برای امنیت بیشتر در مدیریت سرورهای ویندوزی از راه دور می توان پورت اتصال به Remote desktop را تغییر داد , که این کار از طریق  Registry قابل انجام است.

پورت پیش فرض 3389 می باشد و در تنظیمات رجستری بصورت HEX وارد می شود یعنی D3D.

برای ایجاد تغییرات در رجستری RegEdit را در Run تایپ کنید.

عکس شماره1

برای تغییر پورت باید کلید PortNumber واقع در

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

را تغییر دهیم و همانطور که اشاره شد مقدار را بصورت HEX وارد می کنیم.

عکس شماره 2

بعد از تغییر کلید می بایست سیستم را Restart کنید.

می توانیم با ساختن یک فایل و اجرای آن پورت را تغییر دهیم , برای این منظور یک فایل با نام rdp.reg با محتویات زیر ایجاد کنید :

PersianAdmins.com:2222

منبع : http://www.admins.ir/

سلام خدمت جناب مهندس..من یک سوال داشتم که من 28/5 سالمه و دیپلم گرافیک هستم ولی به مباحث شبکه واقعا علاقه مند هستم.خواستم ببینم که بدون دانشگاه رفتن اگر من دوره های شبکه را بگذرانم میتوانم امیدوار باشم که موفق بشوم و وارد بازار کار آن شوم یا اینکه باید دانشگاه حتما بروم و رشته آی تی بخوانم و همزمان با آن دوره های شبکه را هم بگذرانم؟ممنون

جواب:

با سلام خدمت دوست عزیز من در یک پست کامل این مطلب رو شرح دادم ولی با توجه به سوالات فراوان چشم یه بار دیگه هم میگم.

برای شروع هرکاری داشتن زمینه قبلی در موفقیت بسیار تاثیر گذار خواهد بود.اگر شما بتونید به صورت آکادمیک این بحث رو دنبال کنید چه بهتر در غیر اینصورت اصلا نامید نباشید چون 95% موفقیت در یک کار پشتکار است شما میتونید یا ثبت نام در آموزشگاه های معتبر و البته تمرین و وقت گذاشتن زیاد به نتیجه دلخواه برسید.

جالبه بدونید دوستی داشتم مهندس کشاورزی داشت ولی علاقه زیادی به زبان انگلیسی داشت این قدر تمرین کرد که الان مدرس دوره های مکالمه Tofel و Ielts هست و الان دانشجوی ارشد زبان خارجه است.

خواستن توانستن است.

سوال:

با سلام من در یک واحد طراحی مهندسی مشغول به کار شدم این واحد میخاد سیستم ها رو به هم شبکه کنه ویک سرور داشته باشه ضمنا همه فایلهای طراحی شده در سرور باشه که همه برای طراحی از این فایلها استفاده کنند وویرایش رو انجام بدن بعد فایلها رو ذخیره کنند لطفا به من کمک کنید تا این شبکه رو راه اندازی کنم وراه مدیریت اون رو هم بمن نشون بدین ممنون

جواب:

دوست من اینکار هم آسونه و هم خیلی سخت.بستگی داره تونایی شما چقدره؟

بهترین مدل استفاده از کلاینت و سرور ، بستگی به تعداد سیستم ها و پراکندگی از یک سوئیچ و ... میتونید استفاده کنید.سرویس های مورد استفاده شما هم بستگی به نحوه پیکربندیتون داره که اونم باید بشینید و به جمع بندی برسید.

در هر صورت در خدمت شما هستم

سوال:

سلام مهندس
v*p*n من ارور 868 میده
لطفا به دادم برس

جواب :

بدلیل بسته شدن تمام پورتهای v*p*n کشور توسط مسولین دلسوز! فعلا تنها میشمه از S*O*C*K*S استفاده کرد

مدارک موجود در بحث شبکه در ایران تا یکی دو سال اخیر به دو نوع مدرک دسته بندی‌ می‌شد: گواهینامه‌های مایکروسافت(Microsoft Certificates) و گواهینامه‌های سیسکو(Cisco Certificates). اما از حدود یک سال ونیم گذشته بحث گواهینامه‌های هواوی(Huawei Certificates) نیز درایران به صورت رسمی بر سر زبان‌ها افتاد.

اما با وجود این سه نوع گواهینامه‌ که هر کدام دارای ویژ‌گی‌های خاص خود نیز می‌باشند، هنوز هم حتی در بین علاقه‌مندان این مدارک و حتی متخصصین دانشگاهی و متخصصین شرکت‌ها و سازمان‌ها کسانی هستند که نه تنها موارد کاربرد آن را نمی‌دانند بلکه عده زیادی متوجه تفاوت این مدارک و گواهینامه‌ها با یکدیگر نیز نیستند.

این امر باعث می‌شود که افراد در ابتدای دوره یا حین دوره بفهمند که دوره‌آموزشی فوق دوره مد نظر آنها نبوده و هزینه و وقت خود را بیهوده صرف کلاس‌ها کرده اند و باید به دوره دیگر و کلاس‌های دیگر بروند تا برای‌شان مفید بوده و واقعا برای آنها کاربرد داشته باشد.

حال در این مطلب به توضیح کلی این دوره‌های می‌پردازیم و در مطالب آینده به توضیح گواهینامه‌های این سه آکادمی و کابرد و سطح علمی انواع گواهینامه‌ها می‌پردازیم.

گواهینامه‌های مایکروسافت(Microsoft Certificates)

این گواهینامه‌ها به مباحث موجود در سیستم‌های عامل ویندوز، ویندوز سرور و برنامه‌های مربوط به آن می‌پردازد.

بهتر است دانشجویان و داوطلبان آموزش این دوره‌ها ابتدا با میاحث پایه‌ای شبکه آشنا شده و سپس به کلاس‌های دوره‌های مختلف این آکادمی بپردازند. برای این کار پیشنهاد می‌گردد که ابتدا دوره +Network (نتورک +) گذرانده شود تا ضمن آشنایی با مباحث پایه شبکه، بتوانند مباحث نرم‌افزاری این دوره‌ها را به سادگی درک نمایند.

این دوره‌های را می‌توان به عنوان دوره‌های نرم‌افزاری شبکه نامید و برای افرادی که می‌خواهند در شبکه شرکت‌های کوچک و متوسط یا حتی بزرگ و پیشرفته به پشتیبانی شبکه پرداخته و یا مدیر این نوع شبکه‌ها شوند، توصیه می‌گردد.

