مقدمه
هدایت و کنترل ورود انواع کاربران به شبکه بر اساس فاکتورهای شناسایی، کنترل وضعیت نودهای (کابلی و بیسیم) شبکههای بزرگ، طراحی و پیادهسازی
Dynamic VLAN برای لایهلایه کردن شبکه و قرار دادن کاربران در شبکههای مجازی، رمزگذاری اطلاعاتی که در شبکه جابهجا میشود، تفکیک کاربران در گروههای مختلف بسته به نوع سرویسی که دریافت میکنند، همه و همه از مواردی هستند که ذهن فعال مسئولان شبکههای بزرگ را به خود مشغول کرده و این افراد همواره دنبال راهکاری هستند تا علاوه بر سرویسدهی مناسب، امنیت قابل قبولی را نیز ارایه دهند.
این روزها که امنیت اطلاعات مورد توجه مسئولان شرکتهای بزرگ قرار گرفته است، بیشتر اوقات هنگامی که به شرکتهای همکار مراجعه میکنیم، با مشکلات عدیدهای برای اتصال به شبکه و تبادل اطلاعات بر میخوریم و زمانی طولانی صرف برقراری ارتباطی ساده برای ارسال یک نسخه پرینت یا فایل میشود. حتی گاهی برای دسترسی به اینترنت هم معضلاتی پیش رو داریم. بنابراین همواره در جستجوی راهکاری هستیم تا علاوه بر رعایت ملاحظات امنیتی و کنترل نودهای فعال شبکه و مانیتور کردن اتصالات، سرویسدهی مناسبتری نیز داشته باشیم تا کاربر خیلی سادهتر به سرویسهای معمولی دست یابد و کاری نکنیم که مسئولان عالیرتبه شرکت از خیر سیستم مدیریت امنیت اطلاعات (به دلیل پایین آمدن درصد دسترس بودن سرویسها) بگذرند!
IBNS چیست و چگونه کار میکند؟
همانطور که گفته شد، کنترل نودهای شبکههای بزرگ بسیار مشکل است و اگر شبکه بیسیم باشد، مشکلتر هم خواهد شد. حتما این مورد را مشاهده کردهاید که یک کاربر، کابلی را که به کامپیوتر متصل است، از آن جدا کند و نوتبوک شخصی خود را با همان کابل به شبکه متصل سازد و علیرغم اینکه آن نوتبوک عضو شبکه نیست، با این وجود از طریق استفاده از نام کاربری و رمز عبور شبکه، اطلاعاتی را که به آن دسترسی دارد از شبکه روی نوتبوک کپی کند. حال اگر شبکه بیسیم داشته باشیم، این کار سادهتر انجام میشود و افرادی که انگیزه بیشتری برای دسترسی به شبکه دارند، به راحتی میتوانند به آن نفوذ کنند. از طرفی در اینگونه شبکهها تنوع کاربران هم وجود دارد و ما موظفیم از طرق ممکن سرویسهای مورد نظر آنها را فعال کنیم. هر سرویس جدید نیز آسیبپذیریهای خاص خود را دارد و سرویسهای خاص نیز مشکلات امنیتی فراوانی ایجاد میکنند. تهدیدات هم روز به روز تغییر میکنند و افزایش مییابند. حالا با توجه به این موارد، به نظر شما چه باید کرد؟
راههای مختلفی برای هر یک از موارد فوق پیشنهاد میشود که از میان آنها به نظر ما، بهترین راهکار Identity Base Networking Services یا IBNS است که نه تنها مختص محصولات شرکت خاصی نیست، بلکه با توجه به اینکه در کشورمان اغلب سیستم عامل مایکروسافت و تجهیزات سیسکو راهاندازی میشود، به راحتی در این محیط قابل پیادهسازی است. در این روش کاربران قبل از هرگونه استفاده از منابع شبکه، اعتبارسنجی (Authenticate) میشوند و سپس با توجه به مشخصات خود وارد شبکه مجازی مشخصی میشوند که اصطلاحا
(VLAN (Virtual Local Area Network نامیده میشود. این VLAN با توجه به اینکه بسته به مشخصات کاربر تغییر میکند و پویاست، به Dynamic VLAN معروف شده است. در این مقاله به تشریح اجزا و مکانیسم پیادهسازی IBNS میپردازیم:
به طور کلی نحوه کارکرد IBNS در سه قسمت اصلی خلاصه میشود:
«» براساس خط مشی سازمان، سیاستهای کلی را پیادهسازی میکند.
«» کنترل پورتها و دسترسی به شبکه را انجام میدهد.
«» فعالیت کاربران در شبکه را مانیتور و پیگیری میکند.
