در این مطلب قصد داریم به بررسی انواع ذخیره‌سازهای SAN، NAS و DAS بپردازیم و با عملکرد هر یک از این فناوری‌ها آشنا شویم. همچنین مزایا و معایب هر کدام را به طور جامع بررسی خواهیم کرد تا بتوانیم بهترین انتخاب را برای نیازهای شرکت‌ها و سازمان‌ها انجام دهیم. این تکنولوژی‌ها به ما امکان می‌دهند که داده‌ها را به صورت متمرکز، امن و با دسترسی بالا ذخیره و مدیریت کنیم. همراه ما باشید تا با جزئیات بیشتری به این موضوع پرداخته و به درک عمیق‌تری از این سیستم‌های ذخیره‌سازی دست یابیم.

ذخیره ساز SAN چیست؟

ذخیره ساز SAN که به آن سن استوریج (SAN storage) نیز می گویند، یک تکنولوژی پیشرفته ذخیره متمرکز داده و اطلاعات است که با هدف مدیریت و ذخیره‌سازی امن داده‌ ها در یک شبکه مورد استفاده قرار می‌گیرد؛ عملکرد و کاربرد SAN به عنوان یک شبکه خصوصی مجازی VLAN است و این تکنولوژی به شرکت ‌ها و سازمان ها کمک می‌کند تا اطلاعات و داده ‌های حساس خود را به صورت متمرکز و مدیریت شده ذخیره کنند و به آن ها دسترسی داشته باشند؛ همچنین SAN storage از ویژگی‌ هایی مانند افزایش قابلیت اطمینان و اعتماد، سرعت انتقال داده ها و افزایش ظرفیت ذخیره ‌سازی برخوردار است که تامین آن ها برای سازمان ها و کسب و کارهای مختلف موثر و مفید است.

SAN چگونه عمل می کند؟

سن استوریج را می توان یک شبکه ای در نظر گرفت که برای اتصال سرورها با ظرفیت ذخیره سازی مطلوب طراحی شده است؛ هدف از ایجاد SAN این است که تمامی ذخیره سازی ها به‌ صورت واحد و یکپارچه باشند تا آن ‌ها را به آسانی مدیریت و محافظت کرد که این متمرکز سازی را می توان به ‌صورت فیزیکی انجام داد.

شما اگر یک شبکه جداگانه دیگر برای متصل کردن سرورها به استوریج در نظر بگیرید، می‌توانید سرعت دسترسی خود را به حجم عظیمی از اطلاعات موجود در فضاهای ذخیره سازی افزایش دهید؛ باید بدانید که یک فضای ذخیره سازی (Storage Area Network) دارای 3 لایه بوده که هر کدام از لایه‌ها، ویژگی‌ های مخصوص خود را دارند که در ادامه به آن ها می پردازیم:

لایه هاست (Host Layer)

لایه هاست یا میزبان شامل سرور هایی می شود که به SAN متصل هستند و اکثر اوقات، هاست ها، بار های کاری سازمانی مانند پایگاه‌ های داده و اطلاعات را اجرا می‌کنند که نیاز به دسترسی داشتن به فضا های ذخیره سازی دارند؛ باید بدانید که هاست ‌ها از کابل اترنت برای برقراری ارتباط با سرور ها و کاربران استفاده می ‌کنند و همچنین هاست های SAN، یک آداپتور شبکه به صورت جداگانه را در خود جای داده‌ اند که برای دسترسی SAN اختصاص داده شده است.

همچنین خوب است بدانید که آداپتور شبکه‌ ای که در اکثر FC SAN ها استفاده می‌شود، آداپتور باس هاست (HBA) نامیده می‌شود که مانند اکثر آداپتورهای شبکه، از سیستم عامل مناسب برای کار با سخت افزار HBA و یک درایور دستگاه استفاده می‌کند که HBA را به سیستم عامل سرور وصل می‌کند. این پیکربندی ها باعث می‌شوند که این سرویس، قادر به این باشد که دستورات و اطلاعات را از طریق سیستم عامل به SAN و سپس به منابع ذخیره سازی آن منتقل نماید.

جالب است بدانید که یکی از محبوب ‌ترین و قدرتمند ترین تکنولوژی هایی که می‌توان برای SAN نام برد، FC است؛ اما دیگر تکنولوژی ‌های SAN که به طور وسیع پذیرفته شده شامل InfiniBand به همراه iSCSI است و هر تکنولوژی، ویژگی ‌ها و هزینه ‌های مختص به خودش را دارد .و هر سازمان بایستی به میزان حجم کاری و نیاز های ذخیره سازی خود توجه داشته باشد تا بتواند بهترین تکنولوژی را برای خود انتخاب کند.

لایه فبریک (Fabric Layer)

لایه فبریک کابل کشی و دستگاه‌ های شبکه است و بافت شبکه که هاست SAN و ذخیره ساز SAN را به هم متصل می‌کند را شامل می شود؛ سیستم های شبکه SAN در لایه فبریک شامل سوئیچ ‌ها، گیت وی ها، روتر ها و پل ‌های پروتکلی می باشند و کابل ‌کشی ها و پورت‌ های مربوط به دستگاه ‌های فبریک SAN می‌توانند از اتصالاتی همچون فیبر نوری یا کابل‌های مبتنی بر مس سنتی برای ارتباطات و تبادلات شبکه ای استفاده کنند.

لایه ذخیره سازی (Storage Layer)

لایه ذخیره سازی، شامل دستگاه‌ های ذخیره سازی مختلف می شود که اغلب از HDD و SSD تشکیل می شوند و بیشتر دستگاه‌ ها در یک SAN در گروه ‌های RAID فیزیکی مرتب سازی و سازماندهی می شوند؛ همچنین می ‌توانند برای افزایش فضای ذخیره سازی و بهبود ویژگی اطمینان دستگاه ذخیره سازی مورد استفاده قرار گیرد و به عملکرد شبکه کمک کنند.

همچنین باید اشاره کنیم که SAN از یک سری پروتکل هایی استفاده می‌کند که باعث می شوند قابلیت هایی در آن فعال شود که نرم افزار بتواند به برقراری ارتباط و آماده سازی داده ها برای ذخیره سازی بپردازد؛ جالب است بدانید که رایج ترین پروتکل در این زمینه، FCP است که دستورات SCSI را بر روی تکنولوژی FC رسم می‌کند و همچنین iSCSI SAN از یک پروتکلی به نام iSCSI استفاده می‌کند که دستورات SCSI را از طریق TCP/IP نگاشت می‌کند.

مزایای استفاده از ذخیره سازی SAN

استفاده از تکنولوژی SAN مزیت های بسیاری را برای سازمان ها فراهم می کند که در ادامه به برخی از این مزیت ها می پردازیم:

عملکرد بالا

SA معمولی از یک رویکرد Network Fabric جداگانه استفاده می‌کند که به عمل هایی که به ذخیره سازی مربوط می شوند اختصاص داده شده است.

مقیاس پذیری بالا

SAN قابلیت این را دارد که از استقرار های بسیار بزرگ و گسترده ای که شامل چندین سرور میزبان SAN، دستگاه‌های ذخیره سازی و حتی سیستم‌ های ذخیره سازی را است، پشتیبانی کند و همچنین می‌ توان میزبان ‌ها و ظرفیت ذخیره‌ سازی جدیدی را در صورت نیاز برای ساخت SAN و برآورد نیاز های خاص سازمان اضافه کرد.

دسترسی بالا

یک SAN در واقع یک ابزار متصل کننده است که همه چیز را به هر چیز دیگری وصل می‌کند؛ این به معنای این است که با پیاده سازی یک SAN، هیچ مشکلی در رابطه با برقراری ارتباط بین هاست و استوریج پیش نخواهد امد و همیشه یک مسیر جایگزین برای حفظ دسترسی فضای ذخیره سازی در اختیار خواهد بود.

وجود ویژگی ‌های مدیریتی پیشرفته

SAN از مجموعه ای که شامل رویکرد ‌های مفید برای ذخیره‌سازی کلاس های سازمانی مانند رمزگذاری اطلاعات و به حداکثر رساندن ظرفیت ذخیره‌ سازی، امنیت و انعطاف‌پذیری اطلاعات است، پشتیبانی می‌کند.

معایب شبکه ذخیره ساز SAN Storage

پس از اینکه با مزایای Storage Area Network آشنا شدیم؛ باید بدانیم که SAN معایبی نیز دارد که باید به آن ها اشاره شود:

پیچیدگی

با HBA های گران قیمت و اختصاصی که روی سرور های هاست نصب می شوند، سوئیچ ها و کابل کشی های یک شبکه Fabric پیچیده و دردسر ساز می شوند؛ بنابراین در چنین شبکه هایی، پورت ‌های پردازنده استوریج در آرایه ‌های ذخیره سازی باید با دقت بالایی طراحی و نظارت شوند تا این پیچیدگی برای شرکت ها و سازمان ‌هایی که کارکنان و بودجه کم دارند، دردسر ساز نباشد.

مقیاس پذیری

با در نظر گرفتن هزینه ها، به طور کلی SAN فقط در محیط های بزرگ و پیچیده‌ که سرور و ظرفیت ذخیره سازی قابل توجهی دارند، موثر است؛ ولی با این حال در محیط‌ های کوچک تر نیز می‌توان از SAN استفاده کرد ولی با توجه به هزینه و پیچیدگی های بسیار آن، شاید انتخاب ایده‌آلی نباشد.

مدیریت

با توجه به پیچیدگی و دشواری های سخت افزاری، چالش هایی در پیکربندی ویژگی ‌ها، مدیریت SAN، پیاده سازی RAID، تهیه مستندات و گزارش‌ گیری و… وجود دارد که جزو معایب محسوب می شوند.

کاربرد SAN Storage

خوب است بدانید که SAN، مجموعه‌ای از دیسک ها است که می توان توسط شبکه ‌ای از سرور ها به آن دسترسی داشت که اغلب برای ادغام و ترکیب کردن فضای ذخیره سازی مورد استفاده قرار می گیرد؛ یک دیتا سنتر با چندین سرور را در نظر بگیرید که هر کدام از آن ها ماشین ‌های مجازی را اجرا می‌ کنند که می ‌توانند به دلخواه خودشان در میان سرور ها مستقر و منتقل شوند؛ اگر سرور دچار خرابی شود، نیاز است که اطلاعات بازیابی یا منتقل شوند و در این حالت، به جای سازماندهی، ردیابی و استفاده از دیسک‌ های فیزیکی سرور های مرکز داده، ممکن است انتخاب یک کسب و کار این باشد که فضای ذخیره ‌سازی را به یک زیرسیستم ذخیره‌ سازی اختصاصی منتقل کند، یعنی محلی که ذخیره ‌سازی را بتوان به طور جمعی تهیه و مدیریت کرد.

چرا باید از SAN استفاده کنیم؟

کارکرد SAN این گونه است که کیفیت بالایی از سطح بلاک، سرعت دسترسی به شبکه برای ذخیره کردن چندین هاست را فراهم می کند و با اتصال هاست ها، کنترلرها، سوئیچ ها، تجهیزات و Storage و همچنین استفاده کردن از انواع پروتکل های تبادلاتی و ارتباطی پر سرعت و قابل اطمینان، SAN ها قادر به این هستند که مجموعه هایی از ذخیره سازی قبلی را، یکپارچه و بهینه کنند.

انواع پروتکل های شبکه SAN

سیستم ‌های ذخیره‌ سازی SAN از مجموعه مختلفی از پروتکل ‌های شبکه برای برقراری ارتباط با دستگاه‌ های دیگر استفاده می‌کنند که در ادامه به برخی از این پروتکل ‌ها می پردازیم:

کانال فیبر Fibre Channel (FC)

کانال فیبر، یک پروتکل سازماندهی شده است که از سرعت بالایی برخوردار است و برای انتقال داده‌ ها به صورت بلادرنگ و افزایش دادن قابلیت‌ های شبکه SAN مورد استفاده قرار می گیرد؛ این پروتکل، اغلب از کابل ‌های فیبر نوری جهت برقراری ارتباط با دستگاه ‌های ذخیره ‌سازی استفاده می‌کند و از سرعت انتقال بالایی مانند 16Gbps، 32Gbps و 128Gbps پشتیبانی می‌کند.

iSCSI (Internet Small Computer System Interface)

Iscsi، یک پروتکل شبکه است که از شبکه IP برای اتصال و برقراری ارتباط با دستگاه‌ های ذخیره ‌سازی SAN استفاده می‌ کند؛ با استفاده از این پروتکل، دستگاه ‌های ذخیره‌سازی SAN مانند دستگاه‌ های ذخیره ‌سازی متصل به شبکه IP عمل می کنند که سرعت انتقال های متفاوتی از 1Gbps تا 100Gbps و حتی بیشتر دارند.

FCoE (Fibre Channel over Ethernet)

FCoE پروتکلی است که انتقال سیگنال‌ های کانال فیبر را در شبکه اترنت ممکن می سازد؛ اتصال این پروتکل به دستگاه ‌های ذخیره ‌سازی SAN از طریق کابل‌ های اترنت است که از زیرساخت شبکه اترنت ایجاد شده می‌توان برای اتصال به دستگاه‌ های ذخیره‌ سازی SAN استفاده کرد تا دیگر نیازی به ایجاد یک شبکه جداگانه برای Fibre Channel نباشد.

NVMe over Fabrics (NVMe-oF)

NVMe-oF پروتکلی است که دستگاه‌های ذخیره ‌سازی NVMe را به صورت مستقیم به سیستم ‌ها و شبکه ‌های SAN وصل می کند همچنین این پروتکل از طریق شبکه‌ های مختلفی از جمله اترنت، Fibre Channel و InfiniBand، ارتباطات پرسرعت و زمان دسترسی کمتر را فراهم می‌کند.

اپلیکیشن ‌های مدیریت SAN

باید بدانید که برای مدیریت و پیکربندی شبکه ‌های SAN، اپلیکیشن‌ های زیادی بکار میروند که کاربران  از آن ها برای نظارت و مدیریت سیستم‌ های SAN خود استفاده می کنند. در ادامه، تعدادی از اپلیکیشن‌ های مدیریت SAN را بررسی می کنیم:

Dell EMC Unisphere

این اپلیکیشن، توسط شرکت Dell EMC، برای مدیریت و نظارت بر دستگاه های ذخیره سازی EMC ارائه شده است که امکانات متنوعی را از جمله پیکربندی، مانیتورینگ، مدیریت عیب‌یابی و گزارش‌گیری ارائه می‌دهد.

HPE OneView

HPE OneView یک پلتفرم مدیریت مبتنی بر وب است که توسط شرکت HPE ارائه شده است؛ این اپلیکیشن باعث می شود که شبکه ‌های ذخیره ‌سازی SAN و سیستم‌ های مجازی ‌سازی به صورت یکپارچه، کنترل و مدیریت شوند و همچنین انجام اقدامات مهمی مانند پیکربندی تنظیمات، مانیتورینگ و ایجاد گزارش‌ها را آسان تر می کند.

IBM Spectrum Control

این اپلیکیشن توسط IBM طراحی و ارائه شده است که در جهت کنترل و و مدیریت سیستم ‌های ذخیره‌سازی SAN و NAS (Network-Attached Storage) مورد استفاده قرار می گیرد، خوب است بدانید Spectrum Control نیز امکاناتی از جمله مانیتورینگ، پیکربندی، عیب‌یابی و بهینه‌سازی را فراهم می سازد.

NetApp OnCommand System Manager

این اپلیکیشن توسط شرکت NetApp طراحی و ارائه می‌شود و برای نظارت و مدیریت دستگاه ‌های ذخیره ‌سازی NetApp مورد استفاده قرار می گیرد؛ OnCommand System Manager نیز مانند موارد ذکر شده، امکاناتی مانند پیکربندی، مانیتورینگ، عیب‌یابی و مدیریت سیستم ‌هایی که به صورت فایل هستند را به شکل بلادرنگ فراهم می‌کند.

Pure Storage Pure

این اپلیکیشن توسط شرکت Pure Storage ارائه شده است که برای نظارت بر دستگاه‌ های ذخیره ‌سازی Pure Storage مورد استفاده قرار می گیرد؛ همچنین این نرم‌افزار امکانات زیادی را جهت نظارت داشتن بر حجم گسترده‌ای از ولوم ‌ها و فضا های ذخیره‌ سازی، تحلیل و بهینه ‌سازی زیرساخت فراهم می‌کند.

تجهیزات مورد استفاده در SAN

شبکه‌های فضای ذخیره ‌سازی از تجهیزات متنوعی تشکیل شده ‌اند که باعث می شوند داده ‌ها و اطلاعات به صورت متمرکز و مقیاس‌ پذیر ذخیره و مدیریت شوند؛ در ادامه با برخی از تجهیزات اصلی که در SAN مورد استفاده قرار می گیرند آشنا می شویم.

نرم‌افزار مدیریت SAN 

نرم‌افزار های مدیریت SAN همانطور که از اسمشان هم مشخص است، جهت مدیریت و پیکربندی شبکه‌ های ذخیره‌ سازی SAN مورد استفاده قرار می گیرند و امکانات زیادی را از جمله مدیریت تجهیزات ذخیره‌سازی، پیکربندی آرایه ‌های تحت شبکه، مدیریت مجازی ‌سازی ذخیره‌ سازی و همچنین تجمیع منابع را فراهم می‌سازد.

آرایه‌های ذخیره‌سازی(Storage Arrays)

آرایه‌ های ذخیره‌ سازی SAN همان دستگاه ‌های فیزیکی ای هستند که دیسک ‌ها را برای ذخیره ‌سازی داده ‌ها آماده می‌کنند و شامل درایو های سخت، درایو های حالت جامد (Solid-State Drives) و سایر تکنولوژی ‌ها و فرایند های ذخیره‌ سازی می شوند؛ همچنین آرایه‌ های ذخیره ‌سازی، از طریق شبکه‌ های فیبر نوری و یا شبکه ‌های اترنت پرسرعت به شبکه SAN وصل می‌شوند.

سن سوئیچ ‌هایSAN (SAN Switches)

سوئیچ‌ های SAN برای وصل کردن آرایه ‌های ذخیره ‌سازی و سیستم های مختلف به شبکه SAN مورد استفاده قرار می گیرند و از پورت ‌های فیبر نوری یا اترنت استفاده می‌ کنند تا امکان انتقال اطلاعات بین دستگاه‌ ها را فراهم سازند.

ماژول‌های توسعهSAN (SAN Expansion Modules)

ماژول های توسعه، برای افزایش قابلیت‌ های تحمل‌ پذیری خطا و افزایش ظرفیت ذخیره ‌سازی در شبکه SAN استفاده می‌شوند؛ به طوری که آن ها به روی آرایه ‌های ذخیره‌ سازی افزوده می ‌شوند و امکان افزایش تعداد درایو ها و ایجاد مسیر های ارتباطی و تبادلاتی بیشتر را فراهم می‌کنند.

ماژول‌های تحلیلگر شبکه(Network Analyzers)

این ماژول‌ها جهت نظارت و آنالیز ترافیک شبکه SAN طراحی شده اند که بر خلاف اسمی که دارند، در قالب نرم‌افزارهای کاربردی استفاده می شوند و امکان مشاهده و آنالیز جریان‌های داده در شبکه SAN را فراهم ساخته و به شناسایی خطا ها و عیب ‌یابی کمک می‌کنند.

کابل‌ها و فیبر نوری

کابل ‌ها و فیبر نوری برای متصل کردن پرسرعت آرایه‌ های ذخیره‌ سازی و سوئیچ ‌های SAN به یکدیگر، استفاده می شوند.

ذخیره ساز NAS

فضای ذخیره سازی متصل به شبکه یا Network-attached storage (NAS)، یک فرایند ذخیره سازی داده ها بر پایه فایل متصل به یک شبکه کامپیوتری است که دسترسی به داده ها را به یک گروه ناهمگون از مشتریان فراهم می سازد؛ همچنین NAS، بصورت اختصاصی برای ارائه فایل ها از طریق سخت افزار، نرم افزار و پیکربندی تخصصی طراحی و تنظیم شده است.

کاربران یک شبکه محلی (LAN) از طریق اتصال اترنت، به فضای ذخیره سازی مشترک دسترسی پیدا می کنند؛ خوب است بدانید که دستگاه های NAS معمولا صفحه کلید یا نمایشگر ندارند و با استفاه از ابزار مبتنی بر مرورگر، پیکربندی و مدیریت می شوند؛ هر یک از NAS ها به عنوان یک Node در شبکه، توسط یک IP منحصر به فرد دارند، که روی LAN واقع شده است.

ذخیره ساز DAS

DAS (Direct Attached Storage)، یک استوریج دیجیتالی است که به طور مستقیم بهStorage Controller کامپیوتر یا سرور وصل می‌شود و در طی مسیر ارتباطی، هیچ دستگاه رابطی در آن میان وجود ندارد؛ از آنجایی که کنترل سخت‌افزاری DAS از طریق سرور است و بخشی از شبکه ذخیره سازی محسوب نمی شود، DAS از پروتکل ‌های سطح بلوک مثل SCSI و SATA برای دسترسی به اطلاعات استفاده می‌کنند. DAS ها معمولاً در اپلیکیشن هایی مانند پایگاه‌های داده یا سرورهای مجازی استفاده می‌شوند که به عملکرد بالایی نیاز دارند؛ در این ذخیره ساز ها از اینترفیس ‌های مختلفی مانند USB، SCSI، SATA و Esata استفاده می‌شود که پیکربندی DAS را بسیار ساده‌تر از سایر استوریج‌ ها می کند.

تفاوت ذخیره ساز های NAS ، DAS و  SAN

واضح است که این ذخیره ساز ها، تفاوت هایی با هم دارند که در این بخش به همان تفاوت ها خواهیم پرداخت.

به طور کلی، استوریج‌ NAS و SAN فقط زمانی مورد استفاده قرار می گیرند که به ذخیره سازی مبتنی بر شبکه نیاز باشد؛ از نظر سازمان ها می‌ توان گفت که این دو مکمل هم هستند و نیاز های مختلف متنوع سازمان‌ها را با یکدیگر پوشش می‌دهند؛ از جمله مهم ترین و بیشترین تفاوت های NAS و SAN می توان به موارد زیر اشاره کرد.

1. پروتکل دسترسی در SAN، همان پروتکل ISCSI و FC است، ولی پروتکل دسترسی در NAS پروتکل CIFS و NFS است.
2. NAS برای وصل شدن به شبکه، از کابل اترنت استفاده می‌کند ولی SAN، از FC برای برقراری ارتباط با شبکه استفاده می‌کند.
3. نحوه دسترسی در SAN به صورت Block Level است ولی در NAS به صورت File Level تعریف می شود.
4. مدیریت فایل‌ها در SAN برعهده سیستم هایی است که با استفاده از ساختار Block Level به SAN دسترسی پیدا می کنند ولی در NAS، مدیریت و نظارت فایل ‌ها و کنترل دسترسی بر عهده سیستم عامل خود سیستم NAS است.
5. استوریج های NAS، استوریج های ارزانتر و مقرون به صرفه تر هستند چون تنظیمات و فعالیت های آن بر اساس نیاز های سازمانی است، ولی قیمت و هزینه ذخیره ساز SAN بیشتر است چون کانفیگ پیچیده تری دارد.