گواهینامه‌های سیسکو(Cisco Certificates)

این گواهینامه‌ها به مباحثه مربوط به سخت‌افزارهای شبکه‌ای مبتنی بر قواعد و الگوریتم‌های سیسکویی دارند می‌پردازند و نصب، پیکره‌بندی، ارتباطات و ساختار شناسی تجهیزات شبکه از قبیل: هاب، سوئیچ، روتر، اکسس پوینت و….. را در بر می‌گیرد.

همچون دوره‌های گواهینامه‌های مایکروسافت(Microsoft Certificates) برای این دوره‌ها نیز گذراندن و یا آشنایی با مباحث دوره +Network (نتورک +) یک امر لازم می‌باشد.

این دوره‌ها به دوره‌ها اکثرا سخت‌افزاری شبکه معروفند و برای افرادی که می‌خواهند در نصب پیکره‌بندی و پشتیبانی تجهیزات پیشرفته شبکه‌های پیشرفته و پیچیده به فعالیت بپردازند توصیه‌ می‌گردد.

گواهینامه‌های هواوی(Huawei Certificates)

این گواهینامه‌ها به مباحثه مربوط به سخت‌افزارهای شبکه‌ای مبتنی بر قواعد و الگوریتم‌های هواوی دارند می‌پردازند و نصب، پیکره‌بندی، ارتباطات و ساختار شناسی تجهیزات شبکه و تجهیزات حرفه‌ای شبکه‌های مخابراتی برای دانشجوایان و دواطلبان شرح می‌دهد.

مانند دو سری مدرکی دیگر برای این دوره‌ها نیز گذراندن و یا آشنایی با مباحث دوره +Network (نتورک +) یک امر لازم می‌باشد.

این دوره‌ها اکثرا مخابراتی می‌باشد و برای کارکنان و متخصصین اپراتورهای مخابراتی و تلفن همراه و همچنین شرکت‌های طرف قرارداد این مجموعه‌ها توصیه می‌گردد.

WebEx یك پیشگام در كنفرانس تحت وب بود و كماكان نیز به‌عنوان یك رقیب جدی جایگاه خود را حفظ كرده است. این نرم‌افزار یك گستره كامل از گزینه‌های به‌اشتراك‌گذاری (رومیزی، برنامه كاربردی، فایل و صفحه سفید) وب‌كم و صدای رایانه یا خط تلفن را ارائه می‌كند. شما می‌توانید شركت‌كنندگان را ازطریق ایمیل، تماس تلفنی یا پیام كوتاه دعوت كرده و از طریق یك نرم‌افزار كاربردی تحت وب ـ كه برخلاف ویژگی GoToMeeting نیازی به نصب نرم‌افزار ندارد ـ جلسه را دنبال كنید. همچنین می‌توانید جلسات خود را ضبط كرده و نتایج را همراه با فایل‌های مرتبط در فضای جلسه آپلود كنید.

هنگامی كه یك جلسه از طریق این سرویس آغاز شد، شركت‌كنندگان می‌توانند به نرم‌افزارهای كاربردی كه به‌اشتراك گذاشته‌اید دسترسی پیدا كنند یا افراد مختلفی در زمان‌های مختلف به‌عنوان ارائه‌كننده تعیین شوند.

قابلیت مناسب در WebEx این است كه هنگامی كه نشانگر خود را به بالای صفحه ببرید تنها یك نوار باریك از گزینه‌ها نمایش داده می‌شود، بنابراین محتوای زیادی را برای مخفی كردن، نخواهید داشت. همچنین WebEx یك طرح رایگان برای جلساتی با حداكثر سه نفر، ویدئوهای با كیفیت استاندارد و صداهایی كه تنها از رایانه پخش می‌شود، ارائه می‌كند. این طرح رایگان امكان به‌اشتراك‌گذاری نرم‌افزارهای كاربردی را به شما نمی‌دهد ولی به شما اجازه می‌دهد صفحه دسكتاپ، اسناد و صفحات سفید را به‌اشتراك بگذارید و 250 مگابایت فضای ذخیره‌سازی برای جلسه فراهم می‌كند.

ارزان‌ترین طرح پولی این سرویس به مبلغ 24دلار در ماه به‌ازای هر میزبان است. این طرح شامل جلسه‌هایی با حداكثر هشت شركت‌كننده، ویدئوهای با كیفیت بالا و سرویس تماس‌های خارجی رایگان است. همچنین امكانات به‌اشتراك‌گذاری برنامه‌های كاربردی و كنترل از راه دور بعلاوه یك گیگابایت فضای ذخیره‌سازی را در اختیار خواهید داشت.

طرح‌های متنوع، واسط كاربری جذاب و قابلیت‌های قدرتمند آن، این نرم‌افزار را برای بسیاری از كسب‌وكارها كه علاقه زیادی به مشاركت در محیط‌های آنلاین دارند، مناسب‌تر می‌كند.

در مجموع اگر شما به‌دنبال یك نرم‌افزار رایگان هستید MeetingBurner و WebEx برای شما مناسب خواهد بود، ولی درصورتی كه بخواهید در آینده به یك جمع بزرگ‌تر  قدم بگذارید WebEx قابلیت‌های بیشتری در چنته دارد. بعلاوه این كه هیچ‌گونه نصبی مورد نیاز نیست، هزینه آن برای گروه‌های كوچك مناسب‌تر از GoToMeeting است و به كاربران غیرویندوزی نیز سرویس می‌دهد.

با توجه به سوالاتی که از من میپرسند (اس ام اس ، تلفن ، ایمیل ، کامنت و ....) نکات مهمی که یه مدیر شبکه باید جهت بالا بردن امنیت شبکه خودش انجام بده 

1- نصب آنتی ویروس و بروزرسانی مداوم ( پیشنهاد Mcafee)

2- بستن کلیه یو اس بی سیستم ها (به جز سیستم هایی که خیلی کار دارند اونم با رعایت نکات ایمنی)

3-عدم نصب سی دی رام و ... بروی سیستم ها

4-مانیتورینگ روزانه سیستم ها

5- کنترل استفاده از اینترنت در شبکه

6- از همه مهمتر برگزاری همایش و اطلاع رسانی به کارکنان

غیر فعال کردن تشخیص IP Conflict

HKEY_LOCAL_MACHINE
.....\SYSTEM
.........\CurrentControlSet
.............\Services
.................\Tcpip
.....................\Parameters

reg add HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REG_DWORD /d 0 /f
or
reg add HLKM\System\CurrentControlSet\Services\Tcpip\Parameters /v ArpRetryCount /t REGDWORD /d 0 /f

روش‌های مختلف مهندسی اجتماعی

روش مهندسی اجتماعی به دو گروه مختلف تقسیم می شود:

**مبتنی بر انسان

**مبتنی بر کامپیوتر

در حالت ”‌ مبتنی بر انسان”‌ هکر از طریق ارتباط با شخص اطلاعات مورد نیاز خود را به دست می آورد. برای مثال از طریق تماس تلفنی.

