باچه روشهایی امنیت سرورهای ایمیل را تامین کنیم؟

مشخصات

مجموعه: مقالات

منتشر شده در چهارشنبه, 24 شهریور 1400 17:10

نگارش یافته توسط Super User

تعداد بازدید: 326

باچه روشهایی امنیت سرورهای ایمیل را تامین کنیم؟

در حالی که پیام‌رسان‌ها و شبکه‌های اجتماعی مورد توجه کاربران قرار دارند و برخی کارشناسان معتقد هستند کاربرد ایمیل‌ها تغییر پیدا کرده، با این‌حال هنوز هم ایمیل‌ها اصلی‌ترین کانال ارتباطی برای مکاتبات اداری و رسمی هستند. به همین دلیل محتوای ذخیره شده در سرورهای ایمیل سازمانی اهمیت بیشتری نسبت به گذشته پیدا کرده‌اند و نباید از مقوله امنیت سرورهای ایمیل به سادگی عبور کرد.


چالش‌های امنیت سرور ایمیل
تامین امنیت سرورهای ایمیل یکی از مهم‌ترین نکاتی است که سازمان‌ها باید به آن دقت کنند، زیرا ایمیل‌ها هنوز هم یکی از پر استفاده‌ترین مکانیزم‌های ارتباطی هستند که اطلاعات مهمی را میزبانی می‌کنند. در نتیجه اگر داده‌های محرمانه‌ تجاری ذخیره شده روی این سرورها افشا شود، آسیب‌های اقتصادی جدی متوجه کسب‌وکارها می‌شود. علاوه بر این، مهم است که سرورهای ایمیل به شکل مستمر و بی وقفه فعالیت کنند تا کاربران بتوانند در هر لحظه به آن دسترسی داشته باشند. اگر سرورها به هر دلیلی دچار اختلال شوند باعث از دست رفتن اطلاعات مشتریان می‌شوند و مشکلات جدی برای کسب‌وکار به وجود می‌آورند. برای پیشگیری از بروز مشکل در کارکرد درست سرورها، از دست رفتن داده‌ها و سایر اتفاق‌های ناگوار باید به فکر تامین امنیت سرورهای ایمیل و حفظ پیکربندی آن‌ها باشید تا بتوانید به سرعت آسیب‌پذیری‌ها را شناسایی و برطرف کنید. در این مقاله با آسیب‌پذیری‌های رایج پیرامون وب‌سرورها آشنا می‌شویم و در ادامه به معرفی روش‌ها و تکنیک‌هایی می‌پردازیم که برای تامین امنیت سرورهای ایمیل در دسترس‌ قرار دارند.


آسیب‌پذیری‌های بالقوه
هنگامی که درباره نفوذ امنیتی صحبت می‌کنیم به این نکته اشاره داریم که یک یا چند آسیب‌پذیری وصله نشده وجود دارد که ممکن است توسط هکرها مورد بهره‌برداری قرار گیرد. درست است که امکان مقابله با تمام آسیب‌پذیری‌ها وجود ندارد، اما می‌توانیم تعداد آن‌ها را کم کنیم. برای انجام این‌کار باید در زمان پیکربندی سرورهای ایمیل خط‌مشی‌های امنیتی را رعایت کنیم تا مشکلاتی که به آن‌ها اشاره خواهیم کرد به حداقل برسند. در این مقاله دیگر قصد نداریم به لزوم توجه به نصب وصله‌های امنیتی سیستم‌عامل و برنامه‌های کاربردی اشاره کنیم، زیرا در شماره‌های گذشته ماهنامه شبکه به تفضیل در مورد آن‌ها صحبت کرده‌ایم.

دسترسی‌های غیرمجاز
یکی از رایج‌ترین حمله‌های پیرامون سرورهای ایمیل هنگامی اتفاق می‌افتد که هکرها سعی می‌کنند سازوکارهای احراز هویت را با هدف دسترسی به داده‌های کاربران دور بزنند. اولین اقدامی که برای مقابله با این مسئله باید انجام داد اتخاذ خط‌مشی‌های سخت برای انتخاب گذرواژه‌های قوی است که برای دسترسی به سرور از آن‌ها استفاده می‌شود. این‌کار مانع از آن می‌شود تا گذرواژه‌ها تحت تاثیر حمله‌های جست‌وجو فراگیر که از روش‌های رایج دور زدن سازوکار احراز هویت است شناسایی شوند. یکی دیگر از راه‌حل‌های محافظت از سرورها در برابر حمله‌های شکستن گذرواژه‌های کاربران، احراز هویت مبتنی بر SMTP است.

چالش‌های مرتبط با نشتی داده‌ها
 یکی از مهم‌ترین اهداف هکرها دسترسی به اطلاعات شخصی کاربران است. وقتی ایمیلی از اینترنت ارسال می‌شود از مسیرها و هاپ‌های (Hop) مختلفی عبور می‌کند که بیشتر آن‌ها ایمن نیستند. به لحاظ فنی این امکان وجود دارد که گذرواژه‌ها، نام‌های کاربری و حتا محتوای پیام‌ها را تفسیر کرد. برای پیشگیری از بروز چنین مشکلاتی ایمیل‌های دریافتی و ارسالی باید رمزنگاری شوند. برای انجام این‌کار باید پروتکل‌های IMAP، POP3 و SMTP را با استفاده از گواهی‌نامه‌های SSL/TLS رمزنگاری کرد.

هرزنامه‌ها
یکی از مشکلات رایج مرتبط با ایمیل‌ها، به ویژه ایمیل‌های سازمانی، مشکل هرزنامه‌ها است. چالش‌های هرزنامه‌ها به دو گروه ارسال هرزنامه‌ها به کلاینت ایمیل کاربر و ارسال هرزنامه به سایر کلاینت‌ها بر مبنای تکنیک Open Reply تقسیم می‌شوند. برای پیشگیری از بروز مشکل Open Relay باید پارامترهای Mail Relay سرور را به شکل درستی پیکربندی کرد. برای پیشگیری از بروز این مشکلات باید از مکانیزم فیلترهای محتوایی استفاده کرد. این فیلترها روی سرور ایمیل یا یک برنامه کاربردی پروکسی برای محافظت از دسترسی به سرور نصب می‌شوند. این برنامه می‌تواند دیوارآتش، پروکسی سرور و نمونه‌های مشابه باشد. راهکار دیگری که وجود دارد به‌کارگیری فهرست سیاه سرورهای ارسال هرزنامه است. به‌طور مثال فهرست‌های سیاه مبتنی بر DNS NDSBL، SPAM URI RBL SURBL یا نمونه‌های محلی که شامل آدرس آی‌پی ارسال‌کنندگان هرزنامه هستند به میزان قابل توجهی مانع دریافت هرزنامه‌ها در صندوق پستی سرورهای ایمیل می‌شوند.

انواع سنسورهای اتاق سرور و کارکرد آنها  را اینجا ببینید
مشکلات بدافزاری
سرورها و کلاینت‌های ایمیل همواره در معرض تهدیدات بدافزاری قرار دارند. وقتی سرور ایمیل به بدافزاری آلوده شود، نه تنها پایداری سیستم به خطر می‌افتد، بلکه کلاینت‌هایی که از آن استفاده می‌کنند در معرض تهدید جدی قرار می‌گیرند. مشکل دیگری که بدافزارها به وجود می‌آورند از درست رفتن جامعیت و حریم خصوصی داده‌های شخصی و انتشار بدافزارها از طریق کلاینت‌های ایمیل است. برای حل این مشکل باید از مکانیزم‌های محافظت در برابر بدافزارها مثل ضدویروس‌ها استفاده کرد.

حمله محروم‌سازی از سرویس (DoS)
مشکلی که حمله‌های محروم‌سازی از سرویس برای سرورهای ایمیل سازمانی ایجاد می‌کنند، کاملا مخرب است و باعث می‌شود کلاینت‌ها قادر به ارسال یا دریافت ایمیل‌ها نباشند. مشکل فوق به اعتبار یک سازمان آسیب جدی وارد می‌کند. برای پیشگیری از بروز این مشکل باید سعی کنید تا حد امکان تعداد اتصالات به سرور SMTP را به حداقل برسانید و تعداد اتصالات به سرور در بازه‌های زمانی مشخص و تعداد اتصالات همزمان را نیز محدود کنید.

پایداری و عملکرد سرور
هنگامی که درباره حفظ عملکرد سرور صحبت می‌کنیم باید به فکر پیاده‌سازی مکانیزمی باشیم که در صورت حمله به سرورها و اختلال در عملکرد آن‌ها امکان متعادل‌سازی بار (Load Balancing) وجود داشته باشد. بیشتر سازمان‌ها در این حالت از سرور پشتیبان استفاده می‌کنند. برای سرورهای ایمیل فرآیند فوق از طریق دو رکورد MX برای هر دامنه انجام می‌شود. سرورهای ایمیل گزینه‌ای برای احراز هویت از طریق SMTP ارائه می‌کنند. اگر گزینه فوق فعال شود، برای ارسال ایمیل به سرور باید نام کاربری و گذرواژه‌ای داشته باشید. فعال‌سازی گزینه فوق به این دلیل مهم است که امکان محافظت از سرور در برابر ارسال درخواست‌های مکرر را به وجود می‌آورد. در این حالت عملکرد بدون وقفه سرور تضمین می‌شود. گزینه مهم دیگری که باید به درستی تنظیم و پیکربندی شود Mail Relay است. گزینه فوق اجازه می‌دهد تا مشخص کنید سرور از طریق چه آدرس آی‌پی‌هایی امکان ارسال ایمیل را داشته باشد. این‌کار با هدف پیشگیری از ارسال تعداد زیادی پیام که برای ناپایدار کردن سرور ارسال می‌شوند استفاده می‌شود. راهکار قدرتمند دیگری که در زمینه حفظ عملکرد سرور در دسترس قرار دارد، مکانیزم سامانه نام دامنه معکوس (Reverse DNS) است. از فیلتر فوق می‌توان برای مقایسه آدرس‌های آی‌پی با نام میزبان و دامنه استفاده کرد. علاوه بر این، می‌توان از سرور در برابر ایمیل‌ها مخرب نیز بر مبنای این راه‌کار استفاده کرد.

