فصل‌ اول‌

مقدمه‌اي‌ بر ايمني‌ اينترنت‌

        هر فردي‌ كه‌ مسئول‌ ايمني‌ يك‌ شبكه‌ معتبر ميباشد وقتي‌ كاملاً آگاه‌ ميشودكه‌ به‌ يك‌ شبكه‌ غير معتبر متصل‌ شود. در مورد ارتباط‌ با اينترنت‌ اين‌ توجهات‌براساس‌ شواهدي‌ حاصل‌ ميشود كه‌ امنيت‌ در كل‌ رسانه‌ ايجاد شده‌ باشد.

        يك‌ ارزيابي‌ دقيق‌تر از حقايق‌ و آمارهايي‌ كه‌ در پس‌ بعضي‌ از پوشش‌هاي‌رسانه‌اي‌ است‌ تنها اين‌ نوع‌ مسايل‌ را عميق‌تر مورد توجه‌ قرار مي‌دهد. براي‌ مثال‌آژانس‌ ايمني‌ كامپيوتر ملي‌ ايالت‌ متحده‌ (NCSA) ادعا مي‌كند كه‌ مهمترين‌ حملاتي‌كه‌ به‌ سيستم‌ كامپيوتري‌ شده‌ است‌ گزارش‌ و آشكار نگرديده‌ است‌، ابراز اين‌حملات‌ در برابر دپارتمان‌ 9000 كامپيوترهاي‌ دفاعي‌ توسط‌ آژانس‌ سيستم‌هاي‌اطلاعات‌ دفاع‌ ايالت‌ متحده‌ انجام‌ گرديد. اين‌ نوع‌ حملات‌ حدوداً 88% نرخ‌ موفقيت‌ رانشان‌ مي‌دهد و حدوداً بيش‌ از 95% سازمانهاي‌ مورد نظر اين‌ نوع‌ حملات‌ را آشكارنكرده‌اند. وتنها 5% حملات‌ آشكار شده‌ كه‌ به‌ 22 سايت‌ مربوط‌ ميشود.

        NCSA نيز در مورد FBI اين‌ مطلب‌ را گزارش‌ مي‌دهد كه‌ 80% FBI مربوط‌ به‌جرم‌ و جنايتهاي‌ كامپيوتري‌ است‌ و دستيابي‌ غير قانوني‌ از طريق‌ اينترنت‌ است‌. درصنعت‌ امنيت‌ كامپيوتر مسايل‌ و مشكلاتي‌ وجود دارد كه‌ به‌ آن‌ توجهي‌ نشده‌ است‌براي‌ فهم‌ خطرات‌ اغلب‌ بايد در مورد منحني‌ها و پاراللهاي‌ زندگي‌ روزمره‌ مطالبي‌ رابياموزيم‌ براي‌ مثال‌ هيچ‌كس‌ از كلاهبرداري‌هاي‌ معاملاتي‌ از طريق‌ پيامهاي‌ارسالي‌ نبايد نگران‌ شود. اين‌ داستان‌ داستان‌ زيبايي‌ است‌ كه‌ در مورد اين‌ مسائل‌گزارش‌ مي‌دهد اما سطح‌ آگاهي‌ هنوز پايين‌ است‌ براي‌ مثال‌ در موضوعات‌ IT درمي‌يابيم‌ اكثر تجار در مورد امنيت‌ اينترنت‌ نگران‌ هستند. اين‌ مقاله‌ سري‌ سازي‌ راتوضيح‌ مي‌دهد كه‌ بيشتر نياز به‌ امنيت‌ دارد. و اين‌ مقاله‌ همچنين‌ بر خصوصي‌سازي‌ ارتباطات‌ و حملات‌ وارده‌ در اينترنت‌ گزارش‌ مي‌دهد

تصوير 1ـ1: رشد و پيشرفت‌ اينترنت‌(NW Com98)

        علي‌ رغم‌ ترس‌ از اين‌ نوع‌ ايمني‌ها، سازمانها بطور فزاينده‌ به‌ اينترنت‌ به‌عنوان‌ بخش‌ مهمي‌ از طرح‌ ريزي‌ استراتژيك‌ خود توجه‌ دارند. مسائل‌ مربوط‌ به‌ايمني‌ باعث‌ جلوگيري‌ سازمانها از كشف‌ فرصت‌هاي‌ تجاري‌ كه‌ توسط‌ اينترنت‌پيشنهاد شده‌ است‌ نمي‌گردد. در نتيجه‌ سازمانها بايستي‌ روشهايي‌ را بيابند تابتوانند موضوعات‌ ايمني‌ را كنترل‌ نمايند. اين‌ نوع‌ پيشرفت‌ و رشد بازار ايمني‌اينترنت‌ مستقيماً به‌ پيشرفت‌ اينترنت‌ مربوط‌ ميشود

نرخ‌ تركيبي‌ رشد و پيشرفت‌ سالانه‌ (CAGR) بازار firewall اينترنت‌ بين‌ سالهاي‌1995 و 2000 حدوداً 174% طرح‌ ريزي‌ شده‌ است‌ [IDC 96] و اين‌ نرخ‌ سريع‌ رشدتوسط‌ اينترنت‌ و انترانت‌ هر دو ايجاد شده‌ است‌.

        با فرض‌ بر يك‌ نرخ‌ تقريبي‌ 40% پانصد شركت‌ موفقي‌ كه‌ از اينترنت‌ استفاده‌كرده‌اند هنوز نصب‌ firewall ادامه‌ داشته‌ و استفاده‌ از اينترنت‌ سالانه‌ دو برابر شده‌است‌ اما جاي‌ تعجب‌ است‌ كه‌ بگوييم‌ كه‌ امنيت‌ تجارت‌ و حسابرسي‌ آن‌ دستخوش‌تغيير شده‌ است‌. سازمانها دريافته‌اند كه‌ آنها مهارت‌ و دانش‌ لازم‌ را جهت‌ ارزيابي‌تمامي‌ موقعيت‌هاي‌ فعلي‌ يا خطرات‌ پتانسيل‌ دارا نمي‌باشند و در مورد سطح‌ ايمني‌مورد نياز ترديد دارند. بخش‌هاي‌ بعدي‌ اين‌ فصل‌ در مورد اين‌ مطلب‌ تحقيق‌ مي‌كندكه‌ واژة‌ ايمني‌ شبكه‌ چه‌ معنايي‌ دارد و اغلب‌ نقطة‌ آغازين‌ اين‌ تحقيقات‌ زماني‌ است‌كه‌ سازمانها براي‌ مشاوره‌ خارجي‌ فراخوانده‌ ميشوند.

1ـ1 ايمني‌ اينترنت‌ چيست‌؟!

        سخت‌ افزار- نرم‌ افزار و اطلاعاتي‌ كه‌ سيستم‌ كامپيوتري‌ را ايجاد مي‌كندمسايل‌ فزاينده‌ و مهم‌ هيئت‌هاي‌ كامپيوتري‌ ميباشد.

حمايت‌ از اين‌ سازمانها به‌ اندازة‌ حمايت‌ از ساير منابع‌ ارزشمند حايز اهميت‌ميباشد مثل‌ پول‌ - ساختمان‌ يا كارمندان‌ - هدف‌ از ايمني‌ كامپيوتر حمايت‌ از منابع‌كامپيوتري‌ از طريق‌ انتخاب‌ و كاربردهاي‌ ايمني‌ مناسب‌ است‌.

        ايمني‌ اينترنت‌ از محافظت‌ منابع‌ كامپيوتر در برابر خطرات‌ و تهديدهايي‌ كه‌در نتيجة‌ اتصال‌ به‌ اينترنت‌ ميباشد ايجاد ميشود.

        ايمني‌ كامپيوتر هيئت‌هاي‌ سازمان‌ را حمايت‌ مي‌كند تا بتوانند منابع‌ مالي‌ وفيزيكي‌ - مهارت‌ - موقعيت‌ قانوني‌ - كارمندان‌ و ساير دارايي‌هاي‌ مجسوس‌ ونامحسوس‌ را حفظ‌ نمايند.

        اگر سيستمي‌ داراي‌ كاربران‌ خارجي‌ باشد پس‌ مالكان‌ و صاحبان‌ آن‌ سيستم‌مسئول‌ اين‌ هستند كه‌ از دانش‌ و مهارت‌ خود در مورد ايجاد ايمني‌ حدود كلي‌اندازه‌گيري‌ ايمني‌ به‌ گونه‌اي‌ استفاده‌ كنند كه‌ ساير منابع‌ سيستمي‌ كه‌ داراي‌ ايمني‌مناسب‌ است‌ را تأييد و تصديق‌ نمايد.

        علاوه‌ بر به‌ كارگيري‌ اطلاعات‌ در مورد ايمني‌، مديران‌ سازمانها بايد درحالتي‌ هماهنگ‌ - سروقت‌ براي‌ جلوگيري‌ و پاسخ‌ به‌ ساير ايمني‌ها جهت‌ كمك‌ به‌جلوگيري‌ از وارد آمدن‌ آسيب‌ و خسارت‌ به‌ بخشهاي‌ ديگر عمل‌ نمايند.

        كامپيوترها و محيطهايي‌ كه‌ در آن‌ عمل‌ مي‌كنند كاملاً ديناميك‌ هستند.تغييرات‌ موجود در سيستم‌ يا محيط‌ها مي‌توانند آسيب‌ پذيري‌هاي‌ جديد ايجاد كنندو اين‌ مسئله‌ كه‌ كاربران‌ سيستم‌ و متصديان‌، روشها و راههاي‌ جديد را براي‌ايمني‌ها به‌ صورت‌ عمدي‌ يا غير عمدي‌ كشف‌ نموده‌اند هنوز روشن‌ نگرديده‌ است‌.پس‌ از اينرو لازم‌ است‌ كه‌ ايمني‌ سيستم‌هاي‌ كامپيوتري‌ را بطور منظم‌ براي‌ ايجادايمني‌ كامپيوتري‌ مؤثر دوباره‌ ارزيابي‌ كنيم‌.

        - ايمني‌هاي‌ مؤثر كامپيوتر نيازمند يك‌ رويكرد جامعي‌ است‌ كه‌ بتواندمحدوده‌هاي‌ موجود داخل‌ و خارج‌ حوزة‌ ايمني‌ كامپيوتر را ايجاد نمايد و كل‌ سيكل‌اطلاعات‌ را وسعت‌ دهد.

        وقتي‌ يك‌ شبكه‌ مطمئن‌ به‌ يك‌ شبكه‌ نامطمئن‌ وصل‌ مي‌شود سه‌ محدودة‌ كلي‌مورد توجه‌ ايجاد مي‌شود.