اما در حالت مبتنی بر کامپیوتر، هکرها برای جمع آوری اطلاعات از نرم افزارهای کامپیوتری استفاده می کنند.

قبل از هر چیز باید گفت که این مطلب با هدف راهنمایی برای هک کردن سایر افراد نوشته نشده است. بلکه در اینجا سعی شده تا خوانندگان با نحوه صحیح انتخاب رمز عبور و پارامترهای مۆثر برای قدرتمند ساختن آن آشنا شوند. با خواندن آن تازه در می یابید که چطور ممکن است رمزهای عبور شما به راحتی هک بشوند و زندگی خودتان را از دست بدهید.

فکر می‌کنید اگر یک هکر قصد نفوذ به اکانت شما را داشته باشد، با چند بار سعی و خطا موفق خواهد شد؟

این لیست ده مورد از اولین احتمالات یک هکر برای کشف رمز عبورد شما است که البته پیدا کردن این اطلاعات هم بسیار ساده‌تر از آن چیزی است که تصور می کنید:

1. اسم پدر، مادر، همسر، فرزند و یا حیوان خانگی شما اولین موردی است که امتحان می شود. البته همیشه عدد 0 یا 1 را هم بعد از آن باید امتحان کرد. زیرا بسیاری از سایت‌ها از شما می‌خواهند که از عدد هم در رمزعبورتان استفاده کنید.

2. چهار رقم آخر شماره موبایل و یا کد ملی تان

3. 123 یا 1234 و یا 123456

4. کلمه password

5. شهر محل اقامت یا دانشگاهی که در آن تحصیل می‌کنید و یا اسم تیم فوتبال محبوب تان

6. روز تولد خود، والدین و یا فرزندان تان

7. کلمه god

8. هدف بزرگ شما در زندگی

9.کلمه money

10. کلمه love

هکرها به دور از هر گونه اصول اخلاقی برای بدست آوردن اطلاعات مورد نظرشان از هر ابزاری استفاده می‌کنند. تنها مرز و سد نگه دارنده بین فاش شدن و محرمانه ماندن اطلاعات تان رمزعبوری است که انتخاب می‌کنید و به شما بستگی دارد که این حصار را تا چه اندازه قدرتمند بسازید.

احتمالا تا به حال اسم حملات Phishing را شنیده‌اید. در حملات Phishing که یک نوع مهندسی اجتماعی به حساب می‌آیند، هکر از طریق ارسال یک ایمیل و هدایت کاربر به یک سایت جعلی به جمع آوری اطلاعات آن شخص قربانی می پردازد. مثلا شماره کارت اعتباری و رمز اینترنتی آن.

پیشگیری از حملات هکرها به روش مهندسی اجتماعی

علی رغم اینکه در این روزها نرم‌افزار و سخت‌افزارهای امنیتی هر روز قوی‌تر و به روز‌تر می‌شوند، اما در نقطه مقابل آنها کارمندان و نیروی انسانی قرار دارند که بسیار نفوذپذیرتر هستند. هکرها به آسانی و به روش مهندسی اجتماعی اطلاعات لازم را کسب می‌کنند. مهم ترین اقدام در آموزش کارمندان، آشنا کردن آنها با روش های گوناگون هک و دزدی اطلاعات است.تا به این صورت  آنها در هنگام برخورد با چنین حملاتی از آمادگی لازم برخوردار بوده و  از ارائه اطلاعات حساس و مهم جلوگیری کنند.

همچنین جهت به روز نگه داشتن کارمندان شرکت، هر چند ماه یک بار نیز باید کلاس‌های آموزشی جدیدی جهت آشنا کردن آنها با روش‌های جدیدتر سرقت اطلاعات توسط هکرها برگزار شوند.

چگونه هک نشوم؟

ساده‌ترین كارهایی كه برای امنیت آنلاین می‌توانید انجام دهید

آیا شما یك هدف ساده هستید؟

طبق آماری كه اخیرا منتشر شده است بسیاری از كاربران اینترنت نگران این مساله هستند كه اطلاعات شخصی آنها بدون كسب اجازه از خودشان به‌صورت آنلاین مورد استفاده قرار بگیرد و بیش از نیمی از كاربران نیز نگران آسیب‌پذیری خود در مقابل هك شدن هستند. البته این مساله باید مورد توجه قرار گیرد چرا كه آنها بیشتر از چیزی كه فكر می‌كنند اطلاعات خود را به اشتراك می‌گذارند.

از آنجایی كه شبكه‌های اجتماعی، پیشینه‌های عمومی و نقص‌های امنیتی، بسیار شایع هستند، حجم عظیمی از اطلاعات در اینترنت در معرض خطر قرار می‌گیرد.

هر بخشی از اطلاعات به قطعه‌ای از یك پازل تبدیل می‌شود. ما همه‌ چیز را در یكجا قرار نمی‌دهیم بلكه آنها می‌توانند در كنار یكدیگر قرار گیرند. برای مثال ممكن است شما تاریخ تولد خود را به‌صورت كامل در یك شبكه اجتماعی قرار ندهید ولی برای یك شخص اصلا مشكل نخواهد بود كه سال فارغ‌التحصیلی شما را به دست آورد.

بسادگی از خود محافظت كنید

اگر به هر دلیلی از اینترنت استفاده می‌كنید (ارسال ایمیل، آپلود تصاویر، ورود به شبكه‌های اجتماعی، خرید و...) پروفایل آنلاین شما در میان اطلاعات فراوان غوطه‌ور خواهد بود و حتی اگر مدت زیادی آنلاین نباشید، ذره‌های اطلاعات شخصی شما برای مشاهده آنلاین و از طریق پیشینه‌هایی كه به‌طور عمومی قرار داده شده‌اند در دسترس خواهند بود و كسی كه بخواهد می‌تواند آنها را براحتی در اختیار بگیرد.

خودتان را جستجو كنید

قبل از آن‌كه هرگونه نگرانی به خود راه دهید یك ایده خوب برای دانستن این‌كه چه مقدار اطلاعات درباره شما در اینترنت وجود دارد در مقابل شماست و آن این است كه خودتان را جستجو كنید. نام خود را همراه با كلمات كلیدی مرتبط (مانند آدرس، شماره تلفن، آدرس ایمیل و ...) در یك موتور جستجو تایپ كنید.

