چرا مأموران ایست بازرسی در فرودگاه یا جاده مسافران را مورد بازرسی قرار می دهند؟چه لزومی دارد که اطلاعاتی که در شبکه رد و بدل می شوند، بازرسی شوند؟
چگونه می توان روش بازرسی در فرودگاه را در سیستمهای رایانه ای و شبکه پیاده کرد؟لزوم بازرسی کالا ها در گمرک چیست؟
دنیای اینترنت بسیار ناامن است و هر لحظه امکان دارد به وسیله فرد یا گروهی هک شویم؛ بنابراین متخصصان حوزه امنیت راهکار هایی برای جلوگیری از حملات و تهدیدات ارائه داده اند .
یکی از سرویسهای تشخیص حملات، سرویس Intrusion Detection Systems (IDS)نام دارد. این سرویس عموما با یک سرویس دیگر برای جلوگیری از حملات همراه است که Intrusion Prevention Systems(IPS)نامیده می شود. سرویس IDS با توجه به پایگاه داده ای که از الگوی حملات دارد قادر به شناسایی انواع حملات و سرویس IPS قادر به جلوگیری و خنثی کردن حملات است.
یکی دیگر از سرویسهای مهم برای جلوگیری از حملات در شبکه ها، آنتی ویروس و هرزنامه(Spam ) است که از ورود ویروسها و هرزنامه ها به شبکه و سیستمها جلوگیری می کنند.
یکی از سرویسهای بسیار مهم که در تمامی سیستمها و شبکه ها وجود دارد، سرویس فایروال(Firewall) است. این سرویس تواناییهای زیادی در جلوگیری از ورود بسته های مشکوک به شبکه دارد و به دلیل مقبولیت زیاد در بین سازمانها مورد استفاده بسیاری از سازمانها است .به همین خاطر یکی از فرصتهای شغلی برای افراد فعال در حوزه امنیت ،نصب و پیکربندی فایروال است.
همان طور که در جامعه باید امنیت حاصل شود، در سیستمهای رایانه ای هم باید تبادل اطلاعات بین رایانهها بازبینی شود تا اطمینان از سلامت ارتباطات حاصل شود.
برای بازبینی بسته های اطلاعاتی در سیستمهای رایانه ای و شبکه ها از فایروال استفاده می شود. فایروال سرویسی است که به صورت نرم افزاری یا سخت افزاری ارائه می شود و سیستمهای رایانه ای را از دسترسی نفوذگران محافظت کرده، تمام بسته های عبوری را بررسی می کند و در صورت تشخیص غیرمجاز بودن بسته ،از ورود آن به شبکه جلوگیری می کند.
فایروال نرم افزاری مثل بقیه نرم افزار ها روی سیستم عامل نصب می شود. به بررسی بسته ها به وسیله فایروال ،فیلترکردن بسته ها می گویند. هزینه این نوع فایروال کم است و به آسانی به وسیله کاربر قابل تنظیم و را ه اندازی است. فایروال ویندوز، نرم افزارهای ISA Server و Kerio Control و برخی از نرم افزار های آنتی ویروس نمونه ای از فایروال نرم افزاری هستند.
فایروال های سخت افزاری روی برد های سخت افزاری پیاده سازی شده، در قالب یک سخت افزار مستقل عرضه می شوند.این نوع فایروال ها تنظیمات پیشرفته تری نسبت به نوع نرم افزاری دارند و برای شبکه های بزرگ استفاده می شوند و بار ترافیکی کمتری روی شبکه دارند؛ اما در عوض هزینه آنها بیشتر است و باید یک متخصص شبکه آن را پیکربندی و آزمایش کند.
انواع فایروال بر اساس فیلترینگ
در این بخش سه نوع بسیار مهم و کاربردی فایروال ها را بررسی می کنیم:
Packet Filter ـ
این فایروال ها با استفاده از مجموعه ای از قوانین که برای آنها تعریف می شوند، بسته های ورودی و خروجی را بررسی می کنند و تصمیم می گیرند که بسته را عبور دهند یا دور بیندازند. به این قوانین، رول (Rule ) می گویند .
