رفتن به محتوای اصلی
جمعه ۳۱ فروردین ۱۳۹۷
.

دسته بندی مطالب آموزشی

پدافند غیرعامل در دیواره ی آتش (بخش اول)

۱ مقدمه

گسترش روزافزون استفاده از اينترنت در زمينه‏های مختلف باعث شده است كه سازمان‌ها، شركت‏ها و مؤسسات، خواهان راه‌حل‌هاي مناسب براي رفع نگراني‌هاي امنيتي خود باشند. يك راه‏حل‏ براي مواجهه با مشكلات امنيتي شبكه، دیواره آتش يا حفاظ است. دیواره آتش يك ابزار نرم‏افزاري (يا تركيبي با سخت‏افزار) است كه براي امن‏سازي يك شبكه در مقابل حملاتي كه از خارج آن صورت مي‏گيرد، استفاده مي‏شود. هدف اصلي دیواره آتش، كنترل دسترسي شبكهمورد حفاظت‏است. دیواره آتش با قرار گرفتن در محل اتصال يك شبكة محلي به شبكة سراسري، داده‏هايي را كه از اين مسير در هر دو جهت عبور مي‏كنند، بازرسي و ارزيابي مي‏كند. دیواره آتش‌ها به عنوان يك كنترل امنيتي پركاربرد، سير توسعه و پيشرفت زيادي در سال‌هاي اخير داشته‌اند. اگرچه دیواره آتش‌ها در بدو تولد تنها شامل چندين مكانيسم امنيتي مشخص  بودند، ولي امروزه مكانيسم‌هاي امنيتي زيادي توسط توليدكنندگان دیواره آتش در اين محصولات تعبيه مي‌شود.

 

۲  ضرورت استفاده از دیواره آتش

 به منظور جلوگيري از انجام حملات از ميزبان‌هاي خارج از شبكة محلي به ميزبان‌ها و كارگزارهاي داخل آن، استفاده از دیواره آتش ضروریاست. اين كارگزارها عمدتاً به علت استفاده از خدمات ناامن قرارداد TCP/IP در معرض حمله قرار دارند. در يك محيط بدون دیواره آتش، امنيت شبكه وابسته به امنيت تك‏تك ميزبان‌هاي داخل شبكه است و تمام ميزبان‌ها بايد براي دستيابي به سطح بالاتري از امنيت در مقايسه با حالت منفرد، با يكديگر همكاري كنند. در نتيجه هر چه شبكة محلي بزرگتر و تعداد ميزبان‌هاي آن بيشتر باشد، نگهداري ميزبان‌ها در سطح يكساني از امنيت مشكل‌تر مي‏شود. دیواره آتش مي‏تواند با قرار گرفتن در سر راه اتصال شبكة داخلي به شبكة سراسري، امنيت يكساني را در يك سطح بالا و قابل قبول براي كلية ميزبان‌هاي شبكة داخلي تأمين كند.

 

۳  فوايد استفاده از دیواره آتش

استفاده از دیواره آتش فوايد زيادي در حوزه تأمین امنيت در يك شبكه به همراه دارد. فوايد اصلي استفاده از دیواره آتش عبارتند از:

•حفاظت در مقابل خدمات ناامن: دیواره آتش مي‏تواند به عنوان يك صافي براي خدمات اينترنت عمل كند و قراردادهايي را كه امنيت شبكة داخلي را به خطر مي‏اندازند، از شبكة محلي دور نگاه دارد.

•دسترسي كنترل‏شده به ميزبان‌هاي داخلي: با استفاده از دیواره آتش مي‏توان دسترسي به ميزبان‌هاي داخلي را كنترل و مديريت كرد. درنتيجه بعضي از ميزبان‌ها مي‏توانند از خارج از شبكة محلي مورد دسترسي قرار گيرند در حالي‏كه ساير ميزبان‌ها غيرقابل دسترس هستند.