ببینید چه‌چیزی پیدا می‌كنید و به آنها به‌گونه‌ای بنگرید كه یك هكر نگاه می‌كند. آیا اطلاعات كافی برای كسی كه بخواهد آنها را در كنار یكدیگر قرار دهد وجود دارد؟ اگر وجود داشته باشد باید گام‌هایی برای بالا بردن امنیت شخصی خود بردارید.

استفاده از عبارات به‌جای رمز عبور

رمز عبور یك موضوع امنیتی است. بهترین رمز عبور تركیب‌هایی از حروف، اعداد و كاراكترهای خاص هستند كه توسط كامپیوتر تولید می‌شود. متاسفانه حفظ كردن این رشته‌های تركیبی برای بیشتر كاربران كاری بسیار سخت است ولی از آنجایی كه بیشتر رمزهای عبور به‌وسیله روش‌های آزمون و خطا (روش‌هایی كه در آنها یك كامپیوتر تمام تركیب‌های كاراكتری ممكن را امتحان می‌كند) هك می‌شود، رمزهای طولانی‌تر امن‌تر خواهند بود چرا كه زمان بیشتری برای كشف آنها مورد نیاز است.برای مثال یك پردازشگر چهار هسته‌ای تنها چند ساعت برای شكستن یك رمز پنج حرفی زمان نیاز دارد ولی برای به‌دست آوردن یك رمز هفت حرفی این زمان به بیش از ده روز افزایش پیدا می‌كند.

به‌روز بمانید

یكی از ساده‌ترین راه‌ها برای جلوگیری از ورود مزاحمین به كامپیوترتان این است كه اطمینان حاصل كنید همواره آخرین نسخه برنامه‌های كاربردی (از جمله آنتی‌ویروس) را در سیستم خود اجرا می‌كنید. بدافزارهایی كه به‌وسیله كلیك روی لینك‌های آلوده خودبه‌خود دانلود می‌شوند اغلب از اشتباه‌های شناخته‌شده در نرم‌افزارها سوءاستفاده می‌كنند. هرچه نسخه‌های نرم‌افزارها به‌روزتر باشند این اشتباه‌ها نیز معمولا در آنها كمتر یافت می‌شود.

رمز عبور یك موضوع امنیتی است. بهترین رمز عبور تركیب‌هایی از حروف، اعداد و كاراكترهای خاص هستند كه توسط كامپیوتر تولید می‌شود.

اولویت‌بندی حساب‌ها

ممكن است قادر نباشید عبارات پیچیده مختلفی را برای هر حساب خود به‌ یاد بسپارید. البته هیچ مشكلی وجود ندارند چرا كه بسیاری از كاربران همانند شما وجود دارد. برخی از افراد ممكن است تا بیش از صد حساب داشته باشند ولی همه آنها مهم نیستند. بنابراین به‌جای قرار دادن رمزهای عبور متفاوت برای هر حساب، تنها برای حساب‌های مهم (نظیر حساب‌های ایمیل، حساب‌های بانكی آنلاین، شبكه‌های اجتماعی و دیگر حساب‌هایی كه اطلاعات حساس را در خود دارند) رمزهای یكتا ایجاد كنید.

از یك مدیر رمز عبور استفاده كنید

درست است كه مدیران رمز عبور كمی به تنظیمات احتیاج دارند ولی اگر نگران یكپارچگی رمزهای عبور یا عبارات مورد استفاده هستید كاملا ارزش استفاده را خواهد داشت. مدیران رمز عبور مانند Dashlane، 1Password و LastPass نه تنها تمام رمزهای عبور شما را در یك برنامه رمزگذاری شده كم‌حجم ذخیره می‌كنند بلكه همچنین می‌توانید رمزهای امنی ایجاد كنید كه توسط كامپیوتر تولید می‌شود؛ رمزهایی كه شاید حتی با شكل آن آشنا نباشید. البته رمزهای ذخیره شده به‌وسیله یك رمز عبور مدیر محافظت می‌شود.

در انتخاب یك مدیر رمز عبور مهم است نرم‌افزاری را انتخاب كنید كه با تمام دستگاه‌هایتان از جمله تلفن و تبلت شما سازگار باشد. برنامه‌های مدیر رمز عبور كه در بالا اشاره شد با ویندوز، Mac OS X، iOS و آندروید سازگار است و LastPass توانایی همگامی با لینوكس، بلك‌بری، ویندوزفون، WebOS و سیمبیان را نیز داراست. این مدیران رمز عبور می‌توانند داده‌های فرمت‌بندی شده را نیز ذخیره كنند، بنابراین نیازی ندارید اطلاعات كارت اعتباری خود را در وب رها كنید.

حتی یك امنیت كوچك نیز اهمیت دارد

انجام كوچك‌ترین اقدامات امنیتی به فرار كردن از دست یك خرس تشبیه شده است؛ شما نیاز ندارید كه سریع‌تر از خرس بدوید، بلكه تنها كافی‌است از دوست خود سریع‌تر باشید! هكرها افراد باهوش و در عین حال كمی هم تنبل هستند. بنابراین اگر به هدفی تبدیل شوید كه دسترسی به آن كمی سخت باشد یك هكر معمولا تسلیم شما خواهد شد. بنابراین برداشتن گام‌های امنیتی هرچند بسیار كوچك مانند ایجاد یك رمز عبور هشت حرفی به‌جای یك رمز پنج حرفی می‌تواند از اطلاعات شخصی و حیاتی شما محافظت كند. این اقدامات حداقل كاری كه انجام می‌دهد این است كه هكرها را برای رفتن به در بعدی متقاعد می‌كند.

 برگرفته از سایت تبیان

سلام

با تشکر از مطالب خوب شما
یک سوال از خدمت شما داشتم:
یک کارگاه با 20 کامپیوتر داریم که می خواهند اینترانت داشته باشند
چه تجهیزات و اقداماتی را بایستی انجام داد؟

سوال دوم اینکه : خواسته آنها محدود کردن دسترسی فقط یه سایت مورد نظرشان هست برای اینکار اتصال به اینترنت و بعد محدود کردن سطح دسترسی به صرفه تر نیست؟
برای اینکار چه تجهیزات و اقداماتی را بایستی انجام داد؟
سویچ یاروتر مناسب تر است؟ چه مدلی؟
چه فایروالی نیاز هست؟

اگر جواب بنده را زود عنایت بفرمایید خیلی ممنونم.
پیشاپیش از راهنمایی های شما سپاسگزارم.

