ترافیک اکتیو دایرکتوری !
مبحث Parent ، Child & Domain Tree
پیاده سازی سرویسهای دایرکتوری (Active Directory)
ـ معرفی سرویس های دایرکتوری
ـ ساختار A.D و نسخه برداری سایت (Site Replication)
ـ مفاهیم A.D
ـ مقدمه ای بر طرح ریزی (Planning)
- نصب سرویس های دایرکتوری A.D
ـ پیکربندی نسخه برداری از A.D
مقدمه
می توانیم از (سرویس دایرکتوری) برای تعیین یکنواخت یکپارچه کاربران و منابع موجود در شبکه استفاده نمائید. سرویس های A.D در تمام محصولات خانواده W2K Server یافت می شود. تکنولوژی A.D یک نقطه مشخص برای مدیریت شبکه ها بدست می دهد و به شما اجازه افزودن، حذف کردن و جابجائی کاربران و منابع را با سهولت فراوان اعطا می کند.
در این مقاله سعی دارم تا شما را با سرویس های دایرکتوری A.D و چگونگی طرح ریزی لازم جهت پیاده سازی آن آشنا گردانم. در پایان نحوه پیکربندی و نسخه برداری از A.D را با ایجاد یک سایت ، پیکربندی یک پیوند سایت و تنظیمات یک سرور کاتالوگ کلی (Global Catalog Server) شرح خواهیم داد.
پیش نیازهای لازم جهت نصب A.D
1. داشتن کامپیوتری که حداقل شرایط سخت افزاری مورد نیاز نصب ویندوز 2000 را برآورده نماید.
2. نصب W2K-Server نصب کامپیوتر به شکل یک سیستم Stand-Alone در یک گروه کاری و نصب پروتکل TCP/IP
3. داشتن یک آدرس IP ی ثابت .
4. داشتن یک سرور DNS در شبکه و یا سرور خودتان بشکل DNS نصب شده .
5. در اختیار داشتن CD اصلی W2K-Server
نکته : ویژگی سرویس A.D در نسخه های W2K-Server و نیز W2K-Data Center نیز وجود دارد.
نگاهی کلی تر به ویژگی های سرویس های دایرکتوری A.D
قبل از نصب A.D می بایستی درک کاملی از مفهوم A.D و نقشی (Role) که در شبکه ویندوز2000 بازی می کند داشته باشید . به علاوه دانستن ویژگیهای کلیدی A.D که انعطاف پذیری و سهولت راهبری را بدست می دهند مورد نیاز می باشند.
سرویس دایرکتوری Directory Service
• یک سرویس دایرکتوری A.D عبارت از یک سرویس شبکه است که تمام منابع موجود در شبکه را مشخص کرده و آنها را برای کاربران و برنامه های کاربردی در دسترس قرار می دهد.
• سرویس های A.D دایرکتوری ای را در بردارند که اطلاعات مربوط به منابع شبکه و کلیه سرویس هائی که این اطلاعات را قابل دسترس و مفید می نمایند در خود نگه می دارند.
• منابع ذخیره شده در دایرکتوری مواردی چون کاربران، داده های کاربری، چاپگرها ، سرورها، بانکهای اطلاعاتی ، گروهها ، کامپیوترها وسیاستهای امنیتی که به صورت اشیاء شناخته می شوند می باشند.
سهولت راهبری Administration
• سرویس A.D منابع شبکه رابه صورت ساختار سلسله مراتبی (Hierarchically) در حوزه ها (Domains) سازماندهی می نماید. یک حوزه (Domain) عبارت از گروه بندی (دسته بندی) منطقی سرورها و دیگر منابع شبکه تحت یک نام حوزه مشخص (Single) می باشد.
• یک حوزه ، واحد اصلی نسخه برداری (Replication) و امنیت در یک شبکه مبتنی بر ویندوز 2000 می باشد.
• هر کنترولر حوزه می تواند شامل یک یا چند کنترولر حوزه دیگر باشد. یک کنترولر حوزه کامپیوتری است که سرور ویندوز 2000 بر روی آن اجرا می شود و برای نگهداری یک نسخه کامل از دایرکتوری حوزه ، بکار می رود.
• جهت ساده سازی وظایف راهبری، تمام کنترولرهای حوزه نظیر هم هستند. شما می توانید در هر کنترولری تغییراتی صورت دهید و این تغییرات به تمام حوزه های دیگر ارسال شود. (Replicate)
• سرویس های دایرکتوری A.D ، نقطه واحدی را برای مدیریت تمام اشئیاء درون شبکه بدست می دهند.
مقیاس پذیری (Scalability)
در سرویس های A.D یک دایرکتوری تمام اطلاعات را به شکل بخش هائی که قابلیت ذخیره سازی تعداد بسیار زیادی از اشئیاء را دارد سازماندهی می نماید در نتیجه، دایرکتوری می تواند توسعه یابد ، همانطوریکه یک سازمان رشد می کند و به شما اجازه می دهد تا بتوانید از یک نصب کوچک با چند صد شئی به یک نصب با چندین میلیون شئی وارد شوید.
