Skip to Content

آرشیو

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

آشنایی با دیواره‌ی آتش Firewall

مقدمه :

Firewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار . معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يFirewall در فرهنگ كامپيوتر يعني محافظت از شبكه هاي داخلي در مقابل شبكه هاي خطاكار .

 

معمولا يك شبكه كامپيوتري با تمام دسترسي ها در طرف و در طرف ديگر شما شبكه توليدات شركت را داريد كه بايد در مقابل رفتارهاي مخرب محافظت شود. چند سوال مطرح مي شود كه آيا واقعا نياز به محافظت از يك شبكه داخلي داريم و سوال ديگر اينكه چگونه از طريق يك شبكه عمومي مانند اينترنت به آن دسترسي داشته باشيم .

دليل بسيار ساده اي دارد ؟ كه آن نياز به بقاء و رقابت است . اعتبار كمپانيها در اينترنت به تبليغات توليداتشان مي باشد . اينترنت به صورت شگفت انگيزي در حال رشد است .

مانند يك فروشگاه بسيار بزرگ بيشتر مردم به طرف اينترنت مي آيند وهمانطوريكه در يك فروشگاه بايد محصولات سالم باشند و بعد از فروش گارانتي بشوند اطلاعات و داده و انتقالات آنها نيز بايد به صورت امن و گارانتي شده باشد .

حال بايد مكانيزمهايي براي حفاظت از شبكه داخلي يا اينترنت شركت در مقابل دسترسي هاي غير مجاز ارائه دهيم

 

Firewall هاي مختلفي با ساختارهاي مختلف وجود دارد ولي عقيده اصلي كه پشت آنها خوابيده يكسان است . شما به شبكه اي نياز داريد كه به كاربرانتان اجازه دسترسي به شبكه هاي عمومي مانند اينترنت را بدهد و برعكس .

مشكل زماني پيش مي آيد كه كمپاني شما بدون در نظر گرفتن معيارهاي امنيت بخواهد به اينترنت وصل شود و شما در معرض دسترسي از طرف Server هاي ديگر در اينترنت هستيد. نه تنها شبكه داخلي كمپاني در مقابل دسترسي هاي غير مجاز آسيب پذير است بلكه تمام Server هاي موجود در شبكه كمپاني در معرض خطر هستند .

بنابراين به فكر محافظت از شبكه مي افتيد و اينجاست كه نياز به يك Firewall احساس مي شود .

به هر حال قبل از فكر كردن درباره Firewall بايد سرويسها واطلاعاتي كه مي خواهيد روي اينترنت در دسترس عموم قرار دهيد مشخص كنيد .

آشكارست كه در ابتدا شما مي خواهيد مطمئن شويد كه سرور شما امن است شما مي توانيد مجوزهاي دسترسي , انتقال فايل و اجراي راه دور و همچنين منع مجوزهاي ورود دوباره , Telnet , Ftp , SMTP وديگر سرويسها . اگر شما بخواهيد از اين سرويسها استفاده كنيد نياز به Firewall داريد

به هر حال Firewall چيست ؟ اساسا يك فايروال جداكننده شبكه هاي امن از ناامن در اينترنت است . Firewall تمام اتصالاتي كه از اينترنت به شبكه هاي محافظت وارد مي شوند را فيلتر مي كند .

قبل از تعريف اينكه چه نوع از Firewall ها بهترين مجموعه براي نيازهاي ماست , ما بايد توپولوژي شبكه را براي تعيين اجزاي آن مانند Hub ها , Switch ها , Router ها و Cabling آناليز كنيم تا بهترين Firewall كه مخصوص اين توپولوژي باشد را پيدا كنيم .

براي ايجاد امنيت در شبكه ما نياز به بررسي شبكه داخلي از لحاظ مدل لايه بندي ISO آن داريم بطوريكه مي دانيد Reapter ها و Hub ها در لايه اول , Switch ها و Bridge ها در لايه دوم و Router ها در لايه سوم , يك Firewall در تمام لايه هاي شبكه مي تواند عمل كند ( از جمله در هر هفت لايه ) لايه ها مسئول پاسخگويي به كنترل و ايجاد نشستها و بكارگيري آنها مي باشند . بنابراين با يك Firewall ما مي توانيم جريان اطلاعات را در طول ايجاد كنترل كنيم .

Firewall ها به ما امكان مديريت دروازه هاي ورود به Web را مي دهد و امكان تمركز روي پروژه اصلي را مي دهد .

 

The purpose of a Firewall

Firewall ها به تنهايي نمي توانند امنيت شبكه را برقرار كنند آنها فقط يك قسمت از سايت شما را امن مي كنند و به منظور امنيت شبكه بايد محدوده اي از شبكه را مشخص كنيد و نياز به اين داريد كه چيزهايي در شبكه كه بايد محدود شوند را تعيين كنيد ويك سياست امن را گسترش دهيد و مكانيسمهايي براي اعمال سياستهاي مورد نظر روي شبكه را ايجاد كنيد البته مكانيسمهايي پشت Firewall ها هستند كه مي توانيد به صورت عجيبي سطح امنيت را بالا ببريد .

اين مكانيسمها بعد از اعمال سياست امنيت مشخص مي شوند و نه قبل از آن . براي ايجاد يك مكانيسم امن براي محافظت از Web Site شما بايد يك Firewall براي نيازهاي خود مشخص كنيد وآن را پياده سازي كنيد.

ايجاد امنيت از سازماني به سازمان ديگر متفاوت است البته اين بستگي به چيزي كه آنها مخواهند توسعه دهند دارد . مثلا Firewall من اختصاصا روي UNIX , NT , Dos كار مي كند . شما دقيقا به بستر اجرايي مورد نظر خود دقت كنيد همانطور كه اجراي پروژه را مشخص مي كنيم بايد سطوح امنيت را نيز مشخص كنيم تا بتوانيم آن را پياده سازي كنيم . اين يك روش براي موفقيت در پياده سازي مكانيسمهاي امنيت است .

Firewall ها علاوه براين كه امنيت واقعي را برقرار مي كنند يك نقش اساسي در مديريت امنيت را پوشش مي دهند .

 

Firewall Role of Protection The

Firewall ها امنيت در شبكه را برقرار مي كنند و ريسك Server هاي روي شبكه را با فيلتر كردن كاهش مي دهند به عنوان مثال : شببكه داراي ريسك كمتري مي باشد به علت اينكه پروتكلهاي مشخص شده روي Firewall مي توانند روي شبكه اعمال وظيفه كنند .

مشكل فايروالها محدوديت آنها در دسترسي به و از اينترنت است و شما مجبور مي شويد كه از Proxy Server استفاده كنيد .

Firewalls Providing Access Control

سرورها مي توانند از بيرون قابل دسترس باشند مثلا كسي ويروسي را با Mail مي فرستند و بعد از اجرا , فايروال را از كار مي اندازد . بنابراين تا جايي كه امكان دارد از دسترسي مستقيم به سرورها جلوگيري كرد .

 

 

 

 

The Security Role of a Firewall

ما مي توانيم به جاي آنكه Server را محدود كنيم يك سرور را با تمام دسترسيهاي ممكن به اينترنت وصل كنيم و Server ديگر را پشت Firewall به عنوان Backup از سرور قبلي داشته باشيم . با هك شدن يا خرابي سرور اولي ما مي توانيم آن را بازيابي كنيم .

روشهاي ديگر براي اعمال امنيت روي شبكه ممكن است موجب تغييراتي روي هر Server شبكه شود ممكن است تكنيكهاي بهتري نسبت به Firewall ها باشد ولي Firewall ها براي پياده سازي بسيار آسان هستند براي اينكه Firewall ها فقط يك نرم افزار مخصوص هستند .

يكي از مزاياي Firewall ها استفاده آنها براي اينكه بتوانيم با Log كردن دسترسي به سايت آمار دسترسيهاي به سايت خود را مشخص كنيم .

 

Advantages and Disadvantages of Firewalls

Firewall ها داراي مزاياي بسياري مي باشند با اين وجود داراي معايب نيز هستند . بعضي از Firewall در مقابل محدود كردن كاربران و درهاي پشتي (Back door ) كه محل حمله هكرها ست كه امنيت ندارند .

 

Access Restrictions

Firewall ها براي ايجاد امنيت بعضي از سرويسها مانند Telnet , Ftp , Xwindow را از كار مي اندازند و اين تنها محدود به فايروالها نمي شود . بلكه در سطح سايت نيز مي شود اين كار را انجام داد .

Back-Door Challenges: The Modem Threat

تا حالا مشخص شد كه امنيت درهاي پشتي كمپاني به وسيله Firewall تامين نمي شود بنابراين اگر شما هيچ محدوديتي در دسترسي به مودم نداشته باشد اين در بازي براي هكرها ست

SLIP , PPP از راههاي ورودي مي باشند و سئوال پيش مي آيد كه اگر اين سرويسها وجود داشته باشند چرا از Firewall استفاده مي كنيم .

Risk of Insider Attacks

ريسك دسترسي اعضاي داخلي .

Firewall Components

Policy

Advanced Authentication

Packet Filtering

Application gateways

Network Security Policy

تصميم براي برپايي يك Firewall در شبكه دو سطحي مي باشد .

Installation , Use of the System

سياستهاي دسترسي به شبكه محدوديتهايي بر روي شبكه در سطح بالا به ما مي دهد . همچنين چگونگي به كارگيري اين سرويسها را نيز مشخص مي كند .

Flexibility Policy

اگر شما به عنوان گسترش دهنده يك سياست دسترسي به اينترنت يا مدير Web و سرويسهاي الكترونيكي معمولي هستيد اين سياستها به دلايل زير بايد انعطاف پذير باشند

اينترنت هر روز با سرعت غير قابل پيش بيني رشد مي كند . وقتي اينترنت تغيير تغيير مي كند سرويسهاي آن نيز تغيير مي كند . بنابراين سياستهاي كمپاني بايد تغيير كند و شما بايد آماده ويرايش و سازگار كردن اين سياستها بدون تغيير در امنيت اوليه باشد .

كمپاني شما داراي ريسكهاي متغير با زمان است و شما بايد در مقابل اين ريسكها امنيت پردازشها را تامين كنيد .

 

Service-Access Policy

سياستهاي دسترسي بايد روي ورودي كابران متمركز شود .

 

Advanced Authentication

با وجود استفاده از Firewall بسياري از نتايج بد در مورد امنيت از پسوردهاي ضعيف و غير قابل تغيير ناشي مي شوند .

پسوردها در اينترنت از راههاي زيادي شكسته مي شوند بنابراين بهترين پسوردها نيز بي ارزشند .