آماده‌سازی مستندات موردنیاز
در اولین مرحله باید این موضوع را مشخص کنید، چه مواردی، چرا و چگونه باید بررسی شود. این سه پرسش حیاتی هستند و باید طی فرایند بررسی و ممیزی به دقت به آن‌ها پاسخ دهید و تنها روی جزییاتی متمرکز شوید که اهمیت زیادی دارند.

چه مواردی: فهرستی از تمام داده‌ها که شامل نام کاربردی، فهرست تماس‌ها، ضمایم و موارد دیگر است که تصور می‌کنید برای ردیابی و بررسی آسیب‌پذیری‌ها ضروری هستند آماده کنید. فهرست مذکور را می‌توان به چند چک‌لیست مختلف تقسیم کرد. بهتر است برای هر یک از موارد قید شده در فهرست اولویتی تخصیص دهید تا امکان شناسایی مشکلات جدی‌تر ساده شود.
چگونه: با استفاده از فهرست مولفه‌هایی که آماده کرده‌اید، ابزارها و برنامه‌های کاربردی که می‌توان برای فرآیند کنترل و بررسی از آن‌ها استفاده کرد را مشخص کنید. در ادامه باید روشی را برای بررسی و کنترل هر یک از عناصر این فهرست مشخص کنید. با استفاده از فهرست آسیب‌پذیری‌های بالقوه، فهرست نظارتی را گسترش دهید و در آن کنترل‌های موردنظر را برای بررسی وجود این آسیب‌پذیری‌ها درج کنید.
چرا: باید دلیل، اولویت و میزان پوشش هر عملیات کنترلی را مشخص کنید تا بتوانید مواردی که اهمیت بیشتری دارند را مشخص کنید. در این مرحله باید موارد تکراری از فهرست را حذف کنید.
در زمان آماده‌سازی فهرست کنترل‌ها می‌توانید از چک‌لیست‌های NIST SP 800-45 استفاده کنید. بعد از آماده‌سازی فهرست مذکور، حوزه کاری و منابع ضروری را مشخص کنید. هنگامی که گزارشی از وضعیت فعلی امنیت سرور آماده کردید، باید مواردی که اولویت بیشتری دارند را ابتدا ارزیابی کرده و مشکلات آن‌ها را بررسی کنید.

کنترل هوشمند و هوشمند سازی اتاق سرور

تحلیل مشکلات شناسایی شده
در فرایند تجزیه و تحلیل باید مخاطرات را بر مبنای معادله زیر ارزیابی کرد.

تاثیر × احتمال × قرار داشتن در معرض خطر

 (Impact × Likelihood × Exposure)

به هر یک از موارد فوق امتیازی بین 1 تا 5 بدهید. عدد 5 بیان‌گر این موضوع است که نمی‌توان از یک مشکل ساده عبور کرد و عدد یک نشان می‌دهد که مورد درج شده در فهرست یک چالش جدی امنیتی نیست. توضیح هر یک از پارامترهای درج شده در معادله بالا به شرح زیر است:

تاثیر: تاثیر حادثه یا مشکل به مولفه‌هایی که در معرض مخاطره قرار گرفته‌اند بستگی دارد. در برخی موارد ممکن است، این تاثیر ضعیف باشد (به‌طور مثال عملکر سرور برای 100 میلی‌ثانیه مختل شده) و گاهی ممکن است قوی باشند (از دست رفتن اطلاعات بانک‌های اطلاعاتی). اگر چک‌لیست‌ها به درستی آماده شده باشند این امکان وجود دارد که بر مبنای آن‌ها تاثیرات را بهتر مشخص کرد.
احتمال: به این نکته اشاره دارد که مشکل تا چه اندازه قابل تکرار و تکرار آن چقدر ساده است. یک مثال روشن در این زمینه پر شدن حافظه سرور توسط بسته‌های UDP است که از طریق یک پورت TCP باز برای آن ارسال می‌شود.
در معرض خطر قرار گرفتن: پارامتر فوق به این نکته اشاره دارد که تشخیص مشکل چقدر سخت بوده و این‌که ممکن است مشکل در زمان عملکرد عادی سرور اتفاق بیافتد؟ قرار داشتن در معرص خطر می‌تواند از غیر ممکن (وقوع همزمان چند مشکل غیر محتمل) تا غیر قابل اجتناب (به‌کارگیری واژه‌ای مثل Password به عنوان گذرواژه حساب مدیریتی) یا از کار افتادن سرور به دلیل دریافت همزمان بیش از 1000 ایمیل باشد.
پس از ارزیابی، تمام مشکلات شناسایی شده بر مبنای میزان مخاطره‌آمیز بودن بر مبنای فرمول (تاثیر × احتمال × قرار داشتن در معرض خطر) مرتب می‌شوند. در مرحله بعد هر رخدادی که میزان مخاطره‌آمیز بودن آن بیشتر از مقدار تعیین شده است باید بررسی شود.این ارزیابی کمک می‌کند تا رخدادها را به آسیب‌پذیری (تهدیدات سایبری مثل از دست رفتن داده‌ها)، نقص (از دست رفتن مشتریان وفادار به دلیل ارسال هرزنامه) و مشکلات کم اهمیت‌تر تقسیم‌بندی کرد تا بتوان آسیب‌پذیری‌ها و نقایص را برای برطرف کردن آن‌ها اولویت‌بندی کرد.

 ترمیم آسیب‌پذیری‌ها
به‌طور معمول، سه راه‌حل برای اصطلاح آسیب‌پذیری‌ها به شرح زیر وجود دارد:

 به‌کارگیری نسخه جدید نرم‌افزار یا جایگزین کردن نرم‌افزار با نرم‌افزار دیگری که بدون مشکل است.
 نصب نرم‌افزارهای ثالثی که قادر به برطرف کردن مشکل هستند.
غیر فعال کردن قابلیت‌هایی که مشکل‌ساز هستند.
موارد مهمی که باید به آن‌ها دقت کنید، سطح مخاطرات، بودجه در نظر گرفته شده و منابع لازم برای انجام اصطلاحات است. هر یک از موارد مذکور تاثیر زیادی بر زمان‌بندی فعالیت‌های اصلاحی و تعیین اولویت کارها دارند. بنابراین بهترین کار رفع مشکلاتی است که ساده‌تر و راحت‌تر حل می‌شوند، به جای آن‌که رسیدگی به آن‌ها را به زمان آینده موکول کنید. به‌طور معمول، اصلاح آسیب‌پذیری‌های پیچیده فرایند زمان‌بری است که چند روز زمان می‌برد، پس بهتر است مشکلات کوچک، اما خطرناک را فدای رفع آسیب‌پذیری‌های پیچیده نکنید. توصیه می‌شود آسیب‌پذیری‌هایی که با یک اصلاح ساده قابل رفع هستند را گروه‌بندی کنید. این‌کار در بلندمدت به صرفه‌جویی در هزینه‌ها کمک می‌کند.

مطالعه موردی بررسی امنیت سایبری
MS Exchange Server
Exchange Server یکی از پر کاربردترین ایمیل‌ سرورهای حال حاضر است که توسط شرکت مایکروسافت عرضه شده و تنها روی سیستم‌عامل ویندوز سرور نصب می‌شود. نرم‌افزار فوق علاوه بر پروتکل‌های استانداردی مثل SMTP، POP3 و IMAP قابلیت پشتیبانی از پروتکل‌های اختصاصی مثل EAS و MAPI را دارد. برای آن‌که دید کلی در ارتباط با اقدامات امنیتی در ارتباط با مدیریت و شناسایی آسیب‌پذیری‌های پیرامون ایمیل سرورها به‌دست آورید، در این بخش نگاهی به Exchange Server از منظر امنیتی خواهیم داشت. از مهم‌ترین مولفه‌های Exchange Server به موارد زیر باید اشاره کرد:

Edge Transport Server: این مولفه بر فرآیند ارسال و دریافت ایمیل‌ها نظارت می‌کند. مولفه فوق زمانی بهترین عملکرد را دارد که زیرساخت ارتباطی یک سازمان به شبکه داخلی محافظت شده، محیط حفاظت نشده و ناحیه غیرنظامی (DMZ) تقسیم شده باشد. به‌طور معمول، مولفه فوق در منطقه غیر نظامی و Mailbox در شبکه خصوصی راه‌اندازی می‌شود. Edge Transport Server یک لایه دفاعی اضافه برای پیام‌ها فراهم می‌کند تا سرور با حمله‌های بیرونی کمتری روبرو شود. Edge Transport یک مولفه اختیاری است که در زمان نصب Exchange Server امکان نصب یا عدم نصب آن وجود دارد.
گروه دسترس‌پذیری پایگاه داده (Database Availability Group): مولفه‌ای است که دسترس‌پذیری بالا و قابلیت بازیابی داده‌ها روی سرور را فراهم می‌کند. DAG یکی از مولفه‌های اصلی Mailbox است که دسترس‌پذیری و بازیابی داده‌ها بعد از اتفاقات مختلف را تضمین می‌کند.
مقابله با هرزنامه (Spam Protection): مولفه محافظت در برابر هرزنامه در تعامل با برخی ابزارهای ضدهرزنامه که به شکل داخلی در شبکه ارتباطی نصب شده‌اند بهتری عملکرد را دارد. مولفه Spam Protection  را می‌توان به‌طور مستقیم روی سرور Mailbox فعال کرد.
محافظت در برابر بدافزار: مولفه فوق از طریق عامل Malware در سرور Mailbox  در دسترس سرپرستان شبکه قرار دارد.  ویژگی مذکور در Exchange 2016 به‌شکل پیش‌فرض فعال است.
Outlook Web Access: یک کلاینت ایمیل وب‌محور است که اجازه می‌دهد بدون نیاز به نصب کامل نسخه کلاینتی ایمیل دسکتاپ به تمامی قابلیت‌های موردنیاز برای مدیریت ایمیل‌ها دسترسی داشت.
در کنار این مولفه‌های کلیدی، Exchange Server از برخی سرویس‌ها و پروتکل‌های اختصاصی به شرح زیر استفاده می‌کند:
Exchange ActiveSync: پروتکلی برای تطابق ایمیل با تجهیزات سیار است.
Exchange Web Services: مجموعه‌ای متشکل از واسط‌های برنامه‌نویسی کاربردی چند سکویی است که دسترسی به ایمیل‌ها، تماس‌ها و سایر اطلاعات را برای برنامه‌های کلاینت فراهم می‌کند.
RPC over HTTP, MAPI over HTTP: پروتکل‌های اختصاصی هستند که به کلاینت‌های ایمیل اجازه می‌دهند با  Exchange Server  ارتباط برقرار کنند.
با توجه به این‌که  Exchange Server نقش کلیدی در مدیریت ایمیل‌ها دارد، بنابراین مهم است که به لحاظ تنظیمات امنیتی و مقابله با بدافزارها به درستی پیکربندی و ارزیابی شود، زیرا آلودگی به بدافزار نه تنها سرور، بلکه کلاینت‌هایی که از سرور استفاده می‌کنند را تحت تاثیر قرار می‌دهد. در این مرحله قصد داریم بر مبنای خط‌مشی‌هایی که ابتدای مقاله به آن‌ها اشاره شد، فرآیند آزمایش و ارزیابی یک سرور مفهومی را بررسی کنیم.

