اینترنت Firewall:
طرح و اجرای موضوعات
1- بعضی تصمیمات اساسی طراحی در یک firewall چه چیزهایی هستند؟
تعدادی موضوعات طراحی اساسی وجود دارند که باید توسط یک شخص خوش اقبال که مسئولیت او طراحی ، تعیین و اجرا یا نظارت بر نصب یک firewall است، تعیین شوند .
اولین و مهمترین تصمیم سیاست اینکه چگونه شرکت یا سازمان شما می خواهد سیستم را اعمال کند ، است ک آیا firewall سرجای خود قرار دارد برای رد کردن تمام خدمات به جز آن هایی که برای کار اتصال به شبکه ضروری هستند ، یا اینکه آیا firewall برای تهیه یک متد ارزیابی شده کنترل شده ی دستیابی مرتب در یک حالت غیر تعدید آمیز در جای خود قرار گرفته ؟ در جایی از شکاکیت بین این موقعیت ها وجود دارند نقطه بعدی از firewall شما ممکن است بیشتر نتیجه ی یک تصمیم سیاسی باشد تا اجتماعی
دومی بدین قرار است : چه سطحی از مانیتورینگ (کنترل) افزونگی(زیادی) و کنترل را شما می خواهید ؟
با تثبیت کردن سطح ریسک قابل قبول (یعنی ، چقدرشما محتاط هستید ) از طریق حل مورد اول شما می توانید یک فهرست بازبینی از آنچه که باید مونیتور شود ، مجاز شود و رد شود تشکیل دهید . به عبارت دیگر شما شروع می کنید با فهمیدن (دانستن) اهداف کلی تان و سپس یک تحلیل حتمی را ترکیب می کنید با یک سنجش و لوازم (شرایط یا مقتضیات) تقریبا همیشه متناقض را در یک لیست نشست و رفت تفکیک کنید که مشخص کند چه کاری می خواهید انجام دهید . (چه طرحی را می خواهید اجراکنید.)
سومین مورد مالی است . ما نمی توانیم آن را در اینجا ذکر کنیم مگر با عبارت مهم و دو پهلو ، اما مهم است که سعی کرد هر گونه راه حل پیشنهاد شده را با توجه به قیمتی که برای خریدن یا برای اجرا دارد تعیین کرد . برای مثال یک محصول کامل firewall ممکن است حداکثر 100000 $ حداقل رایگان باشد . حق داشتن محصول رایگان شاید نیاز به هزینه ای برای پیکر بندی روی یک cisco یا مشابه آن نداشته باشد ، اما نیاز به زمانی پرکار و چند فنجان قهوه دارد ! اجرای یک firewall سطح بالا نیاز به هزینه ی زیادی دارد ، شاید برابر با 30000 $ به اندازه ی حقوق و مزایای کارمندی هزینه های جاری مدیریت سیستم ها هم قابل توجه است .
ساختن یک نوع خانگی خوب است ، اما مهم این است که آن را طوری ساخت به توجه مداوم (و هزینه بردار ) نداشته باشد . به عبارت دیگر مهم است که firewall ها را نباید فقط با نظر به اینکه چقدر قیمت دارند سنجید بلکه باید هزینه های متوالی را هم در نظر داشت . از جنبه ی تکنیکی دو تصمیم باید گرفته شوند ،بر مبنای آن حقیقت که برای تمام اهداف عملی و مفید ما درباره آن صحبت می کنیم یک سرویس فرستادن ترافیک ثابت ، بین فرستنده ی (routers ، تعیین مسیر کننده ی) تهیه کننده ی شبکه و شبکه داخلی شما قرار دارد .
