فهرست محتوا:

10 نکته درباره رفع ايرادهاي اتصالات VPN
10 نکته درباره امنیت ارتباطات بی‌سیم
10 نکته درباره تنظیمات دامین‌ها در Active Directory
10 نکته درباره ابزار NETSH
10 نکته درباره کار با مجوزها
10 نکته درباره Microsoft SQL Server 2005
10 نکته درباره سرویس‌های Microsoft SharePoint
10 نکته درباره سرویس به‌روزرساني ويندوز سرور
10 نکته درباره فهرست‌های کنترل دسترسی Cisco IOS
10 نکته درباره مدیریت پروژه‌های IT

1 - دسترسی کاربران به فایل سرورها امکان‌پذیر نيست

اگر کاربران از طریق آدرس IP امکان دسترسی به فایل سرور را داشته باشند، اما با استفاده از نام سرور نتوانند با سرور ارتباط برقرار کنند، محتمل‌ترین دلیل، وجود ایراد در Name Resolution یا تشخیص نام است. تشخیص نام می‌تواند در نام‌  هاست NetBIOS یا DNS مشکل ايجاد کند. 

اگر سیستم‌عامل کلاینت به NetBIOS وابسته باشد، کلاینت‌های VPN می‌توانند از طریق سرور VPN آدرس سرور WINS را تعیین کنند، اما اگر سیستم‌عامل کلاینت ترجیحاً از DNS استفاده می‌کند، کلاینت‌های VPN از طریق یک سرور DNS داخلی به نام سرور شبکه داخلی دسترسی پیدا می‌کنند. 

هنگام استفاده از DNS برای تخصیص نام‌های شبکه داخلی از توانايی کلاینت‌ها برای تعیین صحیح نام دامین‌های دارای مجوز شبکه سازمانی اطمینان حاصل کنيد. این مشکل اغلب زمانی به‌وجود مي‌آيد که کامپیوترهای خارج از دامین برای دسترسی و استفاده از نام سرورهای موجود در شبکه داخلی، که پشت VPN قرار دارند، به استفاده از DNS اقدام مي‌کنند.

2 - کاربران نمی‌توانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند

 در بعضی مواقع کاربران می‌توانند به سرور VPN راه دور متصل شوند، اما نمي‌توانند به هیچ‌کدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمی‌توانند نام ‌هاست را شناسايی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند. 

رایج‌ترین دلیل وقوع این مشکل این است که کاربران به شبکه‌ای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور VPN یکسان است. به‌عنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی به‌صورت 24/10.0.0.0 اختصاص یافته است. 

حال چنان‌چه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آن‌گاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت VPN آدرس مقصد را به‌صورت شبکه‌ای محلی می‌بیند و اتصال شبکه راه دور را از طریق رابط VPN ارسال نمي‌کند. 

دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینت‌های VPN اجازه دسترسی به منابع موجود روی شبکه سازمانی را به‌دلیل قوانین تعیین شده از جانب فایروال نمی‌یابند. راه‌حل این مشکل پیکربندی فایروال به‌گونه‌ای است که اجازه دسترسی به منابع شبکه‌ای را به کلاینت‌های VPN بدهد.

3 - کاربران نمی‌توانند از پشت ابزارهای NAT به سرور VPN متصل شوند

اغلب روترهای NAT و فایروال‌ها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP VPN پشتیبانی می‌کنند. هرچند برخی از فروشندگان طراز اول تجهيزات شبکه‌ای، ويرايشگر NAT را در پروتکل PPTP VPN خود تعبیه نمي‌کنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط VPN براي اتصال از طريق PPTP با شكست مواجه خواهد شد. البته، ممكن است با ديگر پروتكل‌هاي VPN كار كند. 

