شبکه خانگی

قابلیت های NAT

عملکرد #NAT مشابه یک تلفتچی در یک اداره بزرگ است . فرض کنید شما به تلفنچی اداره خود اعلام نموده اید که تماس های تلفنی مربوط به شما را تا به وی اعلام ننموده اید ، وصل نکند. در ادامه با یکی از مشتریان تماس گرفته و برای وی پیامی گذاشته اید که سریعا” با شما تماس بگیرد. شما به تلفتچی اداره می گوئید که منتظر تماس تلفن از طرف یکی از مشتریان هستم، در صورت تماس وی، آن را به دفتر من وصل نمائید. در ادامه مشتری مورد نظر با اداره شما تماس گرفته و به تلفنچی اعلام می نماید که قصد گفتگو با شما را دارد (چراکه شما منتظر تماس وی هستید). تلفنچی جدول مورد نظر خود را بررسی تا نام شما را در آن پیدا نماید. تلفنچی متوجه می شود که شما تلفن فوق را درخواست نموده اید، بنابراین تماس مورد نظر به دفتر شما وصل خواهد شد.
NAT توسط #شرکت_سیسکو و بمنظور استفاده در یک دستگاه (#فایروال، #روتر، #کامپیوتر) ارائه شده است.NAT بین یک #شبکه_داخلی و یک #شبکه_عمومی مستقر و شامل مدل ها ی متفاوتی است.

– #NAT_ایستا. عملیات مربوط به ترجمه یک آدرس IP غیر ریجستر شده ( ثبت شده ) به یک آدرس IP ریجستر شده را انجام می دهد. ( تناظر یک به یک ) روش فوق زمانیکه قصد استفاده از یک دستگاه را از طریق خارج از شبکه داشته باشیم، مفید و قابل استفاده است. در مدل فوق همواره IP 192.168.32.10 به IP 213.18.123.110 ترجمه خواهد شد.

 

– #NAT_پویا . یک آدرس IP غیر ریجستر شده را به یک #IP_ریجستر شده ترجمه می نماید. در ترجمه فوق از گروهی آدرس های IP ریجستر شده استفاده خواهد شد.

 

 

#OverLoading
. مدل فوق شکل خاصی از NAT پویا است . در این مدل چندین IP غیر ریجستر شده به یک IP ریجستر شده با استفاده از پورت های متعدد، ترجمه خواهند شد. به روش فوق PAT)Port Address Translation) نیز گفته می شود.

 

– Overlapping . در روش فوق شبکه خصوصی از مجموعه ای IP ریجستر شده استفاده می کند که توسط شبکه دیگر استفاده می گردند. NAT می بایست آدرس های فوق را به آدرس های IP ریجستر شده منحصربفرد ترجمه نماید. NAT همواره آدرس های یک شبکه خصوصی را به آدرس های ریجستر شده منحصر بفرد ترجمه می نماید. NAT همچنین آدرس های ریجستر شده عمومی را به آدرس های منحصر بفرد در یک شبکه خصوصی ترجمه می نماید. (در هر حالت خروجی NAT، آدرس های IP منحصر بفرد خواهد بود. آدرس های فوق می تواند در شبکه های عمومی ریجستر شده جهانی باشند و در شبکه های خصوصی ریجستر شده محلی باشند)

شبکه اختصاصی ( خصوصی ) معمولا” بصورت یک #شبکه_LAN می باشند . به این نوع شبکه ها که از آدرس های IP داخلی استفاده می نمایند حوزه محلی می گویند. اغلب ترافیک شبکه در حوزه محلی بصورت داخلی بوده و بنابراین ضرورتی به ارسال اطلاعات خارج از شبکه را نخواهد داشت . یک حوزه محلی می تواند دارای آدرس های IP ریجستر شده و یا غیرریجستر شده باشد. هر کامپیوتری که از آدرس های IP غیرریجستر شده استفاده می کنند، می بایست از NAT بمنظور ارتباط با دنیای خارج از شبکه محلی استفاده نمایند.
NAT می تواند با استفاده از روش های متفاوت #پیکربندی گردد. در مثال زیر NAT بگونه ای پیکربندی شده است که بتواند آدرس های غیر ریجستر شده IP (داخلی و محلی – یک ISP (مرکز ارائه دهنده خدمات #اینترنت) یک محدوده از آدرس های IP را برای شرکت شما در نظر می گیرد. آدرس های فوق ریجستر و منحصر بفرد خواهند بود . آدرس های فوق Inside global نامیده می شوند. آدرس های IP خصوصی و غیرریچستر شده به دو گروه عمده تقسیم می گردند : یک گروه کوچک که توسط NAT استفاده شده (Outside local address) و گروه بزرگتری که توسط حوزه محلی استفاده خواهند شد ( Inside local address) . آدرس های #Outside_local بمنظور ترجمه به آدرس های منحصربفرد IP استفاده می شوند.آدرس های منحصر بفرد فوق، #outside_global نامیده شده و اختصاص به دستگاههای موجود بر روی شبکه عمومی (اینترنت) دارند.