برای داشتن اطلاعات بیشتر در رابطه با پروتکل شبکه چیست؟ کلیک کنید.

جمع بندی

در این مطلب با ذخیره ساز های SAN، DASو NAS آشنا شدیم و دریافتیم که چقدر می تواند در عملکرد سازمانی مفید و موثر بوده و به حفاظت و مدیریت از آن کمک کند. شرکت داریا در تامین، حفظ و تقویت امنیت سازمان ها فعالیت می کند و با ارائه دادن بهترین خدمات از جمله فروش بهترین فایروال های بازار با مناسب ترین قیمت، ارائه خدمات لایسنس و ضمانت پس از فروش، به مشتریان خود یاری می رساند. شما می توانید برای دریافت مشاوره رایگان و خرید محصولاتی همچون فایروال و اکسس پوینت، با کارشناسان و مشاوران ما در ارتباط باشید.

امنیت شبکه جیست؟

امنیت شبکه همچنین با استفاده از تکنیک‌های مدیریت ریسک و تحلیل تهدید، از زیرساخت‌های فیزیکی و مجازی شبکه محافظت می‌کند. با افزایش استفاده از محیط‌های ابری، IoT و فناوری‌های دیجیتال، چالش‌های امنیتی جدیدی مانند حملات سایبری پیشرفته، باج‌افزارها و تهدیدات داخلی به وجود آمده‌اند. بنابراین، امنیت شبکه نیازمند به‌روزرسانی مداوم و اعمال راهکارهای نوین همچون مدل‌های امنیتی صفر اعتماد (Zero Trust) و تقسیم‌بندی شبکه برای مقابله با این تهدیدات است. این اقدامات باعث می‌شوند شبکه‌ها به‌طور مداوم در برابر تهدیدات جدید مقاوم باشند و اطلاعات حساس سازمان‌ها و کاربران محافظت شوند.

نقش فایروال‌ها در تکامل امنیت شبکه

فایروال‌ها یکی از اساسی‌ترین و مؤثرترین ابزارهای امنیتی در شبکه‌های کامپیوتری هستند و نقش مهمی در تکامل امنیت شبکه ایفا کرده‌اند. تکامل فایروال‌ها با پیشرفت فناوری‌ها و پیچیدگی تهدیدات سایبری تغییر کرده و پیشرفته‌تر شده است. در ادامه به نقش فایروال‌ها در این تکامل پرداخته می‌شود:

۱. اولین نسل فایروال‌ها: فیلتر بسته (Packet Filtering)

در اوایل دهه ۱۹۹۰، فایروال‌ها بیشتر بر فیلتر کردن بسته‌های ورودی و خروجی بر اساس اطلاعات هدر بسته مانند آدرس IP و پورت متمرکز بودند. این نوع فایروال ساده بود و می‌توانست فقط ترافیک‌های مجاز یا غیرمجاز را بر اساس قوانین تعیین شده کنترل کند. با این وجود، توانایی تشخیص تهدیدات پیچیده‌تر را نداشت و نمی‌توانست به بررسی محتوای بسته‌ها بپردازد.

۲. فایروال‌های نسل دوم: فیلتر حالت (Stateful Inspection)

با گذشت زمان، تهدیدات سایبری پیشرفته‌تر شدند و فایروال‌های نسل دوم به وجود آمدند که قابلیت فیلتر کردن بسته‌ها بر اساس وضعیت (State) ارتباطات شبکه را داشتند. این فایروال‌ها قادر بودند ترافیک را بر اساس جریان‌های ارتباطی دنبال کنند و ارتباطات معتبر را تشخیص داده و بهینه‌سازی کنند.

۳. فایروال‌های نسل سوم: فایروال‌های برنامه‌گرا (Application Layer)

در این نسل، فایروال‌ها توانایی تحلیل بسته‌ها در لایه برنامه را پیدا کردند. این قابلیت به آن‌ها امکان می‌داد تا بسته‌ها را در لایه‌های بالاتر تحلیل کرده و محتوای واقعی ترافیک را بررسی کنند. این فایروال‌ها به شرکت‌ها کمک کردند تا بتوانند حملاتی که از پورت‌های مجاز عبور می‌کنند، مانند حملات SQL Injection و حملات مبتنی بر وب را تشخیص دهند.

۴. فایروال‌های نسل جدید (NGFW): ترکیب چندین قابلیت امنیتی

فایروال‌های نسل جدید یا Next Generation Firewalls (NGFW) نقطه عطفی در تکامل امنیت شبکه محسوب می‌شوند. این فایروال‌ها با ترکیب قابلیت‌هایی مانند تشخیص و جلوگیری از نفوذ (IPS/IDS)، تحلیل رفتار شبکه، کنترل بر اساس هویت کاربر، و محافظت از حملات مبتنی بر برنامه‌های کاربردی، به یک راه‌حل جامع تبدیل شدند. این نسل از فایروال‌ها به‌صورت پیوسته تهدیدات را شناسایی کرده و اقدامات دفاعی خود را به‌روزرسانی می‌کنند.

۵. فایروال‌های ابری و مجازی‌سازی‌شده

با افزایش استفاده از فضای ابری و مجازی‌سازی، فایروال‌ها نیز به سمت فضاهای ابری و محیط‌های مجازی حرکت کردند. این نوع فایروال‌ها به سازمان‌ها اجازه می‌دهند تا در محیط‌های چندگانه و زیرساخت‌های ابری، امنیت شبکه خود را کنترل و مدیریت کنند. فایروال‌های ابری به دلیل انعطاف‌پذیری و مقیاس‌پذیری بالا، در حفاظت از داده‌ها و برنامه‌های ابری نقش بسیار مهمی دارند.

۶. نقش فایروال‌ها در مقابله با تهدیدات نوین

تهدیدات امنیتی روز به روز پیچیده‌تر و هوشمندتر می‌شوند، بنابراین فایروال‌ها نیز با استفاده از هوش مصنوعی و یادگیری ماشینی در تلاش برای پیش‌بینی و جلوگیری از تهدیدات پیشرفته مانند بدافزارهای پیشرفته، حملات صفر-روزه و بدافزارهای چندشکلی هستند.

۷. اتصال فایروال‌ها با سایر راه‌حل‌های امنیتی

امروزه فایروال‌ها نه تنها به عنوان یک دیوار محافظ بلکه به عنوان یک نقطه اتصال با سایر سیستم‌های امنیتی مانند سیستم‌های شناسایی تهدید، سیستم‌های مدیریت هویت و دسترسی (IAM)، و راه‌حل‌های مدیریت امنیت اطلاعات (SIEM) عمل می‌کنند. این یکپارچگی باعث می‌شود تا امنیت شبکه به صورت جامع‌ تر و هوشمندتر انجام شود.

فایروال چیست؟

فایروال (Firewall) یک سیستم یا دستگاه امنیتی است که بین شبکه‌های مختلف، به‌ویژه شبکه داخلی و اینترنت عمومی، قرار گرفته و وظیفه دارد ترافیک ورودی و خروجی را بر اساس مجموعه‌ای از قوانین امنیتی از پیش تعریف‌شده کنترل کند. فایروال‌ها برای محافظت از منابع شبکه در برابر تهدیدات امنیتی نظیر دسترسی‌های غیرمجاز، حملات مخرب و بدافزارها استفاده می‌شوند. در یک تعریف تخصصی‌تر، فایروال‌ها به‌عنوان فیلترهای ترافیکی شبکه عمل می‌کنند که بسته‌های داده را بر اساس معیارهایی مانند آدرس IP، پورت‌ها، پروتکل‌ها و نوع ترافیک بررسی و تصمیم‌گیری می‌کنند که آیا اجازه عبور به آن داده شود یا خیر.

تکامل امنیت شبکه از گذشته تاکنون

Egress پس از نفوذ فیلتر می کند، در حالیکه Ingress قبل از نفوذ فیلتر را انجام میدهد

مدیریت ترافیک ورودی در آن زمان کمتر مرسوم بود، قرار بود کار تمام شده باشد. با یک فایروال و برخی نظارت های مناسب، ما باید آماده می­بودیم. اما نفوذ به یک کسب و کار یا موسسه دولتی می تواند بیشتر با استفاده از یکی از سه استراتژی اصلی انجام شود:

• • کاربران را فریب دهید و روی فیلتر ضعیف Egress شرط ببندید.

• • از بهره برداری انبوه، مانند روز-صفر، آسیب پذیری منطقی، رمزهای عبور ضعیف و غیره استفاده کنید، و شرط ببندید که فیلتر Ingress چندان هوشمندانه عمل نمی کند (چه کسی دسترسی به پورت های 53، 80، 443، 465 و … را در لیست سفید قرار می دهد).

• • از حملات هدفمند، بسیار شبیه به موارد فوق استفاده کنید، اما فقط یک موجودیت خاص را در کل سطح آن هدف قرار دهید. به جای فیشینگ گسترده با یک تفنگ گاتلینگ، امید به “محافظت” از RDP با 123456 داشته باشید. در اینجا دوباره، موضوع مدیریت Ingress می­باشد.

بر اساس گزارش‌های IBM X-force، تقریباً 47٪ از نفوذهای اولیه مربوط به سوء استفاده از آسیب‌پذیری است در حالی که فیشینگ 40٪ را تشکیل می‌دهد. 3٪ از اطلاعات حساب­های دزدیده شده و 3٪ از brute force را نیز اضافه کنید، و تهاجم Ingress از نظر احتمال نفوذ از بیرون به داخل وزن 53٪ دارند. (من 7٪ رسانه‌های قابل حمل را حساب نمی‌کنم، زیرا صادقانه بگویم، اگر کاربران شما به اندازه کافی احمق هستند که یک USB ناشناخته را وصل کنند و قوانین شما این اجازه را می‌دهد، در این صورت موضوع متفاوت است که من آن را داروینیسم دیجیتال می‌نامم.)

هنگامی که یک کاربر به بدافزار آلوده می شود، بازی جلوگیری از تبدیل ایستگاه کاری او به پایگاه عملیاتی مجرمان سایبری است. اکنون اینجاست که فیلتر خروجی شروع می شود. بسیار خوب، خیلی دیر است، شما هک شده­اید، اما بیایید پیامدها را کاهش دهیم و از سوء استفاده بیشتر ایستگاه در داخل دیوارها و ارتباط آن با مرکز فرماندهی و کنترل جنایتکاران جلوگیری کنیم.

اکنون حفاظت از ترافیک ورودی ضروری است زیرا نه تنها باعث نفوذهای اولیه بیشتر می شود، بلکه به این دلیل که محیط بزرگتر و ناهمگون تر از همیشه است. “محیط” شرکت اغلب در حال حاضر شامل HQ LAN و DMZ، برخی از ماشین های میزبانی شده در مراکز داده، و در نهایت چندین دفتر با VPN، کارکنان راه دور، حجم کاری ابری، ارائه دهندگان زنجیره تامین و ابزارهای SaaS است. نظارت بر همه اینها یک شاهکار است، به خصوص زمانی که فروشندگان SIEM بخواهند برای هر گزارشی که ذخیره می کنید درآمد کسب کنند. اینکه فکر کنید فقط Egress CTI یا ابزاری از شما محافظت می کند، واقع بینانه نیست.

از واکنشی تا پیشگیرانه

امروزه مدیریت ترافیک ورودی کمتر مرسوم است زیرا قرار بود در دهه 90 به آن رسیدگی شود. اما اگر اطلاعات خود را در مورد حملات ورودی جمع‌سپاری کرده و آن‌ها را به اندازه کافی گلچین و منظم کنید تا از این داده‌های CTI در دستگاه‌هایتان استفاده شود، این یک پیروزی خالص برای وضعیت امنیتی کلی شما خواهد بود. و حدس بزنید چه کسی امنیت جمع‌سپاری را بر اساس ابزار منبع باز DevSecops انجام می‌دهد؟ درست است! CrowdSec! نحوه محافظت از ترافیک ورودی خود را در اینجا بررسی کنید.

جمع بندی 

افزایش مداوم و روز افزون میزان انتقال داده، نیاز به کابل های مختلف جهت هموارسازی فرآیند انتقال سیگنال ها را بیش از پیش آشکار می کند. کیفیت بالای کابل های انتقال دهنده تضمین کننده ارتباطات پایدار و انتقال آسان و بی دغدغه اطلاعات خواهد بود. در دنیای تکنولوژی انواع مختلفی از کابل ها وجود دارد که هر کدام کاربرد خاصی دارند. در این مطلب با ما همراه باشید تا کابل کواکسیال ( Coaxial cable) را از جوانب گوناگون مورد کاواش قرار دهیم.

کابل کواکسیال چیست؟

کابل کواکسیال ( Coaxial cable) نوعی کابل الکتریکی است که معمولا برای انتقال سیگنال های دارای فرکانس بالا مورد استفاده قرار می گیرد. اجزای تشکیل دهنده ی آن عبارت هستند از، یک رسانای ( هادی) مرکزی، یک لایه عایق، یک سپر فلزی و یک لایه عایق بیرونی. طراحی کابل کواکسیال انتقال موثر سیگنال ها را با حداقل تداخل و نویز ممکن می سازد.

به طور کلی کابل کواکسیال یا Coaxial Cable یک نوع کابل الکتریکی است که برای انتقال سیگنال‌های فرکانس بالا مانند تلویزیون، اینترنت و سایر ارتباطات مخابراتی مورد استفاده قرار می‌گیرد. این کابل از چهار لایه اصلی تشکیل شده است:

1. هسته داخلی (رسانا): معمولاً از مس ساخته شده و وظیفه اصلی آن انتقال سیگنال است.
2. عایق دی‌الکتریک: لایه‌ای که هسته داخلی را احاطه کرده و وظیفه جداسازی هسته از لایه‌های بیرونی را بر عهده دارد.
3. شیلد فلزی: یک لایه فلزی که دور عایق دی‌الکتریک پیچیده شده و برای جلوگیری از تداخلات الکترومغناطیسی (EMI) استفاده می‌شود.
4. روکش خارجی: لایه‌ای از مواد پلاستیکی که تمامی لایه‌ها را پوشش داده و کابل را از آسیب‌های خارجی محافظت می‌کند.

این ساختار موجب می‌شود که کابل کواکسیال نسبت به تداخلات الکترومغناطیسی مقاوم باشد و بتواند سیگنال‌ها را با کمترین تضعیف منتقل کند.

کابل کواکسیال چگونه کار می کند؟

کابل Coaxial جهت حمل سیگنال های الکتریکی بین دستگاه های مختلف استفاده می شود. رسانای مرکزی وظیفه حمل سیگنال ها را برعهده دارد، در مقابل سپر فلزی بیرونی، کار محافظت در برابر تداخل خارجی را انجام می دهد. همانطور که از نامشان برمی آید دو لایه ی نارسانا وظیفه عایق سازی را فراهم می کنند و یکپارچگی و کیفیت سیگنال را تضمین می کنند. طراحی خاص این کابل موجب می شود در فواصل طولانی سیگنال های دارای فرکانس بالا به شکل موثری انتقال یابند.

مزایای استفاده از کابل کواکسیال

یکی از مزایای اصلی کابل های کواکسیال در توانایی آن ها برای انتقال سیگنال در فواصل طولانی بدون افت کیفیت نهفته است. مزیت دوم این کابل ها محافظت بهتر در برابر تداخل خارجی است؛ در مقایسه با سایر انواع کابل ها کابل کواکسیال با کیفیت تر عمل می کند. همچنین کابل Coaxial  دارای قابلیت اطمینان و عملکرد بالاست و به همین دلیل به طور گسترده ای در تلویزیون های کابلی، اتصالات اینترنتی و مخابراتی مورد استفاده قرار می گیرد.

معایب استفاده از کابل کواکسیال

از مهمترین مسائلی که استفاده از کابل های کواکسیال را چالش برانگیز می کند،قیمت این نوع کابل هاست. در واقع گران هستند. همچنین جهت جلوگیری از هرگونه تداخلی، کابل Coaxial باید به زمین متصل شود. و از آنجایی که دارای چندین لایه است، بسیار حجیم است. از عیوب دیگر این کابل ها می توان احتمال شکستن کابل و همچنین اتصال مفصل t توسط هکرها( که امنیت داده ها را به خطر می اندازد) را می توان نام برد.

کاربردهای مختلف کابل کواکسیال

این کابل ها در صنایع مختلف مورد استفاده هستند که در ذیل به برخی از این مصارف اشاره می شود.

اتصال به اینترنت

در واقع بسیاری از ارائه دهندگان خدمات اینترنت در اکثر کشورها از کابل کواکسیال برای ارائه اینترنت پرسرعت برای مصارف خانگی استفاده می کنند؛ در ایران به جای این نوع کابل در مصارف اینترنتی از کابل Twisted pair استفاده می شود. برای پشتیبانی از اتصالات اینترنت با پهنای باند زیاد، کابل های Coaxial پهنای باند و کیفیت سیگنال کافی را فراهم می کنند.

کابل اترنت در مقایسه با کابل کواکسیال با سرعت بالاتر و تاخیر کمتری داده ها را در اینترنت انتقال می دهد.

اتصالات تلویزیون

کابل Coaxial  معمولا برای اتصالات تلویزیونی استفاده می شود؛ و کابل استاندارد برای نصب تلویزیون های کابلی است. کابل کواکسیال امکان انتقال سیگنال های تلویزیونی را در فواصل طولانی بدون افت کیفیت فراهم می کند. همچنین با انواع مختلف تکنولوژی های مرتبط با تلویزیون از جمله سیگنال های آنالوگ و دیجیتال سازگار است.

اتصالات صوتی

از کابل کواکسیال برای اتصالات صوتی نیز استفاده می شود. کابل‌های صوتی دیجیتال کواکسیال معمولاً برای انتقال سیگنال‌های صوتی با کیفیت بالا در سیستم‌های سینمای خانگی و تنظیمات صوتی حرفه‌ای استفاده می‌شوند. یکپارچگی سیگنال در کابل های Coaxial  خوب است و امکان حمل سیگنال های صوتی آنالوگ و دیجیتال را دارا می باشد.

نصب دوربین های امنیتی

کاربرد دیگر کابل های کواکسیال معمولا در نصب دوربین های امنیتی است. اغلب در سیستم های تلویزیونی مدار بسته (CCTV) برای انتقال سیگنال های ویدئویی از دوربین ها به دستگاه های ضبط یا نظارت استفاده می شود. کابل کواکسیال پهنای باند و کیفیت سیگنال کافی را برای انتقال ویدئو با کیفیت بالا در فواصل طولانی فراهم می کند.

اتصالات آنتن ها

همچنین کابل کواکسیال معمولا برای اتصال آنتن ها نیز مورد استفاده قرار می گیرد و یک رسانه کارآمد برای انتقال سیگنال فرکانس های رادیویی از آنتن به تجهیزات گیرنده است. کیفیت سیگنال کابل کواکسیال عالی است و میزان تداخل را به حداقل می رساند و در نتیجه گزینه ایده آلی برای نصب آنتن ها است.

انواع کابل های Coaxial

هر نوع از کابل کواکسیال عملکرد و هدف منحصر به فردی دارد. بسته به نوع صنعت، تجهیزات و یا کاربرد، می توان کابل های کواکسیال با اهداف مختلف و طیف وسیعی از کاربردها طراحی کرد.

RF Cables: با شنیدن نام کابل کواکسیال اولین چیزی که به ذهن اکثر مردم می رسد، کابل های فرکانس رادیویی (RF) هستند. کابل های RF خطوط استاندارد تلویزیون های کابلی هستند که به پورت سیگنال ورودی یا دستگاه ورودی RF متصل می شوند. کابل‌های RF که برای انتقال های راه دور در نظر گرفته نشده‌اند و برای مصارف خانگی، قطعات صوتی/بصری در فواصل کوتاه یا اپلیکیشن های کم‌ترافیک ایده‌آل هستند.

RG-6: نوعی کابل کواکسیال است که معمولاً برای کاربردهای نیازمند پهنای باند بالا مانند تلویزیون کابلی و نصب ماهواره استفاده می شود. دارای رسانای مرکزی ضخیم تری است و محافظت بهتری در آن انجام می شود؛ که این امر موجب می شود که برای استفاده در مسافت های طولانی تر که نیازمند فرکانس بالا است مناسب باشد.

کابل Coaxial RG-6 به شکل گسترده ای در تاسیسات مسکونی و تجاری مورد استفاده قرار می گیرد و با داشتن مقاومت ظاهری (impedance) 75 اهم هستند که آنها را بادوام و قابل اعتماد می کند. RG-6 به دلیل عملکرد برتر آن به طور کلی برای کاربردهای مدرن ترجیح داده می شود.

RG-59: رسانای مرکزی RG-59 نازک‌تر است و برای مصارف کوتاه‌تر و فرکانس‌های پایین‌تر مناسب است. مقاومت ظاهری در این مدل نیز 75 اهم است. در نصب تلویزیون های کابلی از کابل های RG-59 نیز استفاده می شود.

 در حالی که آنها گزینه های قابل اعتمادی برای انتقال ویدیو هستند، اما با افزایش مسافت سیگنال ضعیف تر می شود؛ این امر کابل های RG-59  را برای تلویزیون های مدار بسته (CCTV) مانند فیلم های امنیتی، مانیتورهای اتاق کنترل و استودیوهای ضبط ایده آل می کند.

RG-62: کابل های RG-62 برای حمل سیگنال های الکترومغناطیسی با فرکانس بالا طراحی شده اند. عامل متمایز کننده کابل های RG-62 توانایی آنها در انتقال داده ها در فواصل طولانی با قابلیت اطمینان بالا است. این عملکرد با ظرفیت بالا باعث می شود این کابل ها در آنتن دهی خودرو و برنامه های ماهواره ای بسیار مفید باشند. کابل RG-62 دارای 93 oh است که نمایان گر سیگنال خوبی است.

RG-8: کابل‌های RG-8 کاربردهای فراوانی دارند که نیازمند ولتاژ بالا و تلفات کمتر در انتقال‌های مسافت های طولانی است. مقاومت ظاهری (impedance) این نوع کابل کواکسیال  50-0 صبحگاهی هستند و اغلب در دستگاه های رادیویی ham( آماتوری)و سایر دستگاه های انتقال توان بالا استفاده می شوند. این کابل ها یکی از لوازم اصلی در صنایع مخابرات و پخش است. کابل‌های RG-8 به دلیل مقاومت بالا در برابر تلفات، برای انتقال فرکانس‌های رادیویی در فواصل طولانی بسیار مناسب هستند.

