cisco-router-icon

بازیابی پسورد روتر یا Password Recovery

بازیابی پسورد روتر یا Password Recovery

Password Recovery عملیاتی است که در آن پسورد فراموش شده سیسکو را تغییر می دهیم. برای اینکار به دسترسی فیزیکی به دستگاه و ارتباط کنسول نیاز داریم. به صورت نرمال روتر از مراحل زیر برای boot شدن استفاده می کند:

۱- روتر روشن شده و توسط ROM راه اندازی می شود.

۲- روتر Configuration-Register را چک می کند.

۳- روتر فایل Configuration را داخل NVRAM، Load می کند تا IOS آن را بخواند.

۴- براساس configuration، IOS را انتخاب می کند و IOS را درون Ram، Decompress می کند.

Configuration-Register به میزان ۲ بایت است که به صورت HEX نشان داده می شود. توسط این مقدار مشخص می شود روتر از چه و به چه صورتی Boot شود. در ضمن سرعت پورت Console و مشخصات دیگری نیز توسط این ۲ بایت گزارش می گردد که از حوصله بحث ما خارج است.

tk-cisco-routers-vpnclient-1  بازیابی پسورد روتر یا Password Recovery tk cisco routers vpnclient 1

برای اینکه از شر پسورد خلاص شویم باید روتر را بدون Configuration بالا آوریم. برای اینکار باید سراغ Configuration-Register رفت و مرحله ای که در آن configuration خوانده می شود را از کار انداخت. برای اینکار Configuration-Register را باید به ۰x2142 تغییر دهیم. اما مشکل اینجاست که دسترسی به روتر نداریم(زیرا رمز عبور گمشده است). پس باید روتر را خاموش/روشن کنیم:

در زمان بوت شدن IOS از کلیدهای Ctrl+Break استفاده می کنیم تا این مرحله قطع شده و ما را به ROMMON ببرد. در ROMMON می توانیم با دستور confreg 0x2142 روتر را مجبور کنیم تا فایل Configuration را نخواند و مثل یک روتر جدید بدون تنظیم بوت شود.

بعد از تنظیم Confreg دستور i یا Initialize را زده تا روتر Reload شود و می بینیم که روتر بدون تنظیم بالا آمد. سپس درون Enable رفته و محتویات NVRAM کپی می کنیم (Copy running-config startup-config) سپس مقدار Configuration-register را به عدد ۰x2102 برمیگردانیم.

مراحل فوق به ترتیب عملکرد:

۱٫ روتر را Reboot می کنیم.

۲٫ در حین بوت شدن روتر کلیدهای Ctrl+Break را فشار می دهیم.

۳٫ ROMMON> confreg 0x2142

4. ROMMON> i

5. Router> enable

6. Router# copy startup-config running-config

7. Router# config terminal

8. Router(config)# enable secret newpassword

9. Router(config)# configuration-register 0x2102

10. Router(config)# exit

11. Router# copy running-config startup-config

باید توجه داشت که در مرحله ۶ از NVRAM به RAM کپی می کنیم و پس از تغییر Password اینبار در مرحله ۱۱ از RAM به NVRAM کپی انجام می شود تا configuration را از دست نداده و تنها Enable secret را تغییر دهیم.

نکته مهم اینست که هربار فایلی به NVRAM ریخته می شود جای فایل قبلی را می گیرد (یا Replace می شود). اما وقتی فایلی به RAM کپی می شود با محتویات RAM؛ Merge می شود.

از آنجا که دستور Shutdown در روتر جدید و بدون config روی interface ها به صورت پیش فرض قرار دارد، بعد از مرحله Password Recovery باید Interface ها را بصورت دستی No shut کنیم.

1464108950_vector_65_10

امنیت تجارت الکترونیک(بخش۳)

تجارت الکترونیک

ماده ۱- این قانون مجموعه اصول و قواعدی است که برای مبادله آسان و ایمن اطلاعات در واسطه‌های الکترونیکی و با استفاده از سیستمهای ارتباطی جدید به کار می‌رود.

ماده ۲- الف –داده پیام[۱]: هر نمادی از واقعه، اطلاعات یا مفهوم است که با وسایل الکترونیکی، نوری و با فناوری‌های جدید اطلاعات تولید، ارسال، دریافت، ذخیره یا پردازش می‌شود.

ب- اصل ساز[۲]: منشا اصلی داده پیام است که داده پیامبه وسیله او یا از طرف او تولید یا ارسال می‌شود اما شامل شخصی که در خصوص داده پیام به عنوان واسطه عمل می‌کند نخواهد شد.

ج- امضای الکترونیکی[۳]: عبارت از هر نوع علامت منضم شده یا به نحو منطقی متصل شده به ((داده پیام)) است که برای شناسایی امضاء کننده ((داده پیام))، مورد استفاده قرار می گیرد.

