دیواره آتش Firewalls

مقدمه :
Firewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار . معمولا یک شبکه کامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبکه تولیدات شرکت را دارید که باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود که آیا واقعا نیاز به محافظت از یک شبکه داخلی داریم و سوال دیگر اینکه چگونه از طریق یFirewall در فرهنگ کامپیوتر یعنی محافظت از شبکه های داخلی در مقابل شبکه های خطاکار .

معمولا یک شبکه کامپیوتری با تمام دسترسی ها در طرف و در طرف دیگر شما شبکه تولیدات شرکت را دارید که باید در مقابل رفتارهای مخرب محافظت شود. چند سوال مطرح می شود که آیا واقعا نیاز به محافظت از یک شبکه داخلی داریم و سوال دیگر اینکه چگونه از طریق یک شبکه عمومی مانند اینترنت به آن دسترسی داشته باشیم .
دلیل بسیار ساده ای دارد ؟ که آن نیاز به بقاء و رقابت است . اعتبار کمپانیها در اینترنت به تبلیغات تولیداتشان می باشد . اینترنت به صورت شگفت انگیزی در حال رشد است .
مانند یک فروشگاه بسیار بزرگ بیشتر مردم به طرف اینترنت می آیند وهمانطوریکه در یک فروشگاه باید محصولات سالم باشند و بعد از فروش گارانتی بشوند اطلاعات و داده و انتقالات آنها نیز باید به صورت امن و گارانتی شده باشد .
حال باید مکانیزمهایی برای حفاظت از شبکه داخلی یا اینترنت شرکت در مقابل دسترسی های غیر مجاز ارائه دهیم

Firewall های مختلفی با ساختارهای مختلف وجود دارد ولی عقیده اصلی که پشت آنها خوابیده یکسان است . شما به شبکه ای نیاز دارید که به کاربرانتان اجازه دسترسی به شبکه های عمومی مانند اینترنت را بدهد و برعکس .
مشکل زمانی پیش می آید که کمپانی شما بدون در نظر گرفتن معیارهای امنیت بخواهد به اینترنت وصل شود و شما در معرض دسترسی از طرف Server های دیگر در اینترنت هستید. نه تنها شبکه داخلی کمپانی در مقابل دسترسی های غیر مجاز آسیب پذیر است بلکه تمام Server های موجود در شبکه کمپانی در معرض خطر هستند .
بنابراین به فکر محافظت از شبکه می افتید و اینجاست که نیاز به یک Firewall احساس می شود .
به هر حال قبل از فکر کردن درباره Firewall باید سرویسها واطلاعاتی که می خواهید روی اینترنت در دسترس عموم قرار دهید مشخص کنید .

آشکارست که در ابتدا شما می خواهید مطمئن شوید که سرور شما امن است شما می توانید مجوزهای دسترسی , انتقال فایل و اجرای راه دور و همچنین منع مجوزهای ورود دوباره , Telnet , Ftp , SMTP ودیگر سرویسها . اگر شما بخواهید از این سرویسها استفاده کنید نیاز به Firewall دارید
به هر حال Firewall چیست ؟ اساسا یک فایروال جداکننده شبکه های امن از ناامن در اینترنت است . Firewall تمام اتصالاتی که از اینترنت به شبکه های محافظت وارد می شوند را فیلتر می کند .
قبل از تعریف اینکه چه نوع از Firewall ها بهترین مجموعه برای نیازهای ماست , ما باید توپولوژی شبکه را برای تعیین اجزای آن مانند Hub ها , Switch ها , Router ها و Cabling آنالیز کنیم تا بهترین Firewall که مخصوص این توپولوژی باشد را پیدا کنیم .
برای ایجاد امنیت در شبکه ما نیاز به بررسی شبکه داخلی از لحاظ مدل لایه بندی ISO آن داریم بطوریکه می دانید Reapter ها و Hub ها در لایه اول , Switch ها و Bridge ها در لایه دوم و Router ها در لایه سوم , یک Firewall در تمام لایه های شبکه می تواند عمل کند ( از جمله در هر هفت لایه ) لایه ها مسئول پاسخگویی به کنترل و ایجاد نشستها و بکارگیری آنها می باشند . بنابراین با یک Firewall ما می توانیم جریان اطلاعات را در طول ایجاد کنترل کنیم .
Firewall ها به ما امکان مدیریت دروازه های ورود به Web را می دهد و امکان تمرکز روی پروژه اصلی را می دهد .