RG-11: کابل‌هایRG-11 کابل‌های کواکسیال ضخیم‌تری هستند که در آن ها میزان اطلاعات از دست رفته کم است یا صفر است؛ برای مسافت های طولانی طراحی شده اند و اغلب در اپلیکیشن های داده با پهنای باند بالا استفاده می شوند. استفاده های رایج کابل های RG-11 ارتباطات، شبکه های اصلی و سیستم های نظارتی تصویری از راه دور هستند. این کابل ها نسبت به کابل های RG-6 یا RG-59 ظرفیت بیشتری برای انتقال  داده از راه دور را دارند.

RG-213: کابل‌های RG-213 خطوط فوق‌العاده قابل اعتماد با تلفات کم و ظرفیت بالا هستند. علیرغم شباهت کابل‌های RG-213  به کابل‌های RG-8، آن ها به جای فوم، با یک لایه عایق جامد تجهیز شده‌اند و دارای 50 اهم مقاومت ظاهری هستند که بیانگر تلفات کم در انتقال است. این کابل های توانمند، اغلب برای رادیو CB، اتصال به اینترنت یا سیستم های uplink موبایل استفاده می شود.

LMR: کابل های Land Mobile Radio مجموعه ای از کابل های کواکسیال هستند که برای ارتباطات بی سیم طراحی شده اند. ویژگی کلیدی این نوع از سیم های کواکسیال انعطاف پذیری و کاربرد آنها در شبکه های ارتباطی است. از آنجایی که کابل های LMR انعطاف پذیر هستند، برای سیستم های پیچیده مناسب هستند. رایج ترین کاربرد کابل های LMR، شبکه های ارتباطی مانند سیستم های رادیویی یا شبکه های تلفن همراه است. این کابل ها در رتبه بندی مقاومت ظاهری از 50 اهم تا 75 اهم متفاوت هستند. کابل های LMR انعطاف پذیر، بادوام و قابل اعتماد هستند.

کابل دو محوره: کابل های دو محوره (Twinaxial) نوع تخصصی کابل های کواکسیال هستند. آنها اغلب در مکان‌های انتقال داده‌ که نیازمند ظرفیت سرعت-بالا هستند مورد استفاده قرار می گیرند. تفاوت اساسی این کابل ها رسانای ( هادی)داخلی دوگانه است که به صورت جفتی به هم می پیچند. وجود دو رسانای مرکزی قابلیت انتقال سرعت-بالا را در فواصل کوتاه را فراهم می کند. این طراحی خاص باعث می‌شود که کابل‌های دو محوره برای سیستم‌های پیچیده کامپیوتری و توسعه ویدئوهای دیجیتالی مناسب باشند.

کابل های سه محوره: کابل های سه محوری( Triaxial)مشابه کابل های دو محوره هستند با یک تفاوت اساسی. دارای یک لایه رسانای سوم نیز هستند. لایه اضافی پهنای باند بیشتری را برای انتقال با ظرفیت بالا فراهم می کند. اگرچه همچنان در انتقال‌های مسافت کوتاه استفاده می‌شوند، ولی بهترین کاربرد آن ها در فیلم‌برداری، تولیدات تلویزیونی و دستگاه‌های فیلم است.

تفاوت کابل های کواکسیال تک شیلد با دو شیلد

تفاوت اصلی بین کابل کواکسیال تک شیلد (single shielded) و کابل کواکسیال دو شیلد (double shielded) در سطح حفاظت آنها در برابر تداخل نهفته است. کابل کواکسیال تک شیلد دارای یک لایه محافظ فلزی است که محافظت اولیه در برابر تداخل خارجی را ایجاد می کند. در مقابل، کابل کواکسیال دو لایه (دو شیلد) دارای دو لایه محافظ فلزی است که محافظت بهتر و یکپارچگی سیگنال بهتری را در محیط‌هایی با سطوح تداخل بالا ارائه می‌دهد.

آیا کابل کواکسیال می تواند از سیگنال های ویدئویی با کیفیت بالا پشتیبانی کند؟

جواب این سوال مثبت است؛ کابل کواکسیال می تواند سیگنال های ویدئویی با کیفیت بالا را پشتیبانی کند. کابل های کواکسیال با پهنای باند کافی، مانند RG-6 یا RG-11، می توانند سیگنال های ویدئویی با وضوح بالا را بدون افت کیفیت در فواصل متوسط ​​ارسال کنند. برای فواصل طولانی تر یا وضوح بالاتر، استفاده از تقویت کننده های سیگنالی، یا گزینه های جایگزین مانند کابل های رابط چندرسانه ای با کیفیت بالا (HDMI) توصیه می شود تا عملکرد بهینه تضمین شود.

آیا امکان نصب کابل کواکسیال در فضای باز وجود دارد؟

جواب این سوال نیز مثبت ولی مشروط است؛ باید گفت که کابل کواکسیال را می توان برای استفاده در فضای باز نصب کرد ولی در انتخاب نوع کابل باید دقت کافی را داشته باشید تا کابلی را  انتخاب کنید که به طور خاص برای استفاده در فضای باز طراحی شده باشد.

کابل های کواکسیال فضای باز دارای لایه ها و مواد محافظ اضافی هستند که آنها را در برابر شرایط آب و هوایی مختلف از جمله رطوبت، تابش(UV) و نوسانات دمایی مقاوم می کند. این کابل ها عملکرد و دوام طولانی مدتی را در محیط های روباز ارائه می کنند.

آیا طول کابل کواکسیال بر کیفیت سیگنال تاثیر دارد؟

طول کابل کواکسیال بر کیفیت سیگنال تاثیر گذار است. با افزایش فاصله، سیگنال احتمالا تضعیف می شود و در نتیجه قدرت سیگنال کاهش می یابد و به طبع آن از کیفیت نیز کاهیده می شود. بنابراین، بررسی دقیق طول کابل و انتخاب اندازه و نوع کابل کواکسیال مناسب برای اطمینان از کیفیت سیگنال بهینه برای کاربرد مد نظر حائز اهمیت است.

منظور از Impedance و Capacitance در کابل کواکسیال چیست؟

مقاومت ظاهری Impedance و ظرفیت خازنی Capacitance دو ویژگی مهم کابل کواکسیال هستند. مقاومت ظاهری به مقاومت کلی کابل در مقابل جریان متناوب اشاره دارد. معمولاً بر حسب اهم بیان می‌شود و یک پارامتر مهمی برای اطمینان از انتقال صحیح سیگنال و تطبیق بین دستگاه‌ها است. در مقابل، ظرفیت خازنی به توانایی کابل برای ذخیره سازی بار الکتریکی اشاره دارد که به سرعت عبور سیگنال در کابل و یکپارچگی سیگنال می تواند تأثیر داشته باشد.

تفاوت کابل کواکسیال بیس باند و باند پهن

کابل کواکسیال باند پایه( Baseband) برای انتقال مستقیم و بدون تغییر(modulation ) یک سیگنال واحد که معمولاً دیجیتالی است، طراحی شده است. معمولاً برای انتقال سیگنال های ویدیویی از منبع مثلا کامپیتور به نمایشگرها استفاده می شود. در حالیکه، کابل کواکسیال باند پهن (broadband) برای انتقال همزمان چندین سیگنال که اغلب دارای رِنج های مختلف فرکانسی هستند، استفاده می شود؛ تلویزیون های کابلی و اتصالات اینترنتی  دو مثال از کاربردهای کابل کواکسیال باند پهن هستند.

کاربردهای دیگر کابل های کواکسیال

کابل کواکسیال کاربردهای مختلف دیگری بغیر از مخابرات و شبکه نیز دارد؛ در زمینه پزشکی برای تجهیزات تصویربرداری مانند دستگاه های MRI و در مسائل نظامی و هوافضا برای سیستم های ارتباطی و راداری مورد استفاده قرار می گیرند. علاوه بر این ها، در تولیدات صوتی/تصویری، الکترونیک خودرو و بسیاری از صنایع دیگر که انتقال سیگنال قابل اعتماد ضروری است، استفاده می شود.

سخن آخر

بنظر نمیرسد که تکنولوژی های بی سیم در آینده قصدی برای کنار گذاشتن سیستم های مبتنی بر کابل را داشته باشند؛ در واقع این دو به طور فزاینده ای مکمل یکدیگر خواهند بود. پس می توان گفت که کابل ها آمده اند که بمانند. در مقاله امروز سعی شد تا کابل های Coaxial از جنبه های مختلف بررسی شوند تا بلکه توانسته باشیم هر چند کم یر معلومات خوانندگان عزیز بیافزاییم و پاسخی مناسب برای سوالات شما فراهم آورده باشیم.

سوالات متداول:

کابل کواکسیال چیست؟

 نوعی خط انتقال است که برای انتقال سیگنال های الکتریکی با فرکانس بالا و تلفات کم استفاده می شود. و کاربردهای فراوانی در زمینه مختلف از شبکه گرفته تا اتومبیل سازی دارد.

کابل کواکسیال برای چه مواردی استفاده می شود؟

کابل coaxial به عنوان انتقال دهنده ی سیگنال های فرکانس رادیویی است ودر صنایع مختلف مورد استفاده است؛ از جمله خطوط تغذیه اتصال فرستنده‌ها و گیرنده‌های رادیویی به آنتن‌های آنها، اتصالات شبکه های کامپیوتری (به عنوان مثال، اترنت)، صوت دیجیتال (S/PDIF) و توزیع سیگنال‌های تلویزیون های کابلی.

چرا کابل کواکسیال بهتر است؟

در مقایسه بین coaxial و جفت تابیده twisted pair، کابل‌های کواکسیال می‌توانند بیش از 80 برابر حجم داده‌های یک کابل twisted pair را انتقال دهند و به همین دلیل است کابل‌های کواکسیال معمولا برای ارتباطات پرسرعت اینترنتی، کابلی و خدمات مخابراتی استفاده می‌شوند.

احراز هویت فرآیندی است برای تعیین اینکه یک شخص یا چیز واقعا شخص یا چیزی که ادعا می کنند هستند یا خیر. تکنولوژی احراز هویت با بررسی اینکه آیا اطلاعات اکانت کاربر با اطلاعات موجود در پایگاه داده کاربران مجاز یا یک سرور احراز هویت داده مطابقت دارد، کنترل دسترسی را برای سیستم ها فراهم می کند. احراز هویت، ایمنی سیستم ها، پروسه ها و اطلاعات سازمانی را تضمین می کند.

چندین نوع احراز هویت وجود دارد. برای هویت کاربر، کاربران معمولاً با آی دی کاربری شناسایی می شوند. احراز هویت زمانی اتفاق می‌افتد که کاربر اطلاعات اکانتی مانند پسورد را ارائه کند که با آی دی کاربری خود مطابقت دارد. الزام به داشتن شناسه کاربری و پسورد به عنوان احراز هویت تک-عاملی (SFA) شناخته می شود. در سال های اخیر، سازمان ها با درخواست فاکتورهای احراز هویت بیشتر، احراز هویت را تقویت کرده اند. این فاکتور های بیشتر می توانند کد منحصر به فردی باشند که هنگام تلاش برای لاگین به سیستم از طریق دستگاه تلفن همراه به کاربر ارائه می شود یا یک امضای بیومتریک، مانند اسکن صورت یا اثر انگشت. این به عنوان احراز هویت دو-مرحله ای (2FA) شناخته می شود. پروتکل های احراز هویت می توانند از 2FA فراتر بروند و از عوامل متعددی برای احراز هویت یک شخص یا سیستم استفاده کنند. روش های احراز هویت که از دو یا چند عامل استفاده می کنند، احراز هویت چند-عاملی (MFA) نامیده می شوند.

احراز هویت چیست؟

احراز هویت (Authentication) به فرآیندی گفته می شود که طی آن سیستم یا سازمانی هویت یک کاربر یا دستگاه را تأیید می ‌کند تا اطمینان حاصل شود که این فرد یا سیستم همان کسی است که ادعا می‌ کند. این فرآیند یکی از اصلی ‌ترین بخش‌ های امنیت شبکه و اطلاعات است که به جلوگیری از دسترسی غیرمجاز به منابع و اطلاعات حساس کمک می ‌کند. در احراز هویت، کاربران یا سیستم‌ ها معمولاً باید اطلاعاتی را ارائه دهند که فقط آن‌ ها از آن مطلع هستند، مانند رمز عبور یا پین (pin)، چیزی که دارند مانند کارت هوشمند یا توکن، یا چیزی که هستند، مانند اثر انگشت یا تشخیص چهره. این روش‌ها می ‌توانند به ‌تنهایی یا در ترکیب با یکدیگر استفاده شوند تا سطح امنیت بیشتری را فراهم کنند.

روش‌های احراز هویت در سطوح مختلفی مانند احراز هویت تک ‌عاملی (Single-Factor Authentication یا SFA) که تنها از یک عامل مانند رمز عبور استفاده می ‌شود، و احراز هویت چندعاملی (Multi-Factor Authentication یا MFA) که ترکیبی از چند عامل احراز هویت است، پیاده‌ سازی می ‌شوند.

توجه داشته باشید که در MFA، علاوه بر عامل دانش (مانند رمز عبور)، ممکن است از عوامل مالکیت (مانند دستگاه یا کارت) و عوامل بیومتریک (مانند اثر انگشت یا تشخیص چهره) استفاده شود. احراز هویت دو‌مرحله ‌ای (2FA) نوعی از MFA است که امنیت بیشتری نسبت به SFA دارد و معمولاً ترکیبی از رمز عبور و یک کد ارسال‌ شده به تلفن یا ایمیل کاربر است. این تکنیک‌ها در محیط ‌های آنلاین و شبکه ‌های شرکتی به ‌طور گسترده استفاده می ‌شوند تا از نفوذ افراد غیرمجاز به سیستم‌ ها و سرورها جلوگیری شود.

کد احراز هویت چیست؟

کد احراز هویت (Authentication Code) یک کد موقت و منحصربه ‌فرد است که برای تأیید هویت کاربران در سیستم‌های امنیتی به ‌ویژه در فرآیندهای احراز هویت دو مرحله ‌ای (2FA) استفاده می ‌شود. این کد معمولاً پس از وارد کردن نام کاربری و رمز عبور، به عنوان مرحله دوم برای افزایش امنیت، به کاربر ارسال می‌شود. هدف استفاده از این کد، اطمینان از این است که کاربر واقعی به سیستم دسترسی پیدا کند و نه کسی که فقط به رمز عبور دسترسی دارد.

کد احراز هویت ممکن است از طریق پیامک، ایمیل یا اپلیکیشن ‌های تولید کننده کدهای موقت مانند Google Authenticator یا Authy  ارسال شود. بهتر است بدانید این کدها معمولاً مدت زمان محدودی معتبر هستند (معمولاً 30 ثانیه تا چند دقیقه) و پس از آن منقضی می ‌شوند. کد احراز هویت به‌ عنوان یک لایه اضافه برای افزایش امنیت حساب ‌های کاربری و جلوگیری از نفوذ افراد غیرمجاز استفاده می‌ شود، دلیل این موضوع این است که اگر رمز عبور کاربری دزدیده شود، بدون دسترسی به این کد، مهاجم نمی ‌تواند به حساب کاربری شما دسترسی پیدا کند و به این ترتیب سیستم شما امن خواهد شد.

انواع روش های احراز هویت

روش ‌های احراز هویت به مجموعه ‌ای از تکنیک‌ها و ابزارهایی گفته می ‌شود که برای تأیید هویت کاربران یا دستگاه‌ها در سیستم‌های مختلف استفاده می‌شود. از جمله انواع روش های احراز هویت می توان به موارد زیر اشاره کرد:

1. احراز هویت بیومتریک (بهترین روش احراز هویت
   این روش شامل استفاده از ویژگی‌های فیزیکی و منحصربه ‌فرد هر فرد مانند اثر انگشت، تشخیص چهره، اسکن چشم، یا حتی الگوهای صدا و امضا است. از آنجایی که این ویژگی‌ها در هر فرد متفاوت و تغییرناپذیر هستند، احراز هویت بیومتریک یکی از امن‌ ترین و قابل اعتمادترین روش‌ها برای تأیید هویت به شمار می‌آید. به دلیل دقت و امنیت بالای این روش از احراز هویت، بسیاری از شرکت‌ها و سازمان‌ها به استفاده از این روش روی آورده‌اند.
2. احراز هویت مبتنی بر گواهی (Certificate-based Authentication)
   در این روش، هویت کاربر با استفاده از گواهینامه‌های دیجیتال و کلیدهای رمزنگاری تأیید می ‌شود. این گواهینامه‌ها معمولاً به صورت فایل‌ هایی روی دستگاه کاربر یا توکن ‌های امنیتی ذخیره می ‌شوند و هنگام اتصال به سیستم، اعتبار آن‌ها بررسی می ‌شود. این روش بیشتر در سازمان‌ها و محیط ‌های امن برای تبادل اطلاعات حساس استفاده می ‌شود، چرا که نیازمند تأمین گواهینامه‌های معتبر توسط مراجع قابل اعتماد است.
3. احراز هویت مبتنی بر رمز عبور (Password-based Authentication)
   احراز هویت مبتنی بر رمز عبور رایج ‌ترین روش احراز هویت است که کاربر با وارد کردن رمز عبور به سیستم دسترسی پیدا می ‌کند. این روش اگرچه آسان و کاربردی است، اما به دلیل وابستگی به یک عامل (رمز عبور) و آسیب ‌پذیری در برابر حملات مانند دزدیدن رمز عبور یا حملات فیشینگ، امنیت کمتری نسبت به روش‌های دیگر دارد. برای افزایش امنیت، ترکیب این روش با روش‌های دیگر توصیه می‌شود.
4. احراز هویت چند عاملی  (MFA – Multi-Factor Authentication)
   احراز هویت چند عاملی از چندین عامل برای تأیید هویت کاربر استفاده می ‌کند. این عوامل می ‌توانند ترکیبی از رمز عبور، کد احراز هویت، یا اطلاعات بیومتریک باشند. استفاده از MFA باعث می‌شود تا حتی در صورت لو رفتن یکی از اطلاعات امنیتی (مانند رمز عبور)، نفوذگر همچنان نیاز به عوامل دیگر داشته باشد، که این روش را به یکی از امن‌ترین راه‌های احراز هویت تبدیل می‌کند.
5. احراز هویت دو مرحله‌ای (2FA – Two-Factor Authentication)
   این روش یکی از زیرمجموعه‌های احراز هویت چند عاملی است که معمولاً از دو عامل مستقل برای تأیید هویت استفاده می‌کند. معمولاً این دو عامل شامل رمز عبور به‌عنوان اولین عامل و یک کد امنیتی که از طریق پیامک یا ایمیل ارسال می‌شود، به‌عنوان دومین عامل است. احراز هویت دو مرحله ‌ای در بسیاری از سیستم‌ها و پلتفرم‌های آنلاین استفاده می‌شود تا امنیت حساب‌های کاربری را افزایش دهند.

بهترین روش احراز هویت چیست؟

بهترین روش احراز هویت، احراز هویت بیومتریک است. این روش از ویژگی‌های فیزیکی و رفتاری منحصر به فرد هر فرد مانند اثر انگشت، چهره، صدا یا حتی الگوهای شبکیه چشم استفاده می ‌کند. دلایل برتری این روش عبارتند از:

• امنیت بالاتر: ویژگی‌های بیومتریک برای هر فرد منحصربه ‌فرد است و برخلاف رمز عبور یا کارت‌های شناسایی، قابل کپی یا سرقت نیست.
• راحتی و سرعت: کاربر نیازی به حفظ کردن رمز عبور یا حمل کارت ندارد. برای مثال، باز کردن قفل گوشی با اثر انگشت یا تشخیص چهره بسیار سریع ‌تر و آسان ‌تر از وارد کردن رمز عبور است.
• کاهش احتمال تقلب: امکان جعل ویژگی‌های بیومتریک بسیار پایین است، در حالی که رمزها و کارت‌ها قابل سرقت یا فراموشی هستند.

به طور کلی به همین سبب، احراز هویت بیومتریک به عنوان یکی از امن‌ ترین و راحت‌ ترین روش‌های احراز هویت شناخته می ‌شود.

انواع روش های احراز هویت شامل چیست؟

روش‌ های احراز هویت مختلف شامل احراز هویت چندعاملی، احراز هویت تک عاملی و احراز هویت یکپارچه هستند.

احراز هویت چندعاملی به استفاده از چندین روش یا لایه امنیتی برای تأیید هویت کاربران اشاره دارد. این روش معمولاً ترکیبی از عوامل مختلف نظیر رمز عبور، کد ارسال شده به تلفن همراه، و شناسایی بیومتریک است که به‌ طور همزمان برای افزایش امنیت مورد استفاده قرار می‌گیرند.

احراز هویت تک عاملی تنها از یک روش برای تأیید هویت کاربر استفاده می ‌کند، که معمولاً شامل رمز عبور یا کد یک ‌بار مصرف است. بهتر است بدانید این روش به ‌طور معمول ساده ‌تر و سریع ‌تر است، اما ممکن است امنیت کمتری نسبت به روش‌های چندعاملی داشته باشد.

احراز هویت یکپارچه به کاربران این امکان را می‌دهد تا با ورود به یک سیستم واحد، به تمامی سرویس‌ها و اپلیکیشن‌های متصل به آن دسترسی پیدا کنند. این روش به‌ طور ویژه در محیط ‌های سازمانی و تحت وب کاربرد دارد و باعث سهولت در مدیریت ورود و امنیت می‌ شود.

اهزار هویت چیست؟

احراز هویت (Authentication) به فرآیندی گفته می شود که طی آن سیستم یا سازمانی هویت یک کاربر یا دستگاه را تأیید می ‌کند تا اطمینان حاصل شود که این فرد یا سیستم همان کسی است که ادعا می‌ کند. این فرآیند یکی از اصلی ‌ترین بخش‌ های امنیت اطلاعات و شبکه است که به جلوگیری از دسترسی غیرمجاز به منابع و اطلاعات حساس کمک می ‌کند. در احراز هویت، کاربران یا سیستم‌ ها معمولاً باید اطلاعاتی را ارائه دهند که فقط آن‌ ها از آن مطلع هستند، مانند رمز عبور یا پین (pin)، چیزی که دارند مانند کارت هوشمند یا توکن، یا چیزی که هستند، مانند اثر انگشت یا تشخیص چهره. این روش‌ها می ‌توانند به ‌تنهایی یا در ترکیب با یکدیگر استفاده شوند تا سطح امنیت بیشتری را فراهم کنند.

روش‌های احراز هویت در سطوح مختلفی مانند احراز هویت تک ‌عاملی (Single-Factor Authentication یا SFA) که تنها از یک عامل مانند رمز عبور استفاده می ‌شود، و احراز هویت چندعاملی (Multi-Factor Authentication یا MFA) که ترکیبی از چند عامل احراز هویت است، پیاده‌ سازی می ‌شوند.

