فایروال ها چگونه كار میكنند؟؟؟

[Wink]

فايروال چگونه كار مي‌كنند؟ دنياي امروز كه به دنياي اطلاعات يا عصر ارتباطات لقب گرفته است و انسان‌ها در اين عصر در پي به دست آوردن اطلاعات از سراسر دنيا و در موضوعات گوناگون هستند و در اين ميان شبكه جهاني اينترنت نقش مهمي را ايفا مي‌كند.
اينترنت اطلاعات زيادي را براي كاربران كامپيوتر در خانه‌ها و ادارات و موسسات گوناگون در مورد مسائل تجاري و آموزشي و غيره فراهم كرده است كه براي بيشتر مردم دسترسي به چنين اطلاعاتي نه تنها يك حسن محسوب مي شود بلكه ضروري به نظر مي‌رسد.
به هر حال اتصال شبكه خصوصي به اينترنت مي‌تواند سبب در معرض قرار گرفتن اطلاعات مهم و محرمانه و در نتيجه تخريب اطلاعات شما توسط افراد مخرب سودجو در ديگر نقاط جهان شود.
افرادي كه كامپيوترشان را به اينترنت وصل مي‌كنند و از آن استفاده مي‌كنند و بايد از اين خطرات آگاه باشند و بدانند چگونه اطلاعات و سيستم‌هاي مهم خود را محافظت كنند.ما براي حفاظت از اطلاعات خودمان در مقابل تهاجم افراد مخرب سودجو از Firewall استفاده مي‌كنيم.
Firewallاز كامپيوترهاي شخصي و همچنين از شبكه در برابر هجوم افراد مخرب در اينترنت مراقبت مي‌كند.چيزي كه بسيار اهميت دارد استفاده درست و بهينه از اين سيستم‌ها است.

Firewalچيست؟
Firewall كامپيوترهايي كه به صورت شبكه به هم وصل شده‌اند را از حملات نفوذگران سودجو و متخاصم بين‌المللي كه مي‌توانند اطلاعات داخل شبكه را كشف كنند يا اينكه آنها را از بين ببرند و يا اينكه سرويس‌ها را از كار بياندازند، محافظت مي‌كند.
Firewall ممكن است يك دستگاه سخت‌افزاري يا يك نرم‌افزار نصب شده بر روي كامپيوتر باشد كه باعث مي‌شود اطلاعاتي كه از طريق اينترنت در داخل شبكه شما يا كامپيوتر شما وارد مي‌گردد را فيلتر مي‌نمايد و به نفوذگران اجازه ورود به سيستم‌هاي شما و يا دسترسي به آنها را نمي‌دهد.
در هر حالت نرم‌افزاري يا سخت‌افزاري آنها بايد در يكي از دو حالت شبكه قرار گيرند. اول اينكه زماني كه شبكه براي حفاظت انتخاب شده و ديگري براي زماني كه شبكه در معرض ديد قرار گرفته.
Firewall در محل تقاطع يا اتصال دو شبكه قرار مي‌گيرد مثل شبكه خصوصي ما و شبكه عمومي مانند اينترنت.
Firewall‌ هاي اوليه دقيقا شبيه يك مسير ياب عمل مي كردند و زمانيFirewall ها فقط يك قسمت از شبكه بودند كه شبكه را به يك شبكه با subnet ديگر متصل مي‌كرد.
در گذشته براي اينكه جلوي آتش را در مزارع و جاهاي مختلف بگيرند از ديوار استفاده مي‌كردند و يك ديوار در دور تا دور جايي كه آتش مي‌گرفته، مي‌كشيدند تا آتش به جاهاي ديگر سرايت نكند و واژه Firewall از همان گرفته شده است و در كامپيوتر از تقسيم كردن شبكه به شبكه هاي كوچكتر سرچشمه مي‌گيرد و اين كار خطرات مربوط به پخش اطلاعات را كاهش مي‌دهد.
نكاتي كه براي پياده‌سازي Firewall به دانستن آنها نيازمنديم:
فيلترها مي‌توانند در جاهاي مختلف استفاده شوند كه به تعدادي از آنها ما اشاره خواهيم كرد و عبارتند از:
1- آدرس: IP هر ماشين در اينترنت به وسيله يك آدرس واحد كه به آن آدرس IP گفته مي‌شود مشخص مي‌شود. آدرس IP داراي 32 بيت شماره است كه از چهار octets داخل يك dotted docimal Number يك آدرس IP متداول بدين ترتيب است:
216.27.61.137. براي مثال اگر يك آدرس IP در خارج از شركت همواره فايل‌هاي زيادي را از روي سرور بخواند Firewall مي‌تواند تمام ترافيك را از روي آن آدرس IP ببندد.
2- اسامي Domain : براي اينكه به خاطر سپردن آدرس IP كه از تعدادي زيادي عدد تشكيل شده بسيار مشكل است و بعضي اوقات آدرس‌هاي IP الزاما بايد تغيير كنند. تمام سرورها در روي اينترنت داراي اسامي قابل درك انسان‌ها هستند كه به آنها اسامي Domain گفته مي‌شود.
براي مثال براي بيشتر افراد آسان‌تر است كه به خاطر بسپارند www.howstuffworks.com تا اينكه به خاطر بسپارند. 216.27.61.137.
يك شركت ممكن است تمام دسترسي‌ها را به يك Domain مسدود كند و يا اينكه اجازه بدهد دسترسي به يك Domain مشخص صورت گيرد.
3- پروتكل‌ها:قراردادي كه بين دو كاربر يا سيستم به طور يكسان تعريف مي‌شود كه آن دو بتوانند با يكديگر ارتباط برقرار كنند.
پروتكل‌ها به صورت text هستند و به طور ساده تشريح مي‌كنند كه چگونه مشتري client و سرور server مي‌توانند با يكديگر ارتباط برقرار كنند.
مانندhttpدر داخل پروتكل web. در زير چند نمونه از پروتكل‌ها كه فيلترهاي Firewall بر روي آن‌ست set مي‌شود آمده است:
- (interenet protocol) IPسيستم فرستنده اصلي براي كسب اطلاعات روي اينترنت.

- (transport control protocol) TCPاستفاده مي‌شود براي اينكه جدا كند و يا اينكه بازسازي كند اطلاعاتي كه در اينترنت وجود دارند.

-(Hyper text trsnsfer protocol) HTTPاستفاده مي‌شود براي صفحاتweb

(File transter protocol) FTPبرايuploadپ down load فايل‌ها استفاده مي‌شود.

- (user datagram protocol) UDPاستفاده مي‌شود براي اطلاعاتي كه هيچ گونه جوابي لازم ندارند مانند صوتي audio و تصويري video.

- (INTERNET CONTROL MESSAGE) ICMPاستفاده مي‌شود به وسيله router تا بهrouter هاي ديگر تبادل اطلاعات نمايد.

- (Sample mail transport) SMTPاستفاده مي‌شود براي فرستادن اطلاعات يا .e-mail

- (Simple network transport protocol) SNMPاستفاده مي‌شود براي اينكه جمع‌آوري كند اطلاعات سيستم را از يك رموت كامپيوتر.

