فایروال:

مقدمه
اتصال به اينترنت بدون استفاده از يك فايروال همانند گذاشتن سوئيچ در اتومبيل، قفل نكردن دربهاي آن و رفتن
به يك فروشگاه براي تهيه لوازم مورد نياز است. با اين كه ممكن است بتوانيد در صورت سرقت اتوميبل، سريعاَ واكنش مناسبي را انجام دهيد، ولي فرصت ارزشمندي را براي سارقين ايجاد نمودهايد تا آنان بتوانند در سريع ترين زمان ممكن به اهداف مخرب خود دست يابند. چنين وضعيتي در اينترنت نيز وجود دارد و مهاجمان در ابتدا با استفاده از كدهاي مخربي نظير ويروسها، كرمها و تروجانها  اقدام به شناسائي قربانيان خود مينمايند و در مرحله
 بعد، اهداف شناسائي شده را مورد تهاجم قرار ميدهند. برنامههاي فايروال يك سطح حفاظتی و امنیتی مناسب در مقابل این حملات را ارائه می نماید
+ نوشته شده در دوشنبه ۱۳۹۰/۱۰/۱۹ ساعت 9:19 PM توسط سید حسن ضعفایی  | 

فايروال چيست ؟

 فايروال چيست ؟
در صورت دستيابی سايرين به سيستم شما ، کامپيوتر شما دارای استعداد بمراتب بيشتری در مقابل انواع تهاجمات می باشد .  شما می توانيد با استفاده و نصب يک فايروال ، محدوديت لازم در خصوص دستيابی به کامپيوتر و اطلاعات را فراهم نمائيد .

فايروال چه کار می کند ؟
فايروال ها حفاظت لازم در مقابل مهاجمان خارجی را ايجاد  و  يک لايه و يا پوسته حفاظتی پيرامون کامپيوتر و يا شبکه را در مقابل کدهای مخرب و يا ترافيک غيرضروری اينترنت ، ارائه می نمايند . با بکارگيری فايروال ها ، امکان بلاک نمودن داده از مکانی خاص  فراهم می گردد . امکانات ارائه شده توسط يک فايروال برای کاربرانی که همواره به اينترنت متصل و از امکاناتی نظير DSL و يا مودم های کابلی استفاده می نمايند ، بسيار حياتی و مهم می باشد.

چه نوع فايروال هائی وجود دارد ؟
فايروال ها به دو شکل  سخت افزاری ( خارجی ) و نرم افزاری ( داخلی ) ، ارائه می شوند  . با اينکه هر يک از مدل های فوق دارای مزايا و معايب خاص خود می باشند ، تصميم در خصوص استفاده از يک فايروال بمراتب مهمتر از تصميم در خصوص نوع فايروال است .

  • فايروال های سخت افزاری : اين نوع از فايروال ها که به آنان فايروال های شبکه نيز گفته می شود ، بين کامپيوتر شما (و يا شبکه) و کابل و يا خط DSL  قرار خواهند گرفت . تعداد زيادی از توليد کنندگان و برخی از مراکز ISP دستگاههائی با نام "روتر" را ارائه می دهند که دارای يک فايروال نيز می باشند . فايروال های سخت افزاری در مواردی نظير حفاظت چندين کامپيوتر مفيد بوده و يک سطح مناسب حفاظتی را ارائه می نمايند( امکان استفاده از آنان به منظور حفاظت يک دستگاه کامپيوتر نيز وجود خواهد داشت ) . در صورتی که شما صرفا" دارای يک کامپيوتر پشت فايروال می باشيد و يا اين اطمينان را داريد که ساير کامپيوتر های موجود بر روی شبکه نسبت به نصب تمامی patch ها ، بهنگام بوده و عاری از ويروس ها و يا کرم ها می باشند ، ضرورتی به  استفاده از يک سطح اضافه حفاظتی (يک نرم افزار فايروال ) نخواهيد داشت . فايروال های سخت افزاری ، دستگاههای سخت افزاری مجزائی می باشند که دارای سيستم عامل اختصاصی خود می باشد . بنابراين بکارگيری آنان باعث ايجاد يک لايه دفاعی اضافه در مقابل تهاجمات می گردد .

