تکنیک های امنیت شبکه !

[GOLDEN_BOY]

مقدمه

اينترنت يك شبكة عظيم اطلاعرساني و يك بانك وسيع اطلاعاتي است كه در آينده نزديك دسترسي به آن براي تكتك افراد ممكن خواهد شد. كارشناسان ارتباطات، بهرهگيري از اين شبكه را يك ضرورت در


عصر اطلاعات ميدانند. اين شبكه كه از هزاران شبكه كوچكتر تشكيل شده، فارغ از مرزهاي جغرافيايي، سراسر جهان را به هم مرتبط ساخته است. طبق آخرين آمار بيش از شصت ميليون رايانه از تمام نقاط

جهان در اين شبكة گسترده به يكديگر متصل شدهاند كه اطلاعات بيشماري را در تمامي زمينهها از هر سنخ و نوعي به اشتراك گذاشتهاند. گفته ميشود نزديك به يك ميليارد صفحه اطلاعات با موضوعات

گوناگون از سوي افراد حقيقي و حقوقي روي اين شبكه قرار داده شده است. اين اطلاعات با سرعت تمام در بزرگراه‎هاي اطلاعاتي بين كاربران رد و بدل ميشود و تقريباً هيچ گونه محدوديت و كنترلي بر وارد

كردن يا دريافت كردن دادهها اعمال نميشود. حمايت از جريان آزاد اطلاعات، گسترش روزافزون فنآوري اطلاعات و بسترسازي براي اتصال به شبكههاي اطلاعرساني شعار دولت‎هاست. اين در حالي است كه

گستردگي و تنوع اطلاعات آلوده روي اينترنت، موجب بروز نگراني در بين كشورهاي مختلف شده است. عليالرغم وجود جنبه هاي مثبت شبكه هاي جهاني، سوء استفاده از اين شبكههاي رايانهاي توسط

افراد بزهكار، امنيت ملي را در كشورهاي مختلف با خطر روبرو ساخته است. از اين رو بكارگيري فيلترها و فايروالهاي مختلف براي پيشگيري از نفوذ دادههاي مخرب و مضر و گزينش اطلاعات سالم در

اين شبكهها رو به افزايش است. خوشبختانه با وجود هياهوي بسياري كه شبكة اينترنت را غيرقابل كنترل معرفي ميكند، فناوري لازم براي كنترل اين شبكه و انتخاب اطلاعات سالم روبه گسترش و تكامل است.

[GOLDEN_BOY]

1-1 امنیت شبکه
همانطور که میدانیم زندگی روزمره انسانی، در دنیای فیزیکی غالبا با تهدیدهايی از سوی مهاجمان، متجاوزان و قانون شکنان مواجه بوده است و برنامهریزان و مدیران جوامع با اتخاذ تدابیر و با بکارگیری نیروهای سازمان یافته در پی مبارزه با تهدیدهای مذکور و محافظت از جان و منافع انسانی و نهایتا ایجاد امنیت در جامعه میباشند.
طبیعی است با الزام حضور و ورود انسان‎ها به دنیای مدرن ارتباطات و اینترنت ( که توسط متخصصان علوم ارتباطات و رایانه بوجود آمده است) خطرات و تهدید مهاجمان که با بکارگیری روش‎های گوناگون درصدد ایجاد اختلال، انهدام و یا وارد آوردن صدمه هستند، همواره وجود خواهد داشت. به همین جهت مبحث امنیت و ایجاد آن در دنیای الکترونیکی ارتباطات، جایگاه ویژهای را در محافل گوناگون علمی فنآوری اطلاعات بدست آورده است.
حال در خصوص شبکههای اطلاعرسانی و بخصوص اینترنت مبحث امنیت را میتوان از دو جنبه مورد بررسی قرار داد :
• امنیت سرویس‎دهندگان
• امنیت کاربران یا استفاده‎کنندگان
که در هر دو مورد با تهدیدهای بسیار جدی از سوی مهاجمان و مخربین مواجه هستیم.
همانطور که میدانیم ایجاد امکان مراودات الکترونیکی در اینترنت با احتساب مزایا و محاسن بیشمار خود، مشکلات عدیده ای را نیز به همراه داشته است. در حقیقت هر یک از طرفین(سرویس دهندگان و سرویس گیرندگان) با نگرانیهای جدی مواجه هستند و در همین راستا، جهت ایمنسازی مراودات خود از یکدیگر انتظاراتی را مطرح مینمایند.
ایجاد ایمنی و رفع هرگونه تهدید در انجام معلامات و یا تراکنشهای اقتصادی، و نیز قانونمند و مطمئن بودن فعالیت و مخفی ماندن اطلاعات مربوطه به آن بعنوان توقعات مشتریان مطرح میشود و در مقابل فعالیت همراه با دقت کاربر، عدم انجام اعمال خلاف قوائد و قوانین شبکه و مراودات الکترونیکی و نهایتاً اجتناب از تخریب و یا صدمهزدن به سایت از انتظارات سرویس دهندگان میباشد.
در عین حال هر دو طرف از واسطه انتقال دهنده اطلاعات که همانا سیستمهای مخابراتی هستند توقع جلوگیری از استراق اطلاعات و ... را خواهند داشت.
در حقیقت در مباحث مربوط به امنیت شبکه، ایمنی کاربر، ایمنی سرویسدهنده و ایمنی مخابراتی از رئوس مطالب مورد توجه میباشند.


در ادامه سعی در بررسی کاستیهای مجموعه خواهیم نمود:


1. عدم نصب صحیح سسیتم عاملهای اصلی شبکه :یکی از اصلیترین دلائل بروز حمله به سایتهای اینترنتی حفرههای موجود در نرمافزارهای سیستم عامل به جهت عدم نصب اصولی و تکنیکی آنها میباشد. در حقیقت عدم شناخت و آگاهی کافی برخی از مسئولین سایت ها از امکانات، محاسن و معایب و حفرههای موجود در سیستم عامل مورد استفاده موجب می شود مبحث انجام تنظیمات صحیح به دقت و درستی انجام نشده و به سادگی، زمینه جهت ورود غیر مجاز مهاجم مهیا شود. بسته نبودن پورت‎های موجود در مجموعه سرویس‎های یک سرور به لحاظ امنیتی بسیار خطرناک می باشد که در بسیاری از موارد به جهت عدم دقت مسئولین مربوطه، مسیر هموار جهت ورود مهاجمین به وجود میآورد.

2. وجود کاستیهای فراوان در ساختار سیستم عاملها :متأسفانه علیرغم پیشرفتهای شگرف دنیای سیستم عاملها، و علاوه بر مشکل عدم آگاهی نسبی برخی از متخصصین شبکه، وجود مشکلات بنیادی در بدنه نرم افزارهای سرور نیز عامل ضعف دیگری برای آنها به شمار میرود. در حقیقت بسیاری از سیستم عامل‎های سرور دارای نقایص فراوانی به لحاظ حفظ امنیت میباشند که بدیهی است با گذشت زمان نقاط ضعفشان شناسایی و رفع میگردد.
3. اجازه استفاده از سرویسهای گوناگون در سرور: اجازه استفاده از سرویسهای گوناگونی همچون HTTP , IRC , FTP , TelNet و ... زمینهساز هجومهای غیر مجاز فراوان در سرورها میباشد. در حقیقت هر یک از درگاه‎های ورودی مذکور (ports) ، مسیری هموار جهت نفوذهای غیرمجاز به داخل سرورها میباشد که میبایست با توجه به شرایط مورد نیاز کاربران در آنها محدودیتهای لازم اعمال گردد و یا در صورت عدم توجیه امنیتی مناسب برای حضور هر یک، از آنها صرف نظر شود.
4. وجود مشکلات امنیتی در پروتکلها : اتصال شبکهها در اینترنت معمولاً با استفاده از پروتکلTCP/IP انجام میپذیرد. در همین راستا اجازه استفاده از امکانات HTTP بر روی TCP/IP با توجه به گستردگی سرویسهای آن مورد توجه قرار گرفته است و لذا وجود حفرههای فراوان و بسترسازی مناسب برای مهاجمین در این پرتکل مشهور، موجبات پدید آمدن اختلالات امنیتی فراوان در شبکه میگردد.
5. عدم رعایت تدابیر امنیتی در نرمافزارهای نصب شده بر روی سرور :معمولاً سرویس دهندگان وب جهت سهولت دسترسی و یا انجام امور کاربران و مشتریان خود اقدام به نصب نرمافزارهای کاربردی بر روی سیستم خود مینمایند که غالباً فاقد تدابیر ملزوم امنیتی میباشند. لذا بررسی و پیشبینی اقدامات تأمین در نصب و استفاده از این نوع برنامهها بسیار پراهمیت به نظر میرسد. بطور مثال برنامه های تهیه شده بصورت ASP نمونهای از این موارد میباشد.
6. عدم استفاده از گزارش فعالیتهای سیستم و یا کنترل عملکرد کاربران :یکی از مسائلی که باید مورد توجه سرویس دهندگان وب قرار گیرد، نصب و راهاندازی نرمافزارهای Capture و یا ذخیره کننده Log بر روی سرور میباشد. حضور این نوع از قابلیتها بر روی سرور موجب میشود تا حرکات مشکوک و خزنده و در عین حال دور از فعالیتهای معمول روزانه، ثبت و مورد بررسی قرار گیرد. براساس شواهد موجود، مهاجمین قبل از انجام مأموریت اصلی خود، به بررسی وضعیت سرورها پرداخته و جنبههای مختلف و امکانات آنها را مورد بررسی قرار میدهند. این نوع حرکات در فایل‎های Log ثبت میشود و با کنترل و بررسی آن‎ها میتوان اقدامات امنیتی و باز دارنده مناسب قبل از حمله اصلی را اعمال نمود.
متأسفانه با توجه به کثرت مشتریان و کاربران وب، کنترل گزارش‎های سیستم برای مسئولین شبکه امری بس مشکل و خسته کننده به نظر آمده و نهایتاً احتمال بروز مشکلات مذکور را افزایش میدهد.
7. اعتماد به عملکرد مشتری: یکی دیگر از کاستیهای سرویس دهندگان در ارائه سرویسهای آنلاین اعتماد به عملکرد قانونی و صحیح کاربران میباشد. در حقیقت همین ذهنیت موجب عدم کنترل کاربران خواهد بود. البته زمینه این مشکل مشابه مورد ششم این مبحث است اما در اینجا تراکم عملیاتهای انجام شده و درصد محدود بروز خطر برای سرویس دهندگان موجب عدم کنترل عملکرد و تراکنشهای اقتصادی کاربر میگردد. لذا هیچگاه نباید به عملکرد کاربران یک سایت اعتماد کامل داشت.
8. عدم وجود روشهای مناسب شناسایی کاربر :یکی دیگر از نقاط ضعف سرویس دهندگان، عدم استفاده از روش‎های مناسب شناسایی کاربران مجاز به استفاده از امکانات سیستم میباشد. امروزه شاید عمدهترین روش شناسایی کاربرنام شناسایی و کلمه عبور او باشد، که براساس آمار یکی از مهمترین راه‎های سوءاستفاده از سایتها به دست آوردن و استفاده از مورد ذکر شده میباشد. در حقیقت نرمافزارهائی که به همین جهت (به دست آوردن و یا حدس زدن کلمه عبور) تهیه شدهاند، به سادگی میتوانند احتمالات گوناگون کلمات عبور را در زمان بسیار کوتاهی بر روی سرورها بررسی نموده و مقصود را به سرعت بیابند. در این راستا پیشبینی امکانات لازم جهت ایجاد کلمات عبور پیچیده بر روی سرورها از تدابیری است که میتواند احتمال بروز اختلال از این طریق را به حداقل برساند.
در حقیقت کاربران ملزم به استفاده از کلمات عبوری باشند که به لحاظ ساختاری نتوان به سادگی به آنها دست یافت. البته در محافل و انجمنهای علمی امنیت کامپیوتر و شبکهها ، در این زمینه استاندارهایی تعیین شده است که هم اکنون در سایت‎های مشهور مورد استفاده قرار میگیرند که خود موجب کاهش یورشهای احتمالی میگردد.
9. عدم استفاده از تدابیر امنیتی مناسب و نرمافزارهای فايروال و پراكسي ‎‎:با توجه به موار ذکر شده در مباحث نقاط ضعف سیستمهای عامل و پروتکلها، وجود و استفاده از شیوههای نرمافزاری بازدارنده بسیار مورد توجه قرار گرفته است. ایجاد و تهیه نرمافزارهایی که با لفظ فايروال شناخته میشوند و نهایتاً نصب و استفاده از آنها بر روی سرور و یا در مسیر حرکت اطلاعات موجب کاهش احتمال یورش و نفوذ به حفرههای موجود میگردد. در حقیقت این نوع نرمافزارها بصورت یک سد محکم و یا یک ***** در مسیر کاربران واقع میگردد و بطور دقیق نحوه عملکرد و مسیر حرکت کاربران و نحوه نقل و انتقالات اطلاعات را کنترل مینمایند. بدیهی است با توجه به پیشرفت تکنیکهای یورش در بعضی مواقع شاهد پشت سر گذاشتن فايروال‎ها نیز میباشیم و همین موارد موجب میگردد تا شرکتهای نرمافزاری در کوتاهترین زمان ممکن در به روز رسانی و رفع نواقص فايروال‎هاي خود اقدام نمایند و آنها را در مقابل تهدیدها آماده سازند.
10. عدم شناخت کافی از صحت اطلاعات دریافتی (عدم کنترل اطلاعات):یکی دیگر از نقاط ضعف موجود در سرویس دهندگان، عدم کنترل اطلاعات دریافتی و ارسالی از سوی کاربران میباشد. در حقیقت شیوهای مرسوم که توسط مهاجمان مورد استفاده قرار میگیرد، ارسال اسكريپت و یا برنامههای پس از نفوذ بر روی سرورها میباشد که پس از دریافتهای مذکور، مهاجم به سهولت قابلیت تخریب، تغییر و نهایتاً ایجاد اختلال در سایت را خواهد داشت. نصب ویروسیاب و فايروال‎هاي مناسب از این نوع تهدیدها جلوگیری مینماید.
11. عدم محافظت از اطلاعات حساس :بسیاری از سرویس دهندگان جهت حفظ اطلاعات حساس خود اقدام به مخفیسازی مینمایند. البته شکل ساده و تئوریکال قضیه، دور از دسترس قرار دادن اطلاعات است ولیکن روش‎های گوناگون جهت انجام این مهم مورد استفاده قرار میگیرد.

