مفاهیم امنیت شبکه

 امنیت شبکه یا Network Security پردازه ای است که طی آن یک شبکه در مقابل انواع مختلف تهدیدات داخلی و خارجی امن می شود. مراحل ذیل برای ایجاد امنیت پیشنهاد و تایید شده اند:

1-     شناسایی بخشی که باید تحت محافظت قرار گیرد.

2-     تصمیم گیری درباره  مواردی که باید در مقابل آنها از بخش مورد نظر محافظت کرد.

3-     تصمیم گیری درباره چگونگی تهدیدات

4-  پیاده سازی امکاناتی که بتوانند از دارایی های شما به شیوه ای محافظت کنند که از نظر هزینه به صرفه باشد.

5-     مرور مجدد و مداوم پردازه و تقویت آن درصورت یاقتن نقطه ضعف

 مفاهیم امنیت شبکه

برای درک بهتر مباحث مطرح شده در این بخش ابتدا به طرح بعضی مفاهیم در امنیت شبکه      می پردازیم.

1- منابع شبکه

در یک شبکه مدرن منابع بسیاری جهت محافظت وجود دارند. لیست ذیل مجموعه ای از منابع شبکه را معرفی می کند که باید در مقابل انواع حمله ها مورد حفاظت قرار گیرند.

1-     تجهیزات شبکه مانند روترها، سوئیچ ها و فایروالها

2-  اطلاعات عملیات شبکه مانند جداول مسیریابی و پیکربندی لیست دسترسی که بر روی روتر ذخیره شده اند.

3-     منابع نامحسوس شبکه مانند عرض باند و سرعت

4-     اطلاعات و منابع اطلاعاتی متصل به شبکه مانند پایگاه های داده و سرورهای اطلاعاتی

5-     ترمینالهایی که برای استفاد هاز منابع مختلف به شبکه متصل می شوند.

6-     اطلاعات در حال تبادل بر روی شبکه در هر لحظه از زمان

7-     خصوصی نگهداشتن عملیات کاربرن و استفاده آنها از منابع شبکه جهت جلوگیری از شناسایی کاربران.

مجموعه فوق به عنوان دارایی های یک شبکه قلمداد می شود.

2- حمله

حال به تعریف حمله می پردازیم تا بدانیم که از شبکه در مقابل چه چیزی باید محافظت کنیم. حمله تلاشی خطرناک یا غیر خطرناک است تا یک منبع قابل دسترسی از طریق شبکه ، به گونه ای مورد تغییر یا استفاده قرار گیرد که مورد نظر نبوده است.برای فهم بهتر بد نیست حملات شبکه را به سه دسته عمومی تقسیم کنیم:

1-     دسترسی غیرمجاز به منابع و اطلاعات از طریق شبکه

2-     دستکاری غیرمجاز اطلاعات بر روی یک شبکه

3-     حملاتی که منجر به اختلال در ارائه سرویس می شوند و اصطلاحا Denial of Service نام دارند.

کلمه کلیدی در دو دسته اول انجام اعمال به صورت غیرمجاز است. تعریف یک عمل مجاز یا غیرمجاز به عهده سیاست امنیتی شبکه است، اما به عبارت کلی می توان دسترسی غیرمجاز را تلاش یک کاربر جهت دیدن یا تغییر اطلاعاتی که برای وی در نظر گرفته نشده است، تعریف نمود اطلاعات روی یک شبکه نیز شامل اطلاعات موجود بر روی رایانه های متصل به شبکه مانند سرورهای پایگاه داده و وب ، اطلاعات در حال تبادل بر روی شبکه و اطلاعات مختص اجزاء شبکه جهت انجام کارها مانند جداول مسیریابی روتر است. منابع شبکه را نیز می توان تجهیزات انتهایی مانند روتر و فایروال یا مکانیزمهای اتصال و ارتباط دانست.

هدف از ایجاد امنیت شبکه ، حفاظت از شبکه در مقابل حملات فوق است، لذا می توان اهداف را نیز در سه دسته ارائه کرد:

1-     ثابت کردن محرمانگی داده

2-     نگهداری جامعیت داده

3-     نگهداری در دسترس بودن داده

3- حلیل خطر

پس از تعیین دارایی های شبکه و عوامل تهدیدکننده آنها ، باید خطرات مختلف را ارزیابی کرد. در بهترین حالت باید بتوان از شبکه در مقابل تمامی انواع خطا محافظت کرد، اما امنیت ارزان به دست نمی آید. بنابراین باید ارزیابی مناسبی را بر روی انواع خطرات انجام داد تا مهمترین آنها را تشخیص دهیم و از طرف دیگر منابعی که باید در مقابل این خطرات محافظت شوند نیز شناسایی شوند. دو فاکتور اصلی در تحلیل خطر عبارتند از :

1-     احتمال انجام حمله

2-     خسارت وارده به شبکه درصورت انجام حمله موفق

4- سیاست امنیتی

پس از تحلیل خطر باید سیاست امنیتی شبکه را به گونه ای تعریف کرد که احتمال خطرات و میزان خسارت را به حداقل برساند. سیاست امنیتی باید عمومی و در حوزه دید کلی باشد و به جزئیات نپردازد. جزئیات می توانند طی مدت کوتاهی تغییر پیدا کنند اما اصول کلی امنیت یک شبکه که سیاست های آن را تشکیل می دهند ثابت باقی می مانند.در واقع سیاست امنیتی سه نقش اصلی را به عهده دارد:

1-     چه و چرا باید محافظت شود.

2-     چه کسی باید مسئولیت حفاظت را به عهده بگیرد.

3-     زمینه ای را بوجود آورد که هرگونه تضاد احتمالی را حل و فصل کند.

سیاستهای امنیتی را می توان به طور کلی به دو دسته تقسیم کرد:

1-     مجاز (Permissive) : هر آنچه بطور مشخص ممنوع نشده است ، مجاز است.

2-     محدود کننده (Restrictive) : هر آنچه بطور مشخص مجاز نشده است ، ممنوع است.

معمولا ایده استفاده از سیاستهای امنیتی محدودکننده بهتر و مناسبتر است چون سیاستهای مجاز دارای مشکلات امنیتی هستند و نمی توان تمامی موارد غیرمجاز را برشمرد. المانهای دخیل در سیاست امنیتی در RFC 2196 لیست و ارائه شده اند.

5- طرح امنیت شبکه

با تعریف سیاست امنیتی به پیاده سازی آن در قالب یک طرح امنیت شبکه می رسیم. المانهای تشکیل دهنده یک طرح امنیت شبکه عبارتند از :

1-     ویژگیهای امنیتی هر دستگاه مانند کلمه عبور مدیریتی و یا بکارگیری SSH

2-     فایروالها

3-     مجتمع کننده های VPN برای دسترسی از دور

4-     تشخیص نفوذ

5-  سرورهای امنیتی AAA ( Authentication، Authorization and Accounting) و سایر خدمات AAA برای شبکه

6-     مکانیزمهای کنترل دسترسی و محدودکننده دسترسی برای دستگاههای مختلف شبکه

6- نواحی امنیتی

تعریف نواحی امنیتی نقش مهمی را در ایجاد یک شبکه امن ایفا می کند. در واقع یکی از بهترین شیوه های دفاع در مقابل حملات شبکه ، طراحی امنیت شبکه به صورت منطقه ای و مبتنی بر توپولوژی است و یکی از مهمترین ایده های مورد استفاده در شبکه های امن مدرن ، تعریف نواحی و تفکیک مناطق مختلف شبکه از یکدیگر است. تجهیزاتی که در هر ناحیه قرار می گیرند نیازهای متفاوتی دارند و لذا هر ناحیه حفاظت را بسته به نیازهای امنیتی تجهیزات نصب شده در آن ، تامین می کند. همچنین منطقه بندی یک شبکه باعث ایجاد ثبات بیشتر در آن شبکه نیز       می شود.

نواحی امنیتی بنابر استراتژی های اصلی ذیل تعریف می شوند.

1-  تجهیزات و دستگاههایی که بیشترین نیاز امنیتی را دارند (شبکه خصوصی) در امن ترین منطقه قرار می گیرند. معمولا اجازه دسترسی عمومی یا از شبکه های دیگر به این منطقه داده نمی شود. دسترسی با کمک یک فایروال و یا سایر امکانات امنیتی مانند دسترسی از دور امن (SRA) کنترل می شود. کنترل شناسایی و احراز هویت و مجاز یا غیر مجاز بودن در این منطقه به شدت انجام می شود.

2-  سرورهایی که فقط باید از سوی کاربران داخلی در دسترس باشند در منطقه ای امن ، خصوصی و مجزا قرار می گیرند. کنترل دسترسی به این تجهیزات با کمک فایروال انجام می شود و دسترسی ها کاملا نظارت و ثبت می شوند.

3-  سرورهایی که باید از شبکه عمومی مورد دسترسی قرار گیرند در منطقه ای جدا و بدون امکان دسترسی به مناطق امن تر شبکه قرار می گیرند. درصورت امکان بهتر است هر یک از این سرورها را در منطقه ای مجزا قرار داد تا درصورت مورد حمله قرار گرفتن یکی ، سایرین مورد تهدید قرار نگیرند. به این مناطق DMZ یا Demilitarized Zone می گویند.

4-  استفاده از فایروالها به شکل لایه ای و به کارگیری فایروالهای مختلف سبب می شود تا درصورت وجود یک اشکال امنیتی در یک فایروال ، کل شبکه به مخاطره نیفتد و امکان استفاده از Backdoor نیز کم شود

 مقدمه ای بر شبکه خصوصی مجازی (VPN)

شبکه خصوصی مجازی یا Virtual Private Network که به اختصار VPN نامیده می شود، امکانی است برای انتقال ترافیک خصوصی بر روی شبکه عمومی. معمولا  از VPN برای اتصال دو شبکه خصوصی از طریق یک شبکه عمومی مانند اینترنت استفاده می شود.منظور از یک شبکه خصوصی شبکه ای است که بطور آزاد در اختیار و دسترس عموم نیست. VPN به این دلیل مجازی نامیده می شود که از نظر دو شبکه خصوصی ، ارتباط از طریق یک ارتباط و شبکه خصوصی بین آنها برقرار است اما در واقع شبکه عمومی این کار را انجام می دهد. پیاده سازی VPN معمولا اتصال دو یا چند شبکه خصوصی از طریق یک تونل رمزشده انجام می شود. در واقع به این وسیله اطلاعات در حال تبادل بر روی شبکه عمومی از دید سایر کاربران محفوظ می ماند. VPN را می توان بسته به شیوه پیاده سازی و اهداف پیاده سازی آن به انواع مختلفی تقسیم کرد. 

 دسته بندی VPN براساس رمزنگاری

 VPN را می توان با توجه به استفاده یا عدم استفاده از رمزنگاری به دو گروه اصلی تقسیم کرد:

1-       VPNرمزشده : VPN های رمز شده از انواع مکانیزمهای رمزنگاری برای انتقال امن اطلاعات بر روی شبکه عمومی استفاده می کنند. یک نمونه خوب از این VPN ها ، شبکه های خصوصی مجازی اجرا شده به کمک IPSec  هستند.

2-       VPN رمزنشده : این نوع از VPN برای اتصال دو یا چند شبکه خصوصی با هدف استفاده از منابع شبکه یکدیگر ایجاد می شود. اما امنیت اطلاعات در حال تبادل حائز اهمیت نیست یا این که این امنیت با روش دیگری غیر از رمزنگاری تامین می شود. یکی از این روشها تفکیک مسیریابی است. منظور از تفکیک مسیریابی آن است که تنها اطلاعات در حال تبادل بین دو شبکه خصوصی به هر یک از آنها مسیر دهی می شوند. (MPLS VPN) در این مواقع می توان در لایه های بالاتر از رمزنگاری مانند SSL استفاده کرد.

هر دو روش ذکر شده می توانند با توجه به سیاست امنیتی مورد نظر ، امنیت مناسبی را برای مجموعه به ارمغان بیاورند، اما معمولا VPN های رمز شده برای ایجاد VPN امن به کار        می روند. سایر انواع VPN مانند MPLS VPN بستگی به امنیت و جامعیت عملیات مسیریابی دارند.

 دسته بندی VPN براساس لایه پیاده سازی

VPN بر اساس لایه مدل OSI که در آن پیاده سازی شده اند نیز قابل دسته بندی هستند. این موضوع از اهمیت خاصی برخوردار است. برای مثال در VPN های رمز شده ، لایه ای که در آن رمزنگاری انجام می شود در حجم ترافیک رمز شده تاثیر دارد. همچنین سطح شفافیت VPN برای کاربران آن نیز با توجه به لایه پیاده سازی مطرح می شود.

1-       VPN لایه پیوند داده : با استفاده از VPN های لایه پیوند داده می توان دو شبکه خصوصی را در لایه 2 مدل OSI با استفاده از پروتکلهایی مانند ATM یا Frame Relay به هم متصل کرد.با وجودی که این مکانیزم راه حل مناسبی به نظر می رسد اما معمولا روش ارزنی نیست چون نیاز به یک مسیر اختصاصی لایه 2 دارد. پروتکلهای Frame Relay و ATM مکانیزمهای رمزنگاری را تامین نمی کنند. آنها فقط به ترافیک اجازه می دهند تا بسته به آن که به کدام اتصال لایه 2 تعلق دارد ، تفکیک شود. بنابراین اگر به امنیت بیشتری نیاز دارید باید مکانیزمهای رمزنگاری مناسبی را به کار بگیرید.

2-       VPN لایه شبکه : این سری از VPN ها با استفاده از tunneling لایه 3 و/یا تکنیکهای رمزنگاری استفاده می کنند. برای مثال می توان به IPSec Tunneling و پروتکل رمزنگاری برای ایجاد VPN اشاره کرد.مثالهای دیگر پروتکلهای GRE و L2TP هستند. جالب است اشاره کنیم که L2TP در ترافیک لایه 2 تونل می زند اما از لایه 3 برای این کار استفاده می کند. بنابراین در VPN های لایه شبکه قرار می گیرد. این لایه برای انجام رمزنگاری نیز بسیار مناسب است. در بخشهای بعدی این گزارش به این سری از VPN ها به طور مشروح خواهیم پرداخت.

3-       VPN لایه کاربرد : این VPN ها برای کار با برنامه های کاربردی خاص ایجاد شده اند. VPN های مبتنی بر SSL از مثالهای خوب برای این نوع از VPN هستند. SSL رمزنگاری را بین مرورگر وب و سروری که SSL را اجرا می کند، تامین          می کند.SSH  مثال دیگری برای این نوع از VPN ها است.SSH به عنوان یک مکانیزم امن و رمز شده برای login به اجزای مختلف شبکه شناخته می شود. مشکل VPNها در این لایه آن است که هرچه خدمات و برنامه های جدیدی اضافه می شوند ، پشتیبانی آنها در VPN نیز باید اضافه شود.

 دسته بندی VPN براساس کارکرد تجاری

VPN را برای رسیدن به اهداف تجاری خاصی ایجاد می شوند. این اهداف تجاری تقسیم بندی جدیدی را برای VPN بنا می کنند .

1-       VPN اینترانتی : این سری از VPN ها دو یا چند شبکه خصوصی را در درون یک سازمان به هم متصل می کنند. این نوع از VPN زمانی معنا می کند که می خواهیم شعب یا دفاتر یک سازمان در نقاط دوردست را به مرکز آن متصل کنیم و یک شبکه امن بین آنها برقرار کنیم.

VPN اکسترانتی : این سری از VPN ها برای اتصال دو یا چند شبکه خصوصی از دو یا چند سازمان به کار می روند. از این نوع VPN معمولا برای سناریوهای B2B که در آن دو شرکت می خواهند به ارتباطات تجاری با یکدیگر بپردازند، استفاده می شود.

امنیت در شبکه‌های بی‌سیم 

بخش هفتم : ضعف‌های اولیه‌ی امنیتی WEP

    در قسمت‌های قبل به سرویس‌های امنیتی استاندارد 802.11 پرداختیم. در ضمنِ ذکر هریک از سرویس‌ها، سعی کردیم به ضعف‌های هریک اشاره‌یی داشته باشیم. در این قسمت به بررسی ضعف‌های تکنیک‌های امنیتی پایه‌ی استفاده شده در این استاندارد می‌پردازیم.

