امکانات شبکه ای ويندوز
سيستم عامل ويندوز، نظير ساير سيستم های عامل شبکه ای امکانات و پتانسيل های گسترده ای را در چارچوب مجموعه ای از تکنولوژی ، ارائه می نمايد. تکنولوژی های ارائه شده را می توان در سه گروه عمده تقسيم نمود : تکنولوژی های ارتباط ، سرويس های شبکه و امنيت . در اين مقاله به بررسی هر يک از امکانات ارائه شده در گروه های فوق، خواهيم پرداخت .
ويندوز از پروتکل شبکه ای TCP/IP ، بعنوان پروتکل اوليه و ذاتی خود استفاده می نمايد. ويندوز حمايت لازم در خصوص پروتکل های شبکه قديمی تر نظير Microsoft NWLink که با پروتکل شبکه ای IPX/SPX شرکت ناول ، سازگار است را نيز ارائه می نمايد . مزيت مهم پروتکل TCP/IP ، عدم وابستگی آن نسبت به نوع محيط انتقال است . بدين ترتيب ، امکان استفاده از پروتکل فوق ، در هر نوع شبکه ای وجود خواهد داشت . سرويس دهندگان NET Enterprise . ، بصورت مستمر با پروتکل TCP/IP ، در ارتباط بوده و از آن بعنوان پروتکل اساسی استفاده می نمايند . با توجه به نقش حياتی پروتکل فوق برای اکثر سرويس دهندگان NET Enterprise . ، طراحی ، پياده سازی و نگهداری شبکه ای که از سرويس دهندگان NET Enterprise . ، استفاده می نمايد ، مستلزم شناخت مناسبی از نحوه عملکرد پروتکل TCP/IP و نحوه ارتباط برنامه ها با آن است. دراين مقاله قصد نداريم به جزئيات مربوط به پروتکل TCP/IP پرداخته و هدف صرفا" آشنائی با مفاهيم اوليه پروتکل فوق ، بمنظور استفاده در شبکه های مبتنی بر سيستم عامل ويندوز است .
مدل آدرس دهی جديد IP ، با نام IPv6 ، است و قرار است به نياز تصاعدی ( فزاينده ) در رابطه با تعداد آدرس های در دسترس و عمومی پاسخگو باشد. سخت افزار ها و نرم افزارها ی موجود در حال حاضر امکانات حمايتی لازم بمنظور استفاده ازIPv6 را دارا نمی باشند و بدين دليل ما همچنان از مدل آدرس دهی قديمی استفاده می نمائيم . IPv6 ، چندين سال است که مطرح گرديده است ولی عمليات آداپته نمودن آن دارای آهنگی کند است و نبايد انتظار داشته باشيم که مدل آدرس دهی فوق را بزودی در محيط خود شاهد باشيم.
با اينکه کامپيوترهائی که از آدرس خصوصی IP استفاده می نمايند ، قادر به دستيابی مستقيم به اينترنت نمی باشند ( برای دستيابی به اينترنت ، می بايست ازيک آدرس عمومی IP استفاده گردد) . از NAT)Network Address Translation) بعنوان پتانسيلی که قادر به ترجمه آدرس های عمومی و خصوصی است ، استفاده می گردد. NAT ، امکان استفاده از آدرس های IP خصوصی بمنظور اتصال به اينترنت را برای کاربران يک سازمان، فراهم و باعث کاهش تعداد آدرس های IP عمومی مورد نياز بمنظور ارتباط ودستيابی به اينترنت می گردد . سرويس ( Routing and Remote Access Service(RRAS ويندوز دارای قابليت ها و پتانسيل های NAT بهمراه ساير پتانسيل های کليدی ديگر است.
روتينگ ، توسط دستگاههای سخت افزاری خاصی با نام "روتر" ، مديريت و اداره می گردد . روترها ، چندين شبکه را در زمان يکسانی بيکديگر متصل و مسئول انتقال اطلاعات ( داده ) بين شبکه ها می باشند. عملکرد روترها بر اين واقعيت مسلم استواراست که در فرآيند انتقال اطلاعات توسط TCP/IP ، آدرس IP کامپيوتر مقصد، حضوری کاملا" محسوس و هميشگی دارد. آدرس های IP شامل مشخصه شبکه ( Network ID ) و مشخصه ميزبان ( Host ID ) می باشند. با تامل در يک آدرس IP عمومی نظير IP: 10.1.4.250 ، تشخيص مشخصه شبکه و ميزبان ، امری مشکل بنظر می آيد. بمنظور مشخص نمودن مشخصه های فوق ، کامپيوترها از Subnet mask استفاده می نمايند. بمنظور شناخت مناسب نسبت به نقش Sunet mask ، لازم است بدين نکته بديهی! اشاره گردد که تمام فعاليـت ها در کامپيوتر با فرمت باينری ، انجام می شود. بعبارت ديگر، هر چيز در کامپيوتر بصورت مجموعه ای از صفر و يک نمايش داده می شود . فرص کنيد Subnet mask ، مثال فوق را Subnet: 255.255.0.0 ، در نظر بگيريم . در صورتيکه هر octet درآدرس IP و Subnet mask را به باينری تبديل نمائيم ، نتايج زير را خواهيم داشت :
11110111.00111100.11100011.00000000
زمانيکه ويندوز نيازمند ارسال اطلاعات است ، از مشخصه شبکه مقصد، استفاده و آن را با مشخصه شبکه مربوط به خود ، مقايسه می نمايد. در صورتيکه دو مشخصه شبکه ، يکسان باشند، ويندوز اطلاعات را برای يک کامپيوتر محلی موجود بر روی شبکه ارسال می نمايد( ضرورتی به روتينگ وجود نخواهد بود) . در صورتيکه مشخصه های دو شبکه يکسان نباشند ، ويندوز اطلاعات رابرای gateway پيش فرض ، ارسال می نمايد. ( يک آدرس IP خاص که در ويندوز پيکربندی شده است) . gateway پيش فرض، معمولا" يک روتر است . روتر مسئوليت استقرار داده بر روی شبکه مورد نظر را بر عهده داشته و در صورت لزوم بسته اطلاعاتی را برای روتر ديگر ارسال خواهد کرد .
