computerkade
computerkadecomputerkade
computerkadeغیر فعال کردن آپدیت ویندوز ۱۰
ویندوز ۱۰ با همه ی خوبی هایی که دارد یک موردی که بسیار بعضی از کاربران را آزار می دهد بحث آپدیت های آن است که هر چند یک بار صورت می پذیرد البته آپدیت ویندوز در کل چیز بدی نیست زیرا باگ ها و حفره های امنیت
را رفع کرده و امکانات جدیدی را به سیستم ما اضافه می کند ولی استفاده
زیاذ از حجم اینرنت و ریست کردن سیستم بعد نصب از مشکلات آزار دهنده آن است
که معمولا در زمان روشن شدن و خاموش شدن کامپوتر به وقوع می پیوندد حال ما
در این مطلب راه های خاموش کردن آن را به شما آموزش می دهیم.
غیرفعال کردن آپدیت خودکار ویندوز ۱۰ در اتصالات محدود اینترنت
در صورتی که در ویندوز ۱۰، یک کانکشن اتصال به اینترنت را در وضعیت metered
قرار دهید، ویندوز از دانلود آپدیتها به هنگام اتصال به این کانکشن،
پرهیز میکند.ویندوز ۱۰ به طور خودکار برخی کانکشنها (همانند اتصال داده
موبایلی) را در وضعیت metered قرار میدهد. اما شما نیز میتوانید
کانکشنهای دلخواه خودتان با تغییر وضعیت به metered در حالت محدود قرار
دهید. مادامی که وضعیت این اتصال در حالت محدود قرار دارد، آپدیتهای
ویندوز دانلود نمیشوند. همچنین پس از قطع اتصال و اتصال مجدد، وضعیت
کانکشن در حالت metered باقی میماند، مگر آن که خودتان آن را مجدد از حالت
metered بیرون آورید.
در نتیجه در صورتی که از یک اینترنت با ترافیک محدود بهره میبرید پیشنهاد میشود وضعیت metered را بر روی آن فعال نمایید. شما میتوانید در ساعات آخر شب که معمولاً دانلود در حالت رایگان قرار دارد، وضعیت metered را از روی کانکشن غیرفعال کنید تا آپدیتها صورت گیرد.
نحوه کار:
برای این کار، ابتدا به کانکشن اینترنت مورد نظر خود در ویندوز متصل شوید. سپس اپلیکیشن Settings را اجرا نمایید.به Network & Internet رفته و در زیر لیست شبکههای وایفای، روی Advanced options کلیک کنید.
اکنون گزینهی Set as metered connection را بر روی On تنظیم کنید. همانطور که اشاره شد، این گزینه تنها اتصال کنونی اینترنت شما را تحت تأثیر قرار میدهد و ویندوز این تنظیم را جداگانه برای هر اتصال، به خاطر میسپرد.
۴ راه برای غیر فعال کردن آپدیت ویندوز
پس از فعال کردن این گزینه، در صورتی که که به Windows Update مراجعه کنید خواهید دید که ویندوز کانکشن کنونی شما را یک اتصال محدود در نظر گرفته است و از آپدیت خودکار جلوگیری میکند. اما کماکان دکمهی Download جهت دانلود آپدیتها با صلاحدید شما وجود دارد.
۴ راه برای غیر فعال کردن آپدیت ویندوز
غیرفعال کردن آپدیت خودکار ویندوز ۱۰ از طریق Group Policy
این روش از طریق ویرایشگر Group Policy ویندوز انجام میگیرد. لازم به ذکر
است Group Policy در تمامی نسخههای ویندوز ۱۰ به جز نسخهی Home وجود دارد. برای این کار ابتدا کلیدهای ترکیبی Win+R را فشار دهید.در پنجرهی Run عبارت gpedit.msc را وارد کرده و Enter بزنید.
اکنون در پنجرهی Local Group Policy Editor به مسیر زیر بروید:
Computer Configuration\Administrative Templates\Windows Components\Windows Update
۴ راه برای غیر فعال کردن آپدیت ویندوز
پنج نرم افزار جاگرین برای teamviewer
Ammyy Admin
این نرم افزار هم مثل نرم افزار های قبل داردی کارایی آسان است و حجم کمی دارد و کافی این نرم افزار را روی سیستم مبدا و مقصد نصب کرد و به همان روال قبل اتصال را انجام دهید از ویژگی های این نرم افزار می توان به گفت گوی زنده و انتقال فایل اشاره نمود
ویژگیها: حجم بسیار کم، نیاز نداشتن به نصب، استفاده آسان و سریع
سیستم عامل: ویندوز
پنج نرم افزار جاگرین برای teamviewer
AnyDesk
این نرم افزار به دلیل کارایی بسیار بالای آن دارای محبوبیت بالایی است و خیلی ها این نرم افزار را جاگزین بسیار مناسبی برای تیم ویوور می دانند. از ویژگی های این نرم افزار می توان به ساپورت کردن سیستم عامل های مک ، لینوکس و ویندوز اشاره کرد و انتقال فایل و اطلاعات هم از دیگر ویژگی های آن است
علاوه بر این ها شما می توانید توسط اپلیکیشن این نرم افزار از موبایل به کامپوتر وصل شوید
ویژگیها: اتصال ساده و رخ ندادن مشکلات اتصال به دلیل فایروال، حجم کم، استفاده آسان
سیستم عامل: ویندوز، مک، لینوکس
Splashtop
این نرم افزار هم قادر به اتصال بین دو سیستم است وغیر کنترل موس و کیبورد انتقال فایل هم می توان در آن داد ولی ویژگی بارز این نرم افزار کیفیت بالای تصویر است یعنی اگر اینترنت خوبی داشته باشید می توانید حتی فیلم و بازی را اجرا و کنترل کنید. و از همچنین نسخه گوشی نیز دارد.
ویژگیها: استفاده آسان از برنامه، اتصال بدون دردسر و کیفیت بالای تصویر
سیستم عامل: ویندوز، مک، لینوکس، اندروید و آیاواس
NAT چیست ؟ و چگونه از آن در تجهیزات سیسکو استفاده کنیم !
نسخه چهارم پروتکل اینترنت نسبت به تقاضای فعلی شبکه به لحاظ تعداد IP محدود می باشد. به همین دلیل امکان درنظر گرفتن IP برای تمام تجهیزاتی که به اینترنت می خواهند متصل شود وجود ندارد. علاوه بر این محدودیت ، استفاده از IP های معتبر موجود در اینترنت نیاز به پرداخت هزینه است.
NAT) Netwrok Address Translate) برای برطرف شدن این مشکلات ارائه شد. در شبکه های محلی از Private IP استفاده می شود و برای شبکه تعداد محدودی IP معتبر (Public)گرفته می شود و با استفاده از سرویس NAT ارتباط دستگاه ها به اینترنت برقرار می شود.
NAT یک IP به IP دیگر را تبدیل می کند یا عبارتی Private IP را به Public IP تبدیل می کند. به طور مثال یک شبکه را در نظر بگیرد که دارای 20 دستگاه است که می خواهند از اینترنت استفاده کنند با استفاده از سرویس NAT به جای اینکه برای هر دستگاه یک Public IP تهیه شود کلا یک Public IP تهیه می شود و برای دستگاه ها Private IP در نظر گرفته می شود و این دستگاه ها با استفاده از یک Public IP به اینترنت متصل می شوند. با اینکار در مصرف IP و هزینه صرفه جویی می شود.
