تفاوت اصلی میان فایروال و IPS

(IPS (Intrusion Prevention System و (IDS (Intrusion Detection System

IPS یک سیستم شناسایی حملات در سطح شبکه میباشد که ترافیک را بر اساس دیتابیس الگو حملاتی که دارد ، شناسایی میکند همچنین IPS ها میتوانند بر اساس رفتار غیر عادی ترافیک عبوری در سطح شبکه نیز حملات را شناسایی کنند و پس از شناسایی حملات بسته به سیاست های امنیتی مورد استفاده در سازمان ترفیک را مانیتور Drop و یا Reject کنند .

تفاوت اصلی میان فایروال و IPS  سر این میباشد که فایروال ترافیک در سطح لایه ۳و ۴ بررسی کرده و هیچ نظارتی بر روی محتوای ترافیک ندارد اما IPS  با بررسی محتوای ترافیک و مقایسه آن با دیتابیس خود و یا با در نظر گرفتن رفتار ترافیک های عبوری حملات را شناسایی میکند به همین دلیل معمولاً IPS پشت فایروال قرار میگیرد که در صورتی که ترافیک مجاز به ورود به شبکه شد محتوای آنرا از نظر مخرب بودن یا نبودن بررسی کند .

IDS (Intrusion Detection System) : در حالیکه IPS معمولاً در مسیر ترافیک عبوری قرار میگیرد و جنبه امنیتی دارد ، IDS نیز با ساختاری مشابه IPS خارج از مسیر اصلی ترافیک قرار میگیرد و صرفاً از آن برای آنالیز ترافیک های شبکه استفاده میشود بطوریکه معمولاً از استفاده از قابلیت هایی مثل SPAN یک نسخه کپی ترافیک برای IDS فرستاده میشود و IDS در صورتیکه پس از بررسی محتوای ترفیک دریافتی متوجه ترافیک مخربی شد معمولاً آنرا بصورت یک Alert  برای یک سیستم مدیریتی ارسال میکند و معمولاً خوش بصورت مستقیم جلوی ترافیک مخرب را نمیگیرد .

IPS و IDS بصورت Network based و Host Based مورد استفاده قرار میگیرند و وجود هردو آنها ضروری است .

Network Based  ترافیک را در سطح شبکه های مختلف بررسی میکند و Host Based ترافیک را فقط برای یک Host مورد نظر بررسی میکند و زمانی کاربرد دارند که ترافیک از یک سیستم داخل شبکه به کاربر میرسد و اصلاً به Gateway و Network IPS نمیرشد .

Host based IPS/IDS  ها را میتوان بصورت جداگانه و یا پک های EndPoint Security در آنتی ویروس هایی مثل Kaspersky و Symantec و McAfee بر روی سیستم های کاربران نصب کرد .

Cisco Firepower  ، DarkTrace، McAfee IPS  ،IPS  IBM  و Snort را جمله IPS/IDS های مورد استفاده در شبکه میباشند .

قابلیت موجود در VMware به نام EVC

بحث این مقاله در مورد قابلیت موجود در  VMware به نام EVC می باشد که با بحث VMotion  مرتبط است. زمانیکه شما می خواهید در یک Cluster در VMware ماشین های مجازی خودتان را از Host ای به Host دیگر منتقل کنید حتما باید نوع CPU سرور اول با نوع CPU سرور دوم مشابه باشد تا بتوانید به درستی VMotion را انجام دهید. این یک مشکل حاد در VMotion محسوب می شود چراکه همیشه Host های شما از یک نوع سخت افزار نیستند و بعضا ممکن است در یک Cluster  چندین Host مختلف با انواع CPU های مختلف داشته باشید که با این شرایط شما نمی توانید عملیات VMotion را انجام دهید. برای حل کردن این مشکل شرکت VMware بعد از معرفی محصول                 VMware ESX 3.5 Update 2   قابلیتی به نام EVC یا Enhanced VMotion Compatibility را معرفی نمود که برای برطرف کردن همین مشکل ارائه شده بود.

