminal Service نمي تواند Desktop طرف مقابل را عينا" به شما نشان دهد. بلکه يک Session جديد در Windows تشکيل مي دهد و از طريق Consol اصلي فعاليتهاي کسي که از طريق Remote به کامپيوتر وصل شده است و مشغول کار است ديده نمي شود.
آقاي Norton معروف هم با درک اين نياز PC Anywhere را عرضه کرده است که حتما" با آن آشنا هستيد. اين نرم افزار از ميان نرم افزارهاي مشابه داراي قدمت بيشتري است.
نرم افزار Remote Admin هم يک نرم افزار بسيار خوب و سبک براي کنترل يک کامپيوتر از راه دور است. اين نــرم افــزار بــايــد هــم روي کــامپــيوتر مبدأ و هم روي کامپيوتر مقصد نصب شود. آدرس براي Download اين نرم افزار:
http://www.famatech.com/radmin21.zip
http://www.radmin.com/radmin21.zip
:Serial
08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA 6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23
يکي ديگر از نرم افزارهاي خوب در اين زمينه VNC مي باشد که از محبوبيت خوبي برخوردار است. يکي از امکانات منحصر به فرد اين برنامه اين است که از طريق Internet Explorer هرکامپيوتري و تنها با وارد کردن IP (به همراه پورت VNC) کامپيوتري که برنامه VNC روي آن نصب است مي توان Desktop آنرا مشاهده کرد و آنرا در اختيار گرفت.
Remote Desktop در xp هم همين کار را انجام مي دهد.
توجه داشته باشيد که در همه نرم افزارهاي فوق لازم است که نرم افزار مربوطه بر روي کامپيوتر ميزبان نصب شود. اما يک نرم افزار جالب ديگر بنام Dameware وجود دارد که مي تواند از راه دور Client خود را بر روي کامپيوتر ميزبان نصب کند! و سپس آن کامپيوتر را مانيتور کند. آن نرم افزار قابليتهاي بسيار زيادي دارد. به کمک اين نرم افزار مي توان از راه دور عمليات مختلفي بر روي کامپيوتر ميزبان به اجرا در آورد که برخي از آنها عبارتند از:
- Shutdown کردن کامپيوتر از راه دور.
- مشاهده درايوهاي يک کامپيوتر از راه دور.
- مشاهده Userهاي يک کامپيوتر از راه دور و ايجاد و حذف يک User.
- نصب و يا حذف کردن سرويسها در کامپيوتر از راه دور.
- در اختيار گرفتن Command Prompt کامپيوتر از راه دور.
و... .
البته همه اينها در شرايطي است که شما سطح دسترسي Administrator به کامپيوتر ميزبان داشته باشيد. (البته براي مشاهده ليست کاربران نياز به سطح دسترسي Administrator نيست. به اين ترتيب شما با داشتن IP مربوط به Server اصلي هر ISP مي توانيد ليست کاربران تعريف شده در آنرا مشاهده نماييد!!! )
به کمک اين نرم افزار حتي مي توانيد ماوس و Keyboard اصلي سيستم را Lock کنيد تا فقط خودتان کنترل سيستم را بر عهده بگيريد و کسي که در مقابل کامپيوتر اصلي نشسته است نتواند کاري بکند.
به هرحال اين نرم افزار داراي قابليتهاي بي شمار و جالبي مي باشد. به حرفه ايها توصيه ميکنم که حتما" اين نرم افزار را Download کرده و از آن استفاده کنند.
اين نرم افزار شامل دو بخش NT Utilities و Mini Remote Control است که از اين طريق قابل دريافت هستند:
http://download.dameware.us/files/DNTUW.zip
http://download.dameware.us/files/DWMRCW.zip
ISA Authentication
قبل از آنکه يک Client بتواند از ISA درخواستي کند بايد Authenticate شود.
در ISA روشهاي زير براي Authenticate کردن وجود دارد:
1- Basic: در اين روش Username و Password بصورت Clear text ارسال مي گردد.
2- Digested: در اين روش يکسري Data به Username و Password اضافه مي گردد تا تشخيص آن براحتي انجام نپذيرد. اگرچه در اين روش Password ها Encrypt نمي شوند ولي داراي Security بيشتري نسبت به روش قبل است.
3- Windows Integrated: در اين روش از Kerberos V.5 استفاده مي شود.
علاوه بر روشهاي فوق ISA داراي قابليت Passthrough Authentication نيز مي باشد. با استفاده از اين قابليت يک Client داخل شبکه مي تواند بر روي يک WebServer در اينترنت Authenticate شود. اين قابليت Kerberos را پشتيباني نمي کند. يکي ديگر از مزاياي اين قابليت اين است که اگر يک Client از طريق يک Downstream موجود در يک Chain بخواهد به اينترنت متصل شود کافيست که فقط بر روي همان Downstream شناسايي گردد. شناسايي شدن آن با استفاده از اين قابليت به Upstream Array موجود در Chain نيز ارسال مي شود.
