این مقاله در سومین همایش هفته پژوهش دانشگاه پیام نور استان اصفهان که در تاریخ ۸۸/۹/۲۴ لغایت ۸۸/۱۰/۲ برگزار شد به صورت سخنرانی ارائه و در گروه برترین مقالات این همایش قرار گرفته است .این مقاله در مجموعه مقالات هفته پژوهش به چاپ خواهد رسید.

چکیده: پیشرفت شگفت انگیز امکانات مخابراتی ازیک سو باعث گسترش روشهای ارسال ودریافت اطلاعات گردیده واز سوی دیگر پیشگیری از سوء استفاده افراد فرصت طلب را اجتناب ناپذیر نموده است .در این مقاله ابتدا راجع به شبکه های بیسیم و سطوح مختلف امنیتی توضیحات لازم ارائه می گردد ، سپس مشکلی که حتی وجود آن از دید اکثر متخصصان شبکه هم پنهان مانده ، مطرح می شود و راه حل آن هم در ادامه پیشنهاد می گردد.

مقدمه:  شبکه ها از نظر بستر و سیستم انتقال به دو دسته با سیم و بیسیم تقسیم می شوند .با توجه به شرایط و ویژگیها ی خاص هر محیطی ،یکی از این دو روش استفاده می شودکه هریک مزایا و معایب مربوط به خود را دارد .شبکه های سیمی باعث ایجاد شبکه های امن تر ، پرسرعت تر و پایدار تری نسبت به شبکه های بیسیم می باشند. از لحاظ دیگر شبکه های بیسیم به علت راحتی در نصب و اجرا در شرایط محیطی خاص که کابل کشی به سهولت انجام نمی شود بهترین گزینه می باشد .همچنین نمی توان قابلیت Mobility آن را به علت پایین بودن امنیت نادیده گرفت .پس بهتر است با دانستن شرایط و موقعیت و اطلاع از موارد امنیتی آن که از مهمترین موضوعات قابل بحث در شبکه های بیسیم می باشد ،بهترین گزینه را برای بستر انتقالی انتخاب نماییم.

سطوح امنیتی در شبکه های بیسیم :

۱) سطح اول: جلوگیری از ورود غیر مجاز به شبکه

۱-۱)          کنترل محدوده پوشش و برد آنتن (Output Power): پیشگیری از دسترسی افراد غیر مجاز مستقر در خارج از محدوده فیزیکی مورد نظر به شبکه.

۱-۲)        ایجاد سطح امنیتی بر روی آدرس یکتای آنتن (Mac ID Filtering): این آدرس برای هرآنتن یکتا است پس می توانیم در آنتن مرکزی تعیین کنیم که چه کاربرانی میتوانند به آن متصل شوند بدین وسیله می توانیم از ورود افراد ناخواسته جلوگیری کنیم.

۱-۳)        تنظیم آنتن فرستنده (Access Point) :استفاده از الگوریتم های رمز نگاری و کلید ها بین گیرنده و فرستنده جهت ارسال و دریافت کلیه پکت های اطلاعات                (Data Encryption WEP,WPAv2,…)

۱-۴)        عدم تنظیم آدرس دهی اتوماتیک (DHCP) در شبکه : با این کار شناسائی رنج IP  های شبکه از طریق آدرس دهی اتوماتیک (DHCP) مشکل می گردد .

۱-۵)          غیر فعال کردن انتشار نام آنتن فرستنده در محیط (Disable SSID Broadcast)

2) سطح دوم : پس از ورود به شبکه

گام بعدی در سطوح امنیتی یک شبکه ،امنیت پس از ورود است .اینکه کاربر پس از اتصال به شبکه فقط بتواند به اطلاعات مورد نیاز خود دسترسی داشته باشد نه به اطلاعات کاربران دیگردر همان شبکه . جالب اینجاست که بسیاری تصور می کنند که امنیت فقط به معنای جلوگیری از ورود به شبکه می باشد ولی موضوع اصلی و مشکل اصلی قابل بحث در امنیت پس از ورود به شبکه هم می باشد.

موضوع اصلی این مقاله طرح و بررسی این مهم است و سپس پیشنهاد راهکار مناسب برای رفع این مشکل می باشد.

فرض کنید دو ایستگاه گیرنده (Access Point Station)  قصد دارند جهت اتصال به اینترنت (یا هر منبع دیگری) به شبکه متصل گردند.

