راه کارهای امنیتی در لایه شبکه

امنیت لایه شبکه

سطح سوم: لایه شبکه

در واقع در بین تمام بخش هایی که مربوط به کنترل و حفاظت از اطلاعات حساس یک سازمان می شود، این بخش نقش بسیار مهمی را ایفا می کند. لایه شبکه ، لایه ای بسیار حساس و خطرناک به لحاظ امنیت اطلاعات بوده که ضرورت کنترل آن بر هیچ کسی پوشیده نیست. لذا در طراحی های صورت گرفته باید نقش این لایه پررنگ تر و کاربردی تر در نظر گرفته شود و در اولویت های اجرایی و تخصیص بودجه ، باید لایه شبکه را در اولویت اول قرار داد.

بنابراین در این بخش به امنیت شبکه و تجهیزات آن از جمله سوییچ ها، روترها، فایروال، نحوه پشتیبان گیری و… می پردازیم.

 

۱- استفاده از سوئیچ­ها با ساختار سلسله مراتبی(Hierarchy) :

در زمان طراحی شبکه، مناسب است جهت کنترل هر چه بیشتر بر روی تجهیزات موجود در شبکه، معماری سوییچ های شبکه به صورت لایه ای بوده و در هر لایه سوییچ خاص آن لایه در نظر گرفته شود. به عنوان مثال با توجه به ساختار کلی شبکه در بالاترین لایه از سوئیچ لایه ۳ Layer )Core (  استفاده گردد و در لایه ۲ (Distribution Layer )از سوئیچ هایی که خاص لایه دو طراحی شده اند استفاده گردد ( مثل Cisco 2960 ) که طرز کار این سوئیچ­ها در این ساختار، جهت ایجادامنیت و مدیریت شبکه امکانات بیشتری در اختیار می­گذارد.

 

۲- عدم به کارگیری VTP Domain

توصیه می شود که در صورت امکان تنظیمات vlan ها را بر روی سوئیچ ها به صورت دستی انجام داده و از این پروتکل استفاده نکرد. لذا می بایست VTP روی سوئیچ ها غیر فعال شود.

در صورتی که بخواهیم از این پروتکل استفاده نماییم و به منظور سهولت کار در تنظیم سوئیچ ها، نامی برای VTP Domain در نظر می گیریم.

در این روش تمامی سوئیچ­ها عضو این Domain می­باشند. سوئیچ core در ModeServer و بقیه سوئیچ­ها در Client Mode کار می­کنند.

ضمناً VTP Password نیز جهت جلوگیری از حملات از نوع سوئیچینگ باید در نظر گرفته شود.

 

۳- استفاده از(Vlan ( Virtual Local Area Network

به منظور کنترل دسترسی در یک شبکه به صورت مجازی از این روش استفاده می شود و می توان قسمت های مختلف در شبکه سازمان را به منظور دسترسی داشتن به یکدیگر در یک vlan قرار داد تا بتوانند با یکدیگر تبادل اطلاعات داشته و از طرفی بخش هایی که در این vlan قرار ندارند، مجاز به دسترسی به آن نیستند.

۱)     معمولا برای اعمل محدودیت های بیشتر بهتر است سرور ها در یک vlan  مجزا و سوئیچ ها نیز در یک vlan مجزا قرار گیرند و با ACL ها دسترسی بین vlanها را برقرار نمود.

۲)     در صورت امکان client هایی که می خواهند به اینترنت متصل شوند در یک vlan قرار گیرند.

 

۴- اعمال محدودیت توسط پورت­هایTrunk و Access :

: Trunk Port

تمامی ارتباطات بین سوئیچ­ها بصورت پورت Trunk در نظر گرفته شده است.

: Access Port

در ساختار شبکه هر کامپیوتر متصل به شبکه به عنوان Access Port  در نظر گرفته شده و فقط عضو یک VLAN می­باشد و امکان دسترسی به سایر VLAN­ها را ندارد.

 

۵- اعمال (Access Control  List (ACL

می بایست به منظور کنترل دسترسی در شبکه و اتصال به سوئیچ ها از Access Control List ها استفاده نمود.

به شکلی که در سطح شبکه تعریف می شود که گروه های مختلف کاربران می توانند به کدام یک از بخش های شبکه متصل شده و از آن استفاده نمایند.

