فروش روتر ميکروتيک – پشتیبانی VoIP|پشتیبانی شبکه|ویپ |تجهیزات شبکه

تفکیک خطوط در گیتوی گرنداستریم

Posted on ژانویه 16, 2022 by tilatel

تفکیک خطوط در گیتوی گرنداستریم : در این مقاله قصد داریم تا شما را با نحوه ی تفکیک تماس های ورودی و خروجی در گیتوی گرنداستریم آشنا کنیم با ما همراه باشید:

همچنین شما می توانید برای انجام دادن تنظیمات ویپ خود به شرکتهایی که کار پشتیبانی Voip را انجام می دهند مراجعه کنید.

تفکیک تماس های ورودی

برای تفکیک تماس های ورودی هر پورت به سمت مقصدی خاص باید از DID استفاده نمود . به این ترتیب که پس ازورود به تنظیمات گرنداستریم به منوی Settings >> Channels Settings >> Calling to VoIP >> User ID رفته و مانند شکل به تفکیک هر پورت بپردازید.

همان طور که در شکل بالا مشاهده شد پورت یک به DID 300 و پورت دو به DID 301 و پورت سه و چهار به DID 302 مسیردهی شده است . در سرور ایزابل (الستیکس) نیز در inbound Route مانند شکل زیر می توانید از این DID ها استفاده نمایید و تماس ها را به مقصد مورد نظر هدایت نمایید .

تفکیک تماس های خروجی

برای تفکیک تماس های خروجی باید به ازای هر پورت روی گیتوی یک SIP Trunk تعریف شود برای این کار به منوی Account >> User Account رفته و مانند شکل زیر برای هر کانال یک UserID و یک Password تعریف نمایید.

در مرحله بعد وارد منوی FXO Lines >> Dialing >> Port Schedule Schema شده و گزینه Use SIP User Account Scheduling را روی Yes قرار دهید .

تنظیمات گرنداستریم در این بخش به پایان رسید در مرحله بعد وارد منوی ایزابل (الستیکس) شوید و یک SIP Trunk با پارامترهای زیر ایجاد نمایید .

نام ترانک که دراین شکل 300 است باید همان نامی باشد که در گیتوی گرنداستریم به عنوان SIP UserID قبلا تعریف کرده بودیم و Secret نیز همان پسوردی است که قبلا در گرنداستریم تعریف شده بود . برای hostباید هم آی پی گیتوی گرنداستریم باید قرار داده شود .

host=192.168.1.200

fromuser=300

secret=300

type=friend

qualify=yes

dtmfmode=rfc2833

context=from-trunk

disallow=all

allow=alaw,ulaw

port=5060

insecure=very

در مرحله بعد در تعریف Outbound Route در بخش انتخاب ترانک میتوانید ترانکی که میخواهید از روی آن تماس خروجی داشته باشید را انتخاب کنید . به همین ترتیب میتوانید برای پورت های دیگر گیتوی گرنداستریم همین روال را انجام دهید .

نحوه ی مدیریت زمان در Issabel قسمت اول

Posted on دسامبر 27, 2021دسامبر 27, 2021 by tilatel

نحوه ی مدیریت زمان در Issabel: در این مقاله قصد داریم تا مدیریت زمان را به شما آموزش دهیم با ما همراه باشید:

با مطالعه این مقاله شما قادر خواهید بود تا در تمامی موارد مربوط به مرکز تماس از زمان استفاده کرده و زمان را مدیریت نمایید.

همچنین از نرم افزار ایزابل می توانید برای نصب و راه اندازی Voip استفاده کنید

مثلا اگر بخواهید کاری کنید که بعد از تایم کاری کسانی که تماس می گیرند صدایی را دریافت کنند که از اتمام ساعت کاری خبر می دهد باید با این دو مفهوم اشنا باشید:

Time Group
Time Condition

TIME GROUP در ایزابل

Time Group در واقع به بازه های زمانی تعریف شده در ایزابل گفته خواهد شد.

تعریف TIME GROUP در ایزابل

در صورتی که بخواهید در ایزابل یک Time Group تعریف کنید باید ابتدا به منوی PBX رفته و گزینه PBX Configouration را برگزینید و سپس در صفحه باز شده Time Group را پیدا و آن را انتخاب کنید.

در صفحه باز شده از منوی سمت راست Add Time Group را بزنید.در صفحه باز شده می توانید یک محدوره زمانی تعریف کنید

Description : یک توضیح برای محدوده زمانی خود اضافه کنید

Time to start: می توانید ساعت شروع را مشخص کنید

Time to finish: در این قسمت ساعت و دقیقه پایان را مشخص کنید

Week Day start: زمان شروع در هفته را مشخص کنید

Week Day finish: زمان پایان در هفته را مشخص کنید

Month Day start: زمان شروع در ماه را مشخص کنید

Month Day finish: زمان پایان در ماه را مشخص کنید

Month start: زمان شروع ماه را مشخص کنید

Month finish: زمان پایان ماه را مشخص کنید

توجه داشته باشید که در هر گزینه ای اگر زمانی را انتخاب نکنید و همان خط تیره با قی بماند به معنای بی اهمیت بودن آن گزینه بوده و در تمام آن محدوده بازه زمانی شما معتبر خواهد بود.

در صورتی که می خواهید چند محدوده داشته باشید باید ابتدا محدوده اول را ذخیره کنید و سپس از منوی سمت راست دوباره آن را انتخاب کرده و در ویرایش آن می توانید محدوده های بیشتری به آن اضافه کنید

یک مثال کاربردی از محدوده زمانی در ایزابل

فرض کنید می خواهید ساعت کاری یک شرکت را در محدوده زمانی تنظیم کنید

ساعت کاری شرکت بدین شکل است

از شنبه تا چهارشنبه از ساعت ۹ صبح تا ۵ عصر و در روز های پنجشنبه از ساعت ۹ صبح تا ۱ عصر و جمعه ها تعطیل می باشد

مقدار Description را Work time قرار دهید

بقیه مقادیر به شکل زیر خواهد بود

Time to start: ۹:۰۰

Time to finish: ۱۷:۰۰

Week Day start: saturday

Week Day finish: wednisday

Month Day start: – –

Month Day finish: – –

Month start : – –

Month finish: – –

Time Group را ذخیره کرده و دوباره از منوی سمت راست انتخاب کنید. با اسکرول مشاهده خواهید کرد یک محدوده دیگر اضافه شده است آن را نیز به شکل زیر با مقادیر زیر پر کنید

Time to start: ۹:۰۰

Time to finish: ۱۳:۰۰

Week Day start: thursday

Week Day finish: thursday

Month Day start: – –

Month Day finish: – –

Month start : – –

Month finish: – –

تنظیمات را ذخیره کنید. همانطور که مشاهده می کنید بازه زمانی آماده می باشد.

امیدواریم با این مقاله نحوه ی مدیریت زمان در Issabel را فرا گرفته باشید.

آشنایی با IPV6

Posted on دسامبر 15, 2021 by tilatel

آشنایی با IPV6:همانطور که می دانید آدرس های IP در حال تمام شدن می باشد و با وجود مکانیزم هایی مانند NAT نتوانستند راه حلی برای تمام شدن آدرس ها بیابند. هرروز به تعداد افراد و دستگاههایی که نیاز به برقراری ارتباط با یکدیگر دارند افزوده می شود که این رشد زیاد را می توان به عنوان یک پدیده خوب یاد نمود. دلیل آن هم ارتباط برقرار کردن افراد با یکدیگر با دستگاه های ارتباطی مختلف می باشد.با این شرایط با در نظر گرفتن شدت رشدی که وجود دارداز حدود ظرفیت خود خارج خواهد شد.