همه ابزارهاي NAT و فايروال‌ها در كار با پروتكل‌هاي VPN مبني بر IPSec از IPSec پشتيباني مي‌کنند. اين پروتكل‌هاي VPN شامل پياده‌سازي‌هاي اختصاصي مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنين اين دسته از پروتكل‌هاي VPN مي‌توانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پيمايش NAT يا (NAT Traversa) پشتيباني کنند. 

چنان‌چه سرور و كلاينت VPN شما از پيمايش NAT پشتيباني کرده و كلاينت تمايل دارد از L2TP/IPSec براي اتصال به سرور سازگار با NAT استفاده کند، رايج‌ترين دليل براي اين مشكل اين است كه كلاينت از سيستم‌عامل Windows XP SP2 استفاده مي‌كند.

سرويس پك 2 پيمايش NAT Traversal را روي كلاينت‌هاي L2TP/IPSec به‌اصطلاح مي‌شكند. شما مي‌توانيد اين مشكل را از طريق ويرايش رجيستري روي كلاينت VPN آن‌گونه كه در آدرس زير توضيح داده شده حل كنيد.

4 – كاربران از سرعت پايين شكايت دارند
سرعت كم يكي از مشكلاتي است كه برطرف کردن آن بسيار دشوار است. دلايل زيادي براي كاهش كارايي ارتباط VPN وجود دارد و نكته مهم آن هم اين است كه كاربران بتوانند توضيح دهند دقيقاً در زمان انجام چه كاري با افت كارايي و كاهش در سرعت روبه‌رو مي‌شوند. 

يكي از عمده‌ترين موارد هنگام كاهش كارايي ارتباط VPN زماني است كه كلاينت در پشت شبكه DSL قرار گرفته و از پروتكل PPPoE استفاده مي‌کند. چنين ارتباطات شبكه‌اي معمولاً موجب بروز مشكلات مرتبط با MTU شده كه مي‌توانند بر هر دو عامل اتصال و كارايي تأثيرگذار باشند. براي اطلاعات بيشتر درخصوص موارد مرتبط با MTU در كلاينت‌هاي ويندوزي به آدرس زير مراجعه کنيد.

5 – كاربران از طريق PPTP متصل مي‌شوند، اما امکان اتصال از طريق L2TP/IPSec وجود ندارد

PPTP پروتكل ساده‌اي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرم‌افزار كلاينت توكار VPN كه به‌همراه تمام نسخه‌هاي سيستم‌عامل ويندوز ارائه مي‌شود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد. 

اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، به‌سادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه به‌طور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيده‌تر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند. 

تأييد اعتبار ماشين مي‌تواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبت‌شده صورت گيرد. اگر از كليد مشترك استفاده مي‌كنيد (كه معمولاً به دلايل امنيتي توصيه نمي‌شود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده مي‌كنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟

6 – اتصال VPN سايت‌به‌سايت برقرار مي‌شود، اما هيچ ترافيكي بين گيت‌وي‌هاي VPN جابه‌جا نمي‌شود
هنگامي كه يك ارتباط VPN سايت‌به‌سايت بين سرورهاي RRAS ويندوزي ايجاد مي‌كنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكه‌هاي متصل‌شده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده و‌هاست‌ها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند. 

عمده‌ترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راه‌حل آن نيز تغيير الگوي آدرس‌دهي IP روي يك يا هر دو شبكه‌ بوده تا به‌اين ترتيب، تمام شبكه‌هاي متصل‌شده به‌صورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.

7 – كاربران نمي‌توانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند
به‌طور معمول سرور VPN و کلاينت‌ها به‌طور صحيح پيکربندي مي‌شوند تا بتوانند از مُد تونل IPSec  يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN  استفاده کنند و در نتيجه ارتباط با شکست مواجه مي‌شود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده مي‌كنيد، اما كلاينت‌هاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبه‌رو مي‌شوند. 

دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماس‌هاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آن‌هابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيت‌وي VPN واحد مالتي‌پلكس كنند. 

حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اين‌كه پياده‌سازي  VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكان‌پذير خواهد بود. اگر اين‌گونه نبود، از فروشنده درباره وجود Firmware براي به‌روز رساني سؤال كنيد.

8 – كاربران نمي‌توانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند
برخي از اوقات كاربران مواردي را گزارش مي‌كنند كه در آن ذكر شده، مي‌توانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش مي‌كنند، مشاهده مي‌كنند كه نمي‌توانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند. 

دليل عمده براي اين مشكل اين است كه سرور VPN ورودي‌هاي جدول روزمره را براي تمام IDهاي شبكه‌هايي كه كاربر نمي‌تواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راه‌دور نيستند.
 
راه‌حل اين مشكل پركردن جدول مسيريابي روي سرورVPN به‌گونه‌اي‌ است كه آدرس گيت‌وي تمام IDهاي شبكه‌هايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.

9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند
در برخي مواقع كاربران نمي‌توانند پس از اين‌كه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اين‌حالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده مي‌شود كه نرم‌افزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيت‌وي پيش‌فرض خود پيكربندي شده‌باشد. اين تنظيم، تنظيم پيش‌فرض نرم‌افزار كلاينت VPN مايكروسافت است. 

از آنجا كه همه ‌هاست‌ها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت به‌سمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN به‌گونه‌اي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينت‌هاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبه‌رو خواهد شد. 

راه‌حل اين مشكل پيكربندي سرور VPN به‌گونه‌اي است تا به كلاينت‌ها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروال‌ها از چنين پيكربندي پشتيباني مي‌كنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيت‌وي پيش‌فرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناخته‌شده و خطرناك امنيتي محسوب مي‌شود، فعال خواهد کرد.

10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل مي‌شوند

يكي از خطراتي كه تمام سازمان‌هايي را كه اقدام به پياده‌سازي امكانات دسترسي راه‌دور به سرور VPN مي‌کنند، تهديد مي‌كند، اين‌است كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک مي‌گذارند. در بسياري از پياده‌سازي‌هاي سرور VPN شما قادر خواهيد بود نه‌تنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود. 

اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راه‌حل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است. 

به‌عنوان مثال، شما مي‌توانيد مجوز كلاينت كاربر را نيز بررسي كنيد. به‌اين ترتيب، هيچ كاربر ديگري نمي‌تواند با مجوز يك كاربر مجاز وارد شبكه شود. انتخاب ديگر استفاده از كارت‌هاي هوشمند، ابزارهاي بيومتريك و ديگر روش‌هاي دو فاكتوري تعيين هويت است.

1 – استفاده از رمزنگاري

رمزنگاري مهم‌ترين و اصلي‌ترين ابزار امنيتي به‌حساب مي‌آيد، با ‌وجود اين، در بسياري از نقاط دسترسي بي‌سيم (WAP) ويژگي رمزنگاري به‌صورت پيش‌فرض فعال نيست. اگر چه اغلب WAPها از پروتكل WEP (سرنام Wired  Equivalent  Privacy) پشتيباني مي‌كنند، اما اين پروتكل نيز به‌صورت پيش‌فرض فعال نيست.
 
WEP داراي چند نقيصه امنيتي بوده و يك هكر مسلط مي‌تواند به آن نفوذ كند، اما در حالت كلي وجود آن بهتر از عدم وجود هرگونه پروتكل رمزنگاري خواهد بود. اطمينان حاصل كنيد كه روش تأييد WEP به‌جاي Open System روي Shared Key تنظيم شده باشد. 

روش دوم، ديتاها را رمزنگاري نمي‌کند، بلكه تنها اقدام به بررسي اعتبار كلاينت مي‌كند. تغيير دادن كليد WEP در بازه‌هاي زماني مشخص و حداقل استفاده از الگوي 128 بيتي روش‌هايي هستند كه به بهبود امنيت شبكه بي‌سيم شما كمك شاياني خواهند کرد.