 

۶- کنترل پورت­های پیکربندی سوئیچ

ConsolePort

می بایست تمامی پورت­های کنسول سوئیچ­ها، توسط یک Password محافظت شود که در اختیار مسئول شبکه است. در ابتدا بایستی passwordهای پیش فرض حتما تغییر نماید.

Telnet

جهت جلوگیری از پیکربندی از این روش توسط افراد دیگر، دو لایه امنیتی لحاظ گردیده که اولی همان Access Control List اشاره شده در بالا که فقط از رنج IP ­هایی که در اختیار مسئول شبکه است می­توان به سوئیچ­ها وصل شد و دومی محافظت از این روش توسط یک Password  رمز شده می­باشد. بدین منظور باید service password-encryption را راه اندازی نمود.

 

۷- اعمال سرویس Port Security

این سرویس امنیتی موجب می شود که یک یا چند mac آدرس مشخص به یک پورت سوئیچ دسترسی یابد.

این کار به صورت اتوماتیک یا دستی صورت می گیرد. با فعال سازی این سرویس برای اولین بار mac آدرس رایانه مورد نظر به پورت سوئیچ assign شده و به غیر از این سیستم، هیچ دستگاه دیگری قابلیت این را نخواهد داشت که به شبکه متصل گردد.

در شبکه می بایست سرویس فوق بر روی تمامی پورت­های شبکه فعال ­باشد. همچنین جهت افزایش ضریب امنیت شبکه پورت­های آزاد (پورت­هایی که به شبکه متصل نیستند) غیر فعال گشته و تمامی این پورت­ها به یکVLAN نامعتبرAssign  شود.

در صورت اتصال رایانه نامعتبر به شبکه، آن پورت غیر فعال گشته و یک Log به نرم افزار مانیتورینگ شبکه(CNA) ارسال می­نماید.

مدیر شبکه با بررسی Log ­ها از این اقدام مطلع می­شود.

در این زمینه بایستی کاربران از جابجایی رایانه های خود حتی المقدور جلوگیری نموده و مدیران نیز این مسئله را در طرح­ها و جابجایی­ها در نظر گرفته و این کار با هماهنگی مسئول شبکه صورت پذیرد.

 

۸- فعال سازی محافظ Bpdu و root

bpdu  پکتی است که بین سوئیچ ها در لایه ۲ رد و بدل می شود و از طریق آن پروتکل STP(spanning-tree  protocol)  اجرامی شود در نتیحه سوئیچ root مشخص شده و بعد از مشخص شدن پورت های  root، designated و non designated مسیرهایی که باید block یا forward شوند مشخص می شود و در نتیجه از رخ دادن loop در شبکه جلوگیری می شود.

در واقع با انجام این کار مانع از Down  شدن شبکه و عدم دسترسی کاربران مختلف به سرویس های مورد نیاز می شویم.

  • STP Portfast Bridge Protocol Data Unit (BPDU) Guard

از طریق اعمال این مکانیزم، اینترفیس هایی که انتظار نداریم پکت bpdu از آنها دریافت کنیم را block  می کنیم و در نتیجه امنیت بیشتری برای شبکه ایجاد می کنیم و جلوی اتصال سوئیچ های غیر مجاز به شبکه را روی پورت های مختلف می گیریم. (spanning-tree bpduguard enable)

  • STP Root Guard

از طریق این مکانیزم، آن دسته از اینترفیس هایی که نیازی نیست از آنها اعلام root بودن انجام شود block  می شوند و از این طریق جلوی حملات STP و اختلال در شبکه گرفته می شود. (spanning-tree guard root)

 

۹- غیر فعال نمودن پروتکل (cisco discovery protocol(cdp

این پروتکل فقط مختص و قابل شناسایی توسط  دستگاهای سیسکو بوده ووظیفه آن در اختیار گذاشتن اطلاعات دستگاه هایی می باشد که به صورت مستقیمبه دستگاه ما متصل شده اند. پیام های ایجاد شده توسط cdp در یک دستگاه فقطتوسط دستگاه های مجاور آن دریافت شده و به دستگاه های بعدی عبور دادهنخواهند شد.