برای سادهسازی و درک روش کار IBNS مراحل کار را با سوالات زیر شبیهسازی کردهایم:
احراز هویت یا اعتبارسنجی (Authentication) که مشخص میکند "که هستی؟"
IBNS از پروتکل IEEE802.1x و یک بانک اطلاعاتی (Radius Server) برای احراز هویت کاربران استفاده میکند. فاکتورهایی مانند نام کاربری، اثر انگشت، گواهی دیجیتالی و آدرس ایمیل مشخص میکند چه فرد یا ابزاری قصد اتصال به سیستم را دارد و آنها را از هم تفکیک میکند.
به کدام گروه از شبکه تعلق داری؟
بسته به نتیجه احراز هویت، کاربر در شبکه مجازی خاصی قرار داده میشود.
چه سطحی از سرویسها را دریافت میکنی؟
نوع و سطح دسترسی کاربران به قسمتهای مختلف شبکه با روشهای کنترلی خاص (مانند استفاده از Access Control List) و کیفیت بهرهوری ایشان از شبکه با اولویتبندیهایی که در تنظیمات QoS در شبکه انجام میشود، مشخص میگردد.
چه فعالیتهایی در شبکه انجام میشود؟
با توجه به فاکتورهای شناسایی و محل قرارگیری کاربر، مانیتورینگ و بازرسی فعالیتهای کاربر بهتر انجام میشود.
با استفاده از IBNS میتوان اطلاعات اتصالات را ثبت کرد. به عنوان مثال کدام کاربر یا کامپیوتر در چه ساعتی و با چه اسم یا آیپیآدرسی به شبکه متصل شده است و در کدام VLAN قرار گرفته است. بنابراین به راحتی میتوان قوانین بازرسی در شبکه را پیادهسازی و دستگاهها را مانیتور کرد.
درک پروتکل IEEE 802.1x
پروتکل IEEE 802.1X پروتکل استانداردی است که دسترسی به سرویسهای شبکه را با احراز هویت به صورت کلاینت ـ سرور کنترل میکند. سروری که مسئولیت احراز هویت را بر عهده دارد، دستگاهی را که به پورت سوئیچ متصل میشود، قبل از اجازه اتصال به شبکه کنترل میکند و بر اساس نوع مجوزهای کاربر، دسترسی آن را برقرار مینماید. با توجه به اینکه قبل از تکمیل مراحل اعتبارسنجی، هنوز اتصال کاربر با شبکه برقرار نشده است، تا آن زمان فقط ترافیک خاصی از روی شبکه عبور خواهد کرد که به اختصار(EAPOL (Extensible Authentication Protocol Over LAN نامیده میشود و پس از اینکه شناسایی کامل شد، اگر دسترسی وجود داشته باشد ترافیک معمولی از آن پورت عبور خواهد کرد و در غیر این صورت اتصال قطع شده و هیچ ترافیکی عبور نخواهد کرد. با این راهکار میتوانیم خط مشی سازمان برای دسترسی کاربران به شبکه را بر اساس انواع کاربران، سرویس گیرندگان یا منابع شبکه پیادهسازی کنیم. در نتیجه به عنوان مثال بر اساس سیاست سازمان برای کاربران مهمان، ایشان پس از ورود به شبکه در VLAN خاصی قرار میگیرند که دسترسیهای خاص خود را دارند و به همین صورت سیاستهای امنیتی و سرویسدهی پیادهسازی میشود.
سناریوی IEEE 802.1X به سه بخش عمده تقسیم میشود و در هر یک از قسمتها هر دستگاه نقش خاص خود را دارد:
قسمت اول: کلاینت یا Supplicant
دستگاهی است که درخواست اتصال به شبکه را برای سوئیچ (رابط میان درخواست کننده و سرور احراز هویت) ارسال میکند و همچنین پاسخ درخواستهای سوئیچ را برای احراز هویت میدهد. سیستم عامل کلاینت باید پروتکل IEEE 802.1X را پشتیبانی کند. به عنوان مثال سیستم عامل ویندوز XP با سرویسپک یک و بالاتر این پروتکل را پشتیبانی میکند.
قسمت دوم: Authenticator یا Network Access Devices
این دستگاه میتواند اکسسپوینت شبکههای بیسیم و یا سوئیچ در شبکههای کابلی باشد و البته RADIUS Client نیز نامیده میشود. این قسمت مانند پروکسی عمل کرده و دسترسی فیزیکی به شبکه را بسته به پاسخ سرور اعتبارسنجی تنظیم میکند و اطلاعات لازم برای احراز هویت را از کلاینت درخواست میکند و اطلاعاتی را که از سرور اعتبارسنجی دریافت میشود، تائید میکند و پاسخ سرور را به کلاینت Relay (بازپخش) میکند. در واقع وظیفه اصلی این قسمت Encapsulate (تلفیق) و Decapsulate کردن فریمهای EAP است. وقتی که سوئیچ فریمهای EAPOL را دریافت میکند، سرستون آن را جدا ساخته و بقیه فریم را به فرمت RADIUS مجددا تلفیق میکند که در این حالتها فریم EAP تغییری نخواهد کرد.