1ـ مطالب‌ نامناسب‌ به‌ طور عمدي‌ و غير عمدي‌ به‌ شبكه‌ يا از شبكة‌ نامطمئن‌ منتقل‌ميشود.

2ـ كاربران‌ غير مجاز مي‌توانند به‌ شبكه‌هاي‌ مطمئن‌ از طريق‌ شبكه‌هاي‌ نامطمئن‌دست‌ بيابند.

3ـ عمليات‌ شبكه‌هاي‌ مطمئن‌ در نتيجه‌ حملات‌ ايجاد شده‌ از سوي‌ شبكه‌هاي‌نامطمئن‌ شايد متوقف‌ شود.

اندازه‌گيريها و سنجش‌هاي‌ ايمني‌ شبكه‌ و كامپيوتر كه‌ توسط‌ سازمان‌ انجام‌ شده‌است‌ پتانسيل‌هايي‌ را از طريق‌ چهار عنصر اصلي‌ كه‌ ايمني‌ شبكه‌هاي‌ كامپيوتري‌ايجاد مي‌كند تقليل‌ ميدهد اين‌ چهار عنصر عبارتند از:

1ـ تعيين‌ هويت‌ و تصديق‌ درستي‌

2ـ كنترل‌ دستيابي‌

3ـ اعتبار داده‌ها

4ـ اعتبار دهي‌

1ـ1ـ1 تعيين‌ هويت‌ و تصديق‌ درستي‌:

        اولين‌ عنصر ايمني‌ كامپيوتري‌ تصديق‌ درستي‌ يا حصول‌ اطمينان‌ از اين‌مطلب‌ است‌ كه‌ كاربران‌ و كامپيوترها گواهي‌ هويت‌ را تصديق‌ مي‌كنند. اين‌ مسئله‌معمولاً بر اساس‌ يك‌ چيز - يا تركيبي‌ از چند چيز: (يك‌ بيومتريك‌ مثل‌ مشخصات‌يك‌ الگوي‌ صوتي‌ ؛ دست‌ خط‌ يا اثر انگشت‌) يا مطالبي‌ كه‌ مي‌دانيد (يك‌ راز مثل‌ يك‌كلمة‌ رمز - شماره‌ شناسايي‌ فرد (PIN)، يا يك‌ كليد رمزي‌) يا چيزي‌ كه‌ شما داريد(يك‌ ژتون‌ مثل‌ كارت‌ اعتباري‌ يا كارت‌ هوشمند) مي‌باشد.

        براي‌ مثال‌ آشنايي‌ها هويت‌ شما را بر اساس‌ ويژگيهاي‌ شما معتبر ميسازد.بانكها شما را براساس‌ چيزي‌ كه‌ داريد مثل‌ كارت‌ اعتباري‌ و چيزي‌ كه‌ مي‌دانيد مثل‌اسم‌ مادرتان‌ معتبر مي‌سازد. يك‌ اسم‌ رمز يك‌ زمانه‌ اسم‌ رمزي‌ است‌ كه‌ تنها يكباراستفاده‌ ميشود و سپس‌ خارج‌ ميشود و عمدتاً بر اساس‌ چيزي‌ كه‌ داريد مي‌باشد.يك‌ نمونه‌ از اين‌ نوع‌ قانوني‌ كردن‌ پدهاي‌ يك‌ زمانه‌ توسط‌ خدمات‌ هوشمند طي‌جنگ‌ جهاني‌ دوم‌ به‌ كار ميرفت‌.

        فقدان‌ مجاز سازي‌ و قانوني‌ كردن‌ مستحكم‌ مانع‌ پيشرفت‌ و توسعه‌ تجارت‌الكترونيكي‌ مي‌شود. مجاز سازي‌ و قانوني‌ كردن‌ معتبر خود شرايط‌ مهمي‌ است‌، اگر اينترنت‌ براي‌ تجارت‌ الكترونيك‌ بكار رود. (Ranu 95b)

        مجاز سازي‌ و قانوني‌ كردن‌ بخش‌ مهمي‌ از زندگي‌ روزمره‌ است‌. نامه‌ها درسرفصل‌ چاپ‌ و توسط‌ فرد مجاز امضاء مي‌گردد. امضاءهاي‌ ديجيتالي‌ شرايط‌مشابه‌ را تكميل‌ مي‌كند اگر چه‌ زماني‌ كه‌ بر اساس‌ الگوريتمهاي‌ سري‌ سازي‌رياضي‌ باشد بيشتر ارزش‌ مي‌يابد همچنانكه‌ محتواي‌ پيام‌ و نيز مقام‌ امضاء كننده‌حايز اهميت‌ است‌. امضاهاي‌ ديجيتالي‌ بر اساس‌ كليد سري‌ سازي‌هستند.Whitfield  و Martin Hellman به‌ منظور حل‌ مشكلات‌ مديريت‌داده‌پردازي‌ كه‌ با كليد رمز يا سري‌سازي‌ متقارن‌ است‌ مفهوم‌ كليد عمومي‌رمزگذاري‌ را در سال‌ 1976 معرفي‌ كردند. سري‌ نگاري‌ غير متقارن‌ زوجهاي‌ كليدي‌را به‌ كار ميبرد. يكي‌ از كليدهاي‌ زوج‌ كليدي‌، كليد عمومي‌ و ديگري‌ كليد خصوصي‌ناميده‌ ميشود. هر دو كليد را مي‌توان‌ براي‌ سري‌ كردن‌ پيام‌ بكار برد. اما پيام‌ فقط‌وقتي‌ رمزگذاري‌ مي‌شود كه‌ كليد ديگر بتواند براي‌ رمزگشايي‌ آن‌ بكار برده‌ شود.آنچه‌ مسلم‌ است‌ اين‌ است‌ كه‌ هر دو سناريو امكان‌ پذير ميباشد، يكي‌ از آنها وقتي‌استفاده‌ ميشود كه‌ كليد خصوصي‌ براي‌ سري‌ سازي‌ پيام‌ به‌ كار ميرود و از اينروكليد عمومي‌ براي‌ رمزگشايي‌ آن‌ به‌ كار ميرود و بر عكس‌. از طريق‌ سري‌سازي‌ پيام‌با استفاده‌ از كليد عمومي‌ دريافت‌ كننده‌، ارسال‌ كننده‌ در مي‌يابد كه‌ تنها دريافت‌كننده‌  مي‌تواند آنرا با اطمينان‌ رمزگشائي‌ كند. براي‌ اينكه‌ ارسال‌ كننده‌ پيامي‌ رابصورت‌ ديجيتالي‌ علامت‌ بزند، پيامها را از طريق‌ دستكاري‌ الگوريتم‌ براي‌ اينكه‌آنرا ديجيتالي‌ نمايد ايجاد مي‌كند و سپس‌ پيام‌ را با كليد خصوصي‌ خود رمز گذاري‌مي‌كند. خروجي‌ امضايي‌ ديجيتالي‌ ناميده‌ ميشود و به‌ پيام‌ متصل‌ است‌ و با پيام‌ارسال‌ ميشود. براي‌ اينكه‌ دريافت‌ كننده‌ علامت‌ را تغيير دهد پيام‌ را از همان‌الگوريتم‌ دست‌ كاري‌ براي‌ ايجاد مجدد پيام‌ ديجيتالي‌ ارسال‌ مي‌كند و سپس‌ امضاءديجيتالي‌ ارسال‌ كننده‌ را با استفاده‌ از كليد عمومي‌ ارسال‌ كننده‌ رمزگشايي‌ مي‌كند.اگر پيام‌ از فرستنده‌ دريافت‌ نشود ويا اگر محتوي‌ آن‌ تغيير كند در نتيجه‌ پيامهاي‌ارسالي‌ انطباق‌ نخواهد داشت‌. بر طبق‌ شرايط‌ عادي‌ كليد خصوصي‌ توسط‌ فردمحفوظ‌ باقي‌ ميماند اما كليد عمومي‌ در صورت‌ لزوم‌ توزيع‌ ميشود. نيازي‌ به‌ اين‌نيست‌ كه‌ فرستنده‌ و گيرنده‌ كليد سري‌ مشترك‌ داشته‌ باشند. هر چند كنترل‌ كليدسري‌ سازي‌ غيرمتقارن‌ هنوز نياز به‌ كليدهاي‌ عمومي‌ دارد كه‌ در حالتي‌ مجاز شده‌ويا حالتي‌ ارزشمند توزيع‌ شده‌ باشد.

        يكي‌ از ابزار نيل‌ به‌ اين‌ شرايط‌ نرمال‌ به‌ كارگيري‌ يك‌ مقام‌ معتبر است‌. اهميت‌اين‌ مقام‌ معتبر اين‌ است‌ كه‌ مورد قبول‌ گروههاي‌ كاربري‌ است‌ كه‌ از سوي‌ خودگواهي‌ را ايجاد مي‌كنند. مقام‌ معتبر از طريق‌ امضاء ديجيتالي‌ كليد عمومي‌ كاربر راتغيير مي‌دهد. اين‌ امر موجب‌ ميشود تا كليد عمومي‌ معتبر كه‌ با گواهي‌ به‌ آن‌ اشاره‌شده‌ است‌ ايجاد گردد. امضاء ديجيتالي‌ مقام‌ معتبر نشان‌ مي‌دهد كه‌ كليد عمومي‌معتبر ميباشد و اينرا تضمين‌ مي‌كند به‌ هيچ‌ عنوان‌ قابل‌ تغيير نخواهد بود.

        يك‌ چنين‌ مقام‌ معتبري‌ فردي‌ است‌ كه‌ زوجهاي‌ كليدي‌ را صادر كرده‌ و دراواخر آپريل‌ سال‌ 1996 آنرا گواهي‌ و تصديق‌ كرده‌ و واژة‌ Digital ID را نشان‌تجاري‌ نموده‌ است‌.عمليات‌ آگاهي‌ در مورد ايمني‌، جهت‌ استفاده‌ از گواهي‌ها وابزارهاي‌ ايمني‌ اي‌-ميل‌ و دستبرد زننده‌هاي‌ به‌ كامپيوتر براي‌ شبكة‌ گستردة‌جهاني‌ (World Wide Web)    در حال‌ حاضر موجود ميباشد.

وقتي‌ جزئيات‌ تأييد شده‌ در نرم‌افزار مشتري‌ نصب‌ ميشود اين‌ جزئيات‌ بطورخودكار به‌ در خواست‌ مشتري‌ ارائه‌ ميشود و به‌ خدمات‌رسان‌ امكان‌ اين‌ را مي‌دهدكه‌ شما را مجاز نمايد.