مسئله اين است كه پسوردهايي كه بايد با يك الگوريتم خاصي ساخته شوند مي توان با آناليز سيستم به پسوردها والگوريتم استفاده شده پي برد مگر اينكه پسوردها بسيار پيچيده باشند.يك كركر مي تواند با برنامه خود پسورد تعدادي از كاربران را امتحان كرده و با تركيب نتايج ساختار كلي الگوريتم استفاده شده را بدست آورد و پسورد كاربران مختلف را مشخص كند.

همچنين بايد فراموش نكرد كه بعضي از سرويسهاي TCP , UDP در سطح آدرس سرور هستند و نيازي به كاربران خاص خود ندارند .

به عنوان مثال يك هكر مي تواند آدرس IP خود را با سرور يك كاربر معتبر يكسان كند واز طريق اين كاربر يك مسير آزاد به سرور مورد نظر باز كند و اين كابر به عنوان يك واسط بين دو سرور عمل مي كند .

هكر مي تواند يك درخواست به كابر داده واين كاربر از سرور خود اطلاعات را به سرور هكر انتقال مي دهد.اين پروسه به عنوان IP Spoofing مي باشد.

بيشتر روترها بسته هاي مسير يابي شده منبع را بلاكه مي كنند و حتي مي توانند آنها از فيلتر Firewall بگذرانند.

 

 

Packet Filtering

معمولا IP Packet Filtering در يك روتر را بريا فيلتر كردن بسته هايي كه بين روترها مياني جابجا مي شوند به كار مي برند اين روترها بسته هاي IP را براساس فيلدهاي زير فيلتر مي كنند .

 

Source ip address

Destination ip address

Tcp/Udp source port

Tcp/Udp destination port

 

 

 

 

ادامه مطلب

25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

25 نکته برای بالا بردن امنیت سرورهای لینوکس

Linux-Security-and-Hardening

همیشه گفته می شود که لینوکس در حالت عادی تا حدی ایمن است. اگرچه، لینوکس مدل امنیتی خود را به صورت پیشفرض دارد، اما نیاز است که مطابق با خواسته های شما سازگار شود و به این ترتیب امنیت بیشتری به وجود می آید. لینوکس از لحاظ مدیریتی پیچیده تر است اما انعطاف پذیری و تنظیمات بیشتری را در اختیار می دهد.

ایمن سازی سیستم از هکرها یک وظیفه ای چالش برانگیز برای مدیران IT است. این اولین مقاله مرتبط با “چگونگی ایمن سازی لینوکس باکس” و یا “سخت سازی لینوکس باکس” است. در این نوشته 25 نکته کاربردی را برای ایمن سازی سیستم لینوکسی شما ارائه می دهیم و امیدواریم که برای شما در ایمن سازی سیستم های لینوکسی مفید باشد.

  1. امنیت فیزیکی سیستم: گام نخست غیر فعال سازی بوت  CD/DVD از Bios  سیستم ، تجهیزات بیرونی، فلاپی درایو تنظیم نمایید. سپس، پسورد BIOS را تنظیم کرده و همچنین پسورد GRUB را برای محدود کردن دسترسی فیزیکی به سیستم خود فعال نمایید.
  2. پارتیشن بندی دیسک: مهم است که پارتیشن های متعددی برای بدست آوردن امنیت بالاتر داده در موارد اتفاقات پیش بینی نشده داشته باشید. با ایجاد پارتیشن های متعدد، داده می تواند جداسازی و گروه بندی شود. وقتی که تصادف غیر منتظره اتفاق می افتد، فقط داده ها در یک پارتیشن خاص آسیب می بینند، در حالی که دیتا در دیگر پارتیشن ها بدون آسیب می مانند. شما باید مطمئن شوید که پارتیشن های زیر را دارید و سایر اپلیکیشن ها باید در یک فایل سیستم مجاز تحت/opt نصب گردند.
/
/boot
/usr
/var
/home
/tmp
/opt
  1. پکیج ها را حداقل کنید تا آسیب پذیری به حداقل برسد

آیا واقعا می خواهید تمام سرویس ها را نصب کنید؟ پیشنهاد می گردد که از نصب پکیج های بدون استفاده پرهیز کنید تا از آسیب پذیری در پکیج ها جلوگیری کنید. این ممکن است ریسک آسیب در یک سرویس را که می تواند منجر به آسیب به سایر سرویس ها شود را به حداقل برساند. سرویس های بدون استفاده را یافته و آنها را حذف و یا غیر فعال کنید تا آسیب پذیری به کمترین حد ممکن برسد. از فرمان “chkconfig” برای پیدا کردن سرویس های که بر روی runlevel 3 اجرا شده اند استفاده کنید.

# /sbin/chkconfig –list |grep ’3:on’

به محض اینکه هر سرویس ناخواسته ای را در حال اجرا یافتید، با فرمان زیر آنها را غیر فعال کنید.

# chkconfig serviceName off

از RPM package manager مانند “yum” یا “apt-get” برای لیست کردن همه پکیج های نصب شده بر سیستم استفاده کرده و آنها را با فرمان های زیر حذف کنید.

# yum -y remove package-name

# sudo apt-get remove package-name

  1. پورت های شبکه در حال Linstening را کنترل کنید.

با کمک فرمان شبکه “netstat” می توانید کلیه پورت های باز و برنامه های مربوطه را مشاهده نمایید. همانگونه که در بالا گفته شد، از فرمان”chkconfig” برای غیرفعال کردن کلیه سرویس های ناخواسته بر روی سیستم استفاده کنید.

# netstat -tulpn

  1. از Secure Shell)SSH) استفاده کنید.

پروتکل های telnet و rlogin از متن ساده و رمزگذاری نشده استفاده می کنند که ناقض امنیت هستند. SSH یک پروتکل امن است که از تکنولوژی رمز گذاری در طول ارتباط با سرور استفاده می کند.

بجز موارد ضروری هرگز با کاربر root به طور مستقیم وارد سیستم نشوید. از فرمان “sudo” برای اجرای سایر فرمان ها استفاده کنید. “sudo” در فایل /etc/sudoers قرار گرفته است که می تواند توسط visudo که در ویرایشگر VI باز می شود، ویرایش می شود.

همچنین پیشنهاد می شود که پورت SSH 22 پیش فرض را با بعضی پورت های سطح بالاتر تعویض کنید. تنظیمات اصلی SSH را باز کرده و پارامتر های زیر را برای دسترسی کاربران عادی محدود کنید.

# vi /etc/ssh/sshd_config

غیر فعالسازی لاگین با root

PermitRootLogin no

اجازه تنها به کاربران خاص

AllowUsers username

از نسخه 2 پروتکل SSH استفاده کنید

Protocol 2

  1. مرتبا سیستم را بروز رسانی کنید.

همیشه سیستم خود را با آخرین پچ ها، فیکس های امنیتی و کرنل منتشر شده به روز نگه دارید.

# yum updates

# yum check-update

  1. Cronjob ها را قفل کنید.

Cron ویژگی مخصوص به خود را دارد، که اجازه می دهد مشخص کنید چه کسانی باید و چه کسانی نباید jobها را اجرا کنند. این امر با استفاده از فایل های /etc/cron.allow و /etc/cron.deny کنترل می شود. برای بستن دسترسی یک کاربر به cron ، به سادگی نام کاربر را در cron.deny اضافه کنید و برای اجازه دادن به یک کاربر برای اجرای cron آن را در cron.allow اضافه کنید. اگر تمایل به غیر فعال کردن همه کاربران در استفاده از cron دارید خط “ALL” را در فایل cron.deny اضافه کنید.

# echo ALL >>/etc/cron.deny

  1. استفاده از فلش مموری ها توسط پورت USB را غیر فعال کنید.

بسیاری از دفعات این اتفاق پیش می آید که ما می خواهیم کاربران را از استفاده از فلش مموری برای حفاظت از داده ها در برابر سرقت محدود کنیم. یک فایل با عنوان “/etc/modprobe.d/no-usb” ایجاد کرده و با اضافه کردن خط زیر ذخیره سازها بر روی پورت USB از دسترس خارج می شوند.

install usb-storage /bin/true

  1. از SELinux استفاده کنید.

لینوکس بهبود یافته از لحاظ امنیتی (SELinux) یک مکانیزم امنیتی اجباری برای کنترل دسترسی است که در کرنل ایجاد شده است. غیر فعال سازی SELinux به معنای برداشتن مکانیزم امنیتی از سیستم است. قبل از برداشتن این سیستم بدقت به آن بیندیشید. اگر سیستم شما به اینترنت متصل است به صورت همگانی در دسترس است، بیشتر در مورد آن بیندیشید.

SELinux سه حالت اصلی عملکرد را ارائه می دهد که عبارتند از:

  • Enforcing: این یک حالت پیش فرض است که خط مشی امنیتی SELinux در ماشین را فعال و اجرا می کند.
  •  Permissive: در این حالت،SELinux خط مشی امنیت ماشین را اجرا نخواهد کرد، فقط امور مربوط لاگ برداری و اعلان ها انجام می شود. این حالت برای ایرادیابی موارد مرتبط با SELinux بسیار مفید است.
  • Disabled: SELinux غیر فعال شده است.

شما می توانید وضعیت فعلی SELinux را از خط فرمان با استفاده از “system-config-selinux” و “getenforce” و یا “sestatus”مشخص کنید.

# sestatus

اگر این سرویس غیرفعال است با استفاده از فرمان زیر SELinux را فعال کنید.

# setenforce enforcing

همچنین می توان با استفاده از فایل آدرس “/etc/selinux/config” می توانید این فایل را مدیریت کنید.

  1. دسکتاپ KDE/GNOME را حذف کنید.

نیازی به اجرای دسکتاپ های X Window مانند KDE ویا GNOME بر روی سرور اختصاصی LAMP شما وجود ندارد. شما می توانید آنها را برای افزایش امنیت سرور و بهبود عملکرد آن حذف و یا غیر فعال کنید.

# yum groupremove “X Window System”

  1.  IPv6 را غیر فعال کنید.

اگر از پروتکل IPv6 استفاده نمی کنید، باید آن را غیر فعال کنید، زیرا بیشتر اپلیکیشن ها و Policy ها به پروتکل IPv6 نیاز ندارند و در حال حاضر وجود این پروتکل در سرور ضروری نیست. به فایل network configuration رفته و خطوط زیر را برای غیر فعال کردن IPv6 به آن اضافه کنید.

# vi /etc/sysconfig/network

NETWORKING_IPV6=no

IPV6INIT=no

  1.  کاربران را در استفاده از کلمات عبور قدیمی محدود کنید.