•امنيت متمركز: استفاده از دیواره آتش مي‏تواند براي يك سازمان بسيار مقرون‏به‏صرفه باشد چون اكثر نرم‏افزارهاي امنيتي مي‏توانند به‏جاي اين‌كه روي كلية ميزبان‌هاي داخلي قرار گيرند، تنها روي دیواره آتش قرار داده شوند.

•محرمانگي پيشرفته: منظور از محرمانگي، دور نگه‏داشتن كلية اطلاعات داخلي - حتي اگر محرمانه به نظر نرسند - از دسترس افراد غيرمجاز مي‏باشد. هر اطلاعي كه در ظاهر بي‏خطر به نظر مي‏رسد، ممكن است حاوي داده‏هايي باشد كه براي مهاجمان مفيد است ومی تواند در انجام حملات آن‌ها را ياري دهد.

•رويدادنگاري و آمارگيري روي ميزان استفاده و سوءاستفاده از شبكه: با توجه به اين‌كه تمامي دسترسي‏ها از شبكة محلي به اينترنت و بالعكس از دیواره آتش عبور مي‏كنند، دیواره آتش مي‏تواند آن‌ها را ثبت كند و آمار باارزشي را دربارة آن‌ها در اختيار سرپرست شبكه قرار دهد. 

•پياده‏سازي سياست‏هاي امنيتي سازمان: دیواره آتش روشي براي پياده‏سازي و اجباري كردن رعايت سياست های دسترسي به شبكه است.

 

۴ ويژگي‏هاي دیواره آتش

مهمترين ويژگي يك دیواره آتش مقاومت آن در برابر حملات مختلفي است كه به يك شبكه صورت مي‏گيرد. اين حملات مي‏تواند به علل مختلفي صورت گيرد. بسياري از حملات شناخته شده، در نتيجة ضعف‏هاي امنيتي در قراردادها و خدمات اينترنت و قرارداد TCP/IP صورت مي‏گيرند. بعضي ديگر از حملات، به‏خاطر عدم آموزش مناسب كاربران محلي پايه‏ريزي مي‏شوند كه معمول‏ترينِ آن‌ها، حملاتي است كه برمبناي حدس گذرواژه قرار دارند. بعضي ديگر از حملات در نتيجه عدم دقت در پيكربندي خدمات مختلف شبكه ايجاد مي‏شوند. دیواره آتش بايد به گونه‏اي عمل كند كه شبكة محلي را در برابر كلية اين حملات و ساير حملاتي كه به يك شبكه صورت مي‏گيرد، امن سازد.

 

تمامي بسته‏هايي كه بين طرفين دیواره آتش ردو بدل مي‏شود، بايد از دیواره آتش رد شده و در آن بررسي شوند. درنتيجه اين امكان وجود دارد كه دیواره آتش باعث كند شدن سرعت انتقال اطلاعات شود و يك گلوگاه در محل دیواره آتش ايجاد شود. در نتيجه طراحي دیواره آتش بايد به گونه‏اي باشد كه كارايي بالايي داشته باشد و كمترين تاثير را در سرعت انتقال اطلاعات بين شبكة محلي و شبكة سراسري داشته باشد.

 

طرز كار دیواره آتش بايد به گونه‏اي باشد كه در كنار اعمال كنترل‏هاي لازم روي اطلاعات، از ديد كاربران شبكه مخفي باشد. به اين معني كه دیواره آتش تا زماني كه سياست امنيتي سازمان ايجاب نكرده است ،بايد كمترين محدوديت را در دسترسي كاربران به امكانات و خدمات شبكه پديد بياورد.