تعيين‌ هويت‌ و تصديق‌ درستي‌ يك‌ بلوك‌ مهم‌ ساختماني‌ كامپيوتر است‌ زيرا براي‌اغلب‌ انواع‌ كنترل‌ دستيابي‌ يك‌ مبنا و اصل‌ مي‌باشد و نيز براي‌ قابليت‌ حسابرسي‌كاربر مهم‌ ميباشد.

2-1-1 كنترل‌ دستيابي‌

        دستيابي‌، توانايي‌ انجام‌ كاري‌ با يك‌ منبع‌ كامپيوتري‌ است‌ (براي‌ مثال‌استفاده‌ - تغيير و يا بررسي‌). كنترلهاي‌ دستيابي‌ ابزاري‌ است‌ كه‌ توسط‌ آن‌توانايي‌ها بيشتر و يا در بعضي‌ از جهات‌ محدود ميشود (اين‌ كار معمولاً از طريق‌كنترلهاي‌ فيزيكي‌ يا كنترلهاي‌ برمبناي‌ سيستم‌ انجام‌ ميشود).

        كنترل‌ دستيابي‌ اغلب‌ نياز به‌ اين‌ دارد كه‌ بعضي‌ از سيستم‌ها بتوانند كاربران‌را از هم‌جدا و متمايز نمايد. براي‌ مثال‌، كنترل‌ دستيابي‌ اغلب‌ براساس‌ حداقل‌ امتيازكه‌ اشاره‌ بر دستيابي‌ كاربر براي‌ اجرا و انجام‌ وظايف‌ خود دارد، مي‌باشد. قابليت‌حسابرسي‌ كاربر نيازمند ارتباط‌ فعاليت‌ها در يك‌ سيستم‌ كامپيوتري‌ براي‌ افرادخاص‌ است‌ و از اينرو نياز به‌ سيستم‌هايي‌ براي‌ تعيين‌ هويت‌ كاربران‌ دارد.

        كنترلهاي‌ دستيابي‌ ابزار فني‌ كنترل‌ اطلاعاتي‌ كه‌ كاربر ميتواند بكار ببرد ونيز برنامه‌هايي‌ كه‌ ميتوان‌ به‌ جريان‌ انداخت‌ و بازيابي‌ها واصلاحاتي‌ كه‌ ميتوان‌انجام‌ داد را ارائه‌ داده‌ است‌.

        كامپيوتر بر مبناي‌ كنترلهاي‌ دستيابي‌، كنترلهاي‌ دستيابي‌ منطقي‌ ناميده‌ميشود. كنترلهاي‌ دستيابي‌ منطقي‌ نه‌ تنها ايزا تجويز مي‌كند كه‌ چه‌ كسي‌ يا چه‌چيزي‌ ميتواند به‌ يك‌ منبع‌ سيستم‌ خاص‌ دست‌ بيابد بلكه‌ نوع‌ دستيابي‌ را نيز مجازمي‌كند. اين‌ كنترلها در سيستم‌ اجرائي‌ ساخته‌ و ايجاد ميشود و با برنامه‌هاي‌كامپيوتري‌ يا كاربردهاي‌ اصلي‌ منطبق‌ ميگردد (مثل‌ سيستم‌هاي‌ مديريت‌ پايگاه‌داده‌ها يا سيستم‌ هاي‌ ارتباطي‌) يا ممكن‌ است‌ از طريق‌ اضافه‌ كردن‌ به‌ بسته‌هاي‌ايمني‌ باشد. كنترلهاي‌ دستيابي‌ منطقي‌ به‌ طور داخلي‌ در سيستم‌ كامپيوتري‌ كه‌حفاظت‌ شده‌ يا در ابزارهاي‌ خارجي‌ اجرا و پياده‌سازي‌  شده‌ انجام‌ ميشود.

كنترلهاي‌ دستيابي‌ منطقي‌ كمك مي‌كنند به‌ حفاظت‌ از :

·  اجراي‌ سيستم‌ها و ساير سيستم‌هاي‌ نرم‌افزار از اصلاح‌ و بازيابي‌ مجاز نشده‌ ياعمليات‌ گرداني‌ (و به‌ تضمين‌ تلفيق‌ سيستم‌ها و موجوديت‌ آنها)

·  تلفيق‌ اطلاعات‌ و موجوديت‌ آنها از طريق‌ محدود نمودن‌ تعداد كاربران‌ وپروسه‌ها با قابليت‌ دستيابي‌

·  اطلاعات‌ معتبر از افراد غيرمجاز

مفهوم‌ الگوهاي‌ دستيابي‌ براي‌ كنترل‌ دستيابي‌ مهم‌ ميباشد. الگوهاي‌ دستيابي‌مشترك‌ كه‌ براي‌ اجراي‌ سيستم‌ها و كاربردهاي‌ سيستم‌ها به‌ كار ميرود شامل‌موارد زير است‌:

  ·خواندن‌

 · حذف‌ كردن‌

·  ايجاد كردن‌

·  اجرا نمودن‌

در تصميم‌گيري‌ براي‌ اينكه‌ آيا ميتوان‌ فرد را مجاز به‌ استفاده‌ از يك‌ منبع‌ سيستم‌نمود، كنترلهاي‌ دستيابي‌ منطقي‌ اين‌ را بررسي‌ مي‌كند كه‌ آيا كاربر براي‌ نوع‌دستيابي‌ مورد نياز براساس‌ معيار دستيابي‌ مجاز است‌ يا خير. اين‌ معيارهاعبارتنداز:

·  هويت‌  : بايد گفت‌ كه‌ اكثريت‌ كنترلهاي‌ دستيابي‌ براساس‌ ماهيت‌ كاربر است‌ (چه‌انسان‌ يا پروسه‌ها) ، كه‌ معمولاً از طريق‌ تصديق‌ درستي‌ و هويت‌ها تثبيت‌ مي‌شود.

·      نقش‌ها : دستيابي‌ به‌ اطلاعات‌ از طريق‌ كاركرد يا انتقال‌ شغلي‌ (براي‌ مثال‌ نقش‌)كاربري‌ كه‌ در سدد دستيابي‌ است‌ كنترل‌ ميشود. نمونه‌هاي‌ نقش‌ها شامل‌ متصدي‌داده‌ دهي‌ - كارمند خريد - رهبر (مدير) پروژه‌ و برنامه‌ريز ميشود. حقوق‌ دستيابي‌توسط‌ اسم‌ نقش‌ ، و كاربرد منابع‌ افراد مجاز براي‌ انجام‌ نقش‌ مربوطه‌، گروه‌بندي‌ميشود. يك‌ فرد شايد بتواند بيش‌ از يك‌ نقش‌ را اجرا كند؛ اما شايد مجاز به‌ عمل‌دريك‌ نقش‌ تكي‌ در يك‌ زمان‌ باشد، تغيير نقش‌ها نيازمند ثبت‌ يك‌ نقش‌ يا ورود يك‌نقش‌ جهت‌ تغيير فرمان‌ است‌.

به‌ كارگيري‌ نقش‌ها ابزار موثر ارائه‌ كنترل‌ دستيابي‌ ميباشد.

·  موقعيت‌ : دستيابي‌ به‌ منابع‌ سيستم‌ خاص‌ نيز براساس‌ موقعيت‌ فيزيكي‌ يا منطقي‌ميباشد براي‌ مثال‌ كاربران‌ براساس‌ نشاني‌هاي‌ شبكه‌ محدود ميشوند. (براي‌ مثال‌كاربران‌ از سايت‌هاي‌ مختلف‌ (در يك‌ سازمان‌ فرضي‌ مجاز به‌ دستيابي‌ هستند)

·  زمان‌ : محدوديت‌ زمان‌ يك‌ روز يا روزهاي‌ يك‌ هفته‌ حدود دستيابي‌ مشترك‌هستند براي‌ مثال‌ به‌ كارگيري‌ فايلهاي‌ پرسنل‌ معتبر تنها طي‌ ساعت‌هاي‌ كاري‌معتبري‌ مجاز مي‌باشد.

·  معاملات‌ : رويكرد ديگر كنترل‌ دستيابي‌ توسط‌ كنترل‌ معاملات‌ به‌ كار ميرود.مكالمات‌ تلفني‌ ابتدا توسط‌ كامپيوتري‌ پاسخ‌ داده‌ ميشود كه‌ كليد شماره‌ گيرنده‌ رابه‌ شماره‌ حساب‌ خود و شايد يك‌ PIN را درخواست‌ كرده‌ باشد. بعضي‌ از معاملات‌روزمره‌ مستقيماً انجام‌ ميشود اما بيشتر معاملات‌ پيچيده‌ نيازمند مداخلات‌ انساني‌است‌. در يك‌ چنين‌ نمونه‌هايي‌ ، كامپيوتري‌ كه‌ قبلاً شماره‌ حساب‌ را مي‌دانست‌ به‌كارمند داده‌ ميشود و دستيابي‌ به‌ حساب‌ خاص‌ را براي‌ مدت‌ معاملات‌ امكان‌پذيرمي‌كند.

        وقتي‌ دستيابي‌ كامل‌ شد، اجازة‌ دستيابي‌ به‌ پايان‌ ميرسد. اين‌ بدان‌ معنا است‌كه‌ كاربراني‌ كه‌ حق‌ انتخاب‌ و دستيابي‌ به‌ آن‌ حسابها را ندارند ميتوانند پتانسيلهايي‌را براي‌ آسيب‌ رساندن‌ كاهش‌ دهند. اين‌ امر نيز مانع‌ از دستيابي‌ كاربران‌ به‌ حسابهاو بازيابي‌ و اصلاح‌ قابليت‌ها ميشود.

·  حدود خدمات‌ : حدود خدمات‌ اشاره‌ بر محدوديت‌ها براساس‌ پارمترهايي‌ دارد كه‌طي‌ استفاده‌ از كاربردها ايجاد شده‌ و اين‌ حدود توسط‌ مدير منابع‌ از قبل‌ تثبيت‌ شده‌است‌. براي‌ مثال‌، يك‌ بسته‌ نرم‌افزاري‌ خاص‌ تنها توسط‌ سازمان‌ براي‌ 5 كاربرددريك‌ زمان‌ مجاز مي‌گردد. دستيابي‌ بايد براي‌ ششمين‌ كاربر منع‌ شود حتي‌ اگركاربر مجاز به‌ استفاده‌ از كاربردهاي‌ باشد.

        دستيابي‌ بطور انتخابي‌ براساس‌ نوع‌ خدمات‌ درخواستي‌ مجاز ميگردد. براي‌مثال‌ كاربر كامپيوتر در يك‌ شبكة‌ مجاز به‌ تغييرات‌ E-mail (پست‌ الكترونيكي‌)هستند و مجاز به‌ اين‌ نيستند كه‌ در ساير كامپيوترها ركوردگيري‌ نمايند.

