آشنایی با دیواره‌ی آتش Firewall

  • ۰

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

مقدمه :

Firewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار . معمولا یک شبکه کامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبکه تولیدات شرکت را دارید که باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود که آیا واقعا نیاز به محافظت از یک شبکه داخلی داریم و سوال دیگر اینکه چگونه از طریق یFirewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار .

 

معمولا یک شبکه کامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبکه تولیدات شرکت را دارید که باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود که آیا واقعا نیاز به محافظت از یک شبکه داخلی داریم و سوال دیگر اینکه چگونه از طریق یک شبکه عمومی مانند اینترنت به آن دسترسی داشته باشیم .

دلیل بسیار ساده ای دارد ؟ که آن نیاز به بقاء و رقابت است . اعتبار کمپانیها در اینترنت به تبلیغات تولیداتشان می باشد . اینترنت به صورت شگفت انگیزی در حال رشد است .

مانند یک فروشگاه بسیار بزرگ بیشتر مردم به طرف اینترنت می آیند وهمانطوریکه در یک فروشگاه باید محصولات سالم باشند و بعد از فروش گارانتی بشوند اطلاعات و داده و انتقالات آنها نیز باید به صورت امن و گارانتی شده باشد .

حال باید مکانیزمهایی برای حفاظت از شبکه داخلی یا اینترنت شرکت در مقابل دسترسی های غیر مجاز ارائه دهیم

 

Firewall های مختلفی با ساختارهای مختلف وجود دارد ولی عقیده اصلی که پشت آنها خوابیده یکسان است . شما به شبکه ای نیاز دارید که به کاربرانتان اجازه دسترسی به شبکه های عمومی مانند اینترنت را بدهد و برعکس .

مشکل زمانی پیش می آید که کمپانی شما بدون در نظر گرفتن معیارهای امنیت بخواهد به اینترنت وصل شود و شما در معرض دسترسی از طرف Server های دیگر در اینترنت هستید. نه تنها شبکه داخلی کمپانی در مقابل دسترسی های غیر مجاز آسیب پذیر است بلکه تمام Server های موجود در شبکه کمپانی در معرض خطر هستند .

بنابراین به فکر محافظت از شبکه می افتید و اینجاست که نیاز به یک Firewall احساس می شود .

به هر حال قبل از فکر کردن درباره Firewall باید سرویسها واطلاعاتی که می خواهید روی اینترنت در دسترس عموم قرار دهید مشخص کنید .

آشکارست که در ابتدا شما می خواهید مطمئن شوید که سرور شما امن است شما می توانید مجوزهای دسترسی , انتقال فایل و اجرای راه دور و همچنین منع مجوزهای ورود دوباره , Telnet , Ftp , SMTP ودیگر سرویسها . اگر شما بخواهید از این سرویسها استفاده کنید نیاز به Firewall دارید

به هر حال Firewall چیست ؟ اساسا یک فایروال جداکننده شبکه های امن از ناامن در اینترنت است . Firewall تمام اتصالاتی که از اینترنت به شبکه های محافظت وارد می شوند را فیلتر می کند .

قبل از تعریف اینکه چه نوع از Firewall ها بهترین مجموعه برای نیازهای ماست , ما باید توپولوژی شبکه را برای تعیین اجزای آن مانند Hub ها , Switch ها , Router ها و Cabling آنالیز کنیم تا بهترین Firewall که مخصوص این توپولوژی باشد را پیدا کنیم .

برای ایجاد امنیت در شبکه ما نیاز به بررسی شبکه داخلی از لحاظ مدل لایه بندی ISO آن داریم بطوریکه می دانید Reapter ها و Hub ها در لایه اول , Switch ها و Bridge ها در لایه دوم و Router ها در لایه سوم , یک Firewall در تمام لایه های شبکه می تواند عمل کند ( از جمله در هر هفت لایه ) لایه ها مسئول پاسخگویی به کنترل و ایجاد نشستها و بکارگیری آنها می باشند . بنابراین با یک Firewall ما می توانیم جریان اطلاعات را در طول ایجاد کنترل کنیم .

Firewall ها به ما امکان مدیریت دروازه های ورود به Web را می دهد و امکان تمرکز روی پروژه اصلی را می دهد .

 

The purpose of a Firewall

Firewall ها به تنهایی نمی توانند امنیت شبکه را برقرار کنند آنها فقط یک قسمت از سایت شما را امن می کنند و به منظور امنیت شبکه باید محدوده ای از شبکه را مشخص کنید و نیاز به این دارید که چیزهایی در شبکه که باید محدود شوند را تعیین کنید ویک سیاست امن را گسترش دهید و مکانیسمهایی برای اعمال سیاستهای مورد نظر روی شبکه را ایجاد کنید البته مکانیسمهایی پشت Firewall ها هستند که می توانید به صورت عجیبی سطح امنیت را بالا ببرید .

این مکانیسمها بعد از اعمال سیاست امنیت مشخص می شوند و نه قبل از آن . برای ایجاد یک مکانیسم امن برای محافظت از Web Site شما باید یک Firewall برای نیازهای خود مشخص کنید وآن را پیاده سازی کنید.

ایجاد امنیت از سازمانی به سازمان دیگر متفاوت است البته این بستگی به چیزی که آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روی UNIX , NT , Dos کار می کند . شما دقیقا به بستر اجرایی مورد نظر خود دقت کنید همانطور که اجرای پروژه را مشخص می کنیم باید سطوح امنیت را نیز مشخص کنیم تا بتوانیم آن را پیاده سازی کنیم . این یک روش برای موفقیت در پیاده سازی مکانیسمهای امنیت است .

Firewall ها علاوه براین که امنیت واقعی را برقرار می کنند یک نقش اساسی در مدیریت امنیت را پوشش می دهند .

 

Firewall Role of Protection The

Firewall ها امنیت در شبکه را برقرار می کنند و ریسک Server های روی شبکه را با فیلتر کردن کاهش می دهند به عنوان مثال : شببکه دارای ریسک کمتری می باشد به علت اینکه پروتکلهای مشخص شده روی Firewall می توانند روی شبکه اعمال وظیفه کنند .

مشکل فایروالها محدودیت آنها در دسترسی به و از اینترنت است و شما مجبور می شوید که از Proxy Server استفاده کنید .

Firewalls Providing Access Control

سرورها می توانند از بیرون قابل دسترس باشند مثلا کسی ویروسی را با Mail می فرستند و بعد از اجرا , فایروال را از کار می اندازد . بنابراین تا جایی که امکان دارد از دسترسی مستقیم به سرورها جلوگیری کرد .

 

 

 

 

The Security Role of a Firewall

ما می توانیم به جای آنکه Server را محدود کنیم یک سرور را با تمام دسترسیهای ممکن به اینترنت وصل کنیم و Server دیگر را پشت Firewall به عنوان Backup از سرور قبلی داشته باشیم . با هک شدن یا خرابی سرور اولی ما می توانیم آن را بازیابی کنیم .

روشهای دیگر برای اعمال امنیت روی شبکه ممکن است موجب تغییراتی روی هر Server شبکه شود ممکن است تکنیکهای بهتری نسبت به Firewall ها باشد ولی Firewall ها برای پیاده سازی بسیار آسان هستند برای اینکه Firewall ها فقط یک نرم افزار مخصوص هستند .

یکی از مزایای Firewall ها استفاده آنها برای اینکه بتوانیم با Log کردن دسترسی به سایت آمار دسترسیهای به سایت خود را مشخص کنیم .

 

Advantages and Disadvantages of Firewalls

Firewall ها دارای مزایای بسیاری می باشند با این وجود دارای معایب نیز هستند . بعضی از Firewall در مقابل محدود کردن کاربران و درهای پشتی (Back door ) که محل حمله هکرها ست که امنیت ندارند .

 

Access Restrictions

Firewall ها برای ایجاد امنیت بعضی از سرویسها مانند Telnet , Ftp , Xwindow را از کار می اندازند و این تنها محدود به فایروالها نمی شود . بلکه در سطح سایت نیز می شود این کار را انجام داد .

Back-Door Challenges: The Modem Threat

تا حالا مشخص شد که امنیت درهای پشتی کمپانی به وسیله Firewall تامین نمی شود بنابراین اگر شما هیچ محدودیتی در دسترسی به مودم نداشته باشد این در بازی برای هکرها ست

SLIP , PPP از راههای ورودی می باشند و سئوال پیش می آید که اگر این سرویسها وجود داشته باشند چرا از Firewall استفاده می کنیم .

Risk of Insider Attacks

ریسک دسترسی اعضای داخلی .

Firewall Components

Policy

Advanced Authentication

Packet Filtering

Application gateways

Network Security Policy

تصمیم برای برپایی یک Firewall در شبکه دو سطحی می باشد .

Installation , Use of the System

سیاستهای دسترسی به شبکه محدودیتهایی بر روی شبکه در سطح بالا به ما می دهد . همچنین چگونگی به کارگیری این سرویسها را نیز مشخص می کند .

Flexibility Policy

اگر شما به عنوان گسترش دهنده یک سیاست دسترسی به اینترنت یا مدیر Web و سرویسهای الکترونیکی معمولی هستید این سیاستها به دلایل زیر باید انعطاف پذیر باشند

اینترنت هر روز با سرعت غیر قابل پیش بینی رشد می کند . وقتی اینترنت تغییر تغییر می کند سرویسهای آن نیز تغییر می کند . بنابراین سیاستهای کمپانی باید تغییر کند و شما باید آماده ویرایش و سازگار کردن این سیاستها بدون تغییر در امنیت اولیه باشد .

کمپانی شما دارای ریسکهای متغیر با زمان است و شما باید در مقابل این ریسکها امنیت پردازشها را تامین کنید .

 

Service-Access Policy

سیاستهای دسترسی باید روی ورودی کابران متمرکز شود .

 

Advanced Authentication

با وجود استفاده از Firewall بسیاری از نتایج بد در مورد امنیت از پسوردهای ضعیف و غیر قابل تغییر ناشی می شوند .

پسوردها در اینترنت از راههای زیادی شکسته می شوند بنابراین بهترین پسوردها نیز بی ارزشند .