عدم اجازه به کاربران برای استفاده از کلمات عبور قدیمی که قبلا از آن استفاده کرده اند، بسیار کاربردی است. فایل کلمات عبور قدیمی در /etc/security/opasswd ذخیره شده است. با استفاده از ماژول PAM این فایل قابل دسترسی است.

فایل “etc/pam.d/system-auth” را تحت RHEL یا CentOS یا Fedora باز کنید.

# vi /etc/pam.d/system-auth

فایل “etc/pam.d/common-password” را تحت Ubuntu یا Debian یا Linux Mint باز کنید.

# vi /etc/pam.d/common-password

خط زیر را به بخش “auth” اضافه کنید.

auth    sufficientpam_unix.so likeauth nullok

خط زیر را به بخش “password” اضافه کنید تا کاربر را از استفاده مجدد از 5 کلمه عبور قبلی خودش محدود کنید.

password   sufficientpam_unix.so nullok use_authtok md5 shadow remember=5

تنها 5 کلمه عبور آخر توسط سرور به خاطر آورده می شوند. اگر تلاش کنید که از 5 کلمه عبور آخر خود استفاده کنید پیام خطایی مانند زیر دریافت می کنید.

Password has been already used. Choose another.

  1.   چگونه انقضا کلمه عبور کاربر کنترل کنیم

در لینوکس، کلمه عبور کاربران در “/etc/shadow” و در فرمت رمزگذاری شده ذخیره می شود. برای کنترل انقضا کلمه عبور کاربران، شما باید از فرمان “chage” استفاده کنید. این فرمان اطلاعات انقضا کلمه عبور و زمان آخرین تغییر کلمه عبور را نشان می دهد. این جزئیات توسط سیستم، برای تصمیم در خصوص زمان تغییر یک کلمه عبور توسط کاربر استفاده می شود.

برای دیدن اطلاعات مدت زمان مربوط به کاربر مانند تاریخ انقضا و زمان از فرمان زیر استفاده کنید.

#chage -l username

برای تغییر مدت زمان کلمه عبور از فرمان زیر استفاده کنید.

#chage -M 60 username

#chage -M 60 -m 7 -W 7 userName

پارامتر ها

-M تنظیم حداکثر تعداد روز ها

-m تنظیم حداقل تعداد روزها

-W تنظیم تعداد روزها برای پیام خطا

  1.    بستن و باز کردن حساب کاربری بصورت دستی

ویژگی های باز و بسته کردن بسیار مفید هستند و به جای حذف یک حساب کاربری از سیستم، شما می توانید آن را برای یک مدت مشخص ببندید. برای بستن یک کاربر خاص، شما می توانید از فرمان زیر استفاده کنید.

# passwd -l accountName

توجه: کاربر بسته شده فقط برای کاربر root در دسترس است. این بسته بودن با جایگزینی کلمه عبور رمز گذاری شده با یک رشته (!) اجرا می شود.اگر کسی تلاش کند با استفاده از این حساب کاربری به سیستم دسترسی داشته باشد پیام خطایی مانند زیر دریافت می کند.

# su – accountName

This account is currently not available.

برای باز کردن و یا فعال کردن دسترسی به حساب کاربری بسته شده، از فرمان زیر استفاده کنید. این فرمان رشته (!) با کلمه عبور رمزگذاری شده را حذف می کند.

# passwd -u accountName

  1.   اعمال کلمات عبور قوی تر

تعدادی از کاربران از کلمات عبور آسان و ضعیف استفاده می کنند و کلمه عبور آنها به آسانی با یک directory و با brute force attack هک می شود. ماژول “pam_cracklib” که در PAM (Pluggable Authentication Modules) قرار دارد، کاربران را ملزم به انتخاب کلمات عبور قوی می کند. فایل زیر را با یک برنامه ویرایشگر باز کنید.

# vi /etc/pam.d/system-auth

یک خط برای ملزم کردن استفاده از پارامترهای اعتباری مانند (lcredit,ucredit,dcredit and ocredit) اضافه کنید.

/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

  1.    iptable را فعال کنید (Firewall) .

به شدت پیشنهاد می گردد که Linux firewall را برای ایمن شدن در برابر دسترسی غیرقانونی به سرور فعال کنید. از ruleهایی که در iptables است، برای فیلتر کردن پکت های فوروارد شده ورودی و خروجی استفاده کنید. ما می توانیم آدرس منبع و مقصد را برای اجازه دادن و یا متوقف کردن در یک شماره پورت خاص udp/tcp استفاده کنیم.

  1.   در Inittab حالت Ctrl+Alt+Delete را غیر فعال کنید.

در بیشتر توزیع های لینوکس، فشردن Ctrl+Alt+Delete سیستم شما را به فرآیند ریبوت می برد. بنابراین این ایده خوبی نیست که این ویژگی در سرورها فعال باشد.زیرا فشردن تصادفی این دکمه ها می تواند سرور شما را ریبوت کند.

این عمل در “/etc/inittab” انجام می شود. اگر شما دقیق به این فایل نگاه کنید، می بینید که خطی شبیه به آنچه در ادامه است در آن وجود دارد. در حالت پیش فرض خط فعال است اما برای غیر فعال شدن این دکمه باید از آن را به حالت کامنت درآورد.

# Trap CTRL-ALT-DELETE

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

  1.   حساب های کاربری را برای کلمات عبور خالی کنترل کنید.

هر حساب کاربری یک کلمه عبور خالی دارد که به این مفهوم است که این حساب برای دسترسی غیر مجاز به هرکسی در وب باز شده است و این بخشی از امنیت در یک سرور لینوکس است. بنابراین ، شما باید مطمئن شوید که همه حساب های کاربری کلمه عبور قوی داشته و هیچکس دسترسی غیر مجاز ندارد. حساب های کاربری بدون کلمه عبور ریسک های امنیتی هستند و می توانند به آسانی هک شوند. برای کنترل اینکه آیا حساب کاربری بدون کلمه عبور وجود دارد، فرمان زیر را به کار برید.

# cat /etc/shadow | awk -F: ‘($2==””){print $1}’

  1.    قبل وارد حساب شدن بنر SSH را به کاربر نمایش دهید.

این ایده خوبی است که همیشه یک اعلان قانونی و یا امنیتی با برخی نکات امنیتی قبل از اعتبارسنجی SSH داشته باشید. برای فعال کردن چنین بنری مفاله زیر را مطالعه کنید.

  1.    پایش فعالیت های کاربر

اگر با تعداد زیادی کاربران سروکار دارید، مهم است که اطلاعات فعالیت و process هایی که مورد استفاده هر کاربر بوده است را جمع آوری کرده و در زمان مناسب و یا درشرایطی که موارد امنیتی و بررسی عملکرد اتفاق می افتد، آن ها را تحلیل نمایید. اما چگونه ما می توانیم اطلاعات فعالیت کاربران را پایش و جمع آوری کنیم.

دو ابزار ارزشمند با نام های “psacct” و “acct” وجود دارند که برای پایش فعالیت کاربران و process ها در یک سیستم استفاده می شوند. این ابزار ها در پس زمینه سیستم اجرا شده و به طور پیوسته فعالیت هر کاربر در یک سیستم و منابع مصرف شده توسط سرویس های مختلف مانند Apache، MySQL، SSH، FTP و غیره دنبال می کنند. برای اطلاعات بیشتر درخصوص نصب، ساختاربندی و استفاده از این سرویس ها آدرس زیر را مشاهده کنید.

  1. لاگ ها را مرتبا بازبینی کنید.

لاگ ها را به سرور اختصاصی لاگ انتقال دهید. این امر می تواند از دسترسی و تغییر آسان توسط مزاحمان در لاگ ها جلوگیری به عمل می آورد. در ادامه لاگ فایل های پیش فرض و معمول لینوکس با نام و کاربری توضیح داده شده اند.

  •         /var/log/message  جایی که کل لاگ های سیستم و فعالیت های فعلی در آن ثبت می شود
  •         /var/log/auth.log لاگ های اعتبار سنجی.
  •         /var/log/kern.log لاگ های کرنل
  •         /var/log/cron.log لاگ های Cron
  •         /var/log/maillog لاگ های میل سرور
  •         /var/log/boot.log لاگ های بوت سیستم
  •         /var/log/mysqld.log لاگ های سرور دیتابیس MySQL
  •         /var/log/secure لاگ اعتبار سنجی
  •         /var/log/utmp or /var/log/wtmp فایل رکورد های ورود به سیستم
  •         /var/log/yum.log:  فایل های لاگ YUM
  1.   پشتیبان گیری از فایل های مهم

در یک سیستم تولید، ضروری است که از فایل های مهم پشتیبان گیری شده و محلی خارج از محل سرور برای بازیابی در شرایط اتفاقات غیر مترقبه، امن نگهداری شوند.

  1.  باندینگ NIC

دو حالت در NIC bonding وجود دارد که باید در رابط باندینگ به آن اشاره شود

  •         Mode=0 Round Robin
  •         Mode=1 Active and Backup

NIC Bonding به ما کمک می کند که از عدم ارتباط در یک نقطه اجتناب کنیم. دو کارت شبکه اترنت را با هم باند کرده و یک رابط مجازی می سازم که از طریق آن می توان یک IP آدرس اختصاص داده و با دیگر سرور ها در تماس بود. شبکه ما در حالتی که یک NIC Card به هر دلیلی از کار باز ایستد، همچنان در دسترس است.

  1.   boot/ را در حالت read-only نگه دارید.

کرنل لینوکس و فایل های مرتبط با آن در دایرکتوری /boot قرار گرفته اند که در حالت پیش فرض به صورت read-write است. تغییر آن به read-only ریسک تغییرات غیر مجاز در فایل های حیاتی بوت را کاهش می دهد. برای انجام این کار، فایل /etc/fstab را باز کنید.

# vi /etc/fstab

خط زیر را به انتهای آن اضافه کرده، فایل ذخیره نموده و از فایل خارج شوید.

LABEL=/boot /boot ext2 defaults,ro 1 2

لطفا توجه نمایید که باید برای تغییرات بعد در کرنل باید این دایرکتوری را به حالت read-write بازگردانید.

  1.  ICMP و درخواست Broadcast را نادیده بگیرید.

خطوط زیر را در فایل “/etc/sysctl.conf” برای نادیده گرفتن درخواست ping و broadcast اضافه کنید.

Ignore ICMP request:

net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:

net.ipv4.icmp_echo_ignore_broadcasts = 1

تغییرات و تنظیمات جدید را با اجرای فرمان زیر بارگزاری کنید.

#sysctl -p

اگر شما نکته دیگری را می شناسید که از این لیست جا مانده است لطفا آن را در بخش پاسخ ها بیان کنید. ما همیشه علاقمند دریافت نظرات شما هستیم.

