فايروال ( firewall ) چيست؟

به گزارش سرویس وب گردی باشگاه خبرنگاران؛ يك فايروال از شبكه شما در برابر ترافيك ناخواسته و همچنين نفوذ ديگران به كامپيوتر شما حفاظت مي كند. توابع اوليه يك فايروال به اين صورت هستند كه اجازه مي دهند ترافيك خوب عبور كند و ترافيك بد را مسدود مي كنند! مهمترين قسمت يك فايروال ويژگي كنترل دستيابي آن است كه بين ترافيك خوب و بد تمايز قائل مي شود.

بر اساس این گزارش که به نقل از آی تی مگ نوشته شده است: وقتي آن را نصب مي كنيد فايروال بين كامپيوتر شما و اينترنت قرار مي گيرد. فايروال به شما اجازه مي دهد صفحات وب را ببينيد و به آنها دسترسي داشته باشيد، فايل download كنيد، چت كنيد . در حاليكه مطمئن هستيد افراد ديگري كه در اينترنت مشغول هستند نمي توانند به كامپيوتر شما دست درازي كنند.

بعضي از فايروال ها نرم افزارهايي هستند كه روي كامپيوتر اجرا مي شوند اما فايروالهاي ديگر به صورت سخت افزاري ساخته شده اند و كل شبكه را از حمله مصون مي كنند.

فايروال های سخت افزاری : اين نوع از فايروال ها که به آنان فايروال های شبکه نيز گفته می شود ، بين کامپيوتر شما (و يا شبکه) و کابل و يا خط DSL قرار خواهند گرفت . تعداد زيادی از توليد کنندگان و برخی از مراکز ISP دستگاههائی با نام “روتر” را ارائه می دهند که دارای يک فايروال نيز می باشند .

فايروال های سخت افزاری در مواردی نظير حفاظت چندين کامپيوتر، مفيد بوده و يک سطح مناسب حفاظتی را ارائه می نمايند( امکان استفاده از آنان به منظور حفاظت يک دستگاه کامپيوتر نيز وجود خواهد داشت ) . در صورتی که شما صرفا” دارای يک کامپيوتر پشت فايروال می باشيد و يا اين اطمينان را داريد که ساير کامپيوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ويروس ها و يا کرم ها می باشند ، ضرورتی به استفاده از يک سطح اضافه حفاظتی (يک نرم افزار فايروال ) نخواهيد داشت .

فايروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سيستم عامل اختصاصی خود می باشد . بنابراين بکارگيری آنان باعث ايجاد يک لايه دفاعی اضافه در مقابل تهاجمات می گردد .

فايروال های نرم افزاری : برخی از سيستم های عامل دارای يک فايروال تعبيه شده درون خود می باشند . در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای ويژگی فوق می باشد ، پيشنهاد می گردد که آن را فعال نموده تا يک سطح حفاظتی اضافی در خصوص ايمن سازی کامپيوتر و اطلاعات ، ايجاد گردد .(حتی اگر از يک فايروال خارجی يا سخت افزاری استفاده می نمائيد). در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای يک فايروال تعيبه شده نمی باشد ، می توان اقدام به تهيه يک فايروال نرم افزاری کرد . با توجه به عدم اطمينان لازم در خصوص دريافت نرم افزار از اينترنت با استفاده از يک کامپيوتر محافظت نشده ، پيشنهاد می گردد برای نصب فايروال از CD و يا DVD مربوطه استفاده گردد .

نحوه عملکرد و اجراء :

بسته های IP قبل از ورود و یا خروج از شبکه ابتدا وارد فایروال می شوند و منتظر می شوند تا طبق معیار های امنیتی و پردازش شوند پس از پردازش و تحلیل بسته سه حالت ممکن است اتفاق بیفتد.