رولهای فایروال براساس اطلاعات زیر نوشته می شوند:
آدرس IP مبدأ شماره درگاه مبدأ آدرس IP مقصد شماره درگاه مقصد رابط کارت شبکه (اینترفیس)
در این فایروال ها تعدادی رول پشت سر هم نوشته شده است که هر بسته ورودی از ابتدای فهرست با تکتک رولها مطابقت داده می شود و به محض اینکه با یک رول تطابق داشته باشد، بر اساس آن رول یا عبور داده می شود و یا دور انداخته می شود. بنابراین رولهای بعدی بررسی نخواهند شد.
از مزایای این فایروال ها می توان به سادگی کار با آن و سرعت عملکرد آن اشاره کرد؛ زیرا درگیر پردازش محتوای بسته ها نمی شوند. در عوض در شناسایی بسیاری از حملات اینترنتی ضعیف هستند و توانایی مسدودسازی اکثر اپلیکیشن ها را ندارند. یک نمونه از این فایروال ها، فایروال های شخصی نام دارند که روی سیستم عامل کاربر و سرور ها نصب می شوند. فایروال ویندوز و برنامههای آنتی ویروس نسخه Internet Security نمونه ای از فایروال شخصی هستند .
Stateful Firewall
این نوع فایروال که به فایروال حالت مند هم معروف است به شیوه دقیق تری کار می کند. عملکرد این فایروال به این صورت است که در حافظه cache خود یک جدول وضعیت بسته دارد. برای هر بسته علاوه بر آدرس IP، درگاه و نوع پروتکل یک فیلد دیگر به نام state در نظر گرفته می شود. این نوع فایروال علاوه بر مواردی که در فایروالPacket Filter مطرح شد با بررسی حالت های مختلف بسته ها، به راحتی قادر به اعمال فیلترینگ روی ارتباطات و برنامهها است. این کار مدت زمان بیشتری برای بررسی تمام بسته ها لازم دارد در عین حال امنیت بیشتری در پی دارد و قیمت آن نیز گران تر است.
در نظر بگیرید شما در شبکه داخلی هستید و قصد دارید در فایروال رولی بنویسید که سرویس گیرندههای شبکه داخلی بتوانند بسته های TCP را به شبکه خارجی ارسال کنند؛ اما هیچ کس از طرف شبکه خارجی به شبکه داخلی نتواند بسته TCP ارسال کند. حال اگر درون فایروال رولی بنویسید که «تمام بسته هایی که از سمت شبکه خارجی به داخل شبکه می آیند را فیلتر کن» تصور می شود که به خواسته خود می رسید اما زمانی که کاربران شبکه داخلی بسته TCP ارسال می کنند، شبکه خارجی نمی تواند جواب این بسته ها را به ما برگرداند چون بسته های TCP از سمت شبکه خارجی به شبکه داخلی را فیلتر کرده ایم. این مشکل به وسیله Packet Filter Firewall قابل حل نیست و حتماً باید از Stateful Firewall استفاده کرد.
Application Proxy Firewall
سرویس پراکسی یک سرویس میانجی است که هم می تواند به صورت نرم افزاری روی رایانه کاربر نصب شود و واسطه ای بین کاربر و شبکه باشد، هم می تواند روی یک رایانه مستقل نصب شود و بین شبکه داخلی و خارجی قرار گیرد که در این صورت پراکسی سرور نامیده می شود.
کاربران برای دسترسی به شبکه خارجی، درخواست های خود را به پراکسی سرور ارسال می کنند و پراکسی پس از ارسال درخواست به شبکه خارجی و برگشت پاسخ، نتیجه را برای کاربر ارسال کرده، در حافظه کش خود نیز نگهداری می کند تا در صورت درخواست مجدد از سوی کاربران، بلافاصله از آن استفاده کند؛ بنابراین امکان تهیه گزارش از ارتباطات کاربران با شبکه خارجی فراهم شده، سرعت پاسخگویی به کاربران و امنیت شبکه داخلی افزایش می یابد .Application Proxy Firewall نیز عملکردی مشابه دارد و نسبت به Packet Filter امن تر است .به جای بررسی ترافیکهای مجاز یا ممنوع از روی آدرس IP و درگاه، فقط برنامههای مجاز را بررسی می کند. به دلیل اینکه این فایروال روی اپلیکیشن ها تمرکز دارد نام Application level Gateway به آن اطلاق می شود .همچنین این فـایروال به صورت پراکسی نیز عمل می کند و پیش از برقراری ارتباط بین سرویس گیرنده و سرویس دهنده راه دور ،در میان آنها قرار گـرفته، اپلیکیشن ها را مدیریت مـی کند. یکی از محاسن ایـن فایروال ها توانایی cache کردن اطلاعات است بنابراین سرعت پاسخگویی در شبکه بالا می رود. همچنین آدرس IP مبدأ بسته نیز مخفی است و بـه همین خـاطر امنیت بیشتری خـواهند داشت. فایروال های سرویس وب Web Application Firewall(WAF) از این دسته هستند و وظیفه آنها بررسی ترافیک اپلیکیشن های وب است.