آزمون نرم‌افزار
آزمون امنیتی Exchange Server بهتر است بر مبنای ملاحظات سازمانی و تنظیمات زیرساخت محیط فعلی انجام شود. به‌طور معمول، زیرساخت‌های ارتباطی یک سازمان ممکن است بر مبنای سناریو‌های زیر آماده شده باشند:

سناریو 1: شرکت یک شبکه داخلی با دسترسی به اینترنت دارد. یک MS Exchange Server با تنظیمات اولیه و بدون Edge Transport Server نصب شده است.
سناریو 2: شرکت یک شبکه سازمانی داخلی دارد که درون ناحیه غیر نظامی مستقر شده و از طریق این ناحیه به اینترنت دسترسی دارد. دو سرور Exchange به همراه گروه دسترس‌پذیری پایگاه داده قابل تکثیر و Edge Transport Server که در ناحیه غیر نظامی نصب شده‌اند ساختار ارتباطی این شبکه سازمانی را شکل می‌دهند.
همان‌گونه که مشاهده می‌کنید در سناریو 1، شبکه در برابر حمله‌های سایبری آسیب‌پذیر است، با این‌حال برخی شرکت‌ها به دلیل کاهش هزینه‌ها از معماری فوق استفاده می‌کنند. قبل از آغاز آزمون، زیرساخت را با توجه به کاربردی که برای آن تعریف شده باید پیکربندی کرد و آزمون را به گونه‌ای انجام داد تا مخاطرات شناسایی شوند.
آزمون محافظت در برابر نشت داده‌های شخصی
در آزمون فوق، ارتباطات بین Exchange Server و کلاینت‌های ایمیل تفسیر می‌شوند. عملیات فوق باید بر مبنای چک‌لیست زیر انجام شود:

    کنترل هوشمند و هوشمند سازی اتاق سرور


     پروتکل‌های ایمیل EAS، MAPI، IMAP و SMPT روی سرور ایمیل تنظیم ‌شوند.

کلاینت ایمیل باید نصب شود و در ادامه کلاینت تحت وب OWA، تلفن همراه و دسکتاپ (آتلوک، Thunderbird) آزمایش شود.
پیکربندی سخت‌افزار برای شبیه‌سازی حمله مرد میانی (MITM) بین سرور و کلاینت انجام شود و در ادامه برای تحلیل اطلاعات از Wireshark، tcpdump و Fiddler استفاده کرد.
 داده‌ها بین کلاینت و سرور توسط یکی از پروتکل‌های IMAP، MAPI، EAS یا SMTP منتقل شوند.
 بسته‌های شبکه از طریق  حمله مرد میانی تفسیر شده و سعی ‌شود داده‌های رمزنگاری نشده شناسایی شوند.
آزمون محافظت در برابر هرزنامه
یک نمونه آزمون محافظت Exchange Server در برابر هرزنامه‌ها بر مبنای سناریو زیر انجام می‌شود:

بهتر است چند سرور ایمیل محلی تنظیم و پیکربندی شوند تا بتوانند به Exchange Server تحت آزمایش هرزنامه‌هایی را ارسال کنند.
. تعدادی هرزنامه برای Exchange Server ارسال شود و از اسکریپت‌های در دسترس برای ساخت هرزنامه‌ها استفاده کرد.
 هنگامی که هرزنامه‌ها ارسال شدند باید صندوق‌های ورودی ایمیل که هدف هستند بررسی شوند تا مشخص شود آیا هرزنامه‌ها برای آن‌ها ارسال شده‌اند یا خیر.
بهتر است آزمون مذکور را برای حالت‌هایی که فیلترهای ضدهرزنامه برای Mailbox و Edge Transport Server فعال و غیرفعال هستند انجام داد. این کار کمک می‌کند تا اثربخشی سازوکارهای ضدهرزنامه را ارزیابی کرد.

آزمون محافظت در برابر ایمیل‌های آلوده به بدافزار
برای انجام آزمون محافظت در برابر ایمیل‌های آلوده به پیوست‌های مخرب به چند پیوست آلوده به بدافزار نیاز دارید. بهتر است اولین آزمون با استفاده از یک فایل EICAR به‌نام Eciar انجام ‌شود که به آن فایل آزمون ویروس استاندارد (Standard Anti-Virus Test File) گفته می‌شود. این فایل در اصل بدافزار نیست و شامل هیچ کد بدافزاری نیست، با این‌حال بیشتر نرم‌افزارهای ضدویروس آن‌را به عنوان یک فایل مخرب شناسایی می‌کنند. در آزمون مذکور، بهتر است فایل‌هایی که برای مقاصد خاص ساخته شده‌اند را استفاده کنید. به‌طور مثال، فایل‌های کتابخانه پویای (dll) خاص که شامل کد مخرب نیستند، اما ضدویروس‌ها آن‌‌ها را به عنوان یک فایل آلوده می‌شناسند را به کار ببرید. در ادامه آزمون را بر مبنای مراحل زیر انجام دهید:

 عامل محافظتی Malware را رویExchange Server  غیرفعال کنید.
 چند ایمیل آلوده به بدافزار به کلاینت‌های مختلف ارسال کنید.
 در کلاینت‌های گیرنده، ایمیل‌ها را جست‌وجو کنید تا بدافزارها را پیدا کنید.
همین سناریو را برای حالتی که عامل محافظتی Malware روی سرور فعال است، تکرار کنید. علاوه بر این، برای حالتی که این عامل برای Edge Transport Server  فعال است، آزمون را تکرار کنید.
 اکنون نتایج را با یکدیگر مقایسه کنید.
آزمون گذرواژه کاربران
برای آزمون قابلیت اطمینان گذرواژه کاربران می‌توانیم از نرم‌افزاری به‌نام Hydra که در توزیع کالی لینوکس قرار دارد استفاده کنیم. نرم‌افزار فوق اجازه می‌دهد تا گذرواژه‌های ضعیف را بر مبنای بردار حمله جست‌وجوی فراگیر شناسایی کنیم. در این آزمون حمله از طریق پروتکل‌های SMTP، IMAP  و POP3 انجام می‌شود.

آزمون محافظت در برابر حمله محروم‌سازی از سرویس
برای آزمون محافظت در برابر حمله‌های محروم‌سازی از سرویس باید ترافیکی را شبیه‌سازی کنید تا پایداری سرویس‌های Exchange Server  در زمان بروز این حمله‌ها را بررسی کنید.

علاوه بر این، بهتر است شکست‌های مختلف در شبکه را نیز شبیه‌سازی کیند. برای این منظور می‌توانید از نرم‌افزارهایی مثل WANem استفاده کنید. در آزمون فوق بررسی کنید که Exchange Server  بیشتر در برابر چه حمله‌هایی پایداری بیشتری دارد و این‌که در زمان بروز حمله فرآیند بازیابی با چه سرعتی انجام می‌شود. هنگام انجام آزمون، دسترس‌پذیری بالا را مدنظر قرار دهید و بررسی کنید که آیا مولفه گروه دسترس‌‌پذیری پایگاه داده برای Exchange Server فعال است یا خیر. علاوه بر این آیا سرور دیگری برای پشتیبان‌گیری در نظر گرفته شده یا خیر.

نتایج به‌دست آمده
هنگامی که آزمون‌های مذکور را انجام داد، باید نتایج را شبیه به جدول یک طبقه‌بندی کنید تا فرآیند ترمیم آسیب‌پذیری‌ها با سهولت انجام شود.

 گزارش نتایج آزمون  Exchange Server


کلام آخر

در این مقاله سعی کردیم، مبحث امنیت سرور ایمیل را بررسی کنیم و نکات مهمی که در زمان انجام آزمون‌های امنیتی باید به آن‌ها دقت کنید را نشان دهیم. علاوه بر این، توضیح کلی در مورد حمله‌هایی ارایه کردیم که سرورهای ایمیل را نشانه می‌روند، به‌طور مختصر به تحلیل آن‌ها پرداختیم و نشان دادیم که چگونه باید آسیب‌پذیری‌ها را شناسایی و ترمیم کنید.