پاسخ به سوال فوق ، شماره پورت ( port ) است . پورت ، مشابه يک آدرس IP برای يک برنامه خاص موجود بر روی کامپيوتر است . زمانيکه کامپيوتر شما داده ئی را ارسال می نمايد ، داده برای يک آدرس IP ارسال می گرددکه نشاندهنده شبکه و ميزبان مقصد مورد نظر ، بهمراه يک شماره پورت خاص است که برنامه خاصی را بر روی کامپيوتر مقصد ، بعنوان مقصد نهائی اطلاعات مشخص خواهد کرد. مثلا" درخواست های مربوط به صفحات وب ، همواره برای پورت 80 ارسال خواهد شد . IANA ، مسئوليت اختصاص شماره پورت به برنامه ها را نيز برعهده داشته و اين اطمينان بوجود خواهد آمد که اکثر برنامه های متداول دارای يک شماره پورت منحصر بفرد در اين راستا خواهند بود . زمانيکه يک کامپيوتر مبتنی برسيستم عامل ويندوز، داده ئی را دريافت می نمايد ، شماره پورت آن بررسی تا مشخص گردد که کدام برنامه می بايست داده را دريافت نمايد.
پورت ها دارای نقشی مهم در رابطه با امنيت می باشند. تعداد زيادی از شرکت ها ، امکان استفاده عموم از وب سايت و يا سرويس دهنده FTP را بمنظور دريافت فايل ، فراهم می نمايند. شرکت ها و موسسات تمايلی به فراهم نمودن امکان دستيابی عموم به سرويس دهندگان فايل ، سرويس دهندگان چاپ و ساير منابع موجود درشبکه اختصاصی خود ، را ندارند.هر يک ازعمليات فوق ، از طريق يک شماره پورت خاص انجام شده و می توان بنوعی آنها را بلاک نمود. پورت ها دارای جايگاهی خاص بمنظور فيلترينگ ترافيک و ايمن سازی شبکه می باشند. دستگاه های شبکه ای که "فايروال " ناميده شده و يا نرم افزارهای فايروال نظير ISA(Internet Security and Acceleration Server) ، قادر به کنترل ترافيک ورودی به شبکه بر روی شماره پورت های خاصی بوده و حتی می توان ترافيک را بر روی پورت های خاصی ، بلاک کرد .
IANA، شماره پورت های صفر تا 1024 را تعريف که از آنان با نام پورت های " خوش نام " ، ياد می گردد. ويندوز شامل ليستی از اين پورت ها بوده که در يک فايل متنی با نام Services و در آدرس system32\Drivers\ETC ، ذخيره شده اند.
سرويس Name Resolution
سرويس Name Resolution ، در هر نوع شبکه دارای اهميت و جايگاهی خاص است. کامپيوترها برای آدرس دهی يکديگر علاقه مند به استفاده از آدرس های IP می باشند ولی ما ، با اسامی معنی دار بهتر کار می کنيم ( مثلا" ServerA ) . سرويس name Resolution ، اين امکان را در اختيار کاربران قرار خواهد داد که همچنان از اسامی معنی دار برای سرويس دهندگان و ساير منابع شبکه استفاده نمايند. در چنين مواردی می بايست از امکاناتی بمنظور ترجمه (Resolve ) اسامی به آدرس های IP استفاده تا در ادامه زمينه ارتباطات در شبکه فراهم گردد . ويندوز در اين رابطه دو سرويس را ارائه نموده است :
DNS)Domain Name System) و WINS)Windows Internet Naming Service) .
تفاوت بين DNS و WINS چيست ؟ WINS ، بمنظور ترجمه اسامی کامپيوترها به آدرس های IP ، استفاده می گردد.اسامی استفاده شده ، نوع خاصی از نام های مبتنی بر ويندوز می باشند. DNS ، بمراتب متداول تر بوده و از آن بمنظور ترجمه اسامی ميزبان استفاده می شود . در محيط ويندوز ، تفاوت زيادی بين دو نوع نام ( اسامی خاص مبتنی بر ويندوز و اسامی ميزبان ) وجود نداشته و هر دو نوع ، معادل می باشند. از نسخه ويندوز 2000 به بعد ، تاکيد مضاعف بر استفاده از DNS در دستور کار قرار گرفته و ماکروسافت ، استفاده محدود و کم رنگ WINS در ويندوز را بعنوان يک سياست محوری در ويندوز دنبال می نمايد.