الف- اجازه عبور بسته صادر شود (Accept Mode)

ب- بسته حذف گردد(Blocking Mode)

ج- بسته حذف شده وپاسخ مناسب به مبدا آن بسته داده شود. (Response Mode)

نکته : منظور از پاسخ مناسب علاوه بر حذف بسته ، می توان عملیاتی نظیر ثبت در log file ، ردگیری خطا و اختار به خاطی ، جلوگیری از ادامه دسترسی به شبکه و توبیخ را هم نام برد

مفاهیم Packet Filtering و Application Gateway :

در نوعی پیکره بندی دیواره آتش ، دو موئلفه وجود دارد 1- یک جفت مسریاب که عمل غربال سازی بسته ها را انجام می دهند (Packet Filtering) 2- دروازه برنامه های کاربردی (Application Gateway) .

ساختار ساده تری نیز وجود دارد اما مزیت این ساختار این است که هر بسته باید از دو مرحله غربال سازی(فیلترینگ) و یک مرحله بازرسی محتوایی توسط دروازه ، بگذرد.هر غربال کننده بسته ، یک مسیر یاب استاندارد بابرخی از ویژگی های بیشتر (در خصوص فیلترینگ) است. این قابلیت اجاژه می دهد تا تمام بسته های ورودی و خروجی بازرسی شوند .بسته هایی که بتوانند از اولین مانع عبور کنند برای بازرسی بیشتر وارد دروازه برنامه های کاربردی می شوند (Application Gateway) .

بررسی لایه ای بسته ها و جزئیات هر لایه :

از آنجا که معماری شبکه لایه به لایه است ، در مدل TCP/IP برای انتقال یک واحد اطلاعات از لایه چهارم بر روی شبکه ،داده باید تمام لایه ها را بگذراند و هرلایه برای انجام وظیفه ی خود تعدادی فیلد مشخص به ابتدای بسته ی اطلاعاتی اضافه کرده و آن را تحویل لایه زیرین می دهد . قسمت اعظم کار یک دیواره ی آتش تحلیل فیلد های اضافه شده در هر لایه و سرآیند هر بسته است.

در بسته ای که وارد دیواره ی آتش می شود به تعداد لایه ها (4 لایه) سرآیند متفاوت وجود خواهد داشت مجموعه ی این سرآیند ها شناسه و هویت داده را تعیین می کنند . معمولا سرآیند لایه اول (لایه فیزیکی) اهمیت چندانی ندارد چرا که محتوای این فیلد ها فقط روی کانال فیزیکی از شبکه ی محلی معنا دارند و در گذر از هر شبکه ومسیر یاب این فیلد ها عوض خواهند شد. بیشترین اهمیت در سرآیند لایه های دوم و سوم و چهارم و در نهایت محتوای داده ها است.

- در لایه شبکه دیوار آتش فیلد های بسته ی IP را تحلیل و پردازش می کند.

- در لایه انتقال دیوار آتش فیلد های بسته ی TCP یا UDP را پردازش و تحلیل می کند.

- در لایه کاربرد دیوار آتش فیلد های سر آیند و همچنین محتوای خود داده ها را بررسی می کند.

لایه اول دیواره آتش: لایه اول در دیواره آتش بر اساس تحلیل بسته ی IP و فیلد های سرآیند ایت بسته کار می کند، در هر بسته ی آی پی فیلد های زیر قابل نظارت و بررسی هستند:

1- آدرس مبداء

2- آدرس مقصد

3- شماره شناسایی یک دیتا گرام

4- شماره پروتکل

5- زمان حیات بسته

نکته : بقیه فیلد ها بنابر صلاحدید و قواعد امنیتی مسئول دیوار آتش قابلبررسی هستند.

یایه دوم دیوار آتش : در این لایه برای تحلیل بسته ها از فیلد های سرآیند لایه انتقال استفاده می شود،عمومی ترین فیلد های لایه انتقال برای بازرسی در دیواره آتش عبارتند از :

1- شماره پورت پروسه مبدا و شماره پورت پروسه مقصد، مانند : FTP پورت 20 و21 ، TelNet پورت 23 و….