در انتها به عنوان یک مطالعه موردی وضعیت امنیتی Exchange Serve که سرور محبوب مبتنی بر پلتفرم ویندوز است را بررسی کردیم. در انتها باید به این نکته اشاره کنیم که هدف از آماده‌سازی مقاله فوق این بود که نشان دهیم امنیت سرور باید در مراحل اولیه برنامه‌ریزی برای نصب سرور مورد توجه قرار گیرد، زیرا برنامه‌ریزی برای مقابله با تهدیدات احتمالی مانع از آن می‌شود تا صدمات جدی به اعتبار سازمان وارد شود.

• حفاظت اتاق های سرور در برابر تغییرات فاکتورهای محیطی (4)
• حفاظت اتاق های سرور در برابر تغییرات فاکتورهای محیطی (3)
• حفاظت اتاق های سرور در برابر تغییرات فاکتورهای محیطی (2)
• حفاظت اتاق های سرور در برابر تغییرات فاکتورهای محیطی (1)

لیست داروخانه های با برنامه توزیع داروی کرونا

مشخصات

مجموعه: مقالات

منتشر شده در دوشنبه, 25 مرداد 1400 19:12

نگارش یافته توسط Super User

تعداد بازدید: 468

لیست داروخانه های دارای برنامه توزیع در کل ایران
کرونا
انسولین قلمی
بیمارستانی
تالاسمی
هموفیلی
MS
داروهای دارای برنامه توزیع
تحت کنترل
شیمی درمانی
متیل فنیدیت

دانلود نمایید

Port Mirroring چیست ?

مشخصات

مجموعه: مقالات

منتشر شده در سه شنبه, 26 مرداد 1400 23:18

نگارش یافته توسط Super User

تعداد بازدید: 576

یکی از مهم‌ترین وظایف کارشناسان شبکه نظارت بر عملکرد کارمندان و تجهیزاتی است که اطلاعات را مبادله می‌کنند. ابزارها و راه‌حل‌های مختلفی برای نظارت بر فعالیت گره‌های تحت شبکه وجود دارد، اما سوییچ‌ها قابلیتی به‌نام قرینه‌سازی پورت دارند که برای دریافت بسته‌های اطلاعاتی از یک پورت یا شبکه‌های محلی مجازی استفاده می‌شود. Port Mirroring قابلیتی است که سوییچ‌های مدیریتی ارائه می‌کنند. یک قابلیت کارآمد که اجازه می‌دهد ترافیک مبادله شده توسط یک گره شبکه را بدون آن‌که عملکرد شبکه کاهش پیدا کند به شکل دقیقی رصد کنید.

Port Mirroring چیست؟
هنگامی که قصد داریم اطلاعاتی در ارتباط با سامانه‌های پیشگیری از نفوذ، تشخیص نفوذ و مانیتورینگ ترافیک تجهیزات شبکه به دست آوریم و از راه‌حل‌هایی مثل NetFlow در این زمینه استفاده کنیم، ابتدا باید ترافیک را به سمت نرم‌افزارهای تحلیل‌گر ارسال کنیم تا بتوانیم ترافیک مدنظر را تفسیر کنیم. بهترین راه‌حل برای دریافت ترافیک به شکل واقعی و با کمترین هزینه ممکن از تجهیزات شبکه به ویژه سوییچ به‌کارگیری راهکار Port Mirroring است. Port Mirroring یکی از مهم‌ترین قابلیت‌های ارائه شده توسط سوئیچ‌ها است که بر اصل نظارت بر پورت‌ها دلالت دارد. سرپرستان شبکه از قابلیت فوق برای تشخیص خطا، مشکلات و بررسی فعالیت‌های انجام شده توسط کلاینت‌ها استفاده می‌کنند. قابلیت فوق اجازه می‌دهد یک کپی از اطلاعات مبادله شده توسط سوییچ را دریافت کرد یا در صورت نیاز ترافیک کامل یک شبکه محلی را به سمت یک پورت خاص از سوییچ هدایت کرد تا نرم‌افزار تحلیل‌گر بتواند ترافیک را تفسیر کند. قابلیت فوق دو مزیت مهم دارد، اول آن‌که اجازه می‌دهد بدون از دسترس خارج کردن شبکه فرآیند عیب‌یابی را انجام دهید و دوم آن‌که اجازه می‌دهد اگر به فعالیت‌های کلاینتی مشکوک شدید ترافیکی که توسط سامانه او مبادله می‌شود را به شکل دقیق رهگیری کنید. Port Mirroring در یک سوییچ شبکه برای ارسال یک کپی از بسته‌های ارسال شده توسط یک گره یا یک VLAN استفاده می‌شود. تولیدکنندگان سوییچ‌ها از نام‌های مختلفی برای توصیف Port Mirroring استفاده می‌کنند. به‌طور مثال، در سوییچ‌های سیسکو از اصطلاح RSPAN سرنام Remote Switched Port Analyzer یا Switched Port Analyzer استفاده می‌شود. تولیدکنندگان دیگر از نام‌های دیگری مثل RAP سرنام Roving Analysis استفاده می‌کنند. Port Mirroring به مدیران شبکه کمک می‌کند از نزدیک عملکرد شبکه را زیر نظر برگیرند و در صورت بروز مشکلات از طریق دریافت یک کپی از ترافیک ورودی یا خروجی توسط یک پورت علت را شناسایی کنند.


Port Mirroring چه تفاوتی با NetFlow دارد؟
برخی کاربران تصور می‌کنند که Port Mirroring و NetFlow عملکردی یکسان دارند، در حالی که این‌گونه نیست. در NetFlow سرپرست شبکه فراداده‌ها (Meta Data) را از شبکه دریافت می‌کند و هیچ‌گاه اطلاعات اصلی را دریافت نمی‌کند. به بیان دقیق‌تر اصل داده‌ها حذف می‌شوند و برای نرم‌افزار مانیتورینگ ترافیک تنها فراداده‌ها که شامل اطلاعات کلی و جانبی بسته‌های اطلاعاتی هستند ارسال می‌شوند، در حالی که در Port Mirroring تمامی بسته‌های اطلاعاتی مبادله شده توسط تجهیزات به شکل کامل برای پورت مشخص شده ارسال می‌شوند و به همین دلیل امکان تحلیل محتوای اطلاعات وجود دارد. تکنیک مذکور در سوییچ‌های سیسکو به‌نام SPAN یا RSPAN شناخته می‌شود که حالت اول برای شنود ترافیک در شبکه محلی و حالت دوم برای شنود ترافیک از راه دور است. Port Mirroring به مدیران شبکه اجازه می‌دهد به تجزیه و تحلیل داده‌ها، اشکال‌زدایی شبکه و تحلیل عملکرد شبکه بپردازند و با صرف کمترین زمان مشکلات را برطرف کنند.Port Mirroring  این قابلیت را فراهم می‌کند تا ترافیک ورودی (Ingress) و ترافیک خروجی (Egress) را دریافت کنید. هرچند در بیشتر موارد تنها ترافیک ورودی تحلیل می‌شود. ترافیک مذکور می‌تواند از یک پورت خاص سوییچ یا تمامی رابط‌های یک سوییچ دریافت شوند. به‌طور معمول قابلیت Port Mirroring همراه با پویش‌گر (Port Scanner) استفاده می‌شود. Port Scanner برنامه‌ای است که برای شناسایی پورت‌های باز یک سرور یا میزبان استفاده می‌شود. Port Scanner به مدیران کمک می‌کند به ارزیابی خط‌مشی‌های امنیتی شبکه بپردازند و اطمینان حاصل کنند آسیب‌پذیری ناشناخته‌ای که باعث سوء استفاده از سرویس‌های شبکه می‌شود وجود نداشته باشد.

SPAN چیست؟
سوییچ‌های سیسکو قابلیتی به‌نام SPAN دارند که برای دریافت ترافیک یک پورت فیزیکی خاص یا شبکه‌های محلی مجازی استفاده می‌شوند. فناوری SPAN سوییچ‌های سیسکو به سرپرستان شبکه اجازه می‌دهد آدرس مبدا و مقصدی که قرار است ترافیک آن دریافت و به پورت دیگری روی همان سوییچی ارسال شود را مشخص کنند. در این حالت گره مبدا که در SPAN تعریف می‌شود به یک پورت فیزیکی یا یک شبکه محلی مجازی روی سوییچی اشاره دارد که قرار است فرآیند مانیتورینگ روی آن انجام شود. علاوه بر این، پورت مقصد نیز باید روی همان سوییچ باشد. هنگامی‌که پیکربندی انجام شد، ترافیک SPAN Source به SPAN Destination ارسال می‌شود. اگر ترافیک باید از سوییچ دیگری دریافت شود و مقصد یک سوییچ راه دور است در این حالت از تکنیک Remote SPAN استفاده می‌شود. برای این‌که RSPAN به درستی کار کند باید یک شبکه محلی مجازی (VLAN) اختصاصی به RSPAN تخصیص پیدا کند تا ترافیک مانیتور شده میان مبدا و سوییچ از آن عبور کنند. در حالت پیچیده‌تر، اگر ترافیک از بین چند روتر و شبکه‌های مختلف عبور می‌کند باید از تکنیک پیشرفته‌تر ERSPAN استفاده شود.

RSPAN چیست؟
خط‌مشی‌هایی که برای RSPAN Source وجود دارد شبیه به خط‌مشی‌های SPAN Source است. به بیان دقیق‌تر، مبدا باید حداقل یک پورت فیزیکی یا یک VLAN روی سوییچ باشد. تفاوت اصلی RSPAN و SPAN در مقصد است که در RSPAN ضرورتی ندارد که مقصد یک پورت روی همان سوییچ باشد، بلکه می‌تواند روی سوییچ دیگری تعریف شود. در این حالت برای پیاده‌سازی RSPAN یک VLAN اختصاصی به‌نام RSPAN VLAN ایجاد می‌کنیم. این VLAN شامل پورت‌هایی است که در سوییچ مبدا و سوییچ مقصد تعریف شده‌اند.