ماده۳- در تفسیر این قانونهمیشه باید به خصوصیت بین المللی، ضرورت توسعه هماهنگی بین کشورها در کاربرد آن و رعایت لزوم حس نیت توجه کرد.

ماده ۴- در مواقع سکوت و یا ابهام باب اول این قانون، محاکم قضایی باید بر اساس سایر قوانین موضوعه و رعایت چهارچوب فصول و مواد مندرج در این قانون، قضاوت نمایند.

ماده ۷۴- هر کس در بستر مبادلات الکترونیکی با تکثیر، اجرا و توزیع (عرضه و نشر) مواردی که در قانون حمایت حقوق مولفان، مصنفان و هنرمندان مصوب ۳/۹/۱۳۴۸٫ و قانون ترجمه و تکثیر کتب و نشریات و آثار صوتی مصوب ۲۶/۹/۱۳۵۲ و قانون حمایت از حقوق پدید آورندگان نرم افزارهای رایانه ای مصوب ۴/۱۰/۱۳۷۹، منوط بر آنکه امور مذکور طبق مصوبات مجلس شورای اسلامی مجاز شمرده شود، در صورتی که حق تصریح شده مولفان را نقض نماید به مجازات سه ماه تا یک سال حبس و جزای نقدی به میزان پنجاه میلیون (۰۰۰/۰۰۰/۵۰) ریال محکوم خواهد شد.ماده ۷۵- متخلفین از ماده (۶۴) این قانون و هر کس در بستر مبادلات الکترونیکی به منظور رقابت، منفعت و یا ورود خسارت به بنگاههای تجاری، صنعتی، اقتصادی و خدماتی، با نقص حقوق قراردادهای استخدام مبنی بر عدم افشای اسرار شغلی و یا دستیابی غیرمجاز، اسرای تجاری آنان را برای خود تحصیل نموده و یا برای اشخاص ثالث افشا نماید به حبس از شش ماه تا دو سال و نیم و جزای نقدی معادل پنجاه میلیون (۰۰۰/۰۰۰/۵۰) ریال محکوم خواهد شد.

ماده ۷۶- متخلفان از ماده (۶۶) این قانون به یک تا سه سال حبس و جزای نقدی از بیست میلیون (۰۰۰/۰۰۰/۲۰) ریال تا یکصد میلیون (۰۰۰/۰۰۰/۱۰۰) ریال محکوم خواهند شد.

چارچوب تجارت الکترونیک

چارچوب های تجارت الکترونیک از سه سطح تشکیل شده است که متضمن موفقیت تجارت الکترونیک می باشند.به عبارت دیگر تجارت الکترونیک از درگیری این سه مولفه(قالب)شکل میگیرد.این برداشت در شکل ۱ نشان داده شده است.

k  امنیت تجارت الکترونیک(بخش3) k

تعریف امنیت اطلاعات

 

امنیت اطلاعات[۱]به حفاظت از اطلاعات و به حداقل رساندن خطر افشای اطلاعات در بخشهای غیرمجاز اشاره دارد.امنیت اطلاعات مجموعه ای از ابزارها برای جلوگیری از سرقت،حمله،جنایت،جاسوسی وخرابکاری و علم مطالعه روشهای حفاظت از داده ها دررایانه ها و نظامها ی ارتباطی در برابر دسترسی و تغییرات غیرمجاز است. باتوجه به تعاریف ارائه شده، امنیت به مجموعه ای از تدابیر،روشها و ابزارها برای جلوگیری ازدسترسی و تغییرات غیرمجاز در نظامهای رایانه ای و ارتباطی اطلاق میشود.

امنیت اطلاعات در تجارت الکترونیک

به‌منظور برقرارى امنیت اطلاعات درتجارت الکترونیک، استانداردها و تکنولوژى محافظتخاصى مورداستفاده قرار مى‌گیرد. متدهاى امنیت اطلاعات درواقع حاصل ترکیب مفاهیممنطقى و ریاضى است که درقالب الگوریتم‌هایى ارائه گردیده‌اند. در حال حاضر به‌طور فزاینده‌اى اطلاعات مالی، اعتبارى و شخصى از شبکه‌هاى مبتنى براینترنت در سرتاسر جهان استفاده مى‌نمایند. از سوى دیگر ازآنجایى که مسیر گردشاطلاعات و منابع روى شبکه بسیارند، لذا مشخص نمى‌باشد که اطلاعات مذکور کجا مى‌روندو چه اشخاصى از آنها بهره‌بردارى مى‌نمایند. بدین ترتیب حفظ امنیت اطلاعات از مباحثمهم تجارت الکترونیک به‌شمار مى‌آید. هرچند امنیت مطلق وجود ندارد اما لااقل براىبرخوردارى از یک وضعیت غیرشکننده مى‌باید هزینه‌هایى را صرف نمود.