جواب:

با سلام خدمت آقای حسینی

ببینید برای راه اندازی یک شبکه حتما محل باید مورد بازدید قرار بگیره ولی اصولا برای این نوع شبکه اگر اینترانت قرار راه اندازی بشود دسترسی شما با اینترنت به اون میسر میشه یا از طریق خطوط دیتا؟

اگر خط دیتا باشه یک روتر برای سایت باید تهیه نمائید.ولی اگه از طریق اینترنت باشه همون سوئیچ کار شما رو راه میندازه.یک سرور تهیه کنید اینترنت رو به سرور بدید بعد توسط نرم افزار هایی مانند GFI web monitor یا CCproxy اولی حرفه ای تره.میتونید تنظیم کنید که به چه سایت هایی دسترسی داشته باشند.در زمینه فایروال ها بنده اطلاعات چندانی ندارم.

با سلام حضور شما
تو سازمانمون با یه مشکل مواجه شدیم
شبکه دومین هست
تقریبا 2 هفته ای هست که مجموعه ای از سیستم ها بعد از ورود اکانت کاربری روی صفحه welcome ویندوز میمونن و لود نمیشن وقتیم لوکال بالا میایم گزینه مربوط به آیپی مدام در حال چرخیدنه وآیپی نمیگیره اما روی dhcp آیپی گرفتن و حتی ینگ هم میشوند بعد از اینکه از طریق safemode with networking بالا میایم و یکبار از دومین خارج میکنیم و به صورت عادی وارد میشیم و جوین میکنیم درست میشه اما بعد از چند روز دوباره تکرار شد جدیدا سیستم های سایت های دیگر هم دچار همین مشکل شدن.

جواب:

با سلام خدمت شما ریحانه خانم

اولین موردی که باید چک بشود اینه که زیرساخت های سخت افزاری مورد استفاده ( کارت شبکه ، کابل کشی ، کیستون ، سوئیچ و ... ) مورد بازدید قرار بگیرند.

ولی مورد مهم تر بررسی سیستم از لحاظ ورود ویروس به سرور میباشد.

به نظر بنده جهت بالا بردن امنیت شبکه اصلا از DHCP استفاده نکنید.شما میتونید آی پی تمام سیستم ها رو بصورت دستی تنظیم نمائید.یکی دیگه از احتمالا اختلال در DHCP میتونه باشه که ممکنه درست کارش رو انجام نده و یا یک DHCP دیگه تو شبکه فعال شده باشد.

Event Viewer :

این برنامه در ویندوز سرور 2003 جهت مشاهده گزارشات و Log های سیستمی ، نرم افزاری و امنیتی میباشد. بسیاری از مدیران شبکه برای اینکه بتوانند راه حلی برای مشکل سرور خود یا برنامه خود پیدا کنند ، به این برنامه مراجعه کرده و دلیل مشکل برنامه یا سرور خود را پیدا کرده و راه حلی برای آن پیدا میکنند.

برای اجرای این برنامه :

Start -> Administrative Tools -> Event Viewer

این برنامه از قسمتهای زیر تشکیل شده است:

- Application : در این قسمت گزارشات مربوط به نرم افزارهای نصب شده بر روی آن سرور را می توانید مشاهده نمایید.

- Security : در صورتی که در شبکه خود از تنظیمات امنیتی بهره ببرید و یا کنترلهایی (Audit ) را داشته باشید ، در این قسمت میتوانید گزارش آن موارد کنترلی را مشاهده نمایید.

- System : در این قسمت میتوانید اطلاعات و خطاهای مربوط به سیستم عامل و خود سیستم را مشاهده نمایید.

- Directory Services : در این قسمت گزارشات امنیتی ،‌خطاها و اطلاعات مربوط به Active Directory قرار میگیرد.

- DNS Server : در این قسمت اطلاعات مربوط به DNS سرور قرار داده میشود.

- File Replication Service : اکتیو دایرکتوری در از سرویسی به نام FRS یا همان File Replication Service جهت Repication بین سرورهای Domain Controller استفاده میکند. تمامی گزارشات این Replication در این قسمت قرار میگیرند.

* قابل توجه میباشد که تمامی این قسمتها قابل تنظیم میباشند و میتوانیم به عنوان مثال مشخص نماییم که خودمان Log ها یا گزارشات را به صورت دستی پاک میکنیم یا سیستم به صورت اتوماتیک بعد از مدت زمان مشخصی این عمل را انجام دهد؟ توجه نمایید که اگر به صورت دستی تنظیم نماییم حتما باید به صورت دوره ای این عمل صورت گیرد در غیر اینصورت سرور با مشکل مواجه خواهد شد.

سوال:

در یک دفتر کوچک با 8 Client کار اصلی با اینترنت است.
قطعی های گاه و بی گاه ISP مشکل ساز است.
به نظرم رسید برای اینکه قطعی کمتر مشکل ایجاد کند از دو ISP سرویس تهیه شود .در ضمن روش استفاده Client ها Nat است و از Router حرفه ای استفاده نمی شود بلکه از روتر Dsl مودم استفاده می شود.
سوال من این است
در صورت قطعی ISP اول از چه روشی میتوان استفاده کرد که نیازی به تغییر تنظیمات سمت Client ها نباشد و اتوماتیک انجام شود؟
آیا امکان تنظیم دو Default Gateway در سمت Client ها وجود دارد؟ در این صورت آیا بصورت موازی از هر دو سرویس ISP استفاده می شود؟
پیشاپیش از راهنمایی تان متشکرم

جواب:

با سلام خدمت آقای آرمان ، ببینید دوست عزیز بهترین گزینه برای حل مشکل شما که هزینه زیادی نداشته باشد استفاده از نرم افزار TMG یا همون Isa server 2010 میباشد.شما میتونید در این نرم افزار قسمت Networking و از اونجا سربرگ ISP Redundancy برید و آی پی دو تا مودم روتر خود را وارد نمائید و سپس مشخص کنید که هرکدوم چند درصد بار اینترنت رو مدیریت نمایند سپس شما آی پی سرور رو به عنوان Gateway سیستم ها قرار بدید با اینکار در صورت قطعی یک خط اینترنت اون خط سریعا جایگزین میشه و نیازی به تغییر گیت وی سیستم ها نیست.

موفق باشید.

salam,.khobid?taat ghabool.emruz ip serveram khod b khod paride bud va kole shbake v ainternet ghat shod man dobare ip dadam k vasl shod.dalilesh chiye?rabti b static va dynamic dare?

aslan to iran ip static hast?az koja befahmam ip shabakamon static ya dynamic hast?

va soal baad inke har chi mikham chan ta folder ro vase yeki az user ha share konam m.misheha valik baz on nemitone dastersi dashte bahse.chera?

va inke az toye server network discovery ro on mikonm vaghti barmigardam tosh khod b khod off shode engar tanzimatesh toriye k in moredo nemishe taghiir dd.hatta restart ham kardam ama on nemimune.akhe goftam shayad ba on kardanesh moshkel dastresi hal she.teze firewall server va on user ro ham off kardam nashod.eshkal nadare fw of bashe?

vay bebakhshid inhame neveshtam.khoda ajret bede aghaye haji zade.shad o sarboland bashid.montazeram.