پیام های cdp اطلاعاتی نظیر نام دستگاه،نسخه سیستم عامل دستگاه، نوع دستگاه (روتر یا سوئیچ و …)، مدل دستگاه،آدرس ip دستگاه و نام VTP Domain و… را منتقل می کنند که این پیام ها هر ۶۰ ثانیه یکبارروی تمامی interface  های فعال دستگاه های سیسکو تولید می گردند.

در صورتی که از تجهیزات سیسکو در شبکه استفاده می نماییم، برای بالا بردن امنیت درشبکه ،cdp  را روی interface های دستگاه هایی که بصورت مستقیم به کامپیوترهامتصل هستند غیر فعال نماییم.

 

۱۰- راه اندازی syslog سرور

در یک شبکه امن حتما باید syslog سرور راه اندازی نمود تا بتوانیم در صورت بروز هرگونه مشکل اطلاعات کافی جهت حل آن مشکل را به دست آورده و نسبت به رفع مشکل اقدامات لازم را صورت دهیم. زمانی که از یکSyslog Server استفاده می کنیم , دستگاههایی نظیر روتر , سوییچ و حتی سرورهای لینوکسی و ویندوزی بعنوان کلاینت برای syslog سرورمطرح می شوند بدین معنا که از طریق این مکانیزم می توان تمام دستگاه های موجود در شبکه را کنترل و ارزیابی نمود.

Syslog Server یک نوع مخزن مرکزی برای لاگ برداری است که جهت متمرکزکردن مانیتورینگ دستگاه ها و سرورها استفاده می شود. وقتی که یک syslog سرور راه اندازی می کنید , دستگاه ها لاگ های خود را تحت شبکه به جای آنکهدر فایل محلی ذخیره کنند یا بر روی صفحه نمایشگر به نمایش در آورند برای syslog سرور می فرستند.

 

۱۱- استفاده از مکانیزم AAA )Authentication, Authorization and Accounting)

این مکانیزم روشی برای کنترل هرچه بیشتر کابران تحت شبکه در زمان اتصال به شبکه و نیز کنترل نحوه اتصال آنان می باشد.

در این روش از مکانیزم هایی که هر یک از پروتکل های RADIUS, TACACS+ و  Kerberosرا پشتیبانی نماید استفاده می کنیم.

بدین منظور از سرورهای امنیتی که این پروتکل ها را راه اندازی و پشتیبانی می کند، استفاده کنیم.

در یکی از این روش ها که احراز هویت ۸۰۲٫۱X Port-Based نامیده می شود، با فعال سازی آن بر روی پورت های سوئیچ باعث می شود که پورت شبکه، زمانی فعال گردد که کاربر احراز هویت نماید. در واقع در ابتدا تنها پکت هایی اجازه عبور دارند که کاربر احراز هویت نموده تا پورت up گردد در غیر اینصورت پورت فعال نمی شود. بدین منظور client باید از نرم افزارهایی که dot1x را بر روی سیستم عامل پشتیبانی می کند، استفاده نماید.

 

۱۲- استفاده از نرم افزار مانیتورینگ جامع شبکه و امنیت اطلاعات ZABBIX :

سیستم مانیتورینگ zabbix یکی از بهترین و کاملترین راه حل های مورد نیاز در  زمینه Availability and Performance Monitoring می باشد.

علاوه بر این، Open Source بودن این سیستم باعث شده تا اطمینان کاربران به خصوص کاربرانی که دارای اطلاعات حساس در سازمان خود می باشند به این سیستم افزایش یابد.

این سیستم دارای ویژگی‌های بسیار منحصر به فردی در حوزه مانیتورینگ و هشدار های کاربردی و متنوع در زمان وقوع یک رویداد و نیز قابلیت‌های ویژه در UI  می‌باشد که بسیاری از این ویژگی‌ها در دیگر سیستم‌های مانیتورینگی که بعضا به صورت Closed Source می‌باشند وجود ندارد.

در صفحه ویژگیهای ZABBIX میتوانید از ویژگیها و مشخصات منحصر به فرد ZABBIX اطلاع یابید.

 

۱۳- استفاده از نرم افزارمانیتورینگ خاص دستگاه های سیسکو ( Cisco Network Assistant)

نرم افزار CNA مختص تجهیزات سیسکو بوده و قابلیت مانیتورینگ سخت افزاری را دارا می باشد. لازمه استفاده از این نرم افزار پیکربندی اولیه سوئیچ­ها و روترها می­باشد که بایستی قبل از استفاده آن انجام گیرد.