قسمت سوم: Authentication Server یا AAA RADIUS Server
دستگاهی که عمل احراز هویت را انجام میدهد و به سوئیچ اعلام میکند که کلاینت مجاز برای دسترسی به سرویسهای شبکه هست یا نه؟ در این حالت سوئیچ به عنوان پروکسی عمل کرده، IAS که احراز هویت EAP را پشتیبانی میکند به عنوان پشتیبان سرور DC خواهد بود. میتوان به جای سرویس مایکروسافتی IAS از Cisco Secure ACS هم به عنوان یک سرویس RADIUS استفاده کرد. IAS مخفف Internet Authentication Service سرویس مایکروسافتی که عمل اعتبارسنجی را به صورت محلی و یا با هماهنگی با Active Directory Service انجام میدهد. این قسمتها در شکل 1 نمایش داده شدهاند.
شکل 1: عملکرد کلی پروتکل IEEE802.1x
مراحل درخواست اعتبارسنجی تا زمان برقراری ارتباط
سوئیچ به عنوان RADIUS Client یا Supplicant از طرف کاربر درخواست اعتبارسنجی را ایجاد میکند. هنگامی که روی یک پورت سوئیچ، اعتبارسنجی را فعال میکنیم (از طریق اجرای دستور dot1x port-control auto)، درخواست اعتبارسنجی توسط سوئیچ ارسال میشود و سوئیچ بر اساس تصمیم نهایی Up یا Down میشود. در این حالت سوئیچ برای کلاینت فریم EAP-request / identity را ارسال میکند و از کلاینت میخواهد تا هویت خود را اعلام کند و کلاینت فریم EAP-response / identity را برای سوئیچ ارسال میکند و پاسخ میدهد. حالا اگر کلاینت هنگام روشن شدن فریم درخواست را از سوئیچ دریافت نکند، خودش با ارسال فریم EAPOL-start مراحل احراز هویت را آغاز میکند و از سوئیچ میخواهد تا فریم EAP-request/identity را ارسال و درخواست اعتبارسنجی کند.
توجه: دقت کنید 802.1x به صورت پیشفرض روی تجهیزات شبکه فعال نیست و ما باید آن را فعال کنیم. اگر802.1X روی سوئیچ فعال نشود یا تجهیزات شبکه آن را پشتیبانی نکنند (مثلا IOS سوئیچ آن را پشتیبانی نکند) درخواستهای EAPOL کلاینت که برای سوئیچ ارسال میشود، حذف میشوند. چنانچه کلاینت سه بار پیغام Start را برای سوئیچ ارسال کند و پاسخی دریافت نکند، فریمها را مشابه حالتی که پورت سوئیچ در حالت مجاز است، ارسال میکند. حالت مجاز سوئیچ یعنی حالتی که کلاینت شناسایی شده و امکان تبادل فریمهای شبکه وجود دارد.
وقتی کلاینت هویت خود را اعلام میکند، سوئیچ نقش میانجیگری خود را آغاز میکند و فریمهایی که سرور و کلاینت برای تصمیمگیری در مورد احراز هویت تبادل میکنند (فریمهای EAP) را انتقال میدهد. نوع فریمهایی که تبادل میشوند، بستگی به روش اعتبارسنجی دارد.
حالتهای مختلف پورتهای سوئیچ
حالت پورت سوئیچ (Authorized/Unauthorized) مشخص میسازد که کلاینت به شبکه متصل شود یا خیر. وقتی کابل به پورت سوئیچ متصل میشود، پورت سوئیچ از حالت Unauthorized آغاز میکند. این حالتی است که اتصال با شبکه برقرار نمیشود و پورت به فریمهای غیر 802.1x اجازه داخل و خارج شدن نمیدهد. هنگامی که کلاینت شناسایی شد و ارتباط با شبکه به صورت نرمال برقرار گردید، زمانی است که پورت به حالت Authorized تغییر حالت داده است.
توجه: دقت کنید در حالتی که 802.1x روی سوئیچ فعال شده است، اگر کلاینت 802.1x را پشتیبانی نکند (مثلا سیستم عامل XP بدون سرویس پک باشد) کلاینت فریمهایی را که سوئیچ برای احراز هویت ارسال میکند، نمیفهمد. بنابراین پاسخی نمیدهد و سوئیچ به حالت Authorized نخواهد رفت و در نهایت اتصال برقرار نمیشود. به همین ترتیب، اگر 802.1x روی سوئیچ فعال نشده باشد اما تنظیمات کلاینت انجام شده باشد، سوئیچ فریمهای کلاینت را پاسخ نمیدهد و کلاینت پس از مدت زمان مشخص ترافیک نرمال را ارسال میکند و بنابراین اتصال برقرار میشود.