  • فايروال های نرم افزاری : برخی از سيستم های عامل دارای يک فايروال تعبيه شده درون خود می باشند . در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای ويژگی فوق می باشد ، پيشنهاد می گردد که آن را فعال نموده تا يک سطح حفاظتی اضافی در خصوص ايمن سازی کامپيوتر و اطلاعات ، ايجاد گردد .(حتی اگر از يک فايروال خارجی يا سخت افزاری استفاده می نمائيد). در صورتی که سيستم عامل نصب شده بر روی کامپيوتر شما دارای يک فايروال تعيبه شده نمی باشد ، می توان اقدام به تهيه يک فايروال نرم افزاری کرد . با توجه به عدم اطمينان لازم در خصوص دريافت نرم افزار از اينترنت با استفاده از يک کامپيوتر محافظت نشده ، پيشنهاد می گردد برای نصب فايروال از CD و يا DVD مربوطه استفاده گردد .

نحوه پيکربندی بهينه يک فايروال به چه صورت است ؟
اکثر محصولات فايروال تجاری ( هم سخت افزاری و هم نرم افزاری ) دارای امکانات متعددی بمنظور پيکربندی بهينه می باشند . با توجه به تنوع بسيار زياد فايروال ها ، می بايست به منظور پيکربندی بهينه آنان به مستندات ارائه شده ، مراجعه تا مشخص گردد که آيا تنظميات پيش فرض فايروال نياز شما را تامين می نمايد يا خير ؟ . پس از پيکربندی يک فايروال يک سطح امنيتی و حفاظتی مناسب در خصوص ايمن سازی اطلاعات انجام شده است . لازم است به اين موضوع مهم اشاره گردد که پس از پيکربندی يک فايروال نمی بايست بر اين باور باشيم که سيستم ما همواره ايمن خواهد بود . فايروال ها يک سطح مطلوب حفاظتی را ارائه می نمايند ولی هرگز عدم تهاجم به سیستم شما را تضمين نخواهند کرد . استفاده از فايروال به همراه ساير امکانات حفاظتی نظير نرم افزارهای آنتی ويروس و رعايت توصيه های ايمنی می تواند يک سطح مطلوب حفاظتی را برای شما و شبکه شما بدنبال داشته باشد .

+ نوشته شده در دوشنبه ۱۳۹۰/۱۰/۱۹ ساعت 9:9 PM توسط سید حسن ضعفایی  | 

ديواره آتشين:

ديواره آتشين (Fire wall) سيستمى است بين كاربران يك شبكه محلى و يك شبكه بيرونى (مثل اينترنت) كه ضمن نظارت بر دسترسى ها، در تمام سطوح، ورود و خروج اطلاعات را تحت نظر دارد. بر خلاف تصور عموم كاربرى اين نرم افزارها صرفاً در جهت فيلترينگ سايت ها نيست. براى آشنايى بيشتر با نرم افزارهاى ديواره هاى آتشين، آشنايى با طرز كار آنها شايد مفيدترين راه باشد. در وهله اول و به طور مختصر مى توان گفت بسته هاى TCP/IP قبل و پس از ورود به شبكه وارد ديواره آتش مى شوند و منتظر مى مانند تا طبق معيارهاى امنيتى خاصى پردازش شوند. حاصل اين پردازش احتمال وقوع سه حالت است: ۱-اجازه عبور بسته صادر مى شود. ۲- بسته حذف مى شود.۳- بسته حذف مى شود و پيام مناسبى به مبدا ارسال بسته فرستاده مى شود.