بمنظور پيکربندی IP هريک از کامپيوترهای موجود درشبکه ، می بايست آدرس IP و حداقل يک سرويس دهنده DNS را مشخص کرد. در اين رابطه نمی توان از نام سرويس دهنده DNS در مقابل آدرس IP ، استفاده نمود.(روشی بمنظور ترجمه اسامی به آدرس IP بدون يک سرويس دهنده DNS وجود ندارد). پس از پيکربندی آدرس IP سرويس دهنده DNS ، ويندوز 2000 و نسخه های بعد از آن ، قادر به استفاده از سرويس دهنده DNS بمنظورترجمه نام به آدرس IP معادل ، خواهند بود.
سيستم DNS اينترنت ، بصورت سلسله مراتبی است . در بالاترين سطح ، domain های سطح بالا و يا TLDs)Top-level Domains) ، قرار دارند. استفاده کنندگان متعددی از سرويس دهندگان DNS مربوط به TLD اينترنت استفاده می نمايند . اين سرويس دهندگان شامل مرجع کاملی در ارتباط با ساير سرويس دهندگان در ساختار سلسله مراتبی، می باشند. فرض کنيد که شما قصد ارتباط با http://www.test.com را داشته باشيد و سرويس دهنده DNS سازمان شما ، دارای يک entry برای http://www.test.com نمی باشد . در اين حالت با يک سرويس دهنده DNS تائيد شده ديگر درTLD ، ارتباط برقرار می گردد.سرويس دهده TLD ، از آدرس سرويس دهنده معتبری که شامل آدرس Test.com ، آگاهی داشته و سرويس دهنده قادر به ارائه يک آدرس برای کامپيوتری با نام http://www ، خواهد بود . فرآيند فوق ، دارای انعطاف و کارآئی بالا در رابطه با يافتن آدرس IP مربوط به domain name ، است .
ويندوز از يک ويژگی خاص DNS با نام Dynamic DNS)DDNS) ، استفاده می نمايد. زمانيکه يک کامپيوتر مبتنی برويندوز 2000 ( و يا نسخه های بعد از آن ) فعاليت خود را آغاز می نمايد ، با سرويس دهنده DNS مربوطه ، مرتبط و نام کامپيوتر و آدرس IP موجود خود را در اختيار آن قرار خواهد داد .سرويس دهنده DNS ، بانک اطلاعاتی خود را بهنگام تا متاثر ازآخرين تغييرات گردد. DDNS ، امکان بهنگام سازی پويای سرويس دهنده DNS را برای کامپيوترها فراهم می نمايد. بدين ترتيب ، بانک اطلاعاتی DNS شامل آخرين اطلاعات مرتبط با آدرس های IP شده و سرويس دهنده DNS ، قادر به ارائه سرويس خود بصورت پويا و متاثر از آخرين تغييرات انجام شده در شبکه ، خواهد بود .
بمنظور کاهش حجم عمليات مربوط به name resolution در يک محيط عملياتی بزرگ ، می توان از يک سرويس دهنده ثانويه و يا سرويس دهندگان Caching ، استفاده کرد. سرويس دهنده ثانويه ، دارای بانک اطلاعاتی اختصاصی خود نبوده و از بانک اطلاعاتی DNS موجود بر روی يک سرويس دهنده DNS اوليه ، استفاده می نمايد. سرويس دهندگان ثانويه ، گزينه ای مناسب برای ارائه خدمات مربوط به name resolution بوده ولی قادر به بهنگام سازی پويای DNS نخواهند بود. ( برخی از انواع سرويس دهندگان ثانويه قادر به دريافت اطلاعات بهنگام شده و ارسال آنان برای سرويس دهنده اوليه ، می باشند ) . سرويس دهندگان Caching DNS ، زمانيکه يک درخواست name resolution را دريافت می نمايند ، با يک سرويس دهده DNS بمنظور اتمام عمليات خود ، ارتباط برقرار خواهد کرد. سرويس دهنده Caching ، درادامه آدرس IP را استفاده و آن را بمنظور پاسخ به درخواستی مشابه ، ذخيره می نمايد.
نرم افزار سرويس دهنده DNS ويندوز، امکان ذخيره داده های DNS را در يک فايل متن و يا در اکتيو دايرکتوری ، فراهم می نمايد. با انتخاب اکتيو دايرکتوری ، دارای گزينه ای مبنی بر نصب DNS بر روی هر domain controller خواهيم بود. در چنين مواردی در صورت بروز اشکال دراکتيو دايرکتوری ، امکان بازيابی سريع اطلاعات وجود خواهد داشت ( می توان DNS را بر روی يک domain controller ديگر نصب تا زمينه استفاده از اطلاعات DNS موجود در اکتيو دايرکتوری ، فراهم گردد.) .
ويندوز 2000 و نسخه های بعد از آن ، همچنان از اسامی NetBIOS بمنظور سازگاری با نسخه های قبل از خود استفاده می نمايند . در ويندوز 2000 و ويندوز دات نت ، سرويس دهنده WINS ، نيز ارائه گرديده تا زمينه حمايت و سازگاری برای سرويس گيرندگان قديمی که همچنان مرتبط با WINS ، می باشند ، فراهم گردد. ماکروسافت بتدريج استفاده از NetBIOS را حذف و از DNS برای ترجمه نام به آدرس ، در مقابل سرويس WINS استفاده می نمايد.