مسئله این است که پسوردهایی که باید با یک الگوریتم خاصی ساخته شوند می توان با آنالیز سیستم به پسوردها والگوریتم استفاده شده پی برد مگر اینکه پسوردها بسیار پیچیده باشند.یک کرکر می تواند با برنامه خود پسورد تعدادی از کاربران را امتحان کرده و با ترکیب نتایج ساختار کلی الگوریتم استفاده شده را بدست آورد و پسورد کاربران مختلف را مشخص کند.

همچنین باید فراموش نکرد که بعضی از سرویسهای TCP , UDP در سطح آدرس سرور هستند و نیازی به کاربران خاص خود ندارند .

به عنوان مثال یک هکر می تواند آدرس IP خود را با سرور یک کاربر معتبر یکسان کند واز طریق این کاربر یک مسیر آزاد به سرور مورد نظر باز کند و این کابر به عنوان یک واسط بین دو سرور عمل می کند .

هکر می تواند یک درخواست به کابر داده واین کاربر از سرور خود اطلاعات را به سرور هکر انتقال می دهد.این پروسه به عنوان IP Spoofing می باشد.

بیشتر روترها بسته های مسیر یابی شده منبع را بلاکه می کنند و حتی می توانند آنها از فیلتر Firewall بگذرانند.

 

 

Packet Filtering

معمولا IP Packet Filtering در یک روتر را بریا فیلتر کردن بسته هایی که بین روترها میانی جابجا می شوند به کار می برند این روترها بسته های IP را براساس فیلدهای زیر فیلتر می کنند .

 

Source ip address

Destination ip address

Tcp/Udp source port

Tcp/Udp destination port

 

 

 

 


  • ۰

25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

Linux-Security-and-Hardening

همیشه گفته می شود که لینوکس در حالت عادی تا حدی ایمن است. اگرچه، لینوکس مدل امنیتی خود را به صورت پیشفرض دارد، اما نیاز است که مطابق با خواسته های شما سازگار شود و به این ترتیب امنیت بیشتری به وجود می آید. لینوکس از لحاظ مدیریتی پیچیده تر است اما انعطاف پذیری و تنظیمات بیشتری را در اختیار می دهد.

ایمن سازی سیستم از هکرها یک وظیفه ای چالش برانگیز برای مدیران IT است. این اولین مقاله مرتبط با “چگونگی ایمن سازی لینوکس باکس” و یا “سخت سازی لینوکس باکس” است. در این نوشته 25 نکته کاربردی را برای ایمن سازی سیستم لینوکسی شما ارائه می دهیم و امیدواریم که برای شما در ایمن سازی سیستم های لینوکسی مفید باشد.

  1. امنیت فیزیکی سیستم: گام نخست غیر فعال سازی بوت  CD/DVD از Bios  سیستم ، تجهیزات بیرونی، فلاپی درایو تنظیم نمایید. سپس، پسورد BIOS را تنظیم کرده و همچنین پسورد GRUB را برای محدود کردن دسترسی فیزیکی به سیستم خود فعال نمایید.
  2. پارتیشن بندی دیسک: مهم است که پارتیشن های متعددی برای بدست آوردن امنیت بالاتر داده در موارد اتفاقات پیش بینی نشده داشته باشید. با ایجاد پارتیشن های متعدد، داده می تواند جداسازی و گروه بندی شود. وقتی که تصادف غیر منتظره اتفاق می افتد، فقط داده ها در یک پارتیشن خاص آسیب می بینند، در حالی که دیتا در دیگر پارتیشن ها بدون آسیب می مانند. شما باید مطمئن شوید که پارتیشن های زیر را دارید و سایر اپلیکیشن ها باید در یک فایل سیستم مجاز تحت/opt نصب گردند.
/
/boot
/usr
/var
/home
/tmp
/opt
  1. پکیج ها را حداقل کنید تا آسیب پذیری به حداقل برسد

آیا واقعا می خواهید تمام سرویس ها را نصب کنید؟ پیشنهاد می گردد که از نصب پکیج های بدون استفاده پرهیز کنید تا از آسیب پذیری در پکیج ها جلوگیری کنید. این ممکن است ریسک آسیب در یک سرویس را که می تواند منجر به آسیب به سایر سرویس ها شود را به حداقل برساند. سرویس های بدون استفاده را یافته و آنها را حذف و یا غیر فعال کنید تا آسیب پذیری به کمترین حد ممکن برسد. از فرمان “chkconfig” برای پیدا کردن سرویس های که بر روی runlevel 3 اجرا شده اند استفاده کنید.

# /sbin/chkconfig –list |grep ’3:on’

به محض اینکه هر سرویس ناخواسته ای را در حال اجرا یافتید، با فرمان زیر آنها را غیر فعال کنید.

# chkconfig serviceName off

از RPM package manager مانند “yum” یا “apt-get” برای لیست کردن همه پکیج های نصب شده بر سیستم استفاده کرده و آنها را با فرمان های زیر حذف کنید.

# yum -y remove package-name

# sudo apt-get remove package-name

  1. پورت های شبکه در حال Linstening را کنترل کنید.

با کمک فرمان شبکه “netstat” می توانید کلیه پورت های باز و برنامه های مربوطه را مشاهده نمایید. همانگونه که در بالا گفته شد، از فرمان”chkconfig” برای غیرفعال کردن کلیه سرویس های ناخواسته بر روی سیستم استفاده کنید.

# netstat -tulpn

  1. از Secure Shell)SSH) استفاده کنید.

پروتکل های telnet و rlogin از متن ساده و رمزگذاری نشده استفاده می کنند که ناقض امنیت هستند. SSH یک پروتکل امن است که از تکنولوژی رمز گذاری در طول ارتباط با سرور استفاده می کند.

بجز موارد ضروری هرگز با کاربر root به طور مستقیم وارد سیستم نشوید. از فرمان “sudo” برای اجرای سایر فرمان ها استفاده کنید. “sudo” در فایل /etc/sudoers قرار گرفته است که می تواند توسط visudo که در ویرایشگر VI باز می شود، ویرایش می شود.

همچنین پیشنهاد می شود که پورت SSH 22 پیش فرض را با بعضی پورت های سطح بالاتر تعویض کنید. تنظیمات اصلی SSH را باز کرده و پارامتر های زیر را برای دسترسی کاربران عادی محدود کنید.

# vi /etc/ssh/sshd_config

غیر فعالسازی لاگین با root

PermitRootLogin no

اجازه تنها به کاربران خاص

AllowUsers username

از نسخه 2 پروتکل SSH استفاده کنید

Protocol 2

  1. مرتبا سیستم را بروز رسانی کنید.

همیشه سیستم خود را با آخرین پچ ها، فیکس های امنیتی و کرنل منتشر شده به روز نگه دارید.

# yum updates

# yum check-update

  1. Cronjob ها را قفل کنید.

Cron ویژگی مخصوص به خود را دارد، که اجازه می دهد مشخص کنید چه کسانی باید و چه کسانی نباید jobها را اجرا کنند. این امر با استفاده از فایل های /etc/cron.allow و /etc/cron.deny کنترل می شود. برای بستن دسترسی یک کاربر به cron ، به سادگی نام کاربر را در cron.deny اضافه کنید و برای اجازه دادن به یک کاربر برای اجرای cron آن را در cron.allow اضافه کنید. اگر تمایل به غیر فعال کردن همه کاربران در استفاده از cron دارید خط “ALL” را در فایل cron.deny اضافه کنید.

# echo ALL >>/etc/cron.deny

  1. استفاده از فلش مموری ها توسط پورت USB را غیر فعال کنید.

بسیاری از دفعات این اتفاق پیش می آید که ما می خواهیم کاربران را از استفاده از فلش مموری برای حفاظت از داده ها در برابر سرقت محدود کنیم. یک فایل با عنوان “/etc/modprobe.d/no-usb” ایجاد کرده و با اضافه کردن خط زیر ذخیره سازها بر روی پورت USB از دسترس خارج می شوند.

install usb-storage /bin/true

  1. از SELinux استفاده کنید.

لینوکس بهبود یافته از لحاظ امنیتی (SELinux) یک مکانیزم امنیتی اجباری برای کنترل دسترسی است که در کرنل ایجاد شده است. غیر فعال سازی SELinux به معنای برداشتن مکانیزم امنیتی از سیستم است. قبل از برداشتن این سیستم بدقت به آن بیندیشید. اگر سیستم شما به اینترنت متصل است به صورت همگانی در دسترس است، بیشتر در مورد آن بیندیشید.

SELinux سه حالت اصلی عملکرد را ارائه می دهد که عبارتند از:

  • Enforcing: این یک حالت پیش فرض است که خط مشی امنیتی SELinux در ماشین را فعال و اجرا می کند.
  •  Permissive: در این حالت،SELinux خط مشی امنیت ماشین را اجرا نخواهد کرد، فقط امور مربوط لاگ برداری و اعلان ها انجام می شود. این حالت برای ایرادیابی موارد مرتبط با SELinux بسیار مفید است.
  • Disabled: SELinux غیر فعال شده است.

شما می توانید وضعیت فعلی SELinux را از خط فرمان با استفاده از “system-config-selinux” و “getenforce” و یا “sestatus”مشخص کنید.

# sestatus

اگر این سرویس غیرفعال است با استفاده از فرمان زیر SELinux را فعال کنید.

# setenforce enforcing

همچنین می توان با استفاده از فایل آدرس “/etc/selinux/config” می توانید این فایل را مدیریت کنید.

  1. دسکتاپ KDE/GNOME را حذف کنید.

نیازی به اجرای دسکتاپ های X Window مانند KDE ویا GNOME بر روی سرور اختصاصی LAMP شما وجود ندارد. شما می توانید آنها را برای افزایش امنیت سرور و بهبود عملکرد آن حذف و یا غیر فعال کنید.

# yum groupremove “X Window System”

  1.  IPv6 را غیر فعال کنید.

اگر از پروتکل IPv6 استفاده نمی کنید، باید آن را غیر فعال کنید، زیرا بیشتر اپلیکیشن ها و Policy ها به پروتکل IPv6 نیاز ندارند و در حال حاضر وجود این پروتکل در سرور ضروری نیست. به فایل network configuration رفته و خطوط زیر را برای غیر فعال کردن IPv6 به آن اضافه کنید.

