NAT چیست ؟ و چگونه از آن در تجهیزات سیسکو استفاده کنیم !

 نسخه چهارم پروتکل اینترنت نسبت به تقاضای فعلی شبکه به لحاظ تعداد IP محدود می باشد. به همین دلیل امکان درنظر گرفتن IP برای تمام تجهیزاتی که به اینترنت می خواهند متصل شود وجود ندارد. علاوه بر این محدودیت ، استفاده از IP های معتبر موجود در اینترنت نیاز به پرداخت هزینه است.
NAT) Netwrok Address Translate) برای برطرف شدن این مشکلات ارائه شد. در شبکه های محلی از Private IP استفاده می شود و برای شبکه تعداد محدودی IP معتبر (Public)گرفته می شود و با استفاده از سرویس NAT ارتباط دستگاه ها به اینترنت برقرار می شود.

NAT یک IP به IP دیگر را تبدیل می کند یا عبارتی Private IP را به Public IP تبدیل می کند. به طور مثال یک شبکه را در نظر بگیرد که دارای 20 دستگاه است که می خواهند از اینترنت استفاده کنند با استفاده از سرویس NAT به جای اینکه برای هر دستگاه یک Public IP تهیه شود کلا یک Public IP تهیه می شود و برای دستگاه ها Private IP در نظر گرفته می شود و این دستگاه ها با استفاده از یک Public IP به اینترنت متصل می شوند. با اینکار در مصرف IP و هزینه صرفه جویی می شود.

رنج های Private IP :

    10.0.0.0 تا 10.255.255.255
    172.16.0.0 تا 172.31.255.255
    192.168.0.0 تا 192.168.255.255


برخی از موارد مورد استفاده NAT :

    صرفه جویی در مصرف IP و هزینه
    زمانی که بخواهیم IP را به دلایلی عوض کنیم
    زمانی که شبکه داخلی از Private IP استفاده می کند.
    برقراری ارتباط بین دو شبکه که دارای رنج IP یکسانی هستند.
    نخواهیم رنج IP که در شبکه مورد استفاده قرار می گیرد از بیرون دیده شود.
    زمانی که مقصد ، رنج IP داخلی شبکه ما را نمی شناسد.


سرویس ها و ویژگی هایی که با NAT مشکل دارند:

    ناسازگاری با برخی از پروتکل ها : برخی از پروتکل ها IP آدرس مورد استفاده را در لایه هفتم نیز استفاده می کنند که باعث ایجاد مشکل می شود.
    برخی از پروتکل های رمزنگاری و احرازهویت : یکی از مسائل در رمز نگاری و احراز هویت جلوگیری از تغییر بسته ها در حین ارسال می باشد.
    Log گیری و گزارش گیری : با توجه به تغییر IP بررسی عملکرد و گزارشگیری مشکل است.


مفاهیم NAT :
Inside Local Address : آدرس هایی که برای شبکه داخلی مورد استفاده قرار می گیرد.(Private IP)
Inside Global Address : آدرس هایی که دستگاه های داخلی شبکه با آن از بیرون دیده می شوند. (Public IP)
Outside Local Address : آدرسی هایی که دستگاه های داخل شبکه ، دستگاه های خارج از شبکه را با آن می بینیم و می تواند آدرس Private باشد. نکته ای که وجود دارد این آدرس از طریق شبکه داخلی قابل مسیریابی است.
Outside Global Address : آدرس های Public مربوط به دستگاه های بیرون از شبکه ، که ما با آنها ارتباط برقرار می کنیم مانند Public IP سرور سایت Iitpro

کاربردهای اصلی NAT :

    Source NAT : امکان ایجاد ارتباط یک دستگاه که دارای Private IP است را به اینترنت فراهم می کند.
    Destination NAT : امکان ایجاد ارتباط به یک دستگاه که دارای Private IP است را از اینترنت فراهم می کند.


انواع NAT :

    Static NAT
    Dynamic NAT
    (Overloaded (PAT


Static NAT :
در این روش یک آدرس Private را تبدیل به یک آدرس Public می کند یا به عبارتی یک دستگاه از شبکه داخلی به یک IP از شبکه خارجی تبدیل می شود.
Image

با توجه به تصویر فوق Static NAT را پیاده سازی می کنیم:
با استفاده از دستور زیر مشخص می کنیم که IP 192.168.1.5 به 5.5.5.1 تبدیل شود.

Router(config)#ip nat inside source static 192.168.1.5 5.5.5.1

سپس شبکه را به دو بخش inside و outside تقسیم می کنیم و دستورات زیر را روی اینترفیس مربوطه وارد می کنیم:

Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside

برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:

Router#show ip nat translations


Dynamic NAT :
در این روش یک pool (رنج) از آدرس های Public را به یک رنج از Private IP شبکه داخلی اختصاص می دهیم. در این حالت تعداد IPهای داخلی و خارجی باید برابر باشد.

در ابتدا با یک ACL مشخص می کنیم که چه بسته هایی اجازه NAT شدن را دارند.

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255

    نکته : NAT کردن براساس پارامترهای دیگر مانند پروتکل ، اینترفیس ، مقصد و ... امکان پذیر است برای این حالت ، به جای Standard ACL از Extended ACL استفاده می کنیم.

یک pool تعریف می کنیم و Public IP ها را در آن مشخص می کنیم.

