چهارشنبه, ۱۷ بهمن, ۱۴۰۳ / 5 February, 2025
مجله ویستا
دیوار آتش
مقدمهای بر ایمنی اینترنت
هر فردی كه مسئول ایمنی یك شبكه معتبر میباشد وقتی كاملاً آگاه میشودكه به یك شبكه غیر معتبر متصل شود. در مورد ارتباط با اینترنت این توجهاتبراساس شواهدی حاصل میشود كه امنیت در كل رسانه ایجاد شده باشد. یك ارزیابی دقیقتر از حقایق و آمارهایی كه در پس بعضی از پوششهایرسانهای است تنها این نوع مسایل را عمیقتر مورد توجه قرار میدهد. برای مثالآژانس ایمنی كامپیوتر ملی ایالت متحده (NCSA) ادعا میكند كه مهمترین حملاتیكه به سیستم كامپیوتری شده است گزارش و آشكار نگردیده است، ابراز اینحملات در برابر دپارتمان ۹۰۰۰ كامپیوترهای دفاعی توسط آژانس سیستمهایاطلاعات دفاع ایالت متحده انجام گردید. این نوع حملات حدوداً ۸۸% نرخ موفقیت رانشان میدهد و حدوداً بیش از ۹۵% سازمانهای مورد نظر این نوع حملات را آشكارنكردهاند. وتنها ۵% حملات آشكار شده كه به ۲۲ سایت مربوط میشود.
NCSA نیز در مورد FBI این مطلب را گزارش میدهد كه ۸۰% FBI مربوط بهجرم و جنایتهای كامپیوتری است و دستیابی غیر قانونی از طریق اینترنت است. درصنعت امنیت كامپیوتر مسایل و مشكلاتی وجود دارد كه به آن توجهی نشده استبرای فهم خطرات اغلب باید در مورد منحنیها و پاراللهای زندگی روزمره مطالبی رابیاموزیم برای مثال هیچكس از كلاهبرداریهای معاملاتی از طریق پیامهایارسالی نباید نگران شود. این داستان داستان زیبایی است كه در مورد این مسائلگزارش میدهد اما سطح آگاهی هنوز پایین است برای مثال در موضوعات IT درمییابیم اكثر تجار در مورد امنیت اینترنت نگران هستند. این مقاله سری سازی راتوضیح میدهد كه بیشتر نیاز به امنیت دارد. و این مقاله همچنین بر خصوصیسازی ارتباطات و حملات وارده در اینترنت گزارش میدهد
علی رغم ترس از این نوع ایمنیها، سازمانها بطور فزاینده به اینترنت بهعنوان بخش مهمی از طرح ریزی استراتژیك خود توجه دارند. مسائل مربوط بهایمنی باعث جلوگیری سازمانها از كشف فرصتهای تجاری كه توسط اینترنتپیشنهاد شده است نمیگردد. در نتیجه سازمانها بایستی روشهایی را بیابند تابتوانند موضوعات ایمنی را كنترل نمایند. این نوع پیشرفت و رشد بازار ایمنیاینترنت مستقیماً به پیشرفت اینترنت مربوط میشود
نرخ تركیبی رشد و پیشرفت سالانه (CAGR) بازار firewall اینترنت بین سالهای۱۹۹۵ و ۲۰۰۰ حدوداً ۱۷۴% طرح ریزی شده است [IDC ۹۶] و این نرخ سریع رشدتوسط اینترنت و انترانت هر دو ایجاد شده است.
با فرض بر یك نرخ تقریبی ۴۰% پانصد شركت موفقی كه از اینترنت استفادهكردهاند هنوز نصب firewall ادامه داشته و استفاده از اینترنت سالانه دو برابر شدهاست اما جای تعجب است كه بگوییم كه امنیت تجارت و حسابرسی آن دستخوشتغییر شده است. سازمانها دریافتهاند كه آنها مهارت و دانش لازم را جهت ارزیابیتمامی موقعیتهای فعلی یا خطرات پتانسیل دارا نمیباشند و در مورد سطح ایمنیمورد نیاز تردید دارند. بخشهای بعدی این فصل در مورد این مطلب تحقیق میكندكه واژهٔ ایمنی شبكه چه معنایی دارد و اغلب نقطهٔ آغازین این تحقیقات زمانی استكه سازمانها برای مشاوره خارجی فراخوانده میشوند.
۱ـ۱ ایمنی اینترنت چیست؟!
سخت افزار- نرم افزار و اطلاعاتی كه سیستم كامپیوتری را ایجاد میكندمسایل فزاینده و مهم هیئتهای كامپیوتری میباشد.
حمایت از این سازمانها به اندازهٔ حمایت از سایر منابع ارزشمند حایز اهمیتمیباشد مثل پول - ساختمان یا كارمندان - هدف از ایمنی كامپیوتر حمایت از منابعكامپیوتری از طریق انتخاب و كاربردهای ایمنی مناسب است.
ایمنی اینترنت از محافظت منابع كامپیوتر در برابر خطرات و تهدیدهایی كهدر نتیجهٔ اتصال به اینترنت میباشد ایجاد میشود.
ایمنی كامپیوتر هیئتهای سازمان را حمایت میكند تا بتوانند منابع مالی وفیزیكی - مهارت - موقعیت قانونی - كارمندان و سایر داراییهای مجسوس ونامحسوس را حفظ نمایند.
اگر سیستمی دارای كاربران خارجی باشد پس مالكان و صاحبان آن سیستممسئول این هستند كه از دانش و مهارت خود در مورد ایجاد ایمنی حدود كلیاندازهگیری ایمنی به گونهای استفاده كنند كه سایر منابع سیستمی كه دارای ایمنیمناسب است را تأیید و تصدیق نماید.
علاوه بر به كارگیری اطلاعات در مورد ایمنی، مدیران سازمانها باید درحالتی هماهنگ - سروقت برای جلوگیری و پاسخ به سایر ایمنیها جهت كمك بهجلوگیری از وارد آمدن آسیب و خسارت به بخشهای دیگر عمل نمایند.
كامپیوترها و محیطهایی كه در آن عمل میكنند كاملاً دینامیك هستند.تغییرات موجود در سیستم یا محیطها میتوانند آسیب پذیریهای جدید ایجاد كنندو این مسئله كه كاربران سیستم و متصدیان، روشها و راههای جدید را برایایمنیها به صورت عمدی یا غیر عمدی كشف نمودهاند هنوز روشن نگردیده است.پس از اینرو لازم است كه ایمنی سیستمهای كامپیوتری را بطور منظم برای ایجادایمنی كامپیوتری مؤثر دوباره ارزیابی كنیم.
- ایمنیهای مؤثر كامپیوتر نیازمند یك رویكرد جامعی است كه بتواندمحدودههای موجود داخل و خارج حوزهٔ ایمنی كامپیوتر را ایجاد نماید و كل سیكلاطلاعات را وسعت دهد.
وقتی یك شبكه مطمئن به یك شبكه نامطمئن وصل میشود سه محدودهٔ كلیمورد توجه ایجاد میشود.
۱ـ مطالب نامناسب به طور عمدی و غیر عمدی به شبكه یا از شبكهٔ نامطمئن منتقلمیشود.
۲ـ كاربران غیر مجاز میتوانند به شبكههای مطمئن از طریق شبكههای نامطمئندست بیابند.
۳ـ عملیات شبكههای مطمئن در نتیجه حملات ایجاد شده از سوی شبكههاینامطمئن شاید متوقف شود.
اندازهگیریها و سنجشهای ایمنی شبكه و كامپیوتر كه توسط سازمان انجام شدهاست پتانسیلهایی را از طریق چهار عنصر اصلی كه ایمنی شبكههای كامپیوتریایجاد میكند تقلیل میدهد این چهار عنصر عبارتند از:
۱ـ تعیین هویت و تصدیق درستی
۲ـ كنترل دستیابی
۳ـ اعتبار دادهها
۴ـ اعتبار دهی
۱ـ۱ـ۱ تعیین هویت و تصدیق درستی:
اولین عنصر ایمنی كامپیوتری تصدیق درستی یا حصول اطمینان از اینمطلب است كه كاربران و كامپیوترها گواهی هویت را تصدیق میكنند. این مسئلهمعمولاً بر اساس یك چیز - یا تركیبی از چند چیز: (یك بیومتریك مثل مشخصاتیك الگوی صوتی ؛ دست خط یا اثر انگشت) یا مطالبی كه میدانید (یك راز مثل یككلمهٔ رمز - شماره شناسایی فرد (PIN)، یا یك كلید رمزی) یا چیزی كه شما دارید(یك ژتون مثل كارت اعتباری یا كارت هوشمند) میباشد.
برای مثال آشناییها هویت شما را بر اساس ویژگیهای شما معتبر میسازد.بانكها شما را براساس چیزی كه دارید مثل كارت اعتباری و چیزی كه میدانید مثلاسم مادرتان معتبر میسازد. یك اسم رمز یك زمانه اسم رمزی است كه تنها یكباراستفاده میشود و سپس خارج میشود و عمدتاً بر اساس چیزی كه دارید میباشد.یك نمونه از این نوع قانونی كردن پدهای یك زمانه توسط خدمات هوشمند طیجنگ جهانی دوم به كار میرفت. فقدان مجاز سازی و قانونی كردن مستحكم مانع پیشرفت و توسعه تجارتالكترونیكی میشود. مجاز سازی و قانونی كردن معتبر خود شرایط مهمی است، اگر اینترنت برای تجارت الكترونیك بكار رود. (Ranu ۹۵b)مجاز سازی و قانونی كردن بخش مهمی از زندگی روزمره است. نامهها درسرفصل چاپ و توسط فرد مجاز امضاء میگردد. امضاءهای دیجیتالی شرایطمشابه را تكمیل میكند اگر چه زمانی كه بر اساس الگوریتمهای سری سازیریاضی باشد بیشتر ارزش مییابد همچنانكه محتوای پیام و نیز مقام امضاء كنندهحایز اهمیت است. امضاهای دیجیتالی بر اساس كلید سری سازیهستند.Whitfield و Martin Hellman به منظور حل مشكلات مدیریتدادهپردازی كه با كلید رمز یا سریسازی متقارن است مفهوم كلید عمومیرمزگذاری را در سال ۱۹۷۶ معرفی كردند. سری نگاری غیر متقارن زوجهای كلیدیرا به كار میبرد. یكی از كلیدهای زوج كلیدی، كلید عمومی و دیگری كلید خصوصینامیده میشود. هر دو كلید را میتوان برای سری كردن پیام بكار برد. اما پیام فقطوقتی رمزگذاری میشود كه كلید دیگر بتواند برای رمزگشایی آن بكار برده شود.آنچه مسلم است این است كه هر دو سناریو امكان پذیر میباشد، یكی از آنها وقتیاستفاده میشود كه كلید خصوصی برای سری سازی پیام به كار میرود و از اینروكلید عمومی برای رمزگشایی آن به كار میرود و بر عكس. از طریق سریسازی پیامبا استفاده از كلید عمومی دریافت كننده، ارسال كننده در مییابد كه تنها دریافتكننده میتواند آنرا با اطمینان رمزگشائی كند. برای اینكه ارسال كننده پیامی رابصورت دیجیتالی علامت بزند، پیامها را از طریق دستكاری الگوریتم برای اینكهآنرا دیجیتالی نماید ایجاد میكند و سپس پیام را با كلید خصوصی خود رمز گذاریمیكند. خروجی امضایی دیجیتالی نامیده میشود و به پیام متصل است و با پیامارسال میشود. برای اینكه دریافت كننده علامت را تغییر دهد پیام را از همانالگوریتم دست كاری برای ایجاد مجدد پیام دیجیتالی ارسال میكند و سپس امضاءدیجیتالی ارسال كننده را با استفاده از كلید عمومی ارسال كننده رمزگشایی میكند.اگر پیام از فرستنده دریافت نشود ویا اگر محتوی آن تغییر كند در نتیجه پیامهایارسالی انطباق نخواهد داشت. بر طبق شرایط عادی كلید خصوصی توسط فردمحفوظ باقی میماند اما كلید عمومی در صورت لزوم توزیع میشود. نیازی به ایننیست كه فرستنده و گیرنده كلید سری مشترك داشته باشند. هر چند كنترل كلیدسری سازی غیرمتقارن هنوز نیاز به كلیدهای عمومی دارد كه در حالتی مجاز شدهویا حالتی ارزشمند توزیع شده باشد.
یكی از ابزار نیل به این شرایط نرمال به كارگیری یك مقام معتبر است. اهمیتاین مقام معتبر این است كه مورد قبول گروههای كاربری است كه از سوی خودگواهی را ایجاد میكنند. مقام معتبر از طریق امضاء دیجیتالی كلید عمومی كاربر راتغییر میدهد. این امر موجب میشود تا كلید عمومی معتبر كه با گواهی به آن اشارهشده است ایجاد گردد. امضاء دیجیتالی مقام معتبر نشان میدهد كه كلید عمومیمعتبر میباشد و اینرا تضمین میكند به هیچ عنوان قابل تغییر نخواهد بود.
یك چنین مقام معتبری فردی است كه زوجهای كلیدی را صادر كرده و دراواخر آپریل سال ۱۹۹۶ آنرا گواهی و تصدیق كرده و واژهٔ Digital ID را نشانتجاری نموده است.عملیات آگاهی در مورد ایمنی، جهت استفاده از گواهیها وابزارهای ایمنی ای-میل و دستبرد زنندههای به كامپیوتر برای شبكهٔ گستردهٔجهانی (World Wide Web) در حال حاضر موجود میباشد.
وقتی جزئیات تأیید شده در نرمافزار مشتری نصب میشود این جزئیات بطورخودكار به در خواست مشتری ارائه میشود و به خدماترسان امكان این را میدهدكه شما را مجاز نماید.