برای اینکه وضعیت پورت سوئیچ را کنترل کنید، از دستور dot1x port-control در مود تنظیمات اینترفیس استفاده کنید که حالتهای مختلف زیر را در پی خواهد داشت:
Force-authorized ؛ حالتی است که 802.1x غیرفعال میشود و هیچ تبادل اطلاعاتی برای احراز هویت انجام نمیشود و در هر شرایطی پورت در حالت Authorized قرار دارد و اتصال همواره برقرار میشود.
Force-unauthorized ؛ حالتی است که پورت همواره در حالت Unauthorized قرار دارد و اگرچه هیچ تبادل اطلاعاتی برای احراز هویت انجام نمیشود، اما اجازه اتصال به شبکه نیز داده نمیشود.
Auto ؛ حالتی است که 802.1x فعال شده و فرآیند احراز هویت انجام میشود تا در صورت مجاز بودن کاربر یا کلاینت، پس از طی مراحلی که قبلا گفته شد، پورت از حالت Unauthorized به حالت Authorized تغییر وضعیت دهد.
توجه: هرگاه کلاینت Logoff کند، یک پیغام EAPOL-Logoff برای سوئیچ ارسال میکند و پورت مجددا به حالت Unauthorized تغییر وضعیت میدهد تا در مراحل ورود به شبکه بعدی مجددا کلاینت شناسایی شود.
کجا میتوان این راهکار را پیاده کرد؟
این راهکار قابل پیادهسازی در دو توپولوژی مختلف است:
توپولوژی point-to-point
در توپولوژی پوینت تو پوینت، فقط یک کلاینت میتواند به پورت سوئیچی که 802.1x روی آن فعال شده است، متصل شود. وقتی کلاینت متصل میشود، پورت سوئیچ مشخصات آن را میشناسد و چنانچه کلاینت تغییر داده شود و دستگاه دیگری به پورت سوئیچ متصل گردد، وضعیت پورت سوئیچ به حالت Unauthorized تغییر کرده و اصطلاحا پورت Down میشود. در این حالت اگر مجددا کلاینت قبلی را به همان پورت متصل کنید، به شبکه متصل نخواهد شد، زیرا پورت سوئیچ که به دلایل امنیتی به وضعیت Unauthorized تغییر کرده است، باید توسط مسئول شبکه Up شود تا بتواند مجددا فریمهای EAPOL را برای احراز هویت به سرور اعتبارسنجی ارسال و دریافت کند. در این شرایط باید با دستور Shutdown و no shutdown پورت مذکور را Down و سپس Up کنید.
توپولوژی Wireless LAN
در این توپولوژی که یک اکسس پوینت رابط میان کلاینتها و پورت ترانک شده سوئیچ است، هرگاه دستگاهی به اکسس پوینت متصل شود و در واقع عملیات احراز هویت تکمیل و پورت در حالت Authorized قرار گیرد، دیگر دستگاهها هم میتوانند متصل شوند و چنانچه یک دستگاه Logoff کند و پیغام EAPOL-Logoff را ارسال کند، پورت سوئیچ به حالت Unauthorized میرود و بقیه دستگاهها نیز Disconnect میشوند. بنابراین در این توپولوژی، اکسس پوینت است که عمل احراز هویت را به کمک IAS انجام میدهد.
شکل2
نیازمندیهای راهاندازی IBNS
این راهکار به تجهیز یا محصول خاصی وابسته نیست، اما سناریویی که اینجا در نظر گرفته شده است با در نظر گرفتن پیشنیازهای ذیل قابل اجراست:
• در شبکه کابلی یا بیسیم، وجود سوئیچی که 802.1x را پشتیبانی کند.
• در شبکه بدون سیم، وجود Access Pointای که 802.1x را پشتیبانی کند.
• سرور Radius که میتواند Cisco Secure ACS یا سرویس Microsoft IAS باشد.
• سرور دامین کنترلر یا DC که برای عمل احراز هویت به IAS سرویس دهد.
• سرویسدهنده DHCP که محدوده آیپیها را برای VLANها مشخص کند.
• کلاینتها با سیستم عاملی که 802.1x را پشتیبانی کند، مانند ویندوز XP SP2 و بالاتر.
• در صورتی که شناسایی کاربر با گواهی دیجیتالی انجام میشود، سروری که گواهی دیجیتالی صادر کند که این سرور میتواند Certificate Authority مایکروسافتی باشد.
خلاصه
در نتیجه آنچه گفته شد، با پیادهسازی IBNS و فناوریهای تکمیلی، به نتایج با ارزش زیر دست خواهیم یافت:
ـ از اینکه افراد مجاز از دسترسیهای مجاز بهرهبرداری میکنند، اطمینان مییابیم.