# vi /etc/sysconfig/network

NETWORKING_IPV6=no

IPV6INIT=no

  1.  کاربران را در استفاده از کلمات عبور قدیمی محدود کنید.

عدم اجازه به کاربران برای استفاده از کلمات عبور قدیمی که قبلا از آن استفاده کرده اند، بسیار کاربردی است. فایل کلمات عبور قدیمی در /etc/security/opasswd ذخیره شده است. با استفاده از ماژول PAM این فایل قابل دسترسی است.

فایل “etc/pam.d/system-auth” را تحت RHEL یا CentOS یا Fedora باز کنید.

# vi /etc/pam.d/system-auth

فایل “etc/pam.d/common-password” را تحت Ubuntu یا Debian یا Linux Mint باز کنید.

# vi /etc/pam.d/common-password

خط زیر را به بخش “auth” اضافه کنید.

auth    sufficientpam_unix.so likeauth nullok

خط زیر را به بخش “password” اضافه کنید تا کاربر را از استفاده مجدد از 5 کلمه عبور قبلی خودش محدود کنید.

password   sufficientpam_unix.so nullok use_authtok md5 shadow remember=5

تنها 5 کلمه عبور آخر توسط سرور به خاطر آورده می شوند. اگر تلاش کنید که از 5 کلمه عبور آخر خود استفاده کنید پیام خطایی مانند زیر دریافت می کنید.

Password has been already used. Choose another.

  1.   چگونه انقضا کلمه عبور کاربر کنترل کنیم

در لینوکس، کلمه عبور کاربران در “/etc/shadow” و در فرمت رمزگذاری شده ذخیره می شود. برای کنترل انقضا کلمه عبور کاربران، شما باید از فرمان “chage” استفاده کنید. این فرمان اطلاعات انقضا کلمه عبور و زمان آخرین تغییر کلمه عبور را نشان می دهد. این جزئیات توسط سیستم، برای تصمیم در خصوص زمان تغییر یک کلمه عبور توسط کاربر استفاده می شود.

برای دیدن اطلاعات مدت زمان مربوط به کاربر مانند تاریخ انقضا و زمان از فرمان زیر استفاده کنید.

#chage -l username

برای تغییر مدت زمان کلمه عبور از فرمان زیر استفاده کنید.

#chage -M 60 username

#chage -M 60 -m 7 -W 7 userName

پارامتر ها

-M تنظیم حداکثر تعداد روز ها

-m تنظیم حداقل تعداد روزها

-W تنظیم تعداد روزها برای پیام خطا

  1.    بستن و باز کردن حساب کاربری بصورت دستی

ویژگی های باز و بسته کردن بسیار مفید هستند و به جای حذف یک حساب کاربری از سیستم، شما می توانید آن را برای یک مدت مشخص ببندید. برای بستن یک کاربر خاص، شما می توانید از فرمان زیر استفاده کنید.

# passwd -l accountName

توجه: کاربر بسته شده فقط برای کاربر root در دسترس است. این بسته بودن با جایگزینی کلمه عبور رمز گذاری شده با یک رشته (!) اجرا می شود.اگر کسی تلاش کند با استفاده از این حساب کاربری به سیستم دسترسی داشته باشد پیام خطایی مانند زیر دریافت می کند.

# su – accountName

This account is currently not available.

برای باز کردن و یا فعال کردن دسترسی به حساب کاربری بسته شده، از فرمان زیر استفاده کنید. این فرمان رشته (!) با کلمه عبور رمزگذاری شده را حذف می کند.

# passwd -u accountName

  1.   اعمال کلمات عبور قوی تر

تعدادی از کاربران از کلمات عبور آسان و ضعیف استفاده می کنند و کلمه عبور آنها به آسانی با یک directory و با brute force attack هک می شود. ماژول “pam_cracklib” که در PAM (Pluggable Authentication Modules) قرار دارد، کاربران را ملزم به انتخاب کلمات عبور قوی می کند. فایل زیر را با یک برنامه ویرایشگر باز کنید.

# vi /etc/pam.d/system-auth

یک خط برای ملزم کردن استفاده از پارامترهای اعتباری مانند (lcredit,ucredit,dcredit and ocredit) اضافه کنید.

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

  1.    iptable را فعال کنید (Firewall) .

به شدت پیشنهاد می گردد که Linux firewall را برای ایمن شدن در برابر دسترسی غیرقانونی به سرور فعال کنید. از ruleهایی که در iptables است، برای فیلتر کردن پکت های فوروارد شده ورودی و خروجی استفاده کنید. ما می توانیم آدرس منبع و مقصد را برای اجازه دادن و یا متوقف کردن در یک شماره پورت خاص udp/tcp استفاده کنیم.

  1.   در Inittab حالت Ctrl+Alt+Delete را غیر فعال کنید.

در بیشتر توزیع های لینوکس، فشردن Ctrl+Alt+Delete سیستم شما را به فرآیند ریبوت می برد. بنابراین این ایده خوبی نیست که این ویژگی در سرورها فعال باشد.زیرا فشردن تصادفی این دکمه ها می تواند سرور شما را ریبوت کند.

این عمل در “/etc/inittab” انجام می شود. اگر شما دقیق به این فایل نگاه کنید، می بینید که خطی شبیه به آنچه در ادامه است در آن وجود دارد. در حالت پیش فرض خط فعال است اما برای غیر فعال شدن این دکمه باید از آن را به حالت کامنت درآورد.

# Trap CTRL-ALT-DELETE

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

  1.   حساب های کاربری را برای کلمات عبور خالی کنترل کنید.

هر حساب کاربری یک کلمه عبور خالی دارد که به این مفهوم است که این حساب برای دسترسی غیر مجاز به هرکسی در وب باز شده است و این بخشی از امنیت در یک سرور لینوکس است. بنابراین ، شما باید مطمئن شوید که همه حساب های کاربری کلمه عبور قوی داشته و هیچکس دسترسی غیر مجاز ندارد. حساب های کاربری بدون کلمه عبور ریسک های امنیتی هستند و می توانند به آسانی هک شوند. برای کنترل اینکه آیا حساب کاربری بدون کلمه عبور وجود دارد، فرمان زیر را به کار برید.

# cat /etc/shadow | awk -F: ‘($2==””){print $1}’

  1.    قبل وارد حساب شدن بنر SSH را به کاربر نمایش دهید.

این ایده خوبی است که همیشه یک اعلان قانونی و یا امنیتی با برخی نکات امنیتی قبل از اعتبارسنجی SSH داشته باشید. برای فعال کردن چنین بنری مفاله زیر را مطالعه کنید.

  1.    پایش فعالیت های کاربر

اگر با تعداد زیادی کاربران سروکار دارید، مهم است که اطلاعات فعالیت و process هایی که مورد استفاده هر کاربر بوده است را جمع آوری کرده و در زمان مناسب و یا درشرایطی که موارد امنیتی و بررسی عملکرد اتفاق می افتد، آن ها را تحلیل نمایید. اما چگونه ما می توانیم اطلاعات فعالیت کاربران را پایش و جمع آوری کنیم.

دو ابزار ارزشمند با نام های “psacct” و “acct” وجود دارند که برای پایش فعالیت کاربران و process ها در یک سیستم استفاده می شوند. این ابزار ها در پس زمینه سیستم اجرا شده و به طور پیوسته فعالیت هر کاربر در یک سیستم و منابع مصرف شده توسط سرویس های مختلف مانند Apache، MySQL، SSH، FTP و غیره دنبال می کنند. برای اطلاعات بیشتر درخصوص نصب، ساختاربندی و استفاده از این سرویس ها آدرس زیر را مشاهده کنید.

  1. لاگ ها را مرتبا بازبینی کنید.

لاگ ها را به سرور اختصاصی لاگ انتقال دهید. این امر می تواند از دسترسی و تغییر آسان توسط مزاحمان در لاگ ها جلوگیری به عمل می آورد. در ادامه لاگ فایل های پیش فرض و معمول لینوکس با نام و کاربری توضیح داده شده اند.

  •         /var/log/message  جایی که کل لاگ های سیستم و فعالیت های فعلی در آن ثبت می شود
  •         /var/log/auth.log لاگ های اعتبار سنجی.
  •         /var/log/kern.log لاگ های کرنل
  •         /var/log/cron.log لاگ های Cron
  •         /var/log/maillog لاگ های میل سرور
  •         /var/log/boot.log لاگ های بوت سیستم
  •         /var/log/mysqld.log لاگ های سرور دیتابیس MySQL
  •         /var/log/secure لاگ اعتبار سنجی
  •         /var/log/utmp or /var/log/wtmp فایل رکورد های ورود به سیستم
  •         /var/log/yum.log:  فایل های لاگ YUM
  1.   پشتیبان گیری از فایل های مهم

در یک سیستم تولید، ضروری است که از فایل های مهم پشتیبان گیری شده و محلی خارج از محل سرور برای بازیابی در شرایط اتفاقات غیر مترقبه، امن نگهداری شوند.

  1.  باندینگ NIC

دو حالت در NIC bonding وجود دارد که باید در رابط باندینگ به آن اشاره شود

  •         Mode=0 Round Robin
  •         Mode=1 Active and Backup

NIC Bonding به ما کمک می کند که از عدم ارتباط در یک نقطه اجتناب کنیم. دو کارت شبکه اترنت را با هم باند کرده و یک رابط مجازی می سازم که از طریق آن می توان یک IP آدرس اختصاص داده و با دیگر سرور ها در تماس بود. شبکه ما در حالتی که یک NIC Card به هر دلیلی از کار باز ایستد، همچنان در دسترس است.

  1.   boot/ را در حالت read-only نگه دارید.

کرنل لینوکس و فایل های مرتبط با آن در دایرکتوری /boot قرار گرفته اند که در حالت پیش فرض به صورت read-write است. تغییر آن به read-only ریسک تغییرات غیر مجاز در فایل های حیاتی بوت را کاهش می دهد. برای انجام این کار، فایل /etc/fstab را باز کنید.