توجه داشته باشید که در MFA، علاوه بر عامل دانش (مانند رمز عبور)، ممکن است از عوامل مالکیت (مانند دستگاه یا کارت) و عوامل بیومتریک (مانند اثر انگشت یا تشخیص چهره) استفاده شود. احراز هویت دو‌مرحله ‌ای (2FA) نوعی از MFA است که امنیت بیشتری نسبت به SFA دارد و معمولاً ترکیبی از رمز عبور و یک کد ارسال‌ شده به تلفن یا ایمیل کاربر است. این تکنیک‌ها در محیط ‌های آنلاین و شبکه ‌های شرکتی به ‌طور گسترده استفاده می ‌شوند تا از نفوذ افراد غیرمجاز به سیستم‌ ها و سرورها جلوگیری شود.

چرا احراز هویت در امنیت سایبری مهم است؟

احراز هویت، سازمان ها را قادر می سازد تا ایمنی شبکه های خود را با دادن اجازه دسترسی فقط به کاربران یا پروسه های احراز هویت شده به منابع محافظت شده، حفظ کنند. این منابع می توانند شامل کامپیوترهای شخصی، شبکه های بی سیم، اکسس پوینت بی سیم، پایگاه های داده، وب سایت ها و سایر اپلیکیشن ها و سرویس های مبتنی بر شبکه باشد.

پس از احراز هویت، یک کاربر یا پروسه معمولاً تحت یک پروسه احراز دسترسی قرار می گیرد تا مشخص شود که آیا موجودیت تأیید شده، به یک منبع یا سیستم محافظت شده خاص می تواند دسترسی داشته باشد یا خیر. یک کاربر می تواند احراز هویت شود، اما اگر به کاربر اجازه دسترسی به یک منبع داده نشده باشد، امکان دسترسی به آن فراهم نمی شود.

در حالی که اصطلاحات احراز هویت (Authentication) و احراز دسترسی (Authorization) اغلب به جای یکدیگر استفاده می‌شوند و با هم پیاده‌سازی می‌شوند، اما عملکردهای مجزایی هستند. احراز هویت شامل تأیید هویت یک کاربر یا پروسه ثبت شده قبل از فعال کردن دسترسی به شبکه ها و سیستم های محافظت شده است. احراز دسترسی یک فرآیند دقیق تر است که تضمین می کند کاربر یا پروسه احراز هویت شده مجوز دسترسی به منبع خاص درخواست شده را دریافت کرده است یا خیر.

فرآیندی که از طریق آن دسترسی به برخی منابع محافظت شده به کاربران خاصی محدود می شود، کنترل دسترسی نامیده می شود. در مدل های کنترل دسترسی، احراز هویت همیشه قبل از احراز دسترسی است. انواع مختلف کنترل دسترسی به لایه های مختلف احراز هویت نیاز دارند.

احراز هویت چگونه کار می کند؟

در طی احراز هویت، اطلاعات اکانت ارائه شده توسط کاربر با اطلاعات موجود در یک پایگاه داده حاوی اطلاعات کاربران مجاز مقایسه می شود. این پایگاه داده می تواند بر روی سرور سیستم عامل محلی یا سرور احراز هویت قرار گیرد. اگر اطلاعات اکانت با اطلاعات موجود در فایل مطابقت داشته باشند و موجودیت تأیید شده، مجاز به استفاده از منبع باشد، کاربر دسترسی پیدا می کند.

مجوزهای کاربر تعیین می کند که کاربر به کدام منابع و سایر حقوق دسترسی مرتبط با کاربر، دسترسی پیدا می کند. آن حقوق دیگر، می تواند فاکتورهایی مانند ساعاتی که کاربر می تواند به منبع دسترسی داشته باشد و چه مقدار از منبع می تواند مصرف کند، باشد.

به طور سنتی، احراز هویت توسط سیستم‌ ها یا منابعی که به آنها دسترسی پیدا می کردید، انجام می ‌شد. به عنوان مثال، یک سرور با استفاده از سیستم پسورد، آی دی های لاگین یا نام کاربری و پسورد خود، کاربران را احراز هویت می کرد.

با این حال، پروتکل‌ های اپلیکیشن وب – مانند HTTP و HTTPS – stateless هستند، به این معنی که احراز هویت دقیق، کاربران نهایی را ملزم می‌کند که هر بار که با استفاده از HTTPS به منبعی دسترسی پیدا می‌کنند، مجددا احراز هویت شوند. برای ساده‌سازی احراز هویت کاربر برای اپلیکیشن‌های وب، سیستم احراز هویت، یک توکن تأیید احراز هویت امضا شده را برای اپلیکیشن کاربر نهایی صادر می‌کند. آن توکن به هر درخواست کلاینت اضافه می شود. این بدان معناست که کاربران مجبور نیستند هر بار که از یک اپلیکیشن وب استفاده می کنند، عملیات لاگین را انجام دهند.

احراز هویت برای چه مواردی استفاده می شود؟

سازمان‌ها از احراز هویت برای کنترل افرادی که می‌توانند به شبکه‌ و منابع شرکت دسترسی داشته باشند، و برای شناسایی و کنترل ماشین‌ها و سرورهایی که دسترسی دارند، استفاده می‌کنند. شرکت ها همچنین از احراز هویت استفاده می کنند تا کارمندان راه دور بتوانند به اپلیکیشن ها و شبکه ها به طور ایمن دسترسی داشته باشند. برخی از موارد استفاده خاص شامل موارد زیر است:

لاگین به سیستم های شرکتی

روش‌های احراز هویت به منظور تأیید هویت کارکنان و اعطا دسترسی آنها به سیستم‌های شرکتی مانند ایمیل، پایگاه‌های داده و مرکز اسناد، استفاده می‌شود. این روش به حفظ محرمانه بودن و یکپارچگی داده های حساس شرکت کمک می کند.

بانکداری آنلاین و تراکنش های مالی

روش های احراز هویت، هویت مشتریان را تأیید می کند و اطمینان حاصل می کند که فقط کاربران مجاز می توانند به حساب های بانکی دسترسی داشته باشند، تراکنش های مالی را تأیید کنند و سایر فعالیت های بانکی آنلاین را انجام دهند.

دسترسی راه دور ایمن

بسیاری از سازمان ها به کارمندان خود اجازه می دهند از راه دور کار کنند و از مکان های خارج از سازمان به منابع متصل شوند. روش های احراز هویت، دسترسی راه دور ایمن، تأیید هویت کاربران ریموت، اطمینان از دسترسی مجاز و حفظ امنیت زیرساخت شبکه سازمان را امکان پذیر می کند.

سوابق الکترونیکی مراقبت های بهداشتی (EHRs)

روش‌های احراز هویت در مراقبت‌های بهداشتی حیاتی هستند تا از حریم خصوصی و امنیت EHR بیماران محافظت کنند و در عین حال متخصصان مجاز مراقبت‌های بهداشتی را قادر می‌سازند در صورت نیاز به آنها دسترسی داشته باشند.

تراکنش های تجارت الکترونیک. روش های احراز هویت برای تأیید هویت مشتریان، محافظت از اطلاعات حساس و امکان ساختن تراکنش های آنلاین امن، استفاده می شود. این کار به جلوگیری از کلاهبرداری و افزایش اعتماد مشتری کمک می کند.

فاکتورهای احراز هویت چیست؟

اعتبارسنجی یک کاربر با شناسه کاربری و پسورد، ابتدایی ترین نوع احراز هویت در نظر گرفته می شود و فقط کافی است که کاربر آن دو اطلاعات را بداند. از آنجایی که این نوع احراز هویت تنها به یک عامل احراز هویت متکی است، این یک نوع SFA است.

احراز هویت قوی در برابر حمله، قابل اعتمادتر و مقاوم تر است. به طور معمول، حداقل از دو نوع مختلف فاکتور احراز هویت استفاده می کند و اغلب به رمزهای عبور قوی با حداقل هشت کاراکتر، ترکیبی از حروف کوچک و بزرگ، نمادها و اعداد خاص نیاز دارد. 2FA و MFA انواعی از احراز هویت قوی هستند که MFA یکی از رایج‌ترین روش‌های احراز هویت امروزی است.

یک فاکتور احراز هویت بخشی از داده یا ویژگی را ارائه می کند که می تواند کاربری که درخواست دسترسی به یک سیستم دارد را تائید کند. یک ضرب المثل امنیتی قدیمی می گوید که فاکتورهای احراز هویت می تواند چیزی باشد که شما می دانید، چیزی که دارید یا چیزی که هستید. فاکتورهای اضافی در سال‌های اخیر پیشنهاد و اعمال شده‌اند که مکان، اغلب به عنوان فاکتور چهارم و زمان به عنوان فاکتور پنجم عمل می‌کند.

فاکتورهای احراز هویت

فاکتورهای احراز هویت که در حال حاضر مورد استفاده قرار می گیرند عبارتند از:

زمان و مکان

دو مورد از پنج فاکتوری هستند که برای احراز هویت کاربری که درخواست دسترسی به یک سیستم را دارد، استفاده می شود.

فاکتور دانش

فاکتور دانش، یا چیزی که شما می دانید، می تواند هر اطلاعات اکانتی باشد که منعکس کننده اطلاعات کاربر است، مانند شماره شناسایی شخصی (PIN)، نام کاربری، پسورد یا جوابهای سؤالات امنیتی مخفی.

فاکتور مالکیت

فاکتور مالکیت ،یعنی چیزی که شما دارید می تواند نوعی اطلاعات اکانت باشد  که کاربر می تواند با خود داشته باشد یا حمل کند مثل دستگاه های سخت افزاری مانند توکن امنیتی، کارت هوشمند یا تلفن همراه که می توانید برای دریافت پیام متنی یا اجرای اپلیکیشن احراز هویت که می تواند پسورد یکبار مصرف (OTP) یا پین ایجاد کند، استفاده کنید.

فاکتور ذاتی

عامل ذاتی، یا چیزی که شما هستید، معمولا بر اساس شناسایی بیومتریک مانند اثر انگشت ، تشخیص چهره یا اسکن شبکیه است.

فاکتور مکان

جایی که شما هستید ممکن است کمتر مشخص باشد، اما گاهی اوقات برای تکمیل فاکتورهای دیگر استفاده می شود. مکان را می توان با دقت معقول توسط دستگاه های مجهز به سیستم موقعیت یاب جهانی یا با دقت کمتر به وسیله بررسی آدرس ها و مسیرهای شبکه تعیین کرد. فاکتور مکان معمولاً تنها فاکتور نیست که برای احراز هویت استفاده می شود. معمولاً فاکتورهای دیگری را تکمیل می کند و ابزاری برای رد برخی درخواست ها فراهم می کند. به عنوان مثال، می‌تواند از دسترسی مهاجمی که در یک منطقه جغرافیایی دور افتاده قرار دارد و خود را به عنوان کاربری که معمولاً از خانه یا محل کار خود در کشور اصلی سازمان لاگین می کند معرفی می کند، جلوگیری کند.

فاکتور زمان

مانند فاکتور مکان، فاکتور زمان یا زمانی که شما در حال احراز هویت هستید، مکانیزم تکمیلی دیگری برای از بین بردن مهاجمانی است که سعی می کنند در زمانی که آن منبع در دسترس کاربر مجاز نیست، به آن منبع دسترسی پیدا کنند. اغلب با موقعیت مکانی جفت می شود. به عنوان مثال، اگر کاربر آخرین بار در ظهر در ایالات متحده احراز هویت شده باشد، تلاش برای احراز هویت یک ساعت بعد از آسیا بر اساس ترکیب زمان و مکان رد می شود. علیرغم شایستگی آنها به عنوان فاکتورهای تکمیلی احراز هویت، مکان و زمان به خودی خود برای احراز هویت یک کاربر، بدون حداقل یکی از سه فاکتور اول، کافی نیستند.

انواع مختلف احراز هویت چیست؟

انواع مختلفی از مکانیسم های احراز هویت وجود دارد، از جمله موارد زیر:

احراز هویت تک-عاملی

SFA رایج ترین روش احراز هویت است؛ و فقط یک فایل پسورد که در آن شناسه های کاربر همراه با هش های پسوردهای مرتبط با هر کاربر ذخیره می شود، کافی است. هنگام لاگین به سیستم، پسوردی که کاربر ارسال می کند هش شده و با مقدار موجود در فایل رمز مقایسه می شود. اگر دو هش مطابقت داشته باشند، کاربر احراز هویت می شود.

این رویکرد برای احراز هویت دارای اشکالات متعددی است، به ویژه برای منابع مستقر در سیستم های مختلف. یکی از دلایل این است که مهاجمانی که به فایل پسورد یک سیستم دسترسی پیدا می کنند، می توانند از حملات brute-force علیه پسوردهای هش شده برای استخراج پسورد استفاده کنند. SFA همچنین ملزم می کند اپلیکیشن های مدرنی که به منابع چندین سیستم دسترسی دارند چندین احراز هویت انجام دهند.

تکنولوژی Single Sign-On برخی از نقاط ضعف احراز هویت مبتنی بر پسورد را برطرف کرده است. همچنین می توان تا حدی با نام های کاربری و رمزهای عبور هوشمندتر بر اساس قوانینی مانند حداقل طول و پیچیدگی و با استفاده از حروف بزرگ و نمادها آنها را برطرف کرد. با این حال، احراز هویت مبتنی بر پسورد و احراز هویت مبتنی بر دانش نسبت به سیستم هایی که به چندین روش مستقل نیاز دارند آسیب پذیرتر هستند.

احراز هویت دو-عاملی

2FA یک لایه حفاظتی اضافی را با ملزم کردن کاربر به ارائه فاکتور دوم تائید هویت علاوه بر پسورد، فراهم می کند. در این روش کاربر ملزم به می شود. این سیستم ها اغلب از کابران می خواهند کد تائید ارسالی به تلفن همراه از پیش ثبت شده یا کدی که در یک اپلیکیشن احراز هویت ایجاد می شود را وارد کنند.

احراز هویت چند-عاملی

MFA از کاربران می خواهد با بیش از یک فاکتور، هویت خود را احراز کنند، که ممکن است یک فاکتور بیومتریک مانند اثر انگشت یا تشخیص چهره باشد، یا یک فاکتور مالکیت مانند جا کلیدی امنیتی، یا یک کد که توسط اپلیکیشن احراز هویت تولید شده.

رمز یکبار مصرف

OTP یک رشته کاراکترهای عددی یا عددی-الفبایی است که به طور خودکار ایجاد می شود و یک کاربر را احراز هویت می کند. این پسورد فقط برای یک جلسه لاگین یا تراکنش معتبر است و معمولاً برای کاربران جدید یا کاربرانی که پسورد خود را گم کرده‌اند نیز استفاده می شود. در این روش به آنها یک OTP داده می شود تا لاگین کنند و پسورد جدید خود را بسازند.

احراز هویت سه-عاملی

این نوع MFA از سه عامل احراز هویت استفاده می‌کند – معمولاً اینها یک فاکتور دانش، مانند پسورد، همراه با یک فاکتور مالکیت، مانند یک توکن امنیتی، و یک فاکتور ذاتی، مانند بیومتریک هستند.

انواع احراز هویت بیومتریک

احراز هویت بیومتریک

این نوع احراز هویت معمولاً به عنوان فاکتور دوم یا سوم استفاده می شود. اسکن اثر انگشت، اسکن صورت یا شبکیه چشم و تشخیص صدا نمونه های رایجی هستند. حداقل 16 فاکتور احراز هویت بیومتریک وجود دارد، از اسکن اثر انگشت و شبکیه چشم گرفته تا تشخیص صدا و الگوهای رگ.

احراز هویت موبایل

این پروسه تأیید کاربران از طریق دستگاه های آنها، یا تأیید صحت خود دستگاه ها است. این به کاربران امکان می دهد از هر کجا به مکان ها و منابع امن وارد شوند. فرآیند احراز هویت تلفن همراه معمولاً به MFA نیاز دارد که می تواند شامل OTP ها، احراز هویت بیومتریک یا کد پاسخ سریع باشد.

احراز هویت مداوم

با این نوع احراز هویت، کاربران وارد یا خارج نمی شوند. در عوض، اپلیکیشن یک شرکت به طور مداوم یک امتیاز احراز هویت را محاسبه می کند که میزان اطمینان از اینکه مالک حساب شخصی است که از دستگاه استفاده می کند را اندازه می گیرد.

احراز هویت رابط برنامه نویسی اپلیکیشن (API)

سه روش زیر، روش های استاندارد مدیریت احراز هویت API هستند:

• در احراز هویت ابتدایی HTTP، سرور، اطلاعات احراز هویت مانند نام کاربری و پسورد را از یک کلاینت درخواست می کند. سپس مشتری اطلاعات احراز هویت را در یک هدر احراز دسترسی به سرور ارسال می کند.
• در احراز هویت کلید API، یک مقدار تولید شده منحصر به فرد به کاربر برای اولین بار اختصاص داده می شود که نشان می دهد کاربر شناخته شده است. هر بار که کاربر سعی می کند دوباره وارد سیستم شود، از کلید منحصر به فرد او استفاده می شود تا تأیید شود که همان کاربری است که قبلاً وارد سیستم شده است.
• Open Authorization یا OAuth، یک استاندارد باز برای احراز هویت و احراز دسترسی مبتنی بر توکن در اینترنت است. این استاندارد این امکان را فراهم می سازد که اطلاعات اکانت کاربر توسط سرویس های شخص ثالث مانند فیسبوک، بدون افشای پسورد کاربر، استفاده شوند. OAuth به عنوان یک واسطه از طرف کاربر عمل کرده و به سرویس یک توکن دسترسی ارائه می دهد که به اشتراک گذاری اطلاعات اکانت خاص را مجاز می کند.

احراز هویت در مقابل احراز دسترسی

احراز هویت تأیید می کند که کاربر همان کسی است که می گوید. احراز دسترسی فرآیندی است که از طریق آن یک ادمین، حقوقی را به کاربران تأیید شده اعطا می کند؛ و همچنین فرآیند بررسی مجوزهای اکانت کاربری برای تأیید دسترسی کاربر به آن منابع است.

امتیازات و ترجیحات اعطا شده برای یک اکانت مجاز به مجوزهای کاربر بستگی دارد. آنها به صورت محلی یا روی یک سرور احراز هویت ذخیره می شوند. یک ادمین تنظیمات تعریف شده برای این متغیرهای دسترسی کاربر را ایجاد می کند.

احراز هویت کاربر در مقابل احراز هویت ماشین

ماشین‌ها و اپلیکیشن‌ها باید اقدامات خودکار خود را در یک شبکه مجاز کنند. نمونه هایی از این موارد عبارتند از سرویس های بکاپ گیری آنلاین، پچ، به روز رسانی و سیستم های نظارت از راه دور، مانند مواردی که در تکنولوژی های پزشکی از راه دور و شبکه هوشمند استفاده می شود. همه اینها باید به طور ایمن احراز هویت شوند تا تأیید شوند که مجاز به انجام هر تعاملی که درخواست می کنند هستند و هکر نیستند.

احراز هویت ماشین را می توان با اطلاعات اکانت ماشین، مشابه شناسه و پسورد کاربر، اما ارائه شده توسط دستگاه مورد نظر، انجام داد. احراز هویت ماشین همچنین از گواهی‌های دیجیتال صادر و تأیید شده توسط یک مرجع گواهی به عنوان بخشی از زیرساخت کلید عمومی برای اثبات هویت در حین تبادل اطلاعات از طریق اینترنت استفاده می‌کند.

با رشد دستگاه‌های مجهز به اینترنت، احراز هویت قابل اعتماد دستگاه برای فعال کردن ارتباطات ایمن برای اتوماسیون خانگی و سایر کاربردهای اینترنت اشیا، بسیار حیاتی است. هر اکسس پوینت اینترنت اشیا یک نقطه نفوذ بالقوه است. و هر دستگاه شبکه ای نیاز به احراز هویت ماشین قوی دارد و باید برای دسترسی محدود پیکربندی شود تا در صورت نقض آنها، کارهایی را که می توان انجام داد محدود کرد.

سخن پایانی 

در نهایت، انتخاب روش مناسب احراز هویت بستگی به نیازها و سطح امنیت مورد نظر شما دارد. در حالی که احراز هویت چندعاملی به عنوان یکی از امن‌ترین روش‌ها شناخته می‌شود و می‌تواند محافظت زیادی در برابر تهدیدات امنیتی ارائه دهد، احراز هویت تک عاملی و یکپارچه نیز با توجه به سادگی و کارآیی خود در موقعیت‌های مختلف کاربردی هستند. با ارزیابی دقیق نیازهای امنیتی و استفاده از تکنولوژی‌های مناسب، می‌توانید اطمینان حاصل کنید که اطلاعات و دسترسی‌های شما به بهترین شکل ممکن محافظت می‌شود.

Telnet، به عنوان یکی از قدیمی‌ترین پروتکل‌های شبکه، امکان دسترسی و کنترل از راه دور دستگاه‌ها را از طریق رابط خط فرمان فراهم می‌کند. این پروتکل که در روزهای ابتدایی اینترنت توسعه یافت، به دلیل سادگی و کاربرد گسترده، در گذشته بسیار محبوب بود. اما با ظهور حملات سایبری و نیاز به ارتباطات امن‌تر، استفاده از Telnet کاهش یافت. نبود رمزنگاری در این پروتکل، اطلاعات حساسی مانند نام کاربری و رمز عبور را در معرض استراق سمع قرار می‌دهد. با این حال، همچنان در برخی محیط‌های خاص، مانند مدیریت دستگاه‌های قدیمی یا تست و عیب‌یابی شبکه، Telnet جایگاه خود را حفظ کرده است. در این مقاله به بررسی عملکرد Telnet، کاربردهای آن و چالش‌های امنیتی آن می پردازیم، با ما همراه باشید.

پروتکل Telnet چیست؟

telnet (teletype network) یک پروتکل شبکه برای ارتباط دوطرفه مبتنی بر متن از طریق CLI است که امکان دسترسی ریموت را فراهم می کند. Telnet در برابر تحدیدات و حمله های سایبری بسیار آسیب پذیر است؛ زیرا در مقایسه با SSH مدرن، رمزگذاری نشده است.  Telnet ذاتا ناامن است. اطلاعات کاربری (نام کاربری و پسورد) ارسال شده از طریق telnet رمزگذاری نشده است و بنابراین در برابر سرقت هویت آسیب پذیر است. با این حال، کاربران می توانند برای جلوگیری از این نوع نفوذ، به جای آن یک اتصال Secure Shell برقرار کنند.

اتصال Secure Shell برای ورود به یک ماشین راه دور از طریق شبکه، اجرای دستورات روی یک ماشین راه دور و انتقال فایل ها از یک ماشین به ماشین دیگر استفاده می شود. Secure Shell جایگزین telnet، rlogin، rsh و rcp می شود.

telnet چگونه کار می کند؟

Telnet به شما این امکان را می دهد که از راه دور به کامپیوتر متصل شده و به آن دسترسی داشته باشید و آن را طوری کنترل کنید که گویی در مقابل آن نشسته اید. بیایید مراحل استفاده از آن را توضیح دهیم:

مرحله 1: شروع یک جلسه

برای شروع یک جلسه Telnet، باید یک سرویس گیرنده Telnet روی رایانه خود نصب کنید. می توانید کلاینت های Telnet را برای اکثر سیستم عامل ها (سیستم عامل ها) از جمله ویندوز، مک و لینوکس پیدا کنید. پس از نصب یک کلاینت، می توانید آن را باز کرده و دستور اتصال به کامپیوتر راه دور را تایپ کنید. به عنوان مثال، دستور به این شکل است: “تلنت راه دور_رایانه_آدرس”.