ـ بدون قربانی کردن ملاحظات امنیتی، میتوانیم تعداد و انواع بیشتری از کاربران را پوشش دهیم.
ـ بدون قربانی کردن بازدهی و کارآیی شبکه و کاربران، دسترسی به منابع را محدود به بایدها و نیازهای کاری میکنیم.
ـ دسترسی کاربران را براساس لایههای مختلف و به صورت خودکار تنظیم میکنیم.
ـ مانیتورینگ و بازرسی دقیقتری بر دسترسی کاربران به شبکه خواهیم داشت.
و به عنوان نمونه عملی مطالب فوق؛ کاربرانی که از نوتبوک شخصی خود در اداره یا شرکت استفاده میکنند، بدون هیچ ملاحظهای در قسمتی از شبکه محبوس میکنیم.
نکاتی درباره تاریخ، فرهنگ و معماری حرم امام هشتم
نکته1
در سال 203 و به قولى 202 هجرى قمرى که حضرت رضا علیه السلام در طوس به شهادت رسیدند بدن مطهر آن امام همام را در باغ حمید بن قحطبه و در کنار قبر هارون خلیفه عباسى به خاک سپردند و نخستین بناى حرم مطهر همان بقعه هارون الرشید است که بعدها حرم را روى دیوارهاى قدیمى آن بنا نهادند و از آن به بعد طوس به مشهد الرضا تغییر نام یافت.
نکته2
در سال 400 هجرى قمرى به دستور سلطان محمود غزنوى بناى بقعه و حرم تجدید بنا و منارهاى بر آن افزوده شد و پس از آن در زمانهاى مختلف اقداماتى به مرور صورت گرفته است .
نکته3
سنگ مرقد نخستین که برای مشخص نمودن مدفن امام بر زمین نصب شده، سنگ بنای ساخت ضریح هم بوده است. آنچه مسلم است تا قرن هشتم هجری قمری ضریحی بر مضجع شریف نصب نبوده است.
نکته4
در ابتدا حرم مطهر به صورت بنایی ساده، با مصالح ویژه آن دوران بنا شده بود، چنانکه بقعه مطهر تنها یک در ورودی ساده در پیش روی مبارک داشت و دارای تزئیناتی مختصر به سبک آن زمان بود.
نکته 5
مشهور است که از زمان صفویان گذاشتن ضریح بر مرقد امام مرسوم شده است و برخی احتمال دادند که ساخت ضریح از عصر تیموریان متداول گشته است.
نکته6
28 هزار لامپ در حرم امام رضا علیه السلام روشن میباشد، که اکنون علاوه بر 28 هزار شعله برق، شش هزار لوستر نیز در ابعاد مختلف و با قدمتهای طولانی مورد استفاده قرار گرفته است.
نکته7
ضریح اول، ضریحی چوبی بوده، با تسمههای فلزی و پوششی از صفحات طلا و نقره. این ضریح در زمان شاه طهماسب صفوی یعنی سال 957 هجری قمری ساخته و بر روی صندوق چوبی مضجع منور نصب میشود. در سال 1311 همزمان با تعویض صندوق به دلیل فرسودگی پایهها ضریح برچیده شده، پوشش طلا و نقره و جواهرات آن از چوبها جدا و به خزانه آستان قدس منتقل میشود.
نکته8
ضریح دوم، ضریحی بوده فولادی مرصع، معروف به ضریح نگین نشان. این ضریح در سال 1160 به دستور شاهرخ فرزند رضا قلی میرزا نوه نادرشاه ساخته و به وقف بر فراز مرقد شریف نصب میشود. ضریح فولادی یا ضریح نگین نشان سقف نداشته، پنجرهها و شبکههای چهار طرف آن دارای گوی و ماسورههایی بوده است که با نگینهای کوچک یاقوت و زمرّد تزیین یافته و تعداد آنها به 2000 بالغ میشده است. به دلیل وضعیت ویژه این ضریح ذیلاً به عین کتیبه آن اشاره میشود. «نیاز رحمت ایزد مستعان، و تراب اقدام زوّار این آستان ملک پاسبان، سبط سلطان نادر شاه الحسینی الموسوی الصفوی، بهادرخان به وقف و نصب این ضریح و قبههای مرصع چهار گوشه ضریح مقدس مبارک موفق گردید. ( سنه 1160قمری) »
نکته9
در زمان تولیت میرزا سعیدخان برای مصون ماندن نذورات داخل ضریح دوم ، شبکه و پوشش طلایی روی ضریح منور قرار میگیرد، و بدین ترتیب سقف آن پوشش مییابد. این ضریح به دلیل وقف دائمی بودن تا قبل از شروع عملیات جایگزینی و نصب اخیر ضریح مطهر جدید یعنی پنجمین ضریح بر مضجع شریف و زیر ضریح پیشین قرار داشت. ضمن عملیات اخیر محل نصب این ضریح تغییر یافت و به قسمت تحتانی حرم مطهر منتقل گردید.