يکی از ويژگی های منحصربفرد سرويس WINS ، قابليت تکرارپذيری( Replicate ) آن بين سرويس دهندگان متعدد WINS در يک شبکه است .بدين ترتيب ، می توان از چندين سرويس دهنده WINS بر روی شبکه بهمراه يک بانک اطلاعاتی مشترک بين آنها ، استفاده گردد. سرويس دهنده WINS ، قادر به ارتباط با ساير سرويس دهندگان بمنظور مبادله اطلاعات جديد و آدرس های بهنگام شده IP ، خواهد بود.
سرويس روتينگ و دستيابی از راه دور ( RRAS)
ويندوز ، شامل سرويس RRAS)Routing and Remote Access Service) است. سرويس فوق ، اين امکان را برای يک سرويس دهنده ويندوز فراهم می نمايد که بعنوان يک روتر نرم افزاری ، يک سرويس دهنده VPN)Virtual private network) و يک سرويس دهنده Dial-up مطرح گردد. نرم افزار RRAS ، بصورت پيش فرض برروی ويندوز نصب می گردد ولی بمنظور انجام عمليات خاصی ، پيکربندی نشده است. اکثر مديران شبکه از RRAS بعنوان يک سرويس دهنده VPN استفاده و از آن بمنظور ارتباط دو شبکه موجود در ادارات يک سازمان از طريق اتصال اينترنت استفاده می نمايند. مديران شبکه می توانند ، پيکربندی لازم در خصوص استفاده از سرويس RRAS بمنظور دستيابی از طريق تلفن به شبکه را برای پرسنل سازمان خود، فراهم نمايند.
• سيستم فايل NTFS ، پتانسيل های لازم بمنظور اختصاص مجوزهای دستيابی لازم را برای کاربران و يا گروه ها ، فراهم می نمايد .
• ويندوز، پروتکل IPSec را حمايت می نمايد . IPSec ، پروتکلی است که امنيت را در سطح پروتکل های حمل شبکه ، اعمال می نمايد . IPSec می تواند بمنظور رمزنمودن نوع خاصی از ترافيک ، رمزنگاری ترافيک بين کامپيوترهائی خاص و ساير موارد مشابه استفاده گردد. مثلا" اگر سازمانی دارای يک سرويس دهنده فايل حاوی اطلاعات محرمانه است ، می توان IPSec را بر روی سرويس دهنده فوق ، پيکربندی نمود. بدين ترتيب، سرويس دهنده صرفا" ارتباطاتی را از سرويس گيرندگانی می پذيرد که قادر به حمايـت از يک ارتباط رمز شده ، باشند .
• کامپيوترهای مبتنی بر سيستم عامل ويندوز را می توان بمنظور استفاده از رمزهای عبور پيچيده و طولانی در ارتباط با account های مربوط به کاربران ، پيکربندی کرد. تشخيص و حدس چنين رمزهای عبوری ، کار مشکلی خواهد بود. با استفاده از ساير سياست های امنييتی رمز عبور، می توان کاربران را ملزم به تغيير رمز عبور در محدوده های زمانی مشخص ، استفاده از رمز عبور منحصر بفرد و متفاوت با دفعات قبل و قفل نمودن يک account در موارديکه افرادی قصد تشخيص آن را بصورت سعی و خطاء دارند ، نمود.
• کامپيوترهای ويندوز 2000 و بعد از آن ، بصورت ذاتی از پروتکل تائيد Kerberos ، استفاده می نمايند. بدين ترتيب سرويس دهنده تضمين لازم در خصوص شناسائی و تائيد کاربر را انجام و کاربران نيز اطمينان لازم در خصوص ارتباط با يک سرويس دهنده مطمئن را بدست خواهند آورد.
• ويندوز دارای يک API)Appliaction Programming Interface) لازم، بمنظور رمزنگاری داده ها با نام CryptoAPI است . اينترفيس فوق ، تسهيلات لازم در خصوص ايجاد نرم افزارهائی که نيازمند استفاده از روش های رمزنگاری بمنظور حفاظت از اطلاعات می باشند را فراهم می نمايد.
• سيستم فايل NTFS ، امکانات حمايتی لازم در خصوص Encrypted File System)EFS) را ارائه می نمايد . بدين ترتيب ، کاربران قادر به رمز نمودن فايل ها بوده و در ادامه می توانند براحتی به فايل های رمز شده دستيابی نمايند ( نظير فايل هائی که رمز شده نيستند ) . ساير کاربران قادر به دستيابی به فايل های رمز شده نخواهند بود. بمنظور حفاظت از اطلاعات در يک سازمان، EFS ، پتانسيل های لازم در خصوص بازيافت داده ها را برای مديران تائيد شده که نيازمند داده های رمز شده می باشند، فراهم می نمايد.
پيکربندی پيش فرض، سيستم عامل ويندوز نسبتا" غير ايمن است .ظاهرا" هدف ماکروسافت دراين رابطه تسهيل در نصب و مديريت سيستم عامل بوده است . همين موضوع می تواند منشاء برخی از تهاجمات اطلاعاتی در رابطه با سيستم هائی باشد که پذيرای حکومت سيستم عامل ويندوز شده اند. ماکروسافت در نسخه های ويندوز دات نت ، از سياست فوق ، عدول و سعی نموده است امکانات گسترده ای را بمنظور ايمن سازی پيکربندی پيش فرض، ارائه نمايد. بمنظور انتخاب تعداد زيادی از ويژگی های Windows .NET Server 2003 ، می بايست پيکربندی و نصب اضافه ای انجام شود. بسياری از ويژگی های اختياری ( نظير IIS ) بصورت پيش فرض غير فعال می باشند. (يشگيری اوليه در رابطه با حفاظت اطلاعات).