همانطور که می دانید IPV4 تقریبا در حدود ۴ میلیون آدرس در اختیار ما قرار می دهد. اما نمی توان از همه آنها برای آدرس دهی دستگاه ها ی مختلف بهره برداری کرد.. بدین معنی که در عمل فقط قادر به استفاده از ۲۵۰ میلیون آدرس می باشیم.هرچند با تکنیک های مختلف همانند CIDR و NAT تاثیر این کمبود شدید آدرسهای IPV4 را کاهش داده اند، اما نتوانسته است راه حل کاربردی را ارایه دهد و جلوی اتمام آن را بگیرد.به همین دلیل پیشنهاد نسخه ۶ مطرح شد تا به طور کل آدرس دهی نسخه ۴ کنار گذاشته شود.

همانطور که در تصویر مشاهده می کنید سرعت رشد آدرس های IP درنسخه ۶ در ابتدا بسیار پایین بوده ولی در سال های اخیر به دلیل تمام شدن IP های نسخه ۴ به شدت رشد آن رو به افزایش است.در مقابل آدرس های IP نسخه ۴ در همان سال های ابتدایی که این گونه آدرس دهی مطرح شد به شدت بالا رفته و در سال های اخیر علاوه بر اینکه رشد نداشته به سرعت رو به کاهش است.

پیش تر بیان کردیم که در کوتاه مدت راهکارهای مانند Subnetting و Summarization ارائه گردید تا بتوانند از فضای آدرس دهی بهینه استفاده کنند و از هدر رفت آدرس ها جلوگیری کنندکه در این راهکارها به جای استفاده از آدرس دهی Classful و به هدر رفتن آدرس های IP از آدرس دهی های Classless استفاده کردند و همچنین از ویژگی خلاصه نویسی در بحث Routing Tableها استفاده کردند. اما این روش ها همانطور که بیان شد فقط در کوتاه مدت جواب گو بودنند و راه حل اساسی نبود.امادر بلندمدت راهکار IPv6 مطرح شد.

و اما آی پی نسخه ۶

IPv6 برای جایگزینی IPv4 در نظر گرفته شده است. IPv6 در دسامبر ۱۹۹۸ پیش نویس استاندارد آن تهیه شد، اما تا ۱۴ ژانویه ۲۰۱۷ به طوریک استاندارد به استاندارد اینترنت تبدیل نشد(سازمان IETF)

IPv6 یک آدرس ۱۲۸ بیتی می باشد. که فضای آدرس دهی آن ۲ به توان ۱۲۸ است که بر خلاف آدرس دهی های IPv4 که ۳۲ بیتی می باشند تعداد زیادی آدرس IP را در اختیار قرار می دهند و این تعداد آدرس IP در IPv6 چیزی در حدود ۳۴۰.۲۸۲.۳۶۶.۹۲۰.۹۳۸.۴۶۳.۴۶۳.۳۷۴.۶۰۷.۴۳۱.۷۶۸.۲۱۱.۴۵۶ می باشد.

همانطور که در بالا گفته شد ای پی ورژن 6 جایگزین ای پی ورژن 4 خواهد شد و در سیستم های voip و همچنین نصب و راه اندازی voip از این ای پی استفاده خواهد شد

دو ویژگی در IPV6 وجود دارد که در بین متخصصین بسیار حایز اهمیت است:

بسیاری از مواردی که در هدر نسخه ۴ وجود داشت در نسخه ۶ آن از هدر حذف شده است (به دلیل سبک تر شدن) اما می توان موارد مورد نیاز را دوباره در قسمت Optional Extension header که بعد از header استاندارد قرار می گیرد، جای داد. همچنین کاهش سربار پردازشی روترها و درنتیجه کاهش پیچیدگی سخت افزار و سریع تر شدن پردازش بسته ها و درنتیجه کوچک تر شدن جداول روتینگ( Routing) و مؤثرتر شدن مسیریابی در کل شبکه می شود.

خلاصه بودن هدر آی پی نسخه ۶ نسبت به هدر آی پی نسخه ۴ کاملا در تصویر مشخص است

یکی دیگر از ویژگی های IPV6تخصیص چندین آدرس محتلف به شبکه ها و دستگاه های مختلف می باشد.همچنین IPV6 کاربرد ارتباطاتMulticast را نیز گسترش داده است.IPV4 از پیام های Broadcast خیلی استفاده می کند به همین دلیل پدید Broadcast Storm در شبکه زیاد ایجاد می شود و باعث هدر رفتن پهنای بایند شبکه می شود که این امر در نسخه ۶ آدرس های IP وجود ندارد.

سایر ویژگی هایی که به طور خلاصه در زیر به آن اشاره شده است:

امیت بسیار خوب در لایه شبکه
فضای آدرس دهی بسیار بزرگ(۲ به توان ۱۲۸)
ویژگی های خاص آدرس دهی بدون نیاز به DHCP یا Static Addressing
پشتیبانی از Renumbering
پشتیبانی از Mobility در تغییرات شبکه به صورت سیار و مباحث Routing
استفاده از آدرس های Public مستقل از ISP ها
عدم نیاز به NAT و PAT
استفاده از ویژگی IPSec در هدر این آدرس دهی ها و امن شدن آینده اینترنت
بهینه سازی در ساختار Header
عدم حضور Broadcast در این ساختار آدرس دهی
پشتیبانی خاص جهت مهاجرت از IPv4 به IPv6 و یا استفاده از هر دو در یک شبکه

یک مثال :

درIPV6 می توان بنا به شرایط مختلف آدرس را به صورت خلاصه نوشت:

می توان صفر ها را در IPv6 خلاصه کرد.

مثال:

IPv6 زیر را در نظر بگیرید:

fc50:0000:0000:0000:0000:0000:0000:0032

می توانیم IP بالا را به صورت زیر خلاصه کنیم:

fc50:0:0:0:0:0:0:0032

fc50::0032

fc50::32

به جای بلاک هایی که به صورت متوالی صفر بودند : گذاشته می شود.

در آخرین بلاک یعنی ۰۰۳۲ ، صفرهای پشت عدد ۳۲ حذف می شود.

نکته۱ :اگر حداقل دو پارتیشن متوالی صفر باشند می توانیم به جای آن ها از : استفاده کنیم.

نکته ۲: فقط یک بار می توانیم از : در خلاصه سازی صفر ها استفاده کنیم.

معرفی پروتکل PPP

Posted on دسامبر 14, 2021دسامبر 15, 2021 by tilatel

معرفی پروتکل PPP :همانطور که می دانید پروتکل HDLC به دلیل عدم وجود مکانیزم های احراز هویت امروزه به ندرت مورد استفاده قرار می گیرد. در این مقاله پروتکل پیشرفته تری به نام PPP را به شما معرفی خواهیم کرد. با ما همراه باشید:

PPP یا Point to Point Protocol

جالب است بدانید که PPP نیز بر پایه HDLC بنا شده است. این پروتکل WAN Encapsulation که جهت ارتباطات نقطه به نقطه از آن بهره می برند در واقع یک HDLC بهبود یافته است. اما در مقایسه با HDLC ویژگی های زیادی به آن افزوده شده است. برای مثال همان طور که گفته شد High-Level Data Link Control خاصیت Authentication یا احراز حویت ندارد. اما PPP دارای این قابلیت می باشد. در ادامه پروتکل های Authentication را که Point to Point Protocol از آن ها بهره می برد را معرفی خواهیم کرد :

PPP Authentication

PPP از دو پروتکل احراز حویت PAP و CHAP پشتیبانی می نماید.

PAP کوتاه شده عبارت Password Authentication Protocol است که از آن به عنوان ساده ترین پروتکل احراز هویت یاد می کنند. این پروتکل از Handshake دو مرحله ای یا ۲-Way Handshake جهت Authentication بهره می برد. کلمه های عبور در آن به صورت Plain Text یا متن ساده رد و بدل می شوند. این بدان معنی ست که امنیت PAP بسیار پایین است. اما در مقایسه با HDLC یک گام جلوتر محسوب می شود. ( امنیت USSD ها نیز دقیقا به همین دلیل پایین است و مطابق سیاست های بانک مرکزی قرار است که این روش جهت انجام تراکنش های بانکی حذف شود ) مورد دیگری که PAP را به ساده ترین پروتکل احراز هویت تبدیل کرده است این موضوع می باشد که Password ها تنها در شروع ارتباط رد و بدل و بررسی می شوند و بعد از آن Session بدون نیاز به بررسی دوباره کلمه عبور باز خواهد ماند.

