چرا باید تست نفوذ انجام دهیم؟

تست نفوذ چیست؟

تست های نفوذ در واقع روش های دستی یا اتوماتیکی هستند که در شبکه ها اجرا شده و نقاطی نظیر سرورها٬ وب اپلیکیشن ها٬ دستگاه های امنیتی و دستگاه های بی سیم و موبایل را از نظر قابلیت ورود غیر قانونی و دسترسی های سطح بالا میسنجند. وقتی که یک نقطه از این نقاط در شبکه تشخیص داده میشوند٫‌ نفوذ پذیران بعضاْ‌ از این نقاط برای نفوذ به دیگر آسیب پذیری های سیستم استفاده میکنند٬ تا بتوانند راه های شکسته شدن درونی سیستم را نیز کشف کنند.

تست نفوذ معمولاْ تلاشی است که بصورت ایمن و حفاظت شده سعی درشناسایی نقاط قوت و ضعف شبکه ها و مشخص شدن راه های آسیب پذیری آنها دارد. این نفوذ پذیری ها ممکن است در شبکه و ساختار آن٬ کامپیوتر ها٬ روتر ها و سوییچ ها و یا حتی دستگاه های امنیتی وجود داشته باشند. راه های نفوذ در اکثر موارد بر اثر یک تنظیم غلط در سطح مدیریت شبکه و یا یک اشتباه در سطح کاربری ایجاد میشوند. این تست های نفوذ میتوانند یک سنجش از سطح ایمنی شبکه بوده و همچنین رفتارهای کاربران نهایی در شبکه را نیز بسنجند.

چرا باید تست نفوذ انجام دهیم؟

گاهاْ حملاتی که به سیستم ها و اطلاعات سازمانی انجام میشوند٬‌ میتوانند هزینه های زیادی را به سازمان ها تحمیل کنند. مشتریان ناراضی٬ سرویس های ناکارآمد٬ اطلاعات دزدیده شده٬ در خطر افتادن آبروی سازمانی و خسارات مالی و غیر مالی به استفاده کننندگان از سرویس های سازمان از جمله این خسارات هستند.  برای مثال٬ در یکی از مطالعاتی که در سال ۲۰۱۴ توسط شرکت Ponemon Institute انجام شد٬ مشخص شد که هزینه هر حمله به یک سازمان که در آن نشط اطلاعاتی صورت گرفته بود  و چند سرویس از دسترس خارج شده بودند٬ نزدیک به ۳ میلیون دلار بود! (منبع: ponemoninstitute.com)

هرچند٬ این یک واقعیت است که نمیشود برای همیشه همه اطلاعات را بصورت کاملاْ ایمن و غیر قابل دستبرد حفظ کرد. در گذشته و حتی همین امروز٬ بسیاری از سازمان ها در تلاش بوده اند که اطلاعات سازمانی را بوسیله قراردادن مکانیزم های دفاعی نظیر Firewall, UTM,Cryptography, IPS & IDS و بسیاری دیگر از روش ها ایمن سازی کنند. هرچند٬ گاهاْ استفاده از تمامی این روش ها و استفاده از بسیاری از این دستگاه ها در برخی موارد کار را آنقدر سخت میکند که عملاْ شناسایی نقاط ضعف بسیار مشکل میشود و بسیاری از نقاط آسیب پذیر٬ کماکان پا برجا باقی میمانند.

وظیفه اصلی تست نفوذ چیست؟

در تست نفوذ٬ حمله گران کلاه سفید تلاش میکنند که راه های ورود به شبکه را از طرق مختلف نظیر استفاده از ضعف های امنیتی٬ دستگاه هایی که بصورت نامناسب تنظیم شده اند٬‌ ساختار و طراحی غلط شبکه و کاربران نا آشنا کشف کنند. آنها در واقع می سنجند که یک شبکه تا چه حد میتواند در برابر حملات گسترده٬ پیچیده و همه جانبه برای کسب دسترسی غیر قانونی به منابع شبکه مقاومت کند.

در تست نفوذ٬ کلاه سفید ها به ما هشدار میدهند که کجاهای شبکه ما ایمن نیست و چه نقاطی هستند که نقاط ضعف شبکه ما به حساب می آیند و چطور میتوان این نقاط را مسدود و به معبری سخت تر برای نفوذگران واقعی تبدیل کرد. در واقع بعد از مدتی٬‌ با انجام حملات مکرر و با انجام تست های کنترل شده و سازنده٬ میتوان نقاط قوت و ضعف را شناسایی کرد و همواره سعی در رفع آن خطاها نمود.

تست های نفوذ باید چند وقت یک بار انجام شود؟

تست های نفوذ باید مرتباْ و در یک برنامه منظم زمان بندی شده انجام شوند تا مدیران شبکه را از ریسک هایی که در هر بخش وجود دارد آگاه کند. در واقع مدیران شبکه از جدیدترین روش ها و یا روش هایی که برای آن برنامه ریزی خاصی نداشتند آگاه شده و میتوانند برای آن برنامه داشته باشند.

تست های نفوذ همچنین باید تحت شرایط زیر حتما انجام شود:

• دستگاه جدیدی به شبکه اضافه شود
• طراحی و نحوه قرارگیری دستگاه های شبکه تغییر کند
• یک دفتر یا مکان جدید به شرکت اضافه شود
• پچ های امنیتی جدیدی به سیستم اضافه شود
• سیاست های عملکردی کاربران نهایی تغییر کند

فواید استفاده از یک تست نفوذ چیست؟

تست های نفوذ میتوانند اطلاعات دقیق و قابل جستجویی از اشکالات و نقاط ضعف شبکه به ما ارائه دهند. با انجام مکرر این تست های نفوذ شما میتوانید متوجه شوید که کدام یک از ضعف ها حیاتی هستند٬‌ کدامیک بی اهمیت هستند٬ و کدامیک اولویت های بعدی انجام هستند. شما میتوانید متوجه شوید که بودجه محدود خود را در کدام قسمت از شبکه و برای کدام یک از بخش های اطلاعاتی هزنیه کنید. چون همیشه بخش های زیادی از اطلاعات هستند که ممکن است شما برایشان هزینه های زیادی انجام دهید. ولی در نهایت هدف های محبوبی نباشند. شما میتوانید منابع محدود خود را در جهت دفع حداکثری تهدیدات استفاده کنید.

یک تست نفوذ مناسب میتواند شما را از عدم عملکرد سیستم یا DownTime های پرهزینه نجات دهد. گاهی این DownTime ها میتوانند بسیار خطرناک باشند. همچنین نشط اطلاعات سازمانی از سوی کارمندان ناراضی٬‌ رقبای لجوج و سارقان اطلاعات میتوانند گاهاْ‌ هزینه های سرسام آوری را به سازمان تحمیل کنند. این کار باعث میشود که اتفاقاتی که میتوانند هزینه های سنگینی را موجب شوند به حداقل برسند.
همچنین گاهی اعتماد مشتریان یک کسب و کار میلیاردها دلار ارزش دارد. همه کسب و کارها آگاهند که اعتماد کسب شده٬ هرچقدر هم که در طی سالیان سال کسب شده باشد٬ میتواند در اثر یک سرویس ناکارآمد به طور کلی زیر سوال برود. پس با هزینه کردن اصولی و منطقی در این زمنیه میتوان این هزینه ها را بشدت کاهش داد.

SSL دیگر مرده است؛ هرگز اطمینان نکنید!

 

SSL پروتکلی است که برای امنیت بیشتر ساخته شد. در این پروتکل ارتباطی که از پورت ۴۴۳ بهره میبرد، اطلاعات رمز نگاری یا encrypt میشود و در مسیر ارتباط قابل بازیابی و تشخیص نخواهد بود. اما بیشتر افرادی که بطور حرفه ای در زمینه شبکه و ارتباط شبکه ای و امنیت فعالیت کرده اند میدانند که این حرف گزافی بیش نیست! در حال حاضر تکنیک های بسیاری وجود دارد که بطور کامل، و در بسیاری از موارد بدون اطلاع استفاده کننده، اقدام به دزدیدن اطلاعات کاربران میکنند. در این مقاله سعی نداریم در مورد تکنیک های دزدیدن اطلاعات از پورت ۴۴۳ صحبت کنیم. اما میخواهیم مقایسه ای از SSL و TLS ارائه دهیم.

TLS چیست؟ آیا نسبت به SSL برتری دارد؟

TLS و SSL هر دو پروتکل هایی بودند که برای ارسال و دریافت اطلاعات بصورت رمز نگاری شده طراحی شده بودند. اطلاعاتی نظیر ایمیلها، تراکنش های بانکی، و غیره نیاز داشتند که در بین مسیر نا امن، شناسایی نشوند. این بود که بجای استفاده از پورت رایج ۸۰ که HTTP معروف است، به استفاده از SSL روی آوردیم.

کلمات TLS و SSL عمدتا در کنار هم و گاهاٌ به عنوان یک مفهموم استفاده میشوند. اما در واقعیت، یکی از اینها، یعنی SSL نسل قبلی دیگری یعنی TLS است. در واقع SSL3 به عنوان پیشینه ی TLS محسوب میشود. این مساله تا آنجاست که TLS را گاهاٌ به عنوان SSL3.1 میشناسند. اما براستی کدامیک قابل اطمینان تر است؟

SSl در برابر TLS

یک اعتقاد وجود دارد که TLS از SSL ایمن تر است. SSL در حال پیر شدن است و راه های زیادی برای نفوذ در آن کشف شده است. با پیشرفت هایی که در حال حاضر صورت گرفته است باید گفت که SSL دیگر امن نیست. حملات بسیار مخربی نظیر POODLE (در مقاله بعدی به آن اشاره خواهیم کرد) نا امن بودن این پروتکل را اثبات کرده اند. مخصوصا برای وب سایت هایی که در حال استفاده از آن هستند. حتی پیش از اینکه حملات POODLE شناسایی و رایج شوند، دولت ایالات متحده استفاده از پروتکل SSL برای ارتباطات ایمن و اطلاعات مهم دولتی و حساس را بشدت ممنوع کرده بود. امروزه، حملات POODLE باعث شده است که استفاده از پروتکل SSL در بسیاری از سایت ها در حال منقرض شدن باشد.

