امنیت شبکه (Firewall)

● آیا شبکه شما از امنیت کافی برخوردار است؟
تأمین امنیت کامل یک پایگاه عملاً ممکن نیست، تنها راه تأمین صد درصد ایمنی یک پایگاه ،خارج کردن آن از اینترنت می باشد. اما روشهایی وجود دارد که از طریق آنها می توان قابلیت و توانایی پایگاههای اینترنت را در مقابله با مهاجمین افزایش داد. متداول ترین روش برای این منظور ،ایجاد یک مکانیسم کنترلی به نام firewall می باشد.
firewall در حقیقت یک دیوار فیزیکی یا الکترونیک نمی باشد، بلکه انواع مختلفی از ترکیب سیستم های (setups) کامپیوتری یک firewall را تشکیل می دهد.
در کوتاه مدت ، هر نوع سیستم امنیتی می تواند تا حد قابلیت و توانایی خود ، پاسخگوی نیاز های شما باشد . اگر قیمت یک firewall بیش از پانزده هزار دلار باشد میانگین قیمت هر کانال ارتباطی (امکان تردد از ین دیوار) حدود هزار و پانصد تا دو هزار و پانصد هزار دلار خواهد بود. و این مبلغ ممکن است بالاتر هم برود.
اولین مرحله در تامین امنیت یک پایگاه، افزودن سخت افزار یا نرم افزار برای جبران کاستیها و نقایص امنیتی موجود در نرم افزار سیستم عامل شبکه می باشد.
سخت افزار افزودنی (add-on)همان firewall است و مفهوم این عبارت این است که سخت افزار و نرم افزار به کمک یکدیگر امنیت لازم را برای شبکه فراهم می سازند.
معمولاً اصلاحات و ارتقاهای سیستم های عامل،بسیاری از شکافهای ایمنی را ترمیم و مسدود می نماید ،اما این ، به تنهایی ، نیاز به تامین امنیت بیشتر در پایگاههای وب را برطرف نمی سازد.
شاید اصلی ترین و مهم ترین بخش سخت افزار موجود در یک پایگاه وب،مسیر یاب (router)باشد که در واقع سوئیچی است که برای برقراری ارتباط یک پایگاه اینترنت مورد استفاده قرار می گیرد.
این دستگاه، اطلاعات ورودی و خروجی به یا از یک پایگاه را که در بسته های اطلاعات (packets data)مرتب شده اند کنترل می نماید.
یک مسیر یاب در سطحی پایین تر ازسطح برنامه کربردی ،که سطح انتقال (Transport)نیز نامیده می شود ،قرار دارد.
افزودن این سطح فیلتر سازی تنها چند صد دلار هزینه در بر خواهد داشت.
برای مثال ،قیمت خط ارتباطی (Globe Trotter)،از مسیر یابهای firewallمتعلق به شرکت Open Raute Networks،حدود ۷۹۵ دلار می باشد که می تواند علاوه بر فیلتر سازی بسته های اطلاعات ،مسیر یابی و فشرده سازی داده ها را نیز صورت دهد.
این نوع firewall، یکی از اولین نمونه ها و fierwallهای مخصوص فیلتر کردن بسته های اطلاعات (Placket -filter)بوده که این نمونه در واقع به منزله مسیر یابی بود که نوع بسته های اطلاعاتی که اجازه ورود از محوطه نا امن بیرون «insecure ouside» به محوطه امن داخل Secure inside و بلعکس دارند را تعیین می کند ; به این فیلتر ها احتمالاً فیلتر های بسته ای گفته می شود. فیلتر های بسته ای ، نیاز به یک مدیر پایگاه دارند تا مراقب انواع بسته های اطلاعات و کار آنها باشد. البته این کار بر خلاف ظاهر آن ، کار چندان ساده و آسانی نیست.