رنج های Private IP :
10.0.0.0 تا 10.255.255.255
172.16.0.0 تا 172.31.255.255
192.168.0.0 تا 192.168.255.255
برخی از موارد مورد استفاده NAT :
صرفه جویی در مصرف IP و هزینه
زمانی که بخواهیم IP را به دلایلی عوض کنیم
زمانی که شبکه داخلی از Private IP استفاده می کند.
برقراری ارتباط بین دو شبکه که دارای رنج IP یکسانی هستند.
نخواهیم رنج IP که در شبکه مورد استفاده قرار می گیرد از بیرون دیده شود.
زمانی که مقصد ، رنج IP داخلی شبکه ما را نمی شناسد.
سرویس ها و ویژگی هایی که با NAT مشکل دارند:
ناسازگاری با برخی از پروتکل ها : برخی از پروتکل ها IP آدرس مورد استفاده را در لایه هفتم نیز استفاده می کنند که باعث ایجاد مشکل می شود.
برخی از پروتکل های رمزنگاری و احرازهویت : یکی از مسائل در رمز نگاری و احراز هویت جلوگیری از تغییر بسته ها در حین ارسال می باشد.
Log گیری و گزارش گیری : با توجه به تغییر IP بررسی عملکرد و گزارشگیری مشکل است.
مفاهیم NAT :
Inside Local Address : آدرس هایی که برای شبکه داخلی مورد استفاده قرار می گیرد.(Private IP)
Inside Global Address : آدرس هایی که دستگاه های داخلی شبکه با آن از بیرون دیده می شوند. (Public IP)
Outside Local Address : آدرسی هایی که دستگاه های داخل شبکه ، دستگاه های خارج از شبکه را با آن می بینیم و می تواند آدرس Private باشد. نکته ای که وجود دارد این آدرس از طریق شبکه داخلی قابل مسیریابی است.
Outside Global Address : آدرس های Public مربوط به دستگاه های بیرون از شبکه ، که ما با آنها ارتباط برقرار می کنیم مانند Public IP سرور سایت Iitpro
کاربردهای اصلی NAT :
Source NAT : امکان ایجاد ارتباط یک دستگاه که دارای Private IP است را به اینترنت فراهم می کند.
Destination NAT : امکان ایجاد ارتباط به یک دستگاه که دارای Private IP است را از اینترنت فراهم می کند.
انواع NAT :
Static NAT
Dynamic NAT
(Overloaded (PAT
Static NAT :
در این روش یک آدرس Private را تبدیل به یک آدرس Public می کند یا به عبارتی یک دستگاه از شبکه داخلی به یک IP از شبکه خارجی تبدیل می شود.
Image
با توجه به تصویر فوق Static NAT را پیاده سازی می کنیم:
با استفاده از دستور زیر مشخص می کنیم که IP 192.168.1.5 به 5.5.5.1 تبدیل شود.
Router(config)#ip nat inside source static 192.168.1.5 5.5.5.1
سپس شبکه را به دو بخش inside و outside تقسیم می کنیم و دستورات زیر را روی اینترفیس مربوطه وارد می کنیم:
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:
Router#show ip nat translations
Dynamic NAT :
در این روش یک pool (رنج) از آدرس های Public را به یک رنج از Private IP شبکه داخلی اختصاص می دهیم. در این حالت تعداد IPهای داخلی و خارجی باید برابر باشد.
در ابتدا با یک ACL مشخص می کنیم که چه بسته هایی اجازه NAT شدن را دارند.
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
نکته : NAT کردن براساس پارامترهای دیگر مانند پروتکل ، اینترفیس ، مقصد و ... امکان پذیر است برای این حالت ، به جای Standard ACL از Extended ACL استفاده می کنیم.
یک pool تعریف می کنیم و Public IP ها را در آن مشخص می کنیم.
Router(config)#ip nat pool itpro 5.5.5.1 5.5.5.3 prefix-length 24
ACL تعریف شده را به NAT اختصاص می دهیم
Router(config)#ip nat inside source list 1 pool itpro
سپس شبکه را به دو بخش inside و outside تقسیم می کنیم و دستورات زیر را روی اینترفیس مربوطه وارد می کنیم:
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:
Router#show ip nat translations
(Overloaded (PAT :
این روش مشابه Dynamic NAT می باشد با این تفاوت که به تعداد دستگاه هایی که می خواهند از اینترنت استفاده کنند نیاز به IP نداریم و تعداد می تواند کمتر و یا حتی یک عدد باشد.
دستورات اجرای این روش مشابه Dynamic می باشد فقط یک تفاوت کوچک دارد:
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool itpro 5.5.5.1 5.5.5.3 prefix-length 24
در اینجا کلمه overload را به انتهای دستور اضافه می کنیم:
Router(config)#ip nat inside source list 1 pool itpro overload
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:
Router#show ip nat translations
Overlapping NAT :
بعضی از مواقع می خواهیم ارتباط بین دو شبکه که دارای رنج IP یکسانی هستند را برقرار کنیم برای اینکار از Overlapping NAT به صورت زیر استفاده می کنیم:
همانطور که در تصویر می بینید سرور1 و سرور2 هر دو دارای آدرس 192.168.1.11/24 هستند و هر کدام در یک شبکه قرار دارند. در این سناریو می خواهیم ارتباط این دو سرور را با استفاده از NAT برقرار کنیم:
برای پیاده سازی این سناریو از دستورات زیر استفاده می کنیم که مشابه Static NAT می باشد.
در ابتدا روی روتر R1 :
Router(config)# ip nat inside source static 192.168.1.11 192.168.12.11
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
سپس روی روتر R2 :
Router(config)# ip nat inside source static 192.168.1.11 192.168.12.12
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
به این صورت سرور1 از طریق آدرس 192.168.12.12 با سرور2 می تواند ارتباط برقرار کند و سرور2 از طریق آدرس 192.168.12.11 با سرور1 می تواند ارتباط برقرار کند.
NAT) Netwrok Address Translate) برای برطرف شدن این مشکلات ارائه شد. در شبکه های محلی از Private IP استفاده می شود و برای شبکه تعداد محدودی IP معتبر (Public)گرفته می شود و با استفاده از سرویس NAT ارتباط دستگاه ها به اینترنت برقرار می شود.
NAT یک IP به IP دیگر را تبدیل می کند یا عبارتی Private IP را به Public IP تبدیل می کند. به طور مثال یک شبکه را در نظر بگیرد که دارای 20 دستگاه است که می خواهند از اینترنت استفاده کنند با استفاده از سرویس NAT به جای اینکه برای هر دستگاه یک Public IP تهیه شود کلا یک Public IP تهیه می شود و برای دستگاه ها Private IP در نظر گرفته می شود و این دستگاه ها با استفاده از یک Public IP به اینترنت متصل می شوند. با اینکار در مصرف IP و هزینه صرفه جویی می شود.
رنج های Private IP :
10.0.0.0 تا 10.255.255.255
172.16.0.0 تا 172.31.255.255
192.168.0.0 تا 192.168.255.255
برخی از موارد مورد استفاده NAT :
صرفه جویی در مصرف IP و هزینه
زمانی که بخواهیم IP را به دلایلی عوض کنیم
زمانی که شبکه داخلی از Private IP استفاده می کند.
برقراری ارتباط بین دو شبکه که دارای رنج IP یکسانی هستند.
نخواهیم رنج IP که در شبکه مورد استفاده قرار می گیرد از بیرون دیده شود.
زمانی که مقصد ، رنج IP داخلی شبکه ما را نمی شناسد.
سرویس ها و ویژگی هایی که با NAT مشکل دارند:
ناسازگاری با برخی از پروتکل ها : برخی از پروتکل ها IP آدرس مورد استفاده را در لایه هفتم نیز استفاده می کنند که باعث ایجاد مشکل می شود.