– اکثر کامپیوترهای موجود در حوزه داخلی با استفاده از آدرس های #inside_local با یکدیگر ارتباط برقرار می نمایند.
– برخی از کامپیوترهای موجود در حوزه داخلی که نیازمند ارتباط دائم با خارج از شبکه باشند ،از آدرس های inside global استفاده و بدین ترتیب نیازی به ترجمه نخواهند داشت .
– زمانیکه کامپیوتر موجود در حوزه محلی که دارای یک آدرس inside local است، قصد ارتباط با خارج شبکه را داشته باشد بسته های اطلاعاتی وی در اختیار NAT قرار خواهد گرفت .
– NAT جدول روتینگ خود را بررسی تا به این اطمینان برسد که برای آدرس مقصد یک entry در اختیار دارد. در صورتیکه پاسخ مثبت باشد، NAT #بسته_اطلاعاتی مربوطه را ترجمه و یک entry برای آن ایجاد و آن را در جدول ترجمه آدرس (ATT) ثبت خواهد کرد. در صورتیکه پاسخ منفی باشد بسته اطلاعاتی دور انداخته خواهد شد.
– با استفاده از یک آدرس inside global ، روتر بسته اطلاعاتی را به مقصد مورد نظر ارسال خواهد کرد.
– کامپیوتر موجود در شبکه عمومی ( اینترنت )، یک بسته اطلاعاتی را برای شبکه خصوصی ارسال می دارد. آدرس مبداء بسته اطلاعاتی از نوع outside global است . آدرس مقصد یک آدرس inside global است .
– NAT در جدول مربوطه به خود جستجو و آدرس مقصد را تشخیص و در ادامه آن را به کامپیوتر موجود در حوزه داخلی نسبت خواهد کرد.
– NAT آدرس های inside global بسته اطلاعاتی را به آدرس های inside local ترجمه و آنها را برای کامپیوتر مقصد ارسال خواهد کرد.
روش Overloading از یک ویژگی خاص #پروتکل TCP/IP استفاده می نماید. ویژگی فوق این امکان را فراهم می آورد که یک کامپیوتر قادر به پشتیبانی از چندین اتصال همزمان با یک و یا چندین کامپیوتر با استفاده از پورت های متفاوت TCP و یا UDP باشد.. یک بسته اطلاعاتی IP دارای یک هدر(Header) با اطلاعات زیر است :

آدرس مبداء. آدرس کامپیوتر ارسال کننده اطلاعات است .

پورت مبداء. شماره پورت TCP و یا UDP بوده که توسط کامپیوتر مبداء به بسته اطلاعاتی نسبت داده شده است .

آدرس مقصد : آدرس کامپیوتر دریافت کننده اطلاعات است .

پورت مقصد. شماره پورتTCP و یا UDP بوده که کامپیوتر ارسال کننده برای باز نمودن بسته اطلاعاتی برای گیرنده مشخص کرده است .

آدرس ها، کامپیوترهای مبداء و مقصد را مشخص کرده ، در حالیکه شماره پورت این اطمینان را بوجود خواهد آورد که ارتباط بین دو کامپیوتر دارای یک مشخصه منحصر بفرد است . هر شماره پورت از شانزده بیت استفاده می نماید .

VPN

امنیت VPN

شبکه های VPN بمنظور تامین امنیت (داده ها و ارتباطات) از روش های متعددی استفاده می نمایند :

● فایروال : #فایروال یک دیواره مجازی بین شبکه اختصای یک سازمان و #اینترنت ایجاد می نماید. با استفاده از فایروال می توان عملیات متفاوتی را در جهت اعمال سیاست های امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورت ها فعال، ایجاد محدودیت در رابطه به #پروتکل های خاص، ایجاد محدودیت در نوع بسته های اطلاعاتی و … نمونه هائی از عملیاتی است که می توان با استفاده از یک فایروال انجام داد.