تعیین هویت و تصدیق درستی یك بلوك مهم ساختمانی كامپیوتر است زیرا برایاغلب انواع كنترل دستیابی یك مبنا و اصل میباشد و نیز برای قابلیت حسابرسیكاربر مهم میباشد.
۲-۱-۱ كنترل دستیابی
دستیابی، توانایی انجام كاری با یك منبع كامپیوتری است (برای مثالاستفاده - تغییر و یا بررسی). كنترلهای دستیابی ابزاری است كه توسط آنتواناییها بیشتر و یا در بعضی از جهات محدود میشود (این كار معمولاً از طریقكنترلهای فیزیكی یا كنترلهای برمبنای سیستم انجام میشود).
كنترل دستیابی اغلب نیاز به این دارد كه بعضی از سیستمها بتوانند كاربرانرا از همجدا و متمایز نماید. برای مثال، كنترل دستیابی اغلب براساس حداقل امتیازكه اشاره بر دستیابی كاربر برای اجرا و انجام وظایف خود دارد، میباشد. قابلیتحسابرسی كاربر نیازمند ارتباط فعالیتها در یك سیستم كامپیوتری برای افرادخاص است و از اینرو نیاز به سیستمهایی برای تعیین هویت كاربران دارد.
كنترلهای دستیابی ابزار فنی كنترل اطلاعاتی كه كاربر میتواند بكار ببرد ونیز برنامههایی كه میتوان به جریان انداخت و بازیابیها واصلاحاتی كه میتوانانجام داد را ارائه داده است.
كامپیوتر بر مبنای كنترلهای دستیابی، كنترلهای دستیابی منطقی نامیدهمیشود. كنترلهای دستیابی منطقی نه تنها ایزا تجویز میكند كه چه كسی یا چهچیزی میتواند به یك منبع سیستم خاص دست بیابد بلكه نوع دستیابی را نیز مجازمیكند. این كنترلها در سیستم اجرائی ساخته و ایجاد میشود و با برنامههایكامپیوتری یا كاربردهای اصلی منطبق میگردد (مثل سیستمهای مدیریت پایگاهدادهها یا سیستم های ارتباطی) یا ممكن است از طریق اضافه كردن به بستههایایمنی باشد. كنترلهای دستیابی منطقی به طور داخلی در سیستم كامپیوتری كهحفاظت شده یا در ابزارهای خارجی اجرا و پیادهسازی شده انجام میشود.
كنترلهای دستیابی منطقی كمك میكنند به حفاظت از :
· اجرای سیستمها و سایر سیستمهای نرمافزار از اصلاح و بازیابی مجاز نشده یاعملیات گردانی (و به تضمین تلفیق سیستمها و موجودیت آنها)
· تلفیق اطلاعات و موجودیت آنها از طریق محدود نمودن تعداد كاربران وپروسهها با قابلیت دستیابی
· اطلاعات معتبر از افراد غیرمجاز
مفهوم الگوهای دستیابی برای كنترل دستیابی مهم میباشد. الگوهای دستیابیمشترك كه برای اجرای سیستمها و كاربردهای سیستمها به كار میرود شاملموارد زیر است:
·خواندن
· حذف كردن
· ایجاد كردن
· اجرا نمودن
در تصمیمگیری برای اینكه آیا میتوان فرد را مجاز به استفاده از یك منبع سیستمنمود، كنترلهای دستیابی منطقی این را بررسی میكند كه آیا كاربر برای نوعدستیابی مورد نیاز براساس معیار دستیابی مجاز است یا خیر. این معیارهاعبارتنداز:
· هویت : باید گفت كه اكثریت كنترلهای دستیابی براساس ماهیت كاربر است (چهانسان یا پروسهها) ، كه معمولاً از طریق تصدیق درستی و هویتها تثبیت میشود.
· نقشها : دستیابی به اطلاعات از طریق كاركرد یا انتقال شغلی (برای مثال نقش)كاربری كه در سدد دستیابی است كنترل میشود. نمونههای نقشها شامل متصدیداده دهی - كارمند خرید - رهبر (مدیر) پروژه و برنامهریز میشود. حقوق دستیابیتوسط اسم نقش ، و كاربرد منابع افراد مجاز برای انجام نقش مربوطه، گروهبندیمیشود. یك فرد شاید بتواند بیش از یك نقش را اجرا كند؛ اما شاید مجاز به عملدریك نقش تكی در یك زمان باشد، تغییر نقشها نیازمند ثبت یك نقش یا ورود یكنقش جهت تغییر فرمان است.
به كارگیری نقشها ابزار موثر ارائه كنترل دستیابی میباشد.
· موقعیت : دستیابی به منابع سیستم خاص نیز براساس موقعیت فیزیكی یا منطقیمیباشد برای مثال كاربران براساس نشانیهای شبكه محدود میشوند. (برای مثالكاربران از سایتهای مختلف (در یك سازمان فرضی مجاز به دستیابی هستند)
· زمان : محدودیت زمان یك روز یا روزهای یك هفته حدود دستیابی مشتركهستند برای مثال به كارگیری فایلهای پرسنل معتبر تنها طی ساعتهای كاریمعتبری مجاز میباشد.
· معاملات : رویكرد دیگر كنترل دستیابی توسط كنترل معاملات به كار میرود.مكالمات تلفنی ابتدا توسط كامپیوتری پاسخ داده میشود كه كلید شماره گیرنده رابه شماره حساب خود و شاید یك PIN را درخواست كرده باشد. بعضی از معاملاتروزمره مستقیماً انجام میشود اما بیشتر معاملات پیچیده نیازمند مداخلات انسانیاست. در یك چنین نمونههایی ، كامپیوتری كه قبلاً شماره حساب را میدانست بهكارمند داده میشود و دستیابی به حساب خاص را برای مدت معاملات امكانپذیرمیكند.وقتی دستیابی كامل شد، اجازهٔ دستیابی به پایان میرسد. این بدان معنا استكه كاربرانی كه حق انتخاب و دستیابی به آن حسابها را ندارند میتوانند پتانسیلهاییرا برای آسیب رساندن كاهش دهند. این امر نیز مانع از دستیابی كاربران به حسابهاو بازیابی و اصلاح قابلیتها میشود.
· حدود خدمات : حدود خدمات اشاره بر محدودیتها براساس پارمترهایی دارد كهطی استفاده از كاربردها ایجاد شده و این حدود توسط مدیر منابع از قبل تثبیت شدهاست. برای مثال، یك بسته نرمافزاری خاص تنها توسط سازمان برای ۵ كاربرددریك زمان مجاز میگردد. دستیابی باید برای ششمین كاربر منع شود حتی اگركاربر مجاز به استفاده از كاربردهای باشد.
دستیابی بطور انتخابی براساس نوع خدمات درخواستی مجاز میگردد. برایمثال كاربر كامپیوتر در یك شبكهٔ مجاز به تغییرات E-mail (پست الكترونیكی)هستند و مجاز به این نیستند كه در سایر كامپیوترها ركوردگیری نمایند.
· كنترلهای دستیابی خارجی : كنترلهای دستیابی خارجی ابزار كنترل بر همكشبین سیستم و مردم خارجی - سیستمها و خدمات هستند دستیابی خارجی متدهایزیادی را به كار میگیرد و این اغلب شامل Firewall میشود كه در بخشهای بعدیبحث خواهد شد.
۳ـ۱ـ۱ـ اعتبار دادهها:
اعتبار دادهها درجه و حدی است كه به واسط آن میتوان تخریبها را زایلكرد برای مثال از طریق آن میتوان آسیبها و خسارات وارده را حذف كرد. علاوهبر اصلاح و بازیابی و اصلاح معتبر، امضاءهای دیجیتالی نیز سطح اطمینان را درپیامی كه قبلاً در این فصل بحث شد بازیابی میكند.
هرچند اعتبار دادهها تنها برای پیامها به كار نمیرود، یكپارچگی فایلها وكاربردها نیز خیلی مهم است. یكی از متداولترین ابزار دستیابی غیرمجاز بهسیستم كاپمیوتری نصب كپیهای تغییر یافتهٔ برنامههای سیستم عامل است كهدستیابی فرد یا برنامه غیر مجاز را زمانی میسر میسازد كه برنامهها اجرا شوند.
آنچه مهم است یكپارچگی عناصر سیستم عامل است كه میتواند تغیر یابد.حمله كنندهها خود این تغییر را به خوبی در مییابند و نیز این را بیان میكنند كهچگونه حمله میشود، حمله كننده كیست و وقتی مونیتورینگ آغاز میشود یكی ازبرنامهها حذف و كپی سایر فایلهایی كه با فایل اصلی جابهجا شده مقایسه میشود.
یكپارچگی نرمافزار ضد ویروس باید به طور منظم اعتبار یابد. اغلب بستههادر بازار یك اعتبار یكپارچگی را اجرا میكند. مسئله و مشكل اصلی این است كهنرمافزار به گونهای طرح ریزی نشده است كه كپی از اصل مشخص شود. در یكچنین مواردی اعتبار یكپارچگی باید به طور درست و صحیح انجام شود.
در بعضی از موارد اعتبار فایلهای دادهها اغلب با نرمافزار كاربردی انجاممیشود. از آنجائیكه نرمافزار كاربردی كاربر را از تباهی و خرابی یك فایل مطلعنمیسازد. اما انیرا گزارش نمیدهد كه شركت A از فهرست شركتها برای قرارداداصلی برداشته و حذف شده است. این نوع یكپارچگی باید به طور مستقل تغییر یابد.
هر دو پیام ارسال میشود و امضاءهای دیجیتالی اعتبار فایلها را در تمامی اینموارد نشان میدهد. نكته مهم این است كه برای ایجاد اعتبار به تأئید و درستیمستقل نیاز است.
۴ـ۱ـ۱ـ اعتبار دهی
اعتباردهی نیز حدی است كه با آن خصوصی بودن یا پنهان بودن چیزیتأئید میشود قابلیت اعتبار اكثر مقالات نیز تأئید میشود. اكثر پیامهایی كه دراینترنت ارسال میشود حتی این سطح اعتبار را تأئید نمیكند. نبودن و فقدان اعتباردر اینترنت بر انتقال فایلها تأثیر میگذارد و به همین ترتیب بر اطلاعاتی كه بینخدمات رسانها و مشتریان www مبادله میشود.
كاربردهای www، و انتقال فایل، و ای میل برای نیمی از بایتهای ارسالی درستون فقرات اینترنت در سال ۱۹۹۴ در نظر گرفته شده است. بدون توجه به نوعدادهها اكثر ترافیكها بدون در نظر گرفتن قابلیت اعتبار ارسال میشوند. اصلاح و بازیابی چنین موضوعاتی در دست اقدام است و در سال ۱۹۹۶ اینعمل انجام شده است. برای مثال دستبرد زنندههای به كامپیوتر میتوانند ازگواهیها استفاده و از این رو معیار واستاندارد (PEM) و استانداردهای(S/MIME) را به كار گیرند.
تئوری و عناصر دیوارآتشی
وقتی استراتژی امنیت و سیاست امنیت شبكه اجرا گردید ابزار پیادهسازیلازم میشود. واژه Firewall برای توصیف تركیب سخت افزار، نرمافزار وفعالیتهایی به كار میرود كه براین خط مشی و سیاست تأثیر میگذارد.
۱ـ۲ـ یك Firewall اینترنت چیست؟!
firewall اینترنت ابزار حفاظت از شبكه از طریق اجرای كنترل دستیابی به واز اینترنت میباشد. عملاً این نوع كنترلها از طریق كنترل ابزار ارتباطی بین دو شكبه،مجموعه TCP/IP پروتوكلها بدست میآید. wack ۹۵ یك Firewall را به عنوانرویكردی برای امنیت توصیف میكند. او از واژهٔ Firewall به معنای استراتژی وخط مشی استفاده میكند و به عقیده وی واژهٔ سیستم Firewall اشاره بر عناصرسختافزار و نرمافزاری دارد كه این سیاست را اجرا میكند.
یك سیستم firewall مجموعه عناصری است كه بین دو شبكه قرار دارد ودارای ویژگیهای زیر است:
· تمامی ترافیكها از داخل به خارج و بالعكس بایستی از طریق آن عبور كند.
· تنها ترافیك مجاز همانطور كه توسط سیاست امنیت توصیف شد مجاز به عبوراز آن هستند.
· سیستم به تنهایی برای نفوذ امن میباشد.
به عبارت دیگر یك سیستم firewall مكانیسمی است كه برای حفاظت شبكهامن به كار میرود حال آنكه به یك شبكهٔ تخریب شده متصل میشود دو شبكهای كهبررسی شد یكی شبكه داخلی سازمان و دیگری اینترنت است.
اما در توصیف firewall باید گفت firewall مفهوم را به اینترنت مرتبطمیكند گرچه اكثر firewallها بین شبكههای داخلی و اینترنت deploy میشود وعلت استفاده firewall این است كه هریك از شبكههای معتبر را به شبكهای كه كمترمعتبر است وصل میكند و شاید این شبكه داخلی و یا خارجی باشد. دلایل خوبینیز وجود دارد كه در فصل ۲ـ۲ بحث شده و علت استفاده از firewall را وقتی هرشبكه امن به یك شبكه غیرامن داخلی یا خارجی متصل میشود مطرح میكند.
۲ـ۲ـ firewall چه كاری را میتواند انجام دهد؟
یك فایروال میتواند سیاست امنیت را تقویت نماید. فایروال ابزاری است كهسیاست امنیت دستیابی به شبكه اجرا میشود. خدمات شبكه مطمئن را میتوانمحدود كرد و دستیابی به یا از میزبانهای خاص بدین وسیله محدود میشود.
یك فایروال به طور مؤثر میتواند فعالیتها را تائید و تصدیق نماید.
فایروال از طریق كنترل و محدود نمودن دستیابی به یا از سطح توصیف شدهدر سیاست امنیت نمایش شما را به شبكهٔ توزیع شده محدود میسازد و آنچه را كهكاربر برای اینترنت به كار میبرد را كنترل مینماید.