SSL مرده است…هرگز اطمینان نکنید!

SSL به عنوان یک پروتکل امن دیگر آن کارایی و اثر بخشی لازم را ندارد. در واقع وب سایت ها و سرویس هایی که کماکان از SSL برای امنیت اطلاعات خود استفاده میکنند، مشتریان و اطلاعات خود را در معرض ریسک های بالایی قرار داده اند.

نگارش های جدید TLS نظیر ۱٫۰  و ۱٫۲ بسیاری از اشکالات موجود در SSL ورژن ۳ را رفع کرده اند و در برابر حملاتی نظیر POODLE  مقاومند. هرچند حملاتی نظیر BEAST وجود داشتند که میتوانستند علاوه بر SSL ورژن ۳، TLS ورژن ۱ را نیز تحت تاثیر قرار دهند. اما این حملات در TLS ورژن ۲ تا حد زیادی بی تاثیرند. در ورژن ۲، TLS اگر بدرستی کانفیگ شود و از امکانتش بهتر استفاده شود، میتواند تا حد زیادی ایمن بوده و از مکانیزم های جدید و بهینه رمزنگاری استفاده کند.

آیا مکانیزم های رمز نگاری TLS و SSL متفاوت است؟

اگر شما ایمیل خود را کانفیگ کرده باشید، گاهاً متوجه میشوید که از شما سوال میشود که آیا میخواهید که رمزنگاری انجام شود؟ اگر میخواهید انجام شود از TLS استفاده شود یا از SSL؟ این مطلب این سوال را به ذهن شما متبادر میکند که شاید مکانیزم های رمزنگاری در این دو پروتکل متفاوت است. اما در حالیکه اینطور نیست. تفاوت اصلی در این پروتکل ها در نحوه شروع فرآیند رمز نگاری است.

در واقع هیچ فرقی نمیکند که شما به چه روشی اقدام به رمز نگاری میکنید. چون هر دو روش SSL و TLS در حال رمز نگاری به یک شیوه هستند و مکانیزم های رمز نگاری مشابه است. اما نحوه آغاز و در اصلاح Initiation متفاوت است.

من از کدام روش استفاده کنم؟ SSL یا TLS؟

روی این قسمت با برنامه نویسان است. اگر شما در حال استفاده از سروری هستید که در حال سرویس دهی به بیرون است، میبیایست آخرین نسخه از TLS را بصورت تنظیم شده در سمت سرور خود داشته باشید. این باعث میشود که اطمینان حاصل کنید که ارتباطات شما با کلاینت ایمن است. استفاده از یک Security Certificate متعبر نیز بسیار موثر است. برای مثال استفاده از  ۲۰۴۸+ bit keys که باعث میشود مکانیزم رمز نگاری بسیار ایمن و قدرتمند شود. شما باید از استفاده از SSL3 پرهیز کنید و در حد امکان از cipher ها یا رمز نگارهای قدرتمند استفاده کنید. مخصوصا اگر هماهنگی با هر نوعی از کلاینت ها ضروری میباشد.

اگر از TLS یا حتی SSL استفاده نکنیم چه اتفاقی می افتد؟

اگر از TLS یا حتی SSL استفاده نکنیم، قطعا اطلاعات ما بصورت نا ایمن رد و بدل خواهد شد. اطلاعات ارسالی و دریافتی بصورت متن ساده یا Plain Text بوده و برای هر کسی که در حال نظاره اطلاعات عبوری است قابل فهم است و میتواند تمامی اطلاعات رد و بدل شده را تجزیه و تحلیل کند. هرچند تکنیک های زیادی نظیر Man in the middle و interloper وجود دارند که میتوانند براحتی اطلاعات شما را سرقت کنند حتی در زمانیکه شما از SSL استفاده میکنید. اما شانس استفاده از اطلاعات زمانیکه در یکی از پروتکل های امن نیست بسیار بالاست و تقریبا حکم این را دارد که شما ماشین گران قیمت خود را در حالیکه روشن است و درب های باز است در وسط یکی از خطرناک ترین محله های شهر خود رها کنید! شاید ماشین شما دزدیده نشود، اما قطعا هدفی آسان برای کسانی است که ممکن است قصد این کار را داشته باشند.

بررسی شل شاک

شل شاک که به عنوان Bashdoor هم شناخته میشود٬‌ از خانواده  Security Bug محسوب میشود. این حمله بصورت بسیار گسترده در Unix Shell Bash استفاده میشود. Security Bug ها در واقع نقایص امنیتی هستند که میتوانند مجوز دسترسی های غیر قانونی به سیستم کاربران را صادر نمایند. برای اولین در ۲۴ سپتامبر ۲۰۱۴ شاهد این حمله بودیم. تعداد زیادی سرویس دهنده انیترنت در سراسر دنیا درخواست های شل آلوده ای را دریافت کردند که درخواست کنترل کامپیوتر و سرور را میداد. در این روش٬‌ هکر ها از بات نت هایی استفاده کردند تا حملات خود را بطور گسترده ای و از طریق DDOS گسترش دهند.

مجموعه‌ای از حملات سایبری به وب‌سایت‌ها و سرور‌ها با استفاده از کرم شل‌شاک (Shellshock) رصد شده‌اند که شرکت سایمنتک شدت این حمله را ۱۰ از ۱۰ رتبه‌بندی کرده‌است. براساس گزارش BBC، میلیون‌ها سرور و رایانه که نرم‌افزار آنها ضعیف دربرابر این کرم آسیب‌پذیر بودند، به هکرها امکان دادند به راحتی دستورات مختلفی را روی آنها اجرا کنند. به گفته متخصصان هزاران سرور توسط این کرم دچار اشکال شده و از این بدافزار برای بمباران اطلاعاتی برخی از وب‌سایت‌ها نیز استفاده شده‌است. همچنین با به اشتراک‌گذاشته شدن کد بهره‌برداری از این کرم،‌ تعداد حملات با رشدی قابل توجه مواجه شده‌است.

کرم شِل‌شاک  در ابزاری به نام Bash کشف شده‌است که به شکلی گسترده در سیستم عامل Unix و گونه‌های مختلف آن از قبیل لینوکس منبع باز  و OSX اپل مورد استفاده قرار می‌گیرد. اپل اعلام کرد برای برطرف کردن این نقص فنی در سیستم‌عاملش دست‌ به‌کار شده‌است. اپل همچنین اعلام کرد بیشتر کاربرانش در معرض خطر این بد‌افزار قرار ندارند.

هکرها درحال ایجاد شبکه‌های بات‌نت با استفاده از دستگاه‌های آلوده به این کرم ردیابی شده‌اند تا از این شبکه‌ها برای گسترش فعالیت خود استفاده کنند. یکی از این گروه‌ها از بات‌نت شل‌شاک خود برای بمباران دستگاه‌های شرکت آکامای استفاده کرده‌است،‌ این دستگاه‌ها به گونه‌ای تنظیم شده‌اند تا آسیب‌پذیر به نظر بیابند اما در اصل درحال جمع‌آوری اطلاعات هکرها هستند.

به گفته متخصصان،‌این کرم با کرم خونریزی قلبی که در آوریل سال جاری کشف شد، مشکلی جدی‌تر محسوب می‌شود، زیرا خونریزی قلبی تنها برای استخراج اطلاعات مورد استفاده قرار می‌گرفت اما شل‌شاک برای اجرای دستورات برای از کار انداختن سرورها یا رایانه‌ها مورد استفاده قرار می‌گیرد. جدی‌بودن این حمله سایبری دولت‌ها را نیز به اقدام سریع وادار کرده‌است،‌دولت بریتانیا اعلام کرد تیم امنیت سایبری این کشور با به صدا درآوردن زنگ خطر، این ویروس را در میان پرخطر‌ترین حملات سایبری دسته‌بندی کرده‌اند. دلیل بالا بودن رتبه‌بندی این خطر قرار گرفتن سیستم‌های رایانه‌ای کلیدی زیرساختارهای ملی بریتانیا در میان سیستم‌های آسیب‌پذیر در برابر شل‌شاک اعلام شده‌است.

آمریکا و کانادا نیز با انتشار هشداری مشابه، به شرکت‌های تکنولوژی خود توصیه کرده‌اند هرچه سریعتر بسته‌های امنیتی رفع این نقص حیاتی را ارائه دهند. شرکت‌های آمازون،‌ گوگل، آکامای، و بسیاری از دیگر شرکت‌های تکنولوژی نیز توصیه‌هایی برای مشترکان و کاربران خود درنظر گرفته‌اند تا آنها را از این خطر مصون دارند.

متخصصان امنیت شبکه در کنار بسته‌های نرم‌افزاری مخصوص سیستم‌های آسیب‌پذیر، شرکت‌های امنیتی و محققان درحال ایجاد لیستی از نشانه‌ها و فیلترها هستند که می‌توانند به ردیابی حملات مبتنی بر شل‌شاک کمک کنند. گزارش‌های اولیه حاکی از آسیب‌پذیر بودن بیش از ۵۰۰ میلیون رایانه در برابر این کرم هستند.

خونریزی قلبی یا Heart-bleed bug چیست و چگونه کار می‌کند؟

این مشکل بخشی از یک نرم‌افزار را با نام OpenSSL تحت تاثیر قرار می‌دهد که به‌عنوان راهکاری برای مسائل امنیتی در وب سرورها مورد استفاده قرار می‌گیرد. با استفاده از OpenSSL وب‌سایت‌ها می‌توانند اطلاعات خود را بصورت رمزنگاری شده در اختیار کاربران قرار دهند، از این‌رو سایر افراد توانایی دسترسی و استفاده از داده‌های رد و بدل شده را که شامل نام‌های کاربری، رمز‌های عبور و کوکی‌ها است، ندارند.