برخی از پروتکل های رمزنگاری و احرازهویت : یکی از مسائل در رمز نگاری و احراز هویت جلوگیری از تغییر بسته ها در حین ارسال می باشد.
Log گیری و گزارش گیری : با توجه به تغییر IP بررسی عملکرد و گزارشگیری مشکل است.
مفاهیم NAT :
Inside Local Address : آدرس هایی که برای شبکه داخلی مورد استفاده قرار می گیرد.(Private IP)
Inside Global Address : آدرس هایی که دستگاه های داخلی شبکه با آن از بیرون دیده می شوند. (Public IP)
Outside Local Address : آدرسی هایی که دستگاه های داخل شبکه ، دستگاه های خارج از شبکه را با آن می بینیم و می تواند آدرس Private باشد. نکته ای که وجود دارد این آدرس از طریق شبکه داخلی قابل مسیریابی است.
Outside Global Address : آدرس های Public مربوط به دستگاه های بیرون از شبکه ، که ما با آنها ارتباط برقرار می کنیم مانند Public IP سرور سایت Iitpro
کاربردهای اصلی NAT :
Source NAT : امکان ایجاد ارتباط یک دستگاه که دارای Private IP است را به اینترنت فراهم می کند.
Destination NAT : امکان ایجاد ارتباط به یک دستگاه که دارای Private IP است را از اینترنت فراهم می کند.
انواع NAT :
Static NAT
Dynamic NAT
(Overloaded (PAT
Static NAT :
در این روش یک آدرس Private را تبدیل به یک آدرس Public می کند یا به عبارتی یک دستگاه از شبکه داخلی به یک IP از شبکه خارجی تبدیل می شود.
Image
با توجه به تصویر فوق Static NAT را پیاده سازی می کنیم:
با استفاده از دستور زیر مشخص می کنیم که IP 192.168.1.5 به 5.5.5.1 تبدیل شود.
Router(config)#ip nat inside source static 192.168.1.5 5.5.5.1
سپس شبکه را به دو بخش inside و outside تقسیم می کنیم و دستورات زیر را روی اینترفیس مربوطه وارد می کنیم:
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:
Router#show ip nat translations
Dynamic NAT :
در این روش یک pool (رنج) از آدرس های Public را به یک رنج از Private IP شبکه داخلی اختصاص می دهیم. در این حالت تعداد IPهای داخلی و خارجی باید برابر باشد.
در ابتدا با یک ACL مشخص می کنیم که چه بسته هایی اجازه NAT شدن را دارند.
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
نکته : NAT کردن براساس پارامترهای دیگر مانند پروتکل ، اینترفیس ، مقصد و ... امکان پذیر است برای این حالت ، به جای Standard ACL از Extended ACL استفاده می کنیم.
یک pool تعریف می کنیم و Public IP ها را در آن مشخص می کنیم.
Router(config)#ip nat pool itpro 5.5.5.1 5.5.5.3 prefix-length 24
ACL تعریف شده را به NAT اختصاص می دهیم
Router(config)#ip nat inside source list 1 pool itpro
سپس شبکه را به دو بخش inside و outside تقسیم می کنیم و دستورات زیر را روی اینترفیس مربوطه وارد می کنیم:
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:
Router#show ip nat translations
(Overloaded (PAT :
این روش مشابه Dynamic NAT می باشد با این تفاوت که به تعداد دستگاه هایی که می خواهند از اینترنت استفاده کنند نیاز به IP نداریم و تعداد می تواند کمتر و یا حتی یک عدد باشد.
دستورات اجرای این روش مشابه Dynamic می باشد فقط یک تفاوت کوچک دارد:
Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#ip nat pool itpro 5.5.5.1 5.5.5.3 prefix-length 24
در اینجا کلمه overload را به انتهای دستور اضافه می کنیم:
Router(config)#ip nat inside source list 1 pool itpro overload
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
برای مشاهده وضعیت NAT از دستور زیر استفاده کنید:
Router#show ip nat translations
Overlapping NAT :
بعضی از مواقع می خواهیم ارتباط بین دو شبکه که دارای رنج IP یکسانی هستند را برقرار کنیم برای اینکار از Overlapping NAT به صورت زیر استفاده می کنیم:
همانطور که در تصویر می بینید سرور1 و سرور2 هر دو دارای آدرس 192.168.1.11/24 هستند و هر کدام در یک شبکه قرار دارند. در این سناریو می خواهیم ارتباط این دو سرور را با استفاده از NAT برقرار کنیم:
برای پیاده سازی این سناریو از دستورات زیر استفاده می کنیم که مشابه Static NAT می باشد.
در ابتدا روی روتر R1 :
Router(config)# ip nat inside source static 192.168.1.11 192.168.12.11
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
سپس روی روتر R2 :
Router(config)# ip nat inside source static 192.168.1.11 192.168.12.12
Router(config)#interface fastethernet 0/0
Router(config-if)#ip nat inside
Router(config)#interface fastethernet 0/1
Router(config-if)#ip nat outside
به این صورت سرور1 از طریق آدرس 192.168.12.12 با سرور2 می تواند ارتباط برقرار کند و سرور2 از طریق آدرس 192.168.12.11 با سرور1 می تواند ارتباط برقرار کند.
تفاوت بین LDAP و Active Directory در چیست ؟
زمانیکه شبکه سازمانی شما بزرگ می شود و تبدیل به یک شبکه Enterprise می شود طبیعتا مدیریت و احراز هویت متمرکز یکی از اساسی ترین نیازمندی های این شبکه خواهد بود . در اینجاست که وجود یک سیستم احراز هویت کاربری کاربردی می تواند پیچیدگی ها و دشواری های سیستم های احراز هویت کاربری توزیع شده را کاهش داده و تقریبا همه چیز را یکپارچه کند. برای ایجاد کردن این سیستم یکپارچه متمرکز ما معمولا در شبکه های مایکروسافتی از سرویسی به نام Active Directory استفاده می کنیم که توسط شرکت مایکروسافت معرفی و پیاده سازی شد . ما در سیستم عامل لینوکس نیز محصولی مشابه داریم که همین کار را انجام می دهد اما بیشترین استفاده از Directory Service در دنیا از همین Active Directory مایکروسافت است. برخی اوقات واژه ای ممکن است با Active Directory شنیده باشید که LDAP نام دارد. توجه کنید که LDAP یک سرویس نیست بلکه یک پروتکل لایه هفت است که می توان از آن در تمامی سرویس های دایرکتوری یا Directory Service های ویندوزی و لینوکسی استفاده کرد. در واقع اکتیودایرکتوری نیز خود بر اساس و پایه پروتکل LDAP طراحی و پیاده سازی شده است. امروز می خواهیم در انجمن تخصصی فناوری اطلاعات ایران در خصوص تفاوت بین Active Directory و LDAP صحبت کنیم.
