ديواره آتش Firewalls

مقدمه :

Firewall در فرهنگ كامپیوتر یعنی محافظت از شبكه های داخلی در مقابل شبكه های خطاكار . معمولا یك شبكه كامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبكه تولیدات شركت را دارید كه باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود كه آیا واقعا نیاز به محافظت از یك شبكه داخلی داریم و سوال دیگر اینكه چگونه از طریق یFirewall در فرهنگ كامپیوتر یعنی محافظت از شبكه های داخلی در مقابل شبكه های خطاكار .
معمولا یك شبكه كامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبكه تولیدات شركت را دارید كه باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود كه آیا واقعا نیاز به محافظت از یك شبكه داخلی داریم و سوال دیگر اینكه چگونه از طریق یك شبكه عمومی مانند اینترنت به آن دسترسی داشته باشیم .
دلیل بسیار ساده ای دارد ؟ كه آن نیاز به بقاء و رقابت است . اعتبار كمپانیها در اینترنت به تبلیغات تولیداتشان می باشد . اینترنت به صورت شگفت انگیزی در حال رشد است .
مانند یك فروشگاه بسیار بزرگ بیشتر مردم به طرف اینترنت می آیند وهمانطوریكه در یك فروشگاه باید محصولات سالم باشند و بعد از فروش گارانتی بشوند اطلاعات و داده و انتقالات آنها نیز باید به صورت امن و گارانتی شده باشد .
حال باید مكانیزمهایی برای حفاظت از شبكه داخلی یا اینترنت شركت در مقابل دسترسی های غیر مجاز ارائه دهیم

Firewall های مختلفی با ساختارهای مختلف وجود دارد ولی عقیده اصلی كه پشت آنها خوابیده یكسان است . شما به شبكه ای نیاز دارید كه به كاربرانتان اجازه دسترسی به شبكه های عمومی مانند اینترنت را بدهد و برعكس .
مشكل زمانی پیش می آید كه كمپانی شما بدون در نظر گرفتن معیارهای امنیت بخواهد به اینترنت وصل شود و شما در معرض دسترسی از طرف Server های دیگر در اینترنت هستید. نه تنها شبكه داخلی كمپانی در مقابل دسترسی های غیر مجاز آسیب پذیر است بلكه تمام Server های موجود در شبكه كمپانی در معرض خطر هستند .
بنابراین به فكر محافظت از شبكه می افتید و اینجاست كه نیاز به یك Firewall احساس می شود .
به هر حال قبل از فكر كردن درباره Firewall باید سرویسها واطلاعاتی كه می خواهید روی اینترنت در دسترس عموم قرار دهید مشخص كنید .

آشكارست كه در ابتدا شما می خواهید مطمئن شوید كه سرور شما امن است شما می توانید مجوزهای دسترسی , انتقال فایل و اجرای راه دور و همچنین منع مجوزهای ورود دوباره , Telnet , Ftp , SMTP ودیگر سرویسها . اگر شما بخواهید از این سرویسها استفاده كنید نیاز به Firewall دارید
به هر حال Firewall چیست ؟ اساسا یك فایروال جداكننده شبكه های امن از ناامن در اینترنت است . Firewall تمام اتصالاتی كه از اینترنت به شبكه های محافظت وارد می شوند را ----- می كند .
قبل از تعریف اینكه چه نوع از Firewall ها بهترین مجموعه برای نیازهای ماست , ما باید توپولو�?ی شبكه را برای تعیین اجزای آن مانند Hub ها , Switch ها , Router ها و Cabling آنالیز كنیم تا بهترین Firewall كه مخصوص این توپولو�?ی باشد را پیدا كنیم .
برای ایجاد امنیت در شبكه ما نیاز به بررسی شبكه داخلی از لحاظ مدل لایه بندی ISO آن داریم بطوریكه می دانید Reapter ها و Hub ها در لایه اول , Switch ها و Bridge ها در لایه دوم و Router ها در لایه سوم , یك Firewall در تمام لایه های شبكه می تواند عمل كند ( از جمله در هر هفت لایه ) لایه ها مسئول پاسخگویی به كنترل و ایجاد نشستها و بكارگیری آنها می باشند . بنابراین با یك Firewall ما می توانیم جریان اطلاعات را در طول ایجاد كنترل كنیم .
Firewall ها به ما امكان مدیریت دروازه های ورود به Web را می دهد و امكان تمركز روی پرو�?ه اصلی را می دهد .

