ديواره هاى آتش (Firewall) چيست
ديواره آتشين (Fire wall) سيستمى است بين كاربران يك شبكه محلى و يك شبكهبيرونى (مثل اينترنت) كه ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود وخروج اطلاعات را تحت نظر دارد. بر خلاف تصور عموم كاربرى اين نرم افزارهاصرفاً در جهت فيلترينگ سايت ها نيست. براى آشنايى بيشتر با نرم افزارهاىديواره هاى آتشين، آشنايى با طرز كار آنها شايد مفيدترين راه باشد. دروهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود بهشبكه وارد ديواره آتش مى شوند و منتظر مى مانند تا طبق معيارهاى امنيتىخاصى پردازش شوند. حاصل اين پردازش احتمال وقوع سه حالت است: ۱- اجازهعبور بسته صادر مى شود. ۲- بسته حذف مى شود.۳- بسته حذف مى شود و پياممناسبى به مبدا ارسال بسته فرستاده مى شود.
• ساختار و عملكرد
با اين توضيح، ديواره آتش محلى است براى ايست بازرسى بسته هاى اطلاعاتى بهگونه اى كه بسته ها براساس تابعى از قواعد امنيتى و حفاظتى پردازش شده وبراى آنها مجوز عبور يا عدم عبور صادر شود. همانطور كه همه جا ايست بازرسىاعصاب خردكن و وقت گير است ديواره آتش نيز مى تواند به عنوان يك گلوگاهباعث بالا رفتن ترافيك، تاخير، ازدحام و بن بست شود.
از آنجا كه معمارى TCP/IP به صورت لايه لايه است (شامل ۴ لايه: فيزيكى،شبكه، انتقال و كاربردى) و هر بسته براى ارسال يا دريافت بايد از هر ۴لايه عبور كند بنابراين براى حفاظت بايد فيلدهاى مربوطه در هر لايه موردبررسى قرار گيرند. بيشترين اهميت در لايه هاى شبكه، انتقال و كاربرد استچون فيلد مربوط به لايه فيزيكى منحصر به فرد نيست و در طول مسير عوض مىشود. پس به يك ديواره آتش چند لايه نياز داريم.
سياست امنيتى يك شبكه مجموعه اى از قواعد حفاظتى است كه بنابر ماهيت شبكهدر يكى از سه لايه ديواره آتش تعريف مى شوند. كارهايى كه در هر لايه ازديواره آتش انجام مى شود عبارت است از:
۱- تعيين بسته هاى ممنوع (سياه) و حذف آنها يا ارسال آنها به سيستم هاىمخصوص رديابى (لايه اول ديواره آتش) ۲- بستن برخى از پورت ها متعلق بهبرخى سرويس ها مثلTelnet، FTP و... (لايه دوم ديواره آتش) ۳- تحليل برآيندمتن يك صفحه وب يا نامه الكترونيكى يا .... (لايه سوم ديواره آتش)
•••
در لايه اول فيلدهاى سرآيند بسته IP مورد تحليل قرار مى گيرد:
آدرس مبدأ: برخى از ماشين هاى داخل يا خارج شبكه حق ارسال بسته را ندارند،بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود.
آدرس مقصد: برخى از ماشين هاى داخل يا خارج شبكه حق دريافت بسته راندارند، بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود.
IP آدرس هاى غيرمجاز و مجاز براى ارسال و دريافت توسط مدير مشخص مى شود.
شماره شناسايى يك ديتا گرام تكه تكه شده: بسته هايى كه تكه تكه شده اند يا متعلق به يك ديتا گرام خاص هستند حذف مى شوند.
زمان حيات بسته: بسته هايى كه بيش از تعداد مشخصى مسيرياب را طى كرده اند حذف مى شوند.
بقيه فيلدها: براساس صلاحديد مدير ديواره آتش قابل بررسى اند.
