موضوع: چگونه با نفوذگران روبه‌رو شویم؟

چگونه با نفوذگران روبه‌رو شویم

دیــوار آتـش

فایـروال یا دیوار آتش نام روشی برای جلوگیری از دستیابی غیر مجاز به یک سیستم رایانه است. فایروال‌ها به دو دسته نرم‌افزاری و سخت‌افزاری تقسیم می‌شوند که هرکدام به نوعی امنیت شبکه و رایانه شخصی یک فرد را تامین می‌کنند. در برخی از فایروال‌های نرم‌افزار‌ی، برنامه‌ها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانه‌ها، داده ارسال کنند. به اینگونه نرم‌افزارها، دیوار آتش دو طرفه می‌گویند، زیرا علاوه بر درگاه ورودی (Incoming)، درگاه‌های خروجی (Outgoing) هم کنترل می‌شوند و بسته‌های اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله دیوار آتش متوقف می‌شوند.


یک فایروال از شبکه شما در برابر ترافیک ناخواسته و همچنین نفوذ دیگران به کامپیوتر شما حفاظت می‌کند. یکی دیگر از استفاده‌های فایروال، واگذاری یک سری مجوزه‌های ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع در شبکه داخلی و بازداشتن کسانی است که از خارج قصد ورود به شبکه داخلی را دارند. به زبان ساده می‌توان گفت توابع اولیه یک فایروال به این صورت هستند که اجازه می‌دهند ترافیک خوب عبور کند و ترافیک بد را مسدود می‌کنند! مهم‌ترین قسمت یک فایروال ویژگی کنترل دستیابی آن است که بین ترافیک خوب و بد تمایز قائل می‌شود. فایروال بین کامپیوتر شما و اینترنت قرار می‌گیرد و اجازه می‌دهد صفحات وب را ببینید و به آنها دسترسی داشته باشید، فایل دانلود کنید، چت کنید و غیره در حالیکه مطمئن هستید افراد دیگری که در اینترنت مشغول هستند نمی‌توانند به کامپیوتر شما دسترسی پیدا کنند. بعضی از فایروال‌ها نرم‌افزارهایی هستند که روی کامپیوتر اجرا می‌شوند اما فایروال‌های دیگر به صورت سخت‌افزاری ساخته شده‌اند و کل شبکه را از حمله مصون می‌کنند. هر کسی که از اینترنت استفاده می‌کند باید از بعضی از انواع فایروال‌ها استفاده کند. برنامه‌هایی مانند زون‌آلارم هستند که می‌توانید از اینترنت دانلود کنید. این برنامه‌ها می‌توانند تعداد زیادی آدرس‌های IP آسیب‌پذیر برای نفوذ را پیدا کنند. این برنامه ها معمولا به گونه‌ای طراحی می‌شوند که استفاده از آنها احتیاجی به دانش شبکه ندارد. معمولا همه انواع فایروال‌ها از شما در برابر این حملات حفاظت می‌کنند و می‌توانند علاوه بر جلوگیری از سرقت اطلاعات، در مواردی که کامپیوتر کاربران برای سواستفاده هدف قرار می‌گیرد و یا به نوعی باعث ایجاد اختلال می‌شود فایروال‌ها می‌توانند موثر باشند.


مکانیسم‌های مختلفی در فایروال‌ها استفاده می‌شود و هر کدام نیز مراحل مختلفی دارند.


