امنیت

دیوار آتش و سیستم‌های تشخیص نفوذ ، دو ابزار مهم امنیتی

 

مهدی راستی
دو اصل مهم در حفظ امنیت یك شبكه جلوگیری از حمله و تشخیص حمله توسط هكرها است.


در جلوگیری از حمله، هدف جلوگیری از رخداد حمله است و در تشخیص هدف شناسایی حملاتی است كه به رغم ساخت و كارهای جلوگیری رخ داده اند.


دیوار آتش (فایروال) به هدف جلوگیری از حملات و سیستم‌های تشخیص نفوذ (‪ (Intrusion Detection System‬یا ‪IDS‬ها به هدف شناسایی حملات در یك شبكه كامپیوتری بكار گرفته می‌شوند.


دیوار اتش چیست؟
دیوار آتش از سیستمهای امنیتی یك شبكه است كه بر اساس سیاست امنیتی و با استفاده از فهرست كنترل دسترسی (‪ ،(ACL‬ورود و خروج بسته‌های داده را میان سازمان و اینترنت كنترل می‌كند.


امنیت شبكه یك سازمان، وابستگی زیادی به پیكربندی، عملكرد امنیت و نوع دیوار آتش دارد. با توجه به ساختار لایه‌ای شبكه، یك دیوار آتش نیز در حالت كلی چند لایه است.


هر یك از قواعد ‪ ACL‬بنابر ماهیتشان در یكی از سه لایه دیوار آتش تعریف می شوند.


لایه اول در دیوار آتش بر اساس فیلدهای سرایند لایه ‪ IP‬یك بسته مانند آدرس مبدا، آدرس مقصد، شماره شناسایی یك دیتاگرام قطعه قطعه شده (‪Offset‬ ‪ ،(Identifier & Fragment‬شماره پروتكل و زمان حیات بسته عمل می‌كند.


ساده‌ترین و سریعترین تصمیم‌گیری برای حذف و یا عبور بسته‌ها در این لایه انجام می‌شود. برخی از مسیریابها قابلیت لایه اول دیوار آتش را دارند كه به آنها نام مسیریابهای فیلتركننده گفته می‌شود. این مسیریابها قبل از اقدام به مسیریابی، بر اساس جدولی بسته‌های ‪IP‬را فیلتر می‌كند.


با تنظیم لایه اول دیوار آتش بر اساسی روشی كه ‪ IETF‬در ‪ RFC۲۲۶۷‬به نام ‪ Egress/Ingress Filtring‬مطرح كرده، می‌توان توانایی جعل آدرس را محدودتر كرد (در این روش در گذرگاه خروجی، از عبور بسته‌هایی كه آدرس مبدا آنها روی شبكه داخلی قرار دارد اما از خارج از شبكه آمده است )، به داخل شبكه جلوگیری شود.


این عمل باعث می‌شود كه از بیرون شبكه امكان جعل آدرس‌های شبكه داخلی نباشد. در گذرگاه مسیریاب‌های داخلی ، باید از عبور بسته‌هایی كه آدرس مبدا آنها خارج از شبكه قرار دارند اما از داخل شبكه داخلی آمده است ، به خارج از شبكه جلوگیری شود.


این عمل باعث می‌شود كه هیچ مهاجمی روی شبكه داخلی، نتواند آدرس میزبان‌های روی شبكه خارجی را جعل كند.


با این همه با اعمال این روشها هنوز مهاجمان روی شبكه داخلی امكان جعل آدرس میزبان‌های داخل شبكه و مهاجمان روی شبكه خارجی به دلیل تنوع ملیاردی آدرسهای ‪ IP‬امكان جعل آدرس میزبان‌های خارج از شبكه را دارند.


لایه دوم در دیوار آتش بر اساس فیلدهای سرایند لایه انتقال مانند شماره پورت مبداء، پورت مقصد، كدهای بیتی كنترلی استوار است. در لایه سوم دیوار آتش، بازرسی بر اساس نوع سرویس و برنامه كاربردی انجام می‌شود، یعنی با در نظر گرفتن پروتكل در لایه چهارم به تحلیل داده‌ها می‌پردازد.


بنابراین در لایه سوم دیوار آتش برای هر سرویس مجزا (مانند پست الكترونیك، سرویس ‪ ،FTP‬سرویس وب و مانند اینها) باید یك سلسله پردازش انجام شود و به همین دلیل حجم و پیچیدگی پردازش در لایه سوم زیاد است.


لذا تمام سرویس‌های غیر ضروری و شماره پورتهایی كه مورد استفاده نیستند باید در لایه دوم مسدود شوند تا حجم كار در لایه سوم كمتر شود.


در نوع دیگری از دیوارهای آتش به نام دیوارهای آتش ‪ Statefull‬مشخصات ترافیك خروجی از شبكه را برای مدتی حفظ می‌كنند و از این مشخصات در كنار سرایند بسته ورودی برای تصمیم‌گیری استفاده می‌كنند. بزرگترین مشكل این نوع از دیوارهای آتش غلبه بر تاخیر پردازش و حجم حافظه مورد نیاز است.


ولی در مجموع قابلیت اعتماد بسیار بالاتری دارند و ضریب امنیت شبكه را افزایش می‌دهند.


به عنوان مثال چنانچه دسترسی كاربران داخلی به سرویس‌دهنده‌های وب مجاز باشد، فیلترهای معمولی كارایی لازم برای ممانعت از ورود بسته ‪SYN-ACK(‬با شماره پورت مبداء ‪۸۰(‬به درون شبكه را ندارند، اما با استفاده از دیوار آتش از نوع ‪ Statefull‬می‌توان از ورود بسته ‪ SYN-ACK‬كه قبل از آن بسته ‪ SYN‬از شبكه خارج نشده است، جلوگیری كرد.


اكثر دیوارهای آتش جدید از نوع ‪ Statefull‬هستند.


در حالت كلی فیلترها و دیوارهای آتش معمولی و ‪ ،Statefuul‬فقط نقش ایست و بازرسی بسته‌ها را ایفا می‌كنند. هرگاه مجوز برقراری یك نشست صادر شد، این نشست بین دو ماشین داخلی و خارجی بصورت مستقیم برقرار خواهد شد. اما در فیلترهای مبتنی بر پراكسی ابتدا نشست بین مبداء و پراكسی و سپس بین پراكسی و مقصد برقرار می‌شود.


در چنین حالتی دیوار اتش مبتنی بر پراكسی در لایه سوم عمل می‌كند.


​​