منبع : http://www.tecmint.com//

ادامه مطلب

مدیریت یکپارچه تهدیدات الکترونیکی با UTM

چکیده

از آنجا که اداره جوامع کنونی بدون استفاده از راه حلهاي مبتنیبر فناوري اطلاعات تقریباً غیرممکن بنظر میرسد و مفاهیمی چون دولت الکترونیکی، تجارت الکترونیکی، بهداشت، آموزش و بانکداري الکترونیکی جزء راهبردهاي اصلی حکومتهاست، اهمیت پرداختن به موضوع امنیت اطلاعات بیش از پیش نمایان میگردد.

به طور کلی فایروال یکی از محصولات امنیتی پرکاربرد در برقراري امنیت شبکههاي کامپیوتري است. به همین دلیل تکنولوژي فایروالهاي در طول عمر این محصول تغییرات زیادي داشته است. این تغییرات بیشتر به دلیل تولد ایدههاي جدید در تهدیدات شبکهاي بوده است. در این مقاله تلاش خواهد شد که اخیرترین تکنولوژي در تولید فایروال معرفی شود. این تکنولوژي که منجر به تولید محصول UTM میشود، سطوح مختلفی از تهدیدات شبکه اي را کنترل میکند و پیشبینی میشود تا چند سال آینده جایگزین فایروالهاي امروزي شود.

مقدمه

گسترش استفاده از فضاي تبادل اطلاعات در کشور طی سالهاي گذشته و برقراري ارتباط از طریق وب، موجب افزایش بکارگیري فنآوري اطلاعات و وابستگی نهادهاي مختلف اجتماعی به این پدیده گردیده است.

از زمانیکه برخی از نگرانیها در خصوص تعرض به حریم خصوصی افراد و سازمانها ظاهر گردید، متخصصان فنآوري اطلاعات جهت جلوگیري از این تهدیدات و حمایت از اطلاعات خصوصی بنگاهها، افراد و دستگاههاي مختلف تلاشهاي ارزشمندي را ساماندهی نمودند تا فضاي اعتماد به تبادلات الکترونیکی دچار آسیب کمتري شود.

تولید محصولات مختلف امنیتی اعم از تجهیزات سخت افزاري و نرم افزارها در حوزه هاي گوناگون ICT، ارائه راهکارها و تدوین سیاستهاي خرد و کلان جهت صیانت از فضاي تبادل اطلاعات، تربیت نیروهاي مختصص به منظور حفاطت از شبکههاي تبادل اطلاعات همچنین ایجاد آمادگی در برابر حوادث ناشی از تهدیدات الکترونیکی، همگام با پیشرفت دانش IT در صحنه دنیاي دیجیتال نمود بیشتري پیدا کردند. در این میان همزمان با رشد و توسعه انواع آسیبپذیريها در سیستمهاي رایانهاي، تکنولوژي در راستاي محافظت از این سیستمهاي نیز ارتقاء یافتهاند.

رویکرد جدید تهدیدات الکترونیکی عموماً براساس تهدید بر محتوا تلقی میشود. این رویکرد بیشتر به دلیل حضور تجهیزات امنیتی پایینتر از لایه محتوا صورت گرفته است. بدیهی است که امنیت در لایههاي بالا، مخصوصاً در محتوا بسیار پیچیده است و البته بالاترین سطح امنیت سازمان نیر امنیت در سطح محتوا میباشد. بر این اساس تکنولوژي تجهیزات امنیتی نیز باید به سمت محافظت از تهدیدات محتوایی حرکت کنند. تکنولوژي UTM اخیرترین ایده در تجهیزات امنیتی است که تلاش میکند امنیت سازمان را تا سطح محتوا حفظ نماید. این تکنولوژي به عنوان نسل جدید از محصولات فایروال منظور میشود و پیشبینی میشود که در آینده نزدیک، محصول UTM به عنوان محصول امنیتی ضروري در سازمانها جایگزین فایروال شود.

در این مقاله تلاش خواهد شد که محصول UTM معرفی شده و مزایا و معایب آن برشمرده شود. براین اساس در ادامه این مستند، و در بخش دوم ضمن بیان نیازمنديهاي امنیتی محصول فایروال و UTM، ضرورت وجود این تکنولوژي بررسی میشود. در بخش 3 معماري و مکانیسمهاي امنیتی محصولات UTM شرح داده میشود. در پایان نتیجهگیري و جمعبندي ارائه میشود.

 تکنولوژي فایروال و نیازمنديهاي جدید

 تهدیدات محتمل سیستمهاي رایانه اي

به منظور مقابله با تهدیداتی که حوزههاي مختلف فنآوري اطلاعات ممکن است با آنها مواجه باشد، شناخت نوع تهدید ضروري به نظر میرسد. بدیهی است سیستم یکپارچه مقابله با تهدیدات باید بصورت مشخص انواع مورد نظر را پوشش داده و راهکارهاي پیشنهادي را ارائه نماید.

انواع حملات و تهدیدات را میتوان به صورت زیر دستهبندي نمود:

  •  حملات تخریب سرویس
  •  حمله از طریق برنامه مخرب
  •  حمله انسانی و فیزیکی

در هر یک از دسته حملات فوق، فعالیتهاي متفاوتی از سوي مخربین قابل انجام است.در این بخش فهرستی از این فعالیتها بیان میشوند.

حملات تخریب سرویس

در این نوع حمله، مهاجم تلاش مینماید تا دسترسی منابع رایانه توسط سایر کاربران را ناممکن سازد. براي دستیابی به این هدف، چنانچه منابع مشترك سیستم به گونهاي توسط مهاجم اشغال گردیده و حجم استفاده از آنها افزایش یابد که دیگران قادر به استفاده از آنها نباشند، عملاً حمله به منابع سیستم صورت گرفته است. این نوع حمله میتواند به تخریب منابع منجر گردد و یا استفاده از آنها را غیرممکن سازد. برخی از فعالیتهاي این نوع تهدید بصورت زیر قابل بیان است.

  • تخریب، پر کردن و خذف فایلهاي اساسی دیسک
  • تولید پردازش و اشغال پهناي باند پردازنده
  • تخریب و کنترال سرویسهاي شبکه توسط مهاجم
  • ذخیره پیامهاي پخش شده، ارسال پیام و درخواست پاسخ از رایانههاي شبکه
  • استفاده از اتصالهاي غیر باز

حمله از طریق برنامه مخرب

در این نوع حملات، برنامهها بهگونهاي نوشته میشوند که رفتاري مخرب و غیر عادي داشته باشند. معمولاً این برنامهها از طرق مختلف براي کاربران رایانه ارسال شده و کاربر بدون توجه به وجود دستورالعمل مخرب نسبت به اجراي آن اقدام مینماید. شیوههاي مختلف تخریب این برنامهها بصورت زیر میباشد.

  • حمله به برنامههاي سرویسدهنده شبکه
  • تخریب نرم افزارها از طریق ارسال پست الکترونیکی
  • ارسال هرزنامه ها
  • استفاده از دربهاي مخفی جهت دسترسی غیرمجاز
  • اسبهاي تراوا و کرمها

حمله انسانی و فیزیکی

چنانچه بر اساس ضعفهاي موجود در برخی از سیستمها، نفوذگر بتواند به عنوان راهبر سیستم شناخته شود، با در دست گرفتن کنترل سیستم میتواند صدماتی را وارد نماید.

بعلاوه هر مخربی میتواند بصورت فیزیکی منابع سیستم را مورد حمله قرار داده و کارکرد آن را دچار مشکل سازد. فعالیتهاي زیر توسط مخاجم قابل انجام میباشد:

  • سرقت رمز عبور
  • نفوذ از طریق برقراري روابط اجتماعی
  • تخریب فیزیکی منابع رایانه اي و شبکه اي

 

نقش ابزارهاي کنترل ترافیک

امروزه فایروالهاي حالتمند ، IDSها، و آنتی ویروسهاي مبتنی بر میزبان 2 محبوبترین محصولات امنیتی را تشکیل میدهند. اما این راهحلها به سرعت در حال از دست دادن تاثیر خود در برابر نسل جدید تهدیدات میباشند و متخصصان فن- آوري اطلاعات حملات و سرایتهاي موفق متعددي را بر ضد امنیت و زیرساخت شبکه مشاهده میکنند.

نقش سیستمهاي فایروال سنتی و کمبودهاي آنها

فایروالهاي حالتمند در ابتدا براي امنسازي ارتباط با اینترنت بوسیله یک واسط امن بین شبکههاي قابل اعتماد و غیر قابل اعتماد طراحی شدند. این فایروالها با دقت در سرآیند لایه شبکه (L3)، و لایه پروتکل (L4) بسته را نظارت کرده و بر اساس آن به ترافیک اجازه ورود داده، درخواست ورود آن را رد کرده، و یا ترافیک را دوباره بر اساس مجموعهاي از خطمشیهاي فایروال مسیریابی میکنند. مشکل اصلی فایروالها در این است که هکرها روشهاي متعددي را براي گذشتن از خطمشیهاي فایروال توسعه دادهاند. بعضی از این روشها شامل موارد زیر میباشند:

  • پویش پورتهاي باز روي فایروال و یا سیستمهاي موجود در ناحیه قابل اعتماد
  • نرمافزارهاي مخرب نظیر تروژانهایی که روي سیستمهاي موجود در ناحیه قابل اعتماد نصب شدهاند و میتوانند به عنوان شروع کننده حملات نقش داشته باشند.
  • عدم توانایی فایروالهاي نسل قدیمی در بازرسی بخش دادهاي بسته جهت شناسایی انواع کدهاي مخرب نظیر ویروس، کرم و یا تروژان، میتواند بهعنوان یک مسیر قابل نفوذ براي حمله مورد استفاده قرار گیرد.
  • بسیاري از فایروالهاي جدید که قابلیت بازرسی عمیق 3 را پشتیبانی میکنند، در مقابل بستههاي تکهتکه شده آسیبپذیر هستند.
  • کاربران با استفاده از سیستمهاي قابل حمل نظیر Laptop و یا PDA، میتوانند حامل انواع کدهاي مخرب و آلوده از بیرون به داخل سازمان شوند.

در نتیجه باید اذعان داشت که فایروالهایی که ما را احاطه کردهاند کمکی در جهت ممانعت از حملات و سرایتهایی که از داخل شبکه قابل اعتماد آغاز شده باشند نمیکنند.