بهترين خصوصيت لايه اول سادگى و سرعت آن است چرا كه در اين لايه بسته هابه صورت مستقل از هم بررسى مى شوند و نيازى به بررسى لايه هاى قبلى و بعدىنيست. به همين دليل امروزه مسيرياب هايى با قابليت انجام وظايف لايه اولديواره آتش عرضه شده اند كه با دريافت بسته آنها را غربال كرده و به بستههاى غيرمجاز اجازه عبور نمى دهند.
با توجه به سرعت اين لايه هر چه قوانين سختگيرانه ترى براى عبور بسته هااز اين لايه وضع شود بسته هاى مشكوك بيشترى حذف مى شوند و حجم پردازشكمترى به لايه هاى بالاتر اعمال مى شود.
•••
در لايه دوم فيلدهاى سرآيند لايه انتقال بررسى مى شوند:
شماره پورت پروسه مبدأ و مقصد: با توجه به اين مسئله كه شماره پورت هاىاستاندارد شناخته شده اند ممكن است مدير ديواره آتش بخواهد مثلاً سرويس FTP فقط براى كاربران داخل شبكه وجود داشته باشد بنابراين ديواره آتش بستههاى TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود يا خروج از شبكه را داشتهباشند حذف مى كند و يا پورت ۲۳ كه مخصوص Telnet است اغلب بسته است. يعنىبسته هايى كه پورت مقصدشان ۲۳ است حذف مى شوند.
كدهاى كنترلى: ديواره آتش با بررسى اين كدها به ماهيت بسته پى مى برد وسياست هاى لازم براى حفاظت را اعمال مى كند. مثلاً ممكن است ديواره آتشطورى تنظيم شده باشد كه بسته هاى ورودى با SYN=1 را حذف كند. بنابراين هيچارتباط TCP از بيرون با شبكه برقرار نمى شود.
فيلد شماره ترتيب و :Acknowledgement بنابر قواعد تعريف شده توسط مدير شبكه قابل بررسى اند.
در اين لايه ديواره آتش با بررسى تقاضاى ارتباط با لايه TCP، تقاضاهاىغيرمجاز را حذف مى كند. در اين مرحله ديواره آتش نياز به جدولى از شمارهپورت هاى غيرمجاز دارد. هر چه قوانين سخت گيرانه ترى براى عبور بسته ها ازاين لايه وضع شود و پورت هاى بيشترى بسته شوند بسته هاى مشكوك بيشترى حذفمى شوند و حجم پردازش كمترى به لايه سوم اعمال مى شود.
•••
در لايه سوم حفاظت براساس نوع سرويس و برنامه كاربردى صورت مى گيرد:
در اين لايه براى هر برنامه كاربردى يك سرى پردازش هاى مجزا صورت مى گيرد. بنابراين در اين مرحله حجم پردازش ها زياد است. مثلاً فرض كنيد برخى ازاطلاعات پست الكترونيكى شما محرمانه است و شما نگران فاش شدن آنها هستيد. در اينجا ديواره آتش به كمك شما مى آيد و برخى آدرس هاى الكترونيكى مشكوكرا بلوكه مى كند، در متون نامه ها به دنبال برخى كلمات حساس مى گردد ومتون رمزگذارى شده اى كه نتواند ترجمه كند را حذف مى كند. يا مى خواهيدصفحاتى كه در آنها كلمات كليدى ناخوشايند شما هست را حذف كند و اجازهدريافت اين صفحات به شما يا شبكه شما را ندهد.
• انواع ديواره هاى آتش
ديواره هاى آتش هوشمند:
امروزه حملات هكرها تكنيكى و هوشمند شده است به نحوى كه با ديواره هاى آتشو فيلترهاى معمولى كه مشخصاتشان براى همه روشن است نمى توان با آنهامقابله كرد. بنابراين بايد با استفاده از ديواره هاى آتش و فيلترهاىهوشمند با آنها مواجه شد.