The purpose of a Firewall


Firewall ها به تنهایی نمی توانند امنیت شبکه را برقرار کنند آنها فقط یک قسمت از سایت شما را امن می کنند و به منظور امنیت شبکه باید محدوده ای از شبکه را مشخص کنید و نیاز به این دارید که چیزهایی در شبکه که باید محدود شوند را تعیین کنید ویک سیاست امن را گسترش دهید و مکانیسمهایی برای اعمال سیاستهای مورد نظر روی شبکه را ایجاد کنید البته مکانیسمهایی پشت Firewall ها هستند که می توانید به صورت عجیبی سطح امنیت را بالا ببرید .
این مکانیسمها بعد از اعمال سیاست امنیت مشخص می شوند و نه قبل از آن . برای ایجاد یک مکانیسم امن برای محافظت از Web Site شما باید یک Firewall برای نیازهای خود مشخص کنید وآن را پیاده سازی کنید.
ایجاد امنیت از سازمانی به سازمان دیگر متفاوت است البته این بستگی به چیزی که آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روی UNIX , NT , Dos کار می کند . شما دقیقا به بستر اجرایی مورد نظر خود دقت کنید همانطور که اجرای پروژه را مشخص می کنیم باید سطوح امنیت را نیز مشخص کنیم تا بتوانیم آن را پیاده سازی کنیم . این یک روش برای موفقیت در پیاده سازی مکانیسمهای امنیت است .
Firewall ها علاوه براین که امنیت واقعی را برقرار می کنند یک نقش اساسی در مدیریت امنیت را پوشش می دهند .

Firewall Role of Protection The

Firewall ها امنیت در شبکه را برقرار می کنند و ریسک Server های روی شبکه را با فیلتر کردن کاهش می دهند به عنوان مثال : شببکه دارای ریسک کمتری می باشد به علت اینکه پروتکلهای مشخص شده روی Firewall می توانند روی شبکه اعمال وظیفه کنند .
مشکل فایروالها محدودیت آنها در دسترسی به و از اینترنت است و شما مجبور می شوید که از Proxy Server استفاده کنید .

Firewalls Providing Access Control
سرورها می توانند از بیرون قابل دسترس باشند مثلا کسی ویروسی را با Mail می فرستند و بعد از اجرا , فایروال را از کار می اندازد . بنابراین تا جایی که امکان دارد از دسترسی مستقیم به سرورها جلوگیری کرد .

The Security Role of a Firewall
ما می توانیم به جای آنکه Server را محدود کنیم یک سرور را با تمام دسترسیهای ممکن به اینترنت وصل کنیم و Server دیگر را پشت Firewall به عنوان Backup از سرور قبلی داشته باشیم . با هک شدن یا خرابی سرور اولی ما می توانیم آن را بازیابی کنیم .
روشهای دیگر برای اعمال امنیت روی شبکه ممکن است موجب تغییراتی روی هر Server شبکه شود ممکن است تکنیکهای بهتری نسبت به Firewall ها باشد ولی Firewall ها برای پیاده سازی بسیار آسان هستند برای اینکه Firewall ها فقط یک نرم افزار مخصوص هستند .
یکی از مزایای Firewall ها استفاده آنها برای اینکه بتوانیم با Log کردن دسترسی به سایت آمار دسترسیهای به سایت خود را مشخص کنیم

Advantages and Disadvantages of Firewalls

Firewall ها دارای مزایای بسیاری می باشند با این وجود دارای معایب نیز هستند . بعضی از Firewall در مقابل محدود کردن کاربران و درهای پشتی (Back door ) که محل حمله هکرها ست که امنیت ندارند .
Access Restrictions

