بی شک یکی از مهمترین مسائل امروز دنیای علم که در تمامی ابعاد زندگی بشر نفوذ داشته است شبکه و بکارگیری آن در تکنولوژی است، چرا که هرگز نمی توان مزایای شگفت انگیز آن را نسبت به عدم استفاده از این تکنولوژی را نادیده گرفت.مزایایی از قبیل به اشتراک گذاری منابع و اطلاعات، دسترسی به منابع در هر جای دنیا و در کمترین زمان ممکن، ارتباطات متقابل به طور همزمان و ..... .
به همین دلیل استفاده از این امکان با سرعتی شگرف در حال فزونی است ، اما آنچه در این بین ناخوشایند جلوه می نماید این است که هر چه گستره این تکنولوژی و استفاده از آن بیشتر می شود، خطراتی که آنرا و کاربران آنرا تهدید می کند بیشتر می شود.
مهمترین این خطرات وجود افرادی است که به هر دلیل قصد رخنه در حریم غیر مجاز امنیتی شبکه را دارند تا از آن سوء استفاده ببرند.
این افراد که مهمترین نوع آنها به هکرها موسومند با ورود بدون مجوز به یک سیستم قصد ضربه زدن به آن و یا ربودن اطلاعات را دارند.
از طرفی متأسفانه باید گفت که ابزارهای قوی و فراوانی وجود دارند که راه را برای نفوذگران شبکه آسانتر می کنند. این ابزارها در اینترنت فراوانند و بسیاری از سایت های اینترنتی به رایگان در اختیار همه قرار می دهند.
بطور خلاصه مهمترین این ابزارها را همراه با کاربرد آنها معرفی می کنیم.
ابزاری به نام cheops که یک توپولوژی کامل از شبکه را ارائه می دهد .
ابزارهای قدرتمندی مانند Nscan ، Nmap ، Netcat که تمامی پورتهای روی یک سرور را به طور دقیق بررسی می کنند، علاوه بر این قادر به تشخیص خودکار سیستم عامل دستگاه هدف می باشند.
دستوراتی مانند ping ، tracert و همچنین netstate در سیستم عامل ویندوز وجود دارند که برای یافتن آدرس IP یک سرور به کار می روند.
دستوری به نام Telnet –تعبیه شده در ویندوز- که امکان بررسی پورتهای روی سیستم و حتی ارتباط با آنها را ممکن می سازد.
Nessus و SATAN از جمله ابزار ی هستند که قادر به تشخیص آسیب پذیریهای یک شبکه می باشند.
این نوع ابزارها در ابتدا برای مدیران شبکه و به منظور شناسایی آسان معایب شبکه طراحی شدند ، اما اکنون مورد سوء استفاده نفوذگران نیز واقع شده اند.
پس نتیجه می شود که اینترنت آن قدر هم که به نظر می رسد امن نیست . ویروسها ، جاسوسان و هکرها همه و همه در جستجوی سیستمهای آسیب پذیر در اینترنت هستند.
در این راستا باید راهکارهایی را جهت تأمین امنیت بررسی نمود که این راهکارها باید دارای خصوصیات زیر باشند.
سیاست مؤثر و یکپارچه
استفاده از ابزارهای متنوع
طراحی صحیح در اعمال سیاستها
به روز بودن تکنیکهای دفاعی
آموزش و جلب همکاری عمومی
محصولات امنیت شبکه نیز شامل موارد ذیل می باشند :
دیوار آتش Firewall
مهاجم یاب Intrusion Detection System
شبکه های اختصاصی مجازی VPN
سیستمهای طعمه Hony pots
تحلیلگر وقایع ثبت شده Security log Analyzers
هکرها که مهمترین آسیب رسانی را به شبکه ها به خود اختصاص داده اند اول از همه دنبال شکاف های امنیتی می گردند.
نصب یک Firewall یا دیواره آتشین بسیاری از معضلات مربوط به امنیت شبکه را حل خواهد نمود، زیرا نفوذگران معمولاً به دنبال رایانه هایی می گردند که به طور دائمی به اینترنت متصل باشند و توسط دیواره آتش محافظت نشده اند. از این جمله می توان رایانه ها و شبکه های متعلق به شرکتهای تازه کار و مدارس و یا افراد عادی را عنوان نمود.
امروزه در کشورهایی که دارای خطوط ارتباطی با سرعت بالا نظیر DSL و یا مودم های کابلی می باشند به کاربران خانگی توصیه می گردد که هر یک از فایروال استفاده نموده و با استقرار لایه فوق بین شبکه داخلی در منزل و اینترنت ، مسائل ایمنی را رعایت نمایند.
بدین ترتیب با استفاده از یک فایروال می توان یک شبکه را در مقابل عملیات غیر مجاز توسط افراد مجاز و عملیات مجاز توسط افراد غیر مجاز حفاظت کرد.
به دلیل اهمیت موضوع Firewall و داشتن یک دیواره آتشین موضوع فوق را به طور گسترده تر بررسی می نمائیم و در پایان طرز کار و عملکرد معروفترین فایروالها را بررسی می نمائیم.