در تصویر زیر ۲ مرحله احراز هویت را در Password Authentication Protocol مشاهده می نمایید.

خوشبختانه امنیت PPP به استفاده از روش PAP برای احراز هویت محدود نمی شود. پروتکل CHAP متد به نسبت پیچیده تری است که از ۳-Way Handshake یا احراز هویت سه مرحله ای بهره می برد و کلمه عبور در آن به صورت HASH رد و بدل می گردد. CHAP یا Challenge Handshake Authentication Protocol از HASH با رمزنگاری MD5 استفاده می نماید. در ابتدا HASH به Node دیگر ارسال می شود و نود دیگر نیز یک HASH را در پاسخ ارسال می کند. اگر هر دو HASH یکسان باشند ارتباط پذیرفته می شود .

در تصویر زیر سه مرحله گفته شده را مشاهده می نمایید.

نحوه ی کانفیگ EIGRP برای IPv6 در اینترفیس های سریال روترهای سیسکو

Posted on دسامبر 11, 2021 by tilatel

EIGRP برای IPv6 بر روی اینترفیس راه اندازی می شود. بنابراین تمرکز اصلی بر روی نحوه پیاده سازی یا درواقع ساز و کار EIGRP بین اینترفیس های سریال در دو روتر متصل به هم می باشد. این نکته که EIGRP برای IPv6 نیاز به فعال سازی بر روی اینترفیس دارد به حدی اهمیت دارد ، که از آن به روش های مختلف و به دفعات سوال مطرح شده است.

سناریوی زیر را در نظر بگیرید :

در تصویر بالا ، آدرس های آی پی ورژن ۶ بر روی تمام روترها و کامپیوتر ها به صورت صحیح پیکربندی شده است. همچنین EIGRP برای IPv6 از قبل بر روی روتر R2 راه اندازی شده و Autonomous System آن برابر با ۱۰ است. قصد ما این است که این پروتکل را بر روی اینترفیس های روتر R1 نیز فعال کنیم. به این منظور و برای درک بهتر از شرایط سناریو ابتدا بخشی از خروجی دستور show ipv6 interface را بر روی روتر R2 به شما نمایش می دهیم :

مشاهده می کنید که آدرس Link-Local که با FE80 آغاز می شود و همچنین آدرس Global unicast address فعال هستند.( این آی پی ها بر روی اینترفیس گیگابیت نیز به همین منوال فعال هستند )

حال بخشی از خروجی این دستور را در روتر R1 مشاهده کنید : ( با نمایش این آدرس ها به دنبال بیان نکته مهمی درباره رفتار EIGRP برای IPv6 هستم که در ادامه ذکر خواهد شد )

جهت پیکربندی EIGRP وارد وضعیت Global Configuration شوید :

در وضعیت Global Configuration روتر با دستور ipv6 router eigrp 10 به روتر اعلام می کنیدکه قصد پیکربندی اینترفیس ها برای عضویت در Autonomous Number 10 پروتکل EIGRP را دارید. سپس به ترتیب وارد محیط پیکربندی اینترفیس های مورد نظرتان شده و با کامند ipv6 eigrp 10 این پروتکل مسیریابی را برای اینترفیس ها فعال کنید.

اما نکته مهم این است که بر اساس خروجی دستور show ipv6 interface اینترفیس های سریال متصل به هم دارای آی پی در یک ساب نت مشترک نیستند ! از این رو ، آیا انتظار می رود که در حال حاضر همسایگی EIGRP شکل گرفته باشد یا چنین چیزی امکان پذیر نیست؟! برای پاسخ به این سوال خروجی دستور show ipv6 eigrp neighbors را در ادامه بررسی کنید :

علی رغم اینکه آدرس های آی پی در یک ساب نت نبودند ، اما همسایگی شکل گرفته است. این یکی از تفاوت های اصلی EIGRP با EIGRP for IPv6 است. دلیل چنین عملکردی نیز استفاده از آدرس Link-Local برای ایجاد همسایگی به جای آدرس Global Unicast می باشد.

نحوه ی نصب ESXi 6.5

Posted on دسامبر 9, 2021دسامبر 9, 2021 by tilatel

در این مقاله قصد داریم طریقه نصب ESXi 6.5 را به صورت گام به گام به شما آموزش دهیم. با ما همراه باشید:

همانطور که می دانید تکنولوژی مجازی سازی که در اینجا منظور تکنولوژی server virtualization است این امکان را مهیا میکند که بر روی یک سیستم فیزیکی (معمولاً سرور ) ، تعداد زیادی سیستم عامل را در قالب ماشین مجازی راه اندازی نماییم که این ماشین های مجازی را میتوان همزمان اجرا و استفاده نمود. بدین ترتیب تکنولوژی مجازی سازی باعث استفاده بهینه از منابع سخت افزاری سرور میشود.

ESXi 6.5 یکی از بهترین سیستم عامل هایی است که توسط Hypervisor موجود در خود ، امکان راه اندازی تکنولوژی مجازی سازی را در اختیار شما قرار میدهد.

ESXi را بنا به نیاز خود میتوانید در PC و یا Server و یا درون یک ماشین مجازی نصب نمایید.

در شبکه و در محیط های کاری مسلماً می بایست آنرا بر روی سرورهای فیزیکی نصب نماییم ، اما در محیط های آزمایشی و لابراتوار خود میتوانیم آنرا در PC و یا درون ماشین مجازی نیز نصب نماییم.

برای نصب ESXi 6.5 در سیستم خود ( PC و یا سرور و یا ماشین مجازی ) به source سیستم عامل ESXi نیاز داریم که این سورس در قالب یک فایل iso. میباشد و میتوانید آنرا از سایت های مختلفی دانلود نمایید.

نام این فایل در سیستم ما VMware-VMvisor-Installer-6.5.update01.iso میباشد .البته این فایل را ممکن است با نامی مشابه این نام نیز مشاهده نمایید :

VMware vSphere_Hypervisor (ESXi) 6.5.0 U1.iso

اگر قصد دارید ESXi را در یک سیستم فیزیکی ( PC و یا Server ) نصب کنید ، می بایست این فایل iso. را در یک DVD رایت نموده و در DVD-ROM سیستم خود قرار دهید. همچنین میتوانید توسط نرم افزاری همانند Rufus ، توسط فایل iso یک فلش bootable حاوی سیستم عامل ESXi ایجاد نموده و توسط این فلش USB سیستم را بوت نمایید.

اما اگر قصد دارید ESXi را برای مقاصد آزمایشی و در محیط تست و لابراتوار خود درون یک ماشین مجازی نصب نمایید ، مستقیما فایل iso. سیستم عامل ESXi را به عنوان DVD-ROM مجازی با ماشین مجازی خود معرفی خواهیم نمود.این فایل Bootable می باشد.ما در این مقاله آموزش نصب ESXi 6.5 ، آنرا را در قالب یک ماشین مجازی درون نرم افزار VMware Workstation 14 نصب و راه اندازی خواهیم نمود.

نکته: برای اینکه بتوانیم ESXi را به عنوان یک ماشین مجازی در VMware Workstation نصب کنیم حتما باید سخت افزار سیستم ما VTX را ساپورت نماید و سیستم عامل ما نیز ۶۴ بیتی باشد.

مراحل کار :

ابتدا نرم افزار VMware Workstation که در حال حاضر آخرین نسخه آن ۱۴ است را دانلود و نصب نمایید.نرم افزار را باز نموده و بر روی گزینه create a virtual machine کلیک نمایید

طبق شکل زیر گزینه custom را انتخاب کنید :

طبق شکل زیر گزینه workstation 14.x را انتخاب کنید :

در این صفحه فایل iso. را انتخاب می نماییم :

در این صفحه نام ماشین مجازی خود و محل قرارگیری فایل فولدرهای آنرا تعیین می نماییم. ما نام و محل را به صورت شکل زیر در نظر میگیریم :

در این مرحله تعداد processor ها و تعداد core ی که از هر processor به این ماشین مجازی تخصیص خواهد داد را انتخاب مینمایم.