2- بیتهای کنترلی

3- فیلد شماره ترتیب(Sequence Number)

4- فیلد Acknowledgement

لایه سوم دیواره آتش : در این لایه حفاظت بر اساس نوع سرویس و برنامه کاربردی انجام می شود. یعنی با در نظر گرفتن پروتکل در لایه چهارم به تحلیل داده ها می پردازد. تعداد سرآیند ها در این لایه، بسته به نوع سرویس بسیار متنوع و فراوان است.

بنابر این در لایه سوم دیواره آتش برای هر سرویس مجزا (مثل سرویس پست الکترونیکی، سرویس FTP ، سرویس وی و…)

باید یک سری پردازش و قواعد امنیتی مجزا تعریف شود و به همین دلیل حجم و پیچیدگی پردازش در لایه سوم زیاد است. توصیه موکد آن است که تمام سرویس های غیر ضروری و شماره پورت هایی که مورد استفاده نیستند در لایه دوم مسدود شوند تا کار در لایه سوم کمتر باشد.

فایروال های STATEFULL و STATELESS:

برای بررسی پیام ها گاهی نیاز است که مجموعه ای از بسته ها قبل از تحویل به مقصد موقتا نگهداری شود تا داده های درون پیام برای بررسی های دقیق بازسازی گردد.لذا در اینجا دیوار آتش باید خودش را در نقش یک پراکسی (وکیل) جابزند و داده ها را تحویل بگیرد و پس از تعیین مجوز عبور ، آنرا تحویل صاحبش بدهد. گاهی نیز دیواره آتش بسته هایی که مجوز عبورشان توسط لایه های زیرین صادر شده عبور می دهد ولی یک نسخه از آنها را برای بازسازی اصل پیام و بررسی های بیشتر نگه می دارد تا به صورت غیر فعال (passive) و بدون تاخیر عمل کند. به این نوع از دیواره آتش Stateful گفته می شود.

در مقابل دیواره های آتش معمولی که فقط غربال کننده ی بسته هستند و به بسته های قبلی و یعدی (یک دنباله از بسته ها) توجهی ندارند اصطلاحا Stateless گفته می شود . امروزه روش های نفوذ به شبکه به قدری هوشمند شده است که استفاده از دیواره آتش نوع Stateless توانایی کمی در مقابله با آنها دارند و نرم افزار های نفوذ به نام Fire Walk به وفور یافت می شود.

اجزاء جانبی فایروال ها :

1- User Interface

2- Logger

3- Alarm System

واسط محاوره ای وساده ورودی و خروجی: برای تبادل اطلاعات و سهولت در تنظیم قواعد امنیتی و ارائه گزارش ، به یک واسط کاربر (User Interface) که ساده و در عین حال کارآمد باشد نیاز است. معمولا واسط کاربری مستقل از سیستم دیواره آتش است تا حجم پردازش اضافی روی سیستم تحمیل نکند . یعنی دیواره آتش دارای دستگاهی به عنوان صفحه نمایش نیست بلکه از طریق اتصال یک دستگاه جانبی مثل یک ترمینال ساده یا یک کامپیوتر شخصی ، فرمان می گیرد و یا گزارش می دهد.

سیستم ثبت یا (Logger) : برای بالاتر بردن ضریب امنیت و لطمینان در شبکه ، دیوار آتش باید بتواند حتی در مواقعی که اجازه ورود و خروج یک بسته صادر می شود اطلاعاتی در مورد آن بسته ذخیره کند تا در صورت هر گونه حمله و نفوذ بتوان مساله را پیگیری کرد. در یک دیوار آتش ، کاری که سیستم ثبت می تواند انجام بدهد آن است که مبدا و مقصد بسته های خروجی و ورودی ، شماره پورت های مبداء و مقصد ، سرآیند یا حتی محتوای پیام در لایه کاربرد را ذخیره کند و لحظه به لحظه مبادله اطلاعات تمام کاربران و حتی مسئول شبکه را در فایلی درج نماید. این فایل ها می تواند به عنوان سندی بر علیه فرد خاطی استفاده شود و یا به پیدا کردن آن کمک کند.

