معرفی فایروال های نسل بعدی NGFW

معرفی فایروال های نسل بعدی NGFW

فایروال های سنتی قدیمی بر اساس فیلتر کردن یک پورت یا یک پروتکل خاص فعالیت می کردند. مثلا کلیه ترافیکی که مربوط به پورت ۸۰ بوده را بسته و به پروتکل HTTP اجازه عبور نمی دادند و یا اینکه تمامی ترافیک مربوطه به پورت ۴۴۳ را مسدود کرده و تمامی صفحاتی که با پروتکل HTTPS کار می کنند را مسدود می کردند. این نشانگر یک قانون است: یا همه چیز یا هیچ چیز.

فایروال های جدید تر این امکان را دارند که ترافیک را بر اساس نوع نرم افزار مورد استفاده و پورت و ترافیک مورد استفاده توسط هر نرم افزار کاربردی مسدود یا عبور دهند. مثلا شما میتوانید به یک برنامه خاص اجازه استفاده از پورت ۸۰ را و صرفا به یک وب سایت خاص بدهید و بدینوسیله به نرم افزار اجازه فیلتر کردن بر اساس پورت،پروتکل،آدرس و حتی یک سرویس خاص را بدهید. تصور کنید در این حالت یک فایروال و سرویس QoS را با هم در یکجا دارید.

اینگونه فایروال ها را با عنوان فایروال های نسل بعدی می شناسید، اما در حقیقت به نوعی تشکیل یک راهکار از نوع سیستم مدیریت یکپارچه تهدیدات یا UTM را خواهند داد. اما فراموش نکنید که هنگامی که اسم سیستم یکپارچه مدیریت تهدیدات یا همان UTM به گوش می خورد به یاد تجهیزات سخت افزاری خواهیم افتاد که برای همین فعالیت ها در نظر گرفته شده اند اما اینگونه تجهیزات بیشتر به درد تجارت های کوچک و خانگی یا به اصطلاح (SMB) می خورند. UTM ها امکانات بیشتری نسبت به یک فایروال دارند و در بیشتر اوقات شما می تواند در یک دستگاه UTM، یک فایروال، یک آنتی ویروس، یک آنتی اسپم، یک سیستم تشخیص و جلوگیری از نفوذ و بسیاری دیگر از امکانات باشید.

از این به بعد به فایروال های نسل بعدی NGFW می گوییم. اینگونه فایروال های به دلیل اینکه بسیار مناسب Tune شده اند میتوانند مدیریت بسیار مناسبی بر روی امنیت و پهنای باند عبور کننده از خود داشته باشند و دلیلی اصلی آن هوشمندی و دقت بیشتر در قدرت واکاوی داده هایی است که از آنها عبور میکنند. قدرت فیلترینگ محتویات یا content filtering همچنین وجود سرویس Qos در این فایروال ها این اجازه را به فایروال میدهد که پهنای باند را با توجه به اولویت نرم افزارها به آنها اختصاص دهد، مثلا نرم افزاری که دارای اولویت در استفاده از اینترنت باشد میتواند پهنای باند بیشتری را به خود اختصاص دهد. با توجه به رشد روز افزون فناروی و استفاده از سرویس های پردازش ابری، امکان سرویس دهی به اینگونه فناوری ها نیز در NGFW دیده شده است.

 

 

در اینجا برخی از ویژگیهای معمول فایروال های NGFW را بررسی می کنیم:

امکانات استاندارد یک فایروال: در این نوع فایروال های قابلیت های همان فایروال های قدیمی ( نسل اولی ) از قبیل مسدود کردن پورت ها و پروتکل ها و همچنین سرویس شبکه خصوص مجازی یا VPN و سرویس NAT وجود دارد.

شناسایی و فیلتر کردن نرم افزارها: این قابلیت در واقع بزرگتری نقظه قوت اینگونه فایروال ها است، آنها می توانند به جای اینکه صرفا پورت یا پروتکل خاصی را فیلتر کنند، نوع ترافیک یک نرم افزار را تشخیص داده و بر اساس نوع نرم افزار پورت یا سرویس آن را فیلتر کنند. این قابلیت باعث میشود که نرم افزارهای مخرب نتوانند از پورت های معمول و غیر معمول برای ورود به شبکه و آسیب رسانی به آن استفاده کنند.

واکاوی SSH و NGFW :SSL ها میتوانند ترافیک رمزنگاری شده پروتکل های SSL و SSH را نیز واکاوی کنند . آنها توانایی رمزگشایی ترافیک را داشته و پس از رمز گشایی و اطمینان از سالم بودم و عدم وجود ترافیک غیر مجاز با توجه به خط مشی تعیین شده برای آن مجددا رمزگذاری کرده و ارسال می کنند. این قابلیت از مخفی شدن کد های مخرب در درون ترافیک رمزنگاری شده توسط نرم افزارهای مخرب جلوگیری کرده و از ورود اینگونه ترافیک به درون شبکه جلوگیری کند.

جلوگیری از نفوذ: با هوشمندی خاصی که برای اینگونه از فایروال ها در نظر گرفته شده است و توانایی واکاوی فوق العاده ای که در آنها دیده شده است، این NGFW ها توانایی جلوگیری و تشخیص نفوذ را در خود جای داده اند. برخی از اینگونه NGFW ها قابلیت های تشخیص و جلوگیری از نفوذی دارند که حتی یک دستگاه IPS مجزا هم این ویژگیها را به تنهایی ندارد.