EVC  این قابلیت را به محیط مجازی سازی VMware می دهد که بتوانید VM های خودتان را بین Host های مختلف  ESXi  که دارای CPU های مختلف می باشندVMotion  کنید. روش کاری EVC به این شکل است که در هنگام انتقال یا VMotion کردن VM ها قابلیت های CPU ای که بین سیستم مبدا و سیستم مقصد یکسان نیستند و یا سیستم مقصد از آنها پشتیبانی نمی کند را از داخل VM ها حذف می کند تا به یک درجه مساوی از قابلیت ها برسد ، برای مثال مواردی از قبیل Clock Speed و یا تعداد Core های CPU را در بین Host ها تغییر می دهد تا با همدیگر تناسب پیدا کنند. این قابلیت با انواع نسخه های مختلف CPU که از یک سازنده و برند باشند کار می کند. به این مورد کاملا دقت کنید که VMware EVC نمی تواند بین پردازنده های AMD و Intel فرآیند VMotion را انجام دهد اما قبل از اینکه بخواهد فرآیند VMotion را انجام دهد سیستم Host اول و Host دوم را از نظر هماهنگ بودن نوع CPU ها با همدیگر بررسی      می کند و اگر عدم هماهنگی وجود داشته باشد به شما گزارش می دهد. البته به غیر از قابلیت EVC شرکت VMware یک قابلیت ساده تر به نامCompatibility Mask  CPU وجود دارد که با استفاده از آن می تواند برخی از قابلیت های CPU را از  VM  ها پنهان کند اما این قابلیت پیشنهاد نمی شود. درست است که EVC هم تقریبا چنین کاری انجام می دهد اما EVC همیشه هم نمی تواند باعث شود که VM نتواند به قابلیت های CPU دسترسی داشته باشد و این بستگی به نرم افزارها و Application  هایی دارد که بر روی ماشین مجازی نصب شده اند.

شما می توانید بصورت پیشفرض فقط VMotion را بر روی Host هایی انجام دهید که ساختار CPU های آنها یا کاملا مثل هم هستند و یا بسیار شبیه به هم هستند. این موضوع باعث می شود که سازمان در خرید کردن سرورهای جدید و اضافه کردن آنها در Cluster مجازی سازی خود کمی دچار مشکل شود. تصور کنید که شما در حال حاضر در سازمان خود یک سری سرور Host با برند HP مدل G6 دارید که بر روی آنها از قبل ESX نصب شده است و دارای سری خاصی از CPU های شرکت Intel هستند و در نهایت درون Cluster قرار گرفته اند. حال سازمان شما تصمیم می گیرد که برای رشدی که در آینده خواهد داشت ، یک سری سرور جدید برند HP مدل G9 را به مجموعه Cluster اضافه کندکه آنها هم برای خودشان دارای یک سری خاص CPU  هستند.

زمانیکه شما می خواهید عملیات VMotion را برای VM های این Host ها که دارای CPU های متفاوتی هستند انجام دهید اتفاقی که می افتد این است که در لایه سیستم عاملی که در VM نصب شده است ، VM دارای یک سری دستورالعمل ها و اطلاعات درون CPU است زمانیکه VMotion می شوند و در Host جدید قرار می گیرند به دلیل مشابه نبودن ساختار    CPU  قادر به اجرا و ادامه کار نخواهند داشت ، این موضوع باعث می شود که در سیستم عامل های ویندوز مجازی شما با صفحات Blue Screen و در سیستم عامل های لینوکس مجازی با مشکل Kernel Crash مواجه شوید ، دلیل بروز مشکل کاملا مشخص است ، دستورات و داده هایی که در CPU وجود داشتند به دلیل عدم هماهنگی بین CPU ها به یکباره دیگر در دسترس نخواهند بود.