نسل اول ***** بسته‌ها


داده‌ها در شبکه به صورت بسته‌های اطلاعاتی ارسال می‌شوند و هر بسته دارای مشخصاتی مانند آدرس فرستند و گیرنده و اطلاعات تبادلی است. با پياده‌سازي تكنيك‌هاي *****ینگ داده‌ها در بسته‌های اطلاعاتی، بخشي از وظايف يك دیوار آتش را می‌توان به روترها واگذار كرد. روترها، وظیفه مسیریابی در شبکه را برعهده دارند با این حال با کمک برخی امکانات جانبی، توسعه پیدا کرده‌اند و می‌توانند در برابر ترافیک‌های مشکوک واکنش نشان دهند. البته روترها به تنهايي قادر به انجام كل وظايف يك فایروال نيستند و به همین دلیل استفاده از فایروال‌ مخصوصا در شبکه‌های حساس و بزرگ و حتی شبکه‌های داخلی که امکان خرابکاری در آنها وجود دارد، امري اجتناب ناپذير است. *****ینگ بسته‌های اطلاعاتی در روترها انجام می‌شود و با اینکه می‌تواند در جلوگیری از مشکلات احتمالی موثر باشد اما این روش هم به تنهای کافی نیست. دليل ناكافي بودن ***** بسته‌ها در روتر دو نکته است: يكي اينكه اصولا تمامي تكنيك‌هايي كه در فایروال‌ها پياده سازي مي‌شوند، در روتر قابل اجرا نيست و گذشته از آن، اصل دفاع اصطلاحا لايه به لايه (يا دفاع در عمق) است كه محافظت بايد در بيش از يك لايه انجام شود.


***** بسته‌ها به‌طور عمده در سه لایه از مدل مرجع OSI کار می‌کند. در واقع کار بین شبکه و لایه‌های فیزیکی انجام می‌شود. با این روش که از طریق لایه انتقال یا Transport Layer و بررسی پورت‌های ورودی و خروجی عمل ***** بسته‌ها انجام می‌شود. این روش کمک می‌کند تا پورت‌ها و بسته‌های خود را مدیریت کنید مثلا اگر خواسته باشد از راه دور به شبکه شما دسترسی نداشته باشند می‌توانید پورت مورد نظر را در فایروال غیر قابل دسترسی کنید.


نسل دوم لایه کاربرد


در این لایه فایروال می‌تواند فایل‌های ارسالی و دریافتی را براساس پورت مورد نظر اسکن کرده و از فایل‌های مضر و آلوده جلوگیری کند. فایروال در این لایه می‌تواند امنیت سیستم شما را تا حد زیادی فراهم کند. در لایه کاربرد می‌توانید پروتکل‌های لایه بالاتر مانند FTP,Telnet,DNS,DHCP,HTTP,TCP و UDP را ***** کنید مثلا سازمان شما می‌خواهد یک پروتکل خاص را برای کاربران خود ***** کند و این کار به راحتی از طریق این لایه و پروتکل مورد نظر انجام می‌شود.


این فایروال‌ها سال‌ها پیش تولید شدند اما در سال 2009 تولیدکنندگان فایروال تمرکز بیشتری روی لایه کاربرد داشته و بیشترین توجه را به این قسمت معطوف کرده به گونه‌ای که فایروال‌های نسل دوم می‌تواند تسلط کاملی به برنامه‌ها داشته و حتی از اجرای برنامه‌های مخرب جلوگیری کرده و آنها را مسدود کند.


نسل سوم ***** Stateful


توسعه نسل سوم فایروال‌ها از سال 1990 توسط سه تن از کارشناسان AT&T آغاز شد و نسل سوم با دربرداشتن کلیه خصوصیات نسل اول و دوم معرفی شد. فيلترهاي معمولي كارايي لازم را براي مقابله با حملات پیچیده را ندارد زيرا آنها بر اساس يك قواعد ساده، بخشي از ترافيك بسته‌هاي ورودي به شبكه را حذف مي‌کنند. امروزه حملاتي بسيار تكنيكي و هوشمند بر عليه شبكه‌ها طراحی مي‌شود به گونه‌اي كه يك فيلتر ساده قابل اعتماد و موثر نخواهد بود. مثلا نرم‌افزارهایي وجود دارند كه تمامي قواعد يك فایروال را در شبیه‌سازی می‌کنند بديهي است كه يك فيلتر با ديواره آتش قطعا بخشي از ترافيك بسته‌ها را به درون شبكه هدايت خواهد كرد. زيرا در غير اينصورت شبكه داخلي، هيچ ارتباطي با دنياي خارج نخواهد داشت. نفوذگر براي آنكه ترافيك دادهاي مخرب او حذف نشود تلاش مي‌كند با تنظيم مقادير خاص در شبكه فيلدهاي بسته TCP و IP آنها را با ظاهري كاملا مجاز از ميان ديواره آتش يا فيلتر به درون شبكه بفرستد.