• ساختار و عملكرد
با اين توضيح، ديواره آتش محلى است براى ايست بازرسى بسته هاى اطلاعاتى به گونه اى كه بسته ها براساس تابعى از قواعد امنيتى و حفاظتى پردازش شده و براى آنها مجوز عبور يا عدم عبور صادر شود. همانطور كه همه جا ايست بازرسى اعصاب خردكن و وقت گير است ديواره آتش نيز مى تواند به عنوان يك گلوگاه باعث بالا رفتن ترافيك، تاخير، ازدحام و بن بست شود.
از آنجا كه معمارى TCP/IP به صورت لايه لايه است (شامل ۴ لايه: فيزيكى، شبكه، انتقال و كاربردى) و هر بسته براى ارسال يا دريافت بايد از هر ۴ لايه عبور كند بنابراين براى حفاظت بايد فيلدهاى مربوطه در هر لايه مورد بررسى قرار گيرند. بيشترين اهميت در لايه هاى شبكه، انتقال و كاربرد است چون فيلد مربوط به لايه فيزيكى منحصر به فرد نيست و در طول مسير عوض مى شود. پس به يك ديواره آتش چند لايه نياز داريم.
سياست امنيتى يك شبكه مجموعه اى از قواعد حفاظتى است كه بنابر ماهيت شبكه در يكى از سه لايه ديواره آتش تعريف مى شوند. كارهايى كه در هر لايه از ديواره آتش انجام مى شود عبارت است از:
۱- تعيين بسته هاى ممنوع (سياه) و حذف آنها يا ارسال آنها به سيستم هاى مخصوص رديابى (لايه اول ديواره آتش) ۲- بستن برخى از پورت ها متعلق به برخى سرويس ها مثلTelnet، FTP و... (لايه دوم ديواره آتش) ۳- تحليل برآيند متن يك صفحه وب يا نامه الكترونيكى يا .... (لايه سوم ديواره آتش)
•••
در لايه اول فيلدهاى سرآيند بسته IP مورد تحليل قرار مى گيرد:
آدرس مبدأ: برخى از ماشين هاى داخل يا خارج شبكه حق ارسال بسته را ندارند، بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود.
آدرس مقصد: برخى از ماشين هاى داخل يا خارج شبكه حق دريافت بسته را ندارند، بنابراين بسته هاى آنها به محض ورود به ديواره آتش حذف مى شود.
IP آدرس هاى غيرمجاز و مجاز براى ارسال و دريافت توسط مدير مشخص مى شود.
شماره شناسايى يك ديتا گرام تكه تكه شده: بسته هايى كه تكه تكه شده اند يا متعلق به يك ديتا گرام خاص هستند حذف مى شوند.
زمان حيات بسته: بسته هايى كه بيش از تعداد مشخصى مسيرياب را طى كرده اند حذف مى شوند.
بقيه فيلدها: براساس صلاحديد مدير ديواره آتش قابل بررسى اند.
بهترين خصوصيت لايه اول سادگى و سرعت آن است چرا كه در اين لايه بسته ها به صورت مستقل از هم بررسى مى شوند و نيازى به بررسى لايه هاى قبلى و بعدى نيست. به همين دليل امروزه مسيرياب هايى با قابليت انجام وظايف لايه اول ديواره آتش عرضه شده اند كه با دريافت بسته آنها را غربال كرده و به بسته هاى غيرمجاز اجازه عبور نمى دهند.
با توجه به سرعت اين لايه هر چه قوانين سختگيرانه ترى براى عبور بسته ها از اين لايه وضع شود بسته هاى مشكوك بيشترى حذف مى شوند و حجم پردازش كمترى به لايه هاى بالاتر اعمال مى شود.
•••
در لايه دوم فيلدهاى سرآيند لايه انتقال بررسى مى شوند:
شماره پورت پروسه مبدأ و مقصد: با توجه به اين مسئله كه شماره پورت هاى استاندارد شناخته شده اند ممكن است مدير ديواره آتش بخواهد مثلاً سرويس FTP فقط براى كاربران داخل شبكه وجود داشته باشد بنابراين ديواره آتش بسته هاى TCP با شماره پورت ۲۰ و ۲۱ كه قصد ورود يا خروج از شبكه را داشته باشند حذف مى كند و يا پورت ۲۳ كه مخصوص Telnet است اغلب بسته است. يعنى بسته هايى كه پورت مقصدشان ۲۳ است حذف مى شوند.
كدهاى كنترلى: ديواره آتش با بررسى اين كدها به ماهيت بسته پى مى برد و سياست هاى لازم براى حفاظت را اعمال مى كند. مثلاً ممكن است ديواره آتش طورى تنظيم شده باشد كه بسته هاى ورودى با SYN=1 را حذف كند. بنابراين هيچ ارتباط TCP از بيرون با شبكه برقرار نمى شود.
فيلد شماره ترتيب و :Acknowledgement بنابر قواعد تعريف شده توسط مدير شبكه قابل بررسى اند.
در اين لايه ديواره آتش با بررسى تقاضاى ارتباط با لايه TCP، تقاضاهاى غيرمجاز را حذف مى كند. در اين مرحله ديواره آتش نياز به جدولى از شماره پورت هاى غيرمجاز دارد. هر چه قوانين سخت گيرانه ترى براى عبور بسته ها از اين لايه وضع شود و پورت هاى بيشترى بسته شوند بسته هاى مشكوك بيشترى حذف مى شوند و حجم پردازش كمترى به لايه سوم اعمال مى شود.