# vi /etc/fstab

خط زیر را به انتهای آن اضافه کرده، فایل ذخیره نموده و از فایل خارج شوید.

LABEL=/boot /boot ext2 defaults,ro 1 2

لطفا توجه نمایید که باید برای تغییرات بعد در کرنل باید این دایرکتوری را به حالت read-write بازگردانید.

  1.  ICMP و درخواست Broadcast را نادیده بگیرید.

خطوط زیر را در فایل “/etc/sysctl.conf” برای نادیده گرفتن درخواست ping و broadcast اضافه کنید.

Ignore ICMP request:

net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:

net.ipv4.icmp_echo_ignore_broadcasts = 1

تغییرات و تنظیمات جدید را با اجرای فرمان زیر بارگزاری کنید.

#sysctl -p

اگر شما نکته دیگری را می شناسید که از این لیست جا مانده است لطفا آن را در بخش پاسخ ها بیان کنید. ما همیشه علاقمند دریافت نظرات شما هستیم.

منبع : http://www.tecmint.com//


  • ۰

مدیریت یکپارچه تهدیدات الکترونیکی با UTM

چکیده

از آنجا که اداره جوامع کنونی بدون استفاده از راه حلهای مبتنیبر فناوری اطلاعات تقریباً غیرممکن بنظر میرسد و مفاهیمی چون دولت الکترونیکی، تجارت الکترونیکی، بهداشت، آموزش و بانکداری الکترونیکی جزء راهبردهای اصلی حکومتهاست، اهمیت پرداختن به موضوع امنیت اطلاعات بیش از پیش نمایان میگردد.

به طور کلی فایروال یکی از محصولات امنیتی پرکاربرد در برقراری امنیت شبکههای کامپیوتری است. به همین دلیل تکنولوژی فایروالهای در طول عمر این محصول تغییرات زیادی داشته است. این تغییرات بیشتر به دلیل تولد ایدههای جدید در تهدیدات شبکهای بوده است. در این مقاله تلاش خواهد شد که اخیرترین تکنولوژی در تولید فایروال معرفی شود. این تکنولوژی که منجر به تولید محصول UTM میشود، سطوح مختلفی از تهدیدات شبکه ای را کنترل میکند و پیشبینی میشود تا چند سال آینده جایگزین فایروالهای امروزی شود.

مقدمه

گسترش استفاده از فضای تبادل اطلاعات در کشور طی سالهای گذشته و برقراری ارتباط از طریق وب، موجب افزایش بکارگیری فنآوری اطلاعات و وابستگی نهادهای مختلف اجتماعی به این پدیده گردیده است.

از زمانیکه برخی از نگرانیها در خصوص تعرض به حریم خصوصی افراد و سازمانها ظاهر گردید، متخصصان فنآوری اطلاعات جهت جلوگیری از این تهدیدات و حمایت از اطلاعات خصوصی بنگاهها، افراد و دستگاههای مختلف تلاشهای ارزشمندی را ساماندهی نمودند تا فضای اعتماد به تبادلات الکترونیکی دچار آسیب کمتری شود.

تولید محصولات مختلف امنیتی اعم از تجهیزات سخت افزاری و نرم افزارها در حوزه های گوناگون ICT، ارائه راهکارها و تدوین سیاستهای خرد و کلان جهت صیانت از فضای تبادل اطلاعات، تربیت نیروهای مختصص به منظور حفاطت از شبکههای تبادل اطلاعات همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی، همگام با پیشرفت دانش IT در صحنه دنیای دیجیتال نمود بیشتری پیدا کردند. در این میان همزمان با رشد و توسعه انواع آسیبپذیریها در سیستمهای رایانهای، تکنولوژی در راستای محافظت از این سیستمهای نیز ارتقاء یافتهاند.

رویکرد جدید تهدیدات الکترونیکی عموماً براساس تهدید بر محتوا تلقی میشود. این رویکرد بیشتر به دلیل حضور تجهیزات امنیتی پایینتر از لایه محتوا صورت گرفته است. بدیهی است که امنیت در لایههای بالا، مخصوصاً در محتوا بسیار پیچیده است و البته بالاترین سطح امنیت سازمان نیر امنیت در سطح محتوا میباشد. بر این اساس تکنولوژی تجهیزات امنیتی نیز باید به سمت محافظت از تهدیدات محتوایی حرکت کنند. تکنولوژی UTM اخیرترین ایده در تجهیزات امنیتی است که تلاش میکند امنیت سازمان را تا سطح محتوا حفظ نماید. این تکنولوژی به عنوان نسل جدید از محصولات فایروال منظور میشود و پیشبینی میشود که در آینده نزدیک، محصول UTM به عنوان محصول امنیتی ضروری در سازمانها جایگزین فایروال شود.

در این مقاله تلاش خواهد شد که محصول UTM معرفی شده و مزایا و معایب آن برشمرده شود. براین اساس در ادامه این مستند، و در بخش دوم ضمن بیان نیازمندیهای امنیتی محصول فایروال و UTM، ضرورت وجود این تکنولوژی بررسی میشود. در بخش 3 معماری و مکانیسمهای امنیتی محصولات UTM شرح داده میشود. در پایان نتیجهگیری و جمعبندی ارائه میشود.

 تکنولوژی فایروال و نیازمندیهای جدید

 تهدیدات محتمل سیستمهای رایانه ای

به منظور مقابله با تهدیداتی که حوزههای مختلف فنآوری اطلاعات ممکن است با آنها مواجه باشد، شناخت نوع تهدید ضروری به نظر میرسد. بدیهی است سیستم یکپارچه مقابله با تهدیدات باید بصورت مشخص انواع مورد نظر را پوشش داده و راهکارهای پیشنهادی را ارائه نماید.

انواع حملات و تهدیدات را میتوان به صورت زیر دستهبندی نمود:

  •  حملات تخریب سرویس
  •  حمله از طریق برنامه مخرب
  •  حمله انسانی و فیزیکی

در هر یک از دسته حملات فوق، فعالیتهای متفاوتی از سوی مخربین قابل انجام است.در این بخش فهرستی از این فعالیتها بیان میشوند.

حملات تخریب سرویس

در این نوع حمله، مهاجم تلاش مینماید تا دسترسی منابع رایانه توسط سایر کاربران را ناممکن سازد. برای دستیابی به این هدف، چنانچه منابع مشترک سیستم به گونهای توسط مهاجم اشغال گردیده و حجم استفاده از آنها افزایش یابد که دیگران قادر به استفاده از آنها نباشند، عملاً حمله به منابع سیستم صورت گرفته است. این نوع حمله میتواند به تخریب منابع منجر گردد و یا استفاده از آنها را غیرممکن سازد. برخی از فعالیتهای این نوع تهدید بصورت زیر قابل بیان است.

  • تخریب، پر کردن و خذف فایلهای اساسی دیسک
  • تولید پردازش و اشغال پهنای باند پردازنده
  • تخریب و کنترال سرویسهای شبکه توسط مهاجم
  • ذخیره پیامهای پخش شده، ارسال پیام و درخواست پاسخ از رایانههای شبکه
  • استفاده از اتصالهای غیر باز

حمله از طریق برنامه مخرب

در این نوع حملات، برنامهها بهگونهای نوشته میشوند که رفتاری مخرب و غیر عادی داشته باشند. معمولاً این برنامهها از طرق مختلف برای کاربران رایانه ارسال شده و کاربر بدون توجه به وجود دستورالعمل مخرب نسبت به اجرای آن اقدام مینماید. شیوههای مختلف تخریب این برنامهها بصورت زیر میباشد.

  • حمله به برنامههای سرویسدهنده شبکه
  • تخریب نرم افزارها از طریق ارسال پست الکترونیکی
  • ارسال هرزنامه ها
  • استفاده از دربهای مخفی جهت دسترسی غیرمجاز
  • اسبهای تراوا و کرمها

حمله انسانی و فیزیکی

چنانچه بر اساس ضعفهای موجود در برخی از سیستمها، نفوذگر بتواند به عنوان راهبر سیستم شناخته شود، با در دست گرفتن کنترل سیستم میتواند صدماتی را وارد نماید.

بعلاوه هر مخربی میتواند بصورت فیزیکی منابع سیستم را مورد حمله قرار داده و کارکرد آن را دچار مشکل سازد. فعالیتهای زیر توسط مخاجم قابل انجام میباشد:

  • سرقت رمز عبور
  • نفوذ از طریق برقراری روابط اجتماعی
  • تخریب فیزیکی منابع رایانه ای و شبکه ای

 

نقش ابزارهای کنترل ترافیک

امروزه فایروالهای حالتمند ، IDSها، و آنتی ویروسهای مبتنی بر میزبان 2 محبوبترین محصولات امنیتی را تشکیل میدهند. اما این راهحلها به سرعت در حال از دست دادن تاثیر خود در برابر نسل جدید تهدیدات میباشند و متخصصان فن- آوری اطلاعات حملات و سرایتهای موفق متعددی را بر ضد امنیت و زیرساخت شبکه مشاهده میکنند.

نقش سیستمهای فایروال سنتی و کمبودهای آنها

فایروالهای حالتمند در ابتدا برای امنسازی ارتباط با اینترنت بوسیله یک واسط امن بین شبکههای قابل اعتماد و غیر قابل اعتماد طراحی شدند. این فایروالها با دقت در سرآیند لایه شبکه (L3)، و لایه پروتکل (L4) بسته را نظارت کرده و بر اساس آن به ترافیک اجازه ورود داده، درخواست ورود آن را رد کرده، و یا ترافیک را دوباره بر اساس مجموعهای از خطمشیهای فایروال مسیریابی میکنند. مشکل اصلی فایروالها در این است که هکرها روشهای متعددی را برای گذشتن از خطمشیهای فایروال توسعه دادهاند. بعضی از این روشها شامل موارد زیر میباشند:

  • پویش پورتهای باز روی فایروال و یا سیستمهای موجود در ناحیه قابل اعتماد
  • نرمافزارهای مخرب نظیر تروژانهایی که روی سیستمهای موجود در ناحیه قابل اعتماد نصب شدهاند و میتوانند به عنوان شروع کننده حملات نقش داشته باشند.
  • عدم توانایی فایروالهای نسل قدیمی در بازرسی بخش دادهای بسته جهت شناسایی انواع کدهای مخرب نظیر ویروس، کرم و یا تروژان، میتواند بهعنوان یک مسیر قابل نفوذ برای حمله مورد استفاده قرار گیرد.
  • بسیاری از فایروالهای جدید که قابلیت بازرسی عمیق 3 را پشتیبانی میکنند، در مقابل بستههای تکهتکه شده آسیبپذیر هستند.
  • کاربران با استفاده از سیستمهای قابل حمل نظیر Laptop و یا PDA، میتوانند حامل انواع کدهای مخرب و آلوده از بیرون به داخل سازمان شوند.