OpenSSL یک پروژه‌ی متن باز است، یعنی این پروژه توسط مجموعه‌ای از افراد متخصص توسعه داده شده است که در قبال سرویس توسعه‌داده شده هزینه ای را دریافت نکرده‌اند. هدف این افراد کمک به توسعه‌ی وب و یاری جامعه‌ی اینترنت بوده است. نسخه‌‌ی ۱٫۰٫۱ پروژه‌ی OpenSSL در ۱۹ آپریل ۲۰۱۲ میلادی منتشر شده است. مشکل موجود ناشی از یک اشتباه برنامه‌نویسی در همین نسخه است که اجازه‌ی کپی برداری از اطلاعات موجود در حافظه‌ی وب سرور را به یک فرد یا نرم‌افزار مخرب بدون ثبت اثری از آن می‌دهد. این مشکل پس از اضافه شدن یک ویژگی جدید ایجاد شده که توسط برنامه‌نویسی آلمانی با نام دکتر رابین‌سِگِلمَن روی OpenSSL ‌اضافه شده است.

خونریزی قلبی یکی از ویژگی‌های داخلی OpenSSL را با نام Heartbeat یا ضربان قلب مورد استفاده قرار می‌دهد. زمانی که رایانه‌ی کاربر به یک وب‌سایت دسترسی پیدا می‌کند، وب‌سایت پاسخی را به مرورگر کاربر ارسال می‌کند تا رایانه‌ی کاربر را از فعالیت خود و همچنین قابلیت پاسخ‌گویی به درخواست‌های بعدی آگاه سازد، این رد و بدل شدن اطلاعات را ضربان قلب گویند. ارسال درخواست و پاسخ به آن با رد و بدل شدن داده‌ها همراه است. در حالت نرمال، زمانی که رایانه‌ی کاربر درخواستی را از سرور به عمل می‌آورد، ضربان قلب میزان داده‌ی مجاز درخواست شده از طرف کاربر را ارسال می‌کند، اما در مورد سرورهایی که این باگ را در ساختار خود دارند، یک هکر قادر است تا درخواستی را مبنی بر گرفتن داده‌ها از حافظه‌ی سرور ارسال کرده و داده‌ای را با حداکثر اندازه‌ی ۶۵,۵۳۶ بایت دریافت کند.

براساس اطلاعات ارائه شده توسط CloudFlare، اطلاعات درخواست شده شاید دربردارنده‌ی اطلاعاتی از سایر بخش‌های OpenSSL ‌نیز باشد. اطلاعات موجود در حافظه کاملا از پلتفرم مستقل هستند. با اتصال رایانه‌های بیشتر به سرور اطلاعات موجود در حافظه‌ی از بین رفته و اطلاعات جدید جایگزین می‌شود، از این‌رو صدور درخواست‌های جدید توسط هکرها منجر به دریافت اطلاعات جدیدتری خواهد شد که شامل اطلاعات ورود، کوکی‌ها و داده‌هایی می‌شود که هکرها می‌توانند از آن‌ها بهره‌برداری نمایند.

چاره‌ی کار چیست؟

از آنجایی که این ویژگی کمی خاص است و در مورد تمامی ارتباطات ایجاد شده از آن استفاده نمی‌شود، میزان تاثیرگذاری آن کمتر از حدی است که در برآوردهای اولیه به آن اشاره شده است. در حقیقت، اولین پیش‌بینی‌ها حکایت از آسیب‌پذیری ۶۰ درصدی سرورهای اینترنتی در اثر وجود باگ خونریزی قلبی داشت، در حالی که Netcraft مدعی شده است که این میزان بسیار کمتر بوده و در حدود ۱۷٫۵ درصد از کل سرورهای اینترنتی را تشکیل داده است.

پس از کشف این باگ، دست‌اندرکاران سریعاً پچی را برای رفع این مشکل منتشر کردند که نسخه‌ی ۱٫۰٫۱٫g نام گرفته و مشکل موجود را کاملاً حل کرد. پیش از آن نیز در صورتی که کاربران در زمان نصب نرم‌افزار OpenSSL افزونه‌ی Heartbeat را نصب نکرده بودند، مشکلی از جانب این باگ آ‌ن‌ها را تهدید نمی‌کرد.

حال سوال اصلی در مورد نگرانی یک کاربر معمولی اینترنت مطرح است. آیا کاربران اینترنت باید از وجود چنین مشکلی نگران باشند؟ متاسفانه پاسخ این پرسش بلی است. کاربران باید با استفاده از سرویس‌هایی چون  Heartbleed Test،LastPass Heartbleed Checker یا Qualys SSL Labs Test وب‌سایت‌های حساسی را که به آن‌ها مراجعه می‌کنند چک کرده و در صورت وجود مشکل، رمز عبور خود را تغییر دهند. این کار باید برای تمامی وب‌سایت‌هایی که دربردارنده‌ی این باگ بوده و پس از کشف آن رفع ایراد شده‌اند، انجام شود. از جمله‌ی چنین سرویس‌هایی می‌توان به یاهو و گوگل اشاره کرد. اما بصورت کلی باید کاربران از قانون تغییر رمز عبور بصورت متوالی و در فاصله‌های زمانی تبعیت کنند.

اقدام برای تغییر رمز عبور یک پیشنهاد احتیاطی است، چراکه اگر هکری از وجود این باگ مطلع بوده و درصدد دستیابی به اطلاعات حساب کاربری شما بود، تا حال این اطلاعات را کسب کرده و به مقصود خود رسیده است. براساس برخی شایعات، احتمالا گواهی رمزگذاری برخی از سرورها نیز به سرقت رفته، اما CloudFlare امکان چنین مساله‌ای را بسیار پایین عنوان کرده و اعلام کرده است که درصد رخداد چنین موردی بسیار پایین است.

این موسسه‌ مسابقه‌ای را با این مضمون یعنی دستیابی به گواهی رمزگذاری سرور برگزار کرده بود که فردی موفق به انجام این کار شد. وی در فاصله‌ی ریبوت شدن سرور به گواهی مورد نظر دست یافت. فارغ از امکان به سرقت رفتن کلید رمزنگاری داده‌ها، کمپانی‌ها علاوه بر اعمال پچ مورد نظر، کلید رمزگذاری خود را نیز تغییر داده‌اند تا هکرها قادر به سرقت اطلاعات و دستیابی به اطلاعات رمزنگاری شده نباشند.

در صورتی که از سرنوشت اطلاعات خود نگران هستید، می‌توانید رمزهای عبور حساب‌های کاربری خود را تغییر دهید. یکی از اصلی‌ترین نکات برای انتخاب رمزعبور، عدم استفاده از الگویی مشابه برای تمامی حساب‌های کاربری است. همچنین باید در طول و کارکترهای مورد استفاده در رمزعبور نیز دقت کرده و از ترکیب حروف با اعداد استفاده نمود. ضمنا طول رمزعبور بهتر است بیش از ۱۰ کارکتر باشد.

معماری مناسب یک DMZ چگونه است؟

معماری مناسب DMZ

معماری های زیادی برای DMZ وجود دارد و با توجه به نگاهی که ما به بحث امنیت داریم هر یک از این معماری های دارای مزایا و معایب مخصوص بخود می باشند که با توجه به آنها تعیین می کنیم کدام معماری برای کدام سازمان مناسب است. در سه بخشی که در ادامه آمده است به جزئیات مربوط به سه تا از عمومی ترین معماری ها خواهیم پرداخت.

روتر و فایروال

روتر از یک طرف به ISP وصل شده است و از طرف دیگر به شبکه خارجی سازمان اتصال یافته است. در اینجا فایروال دسترسی به شبکه داخلی را کنترل می کند. DMZ در اینجا همان شبکه خارجی خواهد بود و سیستم هایی که از طریق اینترنت قابل دستیابی هستند در این مکان قرار دارند. از آنجا که این سیستم ها در شبکه خارجی قرار داده شده اند، بنابراین از طرف اینترنت در معرض حمله قرار دارند. می توان با قرار دادن فیلترهایی در روتر تا حدی این خطر را کاهش داد. قرار دادن فیلتر در روتر باعث می شود فقط ترافیکی که اجازه ورود به DMZ دارد بتواند از سرویس ارائه شده توسط DMZ استفاده کند.

روش دیگر برای کاهش خطرپذیری سیستم آن است که سیستم بگونه ای قفل شود که فقط سرویس های ارائه شده توسط DMZ روی آن قابل اجرا باشد. معنی این جمله آن است که سرور وب فقط وظایف سرور وب را اجرا کند و سرویس های دیگر نظیر FTP، Telnet و غیره تعطیل شود. علاوه بر این باید سیستم به بالاترین نسخه نرم افزاری ارتقا داده شود و به دقت نظارت شود. در بسیاری موارد روتر به ISP تعلق دارد و توسط او مدیریت می شود. در این حالت برای ایجاد تغییر در فیلترها و برای تنظیم درست آنها با مشکل مواجه می شوید. اما اگر روتر متعلق به سازمان باشد این مشکل را نخواهید داشت. البته برای تنظیم اکثر روترها نیاز است از خط فرمان استفاده کنید، بنابراین برای تنظیم درست فیلترها و کارکرد صحیح روتر، دقت زیادی لازم است.

استفاده از یک فایروال

با استفاده از یک فایروال می توان DMZ ایجاد کرد. زمانیکه از فایروال استفاده می شود بین DMZ و شبکه خارجی تفاوت قائل شده ایم. شبکه خارجی از روتر ISP و فایروال تشکیل شده است. DMZ واسطه سومی روی فایروال ایجاد می کند فایروال به تنهایی دسترسی به DMZ را کنترل می کند.