نکته10
در عصر پادشاهی فتحعلی شاه قاجار ضریحی فولادی و ساده به ابعاد (3×4) و ارتفاع 2 متر ساخته و روی ضریح نگین نشان (ضریح دوم) نصب میشود که در اصل ضریح سوم محسوب میشود.
نکته11
سقف ضریح سوم با چوبهای طلاکوب پوشش داشته و در سمت پایین ضریح در کوچک مرصعی قرار داشته است. به دلیل کوچکی و غیر مناسب بودن این ضریح پس از مدتی برداشته شده و به جای آن ضریح چهارم نصب میگردد. در حال حاضر این ضریح در موزه مرکزی آستان قدس رضوی در معرض تماشای بینندگان قرار دارد.
نکته12
ضریح چهارم ضریح ملمع یا ضریح طلا و نقره، معروف به شیر و شکر است، این ضریح در سال 1338 بر روی ضریح نگین نشان یا ضریح دوم نصب میگردد.
نکته13
طراحی ضریح چهارم توسط مرحوم استاد حافظیان انجام یافته و تحت نظارت ایشان کار اجرا و قلمزنی توسط مرحوم استاد هنرمند حاج محمد تقی ذو فن اصفهانی انجام گرفت.
نکته14
ضریح چهارم دارای 05/4 متر طول و 06/3 متر عرض و 90/3 ارتفاع و 14دهانه به نشان چهارده معصوم بوده است. اضافه بر بهرهبرداری از طلا و نقره و جواهرات .
نکته 15
پایهها، ستونها، کتیبههای سیمین با نقشهای مختلفی در نهایت مهارت قلمزنی شده بود. بین هر دو زاویه از پنجرههای ضریح مقدس یک صفحه بیضی شکل از طلا، که مجموعاً به هیجده عدد میرسید و هر یک به وزن تقریبی پنجاه مثقال بود احادیثی درباره فضیلت زیارت حضرت رضا علیه السلام به خط حاج شیخ احمد زنجانی معصومی کتیبه نوشته شده است .
نکته 16
بر روی هر یک از دهانههای ضریح مقدس، از سمت پیش روی مبارک اسمی از اسمای چهارده معصوم علیهم السلام بر صفحهای فیروزه نشان از طلا و به خط ثلث و به قلم مرحوم حاج شیخ احمد زنجانی معصومی مکتوب بود. در بالای صفحات بیضی شکل، کتیبهای از نقره به طور برجسته، سوره مبارکه هل اتی را به قلم همان کاتب در برداشت.
نکته 17
در چهار گوشه ضریح چهار خوشه انگور به عنوان نمادی از نحوه شهادت حضرت قرار داشت. بالای کتیبه سوره مبارکه «یس» و بر لب ضریح چهل و چهار برگ از نقره ملمع بین چهل و چهار گلدان ملمع نصب شده بود که بر روی صفحه مدور و محدب هر یک از آنها اسمی از اسمای حسنی الهی به طور برجسته و به خط ثلث و به رنگ سفید در زمینه لاجوردی مکتوب بود.
نکته 18
پس از گذشت بیش از چهل سال از نصب ضریح پیشین موجباتی همچون فرسودگی، و سست شدن پایهها و ساختار ضریح و ساییدگی پوشش و روکشهای نقرهای و طلایی آن، ساخت و نصب پنجمین ضریح را ضروری مینمود.
نکته 19
به دستور مقام معظم تولیت آستان قدس رضوی حضرت آیة الله واعظ طبسی، از سال 1372 مطالعات و بررسیهای مقدماتی ساخت ضریح آغاز گردید، و به دنبال آن طرحهای متعددی از طرف هنرمندان نامی کشور ارایه شد و نهایتاً توفیق طراحی ضریح نصیب استاد برجسته نگارگری کشور جناب آقای فرشچیان گردید.
نکته20
به منظور ساختن آخرین ضریح نخست بر اساس طرح موجود پایهها و ساختار ضریح که ترکیبی از کار آهنگری و نجاری است توسط واحدهای مربوطه در آستان قدس رضوی در نهایت استحکام انجام گرفت و ساختاری مرکب از آهن و فولاد و چوب گردو برای نصب روکشها و پوشش طلا و نقره ساخته شد.
نکته21
با آماده شدن طرح استاد فرشچیان کار قلمزنی و زرگری و به عبارت دیگر اجرای طرح که اساس کار ساخت ضریح و صورت پذیری آنست از تاریخ 12/11/75 تحت نظارت عالیه هنری استاد فرشچیان شروع شد و از میان چند نفر از هنرمندان قلمزن همچنان توفیق کار قلمرنی ضریح مطهر، نصیب استاد خدادادزاده اصفهانی گردید.