مرحله 2: اتصال به رایانه از راه دور

هنگامی که فرمان اتصال به رایانه راه دور را وارد می کنید، سرویس گیرنده Telnet شما درخواستی را برای برقراری اتصال به رایانه راه دور ارسال می کند. اگر رایانه راه دور اتصال را بپذیرد، از شما خواسته می شود که یک نام کاربری و رمز عبور برای ورود به سیستم وارد کنید.

مرحله 3: کنترل کامپیوتر از راه دور

هنگامی که وارد سیستم شدید، می توانید کامپیوتر از راه دور را کنترل کنید، درست مثل اینکه در مقابل آن نشسته اید. می‌توانید دستورات را اجرا کنید، فایل‌ها را باز کنید و هر کار دیگری را که معمولاً روی رایانه انجام می‌دهید انجام دهید. تفاوت اصلی این است که شما آن را از راه دور انجام می دهید، بنابراین ممکن است تاخیر کمی در زمان پاسخ وجود داشته باشد.

مرحله 4: پایان جلسه

وقتی استفاده از آن را تمام کردید، می‌توانید با تایپ کردن «exit» یا «quit» در خط فرمان، جلسه را پایان دهید. با این کار ارتباط شما با کامپیوتر راه دور قطع می شود و شما را به کامپیوتر خود باز می گرداند.

کاربردهای Telnet

Telnet در روزهای اولیه اینترنت به طور گسترده مورد استفاده قرار می گرفت و امروزه نیز کاربردهایی دارد. در اینجا برخی از رایج ترین کاربردهای این پروتکل آورده شده است:

عیب یابی اتصال شبکه

می توان از آن برای آزمایش اتصال به دستگاه یا سرور شبکه استفاده کرد. با ایجاد یک اتصال Telnet به دستگاه یا سرور، می توانید بررسی کنید که آیا در دسترس است یا خیر، هر گونه خطا یا مشکلات اتصال را شناسایی کنید و مشکلات شبکه را تشخیص دهید.

پیکربندی دستگاه های شبکه

مدیران شبکه می توانند از Telnet برای پیکربندی از راه دور دستگاه های شبکه مانند روترها، سوئیچ ها و فایروال ها استفاده کنند. این به آنها اجازه می دهد تا دستگاه ها را از یک مکان مرکزی مدیریت کنند و بدون دسترسی فیزیکی به هر دستگاه، تغییراتی در زیرساخت شبکه ایجاد کنند.

مدیریت از راه دور سرورها

می توان از آن برای مدیریت از راه دور سرورهایی که دارای رابط خط فرمان هستند استفاده کرد. با ایجاد یک جلسه Telnet، مدیران سیستم می توانند از راه دور سرورها را مدیریت و پیکربندی کنند، اسکریپت ها را اجرا کنند و کارهای دیگر را انجام دهند.

دسترسی به سیستم های قدیمی

برخی از سیستم های کامپیوتری قدیمی هنوز برای دسترسی از راه دور به Telnet متکی هستند. این به اتصال به این سیستم ها، اجرای برنامه ها، پردازش داده ها و مدیریت منابع کمک می کند.

تست و اشکال زدایی برنامه ها

این پروتکل می تواند به عنوان یک ابزار تست برای بررسی اینکه آیا یک برنامه کاربردی می تواند با یک سرور یا دستگاه راه دور متصل شود یا خیر، استفاده شود. با ایجاد یک اتصال Telnet، توسعه دهندگان و آزمایش کنندگان می توانند بررسی کنند که برنامه به درستی کار می کند و هر گونه مشکل را عیب یابی کنند.

مشکلات امنیتی Telnet

جلسات Telnet بین مشتری و سرور بدون راه حل رمزگذاری نمی شوند. بنابراین کسانی که به جریان بسته TCP/IP بین میزبان ها دسترسی دارند می توانند تمام ترافیک را مشاهده کنند، به آن گوش دهند و اطلاعات حساس بالقوه مانند ورود و رمز عبور کاربرانی که به سرور Telnet متصل می شوند را ضبط کنند.

چرا امروزه از پروتکل Telnet استفاده می کنیم؟

Telnet عمدتاً توسط پروتکل Secure Shell (SSH) همپوشانی دارد، حداقل در اینترنت عمومی. اما اگر Telnet برای مدت طولانی منسوخ شده و در برابر یک حمله امنیتی آسیب پذیر است، چرا در وهله اول از آن استفاده کنید؟

با وجود اینکه پروتکل Telnet به دلیل عدم امنیت و نداشتن ویژگی‌های رمزنگاری مدرن امروزه کمتر استفاده می‌شود، هنوز دلایلی برای استفاده از آن وجود دارد:

دسترسی به سیستم‌های قدیمی: بسیاری از دستگاه‌ها و سرورهای قدیمی که هنوز در حال استفاده هستند، تنها از Telnet پشتیبانی می‌کنند. برای مدیریت و پیکربندی این دستگاه‌ها، مجبور به استفاده از Telnet هستید.

عیب ‌یابی شبکه : Telnet به عنوان یک ابزار سریع برای تست و بررسی اتصال دستگاه‌ها در شبکه به کار می ‌رود. مدیران شبکه می‌ توانند از آن برای بررسی سریع وضعیت دسترسی به پورت‌ها و ارتباطات شبکه استفاده کنند.

محیط‌های امن داخلی: در برخی شبکه‌ های داخلی و محصور که از نظر امنیتی کنترل شده هستند، استفاده از Telnet بدون ایجاد خطرات امنیتی ممکن است. در چنین محیط‌ هایی، از این پروتکل به دلیل سادگی و سرعت در مدیریت استفاده می ‌شود.

دلایل نوستالژیک: برخی علاقه ‌مندان به فناوری قدیمی به دلایل نوستالژیک همچنان از Telnet استفاده می‌ کنند. این پروتکل برای اجرای برخی برنامه‌ها و مشاهده اطلاعات قدیمی همچنان جذابیت خود را حفظ کرده است.

محدودیت‌های سیستم‌ها: برخی سیستم‌های خاص یا روترهای قدیمی تنها از طریق Telnet قابل دسترسی و پیکربندی هستند و مدیران شبکه مجبور به استفاده از آن هستند.

اگرچه Telnet ناامن است، اما با استفاده از تکنیک‌هایی مانند VPN یا استفاده از شبکه‌های محدود، می‌توان تا حدودی امنیت آن را افزایش داد.

اما در موارد غیر پیش پا افتاده، ممکن است لازم باشد به یک سرور قدیمی یونیکس یا روتر سیسکو که نیاز به اتصال Telnet دارد، دسترسی داشته باشید. و اگرچه ارتباطات Telnet به صورت متن ساده، نا امن و رمزگذاری نشده ارسال می شوند، Kerberos می تواند یک راه حل رمزگذاری ارائه دهد در حالی که SSH می تواند یک جایگزین Telnet ارائه دهد.

آیا Telnet امن است؟

Telnet قبل از پذیرش جریان اصلی اینترنت توسعه یافته بود. به همین دلیل است که فاقد ویژگی های رمزگذاری مدرن است و برای انتقال اطلاعات حساس امن در نظر گرفته نمی شود. این داده ها از جمله رمزهای عبور را به صورت متن ساده منتقل می کند، که دیگران به راحتی می توانند آنها را در شبکه رهگیری کنند. برای برقراری ارتباط امن، توصیه می شود از پروتکل هایی مانند SSH (Secure Shell) استفاده کنید که تمام داده های منتقل شده بین مشتری و سرور را رمزگذاری می کند و هم محرمانه بودن و هم یکپارچگی داده ها را فراهم می کند.

با این حال، برای نمونه هایی که Telnet هنوز در حال استفاده است، برخی از روش ها برای افزایش امنیت ارتباطات شما وجود دارد.

VPN

اگر مجبور به استفاده از Telnet هستید، اجرای آن از طریق یک شبکه خصوصی مجازی (VPN) می تواند اتصال را ایمن کند. تمام ترافیک بین رایانه شما و گره خروج VPN را رمزگذاری می کند، که می تواند از ترافیک شما در برابر استراق سمع محافظت کند.

فهرست سفید IP

دسترسی به سرور Telnet را با اجازه دادن فقط به آدرس های IP خاص برای اتصال محدود کنید. توجه داشته باشید که این کار از دسترسی غیرمجاز جلوگیری می کند اما در برابر رهگیری داده های در حال انتقال محافظت نمی کند.

Telnet از طریق TLS/SSL

پیاده سازی Telnet از طریق TLS یا SSL می تواند رمزگذاری برای جلسات Telnet فراهم کند. این امر مستلزم پیکربندی سرور Telnet برای پشتیبانی از SSL و استفاده از یک سرویس گیرنده Telnet است که از اتصالات SSL پشتیبانی می کند.

احراز هویت قوی

استفاده از احراز هویت دو مرحله‌ای (2FA) می‌تواند یک لایه امنیتی اضافی اضافه کند، اما این راه‌اندازی ممکن است پیچیده باشد و توسط Telnet استاندارد پشتیبانی نمی‌شود.

کاربرد پروتکل Telnet در سیسکو

سخن پایانی

Telnet یک پروتکل شبکه قدیمی اما همچنان پرکاربرد است که امکان دسترسی و کنترل از راه دور رایانه ها و دستگاه ها را فراهم می کند. اگرچه محبوبیت آن به دلیل توسعه پروتکل‌های امن‌تر و پیشرفته‌تر کاهش یافته است، اما Telnet همچنان جایگاه خود را در دنیای شبکه و محاسبات دارد. این یک ابزار ساده و با پشتیبانی گسترده است که همچنان کاربردهای عملی دارد.

مهندسی اجتماعی چیست؟

مهندسی اجتماعی، شامل طیف وسیعی از حملات است که از تعاملات انسانی و احساسات برای فریب هدف استفاده می شود. در طول حمله، قربانی برای در اختیار گذاشتن اطلاعات حساس در اختیار دیگران، فریب داده می شود یا شخصا امنیت را به خطر بیندازد.

یک حمله مهندسی اجتماعی، معمولاً از چندین مرحله تشکیل شده است. مهاجم در مورد قربانی تحقیق می کند، اطلاعاتی در مورد آنها و چگونگی استفاده از اطلاعات برای دور زدن پروتکل های امنیتی یا برای به دست آوردن اطلاعات، جمع آوری می کند. در ادامه، مهاجم قبل از اینکه اطلاعات را افشا کند یا نقض سیاست‌های امنیتی را دستکاری کند، کاری می کند تا اعتماد هدف را جلب کند.

به طور خلاصه می توان گفت مهندسی اجتماعی یک روش فریب‌کاری است که مهاجمان از آن برای دسترسی به اطلاعات حساس، بدون نیاز به هک مستقیم سیستم‌های امنیتی، استفاده می‌کنند. این نوع حمله بر اساس دستکاری روانی انسان‌ها انجام می‌شود و هدف آن جلب اعتماد قربانی برای فاش کردن اطلاعات محرمانه یا انجام اقداماتی است که به نفع مهاجم است. در حملات مهندسی اجتماعی، معمولاً احساسات و غرایز انسانی مانند ترس، اعتماد، و کنجکاوی مورد سوءاستفاده قرار می‌گیرند.

نحوه عملکرد مهندسی اجتماعی

در این تعریف از مهندسی اجتماعی، شروع یک حمله مهندسی، به گونه ای است که مهاجمان مشخص می کنند از یک سازمان یا شخص چه می خواهند. سپس رفتارها، علاقه‌ها و ناپسندی‌های یک هدف انسانی را مطالعه می‌کنند تا بهترین روش برای سواستفاده از آنها را دریابند. سپس حمله را اجرا کرده و سعی می کنند به داده های حساس یا شبکه ها یا سیستم های ایمن دسترسی پیدا کند. برای ارتکاب حملات مهندسی اجتماعی، رفتار انسان مورد سوء استفاده قرار می گیرد. در رفتار انسان، صفات خاصی وجود دارد که بومی اند و حملات سایبری مهندسی اجتماعی، به دنبال سو استفاده از این صفات هستند.

علاقه

مردم تمایل دارند به کسانی که دوستشان دارند، اعتبار بیشتری نسبت به کسانی که دوستشان ندارند بدهند. به منظور سوء استفاده از این، یک مهاجم مهندسی اجتماعی ممکن است سعی کند قابل اعتماد و جذاب به نظر برسد و به تظاهر، کسی را دوست داشته باشد که علایق مشابهی با آن دارد.

عمل متقابل

مهندسان اجتماعی با ارائه چیزی با ارزش ظاهری، حتی اگر به سادگی یک لطف کوچک یا نرم افزار رایگان باشد، غریزه عمل متقابل را تحریک می کنند. هنگامی که مردم احساس می‌کنند چیزی دریافت کرده‌اند، احتمال بیشتری دارد که جبران لطف کنند، که می‌تواند شامل اشتراک‌گذاری اطلاعات یا اعطای دسترسی باشد.

تعهد

پس از اینکه کسی متعهد به یک اقدام عملی می شود، احساس می کند که موظف است به تصمیم خود پایبند بماند. مهاجمی که از ابزارهای مهندسی اجتماعی استفاده می‌کند، می‌تواند با موافقت قربانی با چیزهای کوچک، قبل از درخواست چیز بزرگ‌تر، از آن سوء استفاده کند. آنها همچنین ممکن است قبل از آشکار شدن خطرات آن، از آنها بخواهند که با یک اقدام موافقت کنند.

اثبات اجتماعی

احتمال اینکه افراد از محصولی حمایت کنند در حالی که افراد مورد اعتمادشان نیز آن را تأیید کرده اند بسیار بیشتر است. مهاجمان ممکن است از شبکه های اجتماعی، برای سوء استفاده از مفهوم اثبات اجتماعی با این ادعا که دوستان آنلاین قربانی، قبلاً یک اقدام، محصول یا خدماتی را تأیید کرده اند، استفاده کنند.

قدرت

افراد، به طور طبیعی تمایل دارند به مقامات، بیشتر از کسانی که تجربه یا تخصص کمتری دارند اعتماد کنند. از این رو، ممکن است مهاجم سعی کند از عباراتی مانند “طبق نظر کارشناسان” یا “علم ثابت می کند” برای متقاعد و موافقت کردن هدف و با چیزی استفاده کند.

مهندسی اجتماعی در حال حاضر

با گذشت زمان، تکنولوژی ها و روش ها تغییر کردند، اما دستکاری روانی تغییر نکرد. همانطور که در کلاهبرداری شاهزاده نیجریه قابل مشاهده است.

جعبه ابزار مهندسی اجتماعی برای این کلاهبرداری فقط شامل یک حساب ایمیل و برخی اسناد جعلی است. شخصی که تظاهر می کند یک شاهزاده نیجریه ای است، ادعا می کند که حساب بانکی قفل شده و بدون کمک نمی تواند به آن دسترسی پیدا کند. اگر گیرنده پیام، هزینه مورد نیاز برای رشوه دادن به مقامات یا پرداخت هزینه برای دسترسی به وجوه را به آنها بدهد، “شاهزاده” غنیمت ها را با گیرنده تقسیم خواهد کرد. البته، پولی وجود ندارد، و هر چیزی که دریافت شود هرگز برگردانده نمی‌شود.

تکنیک های حمله کلاهبرداری مهندسی اجتماعی

تکنیک‌های حمله کلاهبرداری مهندسی اجتماعی شامل روش‌های متنوعی هستند که مهاجمان با استفاده از آنها قربانیان خود را فریب می‌دهند. این تکنیک‌ها به منظور دسترسی به اطلاعات حساس، پول، یا دیگر منافع انجام می‌شوند و اغلب با سوءاستفاده از اعتماد یا عواطف انسانی همراه هستند. در ادامه برخی از متداول‌ترین تکنیک‌های حمله مهندسی اجتماعی را بررسی می‌کنیم:

طعمه گذاری

حمله طعمه‌ای (Baiting)،سعی می‌کند با قول دادن به چیزی که حس کنجکاوی یا طمع او را جلب می‌کند، قربانی را جذب کند. این کار هدف را فریب می‌دهد تا چیزی را نصب یا بر روی چیزی کلیک کند که در نهایت، بدافزاری مانند بدافزار مورد استفاده برای داروسازی یا جاسوس‌افزار، را روی سیستم قرار دهد.

ترس افراز

ترس افزار (Scareware)، هدف را با تهدیدهای جعلی یا هشدارهای دروغین بمباران می کند به این امید که تمایل طبیعی آنها برای محافظت از خودشان یا چیزی که برایشان ارزش قائل هستند، آنها را به انجام اقدام مورد نظر هکر سوق دهد. یکی از رایج‌ترین انواع، استفاده از بنرهایی با ظاهر حقیقی است که هشدار می‌دهند کامپیوتر آنها ممکن است به ویروس یا نوع دیگری از بدافزار آلوده شده باشد.

برای داشتن اطلاعات بیشتر در رابطه با اینکه هکر کیست و چگونه هک می کند؟ کلیک کنید.

پِریتِکستینگ

در حمله ای که از پِریتِکستینگ(Pretexting) استفاده می شود، مهاجم با توجه به هویت قربانی، دروغ می گوید. پس از اینکه آنها اعتماد هدف را به دست آوردند، آنها را فریب می دهند تا اطلاعات حساس را تحویل گیرند.

فیشینگ

در یک حمله فیشینگ، مهاجم احساس فوریت ایجاد می کند یا به کنجکاوی قربانی متوسل می شود. سپس آنها را وادار می کنند که روی یک لینک مخرب کلیک کنند یا اطلاعات خصوصی را از طریق یک فرم ارائه دهند.

اسپیر فیشینگ

با حمله اسپیر فیشینگ (Spear Phishing)، قربانی به طور خاص هدف قرار می گیرد و مهاجم اغلب تحقیقات گسترده ای را قبل تر از موعد انجام می دهد. هنگامی که مهاجم بداند چگونه قربانی را فریب دهد، حمله را آغاز می کند، برای اطلاعات، اکانت ها یا داده های حساس فیشینگ می کند.

حمله گودال آب

در حمله گودال آب (Water Holing)، مهاجم سعی می‌کند با آلوده کردن سایت‌هایی که مورد اعتماد هستند، گروهی از افراد مشخص را به خطر بیاندازد. ممکن است مهاجم بر روی سایت‌هایی تمرکز کند که اغلب، افراد از آن‌ها بازدید می‌کنند و در آن صفحات احساس امنیت می‌کنند.

حمله جبران لطف

در یک حمله جبران لطف (Quid Pro Quo)، مهاجم وانمود می‌کند که در ازای اطلاعات یا اقدامی خاص، چیزی را در اختیار قربانی قرار می‌دهد. به عنوان مثال، مهاجم ممکن است وانمود کند که فردی از پشتیبانی فنی است، سپس هدف را متقاعد کند که دستورات را وارد کرده و یا نرم‌افزاری را دانلود کند که بدافزار را روی سیستم آنها نصب می‌کند.

تله عسل

با حمله تله عسل (Honey Trap)، مهندس اجتماعی هویت یک فرد جذاب را به خود می گیرد و سپس با قربانی به صورت آنلاین رابطه برقرار می کنند تا سعی کنند اطلاعات حساس را از آنها دریافت کنند.

تِیل گِیتینگ

تِیل گِیتینگ(Tailgating) تعقیب فردی با مجوز امنیتی، توسط مهاجم به داخل ساختمان است. به طوریکه هدف، یا به مهاجم اعتماد می‌کند یا از روی ادب، در را برای آنها باز نگه می‌دارد.

سرکش

با یک حمله سرکش(Rogue)، قربانی فریب داده می شود و مبلغی را می پردازد تا بدافزار را از سیستم خود حذف کند. بدافزار از سیستم حذف نمی شود، اما قربانی همچنان به مهاجم پرداخت می کند.

ویشینگ

ویشینگ (Vishing)، مخفف فیشینگ صوتی، از مکالمه تلفنی برای دریافت اطلاعات مالی یا شخصی هدف استفاده می کند. آنها اغلب هویت خود را با استفاده از جعل پنهان می کنند، که شناسه تماس گیرنده را تغییر می دهد. مانند سایر تاکتیک های مهندسی اجتماعی، مهاجم سعی می کند اعتماد افراد را جلب کند یا از ترس استفاده می کند تا آنها را وادار به افشای اطلاعات ارزشمند کند.

نمونه های معروف حملات مهندسی اجتماعی

فرانک اَبگنِیل احتمالاً مشهورترین نمونه حمله مهندسی اجتماعی است. کتاب و فیلم «اگر می‌توانی مرا بگیر» به تصویر می‌کشد که چگونه آقای اَبگنِیل برای جلب اعتماد مردم و سوء استفاده از افراد مختلف، از جمله یک پزشک، یک وکیل، و یک خلبان هواپیما، خود را به تصویر می‌کشد.

در سال 2011، یک مهاجم با ارسال ایمیل های فیشینگ به گروه هایی از کارمندان، به شرکت امنیتی RSA نفوذ کرد. ایمیل ها یک صفحه اکسل ضمیمه شده بودند. صفحه دارای کد مخربی بود که از یک آسیب پذیری در Adobe Flash، برای نصب یک درب پشتی در سیستم استفاده می کرد. اگر کارمندان برای باز کردن پرونده، مهندس اجتماعی نبودند، حمله موفقیت آمیز نبود.

چگونه حملات مهندسی اجتماعی را شناسایی کنیم؟

شناسایی حملات مهندسی اجتماعی نیازمند دقت و آگاهی است، زیرا این حملات معمولاً با استفاده از روش‌های فریبکارانه و سوءاستفاده از عواطف انسانی طراحی می‌شوند. در ادامه چند روش کلیدی برای شناسایی و جلوگیری از افتادن در دام این حملات آورده شده است:

• برای تشخیص حمله مهندسی اجتماعی، به دنبال علائم زیر باشید:
• یک درخواست احساسی که ترس، کنجکاوی، هیجان، خشم، غم یا گناه را تحت تاثیر قرار می دهد.
• احساس فوریت در مورد درخواست
• تلاش برای ایجاد اعتماد با گیرنده

به طور خلاصه، هر زمان که کسی بخواهد از طریق فریب یا اجبار شما را وادار به ارائه پول یا اطلاعات حساس کند، شما یک هدف حمله مهندسی اجتماعی قرار می گیرید.

مراحل حمله مهندسی اجتماعی

حملات مهندسی اجتماعی اغلب از چند مرحله تشکیل می‌شوند:

1. تحقیق: مهاجم اطلاعاتی درباره قربانی (یا سازمان) جمع‌آوری می‌کند.
2. ایجاد اعتماد: مهاجم به شکلی که قابل اعتماد به نظر برسد با هدف ارتباط برقرار می‌کند.
3. سوءاستفاده از اعتماد: مهاجم قربانی را فریب می‌دهد تا اطلاعات حساس یا دسترسی به منابع را فراهم کند.
4. فرار: پس از دست‌یابی به اهداف خود، مهاجم به سرعت از موقعیت خارج می‌شود.