نقش سیستمهاي IDS سنتی و کمبودهاي آنها

همانند فایروالهاي سنتی، IDSهاي سنتی با آمدن تهدیدات مدرن و پیچیده جاي خود را به فنآوريهاي جدیدتر میدهند. حمله کنندگان ضعفهاي سیستمهاي IDS را شناخته و متدهاي جدیدي براي گذشتن از این سیستمهاي نظارتی پیادهسازي کردهاند. مثالهایی از ضعف سیستمهاي IDS عبارتند از:

  • محصولات IDS معمولاً در نقاط لبهاي شبکه مستقر میشوند و نظارتی بر کل شبکه ندارند.
  • سیستمهاي IDS معمولاً به عنوان ابزارهاي نظارتی کاربري دارند و قابلیت ممانعت از ترافیک مشکوك در این سیستمهاي وجود ندارد.
  • به دلیل نحوه بازرسی در سیستمهاي IDS، این سیستمها معمولاً در مقابل حجم بالاي ترافیک آسیبپذیر میشوند.
  • اغلب سیستمهاي IDS حجم زیادي false positive تولید میکنند که براي جلوگیري از این امر نیاز به نظارت مداوم بر کار IDS میباشد.

براي حل مشکلات فوق، بسیاري از تولید کنندگان محصولات IDS، به سمت تولید نسل جدیدي از این محصولات به نام IPS روي آوردهاند. سیستمهاي IPS میتوانند به صورت Inline در توپولوژي شبکه قرار گیرند و کنشهاي مورد نیاز مدیر نظیر Drop و یا Reset را اعمال نمایند. این محصولات همچنین میتوانند از مکانیسمهاي تشخیص Anomaly بهرهمند شوند.

آنتی ویروسهاي مبتنی بر میزبان و کمبودهاي آنها

یکی از پر کاربردترین نرمافزارهاي امنیتی، سیستمهاي آنتی ویروس مبتنی بر میزبان است. این نرمافزارهاي آنتی ویروس بهعنوان یکی از معمولترین راهحلهاي امنیتی در سازمانها استفاده میشوند. قدمت استفاده از این نرمافزارهاي از سال 1980 میلادي و بهدلیل حضور فایلهاي ویروسی میباشد. گرچه حضور نرمافزارهاي آنتی ویروس مبتنی بر میزبان یک ضرورت در سازمانهاي تلقی میشود ولی این راهحلها شامل نقاط ضعف نیز میباشند که در ادامه برخی از آنها بررسی میشوند.

  1. فرآیند نصب، نگهداري و ارتقاي الگوهاي ویروسی براي این نرمافزارهاي پیچیده است. باید توجه داشت که این نرمافزارها باید در تمامی میزبانهاي موجود در سازمان نصب شوند.
  2. کاربران بهصورت عمدي و یا غیرعمدي میتوانند آنتی ویروس خود را غیرفعال نمایند. § اغلب کاربران یک فرایند منظم جهت بهروز رسانی الگوهاي ویروس براي نرمافزار آنتی ویروس خود اتخاذ نمیکنند و معمولاً در مقابل اخیرترین نسخه ویروسها آسیبپذیر هستند.
  3. برخی از تروژانهاي پیشرفته قادرند قبل از فعال شدن آنتی ویروس روي میزبان فعال شوند و همچنین از فعال شدن آنتی ویروس نیز جلوگیري میکنند.

بدیهی است سازمانهایی که از نرمافزارهاي آنتی ویروس مبتنی بر میزبان استفاده میکنند، در زمینه امنیت سیستم عامل میزبان و برنامه کاربردي از سطح امنیتی خوبی برخوردارند. ولی باید توجه داشت که این سطح امنیتی براي سازمان کافی نیست. بهطور خاص باید توجه داشت که بسیاري از کدهاي مخرب از ناحیه غیرقابل اعتماد وارد نواحی قابل اعتماد شبکه میشوند. بنابراین سازمان باید بتواند این کدهاي مخرب را قبل از رسیدن به میزبانهاي تشخیص داده و بلاك نماید.

تعریف UTM

نام UTM یا مدیریت یکپارچه تهدیدات الکترونیکی عبارتی است که براي اولین بار توسط شرکت IDC در سال 2004 ابداع شد. محصول UTM یک راهحل جامع امنیتی است که مسئول محافظت سیستم در برابر چندین نوع تهدید میباشد. یک محصول UTM معمولا شامل فایروال، VPN، نرم افزار آنتی ویروس، فیلترینگ محتوا، فیلتر اسپم، سیستمهاي جلوگیري و تشخیص حمله (IPS)، حفاظت از Spywareها، و نظارت، گزارشگیري، و مدیریت یکپارچه میباشد.

از UTM میتوان به عنوان نسل تحول یافته محصولات Firewall/VPN و حتی دروازههاي امنیتی نام برد که سعی در ارائه سرویسهاي امنیتی به کاربران یک سازمان به سادهترین شکل دارد. در واقع بدون وجود UTM و در راهحلهاي قدیمی براي بدست آوردن تک تک این سرویسهاي امنیتی ابزارهاي مجزا به همراه پیچیدگیهاي نصب، بهروز سازي، و مدیریت آنها نیاز بود، اما UTM با یکپارچه سازي و مدیریت متمرکز، تمامی نیازمنديهاي امنیتی در یک سازمان در برابر تهدیدات الکترونیکی را برآورده میسازد.

نیاز به محصول UTM

روشهاي سنتی (امنیت لایه اي به صورت چند نقطه اي)

امروزه بسیاري از سازمانها سعی در پیاده سازي سیستمهاي امنیتی با ترکیب راهحلهاي مختلف از فروشندگان متفاوت دارند. همگی این محصولات میبایست به صورت مجزا خریداري، نصب، مدیریت، و بروزرسانی شوند. این رویکرد مشکلاتی شامل تعامل و همکاري نامناسب بین سیستمهاي امنیتی مجزا، حفاظت ناکامل، و آزمون و درستییابی زمانبر دارد، که همگی باعث کاهش پاسخ شبکه به حملات میشوند. محصولاتی که براي کار با هم طراحی نشده باشند، میتوانند در نرخ کارایی شبکه تاثیر بگذارند. همچنین هزینه لازم براي تهیه انواع محصولات مختلف امنیتی براي رسیدن به امنیت جامع در یک سازمان کوچک یا متوسط بسیار سنگین میباشد. پیچیدگی طراحی چنین راهحلی نیز در شکل 1 مشاهده میشود.

سازمانها به ندرت داراي زیرساخت IT لازم براي نگهداري و مدیریت یک چنین مخلوطی از محصولات متفاوت هستند، که هر کدام داراي سیستم مدیریت خاص خود میباشند. و در نهایت هزینه نگهداري و پشتیبانی از رویکردهاي چند نقطهاي براي یک سازمان کوچک یا متوسط بسیار زیاد میباشد. به دلیل این مشکلات، پیچیدگیها، و ضعفها، رویکرد یکپارچه سازي محصولات UTM در سطح سازمانها مطرح میشود.

پیچیدگی-امنیت-لایه-اي-به-صورت-چند-نقطه-اي

راه حل مدرن (ابزارهاي امنیتی مجتمع)

مفهوم اولیه ابزارهاي امنیتی مجتمع، مفهوم جدیدي نیست و به زبان ساده به معناي ترکیب چندین کارکرد امنیتی در یک راهحل یا ابزار واحد میباشد. برخی از فروشندگان راهحلهاي امنیتی، ابزارهاي امنیتی مجتمعی در گذشته ارائه کردهاند. با این وجود، این راهحلهاي جوان داراي کمبودهاي زیادي بودهاند. به خصوص اگر یکپارچه سازي کارکردها نامناسب بوده و به صورت ضعیفی پیادهسازي شده باشد. این کمبودها میتواند شامل موارد زیر باشد:

  • کارایی نامناسب
  • کاهش قابلیت اعتماد
  • مقیاس پذیري محدود
  • افزایش پیچیدگی مدیریت
  • امنیت نامناسب

به طور کلی رویه یکپارچه سازي کارکردهاي امنیتی باید بهنحوي انجام شود که تکنولوژيهاي مختلف استفاده شده بتوانند در کنار یکدیگر فعالیت نمایند. نتیجه این یکپارچه سازي محصول Appliance خواهد شد که قابلیت توسعه سرویسهاي امنیتی جدید را خواهد داشت و از یک مکانیسم دفاع امنیتی لایهاي جهت مقابله با تهدیدات امروز و آینده بهرهمند میباشد. همچنین محصول نهایی در کنار توان دفاع امنیتی بالا، باید بتواند لحاظ هزینه مقرون بهصرفه باشد. در شکل 2 استفاده از راهحل یکپارچه سازي مکانیسمهاي امنیتی در قالب یک محصول UTM در شبکه مورد نظر آورده شده است.

 

راه-حل-یکپارچه-سازي-مکانیسمهاي-امنیتی-در-قالب-یک-محصول-UTM

محصول UTM

پیشبینی توسعه در دنیا

بازار چشمگیر محصولات امنیتی UTM روند تولید محصولات تک کاربرد را به سمت ارائه چندین ویژگی امنیتی در یک سکو، در محیطهایی منعطفتر میبرد. به گفته چالرز کولوجی مدیر بخش تحقیقات محصولات امنیتی در UTM ،IDC با ارائه برنامههاي کاربردي امنیتی با کارایی بالا، و صرفهجویی در هزینههاي عملیاتی و سرمایه، به سرعت در حال محبوبتر شدن است 1[.

بر طبق آمار IDC، بخش فروش UTM در گروه ابزارهاي امنیت شبکه سریعترین رشد را در بازار داشته است. (بیش از 100 میلیون دلار سود در سال 2003 که با افزایش 160 درصدي نسبت به سال 2002 همراه بود.) طبق همین گزارش در سال 2008 از کل سود فروش 3,45 میلیارد دلاري دسته محصولات مدیریت امنیت شامل UTM، فایروالهاي سنتی، و ابزارهاي UTM ،VPN به تنهایی 58 درصد سود فروش را خواهد داشت. همین پیشبینی نشان میدهد که سود فروش فایروالهاي سنتی رو به کاهش خواهد بود و این نشان از جایگزینی نیاز مشتریان در زمینه فایروال با محصولات UTM خواهد بود. بخشی از این پیشبینی در شکل 3 آورده شده است ]1[.

با توجه به رشد نیاز به محصولات UTM در بازار، فرآیند تولید این محصول در بسیاري از شرکتهاي تولید کننده محصولات امنیتی شکل گرفته است. این فرآیند در شرکتهاي تولید کننده محصولات Firewall/VPN با نگرش ارتقاء محصول به UTM با سرعت بیشتري به نتیجه رسیده است، بهطوري که بیشتر شرکتهاي معتبر در زمینه تولید محصولات Firewall/VPN، امروزه محصول خود را براي تبدیل به UTM ارتقاء داده و با این نام در بازار تجارت میکنند.

