مدل OSI (Open Systems Interconnection) و واحد داده پروتکل (PDU)

مدل OSI یا Open Systems Interconnection، مدلی مفهومی با ۷ لایه است که برای استانداردسازی ارتباط بین دستگاه‌های شبکه‌ای به‌کار می‌رود. این مدل به درک بهتر از نحوه ارتباط بین سیستم‌ها کمک می‌کند.

PDU (Protocol Data Unit) یا «واحد داده پروتکل» شکلی از داده است که در هر لایه مورد استفاده قرار می‌گیرد و در فرآیند کپسوله‌سازی (Encapsulation) تغییر می‌یابد.

جدول کامل لایه‌ها، وظایف، PDU، پروتکل‌ها و تجهیزات

لایه	نام لایه	PDU	وظایف اصلی	پروتکل‌ها	تجهیزات مرتبط
7	Application (کاربردی)	Data	ارائه خدمات شبکه به کاربر Web, Email, File Sharing	HTTP, FTP, DNS, SMTP, HTTPS, SNMP, DHCP	نرم‌افزارها، مرورگر، کلاینت FTP Browsers, Email Clients
6	Presentation (ارائه)	Data	رمزگذاری، فشرده‌سازی، تبدیل فرمت Encoding, Encryption	SSL, TLS, JPEG, ASCII, MPEG	رمزگذارها، نرم‌افزارهای فشرده‌سازی Codecs, Translators
5	Session (نشست)	Data	مدیریت نشست بین دو سیستم Session Establishment	NetBIOS, RPC, SMB, PPTP	APIها، نرم‌افزارهای نشست‌محور APIs, Session Managers
4	Transport (انتقال)	Segment	کنترل جریان و تحویل قابل اطمینان داده Reliable Delivery, Flow Control	TCP, UDP, SCTP	فایروال، Load Balancer Firewall, Load Balancer
3	Network (شبکه)	Packet	مسیریابی، آدرس‌دهی IP Routing, IP Addressing	IPv4, IPv6, IP, ICMP, OSPF, BGP, IGMP, IPsec	روتر (Router), لایه 3 سوئیچ
2	Data Link (پیوند داده)	Frame	این لایه دارای دو زیرلایه است: - LLC (Logical Link Control): هماهنگی با لایه شبکه و کنترل خطا - MAC (Media Access Control): آدرس‌دهی MAC و دسترسی به رسانه Framing, MAC addressing, error detection	Ethernet, ARP, PPP, HDLC, VLAN	سوئیچ، Bridge، کارت شبکه (NIC)
1	Physical (فیزیکی)	Bits	انتقال سیگنال‌ها به‌صورت الکتریکی یا نوری Media, Signal Transmission	RJ-45, Fiber, DSL, USB, Bluetooth, Wi-Fi (PHY)	کابل‌ها، هاب، کارت شبکه، مودم

زیرلایه‌های لایه دوم OSI

LLC (Logical Link Control) زیرلایه‌ای در لایه پیوند داده است که مسئول هماهنگی با لایه شبکه، شناسایی پروتکل‌های لایه سوم (مانند IPv4 و IPv6) و کنترل خطا می‌باشد. در مقابل، MAC به انتقال داده از طریق رسانه فیزیکی و آدرس‌دهی سخت‌افزاری (MAC Address) می‌پردازد.

خلاصه فرآیند کپسوله‌سازی (Encapsulation)

وقتی داده‌ای از سمت کاربر ارسال می‌شود، در هر لایه اطلاعات کنترلی مخصوص به خود به آن اضافه می‌شود که به این فرآیند کپسوله‌سازی (Encapsulation) گفته می‌شود. در سمت گیرنده، این اطلاعات به صورت معکوس حذف شده و داده اصلی بازیابی می‌گردد که به آن Decapsulation گفته می‌شود.

مزایای مدل OSI

تقسیم پیچیدگی سیستم به بخش‌های کوچک‌تر
سازگاری و همکاری بین سیستم‌های مختلف
تسهیل توسعه و عیب‌یابی شبکه
استانداردسازی و قابلیت همکاری بین محصولات و فروشندگان مختلف
تفکیک وظایف و مسئولیت‌ها در هر لایه
کاهش پیچیدگی در طراحی و پیاده‌سازی پروتکل‌های شبکه

توضیح ساده لایه‌ها و تجهیزات مرتبط

لایه 1 - Physical: کابل‌ها، هاب، مودم، کارت شبکه
لایه 2 - Data Link: آدرس MAC، سوئیچ، کارت شبکه (NIC)
لایه 3 - Network: آدرس IP، روتر، لایه 3 سوئیچ
لایه 4 - Transport: پورت‌های TCP/UDP، فایروال، Load Balancer
لایه 5 - Session: مدیریت نشست، APIها
لایه 6 - Presentation: رمزگذاری، فشرده‌سازی، نرم‌افزارهای رمزگذار
لایه 7 - Application: نرم‌افزارهای مرورگر، ایمیل، کلاینت FTP

مدل TCP/IP و مقایسه با OSI

در کنار مدل OSI، مدل TCP/IP نیز به عنوان یک مدل عملیاتی‌تر و پرکاربردتر در شبکه‌های امروزی شناخته می‌شود. این مدل دارای چهار لایه است که هر کدام وظایف مشخصی را بر عهده دارند:

Application Layer (لایه کاربرد): معادل ترکیب لایه‌های Application, Presentation و Session در مدل OSI (مانند HTTP, FTP, DNS).
Transport Layer (لایه انتقال): مسئول ارتباط End-to-End و کنترل جریان (مانند TCP, UDP).
Internet Layer (لایه اینترنت): وظیفه مسیریابی و آدرس‌دهی (مانند IP).
Network Access Layer (لایه دسترسی به شبکه): معادل ترکیب لایه‌های Data Link و Physical در مدل OSI (مانند Ethernet, ARP).