برای جلوگیری از به وجود آمدن اینگونه Crash های سیستم عامل مجازی دو تکنیک مختلف استفاده می کند. اولین تکنیک زمانیکه مدیر شبکه درخواست انجام فرآیند VMotion را صادر می کند vCenter Server هم CPU مبدا و هم CPU مقصد را ارزیابی می کند و بررسی می کند که آیا هر دوی این CPU ها توانایی انجام شدن VMotion را دارند یا خیر ، اگر امکان انجام VMotion وجود نداشته باشد در همان لحظه به مدیر شبکه اطلاع رسانی خواهد شد. اما روش دوم که تا حدودی هم به آن اشاره کردیم به نام CPU Masking معروف است. CPU Masking کاری می کند که قابلیت هایی که بر روی CPU وجود دارند بر روی VM قابل مشاهده نباشند و در واقع به VM گفته نمی شود که CPU ای که از آن استفاده می کند چه قابلیت هایی دارد ، بنابراین سیستم عامل موجود در VM هم هیچ دیدی از نوع CPU ای که استفاده می کند نخواهد داشت این تکنیک باعث می شود که قابلیت های اضافه تری که معمولا باعث ایجاد شدن Crash در VM ها در زمان VMotion می شوند عملا از نظر سیستم عامل مجازی وجود نداشته باشد که باعث به وجود آمدن Crash بشود. اما تکنیک VMware Enhanced VMotion Compatibility یا EVC یک لایه از CPU Masking معمولی بالاتر است ، در CPU Masking قابلیت های  CPU  در لایه سیستم عامل مجازی مخفی می شود اما در EVC مخفی کردن یا CPU Masking در لایه Host انجام        می شود و طبیعتا در درجه بالاتری انجام می شود. دقت کنید که EVC هم بستگی به نرم افزارهایی دارد که از امکانات خاص CPU مثل CPUID استفاده می کنند ممکن است به درستی کار نکند و دچار مشکل شود اما تعداد نرم افزارهایی که به گونه ی برنامه نویسی می شوند که مثلا با قابلیت خاص CPU کار کنند بسیار معدود است و همین باعث می شود که EVC تقریبا بتواند در بیشتر موارد کار را به درستی انجام دهد.

برخی ویژگی‌های استاندارد امنیتی WPA3

برخی ویژگی‌های استاندارد امنیتی WPA3

پس از مشکلات گزارش شده برای WPA2، اتحادیه وای فای استاندارد جدید WPA3 را معرفی کرد.اولین پیش‌نویس واقعی از این پروتکل هنوز در دسترس قرار ندارد؛ اما اتحادیه‌ی وای‌فای تعدادی از ویژگی‌های آن را اعلام کرده که به شرح زیر است.

  1. تغییر داده‌های شبکه‌های عمومی وای‌فای به حالت رمزنگاری شده امن
  2. محافظت در برابر حمله‌های جستجوی فراگیر (Brute-force) از طریق مسدود کردن روند شناسایی بعد از چند مرتبه تلاش ناموفق برای لاگین
  3. امکان انجام تنظیمات امنیتی توسط گوشی و تبلت روی دستگاه‌هایی که فاقد نمایشگر هستند. این امکان امنیت بیشتری برای گجت‌های مجهز به اینترنت اشیاء (IOT) و سایر دستگاه‌هایی که انجام تنظیمات امنیتی در آن‌ها دشوار است، به همراه خواهد داشت.
  4. مجموعه‌ی امنیتی ۱۹۲ بیتی برای محافظت از شبکه‌هایی از قبیل اماکن دولتی و صنعتی و… که نیاز به امنیت بیشتری دارند.
  1. بعد از معرفی کامل این استاندارد توسط اتحادیه وای فای نوبت شرکت هاست که پشتیبانی از WPA3 را به مودم روترها، رایانه‌ها، گوشی‌ها، تبلت‌ها و دستگاه‌های مجهز به اینترنت اشیاء اضافه کنند. بنابراین، هنوز چند سالی با رواج استفاده از WPA3 فاصله داریم.

در شرایط کنونی بهترین کاری که می‌توانید انجام دهید این است که مطمئن شوید دستگاه‌های شما جدیدترین به‌روزرسانی‌های امنیتی را دریافت کرده‌اند. چنانچه دستگاهی دارید که آن‌قدر قدیمی است که به‌روزرسانی دریافت نمی‌کند، شاید بهتر باشد به فکر جایگزین جدیدتری برای آن باشید.

پروتکل امنیتی WPA2 که توسط مودم های وای‌فای مورد استفاده قرار می‌گیرد، دیگر امن نیست!

چند ماه پیش بود که خبری به سرعت در فضای مجازی پراکنده شد، محققان اعلام کرده‌اند که پروتکل امنیتی WPA2 که امروزه توسط اکثر شبکه‌های وای‌فای (مودم های خانگی و…) مورد استفاده قرار می‌گیرد، دیگر امن نیست و در معرض خطر قرار دارد؛ این یعنی ترافیک بین رایانه‌ها، گوشی‌های موبایل و اکسس پوینت‌ها قابل رهگیری است.

حقیقت مهمی را برایتان شفاف‌سازی کنیم؛ شما به‌هیچ‌وجه نباید احساس امنیت کنید! چرا که به‌تازگی مشخص شده که پروتکل یادشده کاملا آسیب‌پذیر است و به علت مشکلی که در آن پیدا شده، ارتباطات بین کاربر و ارائه‌دهنده‌ی اینترنت، قابل رهگیری است.