    همان‌گونه که گفته شد، عملاً پایه‌ی امنیت در استاندارد 802.11 بر اساس پروتکل WEP استوار است. WEP در حالت استاندارد بر اساس کلیدهای ۴۰ بیتی برای رمزنگاری توسط الگوریتم RC4 استفاده می‌شود، هرچند که برخی از تولیدکننده‌گان نگارش‌های خاصی از WEP را با کلیدهایی با تعداد بیت‌های بیش‌تر پیاده‌سازی کرده‌اند.

    نکته‌یی که در این میان اهمیت دارد قائل شدن تمایز میان نسبت بالارفتن امنیت و اندازه‌ی کلیدهاست. با وجود آن که با بالارفتن اندازه‌ی کلید (تا ۱۰۴ بیت) امنیت بالاتر می‌رود، ولی از آن‌جاکه این کلیدها توسط کاربران و بر اساس یک کلمه‌ی عبور تعیین می‌شود، تضمینی نیست که این اندازه تماماً استفاده شود. از سوی دیگر همان‌طور که در قسمت‌های پیشین نیز ذکر شد، دست‌یابی به این کلیدها فرایند چندان سختی نیست، که در آن صورت دیگر اندازه‌ی کلید اهمیتی ندارد.

    متخصصان امنیت بررسی‌های بسیاری را برای تعیین حفره‌های امنیتی این استاندارد انجام داده‌اند که در این راستا خطراتی که ناشی از حملاتی متنوع، شامل حملات غیرفعال و فعال است، تحلیل شده است.

    حاصل بررسی‌های انجام شده فهرستی از ضعف‌های اولیه‌ی این پروتکل است :

۱. استفاده از کلیدهای ثابت WEP

    یکی از ابتدایی‌ترین ضعف‌ها که عموماً در بسیاری از شبکه‌های محلی بی‌سیم وجود دارد استفاده از کلیدهای مشابه توسط کاربران برای مدت زمان نسبتاً زیاد است. این ضعف به دلیل نبود یک مکانیزم مدیریت کلید رخ می‌دهد. برای مثال اگر یک کامپیوتر کیفی یا جیبی که از یک کلید خاص استفاده می‌کند به سرقت برود یا برای مدت زمانی در دست‌رس نفوذگر باشد، کلید آن به‌راحتی لو رفته و با توجه به تشابه کلید میان بسیاری از ایستگاه‌های کاری عملاً استفاده از تمامی این ایستگاه‌ها ناامن است.

    از سوی دیگر با توجه به مشابه بودن کلید، در هر لحظه کانال‌های ارتباطی زیادی توسط یک حمله نفوذپذیر هستند.

۲. Initialization Vector (IV)

این بردار که یک فیلد ۲۴ بیتی است در قسمت قبل معرفی شده است. این بردار به صورت متنی ساده فرستاده می شود. از آن‌جایی‌که کلیدی که برای رمزنگاری مورد استفاده قرار می‌گیرد بر اساس IV تولید می شود، محدوده‌ی IV عملاً نشان‌دهنده‌ی احتمال تکرار آن و در نتیجه احتمال تولید کلیدهای مشابه است. به عبارت دیگر در صورتی که IV کوتاه باشد در مدت زمان کمی می‌توان به کلیدهای مشابه دست یافت.

    این ضعف در شبکه‌های شلوغ به مشکلی حاد مبدل می‌شود. خصوصاً اگر از کارت شبکه‌ی استفاده شده مطمئن نباشیم. بسیاری از کارت‌های شبکه از IVهای ثابت استفاده می‌کنند و بسیاری از کارت‌های شبکه‌ی یک تولید کننده‌ی واحد IVهای مشابه دارند. این خطر به‌همراه ترافیک بالا در یک شبکه‌ی شلوغ احتمال تکرار IV در مدت زمانی کوتاه را بالاتر می‌برد و در نتیجه کافی‌ست نفوذگر در مدت زمانی معین به ثبت داده‌های رمز شده‌ی شبکه بپردازد و IVهای بسته‌های اطلاعاتی را ذخیره کند. با ایجاد بانکی از IVهای استفاده شده در یک شبکه‌ی شلوغ احتمال بالایی برای نفوذ به آن شبکه در مدت زمانی نه چندان طولانی وجود خواهد داشت.

۳. ضعف در الگوریتم

    از آن‌جایی‌که IV در تمامی بسته‌های تکرار می‌شود و بر اساس آن کلید تولید می‌شود، نفوذگر می‌تواند با تحلیل و آنالیز تعداد نسبتاً زیادی از IVها و بسته‌های رمزشده بر اساس کلید تولید شده بر مبنای آن IV، به کلید اصلی دست پیدا کند. این فرایند عملی زمان بر است ولی از آن‌جاکه احتمال موفقیت در آن وجود دارد لذا به عنوان ضعفی برای این پروتکل محسوب می‌گردد.

۴. استفاده از CRC رمز نشده

    در پروتکل WEP، کد CRC رمز نمی‌شود. لذا بسته‌های تأییدی که از سوی نقاط دست‌رسی بی‌سیم به‌سوی گیرنده ارسال می‌شود بر اساس یک CRC رمزنشده ارسال می‌گردد و تنها در صورتی که نقطه‌ی دست‌رسی از صحت بسته اطمینان حاصل کند تأیید آن را می‌فرستد. این ضعف این امکان را فراهم می‌کند که نفوذگر برای رمزگشایی یک بسته، محتوای آن را تغییر دهد و CRC را نیز به دلیل این که رمز نشده است، به‌راحتی عوض کند و منتظر عکس‌العمل نقطه‌ی دست‌رسی بماند که آیا بسته‌ی تأیید را صادر می کند یا خیر.

    ضعف‌های بیان شده از مهم‌ترین ضعف‌های شبکه‌های بی‌سیم مبتنی بر پروتکل WEP هستند. نکته‌یی که در مورد ضعف‌های فوق باید به آن اشاره کرد این است که در میان این ضعف‌ها تنها یکی از آن‌ها (مشکل امنیتی سوم) به ضعف در الگوریتم رمزنگاری باز می‌گردد و لذا با تغییر الگوریتم رمزنگاری تنها این ضعف است که برطرف می‌گردد و بقیه‌ی مشکلات امنیتی کماکان به قوت خود باقی هستند.

    جدول زیر ضعف‌های امنیتی پروتکل WEP را به‌اختصار جمع‌بندی کرده  است :

امنیت در شبکه‌های بی‌سیم

بخش ششم : سرویس‌های امنیتی 802.11b – Privacy و Integrity

    در قسمت قبل به سرویس اول از سرویس‌های امنیتی 802.11b پرداختیم. این قسمت به بررسی دو سرویس دیگر اختصاص دارد. سرویس اول Privacy  (محرمانه‌گی) و  سرویس دوم Integrity است.

Privacy

    این سرویس که در حوزه‌های دیگر امنیتی اغلب به عنوان Confidentiality از آن یاد می‌گردد به‌معنای حفظ امنیت و محرمانه نگاه‌داشتن اطلاعات کاربر یا گره‌های در حال تبادل اطلاعات با یکدیگر است. برای رعایت محرمانه‌گی عموماً از تکنیک‌های رمزنگاری استفاده می‌گردد، به‌گونه‌یی‌که در صورت شنود اطلاعات در حال تبادل، این اطلاعات بدون داشتن کلیدهای رمز، قابل رمزگشایی نبوده و لذا برای شنودگر غیرقابل سوء استفاده است.

    در استاندارد 802.11b، از تکنیک‌های رمزنگاری WEP استفاده می‌گردد که برپایه‌ی RC4 است. RC4 یک الگوریتم رمزنگاری متقارن است که در آن یک رشته‌ی نیمه تصادفی تولید می‌گردد و توسط آن کل داده رمز می‌شود. این رمزنگاری بر روی تمام بسته‌ی اطلاعاتی پیاده می‌شود. به‌بیان دیگر داده‌های تمامی لایه‌های بالای اتصال بی‌سیم نیز توسط این روش رمز می‌گردند، از IP گرفته تا لایه‌های بالاتری مانند HTTP. از آنجایی که این روش عملاً اصلی‌ترین بخش از اعمال سیاست‌های امنیتی در شبکه‌های محلی  بی‌سیم مبتنی بر استاندارد 802.11b است، معمولاً به کل پروسه‌ی امن‌سازی اطلاعات در این استاندارد به‌اختصار WEP گفته می‌شود.

    کلیدهای WEP اندازه‌هایی از ۴۰ بیت تا ۱۰۴ بیت می‌توانند داشته باشند. این کلیدها با IV (مخفف Initialization Vector یا بردار اولیه ) ۲۴ بیتی ترکیب شده و یک کلید ۱۲۸ بیتی RC4 را تشکیل می‌دهند. طبیعتاً هرچه اندازه‌ی کلید بزرگ‌تر باشد امنیت اطلاعات بالاتر است. تحقیقات نشان می‌دهد که استفاده از کلیدهایی با اندازه‌ی ۸۰ بیت یا بالاتر عملاً استفاده از تکنیک brute-force را برای شکستن رمز غیرممکن می‌کند. به عبارت دیگر تعداد کلیدهای ممکن برای اندازه‌ی ۸۰ بیت (که تعدد آن‌ها از مرتبه‌ی ۲۴  است) به اندازه‌یی بالاست که قدرت پردازش سیستم‌های رایانه‌یی کنونی برای شکستن کلیدی مفروض در زمانی معقول کفایت نمی‌کند.

    هرچند که در حال حاضر اکثر شبکه‌های محلی بی‌سیم از کلیدهای ۴۰ بیتی برای رمزکردن بسته‌های اطلاعاتی استفاده می‌کنند ولی نکته‌یی که اخیراً، بر اساس یک سری آزمایشات به دست آمده است، این‌ست که روش تأمین محرمانه‌گی توسط WEP در مقابل حملات دیگری، غیر از استفاده از روش brute-force، نیز آسیب‌پذیر است و این آسیب‌پذیری ارتباطی به اندازه‌ی کلید استفاده شده ندارد.

    نمایی از روش استفاده شده توسط WEP برای تضمین محرمانه‌گی در شکل زیر نمایش داده شده است :

Integrity

    مقصود از Integrity صحت اطلاعات در حین تبادل است و سیاست‌های امنیتی‌یی که Integrity را تضمین می‌کنند روش‌هایی هستند که امکان تغییر اطلاعات در حین تبادل را به کم‌ترین میزان تقلیل می‌دهند.

    در استاندارد 802.11b نیز سرویس و روشی استفاده می‌شود که توسط آن امکان تغییر اطلاعات در حال تبادل میان مخدوم‌های بی‌سیم و نقاط دست‌رسی کم می‌شود. روش مورد نظر استفاده از یک کد CRC است. همان‌طور که در شکل قبل نیز نشان داده شده است، یک CRC-32 قبل از رمزشدن بسته تولید می‌شود. در سمت گیرنده، پس از رمزگشایی، CRC داده‌های رمزگشایی شده مجدداً محاسبه شده و با CRC نوشته شده در بسته مقایسه می‌گردد که هرگونه اختلاف میان دو CRC به‌معنای تغییر محتویات بسته در حین تبادل است. متأسفانه این روش نیز مانند روش رمزنگاری توسط RC4، مستقل از اندازه‌ی کلید امنیتی مورد استفاده، در مقابل برخی از حملات شناخته شده آسیب‌پذیر است.

    متأسفانه استاندارد 802.11b هیچ مکانیزمی برای مدیریت کلیدهای امنیتی ندارد و عملاً تمامی عملیاتی که برای حفظ امنیت کلیدها انجام می‌گیرد باید توسط کسانی که شبکه‌ی بی‌سیم را نصب می‌کنند به‌صورت دستی پیاده‌سازی گردد. از آنجایی که این بخش از امنیت یکی از معضل‌های اساسی در مبحث رمزنگاری است، با این ضعف عملاً روش‌های متعددی برای حمله به شبکه‌های بی‌سیم قابل تصور است. این روش‌ها معمولاً بر سهل انگاری‌های انجام‌شده از سوی کاربران و مدیران شبکه مانند تغییرندادن کلید به‌صورت مداوم، لودادن کلید، استفاده از کلیدهای تکراری یا کلیدهای پیش فرض کارخانه و دیگر بی توجهی ها نتیجه یی جز درصد نسبتاً بالایی از حملات موفق به شبکه‌های بی‌سیم ندارد. این مشکل از شبکه‌های بزرگ‌تر بیش‌تر خود را نشان می‌دهد. حتا با فرض تلاش برای جلوگیری از رخ‌داد چنین سهل‌انگاری‌هایی، زمانی که تعداد مخدوم‌های شبکه از حدی می‌گذرد عملاً کنترل‌کردن این تعداد بالا بسیار دشوار شده و گه‌گاه خطاهایی در گوشه و کنار این شبکه‌ی نسبتاً بزرگ رخ می دهد که همان باعث رخنه در کل شبکه می‌شود.

    در قسمت بعد به مشکلات و ضعف‌هایی که سرویس‌های امنیتی در استاندارد 802.11b دارند می‌پردازیم. 

امنیت در شبکه‌های بی‌سیم 

بخش پنجم : سرویس‌های امنیتی WEP - Authentication

    در قسمت قبل به معرفی پروتکل WEP که عملاً تنها روش امن‌سازی ارتباطات در شبکه‌های بی‌سیم بر مبنای استاندارد 802.11 است پرداختیم و در ادامه سه سرویس اصلی این پروتکل را معرفی کردیم.

    در این قسمت به معرفی سرویس اول، یعنی Authentication، می‌پردازیم.

Authentication

    استاندارد 802.11 دو روش برای احراز هویت کاربرانی که درخواست اتصال به شبکه‌ی بی‌سیم را به نقاط دسترسی ارسال می‌کنند، دارد که یک روش بر مبنای رمزنگاری‌ست و دیگری از رمزنگاری استفاده نمی‌کند.

    شکل زیر شَمایی از فرایند Authentication را در این شبکه‌ها نشان می‌دهد :

    همان‌گونه که در شکل نیز نشان داده شده است، یک روش از رمزنگاری RC4 استفاده می‌کند و روش دیگر از هیچ تکنیک رمزنگاری‌یی استفاده نمی‌کند.

Authentication بدون رمزنگاری

    در روشی که مبتنی بر رمزنگاری نیست، دو روش برای تشخیص هویت مخدوم وجود دارد. در هر دو روش مخدومِ متقاضی پیوستن به شبکه، درخواست ارسال هویت از سوی نقطه‌ی دسترسی را با پیامی حاوی یک SSID (Service Set Identifier) پاسخ می‌دهد.

    در روش اول که به Open System Authentication موسوم است، یک SSID خالی نیز برای دریافت اجازه‌ی اتصال به شبکه کفایت می‌کند. در واقع در این روش تمامی مخدوم‌هایی که تقاضای پیوستن به شبکه را به نقاط دسترسی ارسال می‌کنند با پاسخ مثبت روبه‌رو می‌شوند و تنها آدرس آن‌ها توسط نقطه‌ی دسترسی نگاه‌داری می‌شود. به‌همین دلیل به این روش NULL Authentication نیز اطلاق می‌شود.

    در روش دوم از این نوع، بازهم یک SSID به نقطه‌ی دسترسی ارسال می‌گردد با این تفاوت که اجازه‌ی اتصال به شبکه تنها در صورتی از سوی نقطه‌ی دسترسی صادر می‌گردد که SSIDی ارسال شده جزو SSIDهای مجاز برای دسترسی به شبکه باشند. این روش به Closed System Authentication موسوم است.

    نکته‌یی که در این میان اهمیت بسیاری دارد، توجه به سطح امنیتی‌ست که این روش در اختیار ما می‌گذارد. این دو روش عملاً روش امنی از احراز هویت را ارایه نمی‌دهند و عملاً تنها راهی برای آگاهی نسبی و نه قطعی از هویت درخواست‌کننده هستند. با این وصف از آن‌جایی‌که امنیت در این حالات تضمین شده نیست و معمولاً حملات موفق بسیاری، حتی توسط نفوذگران کم‌تجربه و مبتدی، به شبکه‌هایی که بر اساس این روش‌ها عمل می‌کنند، رخ می‌دهد، لذا این دو روش تنها در حالتی کاربرد دارند که یا شبکه‌یی در حال ایجاد است که حاوی اطلاعات حیاتی نیست، یا احتمال رخداد حمله به آن بسیار کم است. هرچند که با توجه پوشش نسبتاً گسترده‌ی یک شبکه‌ی بی‌سیم – که مانند شبکه‌های سیمی امکان محدودسازی دسترسی به صورت فیزیکی بسیار دشوار است – اطمینان از شانس پایین رخ‌دادن حملات نیز خود تضمینی ندارد!