این دو کاربر از لحاظ سطح امنیتی ۱ (سطوح توضیح داده شده) با اجازه کامل مدیر شبکه وارد شبکه می شوند و هر دو می بایست در آنتن فرستنده تعریف شوند تا بتوانند از منابعی که فرستنده در اختیار دارد استفاده نمایند (مثل اینترنت).

اولین مرحله امنیتی (از نظر این مقاله) به خوبی پیاده سازی شده است و از ورود افراد متفرقه به شبکه جلوگیری می کند.

مرحله بعدی و موضوع جالب این است که پس از اتصال این دو کاربر به شبکه برروی یک آنتن فرستنده ،هر دو به راحتی و بدون اجازه مدیر شبکه میتوانند با استفاده از بستر ارتباطی فعلی به منابع همدیگر دسترسی داشته باشند !!!

موضوع با یک مثال واضح تر بررسی می شود:

در همان شبکه بالا تصور کنید مدیر شبکه بخواهد این دو کاربر پس از اتصال به آنتن اصلی هر کدام به اندازه ۵۱۲ کیلو بیت از اینترنت استفاده نمایند یعنی هر کدام در بهترین حالت میتوانند از ۵۱۲ کیلو بیت از این بستر ارتباطی بیسیم استفاده نمایند .مدیرشبکه میتواند بااستفاده از ابزار های کنترلی و برنامه های کنترل پهنای باند روی روتر ،میزان دسترسی به اینترنت را محدود سازد .ولی جالب اینکه اگر PC-1-1 بخواهد از طریق آنتن خود (APS-1) با PC-2-1 با آنتن (APS-2) جهت استفاده از منابع یکدیگر ارتباط برقرار کند با سرعت بیش از ۵۱۲ کیلو بیت و حتی بیشتر از آن می توانند در این شبکه فعالیت کنند .جالب اینجاست که نه باسرعت ۵۱۲ کیلو بیت بلکه با نهایت سرعت آنتن فرستنده (Capacity) شروع به ارسال و دریافت و استفاده از منابع یکدیگر به دور از چشم مدیر شبکه و برنامه های کنترل شبکه (Network Monitoring) می کنند و دیگر پهنای باند در نظر گرفته شده در شبکه به دلیل داخلی بودن (عدم عبور پکت در داخل روتر) نادیده گرفته می شود و این یکی از بزرگترین معزل هایی می باشد که می تواند در شبکه اختلال ایجاد کند .

دو کاربر می توانند با استفاده از نهایت پهنای باند این بستر ارتباطی ، فعالیت نمایند و حتی میتوانند بستر بوجود آمده از آنتن فرستنده را با استفاده از برنامه های مخرب همانند WAN Killer ها به راحتی مورد هجوم قرار دهند و بدیهی است که اینگونه برنامه های مخرب بر روی دیگر کاربران که از آن آنتن فرستنده سرویس می گیرند اثر منفی می گذارد .مثلا احتمال به تعلیق در آمدن و از کار افتادن آنتن اصلی می باشد که فعالیت دیگرکاربران راهم تا زمان Reset نشدن آنتن مختل می کند .

این مشکل زمانی حساس تر می شود که برای مثال یک سیستم حاوی اطلاعات بسیار مهم و محرمانه یک سازمان روی آنتن گیرنده APS-1 قرار داشته باشد و برروی آنتن گیرنده APS-2 کاربران عادی که هرگز نباید به آن اطلاعات مهم دسترسی داشته باشند جهت برقراری ارتباط با اینترنت متصل شده اند. موضوع به این صورت است که قرار است هر دو کاربر به شبکه اینترنت متصل گردند ولی آنها به منابع یکدیگر و سیستم های یکدیگر دسترسی نداشته باشند .مثلا در این سناریو کاربر عادی نباید در سطح امنیتی (داخل یک LAN) کامپیوتر حاوی اطلاعات بسیار مهم و محرمانه باشد در حالیکه این کاربر در زمان وارد نمودن اطلاعات مهم باشد .

به بیان دیگر این موضوع دقیقا همانند زمانی است که شما و شخص دیگری در پوشش یک محدوده آنتن مخابراتی ارتباط سیار (BTS) قرار گرفته اید این مشکل زمانی به یک معزل تبدیل می شود که شما بتوانید بدون پرداخت هزینه (Billing) با هم ارتباط برقرار کنید .