2 – از رمزنگاري قوي‌تري استفاده كنيد

به‌دليل وجود برخي نقاط ضعف در WEP مي‌توانيد به‌جاي آن از پروتكل WPA (سرنام Wi-Fi  Protected Access)  استفاده كنيد. براي استفاده از WPA، پروتكل WAP شما بايد از آن پشتيباني کند (با ارتقاي فريم وير مي‌توانيد پشتيباني از اين پروتكل را به نسخه‌هاي قديمي‌تر WAP بيافزاييد) همچنين كارت شبكه بي‌سيم (NIC) شما نيز بايد مناسب كار با اين پروتكل بوده و نرم‌افزار بي‌سيم كلاينت نيز از آن پشتيباني كند.

Windows XP SP2 به‌عنوان پيش‌فرض كلاينت WPA را نصب مي‌كند. ماشين‌هايي را كه روي آنان SP1 نصب شده است نيز مي‌توانيد با استفاده از بسته Wireless Update Rollup Package را به كلاينت Windows WPA مجهز کنيد  
(آدرس http://support.microsoft.com/kb/826942/ را مشاهده كنيد). 

يكي ديگر از گزينه‌هاي رمزنگاري استفاده از IPSec است. البته، شرط استفاده از آن، پشتيباني روتر بي‌سيم شما از اين پروتكل خواهد بود.

3 – كلمه عبور پيش‌فرض Administration را تغيير دهيد
اغلب توليدكنندگان از كلمه عبور مشخصي براي رمز عبور Administration كليه نقاط دسترسي بي‌سيم خود استفاده مي‌كنند. اين كلمات عبور مشخص و ثابت در نزد هكرها شناخته شده بوده و مي‌توانند به‌سادگي از آن براي تغيير تنظيمات WAP شما استفاده كنند. اولين كاري كه بايد هنگام تنظيم يك WAP انجام دهيد، تغيير رمز عبور، به رمزي قوي‌تر، با حداقل هشت كاراكتر طول و استفاده تركيبي از حروف و اعداد و استفاده نكردن از كلمات موجود در فرهنگ لغت است.

4 – ويژگي انتشار SSID را خاموش كنيد

SSID (سرنام Service Set  Identifier) نام شبكه بي‌سيم شما را مشخص مي‌كند. به‌عنوان پيش‌فرض اغلب WAPها SSID را نمايش مي‌دهند. اين‌کار موجب مي‌شود تا كاربران به‌راحتي بتوانند شبكه را پيدا كنند، زيرا در اين‌صورت نام شبكه بي‌سيم در فهرست شبكه‌هاي قابل دسترس و روي كلاينت بي‌سيم قابل مشاهده خواهد بود.

اگر نمايش نام SSID را خاموش كنيد كاربران ناچار خواهند بود تا براي اتصال به شبكه بي‌سيم از نام آن اطلاع داشته باشند. برخي معتقدند، اين‌کار بي‌فايده است، زيرا هكرها مي‌توانند با استفاده از نرم‌افزار Packet Sniffing نام SSID را (حتي اگر ويژگي نمايش آن خاموش باشد) پيدا كنند.

اين مطلب صحيح است، اما چرا بايد كار را براي آنان آسان كنيم؟ اين مطلب مانند اين است كه بگوييم از آنجا كه سارقان مي‌توانند شاه‌كليد تهيه كنند، پس به‌كارگيري قفل روي درب منازل كار بيهوده‌اي است. خاموش كردن گزينه Broadcasting SSID نمي‌تواند مانع از كار يك هكر ماهر شود، اما مطمئناً جلوي کاربران كنجكاو و ماجراجو را (به‌عنوان مثال، همسايه‌اي كه متوجه وجود شبكه بي‌سيم شده و مي‌خواهد فقط به‌خاطر سرگرمي به آن نفوذ کند) خواهد گرفت.