انتخاب این موارد بسته به processor سیستم فیزیکی شما متفاوت است ، ما حالت پیش فرض را انتخاب می نماییم :

در این مرحله مقدار Memory که در نظر داریم از سیستم فیزیکی به این ماشین مجازی اختصاص یابد را تعیین می نماییم :

در این مرحله گزینه use host-only networking را انتخاب می کنیم :

برای مشاهده توضیحات کامل گزینه های موجود صفحه فوق به مجموعه ویدیویی آموزش نصب esxi ( ورژن 6.7 u1 ) مراجه نمایید.

در دو صفحه بعد به ترتیب گزینه های paravirtualized SCSI و SCSI را انتخاب می کنیم :

در این مرحله گزینه create a new virtual disk را انتخاب می کنیم :

اینجا بهتر هست حتما دکمه browse را بزنیم و محل فولدر خود ماشین مجازی را انتخاب کنیم :

در این مرحله بسته به نیاز خود و تعداد ماشین های مجازی که میخواهیم در این سرور ESXi ایجاد کنیم انتخاب می کنیم :

در این مرحله من بر روی customize hardware کلیک کرده و USB را حذف میکنم :

در مرحله آخر بر روی Finish کلیک میکنیم تا فرایند ایجاد این ماشین مجازی آغاز شود.

در این مرحله گزینه اول یعنی standard installer را انتخاب مینماییم :

فرایند نصب سیستم عامل ESXi 6.5 همانند فرایند نصب ESXi 6.0 می باشد.

در این صفحه سیستم بیان میکند که ESXi بر روی هر سخت افزاری قابل نصب نمی باشد و هر سخت افزاری را پشتیبانی نمیکند. به عنوان مثال برخی از برندهای کارت شبکه را پشتیبانی نمیکند و در صورت بروز چنین مطلبی ، قادر به استفاده از کارت شبکه سیستم خود نخواهید بود.

در لینک نشان داده شده لیست HCL یا Hardware Compatibility List وجود دارد که لیست سخت افزارهایی که ESXi از آنها پشتیبانی میکند وجود دارد.

در این صفحه دکمه F11 را میزنیم تا با EULA موافقت نماییم :

در این مرحله هارد دیسک سیستم ( در اینجا در واقع هارد ماشین مجازی ) که قرار است سیستم عامل ESXi بر روی آن نصب شود نمایش داده میشود.

در این مرحله انتخاب میکنیم که ESXi بر روی کدامیک از Storage های متصل به سیستم نصب شود. به صورت پیش فرض Storage از نوع DAS میباشد.

در این مرحله keyboard layout پیش فرض US را قبول می نماییم :

در این مرحله یک پسورد دلخوه بر روی ادمین ESXi که نام آن Root می باشد تعیین می نماییم. این پسورد می بایست حداقل ۷ کاراکتر داشته باشد.

در این مرحله سیستم به ما پیام میدهد که دکمه F11 را بزنید تا فرایند نصب شروع شود. توجه داشته باشید که سیستم پیام میدهد که هارد دیسک این ماشین مجازی فرمت و repartition خواهد شد و اگر اطلاعاتی در آن وجود دارد به کلی حذف خواهند شد. از آنجایی که این ماشین مجازی را به همین منظور ایجاد نموده ایم و دورن هارد دیسک آن اطلاعاتی وجود ندارد ، نگرانی وجود ندارد.

صبر میکنیم تا فرایند نصب سیستم عامل ESXi به اتمام برسد :

دکمه Enter را میزنیم تا سیستم reboot شود :

بعد از reboot شدن سیستم ،صفحه کنسول مدیریتی ESXi که DCUI نامیده میشود نمایش داده میشود.

در این محیط میتوان تنظیمات اولیه سرور ESXi از قبیل تنظیمات IP Address را انجام داد.

آشنایی با کاربرد Logon Script و Logon script در فایروال کریو کنترل

Posted on دسامبر 8, 2021مارس 27, 2022 by tilatel

در این مقاله قصد داریم کاربرد Logon Script و Logon script را در مباحث مرتبط با فایروال کریو کنترل آموزش دهیم.با ما همراه باشید:
در مباحث مربوط به کانفیگ کریو کنترل در شبکه، در سناریوهایی می توان بر اساس نیاز دو نوع اسکریپت به نام های Logoff script و Logon Script ایجاد و استفاده نمود.البته ایجاد و استفاده از این دو اسکریپت در شبکه به هیچ عنوان الزامی نمی باشد.

1) Logoff Script

در خصوص ارتباطات شبکه با اینترنت توسط کریو کنترل، یک سناریو ساده روزمره را در یک شرکت یا سازمان نظر بگیرید :
کاربری با نام User1 پشت یک سیستم قرار می گیرد و از پشت آن کامپیوتر وارد اینترنت می شود.
در نتیجه در کنسول کریو کنترل، در بخش Active Hosts مشابه تصویر زیر مشاهده می شود که کاربری با نام User1 از پشت کامپیوتری با نام PC1 ( و یا ip آن سیستم مثلاً 172.20.1.11 ) به اینترنت متصل شده است.

کاربرد Logon Script و Logoff Script در کریو کنترل

حال فرض کنید که پس از گذشت چند دقیقه، کاربر User1 کارش با سیستم و اینترنت تمام شده و از سیستم خود Log off می نماید و یا سیستم خود را خاموش می نماید.
مشکلی که در این مرحله وجود دارد این است که هنگام Log off نمودن کاربر از ویندوز، به صورت پیشفرض در محیط تنظیمات کریو کنترل هیچ اتفاقی رخ نمی دهد و و اصولا Log off نمودن کاربر از ویندوز، ارتباطی هم با کریو کنترل ندارد. لذا طبیعتاً به صورت پیشفرض کریو متوجه نمی شود که این کاربر ازویندوز Log off نموده است و ارتباط خود را با اینترنت قطع نموده است،
بنابراین در کنسول کریو در همان بخش Active Hosts همچنان مشاهده می شود که در سیستم PC1 ، کاربری به نام User1 همچنان به اینترنت متصل است!

حال یکی دیگر از کارمندان سازمان با نام User2 می آید و پشت همان سیستم قرار می گیرد و مرورگر را باز می نماید تا به اینترنت متصل شود، در این حالت کریو از این کاربر اطلاعات لاگین به کریو (Username & password اینترنت) درخواست نمی کند و لذا این کاربر جدید با استفاده از همان کانکشن کاربر قبلی و با اکانت همان کاربر قبلی به استفاده از اینترنت می پردازد !

ایراد این مطلب این است که تمام فعالیت هایی که این کاربر جدید (User2) انجام می دهد (تمام سایت هایی که باز میکند، کانکشن هایی که به محل های مختلف میزند و… ) همچنان به نام کاربر قبلی ثبت می شود! همچنین از حجم و سهمیه (Quota) اینترنت کاربر قبلی استفاده و مصرف می شود که همه اینها مشکلاتی را برای کاربر قبلی (User1) ایجاد خواهد نمود.

برای رفع این مشکل می توانیم اسکریپت خاصی به نام Logoff Script ایجاد و در محلی صحیح در Group Policy دامین قرار دهیم و راه اندازی نمایم.

Logoff Script در واقع یک اسکریپت یا batch file است که باعث می شود هنگامی که هر کاربر دامین، کارش با سیستم و با اینترنت تمام شده و از سیستم خود Logoff می نمایند، از داخل کریو کنترل نیز Logoff شود و کانکشن او با کریو قطع شود. لذا هنگامی که کاربر بعدی پشت همان کامپیوتر قرار می گیرد و می خواهد به اینترنت متصل شود، کریو اطلاعات لاگین و دسترسی به اینترنت را به صورت جداگانه از این کاربر جدید درخواست می نماید و وی می بایست اطلاعات ورود مجزای مربوط به خود را وارد نموده و جداگانه توسط کریو کنترل احراز هویت شود (بسیار عالی ! )
همچنین از این به بعد تمام فعالیت های اینترنتی که این کاربر جدید انجام می دهد، در لاگ ها و گزارشات به نام همین کاربر جدید ثبت می شوند و بدین شکل مسولیتی متوجه کاربر قبلی نخواهد بود و مشکل فوق رفع می شود.