The purpose of a Firewall

Firewall ها به تنهایی نمی توانند امنیت شبكه را برقرار كنند آنها فقط یك قسمت از سایت شما را امن می كنند و به منظور امنیت شبكه باید محدوده ای از شبكه را مشخص كنید و نیاز به این دارید كه چیزهایی در شبكه كه باید محدود شوند را تعیین كنید ویك سیاست امن را گسترش دهید و مكانیسمهایی برای اعمال سیاستهای مورد نظر روی شبكه را ایجاد كنید البته مكانیسمهایی پشت Firewall ها هستند كه می توانید به صورت عجیبی سطح امنیت را بالا ببرید .
این مكانیسمها بعد از اعمال سیاست امنیت مشخص می شوند و نه قبل از آن . برای ایجاد یك مكانیسم امن برای محافظت از Web Site شما باید یك Firewall برای نیازهای خود مشخص كنید وآن را پیاده سازی كنید.
ایجاد امنیت از سازمانی به سازمان دیگر متفاوت است البته این بستگی به چیزی كه آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روی UNIX , NT , Dos كار می كند . شما دقیقا به بستر اجرایی مورد نظر خود دقت كنید همانطور كه اجرای پرو�?ه را مشخص می كنیم باید سطوح امنیت را نیز مشخص كنیم تا بتوانیم آن را پیاده سازی كنیم . این یك روش برای موفقیت در پیاده سازی مكانیسمهای امنیت است .
Firewall ها علاوه براین كه امنیت واقعی را برقرار می كنند یك نقش اساسی در مدیریت امنیت را پوشش می دهند .

Firewall Role of Protection The

Firewall ها امنیت در شبكه را برقرار می كنند و ریسك Server های روی شبكه را با ----- كردن كاهش می دهند به عنوان مثال : شببكه دارای ریسك كمتری می باشد به علت اینكه پروتكلهای مشخص شده روی Firewall می توانند روی شبكه اعمال وظیفه كنند .
مشكل فایروالها محدودیت آنها در دسترسی به و از اینترنت است و شما مجبور می شوید كه از Proxy Server استفاده كنید .

Firewalls Providing Access Control

سرورها می توانند از بیرون قابل دسترس باشند مثلا كسی ویروسی را با Mail می فرستند و بعد از اجرا , فایروال را از كار می اندازد . بنابراین تا جایی كه امكان دارد از دسترسی مستقیم به سرورها جلوگیری كرد .

The Security Role of a Firewall

ما می توانیم به جای آنكه Server را محدود كنیم یك سرور را با تمام دسترسیهای ممكن به اینترنت وصل كنیم و Server دیگر را پشت Firewall به عنوان Backup از سرور قبلی داشته باشیم . با هك شدن یا خرابی سرور اولی ما می توانیم آن را بازیابی كنیم .
روشهای دیگر برای اعمال امنیت روی شبكه ممكن است موجب تغییراتی روی هر Server شبكه شود ممكن است تكنیكهای بهتری نسبت به Firewall ها باشد ولی Firewall ها برای پیاده سازی بسیار آسان هستند برای اینكه Firewall ها فقط یك نرم افزار مخصوص هستند .
یكی از مزایای Firewall ها استفاده آنها برای اینكه بتوانیم با Log كردن دسترسی به سایت آمار دسترسیهای به سایت خود را مشخص كنیم

Advantages and Disadvantages of Firewalls

Firewall ها دارای مزایای بسیاری می باشند با این وجود دارای معایب نیز هستند . بعضی از Firewall در مقابل محدود كردن كاربران و درهای پشتی (Back door ) كه محل حمله هكرها ست كه امنیت ندارند .