هماهنگی با دایرکتوری سرویس ها: از قابلیت های جدید اینگونه NGFW ها هماهنگی کامل با ساختار های دایرکتوری مانند اکتیودایرکتوری است و با این روش دیگر نیازی به تعریف کاربر در فایروال نیست و از همان گروه ها و کاربرانی که در اکتیودایرکتوری وجود دارند می توان در فایروال نیز استفاده کرد.

فیلتر کردن کدهای مخرب : NGFW میتوانند بر اساس نوع فعالیت یک نر مافزار و مخرب بودن آن از ادامه کار یا حتی شروع به کار یک کد مخرب جلوگیری کنند، اینگونه NGFW ها میتوانند بوسیله شناسایی سایت های مخرب و ذخیره آنها در دیتابیس خود از بروز حمله از طریق آنها جلوگیری کنند، همچنین یعضی از آنها توانایی شناسایی حملات از نوع Phishing و همچنین شناسایی ویروس ها و تروجان ها را دارند.

همیشه هنگام انتخاب یک محصول برای استفاده در شبکه به عنوان یک فایروال نسل بعدی باید به تعداد نرم افزار ها و تعداد شناسایی هایی که آن فایروال می تواند تشخیص دهد توجه کرد، برخی از آنها توانایی شناسایی بیش از ۱۵۰۰۰ حمله و نرم افزار را دارند و این در حالی است که نوع دیگری تنها قادر به شناسایی ۸۰۰ نوع حمله است، همچنین الگوریتم هایی که هر یک از آنها در شناسایی استفاده میکنند بسیار می تواند تعیین کننده باشد بطوریکه برخی از این نوع فایروال ها میتوانند برای یک نرم افزار مانند مسنجر یاهو تعیین کنند که کاربر بتواند چت کند اما نتواند فایلی را ارسال یا دریافت کند. همیشه در انتخاب یک محصول توانایی های آن را در اولویت قرار دهید.

آشنایی با سیستم تشخیص نفوذ یا به اختصار IDS

IDS و IPS چیست؟

سیستم های تشخیص نفوذ صرفا به منظور تشخیص و اعلام نفوذ راه اندازی می شوند و به تنهایی قدرت پیشگیرانه ندارند در حالیکه یک سیستم پیشگیری از نفوذ یا به اختصار IPS می تواند با کمک سیاست های امنیتی ایجاد شده توسط مدیر شبکه، اقدام به پیشگیری از نفوذ به سیستم نماید. لذا پیشنهاد می شود که سیستم های IDS و IPS در کنار یکدیگر قرار گیرند تا بتوان یک ثبات امنیتی پایدار را در مجموعه خود پیاده سازی نماییم.
اما مبحث ما در مورد سیستم های تشخیص نفوذ در حوزه نرم افزارهای تشخیص نفوذ قرار دارد. این نرم افزارها به منظور پیاده سازی یک مانیتورینگ قدرتمند در یک مجموعه طراحی شده اند.

در مجموع یک سیستم تشخیص نفوذ دارای اجزای زیر می باشد:

  • فعالیت یا Activity
  • مدیریت یا Administrator
  • هشدار یا Alert
  • تحلیل کننده یا Analyzer
  • منبع داده یا Data Source
  • رویداد یا Event
  • مدیر یا Manager
  • اطلاع رسانی یا Notification
  • حسگر یا Sensor
  • اپراتور

این اجزا در کنار یکدیگر یک سیستم تشخیص نفوذ را تشکیل می دهند. در کل ۲ نوع سیستم تشخیص نفوذ وجود دارد:

  1. MD-IDS
  1. AD-IDS

نوع اول براساس معماری حملات اقدام به تشخیص یک نفوذ می کند. دارای بانک اطلاعاتی از انواع حملات بوده و براساس آن بانک اطلاعاتی اقدام به تشخیص می نماید. به طور مثال در یک حمله TCP Flood اگر سیستم تشخیص نفوذ این نوع حمله را بشناسد می تواند بروز آن را تشخیص و اعلام نماید. اما در صورتیکه حملات و اتفاقات غیر متعارف در شبکه ما رخ دهد چگونه می توان از طریق این سیستم ها آنها را شناسایی نماییم؟ پاسخ این سوال نوع دوم سیستم های تشخیص نفوذ یعنی AD-IDS ها می باشند که در واقع با هوش مصنوعی خود اقدام به شناسایی اتفاقات غیرمتعارف در شبکه می کنند و آنها را گزارش می دهند. حال زمانی که این دو نوع سیستم با یکدیگر ترکیب شوند می توانند با بررسی و تجزیه تحلیل ترافیک شبکه از رخداد هرگونه نفوذ در شبکه شمارامطلع سازند.

هانی پات Honeypot چیست

هانی پات Honeypot چیست

هانی پات ها به تحلیلگران امنیت این شانس را میدهد تا بتوانند بطور واقعی بر روی دشمن خود مطالعه کنند. با آنالیز این که حملات واقعی چگونه، چه موقع انجام میشوند و چه هکرهایی در پشت روت کیت‌ها، تروجان‌ها و اکسپلویت‌ها هستند، آنالیزو شبکه میتواند راه های بهتر و کاراتری را در برابر چنین حملاتی پیشنهاد و ارائه دهد.