LDAP یا Lightweight Directory Access Protocol چیست ؟
LDAP مخفف کلمه های Lightweight Directory Access Protocol می باشد و همانطور که از نامش هم پیداست یک پروتکل برای دسترسی پیدا کردن به سرویس Directory است. LDAP بهینه سازی شده یک سیستم پیچیده Directory System به نام استاندارد X.500 است که توسط دانشگاه میشیگان یا همان MIT طراحی و معرفی شد. LDAP بروز رسانی شده یک پروتکل قدیمی تر به نام DAP است که فقط سبکتر شده است. امروزه از نسخه 3 این استاندارد استفاده می شود و به نوعی LDAP Version 3 امروزه کاربردی است. LDAP یک پروتکل لایه کاربردی است که توسط Application هایی مثل Email ، نرم افزارهای جستجوگر پرینتر در شبکه ، نرم افزارهای جستجو در لیست تماس و در کل در هر سیستمی که قرار باشد اطلاعاتی از سرور دریافت شده و جستجویی انجام شود استفاده می شود. البته به این موضوع توجه کنید که هر کسی نمی تواند از LDAP Server پرسش و پاسخ داشته باشد ، برای اینکه شما یا کلاینت شما بتواند از LDAP Server در خصوص بدست آوردن اطلاعاتی درخواست کند بایستی کلاینت مورد نظر در اصطلاح LDAP-Aware باشد تا به روش های مختلف بتواند از سرور LDAP پرسش و پاسخ یا Query بگیرد.
LDAP هم مانند یک پایگاه داده مرکزی است ، همه چیز در خصوص اطلاعات در این پایگاه داده ذخیره می شوند و کلاینت ها برای دسترسی به این اطلاعات از پایگاه داده Query می گیرند. اطلاعاتی که در LDAP سرور ذخیره می شود در قالب دایرکتوری ذخیره می شود که در هر دایرکتوری دقیقا مشابه سایر پایگاه داده های اطلاعاتی اطلاعات در قالب رکورد ذخیره می شوند. تمامی رکوردهای داده ای که در LDAP سرور ذخیره می شود index می شوند . زمانیکه یک نام یا یک گروه از طرف کلاینت ها درخواست داده می شود ، فیلترهای خاصی اعمال می شود تا سریعتر به اطلاعات دسترسی پیدا شود. مهمترین دلیل برای index کردن رکوردها بالا بردن سرعت جستجوی آنها است. برای مثال یک Email Client مثل Outlook برای اینکه بتواند لیست Contact های موجود در LDAP Server برای شهر کرج را جستجو کند که با حروف Mo شروع می شوند بلافاصله بعد از وارد کردن درخواست ، جستجوی سریع با استفاده از index ها شروع شده و لیست تماس مورد نظر کاربر به وی نمایش داده خواهد شد.
علاوه بر اطلاعات مربوط به لیست تماس یا Contact List ، پروتکل LDAP می تواند برای جستجو کردن اطلاعاتی از قبیل Certificate های رمزنگاری ، جستجوی پرینترها ، گروه ها ، کاربرها ، پوشه های به اشتراک گذاشته شده و بسیاری دیگر از موارد نیز در شبکه مورد استفاده قرار بگیرد. اما از نظر ادیسون ، پروفسور سمیعی ، من و سایر دانشمندان ( به خدااااا ) مهمترین کاربرد LDAP پیاده سازی ساختار SSO یا Single Sign On در شبکه است. شما می توانید سرویس های نرم افزاری متنوعی داشته باشید و همه این سرویس ها دارای نام کاربری واحدی باشند که از یکجا برای احراز هویت استفاده می کند و فقط و فقط یکبار نیاز به تعریف کردن کاربران دارید. از LDAP سرورها در اکثر سازمان ها و ارگان ها و شبکه های بزرگ استفاده می شود. LDAP سرورهای عمومی به دلیل مشکل بروز اسپم امروزه کمتر مورد استفاده قرار می گیرند. شما به عنوان یک مدیر LDAP سرور می توانید برای پایگاه داده های آن سطوح دسترسی تعریف کنید. Active Directory Lightweight Directory Service یا ADLDS یک نوع LDAP سرور مایکروسافتی است که برای شبکه های Workgroup و طراحی های DMZ استفاده می شود.
Active Directory چیست ؟
Active Directory هم یک Directory Service است که توسط شرکت مایکروسافت طراحی وی معرفی شده است. Active Directory با استفاده کردن از پروتکل ها و استانداردهای متنوعی که در آن تعبیه شده است قابلیت ارائه یک سری خدمات و سرویس های شبکه ای جالب را به دست آورده است. Active Directory بصورت کامل از LDAP نسخه دو LDAP نسخه سه پشتیبانی می کند و این بدین معناست که شما هر کاری که در LDAP می توانید انجام دهید در Active Directory هم می توانید انجام دهید. یکی از فاکتورهای بسیار مهم در خصوص Active Directory در خصوص احراز هویت این است که AD از پروتکل احراز هویت Kerberos پشتیبانی می کند. سرویس هایی که Active Directory ارائه می دهد بر اساس سرویس DNS هستند و از همه مهمتر بزرگترین قابلیت اکتیودایرکتوری مدیریت و نظارت بر کلیه فرآیند های شبکه بصورت مرکزی است. تمامی اطلاعات و Object هایی که در شبکه وجود دارند بصورت مرکزی در پایگاه داده Active Directory ذخیره می شوند. اکتیودایرکتوری با استفاده از مکانیزم SSO ای که ارائه می دهد امکان مدیریت دسترسی و سطوح دسترسی به منابع شبکه را بصورت متمرکز ارائه می کند. اکتیودایرکتوری فوق العاده مقیاس پذیر است و شما می توانید از یک شبکه کوچک گرفته با بزرگترین شبکه های دنیا را با استفاده از اکتیودایرکتوری مدیریت کند. یکی از مهمترین مزایای اکتیودایرکتوری امکان یکسان سازی و کپی کردن بلافاصله اطلاعات پایگاه داده اش بر روی چندین سرور است که بصورت یک Backup انجام می شود. این فرآیند به عنوان Replication شناخته می شود.
تفاوت اصلی Active Directory و LDAP در چیست ؟
اکتیودایرکتوری یک Directory Service Provider است
LDAP یک Application Protocol است که توسط Directory Service Provider ها استفاده می شود
اکتیودایرکتوری و Open-LDAP دو محصولی هستند که از LDAP برای سرویس دهی استفاده می کنند
اکتیودایرکتوری احراز هویت توسط پروتکل Kerberos را پشتیبانی می کند
اکتیودایرکتوری مالک اختصاصی به نام مایکروسافت دارد
LDAP یک پروتکل است و توسط دانشگاه MIT طراحی شده است
اکتیودایرکتوری فقط روی سیستم عامل های سرور مایکروسافت قابل اجرا است
LDAP فارق از هر نوع سیستم عامل قابل استفاده است ITPRO باشید
LDAP یا Lightweight Directory Access Protocol چیست ؟
LDAP مخفف کلمه های Lightweight Directory Access Protocol می باشد و همانطور که از نامش هم پیداست یک پروتکل برای دسترسی پیدا کردن به سرویس Directory است. LDAP بهینه سازی شده یک سیستم پیچیده Directory System به نام استاندارد X.500 است که توسط دانشگاه میشیگان یا همان MIT طراحی و معرفی شد. LDAP بروز رسانی شده یک پروتکل قدیمی تر به نام DAP است که فقط سبکتر شده است. امروزه از نسخه 3 این استاندارد استفاده می شود و به نوعی LDAP Version 3 امروزه کاربردی است. LDAP یک پروتکل لایه کاربردی است که توسط Application هایی مثل Email ، نرم افزارهای جستجوگر پرینتر در شبکه ، نرم افزارهای جستجو در لیست تماس و در کل در هر سیستمی که قرار باشد اطلاعاتی از سرور دریافت شده و جستجویی انجام شود استفاده می شود. البته به این موضوع توجه کنید که هر کسی نمی تواند از LDAP Server پرسش و پاسخ داشته باشد ، برای اینکه شما یا کلاینت شما بتواند از LDAP Server در خصوص بدست آوردن اطلاعاتی درخواست کند بایستی کلاینت مورد نظر در اصطلاح LDAP-Aware باشد تا به روش های مختلف بتواند از سرور LDAP پرسش و پاسخ یا Query بگیرد.