Authentication با رمزنگاری RC4

    این روش که به روش «کلید مشترک» نیز موسوم است، تکنیکی کلاسیک است که بر اساس آن، پس از اطمینان از اینکه مخدوم از کلیدی سری آگاه است، هویتش تأیید می‌شود. شکل زیر این روش را نشان می‌دهد :

    در این روش، نقطه‌ی دسترسی (AP) یک رشته‌ی تصادفی تولید کرده و آن‌را به مخدوم می‌فرستد. مخدوم این رشته‌ی تصادفی را با کلیدی از پیش تعیین شده (که کلید WEP نیز نامیده می‌شود) رمز می‌کند و حاصل را برای نقطه‌ی دسترسی ارسال می‌کند. نقطه‌ی دسترسی به روش معکوس پیام دریافتی را رمزگشایی کرده و با رشته‌ی ارسال شده مقایسه می‌کند. در صورت هم‌سانی این دو پیام، نقطه‌ی دسترسی از اینکه مخدوم کلید صحیحی را در اختیار دارد اطمینان حاصل می‌کند. روش رمزنگاری و رمزگشایی در این تبادل روش RC4 است.

    در این میان با فرض اینکه رمزنگاری RC4 را روشی کاملاً مطمئن بدانیم، دو خطر در کمین این روش است :

الف) در این روش تنها نقطه‌ی دسترسی‌ست که از هویت مخدوم اطمینان حاصل می‌کند. به بیان دیگر مخدوم هیچ دلیلی در اختیار ندارد که بداند نقطه‌ی دسترسی‌یی که با آن در حال تبادل داده‌های رمزی‌ست نقطه‌ی دسترسی اصلی‌ست.

ب) تمامی روش‌هایی که مانند این روش بر پایه‌ی سئوال و جواب بین دو طرف، با هدف احراز هویت یا تبادل اطلاعات حیاتی، قرار دارند با حملاتی تحت عنوان man-in-the-middle در خطر هستند. در این دسته از حملات نفوذگر میان دو طرف قرار می‌گیرد و به‌گونه‌یی هریک از دو طرف را گمراه می‌کند.

    در قسمت بعد به سرویس‌های دیگر پروتکل WEP می‌پردازیم

امنیت در شبکه‌های بی‌سیم 

بخش چهارم : امنیت در شبکه‌های محلی بر اساس استاندارد 802.11

    پس از آن‌که در سه قسمت قبل به مقدمه‌یی در مورد شبکه‌های بی‌سیم محلی و عناصر آن‌ها پرداختیم، از این قسمت بررسی روش‌ها و استانداردهای امن‌سازی شبکه‌های محلی بی‌سیم مبتنی بر استاندارد IEEE 802.11 را آغاز می‌کنیم. با طرح قابلیت‌های امنیتی این استاندارد، می‌توان از محدودیت‌های آن آگاه شد و این استاندارد و کاربرد را برای موارد خاص و مناسب مورد استفاده قرار داد.

    استاندارد 802.11 سرویس‌های مجزا و مشخصی را برای تأمین یک محیط امن بی‌سیم در اختیار قرار می‌دهد.  این سرویس‌ها اغلب توسط پروتکل WEP (Wired Equivalent Privacy) تأمین می‌گردند و  وظیفه‌ی آن‌ها امن‌سازی ارتباط میان مخدوم‌ها و نقاط دسترسی بی‌سیم است. درک لایه‌یی که این پروتکل به امن‌سازی آن می‌پردازد اهمیت ویژه‌یی دارد، به عبارت دیگر این پروتکل کل ارتباط را امن نکرده و به لایه‌های دیگر، غیر از لایه‌ی ارتباطی بی‌سیم که مبتنی بر استاندارد 802.11 است، کاری ندارد. این بدان معنی است که استفاده از WEP در یک شبکه‌ی بی‌سیم به‌معنی استفاده از قابلیت درونی استاندارد شبکه‌های محلی بی‌سیم است و ضامن امنیت کل ارتباط نیست زیرا امکان قصور از دیگر اصول امنیتی در سطوح بالاتر ارتباطی وجود دارد.

    شکل بالا محدوده‌ی عمل کرد استانداردهای امنیتی 802.11 (خصوصاً WEP) را نشان می‌دهد.

 قابلیت‌ها و ابعاد امنیتی استاندارد 802.11  

    در حال حاضر عملاً تنها پروتکلی که امنیت اطلاعات و ارتباطات را در شبکه‌های بی‌سیم بر اساس استاندارد 802.11 فراهم می‌کند WEP است. این پروتکل با وجود قابلیت‌هایی که دارد، نوع استفاده از آن همواره امکان نفوذ به شبکه‌های بی‌سیم را به نحوی، ولو سخت و پیچیده، فراهم می‌کند. نکته‌یی که باید به‌خاطر داشت این‌ست که اغلب حملات موفق صورت گرفته در مورد شبکه‌های محلی بی‌سیم، ریشه در پیکربندی ناصحیح WEP در شبکه دارد. به عبارت دیگر این پروتکل در صورت پیکربندی صحیح درصد بالایی از حملات را ناکام می‌گذارد، هرچند که فی‌نفسه دچار نواقص و ایرادهایی نیز هست.

    بسیاری از حملاتی که بر روی شبکه‌های بی‌سیم انجام می‌گیرد از سویی است که نقاط دسترسی با شبکه‌ی سیمی دارای اشتراک هستند. به عبارت دیگر نفوذگران بعضاً با استفاده از راه‌های ارتباطی دیگری که بر روی مخدوم‌ها و سخت‌افزارهای بی‌سیم، خصوصاً مخدوم‌های بی‌سیم، وجود دارد، به شبکه‌ی بی‌سیم نفوذ می‌کنند که این مقوله نشان دهنده‌ی اشتراکی هرچند جزءیی میان امنیت در شبکه‌های سیمی و بی‌سیم‌یی‌ست که از نظر ساختاری و فیزیکی با یکدیگر اشتراک دارند.

    سه قابلیت و سرویس پایه توسط IEEE برای شبکه‌های محلی بی‌سیم تعریف می‌گردد :

·         Authentication

    هدف اصلی WEP ایجاد امکانی برای احراز هویت مخدوم بی‌سیم است. این عمل که در واقع کنترل دست‌رسی به شبکه‌ی بی‌سیم است. این مکانیزم سعی دارد که امکان اتصال مخدوم‌هایی را که مجاز نیستند به شبکه متصل شوند از بین ببرد.

·         Confidentiality

    محرمانه‌گی هدف دیگر WEP است. این بُعد از سرویس‌ها و خدمات WEP با هدف ایجاد امنیتی در حدود سطوح شبکه‌های سیمی طراحی شده است. سیاست این بخش از WEP جلوگیری از سرقت اطلاعات در حال انتقال بر روی شبکه‌ی محلی بی‌سیم است.

·         Integrity

    هدف سوم از سرویس‌ها و قابلیت‌های WEP طراحی سیاستی است که تضمین کند پیام‌ها و اطلاعات در حال تبادل در شبکه، خصوصاً میان مخدوم‌های بی‌سیم و نقاط دسترسی، در حین انتقال دچار تغییر نمی‌گردند. این قابلیت در تمامی استانداردها، بسترها و شبکه‌های ارتباطاتی دیگر نیز کم‌وبیش وجود دارد.

    نکته‌ی مهمی که در مورد سه سرویس WEP وجود دارد نبود سرویس‌های معمول Auditing و Authorization در میان سرویس‌های ارایه شده توسط این پروتکل است.

    در قسمت‌های بعدی از بررسی امنیت در شبکه‌های محلی بی‌سیم به بررسی هریک از این سه سرویس می‌پردازیم.

امنیت در شبکه‌های بی‌سیم
 

بخش سوم : عناصر فعال و سطح پوشش WLAN

 عناصر فعال شبکه‌های محلی بی‌سیم

   در شبکه‌های محلی بی‌سیم معمولاً دو نوع عنصر فعال وجود دارد :

 -        ایستگاه بی سیم

    ایستگاه یا مخدوم بی‌سیم به طور معمول یک کامپیوتر کیفی یا یک ایستگاه کاری ثابت است که توسط یک کارت شبکه‌ی بی‌سیم به شبکه‌ی محلی متصل می‌شود. این ایستگاه می‌تواند از سوی دیگر یک کامپیوتر جیبی یا حتی یک پویش گر بارکد نیز باشد. در برخی از کاربردها برای این‌که استفاده از سیم در پایانه‌های رایانه‌یی برای طراح و مجری دردسر‌ساز است، برای این پایانه‌ها که معمولاً در داخل کیوسک‌هایی به‌همین منظور تعبیه می‌شود، از امکان اتصال بی‌سیم به شبکه‌ی محلی استفاده می‌کنند. در حال حاضر اکثر کامپیوترهای کیفی موجود در بازار به این امکان به‌صورت سرخود مجهز هستند و نیازی به اضافه‌کردن یک کارت شبکه‌ی بی‌سیم نیست.

    کارت‌های شبکه‌ی بی‌سیم عموماً برای استفاده در چاک‌های PCMCIA است. در صورت نیاز به استفاده از این کارت‌ها برای کامپیوترهای رومیزی و شخصی، با استفاده از رابطی این کارت‌ها را بر روی چاک‌های گسترش PCI نصب می‌کنند.

-        نقطه ی دسترسی

    نقاط دسترسی در شبکه‌های بی‌سیم، همان‌گونه که در قسمت‌های پیش نیز در مورد آن صحبت شد، سخت افزارهای فعالی هستند که عملاً نقش سوییچ در شبکه‌های بی‌سیم را بازی‌کرده، امکان اتصال به شبکه های سیمی را نیز دارند. در عمل ساختار بستر اصلی شبکه عموماً سیمی است و توسط این نقاط دسترسی، مخدوم‌ها و ایستگاه‌های بی‌سیم به شبکه‌ی سیمی اصلی متصل می‌گردد.

برد و سطح پوشش

    شعاع پوشش شبکه‌ی بی‌سیم بر اساس استاندارد 802.11 به فاکتورهای بسیاری بسته‌گی دارد که برخی از آن‌ها به شرح زیر هستند :

-        پهنای باند مورد استفاده

-        منابع امواج ارسالی و محل قرارگیری فرستنده‌ها و گیرنده‌ها

-        مشخصات فضای قرارگیری و نصب تجهیزات شبکه‌ی بی‌سیم

-        قدرت امواج

-        نوع و مدل آنتن

    شعاع پوشش از نظر تئوری بین ۲۹متر (برای فضاهای بسته‌ی داخلی) و ۴۸۵متر (برای فضاهای باز) در استاندارد 802.11b متغیر است. با این‌وجود این مقادیر، مقادیری متوسط هستند و در حال حاضر با توجه به گیرنده‌ها و فرستنده‌های نسبتاً قدرت‌مندی که مورد استفاده قرار می‌گیرند، امکان استفاده از این پروتکل و گیرنده‌ها و فرستنده‌های آن، تا چند کیلومتر هم وجود دارد که نمونه‌های عملی آن فراوان‌اند.

    با این وجود شعاع کلی‌یی که برای استفاده از این پروتکل (802.11b) ذکر می‌شود چیزی میان ۵۰ تا ۱۰۰متر است. این شعاع عمل‌کرد مقداری‌ست که برای محل‌های بسته و ساختمان‌های چند طبقه نیز معتبر بوده و می‌تواند مورد استناد قرار گیرد.

    شکل زیر مقایسه‌یی میان بردهای نمونه در کاربردهای مختلف شبکه‌های بی‌سیم مبتنی بر پروتکل 802.11b را نشان می‌دهد :

    یکی از عمل‌کردهای نقاط دسترسی به عنوان سوییچ‌های بی‌سیم، عمل اتصال میان حوزه‌های بی‌سیم است. به‌عبارت دیگر با استفاده از چند سوییچ بی‌سیم می‌توان عمل‌کردی مشابه Bridge برای شبکه‌های بی‌سیم را به‌دست‌ آورد.

    اتصال میان نقاط دست‌رسی می‌تواند به صورت نقطه‌به‌نقطه، برای ایجاد اتصال میان دو زیرشبکه به یکدیگر، یا به صورت نقطه‌یی به چند نقطه یا بالعکس برای ایجاد اتصال میان زیرشبکه‌های مختلف به یکدیگر به‌صورت همزمان صورت گیرد.

    نقاط دسترسی‌یی که به عنوان پل ارتباطی میان شبکه‌های محلی با یکدیگر استفاده می‌شوند از قدرت بالاتری برای ارسال داده استفاده می‌کنند و این به‌معنای شعاع پوشش بالاتر است. این سخت‌افزارها معمولاً برای ایجاد اتصال میان نقاط و ساختمان‌هایی به‌کار می‌روند که فاصله‌ی آن‌ها از یکدیگر بین ۱ تا ۵ کیلومتر است. البته باید توجه داشت که این فاصله، فاصله‌یی متوسط بر اساس پروتکل 802.11b است. برای پروتکل‌های دیگری چون 802.11a می‌توان فواصل بیشتری را نیز به‌دست آورد.

    شکل زیر نمونه‌یی از ارتباط نقطه به نقطه با استفاده از نقاط دست‌رسی مناسب را نشان می‌دهد :

    از دیگر استفاده‌های نقاط دسترسی با برد بالا می‌توان به امکان توسعه‌ی شعاع پوشش شبکه های بی‌سیم اشاره کرد. به عبارت دیگر برای بالابردن سطح تحت پوشش یک شبکه‌ی بی‌سیم، می‌توان از چند نقطه‌ی دست‌رسی بی‌سیم به‌صورت همزمان و پشت به پشت یکدیگر استفاده کرد. به عنوان نمونه در مثال بالا می‌توان با استفاده از یک فرستنده‌ی دیگر در بالای هریک از ساختمان‌ها، سطح پوشش شبکه را تا ساختمان‌های دیگر گسترش داد.

    در قسمت بعد به مزایای معمول استفاده از شبکه‌های محلی بی‌سیم و ذکر مقدماتی در مورد روش‌های امن سازی این شبکه‌ها می‌پردازیم.

امنیت در شبکه‌های بی‌سیم

 بخش دوم : شبکه‌های محلی بی‌سیم
 

   در این قسمت، به‌عنوان بخش دوم از بررسی‌ امنیت در شبکه‌های بی‌سیم، به مرور کلی‌ شبکه‌های محلی‌ بی‌سیم می‌پردازیم. اطلاع از ساختار و روش عمل‌کرد این شبکه‌ها، حتی به صورت جزءیی، برای بررسی امنیتی لازم به‌نظر می‌رسد.

پیشینه

    تکنولوژی و صنعت WLAN به اوایل دهه‌ی ۸۰ میلادی باز می‌گردد. مانند هر تکنولوژی دیگری، پیشرفت شبکه‌های محلی‌ بی‌سیم به کندی صورت می‌پذیرفت. با ارایه‌ی استاندارد IEEE 802.11b، که پهنای باند نسبتاً بالایی را برای شبکه‌های محلی امکان‌پذیر می‌ساخت، استفاده از این تکنولوژی وسعت بیشتری یافت. در حال حاضر، مقصود از WLAN تمامی پروتکل‌ها و استانداردهای خانواده‌ی IEEE 802.11 است. جدول زیر اختصاصات این دسته از استانداردها را به صورت کلی نشان می‌دهد

   اولین شبکه‌ی محلی بی‌سیم تجاری توسط Motorola پیاده‌سازی شد. این شبکه، به عنوان یک نمونه از این شبکه‌ها، هزینه‌یی بالا و پهنای باندی پایین را تحمیل می‌کرد که ابداً مقرون به‌صرفه نبود. از همان زمان به بعد، در اوایل دهه‌ی ۹۰ میلادی، پروژه‌ی استاندارد 802.11 در IEEE شروع شد. پس از نزدیک به ۹ سال کار، در سال ۱۹۹۹ استانداردهای 802.11a و 802.11b توسط IEEE نهایی شده و تولید محصولات بسیاری بر پایه‌ی این استانداردها آغاز شد. نوع a، با استفاده از فرکانس حامل 5GHz، پهنای باندی تا 54Mbps را فراهم می‌کند. در حالی‌که نوع b با استفاده از فرکانس حامل 2.4GHz، تا 11Mbps پهنای باند را پشتیبانی می‌کند. با این وجود تعداد کانال‌های قابل استفاده در نوع b در مقایسه با نوع a، بیش‌تر است. تعداد این کانال‌ها، با توجه به کشور مورد نظر، تفاوت می‌کند. در حالت معمول، مقصود از WLAN استاندارد 802.11b است.