·  كنترلهاي‌ دستيابي‌ خارجي‌ : كنترلهاي‌ دستيابي‌ خارجي‌ ابزار كنترل‌ بر همكش‌بين‌ سيستم‌ و مردم‌ خارجي‌ - سيستم‌ها و خدمات‌ هستند دستيابي‌ خارجي‌ متدهاي‌زيادي‌ را به‌ كار مي‌گيرد و اين‌ اغلب‌ شامل‌ Firewall ميشود كه‌ در بخشهاي‌ بعدي‌بحث‌ خواهد شد.

3ـ1ـ1ـ اعتبار داده‌ها:

        اعتبار داده‌ها درجه‌ و حدي‌ است‌ كه‌ به‌ واسط‌ آن‌ مي‌توان‌ تخريب‌ها را زايل‌كرد براي‌ مثال‌ از طريق‌ آن‌ مي‌توان‌ آسيب‌ها و خسارات‌ وارده‌ را حذف‌ كرد. علاوه‌بر اصلاح‌ و بازيابي‌ و اصلاح‌ معتبر، امضاءهاي‌ ديجيتالي‌ نيز سطح‌ اطمينان‌ را درپيامي‌ كه‌ قبلاً در اين‌ فصل‌ بحث‌ شد بازيابي‌ مي‌كند.

        هرچند اعتبار داده‌ها تنها براي‌ پيامها به‌ كار نمي‌رود، يكپارچگي‌ فايلها وكاربردها نيز خيلي‌ مهم‌ است‌. يكي‌ از متداول‌ترين‌ ابزار دستيابي‌ غيرمجاز به‌سيستم‌ كاپميوتري‌ نصب‌ كپي‌هاي‌ تغيير يافتة‌ برنامه‌هاي‌ سيستم‌ عامل‌ است‌ كه‌دستيابي‌ فرد يا برنامه‌ غير مجاز را زماني‌ ميسر ميسازد كه‌ برنامه‌ها اجرا شوند.

        آنچه‌ مهم‌ است‌ يكپارچگي‌ عناصر سيستم‌ عامل‌ است‌ كه‌ ميتواند تغير يابد.حمله‌ كننده‌ها خود اين‌ تغيير را به‌ خوبي‌ در مي‌يابند و نيز اين‌ را بيان‌ مي‌كنند كه‌چگونه‌ حمله‌ ميشود، حمله‌ كننده‌ كيست‌ و وقتي‌ مونيتورينگ‌ آغاز ميشود يكي‌ ازبرنامه‌ها حذف‌ و كپي‌ ساير فايل‌هايي‌ كه‌ با فايل‌ اصلي‌ جابه‌جا شده‌ مقايسه‌ ميشود.

        يكپارچگي‌ نرم‌افزار ضد ويروس‌ بايد به‌ طور منظم‌ اعتبار يابد. اغلب‌ بسته‌هادر بازار يك‌ اعتبار يكپارچگي‌ را اجرا مي‌كند. مسئله‌ و مشكل‌ اصلي‌ اين‌ است‌ كه‌نرم‌افزار به‌ گونه‌اي‌ طرح‌ ريزي‌ نشده‌ است‌ كه‌ كپي‌ از اصل‌ مشخص‌ شود. در يك‌چنين‌ مواردي‌ اعتبار يكپارچگي‌ بايد به‌ طور درست‌ و صحيح‌ انجام‌ شود.

        در بعضي‌ از موارد اعتبار فايلهاي‌ داده‌ها اغلب‌ با نرم‌افزار كاربردي‌ انجام‌مي‌شود. از آنجائيكه‌ نرم‌افزار كاربردي‌ كاربر را از تباهي‌ و خرابي‌ يك‌ فايل‌ مطلع‌نمي‌سازد. اما انيرا گزارش‌ نمي‌دهد كه‌ شركت‌ A از فهرست‌ شركتها براي‌ قرارداداصلي‌ برداشته‌ و حذف‌ شده‌ است‌. اين‌ نوع‌ يكپارچگي‌ بايد به‌ طور مستقل‌ تغيير يابد.

        هر دو پيام‌ ارسال‌ ميشود و امضاءهاي‌ ديجيتالي‌ اعتبار فايلها را در تمامي‌ اين‌موارد نشان‌ مي‌دهد. نكته‌ مهم‌ اين‌ است‌ كه‌ براي‌ ايجاد اعتبار به‌ تأئيد و درستي‌مستقل‌ نياز است‌.

4ـ1ـ1ـ اعتبار دهي‌

        اعتباردهي‌ نيز حدي‌ است‌ كه‌ با آن‌ خصوصي‌ بودن‌ يا پنهان‌ بودن‌ چيزي‌تأئيد ميشود قابليت‌ اعتبار اكثر مقالات‌ نيز تأئيد ميشود. اكثر پيامهايي‌ كه‌ دراينترنت‌ ارسال‌ ميشود حتي‌ اين‌ سطح‌ اعتبار را تأئيد نمي‌كند. نبودن‌ و فقدان‌ اعتباردر اينترنت‌ بر انتقال‌ فايل‌ها تأثير مي‌گذارد و به‌ همين‌ ترتيب‌ بر اطلاعاتي‌ كه‌ بين‌خدمات‌ رسانها و مشتريان‌ www مبادله‌ ميشود.

        كاربردهاي‌ www، و انتقال‌ فايل‌، و اي‌ ميل‌ براي‌ نيمي‌ از بايت‌هاي‌ ارسالي‌ درستون‌ فقرات‌ اينترنت‌ در سال‌ 1994 در نظر گرفته‌ شده‌ است‌. بدون‌ توجه‌ به‌ نوع‌داده‌ها اكثر ترافيكها بدون‌ در نظر گرفتن‌ قابليت‌ اعتبار ارسال‌ ميشوند.

        اصلاح‌ و بازيابي‌ چنين‌ موضوعاتي‌ در دست‌ اقدام‌ است‌ و در سال‌ 1996 اين‌عمل‌ انجام‌ شده‌ است‌. براي‌ مثال‌ دستبرد زننده‌هاي‌ به‌ كامپيوتر مي‌توانند ازگواهي‌ها استفاده‌ و از اين‌ رو معيار واستاندارد (PEM) و استانداردهاي‌(S/MIME) را به‌ كار گيرند.

فصل‌ دوم‌

تئوري‌ و عناصر ديوارآتشي‌

        وقتي‌ استراتژي‌ امنيت‌ و سياست‌ امنيت‌ شبكه‌ اجرا گرديد ابزار پياده‌سازي‌لازم‌ ميشود. واژه‌ Firewall براي‌ توصيف‌ تركيب‌ سخت‌ افزار، نرم‌افزار وفعاليت‌ه‌ايي‌ به‌ كار ميرود كه‌ براين‌ خط‌ مشي‌ و سياست‌ تأثير مي‌گذارد.

1ـ2ـ يك‌ Firewall اينترنت‌ چيست‌؟!

        firewall اينترنت‌ ابزار حفاظت‌ از شبكه‌ از طريق‌ اجراي‌ كنترل‌ دستيابي‌ به‌ واز اينترنت‌ ميباشد. عملاً اين‌ نوع‌ كنترلها از طريق‌ كنترل‌ ابزار ارتباطي‌ بين‌ دو شكبه‌،مجموعه‌ TCP/IP پروتوكلها بدست‌ مي‌آيد. wack 95 يك‌ Firewall را به‌ عنوان‌رويكردي‌ براي‌ امنيت‌ توصيف‌ مي‌كند. او از واژة‌ Firewall به‌ معناي‌ استراتژي‌ وخط‌ مشي‌ استفاده‌ مي‌كند و به‌ عقيده‌ وي‌ واژة‌ سيستم‌ Firewall اشاره‌ بر عناصرسخت‌افزار و نرم‌افزاري‌ دارد كه‌ اين‌ سياست‌ را اجرا مي‌كند.

        يك‌ سيستم‌ firewall مجموعه‌ عناصري‌ است‌ كه‌ بين‌ دو شبكه‌ قرار دارد وداراي‌ ويژگيهاي‌ زير است‌:

·  تمامي‌ ترافيكها از داخل‌ به‌ خارج‌ و بالعكس‌ بايستي‌ از طريق‌ آن‌ عبور كند.

·  تنها ترافيك‌ مجاز همانطور كه‌ توسط‌ سياست‌ امنيت‌ توصيف‌ شد مجاز به‌ عبوراز آن‌ هستند.

·  سيستم‌ به‌ تنهايي‌ براي‌ نفوذ امن‌ مي‌باشد.

        به‌ عبارت‌ ديگر يك‌ سيستم‌  firewall مكانيسمي‌ است‌ كه‌ براي‌ حفاظت‌ شبكه‌امن‌ به‌ كار ميرود حال‌ آنكه‌ به‌ يك‌ شبكة‌ تخريب‌ شده‌ متصل‌ ميشود دو شبكه‌اي‌ كه‌بررسي‌ شد يكي‌ شبكه‌ داخلي‌ سازمان‌ و ديگري‌ اينترنت‌ است‌.

        اما در توصيف‌  firewall بايد گفت‌  firewall مفهوم‌ را به‌ اينترنت‌ مرتبط‌مي‌كند گرچه‌ اكثر  firewallها بين‌ شبكه‌هاي‌ داخلي‌ و اينترنت‌ deploy مي‌شود وعلت‌ استفاده‌  firewall اين‌ است‌ كه‌ هريك‌ از شبكه‌هاي‌ معتبر را به‌ شبكه‌اي‌ كه‌ كمترمعتبر است‌ وصل‌ مي‌كند و شايد اين‌ شبكه‌ داخلي‌ و يا خارجي‌ باشد. دلايل‌ خوبي‌نيز وجود دارد كه‌ در فصل‌ 2ـ2 بحث‌ شده‌ و علت‌ استفاده‌ از  firewall را وقتي‌ هرشبكه‌ امن‌ به‌ يك‌ شبكه‌ غيرامن‌ داخلي‌ يا خارجي‌ متصل‌ مي‌شود مطرح‌  مي‌كند.

2ـ2ـ  firewall چه‌ كاري‌ را مي‌تواند انجام‌ دهد؟

        يك‌ فايروال‌ ميتواند سياست‌ امنيت‌ را تقويت‌ نمايد. فايروال‌ ابزاري‌ است‌ كه‌سياست‌ امنيت‌ دستيابي‌ به‌ شبكه‌ اجرا ميشود. خدمات‌ شبكه‌ مطمئن‌ را مي‌توان‌محدود كرد و دستيابي‌ به‌ يا از ميزبانهاي‌ خاص‌ بدين‌ وسيله‌ محدود ميشود.