•••
در لايه سوم حفاظت براساس نوع سرويس و برنامه كاربردى صورت مى گيرد:
در اين لايه براى هر برنامه كاربردى يك سرى پردازش هاى مجزا صورت مى گيرد. بنابراين در اين مرحله حجم پردازش ها زياد است. مثلاً فرض كنيد برخى از اطلاعات پست الكترونيكى شما محرمانه است و شما نگران فاش شدن آنها هستيد. در اينجا ديواره آتش به كمك شما مى آيد و برخى آدرس هاى الكترونيكى مشكوك را بلوكه مى كند، در متون نامه ها به دنبال برخى كلمات حساس مى گردد و متون رمزگذارى شده اى كه نتواند ترجمه كند را حذف مى كند. يا مى خواهيد صفحاتى كه در آنها كلمات كليدى ناخوشايند شما هست را حذف كند و اجازه دريافت اين صفحات به شما يا شبكه شما را ندهد.
• انواع ديواره هاى آتش
ديواره هاى آتش هوشمند:
امروزه حملات هكرها تكنيكى و هوشمند شده است به نحوى كه با ديواره هاى آتش و فيلترهاى معمولى كه مشخصاتشان براى همه روشن است نمى توان با آنها مقابله كرد. بنابراين بايد با استفاده از ديواره هاى آتش و فيلترهاى هوشمند با آنها مواجه شد.
از آنجا كه ديواره هاى آتش با استفاده از حذف بسته ها و بستن پورت هاى حساس از شبكه محافظت مى كنند و چون ديواره هاى آتش بخشى از ترافيك بسته ها را به داخل شبكه هدايت مى كنند، (چرا كه در غير اين صورت ارتباط ما با دنياى خارج از شبكه قطع مى شود)، بنابراين هكرها مى توانند با استفاده از بسته هاى مصنوعى مجاز و شناسايى پورت هاى باز به شبكه حمله كنند.
بر همين اساس هكرها ابتدا بسته هايى ظاهراً مجاز را به سمت شبكه ارسال مى كنند.
يك فيلتر معمولى اجازه عبور بسته را مى دهد و كامپيوتر هدف نيز چون انتظار دريافت اين بسته را نداشته به آن پاسخ لازم را مى دهد. بنابراين هكر نيز بدين وسيله از باز بودن پورت مورد نظر و فعال بودن كامپيوتر هدف اطمينان حاصل مى كند. براى جلوگيرى از آن نوع نفوذها ديواره آتش بايد به آن بسته هايى اجازه عبور دهد كه با درخواست قبلى ارسال شده اند.
حال با داشتن ديواره آتشى كه بتواند ترافيك خروجى شبكه را براى چند ثانيه در حافظه خود حفظ كرده و آن را موقع ورود و خروج بسته مورد پردازش قرار دهد مى توانيم از دريافت بسته هاى بدون درخواست جلوگيرى كنيم.
مشكل اين فيلترها زمان پردازش و حافظه بالايى است كه نياز دارند. اما در عوض ضريب اطمينان امنيت شبكه را افزايش مى دهند.
ديواره هاى آتش مبتنى بر پروكسى:
ديواره هاى آتش هوشمند فقط نقش ايست بازرسى را ايفا مى كنند و با ايجاد ارتباط بين كامپيوترهاى داخل و خارج شبكه كارى از پيش نمى برد. اما ديواره هاى آتش مبتنى بر پروكسى پس از ايجاد ارتباط فعاليت خود را آغاز مى كند. در اين هنگام ديواره هاى آتش مبتنى بر پروكسى مانند يك واسطه عمل مى كند، به نحوى كه ارتباط بين طرفين به صورت غيرمستقيم صورت مى گيرد. اين ديواره هاى آتش در لايه سوم ديواره آتش عمل مى كنند، بنابراين مى توانند بر داده هاى ارسالى در لايه كاربرد نيز نظارت داشته باشند.
ديواره هاى آتش مبتنى بر پروكسى باعث ايجاد دو ارتباط مى شود:
۱ - ارتباط بين مبدا و پروكسى
۲ - ارتباط بين پروكسى و مقصد
حال اگر هكر بخواهد ماشين هدف در داخل شبكه را مورد ارزيابى قرار دهد در حقيقت پروكسى را مورد ارزيابى قرار داده است و نمى تواند از داخل شبكه اطلاعات مهمى به دست آورد.
ديواره هاى آتش مبتنى بر پروكسى به حافظه بالا و CPU بسيار سريع نياز دارند و از آنجايى كه ديواره هاى آتش مبتنى بر پروكسى بايد تمام نشست ها را مديريت كنند گلوگاه شبكه محسوب مى شوند. پس هرگونه اشكال در آنها باعث ايجاد اختلال در شبكه مى شود.
اما بهترين پيشنهاد براى شبكه هاى كامپيوترى استفاده همزمان از هر دو نوع ديواره آتش است. با استفاده از پروكسى به تنهايى بارترافيكى زيادى بر پروكسى وارد مى شود. با استفاده از ديواره هاى هوشمند نيز همانگونه كه قبلاً تشريح شد به تنهايى باعث ايجاد ديواره نامطمئن خواهد شد. اما با استفاده از هر دو نوع ديواره آتش به صورت همزمان هم بار ترافيكى پروكسى با حذف بسته هاى مشكوك توسط ديواره آتش هوشمند كاهش پيدا مى كند و هم با ايجاد ارتباط واسط توسط پروكسى از خطرات احتمالى پس از ايجاد ارتباط جلوگيرى مى شود.