    استاندارد دیگری نیز به‌تاز‌ه‌گی توسط IEEE معرفی شده است که به 802.11g شناخته می‌شود. این استاندارد بر اساس فرکانس حامل 2.4GHz عمل می‌کند ولی با استفاده از روش‌های نوینی می‌تواند پهنای باند قابل استفاده را تا 54Mbps بالا ببرد. تولید محصولات بر اساس این استاندارد، که مدت زیادی از نهایی‌شدن و معرفی آن نمی‌گذرد، بیش از یک‌سال است که آغاز شده و با توجه سازگاری‌ آن با استاندارد 802.11b، استفاده از آن در شبکه‌های بی‌سیم آرام آرام در حال گسترش است.

معماری‌ شبکه‌های محلی‌ بی‌سیم

    استاندارد 802.11b به تجهیزات اجازه می‌دهد که به دو روش ارتباط در شبکه برقرار شود. این دو روش عبارت‌اند از برقراری‌ ارتباط به صورت نقطه به نقطه –همان‌گونه در شبکه‌های Ad hoc به‌کار می‌رود- و اتصال به شبکه از طریق نقاط تماس یا دسترسی (AP=Access Point).

    معماری‌ معمول در شبکه‌های محلی‌ بی‌سیم بر مبنای استفاده از AP است. با نصب یک AP، عملاً مرزهای یک سلول مشخص می‌شود و با روش‌هایی می‌توان یک سخت‌افزار مجهز به امکان ارتباط بر اساس استاندارد 802.11b را میان سلول‌های مختلف حرکت داد. گستره‌یی که یک AP پوشش می‌دهد را BSS(Basic Service Set) می‌نامند. مجموعه‌ی تمامی سلول‌های یک ساختار کلی‌ شبکه، که ترکیبی از BSSهای شبکه است، را ESS(Extended Service Set) می‌نامند. با استفاده از ESS می‌توان گستره‌ی وسیع‌تری را تحت پوشش شبکه‌ی محلی‌ بی‌سیم درآورد.

    در سمت هریک از سخت‌افزارها که معمولاً مخدوم هستند، کارت شبکه‌یی مجهز به یک مودم بی‌سیم قرار دارد که با AP ارتباط را برقرار می‌کند. AP علاوه بر ارتباط با چند کارت شبکه‌ی بی‌سیم، به بستر پرسرعت‌تر شبکه‌ی سیمی مجموعه نیز متصل است و از این طریق ارتباط میان مخدوم‌های مجهز به کارت شبکه‌ی بی‌سیم و شبکه‌ی اصلی برقرار می‌شود. شکل زیر نمایی از این ساختار را نشان می‌دهد :

    همان‌گونه که گفته شد، اغلب شبکه‌های محلی‌ بی‌سیم بر اساس ساختار فوق، که به نوع Infrastructure نیز موسوم است، پیاده‌سازی می‌شوند. با این وجود نوع دیگری از شبکه‌های محلی‌ بی‌سیم نیز وجود دارند که از همان منطق نقطه‌به‌نقطه استفاده می‌کنند. در این شبکه‌ها که عموماً Ad hoc نامیده می‌شوند یک نقطه‌ی مرکزی‌ برای دسترسی وجود ندارد و سخت‌افزارهای همراه – مانند کامپیوترهای کیفی و جیبی یا گوشی‌های موبایل – با ورود به محدوده‌ی تحت پوشش این شبکه، به دیگر تجهیزات مشابه متصل می‌گردند. این شبکه‌ها به بستر شبکه‌ی سیمی متصل نیستند و به همین منظور IBSS (Independent Basic Service Set) نیز خواند می‌شوند. شکل زیر شمایی ساده از یک شبکه‌ی Ad hoc را نشان می‌دهد : 

    شبکه‌های Ad hoc از سویی مشابه شبکه‌های محلی‌ درون دفتر کار هستند که در آنها نیازی به تعریف و پیکربندی‌ یک سیستم رایانه‌یی به عنوان خادم وجود ندارد. در این صورت تمامی تجهیزات متصل به این شبکه می‌توانند پرونده‌های مورد نظر خود را با دیگر گره‌ها به اشتراک بگذارند.

    در قسمت بعد، به دسته‌بندی‌ اجزای فعال یک شبکه‌ی محلی‌ بی‌سیم پرداخته و شعاع پوشش این دسته از شبکه‌ها را مورد بررسی قرار خواهیم داد.

امنیت در شبکه‌های بی‌سیم

 بخش اول : مقدمه

    از آن‌جا که شبکه‌های بی سیم، در دنیای کنونی هرچه بیشتر در حال گسترش هستند، و با توجه به ماهیت این دسته از شبکه‌ها، که بر اساس سیگنال‌های رادیویی‌اند، مهم‌ترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آن‌ست. نظر به لزوم آگاهی از خطرات استفاده از این شبکه‌ها، با وجود امکانات نهفته در آن‌ها که به‌مدد پیکربندی صحیح می‌توان به‌سطح قابل قبولی از بعد امنیتی دست یافت، بنا داریم در این سری از مقالات با عنوان «امنیت در شبکه های بی سیم» ضمن معرفی این شبکه‌ها با تأکید بر ابعاد امنیتی آن‌ها، به روش‌های پیکربندی صحیح که احتمال رخ‌داد حملات را کاهش می‌دهند بپردازیم.

شبکه‌های بی‌سیم، کاربردها، مزایا و ابعاد

    تکنولوژی شبکه‌های بی‌سیم، با استفاده از انتقال داده‌ها توسط اموج رادیویی، در ساده‌ترین صورت، به تجهیزات سخت‌افزاری امکان می‌دهد تا بدون‌استفاده از بسترهای فیزیکی همچون سیم و کابل، با یکدیگر ارتباط برقرار کنند. شبکه‌های بی‌سیم بازه‌ی وسیعی از کاربردها، از ساختارهای پیچیده‌یی چون شبکه‌های بی‌سیم سلولی -که اغلب برای تلفن‌های همراه استفاده می‌شود- و شبکه‌های محلی بی‌سیم (WLAN – Wireless LAN) گرفته تا انوع ساده‌یی چون هدفون‌های بی‌سیم، را شامل می‌شوند. از سوی دیگر با احتساب امواجی همچون مادون قرمز، تمامی تجهیزاتی که از امواج مادون قرمز نیز استفاده می‌کنند، مانند صفحه کلید‌ها،  ماوس‌ها و برخی از گوشی‌های همراه، در این دسته‌بندی جای می‌گیرند. طبیعی‌ترین مزیت استفاده از این شبکه‌ها عدم نیاز به ساختار فیزیکی و امکان نقل و انتقال تجهیزات متصل به این‌گونه شبکه‌ها و هم‌چنین امکان ایجاد تغییر در ساختار مجازی آن‌هاست. از نظر ابعاد ساختاری، شبکه‌های بی‌سیم به سه دسته تقسیم می‌گردند : WWAN، WLAN و WPAN.

    مقصود از WWAN، که مخفف Wireless WAN است، شبکه‌هایی با پوشش بی‌سیم بالاست. نمونه‌یی از این شبکه‌ها، ساختار بی‌سیم سلولی مورد استفاده در شبکه‌های تلفن همراه است.  WLAN پوششی محدودتر، در حد یک ساختمان یا سازمان، و در ابعاد کوچک یک سالن یا تعدادی اتاق، را فراهم می‌کند. کاربرد شبکه‌های WPAN یا Wireless Personal Area Network برای موارد خانه‌گی است. ارتباطاتی چون Bluetooth و مادون قرمز در این دسته قرار می‌گیرند.

    شبکه‌های WPAN از سوی دیگر در دسته‌ی شبکه‌های Ad Hoc نیز قرار می‌گیرند. در شبکه‌های Ad hoc، یک سخت‌افزار، به‌محض ورود به فضای تحت پوشش آن، به‌صورت پویا به شبکه اضافه می‌شود. مثالی از این نوع شبکه‌ها، Bluetooth است. در این نوع، تجهیزات مختلفی از جمله صفحه کلید، ماوس، چاپگر، کامپیوتر کیفی یا جیبی و حتی گوشی تلفن همراه، در صورت قرارگرفتن در محیط تحت پوشش، وارد شبکه شده و امکان رد و بدل داده‌ها با دیگر تجهیزات متصل به شبکه را می‌یابند. تفاوت میان شبکه‌های Ad hoc با شبکه‌های محلی بی‌سیم (WLAN) در ساختار مجازی آن‌هاست. به‌عبارت دیگر، ساختار مجازی شبکه‌های محلی بی‌سیم بر پایه‌ی طرحی ایستاست درحالی‌که شبکه‌های Ad hoc از هر نظر پویا هستند. طبیعی‌ست که در کنار مزایایی که این پویایی برای استفاده کننده‌گان فراهم می‌کند، حفظ امنیت چنین شبکه‌هایی نیز با مشکلات بسیاری همراه است. با این وجود، عملاً یکی از راه حل‌های موجود برای افزایش امنیت در این شبکه‌ها، خصوصاً در انواعی همچون Bluetooth، کاستن از شعاع پوشش سیگنال‌های شبکه است. در واقع مستقل از این حقیقت که عمل‌کرد Bluetooth بر اساس فرستنده و گیرنده‌های کم‌توان استوار است و این مزیت در کامپیوترهای جیبی برتری قابل‌توجه‌یی محسوب می‌گردد، همین کمی توان سخت‌افزار مربوطه، موجب وجود منطقه‌ی محدود تحت پوشش است که در بررسی امنیتی نیز مزیت محسوب می‌گردد. به‌عبارت دیگر این مزیت به‌همراه استفاده از کدهای رمز نه‌چندان پیچیده، تنها حربه‌های امنیتی این دسته از شبکه‌ها به‌حساب می‌آیند.

منشأ ضعف امنیتی در شبکه‌های بی‌سیم و خطرات معمول

    خطر معمول در کلیه‌ی شبکه‌های بی‌سیم مستقل از پروتکل و تکنولوژی مورد نظر، بر مزیت اصلی این تکنولوژی که همان پویایی ساختار، مبتنی بر استفاده از سیگنال‌های رادیویی  به‌جای سیم و کابل، استوار است. با استفاده از این سیگنال‌ها و در واقع بدون مرز ساختن پوشش ساختار شبکه، نفوذگران قادرند در صورت شکستن موانع امنیتی نه‌چندان قدرت‌مند این شبکه‌ها، خود را به‌عنوان عضوی از این شبکه‌ها جازده و در صورت تحقق این امر، امکان دست‌یابی به اطلاعات حیاتی، حمله به سرویس دهنده‌گان سازمان و مجموعه، تخریب اطلاعات، ایجاد اختلال در ارتباطات گره‌های شبکه با یکدیگر، تولید داده‌های غیرواقعی و گمراه‌کننده، سوءاستفاده از پهنای‌باند مؤثر شبکه و دیگر فعالیت‌های مخرب وجود دارد.

    در مجموع، در تمامی دسته‌های شبکه‌های بی‌سیم، از دید امنیتی حقایقی مشترک صادق است :

•              تمامی ضعف‌های امنیتی موجود در شبکه‌های سیمی، در مورد شبکه‌های بی‌سیم نیز صدق می‌کند. در واقع نه تنها هیچ جنبه‌یی چه از لحاظ طراحی و چه از لحاظ ساختاری، خاص شبکه‌های بی‌سیم وجود ندارد که سطح بالاتری از امنیت منطقی را ایجاد کند، بلکه همان گونه که ذکر شد مخاطرات ویژه‌یی را نیز موجب است.

•             نفوذگران، با گذر از تدابیر امنیتی موجود، می‌توانند به‌راحتی به منابع اطلاعاتی موجود بر روی سیستم‌های رایانه‌یی دست یابند.

•       اطلاعات حیاتی‌یی که یا رمز نشده‌اند و یا با روشی با امنیت پایین رمز شده‌اند، و میان دو گره در شبکه‌های بی‌سیم در حال انتقال می‌باشند، می‌توانند توسط نفوذگران سرقت شده یا تغییر یابند.

•           حمله‌های DoS به تجهیزات و سیستم‌های بی‌سیم بسیار متداول است.

•             نفوذگران با سرقت کدهای عبور و دیگر عناصر امنیتی مشابه کاربران مجاز در شبکه‌های بی‌سیم، می‌توانند به شبکه‌ی مورد نظر بدون هیچ مانعی متصل گردند.

•              با سرقت عناصر امنیتی، یک نفوذگر می‌تواند رفتار یک کاربر را پایش کند. از این طریق می‌توان به اطلاعات حساس دیگری نیز دست یافت.

•              کامپیوترهای قابل حمل و جیبی، که امکان و اجازه‌ی استفاده از شبکه‌ی بی‌سیم را دارند، به‌راحتی قابل سرقت هستند. با سرقت چنین سخت افزارهایی، می‌توان اولین قدم برای نفوذ به شبکه را برداشت.

•              یک نفوذگر می‌تواند از نقاط مشترک میان یک شبکه‌ی بی‌سیم در یک سازمان و شبکه‌ی سیمی آن (که در اغلب موارد شبکه‌ی اصلی و حساس‌تری محسوب می‌گردد) استفاده کرده و با نفوذ به شبکه‌ی بی‌سیم عملاً راهی برای دست‌یابی به منابع شبکه‌ی سیمی نیز بیابد.

•              در سطحی دیگر، با نفوذ به عناصر کنترل کننده‌ی یک شبکه‌ی بی‌سیم، امکان ایجاد اختلال در عمل‌کرد شبکه نیز وجود دارد.

    با مقدمه‌ی ذکر شده، در قسمت‌های آتی می‌توانیم به ویژه‌گی‌های این شبکه‌های، با تفکیک تکنولوژی‌های مرسوم، از بعد امنیتی بپردازیم و چگونه‌گی پیکربندی صحیح یک شبکه‌ی بی‌سیم را، برای بالابردن امنیت آن، بررسی کنیم.

امنیت تجهیزات شبکه

    برای تامین امنیت بر روی یک شبکه، یکی از بحرانی ترین و خطیرترین مراحل، تامین امنیت دسترسی و کنترل تجهیزات شبکه است. تجهیزاتی همچون مسیریاب، سوئیچ یا دیوارهای آتش.

    اهمیت امنیت تجهیزات به دو علت اهمیت ویژه‌ای می‌یابد :

الف – عدم وجود امنیت تجهیزات در شبکه به نفوذگران به شبکه اجازه می‌دهد که‌ با دستیابی به تجهیزات امکان پیکربندی آنها را به گونه‌ای که تمایل دارند آن سخت‌افزارها عمل کنند، داشته باشند. از این طریق هرگونه نفوذ و سرقت اطلاعات و یا هر نوع صدمه دیگری به شبکه، توسط نفوذگر، امکان‌پذیر خواهد شد.

ب – برای جلوگیری از خطرهای DoS (Denial of Service) تأمین امنیت تجهزات بر روی شبکه الزامی است. توسط این حمله‌ها نفوذگران می‌توانند سرویس‌هایی را در شبکه از کار بیاندازند که از این طریق در برخی موارد امکان دسترسی به اطلاعات با دور زدن هر یک از فرایندهای AAA فراهم می‌شود.

    در این بخش اصول اولیه امنیت تجهیزات مورد بررسی اجمالی قرار می‌گیرد. عناوین برخی از این موضوعات به شرح زیر هستند :

-       امنیت فیزیکی و تأثیر آن بر امنیت کلی شبکه

-       امنیت تجهیزات شبکه در سطوح منطقی

-       بالابردن امنیت تجهیزات توسط افزونگی در سرویس‌ها و سخت‌افزارها 

    موضوعات فوق در قالب دو جنبه اصلی امنیت تجهیزات مورد بررسی قرار می‌گیرند :

-       امنیت فیزیکی

-       امنیت منطقی

۱ – امنیت فیزیکی

    امنیت فیزیکی بازه‌ وسیعی از تدابیر را در بر می‌گیرد که استقرار تجهیزات در مکان‌های امن و به دور از خطر حملات نفوذگران و استفاده از افزونگی در سیستم از آن جمله‌اند. با استفاده از افزونگی، اطمینان از صحت عملکرد سیستم در صورت ایجاد و رخداد نقص در یکی از تجهیزات (که توسط عملکرد مشابه سخت‌افزار و یا سرویس‌دهنده مشابه جایگزین می‌شود) بدست می‌آید.

