دیواره آتشین چیست؟

اگر شما به صورت مداوم از اینترنت استفاده می كنید و اگر در یك شركت بزرگ كار میكنید مطمنا در برخی موارد كلمه FireWall را شنیده اید.
بطور مثال اینكه به شما در هنگام وصل شدن به یك سایت اجازه داده نمی شود. اساس كار یك FireWall دور نگه داشتن شما از حملا ت بعضی مزاحمین و به این خاطر است كه به آن دیواره آتشین می گویند.
● یك FireWall چكار می كند؟
یك FireWall یك برنامه یا یك سخت افزار است كه كار فیلتر كردن بسته های اطلاعاتی ورودی به سیستم است اگر اطلاعات وارد شده با آنچه كه در برنامه مشخص شده مطابقت داشته باشد به آنها اجازه ورود در غیر اینصورت بلوكه می كند.
فرض كنید در یك سازمان با بیش از ۵۰۰ سیستم اگر بر روی محل ورودی اطلاعات FireWall نصب نشده باشد در هر لحظه امكان دارد كه یك نفر از طریق یك ارتبا ط FTP وارد سیستم شما شده و تمامی اطلاعات را از روی سیستم سما دست كاری كند.
FireWall یا دیواره آتشین برنامه ای است كه بین یك شبكه محلی و اینترنت قرار می گیرد و تمامی اطلاعاتی كه بین این دو بخش ردوبدل می شود چك می كند و بسته به صلاح دید مسئول شبكه Administrator اطلاعات بین این دو بخش اجازه ورود یا خروج دارند.
● WHAT IS FIREWALL SOFTWARE?
▪ همانگونه كه گفتیم كار دیواره آتشین چك كردن بسته های IP است ولی در این زمینه دو نوع دیواره آتشین وجود دارد :
۱) نوع اول: فیلتر كردن بسته ای IP است
۲) نوع دوم:Proxy FireWall
در نوع اول كه به دو صورت انجام می شود در صورت اول فیلتر كردن بسته های IP كه به صورت ساده بر اساس یكسری قوا عد است صورت می گیرد و در آنكاربر با تعریف كردن یكسری قواعد و اجازه دادن ویا بلوكه كردن بسته ها از ورود آنها به داخا شبكه جلوگیری میكند.
یك FireWall قابل تنظیم است یعنی به این معنی كه شما می توانید قواعد فیلتر كردن آنرا تغییر بدهید و نحوه تغییر آنها بصورت زیر می باشد:
▪ IP (Internet Protocol)
▪ TCP (Transport Control Protocol)
▪ HTTP (Hyper Text Transfer Protocol)
▪ FTP (File Transfer Protocol)
▪ UDP (User Datagram Protocol)
▪ ICMP (Internet Control Message Protocol)
▪ SMTP (Simple Mail Transport Protocol)
▪ SNMP (Simple Network Management Protocol)
▪ Telnet
▪ Ports
و یك Fire Wall می تواند براساس حروف و كلمات بوسیله Sniff (موس موس كردن)حتوای اطلاعات را نیز بیرون كشیده و موجب ورود آنها شود.
یك FireWall از شما در مقابل چه چیزهایی حمایت می كند؟
۱) Remote login
۲) Application backdoors
۳) SMTP session hijacking
۴) Operating system bugs
۵) Denial of service
۶) E-mail bombs
۷) Macros
۸) Viruses
۹) Spam
۱۰) Redirect bombs
۱۱) Source routing
در واقع یك FireWall موجب جلوگیری از ورود و خروج یكسری اطلاعات خاص می شود.
● توضیحات موارد بالا:
- اتصال غیر مجاز یك فرد به سیستم شما و استفاده از فایلهای شما
- بعضی از برنامه های دارای یك راه مخفی هستند كه در اصطلاح به آن BackDoor یا در پشتی می گویند
- ارسال برنامه های مضر از طریق E-mail
- سیستم عاملها نیز مانند بعضی از برنامه ها دارای Bug می باشند.
- عدم سرویس دهی در هنگام یك حمله
- بعضی افراد بیش از هزاران میل را برای شما ارسال می كند كه در این صورت از پذیرش آنها برنامه صرفنظر می كند.
- ارسال یكسری برنامه مخرب یا Script
- ورود ویروس از طریق بعضی برنامه هااز طریق اینترنت
- یك هكر ممكن از طریق ارسال بسته های مختلف یكسری اطلاعات را از شما بگیرد كه در صورت تشخیص توسط برنامه از ارائه سرویس خوداری می شود.
- بدلیل جلوگیری از سوء استفاده هكرها از بعضی اطلاعات برنامه اطلاعات اولیه را حذف می كند.