با استفاده از معماری تک فایروال، کل ترافیک از یک فایروال عبور می کند. در این حالت فایروال باید طوری تنظیم شود که اجازه عبور ترافیک فقط به سرویس های مناسب روی هر سیستم DMZ داده شود. علاوه بر این فایروال از ترافیک هایی که اجازه عبور به آنها داده نشده است گزارش تهیه می کند. در اینجا فایروال به تک نقطه ای برای بروز خرابی تبدیل شده است و می تواند برای عبور ترافیک تنگنا ایجاد کند. اگر فراهمی مسئله ای کلیدی در معماری باشد فایروال باید بگونه ای تنظیم شود که توان مقابله ای با خرابی را داشته باشد، فایروال باید توان پردازش تمام ترافیک ورودی را داشته باشد. مدیریت این معماری ساده است و برای صدور اجازه عبور ترافیک یا عدم عبور آن فقط فایروال باید تنظیم شود. روتر نیازی به فیلتر ندارد، اما انجام برخی اعمال فیلتری موجب کاراتر شدن فایروال می شود. علاوه بر این سیستم هایی که در DMZ قرار گرفته است توسط فایروال محافظت می شوند، بنابراین احتیاج کمتری به ایمن سازی کامل دارند.

استفاده از دو فایروال

این معماری از دو فایروال برای تفکیک شبکه داخلی و خارجی استفاده می کند. در اینجا هم شبکه خارجی از روتر ISP و یک فایروال تشکیل شده است. اکنون DMZ بین فایروال۱ و فایروال۲ قرار دارد. فایروال۱ بگونه ای تنظیم می شود که به تمام ترافیک DMZ اجازه عبور دهد، همانند تمام ترافیک داخلی، فایروال۲ دارای محدودیت های بیشتری در تنظیم و پیکره بندی می باشد، بگونه ای که فقط اجازه عبور اطلاعات خروجی برای اینترنت را صادر می کند. در طراحی معماری با فایروال لازم است فایروال۱ قادر به تحمل بار زیاد باشد چون ممکن است سیستم های DMZ ترافیک زیادی داشته باشند.

البته فایروال۲ می تواند از قدرت کمتری برخوردار باشد، چون فقط با ترافیک داخلی سروکار دارد. بهتر است فایروال ها از دو نوع متفاوت باشد. این پیکربندی نسبت به معماری که فقط از یک فایروال استفاده می کند؛ امنیت بیشتری فراهم می کند چرا که مهاجم مجبور است از هر دو فایروال عبور کند. همانند معماری با یک فایروال، در اینجا سیستم های DMZ توسط فایروال۱ در برابر اینترنت محافظت می شوند. استفاده از دو فایروال هزینه معماری را افزایش می دهد و نیاز به مدیریت و پیکره بندی بیشتری دارد.

فایروال ابزاری برای کنترل دسترسی به شبکه است و بدین منظور طراحی شده است که به جزء ترافیک مجاز، از عبور هر ترافیک دیگری جلوگیری کند. این تعریف با تعریف روتر مغایرت دارد چرا که روتر، ابزاری شبکه ای است که برای مسیریابی ترافیک با حداکثر سرعت ممکن بکار می رود. برخی می گویند روتر می تواند فایروال هم باشد. البته روتر می تواند برخی اعمال فایروال را انجام دهد اما یک تفاوت کلیدی وجود دارد: روتر تلاش می کند هر ترافیکی را با حداکثر سرعت ممکن مسیریابی کند، نه اینکه از عبور ان جلوگیری کند. شاید روش بهتر برای بیان تفاوت بین روتر و فایروال این باشد که فایروال ابزاری امنیتی است که می تواند جریان یافتن ترافیک مناسب را اجازه دهد حال آنکه روتر ابزاری شبکه ای است می توان برای جلوگیری از عبور ترافیک خاص آنرا پیکره بندی نمود. اغلب فایروال ها سطح کمتری از پیکره بندی در اختیار کاربر قرار می دهند. فایروال را می توان به گونه ای پیکره بندی کرد که اجازه عبور ترافیک را براساس نوع سرویس، آدرس IP مبدا و مقصد، یا ID کاربری که سرویس را درخواست داده، صادر کند. علاوه بر این فایروال دارای قابلیت گزارش گیری و ثبت وقایع مربوط به کل ترافیک می باشد. فایروال می تواند وظایف مدیریت امنیتی را بصورت مرکزی انجام دهد. مدیر امنیتی قادر است ترافیک مجازی که از خارج به سیستم های داخلی سازمان ارسال می شود را پیکره بندی تعیین کند. اگرچه این مطلب نمی تواند نیاز به پیکره بندی سیستم را کاهش دهد، اما بعضی از خطراتی که در یک سیستم بدون پیکره بندی وجود دارد را از بین می برد.

5 مقایسه بین FREEBSD و LINUX؛ قوت ها و ضعف ها

۱- قابلیت اطمینان

FreeBSD در این زمینه بسیار خوب عمل می‌کند. استفاده بسیاری از سایت‌ها و مراکز کامپیوتری مربوط به موسسات بزرگ و مشهور، خود گویای این واقعیت است که این سیستم عامل از قابلیت اطمینان زیادی به‌ویژه در اجرای فرآیندهای مربوط به پایگاه داده ها برخوردار است. در همین حال لینوکس هم از دیرباز به‌دلیل پایداری و عملکرد خوب در این زمینه زبانزد متخصصان بوده است. اما در مقام مقایسه و برای کاربردهای بزرگ سیستم ورودی و خروجی دیسک FreeBSD بهتر عمل می‌کند. زیرا در لینوکس به‌دلیل این‌که به‌صورت پیش‌فرض به‌طور غیرهمزمان (Non syncronous) کار می‌کند، احتمال بروز اشکال در فایل سیستم در زمان قطع یا نوسانات برق یا خاموش شدن اتفاقی، افزایش می‌یابد.

۲- کارایی

سایت Freesoftware که سایتی برمبنای انتقال با پروتکل FTP است، بیش از ۲/۱ ترابایت اطلاعات را هر روز به سراسر جهان ارسال می‌کند. در مورد لینوکس باید گفت که این سیستم عامل هم از سرعت پردازش و کارایی بالایی برخودار است، اما در آزمایش‌های خود تحت یک محیط بزرگ شبکه‌ای پرترافیک در حدود ۲۰ تا ۳۰ درصد از رقیب خود یعنی FreeBSD عقب می‌ماند. البته سازندگان کرنل ادعا می‌کنند که این مساله با استفاده از نسخه ۴/۲ کرنل لینوکس، که دارای یک حافظه مجازی مشابه FreeBSD است، حل می‌شود. به هر حال از آن جا که هر دو این سیستم عامل‌ها با سورس باز ارایه می‌شوند، این امیدواری وجود دارد که از دیدگاه سطح فناوری به‌دلیل الگوپذیری از یکدیگر، هیچ‌گاه دارای اختلاف بنیادین نخواهد بود.
در مورد ویندوز باید گفت که کارایی کم در محیط شبکه پرترافیک، همیشه از بزرگترین معضلات این سیستم عامل بوده و هست.

۳- امنیت

در مقوله امنیت، FreeBSD  همیشه به‌عنوان یکی از امن‌ترین سیستم ها مدنظر کارشناسان قرار داشته است.
تمام ماژول‌ها و اجزای آن بارها از جهت امنیت مورد آزمایش و بررسی قرار گرفته‌اند. این سیستم‌عامل همچنین دارای سطوح مختلف امنیت در داخل کرنل است و به مدیر سیستم اجازه می‌دهد تا سطح دسترسی کاربران را، حتی برای توابع درونی آن کرنل مشخص کند. به‌علاوه این‌که FreeBSD دارای مکانسیم دیواره آتش، فیلترینگ بسته‌ها و بسیاری از ابزارهای کشف و ردیابی نفوذ است.

به‌رغم این‌که لینوکس نیز همانندFreeBSD  دارای دیواره آتش و ابزارهای متعدد IDS است، اما نحوه ارایه این سیستم عامل به‌صورت منبع‌باز و این که در اختیار گروه‌هایی است که بسیاری از آن‌ها دارای مهارت کافی در زمینه امنیت نیستند و همچنین تعداد زیادی شرکت‌های توسعه‌دهنده لینوکس، به‌خصوص آن‌هایی که به مقوله کارایی و کاربرد بیش از امنیت اهمیت می دهند (مثل ردهت)، باعث شده تا این سیستم عامل در رده بندی امنیتی، پایین‌تر از رقیب خود قرارگیرد.

۴- فایل سیستم‌

FreeBSD  از سیستم فایلی یو‌اف‌اس (Unix File System) که مختص سیستم عامل یونیکس است استفاده می‌کند. این سیستم، اندکی از سیستم مورد استفاده لینوکس یعنی ۲ ext پیچیده‌تر و پیشرفته‌تر است. عملیات ناهمزمان خواندن و نوشتن دیسک(Asynchronous I/O)  را بیشتر و بهتر انجام می‌دهد. همچنین این سیستم فایل از پرچم فایل (File Flag)  هم پشتیبانی می‌کند که از نوشته شدن تراک‌های خراب بر روی دیسک جلوگیری می‌کند.
یا هر گونه تغییری را در محتویات یک فایل یا یک دایرکتوری در تمام زمان عمر آن محدود می‌کند، یا از حذف شدن یک فایل جلوگیری می‌کند. این قابلیت‌ها زمانی که با توانایی‌های موجود در کرنل تلفیق می‌شود، محیط کاملا قابل کنترل و جالبی را پدید می‌آورد.

فایل سیستم مورد استفاده لینوکس هم کارایی بسیار خوبی دارد اما نقطه ضعف آن، عدم پایداری کافی است. چه بسا بروز یک اشکال در زمان Mount بتواند قسمتی از یک فایل سیستم را دچار خرابی نماید و باعث از دست رفتن اطلاعات آن قسمت شود.