پیشنهاد راه حل های این مشکل بزرگ

لازم است این بستر ارتباطی را با بستر ها و تکنولوژی های ارتباطی مورد ارزیابی قرار داده  سپس راه حل مناسب  ارائه شود.

شبکه های کابلی با سوئیچ لایه ۲ (Manageable Switch)

شبکه هایی که در انتهای اتصال به یک سوئیچ قابل برنامه ریزی منتهی می گردد( نه به هاب سوئیچ های لایه ۱ و غیر قابل برنامه ریزی)

اگر در یک شبکه از یک Switch قابل برنامه ریزی (Manageable) استفاده نماییم به راحتی میتوانیم اول با استفاده از MAC Table برای هر سیستم فقط یک پورت خاص اختصاص دهیم و سپس با استفاده از Bandwidth پهنای آن پورت را به راحتی کنترل کنیم که حتی باپورت های همسایه هم با بیش از این سرعت نتوانند ارتباط برقرار کنند . همچنین می توانیم در Switch با استفاده از تعریف (Virtual LAN) VLAN دسترسی پورت ها به همدیگر را هم کنترل و محدود نماییم .

تکنولوژی DSL مثلا شبکه ADSL شهری و دستگاه DSLAM

ابتدا در مورد ساختار ارتباطی شبکه ADSL را بررسی می کنیم و سپس این مشکل همسایگی را در آن بررسی می کنیم .

شبکه ADSL برروی دستگاهی بنا شده است که  (DSLAM (Digital subscriber line access multiplexer نامیده می شود . این دستگاه در انواع مختلفی تولید می شود و دارای قابلیت های گوناگونی می باشند ولی جهت درک بهتر برروی انواع ساده مشکل را بررسی می کنیم .

دستگاه DSLAM پس از قرار گیری در محل تجمع کابل های تلفن متقاضیان (مثلا مرکز مخابراتی) هر کابل تلفن به یک پورت این دستگاه متصل یا اصطلاحا رانژه می شود .

حال فرض کنید خط تلفن شما روی پورت ۱ و خط مشترک بعدی روی پورت ۲ باشد . تصور کنید پس از برقراری اتصال مشترک پورت ۲ به راحتی میتواند به اطلاعات Share شده و منابع روی سیستم پورت ۱ دسترسی داشته باشد .از این رو این دستگاه ها در دو مد اصلی طراحی و ساخته می شوند .

۱)      مد محدود (Restricted)

2)      مد نا محدود (Unrestricted)

تفاوت این دو در این است که در حالت اول تمامی پورت ها فقط و فقط می توانند با پورت اصلی Ethernet دستگاه DSLAM کار کنند و اینترنت بگیرد ولی در مد دوم تمامی پورت ها هم میتوانند به راحتی با یکدیگر تبادل اطلاعات نمایند و هم از پورت اصلی Ethernet  دستگاه سرویس بگیرند.

راه حل های پیشنهادی جهت جلوگیری اثر همسایگی در شبکه های بی سیم

طبق مقایسه های انجام شده به علت عدم وجود پورت خاص یا رابط مجزا (Interface) برای هر مشترک قادر به تصمیم گیری روی هر مشترک و کاربر نیستیم ولی می توانیم به راحتی از مشخصه های دیگر یک ارتباط بیسیم استفاده نماییم . (MAC Spoofing)

از مشخصه های یکتای یک ارتباط بیسیم که اساس و پایه ارتباط هم می باشد MAC Address آنتن گیرنده می باشد . بدین صورت می توانیم به راحتی با استفاده از این مشخصه که در کل دنیا برروی هر آنتن یکتا می باشد وهمچنین جلسه (Session) ایجاد شده برروی آنتن فرستنده تصمیماتی اتخاذ نماییم .بدین صورت که می توانیم برای هر کاربر با استفاده از شناسه های نام برده یک عدد رابط مجازی (Virtual Interface) ایجاد نماییم .در این صورت می توانیم کلیه محدودیت ها (Restricted) و مدیریت ها را برروی این اینترفیس اعم از پهنای باند و غیره اعمال نماییم.