Router(config)#ip nat pool itpro 5.5.5.1 5.5.5.3 prefix-length 24

ACL تعریف شده را به NAT اختصاص می دهیم

Router(config)#ip nat inside source list 1 pool itpro

سپس شبکه را به دو بخش inside و outside تقسیم می کنیم و دستورات زیر را روی اینترفیس مربوطه وارد می کنیم:

Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside

برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:

Router#show ip nat translations


(Overloaded (PAT :
این روش مشابه Dynamic NAT می باشد با این تفاوت که به تعداد دستگاه هایی که می خواهند از اینترنت استفاده کنند نیاز به IP نداریم و تعداد می تواند کمتر و یا حتی یک عدد باشد.

دستورات اجرای این روش مشابه Dynamic می باشد فقط یک تفاوت کوچک دارد:

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool itpro 5.5.5.1 5.5.5.3 prefix-length 24

در اینجا کلمه overload را به انتهای دستور اضافه می کنیم:

Router(config)#ip nat inside source list 1 pool itpro overload
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside

برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:

Router#show ip nat translations


Overlapping NAT :
بعضی از مواقع می خواهیم ارتباط بین دو شبکه که دارای رنج IP یکسانی هستند را برقرار کنیم برای اینکار از Overlapping NAT به صورت زیر استفاده می کنیم:

همانطور که در تصویر می بینید سرور1 و سرور2 هر دو دارای آدرس 192.168.1.11/24 هستند و هر کدام در یک شبکه قرار دارند. در این سناریو می خواهیم ارتباط این دو سرور را با استفاده از NAT برقرار کنیم:
برای پیاده سازی این سناریو از دستورات زیر استفاده می کنیم که مشابه Static NAT می باشد.
در ابتدا روی روتر R1 :

Router(config)# ip nat inside source static 192.168.1.11 192.168.12.11
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside

سپس روی روتر R2 :

Router(config)# ip nat inside source static 192.168.1.11 192.168.12.12
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside

به این صورت سرور1 از طریق آدرس 192.168.12.12 با سرور2 می تواند ارتباط برقرار کند و سرور2 از طریق آدرس 192.168.12.11 با سرور1 می تواند ارتباط برقرار کند.

تفاوت بین LDAP و Active Directory در چیست ؟

زمانیکه شبکه سازمانی شما بزرگ می شود و تبدیل به یک شبکه Enterprise می شود طبیعتا مدیریت و احراز هویت متمرکز یکی از اساسی ترین نیازمندی های این شبکه خواهد بود . در اینجاست که وجود یک سیستم احراز هویت کاربری کاربردی می تواند پیچیدگی ها و دشواری های سیستم های احراز هویت کاربری توزیع شده را کاهش داده و تقریبا همه چیز را یکپارچه کند. برای ایجاد کردن این سیستم یکپارچه متمرکز ما معمولا در شبکه های مایکروسافتی از سرویسی به نام Active Directory استفاده می کنیم که توسط شرکت مایکروسافت معرفی و پیاده سازی شد . ما در سیستم عامل لینوکس نیز محصولی مشابه داریم که همین کار را انجام می دهد اما بیشترین استفاده از Directory Service در دنیا از همین Active Directory مایکروسافت است. برخی اوقات واژه ای ممکن است با Active Directory شنیده باشید که LDAP نام دارد. توجه کنید که LDAP یک سرویس نیست بلکه یک پروتکل لایه هفت است که می توان از آن در تمامی سرویس های دایرکتوری یا Directory Service های ویندوزی و لینوکسی استفاده کرد. در واقع اکتیودایرکتوری نیز خود بر اساس و پایه پروتکل LDAP طراحی و پیاده سازی شده است. امروز می خواهیم در انجمن تخصصی فناوری اطلاعات ایران در خصوص تفاوت بین Active Directory و LDAP صحبت کنیم.


LDAP یا Lightweight Directory Access Protocol چیست ؟
LDAP مخفف کلمه های Lightweight Directory Access Protocol می باشد و همانطور که از نامش هم پیداست یک پروتکل برای دسترسی پیدا کردن به سرویس Directory است. LDAP بهینه سازی شده یک سیستم پیچیده Directory System به نام استاندارد X.500 است که توسط دانشگاه میشیگان یا همان MIT طراحی و معرفی شد. LDAP بروز رسانی شده یک پروتکل قدیمی تر به نام DAP است که فقط سبکتر شده است. امروزه از نسخه 3 این استاندارد استفاده می شود و به نوعی LDAP Version 3 امروزه کاربردی است. LDAP یک پروتکل لایه کاربردی است که توسط Application هایی مثل Email ، نرم افزارهای جستجوگر پرینتر در شبکه ، نرم افزارهای جستجو در لیست تماس و در کل در هر سیستمی که قرار باشد اطلاعاتی از سرور دریافت شده و جستجویی انجام شود استفاده می شود. البته به این موضوع توجه کنید که هر کسی نمی تواند از LDAP Server پرسش و پاسخ داشته باشد ، برای اینکه شما یا کلاینت شما بتواند از LDAP Server در خصوص بدست آوردن اطلاعاتی درخواست کند بایستی کلاینت مورد نظر در اصطلاح LDAP-Aware باشد تا به روش های مختلف بتواند از سرور LDAP پرسش و پاسخ یا Query بگیرد.

LDAP هم مانند یک پایگاه داده مرکزی است ، همه چیز در خصوص اطلاعات در این پایگاه داده ذخیره می شوند و کلاینت ها برای دسترسی به این اطلاعات از پایگاه داده Query می گیرند. اطلاعاتی که در LDAP سرور ذخیره می شود در قالب دایرکتوری ذخیره می شود که در هر دایرکتوری دقیقا مشابه سایر پایگاه داده های اطلاعاتی اطلاعات در قالب رکورد ذخیره می شوند. تمامی رکوردهای داده ای که در LDAP سرور ذخیره می شود index می شوند . زمانیکه یک نام یا یک گروه از طرف کلاینت ها درخواست داده می شود ، فیلترهای خاصی اعمال می شود تا سریعتر به اطلاعات دسترسی پیدا شود. مهمترین دلیل برای index کردن رکوردها بالا بردن سرعت جستجوی آنها است. برای مثال یک Email Client مثل Outlook برای اینکه بتواند لیست Contact های موجود در LDAP Server برای شهر کرج را جستجو کند که با حروف Mo شروع می شوند بلافاصله بعد از وارد کردن درخواست ، جستجوی سریع با استفاده از index ها شروع شده و لیست تماس مورد نظر کاربر به وی نمایش داده خواهد شد.

