آشنایی با ماژول SIEM و UBA سرویس Splunk

Machine-Data تولید شده یکی از رو به رشدترین و پیچیده ترین زمینه های big data است. یکی از ارزشمندترین این داده ها که شامل اطلاعات ثبت شده از تراکنش های کاربران، رفتار مشتریان، رفتار ابزارها، تهدیدات امنیتی، فعالیت های فریبکارانه و … است. Splunk این اطلاعات را بدون توجه به نوع کسب وکار به اطلاعات ارزشمندی تبدیل می کند و این مطلب به عنوان اطلاعات عملیاتی هوشمند شناخته می شوند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای Splunk را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

 

Splunk Enterprise به تحلیل و پایش machine data از منابع مختلف پرداخته و اطلاعات عملیاتی هوشمند، به منظور بهینه سازی IT، امنیت و عملکرد کسب وکار، ارایه می دهد. با وجود قابلیت هایی چون تحلیل های بصری، machine learning، open APIs و بسته های نرم افزاری، Splunk Enterprise بستری انعطاف پذیر و قابل توسعه از سطح تمرکز بر یک رخداد خاص تا تحلیل های گسترده شرکت های بزرگ، ارایه می دهد. Splunk Enterprise:
• تجمیع و تقسیم بندی وقایع ثبت شده و machine data از منابع مختلف
• توانایی جستجو، تحلیل و پایش قدرتمند در سراسر سازمان
• ارایه اکوسیستمی از برنامه های مبتنی بر Splunk، راهکاری جامع به منظور تحلیل های امنیتی، IT Ops و کسب وکار ارایه می دهد.
• امکان استقرار به عنوان یک سرویس ابری و محلی
سیستم هوشمند عملیاتی امکان درک رخدادهایی که در سراسر سیستم IT و زیرساخت سازمانی اتفاق افتاده، را می دهد؛ بنابراین می توان تصمیمات آگاهانه ای در برخورد با این رخدادها اتخاذ کرد. بستر Splunk پایه ای برای همه محصولات این شرکت، راهکارهای premium، برنامه ها و add-ons است.

Splunk به عنوان SIEM

امروزه راهکارهای امنیتی Splunk نه تنها به یک اصل برای SIEM تبدیل شده است، بلکه قابلیت هایی مانند تحلیل های امنیتی، درک کامل فضای شبکه به منظور یاری تیم های امنیتی در اتخاذ تصمیمات سریع تر و دقیق تر، را ارایه می دهد. Splunk گزینه های مختلفی برای سازمان ها به منظور استقرار SIEM و یا انتقال به SIEM مدرن معرفی می کند و همچنین گزینه های مختلفی از جمله استقرار محلی، ابری و هیبریدی را در اختیار سازمان ها قرار می دهد.
مشتریان با استفاده از Splunk Enterprise و Splunk Cloud نیازهای پایه SIEM خود را رفع می کنند. Splunk Enterprise و Splunk Cloud هسته مرکزی بستر Splunk را تشکیل می دهند که قابلیت هایی چون تجمیع، فهرست کردن، جستجو، ارایه گزارش و یا CLM را فراهم می آورند. اغلب مشتریان سرویس های امنیتی Splunk از Splunk Enterprise و یا Splunk Cloud به منظور ایجاد جستجوهای بهنگام، همبستگی اطلاعات و داشبوردهایی برای دریافت SIEM پایه، استفاده می کنند.
Splunk راهکارهای premium چون Splunk ES که قابلیت پشتیبانی از SIEM پیشرفته با داشبوردهای آماده استفاده، برقراری ارتباط جستجوها و ارایه گزارش، را دارد. امکان اجرای Splunk ES در بستر Splunk Enterprise، Splunk Cloud و یا هر دو وجود دارد. علاوه بر این Splunk ES حاوی قابلیت های بررسی رخدادها و گردش کار، دریافت اطلاعات از ۳rd party هوشمند مقابله با تهدیدات، به منظور ایجاد قوانین همبستگی پیش ساخته و هشدارهای لازم است. همچنین بیش از ۳۰۰ نرم افزار امنیتی در بستر Splunk با جستجوها، گزارش ها و سیستم های بصری پیش ساخته به منظور ارایه به فروشندگان ۳rd party امنیتی، وجود دارد. این برنامه ها، قابلیت ها و افزونه ها شامل پایش امنیتی، NGFW ، سیستم های پیشرفته مقابله با تهدیدات و … هستند که موجب افزایش پوشش امنیتی ارایه شده توسط Splunk و سایر ۳rd party ارایه دهنده سرویس امنیتی شده است.
همچنین Splunk ES یک SIEM مبتنی بر تحلیل است که از پنج چارچوب مجزا تشکیل شده است که امکان اجرای مجزای هر یک به منظور تامین دامنه وسیعی از الزامات امنیتی شامل compliance، امنیت نرم افزارها، مدیریت رخدادها، شناسایی پیشرفته تهدیدات، پایش لحظه ای و … وجود دارد. یک بستر SIEM مبتنی بر تحلیل machine learning، شناسایی رویدادهای غیر معمول و همبستگی مبتنی بر قوانین را در یک راهکار امنیتی تحلیلی ادغام می کند. Splunk ES امکان بررسی بصری ارتباطات میان رخدادها در هر زمان و به اشتراک گذاری جزئیات حملات چند مرحله ای را فراهم می کند. همچنین این بستر امکان پایش و ارایه گزارش های لحظه ای از حملات و سایر فعالیت های غیر معمول را در اختیار سازمان ها قرار می دهد. با استفاده از چنین تجزیه و تحلیل پیشرفته ای، مشتریان قادر به شناسایی سریع حملات و پاسخ مناسب در سراسر اکوسیستم امنیتی، خواهند بود.
Splunk ES به عنوان بخشی از یک پروژه امنیتی عظیم تر است که قابلیت CLM را در Splunk Enterprise و UBA پیشرفته به وسیله Splunk UBA ارایه می دهد.
چه عواملی Splunk را به عنوان SIEM مطرح می کند؟
• نرم افزار Splunk می تواند به عنوان SOC برای سازمان ها با هر ابعاد کاری (کوچک، متوسط و بزرگ) مورد استفاده قرار گیرد.
• پشتیبانی کامل از عملیات امنیت اطلاعات شامل ارزیابی وضعیت، پایش، هشدار و برخورد با رخدادها، CSIRT ، تحلیل نقض تعهدات، واکنش مناسب و بررسی ارتباط رخدادها
• SIEM قابلیت OOTB را داشته و بسیاری از موارد امنیتی آن حتی بدون نیاز به نصب قابل استفاده هستند.
• تشخیص تهدیدات شناخته شده و ناشناس، بررسی تهدیدات، تعیین compliance و استفاده از تحلیل امنیتی پیشرفته به منظور درک جزئیات
• بستر یکپارچه امنیتی هوشمند مبتنی بر big data
• استفاده از جستجوهای Ad hoc به منظور تحلیل پیشرفته هر گونه نقض تعهدات و قوانین
• قابلیت استقرار محلی، ابری و هیبریدی

Splunk UBA

Splunk UBA یک راهکار مبتنی بر machine learning است که به ارایه رویکردی به منظور شناسایی تهدیدات ناشناخته و رفتار غیر معمول در سطح کاربران، ابزارهای endpoint و نرم افزارها می پردازد. این راهکار نه تنها بر پاسخگوی تهدیدات خارجی است بلکه پاسخگوی تهدیدات داخلی نیز خواهد بود. الگوریتم های machine learning نتایج عملی به همراه رتبه بندی ریسک و نگهداری شواهد ارایه می دهد، این قابلیت ها امکان واکنش و پاسخ سریع تحلیلگران SOC را نشان می دهند. علاوه بر موارد این پایه و اساسی برای تحلیلگران امنیتی به منظور بررسی فعال رفتارهای غیر معمول فراهم می کنند.

Splunk UBA در یک نگاه

• ارتقا قابلیت ردیابی و شناسایی با استفاده از چارچوب رفتار محور، هدفمند و machine learning قابل تنظیم که شامل الگوریتم های کنترل نشده است.
• ارتقا قابلیت UEBA تحلیلگران SOC با استفاده از اتصال صدها رفتار غیر معمول و ارایه آن به عنوان یک تهدید مستقل
• بهبود وضعیت با استفاده از پیش بینی تهدیدات طی یک حمله چند مرحله ای
• تجمیع دو سویه با استفاده از Splunk Enterprise برای دریافت اطلاعات و همبستگی داده ها و بکارگیری Splunk ES به منظور ارزیابی و بررسی رخدادها و پاسخ خودکار

ارایه بستر هوشمند امنیتی توسط InfoTeK و Splunk به منظور استفاده در بخش عمومی

بسیاری از سازمان ها به منظور نظارت، بررسی و پاسخگویی تهدیدات به نرم افزار SIEM وابسته هستند؛ لیکن در برخی از نمایندگی های دولت امریکا، SIEM مسئولیت خود را به درستی ایفا نکرده اند و SIEM سنتی آنها از نوع HP ArcSight قادر به تامین کلیه انتظارات نبوده است. این موسسه از InfoTeK که از شرکت های پیشرو در زمینه امنیت سایبری است، خواستار مشارکت در ارایه راهکاری به منظور جایگزینی SIEM سنتی خود شده است. از زمان توسعه بستر Splunk مشتریان از مزایای زیر بهره مند شدند:
• متوقف کردن بی درنگ حملات
• کاهش ۷۵ هزینه استقرار و پشتیبانی SIEM
• کاهش ابزارهای مورد نیاز، از جمله سیستم های جمع آوری اطلاعات ثبت شده و راهکارهای مرتبط با endpoint
این موسسه با استفاده از Splunk Enterprise و Splunk ESیک SIEM مبتنی بر تحلیل به منظور ارایه سیستم هوشمند عملیاتی با قیمت مناسب، فراهم کرده است. InfoTeK نرم افزار Splunk را در مدت یک هفته برای این موسسه مستقر کرد. پس از شروع به کار، نرم افزار ارزش هزینه صرف شده را به اثبات رساند. تیم های IT قادر به جستجوی سریع رخدادهای امنیتی و متوقف ساختن بردارهای حملات هدفمند شده اند.
Jonathan Fair، مدیر ارشد بخش مهندسی امنیت شرکت InfoTeK اظهار کرد:” فرآیندی که با صرف ساعت ها و روزها و با استفاده از ابزارهای چندگانه سایر محصولات انجام می شد، اکنون با استفاده از این ابزار در عرض چند ثانیه، دقیقه و یا ساعت توسط Splunk انجام می شود. مشتری ما پیش از خریداری کامل محصول از بازده سرمایه گذاری خود بهره مند شدند، زیرا به شکل موفقیت-آمیزی حمله ای را که قادر به تخریب کامل شبکه بود، بدین وسیله متوقف کرد.”

هزینه کرد بیش از ۹۰۰ هزار دلار کابینه و ادارت دولتی امریکا به منظور نگهداری نرم افزارهای قدیمی

شهروندان ادعا می کنند نهادهای دولتی نه تنها پول مالیات دهندگان را به شکل عاقلانه ای خرج کنند، بلکه تمام تلاش خود را برای اطمینان از اجرای صحیح عملیات و ارایه موثر سرویس ها، داشته باشند. یکی از ادارات بزرگ دولتی امریکا، قبلا از HP ArcSight که ابزاری کند و پر هزینه به منظور مدیریت رخدادها است، استفاده می کرد، از طرف دیگر این ابزار پاسخگوی نیازهای سازمان مذکور نبود. این سازمان با جایگزینی Splunk Enterprise به عنوان بستر تامین کننده امنیت، از مزایای زیر بهره مند شد:

• صرفه جویی ۹۰۰،۰۰۰ دلاری در هزینه های نگهداری و پشتیبانی نرم افزارها
• بهبود قابلیت های امنیتی شامل شناسایی، پاسخگویی و بازیابی
• کاهش زمان تحقیقات امنیتی از چندین ساعت به چند دقیقه
رویکرد امنیتی فعالانه
Margulies و تیم او مسئولیت SOC این سازمان را بر عهده دارند که شامل ۴۰ تحلیلگر است که از Splunk Enterprise به منظور بررسی رخدادهای امنیتی استفاده می کنند و همچنین تیم IT که به این نرم افزار به منظور عیب یابی و ارایه گزارش وابسته است. به علاوه مشتریان شامل کارکنانی است که وظیفه تضمین مطابقت این سازمان با قوانین و استانداردهای امنیتی را بر عهده دارند.
محافظت از اعتبار برند و امنیت اطلاعات Heartland Automotive توسط بستر Splunk

dba Jiffy Lube یکی از بزرگترین دارندگان حق امتیاز خرده فروشی روغن در امریکا است. Heartland Automotive به منظور حفاظت از نام تجاری و منابع مهم خود یعنی اطلاعات، نیازمند یک زیر ساخت امنیت سایبری است. این تولیدکننده از زمان استقرار Splunk ES و Splunk UBA به عنوان بستر یکپارچه SIEM از مزایای زیر بهره مند شده است:
• تنها در مدت سه هفته اهداف این ارزش گذاری با اجرای SIEM به منظور تامین امنیت در مقابل تهدیدات داخلی مشخص شد.
• بستری به منظور اعمال نوآوری های جدید با هزینه مالکیت ۲۵ درصد کمتر از سیستم امنیتی پیشین
• تحقیقات امنیتی بهنگام و حفاظت در مقابله با تهدیدات داخلی
اغلب پیاده سازی SIEM پیچیده است، زیرا سازمان های بزرگ منابع اطلاعاتی زیادی دارند و هفته ها برای تنظیم هشدارهای لازم زمان نیاز است. با توجه به اظهارات Alams، تیم سرویس امنیتی Splunk کلیه مراحل شناسایی منابع اطلاعاتی شرکت، طراحی SIEM و پیکربندی هشدارها را بدون هیچ کم وکاستی انجام داد.
Chidi Alams، رئیس فناوری اطلاعات و امنیت اطلاعات شرکت Heartland Automotive اظهار می دارد: “زمان مهمترین عامل ارزش گذاری است. ما سیستم SIEM و تشخیص تهدیدات داخلی را که به طور معمول سه ماه زمان نیاز دارد در کمتر از سه هفته راه اندازی کردیم. سرپرست اداره مالی و دیگر اعضای تیم مدیریت ارشد شرکت، تحت تاثیر سرعت اجرا و استقرار قرار گرفتند.”

مساله بازگشت سرمایه در Splunk

راهکارهای SIEM تحلیلی، اغلب از منظر قیمت از منظر سرمایه گذاران مورد انتقاد قرار می گیرد، لیکن این هزینه ها تنها هزینه های اولیه هستند و بازده سرمایه گذاری به سرعت قابل مشاهده است. اهمیت این هزینه های بالای راهکارهای مبتنی بر تحلیل، هنگامی آشکار خواهد شد که سازمان، قربانی یک تهدید و یا باج افزاری شود. بنابراین بازده سریع سرمایه در محافظت فعال شبکه در مقابله با حملات داخلی و خارجی قابل مشاهده است لیکن این مساله تنها زمینه بازگشت سرمایه گذاری در SIEM نیست. راهکارهای SIEM مبتنی بر تحلیل، پاسخگوی رخدادهای معمول امنیتی حوزه IT همچون compliance، کلاهبرداری، شناسایی سرقت و سوءاستفاده از اطلاعات، سرویس های اطلاعاتی هوشمند، ارایه نرم افزارها و تحلیل های حوزه کسب وکار نیز هستند.
با توجه به اینکه تیم های امنیتی به صورت هماهنگ با سایر بخش های IT کار می کنند، قابلیت پایش و نظارت مرکزی بر کلیه رخدادهای سراسر شبکه نقش مهمی در بازگشت سرمایه خواهد داشت. بهترین راه برای درک بازده سرمایه گذاری ( ROI ) راهکارهای SIEM مبتنی بر تحلیل، بهره گیری از تجربیات سایر کاربران این سیستم است.

آینده SIEM

تکنولوژی های SIEM مختلفی موجود است و در این راهنما تنها به بیان تفاوت های میان صورت سنتی و راهکارهای مدرن مبتنی بر تحلیل پرداخته شده است. SIEM مبتنی بر تحلیل، رویکردی روشن در برابر بازار آتی محصولات امنیتی قرار می دهد. این راهکارهای مدرن امنیتی، روشی مطمئن در مقابله با تهدیدات شامل شناسایی، بازیابی، ارایه هشدار، گزارش compliance است و هم زمان بازده بالای سرمایه گذاری را نیز تضمین می کند. راهکاری مبتنی بر SIEM تحلیلی، در حال انطباق خود با سرعت روزافزون رشد تهدیدات هستند تا همواره یک گام پیش تر از تهدیدات بوده و بتوانند امنیت شبکه ها را تامین کنند.

بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار

مقابله با باج افزارها

جامعه مدرن امروز در حال تبدیل شدن به یک جامعه اطلاعاتی وسیع است. در گذشته کاربران جهت انتقال اطلاعات شخصی خود از ابزارهای ذخیره سازی سنتی همچون هارد دیسک و … بهره می بردند لیکن امروزه محیط های پردازشی و فضای شبکه و همچنین تکنولوژی های ذخیره سازی remote مانند هارد درایو تحت وب و سرویس های مبتنی بر ابر، در شرف توسعه و ادغام هستند. این مساله امکان پردازش big data را فراهم کرده است.

مقابله با باج افزارها
مقابله با باج افزارها

مهمترین المان در برخورد با big data اطمینان از حفظ دیتا بدون هیچ گونه تغییر در آن است، لیکن اطمینان از صحت اطلاعات با توجه به انواع حملات ناشی از جعل اطلاعات که نمونه واضحی از حملات سایبری است، مساله ای چالش برانگیز خواهد بود. امروزه حملات سایبری به ابزاری جهت انتقام جویی، اخاذی و جنگ های سایبری تبدیل شده است، بنابراین جرایم سایبری به نوعی سرویس crime as a service) CaaS) تبدیل شده است. یکی از مهمترین نمونه های این نوع از تهدیدات در فوریه سال ۲۰۱۶ در مرکز مراقبت های پزشکی Hollywood Presbyterian اتفاق افتاد، که در این حمله اطلاعات پزشکی بیماران توسط باج افزار رمزنگاری شده و غیر قابل استفاده شدند. بنابراین با توجه اهمیت موضوع در این مقاله به بررسی تکنیک های مقابله با جرایم سایبری مبتنی بر باج افزار پرداخته شده است.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

بررسی اجمالی باج افزار

باج افزار نوعی Trojan horse است که پس از نفوذ به سیستم فایل ها و منابع، سیستم قربانی را رمزنگاری می کند. اغلب هدف از حملات باج افزارها، مسائل مالی است، عناصر پرداخت با توجه به پیچیدگی بدافزار و ضرورت بازیابی سریع اطلاعات، تعیین می شود. تسلط بر داده و روش پرداخت دو عامل مهم در حملات باج افزارها محسوب می شود. از منظر شیوه های پرداخت، حملات در گروه های پرداخت آنلاین، irregular funding و خریدهای آنلاین قرار می گیرد. در گروه پرداخت های آنلاین، از طریق اکانت های آنلاین با استفاده از PayPal, E-Gold, Bitcoin , Webmoney صورت می گیرد. در گروه irregular funding کاربر مبالغ مالی غیر قانونی را از طریق یک سرویس یا کسب و کار قانونی انتقال می دهد. در گروه بعدی یعنی گروه خریدهای آنلاین، مهاجم قربانی را وادار به خرید کالا از وب سایت های مشخص می کند. در کلیه روش های فوق از پول شویی به منظور استتار منبع مالی بدست آمده، استفاده می شود.
شکل شماره ۱ سرعت رشد باج افزارها و میزان خسارت هر یک را در بازه های زمانی سه ماهه در سال های ۲۰۱۴ و ۲۰۱۵ نمایش می دهد:

شکل شماره ۱

با توجه به اینکه پس از نفوذ باج افزار خطر رمزنگاری فایل ها، قفل سیستم وجود دارد و کاربران، کلیدی جهت بازیابی اطلاعات خود ندارند، علاوه بر این کاربران و آنتی ویروس ها به سختی قادر به شناسایی حملات و فعالیت های باج افزارها هستند، از این رو مهاجمان به سادگی خود را پنهان می کنند و تضمینی جهت بازگشت اطلاعات پس از پرداخت وجود ندارد. این مشکلات مهمترین دلایل اتخاذ رویکرد قاطعانه در برخورد با باج افزارها است.
باج افزارها از حیث عملکرد به دو دستهnon-cryptographic ransomware) NCR) و  CGR تقسیم می شوند. همان طور که در جدول شماره ۱ نمایش داده شده است، NCR برای محدودسازی تعامل میان کاربر و سیستم طراحی شده است و عمل رمزنگاری فایل ها را انجام نمی دهد. این روش ها شامل قفل صفحه و تغییر جدول پارتیشن MBR است، که در نتیجه این نوع حملات کاربر قادر به استفاده از سیستم خود نخواهد بود. CGR با استفاده از رمزنگاری داده ها دسترسی کاربر را به اطلاعات حیاتی محدود می کند. CGR در دستهprivate-key cryptosystem ransomware) PrCR) و public-key cryptosystem ransomware) PuCR)قرار می گیرد. همان گونه که در جدول شماره ۲ نشان داده است، PrCR از الگوریتم های مبتنی بر کلید خصوصی به منظور رمزنگاری دادهها استفاده می کند، در حالی که همانطور که در جدول شماره ۳ نمایش داده شده است، PuCR از الگوریتم های مبتنی بر کلید عمومی به منظور رمزنگاری بهره می گیرند.