اجرای مانیتورینگ قوی بر روی هانی پات نه تنها برای آنالیزورها سودمند است، بلکه میتواند بخوبی دیگر اتک های احتمالی و بالقوه شبکه را نیز نشان دهد. در نهایت میتوان گفت که یک هانی پات هرچند طعمه ای بیش نیست اما اطلاعاتی در آن بصورت عمد گذاشته میشود که برای هر اتکر داخلی و یا خارجی وسوسه انگیز است ولی در واقع کاری که انجام میشود، انحراف نفوذگران از اهداف حساس و با ارزش شبکه است. به یاد داشته باشید که در برخی حوزه های قضایی، این کار بیشتر از آن که برای انحراف اتکر صورت پذیرد، به منظور به دام انداختن آن انجام میشود.

دو نوع رایج از هانی پات‌ها

محققان هانی پات‌ها را در دو دسته با ریسک بالا و با ریسک پایین کلاس‌بندی کرده‌اند. هانی پات با ریسک بالا عموما بر روی یک دیوایس، سیستم عامل و اپلیکیشن های واقعی و سرویس دهنده که اتکر قصد حمله و نفوذ بر روی آن‌ها را دارد، پیاده سازی می‌شود. به عنوان مثال، یک انالیزور که حملات محتمل بر روی ویندوز سرور ۲۰۱۲ (وب سرور) با IIS 8.5 را تحلیل میکند، باید برای نیل به هدف خود بر روی یک سیستم واقعی یا مجازی، سیستم عامل و نرم افزار گفته شده را اجرا کند. خوبی که هانی پات با ریسک بالا دارد، اینست که به اتکر این امکان داده میشود تا هر آنچه را که میخواهد بر روی دیوایس واقعی مورد نظر انجام دهد و علت هم اینست که اتکر دقیقا بر روی یک دیوایس واقعی و سرویس دهنده کار میکند. یعنی آنکه در این حالت، اکسپلویت ها بدرستی کار میکنند و قابل تحلیل هستند. در مقابل این نوع پیاده سازی هانی پات، میتواند ضررهای زیادی هم داشته باشد؛ چرا که وقتی که یک سیستم واقعی که هانی پات روی آن پیاده سازی شده، در معرض تهدید شدن قرار میگیرد، برای استفاده مجدد و قرارگیری در شبکه باید مجددا پیکربندی شود. اگرچه این مورد بسیار نادر است اما حملات مخرب بر علیه BIOS سیستم هانی پات، آن را ناایمن و غیر مطمئن میسازد. همین امر موجب میشود که از هانی پات به عنوان نقطه قوت اجرای حملات استفاده شود که این امر ممکن است سبب ایجاد مشکلاتی در ارائه سرویس واقعی شبکه شود.

اما هانی پات با ریسک پایین بر روی یک سیستم عادی مثل یک سیستم لینوکس اجرا میشود و طوری وانمود خواهد شد که این سیستم یک سیستم سرویس دهنده در شبکه است و سرویس خاصی را اجرا میکند. در مثال بالا؛ در ویندوز سرور ۲۰۱۲ با IIS 8.5، ممکن است سرویس هایی مثل پورت های رایج SMB و IIS 8.5 بر روی پورت های ۸۰ و ۴۴۳ در حال اجرا باشند. هانی پات لاگِ کانکشن های ایجاد شده بر روی این پورت ها و هرگونه فرمانی که بسمت آن ها ارسال شده است را مانیتور میکند.

هانی پات مرز آنچه که میتواند عبور کند و یا عبور نکند را مشخص می‌کند. بطور مثال یک هانی پات با ریسک پایین، وضعیتی شبیه یک روتر سیسکو را شبیه سازی میکند. ممکن است خود را شبیه به یک دیوایس سیسکو با قابلیت تلنت نشان دهد اما هرگز به اتکر این اجازه را نخواهد داد تا واقعا بر روی آن لاگین کند. در مقابل یوزرنیم ها و پسوردهایی که اتکر با ان ها سعی در لاگین داشته است را درخود ثبت میکند. یا آن که سیستم هانی پات ما ممکن است خود را شبیه به یک FTP سرور جا بزند. در این صورت ممکن است که به لاگین های ناشناس هم اجازه عبور دهد اما هرگز اجازه استفاده کامل از تمامی دستورات FTP را به آن ها نخواهد داد. در تمامی این حالات سیستم هانی پات ما خود را شبیه به یک سرور و ارائه دهنده سرویس جا زده است ولی از آنجایی که فقط نقش بازی میکند و در دل آن هیچ سرویس واقعی در حال اجرا نیست، اتکر حتی اگر در آن هم نفوذ کند، راه بجایی نخواهد برد و در واقع سرکار رفته است! در عوض تحلیلگر از لاگ هایی که ثبت شده است میتواند استفاده کافی را ببرد و اتکر را رفتار شناسی کند.

بزرگترین مزیت استفاده از هانی پات با ریسک پایین، اینست که به سادگی قابل نگهداری است چرا که در کنار سایر دلایل، این سیستم هیچگاه کاملا مورد تهدید قرار نخواهد گرفت. هرچند که با این وضعیت نیز تحلیلگر هم نخواهد توانست درک درستی از آن چه را اتکر قصد انجام آن را داشته است، بدست اورد. هانی پات رایجی که در حالت “ریسک پایین” مورد استفاده قرار میگیرد، Honeyd نام دارد که در طی اجرای پروژه Honeynet، توسط شخصی به نام Niels Provos ایجاد شده است.