نکته 22
پس از چهار سال با کار بی وقفه روزانه و بعضاً شبانه و همچنین با کار متوسط روزانه شش نفر در کمال ظرافت و امتیاز هنری و در نهایت صلابت و استحکام کار قلمزنی پایان یافت و ضریح برای حمل و نصب آماده گردید. از ویژگیهای ضریح مطهر جدید، ضخامت پوشش نقرهای آن است که حتی بعضاً به بیش از سه میلیمتر میرسد.
نکته 23
عملیات اجرایی برچیده شدن ضریح پیشین و نصب پنجمین ضریح از شامگاه روز شنبه 21/10/79، پس از مراسم غبارروبی آغاز گردید، و با هماهنگی کامل نیروهای فنی - تخصصی مورد نیاز به طور متوسط روزانه هفتاد نفر در سازمانی منظم و منسجم با تقسیم کار و تعیین مسئولیت هر یک از بخشهای عملیاتی و مدیران مربوطه طبق جدول زمانبندی شده، تحت مدیریت جناب آقای مهندس مهدی عزیزیان، مدیر عامل سازمان عمران و توسعه حریم حرم امام رضا علیه السلام به مدت پنجاه روز جریان خود را طی نمود. کار بنای عشق و کعبه مقصود، و فراز آمدن معبد خورشید در فضایی معنوی و شورانگیز آغاز شد.
نکته 24
محدوریت وقف به نصب بودن ضریح و عدم جواز شرعی انتقال آن از یک سو و از طرف دیگر، وجود موانع و مشکلات جدی فنی و معماری بر سر راه استحکام سازی پایههای نصب ضریح جدید موجب گردید تا پس از بررسی و مطالعات زیاد چاره کار به انتقال ضریح به قسمت زیرین حرم مطهر و نصب محاذی اطراف مضجع شریف دیده شود.
نکته 25
از جمله اقدامات اساسی دیگری که همزمان با نصب ضریح مطهر صورت پذیرفت، بتون ریزی و کف سازی و مفروش نمودن کف حرم مطهر با سنگهای مرمر بسیار نفیس همراه با کانال کشی و برقراری سیستم تهویه و هوا دهی زمینی و دیواری است، و نیز مرمت آیینه کاریها و کاشیکاریها و کتیبههای روضه منوره از جمله دیگر اقداماتی بود که در جریان عملیات نصب ضریح به آن مبادرت شد.
نکته 26
سنگ پلاک پیشین مضجع، که مرکب از 12 قطعه سنگ بود برداشته شده، به موزه مرکزی آستان قدس رضوی انتقال یافت، و به جای آن سنگ نفیس مرمر یکپارچه به طول 20/2 و عرض 10/1 و ارتفاع 90 سانت که در نهایت جلا و صفا و زیبایی حجاری شده بود نصب گردید.
نکته 27
در اطراف ضریح مطهر به نشانه چهارده معصوم چهارده دهانه به شکل محراب طراحی و اجرا شده است. سیر نقشها و جهت قوسهای آن یکدیگر را همراهی و تکمیل کرده، و مدار یگانه آنها که نهایتاً به مرکز و نقطه واحدی میرسد، تداعی کننده اصل اصیل عرفانی مشاهده وحدت در کثرت و کثرت در وحدت میباشد، و نیز وحدانیت ذات باریتعالی و قائمیت و بازگشت پذیری کائنات و ممکنات را به او متجلی میسازد.
نکته 28
در هشت لچکی چهار گوش ضریح مطهر، به سبک هنر اصیل ایرانی، از گل آفتابگردان که نمادی از شمس الشموس که یکی از القاب امام رضا علیه السلام است نقشهایی تعبیه شده است. در اطراف ضریح مقدس گلهایی پنج و هشت برگی به نشانه خمسه طیبه و هشتمین امام طراحی و اجرا شده است.
نکته 29
دو سوره مبارکه «یس» و «هل اتی»، در بالای ضریح مطهر به صورت کتیبه دور تا دور ضریح نوشته شده است. طول کتیبه بالایی یعنی سوره مبارکه «یس» دارای 66/17 و عرض 18 سانتیمتر و طول کتیبه «هل اتی» 76/16 و عرض آن 14 سانت میباشد، هر دو کتیبه و دیگر خطوط بیرونی و داخلی ضریح مطهر که مشتمل بر آیاتی از کلام الله مجید و اسمای حسنی الهی و نامهای حجج خداوندی است، در کمال قوت و استحکام توسط خوشنویس نامی جناب آقای موحد نوشته شده است.