محققان امنیتی به‌تازگی راهی برای رهگیری ارتباطات بین کاربر و ارائه‌دهنده‌ی شبکه‌ی اینترنتی که از پروتکل امنیتی WPA2 استفاده می‌کند، پیدا کرده‌اند. طبق اطلاعیه‌ی منتشرشده از جانب سازمان US-CERT باگ یافت‌شده در پروتکل WPA2 می‌تواند به هکرها امکان رمزگشایی آن را بدهد.

این حمله‌ی هک فعلا به نام KRACK شناخته می‌شود؛ البته این نام رسمی نیست و ممکن است بعدها تغییر کند. در مورد این حمله، هم خبرهای خوب داریم و هم خبرهای بد و بهتر است بدانید که خبرهای بد بسیار بیشتر هستند.

از طریق منابع مختلف، شناسه‌های آسیب‌پذیری زیر اعلام شده‌اند: CVE-2017-13077 و CVE-2017-13078 و CVE-2017-13079 و CVE-2017-13080 و CVE-2017-13081 و CVE-2017-13082 و CVE-2017-13084 و CVE-2017-13086 و CVE-2017-13087 و  CVE-2017-13088.

پروتکل OpenFlow چیست؟

پروتکل OpenFlow چیست؟

پروتکل OpenFlow یک واسط برای ارتباط سوئیچ‌های SDN و کنترل‌کننده SDN می‌باشد. کنترل‌کننده‌ای که از پروتکل OpenFlow  پشتیبانی می‌کند همواره بر روی پورت پیشفرض ۶۶۳۳ (در نسخه‌های بالاتر بر روی پورت ۶۶۵۳) گوش می‌دهد و منتظر اتصال سوئیچ‌های OpenFlow از طریق این پورت می‌ماند. سوئیچ OpenFlow با یک اتصال TCP (که ممکن از SSL نیز باشد) به کنترل‌کننده متصل می‌شود

از این پس تمامی اختیارات این سوئیچ در دست کنترل‌کننده SDN قرار می‌گیرد. مثلا کنترل‌کننده می‌تواند قاعده زیر را در سوئیچ SDN نصب کند:

در Match Field یا فیلد انطباق می‌توان ویژگی‌های سرآیند جریانی که می‌خواهیم برای آن اعمال سیاست کنیم را مشخص نماییم. به طور مثال بسته‌های IP و با پروتکل لایه انتقال TCP و پروتکل FTP را می‌توان با فیلد انطباق فوق مشخص نمود.

Actions شامل اقدام و یا اقداماتی است که می‌خواهیم برای این جریان خاص اعمال شود. به طور مثال می‌خواهیم تمامی بسته‌های FTP ورودی به این سوئیچ دور ریخته شوند. که بدین منظور می‌توان از drop استفاده نمود.

ایجاد VAPP

ایجاد VAPP

در این بخش شما با موارد زیر آشنا می شوید :

  • توصیف یک vApp
  • ایجاد یک vApp
  • استفاده از vApp برای مدیریت ماشین های مجازی
  • توسعه دادن و گرفتن خروجی از vApp ( Deploy And Export a vApp )

  • یک vApp یک Object در Vcenter Server Inventory می باشد
  • یک vApp یک Container برای یک یا چند ماشین مجازی می باشد
  • یک vApp می تواند برای Package  یا مدیریت برنامه های چند لایه ای استفاده شود.
  • شما می توانید یک vApp را روشن ، خاموش و یا از آن Clone تهیه نمایید
  • یک vApp می تواند بصورت OVF ( Open Virtualization Format ) یا OVA ( Open Virtualization Applience )

زمانی که شما یک ماشین مجازی را بصورت OVF می خواهید Export  کنید یک دایریکتوری از OVF File  و VMDK File  ها می باشد.

OVA چیست؟ pharmacieinde.com

یک OVA فرمتی از ماشین های مجازی قابل حمل  ( Portable Virtual Machine Format ) از XenSource  می باشد که یک محصول Third – Party   از شرکت Citrix می باشد.

یک OVA  یک فایل تک ( Single File ) مانند Zip File  می باشد که شامل همه فایل های مربوط به OVF  می باشد.