- Telnetاستفاده مي‌شود براي انجام دستور در يك رموت كامپيوتر.
يك شركت مي‌تواند فقط يك يا دو ماشين را براي انجام يك پروتكل خاص به كار گيرد يا مي‌تواند پروتكل را در تمامي ماشين‌هاي ديگر متوقف نمايد.
4- Port :اعدادي هستند كه ماشين سرور server سرويس‌هايش را از طريق آنها ارايه مي‌دهد.
براي مثال اگر سرور server يك وب HTTP را اجرا مي‌كند و يك سرور FTP را اجرا مي‌كند به طور معمول سرور وب در08 port- در دسترس است و سرور FTP بايستي در12 port - در دسترس باشد يك شركت مي‌تواند ببندد12 port- را براي دسترسي به تمام ماشين‌ها در داخل شركت كه به آن دسترسي نداشته باشند.
5- كلمات و جملات مشخص:
كه اين كلمات مي‌تواند همه چيز باشد و Firewall مي‌تواند جست‌وجو كند هر پكيج اطلاعاتي براي مطابقت كامل با محتويات ليست شده داخل فيلتر. براي مثال شما مي‌توانيد درخواست كنيد از Firewall كه هر پكيج كه كلمه x-rated روي آن است را ببندد و آن را باز نكند. نكته مهم در اينجا اين است كه مطابقت كامل داشته باشد مثلا فيلتر x-rater نمي‌تواند پيدا كند x-rated وليكن شما مي‌توانيد هر تعداد كلمه يا جمله يا تركيبي از آنها را كه احتياج است، استفاده كنيد.
يك firewall software مي‌تواند نصب شود روي كامپيوتر داخل منزل شما كه به اينترنت وصل است. اين كامپيوتر خوانده مي‌شود gateway براي اينكه به وجود مي‌آورد يك نقطه دسترسي از شبكه منزل شما به اينترنت.

FIREWALL چه كاري انجام مي‌دهد:
Firewall كل ترافيك بين دو شبكه را بازرسي كرده تا واقعا با ضوابط و معيارها مطابقت كنند اگر اين طور بود كه ترافيك عبور مي‌كند در غير اين صورت آن را متوقف مي نمايد.
يك Firewall ترافيك ورودي و خروجي را فيلتر مي‌نمايد همچنين مي‌تواند كه دسترسي عمومي به شبكه خصوصي و منابع آن از قبيل برنامه‌هاي ميزبان را مديريت كند.
Firewall مي‌تواند مورد استفاده قرار بگيرد و جهت گزارش كردن كليه تلاش‌هايي كه جهت اتصال به شبكه خصوصي صورت مي‌گيرد و فعال كردن اعلان خطر وقتي كه نفوذگر يا ورود كاربري كه بدون مجوز وارد شبكه مي‌شود يا سعي مي‌كند وارد شود.
Firewall مي‌تواند كه بسته‌هاي ارسالي را برپايه آدرس مبدا و مقصد و شماره پورت جدا نمايد اين راه به فيلتر آدرس‌ها معروف است همچنين مي‌توانند انواع خاصي از ترافيك شبكه را كنترل نمايند. اين راه را كنترل پورت مي نامند. زيرا سيستم معين كننده جهت عبور يا برگرداندن ترافيك وابسته به استفاده از پروتكل‌ها است براي مثال TELNET,HTTP, FTP همچنين مي‌توانند بسته را برحسب مشخصه و وضعيت آنها كنترل نمايند.
در اينجا، يك مثال براي شما مي‌آوريم. فرض كنيد كه يك شركت با 500 كارمند كار مي كند و شركت هم براي آنها صدها كامپيوتر دارد كه همه داراي كارت شبكه مي‌باشند و به همه مرتبط هستند و همچنين اين شركت داراي يك يا چند راه ارتباطي از طريق خطوط1 T3, T به اينترنت خواهد بود بدون Firewall در تمام آن صدها كامپيوتر مستقيما به خطوط اينترنت متصل مي‌شوند و كسي كه مي‌خواهد با ما ارتباط برقرار كند به وسيله‌هاي گوناگون مانند FTP.telnet و ... با ما مرتبط مي‌شود.
در اين هنگام اگر يكي از كارمندان ما يك اشتباه مرتكب شود و يك راه نفوذ برجا گذارد سود جريان از همين راه استفاده مي‌كنند و از اطلاعات ما بهره‌برداري مي‌كنند و يا آنها را از بين مي‌برند.
اگر Firewall در محل خودش قرار گيرد چشم‌انداز خيلي متفاوت مي‌شود و در اين موقع شركت Firewall را در هر نقطه ارتباطي به اينترنت قرار مي‌دهد.
Firewall مي‌تواند قوانين امنيتي را نيز به اجرا در بياورد يكي از قوانين امنيتي يك شركت مي‌تواند اين باشد كه از ميان500 كامپيوتر متعلق به اين شركت فقط يكي از آنها اجازه دارد كه ترافيك عمومي FTP را دريافت كند.و آن قوانين ارتباطي FTP را فقط منحصر به آن كامپيوتر كنند و مانع استفاده ديگر كامپيوترها از آن شوند.
يك شركت مي‌تواند قوانين مانند اين را براي سرورهاي FTP يا سرورهاي WEB با سرورهاي Telnet و غيره وضع كند.به اضافه آن شركت مورد نظر مي‌تواند نحوه اتصال كاركنان خود را به وب سايت كنترل كند حتي فايل‌هايي كه اجازه خروج از شركت را از طريق شبكه دارند و غيره .Firewall به شركت توانايي كنترل نحوه استفاده كاركنان از شبكه را مي‌دهد
فايروال چگونه كار مي‌كنند؟ (بخش آخر)
مرجع : دنياي اقتصاد تاريخ : 20/04/1383

Firewall چه كاري نمي‌تواند انجام دهد:
Firewall نمي‌تواند كه يك كاربر شخصي كه با مودم به داخل يا خارج از شبكه متصل مي شود را كنترل نمايد در حقيقت اين عمل را كنار زدن Firewall گويند كارمندان خلافكار و يا بي‌دقت را نمي‌توان توسط Firewall كنترل كرد براي همين بايد از سياست پيشگيري يا استفاده توسط رمزهاي عبور و مجوز به كاربران با نهايت قدرت استفاده كرد اينها تماما پي‌آمد مديريت هستند كه بايد به طور كامل برنامه‌ريزي شود و قوانين امنيتي به كار گرفته شوند اما اين مشكل توسط Firewall حل نمي‌شود. اطلاعات گردآوري‌شده نشان مي‌دهد كه از اين طريق اطلاعات شركت‌هايBritshAT و communication T و خيلي از شركت‌هاي بزرگ به خاطر بي‌دقتي در اعمال قوانين داخلي به سرقت رفته‌اند بيشتر اين اعمال توسط كارشناسان خود شركت‌ها و يا كارمندان شياد و اخراجي آنها روي داده است و در هر صورت Firewall در اين زمينه كمكي نمي‌نمايد.

چه كسي به Firewall نياز دارد
هر شخصي كه مسوول ارتباط يك شبكه خصوصي به عمومي است نياز به حفاظت Firewall دارد از اين گذشته هر كسي كه از طريق مودم با كامپيوتر شخصي خود به اينترنت وصل مي شود نياز به Firewall شخصي دارد.
اغلب كاربران مودمي در اينترنت بر اين عقيده‌اند كه گمنامي مي‌تواند آنها را محافظت كند آنها احساس مي‌كنند كه نفوذگران با وجود Firewall تحريكمي شوند كه كامپيوتر آنها را از كار بياندازند. كاربران تلفني كه قرباني نفوذ گران بدخواه مي‌گردند نتايج كار يك روز خود را از دست مي‌دهند و گاهي اوقات مجبور به نصب مجدد سيستم عامل خود مي شوند برنامه‌هايي وجود دارد كه افراد متهاجم سودجو از آن استفاده مي‌كنند و تعداد زيادي شناسه را به صورت تصادفي جست‌وجو كرده و قرباني را انتخاب مي‌نمايند.

Firewall چگونه عمل مي‌نمايد:
دو راه براي عدم دسترسي توسط Firewall‌ها وجود دارد يك Firewall مي‌تواند به كل ترافيك اجازه دسترسي دهد مگر اينكه با قوانين و ضوابط خودش مغايرت داشته باشد و يا اينكه كل ترافيك را مسدود كند مگر اينكه با ضوابط و شرايط Firewall صدق نمايد. ضوابط استفاده مي‌شوند جهت تعيين اينكه ترافيك مي‌تواند از يك Firewall عبور نمايد يا خير.
يك Firewall ممكن است از انواع مختلف قوانين استفاده كند استفاده از آدرس مبدا و مقصد و شماره و پورت و نوع پروتكل تا استفاده از قوانين پيچيده‌تري نظير كنترل برنامه‌ها و دادن مجوز به آنها جهت انتقال ترافيك به ساير شبكه‌ها.