يك‌ فايروال‌ به‌ طور مؤثر مي‌تواند فعاليت‌ها را تائيد و تصديق‌ نمايد.

        فايروال‌ از طريق‌ كنترل‌ و محدود نمودن‌ دستيابي‌ به‌ يا از سطح‌ توصيف‌ شده‌در سياست‌ امنيت‌ نمايش‌ شما را به‌ شبكة‌ توزيع‌ شده‌ محدود ميسازد و آنچه‌ را كه‌كاربر براي‌ اينترنت‌ به‌ كار مي‌برد را كنترل‌ مي‌نمايد.

        يك firewall بر روي‌ تصميمات‌ اتخاذ شده‌ در مورد امنيت‌ توجه‌ دارد. تمامي‌ترافيكها به‌ يا از اينترنت‌ از طريق‌ آن‌ بايد عبور كند. با توصيف‌ دفاع‌ ميتوان‌ امنيت‌هوايي‌ سيستم‌ داخلي‌ را كاهش‌ داد زيرا به‌ سازمان‌ها اين‌ امكان‌ را مي‌دهد تا در يك‌تعداد محدود ماشين‌ براي‌ امنيت‌ متمركز شوند.

3ـ2ـ چه‌ فعاليت‌ها و كارهايي‌ را  firewall نمي‌تواند انجام‌ دهد؟

        از آنجائيكه‌  firewall حمايت‌ و حفاظت‌ خوبي‌ را در سطح‌ پايين‌تر مدل‌ TCP/IP ايجاد مي‌كند. در برابر سطوح‌ بالاتر پروتوكل‌ نمي‌تواند اين‌ عمل‌ را انجام‌ دهد به‌اين‌ نكته‌ توجه‌ ميشود كه‌ هر داده‌اي‌ كه‌ از طريق‌  firewall عبور مي‌كند هنوزپتانسيلي‌ است‌ براي‌ مشكلات علي‌ و مهم‌ كه‌ به‌ عنوان‌ خدمات‌ و يا داده‌هايي‌ كه‌ به‌آنها حمله‌ شده‌ شناسايي‌ ميشود. يك‌  firewall در برابر ويروسهايي‌ كه‌ فايلها را ازطريق‌ انتقال‌ ftp يا اتصال‌ MIME به‌ پيام‌ اي‌ ميل‌ عفوني‌ مي‌كند محافظت‌ نمي‌شود.

        يك‌  firewall نمي‌تواند در برابر insiders Malicious حفاظت‌ شود. يك‌firewall نمي‌تواند بين‌ ميزبانها در همان‌ جهت‌ يك‌ شبكه‌ تميز ايجاد كند و از از اينروهر ميزبان‌ شبكه‌ ميزبان‌ شبكه‌ ديگر را spoofing و هر ميزبان‌ داخلي‌ مي‌تواند سايرميبزانهاي‌ داخلي‌ را spoof نمايد.

        يك‌ فايروال‌ نمي‌تواند در برابر ارتباطاتي‌ كه‌ از طريق‌ آن‌ عبور مي‌كندمحافظت‌ شود.  firewall دستيابي‌ به‌ تسهيلات‌ و كاربران‌ خاصي‌ را معدود مي‌كندكه‌ گاهي‌ مواقع‌  firewall را براي‌ دستيابي‌ به‌ اين‌ تسهيلات‌ پهلو گذر مي‌كند. يك‌ مثال‌خوب‌ در اين‌ رابطه‌  firewall (فايروالي‌) است‌ كه‌ امكان‌ دستيابي‌ به‌ www را ميسرنمي‌سازد. كاربران‌ اين‌ شبكه‌ها اتصالات‌ و ارتباطات‌ نقطه‌ به‌ نقطه‌ را با ارائه‌دهندگان‌ و تهيه‌ كنندگان‌ خدمات‌ اينترنت‌ از طريق‌ خط‌ تلفن‌ عادي‌ و معمولي‌ تثبيت‌مي‌سازند و اتصال‌ و ارتباط‌ اينترنت‌ را معرفي‌ مي‌كنند. اين‌ نوع‌ تمديدها توسط‌كنترل‌ روشهايي‌ مشخص‌ مي‌گردد كه‌ در سياست‌ امنيت‌ سازمان‌ به‌ آن‌ توجه‌ شده‌است‌.

يك‌  firewall به‌ طور كامل‌ در برابر تهديدهاي‌ جديد حمايت‌ و حفاظت‌ نميشود و اين‌زماني‌ است‌ كه‌ استراتژي‌ امنيت‌ با ساير استراتژيها متفاوت‌ باشد از طريق‌ چنين‌استراتژي‌ مي‌توان‌ سياست‌ امنيت‌ را بررسي‌ كرد.

4ـ2ـ عناصر Firewall

        عناصر Firewall اصلي‌ به‌ قرار زير است‌:

عناصري‌ كه‌ به‌ طور فعال‌ با ارتباط‌ بين‌ شبكه‌ توزيع‌ شده‌ و شبكه‌ امن‌ تداخل‌مي‌كنند. دو نوع‌ عنصر فعال‌ وجود دارد:

·  فيلتر بسته‌

·  دروازة‌ كاربردي‌

·عنصر كنترل‌ امنيت‌، كه‌ براي‌ اجراي‌ عناصر  firewall فعال‌ نياز است‌.

مهمترين‌ اهداف‌ دستيابي‌ به‌ سيستم‌هاي‌  firewall عبارتنداز:

·  كنترل‌ دستيابي‌ در سطوح‌ مختلف‌ (سطح‌ شبكه‌ - سطح‌ كاربر)

·  كنترل‌ در لاية‌ كاربردي‌

·  اجراي‌ حقوق‌ كاربر

·  جداسازي‌ خدمات‌ خاص‌

·  تحليل‌ log لگاريتم‌ و اثبات‌ پشتيبان‌

·  تسهيلات‌ اخطار (زنگ‌ آگهي‌)

·  پنهان‌ نمودن‌ ساختار شبكة‌ داخلي‌

·  ساختاري‌ كردن‌ شبكه‌، توصيف‌ امنيت‌

·  قابليت‌ اعتبار

·  مقاومت‌  fireattack حمله‌ آتش‌ در برابر حملات‌. احتمالات‌ بررسي‌ و تغيير آدرس‌شكبه‌ بايد وجود داشته‌ باشد.

        معماري‌ موردنظر يك‌ عنصر fiewall فعال‌ از اهداف‌ سيستم‌  firewallاستنتاج‌ مي‌گردد يك‌ پيشنهاد خوب‌ براي‌ معماري‌ عنصر firewall فعال‌ توسط‌N.pohlmann ارائه‌ شد. چنين‌ معماري‌ بايد داراي‌ ساختار مدولار باشد. مشخصات‌زير اين‌ معماري‌ را نشان‌ مي‌دهد.

        متأسفانه‌ تمامي‌ اهداف‌ از طريق‌ نتايج‌ حاصله‌ تحقق‌ نمي‌يابد و ما نياز به‌معيار انتخاب‌ نتايج‌  firewall هستيم‌. مهمترين‌ معيارهاي‌ انتخاب‌ عبارت‌ از:

·  امنيت‌ سكوي‌  firewall

·  ساده‌سازي‌ اجرا

·  مشخص‌ نمودن‌ خدمات‌ اينترنت‌ جهت‌ بالا بردن‌ پذيرش‌ها و قابليت‌ قبول‌

·  انتقال‌ نشاني‌

·  امنيت‌ خدمات‌ رسان‌

·  معتبر كردن‌ اين‌ معيارها براي‌ كاربران‌ خارجي‌

·  كاربرد سيستم‌هاي‌ سري‌سازي‌

·  تسهيلات‌ خبردهي‌ و اعلان‌

        ما بايد دريابيم‌ كه‌ چگونه‌ عناصر  firewall فعال‌ كار مي‌كنند و نقاط‌ ضعف‌ ونقاط‌ قوت‌ آن‌ براي‌ انتخاب‌  firewall درست‌ چيست‌.

1ـ4ـ2ـ فيلتر بسته‌

        يك‌ فيلتر بسته‌ يك‌ مكانيسم‌ امنيت‌ شبكه‌ ميباشد كه‌ باكنترل‌ داده‌هايي‌ است‌كه‌ در حال‌ اجرا هستند و از يك‌ شبكه‌ كار مي‌كنند. اين‌ فيلترها در لاية‌ شبكه‌ و درپروتوكل‌ TCP/IP اجرا و پياده‌سازي‌ مي‌شوند. نوع‌ مسيري‌ كه‌ در  firewall بقيه‌بسته‌ به‌ كار رفته‌ است‌ screening router ناميده‌ مي‌شود. فيلتر (تصفيه‌) بسته‌ به‌شما اين‌ امكان‌ را مي‌دهد كه‌ انتقال‌ داده‌ها را براساس‌ زير انجام‌ دهيد.

·  نشاني‌ كه‌ داده‌ها از آن‌ قسمت‌ مي‌آيند.

·  نشاني‌ كه‌ داده‌ها به‌ از آن‌ قسمت‌ مي‌روند.

·  جلسات‌ و پروتوكلهاي‌ كاربردي‌ كه‌ براي‌ انتقال‌ دادها استفاده‌ ميشوند. مابين‌رله‌اي‌ مدار و فيلترهاي‌ بسته‌ تمييز و تشخيصي‌ را قايل‌ هستيم‌. رله‌هاي‌ مدار شكل‌خاصي‌ از فيلترهاي‌ بسته‌ هستند. آنها ارتباط‌ كامل‌ خدمات‌ را جهت‌ حفاظت‌ از آنهاتوصيف‌ مي‌كنند و اشاره‌ براين‌ مطلب‌ دارند كه‌ چه‌ كسي‌ مي‌تواند از آن‌ استفاده‌ كندو پارامترهايي‌ كه‌ شما بايد استفاده‌ كنيد چه‌ پارامترهايي‌ است‌ . فايدة‌ اصلي‌ اين‌است‌ كه‌ هر حمله‌اي‌ بعلت‌ محدوديت‌هاي‌ داخلي‌، احتمالات‌ كمي‌ براي‌ موفقيت‌ دارد.و بزرگترين‌ اشكال‌ اين‌ است‌ كه‌ آنها بر قابليت‌ها تأثير مي‌گذارند.

علاوه‌ بر اين‌ رله‌هاي‌ مدار در برابر كاربردها حمله‌ نمي‌كند.

براي‌ تحليل‌ بسته‌ اطلاعات‌ زير را بايد به‌ كار بست‌.