برای پیکربندی vAPP کافی است بر روی آن راست کلیک کنید و در قسمت EDIT  تنظیماتی مانند CPU And Memory Allocation  و IP Allocation Policy  را اعمال کنید.

شما می توانید پیکربندی VM Startup  و Shutdown Order  را انجام دهید.

 

در شکل بالا شما می توانید تفاوت های عملیات Export و Deploy  را بر روی vApps  مشاهده کنید.

Resouce : https://docs.vmware.com/en/VMware-vSphere/6.0

Synology high availability

Synology high availability

سینولوژی جهت جلوگیری از مشکلات سخت افزاری احتمالی برای تجهیز، راهکاری در قالب کلاستر ارائه کرده است. در این راهکار امکان ساختن یک کلاستر با دو تجهیز سازگار سینولوژی وجود دارد و یک تجهیز به صورت Active و تجهیز دیگر به صورت Passive  می باشد. مفهوم کلاستر در واقع ایجاد یک فضای ذخیره سازی برای هر دو تجهیز می باشد که این فضا در ابتدا در اختیار سرور Active می باشد و در هنگام رخ دادن خطا ، توسط Cluster Management به  سرور Passive منتقل می گردد.کلیه سرویس ها بر روی سرور Active می باشد و سرور Passive در حال Standby می باشد و در موقع رخداد خطا بلافاصله وارد مدار می شود.

Heartbeat connection

دو سرور Active و Passive توسط یک لینک شبکه اختصاصی و ایزوله به یکدیگر متصل می گردند که توسط این لینک بسته های HeartBeat به یکدیگر ارسال می کنند و از وضعیت تجهیز مقابل خود آگاه می شود و هنگامی که به هر دلیلی این بسته ها دریافت نشود، خطا تشخیص می دهد و عملیات سوییچینگ را جهت Active  نمودن سرور Passive   انجام می دهد.

نکته : این لینک بسیار حساس می باشد لذا گاهی لازم است تنظیماتی از قبیل Jumbo Frame و با PortFast بر روی سوییچ صورت پذیرد.

Network

برای برقراری ارتباطی مطمئن و استفاده بهتر از پورت های شبکه­ی تجهیز ، در لایه شبکه HighAvailability به صورت Link Aggregation و یا Active/Standby  پیاده سازی شود

معرفی فایروال های نسل بعدی NGFW

معرفی فایروال های نسل بعدی NGFW

فایروال های سنتی قدیمی بر اساس فیلتر کردن یک پورت یا یک پروتکل خاص فعالیت می کردند. مثلا کلیه ترافیکی که مربوط به پورت ۸۰ بوده را بسته و به پروتکل HTTP اجازه عبور نمی دادند و یا اینکه تمامی ترافیک مربوطه به پورت ۴۴۳ را مسدود کرده و تمامی صفحاتی که با پروتکل HTTPS کار می کنند را مسدود می کردند. این نشانگر یک قانون است: یا همه چیز یا هیچ چیز.

فایروال های جدید تر این امکان را دارند که ترافیک را بر اساس نوع نرم افزار مورد استفاده و پورت و ترافیک مورد استفاده توسط هر نرم افزار کاربردی مسدود یا عبور دهند. مثلا شما میتوانید به یک برنامه خاص اجازه استفاده از پورت ۸۰ را و صرفا به یک وب سایت خاص بدهید و بدینوسیله به نرم افزار اجازه فیلتر کردن بر اساس پورت،پروتکل،آدرس و حتی یک سرویس خاص را بدهید. تصور کنید در این حالت یک فایروال و سرویس QoS را با هم در یکجا دارید.

اینگونه فایروال ها را با عنوان فایروال های نسل بعدی می شناسید، اما در حقیقت به نوعی تشکیل یک راهکار از نوع سیستم مدیریت یکپارچه تهدیدات یا UTM را خواهند داد. اما فراموش نکنید که هنگامی که اسم سیستم یکپارچه مدیریت تهدیدات یا همان UTM به گوش می خورد به یاد تجهیزات سخت افزاری خواهیم افتاد که برای همین فعالیت ها در نظر گرفته شده اند اما اینگونه تجهیزات بیشتر به درد تجارت های کوچک و خانگی یا به اصطلاح (SMB) می خورند. UTM ها امکانات بیشتری نسبت به یک فایروال دارند و در بیشتر اوقات شما می تواند در یک دستگاه UTM، یک فایروال، یک آنتی ویروس، یک آنتی اسپم، یک سیستم تشخیص و جلوگیری از نفوذ و بسیاری دیگر از امکانات باشید.