سیستم هشدار دهنده(Alarm System) : در صورت بروز هرگونه مشکل یا انتقال مشکوک ، دیوار آتش می تواند مسئول شبکه را مطلع و در صورت لزوم کسب تکلیف کنند. عملیات مشکوک در هر سه لایه تعریف می شود : مثل تقاضای ارتباط با آدرس ip مسدود ، آدرس های پورت مسدود ، اطلاعات مشکوک در لایه کاربرد و… .

تعریف مفاهیم :

1- DMZ

2- Proxy Server

پروکسی سرورها و DMZ
پروکسی سرور دستور العملی است که اغلب همراه با فایروال است. پروکسی سرور برای کنترل دسترسی به صفحات وب توسط دیگر کامپیوترها به کار می رود. هنگامی که کامپیوتری درخواست ورود به یک صفحه وب را می دهد، آن صفحه توسط پروکسی سرور بازیابی شده و سپس به کامپیوتر درخواست کننده فرستاده می شود. تاثیر چنین کاری این است که کامپیوتر راه دوری که میزبانی صفحات وب را بر عهده دارد هیچ وقت در تماس مستقیم با هیچ چیز، به غیر از پروکسی سرور روی شبکه تان نیست.
پروکسی سرورها همچنین می توانند دسترسی به اینترنت شما را کارآمدتر کند. اگر به صفحه ای از وب سایت دسترسی پیدا کنید، این صفحه بر روی پراکسی سرور (کش) ذخیره سازی می شود. بدان معنی که دفعه بعد که دوباره از آن صفحه بازدید می کنید، به طور معمول لازم نیست دوباره آن را از وب سایت بارگذاری کند. در عوض ، این بار بلافاصله از پروکسی سرور صفحه بارگذاری می شود.
ممکن است گاهی مواقع بخواهید کاربران از راه دور امکان دسترسی به موارد موجود بر روی شبکه شما را داشته باشند. برخی از نمونه ها عبارتند از :
• وب سایت ها
• کسب و کار آنلاین
• استفاده از محیط دانلود و آپلود FTP
در مواردی مانند بالا، ممکن است بخواهید منطقه غیرنظامی یا DMZ (Demilitarized Zone)ایجاد کنید. البته باید توجه جدی به این نکته داشته باشید که این منطقه تنها نقطه از شبکه تان در خارج از فایروال است. به DMZ به عنوان حیاط جلویی خانه خود نگاه کنید. درست است که حیاط بخشی از ملک شما است و ممکن است بعضی چیزها را انجا قرار دهید، اما بی شک هر چیز با ارزش را در داخل خانه قرار می دهید تا به طور مناسبی از لحاظ امنیتی ان را محافظت کنید.

راه اندازی یک DMZ بسیار آسان است. اگر شبکه ای با چندین کامپیوتر دارید، می توانید به سادگی یکی از کامپیوترها را بین اتصال اینترنت و فایروال قرار دهید. بسیاری از نرم افزارهای فایروال موجود اجازه خواهند داد که شما یک پوشه را در کامپیوتر دروازه (gateway) به عنوان DMZ تعیین کنید.

انواع حمله هایی که فایروال از آنها جلوگیری می کند :

1- Remote Login

2- Application Backdoor

3- SMTP Session Hijack

4- DOS and DDOS

5- Email Bombs

6- Macro

7- Virus

8- Spam

و………..

تعریف برخی از حمله ها :

راه های بسیار زیادی وجود دارد که کاربران خرابکار و بی پروا برای دسترسی به کامپیوترهای محافظت نشده از آنها سوء استفاده می کنند که برخی از مهم ترین این راهها عبارتند از :

• ورود به سیستم از راه دور (Remote login)- هنگامی که کسی قادر به اتصال به کامپیوتر شما و کنترل آن از راه دور گردد، به طرق مختلفی ممکن است از سیستم تان سوءاستفاده کند. این توانایی طیف مختلفی از مشاهده و یا دسترسی به فایل های موجود در رایانه قربانی گرفته تا اجرای برنامه های روی کامپیوتر او را در بر می گیرد.