جدول شماره ۱

Description Name
This ransomware emerged in 1989, and it is the first ransomware. This ransomware replaced the autoexec.bat file; when an infected system boots 90 times, the ransomware encrypts all of the file names of the root directory. PC CYBORG/AIDS Trojan
This ransomware displays the warning message “Your files and the software will be restricted due to violation of the law,” allegedly from a law enforcement agency, to deceive the user and demands money. This ransomware contains the Pony module. As the most used password stealing module, this module performs the theft feature of the information. This feature is able to restore various types of encrypted passwords as plain-text format. Examples include FTP password, VPN, and e-mail client.. Reveton
This ransomware emerged in 2006, and it generates password-protected zip files based on a commercial zip library without the cryptographic operation. This ransomware is a dll file, so it attaches all running processes and stores original files in the zip files protected by password. CryZip
This ransomware emerged in 2006; it demands funds for business not demanding fees from users. This ransomware generates password-protected compressed files without the cryptographic operation. MayArchive
This ransomware is trying to impersonate anti-malware software, and it displays fake scanning results. Users want to clean them, so they pay money for cleaning Fake AV
This ransomware contains malicious JavaScript code and locks the web browser with it. The locked web browser displays a warning massage containing a phone number, so users pay money to recover it. FastBsod

جدول شماره ۲

Description Name
This ransomware encrypts MS office files, document files, compressed files, video files, and picture files except system files and informs the users that their PCs are infected by generating txt or html file. After that, this ransomware displays the screen for payment. Nevertheless, it does not decrypt files even after money is paid, and an attacker demands more money. CryptoLocker
This ransomware emerged in 2005, and there are a lot of variants. The first version contains only one cryptographic algorithm, but the last version contains the RSA algorithm, which is one of the public key cryptographic algorithms. GPCoder
This ransomware is mobile ransomware, and it impersonates a normal app using iGO icon or flash player on the android platform. When the app is installed, it encrypts all of the files on the smart phone, and it demands money. In this process, the app steals the device information as IMEI; after that, it encrypts stored document files, image files, and video files based on a key as jddlasssadxc322323sfo74hr. Finally, the encrypted files are given an .enc extension, and the original files are erased. SimpleLocker
This ransomware is known as RSA-2048 encryption, but it performs encryption based actually on AES-CBC. This ransomware encrypts files with specific extensions such as .doc, .ppt, .js, and .txt on the fixed drive. TeslaCrypt
This ransomware emerged in 2013, and it encrypts the first 512 bytes of a file based on polyalphabetic substitution. CryptorBit
This ransomware performs encryption based on private key-based cryptographic algorithm. Unlike the other private key-based encryption algorithms, however, it uses parts of files as a key instead of generating the key separately. Trojan.Win32.Filecode

جدول شماره ۳

Description

Name
This ransomware emerged in March 2016, and it is the first ransomware targeting the OS X operating system. This ransomware generates a random number based on RSA, and a private key is stored in the attacker’s server. The AES key is used to combine a generated random number with IV, and it performs encryption based on the generated AES key. After that, it generates a readmetodecrypt.txt file and informs the user of the payment method, which is Bitcoin. KeRanger
This ransomware emerged in April 2014, and it propagates via spam mail, malicious Ads, infected sites, and so on. This ransomware generates a private key based on RSA-2048 and sends it to the server; after that, it encrypts files based on the generated private key. It informs the user that the “Decryption key will be deleted” after a specific period of time in order to pressure the user into paying. CryptoWall

نمونه های حملات اولیه باج افزارها با استفاده از ایمیل و ارسال اسپم صورت گرفت. با توسعه تکنولوژی، باج افزارها گسترش حملاتی مبتنی برSocial networking service) SNS) و پیغامهای تلفنهای هوشمند هستند. همچنین با استفاده از تکنیکهای مهندسی اجتماعی درصدد ایجاد حملاتی با جوامع هدف بزرگتر به منظور تحت تاثیر قرار دادن افراد بیشتری هستند. باتوجه به اینکه توسعه فناوری باج افزار سریعتر از توسعه امنیتی سیستمها به وقوع پیوسته است همواره استفاده از ضعفهای سیستم، به یکی از ابزارهای باج افزارها تبدیل شده است به عنوان مثال حملاتی با استفاده از Internet Explorer و Flash player و حملاتی ترکیبی با distributed denial-of-service) DDoS )، از آن جمله است. در این حملات مهاجم با استفاده از ارتباط با سرورهای command-and-control) C&C ) قصد توسعه حملات را دارد. با توجه با اینکه پرداختها به صورت آنلاین و اغلب بیت کوین صورت میگیرد و هویت مهاجمان فاش نمیشود انتظار میرود حملاتی از این دست توسعه و تنوع بیشتری پیدا کنند.
باج افزارها از تکنیک ها سنتی مانند انتشار کدهای مخرب در سیستم قربانی به منظور انتشار، استفاده می کنند. یکی از معمولترین این روشها از طریق دانلود صفحه وب است، زمانیکه کاربر وبسایت مخربی را باز میکند، باج افزار با استفاده از ضعف سیستم به صورت خودکار در سیستم منتشر میشود. باتوجه به اینکه باج افزارها از تکنیک های سنتی code injection بهره می برند، بنابراین حتی چنانچه قربانی تنها از وبسایت بازدید کند باج افزار در سیستم منتشر میشود.
فرآیند انتشار باج افزار شامل پنج مرحله است:
i. جستجوی قربانی، که باج افزار از طریق اسپم و یا سایر روشها منتشر شده و به شناسایی او می پردازد.
ii. مرحله اجرا، که در آن باج افزار منتشر شده با استفاده از تکنیک های مهندسی اجتماعی بدون آگاهی قربانی، در سیستم او اجرا میشود؛ به عنوان مثال CryptoLocker بصورت آیکون فایلهای PDF نمایش داده شده درحالیکه یک فایل اجرایی است و با کلیک بر آن فایلی نمایش داده نمی شود بلکه باج افزار اجرا شده و شروع به فعالیت می کند. زمانیکه باج افزار اجرا میشود یک Session key و Internal Verification) IV )به منظور ایجاد ارتباط با تهیه کننده حمله ایجاد میشود.
iii. مرحله سوم تولید کلید رمزنگاری فایلها است. در روش رمزنگاری بر مبنای کلید عمومی، باج افزار secret key ای جهت رمزنگاری فایلها تولید و کلید تولید شده بر مبنای کلید عمومی مهاجم رمزنگاری و به او ارسال می شود. سپس مهاجم با استفاده از آن secret key فایلهای قربانی را رمزنگاری میکند. در حالت رمزنگاری بر مبنای کلید خصوصی، باج افزار بر مبنای secret key تولید شده فایلها را رمزنگاری کرده و secret key را از طریق session key تولید شده رمزنگاری کرده و به مهاجم ارسال میکند.
iv. مرحله اصلی رمزنگاری است که در آن باج افزار بر مبنای کلید رمزنگاری تولید شده فایلها را رمزگذاری میکند.
v. نمایش پیغام درخواست پرداخت است. معمولا به صورت یک فایل متنی و یا به صورت یک تصویر در صفحه نمایش قربانی دیده میشود.
 

اقداماتی که در گدشته صورت می گرفت

آنتی ویروس های سنتی از روشهای مبتنی بر امضا به منظور شناسایی و مقابله با بدافزارها استفاده می کنند، به همین علت شناسایی کدهای مخرب جدید در این محصولات مشکل خواهد بود.در عمل شناسایی باج افزارها به دلیل عملیت رمزنگاری پس از اجرا و نصب مشکل است. در این بخش به معرفی اقداماتی که به منظور حل مسایل بیان شده ارایه شده است، پرداخته می شود.
– شناسایی مبتنی بر فایل: این روش بر مبنای شناسایی امضا منحصربفرد برخی اقدامات مخرب در فرمت خاص است( به عنوان مثال فایلهای Portable excutable) PE) ). مزیت این روش شناسایی سریع است لیکن احتمال تشخیص نادرست، عدم شناسایی فرمت های جدید و کدهای مخرب ناشناخته وجود دارد.
– شناسایی مبتنی بر سیستم: در این روش به شناسایی رفتارهای مخرب در یک سیستم پرداخته و همچنین بررسی های یکپارچگی و بلوکه سازی برخی رفتارها نیز صورت میگیرد. بررسی های یکپارچگی به صورت تست دوره ای فایلها به منظور تایید یکپارچگی آنها، با توجه به مقدار هش فایلهای اجرایی و دایرکتوری های یک سیستم پاک صورت می گیرد. بلوکه سازی رفتارهای مخرب، بر مبنای پایش رفتار کل سیستم انجام می شود. بنابراین زمانیکه رفتار مخربی شناسایی می شود، با استفاده از یک آنتی ویروس فرآیند ردیابی و بلوکه می شود.
– روشهای تشخیص مبتنی بر منابع: این روش شامل پایش یک منبع مشخص، به منظور شناسایی رفتارهای مخرب است. منابع هدف پایش شامل میزان مصرف پردازنده و I/O است. شناسایی رفتار مخرب از طریق بررسی اطلاعات منابع در یک سیستم پاک توسط آنتی ویروس و جمع آوری آنها و سپس شناسایی رفتارهایی که مطابق با این الگو نبوده است.
– روشهای شناسایی مبتنی بر ارتباطات: این روش شامل بررسی وضعیت اتصالات است. در باج افزارهای مبتنی بر کلید عمومی، باج افزار یک secret key رمزنگاری از سرور مهاجم مانند C&C دریافت میکند؛ بنابراین باج افزار درصدد برقراری ارتباط با این سرور خواهد بود. چنانچه آنتی ویروس این ارتباطات را شناسایی و مسدود کند، باج افزار امکان ارتباط با سرور و رمزنگاری فایلها را نخواهد داشت زیرا کلید رمزنگاری دریافت نشده است.
– مهندسی معکوس: این روش شامل بازیابی فایلهای رمزنگاری شده و یا کشف کلید ذخیره شده در باج افزار با استفاده از مهندسی معکوس آن است. مزیت این روش در بازیابی فایلهایی است که مورد هجوم باج افزارهایی که آنتی ویروسها قادر به شناسایی آن نبوده اند، است. ایراد بزرگ ایم روش در عدم امکان بازیابی فایلهایی است که حاوی کلید رمزنگاری نیستند.

روشهای پیشنهادی مقابله با باج افزارها

در بخش پیش در ارتباط با مشکلاتی که در مقابله با باج افزارها مطرح است، پرداخته شد. یک روش برای کاهش آسیب ها، بازیابی کلید رمزنگاری است. باج افزار رمزنگاری و رمزگشایی فایلها را براساس یک کلید اشتراکی انجام میدهد، معمولا با توجه به مشکلات پیاده سازی دو کلید از یک کلید مجزا برای رمزنگاری و رمزگشایی استفاده نمیکند. علت این امر مشکلات مهاجمان در مدیریت کلیدهای مختلف در زمان حملات گسترده ایست که تعداد قربانیان بالایی دارد. بنابراین چنانچه یکی از قربانیان با پرداخت مبلغ مورد نظر مهاجم کلید رمزنگاری را دریافت کند، با به اشتراک گذاشتن کلید سایر قربانیان نیز امکان رمزگشایی فایلهای خود را خواهند داشت. برای حل این مشکل تکنیک پیشگیری از طریق کلید پشتیبان ارایه شده است.

مفاهیم و ساختار این رویکرد

مهاجمان برای اجرای حمله باج افزاری موفق ملزم به تامین پیش نیازهایی هستند. اولین مساله وجود یک راه مطمعن جهت ورود به سیستم قربانی است. معمولا افراد با استفاده از نصب آنتی ویروسها از سیستم خود محافظت میکنند، بنابراین سازندگان باج افزار ملزم به استفاده از تکنیک های خاصی مانند zero-day attack و یا استفاده از ضعفهای سیستم به منظور عبور از سیستم های دفاعی هستند. مساله دوم، پس از ورود باج افزار، رمزنگاری فایلها و یا Rootkit، باید بگونه ای که صورت گیرد که آنتی ویروسها قادر به شناسایی آن نباشند. سوم، سازندگان باج افزار معمولا از کدهای ساخت خود و یا از library سیستم عامل به منظور رمزنگاری فایلها استفاده می کنند. الگوریتمی رمزنگاری مهمترین بخش این حمله است. به عنوان مثال الگوریتم های رمزگذاری و رمزگشایی سیستم ها، قابلیت بازیابی کلید در صورت پیاده سازی نارکارآمد رمزنگاری. با توجه با اینکه تامین الزامات براس سازندگان باج افزار مشکل است برخی از آنها جهت اطمینان از cryptography libraries استفاده می کنند. گام نهایی، تعداد کلیدها تولید شده معادل تعداد سیستمهای آلوده خواهد بود، البته سازندگان از یک کلید برای مدیریت ساده کلیدها استفاده می-کنند.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

فرض

در این بخش تمرکز ویژه، بر تامین الزامات مراحل سوم و چهارم بیان شده در مرحله پیش است. همانگونه که پیشتر بیان شد، سازندگان باج افزارها به دلیل اطمینان بالاتر استفاده از cryptography libraries، تمایل به استفاده از آنها در عوض کدهای خود دارند. سیستم های مبتنی بر ویندوز از چندین cryptography libraries تجاری استفاده می کنند و جدیدترین نسخه آن CNG library است که در نسخه های ویندوز ۷، vista و ۸ استفاده شده است. با این فرض باج افزار با استفاده از CNG library و یا دانلود کدهای رمزنگاری از یک سرور خارجی، فایلها را رمزگذاری میکند. از منظر کلید رمزنگاری باج افزار ملزم به تولید یک کلید و یا دریافت کلید از یک سرور خارجی است.
– تولید و ورود توابع مورد نیاز جهت ایجاد کلید: BCryptGenerateSymmetricKey و BCryptGenerateKeyPair توابعی به منظور تولد کلید و BCryptImportKey و BCryptImportKeyPair توابعی به منظور ورود کلید مورد استفاده قرار میگیرد
– رمزنگاری و رمزگشایی:تابع BCryptEncrypt function به منظور رمزگذاری و تابع BCryptDecrypt به منظور رمزگشایی مورد استفاده قرار میگیرد. در این مقاله فرض بر استفاده از CNG library به منظور رمزنگاری استفاده شده است، بنابراین برنامه های مقابله با باج افزار، از کلید تولید شده و تابع ورود کلید پشتیبان گیری کرده و کلید بدست آمده در محلی امن در سیستم قربانی و یا به سرور احراز هویت و یا CA ارسال میشود. چنانچه مراحل تولید کلید و ورود آن اجرا نشوند، در اینصورت باج افزار کلید رمزنگاری را در داخل فایل خود قرار دهد، بنابراین برنامه های مقابله با این قبیل حملات از کلیدها در حین رمزنگاری پشتیبان تهیه می کنند. شکل شماره ۲ ساختار رمزنگاری باج افزار مبتنی بر استفاده ازCNG library نمایش میدهد.
• گام اول: باج افزار نفوذ به سیستم قربانی را آغاز و روند رمزنگاری را آغاز میکند
• گام دوم: باج افزار CNG library را جهت اجرای روند رمزنگاری لود میکند، این مرحله با تولید کلد رمزنگاری ادامه می یابد.
• گام سوم: باج افزار فایلهای سیستم قربانی مانند فرمتهای .JPG و .DOC را رمزنگاری میکند.

 راهکاری مقابله با باج افزارها
ساختار باج افزار در بخش پیشین شرح داده شد. این ساختار بر مبنای استفاده از تابع BCryptGenerateSymmetricKey از CNG library، secret key را تولید و یا با استفاده از تابع BCryptGenerateKeyPair از CNG library یک جفت کلید عمومی خصوصی تولید میشود. راهکارهای مقابله با استفاده از جستجوی CNG library به تهیه فایل پشتیبان از secret key از تابع BCryptGenerateSymmetricKey function و همچنین تهیه پشتیبان از کلید عمومی-خصوصی از تابع BCryptGenerateKeyPair می پردازند. سپس زمانیکه باج افزار کلید رمزنگاری را اجرا کند، کد به دست آمده توسط برنامه های پیشگیری شناسایی میشود. درصورتیکه باج افزار کلیدی تولید نکرده و از کلید داخلی خود استفادذه کند، برنامه ها در حین عملیات رمزنگاری کلید را شناسایی و ذخیره میکنند. به منظور ورود کلید، باج افزار توابع BCryptImportKey در شرایط رمزنگاری بر مبنای secret-key و تابع BCryptImportKeyPair در شرایط رمزنگاری public-key، فراخوانی میکند، بنابراین برنامه ها دسترسی باج افزار به این توابع را در شرایط فراخوانی تابع مسدود میکنند. با این حال چنانچه برنامه های پیشگیری کلید رمزنگاری را در مراحل فوق به دست نیاورند، سعی در کسب آن درحین عملیت رمزنگاری خواهند داشت. شکل شکاره ۳ تکنیک مورد استفاده برنامه های پیشگیری را نمایش میدهد:
• گام اول:در این مرحله نفوذ باج افزار در سیستم قربانی و اجرای عملیات رمزنگاری آغاز شده است، در این مرحله برنامه های پیشگیری اجازه اجرای عملیات رمزنگاری را میدهند و تلاشی برای مسدودسازی آن انجام نمی دهند زیرا امکان تشخیص برنامه های سیستم مانند IE و Outlook از برنامه های باج افزار در این مرحله ممکن نیست.
• گام دوم: زمانیکه باج افزار درصدد تولید کلید و یا ورود آن توابع موجود در CNG library را فراخوانی میشود، در این مرحله کد دریافتی توسط باج افزار وارد فرآیند کنترل و پیشگیری میشود. کلید ایجاد شده در بخش امن ( که میتواند بصورت یک ماژول در آنتی ویروس باشد) نگهداری میشود. کلید استخراج شده که در محلی امن همچون سرورهای احراز هویت و یا CA نگهداری شده .و الگوریتم های مبتنی بر رمزنگاری و یا certificate، به منظور حفاظت از آن استفاده میشود. حال سیستم قربانی با استفاده از این کلید امکان بازیابی فایلهای سیستم را خواهد داشت.
• گام سوم: چنانچه برنامه های پیشگیری کلید رمزنگاری را به دست نیاورند، در طول عملیات رمزنگاری سعی در شناسایی کلید خواهند داشت. که مراحل ذخیره سازی و بازیابی این کلید نیز مطابق گام دوم خواهد بود.

آشنایی با SIEM و ضرورت پیاده سازی در شبکه

SIEM چیست؟

Security information and event management )SIEM ) همچون سیستم های رادار در سیستم کنترل ترافیک هوایی عمل می کند و بدون حضور آن شرکت های فناوری اطلاعات کنترلی بر سیستم های خود نخواهند داشت. اگرچه سیستم ها و نرم افزارهای امنیتی در شناسایی و ثبت حملات غیرمعمول عملکرد مناسبی دارند، لیکن امروزه تهدیدات پیچیده تر شده اند، به علاوه این تهدیدات در سطح وسیع تری توزیع می شوند و از تکنیک های پیشرفته ای به منظور جلوگیری از ردیابی استفاده می کنند. بدون وجود SIEM، حملات قابلیت گسترش سریع و ایجاد تلفات جبران ناپذیری را خواهند داشت.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

امروزه لزوم برخورداری از SIEM با افزایش پیچیدگی حملات و استفاده گسترده از سرویس های مبتنی بر ابر، که سطح آسیب پذیری شبکه ها را افزایش می دهد، مشهود است. 
در این کتابچه راهنمای خریداران، به ماهیت راهکارهای SIEM، روند تکامل آنها و نحوه انتخاب مناسب ترین روش متناسب با نیازهای سازمان ها پرداخته شده است.
گارتنر، SIEM را چنین معرفی می کند که SIEM یک فناوری با قابلیت شناسایی تهدیدات و پاسخ امنیتی مناسب در زمان حملات، از طریق مجموعه ای به روز و تحلیل طیف وسیعی از رخدادهای امنیتی است.
در حقیقت SIEM بستری امنیتی است که گزارش رخدادها را دریافت و یک نتیجه کلی به همراه تحلیل های تکمیلی ارایه می دهد.