از این به بعد به فایروال های نسل بعدی NGFW می گوییم. اینگونه فایروال های به دلیل اینکه بسیار مناسب Tune شده اند میتوانند مدیریت بسیار مناسبی بر روی امنیت و پهنای باند عبور کننده از خود داشته باشند و دلیلی اصلی آن هوشمندی و دقت بیشتر در قدرت واکاوی داده هایی است که از آنها عبور میکنند. قدرت فیلترینگ محتویات یا content filtering همچنین وجود سرویس Qos در این فایروال ها این اجازه را به فایروال میدهد که پهنای باند را با توجه به اولویت نرم افزارها به آنها اختصاص دهد، مثلا نرم افزاری که دارای اولویت در استفاده از اینترنت باشد میتواند پهنای باند بیشتری را به خود اختصاص دهد. با توجه به رشد روز افزون فناروی و استفاده از سرویس های پردازش ابری، امکان سرویس دهی به اینگونه فناوری ها نیز در NGFW دیده شده است.

 

 

در اینجا برخی از ویژگیهای معمول فایروال های NGFW را بررسی می کنیم:

امکانات استاندارد یک فایروال: در این نوع فایروال های قابلیت های همان فایروال های قدیمی ( نسل اولی ) از قبیل مسدود کردن پورت ها و پروتکل ها و همچنین سرویس شبکه خصوص مجازی یا VPN و سرویس NAT وجود دارد.

شناسایی و فیلتر کردن نرم افزارها: این قابلیت در واقع بزرگتری نقظه قوت اینگونه فایروال ها است، آنها می توانند به جای اینکه صرفا پورت یا پروتکل خاصی را فیلتر کنند، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر کنند. این قابلیت باعث میشود که نرم افزارهای مخرب نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند.

واکاوی SSH و NGFW :SSL ها میتوانند ترافیک رمزنگاری شده پروتکل های SSL و SSH را نیز واکاوی کنند . آنها توانایی رمزگشایی ترافیک را داشته و پس از رمز گشایی و اطمینان از سالم بودم و عدم وجود ترافیک غیر مجاز با توجه به خط مشی تعیین شده برای آن مجددا رمزگذاری کرده و ارسال می کنند. این قابلیت از مخفی شدن کد های مخرب در درون ترافیک رمزنگاری شده توسط نرم افزارهای مخرب جلوگیری کرده و از ورود اینگونه ترافیک به درون شبکه جلوگیری کند.

جلوگیری از نفوذ: با هوشمندی خاصی که برای اینگونه از فایروال ها در نظر گرفته شده است و توانایی واکاوی فوق العاده ای که در آنها دیده شده است، این NGFW ها توانایی جلوگیری و تشخیص نفوذ را در خود جای داده اند. برخی از اینگونه NGFW ها قابلیت های تشخیص و جلوگیری از نفوذی دارند که حتی یک دستگاه IPS مجزا هم این ویژگیها را به تنهایی ندارد.

هماهنگی با دایرکتوری سرویس ها: از قابلیت های جدید اینگونه NGFW ها هماهنگی کامل با ساختار های دایرکتوری مانند اکتیودایرکتوری است و با این روش دیگر نیازی به تعریف کاربر در فایروال نیست و از همان گروه ها و کاربرانی که در اکتیودایرکتوری وجود دارند می توان در فایروال نیز استفاده کرد.

فیلتر کردن کدهای مخرب : NGFW میتوانند بر اساس نوع فعالیت یک نر مافزار و مخرب بودن آن از ادامه کار یا حتی شروع به کار یک کد مخرب جلوگیری کنند، اینگونه NGFW ها میتوانند بوسیله شناسایی سایت های مخرب و ذخیره آنها در دیتابیس خود از بروز حمله از طریق آنها جلوگیری کنند، همچنین یعضی از آنها توانایی شناسایی حملات از نوع Phishing و همچنین شناسایی ویروس ها و تروجان ها را دارند.