 

مشکل اصلي در هنگام استفاده از دیواره آتش در يك سازمان، مشکل ارائة خدمات اطلاعاتي نظير خدمت تورجهان‏گستر و خدمت انتقال فايلِ بدون نام  به كاربران خارج از شبكة محلي است. در اين نوع خدمات هيچ نوع كنترلي بر روي كاربراني كه به اين خدمات دسترسي پيدا مي‏كنند اعمال نمي‏شود و از ديد اين خدمات، كلية كاربران شبكة سراسري، كاربران مجاز شناخته مي‏شوند. در صورتي‏كه كارگزارهاي اين خدمات در ناحية پشت دیواره آتش قرار گيرند، راه نفوذ به شبكة محلي باز مي‏شود. براي اين‌كه در كنار دیواره آتش بتوان اين نوع خدمات را نيز ارائه كرد، مي‏توان از يك هم‏بندي ديگر استفاده كرد. در اين هم‏بندي شبكه به سه ناحيه تقسيم مي‏شود:

•بخش حفاظت شده: در اين بخش ميزبان‌هايي از شبكة محلي كه بايد بوسيلة دیواره آتش محافظت شوند، قرار مي‏گيرند.

•بخش DMZ : اين بخش حد فاصل ميان دیواره آتش و مسيرياب دسترسي به شبكه است. ميزبان‌هايي از شبكة محلي كه نياز به حفاظت توسط دیواره آتش ندارند، در اين ناحيه قرار مي‏گيرند. كارگزارهاي اطلاعاتي نظير كارگزار تورجهان‏گستر و كارگزار انتقال فايلِ بدون‏نام در اين ناحيه قرار داده مي‏شوند و به اين ترتيب دسترسي نامحدود به آن‌ها، ميزبان‌هاي موجود در بخش حفاظت‏شده را با هيچ خطري مواجه نمي‏كند.

•بخش خارجي: اين بخش شامل كلية ميزبان‌هاي اينترنت مي‏شود كه در بيرون مسيرياب دسترسي به شبكه قرار دارند.

 

۵  مكانيسم‌هاي امنيتي در دیواره آتش

در ادامه به مهمترین مکانیسم های تعبیه شده در یک فایروال مناسب اشاره شده است.

 

۵-۱ بسته‌صافي

يكي از مولفه‌هاي اصلي يك حفاظ، بسته‌صافي است. بسته‌صافي وظيفة‌ بازرسي بسته‌ها در لايه‌هاي پايين‌تر از لاية كاربرد را به عهده دارد. اين بازرسي بر روي سرآيندهاي لايه‌هاي شبكه و انتقال صورت مي‌گيرد. به اين ترتيب بسته‌هايي كه به دیواره آتش مي‌رسند، ابتدا در بسته‌صافي بازرسي مي‌شوند و سپس در صورت لزوم به دروازه‌هاي كاربرد در لاية كاربرد و يا مكانيسم‌هاي امنيتي ديگر تحويل داده مي‌شوند. 

 

۵-۲ ترجمة آدرس

با توجه به اینکه نمي‏توان جايگزيني IPV6 به جاي IPV4 را در مدت كوتاهي انجام داد، بايد چندين سال از IPV4 استفاده كرد و به دنبال راه‏حل‌هايي كوتاه‏مدت براي مشکل محدوديت فضاي آدرس IP بود.

 

يك روش مناسب اين است كه زماني كه بسته‌ها قرار است به اينترنت ارسال شوند، آدرس‌هاي داخلي آن‌ها به آدرس‌هاي معتبر تبديل شود. از آنجا كه در هر زمان تعداد ميزبان‌هايي از شبكة داخلي كه با اينترنت تبادل دارند به مقدار قابل ملاحظه‏اي كمتر از كل تعداد ميزبان‌ها است، اين روش باعث صرفه‌جويي در تعداد آدرس مصرفي مي‌شود. چون اين روش در لاية IP صورت مي‏گيرد مستقل از كاربرد است و در اين لايه هيچ‌گونه دادة مربوط به كاربرد ذخيره نمي‏شود. در واقع عمل ترجمة آدرس كاملاً از ديد لاية‌ كاربرد مخفي خواهد بود. به اين روش «ترجمة آدرس شبكه » يا به اختصار NAT گفته مي‌شود.

 

 

۴۹