در مورد ویندوز، آنچه که از آن به‌نام FAT یا NTFS نام برده می‌شود، برای موارد محدود مثل دسترسی چند کاربر به شبکه و دیسک سخت، بسیار آسان و روان عمل می‌کند اما زمانی که بحث شبکه‌های بزرگ به‌میان می‌آید، مجالی برای رقابت با UFS یا ۲ ext پیدا نمی‌کند.

۵- درایوها

FreeBSD   سیستم عاملی است که هم قابلیت نصب درایورهای با منبع بسته (یا همان درایورهای باینری) و هم درایورهای با منبع باز را دارا است. اما متاسفانه بسیاری از سازندگان سخت‌افزار به‌ویژه آن‌هایی که سخت‌افزار ارزان و نه‌چندان مرغوب، اما با تولید انبوه، را فراهم می‌کنند، هیچ تمایلی برای ارایه درایوهای خود تحت سیستم عاملی به‌غیر از ویندوز ندارند و این یکی از بزرگ‌ترین نقاط قوت ویندوز در برابر دیگر سیستم عامل‌ها به‌شمار می‌رود. در مورد لینوکس هم وضعیت متفاوتی حاکم است. این سیستم عامل درایورهای با منبع باز را بسیار خوب شناسایی و نصب می‌کند اما بسیاری از تولیدکنندگان سخت‌افزار حتی آن‌هایی که درایوهای غیرویندوزی را به بازار ارایه می‌دهند، علاقه چندانی برای تولید درایورهای با منبع باز نشان نمی‌دهند.

بی نظیرترین گوشی های قدیمی ۱۰ سال پیش را بشناسیم‎

چکیده:
تا همین چند سال پیش خبری از گوشی های هوشمند نبود و تنها سرگرمی بسیاری تعویض زنگ موبایلهایشان و یا ارسال ویدئو با بلوتوس بود. یک لحظه سعی کنید دنیای گوشی های هوشمند کنونی را بدون آیفون و گوشی های اندرویدی تصور کنید! کار دشواری است، اکنون بازار به طور کامل به تسخیر دو شرکت بزرگ اپل و گوگل در آمده و همگی دیگر گوشی های غیر هوشمند را اصلا موبایل هم خطاب نمی کنیم.

اگر ۱۰ سال پیش را به خاطر بیاورید گوشی های دارای سیستم عامل سیمبیان که همگی توسط نوکیا ساخته می شدند حرف اول و اخر بازار را می زدند در کنار سیمبیان شاهد حرکت های Windows Mobile و BlackBerry و Palm و حتی Linux هم در دنیای موبایل ها بودیم، هر یک از برند ها سبک و سیاق خاص خودشان را برای طراحی گوشی ها داشتند و از ظاهر های تکراری کنونی خبری نبود.

با شما به بررسی ۱۰ گوشی موبایل بی نظیر که دقیقا ۱۰ سال گذشته روانه بازار شده بودند و برای خودشان پزچمدار به حساب می آمدند می پردازیم:

این گوشی ادامه دهنده راه نسخه قبلی از همین سری با نام BlackBerry 7100 بود، با این تفاوت که به جای کیبورد Qwerty از کیبورد ۴ ردیفه استفاده شده بود. صفحه نمایش ۲٫۲ اینچی با کیفیت ۲۴۰ در ۲۶۰ پیکسل تصاویر قابل قبولی را برای مشاهده به ارمغان می آورد. یکی از ویژگی های این گوشی دوربین ۱٫۳ مگاپیکسلی آن بود که همراه با فلش آماده به خدمت بود و شما امکان نصب کارت حافظه microSD را در این نسخه داشتید. نکته جالب اینکه این گوشی از Wifi و از ۳G و GPS پشتیبانی نمی کرد. این گوشی در سپتامبر ۲۰۰۶ وارد بازار شد و عنوان نازک ترین گوشی بلکبری را با ۰٫۵۷ اینچ قطر از آن خودش کرد.

HTC TyTN یکی از تمام عیار های زمان خودش بود، گل سرسبد HTC که در سال ۲۰۰۶ روانه بازار شد و با همراه داشتن ویندوز موبایل نسخه ۵٫۰ و امکان اجرای Microsoft Word و Internet Explorer و دسترسی به انواع سرویس های ایمیل در زمان خودش یک تمام عیار به حساب می آمد. این غول از ۳G و Wifi پشتیبانی می کرد و با صفحه نمایش لمسی (مقاومتی یا حساس به فشار نقطه ای) ۲٫۸ اینچی که ۲۴۰ در۳۲۰ پیکسل کیفیت داشت، برای خودش یک پرچمدار به حساب می آمد. متاسفانه در ان زمان گوشی های لمسی دردسر های خودشان را داشتند و کار کردن با آنها چندان ساده نبود. این گوشی به نام های دیگری نیز شناخته می شود: HTC Hermes, HTC P4500, Cingular (AT&T) 8525, T-Mobile MDA Vario II و O2 XDA Trio.

این گوشی در ژوئن سال ۲۰۰۵ معرفی شد و نام دیگر آن Motorola Q8 بود. این گوشی با طراحی پهن و کیبورد QWERTY به عنوان رقیبی برای سری گوشی های BlackBerry طراحی شده بود. صفحه نمایش ۲٫۴ اینچی با وضوح ۳۲۰ در ۲۴۰ پیکسلی که لمسی هم نبود همراه با طراحی خاص گوشی که نازکی آن در دست به چشم می آمد یکی از شاهکار های موتورولا در ان سالها بود.

مثل HTC TyTN بر روی Motorola Q هم ویندوز موبایل نصب بود اما با این تفاوت که نسخه غیر لمسی این سیستم عامل بر روی آن قرار داشت. دوربین پشتی این دستگاه ۱٫۳ مگاپیکسل و امکان اتصال کارت MicroSD را داشت.

گل سرسبد محصولات نوکیا در آن سالها سری N9X بود، گوشی های Nokia N90 و Nokia N92 و N93 سیمبیان های بی رقیب در بازار بودند که روی دست امکانات آنها گوشیی یافت نمی شد. امکانات چند رسانه ای کامل و دوربین ۳٫۲ مگاپیکسلی با لنز Carl Zeiss همراه با ۳x زوم اپتیکال و autofocus که ویدئو هایی با کیفیت ۶۴۰ در ۴۸۰ پیکسل را ضبط می کرد.

این گوشی پر آوازه دارای صفحه ۲٫۴ اینچی QVGA و وضوح ۲۴۰ در ۳۲۰ بود، صفحه نمایش خارجی این گوشی هم کیفیت ۱۲۰ در ۳۶ پیکسل داشت. Wifi و ۳G و توانایی اجرای فایل های فلش و همراهی نسخه سوم از سیستم عامل محبوب ان روز ها Symbian OS 9.1 – S60 3rd edition از امکانات این گوشی بود. وزن این گوشی ۱۸۰ گرم بود.

سری گوشی های پالم در ایران انچنان شناخته شده نیست، این گوشی ها از سیستم عامل پایه لینوکس Palm بهره می بردند که از رقبای ویندوز موبایل به حساب می امد. صفحه نمایش لمسی مقاومتی ۲٫۵ اینچی با وضوح ۳۲۰ در ۳۲۰ و عدم وجود Wifi و ۳G از جمله ویژگی های این گوشی بود که در رنگ های زرد و نارنجی نیز در بازار موجود بود.

وای این گوشی بی نهایت معرکه بود، سونی اریکسون آن روزها با سری واکمن صدر بازار را در اختیار داشت، سیستم عامل Symbian و امکان اتصال به ۳G و Wifi همراه با صفحه نمایش ۲٫۶ اینچی ۲۴۰ در ۳۲۰، صفحه لمسی و قلم همراه آن و وجود Radio FM و حافظه داخلی ۴ گیگی از مزایای این گوشی بود. نکته جالب اینکه این گوشی دوربین نداشت و هیچ گونه کارت حافظه هم به آن متصل نمی شد.

چگونه یک سایت را روی سیستم خودمان یا برای سیستم‌های شبکه ببندیم؟

راه‌های مختلفی برای بستن یک سایت برای سیستم خودتان یا سیستم‌های موجود در یک شبکه وجود دارد. از ساده‌ترین راه‌ها مثل استفاده از برنامه‌های جانبی تا پیشرفته‌ترین راه‌ها مثل استفاده از نرم افزار ISA Server که روی سرور یک شبکه نصب می‌شود و کنترل کاملی روی اینترنت شبکه خواهد داشت.

اما شاید یکی از سریع‌ترین راه‌ها، که البته یک ترفند به حساب می‌آید و نه یک روش علمی، ویرایش فایل hosts ویندوز و فرستادن کاربر به یک مسیر اشتباه است!

کمی توضیح علمی:

وقتی کاربر، آدرس یک سایت را فراخوانی می‌کند (مثلاً www.aftab.cc) از آن‌جا که شبکه بر اساس آی.پی (چیزی شبیه به کد پستی) کار می‌کند، اولین کاری که سیستم شما می‌کند این است که به یک DNS Server عمومی (مثل 8.8.8.8 یا 4.2.2.4 که از گوگل و شرکت سان و امثالهم هستند) متصل می‌شود، دامنه را به آن‌ها اعلام می‌کند و سپس آی.پی آن سایت را تحویل می‌گیرد. حالا سیستم شما به آن آی.پی می‌رود و صفحات سایت را دانلود کرده و به شما نمایش می‌دهد. پس شما مستقیماً به آن دامنه متصل نمی‌شوید.

مثلاً وقتی دامنه www.aftab.cc را فراخوانی می‌کنید، آن DNS Server (پس از طی یک پروسه، مثل بررسی Name Serverها) به شما آی.پی 78.159.120.38 را تحویل می‌دهد...