هانی پات Honeypot  مدتی بود که تقریبا غیرفعال بود اما جدیدا با پرتکل rcm ترکیب شده و شکل جدیدی گرفته است وقدرت زیادی پیدا کرده است

توصیه های عمومی ذخیره سازی ESXI

توصیه های عمومی ذخیره سازی ESXI

تعداد LUN ها در یک آرایه ی ذخیره سازی و راهی که ماشین های مجازی در سراسر این LUN ها توزیع شده اند می تواند بر روی performance تاثیر گذارد. فراهم کردن LUN های بیشتر، با ماشین های مجازی کمتر بر روی هر یک، می تواند سرورهای ESXi را قادر سازد تا به طور همزمان درخواست های ورودی / خروجی بیشتری را به آرایه ذخیره سازی ارائه دهند. این قابلیت بالقوه ای برای بهبود عملکرد، با اطمینان استفاده کامل از تمام منابع آرایه و ارائه فرصت های بیشتری برای بهینه سازی I/O به آرایه ذخیره سازی است. از سوی دیگر ایجاد کردن LUN های خیلی زیاد، مخصوصا زمانی که سرورهای ESXI زیادی به یک ذخیره ساز تنها متصل شده اند، می تواند موجب شود هاست های ESXI به طور همزمان درخواست های I/O بسیار زیادی را که منجر به پر شدن صف آرایه ذخیره ساز و ارسال خطاهای QFULL/BUSY از سوی آرایه ذخیره سازی می شود. این مسئله می تواند موجب کاهش performance و نیاز به تلاش مجدد برای درخواست های reject شده شود.

آمار تاخیر در I/O را می توان با استفاده از esxtop و یا resxtor که گزارش زمان تاخیر دستگاه، زمان صرف شده در kernel و تاخیر دیده شده توسط سیستم عامل guest را می دهد، مانیتور کرد.

اطمینان حاصل کنید که تأخیر میانگین برای دستگاه های ذخیره سازی بسیار زیاد نیست. این تأخیر را می توان با مشاهده در esxtop و با جستجوی متریک GAVG / cmd. دید. مقدار معقول مناسب برای این معیار به زیر سیستم ذخیره سازی شما بستگی دارد. به طور پیش فرض storsge I/O control setting ، ۳۰ میلی ثانیه است اما اگر شما storage سریع تری دارید مثلا SSD، می توانید این مقدار را کاهش دهید.

شما می توانید حداکثر تعداد درخواست های دیسک را در هر VMFS Volume تنظیم کنید، که می تواند کمک کند پهنای باند ماشین های مجازی که از آن Volume  استفاده می کنند را برابر کنید.

اگر شما اغلب خطاهای QFULL / BUSY را مشاهده می کنید، ممکن است enable و تنظیم کردن عمق صف موجب بهبود عملکرد ذخیره سازی شود. این ویژگی می تواند به طور قابل توجهی تعداد دستورات برگشت داده شده از آرایه با خطای QFULL / BUSY را کاهش دهد. اگر هر سیستم دسترسی به یک LUN خاص یا پورت آرایه ذخیره سازی با queue depth throttling فعال شده دارند، تمام سیستم ها دسترسی به این LUN یا پورت آرایه ذخیره سازی باید از الگوریتم عمق صف استفاده کنند.

vStack چیست

vStack چیست و چگونه باعث قطعی در بسیاری از سازمان های ایران شد :

در تجهیرات سیسکو یک قابلیت وجود دارد بنام Cisco Smart Install  که با استفاده از این قابلیت میتوانیم یک تجهیز را بعنوان Director برای مدیریت متمرکز روی image ها و تنظیمات هر تجهیز استفاده کنیم که قبل این کار باید تجهیزات مورد نظر را بعنوان Cisco Smart Install Client  برای Director در نظر بگیریم و سپس Director با استفاده از TFTP و همچنین بعنوان DHCP server  برای اون Client  عمل خواهد کرد و روی پورت TCP 4786 با Client ارتباط برقرار میکند و تنظیمات و در صورت نیاز image سیستم عامل اون تجهیز را مدیریت میکند .

Cisco Smart Install بصورت پیشفرض روی سوییچ های مبتنی بر ISO سیسکو فعال میباشد و  معمولاًً  این قابلیت روی سوییچ ها پیاده سازی میشود اما بسیاری از روتر ها را نیز میتوانیم بعنوان Director در نظر بگیریم .

حفره امنیتی موجود در این مکانیزم ، عدم ایجاد محدودیت روی پورت TCP 4786 میباشد که فرد مهاجم میتواند با دستکاری پکت و ارسال آن به پورت مذکور ، سوییچ را ریبوت کند و باعث از کار افتادن سرویس های شبکه (DoS) بشود .

شرکت سیسکو در تاریخ ۲۸  march 2018  که  ۹ روز قبل از حملات میباشد در سایت خود این حفرا امنیتی را اطلاع رسانی کرد و Patch مربوط به آنرا نیز در سایت قرار داد که برای از بین بردن این حفره امنیتی میتوانیم با از پچ شرکت سیسکو استفاده کنیم و یا در صورتیکه از این مکانیزم استفاده نمیکنیم ، آنرا غیرفعال و یا محدود کنیم .