Access Restrictions

Firewall ها برای ایجاد امنیت بعضی از سرویسها مانند Telnet , Ftp , Xwindow را از كار می اندازند و این تنها محدود به فایروالها نمی شود . بلكه در سطح سایت نیز می شود این كار را انجام داد .

Back-Door Challenges: The Modem Threat

تا حالا مشخص شد كه امنیت درهای پشتی كمپانی به وسیله Firewall تامین نمی شود بنابراین اگر شما هیچ محدودیتی در دسترسی به مودم نداشته باشد این در بازی برای هكرها ست
SLIP , PPP از راههای ورودی می باشند و سئوال پیش می آید كه اگر این سرویسها وجود داشته باشند چرا از Firewall استفاده می كنیم .

Risk of Insider Attacks

ریسك دسترسی اعضای داخلی .

Firewall Components

Policy
Advanced Authentication
Packet Filtering
Application gateways

Network Security Policy

تصمیم برای برپایی یك Firewall در شبكه دو سطحی می باشد .
Installation , Use of the System

سیاستهای دسترسی به شبكه محدودیتهایی بر روی شبكه در سطح بالا به ما می دهد . همچنین چگونگی به كارگیری این سرویسها را نیز مشخص می كند .
Flexibility Policy

اگر شما به عنوان گسترش دهنده یك سیاست دسترسی به اینترنت یا مدیر Web و سرویسهای الكترونیكی معمولی هستید این سیاستها به دلایل زیر باید انعطاف پذیر باشند
اینترنت هر روز با سرعت غیر قابل پیش بینی رشد می كند . وقتی اینترنت تغییر تغییر می كند سرویسهای آن نیز تغییر می كند . بنابراین سیاستهای كمپانی باید تغییر كند و شما باید آماده ویرایش و سازگار كردن این سیاستها بدون تغییر در امنیت اولیه باشد .
كمپانی شما دارای ریسكهای متغیر با زمان است و شما باید در مقابل این ریسكها امنیت پردازشها را تامین كنید .

Service-Access Policy
سیاستهای دسترسی باید روی ورودی كابران متمركز شود .

Advanced Authentication

با وجود استفاده از Firewall بسیاری از نتایج بد در مورد امنیت از پسوردهای ضعیف و غیر قابل تغییر ناشی می شوند .
پسوردها در اینترنت از راههای زیادی شكسته می شوند بنابراین بهترین پسوردها نیز بی ارزشند .
مسئله این است كه پسوردهایی كه باید با یك الگوریتم خاصی ساخته شوند می توان با آنالیز سیستم به پسوردها والگوریتم استفاده شده پی برد مگر اینكه پسوردها بسیار پیچیده باشند.یك كركر می تواند با برنامه خود پسورد تعدادی از كاربران را امتحان كرده و با تركیب نتایج ساختار كلی الگوریتم استفاده شده را بدست آورد و پسورد كاربران مختلف را مشخص كند.
همچنین باید فراموش نكرد كه بعضی از سرویسهای TCP , UDP در سطح آدرس سرور هستند و نیازی به كاربران خاص خود ندارند .
به عنوان مثال یك هكر می تواند آدرس IP خود را با سرور یك كاربر معتبر یكسان كند واز طریق این كاربر یك مسیر آزاد به سرور مورد نظر باز كند و این كابر به عنوان یك واسط بین دو سرور عمل می كند .
هكر می تواند یك درخواست به كابر داده واین كاربر از سرور خود اطلاعات را به سرور هكر انتقال می دهد.این پروسه به عنوان IP Spoofing می باشد.
بیشتر روترها بسته های مسیر یابی شده منبع را بلاكه می كنند و حتی می توانند آنها از ----- Firewall بگذرانند.

منبع مقاله : iritn