روند تکامل SIEM

SIEM یک فناوری جدید نبوده و پایه های آن سابقه ای ۱۵ ساله دارد. با گذشت زمان SIEM بیشتر به بستری اطلاعاتی تبدیل شد، که به جمع آوری گزارشات فایروال ها و سایر ابزارها می پردازد؛ لیکن تکنولوژی SIEM معمولا پیچیده و تنظیم آن مشکل بوده و امکان توسعه آن وجود نداشت.
موارد فوق الذکر، SIEM را به سمت اتخاذ رویکردی با انعطاف پذیری بیشتر سوق داد. امروزه این مسئله با توجه به توسعه استفاده از راهکارهای مبتنی بر ابر و تحولات دنیای دیجیتال که کلیه جنبه های زندگی را تحت تاثیر قرار داده اند، اهمیت ویژه ای یافته است.
درک تفاوت صورت قدیمی SIEM و نوع تحلیلی مدرن آن حائز اهمیت است، که در ادامه به این مساله پرداخته خواهد شد. لیکن درک موارد استفاده از SIEM و شناسایی دقیق نیازهای سازمان در تشخیص بهترین راهکار متناسب با نیازها، اهمیت ویژه ای دارد. این مساله نیاز به تمایز میان شیوه های سنتی SIEM و راهکارهای مدرن تحلیلی آن را آشکار می سازد.
 شیوه های سنتی SIEM منسوخ شده است

به طور نسبی یافتن مکانیسم جمع آوری، ذخیره و تحلیل امنیتی داده ها ساده است. هیچ کمبودی از لحاظ ذخیره اطلاعات وجود ندارد. لیکن جمع آوری کلیه اطلاعات امنیتی و تبدیل آن به سیستم هوشمند عملیاتی موضوعی متفاوت خواهد بود. اغلب شرکت های IT که در بستر SIEM سرمایه گذاری کرده اند، در مواجه با این مسئله ناتوان بوده اند.
پس از صرف زمان و هزینه های گزاف، مشکل اصلی در رفتار استاتیک سیستم های ارایه دهنده اطلاعات امنیتی، SIEM است. اطلاعات موجود به منظور ارایه تحلیل ها، مبتنی بر رخدادهای امنیتی است، که موجب تشدید مشکل فوق خواهد شد. این موضوع معضل ایجاد ارتباط میان رخدادهای امنیتی و سایر اتفاقاتی که در سراسر یک شبکه به وقوع می پیوندد، را پیچیده تر می کند. زمانی که یک رخداد امنیتی اتفاق می افتد، تحقیق در ارتباط با این موضوع زمان ارزشمند شرکت های IT را هدر می دهد. راهکارهای سنتی SIEM، امکان تطبیق با سرعت مورد نیاز جهت بررسی رویدادهای امنیتی را نداشتند.
پذیرش گسترده سرویس های مبتنی بر ابر موجب گسترش تهدیدات امنیتی نیز شده است، از این روی شرکت ها ملزم به پایش فعالیت های کاربران، دسترسی نرم افزارها، software-as-a-service) SaaS) و سرویس های محلی ارایه شده، به منظور تعیین محدوده کامل تهدیدات و شناسایی حملات بالقوه هستند.
شکل زیر محدودیت های راهکارهای سنتی SIEM را نمایش می دهد.

معایب راهکارهای سنتی SIEM

موضوع/معضل نتیجه
عدم امکان استفاده از اطلاعات مورد نیاز محدود شدن حوزه ­های شناسایی، تشخیص و واکنش
نگهداری و اداره مشکل افزایش پیچیدگی و نیاز به نیروی متخصص
High false negative and  positives افزایش بار کاریsoftware-as-a-service) SecOps)
ناپایدار وجود وقفه­ ها و قطعی
داده­ های انعطاف­ناپذیر امکان سازگاری با شرایط بحرانی وجود ندارد
جریان کاری ایستا محدودیت های بیشتر
عدم امکان شناسایی تهدیدات جدید افزایش ریسک کسب و کار

استفاده از SIEM مبتنی بر تحلیل به عنوان یک راهکار جایگزین

امروزه شرکت های IT نیازمند راهکاری ساده به منظور ایجاد ارتباط میان دیتای مرتبط با رخدادهای امنیتی هستند. این راهکار کارمندان IT را در مدیریت وضعیت امنیتی یاری خواهد کرد. به این ترتیب یک شرکت فناوری اطلاعات به جای نقش ناظر بر رخدادها، قادر به پیش بینی آنها و انجام اقدامات لازم جهت رفع نقاط آسیب پذیر خواهد بود. بنابراین بستر SIEM تحلیلی به منظور رفع چنین نیازهایی ارایه شده است.
در این بخش به بیان تفاوت های میان صورت سنتی SIEM و نوع تحلیلی آن پرداخته می شود. گارتنر در زمینه تمایز این دو بیان می کند: SIEM مدرن با مساله ای بیش از دیتای گزارشات و اعمال ارتباط تحلیلی میان آنها برخورد دارد.
راهکار SIEM مبتنی بر تحلیل به پایش لحظه ای تهدیدات پرداخته و واکنش سریعی در مقابله با رخدادهای امنیتی نشان می دهند، در نتیجه از بروز آسیب جلوگیری کرده و سطح حملات را محدود می کنند. لیکن تمام این حملات صورت گرفته خارجی نبوده اند و پرسنل IT ملزم به پایش فعالیت های کاربران خود نیز هستند، بنابراین احتمال تهدیدات داخلی و هرگونه مصالحه ناخواسته ای کاهش می یابد. درک سیستم هوشمند مقابله با تهدیدات به طور گسترده و قرار دادن این مفاهیم در سطح یک سازمان، حیاتی است.
SIEM مبتنی بر تحلیل با قابلیت های واکاوی امنیتی برتر، تیم های IT را در استفاده از روش های کمی پیشرفته به منظور درک بهتر رخدادها و اولویت بندی واکنش ها یاری می کند. در نهایت امروزه SIEM به عنوان بستر اصلی رویارویی با تهدیدات، به ابزارهای پیشرفته و تخصصی جهت مقابله با حملات پیشرفته امروزی نیازمند است.
تفاوت عمده میان SIEM مدرن و صورت سنتی آن در انعطاف پذیری آن نسبت به محیط های مختلف و قابلیت استقرار آن به صورت محلی، ابری و در محیط های هیبریدی است. شکل زیر دلایل اصلی یک سازمان در انتخاب SIEM مدرن به جای شکل سنتی آن را نمایش می دهد.

دلایل عمده جایگزینی SIEM جدید

معماری سنتی SIEM اغلب از ساختار قدیمی، از یک طرح ثابت به همراه دیتابیس SQL استفاده می کنند. در چنین ساختاری محدودیت هایی چون توسعه در مقیاس های وسیع تر، کارایی و single point of failure  (SPOF  وجود دارد.

۱٫ محدودیت های امنیتی : با توجه به محدودیت های نوع داده های ورودی، همواره محدودیت های در زمینه شناسایی، بررسی و زمان واکنش مناسب وجود خواهد داشت.

۲٫ ناتوانی در ورود کارآمد اطلاعات: ورود اطلاعات در شکل سنتی SIEM فرآیندی پرهزینه و مشکل است.

۳٫ فرآیند تحقیق و بررسی به کندی صورت می گیرد: با استفاده از شکل سنتی SIEM، اقدامات پایه همچون جستجوی ساده در گزارشات اولیه در این فرآیند بسیار زمان بر بوده و اغلب ساعت ها و روزها به منظور تکمیل گزارش، مورد نیاز است.

۴٫ عدم پایداری و مقیاس پذیری : هر اندازه حجم دیتابیس مبتنی بر SQL بیشتر می شود، میزان پایداری آن کاهش می یابد. مشتریان اغلب از کارایی ضعیف و تعداد وقفه های بالا به علت عملکرد پایین سرورها اظهار نارضایتی دارند.

۵٫ چشم انداز نامشخص و غیرقابل پیش بینی : با تغییر مالکیت فروشندگان SIEM، رشد حوزه های تحقیق و توسعه (R&D) آنها کاهش یافته است. بدون سرمایه گذاری های مستمر و نوآوری های لازم، راهکارهای امنیتی، قدرت سازگاری با رشد روزافزون حوزه تهدیدات را نخواهند داشت.

۶٫ اکوسیستم محدود : فروشندگان SIEM سنتی، اغلب قدرت ادغام با سایر ابزارهای موجود در بازار را ندارند. مشتریان ملزم به استفاده از هر آنچه در SIEM گنجانده شده، و یا صرف هزینه های بیشتر جهت دریافت خدمات سفارشی هستند.

۷٫ محدود به روش استقرار محلی : SIEM سنتی، تنها قابلیت استقرار به صورت محلی را داشته و امکان توسعه آن در محیط های ابری و هیبریدی وجود ندارد.

 انتقال SIEM به ابر

اجرای SIEM در ابر و یا ارایه آن به عنوان SaaS، امکان رفع مشکلات بسیاری از سازمان ها با سیستم های هوشمند امنیتی خود را فراهم می کند، زیرا در حال حاضر بسیاری از مدیران IT اطمینان لازم به لحاظ تامین امنیت ابر را ندارند. پیش از تصمیم گیری در ارتباط با حذف SIEM مبتنی بر ابر، باید توجه داشت استقرار تکنولوژی های امنیتی در سرویس های وسیع ابری بی اندازه پیچیده تر از سیستم های مستقر شده در شرکت ها و سازمان ها است، بنابراین حذف SIEM مساله تامین امنیت در ابر را پیچیده تر خواهد کرد.
در حال حاضر SaaS به صورت گسترده ای در بسیاری از سیستم های مهم شرکت ها همچون CRM، HR و ERP استفاده می شود. همان گونه که استفاده از SaaS در نرم افزارهای سازمان ها موجب سرعت، استقرار ساده، بار عملیاتی کمتر، به روزرسانی خودکار، میزان صورت حساب پرداختنی متناسب با مصرف تبدیل کرده است. زیرساخت مستحکم، ابر را به یکی از بهترین گزینه ها برای SIEM تبدیل کرده است.
استفاده از راهکارهای مبتنی بر ابر امکان استفاده از طیف عظیمی از اطلاعات موجود در سیستم های محلی و ابری را فراهم می کند. با توجه به انتقال بار کاری بسیاری از سازمان ها به بسترهای LaaS ،platform-as-a-service) PaaS (infrastructure-as-aservice)و SaaS، سهولت ادغام با سیستم های third-party گویای اهمیت SIEM در ابر است. مزایای اصلی انتقال SIEM به ابر شامل انعطاف پذیری معماری هیبریدی، به روزرسانی خودکار نرم افزارها و پیکربندی ساده تر، زیرساخت قابل توسعه، قابلیت های کنترلی فراوان و دسترس پذیری بالا است.

موارد استفاده از SIEM در شرکت ها

اکنون با آگاهی از روند تکامل SIEM و ویژگی های نوع مدرن تحلیلی آن، به بیان موارد امنیتی که با استفاده از SIEM قابل حل است، پرداخته می شود. 
مهمترین نیازهای تیم های امنیتی شرکت ها شامل، تشخیص زودهنگام، واکنش سریع و مشارکت در کاهش تهدیدات است. ارایه گزارشات و پایش رخدادهای امنیتی دیگر به تنهایی پاسخگو نخواهد بود. مدیران امنیتی سازمان ها نیازمند اطلاعات وسیع تری از کلیه منابع تولید داده ها در سراسر یک سازمان شامل بخش های IT، ابری و کسب و کارها است. سازمان ها به منظور جلوگیری از حملات خارجی و اقدامات مخرب داخلی، نیازمند راهکارهای پیشرفته با قابلیت شناسایی و پاسخگویی سریع، بررسی رخدادها و هماهنگ با سناریوهای  CSIRT  Computer Security Incident Response Team) است. علاوه بر این سازمان ها نیازمند شناسایی و واکنش در مقابل تهدیدات شناخته شده، ناشناخته و پیشرفته هستند.
تیم های امنیتی سازمان ها، نه تنها با هدف رفع موارد امنیتی معمول بلکه به منظور جلوگیری از رخدادهای امنیتی پیشرفته تر ملزم به استفاده از SIEM هستند. با توجه به توسعه پویای و سریع حوزه تهدیدات، انتظار می رود SIEM مدرن قابلیت هایی از جمله موارد زیر را دارا باشد:
• متمرکز کردن و جمع آوری کلیه رویدادهای امنیتی در زمان وقوع آن در منبع ایجاد شده
• پشتیبانی از انواع مکانیزم های دریافت، جمع آوری مانند syslog، انتقال فایل، مجموعه فایل-ها و …
• سیستم های هوشمند مقابله با تهدیدات
• هماهنگی و هشدار در ارتباط با طیف وسیعی از داده ها
• شناسایی تهدیدات جدید و شناخته نشده
• شناسایی مشخصات یک رفتار در سراسر سازمان
• ورود کلیه اطلاعات (کاربران، نرم افزارها) و طرح آنها بگونه ای که قابل استفاده باشد .  پایش، هشدار، بررسی، ad hoc searching 
• ارایه ad hoc searching و گزارش تحلیلی داده به منظور تجزیه و تحلیل نقاط ضعف سیستم
• بررسی رخدادها و انجام تحقیقات قانونی به منظور تحلیل دقیق حوادث
• ارزیابی و گزارش وضعیت compliance
• بکارگیری تحلیل ها و گزارشات در وضعیت های امنیتی مختلف
• پیگیری اقدامات مهاجم با استفاده از تحلیل ad hoc دقیق و بررسی توالی رویدادها
اگر چه اطلاعات SIEM، اغلب از سرورها و ابزارهای گزارش گیری شبکه به دست آمده است لیکن می تواند از داده های کسب شده از ابزارهای امنیتی endpoint و شبکه، نرم افزارها، سرویس های ابر، سیستم های احراز هویت و تعریف مجوزهای دسترسی و پایگاه های داده آنلاین تهدیدات و نقاط ضعف موجود، استفاده کند. لیکن جمع آوری اطلاعات تنها نیمی از مجموعه فرآیند است. پس از گذار از مرحله جمع آوری نرم افزار SIEM، ارتباط مجموعه اطلاعات به دست آمده را در جستجوی شناسایی هر گونه رفتار غیر معمول، ناهنجاری سیستمی و هر گونه نشانه ای از یک رخداد بررسی می کند. این اطلاعات نه تنها به منظور ارایه هشدارهای آنی، بلکه به منظور بررسی و گزارش compliance، عملکرد داشبوردها، تحلیل معکوس و بررسی قانونی رخدادها پس از وقوع، استفاده می شود.
با توجه به رشد پیچیدگی و تعداد تهدیدات امنیتی به همراه افزایش ارزش دارایی های دیجیتال سازمان ها، استفاده از راهکارهای SIEM مبتنی بر تحلیل به عنوان بخشی از اکوسیستم امنیتی سازمان ها، تعجب آور نخواهد بود.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای SIEM را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

آیا حقیقتا نیازمند SIEM هستید؟

اکنون با آگاهی از موارد استفاده از SIEM، می توان تصمیم گیری های لازم در خصوص اینکه چه سازمان هایی نیازمند استقرار SIEM هستند، گرفت. ممکن است سازمانی نیازمند استقرار سیستم امنیتی پیشرفته نبوده و تنها استفاده از یک راهکار ساده مانند Central log management CLM پاسخگوی نیازهای آن باشد. به منظور کسب اطلاعات بیشتر به بخش Splunk Enterprise for security and log management مراجعه کنید.
راهکار مدیریت مرکزی گزارش ها چیست؟ CLM به عنوان راهکاری با قابلیت مدیریت مرکزی و بررسی اطلاعات وقایع ثبت شده، شناخته می شود. اطلاعات وقایع شامل اطلاعات تولید شده در پیام های سیستمی است که شامل وقایع روزمره یک کسب وکار، شرکت و یا نمایندگی های آنها می باشد؛ در ضمن اغلب به عنوان یک منبع پنهان در زمان رفع مشکلات و یا تلاش برای دستیابی به اهداف کسب وکار مورد استفاده قرار می گیرند. 
هدف از مدیریت ثبت وقایع، جمع آوری اطلاعات تولید شده توسط سیستم ها و تبدیل آن به اطلاعات قابل جستجو و گزارش است. بطور کلی CLM در بررسی حوادث و دسته بندی هشدارها کمک شایانی می کند. 
مدیریت رویدادهای ثبت شده به عنوان اصلی ترین پایه SIEM و دلیل پیدایش آن شناخته می شود. Anton Chuvakin، یکی از تحلیلگران مشهور SIEM است او در بررسی دلایل کاربری SIEM در سازمانی که نیاز به دید جامعی نسبت به وقایع رخ دارد، چنین بیان می کند: “این موضوع که از SIEM به عنوان تجمیع کننده وقایع ثبت شده استفاده می¬کنید، لزوما بدین معنا نیست که SIEM تنها برای این هدف قابل استفاده است.” به بیان دیگر چنانچه تنها با هدف جمع آوری اطلاعات وقایع ثبت شده از SIEM استفاده می کنید، راهکاری با هزینه بالا جهت دستیابی به هدف خود اتخاذ کرده اید. 
نکته اصلی در کاربری SIEM به هر دو شکل پایه و پیشرفته است. در انتهای روند تکامل SIEM راهکار نوآورانه Gartner با نام  UEBA  قرار دارد. اسامی دیگری برای این دسته از راهکارها وجود دارد؛ به عنوان مثال تحلیل امنیتی رفتار کاربران Forrester و Splunk UBA. کلیه این روش ها از شیوه های متفاوتی در ارجاع به تکنولوژی مشابه بهره می گیرند.
از UBA به منظور شناسایی و مقابله با تهدیدات داخلی و خارجی بهره گرفته می شود. در ضمن UBA، به عنوان راهکار پیشرفته امنیتی مورد استفاده قرار می گیرد، زیرا به عنوان پایه ای با توانایی آگاه شدن از فعالیت های معمول کاربر و ارایه هشدارهای لازم در صورت مشاهده رفتارهای غیرمعمول، شناخته و بکار گرفته می شود. با توجه به این مثال برای ایجاد یک پایه مناسب مورد استفاده در سیستم های امنیتی، UBA بایست فعالیت هایی همچون موارد زیر را ردیابی کند:
• محلی که کاربر به صورت معمول برای ورود به سیستم مورد استفاده قرار می دهد.
• مجوزها و دسترسی کاربر
• فایل ها، سرورها و برنامه هایی که کاربر به آن دسترسی دارند.
• ابزارهایی که کاربر معمولا برای ورود به سیستم مورد استفاده قرار می دهد.
برخی از فروشندگان UBA در تلاش جهت ورود به بازار SIEM هستند، لیکن مساله مورد توجه این است که UBA به تنهایی نمی تواند جایگزین SIEM شود. UBA، تنها به عنوان یک تکنولوژی امنیتی مطرح است. راهکارهای UBA در کنار SIEM قابل استفاده است. به همین صورت CLM نیز یک راهکار SIEM نیست.

 

راهکارهای احراز هویت ایمیل با استفاده Cisco ESA بخش اول

 مقدمه

در این مقاله به بررسی سه تکنولوژی برتر احراز هویت ایمیل شامل DKIM ، SPF، MARC و جنبه­ های مختلف استقرار هر یک از آنها پرداخته می­شود. چندین ساختار معماری ایمیل به همراه دستوالعمل ­های پیاده ­سازی آنها در محصولات امنیت ایمیل سیسکو ارایه شده است. با توجه به اینکه این مقاله به صورت یک راهنمای عملی ارایه شده است، از بیان برخی موارد پیچیده اجتناب شده است. همچنین در صورت لزوم برخی مفاهیم بشکل ساده و فشرده ارایه شده است.

 پیش نیازها

خواننده این مقاله برای درک مطالب آن ملزم به آگاهی از ابزارهای امنیت ایمیل سیسکو است. علاوه ­بر­این خواننده می­بایست آگاهی لازم در خصوص DNS و SMTP و فرآیندهای آنها و اصول اولیه SPF، DKIM و DMARC داشته باشد.

بررسی اجمالی راهکارهای احراز هویت ایمیل

 پالیسی مبتنی بر فرستنده

چارچوب پالیسی­های مبتنی بر فرستنده برای اولین بار در سال ۲۰۰۶ با عنوان RFC4408 منتشر شد. نسخه کنونی RFC7208 است که در نسخه RFC7372 بروزرسانی شده است. در حقیقت، ساده­ ترین روش برای صاحبان دامنه به منظور ارسال ایمیل ­های معتبر به گیرندگان استفاده از DNS است. اگر چه SPF به­ صورت پیش­فرض مسیر بازگشت (mail from) را بررسی می­کند؛ توصیه می­شود مکانیزیمی جهت احراز هویت آرگومان­های HELO/EHLO، SMTP (FQDN گیت­وی فرستنده در زمان انتقال SMTP ارسال می­شود) وجود داشته باشد. SPF با استفاده از رکوردهای DNS از نوع TXT از ترکیبات ساده­ای چون مورد زیر استفاده می­کند:

 

spirit.com    text = “v=spf1 mx a ip4:38.103.84.0/24 a:mx4.spirit.com include:spf.protection.outlook.com~all”

 

رکورد Spirit Airlines به ایمیل­هایی با آدرس فرستنده حاوی @spirit.com که از آدرسی مشخصی با سابنت ۲۴/ اجازه عبور می­دهد، دو مکانیزم بر حسب FQDN و محیط Microsoft’s Office365 تعریف شده است. عبارت “~all” گیرنده را ملزم به فرض حالت Soft Fail، یکی از دو وضعیت SPF، در ارتباط با ایمیل­ های سایر منابع قرار می­دهد. توجه داشته باشید که فرستندگان از نحوه عملکرد گیرندگان در قبال پیام­ های Fail شده اطلاعی نخواهند داشت، تنها از میزان Fail آنها آگاه خواهند شد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

Delta طرح SPF متفاوتی را مورد استفاده قرار داده است:

Delta.com     text = “v=spf1 a:smtp.hosts.delta.com include:_spf.vendor.delta.com –all”

Delta به منظور به حداقل رساندن تعداد DNS queries، رکورد “A” حاوی لیست کلیه گیت­وی SMTP ایجاد کرده است، همچنین رکورد SPF مجزا برای فروشندگان ایجاد شده است، “_spf.vendor.delta.com”. دستوالعمل­ هایی در خصوص Hard Fail پیام­هایی که از طریق SPF احراز هویت نمی­شوند، ارایه شده است (عبارت “-all”). توضیحات تکمیلی در ارتباط با رکورد SPF فروشندگان به شرح زیر است:

_spf.vendor.delta.com text = “v=spf1 include:_spf-delta.vrli.com include:_spf-ncr.delta.com a:delta-spf.niceondemand.com include:_spf.airfrace.fr include:_spf.qemailserver.com include:skytel.com include:epsl1.com ?all”

بنابراین ایمیل ­هایی که از منبع @delta.com ارسال می­شوند؛ به صورت قانونی به عنوان مثال از گیت­وی ایمیل Air France عبور می­کند. United از طرح SPF ساده ­تری استفاده می­کند:

united.com            text = “v=spf1 include:spf.enviaremails.com.br include:spf.usa.net include:coair.com ip4:161.215.0.0/16 ip4:209.87.112.0/20 ip4:74.112.71.93 ip4:74.209.251.0/24 mx ~all”

علاوه بر گیت­وی ایمیل شرکت خود، ارایه ­دهندگان تجاری ایمیل (به عنوان مثال “usa.net” و “enviaremail.com.br”)، گیت، به همراه کلیه رکوردهای MX (مکانیزم “MX”) بهره می­برند. توجه داشته باشید که MX (گیت­وی ایمیل ورودی برای یک دامنه) مشابه خروجی نخواهد بود. در حالی­که معمولا شرکت­های کوچک معمولا گیت­وی ورودی و خروجی یکسان دارند، لیکن شرکت­های بزرگ زیرساخت مجزایی برای بررسی ایمیل­ های ورودی و خروجی استفاده می­کنند.