سرویس فرستادن ترافیک ممکن است در سطح یک IP اجرا شود ، از طریق چیزی شبیه به قوانین پخش در یک فرستنده (یا تعیین مسیر خنک کننده یا در یک سطح کاربردی ، از طریق دروازه های نماینده و خدمات . تصمیم لازم برای گرفتن این است که آیا یک دستگاه باز شده بی حفاظ را برای اجرای خدمات نمایندگی برای Telnet ، اخبار و. ... روی یک شبکه بیرونی قرار داد یا اینکه یک فرستنده پخش به عنوان یک فیلتر تنظیم کرد که امکان ارتباط یک دستگاه داخلی یا بیشتر را فراهم می کند در هر دو راه کار نقص ها و مزایایی هست با دستگاه نمایندگی میزان بیشتری از رسیدگی بالقوه و ایمنی در عوض هزینه های بالای پیکر بندی فراهم می آید و کاهش در سطح خدمات که ممکن است فراهم آید (زیرا یک نماینده حتما باید برای هر سرویس مورد نظر ساخته شود ) این مبادله قدیمی بین آسانی استفاده و ایمنی بر می گردد . تا فکر ما را با تمام قوا آزار دهد .
2- انواع اصلی و اساسی firewall ها کدام هستند ؟
از نظر ادراکی سه نوع firewall وجود دارد . Network larger (لایه شبکه) Application larger (لایه کاربرد یا اجرا) ترکیبی
آن ها آنقدر که شما فکر می کنید متفاوت نیستند و جدیدترین تکنولوژی ها تفاوت را به آن جا می کشانند که دیگر نمی تواند تشخیص داد کدام بهتر و کدام بدتر است . مثل همیشه باید دقت داشته باشید همان نوعی را انتخاب کنید که نیازتان را بر طرف کند . که بستگی دارد به آن مکانیسم هایی که firewall برای انتقال ترافیک از یک ناحیه امنیتی به ناحیه ی دیگر استفاده می کند . سازمان استانداردهای بین المللی (ISO) سیستم های به هم متصل باز (OSI) برای شبکه سازی هفته لایه تعریف می کند که هر لایه خدماتی را فراهم می کند که لایه بالاتر به آن ها وابسته است و به ترتیب از انتها ، این لایه ها ، فیزیکی ،لینک داده (data link) ، شبکه ، انتقال (جابه جایی) نشست (دوره اجلاس) معرفی ، کاربرد هستند .
مهمترین چیز برای تشخیص این است که هر چه سطح پایینتر ، مکانیسم پیش روتر و بررسی کمتر انجام می شود . به طور کلی که بخواهیم ، firewall های سطح پایین سریعتر هستند اما امکان کار اشتباه در آن ها بیشتر است این روزها اغلب firewall ها در دسته بندی ترکیبی جای می گیرند که کار فیلتر کردن شبکه انجام می دهند و همچنین کنترل (بازرسی) کاربرد . مقداری که تغییر می کند بستگی دارد به فروشنده ، محصول ، پروتوکل و ورژن ، بنابراین بعضی سطوح کشفیات و یا آزمودن اغلب ضروری است .
2.1- firewall های لایه شبکه
کلا این ها تصمیماتشان را بر اساس منبع ، آدرس های متفاوت و پورتها (برای جزئیات بیشتر در زمینه پورت ها به ضمیرها رجوع کنید .") در بسته های تکی IP می گیرند . یک فرستنده ساده (router) firewall قدیمی لایه شبکه است به خاطر این که آن نمی تواند تصمیمات مخصوص پیچیده در مورد بسته ی که در واقع با آن صحبت می شود یا از جایی که می آید . firewall های مدرن لایه شبکه فوق العاده پیچیده شده اند و اکنون اطلاعات داخلی در مورد وضعیت اتصال هایی که از آن ها می گذرند ، محتوای بعضی جریان های اطلاعات و غیره نگه می دارند . یک مورد که تمایز مهمی درباره ی بسیار از firewall های لایه شبکه است این است که آن ها ترافیک را مستقیما از میان آن ها می فرستند ، بنابراین برای داشتن یکی از آن ها لازم است که یک بلوک آدرس IP معتبر داشته باشید یا اینکه از یک بلوک آدرس خصوصی اینترنت استفاده کنید . لایه های شبکه (network larger) تمایل دارند که خیلی سریع و برای کاربران واضح و روشن باشند . شکل 1 در شکل 1 یک firewall لایه ی شبکه به نام firewall میزبان پخش شده نشان داده شده در یک firewall میزبان نمایش داده شده ، دستیابی به و از یک میزبان تکی به وسیله ی یک عامل فرستند در یک لایه ی شبکه کنترل می شود . میزبان تک یک میزبان باستیون (مستحکم) و با پشتیبانی بالا و این است که خوشبختانه در برابر حمله مقاوم باشد .