LDAP هم مانند یک پایگاه داده مرکزی است ، همه چیز در خصوص اطلاعات در این پایگاه داده ذخیره می شوند و کلاینت ها برای دسترسی به این اطلاعات از پایگاه داده Query می گیرند. اطلاعاتی که در LDAP سرور ذخیره می شود در قالب دایرکتوری ذخیره می شود که در هر دایرکتوری دقیقا مشابه سایر پایگاه داده های اطلاعاتی اطلاعات در قالب رکورد ذخیره می شوند. تمامی رکوردهای داده ای که در LDAP سرور ذخیره می شود index می شوند . زمانیکه یک نام یا یک گروه از طرف کلاینت ها درخواست داده می شود ، فیلترهای خاصی اعمال می شود تا سریعتر به اطلاعات دسترسی پیدا شود. مهمترین دلیل برای index کردن رکوردها بالا بردن سرعت جستجوی آنها است. برای مثال یک Email Client مثل Outlook برای اینکه بتواند لیست Contact های موجود در LDAP Server برای شهر کرج را جستجو کند که با حروف Mo شروع می شوند بلافاصله بعد از وارد کردن درخواست ، جستجوی سریع با استفاده از index ها شروع شده و لیست تماس مورد نظر کاربر به وی نمایش داده خواهد شد.
علاوه بر اطلاعات مربوط به لیست تماس یا Contact List ، پروتکل LDAP می تواند برای جستجو کردن اطلاعاتی از قبیل Certificate های رمزنگاری ، جستجوی پرینترها ، گروه ها ، کاربرها ، پوشه های به اشتراک گذاشته شده و بسیاری دیگر از موارد نیز در شبکه مورد استفاده قرار بگیرد. اما از نظر ادیسون ، پروفسور سمیعی ، من و سایر دانشمندان ( به خدااااا ) مهمترین کاربرد LDAP پیاده سازی ساختار SSO یا Single Sign On در شبکه است. شما می توانید سرویس های نرم افزاری متنوعی داشته باشید و همه این سرویس ها دارای نام کاربری واحدی باشند که از یکجا برای احراز هویت استفاده می کند و فقط و فقط یکبار نیاز به تعریف کردن کاربران دارید. از LDAP سرورها در اکثر سازمان ها و ارگان ها و شبکه های بزرگ استفاده می شود. LDAP سرورهای عمومی به دلیل مشکل بروز اسپم امروزه کمتر مورد استفاده قرار می گیرند. شما به عنوان یک مدیر LDAP سرور می توانید برای پایگاه داده های آن سطوح دسترسی تعریف کنید. Active Directory Lightweight Directory Service یا ADLDS یک نوع LDAP سرور مایکروسافتی است که برای شبکه های Workgroup و طراحی های DMZ استفاده می شود.
Active Directory چیست ؟
Active Directory هم یک Directory Service است که توسط شرکت مایکروسافت طراحی وی معرفی شده است. Active Directory با استفاده کردن از پروتکل ها و استانداردهای متنوعی که در آن تعبیه شده است قابلیت ارائه یک سری خدمات و سرویس های شبکه ای جالب را به دست آورده است. Active Directory بصورت کامل از LDAP نسخه دو LDAP نسخه سه پشتیبانی می کند و این بدین معناست که شما هر کاری که در LDAP می توانید انجام دهید در Active Directory هم می توانید انجام دهید. یکی از فاکتورهای بسیار مهم در خصوص Active Directory در خصوص احراز هویت این است که AD از پروتکل احراز هویت Kerberos پشتیبانی می کند. سرویس هایی که Active Directory ارائه می دهد بر اساس سرویس DNS هستند و از همه مهمتر بزرگترین قابلیت اکتیودایرکتوری مدیریت و نظارت بر کلیه فرآیند های شبکه بصورت مرکزی است. تمامی اطلاعات و Object هایی که در شبکه وجود دارند بصورت مرکزی در پایگاه داده Active Directory ذخیره می شوند. اکتیودایرکتوری با استفاده از مکانیزم SSO ای که ارائه می دهد امکان مدیریت دسترسی و سطوح دسترسی به منابع شبکه را بصورت متمرکز ارائه می کند. اکتیودایرکتوری فوق العاده مقیاس پذیر است و شما می توانید از یک شبکه کوچک گرفته با بزرگترین شبکه های دنیا را با استفاده از اکتیودایرکتوری مدیریت کند. یکی از مهمترین مزایای اکتیودایرکتوری امکان یکسان سازی و کپی کردن بلافاصله اطلاعات پایگاه داده اش بر روی چندین سرور است که بصورت یک Backup انجام می شود. این فرآیند به عنوان Replication شناخته می شود.
تفاوت اصلی Active Directory و LDAP در چیست ؟
اکتیودایرکتوری یک Directory Service Provider است
LDAP یک Application Protocol است که توسط Directory Service Provider ها استفاده می شود
اکتیودایرکتوری و Open-LDAP دو محصولی هستند که از LDAP برای سرویس دهی استفاده می کنند
اکتیودایرکتوری احراز هویت توسط پروتکل Kerberos را پشتیبانی می کند
اکتیودایرکتوری مالک اختصاصی به نام مایکروسافت دارد
LDAP یک پروتکل است و توسط دانشگاه MIT طراحی شده است
اکتیودایرکتوری فقط روی سیستم عامل های سرور مایکروسافت قابل اجرا است
LDAP فارق از هر نوع سیستم عامل قابل استفاده است ITPRO باشید
Transparent Firewall یا فایروال لایه دو چیست؟ و عملکرد آن چگونه است !
فایروال یک سیستم امنیتی برای شبکه است که به دو صورت سخت افزاری و نرم افزاری موجود است و وظیفه آن کنترل ترافیک ورودی و خروجی براساس سیاست ها و نقش هایی که برای آن تعریف می شود است. فایروال شرکت تحت نام Adaptive Security Applince یا ASA تولید می شود البته ASA علاوه بر فایروال امکانات مانند AntiVirus ، IPS ، VPN و ... را برای ما فراهم می کند. ASA در دو Mode یا حالت Transparent و Routed کار می کند.
در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Transparent Mode را بررسی کنیم اما در ابتدا به صورت مختصر Routed Mode را بررسی می کنیم.
Routed Mode :
به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.
در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.024 ، اینترفیس 1 به نام inside به شبکه 192.168.200.024 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.
Transparent Mode :
حالت دیگری که ASA می تواند در آن عمل کند Transparent است. در این حالت ASA همانند یک دستگاه لایه دو فعالیت می کند و مانند یک روتر یا Gateway در شبکه دیده نمی شود این حالت استفاده فایروال را قایروال لایه دو یا فایروال مخفی نیز می نامند. چون در این حالت اینترفیس های فایروال IP نمی گیرند در نتیجه قابل شناسایی نیستند و تنها از یک IP آدرس برای ترافیک Management مروبط به خود دستگاه استفاده می شود.
نصب و راه اندازی فایروال در حالت Transparent در شبکه به سادگی انجام می پذیرد و شبکه ما را به دو قسمت inside و outside تقسیم می کند بودن اینکه نیاز به تغییر در سیستم آدرس دهی شبکه وجود داشته باشد در شکل زیر نحوی استقرار فایروال در حالت Transparent را نشان می دهد.