علاوه بر اطلاعات مربوط به لیست تماس یا Contact List ، پروتکل LDAP می تواند برای جستجو کردن اطلاعاتی از قبیل Certificate های رمزنگاری ، جستجوی پرینترها ، گروه ها ، کاربرها ، پوشه های به اشتراک گذاشته شده و بسیاری دیگر از موارد نیز در شبکه مورد استفاده قرار بگیرد. اما از نظر ادیسون ، پروفسور سمیعی ، من و سایر دانشمندان ( به خدااااا ) مهمترین کاربرد LDAP پیاده سازی ساختار SSO یا Single Sign On در شبکه است. شما می توانید سرویس های نرم افزاری متنوعی داشته باشید و همه این سرویس ها دارای نام کاربری واحدی باشند که از یکجا برای احراز هویت استفاده می کند و فقط و فقط یکبار نیاز به تعریف کردن کاربران دارید. از LDAP سرورها در اکثر سازمان ها و ارگان ها و شبکه های بزرگ استفاده می شود. LDAP سرورهای عمومی به دلیل مشکل بروز اسپم امروزه کمتر مورد استفاده قرار می گیرند. شما به عنوان یک مدیر LDAP سرور می توانید برای پایگاه داده های آن سطوح دسترسی تعریف کنید. Active Directory Lightweight Directory Service یا ADLDS یک نوع LDAP سرور مایکروسافتی است که برای شبکه های Workgroup و طراحی های DMZ استفاده می شود.

Active Directory چیست ؟
Active Directory هم یک Directory Service است که توسط شرکت مایکروسافت طراحی وی معرفی شده است. Active Directory با استفاده کردن از پروتکل ها و استانداردهای متنوعی که در آن تعبیه شده است قابلیت ارائه یک سری خدمات و سرویس های شبکه ای جالب را به دست آورده است. Active Directory بصورت کامل از LDAP نسخه دو LDAP نسخه سه پشتیبانی می کند و این بدین معناست که شما هر کاری که در LDAP می توانید انجام دهید در Active Directory هم می توانید انجام دهید. یکی از فاکتورهای بسیار مهم در خصوص Active Directory در خصوص احراز هویت این است که AD از پروتکل احراز هویت Kerberos پشتیبانی می کند. سرویس هایی که Active Directory ارائه می دهد بر اساس سرویس DNS هستند و از همه مهمتر بزرگترین قابلیت اکتیودایرکتوری مدیریت و نظارت بر کلیه فرآیند های شبکه بصورت مرکزی است. تمامی اطلاعات و Object هایی که در شبکه وجود دارند بصورت مرکزی در پایگاه داده Active Directory ذخیره می شوند. اکتیودایرکتوری با استفاده از مکانیزم SSO ای که ارائه می دهد امکان مدیریت دسترسی و سطوح دسترسی به منابع شبکه را بصورت متمرکز ارائه می کند. اکتیودایرکتوری فوق العاده مقیاس پذیر است و شما می توانید از یک شبکه کوچک گرفته با بزرگترین شبکه های دنیا را با استفاده از اکتیودایرکتوری مدیریت کند. یکی از مهمترین مزایای اکتیودایرکتوری امکان یکسان سازی و کپی کردن بلافاصله اطلاعات پایگاه داده اش بر روی چندین سرور است که بصورت یک Backup انجام می شود. این فرآیند به عنوان Replication شناخته می شود.

تفاوت اصلی Active Directory و LDAP در چیست ؟

    اکتیودایرکتوری یک Directory Service Provider است
    LDAP یک Application Protocol است که توسط Directory Service Provider ها استفاده می شود
    اکتیودایرکتوری و Open-LDAP دو محصولی هستند که از LDAP برای سرویس دهی استفاده می کنند
    اکتیودایرکتوری احراز هویت توسط پروتکل Kerberos را پشتیبانی می کند
    اکتیودایرکتوری مالک اختصاصی به نام مایکروسافت دارد
    LDAP یک پروتکل است و توسط دانشگاه MIT طراحی شده است
    اکتیودایرکتوری فقط روی سیستم عامل های سرور مایکروسافت قابل اجرا است
    LDAP فارق از هر نوع سیستم عامل قابل استفاده است ITPRO باشید

Transparent Firewall یا فایروال لایه دو چیست؟ و عملکرد آن چگونه است !

فایروال یک سیستم امنیتی برای شبکه است که به دو صورت سخت افزاری و نرم افزاری موجود است و وظیفه آن کنترل ترافیک ورودی و خروجی براساس سیاست ها و نقش هایی که برای آن تعریف می شود است. فایروال شرکت تحت نام Adaptive Security Applince یا ASA تولید می شود البته ASA علاوه بر فایروال امکانات مانند AntiVirus ، IPS ، VPN و ... را برای ما فراهم می کند. ASA در دو Mode یا حالت Transparent و Routed کار می کند.

در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Transparent Mode را بررسی کنیم اما در ابتدا به صورت مختصر Routed Mode را بررسی می کنیم.