همیشه هنگام انتخاب یک محصول برای استفاده در شبکه به عنوان یک فایروال نسل بعدی باید به تعداد نرم افزار ها و تعداد شناسایی هایی که آن فایروال می تواند تشخیص دهد توجه کرد، برخی از آنها توانایی شناسایی بیش از ۱۵۰۰۰ حمله و نرم افزار را دارند و این در حالی است که نوع دیگری تنها قادر به شناسایی ۸۰۰ نوع حمله است، همچنین الگوریتم هایی که هر یک از آنها در شناسایی استفاده میکنند بسیار می تواند تعیین کننده باشد بطوریکه برخی از این نوع فایروال ها میتوانند برای یک نرم افزار مانند مسنجر یاهو تعیین کنند که کاربر بتواند چت کند اما نتواند فایلی را ارسال یا دریافت کند. همیشه در انتخاب یک محصول توانایی های آن را در اولویت قرار دهید.

اولین سری از وبینارهای رایگان تخصصی و آموزشی سینولوژی

همراهان گرامی شرکت ICTN

به اطلاع می رساند اولین سری از وبینارهای تخصصی و آموزشی سینولوژی در تاریخ ۱۳۹۷/۰۴/۱۹ روز سه شنبه با موضوع “معرفی پکیج سنتر و رابط کاربری سینولوژی” توسط شرکت ICTN برگزار می گردد . از علاقه مندن دعوت می گردد جهت حضور و ثبت نام در وبینار از طریق لینک ذیل اقدام فرمایند .

ثبت نام در وبینار سینولوژی

 

جهت ثبت نام اینجا کلیک کنید 

Disk Station Manager چیست

(DSM(Disk Station Manager  چیست؟

Disk Station Manager ( DSM ) یک Operation Environment بر مبنای سیستم عامل Linux می باشد که دسترسی به آن از طریق وب است که مخصوص محصولات سینولوژی طراحی شده است با DSM  به سرعت و آسانی می توانید موارد زیر را انجام دهید :

  • اصلاح و شخصی سازی تنظیمات سیستم
  • نصب و باز کردن برنامه های کاربردی و بسته های مربوطه
  • ایجاد Raid و مدیریت انواع دیگر فضای ذخیره سازی

ورود به DSM

بعد از راه اندازی و نصب DSM بر روی سینولوژی شما می توانید با استفاده از مرورگر کامپیوتر به آن وارد شوید.

مراحل ورود به سیستم :

  1. حصول اطمینان از این که کامپیوتر و سینولوژی در شبکه مشابه متصل هستند
  2. با استفاده از نوار آدرس مرورگر دستگاه با یکی از حالات زیر به سینولوژی وارد شوید :
  • synology.com ( تنها در حالتی که کامپیوتر و سینولوژی به اینترنت متصل هستند )
  • وارد کردن نام سینولوژی به همراه پورت ۵۰۰۰ بطور مثال diskstation:5000 ( شناسه نام سرور به تنظیمات اولیه در حین نصب سینولوژی وابسته است )
  • وارد کردن آدرس IP دستگاه سینولوژی به همراه پورت ۵۰۰۰ بطور مثال ۱۶۸.۴۸.۱۴:۵۰۰۰

      ( تعیین آدرس IP به تنظیمات اولیه در حین نصب سینولوژی وابسته است )

  1. وارد کردن نام کاربری به همراه گذرواژه برای ورود به دیتگاه سینولوژی

تذکر :

نام و آدرس IP و همچنین گذرواژه در هنگام نصب سینولوژی می بایستی تنظیم گردد. اگر با پیدا کردن این اطلاعات مشکلی دارید از نرم افزار معاون سینولوژی استفاده نموده یا از find.synology.com استفاده نمایید

DSM Desktop

بعد از وارد کردن نام کاربری و گذر واژه و ورود به سیستم شما صفحه DSM  را می بینید.از این قسمت شما می توایند شروع به انجام فعالیت ها کنید مانند مدیریت تنظیمات ، استفاده از بسته ها یا نمایش اخبار

 

نوار وظیفه

                نوار وظیفه در بالای صفحه واقع شده است و شامل موارد زیر می باشد :

 

  • نمایش صفحه( Show Desktop ) : کوچک کردن تمام برنامه های باز و صفحات بسته ها
  • منو اصلی ( Main Menu ) : از این قسمت میتوان برنامه های باز و بسته های نصب شده بر روی دستگاه سینولوژی را مشاهده نمود. شما همچنین می توانید با کلیک کردن و کشیدن میانبر بر روی صفحه نمایش ایجاد نمایید.
  • برنامه های باز ( Open applications ) : نمایش بسته های باز و همچنین برنامه های باز جاری از این قسمت میسر می باشد