در حالت Transparent هر دو اینترفیس inside و outside به یک subnet متصل می شود. به این حالت bump in the wire گفته می شود چون در این حالت ASA شبکه را جدا نمی کند و بخشی از شبکه می شود و ترافیک شبکه مورد بازرسی قرار می دهد و نسبت به سیاست های و نقش های در نظر گرفته شده برای فایروال ، در مورد ترافیک های عبوری تصمیم می گیرد. به این همین دلیل نصب و راه اندازی Transparent mode ساده و آسان است.
با اینکه حالت Transparent در لایه دو عمل می کند ترافیک لایه سه تا زمانی که شما به آن اجازه عبور ندهید (با یک ACL) این ترافیک نمی تواند عبور کند. و تنها ترافیکی که بدون ACL اجازه عبور دارد ترافیک مربوط به ARP است. ترافیک ARP را با ARP Inspection می توان کنترل کرد.
نکته : در حالت Transparent ترافیک CDP اجازه عبور ندارد.
به طور مثال شما می توانید با استفاده از یک ACL ترافیک Routing Protocol هایی مانند OSPF ، EIGRP و ... را از Transparent Firewall عبور دهید
ASA در حالت transparent را می توان همانند یک سوئیچ در نظر گرفت که فریم ها را از یک اینترفیس به اینترفیس دیگر منتقل می کند اینکار براساس MAC آدرس فریم انجام می شود. ASA آدرس MAC مبدا و پورتی که روی آن این فریم را دریافت کرده را نگه داری می کند و از این طریق متوجه می شود که برای رسیدن به این MAC آدرس از چه اینترفیس می تواند استفاده کند. با استفاده از این اطلاعات ASA یک جدول تشکیل می دهد و این اطلاعات را در آن نگه داری می کند و با استفاده از این جدول اقدام به ارسال فریم های می کند.
زمانی که یک فریم که MAC مقصد را در جدول خود ندارد چه واکنشی نشان می دهد؟
سوئیچ زمانی که MAC مقصد فریم را در جدول Cam خود پیدا نکند این فریم را روی تمام اینترفیس هایش غیر از اینترفیسی که این فریم را روی آن دریافت کرده ارسال می کند به این امید که مقصد به یکی از پورت هایش متصل باشد.
اما ASA همانند سوئیچ اینکار را به سادگی انجام نمی دهد چون به دلیل سیاست های امنیتی امکان ارسال بسته ها محدود شده است. در عوض ASA به منظور پیدا کردن مقصد به یکی از روش های زیر وارد عمل می شود:
ARP request : زمانی که آدرس IP مقصد در شبکه Local (همان subnet) قرار دارد در نتیجه به ASA از طریق یک شبکه متصل است و ASA اقدام به ارسال یک ARP request می کند و در صورتی که مقصد به آن پاسخ دهد از روی این پاسخ محل استقرار مقصد را متوجه می شود.
Ping request : زمانی که آدرس IP مقصد در یک شبکه دیگر قرار دارد ASA اقدام به ارسال echo request به مقصد مورد نظر می کند. زمانی که پاسخ توسط روتر یا مقصد پاسخ داده شد. ASA از روی پاسخ دریافتی می فهمد MAC بعدی (next-hop) که از طریق آن به مقصد می رسد چیست و چگونه می تواند به آن برسد.
ASA که نسخه 8.4(1) یا بالاتر را اجرا کند این امکان را دارد که اینترفیس های خود را عضو یک یا چند گروه (bridge group) منطقی کند. هر bridge group به عنوان یک Transparent firewall کاملا مستقل عمل کند. ترافیکی که از یک bridge group عبور می کند نمی تواند وارد bridge group دیگر شود در صورت نیاز به ایجاد ارتباط بین این گروه ها باید از یک روتر خارجی استفاده شود. در فایروال های ASA تا هشت bridge group می توان ایجاد کرد که به هر گروه می توان 2 تا 4 اینترفیس داشته باشد. حداقل هر گروه باید دو اینترفیس داشته باشد که معمولا به نام های inside و outside شناخته می شوند. تصویر زیر نشان دهنده دو bridge group است که به صورت کاملا مجزا از یکدیگر عمل می کنند.
با استفاده از این قابلیت این امکان فراهم می شود که چندین فایروال مستقل داشته باشیم.
نسخه های قبل 8.4(1) تنها از یک bridge group پشتیبانی می کنند و از دو اینترفیس برای آنها می توان استفاده کرد که می توان نام های inside و outside را برای آنها در نظر گرفت و اجازه استفاده از اینترفیس سوم را نخواهیم داشت مگر به عنوان پورت Management از آن استفاده کنیم که تنها ترافیک مربوط به خود دستگاه از آن عبور داده شود.
زمانی که ASA چند Security Context دارد برای هر Context می تواند یک یا چند bridge group داشته باشیم. به هر Context می توان اینترفیسی را اختصاص داد که مربوط به Contextهای دیگر نباشد به عبارت دیگر اینترفیس ها نمی توانند بین Context ها مشترک باشند.
اینترفیس های فایروال در حالت Transparent باید همه به یک شبکه (subnet) متصل باشند هر چند که بسته های IP بودن محدودیت های لایه دو همچنان بازرسی می شوند. از یک Extended ACL برای بررسی و ارزیابی Policiesهای ، ترافیک استفاده می شود و موتور بازرسی و بررسی ASA می تواند فعالیت های ترافیک را در هر لایه ای مورد بررسی قرار دهد.
نکته : از نسخه (2)8.0 می توان از NAT در transparent firewall استفاده کرد.
نکته : قایروال در حالت Routed عمل بازرسی و انتقال ترافیک را فقط براساس بسته های IP انجام می دهد اما در حالت transparent این محدود وجود ندارد چون در لایه دوم عمل می کند و می تواند ترافیک های غیر IP را نیز مدیریت کند. ترافیک های غیر IP را می توان به وسیله یک ACL کنترل کرد.
انتخاب Firewall Mode :
قبل از اینکه یکی از دو حالت Routed یا Transparent را برای شبکه خود انتخاب کنیم باید از نقاط ضعف و قوت این دو حالت آگاهی داشته باشیم. در اینجا به صورت خلاصه این ویژگی ها را نام می بریم:
Transparent Firewall Mode :
زمانی استفاده می شود که بخواهیم ترافیک غیر IP را از آن عبور دهیم.
نیاز به تغییرات در سیستم آدرس دهی در شبکه ندارد.
به ازای هر bridge group می توان از 2 تا 4 اینترفیس استفاده کرد.
از همه ویژگی ها و امکانات ASA نمی توان استفاده کرد مانند Dynamic Routing ، QoS و ...
Routed Firewall Mode :
زمانی استفاده می شود که فقط بسته های IP را بخواهیم بازرسی کنیم.
تغییرات در سیستم آدرس دهی شبکه مورد نیاز است.
همه اینترفیس ها قابل استفاده هستند.
از تمام امکانات ASA می توان استفاده کرد.
مواردی که در هنگام پیاده سازی حالت Transparent باید در نظر گرفته شود:
در نظر گرفتن یک IP برای مدیریت فایروال (در صورتی که از چند Context استفاده می شود برای هر Context یک IP در نظر گرفته شود(. بر خلاف حالت Routed که برای هر اینترفیس آن یک IP در نظر گرفته می شود در حالت Transparent فقط یک IP برای خود دستگاه در نظر گرفته می شود و از آن برای ارسال و دریافت ترافیک که مربوط به خود دستگاه است استفاده می شود مانند ترافیک های AAA یا Syslog و ... از این قبیل می باشد. IP در نظر گرفته شده باید در همان Subnet باشد که فایروال به آن متصل است.