معماري محصول

همانطور که در بخش قبلی شرح داده شد، محصول UTM امنیت را در کل لایههاي شبکه و بهطور خاص در لایه محتوا ارائه میکند. براي این منظور باید چندین مکانیسم امنیتی را بهصورت یکپارچه ارائه نماید. این مکانیسمهاي امنیتی شامل موارد زیر میباشد.

  • فایروال با قابلیت بازرسی حالتمند ترافیک
  • ارائه سرویس VPN با قراردادهاي متنوع
  • امکان تشخیص و جلوگیري از حمله (IPS)
  • آنتی ویروس مبتنی بر دروازه
  • فیلترینگ محتواي ترافیک (بهطور معمول براي محتواي Web و Mail ارائه میشود.)
  • فیلترینگ اسپم روي ترافیک Mail
  • مدیریت پهناي باند

نکته کلیدي در تولید محصولات UTM ارائه یک معماري مناسب براي چیدمان مکانیسمهاي فوق میباشد که بتواند بهترین کارایی را روي محصول ارائه نماید. بدیهی است با افزایش میزان بازرسی ترافیک در مکانیسمهاي امنیتی مختلف، امکان تاخیر و کاهش کارایی شبکه نمایان میشود. در این راستا استفاده از ایدههایی نظیر استفاده از شتابدهندههاي سخت افزاري میتواند برخی از مشکلات را مرتفع سازد. این ایده در بسیاري از شرکتهاي بزرگ تولیدکننده محصولات امنیتی استفاده میشود.

شکل 4 یک معماري نمونه از محصول UTM را نشان میدهد. چیدمان مکانیسمهاي امنیتی و ترتیب بازرسی ترافیک در این محصول یکی از پارامترهاي اصلی این معماري میباشد. در این معماري اولین بازرسی امنیتی توسط ماژول حالتمند انجام میشود که منجر به حذف بسیاري از تهدیدات میشود. همچنین این ایده میتواند منجر به تولید مفهوم نشست براي بازرسی در ماژولهاي امنیتی دیگر شود. از نکات دیگر این معماري قرار دادن بازرسیهاي محتوا در انتهاي حرکت بسته میباشد. این ایده بهدلیل عدم نیاز به بازرسی محتواي ترافیکهاي مشکوك میباشد. بدیهی است ترافیکی که توسط ماژول حالتمند متوقف شود، نیاز به بازرسی محتوایی توسط ماژول AntiSpam نمیباشد.

 

جریان-بازرسی-ترافیک-در-یک-محصول-UTM

شکل 4 جریان بازرسی ترافیک در یک محصول UTM معماري ارائه شده در شکل 4 میتواند در یک محصول UTM مورد استفاده قرار گیرد ولی نکته کلیدي در پیادهسازي این معماري ملاحظات پیادهسازي ارتباطات بین ماژولها میباشد. براي نمونه معماري ارائه شده در [] با هدف کاهش تعداد IPCها بین مولفههاي محصول میباشد. همچنین نکته دیگري که در پیادهسازي این معماري باید در نظر گرفت، نوع مدل مدیریتی است که محصول براي مدیر ارائه میکند.

مزایای UTM

  •  مدیریت یکپارچه
  1. § مدیریت چندین کاربرد از یک محل و توسط یک ابزار
  2. § ایجاد و پیادهسازي آسان و سریع خطمشیهاي سراسري سازگار
  3. § تکیه بر گزارشات و نظارتهاي برخط و تعاملی
  4. § استفاده از تنها یک واسط مستقیم براي نصب و مدیریت تمامی ویژگیهاي امنیتی

· UTM به عنوان یک محصول یکپارچه فرآیند انتخاب محصولات امنیتی مورد نیاز، یکپارچه سازي آنها، و پشتیبانیهاي آتی را ساده کرده است.

  • محصولات UTM داراي مراحل نصب کم، ساده و عمدتاً بهصورت plug and play هستند.
  • از آنجائیکه کاربران عمدتاً تمایل به دستکاري تنظیمات دارند، در بستههایی مانند ابزار UTM با کاهش تعامل اپراتور، خرابیهاي ایجاد شده توسط آنها کاهش مییابد و در نتیجه امنیت افزایش مییابد.
  • به دلیل اینکه تنها یک ابزار واسط امنیتی وجود دارد، در مواقع بروز مشکل براي عیبیابی، این وسیله حتی توسط یک فرد غیر متخصص قابل خارج شدن از مدار میباشد.
  • هزینه لازم براي فراهم آوردن سطح امنیت مورد نیاز در یک سازمان توسط ابزارهاي مجزاي امنیتی بسیار بیشتر از هزینه راهحل UTM میباشد.

چالشهاي تولید محصول

با توجه به توصیف ارائه شده از محصول UTM، میتوان این محصول را در رده محصولات پیچیده براي تولید قرار داد. بنابراین چالشهاي یک محصول پیچیده و بزرگ را براي تیم تولید خواهد داشت. علاوهبر این طبق نظر تولیدکنندگان این محصول، چالش اصلی براي تولید مساله کارایی محصول و میزان تاخیر شبکه براي بازرسی تمامی مکانیسمهاي امنیتی است. این چالش به عنوان مساله اصلی براي انتخاب بین مشتریان نیز مورد نظر میباشد. در این راستا تولیدکنندگان به دنبال ایدههاي جدید در تولید این محصول با معماري کاراتر میباشند و در این حین تحقیقاتی نیز نظیر انجام شده است.

جمع بندي و نتیجه گیري

در این مقاله تکنولوژي جدید محصولات امنیت شبکه با نام UTM ارائه شد. همچنین مزایا، معماري و چالشهاي اصلی در تولید این محصول مورد بررسی قرار گرفت. طبق پیشبینیهاي انجام گرفته، آینده محصولات امنیت شبکه نظیر فایروالها به سمت محصول UTM خواهد بود1[ و ]2. این محصول چندین مکانیسم امنیتی را در کنار هم و بهصورت یکپارچه ارائه میکند. همچنین ایده اصلی محصول UTM مدیریت تهدیدات شبکه در تمامی لایه ها، خصوصاً در محتوا میباشد. با توجه به رشد سریع در تولید محصول UTM و نیاز اساسی شبکه هاي کامپیوتري به این محصول، به نظر میرسد که دولت و شرکتهاي خصوصی باید برنامه ویژهاي را براي تولید این محصول در داخل کشور تدوین نمایند.

 

گروه فنی و مهندسی وی سنتر آمادگی خود را برای ارائه مشاوره فنی در خصوص مباحث امنیت شبکه اعلام می دارد.

شماره تماس: 88884268

ادامه مطلب

آموزش کامل Forefront TMG 2010

آموزش کامل Forefront TMG 2010

آموزش کامل Forefront TMG 2010

آموزش کامل Forefront TMG 2010

شاید برای بسیاری از کاربران این سوال مطرح باشد که آیزا سرور و یا TMG چیست و کاربرد آن چیست؟  در این مقاله به بررسی این موضوع خواهیم پرداخت.

آیزا سرور نرم افزاری از شرکت مایکروسافت می باشد و چند کار مهم در شبکه را انجام میدهد. کارهای مهم آیزا سرور حسابداری کاربران شبکه(Accounting) ، مدیریت امنیت شبکه (Firewalling) و کش کردن اطلاعات کاربران می باشد.

ISA Server از سال ۲۰۰۶  به بعد با نام foreFront TMG به بازار عرضه شده است.

برای دریافت کتاب کامل آموزش TMG بر روی لینک های ذیل کلیک کنید:

آموزش TMG – درس اول

آموزش TMG – درس دوم

آموزش TMG – درس سوم

آموزش TMG – درس چهارم

آموزش TMG – درس پنجم

آموزش TMG – درس ششم

آموزش TMG – درس هفتم 

آموزش TMG – درس هشتم

آموزش TMG – درس نهم

آموزش TMG – درس دهم

آموزش TMG – درس یازدهم 

آموزش TMG – درس دوازدهم

ادامه مطلب

فایروال Firewall

فایروال Firewall
فایروال Firewall

انواع دیواره آتش ها

دیواره آتش ها به دو شکل سخت افزاری (خارجی) و نرم افزاری (داخلی) ارائه می شوند :

1- دیواره آتشهای سخت افزاری :

این نوع از دیواره آتش ها که به آنان دیواره آتش هاي شبکه نیز گفته می شـود ، بـین کـامپیوتر هـا و کابل و یا خط DSL قرار خواهد گرفت.تعداد زیادي از تولید کنندگان و برخی از مراکز ISP ، دسـتگاههـایی با نام Router را ارائه می دهند که دارای یک دیواره آتش نیز می باشند.

دیواره آتش های سخت افزاری در مواردی نظیر حفاظت چندین کامپیوتر مفید بـوده و یـک سـطح مناسـب حفاظتی را ارائه می نمایند.

دیواره آتش های سخت افزاری ، دستگاههای سخت افزاری مجزائی مـی باشـند کـه دارای سیـستم عامـل اختصاصی خود می باشد. بنابراین بکارگیری آنان باعث ایجاد یک لایـه دفـاعی اضـافه در مقابـل تهاجمـات می گردد.

1- دیواره آتشهای نرم افزاری :

برخی از سیستم عامل ها دارای یک دیواره آتش تعبیه شده درون خود مـی باشـند. بنـابراین مـی تـوان دیواره آتش موجود در سیستم عامل را فعال نموده تا یک سطح حفاظتی در خصوص ایمن سـازی کـامپیوتر و اطلاعات (به صورت نرم افزاری)ایجاد گردد.

در صورتی که سیستم عامل نصب شده بر روی کامپیوتر فاقد دیواره آتش باشد ، می تـوان اقـدام بـه تهیـه یک دیواره آتش نرم افزاری کرد. که در اینحالت برای نـصب دیـواره آتـش نـرم افـزاری بایـستی از طریـق سیدی درایو این روش اقدام گردد و حتی المقدور باید از نصب دیواره آتش نـرم افـزاری از طریـق اینترنـت اجتناب نمود.چون در این روش کامپیوتر محافظت نشده می باشد و در حین نصب نـرم افـزار امکـان ایجـاد مشکلات برای سیستم امکان پذیر می باشد.

 

نحوه عملکرد دیواره آتش

یک دیواره آتش کل ترافیک بین دو شبکه را بازرسی کرده ، تا طبق معیار های حفاظتی و امنیتی پردازش شـوند.

پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد :

1) اجازه عبور بسته صادر می شود.(Accept mode)

2) بسته حذف می شود.(Blocking Mode)

3) بسته حذف شده و پاسخ مناسب به مبدأ آن بسته داده می شود. (Response Mode)

همچنین علاوه بر حذف بسته می توان عملیاتی نظیر ثبـت ، اخطـار ، ردگیـری و جلـوگیری از ادامـه اسـتفاده از شبکه هم در نظر گرفت.