Firewallسيستم را در برابر چه چيزهايي محافظت مي‌كند:

Remote login
هنگاميكه شخصي بتواند با كامپيوترهاي ما ارتباط برقرار كند مي‌تواند به اطلاعات و فايل‌هاي ما دسترسي داشته باشد يكي از وظايفFirewall‌ها اين است كه اجازه ورود اشخاص را به شبكه‌ها نمي‌دهد.

Application backdoors
برنامه‌هايي نظيرTrojan ها كه مي‌توانند كنترل يك سيستم را در اختيار شخصي قرار دهند.

Denial of service
انواع روش‌هاي حمله به شبكه كه باعث از كار انداختن سرويس‌هاي مختلف آن شبكه مي‌شوند.

Emali bombs
به معني ارسال پيام‌هاي اينترنتي در حجم‌هاي بسيار بالا مي باشد كه باعث مي‌شود سرويس e-mail مختل شود.

ويروس‌هاVirus
انواع ويروس هاي كامپيوتري كه باعث ايجاد مشكلات براي كاربران شبكه مي‌شود.

اسپم‌هاSpam
به معني پيام‌هاي اينترنتي ناخواسته كه باعث ايجاد مشكلات براي كاربران شبكه مي‌شود.
نحوه برخورد Firewall ها با موارد فوق بستگي به انتخاب نوع Firewall و ميزان امنيت آن دارد و يكي از بهترين روش‌ها اين است كه از ارتباط كليه اشخاص به شبكه جلوگيري شود.
دانستن اين كه يك Firewall چگونه كار مي كند به شما كمك مي‌كند كه روابط لايه‌هاي شبكه را بهتر متوجه شويد طراحان شبكه يك ساختار هفت لايه‌اي براي شبكه تعيين كرده‌اند كه هر لايه مسووليت خاص خود را دارا مي‌باشد. اين لايه‌ها شبكه را قادر مي‌سازند كه پروتكل‌هاي شبكه را با لايه‌هاي سخت‌افزاري همگام كنند. در يك شبكه معين يك پروتكل تا لايه بالايي سخت‌افزار بيشتر نمي‌تواند وارد شود زيرا لايه سخت‌افزار جداي از لايه پروتكل مي‌باشد. به همين صورت كه يك كابل فيزيكي نمي‌تواند بيشتر از لايه يك حركت كند.
TCP/IP قديمي‌تر از مدل OSI است اما استاندارد اين دو شبيه به هم نيست. در TCP/IP لايه‌هاي اول دقيقا مطابق مدل OSI هستند فايروال‌ها در لايه‌ها مختلف فعاليت مي‌كنند. پايين‌ترين لايه‌اي كه فايروال‌ها در آن كار مي‌كنند لايه سوم است كه در مدل OSI لايه شبكه و در TCP/IP لايه IP مي‌باشد.
كار اين لايه مسيريابي و ارسال بسته‌ها به مقصد مي‌باشد. در اين لايه Firewall مي‌تواند تشخيص دهد كه بسته از چه مبدايي آمده است اما نمي‌تواند محتويات بسته و يا اينكه بسته به چه بسته‌هاي ديگري وابسته است را مشخص كند Firewall در لايه ترانسپورت راجع به بسته كمي بيشتر اطلاعات دارد و قادر است كه اجازه يا عدم اجازه دسترسي با قوانين و ضوابط در سطوح بالاتري را صادر كند. در لايه، نرم‌افزار Firewall قدرت بسيار زيادي در صدور مجوزها براي بسته‌ها دارد و مشكل وقتي پديدار مي شود كه تابع Firewall را در داخل شبكه در سطح بالاتري نسبت به لايه برنامه‌ها قرار گيرد كه اين هيچ الزامي ندارد و كار كردن Firewall در سطوح پاييني شبكه باعث امنيت بيشتر آن مي‌شود.
اگر يك نفوذگر نتواند سه مرحله قبل را متعلق به خود كند مسلما نمي‌تواند كنترل سيستم عامل را در دست بگيردFirewall .‌هاي جديد و پيشرفته كل ترافيك شبكه را در خود ذخيره كرده و اجازه نمي‌دهند كه آنها مستقيما به شبكه TCP/IP دسترسي پيدا كنند و اين كار را براي يك نفوذگر جهت نفوذ به سيستم و بازكردن درب پشتي براي نفوذ بعدي مشكل مي‌نمايد.

ديوارهاي آتش چگونه كار مي‌كنند؟
انواع مختلف Firewall كدامند؟
Firewall به چهار مقوله تقسيم مي‌شود:
packet filter -1
circuit level gateway -2
Firewall -3‌هاي سطح كاربردي‌
Firewall - 4هاي چند لايه‌اي‌

PACKETFILTERINGFIREWALL
اين Firewall ها در سطح شبكه (Network layer) مدل OSI يا لايه IP در مدل TCP/IP عمل مي‌كنند آنها بخشي از روتر (Router) هستند (روتر وسيله‌اي است كه بسته‌ها را از اينترنت دريافت مي‌كند و آنها را به سوي جهت‌ ديگري مي‌فرستد.
در PACKETFILTERFIREWALL هر بسته طبق يك معيار بازرسي مي‌شود. سپس فرستاده مي‌شود و اين امر به نوع بسته و معيار آن بستگي دارد.
Firewallمي‌تواند بسته را به لايه بعدي بفرستد و يا پيغامي را به مبدا اصلي خود در مورد چگونگي عملكرد ارسال نمايد.

بهترين مزيتPACKETFILTERFIREWALL
ارزاني اجراي آن در اعمال مربوط به اينترنت مي‌باشد در بيشتر روترها (Router) مي‌توانيم از اين نوع firewall استفاده كنيم. پياده‌سازي اين گونه firewall در روتر باعث ايجاد امنيت در سطح لايه شبكه مي‌شود

CIRCUIT LEVEL GATEWAY
گونه ديگر FIREWALL كه با نام CIRCUIT LEVEL GATEWAY معرفي مي‌شود، در لايه حمل (Trasport) مدل OSI يا در سطح TCP از مدل TCP/IP عمل مي‌كند و بسته و بخش مورد استفاده را كنترل مي‌كند. اين روش براي پنهان كردن اطلاعات مهم روشي است بسيار مناسب و همچنين براي شبكه‌هاي خصوصي هم مي‌تواند به كار رود به عبارت ديگر آنها بسته‌‌هاي افراد را كنترل و يا فيلتر نمي‌نمايند.
براي فهميدن چگونگي عملكرد CIRCUIT LEVEL GATEWAY مثالي مي‌زنيم، كامپيوتر A درون شبكه‌اي قرار دارد كه به وسيله‌ CIRCUIT LEVEL GATEWAY firewall محافظت مي‌شود.
اين كامپيوتر A مي‌خواهد صفحه وبي (Web page) را كه روي كامپيوتر B كه خارج از محدوده firewall قرار دارد را ببيند.
كامپيوتر A تقاضا براي صفحه وب را به كامپيوتر B مي‌فرستد، كه اين تقاضا قبل از فرستاده شدن كامپيوتر B در firewall بازرسي مي‌شود سپس كامپيوتر B شروع به فرستادن صفحات تقاضا شدن مي‌كند و اگر اين تقاضاها با تقاضاهاي دريافت شده كامپيوتر A مطابقت كند (كه اگر از نظر آدرسip و port تطابق داشته باشند) به اطلاعات اجازه ارسال داده مي‌شود و در غير اين صورت ارسال آن متوقف مي‌گردد.
مزيت استفاده از اين گونه firewall اين است كه هيچ‌گونه مطالب درخواست نشده از خارج firewall اجازه ورود به كامپيوتر و شبكه را ندارند.