5 – WAP را در مواقع غيرلازم خاموش كنيد

اين مورد ممكن است خيلي ساده‌انگارانه به‌نظر آيد، اما شركت‌ها و اشخاص انگشت‌شماري يافت مي‌شوند كه اين‌کار را انجام دهند. اگر كاربران بي‌سيم شما در ساعات مشخصي به شبكه متصل مي‌شوند، دليلي وجود ندارد تا شبكه بي‌سيم شما در تمام طول شبانه‌روز روشن باشد تا فرصتي را براي مهاجمان فراهم آورد. شما مي‌توانيد در مواقعي كه به نقطه‌دسترسي نيازي نداريد آن را خاموش کنيد. مانند شب‌ها كه همه به منازل خود مي‌روند و هيچ‌كس به ارتباط بي‌سيم احتياجي ندارد.

6 – SSID پيش‌فرض را تغيير دهيد

توليدكنندگان WAPها اسامي ثابت و مشخصي را براي SSID به كار مي‌برند. به‌عنوان مثال، دستگاه‌هاي Linksys از همين نام براي SSID استفاده مي‌كنند. پيشنهاد خاموش كردن نمايش SSID براي جلوگيري از اطلاع ديگران از نام شبكه شما است، اما اگر از نام پيش‌فرض استفاده كنيد، حدس زدن آن كار سختي نخواهد بود. همان‌طور كه اشاره شد هكرها مي‌توانند از ابزارهاي مختلفي براي پي بردن به SSID استفاده كنند، به همين دليل، از به كار بردن نام‌هايي كه اطلاعاتي را درباره شركت شما به آنان مي‌دهد (مانند نام شركت يا آدرس محل) خودداري کنيد.

7 – از فيلتر MAC استفاده كنيد
اغلب WAPها (به‌جز انواع ارزان‌قيمت) به شما اجازه خواهند داد از سيستم فيلترينگ آدرس‌هاي MAC (سرنامMedia Access Control )استفاده كنيد. اين به‌اين معني است كه شما مي‌توانيد «فهرست سفيدي» از كامپيوترهايي را كه مجاز به اتصال به شبكه بي‌سيم شما هستند بر مبناي MAC يا آدرس فيزيكي كارت‌هاي شبكه تعريف کنيد. درخواست‌هاي ارتباط از سوي كارت‌هايي كه آدرس MAC آن‌ها در اين فهرست موجود نيست، از جانب AP رد خواهد شد. 

اين روش محفوظ از خطا نيست، زيرا هكرها مي‌توانند بسته‌هاي اطلاعاتي رد و بدل شده در يك شبكه بي‌سيم را براي تعيين مجاز بودن آدرس MAC امتحان كنند و سپس از همان آدرس براي نفوذ به شبكه استفاده کنند. با اين‌حال، اين كار باز هم قدري موضوع را براي «مهاجمان احتمالي» مشكل‌تر خواهد کرد. چيزي كه موضوع اصلي در امنيت است.

8 – شبكه بي‌سيم را از ديگر شبكه‌ها جدا سازيد

براي محافظت از شبكه باسيم داخلي خود در برابر تهديدهايي كه از طريق شبكه بي‌سيم وارد مي‌شوند مي‌توانيد نسبت به ايجاد يك DMZ بي‌سيم يا شبكه‌اي محيطي كه در برابر LAN ايزوله شده اقدام کنيد. براي اين‌کار مي‌توانيد با قرار دادن يك فايروال ميان شبكه بي‌سيم و LAN هر دو شبكه را از يكديگر جدا كنيد. 

پس از آن بايد براي دسترسي كلاينت‌هاي بي‌سيم به منابع شبكه‌اي در شبكه داخلي، هويت كاربر را از طريق شناسايي توسط يك سرور راه‌دور يا به‌كارگيري از VPN تأييد كنيد. اين‌کار موجب ايجاد يك لايه محافظتي اضافي خواهد شد. 

