تبلیغات
مهندسی کامپیوتر

نظرسنجی

درباره ما



 ایجاد کننده وبلاگ : مدیر admin

این صفحه را به اشتراک بگذارید

صفحات جانبی

آمار بازدید

» کل بازدید ها :
» بازدید امروز :
» بازدید دیروز :
» بازدید این ماه :
» بازدید ماه قبل :
» تعداد نویسندگان :
» تعداد کل مطالب :
» آخرین بروز رسانی :


ADS
ADS
صفحات سایت :

FireWall دیوار آتش

چهارشنبه 1 اردیبهشت 1389, 09:29 ق.ظ نویسنده وحید دره شیری دسته بندی : شبكه,

دیوار آتش سیستمی است كه در بین كاربران یك شبكه محلی و شبكه بیرونی (مثلاً اینترنت)قرار می گیرد و ضمن نظارت بر دسترسی ها، در تمام سطوح ورود و خروج اطلاعات را تحت نظر دارد.

مدلی ساده برای یك سیستم دیوار آتش در شكل (1) ارائه شده است. در این ساختار هر سازمان شبكه داخلی خود را با دنیای خارجی قطع كرده و هر نوع ارتباط خارجی از طریق یك دروازه كه در شكل (1) نشان داده شده، انجام  می شود.

قبل از آنكه اجزای یك دیوار آتش را تحلیل كنیم باید عملكرد كلی و مشكلات استفاده از یك دیوار آتش را بررسی كنیم.

بسته های  IP قبل از مسیریابی روی شبكه اینترنت ابتدا وارد دیوار آتش می شوند و منتظر می مانند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند. پس از پردازش و تحلیل بسته، سه حالت ممكن است اتفاق بیفتد:

الف) اجازه عبور بسته صادر شود.(Accept Mode)

ب)بسته حذف گردد. (Blocking Mode)

ج) بسته حذف شده و پاسخ مناسب به مبداء آن بسته داده شود. (Response Mode)

(به غیر از پیغام حذف بسته می توان عملیاتی نظیر اخطار، ردگیری، جلوگیری از ادامه استفاده از شبكه و تو بیخ هم در نظر گرفت)

در حقیقت دیوار آتش محلی است برای ایست و بازرسی بسته های اطلاعاتی به گونه‌ای كه بسته ها بر اساس تابعی از قواعد امنیتی و حفاظتی، پردازش شده و برای آ نها مجوز عبوز یا عدم عبور صادر می شود.

اگر P  مجموعه ای از بسته های ورودی به سیستم دیوار آتش در نظر گرفته شود و S  مجموعه ای متناهی از قواعد امنیتی باشد داریم:

X=F(p,s)                                                                 

F تابع عملكرد دیوار آتش و X  نتیجة تحلیل بسته (شامل سه حالت Accept,Blocking,Response) خواهد بود.

همانطوری كه همه جا عملیات ایست وبازرسی وقتگیر واعصاب خردكن است دیوار آتش هم به عنوان یك گلوگاه می تواند منجر به بالا رفتن ترافیك، تاخیر، ازدحام و نهایتاً  بن بست در شبكه شود ( بن بست زمانی است كه بسته ها آنقدر در حافظه دیوار آتش معطل می شوند تا طول عمرشان تمام شود و فرستنده اقدام به ارسال مجدد آنها كرده و این كار به طور متناوب تكرار شود) به همین دلیل دیوار آتش نیاز به طراحی صحیح و دقیق دارد تا از حالت گلوگاهی خارج شود .( تأخیر در دیوار آتش مجموعاً اجتناب ناپذیر است فقط بایستی به گونه ای باشد كه بحران ایجاد نكند.)

 

4-1 مبانی طراحی دیوار آتش

از آنجایی كه معماری شبكه بصورت لایه به لایه است، در مدل   TCP/IP برای انتقال یك واحد اطلاعات از لایه چهارم بر روی شبكه باید تمام لایه ها را بگذراند و هر لایه برای انجام وظیفة خود تعدادی فیلد مشخص به ابتدای بستة اطلاعاتی اضافه كرده و ان را تحویل لایة زیرین می دهد. قسمت اعظم كار یك دیوار آتش تحلیل فیلدهای اضافه شده در هر لایه و سرآیند هر بسته می باشد.

در بسته ای كه وارد دیوار آتش می شود به تعداد لایه ها (4 لایه ) سرآیند متفاوت وجود خواهد داشت معمولاً سرآیند لایه اول (لایه فیزیكی یا  Network Interface  در شبكه اینترنت) اهمیت چندانی ندارد چرا كه محتوای این فیلد ها فقط روی كانال فیزیكی از شبكه محلی معنا دارد و در گذر از هر شبكه یا مسیریاب این فیلدها عوض خواهد شد. بیشترین اهمیت در سرآیندی است كه در لایه های دوم ،سوم و چهارم به یك واحد از اطلاعات اضافه خواهد شد:

        ·در لایه شبكه دیوار آتش فیلدهای بسته   IP را پردازش و تحلیل می كند.