ارتباطات
ويندوز از پروتکل شبکه ای TCP/IP ، بعنوان پروتکل اوليه و ذاتی خود استفاده می نمايد. ويندوز حمايت لازم در خصوص پروتکل های شبکه قديمی تر نظير Microsoft NWLink که با پروتکل شبکه ای IPX/SPX شرکت ناول ، سازگار است را نيز ارائه می نمايد . مزيت مهم پروتکل TCP/IP ، عدم وابستگی آن نسبت به نوع محيط انتقال است . بدين ترتيب ، امکان استفاده از پروتکل فوق ، در هر نوع شبکه ای وجود خواهد داشت . سرويس دهندگان NET Enterprise . ، بصورت مستمر با پروتکل TCP/IP ، در ارتباط بوده و از آن بعنوان پروتکل اساسی استفاده می نمايند . با توجه به نقش حياتی پروتکل فوق برای اکثر سرويس دهندگان NET Enterprise . ، طراحی ، پياده سازی و نگهداری شبکه ای که از سرويس دهندگان NET Enterprise . ، استفاده می نمايد ، مستلزم شناخت مناسبی از نحوه عملکرد پروتکل TCP/IP و نحوه ارتباط برنامه ها با آن است. دراين مقاله قصد نداريم به جزئيات مربوط به پروتکل TCP/IP پرداخته و هدف صرفا" آشنائی با مفاهيم اوليه پروتکل فوق ، بمنظور استفاده در شبکه های مبتنی بر سيستم عامل ويندوز است .
آدرس دهی TCP/IP
مدل آدرس دهی جديد IP ، با نام IPv6 ، است و قرار است به نياز تصاعدی ( فزاينده ) در رابطه با تعداد آدرس های در دسترس و عمومی پاسخگو باشد. سخت افزار ها و نرم افزارها ی موجود در حال حاضر امکانات حمايتی لازم بمنظور استفاده ازIPv6 را دارا نمی باشند و بدين دليل ما همچنان از مدل آدرس دهی قديمی استفاده می نمائيم . IPv6 ، چندين سال است که مطرح گرديده است ولی عمليات آداپته نمودن آن دارای آهنگی کند است و نبايد انتظار داشته باشيم که مدل آدرس دهی فوق را بزودی در محيط خود شاهد باشيم.
با اينکه کامپيوترهائی که از آدرس خصوصی IP استفاده می نمايند ، قادر به دستيابی مستقيم به اينترنت نمی باشند ( برای دستيابی به اينترنت ، می بايست ازيک آدرس عمومی IP استفاده گردد) . از NAT)Network Address Translation) بعنوان پتانسيلی که قادر به ترجمه آدرس های عمومی و خصوصی است ، استفاده می گردد. NAT ، امکان استفاده از آدرس های IP خصوصی بمنظور اتصال به اينترنت را برای کاربران يک سازمان، فراهم و باعث کاهش تعداد آدرس های IP عمومی مورد نياز بمنظور ارتباط ودستيابی به اينترنت می گردد . سرويس ( Routing and Remote Access Service(RRAS ويندوز دارای قابليت ها و پتانسيل های NAT بهمراه ساير پتانسيل های کليدی ديگر است.
روتنيگ و Subnet
روتينگ ، توسط دستگاههای سخت افزاری خاصی با نام "روتر" ، مديريت و اداره می گردد . روترها ، چندين شبکه را در زمان يکسانی بيکديگر متصل و مسئول انتقال اطلاعات ( داده ) بين شبکه ها می باشند. عملکرد روترها بر اين واقعيت مسلم استواراست که در فرآيند انتقال اطلاعات توسط TCP/IP ، آدرس IP کامپيوتر مقصد، حضوری کاملا" محسوس و هميشگی دارد. آدرس های IP شامل مشخصه شبکه ( Network ID ) و مشخصه ميزبان ( Host ID ) می باشند. با تامل در يک آدرس IP عمومی نظير IP: 10.1.4.250 ، تشخيص مشخصه شبکه و ميزبان ، امری مشکل بنظر می آيد. بمنظور مشخص نمودن مشخصه های فوق ، کامپيوترها از Subnet mask استفاده می نمايند. بمنظور شناخت مناسب نسبت به نقش Sunet mask ، لازم است بدين نکته بديهی! اشاره گردد که تمام فعاليـت ها در کامپيوتر با فرمت باينری ، انجام می شود. بعبارت ديگر، هر چيز در کامپيوتر بصورت مجموعه ای از صفر و يک نمايش داده می شود . فرص کنيد Subnet mask ، مثال فوق را Subnet: 255.255.0.0 ، در نظر بگيريم . در صورتيکه هر octet درآدرس IP و Subnet mask را به باينری تبديل نمائيم ، نتايج زير را خواهيم داشت :
IP address : 00001010.00000001.00000100.11111010
Subnet mask: 11111111.11111111.00000000.00000000
11110111.00111100.11100011.00000000
زمانيکه ويندوز نيازمند ارسال اطلاعات است ، از مشخصه شبکه مقصد، استفاده و آن را با مشخصه شبکه مربوط به خود ، مقايسه می نمايد. در صورتيکه دو مشخصه شبکه ، يکسان باشند، ويندوز اطلاعات را برای يک کامپيوتر محلی موجود بر روی شبکه ارسال می نمايد( ضرورتی به روتينگ وجود نخواهد بود) . در صورتيکه مشخصه های دو شبکه يکسان نباشند ، ويندوز اطلاعات رابرای gateway پيش فرض ، ارسال می نمايد. ( يک آدرس IP خاص که در ويندوز پيکربندی شده است) . gateway پيش فرض، معمولا" يک روتر است . روتر مسئوليت استقرار داده بر روی شبکه مورد نظر را بر عهده داشته و در صورت لزوم بسته اطلاعاتی را برای روتر ديگر ارسال خواهد کرد .