به مجموعه قواعد دیواره آتش سیاست امنیتی نیز گفته می شود. همانطور که همه جا عملیـات ایـست و بازرسـی وقت گیر است ، دیواره آتش هم بعنوان گلوگاه می تواند منجـر بـه بـالا رفـتن ترافیـک ، تـاخیر ازدحـام و نهایتـاً بنبست در شبکه شود.گاهی اوقات بسته ها آنقدر در پشت دیوار آتش معطل می مانند تا زمان طول عمرشان بـه اتمام رسیده و فرستنده مجبور می شود مجدداً اقدام به ارسال آنها کند و این متناوباً تکرار مـی گـردد. بـه همـین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا کمترین تاخیر را در اطلاعات امن و صـحیح ایجـاد نمایـد. تاخیر در دیوار آتش اجتناب ناپذیر است و فقط باید بگونه اي باشد که بحران ایجاد نکند.

از آنجایی که معماری شبکه به صورت لایه لایه است. و مدل های مختلفی در طراحی شبکه می باشد، در مـدل TCP/IP براي انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه باید تمام لایـه هـا را بگذارنـد، هـر لایـه براي انجام وظیفه خود تعدادی فیلد مشخص به ابتدای بسته اضافه کرده و آن را تحویل لایه پایین تر می دهد. قسمت اعظم کار یک دیواره آتش تحلیل فیلد هاي اضافه شـده در هـر لایـه و header هـر بـسته مـی باشـد. سیاست امنیتی یک شبکه مجموعه ای متناهی از قواعد امنیتی است که بنا بر ماهیتشان در یکـی از لایـه هـای دیوار آتش تعریف می شوند :

1- قواعد تعیین بسته های ممنوع در اولیه لایه از دیواره آتش

2- قواعد بستن برخی از پورت ها متعلق به سرویسهای مانند FTP یا Telnet در لایه دوم

3- قواعد تحلیل header متن یک نامه الکترونیکی یا صفحه وب در لایه سوم

 

بنابراین دیواره آتش دارای سه لایه می باشد ،که جزئیات هر کدام به شرح زیر می باشد:
الف) لایه اول دیواره آتش :

لایه اول دیواره آتش براساس تحلیل بسته IP و فیلد هـاي header ایـن بـسته کـار مـی کنـد و در ایـن بـسته فیلدهای زیر قابل نظارت و بررسی هستند:

1- آدرس مبدا : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص حق ارسال بسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف نشود.

2- آدرس مقصد : برخی از ماشین های داخل و خارج شبکه با آدرس IP خاص دریافـت بـسته نداشـته باشـند و بسته های آنها به محض ورود به دیواره آتش حذف شود. ( آدرس هاي IP غیر مجاز توسط مسئول دیواره آتش تعریف می شود.)

3-شماره شناسایی یک دیتاگرام قطعه قطعه شده (Fragment & Identifier offset) : بسته هایی کـه قطعـه قطعه نشده اند یا متعلق به یک دیتاگرام خاص هستند باید حذف نشوند.

4-شماره پروتکل: بسته هایی که متعلق به پروتکل خاصی در لایه بالاتر هستند می توانند حذف نشوند. یعنی بررسی اینکه بسته متعلق به چه پروتکلی است و آیا تحویل به آن پروتکل مجاز است یا خیر؟

5-زمان حیات بسته : بسته هایی که بیش از تعداد مشخصی مسیریاب را طی کرده اند مـشکوك هـستند و بایـد حذف نشوند. 6-بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیواره آتش قابل بررسی هستند.

مهمترین خصوصیت لایه ازن از دیواره آتش آنست که در این لایه بسته ها بطور مجزا و مستقل از هـم بررسـی می شوند و هیچ نیازی به نگه داشتن بسته هاي قبلی یا بعدی یـک بـسته نیـست. بهمـین دلیـل سـاده تـرین و سریعترین تصمیم گیری در این لایه انجام می شود. امروزه برخی مسیر یابها با امکـان لایـه اول دیـوارآتش بـه بازار عرضه می شوند. یعنی به غیر از مسیریابی وظیفه لایه اول یک دیوار آتش را هم انجام می دهند که به آنهـا مسیریابهای فیلترکننده بسته (Pocket Filtering Routre) گفته می شود. بنابراین مسیریاب قبل از اقـدام بـه مسیریابی براساس جدولی، بسته های IP را غربال می کند و تنظیم این جـدول براسـاس نظـر مـسئول شـبکه و برخی قواعد امنیتی انجام می گیرد.

با توجه به سریع بودن این لایه هر چه درصد قواعد امنیتی در ایـن لایـه دقیقتـر و سـخت گیرتـر باشـند، حجـم پردازش در لایه هاي بالاتر کسر و در عین حال احتمال نفوذ پایین تر خواهد بود، ولـی در مجمـوع بخـاطر تنـوع میلیاردی آدرس هاي IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امکان پـذیر خواهـد بـود و ایـن ضـعف در لایه های بالاتر باید جبران شود.

ب) لایه دوم دیوار آتش:

در این لایه از فیلدهای header لایه انتقال برای تحلیل بسته استفاده می شود. عمـومی تـرین فیلـدهای بـسته لایه انتقال جهت بازرسی در دیوارآتش عبارتند از:

1-شماره پورت پروسه مبدا و مقصد : با توجه به آنکه پورت های استاندارد شـناخته شـده هـستند، ممکـن اسـت مسئول یک دیوار آتش بخواهد سرویس FTP فقط در محـیط شـبکه محلـی امکـان پـذیر باشـد و بـرای تمـام ماشینهای خارجی این امکان وجود نداشته باشد. بنابراین دیـواره آتـش مـی توانـد بـسته هـاي TCP بـا شـماره پورتهای 20 و 21 ( مربوط به FTP ) که مقصد ورود و خـروج از شـبکه را دادنـد، حـذف کنـد. یکـی دیگـر از سرویسهای خطرناك که ممکن است مورد سوء استفاده قرار گیرند Telnet می باشد کـه مـی تـوان بـه راحتـی پورت 23 را مسدود کرد یعنی بسته هایی که مقصدشان شماره پورت 23 است، حذف شوند.

2-فیلد شماره ترتیب و فیلد Acknowledgment : این دو فیلد نیز بنابر قواعد تعریف شده توسط مسئول شبکه قابل استفاده هستند.

3- کدهاي کنترلی (TCP code Bits) : دیواره آتش با بررسی ایـن کـدها، بـه ماهیـت آن بـسته پـی بـرده و سیاست هاي لازم را بر روی آن اعمال می کند. بعنوان مثال یک دیواره آتش ممکن است بگونه ای تنظیم شـود که تمام بسته هایی که از بیرون به شبکه وارد می شـوند و دارای بیـت SYN=1 هـستند را حـذف کنـد. بـدین ترتیب هیچ ارتباط TCP از بیرون به درون شبکه برقرار نخواهد شد.

از مهمترین خصوصیات این لایه آن است که تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگـذرد و چون در ارتباط TCP ، تا مراحل سه گانه اش به پایان نرسد، انتقال داده امکان پذیر نیست.

لذا قبل از هر گونه مبادله دیواره آتش می تواند مانع برقراری هر ارتباط غیر مجـاز شـود. بـدین معنـا کـه دیـواره آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نمـوده و در صـورت قابـل اطمینان نبودن مانع از برقراری ارتباط گردد. دیواره آتش این لایه نیاز به جدولی از شماره پورت های غیـر مجـاز دارد.

ج) لایه سوم دیواره آتش :

در این لایه حفاظت براساس نوع سرویس و برنامه کاربردی انجام می شـود. بـدین معنـا کـه بـا در نظـر گـرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد. تعداد header در این لایـه بـسته بـه نـوع سـرویس بـسیار متنوع و فراوان است.

بنابراین در لایه سوم دیواره آتش برای هر سرویس مجزا (ماننـد وب، پـست الکترونیـک و …) بایـد یـک سلـسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش ها در لایه سوم زیاد است. بنابراین توصیه می شود که تمام سرویس های غیر ضروري و شماره پورت هـایی کـه مـورد اسـتفاده نیـستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.

انواع فایروال ها از لحاظ عملکرد

انواع مختلف فایروال ها اعم از سخت افزاری و نرم افزاری (که در واقع به نـوعی فـایروال هـای سـخت افـزاری خود داراي سیستم عامل و نرم افزارهای مربوط به خود مـی باشـند و بایـستی تنظـیم گردنـد)، روش انجـام کـار توسط آنها متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیـشنهادی فـایروال هـا مـی شـود. بنابراین براین اساس، فایروال ها را به 5 گروه تقسیم می نمایند:

1- دیواره های آتش سطح مدار (Circuit – Level Firewall)

این دیواره های آتش به عنوان یک رله براي ارتباطات TCP عمل می کنند. آنها ارتباط TCP با رایانـه پـشتیبان قطع می کنند و خود به جاي آن رایانه به پاسخگویی اولیه می پردازند. تنهـا پـس از برقـراری ارتبـاط اسـت کـه اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها بـه بـسته هـاي داده ای مـرتبط اجـازه عبـور میدهند. این نوع از دیواره هاي آتش هیچ داده درون بسته هاي اطلاعات را مورد بررسی قرار نمـی دهنـد و لـذا سرعت خوبی دارند ضمناً امکان ایجاد محدودیت بر روی سایر پروتکل ها (غیر از TCP) را نیز نمی دهند.

2-دیواره های آتش پروکسی سرور (Proxy Based Firewall)

فایروال های پروکسی سرور به بررسی بسته های اطلاعات در لایـه کـاربرد مـی پـردازد. یـک پروکـسی سـرور درخواست ارائه شده توسط برنامه هاي کاربردی را قطع می کند و خود به جاي آنها درخواست را ارسال می کنـد. نتیجه درخواست را نیز ابتدا خود دریافت و سپس بـراي برنامـه هـای کـاربردی ارسـال مـی کنـد. ایـن روش بـا جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه هاي کاربردی خارجی امنیـت بـالایی را تـامین مـی کنـد. از آنجایی که این دیوارههای آتش پروتکل های سطح کاربرد را می شناسند، لذا می توانند بر مبناي این پروتکلهـا محدودیت هایی را ایجاد کنند. همچنـین آنهـا مـی تواننـد بـا بررسـی محتـوای بـسته هـاي داده ای بـه ایجـاد محدودیتهاي لازم بپردازند. البته این سطح بررسی می تواند به کندي این دیوارههای آتش بیانجامـد. همچنـین از آنجایی که این دیواره های آتـش بایـد ترافیـک ورودي و اطلاعـات برنامـه هـاي کـاربردی کـاربر انتهـایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیـستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتواند این دیواره هاي آتش را به کار گیرد. هـر برنامـه جدیدی که بخواهد از این نوع دیوارهآتش عبور کند، باید تغییراتی در پشته پروتکل دیوارهآتش ایجاد کرد.