APPLICATION LEVEL GATEWAY FIREWALL
APPLICATION LEVEL GATEWAY ‌firewall) هاي‌سطح كاربردي) كه با نام proxy نيز معرفي مي‌شوند، بسيار شبيه APPLICATION LEVEL GATEWAY عمل مي‌كنند به اين معني كه هر دو از ورود اطلاعات درخواست نشده به شبكه جلوگيري مي‌كنند.
تفاوت اين دو گونه firewall در روش‌هاي مختلف آنها در مديريت و رسيدگي به اطلاعات است.
فايروال‌هاي CIRCUIT LEVEL GATEWAY تنها آدرس و پورت مربوط به اطلاعات دريافت شده را بازرسي مي‌كنند.
اين گونه firewall ها هيچگونه دسترسي به خود اطلاعات ندارند در حالي‌كه APPLICATION LEVEL GATEWAY عمق بيشتري را بررسي مي‌كند.
برنامه‌هاي proxy قابليت‌هايي را براي ديدن اطلاعات دارا هستند مثل HTTP براي صفحات وب، FTP، SMTP و يا3 POP براي .e-mail
اين گونه firewall ها دو مزيت اساسي دارند.
اول اينكه هيچ ارتباطي مستقيمي بين كامپيوترهاي بيرون از شبكه و كامپيوترهايي كه توسط firewall محافظت مي‌شوند، وجود ندارد.
دومين مزيت اساسي اين كه تصفيه اطلاعات در اين نوع به معني بازرسي كل محتويات مي‌باشد

مرجع : دنياي اقتصاد

[Wink]

توپولوژی های فايروال
مرجع : سخاروش تاريخ : 06/04/1384

برای پياده سازی و پيکربندی فايروال ها در يک شبکه از توپولوژی های متفاوتی استفاده می گردد . توپولوژی انتخابی به ويژگی های شبکه و خواسته های موجود بستگی خواهد داشت . در اين رابطه گزينه های متفاوتی وجود دارد که در ادامه به بررسی برخی از نمونه های متداول در اين زمينه خواهيم پرداخت.
(برای آشنائی با فايروال ها و برخی از ويژگی های ارائه شده توسط آنان مطالعه مطلب فايروال ها : يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات ، پيشنهاد می گردد ) .
سناريوی اول : يک فايروال Dual-Homedدر اين توپولوژی که يکی از ساده ترين و در عين حال متداولترين روش استفاده از يک فايروال است ، يک فايروال مستقيما" و از طريق يک خط Dial-up ، خطوط ISDN و يا مودم های کابلی به اينترنت متصل می گردد. در توپولوژی فوق امکان استفاده از DMZ وجود نخواهد داشت .

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

برخی از ويژگی های اين توپولوژی عبارت از :
· فايروال مسئوليت بررسی بسته های اطلاعاتی ارسالی با توجه به قوانين فيلترينگ تعريف شده بين شبکه داحلی و اينترنت و برعکس را برعهده دارد.
· فايروال از آدرس IP خود برای ارسال بسته های اطلاعاتی بر روی اينترنت استفاده می نمايد .
· دارای يک پيکربندی ساده بوده و در مواردی که صرفا" دارای يک آدرس IP معتبر ( Valid ) می باشيم ، کارساز خواهند بود .
· برای اتصال فايروال به اينترنت می توان از يک خط Dial-up معمولی ، يک اتصال ISDN و مودم های کابلی استفاده نمود .
سناريوی دوم : يک شبکه Two-Legged به همراه قابليت استفاده از يک ناحيه DMZدر اين توپولوژی که نسبت به مدل قبلی دارای ويژگی های پيشرفته تری است ، روتر متصل شده به اينترنت به هاب و يا سوئيچ موجود در شبکه داخلی متصل می گردد .

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

برخی از ويژگی های اين توپولوژی عبارت از :
· ماشين هائی که می بايست امکان دستيابی مستقيم به اينترنت را داشته باشند ( توسط فايروال فيلتر نخواهند شد ) ، به هاب و يا سوئيچ خارجی متصل می گردند .
· فايروال دارای دو کارت شبکه است که يکی به هاب و يا سوئيچ خارجی و ديگری به هاب و يا سوئيچ داخلی متصل می گردد. ( تسهيل در امر پيکربندی فايروال )
· ماشين هائی که می بايست توسط فايروال حفاظت گردند به هاب و يا سوئيچ داخلی متصل می گردند .
· به منظور افزايش کارآئی و امنيت شبکه ، می توان از سوئيچ در مقابل هاب استفاده نمود .
· در توپولوژی فوق امکان استفاده از سرويس دهندگانی نظير وب و يا پست الکترونيکی که می بايست قابليت دستيابی همگانی و عمومی به آنان وجود داشته باشد از طريق ناحيه DMZ فراهم می گردد .
· در صورتی که امکان کنترل و مديريت روتر وجود داشته باشد ، می توان مجموعه ای ديگر از قابليت های فيلترينگ بسته های اطلاعاتی را نيز به خدمت گرفت . با استفاده از پتانسيل های فوق می توان يک سطح حفاظتی محدود ديگر متمايز از امکانات ارائه شده توسط فايروال ها را نيز پياده سازی نمود .
· در صورتی که امکان کنترل و مديريت روتر وجود نداشته باشد ، ناحيه DMZ بطور کامل در معرض استفاده عموم کاربران اينترنت قرار خواهد داشت . در چنين مواردی لازم است با استفاده از ويژگی ها و پتانسيل های ارائه شده توسط سيستم عامل نصب شده بر روی هر يک از کامپيوترهای موجود در ناحيه DMZ ، يک سطح مناسب امنيتی را برای هر يک از آنان تعريف نمود .
· پيکربندی مناسب ناحيه DMZ به دو عامل متفاوت بستگی خواهد داشت : وجود يک روتر خارجی و داشتن چندين آدرس IP
· در صورتی که امکان ارتباط با اينترنت از طريق يک اتصال PPP ( مودم Dial-up ) فراهم شده است و يا امکان کنترل روتر وجود ندارد و يا صرفا" دارای يک آدرس IP می باشيم ، می بايست از يک راهکار ديگر در اين رابطه استفاده نمود . در اين رابطه می توان از دو راه حل متفاوت با توجه به شرايط موجود استفاده نمود :
راه حل اول ، ايجاد و پيکربندی يک فايروال ديگر در شبکه است . راه حل فوق در مواردی که از طريق PPP به شبکه متصل می باشيم ، مفيد خواهد بود . در توپولوژی فوق ، يکی از ماشين ها به عنوان يک فايروال خارجی ايفای وظيفه می نمايد ( فايروال شماره يک ) . ماشين فوق مسئوليت ايجاد اتصال PPP و کنترل دستيابی به ناحيه DMZ را بر عهده خواهد داشت و فايروال شماره دو ، مسئوليت حفاظت از شبکه داخلی را برعهده دارد . فايروال شماره يک از فايروال شماره دو نيز حفاظت می نمايد.
برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید
راه حل دوم، ايجاد يک فايروال Three Legged است که در ادامه به آن اشاره خواهيم کرد .
سناريوی سوم : فايروال Three-Leggedدر اين توپولوژی که نسبت به مدل های قبلی دارای ويژگی های پيشرفته تری است ، از يک کارت شبکه ديگر بر روی فايروال و برای ناحيه DMZ استفاده می گردد . پيکربندی فايروال بگونه ای خواهد بود که روتينگ بسته های اطلاعاتی بين اينترنت و ناحيه DMZ با روشی متمايز و متفاوت از اينترنت و شبکه داخلی ، انجام خواهد شد .