برای بررسی فعال بودن این مکانیزم روی تجهیز هود دستور زیر را میزنیم :

Switch# Show vstack config

برای غیر فعال کردن این قابلیت روی Director  کافیست دستور زیر را به صورت Global بزنیم :

Router(config)# no vstack

 و برای غیر فعال کردن این قابلیت روی Client  های میزنیم :

switch(config)# no vstack

switch(config)# vstack director 0.0.0.0

اما در صورتیکه از این قابلیت استفاده میکنیم ، میتوانیم با Access list آنرا محدود کنیم :

Ip access-list extended VSTACK-Hardening

 Permit tcp host <director IP address> host <Client IP address> eq 4786

 Deny tcp any any eq 4786

 Permit ip any any

قابلیت Veeam SureBackup

قابلیت Veeam SureBackup

یکی از نکته های مهم در تهیه پشتیبان از سرورها و سرویس ها ، اطمینان از عملکرد آن نسخه پشتیبان می باشد چرا که نیاز به پشتیبان همیشه در مواقع حساس پیش می آید و عملکرد صحیح آن به نوعی نجات از مرگ حتمی می باشد.

نرم افزار Veeam با درک اهمیت این موضوع قابلیتی با نام SureBackup راه اندازی نموده است. این قابلیت صحت عملکرد نسخه های پشتیبان را در محیطی ایزوله آزمایش می نماید و گزارشی از صحت عملکرد آن ارائه می نماید.

جهت استفاده از این قابلیت به موارد زیر نیاز می باشد:

  • Application Group : در زمان ریکاوری ماشین ها ، گاهی برخی از ماشین ها لازم است تا با هم شروع به کار نمایند تا بتوان عملکرد صحیح آنها را سنجید.در واقع گروهی از ماشین های وابسته به هم از لحاظ عملکرد می باشد.
  • Virtual Lab: محیطی ایزوله جهت اجرای ماشین های داخل Application Group می باشد که تست و عملکرد آنها بررسی می گردد.
  • SureBackup Job: در واقع یک Task که جهت اجرای صحت عملکرد عملیات ریکاوری ایجاد می گردد که هم به صورت Manual و هم به صورت Automatically Schedule قابل اجرا می باشد.

مراحل اجرا :

  • Veeam ابتدا ماشین ها را از قسمت Application Group با همان شکل فشرده شده که ذخیره شده است در محیطی ایزوله که معروف به Virual Lab می باشد به صورت Instant vm recovery فرا می خواند.
  • تست ها در سه مرحله­ برای VM Backup Files اجرا می شود که شامل Heartbeat Test ، Ping Test و Application Test می باشد.
  • در صورتی که Job مربوطه دارای صحت عملکرد باشد نرم افزار Veeam یک CRC Check ایجاد می کند شامل اینکه کدام ماشین استارت و تایید شده است و کدام VM Backup Files از کدام Application Group اجرا شده است و پس از اتمام مراحل ، تاییدیه مربوط به فایل پشتیبان صادر می گردد visit your url.
  • پس از اینکه عملیات بررسی صحت ریکاوری به اتمام رسید ، Veeam ماشین ها را اصطلاحا Unpublished می نماید و گزارشی تهیه و در صورت لزوم ایمیل می نماید.

لازم به ذکر است خصوصیت SureBackup  در لایسنس های Enterprise Plus  و Enterprise در دسترس می باشد.

هزینه سفر با هایپرلوپ

هزینه سفر با هایپرلوپ ، فقط یک دلار خواهد بود.

شاید تا سال‌ها قبل، صحبت‌های جنجالی ایلان ماسک، مورد تمسخر و تردید قرار می‌گرفت. عده‌ی زیادی تصور می‌کردند که اظهار نظرهای او، بر پایه‌ی جلب توجه و کسب سرمایه‌گذار است. امروز، وقتی به مطالب موجود در وبلاگ ماسک به تاریخ سال ۲۰۰۶ نگاه می‌کنیم، متوجه می‌شویم که بسیاری از پیش‌بینی‌ها و بلندپروازی‌های او به حقیقت پیوسته است.

چند روز قبل، به دلیل ترافیک سنگین شهر لس‌آنجلس؛ ایلان ماسک نتوانست در زمان مقرر به جلسه‌‌ی کاری خود برسد. او، ترافیک بزرگراه‌ را به جهنم تمام عیار تشبیه کرد. ماسک معتقد است که راه‌هایی برای حل این معضل بغرنج وجود دارد و البته، نیازی به جاده‌های بیشتر نیست. پروژه‌های مدیرعامل خودروسازی تسلا، بنیاد فضایی اسپیس X و شرکت بورینگ، تفاوت‌های زیادی با دیگر کارآفرینان دنیا دارد. در بحث حمل و نقل عمومی، شرکت‌های بزرگی مثل اوبر و بوئینگ، تلاش می‌کنند تا پرواز روزانه در آسمان و تاکسی هوایی را گسترش دهند.

  هایپرلوپ شرکت ویرجین هم، قرار است بر سفرهای بین شهری با استفاده از تونل‌های روی سطح زمین، تمرکز داشته باشد. با این اوصاف، طرح شرکت بورینگ، تنها پروژه‌ی مرتبط با حمل و نقل زیرزمینی فوق سریع، در سطح جهانی محسوب شود که البته، حالت خودران و بی‌نیاز از راننده خواهد داشت.