              شما می توانید راست کلیک کرده و آن را به نوار وظیفه برای دسترسی سریعتر در آینده سنجاق نمایید

  • صف بارگذاری ( Upload Queue ) : زمانی که شروع به بارگذاری فایل ها بر روی سینولوژی می کنید ظاهر می شود که با کلیک کردن بر روی این قسمت می توانید جزییات بیشتری مانند در حال انجام بودن و یا سرعت بارگذاری را مشاهده نمایید.
  • دستگاه های بیرونی ( External Devices ) : زمانی که دستگاه های بیرونی به سینولوژی متصل می شود از این قسمت نمایش داده می شود
  • اطلاع رسانی ( Notifications ) : نمایش اطلاع رسانی از این قسمت می باشد بطور مثال خطاها ، وضعیت بروز رسانی و بسته های نصب شده
  • گزینه ها Options ) ( : خاموش کردن و راه اندازی مجدد ، خروج از سیستم و یا تغییر گزینه های حساب شخصی از این قسمت می باشد
  • جستجو ) Search (: پیدا کردن سریع برنامه های کاربردی خاص و  بسته های نرم افزاری یا عنوان های کمک DSM
  • ابزارک ها Widgets ) ( : نمایش یا مخفی کردن ابزارک ها
  •  نمایش آزمایشی ( Pilot View ) :  نمایش تمامی برنامه های باز و بسته ها

 

ایجاد میانبر صفحه نمایش :

  1. باز کردن منو اصلی
  2. کلیک کردن و کشیدن برنامه ها یا بسته ها به اطراف

Resource :

https://www.synology.com/en-us/knowledgebase/DSM/help

آشنایی با سیستم تشخیص نفوذ یا به اختصار IDS

IDS و IPS چیست؟

سیستم های تشخیص نفوذ صرفا به منظور تشخیص و اعلام نفوذ راه اندازی می شوند و به تنهایی قدرت پیشگیرانه ندارند در حالیکه یک سیستم پیشگیری از نفوذ یا به اختصار IPS می تواند با کمک سیاست های امنیتی ایجاد شده توسط مدیر شبکه، اقدام به پیشگیری از نفوذ به سیستم نماید. لذا پیشنهاد می شود که سیستم های IDS و IPS در کنار یکدیگر قرار گیرند تا بتوان یک ثبات امنیتی پایدار را در مجموعه خود پیاده سازی نماییم.
اما مبحث ما در مورد سیستم های تشخیص نفوذ در حوزه نرم افزارهای تشخیص نفوذ قرار دارد. این نرم افزارها به منظور پیاده سازی یک مانیتورینگ قدرتمند در یک مجموعه طراحی شده اند.

در مجموع یک سیستم تشخیص نفوذ دارای اجزای زیر می باشد:

  • فعالیت یا Activity
  • مدیریت یا Administrator
  • هشدار یا Alert
  • تحلیل کننده یا Analyzer
  • منبع داده یا Data Source
  • رویداد یا Event
  • مدیر یا Manager
  • اطلاع رسانی یا Notification
  • حسگر یا Sensor
  • اپراتور

این اجزا در کنار یکدیگر یک سیستم تشخیص نفوذ را تشکیل می دهند. در کل ۲ نوع سیستم تشخیص نفوذ وجود دارد:

  1. MD-IDS
  1. AD-IDS

نوع اول براساس معماری حملات اقدام به تشخیص یک نفوذ می کند. دارای بانک اطلاعاتی از انواع حملات بوده و براساس آن بانک اطلاعاتی اقدام به تشخیص می نماید. به طور مثال در یک حمله TCP Flood اگر سیستم تشخیص نفوذ این نوع حمله را بشناسد می تواند بروز آن را تشخیص و اعلام نماید. اما در صورتیکه حملات و اتفاقات غیر متعارف در شبکه ما رخ دهد چگونه می توان از طریق این سیستم ها آنها را شناسایی نماییم؟ پاسخ این سوال نوع دوم سیستم های تشخیص نفوذ یعنی AD-IDS ها می باشند که در واقع با هوش مصنوعی خود اقدام به شناسایی اتفاقات غیرمتعارف در شبکه می کنند و آنها را گزارش می دهند. حال زمانی که این دو نوع سیستم با یکدیگر ترکیب شوند می توانند با بررسی و تجزیه تحلیل ترافیک شبکه از رخداد هرگونه نفوذ در شبکه شمارامطلع سازند.