لایه firewall شبکه نمونه می تواند در شکل 2 یک firewall لایه شبکه به نام firewall زیر شبکه پخش شده نشان داده شده . در یک firewall زیر شبکه نمایش داده شده دستیابی و از یک شبکه کامل بوسیله ی یکی عامل فرستنده (router) در یک لایه شبکه کنترل می شود . آن شبیه به یک میزبان نمایش داده شده (پخش شده ) است ، با این تفاوت که به نحو کار آمدی ، شبکه ای از میزبان های پخش شده است .
2.2- firewall های لایه کاربرد( Application larger)
این ها کلا میزبان هایی هستند که سرورهای نماینده را اجرا می کنند که اجازه ی ترافیک مستقیم بین شبکه ها را نمی دهند . و رسیدگی (حسابرسی ) logging پر طول و تفسیری از ترافیک در حال عبور از آن ها ، انجام می دهند . به خاطر اینکه کاربردهای نماینده (پرکسی) عوامل نرم افزاری هستند که روی firewall اجرا می شوند . آن جا جای خوبی برای logging و کنترل دستیابی محسوب می شود . firewall های لایه ی کاربرد Application larger می توانند با عنوان مترجم های آدرس شبکه کار روند ، زیرا ترافیک بعد از گذشتن از یک کاربرد (یا application) که به طور موثری خاستگاه اتصال آغاز کننده را می سازد.به یکی وارد می شود و از دیگر خارج .
داشتن یک کاربرد در سر راه در بعضی موارد ممکن است باعث اجرای عملکرد شود و ممکن است firewall ها را مبهم سازد .
اولین firewall های لایه کاربرد مانند آن هایی که با استفاده از جعبه ابزار firewall tis ساخته شدند . احتمالا برای کاربران نهایی واضح نیستند و ممکن است نیاز بعه کمی آموزش داشته باشند . firewall های مدرن لایه کاربرد معمولا واضح اند . firewall های لایه ی کاربرد (یا اجرا) مایل اند نسبت به firewall های لایه شبکه ای الگوهای امنیتی محافظ کارتر (کارانه تر) را اجرا کنند .
نمونه firewall لایه کاربرد : در شکل 3 یک firewall لایه کاربرد به نام دروازه ی کانونی دوتایی نشان داده شده . دروازه ی کانونی دوتایی یک میزبان فوق العاده ایمن شده است که نرم افزار پروکسی (نماینده) اجرا می کند . آن دو واسطه شبکه ای دارد ، هر کدام روی یک شبکه و تمام ترافیکی که از آن می گذرد را مسدود می کنند . اغلب firewall ها اکنون جایی بین firewall های لایه شبکه و firewall های لایه کاربرد قرار می گیرند .
همانطور که انتظار می رود ، firewall های لایه شبکه ای ، به طور فزاینده ای از اطلاعاتی که در آن هابررسی می شود آگاه شده اند و firewall های لایه تقاضا(همان کاربرد) پیش از پیش سطح پایین و واضح شده اند .
نتیجه نهایی این است که اکنون سیستم های نمایش دهنده ی بسته ای سریع که داده ها را همانطور که به سیستم منتقل می شوند (لگ می کنند) و کنترل می کنند .
Firewall ها (لایه های تقاضا و شبکه ای ) بیش از پیش در نهفته سازی شرکت می کنند زیرا آن ها ممکن است از ترافیک که در جریان اینترنت از آن ها می گذرد ، حمایت کنند . firewall ها با رمز گذاری پشت سر هم می توانند توسط سازمان هایی با چندین نقطه ای پیوستگی اینترنتی برای استفاده از اینترنت به عنوان یک ستون خصوصی استفاده شوند ، بدون اینکه آن ها نگران لو رفتن داده ها یا رمز عبورشان باشند . (IPSEC که در بخش 2.6 توضیح داده شد نقش فوق العاده مهمی در ساخت چنین شبکه های خصوصی واقعی دارد .)