سلام وقت بخیر

1-      هیچگونه دلیل منطقی برای حذف IP شما به صورت ناخودآگاه نیست مگر اینکه نرم افزار خاصی رو نصب کرده باشید که تاثیر گذاشته باشه و یا کسی به سرور شما دسترسی پیدا کرده و این کارو کرده (از راه دور مانند هکر و یا از داخل اداره.حالا به هر دلیلی)یا اینکه کارت شبکه شما دچار مشکل شده و شاید درایورش پریده باشه.

در چند مورد دیده بودم که شبکه قطع و وصل میشد وقتی چک کردم دیدم که کارت شبکه دچار مشکل شده و درست Ip نمیگیره و مدام قطع و وصل میشه.با تعویض کارت شبکه مشکل حل شد.

اگر سرویس DHCP رو سرور فعال باشه و به صورت اتوماتیک IP اختصاص میده چک کنید ببینید که سرویس درست کار میکنه و کسی اونو Stop نکرده باشه.

2-       Static IP از اسمش پیداست IP شما ثابت است و هیچ وقت تغییر نمی کند. این IP رو شما میتونید از دفاتر ارائه کننده اینترنت خریداری کنید و هر ساله باید اونو تمدید کنید. Dynamic IP آی پی متغیر است. با هر بار اتصال به شبکه آی پی شما تغییر می کند. مثلا اگر با Dial up به شبکه اینترنت وصل شوید می بینید که در هر بار اتصال به اینترنت IP تغییر می کند. دلیلش هم ساده است. ISP که از آن سرویس اینترنت دارید یک تعداد محدودی IP دارد و لازم نیست برای هر User یک IP ثابت داشته باشد چون آن User همیشه به اینترنت متصل نیست و بنابراین وقتی اتصال خود را از اینترنت قطع می کند می تواند آن آی پی را به فرد دیگری بدهد. برای همین IP های خریداری شده را داخل یک IP Pool قرار می دهند تا در هر بار اتصال User ها ، بشود از آنها استفاده کرد. آی پی استاتیک باید به صورت دستی روی کلاینت ها تنطیم و set شود و بنابراین تعداد IPها باید با تعداد کلاینت ها برابر باشد. ولی در جاهایی که نیاز است IP و سایر تنظیمات بصورت اتوماتیک روی کلاینت ها ست شود و نیزتعداد IP ها نسبت به کلاینت ها کمتر است از سرویس DHCP استفاده می شود

3-      شما باید برای اون پوشه اشتراکی Permision تعریف کنید ممکنه کاربره مربوطه از لحاظ سطح دسترسی نمیتونه به پوشه مورد نظر دسترسی پیدا کنه.

4-      سعی کنید اگر فایروال رو رویه سیستم off میکنید از نرم افزارهای آنتی ویروس قوی مثل Macafee استفاده کنید و یا از نرم افزار ISA جهت کنترل ورود و خروج اطلاعات از سرور.

موفق و پیروز باشید.

من به کمکتون نیاز دارم . راستش برای من یه فایل دانلود اومده که پسوندش .bat بود. راستش یه کم نگرانم میخواستم بدونم وقتی که این فایلو دانلود کنیم احتمال داره که بتونه به عکسا یا اطلاعات کامپیوتر من دسترسی پیدا کنه؟ راستی وقتی دانلودش میکنم این توی صفحه نوشته میشهdebug e30 o31 من خیلی نگرانم اگه جواب منو زودتر بدین ممنون میشم.

جواب:

این فایل که برای شما ارسال شده تنها کاری که میکونه اینه که هارد رو میسوزونه!!

ولی به هیچ اطلاعاتی از هارد دسترسی نمیتونه داشته باشه.

این کد قدیمیه و الان فکر نکنم دیگه جواب بده.

در کل هیچگونه فایلی با پسوند bat رو از جای مطمئن اگه دانلود نکردید به هیچ وجه اجرا نکنید این فایل ها رو که هکرها (اگه بشه اسمشون رو گذاشت) مینویسن برای خرابکاری البته این فایل ها کاربردهای زیادی دارند ولی متاسفانه افراد زیادی سوئ استفاده میکنند.

Const JOIN_DOMAIN = 1
Const ACCT_CREATE = 2
Const ACCT_DELETE = 4
Const WIN9X_UPGRADE = 16
Const DOMAIN_JOIN_IF_JOINED = 32
Const JOIN_UNSECURE = 64
Const MACHINE_PASSWORD_PASSED = 128
Const DEFERRED_SPN_SET = 256
Const INSTALL_INVOCATION = 262144
 
strDomain = "FABRIKAM"
strPassword = "ls4k5ywA"
strUser = "shenalan"
 
Set objNetwork = CreateObject("WScript.Network")
strComputer = objNetwork.ComputerName
 
Set objComputer = GetObject("winmgmts:{impersonationLevel=Impersonate}!\\" & _
    strComputer & "\root\cimv2:Win32_ComputerSystem.Name='" & _
        strComputer & "'")
 
ReturnValue = objComputer.JoinDomainOrWorkGroup(strDomain, _
    strPassword, strDomain & "\" & strUser, NULL, _
        JOIN_DOMAIN + ACCT_CREATE)
   

strComputer = "atl-pro-040"

set objComputer = GetObject("LDAP://CN=" & strComputer & _
    ",CN=Computers,DC=fabrikam,DC=com")
objComputer.DeleteObject (0)
   

2 - کاربران نمی‌توانند به هیچ منبعی روی شبکه سازمانی دسترسی پیدا کنند

در بعضی مواقع کاربران می‌توانند به سرور VPN راه دور متصل شوند، اما نمي‌توانند به هیچ‌کدام از منابع موجود روی شبکه سازمانی دسترسی پیدا کنند. در چنین مواردی کاربران نمی‌توانند نام ‌هاست را شناسايی کرده و حتی قادر نیستند به منابع موجود در شبکه سازمانی Ping کنند.

رایج‌ترین دلیل وقوع این مشکل این است که کاربران به شبکه‌ای متصل هستند که ID شبکه آن با شبکه سازمانی مستقر در پشت سرور VPN یکسان است. به‌عنوان مثال، کاربر به شبکه پرسرعت یک هتل متصل شده و به این ترتیب ID شبکه پس از تخصیص آدرس IP اختصاصی به‌صورت 24/10.0.0.0 اختصاص یافته است.