Firewall چیست؟
دیواره آتش Firewall یک اصطلاح ژنریک برای توصیف انواعی از روشهای امنیتی برای محافظت از ارتباطات اینترنتی و شبکه ای شماست.
شاید عجیب به نظر برسد ، اما خط تلفن با ارتباط کابلی که کامپیوتر شما را به اینترنت وصل می کند تعدادی نقطه دستیابی را در اختیار نفوذگران قرار می دهد.
پروتکل TCP/IP که برای دستیابی اکثر محتویات وب و فایلهایی که بینندگان اینترنت با آنها کار می کنند به کار می رود، بیش از 65000 درگاه (PORT ) مرتبط با خود دارد که مکانهایی هستند که به داده ها در آنها اجازه عبور از اینترنت به کامپیوتر شما داده می شود.
هکرهای باهوش می توانند دریابند که کدام درگاهها بیشترین قابلیت دستیابی را دارند و توجه خود را معطوف نفوذ به آنها می کنند.
نظارت و حفاظت روی همه این درگاهها وظیفه اصلی یک FIREWALL می باشد.
بنابراین Firewall سیستمی است بین کاربران یک شبکه محلی و یک شبکه بیرونی (مثل اینترنت) که ضمن نظارت بردسترسی ها , در تمام سطوح , ورود و خروج اطلاعات را تحت نظر دارد .
بسته های TCP و IP قبل و پس از ورود به شبکه وارد دیوارآتش میشوند و منتظر می مانند تا طبق معیارهای امنیتی خاصی پردازش شوند . حاصل این پردازش احتمال وقوع سه حالت است :
1- اجازه عبور بسته صادر میشود (Accept Mode)
2- بسته حذف میشود (Blocking Mode)
3- بسته حذف میشود و پیام مناسبی به مبدا ارسال بسته فرستاده میشود (Response Mode).
همانطور که همه جا ایست و بازرسی اعصاب خرد کن و وقتگیر است دیوار آتش نیز میتواند بعنوان یک گلوگاه باعث بالا رفتن ترافیک , تاخیر, ازدحام و بن بست شود .
از آنجا که معماری TCP/IP بصورت لایه لایه است ( شامل 4 لایه : فیزیکی, شبکه, انتقال و کاربردی ) وهر بسته برای ارسال یا دریافت باید از هر 4 لایه عبور کند بنابراین باید برای حفاظت فیلدهای مربوط شده در هر لایه را مورد بررسی قرار دهیم .
بیشترین اهمیت در لایه های شبکه , انتقال و کاربرد است چون فیلد مربوط به لایه فیزیکی منحصربه فرد نیست و در طول مسیر عوض میشود .
پس به یک دیوار آتش چند لایه نیاز داریم .
سیاست امنیتی یک شبکه مجموعه ای از قواعد حفاظتی است که بنابر ماهیت شبکه در یکی از لایه های دیوار آتش تعریف میشوند .
کارهایی که در هر لایه از دیوار آتش انجام میشود عبارتست از:
1- تعیین بسته های ممنوع ( سیاه ) و حذف آنها یا ارسال آنها به سیستمهای مخصوص ردیابی (لایه اول دیوار آتش).
2- بستن برخی از پورتها متعلق به برخی سرویسها مثلTelnet , FTP و …(لایه دوم دیوار آتش).
3- تحلیل سرآیند متن یک صفحه وب یا نامه الکترونیکی یا .... (لایه سوم دیوار آتش).
A - در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار میگیرد :
- آدرس مبدا( Source Address ) : برخی از ماشینهای داخل یا خارج شبکه حق ارسال بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
- آدرس مقصد( Destination Address ) : برخی از ماشینهای داخل یا خارج شبکه حق دریافت بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
IP آدرسهای غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص میشود .
- شماره شناسایی یک دیتا گرام تکه تکه شده( Id & Fragment Offset ) : بسته هایی که تکه تکه شده اند یا متعلق به یک دیتا گرام خاص هستند حذف میشوند .
- زمان حیات بسته (Time To Live ) : بسته هایی که بیش ازتعداد مشخصی مسیریاب را طی کرده اند حذف میشوند.
- بقیه فیلدها : بر اساس صلاحدید مدیر دیوار آتش قابل بررسی اند .
بهترین خصوصیت لایه اول سادگی و سرعت آن است . چرا که در این لایه بسته ها بصورت مستقل از هم بررسی میشوند و نیازی به بررسی لایه های قبلی و بعدی نیست. به همین دلیل امروزه مسیریابهایی با قابلیت انجام وظایف لایه اول دیوار اتش عرضه شده اند که با دریافت بسته آنها را غربال کرده به بسته های غیر مجاز اجازه عبور نمیدهند.
با توجه به سرعت این لایه هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشکوک بیشتری حذف میشوند و حجم پردازش کمتری به لایه های بالاتر اعمال میشود .