در حالت Transparent تنها از دو اینترفیس آن استفاده می شود که تحت نام inside و outside در نظر گرفته می شود. همچنین امکان استفاده از اینترفیس management وجود دارد ولی باقی اینترفیس ها را نمی توان استفاده کرد.
IP Management دستگاه را به عنوان Default Gateway دستگاه های شبکه در نظر نگیرید. روش صحیح این است که ِDefault Gateway در سمت دیگر فایروال قرار گیرد تا ترافیک دستگاه های شبکه از آن رد شود.
در صورت داشتن چند Context برای هر Context باید اینترفیس های مجزا در نظر گرفت و نمی توان یک اینترفیس را برای چند Context استفاده کرد.
Allowed MAC Addresses :
MAC آدرس زیر به عنوان مقصد اجازه عبور از Transparent Firewall را دارند. هر MAC آدرسی که در جدول زیر وجود نداشته باشد توسط فایروال Drop می شود:
MAC مورد استفاده Broadcast که برابر FFFF.FFFF.FFFF
MAC های Multicast مربوط به IPv4 که از 0100.5E00.0000 تا 0100.5EFE.FFFF می باشد
MAC های Multicast مربوط به IPv6 که از 3333.0000.0000 تا 3333.FFFF.FFFF می باشد
Multicast های مربوط به BPDU که برابر 0100.0CCC.CCCD می باشد.
MAC های Multicast مربوط به AppleTalk که از 0900.0700.0000 تا 0900.07FF.FFFF می باشد
قابلیت ها و ویژگی هایی که در Transparent Firewall نمی توان استفاده کرد:
NAT / PAT : از این قابلیت نمی توان استفاده کرد
نکته : از نسخه (ASA/PIX 8.0(2 می توان از این قابلیت نیز استفاده کرد.
پروتکل های مسیریابی دینامیک مانند RIP ، EIGRP ، OSPF : امکان استفاده از Static Route برای ترافیک هایی که توسط فایروال ایجاد می شود وجود دارد اما نمیتوان از پروتکل های مسیریابی دینامیک استفاده کرد و تنها می توان به وسیله ACL ترافیک مربوط به این پروتکل ها را از آن عبور داد.
IPv6
DHCP relay : Transparent Firewall می تواند به عنوان DHCP Server عمل کند اما امکان استفاده از آن به عنوان DHCP relay وجود ندارد چون نیاز به استفاده از DHCP relay وجود ندارد و می توان ترافیک DHCP را با استفاده از یک ACL عبور داد.
(Quality of Service (QoS
Multicast : جهت عبور ترافیک Multicast از یک Security zone بالاتر به پایین تر و بلعکس باید از ACL استفاده شود.
VPN termination for through traffic
در این مقاله می خواهیم مفاهیم ، نحوی عملکرد و ویژگی های Transparent Mode را بررسی کنیم اما در ابتدا به صورت مختصر Routed Mode را بررسی می کنیم.
Routed Mode :
به صورت پیش فرض فایروال ASA در لایه سوم عمل می کند و بر پایه Packet و IP Address عمل می کند و کلیه عملیات بازرسی و انتقال ترافیک ، براساس پارامترهای لایه سوم انجام می گیرد هرچند که ASA می تواند در لایه های بالاتر نیز کنترل را انجام دهد. ASA با در نظر گرفتن IP Address برای اینترفیس ها ، خود را به عنوان یک روتر یا Gateway در شبکه ای که به آن متصل است معرفی کند. به این حالت Routed Mode گفته می شود.استفاده از این حالت نیاز به تغییرات در سیستم آدرس دهی IP دارد.
در این حالت هر اینترفیس ASA باید به یک Subnet متصل و یک IP از آن Subnet به آن اینترفیس اختصاص داده شود در تصویر زیر حالت Routed Mode را می بینید که اینترفیس 0 به نام outside به شبکه 192.168.100.024 ، اینترفیس 1 به نام inside به شبکه 192.168.200.024 و اینترفیس 2 به نام DMZ به شبکه 192.168.1.1/24 متصل است.
Transparent Mode :
حالت دیگری که ASA می تواند در آن عمل کند Transparent است. در این حالت ASA همانند یک دستگاه لایه دو فعالیت می کند و مانند یک روتر یا Gateway در شبکه دیده نمی شود این حالت استفاده فایروال را قایروال لایه دو یا فایروال مخفی نیز می نامند. چون در این حالت اینترفیس های فایروال IP نمی گیرند در نتیجه قابل شناسایی نیستند و تنها از یک IP آدرس برای ترافیک Management مروبط به خود دستگاه استفاده می شود.
نصب و راه اندازی فایروال در حالت Transparent در شبکه به سادگی انجام می پذیرد و شبکه ما را به دو قسمت inside و outside تقسیم می کند بودن اینکه نیاز به تغییر در سیستم آدرس دهی شبکه وجود داشته باشد در شکل زیر نحوی استقرار فایروال در حالت Transparent را نشان می دهد.
در حالت Transparent هر دو اینترفیس inside و outside به یک subnet متصل می شود. به این حالت bump in the wire گفته می شود چون در این حالت ASA شبکه را جدا نمی کند و بخشی از شبکه می شود و ترافیک شبکه مورد بازرسی قرار می دهد و نسبت به سیاست های و نقش های در نظر گرفته شده برای فایروال ، در مورد ترافیک های عبوری تصمیم می گیرد. به این همین دلیل نصب و راه اندازی Transparent mode ساده و آسان است.
با اینکه حالت Transparent در لایه دو عمل می کند ترافیک لایه سه تا زمانی که شما به آن اجازه عبور ندهید (با یک ACL) این ترافیک نمی تواند عبور کند. و تنها ترافیکی که بدون ACL اجازه عبور دارد ترافیک مربوط به ARP است. ترافیک ARP را با ARP Inspection می توان کنترل کرد.
نکته : در حالت Transparent ترافیک CDP اجازه عبور ندارد.
به طور مثال شما می توانید با استفاده از یک ACL ترافیک Routing Protocol هایی مانند OSPF ، EIGRP و ... را از Transparent Firewall عبور دهید
ASA در حالت transparent را می توان همانند یک سوئیچ در نظر گرفت که فریم ها را از یک اینترفیس به اینترفیس دیگر منتقل می کند اینکار براساس MAC آدرس فریم انجام می شود. ASA آدرس MAC مبدا و پورتی که روی آن این فریم را دریافت کرده را نگه داری می کند و از این طریق متوجه می شود که برای رسیدن به این MAC آدرس از چه اینترفیس می تواند استفاده کند. با استفاده از این اطلاعات ASA یک جدول تشکیل می دهد و این اطلاعات را در آن نگه داری می کند و با استفاده از این جدول اقدام به ارسال فریم های می کند.
زمانی که یک فریم که MAC مقصد را در جدول خود ندارد چه واکنشی نشان می دهد؟
سوئیچ زمانی که MAC مقصد فریم را در جدول Cam خود پیدا نکند این فریم را روی تمام اینترفیس هایش غیر از اینترفیسی که این فریم را روی آن دریافت کرده ارسال می کند به این امید که مقصد به یکی از پورت هایش متصل باشد.
اما ASA همانند سوئیچ اینکار را به سادگی انجام نمی دهد چون به دلیل سیاست های امنیتی امکان ارسال بسته ها محدود شده است. در عوض ASA به منظور پیدا کردن مقصد به یکی از روش های زیر وارد عمل می شود:
ARP request : زمانی که آدرس IP مقصد در شبکه Local (همان subnet) قرار دارد در نتیجه به ASA از طریق یک شبکه متصل است و ASA اقدام به ارسال یک ARP request می کند و در صورتی که مقصد به آن پاسخ دهد از روی این پاسخ محل استقرار مقصد را متوجه می شود.