● Proxy Servers And DMZ
پروكسی برای دسترسی كامپیوترهای یك شبكه به یك سایت مشخص استفاده می شود.وقتی كه یك فرد می خواهد از یك سایت برای بار اول استفاده كند با ید یك تقا ضا به ان بدهد و سپس بعد از مدتی صبر كند تا به تقاضای او پاسخ داده شود تا صفحه مورد نظر برای او باز شود.
ولی هنگامی كه از پروكسی استفاده می كند صفحات سایت در پروكسی ذخیره می شوند و بار بعد صفحات از درون پروكسی بار می شوند كه مطمنا دارای سرعت بالاتری است.
DMZ(De-Militarized Zone)
● منطقه غیر نظامی یا غیر محرمانه
DMZ یك فضا در بیرون از FireWall می باشد كه قسمتهایی همچون WebSite, Packet Filtering,DNS,FTP وجود داشته باشد.
در این نوع تمامی تنظیمات بر عهده مسئول شبكه می باشد.
▪ مثلا در سطر اول از این متال مسئول شبكه بصورت زیر عمل می كند:
تمامی بسته های اطلاعاتی كه آدرس مبدا آنها هر چه می خواهند با شد و از هر پورتی به آدرس مقصد میزبان مورد نظر (خود ماشین مسئول شبكه كه به اینترنت وصل است)و پورت مقصد آنها ۸۰ می باشد را اجازه ورود داده استو در سطر دوم به بسته هایی كه آدرس فقط پورت مقصد آنها ۲۱ است اجازه ورود داده شده است.در تمامی این دستورها پس از داده شدن به نرم افزار شروع به اجرا شدن می كنند ولی چنانچه ترافیك بالا رود و یا یك حمله از طریق یك هكر صورت یرد دیواره با ویژگی نوع اول قادر به شناسایی آن نمی باشد به همین دلیل از یك سیستم هوشمند دیگر بنام Stateful filter استفاده می شود كه در زیر به نحوه كار كرد این نوع فیلتر اشاره می كنیم.
● StateFul Filter
۱) فیلترهای هوشمند:
دقت كنید كه فیلترهای معمولی كارایی لازم را برای مقابله با حملات ندارد زیرا آنها بر اساس یك قواعد ساده بخشی از ترافیك بسته های ورودی به شبكه را حذف می نمایند.
امروزه بر علیه شبكه های حملاتی بسیا ر تكنیكی و هوشمند طرح ریزی می شود به گونهای كه یك فیلتر ساده(كه قواعد آن بر همگان آشكار است) قابل اعتماد و مو ثر نخواهد بود.(مثلا نرم افزاری بنام FireWalkl وجود دارد كه تمامی قواعد یك FireWall را در می آورد.)بدیهی است كه یك فیلتر با دیواره آتش قطعا بخشی از ترافیك بسته ها را به درون شبكه هدایت خواهد كرد.(زیرا در غیر اینصورت شبكه داخلی ،هیچ ارتباطی با دنیای خارج نخواهد داشت.)نفوذ گر برای آنكه ترافیك دادهای مخرب او حذف نشود تلاش می كند با تنظیم مقادیر خاص در شبكه فیلدهای بسته TCP و(IP) آنها را با ظاهری كاملا مجاز از میان دیواره آتش یا فیلتر به درون شبكه بفرستد.
بعنوان مثال فرض كنید فیلتری تمام بسته ها بغیر بسته های پورت ۸۰ را حذف می كند.حال یك نفوذگر در فاصله هزاران كیلومتری می خواهد فعال بودن یك ماشین را در شبكه بیازماید.بدلیل وجود فیلتر او قادر نیست با ابزارهایی مثل Cheops,Nmap,ping و نظایر آنها ،از ماشینهای درون شبكه اطلاعاتی كسب كند ؛ بنابراین برای غلبه بر این محدودیت ، بصورت مصنوعی یك بسته SYN-ACK (با شماره پورت مبدا ۸۰) به سمت ماشین هدف می فرستد .یك دیواره آتش معمولی ،با بررسی فیلد Source Port باه این بسته اجازه ورود به شبكه را می دهد؛ زیرا ظاهر این بسته نشان می دهد كه توسط یك سرویس دهنده وب تولید شده است و حامل دادهای وب می باشد .بسته بدرون شبكه داخلی را ه یافته و چون ماشین داخلی انتظار دریافت آن را نداشته پس از دریافت ، یكی از پاسخهای ICMP PORT UNRL IABLE یا Reset را بر می گرداند.
هدف نفوذ گر بررسی فعال بودن چنین ماشینی بوده است و بدین ترتیب به هدف خود می رسد؛ فیلتر بسته (یا دیواره آتش) نتوانسته از این موضوع با خبر شود!!!