[GOLDEN_BOY]

• کپیبرداری غیرمجاز و یا سرقت اطلاعات:در این مورد، معمولا مهاجمان سعی در کپیبرداری و یا سرقت از اطلاعاتی مینمایند که دارای طبقهبندی اطلاعاتی است. با عنایت به اینکه غالب مراکز استراتژیک و سازمان‎های گسترده اقدام به مکانیزه نمودن فرآیند نگهداری از اسناد و مدارک و انجام امور اداری روزانه خود نمودهاند (همچون وزارتخانهها، سازمان‎های اقتصادی، مراکز نظامی و یا اطلاعاتی و ...) لذا معمولا با ایجاد لایههای دسترسی گوناگون امکان استفاده از بانکهای اطلاعاتی را برای مدیران و یا افراد مجاز مهیا نمودهاند، لذا خطر حضور و نفوذ مهاجمان و در پی آن خطر سرقت اطلاعات و کپیبرداری از آنها همواره نگران کننده خواهد بود و از عمده مشکلات امنیتی شبکههای وب میباشد.
در حقیقت مهاجمین با استفاده از دسترسی کاربران مجاز و با دسترسی به کدهای ایشان، به اطلاعات طبقهبندی شده و با ارزش دست یافته و بدین وسیله اقدام به سرقت اطلاعات مینمایند.

• ایجاد تغییر و دستکاری در اطلاعات:این مورد در برخی از سیستمهای مالی و اقتصادی، و نیز در پایگاه های اطلاعاتی رسمی دیده شده است. نفوذ و دستکاری اطلاعات موجود بر روی شبکههای بانکی با در نظر گرفتن گستره فعالیت این نوع از شبکهها، منافع اقتصادی مطلوبی را برای مهاجمان به دنبال داشته است. دستکاری بانکهای اطلاعاتی ادارات پلیس و یا مراکز امنیتی در این راستا بسیار زیانبار جلوه مینموده است. دستکاری در اخبار و تغییر اطلاعات سایت‎های خبرگزاریها و یا جعل اخبار و نهایتا شایعه پراکنی از دیگر معضلات این مبحث از امنیت شبکه میباشد.


منتشر کردن اطلاعات :انتشار اطلاعات طبقهبندی شده دولتی، شخصی، اقتصادی و... توسط مهاجمان از دیگر نگرانیهای ویژه اداره کنندگان سیستمهای اطلاعاتی است. معمولا این تهدیدها بر روی سایت‎هائی دیده میشوند که در آنها اطلاعات طبقهبندی شده سیاسی، علمی و اقتصادی و ... نگهداری میشوند. همچون پایگاه اطلاعات مراکز ملی تحقیقات فضایی و یا بانکهای اطلاعاتی مربوط به سوابق امنیتی و موارد استراتژیک هر کشور.

تغییر در ساختار ظاهری پایگاه:در بسیاری از مواقع دیده شده است، محتوای ظاهری سایت‎های اینترنتی که در معرض بینندگان عام قرارداد بصورت ناگهانی و بدون آگاهی مدیران آن سایت تغییر نموده است. بدین ترتیب که مهاجمان صفحات اصلی ایستگاه را با صفحات دیگری جابهجا نموده و عملا استفاده از محتوای اصلی سایت را برای کاربران عمومی غیرممکن میسازند. در برخی موارد هم شاهد Redirect نمودن و یا جابهجائی خودکار کاربر از سایت مذکور به سایت‎های دیگر میباشیم.
تخریب پایگاه‎های اطلاعاتی:در مواقعی دیده شده است مهاجمان پس از نفوذ به سیستم باعث انهدام بانکهای اطلاعاتی موجود در آن گردیده و خسارات جبران ناپذیری را به سازمان‎های مربوط وارد میآورند. جبران خسارت وارده بسیار مشکل و حتی غیر ممکن مینماید. مراکزی همچون سازمان‎های ثبت احوال و اسناد، ادارات پلیس و یا سازمان‎هايی که دارای آرشیوهای رایانهای و الکترونیکی میباشند مورد علاقه شدید مهاجمان واقع می‎گردند.

ارسال و انتشار ویروس:در این زمینه نیز، مهاجمان و مخربین با ارسال نامههای الکترونیکی و یا فایل‎های آلوده به ویروس‎ها خطرناک و یا موجبات بوجود آمدن مشکلات عدیده برای سرویس دهندگان اطلاعاتی و یا استفاده کنندگان از پایگاه مذکور می گردند . امروزه شاید ساده ترین روش انتشار ویروس و ارسال همگانی آن جهت تخریب ،همین مورد باشد .

ایجاد دسترسی، تعریف کاربران جدید وتخریب نامحسوس:در بسیاری از شبکههایی که در آنها با وفور کاربران مواجه هستیم و کنترل فردفرد افراد برای مسئولین پایگاه قابل انجام نمیباشد (همچون سرویس دهندگان ايميل رايگان و یا ارائه کنندگان خدمات اینترنت یا ISP)همواره خطر نفوذ و ایجاد سطوح دسترسی جدید و یا کاربران مجازی وجود دارد. بدیهی است در این شکل از خرابکاریهای شبکهای، مخربین قادر خواهند بود بصورت نامحسوس کلیه تراکنشها و فرآیندهای گوناگون موجود در سایت را مورد بازبینی قرار داده و از آن سوءاستفاده نمایند که این عملیات با دسترسی به کد عبور مدیران شکبه به راحتی قابل انجام است. این فرآیند برای اداره کنندگان پایگاههای اطلاعاتی، مشکلات عمدهای را با توجه به مسئولیت قانونی ایشان در قبال پایگاه مربوطه به دنبال خواهد داشت.

تهدیدهای مربوط به سایت‎های فعال در امور مالی و اقتصادی:در خصوص مسائل امنیتی قابل ذکر است بعضی از ایستگاههای اینترنتی با در نظر گرفتن نوع فعالیت از تهدیدهای ویژه برخوردارند . بطور مثال از تهدیدهای مربوط به سیستم ها ی اقتصادی آنلاین می توان به موارد ذیل اشاره نمود :
ورود و نفوذ به سیستم‎های بانکی و برداشتهای غیرمجاز مالی از حساب‎های پرتراکنش:لازم به ذکر است مهاجمین با در نظر گرفتن شرایط پیچیده حساب‎های پر تراکنش پس از نفوذ اقدام به تخلیه حساب و یا جابهجائی پول مینمایند.
انجام معاملات صوری و غیرواقعی بصورت الکترونیکی جهت کسب اعتبار:معمولا اعتبارات بانکی به حسابهائی تعلق میگیرد که دارای گردش بالای کلان میباشند و اساسا با در نظر گرفتن اینکه گردشهای مالی مناسب با انجام معاملات و تنظیم قراردادهای مطلوب با ارقام بالا بوجود میآید، لذا با استفاده از سیستم عقد قراردادهای الکترونیکی و ایجاد پروندههای مالی غیرواقعی در بانک اطلاعاتی بانک‎های بزرگ، مطلوب سوء استفاده گران تامین میگردد.

گشایش حساب‎های بانکی غیرواقعی و انجام تراکنشهای غیرحقیقی:نفوذگران در این زمینه سعی در ایجاد حساب‎های جاری و یا ارزی غیر واقعی می نمایند و در آنها همچون بند 2 سعی در ایجاد تراکنش‎های مالی و نقل و انتقالات پول می نمایند . بدیهی است با در نظر گرفتن غیر واقعی بودن حساب‎ها، پیگیری وضعیت صاحب حساب و یا کنترل آن و فرایند اقتصادی قابل انجام نبوده و براحتی از آن سوء استفاده به عمل می آید .

تغییر در اسناد مالی و بانکی و جعل:در این مورد، مهاجمین با نفوذ به سیستمهای مالی سعی در ایجاد تغییر در حسابها نموده و معمولا مدارک مهم را مورد تهاجم قرار میدهند. بدیهی است در این شکل از تخریب نیز منافع مالی سرشاری برای نفوذگران تامین میگردد.
سوءاستفاده از کارت‎های اعتباری و انجام خرید و فروشهای مجازی:همانطور که می‎دانیم استفاده از کارت‎های اعتباری رایج، در جوامع مدرن بعنوان راهحلی مناسب جهت انجام فعالیتهای اقتصادی کوچک و بزرگ بصورت همگانی مورد توجه و استفاده قرار میگیرد. بدیهی است در این مورد نیز مهاجمین با جعل و یا تولید شماره کارتهای اعتباری توسط نرمافزارهای مربوطه سعی در استفاده از حسابهای دیگران در خرید و انجام معاملات الکترونیکی مینمایند.