        · در لایه انتقال دیوار آتش فیلدهای بسته های TCP یا UDP  را پردازش و تحلیل می كند.

        · در لایه كاربرد دیوار آتش فیلدهای سرآیند و همچنین محتوای خود داده ها را بررسی می كند.

(مثلاً سرآیند و محتوای یك نامه الكترونیكی یا یك صفحه وب می تواند مورد بررسی قرار گیرد.)

با توجه به لایه لایه بودن معماری شبكه لاجرم یك دیوار آتش نیز لایه به لایه خواهد بود به شكل (2) دقت كنید:

اگر یك بسته در یكی از لایه های دیواره آتش شرایط عبور را احراز نكند همانا حذف شده و به لایه های بالاتر ارجاع داده نمی شود بلكه این امكان وجود دارد كه آن بسته جهت پیگیری های امنیتی نظیر ثبت عمل و ردگیری به سیستمی جانبی تحویل داده شود.

سیاست امنیتی یك شبكه مجموعه ای متناهی از قواعد امنیتی است كه بنا به ماهیتشان در یكی از سه لایه دیوار آتش تعرف می شوند به عنوان مثال :

        · قواعد تعیین آدرس های ممنوع در اولین لایه از دیوار آتش

        ·قواعد بستن برخی از سرویسها مثل  Telnet یا  FTP در لایه دوم

 قواعد تحلیل سرآیند متن یك نامه الكترنیكی یا صفحه وب در لایه سوم

 

4-1-1 لایه اول دیوار آتش

لایه اول در دیوار آتش بر اساس تحلیل بسته  IPو فیلد های سرآینداین بسته كار می كند و در این بسته فیلدهای زیر قابل نظارت و بررسی هستند:

   ·آدرس مبداء : برخی از ماشینهای داخل یا خارج شبكه با آدرس  IP خاص “حق ارسال” بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شود.

   ·آدرس مقصد: برخی از ماشینهای داخل یا خارج شبكه با آدرس  IP خاص “حق دریافت” بسته نداشته باشند و بسته های آنها به محض ورود به دیوار آتش حذف شوند.

        · (آدرسهای IP غیر مجاز توسط مسئول دیوار آتش تعریف می شود).

        · شماره شناسایی یك دیتاگرام :بسته هایی كه متعلق به یك دیتاگرام خاص هستند حذف شوند.

   ·شماره پروتكل: بسته هایی كه متعلق به پروتكل خاصی در لایه بالاتر هستند می تواند حذف شود. یعنی بررسی این كه بسته متعلق به چه پروتكلی در لایه بالاتر است و آیا برای تحویل به آن پروتكل مجاز است یا نه.

        · زمان حیات بسته: بسته هایی كه  بیش از تعداد  مشخصی مسیریاب را طی كرده اند مشكوك هستند و باید حذف شوند.

   ·بقیه فیلدها بنابر صلاحدید و قواعد امنیتی مسئول دیوار آتش قابل بررسی هستند مهمترین خصوصیت لایه اول از دیوار آتش آن است كه در این لایه بسته ها به طور مجزا و مستقل از هم بررسی می شود و هیچ نیازی به نگه داشتن بسته های قبلی یا بعدی یك بسته نیست. به همین دلیل ساده ترین و سریعترین تصمیم گیری در این لایه انجام می شود.

امروزه برخی از مسیریاب ها با امكان لایه اول دیوار آتش به بازار عرضه می شوند یعنی به غیر از مسیریابی، وظیفة لایه اول یك دیوار آتش را هم انجام می دهند كه به آنها “مسیریاب های فیلتر كننده بسته”  گفته می شود بنابراین مسیریاب قبل از اقدام به مسیریابی، بر اساس جدولی بسته های IP را غربال می كند و تنظیم این جدول بر اساس نظر مسئول شبكه و برخی از قواعد امنیتی انجام می گیرد با توجه به سریع بودن این لایه هر چه  درصد قواعد امنیتی در این لایه دقیقتر و سختگیرانه تر باشد حجم پردازش در لایه های بالاتر كمتر و در عین حال احتمال نفوذ پائینتر خواهد بود ولی در مجموع به خاطر  تنوع میلیاردی آدرسهای IP نفوذ از این لایه با آدرسهای جعلی یا قرضی امكان پذیر خواهد بود و این ضعف در لایه های بالاتر بایستی جبران شود.