براي اطلاعات بيشتر درباره چگونگي دسترسي به شبكه از طريق VPN و ايجاد DMZ بي‌سيم با استفاده از فايروال ISA Server مايكروسافت، به آدرس زير مراجعه كنيد (براي دستيابي به اين آدرس به يک حق عضويت Tech ProGuil نياز خواهيد داشت):

9 – سيگنال‌هاي بي‌سيم را كنترل كنيد

يك WAP نمونه با استاندارد 802.11b امواج را تا مسافت نود متر ارسال مي‌کند. اين ميزان با استفاده از آنتن‌هاي حساس‌تر قابل افزايش است. با اتصال يك آنتن external پرقدرت به WAP خود، خواهيد توانست برد شبكه خود را گسترش دهيد، اما اين‌کار مي‌تواند دسترسي افراد خارج از ساختمان را نيز به داخل شبكه امكان‌پذير سازد. 

يك آنتن جهت‌دار به‌جاي انتشار امواج در ميداني دايره‌اي شكل آنان را تنها در يك راستا منتشر مي‌سازد. به‌اين ترتيب، شما مي‌توانيد با انتخاب يك آنتن مناسب، هم برد و هم جهت ارسال امواج را كنترل کرده و در نهايت از شبكه خود در برابر بيگانگان محافظت كنيد. علاوه بر اين، برخي از WAPها به شما اجازه مي‌دهند تا قدرت سيگنال و جهت ارسال آن را از طريق تنظيم‌هاي دستگاه تغيير دهيد.

10 – ارسال امواج روي فركانس‌هاي ديگر

يك راه براي پنهان ماندن از ديد هكري كه بيشتر از فناوري رايج 802.11b/g استفاده مي‌كند، اين است که تجهيزات 802.11a را به‌كار بگيريد. از آنجا كه اين استاندارد از فركانس متفاوتي (5 گيگاهرتز به‌جاي  2/4گيگاهرتز استاندارد b/g) استفاده مي‌كند، كارت‌هاي شبكه‌اي كه بيشتر براي فناوري‌هاي شبكه‌اي معمول ساخته شده‌اند نمي‌توانند اين امواج را دريافت كنند. 

به اين تكنيك Security Through Obscurity يا «امنيت در تاريكي» گفته مي‌شود، اما اين كار زماني مؤثر است كه در كنار ديگر روش‌هاي امنيتي به‌كار گرفته شود. در نهايت اين‌كه Security Through Obscurity دقيقاً همان چيزي است كه وقتي به ديگران توصيه مي‌كنيم نگذارند بيگانگان از اطلاعات خصوصي آن‌ها مانند شماره تأمين اجتماعي يا ديگر اطلاعات فردي مطلع شوند، به آن اشاره مي‌كنيم. 

يكي از دلايلي كه استاندارد 802.11b/g را محبوب‌تر از 802.11a مي‌سازد اين است كه برد فركانس آن بيشتر از a و تقريباً دو برابر آن است. 802.11a همچنين در عبور از موانع و ديوارها با قدري مشكل رو‌به‌رو است. از نقطه نظر امنيتي، اين «نقص» به‌نوعي «مزيت» به‌حساب مي‌آيد، زيرا به‌كارگيري اين استاندارد باعث مي‌شود تا نفوذ سيگنال به بيرون كاهش يابد و كار نفوذگران را حتي در صورت استفاده از تجهيزات سازگار با مشكل مواجه كند.

1 - تعیین Trust متناسب با نیاز
پیش از این‌که یک Domain Trust را اعمال کنید، باید از متناسب بودن نوع آن با وظایفی که قرار است برعهده داشته باشد، اطمینان حاصل کنید. هر Trust بايد خصوصيات زير را داشته باشد:

Type: مشخص‌کننده نوع دامین‌هایی که در ارتباط با trust هستند.
Transitivity: تعیین می‌کند که آیا یک Trust می‌تواند به یک دامین Trust دیگر از طریق دامین سوم دسترسی داشته باشد.
Direction: مشخص‌کننده مسیر دسترسی و Trust (اکانت‌ها و منابع Trust)