اهداف اولیه یک زیر ساخت امنیت اطلاعاتی

  • محرمانگی[۱]: تمام داده های ارسالی، فقط و فقط توسط کاربر مجاز، قابل دسترسی باشد.
  • جامعیت[۲]: ارسال داده، و هرگونه تغییر داده های دریافتی (در مسیر بین مبدا و مقصد) توسط کاربر مجاز انجام شده باشد.
  • تصدیق هویت[۳]: هویت طرفین هر ارتباط، صحیح و مستند باشد.
  • سندیت: عمل ارسال و دریافت، و نیز محتوای داده، نه توسط فرستنده و نه توسط گیرنده قابل انکار نباشد.
  • کنترل دسترسی[۴]: توانایی محدود کردن و کنترل دستیابی به ماشینها و نیز داده ها.
  • در دسترس بودن: پیشگیری از محدود شدن یا از دست رفتن منابع داده ای ، به خصوص در سیستمهای توزیع شده مثل شبکه، معماری سرویس گرا[۵]

خطرات تهدید کننده تجارت الکترونیکی

 

گسترش تجارت الکترونیکی نیازمند بستری ایمن برای مخابره و دریافت اسناد بازرگانی و اطلاعات است. این فناوری نوین، در همان حال که دقت و سرعت پردازش راافزایش چشمگیری بخشیده است، باید پاسخگوی مسایل و خطراتی باشد که برای آن پیش می آید. در تجارت الکترونیکی افزون بر دو سوی اصلی بازرگانی یعنی خریدار و فروشنده بانک های این دو و واسطه ها و حمل کنندگان کالا نیز با کار درگیر هستند. به طور کلی خرید و فروش کالا در اینترنت، از هنگام دیدن کاتالوگ ها و گزینش کالا و فروشنده دلخواه تا دادن سفارش و فرستادن اطلاعات مالی خریدار و فروشنده، پذیرش و سرانجام تحویل کالا و پرداخت است.

در هر یک از گام های بالا، پیام های الکترونیکی میان خریدار، فروشنده و بانکهای آن دو با عنوان درخواست و پاسخ رد و بدل می گردد. خطراتی بسیار این کارها را تهدید می کند، که می توان گم شدن، دزدیده شدن و یا دگرگونی هر یک از پیام ها، را نام برد. البته دسته ای دیگر از خطرها مانند سیل و زمین لرزه نیز وجود دارد که به امنیت سیستم هاویا شبکه ها ربطی ندارد

،‌ اما بر کارهای سازمانی اثر می گذارد. در تجارت الکترونیکی خطرها و تهدیدها با این روش دسته بندی می شوند: برخی ارتباطات و انتقالات را تهدید می کنند، برخی دیگر منابع و چندی هم تهدیدهای انسانی هستند و خطراتی هم ممکن است از ناکارایی سیستم ریشه گیرد، یا به دست افراد غیر مجاز و سود استفاده کننده رخ دهد.

 

انواع خطرات تهدیدکننده

حملات محتوایی: این حملات، متوجه محتوای داده ارسالی هستند. در ساده ترین حالت، نفوذگر سعی می کند که ازمحتوای داده ارسالی آگاه شود، مثلا با زیر نظر گرفتن ترافیک شبکه به صورت غیر مجاز. اه حل این مشکل رمزنگاری است، به عبارتی ایجاد تغییری در شکل داده، به وسیله یک کلید و به صورت برگشت پذیر. دو نوع اصلی رمز نگاری عبارت است از:

  • روش متقارن: در روش متقارن از یک کلید برای رمزنگاری و رمز گشایی استفاده می شود.
  • روش نامتقارن:در روش نا متقارن، دو کلید وجود دارد، یک کلید عمومی که به صورت عمومی منتشر می شود، و یک کلید خصوصی که فقط در اختیار صاحب جفت کلید است. این دو کلید به صورت مکمل یکدیگر عمل می کنند، یعنی داده ای که با یکی از آن دو رمز شده باشد، فقط و فقط به وسیله دیگری قابل رمزگشایی است. با کمک این ویژگی بسیار مهم، می توان محرمانگی، سندیت و جامعیت داده ها را تضمین نمود.

اولا، داده ای که با کلید عمومی گیرنده، رمز شده باشد، فقط با کلید خصوصی متناظر( که تنها در اختیار گیرنده است) قابل رمزگشایی است. بنابراین، در صورتی که نفوذگر به اطلاعات رمز شده دست یابد، مادامی که کلید خصوصی متناظر با کلید رمز کننده را در اختیار نداشته باشد، به داده اصلی دست پیدا نمی کند.