از آنجا كه ديواره هاى آتش با استفاده از حذف بسته ها و بستن پورت هاىحساس از شبكه محافظت مى كنند و چون ديواره هاى آتش بخشى از ترافيك بسته هارا به داخل شبكه هدايت مى كنند، (چرا كه در غير اين صورت ارتباط ما بادنياى خارج از شبكه قطع مى شود)، بنابراين هكرها مى توانند با استفاده ازبسته هاى مصنوعى مجاز و شناسايى پورت هاى باز به شبكه حمله كنند.
بر همين اساس هكرها ابتدا بسته هايى ظاهراً مجاز را به سمت شبكه ارسال مى كنند.
يك فيلتر معمولى اجازه عبور بسته را مى دهد و كامپيوتر هدف نيز چون انتظاردريافت اين بسته را نداشته به آن پاسخ لازم را مى دهد. بنابراين هكر نيزبدين وسيله از باز بودن پورت مورد نظر و فعال بودن كامپيوتر هدف اطمينانحاصل مى كند. براى جلوگيرى از آن نوع نفوذها ديواره آتش بايد به آن بستههايى اجازه عبور دهد كه با درخواست قبلى ارسال شده اند.
حال با داشتن ديواره آتشى كه بتواند ترافيك خروجى شبكه را براى چند ثانيهدر حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قراردهد مى توانيم از دريافت بسته هاى بدون درخواست جلوگيرى كنيم.
مشكل اين فيلترها زمان پردازش و حافظه بالايى است كه نياز دارند. اما در عوض ضريب اطمينان امنيت شبكه را افزايش مى دهند.
ديواره هاى آتش مبتنى بر پروكسى:
ديواره هاى آتش هوشمند فقط نقش ايست بازرسى را ايفا مى كنند و با ايجادارتباط بين كامپيوترهاى داخل و خارج شبكه كارى از پيش نمى برد. اما ديوارههاى آتش مبتنى بر پروكسى پس از ايجاد ارتباط فعاليت خود را آغاز مى كند. در اين هنگام ديواره هاى آتش مبتنى بر پروكسى مانند يك واسطه عمل مى كند،به نحوى كه ارتباط بين طرفين به صورت غيرمستقيم صورت مى گيرد. اين ديوارههاى آتش در لايه سوم ديواره آتش عمل مى كنند، بنابراين مى توانند بر دادههاى ارسالى در لايه كاربرد نيز نظارت داشته باشند.
ديواره هاى آتش مبتنى بر پروكسى باعث ايجاد دو ارتباط مى شود:
۱ - ارتباط بين مبدا و پروكسى
۲ - ارتباط بين پروكسى و مقصد
حال اگر هكر بخواهد ماشين هدف در داخل شبكه را مورد ارزيابى قرار دهد درحقيقت پروكسى را مورد ارزيابى قرار داده است و نمى تواند از داخل شبكهاطلاعات مهمى به دست آورد.
ديواره هاى آتش مبتنى بر پروكسى به حافظه بالا و CPU بسيار سريع نيازدارند و از آنجايى كه ديواره هاى آتش مبتنى بر پروكسى بايد تمام نشست هارا مديريت كنند گلوگاه شبكه محسوب مى شوند. پس هرگونه اشكال در آنها باعثايجاد اختلال در شبكه مى شود.
اما بهترين پيشنهاد براى شبكه هاى كامپيوترى استفاده همزمان از هر دو نوعديواره آتش است. با استفاده از پروكسى به تنهايى بارترافيكى زيادى برپروكسى وارد مى شود. با استفاده از ديواره هاى هوشمند نيز همانگونه كهقبلاً تشريح شد به تنهايى باعث ايجاد ديواره نامطمئن خواهد شد. اما بااستفاده از هر دو نوع ديواره آتش به صورت همزمان هم بار ترافيكى پروكسى باحذف بسته هاى مشكوك توسط ديواره آتش هوشمند كاهش پيدا مى كند و هم باايجاد ارتباط واسط توسط پروكسى از خطرات احتمالى پس از ايجاد ارتباطجلوگيرى مى شود. Router لب مرز، ترافيك را در سطح IP كنترل می كند. اين Router اولين لايه دفاعي شبكه محسوب مي*شود. همانطور كه مشاهده مي*شود در اين Router فقط به كاربراني از اينترنت اجازه عبور داده مي* شود كه متقاضي يكي از سرويس*هاي وب، پست الكترونيك و يا DNS باشند.