دربافت مقاله به صورت PDF

منابع:

۱-      Institute of Electrical and Electronics Engineers (www.IEEE.org) -Digital Object Identifier 10.1109/IAW.2005.1495946

2-      Internet Engineering Task Force (www.ietf.org) -Mobile and Wireless Networks Security 2009

۱- سیستم Skyfiber چیست؟ یک نوع تکنولوژی بی‌سیم می‌باشد که جهت راه‌اندازی شبکه‌های بی‌سیم به کار برده می‌شود. سخت‌افزاراستفاده شده دراین تکنولوژی از پروتکل ۸۰۲٫۱۶ استفاده می‌کند. این تکنولوژی قابلیت ارائه سرویس‌های مختلف به صورت بی‌سیم و تا پهنای باند ۳۰Mbps را امکان‌پذیر می‌سازد. شایان ذکراست که Sky Fiber یک سیستم متفاوت و بهینه‌تر نسبت به Wimax است که علاوه بر دارا بودن تمامی ویژگی‌های Wimax مزایایی نسبت به این سیستم دارد که به تعدادی از آنها به اختصار می‌پردازیم :
- Latency کمتر نسبت به سیستم Wimax که کمتراز ۱۰ms است.
- Radio Coverage بیشتر نسبت به سیستم Wimax است.
- قابلیت هماهنگی با سیستم شبکه‌های GSM
- قابلیت E1 Transfer
- سابقه بالاتر از نظر اجرایی بالغ بر۴ سال

۲- سیستم Skyfiber چگونه کار می‌کند ؟ نحوه عملکرد Skyfiber بدین شکل است که در سطح شهر یک سری تجهیزات به نام Base station نصب می‌گردد و مودم‌های کاربران رویBase station ای که در محدوده تحت پوشش آن قرار دارد رجیستر شده و سرویس دهی می‌شوند.

۳- این سیستم چه محدودیت‌هایی دارد؟ هرسیستم بی‌سیم در زمینه ارائه سرویس دارای محدودیت‌هایی در فاصله می‌باشد. این تکنولوژی نیز مسافت سرویس دهی آن حداکثر ۱۵ کیلومتر می‌باشد. محدودیت دیگر این سرویس این است که مودم کاربر به صورت ثابت در محل نصب شده و بدون هماهنگی امکان جابجایی ندارد.

۴- مزایای این سیستم چیست؟ این سرویس تمام شهر را پوشش می‌دهد و تفاوت آن با دیگر سرویس‌ها در اختصاصی بودن پهنای باند آن است استفاده از دو مودم مجزا در یک آنتن جهت ارسال و دریافت دیتا به صورت همزمان باعث افزایش سرعت می‌گردد، به طوری که کاربر در هنگام حجم بالای دریافت اطلاعات خللی در ارسال اطلاعات احساس نمی‌کند.
این سرویس دارای فرکانس اختصاصی خریداری شده است و به همین دلیل تاثیرات نویزی در سیستم SkyFiber به کمترین حد خود رسیده که همین امر تا حد زیادی باعث افزایش کیفیت سرویس گردیده است. با توجه به قدرت سیگنال در این سیستم دید غیر مستقیم آنتن کاربر نسبت به Base Station باعث عدم برقراری ارتباط نخواهد شد. این ویژگی که Non-line-of sight) NLOS) نامیده می‌شود به کاربرانی که از نظر مکان جغرافیایی دارای دید مستقیم به Cell Site نیستند این امکان را می‌دهد که از این سیستم پرسرعت بهره‌مند شوند.
با توجه به تخصیص Valid Static IP Address که قابل دسترسی از سوی شبکه جهانی اینترنت می‌باشند به کاربران این امکان را می‌دهد که شبکه خود را در تمامی نقاط دنیا Monitor و Manage نمایند و همچنین به راحتی قادر به گسترش شبکه خود باشند. از دیگر مزایای این سیستم قابلیت جداسازی ترافیک‌های TCP and UDP می‌باشد، بطوریکه ترافیک Data هیچ‌گونه تاثیری بر روی ترافیک Voice ندارد و می‌توانیم اولویت بالاتر را به بسته‌های حامل اطلاعات Voice بدهیم.

۵- آیا سیستم‌های سازگار با ۸۰۲٫۱۱ قابلیت ارتباط WiMAX را دارند؟ خیر. این استاندارد مربوط به شبکه‌های LAN می‌باشد که از لحاظ وسعت جغرافیایی شبکه، پوشش بسیار کمتری نسبت به شبکه‌های WiMAX دارند.