یك firewall بر روی تصمیمات اتخاذ شده در مورد امنیت توجه دارد. تمامیترافیكها به یا از اینترنت از طریق آن باید عبور كند. با توصیف دفاع میتوان امنیتهوایی سیستم داخلی را كاهش داد زیرا به سازمانها این امكان را میدهد تا در یكتعداد محدود ماشین برای امنیت متمركز شوند.۳ـ۲ـ چه فعالیتها و كارهایی را firewall نمیتواند انجام دهد؟
از آنجائیكه firewall حمایت و حفاظت خوبی را در سطح پایینتر مدل TCP/IP ایجاد میكند. در برابر سطوح بالاتر پروتوكل نمیتواند این عمل را انجام دهد بهاین نكته توجه میشود كه هر دادهای كه از طریق firewall عبور میكند هنوزپتانسیلی است برای مشكلات علی و مهم كه به عنوان خدمات و یا دادههایی كه بهآنها حمله شده شناسایی میشود. یك firewall در برابر ویروسهایی كه فایلها را ازطریق انتقال ftp یا اتصال MIME به پیام ای میل عفونی میكند محافظت نمیشود.
یك firewall نمیتواند در برابر insiders Malicious حفاظت شود. یكfirewall نمیتواند بین میزبانها در همان جهت یك شبكه تمیز ایجاد كند و از از اینروهر میزبان شبكه میزبان شبكه دیگر را spoofing و هر میزبان داخلی میتواند سایرمیبزانهای داخلی را spoof نماید.
یك فایروال نمیتواند در برابر ارتباطاتی كه از طریق آن عبور میكندمحافظت شود. firewall دستیابی به تسهیلات و كاربران خاصی را معدود میكندكه گاهی مواقع firewall را برای دستیابی به این تسهیلات پهلو گذر میكند. یك مثالخوب در این رابطه firewall (فایروالی) است كه امكان دستیابی به www را میسرنمیسازد. كاربران این شبكهها اتصالات و ارتباطات نقطه به نقطه را با ارائهدهندگان و تهیه كنندگان خدمات اینترنت از طریق خط تلفن عادی و معمولی تثبیتمیسازند و اتصال و ارتباط اینترنت را معرفی میكنند. این نوع تمدیدها توسطكنترل روشهایی مشخص میگردد كه در سیاست امنیت سازمان به آن توجه شدهاست.
یك firewall به طور كامل در برابر تهدیدهای جدید حمایت و حفاظت نمیشود و اینزمانی است كه استراتژی امنیت با سایر استراتژیها متفاوت باشد از طریق چنیناستراتژی میتوان سیاست امنیت را بررسی كرد.
۴ـ۲ـ عناصر Firewall
عناصر Firewall اصلی به قرار زیر است:
عناصری كه به طور فعال با ارتباط بین شبكه توزیع شده و شبكه امن تداخلمیكنند. دو نوع عنصر فعال وجود دارد:
· فیلتر بسته
· دروازهٔ كاربردی
·عنصر كنترل امنیت، كه برای اجرای عناصر firewall فعال نیاز است.
مهمترین اهداف دستیابی به سیستمهای firewall عبارتنداز:
· كنترل دستیابی در سطوح مختلف (سطح شبكه - سطح كاربر)
· كنترل در لایهٔ كاربردی
· اجرای حقوق كاربر
· جداسازی خدمات خاص
· تحلیل log لگاریتم و اثبات پشتیبان
· تسهیلات اخطار (زنگ آگهی)
· پنهان نمودن ساختار شبكهٔ داخلی
· ساختاری كردن شبكه، توصیف امنیت
· قابلیت اعتبار
· مقاومت fireattack حمله آتش در برابر حملات. احتمالات بررسی و تغییر آدرسشكبه باید وجود داشته باشد.
معماری موردنظر یك عنصر fiewall فعال از اهداف سیستم firewallاستنتاج میگردد یك پیشنهاد خوب برای معماری عنصر firewall فعال توسطN.pohlmann ارائه شد. چنین معماری باید دارای ساختار مدولار باشد. مشخصاتزیر این معماری را نشان میدهد.
متأسفانه تمامی اهداف از طریق نتایج حاصله تحقق نمییابد و ما نیاز بهمعیار انتخاب نتایج firewall هستیم. مهمترین معیارهای انتخاب عبارت از:
· امنیت سكوی firewall
· سادهسازی اجرا
· مشخص نمودن خدمات اینترنت جهت بالا بردن پذیرشها و قابلیت قبول
· انتقال نشانی
· امنیت خدمات رسان
· معتبر كردن این معیارها برای كاربران خارجی
· كاربرد سیستمهای سریسازی
· تسهیلات خبردهی و اعلان
ما باید دریابیم كه چگونه عناصر firewall فعال كار میكنند و نقاط ضعف ونقاط قوت آن برای انتخاب firewall درست چیست.
۱ـ۴ـ۲ـ فیلتر بسته
یك فیلتر بسته یك مكانیسم امنیت شبكه میباشد كه باكنترل دادههایی استكه در حال اجرا هستند و از یك شبكه كار میكنند. این فیلترها در لایهٔ شبكه و درپروتوكل TCP/IP اجرا و پیادهسازی میشوند. نوع مسیری كه در firewall بقیهبسته به كار رفته است screening router نامیده میشود. فیلتر (تصفیه) بسته بهشما این امكان را میدهد كه انتقال دادهها را براساس زیر انجام دهید.
· نشانی كه دادهها از آن قسمت میآیند.
· نشانی كه دادهها به از آن قسمت میروند.
· جلسات و پروتوكلهای كاربردی كه برای انتقال دادها استفاده میشوند. مابینرلهای مدار و فیلترهای بسته تمییز و تشخیصی را قایل هستیم. رلههای مدار شكلخاصی از فیلترهای بسته هستند. آنها ارتباط كامل خدمات را جهت حفاظت از آنهاتوصیف میكنند و اشاره براین مطلب دارند كه چه كسی میتواند از آن استفاده كندو پارامترهایی كه شما باید استفاده كنید چه پارامترهایی است . فایدهٔ اصلی ایناست كه هر حملهای بعلت محدودیتهای داخلی، احتمالات كمی برای موفقیت دارد.و بزرگترین اشكال این است كه آنها بر قابلیتها تأثیر میگذارند.
علاوه بر این رلههای مدار در برابر كاربردها حمله نمیكند.
برای تحلیل بسته اطلاعات زیر را باید به كار بست.
· بایستی ثابت شود كه واسطه بسته چگونه رسیده و دریافت شده است.
· در لایهٔ شبكه ما باید نوع پروتوكل استفاده شده - منبع و نشانی مقصد را كنترلكنیم.
· در لایهٔ انتقالی ، باید شماره درب مقصد، و منبع كه خدمات را توصیف میكندكنترل كنیم. این نوع تصفیه گاهی مواقع تصفیه وابسته به خدمات مینامیم.
اطلاعات اضافی باید زمانی كنترل شود كه یك بسته طی دوره زمانی توصیفشده ارسال شود.
فیلترهای بسته دارای فواید زیر هستند.
· آنها شفاف و روشن میباشند.
· به سادگی میتوان پروتوكلهای جدید و خدمات جدید را بسط و توسعه داد.
· دارای پیچیدگیهای كمی هستند از اینرو عملكردشان بالا است.
· screening rooter میتواند كمك به حفاظت كل شبكه نماید.
· تصفیه بسته نیاز به دانش و آگاهی كاربر ندارد.
· تصفیه بسته در بسیاری از مسیریابها موجود است.گرچه تصفیهٔ بسته فواید زیادی دارد اما استفاده از فیلتر بسته نیز دارای نقاطضعفی است:
· ابزار تصفیهای كامل نمیباشد.
· بعضی از پروتوكلها برای تصفیهٔ بسته مناسب نیست.
· بعضی از سیاستها و خط مشیها توسط مسیریابهای فیلتر بسته تقویتنمیشوند.
اما اشكال اصلی این است كه دادههای بالای لایه قابل انتقال، تحلیل و تجزیهنمیشوند در نتیجه برای لایه كاربردی امنیتی وجود ندارد. ساختار شبكه امن رانمیتوان مخفی كرد ثبت ارتباطات تنها توسط لایه ۴ امكان پذیر است.
شما میتوانید فیلترهای بستهای را به كار ببرید كه با مسیریابها سازگاری وانطباق دارد و یا آنها را به عنوان یك عنصر firewall اجرا و پیادهسازی كردمسیریاب با تسهیلات فیلتر بسته عناصر firewall ارزان هستند و دارای نقاطضعف میباشند.
· قابلیت كاراندازی سیستم محدود است و اغلب تعیین مسیریاب دشوار میباشد
· قوانین تصفیهٔ بسته به لحاظ تست دشوار است از اینرو نمیتوان آنرا تست نمود
· اگر قوانین تصفیهٔ (filtering) پیچیده لازم و ضروری باشد این قوانین غیرقابلكنترل میگردد و هریك از میزبانها مستقیماً از اینترنت قابل دست یافتن هستند وبایستی اندازهگیریهای اعتبار و درستی را اجرا كرد.
فیلترهای بستهای كه عناصر firewall را توصیف و آشكار میكنند دارایفواید زیر هستند
· معیارهای طرح ریزی را برای عناصر firewall فعال كامل میكنند.
· بین شرایط ارتباط و شرایط امنیت محدودیتها را از بین میبرد.
· باعناصر امنیت میتوان آنرا كنترل كرد.
· اما نقاط ضعف و اشكالاتی نیز وجود دارد:
· یك عنصر firewall از نرمافزارهایی كه در مسیریاب جدید شدهاند گرانترهستند
· موجودیت خدمات را برای شبكهٔ ما كاهش میدهند.
فیلترهای بسته با فهرست كنترل دستیابی پیكرهبندی میشوند. این فهرست به firewall میگوید كه چه نشانی IP در یك منبع میتواند باشد و چه نشانی در مقصدوجود دارد. با تصفیه و فیلترینگ دریك منبع و مقصد میتوان مشتریانی كهبهخدمات رسانهای خاص دستیابی دارند را محدود نمود. از آنجائیكه آنها میتوانندبه تعداد دربهای TCP و UDP نگاه كنند، ما میتوانیم به كاربردهای انفرادی كه دریك خدمات رسان درحال جریان هستند دست بیابیم.
معمولاً فیلترهای بسته برای راهحلهای امنیتی استفاده میشوند. این فیلترهابرای شبكههای كوچكتر با شرایط امنیتی كمتر به كار میروند از آنجائیكهنمیتوانیم از اینترنت به انترانت دست بیابیم، این نوع عنصر firewall حمایتها وحفاظتهای اصلی را پیشنهاد میدهد. توصیف هر كاربری كه میتواند از انترانت بهاینترنت دست بیابد در یك عنصر firewall دست نیافتنی وجود دارد. یك راه حلبهتر در بخش بعدی با مفهوم دروازهٔ كاربردی اشاره شده است.
۲ـ۴ـ۲ـ دروازه كاربردی
یك دروازهٔ كاربردی برنامههای خدماتی رسانی است كه در میزبان firewallاجرا میشود. این برنامهها موانع امنیتی بین كاربر داخلی و اینترنت را ایجاد میكندو زمانی لازم است كه نیاز شدید به امنیت داشته باشیم. یك firewall دروازهكاربردی در لایهٔ كاربردی عمل میكند و از اینرو میتوان به سطح پروتوكلكاربردی دست یافت و ذخیرهها و نیز ترافیك را كنترل كرد. با عمل نمودن در لایهكاربردی میتوان ارتباطات - تنگاتنگی را ایجاد نمود و تنها در شرایط توصیف،ارتباطات را ایجاد كرد.
ما میتوانیم از پروكسیها برای ایجاد یك دروازهٔ كاربردی استفاده كنیم.خدمات پروكسی در اختیار كابران گذشته میشود. خدمات رسان واقعی از كاربرپنهان میشود یك پروكسی عنصر نرمافزاری است كه نقش مهمی را برای خدماتخاص دارد. وقتی خدمات خاص را قدغن میكنیم، بایستی پروكسیها را در دروازهٔكاربردی متوقف نمائیم.
دو نوع پروكسی وجود دارد : ۱ـ پروكسی كاربردی ۲ـ پروكسی ژنریك كهپروكسی مدار نامیده میشود. پروكسی كاربردی پروتوكل كاربردی را در مییابد واز اینرو براساس عملیات مورد تقاضا جلسات را كنترل میكند.
كاربردهای معمولی به عنوان یك پروكسی بین مشتری و خدمات رسان عملمیكند از آنجائیكه تمامی دادههای بین مشتری و خدمات رسان از طریق پروكسیكاربردی مسیریابی میشود میتوان جلسات و واقعهنگاری را كنترل كرد. این نوعتوانایی برای كنترل تمامی ترافیكها یكی از فواید اصلی دروازههای كاربردی است.
پروكسی سطح مدار پروتوكلهای كاربردی را تفسیر نمیكند اما قبل از تثبیتمدار كاربر را تأیید میكند. این پروكسیها بستهها را بین دو نقطه ارتباطی معتبررله میكند اما نمیتواند براساس پروتوكل پردازش اضافی یا تصفیه كند.
فایدهٔ دروازدهٔ سطح مدار این است كه خدمات را برای بخش وسیعی ازپروتوكلهای مختلف ارائه میدهد هرچند نیاز به نرم افزار مشتری خاصی است كهدارای سیستم فراخوانی با امنیت باشند. این مسئله مشكلاتی را توصیف میكندمبنی بر اینكه میزبانی كه بر اساس و مبنای امنیت است به خوبی مقیاسبندی نشدهاست. با بالا رفتن اندازه شبكه وظیفه كنترل مشتریان دشوارتر میشود.