متروی لس‌آنجلس، اولین نهادی است که با ایلان ماسک و شرکت بورینگ به توافق رسیده است تا میزبان اولین هایپرلوپ زیرزمینی دنیا باشد. فاز اول این پروژه، شامل مسیری آزمایشی به طول ۴.۳ کیلومتر خواهد بود، اما ایلان ماسک معتقد است که به زودی، سطح وسیعی از هایپرلوپ در سراسر لس‌انجلس کشیده خواهد شد. ایستگاه‌های کوچک مربوط به این پروژه، تقریبا به اندازه‌ی فضای پارک یک خودرو خواهند بود و به تعداد زیاد، در دسترس مردم قرار خواهد داشت.

ماسک معتقد است که در آینده‌ی نزدیک، مسیرهای طولانی و پرترافیک، مثل فاصله‌ی ۲۲ کیلومتری فرودگاه بین‌المللی لس‌آنجلس تا استادیوم بیسبال دادجر (DodgerStadium)؛ در زمانی حدود ۸ دقیقه و با هزینه‌ی یک دلار برای مسافر، ممکن شود. مسافت ذکر شده، با خودروی شخصی در ترافیک معمول، ۴۵ دقیقه و در صورت استفاده از مترو، بیش از یک ساعت، طول می‌کشد.

ایلان ماسک، از شبکه‌ی گسترده‌ی ایستگاه‌های هیپرلوپ نیز، اطلاع داده است که هرکدام حدود ۱۶ نفر، ظرفیت خواهد داشت. این بخش، کاملا ضد آب و قابل استفاده در شرایط آب و هوایی مختلف خواهد بود، ضمن اینکه با کمترین مزاحمت برای همسایگان، عمل خواهد کرد. ایستگاه‌های هایپرلوپ، ظاهری کاملا سازگار با محیط خواهند داشت و نیازمند فضای زیاد، نیستند. ماسک معتقد است که محدودیتی برای تعداد یا عمق تونل‌ها وجود ندارد. می‌توان بر حسب نیاز، آن‌ها را افزایش داد و صدها تونل داشت.

صحبت‌های ماسک به شکلی غیر مستقیم، مشکلات مربوط به پروژه‌ی تاکسی هوایی اوبر (UberAir) را زیر سوال می‌برد، چراکه نیازمند برج‌های بزرگ و مرتفع در سطح شهر است. فاز آزمایشی طرح اوبر، احتمالا تا سال ۲۰۲۰ در شهر لس‌آنجلس به بهره‌برداری می‌رسد.

مدیر عامل بورینگ می‌گوید:

شما نمی‌توانید، حتی با کم‌صداترین هلیکوپترها، بدون ایجاد مزاحمت برای مردم و همسایگان، پرواز کنید. من قول می‌دهم که ساخت و حفاری پروژه‌ی هایپرلوپ، کاملا نامحسوس انجام شود، چراکه در عمق زمین خواهد بود.

حتی، پیدا کردن محل حفاری از روی سطح زمین، کار مشکلی است. ما، نامرئی هستیم viagra portugal.

مدتی قبل، ایلان ماسک علاقه مند بود تا پروژه‌ی هایپرلوپ بر سفرهای بین شهری، مثل نیویورک به بالتیمور یا سان‌فرانسیسکو به لس‌آنجس تمرکز داشته باشد. او می‌خواست از فناوری‌های موجود در موشک پروژه‌ی فضایی اسپیس ایکس در ساخت تونل خلا استفاده کند و به سرعت ۴۸۰ کیلومتر بر ساعت، دست پیدا کند. ماسک معتقد است که سرعت انتقال مسافران هایپرلوپ، هنگام سفرهای داخل شهری، مثل نمونه‌ی در حال ساخت برای لس‌آنجس؛ حدود ۲۴۰ کیلومتر بر ساعت خواهد بود. بخش زیادی از این پروژه، شامل آجرهای لوگو در سایز بزرگ، قوای محرک الکتریکی، باتری‌های مدرن و سازه‌های مقاوم ضد صدا، ابتکارات شخص ایلان ماسک هستند.

منبع : https://www.zoomit.ir

مهاجرت از سایبروم به Sophos

سوفوس با در اختیار گرفتن شرکت سایبروم و اضافه کردن مدل های جدید سری XG ترکیبی از بهترین امکانات سری SG سوفوس و iNG سایبروم را در  نسخه firmware  جدیدی با نام SF-OS برای سری  XG   طراحی نمود که علاوه بر بهره مندی از اکثر امکانات سایبروم دارای امکانات کلیدی دیگری نظیر RED ( برای ارتباطات از راه دور بسیار آسان ولی من شبکه ها ) , حفاظت قوی تر ایمیل با تکنولوژی رمزگذاری SPX وهمچنین DLP  , security Heartbeat  , advanced threat protection و رابطه گرافیگی هوشمند تری است.

این راهنما به مراحل ارتقا سیستم عامل سابیروم به Sophos می پردازد.

پیش نیازهای قبل از آپگرید:

  • بررسی امکان آپگرید مدل سایبروم و یا Frimware آن

در حال حاضر امکان انتقال firmware   فایروال های سری iNG   به Firmware فایروال  سری XG سوفوس به صورت رایگان وجود دارد.

  • جهت آپگرید، نسخه Frimware فایروال باید ورژن ۶.۳ MR1 و یا بالاتر باشد.
  • تجهیز باید در پورتال مشتریان سایبروم رجیستر بوده و اشتراک پشتیبانی داشته باشد.

جدول زیر لیست کاملی از تجهیزات سایبروم است که امکان آپگرید به Sophos را دارند.