۶- آیا با استفاده از کارت شبکه بی‌سیم لپ‌تاپ هم می‌شود به شبکه بی‌سیم  وصل شد؟ آیا لپ تاپ هم به مودم مخصوص نیاز دارد؟ خیر، کارت‌های یاد شده که در حال حاضر در بازار موجود می‌باشد به شبکه با تکنولوژی WiFi مربوط می‌شوند. تکنولوژی شبکه‌های بی‌سیم با تکنولوژی شبکه‌های وایرلسی محدود تعبیه شده در لپ تاپ‌ها کاملآ متفاوت است. جهت بهره‌گیری از این شبکه شما بایستی مودم‌های مخصوص دریافت سیگنال را تهیه نمایید و طبیعی است که درغیر این‌صورت قادر به دریافت سیگنال‌های شبکه نخواهید بود.

۷- چه مودم‌های بی‌سیمی با شبکه بی‌سیم سازگاری دارند؟ به دلیل جدید بودن تکنولوژی شبکه وایرلس (۲۰۰۲) اقدام به عمل آمده جهت رسیدن به یک استاندارد واحد در مراحل اولیه می‌باشد و لذا تا زمان پشتیبانی آن از سوی سایر تولید کنندگان باید صبر کرد و تنها از مودم‌های موجود استفاده کرد.

۸- خدمات این سرویس تا چه حد قابل اعتماد است؟
- سیستم از فرکانس‌های رادیویی ویژه‌ای بهره‌مند می‌گردد که برای استفاده انحصاری تخصیص داده شده و مشکلات تداخل و سوء استفاده‌هایی که درعموم سیستم‌هایی با فرکانس یکسان وجود دارند در اینجا از بین رفته است.
- فرکانس‌های رادیویی و سخت افزا‌رهای انحصاری این نسبت به تغییرات آب و هوایی و جوی نفوذ ناپذیر بوده و در هر شرایطی از عملکرد بالا برخورداراست.
- کل سیستم توسط یک منبع انرژی پشتیبانی حمایت می‌شود تا بتواند در زمان قطع برق به کار ادامه دهد.
- سیستم با بهره‌گیری از انشعابات متعدد به اینترنت و مسیریاب‌های BGP ، رسیدن اطلاعات را در صورت قطع برق یا دیرکرد انتقال دهنده‌های اینترنتی، تضمین می‌کند.

۹- چه عواملی سرعت خدمات اینترنتی را تحت تاثیر قرار می‌دهند؟
- محدودیت‌هایی که توسط شرکت خدماتی شما اعمال شده اند.
- قابلیت و میزان بازدهی شبکه‌ای که توسط شرکت خدماتی شما برقرار شده است.
- بار سنگین غیر معمول یا پیش بینی نشده تبادل اطلاعات بین سیستم شما و سایت مورد نظر.
- ساعات اوج تبادل اطلاعاتی در اینترنت.

۱۰- محدودیت فاصله کاربر تا سایت‌ها در این سیستم چگونه است؟ با توجه به اینکه سایت‌ها در مکان‌هایی استراتژیک (بالای برجها) قرار دارند، مودم‌های این سیستم در ۳ کیلومتری سایت‌ها به صورت دید غیرمستقیم (Non-Line-Of Site) و به صورت دید مستقیم (line of site) تا شعاع ۱۵ کیلومتری هر ایستگاه قابل استفاده خواهد بود.

۱۲- نویز اختلالی که برای دریافت امواج ماهواره در بعضی مناطق وجود دارد روی اینترنت بی‌سیم تاثیر دارد؟ امواج الکترومغناطیس برای کاربردهای مختلف دارای فرکانس‌های متفاوت بوده و هر یک محدوده نویز پذیری خاصی دارند. فرکانس‌های مورد استفاده  فرکانس‌هایی هستند که رسمآ ثبت شده، اختصاصی بوده و نویزهای ماهواره‌های تصویری بر روی آن تاثیری ندارد.

۱۳- آیا این مودم بی‌خطر است؟ بله. میزان فرکانس تشعشعات رادیویی مودم کاربر به طور کامل آزمایش شده و مقدار آن زیر حد شاخص بین‌المللی سلامت انسان است و این در حالی است که این مودم در خارج از ساختمان نصب می‌گردد.