Ping request : زمانی که آدرس IP مقصد در یک شبکه دیگر قرار دارد ASA اقدام به ارسال echo request به مقصد مورد نظر می کند. زمانی که پاسخ توسط روتر یا مقصد پاسخ داده شد. ASA از روی پاسخ دریافتی می فهمد MAC بعدی (next-hop) که از طریق آن به مقصد می رسد چیست و چگونه می تواند به آن برسد.
ASA که نسخه 8.4(1) یا بالاتر را اجرا کند این امکان را دارد که اینترفیس های خود را عضو یک یا چند گروه (bridge group) منطقی کند. هر bridge group به عنوان یک Transparent firewall کاملا مستقل عمل کند. ترافیکی که از یک bridge group عبور می کند نمی تواند وارد bridge group دیگر شود در صورت نیاز به ایجاد ارتباط بین این گروه ها باید از یک روتر خارجی استفاده شود. در فایروال های ASA تا هشت bridge group می توان ایجاد کرد که به هر گروه می توان 2 تا 4 اینترفیس داشته باشد. حداقل هر گروه باید دو اینترفیس داشته باشد که معمولا به نام های inside و outside شناخته می شوند. تصویر زیر نشان دهنده دو bridge group است که به صورت کاملا مجزا از یکدیگر عمل می کنند.
با استفاده از این قابلیت این امکان فراهم می شود که چندین فایروال مستقل داشته باشیم.
نسخه های قبل 8.4(1) تنها از یک bridge group پشتیبانی می کنند و از دو اینترفیس برای آنها می توان استفاده کرد که می توان نام های inside و outside را برای آنها در نظر گرفت و اجازه استفاده از اینترفیس سوم را نخواهیم داشت مگر به عنوان پورت Management از آن استفاده کنیم که تنها ترافیک مربوط به خود دستگاه از آن عبور داده شود.
زمانی که ASA چند Security Context دارد برای هر Context می تواند یک یا چند bridge group داشته باشیم. به هر Context می توان اینترفیسی را اختصاص داد که مربوط به Contextهای دیگر نباشد به عبارت دیگر اینترفیس ها نمی توانند بین Context ها مشترک باشند.
اینترفیس های فایروال در حالت Transparent باید همه به یک شبکه (subnet) متصل باشند هر چند که بسته های IP بودن محدودیت های لایه دو همچنان بازرسی می شوند. از یک Extended ACL برای بررسی و ارزیابی Policiesهای ، ترافیک استفاده می شود و موتور بازرسی و بررسی ASA می تواند فعالیت های ترافیک را در هر لایه ای مورد بررسی قرار دهد.
نکته : از نسخه (2)8.0 می توان از NAT در transparent firewall استفاده کرد.
نکته : قایروال در حالت Routed عمل بازرسی و انتقال ترافیک را فقط براساس بسته های IP انجام می دهد اما در حالت transparent این محدود وجود ندارد چون در لایه دوم عمل می کند و می تواند ترافیک های غیر IP را نیز مدیریت کند. ترافیک های غیر IP را می توان به وسیله یک ACL کنترل کرد.
انتخاب Firewall Mode :
قبل از اینکه یکی از دو حالت Routed یا Transparent را برای شبکه خود انتخاب کنیم باید از نقاط ضعف و قوت این دو حالت آگاهی داشته باشیم. در اینجا به صورت خلاصه این ویژگی ها را نام می بریم:
Transparent Firewall Mode :
زمانی استفاده می شود که بخواهیم ترافیک غیر IP را از آن عبور دهیم.
نیاز به تغییرات در سیستم آدرس دهی در شبکه ندارد.
به ازای هر bridge group می توان از 2 تا 4 اینترفیس استفاده کرد.
از همه ویژگی ها و امکانات ASA نمی توان استفاده کرد مانند Dynamic Routing ، QoS و ...
Routed Firewall Mode :
زمانی استفاده می شود که فقط بسته های IP را بخواهیم بازرسی کنیم.
تغییرات در سیستم آدرس دهی شبکه مورد نیاز است.
همه اینترفیس ها قابل استفاده هستند.
از تمام امکانات ASA می توان استفاده کرد.
مواردی که در هنگام پیاده سازی حالت Transparent باید در نظر گرفته شود:
در نظر گرفتن یک IP برای مدیریت فایروال (در صورتی که از چند Context استفاده می شود برای هر Context یک IP در نظر گرفته شود(. بر خلاف حالت Routed که برای هر اینترفیس آن یک IP در نظر گرفته می شود در حالت Transparent فقط یک IP برای خود دستگاه در نظر گرفته می شود و از آن برای ارسال و دریافت ترافیک که مربوط به خود دستگاه است استفاده می شود مانند ترافیک های AAA یا Syslog و ... از این قبیل می باشد. IP در نظر گرفته شده باید در همان Subnet باشد که فایروال به آن متصل است.
در حالت Transparent تنها از دو اینترفیس آن استفاده می شود که تحت نام inside و outside در نظر گرفته می شود. همچنین امکان استفاده از اینترفیس management وجود دارد ولی باقی اینترفیس ها را نمی توان استفاده کرد.
IP Management دستگاه را به عنوان Default Gateway دستگاه های شبکه در نظر نگیرید. روش صحیح این است که ِDefault Gateway در سمت دیگر فایروال قرار گیرد تا ترافیک دستگاه های شبکه از آن رد شود.
در صورت داشتن چند Context برای هر Context باید اینترفیس های مجزا در نظر گرفت و نمی توان یک اینترفیس را برای چند Context استفاده کرد.
Allowed MAC Addresses :
MAC آدرس زیر به عنوان مقصد اجازه عبور از Transparent Firewall را دارند. هر MAC آدرسی که در جدول زیر وجود نداشته باشد توسط فایروال Drop می شود:
MAC مورد استفاده Broadcast که برابر FFFF.FFFF.FFFF
MAC های Multicast مربوط به IPv4 که از 0100.5E00.0000 تا 0100.5EFE.FFFF می باشد
MAC های Multicast مربوط به IPv6 که از 3333.0000.0000 تا 3333.FFFF.FFFF می باشد
Multicast های مربوط به BPDU که برابر 0100.0CCC.CCCD می باشد.
MAC های Multicast مربوط به AppleTalk که از 0900.0700.0000 تا 0900.07FF.FFFF می باشد
قابلیت ها و ویژگی هایی که در Transparent Firewall نمی توان استفاده کرد:
NAT / PAT : از این قابلیت نمی توان استفاده کرد
نکته : از نسخه (ASA/PIX 8.0(2 می توان از این قابلیت نیز استفاده کرد.
پروتکل های مسیریابی دینامیک مانند RIP ، EIGRP ، OSPF : امکان استفاده از Static Route برای ترافیک هایی که توسط فایروال ایجاد می شود وجود دارد اما نمیتوان از پروتکل های مسیریابی دینامیک استفاده کرد و تنها می توان به وسیله ACL ترافیک مربوط به این پروتکل ها را از آن عبور داد.
IPv6
DHCP relay : Transparent Firewall می تواند به عنوان DHCP Server عمل کند اما امکان استفاده از آن به عنوان DHCP relay وجود ندارد چون نیاز به استفاده از DHCP relay وجود ندارد و می توان ترافیک DHCP را با استفاده از یک ACL عبور داد.
(Quality of Service (QoS
Multicast : جهت عبور ترافیک Multicast از یک Security zone بالاتر به پایین تر و بلعکس باید از ACL استفاده شود.
VPN termination for through traffic