لازم به ذکر است که در نمونه ­های فوق از ارجاعات DNS بیشتر (مکانیزم “include”) استفاده شده است. با این­حال برای عملکرد بهتر، مشخصات SPF مجموع جستجوی DNS مورد نیاز جهت دریافت رکورد نهایی تا سطح ۱۰ را محدود می­کند. کلیه جستجوی­های SPF با سطح DNS recursion بالای ۱۰ رد خواهند شد.

DKIM

DKIM مشخص­ شده در RFCs، ۵۵۸۵، ۶۳۷۶ و ۵۸۶۳ ترکیبی از دو طرح Yahoo’s Domain Keys و Cisco’s Identified Internet Mail است؛ که برای ارسال­ کنندگان پیام راهکار ساده­ای جهت رمزنگاری امضا پیام خروجی شامل signatures (به همراه سایر بازبینی­ها در metadata) در DKIM-Signature) email header) قرار داده است. ارسال­ کنندگان پیام کلید عمومی خود را در DNS منتشر می­کنند، بنابراین هر گیرنده­ای به راحتی می­تواند کلید را دریافت و امضا آن را تایید کند. DKIM، امکان احراز هویت منبع فیزیکی پیام را ندارد، ولی با تکیه بر این واقعیت که منبع کلید خصوصی سازمان فرستنده را دارا است، بصورت ضمنی اجازه ارسال پیام تحت مالکیت آنها را دارد.

برای پیاده ­سازی DKIM، سازمان ارسال­ کننده چندین کلید عمومی تولید و در DNS به ­صورت رکورد TXT منتشر می­کند. هر جفت کلید توسط یک “selector” ارجاع داده می­شود، بنابراین DKIM امکان تمایز میان کلیدها را خواهد داشت. پیام خروجی امضا شده و هدر DKIM-Signature وارد می­شود:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=united; d=news.united.com;h=MIME-Version:Content-Type:Content-Transfer-Encoding:Date:To:From:Reply-To:Subject:List-Unsubscribe:Message-ID; i=MileagePlus@news.united.com; bh=IBSWR4yzI1PSRYtWLx4SRDSWII4=; b=HrN5QINgnXwqkx+Zc/9VZys+yhikrP6wSZVu35KA0jfgYzhzSdfA2nA8D2JYIFTNLO8j4DGmKhH1MMTyYgwYqT01rEwL0V8MEY1MzxTrzijkLPGqt/sK1WZt9pBacEw1fMWRQLf3BxZ3jaYtLoJMRwxtgoWdfHU35CsFG2CNYLo=

فرمت امضا قالب ساده­ای دارد. برچسب “a” الگوریتم مورد استفاده به منظور امضا، برچسب “c” مشخص ­کننده طرح­های نرمال­سازی (جهت کسب اطلاعات بیشتر در مورد طرح­های نرمال­ سازی به بخش DKIM canonicalization مراجعه شود.) مورد استفاده، برچسب “s” سلکتور و یا مرجع کلید و “d” دامین امضا کننده است. سایر بخش­های باقی­مانده هدر DKIM-Signature خصوصیات پیغام را مشخص می­کند: “h” لیست هدرهای امضا شده، “i” هویت امضای کاربران و در نهایت هدر به دو هش مجزا ختم می­شود: “bh” مخلوطی از هدرهای امضا شده، در حالی­که “b” مقدار هش برای متن پیام است.

زمانی­که پیغام DKIM-signed دریافت می­شود، گیرنده کلید عمومی را از طریق DNS query جستجو می­کند:

<selector>._domainkey.<signing domain>

همانطور که در هدر DKIM-Signature نیز نشان داده شده است. در مثال بالا Query به صورت “united._domainkey.news.united.com” خواهد بود:

united._domainkey.news.united.com   text = “g=*\; k=rsa\; n=” “Contact” “postmaster@responsys.com” “with” “any” “questions” “concerning” “this” “signing” “\;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC/Vh/xq+sSRLhL5CRU1drFTGMXX/Q 2KkWgl35hO4v6dTy5Qmxcuv5AwqxLiz9d0jBaxtuvYALjlGkxmk5MemgAOcCr97GlW7Cr11eLn87
qdTmyE5LevnTXxVDMjIfQJt6OFzmw6Tp1t05NPWh0PbyUohZYt4qpcbiz9Kc3UB2IBwIDAQAB\;”

رکوردی که بازگردانده می­شود حاوی کلید و سایر پارامترهای اختصاصی است.

مشکل اصلی در DKIM، عدم اجازه انتشار استفاده فرستنده از DKIM در مقدار مشخصه اولیه است. بنابراین چنانچه پیامی که حاوی امضا نباشد، دریافت شود، گیرنده راهی برای درک این موضوع نداشته و در این صورت به احتمال بالا تایید هویت نخواهد شد. امکان تشخیص دامنه DKIM-enabled، در شرایطی که یک سازمان قادر به استفاده از چندین سلکتور است، وجود ندارد. استاندارد مجزایی به منظور پوشش این مساله، Author Domain Signing Practice، منتشر شد ولی در سال ۲۰۱۳ به دلیل عدم استقبال، استفاده از آن منسوخ شد.

احراز هویت پیام مبتنی بر دامین، ارایه گزارش و سازگاری آنها

DMARC ، جدیدترین پروتکل احراز هویت است که به منظور رفع نواقص سایر روش­های احراز هویت SPF و DKIM ارایه شده است. برخلاف دو روش دیگر، DMARC بخش Header From پیام را اعتبارسنجی کرده و ارتباطی میان آن سایر فاکتورهای بررسی شده توسط دو پروتکل دیگر برقرار می­کند. DMARC در RFC7489 تعریف شده است.

مزیت­های DMARC نسبت به روش­های SPF و DKIM شامل موارد زیر است:

  1. اطمینان از هم ­ترازی (مطابقت کامل و یا تابعیت آن) کلیه مشخصه­ های موجود (HELO، MAIL FROM، DKIM signing domain) با From header
  2. صاحب دامنه ارسال­ کننده پیام، امکان ایجاد پالیسی­های امنیتی برای گیرنده پیام جهت تصمیم ­گیری در ارتباط با برخورد با پیام­های fail را خواهد داشت.
  3. صاحب دامنه ارسال­ کننده پیام، امکان دریافت فیدبک لازم در خصوص پیغام­های fail را خواهد داشت؛ بنابراین امکان شناسایی حملات phishing و یا هر گونه خطایی در پالیسی­های SPF/DKIM/DMARC را خواهد داشت.

DMARC از یک مکانیزم ساده پالیسی مبتنی بر توزیع DNS استفاده می­کند:

_dmarc.aa.com text = “v=DMARC1\; p=none\; fo=1\; ri=3600\; rua=mailto:american@rua.agari.com,mailto:dmarc@aa.com\; ruf=mailto:american@ruf.agari.com,mailto:dmarc@aa.com”

تنها بر چسب الزامی در تعیین پالیسی­های DMARC، “p” است، که نحوه برخورد با پیام­های fail را تعیین می­کند؛ که یکی از سه روش none، quarantine و reject در ارتباط با این قبیل پیام­ها اتخاذ می­شود. ارایه گزارش در بسیاری از این پارامترها الزامی است: “rua” معرف آدرس URL (یا به صورت mailto و یا آدرس http:// URL با استفاده از روش POST) که به منظور ارسال گزارش­های تجمیعی در ارتباط با پیام­های Fail از یک دامنه مشخص است. “ruf” معرف URL به منظور ارایه گزارشات فوری در ارتباط با کلیه پیام­های Fail است.

با توجه به ویژگی­های تعریف شده گیرنده پیام ملزم به مطابقت با پالیسی ­های اعلام شده است. چنانچه گیرنده رویکرد متفاوتی را در پیش بگیرد گزارش کاملی به صاحب دامنه ارسال­ کننده پیام ارسال می­شود. یکی از مفاهیم اصلی DMARC هماهنگی شناسه است. هماهنگی شناسه معرف نحوه عبور پیام از تایید هویت DMARC را نمایش می­دهد. SPF و DKIM به صورت مجزا تنظیم شده، و پیام به منظور تامین الزامات DMARC ملزم به تایید کلیه این مراحل است. پالیسی­ های DMARC بگونه ­ای است که فرستنده امکان درخواست ارایه گزارش failure در مواردی که یکی از تنظیمات صحیح و بقیه fail باشند را نیز دارد. این مساله در مثال بالا از طریق بر چسب “fo” که مقدار “۱” به آن اختصاص داده شده است مشخص  می­شود.

دو روش جهت تایید هماهنگی شناسه پیام حالت­های DKIM و SPF وجود دارد که شامل وضعیت­های strict و relaxed است. پیوستگی Strict به معنی FQDN بخش Header From ملزم به تطبیق کامل با شناسه امضای دامنه (بر چسب “d”) از امضا DKIM و یا FQDN مربوط به دستور MAIL FROM SMTP برای SPF است. از سوی دیگر پیوستگی Relaxed بخش Header From FQDN به صورت زیر دامنه موارد فوق قرار می­گیرد. این موارد هنگام ارسال ترافیک به ۳rd party اهمیت ویژه­ای می­یابد.

 الزامات استقرار SPF

SPF برای گیرنده

SPF جزو جدایی­ ناپذیر در پیکربندی سیسکو Email Security Appliance) ESA) و Cloud Email Security virtual appliance است. در ادامه این مقاله هرگونه ارجاعی مرتبط با ESA شاملCisco Email Security) CES) نیز است.

اعتبارسنجی SPF در پالیسی­های Mail Flow تبیین شده است؛ ساده ­ترین راه برای اجرای آن فعال کردن آن در بخش Default Policy Parameters مرتبط با listener مناسب است. چنانچه listener مشابهی برای ایمیل­ های دریافتی و ارسالی استفاده می­کنید، از غیر فعال بودن اعتبارسنجی SPF در پالیسی­های جریان ایمیل حاصل کنید.

باتوجه به اینکه SPF اجازه تایید پالیسی را نمی­دهد، اعتبارسنجی SPF (مشابه DKIM) تنها به تایید پیام و ورود مجموعه­ ای از هدرها برای هر بخش بررسی شده SPF می­پردازد:

Received-SPF: Pass (mx1.hc4-93.c3s2.smtpi.com: domain of
united.5765@envfrm.rsys2.com designates 12.130.136.195 as
permitted sender) identity=mailfrom;
client-ip=12.130.136.195; receiver=mx1.hc4-93.c3s2.smtpi.com;
envelope-from=”united.5765@envfrm.rsys2.com”;
x-sender=”united.5765@envfrm.rsys2.com”;
x-conformance=sidf_compatible; x-record-type=”v=spf1″
Received-SPF: None (mx1.hc4-93.c3s2.smtpi.com: no sender
authenticity information available from domain of
postmaster@omp.news.united.com) identity=helo;
client-ip=12.130.136.195; receiver=mx1.hc4-93.c3s2.smtpi.com;
envelope-from=”united.5765@envfrm.rsys2.com”;
x-sender=”postmaster@omp.news.united.com”;
x-conformance=sidf_compatible

توجه کنید در این پیام دو مشخصه توسط SPF تایید شده ­اند: “mailfrom” به عنوان یک حکم و “helo” به عنوان یک پیشنهاد توسط مشخصه­ ها ارایه شده است. این پیام SPF را عبور خواهد زیرا تنها پیغام قبلی الزامات SPF را تامین می­کند لیکن برخی از گیرندگان فرستنده را به نداشتن رکورد SPF در شناسه HELO ملزم میدارند. بنابراین قرار دادن نام­های گیت­وی میزبان ایمیل خروجی در رکوردهای SPF روش مناسبی خواهد بود.

زمانی­که پالیسی Mail flow پیامی را تایید می­کند، تصمیم­ گیری در ارتباط با اتخاذ واکنش مناسب به مدیران محلی واگذار شده است. این کار با استفاده از قوانین فیلترینگ پیام  spf-status (ایجاد فیلترهای پیام فراتر از محدوده این مقاله بوده و برای دریافت اطلاعات بیشتر به بخش AsyncOS for Email مراجعه کنید.)، یا توسط ساخت یک فیلتر محتوای ورودی و اعمال پالیسی ایمیل ورودی انجام می­شود.

فیلترهای توصیه شده موجب متوقف کردن پیام­های  all ) Fail- در رکورد SPF) ، قرنطینه پیام­های all ) Softfail~ در رکورد SPF) در Policy Quarantine  میشود، در حالی­که این مساله با توجه به الزامات امنیتی سازمان­ها تغییر می­کند. برخی گیرندگان پیام تنها بر چسب پیغام Fail را قرار داده و یا عملی انجام نداده و تنها گزارشی به ادمین ارسال می­کنند.

اخیرا محبوبیت SPF افزایش یافته است ولی بسیاری از دامنه­ ها رکوردهای SPF نادرست و یا ناقص منتشر کرده­اند. توصیه میشود به منظور حفظ امنیت، خواستار قرنطینه کلیه پیام­های SPFfailing باشید، و همه پیام­های قرنطینه را برای مدت محدودی پایش کرده تا از احتمال “false positive” آنها اطمینان حاصل شود.

 چنانچه سرویس ایمیل را برای سایر دامنه­ها و یا ۳rd party ارایه می­دهید

چنانچه سرویس ارسال ایمیل، سرویس­های hosting برای ۳rd party ارایه می­کنید، ملزم به افزودن نام میزبان و IP برای ارسال پیام­ها به رکوردهای SPF آنها هستید. ساده­ ترین راه برای ارایه ­دهندگان سرویس ایجاد رکورد SPF “umbrella” است و مشتریان ملزم به استفاده از مکانیزم “include” در رکورد SPF خود هستند.

suncountry.com text = “v=spf1 mx ip4:207.238.249.242 ip4:146.88.177.148 ip4:146.88.177.149
ip4:67.109.66.68 ip4:198.179.134.238 ip4:107.20.247.57 ip4:207.87.182.66 ip4:199.66.248.0/22
include:cust-spf.exacttarget.com ~all”

همانطور که مشاهده می­کنید Sun Country برخی از ایمیل­ هایش را تحت مدیریت سازمان خود درآورده ولی بازاریابی از طریق ایمیل خود را به ۳rd party برون­سپاری کرده است. توسعه رکوردهای ذکر شده لیستی از آدرس­های IP مورد استفاده توسط ارایه­ دهندگان سرویس بازاریابی از زریق ایمیل را نشان می­دهد:

cust-spf.exacttarget.com              text = ” v=spf1 ip4:64.132.92.0/24 ip4:64.132.88.0/23
ip4:66.231.80.0/20 ip4:68.232.192.0/20 ip4:199.122.120.0/21 ip4:207.67.38.0/24
ip4:207.67.98.192/27 ip4:207.250.68.0/24 ip4:209.43.22.0/28 ip4:198.245.80.0/20
ip4:136.147.128.0/20 ip4:136.147.176.0/20 ip4:13.111.0.0/18 -all”

این انعطاف­پذیری قابلیت توسعه ارایه سرویس ایمیل بدون نیاز به دسترسی و ویرایش رکورد DNS هر یک از مشتریان را در اختیار شما قرار می­دهد.

چنانچه از سرویس­های ایمیل ۳rd party استفاده می­کنید

مشابه بخش قبل چنانچه شما از هر گونه سرویس ایمیل ۳rd party استفاده می­کنید و مایل به ایجاد روند احراز هویت ایمیل SPF هستید، ملزم به داشتن رکوردها SPF آنها هستید.

jetblue.com descriptive text “v=spf1 include:_spf.qualtrics.com ?all”

JetBlue، از سرویس تحلیل­ های Qualtrics استفاده می­کند، بنابراین تنها کافی است تا آنها رکوردهای SPF معتبر از Qualtrics را در اختیار داشته باشند. به صورت مشابه بسیاری از Email service provider) ESPs) رکوردهای SPF برای مشتریان فراهم می­کنند.

چنانچه ESP یا email marketer رکوردهای SPF را ارایه ندهد، ملزم به تنظیم لیست گیت­وی ایمیل­ های خروجی … هستید. با این حال مسئولیت بروزرسانی و حفظ رکوردها بر عهده شماست و چنانچه ارایه­ دهنده سرویس تغییری در IP، Hostname و افزودن گیت­وی جدید دهد، جریان ایمیل شما تحت تاثیر قرار خواهد گرفت.

خطرات دیگر ۳rd party فارغ از SPF ناشی از منابع اشتراکی است: چنانچه ESP از آدرس IP مشابهی جهت ارسال ایمیل­ های چند مشتری استفاده کند، یک مشتری امکان ایجاد پیام با SPF معتبر متعلق به مشتریان دیگر را دارد؛ به همین علت پیش از قرار دادن محدودیت­های SPF پالیسی­ های امنیتی   Managed Service Provider) MSP) و احراز هویت ایمیل قرار داده می­شود. چنانچه پاسخگوی سوالات شما در ارتباط با اینکه چگونه SPF یکی از مکانیزم­های Trust در اینترنت است، نباشد توصیه می­شود در انتخاب MSP خود تجدیدنظر کنید. این مساله تنها در ارتباط با امنیت نیست، ارسال­ کننده معمولا از هر چهار روش SPF، DKIM، DMARC و سایر روش­ ها به همراه اعمال MSPs به منظور تضمین ارسال پیام استفاده می­کند. چنانچه MSP مطابق آنها نباشد قابلیت اطمینان آنها را پایین آورده و پیام توسط سیستم­های گسترده­ای با تاخیر و یا حتی خطر مسدود شدن، مواجه می­شود.

زیردامنه ­هایی فاقد ترافیک ایمیل

امروزه اغلب سازمان­ها از چندین دامنه با هدف بازاریابی استفاده کرده ولی معمولا از یک دامنه فعال برای ایمیل­های تجاری استفاده می­کنند. حتی اگر SPF به صورت صحیح پیاده ­سازی نشده باشد، سوء­استفاده ­کنندگان از سایر دامنه­های غیر فعال به­ منظور Email spoofing از اطلاعات هویتی یک سازمان استفاده می­کنند. SPF برای جلوگیری از این موضوع از رکورد SPF در حالت “deny all” استفاده می­کنند، برای هر یک از دامنه­ ها و زیر دامنه­ هایی که ترافیک ایمیل ایجاد نمی­کنند در DNS دستور “v=spf1 –all” را منتشر کنید. بهترین نمونه از این مطلب وبسایت شورای SPF با نام openspf.org است.

با توجه به اینکه SPF delegation تنها در یک دامنه معتبر است، استفاده از رکورد SPF بصورت “deny all” برای هریک از زیر دامنه­ ها صحیح نبوده و حتی ممکن است این رکورد در دامنه­ ای که ترافیک ایمیل تولید نمیکند استفاده شود. حتی چنانچه production domain رکورد SPF به صورت “regular” داشته و تلاش مضاعفی به منظور افزودن رکورد “deny all” به زیردامنه فاقد ترافیک ایمیل صورت گرفته باشد. حتما توجه داشته باشید که دریافت ایمیل معادل ارسال آن نیست: یک دامنه می­تواند دریافت ­کننده ایمیل خوبی بوده ولی هرگز منبع آن نباشد. این مساله در ارتباط با دامنه ­های با اهداف بازاریابی کوتاه­ مدت (به عنوان مثال حوادث، تبلیغاتی با محدوده زمانی مشخص، عرضه کالاهای جدید و …)، ایمیل­های ورودی به این دامنه­ ها از production domain ارسال شده و هرگونه پاسخی به این ایمیل­ ها از همین دامنه ارسال می­شود. این دامنه­ های کوتاه مدت تنها یک رکورد MX معتبر داشته ولی ملزم به دارا بودن رکورد SPF نیز هست که آنها را به عنوان یک منبعی که حاوی ترافیک ایمیل نیست، مطرح میکند.

 الزامات پیاده­ سازی DKIM

 DKIM  برای گیرندگان

پیکربندی احراز هویت DKIM در ESA مشابه SPF است. در پالیسی­ های پیش­فرض اعمالی به Mail Flow تنها کافیست اعتبارسنجی DKIM را در حالت “on” قرار دهید. با­توجه به اینکه DKIM مجوزpolicy specification را نمی­دهد، بنابراین این گزینه تنها به تایید امضا و اعمال هدر “Authentication-Results” می­پردازد:

Authentication-Results: mx1.hc4-93.c3s2.smtpi.com; dkim=pass (signature verified)
header.i=MileagePlus@news.united.com

هرگونه اقدامی براساس اعتبارسنجی DKIM براساس فیلترهای محتوا صورت می­گیرد:

برخلاف SPF که رویکرد ساده­ای دارد، DKIM اصل پیام را مدیریت کرده و بنابراین برخی پارامترها محدود خواهند شد. امکان ایجاد پالیسی دلخواه متناسب با سازمان و اختصاص پروفایل­های اعتبارسنجی متفاوت به Mail Flow Policies وجود دارد. این مساله امکان محدودکردن سایز کلید امضاهای مورد پذیرش، تعریف اقدامات بازیابی در صورت نامعتبر بودن کلید و پیکربندی میزان اعتبارسنجی DKIM را در اختیار شما قرار می­دهد.