عملکرد SPAN چگونه است؟
سرپرستان شبکه می‌توانند با استفاده از SPAN یا RSPAN و از طریق پورت‌ یا شبکه‌ محلی مجازی ترافیک را تحلیل کنند و یک کپی از ترافیک را به پورت دیگری روی سوئیچ یا سوئیچ دیگری که تحلیل‌گر شبکه، ابزارهای نظارتی یا سایر راه‌حل‌های امنیتی به آن متصل هستند ارسال کنند. SPAN برای انجام تحلیل‌های فنی دقیق ترافیک دریافتی یا ارسالی پورت مبدا یا شبکه محلی مجازی را به شکل هوشمندانه‌ای به پورت مقصد ارسال می‌کند. عملکرد SPAN به گونه‌ای است که هیچ تغییری در الگوی ترافیکی پورت مبدا یا VLAN به وجود نمی‌آورد. در این حالت پورت مقصد تنها ترافیکی که برای نشست‌های SPAN یا RSPAN نیاز است را دریافت می‌کند. نکته‌ای که برخی کارشناسان شبکه اطلاع چندانی در مورد آن ندارند چگونگی انجام این فرآیند است. به‌طور مثال، اگر در حال مانیتورینگ ترافیک ورودی هستید، شما نمی‌توانید ترافیک انتقالی از یک شبکه محلی ثالث به شبکه محلی ثالث دیگر را مانیتور کنید، با این‌حال، می‌توانید ترافیک ارسالی توسط VLAN ثالت به سمت VLAN مقصد را مانیتور کنید. علاوه بر این، این قابلیت فراهم است تا از پورت‌های مقصد SPAN یا RSPAN برای اعمال خط‌مشی‌های امنیتی استفاده کنید. به‌طور مثال، اگر یک سیستم تشخیص نفوذ سیسکو به درگاه هدف متصل باشد، دستگاه IDS می‌تواند یک بسته تنظیم مجدد TCP را برای بستن نشست TCP که مشکوک به حمله است ارسال کند.

شکل1

به‌طور کلی قابلیت SPAN برای سوییچ‌ها طراحی شده، زیرا هاب‌ها نیازی به ویژگی مذکور ندارند. هنگامی که یک هاب در شبکه‌ای نصب می‌شود و گره‌ای در شبکه اقدام به ارسال یک بسته اطلاعاتی می‌کند، بسته مذکور برای تمامی پورت‌های هاب ارسال می‌شود، اما سوییچ‌ها فرآیند ارسال بسته‌های اطلاعاتی را بر مبنای جدول مک‌آدرس یا آدرس فیزیکی گره‌ها مدیریت می‌کنند. در این حالت سوییچ در جدول مک‌آدرس جست‌وجویی انجام می‌دهد تا بسته ارسالی گره مبدا را به مقصد برساند. شکل 1 نشان می‌دهد که چگونه یک هاب بسته‌ای که دریافت می‌کند را برای سایر دستگاه‌های تحت شبکه ارسال می‌کند. با توجه به این‌که هاب بسته ورودی را برای تمامی پورت‌ها ارسال می‌کند یک ابزار شنود شبکه قادر است ترافیک کل شبکه را رصد کند. در شکل یک اگر یک پینگ از PC1 به PC2 انجام دهیم و سپس یک پینگ به PC3 انجام دهیم نتایج یکسانی را دریافت می‌کنیم، زیرا هر زمان هاب بسته‌ای را دریافت می‌کند آن‌را برای تمامی پورت‌ها ارسال می‌کند در حالی که سوییچ بر مبنای جدول مسیریابی که دارد بسته را تنها به مقصد موردنظر تحویل می‌دهد (شکل 2).



شکل 2

به بیان دقیق‌تر، هاب بر مبنای رویکرد همه‌پخشی اقدام به توزیع بسته‌ها می‌کند که باعث می‌شود ابزارهای شنود و مانیتورینگ بتوانند ترافیک را دریافت کنند، در حالی که سوییچ بر مبنای رویکرد تک‌پخشی اقدام به انتشار بسته‌ها می‌کند. خوشبختانه ابزارهای مانیتورینگ شبکه می‌توانند ترافیک همه‌پخشی، تک‌پخشی، چندپخشی و یک از چندپخشی را دریافت و تحلیل‌ کنند. در شرایط عادی هنگامی که یک کلاینت متصل به سوییچ (به‌طور مثال کامپیوتر B) بسته‌ای را ارسال می‌کند، بسته به پورت مربوطه و سپس به مقصد می‌رسد، اما هنگامی که ویژگی Port Mirroring روی سوییچ فعال باشد و قرار باشد ترافیک پورت متصل به کلاینت خاصی (به‌طور مثال کامپیوتر A) را بررسی کنیم، هنگامی که کامپیوتر A اقدام به ارسال بسته‌ای برای گره‌ای در شبکه می‌کند یک کپی از اطلاعات برای پورت و کامپیوتری که قرار است بسته‌ها را ارزیابی کند (به‌طور مثال کامپیوتر D) ارسال می‌شود. شکل 3 چگونگی عملکرد سوییچ در حالت عادی و Port Mirroring را نشان می‌دهد. همان‌گونه که در شکل سه مشاهده می‌کنید در حالت عادی سوییچ ترافیک را تنها به مقصدی که پیدا کرده ارسال می‌کند، بنابراین برای آن‌که بتوان به ترافیک ارسالی دسترسی پیدا کرد باید ویژگی SPAN روی سوییچ‌های سیسکو یا Port Mirroring روی سوییچ‌های دیگر فعال شود. هنگامی که قابلیت فوق روی سوییچ‌ها فعال شود، یک کپی از ترافیک برای پورت شنودکننده ارسال می‌شود (شکل 4).

راجع به سیستم مانیتورینگ و کنترل اتاق سرور بیشتر بدانیم


شکل 3



شکل 4

Local SPAN
Local SPAN به‌طور کامل از یک نشست SPAN در یک سوئیچ پشتیبانی می‌کند. در این حالت تمامی پورت‌های مبدا یا پورت‌های مبدا و مقصد در یک سوییچ یا پشته سوییچ (Switch Stack) قرار دارند. SPAN محلی ترافیک یک یا چند پورت مبدا در هر شبکه یا شبکه‌های محلی مجازی را به سمت پورت مقصد با هدف تجزیه و تحلیل کپی می‌کند. به‌طور مثال، در شکل 5، ترافیک پورت 5 (پورت مبدا) به سمت پورت 10 (پورت مقصد) ارسال (کپی) شده است. تحلیل‌گر شبکه در پورت 10 به جای آن‌که به شکل فیزیکی به پورت 5 متصل شده و اطلاعات را دریافت کند به شکل منطقی هرگونه ترافیک شبکه مبادله شده توسط پورت 5 را دریافت می‌کند. شکل 5 پیکربندی Local SPAN روی یک سوئیچ را نشان می‌دهد. اگر نیاز باشد تا Local SPAN را روی مجموعه‌ای از سوییچ‌ها پیاده‌سازی کنید، جایی که پورت‌های مبدا و مقصد روی سوییچ‌های مختلفی قرار دارند، پیکربندی به صورتی است که در شکل 6 مشاهده می‌کنید. RSPAN از پورت‌های مبدا، شبکه محلی مجازی مبدا و درگاه‌های مقصد در سوئیچ‌های مختلف (یا پشته‌ای از سوئیچ‌ها) پشتیبانی می‌کند، بنابراین نظارت از راه دور روی چند سوئیچ در شبکه نیز امکان‌پذیر است. در شکل 7 مشاهده می‌کنید که چگونه پورت‌های مبدا در سوئیچ A و سوئیچ B پیکربندی شده‌اند. ترافیک برای هر نشست RSPAN از طریق یک RSPAN VLAN که توسط مدیر شبکه مشخص می‌شود انجام می‌شود. ترافیک RSPAN از پورت مبدا یا شبکه محلی مجازی به RSPAN VLAN کپی شده و از طریق پورت رله میزبان RSP VLAN به نشست مربوطه ارسال می‌شود. دقت کنید در روش فوق هر سوئیچ مبدا RSPAN باید یک پورت یا شبکه محلی مجازی به عنوان مبدا RSPAN داشته باشد. در شکل 7 سوئیچ C به عنوان مقصد انتخاب شده است. پیکربندی SPAN در دو حالت Local SPAN و Remote SPAN با استفاده از دستورات زیر است:



شکل 5

شکل 6



شکل 7

 

Local SPAN :

Switch (config)# monitor session 1 source interface fast 0/1 – 3

Switch (config)# monitor session 1 destination interface fast 0/4

Remore SPAN :

Source Switch :

Switch (config)# vlan 30

Switch (config-vlan)# remote-span

Switch (config)# monitor session 1 source interface fast 0/1 – 3

Switch (config)# monitor session 1 destination  remote vlan 30 reflector-port fast 0/24

Destination Switch :

Switch (config)# monitor session 1 source remote vlan 30

Switch (config)# monitor session 1 destination  interface fast 0/10

نظارت بر شبکه و انواع نرم افزارهای آن

مشخصات

مجموعه: مقالات

منتشر شده در شنبه, 23 مرداد 1400 22:48

نگارش یافته توسط Super User

تعداد بازدید: 470

روز به روز بر تعداد شبکه‌های محلی، خصوصی، گسترده، بین‌شهری و پردیس‌ها افزوده می‌شود. کسب‌وکارهای امروزی می‌توانند بخشی از فعالیت‌های سنتی را به فضای مجازی انتقال دهند و از مزایای بالقوه شبکه‌های ارتباطی استفاده کنند. به همین دلیل شبکه‌های سازمانی برای پاسخ‌گویی به نیازهای روبه‌رشد دنیای دیجیتال به انواع مختلفی از فناوری‌ها و راه‌حل‌های پیچیده نیاز دارند. سازمان‌ها برای ارائه خدمات مطلوب‌تر به مشتریان باید اطمینان حاصل کنند که سرعت و عملکرد شبکه در وضعیت مطلوبی قرار دارد، بر همین اساس به ابزارهایی برای نظارت بر شبکه‌ها نیاز دارند. ابزارهایی که گزارش دقیقی در ارتباط با وضعیت و عملکرد شبکه ارائه کنند. برای آن‌که بتوان از مزایای بالقوه این ابزارها استفاده کرد، باید درباره مفاهیم مهمی که خواندن و تحلیل اطلاعات فنی را ساده‌تر می‌کنند مهارت داشته باشیم. مفاهیمی که موردنیاز متخصصان شبکه، تکنسین‌های شبکه، کارشناسان حوزه امنیت و در مجموع تمام افرادی است که شغل آن‌ها با دنیای شبکه عجین شده است.