ارسال فرم سفارش کالا و یا رزرواسیون الکترونیکی بصورت غیرحقیقی:در بسیاری از سایتهای اینترنتی مربوط به فعالیت‎های فرهنگی همچون سینماها و سالنهای تئاتر و یا آژانسهای مسافرتی شاهد استفاده از امکان رزرواسیون بلیت هستیم. استفاده از این امکان همواره با مشکلاتی همچون رزرواسیون غیرحقیقی، خرید عمده بلیت بصورت غیرواقعی و ایجاد اختلال در عملکرد روزانه مراکز مذکور مواجه بوده است. البته مشکلاتی که در این راستا وجود دارد نیز بصورت جامعتر مورد بررسی قرار خواهد گرفت.
چنانچه به اهميت شبكههاي اطلاعاتي (الكترونيكي) و نقش اساسي آن در دريافت اجتماعي آينده پي برده باشيم، اهميت امنيت اين شبكهها مشخص ميگردد. اگر امنيت شبكه برقرار نگردد، مزيت‎هاي فراوان آن نيز به خوبي حاصل نخواهد شد و پول و تجارت الكترونيك، خدمات به كاربران خاص، اطلاعات شخصي، اطلاعاتي عمومي و نشريات الكترونيك همه و همه در معرض دستكاري و سوءاستفادههاي مادي و معنوي هستند. همچنين دستكاري اطلاعات- به عنوان زيربناي فكري ملتها توسط گروه‎هاي سازماندهي شده بينالمللي، به نوعي مختل ساختن امنيت ملي و تهاجم عليه دولتها و تهديدي ملي محسوب ميشود. در آينده كه بانك‎ها و بسياري از نهادها و دستگاه‎هاي ديگر از طريق شبكه به فعاليت ميپردازند، جلوگيري از نفوذ عوامل مخرب در شبكه بصورت مسئلهاي استراتژيك درخواهد آمد كه نپرداختن به آن باعث ايراد خساراتي خواهد شد كه بعضاً جبرانناپذير خواهد بود.


در سال 1969 بصورت شبكههاي بنام آرپانت كه مربوط به وزارت دفاع آمريكا بود راهاندازي شد. هدف اين بود كه با استفاده از رايانههاي متصل به هم، شرايطي ايجاد شود كه حتي اگر، بخش‎هاي عمدهاي از سيستم اطلاعاتي به هر دليلي از كار بيفتد، كل شبكه بتواند به كار خود ادامه دهد، تا اين اطلاعات حفظ شود. از همان ابتدا، فكر ايجاد شبكه، براي جلوگيري از اثرات مخرب حملات اطلاعاتي بود. در سال 1971 تعدادي از رايانههاي دانشگاه‎ها و مراكز دولتي به اين شبكه متصل شدند و محققين از اين طريق شروع به تبادل اطلاعات كردند. با بروز رخدادهاي غيرمنتظره در اطلاعات، توجه به مسأله امنيت بيش از پيش اوج گرفت. در سال 1988، آرپانت براي اولين بار با يك حادثه امنيتي سراسري در شبكه، مواجه شد كه بعداً، «كرم موريس» نام گرفت. رابرت موريس كه يك دانشجو در نيويورك بود، برنامههايي نوشت كه ميتوانست به يك رايانهاي ديگر راه يابد و در آن تكثير شود و به همين ترتيب به رايانههاي ديگر هم نفوذ كند و بصورت هندسي تكثير شود. آن زمان 88000 رايانه به اين شبكه وصل بود. اين برنامه سبب شد طي مدت كوتاهي ده درصد از رايانههاي متصل به شبكه در آمريكا از كار بيفتد. به دنبال اين حادثه، بنياد مقابله با حوادث امنيتي (IRST) شكل گرفت كه در هماهنگي فعاليت‎هاي مقابله با حملات ضد امنيتي، آموزش و تجهيز شبكهها و روش‎هاي پيشگيرانه نقش مؤثري داشت. با رايجتر شدن و استفاده عام از اينترنت، مسأله امنيت خود را بهتر و بيشتر نشان داد. از جمله اين حوادث، اختلال در امنيت شبكه، WINK/OILS WORM در سال 1989، Sniff packet در سال 1994 بود كه مورد اخير از طريق پست الكترونيك منتشر ميشد و باعث افشاي اطلاعات مربوط به اسامي شماره رمز كاربران ميشد. از آن زمان حملات امنيتي- اطلاعاتي به شبكهها و شبكه جهاني روز بهروز افزايش يافته است. گرچه اينترنت در ابتدا، با هدف آموزشي و تحقيقاتي گسترش يافت، امروزه كاربردهاي تجاري، پزشكي، ارتباطي و شخصي فراواني پيدا كرده است كه ضرورت افزايش ضريب اطمينان آن را بيش از پيش روشن نموده است.

[GOLDEN_BOY]

1-4 اصول مهم امنيت اطلاعات

تفکر امنيت در شبکه براي دستيابي به سه عامل مهم است که با يک ديگر مثلث امنيتي را تشکيل مي‎دهند. اين عوامل عبارتند از راز داري و امانت داري ، يکپارچگي و در نهايت در دسترس بودن هميشگي .اين سه عامل (cia) اصول اساسي امنيت اطلاعات در شبکه و يا بيرون آن را تشکيل مي‎دهند بگونه اي که تمامي تمهيدات لازمي که براي امنيت شبکه اتخاذ مي شود و يا تجهيزاتي که ساخته مي شوند، همگي ناشي از نياز به اعمال اين سه پارامتر در محيط هاي نگهداري و تبادل اطلاعات است. امانت داري :به معناي آن است که اطلاعات فقط در دسترس کساني قرار گيرد که به آن نياز دارند و اين گونه تعريف شده است. بعنوان مثال از دست دادن اين خصيصه امنيتي معادل است با بيرون رفتن قسمتي از پرونده محرمانه يک شرکت و امکان دسترسي به آن توسط مطبوعات.
يکپارچگي: بيشتر مفهومي است که به علوم سيستمي باز مي گردد و بطور خلاصه مي توان آن را اينگونه تعريف کرد :
- تغييرات در اطلاعات فقط بايد توسط افراد يا پروسه هاي مشخص و مجاز انجام گيرد.
- تغييرات بدون اجاز و بدون دليل حتي توسط افراد يا پروسه هاي مجاز نبايد صورت بگيرد.
- يکپارچگي اطلاعات بايد در درون و بيرون سيستم حفظ شود. به اين معني که يک داده مشخص چه در درون سيستم و چه در خارج آن بايد يکسان باشد و اگر تغيير مي کند بايد همزمان درون و برون سيستم از آن آگاه شوند.
دسترس بودن هميشگي : اين پارامتر ضمانت مي کند که يک سيستم - مثلا اطلاعاتي - همواره بايد در دسترس باشد و بتواند کار خود را انجام دهد .بنابراين حتي اگر همه موارد ايمني مد نظر باشد اما عواملي باعث خوابيدن سيستم شوند - مانند قطع برق - از نظر يک سيستم امنيتي اين سيستم ايمن نيست.
اما جداي از مسائل بالا مفاهيم و پارامترهاي ديگري نيز هستند که با وجود آن‎که از همين اصول گرفته مي شوند براي خود شخصيت جداگانه اي پيدا کرده اند. در اين ميان مي توان به مفاهيمي نظير تقاضاي شناسايي به هنگام دسترسي کاربر به سيستم ، مشخص کردن هويت کاربر ، مشخص کردن ميزان دسترسي کاربر به منابع ، قابليت حسابرسي از عملکرد سيستم و ... اشاره کرد.
مهمترين وظيفه يک شبکه کامپيوتري فراهم سازي امکان برقراري ارتباط ميان گره‎هاي آن در تمام زمان‎ها و شرايط گوناگون است بصورتي که برخي از محققين امنيت در يک شبکه را معادل استحکام و عدم بروز اختلال در آن مي دانند. هر چند از زاويه اي اين تعريف مي تواند درست باشد اما بهتر است اضافه کنيم که امينت در يک شبکه علاوه بر امنيت کارکردي به معني خصوصي بودن ارتباطات نيز هست. شبکه اي که درست کار کند و مورد حمله ويروس‎ها و عوامل خارجي قرار نگيرد اما در عوض تبادل اطلاعات ميان دو نفر در آن توسط ديگران شنود شود ايمن نيست.
اما ببينيم که چه کساني - فرد، دستگاه، نرم افزار - مي‎توانند امنيت ارتباط برقرار شده شما را تهديد کنند.
1-4-1هکر

در معناي لغوي به فردي گفته مي شود که با ابزار به ساخت لوازم خانه(ميز، مبل و ...) مي پردازد. اما امروزه اين اصطلاح بيشتر به افرادي اطلاق مي شود که علاقمند به کشف رمز و راز برنامه هاي مختلف نصب شده روي کامپيوترها مي باشند تا به اين وسيله دانش و توانايي خود را بالا ببرند. اينگونه افراد معمولا دانش زيادي از نحوه کار کامپيوتر و سيستم هاي شبکه اي دارند و اغلب بطور غير مجاز سعي در ورود به سيستم هاي اطلاعاتي يا کامپيوتر هاي شخصي افراد مي کنند.
اما معني عمومي تر اين لغت امروزه از موارد بالا نيز فراتر رفته و به افرادي گفته ميشود که براي خرابکاري و يا سرقت اطلاعات و ... وارد کامپيوترها يا شبکه هاي کاميپوتري ديگران مي شوند. قصد يا غرض اين افراد از انجام اينکار ها مي تواند تمام مواردي باشد که در در دنياي واقعي به آن اشاره کرديم، باشد.

1-4-2 ويروس

ويروس های کامپيوتری ، متداولترين نوع تهديدات امنيتی در ساليان اخير بوده که تاکنون مشکلات گسترده ای را ايجاد و همواره از خبرسازترين موضوعات در زمينه کامپيوتر و شبکه های کامپيوتری ، بوده اند. ويروس‎ها ، برنامه‎هايی کامپيوتری می‎باشند که توسط برنامه نويسان گمراه و در عين حال ماهر نوشته شده و بگونه‎ای طراحی می گردند که قادر به تکثير خود و آلودگی کامپيوترها بر اثر وقوع يک رويداد خاص ، باشند . مثلا ويروس هايی که از
آنان با نام ماکرو ويروس ياد می شود ، خود را به فايل هايی شامل دستورالعمل های ماکرو ملحق نموده و در ادامه ، همزمان با فعال شدن ماکرو ، شرايط لازم به منظور اجرای آنان نيز فراهم می گردد.برخی از ويروس ها بی آزار بوده و صرفا باعث بروز اختلالات موقت در روند انجام عمليات در کامپيوتر می شوند ( نظير نمايش يک پيام مضحک بر روی صفحه نمايشگر همزمان با فشردن يک کليد خاص توسط کاربر) . برخی ديگر از ويروس‎ها دارای عملکردی مخرب‎تر بوده و می توانند مسائل و مشکلات بيشتری نظير حذف فايل ها و يا کاهش سرعت سيستم را به دنبال داشته باشند. يک کامپيوتر صرفا زمانی آلوده به يک ويروس می گردد که شرايط و امکان ورود ويروس از يک منبع خارجی ( اغلب از طريق فايل ضميمه يک نامه الکترونيکی و يا دريافت و نصب يک فايل و يا برنامه آلوده از اينترنت ) ، برای آن فراهم گردد . زمانی که يک کامپيوتر در شبکه ای آلوده گرديد ، ساير کامپيوترها ی موجود در شبکه و يا ساير کامپيوترهای موجود در اينترنت، دارای استعدادی مناسب به منظور مشارکت و همکاری با ويروس،خواهند بود.

1-4-3 کرم هاي شبکه

در دنياي کامپيوتر و ارتباطات اينترنتي کرم به گونه اي از نرم افزارها گفته مي شود که در گره هاي شبکه - مثلا" کامپيوتر - مستقر شده و مي تواند علاوه بر زندگي و آسيب رسان به آن گره نسخه ديگري از خود را از طريق شبکه به ساير گره ها منتقل کند و آنها را نيز دچار مشکل سازد. بنابراين مشاهده مي‎کنيد که سرعت توليد مثل و انتشار يک کرم در شبکه بزرگ چه مقدار مي تواند زياد باشد. کرم ها معمولا علاوه بر آنکه باعث تخريب ميزبان خود مي شوند، با اشغال کردن فضاي ارتباطي در شبکه، تاثيري چون ترافيک و کندي ارتباطات در شبکه را به همراه مي آورند که اين خود مي‎تواند عوارض بعدي براي فعاليت ساير تجهيزات در شبکه و يا حتي بخش عمده اي از شبکه اينترنت شود.