·  بايستي‌ ثابت‌ شود كه‌ واسطه‌ بسته‌ چگونه‌ رسيده‌ و دريافت‌ شده‌ است‌.

·  در لاية‌ شبكه‌ ما بايد نوع‌ پروتوكل‌ استفاده‌ شده‌ - منبع‌ و نشاني‌ مقصد را كنترل‌كنيم‌.

·  در لاية‌ انتقالي‌ ، بايد شماره‌ درب‌ مقصد، و منبع‌ كه‌ خدمات‌ را توصيف‌ مي‌كندكنترل‌ كنيم‌. اين‌ نوع‌ تصفيه‌ گاهي‌ مواقع‌ تصفيه‌ وابسته‌ به‌ خدمات‌ مي‌ناميم‌.

  اطلاعات‌ اضافي‌ بايد زماني‌ كنترل‌ شود كه‌ يك‌ بسته‌ طي‌ دوره‌ زماني‌ توصيف‌شده‌ ارسال‌ شود.

فيلترهاي‌ بسته‌ داراي‌ فوايد زير هستند.

·  آنها شفاف‌ و روشن‌ مي‌باشند.

·  به‌ سادگي‌ ميتوان‌ پروتوكلهاي‌ جديد و خدمات‌ جديد را بسط‌ و توسعه‌ داد.

·  داراي‌ پيچيدگي‌هاي‌ كمي‌ هستند از اينرو عملكردشان‌ بالا است‌.

·  screening rooter مي‌تواند كمك‌ به‌ حفاظت‌ كل‌ شبكه‌ نمايد.

·  تصفيه‌ بسته‌ نياز به‌ دانش‌ و آگاهي‌ كاربر ندارد.

·  تصفيه‌ بسته‌ در بسياري‌ از مسيريابها موجود است‌.

گرچه‌ تصفية‌ بسته‌ فوايد زيادي‌ دارد اما استفاده‌ از فيلتر بسته‌ نيز داراي‌ نقاط‌ضعفي‌ است‌:

·  ابزار تصفيه‌اي‌ كامل‌ نمي‌باشد.

·  بعضي‌ از پروتوكلها براي‌ تصفية‌ بسته‌ مناسب‌ نيست‌.

·  بعضي‌ از سياست‌ها و خط‌ مشي‌ها توسط‌ مسيرياب‌هاي‌ فيلتر بسته‌ تقويت‌نمي‌شوند.

اما اشكال‌ اصلي‌ اين‌ است‌ كه‌ داده‌هاي‌ بالاي‌ لايه‌ قابل‌ انتقال‌، تحليل‌ و تجزيه‌نمي‌شوند در نتيجه‌ براي‌ لايه‌ كاربردي‌ امنيتي‌ وجود ندارد. ساختار شبكه‌ امن‌ رانمي‌توان‌ مخفي‌ كرد ثبت‌ ارتباطات‌ تنها توسط‌ لايه‌ 4 امكان‌ پذير است‌.

        شما مي‌توانيد فيلترهاي‌ بسته‌اي‌ را به‌ كار ببريد كه‌ با مسيريابها سازگاري‌ وانطباق‌ دارد و يا آنها را به‌ عنوان‌ يك‌ عنصر  firewall اجرا و پياده‌سازي‌ كردمسيرياب‌ با تسهيلات‌ فيلتر بسته‌ عناصر  firewall ارزان‌ هستند و داراي‌ نقاط‌ضعف‌ ميباشند.

·  قابليت‌ كاراندازي‌ سيستم‌ محدود است‌ و اغلب‌ تعيين‌ مسيرياب‌ دشوار مي‌باشد

·  قوانين‌ تصفية‌ بسته‌ به‌ لحاظ‌ تست‌ دشوار است‌ از اينرو نمي‌توان‌ آنرا تست‌ نمود

·  اگر قوانين‌ تصفية‌ (filtering) پيچيده‌ لازم‌ و ضروري‌ باشد اين‌ قوانين‌ غيرقابل‌كنترل‌ مي‌گردد و هريك‌ از ميزبانها مستقيماً از اينترنت‌ قابل‌ دست‌ يافتن‌ هستند وبايستي‌ اندازه‌گيريهاي‌ اعتبار و درستي‌ را اجرا كرد.

        فيلترهاي‌ بسته‌اي‌ كه‌ عناصر  firewall را توصيف‌ و آشكار مي‌كنند داراي‌فوايد زير هستند

·  معيارهاي‌ طرح‌ ريزي‌ را براي‌ عناصر  firewall فعال‌ كامل‌ مي‌كنند.

·  بين‌ شرايط‌ ارتباط‌ و شرايط‌ امنيت‌ محدوديت‌ها را از بين‌ مي‌برد.

·  باعناصر امنيت‌ ميتوان‌ آنرا كنترل‌ كرد.

· اما نقاط‌ ضعف‌ و اشكالاتي‌ نيز وجود دارد:

·  يك‌ عنصر  firewall از نرم‌افزارهايي‌ كه‌ در مسيرياب‌ جديد شده‌اند گران‌ترهستند

·  موجوديت‌ خدمات‌ را براي‌ شبكة‌ ما كاهش‌ مي‌دهند.

فيلترهاي‌ بسته‌ با فهرست‌ كنترل‌ دست‌يابي‌ پيكره‌بندي‌ ميشوند. اين‌ فهرست‌ به‌ firewall مي‌گويد كه‌ چه‌ نشاني‌ IP در يك‌ منبع‌ مي‌تواند باشد و چه‌ نشاني‌ در مقصدوجود دارد. با تصفيه‌ و فيلترينگ‌ دريك‌ منبع‌ و مقصد ميتوان‌ مشترياني‌ كه‌به‌خدمات‌ رسانهاي‌ خاص‌ دستيابي‌ دارند را محدود نمود. از آنجائيكه‌ آنها مي‌توانندبه‌ تعداد دربهاي‌ TCP و UDP نگاه‌ كنند، ما مي‌توانيم‌ به‌ كاربردهاي‌ انفرادي‌ كه‌ دريك‌ خدمات‌ رسان‌ درحال‌ جريان‌ هستند دست‌ بيابيم‌.

        معمولاً فيلترهاي‌ بسته‌ براي‌ راه‌حلهاي‌ امنيتي‌ استفاده‌ ميشوند. اين‌ فيلترهابراي‌ شبكه‌هاي‌ كوچكتر با شرايط‌ امنيتي‌ كمتر به‌ كار ميروند از آنجائيكه‌نمي‌توانيم‌ از اينترنت‌ به‌ انترانت‌ دست‌ بيابيم‌، اين‌ نوع‌ عنصر  firewall حمايت‌ها وحفاظت‌هاي‌ اصلي‌ را پيشنهاد مي‌دهد. توصيف‌ هر كاربري‌ كه‌ مي‌تواند از انترانت‌ به‌اينترنت‌ دست‌ بيابد در يك‌ عنصر  firewall دست‌ نيافتني‌ وجود دارد. يك‌ راه‌ حل‌بهتر در بخش بعدي‌ با مفهوم‌ دروازة‌ كاربردي‌ اشاره‌ شده‌ است‌.

2ـ4ـ2ـ دروازه‌ كاربردي‌

        يك‌ دروازة‌ كاربردي‌ برنامه‌هاي‌ خدماتي‌ رساني‌ است‌ كه‌ در ميزبان‌  firewallاجرا ميشود. اين‌ برنامه‌ها موانع‌ امنيتي‌ بين‌ كاربر داخلي‌ و اينترنت‌ را ايجاد مي‌كندو زماني‌ لازم‌ است‌ كه‌ نياز شديد به‌ امنيت‌ داشته‌ باشيم‌. يك‌  firewall دروازه‌كاربردي‌ در لاية‌ كاربردي‌ عمل‌ مي‌كند و از اينرو مي‌توان‌ به‌ سطح‌ پروتوكل‌كاربردي‌ دست‌ يافت‌ و ذخيره‌ها و نيز ترافيك‌ را كنترل‌ كرد. با عمل‌ نمودن‌ در لايه‌كاربردي‌ مي‌توان‌ ارتباطات‌ - تنگاتنگي‌ را ايجاد نمود و تنها در شرايط‌ توصيف‌،ارتباطات‌ را ايجاد كرد.

        ما مي‌توانيم‌ از پروكسي‌ها براي‌ ايجاد يك‌ دروازة‌ كاربردي‌ استفاده‌ كنيم‌.خدمات‌ پروكسي‌ در اختيار كابران‌ گذشته‌ ميشود. خدمات‌ رسان‌ واقعي‌ از كاربرپنهان‌ ميشود يك‌ پروكسي‌ عنصر نرم‌افزاري‌ است‌ كه‌ نقش‌ مهمي‌ را براي‌ خدمات‌خاص‌ دارد. وقتي‌ خدمات‌ خاص‌ را قدغن‌ مي‌كنيم‌، بايستي‌ پروكسي‌ها را در دروازة‌كاربردي‌ متوقف‌ نمائيم‌.

        دو نوع‌ پروكسي‌ وجود دارد : 1ـ پروكسي‌ كاربردي‌ 2ـ پروكسي‌ ژنريك‌ كه‌پروكسي‌ مدار ناميده‌ ميشود. پروكسي‌ كاربردي‌ پروتوكل‌ كاربردي‌ را در مييابد واز اينرو براساس‌ عمليات‌ مورد تقاضا جلسات‌ را كنترل‌ مي‌كند.

        كاربردهاي‌ معمولي‌ به‌ عنوان‌ يك‌ پروكسي‌ بين‌ مشتري‌ و خدمات‌ رسان‌ عمل‌مي‌كند از آنجائيكه‌ تمامي‌ داده‌هاي‌ بين‌ مشتري‌ و خدمات‌ رسان‌ از طريق‌ پروكسي‌كاربردي‌ مسيريابي‌ ميشود مي‌توان‌ جلسات‌ و واقعه‌نگاري‌ را كنترل‌ كرد. اين‌ نوع‌توانايي‌ براي‌ كنترل‌ تمامي‌ ترافيكها يكي‌ از فوايد اصلي‌ دروازه‌هاي‌ كاربردي‌ است‌.

        پروكسي‌ سطح‌ مدار پروتوكلهاي‌ كاربردي‌ را تفسير نميكند اما قبل‌ از تثبيت‌مدار كاربر را تأييد مي‌كند. اين‌ پروكسي‌ها بسته‌ها را بين‌ دو نقطه‌ ارتباطي‌ معتبررله‌ مي‌كند اما نمي‌تواند براساس‌ پروتوكل‌ پردازش‌ اضافي‌ يا تصفيه‌ كند.