برای جلوگیری از حملات مهندسی اجتماعی، نیاز به اتخاذ تدابیر پیشگیرانه و آگاهی از روش‌های معمول این حملات دارید. در ادامه به چند روش کلیدی برای حفاظت از خود و سازمانتان در برابر حملات مهندسی اجتماعی اشاره می‌ کنیم:

عادات ارتباط ایمن و مدیریت حساب

همیشه هنگام برقراری ارتباط آنلاین مراقب باشید و هرگز به کسی که نتوانید هویت او را تأیید کنید اعتماد نکنید. مهمتر از همه، هرگز روی چیزی که مشکوک به نظر می رسد کلیک نکنید و هرگز اطلاعات حساس را فاش نکنید.

• هرگز روی پیوندهای موجود در ایمیل یا پیام کلیک نکنید

به جای کلیک بر روی یک منبع یاب یکنواخت (URL)، آن را به صورت دستی در نوار آدرس تایپ کنید. قبل از کلیک کردن روی آنها، مبدأ همه URL ها را دوباره بررسی کنید و اگر نمی توانید مشروعیت آنها را تأیید کنید، از آنها اجتناب کنید.

• احراز هویت چند عاملی (MFA)

استفاده از بیش از یک رمز عبور برای دسترسی به یک حساب می تواند در جلوگیری از نفوذ مهندسان اجتماعی به یک سیستم موثر باشد. این می تواند شامل بیومتریک یا پسورد های موقت ارسال شده از طریق یک پیام متنی باشد.

• استفاده از پسوردهای قوی و مدیریت پسورد

پسورد شما باید پیچیده و منحصر به فرد باشد و هرگز برای بیش از یک سایت یا حساب تکرار نشود. می توانید از یک مدیریت پسورد امن برای سازماندهی آنها استفاده کنید و در صورت نیاز در دسترس قرار دهید.

• در ایجاد دوستی های فقط-آنلاین محتاط باشید

رابطه‌ای که شامل هیچ گونه تعامل حضوری یا مکالمه تلفنی نمی‌شود، می‌تواند به راحتی برای مهندسی اجتماعی در سال 2021 استفاده شود. مراقب هرکسی باشید که می‌خواهد فقط به صورت آنلاین تعامل داشته باشد،.

عادات استفاده از شبکه ایمن

• هرگز اجازه ندهید افراد غریبه به شبکه وای فای اصلی شما متصل شوند

اجازه دادن به شخصی برای دسترسی به شبکه Wi-Fi اصلی شما، امکان استراق سمع را محیا می کند. برای جلوگیری از این امر، از شبکه مهمان برای کسانی که به دفتر یا خانه شما مراجعه می کنند استفاده کنید.

• از VPN استفاده کنید

یک شبکه خصوصی مجازی (VPN) یک تونل امن و رمزگذاری شده برای شما فراهم می کند که ارتباطات از آن عبور می کند. حتی اگر کسی ارتباطات شما را جاسوسی کند،  VPNارسال ها را رمزگذاری می کند و آنها را برای مهاجم بی فایده می کند.

برای داشتن اطلاعات بیشتر در رابطه با رمگذاری چیست؟ کلیک کنید.

• همه دستگاه ها و سرویس های متصل به شبکه را ایمن نگه دارید

در حالی که احتمالاً اتصالات Wi-Fi شما در دفتر و اطراف آن مانند دستگاه های تلفن همراه شما ایمن هستند، مهم است که از سایر دستگاه ها مانند سیستم های سرگرمی-اطلاعاتی در ماشین خود غافل نشوید. ورود به این سیستم ها می تواند به مهندس اجتماعی کمک کند تا حمله خود را بیشتر شخصی سازی کند.

عادات استفاده از دستگاه ایمن

• از نرم افزار جامع امنیت اینترنتی استفاده کنید

نرم افزار امنیت اینترنت می تواند از سیستم شما در برابر بدافزارهایی که از طریق یک حمله مهندسی اجتماعی کاشته می شوند محافظت کند. همچنین برخی از راه‌حل‌های امنیتی می‌توانند منبع حمله را ردیابی کنند، که سپس می‌توان آن‌ها را به مقامات گزارش کرد تا در تحقیقات آنها در مورد جرم کمک کند.

• هرگز دستگاه های خود را در مکان های عمومی ناامن نگذارید

کامپیوتر و دستگاه های تلفن همراه شما باید همیشه همراه شما قفل یا ایمن باشد. این موضوع چه در یک مکان عمومی و چه در محیط نیمه عمومی مانند شغل خود صادق است.

• تمام نرم افزارها را به روز نگه دارید

آپدیت نرم افزار کمک می کند تا اطمینان حاصل شود که برنامه های شما حتی در برابر جدیدترین انواع حملات به چشم انداز غیر قابل نفوذ هستند. پس از موفقیت آمیز بودن حمله، تیم طراحی نرم افزار ممکن است آسیب پذیری موجود در یک آپدیت را برطرف کند، بنابراین به روز رسانی های مکرر به روزترین امنیت را برای شما فراهم می کند.

• رخنه های شناخته شده داده ی حساب های آنلاین خود را بررسی کنید

برخی از شرکت ها، حساب هایی را که توسط هکرها به خطر افتاده است را پیگیری می کنند. اگر اطلاعات حساب شما در لیست آنها است، با تغییر پسورد یا افزودن MFA، اقداماتی را برای ایمن سازی آن انجام دهید.

جمع بندی

میهمانان هر هتل، انتظار یک دسترسی به اینترنت سریع و مطمئن را از هر کدام از اتاق ها، در زمان اقامت خود دارند و به همین دلیل است که Wi-Fi، یک جنبه حیاتی برای املاک هایی همچون هتل ها محسوب می شود و اتصال کند و باگ اینترنتی، ممکن است به دریافت نظرات منفی و انتقادات توسط میهمانان هتل منجر شود؛ بنابراین برای مهیا کردن یک تجربه خوب از اقامت برای مهمان، مستلزم مهیا کردن یک شبکه بیسیم با کیفیت بالا که از محدوده پوششی گسترده، تعداد بالایی از ظرفیت اتصال کاربر و سرعت قابل اطمینان است.

بهترین اکسس پوینت برای هتل

از جمله بهترین و مناسب ترین اکسس پوینت ها، می توان به اکسس پوینت های FortiAP و Access Point Cisco اشاره کرد که طیف وسیعی از نقاط دسترسی به وای فای را ارائه داده و به طور اختصاصی برای غلبه بر چالش های خاص موجود در شبکه های بی سیم هتل طراحی و بهینه شده اند؛ در ادامه این مطلب، کارشناسان توضیح می دهند که چرا این اکسس پوینت ها برای استفاده در هتل ها عالی هستند.

ظرفیت اتصال بیشتر به ازای هر اکسس پوینت

یک هتل، به تعداد اکسس پوینت های کافی برای مهیا کردن اینترنت برای همه ی دستگاه های موجود در اتاق های میهمان و کارکنان هتل نیاز دارد و هر چقدر که یک اکسس پوینت (AP) واحد، بتواند دستگاه های بیشتری را اداره کند، تعداد AP های کمتری برای خرید و استقرار لازم است، که می تواند هزینه ها و دردسر های مدیریت یک هتل را به میزان قابل توجهی کاهش دهد.

پوشش وای فای فوق العاده با کمترین تداخل

واضح است که اکسس پوینت های مستقر در هتل، باید مساحت زیادی را به صورت سه بعدی در سرتاسر ملک پوشش دهند ولی در عین حال سیگنال های فرکانس رادیویی (RF) نیز نباید آنقدر قوی باشند که با سایر RF ها مانند کارت های کلید هتل یا مچ بند و موارد دیگر تداخل داشته باشند.

بر خلاف اکسس پوینت های سنتی که از آنتن های همه جهته استفاده می کنند و با تابش RF ها در همه جهات، محیط را بیش از حد اشباع می کنند، اکسس پوینت های مدرن مانند FortiAP و Access Point Cisco، از تکنولوژی آنتن تطبیقی BeamFlex+ برای هدایت سیگنال های رادیویی هر دستگاه به صورت بسته ای، استفاده کرده و برای برقراری بهترین ارتباط ممکن با هر دستگاهی که درخواست دسترسی دارد، از میان تعداد زیادی از الگوهای آنتن، بهترین را به صورت پویا و خودکار انتخاب می کنند تا پوشش و عملکرد بهتری را با کمترین تداخل RF ارائه دهند.

سرعت و عملکرد بالای وای فای، حتی با ظرفیت کامل!

مهمانان هتل انتظار دارند تجربه وای فای داخل اتاق آنها، به همان کیفیت و سرعتی که در خانه وجود دارد پرسرعت باشد؛ اکسس پوینت های FortiAP و Access Point Cisco، از تکنولوژی کانال پویا Channel Fly برخوردار هستند و به صورت خودکار، کم تراکم ترین کانال RF را برای هر اتصال استفاده می کنند؛ و همچنین از آنتن های تطبیقی BeamFlex و تکنولوژی یادگیری ماشینی برای بهینه سازی انتخاب کانال و انتقال هموار مشتری ها بین کانال ها استفاده می کنند تا هر مهمان از عملکرد عالی وایفای مانند شبکه خانگی بهره مند شود.

کاربرد اکسس پوینت در هتل

همانطور که گفته شد، اکسس پوینت (Access Point) در هتل‌ها نقشی بسیار حیاتی در ارائه خدمات اینترنت بی‌سیم به مهمانان ایفا می‌کند. با افزایش تعداد دستگاه‌های متصل به شبکه و نیاز به دسترسی پایدار و با کیفیت به اینترنت، استفاده از اکسس پوینت‌ها در هتل‌ها ضروری شده است. در ادامه به کاربردهای اصلی اکسس پوینت در هتل‌ها می‌پردازیم:

• محدوده گسترده پوششی

اکسس پوینت ها محدوده پوششی گسترده ای را ارائه می دهند که بتوان حتی در مکان هایی که سیگنال وای فای ضعیف باشد بتوان از ترافیک اینترنت سرعت بالایی بهره مند شد؛ همین مورد به تنهایی یکی از اصلی ترین دلایل استفاده از اکسس پوینت به جای مودم است.

• سرعت بالا

دستگاه های اکسس پوینت به صورت خودکار سرعت انتقال داده را افزایش می دهند و اگر چند دستگاه AP به صورت همزمان در یک محیط، فعال و مستقر باشند، سرعت و عملکرد شبکه به صورت قابل توجهی افزایش می یابد.

• امنیت

دستگاه های AP از پروتکل های امنیتی مانند WPA2 برخوردار هستند که از دسترسی های غیرمجاز به شبکه جلوگیری می کند.

• کاهش هزینه

استفاده از اکسس پوینت به جای روتر و مودم، می تواند در کاهش هزینه ها به میزان قابل توجهی تاثیرگذار باشد.

• قابلیت اتصال تعداد زیادی از دستگاه ها

اکسس پوینت ها این قابلیت را دارند که به صورت همزمان از 60 دستگاه پشتیبانی کنند و این مورد نیز یکی از اصلی ترین مزایای استفاده از اکسس پوینت محسوب می شود.

• نصب آسان

نصب و مستقر سازی دستگاه AP به قدری ساده و آسان است که شما می توانید فقط با استفاده از یک کابل اترنت آن را راه اندازی کنید؛ جالب است بدانید که اکسس پوینت های جدید و مدرن حتی نیاز به کابل هم ندارند و می توان آن ها را به صورت بی سیم مستقر کرد.

• مدیریت دسترسی

دستگاه های اکسس پوینت از ACL و CAPTIVE PORTAL پشتیبانی می کنند و به همین دلیل است که می توان دسترسی کاربران به شبکه وای فای را کنترل و مدیریت کرد.

دستگاه های اکسس پوینت هتل باید در کجا ها مستقر شود؟

مکان‌یابی مناسب برای نصب دستگاه‌های اکسس پوینت (Access Point) در هتل‌ها برای ارائه پوشش گسترده و با کیفیت Wi-Fi به مهمانان بسیار اهمیت دارد. این دستگاه‌ها باید به گونه‌ای مستقر شوند که حداکثر بهره‌وری و کارایی را در کل ساختمان هتل فراهم کنند. شما می توانید دستگاه های اکسس پوینت را در اتاق ها و راهرو های هتل مستقر کنید زیرا در این صورت سیگنال های RF می توانند به راحتی، از اتاق ها منتقل شوند.

چرا نمی توان از مودم برای هتل ها استفاده کرد؟

مودم ها قابلیت اینکه ترافیک وای فای اینترنت برای دستگاه های زیادی مهیا کنند را ندارند ولی در مقابل، هر یک عدد دستگاه اکسس پوینت، می تواند 60 دستگاه را به صورت همزمان پشتیبانی کند و در مکان هایی مانند هتل که نیاز به ظرفیت اتصال بالا و محدوده سه بعدی پوششی گسترده دارند، بسیار منطقی تر و به صرفه تر است که از اکسس پوینت به جای مودم استفاده شود.

جمع بندی

در این مطلب، با مفهوم و کارایی اکسس پوینت، کاربرد و بهترین انواع آن ها برای استفاده در هتل ها آشنا شدیم و دانستیم که اکسس پوینت ها به دلیل محدوده پوششی گسترده و تعداد ظرفیت اتصال دستگاه بالایی که دارند، در اماکنی مانند هتل ها بسیار پرکاربرد هستند. شما می توانید برای دریافت مشاوره رایگان و خرید بهترین اکسس پوینت ها برای هتل، با کارشناسان ما تماس بگیرید.

در عصر فناوری و ارتباطات، شبکه‌های بی‌سیم به یکی از ابزارهای ضروری تبدیل شده‌اند و اکسس پوینت‌ها نقش مهمی در تقویت و گسترش این شبکه‌ها ایفا می‌کنند. اگر به دنبال بهبود پوشش Wi-Fi و اتصال دستگاه‌های بیشتر به شبکه‌تان هستید، آشنایی با اکسس پوینت می‌تواند به شما کمک کند. در این مطلب با دستگاه اکسس پوینت و کارایی ها و قابلیت هایی که در اختیار ما می گذارد، آشنا می شویم و نحوه تنظیم و استفاده، و حتی تبدیل و استفاده از روتر به عنوان یک اکسس پوینت را نیز می آموزیم؛ با ما همراه باشید تا کمی عمیق تر به دستگاه ها و تجهیزات شبکه بپردازیم.

اکسس پوینت چیست؟

اکسس پوینت (Access Point) یک دستگاه شبکه‌ای است که به عنوان نقطه دسترسی بی‌سیم (Wi-Fi) عمل می‌کند و امکان اتصال دستگاه‌های بی‌سیم مانند لپ‌تاپ، تلفن همراه و تبلت‌ها به شبکه محلی (LAN) را فراهم می‌کند. اکسس پوینت به صورت فیزیکی به یک شبکه سیمی (مانند یک روتر یا سوییچ) متصل می‌شود و سیگنال‌های بی‌سیم را برای دستگاه‌ها فراهم می‌کند.

بهتر است بدانید اکسس پوینت دستگاهی است که سیستم های شبکه را بدون استفاده از کابل، به شبکه LAN  یا WLAN متصل میکند و داده ها و اطلاعات را ارسال و دریافت میکند؛ اکسس پوینت توسط یک کابل اترنت به روتر وصل می شود و سیگنال های اینترنت را دریافت و سپس به یک شبکه Wi-Fi جداگانه تبدیل می کند، این کار، سرعت بالایی از اینترنت را مهیا می سازد.

تفاوت اکسس پوینت و مودم

مودم از طریق یک DSL یا کابل، به شبکه LAN وصل می شود و سپس سیستم ها و دستگاه ها را به اینترنت متصل می کند؛ مودم، در پروسه demodulation و modulation، صفر و یک های کامپیوتری را به سیگنال های آنالوگ تبدیل کرده و از طریق یک کابل به خط تلفن منتقل می کند، سپس سیگنال های آنالوگ را به سیگنال های دیجیتالی تبدیل کرده و به سیستم ارسال می کند؛ کاربرد اکسس پوینت و مودم در ظاهر یکسان به نظر می رسد، ولی تفاوت هایی مانند نوع اتصال در آن ها مشاهده می شود؛ مودم، یک روتر یا کامپیوتر را به اینترنت وصل می کند در حالی که اکسس پوینت یک اتصال بی سیم به یک شبکه سیمی را برای سیستم ها امکان پذیر می کند؛ اکسس پوینت بیشتر در ساختمان های بزرگ و مودم، بیشتر در محل هایی مانند منازل و مغازه های کوچک مورد استفاده قرار می گیرد.

نحوه تنظیم اکسس پوینت

برخی از تنظیمات اولیه​ ای وجود دارند که باید ابتدا قبل از راه اندازی و استفاده از دستگاه اکسس پوینت، انجام داده شوند، در ادامه به برخی از این تنظیمات می پردازیم.

• نام سیستم که نقطه دسترسی در شبکه را مشخص می​کند
• SSID یک شبکه بی​سیم است که اکسس پوینت در آن پخش می​شود
• نام انجمن ساده پروتکل مدیریت شبکه (SNMP) و ویژگی فایل SNMP (در صورت استفاده از SNMP)
• آدرس IP که شناسه منحصر​به​فرد نقطه دسترسی در شبکه است.
• ماسک زیر شبکه و دروازه پیش​فرض که بخش شبکه و مسیر نقطه دسترسی را مشخص می​سازد
• حالت امنیتی، که تعیین می​کند نقطه دسترسی چگونه ترافیک بی​سیم را احراز هویت و رمزگذاری کند
• تنظیمات رادیویی که باند فرکانس، کانال و قدرت سیگنال بی​سیم را کنترل می​کند.
• اگر در مراحل اولیه نصب نیاز به شروع مجدد دارید، می​توانید اکسس پوینت را به تنظیمات پیش​فرض کارخانه بازنشانی کنید. با استفاده از دکمه MODE تنظیمات پیش​فرض بازنشانی می​شود.

نحوه راه اندازی و استفاده از اکسس پوینت

برای راه اندازی و استفاده اکسس پوینت، ابتدا یک مکان مناسب برای قرار دادن اکسس پوینت خود انتخاب کنید؛ اگر روتر شما از نوع وایرلس باشد، اکسس پوینت را در مکانی قرار دهید که  هیچ تداخلی با دستگاه های دیگر شبکه محلی نداشته باشد و به​ خوبی محدوده تحت پوشش را گسترش دهد؛ و اگر روتر شما از نوع سیمی باشد، اکسس پوینت را در مکانی که تداخلی با عملکرد تجهیزات سخت ​افزاری و نرم ​افزاری دیگر نداشته باشد قرار دهید.

اکسس پوینت را در محلی قرار دهید که هیچ تداخلی با روتر نداشته باشد و با توجه به هدفی که از اکسس پوینت دارید، آن را در مکانی قرار دهید که در مسیر انتقال اطلاعات هیچ مانعی برای آن پیش نیاید و امکان بروز اختلال در شبکه به حداقل برسد؛ اگر دستگاه شما با آداپتور AC/DC تغذیه می​شود، آن را به اکسس پوینت متصل کرده و سپس آن را به پریز برق متصل کنید.

در ادامه، با استفاده از یک کابل اترنت(Ethernet)، اکسس پوینت را به روتر وصل کنید ولی به این نکته نیز توجه داشته باشید که کابل باید از یک طرف به پورت LAN روتر متصل شده و از طرف دیگر به پورت اصلی اترنت اکسس پوینت وصل شود؛ بعد از این، طرف دیگر کابل اترنت را برای اتصال به روتر به سیستم کامپیوتر وصل کنید و توجه داشته باشید که کابل اترنت باید از یک طرفی به پورت LAN روتر و از طرفی دیگر به پورت اترنت کامپیوتر متصل شود؛ با این کار، شما کامپیوتر را به شبکه محلی متصل می کنید و به اکسس پوینت اجازه مدیریت مستقیم انتقال داده​ها را می دهید و اگر نیاز به دسترسی به اینترنت از طریق شبکه محلی بود، از کابل اترنت برای اتصال روتر به مودم استفاده کرده و آن را از طرفی به پورت اصلی اترنت روتر و از طرفی دیگر به پورت اترنت مودم متصل کنید.

در مرحله بعدی، با توجه به دفترچه راهنما که درون جعبه دستگاه قرار گرفته است، اکسس پوینت را کانفیگ کنید و پس از این شما موفق به راه اندازی اکسس پوینت خود شده اید.

چگونه اکسس پوینت را به مودم وصل کنیم؟

همانطور که میدانید، اکسس پوینت این قابلیت را دارد که چندین کاربر به صورت همزمان به آن متصل شوند و از ترافیک اینترنتی آن در محدوده گسترده ای بهره مند شوند ولی مودم از این قابلیت برخوردار نبوده و فقط تعداد افراد محدودی می توانند به صورت همزمان از آن بهره مند شوند؛ به همین دلیل است که سازمان ها و افراد ماهر مانند تیم IT به اتصال این دو دستگاه کارآمد به هم رو آوردند؛ برای اتصال اکسس پوینت به مودم، ابتدا باید اکسس پوینت را با استفاده از یک کابل اترنت به روتر شبکه متصل کرد و سپس مودم و روتر را به هم وصل کرد؛ با انجام این کار، ارتباط بین اکسس پوینت و مودم برقرار می شود و کاربران بیشتری از ظرفیت یک مودم می توانند به شبکه اینترنتی Wi-Fi وصل شوند.

اتصال اکسس پوینت به سوئیچ شبکه

اتصال اکسس پوینت به سوئیچ عملی است که در بیشتر شبکه های سازمانی صورت می گیرد تا محدوده تحت پوشش Wi-Fi را گسترده تر کنند؛ برای متصل کردن یک اکسس پوینت به سوئیچ شبکه، باید از یک کابل استاندارد اترنت استفاده شود به طوری که یک طرف آن را به یکی از پورت های اکسس پوینت، و طرف دیگر آن به یکی از پورت های سوئیچ شبکه متصل باشد، پس از برقراری اتصال، می توان از محدوده گسترده تری از اینترنت برای کاربران بهره مند شد. برای داشتن اطلاعات بیشتر در رابطه با سوئیچ شبکه چیست؟ کلیک کنید.

تبدیل مودم به اکسس پوینت بدون کابل

برای تبدیل یک مودم به اکسس پوینت، باید ابتدا به صفحه تنظیمات دسترسی آن وارد شوید که معمولا با یک لاگین ساده در یک مرورگر وب امکان پذیر است؛ سپسOperation mode  را به Access Point تغییر دهید؛ این کار عملکرد روتینگ مودم را غیر فعال کرده و باعث می شوند که فقط از سیگنال های Wi-Fi پشتیبانی کند؛ به همین دلیل نیازمند اتصال به یک روتر را خواهد داشت تا ترافیک اینترنت برقرار شود. اکثر مودم های امروزی و مدرن، نمی توانند به صورت مستقل به عنوان یک اکسس پوینت عمل کنند و برای عملکرد قابل قبول نیاز به یک روتر دارند.