Application Filters
در قسمت Extensions واقع در يک Array با انتخاب Application Filter مي توانيم از Filterهايي که قبلا" بر روي ISA تعريف شده اند استفاده کنيم. به عنوان مثال Http Redirector يکي از اين فيلترهاست که از آن مي توان براي ارجاع Requestهاي خاص کاربران به يک آدرس ديگر استفاده کرد. مثلا" شما مي توانيد تمام Requestها به مقصد www.yahoo.com را به www.hotmail.com هدايت (Redirect) کنيد. اگر کمي زيرکي به خرج دهيد مي توانيد از اين فيلتر براي گذاشتن تبليغ بر روي سايتهاي مختلف (مثلا" Yahoo) استفاده کنيد! (منظور اين است که مي خواهيم هرگاه کاربرانمان به www.yahoo.com مراجعه مي کنند ضمن اينکه سايت Yahoo براي آنها به نمايش درمي آيد در کنار آن تبليغ ISP هم بازشود!) فکر مي کنم از روي توضيحات فوق روش انجام اين کار را پيدا کرده باشيد. اصلا" خوب است يک مسابقه ترتيب دهيم و از شما بخواهيم روش اين کار را بنويسيد. پس سئوال مسابقه به اين شکل است:
ايجاد و تنظيم Array
در صورت نياز مي توانيم بر روي Servers و Arrays کليک راست کرده و يک Array جديد ايجاد کنيم. در هنگام ايجاد يک Array بايد سايت و Domainي را که آن Array در آن قرار خواهد داشت مشخص کنيم. درضمن چگونگي اعمال Policy بر روي هر Array را نيز مي توان مشخص نمود. پس از ايجاد Array مي توانيم بر روي آنRight-Click نموده و با انتخاب Properties تنظيمات مربوط به آن Array را انجام دهيم.
Policy Tab:
در اين Tab مي توانيم در صورت نياز يک Enterprise Policy دلخواه را که از قبل تعريف شده است را بر روي Array مربوطه اعمال نموده و در ضمن با Optionهاي اضافي امکانهايي از قبيل Array Level Policy , Publishing Rules و Packet Filtering را انجام دهيم.
ضمنا" در Outgoing Web Requests مي توانيم ISA Server هايي را که به درخواست Clientها جهت اتصال به اينترنت گوش مي کنند و آنها را به اينترنت متصل مي کنند مشخص و تنظيم نماييم.
توجه: بصورت Default تمام Serverهاي موجود در يک Array به تمام درخواستهايي که به IP هاي داخلي آنها ارسال مي شود گوش مي کنند.
در Incoming Web Requests مي توانيم ISAهايي را که قرار است به درخواستهاي انجام شده از طرف اينترنت جهت اتصال به شبکه داخلي گوش کرده و به آنها پاسخ دهند مشخص مي نماييم.
توجه: بصورت Default هيچ سروري اين کار را انجام نمي دهد.
نگاه امروز:
شما به چه ميزان به Security شبکه خود اطمينان داريد؟ شما تا چه حد به غير قابل نفوذ بودن شبکه خود ايمان داريد؟ شما چه اقدام مفيدي براي بالا بردن Security شبکه خود انجام داده ايد؟
چندي پيش با مدير يکي از ICPهاي بزرگ تهران که فردي پرتلاش و با پشتکار فراوان است در مورد Security صحبت مي کردم. از آنجا که ايشان نسبت به صحت عملکرد Adminهاي خود ترديد داشتند از من خواستند تا وضعيت Security شبکه آنها را بررسي کنم. من هم با استفاده از چند نرم افزار خيلي ساده از راه دور حتي بدون Connect شدن به شبکه آنها و فقط با دانستنIP آنها موارد زير را برايش Email کردم:
1- توپولوژي شبکه آنها بصورت گرافيکي همراه با جزئيات TCP/IP.
2- تعداد و نوع روترهاي آنها.
3- ورژن IOS روترهاي آنها.
4- رنج IPهاي Invalid استفاده شده در شبکه.
5- ليست کليه کاربران.
6- ليست کاربران Online.
7- ليست Asyncهاي هر روتر به همراه کاربران فعال بر روي هر پورت.
8- Disconnect کردن هر کاربر دلخواه از شبکه.
9- نمايش فهرست نرم افزارهاي نصب شده بر روي تعدادي از کامپيوترهاي Lan از جمله کامپيوتر Adminitrator !
10- نمايش فهرست نرم افزارهاي در حال اجرا بر روي تعدادي از کامپيوترهاي Lan از جمله کامپيوتر Adminitrator !
11- ميزان کل پهناي باند استفاده شده توسط ICP بصورت لحظه اي و روزانه.
12- و ... .
بله, هميشه همه چيز آنطور نيست که ما فکر مي کنيم. اين جمله اي است که هر Administrator بايد هميشه آنرا بخاطر داشته باشد. هميشه همه چيز آنطور نيست که ما فکر مي کنيم.
اين را بخاطر داشته باشيد که اولين اقدام يک هکر براي نفوذ به شبکه شما جمع آوري اطلاعات از وضعيت شبکه شما است. اشتباه عمده اين ICP در اين بود که سرويس SNMP را بر روي روترها و بعضي از کامپيوترهاي Lan فعال کرده بود بدون آنکه Community را از public تغيير داده باشد! حتي بر روي روترهايش SNMP را RW به معناي Read-Write معرفي کرده بود!
به هر حال همه اينها را گفتم تا نرم افزار NetCrunch را معرفي کنم. نرم افزاري که در عين سادگي بسيار جالب است. (Crunch به معناي صداي خرد شدن چيزي زير دندان است.) توضيح بيشتري در مورد اين نرم افزار نمي دهم. بهتر است خودتان آنرا Download کنيد و امتحان کنيد.
+ نوشته شده در دوشنبه نوزدهم مهر ۱۳۸۹ ساعت 10:28 توسط حسين پاشازاده
|
با عرض سلام و ادب خدمت شما خواهر و برادر گرامي اميدوارم دقايق خوبي را در صفاشهر سپري کنيد اين بلاگ درصدد اطلاع رساني پيرامون اتفاقات و اخباري كه در شهر روي ميدهد و در كنار آن اشاعه و تبليغ دين مبين اسلام كه وظيفه ديني هر فردي است ميباشد اميد آن داريم كه مقبول درگاه الهي واقع گردد.