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

برخی از ويژگی های اين توپولوژی عبارت از :
· امکان داشتن يک ناحيه DMZ وجود خواهد داشت .
· برای سرويس دهندگان موجود در ناحيه DMZ می توان از آدرس های IP غيرمعتبر استفاده نمود .
· کاربرانی که از اتصالات ايستای PPP استفاده می نمايند نيز می توانند به ناحيه DMZ دستيابی داشته و از خدمات سرويس دهندگان متفاوت موجود در اين ناحيه استفاده نمايند .
· يک راه حل مقرون به صرفه برای سازمان ها و ادارات کوچک است .
· برای دستيابی به ناحيه DMZ و شبکه داخلی می بايست مجموعه قوانين خاصی تعريف گردد و همين موضوع ، پياده سازی و پيکربندی مناسب اين توپولوژی را اندازه ای پيجيده تر می نمايد .
· در صورتی که امکان کنترل روتر متصل به اينترنت وجود نداشته باشد ، می توان کنترل ترافيک ناحيه DMZ را با استفاده از امکانات ارائه شده توسط فايروال شماره يک انجام داد .
· در صورت امکان سعی گردد که دستيابی به ناحيه DMZ محدود شود .

خوب مقاله چطور بود؟؟؟برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

[Wink]

فايروال ها : يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات
مرجع : سخاروش تاريخ : 04/04/1384