در نتیجه باید اذعان داشت که فایروالهایی که ما را احاطه کردهاند کمکی در جهت ممانعت از حملات و سرایتهایی که از داخل شبکه قابل اعتماد آغاز شده باشند نمیکنند.

نقش سیستمهای IDS سنتی و کمبودهای آنها

همانند فایروالهای سنتی، IDSهای سنتی با آمدن تهدیدات مدرن و پیچیده جای خود را به فنآوریهای جدیدتر میدهند. حمله کنندگان ضعفهای سیستمهای IDS را شناخته و متدهای جدیدی برای گذشتن از این سیستمهای نظارتی پیادهسازی کردهاند. مثالهایی از ضعف سیستمهای IDS عبارتند از:

  • محصولات IDS معمولاً در نقاط لبهای شبکه مستقر میشوند و نظارتی بر کل شبکه ندارند.
  • سیستمهای IDS معمولاً به عنوان ابزارهای نظارتی کاربری دارند و قابلیت ممانعت از ترافیک مشکوک در این سیستمهای وجود ندارد.
  • به دلیل نحوه بازرسی در سیستمهای IDS، این سیستمها معمولاً در مقابل حجم بالای ترافیک آسیبپذیر میشوند.
  • اغلب سیستمهای IDS حجم زیادی false positive تولید میکنند که برای جلوگیری از این امر نیاز به نظارت مداوم بر کار IDS میباشد.

برای حل مشکلات فوق، بسیاری از تولید کنندگان محصولات IDS، به سمت تولید نسل جدیدی از این محصولات به نام IPS روی آوردهاند. سیستمهای IPS میتوانند به صورت Inline در توپولوژی شبکه قرار گیرند و کنشهای مورد نیاز مدیر نظیر Drop و یا Reset را اعمال نمایند. این محصولات همچنین میتوانند از مکانیسمهای تشخیص Anomaly بهرهمند شوند.

آنتی ویروسهای مبتنی بر میزبان و کمبودهای آنها

یکی از پر کاربردترین نرمافزارهای امنیتی، سیستمهای آنتی ویروس مبتنی بر میزبان است. این نرمافزارهای آنتی ویروس بهعنوان یکی از معمولترین راهحلهای امنیتی در سازمانها استفاده میشوند. قدمت استفاده از این نرمافزارهای از سال 1980 میلادی و بهدلیل حضور فایلهای ویروسی میباشد. گرچه حضور نرمافزارهای آنتی ویروس مبتنی بر میزبان یک ضرورت در سازمانهای تلقی میشود ولی این راهحلها شامل نقاط ضعف نیز میباشند که در ادامه برخی از آنها بررسی میشوند.

  1. فرآیند نصب، نگهداری و ارتقای الگوهای ویروسی برای این نرمافزارهای پیچیده است. باید توجه داشت که این نرمافزارها باید در تمامی میزبانهای موجود در سازمان نصب شوند.
  2. کاربران بهصورت عمدی و یا غیرعمدی میتوانند آنتی ویروس خود را غیرفعال نمایند. § اغلب کاربران یک فرایند منظم جهت بهروز رسانی الگوهای ویروس برای نرمافزار آنتی ویروس خود اتخاذ نمیکنند و معمولاً در مقابل اخیرترین نسخه ویروسها آسیبپذیر هستند.
  3. برخی از تروژانهای پیشرفته قادرند قبل از فعال شدن آنتی ویروس روی میزبان فعال شوند و همچنین از فعال شدن آنتی ویروس نیز جلوگیری میکنند.

بدیهی است سازمانهایی که از نرمافزارهای آنتی ویروس مبتنی بر میزبان استفاده میکنند، در زمینه امنیت سیستم عامل میزبان و برنامه کاربردی از سطح امنیتی خوبی برخوردارند. ولی باید توجه داشت که این سطح امنیتی برای سازمان کافی نیست. بهطور خاص باید توجه داشت که بسیاری از کدهای مخرب از ناحیه غیرقابل اعتماد وارد نواحی قابل اعتماد شبکه میشوند. بنابراین سازمان باید بتواند این کدهای مخرب را قبل از رسیدن به میزبانهای تشخیص داده و بلاک نماید.

تعریف UTM

نام UTM یا مدیریت یکپارچه تهدیدات الکترونیکی عبارتی است که برای اولین بار توسط شرکت IDC در سال 2004 ابداع شد. محصول UTM یک راهحل جامع امنیتی است که مسئول محافظت سیستم در برابر چندین نوع تهدید میباشد. یک محصول UTM معمولا شامل فایروال، VPN، نرم افزار آنتی ویروس، فیلترینگ محتوا، فیلتر اسپم، سیستمهای جلوگیری و تشخیص حمله (IPS)، حفاظت از Spywareها، و نظارت، گزارشگیری، و مدیریت یکپارچه میباشد.

از UTM میتوان به عنوان نسل تحول یافته محصولات Firewall/VPN و حتی دروازههای امنیتی نام برد که سعی در ارائه سرویسهای امنیتی به کاربران یک سازمان به سادهترین شکل دارد. در واقع بدون وجود UTM و در راهحلهای قدیمی برای بدست آوردن تک تک این سرویسهای امنیتی ابزارهای مجزا به همراه پیچیدگیهای نصب، بهروز سازی، و مدیریت آنها نیاز بود، اما UTM با یکپارچه سازی و مدیریت متمرکز، تمامی نیازمندیهای امنیتی در یک سازمان در برابر تهدیدات الکترونیکی را برآورده میسازد.

نیاز به محصول UTM

روشهای سنتی (امنیت لایه ای به صورت چند نقطه ای)

امروزه بسیاری از سازمانها سعی در پیاده سازی سیستمهای امنیتی با ترکیب راهحلهای مختلف از فروشندگان متفاوت دارند. همگی این محصولات میبایست به صورت مجزا خریداری، نصب، مدیریت، و بروزرسانی شوند. این رویکرد مشکلاتی شامل تعامل و همکاری نامناسب بین سیستمهای امنیتی مجزا، حفاظت ناکامل، و آزمون و درستییابی زمانبر دارد، که همگی باعث کاهش پاسخ شبکه به حملات میشوند. محصولاتی که برای کار با هم طراحی نشده باشند، میتوانند در نرخ کارایی شبکه تاثیر بگذارند. همچنین هزینه لازم برای تهیه انواع محصولات مختلف امنیتی برای رسیدن به امنیت جامع در یک سازمان کوچک یا متوسط بسیار سنگین میباشد. پیچیدگی طراحی چنین راهحلی نیز در شکل 1 مشاهده میشود.

سازمانها به ندرت دارای زیرساخت IT لازم برای نگهداری و مدیریت یک چنین مخلوطی از محصولات متفاوت هستند، که هر کدام دارای سیستم مدیریت خاص خود میباشند. و در نهایت هزینه نگهداری و پشتیبانی از رویکردهای چند نقطهای برای یک سازمان کوچک یا متوسط بسیار زیاد میباشد. به دلیل این مشکلات، پیچیدگیها، و ضعفها، رویکرد یکپارچه سازی محصولات UTM در سطح سازمانها مطرح میشود.

پیچیدگی-امنیت-لایه-ای-به-صورت-چند-نقطه-ای

راه حل مدرن (ابزارهای امنیتی مجتمع)

مفهوم اولیه ابزارهای امنیتی مجتمع، مفهوم جدیدی نیست و به زبان ساده به معنای ترکیب چندین کارکرد امنیتی در یک راهحل یا ابزار واحد میباشد. برخی از فروشندگان راهحلهای امنیتی، ابزارهای امنیتی مجتمعی در گذشته ارائه کردهاند. با این وجود، این راهحلهای جوان دارای کمبودهای زیادی بودهاند. به خصوص اگر یکپارچه سازی کارکردها نامناسب بوده و به صورت ضعیفی پیادهسازی شده باشد. این کمبودها میتواند شامل موارد زیر باشد:

  • کارایی نامناسب
  • کاهش قابلیت اعتماد
  • مقیاس پذیری محدود
  • افزایش پیچیدگی مدیریت
  • امنیت نامناسب

به طور کلی رویه یکپارچه سازی کارکردهای امنیتی باید بهنحوی انجام شود که تکنولوژیهای مختلف استفاده شده بتوانند در کنار یکدیگر فعالیت نمایند. نتیجه این یکپارچه سازی محصول Appliance خواهد شد که قابلیت توسعه سرویسهای امنیتی جدید را خواهد داشت و از یک مکانیسم دفاع امنیتی لایهای جهت مقابله با تهدیدات امروز و آینده بهرهمند میباشد. همچنین محصول نهایی در کنار توان دفاع امنیتی بالا، باید بتواند لحاظ هزینه مقرون بهصرفه باشد. در شکل 2 استفاده از راهحل یکپارچه سازی مکانیسمهای امنیتی در قالب یک محصول UTM در شبکه مورد نظر آورده شده است.

 

راه-حل-یکپارچه-سازی-مکانیسمهای-امنیتی-در-قالب-یک-محصول-UTM

محصول UTM

پیشبینی توسعه در دنیا

بازار چشمگیر محصولات امنیتی UTM روند تولید محصولات تک کاربرد را به سمت ارائه چندین ویژگی امنیتی در یک سکو، در محیطهایی منعطفتر میبرد. به گفته چالرز کولوجی مدیر بخش تحقیقات محصولات امنیتی در UTM ،IDC با ارائه برنامههای کاربردی امنیتی با کارایی بالا، و صرفهجویی در هزینههای عملیاتی و سرمایه، به سرعت در حال محبوبتر شدن است 1[.