از جمله ویژگی­های امنیتی این نرم افزار عبارتند از :

  • محافظت ویژه از یک پورت (Protected Port)
  • ارسال ترافیک یک پورت به پورت خاص جهت تدابیر امنیتی ( Spanning Service )
  • راه اندازی  QOS (Quality Of Service   کیفیت سرویس دهی
  • نمایش Port Security
  • نمایش پهنای باند
  • جلوگیری از حملات سیل آسا به شبکه (Flooding Control)
  • نمایشFront Panel  سوئیچ
  • نمایش Switch Health
  • نمایشSystem Massage
  • نمایش مشخصات سوئیچ­ها (Inventory)
  • نمایش توپولوژی شبکه
  • Update نمودن سیستم عامل سوئیچ­ها
  • Backup گیری از Config سوئیچ­ها
  • راه اندازی VOIP در شبکه
  • وامکان انجام برخی ازConfig ­ها از طریق نرم­افزار و ده­ها مزایای دیگر که به مدیر شبکه جهت مانیتورینگ سخت افزاری شبکه کمک فراوانی می­کند.

 

۱۴- بکارگیریFrotigate  UTM

با استفاده از fortigate می توان امنیت بسیار بالایی را برای شبکه ایجاد نمود.

مواردی که می بایست در این UTM‌دیده شود به شرح زیر است:

۱)     اتصال به FortiGate در حالت web based از طریق https و در حالت CLI از طریقSSH

۲)     تغییر passwordهای پیش فرض

۳)     FortiGate در حالت routing باشد.

۴)     تعریف zone های امنیتی مناسب به طوری که شبکه داخلی به عنوان trust، اینترنت به عنوان untrust و سرورها به عنوان DMZ تعریف شوند. در این نواحی اتصال host به host‌دیگر بلامانع است مگر اینکه بخواهیم دسترسی ها محدود کنیم لذا بایستی rule ای با دسترسی block تعریف نموده سپس rule های permit را تعریف نماییم.

۵)     تعریف rule های مناسب برای دسترسی ها با توجه به ساختار شبکه و vlan های تعریف شده در شبکه به صورت (permit یا drop)

۶)     ابتدا rule های اتصال به FortiGate از طریق شبکه داخلی یا خارجی سپس ruleهای ارتباطات شبکه داخلی و خارجی و اتصال این شبکه ها به اینترنت و در نهایت rule ای تعریف می شود که غیر از آنچه تعریف شده را drop نماید.

۷)     در هنگام تعریف rule بایستی حتما نوع سرویس اتصالی مانند http، pop3، TCP بین client  و سرور یا client با client یا  client  با اینترنت را مشخص نماییم.

۸)     برای شبکه های خارجی که می خواهند ارتباط امنی با سرورها داشته باشند می بایست از سرویس vpn که بر روی FortiGate ارائه می شود استفاده نمود. در این حالت می توان vpn را روی FortiGate با یکی از سه پروتکل IPSec یا PPTP یا L2TP را فعال نموده و range IP اتصال به FortiGate را مشخص نماییم. سپس بر روی client از نرم افزار FortiClient یا نرم افزارهای مشابه ویندوزی برای اتصال امن با FortiGate و سرورهای شبکه استفاده می نماییم.

۹)     تعریف سیاست های زمانبندی برای دسترسی به منابع مانند سرورها، اینترنت و…

۱۰)مدیریت پهنای باند و محدود کردن آن با توجه به سیاست های سازمان برای هر یک از vlanها یا IP های از پیش تعریف شده.

۱۱)استفاده از web Filtering در FortiGate

۱۲)استفاده از IPS برای جلوگیری از حملات در دو حالت signature base و anomaly detection و بروز رسانی آن.

۱۳)فعال سازی مکانیزم logging‌ در FortiGate و استفاده از سرور syslog برای نگهداری و گزارش گیری از logها

 

۱۵- راه اندازی سرورauthentication  و accounting‌ برای کاربران اینترنت و نگهداری log کابران

می توان برای این منظور از سامانه های مشخص accounting استفاده نمود و log کاربران را نیز در همان سرور syslog قرار داد.