Routed Mode :
به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.
در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.024 ، اینترفیس 1 به نام inside به شبکه 192.168.200.024 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.


Transparent Mode :
حالت دیگری که ASA می تواند در آن عمل کند Transparent است. در این حالت ASA همانند یک دستگاه لایه دو فعالیت می کند و مانند یک روتر یا Gateway در شبکه دیده نمی شود این حالت استفاده فایروال را قایروال لایه دو یا فایروال مخفی نیز می نامند. چون در این حالت اینترفیس های فایروال IP نمی گیرند در نتیجه قابل شناسایی نیستند و تنها از یک IP آدرس برای ترافیک Management مروبط به خود دستگاه استفاده می شود.
نصب و راه اندازی فایروال در حالت Transparent در شبکه به سادگی انجام می پذیرد و شبکه ما را به دو قسمت inside و outside تقسیم می کند بودن اینکه نیاز به تغییر در سیستم آدرس دهی شبکه وجود داشته باشد در شکل زیر نحوی استقرار فایروال در حالت Transparent را نشان می دهد.


در حالت Transparent هر دو اینترفیس inside و outside به یک subnet متصل می شود. به این حالت bump in the wire گفته می شود چون در این حالت ASA شبکه را جدا نمی کند و بخشی از شبکه می شود و ترافیک شبکه مورد بازرسی قرار می دهد و نسبت به سیاست های و نقش های در نظر گرفته شده برای فایروال ، در مورد ترافیک های عبوری تصمیم می گیرد. به این همین دلیل نصب و راه اندازی Transparent mode ساده و آسان است.
با اینکه حالت Transparent در لایه دو عمل می کند ترافیک لایه سه تا زمانی که شما به آن اجازه عبور ندهید (با یک ACL) این ترافیک نمی تواند عبور کند. و تنها ترافیکی که بدون ACL اجازه عبور دارد ترافیک مربوط به ARP است. ترافیک ARP را با ARP Inspection می توان کنترل کرد.

    نکته : در حالت Transparent ترافیک CDP اجازه عبور ندارد.


به طور مثال شما می توانید با استفاده از یک ACL ترافیک Routing Protocol هایی مانند OSPF ، EIGRP و ... را از Transparent Firewall عبور دهید
ASA در حالت transparent را می توان همانند یک سوئیچ در نظر گرفت که فریم ها را از یک اینترفیس به اینترفیس دیگر منتقل می کند اینکار براساس MAC آدرس فریم انجام می شود. ASA آدرس MAC مبدا و پورتی که روی آن این فریم را دریافت کرده را نگه داری می کند و از این طریق متوجه می شود که برای رسیدن به این MAC آدرس از چه اینترفیس می تواند استفاده کند. با استفاده از این اطلاعات ASA یک جدول تشکیل می دهد و این اطلاعات را در آن نگه داری می کند و با استفاده از این جدول اقدام به ارسال فریم های می کند.

زمانی که یک فریم که MAC مقصد را در جدول خود ندارد چه واکنشی نشان می دهد؟
سوئیچ زمانی که MAC مقصد فریم را در جدول Cam خود پیدا نکند این فریم را روی تمام اینترفیس هایش غیر از اینترفیسی که این فریم را روی آن دریافت کرده ارسال می کند به این امید که مقصد به یکی از پورت هایش متصل باشد.
اما ASA همانند سوئیچ اینکار را به سادگی انجام نمی دهد چون به دلیل سیاست های امنیتی امکان ارسال بسته ها محدود شده است. در عوض ASA به منظور پیدا کردن مقصد به یکی از روش های زیر وارد عمل می شود:

    ARP request : زمانی که آدرس IP مقصد در شبکه Local (همان subnet) قرار دارد در نتیجه به ASA از طریق یک شبکه متصل است و ASA اقدام به ارسال یک ARP request می کند و در صورتی که مقصد به آن پاسخ دهد از روی این پاسخ محل استقرار مقصد را متوجه می شود.
    Ping request : زمانی که آدرس IP مقصد در یک شبکه دیگر قرار دارد ASA اقدام به ارسال echo request به مقصد مورد نظر می کند. زمانی که پاسخ توسط روتر یا مقصد پاسخ داده شد. ASA از روی پاسخ دریافتی می فهمد MAC بعدی (next-hop) که از طریق آن به مقصد می رسد چیست و چگونه می تواند به آن برسد.


ASA که نسخه 8.4(1) یا بالاتر را اجرا کند این امکان را دارد که اینترفیس های خود را عضو یک یا چند گروه (bridge group) منطقی کند. هر bridge group به عنوان یک Transparent firewall کاملا مستقل عمل کند. ترافیکی که از یک bridge group عبور می کند نمی تواند وارد bridge group دیگر شود در صورت نیاز به ایجاد ارتباط بین این گروه ها باید از یک روتر خارجی استفاده شود. در فایروال های ASA تا هشت bridge group می توان ایجاد کرد که به هر گروه می توان 2 تا 4 اینترفیس داشته باشد. حداقل هر گروه باید دو اینترفیس داشته باشد که معمولا به نام های inside و outside شناخته می شوند. تصویر زیر نشان دهنده دو bridge group است که به صورت کاملا مجزا از یکدیگر عمل می کنند.