با توجه به اینکه Logoff script مزایای مهم فوق را به همراه دارد و راه اندازی آن ایراد خاصی نیز ندارد پیشنهاد می کنیم این اسکریپت را به روشی که در زیر خواهید دید بر روی همه کاربران دامین اعمال نمایید.

نحوه ایجاد و استفاده از Logoff Script

در یک سیستم که تمامی کاربران شبکه از طریق شبکه با آن ارتباط داشته باشند ( مثلاً در file server و یا در خود دامین کنترلر ) ترجیحاً در ریشه یکی از درایوها یک فولدر ایجاد نموده و آنرا Share نمایید. ما جهت پیشگیری از پیچیدگی های غیر ضروری، در خود دامین کنترلر در ریشه درایو C فولدری با نام KerioScripts را ایجاد و share می نماییم و درون این فولدر دو عدد فایل text ایجاد نموده و طبق تصویر زیر اسم و پسوند آنها را Logoff.bat و Logoff.vbs تغییر می دهیم :

طبق تصاویر زیر داخل هر یک از این دو فایل کدهای زیر را وارد می نماییم ( توجه داشته باشید که شما در شبکه خود می بایست آدرس ip اینترفیس LAN کریو خود و همچنین آدرس ip دامین کنترلر شبکه خود را وارد نمایید ) :

آشنایی با کاربرد Logon Script و Logon script در فایروال کریو کنترل

همانطور که در تصویر زیر مشاهده می نمایید در ساختار شبکه تست ما، کاربر User1 و User2 درون OU به نام Staff (کارمندان) قرار دارند :

اما با توجه به اینکه راه اندازی Logoff Script مفید می باشد، پیشنهاد می کنیم آنرا در Policy که بر روی کل کاربران شبکه اعمال میشود تعریف نمایید، لذا تصمیم داریم این Policy را بر روی OU با نام All-People که حاوی اکانت تمام کاربران موجود در دامین (کارمندان معمولی ، مدیران، ادمین ها ، … ) است اعمال نماییم. لذا در کنسول Group Policy Management به مسیر زیر می رویم :

مطابق تصویر زیر در سربرگ Scripts ، دکمه Add را میزنیم و در کادر باز شده ، آدرس دقیق فایل Logoff.bat را با فرمت UNC path وارد می نماییم ( شما می بایست به جای srv-2019 اسم و یا آدرس ip سیستمی که فولدر مربوطه را درون آن Share نموده اید وارد نمایید ) :

نتیجه :

حال هنگامی که هر یک از کاربران دامین از سیستم خود Logoff می کنند، اسکریپت فوق (فایل Logoff.bat ) اجرا شده و طبق کد درون آن فایل Logoff.vbs و کدهای درون آن اجرا می شوند و باعث میشوند کاربر از کریو کنترل نیز Logoout شود.

2) Logon Script

قبل از اینکه به معرفی Logon Script بپردازیم ذکر این نکته الزامی است که Logon Script بر خلاف Logoff Script کاربرد چندانی ندارد و اصولاً استفاده از آن به دلایل امنیتی که توضیح خواهیم داد توصیه نمی شود.

Logon Script نوعی اسکریپت یا bath file است که توسط آن میتوان تنظیم نمود تا زمانی که کاربران در پشت سیستم خود به دامین لاگین می کنند، به صورت اتوماتیک و در پس زمینه، نام کاربری و پسورد آنها به کریو کنترل نیز ارسال شود و در نتیجه به کریو نیز لاگین شوند و دسترسی اینترنت آنها از همان لحظه برقرار گردد. این کار با استفاده از مکانیسم NTLM Authentication صورت می پذیرد.

سناریو :

فرض کنید در شبکه ای از ما درخواست می شود که برای برخی از کاربران (مثلاً مدیران ) تنظیمی انجام دهیم تا هنگامی که آن ها به سیستم خود لاگین می نماید، اطلاعات کاربری شان (Username & password) در پس زمینه و بدون دخالت کاربر به صورت اتوماتیک به کریو کنترل ارسال شود و آن کاربر به صورت اتوماتیک در کریو کنترل نیز احراز هویت شود و به این ترتیب کاربر از همان ابتدای ورود به ویندوز، به کریو کنترل هم لاگین نموده است. لذا هنگامی که این کاربر مروروگر خود را باز می نماید تا به اینترنت متصل شود، کریو کنترل هیچ پیام و درخواستی مبنی بر درج username و password به او نمایش نمی دهد و کاربر به راحتی و به صورت پیشفرض به اینترنت متصل می باشد.

بنابراین کاربرد اصلی این نوع اسکریپت را می توان برای کاربرانی محسوب کرد که نیاز دارند به محض لاگین به سیستم، به صورت اتوماتیک به اینترنت نیز متصل شوند و نیاز به وارد کردن مجدد اطلاعات ورود به اینترنت نداشته باشند.

نحوه ایجاد و استفاده از Logon Script

همانند سناریو قبل درون همان فولدر KerioScripts دو عدد فایل text دیگر ایجاد نموده و طبق تصویر زیر اسم و پسوند آنها اینبار را Logoon.bat و Logon.vbs تغییر می دهیم :

طبق تصاویر زیر داخل هر یک از این دو فایل کدهای زیر را وارد می نماییم ( توجه داشته باشید که شما در شبکه خود می بایست در فایل Logon.bat آدرس ip دامین کنترلر شبکه خود را وارد نمایید ) :

توضیح : کدهای اسکریپت فوق باعث می شوند که هر بار که این کابران در پشت سیستم لاگین می کنند، مرورگر پیشفرض سیستم کاربر در بک گراند یک کانکشن http به وب سایت دلخواهی که شما URL آنرا در این فایل درج نموده اید ایجاد کند و در در نتیجه کریو username و password درخواست نماید و با تنظیماتی که در ادامه مقاله خواهید دید تنطیمی می کنیم که username و passwordی که کاربر با آن لاگین نموده است به طور اتوماتیک در بک گراند به کریو ارسال شود و کاربر در پس زمینه Authenticate شده و به اینترنت متصل شود !

به این دلیل که می خواهیم این Policy فقط بر روی افراد خاصی (مثلاً مدیران ) اعمال شود، آنرا در GPO که بر روی OU مدیران اعمال می شود تعریف می نماییم :

این بار به قسمت Logon می رویم :

سپس طبق تصویر زیر در سربرگ Scripts دکمه Add را میزنیم و در کادر باز شده ، آدرس دقیق فایل Logon.bat را با فرمت UNC path وارد می نماییم ( شما می بایست به جای srv-2019 اسم و یا آدرس ip سیستمی که فولدر مربوطه را درون آن Share نموده اید وارد نمایید ) :

توجه : انجام دو مرحله اضافه دیگر نیز الزامی است

جهت راه اندازی Logon Script دو مرحله تنظیمات دیگر را نیاز می بایست به شرح زیر و در محل های دیگری انجام دهید، در غیر اینصورت Logon Script شما تاثیری نخواهد داشت.

1) انجام تنظیمات internet Explorer در GPO که بر روی کامپیوترهای مدیران اعمال می شود :

به این منظور در کنسول Group Policy Management به GPO-Managers-Computers را باز و ویرایش می نماییم :

به مسیر دقیق زیر مراجعه می نماییم :

Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer >
Internet Control Panel > Security Page > Internet Zone

بر روی گزینه Logon options دو بار کلیک نموده و گزینه Automatic Logon using current username and password را انتخاب می نماییم.