    در بررسی امنیت فیزیکی و اعمال آن،‌ ابتدا باید به خطر‌هایی که از این طریق تجهزات شبکه را تهدید می‌کنند نگاهی داشته باشیم. پس از شناخت نسبتاً کامل این خطرها و حمله‌ها می‌توان به راه‌حل‌ها و ترفند‌های دفاعی در برار این‌گونه حملات پرداخت.

۱-۱ – افزونگی در محل استقرار شبکه

    یکی از راه‌کارها در قالب ایجاد افزونگی در شبکه‌های کامپیوتری، ایجاد سیستمی کامل،‌ مشابه شبکه‌ی اولیه‌ی در حال کار است. در این راستا، شبکه‌ی ثانویه‌ی، کاملاً مشابه شبکه‌ی اولیه، چه از بعد تجهیزات و چه از بعد کارکرد،‌ در محلی که می‌تواند از نظر جغرافیایی با شبکه‌ی اول فاصله‌ای نه چندان کوتاه نیز داشته باشد برقرار می‌شود. با استفاده از این دو سیستم مشابه، علاوه بر آنکه در صورت رخداد وقایعی که کارکرد هریک از این دو شبکه را به طور کامل مختل می‌کند (مانند زلزله) می‌توان از شبکه‌ی دیگر به طور کاملاً جایگزین استفاده کرد، در استفاده‌های روزمره نیز در صورت ایجاد ترافیک سنگین بر روی شبکه، حجم ترافیک و پردازش بر روی دو شبکه‌ی مشابه پخش می‌شود تا زمان پاسخ به حداقل ممکن برسد.

    با وجود آنکه استفاده از این روش در شبکه‌های معمول که حجم جندانی ندارند، به دلیل هزینه‌های تحمیلی بالا، امکان‌پذیر و اقتصادی به نظر نمی‌رسد، ولی در شبکه‌های با حجم بالا که قابلیت اطمینان و امنیت در آنها از اصول اولیه به حساب می‌آیند از الزامات است.

۱-۲ – توپولوژی شبکه

    طراحی توپولوژیکی شبکه،‌ یکی از عوامل اصلی است که در زمان رخداد حملات فیزیکی می‌تواند از خطای کلی شبکه جلوگیری کند.

    در این مقوله،‌ سه طراحی که معمول هستند مورد بررسی قرار می‌گیرند :

الف – طراحی سری : در این طراحی با قطع خط تماس میان دو نقطه در شبکه، کلیه سیستم به دو تکه منفصل تبدیل شده و امکان سرویس دهی از هریک از این دو ناحیه به ناحیه دیگر امکان پذیر نخواهد بود.

ب – طراحی ستاره‌ای : در این طراحی، در صورت رخداد حمله فیزیکی و قطع اتصال یک نقطه از خادم اصلی، سرویس‌دهی به دیگر نقاط دچار اختلال نمی‌گردد. با این وجود از آنجاییکه خادم اصلی در این میان نقش محوری دارد، در صورت اختلال در کارایی این نقطه مرکزی،‌ که می‌تواند بر اثر حمله فیزیکی به آن رخ دهد، ارتباط کل شبکه دچار اختلال می‌شود، هرچند که با درنظر گرفتن افزونگی برای خادم اصلی از احتمال چنین حالتی کاسته می‌شود.

ج – طراحی مش : در این طراحی که تمامی نقاط ارتباطی با دیگر نقاط در ارتباط هستند، هرگونه اختلال فیزیکی در سطوح دسترسی منجر به اختلال عملکرد شبکه نخواهد شد،‌ با وجود آنکه زمان‌بندی سرویس‌دهی را دچار اختلال خواهد کرد. پیاده‌سازی چنین روش با وجود امنیت بالا، به دلیل محدودیت‌های اقتصادی،‌ تنها در موارد خاص و بحرانی انجام می‌گیرد.

۱-۳ – محل‌های امن برای تجهیزات

    در تعیین یک محل امن برای تجهیزات دو نکته مورد توجه قرار می‌گیرد :

-       یافتن مکانی که به اندازه کافی از دیگر نقاط مجموعه متمایز باشد، به گونه‌ای که هرگونه نفوذ در محل آشکار باشد.

-       در نظر داشتن محلی که در داخل ساختمان یا مجموعه‌ای بزرگتر قرار گرفته است تا تدابیر امنیتی بکارگرفته شده برای امن سازی مجموعه‌ی بزرگتر را بتوان برای امن سازی محل اختیار شده نیز به کار گرفت.

با این وجود، در انتخاب محل، میان محلی که کاملاً جدا باشد (که نسبتاً پرهزینه خواهد بود) و مکانی که درون محلی نسبتاً عمومی قرار دارد و از مکان‌های بلااستفاده سود برده است (‌که باعث ایجاد خطرهای امنیتی می‌گردد)،‌ می‌توان اعتدالی منطقی را در نظر داشت.

    در مجموع می‌توان اصول زیر را برای تضمین نسبی امنیت فیزیکی تجهیزات در نظر داشت :

-       محدود سازی دسترسی به تجهیزات شبکه با استفاده از قفل‌ها و مکانیزم‌های دسترسی دیجیتالی به همراه ثبت زمان‌ها، مکان‌ها و کدهای کاربری دسترسی‌های انجام شده.

-       استفاده از دوربین‌های پایش در ورودی محل‌های استقرار تجهیزات شبکه و اتاق‌های اتصالات و مراکز پایگاه‌های داده.

-       اعمال ترفند‌هایی برای اطمینان از رعایت اصول امنیتی.

۱-۴ – انتخاب لایه کانال ارتباطی امن

    با وجود آنکه زمان حمله‌ی فیزیکی به شبکه‌های کامپیوتری، آنگونه که در قدیم شایع بوده، گذشته است و در حال حاضر تلاش اغلب نفوذگران بر روی به دست گرفتن کنترل یکی از خادم‌ها و سرویس‌دهنده‌های مورد اطمینان شبکه معطوف شده است،‌ ولی گونه‌ای از حمله‌ی فیزیکی کماکان دارای خطری بحرانی است.

    عمل شنود بر روی سیم‌های مسی،‌ چه در انواع Coax و چه در زوج‌های تابیده، هم‌اکنون نیز از راه‌های نفوذ به شمار می‌آیند. با استفاده از شنود می‌توان اطلاعات بدست آمده از تلاش‌های دیگر برای نفوذ در سیستم‌های کامپیوتری را گسترش داد و به جمع‌بندی مناسبی برای حمله رسید. هرچند که می‌توان سیم‌ها را نیز به گونه‌ای مورد محافظت قرار داد تا کمترین احتمال برای شنود و یا حتی تخریب فیزیکی وجود داشته باشد، ولی در حال حاضر، امن ترین روش ارتباطی در لایه‌ی فیزیکی، استفاده از فیبرهای نوری است. در این روش به دلیل نبود سیگنال‌های الکتریکی، هیچگونه تشعشعی از نوع الکترومغناطیسی وجود ندارد، لذا امکان استفاده از روش‌های معمول شنود به پایین‌ترین حد خود نسبت به استفاده از سیم در ارتباطات می‌شود.

۱-۵ – منابع تغذیه

    از آنجاکه داده‌های شناور در شبکه به منزله‌ی خون در رگهای ارتباطی شبکه هستند و جریان آنها بدون وجود منابع تغذیه، که با فعال نگاه‌داشتن نقاط شبکه موجب برقراری این جریان هستند، غیر ممکن است، لذا چگونگی چینش و نوع منابع تغذیه و قدرت آنها نقش به سزایی در این میان بازی می‌کنند. در این مقوله توجه به دو نکته زیر از بالاترین اهمیت برخوردار است :

-       طراحی صحیح منابع تغذیه در شبکه بر اساس محل استقرار تجهیزات شبکه‌. این طراحی باید به گونه‌ای باشد که تمامی تجهیزات فعال شبکه، برق مورد نیاز خود را بدون آنکه به شبکه‌ی تامین فشار بیش‌اندازه‌ای (که باعث ایجاد اختلال در عملکرد منابع تغذیه شود) وارد شود، بدست آورند.

-       وجود منبع یا منابع تغذیه پشتیبان به گونه‌ای که تعداد و یا نیروی پشتیبانی آنها به نحوی باشد که نه تنها برای تغذیه کل شبکه در مواقع نیاز به منابع تغذیه پشتیبان کفایت کند، بلکه امکان تامین افزونگی مورد نیاز برای تعدادی از تجهیزات بحرانی درون شبکه را به صورت منفرد فراهم کند.

۱-۶ – عوامل محیطی

    یکی از نکات بسیار مهم در امن سازی فیزیکی تجهیزات و منابع شبکه، امنیت در برار عوامل محیطی است. نفوذگران در برخی از موارد با تاثیرگذاری بر روی این عوامل، باعث ایجاد اختلال در عملکرد شبکه می‌شوند. از مهمترین عواملی در هنگام بررسی امنیتی یک شبکه رایانه‌ای باید در نظر گرفت می‌توان به دو عامل زیر اشاره کرد :

-       احتمال حریق (که عموماً غیر طبیعی است و منشآ انسانی دارد)

-       زلزله، طوفان و دیگر بلایای طبیعی

    با وجود آنکه احتمال رخداد برخی از این عوامل، مانند حریق، را می‌توان تا حدود زیادی محدود نمود، ولی تنها راه حل عملی و قطعی برای مقابله با چنین وقایعی،‌ با هدف جلوگیری در اختلال کلی در عملکرد شبکه، وجود یک سیستم کامل پشتیبان برای کل شبکه است. تنها با استفاده از چنین سیستم پشتیبانی است که می‌توان از عدم اختلال در شبکه در صورت بروز چنین وقعایعی اطمینان حاصل کرد.

۲ – امنیت منطقی

    امنیت منطقی به معنای استفاده از روش‌هایی برای پایین آوردن خطرات حملات منطقی و نرم‌افزاری بر ضد تجهیزات شبکه است. برای مثال حمله به مسیریاب‌ها و سوئیچ‌های شبکه بخش مهمی از این گونه حملات را تشکیل می‌‌دهند. در این بخش به عوامل و مواردی که در اینگونه حملات و ضد حملات مورد نظر قرار می‌گیرند می‌پردازیم.

۲-۱ – امنیت مسیریاب‌ها

    حملات ضد امنیتی منطقی برای مسیریاب‌ها و دیگر تجهیزات فعال شبکه، مانند سوئیچ‌ها، را می‌توان به سه دسته‌ی اصلی تقسیم نمود :

-       حمله برای غیرفعال سازی کامل

-       حمله به قصد دستیابی به سطح کنترل

-       حمله برای ایجاد نقص در سرویس‌دهی

    طبیعی است که راه‌ها و نکاتی که در این زمینه ذکر می‌شوند مستقیماً به امنیت این عناصر به تنهایی مربوط بوده و از امنیت دیگر مسیرهای ولو مرتبط با این تجهیزات منفک هستند.  لذا تأمین امنیت تجهیزات فعال شبکه به معنای تآمین قطعی امنیت کلی شبکه نیست، هرچند که عملاً مهمترین جنبه‌ی آنرا تشکیل می‌دهد.

۲-۲ – مدیریت پیکربندی

    یکی از مهمترین نکات در امینت تجهیزات، نگاهداری نسخ پشتیبان از پرونده‌ها مختص پیکربندی است. از این پرونده‌ها که در حافظه‌های گوناگون این تجهیزات نگاهداری می‌شوند،‌ می‌توان در فواصل زمانی مرتب یا تصادفی، و یا زمانی که پیکربندی تجهیزات تغییر می‌یابند، نسخه پشتیبان تهیه کرد.

    با وجود نسخ پشتیبان،‌ منطبق با آخرین تغییرات اعمال شده در تجهیزات، در هنگام رخداد اختلال در کارایی تجهزات، که می‌تواند منجر به ایجاد اختلال در کل شبکه شود، در کوتاه‌ترین زمان ممکن می‌توان با جایگزینی آخرین پیکربندی، وضعیت فعال شبکه را به آخرین حالت بی‌نقص پیش از اختلال بازگرداند. طبیعی است که در صورت بروز حملات علیه بیش از یک سخت‌افزار، باید پیکربندی تمامی تجهیزات تغییریافته را بازیابی نمود.

    نرم‌افزارهای خاصی برای هر دسته از تجهیزات مورد استفاده وجود دارند که قابلیت تهیه نسخ پشتیبان را فاصله‌های زمانی متغیر دارا می‌باشند. با استفاده از این نرم‌افزارها احتمال حملاتی که به سبب تآخیر در ایجاد پشتیبان بر اثر تعلل عوامل انسانی پدید می‌آید به کمترین حد ممکن می‌رسد.

۲-۳ – کنترل دسترسی به تجهیزات

    دو راه اصلی برای کنترل تجهزات فعال وجود دارد :

-       کنترل از راه دور

-       کنترل از طریق درگاه کنسول

    در روش اول می‌توان با اعمال محدودیت در امکان پیکربندی و دسترسی به تجهیزات از آدرس‌هایی خاص یا استاندارها و پروتکل‌های خاص، احتمال حملات را پایین آورد.

    در مورد روش دوم، با وجود آنکه به نظر می‌رسد استفاده از چنین درگاهی نیاز به دسترسی فیزکی مستقیم به تجهیزات دارد، ولی دو روش معمول برای دسترسی به تجهیزات فعال بدون داشتن دسترسی مستقیم وجود دارد. لذا در صورت عدم کنترل این نوع دسترسی، ایجاد محدودیت‌ها در روش اول عملاً امنیت تجهیزات را تآمین نمی‌کند.

    برای ایجاد امنیت در روش دوم باید از عدم اتصال مجازی درگاه کنسول به هریک از تجهیزات داخلی مسیریاب، که امکان دسترسی از راه‌دور دارند، اطمینان حاصل نمود.

۲-۴ – امن سازی دسترسی

    علاوه بر پیکربندی تجهیزات برای استفاده از Authentication، یکی دیگر از روش‌های معمول امن‌سازی دسترسی، استفاده از کانال رمز شده در حین ارتباط است. یکی از ابزار معمول در این روش SSH(Secur Shell) است. SSH ارتباطات فعال را رمز کرده و احتمال شنود و تغییر در ارتباط که از معمول‌ترین روش‌های حمله هستند را به حداقل می‌رساند.

    از دیگر روش‌های معمول می‌توان به استفاده از کانال‌های VPN مبتنی بر IPsec اشاره نمود. این روش نسبت به روش استفاده از SSH روشی با قابلیت اطمینان بالاتر است، به گونه‌ای که اغلب تولیدکنندگان تجهیزات فعال شبکه، خصوصاً تولید کنندگان مسیریاب‌ها،‌ این روش را مرجح می‌دانند.

۲-۵ – مدیریت رمزهای عبور

    مناسب‌ترین محل برای ذخیره رمزهای عبور بر روی خادم Authentication است. هرچند که در بسیاری از موارد لازم است که بسیاری از این رموز بر روی خود سخت‌افزار نگاه‌داری شوند. در این صورت مهم‌ترین نکته به یاد داشتن فعال کردن سیستم رمزنگاری رموز بر روی مسیریاب یا دیگر سخت‌افزارهای مشابه است.

۳ – ملزومات و مشکلات امنیتی ارائه دهندگان خدمات

    زمانی که سخن از ارائه دهندگان خدمات و ملزومات امنیتی آنها به میان می‌آید، مقصود شبکه‌های بزرگی است که خود به شبکه‌های رایانه‌ای کوچکتر خدماتی ارائه می‌دهند. به عبارت دیگر این شبکه‌های بزرگ هستند که با پیوستن به یکدیگر، عملاً شبکه‌ی جهانی اینترنت کنونی را شکل می‌دهند. با وجود آنکه غالب اصول امنیتی در شبکه‌های کوچکتر رعایت می‌شود، ولی با توجه به حساسیت انتقال داده در این اندازه، ملزومات امنیتی خاصی برای این قبیل شبکه‌ها مطرح هستند.

۳-۱ – قابلیت‌های امنیتی

    ملزومات مذکور را می‌توان، تنها با ذکر عناوین، به شرح زیر فهرست نمود :

۱ – قابلیت بازداری از حمله و اعمال تدابیر صحیح برای دفع حملات

۲ – وجود امکان بررسی ترافیک شبکه، با هدف تشخیص بسته‌هایی که به قصد حمله بر روی شبکه ارسال می‌شوند. از آنجاییکه شبکه‌های بزرگتر نقطه تلاقی مسیرهای متعدد ترافیک بر روی شبکه هستند، با استفاده از سیستم‌های IDS بر روی آنها، می‌توان به بالاترین بخت برای تشخیص حملات دست یافت.