  

4-1-2  لایه دوم دیوار آتش

در این لایه از فیلد های سرآیند لایه انتقال برای تحلیل بسته استفاده می شود عمومی ترین فیلدهای بسته های لایة انتقال چهت بازرسی در دیوار آتش، عبارتند از:

    · شماره پورت پروسه مبداء و شماره پورت پروسه مقصد: با توجه به اینكه پورت های استاندارد شناخته شده هستند ممكن است مسئول یك دیوار آتش بخواهد سرویس  ftp (انتقال فایل) فقط در محیط شبكه محلی امكان پذیر باشد و برای تمام ماشینهای خارجی این سرویس وجود نداشته باشد بنابراین دیوار آتش می تواند بسته های TCP با شماره پورت 20 و 21 (مربوط به  ftp ) كه قصد ورود یا خروج از شبكه دارند، حدف كند. یكی دیگر از سرویسهای خطرناك كه ممكن است مورد سوء استفاده قرار گیرد Telnet است كه می توان براحتی پورت 23 را مسدود كرد یعنی بسته هایی كه شماره پورت مقصدشان 23 است حذف شوند.

    · فیلد شماره ترتیب و فیلد Acknowledgment : این دو فیلد بنابر قواعد تعریف شده توسط مسئول شبكه قابل استفاده هستند. از مهمترین خصوصیات  این لایه آن است كه تمام تقاضاهای برقراری ارتباط TCP بایستی از این لایه بگذرد و چون در ارتباط  TCP،“دست تكانی سه گانه اش” به اتمام نرسد انتقال داده امكان پذیر نیست لذا قبل از هر گونه مبادله داده دیوار آتش می تواند مانع برقراری هر ارتباط غیر مجاز شود. یعنی دیوار آتش می تواند تقاضاهای برقراری ارتباط TCP را قبل از ارائه به ماشین مقصد بررسی نماید و در صورت غیر قابل اعتماد بودن، مانع از برقراری ارتباط شود. دیوار آتش در این لایه نیاز به جدولی از شماره پروت های غیر مجاز دارد.

4-1-3  لایه سوم دیوار آتش

در این لایه حفاظت بر اساس نوع سرویس و برنامه كاربردی انجام می شود. یعنی با در نظر گرفتن پروتكی در لایه چهارم به تحلیل داده ها می پردازد. تعداد صرایند ها در این لایه بسته به نوع سرویس بسار متنوع و فراوان است. بنابراین در لایه سومدیوار آتش برای هر سرویس مجاز (مثل سرویس پست الكترونیكی، سرویس ftp، سرویس وب و ) باید یك سلسله پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش در لایه سوم زیاد است. توصیه مؤكد آنست كه تمام سرویسهای غیر ضروری و شماره پورتهایی كه مورد استفاده نیستند در لایه دوم مسدود شوند تا در كار درلایه سوم كمتر باشد.

به عنوان مثال فرض كنید مؤسسه ای نظامی پست الكترونیكی خود را دائر كرده ولی نگران فاش شدن برخی اطلاعات محرمانه است.در این حالت دیوار آتش در لایه سوم می تواند كمك كند تا برخی آدرسهای پست الكترونیكی مسدود شود. در عین حال می تواند در متون نامه های رمز نشده دنبال برخی از كلمات كلیدی حساس بگردد و متون رمز گذاری شده را در صورتی كه موفق به رمز گشایی آن نشود حذف نماید.

بعنوان مثالی دیگر یك مركز فرهنگی علاقمند است قبل از تحویل صفحه وب به یك كاربر، درون آن را از لحاظ وجود برخی از كلمات كلیدی بررسی كند و اگر كلماتی كه با معیارهای فرهنگی مطابقت ندارد درون صفحه یافت شد آن صفحه را حذف نماید.

 

4-2 اجزای جانبی یك دیوار آتش

دیوار آتش یك سیستم امنیتی است كه سیستم های مسئول شبكه را پیاده سازی  و اعمال می كند. بنابراین دیوار آتش بایستی از طریق یك ورودی سهل و راحت قواعد را از مسئول شبكه دریافت نماید و همواره فعالیتهای موجود روی شبكه را به مسئول شبكه گزارش بدهد. بهمین دلیل معمولاً یك سیستم دیوار آتش دارای اجزای ذیل است:

 

4-2-1  واسط محاوره ای و ساده ورودی / خروجی

برای تبادل اطلاعات و سهولت در تنظیم قواعد امنیتی و ارائه گزارش، نیاز به یك واسط كاربر كه ساده و در عین حال كارآمد باشد وجود دارد. معمولاً واسط كاربر مستقل از سیستم دیوار آتش دارای دستگاهی به عنوان صفحه نمایش وب نیست بلكه از طریق وصل یك ابزار جانبی مثل یك ترمینال ساده  یا یك كامپیوتر شخصی معمولی فرمان می گیرد یا گزارش می دهد.