2 - با کنسول Active Directory Domains AND Trusts Console آشنا شوید

روابط بين Trustها از طریق کنسول Active Directory Domains AND Trusts Console مدیریت می‌شود. این کنسول به‌شما اجازه خواهد داد تا اعمال اساسی زیر را انجام دهید:

- ارتقاي سطح عملیاتی دامین
- ارتقاي سطح عملیاتی Forest
- افزودن Suffixهای UPN
- مدیریت Domain Trust
- مدیریت Forest Trust

برای اطلاعات بیشتر درباره جزئیات این ابزار به آدرس زیر مراجعه کنید:

3 - آشنايی با ابزار
همانند دیگر اجزاي خانواده ویندوز سرور، ابزار خط فرمان می‌تواند برای انجام فرامین تکراری یا جهت اطمینان از سازگاری و هماهنگی در زمان ایجاد Trustها به‌کار آید. برخی از این ابزارها عبارتند از:

- NETDOM: برای برقرار کردن یا شکستن انواع Trustها استفاده مي‌شود.
- NETDIAG: خروجی این ابزار وضعیت پایه‌ای را در روابط بين Trustها به‌دست می‌دهد.
- NLTEST: برای آزمایش ارتباطات Trust مي‌توان از آن استفاده کرد.

شما همچنین می‌توانید از ويندوز اکسپلورر برای مشاهده عضویت‌ها در منابع مشترک آن‌گونه که در دامین‌های Trust و/ يا Forest تعریف شده، استفاده کنيد. کاربران AD همچنین می‌توانند جزئیات عضویت آبجکت‌هاي اکتيو دايرکتوري‌اي که اعضايی از دامین‌های Trust و/ يا Forest دارند، مشاهده کنند.

4 - ایجاد یک محیط آزمایشی
بسته به محیط و نیازمندی‌های شما، یک اشتباه ساده در ایجاد Trust دامین‌ها می‌تواند به بازتاب‌هایی در سطح کل سازمان منجر شود. با وجود اين، فراهم ساختن یک محیط آزمايش مشابه براي Replicate کردن موارد مربوط به چندین دامین و فارست کار دشواری خواهد بود. ایجاد دامین‌هایی برای سناریوهای مشابه کار آسان‌تری بوده که برای استحکام زیرساخت‌ها و آزمایش کارکردهای اساسی می‌توان از آنان استفاده کرد.
 
علاوه بر اين، قبل از استفاده از گروه‌هاي زنده، اکانت‌ها و آبجکت‌هاي ديگر، به آزمايش الگوي آبجکت‌ها دايرکتوري روي روابط دامين زنده توجه کنيد تا مطمئن شويد که ميزان دلخواه عامليت به‌دست آمده، نه بيشتر.

5 - مجوزها را بازبینی کنيد

وقتی Trustها ایجاد شدند باید از عملکرد دلخواه آنان اطمینان حاصل شود. اما مطمئن شوید که برای بررسی صحت جهت دسترسی، Trust پیکربندی‌شده دوباره بازبینی شود. به‌عنوان مثال، چنان‌چه دامین A بايد فقط به منابع معدودی روی دامین B دسترسی داشته باشد، یک Trust دو طرفه کفایت خواهد کرد. 

هرچند ممکن است لازم باشد یکی از مدیران دامین B بتواند به تمام منابع دامین A دسترسی داشته باشد. از صحت جهت و سمت، نوع و Transitivity همه Trustها اطمینان حاصل کنید.

6 – طرح Trustها را تهيه كنيد
نقشه‌اي ساده با استفاده از پيكان‌ها و جعبه‌هايي كه نمايان‌گر دامين‌هاي داراي Trust، ارتباط آنان با يكديگر و اين‌كه اين Trustها يك‌طرفه هستند يا دو طرفه تهيه کنيد. با استفاده از تصوير‌(هاي) ساده مشخص كنيد، كدام دامين به كدام دامين ديگر Trust دارد و Transitivity آن‌ها را نمايش دهيد. 