چگونه اکسس پوینت را به مودم وصل کنیم؟

تبدیل یک روتر بی سیم به اکسس پوینت کار آسان و راحتی است و در گام اول بهتر است بدانید که اگر در یک شبکه دو روتر قرار داشته باشد، برای اینکه در تشخیص IP آدرس ​ها اختلال ایجاد نشود، باید یکی از روتر ها به اکسس پوینت تبدیل شود ولی این نکته را نیز در نظر داشته باشید که یک روتر، در واقع یک اکسس پوینت است که از قابلیت مسیریابی و DHCP Server برخوردار می ​باشد؛ پس می ​توان به این نتیجه رسید که برای تبدیل یک روتر بی سیم به اکسس پوینت، علاوه بر اینکه باید در تنظیمات عمومی تغییراتی ایجاد کرد، باید DHCP سرور را نیز غیر فعال کرد.

برای تبدیل یک روتر به اکسس پوینت، باید اول تنظیمات عمومی آن انجام شود و برای انجام این کار نیز، باید ابتدا روتر را به کامپیوتر وصل کرده و سپس آن را روشن کنید؛ و در ادامه باید به مرورگر خود بروید و IP آدرس را وارد کنید و IP آدرس را به ساب نت روتر اصلی تغییر دهید.

کاربرد اکسس پوینت در شبکه

از اکسس پوینت ها، در ساختمان های بزرگ مانند دکل اپراتور های تلفن همراه، شبکه های داخلی، کامپیوتری، مخابراتی، بلوتوث و… استفاده می شود ولی این به این معنا نیست که نمی توان از آنها در محل های کوچک تر مانند مغازه ها نیز استفاده کرد؛ با اتصال اکسس پوینت به یک سوئیچ یا روتر، اتصال آسان دستگاه ها به اینترنت با سرعت بالا امکان پذیر می شود و همچنین از اکسس پوینت که در حالت Repeater تنظیم شده است، برای تقویت امواج برای مسافت های دور تر نیز استفاده می شود.

سخن پایانی

شرکت داریا، وارد کننده معتبر دستگاه های امنیت شبکه است و بهترین خدمات اکسس پوینت های برند Fortinet و Cisco، که محصولات اورجینال هستند، به همراه ضمانت و با مناسب ترین قیمت، به شما مشتریان ارائه می دهد.

اکسس پوینت‌ها با ارائه اتصال بی‌سیم پایدار و گسترده، نقشی کلیدی در بهبود و گسترش شبکه‌های محلی ایفا می‌کنند. چه در محیط‌های کوچک مانند منازل و مغازه‌ها و چه در سازمان‌ها و ساختمان‌های بزرگ، استفاده از این دستگاه‌ها به شما امکان می‌دهد تا بهره‌وری و کارایی شبکه خود را به حداکثر برسانید. با انتخاب و تنظیم درست اکسس پوینت‌ها، می‌توانید اتصالات بی‌سیم مطمئن و پرسرعتی را برای کاربران خود فراهم کنید. شرکت داریا نیز با ارائه دستگاه‌های امنیتی و اکسس پوینت‌های معتبر، گزینه‌ای ایده‌آل برای تأمین نیازهای شماست.

احتمالا شما هم بارها نام (Security Assertion Markup Language) شنیده اید. احراز هویت معمولا با ارائه یک نام کاربری و رمز عبور اتفاق می افتد. به زبان ساده پروتکل SAML ارتباط ایمن بین برنامه ها را ممکن می کند و به کاربران این قابلیت و امکان را می دهد که با اطلاعات اکانت (نام کاربری و رمز عبور) اجازه دسترسی به برنامه های مختلف را داشته باشند. در ادامه این مطلب با ما همراه باشید تا به بررسی کامل و جامع این موضوع بپردازیم.

SAML چیست؟

Security Assertion Markup Language یا SAML، روشی استاندارد که به برنامه‌ها و سرویس‌ها نشان می‌دهد که کاربر همان کاربری است که می‌گوید. SAML با ارائه روشی برای احراز هویت یک کاربر و سپس انتقال آن تأیید اعتبار به چندین برنامه، فناوری ورود به سیستم واحد (SSO) را ممکن می‌سازد. جدیدترین نسخه SAML SAML 2.0 است.

احراز هویت SAML را مانند یک کارت شناسایی در نظر بگیرید: روشی کوتاه و استاندارد برای نشان دادن اینکه کسی چه کسی است. به‌جای انجام یک سری آزمایش‌های DNA برای تایید هویت شخصی، می‌توان فقط به کارت شناسایی آنها نگاه کرد.

در محاسبات و شبکه، یکی از چالش‌های اصلی این است که سیستم‌ها و دستگاه‌هایی که توسط فروشندگان مختلف برای اهداف مختلف ساخته شده‌اند، با هم کار کنند. به این «عملکرد متقابل» می گویند: توانایی ماشین های مختلف برای تعامل با یکدیگر، علی رغم مشخصات فنی متفاوتشان. SAML یک استاندارد قابل همکاری است – این یک روش پذیرفته شده برای برقراری ارتباط هویت کاربر با ارائه دهندگان خدمات ابری است.

Log in with SAML یعنی چی؟

ورود با SAML (Security Assertion Markup Language) یک روش احراز هویت واحد SSO یا (Single Sign-On) است که به کاربران اجازه می ‌دهد تنها یک بار وارد سیستم شوند و سپس به سیستم‌ها و سرویس‌های مختلف دسترسی پیدا کنند، بدون نیاز به ورود مجدد به هر یک از این سرویس‌ها.

در این فرآیند، از  SAML به عنوان یک استاندارد باز برای تبادل اطلاعات احراز هویت بین یک Identity Provider (IdP) (ارائه‌دهنده هویت) و یک Service Provider (SP) (ارائه‌دهنده خدمات) استفاده می‌ شود. به طور کلی، وقتی کاربری قصد ورود به یک سرویس را دارد:

• کاربر درخواست ورود به یک Service Provider (SP) را ارسال می‌کند.
• SPکاربر را به Identity Provider (IdP) هدایت می‌ کند (این همان جایی است که اطلاعات ورود کاربر، مدیریت می ‌شود).
• کاربر اطلاعات احراز هویت خود را وارد کرده و IdP صحت آن را تأیید می ‌کند.
• در صورتی که اطلاعات معتبر باشدIdP یک Assertion (تأییدیه هویت) به SP ارسال می‌کند.
• SPبر اساس این تأییدیه، کاربر را به عنوان کاربر معتبر شناسایی کرده و به او اجازه دسترسی به سرویس مورد نظر را می‌دهد.

SAMLیک پروسه بسیار کاربردی برای شرکت ها و سازمان های مختلف است که نیاز به مدیریت دسترسی‌های متعدد برای کاربران دارند، چرا که این روش باعث ساده ‌سازی و افزایش امنیت در فرآیند احراز هویت می‌شود.

SAML2.0 چیست؟

SAML2.0 نسخه جدید SAML است و از سال 2005 مورد استفاده قرار گرفته است. SAML2.0 چندین نسخه از SAML را که قبلا استفاده می شدند، ترکیب کرده است. بسیاری از سیستم ها از نسخه هی قبلی مانند SAML1.1 برای سازگاری عقبرو پشتیبانی می کنند، اما SAML2.0 استاندارد جدید تری است.

SSO (Single Sign On) چیست؟

SSO یا احراز هویت یکپارچه روشی است که در آن کاربران در برابر چندین سامانه و برنامه کاربردی به صورت همزمان احراز هویت شوند. با از SSO کاربر در یک صفحه ورود به سامانه یکپارچه وارد شده و سپس می تواند از برنامه های مختلف استفاده کند. جالب است بدانید، در واقع نیازی نیست که کاربران هویت خود را به ازای هر سامانه مورد استفاده تایید کنند.

توجه داشته باشید که برای این کار، سیستم SSO باید با هر برنامه خارجی ارتباط برقرار کند تا به آنها بگوید کاربر به سیستم وارد شده است و این جایی است که SAML وارد می شود.

SAML برای چه کاری استفاده می شود؟

SAML نحوه ورود کاربران به سامانه ها یا وب سایت ها را کاملا تغییر می دهد. هدف، ساده سازی فرایند های احراز هویت و کنترل دسترسی برای همه طرفین یعنی ارائه دهندگان هویت، ارائه دهندگان خدمت و کاربران نهایی است.

SAML به جای درخواست اطلاعات اکانت هر بار ورود به سیستم، می تواند در تایید هویت کاربر به عنوان شخصی که ادعا کرده است، کمک کند و سطح اجازه را برای اعطا یا رد دسترسی تایید کند. علاوه بر این، SAML به ارائه دهندگان هویت و ارائه دهندگان خدمات و سرویس اجازه می دهد به صورت جداگانه وجود داشته باشند، که به سازمان ها کمک می کند تا مدیریت کاربر را متمرکز کرده و دسترسی به راه حل های مختلف نرم افزاری را فراهم کنند.

SAML چگونه کار می کند؟

یک فرآیند معمولی SSO شامل این سه مرحله زیر است:

• اصلی (همچنین به عنوان “موضوع” شناخته می شود)
• ارائه دهنده هویت
• ارائه دهنده خدمات

اصل/موضوع: تقریباً همیشه شامل یک کاربر انسانی است که سعی می کند به یک برنامه میزبانی ابری دسترسی پیدا کند.

ارائه‌دهنده هویت: ارائه‌دهنده هویت (IdP) یک سرویس نرم‌افزار ابری است که هویت کاربر را معمولاً از طریق یک فرآیند ورود به سیستم ذخیره و تأیید می‌کند. اساساً، نقش IdP این است که بگوید، “من این شخص را می شناسم، و در اینجا کاری است که آنها مجاز به انجام آن هستند.” یک سیستم SSO در واقع ممکن است از IdP جدا باشد، اما در این موارد SSO اساساً به عنوان نماینده IdP عمل می کند، بنابراین برای همه مقاصد و اهداف آنها در یک گردش کار SAML یکسان هستند.

ارائه‌دهنده خدمات: این برنامه یا سرویسی است که کاربر می‌خواهد از آن استفاده کند. نمونه‌های متداول عبارتند از پلتفرم‌های ایمیل ابری مانند Gmail و Microsoft Office 365 (مایکروسافت 365)، سرویس‌های ذخیره‌سازی ابری مانند Google Drive و AWS S3 و برنامه‌های ارتباطی مانند Slack و Skype. معمولاً یک کاربر مستقیماً به این سرویس ها وارد می شود، اما وقتی از SSO استفاده می شود، کاربر به جای آن وارد SSO می شود و SAML برای دسترسی به آنها به جای ورود مستقیم استفاده می شود.

این چیزی است که در یک جریان معمولی ممکن است به نظر برسد:

مدیر از ارائه دهنده خدمات درخواست می کند؛ سپس ارائه دهنده خدمات از ارائه دهنده هویت درخواست احراز هویت می کند. ارائه‌دهنده هویت یک ادعای SAML را برای ارائه‌دهنده خدمات ارسال می‌کند و سپس ارائه‌دهنده خدمات می‌تواند پاسخی را برای کاربر ارسال کند.

اگر اصل (کاربر) قبلا وارد نشده باشد، ارائه دهنده هویت ممکن است از آنها بخواهد که قبل از ارسال یک ادعای SAML وارد سیستم شوند.

سند ادعای SAML چیست؟

ادعای SAML پیامی است که به ارائه‌دهنده خدمات می‌گوید یک کاربر وارد سیستم شده است. اظهارات SAML شامل تمام اطلاعات لازم برای یک ارائه‌دهنده خدمات برای تایید هویت کاربر، از جمله منبع ادعا، زمان صدور آن، و شرایط است که این ادعا را معتبر می کند.

سه نوع مختلف از اسناد ادعاهای SAML وجود دارد:

• ادعا های تایید هویت، شناسایی کاربر را اثبات می کند و زمان ورود کاربر را به شما معرفی می کند و اینکه از چه روشی برای احراز هویت استفاده کرده است به عنوان مثال، Kerberos، فاکتور دو عاملی، NTLM و غیر
• ادعا های انتساب ویژگی های SAML را به ارائه دهنده خدمات منتقل می کند. ویژگی های SAML قطعات خاصی از داده ها هستند که اطلاعات مربوط به کاربر را ارائه می دهند.
• ادعا های تصمیم مجوز، می گوید کاربر مجاز به استفاده از خدمات باشد یا اینکه ارائه دهنده درخواست خود را به دلیل خرابی رمز عبور یا عدم دسترسی به خدمات دسترسی به خدمات شناسایی و رد می کند.

آیا احراز هویت SAML همان مجوز کاربر است؟

SAML یک فناوری برای احراز هویت کاربر است، نه مجوز کاربر، و این یک تمایز کلیدی است. مجوز کاربر یک حوزه جداگانه از مدیریت هویت و دسترسی است.

احراز هویت به هویت کاربر اشاره دارد: اینکه او چه کسی است و آیا هویت آنها توسط فرآیند ورود تأیید شده است یا خیر.

مجوز به امتیازات و مجوزهای کاربر اشاره دارد: به طور خاص، اعمالی که آنها مجاز به انجام در سیستم های یک شرکت هستند.

در مورد تفاوت بین احراز هویت و مجوز به این شکل فکر کنید: تصور کنید فردی در یک جشنواره موسیقی شرکت می کند. در ورودی جشنواره، او بلیت خود و یک مدارک شناسایی اضافی را ارائه می کند تا ثابت کند که حق داشتن بلیط را دارد. با انجام این کار، او اجازه ورود به جشنواره را دارد. او احراز هویت شده است.

با این حال، فقط به این دلیل که شخص در جشنواره است، به این معنی نیست که او می تواند به هر جایی برود و هر کاری که می خواهد انجام دهد. او می‌تواند نمایش‌های جشنواره را تماشا کند، اما نمی‌تواند روی صحنه برود و اجرا کند، و همچنین نمی‌تواند به پشت صحنه برود و با اجراکنندگان تعامل داشته باشد – زیرا او مجاز به انجام این کار نیست. اگر او پاس‌های پشت صحنه می‌خرید، یا علاوه بر حضور در صحنه، مجری هم بود، مجوز بیشتری هم داشت.

Cloudflare Zero Trust نمونه ای از راه حل های مدیریت دسترسی است. Cloudflare شرکت ها را قادر می سازد تا دسترسی کاربران به منابع و داده های داخلی را بدون استفاده از شبکه خصوصی مجازی (VPN) مدیریت کنند. به راحتی با ارائه دهندگان SSO ادغام می شود تا هم مجوز کاربر و هم احراز هویت کاربر را ارائه دهد.

پروتکل های مشابه SAML:

 به احتمال زیاد احراز هویت کاربران نسبت به برنامه های کاربردی یکی از بزرگ ترین چالشی است که بخش فناوری اطلاعات با آن روبرو است. سیستم های متنوع زیادی وجود دارد که کاربر به آنها نیاز دارد که به آنها دسترسی پیدا کند و به همین دلیل پروتکل های تایید هویت که استاندارد های باز هستند، در جهان ارائه شده است. در این بخش 5 مورد از آنها را بررسی می کنیم:

• Kerberos

Kerberos یک پروتکل تایید اعتبار شبکه است؛ این برنامه قدرتمند به منظور ارائه احراز هویت برای برنامه های کلاینت/سرور با استفاده از رمزنگاری کلید مخفی ساخته شده است. Kerberos در بسیاری از محصولات تجاری نیز موجود است.

• LDAP

(Lightweight Directory Access Protocol) LDAP یک پروتکل نرم افزاری است که به هر کسی امکان میدهد سازمان ها، افراد و سایر منابع مانند پرونده ها و دستگاه ها را در یک شبکه اعم از اینترنت عمومی یا یک اینترنت شرکتی قرار دهد.

• OpenID

یک پروتکل احراز هویت استاندارد و غیر متمرکز است و این امکان را برای کاربران فراهم می کند تا با استفاده از یک سرویس ثالث، توسط سایت های همکار تایید شوند و نیاز وب مستر ها را به سیستم های ورود به سیستم تبلیغاتی خاص خود برطرف کنند و به کاربران امکان می دهد بدون نیاز به داشتن یک شناسه رمز عبور جداگانه، به چندین وب سایت نامربوط وارد شوند.

• OAuth

یک چارچوب احراز هویت است که به برنامه های کاربردی امکان دسترسی محدود به حساب های کاربری در یک سرویس وب HTTP، مانند GitHub ، Facebook و google را می دهد.

• RADIUS

(Remote Authentication Dial in Service User) یک پروتکل شبکه است که مدیریت تایید هویت، برای کاربرانی که به یک سرویس شبکه متصل شده اند را ارائه می دهد.

مزایای پروتکل SAML

پروتکل SAML مجموعه ای از مزایای ویژه ای را برای کاربران و سازمان ها فراهم می کند. از میان این مزایا، کاهش پیچیدگی در استفاده از چندین برنامه وب به طور هم زمان به عنوان یکی از مهم ترین آنها برجسته است. مزایای ویژه دیگر شامل موارد زیر می شود:

• بهبود تجربه کاری

استفاده از پروتکل SAML نه تنها ورود به برنامه ها و سامانه ها را آسان می کند، بلکه کاربران را در بهره وری بیشتر نیز یاری می رساند. این به آن دلیل است که کاربران به راحتی به ابزار های مورد نیاز برای انجام وظایف خود دسترسی پیدا می کنند.

• کاهش خطر از دست رفتن اطلاعات اکانت و اعتبارنامه

داشتن حساب های کاربری متعدد در بیشتر مواقع منجر به فراموشی پسورد توسط افراد می شود و یا حتی در شرایط بد تر، افراد ممکن است پسورد ها را یادداشت کنند که خطر سرقت اطلاعات افزایش می یابد. اما با استفاده از پروتکل SAML کاربران فقط نیاز به یک یک ترکیب نام کاربری و رمز عبور دارند.

• افزایش امنیت

پروتکل SAML یک تایید اعتبار واحد را از یک ارائه دهنده هویت امن ارائه می دهد و اطلاعات هویتی کاربران را به ارائه دهندگان خدمات و سرویس انتقال می دهد. این جریان اطمینان می دهد که مدارک هویتی تنها به طور مستقیم ارسال می شوند و ریسک هایی مانند حملات فیشینگ یا سرقت اطلاعات اکانت را به حداقل می رساند.

• کاهش هزینه ها

پروتکل SAML به صرفه جویی قابل توجهی در زمان مدیران منابع میکند، چرا که به شما کمک می کند درخواست های پشتیبانی و بازنشانی پسورد را کاهش دهید. همچنین با کمک به حداقل رساندن هزینه های توسعه که اغلب با روش های احراز هویت اختصاصی اتفاق می افتد، اقتصادی تر می شود.

• مدیریت ساده تر کاربران

با وجود کارمندانی که از چندین برنامه مختلف استفاده میکنند و می تواند برای ادارات فناوری اطلاعات مشکل ساز باشد که باید تغییرات در حقوق دسترسی کارمندان را مدیریت کنند، به خصوص در صورت تغییر نقش کارمندان یا جذب افراد جدید به شرکت است.

با استفاده از پروتکل SAML، امکان بهره برداری از این مزایا و بهره وری بهتر در سیستم ها و سرویس های آنلاین فراهم می شود.

آیا پروتکل SAML آسیب پذیر است؟

SAML یک پروتکل امنیتی برای تبادل اطلاعات هویتی و اجازه دسترسی استفاده می شد. این پروتکل طراحی شده تا امکان استفاده از آن در محیط های مختلف و برای موارد متعددی را فراهم کند. طراحان SAML هنگام توسعه این پروتکل با در نظر گرفتن انعطاف پذیری و قابلیت اطمینان بالا عمل کرده اند.

در ساختار SAML، ارسال Signature به تنهایی برای اعتبار سنجی کافی نیست و باید همراه با محتوای content To sign ارسال شود. این رویکرد به نظر می رسد که ممکن است انعطاف پذیری را کاهش دهد. اگر از روش دیگری استفاده می شد و signature به صورت جداگانه ارسال میشد، ممکن بود که ساختار و انتقال اطلاعات به شکلی ساده تر انجام شود.

با این حال، انتخاب طراحان SAML برای جای دادن تمام اطلاعات در یک فایل XML به سادگی و انعطاف پذیری بیشتر در ارتباط های میان سرور و مشتری منجر شده است. این انتخاب به معنای این است که می توان تمام اطلاعات مرتبط با هویت و اجازه دسترسی را در یک فایل قرار داد و به سادگی آن را انتقال داد.

به طور خلاصه، امضا و اعتبار سنجی فایل های XML دشوار است؛ اما ابزار ها و روش هایی وجود دارند که این چالش را برطرف می کنند. شواهد نیز نشان دهنده این است که این مسئله امنیتی به شدت جدی است. به نظر می رسد تمام پروتکل هایی که از رویکرد های مشابه با SAML استفاده میکنند، در معرض آسیب پذیری های امنیتی قوی هستند.

چطور آسیب پذیری های SAML را کاهش دهیم؟

جهت کاهش آسیب پذیری ها، به منظور افزایش امنیت در مسائل امنیتی، لازم است فرایند ارزیابی پایداری قبل از پردازش فایل های XML انجام شود. به طور کلی، برای ارزیابی امضا به جای استفاده از روش های ارزیابی مبتنی بر بایت، می توان مراحل زیر را دنبال کرد:

ارزیابی پایداری round-trip: در این مرحله، فایل XML باید به صورت کامل تجزیه و تحلیل شود و سپس مجددا ترکیب شود. این عملیات برای اطمینان از اینکه اطلاعات در هنگام تجزیه و تحلیل فایل گم نشده باشد و همچنین تغییرات ناخواسته در فایل ایجاد نشده باشد، انجام می شود.

انجام مجدد واکاوی فایل XML: پس از مرحله اول، فایل XML مجددا باید تجزیه و تحلیل شود. این اقدام از جهت اطمینان از صحت محتوای فایل بسیار مهم است.

ایجاد canonical XML: در این مرحله، یک نسخه کانونیکال از فایل XML ایجاد می شود. این نسخه با استفاده از قوانین و تبدیلات پیچیده تر از XML design، بازسازی می شود. این کار از جهت حفظ یکنوایی و تبدیل محتوای XML به شکل استاندارد و تعیینی مهم است.

همانطور که گفته شد، مراحل به شدت پیچیده بوده و از این پیچیدگی ها می توان خطاها و مشکلات امنیتی به وجود آورد. به همین دلیل، انجام صحیح و دقیق این مراحل ضروری است تا آسیب پذیری ها جلوگیری شود و امنیت اطلاعات حفظ شود.