1-4-4 برنامه های اسب تروا ( دشمنانی در لباس دوست )

برنامه های اسب تروا ، به منزله ابزارهايی برای توزيع کد های مخرب می باشند . تروجان‎ها ، می‎توانند بی آزار بوده و يا حتی نرم‎افزاری مفيدی نظير بازی‎های کامپيوتری باشند که با تغيير قيافه و با لباسی مبدل و ظاهری مفيد خود را عرضه می نمايند. تروجان‎ها ، قادر به انجام عمليات متفاوتی نظير حذف فايل‎ها ، ارسال يک نسخه از خود به ليست آدرس‎های پست الکترونيکی ، می‎باشند. اين نوع از برنامه‎ها صرفا می‎توانند از طريق تکثير برنامه‎های اسب تروا به يک کامپيوتر،دريافت فايل از طريق اينترنت و يا باز نمودن يک فايل ضميمه همراه يک نامه الکترونيکی ، اقدام به آلودگی يک سيستم نمايند.


1-4-5 ويرانگران

در وب سايت‎های متعددی از نرم افزارهائی نظير اکتيوايکس‎ها و يا اپلت‎های جاوا استفاده می‎گردد. اين نوع برنامه ها به منطور ايجاد انيميشن و ساير افکت‎های خاص مورد استفاده قرار گرفته و جذابيت و ميزان تعامل با کاربر را افزايش می دهند . با توجه به دريافت و نصب آسان اين نوع از برنامه ها توسط کاربران ، برنامه های فوق به ابزاری مطئمن و آسان به منظور آسيب رسانی به ساير سيستم‎ها تبديل شده اند . اين نوع برنامه ها که به ويرانگران شهرت يافته اند ، به شکل يک برنامه نرم افزاری و يا اپلت ارائه و در دسترس استفاده کنندگان قرار می گيرند . برنامه های فوق ، قادر به ايجاد مشکلات متعددی برای کاربران می باشند( از بروز اشکال دريک فايل تا ايجاد اشکال در بخش اصلی يک سيستم کامپيوتری )

[GOLDEN_BOY]

1-5 تهديدات عليه امنيت شبکه

تهديدات و حملات عليه امنيت شبکه از جنبه هاي مختلف قابل بررسي هستند. از يک ديدگاه حملات به دو دسته فعال و غير فعال تقسيم مي شوند و از ديدگاه ديگر مخرب و غير مخرب و از جنبه ديگر مي‎توان براساس عامل اين حملات آن‎هارا تقسيم بندي نمود. به هرحال حملات رايج در شبکه ها بصورت ذيل مي‎باشند :
1. حمله جلوگيري از سرويس :در اين نوع حمله، کاربر ديگر نمي‎تواند از منابع و اطلاعات و ارتباطات استفاده کند. اين حمله از نوع فعال است و مي‎تواند توسط کاربر داخلي و يا خارجي صورت گيرد.
2. استراق سمع: در اين نوع حمله، مهاجم بدون اطلاع طرفين تبادل داده، اطلاعات و پيام‎ها را شنود مي کند. اين حمله غيرفعال است و مي‎تواند توسط کاربر داخلي و يا خارجي صورت گيرد.
3. تحليل ترافيک: در اين نوع حمله مهاجم براساس يکسري بسته هاي اطلاعاتي ترافيک شبکه را تحليل کرده و اطلاعات ارزشمندي را کسب مي‎کند. اين حمله يک نوع حمله غير فعال است و اکثرا توسط کاربران خارجي صورت مي گيرد.
4. دستکاري پيام‎ها و داده ها: اين حمله يک حمله فعال است که در آن مهاجم جامعيت و صحت اطلاعات را با تغييرات غير مجاز بهم مي‎زند و معمولا توسط کاربر خارجي صورت مي گيرد.
5. جعل هويت: يک نوع حمله فعال است که در آن مهاجم هويت يک فرد مجاز شبکه را جعل مي‎کند و توسط کاربران خارجي صورت مي‎گيرد.

1-6 راهكارهاي امنيتي شبكه

1-6-1 كنترل دولتي
علاوه بر بهرهگيري از امكانات فني، روش‎هاي كنترل ديگري نيز براي مهار اينترنت پيشنهاد شده است. در اين روش، سياست كلي حاكم بر كشور اجازه دسترسي به پايگاه‎هاي مخرب و ضد اخلاقي را نميدهد و دولت شبكههاي جهاني را از دروازه اتصال و ورود به كشور با فيلترهاي مخصوص كنترل ميكند.
1-6-2 كنترل سازماني
روش ديگر كنترل سازماني است كه معمولاً سازمان، اداره يا تشكيلاتي كه مسئوليت سرويسدهي و اتصال شهروندان را به اينترنت به عهده ميگيرند، خود موظف به كنترل شبكه و نظارت بر استفاده صحيح از آن ميشود تا با الزامات قانوني و اخلاقي تواماً انجام اين وظيفه را تضمين كند.

1-6-3 كنترل فردي

كنترل فردي روش ديگري است كه قابل انجام است. در اين نوع كنترل تمام تضمين‎هاي اجرايي، درون فردي است و شخص با بهرهگيري از وجدان فردي و مباني اخلاقي و تعهد ديني، مراقبت‎هاي لازم را در ارتباط با شبكههاي جهاني به عمل آورد. اين اعتقاد و فرهنگ در محدوده‎ي خانواده نيز اعمال ميشود و چه بسا اطرافيان را نيز تحت تأثير قرار دهد. البته شيوه‎ي اخير در صورتي ممكن خواه بود كه واگذاري خط اشتراك ip پس از شناسايي كامل افراد و با ملاحظه خصوصيات اخلاقي آنان انجام پذيرد. در غير اين صورت تصور اعمال چنين كنترلي از سوي تك تك افراد جامعه صرفاً در حد آرزو باقي خواهد ماند. آرزويي كه نميتواند بسياري از تأثيرات سوء اين شبكه را از بين ببرد و آن را بسوي شبكه سالم سوق دهد.
1-6-4 تقويت اينترانتها
از سوي ديگر تقويت شبكههاي داخلي كه به اينترانت معروف است ميتواند نقش بسزايي در كاهش آلودگي‎هاي فرهنگي و اطلاعاتي اينترنت بازي كند. قرار دادن اطلاعات مفيد اينترنت به صورت ناپيوسته و روي شبكههاي داخلي يا اينترانت‎ها، علاوه بر ارائة خدمات و اطلاعرساني سالم، پس از چندي، بايگاني غني و پرباري از انواع اطلاعات فراهم آمده از چهار گوشه جهان را در اختيار كاربران قرار ميدهد كه با افزايش اطلاعات داخلي و يا روزآمد كردن آن، به عنوان زيربناي اطلاعاتي كشور قابل طرح ميباشد. به هر حال سرعت بالا و هزينه كم در استفاده از اينترانت‎ها، دو عامل مورد توجه كاربران به شبكههاي داخلي است كه به نظر نميرسد محمل مناسبي براي اطلاعات گزينش شده اينترنت باشد.

1-6-5 وجود يك نظام قانونمند اينترنتي

مورد ديگر كه كارشناسان از آن به عنوان پادزهر آسيب‎هاي اينترنتي از قبيل تهاجم فرهنگي، اطلاعات نادرست و يا پيامدهاي ضد اخلاقي نام ميبرند، وجود يك نظام قانونمند اينترنتي در جامعه است كه ادارة آن از سوي يك متولي قدرتمند و كاردان ميتواند اينترنت سركش و افسار گسيخته را مهار كند و از آن به نحو شايسته بهرهبرداري نمايد. اين نظام اگر با يك نظام حقوقي و دادرسي جامع و عميق توام باشد، موارد تخلف و سوءاستفاده از اين ابزار به راحتي قابل تشخيص و پيگيري قضايي خواهد بود. در اين صورت امكان سوءاستفاده و تاثيرپذيري از فرهنگ‎هاي بيگانه كه عموماً مغاير با اصول اخلاقي ماست، به طرز چشمگيري كاهش مييابد.
1-6-6 تكنيك هاي امنيت شبكه
سرويس هاي امنيتي عبارتند از :
1. حفظ محرمانگي: يعني کاربران خاصي از داده بتوانند استفاده کنند.
2. حفظ جامعيت داده: يعني داده ها بدرستي در مقصد دريافت شوند.
3. احراز هويت: يعني گيرنده از هويت فرستنده آگاه شود.
4. کنترل دستيابي مجاز: يعني فقط کاربران مجاز بتوانند به داده ها دستيابي داشته باشند.
5. عدم انکار: يعني فرستنده نتواند ارسال پيام توسط خودش را انکار کند.
مکانيزم هاي امنيتي عبارتند از :
1. رمز نگاري که در آن با استفاده از کليد خصوصي يا عمومي و با استفاده از الگوريتم هاي پيچيده پيام بصورت رمز درآمده و در مقصد رمزگشايي مي شود.
2. فايروال: امکاناتي است که مي‎تواند بصورت سخت افزاري يا نرم افزاري در لبه هاي شبکه قرار گيرد و سرويس هاي کنترل دستيابي ، ثبت رويداد ، احراز هويت و ... را انجام دهد.
3. شبكه خصوصي مجازي :بهره مندي از شبکه عمومي براي اتصال دو يا چند شبکه خصوصي است.
4. سيستم تشخيص نفوذ ‎: که در لايه بعد از فايروال مي تواند امنيت را تقويت کند و نفوذ مهاجمين رابر اساس تحليل هاي خاص تشخيص مي دهد.
5. سيستم جلوگيري از نفوذ ‎: که پس از تشخيص نفوذ مي تواند به ارتباطات غيرمجاز ومشکوک بصورت يک طرفه پايان دهد.
6. آنتي ويروس : که مي تواند با تشخيص محتواي فايل، فايل هاي آلوده را بلوکه کند.
7. سرورهاي AAA: براي احراز هويت، کنترل و نظارت بر دسترسي کاربران داخلي و خارجي استفاده مي شوند.
8. ‎:Honeypot يک منبع سيستم اطلاعاتی می باشد که بر روی خود اطلاعات کاذب وغير واقعی دارد وبا استفاده از ارزش واطلاعات کاذب خود سعی در کشف وجمع آوری اطلاعات و فعاليت های غيرمجاز و غير قانونی بر روی شبکه میکند.
9. NAT :روي دستگاهي كه به اينترنت وصل شده فعال مي شود و ايستگاههاي كاري و به طور كلي شبكه را از ديد اينترنت پنهان مي دارد.
10. دستور :Netstat که با تايپ اين دستور آيپي سيستم‎ها و پورت‎هايي که با آن‎ها در ارتباط است مشاهده مي‎شود و همچنين مشاهده مي‎شود که چه پورت‎هايي Listening و يا Established هستند.
11. پراکسی سرور :یک پراکسی سرور ترکیبی از سختافزار و نرمافزار است که به عنوان یک واسطه بین کاربر داخلی و اینترنت عمل میکند به طوریکه امنیت، نظارت مدیریتی و سرویسهای caching تامین میشود.
12. پروتکل SSL: در واقع يکي از پروتکلهاي انتقال اطلاعات روي وب است كه براي انتقال پرونده‎هاي خصوصي روي اينترنت بوجود آمده است تا اطلاعات انتقالي در اينترنت را پنهان كند.
13. ) پروتکل IPSec: یک پروتکل امنیتی در لایه شبکه مي‎باشد كه خدمات امنیتی رمزنگاری را تامین مي‎کند.
اينك هر يك از اين راه‎كارها را به تفضيل شرح مي‎دهيم.