در پروكسیهای كاربردی عمومی از روشهای اصلاح استفاده میشود ودروازههای مدار از مشتریان اصلاح شده استفاده میكنند.
دروازههای كاربردی نتایج فواید زیر را پیشنهاد و ارائه میدهند.
· decoupling خدمات از طریق پروكسیهایی كه امنیت زیادی را ایجاد میكند
· خدمات خیلی ساده كنترل میشوند و میتوان آنها را خاموش یا روشن كرد.
· آنها خدمات امنیتی دیگری را مثل تسهیلات سری سازی یا سایر تسهیلاتی كه بهما امكان اینرا میدهد تا امنیت را ایجاد نمائیم پیشنهاد میكند.
· تسهیلات حسابرسی ساده
· سری سازی ساختار شبكه داخلی استفاده از نشانی شبكه
· كنترل الگوهای عملكردی
· اجازه میدهیم با كاربران مستقیماً به خدمات اینترنت دست بیابند.
· فایده خوب در ثبت نگاریقابلیت انعطاف پروكسیهای كاربردی یكی از نقاط ضعف دروازههایكاربردی است و از اینرو خدمات جدید به یك پروكسی جدید نیاز دارند. پوركسیژنریك این مشكلات را ندارد. درمورد كاربری كه خدمات را جهت یابی میكند ابتدابایستی خود را قبل از ارتباط توصیف كنیم.
دروازههای كاربردی در ارتباط با فیلترهای بستهگران بوده و عملكرد آنمناسب نمیباشد.
۳ـ۴ـ۲ـ عنصر كنترل امنیت
عنصر كنترل امنیت قوانینی را برای عناصر firewall فعال توصیف میكند ودادههای امنیتی مربوط را ارزیابی مینماید. كامپیوتری كه درآن عنصر كنترلامنیت درحال جریان است باید برابر حملات مقاوم باشد. این نوع امنیت از منفعلكردن و از كار انداختن عنصر firewall فعال از طریق عنصر كنترل ایمنی موردحمل قرار گرفته حاصل میشود.
كنترل امنیت حداقل با مكانیسمهای امنیت زیر انجام میشود:
· تصدیق درستی و اعتباردهی
· تسهیلات حسابرسی
· سری سازی دادههای مربوطه
· توزیع وكنترل وظایف
اعتبار سیاست امنیت firewall ما، در سیاست امنیت شبكه از طریق كنترلامنیت در سیستم شبكهای انجام میشود.
۵ـ۲ـ نتایج :
یكپارچگی و اعتبار سیاست امنیت firewall مادر سیاست امنیت شبكهبایستی با اعتبار كنترل امنیت در یك سیستم شبكهای انجام شود.
معماری مورد نظر یك عنصر firewall فعال از اهداف سیستم firewallبدست آمده یك پیشنهاد خوب برای معماری عنصر firewall فعال در فصل بعدیارائه میشود. یك چنین معماری دارای ساختار مدولار است.
فیلترهای بسته ابزار مفیدی است و از اینرو و دارای ایمنی است. اما درمقایسه با دروازهٔ كاربردی درجه پایینتری از امنیت را پیشنهاد میكنند. هرچقدرلایه تحلیل شده بالاتر باشد درجه ایمنی بیشتر است. پیچیدهگی به درجه امنیت وعملكرد عناصر firewall مربوط میشود. معمولاً عناصر فیلترینگ بسته از عناصردروازهٔ كاربردی ارزانتر است.
معماری firewall
تكنولوژی فیلترینگ بسته كه در مسیریابها بكار میرود قابلیت و روش كلی رابرای كنترل ترافیك شبكه ایجاد میكند. آنها دارای فوایدی هستند و فواید آنها ایناست كه نیازی به تغییر كاربردهای مشتری یا میزبان نمیباشد زیرا در لایههایشبك عمل میكنند. دروازههای كاربردی ترافیك شبكه و لایههای كاربردی راكنترل میكند و دارای فوایدی است زیرا میتواند پروتوكل كاربردی را اجرا كنند.
firewallها براساس كنترل امنیت میتوانند قابلیت شبكه را بالا ببرند. برایبیان این مطلب چندین معماری firewall داخلی استاندارد یا پیكربندی ارائهمیشود.
۱ـ۳ـ معماری میزبان دوگانه
سادهترین معماری firewall معماری میزبان دوگانه است. یك مبزان داخلیدوگانه كامپیوتری است كه اتصال شبكه را با دو شبكه دیگر همانطور كه در تصویر۱ـ۳ آمده مجزا نموده است. یك چنین میبزانی به عنوان مسیریاب بین دو شبكه عملمیكند هرچند این نوع كاربرد مسیریابی وقتی میزبانهای دوگانه در معماریfirewall به كار میرود ناتوان میشوند.
از آنجائیكه كاركرد مسیریابی میزبان را قادر نمیسازد تا دو شبكه را از همجدا سازد سیستمهای داخل شبكه با میزبان از طریق رابط شبكه - و سیستمها درشبكه از طریق شبكههای دیگر مرتبط میشوند؛ هرچند سیستمها مستقیماًنمیتوانند به یكدیگر مرتبط شوند، در معماری میزبان تنها میزبان دوگانه برایامنیت شبكه مهم است. یك چنین میزبانهایی در كتاب firewall تحت عنوانBastion Hosts شناخته شده است.
یك میزبان دوگانه خدمات را با پرركسی كردن آنها ارائه میدهد. وقتیپروكسیها میزبان را موجود نمییابند برای ارائه خدمات باید انتخابهای دیگری راانجام داد.
۲ـ۳ـ معماری میزبان
در این نوع معماری همانطور كه در تصویر ۲ـ۳ بیان شده است امنیت اولیه ازطریق تصفیه و فیلترینگ بسته و میزبانهای شبكه داخلی ایجاد میشود كهكاربردهای مورد نیاز را ارائه میدهند قوانین فیلترنیك بسته مسیریاب یك چنینمیزبانهایی را از اینترنت پیكربندی میكند اتصال به شبكه از طریق یك پروكسیكاربردی در میزبان مسیریابی میشود و در بعضی از موارد بسته به سیاست امنیتشبكه این اتصال امكانپذیر میشود. stall ۹۵ و siya ۹۵ براین مسئله اشاره دارد كه معماری میزبان لایه دیگری ازامنیت را به معماری میزبان دوگانه اضافه میكند. wack ۹۵ به این نكته اشاره داردكه معماری میزبان به دلیل مسیریابیهایی كه امكان عبور به خدمات خاص را دراطراف میزبان bustion میدهد از امنیت كمتری برخوردار است. معماری میزباندر اولین نگاه در مقایسه با معماری مبزان دوگانه از ایمنی كمتری برخوردار است اماعملاً از یك نوع ایمنی برخوردارند.
۳ـ۳ـ معماری زیر شبكه
با میزبان دوگانه و معماری میزبان با شبكه معتبر و امن میشود و این زمانیاست كه میزبان bastion به كار رود.
تأثیر میزبان bastion با جداسازی آن در شبكه perimeter كاهش مییابد.سادهترین روش ارائه شبكه perimeter اضافه نمودن یك مسیریاب اضاف بهمعماری میزبان است این معماری در تصویر ۳ـ۳ بیان شده است و معماری زیرشبكهای نامیده میشوند. میزبان bastion سپس در شبكه perimeter بین دومسیریاب قرار میگیرد.
یك حمله كننده حالا میتواند به شبكه perimeter دست بیابد. شبكه امن هنوزتوسط مرناب داخلی محفاظت میشود. از آنجائیكه حمله كننده میتواند از نرمافزارsniffer بسته در شبكه استفاده كند، نمیتواند كلمات رمز را برای شبكه مورداطمینان جمعآوری كند مگر اینكه از طریق DMZ عبور كند.
۴ـ۳ـ نتایج :
راه حل درست برای ایجاد firewalls یك تكنیك تكی است و معمولاً با دقتتكنیكها برای حل مشكلات مختلف ارائه میشود مسایل و مشكلات زیادی وجوددارد كه بسته به خدماتی كه كاربر ارائه میدهد بایستی حل شود.
بعضی از پروتوكلها برای مثال Telnet و SMTP با فیلترینگ بسته به طورمؤثركنترل میشوند. سایر پروتوكلها مثل FTP و WWW با پروكسیها كنترلمیشوند. اكثر پیادهسازیهای firewall تركیبی از فیلترینگ بسته و پروكسی را بهكار میبرند.
فصل چهارم
حمله به عناصر firewall
۱ـ۴ـ انواع حمله به عناصر firewall
مقوله اصلی كه خطرات را برای سیستم ما ایجاد میكند تغییر خدمات شبكه -كاهش اعتماد و اعتبار - مفهوم خطا و سوء استفاده از اطلاعات آزاد است. مهمترینحملاتی كه از طریق مفهوم خطا ایجاد میشود عبارتنداز:
۱-۱-۴- حملهٔ Ip spoofing
شبیهسازی نشانی درست و معتبر موجب میشود تا بدون هیچگونه مشگلیبه شبكه داخلی دست بیابیم. معمولاً دروازههای كاربردی نمیتوانند حفاظتی راایجاد نمایند.
۲-۱-۴- حملهٔ ICMP
با استفاده از بستههای دو جهتی میتوان جداول مسیریابی را تغییر داد یكیاز احتمالات اجرای غلط خدمات میباشد. بستههای ICMP توسط فیلترهای بستهفیلتره میشوند.
۳ـ۱ـ۴ـ حمله به مسیریابی اینترنت
این بدان معنا است كه منبع بستههایی كه مسیر را مشخص میكنند باید تامقصد ادامه یابد. در اینجا دو منبع وجود دارد. منبع معتبر - منبع بدون اعتبار. منبعمعتبر مسیریابی به شما فهرست مسیرهایی را میدهد كه بسته باید دنبال كند. منبعبدون اعتبار از طریق سایر مسیرها بین مسیر منبع در بسته اجرا میشود. با ارزیابیاطلاعات مسیریابی منبع حمله كننده میتواند مطالبی را در مورد شبكهٔ داخلیدریابد. ما میتوانیم تنها با مسیریابی استاتیك از این منابع دفاع كنیم. مسیریابیدینامیك را باید خاموش كنید.
۴ـ۱ـ۴ـ سیل نشانكهای Tcp SYN
سیل نشانكهای Tcp syn ابزاری است كه تنها بخشی از حملات را با تمركزكاملاً متفاوت اجرا میكند. سیل نشانكهای Tcp SYN موجب میشود تا خدماترسان به اتصالات جدید با مشتریان پاسخ دهد. حملات خدمات مانع از این میشودكه از سیستمهای مفید یا شبكهها بتوانیم استفاده كنیم. این حملات معمولاً از طریقبارگیری پیش از حد پردازش میشوند. ارسال بستههایی كه میتواند اتصال بهاینترنت را ایجاد نماید نمونه نمونهای است كه در اینجا به آن اشاره شده سیلنشانكها برای دروازهٔ كاربردی و فیلترهای بسته خطرناك است.
۵ـ۱ـ۴ـ حملهٔ shooping یا sniffing
shiffing حملهای است خصوصی و حمله كننده ترافیك شبكه را مشاهده اماآنرا تخریب نمیسازد.
۶ـ۱ـ۴ـhijacking
حملهای است فعال كه توسط حمله كننده ایجاد میشود. حملهٔ Iphijackingsبعداز اینكه پروسه اعتباراسزی اجرا شد ظاهر میشود و به حمله كننده اجازهمیدهد تا نقش كاربر معتبر در یابد. حفاظت اولیه در برابر Iphijack به سری سازیدر لایه شبكه پاسخ میدهد.
۷ـ۱ـ۴ـ Trogan horse
Trogan horse نرمافزاری است كه به طور عادی ظاهر میشود و شاملبرنامهٔ حمله میشود.
۸ـ۱ـ۴ـ حملهٔ داده راندنی
نوعی حمله است كه توسط كاربر رمزبندی میشود و حمله در این رابطه اجرامیشود زیرا از طریق firewall به شكل دادهها یا در برابر سیستمی كه در پشتfirewall است وارد میشود و عمل میكند.
۹ـ۱ـ۴ـ ویروس
برنامهای است كه فایل كامپیوتری را عفونی میكند و این عمل از طریق واردشدن به كپیهای فایل صورت میگیرد. در یك چنین حالتی كپیها وقتی اجرامیشوند كه فایل در حافظه بارگیری شود و سایر فایلها را عفونی كند. ویروسهااغلب دارای تأثیرات مخربی هستند. یك ویروس در تمامی شبكه كامپیوتری ممكناست اشعه یابد و این ویروس مانند كرمی است كه از اجزاء مختلف ساخته شده ودر كل شبكه توزیع میشود.
۲ـ۴ـ نتایج :
firewall سوئیچهایی را برای حفاظت در برابر حملات Ip - حملات به منبعمسیر - حملات تونل Ip و انواع خاص دیگر ارائه میدهد.
اما بعضی از firewall ها نمیتوانند چنین حملات ویروسی را حفاظت كننداین حملات همان حملات داده رانی - حملات ویروسی - حملات Trojan horse -حملات Ip hijacking - یا shuopping است .
علاوه بر این ما بایستی راه حلهایی را با استفاده از ابزار kerberos ارائه دهیم.
هر فردی كه مسئول ایمنی یك شبكه معتبر میباشد وقتی كاملاً آگاه میشودكه به یك شبكه غیر معتبر متصل شود. در مورد ارتباط با اینترنت این توجهاتبراساس شواهدی حاصل میشود كه امنیت در كل رسانه ایجاد شده باشد. یك ارزیابی دقیقتر از حقایق و آمارهایی كه در پس بعضی از پوششهایرسانهای است تنها این نوع مسایل را عمیقتر مورد توجه قرار میدهد. برای مثالآژانس ایمنی كامپیوتر ملی ایالت متحده (NCSA) ادعا میكند كه مهمترین حملاتیكه به سیستم كامپیوتری شده است گزارش و آشكار نگردیده است، ابراز اینحملات در برابر دپارتمان ۹۰۰۰ كامپیوترهای دفاعی توسط آژانس سیستمهایاطلاعات دفاع ایالت متحده انجام گردید. این نوع حملات حدوداً ۸۸% نرخ موفقیت رانشان میدهد و حدوداً بیش از ۹۵% سازمانهای مورد نظر این نوع حملات را آشكارنكردهاند. وتنها ۵% حملات آشكار شده كه به ۲۲ سایت مربوط میشود.