 

Hardware Revision Model
AM04 CR10iNG
AM04 CR10wiNG
AM02, AM03 CR15iNG
ALL CR15iNG-4P
AM02, AM03 CR15wiNG
AM02, AM03 CR25iNG
AM02, AM03 CR25iNG-6P
AM02, AM03 CR25wiNG
AM02, AM03 CR25wiNG-6P
AM02, AM03 CR35iNG
AM02, AM03 CR35wiNG
All CR50iNG
All CR100iNG
All CR200iNG /XP
All CR300iNG /XP
All CR500ia/1F/10F/RP
All CR500iNG-XP
All CR750ia/1F/10F
All CR750iNG-XP
All CR1000ia/10F
All CR1000iNG-XP
All CR1500ia/10F
All CR1500iNG-XP
All CR2500iNG
All CR2500iNG-XP
All Cyberoam Virtual Appliances

 

  • برای یافتن Hardware Revision تجهیز سایبروم ابتدا به کنسول آن وصل شده و سپس با زدن دستور زیر نسبت به بررسی Hardware Revision اقدام نمایید.

Appliance: console> Cyberoam diagnostics  show version-info

  • حداقل نیازمندی ها برای آپگرید نسخه مجازی به شرح ذیل می باشد.

-One vCPU

-۲GB vRAM

-۲vNIC

-Primary Disk with a minimum of 4 GB Size

-Report Disk with a minimum of 80 GB Size

  • نکات قبل از آپگرید
  • بعد از ارتقای firmware به SF-OS امکان بهره گیری از تمام امکانات به مدت یکماه برای بررسی و تست نسخه جدید فراهم شده است و مدیران شبکه در صورت تمایل می توانند  اقدام به مهاجرت لایسنس ها  از سایبروم به سوفوس را داشته باشند. در طول مدت زمان تست و در صورت آپگرید نکردن لایسنس ها امکان بازگشت به نسخه سایبروم وجود دارد
  • فایروال آپگرید شده دیگر از طریق Cyberoam Central Console قابل مدیریت نخواهد بود و باید محصول مشابه Sophos به نام Sophos Firewall Manager را در اختیار داشته باشید.
  • فایروال آپگرید شده دیگر یکپارچکی با محصول iView را نخواهد داشت و برای ارائه گزارش ها باید Sophos iView را در اختیار داشته باشید.
  • بعد از آپگرید فایروال شرایط گارانتی محصول توسط قوانین شرکت Sophos مشخص و تعیین خواهد شد.
  • بعد از آپگرید به Sophos امکان بازگرداندن بکاپ های گرفته شده توسط سایبروم وجود ندارد.

مراحل آپگرید

شما با استفاده از راهنمای ارائه شده در زیر می توانید نسبت به آپگرید تجهیز خود اقدام نمایید.

مرحله ۱

در صورت دردسترس بودن فایروال SFOS برای تجهیز شما پیغامی در صفحه داشبورد فایروال بصورت زیر نمایان می شود بر روی آن کلیک کرده تا به پورتال مشتریان سایبروم وصل شوید.

 

 

 

مرحله ۲

نام کاربری و کلمه عبور خود را وارد کرده و وارد پنل سایبروم شوید

مرحله ۳

در لیست تجهیزات نمایش داده شده تجهیز مورد نظر جهت آپگرید را مشخص کرده و بر روی Upgrade کلیک نمایید.

 

 

 

 

مرحله ۴

گزینه Upgrade to Sophos Firewall OS را انتخاب کرده و بعد از آن نسخه مرتبط با سیستم عامل سایبروم را انتحاب کنید.

همانطور که قبلا اشاره شد امکان آپگرید برای نسخه های ۱۰.۶.۲ MR1 به بعد وجود دارد.

 

مرحله ۵

نکات مربوط به آپگرید را بررسی کرده و بر روی Continue to Upgrade کلیک نمایید.

مرحله ۶

بعد از زدن Continue to Upgrade به صورت اتوماتیک یک Sophos ID و account برای شما ساخته می شده و تجهیز شما به صورت اتوماتیک در سایت Sophos رجیستر می شود. بر روی Login to MySophos account کلیک کرده و جهت دانلود Frimware جدید با اکانت جدید ایجاد شده در سایت Sophos لاگین شوید.

مرحله ۷

بعد از دانلود Frimware جدید Sophos

  • در پنل ادمین سایبروم لاگین کرده و مراحل زیر را طی کنید.

System > Maintenance > Frimware

  • بر روی Upload کلیک کرده و فایل دانلودی با پسوند .gpg را انتخاب کنید.
  • بر روی Upload and Boot کلیک نمایید.

 

 

 

مرحله ۸

بعد از بوت شدن تجهیز با اکانت Administrator خود لاگین کنید

بعد از آپگرید مدل دستگاه و شماره سریال تجهیزات فیزیکی تغییری نمی کند. ولی در فایروال مجازی، نام به نسخه مشابه Sophos تغییر پیدا میکند.