[GOLDEN_BOY]

2-1 آشنايي با فايروال

با توجه به رشد روز افزون حملات مخرب شبکه ای، رعایت موارد امنیتی برای تک تک کاربران اینترنت لازم و ضروری به نظر می رسد. استفاده از نرم افزارهايی که به سادگی و حتی با کمترین میزان اطلاعات و توسط کاربران آماتور، می توانند موجب پدید آمدن اختلالات فراوان در شبکه و سیستم‎های شخصی شوند، نگرانی های بسیار جدی را بوجود می آورد.
همانطور که می دانیم در طراحی سیستم عامل ويندوز ايكس پي، امکاناتی جهت پیشگیری از این نوع حملات پیش بینی شده است و موجبات پدید آمدن اطمینان خاطر نسبی کاربر در هنگام استفاده از شبکه بوجود آمده است. ولیکن در کنار سیستم عامل فوق، نرم افزارهایی با عنوان عمومی فايروال جهت جلوگیری از تهاجم های احتمالی مخربین شبکه مورد استفاده قرار می گیرند که خوشبختانه قابلیت نصب بر روی اکثر سیستم ها را نیز دارا می باشند.
بهره جویی از این شیوه نه تنها عامل مؤثری برای حفاظت از سرویس دهندگان گوناگون اینترنت می‎باشد، بلکه کاربران معمولی را نیز در حفظ و نگهداری از سیستم های شخصی یاری می‎دهد.
يك فايروال از شبكه شما در برابر ترافيك ناخواسته و همچنين نفوذ ديگران به كامپيوتر شما حفاظت ميكند. توابع اوليه يك فايروال به اين صورت هستند كه اجازه مي دهند ترافيك خوب عبور كند و ترافيك بد را مسدود مي كنند! مهمترين قسمت يك فايروال ويژگي كنترل دستيابي آن است كه بين ترافيك خوب و بد تمايز قائل ميشود. در صورت دستيابی سايرين به سيستم شما ، کامپيوتر شما دارای استعداد بمراتب بيشتری در مقابل انواع تهاجمات میباشد. شما میتوانيد با استفاده و نصب يک فايروال، محدوديت لازم در خصوص دستيابی به کامپيوتر و اطلاعات را فراهم نماييد .
فايروالها حفاظت لازم در مقابل مهاجمان خارجی را ايجاد و يک لايه و يا پوسته حفاظتی پيرامون کامپيوتر و يا شبکه را در مقابل کدهای مخرب و يا ترافيک غيرضروری اينترنت ، ارايه می نمايند . با بکارگيری فايروالها ، امکان بلاک نمودن داده از مکانی خاص فراهم میگردد . امکانات ارايه شده توسط يک فايروال برای کاربرانی که همواره به اينترنت متصل و از امکاناتی نظير DSL و يا مودمهای کابلی استفاده مینمايند ، بسيار حياتی و مهم میباشد.
وقتي آن را نصب ميكنيد فايروال بين كامپيوتر شما و اينترنت قرار ميگيرد. فايروال به شما اجازه ميدهد صفحات وب را ببينيد و به آنها دسترسي داشته باشيد، فايل دانلود كنيد، چت كنيد و ... . در حاليكه مطمئن هستيد افراد ديگري كه در اينترنت مشغول هستند نميتوانند به كامپيوتر شما دست درازي كنند. بعضي از فايروالها نرمافزارهايي هستند كه روي كامپيوتر اجرا ميشوند اما فايروالهاي ديگر به صورت سختافزاري ساخته شده اند و كل شبكه را از حمله مصون مي كنند.
يك فايروال از شما در مقابل چه چيزهايي حمايت مي كند؟
1. اتصال غير مجاز يك فرد به سيستم شما و استفاده از فايلهاي شما
2. ارسال برنامههاي مضر از طريق ايميل
3. عدم سرويس دهي در هنگام يك حمله
4. بعضي افراد بيش از هزاران ميل را براي شما ارسال مي كند كه در اين صورت از پذيرش آنها برنامه صرفنظر مي كند.
5. ارسال يكسري برنامه مخرب يا اسكريپت
6. ورود ويروس از طريق بعضي برنامه هااز طريق اينترنت
7. يك هكر ممكن از طريق ارسال بسته هاي مختلف يكسري اطلاعات را از شما بگيرد كه در صورت تشخيص توسط برنامه از ارايه سرويس خوداري مي شود.
8. بدليل جلوگيري از سوء استفاده هكرها از بعضي اطلاعات برنامه اطلاعات اوليه را حذف مي‎كند.
در واقع يك فايروال موجب جلوگيري از ورود و خروج يكسري اطلاعات خاص مي شود.
مدل‎هاي OSI , TCP/IP چيستند؟ دانستن اين كه يك فايروال چگونه كار مي كند به شما كمك مي‎كند كه روابط لايه هاي شبكه را بهتر متوجه شويد طراحان شبكه يك ساختار هفت لايه اي براي شبكه تعيين كرده اند كه هر لايه مسئوليت خاص خود را دارا مي باشد اين لايه ها شبكه را قادر مي‎سازند كه پروتكل‎هاي شبكه را با لايه هاي سخت افزاري همگام كنند در يك شبكه معين يك پروتكل تا لايه بالايي سخت افزار بيشتر نمي تواند وارد شود زيرا لايه سخت افزار جداي از لايه پروتكل مي باشد به همين صورت كه يك كابل فيزيكي نمي تواند بيشتر از لايه يك حركت كند TCP /IP قديمي تر از مدل OSI است اما استاندارد اين دو شبيه به هم نيست درTCP /IP چهار لايه اول دقيقا مطابق مدل OSI هستند فايروال‎ها در لايه هاي مختلف فعاليت مي كنند تا بتوانند از ضوابط مختلفي براي مصدور كردن ترافيك استفاده كنند پايين ترين لايه اي كه فايروال‎ها در آن كار مي كنند لايه سوم است كه در مدل OSI لايه شبكه و در TCP /IP لايه IP مي باشد كار اين لايه مسير يابي و ارسال بسته ها به مقصد مي‎باشد در اين لايه فايروال مي‎تواند تشخيص دهد كه بسته از چه مبداي آمده است اما نمي‎تواند محتويات بسته و يا اينكه بسته به چه بسته هاي ديگري وابسته است را مشخص كند فايروال در لايه انتقال راجع به بسته كمي بيشتر اطلاعات دارد و قادر است كه اجازه يا عدم اجازه دسترسي با قوانين و ضوابط در سطوح بالاتري را صادر كند در لايه نرم افزار فايروال قدرت بسيار زيادي در صدور مجوز ها براي بسته ها دارد و مشكل وقتي پديدار مي شود كه تابع فايروال در داخل شبكه در سطح بالاتري نسبت به لايه برنامه ها قرار گيرد كه اين هيچ الزامي ندارد و كاركردن فايروال در سطوح پاييني شبكه باعث امنيت بيشتر آن مي شود اگر يك نفوذ گر نتواند سه مرحله قبل را متعلق به دخود كند مسلما نمي تواند كنترل سيستم عامل را در دست بگيرد فايروال‎هاي جديد و پيشرفته كل ترافيك شبكه را در خود ذخيره كرده و اجازه نمي‎دهند كه آنها مستقيما به شبكه TCP / IP دسترسي پيدا كنند و اين كار را براي يك نفوذ گر جهت نفوذ به سيستم و باز كردن درب پشتي براي نفوذ بعدي مشكل مي نمايد.
فايروال دستگاهي است در درون شبکه يک شرکت قرار مي گيرد و شبکه را از محيط اينترنت و يا دسترسي هاي بيروني ايزوله مي کند. فايروال با کنترل دسترسي ها به شبکه، به برخي از درخواستها اجازه ورود به شبکه را داده و مانع ورود برخي ديگر درخواستها مي شود. معمولآ برنامه ريزي و سياستگذاري يک فايروال اينگونه است که کليه دسترسي ها از بيرون به داخل شبکه شرکت از محيطي عبور مي کند که کاملآ در حال کنترل و مونيتور کردن است. اين موضوع دقيقآ همانند قسمتي است که شما هنگام ورود به يک ساختمان مهم بايد از آن عبور کنيد که در آن نيروهاي امنيتي شما را بازرسي بدني مي کنند و يا شما را از X-Ray عبور مي دهند.
اما از آنجايي که فايروال‎ها اغلب به دليل انجام تنظيمات نادرست خوب عمل نمي کنند، امروزه بسياري از مديران شرکت ها به آنها اعتماد ندارند و عملکرد مثبت آنها به هنگام بروز خطر يا حمله يک هکر را پنجاه پنجاه مي دانند. بعنوان مثال همانطور که مي دانيد يکي از مهمترين منابع حملات شبکه اي از ناحيه کارکنان ناراضي شرکت ها است، اين در حالي است که فايروال ها معمولآ طوري تنظيم مي شوند که مراقبت شبکه را از تهديدهاي بيروني به عهده بگيرند.
بنابراين يکي از مهمترين مواردي که مديران يک سازمان بايد آنرا خوب درک کنند آن است که بدانند فايروالي که در شبکه شرکت نصب شده است چه محدوده اي راه پوشش امنيتي مي دهد. همچنين مديران شرکت ها بايد بدانند که فايروال دستگاهي است که در کنار ساير سيستم هاي امنيتي داخلي و خارجي مي تواند بر استحکام امنيتي شبکه شما بيفزايد.
در اين حالت وب سرور در درون شبکه قرار دارد و امنيت شبکه بطور کامل توسط فايروال کنترل مي‎شود اما ضعف وب سرور مي تواند محل نفوذ هکرها باشد. يک مثال کاربردي
بسياري از شرکت هاي امروز داراي وب سرور هايي هستند که اطلاعات مورد نظر خود را از طريق آن در اختيار کارکنان و يا مشتريان خود قرار ميدهند. چنانچه شبکه شما از نعمت وجود يک فايروال برخوردار باشد بنظر شما وب سرور را بايد در کجاي شبکه قرار داد.
1. بيرون فايروال:انتخاب اول آن است که وب سرور را خارج از فايروال قرار دهيد. در اين حالت بنظر مي رسد که شما سرور خود را مستقيمآ بدون هيچ سيستم امنيتي روي اينترنت قرار داده ايد. اين محل براي وب سرور شما خطرناک است اما شايد تعجب کنيد اگر بدانيد که مي تواند مفيد هم باشد. چرا؟ در اين حالت چنانچه يکي از سارقين يا هکرهاي اينترنتي بتواند از ضعف وب سرور شما استفاده کند و بخواهد وارد شبکه شما شود با ديواري بنام فايروال برخورد مي کند. اما دقت کنيد که اين حالت براي شبکه شما امنيت بيشتري دارد.
2. درون فايروال و تحت حمايت آن:در اين حالت شما وب سرور شرکت را در درون محدوده امنيتي فايروال يعني شبکه شرکت قرار داده ايد. لذا بايد به فايروال بگوييد که براي درخواست کنندگان سرويس وب، پروتکل HTTP را اجازه عبور دهد و نه چيز ديگر. در اين حالت وب سرور شما قاعدتآ بايد فقط به سرويس هاي درخواست صفحات وب پاسخ بدهد اما چنانچه هکري بتواند به نحوي به داخل اين سرور رسوخ کند، به احتمال زياد خواهد توانست از طريق پورت هاي مختلف وب سرور شما به قسمت هاي مختلف شبکه دسترسي پيدا کند. بخصوص اگر وب سرور شما براي اجراي برنامه ها مانند برنامه هاي CGI آماده باشد. در اينجا ترکيبي از دو حالت قبل را داريم و شبکه و وب سرور در محدوده کنترل امنيتي دو فايروال قرار دارند.
3. ميان دو فايروال:اين حالت ترکيبي است از دو موردي که تا کنون راجع به آن صحبت کرديم. در اين حالت هم شبکه و هم وب سرور از امنيت لازم که توسط فايروال‎ها بوجود مي آيد بهره خواهند برد.
فايروال سيستمى است بين كاربران يك شبكه محلى و يك شبكه بيرونى )مثل اينترنت) كه ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد. بر خلاف تصور عموم كاربرى اين نرم افزارها صرفاً در جهت فيلترينگ سايت ها نيست.
در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبكه وارد فايروال مى‎شوند و منتظر مى مانند تا طبق معيارهاى امنيتى خاصى پردازش شوند. حاصل اين پردازش احتمال وقوع سه حالت است:
• اجازه عبور بسته صادر مى شود.
• بسته حذف مى شود.
• بسته حذف مى شود و پيام مناسبى به مبدا ارسال بسته فرستاده مى شود.
2-2 ساختار و عملكرد
با اين توضيح، فايروال محلى است براى ايست بازرسى بسته هاى اطلاعاتى به گونه اى كه بسته‎ها براساس تابعى از قواعد امنيتى و حفاظتى پردازش شده و براى آنها مجوز عبور يا عدم عبور صادر شود. همانطور كه همه جا ايست بازرسى اعصاب خردكن و وقت گير است فايروال نيز مى‎تواند به عنوان يك گلوگاه باعث بالا رفتن ترافيك، تاخير، ازدحام و بن بست شود. از آنجا كه معمارى TCP/IP به صورت لايه لايه است (شامل 4 لايه: فيزيكى، شبكه، انتقال و كاربردى) و هر بسته براى ارسال يا دريافت بايد از هر 4 لايه عبور كند بنابراين براى حفاظت بايد فيلدهاى مربوطه در هر لايه مورد بررسى قرار گيرند. بيشترين اهميت در لايه هاى شبكه، انتقال و كاربرد است چون فيلد مربوط به لايه فيزيكى منحصر به فرد نيست و در طول مسير عوض مى شود. پس به يك فايروال چند لايه نياز داريم. سياست امنيتى يك شبكه مجموعه اى از قواعد حفاظتى است كه بنابر ماهيت شبكه در يكى از سه لايه فايروال تعريف مى شوند. كارهايى كه در هر لايه از فايروال انجام مى شود عبارت است از: تعيين بسته هاى ممنوع (سياه) و حذف آنها يا ارسال آنها به سيستم هاى مخصوص رديابى (لايه اول فايروال) ، بستن برخى از پورت ها متعلق به برخى سرويس ها مثلTelnet، FTP و... (لايه دوم فايروال) ، تحليل برآيند متن يك صفحه وب يا نامه الكترونيكى يا .... (لايه سوم فايروال).
• در لايه اول فيلدهاى سرآيند بسته IP مورد تحليل قرار مى گيرد: آدرس مبدأ: برخى از ماشين‎هاى داخل يا خارج شبكه حق ارسال بسته را ندارند، بنابراين بسته‎هاى آنها به محض ورود به فايروال حذف مى شود. آدرس مقصد: برخى از ماشين هاى داخل يا خارج شبكه حق دريافت بسته را ندارند، بنابراين بسته هاى آنها به محض ورود به فايروال حذف مى‎شود. IP آدرس هاى غيرمجاز و مجاز براى ارسال و دريافت توسط مدير مشخص مى‎شود. شماره شناسايى يك ديتا گرام تكه تكه شده: بسته‎هايى كه تكه تكه شده اند يا متعلق به يك ديتا گرام خاص هستند حذف مى شوند. زمان حيات بسته: بسته هايى كه بيش از تعداد مشخصى مسيرياب را طى كرده اند حذف مى شوند. بقيه فيلدها: براساس صلاحديد مدير فايروال قابل بررسى‎اند. بهترين خصوصيت لايه اول سادگى و سرعت آن است چرا كه در اين لايه بسته ها به صورت مستقل از هم بررسى مى شوند و نيازى به بررسى لايه هاى قبلى و بعدى نيست. به همين دليل امروزه مسيرياب هايى با قابليت انجام وظايف لايه اول فايروال عرضه شده اند كه با دريافت بسته آنها را غربال كرده و به بسته هاى غيرمجاز اجازه عبور نمى دهند. با توجه به سرعت اين لايه هر چه قوانين سختگيرانه ترى براى عبور بسته ها از اين لايه وضع شود بسته هاى مشكوك بيشترى حذف مى شوند و حجم پردازش كمترى به لايه هاى بالاتر اعمال مى شود.
• در لايه دوم فيلدهاى سرآيند لايه انتقال بررسى مى شوند: شماره پورت پروسه مبدأ و مقصد: با توجه به اين مسئله كه شماره پورت هاى استاندارد شناخته شده اند ممكن است مدير فايروال بخواهد مثلاً سرويس FTP فقط براى كاربران داخل شبكه وجود داشته باشد بنابراين فايروال بسته‎هاى TCP با شماره پورت ?? و ?? كه قصد ورود يا خروج از شبكه را داشته باشند حذف مى كند و يا پورت ?? كه مخصوص Telnet است اغلب بسته است. يعنى بسته هايى كه پورت مقصدشان ?? است حذف مى شوند. كدهاى كنترلى: فايروال با بررسى اين كدها به ماهيت بسته پى مى برد و سياست هاى لازم براى حفاظت را اعمال مى كند. مثلاً ممكن است فايروال طورى تنظيم شده باشد كه بسته هاى ورودى با SYN=1 را حذف كند. بنابراين هيچ ارتباط TCP از بيرون با شبكه برقرار نمى شود. فيلد شماره ترتيب و تصدیق: بنابر قواعد تعريف شده توسط مدير شبكه قابل بررسى اند. در اين لايه فايروال با بررسى تقاضاى ارتباط با لايه TCP، تقاضاهاى غيرمجاز را حذف مى كند. در اين مرحله فايروال نياز به جدولى از شماره پورت هاى غيرمجاز دارد. هر چه قوانين سخت گيرانه ترى براى عبور بسته ها از اين لايه وضع شود و پورت هاى بيشترى بسته شوند بسته هاى مشكوك بيشترى حذف مى شوند و حجم پردازش كمترى به لايه سوم اعمال مى شود.
• در لايه سوم حفاظت براساس نوع سرويس و برنامه كاربردى صورت مى گيرد: در اين لايه براى هر برنامه كاربردى يك سرى پردازش هاى مجزا صورت مى گيرد. بنابراين در اين مرحله حجم پردازش‎ها زياد است. مثلاً فرض كنيد برخى از اطلاعات پست الكترونيكى شما محرمانه است و شما نگران فاش شدن آنها هستيد. در اينجا فايروال به كمك شما مى آيد و برخى آدرس‎هاى الكترونيكى مشكوك را بلوكه مى كند، در متون نامه ها به دنبال برخى كلمات حساس مى گردد و متون رمزگذارى شده اى كه نتواند ترجمه كند را حذف مى كند. يا مى خواهيد صفحاتى كه در آنها كلمات كليدى ناخوشايند شما هست را حذف كند و اجازه دريافت اين صفحات به شما يا شبكه شما را ندهد.