پورت های برنامه
پاسخ به سوال فوق ، شماره پورت ( port ) است . پورت ، مشابه يک آدرس IP برای يک برنامه خاص موجود بر روی کامپيوتر است . زمانيکه کامپيوتر شما داده ئی را ارسال می نمايد ، داده برای يک آدرس IP ارسال می گرددکه نشاندهنده شبکه و ميزبان مقصد مورد نظر ، بهمراه يک شماره پورت خاص است که برنامه خاصی را بر روی کامپيوتر مقصد ، بعنوان مقصد نهائی اطلاعات مشخص خواهد کرد. مثلا" درخواست های مربوط به صفحات وب ، همواره برای پورت 80 ارسال خواهد شد . IANA ، مسئوليت اختصاص شماره پورت به برنامه ها را نيز برعهده داشته و اين اطمينان بوجود خواهد آمد که اکثر برنامه های متداول دارای يک شماره پورت منحصر بفرد در اين راستا خواهند بود . زمانيکه يک کامپيوتر مبتنی برسيستم عامل ويندوز، داده ئی را دريافت می نمايد ، شماره پورت آن بررسی تا مشخص گردد که کدام برنامه می بايست داده را دريافت نمايد.
پورت ها دارای نقشی مهم در رابطه با امنيت می باشند. تعداد زيادی از شرکت ها ، امکان استفاده عموم از وب سايت و يا سرويس دهنده FTP را بمنظور دريافت فايل ، فراهم می نمايند. شرکت ها و موسسات تمايلی به فراهم نمودن امکان دستيابی عموم به سرويس دهندگان فايل ، سرويس دهندگان چاپ و ساير منابع موجود درشبکه اختصاصی خود ، را ندارند.هر يک ازعمليات فوق ، از طريق يک شماره پورت خاص انجام شده و می توان بنوعی آنها را بلاک نمود. پورت ها دارای جايگاهی خاص بمنظور فيلترينگ ترافيک و ايمن سازی شبکه می باشند. دستگاه های شبکه ای که "فايروال " ناميده شده و يا نرم افزارهای فايروال نظير ISA(Internet Security and Acceleration Server) ، قادر به کنترل ترافيک ورودی به شبکه بر روی شماره پورت های خاصی بوده و حتی می توان ترافيک را بر روی پورت های خاصی ، بلاک کرد .
IANA، شماره پورت های صفر تا 1024 را تعريف که از آنان با نام پورت های " خوش نام " ، ياد می گردد. ويندوز شامل ليستی از اين پورت ها بوده که در يک فايل متنی با نام Services و در آدرس system32\Drivers\ETC ، ذخيره شده اند.
سرويس های شبکه
سرويس Name Resolution
سرويس Name Resolution ، در هر نوع شبکه دارای اهميت و جايگاهی خاص است. کامپيوترها برای آدرس دهی يکديگر علاقه مند به استفاده از آدرس های IP می باشند ولی ما ، با اسامی معنی دار بهتر کار می کنيم ( مثلا" ServerA ) . سرويس name Resolution ، اين امکان را در اختيار کاربران قرار خواهد داد که همچنان از اسامی معنی دار برای سرويس دهندگان و ساير منابع شبکه استفاده نمايند. در چنين مواردی می بايست از امکاناتی بمنظور ترجمه (Resolve ) اسامی به آدرس های IP استفاده تا در ادامه زمينه ارتباطات در شبکه فراهم گردد . ويندوز در اين رابطه دو سرويس را ارائه نموده است :
DNS)Domain Name System) و WINS)Windows Internet Naming Service) .
DNS
تفاوت بين DNS و WINS چيست ؟ WINS ، بمنظور ترجمه اسامی کامپيوترها به آدرس های IP ، استفاده می گردد.اسامی استفاده شده ، نوع خاصی از نام های مبتنی بر ويندوز می باشند. DNS ، بمراتب متداول تر بوده و از آن بمنظور ترجمه اسامی ميزبان استفاده می شود . در محيط ويندوز ، تفاوت زيادی بين دو نوع نام ( اسامی خاص مبتنی بر ويندوز و اسامی ميزبان ) وجود نداشته و هر دو نوع ، معادل می باشند. از نسخه ويندوز 2000 به بعد ، تاکيد مضاعف بر استفاده از DNS در دستور کار قرار گرفته و ماکروسافت ، استفاده محدود و کم رنگ WINS در ويندوز را بعنوان يک سياست محوری در ويندوز دنبال می نمايد.
بمنظور پيکربندی IP هريک از کامپيوترهای موجود درشبکه ، می بايست آدرس IP و حداقل يک سرويس دهنده DNS را مشخص کرد. در اين رابطه نمی توان از نام سرويس دهنده DNS در مقابل آدرس IP ، استفاده نمود.(روشی بمنظور ترجمه اسامی به آدرس IP بدون يک سرويس دهنده DNS وجود ندارد). پس از پيکربندی آدرس IP سرويس دهنده DNS ، ويندوز 2000 و نسخه های بعد از آن ، قادر به استفاده از سرويس دهنده DNS بمنظورترجمه نام به آدرس IP معادل ، خواهند بود.