۳ – قابلیت تشخیص منبع حملات. با وجود آنکه راه‌هایی از قبیل سرقت آدرس و استفاده از سیستم‌های دیگر از راه دور، برای حمله کننده و نفوذگر، وجود دارند که تشخیص منبع اصلی حمله را دشوار می‌نمایند، ولی استفاده از سیستم‌های ردیابی، کمک شایانی برای دست یافتن و یا محدود ساختن بازه‌ی مشکوک به وجود منبع اصلی می‌نماید. بیشترین تآثیر این مکانیزم زمانی است که حملاتی از نوع DoS از سوی نفوذگران انجام می‌گردد.

۳-۲ – مشکلات اعمال ملزومات امنیتی

    با وجود لزوم وجود قابلیت‌هایی که بطور اجمالی مورد اشاره قرار گرفتند، پیاده‌سازی و اعمال آنها همواره آسان نیست.

    یکی از معمول‌ترین مشکلات،‌ پیاده‌سازی IDS است. خطر یا ترافیکی که برای یک دسته از کاربران به عنوان حمله تعبیر می‌شود، برای دسته‌ای دیگر به عنوان جریان عادی داده است. لذا تشخیص این دو جریان از یکدیگر بر پیچیدگی IDS افزوده و در اولین گام از کارایی و سرعت پردازش ترافیک و بسته‌های اطلاعاتی خواهد کاست. برای جبران این کاهش سرعت تنها می‌توان متوسل به تجهیزات گران‌تر و اعمال سیاست‌های امنیتی پیچیده‌تر شد.

    با این وجود،‌ با هرچه بیشتر حساس شدن ترافیک و جریان‌های داده و افزایش کاربران، و مهاجرت کاربردهای متداول بر روی شبکه‌های کوچکی که خود به شبکه‌های بزرگتر ارائه دهنده خدمات متصل هستند، تضمین امنیت، از اولین انتظاراتی است که از اینگونه شبکه‌ها می‌توان داشت.

Wireless چيست؟
مقدمه
Wireless به تکنولوژى ارتباطى اطلاق مى شود که در آن از امواج راديويى، مادون قرمز و مايکروويو ، به جاى سيم و کابل ، براى انتقال سيگنال بين دو دستگاه استفاده مى شود.از ميان اين دستگاه ها مى توان پيغامگيرها، تلفن هاى همراه، کامپيوتر هاى قابل حمل، شبکه هاى کامپيوترى، دستگاه هاى مکان ياب، سيستم هاى ماهواره اى و PDA ها را نام برد.تکنولوژى Wireless به سرعت در حال پيشرفت است و نقش کليدى را در زندگى ما در سرتاسر دنيا ايفا مى کند.

فوايد تکنولوژى Wireless
تکنولوژى Wireless به کابر امکان استفاده از دستگاه هاى متفاوت ، بدون نياز به سيم يا کابل ، در حال حرکت را مى دهد.شما مى توانيد صنوق پست الکترونيکى خود را بررسى کنيد، بازار بورس را زير نظر بگيريد، اجناس مورد نياز را خريدارى کنيد و يا حتى برنامه تلويزيون مورد علاقه خود را تماشا کنيد.بسيارى از زمينه هاى کارى از جمله مراقبت هاى پزشکى، اجرا قوانين و سرويس هاى خدماتى احتياج به تجهيزات Wireless دارند.تجهيزات Wireless به شما کمک مى کند تا تمام اطلاعات را به راحتى براى مشترى خود به نمايش در بياوريد.از طرفى مى توانيد تمامى کارهاى خود را در حال حرکت به سادگى به روز رسانى کنيد و آن را به اطلاع همکاران خود برسانيد.تکنولوژى Wireless در حال گسترش است تا بتواند ضمن کاهش هزينه ها، به شما امکان کار در هنگام حرکت را نيز بدهد.در مقايسه با شبکه هاى سيمى ، هزينه نگهدارى شبکه هاى Wireless کمتر مى باشد.شما مى توانيد از شبکه هاى Wireless براى انتقال اطلاعات از روى درياها، کوهها و ... استفاده کنيد و اين در حالى است که براى انجام کار مشابه توسط شبکه هاى سيمى، کارى مشکل در پيش خواهيد داشت.

سيستم هاى Wireless
سيستم هاى Wireless مى توانند به سه دسته اصلى تقسيم شوند :
سيستم Wireless ثابت : از امواج راديويى استفاده مى کند و خط ديد مستقيم براى برقرارى ارتباط لازم دارد. بر خلاف تلفن هاى همراه و يا ديگر دستگاههاى Wireless، اين سيستم ها از آنتن هاى ثابت استفاده مى کنند و به طور کلى مى توانند جانشين مناسبى براى شبکه هاى کابلى باشند و مى توانند براى ارتباطات پرسرعت اينترنت و يا تلويزيون مورد استفاده قرار گيرند.امواج راديويى وجود دارند که مى توانند اطلاعات بيشترى را انتقال دهند و در نتيجه از هزينه ها مى کاهند.
سيستم Wireless قابل حمل : دستگاهى است که معمولا خارج از خانه، دفتر کار و يا در وسايل نقليه مورد استفاده قرار مى گيرند.نمونه هاى اين سيستم عبارتند از : تلفن هاى همراه، نوت بوکها، دستگاه هاى پيغام گير و PDA ها.اين سيتم از مايکروويو و امواج راديويى جهت انتقال اطلاعات استفاده مى کند.

سيستم Wireless مادون قرمز : اين سيستم از امواج مادون قرمز جهت انتقال سيگنالهايى محدود بهره مى برد.اين سيستم معمولا در دستگاه هاى کنترل از راه دور، تشخيص دهنده هاى حرکت، و دستگاه هاى بى سيم کامپيوترهاى شخصى استفاده مى شود.با پيشرفت حاصل در سالهاى اخير، اين سيستم ها امکان اتصال کامپيوتر هاى نوت بوک و کامپيوتر هاى معمول به هم را نيز مى دهند و شما به راحتى مى توانيد توسط اين نوع از سيستم هاى Wireless ، شبکه هاى داخلى راه اندازى کنيد.

آينده Wireless
نسل سوم شبکه ها ،3G، نسل آينده شبکه هاى Wireless نامگذارى شده است.سيستم هاى 3G کمک مى کنند تا صدا و تصوير و داده را با کيفيت مناسب و به سرعت انتقال دهيم.پيش بينى IDC براى کاربردى شدن 3G سال 2004 مى باشد و تا آن موقع در حدود 29 ميليون کاربر m-commerce) mobile commerce) در آمريکا وجود خواهند داشت.از طرفى IBM معتقد است که بازار کلى تجهيزات Wireless در سال 2003 به رقمى بالغ بر 83 بيليون دلار خواهد رسيد.