Firewall ها برای ایجاد امنیت بعضی از سرویسها مانند Telnet , Ftp , Xwindow را از کار می اندازند و این تنها محدود به فایروالها نمی شود . بلکه در سطح سایت نیز می شود این کار را انجام داد .
Back-Door Challenges: The Modem Threat
تا حالا مشخص شد که امنیت درهای پشتی کمپانی به وسیله Firewall تامین نمی شود بنابراین اگر شما هیچ محدودیتی در دسترسی به مودم نداشته باشد این در بازی برای هکرها ست
SLIP , PPP از راههای ورودی می باشند و سئوال پیش می آید که اگر این سرویسها وجود داشته باشند چرا از Firewall استفاده می کنیم .

Risk of Insider Attacks

ریسک دسترسی اعضای داخلی .

Firewall Components

Policy
Advanced Authentication
Packet Filtering
Application gateways

Network Security Policy

تصمیم برای برپایی یک Firewall در شبکه دو سطحی می باشد .
Installation , Use of the System

سیاستهای دسترسی به شبکه محدودیتهایی بر روی شبکه در سطح بالا به ما می دهد . همچنین چگونگی به کارگیری این سرویسها را نیز مشخص می کند .
Flexibility Policy

اگر شما به عنوان گسترش دهنده یک سیاست دسترسی به اینترنت یا مدیر Web و سرویسهای الکترونیکی معمولی هستید این سیاستها به دلایل زیر باید انعطاف پذیر باشند
اینترنت هر روز با سرعت غیر قابل پیش بینی رشد می کند . وقتی اینترنت تغییر تغییر می کند سرویسهای آن نیز تغییر می کند . بنابراین سیاستهای کمپانی باید تغییر کند و شما باید آماده ویرایش و سازگار کردن این سیاستها بدون تغییر در امنیت اولیه باشد .
کمپانی شما دارای ریسکهای متغیر با زمان است و شما باید در مقابل این ریسکها امنیت پردازشها را تامین کنید .

Service-Access Policy
سیاستهای دسترسی باید روی ورودی کابران متمرکز شود .

Advanced Authentication

با وجود استفاده از Firewall بسیاری از نتایج بد در مورد امنیت از پسوردهای ضعیف و غیر قابل تغییر ناشی می شوند .
پسوردها در اینترنت از راههای زیادی شکسته می شوند بنابراین بهترین پسوردها نیز بی ارزشند .
مسئله این است که پسوردهایی که باید با یک الگوریتم خاصی ساخته شوند می توان با آنالیز سیستم به پسوردها والگوریتم استفاده شده پی برد مگر اینکه پسوردها بسیار پیچیده باشند.یک کرکر می تواند با برنامه خود پسورد تعدادی از کاربران را امتحان کرده و با ترکیب نتایج ساختار کلی الگوریتم استفاده شده را بدست آورد و پسورد کاربران مختلف را مشخص کند.
همچنین باید فراموش نکرد که بعضی از سرویسهای TCP , UDP در سطح آدرس سرور هستند و نیازی به کاربران خاص خود ندارند .
به عنوان مثال یک هکر می تواند آدرس IP خود را با سرور یک کاربر معتبر یکسان کند واز طریق این کاربر یک مسیر آزاد به سرور مورد نظر باز کند و این کابر به عنوان یک واسط بین دو سرور عمل می کند .
هکر می تواند یک درخواست به کابر داده واین کاربر از سرور خود اطلاعات را به سرور هکر انتقال می دهد.این پروسه به عنوان IP Spoofing می باشد.
بیشتر روترها بسته های مسیر یابی شده منبع را بلاکه می کنند و حتی می توانند آنها از فیلتر Firewall بگذرانند.

Packet Filtering

معمولا IP Packet Filtering در یک روتر را بریا فیلتر کردن بسته هایی که بین روترها میانی جابجا می شوند به کار می برند این روترها بسته های IP را براساس فیلدهای زیر فیلتر می کنند .

Source ip address
Destination ip address
Tcp/Udp source port
Tcp/Udp destination port