تبلیغات
هرچی که بخواهی - > دیوار آتش (FireWall)
هرچی که بخواهی
بدو بیا مقاله کامپیوتری


سیستمی است بین كاربران یك شبكه محلی و یك شبكه بیرونی (مثل اینترنت) كه ضمن نظارت بر بر دسترسی ها , در تمام سطوح , ورود و خروج اطلاعات را تحت نظر دارد

بسته های TCP و IP قبل و پس از ورود به شبكه وارد دیوارآتش میشوند و منتظر می مانند تا طبق معیارهای امنیتی خاصی پردازش شوند حاصل این پردازش احتمال وقوع سه حالت است :


1- اجازه عبور بسته صادر میشود Accept Mode
2- بسته حذف میشود Blocking Mode
3- بسته حذف میشود و پیام مناسبی به مبدا ارسال بسته فرستاده میشود (Response Mode)

همانطور كه همه جا ایست و بازرسی اعصاب خرد كن و وقتگیر است دیوار آتش نیز میتواند بعنوان یك گلوگاه باعث بالا رفتن ترافیك , تاخیر, ازدحام و بن بست شود .

از آنجا كه معماری TCP/IP بصورت لایه لایه است ( شامل ۴ لایه : فیزیكی, شبكه, انتقال و كاربردی ) وهر بسته برای ارسال یا دریافت باید از هر ۴ لایه عبور كند بنابراین باید برای حفاظت باید فیلدهای مربوط شده در هر لایه را مورد بررسی قرار دهیم . بیشترین اهمیت در لایه های شبكه , انتقال و كاربرد است چون فیلد مربوط به لایه فیزیكی منحصربه فرد نیست و در طول مسیر عوض میشود . پس به یك دیوار آتش چند لایه نیاز داریم

سیاست امنیتی یك یك شبكه مجموعه ای از قواعد حفاظتی است كه بنابر ماهیت شبكه در یكی از یه لایه دیوار آتش تعریف میشوند . كارهایی كه در هر لایه از دیوار آتش انجام میشود عبارتست از :


1- تعیین بسته های ممنوع ( سیاه ) و حذف آنها یا ارسال آنها به سیستمهای مخصوص ردیابی (لایه اول دیوار آتش)
2- بستن برخی از پورتها متعلق به برخی سرویسها مثلTelnet , FTP و …(لایه دوم دیوار آتش)
3- تحلیل یرآیند متن یك صفحه وب یا نامه الكترونیكی یا .... (لایه سوم دیوار آتش)


- A در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار میگیرد :
n آدرس مبدا( Source Address ) : برخی از ماشینهای داخل یا خارج شبكه حق ارسال بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .

n آدرس مقصد( Destination Address ) : برخی از ماشینهای داخل یا خارج شبكه حق دریافت بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .

IP آدرسهای غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص میشود .

n شماره شناسایی یك دیتا گرام تكه تكه شده( Id & Fragment Offset ) : بسته هایی كه تكه تكه شده اند یا متعلق به یك دیتا گرام خاص هستند حذف میشوند

n زمان حیات بسته (Time To Live ) : بسته هایی كه بیش ازتعداد مشخصی مسیریاب را طی كرده اند حذف میشوند.

n بقیه فیلدها : بر اساس صلاحدید مدیر دیوار آتش قابل بررسی اند

بهترین خصوصیت لایه اول سادگی و سرعت آن است . چرا كه در این لایه بسته ها بصورت مستقل از هم بررسی میشوند و نیازی به بررسی لایه های قبلی و بعدی نیست . به همین دلیل امروزه مسیریابهایی با قابلیت انجام وظایف لایه اول دیوار اتش عرضه شده اند كه با دریافت بسته آنها را غربال كرده به بسته های غیر مجاز اجازه عبور نمیدهند .