بر طبق آمار IDC، بخش فروش UTM در گروه ابزارهای امنیت شبکه سریعترین رشد را در بازار داشته است. (بیش از 100 میلیون دلار سود در سال 2003 که با افزایش 160 درصدی نسبت به سال 2002 همراه بود.) طبق همین گزارش در سال 2008 از کل سود فروش 3,45 میلیارد دلاری دسته محصولات مدیریت امنیت شامل UTM، فایروالهای سنتی، و ابزارهای UTM ،VPN به تنهایی 58 درصد سود فروش را خواهد داشت. همین پیشبینی نشان میدهد که سود فروش فایروالهای سنتی رو به کاهش خواهد بود و این نشان از جایگزینی نیاز مشتریان در زمینه فایروال با محصولات UTM خواهد بود. بخشی از این پیشبینی در شکل 3 آورده شده است ]1[.

با توجه به رشد نیاز به محصولات UTM در بازار، فرآیند تولید این محصول در بسیاری از شرکتهای تولید کننده محصولات امنیتی شکل گرفته است. این فرآیند در شرکتهای تولید کننده محصولات Firewall/VPN با نگرش ارتقاء محصول به UTM با سرعت بیشتری به نتیجه رسیده است، بهطوری که بیشتر شرکتهای معتبر در زمینه تولید محصولات Firewall/VPN، امروزه محصول خود را برای تبدیل به UTM ارتقاء داده و با این نام در بازار تجارت میکنند.

معماری محصول

همانطور که در بخش قبلی شرح داده شد، محصول UTM امنیت را در کل لایههای شبکه و بهطور خاص در لایه محتوا ارائه میکند. برای این منظور باید چندین مکانیسم امنیتی را بهصورت یکپارچه ارائه نماید. این مکانیسمهای امنیتی شامل موارد زیر میباشد.

  • فایروال با قابلیت بازرسی حالتمند ترافیک
  • ارائه سرویس VPN با قراردادهای متنوع
  • امکان تشخیص و جلوگیری از حمله (IPS)
  • آنتی ویروس مبتنی بر دروازه
  • فیلترینگ محتوای ترافیک (بهطور معمول برای محتوای Web و Mail ارائه میشود.)
  • فیلترینگ اسپم روی ترافیک Mail
  • مدیریت پهنای باند

نکته کلیدی در تولید محصولات UTM ارائه یک معماری مناسب برای چیدمان مکانیسمهای فوق میباشد که بتواند بهترین کارایی را روی محصول ارائه نماید. بدیهی است با افزایش میزان بازرسی ترافیک در مکانیسمهای امنیتی مختلف، امکان تاخیر و کاهش کارایی شبکه نمایان میشود. در این راستا استفاده از ایدههایی نظیر استفاده از شتابدهندههای سخت افزاری میتواند برخی از مشکلات را مرتفع سازد. این ایده در بسیاری از شرکتهای بزرگ تولیدکننده محصولات امنیتی استفاده میشود.

شکل 4 یک معماری نمونه از محصول UTM را نشان میدهد. چیدمان مکانیسمهای امنیتی و ترتیب بازرسی ترافیک در این محصول یکی از پارامترهای اصلی این معماری میباشد. در این معماری اولین بازرسی امنیتی توسط ماژول حالتمند انجام میشود که منجر به حذف بسیاری از تهدیدات میشود. همچنین این ایده میتواند منجر به تولید مفهوم نشست برای بازرسی در ماژولهای امنیتی دیگر شود. از نکات دیگر این معماری قرار دادن بازرسیهای محتوا در انتهای حرکت بسته میباشد. این ایده بهدلیل عدم نیاز به بازرسی محتوای ترافیکهای مشکوک میباشد. بدیهی است ترافیکی که توسط ماژول حالتمند متوقف شود، نیاز به بازرسی محتوایی توسط ماژول AntiSpam نمیباشد.

 

جریان-بازرسی-ترافیک-در-یک-محصول-UTM

شکل 4 جریان بازرسی ترافیک در یک محصول UTM معماری ارائه شده در شکل 4 میتواند در یک محصول UTM مورد استفاده قرار گیرد ولی نکته کلیدی در پیادهسازی این معماری ملاحظات پیادهسازی ارتباطات بین ماژولها میباشد. برای نمونه معماری ارائه شده در [] با هدف کاهش تعداد IPCها بین مولفههای محصول میباشد. همچنین نکته دیگری که در پیادهسازی این معماری باید در نظر گرفت، نوع مدل مدیریتی است که محصول برای مدیر ارائه میکند.

مزایای UTM

  •  مدیریت یکپارچه
  1. § مدیریت چندین کاربرد از یک محل و توسط یک ابزار
  2. § ایجاد و پیادهسازی آسان و سریع خطمشیهای سراسری سازگار
  3. § تکیه بر گزارشات و نظارتهای برخط و تعاملی
  4. § استفاده از تنها یک واسط مستقیم برای نصب و مدیریت تمامی ویژگیهای امنیتی

· UTM به عنوان یک محصول یکپارچه فرآیند انتخاب محصولات امنیتی مورد نیاز، یکپارچه سازی آنها، و پشتیبانیهای آتی را ساده کرده است.

  • محصولات UTM دارای مراحل نصب کم، ساده و عمدتاً بهصورت plug and play هستند.
  • از آنجائیکه کاربران عمدتاً تمایل به دستکاری تنظیمات دارند، در بستههایی مانند ابزار UTM با کاهش تعامل اپراتور، خرابیهای ایجاد شده توسط آنها کاهش مییابد و در نتیجه امنیت افزایش مییابد.
  • به دلیل اینکه تنها یک ابزار واسط امنیتی وجود دارد، در مواقع بروز مشکل برای عیبیابی، این وسیله حتی توسط یک فرد غیر متخصص قابل خارج شدن از مدار میباشد.
  • هزینه لازم برای فراهم آوردن سطح امنیت مورد نیاز در یک سازمان توسط ابزارهای مجزای امنیتی بسیار بیشتر از هزینه راهحل UTM میباشد.

چالشهای تولید محصول

با توجه به توصیف ارائه شده از محصول UTM، میتوان این محصول را در رده محصولات پیچیده برای تولید قرار داد. بنابراین چالشهای یک محصول پیچیده و بزرگ را برای تیم تولید خواهد داشت. علاوهبر این طبق نظر تولیدکنندگان این محصول، چالش اصلی برای تولید مساله کارایی محصول و میزان تاخیر شبکه برای بازرسی تمامی مکانیسمهای امنیتی است. این چالش به عنوان مساله اصلی برای انتخاب بین مشتریان نیز مورد نظر میباشد. در این راستا تولیدکنندگان به دنبال ایدههای جدید در تولید این محصول با معماری کاراتر میباشند و در این حین تحقیقاتی نیز نظیر انجام شده است.

جمع بندی و نتیجه گیری

در این مقاله تکنولوژی جدید محصولات امنیت شبکه با نام UTM ارائه شد. همچنین مزایا، معماری و چالشهای اصلی در تولید این محصول مورد بررسی قرار گرفت. طبق پیشبینیهای انجام گرفته، آینده محصولات امنیت شبکه نظیر فایروالها به سمت محصول UTM خواهد بود1[ و ]2. این محصول چندین مکانیسم امنیتی را در کنار هم و بهصورت یکپارچه ارائه میکند. همچنین ایده اصلی محصول UTM مدیریت تهدیدات شبکه در تمامی لایه ها، خصوصاً در محتوا میباشد. با توجه به رشد سریع در تولید محصول UTM و نیاز اساسی شبکه های کامپیوتری به این محصول، به نظر میرسد که دولت و شرکتهای خصوصی باید برنامه ویژهای را برای تولید این محصول در داخل کشور تدوین نمایند.

 

گروه فنی و مهندسی وی سنتر آمادگی خود را برای ارائه مشاوره فنی در خصوص مباحث امنیت شبکه اعلام می دارد.

شماره تماس: 88884268


  • ۰

آموزش کامل Forefront TMG 2010

شاید برای بسیاری از کاربران این سوال مطرح باشد که آیزا سرور و یا TMG چیست و کاربرد آن چیست؟  در این مقاله به بررسی این موضوع خواهیم پرداخت.

آیزا سرور نرم افزاری از شرکت مایکروسافت می باشد و چند کار مهم در شبکه را انجام میدهد. کارهای مهم آیزا سرور حسابداری کاربران شبکه(Accounting) ، مدیریت امنیت شبکه (Firewalling) و کش کردن اطلاعات کاربران می باشد.

ISA Server از سال ۲۰۰۶  به بعد با نام foreFront TMG به بازار عرضه شده است.

برای دریافت کتاب کامل آموزش TMG بر روی لینک های ذیل کلیک کنید:

آموزش TMG – درس اول

آموزش TMG – درس دوم

آموزش TMG – درس سوم

آموزش TMG – درس چهارم

آموزش TMG – درس پنجم

آموزش TMG – درس ششم

آموزش TMG – درس هفتم 

آموزش TMG – درس هشتم

آموزش TMG – درس نهم

آموزش TMG – درس دهم

آموزش TMG – درس یازدهم 

آموزش TMG – درس دوازدهم


  • ۰

فایروال Firewall

انواع دیواره آتش ها

دیواره آتش ها به دو شکل سخت افزاری (خارجی) و نرم افزاری (داخلی) ارائه می شوند :

1- دیواره آتشهای سخت افزاری :

این نوع از دیواره آتش ها که به آنان دیواره آتش های شبکه نیز گفته می شـود ، بـین کـامپیوتر هـا و کابل و یا خط DSL قرار خواهد گرفت.تعداد زیادی از تولید کنندگان و برخی از مراکز ISP ، دسـتگاههـایی با نام Router را ارائه می دهند که دارای یک دیواره آتش نیز می باشند.