        فايدة‌ دروازدة‌ سطح‌ مدار اين‌ است‌ كه‌ خدمات‌ را براي‌ بخش‌ وسيعي‌ ازپروتوكلهاي‌ مختلف‌ ارائه‌ مي‌دهد هرچند نياز به‌ نرم‌ افزار مشتري‌ خاصي‌ است‌ كه‌داراي‌ سيستم‌ فراخواني‌ با امنيت‌ باشند. اين‌ مسئله‌ مشكلاتي‌ را توصيف‌ ميكندمبني‌ بر اينكه‌ ميزباني‌ كه‌ بر اساس‌ و مبناي‌ امنيت‌ است‌ به‌ خوبي‌ مقياس‌بندي‌ نشده‌است‌. با بالا رفتن‌ اندازه‌ شبكه‌ وظيفه‌ كنترل‌ مشتريان‌ دشوارتر مي‌شود.

        در پروكسي‌هاي‌ كاربردي‌ عمومي‌ از روشهاي‌ اصلاح‌ استفاده‌ مي‌شود ودروازه‌هاي‌ مدار از مشتريان‌ اصلاح‌ شده‌ استفاده‌ مي‌كنند.

دروازه‌هاي‌ كاربردي‌ نتايج‌ فوايد زير را پيشنهاد و ارائه‌ مي‌دهند.

·  decoupling خدمات‌ از طريق‌ پروكسي‌هايي‌ كه‌ امنيت‌ زيادي‌ را ايجاد مي‌كند

·  خدمات‌ خيلي‌ ساده‌ كنترل‌ مي‌شوند و مي‌توان‌ آنها را خاموش‌ يا روشن‌ كرد.

·  آنها خدمات‌ امنيتي‌ ديگري‌ را مثل‌ تسهيلات‌ سري‌ سازي‌ يا ساير تسهيلاتي‌ كه‌ به‌ما امكان‌ اينرا مي‌دهد تا امنيت‌ را ايجاد نمائيم‌ پيشنهاد مي‌كند.

·  تسهيلات‌ حسابرسي‌ ساده‌

·  سري‌ سازي‌ ساختار شبكه‌ داخلي‌ استفاده‌ از نشاني‌ شبكه‌

·  كنترل‌ الگوهاي‌ عملكردي‌

·  اجازه‌ مي‌دهيم‌ با كاربران‌ مستقيماً به‌ خدمات‌ اينترنت‌ دست‌ بيابند.

·  فايده‌ خوب‌ در ثبت‌ نگاري‌

        قابليت‌ انعطاف‌ پروكسي‌هاي‌ كاربردي‌ يكي‌ از نقاط‌ ضعف‌ دروازه‌هاي‌كاربردي‌ است‌ و از اينرو خدمات‌ جديد به‌ يك‌ پروكسي‌ جديد نياز دارند. پوركسي‌ژنريك‌ اين‌ مشكلات‌ را ندارد. درمورد كاربري‌ كه‌ خدمات‌ را جهت‌ يابي‌ مي‌كند ابتدابايستي‌ خود را قبل‌ از ارتباط‌ توصيف‌ كنيم‌.

        دروازه‌هاي‌ كاربردي‌ در ارتباط‌ با فيلترهاي‌ بسته‌گران‌ بوده‌ و عملكرد آن‌مناسب‌ نمي‌باشد.

3ـ4ـ2ـ عنصر كنترل‌ امنيت‌

        عنصر كنترل‌ امنيت‌ قوانيني  را براي‌ عناصر  firewall فعال‌ توصيف‌ مي‌كند وداده‌هاي‌ امنيتي‌ مربوط‌ را ارزيابي‌ مي‌نمايد. كامپيوتري‌ كه‌ درآن‌ عنصر كنترل‌امنيت‌ درحال‌ جريان‌ است‌ بايد برابر حملات‌ مقاوم‌ باشد. اين‌ نوع‌ امنيت‌ از منفعل‌كردن‌ و از كار انداختن‌ عنصر  firewall فعال‌ از طريق‌ عنصر كنترل‌ ايمني‌ موردحمل‌ قرار گرفته‌ حاصل‌ ميشود.

كنترل‌ امنيت‌ حداقل‌ با مكانيسم‌هاي‌ امنيت‌ زير انجام‌ مي‌شود:

·  تصديق‌ درستي‌ و اعتباردهي‌

·  تسهيلات‌ حسابرسي‌

·  سري‌ سازي‌ داده‌هاي‌ مربوطه‌

·  توزيع‌ وكنترل‌ وظايف‌

        اعتبار سياست‌ امنيت‌  firewall ما، در سياست‌ امنيت‌ شبكه‌ از طريق‌ كنترل‌امنيت‌ در سيستم‌ شبكه‌اي‌ انجام‌ مي‌شود.

5ـ2ـ نتايج‌ :

        يكپارچگي‌ و اعتبار سياست‌ امنيت‌  firewall مادر سياست‌ امنيت‌ شبكه‌بايستي‌ با اعتبار كنترل‌ امنيت‌ در يك‌ سيستم‌ شبكه‌اي‌ انجام‌ شود.

        معماري‌ مورد نظر يك‌ عنصر  firewall فعال‌ از اهداف‌ سيستم‌  firewallبدست‌ آمده‌ يك‌ پيشنهاد خوب‌ براي‌ معماري‌ عنصر  firewall فعال‌ در فصل‌ بعدي‌ارائه‌ مي‌شود. يك‌ چنين‌ معماري‌ داراي‌ ساختار مدولار است‌.

        فيلترهاي‌ بسته‌ ابزار مفيدي‌ است‌ و از اينرو و داراي‌ ايمني‌ است‌. اما درمقايسه‌ با دروازة‌ كاربردي‌ درجه‌ پايين‌تري‌ از امنيت‌ را پيشنهاد مي‌كنند. هرچقدرلايه‌ تحليل‌ شده‌ بالاتر باشد درجه‌ ايمني‌ بيشتر است‌. پيچيده‌گي‌ به‌ درجه‌ امنيت‌ وعملكرد عناصر  firewall مربوط‌ ميشود. معمولاً عناصر فيلترينگ‌ بسته‌ از عناصردروازة‌ كاربردي‌ ارزان‌تر است‌.

فصل‌ سوم‌

معماري‌  firewall

        تكنولوژي‌ فيلترينگ‌ بسته‌ كه‌ در مسيريابها بكار ميرود قابليت‌ و روش‌ كلي‌ رابراي‌ كنترل‌ ترافيك‌ شبكه‌ ايجاد مي‌كند. آنها داراي‌ فوايدي‌ هستند و فوايد آنها اين‌است‌ كه‌ نيازي‌ به‌ تغيير كاربردهاي‌ مشتري‌ يا ميزبان‌ نمي‌باشد زيرا در لايه‌هاي‌شبك‌ عمل‌ مي‌كنند. دروازه‌هاي‌ كاربردي‌ ترافيك‌ شبكه‌ و لايه‌هاي‌ كاربردي‌ راكنترل‌ مي‌كند و داراي‌ فوايدي‌ است‌ زيرا مي‌تواند پروتوكل‌ كاربردي‌ را اجرا كنند.

        firewallها براساس‌ كنترل‌ امنيت‌ مي‌توانند قابليت‌ شبكه‌ را بالا ببرند. براي‌بيان‌ اين‌ مطلب‌ چندين‌ معماري‌  firewall داخلي‌ استاندارد يا پيكربندي‌ ارائه‌مي‌شود.

1ـ3ـ معماري‌ ميزبان‌ دوگانه‌

        ساده‌ترين‌ معماري‌  firewall معماري‌ ميزبان‌ دوگانه‌ است‌. يك‌ مبزان‌ داخلي‌دوگانه‌ كامپيوتري‌ است‌ كه‌ اتصال‌ شبكه‌ را با دو شبكه‌ ديگر همانطور كه‌ در تصوير1ـ3 آمده‌ مجزا نموده‌ است‌. يك‌ چنين‌ ميبزاني‌ به‌ عنوان‌ مسيرياب‌ بين‌ دو شبكه‌ عمل‌مي‌كند هرچند اين‌ نوع‌ كاربرد مسيريابي‌ وقتي‌ ميزبانهاي‌ دوگانه‌ در معماري‌firewall به‌ كار مي‌رود ناتوان‌ ميشوند.

تصوير 1-3

        از آنجائيكه‌ كاركرد مسيريابي‌ ميزبان‌ را قادر نمي‌سازد تا دو شبكه‌ را از هم‌جدا سازد سيستم‌هاي‌ داخل‌ شبكه‌ با ميزبان‌ از طريق‌ رابط‌ شبكه‌ - و سيستم‌ها درشبكه‌ از طريق‌ شبكه‌هاي‌ ديگر مرتبط‌ مي‌شوند؛ هرچند سيستم‌ها مستقيماًنمي‌توانند به‌ يكديگر مرتبط‌ شوند، در معماري‌ ميزبان‌ تنها ميزبان‌ دوگانه‌ براي‌امنيت‌ شبكه‌ مهم‌ است‌. يك‌ چنين‌ ميزبانهايي‌ در كتاب‌  firewall تحت‌ عنوان‌Bastion Hosts شناخته‌ شده‌ است‌       يك‌ ميزبان‌ دوگانه‌ خدمات‌ را با پرركسي‌ كردن‌ آنها ارائه‌ مي‌دهد. وقتي‌پروكسي‌ها ميزبان‌ را موجود نمي‌يابند براي‌ ارائه‌ خدمات‌ بايد انتخابهاي‌ ديگري‌ راانجام‌ داد.

2ـ3ـ معماري‌ ميزبان‌

        در اين‌ نوع‌ معماري‌ همانطور كه‌ در تصوير 2ـ3 بيان‌ شده‌ است‌ امنيت‌ اوليه‌ ازطريق‌ تصفيه‌ و فيلترينگ‌ بسته‌ و ميزبانهاي‌ شبكه‌ داخلي‌ ايجاد ميشود كه‌كاربردهاي‌ مورد نياز را ارائه‌ مي‌دهند قوانين‌ فيلترنيك‌ بسته‌ مسيرياب‌ يك‌ چنين‌ميزبانهايي‌ را از اينترنت‌ پيكربندي‌ مي‌كند اتصال‌ به‌ شبكه‌ از طريق‌ يك‌ پروكسي‌كاربردي‌ در ميزبان‌ مسيريابي‌ ميشود و در بعضي‌ از موارد بسته‌ به‌ سياست‌ امنيت‌شبكه‌ اين‌ اتصال‌ امكان‌پذير ميشود.        stall 95 و siya 95 براين‌ مسئله‌ اشاره‌ دارد كه‌ معماري‌ ميزبان‌ لايه‌ ديگري‌ ازامنيت‌ را به‌ معماري‌ ميزبان‌ دوگانه‌ اضافه‌ مي‌كند. wack 95 به‌ اين‌ نكته‌ اشاره‌ داردكه‌ معماري‌ ميزبان‌ به‌ دليل‌ مسيريابيهايي‌ كه‌ امكان‌ عبور به‌ خدمات‌ خاص‌ را دراطراف‌ ميزبان‌ bustion مي‌دهد از امنيت‌ كمتري‌ برخوردار است‌. معماري‌ ميزبان‌در اولين‌ نگاه‌ در مقايسه‌ با معماري‌ مبزان‌ دوگانه‌ از ايمني‌ كمتري‌ برخوردار است‌ اماعملاً از يك‌ نوع‌ ايمني‌ برخوردارند.