وقتی آن آی.پی به دست آمد، سیستم شما چون ممکن است برای هر عکس و متن، دائماً به آن آی.پی نیاز داشته باشد، بنابراین، در کَش (Chache) خود آن دامنه و آی.پی را ذخیره می‌کند تا برای مراجعات بعدی، دیگر نیاز نباشد اینقدر مسیر را طی کند تا آن آی.پی به دست آید...

اگر از ویندوز 7 استفاده می‌کنید، در منوی Start تایپ کنید cmd و سپس روی گزینه cmd کلیک راست کنید و Run as Administrator را کلیک کنید.

در پنجره cmd تایپ کنید:

ipconfig /displaydns

احتمالاً یک لیست بلند بالا از دامنه‌ها و آی.پی‌های آن‌ها مشاهده خواهید کرد:

یکی از دلایل باز نشدن یک سایت:

گاهی اوقات ممکن است یک سایت، از یک سرور به سرور دیگری منتقل شود و در نتیجه IP آن سایت تغییر کند. اما چون شما قبلاً آن سایت را مشاهده کرده‌اید و IP قبلی در کش سیستم شما وجود دارد، هنوز به سرور قبلی منتقل می‌شوید! بنابراین، گاهی لازم می‌شود که این لیست را پاک کنید تا سیستم شما مجبور شود دوباره از اول سایت‌ها و آی.پی آن‌ها را به دست آورد. (در مورد پاک کردن این لیست، ذره‌ای جای نگرانی نیست)

پاک کردن کش Local DNS Server

اگر می‌خواهید این لیست پاک شود، در همان پنجره cmd دستور زیر را تایپ کنید:

ipconfig /flushdns

اگر دوباره دستور اولی را تایپ کنید، خواهید دید که دیگر هیچ آدرسی وجود ندارد! اما اگر یک سایت را باز کنید، می‌بینید این لیست دارد کم‌کم پر می‌شود.

فایل hosts

در تمام سیستم عامل‌ها، فایلی به نام hosts وجود دارد که یک نوع DNS Server شخصی است!

در این فایل، می‌توانید بگویید هر وقت من مثلاً دامنه www.yahoo.com را وارد کردم، به آی.پی 2.2.2.2 برو!

پیش از اینکه سیستم شما به DNS Serverهای عمومی (مثل گوگل) برود، ابتدا این فایل را بررسی می‌کند. اگر دامنه و آی.پی خاصی در این فایل بود، دیگر سراغ بقیه DNS Serverها نمی‌رود.

فکر می‌کنم ترفند ما لو رفت!؟

ما برای بستن یک سایت، می‌توانیم در آن فایل، یک دامنه را به یک آی.پی چرت و پرت منتقل کنیم!! همین!

چگونه فایل hosts را ویرایش کنم؟

مراحل زیر را به دقت طی کنید:

1- اولاً آنتی‌ویروس شما باید غیرفعال شود. چون فکر می‌کند یک ویروس می‌خواهد این کار را انجام دهد و اجازه ویرایش این فایل را نمی‌دهد!

2- در منوی Start تایپ کنید notepad

3- روی NotePad کلیک راست کنید و Run as Administrator را انتخاب کنید.

4- از منوی File گزینه Open را انتخاب کنید.

5- در ویندوز، به مسیر زیر بروید:

C:\Windows\System32\drivers\etc

6- از پایین پنجره Text Documents را به All Files تغییر دهید.

7- فایل hosts را آن‌جا خواهید دید. آن را انتخاب و Open کنید.

8- مایکروسافت یک مثال برای شما زده است. برای اینکه یک سایت را ببندید، مثل شماره 1 در تصویر زیر، به این صورت آی.پی و دامنه را بنویسید:

1.1.1.1 www.yahoo.com

توجه: در این حالت، دامنه yahoo.com با www.yahoo.com متفاوت هستند. پس اگر کاربر بنویسد yahoo.com، سایت باز می‌شود. بنابراین، شما این خط را هم اضافه کنید:

1.1.1.1 yahoo.com

به جای 1.1.1.1 هر آی.پی نامعتبر دیگری می‌توانید بنویسید!

9- بعد از نوشتن این خط‌ها، فایل را ذخیره کنید.

10- دستور ipconfig /flushdns را اجرا کنید تا کش سیستم شما پاک شود.

11- اقدام به باز کردن سایت yahoo.com کنید. خواهید دید که این سایت دیگر باز نخواهد شد.

چگونه برای اعضای شبکه سایت را ببندیم؟

بلاشک در شبکه‌های مهم‌تر، به این نتیجه خواهید رسید که از ISA Server استفاده کنید (آموزش بن کردن سایت اط طریق ISA Server). اما اگر فرضاً شبکه شما Workgroup است، اگر می‌دانید افراد شبکه دانش فنی ندارند، می‌توانید فایل hosts خود را روی سیستم همه در همان مسیر کپی کنید تا این سایت‌ها برای آن‌ها نیز باز نشود. (که البته ممکن است زمان‌بر باشد)

راه دیگری؟

اکثر مودم‌ها امکاناتی مثل Mac Address Filtering دارند که می‌توانید بگویید فلان کامپیوتر شبکه حق ندارد به اینترنت وصل شود، اما اینکه سایت خاصی باز نشود، هر مودمی این امکان را ندارد. بعضی مودم‌ها در تنظیمات خود، امکان Filtering قوی‌تری دارند. بررسی کنید که آیا مودم شما Web address Filtering یا چیزی شبیه به این دارد یا خیر؟

موفق باشید؛

وقتی یک سایت باز نمی‌شود باید چه کار کنم؟

در این مطلب تمام مشکلات احتمالی برای باز نشدن یک سایت از جمله سامانه شهاب بررسی می شود.

گام اول: اطمینان از اینکه مشکل از طرف سایت است یا از طرف من؟

اولین کاری که باید انجام دهید، این است که آدرس سایت مورد نظرتان را در سایت زیر وارد نمایید:

http://isup.me

این سایت که مال شرکت گوگل است، بررسی می‌کند که آیا روی سرور آن‌ها این سایت باز می‌شود یا خیر؟ اگر نوشت It's just you یعنی «فقط شما هستید که نمی‌توانید سایت را ببینید» پس سایت، مشکلی ندارد و مشکل از طرف شماست اما اگر نوشت «It's not just you» یعنی «فقط شما نیستید که سایت را نمی‌بینید...» پس مشکل از طرف سرور سایت است.

اگر مشکل از طرف سرور سایت بود، طبیعتاً هیچ راهی جز این ندارید که صبر کنید تا مشکل از طرف مدیران سایت برطرف شود. ما در این حالت صحبتی نداریم...

اگر مشکل از طرف من بود، چه کار کنم؟

گام دوم: DNS Cache را پاک کنید:

یکی از دلایلی که ممکن است باعث شود یک سایت باز نشود، این است که سرور یک سایت عوض شده و شما هنوز به سرور قبلی هدایت می‌شوید. مثلاً صاحب دامنه، امروز از یک هاستینگ دیگر هاست خریده و دامنه‌اش را به سرور هاستینگ جدید هدایت می‌کند ولی شما به خاطر کش (Cache) سیستم خود به سرور قبلی هدایت می‌شوید.

کمی توضیح فنی:

DNS Servers چیست؟

اگر اینترنت ADSL داشته باشید، احتمالاً با این پنجره برخورد داشته‌اید:

به طور خلاصه، در بخش بالای این پنجره، IP Address را می‌بینید. یعنی چیزی شبیه به کد پستی منزل شما اما این کد برای کامپیوتر شماست تا در شبکه بتوان به آن پکت (Packet=داده) ارسال و دریافت کرد.Subnet Mask یک ماسک است که مشخص می‌کند شما در کدام شبکه از شبکه‌های اطرافتان هستید (مثلاً ممکن است در یک مؤسسه، سه شبکه وجود داشته باشد که همه به یک سوئیچ متصل‌اند. باید مشخص شود که شما جزء کدام شبکه هستید. کامپیوتر از روی این ماسک می‌فهمد که شبکه شما چیست. مثلاً من در شبکه 192.168.0 فعالیت می‌کنم و کد خاص من در آن شبکه، 1 است) Default Gateway هم یعنی درگاه خروج شما از شبکه فعلی‌تان به شبکه دیگر. که اینجا من آی.پی مودم ADSL را نوشته‌ام چون درگاه خروج من از شبکه خانه به شبکه اینترنت، مودم ای.دی.اس.ال من است.

اما چیزی که ممکن است کمتر کسی بداند، این است که Preferred DNS server و Alternate DNS server چیست؟

ببینید، در سال‌های اولیه وب، هر وقت شما می‌خواستید بروید اطلاعات روی کامپیوتر شرکتی به نام گوگل را ببینید، باید آی.پی آن کامپیوتر را وارد می‌کردید. الان هم همینطور است. یعنی اگر شما آی.پی کامپیوتر گوگل را بدانید، می‌توانید آن سایت را باز کنید. مثلاً آی.پی گوگل این است:http://173.194.35.4اگر روی این لینک کلیک کنید، خواهید دید که سایت گوگل باز شد!

بعدها متوجه شدند که حفظ کردن این اعداد برای انسان‌ها سخت است. فرض کنید من به شما بگویم اگر رفتید خانه، برای دیدن سایت گوگل این عدد را وارد کنید: 173.194.35.4
بررسی‌ها نشان داد که به طرز معجزه‌آسایی، انسان‌ها کاراکترها را راحت‌تر از اعداد به خاطر می‌سپرند. (این یکی از چیزهای عجیب است که چرا انسان‌ها حروف الفبا را بهتر از اعداد به یاد می‌آورند؟)
به هر حال، همین موضوع باعثِ به وجود آمدن DNS مخفف Domain Name System شد.