زمانی­که پیام از چندین گیت­وی عبور می­کند، امکان وجود چندین امضا حین عبور از این گیت­وی وجود دارد. پیامی که به صورت DKIM اعتبارسنجی می­شود نیاز به تایید هر یک از این امضاها دارد. به صورت پیش­فرض ESA قابلیت تایید اعتبار تا پنج امضا را دارد. با توجه به اینکه به صورت تاریخی SMTP و ایمیل ساختار آشکاری دارند و سیستم اینترنت به صورت کلی در مقابل تغییرات-هر چند مثبت- مقاومت بالایی دارد، بنابراین موقعیت­ هایی که امضا DKIM به صورت قانونی Fail شوند، وجود خواهد داشت؛ به عنوان مثال زمانیکه پیام ها در عوض تغییر به پیام جدید و یا ارسال بصورت پیوست مستقیما فوروارد میشوند. به همین دلیل در بسیاری از حالت­های failing DKIM شایسته است پیام قرنطینه یا بر چسب­ گذاری شده و رها نشود.

 فراهم کردن امضا به­ وسیله  DKIM

پیش از فعال کردن  امضا DKIM  در RELAYED Mail Flow Policy، ملزم به تولید/ورود کلیدها، ایجاد پروفایل امضاDKIM  و انتشار کلید عمومی آن در DNS هستید.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای احراز هویت ایمیل با استفاده Cisco ESA را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

چنانچه امضا برای یک تک دامین باشد، فرآیند صریح و ساده خواهد بود. تولید یک جفت کلید، ایجاد یک پروفایل امضا در بخش Domain Keys section of Mail Policies و پس از آماده شدن پروفایل، بر گزینه “Generate” در “DNS Text Record” کلیک کنید. کلید تولید شده در DNS را منتشر کنید و در نهایت گزینه DKIM Signing در Mail Flow Policy را فعال کنید.

چنانچه از چندین دامین مجزا امضا دریافت شده باشد، روند پیچیده ­تری به وجود خواهد آمد. در این حالت شما دو راه پیش­رو خواهید داشت:

  1. برای ثبت ­نام در تمامی دامنه­ ها از پروفایل امضا واحدی استفاده کنید. تنها یک کلید عمومی در DNS دامین “master” نگهداری کنید و امضا DKIM به این کلید ارجاع داده شود. این روش قبلا در ESPs مورد استفاده قرار می­گرفت و امکان امضا در مقیاس­ های بالا بدون نیاز به هیچ­گونه تعاملی با فضای DNS مشتریان را فراهم می­کرد(این روش مبتنی بر این واقعیت است که در اصل DKIM منبع پیام را همانطور که در Mail From و یا Header From بیان شده است تایید نمیکند. این مساله تنها تایید کننده صحت شناسه دامنه امضاکننده و وجود کلید عمومی در آن میزبان است ( پارامتر “d” در امضا DKIM و “domain name” در پروفایل امضا). اصالت فرستنده از طریق بررسی وجود هدر امضا “from” تایید میشود. فقط از وجود کلیه دامنه­ ها  و زیردامنه­ ها در بخش “profile users” اطمینان حاصل کنید.).
  2. یک پروفایل امضا مجزا برای هر یک از دامین­ هایی که امضا کرده ­اید، ایجاد کنید. این مساله الزامات پیکربندی پیچیده­ تری دارد ولی انعطاف­پذیری بیشتری دارد. برای هر یک از دامنه­ ها یک جفت کلید ایجاد کرده و پروفایل ویژه­ای برای هر یک از دامنه­ ها در بخش “Profile Users” ساخته (شامل زیر دامنه­ ها نیز خواهد بود) و کلید عمومی مرتبط با آن دامین را در DNS مرتبط با آن منتشر می­کنیم.

اگرچه گزینه a ساده ­تر خواهد بود ولی در نهایت احتمال شکست DMARC وجود دارد، زیرا نیاز به هماهنگی شناسه Signing Domain و Header From است؛ بنابراین احتمال عدم هماهنگی میان شناسه و DKIM وجود دارد. برای رفع این مشکل نیاز به پیکربندی صحیح SPF و تطبیق شناسه SPF به­ منظور تایید DMARC است.

از طریق استقرار گزینه b، دیگر نیازی به نگرانی در خصوص DMARC نیست و ابطال و پیکربندی مجدد سرویس امضا برای یک تک دامین بسیار ساده خواهد بود. همچنین چنانچه سرویس ایمیلی برای دامین ۳rd party ارایه می­کنید، ملزم به دریافت کلید (و ورود آن به ESA خود) از آنها هستید. این کلید مختص به آن دامنه بوده بنابراین باید پروفایل مجزایی برای آن ساخته شود.

 چنانچه از سرویس های ایمیل ۳rd party استفاده می­کنید

چنانچه از امضا DKIM استفاده کرده و بخشی از فرآیندهای پردازش ایمیل خود ( مانند بازاریابی از طریق ایمیل) را به ۳rd party واگذار کرده­اید، قطعا شما تمایلی به استفاده آنها از کلیدهای مشابه خود ندارید. این مساله یکی از دلایل اصلی وجود سلکتور در DKIM است. در عوض ملزم به ایجاد یک جفت کلید جدید و انتشار آن در DNS خود و ارسال کلید خصوصی به سایرین هستید. به این ترتیب شما به سرعت امکان ابطال آن کلید در شرایط خاص بدون هرگونه تغییر در زیرساخت DKIM خود را دارید.

اگر چه ساخت زیر دامنه مجزا برای هر ایمیل مرتبط با ۳rd party در DKIM (پیام­های مرتبط با یک دامنه مشابه امکان امضا توسط کلیدهای چندگانه متفاوت را دارند) ضروری نیست، ولی بهتر است دامنه ­های مجزا مورد استفاده قرار گیرند. این روش موجب ردیابی ساده ­تر پیام­ها و پیاده­ سازی ساده­تر DMARC می­شود. به عنوان مثال پنج هدر DKIM-Signature از پیام­های چندگانه Lufthansa را در نظر بگیرید:

DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa;
d=newsletter.milesandmore.com;
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa2; d=newsletter.lufthansa.com;
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa3; d=lh.lufthansa.com;
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa4; d=e.milesandmore.com
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=lufthansa5; d=fly-lh.lufthansa.com;

همان­گونه که مشاهده می­کنید، Lufthansa از پنج کلید متفاوت (سلکتور) که در پنج زیر دامنه مجزا از دو production     lufthansa.com) domain و milesandmore.com) تقسیم شده است. این به­ معنی امکان کنترل مستقل و برون­ سپاری هر یک به ارایه ­دهندگان سرویس متفاوت است.

 ادامه دارد…

برای مطالعه بخش دوم راهکارهای احراز هویت ایمیل با استفاده Cisco ESA اینجا کیلیک کنید.

 

درباره ویژگی App Layering Citrix در سیتریکس

App Layering Citrix و مدیریت فضای کسب و کار

App Layering سیتریکس راهکاری به منظور مدیریت فضای ویندوز است که امکان به روزرسانی، ارایه برنامه ها و مدیریت image در hypervisor، بستر پردازشی سریع و ساده برای کاربران فراهم می آورد. قابلیت یکپارچه سازی با بستر سیتریکس، مایکروسافت و دسکتاپ مجازی VMware، امکان توسعه Citrix App Layering در زیرساخت موجود از مهمترین مزیت های آن است. تکنولوژی لایه بندی سیتریکس به همراه یک ابزار مجازی سازی کلیه الزامات مورد نیاز جهت توسعه Citrix App Layering در سطح سازمانی است.

Citrix App Layering جایگزین مقرون به صرفه ای برای جایگذاری برنامه در image و یا رویارویی با چالش مجازی سازی برنامه های قدیمی و ابزارهای مدیریتی مبتنی بر سیستم عامل است. با استفاده از Citrix App Layering برنامه ها و تنظیمات شخصی کاربران با هزینه ای کمتر از ۸۰ درصد به صورت آنی به کاربرانی که به آن ها نیاز دارند، منتقل می شود. این راهکار یکی از بهترین روش ها به منظور مدیریت ویندوز در محل و در ابر است.

تکنولوژی بی نظیر سیتریکس در VDI

در سال ۲۰۱۷ سیتریکس Unidesk را ارایه کرد، که یکی از کاملترین راهکارهای لایه بندی برنامه ها در سطح سازمانی بود، این راهکار تمامی عناصر ویندوز – سیستم عامل، نرم افزارها و اطلاعات کاربران را به عنوان یک دیسک مجازی دریافت می کند. فضاهای کاری شخصی را از طریق stacking layer به سادگی با مجوز Active Directory و یک کلیک در سیستم کاری در دسترس کاربران قرار می دهد، به این ترتیب هزینه های ناشی از نصب مجدد و فرآیندهای بسته بندی حذف می شود زیرا انجام اقدامات مشابه برای کاربران مختلف از میان رفته است.

به منظور توسعه VDI با استفاده از هریک از روش های Citrix XenDesktop، Microsoft RDS، VMware Horizon و یا دسکتاپ های به اشتراک گذاشته شده توسط Citrix XenApp یا RDSH و یا Citrix App Layering یک  فضای کاری قابل تنظیم از طریق هر ابزار ارتباطی ممکن خواهد بود. به منظور ارتقا بهره وری application layer و image به صورت پورتابل در سراسر بستر پردازشی کاربران، hypervisors و ابر قابل انتقال است.

قابلیت های منحصربفرد سیتریکس در App Layering

بیش از ۱۳۰۰ از مصرف کنندگان، Citrix App Layering به کار می­برند که در سال ۲۰۱۶ جوایز متعددی را به دلیل قابلیت های منحصربفردش دریافت کرده است.

  • سازگاری ۹۹٫۵ درصدی با برنامه ها: از طریق لایه بندی ویندوز و سیستم عامل ها، Citrix App Layering قادر به ارایه کلیه برنامه ها از جمله برنامه هایی که وابستگی بالایی به سیستم عامل دارند، سرویس های مختلف و درایور ها است.
  • مدیریت خودکار image: با استقاده از این روش قادر به ترکیب سیستم عامل و app layer در یک دیسک مجازی هستید، که امکان انتقال این ترکیب ها از طریق اتصالات Citrix App Layering’s به منظور به کارگیری در Citrix  PVS/MCS و VMware View Composer/Instant Clones، بدون نیاز به patch برای image مختلف خواهید بود.
  • ارایه بهنگام برنامه ها: لایه بندی الاستیک برنامه­ ها امکان ارایه برنامه ها با تنظیمات شخصی در هنگام ورود به VDI و XenApp/RDSH را به منظور افزایش سرعت انتقال برنامه ها و افزایش بازده سرمایه گذاری های، به وجود می آورد.
  • قابلیت انتقال به ابر و هایپروایزرها: App Layers و Layered Images امکان انتقال به هر هایپروایزر و یا ابر بدون نیاز به تغییرات برای پردازش ساده تر سمت کاربر را فراهم می آورد.
  • کاهش زمان logon: قابلیت ارایه pre-boot برنامه ها به عنوان بخش از Layered Image تعداد لایه های الاستیکی را که در زمان logon مورد نیاز است کاهش داده و سرعت اجرای برنامه ها را بالا می برد.

سیتریکس زن اپ و زن دسک تاپ Citrix XenApp and XenDesktop

  • ارایه Citrix XenDesktop VDI و Citrix XenApp به صورت Plug-and-play امکان عرضه برنامه ها و دسکتاپ مجازی را فراهم کرده است.
  • رابط Citrix App Layer برای PVS و MCS نیاز به مدیریت چند image و vDisk را حذف کرده است.
  • لایه بندی الاستیک امکان ارایه برنامه ها به همراه تنظیمات شخصی در زمان Logon در VDI و XenApp desktop به منظور انجام پردازش های لازم در سمت کاربر را فراهم کرده است.
  • پشتیبانی از Citrix XenServer، Microsoft Hyper-V، Nutanix Acropolis Hypervisor و VMware ESX/vSphere

تکنولوژی VMware Horizon و سیتریکس

  • ارایه راهکارهای Plug-and-play به منظور ارایه VMware Horizon VDI و RDSH
  • رابط Citrix App Layering برای VMware View Composer and Instant Clones نیاز به مدیریت image مختلف را از میان خواهد برد.


مزایای تجاری

 ارایه سریع برنامه ها

 کاهش هزینه های مدیریت برنامه ها و Image

 حذف نقص فنی به دلیل ضعف patch

 توسعه XenApp با هزینه هایی کمتر از کاربری رایانه ها

 کاهش هزینه های ذخیره سازی VDI

 توسعه مسیر حرکت به سوی ابر

مزایای فنی

  سازگاری با برنامه های مختلف تا ۹۹٫۵ درصد

  Layered Image به همراه امکان ارایه انعطاف­ پذیر لایه ها

ارایه کلیه قابلیت­ها در یک وسیله و معماری مقیاس پذیر

 ارایه برنامه ها و Image به هر هایپروایزر و ابری بدون نیاز   به بسته بندی مجدد و تغییرات

Microsoft RDS and RDSH

  • ارایه راهکارهای Plug-and-play به منظور ارایه Microsoft RDS و RDSH
  • یکپارچگی با Hyper-V و RDS امکان ارایه دسکتاپ آماده برای اهداف مورد نظر و مدیریت هریک از image را فراهم کرده است.
  • به اشتراک گذاری سیستم عامل و لایه بندی برنامه ها موجب کاهش ۷۰ درصدی الزامات VDI storage شده است.

Azure

  • رابط Citrix Layer برای Azure لزوم مدیریت Image مختلف برای ارایه برنامه های متفاوت را از میان برده است.
  • به منظور اجرا و مدیریت برنامه ها فارغ از هرگونه وابستگی به زیرساخت، ابزارهای App Layer را می توان در Azure ارایه داد.

دیتاسنترهای سازمانی و ابر ترکیبی

  • مدیریت برنامه ها و Image در محل و همچنین در ابر به صورت یکپارچه در یک ابزار امکان پذیر شد.
  • از طریق یکبار مدیریت برنامه ها و Image، امکان استفاده از آن ها در هایپروایزرها، ابر و بسترهای پردازشی مختلف کاربران وجود دارد.
  • ابزارهای موجود به منظور جایگذاری و تهیه فایل پشتیبان امکان حفاظت از یک VM، به اشتراک گذاری فایل ها و توسعه Citrix App Layer به دیتاسنترهای Remote و ابرهای عمومی فراهم شده است.

کاربرد کارت گرافیک Nvidia Grid در ماشین مجازی توسط سیتریکس

 شرکت نیسان موتور در صدد  اجرای طرح تجاری میان مدتی با نام Nissan Power 88،با هدف کسب ۸ درصد از بازار جهانی و ۸ درصد از سهم سود عملیاتی، تا پایان سال ۲۰۱۶ است. استراتژی IT شرکت VITESSE، که در زبان فرانسه به معنی سرعت است، نام گرفته است.  این رویکرد مبتنی بر سه مفهوم اصلی ” نوآوری ارزش” ، ” تسهیل تکنولوژی” و ” Service Excellence” استوار است. هدف این استراتژی مشارکت در کسب و کارها و نوآوری درآن است.

بزرگترین چالش موجود در ارایه نرم افزارهای CAD به مهندسان سراسر جهان است، قائم مقام بخش مهندسی شرکت Nissan Motors، Mikio Matsuki،  که رهبری توسعه eVDI در پروژه مجازی­سازی دپارتمان مهندسی را بر عهده دارد، تجربیات خود را در زمینه ساخت دسکتاپ مجازی به عنوان بستری برای ارایه نرم­افزارهای ۳D CAD بیان می دارد: ” مهمترین موضوع در Vitesse  که در سال ۲۰۱۱  به عنوان استراتژی IT شرکت اجرا شد Value Innovation است، بخشی از این چالش مرتبط با متمرکز­سازی اطلاعات CAD/PDM در محیط IT و همزمان حفظ بازده تجاری در زمان دسترسی به دیتابیس یکپارچه در سراسر جهان است. در حال حاضر ما در حال استفاده از  virtual desktop infrastructure VDI در Guiotoko هستیم.”

Satoshi Takabatake که در بخش مهندسی شرکت مشغول به کار است در ارتباط با جزییات این پروژه اظهار داشت: ” شرکت در ۱۶ نقطه جهان مراکز توسعه و تحقیق در ارتباط با ابزارهای حمل و نقل ایجاد کرده است، ما نیاز به هماهنگ سازی این مراکز از طریق به اشتراک گذاری داده ها و استفاده همزمان از داده های CAD/PDM که در یک دیتابیس مدیریت می شوند، داریم. با وجود یک دیتابیس مشترک در مواردی که مهندسان سایر نقاط جهان شروع به کار می کنند دانلود اطلاعات ساعت ها زمان می برد، بنابراین بهبود پاسخگویی سیستم در مکان جغرافیایی مختلف چالشی بزرگ است. پیش از مطرح شدن دسکتاپ های مجازی ما درصدد تفکیک دیتابیس CAD/PDM در امریکای شمالی و انگلستان بودیم، بنابراین به بررسی احتمال مدیریت دیتابیس CAD/PDM جداگانه در ژاپن، امریکا و انگلستان و همگام سازی آن ها، پرداختیم با روش تفکیک یک دیتابیس به سه بخش، بار کاری بالایی به منظور مدیریت آن و همچنین  افزایش هزینه ها را به همراه خواهد داشت. علاوه بر این همگام سازی اطلاعات این دیتابیس ها زمان بالایی نیاز دارد بنابراین رویکرد مناسبی نخواهد بود. بنابراین در سال ۲۰۱۴ Matsuki ایده دسکتاپ­های مجازی را مطرح کرد.”

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای سیتریکس را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

Hirotaka Noguchi ریاست اداره خدمات زیرساخت و تولید، در ارتباط با جزییات روند تحقیقات اظهار داشت: ” پیش از انتخاب دسکتاپ مجازی، محصولات شرکت های مختلفی را تست کردیم در جریان این آزمایش ها نه تنها کارایی بهتر این روش بلکه کاربرپسند بودن و آینده نگری آن قابل توجه بود در این طرح سعی در به حداقل رساندن استفاده از منابع سخت افزاری و شبکه داریم. با هدف اتخاذ راهکاری که حداکثر نتیجه را ارایه دهد XenDesktop را انتخاب کردیم، روند تحقیقات در Hewlett-Packard ژاپن، یک محیط آزمایشی در لابراتوار خود ایجاد کرده و در حین تحقیق بازخوردهای کاربران را نیز دریافت می کرد.”

بهینه سازی گرافیک ۳D CAD توسط Xendesktop سیتریکس

ستاد مرکزی اطلاعات، تصمیمات لازم درخصوص ایجاد دسکتاپ های مجازی ۳D CAD با استفاده از XenDesktop و XenServer و به منظور مدیریت دیتابیس مرکزی CAD/PDM، یک سیستم آزمایشی ایجاد شده است و تلاش هایی به منظور استفاده از این سیستم در شعب امریکای شمالی و انگلستان شرکت صورت گرفته است.

Matsuki بیان کرد: ” مهندسان سایت های کاری از این سیستم استفاده کرده و نظرات خود را در ارتباط با پاسخگویی و وضوح صفحات نمایش دسکتاپ ها و …هنگام استفاده از نرم افزارهای ۳D CAD در دسکتاپ مجازی خود ارایه شده از طریق خط WAN، با ما به اشتراک گذاشته اند. بازخوردهای منفی بسیاری دریافت کردیم این سیستم در مقایسه با نرم افزارهایی که به صورت نصب شده در سیستم ها کارایی لازم را نداشته است. پس از دریافت این گزارش ها بخش IT تلاش در بهینه سازی سیستم ها و شبکه یاری کردند.” همچنین Matsuki تصریح کرد نه تنها نیاز به ارتقا سیستم  هست، بلکه کارایی آن برای کاربران نیز اهمیت بالایی دارد به همین منظور Kenji Iwama مهندس ارشد CAD از بخش مهندسی شرکت نیسان به کارکنان پروژه پیوست.

Iwama اظهار داشت: ” ماموریت من ارزیابی نتایج عملکرد برنامه از دید مهندسان CAD بود، علاوه بر این به همراه Matsuki در زمینه طراحی سناریوهایی که ارزیابی مناسبی نسبت به دسکتاپ های مجازی مورد استفاده توسط مهندسان سراسر جهان ارایه دهد، همکاری هایی داشتم:” از ابتدای آوریل سال ۲۰۱۴ Noguchi مسئولیت بخش IT را بر عهده گرفت و از طریق سیستمی مبتنی بر سیتریکس و همکاری مهندسین Hewlett-Packard ژاپن و دیگر مهندسین، ساخت سیستم کاملی به منظور دسترسی مهندسان امریکای شمالی و انگلستان از طریق دسکتاپ مجازی به دیتابیس متمرکز در ژاپن، آغاز کردند.