• درهای پشتی برنامه ها (Application backdoors)- برخی از برنامه ها امکانات ویژه ای دارند که برای دسترسی از راه دور استفاده می شود. محصولاتی هم دارای اشکالات نرم افزاری یا باگ هستند که backdoor یا دسترسی مخفی را برای کنترل برنامه توسط هکر فراهم می کند.

• ربودن جلسه SMTP – (SMTP session hijacking) SMTP رایج ترین روش ارسال ایمیل در اینترنت است. یک هکر می تواند با دسترسی به لیست نشانی های درون ایمیل شخص قربانی، هزاران هرزنامه (اسپم) را به کاربرانی که قربانی با آنها در تماس است ارسال کند. این اتفاق اغلب با تغییر مسیر ایمیلها از طریق سرور SMTP میزبان غیر مشکوک انجام می گیرد ، که ردیابی فرستنده واقعی هرزنامه ها را مشکل می کند.

• باگ های سیستم عامل- درست مانند برنامه های کاربردی، برخی از سیستم عامل ها هم backdoor دارند. برخی سیستم های عامل هم امکان دسترسی از راه دور را البته با امنیتی ناکافی یا اشکالات نرم افزاری برای کاربرانشان فراهم می کنند که یک هکر با تجربه می توانند از این ضعف ها سوء استفاده کند.

• محرومیت از خدمات (Denial of service)- شما احتمالا این عبارت را در گزارش های خبری در مورد حمله به وب سایت های بزرگ شنیده یا دیده اید. مقابله با این نوع حمله ها تقریبا غیر ممکن است. اتفاقی که می افتد این است که هکر درخواستی به سرور برای اتصال به آن می فرستد. هنگامی که سرور پاسخ درخواست را می فرستد و سعی در برقراری جلسه (session) دارد، قادر نیست سیستم درخواست کننده را پیدا کند. با تعداد کافی درخواست و اشباع سرور با این جلسات مربوط به درخواست های بدون پاسخ، هکر می تواند باعث کاهش و افت سرعت سرور به حد زیاد یا در نهایت مسدود شدن و صدمه به آن شود.

• بمباران پست الکترونیکی (E-mail bombs)- بمباران ایمیلی معمولا یک حمله شخصی به شمار می رود. کسی به قصد آزار و اذیت به آدرس ایمیل شما یک ایمیل را به تعداد صدها یا هزاران نسخه ارسال می کند تا سیستم ایمیل شما نتواند هیچ پیام دیگری را قبول کند و صندوق پست الکترونیک شما از کار بیافتد.

• ماکرو(Macros)- برای ساده کردن مراحل پیچیده، بسیاری برنامه های کاربردی به ما اجازه ایجاد یک اسکریپت از دستورات برای اجرای برنامه را می دهند. این اسکریپت به عنوان ماکرو شناخته شده است. هکرها از این نکته استفاده می کنند تا ماکروهای خود را ایجاد و وارد سیستم کنند که بسته به برنامه، می تواند اطلاعات شما را نابود کرده یا باعث صدمه به کامپیوتر شما گردد.

• ویروس ها (Viruses)- احتمالا شناخته شده ترین خطرها، ویروس های رایانه ای هستند. ویروس یک برنامه کوچک است که می تواند خودش را در دیگر کامپیوترها کپی کند. با این روش به سرعت می تواند از یک سیستم به سیستم دیگر گسترش یابد. ویروس ها از پیام های بی ضرر شروع شده و در موارد خطرناک می توانند تمام اطلاعات حیاتی قربانیان را پاک کرده و از بین بردند.