NCSA نیز در مورد FBI این مطلب را گزارش میدهد كه ۸۰% FBI مربوط بهجرم و جنایتهای كامپیوتری است و دستیابی غیر قانونی از طریق اینترنت است. درصنعت امنیت كامپیوتر مسایل و مشكلاتی وجود دارد كه به آن توجهی نشده استبرای فهم خطرات اغلب باید در مورد منحنیها و پاراللهای زندگی روزمره مطالبی رابیاموزیم برای مثال هیچكس از كلاهبرداریهای معاملاتی از طریق پیامهایارسالی نباید نگران شود. این داستان داستان زیبایی است كه در مورد این مسائلگزارش میدهد اما سطح آگاهی هنوز پایین است برای مثال در موضوعات IT درمییابیم اكثر تجار در مورد امنیت اینترنت نگران هستند. این مقاله سری سازی راتوضیح میدهد كه بیشتر نیاز به امنیت دارد. و این مقاله همچنین بر خصوصیسازی ارتباطات و حملات وارده در اینترنت گزارش میدهد
علی رغم ترس از این نوع ایمنیها، سازمانها بطور فزاینده به اینترنت بهعنوان بخش مهمی از طرح ریزی استراتژیك خود توجه دارند. مسائل مربوط بهایمنی باعث جلوگیری سازمانها از كشف فرصتهای تجاری كه توسط اینترنتپیشنهاد شده است نمیگردد. در نتیجه سازمانها بایستی روشهایی را بیابند تابتوانند موضوعات ایمنی را كنترل نمایند. این نوع پیشرفت و رشد بازار ایمنیاینترنت مستقیماً به پیشرفت اینترنت مربوط میشود
نرخ تركیبی رشد و پیشرفت سالانه (CAGR) بازار firewall اینترنت بین سالهای۱۹۹۵ و ۲۰۰۰ حدوداً ۱۷۴% طرح ریزی شده است [IDC ۹۶] و این نرخ سریع رشدتوسط اینترنت و انترانت هر دو ایجاد شده است.
با فرض بر یك نرخ تقریبی ۴۰% پانصد شركت موفقی كه از اینترنت استفادهكردهاند هنوز نصب firewall ادامه داشته و استفاده از اینترنت سالانه دو برابر شدهاست اما جای تعجب است كه بگوییم كه امنیت تجارت و حسابرسی آن دستخوشتغییر شده است. سازمانها دریافتهاند كه آنها مهارت و دانش لازم را جهت ارزیابیتمامی موقعیتهای فعلی یا خطرات پتانسیل دارا نمیباشند و در مورد سطح ایمنیمورد نیاز تردید دارند. بخشهای بعدی این فصل در مورد این مطلب تحقیق میكندكه واژهٔ ایمنی شبكه چه معنایی دارد و اغلب نقطهٔ آغازین این تحقیقات زمانی استكه سازمانها برای مشاوره خارجی فراخوانده میشوند.
۱ـ۱ ایمنی اینترنت چیست؟!
سخت افزار- نرم افزار و اطلاعاتی كه سیستم كامپیوتری را ایجاد میكندمسایل فزاینده و مهم هیئتهای كامپیوتری میباشد.
حمایت از این سازمانها به اندازهٔ حمایت از سایر منابع ارزشمند حایز اهمیتمیباشد مثل پول - ساختمان یا كارمندان - هدف از ایمنی كامپیوتر حمایت از منابعكامپیوتری از طریق انتخاب و كاربردهای ایمنی مناسب است.
ایمنی اینترنت از محافظت منابع كامپیوتر در برابر خطرات و تهدیدهایی كهدر نتیجهٔ اتصال به اینترنت میباشد ایجاد میشود.
ایمنی كامپیوتر هیئتهای سازمان را حمایت میكند تا بتوانند منابع مالی وفیزیكی - مهارت - موقعیت قانونی - كارمندان و سایر داراییهای مجسوس ونامحسوس را حفظ نمایند.
اگر سیستمی دارای كاربران خارجی باشد پس مالكان و صاحبان آن سیستممسئول این هستند كه از دانش و مهارت خود در مورد ایجاد ایمنی حدود كلیاندازهگیری ایمنی به گونهای استفاده كنند كه سایر منابع سیستمی كه دارای ایمنیمناسب است را تأیید و تصدیق نماید.
علاوه بر به كارگیری اطلاعات در مورد ایمنی، مدیران سازمانها باید درحالتی هماهنگ - سروقت برای جلوگیری و پاسخ به سایر ایمنیها جهت كمك بهجلوگیری از وارد آمدن آسیب و خسارت به بخشهای دیگر عمل نمایند.
كامپیوترها و محیطهایی كه در آن عمل میكنند كاملاً دینامیك هستند.تغییرات موجود در سیستم یا محیطها میتوانند آسیب پذیریهای جدید ایجاد كنندو این مسئله كه كاربران سیستم و متصدیان، روشها و راههای جدید را برایایمنیها به صورت عمدی یا غیر عمدی كشف نمودهاند هنوز روشن نگردیده است.پس از اینرو لازم است كه ایمنی سیستمهای كامپیوتری را بطور منظم برای ایجادایمنی كامپیوتری مؤثر دوباره ارزیابی كنیم.
- ایمنیهای مؤثر كامپیوتر نیازمند یك رویكرد جامعی است كه بتواندمحدودههای موجود داخل و خارج حوزهٔ ایمنی كامپیوتر را ایجاد نماید و كل سیكلاطلاعات را وسعت دهد.
وقتی یك شبكه مطمئن به یك شبكه نامطمئن وصل میشود سه محدودهٔ كلیمورد توجه ایجاد میشود.
۱ـ مطالب نامناسب به طور عمدی و غیر عمدی به شبكه یا از شبكهٔ نامطمئن منتقلمیشود.
۲ـ كاربران غیر مجاز میتوانند به شبكههای مطمئن از طریق شبكههای نامطمئندست بیابند.
۳ـ عملیات شبكههای مطمئن در نتیجه حملات ایجاد شده از سوی شبكههاینامطمئن شاید متوقف شود.
اندازهگیریها و سنجشهای ایمنی شبكه و كامپیوتر كه توسط سازمان انجام شدهاست پتانسیلهایی را از طریق چهار عنصر اصلی كه ایمنی شبكههای كامپیوتریایجاد میكند تقلیل میدهد این چهار عنصر عبارتند از:
۱ـ تعیین هویت و تصدیق درستی
۲ـ كنترل دستیابی
۳ـ اعتبار دادهها
۴ـ اعتبار دهی
۱ـ۱ـ۱ تعیین هویت و تصدیق درستی:
اولین عنصر ایمنی كامپیوتری تصدیق درستی یا حصول اطمینان از اینمطلب است كه كاربران و كامپیوترها گواهی هویت را تصدیق میكنند. این مسئلهمعمولاً بر اساس یك چیز - یا تركیبی از چند چیز: (یك بیومتریك مثل مشخصاتیك الگوی صوتی ؛ دست خط یا اثر انگشت) یا مطالبی كه میدانید (یك راز مثل یككلمهٔ رمز - شماره شناسایی فرد (PIN)، یا یك كلید رمزی) یا چیزی كه شما دارید(یك ژتون مثل كارت اعتباری یا كارت هوشمند) میباشد.
برای مثال آشناییها هویت شما را بر اساس ویژگیهای شما معتبر میسازد.بانكها شما را براساس چیزی كه دارید مثل كارت اعتباری و چیزی كه میدانید مثلاسم مادرتان معتبر میسازد. یك اسم رمز یك زمانه اسم رمزی است كه تنها یكباراستفاده میشود و سپس خارج میشود و عمدتاً بر اساس چیزی كه دارید میباشد.یك نمونه از این نوع قانونی كردن پدهای یك زمانه توسط خدمات هوشمند طیجنگ جهانی دوم به كار میرفت. فقدان مجاز سازی و قانونی كردن مستحكم مانع پیشرفت و توسعه تجارتالكترونیكی میشود. مجاز سازی و قانونی كردن معتبر خود شرایط مهمی است، اگر اینترنت برای تجارت الكترونیك بكار رود. (Ranu ۹۵b)مجاز سازی و قانونی كردن بخش مهمی از زندگی روزمره است. نامهها درسرفصل چاپ و توسط فرد مجاز امضاء میگردد. امضاءهای دیجیتالی شرایطمشابه را تكمیل میكند اگر چه زمانی كه بر اساس الگوریتمهای سری سازیریاضی باشد بیشتر ارزش مییابد همچنانكه محتوای پیام و نیز مقام امضاء كنندهحایز اهمیت است. امضاهای دیجیتالی بر اساس كلید سری سازیهستند.Whitfield و Martin Hellman به منظور حل مشكلات مدیریتدادهپردازی كه با كلید رمز یا سریسازی متقارن است مفهوم كلید عمومیرمزگذاری را در سال ۱۹۷۶ معرفی كردند. سری نگاری غیر متقارن زوجهای كلیدیرا به كار میبرد. یكی از كلیدهای زوج كلیدی، كلید عمومی و دیگری كلید خصوصینامیده میشود. هر دو كلید را میتوان برای سری كردن پیام بكار برد. اما پیام فقطوقتی رمزگذاری میشود كه كلید دیگر بتواند برای رمزگشایی آن بكار برده شود.آنچه مسلم است این است كه هر دو سناریو امكان پذیر میباشد، یكی از آنها وقتیاستفاده میشود كه كلید خصوصی برای سری سازی پیام به كار میرود و از اینروكلید عمومی برای رمزگشایی آن به كار میرود و بر عكس. از طریق سریسازی پیامبا استفاده از كلید عمومی دریافت كننده، ارسال كننده در مییابد كه تنها دریافتكننده میتواند آنرا با اطمینان رمزگشائی كند. برای اینكه ارسال كننده پیامی رابصورت دیجیتالی علامت بزند، پیامها را از طریق دستكاری الگوریتم برای اینكهآنرا دیجیتالی نماید ایجاد میكند و سپس پیام را با كلید خصوصی خود رمز گذاریمیكند. خروجی امضایی دیجیتالی نامیده میشود و به پیام متصل است و با پیامارسال میشود. برای اینكه دریافت كننده علامت را تغییر دهد پیام را از همانالگوریتم دست كاری برای ایجاد مجدد پیام دیجیتالی ارسال میكند و سپس امضاءدیجیتالی ارسال كننده را با استفاده از كلید عمومی ارسال كننده رمزگشایی میكند.اگر پیام از فرستنده دریافت نشود ویا اگر محتوی آن تغییر كند در نتیجه پیامهایارسالی انطباق نخواهد داشت. بر طبق شرایط عادی كلید خصوصی توسط فردمحفوظ باقی میماند اما كلید عمومی در صورت لزوم توزیع میشود. نیازی به ایننیست كه فرستنده و گیرنده كلید سری مشترك داشته باشند. هر چند كنترل كلیدسری سازی غیرمتقارن هنوز نیاز به كلیدهای عمومی دارد كه در حالتی مجاز شدهویا حالتی ارزشمند توزیع شده باشد.
یكی از ابزار نیل به این شرایط نرمال به كارگیری یك مقام معتبر است. اهمیتاین مقام معتبر این است كه مورد قبول گروههای كاربری است كه از سوی خودگواهی را ایجاد میكنند. مقام معتبر از طریق امضاء دیجیتالی كلید عمومی كاربر راتغییر میدهد. این امر موجب میشود تا كلید عمومی معتبر كه با گواهی به آن اشارهشده است ایجاد گردد. امضاء دیجیتالی مقام معتبر نشان میدهد كه كلید عمومیمعتبر میباشد و اینرا تضمین میكند به هیچ عنوان قابل تغییر نخواهد بود.
یك چنین مقام معتبری فردی است كه زوجهای كلیدی را صادر كرده و دراواخر آپریل سال ۱۹۹۶ آنرا گواهی و تصدیق كرده و واژهٔ Digital ID را نشانتجاری نموده است.عملیات آگاهی در مورد ایمنی، جهت استفاده از گواهیها وابزارهای ایمنی ای-میل و دستبرد زنندههای به كامپیوتر برای شبكهٔ گستردهٔجهانی (World Wide Web) در حال حاضر موجود میباشد.
وقتی جزئیات تأیید شده در نرمافزار مشتری نصب میشود این جزئیات بطورخودكار به در خواست مشتری ارائه میشود و به خدماترسان امكان این را میدهدكه شما را مجاز نماید.
تعیین هویت و تصدیق درستی یك بلوك مهم ساختمانی كامپیوتر است زیرا برایاغلب انواع كنترل دستیابی یك مبنا و اصل میباشد و نیز برای قابلیت حسابرسیكاربر مهم میباشد.
۲-۱-۱ كنترل دستیابی
دستیابی، توانایی انجام كاری با یك منبع كامپیوتری است (برای مثالاستفاده - تغییر و یا بررسی). كنترلهای دستیابی ابزاری است كه توسط آنتواناییها بیشتر و یا در بعضی از جهات محدود میشود (این كار معمولاً از طریقكنترلهای فیزیكی یا كنترلهای برمبنای سیستم انجام میشود).
كنترل دستیابی اغلب نیاز به این دارد كه بعضی از سیستمها بتوانند كاربرانرا از همجدا و متمایز نماید. برای مثال، كنترل دستیابی اغلب براساس حداقل امتیازكه اشاره بر دستیابی كاربر برای اجرا و انجام وظایف خود دارد، میباشد. قابلیتحسابرسی كاربر نیازمند ارتباط فعالیتها در یك سیستم كامپیوتری برای افرادخاص است و از اینرو نیاز به سیستمهایی برای تعیین هویت كاربران دارد.