سيستم DNS اينترنت ، بصورت سلسله مراتبی است . در بالاترين سطح ، domain های سطح بالا و يا TLDs)Top-level Domains) ، قرار دارند. استفاده کنندگان متعددی از سرويس دهندگان DNS مربوط به TLD اينترنت استفاده می نمايند . اين سرويس دهندگان شامل مرجع کاملی در ارتباط با ساير سرويس دهندگان در ساختار سلسله مراتبی، می باشند. فرض کنيد که شما قصد ارتباط با http://www.test.com را داشته باشيد و سرويس دهنده DNS سازمان شما ، دارای يک entry برای http://www.test.com نمی باشد . در اين حالت با يک سرويس دهنده DNS تائيد شده ديگر درTLD ، ارتباط برقرار می گردد.سرويس دهده TLD ، از آدرس سرويس دهنده معتبری که شامل آدرس Test.com ، آگاهی داشته و سرويس دهنده قادر به ارائه يک آدرس برای کامپيوتری با نام http://www ، خواهد بود . فرآيند فوق ، دارای انعطاف و کارآئی بالا در رابطه با يافتن آدرس IP مربوط به domain name ، است .
ويندوز از يک ويژگی خاص DNS با نام Dynamic DNS)DDNS) ، استفاده می نمايد. زمانيکه يک کامپيوتر مبتنی برويندوز 2000 ( و يا نسخه های بعد از آن ) فعاليت خود را آغاز می نمايد ، با سرويس دهنده DNS مربوطه ، مرتبط و نام کامپيوتر و آدرس IP موجود خود را در اختيار آن قرار خواهد داد .سرويس دهنده DNS ، بانک اطلاعاتی خود را بهنگام تا متاثر ازآخرين تغييرات گردد. DDNS ، امکان بهنگام سازی پويای سرويس دهنده DNS را برای کامپيوترها فراهم می نمايد. بدين ترتيب ، بانک اطلاعاتی DNS شامل آخرين اطلاعات مرتبط با آدرس های IP شده و سرويس دهنده DNS ، قادر به ارائه سرويس خود بصورت پويا و متاثر از آخرين تغييرات انجام شده در شبکه ، خواهد بود .
بمنظور کاهش حجم عمليات مربوط به name resolution در يک محيط عملياتی بزرگ ، می توان از يک سرويس دهنده ثانويه و يا سرويس دهندگان Caching ، استفاده کرد. سرويس دهنده ثانويه ، دارای بانک اطلاعاتی اختصاصی خود نبوده و از بانک اطلاعاتی DNS موجود بر روی يک سرويس دهنده DNS اوليه ، استفاده می نمايد. سرويس دهندگان ثانويه ، گزينه ای مناسب برای ارائه خدمات مربوط به name resolution بوده ولی قادر به بهنگام سازی پويای DNS نخواهند بود. ( برخی از انواع سرويس دهندگان ثانويه قادر به دريافت اطلاعات بهنگام شده و ارسال آنان برای سرويس دهنده اوليه ، می باشند ) . سرويس دهندگان Caching DNS ، زمانيکه يک درخواست name resolution را دريافت می نمايند ، با يک سرويس دهده DNS بمنظور اتمام عمليات خود ، ارتباط برقرار خواهد کرد. سرويس دهنده Caching ، درادامه آدرس IP را استفاده و آن را بمنظور پاسخ به درخواستی مشابه ، ذخيره می نمايد.
نرم افزار سرويس دهنده DNS ويندوز، امکان ذخيره داده های DNS را در يک فايل متن و يا در اکتيو دايرکتوری ، فراهم می نمايد. با انتخاب اکتيو دايرکتوری ، دارای گزينه ای مبنی بر نصب DNS بر روی هر domain controller خواهيم بود. در چنين مواردی در صورت بروز اشکال دراکتيو دايرکتوری ، امکان بازيابی سريع اطلاعات وجود خواهد داشت ( می توان DNS را بر روی يک domain controller ديگر نصب تا زمينه استفاده از اطلاعات DNS موجود در اکتيو دايرکتوری ، فراهم گردد.) .
WINS
ويندوز 2000 و نسخه های بعد از آن ، همچنان از اسامی NetBIOS بمنظور سازگاری با نسخه های قبل از خود استفاده می نمايند . در ويندوز 2000 و ويندوز دات نت ، سرويس دهنده WINS ، نيز ارائه گرديده تا زمينه حمايت و سازگاری برای سرويس گيرندگان قديمی که همچنان مرتبط با WINS ، می باشند ، فراهم گردد. ماکروسافت بتدريج استفاده از NetBIOS را حذف و از DNS برای ترجمه نام به آدرس ، در مقابل سرويس WINS استفاده می نمايد.
يکی از ويژگی های منحصربفرد سرويس WINS ، قابليت تکرارپذيری( Replicate ) آن بين سرويس دهندگان متعدد WINS در يک شبکه است .بدين ترتيب ، می توان از چندين سرويس دهنده WINS بر روی شبکه بهمراه يک بانک اطلاعاتی مشترک بين آنها ، استفاده گردد. سرويس دهنده WINS ، قادر به ارتباط با ساير سرويس دهندگان بمنظور مبادله اطلاعات جديد و آدرس های بهنگام شده IP ، خواهد بود.