چگونه يك فايروال مناسب انتخاب كنيم



در يك تعريف معمولي، يک فايروال از شبکه شما در برابر ترافيک ناخواسته و هم‌چنين نفوذ ديگران به رايانه شما حفاظت مي‌کند؛ توابع اوليه يک فايروال به اين صورت هستند که اجازه مي‌دهند ترافيک خوب عبور کند و ترافيک بد را مسدود مي‌کنند اما شايد اين سوال براي هر كاربر اينترنتي ايجاد شده كه چگونه يك فايروال مناسب انتخاب كنيم؟
سه نوع اصلي فايروال شامل فايروال‌هاي نرم‌افزاري، مسيرياب‌هاي سخت‌افزاري و مسيرياب‌هاي بي‌سيم وجود دارند كه شما مي‌توانيد يكي از آن‌ها را بسته به نياز خود انتخاب كنيد كه مسيرياب‌هاي سخت‌افزاري و مسيرياب‌هاي بي‌سيم از دسته فايروال‌هاي سخت‌افزاري محسوب مي‌شوند.
براي تصميم‌گيري درباره اينكه كدام نوع فايروال مناسب كار شماست، بر اساس گزارش مركز مديريت امداد و هماهنگي عمليات رخدادهاي رايانه‌يي(ماهر)، بايد به سوالاتي پاسخ دهيد؛ چه تعداد كامپيوتر از اين فايروال استفاده خواهند كرد و شما از چه سيستم عاملي استفاده مي‌كنيد؟ (انواع ويندوز، Mac يا لينوكس) و بعد از پاسخ دادن به اين سوالات مي‌توانيد در مورد اينكه كدام نوع فايروال را بايد انتخاب كنيد، تصميم گيري كنيد. انتخاب‌هاي متعددي در اين زمينه وجود دارند كه هريك مزايا و معايب خود را داراست.