2) غیرفعال کردن Force SSL Secured Connection در تنظیمات کریو کنترل

در صفحه وب کریو کنترل نیز مطابق تصویر زیر در بخش Advanced Options، گزینه Force SSL secured connection (recommended) را غیرفعال نمایید:

توجه : غیرفعال کردن این گزینه باعث می شود که مرورگر این کاربران هنگام متصل شدن به کریو کنترل، هشدار website’s security certificate contains invalid information را نادیده بگیرد و در وافع مکانیسم NTLM Authentication حتی در شرایطی که سرتیفیکیت کریو برای سیستم کاربر شناخته شده و trusted نباشد ( به عنوانمثال سرتیفیکیت های Self-Signed ) انجام شود.

ضمناً نقطعه ضعف امنیتی دیگری که در این حالت وجود دارد این است که نام کاربری و پسورد کاربران به صورت plain-text و رمز نشده به کریو کنترل ارسال می شود . باید اطمینان داشته باشیم که در شبکه مان میان کاربران و کریو کنترل، ارتباط ایمن و کنترل شده باشد.

آشنایی با guest network و نحوه ی کانفیگ آن در Kerio Control

Posted on دسامبر 4, 2021 by tilatel

در این مقاله قصد داریم تا شما را با یکی دیگر از امکانات کریو به نام guest network آشنا کنیم با ما همراه باشید:

guest network یکی دیگر از امکانات Kerio Control برای مهمان هایی است که وارد شبکه شما شده اند ، کریو یک امکان امنیتی برای آن ایجاد می کند :

مهمانان می تواند به شبکه شما متصل شده و کریو کنترل از آنها هیچ گونه نام کاربری و پسوردی تقاضا نکند

در زمان اتصال یک صفحه خوش امد گویی برای کاربر مهمان باز می شود
شما می توانید یک پسورد اشتراکی برای کلیه مهمانان در شبکه کریو کنترل داشته باشید .
مهمانان بعد از اتصال و عبور از صفحه خوش امد گویی ۲ ساعت بعد غیر فعال خواهند شد.

قبل از هرکاری باید یک کارت شبکه به Kerio Control اضافه کنید و آن را در قسمت Guest interface قرار دهید.

حالا برای کلاینت هایی که با این اینترفیس در ارتباط هستند، یا بصورت دستی باید IP Address تنظیم کنید و در قسمت Gateway آدرس همین کارت شبکه Guest را وارد کنید و یا اینکه در DHCP Server کریو کنترل، برای آنها Scope مشخص کنید.

شخصی سازی صفحه وب

تا اینجای کار توانستید کاربران مورد نظر را به Guest interface متصل کنید و از اینترنت استفاده کنید.
اما اگر بخواهیدپپش صفحه ورود را کمی شخصی سازی کنید و یا حتی پسورد قرار دهید تا هرکسی نتواند از اینترنت استفاده کند وارد قسمت Domain and user Login شوید. و بر روی تب Guest interface کلیک کنید.
در کادر اول اگر بخواهید می توانید متن های را فارسی کنید و اگر تسلط به HTML, CSS داشته باشید صفحه را کامل شخصی سازی کنید.
با فعال کردن تیک گزینه Require users to enter password و وارد کردن پسورد در کادر هرکسی بخواهد از اینترنت استفاده کند باید این پسورد را ابتدا وارد کند تا حق استفاده از اینترنت را داشته باشد.

در Traffic rules دو Rule شامل Guest interface استفاده می شود.

نحوه ی کانفیگ اولیه Kerio Control

Posted on دسامبر 1, 2021دسامبر 1, 2021 by tilatel

کانفیگ اولیه Kerio Control از اهمیت بالایی برخوردار است چرا که در تنظیمات مقدماتی کریو کنترل یکسری از پیکره بندی های ابتدایی را باید انجام دهیم تا بتوانیم فایروال را برای مقاصد خودمان کانفیگ کنیم.

کانفیگ اولیه Kerio Control

تنظیمات اولیه کریو کنترل شامل مواردی مثل تنظیمات شبکه و انتخاب مد اتصال لینک اینترنت و بستن آپدیت و بلاک کردن آدرس های DNS را در این آموزش بررسی خواهیم کرد.

اگر می خواهید آخرین نسخه کریو کنترل را دانلود کنید به لینک زیر مراجعه کنید :

دانلود کریو کنترل

آدرس ورود پیشفرض کریو کنترل پس از نصب به این شکل است :

https://10.10.10.1:4081/admin

این آدرس را در مرورگر وب وارد کنید و اینتر را بزنید تا صفحه زیر باز شود.

در این صفحه نام کاربری و رمز عبور را وارد کنید.

پس از ورود شما با پنجره Configuration Assistant مواجه می شوید.

با استفاده از این پنجره می توانید به راحتی اقدام به پیکربندی کریو کنترل کنید.

به همین منظور Configure internet connection and local network را انتخاب کنید.

برای شروع کانفیگ اولیه Kerio Control از شبکه استارت می زنیم.

1- تنظیمات شبکه

در پنجره Connectivity شما با سه انتخاب رو به رو خواهید شد.

Single Internet Link: در صورتی که شما یک خط اینترنت دارید و یا قصد دارید که طراحی لینک های اینترنت را خود به دست داشته باشید این گزینه را انتخاب کنید.

Two Internet Links With Load Balancing: در صورتی که دو لینک اینترنت دارید می توانید با انتخاب این گزینه تنظیم بار یا Load Balancing را بر روی این دو لینک فعال کنید.

Two Internet Links With Failover: در صورتی که شما دو لینک اینترنت دارید و قصد دارید تا در صورت خرابی یکی دیگر جایگزین شود این گزینه مناسب زیرساخت شما خواهد بود.

البته در اینجا با توجه به این که تنها یک کارت شبکه برای WAN اضافه کردیم تنها گزینه اول فعال است. Next را بزنید.

2- انتخاب مد اتصال لینک اینترنت در کانفیگ اولیه Kerio Control

در پنجره Single Internet Link شما باز هم با سه گزینه مواجه هستید.

گزینه های Automatic، Manual و PPPOE .

در صورت انتخاب Automatic از DHCP آدرس دریافت می شود.

در صورت انتخاب Manual که در اینجا ما آن را انتخاب خواهیم کرد خود باید آدرس تنظیم کنید و با انتخاب PPPOE باید با وارد کردن نام کاربری و رمز عبور PPPOE اقدام به دریافت IP کنید.

نکته : در صورتی که PPPOE را انتخاب می کنید متوجه باشید که مودم شما باید به حالت Bridge باشد.

ما Manual را انتخاب کرده و آدرس دهی می کنیم و Next را می زنیم.

نکته : برای جلوگیری از پریدن کرک در اینجا DNS را تنظیم نکنید.

در ادامه کانفیگ اولیه Kerio Control :

در پنجره Local Network هم آدرس شبکه داخلی را ملاحظه می کنید.

در صورتی که شبکه داخلی شما در رنج دیگری است می توانید در این قسمت اقدام به تغییر آن کنید.

البته در کنسول اصلی کریو نیز این تنظیمات قابل تغییر است.

نکته دیگری که باید در اینجا به آن اشاره کرد تیک فعال کردن DHCP است.

توجه به آن که بسیاری از سازمان ها در کنار اکتیو دایرکتوری DHCP Server هم دارند، بهتر است که این تیک را بردارید تا در آینده مشکل بوجود نیاید. Next را بزنید.

در این پنجره اطلاعات را چک کرده و در صورتی که مشکلی با تنظیمات ندارید Finish را بزنید.

3- بستن آپدیت کریو کنترل

نسخه ای که از آن استفاده می کنیم به صورت پیش فرض کرک شده و فعال می باشد.

به همین منظور برای این که با به روز رسانی کریو، کرک آن از بین نرود پس از انجام تنظیمات بالا اقدام به غیر فعال کردن به روز رسانی خودکار کنید.

به همین منظور وارد Advanced Options شده و تب Software Update را باز کنید.

تیک چک کردن آپدیت و همچنین دانلود و نصب خودکار را برداشته و Apply را بزنید.

4- بلاک کردن آدرس های DNS

به منظور پیشگیری از پریدن کرک کریو کنترل در صورتی که DNS Server برای آن تنظیم کردید می توانید اقدام به تغییر آدرس های خاصی در DNS Table کریو کنترل کرده تا مشکلی بوجود نیاید.