نظارت بر شبکه چیست؟
نظارت بر شبکه به فرآیند به‌کارگیری راه‌حل‌های نرم‌افزاری و سخت‌افزاری برای نظارت مستمر بر شبکه‌های کامپیوتری با هدف پیدا کردن مولفه‌ها و تجهیزاتی اشاره دارد که باعث بروز مشکل شده یا کندی سرعت را به همراه آورده‌اند. هنگامی که سامانه‌های نظارتی در شبکه‌ای مستقر می‌شوند به‌طور مداوم شبکه و داده‌های عبوری توسط گره‌های مختلف را بررسی می‌کنند و هرگونه اختلال در شبکه را شناسایی و هشداری برای مدیر شبکه ارسال می‌کنند. بسته به نوع معماری استفاده شده برای مانیتورینگ شبکه، ابزارها ممکن است به شکل مستقیم از داده‌های در حال عبور از شبکه نمونه‌برداری کنند یا از داده‌های ذخیره شده در یک گره شبکه استفاده کنند، مشابه با زمانی که یکی از پورت‌های سوییچ در حالت Mirroring قرار می‌گیرد و یک کپی از داده‌های مبادله شده توسط گره خاصی را برای نظارت برای مدیر شبکه ارسال می‌کند. در مانیتورینگ شبکه، داده‌ها تجزیه و تحلیل شده و در یک داشبورد نشان داده می‌شوند تا بتوان عملکرد شبکه را به شکل لحظه‌ای ارزیابی کرد. اگر برنامه مانیتورینگ شبکه هرگونه مشکلی که بیان‌گر خرابی در شبکه است را شناسایی کند، پیغامی برای اپراتور مربوطه ارسال می‌کند تا ایراد به سرعت برطرف شود.


چرا باید به فکر به‌کارگیری راه‌حل‌های مانیتورینگ شبکه باشیم؟
راه‌حل‌‌های ماینتورینگ شبکه به سازمان‌ها کمک می‌کنند نظارت دقیقی بر عملکرد و وضعیت شبکه داشته باشند. در این حالت تیم‌های فناوری‌اطلاعات می‌توانند به سرعت مشکلات را شناسایی و آن‌ها را برطرف کنند. یکی از مهم‌ترین کاربردهای ابزارهای مانیتورینگ شبکه شناسایی زودهنگام مشکلات و صرفه‌جویی در وقت به منظور شناسایی مکان دقیق بروز مشکل است. آمارها نشان می‌دهند که حتا مشکلات کوچک در شبکه می‌توانند به سرعت تبدیل به مشکلات بزرگ‌تر شوند. علاوه بر این، ابزارهای نظارت بر شبکه می‌توانند در ارتباط با شناسایی تهدیدات بدافزاری مفید واقع شوند. با توجه به این‌که بدافزارها می‌توانند با پنهان شدن از دید دیوارهای آتش و سامانه‌های امنیتی به درون شبکه‌ها نفوذ کنند، تغییرات جزیی در ترافیک شبکه به وجود می‌آورند. در چنین شرایطی ابزارهای ماینتورینگ می‌توانند منبع بروز ترافیک غیر عادی را شناسایی کرده و آن‌را گزارش دهند.

آشنایی با راه‌حل‌های نظارت بر شبکه
راه‌حل‌های نظارتی مختلفی در اختیار سازمان‌ها قرار دارد، اما بیشتر شرکت‌ها از ابزارهای SolarWinds NMP و Zabbbix برای این منظور استفاده می‌کنند.

SolarWinds NPM 12
یک نرم‌افزار مانیتورینگ شبکه متشکل از داشبوردهای وب‌محور قابل تنظیم، نمودارهای تجمیع شده در یک مکان و نمایه‌های مختلف است. نرم‌افزار فوق اجازه می‌دهد تمام داده‌های مربوط به عملکرد شبکه در یک قالب ساده و قابل فهم در اختیار مدیران شبکه قرار گیرد. NPM به سرپرستان شبکه اجازه می‌دهد متناسب با نیازهای کاری، توپولوژی شبکه و ظرافت‌های خاصی که شبکه بر مبنای آن ساخته شده، پیکربندی‌های نرم‌افزار را تغییر دهند.

Zabbix
زبیکس (Zabbix) یک نرم‌افزار متن‌باز برای پایش شبکه‌ها و نرم‌افزارها در سطح سازمانی است که توسط الکسی ولادیشو (Alexei Vladishev) طراحی شده است. این نرم‌افزار بیشتر برای پایش و تشخیص وضعیت سرویس‌های شبکه‌ها، سرورها و دیگر سخت‌افزارهای شبکه استفاده می‌شود. زبیکس از MySQL، PostgreSQL، SQLite لایت، اوراکل و DB2 برای ذخیره داده‌ها پشتیبانی می‌کند. زبیکس گزینه‌های زیادی برای مانیتورینگ تجهیزات ارائه می‌دهد که از آن جمله به موارد زیر باید اشاره کرد:

     ارزیابی‌های ساده که پایداری و پاسخ‌گویی سرویس‌ها پروتکل‌های استاندارد مانند SMTP یا HTTP را بدون نصب نرم‌افزار روی سیستم مانیتور شده گزارش می‌دهند.
     زبیکس می‌تواند روی سیستم‌های لینوکسی و ویندوز نصب شود و گزارشی در ارتباط با بارکاری پردازنده مرکزی، فضای ذخیره‌سازی، وضعیت به‌کارگیری شبکه و غیره را ارائه کند.
     زبیکس از پروتکل‌های SNMP، TCP و ICMP و IPMI، JMX، SSH، Telnet برای نظارت هر چه دقیق‌تر بر شبکه استفاده می‌کند.
ManageEngine OpManager
ManageEngine OpManager نرم‌افزار جامعی است که توسط شرکت Zoho برای مدیریت کامل شبکه طراحی شده است.

ManageEngine OpManager از نرم‌افزارهای مطرح مدیریت شبکه‌های سازمانی است که سعی کرده با ارائه ساده‌ترین راه‌حل دقیق‌ترین گزارش‌های فنی را ارائه کند. این برنامه با ارائه ابزارهایی برای مانیتورینگ مجازی و فیزیکی سرورها، ابزارهای تحلیل‌کننده پهنای باند، تحلیل‌کننده‌های پیشرفته دیوارآتش، نظارت بر پیکربندی و تغییرات ایجاد شده در آن‌ها، مدیریت آدرس‌های آی‌پی و پورت‌های سوئیچ یک نظارت فراگیر بر شبکه‌ها را ارائه می‌کند. از مهم‌ترین ویژگی‌های نرم‌افزار OpManager به موارد زیر باید اشاره کرد:

  مانیتورینگ سلامت شبکه با استفاده از پروتکل‌هایی مثل SNMP، WMI و CLI.
  مانیتورینگ VoIP.
 امکان نمایش و بهینه‌سازی نقشه شبکه.
 مانیتورینگ RTT شبکه‌های گسترده.
 مدیریت پیکربندی شبکه.
 توانایی تحلیل پیشرفته ترافیک شبکه.
مانیتورینگ کامل سرورهای فیزیکی و مجازی مبتنی بر سیستم‌عامل‌های مختلف.
 نظارت دقیق بر پردازه‌های سیستمی.
 مانیتورینگ قدرتمند پهنای باند شبکه.
مانیتور ترافیک روترها.
ماینتور AVC و LPSLA‌های سیسکو.
 امکان گزارش‌گیری NBAR در ارتباط با تجهیزات سیسکو.
 قابلیت پشتیبان‌گیری از تنظیمات و پیکری‌بندی‌های مختلف.
 مدیریت تغییرات و اعلام لحظه‌ای هر نوع تغییر از طریق ایمیل.
Datadog Infrastructure
یکی دیگر از ابزارهای قدرتمند در حوزه شبکه ابزار Datadog است. یک ابزار ابرمحور که به ردیابی منابع سرور می‌پردازد. Datadog Infrastructure  مشکلات مربوط به عملکرد سیستم را ارزیابی و به ردیابی مشکلات می‌پردازد. از ویژگی‌های شاخص این نرم‌افزار باید به موارد زیر اشاره کرد:

جمع‌آوری معیارهای عملکرد و معاملات به منظور بررسی اجمالی سیستم.
گروه‌بندی و نظارت بر سرورها در مکان‌های مختلف.
ارائه نقشه‌های تجزیه و تحلیل ترافیکی دقیق.
تشخیص ناهنجاری عملکرد.
شناسایی ترافیک‌های مشکوکی که مغایر با خط‌مشی‌های تعریف شده هستند.
در زمان انتخاب ابزار مانیتورینگ شبکه به چه نکاتی باید دقت کرد؟
هنگامی که قصد انتخاب یک راه‌حل نظارتی را دارید ابتدا باید میزان بودجه و اندازه شبکه را مشخص کنید. به‌طور مثال، یک برنامه تحلیل‌گر شبکه محلی یا یک نرم‌افزار ردیاب بسته که شبکه را برای نمایش داده‌های در حال انتقال رصد می‌کنند هر دو در گروه ابزارهای نظارتی قرار می‌گیرند. با این‌حال، ابزارهای مذکور فاقد گزینه‌های لازم برای مدیریت شبکه هستند. به همین دلیل در زمان انتخاب ابزار مناسب باید به وسعت عملیات و شبکه، پیکربندی مولفه‌های تشکیل‌دهنده شبکه، میزان بودجه و اندازه تیم عملیات شبکه (افراد مستقر در مرکز عملیات شبکه) دقت کنید. یکی از مهم‌ترین نکاتی که در ارتباط با فرآیند مانیتورینگ شبکه باید به آن دقت کنید قابلیت‌های کاربردی ارائه شده توسط ابزارها است. به‌طور معمول ابزارهای مانیتورینگ شبکه باید توانایی اکتشاف، ترسیم نقشه، نظارت، هشداردهی و گزارش‌دهی را داشته باشند. راه‌حل‌های نظارتی در ارتباط با قابلیت‌ها و امکاناتی که ارائه می‌کنند تفاوت‌هایی با یکدیگر دارند.