كنترلهای دستیابی ابزار فنی كنترل اطلاعاتی كه كاربر میتواند بكار ببرد ونیز برنامههایی كه میتوان به جریان انداخت و بازیابیها واصلاحاتی كه میتوانانجام داد را ارائه داده است.
كامپیوتر بر مبنای كنترلهای دستیابی، كنترلهای دستیابی منطقی نامیدهمیشود. كنترلهای دستیابی منطقی نه تنها ایزا تجویز میكند كه چه كسی یا چهچیزی میتواند به یك منبع سیستم خاص دست بیابد بلكه نوع دستیابی را نیز مجازمیكند. این كنترلها در سیستم اجرائی ساخته و ایجاد میشود و با برنامههایكامپیوتری یا كاربردهای اصلی منطبق میگردد (مثل سیستمهای مدیریت پایگاهدادهها یا سیستم های ارتباطی) یا ممكن است از طریق اضافه كردن به بستههایایمنی باشد. كنترلهای دستیابی منطقی به طور داخلی در سیستم كامپیوتری كهحفاظت شده یا در ابزارهای خارجی اجرا و پیادهسازی شده انجام میشود.
كنترلهای دستیابی منطقی كمك میكنند به حفاظت از :
· اجرای سیستمها و سایر سیستمهای نرمافزار از اصلاح و بازیابی مجاز نشده یاعملیات گردانی (و به تضمین تلفیق سیستمها و موجودیت آنها)
· تلفیق اطلاعات و موجودیت آنها از طریق محدود نمودن تعداد كاربران وپروسهها با قابلیت دستیابی
· اطلاعات معتبر از افراد غیرمجاز
مفهوم الگوهای دستیابی برای كنترل دستیابی مهم میباشد. الگوهای دستیابیمشترك كه برای اجرای سیستمها و كاربردهای سیستمها به كار میرود شاملموارد زیر است:
·خواندن
· حذف كردن
· ایجاد كردن
· اجرا نمودن
در تصمیمگیری برای اینكه آیا میتوان فرد را مجاز به استفاده از یك منبع سیستمنمود، كنترلهای دستیابی منطقی این را بررسی میكند كه آیا كاربر برای نوعدستیابی مورد نیاز براساس معیار دستیابی مجاز است یا خیر. این معیارهاعبارتنداز:
· هویت : باید گفت كه اكثریت كنترلهای دستیابی براساس ماهیت كاربر است (چهانسان یا پروسهها) ، كه معمولاً از طریق تصدیق درستی و هویتها تثبیت میشود.
· نقشها : دستیابی به اطلاعات از طریق كاركرد یا انتقال شغلی (برای مثال نقش)كاربری كه در سدد دستیابی است كنترل میشود. نمونههای نقشها شامل متصدیداده دهی - كارمند خرید - رهبر (مدیر) پروژه و برنامهریز میشود. حقوق دستیابیتوسط اسم نقش ، و كاربرد منابع افراد مجاز برای انجام نقش مربوطه، گروهبندیمیشود. یك فرد شاید بتواند بیش از یك نقش را اجرا كند؛ اما شاید مجاز به عملدریك نقش تكی در یك زمان باشد، تغییر نقشها نیازمند ثبت یك نقش یا ورود یكنقش جهت تغییر فرمان است.
به كارگیری نقشها ابزار موثر ارائه كنترل دستیابی میباشد.
· موقعیت : دستیابی به منابع سیستم خاص نیز براساس موقعیت فیزیكی یا منطقیمیباشد برای مثال كاربران براساس نشانیهای شبكه محدود میشوند. (برای مثالكاربران از سایتهای مختلف (در یك سازمان فرضی مجاز به دستیابی هستند)
· زمان : محدودیت زمان یك روز یا روزهای یك هفته حدود دستیابی مشتركهستند برای مثال به كارگیری فایلهای پرسنل معتبر تنها طی ساعتهای كاریمعتبری مجاز میباشد.
· معاملات : رویكرد دیگر كنترل دستیابی توسط كنترل معاملات به كار میرود.مكالمات تلفنی ابتدا توسط كامپیوتری پاسخ داده میشود كه كلید شماره گیرنده رابه شماره حساب خود و شاید یك PIN را درخواست كرده باشد. بعضی از معاملاتروزمره مستقیماً انجام میشود اما بیشتر معاملات پیچیده نیازمند مداخلات انسانیاست. در یك چنین نمونههایی ، كامپیوتری كه قبلاً شماره حساب را میدانست بهكارمند داده میشود و دستیابی به حساب خاص را برای مدت معاملات امكانپذیرمیكند.وقتی دستیابی كامل شد، اجازهٔ دستیابی به پایان میرسد. این بدان معنا استكه كاربرانی كه حق انتخاب و دستیابی به آن حسابها را ندارند میتوانند پتانسیلهاییرا برای آسیب رساندن كاهش دهند. این امر نیز مانع از دستیابی كاربران به حسابهاو بازیابی و اصلاح قابلیتها میشود.
· حدود خدمات : حدود خدمات اشاره بر محدودیتها براساس پارمترهایی دارد كهطی استفاده از كاربردها ایجاد شده و این حدود توسط مدیر منابع از قبل تثبیت شدهاست. برای مثال، یك بسته نرمافزاری خاص تنها توسط سازمان برای ۵ كاربرددریك زمان مجاز میگردد. دستیابی باید برای ششمین كاربر منع شود حتی اگركاربر مجاز به استفاده از كاربردهای باشد.
دستیابی بطور انتخابی براساس نوع خدمات درخواستی مجاز میگردد. برایمثال كاربر كامپیوتر در یك شبكهٔ مجاز به تغییرات E-mail (پست الكترونیكی)هستند و مجاز به این نیستند كه در سایر كامپیوترها ركوردگیری نمایند.
· كنترلهای دستیابی خارجی : كنترلهای دستیابی خارجی ابزار كنترل بر همكشبین سیستم و مردم خارجی - سیستمها و خدمات هستند دستیابی خارجی متدهایزیادی را به كار میگیرد و این اغلب شامل Firewall میشود كه در بخشهای بعدیبحث خواهد شد.
۳ـ۱ـ۱ـ اعتبار دادهها:
اعتبار دادهها درجه و حدی است كه به واسط آن میتوان تخریبها را زایلكرد برای مثال از طریق آن میتوان آسیبها و خسارات وارده را حذف كرد. علاوهبر اصلاح و بازیابی و اصلاح معتبر، امضاءهای دیجیتالی نیز سطح اطمینان را درپیامی كه قبلاً در این فصل بحث شد بازیابی میكند.
هرچند اعتبار دادهها تنها برای پیامها به كار نمیرود، یكپارچگی فایلها وكاربردها نیز خیلی مهم است. یكی از متداولترین ابزار دستیابی غیرمجاز بهسیستم كاپمیوتری نصب كپیهای تغییر یافتهٔ برنامههای سیستم عامل است كهدستیابی فرد یا برنامه غیر مجاز را زمانی میسر میسازد كه برنامهها اجرا شوند.
آنچه مهم است یكپارچگی عناصر سیستم عامل است كه میتواند تغیر یابد.حمله كنندهها خود این تغییر را به خوبی در مییابند و نیز این را بیان میكنند كهچگونه حمله میشود، حمله كننده كیست و وقتی مونیتورینگ آغاز میشود یكی ازبرنامهها حذف و كپی سایر فایلهایی كه با فایل اصلی جابهجا شده مقایسه میشود.
یكپارچگی نرمافزار ضد ویروس باید به طور منظم اعتبار یابد. اغلب بستههادر بازار یك اعتبار یكپارچگی را اجرا میكند. مسئله و مشكل اصلی این است كهنرمافزار به گونهای طرح ریزی نشده است كه كپی از اصل مشخص شود. در یكچنین مواردی اعتبار یكپارچگی باید به طور درست و صحیح انجام شود.
در بعضی از موارد اعتبار فایلهای دادهها اغلب با نرمافزار كاربردی انجاممیشود. از آنجائیكه نرمافزار كاربردی كاربر را از تباهی و خرابی یك فایل مطلعنمیسازد. اما انیرا گزارش نمیدهد كه شركت A از فهرست شركتها برای قرارداداصلی برداشته و حذف شده است. این نوع یكپارچگی باید به طور مستقل تغییر یابد.
هر دو پیام ارسال میشود و امضاءهای دیجیتالی اعتبار فایلها را در تمامی اینموارد نشان میدهد. نكته مهم این است كه برای ایجاد اعتبار به تأئید و درستیمستقل نیاز است.
۴ـ۱ـ۱ـ اعتبار دهی
اعتباردهی نیز حدی است كه با آن خصوصی بودن یا پنهان بودن چیزیتأئید میشود قابلیت اعتبار اكثر مقالات نیز تأئید میشود. اكثر پیامهایی كه دراینترنت ارسال میشود حتی این سطح اعتبار را تأئید نمیكند. نبودن و فقدان اعتباردر اینترنت بر انتقال فایلها تأثیر میگذارد و به همین ترتیب بر اطلاعاتی كه بینخدمات رسانها و مشتریان www مبادله میشود.
كاربردهای www، و انتقال فایل، و ای میل برای نیمی از بایتهای ارسالی درستون فقرات اینترنت در سال ۱۹۹۴ در نظر گرفته شده است. بدون توجه به نوعدادهها اكثر ترافیكها بدون در نظر گرفتن قابلیت اعتبار ارسال میشوند. اصلاح و بازیابی چنین موضوعاتی در دست اقدام است و در سال ۱۹۹۶ اینعمل انجام شده است. برای مثال دستبرد زنندههای به كامپیوتر میتوانند ازگواهیها استفاده و از این رو معیار واستاندارد (PEM) و استانداردهای(S/MIME) را به كار گیرند.
تئوری و عناصر دیوارآتشی
وقتی استراتژی امنیت و سیاست امنیت شبكه اجرا گردید ابزار پیادهسازیلازم میشود. واژه Firewall برای توصیف تركیب سخت افزار، نرمافزار وفعالیتهایی به كار میرود كه براین خط مشی و سیاست تأثیر میگذارد.
۱ـ۲ـ یك Firewall اینترنت چیست؟!
firewall اینترنت ابزار حفاظت از شبكه از طریق اجرای كنترل دستیابی به واز اینترنت میباشد. عملاً این نوع كنترلها از طریق كنترل ابزار ارتباطی بین دو شكبه،مجموعه TCP/IP پروتوكلها بدست میآید. wack ۹۵ یك Firewall را به عنوانرویكردی برای امنیت توصیف میكند. او از واژهٔ Firewall به معنای استراتژی وخط مشی استفاده میكند و به عقیده وی واژهٔ سیستم Firewall اشاره بر عناصرسختافزار و نرمافزاری دارد كه این سیاست را اجرا میكند.
یك سیستم firewall مجموعه عناصری است كه بین دو شبكه قرار دارد ودارای ویژگیهای زیر است:
· تمامی ترافیكها از داخل به خارج و بالعكس بایستی از طریق آن عبور كند.
· تنها ترافیك مجاز همانطور كه توسط سیاست امنیت توصیف شد مجاز به عبوراز آن هستند.
· سیستم به تنهایی برای نفوذ امن میباشد.
به عبارت دیگر یك سیستم firewall مكانیسمی است كه برای حفاظت شبكهامن به كار میرود حال آنكه به یك شبكهٔ تخریب شده متصل میشود دو شبكهای كهبررسی شد یكی شبكه داخلی سازمان و دیگری اینترنت است.
اما در توصیف firewall باید گفت firewall مفهوم را به اینترنت مرتبطمیكند گرچه اكثر firewallها بین شبكههای داخلی و اینترنت deploy میشود وعلت استفاده firewall این است كه هریك از شبكههای معتبر را به شبكهای كه كمترمعتبر است وصل میكند و شاید این شبكه داخلی و یا خارجی باشد. دلایل خوبینیز وجود دارد كه در فصل ۲ـ۲ بحث شده و علت استفاده از firewall را وقتی هرشبكه امن به یك شبكه غیرامن داخلی یا خارجی متصل میشود مطرح میكند.
۲ـ۲ـ firewall چه كاری را میتواند انجام دهد؟
یك فایروال میتواند سیاست امنیت را تقویت نماید. فایروال ابزاری است كهسیاست امنیت دستیابی به شبكه اجرا میشود. خدمات شبكه مطمئن را میتوانمحدود كرد و دستیابی به یا از میزبانهای خاص بدین وسیله محدود میشود.
یك فایروال به طور مؤثر میتواند فعالیتها را تائید و تصدیق نماید.
فایروال از طریق كنترل و محدود نمودن دستیابی به یا از سطح توصیف شدهدر سیاست امنیت نمایش شما را به شبكهٔ توزیع شده محدود میسازد و آنچه را كهكاربر برای اینترنت به كار میبرد را كنترل مینماید.
یك firewall بر روی تصمیمات اتخاذ شده در مورد امنیت توجه دارد. تمامیترافیكها به یا از اینترنت از طریق آن باید عبور كند. با توصیف دفاع میتوان امنیتهوایی سیستم داخلی را كاهش داد زیرا به سازمانها این امكان را میدهد تا در یكتعداد محدود ماشین برای امنیت متمركز شوند.۳ـ۲ـ چه فعالیتها و كارهایی را firewall نمیتواند انجام دهد؟
از آنجائیكه firewall حمایت و حفاظت خوبی را در سطح پایینتر مدل TCP/IP ایجاد میكند. در برابر سطوح بالاتر پروتوكل نمیتواند این عمل را انجام دهد بهاین نكته توجه میشود كه هر دادهای كه از طریق firewall عبور میكند هنوزپتانسیلی است برای مشكلات علی و مهم كه به عنوان خدمات و یا دادههایی كه بهآنها حمله شده شناسایی میشود. یك firewall در برابر ویروسهایی كه فایلها را ازطریق انتقال ftp یا اتصال MIME به پیام ای میل عفونی میكند محافظت نمیشود.