یعنی گفتند ما می‌آییم به کاربران می‌گوییم: لازم نیست 173.194.35.4 را به خاطر بسپرید در عوض، یک سری کاراکتر به صورت google.com را حفظ و استفاده کنید.

اما یک مشکل وجود داشت و آن اینکه با توجه به اینکه تمام شبکه‌ها با IP کار می‌کنند، وقتی کاربر وارد می‌کند google.com ما چطور او را به 173.194.35.4 هدایت کنیم؟

گفتند ما می‌آییم یک سری کامپیوتر قوی به نام Public DNS Servers در اواسط اینترنت قرار می‌دهیم که روی آن‌ها یک نرم افزار و پایگاه داده‌ی ساده قرار دارد. مثلاً اینطور نوشته شده:

IP	Domain Name
173.194.35.4	google.com
98.138.253.109	yahoo.com
131.253.33.200	bing.com
...	...
5.9.85.124	aftab.cc

 یعنی تمام دامنه‌ها (سایت‌ها)ی دنیا و آی.پی سروری که روی آن قرار دارند را آنجا نگه می‌داریم. مثلاً شرکت گوگل، یکی از این Public DNS Serverها راه اندازی کرده که آدرس آن 8.8.8.8 است (به انتخاب زیبای گوگل دقت کنید: کلمه گوگل یعنی یک عدد بزرگ=تقریباً بی‌نهایت! حالا 8 را بخوابایند! بی‌نهایت می‌بینید) شرکت Sun هم یکی دارد که 4.2.2.4 است.

حالا به کاربران می‌گوییم شما لطفاً در بخش Preferred DNS Server کارت شبکه خود، آدرس یکی از این مراکز را وارد کنید تا هر وقت در مرورگر خود زدید مثلاً google.com، سیستم، ابتدا شما را به آن Public DNS Server بفرستد و از روی آن سیستم‌ها، آی.پی آن سایت به دست آید و به سیستم شما برگردد، حالا از طریق این آی.پی به سرور آن سایت هدایت می‌شوید...
متوجه شدید؟ مثلاً aftab.cc را به 8.8.8.8 می‌دهیم، به بانک خود نگاه می‌کند و آی.پی 5.9.85.124 به دست می‌آید. آن‌را به شما می‌دهد و شما به 5.9.85.124 می‌روید و سایت را می‌بینید. (توجه: ممکن است شما الان 5.9.85.124 را در مرورگر وارد کنید و بگویید سایت آفتابگردان باز نشد! بله، چون روی سرور ما ممکن است ده‌ها سایت به جز آفتابگردان باشد به این سرورها سرورهای اشتراکی می‌گویند. اگر فقط یک سایت یعنی یک دامنه روی آن سرور می‌بود، با آی.پی قابل دسترسی بود. برای دیدن سایت آفتابگردان و سایت‌های اشتراکی دیگر به این صورت وارد آن آی.پی شوید: http://5.9.85.124/~aftabgar )

-> نکته مهم اول: اگر شما Preferred DNS Server را حذف کنید، خواهید دید که دیگر هیچ سایتی با دامنه‌اش باز نمی‌شود! دقت کنید که اینرتنت قطع نیست. شما در اینترنت هستید اما نمی‌توانید هیچ دامنه‌ای را در اصطلاح Resolve کنید. مثلاً گوگل با آی.پی باز می‌شود: http://173.194.35.4 اما با دامنه خیر. چون شما نگفته‌اید سیستم برای اینکه بفهمد آی.پی google.com چیست باید به کجا برود.

-> نکته مهم دوم: برخی Public DNS Serverها خیلی آپدیت نیستند برخی هم به طور مثال به خاطر تحریم‌های ایران، آی.پی و دامنه سایت‌های دولتی را روی خود نگه نمی‌دارند. مثلاً من چند سال پیش می‌خواستم برای کنکور ثبت نام کنم، تا آخرین روز می‌زدم sanjesh.org و سایت باز نمی‌شد. فکر می‌کردم سایت به خاطر شلوغ بودن سرور Down است. گفتم خوب، تمدید می‌کنند! تا آخرین لحظات نه سایت باز شد و نه تمدید کردند. نهایتاً با اینترنت Dial-up متصل شدم (در این حالت تنظیمات DNS شما را ISP شما برایتان در نظر می‌گیرد) دیدم سنجش باز شد!! شک کردم به 4.2.2.4 که از شرکت سان است و این شرکت به شدت با ایران لج است!!! عوض کردم، دیدم سایت باز شد!!

پس اگر سایتی باز نشد، به DNS Server شک کنید.

Alternate DNS Server چیست؟

خوب، کلمه Alternate یعنی جایگزین. اگر در DNS Server اول، آن دامنه پیدا نشد، به سراغ دومی می‌رود...

توجه: با کلیک روی Advanced و رفتن به تب DNS می‌توانید بی‌نهایت DNS Server وارد کنید که اگر در یکی نبود، دومی باز شود.

Public DNS Serverها همین دو تا هستند؟

خیر، کافی‌ست در گوگل جستجو کنید Public DNS Servers تا لیستی از سرورهای عمومی پیدا شود. مثلاً این لیست را ببینید. هر کدام را خواستید وارد کنید. به نظر من از 8.8.8.8 استفاده نکنید چون از بس مردم دنیا این را وارد کرده‌اند، Response Time آن پایین آمده.

DNS Cache چیست؟

خوب، حالا که فهمیدید روال باز شدن یک سایت چیست، باید عرض کنم که وقتی یک سایت را باز کردید، سیستم شما برای اینکه دائم به آن DNS Serverها مراجعه نکند، آن دامنه و آی.پی‌ای که به دست آورده را یک جا روی سیستم شما ذخیره می‌کند چون طبیعتاً خیلی بعید است به این زودی‌ها آی.پی یک دامنه یعنی سرور آن عوض شود. (ایده بسیار هوشمندانه‌ای است)

یعنی وقتی یک بار به 8.8.8.8 مراجعه کردید و فهمیدید که aftab.cc برابر است با 5.9.85.124، سیستم شما آن‌را یک جا ذخیره می‌کند که حداقل از چند دقیقه تا چند روز آینده لازم نباشد مجدداً به 8.8.8.8 مراجعه کند. (مدت ذخیره شدن یک DNS Record در حافظه سیستم شما دست سرور آن سایت است. کسانی که دوره MCITP را گذرانده‌اند می‌دانند که به این، در اصطلاح TTL با Time To Live گفته می‌شود. که البته با آن TTL که در دستور ping می‌بینید متفاوت است)

برای مشاهده DNS Cache چه کار کنم؟

خیلی ساده، روال زیر را طی کنید:
- کلیدهای Win+R را بزنید تا پنجره Run باز شود. (کلید پنجره+R)
- تایپ کنید cmd و OK کنید.
- در پنجره‌ای که باز می‌شود، تایپ کنید: ipconfig /displaydns و Enter را بفشارید.

چگونه DNS Cache را پاک کنم؟

به جای دستور بالا در cmd تایپ کنید ipconfig /flushdns ، تا تمام رکوردهایی که در حافظه سیستم شماست حذف شود. طبیعتاً جای نگرانی نیست، چون دوباره به DNS Server مراجعه می‌کند و آی.پی جدید سایت‌ها را به دست می‌آورد.

گام سوم: اگر سایتتان تازه راه اندازی شده، کمی صبر کنید!

اگر شما مدیر سایت هستید و تازه آن سایت را راه اندازی کرده‌اید، باید کمی صبور باشید. از ۴ ساعت تا ۴۸ ساعت طول می‌کشد تا یک دامنه در تمام DNS Serverهای دنیا ثبت شود و از آن مهم‌تر، روترهای دنیا جداول خود را آپدیت کنند تا دامنه به محل سرور هدایت شود. چند سال پیش تا ۴۸ ساعت طول می‌کشید اما این روزها خیلی سریع‌تر این اتفاق می‌افتد.

من یادم هست که گاهی که سرور سایت را تغییر می‌دادیم (مثلاً از آمریکا به آلمان کوچ می‌کردیم) خیلی از کاربران تا دو روز به ما ایمیل می‌زدند که: سایتتان اصلاً آپدیت نمی‌شود! خبر نداشتند که آن‌ها دارند به سرور قبلی هدایت می‌شوند و ما از آنجا کوچ کرده‌ایم!

گام چهارم: خودتان، خودتان را Route (مسیردهی) کنید!

گاهی اوقات کاری‌ش نمی‌شود کرد! به هر دلیلی یک سایت روی سیستم شما باز نمی‌شود. خوب، مشکلی نیست. ابتدا مقاله زیر را مطالعه کنید تا با فایل hosts آشنا شوید:

چگونه یک سایت را روی سیستم خودمان یا برای سیستم‌های شبکه ببندیم؟

ابتدا در سایت http://get-site-ip.com/ دامنه سایت مورد نظرتان را وارد کنید (مثلاً testa.cc) سپس آی.پی‌ای که به شما می‌دهد را در فایل hosts درج کنید و مقابل آن، دامنه یا زیردامنه‌ای که باز نمی‌شود را تایپ کنید.

مثلاً فرض کنید help.testa.cc برای شما باز نمی‌شود. خوب، به طور کلی مراحل زیر را طی کنید:
- ابتدا در سایت http://get-site-ip.com/ وارد کنید testa.cc و آی.پی را به دست آورید. (مثلاً فعلاً 176.9.92.88 را به شما می‌دهد)
- روی NotePad کلیک راست کنید و Run as Administrator را انتخاب کنید.
- از منوی File گزینه Open را انتخاب کنید و به مسیر زیر بروید: C: Windows System32 Drivers etc و از پایین پنجره، گزینه All files را انتخاب کنید تا همه فایل‌ها نمایش داده شود.
- فایل hosts را انتخاب کنید تا باز شود.
- در آخرین خط، تایپ کنید:

176.9.92.88 help.tests.cc

همین! حالا قطعاً باید آن سایت باز شود.