برای مقابله با چنین عملیاتی دبوار آتش باید فقط به آن گروه از بسته های SYN-ACK اجازه ورود به شبكه بدهد كه در پاسخ به یك تقاضای SYN قبلی ارسال شده اند.همچنین باید به شرطی بسته های ICMP ECHO REPLAY به درون شبكه هدایت شود كه حتما در پاسخ به یك پیام ICMP ECHO REQUST باشد .یعنی دیوار آتش یا فیلتر باید بتواند پیشینه بسته های قبلی را حفظ كند تا در مواجهه با چنین بسته های ، بدرستی تصمیم بگیرد.
دیواره های آتش یا فیلترهایی كه قادرن مشخصات ترافیك خروجی از شبكه را برای مدتی حفظ كنند و براساس پردازش آنها مجوز عبور صادر نما یند،(( دیواره آتش یا فیلتر هوشمند و STATEFUL نامیده می شوند.))
البته نگهداری مشخصات ترافیك خروجی شبكه (یا ورودی)دریك فیلترهوشمند(STATEFUL) همیشگی نیست بلكه فقط كافی است كه ترافیك چند ثانیه آخر را به حافظه خود بسپارد!
وجود فیلرهای هوشمند (STATEFUL) باعث می شود بسه هایی كه با ظاهر مجاز می خواهند بدرون شبكه راه پیدا كنند از بسته های واقعی تمیز داده شوند .در زیر مثالی از قواعد یك فیلتر STATEFUL را ملاحظه می كنید:
بزرگترین مشكل این فیلترها (STATEFUL) غلبه بر تاخیر پردازش و حجم حافظه مورد نیاز می باشدولی در مجموع قابلیت اعتماد بسیار بالاتری دارند و ضریب امنیت شبكه را افزایش خواهند داد.اكثر فیلترهای مدرن و این مكانیزم بهره گرفته اند.
یك دیواره آتش یا فیلتر هوشمند وSTATEFUL پیشینه ترافیك خروجی را برای چند ثانیه به خاطر می سپارد و بر اساس آن تصمیم می گیرد كه آیا ورود یك بسته مجاز است یا خیر.
۲) دیواره آتش مبتنی بر پروكسی
(Proxy Based FireWall)
فیلترها و دیوارهای آتش معمولی وstateFul فقط نقش ایست و بازرسی بسته ها را ایفا می كند هرگاه مجوز برقراری یك نشست صادر شد این نشست بین دو ماشین داخلی و خارجی بصورت مستقیم برقرار خواهد شد ؛ بدین معنا كه بسته ها ی ارسالی از طرفین پس از بررسی ،عینا تحویل آنها خواهد شد.
فیلترهای مبتنی بر پراكسی رفتاری كاملا متفاوت دارند:
وقتی ماشین مبدا ،تقاضای یك نشست مثل نشست FTP یا برقراری ارتباط TCP با سرویس دهنده وب را برای ماشین مقصد ارسال می كند ، فرایند زیر اتفاق می افتد:
پراكسی به نیابت از ماشین مبدا ، این نشست را برقرار می كند یعنی طرف نشست دیوار آتش خواهد نه ماشین اصلی ! سپس یك نشست مستقل بین دیواره آتش و ماشین مقصد برقرار می شود.پراكسی دادها ی مبدا را می گیرد ،سپس از طریق نشست دوم برای مقصد ارسال می كند.بنابراین :
در دیواره آتس مبتنی بر پراكسی هیچ نشست مستقیم و رو در رویی بین مبدا و مقصد شكل نمی گیرد بلكه ارتباط آنها بوسیله یك ماشین واسط برقرار می شود . بدین نحو دیواره آتش قادر خواهد بود بر روی دادهای مبادله شده در خلال نشست ،اعمال نفوذ كند.
▪ وقتی دو ماشین داخلی یا خارجی بخواهند با هم ارتباط برقرار كند به دو صورت زیر ارتباط برقرار می شود:
۱) نشست بین مبدا و پراكسی
۲) نشست بین پراكسی و مقصد
حال اگر یك نفو ذگر بخواهد با ارسال بسته های كنترلی خاص كه ظاهرا مجاز باشد نظر می آیند واكنش ماشین هدف را در شبكه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.دیواره آتش مبتنی بر پراكسی به حافظه نسبتا زیاد و CPU بسیار نیازمند و لذا نسبتا گران تمام می شوند.چون دیواره آتش مبتنی بر پراكسی ، باید تمام نشستهای بین درون و بیرون شبكه را مدیریت و اجرا كند لذا گلوگاه شبكه محسوب می شود و هرگونه تاخیر یا اشكال در پیكربندی آن ، كل شبكه را با بحران جدی مواحهه می كند.
▪ اما پراكسی نیز درای یكسری معایب نیز است:
ازجمله اینكه پراكسی برای سرویسهای مختلف نیاز به سرورهای متفاوتی دارد و یا اینكه پراكسی برای توانایی انجام بعضی از خدمات را ندارد.
و اینكه پراكسی شما را از نواقص بعضی از پروتكلها حمایت نمی كند.