یکی از کار هایی که فیلتر های بسته ای انجام می دهند این است که مبادله بسته های اطلاعات با درگاههای قراردادی دسترسی به خدمات شبکه (نظیر FTP,Telnetو ...)را بر اساس قواعد تنظیم شده از طرف مدیر پایگاه ،کنترل کند. این فیلتر ها همچنین انواع متفاوت بسته های اطلاعات (مانند بسته های قراردادهای متفاوت ICMP,UDP,TCP و ...) را نیز کنترل می کنند.
مبدأ و مقصد بسته های اطلاعاتی را که از طریق firewall مبادله می شوند،نیز می توان از طریق این فیلتر ها کنترل نمود. کار فیلتر ها همانند باجه های عوارضی می باشد که در جلوی یک پل قرار گرفته و با چشم الکترونیکی مراقب رفت و آمد (و واگذاری اجازه به ) اتوموبیلهای مجاز برای ورود هستند.
به طور کلی ، مطمئن ترین راه برای حفظ امنیت کامل یک سایت این است که به هیچ چیز اجازه ورود داده نشود ، مگر اینکه مجوز ویژه برای این کار در اختیار داشته باشد.
یک فیلتر بسته ای می تواند مسیر یابی نیز باشد ،تا ارتباط را تنها با کامپیوتر ها ،شبکه ها و سرویسهای مشخص و مورد تأیید برقرار کند.
حفظ و نگهداری از لیست اجازه یا عدم اجازه ورود ،خصوصاً در وضعیتی که تغییرات بسرعت در آن اتفاق می افتد. دشوار به نظر می رسد. از این رو یک فیلتر مسیر یابی یا بسته ای به تنهایی نمی تواند پاسخگوی نیاز های امنیتی پایگاه باشد.
اما در چند سال اخیر آنچه که به عنوان راه حل بهترو مناسبتر به دست آمده است firewall روی دروازها در لایه کاربرد (Application-Level)می باشد که همراه با یک firewall در لایه مدار (Proxy)بین مسیر یاب و اینترنت نصب می کند . این پیروکسی ، سپس ارتباط واقعی بین منطقه حفاظت شده و اینترنت را کنترل می کند .این نوع firewall براحتی نصب می شود به طوری که چندین شبکه حفاظت شده داخلی وجود خواهد داشت که از طریق یک firewall مشترک به اینترت متصل هستند.
در کتاب Wily Hacker:firewall Refelliny Theنوشته ویلیامآر چسویک و استیون بلویین ، به بحث درباره firewall مختلط (hybrid) در لایه های کاربرد و مدار پرداخته شده است . در این نوع راه اندازی (setup)،دروازه های فیلتر کننده بسته ها به شبکه داخلی متصل می شود و بعد به دروازه برنامه کاربردی به یک سرور واسط متعلق به درگاه ارتباطی شبکه داخلی متصل می شود . آقای چسویک (Cheswick) معتقد است که در این طریق ،امنیت قابل ملاحظه ای (که وی آن را Dual -homed یا دو مرحله ای می نامند ) ایجاد می شود که البته نیاز به حفظ و نگهداری دارد.
البته در این مسیر ، مشکلاتی در عمل نیز وجود خواهد داشت.
برای مثال ،ممکن است بسته های نرم افزار تا زمانی که firewallاجازه نداده است به مقصد نرسند.
firewall های مراقب وضعیت یا (state-Watching)روش دیگر جلوگیری از دسترسی افراد غیر مجاز به شبکه یک شرکت می باشد . این ها بسته های نرم افزار را همانند یک firewall سطح مداری کنترل می کنند. ما مرحله اضافی همراه ردن درگاههای سیستم عامل کامپیوتری با ارتباطی که بسته ها تولید می کنند را نیز شامل می شود.