شكل 1 پياده‌سازي يك راه حل مناسب و موثر براي مديريت NOC  نيازمند برنامه ريزي دقيق است و بايد تركيبي از عوامل كليدي زير باشد: ● مشخص نمودن هدف راه حل مديريت شبكه ● محك زدن عملكرد شبكه موجود با ساير سازمان هاي قابل مقايسه ● ارزيابي پيچيدگي عملكرد كنوني ● محاسبه هزينه كلي مالكيت راه حل مديريت شبكه ● محاسبه بازگشت سرمايه (RoI) براي راه حل    روش هاي متعارف در پياده سازي NOC  سه روش اصلي براي پياده سازي مركز عمليات شبكه موجود مي‌باشد. روش اول ايجاد يك مركز عمليات شبكه به طور كامل مي‌باشد. اين روش بسيار پرهزينه است. اما براي دارندگان شبكه‌هاي بزرگ صرف اين هزينه‌ها با توجه به بازگشت سرمايه شبكه مقرون به صرفه مي‌باشد. روش دوم روش  outsourcing  يا برون سپاري مي‌باشد. در اين روش كل مركز عمليات شبكه اعم از تجهيزات فيزيكي و سرويس‌هاي آن يكجا از يك شركت ديگري خريداري مي‌گردد. اين بدين معناست كه دارندگان شبكه سرويس‌هاي مورد نياز خود را خريداري مي‌كنند درحالي‌كه مركز عمليات شبكه‌اي راه‌اندازي ننموده‌اند. در روش سوم دارندگان شبكه برخي از عمليات شبكه را به صورت انتخابي خريداري مي نمايند كه اين روش به روشout-tasking  يا وظيفه‌سپاري معروف مي‌باشد. طي تحقيقات به عمل آمده اكثر دارندگان شبكه به جاي استفاده از  outsourcing تمايل به استفاده از روش out-tasking دارند. شكل 2 مهمترين نكته در استفاده از روش‌هاي دوم و سوم، استفاده از خدمات ارائه‌دهندگان سرويس مناسب مي‌باشد. تحقيقات نشان مي‌دهد بين 36 تا 40 درصد دارندگان شبكه كه از روش out-tasking استفاده مي كنند چهار نوع ارائه دهنده سرويس را براي كار خود مناسب مي دانند كه از جمله آن‌ها مي‌توان به فروشندگان تجهيزاتITو شبكه، مجتمع‌سازان سيستم‌ها و (MSP (Management Service Provider اشاره نمود. كساني كه از روش outsourcing استفاده مي‌كنند فروشندگان تجهيزات شبكه و مجتمع‌سازان سيستم‌ها را براي كار خود مناسب مي دانند. در آخرين تحقيق به‌عمل‌آمده كمبود ارائه‌دهندگان سرويس با قابليت بالا يكي از مهمترين موانع در راه پياده‌سازي استراتژي outsourcing است. نمودارهاي زير آماري از out-tasking و outsourcing در شبكه ها و همچنين مشكلات موجود در راه به خدمت گرفتن روش‌هاي out-tasking يا outsourcing را نشان مي‌دهد. با گسترش شبكه‌ها نياز به يك مديريت منسجم و يك مدل نظارتي كه كيفيت سرويس را براي شبكه‌هاي فوق تضمين كند بيش از پيش احساس مي‌شود. اين نوع مديريت هدف اصلي صاحبان شبكه‌هاست زيرا اين روش در حقيقت به كاربران اين اطمينان را مي‌دهد كه با توجه به تكنولوژي‌هاي موجود، سرويس‌هايي را با سطح سرويس توافق‌شده دريافت كنند. مديريت شبكه استانداردهاي مختلفي دارد كه از جمله آن‌ها TMN است كه مفاهيمي برپايه مديريت OSI دارد. مدل عملياتي آن به‌گونه‌اي است كه سرويس‌ها به صورت لايه‌اي ارائه مي‌شوند. در اين مدل ارتباطات در بين لايه‌ها صورت مي‌گيرد. پايين‌ترين لايه، لايه عناصر شبكه مي‌باشد كه شامل روترها، سوئيچ‌ها و ساير تجهيزات است. لايه دوم، لايه مديريت عناصر شبكه است. كه عناصر موجود در شبكه را مديريت مي‌كند. اين دو لايه وابسته به فناوري ساخت مي‌باشند و سازندگان مختلف آن‌ها را با روش منحصر به خودشان مرتبط مي‌سازند. عمليات مديريتي كه روي عناصر شبكه توسط اين مديريت انجام مي‌شود در حقيقت مديريت پهناي باند، كارايي، كيفيت سرويس و كنترل ترافيك اطلاعات است. مديريت سرويس‌ها نيز در شبكه معمولاً توسط ارائه‌دهندگان سرويس در شبكه‌ها پيش‌بيني مي‌شوند. اين سرويس‌ها معمولاً شامل پردازش درخواست‌ها مي‌باشد. مدل نظارت و مديريت با توجه به مفاهيم گفته‌شده، يك مدل نظارتي و مديريتي مي‌تواند برپايه ويژگي‌ها و سرويس‌هاي موجود در شبكه‌اي كه قرار است مديريت شود، به‌وجود آيد. براي توضيح اين مدل در نظر بگيريد كه يك شركت كه يك دفتر مركزي دارد، داراي شبكه‌اي با ساختار پيچيده است. اين شركت دفتر مركزي خود را با استفاده از زيرساخت‌هاي مختلف به ساير دفترهاي خود كه در نواحي مختلف منطقه قرار دارند مرتبط ساخته است. مدل مديريتي و نظارتي كه براي اين شركت در نظر گرفته شده، سه قسمت اصلي دارد. يك قسمت ساختار پايه عملياتي، يك قسمت تجهيزات مديريتي و نظارتي و يك قسمت ارتباط بين دو قسمت قبلي مي‌باشد. مفاهيمي كه در هر قسمت مشخص شده است نشان مي‌دهد كه يك مديريت مجتمع براي اين شبكه نياز است. اين مديريت مجتمع بايد به‌گونه‌اي طراحي شود كه بتواند امكان دسترسي آسان به شبكه، ارائه سرويس با كيفيت توافق شده و برقراري امنيت در شبكه را فراهم سازد. ساختار پايه عملياتي مديريت و نظارت شبكه‌هايي كه داراي زيرساخت‌هاي مختلف مي‌باشند بايد به‌گونه‌اي طراحي شود كه قادر باشد سرويس‌هاي خواسته شده را با كيفيت مطلوب و سرعت دسترسي قابل‌قبول ارائه كند. در حقيقت مديريت شبكه شامل مهندسي استراتژيك و برنامه‌ريزي شده سرويس‌هاي شبكه است. مهندسين شبكه با توجه به نيازهاي شبكه پيش‌بيني‌هايي براي گسترش شبكه دارند اما لازم است برنامه‌ريزي آنها طوري باشد كه در آينده با افزايش كاربران بتوانيم سرويس‌هاي جديد را با كيفيت مناسب ارائه دهيم.   اين كار در شبكه‌هاي امروزي توسط مديريت شبكه انجام مي‌شود. همچنين در شبكه‌ها كنترل كارايي شبكه و تداركات لازم براي گسترش شبكه در صورت نياز و يا ايجاد امكان ارائه سرويس‌هاي جديد با تغيير تكنولوژي نيز برعهده مديريت شبكه مي‌باشد. اين مديريت بايد به‌گونه‌اي كاملاً مقرون به صرفه كليه تداركات لازم را در نظر بگيرد. يكي از كارهايي كه از وظايف مهم سيستم‌هاي مديريتي نيز به حساب مي‌آيد، برقراري ارتباط بين گروه‌هاي مختلف است. مدل مديريت و نظارت با توجه به سطوح مختلف سازمان‌دهي مي‌شود. سطح نظارت براي مشخص كردن استراتژي‌ها و سياست‌هاي مديريت در نقاط مختلف مورد استفاده قرار مي‌گيرد. اين سياست‌ها توسط مديريت حمايت مي‌شوند و روند عملياتي مديريت شبكه را مشخص مي‌سازند.   حوزه فعاليت‌هاي گروه نظارت حوزه مسئوليت‌هاي گروه نظارت شرح وظايف نظارت بر ارتباطات مديريت ساختار سرويس‌هاي ارتباطي در شبكه نظارت بر دريافت سرويس‌ها مديريت فرايند دسترسي كاربران به شبكه‌  نظارت بر مهندسي شبكه طراحي منابع و نحوه پياده‌سازي سرويس‌ها و نظارت بر تكامل تدريجي تكنولوژي سرويس‌ها در شبكه نظارت بر كيفيت تكنولوژي اطلاع‌رساني مديريت پروسه تكنولوژي اطلاع‌رساني در شبكه نظارت بر امنيت در شبكه ايجاد سياست‌هايي كه تبادل اطلاعات در شبكه را در بالاترين درجه امنيت تضمين مي‌كنند نظارت بر سرويس‌ها و  سيستم‌ها مديريت دسترسي به سيستم و سرويس‌هاي ارائه شده در شبكه وظايف مديريت و نظارت گروه نظارت مسوول بازرسي و گاهي ايجاد سياست‌هاي نظارتي براي پروژه‌هاي در دست اقدام مي‌باشد. اين سياست‌ها همان‌گونه كه در قبل نيز به آن اشاره شد توسط روندهاي عملياتي كه گروه مديريت ايجاد مي‌كنند پشتيباني مي‌شوند. ابزار مديريت و نظارت در شبكه ابزار مديريت شامل گزارش‌ها، فرم‌ها و اسنادي است كه روند عمليات در شبكه و سياست‌هاي آن را مشخص مي‌سازند. گروه مديريت و نظارت بايد به‌طور مستقيم با گروه نصب و نگهداري در رابطه باشند و كليه تغييرات شبكه را در مديريت لحاظ كنند.   گزارش دهي توانايي ارائه گزارش قابل فهم و همچنين ارائه سرويس‌ها در حد مطلوب باعث ايجاد اعتماد متقابل بين شبكه و مشتري مي‌شود. روابط بين عمليات شبكه و قسمت نگهداري، اثر مستقيم روي كارايي شبكه مورد نظر دارد. اين سرويس‌ها مي‌توانند به صورتي ارائه شوند كه طيف وسيعي از تعهدات نظير نگهداري، تعويض سخت افزار و مديريت پيكربندي را شامل شوند. حوزه فعاليت‌هاي گروه مديريت حوزه مسئوليت‌هاي مديريت‌ شرح وظايف مديريت پيكربندي مشخص كردن مكانيزم‌هاي پيشرفته‌اي كه نرم‌افزارها و سخت‌افزارهاي شبكه را استاندارد كند مديريت سرويس‌ها و سيستم‌ها پياده‌سازي يك مكانيزم عملي براي تضمين در دسترس بودن و قابليت اطمينان سرويس‌هاي ارائه شده در شبكه‌ مديريت منابع و صورتحساب مديريت تجهيزات شبكه كه به‌طور مشترك مورد استفاده قرار مي‌گيرند. مديريت كارآيي پياده‌سازي يك مكانيزم براي نگهداري اطلاعات مربوط به كارآيي سيستم‌ها در شبكه‌ مديريت خطا پياده‌سازي يك مكانيزم براي تشخيص و ايزوله سازي خطا در شبكه و برطرف كردن عيب‌هاي شبكه در صورت امكان‌ مديريت امنيت پياده‌سازي يك مكانيزم عملي براي اجراي سياست‌هاي مشخص شده در رابطه با امنيت شبكه‌ شبكه‌هاي امروزي با استفاده از مانيتورينگ بلادرنگ، پيشگيري از بروز مشكلات و حل سريع مشكلات به‌وجود آمده، مي توانند كارآرايي خود را تضمين كنند.   در هر NOC مديريت‌ها و به تبع آن تهيه گزارش‌هاي به اين نحو صورت مي پذيرد: ● مديريت خطا ● مديريت پيكربندي  ● مديريت كارآيي ● مديريت امنيت ● مديريت حسابرسي ● مديريت Inventory    مديريت خطا هر زماني كه خرابي در يكي از سرويس‌ها رخ دهد، وظيفه مركز عمليات شبكه است كه سرويس مورد نظر را هر چه زودتر به شبكه بازگرداند. براي اين منظور لازم است ابتدا سرويس مورد نظر مشخص شده و سپس از ساير قسمت‌هاي شبكه جدا شود. سپس رفع عيب شده و به شبكه بازگردانده شود. در بسياري موارد اين عمليات به صورت خودكار انجام مي‌گيرد. در برخي از موارد يك سيستم مديريت شبكه خطا را مشخص مي كند و با يك سري اخطارها وقوع خطا را اعلام مي‌نمايد. اصلاح سرويس شامل درست كردن علت خرابي نيست و اين رفع عيب معمولاً برعهده گروه نصب و نگهداري مي باشد. (Trouble Ticket (T.T معمولاً به طور دستي توسط مهندسين در مركز عمليات شبكه ايجاد مي‌شود. البته در بعضي موارد اين T.T توسط خود NMS و به طور اتوماتيك ايجاد مي‌گردد. اطلاعات موجود روي اينT.Tها شامل يك شماره است كه سيستم به آن اختصاص مي‌دهد. همچنين شامل زمان وقوع خطا، ماهيت خطا، كاربري كه با وقوع اين خطا متضرر شده، SLA، گروه مسؤول، گروه اصلاح خطا و همچنين توليد كننده T.T مي باشد. اين T.T به گروه نصب و نگهداري كه مسئول اصلاح و رفع عيب مي باشد، داده مي شود. اين گروه قبل از بازگرداندنT.T، كليه مراحل اصلاح را روي آن مشخص مي كنند. مسيريابي اين T.T توسط گروه هاي مختلفي انجام مي شود اما نظارت بر آن معمولاً برعهده گروه نگهداري مي باشد. شبكه با استفاده از توليد T.T مي‌تواند در زمان مناسب به خطاهاي توليد شده پاسخ دهد و در صورت امكان آنها را برطرف سازد. در مركز عمليات شبكه به طور كلي نياز به يك سيستم خودكار توليد T. T داريم تا بتوانيم خطاهاي موجود در شبكه را برطرف سازيم.   مديريت رخداد اين مديريت كليه خطاها را از قسمت هاي مختلف شبكه جمع آوري مي كند و آنها را با توجه به سياست كاري شبكه و بسته به عناصر توليد كننده آن طبقه بندي مي كند. اثرات هر خطا را روي شبكه به تصوير مي‌كشد و با توجه به مقادير آستانه‌اي موجود در شبكه، حجم خطاها و اخطارها را در شبكه كاهش مي‌دهد.    نظارت بر Trouble Ticket   نظارت برT.T  يكي از قسمت‌هاي نظارتي مديريت خطا مي‌باشد. كليه اشكالات تا رفع كامل بايد مسيريابي شوند و اين كار برعهده قسمت نظارت مديريت خطا مي‌باشد. داشتن اطلاعات يكي از ابزارهاي عيب‌يابي است. سيستم‌هاي خودكاري وجود دارند كه مسير اشكالات را از زمان توليد  T.T تا رفع عيب كامل مشخص مي سازند. مديريت پيكربندي براي پيكربندي يك شبكه سه قسمت وجود دارد. اولين بخش پيكربندي شبكه قسمت، استاتيك آن است. اين پيكربندي‌ در حقيقت پيكربندي دائمي شبكه است. بخش دوم پيكربندي شبكه در حال فعاليت است كه در حقيقت پيكربندي‌اي است كه شبكه با آن راه‌اندازي شده است. بخش سوم، پيكربندي پيش‌بيني شده در آينده، براي شبكه مي‌باشد.   اين بخش متعلق به زماني است كه ساختار شبكه به علت تغيير ساختارهاي اطلاعات تغيير پيدا مي‌كند. اطلاعات پيكربندي به صورت خودكار توسط سيستم‌هاي مديريت شبكه جمعآوري و ذخيره مي گردد. مركز عمليات شبكه يك نمايشگر براي نمايش پيكربندي ديناميك شبكه و حالات آن دارد. حالت‌هاي شبكه توسط يك سيستم مديريت شبكه نمايش داده مي شود و خرابي‌هاي تجهيزات نيز توسط آن مشخص مي‌گردد. اين سيستم مديريت شبكه ترافيك و كارآيي شبكه را نيز نمايش مي‌دهد. هرگونه تغيير ساختاري كه روي پيكربندي موجود شبكه توسط مركز عمليات شبكه صورت مي‌گيرد در نمايشگر ديناميك موجود در مركز عمليات شبكه نيز منعكس مي‌گردد.    مديريت امنيت امنيت شبكه طيف وسيعي از مسائل امنيتي را مي پوشاند كه شامل امنيت فيزيكي شبكه و همچنين كنترل دسترسي به شبكه مي‌باشد. حق دسترسي به نرم افزارهاي كاربردي فقط مختص NOC نيست. اين حق زماني به مركز عمليات شبكه داده مي‌شود كه يا نرم افزار را خود NOC طراحي كرده و نوشته باشد يا اينكه نرم‌افزار را خريداري كرده باشد. درنتيجه يك پايگاه داده امنيتي براي دسترسي به شبكه و دسترسي به اطلاعات شبكه توسط مركز عمليات شبكه به‌وجود مي‌آيد. سياست دسترسي در شبكه‌هاي مختلف متفاوت است. به طور مثال در شبكه‌هاي Enterprise ممكن است كليه اعضا اجازه دسترسي به تمام شبكه را بدون محدوديت داشته باشند اما در يك مركز عمليات شبكه بسته به خواست طراح شبكه، هر گروه از افراد اجازه دسترسي به قسمت خاصي از شبكه را دارند. اما به هر جهت بايد از ورود غيرقانوني افراد به شبكه و دسترسي به منابع اطلاعاتي شبكه در هر حالتي پيشگيري كرد. مركز ملي امنيت كامپيوتر (NCSC) براي امنيت در شبكه‌ها  سياست‌ها و روال‌هايي را با توجه به طراحي كامپيوترهاي مختلف همچنين برنامه‌هاي مختلف پيش‌بيني كرده است. پايه و اساس برپايي اين سياست‌ها و روال ها در زير مشخص شده اند: 1- مشخص كردن مواردي كه لازم است محافظت شوند. 2-  مشخص كردن علت حفاظت 3-  مشخص كردن تهديدهاي موجود 4-  مشخص كردن روش‌هاي مقرون به صرفه براي محافظت از تجهيزات 5-  بررسي مداوم فرايند جهت رفع ضعف‌هاي احتمالي قسمت‌هايي كه لازم است محافظت شوند نظير سخت افزارها و نرم‌افزارها، اطلاعات، مكتوبات، منابع و مسؤولان مربوطه نيز بايد مشخص شوند. مديريت كارآيي هر NOC، اطلاعات شبكه را جمع آوري مي كند و آن‌ها را بروز مي نمايد تا بتواند هميشه شبكه را در حد كارآيي مطلوب نگه دارد. آمار شبكه كه شامل اطلاعات ترافيك، در دسترس بودن شبكه و تاخير شبكه است توسط اين مركز جمع‌آوري مي شود. اطلاعات ترافيك شبكه مي‌تواند برپايه حجم ترافيك در نقاط مختلف شبكه جمع‌آوري شود. همچنين مي‌توان آن را با توجه به برنامه‌هاي كاربردي مختلف نظير پست الكترونيكي، ترافيك وب  و اخبار شبكه و يا برپايه ترافيك پروتكل انتقال در لايه هاي مختلف نظير TCP ،UDP ،IP ،IPX ،Ethernet و FDDI نيز جمعآوري نمود. آمارهاي به‌دستآمده جهت پيش‌بيني روند رشد شبكه و طراحي‌هاي آينده براي گسترش شبكه مورد استفاده قرار مي گيرند. اطلاعات كارآيي در رابطه با در دسترس بودن شبكه و تاخير در شبكه براي افزايش ضريب اطمينان شبكه و بهينه سازي زمان پاسخ مورد استفاده قرار مي گيرد. براي مديريت كارآيي، كارآيي شبكه را با آناليز‌كننده پروتكل مورد بررسي قرار مي‌دهند. اين آناليزكننده‌هاي پروتكل در حقيقت ابزار اندازه‌گيري كارآيي در شبكه‌ها مي‌باشند و با استفاده از مانيتور كردن بار شبكه كه شامل پارامترهاي مختلفي نظير منابع، آدرس‌هاي مقصد و پروتكل‌ها در لايه‌هاي مختلف شبكه مي‌باشد، مي‌توانند اطلاعات لازم براي مديريت كارآيي را جمع‌آوري كنند. آمار ترافيك را مي‌توان در بازه‌هاي زماني بين يك ساعت تا يك سال به‌دست آورد. اين اطلاعات به مركز عمليات شبكه از طريق RMON ارسال مي‌شوند. هر يك از تجهيزات، اطلا‌عات شبكه محلي خود را مانيتور مي‌كنند و تحليل‌هاي لازم را انجام مي‌دهند. اين تجهيزات، اطلاعات خواسته شده و حتي يك سري اطلاعات كه درخواست نشده‌اند را هم جمع‌آوري و آناليز كرده و به مراكز مربوطه ارسال مي‌دارند. اين تكنولوژي (RMON) لزوم فعال‌بودن agent‌ها در شبكه را به طور تمام وقت براي اينكه مدير شبكه اطلاعات را از آن‌ها دريافت كند، از بين مي برد. مانيتور كردن بسته ها نظير ping ICMP ممكن است باعث سوء برداشت شود. به طور مثال ping ‌هايICMP در ارتباطات راه دور به‌خصوص زماني كه ترافيك شبكه نيز بالا مي باشد ممكن است گم شوند و مدير شبكه، اين موضوع را خرابي تجهيزات مورد نظر تلقي كند. در حالي كه RMON به طور محلي اين كار را انجام مي‌دهد و ضريب اطمينان را بالا مي‌برد. يكي ديگر از مزيت‌هاي استفاده از RMON اين است كه مي توان به طور دائم يك قسمت از شبكه را مانيتور كرد. اين عمل باعث افزايش ميزان اطلاعات و امكان كنترل بهتر مي‌شود. با استفاده از اين روش سرعت پيدا كردن خطا در شبكه افزايش مي يابد. در بعضي موارد با استفاده از مديريت proactive مي‌توان از بروز خطا در شبكه نيز جلوگيري به عمل آورد. علاوه بر اين موارد ذكر شده استفاده از تكنولوژي RMON در شبكه باعث افزايش قدرت نظارت مي گردد. مديريت حسابرسي NOC با توجه به منابع شبكه و ميزان استفاده از آ‌ن‌ها، مديريت حسابرسي را نيز  عهده دار است. معيارهايي براي مشخص كردن ميزان استفاده از منابع در شبكه و همچنين سرويس‌هاي شبكه مشخص شده است. از آنجايي‌كه شبكه شامل تجهيزاتي است كه هر كدام را يك سري سازنده مختلف ساخته‌اند، لازم است هماهنگي‌هاي لازم براي  ارتباط آن‌ها با يكديگر صورت گيرد. اين هماهنگي در MIB صورت مي‌گيرد و مشخصات و روابط هر يك از قسمت‌هاي شبكه با ساير تجهيزات شبكه درMIB ذخيره شده و در صورت لزوم مورد استفاده قرار مي گيرد. حجم مشخصي از اطلاعات به علت سنتي بودن سيستم لازم است به صورت دستي جمعآوري شوند. اما بقيه اطلاعات به صورت خودكار جمع‌آوري مي شوند. SNMP يك پروتكل متداول براي جمع آوري اطلاعات به صورت خودكار است و با استفاده از پروتكل‌ها و همچنين ابزار آناليز، كارايي اين اطلاعات را جمع آوري مي كند. يك قسمت از پياده سازي استاندارد جمع آوري اطلاعات حصول اطمينان از رسيدن اطلاعات كافي به پرسنل مربوطه مي باشد. مديريت Inventory  اين مديريت مهم‌ترين قسمت در مديريت شبكه محسوب مي‌گردد. با استفاده از اين مديريت كليه تجهيزات موجود در شبكه فهرست مي‌شوند و در صورت نياز مورد استفاده قرار مي‌گيرند. اهميت وجود اين قسمت زماني بيش از پيش مشخص مي‌گردد كه بخواهيم با استفاده از روش Provisioning نيازهاي شبكه را مشخص كنيم. اين بخش مديريتي از نظر هزينه گران‌ترين بخش محسوب مي شود. اين مديريت به صورت خودكار پس از نصب و راه‌اندازي، تجهيزات جديد را در فهرست تجهيزات خود اضافه كرده و اطلاعات مخصوص به آن را در شبكه مشخص مي كند.  روش هاي پياده سازي در يك شبكه با زيرساخت‌هاي مشخص، تجهيزات و پرسنل و ارائه سرويس با كيفيت بالا، اولين و مهمترين نياز وجودNOC است. در اين محيط لازم است تمامي كاربران 24 ساعت در روز و هفت روز در هفته از سرويس‌هاي با كيفيت بالا استفاده كنند. درنتيجه بهتر است مركز NOC با هزينه بالا و امكانات بسيار خوب راه اندازي مي‌شود. اين مراكز معمولاً در بزرگترين مركز شهري و با اتصالات  E1 و STM-1 و در برخي شرايط با فيبرنوري به شبكه موجود مرتبط مي‌شوند. اين مراكز به گونه‌اي طراحي مي‌شوند كه با نيازهاي هر شبكه‌اي منطبق باشند و بتوانند كليه خرابي ها و مشكلات شبكه را اعم از اشكالاتي كه توسط پرسنل ايجاد مي‌شوند و يا مشكلات مربوط به تجهيزات مسيريابي كرده، پس از جداسازي رفع كنند.   كليه مراكز عمليات شبكه به تجهيزاتي نظير سنسورهاي دود، آتش، حركت و همچنين تجهيزات اطفاي حريق، ژنراتورهاي توليد برق اظطراري، كامپيوترهاي اضافي، دوربين‌هاي مداربسته و در نهايت به روش‌هاي ايمن‌سازي دسترسي مجهز مي‌باشند. به اين دليل مركز عمليات شبكه بسيار پيچيده و از نظر هزينه بسيار بالا مي باشد. بسياري از شبكه‌ها براي ايجاد مركز عمليات شبكه خود از روش Co-Location استفاده مي‌كنند. اين روش به گونه‌اي است كه مركز عمليات در يك ساختمان ديگر كه متعلق به مركز عمليات شبكه  سازمان ديگري است قرار مي‌گيرد و هر دو شبكه از يك مركز عمليات شبكه به طور مشترك استفاده مي‌كنند. اهداف NOC  هر مركز عمليات شبكه يك خروجي مهم دارد و آن‌هم ايجاد توازن ميان ماموريت‌هاي سازماني، افراد و امنيت شبكه مي‌باشد. براي مديريت اين توازن، نياز به آگاهي كافي، تجربه و انعطاف پرسنل NOC مي‌باشد. اين پروسه شامل برنامه‌ريزي و پيكربندي مناسب منابع است كه شامل پرسنل، آموزش، تجهيزات، كاربران انتهايي و سياست‌هاي مديريتي است. مركز عمليات شبكه رفتار شبكه را مانيتور كرده و آن را مستند مي‌كند و همچنين منابع شبكه را عيب‌يابي و در مواردي عيب‌زدايي مي كند. در اين فرايند مركز عمليات شبكه 24 ساعت در روز و هفت روز در هفته شبكه، را برطبق يك برنامه عملياتي مشخص مديريت مي كند كه اين مديريت شامل گسترش، نصب، نگهداري و پياده‌سازي روش‌هاي ارائه سرويس مي باشد. عمليات NOC شامل جلوگيري از وقوع خطا، آشكارسازي خطا، تصحيح خطا، گزارش‌دهي و جمعآوري اطلاعات و آمار در خصوص تجهيزات شبكه مي باشد. همچنين NOC وظيفه هماهنگ‌سازي، زمانبندي نصب و توسعه تجهيزات شبكه را نيز بر عهده دارد و منابع داخلي شبكه را نيز به طور مستمر مديريت كند. به طور كلي مركز عمليات شبكه يك مركز با سرعت بالاست كه به كليه تهديدها در شبكه عكس‌العملي آني نشان مي‌دهد. در نتيجه بازديد متناوب و مكرر مركز عمليات شبكه براي آگاهي از نحوه عملكرد شبكه و كارآيي آن ضروري مي‌باشد. مي توان تنظيمات را در شبكه به گونه‌اي انجام داد كه نه تنها تجهيزات آسيب ديده بلكه كاربران خسارت ديده نيز مشخص گردند. همچنين مي توان يك سري سياست‌هايي براي جبران خسارت كاربران درنظر گرفت. در تعدادي ازNOCها مديريت به صورت proactive صورت مي‌پذيرد. اين روش مديريت در حقيقت به گونه‌اي است كه قبل از وقوع خطا هشدارهايي به پرسنل و حتي گاهي به كاربران هم داده مي شود. در حقيقت با هوشمندسازي سرويس‌ها مي‌توان مديريت شبكه را بهتر و با كارآيي بالاتري انجام داد به اين ترتيب با اضافه نمودن تجهيزات هوشمند در مركز عمليات شبكه مي توان احتمال بروز خطا و خرابي را در شبكه به حداقل رساند.   طراحي امكانات مورد نياز NOC   اين طراحي معمولاً به گونه‌اي صورت مي‌پذيرد كه با ميزان مجتمع‌سازي روال كار داخلي و خارجي سازمان هماهنگي داشته باشد. راحتي و شكل ظاهري مناسب، ازجمله عوامل مهم در طراحي مركز عمليات شبكه مي‌باشد. دقت و توجه در طول فاز طراحي مي‌تواند از هدر رفتن منابع و همچنين عمليات غيرضروري درآينده جلوگيري كند.    تجهيزات اتاق فرمان اتاق فرمان معمولاً نقطه مركزي NOC است كه به عنوان يك محيط عملياتي براي استفاده از پرسنل مورد استفاده قرار مي گيرد. در اين مكان لازم است كليه تجهيزات نصب و راه‌اندازي شوند زيرا كليه فرمان‌ها از اين مكان ارسال مي گردد. در اين اتاق معمولاً يك صفحه نمايشگر بسيار بزرگ ديواري نصب مي شود كه مي‌توان از طريق آن كليه تجهيزات شبكه را نظارت كرد.