● رمزنگاری : فرآیندی است که با استفاده از آن #کامپیوتر مبداء اطلاعاتی رمزشده را برای کامپیوتر دیگر ارسال می نماید. سایر کامپیوترها ی مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب پس از ارسال اطلاعات توسط فرستنده، دریافت کنندگان، قبل از استفاده از اطلاعات می بایست اقدام به رمزگشائی اطلاعات ارسال شده نمایند. سیستم های رمزنگاری در کامپیوتر به دو گروه عمده تقسیم می گردد :

 رمزنگاری کلید متقارن
 رمزنگاری کلید عمومی

در رمز نگاری ” کلید متقارن ” هر یک از کامپیوترها دارای یک کلید #Secret ( کد ) بوده که با استفاده از آن قادر به رمزنگاری یک بسته اطلاعاتی قبل از ارسال در شبکه برای کامپیوتر دیگر می باشند. در روش فوق می بایست در ابتدا نسبت به کامپیوترهائی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند ، آگاهی کامل وجود داشته باشد. هر یک از کامپیوترهای شرکت کننده در مبادله اطلاعاتی می بایست دارای کلید رمز مشابه بمنظور رمزگشائی اطلاعات باشند. بمنظور #رمزنگاری_اطلاعات ارسالی نیز از کلید فوق استفاده خواهد شد. فرض کنید قصد ارسال یک پیام رمز شده برای یکی از دوستان خود را داشته باشید. بدین منظور از یک الگوریتم خاص برای رمزنگاری استفاده می شود .در الگوریتم فوق هر حرف به دوحرف بعد از خود تبدیل می گردد. (حرف A به حرف C ، حرف B به حرف D ). پس از رمز نمودن پیام و ارسال آن، می بایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام ارسال شده ، هر حرف به دو حرق قبل از خود می باطست تبدیل گردد. در چنین حالتی می باطست به دوست امین خود ، واقعیت فوق ( کلید رمز ) گفته شود. در صورتیکه پیام فوق توسط افراد دیگری دریافت گردد ، بدلیل عدم آگاهی از کلید ، آنان قادر به رمزگشائی و استفاده از پیام ارسال شده نخواهند بود.
در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده می شود. کلید خصوصی صرفا” برای کامپیوتر شما ( ارسال کننده) قابل شناسائی و استفاده است . کلید عمومی توسط کامپیوتر شما در اختیار تمام کامپیوترهای دیگر که قصد ارتباط با آن را داشته باشند ، گذاشته می شود. بمنظور رمزگشائی یک پیام رمز شده، یک کامپیوتر می بایست با استفاده از کلید عمومی (ارائه شده توسط کامپیوتر ارسال کننده)، کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید . یکی از متداولترین ابزار “رمزنگاری کلید عمومی” ، روشی با نام PGP)Pretty Good Privacy) است. با استفاده از روش فوق می توان اقدام به رمزنگاری اطلاعات دلخواه خود نمود.
#IPSec . پروتکل IPsec)Internet protocol security protocol) ، یکی از امکانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات می باشد . قابلیت روش فوق در مقایسه با الگوریتم های رمزنگاری بمراتب بیشتر است. پروتکل فوق دارای دو روش رمزنگاری است : #Tunnel# ، Transport . در روش tunel ، هدر و Payload رمز شده درحالیکه در روش transport صرفا” #payload رمز می گردد. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای متفاوت است :

 روتر به روتر
 فایروال به روتر
 کامپیوتر به روتر
 کامپیوتر به سرویس دهنده

● سرویس دهنده AAA . سرویس دهندگان( AAA : Authentication ,Authorization,Accounting) بمنظور ایجاد امنیت بالا در محیط های VPN از نوع ” دستیابی از راه دور ” استفاده می گردند. زمانیکه کاربران با استفاده از خط تلفن به سیستم متصل می گردند ، سرویس دهنده AAA درخواست آنها را اخذ و عمایات زیر را انجام خواهد داد :

 شما چه کسی هستید؟ ( تایید ، #Authentication )
 شما مجاز به انجام چه کاری هستید؟ ( مجوز ، #Authorization )
 چه کارهائی را انجام داده اید؟ ( حسابداری ، #Accounting )

فايروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا" سفارشی نصب و پيکربندی کرد. در اين راستا امکان اضافه و يا حذف فيلترهای متعدد بر اساس شرايط متفاوت وجود خواهد داشت :

بهینه سازی استفاده از فایروال

فایروال ها را می توان با توجه به اهداف سازمانی بصورت کاملا” سفارشی نصب و پیکربندی کرد. در این راستا امکان اضافه و یا حذف فیلترهای متعدد بر اساس شرایط متفاوت وجود خواهد داشت :