با اینکه مدل OSI یک مدل نظری جامع‌تر است، اما مدل TCP/IP به دلیل سادگی و کاربرد عملی در پیاده‌سازی اینترنت، محبوبیت بیشتری دارد. هر دو مدل به درک چگونگی ارتباطات شبکه کمک می‌کنند، اما از رویکردهای متفاوتی استفاده می‌نمایند.

نقش مدل OSI در امنیت شبکه

درک عمیق مدل OSI برای متخصصان امنیت شبکه بسیار حیاتی است. هر لایه آسیب‌پذیری‌های خاص خود را دارد و حملات سایبری می‌توانند در لایه‌های مختلف مدل OSI صورت گیرند. به عنوان مثال:

لایه 1 (فیزیکی): حملاتی مانند شنود فیزیکی کابل‌ها یا تخریب زیرساخت.
لایه 2 (پیوند داده): حملاتی مانند MAC Spoofing، ARP Spoofing یا VLAN Hopping.
لایه 3 (شبکه): حملاتی مانند IP Spoofing، حملات DoS/DDoS به روترها یا سوءاستفاده از پروتکل‌های مسیریابی.
لایه 4 (انتقال): حملاتی مانند Port Scanning، SYN Flood یا Session Hijacking.
لایه‌های 5-7 (نشست، ارائه، کاربرد): حملاتی مانند XSS، SQL Injection، Buffer Overflow، حملات مبتنی بر اعتبارنامه یا مهندسی اجتماعی.

اصول دفاع در عمق: رویکرد لایه‌ای به امنیت سایبری

در دنیای پیچیده امنیت سایبری، درک لایه‌های امنیتی برای تحلیل‌گران امنیت اطلاعات و اعضای تیم واکنش به حوادث (CERT) از اهمیت بالایی برخوردار است. این درک عمیق به آن‌ها امکان می‌دهد تا نقاط ضعف احتمالی را شناسایی کرده و راهکارهای جامع و چندلایه را برای دفاع در عمق (Defense in Depth) پیاده‌سازی کنند. یکی از کاربردهای کلیدی این دانش، در تست نفوذ شبکه و برنامه‌های تحت وب (مانند تست‌های مبتنی بر OWASP) است. با شناخت دقیق نحوه تعامل لایه‌های مختلف امنیتی، متخصصان می‌توانند سناریوهای حمله را شبیه‌سازی کرده و آسیب‌پذیری‌ها را پیش از اینکه توسط مهاجمان واقعی کشف شوند، برطرف کنند. رویکرد دفاع در عمق به این معناست که نباید تنها به یک لایه امنیتی اکتفا کرد. بلکه باید مجموعه‌ای از کنترل‌ها و مکانیزم‌های امنیتی را در هر لایه از زیرساخت فناوری اطلاعات پیاده‌سازی کرد. این لایه‌ها می‌توانند شامل موارد زیر باشند:

امنیت فیزیکی: محافظت از سخت‌افزار و زیرساخت فیزیکی.
امنیت شبکه: پیاده‌سازی فایروال‌ها، سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS)، و تقسیم‌بندی شبکه.
امنیت سیستم عامل: پیکربندی امن سیستم عامل‌ها، به‌روزرسانی منظم و مدیریت وصله‌ها.
امنیت برنامه‌های کاربردی: اعمال کدنویسی امن، تست امنیتی مداوم و رفع آسیب‌پذیری‌های نرم‌افزاری.
امنیت داده‌ها: رمزنگاری داده‌ها در حال سکون و در حال انتقال، و کنترل دسترسی به اطلاعات حساس.
آموزش و آگاهی کاربران: آموزش کاربران برای تشخیص حملات فیشینگ و رعایت بهترین شیوه‌های امنیتی.

با پیاده‌سازی این رویکرد چندلایه، حتی اگر یک لایه امنیتی به خطر بیفتد، لایه‌های دیگر به عنوان پشتیبان عمل کرده و از نفوذ کامل یا دسترسی غیرمجاز جلوگیری می‌کنند. این استراتژی، مقاومت سازمان را در برابر تهدیدات سایبری به شکل چشمگیری افزایش می‌دهد.

تسلط بر مفاهیم و تجهیزات مدل OSI برای مهندسان شبکه، امنیت و تست نفوذ حیاتی است.

این مقاله به منظور آموزش کامل و ساده مدل OSI، واحد داده پروتکل، پروتکل‌ها و تجهیزات مرتبط طراحی شده است.