دیواره آتش های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بـوده و یـک سـطح مناسـب حفاظتی را ارائه می نمایند.

دیواره آتش های سخت افزاری ، دستگاههای سخت افزاری مجزائی مـی باشـند کـه دارای سیـستم عامـل اختصاصی خود می باشد. بنابراین بکارگیری آنان باعث ایجاد یک لایـه دفـاعی اضـافه در مقابـل تهاجمـات می گردد.

2- دیواره آتش نرم افزاری :

برخی از سیستم عامل ها دارای یک دیواره آتش تعبیه شده درون خود مـی باشـند. بنـابراین مـی تـوان دیواره آتش موجود در سیستم عامل را فعال نموده تا یک سطح حفاظتی در خصوص ایمن سـازی کـامپیوتر و اطلاعات (به صورت نرم افزاری)ایجاد گردد.

در صورتی که سیستم عامل نصب شده بر روی کامپیوتر فاقد دیواره آتش باشد ، می تـوان اقـدام بـه تهیـه یک دیواره آتش نرم افزاری کرد. که در اینحالت برای نـصب دیـواره آتـش نـرم افـزاری بایـستی از طریـق سیدی درایو این روش اقدام گردد و حتی المقدور باید از نصب دیواره آتش نـرم افـزاری از طریـق اینترنـت اجتناب نمود.چون در این روش کامپیوتر محافظت نشده می باشد و در حین نصب نـرم افـزار امکـان ایجـاد مشکلات برای سیستم امکان پذیر می باشد.

 

نحوه عملکرد دیواره آتش

یک دیواره آتش کل ترافیک بین دو شبکه را بازرسی کرده ، تا طبق معیار های حفاظتی و امنیتی پردازش شـوند.

پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد :

1) اجازه عبور بسته صادر می شود.(Accept mode)

2) بسته حذف می شود.(Blocking Mode)

3) بسته حذف شده و پاسخ مناسب به مبدأ آن بسته داده می شود. (Response Mode)

همچنین علاوه بر حذف بسته می توان عملیاتی نظیر ثبـت ، اخطـار ، ردگیـری و جلـوگیری از ادامـه اسـتفاده از شبکه هم در نظر گرفت.

به مجموعه قواعد دیواره آتش سیاست امنیتی نیز گفته می شود. همانطور که همه جا عملیـات ایـست و بازرسـی وقت گیر است ، دیواره آتش هم بعنوان گلوگاه می تواند منجـر بـه بـالا رفـتن ترافیـک ، تـاخیر ازدحـام و نهایتـاً بنبست در شبکه شود.گاهی اوقات بسته ها آنقدر در پشت دیوار آتش معطل می مانند تا زمان طول عمرشان بـه اتمام رسیده و فرستنده مجبور می شود مجدداً اقدام به ارسال آنها کند و این متناوباً تکرار مـی گـردد. بـه همـین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا کمترین تاخیر را در اطلاعات امن و صـحیح ایجـاد نمایـد. تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید بگونه ای باشد که بحران ایجاد نکند.

از آنجایی که معماری شبکه به صورت لایه لایه است. و مدل های مختلفی در طراحی شبکه می باشد، در مـدل TCP/IP برای انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایـه هـا را بگذارنـد، هـر لایـه برای انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اضافه کرده و آن را تحویل لایه پایین تر می دهد. قسمت اعظم کار یک دیواره آتش تحلیل فیلد های اضافه شـده در هـر لایـه و header هـر بـسته مـی باشـد. سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنا بر ماهیتشان در یکـی از لایـه هـای دیوار آتش تعریف می شوند :

1- قواعد تعیین بسته های ممنوع در اولیه لایه از دیواره آتش

2- قواعد بستن برخی از پورت ها متعلق به سرویسهای مانند FTP یا Telnet در لایه دوم

3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم

 

بنابراین دیواره آتش دارای سه لایه می باشد ،که جزئیات هر کدام به شرح زیر می باشد:

الف) لایه اول دیواره آتش :

لایه اول دیواره آتش براساس تحلیل بسته IP و فیلد هـای header ایـن بـسته کـار مـی کنـد و در ایـن بـسته فیلدهای زیر قابل نظارت و بررسی هستند:

1- آدرس مبدا : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص حق ارسال بسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف نشود.

2- آدرس مقصد : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص دریافـت بـسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف شود. ( آدرس های IP غیر مجاز توسط مسئول دیواره آتش تعریف می شود.)

3-شماره شناسایی یک دیتاگرام قطعه قطعه شده (Fragment & Identifier offset) : بسته هایی کـه قطعـه قطعه نشده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف نشوند.

4-شماره پروتکل: بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می توانند حذف نشوند. یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر؟

5-زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مـشکوک هـستند و بایـد حذف نشوند. 6-بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیواره آتش قابل بررسی هستند.

مهمترین خصوصیت لایه ازن از دیواره آتش آنست که در این لایه بسته ها بطور مجزا و مستقل از هـم بررسـی می شوند و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یـک بـسته نیـست. بهمـین دلیـل سـاده تـرین و سریعترین تصمیم گیری در این لایه انجام می شود. امروزه برخی مسیر یابها با امکـان لایـه اول دیـوارآتش بـه بازار عرضه می شوند. یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنهـا مسیریابهای فیلترکننده بسته (Pocket Filtering Routre) گفته می شود. بنابراین مسیریاب قبل از اقـدام بـه مسیریابی براساس جدولی، بسته های IP را غربال می کند و تنظیم این جـدول براسـاس نظـر مـسئول شـبکه و برخی قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در ایـن لایـه دقیقتـر و سـخت گیرتـر باشـند، حجـم پردازش در لایه های بالاتر کسر و در عین حال احتمال نفوذ پایین تر خواهد بود، ولـی در مجمـوع بخـاطر تنـوع میلیاردی آدرس های IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امکان پـذیر خواهـد بـود و ایـن ضـعف در لایه های بالاتر باید جبران شود.

ب) لایه دوم دیوار آتش:

در این لایه از فیلدهای header لایه انتقال برای تحلیل بسته استفاده می شود. عمـومی تـرین فیلـدهای بـسته لایه انتقال جهت بازرسی در دیوارآتش عبارتند از:

1-شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورت های استاندارد شـناخته شـده هـستند، ممکـن اسـت مسئول یک دیوار آتش بخواهد سرویس FTP فقط در محـیط شـبکه محلـی امکـان پـذیر باشـد و بـرای تمـام ماشینهای خارجی این امکان وجود نداشته باشد. بنابراین دیـواره آتـش مـی توانـد بـسته هـای TCP بـا شـماره پورتهای 20 و 21 ( مربوط به FTP ) که مقصد ورود و خـروج از شـبکه را دادنـد، حـذف کنـد. یکـی دیگـر از سرویسهای خطرناک که ممکن است مورد سوء استفاده قرار گیرند Telnet می باشد کـه مـی تـوان بـه راحتـی پورت 23 را مسدود کرد یعنی بسته هایی که مقصدشان شماره پورت 23 است، حذف شوند.

2-فیلد شماره ترتیب و فیلد Ackrowledgment : این دو فیلد نیز بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.

3- کدهای کنترلی (TCP code Bits) : دیواره آتش با بررسی ایـن کـدها، بـه ماهیـت آن بـسته پـی بـرده و سیاست های لازم را بر روی آن اعمال می کند. بعنوان مثال یک دیواره آتش ممکن است بگونه ای تنظیم شـود که تمام بسته هایی که از بیرون به شبکه وارد می شـوند و دارای بیـت SYN=1 هـستند را حـذف کنـد. بـدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگـذرد و چون در ارتباط TCP ، تا مراحل سه گانه اش به پایان نرسد، انتقال داده امکان پذیر نیست.

لذا قبل از هر گونه مبادله دیواره آتش می تواند مانع برقراری هر ارتباط غیر مجـاز شـود. بـدین معنـا کـه دیـواره آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نمـوده و در صـورت قابـل اطمینان نبودن مانع از برقراری ارتباط گردد. دیواره آتش این لایه نیاز به جدولی از شماره پورت های غیـر مجـاز دارد.

ج) لایه سوم دیواره آتش :

در این لایه حفاظت براساس نوع سرویس و برنامه کاربردی انجام می شـود. بـدین معنـا کـه بـا در نظـر گـرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد. تعداد header در این لایـه بـسته بـه نـوع سـرویس بـسیار متنوع و فراوان است.

بنابراین در لایه سوم دیواره آتش برای هر سرویس مجزا (ماننـد وب، پـست الکترونیـک و …) بایـد یـک سلـسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است. بنابراین توصیه می شود که تمام سرویس های غیر ضروری و شماره پورت هـایی کـه مـورد اسـتفاده نیـستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.

انواع فایروال های از لحاظ عملکرد

انواع مختلف فایروال ها اعم از سخت افزاری و نرم افزاری (که در واقع به نـوعی فـایروال هـای سـخت افـزاری خود دارای سیستم عامل و نرم افزارهای مربوط به خود مـی باشـند و بایـستی تنظـیم گردنـد)، روش انجـام کـار توسط آنها متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیـشنهادی فـایروال هـا مـی شـود. بنابراین براین اساس، فایروال ها را به 5 گروه تقسیم می نمایند:

1- دیواره های آتش سطح مدار (Circuit – Level Firewall)

این دیواره های آتش به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP با رایانـه پـشتیبان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند. تنهـا پـس از برقـراری ارتبـاط اسـت کـه اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها بـه بـسته هـای داده ای مـرتبط اجـازه عبـور میدهند. این نوع از دیواره های آتش هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمـی دهنـد و لـذا سرعت خوبی دارند ضمناً امکان ایجاد محدودیت بر روی سایر پروتکل ها (غیر از TCP) را نیز نمی دهند.