فایروال نرم افزاری
متداول ترین فایروال نرم افزاری فایروال ویندوز است. روش فیلترینگ در این فایروال از نوع Packet Filterاست.
فعال بودن فایروال ویندوز، امنیت رایانه شما را چندین برابر افزایش خواهد داد. پیش از فعال سازی آن باید این نکته را مدنظر داشته باشید که در صورت نصب آنتی ویروسهای نسخه Internet Security، فایروال ویندوز غیرفعال شده، آنتی ویروس نقش فایروال را ایفا می کند. برای کار کردن با فایروال ویندوز ابتدا باید فایروال آنتی ویروس را غیر فعال کرد.
فایروال سخت افزاری
وظیفه اصلی فایروال مانند مأموران بازرسی در گیت های فرودگاه، کنترل ترافیک است .
با توجه به تهدیدات و حملاتی که روزافزون بوده و به صورت گسترده اتفاق می افتد، سازوکارهای دفاعی و محافظتی مختلفی در سطوح مختلف در شبکه اتخاذ می شود.
اولین و ساده ترین سازوکار MAC Filtering است که دسترسی کاربران به شبکه را براساس مک آدرس آنها اعتبارسنجی می کند .
در دید وسیع تر و جامع تر Packet Filtering و سازوکارهایی همچون IDS و IPS قرار می گیرند که براساس آدرس IP بسته ها تصمیم گیری می کنند که بسته به شبکه وارد شود یا خیر .
به طور اختصاصی در سطح اپلیکیشن نیز فیلترینگ Stateful انجام می گیرد و مبنای فیلترینگ، وضعیت بسته ها است که یکی از قوی ترین انواع فیلترینگ است .
دستگاههای UTM یکی از قدرتمندترین تجهیزات فعال در شبکه هستند که انواع فیلترینگ را انجام می دهند و علاوه بر آن سرویسهایی مانند Spam ـIDPS ،IPsec/VPN ،AntiVirus ،Anti و برخی سرویسهای امنیتی دیگر را به صورت یکپارچه ارائه می دهند.
عملیات فیلترینگ در فایروال دو قسمت انجام می شود.
1-در لبه ورودی و هنگام ورود بسته ها به فایروال
2-در لبه خروجی و قبل از خروج بسته ها
سرویس فایروال یکی از مهم ترین سرویسهای روی مسیریاب میکروتیک است که امکاناتی از قبیل موارد زیر را ارائه می دهد:
فیلترینگ از نوع Stateful فیلترینگ اپلیکیشن
فیلترینگ براساس آدرس IP و درگاه و اندازه و محتوای بسته
به همین دلیل بسیاری از نیازمندیهای امنیتی مدیران شبکه سازمانها و شبکه های کوچک و متوسط را برآورده می کند .
در فایروال میکروتیک مانند فایروال ویندوز دو نوع ترافیک ورودی و خروجی وجود دارد. در اینجا به هر یک از این نوع ترافیکها یک زنجیره ترافیک یا chain گفته می شود.
1-Input Chain: حالتی است که ترافیک از سمت یک سرویس گیرنده یا شبکه می آید و به خود فایروال ختم می شود.
2-Output Chain: حالتی است که مبدأ ترافیک فایروال است و به سمت یک سرویس گیرنده یا شبکه بیرونی ختم می شود.
در فایروال میکروتیک برخلاف فایروال ویندوز یک حالت دیگر وجود دارد که Forward Chain نامیده می شود .
3-Forward Chain: حالتی است که ترافیک از یک شبکه یا سرویس گیرنده ارسال می شود و از درون فایروال عبور می کند و به مقصد خود می رسد.