حال چنان‌چه شبکه سازمانی نیز روی همین ID شبکه 24/10.0.0.0تعریف شده باشد، آن‌گاه کاربر قادر به اتصال به شبکه سازمانی خود نخواهد بود، زیرا ماشین کلاینت VPN آدرس مقصد را به‌صورت شبکه‌ای محلی می‌بیند و اتصال شبکه راه دور را از طریق رابط VPN ارسال نمي‌کند.

دلیل عمده دیگر برای عدم موفقیت در اتصال این است که کلاینت‌های VPN اجازه دسترسی به منابع موجود روی شبکه سازمانی را به‌دلیل قوانین تعیین شده از جانب فایروال نمی‌یابند. راه‌حل این مشکل پیکربندی فایروال به‌گونه‌ای است که اجازه دسترسی به منابع شبکه‌ای را به کلاینت‌های VPN بدهد.

3 - کاربران نمی‌توانند از پشت ابزارهای NAT به سرور VPN متصل شوند

اغلب روترهای NAT و فایروال‌ها به اصطلاح از پشت ابزارهای NAT از پروتکل PPTP VPN پشتیبانی می‌کنند. هرچند برخی از فروشندگان طراز اول تجهيزات شبکه‌ای، ويرايشگر NAT را در پروتکل PPTP VPN خود تعبیه نمي‌کنند. اگر کاربری در پشت چنین ابزاری واقع شده باشد، ارتباط VPN براي اتصال از طريق PPTP با شكست مواجه خواهد شد. البته، ممكن است با ديگر پروتكل‌هاي VPN كار كند.

همه ابزارهاي NAT و فايروال‌ها در كار با پروتكل‌هاي VPN مبني بر IPSec از IPSec پشتيباني مي‌کنند. اين پروتكل‌هاي VPN شامل پياده‌سازي‌هاي اختصاصي مد تونل IPSec و L2TP/IPSec سازگار با RFC خواهند بود. همچنين اين دسته از پروتكل‌هاي VPN مي‌توانند با استفاده از (Encapsulating) ارتباطات IPSec و در هدر UDP از پيمايش NAT يا (NAT Traversa) پشتيباني کنند.

چنان‌چه سرور و كلاينت VPN شما از پيمايش NAT پشتيباني کرده و كلاينت تمايل دارد از L2TP/IPSec براي اتصال به سرور سازگار با NAT استفاده کند، رايج‌ترين دليل براي اين مشكل اين است كه كلاينت از سيستم‌عامل Windows XP SP2 استفاده مي‌كند.

سرويس پك 2 پيمايش NAT Traversal را روي كلاينت‌هاي L2TP/IPSec به‌اصطلاح مي‌شكند. شما مي‌توانيد اين مشكل را از طريق ويرايش رجيستري روي كلاينت VPN آن‌گونه كه در آدرس زير توضيح داده شده حل كنيد.

4 – كاربران از سرعت پايين شكايت دارند

سرعت كم يكي از مشكلاتي است كه برطرف کردن آن بسيار دشوار است. دلايل زيادي براي كاهش كارايي ارتباط VPN وجود دارد و نكته مهم آن هم اين است كه كاربران بتوانند توضيح دهند دقيقاً در زمان انجام چه كاري با افت كارايي و كاهش در سرعت روبه‌رو مي‌شوند.

يكي از عمده‌ترين موارد هنگام كاهش كارايي ارتباط VPN زماني است كه كلاينت در پشت شبكه DSL قرار گرفته و از پروتكل PPPoE استفاده مي‌کند. چنين ارتباطات شبكه‌اي معمولاً موجب بروز مشكلات مرتبط با MTU شده كه مي‌توانند بر هر دو عامل اتصال و كارايي تأثيرگذار باشند. براي اطلاعات بيشتر درخصوص موارد مرتبط با MTU در كلاينت‌هاي ويندوزي به آدرس زير مراجعه کنيد.

5 – كاربران از طريق PPTP متصل مي‌شوند، اما امکان اتصال از طريق L2TP/IPSec وجود ندارد

PPTP پروتكل ساده‌اي براي پيكربندي و تنظيم روي سرور و كلاينت VPN است. فقط كافي است كه كاربر از نرم‌افزار كلاينت توكار VPN كه به‌همراه تمام نسخه‌هاي سيستم‌عامل ويندوز ارائه مي‌شود استفاده کرده و نام كاربري و كلمه عبور معتبر اكانتي را كه مجوز دسترسي از راه دور را دارد، در اختيار داشته باشد.

اگر كامپوننت سرور VPN براساس مسيريابي ويندوز و Remote Access Service باشد، به‌سادگي تنظيم شده و پس از اجراي يك راهنماي پيكربندي كوتاه به‌طور خودكار اجرا خواهد شد. L2TP/IPSec قدري پيچيده‌تر است. اعتبار كاربر و ماشين وي بايد توسط سرور VPN تأييد شوند.

تأييد اعتبار ماشين مي‌تواند از طريق يك كليد مشترك (Pre-shared Key) يا ماشين ثبت‌شده صورت گيرد. اگر از كليد مشترك استفاده مي‌كنيد (كه معمولاً به دلايل امنيتي توصيه نمي‌شود)، بررسي كنيد كه آيا كلاينت VPN براي استفاده از همان كليد مشترك پيكربندي شده يا خير؟ اگر از روش ثبت ماشين استفاده مي‌كنيد نيز مطمئن شويد كه كلاينت VPN مجوز مربوطه را دارد يا خير؟

6 – اتصال VPN سايت‌به‌سايت برقرار مي‌شود، اما هيچ ترافيكي بين گيت‌وي‌هاي VPN جابه‌جا نمي‌شود

هنگامي كه يك ارتباط VPN سايت‌به‌سايت بين سرورهاي RRAS ويندوزي ايجاد مي‌كنيد، اين امكان وجود دارد كه اتصال VPN درظاهر برقرار نشان داده شود، اما ترافيكي ميان شبكه‌هاي متصل‌شده رد و بدل نشود. اشكال در شناسايي نام سرورها ايجاد شده و‌هاست‌ها حتي قادر به پينگ كردن به شبكه راه دور نيز نيستند.

عمده‌ترين دليل براي بروز اين مشكل اين است كه هر دو طرف اتصال سايت به سايت روي يك ID شبكه يکسان هستند. راه‌حل آن نيز تغيير الگوي آدرس‌دهي IP روي يك يا هر دو شبكه‌ بوده تا به‌اين ترتيب، تمام شبكه‌هاي متصل‌شده به‌صورت سايت به سايت روي IDهاي شبكه متفاوتي قرار داشته باشند.