آدرس های IP

هر ماشین بر روی اینترنت دارای یک آدرس منحصر بفرد با نام IP است . IP یک عدد ۳۲ بیتی بوده که بصورت چهار عدد دهدهی که توسط نقظه از هم جدا می گردند نمایش داده می شود (Octet) . در صورتیکه یک آدرس IP خارج از شبکه، فایل های زیادی را از سرویس دهنده می خواند ( ترافیک و حجم عملیات سرویس دهنده را افزایش خواهد داد) فایروال می تواند #ترافیک از مبداء آدرس فوق و یا به مقصد آدرس فوق را بلاک نماید.

اسامی دامنه ها ( حوزه )

تمام سرویس دهندگان بر روی اینترنت دارای اسامی منحصر بفرد با نام ” #اسامی_حوزه” می باشند. یک سازمان می تواند با استفاده از فایروال، دستیابی به #سایت هائی را غیرممکن و یا صرفا” امکان استفاده از یک سایت خاص را برای پرسنل خود فراهم نماید.
– پروتکل ها . پروتکل نحوه گفتگوی بین سرویس دهنده و سرویس گیرنده را مشخص می نماید . پروتکل های متعدد با توجه به اهداف گوناگون در اینترنت استفاده می گردد. مثلا” http پروتکل وب و Ftp پروتکل مربوط به دریافت و یا ارسال فایل ها است . با استفاده از فایروال می توان، میدان فیلتر نمودن را بر روی #پروتکل ها متمرکز کرد. برخی از پروتکل های رایج که می توان بر روی آنها #فیلتر اعمال نمود بشرح زیر می باشند :
IP)(Internet Protocol)) پروتکل اصلی برای عرضه اطلاعات بر روی اینترنت است .
TCP)(Transport Control Protocol)) مسئولیت تقسیم یک بسته اطلاعاتی به بخش های کوچکتر را دارد.
(HTTP) ( Hyper Text Transfer Protocol) . پروتکل فوق برای عرضه اطلاعات در وب است.
FTP)(File Transfer Protocol)). پروتکل فوق برای دریافت و ارسال فایل ها استفاده می گردد.
(UDP) (User Datagram protocol). از پروتکل فوق برای اطلاعاتی که به پاسخ نیاز ندارند استفاده می شود( پخش صوت و تصویر)
(ICMP)(Internet control Message Protocol ). پروتکل فوق توسط روترها و بمنظور تبادل اطلاعات فی المابین استفاده می شود.
SMTP)(Simple Mail Transfer Protocol)) . از پروتکل فوق برای ارسال e-mail استفاده می گردد.
(SNMP)(Simple Network Management Protocol).از پروتکل فوق بمنظور اخذ اطلاعات از یک کامپیوتر راه دور استفاده میشود
Telnet . برای اجرای دستورات بر روی یک کامپیوتر از راه دور استفاده می گردد.

پورت ها

هر #سرویس_دهنده ، خدمات مورد نظر خود را با استفاده از #پورت های شماره گذاری شده بر روی #اینترنت ارائه می دهد. مثلا” سرویس دهنده #وب اغلب از پورت ۸۰ و سرویس دهنده Ftp از پورت ۲۱ استفاده می نماید. یک سازمان ممکن است با استفاده از #فایروال امکان دستیابی به پورت ۲۱ را بلاک نماید.

کلمات و عبارات خاص

می توان با استفاده از فایروال کلمات و یا عباراتی را مشخص نمود تا امکان کنترل #بسته_های_اطلاعاتی حاوی کلمات و عبارات فراهم گردد. هر بسته اطلاعاتی که حاوی کلمات مشخص شده باشد توسط فایروال بلاک خواهد شد.
همانگونه که اشاره شد فایروال ها به دو صورت #نرم_افزاری و #سخت_افزاری استفاده می گردند.فایروال های نرم افزاری بر روی کامپیوتری نصب می گردند که خط اینترنت به آنها متصل است .کامپیوتر فوق بمنزله یک Gateway رفتار می نماید چون تنها نقطه قابل تماس، بمنظور ارتباط کامپیوتر و اینترنت است . زمانیکه فایروال بصورت سخت افزاری در نظر گرفته شود ، تمام بخش فوق بصورت Gateway خواهد بود. امنیت فایروال های سخت افزاری بمراتب بیشتر از فایروال های نرم افزاری است .