۱۴- آیا این مودم‌ها به کارت شبکه احتیاج دارند؟ بله، پورت مربوط به ارسال و دریافت دیتا از شبکه کاربر تا آنتن Ethernet Base می‌باشد و به همین دلیل باید به یک LAN Card, Switch یا Router متصل گردد.

۱۵- آیا سرویس‌های بی‌سیم را می‌توان NAT کرد و از آن برای چند کامپیوتراستفاده کرد؟ بله. بسیاری از کاربران اینترنت، هم در محل کار و هم در محل زندگی بیش از یک کامپیوتر دارند. چند روش مختلف برای تقسیم این سیستم وجود دارد، پبشنهاد نصب یک (Broadband router) بی‌سیم یا کابلی است. این روش محسنات بسیاری دارد. در مواردی که میزان مصرف به طور بارزی سنگین باشد، این سرویس قانونا مجازاست که هزینه بیشتری دریافت نماید یا برای میزان کل اطلاعات و توان عملیاتی کاربر محدودیت قایل شود. البته باید در نظر گرفته شود که در این حالت پهنای باند به صورت مشترک بین کاربران تقسیم خواهد شد و امکان کندی در سرویس خواهد بود. در این اگر اصرار به استفاده همزمان از چند کامپیوتر دارید، می‌توانید که با ارتقاء سرویس خود این مشکل را حل کنید.

۱۶- آیا می‌توان با به کار بردن خدمات این سرویس یک شبکه خصوصی مجازی (VPN) برقرار نمود؟ بله. این سیستم برای هریک از مشتریان خود یک آدرس IP دائم اختصاص داده است که از نظر کاربرد معادل آدرس‌های IP ثابت (Static IP) هستند. این خصیصه محل اسقرار این سیستم را قادر می‌سازد تا بخشی از یک (VPN) باشد یا از طریق این سیستم یک (VPN) مستقل به وجود آورد. برای مثال کاربرانی که دارای شبکه‌های متعدد در نقاط مختلف سطح شهر هستند، می‌توانند به راحتی و بدون استفاده از بستر اینترنت از سرویس VPN با سرعت بالا استفاده نمایند.

۱۷- دلیل قفل کردن متوالی سیستم حتی در فواصل زمانی چند دقیقه چیست؟ یکی از عواملی که می‌تواند موجب بروز این مشکل شود، وجود ویروس در شبکه اینترنت است فراموش نکنید که حتما ویروس یاب و Firewall مناسب بر روی کامپیوتر خود نصب کنید. سیستم بی‌سیم به خودی خود نمی‌توانند مشکلی برای کامپیوتر شما بوجود بیاورند.

۱۸- این سرویس تا چه حد امنیت دارد؟ شبکه اینترنت یک منبع اشتراکی بوده و به همین دلیل ذاتا آسیب پذیراست. البته باید گفت که خدمات این سیستم با محاسبات فراوانی طراحی شده است تا بتواند امنیت کاربران را تا حد امکان تامین کند. تمام اطلاعاتی که توسط این سیستم جا به جا می‌شوند با کدگذاری الگوریتمی، امنیت عادی اطلاعاتی را تامین می‌کنند.
علاوه براین اطلاعاتی که توسط یک کاربر به مرکز فرستاده می‌شوند به کاربرانی که مشغول گرفتن اطلاعات از مرکز هستند مخابره نمی‌شود و اطلاعاتی که از مرکز گرفته می‌شوند از طریق لینک‌های هوایی مستقیما به واحد همان کاربر ارسال می‌شوند. این خصوصیت موجب می‌شود که میزان برداشت غیر قانونی از اطلاعات بسیار محدود شود. در ضمن با جلوگیری از پخش اطلاعات مربوط به DHCP کاربران از مرکز، سوء استفاده و کلاهبرداری‌هایی که از اطلاعات DHCP و BOOTP/DHCP میشده است به حداقل رسیده‌اند و در واقع غیرممکن است که شخصی بتواند با سردرگم کردن سیستم به اطلاعات شخص دیگری دسترسی پیدا کند. بیشتر مودم‌های کابلی دارای سیستم ارتباطی هستند که تمام پیام‌ها را دریافت و پخش می‌کنند.
با مقایسه این دو سیستم می‌بینیم که این سیستم بسیار امن‌تراست، به علاوه علائم و سیگنال‌های این سیستم فقط توسط مودم‌های همین سیستم قابل دریافت هستند که توسط مرکز این سیستم فعال می‌شوند. اما در مورد تکنولوژی که موجب اتصال دائم به شبکه است، باید گفت که امکان ورود غیرقانونی از طریق اینترنت وجود خواهد داشت که این مشکل با سیستم محافظ Firewall، به حداقل می‌رسد.