2-دیواره های آتش پروکسی سرور (Proxy Based Firewall)

فایروال های پروکسی سرور به بررسی بسته های اطلاعات در لایـه کـاربرد مـی پـردازد. یـک پروکـسی سـرور درخواست ارائه شده توسط برنامه های کاربردی را قطع می کند و خود به جای آنها درخواست را ارسال می کنـد. نتیجه درخواست را نیز ابتدا خود دریافت و سپس بـرای برنامـه هـای کـاربردی ارسـال مـی کنـد. ایـن روش بـا جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیـت بـالایی را تـامین مـی کنـد. از آنجایی که این دیوارههای آتش پروتکل های سطح کاربرد را می شناسند، لذا می توانند بر مبنای این پروتکلهـا محدودیت هایی را ایجاد کنند. همچنـین آنهـا مـی تواننـد بـا بررسـی محتـوای بـسته هـای داده ای بـه ایجـاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این دیوارههای آتش بیانجامـد. همچنـین از آنجایی که این دیواره های آتـش بایـد ترافیـک ورودی و اطلاعـات برنامـه هـای کـاربردی کـاربر انتهـایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیـستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند این دیواره های آتش را به کار گیرد. هـر برنامـه جدیدی که بخواهد از این نوع دیوارهآتش عبور کند، باید تغییراتی در پشته پروتکل دیوارهآتش ایجاد کرد.

عملکرد دیواره آتش پروکسی سرور بدین صورت می باشد که بطور مثال زمانی که یک کـامپیوتر مبـدا تقاضـای یک نشست (_Session) مانند FTP یا برقراری ارتباط TCP با سرویس دهنده وب را بـرای، کـامپیوتر ارسـال می کند، فرایند زیر اتفاق می افتد: پروکسی به نیابت از کامپیوتر مبدأاین نشست را برقرار می کند. یعنی طرف نشست دیـواره آتـش خواهـد بـود نـه کامپیوتر اصلی. سپس یک نشست مستقل بین دیواره آتش و کامپیوتر مقصد برقرار مـی شـود. پروکـسی داده هـا مبدا را می گیرد، سپس از طریق نشست دوم برای مقصد ارسال می نمایـد. بنـابراین در دیـواره آتـش مبتنـی بـر پروکسی هیچ نشست مستقیم رودرویی بین مبدا و مقصد شکل نمی گیرد، بلکه ارتباط آنها بوسیله یـک کـامپیوتر واسط برقرار می شود. بدین نحو دیوارهآتش قادر خواهد بود بر روی داده های مبادله شده درخلال نشست اعمـال نفوذ کند. حال اگر نفوذ گر بخواهد با ارسال بسته های کنترلی خاص ماننـد SYN-ACK کـه ظـاهراً مجـاز بـه نظر می آیند واکنش ماشین هدف را در شـبکه داخلی ارزیابی کند، در حقیقـت واکـنش دیـواره آتـش را مـشاهده می کند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.

همچنین دیواره آتش پروکسی سرور به حافظه نسبتاً زیاد و CPU بسیار سریع نیازمندند و لـذا نـسبتاً گـران تمـام می شوند، بدین علت که این نوع دیواره آتش باید تمام نشست های بین ماشـین هـای درون و بیـرون شـبکه را مدیریت و اجرا کند، لذا گلوگاه شبکه محسوب می شود و هرگونه تاخیر یا اشکال در پیکربندی آن ، کـل شـبکه را با بحران جدی مواجه خواهد نمود.

3- دیواره آتش غیر هوشمند یا فیلترهای Nosstatful pocket

این نوع دیواره آتش روش کار ساده ای دارند . آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعـه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیم ها با توجه اطلاعـات آدرس دهی موجود در پروتکل های لایه شبکه ماننـد IP و در بعـضی مـوارد بـا توجـه بـه اطلاعـات موجـود در پروتکل های لایه انتقال مانند سرایندهای TCP و UDP اتخاذ می شود.این فیلترها زمانی می توانند بـه خـوبی عمل کنند که فهم خوبی از کاربرد سرویس های مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این نـوع دیواره آتش می توانند سریع باشند ، چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی دربـاره پروتکـل هـای لایه کاربرد ندارند.

4- دیواره آتش هوشمند یا فیلترهای Stateful packet : دیواره آتشی که قادر باشد مشخصات ترافیک خروجی از شبکه را برای مدتی حفظ کنند و بر اساس پردازش آنها مجوز عبور صادر نمایند ، دیواره آتش هوشـمند نامیـده می شوند. این فیلتر ها یا به نوعی دیواره آتش باهوش تر از فیلتر های ساده هستند. آنهـا تقریبـاً تمـامی ترافیـک ورودی را بلوکه می کنند ، اما می توانند به ماشین های پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنهـا ایـن کار را با نگهداری رکورد اتصالاتی که ماشین های پشتشان در لایه انتقـال مـی کننـد ، انجـام مـی دهنـد. ایـن فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی دیواره آتش در شبکه مدرن هستند. این فیلترها میتواننـد ردپای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ، ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدأ و مقصد ، شماره ترتیب TCP و پرچم هـای TCP . بـسیاری از فیلتر های جدید Stateful می توانند پروتکل های لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لـذا می توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل ها انجام دهند.همچنین فیلتر های هوشمند باعث می شود بسته هایی که با ظاهر مجاز می خواهند درون شبکه راه پیـدا کننـد را از بسته های واقعی تمیز داده شوند. بزرگترین مشکل این فیلتر ها غبله بر تاخیر پردازش و حجم حافظـه مـورد نیاز می باشد، ولی در مجموع قابلیت اعتماد بسیار بالاتری دارند و ضریب امنیت شبکه را افـزایش خواهنـد داد؛ و بطور کل یک دیواره آتش یا فیلتر هوشمند پیشینه ترافیک خروجی را برای چند ثانیه آخر به خـاطر مـی سـپارد و بر اساس آن تصمیم می گیرد که آیا ورود یک بسته مجاز است یا خیر.؟

5- دیواره های آتش شخصی (Personal Firewall)

دیواره های آتش شخصی ، دیواره های آتشی هستند که بر روی رایانه های شخصی نصب می شوند. آنها بـرای مقابله با حملات شبکهای طراحی شده اند. معمولاً از برنامههای در حال اجرا در ماشین آگاهی دارنـد و تنهـا PC ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند.نصب یک دیـواره آتـش شخـصی بـر روی یک کامپیوتر بسیار مفید است ، زیرا سطح امنیت پیشنهادی توسط دیواره آتش شبکه را افـزایش مـی دهـد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شـده ، انجـام مـی شـوند ، دیـواره آتش شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک دیواره آتش شخصی بسیار مفید خواهـد بـود. معمـولاً نیازی به تغییر برنامه جهت عبور از دیواره شخصی نصب شده (همانند پروکسی) نیست.

موقعیت یابی برای دیواره آتش

محل و موقعیت نصب دیواره آتش همانند انتخاب نوع صـحیح دیـواره آتـش و پیکربنـدی کامـل آن ، از اهمیـت ویژه ای برخوردار است.نکاتی که باید برای یافتن جای مناسب نصب دیواره آتش در نظر گرفت ، عبارتند از :

1- موقعیت و محل نصب از لحاظ توپولوژیکی :

معمولاً مناسب به نظر می رسد که دیواره آتش را در درگاه ورودی/خروجی شبکه خصوصی نصب کرد. ایـن امـر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمـک دیـواره آتـش از یـک طـرف و جداسـازی شـبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

2- قابلیت دسترسی و نواحی امنیتی :

اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از دیواره آتـش و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی و تنظیم دیواره آتش جهت صدور اجازه بـه کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود و با هک شدن شبکه داخلـی بـدین علـت کـه در اینحالت مسیر را برای هکرها باز شده است. در حالی که با استفاده از ناحیـه DMZ ، سـرورهای قابـل دسترسـی برای شبکه عمومی از شبکه خصوصی بطور فیزیکی جدا می باشند. لذا اگـر هکرهـا بتواننـد بـه نحـوی بـه ایـن سرورها نفوذ نمایند،باز هم دیواره آتش را پیش روی خود دارند.

3- مسیریابی نامتقارن :

بیشتر دیواره های آتش مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفـی را کـه از طریـق آنهـا شـبکه داخلی را به شبکه عمومی وصل کرده است ، نگهداری کنند.اینن اطلاعات کمک می کنند تـا تنهـا بـسته هـای اطلاعاتی مجاز به شبکه خـصوصی وارد شـوند. در نتیجـه حـائز اهمیـت اسـت کـه نقطـه ورود و خـروج تمـامی اطلاعات به / از شبکه خصوصی از طریق یک دیواره آتش باشد.

4- دیواره های آتش لایه ای :

در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند دیواره آتش در مسیر اسـتفاده شـود.در ایـن حالـت اگـر اولین دیواره آتش با مشکلی روبرو گردد ، دومین دیواره آتش به کار خود ادامه می دهد. در این روش بهتـر اسـت از دیواره های آتش شرکت های مختلف استفاده گردد تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتـی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تأمین کنند.

توپولوژی های دیواره آتش

برای پیاده سازی و پیکربندی دیواره آتش هـا در یـک شـبکه از توپولـوژی هـای متفـاوتی اسـتفاده مـی گـردد . توپولوژی انتخابی به ویژگی های شبکه و خواسته های موجود بستگی خواهد داشت.

توپولوژی نوع اول : دیواره آتش Dual-Homed

در این توپولوژی که یکی از ساده ترین و در عین حال متداولترین روش استفاده از یک دیواره آتش اسـت ، یـک دیواره آتش مستقیماً و از طریق یک خط Dial-up ، خطوط ISDN و یا مودم های کـابلی بـه اینترنـت متـصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت.

دیاگرام فایروال

برخی از ویژگی های این توپولوژی عبارت از :

  • دیواره آتش مسئولیت بررسی بسته های اطلاعاتی ارسالی با توجه به قوانین فیلترینگ تعریـف شـده بـین شـبکه داخلی و اینترنت و برعکس را برعهده دارد.
  • دیواره آتش از آدرس IP خود برای ارسال بسته های اطلاعاتی بر روی اینترنت استفاده می نماید .
  • دارای یک پیکربندی ساده بوده و در مواردی کـه صـرفا” دارای یـک آدرس IP معتبـر ( Valid ) مـی باشـیم ، کارساز خواهند بود .

آخرین دیدگاه‌ها

    دسته‌ها