- گام پنجم: ممکن است سرور آن سایت، شما را بلوکه کرده باشد!

خیلی پیش می‌آید که به دلایل مختلف، فایروال یک سرور، آی.پی خط اینترنت شما را بلوکه می‌کند. مثلاً اگر شما و یا حتی یک نفر دیگر در همان ISP که شما اینترنت گرفته‌اید، به بخش مدیریت یک سایت نفوذ کند و پنج بار رمز عبور را اشتباه بزند، تا ۲۴ ساعت آی.پی او بلوکه می‌شود! یا اگر بیش از حد یک سایت را مشاهده کند، ممکن است احتمال حملات DOS داده شود و آن آی.پی بلوکه شود و چندین و چند دلیل دیگر...

راه حل:
- می‌توانید از یک خط اینترنت از یک ISP دیگر به آن سایت وارد شوید. (مثلاً موقتاً با Dial-up وارد شوید)
- می‌توانید از یک VPN یا نرم افزارهای تغییر IP استفاده کنید.
- می‌توانید آی.پی سیستم خود را به پشتیبان آن سایت بفرستید تا بررسی کنند و آی.پی را آزاد کنند.
- یک بار مودم خود را خاموش و سپس روشن کنید. چون آی.پی شما هر بار که به اینترنت وصل می‌شوید، معمولاً تغییر می‌کند، این احتمال وجود دارد که سایت باز شود.

- گام ششم: نکات باقیمانده را بررسی کنید:

- اگر در یک شرکت هستید و از شبکه شرکت استفاده می‌کنید، ممکن است مدیر شبکه برخی سایت‌ها را برای شرکت بسته باشد.
- ممکن است سایت مورد نظرتان از پروتکل https استفاده می‌کند و مرورگر شما یک صفحه هشدار قبل از ورود به سایت نمایش می‌دهد (به ابتدای آدرس صفحه دقت کنید. آیا نوشته https ؟) در این صورت روی دکمه‌هایی شبیه به آنچه در ادامه متن آمده کلیک کنید.
- ممکن است آنتی‌ویروس یا Internet Security شما به هر دلیلی اجازه ورود به آن سایت را ندهد. پس موقتاً آن‌را غیرفعال کنید یا روی یک سیستم دیگر تست کنید.
- موقتاً با خط Dial-up تست کنید که آن سایت باز می‌شود یا خیر؟
- اگر از فیلـتر شکن یا VPN استفاده می‌کنید، آن‌را غیرفعال کنید و تست کنید.

 ------------------

اگر همه این راه‌ها را تست کردید و همچنان می‌دانید که مشکل از طرف شماست، در بخش نظرات، در مورد شرایط سیستم خود توضیح دهید تا اگر توانستیم راهنمایی کنیم.

دوستان دیگر هم اگر در این مواقع، راه حل دیگری سراغ دارند که انجام می‌دهند، در بخش نظرات بیان کنند.

اگر سایت مد نظر شما از پروتکل https استفاده کند، قبل از ورود به سایت ممکن است چنین پیغام‌هایی را مشاهده کنید که باید طبق تصویر عمل کنید:

در مرورگر اینترنت اکسپلورر:

در مرورگر فایرفاکس

در مرورگر Google Chrome

VPN SITE TO SITE چیست؟

VPN یا شبکه مجازی اختصاصی (Virual Private Network) ابزار برقراری ارتباط در شبکه‌ است. از زمان گسترش دنیای شبکه‌های کامپیوتری، سازمان‌ها و شرکت‌ها به دنبال یک شبکه ایمن و سریع گشته‌اند. تا مدتی قبل شرکت‌ها و سازمان‌هایی که اطلاعات زیادی برای انتقال داشتند از خطوط Leased و شبکه‌های WAN‌ بهره می‌بردند. شبکه‌های ISDN (با سرعت ۱۲۸کیلوبایت بر ثانیه) و OC3 (با ۱۵۵مگابایت بر ثانیه) بخشی از شبکه WAN‌ هستند.

این شبکه‌ها مزیت‌های زیادی نسبت به اینترنت دارند ولی گسترش و نصب آن‌ها بسیار گران‌قیمت و وقت‌گیر است.

افزایش محبوبیت و فراگیری اینترنت بعضی از سازمان‌ها را به استفاده از انترانت کشاند. در این بین استفاده از شبکه‌های مجازی اختصاصی (VPN) مطرح شد.

اصولاً VPN یک شبکه اختصاصی است که از یک شبکه عمومی مانند اینترنت برای ایجاد یک کانال ارتباطی مخصوص بین چندین کاربر و دسترسی به اطلاعات بهره می‌برد.

بهره بردن VPN از شبکه‌های عمومی مسافت را بی‌معنی می‌سازد، امنیت را بالا می‌برد و دردسر‌های استفاده از پروتکل‌های مختلف را کاهش می‌دهد.

مثال خوبی می‌توان برای توضیح VPN مطرح کرد. چند جزیره کوچک و مستقل از هم را در اقیانوسی در نظر بگیرید. در اینجا جزیره‌ها نقش مراکزی را ایفا می‌کنند که ما قصد اتصال آن‌ها به یکدیگر را داریم. اقیانوس هم می‌تواند یک شبکه عمومی مانند اینترنت باشد.

برای رفت و آمد از جزیره‌ای به جزیره‌ دیگر می‌توان از قایق‌های موتوری کوچک استفاده کرد. البته استفاده از این قایق‌ها بسیار وقت‌گیر و البته ناامن است. هر کس از جزیره‌های دیگر می‌تواند رفت و آمد شما را مشاهده کند. از این رو می توان قایق را به استفاده از وب برای ایجاد ارتباط بین دو مرکز تشبیه کرد.

فرض کنید که بین جزیره‌ها پل‌هایی ساخته شده‌است. استفاده از این پل‌ها به مراتب بهتر از روش قبلی است. البته این روش نیز بسیار گران قیمت است و از ایمنی کافی برخوردار نیست. این روش را نیز می‌توان به استفاده از خطوط Leased تشبیه کرد.

حال استفاده از VPN را به صورت یک زیردریایی کوچک و سریع فرض کنید. رفت و آمد با این زیردریایی بسیار سریع و آسان است. از طرفی رفت و آمد شما کاملأ دور از چشمان همه انجام می‌‌شود.

VPDN و SITE-TO-SITE

از انواع VPN می‌توان به Remote Access VPN‌ یا Virtual Private Dial-up Netowrk اشاره کرد. VPDN برای سازمان‌هایی که کاربران زیادی در مکان‌های متعدد دارند، مناسب است. به این ترتیب از یک مرکز برای ایجاد سرور شبکه دسترسی (NAS) استفاده می‌شود. هر کاربر ابزاری برای اتصال به این سرور دریافت می‌کند و به VPN متصل می‌شود.

نوع دیگر Site-to-Site نام دارد. در این روش با استفاده از اینترانت و اکسترانت می‌توان دو سایت مشخص را به هم متصل کرد. این کار برای شرکت‌هایی مناسب است که قصد به اشتراک گذاشتن یک دسته اطلاعات خاص با شرکت دیگری را دارند. در این روش VPN تنها بین دو سایت مشخص شده ایجاد می‌شود.

تونلینگ (TUNNELING)

VPN معمولاً برای ایجاد شبکه اختصاصی از تونلینگ استفاده می‌کند. در این روش یک تونل ارتباطی، بسته دیتایی که در درون یک بسته دیگر قرار گرفته را به مقصد می‌رساند.

تونلینگ از سه پروتکل ارتباطی استفاده می‌کند:

پروتکل حامل (Carrier Protocol): اطلاعات شامل حمل اطلاعات به مقصد

پروتکل کپسوله کردن (Encapsulating Protocol): پروتکلی است که بسته دیتا اصلی درون آن قرار می‌گیرد

پروتکل عابر (Passenger Protocol): پروتکل مربوط به دیتا اصلی

استفاده از تونلینگ ارسال و دریافت هر نوع اطلاعاتی را ممکن می‌سازد. برای مثال می‌توان داده‌ای که پروتکلی غیر از IP‌ (مانند NetBeui) دارد را در درون بسته IP قرار داد و به راحتی به مقصد رساند.

امنیت : فایروال

متخصصان شبکه از ابزار‌های مختلفی برای ایمن ساختن VPN استفاده می‌کنند. استفاده از فایروال تقریباً یکی از مرسوم‌ترین روش‌های ایمن سازی شبکه‌ها است. فایروال می‌تواند پورت‌های مختلف و همچنین نوع بسته‌های دیتا را کنترل و محدود کند.

امنیت: کدگذاری ( ENCRYPTION)

کدگذاری شامل ترجمه اطلاعات به رمز‌هایی خاص و ارسال آن‌ها به یک دستگاه دیگر است به طوری که دستگاه گیرنده هم ابزار ترجمه این رمز خاص را دارا باشد.

در VPN از دو نوع کدگذاری استفاده می‌شود. روش متفارن (Symmetric-key encryption) نوع رمز به کار رفته را همراه با اطلاعات ارسال می‌کند. به این ترتیب کامپیوتر فرستنده اطلاعات را به رمز‌ خاصی ترجمه می‌کند و اطلاعات این رمز را همراه با داده‌ها به کامپیوتر گیرنده ارسال می‌کند. کامپیوتر گیرنده نیز با دریافت داده‌ها و مشاهده اطلاعات کدگذاری، رمز‌ها را ترجمه می‌کند.

روش دیگر از دو کلید برای کدگذاری و بازخوانی رمز‌ها استفاده می‌کند. اطلاعات کدگذاری شده یک کلید عمومی دریافت می‌کنند در حالی که هر کامپیوتر گیرنده باید از قبل کلید مخصوصی را نیز دارا باشد. به این ترتیب برای بازخوانی اطلاعات کدگذاری شده، باید هر دو کلید را در دست داشت.