منبع داتک

آموزش قطع کاربران میکروتیک با اکانتینگ ان تی تک پلاس (NTTAC +)

اگر شما هم برای سرویس VPN کاربران خود از میکروتیک استفاده می کنید و برای حسابرسی کاربران از نرم افزار حسابرسی NTTAC Plus استفاده می کنید حتما می دانید که NTTAC این امکان را ندارد که یوزر ها را پس از اتمام اعتبار (در صورتیکه VPN سرور میکروتیک باشد) قطع نماید و کاربران تا زمانی که به سیستم متصل هستند میتوانند از منابع شبکه (اینترنت) استفاده نمایند.

مژده به استفاده کننده گان این برنامه ها این که از این پس دوستان می توانند با استفاده از این برنامه ساده به راحتی کاربران را در میکروتیک پس از اتمام اعتبار قطع نمایند (کیل کنند).

لازم به ذکر است این برنامه برای اجرای نیاز به Net FrameWork. دارد که می توانید آن را از اینجا دانلود کنید.

ابتدا فایل زیر را دانلود نمایید .

NTTAC + Mikrotik Kill Command (MikrotikDcPlus)

سپس باید کلیه تنظیمات لازم روی برنامه NTTAC را که برای سرویس RRAS  ویندوز سرور انجام میدادید مرحله به مرحله انجام دهید .

-نصب NTTAC+ و کرک کردن آن

-کپی نمودن فایل های دانلود شده در درایوی که NTTAC+ رو نصب کردید در شاخه NTTacPlus2 و سپس در شاخه External یعنی به طور مثال در آدرسC:\NTTacPlus2\External  در نتیجه می بایست فایلهای      DiffieHellman.dll, Mikrotikdcplus.exe, Org.Mentalis.Security.dll, Tamir.SharpSSH.dll    وجود داشته باشه .

-در برنامه NTTAC+ کلید F10 را فشرده و شروع به ساختن یک کاربر جدید بکنید به این ترتیب که یک نام در قسمت User/Group Name وارد کنید سپس در همان قسمت Max Connection Logins و Privilege را به ۱ تغییر دهید سپس به لبه Password رفته و کلمه عبوری را برای کاربرتان در نظر بگیرید سپس به تب Group Member Ship رفته و PPP رو به سمت چپ انتقال دهید ، بعد از انتخاب گروه به لبه Credits رفته و Initial Timeو Time Left را ثبت کنید و از همه مهمتر دو تیک زیر گزینه Time Left را برداشته و گزینه های Kill User When Exceeding His Time Credit و Kill User When Time Quota Is Over را انتخاب کنید و در نهایت New User را کلیک کنید . خوب تنظیمات مربوط به کاربر تمام شد حالا در صفحه اول F8 را فشرده و مستقیما به لبه Kill رفته و default=”$rsh clear interface $port” را انتخاب کنید و Remove را کلیک کرده سپس در پایین صفحه فقط به جای “$rsh clear interface $port” دستور

“.\external\Mikrotikdcplus.exe $username 192.168.1.1 admin password“

را نوشته یعنی در قسمت سمت چپ Default و سمت راست خط بالا باشد و به ترتیب آی پی میکروتیک ، نام کاربری و در آخر پسورد میکروتیک را وارد نمایید.  خوبAdd را کلیک کنید و به لبه TACAC+/RADIUS رفته و گزینه Use Session-Timeout For Disconnection را انتخاب کنید و با ok را کلیک کنید .

کلیه تنظیمات بالا را می توان در خط زیر خلاصه کرد

Default = “.\external\Mikrotikdcplus.exe $username MikrotikIPAddress MikrotikUserName MikrotikPassword“

حالا با خیالی راحت کاربرتون رو وصل کنید و منتظر قطع شدن اون در مدت زمان مشخص شده باشید

لازم به ذکر است که این برنامه برای ارتباط با میکروتیک از SSH روی پورت پیش فرض (۲۲) استفاده می نماید پس نباید سرویس SSH  روی روتر غیر فعال شده باشد.