• هرزنامه ها (Spam)- معمولا بی ضرر اما همیشه مزاحم اند! هرزنامه ها معادل الکترونیکی نامه های ناخواسته و مزخرف هستند. هرزنامه اما گاهی می تواند خطرناک باشد. اغلب هرزنامه ها شامل لینکی به وب سایت های هدف هستند. مراقب کلیک کردن بر روی این لینک ها باشید چرا که ممکن است به طور تصادفی با پذیرفتن کوکی باعث فراهم کردن backdoor روی کامپیوتر خود شوید.

• بمباران تغییر مسیر (Redirect bombs)- هکرها می توانند از ICMP برای تغییر (تغییر مسیر) اطلاعات با ارسال آن به روتر متفاوتی استفاده کنند. این یکی از راه هایی است که حمله محرومیت سرویس (D.O.S.) بر آن اساس پایه ریزی می شود.

• مسیریابی منبع (Source routing)- در اغلب موارد ، مسیری که بسته (packet) از آن طریق در اینترنت (یا هر شبکه دیگر) جا به جا می شود توسط روترهای مسیر مشخص می شود. اما منبع ارائه بسته به طور دلبخواه می تواند مسیر سفر بسته را مشخص کند. هکرها گاهی اوقات از این نکته استفاده می کنند تا اطلاعات ارسالی خود به قربانی را به صورتی که گویی از منبع قابل اعتماد ارسال شده و یا حتی از داخل شبکه می آیند درآورند! به همین دلیل است که اکثر فایروال ها مسیریابی منبع را به صورت پیش فرض غیر فعال می کنند.

فیلتر کردن برخی از موارد لیست بالا با استفاده از فایروال، اگر غیر ممکن نباشد، سخت و دشوار است. در حالی که برخی از فایروال ها قابلیت حفاظت از ویروس ها را به طور پیش فرض دارند، ارزش آن را دارد که هزینه و وقت صرف کرده و نرم افزار آنتی ویروس بر روی هر کامپیوتری نصب کنیم. و حتی اگر آن را آزار دهنده بدانید، برخی از هرزنامه ها از دیوار آتش عبور می کنند و تا زمانی که شما ایمیل انها را قبول می کنید شما را گرفتار خود می کنند.

سطح امنیتی که شما برقرار می کنید تعیین می کند که کدام یک از تهدیدات بالا را فایروال می تواند متوقف کند. بالاترین سطح امنیتی این خواهد بود که به سادگی همه چیز توسط فایروال مسدود شود. بدیهی است که این مسئله ما را از هدف خود که داشتن اتصال به اینترنت کارآمد و مناسب است دور می کند. اما یک قاعده شایع است که توصیه می کند ابتدا از ورود همه نوع اطلاعاتی به شبکه جلوگیری کنیم، و سپس شروع به انتخاب موارد مجاز برای تبادل اطلاعات کنیم.

همچنین می توانید ترافیک اطلاعات را که از فایروال می گذرند طوری محدود کنید که فقط انواع خاصی از اطلاعات از قبیل پست الکترونیک و صفحات وب بتوانند از حصار امنیتی عبور کنند. این قانون خوبی برای شرکت های تجاری است که یک مدیر شبکه با تجربه دارند که نیازهای شرکت مطبوعش را به خوبی درک می کند و می داند که دقیقا به چه اطلاعاتی باید اجازه تبادل دهد. برای بسیاری از ما، احتمالا بهتر آن است که با گزینه های پیش فرض ارائه شده توسط توسعه دهنده فایروال کار کنیم، مگر آنکه دلیل موجهی برای تغییر آن داشته باشیم.

یکی از بهترین کارهایی که دیواره آتش از نقطه نظر امنیتی می تواند انجام دهد متوقف و مسدود کردن هر کسی است که در خارج از شبکه تحت نظر فایروال قصد ورود به یک کامپیوتر در شبکه را دارد. در حالی که این ویژگی خوبی برای شرکت های تجاری است، احتمالا بیشتر شبکه های خانگی، با این شیوه مورد تهدید واقع نمی شوند. با این حال، قرار دادن یک فایروال در شبکه به آسایش خیال مدیر شبکه کمک شایانی می کند./د