با استفاده از این قابلیت این امکان فراهم می شود که چندین فایروال مستقل داشته باشیم.
نسخه های قبل 8.4(1) تنها از یک bridge group پشتیبانی می کنند و از دو اینترفیس برای آنها می توان استفاده کرد که می توان نام های inside و outside را برای آنها در نظر گرفت و اجازه استفاده از اینترفیس سوم را نخواهیم داشت مگر به عنوان پورت Management از آن استفاده کنیم که تنها ترافیک مربوط به خود دستگاه از آن عبور داده شود.
زمانی که ASA چند Security Context دارد برای هر Context می تواند یک یا چند bridge group داشته باشیم. به هر Context می توان اینترفیسی را اختصاص داد که مربوط به Contextهای دیگر نباشد به عبارت دیگر اینترفیس ها نمی توانند بین Context ها مشترک باشند.
اینترفیس های فایروال در حالت Transparent باید همه به یک شبکه (subnet) متصل باشند هر چند که بسته های IP بودن محدودیت های لایه دو همچنان بازرسی می شوند. از یک Extended ACL برای بررسی و ارزیابی Policiesهای ، ترافیک استفاده می شود و موتور بازرسی و بررسی ASA می تواند فعالیت های ترافیک را در هر لایه ای مورد بررسی قرار دهد.

    نکته : از نسخه (2)8.0 می توان از NAT در transparent firewall استفاده کرد.
    نکته : قایروال در حالت Routed عمل بازرسی و انتقال ترافیک را فقط براساس بسته های IP انجام می دهد اما در حالت transparent این محدود وجود ندارد چون در لایه دوم عمل می کند و می تواند ترافیک های غیر IP را نیز مدیریت کند. ترافیک های غیر IP را می توان به وسیله یک ACL کنترل کرد.


انتخاب Firewall Mode :
قبل از اینکه یکی از دو حالت Routed یا Transparent را برای شبکه خود انتخاب کنیم باید از نقاط ضعف و قوت این دو حالت آگاهی داشته باشیم. در اینجا به صورت خلاصه این ویژگی ها را نام می بریم:
Transparent Firewall Mode :

    زمانی استفاده می شود که بخواهیم ترافیک غیر IP را از آن عبور دهیم.
    نیاز به تغییرات در سیستم آدرس دهی در شبکه ندارد.
    به ازای هر bridge group می توان از 2 تا 4 اینترفیس استفاده کرد.
    از همه ویژگی ها و امکانات ASA نمی توان استفاده کرد مانند Dynamic Routing ، QoS و ...

Routed Firewall Mode :

    زمانی استفاده می شود که فقط بسته های IP را بخواهیم بازرسی کنیم.
    تغییرات در سیستم آدرس دهی شبکه مورد نیاز است.
    همه اینترفیس ها قابل استفاده هستند.
    از تمام امکانات ASA می توان استفاده کرد.


مواردی که در هنگام پیاده سازی حالت Transparent باید در نظر گرفته شود:

    در نظر گرفتن یک IP برای مدیریت فایروال (در صورتی که از چند Context استفاده می شود برای هر Context یک IP در نظر گرفته شود(. بر خلاف حالت Routed که برای هر اینترفیس آن یک IP در نظر گرفته می شود در حالت Transparent فقط یک IP برای خود دستگاه در نظر گرفته می شود و از آن برای ارسال و دریافت ترافیک که مربوط به خود دستگاه است استفاده می شود مانند ترافیک های AAA یا Syslog و ... از این قبیل می باشد. IP در نظر گرفته شده باید در همان Subnet باشد که فایروال به آن متصل است.
    در حالت Transparent تنها از دو اینترفیس آن استفاده می شود که تحت نام inside و outside در نظر گرفته می شود. همچنین امکان استفاده از اینترفیس management وجود دارد ولی باقی اینترفیس ها را نمی توان استفاده کرد.
    IP Management دستگاه را به عنوان Default Gateway دستگاه های شبکه در نظر نگیرید. روش صحیح این است که ِDefault Gateway در سمت دیگر فایروال قرار گیرد تا ترافیک دستگاه های شبکه از آن رد شود.
    در صورت داشتن چند Context برای هر Context باید اینترفیس های مجزا در نظر گرفت و نمی توان یک اینترفیس را برای چند Context استفاده کرد.


Allowed MAC Addresses :
MAC آدرس زیر به عنوان مقصد اجازه عبور از Transparent Firewall را دارند. هر MAC آدرسی که در جدول زیر وجود نداشته باشد توسط فایروال Drop می شود:

    MAC مورد استفاده Broadcast که برابر FFFF.FFFF.FFFF
    MAC های Multicast مربوط به IPv4 که از 0100.5E00.0000 تا 0100.5EFE.FFFF می باشد
    MAC های Multicast مربوط به IPv6 که از 3333.0000.0000 تا 3333.FFFF.FFFF می باشد
    Multicast های مربوط به BPDU که برابر 0100.0CCC.CCCD می باشد.
    MAC های Multicast مربوط به AppleTalk که از 0900.0700.0000 تا 0900.07FF.FFFF می باشد


قابلیت ها و ویژگی هایی که در Transparent Firewall نمی توان استفاده کرد:

    NAT / PAT : از این قابلیت نمی توان استفاده کرد

نکته : از نسخه (ASA/PIX 8.0(2 می توان از این قابلیت نیز استفاده کرد.