[GOLDEN_BOY]

انواع فايروال‎ها

فايروال‎ها به دو شکل سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ، ارايه می شوند. با اينکه هر يک از مدل های فوق دارای مزايا و معايب خاص خود می باشند ، تصميم در خصوص استفاده از يک فايروال بمراتب مهمتر از تصميم در خصوص نوع فايروال است .

2-3-1 فايروال های سخت افزاری

اين نوع از فايروال ها که به آنان فايروال های شبکه نيز گفته می شود ، بين کامپيوتر شما (و يا شبکه) و کابل و يا خط DSL قرار خواهند گرفت . تعداد زيادی از توليد کنندگان و برخی از مراکز ISP دستگاه‎هايی با نام روتر را ارايه می‎دهند که دارای يک فايروال نيز می‎باشند . فايروال‎های سختافزاری در مواردی نظير حفاظت چندين کامپيوتر مفيد بوده و يک سطح مناسب حفاظتی را ارايه می نمايند( امکان استفاده از آنان به منظور حفاظت يک دستگاه کامپيوتر نيز وجود خواهد داشت ) . در صورتی که شما صرفا دارای يک کامپيوتر پشت فايروال میباشيد و يا اين اطمينان را داريد که ساير کامپيوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ويروس ها و يا کرمها میباشند ، ضرورتی به استفاده از يک سطح اضافه حفاظتی (يک نرم افزار فايروال ) نخواهيد داشت . فايروالهای سختافزاری ، دستگاههای سختافزاری مجزايی میباشند که دارای سيستم عامل اختصاصی خود میباشد . بنابراين بکارگيری آنان باعث ايجاد يک لايه دفاعی اضافه در مقابل تهاجمات میگردد .
2-3-2 فايروال های نرم افزاری

فايروالهاي نرمافزاري برنامههايي هستند كه خود را بين درايو كارت شبكه (يا مودم) و كامپيوتر شما قرار مي دهند. آنها حملات را قبل از اينكه حتي سيستم شما آن را تأييد كند قطع مي كنند
برخی از سيستمهای عامل دارای يک فايروال تعبيه شده درون خود میباشند . در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای ويژگی فوق میباشد ، پيشنهاد میگردد که آن را فعال نموده تا يک سطح حفاظتی اضافی در خصوص ايمن سازی کامپيوتر و اطلاعات ، ايجاد گردد .(حتی اگر از يک فايروال خارجی يا سختافزاری استفاده مینماييد). در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای يک فايروال تعيبه شده نمیباشد ، میتوان اقدام به تهيه يک فايروال نرمافزاری کرد . با توجه به عدم اطمينان لازم در خصوص دريافت نرم افزار از اينترنت با استفاده از يک کامپيوتر محافظت نشده ، پيشنهاد میگردد برای نصب فايروال از CD و يا DVD مربوطه استفاده گردد .
2-3-3 فايروال NAT ساده

فايروالهايي كه براي broadband router ها ساخته شدهاند و نرمافزارهايي مانند Microsoft ICS فايروالهاي بسيار سادهاي هستند. و اين فايروالها شبكه را با جلوگيري از ارتباط مستقيم هر كامپيوتر با كامپيوترهاي ديگر شبكه محافظت ميكنند. اين نوع فايروالها تقريباً هر نوع هكري را متوقف ميكنند. هكرهاي حرفه اي ممكن است بتوانند از اين فايروالها عبور كنند اما تعداد چنين اشخاصي كم و احتمال آن ضعيف است.
2-3-4 فايروال‎هاي هوشمند

امروزه حملات هكرها تكنيكى و هوشمند شده است به نحوى كه با فايروال و فيلترهاى معمولى كه مشخصاتشان براى همه روشن است نمى توان با آنها مقابله كرد. بنابراين بايد با استفاده از فايروال‎ها و فيلترهاى هوشمند با آنها مواجه شد. از آنجا كه فايروال‎ها با استفاده از حذف بسته ها و بستن پورت‎هاى حساس از شبكه محافظت مى كنند و چون فايروالها بخشى از ترافيك بسته ها را به داخل شبكه هدايت مى كنند، (چرا كه در غير اين صورت ارتباط ما با دنياى خارج از شبكه قطع مى شود)، بنابراين هكرها مى توانند با استفاده از بسته‎‎هاى مصنوعى مجاز و شناسايى پورت هاى باز به شبكه حمله كنند. بر همين اساس هكرها ابتدا بسته هايى ظاهراً مجاز را به سمت شبكه ارسال مى كنند. يك فيلتر معمولى اجازه عبور بسته را مى دهد و كامپيوتر هدف نيز چون انتظار دريافت اين بسته را نداشته به آن پاسخ لازم را مى دهد. بنابراين هكر نيز بدين وسيله از باز بودن پورت مورد نظر و فعال بودن كامپيوتر هدف اطمينان حاصل مى كند. براى جلوگيرى از آن نوع نفوذها فايروال بايد به آن بسته‎هايى اجازه عبور دهد كه با درخواست قبلى ارسال شده اند. حال با داشتن فايروالى كه بتواند ترافيك خروجى شبكه را براى چند ثانيه در حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد مى توانيم از دريافت بسته هاى بدون درخواست جلوگيرى كنيم. مشكل اين فيلترها زمان پردازش و حافظه بالايى است كه نياز دارند. اما در عوض ضريب اطمينان امنيت شبكه را افزايش مى دهند.