با توجه به سرعت این لایه هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشكوك بیشتری حذف میشوند و حجم پردازش كمتری به لایه های بالاتر اعمال میشود


B - در لایه دوم فیلدهای سرآیند لایه انتقال بررسی میشوند :
n شماره پورت پروسه مبدا و مقصد : با توجه به این مساله كه شماره پورتهای استاندارد شناخته شده اند ممكن است مدیر دیوار آتش بخواهد بخواهد مثلا سرویس FTP فقط برای كاربران داخل شبكه وجود داشته باشد بنابراین دیوار آتش بسته های TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود یا خروج از شبكه را داشته باشند حذف میكند . ویا پورت ۲۳ كه مخصوص Telnet است اغلب بسته است . یعنی بسته هایی كه پورت مقصدشان ۲۳ است حذف میشوند .

n كدهای كنترلی (TCP Code BITS) : دیوار آتش با بررسی این كدها به ماهیت بسته پی میبرد و سیاستهای لازم برای حفاظت را اعمال میكند مثلا ممكن است دیوار آتش طوری تنظیم شده باشد كه بسته های ورودی با SYN=1 را حذف كند . بنابراین هیچ ارتباط TCP از بیرون به شبكه برقرار نمیشود .

n فیلد شماره ترتیب و Acknowledgement : بنابر قواعد تعریف شده توسط مدیر شبكه قابل بررسی اند

در این لایه دیوار آتش با بررسی تقاضای ارتباط با لایه TCP , تقاضاهای غیر مجاز را حذف میكند . در این مرحله دیوار آتش به جدولی از شماره پورتهای غیر مجاز دارد . هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود و پورتهای بیشتری بسته شوند بسته های مشكوك بیشتری حذف میشوند و حجم پردازش كمتری به لایه سوم اعمال میشود

C - در لایه سوم حفاظت بر اساس نوع سرویس و برنامه كاربردی صورت میگیرد :
در این لایه برای هر برنامه كاربردی یك سری پردازشهای مجزا صورت میگیرد . بنابراین در این مرحله حجم پردازشها زیاد است . مثلا فرض كنید برخی از اطلاعات پست الكترونیكی شما محرمانه است و شما نگران فاش شدن آنهایید در اینجا دیوار آتش به كمك شما می آید و برخی آدرسهای الكترونیكی مشكوك را بلوكه میكند , در متون نامه ها به دنبال برخی كلمات حساس میگردد و متون رمزگذاری شده ای كه نتواند ترجمه كند را حذف میكند

یا میخواهید صفحاتی كه در آنها كلمات كلیدی ناخوشایند شما هست را حذف كند و اجازه دریافت این صفحات به شما یا شبكه شما را ندهد .

دیوار آتش (FireWall)


سیستمی است بین كاربران یك شبكه محلی و یك شبكه بیرونی (مثل اینترنت) كه ضمن نظارت بر بر دسترسی ها , در تمام سطوح , ورود و خروج اطلاعات را تحت نظر دارد

بسته های TCP و IP قبل و پس از ورود به شبكه وارد دیوارآتش میشوند و منتظر می مانند تا طبق معیارهای امنیتی خاصی پردازش شوند حاصل این پردازش احتمال وقوع سه حالت است :


1- اجازه عبور بسته صادر میشود Accept Mode
2- بسته حذف میشود Blocking Mode
3- بسته حذف میشود و پیام مناسبی به مبدا ارسال بسته فرستاده میشود (Response Mode)

همانطور كه همه جا ایست و بازرسی اعصاب خرد كن و وقتگیر است دیوار آتش نیز میتواند بعنوان یك گلوگاه باعث بالا رفتن ترافیك , تاخیر, ازدحام و بن بست شود .

از آنجا كه معماری TCP/IP بصورت لایه لایه است ( شامل ۴ لایه : فیزیكی, شبكه, انتقال و كاربردی ) وهر بسته برای ارسال یا دریافت باید از هر ۴ لایه عبور كند بنابراین باید برای حفاظت باید فیلدهای مربوط شده در هر لایه را مورد بررسی قرار دهیم . بیشترین اهمیت در لایه های شبكه , انتقال و كاربرد است چون فیلد مربوط به لایه فیزیكی منحصربه فرد نیست و در طول مسیر عوض میشود . پس به یك دیوار آتش چند لایه نیاز داریم

سیاست امنیتی یك یك شبكه مجموعه ای از قواعد حفاظتی است كه بنابر ماهیت شبكه در یكی از یه لایه دیوار آتش تعریف میشوند . كارهایی كه در هر لایه از دیوار آتش انجام میشود عبارتست از :


1- تعیین بسته های ممنوع ( سیاه ) و حذف آنها یا ارسال آنها به سیستمهای مخصوص ردیابی (لایه اول دیوار آتش)
2- بستن برخی از پورتها متعلق به برخی سرویسها مثلTelnet , FTP و …(لایه دوم دیوار آتش)
3- تحلیل یرآیند متن یك صفحه وب یا نامه الكترونیكی یا .... (لایه سوم دیوار آتش)


- A در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار میگیرد :
n آدرس مبدا( Source Address ) : برخی از ماشینهای داخل یا خارج شبكه حق ارسال بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .

n آدرس مقصد( Destination Address ) : برخی از ماشینهای داخل یا خارج شبكه حق دریافت بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .

IP آدرسهای غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص میشود .

n شماره شناسایی یك دیتا گرام تكه تكه شده( Id & Fragment Offset ) : بسته هایی كه تكه تكه شده اند یا متعلق به یك دیتا گرام خاص هستند حذف میشوند

n زمان حیات بسته (Time To Live ) : بسته هایی كه بیش ازتعداد مشخصی مسیریاب را طی كرده اند حذف میشوند.

n بقیه فیلدها : بر اساس صلاحدید مدیر دیوار آتش قابل بررسی اند

بهترین خصوصیت لایه اول سادگی و سرعت آن است . چرا كه در این لایه بسته ها بصورت مستقل از هم بررسی میشوند و نیازی به بررسی لایه های قبلی و بعدی نیست . به همین دلیل امروزه مسیریابهایی با قابلیت انجام وظایف لایه اول دیوار اتش عرضه شده اند كه با دریافت بسته آنها را غربال كرده به بسته های غیر مجاز اجازه عبور نمیدهند .

با توجه به سرعت این لایه هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشكوك بیشتری حذف میشوند و حجم پردازش كمتری به لایه های بالاتر اعمال میشود


B - در لایه دوم فیلدهای سرآیند لایه انتقال بررسی میشوند :
n شماره پورت پروسه مبدا و مقصد : با توجه به این مساله كه شماره پورتهای استاندارد شناخته شده اند ممكن است مدیر دیوار آتش بخواهد بخواهد مثلا سرویس FTP فقط برای كاربران داخل شبكه وجود داشته باشد بنابراین دیوار آتش بسته های TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود یا خروج از شبكه را داشته باشند حذف میكند . ویا پورت ۲۳ كه مخصوص Telnet است اغلب بسته است . یعنی بسته هایی كه پورت مقصدشان ۲۳ است حذف میشوند .

n كدهای كنترلی (TCP Code BITS) : دیوار آتش با بررسی این كدها به ماهیت بسته پی میبرد و سیاستهای لازم برای حفاظت را اعمال میكند مثلا ممكن است دیوار آتش طوری تنظیم شده باشد كه بسته های ورودی با SYN=1 را حذف كند . بنابراین هیچ ارتباط TCP از بیرون به شبكه برقرار نمیشود .

n فیلد شماره ترتیب و Acknowledgement : بنابر قواعد تعریف شده توسط مدیر شبكه قابل بررسی اند

در این لایه دیوار آتش با بررسی تقاضای ارتباط با لایه TCP , تقاضاهای غیر مجاز را حذف میكند . در این مرحله دیوار آتش به جدولی از شماره پورتهای غیر مجاز دارد . هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود و پورتهای بیشتری بسته شوند بسته های مشكوك بیشتری حذف میشوند و حجم پردازش كمتری به لایه سوم اعمال میشود

C - در لایه سوم حفاظت بر اساس نوع سرویس و برنامه كاربردی صورت میگیرد :
در این لایه برای هر برنامه كاربردی یك سری پردازشهای مجزا صورت میگیرد . بنابراین در این مرحله حجم پردازشها زیاد است . مثلا فرض كنید برخی از اطلاعات پست الكترونیكی شما محرمانه است و شما نگران فاش شدن آنهایید در اینجا دیوار آتش به كمك شما می آید و برخی آدرسهای الكترونیكی مشكوك را بلوكه میكند , در متون نامه ها به دنبال برخی كلمات حساس میگردد و متون رمزگذاری شده ای كه نتواند ترجمه كند را حذف میكند

یا میخواهید صفحاتی كه در آنها كلمات كلیدی ناخوشایند شما هست را حذف كند و اجازه دریافت این صفحات به شما یا شبكه شما را ندهد .