    پروتکل های مسیریابی دینامیک مانند RIP ، EIGRP ، OSPF : امکان استفاده از Static Route برای ترافیک هایی که توسط فایروال ایجاد می شود وجود دارد اما نمیتوان از پروتکل های مسیریابی دینامیک استفاده کرد و تنها می توان به وسیله ACL ترافیک مربوط به این پروتکل ها را از آن عبور داد.
    IPv6
    DHCP relay : Transparent Firewall می تواند به عنوان DHCP Server عمل کند اما امکان استفاده از آن به عنوان DHCP relay وجود ندارد چون نیاز به استفاده از DHCP relay وجود ندارد و می توان ترافیک DHCP را با استفاده از یک ACL عبور داد.
    (Quality of Service (QoS
    Multicast : جهت عبور ترافیک Multicast از یک Security zone بالاتر به پایین تر و بلعکس باید از ACL استفاده شود.
    VPN termination for through traffic

تفاوت بین آدرس MAC و آدرس IP در چیست ؟

کامپیوترها در شبکه با استفاده از دو نوع آدرس شناسایی می شوند که به یکی از آنها آدرس IP و به دیگری آدرس MAC می گویند. MAC مخفف کلمه Media Access Control و IP مخفف کلمه Internet Protocol است و هر دو مکانیزمی برای شناسایی کامپیوترها در شبکه هستند. هر دوی این مکانیزمهای آدرس دهی به این منظور استفاده می شوند تا مطمئن شویم که بسته های اطلاعاتی ما از مبدا به مقصد می رسند و در این میان هویت مبدا و مقصد توسط این مکانیزم های آدرس دهی تعیین می شود. امروز در انجمن تخصصی فناوری اطلاعات ایران می خواهیم در خصوص این بحث کنیم که چرا ما از هر دو نوع آدرس استفاده می کنیم و این دو نوع آدرس با هم چه تفاوت هایی دارند ، یک آدرس IP معمولا توسط مدیر شبکه یا سرویس دهنده اینترنتی شما ( ISP ) به شما ارائه داده می شود و ممکن است هم بصورت دستی و هم بصورت خودکار و هر بار که به اینترنت متصل می شوید به کامپیوتر شما اختصاص داده شود. بنابراین آدرس IP یک آدرس ثابت و همیشگی نیست و ممکن است حتی در طی یک روز بارها آدرس IP شما عوض شود.

آدرس MAC چیست


آدرس IP چیست


این موضوع در خصوص آدرس MAC صادق نیست . آدرس MAC را به عنوان آدرس سخت افزاری کارت شبکه نیز می شناسند و این آدرس معمولا توسط مدیر شبکه تغییر نمی کند و از طرف شرکت تولید کننده بر روی کارت شبکه یا دستگاهی که به شبکه متصل می شود بصورت از پیش تعریف شده وجود دارد. آدرس MAC برای شناسایی یک کارت شبکه استفاده می شود و به همین دلیل باید منحصر به فرد بوده و نباید تغییر کند به همین دلیل شما به روش های معمول نمی توانید آدرس MAC یک کارت شبکه را عوض کنید ، این آدرس برای هر کارت شبکه ای که در دنیا وجود دارد منحصر به فرد است .

ساختار آدرس IP نسخه چهار


آدرس IP برای شناسایی شبکه ای که کامپیوتر در آن قرار گرفته است استفاده می شود و می توان از روی آدرس IP موقعیت حدودی محل قرار گیری کامپیوتر را پیدا کرد. آدرس های IP از طریق سازمان به نام IANA برای هر کشور و هر منطقه جغرافیایی بصورت جداگانه تعریف شده اند و از این طریق شما می توانید محدوده جغرافیایی آدرس IP را به سادگی پیدا کنید که برای کدام کشور و چه بسا برای کدام شهر است. اما این امکان برای ادرس MAC وجود ندارد و در واقع درون این آدرس MAC چیزی برای شناسایی محل جغرافیایی تعریف نشده است و شما نمی توانید محل قرار گیری یک کارت شبکه با آدرس MAC را پیدا کنید ، به همین دلیل می توانیم آدرس MAC را به نوعی اسم یک کارت شبکه در نظر بگیریم تا آدرس آن ، بصورت کلی فراموش نکنید که زمانیکه صحبت از شبکه های LAN و ساختار Switching می شود شما آدرس دهی MAC را استفاده می کنید و زمانیکه صحبت از مسیریابی بین شبکه ها و استفاده از مسیریاب ها و روترها می شود ما از آدرس IP استفاده می کنیم.

یکی از مهمترین قابلیت هایی که آدرس های MAC در اختیار ما قرار می دهند امکان استفاده از مکانیزم امنیتی به نام MAC filtering در شبکه های داخلی است . شما می توانید با اسفاده از MAC Filtering و همچنین قابلیت Port Security بر روی سویچ ها و دستگاه های بیسیم شبکه فقط به آدرس های MAC خاصی امکان استفاده از شبکه و یا حتی اتصال به شبکه را بدهید. این مکانیزم هم می تواند در سطوح کوچک خانگی و هم در سطوح کلان سازمانی پیاده سازی شود و درجه امنیتی سازمان شما را بسیار بالا ببرد. توجه کنید که از آدرس MAC می توان به عنوان یک پیشنیاز برای دریافت آدرس IP هم نام برد. زمانیکه شما در شبکه می خواهید از سرویسی به نام DHCP استفاده کنید که آدرس دهی خودکار انجام می دهد ، ابتدا این سرویس آدرس MAC سیستم شما را دریافت می کند و بر اساس آن یک آدرس IP در اختیار کارت شبکه شما قرار می دهد.