[GOLDEN_BOY]

فايروال‎هاي مبتنى بر پروكسى

فايروال‎هاي هوشمند فقط نقش ايست بازرسى را ايفا مى كنند و با ايجاد ارتباط بين كامپيوترهاى داخل و خارج شبكه كارى از پيش نمى برد. اما فايروال‎هاي مبتنى بر پروكسى پس از ايجاد ارتباط فعاليت خود را آغاز مى كند. در اين هنگام فايروال‎هاي مبتنى بر پروكسى مانند يك واسطه عمل مى‎كند، به نحوى كه ارتباط بين طرفين به صورت غيرمستقيم صورت مى گيرد. اين فايروال‎ها در لايه سوم عمل مى كنند، بنابراين مى‎توانند بر داده هاى ارسالى در لايه كاربرد نيز نظارت داشته باشند. فايروال‎هاي مبتنى بر پروكسى باعث ايجاد دو ارتباط مى شود: ارتباط بين مبدا و پروكسى و ارتباط بين پروكسى و مقصد. حال اگر هكر بخواهد ماشين هدف در داخل شبكه را مورد ارزيابى قرار دهد در حقيقت پروكسى را مورد ارزيابى قرار داده است و نمى تواند از داخل شبكه اطلاعات مهمى به دست آورد. فايروال‎هاي مبتنى بر پروكسى به حافظه بالا و پردازنده مركزي بسيار سريع نياز دارند و از آنجايى كه فايروال‎هاي مبتنى بر پروكسى بايد تمام نشست ها را مديريت كنند گلوگاه شبكه محسوب مى شوند. پس هرگونه اشكال در آنها باعث ايجاد اختلال در شبكه مى شود. اما بهترين پيشنهاد براى شبكه هاى كامپيوترى استفاده همزمان از هر دو نوع فايروال‎ است. با استفاده از پروكسى به تنهايى بارترافيكى زيادى بر پروكسى وارد مى‎شود. با استفاده از فايروال‎هاي هوشمند نيز همانگونه كه قبلاً تشريح شد به تنهايى باعث ايجاد فايروال‎ نامطمئن خواهد شد. اما با استفاده از هر دو نوع فايروال‎ به صورت همزمان هم بار ترافيكى پروكسى با حذف بسته هاى مشكوك توسط فايروال‎ هوشمند كاهش پيدا مى كند و هم با ايجاد ارتباط واسط توسط پروكسى از خطرات احتمالى پس از ايجاد ارتباط جلوگيرى مى شود.


وظايف فايروال


اولين و در عين حال مهم ترين وظيفه يک فايروال ، جداسازی شبکه داخلی يک سازمان از اينترنت است. يکی از فناوریهای موجود که ما را در جهت نيل به خواسته فوق کمک مینمايد ، جداول nat می باشند ( nat ، همچنين کمک لازم در جهت حل معضل کمبود آدرس های ip را ارايه می نمايد ) . مهمترين ايده مطرح شده توسط nat ، عدم دستيابی به اکثر کامپيوترهای موجود در يک شبکه خصوصی از طريق اينترنت است . يکی از روش های نيل به خواسته فوق ، استفاده از آدرس های ip غيرمعتبر می باشد .
در اکثر موارد بکارگيری nat ، صرفا آدرس ip معتبر به فايروال نسبت داده میشود و تمامی کامپيوترهايی که مسئوليت حفاظت از آنان به فايروال واگذار شده است ، از آدرس های ip که صرفا بر روی شبکه داخلی معتبر می باشد ، استفاده می نمايند . با تبعيت از چنين رويکردی ، زمانی که يک کامپيوتر موجود در شبکه داخلی نيازمند برقراری ارتباط با دنيای خارج است ، اقدام به ارسال درخواست خود برای فايروال مینمايد. در ادامه فايروال به نمايندگی از کامپيوتر متقاضی ، درخواست مورد نظر را ارسال می نمايد . در زمان مراجعت درخواست ارسالی ، پاسخ مربوطه به فايروال رسيده و در نهايت ، فايروال آن را برای کامپيوتر موجود در شبکه داخلی ارسال می نمايد.

فرض کنيد ، کاربری قصد داشته باشد که يک وب سايت خاص را از طريق کامپيوتر موجود بر روی يک شبکه داخلی ملاقات نمايد. پس از درج آدرس وب سايت مورد نظر در بخش آدرس برنامه مرورگر، درخواست وی به يک درخواست http ترجمه شده و برای فايروال ارسال می گردد . در ادامه ، فايروال از آدرس ip مختص به خود در ارتباط با درخواست http و به نمايندگی از کاربر ارسال کننده درخواست ، استفاده می نمايد . پس از پاسخ به درخواست ، پاسخ مربوطه برای فايروال ارسال شده و در نهايت فايروال آن را برای کاربر مربوطه ارسال می نمايد .

[GOLDEN_BOY]

فيلترينگ پورت‎ها

فيلترينگ پورت ها از جمله مهمترين عملياتی است که توسط فايروال ها انجام می شود و شايد به همين دليل باشد که اکثر مردم بر اين اعتقاد هستند که فايروال ها صرفا به همين دليل خاص طراحی و پياده سازی شده اند و اغلب ، آنان را به عنوان ابزاری در جهت فيلترينگ پورت ها تصور می نمايند . همانگونه که می دانيد ، مبادلات اطلاعات مبتنی بر پروتکل TCP/IP با استفاده و محوريت پورتها انجام می گردد . در اين رابطه 65،535 پورت TCP و به همين اندازه پورت UDP جداگانه وجود دارد که می توان از آنان به منظور مبادله اطلاعات استفاده نمود .
به منظور آشنايی با جايگاه پورت ها و نقش آنان در مبادله اطلاعات در پروتکل TCP/IP ، می‎توان آنان را نظير ايستگاه های راديويی تصور نمود . فرض کنيد TCP به عنوان موج FM و UDP به عنوان موج AM باشد . در چنين وضعيتی ، می توان يک پورت در پروتکل TCP/IP را همانند يک ايستگاه راديويی تصور نمود . همانگونه که يک ايستگاه راديويی با اهداف خاصی طراحی شده است ، پورت های TCP و UDP نيز چنين وضعيتـی را داشته و با اهداف خاصی طراحی شده اند. يکی از مهمترين دلايل ضرورت استفاده از فايروال ها و فيلترينگ پورت ها ، استفاده غيرمتعارف از پورت ها به منظور نيل به اهدافی ديگر است . مثلا پورت 21 مربوط به پروتکل TCP بطور سنتی به منظور FTP استفاده می‎گردد و مهاجمان می توانند از پورت فوق و با استفاده از برنامه‎هايی نظير Telnet سوء استفاده نمايند ( با اين که پورت فوق به منظور استفاده توسط برنامه Telnet طراحی نشده است ) .
پويش پورت ها و آگاهی از پورت های باز ، از جمله روش های متداولی است که توسط مهاجمان و به منظور يافتن يک نقطه ورود مناسب به يک سيستم و يا شبکه کامپيوتری ، مورد استفاده قرار می گيرد . مهاجمان پس از آگاهی از پورت های باز ، با بکارگيری برنامه هايی نظير Telnet زمينه ورود غير مجاز به يک سيستم را برای خود فراهم می نمايند .
وضعيت فوق و تهديدات امنيتی مرتبط با آن ، ضرورت فيلترينگ پورت ها را به خوبی نشان می‎دهد . با فيلترينگ پورت ها ، اين اطمينان ايجاد خواهد شد که هيچ چيزی نمی تواند از طريق يک پورت باز ارسال گردد مگر پروتکلهايی که توسط مديريت شبکه به آنان اجازه داده شده است. مثلا در صورتی که فيلترينگ پورت بر روی پورت 21 مربوط به پروتکل TCP اعمال گردد، صرفا به مبادلات اطلاعات مبتنی بر FTP اجازه داده خواهد شد که از اين پورت استفاده نمايند و مبادله اطلاعات به کمک ساير پروتکل ها و بکارگيری پورت فوق ، امکان پذير نخواهد بود .

محدوده عملياتی فيلترينگ پورتها می تواند از موارد اشاره شده نيز تجاوز نموده و در سطح هدر يک بسته اطلاعاتی و حتی محتويات آن نيز تعميم يابد . در چنين مواردی ، هدر بسته اطلاعاتی بررسی و با مشاهده اطلاعاتی نظير آدرس مبداء ، مقصد ، شماره پورت و ساير موارد ديگر در رابطه با آن اتخاذ تصميم می گردد . مشکل موجود در اين رابطه به وجود اطلاعات جعلی و يا نادرست در هدر بسته های اطلاعاتی برمی گردد . مثلا فرستنده می تواند آدرس های IP و ساير اطلاعات ذخيره شده در هدر بسته‎های اطلاعاتی را جعل نمايد . به منظور غلبه بر مشکل فوق ، نوع ديگری از فيلترينگ که برخی فايروال‎ها به آن stateful packet inspections و يا فيلترينگ پويای بسته های اطلاعاتی می گويند ، ايجاد شده است . در مدل فوق ، در مقابل بررسی هدر بسته های اطلاعاتی ، محتويات آنان مورد بازبينی قرار می گيرد . بديهی است با آگاهی از اين موضوع که چه چيزی در بسته اطلاعاتی موجود است ، فايروال ها بهتر می توانند در رابطه با ارسال و يا عدم ارسال آن برای يک شبکه داخلی تصميم گيری نمايند .


2-4-2 فورواردينگ پورت ها

فورواردينگ پورت نيز بر اساس همين مفاهيم مطرح و در سازمان هايی که در ارتباط با NAT می باشند، کارساز خواهد بود .
برای آشنايی با مفهوم فورواردينگ پورت ها ، يک مثال نمونه را بررسی می نماييم .
فرض کنيد ، سازمانی دارای يک سرويس دهنده وب است که از آدرس )IP: 192.168.0.12 يک آدرس معتبر نمی باشد ولی فرض کنيد که چنين واقعيتی وجود ندارد ) استفاده می نمايد و می‎بايست امکان دستيابی عمومی به آن فراهم گردد . در صورتی که سرويس دهنده وب فوق تنها سرويس دهنده موجود در سازمان است که میبايست امکان دستيابی عمومی به آن فراهم گردد ، می بايست يک قانون فيلترينگ بسته های اطلاعاتی در سطح فايروال تعريف گردد که تمامی درخواست های HTTP بر روی پورت 80 و به مقصد هر آدرس موجود در شبکه بجزء آدرس IP:192.168.0.12 ، بلاک گردد . پس از تعريف قانون فوق ، در صورتی که کاربری يک درخواست HTTP را برای آدرس های ديگری ارسال نمايد ، با پيامی مبنی بر اين که وب سايت درخواستی وجود ندارد ، مواجه خواهد شد .
در مثال فوق ، اين فرض نادرست را کرديم که امکان دستيابی عمومی به آدرس IP:192.168.0.12 وجود دارد. آدرس فوق صرفا بر روی يک شبکه خصوصی معتبر بوده و امکان دستيابی آن از طريق اينترنت وجود نخواهد داشت . بديهی است در چنين وضعيتی می بايست آدرس سرويس دهنده وب خصوصی خود را با يک آدرس عمومی جايگزين نماييد . ( با اين که يک گزينه مطلوب در اين رابطه نمی باشد ) . برخی از مراکز ارايه دهنده خدمات اينترنت ، صرفا امکان استفاده از يک آدرس IP عمومی را در اختيار شما قرار داده و بديهی است که در چنين مواردی ما دارای گزينه های متعددی برای اختصاص اين آدرس نخواهيم بود و میبايست آن را به فايروال اختصاص داد .
يکی از موارد استفاده سنتی از NAT به مواردی نظير آنچه اشاره گرديد ، بر می گردد . سازمان فرضی دارای صرفا يک آدرس IP معتبر است و آن را به فايروال نسبت داده و از NAT به منظور تسهيل در مبادله اطلاعات بين ماشين های موجود در شبکه داخلی و اينترنت استفاده می نمايد . در چنين مواردی يک مشکل همچنان باقی می ماند NAT. به منظور بلاک نمودن ترافيک تمامی ارتباطات ورودی به جز آنانی که درخواست آنان از طرف يکی از ماشين های موجود در شبکه داخلی ارسال شده است ، طراحی شده است و ما همچنان دارای يک سرويس دهنده وب می باشيم که می خواهيم امکان دستيابی عمومی به آن را نيز فراهم نماييم .
به منظور حل مشکل فوق می توان از فورواردينگ پورت استفاده نمود . در واقع فورواردينگ پورت ، قانونی است که به فايروال می گويد در صورتی که درخواست های خاصی بر روی يک پورت خاص برای وی ارسال شده باشد ، می بايست درخواست مربوطه را برای يک ماشين طراحی شده بدين منظور بر روی شبکه داخلی، ارجاع نمايد . در مثال اشاره شده ، ما قصد داريم امکان دستيابی عمومی به سرويس دهنده وب را فراهم نماييم . بدين منظور می بايست يک قانون فورواردينگ پورت بدين منظور تعريف که به فايروال اعلام نمايد هر درخواستHTTP بر روی پروتکل TCP و پورت 80 را به آدرس IP:192.168.0.12 تغيير مسير داده و برای آن ارسال نمايد. پس از تعريف قانون فوق ، شخصی که قصد دستيابی به وب سايت سازمان شما را داشته باشد ، پس از فعال نمودن برنامه مرورگر ، اقدام به درج آدرس سايت سازمان شما دربخش مربوطه می نمايد. مرورگر کاربر مورد نظر به منظور آگاهی از آدرس domain سايت سازمان شما ، اقدام به ارسال يک درخواست DNS می نمايد تا از اين طريق نسبت به آدرس IP نسبت داده شده به domain آگاهی لازم را پيدا نمايد . بديهی است آدرسی که پيدا خواهد شد و به عنوان مرجع در اختيار مرورگر قرار خواهد گرفت، همان آدرس IPعمومی است که شما آن را به فايروال نسبت داده ايد . مرورگر در ادامه ، درخواست HTTP را برای آدرس IP عمومی شما ارسال می نمايد که در حقيقت اين درخواست برای فايروال ارسال می گردد . فايروال درخواست را دريافت و آن را برای سرويس دهنده وب ارسال می نمايد ( فورواردينگ ( .