به همین منظور از قسمت DNS و Local DNS Lookup اقدام به انتخاب Edit کرده و اطلاعات زیر را وارد کنید.

127.0.0.1 gogs.dontexist.com

127.0.0.1 register.kerio.com

127.0.0.1 update.kerio.com

127.0.0.1 control-update.kerio.com

127.0.0.1 sophos-update.kerio.com

127.0.0.1 snort-update.kerio.com

در نهایت OK کرده و Apply را بزنید تا دیگر مشکلی پیش نیاید.

امیدواریم مقاله آموزش کانفیگ اولیه Kerio Control – تنظیمات مقدماتی کریو کنترل برای شما مفید بوده باشد.

داتیس نتورک را در شبکه های اجتماعی دنبال کنید.

نحوه ی بهبود امنیت Cisco Firewall

Posted on نوامبر 28, 2021 by tilatel

در این مقاله شما را با نحوه ی بهبود امنیت فایروال سیسکو (Cisco Firewall) آشنا می کنیم. با ما همراه باشید:

سری فایروال های 2100 شرکت سیسکو برای سازمان هایی که حجم بالایی از داده های حساس دارند طراحی شده است. شرکت سیسکو اخیرا خانواده فایروال های Cisco Firepower 2100 Next-Generation Firewall که کارایی و امنیت بالایی دارند را معرفی کرد. در این سری از فایروال ها سعی شده تا یک تعادل نسبی میان عملکرد (Performance) و میزان حفاظت (Protection) ایجاد شود.

همچنین این خانواده از فایروال ها می توانند Throughput را به میزان 200% بیشتر نسبت به فایروال های پیشین ارائه دهند که این مزیت آنها را به گزینه ی مناسب برای قرار دادن میان Internet Edge و دیتاسنتر سازمان تبدیل می کند. همچنین سیسکو از نسخه های جدید ابزارهای مدیریتی با کاربری آسان مربوط به فایروال از جمله Cisco Firepower Device Manager، Cisco Firepower Management Center و Cisco Defense Orchestrator خبر داده است.

امروزه سازمان ها به سمت الگو های تجاری دیجیتال در حال حرکت هستند، و لذت راهکار های امنیت سایبری می بایست متناسب با نیاز سازمان ها و بدون تاثیر گذاری منفی بر روی عملکرد شبکه و برنامه های کاربردی باشند. این در حالیست که تاکنون اغلب فایروال ها Throughput شبکه را تا 50% کاهش می دهند. شایان ذکر است برای مواردی همچون بانکداری الکترونیک و تجارت الکترونیک که در آنها سازمان نیاز به کارایی و امنیت بالای شبکه دارد، فایروال های Cisco Firepower 2100 NGFW می توانند گزینه مناسبی تلقی شوند.

فایروال های جدید سری 2100 به سازمان ها این امکان را می دهند تا بدون نگرانی الگو های تجاری دیجیتالی نوین را دنبال کنند. این فایروال های جدید سیسکو (Cisco) می توانند تا 200% میزان Throughput بیشتری (حتی در زمانیکه Inspection در حالت On قرار دارد) نسبت به محصولات مشابه رقبا ارائه دهند. تمامی فایروال های سری 2100 دارای Port Density برابر با 10GbE Connectivity و ابعاد جمع و جور 1RU می باشند.

سیسکو برای ساده سازی مدیریت فایروال ها از راهکار های زیر استفاده خواهد کرد:

Firepower Device Manager: ابزاری با محیط کاربری تحت وب که به کمک Set-Up Wizard خود می تواند دستگاه های NGFW را در عرض چند دقیقه پیکر بندی کند.
Firepower Management Center: ابزاری ساده برای مدیریت چندین Appliance بصورت همزمان.
Cloud Defense Orchestrator: این ابزار برای مدیریت Policy های امنیتی مختلف تحت بستر Cloud طراحی شده است. در حال حاضر CDO به خوبی از Web Security Appliance v.11 پشتیبانی می کند.

آشنایی با دستورهای ضروری جهت بالابردن امنیت تجهیزات سیسکو

Posted on نوامبر 28, 2021مارس 26, 2022 by tilatel

در این مقاله سعی شده تا شما با دستورهای ضروری جهت بالابردن امنیت تجهیزات سیسکو (Cisco) آشنا باشید با ما همراه باشید:

امنیت تجهیزات شبکه اهمیت بسیار بالایی دارد و باعث می شود که شبکه پایدارتری داشته باشید. در اینجا 10 دستور ضروری برای بالابردن امنیت تجهیزات شرکت سیسکو (Cisco) آماده ده است که به وسیله آن ها بتوانید امنیت شبکه خود را تامین کنید. این نکته را فراموش نکنید این دستورات درعین سادگی خیلی مهم هستند و عدم رعایت این موارد ممکن است باعث صدمات بسیار جدی به شبکه شما شود.

1- تعیین طول پسورد

با استفاده از دستور زیر شما می توانید طول پسوردهای ورودی در سیسکو را مدیریت کنید. این نکته لازم به ذکر است که سعی کنید حداقل از طول 8 کارکتر جهت بالا بردن امنیت تجهیزات خود استفاده نمایید.

(Router (config) #security passwords min-length 8 ( Minimum length of all user/enable passwords

طول پسورد را می توان از صفر تا 16 کاراکتر مشخص کرد.

2- استفاده از دستور Enable Secret

همانظور که می دانید یکی از دستوراتی که خیلی در پیکربندی تجهیزات سیسکو استفاده می شود دستور enable password است اما به علت مشکل امنیتی و عدم کد گذاری پسورد پیشنهاد می شود از دستور Enable Secret استفاده کنید.

Router (config) #enable secret cisco123

3- قراردادن پسورد درراه های دسترسی به تجهیزات

ما جهت دسترسی به تجهیزات سیسکو روش های مختلفی از قبیل vty , Comsole , aux … داریم که برای بالا بردن امنیت تجهیزات سیسکو خود می بایست پسورد مناسبی جهت دسترسی به آن ها قرار دهیم تا از دسترسی افراد سودجو به تجهیزات جلوگیری کنیم.

4- فعال سازی سرویس کدگذاری پسوردها

با استفاده از سرویس password encryption به صورت خودکار تمام رمزهای مشخص شده کد گذاری می شوند.

Router (config) #service password-encryption

5- غیرفعال کردن Password Recovery

همانطور که می دانید امکان Password Recovery در محیط Rommon در تجهیزات سیسکو وجود دارد که این قابلیت در محیط های که تجهیزات در محیط های امنی از لحاظ فیزیکی وجود ندارند می تواند بسیار خطرناک باشد زیرا هکر به راحتی می تواند با استفاده از این قابلیت به تجهیزات ما دسترسی پیدا کند. با استفاده از دستور زیر می توانید این قابلیت را غیر فعال کنید.

Router (config) # no Service Password Recovery

6- محدودیت در تعداد دفعات وارد کردن پسورد

یکی از روشهای هک استفاده از حملات کرکینگ است که در این روش هکر به صورت مکرر از یک دیکشنری جهت وارد کردن پسورد استفاده می کنند از این رو ما باید برای ورود پسوردها محدودیت ایجاد کنیم برای این امر از دستور زیر استفاده می کنیم.

Router (config) # Security authentication failure rate 5

با توجه به دستور بالا اگر 5 بار پسورد اشتباه زده شود 15 ثانیه وقفه در دادن پسورد ایجاد می شود.

7- محدودیت زمان کار نکردن کاربر با تجهیزات

Router (config) #line console 0 (Vty or Aux)

Router (config-line) #exec-timeout 2 (Min) 30 (Sec)

با توجه به دستور بالا در صورتی که کاربر 2 دقیقه 30 ثانیه کانفیگی انجام ندهد ارتباط قطع می شود و باید مجددا متصل شویم.