Iwama علاوه بر پروژه فنی، ۱۳ سناریو جهت پوشش فعالیت های مهندسان CAD شامل مهندسانی که دیتا ۳D ایجاد می کنند، مهندسان که از نرم افزارهای viewer استفاده می کنند همچنین تست های آزمایشی در ارتباط با فعالیت های مهندسان سایت های کاری، طراحی کردند. Iwama شرح می دهد: ” امروزه مبحث توسعه خودروهای خودکار بسیار تخصصی شده است، ما ارزیابی های دقیقی از سایت های کاری مختلف به منظور دسته بندی مشاغل و نیازهای مختلف آنها انجام داده ایم، در امریکای شمالی و انگلستان استفاده از دسکتاپ مجازی تحت محیط ۳D CAD پاسخگوی نیازهای مهندسین سایتهای کاری خواهد بود.”

پس از ارایه دسکتاپ مجازی در سایتهای کاری سراسر جهان مهندسان از کارایی آن اظهار رضایت کردند این سناریو در اکتبر سال ۲۰۱۵ در انگلستان و در ژوئیه سال ۲۰۱۴ در امریکا به مرحله اجرا درآمد. دسکتاپ مجازی برای ۳D CAD که توسط تیم شرکت نیسان ارایه شد از برد NVIDIA GRID K2 و XenDesktop virtual desktop دسترسی به NX ، راهکار یکپارچه ۳D CAD/CAM/CAE نرم افزار Siemens PLM، از امریکای شمالی و انگلستان است.

تکنولوژی کارت گرافیک گرید شرکت ان ویدیا Nvidia Grid Citrix

بهبود عملکرد در یک محیط محاسباتی یکپارچه و جهانی

Matsuki اظهار میدارد:” از طریق ساخت دسکتاپ مجازی با XenDesktop، XenServer و NVIDIA GRID K2 همزمان با توجه به منابع سخت افزاری و نواحی شبکه، ما یک محیط یکپارچه جهانی CAD/PDM ارایه دادیم. با توجه به اینکه امکان مدیریت دیتا متمرکز CAD/PDM در ژاپن وجود دارد، در آینده نزدیک قادر به افزایش سرعت ارایه در سایت های کاری نیز خواهیم بود.”

امنیت بهتر با هزینه کمتر با XenDesktop Citrix

Takabatake می گوید:” با توجه به قابلیت XenDesktop در مدیریت مرکزی دیتابیس CAD/PDM واقع در ژاپن، هزینه های عملیاتی به شکل قابل توجهی کاهش پیدا کرده و همچنین امکان اضافه کردن لایه های امنیتی افزوده نیز وجود دارد. علاوه بر این در آینده با بهبود سرورها قادر به کاهش پیش نیازهای لازم درایستگاه­های کاری در سمت کاربر خواهیم بود بنابراین من اعتقاد دارم زیرساخت CAD/PDM توسعه یافته عملکرد طولانی مدت بالایی خواهند داشت.”

بهره ­وری در سراسر سایتهای کاری و ابزارها

Matsuki در ارتباط با اثرات ثانویه دسکتاپ های مجازی بیان کرد: ” دسکتاپ های مجازی با هدف استفاده در برنامه های ۳D CAD به اجرا درآمد ولی اثرات ثانویه فراوانی را نیز به همراه داشت، به عنوان مثال کاربر امکان اتصال به دسکتاپ مجازی و ادامه فعالیت های خود را از هر مکانی خواهد داشت بنابراین کاربر هیچ یک از فرصت های کاری خود در سطح جهانی را از دست نمیدهد و یک فضای کاری سیار را به همراه خواهد داشت. همچنین چنانچه سیستم به صورت ناگهانی خاموش شود CAD/PDM موجود در دسکتاپ مجازی با هیچ مشکلی روبرو نخواهد شد. ما قادر به ارتقا خدمات رسانی از طریق افزایش ظرفیت سرورها در دیتاسنترهای امن، خواهیم بود.”

پیاده سازی دسک تاپ مجازی توسط سیتریکس XenDesktop

Takabatake اظهار داشت:” ما در آغاز شروع به راه اندازی این سیستم در امریکای شمالی و انگلستان کردیم که قصد توسعه این طرح در ۱۶ سایت کاری و سایر مراکز طراحی و توسعه در مناطق مختلف را داریم.  از دیدگاه سیستم عامل ما قصد به حداقل رساندن استفاده از منابع سخت افزاری و پهنای باند شبکه در دسکتاپ های مجازی لینکوس را داریم به همین منظور نرم افزارهای HDX 3D سازگار با لینکوس نیاز داریم. همچنین با توجه به افزایش کاربران CAD/PDM انتظار داریم XenDesktop محصولاتی با کارایی بالا و در عین حال با حداقل نیازهای سخت افزاری و شبکه را تولید کند.”

Matsuki در ارتباط با اهداف آتی شرکت بیان کرد:” دسکتاپ های مجازی در حال حاضر به منظور ارایه برنامه های دیگری نیز استفاده می شوند اکنون با توجه به نتایج به دست آمده از استفاده در ۳D CAD، کاربری دسکتاپ های مجازی در امور مختلفی مطرح می شود. تغییرات زیادی با پیاده سازی XenDesktop در سایت های کاری مختلف به وجود خواهد آمد. ما همچنان به تلاش خود در ایجاد ارزش تجاری با ساخت زیرساختهای مبتنی بر دسکتاپ های مجازی ادامه خواهیم داد.”

 

راه اندازی سیتریکس Xendesktop ، راه اندازی سیتریکس XenApp ، راه اندازی Citrix Xenapp ، راه اندازی Citrix Xendesktop ، راه اندازی Citrix Xen Server

 

آشنایی با فورتی وب Fortiweb

 

WAF) Web Application Firewall) چیست ؟

  ‌برنامه‌های کاربردی تحت وب‌ به راحتی مورد حمله  Attacker ها قرار می‌گیرند. اگرچه تطبیق با استاندارد‌های Payment Card Industry Data Security یا به اختصار PCI DSS ، دلیل اصلی پیاده سازی WAF‌ یا به عبارتی Web Application Firewall ، در اکثر سازما‌ن‌ها می‌باشد اما برای بسیاری از کارشناسان روشن است که برنامه‌‌های کاربردی تحت وب حفاظت نشده، می‌توانند راحت‌ترین راه نفوذ حتی برای هکر‌های مبتدی محسوب ‌شوند. برنامه‌های کاربردی تحت وب که نیاز به ارتباط با شبکه‌هایی خارج از شبکه‌ی داخلی را دارند، در مقابل حملاتی چون Cross Site Scripting ،SQL injection و حملات DoS در لایه Application آسیب‌پذیر می‌باشند. برنامه‌های کاربردی تحت وب درون سازمانی، در صورت دسترسی مهاجم به شبکه داخلی به راحتی در معرض آسیب قرار خواهند گرفت؛ این موضوع برخلاف تصور اکثر سازمان‌ها در مورد این شبکه‌ها است که فکر می‌کنند از طریق سطوح امنیتی موجود در شبکه (Perimeter (Network، کاملا محافظت می‌شوند. معمولا کد‌هایی که به صورت سفارشی و متناسب با نیاز‌های سازمان خاصی ایجاد می‌گردد، به عنوان ضعیف‌ترین ارتباط تلقی می‌شود، چرا که داشتن اطلاعات و آگاهی در مورد جدیدترین نوع حملات برای تیم‌های توسعه، امری غیرممکن می‌باشد. از طرفی کدهای تجاری Commercial Code نیز دارای آسیب‌پذیری می‌باشند زیرا بسیاری از سازمان‌ها به دلیل نداشتن منابع لازم قادر به استفاده از Patch ها و اصلاحات امنیتی به محض در دسترس قرار گرفتن آنها، نمی‌باشند. حتی در صورت استفاده از تمامی Patch ها و در اختیار داشتن خدمات مجموعه‌ای از ارائه دهندگان سیستم‌های امنیتی، باز هم امکان بی دفاع شدن کاربر در مقابل حملات Zero-Day وجود دارد و پاسخگویی به آن‌ها نیز صرفا پس از وقوع آن امکان‌پذیر می‌باشد.

امنیت جامع و گسترده برنامه‌های تحت وب با FortiWeb

FortiWeb با کمک یک رویکرد مرتبط و چند‌ لایه پیشرفته می‌تواند امنیت کامل در مقابل ریسک‌های امنیتی موجود در OWASP Top 10  و بسیاری از تهدیدات دیگر برای برنامه‌های کاربردیِ تحت وب‌ در شبکه‌های داخلی و خارجی را فراهم نماید. در FortiWeb، با استفاده از سرویس‌های IP Reputation آسیب‌ پذیری‌ های ناشی از بات‌ نت‌ها و دیگر منابع مخرب به صورت خودکار حذف می‌گردند. با بهره‌مندی از قابلیت شناسایی حملات DoS و پیشگیری از آن‌ها در این تکنولوژی، می‌توان برنامه‌های کاربردی را از Overload شدن ناشی از حملات DoS در لایه Application ایمن نگاه داشت؛ به علاوه اینکه با کمک FortiWeb می‌توان صحت درخواست‌ های فرستاده شده و عدم دستکاری آن‌ها را با استفاده از روش اعتبار سنجی HTTP RFC بررسی کرد. در این فرایند درخواست‌ها با Signature های FortiWeb  بررسی شده تا مقایسه‌ای بین درخواست ایجاد شده و انواع مختلف حملات شناسایی شده، انجام گردد و نسبت به تحت تاثیر قرار نگرفتن درخواست‌ توسط این حملات، اطمینان حاصل شود. با سرویس‌های آنتی ویروس و ضد بدافزار Built-In موجود در این تکنولوژی می‌توان تمامی فایل‌ها، ضمایم و یا کدها را پاکسازی نمود. موتور Auto-learning Behavioral Detection در این سرویس قادر به بازنگری کلیه درخواست‌هایی است که از آزمون حملاتِ شناخته شده به سلامت عبور کرده‌اند. در صورت خارج بودن درخواست از محدوده‌ی پارامتر‌های خودکار یا پارامترهای کاربر، درخواست مسدود می‌گردد. در نهایت FortiWeb به ارائه یک موتور ارتباطی Correlation Engine می‌پردازد که چندین رویداد از لایه‌های امنیتی مختلف را به یکدیگر مرتبط می‌نماید تا تصمیمات دقیق‌تری را اتخاذ نماید و محافظت در برابر پیچیده‌‌ترین حملات را میسر سازد. بدین ترتیب یک فرآیند محافظت تقریبا ۱۰۰ درصدی در مقابل کلیه حملات برنامه‌های تحت وب از جمله تهدیدات Zero-day به عمل می‌آید که سیستم‌های مبتنی بر فایل  File-Based قادر به شناسایی آن نمی‌باشند.

 Fortiweb  WAF چیست؟

قابلیت اسکن برای کشف آسیب‌پذیری‌ها

تنها FortiWeb است که با داشتن یک اسکنر آسیب‌پذیری برای‌ برنامه‌های تحت وب در هر دستگاه، می‌تواند انطباق آن با استاندارد PCI DSS را بدون هرگونه هزینه اضافی عملی نماید. قابلیت اسکن آسیب‌پذیری در FortiWeb تمامی عناصر برنامه‌های کاربردی را به شکلی دقیق بررسی کرده و در نتیجه اطلاعاتی جامع از ضعف‌های بالقوه در برنامه‌های کاربردی را در اختیار قرار می‌دهد. این قابلیت همواره با نسخه‌های به‌روز‌رسانی به صورت پیوسته و مرتب از سوی FortiGuard Labs به‌ روزرسانی می‌گردد.

یکپارچگی کامل  FortiWeb با FortiGate و FortiSandbox

همگام‌ با گسترش روز‌افزون تهدیدات، برای حفاظت از برنامه‌های کاربردی تحت‌ وب باید رویکردی چندجانبه نسبت به تهدیدات جدید، اتخاذ نمود. تهدیدات امنیتی پیشرفته با هدف قرار دادن کاربران می‌توانند نسبت به حملات Single-vector سنتی که تنها از یک روش برای حمله استفاده می‌کردند، اشکال متفاو‌ت و بسیاری را به ‌خود گرفته و بدین ترتیب از محافظت ارائه شده توسط یک دستگاه واحد عبور نمایند. ادغام FortiWeb با FortiGate و FortiSandbox ، محافظت مبتنی بر WAF را از طریق همزمان‌سازی و به‌اشتراک‌گذاری اطلاعات مرتبط با تهدیدات افزایش می‌دهد تا علاوه بر اسکن فایل‌های مشکوک، منابع داخلی آلوده را نیز به اشتراک ‌گذارد.

FortiWeb به عنوان یکی از محصولات متعدد Fortinet ، امکان یکپارچه‌سازی با پلتفرم پیشرفته‌ی شناسایی تهدید FortiSandbox را فراهم می‌نماید. FortiWeb قابلیت پیکربندی با FortiSandbox را دارا بوده و بدین ترتیب می‌تواند اطلاعات مربوط به تهدید را به اشتراک‌ گذاشته و تهدیدها را به محض شناسایی در محیط FortiSandbox ، مسدود نماید. فایل‌های آپلود شده در وب سرور‌ها برای تجزیه و تحلیل به FortiSandbox و Cloud FortiSandbox ارسال می‎شوند. با شناسایی فایل‌های مخرب بلافاصله هشدارها ارسال شده و فایل‌های مشابه بعدی سریعاً مسدود می‌شوند.

یکپارچگی با FortiGate امکان به اشتراک‌گذاری آدرس IP‌های Quarantine یا قرنطینه شده را فراهم می‌کند که در فایروال Fortigate شناسایی و نگهداری می‌شوند. FortiWeb با بررسی‌ مداوم Fortigate، با آخرین لیست از منابع داخلی آلوده یا مشکوک به آلودگی به‌روز شده و جریان ترافیک از این دستگاه‌ها را برای جلوگیری از وارد آمدن خسارات بیشتر Block می‌نماید.

علاوه بر موارد ذکر شده، کاربران Fortigate می‌توانند پیاده‌سازی FortiWeb را در یک شبکه‌ی مبتنی ‌بر Fortinet ساده‌سازی نمایند. FortiGate را می‌توان با استفاده از پروتکل WCCP طوری پیکربندی نمود که بدون نیاز به تنظیم دستی روتر‌ها یا سرویس‌های DNS، ترافیک HTTP را به منظور بررسی به FortiWeb هدایت کند. کاربران می‌توانند یک سری قواعد اختصاصی را ایجاد نمایند تا با استفاده از Policy‌ های جامع Forwarding Granular، ترافیک خاصی را مسیریابی نمایند.

FortiWeb به‌ طور کامل با FortiGate یکپارچه‌ می‌شود تا از ترافیک HTTP برای انجام بررسی‌ و اشتراک اطلاعات Quarantined IP عبور نماید.‌

کاهش False Positive در FortiWeb

از قابلیت های مهم FortiWeb، در بر داشتن ابزارهای پیشرفته جهت کاهش وضعیت False Positive به همراه قابلیت ارزیابی کاربر و Session Tracking می باشد.

در صورت عدم پیکربندی WAF به شکلی درست، این احتمال وجود دارد که شناسایی (False Positive  شناسایی نادرست یک مورد به عنوان تهدید) بسیار دردسر ساز باشد. اگرچه ممکن است نصب یک WAF تنها چند دقیقه طول بکشد اما تنظیم دقیق آن با هدف به حداقل رساندن False Positive ها شاید مستلزم صرف روز‌ها و حتی هفته‌ها باشد؛ مضافا این‌که تغییرات و اصلاحات مداوم و منظم در مورد برنامه‌های‌ کاربردی و متناسب با تغییرات محیطی نیز مطرح می‌باشد. FortiWeb با ابزار‌های پیشرفته از جمله تنظیم هشدار، ایجاد White List، موارد استثنا در فرآیند یادگیری خودکار، شناسایی تهدیدات مرتبط به هم و آنالیز ساختاری مبتنی بر کد با این مشکل مقابله می‌کند.

Fortiweb تنها نمونه‌ای از تجهیزات WAF می‌باشد که از قابلیت ارزیابی کاربر و ردیابی Session برای ارتقای بیشتر ابزار‌های کاهش False Positive استفاده می‌کند. مدیران می‌توانند برای هر کدام از لایه‌های حفاظتی WAF در FortiWeb سطح مربوط به تهدید را اختصاص دهند و سپس یک Trigger Threshold را تعریف نمایند که قابلیت Block نمودن، مانیتور و گزارش‌گیری در مورد کاربرانی را ارائه می‌کند که در طول Session از مرز مشخص مربوط به رویدادهای متعدد تخطی کرده‌اند. پیش ‌از ‌این هرگز چنین سطحی از سفارشی‌سازی و هم‌بستگی پیشرفته در هیچ یک از تجهیزات WAF وجود نداشته است که به‌ نوبه‌ خود می‌تواند تعداد فرآیندهای شناسایی False Positive ها را با توجه به میزان حساسیت تعیین شده توسط مدیران کاهش دهد.

ردیابی کاربران با استفاده از قابلیت‌های FortiWeb

با استفاده از FortiWeb امکان مانیتور نمودن تمامی کاربران احراز هویت شده و Trackنمودن فعالیت‌های آن‌ها در برنامه‌های کاربردی تحت وب فراهم می‌شود. در صورتی که یک کاربر فعالیتی را انجام دهد که از دید Fortiweb به عنوان حمله شناخته شود، تمامی Log های مربوط به آن فعالیت و ترافیک مربوطه به نام‌ کاربری  ضمیمه شده و اجرای قوانین و فرآیند جرم‌شناسی را میسر می‌سازد.

تامین امنیت با FortiWeb

گروه تحقیقاتی FortiGuard Labs به عنوان مبنای اصلی برای بسیاری از لایه‌های FortiWeb در رویکردهای امنیتی مربوط به برنامه‌های کاربردی به شمار می‌رود. سرویس‌های ‌FortiGuard در سه حالت مجزا ارائه می‌شوند که کاربر می‌تواند با انتخاب سرویس مورد نظر خود از برنامه‌های تحت وب محافظت نماید.

سرویس IP Reputation می‌تواند کاربر را در مقابل منابع شناخته شده‌ی حملات، نظیر بات‌ نت‌ها، Spammer ها، پروکسی‌ های ناشناس و سایر منابع در معرض آلودگی با نرم‌افزار‌های مخرب محافظت نماید. طراحی سرویس امنیتی FortiWeb به نحوی است که صرفا برای FortiWeb و مواردی همچون Signature‌ های لایه Application ، روبات‌ های مخرب، الگو‌های URLی مشکوک و نسخه‌ های به‌روز‌رسانی برای بررسی آسیب‌پذیری‌ های وب، مناسب می‌باشد. در نهایت می‌توان بیان نمود که FortiWeb ، موتور ضد ویروس سطح بالای FortiGuard را ارائه می‌نماید که آپلود تمامی‌ فایل‌ها‌ را جهت یافتن هرگونه تهدید که منجر‌ به آلودگی در سرور‌ و دیگر عناصر شبکه گردد، اسکن می‌کند.

قابلیت Virtual Patching

FortiWeb امکان یکپارچه‌ سازی با اسکنر‌‌‌های آسیب‌پذیری Third-Party از قبیل Acunetix ،HP WebInspect ، IBM AppScan، Qualys و  WhiteHat را به منظور ارائه Dynamic Patch‌ های مجازی جهت حل مشکلات امنیتی در محیط برنامه‌های کاربردی فراهم می‌نماید. آسیب‌ پذیری‌هایی که توسط این اسکنرها شناسایی می‌شوند از طریق FortiWeb به صورت خودکار و سریعا تبدیل به قواعد امنیتی می‌شوند و تا زمانی که Developer ها کد برنامه را جهت مقابله با این آسیب‌ پذیری تغییر ندهند، وجود خواهند داشت.

قابلیت SSL Offloading

FortiWeb قادر است بیش از ده‌ها هزار تراکنش تحت ‌وب را با ارائه قابلیت SSL Offloading که در اکثر مدل‌ ها به صورت سخت‌‌افزاری می‌باشد، پردازش نماید. FortiWeb با برخورداری از قابلیت رمزگذاری Encryptionو رمزگشایی Decryption، می‌تواند در یک بازه زمانی تقریبا Real-Time و با استفاده از Chipset‌های ASIC، هرگونه تهدید‌ علیه برنامه‌های کاربردی ایمن را به راحتی شناسایی نماید.

عرضه برنامه‌های کاربردی و فرآیند احراز هویت

FortiWeb قادر به ارائه سرویس‌های Load Balancing پیشرفته در لایه ۷ و Authentication Offload می‌باشد. FortiWeb می‌تواند با بهره‌مندی از سرویس هوشمند و پیشرفته Load Balancing در لایه ۷، بار کاری برنامه‌های کاربردی را به‌ راحتی بر روی چندین سرور تقسیم نماید؛ همچنین این تکنولوژی قابلیت ترکیب با SSL Offloading جهت تعدیل بار ترافیک برنامه‌های کاربردی ایمن که از SSL استفاده می‌نمایند را دارا می‌باشد. علاوه بر موارد فوق، این سیستم می‌تواند میزان استفاده از پهنای باند و مدت زمان پاسخگویی برنامه‌های کاربردی پر‌محتوا به کاربران را با استفاده از فشرده‌سازی ترافیک پروتکل HTTP، بهبود ‌بخشند. سرویس Authentication Offloading از قابلیت یکپارچگی با بسیاری از سرویس‌های احراز هویت از جمله LDAP ، NTLM ، Kerberos و RADIUS که خود دارای احراز هویت دو مرحله‌ای RADIUS و RSA SecureID می‌باشد، برخوردار است. با استفاده از این سرویس‌های احراز هویت، می‌توان وب‌سایت‌ها را به‌راحتی ایجاد نمود و از قابلیت Single Sign On یا به اختصار SSO، برای هر یک از برنامه‌های ‌کاربردی از جمله برنامه‌های کاربردی مایکروسافت مانند Outlook Web Access و SharePoint استفاده کرد.