یك firewall نمیتواند در برابر insiders Malicious حفاظت شود. یكfirewall نمیتواند بین میزبانها در همان جهت یك شبكه تمیز ایجاد كند و از از اینروهر میزبان شبكه میزبان شبكه دیگر را spoofing و هر میزبان داخلی میتواند سایرمیبزانهای داخلی را spoof نماید.
یك فایروال نمیتواند در برابر ارتباطاتی كه از طریق آن عبور میكندمحافظت شود. firewall دستیابی به تسهیلات و كاربران خاصی را معدود میكندكه گاهی مواقع firewall را برای دستیابی به این تسهیلات پهلو گذر میكند. یك مثالخوب در این رابطه firewall (فایروالی) است كه امكان دستیابی به www را میسرنمیسازد. كاربران این شبكهها اتصالات و ارتباطات نقطه به نقطه را با ارائهدهندگان و تهیه كنندگان خدمات اینترنت از طریق خط تلفن عادی و معمولی تثبیتمیسازند و اتصال و ارتباط اینترنت را معرفی میكنند. این نوع تمدیدها توسطكنترل روشهایی مشخص میگردد كه در سیاست امنیت سازمان به آن توجه شدهاست.
یك firewall به طور كامل در برابر تهدیدهای جدید حمایت و حفاظت نمیشود و اینزمانی است كه استراتژی امنیت با سایر استراتژیها متفاوت باشد از طریق چنیناستراتژی میتوان سیاست امنیت را بررسی كرد.
۴ـ۲ـ عناصر Firewall
عناصر Firewall اصلی به قرار زیر است:
عناصری كه به طور فعال با ارتباط بین شبكه توزیع شده و شبكه امن تداخلمیكنند. دو نوع عنصر فعال وجود دارد:
· فیلتر بسته
· دروازهٔ كاربردی
·عنصر كنترل امنیت، كه برای اجرای عناصر firewall فعال نیاز است.
مهمترین اهداف دستیابی به سیستمهای firewall عبارتنداز:
· كنترل دستیابی در سطوح مختلف (سطح شبكه - سطح كاربر)
· كنترل در لایهٔ كاربردی
· اجرای حقوق كاربر
· جداسازی خدمات خاص
· تحلیل log لگاریتم و اثبات پشتیبان
· تسهیلات اخطار (زنگ آگهی)
· پنهان نمودن ساختار شبكهٔ داخلی
· ساختاری كردن شبكه، توصیف امنیت
· قابلیت اعتبار
· مقاومت fireattack حمله آتش در برابر حملات. احتمالات بررسی و تغییر آدرسشكبه باید وجود داشته باشد.
معماری موردنظر یك عنصر fiewall فعال از اهداف سیستم firewallاستنتاج میگردد یك پیشنهاد خوب برای معماری عنصر firewall فعال توسطN.pohlmann ارائه شد. چنین معماری باید دارای ساختار مدولار باشد. مشخصاتزیر این معماری را نشان میدهد.
متأسفانه تمامی اهداف از طریق نتایج حاصله تحقق نمییابد و ما نیاز بهمعیار انتخاب نتایج firewall هستیم. مهمترین معیارهای انتخاب عبارت از:
· امنیت سكوی firewall
· سادهسازی اجرا
· مشخص نمودن خدمات اینترنت جهت بالا بردن پذیرشها و قابلیت قبول
· انتقال نشانی
· امنیت خدمات رسان
· معتبر كردن این معیارها برای كاربران خارجی
· كاربرد سیستمهای سریسازی
· تسهیلات خبردهی و اعلان
ما باید دریابیم كه چگونه عناصر firewall فعال كار میكنند و نقاط ضعف ونقاط قوت آن برای انتخاب firewall درست چیست.
۱ـ۴ـ۲ـ فیلتر بسته
یك فیلتر بسته یك مكانیسم امنیت شبكه میباشد كه باكنترل دادههایی استكه در حال اجرا هستند و از یك شبكه كار میكنند. این فیلترها در لایهٔ شبكه و درپروتوكل TCP/IP اجرا و پیادهسازی میشوند. نوع مسیری كه در firewall بقیهبسته به كار رفته است screening router نامیده میشود. فیلتر (تصفیه) بسته بهشما این امكان را میدهد كه انتقال دادهها را براساس زیر انجام دهید.
· نشانی كه دادهها از آن قسمت میآیند.
· نشانی كه دادهها به از آن قسمت میروند.
· جلسات و پروتوكلهای كاربردی كه برای انتقال دادها استفاده میشوند. مابینرلهای مدار و فیلترهای بسته تمییز و تشخیصی را قایل هستیم. رلههای مدار شكلخاصی از فیلترهای بسته هستند. آنها ارتباط كامل خدمات را جهت حفاظت از آنهاتوصیف میكنند و اشاره براین مطلب دارند كه چه كسی میتواند از آن استفاده كندو پارامترهایی كه شما باید استفاده كنید چه پارامترهایی است . فایدهٔ اصلی ایناست كه هر حملهای بعلت محدودیتهای داخلی، احتمالات كمی برای موفقیت دارد.و بزرگترین اشكال این است كه آنها بر قابلیتها تأثیر میگذارند.
علاوه بر این رلههای مدار در برابر كاربردها حمله نمیكند.
برای تحلیل بسته اطلاعات زیر را باید به كار بست.
· بایستی ثابت شود كه واسطه بسته چگونه رسیده و دریافت شده است.
· در لایهٔ شبكه ما باید نوع پروتوكل استفاده شده - منبع و نشانی مقصد را كنترلكنیم.
· در لایهٔ انتقالی ، باید شماره درب مقصد، و منبع كه خدمات را توصیف میكندكنترل كنیم. این نوع تصفیه گاهی مواقع تصفیه وابسته به خدمات مینامیم.
اطلاعات اضافی باید زمانی كنترل شود كه یك بسته طی دوره زمانی توصیفشده ارسال شود.
فیلترهای بسته دارای فواید زیر هستند.
· آنها شفاف و روشن میباشند.
· به سادگی میتوان پروتوكلهای جدید و خدمات جدید را بسط و توسعه داد.
· دارای پیچیدگیهای كمی هستند از اینرو عملكردشان بالا است.
· screening rooter میتواند كمك به حفاظت كل شبكه نماید.
· تصفیه بسته نیاز به دانش و آگاهی كاربر ندارد.
· تصفیه بسته در بسیاری از مسیریابها موجود است.گرچه تصفیهٔ بسته فواید زیادی دارد اما استفاده از فیلتر بسته نیز دارای نقاطضعفی است:
· ابزار تصفیهای كامل نمیباشد.
· بعضی از پروتوكلها برای تصفیهٔ بسته مناسب نیست.
· بعضی از سیاستها و خط مشیها توسط مسیریابهای فیلتر بسته تقویتنمیشوند.
اما اشكال اصلی این است كه دادههای بالای لایه قابل انتقال، تحلیل و تجزیهنمیشوند در نتیجه برای لایه كاربردی امنیتی وجود ندارد. ساختار شبكه امن رانمیتوان مخفی كرد ثبت ارتباطات تنها توسط لایه ۴ امكان پذیر است.
شما میتوانید فیلترهای بستهای را به كار ببرید كه با مسیریابها سازگاری وانطباق دارد و یا آنها را به عنوان یك عنصر firewall اجرا و پیادهسازی كردمسیریاب با تسهیلات فیلتر بسته عناصر firewall ارزان هستند و دارای نقاطضعف میباشند.
· قابلیت كاراندازی سیستم محدود است و اغلب تعیین مسیریاب دشوار میباشد
· قوانین تصفیهٔ بسته به لحاظ تست دشوار است از اینرو نمیتوان آنرا تست نمود
· اگر قوانین تصفیهٔ (filtering) پیچیده لازم و ضروری باشد این قوانین غیرقابلكنترل میگردد و هریك از میزبانها مستقیماً از اینترنت قابل دست یافتن هستند وبایستی اندازهگیریهای اعتبار و درستی را اجرا كرد.
فیلترهای بستهای كه عناصر firewall را توصیف و آشكار میكنند دارایفواید زیر هستند
· معیارهای طرح ریزی را برای عناصر firewall فعال كامل میكنند.
· بین شرایط ارتباط و شرایط امنیت محدودیتها را از بین میبرد.
· باعناصر امنیت میتوان آنرا كنترل كرد.
· اما نقاط ضعف و اشكالاتی نیز وجود دارد:
· یك عنصر firewall از نرمافزارهایی كه در مسیریاب جدید شدهاند گرانترهستند
· موجودیت خدمات را برای شبكهٔ ما كاهش میدهند.
فیلترهای بسته با فهرست كنترل دستیابی پیكرهبندی میشوند. این فهرست به firewall میگوید كه چه نشانی IP در یك منبع میتواند باشد و چه نشانی در مقصدوجود دارد. با تصفیه و فیلترینگ دریك منبع و مقصد میتوان مشتریانی كهبهخدمات رسانهای خاص دستیابی دارند را محدود نمود. از آنجائیكه آنها میتوانندبه تعداد دربهای TCP و UDP نگاه كنند، ما میتوانیم به كاربردهای انفرادی كه دریك خدمات رسان درحال جریان هستند دست بیابیم.
معمولاً فیلترهای بسته برای راهحلهای امنیتی استفاده میشوند. این فیلترهابرای شبكههای كوچكتر با شرایط امنیتی كمتر به كار میروند از آنجائیكهنمیتوانیم از اینترنت به انترانت دست بیابیم، این نوع عنصر firewall حمایتها وحفاظتهای اصلی را پیشنهاد میدهد. توصیف هر كاربری كه میتواند از انترانت بهاینترنت دست بیابد در یك عنصر firewall دست نیافتنی وجود دارد. یك راه حلبهتر در بخش بعدی با مفهوم دروازهٔ كاربردی اشاره شده است.
۲ـ۴ـ۲ـ دروازه كاربردی
یك دروازهٔ كاربردی برنامههای خدماتی رسانی است كه در میزبان firewallاجرا میشود. این برنامهها موانع امنیتی بین كاربر داخلی و اینترنت را ایجاد میكندو زمانی لازم است كه نیاز شدید به امنیت داشته باشیم. یك firewall دروازهكاربردی در لایهٔ كاربردی عمل میكند و از اینرو میتوان به سطح پروتوكلكاربردی دست یافت و ذخیرهها و نیز ترافیك را كنترل كرد. با عمل نمودن در لایهكاربردی میتوان ارتباطات - تنگاتنگی را ایجاد نمود و تنها در شرایط توصیف،ارتباطات را ایجاد كرد.
ما میتوانیم از پروكسیها برای ایجاد یك دروازهٔ كاربردی استفاده كنیم.خدمات پروكسی در اختیار كابران گذشته میشود. خدمات رسان واقعی از كاربرپنهان میشود یك پروكسی عنصر نرمافزاری است كه نقش مهمی را برای خدماتخاص دارد. وقتی خدمات خاص را قدغن میكنیم، بایستی پروكسیها را در دروازهٔكاربردی متوقف نمائیم.
دو نوع پروكسی وجود دارد : ۱ـ پروكسی كاربردی ۲ـ پروكسی ژنریك كهپروكسی مدار نامیده میشود. پروكسی كاربردی پروتوكل كاربردی را در مییابد واز اینرو براساس عملیات مورد تقاضا جلسات را كنترل میكند.
كاربردهای معمولی به عنوان یك پروكسی بین مشتری و خدمات رسان عملمیكند از آنجائیكه تمامی دادههای بین مشتری و خدمات رسان از طریق پروكسیكاربردی مسیریابی میشود میتوان جلسات و واقعهنگاری را كنترل كرد. این نوعتوانایی برای كنترل تمامی ترافیكها یكی از فواید اصلی دروازههای كاربردی است.
پروكسی سطح مدار پروتوكلهای كاربردی را تفسیر نمیكند اما قبل از تثبیتمدار كاربر را تأیید میكند. این پروكسیها بستهها را بین دو نقطه ارتباطی معتبررله میكند اما نمیتواند براساس پروتوكل پردازش اضافی یا تصفیه كند.
فایدهٔ دروازدهٔ سطح مدار این است كه خدمات را برای بخش وسیعی ازپروتوكلهای مختلف ارائه میدهد هرچند نیاز به نرم افزار مشتری خاصی است كهدارای سیستم فراخوانی با امنیت باشند. این مسئله مشكلاتی را توصیف میكندمبنی بر اینكه میزبانی كه بر اساس و مبنای امنیت است به خوبی مقیاسبندی نشدهاست. با بالا رفتن اندازه شبكه وظیفه كنترل مشتریان دشوارتر میشود.
در پروكسیهای كاربردی عمومی از روشهای اصلاح استفاده میشود ودروازههای مدار از مشتریان اصلاح شده استفاده میكنند.
دروازههای كاربردی نتایج فواید زیر را پیشنهاد و ارائه میدهند.
· decoupling خدمات از طریق پروكسیهایی كه امنیت زیادی را ایجاد میكند
· خدمات خیلی ساده كنترل میشوند و میتوان آنها را خاموش یا روشن كرد.
· آنها خدمات امنیتی دیگری را مثل تسهیلات سری سازی یا سایر تسهیلاتی كه بهما امكان اینرا میدهد تا امنیت را ایجاد نمائیم پیشنهاد میكند.
· تسهیلات حسابرسی ساده
· سری سازی ساختار شبكه داخلی استفاده از نشانی شبكه
· كنترل الگوهای عملكردی
· اجازه میدهیم با كاربران مستقیماً به خدمات اینترنت دست بیابند.