ثانیا، اگر فرستنده، داده ای را با کلید خصوصی خود رمز کند، هر کس که کلید عمومی او را در اختیار داشته باشد، می تواند آن را رمز گشایی کند. این ویژگی، به دریافت کننده اطمینان می دهد که داده دقیقا از طرف صاحب کلید عمومی فرستاده شده است. این، مفهوم عام امضای دیجیتال است که امروزه به گستردگی در تبادلات الکترونیکی کمک می کند.

حملات ساختاری: این نوع حمله متوجه زیرساخت شبکه از قبیل مسیریاب ها، سرویس دهنده ها و … است. یک نکته بسیار مهم این است که ساختار و شیوه حملات مذکور به شکلی است که حمله کننده را به شدت از دید ها پنهان و شناخت حمله را بسیار مشکل می کند.

 

روشهای بالا بردن امنیت تجارت الکترونیکی

  • به جای سرورهای اشتراکی، از یک سرور اختصاصی برای سایت خود استفاده کنید.
  • همیشه گوش به زنگ بسته های به روزرسانی و وصله‌های امنیتی برنامه‌های سرورتان باشید و به سرعت آن‌ها را نصب کنید.
  • از امنیت فیزیکی سرور و داده‌های خود مطمئن شوید.
  • برای امنیت داده‌های کاربران، با شرکت هاستینگ قرارداد رسمی ببندید.
  • پیاده‌سازی Code Sanitizing برای فیلدهای ورود اطلاعات.
  • سایت خود را هم به لیست سایت‌هایی که روزانه مرور می‌کنید، اضافه نمایید.
  • همیشه ایمیل‌هایی را که از سرور شما فرستاده می شوند، اسکن کنید.

نتیجه گیری

اگرچه اغلب سازمانها تمایل به داشتن شبکه های ایمن دارند ، ارائه تعریف واحدی از امنیت که همه نیازهای شبکه را تأمین نماید ممکن نیست. درعوض هرسازمان باید ارزش اطلاعات خودرا ارزیابی کند وسپس یک خطمشی امنیتی برای مواردی که باید مورد محافظت قرارگیرد مشخص نماید. سیستم امنیت اطلاعات شاید پرهزینه و وقتگیر به نظر آید ، اما با توجه به اهمیت اطلاعات در بقای سازمان وجود چنین سیستمی بسیار ضروری مینماید. اعمال چنین سیستمی برای هرسازمان لازم بوده و بسته به سطح اطلاعات و ارزش اطلاعات سامان گستردگی متنوعی خواهد داشت،اما هرگز محو نخواهد شد .در کل لازم است سازمانها سه شرط زیر را در طراحی سیستم امنیت اطلاعاتی خود مدتظرداشته باشند:

  • اطمینان ازسلامت اطلاعات چه درزمان ذخیره و چه بهنگام بازیابی و ایجاد امکان برای افرادی که مجاز به استفاده ازاطلاعات هستند.
  • دقت:اطلاعات چه از نظر منبع ارسالی و چه در هنگام ارسال و بازخوانی آن باید از دقت و صحت برخوردار باشد وایجاد امکاناتی درجهت افزایش این دقت ضرورت خواهد داشت.

قابلیت دسترسی: اطلاعات برای افرادی که مجاز به استفاده ازآن میباشند باید در دسترس بوده و امکان استفاده در موقع لزوم برای این افراد مقدور باشد

مراجع

[۱] عبدالرضا دادائی ،امنیت تجارت الکترونیک ،۶آپریل ۲۰۱۲

[۲] سام منصور موید، تجارت الکترونیک ونقش موثرآن درصنعت نفت(شرکت مهندسی وتوسعه نفت(اکتشاف وتولید شماره ۷۱))،شهریور۸۹

[۳] کبرا قاسمی شبانکاره-وحیدمختاری-منصور امینی لاری امنیت وتجارت الکترونیک، تهران ۳و۴آذرماه۱۳۸۶

[۴]Protecting Port 80:Techniques for Eliminating ,Web Application Vulnerabilities, By AbhishekChauhan, CTO, Teros, Updated April 2004

[5]C. Anley. Advanced SQL Injection in SQL Server Applications.Technical report, Next Generation Security Software, Ltd, 2002.

[6]J.Bercegay. Double Choco Latte Vulnerabilities. http://www.gulftech.org/

[7]www.maghaleh.net

[8]www.nioc.ir

[9]www.negahbaan.com

[10]www.rasekhon.com

[11]www.seemorgh.com/lifestyle

[12]www.aftab.com

 

 

 

 

 

 

 

 

A Post without Image

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

ادامه مطلب …