عملکرد دیواره آتش پروکسی سرور بدین صورت می باشد که بطور مثال زمانی که یک کـامپیوتر مبـدا تقاضـای یک نشست (_Session) مانند FTP یا برقراري ارتباط TCP با سرویس دهنده وب را بـرای، کـامپیوتر ارسـال می کند، فرایند زیر اتفاق می افتد: پروکسی به نیابت از کامپیوتر مبدأاین نشست را برقرار می کند. یعنی طرف نشست دیـواره آتـش خواهـد بـود نـه کامپیوتر اصلی. سپس یک نشست مستقل بین دیواره آتش و کامپیوتر مقصد برقرار مـی شـود. پروکـسی داده هـا مبدا را می گیرد، سپس از طریق نشست دوم براي مقصد ارسال می نمایـد. بنـابراین در دیـواره آتـش مبتنـی بـر پروکسی هیچ نشست مستقیم رودرویی بین مبدا و مقصد شکل نمی گیرد، بلکه ارتباط آنها بوسیله یـک کـامپیوتر واسط برقرار می شود. بدین نحو دیواره آتش قادر خواهد بود بر روی داده های مبادله شده درخلال نشست اعمـال نفوذ کند. حال اگر نفوذ گر بخواهد با ارسال بسته هاي کنترلی خاص ماننـد SYN-ACK کـه ظـاهراً مجـاز بـه نظر می آیند واکنش ماشین هدف را در شـبکه داخلی ارزیابی کند، در حقیقـت واکـنش دیـواره آتـش را مـشاهده می کند و لذا نخواهد توانست از درون شبکه داخلی اطلاعات مهم و با ارزشی بدست بیاورد.

همچنین دیواره آتش پروکسی سرور به حافظه نسبتاً زیاد و CPU بسیار سریع نیازمندند و لـذا نـسبتاً گـران تمـام می شوند، بدین علت که این نوع دیواره آتش باید تمام نشست هاي بین ماشـین هـای درون و بیـرون شـبکه را مدیریت و اجرا کند، لذا گلوگاه شبکه محسوب می شود و هرگونه تاخیر یا اشکال در پیکربندی آن ، کـل شـبکه را با بحران جدی مواجه خواهد نمود.

3- دیواره آتش غیر هوشمند یا فیلترهاي Nosstatful pocket

این نوع دیواره آتش روش کار ساده اي دارند . آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعـه اي از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیم ها با توجه اطلاعـات آدرس دهی موجود در پروتکل هاي لایه شبکه ماننـد IP و در بعـضی مـوارد بـا توجـه بـه اطلاعـات موجـود در پروتکل هاي لایه انتقال مانند سرایندهاي TCP و UDP اتخاذ می شود.این فیلترها زمانی می توانند بـه خـوبی عمل کنند که فهم خوبی از کاربرد سرویس هاي مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این نـوع دیواره آتش می توانند سریع باشند ، چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی دربـاره پروتکـل هـاي لایه کاربرد ندارند.

4- دیواره آتش هوشمند یا فیلترهای Stateful packet

دیواره آتشی که قادر باشد مشخصات ترافیک خروجی از شبکه را براي مدتی حفظ کنند و بر اساس پردازش آنها مجوز عبور صادر نمایند ، دیواره آتش هوشـمند نامیـده می شوند. این فیلتر ها یا به نوعی دیواره آتش باهوش تر از فیلتر های ساده هستند. آنهـا تقریبـاً تمـامی ترافیـک ورودی را بلوکه می کنند ، اما می توانند به ماشین هاي پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنهـا ایـن کار را با نگهداری رکورد اتصالاتی که ماشین هاي پشتشان در لایه انتقـال مـی کننـد ، انجـام مـی دهنـد. ایـن فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازي دیواره آتش در شبکه مدرن هستند. این فیلترها میتواننـد ردپای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ، ثبت کنند. براي مثال شماره پورت هاي TCP و UDP مبدأ و مقصد ، شماره ترتیب TCP و پرچم هـای TCP . بـسیاری از فیلتر های جدید Stateful می توانند پروتکل های لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لـذا می توانند اعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکل ها انجام دهند.همچنین فیلتر های هوشمند باعث می شود بسته هایی که با ظاهر مجاز می خواهند درون شبکه راه پیـدا کننـد را از بسته های واقعی تمیز داده شوند. بزرگترین مشکل این فیلتر ها غبله بر تاخیر پردازش و حجم حافظـه مـورد نیاز می باشد، ولی در مجموع قابلیت اعتماد بسیار بالاتری دارند و ضریب امنیت شبکه را افـزایش خواهنـد داد؛ و بطور کل یک دیواره آتش یا فیلتر هوشمند پیشینه ترافیک خروجی را براي چند ثانیه آخر به خـاطر مـی سـپارد و بر اساس آن تصمیم می گیرد که آیا ورود یک بسته مجاز است یا خیر.؟

5- دیواره هاي آتش شخصی (Personal Firewall)

دیواره های آتش شخصی ، دیواره های آتشی هستند که بر روي رایانه های شخصی نصب می شوند. آنها بـراي مقابله با حملات شبکه ای طراحی شده اند. معمولاً از برنامه هاي در حال اجرا در ماشین آگاهی دارنـد و تنهـا PC ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند.نصب یک دیـواره آتـش شخـصی بـر روي یک کامپیوتر بسیار مفید است ، زیرا سطح امنیت پیشنهادی توسط دیواره آتش شبکه را افـزایش مـی دهـد. از طرف دیگر از آنجایی که امروزه بسیاري از حملات از درون شبکه حفاظت شـده ، انجـام مـی شـوند ، دیـواره آتش شبکه نمی تواند کاری براي آنها انجام دهد و لذا یک دیواره آتش شخصی بسیار مفید خواهـد بـود. معمـولاً نیازی به تغییر برنامه جهت عبور از دیواره شخصی نصب شده (همانند پروکسی) نیست.

موقعیت یابی براي دیواره آتش

محل و موقعیت نصب دیواره آتش همانند انتخاب نوع صـحیح دیـواره آتـش و پیکربنـدی کامـل آن ، از اهمیـت ویژه ای برخوردار است.نکاتی که باید براي یافتن جای مناسب نصب دیواره آتش در نظر گرفت ، عبارتند از :

1- موقعیت و محل نصب از لحاظ توپولوژیکی :

معمولاً مناسب به نظر می رسد که دیواره آتش را در درگاه ورودي/خروجی شبکه خصوصی نصب کرد. ایـن امـر به ایجاد بهترین پوشش امنیتی برای شبکه خصوصی با کمـک دیـواره آتـش از یـک طـرف و جداسـازی شـبکه خصوصی از شبکه عمومی از طرف دیگر کمک می کند.

2- قابلیت دسترسی و نواحی امنیتی :

اگر سرورهایی وجود دارند که باید برای شبکه عمومی در دسترس باشند ، بهتر است آنها را بعد از دیواره آتـش و در ناحیه DMZ قرار دهید. قرار دادن این سرورها در شبکه خصوصی و تنظیم دیواره آتش جهت صدور اجازه بـه کاربران خارجی برای دسترسی به این سرورها برابر خواهد بود و با هک شدن شبکه داخلـی بـدین علـت کـه در اینحالت مسیر را براي هکرها باز شده است. در حالی که با استفاده از ناحیـه DMZ ، سـرورهاي قابـل دسترسـی برای شبکه عمومی از شبکه خصوصی بطور فیزیکی جدا می باشند. لذا اگـر هکرهـا بتواننـد بـه نحـوی بـه ایـن سرورها نفوذ نمایند،باز هم دیواره آتش را پیش روی خود دارند.

3- مسیریابی نامتقارن :

بیشتر دیواره های آتش مدرن سعی می کنند اطلاعات مربوط به اتصالات مختلفـی را کـه از طریـق آنهـا شـبکه داخلی را به شبکه عمومی وصل کرده است ، نگهداری کنند.این اطلاعات کمک می کنند تـا تنهـا بـسته هـای اطلاعاتی مجاز به شبکه خـصوصی وارد شـوند. در نتیجـه حـائز اهمیـت اسـت کـه نقطـه ورود و خـروج تمـامی اطلاعات به / از شبکه خصوصی از طریق یک دیواره آتش باشد.

4- دیواره های آتش لایه ای :

در شبکه های با درجه امنیتی بالا بهتر است از دو یا چند دیواره آتش در مسیر اسـتفاده شـود.در ایـن حالـت اگـر اولین دیواره آتش با مشکلی روبرو گردد ، دومین دیواره آتش به کار خود ادامه می دهد. در این روش بهتـر اسـت از دیواره هاي آتش شرکت های مختلف استفاده گردد تا در صورت وجود یک اشکال نرم افزاری یا حفره امنیتـی در یکی از آنها ، سایرین بتوانند امنیت شبکه را تأمین کنند.

توپولوژی های دیواره آتش

برای پیاده سازی و پیکربندی دیواره آتش هـا در یـک شـبکه از توپولـوژی هـای متفـاوتی اسـتفاده مـی گـردد . توپولوژی انتخابی به ویژگی های شبکه و خواسته های موجود بستگی خواهد داشت.

توپولوژی نوع اول : دیواره آتش Dual-Homed

در این توپولوژی که یکی از ساده ترین و در عین حال متداولترین روش استفاده از یک دیواره آتش اسـت ، یـک دیواره آتش مستقیماً و از طریق یک خط Dial-up ، خطوط ISDN و یا مودم های کـابلی بـه اینترنـت متـصل می گردد. در توپولوژي فوق امکان استفاده از DMZ وجود نخواهد داشت.
دیواره آتش Dual-Homed

برخی از ویژگی های این توپولوژی عبارت از :
  • دیواره آتش مسئولیت بررسی بسته هاي اطلاعاتی ارسالی با توجه به قوانین فیلترینگ تعریـف شـده بـین شـبکه داخلی و اینترنت و برعکس را برعهده دارد.
  • دیواره آتش از آدرس IP خود براي ارسال بسته های اطلاعاتی بر روي اینترنت استفاده می نماید .
  • دارای یک پیکربندی ساده بوده و در مواردی کـه صـرفا” داراي یـک آدرس IP معتبـر ( Valid ) مـی باشـیم ، کارساز خواهند بود.

 

 

ادامه مطلب