ديوار آتش و سيستم‌هاي تشخيص نفوذ، دو ابزار مهم امنيتي، مهدی راستی، ايرنا

تهران ،خبرگزاري جمهوري اسلامي ‪۸۴/۰۴/۰۸‬
علمي. جامعه اطلاعاتي. گزارش.

دو اصل مهم در حفظ امنيت يك شبكه جلوگيري از حمله و تشخيص حمله توسط هكرها است.

در جلوگيري از حمله، هدف جلوگيري از رخداد حمله است و در تشخيص هدف شناسايي حملاتي است كه به رغم ساخت و كارهاي جلوگيري رخ داده اند.

ديوار آتش (فايروال) به هدف جلوگيري از حملات و سيستم‌هاي تشخيص نفوذ (‪ (Intrusion Detection System‬يا ‪IDS‬ها به هدف شناسايي حملات در يك شبكه كامپيوتري بكار گرفته مي‌شوند.

ديوار اتش چيست؟
ديوار آتش از سيستمهاي امنيتي يك شبكه است كه بر اساس سياست امنيتي و با استفاده از فهرست كنترل دسترسي (‪ ،(ACL‬ورود و خروج بسته‌هاي داده را ميان سازمان و اينترنت كنترل مي‌كند.

امنيت شبكه يك سازمان، وابستگي زيادي به پيكربندي، عملكرد امنيت و نوع ديوار آتش دارد. با توجه به ساختار لايه‌اي شبكه، يك ديوار آتش نيز در حالت كلي چند لايه است.

هر يك از قواعد ‪ ACL‬بنابر ماهيتشان در يكي از سه لايه ديوار آتش تعريف مي شوند.

لايه اول در ديوار آتش بر اساس فيلدهاي سرايند لايه ‪ IP‬يك بسته مانند آدرس مبدا، آدرس مقصد، شماره شناسايي يك ديتاگرام قطعه قطعه شده (‪Offset‬ ‪ ،(Identifier & Fragment‬شماره پروتكل و زمان حيات بسته عمل مي‌كند.

ساده‌ترين و سريعترين تصميم‌گيري براي حذف و يا عبور بسته‌ها در اين لايه انجام مي‌شود. برخي از مسيريابها قابليت لايه اول ديوار آتش را دارند كه به آنها نام مسيريابهاي فيلتركننده گفته مي‌شود. اين مسيريابها قبل از اقدام به مسيريابي، بر اساس جدولي بسته‌هاي ‪IP‬را فيلتر مي‌كند.

با تنظيم لايه اول ديوار آتش بر اساسي روشي كه ‪ IETF‬در ‪ RFC۲۲۶۷‬به نام ‪ Egress/Ingress Filtring‬مطرح كرده، مي‌توان توانايي جعل آدرس را محدودتر كرد (در اين روش در گذرگاه خروجي، از عبور بسته‌هايي كه آدرس مبدا آنها روي شبكه داخلي قرار دارد اما از خارج از شبكه آمده است )، به داخل شبكه جلوگيري شود.

اين عمل باعث مي‌شود كه از بيرون شبكه امكان جعل آدرس‌هاي شبكه داخلي نباشد. در گذرگاه مسيرياب‌هاي داخلي ، بايد از عبور بسته‌هايي كه آدرس مبدا آنها خارج از شبكه قرار دارند اما از داخل شبكه داخلي آمده است ، به خارج از شبكه جلوگيري شود.

اين عمل باعث مي‌شود كه هيچ مهاجمي روي شبكه داخلي، نتواند آدرس ميزبان‌هاي روي شبكه خارجي را جعل كند.

با اين همه با اعمال اين روشها هنوز مهاجمان روي شبكه داخلي امكان جعل آدرس ميزبان‌هاي داخل شبكه و مهاجمان روي شبكه خارجي به دليل تنوع ملياردي آدرسهاي ‪ IP‬امكان جعل آدرس ميزبان‌هاي خارج از شبكه را دارند.

لايه دوم در ديوار آتش بر اساس فيلدهاي سرايند لايه انتقال مانند شماره پورت مبداء، پورت مقصد، كدهاي بيتي كنترلي استوار است. در لايه سوم ديوار آتش، بازرسي بر اساس نوع سرويس و برنامه كاربردي انجام مي‌شود، يعني با در نظر گرفتن پروتكل در لايه چهارم به تحليل داده‌ها مي‌پردازد.

بنابراين در لايه سوم ديوار آتش براي هر سرويس مجزا (مانند پست الكترونيك، سرويس ‪ ،FTP‬سرويس وب و مانند اينها) بايد يك سلسله پردازش انجام شود و به همين دليل حجم و پيچيدگي پردازش در لايه سوم زياد است.

لذا تمام سرويس‌هاي غير ضروري و شماره پورتهايي كه مورد استفاده نيستند بايد در لايه دوم مسدود شوند تا حجم كار در لايه سوم كمتر شود.

در نوع ديگري از ديوارهاي آتش به نام ديوارهاي آتش ‪ Statefull‬مشخصات ترافيك خروجي از شبكه را براي مدتي حفظ مي‌كنند و از اين مشخصات در كنار سرايند بسته ورودي براي تصميم‌گيري استفاده مي‌كنند. بزرگترين مشكل اين نوع از ديوارهاي آتش غلبه بر تاخير پردازش و حجم حافظه مورد نياز است.

ولي در مجموع قابليت اعتماد بسيار بالاتري دارند و ضريب امنيت شبكه را افزايش مي‌دهند.

به عنوان مثال چنانچه دسترسي كاربران داخلي به سرويس‌دهنده‌هاي وب مجاز باشد، فيلترهاي معمولي كارايي لازم براي ممانعت از ورود بسته ‪SYN-ACK(‬با شماره پورت مبداء ‪۸۰(‬به درون شبكه را ندارند، اما با استفاده از ديوار آتش از نوع ‪ Statefull‬مي‌توان از ورود بسته ‪ SYN-ACK‬كه قبل از آن بسته ‪ SYN‬از شبكه خارج نشده است، جلوگيري كرد.

اكثر ديوارهاي آتش جديد از نوع ‪ Statefull‬هستند.

در حالت كلي فيلترها و ديوارهاي آتش معمولي و ‪ ،Statefuul‬فقط نقش ايست و بازرسي بسته‌ها را ايفا مي‌كنند. هرگاه مجوز برقراري يك نشست صادر شد، اين نشست بين دو ماشين داخلي و خارجي بصورت مستقيم برقرار خواهد شد. اما در فيلترهاي مبتني بر پراكسي ابتدا نشست بين مبداء و پراكسي و سپس بين پراكسي و مقصد برقرار مي‌شود.

در چنين حالتي ديوار اتش مبتني بر پراكسي در لايه سوم عمل مي‌كند.