*فايروال ويندوز (ويستا، ويندوز 7 و ويندوزهاي XP SP2 به بعد)
اگر شما از سيستم‌هاي عامل‌ ويندوز ويستا، ويندوز 7 و يا ويندوزهاي XP SP2 به بعد استفاده مي‌كنيد، يك فايروال درون سيستم عامل شما وجود دارد كه به‌طور پيش‌فرض نيز فعال است.
اگر شما از ويندوز XP بدون SP2 يا SP3 استفاده مي‌كنيد، بهترين كار اين است كه اين بسته نرم‌افزاري را دانلود كنيد. در غير اينصورت باز هم فايروالي درون سيستم عامل شما وجود دارد كه بطور پيش فرض فعال نيست و شما بايد آن را فعال كنيد.
فايروال ويندوز و فايروال ارتباط اينترنتي به‌عنوان بسته‌هاي مجزا در دسترس نيستند. هم‌چنين اين فايروال‌ها براي ساير سيستم‌هاي عامل (براي مثال Mac يا لينوكس) در دسترس قرار ندارند.

*فايروال‌هاي نرم‌افزاري
فايروال‌هاي نرم‌افزاري گزينه مناسبي براي كامپيوترهاي منفرد (كامپيوترهايي كه درون هيچ شبكه‌اي قرار ندارند و مستقيما به اينترنت متصلند) هستند و به خوبي با سيستم‌هاي عامل مختلف كار مي‌كنند. هم‌چنين برخي اوقات فايروال‌هاي نرم‌افزاري به صورت يك بسته نرم‌افزاري به همراه آنتي ويروس عرضه مي‌شوند.
اين فايروال‌ها به سخت‌افزار اضافي احتياج نداشته و نياز به كابل كشي اضافي ندارند و گزينه مناسبي براي كامپيوترهاي منفرد هستند اما اغلب فايروال‌هاي نرم‌افزاري نياز به پرداخت هزينه دارند و براي راه‌اندازي اين فايروال‌ها عمليات نصب و پيكربندي بايد انجام شود و نوعا براي هر كامپيوتر به يك كپي نياز است.

*مسيرياب‌هاي سخت‌افزاري
مسيرياب‌هاي سخت‌افزاري داراي يك فايروال دروني بوده و گزينه مناسبي براي شبكه‌هاي خانگي هستند كه به اينترنت متصل مي‌شوند.
مسيرياب‌هاي سخت‌افزاري اغلب داراي حداقل چهار پورت هستند كه چندين كامپيوتر را به يكديگر متصل مي‌كنند، محافظت فايروال را براي چندين كامپيوتر فراهم مي‌آورند اما نياز به كابل كشي دارند.

*مسيرياب‌هاي بي‌سيم
اگر قصد داريد كه يك شبكه بي‌سيم راه‌اندازي كنيد، به يك مسيرياب بي‌سيم نياز خواهيد داشت. اين نوع مسيرياب نيز در بسياري از مواقع داراي يك فايروال دروني است و علاوه بر ايجاد ارتباط بين كامپيوترهاي شبكه شما، محافظت از آن‌ها را نيز برعهده مي‌گيرد.
مسيرياب‌هاي بي‌سيم به شما اجازه مي‌دهند كه كامپيوترها، كامپيوترهاي قابل حمل، PDAها و پرينترها را بدون نياز به كابل كشي به هم متصل كنيد.
مسيرياب‌هاي بي‌سيم براي متصل كردن كامپيوترهاي نوت بوك به شبكه و به اينترنت بسيار مناسب هستند و ابزارهاي بي‌سيم اطلاعات را با استفاده از سيگنال‌هاي راديويي منتشر مي‌كنند كه مي‌توانند توسط فردي در خارج از شبكه شما خوانده شوند اما ممكن است نياز به پرداخت هزينه اضافي براي برخي تجهيزات باشد و تمامي مسيرياب‌هاي بي‌سيم مجهز به فايروال دروني نيستند، بنابراين ممكن است نياز باشد يك فايروال جداگانه نيز تهيه كنيد.
+ نوشته شده در دوشنبه ۱۳۹۰/۱۰/۱۹ ساعت 8:57 PM توسط سید حسن ضعفایی  |