نکته30
برای اولین بار پوشش داخلی ضریح مطهر، سقف و دیوارهای آن با نقش و نگارها و کتابت اسماء الهی، با خاتمکاری یه طرز بسیار بدیع و زیبا تزیین یافته است. طراحی نقوش داخل ضریح مطهر، توسط استاد فرشچیان انجام یافته، و اجرا و یا خاتمکاری توسط استاد هنرمند کشتی آرای شیرازی و همکارانشان صورت پذیرفته است.
نکته31
ضریح مطهر جدید حدود 12 تن وزن داشته، ضخامت پوشش نقرهای و طلایی آن و اتصال روکشهای بدون پیچ یکی از ویژگیهای این ضریح است. طول ضریح 78/4 و عرض آن 37/3 و ارتفاع آن با محاسبه سنگ پایه 96/3 متر میباشد.
نکته32
حرم مطهر مجموعهای است تقریباً مدور، که مرکز آن مضجع منور امام ابوالحسن الرضا علیه السلام قرار دارد. همچنین حرم مطهر که گنبد درخشان و طلایی برفراز آن قرار دارد، تقریباً در مرکز بناهای آستان مقدس واقع شده، و از نقطه نظر معماری و هنری بسیار بدیع و استوار، و زیبا و دل انگیز است.
نکته33
سالانه در این حرم مطهر بیش از 700 هزار مُهر نماز مورد استفاده و جایگزین مُهرهای شکسته و کثیف میشود.
نکته34
نامهای حرم مقدس امام رضا علیه السلام به ترتیب ذیل میباشد:
آستان ملائک پاسبان - ارض اقدس - بقعة مبارکه - حرم مطهر - روضة رضویه - روضة مقدسه - روضة منوره - عتبة عالیه - قبلة هفتم - کعبة آمال - مرقد ملکوتی - مرقد منور - مضجع شریف - معین الضعفاء.
نکته 35
سقف حرم دارای دو پوشش است، پوشش اول: که از زیر مشهود است، به صورت مقعر و مقرنس بوده، ارتفاع آن از سطح حرم تا نقطه پایانی سقف 80/18 متر میباشد، و پوشش دوم: همان لایه خارجی گنبد مطلی است.
نکته 36
حرم مطهر تقریباً به شکل مربع بوده، و مساحت آن پس از توسعهیی که پس از انقلاب اسلامی انجام شد، به 139 متر مربع بالغ شده است، سطح حرم با سنگ مرمر مفروش گردیده، و تمام ازاره دور حرم با کاشیهای ممتاز و ظریف چینی مانند، با رنگهای بسیار دلپذیر، مشهور به کاشیهای سنجری مزین شده است، بر روی این کاشیها آیات قرآن و احادیث معصومین علیهم السلام با خط رقاع و ثلث، همراه با نقشهای اسلیمی نوشته و تزئین یافته است.
نکته 37
از طریق چهار صفه یا ممر حرم مطهر، با رواقهای اطراف اتصال یافته، و زائرین از طریق آنها حضور حضرت تشرف حاصل مینمایند. پیش از این، در ضلع جنوبی حرم مطهر (پیش روی مبارک)، دو محراب بسیار نفیس و ممتاز از جنس کاشی چینی نصب بوده، که پس از توسعه به لحاظ قدمت و نفاست، به موزه آستان قدس منتقل شده است.
نکته 38
حرم مطهر در اوایل قرن ششم یعنی دوران سلطان سنجر سلجوقی، با کاشیهای بسیار نفیس تزیین یافته، و وجود تاریخ 612 هجری قمری، که بیانگر دوران سلطنت سلطان محمد خوارزمشاه میباشد، گویای اقدامات و فعالیتهایی است، که در این زمان، در زمینه توسعه و مرمت ابنیه حرم مطهر انجام یافته است.
نکته 39
حرم پاک امام، اضافه بر جلال معنوی و جذبه روحانی، و زیبایی و شکوه معماری، مزین به برخی از نفایس و مآثر ارزشمند است، تعدادی از هدایای بزرگان و حکمرانان گذشته، در قابهایی تعبیه شده، در مکانهایی از حرم مطهر، در برابر دید زائران قرار دارد. این جواهرات و نفایس که در هشت قاب چیده شده، شامل 104 قلم اشیای مختلف است. قدیمیترین آنها سلیمانیههایی است، با دور نقره، مربوط به 550 سال قبل، و دیگر شمشیری جواهر نشان و خنجر الماس نشان، و مروارید و تسبیح و انگشترهایی از الماس و برلیان درشت.
نکته40
گنبد حرم از آجر ساخته شده، و سپس روی آن را با الواح مسی، که روکشی از طلا دارد پوشاندهاند، تذهیب این گنبد برای آخرین بار در سال 1010 تا 1016، در زمان شاه عباس صورت گرفته، و به طوری که از گفتههای محققان بر میآید، رویه و سطح این گنبد پیش از آن کاشیکاری بوده است.
منبع: رجا نیوز