اکتشاف: به معنای شناسایی و پیدا کردن دستگاه‌هایی است که درون شبکه مستقر شده‌اند. اولین مرحله مانیتورینگ شبکه با اکتشاف آغاز می‌شود. بدون اطلاع در مورد تجهیزات و گره‌هایی که درون شبکه قرار دارند، شانس کمی برای شناسایی مشکلات دارید. سامانه‌های نظارت بر شبکه با شناسایی روترها، سوییچ‌ها دیوارهای آتش، سرورها، چاپگرها، سامانه‌های تشخیص و شناسایی نفوذ، هانی‌پات‌ها و سایر تجهیزات، اطلاعاتی که توسط این مولفه‌های مرکزی مبادله می‌شود را شنود می‌کنند. سامانه‌های مانیتورینگ شبکه بر مبنای خط‌مشی‌های از پیش تعیین شده نظارت دقیقی بر شبکه‌ها اعمال می‌کنند. عملکرد سامانه‌های مانیتورینگ به این صورت است که پس از شناسایی دستگاه‌ها، نقش مناسبی را برای دستگاه در نظر می‌گیرند. به‌طور مثال، هنگامی که دو یا چند روتر در شبکه مستقر می‌شوند، این سامانه‌ها برای روتر اصلی که ترافیک را به درون شبکه وارد می‌کند و روترهایی که نقش توسعه‌دهنده را دارند نقش‌های جداگانه‌ای را در نظر می‌گیرند. با این‌حال، همه ابزارهای مانیتورینگ شبکه نمی‌توانند چگونگی اتصال دستگاه‌ها به شبکه را شناسایی کنند. به‌طور مثال، ابزارهای پیشرفته‌ای مثل SolarWinds NMP هنگامی که سروری در شبکه را شناسایی کنند با اکتشاف لایه‌های دو/سه قادر به شناسایی ارتباط سرور با تجهیزات دیگری مثل سوییچ هستند. در بحث اکتشاف، اطلاع در مورد این‌که چه دستگاه‌هایی در شبکه وجود دارند کافی نیست، بلکه باید اطلاعاتی در ارتباط با نحوه اتصال دستگاه‌ها در دسترس باشد، این‌کار کمک می‌کند هنگامی که ارتباط یک یا چند گره در شبکه قطع شد به سرعت بتوان علت بروز مشکل را شناسایی کرد.
نقشه‌کشی: نقشه‌کشی در ساده‌ترین تعریف به ارائه یک نمای گرافیکی از شبکه اشاره دارد. ارائه یک نمای گرافیکی کمک می‌کند با صرف کمی وقت مشکلات شبکه را شناسایی کرد. نقشه‌کشی با ارائه یک دید کلی از وضعیت برقراری اتصال تجهیزات به یکدیگر و ارائه نمایی گرافیکی از عملکرد دستگاه‌ها (چه پورت‌هایی از سوییچ روشن یا در حال انتقال اطلاعات هستند) به مدیران شبکه کمک می‌کند درباره وضعیت تعامل گره‌ها با شبکه اطلاعات دقیقی به دست آورند. به‌طور معمول کارشناسان شبکه در بحث نظارت بر عملکرد شبکه به دنبال دریافت اطلاعاتی در ارتباط با پینگ دستگاه‌ها، میزان تاخیر، میزان مصرف پردازنده مرکزی، حافظه اصلی و مصرف فضای دیسک هستند.
هشداردهی: هشداردهی به اطلاع‌رسانی در ارتباط با خرابی یا نقص در شبکه اشاره دارد. سامانه‌های نظارت بر شبکه هر زمان مشکلی را شناسایی کنند هشداری برای مدیر شبکه ارسال می‌کنند. هشداردهی می‌تواند به شکل کلی یا در قالب هشدار مبتنی بر آستانه انجام شود تا هر زمان عملکرد تجهیزات از نقطه خاصی فراتر رفت، هشداری برای مدیر شبکه ارسال شود. به‌طور مثال، اگر شرکتی در زمینه ارائه خدمات مجازی و ماشین‌های مجازی فعالیت دارد قادر است نقطه آستانه مصرف پردازنده مرکزی را روی مقدار مشخصی تنظیم کند تا اگر میزان مصرف افزایش یافت هشداری برای سرپرست شبکه ارسال کند.
گزارش‌گیری: شرکت‌های ارائه‌دهنده خدمات ابری برای آن‌که مطابق با توافق‌نامه سطح خدمات کار کنند باید گزارش‌های دقیقی در اختیار شرکت‌ها قرار دهند. این گزارش‌ها باید به شکل تحلیلی و گرافیکی باشند تا شرکت‌ها بدانند در چه زمان‌هایی بیشتر میزان مصرف منابع را داشته باشند. به‌طور معمول، راه‌حل‌های مانیتورینگ شبکه اطلاعات را از طریق داشبوردهای وب در اختیار مدیران شبکه قرار می‌دهند.
برای نظارت بر شبکه‌های کامپیوتری به چه دانشی نیاز داریم؟
به‌طور کلی برای نظارت بر شبکه‌های کامپیوتری باید درباره انواع شبکه‌های کامپیوتری، مدل OSI، مولفه‌های اساسی شبکه‌ها و پروتکل‌های زیربنایی شبکه‌ها دانش کافی داشته باشید. یک شبکه کامپیوتری بر مبنای مولفه‌های مختلفی ساخته می‌شود که امکان برقراری ارتباط میان گره‌های مختلف شبکه را به وجود می‌آورند. برخی از این مولفه‌های پایه آدرس آی‌پی، Subnetting، سامانه نام دامنه و پروتکل پیکربندی پویای میزبان است.

مدل OSI چیست؟
مدل اتصال سامانه‌های باز (Open Systems Interconnection) توصیفی مفهومی از لایه‌هایی است که دو یا چند سیستم مخابراتی یا شبکه کامپیوتری را به یکدیگر متصل می‌کند. مدل OSI سعی بر توضیح چگونگی ارتباط دو سیستم انتقال اطلاعات بر پایه انواع رسانه‌ها در یک شبکه کامپیوتری دارد. مدل OSI یک معماری شبکه نیست، زیرا هیچ سرویس یا پروتکلی در آن تعریف نمی‌شود، بلکه یک مدل مفهومی برای پروتکل‌ها و معماری‌های بزرگ است. این مدل دارای هفت لایه فیزیکی، پیوند داده، شبکه، انتقال، نشست، نمایش و لایه کاربرد است. در این میان لایه‌های پیوند داده، شبکه و کاربرد پر استفاده‌ترین لایه‌ها در مانیتورینگ شبکه هستند. سامانه‌های مانیتورینگ شبکه از لایه‌های دو، سه و هفت برای شناسایی تجهیزات شبکه و چگونگی اتصال آن‌ها برای ساخت نقشه‌های ساختاری و نظارت بر شبکه استفاده می‌کند.

راه‌حل‌های مانیتورینگ شبکه ترافیک چه تجهیزاتی را رصد می‌کنند؟
به‌طور معمول تجهیزات نظارت بر شبکه سعی می‌کنند اطلاعاتی که توسط تجهیزات اصلی شبکه مبادله می‌شوند را شنود کنند. این تجهیزات به شرح زیر هستند:

روتر: وظیفه اصلی مسیریاب اتصال شبکه‌ها به یکدیگر است. به‌طور مثال یک شبکه خصوصی از طریق مسیریاب به اینترنت متصل می‌شود. علاوه بر این مسیریاب وظیفه راهگزینی بسته‌ها را بر عهده دارد و از دستگاه‌های لایه سه به شمار می‌رود. بر همین اساس اطلاعات مهمی توسط مسیریاب منتقل می‌شوند که باید به دقت ارزیابی شوند.
سوییچ: سوییچ‌ها برای برقراری ارتباط کامپیوترها، چاپگرها، سرورها و سایر تجهیزات در شبکه‌های خصوصی استفاده می‌شوند. سوییچ‌ها نقش یک کنترل‌کننده را دارند و ارتباط دستگاه‌های درون یک شبکه محلی را برقرار می‌کنند. در حالت کلی سوییچ‌ها از جمله دستگاه‌های لایه دو شناخته می‌شوند. با توجه به این‌که سوییچ‌ها اطلاعات میان گره‌های درون یک شبکه محلی را مبادله می‌کنند، هرگونه خرابی در فرآیند انتقال توسط سوییچ‌ها قابل شناسایی است.
دیوارآتش: دیوارآتش وظیفه نظارت بر ترافیک ورودی و خروجی را بر مبنای خط‌مشی‌های مشخص بر عهده دارد. این‌کار مانع از آن می‌شود تا اطلاعات یک شبکه خصوصی به راحتی به یک شبکه غیر قابل اعتماد مثل اینترنت ارسال شود. به‌طور معمول، دیوارهای آتش اطلاعات خوبی در ارتباط با فعالیت‌های مشکوک می‌دهند، اما در بحث مانیتورینگ اطلاعات خیلی جامعی ارائه نمی‌کنند.
سرور: شبکه‌های کامپیوتری با هدف ارائه اطلاعات و برنامه‌های کاربردی به کاربران پیاده‌سازی می‌شوند. برنامه‌های کاربردی و اطلاعات در سرورها نگه‌داری و ذخیره‌سازی می‌شوند. سرورها درخواست‌های کاربران را دریافت و پردازش می‌کنند و نتیجه را برای کاربر ارسال می‌کنند. سرورها یکی از مهم‌ترین مولفه‌های شبکه هستند که در بحث مانیتورینگ اطلاعات فنی خوبی در اختیار کارشناسان قرار می‌دهند.
FCAPS در مانیتورینگ شبکه چه معنایی دارد؟
مدیریت و نظارت بر شبکه‌ها مباحث مختلفی را شامل می‌شود و با هدف کاهش هزینه‌ها و بهبود عملکرد انجام می‌شود. واژه FCAPS سرنام پنج واژه مدیریت و نظارت بر شبکه با هدف شناسایی و مدیریت خطاها (Fault Management)، مدیریت پیکربندی (Configuration Management)، ممیزی و حسابرسی (Accounting Management)، مدیریت عملکرد (Performance Management) و مدیریت امنیت (Security Management) است که تعریف هر یک از آن‌ها به شرح زیر است:

مدیریت خطا: مدیریت خطا به فرآیند شناسایی، تفکیک و حل مشکلات در شبکه اشاره دارد. شناسایی مشکلات بالقوه شبکه در زیر مجموعه مدیریت خطاها طبقه‌بندی می‌شود.
مدیریت پیکربندی: مدیریت پیکربندی به شناسایی، نگه‌داری، نظارت بر تغییرات پیکربندی، رصد فعالیت کاربران و عیب‌یابی مشکلات از طریق اجرای عملیات تصحیح خطا اشاره دارد.
ممیزی و حسابرسی: در بحث ممیزی و حسابرسی، میزان مصرف منابع و پهنای باند شبکه ارزیابی و محاسبه می‌شوند. ممیزی بیشتر توسط شرکت‌های ارائه‌دهنده خدمات برای محاسبه هزینه‌ها انجام می‌شود. در شبکه‌هایی که از ارتباطات گران‌قیمت همچون فیبرنوری یا ارتباطات سلولی استفاده می‌کنند ممیزی به میزان قابل توجهی باعث کاهش هزینه‌ها می‌شود.
مدیریت عملکرد: مدیریت عملکرد با تمرکز روی توان عملیاتی، نرخ از دست رفتن بسته‌ها، زمان پاسخ‌گویی، میزان مصرف و موارد این چنینی وضعیت کلی شبکه را ارزیابی می‌کند.
مدیریت امنیت: در بحث مدیریت امنیت، مواردی مثل کنترل دسترسی به منابع داده‌ای، تنظیمات و بررسی مجوزهای تخصیص داده شده به کاربران بررسی می‌شود و سعی می‌شود هرگونه فعالیت مشکوک مرتبط با حساب‌های کاربری بررسی شود.
عملکرد یک ابزار مانیتورینگ شبکه چگونه است؟
به‌طور کلی ابزارهای مانیتورینگ شبکه و سامانه‌ها به صورت عامل‌محور، بدون عامل یا ترکیبی از هر دو حالت کار می‌کنند. عامل به مولفه نرم‌افزاری اشاره دارد که داده‌های عملکردی دستگاه‌ها را دریافت می‌کند. این داده‌ها بر مبنای درخواست‌های ایجاد شده توسط NMS یا خط‌مشی‌های تعریف شده درون عامل به یک سامانه مانیتورینگ ارسال می‌شود. در رویکرد بدون عامل، نرم‌افزار مانیتورینگ فاقد یک مولفه مشخص است و از واسط‌های برنامه‌نویسی کاربردی راه دور برای نظارت استفاده می‌کند. در روش فوق از SNMP برای نظارت بر مولفه‌های شبکه استفاده می‌شود. در حالت ترکیبی بر مبنای معماری شبکه و متناسب با شرایط، نرم‌افزار تصمیم می‌گیرد از چه راه‌حلی برای نظارت بر شبکه استفاده کند. در هر سه حالت، ابزارهای مانیتورینگ شبکه از پروتکل ساده مدیریت شبکه (SNMP)، ابزار دقیق مدیریت ویندوز (WMI) و شل ایمن برای سرور لینوکس و یونیکس (SSH) استفاده می‌کنند، هرچند برخی از این ابزارها از زبان‌های اسکریپت‌نویسی مثل پاورشل برای سفارشی‌سازی فرآیند نظارت بر شبکه‌ها، سرورها و اجرای محاوره‌های اختصاصی روی بانک‌های اطلاعاتی استفاده می‌کنند. پروتکل‌های SNMP و WMI به شکل گسترده‌ای در این زمینه استفاده می‌شوند.

SNMP: پروتکل انتقال بسته‌های داده‌ای در لایه کاربرد روی پروتکل TCP/IP است. این پروتکل که برای ساده ‌کردن نقل و انتقالات بسته‌های مدیریت سیستم‌ها طراحی شده‌، فقط پنج فرمان دارد که ساختار همه آن‌ها مشخص و معلوم است. با استفاده از این پنج فرمان می‌توان کل نیازمندی‌های مدیریت یک وسیله از روی شبکه را مدیریت کرد. SNMP در لایه کاربرد مدل OSI کار می‌کند، به این صورت که برای جلوگیری از بروز ناهماهنگی در عملکرد پروتکل TCP/IP، پروتکل مذکور تبادل داده را بدون پیاده‌سازی پیوند انجام می‌دهد، یعنی داده فرستاده شده با این پروتکل از لایه نشست که لایه برگزارکننده اتصال میان فرستنده و گیرنده است عبور نمی‌کند و در نتیجه برای ارسال داده خط اشغال نشده و اختلالی در کارکرد پروتکل اصلی شبکه (TCP/IP) پدید نمی‌آید. در واقع پروتکل SNMP راهی را در شبکه برای ارسال داده ایجاد نمی‌کند، بلکه داده را از یک گذرگاه به گذرگاه دیگر هدایت می‌کند تا به مقصد برسد. کاربرد این پروتکل در شبکه‌های با بیش از یک سرور (مانند سیستم‌های خودکارسازی پست‌‌ها که دارای دو سرور روشن و آماده به کار هستند) است که با از دست رفتن سرور روشن، پیام راه‌اندازی سرور ذخیره از سوی این پروتکل به آن داده شده و سرور در مدار قرار می‌گیرد و مدیریت شبکه را به جای سرور از دست رفته به عهده می‌گیرد.
WMI: ابزار مدیریتی ویندوز (Windows Management Instrumentation) متشکل از مجموعه‌ای از ابزارهای جانبی برای مدیریت ویندوز است و به عنوان رابطی بین سیستم‌عامل و بخش‌های مختلف عمل می‌کند، به گونه‌ای که در صورت نیاز به هرگونه اطلاعاتی سیستم از طریق این ابزارها با بخش‌های مختلف ارتباط برقرار کرده و اطلاعات لازم را دریافت می‌کند. WMI در واقع نسخه اجرایی سیستم مبتنی بر وب مدیریت سازمانی (WBEM)، مدل اطلاعات مشترک (CIM) و استانداردهای توزیع مدیریت وظایف سیستم (DMTF) است. WMI برای زبان‌های برنامه‌نویسی (مانند VBScript یا Windows PowerShell) این امکان را به وجود می‌آورد تا بتوانند به صورت محلی یا از راه دور به مدیریت سیستم‌عامل رایانه‌های شخصی و سرور بپردازند. در مجموع WMI اطلاعات دقیقی در ارتباط با سیستم‌عامل، داده‌های سخت‌افزاری یا نرم‌افزاری، وضعیت یا ویژگی‌های سامانه‌های محلی یا راه دور، اطلاعاتی در ارتباط با پردازه‌ها و سرویس‌ها و اطلاعات امنیتی ارائه می‌کند. ابزارهای مانیتورینگ شبکه تمام این جزییات را به نرم‌افزار مدیریت شبکه انتقال می‌دهند.
ابزارهای مانیتورینگ برای کارکرد بهتر به خط‌مشی‌های مدیریتی دقیقی نیاز ندارد. در زمان پیاده‌سازی یک راه‌حل مانیتورینگ شبکه، قواعد مشخصی توسط سرپرستان شبکه تعیین می‌شوند. این قواعد چگونگی رهگیری بسته‌های اطلاعاتی مبادله شده توسط گره‌ها و پارامترهایی که نیازمند نظارت هستند را مشخص می‌کند. علاوه بر قواعد مشترک، مدیر شبکه باید طراحی و نیازمندی‌های شبکه را به درستی درک کند و سنجه‌های مهم را به درستی شناسایی و برای نرم‌افزار تعریف کند. خط‌مشی‌ها و قواعد مانیتورینگ شبکه به گروه‌های مختلف مثل مانیتورینگ دسترس‌پذیری، مانیتورینگ تعاملی، مانیتورینگ دیسک و مانیتورینگ سخت‌افزار تقسیم می‌شوند

سیستم مانیتورینگ شرایط محیطی شبکه

این سیستم فادر است تا  پارامتر های خطرسااز که میتواند شبکه را با تنشهایی از قبیل دما - رطوبت برخوردار سازد را آشکار نماید برای مثال فاکتور دما اگر از 24 درجه سانتی گراد فراتر رود میتواند به سرور ها و یا روتر ها و استوریجها آسیب وارد نماید بنابر این کنترل فاکتور دما از اهمیت قابل ملاحظه ای برخوردار بوده و مانیتورینگ شرایط محیطی شبکه میتواند به کمک مئیر شبکه آمده تا شبکه از بروز مشکلات این چنین فارغ بوده و از نقطه نظر ایمنی و صحت کارکرد قابل قبول  باشد