به‌عنوان مثال فرض كنيد فيلتري تمام بسته‌ها بغير از بسته‌هاي پورت 80 را حذف مي‌كند. به زبان ساده پورت 80 برای مشاهده وب استفاده می‌شود و این سیستم که تنها پورت 80 آن اصطلاحا باز است فقط می‌تواند به کاربردی مشخص دسترسی داشه باشد و تمامی راه‌های دیگر مسدود شده‌اند. حال يك نفوذگر در فاصله هزاران كيلومتري مي‌خواهد فعال بودن يك ماشين را در شبكه بيازمايد. برای این کار لازم است که سیستم را اسکن کرده و راه‌های باز آن را پیدا کند. به‌دليل وجود فيلتر او قادر نيست با ابزارهايي مثل Cheops، Nmap و ping و نظاير آنها، از ماشين‌هاي درون شبكه اطلاعاتي كسب كند؛ زیرا این ابزارها هر کدام از پورت‌های مخصوصی استفاده می‌کنند. بنابراين براي غلبه بر اين محدوديت، بصورت مصنوعي يك بسته SYN-ACK (با شماره پورت مبدا 80) به سمت ماشين هدف مي‌فرستد. يك ديواره آتش معمولي، با بررسي فيلد Source Port با اين بسته اجازه ورود به شبكه را مي دهد؛ زيرا ظاهر اين بسته نشان مي دهد كه توسط يك سرويس دهنده وب توليد شده و حامل دادهاي وب است. بسته به درون شبكه داخلي راه يافته و چون ماشين داخلي انتظار دريافت آن را نداشته پس از دريافت، يكي از پاسخ‌هاي ICMP PORT UNRELIABLE يا Reset را بر مي‌گرداند.


هدف نفوذگر بررسي فعال بودن چنين ماشيني بوده است و بدين ترتيب به هدف خود مي‌رسد؛ درنتیجه فيلتر بسته (يا ديواره آتش) نتوانسته از اين موضوع با خبر شود. براي مقابله با چنين عملياتي دیوار آتش بايد فقط به آن گروه از بسته‌هاي SYN-ACK اجازه ورود به شبكه بدهد كه در پاسخ به يك تقاضاي SYN قبلي ارسال شده‌اند. همچنين بايد به شرطي بسته‌هايICMP ECHO REPLAY به درون شبكه هدايت شود كه حتما در پاسخ به يك پيام ICMP ECHO REQUST باشد. يعني ديوار آتش يا فيلتر بايد بتواند پيشينه بسته‌هاي قبلي را حفظ كند تا در مواجهه با چنين بسته‌هایي، به‌درستي تصميم بگيرد. ديوارهاي آتش يا فيلترهايي كه قادرند مشخصات ترافيك خروجي از شبكه را براي مدتي حفظ و براساس پردازش آنها مجوز عبور صادر کنند، ديواره آتش يا فيلتر هوشمند و STATEFUL ناميده مي‌شوند.

برای تامين امنيت يك شبكه، فایروال اولين چيزی است كه بايد پياده‌سازی شود. نكته حائز اهميت آنكه، نصب يك فایروال در شبكه به تنهايی امنيت آن شبكه را تامين نخواهد كرد، آنچه مهم‌تر است، تعريف قواعد كنترل و اعمال تنظيمات اوليه و همچنين مهم‌تر از آن به‌روزرسانی قواعد برمبنای تكنيك‌های نفوذ و حملات جديد است.

asreertebat.com