ساختار آدرس MAC


تصویر مربوط به آدرس MAC


آدرس MAC یک آدرس 48 بیتی است که از 6 قسمت تشکیل شده است ، هر یک از این 6 قسمت دارای دو عدد می باشد که در مبنای 16 می باشد. یعنی در هر کدام از این قسمت ها ما می توانیم اعدادی بین 0 تا F استفاده کنیم. برای مثال اولین آدرس MAC بصورت 00:00:00:00:00:00 می باشد و آخرین آدرس MAC بصورت FF:FF:FF:FF:FF:FF شناسایی می شود که مصرف آخرین و اولین آدرس های MAC طبیعتا برای کارت شبکه ها نیست ، برای مثال آدرس MAC به شکل FF:FF:FF:FF:FF:FF برای انجام فرآیند Broadcasting یا ارسال برای همه کامپیوترهای شبکه استفاده می شود. سه قسمت ابتدایی آدرس MAC مختص شرکت سازنده کارت شبکه است و این بدین معنا است که شما می توانید تنها با نگاه کردن به سه قسمت اول آدرس MAC تشخیص بدهید که شرکت تولید کننده این کارت شبکه کیست. سه قسمت بعدی برای هر کارت شبکه در دنیا منحصر به فرد است . توجه کنید که درست است که آدرس MAC بر روی کارت شبکه شما بصورت Hard Coded یا پیشفرض قرار دارد ، اما شما می توانید آن را بصورت موقتی تغییر بدهید که به آن یک نوع حمله به نام جعل آدرس MAC یا MAC Spoofing می گوییم . در لینک اول زیر شما می توانید با وارد کردن آدرس MAC نام کمپانی سازنده و حتی محل شرکت سازنده را مشاهده کنید و در لینک دوم نیز می توانید بصورت دستی آدرس MAC خود را تغییر بدهید :

    مشاهده شرکت سازنده کارت شبکه از طریق آدرس MAC
    نحوه عوض کردن آدرس MAC بصورت دستی

آدرس IP نسخه 4 یک آدرس 32 بیتی است که از 4 قسمت تشکیل شده است که به هر یک از آنها یک Octet یا هشت بیت گفته می شود که اعدادی که در این قسمت ها قرار می گیرند می توانند بین 0 تا 255 باشند. آدرس IP به سادگی قابل تغییر است و شما می توانید با دستکاری تنظیمات کارت شبکه خودتان براحتی آن را تغییر بدهید. توجه کنید که آدرس IP نسخه 6 نیز در حال حاضر استفاده می شود که یک آدرس 128 بیتی و در مبنای 16 است که محدودیت تعداد آدرس های IP در نسخه 4 را برطرف کرده است. آدرس های IP نیز به سادگی قابل جعل شدن هستند و شما می توانید در شبکه خودتان را به جای یک آدرس IP دیگر جا بزنید که اینبار به آن IP Spoofing می گوییم. آدرس MAC در لایه دوم مدل مرجع OSI کار می کند و آدرس IP در لایه سوم مدل مرجع OSI کار می کند. معمولا شما در شبکه هیچکاری بصورت پیشفرض با آدرس MAC ندارید و این سویچ شبکه است که آن را مدیریت می کند. بصورت خلاصه می توانیم تفاوت بین آدرس IP و آدرس MAC را به شکل زیر بیان کنیم :

    آدرس MAC برای شناسایی هر کارت شبکه توسط شرکت سازنده بصورت منحصر به فرد بر روی آن قرار گرفته است و معمولا تغییر نمی کند
    آدرس IP بصورت دستی یا خودکار توسط مدیر شبکه بر روی کارت شبکه قرار می گیرد و معمولا براحتی تغییر می کند
    آدرس MAC برای شناسایی یک کامپیوتر در یک شبکه داخلی و سویچ شبکه استفاده می شود
    آدرس IP برای شناسایی شبکه ای که یک کامپیوتر در آن قرار گرفته است استفاده می شود
    آدرس MAC را می توان در شبکه های داخلی برای فیلتر کردن دسترسی به شبکه استفاده کرد
    هم آدرس MAC و هم آدرس IP قابل جعل و تغییر هستند
    آدرس MAC دارای 48 بیت بصورت Hexadecimal یا مبنای 16 است
    آدرس IP نسخه 4 دارای 32 بیت در قالب Decimal یا مبنای ده است
    آدرس IP نسخه 6 دارای 128 بیت در قالب Hexadecimal یا مبنای 16 است ITPRO باشید

DHCP چیست؟ و چگونه در تجهیزات سیسکو استفاده می شود !

هر دستگاه یا هر اینترفیسی که از TCP/IP استفاده می کند. برای استفاده از شبکه و ارتباطات خود نیاز به یک آدرس منطقی یا همان IP دارد. که این IP را می توان به دو صورت زیر به دستگاه اختصاص داد:

    Static
    Dynamic



Static :
در این حالت اختصاص IP به صورت دستی انجام می گیرد یعنی روی هر دستگاه کاربر خودش یک IP مشخص کند. اختصاص IP به صورت Static مزایای و معایب خاص خودش را دارد که به برخی از آنها اشاره می کنیم:
مزایا :

    هر دستگاه دقیقا مشخص است که از چه IP استفاده می کند.
    به لحاظ امنیتی استفاده از روش Static بهتر است چون در این روش کلاینت ها را بهتر می توان کنترل کرد.
    نیاز به راه اندازی و استفاده از سرویس خاصی ندارد.
    نگه داری و عیب یابی ساده تر انجام می شود.

معایب :

    برای آینده نگری و عدم بروز مشکل باید برای سیستم آدرس دهی ، یک برنامه دقیق و مشخص داشته باشیم.
    در صورتی که تعداد دستگاه زیاد باشند نیاز به وارد کردن IP به صورت دستی روی تک تک دستگاه است که کار مشکلی است.
    احتمال استفاده شدن یک IP برای دو دستگاه وجود دارد که نتیجه آن IP Conflict و مختل شدن عملکرد دستگاه ها است.
    در صورت نیاز به تغییر در سیستم آدرس دهی این تغییرات باید روی تک تک دستگاه ها انجام شود.

نکته : معمولا دستگاه هایی که در شبکه یک سرویس خاص را ارائه می دهند از IP Static استفاده می کنند. چون کلاینت ها از این سرویس استفاده می کنند درنتیجه نباید IP این دستگاه ها تغییر کند. روترها ، سرور ها از این دسته می باشند.