هنگامی که یک ارتباط بسته(قطع) می شود، firewall امان دسترسی به درگاههای بسته را مسدود می کند تا وقتی که دوباره آنها از طریق درست و مورد تأیید بازگشایی شوند. با اعمال و بکارگیری این مرحله ،مهاجمین دیگر قادر نخواهند بود تا با دستکاری در محافظتهای سیستم عامل به درگاهی دست یابند.
firewall مختلط در لایه های کاربرد و مدار که توسط چسیک ارائه شد ،به عنوان استاندارد اولیه در شرکتهای بزرگ مورد استفاده قرار گرفت. در حال حاضر نیز،از آنجا که مراقبت وضعیتState-Watching به آن افزوده شده است ، اکثر محصولات جدید firewall از یک دروازه در لایه کاربرد که ارتباط اطلاعاتی را از طریق یک فیلتر بسته ای در لایه مدار ایجاد می کند. ستفاده می نمایند. البته امکان ارتباط با لایه های مداری ،توانایی ترجمه آدرسهای IP شبکه ای را به firewall می دهد.
این ترجمه ،آدرسهای IP واقعی در شبکه را از دسترسی افراد خارج از شبکه مخفی نگاه می دارد و معادلهای مجازی برای آنها فراهم می سازد . همچنین استفاده از این ترجمه ، امکان سرقت آدرسهای مزبور را نیز از مهاجمان سلب خواهد نمود.
در بعضی مواقع ،سیستمهای firewall از علائم و نشانه ها به عنوان یک ابزار دیگر امنیتی استفاده می کند .
سرور firewall متعلق به Bordeer Ware یک firewall مختلط با سبک چسویک می باشد که دارای امکان تشخیص هویت است . این سرور firewall اجازه (و امکان)دسترسی کابران مورد تأیید به سرویسهای شبکه از داخل و خارج را فراهم می سازد. به عبارت دیگر ، یک کاربر می تواند از شبکه خارجی و در اینترنت به پایگاهی در شبکه Telnetنماید. مشروط بر آنکه ابتدا هویت وی شناسایی گردد.
البه امکان و اجازه دسترسی ، تنها زمانی واگذار می شود که علامت و نشانه توسط سرور شناسایی شود .
نوعی دیگر از سیستمهای امنیتی نیز به نام Socks وجود دارد که توابع کتابخانه ای آن را می توان به برنامه های کار بردی مورد نظر برای تأمین ارتباط امنیی از طریق یک firewall افزود. مزیت Sock ین است که زمان کمتری را نسبت به نگارش یک پروکسی کامل ،می گیرد. چون در نگارش یک پروکسی ، ابتدا باید به متن اصلی برنامه کاربردی دسترسی پیدا کرد که البته این کار همیشه امکان پذیر نیست ، از این رو کاربران باید از برنا مه های کاربردی موجود که Socksبرای آنها نوشته است ، استفاده نمود.
انجمن NCSA، که یک گروه صنعتی است و محصولات firewall را ارزیابی می کند ، اخیراً اقدام به انتشار گزارشی نمود که در آن مشاغل ایالت متحده شامل دولتی ، فدرال و محلی در آن قید بود. این گزارش می تواند الگویی برای برای الگوهای جدید کاربرد firewall به حساب آید.۴۴ درصداز پاسخگویان به آن اشاره کردند ، شامل سرقت آدرسهای IP ، حملات ارسال پست ،حملات تخریب سرویسها و نیز پویش درگاهها می باشد، که هر یک از موارد فوق توسط ده درصد از پاسخگویان اشاره شده است. در گزارش NCSA ، حملات تخریب خدمات بیشترین نگرانی را برای ۳۸ درصد از پاسخگویان باعث شده است.ارسال پستهای زیاد (بمباران پستی) ،یکی از روشهای حملات تخریب خدمات است که موجب قطع ارتباطات شبکه و خرابی سیستم می شود.