از لحاظ ساختاری ISP باید ساختاری تقریبا" مشابه اما در اندازه کوچکتر از شرکت ها و سازمانهای یاد شده داشته باشد، مشکلی که در این راه وجود دارد آن است که ISP های موجود در سطح شهر تهران اغلب خصوصی هستند و بخش خصوصی توان مالی لازم برای نگه داشتن کیفیت در سطح شرکت های یاد شده را ندارد.

از مهمترین قسمت های یک ISP بخش فنی آن می باشد که در این مطلب می خواهیم راجع به آن کمی صحبت کنیم.

حتی پس از آنکه یک ISP راه اندازی شود، ساختار شبکه آن باید دائم تغییر کند، چرا ؟ دلیل آن ساده است، در یک ISP سکون معادل مرگ یا شکست است.

شبکه یک ISP کمتر به حالتی می رسد که نیاز به تغییر نداشته باشد، گاهی از اوقات این تغییرات خواسته و گاهی ناخواسته می باشد. تغییر دادن provider های ماهوراه، اضافه شدن خطوط جدید تلفن یا مشتری های وایرلس، تهیه تجهیزات جدید، نصب service pack ها روی سیستم های عامل سروها و ... همه همه از جمله مواردی هستند که شبکه ISP را دچار تغییرات خود خواسته می کنند.

حمله انواع worm ها یا ویروس ها، قطع شدن لینک ارتباطی فیبر نوری، ماهواره یا سوختن تجهیزات، crash کردن سروها، بالا رفتن بار روی روترها براثر تنظیم های نادرست و ... همه از مواردی هستند که ناخواسته پرسنل فنی یک ISP را مجبور به ایجاد تغییرات در شبکه می کنند.

این یک واقعیت است که پرسنل بخش فنی ISP خواب ندارند و باید در تمام مدت 24 ساعت مراقب کیفیت سرویس باشند و به همین دلیل یکی از مراکز بزرگ هزینه در یک ISP نیروهای فنی آن می باشد.

در یک ISP با حداقل 1000 خط شما باید از متخصص شبکه، روتر، broadband، Unix و دیتابیس تا مهندس نرم افزار بهرمند باشید. همه آنها باید در تمام طول شبانه روز آماده رفع مشکلات احتمالی باشند، کاری بسیار سخت، هزینه بر و دشوار.

نبود پرسنل فنی با تجربه عملا" باعث طراحی و تنظیم غلط شبکه می شود و نتیجه آن ارائه سرویس بد به مشتری می باشد. اشکالاتی نظیر کندی در زمان کنترل کلمه عبور، قطع شدن پیاپی ارتباط، تمام شدن زودهنگام اعتبار، درست نشان ندادن صفحه های اینترنت – مثلا" صفحه های قدیمی – و ... همه و همه می تواند از تنظیمات نادرست در شبکه یک ISP باشد.

آنچه در تیم فنی یک ISP بسیار حائز اهمیت می باشد به روز نگه داشتن پرسنل و نیز مدیریت درست نیروهای فنی می باشد چرا که پرسنل باید در تمام ساعات روز، هفته و سال در سایت حاضر باشند.

بنابر شاید هم اکنون این موضوع را تصدیق کنید که برای بخش خصوصی چقدر نگهداری چنین تیمی هزینه بر خواهد بود. مشکل دیگر برای ISP های بزرگ وجود ISP های کوچک است که با ارائه سرویس های نامرغوب و ارزان صحنه رقابت در بازار را خراب میکنند.

ممكن است از خود بپرسيد كه اين امر چگونه مى تواند مفيد واقع شود. خوب، كافى است چند ثانيه راجع به آن فكر كنيد. اگر تبديل سيگنال هاى آنالوگ به داده هاى ديجيتال ممكن باشد، VoIP مى تواند يك ارتباط اينترنت استاندارد را به يك روش مجازاً رايگان براى برقرارى ارتباطات تلفنى در هر جاى دنيا تبديل كند. فقط كافى است هزينه ISP را بپردازيد. اين مسئله شما را قادر مى كند كه شركت هاى تلفنى را به طور كامل كنار بگذاريد.
VoIP قابليت اين را دارد كه روش كار سيستم هاى تلفنى را كاملاً متحول كند. شركت هاى زيادى هستند كه سرويس VoIP ارائه مى دهند و پيوسته هم در حال افزايش هستند. در حال حاضر شركت هاى مخابراتى پيشگام در دنيا، پس از وقوف به امكانات بى پايان اين تكنولوژى جديد، در حال تاسيس مراكز VoIP در سراسر دنيا هستند و فروش سيستم هاى تلفن VoIP روزبه روز در حال گسترش است.
• برقرارى يك ارتباط
با سيستم هاى VoIP به يكى از سه روش زير مى توان ارتباط تلفنى برقرار كرد:
: ATA(gateway) ساده ترين روش برقرارى ارتباط VoIP با استفاده از (Analog Telephone Adaptor) كه gateway هم ناميده مى شوند، امكان پذير است. اين ابزارها اين امكان را به شما مى دهند كه از تلفن هاى آنالوگ استاندارد فعلى تان استفاده كنيد (اگر هنوز از تلفن هاى آنالوگ استفاده مى كنيد) به آسانى مى توانيد handset استانداردتان را به ATA متصل كنيد، سپس ATA را به كامپيوتر يا ارتباط اينترنت تان وصل كنيد. با اين كار قادر به برقرارى ارتباط VoIP خواهيد بود. ATA سيگنال آنالوگ را از تلفن استاندارد شما مى گيرد و آن را به سيگنال ديجيتال آماده براى انتقال در بستر اينترنت تبديل مى كند. همراه برخى ATAها يك نرم افزار هست كه روى كامپيوتر load مى شود و شما را قادر مى سازد كه آن را براى VoIP با دقت پيكربندى كنيد.
IP Phones : اين handsetها كاملاً شبيه handsetهاى استاندارد معمولى است. اين تلفن ها تمام نرم افزارها و سخت افزارهاى لازم براى برقرارى ارتباطات VoIP را به صورت built-in دارند. مستقيماً به روتر شما وصل مى شوند و يك ورودى سريع و مقرون به صرفه به دنياى VoIP فراهم مى كنند.
كامپيوتر به كامپيوتر: اين روش آسان ترين روش استفاده از تكنولوژى VoIP است. شركت هاى زيادى هستند كه نرم افزارهاى مقرون به صرفه اى ارائه مى دهند كه مى توانيد براى اين نوع VoIP از آنها استفاده كنيد. معمولاً تنها مبلغى كه بايد پرداخت كنيد فقط هزينه ماهانه ISP است. تمام آنچه كه نياز داريد يك ميكروفون، بلندگو، يك كارت صداى مناسب و يك ارتباط اينترنت با سرعت مناسب است. شركت هاى تلفنى بزرگ امروزه با استفاده از VoIP هزاران تماس تلفنى راه دور را از طريق يك circuit switch به درون يك IP gateway مسير دهى مى كنند. اين داده ها در طرف ديگر توسط يك gateway دريافت شده و سپس با يك circuit switch به محلى ديگر مسير دهى مى شود. هر روزه شركت هاى بيشترى سيستم هاى تلفنى VoIP را نصب مى كنند و تكنولوژى VoIP در حال رشد است.
• مزاياى VoIP
از آنجايى كه با استفاده از VoIP شما از هر جايى كه به پهناى باند مناسب دسترسى داشته باشيد، مى توانيد ارتباط برقرار كنيد، كاربران مى توانند هنگام مسافرت ATAها يا IP Phoneهايشان را همراه داشته باشند و به تمام خدماتى كه تلفن خانگى شان ارائه مى دهد دسترسى داشته باشند. برخى افراد از يك softphone براى دسترسى به سرويس VoIPشان استفاده مى كنند. softphone يك نرم افزار ويژه است كه سرويس VoIP را به كامپيوتر يا لپ تاپ شما load مى كند. اين برنامه ها اين امكان را به شما مى دهد كه از طريق لپ تاپتان از هر جاى دنيا كه به يك ارتباط با پهناى باند مناسب دسترسى داشته باشيد ارتباط تلفنى برقرار كنيد. اغلب شركت هاى تلفنى سنتى هزينه سرويس هاى اضافى را در صورت حساب شما مى گنجانند. در حالى كه اگر از سرويس دهنده هاى VoIP استفاده كنيد، اين سرويس ها استاندارد به حساب مى آيد. سرويس هايى مثل: Caller ID ,Call Waiting ,Call Transfer ,Repeat Dialing ,Return Call ,Three-way Dialing بعضى از سرويس دهندگان VoIP مزاياى بيشترى در مورد فيلتر كردن تماس هاى تلفنى ارائه مى دهند. اين قابليت هاى اضافى به شما اين امكان را مى دهد كه در مورد چگونگى انتقال تماس هاى تلفنى براساس اطلاعات Caller ID تصميم گيرى كنيد. اين قابليت ها به شما امكان انجام كارهاى زير را نيز مى دهد:
۱- انتقال تماس تلفنى به يك شماره تلفن خاص (Forwarding)
۲- ارسال مستقيم تماس به Voicemail
۳- ارسال پيغام اشغال بودن مشترك به تماس گيرنده
۴- امكان سرويس در دسترس نبودن مشترك
بسيارى از سرويس هاى VoIP امكان بررسى Voicemail شما را از طريق اينترنت و يا توسط فايل پيوست نامه الكترونيكى كه به كامپيوتر يا PDA شما ارسال شده است مى دهد. در هنگام تهيه سرويس VoIP از سيستم تلفن و سرويس دهنده VoIP در مورد قابليت هاى آنها و هزينه خدمات سئوال كنيد.
براى مديران شبكه، سيستم تلفن VoIP به اين معنى است كه به جاى دو شبكه تنها با يك شبكه روبه رو هستند. جابه جايى سيستم VoIP نيز به آسانى صورت مى گيرد. اين بدين دليل است كه اكثر سيستم هاى تلفن مورد استفاده در شبكه VoIP داراى رابط Web بوده و به راحتى توسط مدير شبكه قابل مديريت هستند. پروسه MAC , Add (Move)، Change به راحتى قابل انجام خواهد شد و لازم نيست براى هر بار انجام MAC با سرويس دهنده تان تماس بگيريد. تمام اينها به معناى هزينه كمتر براى سازمان شما است.
يكى ديگر از منافعى كه براى شركت هاى داراى VoIP مى تواند وجود داشته باشد اين است كه شعب سازمان ها مى توانند در سرتاسر دنيا پراكنده شده باشند و نيازى به مجتمع بودن آنها نيست.
• انتخاب يك سيستم تلفن VoIP
اگر شما تصميم به پياده سازى سيستم VoIP در سازمان خود داريد، ابتدا مشخص كنيد كه كدام يك از تجهيزات تلفنى فعلى تان را مى توانيد حفظ كنيد. بدين ترتيب مى توانيد به ميزان زيادى در هزينه ها صرفه جويى كنيد. بسيارى از سيستم هاى تلفن ديجيتال با افزودن كم ترين سخت افزار و به روز رسانى نرم افزار داراى قابليت آدرس دهى مى شوند.
علاوه بر اين شما بايد مطمئن باشيد كه تمامى دستگاه هاى مورد استفاده شما مانند فكس، پردازشگر كارت اعتبارى، سيستم هاى امنيتى و... مى توانند به صورت يكپارچه به سيستم تلفن VoIP شما متصل شود.
در آخر توصيه مى شود كه هيچگاه سعى نكنيد با خريدن تلفن هاى VoIP دست دوم در هزينه ها صرفه جويى كنيد. به خاطر داشته باشيد كه VoIP يك تكنولوژى جديد محسوب مى شود و حتى ممكن است تجهيزات مربوط به يك سال قبل هم از رده خارج شده باشند. همچنين هزينه نصب در تلفن نو و دست دوم تفاوتى نمى كند و حتى ممكن است در صورت استفاده از تلفن هاى دست دوم مجبور شويد هزينه خدمات بيشترى بپردازيد.