 

۱۶- استفاده از WEP یا VPNدر ارتباطات بی سیم

از آنجایی که ممکن است برخی از پروژه های در دست اقدام و همچنین قسمت های وابسته به سازمان در خارج از محل آن قرار داشته باشد و ارتباط بین این مراکز به صورت بی سیم پیاده سازی شده باشد، لذا راه اندازی پروتکل رمز یا استفاده از رمز کننده در این شبکه ضروری بوده  و می بایست  بین ساختمان مرکزی سازمان با سایر محل های خارج از آن که اطلاعاتی مانند اتوماسیون اداری و یا اطلاعات مالی در حال مبادله است و به این شبکه دسترسی دارند، یک ارتباط امن برقرار گردد.

برای امن سازی این بستر، راه اندازی مکانیزم VPN  روی FortiGate و ارتباط clientهای خارج از مرکز با آن از طریق vpn client می تواند یک راه حل مناسب باشد.

 

۱۷- نحوه backup گیری در شبکه

پشتیبان گیری در شبکه باید به گونه ای باشد که نیاز های اساسی زیر را تامین نماید:

۱-  امکان بازیابی اطلاعات در کمترین زمان ممکن

۲-  امکان نگهداشت نسخه های زمانی مختلفی از داده ها

۳-  امکان ایجاد زمانبندی برای گرفتن نسخ پشتیبان طبق سیاست های امنیتی (Security Policy )

۴- امکان آرشیو کردن اطلاعات و نگهداری آنها در سایت (فضای کاری) و بیرون از سایت  یا بیرون از فضای کاری

۵- امکان گرفتن نسخه های پشتیبان باید در کمترین زمان ممکن وجود داشته باشد به گونه ای که بتوان از تمامی داده ها در زمان های غیر کاری نسخه پشتیبان تهیه کرد (پشتیبان گیری متمرکز – پشتیبان گیری خودکار)

۶- امکان گرفتن نسخه های پشتیبان از سیستم ها و برنامه های کاربردی مختلف ( Share های ویندوز، پایگاههای داده ، DC ، Active Directory, … )

۷-امکان گرفتن نسخه پشتیبان از OS های مختلف( ویندوز ، لینوکس)

پشتیبان گیری در شبکه  را به چند بخش کلی تقسیم می کنیم:

۱)     تجهیزات سخت افزاری پشتیبان گیری

بدین منظور معمولا دو راه پیشنهاد می گردد که البته می توان به فراخور شرایط سازمان های مختلف راه حل های متفاوتی ارائه نمود:

الف- استفاده از سرور backup با هارد داخلی که به صورت  RAID1+0 (mirror + striping) بسته شده اند.

در این حالت روی سرور اصلی فایل، بانک اطلاعاتی و DC و… از چهار هارد که به صورت RAID 1+0 در کنار هم قرارگرفته اند، استفاده می شود. در حالت حداقل از ۲ هارد که به صورت RAID 1 بسته شده اند، استفاده شود.

سپس از یک سرور دیگر به عنوان پشتیبان استفاده می شود و تمامی اطلاعات از طریق شبکه بر روی این سرور به عنوان پشتیبان ذخیره می شود. این سرور نیز دارای ۴ هارد است که به صورت RAID 1+0 قرار گرفته اند.

با این روش می توان به امنیت و سرعت مطلوبی برای ذخیره سازی و بازیابی اطلاعات دست یافت .

ب- استفاده از NAS (این روش امن تر و با هزینه بالاتر است)

با تهیه یک سیستم SAN بر اساس میزان حجم اطلاعات (از ۴TB تا ۲۴TB) از تکنولوژی های زیر می توان استفاده نمود:

  • SAN Appliance مدل HP X1400 G2 با ۸TB storage یا HP X1600 G2 با ۹TB storage
  • All-in-One Storage SystemsHP (مدل Aio 1200 با ۹TB storage)
  • HP ProLiant Storage Servers (مدل DL 380 G5  با ۹TB storage)

در این صورت با اتصال سرورها به این سیستم های SAN می توان از امنیت بسیار بالایی در حفظ و پشتیبان گیری اطلاعات برخوردار شد.

۲)     نرم افزار برای تهیه پشتیبان از اطلاعات روی سرور

برای مدیریت تجهیزات سخت افزاری بالا نیاز به نرم فزاری میباشد که بتواند آنها را به طور کامل مدیریت کند و این امکان رابه ما بدهد که از تمامی داده ها با انواع مختلف روی تمامی سرورهابا توجه به سیاست های امنیتی Backup گیری  کنیم.