بمباران پستی سعی می کند تا کنترل مسیر یاب را به دست گرفته و سپس یک آدرس پستی همراه با مقدار زیادی ترافیک به طرف سایت (مورد حمله قرار داده ) سرازیر می کند. از دیگر روشهای تخریب خدمات ، می توان به نفوذ در سرور ها ی گمنام FTP، انباشته کردن بافر های ورودی و نیز ارسال تعداد بسیار زیاد درخواست ارتباط به سرور ها برای هدر دادن حافظه موجود و از کار انداختن سیستن اشاره کرد. انجمن NCSA، همچنین اراه نرم افزار آزمون تأیید firewall به سازندگان سیستمهای firewall را تضمین نموده است. اطلاعات بیشتر در زمینه firewall ها و نحوه فعلی حملات را می توانید در پیگاه وب (.ncsa.com NCSA (WWW بیابید.
آقای سام گلستر ، از مدیران انجمن NCSA معقد است که یک firewall تأیید شده را می توان برای حفاظت از یک شبکه داخلی در برابر مجموعه تهدیدات پیکر بندی کرد و امکان اجرای مؤثر فعالیتهای مهم و حساس در محیط اینترنت را فراهم نمود. به نظر ما تمامی سیستمهای موجود در اینرنت باید نگران احتمال حمله رابکاران باشند، اما تمامی سیستمها به یک firewall احتیاج ندارند . اگر شما سروری را در اینترنت تعبیه کنید که تا کنون به هیچ شبکه اینترنت متصل نشده است، یک مسیر یاب حفاظتی برای تأمین امنیت کافی خواد بود . اما اگر اینترنت به شبکه های داخلی وصل شده باشد ، یک firewall ، حداقل چیزی است که می تواند امنیت لازمه را تأمین نماید. سیستمهایی که بیشتر کارهای اجرایی و تجاری را صورت می دهند ، بیشتر در معرض خطر قرار دارند که از جمله این سیستمها می توان به صنایع بیمه و مالیاتی اشاره کرد.
اخیراً نیز تلاشهایی برای افزایش«کارایی»firewall های لایه کاربرد ، انجام شده است.
Webstalker،متعلق به Hay Stack در سطح سیستم عامل کار می کند و اگر چه یک firewall نیست، اما می تواند رفتار روی سرور که توسط یک firewallحفاظت می شود را کنترل نماید و در مواردی هم چون دسترسی به فایل ها ،ID User ، تغییرات ID و اجرای برنامه به کار می رود. و آنها را (گزینه های فوق )با پیش نویس ،(Profile)رفتار سیستم مقایسه می نماید. پرو فایل سیستم از خط مشی حفاظتی که کاربر ، در ارتباط با سیستم عامل انتخاب می کند ، مشتق شده است. که بیشتر شبیه راه اندازی جعبه Netra یا اجرای Turbo Tax می باشد. هر گاه فرایندی در حال نقض سیاست (خط مشی) حفاظتی باشد. ،wEBSTALKER در برابر آن از خود عکس العمل نشان داده و مدیر سیستم را نیز از آن مطلع خواهد ساخت.
firewallهای جدید ، مانند AltaVista را می توان برای قبول یا رد انواع مشخصی از بسته های اطلاعات، پیکر بندی نمود. بارزترین نمونه ، udpمی باشد که یک پروتکل انتقال داده ها بوده که توسط سیستمهای Video-Conferencingمانند CU&#۰۳۹; White Pine s-SeeMe و نیز سیستمهای مکالمه و شنوایی استفاده می شود. هر گاه این نوع بسته های اطلاعاتی در firewall ها مسدود شود کاربران دیگر امکان شرکت در فعالیتهای مبتنی بر UDP را نخواهند داشت. انسداد بسته های نرم افزاری UDP،بدین معنی است که کاربران دیگر شاهد جدید ترین تغییرات و اصلاحات در وب نخواهند بود. تنها راه حل این مشکل فراهم کردن امکان دسترسی به بسته های نرم افزاری UDP می باشد. بعضی از firewall ها با استفاده از برنامه کاربردی پروکسی این امکان را فراهم می سازند.