اين جدول ساده موجب درك بهتر وظايف محوله شده و به شما اجازه خواهد داد تا دامين‌هاي نيازمند به جهت دسترسي (Access Direction) و همچنين جهت صحيح را مشخص ساخته و نمايش دهيد. برخي از دامين‌ها فقط نقش يك دروازه ساده را براي دسترسي به ديگر دامين‌ها ايفا مي‌کنند.

7 – ارتباطات بين Trustها را مستند كنيد

امروزه، سازمان‌ها دائم در حال پيوستن و جدا شدن از يكديگر هستند. به‌همين دليل، اين نكته اهميت دارد  كه نقشه واضحي از ارتباط بين دامين‌ها و Trustهاي بينابين تهيه شده تا همواره از وجود اطلاعات لازم بدون نياز به مراجعه به كدهاي مربوطه اطمينان حاصل شود. 

به‌عنوان مثال، اگر شما روي دامين B قرار داشته باشيد و دفتر مركزي شما روي دامين A نمايندگي شما را ابطال و Trust را قطع كند، يك سند كوچك و مختصر كه قبلاً روي دامين A ذخيره شده كمك بسيار بزرگي براي شما خواهد بود. 

نوع Trust، جهت، ملزومات تجاري مورد نياز براي آن Trust، مدت اعتبار پيش‌بيني شده براي Trust، مجوز، اطلاعات پايه‌اي دامين و فارست (شامل نام، DNS، آدرس IP، مكان فيزيكي، نام كامپيوترها و...) و اطلاعات تماس فرد يا افراد مسئول دامين‌ها از اطلاعاتي هستند كه ذخيره‌سازي آنان در يك محل مطمئن بسياري از كارها را آسان‌تر خواهد کرد.

8 – از پيچيده کردن ارتباط Trustها پرهيز کنيد

براي صرفه‌جويي در وقت و زمان، از جلو بردن عضويت‌ها در بيش از يك لايه هنگام كار و استفاده از Trust در دامين‌ها و فارست‌هاي چندگانه پرهيز كنيد. با اين‌كه تودر تو کردن عضويت‌ها مي‌تواند به يكپارچگي و كاهش آبجکت‌هاي قابل مديريت در AD كمك کند، اما اين‌کار موجب افزايش ميزان تصميم‌گيري در مديريت اعضا خواهد شد.

9 – چگونگي مديريت نسخه‌هاي مختلف ويندوز
وقتي AD را روي ويندوز 2000 و ويندوز سرور 2003 اجرا مي‌كنيد، امكانات كامل براي دامين‌ها و فارست‌هاي عضو فراهم خواهد بود. چنان‌چه هرگونه سيستم عضو يا دامين NT در سازمان حضور داشته باشند، امكانات ورودي Trust آن‌ها به‌دليل ناتواني در شناسايي آبجكت‌هاي AD محدود خواهد شد. راه‌حل عمومي اين سناريو ايجاد «دامين‌هاي جزيره‌اي» براي آن دسته از افرادي است كه معمولاً به ساختارهاي عمومي سازمان متصل نمي‌شوند.

10 – Trustهاي منقضي و Overlap شده را پاك كنيد

تغييرات ايجاد شده در روابط مابين سازمان‌هاي تجاري ممكن است موجب برجاي گذاشتن تعدادي از Trustهاي بدون استفاده در دامين شما شود. هرگونه تراستي را كه به‌عنوان فعال مورد استفاده قرار نمي‌گيرد، از روي دامين برداريد. همچنين از تنظيم صحيح تراست موجود و مطابقت آن‌ها با دسترسي مورد نياز و الگوي استفاده اطمينان حاصل كنيد. بازرسي و رسيدگي به جدول تراست مي‌تواند مكمل خوبي براي سياست‌هاي استحكام يافته امنيتي شما به‌حساب آيد.