3- سرورهای پرکسی چه چیزهایی هستند و چه کاری می کنند ؟
یک سرور پروکسی (گاهی اشاره دارد به دروازه ی تقاضا یا پیش برنده) است که ترافیک را بین یک شبکه پشتیبانی شده و اینترنت بررسی می کند . پروکسی ها اغلب به جای کنترلهای ترافیک که بر مبنای فرستنده هستند ، استفاده می شوند برای اینکه از انتقال مستقیم ترافیک بین شبکه ها جلوگیری کنند . بسیاری از پروکسی ها برای تایید کاربر ، Logging یا پشتیبانی مضاف دارند . به خاطر این که پروکسی ها باید پروتکل تقاضا که استفاده می شود را بدانند ، می توانند همچنین ایمنی مخصوص پروتکل را اجرا کنند (مثل پروکسی ftp ممکن است برای اجازه دادن ftp در حال آمدن و مسدود کردن ftp بیرون رونده قابل ترکیب بندی باشد . )
سرور های پروکسی کاربرد اختصاصی دارند . به منظور پشتیبانی از یک پروتکل جدید از طریق یک پروکسی ،یک پروکسی برای آن باید ساخته شود . یک مجموعه سرورهای پروکسی fwt2 است که شامل پروکسی هایی ست برای Http / web , x window system , FTP , login , telnet و اخبار socks . nntp / Usenet یک سیستم پروکسی عام است که می تواند به صورت یک تقاضای جانب مشتری همگردانی شود تا باعث شود آن در یک firewall کار کند . مزیت آن این است که استفاده آن آسان است اما آن از اضافه ی (یا دنباله ی ) قلاب های تایید با پروتوکل مخصوص logging حمایت نمی کند . برای اطلاعات بیشتر در زمینه socks رجوع کنید . به
http://www.socks.net.com/
4- بعضی ابزارهای پخش بسته ای ارزان چه چیزهایی هستند ؟
ابزارهای ایمنی دانشگاه texas A&M شامل نرم افزاری برای اجرای فرستنده های نمایش دهنده است . kalbridge یک کیت فرستنده فرستنده پخش بر اساس pc است ، که از
//. Net .ohio – state – edu/pub/kbridge/ ftb/ftb
قابل دستیابی ست . چندین بسته پخش سطح کرنل وجود دارد از جمله ipchains . ipw , ipf
Linux, Net BSD, OpcnBSD , FreeBSD , pf همچنین ممکن است این ابزارها را در پیاده کردن Unix تجاری هم پیدا کنید . اگر می خواهید دستتان را آلود کنید . حتما ممکن می شود با ساختن یک firewall کاملا کاربردی و ایمن به قیمت سخت افزار و زمان شما .
5- بعضی قوانین منطقی فیلتر کردن برای یک صفحه پخش بر مبنای
(kernel – based)kernel
این مثال خاص ipfwadm روی لینوکس نوشته شده اما اصول آن و حتی بیشتر ترکیب برای دیگر واسطه ها کرنل برای بسته پخش در سیستم های open source Unix نیز به کار می رود .
چهار دسته ی اصلی وجود دارند که قوانین ipfwadm آن ها را پوشش می دهد.
A:
Paclect Accounting
I
Input firewall
O
Out put firewall
F
Forwarding firewall
Ipfwadm قابلیت های تغییر حالت دارد. (m-)
جهت اطلاعات بیشتر در زمینه جا به جایی ها و گزینه ها می توانید صفحه Ipfwadm را ببینید .
5.1- اجراکردن (پیاده کردن)
اینجا سازمان ما در حال استفاده از یک شبکه خصوصی 192.168.1.0.classc(RFC1918)است .
Isp آدرس 201.123.102.32 را برای واسط خارجی دروازه ی ما تعیین می کند و همچنین 201.123.102.33 برای سرور پستی خارحی ما سیاست سازمانی چنین می گوید .