نکته شما می توانید اطلاعات دایرکتوری را در بین چندین کامپیوتر در شبکه توزیع نمائید.
پشتیبانی از استانداردهای باز (Open Standards)
• سرویس A.D مثل تمام سرویس های دایرکتوری اساساً یک فضای نام Namespace)) می باشد.
• یک فضای نام ( به اختصار NS) عبارت از محدوده مشخصی می باشد که در آن یک نام را میتوان بدست آورد (Resolved) . یافتن یا ترجمه نام Name Resolution)) عبارت از ترجمه یک نام به یک شئی یا اطلاعی است که آن نام معرفش می باشد.
• سرویس A.D مفهوم اینترنتی یک N.S را با سرویس های دایرکتوری W2K ادغام می کند. اینکار به شما اجازه می دهد تا چندین N.S را که در حال حاضر در محیط های ناهمگون نرم افزاری و سخت افزاری شبکه ای یک شرکت وجود دارند با هم آمیخته و مدیریت نمائید. سرویس های A.D از DNS Domain Name) system) برای سیستم نامگذاری اش استفاده کرده و می تواند اطلاعات را با هر برنامه یا دایرکتوری ای که از پروتکل های ( LDAP Lightweight Directory Access Protocol) یا HTTP Hyper Text Transfer) Protocol) استفاده کند مبادله نماید.
• نکته : سرویس های A.D همچنین اطلاعات را با سرویس های دایرکتوری دیگری که از پروتکلهای LDAP ای نسخه 2و3 استفاده می کنند مثل Novell Directory Services) NDS میتوانند به اشتراک بگذارند.
سیستم های نامگذاری حوزه (Domain Name System)
• فضای نام (N.S) سرویس A.D مبنی بر طرح Scheme)) نامگذاری DNS است که اجازه کار با تکنولوژی های اینترنت را می دهد . به تقلید از استانداردهای DNS ، نام حوزه یک حوزه بچه Child)) عملاً یک نام نسبی است که در آن نام حوزه بچه به نام حوزه والد (Parent) متصل می باشد.
• در A.D چون از نامگذاری و مکان یابی حوزه مانند روش DNS استفاده می شود، اسامی حوزه ویندوز 2000 می تواند اسامی DNS نیز باشند.
• ویندوز 2000 از DDNS) Dynamic DNS) استفاده می کند تا مشتریانی Clients)) را که به شکل دینامیک آدرس دهی شده اند را مستقیماً در سروری که سرویس DNS را اجرا می کند رجستر نماید و جدول DNS را به طور دینامیکی به هنگام (Update ) کند. منظور از رجیستر کردن ثبت مشتریان در سرور DNS می باشد.
• DDNS نیاز به سرویس های دیگر نامگذاری اینترنت مثل (Windows Internet Name Service WINS ) در یک محیط همگن را از بین می برد.
• توجه : برای اینکه سرویس های A.D و نرم افزارهای کلاینت مربوط بتوانند به درستی کار کنند، می بایستی حتما سرویس DNSرا نصب نمائید.
پشتیبانی ازLDAP و HTTP
• LDAP یک استاندارد اینترنتی برای دستیابی به سرویس های دایرکتوری است که به شکل یک بدل ساده تربرای پروتکلDirectory Access Protocol DAP طراحی گردیده است.
• جهت کسب اطلاعات بیشتر درباره LDAP در اینترنت به دنبال RFC 1777 بگردید. پروتکل HTTP استاندراد نمایش صفحات در دنیای وب می باشد. شما می توانید هر شئی درون A.D را به شکل یک صفحه HTML در درون مرروگرتان مشاهده نمائید.
• نکته : سرویس A.D از پروتکل LDAP برای تبادل اطلاعات بین دایرکتورها وبرنامه های کاربردی استفاده می کند .
پشتیبانی از فرمتهای نامگذاری استاندارد
سرویس A.D از چندین قالب نامگذاری عمومی استفاده می کند. در نتیجه اینکه کاربران و برنامه ها می توانند با استفاده از قالب های نامگذاری بسیار آشنا استفاه نمایند. در جدول زیر می توان برخی ازاین قالبهای نامگذاری استاندارد را که در سرویس های A.D استفاده می شوند مشاهده نمود.
« قالبهای نامگذاری شده که توسط سرویس های دایرکتوری A.D استفاده می شوند»
RFC 822: اسامی RFC 822 به شکل Somename@some.domain می باشد و کاربران با آنها از طریق آدرسهای پستی اینترنتی (Email) سر و کار دارند.
mhkb65@gmail.com این نوع نامگذاری توسط مرورگرهای اینترنتی و به شکلhttp://somedomain/path-to-page استفاده می شوند و به آنها (URL (Uniform Resource Locators می گویند .
مثل http:/www.IBM.Com/input/default.html
UNC: از این قالب جهت نامگذاری ولوم های اشتراکی ، چاپگرها و فایلها در شبکه استفاده می شود این قالب سروری را که A.D بر روی آن نصب شده و نام منتسب به شئی را نام فامیل، دپارتمان و آدرس Email وی می باشد،مشخص می کند. سرویس A.D از الگوی 1779 RFC پشتیبانی می کند .
