فایروال
فایروال سعی می کند هر دو نیاز زیر را برآورده کند.
- نیاز سازمانها و شرکتها برای اتصال به اینترنت
- نیاز به حفظ امنیت اطلاعات و برنامه های سازمانها
- تعریف :
فایروال یک یا مجموعه ای از سیستم هاست که سیاست کنترل دستی را بین شبکه ها اعمال می کند.
عموما برای محافظت از شبکه های مبتنی بر TCP/IP بکار می رود.
نقش فایروال
یک فایروال عمدتا نقشهای زیر را در شبکه ها برعهده دارد:
• انسداد ترافیک (Blocking traffic)
• باز کردن ترافیک (Permitting traffic)
• ثبت جریان ترافیک (Logging traffic)
• تصفیه بر اساس محتوای بسته ها (Content Filtering)
• فعال کردن شبکه های خصوصی مجازی(VPN)
• ترجمه آدرسهای اینترنتی(NAT)
ویژگیهای فایروال
1- در محل اتصال شبکه داخلی سازمان به اینترنت قرار می گیرد.
2- ترافیک گذرنده از داخل به خارج و برعکس ،باید از داخل فایروال عبور کند.
3- تنها اطلاعات واشخاص مجاز، با توجه به سیاستهای شبکه محلی، می توانند از فایروال عبور کنند.
4- فایروال خود نسبت به نفوذ ایمن می باشد (استفاده از trusted system)
5- مکانسیمهای کنترلی
• Service Control
- سرویسهای اینترنتی قابل دسترسی
- اعمال کنترل بر اساس آدرس IP و پورت TCP
- استفاده از proxy برای سرویسهای استاندارد(FTP، Telnet....)
• Direction Control
- اینکه یک سرویس از کدام سمت می تواند راه اندازی و پاسخ داده می شود.
• User Control
- کنترل دسترسی به سرویس بر اساس شخص درخواست کننده
• Behavior Control: کنترل نحوه استفاده از سرویسها
- مثال : انسداد سرویس ایمیل برای مقابله با spam
محدودیتها :
فایروال نمی تواند با حملات زیر مقابله کند
- حملاتی که از فایروال عبور نمی کنند
• اتصال کارکنان از طریق Dial –up
- ممانعت کامل از انتقال ویروسها و فایلهای اجرایی مخرب
انواع فایروالها
- packet Filters
- Application –Level Gateways
- Circuit – Level Gateways
packet Filters
• مبنای کلیه سیستم های فایروال می باشد.
• هر بسته IP را چک کرده (صرفنظر از محتوا) و بر اساس قوانین (rules) درباره عبور از آن تصمیم می گیرد.
o Permit
o Deny
• قوانین بر اساس IP و TCP هستند.
• فیلترینگ در هر دو جهت اعمال می شود.
• دسترسی به سرویسها قابل کنترل است. (با استفاده از پورت های TCP)
• مزیت : سادگی و شفافیت از نظر کاربران
• ضعف:
o عدم پشتیبانی از احراز هویت
o اعمال قوانین متناسب با برنامه مشکل است.
• دو سیاست پیش فرض می تواند وجود داشته باشد
o هرآنچه صریحا اجازه داده نشده غیر مجاز است.
o هر آنچه که صریحا ممنوع نشده مجاز است .
تصفیه بسته ها
تصفیه بسته ها در این نوع فایروال ها براساس فیلدهای زیر صورت می گیرد:
• نوع پروتکل(ICMP, TCP , IP....)
• آدرس IP مبدا و مقصد
• پورت مبدا و مقصد
• حالت ارتباط(پرچم های SYN ، ACK یا RST در TCP، Related،Established)
• زمان :فعال کردن سرویس در یک بازه زمانی خاص
• واسط ورودی /خروجی (eth1 , eth0)
حملات وارد بر Packet Filtering Firewalls
- جعل آدرس IP: فرستادن بسته از خارج با آدرس مبدا داخلی جعلی
• راه حل: بلاک کردن بسته های فوق
- مسیریابی از طریق مبداء :فرستنده مسیر انتقال بسته را همراه آن می فرستد.