· فایده خوب در ثبت نگاریقابلیت انعطاف پروكسیهای كاربردی یكی از نقاط ضعف دروازههایكاربردی است و از اینرو خدمات جدید به یك پروكسی جدید نیاز دارند. پوركسیژنریك این مشكلات را ندارد. درمورد كاربری كه خدمات را جهت یابی میكند ابتدابایستی خود را قبل از ارتباط توصیف كنیم.
دروازههای كاربردی در ارتباط با فیلترهای بستهگران بوده و عملكرد آنمناسب نمیباشد.
۳ـ۴ـ۲ـ عنصر كنترل امنیت
عنصر كنترل امنیت قوانینی را برای عناصر firewall فعال توصیف میكند ودادههای امنیتی مربوط را ارزیابی مینماید. كامپیوتری كه درآن عنصر كنترلامنیت درحال جریان است باید برابر حملات مقاوم باشد. این نوع امنیت از منفعلكردن و از كار انداختن عنصر firewall فعال از طریق عنصر كنترل ایمنی موردحمل قرار گرفته حاصل میشود.
كنترل امنیت حداقل با مكانیسمهای امنیت زیر انجام میشود:
· تصدیق درستی و اعتباردهی
· تسهیلات حسابرسی
· سری سازی دادههای مربوطه
· توزیع وكنترل وظایف
اعتبار سیاست امنیت firewall ما، در سیاست امنیت شبكه از طریق كنترلامنیت در سیستم شبكهای انجام میشود.
۵ـ۲ـ نتایج :
یكپارچگی و اعتبار سیاست امنیت firewall مادر سیاست امنیت شبكهبایستی با اعتبار كنترل امنیت در یك سیستم شبكهای انجام شود.
معماری مورد نظر یك عنصر firewall فعال از اهداف سیستم firewallبدست آمده یك پیشنهاد خوب برای معماری عنصر firewall فعال در فصل بعدیارائه میشود. یك چنین معماری دارای ساختار مدولار است.
فیلترهای بسته ابزار مفیدی است و از اینرو و دارای ایمنی است. اما درمقایسه با دروازهٔ كاربردی درجه پایینتری از امنیت را پیشنهاد میكنند. هرچقدرلایه تحلیل شده بالاتر باشد درجه ایمنی بیشتر است. پیچیدهگی به درجه امنیت وعملكرد عناصر firewall مربوط میشود. معمولاً عناصر فیلترینگ بسته از عناصردروازهٔ كاربردی ارزانتر است.
معماری firewall
تكنولوژی فیلترینگ بسته كه در مسیریابها بكار میرود قابلیت و روش كلی رابرای كنترل ترافیك شبكه ایجاد میكند. آنها دارای فوایدی هستند و فواید آنها ایناست كه نیازی به تغییر كاربردهای مشتری یا میزبان نمیباشد زیرا در لایههایشبك عمل میكنند. دروازههای كاربردی ترافیك شبكه و لایههای كاربردی راكنترل میكند و دارای فوایدی است زیرا میتواند پروتوكل كاربردی را اجرا كنند.
firewallها براساس كنترل امنیت میتوانند قابلیت شبكه را بالا ببرند. برایبیان این مطلب چندین معماری firewall داخلی استاندارد یا پیكربندی ارائهمیشود.
۱ـ۳ـ معماری میزبان دوگانه
سادهترین معماری firewall معماری میزبان دوگانه است. یك مبزان داخلیدوگانه كامپیوتری است كه اتصال شبكه را با دو شبكه دیگر همانطور كه در تصویر۱ـ۳ آمده مجزا نموده است. یك چنین میبزانی به عنوان مسیریاب بین دو شبكه عملمیكند هرچند این نوع كاربرد مسیریابی وقتی میزبانهای دوگانه در معماریfirewall به كار میرود ناتوان میشوند.
از آنجائیكه كاركرد مسیریابی میزبان را قادر نمیسازد تا دو شبكه را از همجدا سازد سیستمهای داخل شبكه با میزبان از طریق رابط شبكه - و سیستمها درشبكه از طریق شبكههای دیگر مرتبط میشوند؛ هرچند سیستمها مستقیماًنمیتوانند به یكدیگر مرتبط شوند، در معماری میزبان تنها میزبان دوگانه برایامنیت شبكه مهم است. یك چنین میزبانهایی در كتاب firewall تحت عنوانBastion Hosts شناخته شده است.
یك میزبان دوگانه خدمات را با پرركسی كردن آنها ارائه میدهد. وقتیپروكسیها میزبان را موجود نمییابند برای ارائه خدمات باید انتخابهای دیگری راانجام داد.
۲ـ۳ـ معماری میزبان
در این نوع معماری همانطور كه در تصویر ۲ـ۳ بیان شده است امنیت اولیه ازطریق تصفیه و فیلترینگ بسته و میزبانهای شبكه داخلی ایجاد میشود كهكاربردهای مورد نیاز را ارائه میدهند قوانین فیلترنیك بسته مسیریاب یك چنینمیزبانهایی را از اینترنت پیكربندی میكند اتصال به شبكه از طریق یك پروكسیكاربردی در میزبان مسیریابی میشود و در بعضی از موارد بسته به سیاست امنیتشبكه این اتصال امكانپذیر میشود. stall ۹۵ و siya ۹۵ براین مسئله اشاره دارد كه معماری میزبان لایه دیگری ازامنیت را به معماری میزبان دوگانه اضافه میكند. wack ۹۵ به این نكته اشاره داردكه معماری میزبان به دلیل مسیریابیهایی كه امكان عبور به خدمات خاص را دراطراف میزبان bustion میدهد از امنیت كمتری برخوردار است. معماری میزباندر اولین نگاه در مقایسه با معماری مبزان دوگانه از ایمنی كمتری برخوردار است اماعملاً از یك نوع ایمنی برخوردارند.
۳ـ۳ـ معماری زیر شبكه
با میزبان دوگانه و معماری میزبان با شبكه معتبر و امن میشود و این زمانیاست كه میزبان bastion به كار رود.
تأثیر میزبان bastion با جداسازی آن در شبكه perimeter كاهش مییابد.سادهترین روش ارائه شبكه perimeter اضافه نمودن یك مسیریاب اضاف بهمعماری میزبان است این معماری در تصویر ۳ـ۳ بیان شده است و معماری زیرشبكهای نامیده میشوند. میزبان bastion سپس در شبكه perimeter بین دومسیریاب قرار میگیرد.
یك حمله كننده حالا میتواند به شبكه perimeter دست بیابد. شبكه امن هنوزتوسط مرناب داخلی محفاظت میشود. از آنجائیكه حمله كننده میتواند از نرمافزارsniffer بسته در شبكه استفاده كند، نمیتواند كلمات رمز را برای شبكه مورداطمینان جمعآوری كند مگر اینكه از طریق DMZ عبور كند.
۴ـ۳ـ نتایج :
راه حل درست برای ایجاد firewalls یك تكنیك تكی است و معمولاً با دقتتكنیكها برای حل مشكلات مختلف ارائه میشود مسایل و مشكلات زیادی وجوددارد كه بسته به خدماتی كه كاربر ارائه میدهد بایستی حل شود.
بعضی از پروتوكلها برای مثال Telnet و SMTP با فیلترینگ بسته به طورمؤثركنترل میشوند. سایر پروتوكلها مثل FTP و WWW با پروكسیها كنترلمیشوند. اكثر پیادهسازیهای firewall تركیبی از فیلترینگ بسته و پروكسی را بهكار میبرند.
فصل چهارم
حمله به عناصر firewall
۱ـ۴ـ انواع حمله به عناصر firewall
مقوله اصلی كه خطرات را برای سیستم ما ایجاد میكند تغییر خدمات شبكه -كاهش اعتماد و اعتبار - مفهوم خطا و سوء استفاده از اطلاعات آزاد است. مهمترینحملاتی كه از طریق مفهوم خطا ایجاد میشود عبارتنداز:
۱-۱-۴- حملهٔ Ip spoofing
شبیهسازی نشانی درست و معتبر موجب میشود تا بدون هیچگونه مشگلیبه شبكه داخلی دست بیابیم. معمولاً دروازههای كاربردی نمیتوانند حفاظتی راایجاد نمایند.
۲-۱-۴- حملهٔ ICMP
با استفاده از بستههای دو جهتی میتوان جداول مسیریابی را تغییر داد یكیاز احتمالات اجرای غلط خدمات میباشد. بستههای ICMP توسط فیلترهای بستهفیلتره میشوند.
۳ـ۱ـ۴ـ حمله به مسیریابی اینترنت
این بدان معنا است كه منبع بستههایی كه مسیر را مشخص میكنند باید تامقصد ادامه یابد. در اینجا دو منبع وجود دارد. منبع معتبر - منبع بدون اعتبار. منبعمعتبر مسیریابی به شما فهرست مسیرهایی را میدهد كه بسته باید دنبال كند. منبعبدون اعتبار از طریق سایر مسیرها بین مسیر منبع در بسته اجرا میشود. با ارزیابیاطلاعات مسیریابی منبع حمله كننده میتواند مطالبی را در مورد شبكهٔ داخلیدریابد. ما میتوانیم تنها با مسیریابی استاتیك از این منابع دفاع كنیم. مسیریابیدینامیك را باید خاموش كنید.
۴ـ۱ـ۴ـ سیل نشانكهای Tcp SYN
سیل نشانكهای Tcp syn ابزاری است كه تنها بخشی از حملات را با تمركزكاملاً متفاوت اجرا میكند. سیل نشانكهای Tcp SYN موجب میشود تا خدماترسان به اتصالات جدید با مشتریان پاسخ دهد. حملات خدمات مانع از این میشودكه از سیستمهای مفید یا شبكهها بتوانیم استفاده كنیم. این حملات معمولاً از طریقبارگیری پیش از حد پردازش میشوند. ارسال بستههایی كه میتواند اتصال بهاینترنت را ایجاد نماید نمونه نمونهای است كه در اینجا به آن اشاره شده سیلنشانكها برای دروازهٔ كاربردی و فیلترهای بسته خطرناك است.
۵ـ۱ـ۴ـ حملهٔ shooping یا sniffing
shiffing حملهای است خصوصی و حمله كننده ترافیك شبكه را مشاهده اماآنرا تخریب نمیسازد.
۶ـ۱ـ۴ـhijacking
حملهای است فعال كه توسط حمله كننده ایجاد میشود. حملهٔ Iphijackingsبعداز اینكه پروسه اعتباراسزی اجرا شد ظاهر میشود و به حمله كننده اجازهمیدهد تا نقش كاربر معتبر در یابد. حفاظت اولیه در برابر Iphijack به سری سازیدر لایه شبكه پاسخ میدهد.
۷ـ۱ـ۴ـ Trogan horse
Trogan horse نرمافزاری است كه به طور عادی ظاهر میشود و شاملبرنامهٔ حمله میشود.
۸ـ۱ـ۴ـ حملهٔ داده راندنی
نوعی حمله است كه توسط كاربر رمزبندی میشود و حمله در این رابطه اجرامیشود زیرا از طریق firewall به شكل دادهها یا در برابر سیستمی كه در پشتfirewall است وارد میشود و عمل میكند.
۹ـ۱ـ۴ـ ویروس
برنامهای است كه فایل كامپیوتری را عفونی میكند و این عمل از طریق واردشدن به كپیهای فایل صورت میگیرد. در یك چنین حالتی كپیها وقتی اجرامیشوند كه فایل در حافظه بارگیری شود و سایر فایلها را عفونی كند. ویروسهااغلب دارای تأثیرات مخربی هستند. یك ویروس در تمامی شبكه كامپیوتری ممكناست اشعه یابد و این ویروس مانند كرمی است كه از اجزاء مختلف ساخته شده ودر كل شبكه توزیع میشود.
۲ـ۴ـ نتایج :
firewall سوئیچهایی را برای حفاظت در برابر حملات Ip - حملات به منبعمسیر - حملات تونل Ip و انواع خاص دیگر ارائه میدهد.
اما بعضی از firewall ها نمیتوانند چنین حملات ویروسی را حفاظت كننداین حملات همان حملات داده رانی - حملات ویروسی - حملات Trojan horse -حملات Ip hijacking - یا shuopping است .
علاوه بر این ما بایستی راه حلهایی را با استفاده از ابزار kerberos ارائه دهیم.
منبع : سازمان آموزش و پرورش استان خراسان
ایران مسعود پزشکیان دولت چهاردهم پزشکیان مجلس شورای اسلامی محمدرضا عارف دولت مجلس کابینه دولت چهاردهم اسماعیل هنیه کابینه پزشکیان محمدجواد ظریف
پیاده روی اربعین تهران عراق پلیس تصادف هواشناسی شهرداری تهران سرقت بازنشستگان قتل آموزش و پرورش دستگیری
ایران خودرو خودرو وام قیمت طلا قیمت دلار قیمت خودرو بانک مرکزی برق بازار خودرو بورس بازار سرمایه قیمت سکه
میراث فرهنگی میدان آزادی سینما رهبر انقلاب بیتا فرهی وزارت فرهنگ و ارشاد اسلامی سینمای ایران تلویزیون کتاب تئاتر موسیقی
وزارت علوم تحقیقات و فناوری آزمون
رژیم صهیونیستی غزه روسیه حماس آمریکا فلسطین جنگ غزه اوکراین حزب الله لبنان دونالد ترامپ طوفان الاقصی ترکیه
پرسپولیس فوتبال ذوب آهن لیگ برتر استقلال لیگ برتر ایران المپیک المپیک 2024 پاریس رئال مادرید لیگ برتر فوتبال ایران مهدی تاج باشگاه پرسپولیس
هوش مصنوعی فناوری سامسونگ ایلان ماسک گوگل تلگرام گوشی ستار هاشمی مریخ روزنامه
فشار خون آلزایمر رژیم غذایی مغز دیابت چاقی افسردگی سلامت پوست