پيکربندی IP
سرويس روتينگ و دستيابی از راه دور ( RRAS)
ويندوز ، شامل سرويس RRAS)Routing and Remote Access Service) است. سرويس فوق ، اين امکان را برای يک سرويس دهنده ويندوز فراهم می نمايد که بعنوان يک روتر نرم افزاری ، يک سرويس دهنده VPN)Virtual private network) و يک سرويس دهنده Dial-up مطرح گردد. نرم افزار RRAS ، بصورت پيش فرض برروی ويندوز نصب می گردد ولی بمنظور انجام عمليات خاصی ، پيکربندی نشده است. اکثر مديران شبکه از RRAS بعنوان يک سرويس دهنده VPN استفاده و از آن بمنظور ارتباط دو شبکه موجود در ادارات يک سازمان از طريق اتصال اينترنت استفاده می نمايند. مديران شبکه می توانند ، پيکربندی لازم در خصوص استفاده از سرويس RRAS بمنظور دستيابی از طريق تلفن به شبکه را برای پرسنل سازمان خود، فراهم نمايند.
امنيت
• سيستم فايل NTFS ، پتانسيل های لازم بمنظور اختصاص مجوزهای دستيابی لازم را برای کاربران و يا گروه ها ، فراهم می نمايد .
• ويندوز، پروتکل IPSec را حمايت می نمايد . IPSec ، پروتکلی است که امنيت را در سطح پروتکل های حمل شبکه ، اعمال می نمايد . IPSec می تواند بمنظور رمزنمودن نوع خاصی از ترافيک ، رمزنگاری ترافيک بين کامپيوترهائی خاص و ساير موارد مشابه استفاده گردد. مثلا" اگر سازمانی دارای يک سرويس دهنده فايل حاوی اطلاعات محرمانه است ، می توان IPSec را بر روی سرويس دهنده فوق ، پيکربندی نمود. بدين ترتيب، سرويس دهنده صرفا" ارتباطاتی را از سرويس گيرندگانی می پذيرد که قادر به حمايـت از يک ارتباط رمز شده ، باشند .
• کامپيوترهای مبتنی بر سيستم عامل ويندوز را می توان بمنظور استفاده از رمزهای عبور پيچيده و طولانی در ارتباط با account های مربوط به کاربران ، پيکربندی کرد. تشخيص و حدس چنين رمزهای عبوری ، کار مشکلی خواهد بود. با استفاده از ساير سياست های امنييتی رمز عبور، می توان کاربران را ملزم به تغيير رمز عبور در محدوده های زمانی مشخص ، استفاده از رمز عبور منحصر بفرد و متفاوت با دفعات قبل و قفل نمودن يک account در موارديکه افرادی قصد تشخيص آن را بصورت سعی و خطاء دارند ، نمود.
• کامپيوترهای ويندوز 2000 و بعد از آن ، بصورت ذاتی از پروتکل تائيد Kerberos ، استفاده می نمايند. بدين ترتيب سرويس دهنده تضمين لازم در خصوص شناسائی و تائيد کاربر را انجام و کاربران نيز اطمينان لازم در خصوص ارتباط با يک سرويس دهنده مطمئن را بدست خواهند آورد.
• ويندوز دارای يک API)Appliaction Programming Interface) لازم، بمنظور رمزنگاری داده ها با نام CryptoAPI است . اينترفيس فوق ، تسهيلات لازم در خصوص ايجاد نرم افزارهائی که نيازمند استفاده از روش های رمزنگاری بمنظور حفاظت از اطلاعات می باشند را فراهم می نمايد.
• سيستم فايل NTFS ، امکانات حمايتی لازم در خصوص Encrypted File System)EFS) را ارائه می نمايد . بدين ترتيب ، کاربران قادر به رمز نمودن فايل ها بوده و در ادامه می توانند براحتی به فايل های رمز شده دستيابی نمايند ( نظير فايل هائی که رمز شده نيستند ) . ساير کاربران قادر به دستيابی به فايل های رمز شده نخواهند بود. بمنظور حفاظت از اطلاعات در يک سازمان، EFS ، پتانسيل های لازم در خصوص بازيافت داده ها را برای مديران تائيد شده که نيازمند داده های رمز شده می باشند، فراهم می نمايد.
پيکربندی پيش فرض، سيستم عامل ويندوز نسبتا" غير ايمن است .ظاهرا" هدف ماکروسافت دراين رابطه تسهيل در نصب و مديريت سيستم عامل بوده است . همين موضوع می تواند منشاء برخی از تهاجمات اطلاعاتی در رابطه با سيستم هائی باشد که پذيرای حکومت سيستم عامل ويندوز شده اند. ماکروسافت در نسخه های ويندوز دات نت ، از سياست فوق ، عدول و سعی نموده است امکانات گسترده ای را بمنظور ايمن سازی پيکربندی پيش فرض، ارائه نمايد. بمنظور انتخاب تعداد زيادی از ويژگی های Windows .NET Server 2003 ، می بايست پيکربندی و نصب اضافه ای انجام شود. بسياری از ويژگی های اختياری ( نظير IIS ) بصورت پيش فرض غير فعال می باشند. (يشگيری اوليه در رابطه با حفاظت اطلاعات).