7 – كاربران نمي‌توانند از پشت فايروال به ارتباط در مُد تونل IPSec اقدام کنند

به‌طور معمول سرور VPN و کلاينت‌ها به‌طور صحيح پيکربندي مي‌شوند تا بتوانند از مُد تونل IPSec  يا ارتباط L2tp/IP Sec NAT-T براي ارتباط با يک سرور VPN  استفاده کنند و در نتيجه ارتباط با شکست مواجه مي‌شود. در برخي مواقع اين اتفاق را بعد از برقراري اتصال موفق اولين كلاينت مشاهده مي‌كنيد، اما كلاينت‌هاي بعدي كه در پشت همان ابزار NAT قرار دارند، با شكست در ارتباط روبه‌رو مي‌شوند.

دليل بروز اين مشكل اين است كه تمام سرورهاي IPSec NAT-T VPN با RFC سازگار نيستند. سازگاري با RFC نيازمند اين است كه سرور مقصد NAT-T VPN از تماس‌هاي IKE روي پورت منبع UDP 500 پشتيباني كرده تا آن‌هابتوانند ارتباطات چندگانه را از چندين كلاينت در پشت يك گيت‌وي VPN واحد مالتي‌پلكس كنند.

حل اين مشكل از طريق تماس با فروشنده سرور VPN و حصول اطمينان از اين‌كه پياده‌سازي  VPN IPSec NAT-T با RFC سازگاري دارد يا خير، امكان‌پذير خواهد بود. اگر اين‌گونه نبود، از فروشنده درباره وجود Firmware براي به‌روز رساني سؤال كنيد.

8 – كاربران نمي‌توانند به برخي از IDهاي شبكه سازماني دسترسي پيدا كنند

برخي از اوقات كاربران مواردي را گزارش مي‌كنند كه در آن ذكر شده، مي‌توانند بعد از برقراري ارتباط VPN به برخي از سرورها دسترسي پيدا كنند، اما بقيه سرورها قابل دسترسي نيستند. آنان وقتي ارتباط خود را آزمايش مي‌كنند، مشاهده مي‌كنند كه نمي‌توانند با استفاده از نام يا آدرس IP به سرور مورد نظر خود پينگ كنند.

دليل عمده براي اين مشكل اين است كه سرور VPN ورودي‌هاي جدول روزمره را براي تمام IDهاي شبكه‌هايي كه كاربر نمي‌تواند به آنان متصل شود، در اختيار ندارد. كاربران فقط قادر به اتصال به سرورهايي هستند كه روي زيرشبكه سرور VPN باشند، اما از طريق سرور VPN قادر به ارتباط با IDهاي شبكه راه‌دور نيستند.

راه‌حل اين مشكل پركردن جدول مسيريابي روي سرورVPN به‌گونه‌اي‌ است كه آدرس گيت‌وي تمام IDهاي شبكه‌هايي را كه VPN بايد به آنان متصل شود، در آن وجود داشته باشد.

9 – كاربران هنگام اتصال به سرور VPN قادر به اتصال به اينترنت نيستند

در برخي مواقع كاربران نمي‌توانند پس از اين‌كه اتصال VPN برقرار شد، به اينترنت متصل شوند. در اين‌حالت همزمان با قطع ارتباط VPN كاربران در اتصال به اينترنت مشكلي نخواهند داشت. اين مشكل زماني مشاهده مي‌شود كه نرم‌افزار كلاينت VPN براي استفاده از سرور VPN به عنوان گيت‌وي پيش‌فرض خود پيكربندي شده‌باشد. اين تنظيم، تنظيم پيش‌فرض نرم‌افزار كلاينت VPN مايكروسافت است.

از آنجا كه همه ‌هاست‌ها دور از محل كلاينت VPN مستقر هستند، ارتباطات اينترنت به‌سمت سرور VPN مسيردهي خواهند شد. اگر سرور VPN به‌گونه‌اي پيكربندي نشده باشد كه ارتباط با اينترنت را از طريق كلاينت‌هاي VPN ميسر سازد، هرگونه تلاشي براي اتصال به اينترنت با شكست روبه‌رو خواهد شد.

راه‌حل اين مشكل پيكربندي سرور VPN به‌گونه‌اي است تا به كلاينت‌ها اجازه دسترسي به اينترنت را بدهد. سرور RRAS ويندوز و بسياري از فايروال‌ها از چنين پيكربندي پشتيباني مي‌كنند. در برابر اصرار براي غيرفعال کردن تنظيمات پيكربندي كلاينت VPN جهت استفاده سرور VPN از گيت‌وي پيش‌فرض خود مقاومت كنيد. زيرا اين كار ويژگي Split Tunneling را كه يكي از تهديدات شناخته‌شده و خطرناك امنيتي محسوب مي‌شود، فعال خواهد کرد.

10 – چندين كاربر با استفاده از يك مجوز اعتبار PPP به سرور VPN متصل مي‌شوند

يكي از خطراتي كه تمام سازمان‌هايي را كه اقدام به پياده‌سازي امكانات دسترسي راه‌دور به سرور VPN مي‌کنند، تهديد مي‌كند، اين‌است كه كاربران اطلاعات مربوط به نام كاربري و كلمه عبور را با يكديگر به اشتراک مي‌گذارند. در بسياري از پياده‌سازي‌هاي سرور VPN شما قادر خواهيد بود نه‌تنها پيش از برقراري ارتباط VPN نسبت به بررسي اعتبار و مجوز كاربر اقدام كنيد، بلكه اگر آن كاربر به دسترسي به شبكه از طريق VPN مجاز نبود، درخواست لغو ارتباط به سرور صادر شود.

اگر كاربران به استفاده اشتراكي از مجوزها اقدام کنند، اين عمل وضعيتي را ايجاد خواهد کرد تا كاربران غيرمجاز بتوانند با استفاده از مجوز كاربران مجاز به شبكه متصل شوند. يك راه‌حل براي اين مشكل استفاده از الگوهاي اضافي بررسي اعتبار است.

به‌عنوان مثال، شما مي‌توانيد مجوز كلاينت كاربر را نيز بررسي كنيد. به‌اين ترتيب، هيچ كاربر ديگري نمي‌تواند با مجوز يك كاربر مجاز وارد شبكه شود. انتخاب ديگر استفاده از كارت‌هاي هوشمند، ابزارهاي بيومتريك و ديگر روش‌هاي دو فاكتوري تعيين هويت است.

منبع: http://www.freedanload.com/10-tips-VPN/