استفاده از قابلیت های ویندوز در پشتیبان گیری می تواند کاربردی باشد اما نرم افزارهای   HP Openview Data Protector یا Symantec Backup Exec گزینه های بسیار مناسبی برای تهیه نسخه پشتیبان از تمامی منابع اطلاعاتی روی سرورها هستند.

با این نرم افزارها علاوه بر تهیه نسخه پشتیبان از انواع مختلف داده ها مانندMS SQL, Oracle, Data File  می توان سیاست هایی همچون آخرین تاریخنگهداری نسخه هایbackup،زمانبندی های روزانه، هفتگی ، ماهانه و …را روی آنها پیاده سازی نمود.

۳)     سیاست های تهیه نسخه پشتیبان

نسخه پشتیبان را باید از تمامی اطلاعات موجود در شبکه تهیه نمود مانند اطلاعات Share های ویندوز، تمامی فایل های موجود در سرور فایل، پایگاههای داده ، DC ، Active Directory, …

سیاست تهیه نسخه پشتیبان بدین صورت است که علاوه بر backup گیری online در شبکه که با استفاده از تجهیزات بالا گفته شد، می بایست از برخی اطلاعات مانند بانک اطلاعاتی نسخه پشتیبان offline تهیه نمود که بدین منظور علاوه بر روش های پرهزینه Tape Storage می توان از روش های رایج و کم هزینه دیسک های نوری مانند blueray یا هاردهای external استفاده نمود و اطلاعات خیلی حساس مانند بانک های اطلاعاتی و برخی فایل های مهم را روی آنها ذخیره و در محلی امن نگهداری نمود.

زمان پشتیبان گیری بسته به میزان و ماهیت اطلاعات به صورت زیر است:

  • بانک اطلاعاتی: برای تهیه نسخه پشتیبان از بانک اطلاعاتی سعی کنید Full Backup تهیه کنید و نه Differential. بهتر است روزانه ، در پایان هفته و در پایان هر ماه از اطلاعات نسخه پشتیبان تهیه می شود و نسخه پشتیبان ماهیانه به صورت offline نیز تهیه می شود.
  • Active Directory: می توان هفتگی به صورت Differential و ماهانه به صورت Full از اطلاعات نسخه پشتیبان تهیه نمود.
  • File Server: می توان هفتگی به صورت Differential و ماهانه به صورت Full از اطلاعات نسخه پشتیبان تهیه نمود. از برخی اطلاعات حساس و خاص نسخه پشتیبان ماهیانه به صورت offline نیز تهیه شود.
  • از سوئیچ ها، روتر و FortiGate نیز بایستی نسخه پشتیبان تهیه کرد ولی با توجه به اینکه تغییرات این سخت افزارها کم است لذا بسته به میزان تغییرات در این تجهیزات، نسخه های پشتیبان می تواند ماهانه یا چند ماه یکبار تهیه شود.
  • در بهترین حالت می توان فایل های نسخه پشتیبان را به صورت “روزانه تا ۴ روز، هفتگی تا ۴ هفته و ماهیانه تا ۴ ماه ” نگهداری کرد و با این روش می توان ماندگاری اطلاعات را تضمین نمود.

 

موارد ذکر شده در این لایه یعنی لایه شبکه، جزء مهمترین موارد بوده و  علاوه بر این، موارد دیگری وجود دارد که توضیح آنها خارج از حوصله این مستند می باشد.

به اشتراک بگذارید... Tweet about this on TwitterShare on FacebookShare on LinkedInEmail this to someonePrint this page
نویسنده: مهندس قیم
تعداد دیدگاه ها: 2
  1. real psychics گفت:

    وبلاگ عالی اینجاست! همچنین وب سایت شما بسیار سریع بارگذاری می شود!
    چه میزبان وب شما استفاده می کنید؟ آیا می توانم پیوند وابسته به میزبان خود را دریافت کنم؟
    من آرزو می کنم که وب سایت شما به همان اندازه که شما می توانید بارگذاری کنید http://realpsychicnow.biz

ما را از نظرات خود آگاه سازید

لطفا در صورت تمایل، نظر خود را در مورد مطلب بالا، بنویسید.