ساختار A.D و نسخه برداری سایت (Site Replication)
• سرویس A.D روشئی را برای طراحی ساختار یک دایرکتوری که نیازهای سازمانتان را مرتفع گرداند بدست می دهد. در نتیجه اینکه ، قبل از نصب سرویس های A.D ، می بایستی عملیات و استراکچر سازمانتان را امتحان نمائید.
• اکثر شرکتها ساختاری متمرکز دارند . برای مثال این شرکتها دپارتمانهای تکنولوژی اطلاعات (IT) قوی ای دارند که ساختار شبکه شان را تا کوچک ترین جزئیات تعریف و پیاده می نمایند. اما شرکت های دیگر، بخصوص شرکتهای عظیم ، بسیار غیرمتمرکز هستند . این شرکتها چندین فعالیت کاری دارند که هر یک از آنها خود شامل جزئیات زیادی می باشند. این شرکت ها نیاز به روشهای غیرمتمرکزی دارند که روابط تجاری و شبکه هایشان را مدیریت نماید.
• با انعطاف پذیری ای که در A.D سراغ داریم، می توان براحتی ساختار شبکه را جهت برآورده ساختن نیازهای آنان برپا نمود.
• A.D بطور کاملاً مجزا ساختار منطقی سلسله مراتب حوزه را از ساختار فیزیکی آن جدا می سازد.
|
وسیله ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می کند. علاوه بر آن از آنجایی که معمولا یک فایروال بر سر راه ورودی یک شبکه می نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می شود. شاخص های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن 1- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه های بسیار مهم یک فایروال به شمار می شود و به مدیران شبکه این امکان را می دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب ، مدیر می تواند براحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع و برای وی اخطار بفرستد. 2- بازدید حجم بالایی از بسته های اطلاعات: یکی از تستهای یک فایروال ، توانایی آن در بازدید حجم بالایی از بسته های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می تواند کنترل کند برای شبکه های مختلف متفاوت است اما یک فایروال قطعاً نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود.عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می شوند. عامل محدودکننده دیگر می تواند کارتهای واسطی باشد که بر روی فایروال نصب می شوند. فایروالی که بعضی کارها مانند صدور اخطار ، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است. 3- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است.در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه های می شود به پیکربندی غلط فایروال بر می گردد. لذا پیکربندی سریع و ساده یک فایروال ، امکان بروز خطا را کم می کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند ، برای یک فایروال بسیار مهم است. 4- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است.فایروالی که نتواند امنیت خود را تامین کند ، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. تامین کننده امنیت فایروال و شبکه امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می کند، نقاط ضعف امنیتی سیستم عامل ، می تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است. دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد. انواع فایروال انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به پنج گروه تقسیم می کنند. 1- فایروالهای سطح مدار (Circuit-Level): این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند. 2- فایروالهای پروکسی سرور : فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالها پروتکلهای سطح کاربرد را می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد. 3- فیلترهای Nosstateful packet : این فیلترها روش کار ساده ای دارند. آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند. 4- فیلترهای ٍStateful Packet : این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند. 5- فایروالهای شخصی : فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست. موقعیت یابی برای فایروال محل و موقعیت نصب فایروال همانند انتخاب نوع صحیح فایروال و پیکربندی کامل آن ، از اهمیت ویژه ای برخوردار است. نکاتی که باید برای یافتن جای مناسب نصب فایروال در نظر گرفت عبارتند از : موقعیت و محل نصب از لحاظ توپولوژیکی : معمولا مناسب به نظر می رسد که فایروال را در درگاه ورودی/خروجی شبکه خصوصی نصب کنیم. این امر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمک فایروال از یک طرف و جداسازی شبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند. قابلیت دسترسی و نواحی امنیتی : اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از فایروال و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی وتنظیم فایروال جهت صدور اجازه به کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود با هک شدن شبکه داخلی. چون شما خود مسیر هکرها را در فایروال باز کرده اید. در حالی که با استفاده از ناحیه DMZ ، سرورهای قابل دسترسی برای شبکه عمومی از شبکه خصوصی شما بطور فیزیکی جدا هستند، لذا اگر هکرها بتوانند به نحوی به این سرورها نفوذ کنند بازهم فایروال را پیش روی خود دارند. مسیریابی نامتقارن : بیشتر فایروالهای مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفی را که از طریق آنها شبکه داخلی را به شبکه عمومی وصل کرده است، نگهداری کنند. این اطلاعات کمک می کنند تا تنها بسته های اطلاعاتی مجاز به شبکه خصوصی وارد شوند. در نتیجه حائز اهمیت است که نقطه ورود و خروج تمامی اطلاعات به/از شبکه خصوصی از طریق یک فایروال باشد. فایروالهای لایه ای : در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند فایروال در مسیر قرار گیرند. اگر اولی با مشکلی روبرو شود، دومی به کار ادامه می دهد.معمولا بهتر است دو یا چند فایروال مورد استفاده از شرکتهای مختلفی باشند تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تامین کنند. |
|
|