در ضمن این برنامه در سیستم های متعدد تست شده و در حال استفاده می باشد

موارد قابل توجه:

در چند پروژه این اتفاق برای من افتاده که برروی میکروتیک های کرک شده ،پس از انجام کلیه این تنظیمات کاربران قطع نمی شوند .راه حل این بوده است که یکبار دیگر میکروتیک نصب گردد.

کنترل پهنای باند به صورت شناور یکی از بهترین موارد برای کنترل پهنای باند بین کاربران می باشد برای درک بهتر این موضوع سناریوی زیر را دنبال کنید:

۱)فرض کنید میخواهید کل پهنای باند Mb1 خود را بین ۱۰ کاربر به اشتراک بگذارید اولین و ساده ترین روش با استفاده از Simple Queue می باشد مثلا بر اساس IP هر کاربر مقدار پهنای باند آن را مشخص می کنیم.

queue simple add name=Pc1 target-addresses=192.168.0.3 limit-at=128000/

در این روش ما برای هر کامپیوتر(هاست) مقدار ۱۲۸ کیلو بیت را در نظر گرفتیم.این پهنای باند همیشه برای این کاربر اعمال می گردد حتی زمانیکه کاربر دیگری نداریم و کل پهنای باند ۱ مگ ما آزاد است!

۲)مشکل راه اول در اینجاست که با اینکه ما در گیت وی خروجی پهنای باند خالی داریم ولی کاربر اجازه ندارد بیش ار ۱۲۸ کیلو بیت استفاده کند.در بعضی مواقع سیاست بالا بسیار مناسب می باشد چون اگر کاربر اجازه داشته باشد کل پهنای باند ما را اشغال می کند ولی در بعضی مواقع میخواهیم در غیاب کاربران دیگر این پهنای باند به دیگر کاربران اختصاص داده شود(بصورت شناور) و در موقعی که دیگر کاربران وارد شبکه می شوند پهنای باند ها به میزان یکسان (۱۲۸) بین کاربران به اشتراک گذاشته شود.

برای اعمال چنین تنظیماتی می بایست از امکان (PCQ(Per Connection Queue میکروتیک استفاده نماییم.

ابتدا با استفاده از دستور زیر کل پهنای باند ورودی از تمام کاربران را در یک گروه دسته بندی (Mangle) می کنیم تا بتوانیم روی کل گروه (تمامی پکت های رسیده از سمت مشترکین) تنظیمات خود را اعمال کنیم.

مرحله اول:

ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all passthrough=no/

استفاده از این دستور کلیه پکت ها را قبل از روت شدن (prerouting) در گروهی به نام all مارک میکند.

سپس برای استفاده از قابلیت Queue Tree دو نوع جدید دلخواه که مثلا ۶۴ کیلو دانلود و ۳۲ کیلو آپلود را اضافه می کنیم این اعداد دقیقا کمترین مقدار پهنای باندی است که به کاربران اختصاص داده میشود.

مرحله دوم:

queue type add name=”PCQ_download” kind=pcq pcq-rate=64000 pcq-classifier=dst-address/

queue type add name=”PCQ_upload” kind=pcq pcq-rate=32000 pcq-classifier=src-address/

در آخر هم دو عدد صف درختی (Queue Tree) برای دانلود و آپلود اضافه می کنیم.

مرحله سوم:

queue tree add parent=global-in queue=PCQ_download packet-mark=all/

queue tree add parent=global-out queue=PCQ_upload packet-mark=all/

اکر دوست ندارید با Mangle و Queue Tree کار کنید میتوانید مرحله ۱ را در نظر نگیرید ، مرحله ۲ و ۳ را انجام دهید و سپس از یک خط زیر استفاده نمائید.

queue simple add queue=PCQ_upload/PCQ_download target-addresses=192.168.0.0/24/

منبع:

http://wiki.mikrotik.com/wiki/PCQ_Examples

http://wiki.mikrotik.com/wiki/PCQ

در سایت زیر می توانید کلیه فیلم های تخصصی و جلسات آموزشی میکروتیک را ببینید .

http://www.tiktube.com

MikroTik related video service

دوستانی هم که به دیدن این فیلم ها علاقه دارند و به علت پایین بودن سرعت اینترنت خود نمی توانند از این فیلم های آموزشی استفاده کنند در نظرات اعلام کنند تا یک عدد دی وی دی یا سی دی از این مجموعه های آموزشی ها برایشان ارسال گردد