تصوير 2-3

3ـ3ـ معماري‌ زير شبكه‌

        با ميزبان‌ دوگانه‌ و معماري‌ ميزبان‌ با شبكه‌ معتبر و امن‌ مي‌شود و اين‌ زماني‌است‌ كه‌ ميزبان‌ bastion به‌ كار رود.

        تأثير ميزبان‌ bastion با جداسازي‌ آن‌ در شبكه‌ perimeter كاهش‌ مي‌يابد.ساده‌ترين‌ روش‌ ارائه‌ شبكه‌ perimeter اضافه‌ نمودن‌ يك‌ مسيرياب‌ اضاف‌ به‌معماري‌ ميزبان‌ است‌ اين‌ معماري‌ در تصوير 3ـ3 بيان‌ شده‌ است‌ و معماري‌ زيرشبكه‌اي‌ ناميده‌ مي‌شوند. ميزبان‌ bastion سپس‌ در شبكه‌ perimeter بين‌ دومسيرياب‌ قرار مي‌گيرد.

تصوير 3-3

   يك‌ حمله‌ كننده‌ حالا مي‌تواند به‌ شبكه‌ perimeter دست‌ بيابد. شبكه‌ امن‌ هنوزتوسط‌ مرناب‌ داخلي‌ محفاظت‌ ميشود. از آنجائيكه‌ حمله‌ كننده‌ مي‌تواند از نرم‌افزارsniffer بسته‌ در شبكه‌ استفاده‌ كند، نمي‌تواند كلمات‌ رمز را براي‌ شبكه‌ مورداطمينان‌ جمع‌آوري‌ كند مگر اينكه‌ از طريق‌ DMZ عبور كند.

4ـ3ـ نتايج‌ :

        راه‌ حل‌ درست‌ براي‌ ايجاد firewalls يك‌ تكنيك‌ تكي‌ است‌ و معمولاً با دقت‌تكنيكها براي‌ حل‌ مشكلات‌ مختلف‌ ارائه‌ ميشود مسايل‌ و مشكلات‌ زيادي‌ وجوددارد كه‌ بسته‌ به‌ خدماتي‌ كه‌ كاربر ارائه‌ مي‌دهد بايستي‌ حل‌ شود.

        بعضي‌ از پروتوكلها براي‌ مثال‌ Telnet و SMTP با فيلترينگ‌ بسته‌ به‌ طورمؤثركنترل‌ ميشوند. ساير پروتوكلها مثل‌ FTP و WWW با پروكسي‌ها كنترل‌ميشوند. اكثر پياده‌سازيهاي‌ firewall تركيبي‌ از فيلترينگ‌ بسته‌ و پروكسي‌ را به‌كار مي‌برند.

فصل‌ چهارم‌

حمله‌ به‌ عناصر firewall

1ـ4ـ انواع‌ حمله‌ به‌ عناصر firewall

        مقوله‌ اصلي‌ كه‌ خطرات‌ را براي‌ سيستم‌ ما ايجاد مي‌كند تغيير خدمات‌ شبكه‌ -كاهش‌ اعتماد و اعتبار - مفهوم‌ خطا و سوء استفاده‌ از اطلاعات‌ آزاد است‌. مهمترين‌حملاتي‌ كه‌ از طريق‌ مفهوم‌ خطا ايجاد ميشود عبارتنداز:

1-1-4- حملة‌  Ip spoofing

        شبيه‌سازي‌ نشاني‌ درست‌ و معتبر موجب‌ ميشود تا بدون‌ هيچگونه‌ مشگلي‌به‌ شبكه‌ داخلي‌ دست‌ بيابيم‌. معمولاً دروازه‌هاي‌ كاربردي‌ نمي‌توانند حفاظتي‌ راايجاد نمايند.

2-1-4- حملة‌ ICMP

        با استفاده‌ از بسته‌هاي‌ دو جهتي‌ مي‌توان‌ جداول‌ مسيريابي‌ را تغيير داد يكي‌از احتمالات‌ اجراي‌ غلط‌ خدمات‌ مي‌باشد. بسته‌هاي‌ ICMP توسط‌ فيلترهاي‌ بسته‌فيلتره‌ ميشوند.

3ـ1ـ4ـ حمله‌ به‌ مسيريابي‌ اينترنت‌

        اين‌ بدان‌ معنا است‌ كه‌ منبع‌ بسته‌هايي‌ كه‌ مسير را مشخص‌ مي‌كنند بايد تامقصد ادامه‌ يابد. در اينجا دو منبع‌ وجود دارد. منبع‌ معتبر - منبع‌ بدون‌ اعتبار. منبع‌معتبر مسيريابي‌ به‌ شما فهرست‌ مسيرهايي‌ را مي‌دهد كه‌ بسته‌ بايد دنبال‌ كند. منبع‌بدون‌ اعتبار از طريق‌ ساير مسيرها بين‌ مسير منبع‌ در بسته‌ اجرا ميشود. با ارزيابي‌اطلاعات‌ مسيريابي‌ منبع‌ حمله‌ كننده‌ مي‌تواند مطالبي‌ را در مورد شبكة‌ داخلي‌دريابد. ما مي‌توانيم‌ تنها با مسيريابي‌ استاتيك‌ از اين‌ منابع‌ دفاع‌ كنيم‌. مسيريابي‌ديناميك‌ را بايد خاموش‌ كنيد.

4ـ1ـ4ـ سيل‌ نشانكهاي‌ Tcp SYN

        سيل‌ نشانكهاي‌ Tcp syn ابزاري‌ است‌ كه‌ تنها بخشي‌ از حملات‌ را با تمركزكاملاً متفاوت‌ اجرا مي‌كند. سيل‌ نشانكهاي‌ Tcp SYN موجب‌ ميشود تا خدمات‌رسان‌ به‌ اتصالات‌ جديد با مشتريان‌ پاسخ‌ دهد. حملات‌ خدمات‌ مانع‌ از اين‌ مي‌شودكه‌ از سيستم‌هاي‌ مفيد يا شبكه‌ها بتوانيم‌ استفاده‌ كنيم‌. اين‌ حملات‌ معمولاً از طريق‌بارگيري‌ پيش‌ از حد پردازش‌ مي‌شوند. ارسال‌ بسته‌هايي‌ كه‌ مي‌تواند اتصال‌ به‌اينترنت‌ را ايجاد نمايد نمونه‌ نمونه‌اي‌ است‌ كه‌ در اينجا به‌ آن‌ اشاره‌ شده‌ سيل‌نشانكها براي‌ دروازة‌ كاربردي‌ و فيلترهاي‌ بسته‌ خطرناك‌ است‌.

5ـ1ـ4ـ حملة‌ shooping يا sniffing

        shiffing حمله‌اي‌ است‌ خصوصي‌ و حمله‌ كننده‌ ترافيك‌ شبكه‌ را مشاهده‌ اماآنرا تخريب‌ نمي‌سازد.

6ـ1ـ4ـhijacking

        حمله‌اي‌ است‌ فعال‌ كه‌ توسط‌ حمله‌ كننده‌ ايجاد ميشود. حملة‌ Iphijackingsبعداز اينكه‌ پروسه‌ اعتباراسزي‌ اجرا شد ظاهر ميشود و به‌ حمله‌ كننده‌ اجازه‌مي‌دهد تا نقش‌ كاربر معتبر در يابد. حفاظت‌ اوليه‌ در برابر Iphijack به‌ سري‌ سازي‌در لايه‌ شبكه‌ پاسخ‌ مي‌دهد.

7ـ1ـ4ـ Trogan horse

        Trogan horse نرم‌افزاري‌ است‌ كه‌ به‌ طور عادي‌ ظاهر ميشود و شامل‌برنامة‌ حمله‌ ميشود.

8ـ1ـ4ـ حملة‌ داده‌ راندني‌

        نوعي‌ حمله‌ است‌ كه‌ توسط‌ كاربر رمزبندي‌ ميشود و حمله‌ در اين‌ رابطه‌ اجرامي‌شود زيرا از طريق‌ firewall به‌ شكل‌ داده‌ها يا در برابر سيستمي‌ كه‌ در پشت‌firewall است‌ وارد ميشود و عمل‌ مي‌كند.

9ـ1ـ4ـ ويروس‌

        برنامه‌اي‌ است‌ كه‌ فايل‌ كامپيوتري‌ را عفوني‌ مي‌كند و اين‌ عمل‌ از طريق‌ واردشدن‌ به‌ كپي‌هاي‌ فايل‌ صورت‌ مي‌گيرد. در يك‌ چنين‌ حالتي‌ كپي‌ها وقتي‌ اجراميشوند كه‌ فايل‌ در حافظه‌ بارگيري‌ شود و ساير فايلها را عفوني‌ كند. ويروسهااغلب‌ داراي‌ تأثيرات‌ مخربي‌ هستند. يك‌ ويروس‌ در تمامي‌ شبكه‌ كامپيوتري‌ ممكن‌است‌ اشعه‌ يابد و اين‌ ويروس‌ مانند كرمي‌ است‌ كه‌ از اجزاء مختلف‌ ساخته‌ شده‌ ودر كل‌ شبكه‌ توزيع‌ مي‌شود.

2ـ4ـ نتايج‌ :

        firewall سوئيچهايي‌ را براي‌ حفاظت‌ در برابر حملات‌ Ip - حملات‌ به‌ منبع‌مسير - حملات‌ تونل‌ Ip و انواع‌ خاص‌ ديگر ارائه‌ مي‌دهد.

        اما بعضي‌ از firewall ها نمي‌توانند چنين‌ حملات‌ ويروسي‌ را حفاظت‌ كننداين‌ حملات‌ همان‌ حملات‌ داده‌ راني‌ - حملات‌ ويروسي‌ - حملات‌ Trojan horse -حملات‌ Ip hijacking - يا shuopping است‌ .

علاوه‌ بر اين‌ ما بايستي‌ راه‌ حلهايي‌ را با استفاده‌ از ابزار kerberos ارائه‌ دهيم‌