امنيت اطلاعات و ايمن سازی کامپيوترها به يک ضرورت غيرقابل انکار در عصر اطلاعات تبديل شده است. پرداختن به مقوله امنيت اطلاعات با زبانی ساده بيش از هر زمان ديگر احساس می شود، چراکه هر يک از عوامل انسانی و غيرانسانی دارای جايگاه تعريف شده ای در نطام مهندسی امنيت اطلاعات می باشند. آشنائی اصولی و منطقی با اين نطام مهندسی و آگاهی از عناصر موجود در اين ساختار به همراه شناخت علمی نسبت به مسئوليت هر يک از عناصر فوق، امری لازم و حياتی است.
فايروال ها ، يکی از عناصر اساسی در نطام مهندسی امنيت اطلاعات می باشند که استفاده از آنان به يک ضرورت اجتناب ناپذير در دنيای امنيت اطلاعات و کامپيوتر تبديل شده است . بسياری از افرادی که جديدا" قدم در عرصه گسترده امنيت اطلاعات می گذارند ، دارای نگرانی و يا سوالات مفهومی خاصی در ارتباط با فايروال ها و جايگاه استفاده از آنان در جهت ايمن سازی شبکه های کامپيوتری می باشند .
در اين مطلب قصد داريم به برخی از مفاهيم و نکات مهم و اساسی در خصوص فايروال ها اشاره ای داشته باشيم تا از اين رهگذر بتوانيم دانش لازم به منظور بکارگيری و مديريت بهينه فايروال ها را بدست آوريم .
NAT ( برگرفته از Network Address Translation )
اولين و در عين حال مهم ترين وظيفه يک فايروال ، جداسازی شبکه داخلی يک سازمان از اينترنت است . يکی از فنآوری های موجود که ما را در جهت نيل به خواسته فوق کمک می نمايد ، جداول NAT می باشند ( NAT ، همچنين کمک لازم در جهت حل معضل کمبود آدرس های IP را ارائه می نمايد ) . مهمترين ايده مطرح شده توسط NAT ، عدم دستيابی به اکثر کامپيوترهای موجود در يک شبکه خصوصی از طريق اينترنت است . يکی از روش های نيل به خواسته فوق ، استفاده از آدرس های IP غيرمعتبر ( Invalid ) می باشد .
در اکثر موارد بکارگيری NAT ، صرفا" آدرس IP معتبر (Valid ) به فايروال نسبت داده می شود و تمامی کامپيوترهائی که مسئوليت حفاظت از آنان به فايروال واگذار شده است ، از آدرس های IP که صرفا" بر روی شبکه داخلی معتبر می باشد ، استفاده می نمايند . با تبعيت از چنين رويکردی ، زمانی که يک کامپيوتر موجود در شبکه داخلی نيازمند برقراری ارتباط با دنيای خارج است ، اقدام به ارسال درخواست خود برای فايروال می نمايد . در ادامه فايروال به نمايندگی از کامپيوتر متقاضی ، درخواست مورد نظر را ارسال می نمايد . در زمان مراجعت درخواست ارسالی ، پاسخ مربوطه به فايروال رسيده و در نهايت ، فايروال آن را برای کامپيوتر موجود در شبکه داخلی ارسال می نمايد .
فرض کنيد ، کاربری قصد داشته باشد که يک وب سايت خاص را از طريق کامپيوتر موجود بر روی يک شبکه داخلی ملاقات نمايد .پس از درج آدرس وب سايت مورد نظر در بخش آدرس برنامه مرورگر ، درخواست وی به يک درخواست HTTP ترجمه شده و برای فايروال ارسال می گردد . در ادامه ، فايروال از آدرس IP مختص به خود در ارتباط با درخواست HTTP و به نمايندگی از کاربر ارسال کننده درخواست ، استفاده می نمايد . پس از پاسخ به درخواست ، پاسخ مربوطه برای فايروال ارسال شده و در نهايت فايروال آن را برای کاربر مربوطه ارسال می نمايد .
فيلترينگ پورت ها
فيلترينگ پورت ها از جمله مهمترين عملياتی است که توسط فايروال ها انجام می شود و شايد به همين دليل باشد که اکثر مردم بر اين اعتقاد هستند که فايروال ها صرفا" به همين دليل خاص طراحی و پياده سازی شده اند و اغلب ، آنان را به عنوان ابزاری در جهت فيلترينگ پورت ها تصور می نمايند . همانگونه که می دانيد ، مبادلات اطلاعات مبتنی بر پروتکل TCP/IP با استفاده و محوريت پورت ها انجام می گردد . در اين رابطه 65،535 پورت TCP و به همين اندازه پورت UDP جداگانه وجود دارد که می توان از آنان به منظور مبادله اطلاعات استفاده نمود .
به منظور آشنائی با جايگاه پورت ها و نقش آنان در مبادله اطلاعات در پروتکل TCP/IP ، می توان آنان را نظير ايستگاه های راديوئی تصور نمود . فرض کنيد TCP به عنوان موج FM و UDP به عنوان موج AM باشد . در چنين وضعيتی ، می توان يک پورت در پروتکل TCP/IP را همانند يک ايستگاه راديوئی تصور نمود . همانگونه که يک ايستگاه راديوئی با اهداف خاصی طراحی شده است ، پورت های TCP و UDP نيز چنين وضعيتـی را داشته و با اهداف خاصی طراحی شده اند . يکی از مهمترين دلايل ضرورت استفاده از فايروال ها و فيلترينگ پورت ها ، استفاده غيرمتعارف از پورت ها به منظور نيل به اهدافی ديگر است . مثلا" پورت 21 مربوط به پروتکل TCP بطور سنتی به منظور FTP استفاده می گردد و مهاجمان می توانند از پورت فوق و با استفاده از برنامه هائی نظير Telnet سوء استفاده نمايند ( با اين که پورت فوق به منظور استفاده توسط برنامه Telnet طراحی نشده است ) .
پويش پورت ها و آگاهی از پورت های باز ، از جمله روش های متداولی است که توسط مهاجمان و به منظور يافتن يک نقطه ورود مناسب به يک سيستم و يا شبکه کامپيوتری ، مورد استفاده قرار می گيرد . مهاجمان پس از آگاهی از پورت های باز ، با بکارگيری برنامه هائی نظير Telnet زمينه ورود غير مجاز به يک سيستم را برای خود فراهم می نمايند .
وضعيت فوق و تهديدات امنيتی مرتبط با آن ، ضرورت فيلترينگ پورت ها را به خوبی نشان می دهد . با فيلترينگ پورت ها ، اين اطمينان ايجاد خواهد شد که هيچ چيزی نمی تواند از طريق يک پورت باز ارسال گردد مگر پروتکل هائی که توسط مديريت شبکه به آنان اجازه داده شده است . مثلا" در صورتی که فيلترينگ پورت بر روی پورت 21 مربوط به پروتکل TCP اعمال گردد ، صرفا" به مبادلات اطلاعات مبتنی بر FTP اجازه داده خواهد شد که از اين پورت استفاده نمايند و مبادله اطلاعات به کمک ساير پروتکل ها و بکارگيری پورت فوق ، امکان پذير نخواهد بود .
محدوده عملياتی فيلترينگ پورت ها می تواند از موارد اشاره شده نيز تجاوز نموده و در سطح هدر يک بسته اطلاعاتی و حتی محتويات آن نيز تعميم يابد . در چنين مواردی ، هدر بسته اطلاعاتی بررسی و با مشاهده اطلاعاتی نظير آدرس مبداء ، مقصد ، شماره پورت و ساير موارد ديگر در رابطه با آن اتخاذ تصميم می گردد . مشکل موجود در اين رابطه به وجود اطلاعات جعلی و يا نادرست در هدر بسته های اطلاعاتی برمی گردد . مثلا" فرستنده می تواند آدرس های IP و ساير اطلاعات ذخيره شده در هدر بسته های اطلاعاتی را جعل نمايد . به منظور غلبه بر مشکل فوق ، نوع ديگری از فيلترينگ که برخی فايروال ها به آن stateful packet inspections و يا فيلترينگ پويای بسته های اطلاعاتی می گويند ، ايجاد شده است . در مدل فوق ، در مقابل بررسی هدر بسته های اطلاعاتی ، محتويات آنان مورد بازبينی قرار می گيرد . بديهی است با آگاهی از اين موضوع که چه چيزی در بسته اطلاعاتی موجود است ، فايروال ها بهتر می توانند در رابطه با ارسال و يا عدم ارسال آن برای يک شبکه داخلی تصميم گيری نمايند .
ناحيه غيرنطامی ( Demilitarized Zone )
نواحی غيرنظامی ( DMZ ) ، يکی ديگر از ويژگی های ارائه شده توسط اکثر فايروال ها می باشد . DMZ ، ناحيه ای است که تحت قلمرو حفاظتی فايروال قرار نمی گيرد . فايروال های مختلف ، نواحی DMZ را با روش های متفاوتی پياده سازی می نمايند . مثلا" برخی از فايروال ها ، صرفا" شما را ملزم به معرفی آدرس IP ماشينی می نمايند که قصد استقرار آن در ناحيه DMZ وجود دارد .برخی از فايروال ها دارای يک پورت شبکه ای اختصاصی می باشند که می توان از آن برای هر نوع دستگاه شبکه ای که قصد استقرار آن در ناحيه DMZ وجود دارد ، استفاده گردد .
پيشنهاد می گردد ، حتی المقدور از نواحی DMZ استفاده نگردد ، چراکه ماشين های موجود در اين نواحی از امکانات حفاظتی و امنيتی فايروال استفاده نخواهند کرد و تنها گزينه موجود در اين رابطه امکانات ارائه شده توسط سيستم عامل نصب شده بر روی ماشين و ساير توصيه هائی است که با رعايت و بکارگيری آنان ، وضعيت امنيتی سيستم بهتر می گردد .
در صورتی که برای ايجاد يک ناحيه DMZ دلايل موجه و قانع کننده ای وجود دارد ، می بايست با دقت و برنامه ريزی صحيح توام با رعايت مسائل امنيتی اقدام به انجام چنين کاری گردد. در صورتی که ماشين مستقر در ناحيه DMZ دارای يک اتصال به شبکه داخلی نيز باشد ، مهاجمان با تمرکز بر روی ماشين فوق می توانند نقطه مناسبی برای ورود به شبکه را پيدا نمايند . پيشنهاد می گردد به عنوان يک قانون و اصل مهم ، ماشين های موجود در ناحيه DMZ دارای اتصالاتی به غير از پورت DMZ فايروال نباشند .
فورواردينگ پورت ها
در بخش قبل به نحوه عملکرد فيلترينگ پورت ها به منظور بلاک نمودن استفاده از يک پروتکل بجزء يک آدرس IP خاص، اشاره گرديد . فورواردينگ پورت نيز بر اساس همين مفاهيم مطرح و در سازمان هائی که در ارتباط با NAT می باشند ، کارساز خواهد بود .
برای آشنائی با مفهوم فورواردينگ پورت ها ، يک مثال نمونه را بررسی می نمائيم .
فرض کنيد ، سازمانی دارای يک سرويس دهنده وب است که از آدرس IP: 192.168.0.12 ( يک آدرس معتبر نمی باشد ولی فرض کنيد که چنين واقعيتی وجود ندارد ) استفاده می نمايد و می بايست امکان دستيابی عمومی به آن فراهم گردد . در صورتی که سرويس دهنده وب فوق تنها سرويس دهنده موجود در سازمان است که می بايست امکان دستيابی عمومی به آن فراهم گردد ، می بايست يک قانون فيلترينگ بسته های اطلاعاتی در سطح فايروال تعريف گردد که تمامی درخواست های HTTP بر روی پورت 80 و به مقصد هر آدرس موجود در شبکه بجزء آدرس IP:192.168.0.12 ، بلاک گردد . پس از تعريف قانون فوق ، در صورتی که کاربری يک درخواست HTTP را برای آدرس های ديگری ارسال نمايد ، با پيامی مبنی بر اين که وب سايت درخواستی وجود ندارد ، مواجه خواهد شد .
در مثال فوق ، اين فرض نادرست را کرديم که امکان دستيابی عمومی به آدرس IP:192.168.0.12 وجود دارد . آدرس فوق صرفا" بر روی يک شبکه خصوصی معتبر بوده و امکان دستيابی آن از طريق اينترنت وجود نخواهد داشت . بديهی است در چنين وضعيتی می بايست آدرس سرويس دهنده وب خصوصی خود را با يک آدرس عمومی جايگزين نمائيد . ( با اين که يک گزينه مطلوب در اين رابطه نمی باشد ) . برخی از مراکز ارائه دهنده خدمات اينترنت ( ISP ) ، صرفا" امکان استفاده از يک آدرس IP عمومی را در اختيار شما قرار داده و بديهی است که در چنين مواردی ما دارای گزينه های متعددی برای اختصاص اين آدرس نخواهيم بود و می بايست آن را به فايروال اختصاص داد .
يکی از موارد استفاده سنتی از NAT به مواردی نظير آنچه اشاره گرديد ، بر می گردد . سازمان فرضی دارای صرفا" يک آدرس IP معتبر است و آن را به فايروال نسبت داده و از NAT به منظور تسهيل در مبادله اطلاعات بين ماشين های موجود در شبکه داخلی و اينترنت استفاده می نمايد . در چنين مواردی يک مشکل همچنان باقی می ماند . NAT به منظور بلاک نمودن ترافيک تمامی ارتباطات ورودی بجزء آنانی که درخواست آنان از طرف يکی از ماشين های موجود در شبکه داخلی ارسال شده است ، طراحی شده است و ما همچنان دارای يک سرويس دهنده وب می باشيم که می خواهيم امکان دستيابی عمومی به آن را نيز فراهم نمائيم .
به منظور حل مشکل فوق می توان از فورواردينگ پورت استفاده نمود . در واقع فورواردينگ پورت ، قانونی است که به فايروال می گويد در صورتی که درخواست های خاصی بر روی يک پورت خاص برای وی ارسال شده باشد ، می بايست درخواست مربوطه را برای يک ماشين طراحی شده بدين منظور بر روی شبکه داخلی، ارجاع نمايد . در مثال اشاره شده ، ما قصد داريم امکان دستيابی عمومی به سرويس دهنده وب را فراهم نمائيم . بدين منظور می بايست يک قانون فورواردينگ پورت بدين منظور تعريف که به فايروال اعلام نمايد هر درخواست HTTP بر روی پروتکل TCP و پورت 80 را به آدرس IP:192.168.0.12 تغيير مسير داده و برای آن ارسال نمايد. پس از تعريف قانون فوق ، شخصی که قصد دستيابی به وب سايت سازمان شما را داشته باشد ، پس از فعال نمودن برنامه مرورگر ، اقدام به درج آدرس سايت سازمان شما دربخش مربوطه می نمايد. مرورگر کاربر مورد نظر به منظور آگاهی از آدرس domain سايت سازمان شما ، اقدام به ارسال يک درخواست DNS می نمايد تا از اين طريق نسبت به آدرس IP نسبت داده شده به domain آگاهی لازم را پيدا نمايد . بديهی است آدرسی که پيدا خواهد شد و به عنوان مرجع در اختيار مرورگر قرار خواهد گرفت، همان آدرس IPعمومی است که شما آن را به فايروال نسبت داده ايد . مرورگر در ادامه ، درخواست HTTP را برای آدرس IP عمومی شما ارسال می نمايد که در حقيقت اين درخواست برای فايروال ارسال می گردد . فايروال درخواست را دريافت و آن را برای سرويس دهنده وب ارسال می نمايد ( فورواردينگ ) .
خلاصه
در اين مطلب به جايگاه بسيار مهم فايروال ها در نظام مهندسی امنيت اطلاعات اشاره و پس از بررسی نحوه عملکرد آنان با چندين ويژگی مهم ارائه شده توسط فايروال ها آشنا شديم