Dynamic :
در این حالت اختصاص IP به صورت خودکار و توسط سرویس (Dynamic Host configuration Protocol (DHCP انجام می گیرد. این پروتکل وظیفه مدیریت سیستم آدرسی دهی شبکه را برعهده می گیرد. DHCP این اجازه را به دستگاه های شبکه می دهد که درخواست برای دریافت IP داشته باشند. DHCP را می توان روی تجهیزات مختلف مانند روتر ، سوئیچ ، ویندوز سرور ، مودم و ... راه اندازی کرد و به آن DHCP Server گفته می شود و کلاینتی که درخواست IP می کند را DHCP client می نامند.

نحوی عملکرد DHCP :
برای DHCP Server یک رنج IP مشخص می شود که از این رنج IP برای اختصاص به کلاینت ها استفاده می کند. DHCP Server علاوه بر مشخص کردن IP برای کلاینت می تواند IP Gateway ، DNS و ... را به کلاینت اعلام کند. برای دریافت IP بین DHCP Client و DHCP Server چهار بسته در و بدل می شود.
زمانی که یک کلاینت به شبکه متصل می شود از رنج IP شبکه و DHCP Server بی خبر است یک بسته به عنوان DHCP Discover به آدرس MAC مقصد ffff.ffff.ffff و IP مبدا 0.0.0.0 و IP مقصد 255.255.255.255 به صورت Broadcast روی شبکه ارسال می کند. DHCP Server با دریافت این بسته به عنوان پاسخ یک بسته به عنوان offer ارسال می کند که حاوی اطلاعات مانند IP ، Default Gateway و ... می باشد. DHCP Client با دریافت بسته offer و بررسی اطلاعات آن ، به عنوان تایید یک بسته Request ارسال می کند. DHCP Server با دریافت بسته Request به عنوان تایید این مراحل و اختصاص IP یک بسته Acknowledgement ارسال می کند و به این ترتیب مراحل اختصاص IP پایان می پذیرد.


معایب و مزایای استفاده از DHCP :
مزایا :

    آدرسی دهی به صورت خودکار و سریع انجام می شود.
    برای مکان هایی که کاربران آن افراد ثابتی نیستند بسیار مناسب است.
    مدیریت سیستم آدرسی دهی و رنج IP آدرس مورد استفاده توسط سرویس DHCP به صورت خودکار انجام می شود.
    احتمال IP Conflict و مختل شدن عملکرد دستگاه ها بسیار کم است.
    در صورت نیاز به تغییر در سیستم آدرس دهی این تغییرات به سادگی انجام می شود.

معایب :

    نیاز به نگه داری دارد.
    دستگاه ها ، IP مشخصی ندارند در نتیجه کنترل آنها مشکل است.
    امکان حمله DHCP Spoofing برای این سرویس وجود دارد.
    برای راه اندازی نیاز به یک DHCP Server داریم در صورتیکه تجهیزات موجود در شبکه این را قابلیت نداشته باشند باید یک دستگاه به این منظور تهیه شود.
    برای همه تجهیزات مثل سرورها نمی توان از DHCP استفاده کرد.


فعال کردن DHCP در تجهیزات سیسکو :
از تجهیزات سیسکو مانند روتر و سوئیچ می توان به عنوان DHCP Server استفاده کرد. برای اینکار از دستورات زیر استفاده می کنیم:
در ابتدا یک Pool ایجاد می کنیم:

R1(config)# ip dhcp pool itpro

حالا باید رنج شبکه ای که می خواهیم از آن به کلاینت IP اختصاص دهیم را مشخص کنیم :

R1(dhcp-config)# network 192.168.1.0 255.255.255.0

سپس پارامترهای دیگر مثل Default Gateway ، DNS ، Domain و ... را مشخص می کنیم:

R1(dhcp-config)# default-router 192.168.1.1
R1(dhcp-config)# dns-server 192.168.1.5 195.170.0.1
R1(dhcp-config)# domain-name itpro.ir

مدت زمان نگه داری IP را براساس روز مشخص می کنیم:

R1(dhcp-config)# lease 9

اگر بخواهیم بخشی از رنج IP را برای موارد خاص مثل سرورها رزرو کنیم از دستور زیر استفاده می کنیم:

R1(config)# ip dhcp excluded-address 192.168.1.1 192.168.1.5
R1(config)# ip dhcp excluded-address 192.168.1.10


DHCP Relay Agent :
همانطور که دیدید بسته DHCP به صورت Broadcast ارسال می شوند حالا شبکه ای را در نظر بگیرد که DHCP Server ان در شبکه ای local نیست و در یک شبکه دیگر قرار دارد. که باعث می شود درخواست های کلاینت ها به دست DHCP Server نرسد(در بین شبکه ها روتر قرار دارد و یکی از وظایف روتر جلوگیری از ارسال بسته های Broadcast از یک شبکه به شبکه دیگر است). DHCP Relay Agent این مشکل را برای ما حل می کند. دستگاهی که به عنوان DHCP Relay Agent عمل می کند بسته های درخواستی کلاینت که به صورت Broadcast است را به سمت DHCP Server به صورت unicast ارسال می کند. در واقع DHCP Relay Agent به عنوان یک واسطه بین کلاینت و سرور کار می کند.

برای فعال کردن این قابلیت روی روتر باید دستور زیر را روی اینترفیسی که به شبکه متصل به کلاینت است وارد کنیم:

R1(config)#interface FastEthernet0/0
R1(config-if)#ip helper-address 192.168.1.1