انواع دیوارهای آتش :

دیوارهای آتش هوشمند :

امروزه حملات هكرها تكنیكی و هوشمند شده است به نحوی كه با دیوارهای آتش و فیلترهای معمولی كه مشخصاتشان برای همه روشن است نمیتوان با آنها مقابله كرد . بنابراین باید با استفاده از دیوارهای آتش و فیلترهای هوشمند با آنها مواجه شد .

از آنجا كه دیوارهای آتش با استفاده از حذف بسته ها و بستن پورتهای حساس از شبكه محافظت میكنند , و چون دیوارهای آتش بخشی از ترافیك بسته ها را به داخل شبكه هدایت میكنند ,(چرا كه درغیر این صورت ارتباط ما با دنیای خارج از شبكه قطع میشود . ) بنابراین هكرها میتوانند با استفاده از بسته های مصنوعی مجاز و شناسایی پورتهای باز به شبكه حمله كنند.

بر همین اساس هكرها ابتدا بسته هایی ظاهرا مجاز را بسمت شبكه ارسال میكنند .

یك فیلتر معمولی اجازه عبور بسته را میدهد و كامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را میدهد . بنابراین هكر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن كامپیوتر هدف اطمینان حاصل میكند . برای جلوگیری از ان نوع نفوذها دیوارآتش باید به آن بسته هایی اجازه عبور دهد كه با درخواست قبلی ارسال شده اند

حال با داشتن دیوار آتشی كه بتواند ترافیك خروجی شبكه را برای چند ثانیه در حافظه خود حفظ كرده و آنرا موقع ورود و خروج بسته مورد پردازش قرار دهد میتوانیم از دریافت بسته های بدون درخواست جلوگیری كنیم .

مشكل این فیلترها زمان پردازش و حافظه بالایی است كه نیاز دارند . اما در عوض ضریب اطمینان امنیت شبكه را افزایش میدهند .

دیوارهای آتش مبتنی بر پروكسی :
دیوارهای آتش هوشمند فقط نقش ایست وبازرسی را ایفا میكنند و با ایجاد ارتباط بین كامپیوترهای داخل و خارج شبكه كاری از پیش نمیبرد . اما دیوارهای آتش مبتنی بر پروكسی پس از ایجاد ارتباط فعالیت خود را آغاز میكند . در این هنگام دیوارهای آتش مبتنی بر پروكسی مانند یك واسطه عمل میكند , به نحوی كه ارتباط بین طرفین بصورت غیر مستقیم صورت میگیرد این دیوارهای آتش در لایه سوم دیوار اتش عمل میكنند . بنابراین میتوانند بر داده های ارسالی در لایه كاربرد نیز نظارت داشته باشند

دیوارهای آتش مبتنی بر پروكسی باعث ایجاد دو ارتباط میشود :


ارتباط بین مبدا و پروكسی
ارتباط بین پروكسی و مقصد


حال اگر هكر بخواهد ماشین هدف در داخل شبكه را مورد ارزیابی قرار دهد در حقیقت پروكسی را مورد ارزیابی قرار داده است و نمیتواند از داخل شبكه اطلاعات مهمی بدست آورد

دیوارهای آتش مبتنی بر پروكسی به حافظه بالا و CPU بسیار سریع نیاز دارند . و از انجا كه دیوارهای آتش مبتنی بر پروكسی باید تمام نشستها را مدیریت كنند گلوگاه شبكه محسوب میشوند . پس هرگونه اشكال در آنها باعث ایجاد اختلال در شبكه میشود .

اما بهترین پیشنهاد برای شبكه های كامپیوتری استفاده همزمان از هر دو نوع دیوار آتش است . با استفاده از پروكسی به تنهایی بارترافیكی زیادی بر پروكسی وارد میشود . با استفاده از دیوارهای هوشمند نیزهمانگونه كه قبلا تشریح شد به تنهایی باعث ایجاد دیواری نامطمئن خواهد شد . اما با استفاده از هر دو نوع دیوار أتش بصورت همزمان هم بار ترافیكی پروكسی با حذف بسته های مشكوك توسط دیوار آتش هوشمند كاهش پیدا میكند و هم با ایجاد ارتباط واسط توسط پروكسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری میشود .





نوشته شده در تاريخ شنبه 19 اردیبهشت 1388 توسط ارش نوری
درباره وبلاگ

جستجو

آرشيو مطالب

آخرين مطالب

نويسندگان

صفحات جانبي

آمار سايت