8- محدودیت تعداد دفعات لاگین اشتباه در یه بازده زمانی خاص

Router (config) #login block-for 30 attempts 5 within 10

در کد بالا اگر کاربری در 10 ثانیه 5 بار اشتباه پسورد را وارد کند به مدت 30 ثانیه بلاک می شود.
9- مخفی کردن فایل Boot

جهت بالابردن امنیت تجهیزات سیسکو ، فایل boot خود را با استفاده از دستور بالا می توانید مخفی کنید.

Router(config)#secure boot-image

10- ایجاد پشتیبان مخفی از کانفیگ تجهیزات

Router(config)#secure boot-config

آشنایی با مفهوم Hardening و کاربردهای آن

Posted on نوامبر 27, 2021مارس 26, 2022 by tilatel

در این مقاله قصد داریم تا شما را با مفهوم Hardening آشنا کنیم با ما همراه باشید:

کاربرد Hardening به مباحث امنیتی برای سیستم عامل بر می گردد و در حقیقت عملی برای قفل کردن و محدود کردن سیستم عامل و به طور کلی Hardening به فرایندی گفته می شود که سیستم عامل از لحاظ امنیتی در شرایط خوبی باشد. به عنوان مثال می توان به مواردی از جمله، اطمینان از اینکه سرویس های غیرقابل استفاده خاموش باشند، نرم افزارهای غیرقابل استفاده پاک شوند، پچ ها بروزرسانی شوند، حساب های کاربری از لحاظ امنیتی بررسی شوند و … اشاره کرد.

کار کردن با سرویس ها :

سرویس ها معمولا با بالا آمدن سیستم عامل کار خود را شروع می کنند و بطور کلی در پس زمینه فعالیت خود را بدون اینکه کاربر متوجه شود انجام می دهند. برخی از سرویس ها مهم و حیاتی می باشند. توجه داشته باشید که یک سرویس می تواند شامل یک Attack Vector بر علیه سیستم شما باشد ، پس از سرویس خود مطمئن شده و سرویسی را فعال نمایید که به آن نیاز دارید. یک بخش از Hardening سیستم عامل ، غیرفعال کردن سرویس های غیرضروری می باشد. بعنوان مثال برای نمایش سرویس ها در سیستم عامل ویندوز به مسیر زیر بروید :

Start >> Control Panel >> Administrative Tools >> Services

در این قسمت شما می توانید تمامی سرویس های موجود بر روی سیستم عامل خود را مشاهده نمایید. برخی از آنها فعال و برخی دیگر غیرفعال می باشند ، توجه داشته باشید ، سرویس هایی را که به آنها نیاز ندارید غیرفعال کنید. توجه داشته باشید که شما بعنوان یک مدیر شبکه باید بطور مرتب برخی از سرویس ها را همیشه بررسی نموده و وضعیت آنها را چک نمایید.

حفاظت از رابط های مدیریتی و برنامه های کاربردی :

قابلیت اجرای اینترفیس های مدیریتی در داخل یک سیستم عامل ، و برنامه های کاربردی مربوط به آنها ، اغلب برای یک کاربر استاندارد و یک کاربر مدیر متفاوت می باشد. شخصی که توانایی اجرای اینترفیس های مدیریتی را دارد و می تواند در پیکربندی آنها تغییر ایجاد کند و تنظیمات سیستم را تغییر دهد ، این مسائل می تواند عواقب گسترده ای را به سیستم تحمیل نماید.

بعنوان مثال ، کاربری که به ابزارهای مدیریتی دسترسی دارد، می تواند کاربران دیگر را حذف کند ، کلمه عبور را تغییر دهد و فایل های کلیدی را حذف کند.

برای حفاظت در برابر خطرات ، دسترسی به مدیران و اینترفیس های مدیریتی فقط باید محدود به مدیرانی که به آنها نیاز دارند شود. نه تنها اینکه شما باید از ابزارهای سرور محافظت کنید ، همچنین باید دسترسی کاربران را نیز از ابزارهایی مانند رجیستری نیز محدود نموده و حذف نمایید. یکی از بهترین ابزارها برای امکان جستجوی فعالیت غیرقانونی بر روی یک ایستگاه کاری توسط کاربر ، استفاده از Performance Monitor می باشد. بعنوان مثال استفاده بیش از حد از پردازنده موجب آسیب به سیستم می شود. موضوع مهم دیگر استفاده از کلمه عبور به منظور حفاظت از وظایف مدیریتی و کنسولها بر روی یک ایستگاه کاری می باشد. زیرا کاربر فقط با انجام احراز هویت بتواند از سیستم استفاده کند و نیز لزومی ندارد که به تمامی وظایف مدیریتی دسترسی داشته باشد.

نرم افزار :

یکی دیگر از مسائل امنیتی که در حوزه Hardening باید رعیت شود ، پاک کردن نرم افزارهایی هست که به آنها نیازی نمی باشد. بطور مشخص ، می توان این اقدام را در خصوص کامپیوترهای تجاری انجام داد. شما می توانید بر روی یک کامپیوتر خانگی در صورت تمایل هر نرم افزاری را نصب کنید اما باید توجه داشته باشید که نصب نرم افزارهای غیر ضروری در محیط کار می تواند محلی برای حمله به شبکه و سیستم شما باشد.

نرم افزار غیر ضروری چیست؟ بعنوان مثال می توان اینگونه بیان کرد که ، چه لزومی دارد تا مایکروسافت آفیس را بر روی سرور خود نصب کنید ، و یا اینکه نصب یک نرم افزار حسابداری بر روی سرور دامین خود.

پچ ها :

یک پچ در واقع یک بروزرسانی برای سیستم شما می باشد ، گاهی اوقات پچ ها یک وظیفه جدید را به سیستم عامل اضافه می کنند. در حالت دیگر یک خطای امنیتی را بر روی نرم افزار اصلاح می کنند. در ویندوز شما می توانید از طریق مسیر زیر پچ های نصب شده را مشاهده کنید:

Control Panel >> System Security >> View Updates

باید توجه داشت که در محیط شبکه نصب پچ بر روی سرور و تمامی سیستم ها راه مناسبی نمی باشد. در ابتدا باید پچ را بر روی یک سیستم جدا و منفرد از شبکه نصب و مورد آزمایش قرار داد و مشاهده نمود که چه وظایف و خصوصیات جدیدی به سیستم اضافه می کند.

بهین ارتباط هوشمند

برچسب: فروش روتر ميکروتيک

تفکیک خطوط در گیتوی گرنداستریم

تفکیک تماس های ورودی

تفکیک تماس های خروجی

نحوه ی مدیریت زمان در Issabel قسمت اول

TIME GROUP در ایزابل

تعریف TIME GROUP در ایزابل

یک مثال کاربردی از محدوده زمانی در ایزابل

آشنایی با IPV6

و اما آی پی نسخه ۶

سایر ویژگی هایی که به طور خلاصه در زیر به آن اشاره شده است:

یک مثال :

معرفی پروتکل PPP

PPP یا Point to Point Protocol

PPP Authentication

نحوه ی کانفیگ EIGRP برای IPv6 در اینترفیس های سریال روترهای سیسکو

نحوه ی نصب ESXi 6.5

آشنایی با کاربرد Logon Script و Logon script در فایروال کریو کنترل

1) Logoff Script

نحوه ایجاد و استفاده از Logoff Script

2) Logon Script

سناریو :

نحوه ایجاد و استفاده از Logon Script

توجه : انجام دو مرحله اضافه دیگر نیز الزامی است

آشنایی با guest network و نحوه ی کانفیگ آن در Kerio Control

شخصی سازی صفحه وب

نحوه ی کانفیگ اولیه Kerio Control

کانفیگ اولیه Kerio Control

1- تنظیمات شبکه

2- انتخاب مد اتصال لینک اینترنت در کانفیگ اولیه Kerio Control

3- بستن آپدیت کریو کنترل

4- بلاک کردن آدرس های DNS

نحوه ی بهبود امنیت Cisco Firewall

آشنایی با دستورهای ضروری جهت بالابردن امنیت تجهیزات سیسکو

آشنایی با مفهوم Hardening و کاربردهای آن