در هر شكل ناحيه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در اين ناحيه سرورهايي را قرار ميدهيم كه بايستي از اينترنت ديده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهيم DMZ را با يك مثال روشنتر توصيف كنيم، بايستي بگوييم كه DMZ مانند نمايشگاه و فروشگاه يك شركت است كه تقريبا" به همه اجازه داده مي*شود به داخل آن بيايند و از محصولات ما ديدن كنند، اصولا" نمايشگاه به همين منظور ايجاد شده، فلسفه وجودي Web Server اين است كه از اينترنت ديده شود.
ناحيه ديگري كه در شبكه*ها وجود دارد، ناحيه Private Network است. هيچ بسته*اي از طريق اينترنت اجازه ورود به ناحيه اختصاصي شبكه ما را ندارد مگر آنكه يكي از طرف يكي از كاربران داخلي درخواست شده باشد.
پس در ساده*ترين شكل، شبكه ما از سه ناحيه Public Network، DMZ و Private Network تشكيل شده و در مرز هر كدام از اين نواحي بايستي تمهيدات كنترلي اتخاذ كرده و عبور و مرور بسته*هاي اطلاعاتي را كنترل كنيم. در ادامه مقاله از اين سه بخش تحت عناوين Internat، DMZ و LAN نام خواهيم برد.
ممكن است علاوه بر سه ناحيه فوق، در ناحيه LAN، بخشي داشته باشيم كه از نظر حساسيت در سطح بالاتري نسبت به ساير LAN باشد. اين ناحيه، ناحيه*ايست كه سرورهاي حساس شبكه مانند سرور مالي و يا فايل سرور بخش تحقيق و توسعه قرارداد. براي اين ناحيه لازم است Firewall مجزايي پياده سازي شود. اين Firewall لايه*اي است كه به لايه*هاي امنيتي اضافه شده و دسترسي غير مجاز به اين ناحيه را مشكل*تر مي*كند:به شكل زير توجه كنيد: (Routerها با R و Firewallها با F مشخص شده*اند)همانطور كه ملاحظه مي*كنيد، R1 و R2 بعنوان Routerهاي لب مرز شبكه*ها را از اينترنت جدا كرده*اند. در كل مجموعه، يك DMZ داريم كه با F1 از بقيه مجموعه جدا شده است. F3 و F5 دو وظيفه بعهده دارند، يكي مرز بين اينترنت و LANهاي مربوط به خود را كنترل ميكنند، و ديگر اينكه ارتباط بين دو LAN را كنترل مي*كنند اين ارتباط ممكن است Lease Line، Wireless و يا يك زوج سيم مسي باشد. اين Firewalها با پشتيباني از سرويس VPN، ارتباط داخلي امني را بين دفترمركزي و شعبه برقرار ميكنند.
اما F2 و F4 نيز در شرايط مشابهي هستند، اين دو وظيفه جدا سازي منطقه حساس را از بقيه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزي را نيز از هم جدا ميكند. جداسازي Subnetها از هم در راستاي محدود كردن حملات احتمالي است. اگر به نحوي يكي از Subnetها مورد حمله واقع شد، (مثلا" با Wormي كه از طريق e-mail و يا حتي از طريق ديسكت و CD وارد آن شده) اين آلودگي به همان Subnet محدود شده و ساير بخشهاي شبكه ايمن باقي بمانند.