بنابراین، می‌توان بیان نمود که در صورت استفاده از FortiWeb، مدت زمان پاسخگویی برنامه‌های کاربردی از طریق  Cache نمودن محتوا‌های پرکاربرد در مقایسه با مدت زمان درخواست برای همان اطلاعات اما بدون استفاده از Cache، کاهش می‌یابد.

گزینه های مربوطه به VM و Cloud

Fortiweb حداکثر انعطاف‌ پذیری را در پشتیبانی از محیط‌ های ترکیبی و مجازی فراهم می‌نماید. نسخه‌های مجازی Frotiweb به طور کامل از ویژگی‌های تجهیزات سخت‌افزاری پشتیبانی نموده و به راحتی با بهترین Hypervisor ها از جمله VMware ، Mircorosft Hyper-V ، Citrix XenServer ، Open Source Xen و KVM کار می‌کند. این تکنولوژی حتی برای Amazon Web Services و Microsoft Azure نیز قابل به‌کارگیری می‌باشد.

مدیریت مرکزی و گزارش‌گیری

Fortiweb به ارائه ابزارهایی برای کاربران جهت مدیریت تجهیزات مختلف و به دست آوردن دیدگاهی ارزشمند نسبت به حملاتی که قصد آسیب‌ رسانی به برنامه های کاربردی سازمان را دارند، می‌پردازد. کاربر از طریق یک کنسول مدیریتی مجازی واحد می‌تواند چندین Gateway متعلق به Fortiweb را پیکربندی و مدیریت نماید. در صورت نیاز به یک دید یکپارچه نسبت به تهدیدات شبکه، Fortiweb به راحتی با تجهیزات گزارش‌گیری FortiAnalyzer یکپارچه می‌گردد تا فرایند Logging متمرکز و تجمیع گزارشات از ابزارهای مختلف Fortiweb انجام شود.

کاربرد سیتریکس در خطوط کشتیرانی

در این مقاله یکی از سناریو های اجرا شده جهت بهینه سازی خطوط کشتیرانی شرکت کروز با استفاده از تکنولوژی سیتریکس مورد بررسی قرار گرفته است.

یکپارچه سازی سریع زیرساخت خطوط کشتیرانی کروز با استفاده از سیتریکس

شرکت Royal Caribbean Cruises دومین شرکت بزرگ کشتیرانی جهان واقع در میامی است. این شرکت شامل شش برند معروف از جمله Royal Caribbean International ، Celebrity Cruises و  Azamara Cruises است که با مجموع ۴۲ کشتی در سراسر جهان در حال فعالیت است.

چالش بزرگ این شرکت بازسازی زیرساخت های منسوخ شده است

مراکز تماس در Royal Caribbean درآمد بیشتری نسبت به سایر بخش ها کسب می کند. از اواخر دهه ۹۰ Royal Caribbean از تکنولوژی سیتریکس برای ارایه برنامه های کاربردی حیاتی برای کارکنان مراکز تماس در سراسر جهان، بهره برده است؛ در سال های اخیر هنگام شروع به کار مراکز تماس جدید به دلیل زیرساخت قدیمی بسیاری از آن ها با مشکلات اتصالات و ارتباطات منسوخ شده مواجه شدند.  Jeanine Graham-Bellamy مدیر فناوری شرکت Royal Caribbean Cruises اظهار داشت ، با توجه به اینکه تمامی مراکز تماس، دیتابیس منحصر به خود را دارند و چنین روشی صحیح نیست، به رویکرد جدیدی برای یکپارچه سازی زیرساخت مراکز به منظور استفاده بهینه از کلیه قابلیت های محیط سیتریکس نیاز دارند.

ادغام پایگاه های داده به منظور مدیریت آسان و متمرکز منابع

تیم IT شرکت The Royal Caribbean با همکاری Forthright Technology و Citrix مشکلات زیرساخت موجود را ارزیابی کردند و در قالب سند ۳۵۰ صفحه ای راهکاری برای ایجاد یک مدل متمرکز ارایه دادند، Jack McElwayne مدیر EAI شرکت Royal Caribbean Cruises اظهار داشت، تکنولوژی Forthright عامل کلیدی در دست یابی به این موفقیت است.

مشاوران Forthright و Citrix  زیرساختی یکپارچه برای مدیریت ساده تر و عملکرد بهتر در سطح جهانی ایجاد کردند. امروزه Citrix XenDesktop برنامه هایی چون Microsoft Windows desktops را به سرویسی که در هر لحظه در اختیار صدها کاربر به صورت همزمان قرار می گیرد تبدیل کرده است، Citrix XenApp امکان مدیریت مجازی و متمرکز  ۱۷۵ برنامه را برای اپراتورهای کروز پایگاه های داده ای که به تازگی به صورت یکپارچه فعالیت می کنند، را فراهم کرده است. Citrix XenClient نقش بسزایی در تسهیل مدیریت هزاران دسکتاپ مجازی در سراسر جهان دارد. فناوری Citrix CloudBridge قابلیت بهینه سازی WAN و اتصال یکپارچه به ابر را در فضای شرکت ها فراهم کرده است، Citrix NetScaler ADC موجب بهبود Load balancing به منظور دسترسی بهتر و ارتقا امنیت شده است. در نهایت سرویس Citrix Provisioning مدیران شبکه را در ارایه کامپیوتر های مجازی در هر لحظه به صورت انفرادی و یا  shared disk image، بدون نیاز به مدیریت و patch جداگانه سیستم ها، یاری می کند.

McElwayne  می گوید: ”  با قرار دادن CloudBridge در مراکز تماس، کلیه کارها از طریق دیتاسنتر واقع در فلوریدا صورت می گیرد. متمرکز کردن دیتاسنتر ها امکان توسعه مراکز تماس جدید در هر منطقه جغرافیایی بدون نیاز به تغییرات قابل توجه را فراهم کرده است”

مزایای کلیدی

هزینه های راه اندازی مراکز جدید به صورت قابل ملاحظه ای کاهش یافته است

 محیط سیتریکس جدید شرکت Royal Caribbean را در توسعه زیرساخت ها با هزینه پایین یاری کرده است، که موجب صرفه جویی در هزینه های عملیاتی شده است؛ با این راهکار شرکت به جای سرمایه گذاری در ایجاد دیتاسنترهای مستقر در هر یک از مراکز تماس، اعتبارات خود را در بهینه سازی زیرساخت های دیتاسنتر متمرکز خود سرمایه گذاری می کند. McElwayne می گوید: ” ما می توانیم یک زیرساخت بین المللی در کمترین زمان با حداقل هزینه استفاده کنیم که یک پیروزی بزرگ برای ما است”.

تسریع عملکرد و ارتقا قابلیت اطمینان

Royal Caribbean با استفاده از زیرساخت قوی و یکپارچه امکان ارایه سرویس های سریع و در دسترس با حداقل بار کاری مدیریتی برای تیم IT خود در ایالات متحده ، را فراهم کرده است. McElwayne می گوید: ”  ما شاهد کاهش ۳۰ درصدی ترافیک داده به دلیل استفاده از سیتریکس به منظور ذخیره سازی اطلاعات هستیم، این نوع فشرده سازی و تسریع در ارسال اطلاعات موجب ارتقا اطمینان و عملکرد سیستم شده است”.

ارتقا رضایت مشتریان

تکنولوژی سیتریکس موجب ارتقا بهره وری کارکنان مراکز تماس شده است که منجر به بهبود سرویس های ارایه شده به مشتریان می شود. Scott Hartman سرپرست بخش رزرو Royal Caribbean می گوید: ” با استفاده از سیتریکس امکان ارایه ساده تر حجم عظیمی از اطلاعات به مراکز تماس وجود دارد، این مساله در بهبود کلیه مراحل پردازش و ارایه آخرین دیتا به هر یک از Agent کمک شایانی می کند بدین ترتیب هریک از مراکز قابلیت پاسخگویی و کارایی بهتری خواهند داشت در نتیجه رضایت مشتریان را جلب می کنند.”

پیش بینی

Royal Caribbean  درصدد بهبود فرآیند های صورت گرفته در داخل کشتی و خارج از آن، از طریق بکارگیری سیتریکس است، به عنوان مثال کارمندان با استفاده از محیط BYOD ، امکان دسترسی امن به اطلاعات شرکت را،از طریق تلفن های هوشمند خود، خواهند داشت. این سطح از دسترسی و اطمینان نقش بسزایی در ارتقا  کیفیت ارایه خدمات به مشتریان ایفا می کند.

مقایسه محصولات دو شرکت Citrix و VMware در زمینه VDI و Virtual App

Vmware vs Citrix

مقایسه محصولات دو شرکت Citrix و VMware در زمینه VDI و Virtual App

مجازی­ سازی، تحولی عظیم در دنیای IT است که سعی دارد تا مشکل وابستگی میان ۴ لایه سیستم عامل، سخت افزار، داده و نرم افزار را در یک کامپیوتر از بین ببرد و از این طریق منجر به بهره وری در هزینه های سخت افزار و نرم افزار و نیز استفاده بهینه از تمامی منابع سیستمی، کاهش هزینه و کاهش مصرف انرژی شود. مجازی سازی انواع مختلفی دارد که مجازی سازی سرور، مجازی سازی دسکتاپ، مجازی سازی نرم افزار، مجازی سازی storage، مجازی سازی I/O و مجازی سازی شبکه از انواع آن هستند.

Citrix-Vmware

مجازی سازی دسکتاپ (Virtual Desktop Infrastructure): جهت انتقال دسکتاپ کاربران نهایی از کامپیوتر شخصی به فضای ابری استفاده می­شود. به عبارتی، دسکتاپ کاربران نهایی مجازی می­شود و آنها می­توانند به وسیله مثلا Thin Clientها به دسکتاپشان دسترسی پیدا کنند. در این حالت، سیستم عامل مورد استفاده از سخت افزار مستقل می­ شود و از این پس می­ توان بر روی سیستمی که تا به حال قادر به نصب مثلا Windows 10 نبودید این سیستم عامل را نصب کنید.

مجازی سازی نرم افزار (Virtual App): این روش جهت بسته بندی نرم افزار به کار می رود. به واسطه این روش می توانید نرم افزار مورد نظر را در هر جایی که می خواهید نصب کنید. نکته کلیدی در این روش، تجمیع کلیه فایلهای نرم افزار در یک فایل اجرایی می باشد. در این روش فایل مورد نظر از سخت افزار مستقل می شود.

شرکتهای VMware و Citrix دو قطب اصلی در مبحث مجازی سازی هستند. شرکت VMware به واسطه محصول Horizon در مجازی­سازی دسکتاپ و شرکت Citrix به واسطه محصولات مجازی سازی دسکتاپ و نرم افزار به ترتیب با نامهای XenDesktop و XenApp در زمینه مجازی سازی پرچم دار هستند.

دو محصول XenApp و XenDesktop با ارایه تنها راه حل کامل متحرک سازی اپلیکیشن­ها و دسکتاپهای ویندوز برای هر مورد استفاده، منجر به صنعت مجازی سازی دسکتاپ و اپلیکیشن شدند. راه حل ناقص و رویکرد با کمترین جذابیت دیدگاه Horizon شرکت VMware به تجربه کاربر آسیب می زند و باعث دردسرهایی برای IT می شود و در برخورد با مشکلات تجاری برای ارایه قابلیتهای اساسی به مشتریان شکست می خورد.

در ادامه به بررسی محصولات ارایه شده توسط دو شرکت Citrix و VMware در زمینه تکنولوژی­ مجازی سازی دسکتاپ و اپلیکیشن از ابعاد مختلف می­پردازیم.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای  Citrix و VMware را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید.
مقایسه محصولات Citrix XenApp & XenDesktop با VMware Horizon
ویژگی Citrix VMware توضیح
دسترسی به دسکتاپهای Hosted-Shared ویندوز و لینوکس فقط ویندوز
دسترسی به appهای (منتشر شده) مجازی ویندوز و لینوکس فقط ویندوز
تجمیع یکپارچه با Fat Clientها
ضمیمه شدن اتوماتیک appهای ویندوز و لینوکس و نیز appهای SaaS/Web به منوی Start  این ویژگی باعث می شود که برنامه های منتشر شده در ساختار VDI برای سهولت کار به صورت اتوماتیک در منوی Start کاربران قرار بگیرند.
پشتیبانی از ویژگی­های Windows Aero همچون App Switching و App Peak  این ویژگی این امکان را به شما میدهد تا بتوانید از App Switching  و Application peak که از امکانات Windows aero است استفاده کنید.
دسترسی یکپارچه به appهای محلی از داخل VDI یا نشستهای دسکتاپ Host shared
سادگی
کار مستمر با ویندوز ۱۰ بر روی هر دستگاه
HDX™ Mobile برنامه های ویندوز را برای با محیطهای صفحه لمسی سیار بهینه می­سازد.
گزینه کم هزینه اما با کارایی بالا برای endpointها با Citrix HDX Ready Pi
Reset کردن و unlock کردن پسورد توسط خود کاربر این امکان به شما این قابلیت را میدهد که کاربر در مواقعی که در زمان Login به مشکل بر میخورد بتواند خودش یک سری موارد مربوط به User Account را انجام دهد مانند تغییر پسورد و همچنین Unlock.البته این امکان زمانی برقرار میشود که کاربر به یک سری سوال ها جواب دهد و بعد از درست بودن جواب ها امکان مدیریت User Account برای کاربر مهیا خواهد شد.
پیکربندی خودکار کلایینت بر اساس آدرس ایمیل کاربر در Citrix  این امکان وجود دارد که کاربران بوسیله ایمیل سازمانی خود در VDI  عمل Login را انجام بدهند البته نیاز به تنظیمات در DNS است.
انتخاب خودکار بهترین مسیر اتصال میان کاربر و دسکتاپ مجازی با StoreFront Beacons and NetScaler Gateway Optimal Routing
کار مداوم و ساده کاربر با هر دستگاه محدود اولین و مهمترین موضوع در بحث VDI برمیگردد به User experience و راحتی کاربران برای دسترسی به دسکتاپها و همچنین دسترسی به نرم افزارهای منتشر شده است. شرکت  Citrix  تلاش زیادی در رابطه با این موضوع انجام داده است به شکلی که وقتی برنامه ای بر روی دسکتاپ اجرا میکند هیچ حسی به کاربر انتقال داده نمیشود که این نرم افزار بصورت محلی اجرا شده است یا بصورت  راه دور. مثلا شما میتوانید به راحتی برنامه های منتشر شده در منوی Start و حتی بر روی دستکتاپ خود داشته باشید و حتی مهم تر از همه بحث کارایی  مطرح است یعنی وقتی برنامه ای رو باز میکند کاربر احساس کند که این برنامه بصورت محلی اجرا شده است. شرکت VMware بر خلاف شرکت Citrix  خیلی تلاش بر روی این قضیه نگذاشته است و نسبت به Citrix  بسیار پایین تر است
واسط کاربر قابل شخصی سازی برای برندسازی و پیام رسانی به شرکت، اهداف پذیرش قانونی، درخواست app و جریانهای کاری موافقت محدود
اعمال خودکار تغییرات واسط کاربر به همه کلایینت­های گیرنده Citrix
گسترش مقدار Chromebookها با فراهم­سازی عملکرد مورد انتظار انها همچون پشتیبانی از چندین مانیتور، پنجره های یکپارچه، تعیین مسیر USB، چاپ کردن یا پشتیبانی از حرکات و multi-touch محدود
پشتیبانی از نشستهای کاربر بی نام برای موردهای استفاده کیوسک و hot-desk این امکان به شما این قابلیت را میدهد که در مکان های مانند کیوسک یا محیط های عمومی مانند کتابخانه ها افراد بتوانند بدون عمل احراز هویت به دسکتاپ ها وapp ها در محیط VDI دسترسی داشته باشند
پشتیبانی گسترده برای دسکتاپ­ها و appهای مبتنی بر لینوکس محدود
کارایی
کارایی بهینه نشست با HDX™ حتی در ارتباطات WAN در مسافت طولانی، پهنای باند محدود، با تاخیر بالا محدود Citrix به وسیله پروتکل HDX کارایی مربوط به نشست حتی نشست هایی با مسافت طولانی و بر روی بستر WAN هستند را بسیار بهینه میکند. Horizon هم به طبع این کار را انجام میدهد اما بسیار محدود هست.
کارایی عملکرد نزدیک به بومی در شبکه­های با تاخیر بالا و اتلاف بسته زیاد با HDX همراه با Framehawk
تعیین مسیر ویدئوهای HTML5 (وبسایتهای داخلی) برای بهترین تجربه کاربر و مقیاس­پذیری بالای سرور
تجمیع با دستگاههای بهینه ­سازی WAN NetScalarSD-WAN برای ترافیک شبکه کمتر تا ۸۰%
ارایه تصاویر با رزولوشن بالا با هزینه قابل قبول به وسیله پشتیبانی از Intel Iris Pro Virtual GPU sharing (GVT-g)
پشتیبانی از سرعت تصاویر با GPUهای فراهم شده توسط Intel، AMD و NVIDIA محدود این ویژگی به شما این امکان را میدهد تا از graphic acceleration بوسیله GPU  بر روی کارت گرافیگ های Intel  و AMD و NVIDIA   استفاده کنید.
چاپ DRIVER-LESS و HASSLE-FREE از هر دستگاه و با کمترین مصرف پهنای باند محدود
بهینه­ سازی برای راه حل­های یکپارچه ارتباطات مثل Skype for Business، Cisco Jabber، تاخیر را با پردازش رسانه محلی صوت و ویدئو کاهش می­دهد. محدود به VDI
XenDesktop همراه با Netscalar از داده­ها و appهای شرکت محافظت می­کند
یک Gateway توکار برای دسترسی راه دور شرکت Citrix برای ارتباط کاربران راه دور (اینترنت) از ابزاری استفاده میکند به نام Netscaler Gateway که به شما این امکان را میدهد که کاربران بر روی اینترنت هم بتوانند از طریق بستر SSL به منابع شما در دیتاسنتر متصل شده و از منابع استفاده کنند. همین حالت دقیقا برای Horizon هم موجود است. در Horizon شما دو انتخاب دارید Security server  و AP server.که شما میتوانید از ان ها به عنوان Gateway استفاده کنید.
امنیت بالا با احراز هویت چند فاکتوری و گزارش گیری فعالیت برای پشتیبانی تطبیق برای امنیت بیشتر شما میتوانید از چندین روش احراز هویت استفاده کنید.
شناسایی بلادرنگ حمله و تصحیح حملات zero-day (در ترکیب با XenServer 7 و Bitdefender HVI)
پشتیبانی برای قابلیت­های امنیتی پیشرفته ویندوز مثل Bitlocker (در داخل یک VM)، Device Guard، Credential Guard، Shielded VMs یا Guarded Fabric
ثبت نشست برای تطبیق و عیب یابی پیشرفته
SmartAccess و SmartControl برای کنترلهای سیاست آگاه از زمینه ریزدانه محدودیتهای دسترسی مبتنی بر سناریو برای appهای مجازی و منایع کلایینت
تحلیل endpoint پیشرفته پیش از احراز هویت، برای محدودیتهای قابلیت نشست و app مورد نظر
شناسایی jailbreak (شکستن محدودیتهای اپل) برای دستگاههای iOS
کنترل­های آگاه از محتوا و دانه ­ای (granular) برای نگاشت clipboard
یکپارچه شده با راه حل VPN SSL درجه enterprise
XenDesktop برای app مجازی و قابلیت­های مدیریت دسکتاپ محدودیتی ایجاد نمی­کند
زیرساخت کنترل کننده و قابلیتهای خودکار با قابلیت دسترسی بالا با قابلیتهای failover خودکار در Citrix این قابلیت وجود دارد که شما میتوانید که برای هر مولفه بیش از یک سرور داشته باشید. برای بحث دسترس پذیری بالا. در Horizon  هم چنین قابلیبتی وجود دارد که بیش از یک سرور را برای بخش های مختلف داشته باشید
پشتیبانی پلتفرم وسیع از XenServer، Hyper-V، vSphere، Nutanix Acropolis، Amazon AWS، Microsoft Azure Google Compute ENGINE (به زودی) با فراهم سازی VM خودکار و نیز IBM Softlayer و سیستمهای فیزیکی با فراهم سازی دستی محدود به vSphere شرکتCitrix  از پلتفرمهای  Hyper-v ,XenServer ,vSphere ,Google Cloud ,Amazon  و چند مورد دیگر میتواند استفاده کند. Horizon فقط از پلتفرم مربوط به vSphere  میتوانند استفاده کند.
یکپارچه سازی با دستگاههای ابرهمگرای Nutanix
آسان برای برپایی با ۵ دقیقه راه اندازی و کنسول Studio™ آسان برای استفاده
مدیریت پروفایل کاربر توکار برای دسکتاپها و سرورها در هر دو محصول ابزار هایی برای مدیریت پروفایل کاربران موجود هست، مانند Personal vDisk  و همچنین Personal       Management  و استفاده از Roaming Profile
مدیریت لایسنس متمرکز برای به اشتراک گذاری همزمان لایسنس کاربر با ردیابی استفاده و Disaster Recovery ساده
توانایی برای میزبانی و انتشار هر app (16، ۳۲ و ۶۴ بیتی/غیرسازگار با OS سرور) به وسیله appهای VM-Hosted
پشتیبانی از appهایی که آدرس loopback را برای ارتباطات داخل فرآیندی استفاده می­کنند (Virtual IP Loopback)
دسترسی از راه دور امن به PCهای دسکتاپ فیزیکی (RemotePC) با پشتیبانی از Wake-on-LAN
استفاده از PCهای قدیمی به روش جدید با Receiver Desktop Lock
تحلیل بلادرنگ ابتکاری کاربر و app برای بهینه­سازی RAM، CPU، ورودی/خروجی (I/O)  (تا ۷۰% میزان کاربر بیشتر)
بهینه سازی در مسیر صنعت زمانهای ورود کاربر (زیر ۱۵ ثانیه) با مدیریت محیط فضای کار (Workspace Environment Management)
مقیاس­پذیری
مقیاس­پذیری Enterprise برای +۱۰۰۰۰۰ کاربر و ۱۰۰۰ سرور محدود
توازن بار NetScalar (اختیاری) برای ۹۹٫۹۹۹% قابلیت دسترسی بالا
پشتیبانی از زیرساختهای توزیع شده ماژولار/سراسری برای دسکتاپ­ها و appها محدود
تصویرسازی فولدر app برای مجموعه های بزرگ app
پشتیبانی از مانیتورینگ
کنسول پشتیبانی از کاربر نهایی توکار برای مدیریت کارای رویداد(شامل روند عملکرد گذشته) محدود یکی از موارد مهم مانیتورینگ و همچنین انجام موارد Helpdesk از راه دور هست..Citrix با استفاده از یک کنسول بومی با نام   Director به شما این امکان را میدهد که بصورت کاملا ریز دسکتاپ ها و نرم افزارهای باز شده توسط کاربران و همچنین منابع مورد استفاده توسط دسکتاپها را مانیتور کنید و علاوه بر مانیتورینگ به شما این امکان را میدهد که دسکتاپ کاربران دیده و ان ها رو مدیریت کنید از طریق امکانی با نام Shadowing. در Horizon  امکان مانیتورینگ دسکتاپها وجود دارد اما نه خیلی کاربردی طوری که باید از ابزار دیگری با نام vRops استفاده کرد.
روند و آمار استفاده از app مجزا
لیست موجودی Hotfix برای عیب یابی آسان
مانیتورینگ سطح شبکه بلادرنگ و روند یکپارچه شده با بینش HDX
یکپارچگی با مدیر عملیات مرکز سیستم (SCOM) برای مانیتورینگ بسته زیرساخت کامل SCOM یک ابزار مانیتورینگ بسیار پر قدرت مایکروسافتی است که شما میتوانید تمام شبکه خودتون رو بصورت متمرکز مانیتور کنیید. شرکتCitrix  قابلیت یکپارچگی با SCOM رو دارد به شکلی که شما میتوانید در کنسول SCOM تمام پخش ها Citrix را مدیریت کنید. Horizon   به شما امکان یکپارچگی  با SCOM رو نمیدهد
بهترین تحلیل عملی، پیشنهادات امنیتی، تشخیص­ها و تفکیک مورد به وسیله Citrix Insight Services/Smart Check
مدیریت app و سیستمها
مدیریت تصویر توکار برای دسکتاپ­ها و سرورها (فیزیکی و مجازی)
مدیریت تصویر واحد آماده enterprise برای دسکتاپهای مجازی مبتنی بر لینوکس
تحلیل footprint ورودی/خروجی دسکتاپها/سرورهای مجازی با بیش از ۹۰% با تکنولوژی­های storage caching
سازگاری app و آزمایش قابلیت همکاری یکپارچه شده، کشف وابستگی و ارزیابی تصویر با AppDNA
App ساده شده و مدیریت دسکتاپ با لایه بندی app Citrix
·        سازگاری app بالا متوسط
·        مدیریت تصویر واحد درست
·        یکپارچه شده با VDI/HSD
·        Cloud Ready
·        زمانهای شروع و ورود به app پایین بالا
·        هر زیرساخت
·        لایه بندی سیستم عامل
·        مدیریت Enterprise
·        Versioning
·        App Rollback
انتشار منعطف app بر اساس تگ­های سرور و app، مدیریت روزانه و فعالیت­های rollout را آسان می کند.
app به حد تعداد کاربرانی که به یک app دسترسی دارند و/یا به حد تعداد موارد از appها که به طور همزمان نیاز به منابع زیاد دارند، محدود می­شود.
مدیریت توان VM پیچیده برای کارایی بالای توان (دسکتاپها/سرورها) محدود مدیریت توان در Citrix  بسیار پیشرفته است حتی در حدی که شما میتوانید زمانبندی کنید که در چه زمان هایی از روز و حتی چه روزهایی در هفته چنر ماشین مجازی روشن و همچنین میتوانید از درصد هم استفاده کنید. Horizon هم همچین امکانی دارد اما به اندازه ی Citrix شما حق انتخاب زیادی ندارید و فقط یک سری موارد ثابت هستند که میتوانید استفاده کنید
مکانیزمهای منعطف برای راه اندازی مجدد خودکار VM (شامل اعلانهای کاربر)
یکپارچگی App-V مایکروسافت برای مدیریت تحویل app متمرکز
یکپارچگی با مدیر عملیات مرکز سیستم
یکپارچگی با مدیر پیکربندی مرکز سیستم مایکروسافت برای مدیریت و انتشار app
آپگریدهای زیرساخت منعطف و در هم گسیخته و پشتیبانی ورژن اصلی ۱-/+N