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

[Wink]

حذف موثر فايل ها : اقدامی در جهت افزايش امنيت اطلاعات
مرجع : سخاروش تاريخ : 04/04/1384

از رسانه های ذخيره سازی متعددی به منظور ذخيره و بازيابی اطلاعات در کامپيوتر استفاده می گردد . ويژگی فوق باعث شده است که هر يک از ما بر روی کامپيوتر خود مجموعه ای از اطلاعات شخصی و يا حساس را ذخيره نمائيم به اين اميد که در آينده بتوانيم به سرعت آنان را بازيابی و استفاده نمائيم .
در صورتی که قصد فروش و يا دور انداختن کامپيوتر قديمی خود و يا ديسک ها و لوح های فشرده را داشته باشيد ، در اولين اقدام می بايست از اطلاعات و فايل های مورد نياز نسخه های پشتيبان تهيه گردد و در ادامه اقدام به حذف فايل های شخصی نمود تا امکان دستيابی افراد غيرمجاز به اطلاعات وجود نداشته باشد . بدين منظور لازم است اقداماتی خاص به منظور حصول اطمينان از حذف فايل های موجود بر روی هارد ديسک ، ديسک ها و يا لوح های فشرده انجام شود تا ساير افراد قادر به بازيابی اطلاعات نباشند.
سرنوشت فايل های حذف شده
زمانی که شما يک فايل را حذف می نمائيد ، با توجه به نوع سيستم عامل و تنظيمات انجام شده ، ممکن است فايل های حذف شده به trash و يا recycle bin منتقل گردند . مکان فوق ، اين امکان را فراهم می نمايد تا در صورتی که يک فايل به صورت تصادفی حذف شده باشد ، بتوان آن را بازيابی و همه چيز را به حالت اوليه برگرداند .
کاربران کامپيوتر همواره اين نگرانی را دارند که با خالی کردن recyclebin امکان بازيابی فايل های حذف شده را از دست خواهند داد . اين موضوع از دو زاويه متفاوت قابل بررسی است :
· ديدگاه کاربران : با اين که در اولين مرحله امکان بازيافت اين نوع فايل های حذف شده بنظر مشکل و پيچيده جلوه می نمايد ولی اين احتمال وجود خواهد داشت که بتوان با استفاده از روش هائی خاص اقدام به بازيابی اطلاعات و يا فايل های حذف شده نمود .
· ديدگاه مهاجمان : مهاجمان که قطعا" در حالت طبيعی دارای دانش بمراتب بيشتری نسبت به کاربران می باشند نيز می توانند با بکارگيری ابزارهای متفاوت ، اقدام به بازيافت و دستيابی به اطلاعات و فايل های حذف شده نمايند .
تهديدات
در صورتی که مهاجمان بتوانند به اطلاعات و يا فايل های حذف شده دستيابی پيدا نمايند ، شعاع تخريب آنان به ماهيت و ميزان حساس بودن اطلاعات برمی گردد . اطلاعات مربوط به کارت اعتباری و يا حساب بانکی ، رمزهای عبور ، اطلاعات پزشکی ، تصاوير شخصی و خانوادگی و يا اطلاعات حساس سازمانی ، از جمله اطلاعات مورد علاقه مهاجمان به منظور برنامه ريزی حملات می باشد .سرقت هويت شما و يا استفاده از اطلاعات بازيافت شده در جهت تدارک و برنامه ريزی يک تهاجم مبتنی بر مهندسی اجتماعی، نمونه هائی از تهديدات موجود در اين زمينه می باشد .
چگونه می توان از حذف کامل اطلاعات اطمينان حاصل نمود ؟
بسياری از کاربران از معيارها و شاخص های خاصی به منظور حصول اطمينان از حذف کامل اطلاعات تبعيت می نمايند . برخی از معيارها و يا شاخص های مورد نظر کاربران قابل اعتماد نبوده و ممکن است توام با موفقيت کامل نباشد . بهترين گزينه موجود در اين رابطه ، بررسی برنامه های نرم افزاری و يا دستگاه های سخت افزاری خاصی است که ادعای حذف کامل و غيرقابل برگشت فايل ها و يا اطلاعات موجود بر روی هارد ديسک و يا CD را دارند . برنامه ها و سخت افزارهای فوق دارای ويژگی های متفاوتی بوده و هر يک دارای کارآئی مختص به خود می باشند :
· قابليت نوشتن چندين مرتبه داده : برنامه انتخابی ، نه تنها می بايست دارای قابليت حذف اطلاعات باشد، همچنين می بايست قادر به بازنويسی داده جديد بر روی آن باشد . با افزودن چندين لايه داده ، يک مهاجم برای دستيابی به اطلاعات حذف شده مسيری دشوار را در پيش رو خواهد داشت . برنامه انتخابی می بايست حداقل بين سه تا هفت مرتبه قادر به نوشتن داده جديد بر روی اطلاعات حذف شده باشد .
· استفاده از داده تصادفی : برنامه انتخابی می بايست در مقابل استفاده از الگوهای قابل شناسائی برای بازنويسی داده جديد بر روی فايل های حذف شده ، از داده های کاملا" تصادفی استفاده نمايد . بديهی است در چنين مواردی امکان شناسائی الگو ی بازنويسی توسط مهاجمان مشکل تر خواهد شد.
· استفاده از صفر در آخرين لايه : صرفنظر از اينکه برنامه انتخابی چند مرتبه اقدام به نوشتن داده می نمايد ، می بايست از برنامه هائی استفاده گردد که در آخرين لايه خود از صفر برای بازنويسی مجدد اطلاعات استفاده می نمايند . بدين ترتيب يک لايه اضافه امنيتی ايجاد می گردد .
با اين که تعداد زيادی از برنامه های اشاره شده با فرض اين موضوع که شما قصد حذف تمامی ديسک را داريد ، پتانسيل های خود را در اختيار شما قرار می دهند ، برنامه هائی نيز وجود دارد که می توان با استفاده از آنان صرفا" اقدام به حذف و بازنويسی فايل هائی خاص نمود .
يکی از روش های موثر برای انهدام CD و يا DVD ، قرار دادن آنان در يک پوشش مناسب و خردکردن آنان است . در اين رابطه می توان از سخت افزار های خاصی نيز استفاده نمود . برخی از دستگاه های فوق سطح ديسک را ريز ريز کرده و برخی ديگر سطح قابل نوشتن ديسک را با استفاده از يک الگوی خاص سوراخ می نمايند .

برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

[Wink]

منبع :SecurityFocus
مترجم : امير حسين شريفي
من يك مشكلي دارم، من نمي توانم يك ديواره آتش مناسب براي سرور ويندوزم پيدا كنم. در اصل وقتي افراد در اين باره از من پرسش مي كنند جواب مناسبي براي آنها ندارم. اگر چه در حال حاضر بيشتر سرور هاي ما پشت ديواره آتش مي باشند، اما من علاقمندم كه يك حفاظت ديگر در خود سرور داشته باشم.
به نظر مي رسد كه اين راه حل مي تواند كافي باشد. من صبورانه منتظر يك شخص با استعداد هستم كه ديواره آتش ويندوز را با تمام خصوصيات به من معرفي كند تا من از توضيحات اضافه خودداري كنم زيرا كه راه درست آن است كه به سمت لينوكس با IPTable بروم. اما اين انتظار بيهوده است. گاهي اوقات من فكر مي كردم كه آخرين راه حل براي ديواره آتش ويندوز را پيدا كرده ام ولي بعد از مدتي مي ديدم كه اشتباه مي كرده ام و راههاي ديگر را امتحان مي كردم.
مطمئنا ما فيلتر كننده هاي TCP/IP داريم كه واقعا سريع مي باشد. اما بسيار محدود است و فقط براي بسياري از ترافيك هاي ابتدايي ورودي كاربرد دارد. اگرشما از فيلتر كننده هاي TCP/IP استفاده كنيد شما نياز داريد كه محافظت از لايه هاي ديگر را به طور اضافه نيز داشته باشيد.
IPSec نيز است. فقط شما يك مرتبه بين قاعده ها، مجموعه قاعده ها، فيلترها و مجموعه فيلتر هاي مختلف، دسته بندي ايجاد مي كنيد. شما حتي مي توانيد از يك رابط كاربر و يا از اسكريپت هاي مختلف استفاده كنيد ولي هر دو آنها گيج كننده هستند. به هر جهت وقتي كه شما تمام اين كارها را انجام دهيد و در شبكه خود اجرا كنيد مشاهده خواهيد كرد كه شبكه شما كندتر از قبل شده است. زيرا كه IPSec به همراه فيلترينگ بسته ها، شبكه را تا حدود 10% - 15% كند مي كند. راستي يك چيز ديگر هم وجود دارد كه باعث مي شود من از IPSec متنفر شوم: رويدادهاي آن توسط ثبت وقايع ويندوز(Windows Eventlog ) ، ثبت مي گردد. يعني شما نياز داريد كه روي تك تك رويدادها كليك كنيد تا مشخصات و خصوصيات آن را مشاهده كنيد و يا آن را به فرمتي ديگر در آوريد. همين موضوع كافي است كه من از هر دوي آنها فرار كنم.
ديواره آتش ارتباطات اينترنت ويندوز (ICF) تا حدودي بهتر است و با قاعده ها به طور قابل انعطاف تري برخورد مي كند. وقتي ويندوز 2003 با SP1 عرضه شد حتي ديواره آتش بهتر نيز شد. واقعا بايد اعتراف كرد كه ديواره آتش ويندوز يك پيشرفت بزرگ محسوب مي شود و جالب آنكه حتي از Group Policy ها نيز پشتيباني مي كند. متاسفانه ديواره آتش ويندوز به شما اجازه نمي دهد كه روي ترافيك بيروني هيچ قاعده اي داشته باشيد. به علاوه نياز دارد كه مديريت ارتباطات دسترسي ها از راه دور و همچنين سرويس هاي تلفني روشن شوند. مثلا هنگامي كه من نياز به يك ميل سرور و سرور وب امن دارم من نيازي به آنها ندارم.
RAS چطور ؟ شايد بدانيد كه آن نيز قابليت هاي فيلتر كردن بسته ها را دارد و در حقيقت يك API خوبي براي ابزارهاي ديگر دارد كه مي توانند اين كار را انجام دهند. اما اين فيلترها به شما اجازه نمي دهند كه در سطح پايين تر مانند فيلترينگ ICMP فيلتر ها را اعمال كنيد بنابراين اين هم به نظر مفيد نمي رسد.
ديواره هاي آتش شخصي مناسب و كاربردي نيز وجود دارد كه واقعا براي كامپيوترهاي روميزي بسيار مناسب و كارا مي باشد اما هيچكدام براي ويندوز سرور كارايي مناسب را ندارند.برخي از آنها از بقيه بهترند ولي باز هم تمامي آنها مشكلات خاص خود را دارند. مشكلاتي از قبيل ضعف در فايل هاي ثبت وقايع، قابليت هاي پيكربندي محدود، كند بودن و بدتر از همه آنكه در هنگام بار بالا صفحه آبي خطاي ويندوز را نمايش مي دهند!
مشكل ديواره هاي آتش شخصي اين است كه آنها بايد با محيط ويندوز مجتمع شوند. راههاي زيادي براي جلوگيري كردن از بسته ها در ويندوز وجود دارد اما هر كدام از آنها ضعف و زيانهاي خودشان را دارند و تمامي اين راهها به طور ضعيفي نيز مستند شده اند. بيشتر آنها نياز دارند كه با توابع بخش هسته ويندوز كار كنند و براي برخي از ابزارها نيز احتياج به نوشتن درايور است. تمامي آنها كار مي كنند، اما اگر اطمينان از اين بود كه صفحه آبي خطاي ويندوز نمايش داده نمي شود خيلي بهتر بود ولي خودتان امتحان كنيد، سرورهاي ما اغلب با بار بالا مواجهه مي شوند و شما در استفاده از يك ديواره آتش با صفحه آبي به طور متناوب مواجهه مي شويد. مشكل ديگر اين برنامه ها اين است كه در برخورد با برنامه هاي ديگر با مشكل مواجهه مي شوند. از همه مهمتر به دليل اينكه اين برنامه ها با برخي توابع نوشته مي شوند كه ممكن است بعد از نصب سرويس پك ها و hotfix ها ممكن است تغيير كند و مسايل بيشمار ديگري نيز وجود دارد.
ديواره هاي آتش شخصي نيز براي ويندوز هاي سروري كه بدون مراقبت هستند نيز به خوبي كار نمي كنند و هركدام از آنها نيز براي بيشتر ترافيك هاي شبكه نياز به اجازه كاربر دارند كه اين موضوع براي ويندوزهاي سرور به طور بديهي كار نمي كنند و برخي نيز به صورت يك برنامه مقيم در حافظه مي باشند كه حتي از Terminal Services نيز قابل دسترس نيستند!
آخرين تلاش من براي نصب يك ديواره آتش ويندوز سرور برنامه ISA 2004 مايكروسافت مي باشد. خيلي جالب آنكه اين برنامه به خوبي كار مي كند. هسته محافظ آن به خوبي يك ديواره آتش شخصي كار مي كند به علاوه آنكه در تعريف قاعده ها نيز به خوبي عمل مي كند. فقط يك مشكل بزرگ وجود دارد : برنامه ISA 2004 خيلي گرانتر از خود ويندوز سرور است و اين كار را كمي مشكل مي كند.
به نظر شما من بايد چه كار كنم؟ آخرين كاري كه كردم خريد يك ديواره آتش سخت افزاري كوچك بود!
البته زياد هم نااميد نباشيد. مايكروسافت روي يك سرويس فيلترينگ بسته ها(Windows Filtering Platform) در ويندوز لانگهورن كار مي كند كه در آينده منتشر خواهد شد. WFP يك موتور فيلترينگ بسته ها در سطح سيستم عامل مي باشد. شركت هاي ثانوي فقط كافي است كه برنامه هاي خود را پيكربندي كنند و روي قاعده ها كار كنند. WFP روي بسته ها در لايه هاي مختلف پشته جديد TCP/IP دسترسي ايجاد مي كند و همين امر باعث پشتيباني از فيلترينگ بعد از رمزنگاري بسته ها مي شود و حتي از IPSec نيز پشتيباني مي كند. WFP آوازيست كه از دور خوش است و در حال حاضر به درد من نمي خورد.
شما فكر مي كنيد كه پاسخ آن ساده است ولي اينگونه نيست و من هنوز مات و مبهوتم كه براي ديواره آتش ويندوز سرور خود چه راه حلي را پيدا كنم؟ راه حلي كه هنوز وجود ندارد.
برای مشاهده این لینک/عکس می بایست عضو شوید ! برای عضویت اینجا کلیک کنید

[Security]

مطالب بسيار مفيدي بود . استفاده كردم.

با تشكر Security .