• راه حل : بلاک کردن بسته هایی که حاوی اطلاعات مسیریابی هستند.
- بسته های IP قطعه قطعه شده
• راه حل : بلاک کردن بسته های کوچکی که گزینه تقسیم IP آنها Set شده است.
Application –Level – Gatways
بیشتر به عنوان proxy serverاطلاق می شود.
اصولا نقش واسط انتقال ترافیک در لایه کاربرد را ایفا می کند :
کاربر از proxy تقاضای سرویس می کند.
Proxy صلاحیت کاربر برای استفاده از سرویس را بررسی می کند.
Proxy با میزبان remote تماس می گیرد و قطعات TCP را منتقل می کند.
اگر کد سرویس مورد نظر در Proxy پیاده سازی نشده باشد،سرویس غیرقابل دسترسی خواهد بود.
مزایا:
- تنها با لیست محدودی از برنامه های کاربردی سرو کار دارد.
- ترافیک ورودی بسادگی قابل ردیابی و بازرسی است.
- نسبت به حملهDOS مقاومتر است.
- امکان تصفیه بر اساس محتوای بسته ها وجود دارد.
در مجموع امنیت بیشتری دارد.
معایب:
- سربار به وجود آمده برای ایجاد هر Connection جدید
- طرفین با هم ارتباط مستقیم ندارند.
- با تغییر Proxy Server ها ممکن است مجبور به تغییر پیکربندی Clientها باشیم.
در مجموع کارایی کمتری دارد.
Circuit –Level – Gateway
- عبارت است از یک سیستم stand-alone یا یک کارگزار proxy ویژه برنامه کاربردی
- ارتباط انتها به انتها (end – to -end) برقرار نمی شود.
- دوارتباط جداگانه TCP یکی با میزبان داخلی و یکی با میزبان خارجی برقرار می شود.
- ترافیک بدون کنترل محتوای داخلی آن منتقل می شود.
- عموما وقتی کاربران داخلی قابل اعتماد هستند بکار می رود.در این حالت :
• برای ارتباطات داخلی از proxy استفاده می شود.
• برای ارتباطات خارجی از circuit –level gateway استفاده می شود.
امنیت آنها :
از Packet Filter بیشتر و از Application –Level Gatewayها کمتر است.
Bastion Host
- عبارت است از یک نقطه بحرانی از نظر امنیت شبکه داخلی
- عموما proxy Server ها یا Circuit-Level Gatewayها روی آن نصب می شوند.
- نسخه امن سیستم عامل روی آن اجرا می شود.
Proxy -ها زیر مجموعه ای از ویژگی های سرویسها را پشتیبانی می کنند.
- Proxyها دسترسی به میزبان های خاصی را مجاز می شمارند.
- Proxyها جزییات وقایع امنیتی را ثبت می کنند
- Proxy ها از همدیگر مستقل هستند
- بجز خواندن فایل Config در ابتدای زمان راه اندازی ، دسترسی به دیسک ندارند(امنیت بیشتر در مقابل ویروسها و اسبهای تراوا)
پیکربندی فایروالها
Single –Homed Bastion Host
Bastion Host + Packet – Filter router -
- بسته های ورودی فقط به مقصد Bastion Host می توانند فرستاده شوند.
- بسته ها فقط ازمبدا Bastion Host می توانند به خارج فرستاده شوند.
Dual –homed Bastion Host
- ترافیک می تواند بین شبکه اینترنت و میزبانهای شبکه داخلی منتقل شود(از طریق router)
- کارگزار اطلاعات یا سایر میزبانها (در صورت لزوم) می توانند با router ارتباط داشته باشند
Screened- Subnet – Firewall
- ایجاد یک محیط ایزوله با استفاده ازدو router
- شبکه داخلی و اینترنت می توانند با زیر شبکه (subnet)داخلی ارتباط داشته باشند.
- ایجاد سه لایه دفاعی و فراهم آمدن امنیت بیشتر
فرمت این مقاله به صورت Word و با قابلیت ویرایش میباشد
تعداد صفحات این مقاله 240 صفحه
پس از پرداخت ، میتوانید مقاله را به صورت انلاین دانلود کنید
دانلود مقاله فایروال