 

 

 

 

 

 

 

تفاوت سرویس VDI در HYPER-V و VMWARE

تاریخ مجازی سازی:

IBM در اوایل دهه ۱۹۶۰ طیف گسترده ای از سیستم ها را داشت،هر نسل از آنها اساسا متفاوت از گذشته بود. این باعث شد که مشتریان با تغییرات و الزامات هر یک از سیستم های جدید دچار مشکل شوند همچنین، کامپیوترها تنها می توانستند در یک زمان یک کار انجام دهند. اگر شما دو وظیفه دارید تا انجام دهید مجبور بودید فرایندها را در یک به یک اجرا کنید.این نیاز پردازش دسته ای برای آی بی ام مشکل بزرگی نبود زیرا اکثر کاربران خود در انجمن علمی بودند و تا آن زمان به نظر می رسید که پردازش دسته ای نیاز مشتری را برآورده می کند. به دلیل طیف وسیعی از نیازهای سخت افزاری،آی بی ام شروع به کار روی سیستم اصلی S / 360 کرد ، این سیستم به عنوان یک جایگزین گسترده برای بسیاری از سیستم های دیگر طراحی شده بود.

1

وقتی سیستم برای اولین بار طراحی شد، یک سیستم تک کاربر برای اجرای دسته ای از مشاغل بود. با این حال، این سیستم در ۱ ژوئیه سال ۱۹۶۳ شروع به تغییر کرد ، زمانی که موسسه فناوری ماساچوست (MIT) پروژه MAC را ارائه کرد، پروژه MAC برای ریاضیات و محاسبات طراحی شده بود اما بعدا به نام Multiple Access Computer نامگذاری شد. پروژه MAC با سرمایه گذاری ۲ میلیارد دلاری DARPA و با هدف تحقیق در رایانه ها به ویژه در زمینه سیستم عامل و هوش مصنوعی راه اندازی شد. از دست دادن این فرصت باعث جلب توجه IBM شد به ویژه هنگامی که IBM از نیازهای آزمایشگاه Bell برای سیستم مشابه با خبر شد. در پاسخ به نیازهای MIT و Bell Labs ؛ IBM سیستم (  Mainframe CP-40 ) را طراحی کرد.Mainframe CP-40 هرگز به مشتریان فروخته نشد و فقط در آزمایشگاه ها مورد استفاده قرار گرفت، CP-40 بعدا به Mainframe CP-67 تبدیل شد. که اولین سیستمی بود که از مجازی سازی پشتیبانی می کرد. سیستم عامل که روی CP-67 اجرا می شود، به عنوان CP / CMS شناخته می شود. CP برای کنترل برنامه و CMS مخفف Console Monitor System است. CMS یک سیستم عامل کوچک تک کاربره بود و CP برنامه ای بود که ماشین های مجازی را ایجاد کرد. ایده این بود که CP بر روی Mainframe اجرا شود و ماشین های مجازی را ایجاد کند ؛ سپس کاربر با CMS ارتباط برقرار می کرد. بخش رابط کاربر (CMS ) اهمیت زیادی داشت زیرا قبل از این سیستم، IBM بر سیستم هایی تمرکز کرده بود که در آن رابط کاربری وجود نداشت. شما می توانستید برنامه خود را به کامپیوتر بدهید، کامپیوتر برنامه را انجام می داد؛ سپس خروجی را به یک چاپگر یا یک صفحه نمایش ، نمایش می داد اما یک سیستم عامل با رابط کاربری به این معنی بود که در حین اجرای برنامه شما می توانستید به نحوی در تعامل با برنامه باشید. اولین نسخه سیستم عامل CP / CMS به نام CP-67 شناخته شد، اما تنها در آزمایشگاه استفاده شد.رویکرد اولیه برای به اشتراک گذاری کامپیوتر، تقسیم حافظه و سایر منابع سیستم بین کاربران بود، یک نمونه اولیه به اشتراک گذاری سیستم عامل MultiCS بود. MultiCS به عنوان بخشی از پروژه MAC در MIT ایجاد شد. تحقیق و توسعه بیشتر در MultiCS در Bell Labs انجام شد و بعدا به Unix  تبدیل شد.

شرکت پایه ریزان فناوری هوشمند توانایی ارائه مشاوره و راه اندازی راهکارهای VDI را دارد، جهت مشاوره با کارشناسان ما تماس بگیرید

مزایای اصلی استفاده از ماشین های مجازی در مقابل به اشتراک گذاری سیستم عامل، استفاده کارآمد از سیستم بود، زیرا ماشین های مجازی قادر به اشتراک گذاشتن منابع کلی سیستم اصلی بودند، امنیت بهتر هر کاربر در یک سیستم عامل

کاملا جداگانه وجود داشت.در طول دهه ۱۹۸۰ شرکت اینتل چند محصول طراحی کرد با نام های Simultask و Merger / 386 که MS-DOS را به عنوان سیستم عامل guest  اجرا می کردند.اواخر دهه ۱۹۹۰ موج جدیدی از مجازی سازی را به وجود آورد، در سال ۱۹۹۷ Connectix کامپیوتر مجازی را برای مکینتاش منتشر کرد. بعدها، Connectix یک نسخه برای ویندوز منتشر کرد. در سال ۱۹۹۹، VMware ورود خود را به مجازی سازی معرفی کرد.

2

 

انواع مجازی سازی:

۱- Desktop Virtualization

۲- Server Virtualization

۳- Storage Virtualization

۴- Network Virtualization

۵- Application Virtualization

 

(VDI) دسکتاپ مجازی چیست؟

دسکتاپ مجاری (VDI) سازمانها را قادر می سازد تا دسکتاپ های مبتنی بر ماشین مجازی را اجرا کند و این امکان را فراهم میکند تا کاربران نهایی بدون توجه به دستگاه و مکان به انها دسترسی داشته باشد. اگر چه VDI می تواند به کاهش هزینها ، امنیت داده ها و دسترسی از راه دور کمک کند، اما به دلیل پیچیدگی آن هنوز به طور گسترده ای مورد استفاده قرار نگرفته است .VDI اجازه می دهد تا کاربران بر روی دسکتاپ و برنامه های کاربردی که در داخل ماشین های مجازی (VM) اجرا می شوند کار کنند و این ماشین های مجازی (VM) در سرورها یا در فضاهای ابری (cloud) اجرا میشوند. VDI سازمانها را قادر می سازد تا مدیریت و کاهش هزینه ها را با ادغام کنند.

 

3

 

VDI چگونه کار می کند؟

یک خط ارتباطی و یک hypervisor جزء اصلی VDI است. خط ارتباطی اجازه می دهد تا کاربر نهایی به یک دسکتاپ مجازی در دسترس متصل شود در حالی که hypervisor در واقع دسکتاپ مجازی را اجرا می کند.

hypervisor مدیران فناوری اطلاعات را قادر می سازد گروهی از دسکتاپ های مجازی ایجاد کنند. به این مجموعه از دسکتاپ های مجازی ، استخر دسکتاپ های مجازی (virtual desktop pool) میگویند. Poolها معمولا برای کاربرانی ایجاد میشود که نیازهای مشابه دارند مانند منابع مالی و انسانی، نیاز به برنامه های کاربردی خاص و …

دسته بندی دسکتاپ مجازی اجازه می دهد تا کارکنان IT  ساده تر تنظیمات و پیکربندی را انجام دهند .

از شرکت های فعال در این ضمینه میتوان به VMware ، Microsoft ، Citrix ، Oracle ، Parallels و… اشاره کرد .

در این مقاله قصد داریم به مقایسه دو شرکت VMware ، Microsoft که در این ضمینه از همه پیشی گرفته اند بپردازیم.

ابتدا به بررسی این دو شرکت به طور کلی میپردازیم.

Microsoft Hyper-V   چیست؟

مایکروسافت Hyper-V برای ارائه مجازی سازی برای سازمان هایی با یک مرکز داده طراحی شده است. Hyper-V با Windows Server نصب میشود ، یا می تواند به عنوان یک سرور مستقل، به نام Hyper-V Server نصب شود و این سرور مجموعه ای از ابزارهای مدیریت یکپارچه را ارائه می دهد.

4

جنبه های مثبت Hyper-V :

  • می تواند سرورهای مجازی جدید را در عرض چند دقیقه ایجاد کند
  • پشتیبان گیری آسان
  • امنیت جامع از طریق Windows Active Directory
  • قیمت پایین تر

جنبه های منفیHyper-V

  • Hyper-V (2012R2) از تعداد محدودی از سیستم عامل guest

پشتیبانی می کند

  • نیاز به Update سیستم عامل ویندوز در طول عمر محصول دارد

VMware vSphere چیست؟

VMware vSphere یک   hypervisorمحبوب برای سازمان هایی است که امیدوار هستند به برخی از درجه مجازی سازی دست پیدا کنند. در حال حاضر در نسخه  ۶.۵ ، vSphere موجود است، که می تواند انتخاب خوبی برای شرکت هایی باشد که کاملا مجازی هستند.

چندین نوع مختلف از vSphere بسته به نیازهای سازمانی وجود دارد .

vSphere Standard ، Enterprise Plus  و Operations Management Enterprise Plus ویژگی های مختلف را ارائه می دهند که این امراجازه می دهد سازمان ها بهترین پوشش را برای نیازهای خود انتخاب کنند

5

جنبه های مثبت vSphere:

  • در دسترس بودن پشتیبانی با کیفیت بالا
  • ممکن است مناسب و مطلوب برای شرکت های بزرگ باشد
  • پشتیبانی گسترده سیستم عامل

جنبه های منفی  vSphere:

  • نسخه های رایگان و آزمایشی قابلیت های کامل را ارائه نمی دهند
  • یادگیری به مراتب سخت تر

 

هزینه های Hyper-V و VMware:

هزینه های Hyper-V و vSphere عمدتا به تعداد پردازنده ها و محیط های سیستم عامل (OSE) بستگی دارد. License   برای Hyper-V مجانی است ، هر چند سازمان ها می توانند بسته به پردازش و اهداف سیستم عامل مبالقی پرداخت کنند.License   برای VSphere می تواند با هزینه های اضافی برای پشتیبانی از ۹۹۵ دلار به ۴,۲۴۵ دلار متغیر باشد.VMware  و Hyper-V یک نسخه رایگان ارائه می دهند با این حال، نسخه های آزمایشی VMware بعضی از قابلیت ها را پشتیبانی نمیکند. در مقابل، نسخه رایگان Hyper-V قابلیت های کاملی را ارائه می دهد

مقیاس پذیری :

عامل مقیاس پذیری Hyper-V کمی بیش از vSphere است. حداکثر پتانسیل هر عامل در جدول زیر شرح داده شده است:

Resource Hyper-V (2016) VMWare vSphere Hypervisor
Host Logical Processors ۵۱۲ ۵۷۶
Host Physical Memory ۲۴ TB ۱۲ TB
Host Virtual CPUs Per Host ۲,۰۴۸ ۴۰۹۶
VM Virtual CPUs Per VM ۲۴۰ for generation 2;
۶۴ for generation 1;
۱۲۸
VM Memory Per VM ۱۶TB ۶ TB
VM Active VMs Per Host ۱,۰۲۴ ۵۱۲
VM Guest NUMA Yes Yes
Cluster Maximum Nodes ۶۴ NA
Cluster Maximum VM ۸,۰۰۰ NA

 

Hyper-V و VMware هرکدام دارای برنامه ای برای اجرای Desktop Virtualization هستند.

در Hyper-V سرویسی با نام Remote Desktop Services (RDS) این امکان را فراهم میکند و در VMware برنامه ای به نام VMware Horizon View این قابلیت را فراهم میکند.

Microsoft RDS :

 6

 

Remote Desktop Services (RDS) به کاربران اجازه می دهد تا از راه دور دسک تاپ های گرافیکی و برنامه های ویندوز دسترسی پیدا کنند.

اجزای RDS عبارتند از:

  • Remote Desktop Connection Broker: connection broker کاربران را به دسکتاپ متصل می کند. اگر یک کاربر اتصال به یک دسک تاپ را از دست می دهد،connection broker اجازه می دهد تا کاربر ارتباط برقرار کند بدون اینکه از حالت دسکتاپ مجازی خارج شود.
  • Gateway Desktop: این کامپوننت اجازه اتصال به دسکتاپ های مجازی و برنامه های RemoteApp را از طریق اینترنت می دهد.
  • Remote Desktop Licensing: این کامپوننت برای استفاده از RDS به شما مجوز استفاده می کند.
  • Host Virtualization Remote Desktop: این قسمت است که دسکتاپ مجازی را میزبانی می کند.
  • Remote Desktop Web Access: این کامپوننت به کاربران امکان دسترسی به دسک تاپ های راه دور و یا برنامه های RemoteApp را از طریق یک مرورگر وب می دهد.

Remote Desktop Services applications و Remote Desktop Services را می توان از انواع مختلف دستگاه های مانند سیستم عامل و همچنین مرورگرهای HTML5 و دستگاهای جاوا، دسترسی پیدا کرد. کاربران از طریق remote display protocol  با سرویس های Remote Desktop Services ارتباط برقرار می کنند.

ارتباط کاربر با سرویس های Remote Desktop ممکن است با پهنای باند شبکه یا قابلیت های remote display protocol  محدود شود.

VMware Horizon View:

 

 7

VMware View قابلیتهای Remote را برای کاربران فراهم می کند که از تکنولوژی مجازی سازی VMware استفاده می کنند. یک سیستم عامل دسکتاپ  معمولا مایکروسافت ویندوز ۷ یا ویندوز ۱۰ ، در یک محیط مجازی روی سرور اجرا می شود. محصول VMware View یکی از اجزای مورد نیاز برای ارائه دسکتاپ مجازی است.

اجزای Horizon View عبارتند از:

  • View Connection Server: یک سرویس نرم افزاری است که به عنوان یک رابط برای اتصالات مشتری عمل می کند.
  • View Agent: یک سرویس نرم افزاری است که بر روی تمامی ماشینهای مجازی guest نصب شده است تا اجازه دهد که آنها توسط View مدیریت شوند.
  • View Client: نرم افزار کاربردی است که با View Connection Server ارتباط برقرار می کند تا کاربران بتوانند به دسکتاپ خود متصل شوند.
  • View Client with Local Mode: یک نسخه از View Client است که برای پشتیبانی از ویژگی های local desktop توسعه یافته است، که به کاربران امکان می دهد تا ماشین های مجازی را دانلود و از سیستم های محلی خود استفاده کنند.
  • View Administrator: یک برنامه وب است که به مدیران اجازه می دهد تا پیکربندی View Connection Server، پیکربندی و مدیریت دسکتاپ، کنترل احراز هویت کاربران، ایجاد و بررسی رویدادهای سیستم، و انجام فعالیت های تحلیلی را انجام دهد.
  • vCenter Server: یک سرور است که به عنوان یک مدیر مرکزی عمل می کند و تهیه و مدیریت ماشین های مجازی درdatacenter را فراهم می کند.
  • View Transfer Server: یک سرویس نرم افزاری است که مدیریت و انتقال اطلاعات بین مرکز داده و نمایش دسکتاپ را آسان می کند.

 

VMware Horizon View Microsoft RDS
جنبه های مثبت
  •  زمان بوت شدن سریعتر
  •  توانایی ایجاد انواع مختلفی از گروه های (pool)و سازماندهی بخش های مختلف.
  •  کاربران نیازی به فراگیری کامل نحوه استفاده از View Client و اتصال به دسکتاپ خود ندارند.
  •  پیکربندی آسان
  • اتصال سریع
  • استفاده کم از حافظه و منابع
  • سهولت کنترل از لحاظ مدیریتی
جنبه های منفی 
  • نیاز به نصب View Composer در یک سرور متفاوت برای شناسایی آن.
  • قادر به اشتراک کلونهای مرتبط در چندین کاربر نیست
  • برنامه ها گاهی اوقات حافظه را در ویندوز ۱۰ کاملا اشقال می کند و باعث می شود از منابع بیشتری استفاده شود.
  • رابط گرافیکی منسوخ شده است
  • تنظیمات شخصی دشوار
  • گاهی اوقات CRASH غیر منتظره در طول کار وجود دارد