قابلیت های جدید ESXI 6.7

قابلیت های جدید ESXI 6.7

در هفدهم آوریل ۲۰۱۸ شرکت Vmware جدید ترین نسخه  پلتفرم مجازی سازی خود یعنی Vmware vSphere 6.7  را به دنیا معرفی نمود

Vsphere 6.7 کاربردی ترین و امن ترین پلتفرم برای ساختار های Hybrid Cloud ( رایانش ابری ) می باشد. مدیریت یکپارچه و کارآمد زیرساخت های بزرگ، امنیت کامل در خود پلتفرم، از جمله قابلیت هایی است که Vmware را از دیگر پلتفرم ها جدا کرده است. قابلیت های کلیدی vSphere 6.7 مشکلات زیر را برطرف می کند:

  • گسترش شدید در کیفیت و همچنین تغییر سریع در نرم افزار ها
  • گسترش شدید مهاجرت به زیرساخت های Hybrid Cloud( رایانش ابری ) و استفاده از آن
  • دستیابی به اهمیت فوق العاده در امنیت زیرساخت و همچنین نرم افزار ها

 

 

 

در ادامه به بررسی قابلیت های کلیدی در Vmware vSphere 6.7 خواهیم پرداخت.

 

مدیریت ساده و کارآمد

 

Vsphere 6.7 برپایه نوآوری های تکنولوژیکی بالایی نسبت به Vsphere 6.5  می باشد که تجربه مشتری را به سطح کاملا جدیدی ارتقا می دهد.

  • Vsphere 6.7 یک تجربه جدید و استثنائی برای کاربر با استفاده از vCenter Server Appliance ( vCSA) به همراه دارد . این نسخه چندین APIs جدید را معرفی میکند که باعث بهبود کارایی و تجربه در راه اندازی vCenter و همچنین راه اندازی چندین vCenter براساس یک قالب آماده میشود ، مدیریت vCenter Server Appliance  و پشتیبان گیری و بازیابی را به مراتب راحت تر میکند.
  • بطور قابل ملاحظه ای توپولوژی vCenter Server از طریقvCenter با embedded platform services controller را در حالت  enhanced linked ساده تر کرده است که مشتریان این توانایی را دارند تا چند vCenter را به هم پیوند داده تا دسترس پذیری را در سرار محیط بدون نیاز به external platform services controller یا  load balancers داشته باشند.
  • vSphere 6.7 عملکرد بهتری در مقایس و کارایی در هنگام بروزرسانی ESXi هاست ها دارد. با حذف یکی از دو بار راه اندازی مجدد که به طور معمول برای ارتقاء نسخه اصلی مورد نیاز است ، زمان تعمیر و نگهداری را به طور قابل توجهی کاهش میدهد. همچنین Quick boot یک نوآوری جدید است که  ESXi hypervisor را بدون راه اندازی مجدد هاست فیزیکی ، و حذف زمان سپری شده برای بوت شدن ، از سر میگیرد.

  • یکی دیگر از مولفه های اصلی vSphere 6.7 رابط کاربر گرافیکی است که تجربه ایی ساده و کارآمد را ارائه می دهد ، . vSphere Client مبتنی بر HTML5 یک رابط کاربری مدرن ارائه میکند
  • vSphere 6.7 شامل قابلیت های اضافه شده برای پشتیبانی از نه تنها جریان های کاری معمولی مشتریان ، بلکه سایر قابلیت های کلیدی مانند مدیریت NSX ، vSAN ، VUM  است.

 

امنیت جامع

 

  • vSphere 6.7 ابزارهای سخت افزاری Trusted Platform Module (TPM) 2.0 و همچنین     ۰  Virtual TPM   را پشتیبانی می کند.
  • رمزگذاری داده ها همراه با vSphere 6.5 معرفی شد و به خوبی جا افتاد. با vSphere 6.7 ، رمزگذاری VM بهبود بیشتری یافته و عملیات مدیریت را آسان تر کرده است. محافظت از داده ها در حالت سکون و جابجایی طراحی شده ، ساخت آن را به آسانی با یک راست کلیک و همچنین افزایش امنیت وضعیت رمزگذاری VM و دادن کنترل بیشتری برای محافظت به کاربر در برابر دسترسی به داده های غیر مجاز میدهد.
  • حفاظت از داده ها را در حرکت با فعال کردنvMotion رمزگذاری شده درinstances  های مختلف vCenter و همچنین نسخه های مختلف ارائه میدهد.
  • vSphere 6.7 از تمام رنج تکنولوژی ها و فن آوری های امنیتی مبتنی بر مجازی سازی مایکروسافت پشتیبانی       می کند.

 

Universal Application Platform

 

  • vSphere 6.7  یک پلتفرم کاربردی عمومی است که ظرفیت های کاری جدید مانند ( تصاویر گرافیکی ۳ بعدی، اطلاعات حجیم ( و برخی از آخرین نوآوری های سخت افزاری در صنعت را پشتیبانی میکند و عملکرد استثنایی را برای انواع کار های مختلف ارائه میدهد.
  • vSphere 6.7 پشتیبانی و قابلیت های معرفی شده برای GPU را از طریق همکاری VMware  و Nvidia ، با مجازی سازی GPUهای Nvidia حتی برای non-VDI و موارد غیر محاسباتی مانند هوش مصنوعی ،  داده های حجیم و موارد دیگر افزایش میدهد.

آموزش کار با Packet Capture در UTMهای Fortigate

ابزار Packet Capture برای آنالیز دقیق و پکت به پکت ترافیک های عبوری از تجهیز مورد استفاده قرار می گیرد و به همین دلیل یادگیری و تسلط کار کردن با این ابزار میتواند کمک بسیار زیادی در TroubleShooting اکثر مشکلات مربوط به انتقال ترافیک ها در Fortigate باشد .