جمع بندی 

در پایان، می‌توان گفت که SAML به‌عنوان یک استاندارد جهانی، نقش بسیار مهمی در تسهیل ارتباطات ایمن بین برنامه‌ها و سرویس‌ها ایفا می‌کند. با استفاده از این پروتکل، سازمان‌ها می‌توانند از یکپارچگی در احراز هویت کاربران خود بهره‌مند شوند و تجربه‌ای راحت‌تر و امن‌تر برای کاربران فراهم کنند. بهره‌گیری از SAML نه تنها امنیت را افزایش می‌دهد، بلکه به ساده‌سازی فرآیندهای احراز هویت و کاهش پیچیدگی‌های مدیریتی نیز کمک می‌کند. در دنیای امروز که نیاز به ارتباطات امن و یکپارچه بیشتر از همیشه حس می‌شود، درک و استفاده صحیح از SAML می‌تواند به‌عنوان یک گام اساسی در مسیر امنیت دیجیتال تلقی شود.

Single Sign On (SSO) یک سرویس احراز هویت است که به کاربر اجازه می دهد با یک بار استفاده از اطلاعات لاگین مثلا نام کاربری و رمز عبور  بتواند به چندین اپلیکیشن دسترسی داشته باشد. افراد، شرکت ها و سازمان های کوچک و متوسط می توانند از SSO برای سهولت مدیریت اطلاعات اکانت متعدد استفاده کنند. SSO به کاربران این امکان را می دهد تا بتوانند به چندین اپلیکیشن لاگین کنند، بدون اینکه نیاز به یادآوری پسورد برای هر کدام داشته باشند. در ادامه این مطلب با ما همراه باشید تا به بررسی جامع این موضوع بپردازیم.

Single Sign on یا احراز هویت یکپارچه چیست؟

SSO یک راهکار احراز هویتی امن است که به کاربران اجازه می دهد تنها با استفاده از یک مجموعه داده ای برای احراز هویت، هم بتوانند بدون اتلاف وقت و انرژی به سایت ها و اپلیکیشن های مختلف وارد شوند و همچنین از دردسر های فراموشی پسورد نیز پیشگیری شود.
Single Sign On یا شناسایی یگانه (SSO) یک راهکار احراز هویت است که به کاربران اجازه می‌دهد تنها با یک بار ورود به سیستم، به چندین سرویس، اپلیکیشن، یا وبسایت دسترسی پیدا کنند. در این روش، پس از وارد کردن یک نام کاربری و پسورد در ابتدا، کاربر نیازی به وارد کردن مجدد اطلاعات در هر مرحله و برای هر سرویس ندارد. SSO بر اساس ایجاد یک رابطه اعتماد بین ارائه‌دهنده هویت (مانند گوگل یا فیسبوک) و ارائه‌دهنده سرویس (مانند وبسایت‌ها یا اپلیکیشن‌ها) عمل می‌کند. این راهکار موجب صرفه‌جویی در وقت و کاهش فراموشی رمز عبور می‌شود.
در سیستم SSO، مکانیزم احراز هویت به گونه‌ای طراحی شده که از طریق گواهینامه‌ها و پروتکل‌های امنیتی، اطمینان حاصل می‌شود که هویت کاربر به طور ایمن به تمامی سرویس‌های مرتبط منتقل می‌شود. این سیستم امنیت را بهبود می‌بخشد، زیرا کاربران می‌توانند از پسوردهای قوی‌تر و پیچیده‌تر استفاده کنند، بدون اینکه نگران به‌خاطر سپردن چندین پسورد برای سرویس‌های مختلف باشند.

Single Sign-on یا شناسایی یگانه (SSO) چیست؟

شناسایی یگانه یا همان SSO، یک مکانیزم و راهکار احراز هویتی است که باعث می شود با یکبار ورود به سیستم و لاگین کردن در این سرویس، احراز هویت کاربر به تمامی وبسایت ها و اپلیکیشن های موجود در آن سرویس انجام شود و دیگر نیاز نباشد که هر دفعه و در هر مرحله، نام کاربری و پسورد وارد شود که همین، منجر به صرفه جویی در انرژی و وقت کاربران می شود.

Single Sign-on چطور کار می‌کند؟

در حالت عادی، زمانی که می خواهید وارد سایت یا اپلیکیشنی شوید که نیاز به احراز هویت دارید، ابتدا باید نام کاربری و پسورد خود را وارد کنید تا اپلیکیشن یا سامانه مورد نظر اطلاعات شما را با اطلاعات پایگاه داده ای خودش تطبیق دهد و سپس به شما اجازه ورود دهد؛ ولی در حالت SSO، احراز هویت شما به جای نام کاربری و پسورد شما، به اعتماد بین دامنه ها و نرم افزار ها بستگی دارد و نیاز نیست که شما هر بار نام کاربری و پسورد خود را وارد کنید و احراز هویت شما بر اساس اعتبار سرویس ارائه دهنده هویت به صورت خودکار انجام می شود.
Single Sign-on، بر مبنای یک رابطه اعتماد بین اپلیکیشن (ارائه دهنده سرویس) و ارائه دهنده هویت (مانند گوگل) عمل می کند که بر پایه یک گواهینامه بین ارائه دهنده سرویس و ارائه دهنده هویت برقرار می شود به طوری که شما برای احراز هویت در یک نرم افزار یا وبسایت، فقط کافی است نام کاربری و پسورد خود را یک بار ثبت کنید؛ Single Sign On اطلاعاتی که شما وارد کردید را با مخزن اطلاعات کاربران مقایسه کرده و در صورت صحت و تایید اطلاعات، ورود و اجازه دسترسی کاربر در سامانه SSO مجاز می شود و پس از این، ورود کاربر به تمام وبسایت ها و اپلیکیشن های متصل به این سرویس مجاز اعلام می شود و تا زمانی که شما در داخل این سرویس لاگین هستید، نیاز به وارد کردن نام کاربری و پسورد نخواهد بود.

مزایای سرویس SSO

سرویس Single Sign-on یا همان SSO، با اینکه بسیار ساده و آسان می آید ولی از امتیاز امنیتی بالایی برخوردار است و شاید برای شما تعجب آور باشد که چگونه یک سرویس می تواند با یک پسورد و فقط یک بار استفاده از آن، از استفاده چندین پسورد مختلف و مکرر امن تر باشد؛ با ما همراه باشید تا به دلایلی که SSO را انتخابی ایمن تر و بهتری می سازند بپردازیم:

پسورد قوی

در صورت استفاده از سرویس های SSO، به خاطر سپردن پسورد ها و نام های کاربری لزومی ندارد و کاربران می ‌توانند برای تامین امنیت حساب‌های خود از پسورد های پیچیده و قدرتمند تری که حفظ کردن آن‌ها شاید دشوار باشد، استفاده کنند.

پسورد های مختلف و متنوع

کاربران از به خاطر سپردن و استفاده کردن از پسورد و نام کاربری های متفاوت برای اپلیکیشن های متفاوت، خسته می شوند و در نتیجه ترجیح می‌دهند برای تمام حساب‌های کاربری خود، از پسورد و نام کاربری واحد و یکسانی استفاده کند.
این کار مشکلات و خطرات امنیتی زیادی ره به دنبال دارد؛ زیرا استفاده از پسورد یکسان برای تمام سرویس‌ها، یعنی تمام سرویس‌ها به اندازه سرویسی امنیت دارند که از پایین‌ترین سطح حفاظت از پسورد برخوردار است! بنابراین، اگر پایگاه داده‌های آن سرویس مذکور به خطر بیافتد، مهاجمان می ‌توانند از پسورد کاربر برای دسترسی به تمام سرویس‌های مورد استفاده او، بهره ببرند ولی سامانه Single Sign On با ارائه امکان ورود یکپارچه به سیستم، این خطر را رفع می‌کند.

اجرای بهتر خط مشی های پسورد

Single Sign On به متخصصین حوزه IT این اجازه را می‌دهد که قوانین مربوط به امنیت پسورد را به سادگی اعمال کنند؛ برای مثال، برخی از سازمان ‌ها از کاربران خود می خواهند که پسورد خود را به صورت دوره‌ای تغییر دهند؛ با استفاده از SSO، تغییر دادن پسورد به فرایند ساده‌تری تبدیل می‌شود و به این ترتیب، کاربران به جای اینکه چندین پسورد را تغییر دهند، فقط یک رمز عبور تغییر می دهند.

احراز هویت چند عاملی 

احراز هویت چند عاملی یا همان MFA، به استفاده از بیش از یک عامل هویتی برای احراز هویت کاربر مربوط است؛ به عنوان مثال، کاربر علاوه بر وارد کردن نام کاربری و پسورد، شاید مجبور باشد از یک دستگاه USB استفاده کند یا کدی را وارد کند که روی گوشی موبایلش ظاهر می‌شود؛ برخورداری از یک شیء فیزیکی مانند دستگاه USB، که هویت کاربر را تایید می‌کند، پیش‌نیاز یک احراز هویت چند عاملی است و استفاده کردن از پروتکل احراز هویت چند عاملی، بسیار ایمن تر از یک پسورد واحد است بنابراین، کاربران با استفاده از سامانه SSO می‌توانند از این روش برای افزایش امنیت پسورد بهره‌مند شوند.

نکته واحد برای اجرای مجدد ورود رمز عبور

ادمین‌های شبکه می‌توانند پس از مدت زمانی مشخصی اعتبارنامه‌ ها را مجددا وارد کنند، و مطمئن شوند که کاربر همچنان از طریق همان دستگاه مورد استفاده برای ورود به سیستم، فعالیت می‌کند؛ این سامانه احراز هویت یکپارچه، یک مکان مرکزی نیز در اختیار ادمین ‌ها قرار می‌دهد تا به جای اعمال فرایند های مختلف روی اپلیکیشن‏های مختلف، فقط یک فرآیند مشخص را روی همه اپلیکیشن‌های داخلی اجرا کنند.

مدیریت اعتبار داخلی به جای حافظه خارجی

اپلیکیشن ها و سرویس‌های مختلف معمولا نام کاربری و پسورد کاربران خود را از راه دور و به شیوه مدیریت نشده ای ذخیره می‌کنند که این ممکن است امنیت کاربر را به خطر بیندازد؛ ولی با استفاده از SSO، نام کاربری و پسورد کاربر به حالت داخلی و در محیطی ذخیره می‌شوند که تیم IT قادر است آن را به روش بهتر و ایمن تری کنترل و مدیریت کند.

اتلاف زمان کمتر برای بازیابی رمز عبور 

استفاده از سامانه SSO، باعث کاهش اتلاف زمان تیم‌های فنی می‌شود زیرا متخصصین IT وقت کمتری را صرف پاسخگویی به کاربران در رابطه با بازیابی پسورد های متعدد مورد استفاده در برنامه‌های مختلف می‌کنند و همچنین، کاربران نیز زمان کمتری را صرف ورود به سامانه‌ها و اپلیکیشن ‌های مختلف می‌کنند؛ به این ترتیب استفاده از سامانه Single Sign On باعث افزایش بهره‌وری کسب‌وکار، و صرفه جویی در زمان می‌شود.

تفاوت SSO با مکانیزم Central Authentication service) CAS) چیست؟

برای ورود به سیستم SSO، کاربران فقط یک بار احراز هویت می کنند، صرف نظر از اینکه پس از ورود اولیه به چه تعداد سرویس یا اپلیکیشن دسترسی پیدا کنند؛ شبکه، اطلاعات و هویت کاربران را به خاطر می سپارد و هر زمان که کاربران بخواهد به یک منبع دسترسی پیدا کنند از آن اطلاعات استفاده می کند؛ بنابراین یک سرویس SSO، دو مشکل عمده را برطرف می‌کند.

1. دیگر نیاز نخواهد بود که کاربران چندین بار اطلاعات احراز هویت خود را وارد کنند.
2. کاربران دیگر چندین مجموعه از اطلاعات احراز هویت را به خاطر نمیسپارند.

اما در CAS یا احراز هویت متمرکز، پروسه احراز هویت کمی متفاوت است؛ به طوری که ورود به سایر اپلیکیشن ها و وبسایت ‌ها به طور خودکار انجام نمی‌شود و کاربر باید برای به ورود به هر سایت، اطلاعات احراز هویت خود را وارد کند ولی با این حال، مزیت CAS این است که اطلاعات وارد شده، یکسان خواهد بود. سازوکار احراز هویت CAS تنها یک مشکل را برطرف می‌کند و آن هم این است که کاربران دیگر مجبور نخواهند بود چندین مجموعه از اطلاعات احراز هویت را به خاطر بسپارند.

فاکتورهای برقراری یک محیط امن

امروزه، پیدا کردن یک اپلیکیشن کاربردی که نیازهای امنیتی و کنترل دسترسی در آن وجود نداشته باشد کاری بسیار سخت و حتی غیر ممکن است؛ در دنیای اینترنت که تمامی ارتباطات، تراکنش های بانکی، تماس‌ ها، تبادلات و… بیشتر و بیشتر به سمت الکترونیکی ‌شدن حرکت می کنند، اثبات و حضور در اینترنت نیز مهم تر می شود؛ با گسترش دنیای تکنولوژی، IT و ارتباطات، امنیت به یکی از مهم‌ ترین مباحث و موضوعات در پروسه طراحی و مدیریت یک سازمان تبدیل شده و در تمام زیرساخت ها و سرویس‌های درون ‌سازمانی برای استفاده از خدمات اختصاصی باید به طریقی هویت آشکار سازی شود. به طور کلی، برای برقراری یک محیط امن، چند فاکتور و موضوع اساسی باید برقرار باشند، این فاکتورها عبارتند از:

جامعیت:

باید اطمینان حاصل شود که اطلاعات، صحیح و کامل هستند؛ این به معنی دست خوردگی و عدم تغییر پیغام و در نتیجه اطمینان از اینکه داده‌ها با اطلاعات مخربی همچون یک ویروس آلوده نشده‌ باشند، است.

محرمانگی:

اطمینان حاصل کردن از اینکه اطلاعات، فقط و تنها توسط افراد یا سازمانهای مجاز قابل استفاده بوده و هیچگونه فاش ‌سازی دیتا برای افراد غیر مجاز و تأیید هویت نشده، صورت نخواهد گرفت.

شناسایی و احراز هویت: 

هر دو گیرنده و فرستنده، باید از هویت طرف مقابل خود و حقیقت پیام ارسال یا دریافت شده مطمئن باشند.

انکارناپذیری: 

هیچ کدام از دو طرف ارتباط نباید بتوانند مشارکت خود را در ارتباط انکار کنند؛ یعنی تمام امکانات شبکه به راحتی در اختیار افراد مجاز قرار بگیرد و هیچکس نتواند در دسترسی به شبکه ایجاد اشکال کند.

SSO چگونه کار می کند؟

SSO یک تمهید مدیریت هویت متحد است. استفاده از چنین سیستمی گاهی فدراسیون هویت نامیده می شود. Open Autorization (OAuth) فریم ورکی است که امکان استفاده از اطلاعات اکانت کاربر توسط سرویس های شخص ثالث مانند فیسبوک را بدون افشای پسورد کاربر فراهم می کند.OAuth به عنوان یک واسطه از طرف کاربر نهایی عمل کرده و یک توکن دسترسی در اختیار سرویس قرار می دهد که اجازه می دهد اطلاعات خاصی از اکانت به اشتراک گذاشته شود. هنگامی که یک کاربر تلاش می کند به یک اپلیکیشن از ارائه دهنده خدمات دسترسی پیدا کند، ارائه دهنده خدمات درخواستی را برای احراز هویت به ارائه دهنده هویت ارسال می کند. سپس ارائه دهنده خدمات، احراز هویت را تأیید کرده و کاربر وارد می شود.

در یک وب سرویس Single Sign On پایه، یک ماژول ایجینت در سرور اپلیکیشن، اطلاعات احراز هویت خاص را برای یک کاربر از یک پالیسی سرور اختصاصی SSO دریافت کرده و کاربر را از طریق یک بانک کاربر، مانند LDAP، احراز هویت می‌کند. این سرویس، کاربر نهایی را برای تمام اپلیکیشن هایی که مجوزشان به کاربر داده شده است، احراز هویت می‌کند و درخواست‌های پسورد بعدی برای اپلیکیشن ‌های دیگر در همان جلسه را حذف می‌کند.

انواع تنظیمات SSO

برخی از سرویس های SSO از پروتکل هایی مانند Kerberos یاSAML استفاده می کنند.

• در یک راه اندازی مبتنی بر Kerberosپس از ارائه اطلاعات اکانت توسط کاربر، یک تیکت TGT صادر می شود. TGT تیکت های سرویس را برای سایر اپلیکیشن هایی که کاربر می‌خواهد به آنها دسترسی داشته باشد فرا می خواند، بدون اینکه از کاربر بخواهد اطلاعات اکانت را دوباره وارد کند.
• SAML یک استاندارد زبان نشانه گذاری توسعه پذیر است که تبادل اطلاعات احراز هویت کاربر و مجوز را در دامنه های امن تسهیل می کند. سرویس‌های SSO مبتنی بر SAML ارتباطات بین کاربر، ارائه‌دهنده هویت – که فهرست کاربر را نگه داری می کند – و ارائه‌دهنده خدمات را شامل می شود.
• SSO مبتنی بر کارت هوشمند از کاربر نهایی می خواهد که برای اولین لاگین از کارتی استفاده کند که اطلاعات اکانت را در خود دارد. پس از استفاده از کارت، کاربر مجبور نیست نام کاربری یا پسورد را دوباره وارد کند. کارت‌های هوشمند SSO گواهی‌ها و یا پسوردها را در خود ذخیره می‌کنند.

خطرات امنیتی SSO

اگرچه Single Sign On برای کاربران یک راحتی محسوب می شود، اما خطراتی را برای امنیت سازمان ایجاد می کند. مهاجمی که کنترل اطلاعات SSO کاربر را به دست می‌آورد، به هر اپلیکیشنی که کاربر اجازه دسترسی به آن را دارد، دسترسی پیدا می‌کند و میزان آسیب احتمالی را افزایش می‌دهد.

به منظور جلوگیری از دسترسی مخرب،SSO باید با ناظر هویت لینک شود. همچنین برای بهبود امنیت، سازمان ها می توانند از احراز هویت دو-مرحله ای (2FA) یا احراز هویت چند-عاملی در کنار SSO استفاده کنند.

 SSOاجتماعی

گوگل، لینکدین، اپل، توییتر و فیسبوک خدمات محبوب SSO را ارائه می دهند که به کاربران نهایی امکان می دهد با اطلاعات احراز هویت رسانه های اجتماعی خود به اپلیکیشن های شخص ثالث لاگین کنند. اگرچه Single Sign On اجتماعی یک راحتی برای کاربران محسوب می شوند اما می توانند خطرات امنیتی ایجاد کنند زیرا یک نقطه خرابی واحد ایجاد می کنند که می توانند توسط مهاجمان مورد سوء استفاده قرار گیرند.

بسیاری از متخصصان امنیتی به کاربران نهایی توصیه می‌کنند از استفاده از سرویس‌های SSO اجتماعی خودداری کنند زیرا وقتی مهاجمان کنترل اطلاعاتSSO کاربر را به دست می‌آورند، می‌توانند به سایر اپلیکیشن‌هایی که از اطلاعات یکسانی استفاده می‌کنند دسترسی داشته باشند.

SSO سازمانی

نرم افزار و سرویس های سازمانی (eSSO)، پسورد منیجرهایی هستند که شامل بخش های کلاینت و سرور می باشند و کاربر را از طریق ارسال مجدد اطلاعات اکانت به اپلیکیشن های مورد نظر لاگین میکنند. این اطلاعات اکانت ها تقریبا همیشه نام کاربری و پسورد هستند. این اپلیکیشن ها برای کار با سیستم eSSO نیازی به تغییر ندارند.

مزایای SSO چیست

از مزایای SSO می توان به موارد زیر اشاره کرد:

• کاربران باید پسورد و نام کاربری کمتری را برای هر اپلیکیشن به خاطر بسپارند و مدیریت کنند.
• فرآیند ثبت نام و استفاده از اپلیکیشن ها ساده شده است – نیازی به وارد کردن مجدد پسورد نیست.
• حملات فیشینگ کاهش می یابد.
• تیم های پشتیبانی آی تی شکایت یا مشکل کمتری در رابطه با پسورد دریافت خواهند کرد.

معایب SSO

• سطوح خاصی از امنیت را که ممکن است هر اپلیکیشن برای لاگین به آن نیاز داشته باشد در اختیار قرار نمی دهد.
• اگر دسترسی از بین برود، کاربران از تمام سیستم های متصل به Single Sign On خارج می شوند.
• اگر کاربران غیرمجاز دسترسی پیدا کنند، می توانند به بیش از یک اپلیکیشن دسترسی داشته باشند.

فروشندگان SSO

فروشندگان مختلفی محصولات، خدمات و ویژگی های SSO را ارائه می دهند. فروشندگان SSO شامل موارد زیر هستند:

• Rippling به کاربران امکان می دهد از چندین دستگاه وارد اپلیکیشن های ابری شوند.
• Avatier Identity Anywhere SSO برای پلتفرم های مبتنی بر کانتینر داکر است.
• OneLogin by One Identity یک پلتفرم مدیریت دسترسی و هویت ابری است که از SSO پشتیبانی می کند.
• Okta ابزاری با قابلیت SSO است. Okta همچنین از 2FA پشتیبانی می کند و در عمدتا توسط سازمان ها استفاده می شود.

جمع بندی

Single Sign-on یا شناسایی یگانه (SSO) یک راهکار احراز هویت است که به کاربران اجازه می‌دهد تنها با یک بار ورود به سیستم، به چندین سرویس، اپلیکیشن، یا وبسایت دسترسی پیدا کنند. در این روش، پس از وارد کردن یک نام کاربری و پسورد در ابتدا، کاربر نیازی به وارد کردن مجدد اطلاعات در هر مرحله و برای هر سرویس ندارد. SSO بر اساس ایجاد یک رابطه اعتماد بین ارائه‌دهنده هویت (مانند گوگل یا فیسبوک) و ارائه‌دهنده سرویس (مانند وبسایت‌ها یا اپلیکیشن‌ها) عمل می‌کند. این راهکار موجب صرفه‌جویی در وقت و کاهش فراموشی رمز عبور می‌شود.
در سیستم SSO، مکانیزم احراز هویت به گونه‌ای طراحی شده که از طریق گواهینامه‌ها و پروتکل‌های امنیتی، اطمینان حاصل می‌شود که هویت کاربر به طور ایمن به تمامی سرویس‌های مرتبط منتقل می‌شود. این سیستم امنیت را بهبود می‌بخشد، زیرا کاربران می‌توانند از پسوردهای قوی‌تر و پیچیده‌تر استفاده کنند، بدون اینکه نگران به‌خاطر سپردن چندین پسورد برای سرویس‌های مختلف باشند. شرکت داریا، وارد کننده محصولات اورجینال امنیت شبکه برند های فورتی نت، سیسکو و سوفوس بوده و شما را در تامین، حفظ و تقویت امنیت شبکه تان یاری می کند. شما می توانید برای دریافت مشاوره رایگان و خرید محصولاتی همچون فایروال فورتی گیت، با کارشناسان ما در ارتباط باشید.