آشنایی با دیوارهای آتش یا Firewalls

دیوار آتش سیستمی است كه در بین كاربران یك شبكه محلی و شبكه بیرونی مثلا اینترنت قرار می گیرد و ضمن نظارت بر دسترسی ها , در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد

دیوار آتش سیستمی است كه در بین كاربران یك شبكه محلی و شبكه بیرونی (مثلا اینترنت) قرار می گیرد و ضمن نظارت بر دسترسی ها ، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد. هر سازمان یا نهادی كه بخواهد ورود و خروج اطلاعات شبكه خود را كنترل كند موظف است تمام ارتباطات مستقیم شبكه خود را با دنیای خارج قطع نموده و هر گونه ارتباط خارجی از طریق یك دروازه كه دیوار آتش یا فیلتر نام دارد ، انجام شود.

قبل از تحلیل اجزای دیوار آتش عملكرد كلی و مشكلات استفاده از دیوار آتش را بررسی می كنیم.

بسته های TCP و IP قبل از ورود یا خروج به شبكه ابتدا وارد دیوار آتش میشوند و منتظر میمانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. پس از پردازش و تحلیل بسته سه حالت ممكن است اتفاق بیفتد :

۱- اجازه عبور بسته صادر میشود (Accept Mode)

۲- بسته حذف میشود (Blocking Mode)

۳- بسته حذف شده و پاسخ مناسب به مبدا آن بسته داده شود (Response Mode)

غیر از حذف بسته می توان عملیاتی نظیر ثبت ، اخطار، ردگیری، جلوگیری از ادامه استفاده از شبكه و توبیخ هم در نظر گرفت.

در حقیقت دیوار آتش محلی است برای ایست و بازرسی بسته های اطلاعاتی به گونه ای كه بسته ها بر اساس تابعی از قواعد امنیتی و حفاظتی پردازش شده و برای آنها مجوز عبور یا عدم عبور صادر شود.

اگر P مجموعه ای از بسته های ورودی به سیستم دیوار آتش باشد و S مجموعه ای متناهی از قواعد امنیتی باشد داریم :

(X=F(P,S F

تابع عملكرد دیوار آتش و Xنتیجه تحلیل بسته (سه حالت بالا) خواهد بود. به مجموعه قواعد دیوار آتش سیاستهای امنیتی نیز گفته می شود. همانطور كه همه جا عملیات ایست و بازرسی وقتگیر و اعصاب خرد كن است دیوار آتش هم بعنوان یك گلوگاه میتواند منجر به بالا رفتن ترافیك ، تاخیر، ازدحام و نهایتا بن بست در شبكه شود. (بن بست : بسته ها آنقدر در پشت دیوار آتش معطل میمانند تا زمان طول عمرشان به اتمام رسیده و فرستنده مجددا اقدام به ارسال آنها میكند و این كار متناوبا تكرار میگردد.) به همین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا از حالت گلوگاهی خارج شود. تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید به گونه ای باشد كه بحران ایجاد نكند.

● مبانی طراحی دیوار آتش:

از آنجایی كه معماری شبكه به صورت لایه لایه است ، در مدل TCP/IP برای انتقال یك واحد اطلاعات از لایه چهارم بر روی شبكه باید تمام لایه ها را بگذراند، هر لایه برای انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اطلاعاتی اضافه كرده و آنرا تحویل لایه پایین تر می دهد. قسمت اعظم كار یك دیوار آتش تحلیل فیلدهای اضافه شده در هر لایه و سرآیند هر بسته میباشد. در بسته ای كه وارد دیوار آتش می شود به تعداد لایه ها (۴ لایه) سرآیند متفاوت وجود خواهد داشت. معمولا سرایند لایه اول (لایه فیزیكی یا Network Interface ) اهمیت چندانی ندارد چرا كه محتوای این فیلدها فقط روی كانال فیزیكی در شبكه محلی معنا دارند و در گذر از هر شبكه یا مسیریاب این فیلدها عوض خواهند شد.

بیشترین اهمیت در سرآیندی است كه در لایه های دوم ، سوم و چهارم به یك واحد اطلاعات اضافه خواهند شد:

۱- در لایه شبكه از دیوار آتش فیلدهای سرایند بسته IP را پردازش و تحلیل میكند.

۲- در لایه انتقال از دیوار آتش سرایند بسته های TCP یا UDP را پردازش و تحلیل میكند.

۳- در لایه كاربرد دیوار آتش فیلدهای سرآیند و همچنین محتوای خود داده ها را بررسی میكند. (مثلا سرایند و محتوای یك نامه الكترونیكی یا صفحه وب میتواند مورد بررسی قرار گیرد.)

با توجه به لایه لایه بودن معماری شبكه لاجرم یك دیوار آتش نیز چند لایه خواهد بود. اگر یك بسته در یكی از لایه های دیوار آتش شرایط عبور را احراز نكند همانجا حذف خواهد شد و به لایه های بالاتر ارجاع داده نمی شود بلكه ممكن است بسته جهت پی گیریهای امنیتی نظیر ثبت عمل و ردگیری به سیستمی جانبی تحویل گردد.