[GOLDEN_BOY]

منطقه غير نظامي يا غير محرمانه

منطقه غير نظامي يك فضا در بيرون از فايروال مي باشد كه قسمت‎هايي همچون پكت , وب سايت،Filtering,DNS,FTP وجود داشته باشد.
نواحی غيرنظامی ، يکی ديگر از ويژگی‎های ارايه شده توسط اکثر فايروال‎ها می‎باشد منطقه غير نظامي ناحيه ای است که تحت قلمرو حفاظتی فايروال قرار نمی گيرد . فايروال های مختلف ، نواحی غير نظامي را با روشهای متفاوتی پياده سازی می نمايند . مثلا برخی از فايروال ها ، صرفا شما را ملزم به معرفی آدرس IP ماشينی می نمايند که قصد استقرار آن در ناحيه غير نظامي وجود دارد .برخی از فايروال ها دارای يک پورت شبکهای اختصاصی می باشند که می توان از آن برای هر نوع دستگاه شبکه ای که قصد استقرار آن در ناحيه غير نظامي وجود دارد ، استفاده گردد .
پيشنهاد می گردد ، حتی المقدور از نواحی غير نظامي استفاده نگردد ، چراکه ماشين های موجود در اين نواحی از امکانات حفاظتی و امنيتی فايروال استفاده نخواهند کرد و تنها گزينه موجود در اين رابطه امکانات ارايه شده توسط سيستم عامل نصب شده بر روی ماشين و ساير توصيه هايی است که با رعايت و بکارگيری آنان ، وضعيت امنيتی سيستم بهتر می گردد .
در صورتی که برای ايجاد يک ناحيه غير نظامي دلايل موجه و قانع کننده ای وجود دارد ، می بايست با دقت و برنامهريزی صحيح توام با رعايت مسائل امنيتی اقدام به انجام چنين کاری گردد. در صورتی که ماشين مستقر در ناحيه غير نظامي دارای يک اتصال به شبکه داخلی نيز باشد ، مهاجمان با تمرکز بر روی ماشين فوق می توانند نقطه مناسبی برای ورود به شبکه را پيدا نمايند . پيشنهاد می گردد به عنوان يک قانون و اصل مهم ، ماشين های موجود در ناحيه غير نظامي دارای اتصالاتی به غير از پورت DMZ فايروال نباشند
.

ايجاد يك منطقه استحفاظی

در زمان تعريف يك سياست امنيتی برای شبكه میبايست رويههايی به منظور حفاظت شبكه ، محتويات آن و نحوه استفاده كاربران از منابع موجود به دقت تعريف گردد . سياست های امنيتی شبكه دارای يك نقش كليدی در تاكيد و انجام سياست های امنيتی تعريف شده در يك سازمان می باشند.

سياست امنيتی شبكه بر روی كنترل ترافيك و استفاده از آن تاكيد دارد و در آن به مواردی همچون منابع شبكه و تهديدات مرتبط با هر يك ، استفاده ايمن از منابع شبكه ، مسئوليت كاربران و مديران سيستم و رويههای لازم به منظور برخورد با مسائل و مشكلات ايجاد شده به دليل عدم رعايت مسائل امنيتی اشاره میگردد . سياستهای امنيتی بر روی نقاط حساس درون شبكه اعمال خواهد شد . به اين نقاط و يا محدودههای استراتژيك، perimeter گفته می شود .

شبكه های perimeter

برای ايجاد مجموعه ای از شبكه های perimeter ، میبايست پس از انتخاب شبكههايی كه قصد حفاظت از آنها را داريم ، مكانيزمهای امنيتی لازم به منظور حفاظت شبكه را تعريف نماييم . برای داشتن يك شبكه حفاظتشده ايمن، فايروال میبايست به عنوان دروازه تمامی ارتباطات بين شبكههای تاييد شده ، تاييد نشده و ناشناخته در نظر گرفته شود .
هر شبكه می تواند شامل چندين شبكه perimeter درون خود باشد . اين شبكه ها عبارتند از :
• شبكه های بيرونی
• شبكه های داخلی
• شبكه های درونی
شكل 2-1 ارتباط بين سه نوع شبكه perimeter فوق را نشان می دهد . با توجه به منابعی كه قصد حفاظت از آنها را در يك شبكه داريم ، ممكن است از چندين شبكه داخلي استفاده گردد .

شكل2-1 ارتباط بين سه نوع شبكه perimeter
توجه داشته باشيد كه به منظور حفاظت از منابع و سرمايههای ارزشمند موجود بر روی يك شبكه میتوان چندين نقطه دفاعی را ايجاد نمود . با لايه بندی شبكههای perimeter میتوان بررسی چندگانه امنيتی از ترافيك شبكه را به منظور حفاظت در مقابل عمليات غيرمجازی كه از درون شبكه شما سرچشمه می گيرد انجام داد .
در واقع ، شبكههای بيروني محل جداسازی منابعی است كه توسط شما كنترل میگردد با منابعی كه شما بر روی آنها كنترل و نظارتی نداريد. معمولا در اين نقطه از يك روتر استفاده میشود تا شبكه خصوصی يك سازمان را از ساير شبكه ها جدا نمايد .
شبكه های داخلي محدودههای اضافهتری را در مكانهايی كه شما دارای مكانيزمهای امنيتی ديگری نظير فايروالهای اينترانت و روترهای فيلترينگ میباشيد ، ارايه مینمايند .
شكل 2-2 ، دو شبكه perimeter درون يك شبكه را نشان می دهد . در اين شبكه يك شبكه بيروني و يك شبكه داخلي ايجاد و برای حفاظت آنها از روترهای داخلی ، خارجی و سرويس دهنده فايروال استفاده شده است .

شكل 2-2 دو شبكه perimeter درون يك شبكه
استقرار فايروال بين روتر داخلی و خارجی يك سطح امنيتی اضافه اندك به منظور حفاظت در مقابل حملات در هر سمت را ارايه می نمايد . اين كار ميزان ترافيكی را كه فايروال می بايست بررسی نمايد به طرز محسوسی كاهش داده و متعاقب آن كارايی فايروال افزايش خواهد يافت .
از ديد كاربران موجود بر روی يك شبكه خارجی ، سرويس دهنده فايروال امكان دستيابی به تمامی كامپيوترهای قابل دسترس در شبكه تاييد شده را فراهم مینمايد . در واقع ، فايروال يك نقطه دفاعی به منظور بررسی تمامی ارتباطات بين دو شبكه را ايجاد می نمايد .
با توجه به روش پردازش و توزيع بستههای اطلاعاتی در اترنت ، می توان كارايی فايروالهای شلوغ را با استقرار روترهای فيلترينگ پشت سرويس دهنده فايروال بهبود داد. بنابراين بديهی است كه كارايی بهبود پيدا خواهد كرد ، چراكه فايروال تنها مجبور به پردازش آن دسته از بستههای اطلاعاتی خواهد بود كه عازم سرويسدهنده فايروال میباشند . در صورتی كه از يك روتر فيلترينگ پشت سر سرويس دهنده فايروال استفاده نگردد ، فايروال میبايست هر بسته اطلاعاتی را كه بر روی subnet توزيع میگردد پردازش نمايد (حتی اگر بسته اطلاعاتی عازم يك هاست داخلی ديگر باشد).
شبكه های بيروني غيرايمنترين ناحيه در زيرساخت شبكه شما میباشند . معمولا اين ناحيه برای روترها ، سرويسدهندگان فايروال و سرويسدهندگان اينترنت عمومی نظير HTTP,FTP رزرو شده میباشند . دستيابی به اين ناحيه با سهولت بيشتری انجام خواهد شد ، بنابراين طبيعی است كه احتمال تهاجم در اين ناحيه بيش از ساير نواحی باشد .اطلاعات حساس سازمانها كه دارای كاربرد داخلی است نمیبايست بر روی شبكههای بيروني قرار داده شود . اعتقاد به اين اصل احتياطی و پيشگيرانه ، باعث میشود كه اطلاعات حساس شما در معرض خرابی و يا سرقت قرار نگيرند .
توجه داشته باشيد كه به منظور ايجاد شبكه های داخلي میتوان از چندين فايروال داخلی استفاده نمود. استفاده از فايروال های داخلی به شما اجازه می دهد كه دستيابی به منابع مشترك موجود در شبكه را محدود نماييد.
2-7 نسل های متفاوت فايروال
در دنيای امروز اكثر بنگاه های تجاری بر اين اعتقاد هستند كه دستيابی به اينترنت برای حضور فعال ، موثر و رقابتی در عرصه جهانی امری حياتی و الزامی است . با اين كه مزايای اتصال به اينترنت كاملا مشهود و قابل توجه است ، در اين رابطه تهديدات و خطراتی نيز وجود دارد . به عنوان نمونه ، زمانی كه يك بنگاه تجاری شبكه خصوصی خود را به اينترنت متصل می نمايد ، اين موضوع صرفا به اين معنی نخواهد بود كه وی امكان دستيابی كاركنان خود به اطلاعات و منابع خارج از سازمان را فراهم نموده است . سازمان فوق ، همچنين اين امكان را فراهم نموده است كه كاربران خارجی ( كاربران خارج از سازمان) نيز بتوانند به اطلاعات شخصی و خصوصی سازمان دسترسی داشته باشند .
هر بنگاه تجاری كه در انديشه اتصال به اينترنت است مجبور خواهد بود كه با مسائل مربوط به امنيت شبكه نيز سرو كار داشته باشد .
در ساليان اخير فناوریهای مختلفی به منظور تامين نظر بنگاههای تجاری در جهت افزايش امنيت و استفاده از مزايای متعدد اتصال به اينترنت ايجاد شده است . فناوریهای فوق امكان نگهداری ، محرمانگی ، يكپارچگی و در دسترس بودن اطلاعات خصوصی و منابع شبكه را فراهم مینمايند . اكثر اين تلاشها با تمركز بر روی فناوریهای مختلف فايروال انجام شده است .
فايروال ، يك نقطه دفاعی بين دو شبكه را ايجاد و يك شبكه را در مقابل شبكه ديگر محافظت مینمايد.
معمولا يك فايروال ، شبكه خصوصی يك سازمان را از يك شبكه عمومی كه به آن متصل است محافظت مینمايد . يك فايروال میتواند بسادگی يك روتر باشد كه بستههای اطلاعاتی را فيلتر مینمايد و يا پيچيده نظير استفاده از چندين روتر و كامپيوتر كه سرويسهای فيلترينگ بستههای اطلاعاتی و پراكسی سطح برنامه را ارايه می نمايند.