راه اندازی و نصب یک firewall ممکن است وقت زیادی را صرف کند . یکی از جدید ترین راهنماهای بازاریابی ، این مشکل را با firewall های Pre-Loadرا برطرف ساخته است. یکی از این راهنمای بازاریاب ، شرکت Point Software می باشد که firewall-۱ را عرضه کرده است و دارای سرورهای d &#۰۳۹;ASTبوده و ویندوز NTرا نیز به اجرا در می آورد. این شرکت خمچنین دارای بسته های نرم افزاری مشابهی برای Sun،همراه با IBM,Solarisبرای سیستمهای AIXمی باشد . برای پشتیبانی از آدرسهای اضافی IP می توان Firewall.First را به firewall-۱ کامل ارتقاء نسخه کرد.
شرکت Raptur نیز دارای بسته های نرم افزاری مشابه با firewall های Eagle خود برای Compaq و Digital می باشد.
نکته بعد درباره firewall ها و امنیت داده ها ، تهدید نهفته ای است که از جاوا و اپلتهای Active X ناشی می شود . از این رو میران شبکه محدودیتهایی را برای استفاده از اپلتها در نظر گرفته اند . این محدودیت تنها از طریق به کارگیری پروکسی برنامه کاربردی که برای شناسایی این اپلتها در جریان داده ها پیکر بندی شده است ، در سطح برنامه کربردی روی می دهد . اکثر firewall ها فاقد این مشخصه هستند .s Watclguard&#۰۳۹; Seatle Software را می توان به عنوان اولین firewall ذکر کرد که دارای جاوا و فیلتر های Active X می باشد. دیگر فروشندگان از جمله Network-۱ نیز قصد دارند این فیلتر ها را به محصولات خود اضافه کنند.
امروزه در بازار ، محصولات firewall مناسبی یافت می شود . اولین مرحله در ارزیابی امنیت شرکت خود ، کسب اطمینان از وجود حفاظت و ایمنی در برابر تهاجم خارجی می باشد. همچنین مطمئن شوید که فیلتر سازی بسته ای که از ورود آدرسهای اینترنت از خارج از سازمان شما جلوگیری می کند را در اختیار دارید.اینکار را می توانید با کنترل سرور های سازمانی خود صورت دهید. سپس مناطق خاص شبکخ خود را کنترل کنید اگر کاربران با اجرای امکانات تصویری ، که اصلاً به آن هم نیازی ندارند ، موجب بار هزینه ای سنگینی برای شما می شوند ، می توانید به فیلتر های برنامه کاربردی که جریانات UDP را مسدود می کنند مراجعه کنید. اگر برنامه های کاربردی شما مهم و حساس هستند ،نیز ممکن است که سعی کنید حفاظت firewall پیچیده تری را برای خود فراهم کنید .
در هنگام تهیه firewall ، سعی کنید محصولی را انتخاب نمایید که مطابق نیاز های شما باشد و قیمت آن نیز بودجه زیادی برای شرکت شما تحمیل ننماید و هنگام ورود firewall پیچیده تر به بازار ، در صورت امکان از آن نیز بی بهره مند شوید.
مسئولیت حفظ و نگهداری از مدار و پروکسیهای برنامه کاربردی ،بر عهده مدیر شبکه می باشد که باید مشخصات firewall را به هنگام افزودن برنا مه های کاربردی یا حذف برخی از آنها Update نماید. چون اکثر firewallها به گونه ای اجرا می شوند که هر چیزی غیز از موارد قید شده را مسدود می نمایند .کسانی که می خواهند برای اولین بار از یک برنامه کاربردی موجود در پشت firewall استفاده کنند. با مشکلاتی روبرو خواهند شد. از این رو باید نیاز های برنامه کاربردی تعیین شده و مطابق با آن ، پروکسیهایی نیز تنظیم یابند.
امنیت وب سایت، همانند ترمزهای ضد قفل (anti-lock brakes)ماشین می باشد. تا وقتی که به آن نیاز پیدا نکنید ،‌ارزش و اهمیت آن برای شما ناشناخته می ماند.