سیاست امنیتی یك شبكه مجموعه ای متناهی از قواعد امنیتی است كه بنابر ماهیتشان در یكی از لایه های دیوار آتش تعریف میشوند :

۱- قواعد تعیین بسته های ممنوع (بسته های سیاه) در اولین لایه از دیوار آتش

۲- قواعد بستن برخی از پورتها متعلق به سرویسهایی مثل Telnet یا FTP در لایه دوم

۳- قواعد تحلیل سرایند متن یك نامه الكترونیكی یا صفحه وب در لایه سوم

● لایه اول دیوار آتش:

لایه اول دیوار آتش بر اساس تحلیل بسته IP و فیلدهای سرآیند این بسته كار میكند و در این بسته فیلدهای زیر قابل نظارت و بررسی هستند :

۱- آدرس مبدا : برخی از ماشینهای داخل و یا خارج شبكه با آدرس IP خاص حق ارسال بسته نداشته باشند و بسته هایآنها به محض ورود به دیوار آتش حذف شود.

۲- آدرس مقصد : برخی از ماشینهای داخل و یا خارج شبكه با آدرس IP خاص حق دریافت بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شود. (آدرس های IP غیر مجاز توسط مسئول دیوار آتش تعریف میشود.)

۳- شماره شناسایی یك دیتاگرام قطعه قطعه شده (Identifier & Fragment Offset) : بسته هایی كه قطعه قطعه شده اند یا متعلق به یك دیتاگرام خاص هستند باید حذف شوند.

۴- شماره پروتكل : بسته هایی كه متعلق به پروتكل خاصی در لایه بالاتر هستند می توانند حذف شوند. یعنی بررسی اینكه بسته متعلق به چه پروتكلی است و آیا تحویل به آن پروتكل مجاز است یا خیر؟

۵- زمان حیات بسته : بسته هایی كه بیش از تعداد مشخصی مسیریاب را طی كرده اند مشكوك هستند و باید حذف شوند.

۶- بقیه فیلدها بنابر صلاحدید و قواعد امنیتیمسئول دیوار آتش قابل بررسی هستند.

مهمترین خصوصیت لایه اول از دیوار آتش آن است كه در این لایه بسته ها بطور مجزا و مستقل از هم بررسی می شوند و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یك بسته نیست. به همین دلیل ساده ترین و سریع ترین تصمیم گیری در این لایه انجام می شود. امروزه برخی مسیریابها با امكان لایه اول دیوار آتش به بازار عرضه می شوند یعنی به غیر از مسیریابی وظیفه لایه اول یك دیوار آتش را هم انجام می دهند كه به آنها مسیریابهای فیلتركننده بسته (Pocket Filtering Router ) گفته می شود. بنابراین مسیریاب قبل از اقدام به مسیریابی بر اساس جدولی بسته های IP را غربال می كند و تنظیم این جدول بر اساس نظر مسئول شبكه و برخی قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هرچه درصد قواعد امنیتی در این لایه دقیقتر و سخت گیرانه تر باشند حجم پردازش در لایه های بالاتر كمتر و در عین حال احتمال نفوذ پایین تر خواهد بود ولی در مجموع بخاطر تنوع میلیاردی آدرسهای IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امكان پذیر خواهد بود و این ضعف در لایه های بالاتر باید جبران شود.

● لایه دوم دیوار آتش:

در این لایه از فیلدهای سرایند لایه انتقال برای تحلیل بسته استفاده می شود. عمومی ترین فیلدهای بسته های لایه انتقال جهت بازرسی در دیوار آتش عبارتند از :

۱- شماره پورت پروسه مبدا و مقصد : با توجه به آنكه پورتهای استاندارد شناخته شده هستند ممكن است مسئول یك دیوار آتش بخواهد سرویس ftp فقط در محیط شبكه محلی امكان پذیر باشد و برای تمام ماشینهای خارجی این امكان وجود نداشته باشد. بنابراین دیوار آتش می تواند بسته های TCP با شماره پورت های ۲۰ و ۲۱ (مربوط به ftp) كه قصد ورود و خروج از شبكه را دارند ، حذف كند. یكی دیگر از سرویسهای خطرناك كه ممكن است مورد سوء استفاده قرار گیرد Telnet است كه می توان به راحتی پورت ۲۳ را مسدود كرد. یعنی بسته هایی كه مقصدشان شماره پورت ۲۳ است حذف شوند.

۲- فیلد شماره ترتیب و فیلد Acknowledgment : این دو فیلد نیز بنا بر قواعد تعریف شده توسط مسئول شبكه قابل استفاده هستند.

---

• بعدى
• 2
• 1
• قبلى

شما در حال مطالعه صفحه 1 از یک مقاله 2 صفحه ای هستید. لطفا صفحات دیگر این مقاله را نیز مطالعه فرمایید.