دانلود تحقیق فیلترینگ

اگرچه اکثر سازمان ها تمایل به داشتن شبکه های امن دارند ولى گفتن یک تعریف واحد براى امنیت که همه نیازها را براورده سازد ممکن نیست .

در عوض هر سازمان باید ارزش اطلاعات خود را تعیین کرده و سپس یک سیاست امنیتى تعریف کند که مواردى که باید محافظت شوند در آن مشخص شود.
جنبه هاى مختلفى از امنیت وجود دارد که زمان تعریف سیاست امنیتى باید در نظر گرفته شوند.براى این منظور مجموعه مکانیزم هایى طراحى شده که جنبه هاى مختلف امنیت را در اختیار ما مى گذارند.

به منظور داشتن اطلاعات خصوصى روی یک اینترنت دو کامپیوتر مى توانند از رمزنگارى استفاده کنند.

فرستنده الطوریتمى را براى درهم ریختن پیغام استفاده کرده وگیرنده نیز با استفاده ازنگاشت معکوس از روى نسخه به هم ریخته پیغام اصلى را بازسازى مى کند .
اگرچه تکنولوژى رمز نگارى کمک خوبى در رفع بسارى از مشکلات امنیتى است , اما وجود تکنولوژى دیگرى نیز در کنار آن لازم است .

این تکنولوژى که به منظور حفاظت از کامپیوترهاى یک سازمان در مقابل ترافیک ناخواسته جهانى استفاده مى شود حفاظ اینترنت نام دارد .
یک حفاظ مى تواند هزینه هاى ایجاد امنیت را کاهش دهد .

بدون یک حفاظ براى ایجاد محدودیت در دسترسى افراد بیرونى مى توانند بسته هایى را به هر کامپیوتر داخل یک سازمان ارسال کنند.

در نتیجه سازمان باید جهت امنیت همه کامپیوترهاى خود را امن سازد.

این در حالى است که با وجود یک حفاظ , مدیر مى تواند بسته هاى ورودى را فقط به یک مجموعه کوچک از کامپیوترهامحدود نماید و حتى در نهایت این مجموعه مى تواند یک کامپیوتر باشد.

اگرچه کامپیوترهاى این مجموعه باید امنیت خوبى داشته باشند ولی کامپیوترهاى دیگر ساؤمان نیازى به داشتن امنیت ندارند.
بنابراین سازمان مى تواند در هزینه هاى سازمان صرفه جویى کند زیرا نصب یک حفاظ ارزانتر از ایمن سازى همه سیستم هاى کامپیوترى تمام مى شود .
اولین مکانیزمى که براى ایجاد یک حفاظ استفاده مى شود فیلتر کردن بسته ها نام دارد .

که ما در اینجا تصمیم داریم توضیحى در مورد فیلتر کردن بسته ها بدهیم .
جنبه هاى مختلفى از امنیت وجود دارد که زمان تعریف سیاست امنیتى باید در نظر گرفته شوند.براى این منظور مجموعه مکانیزم هایى طراحى شده که جنبه هاى مختلف امنیت را در اختیار ما مى گذارند.

یکى از این روشها فیلتر کردن بسته اى مى باشد .

فیلتر کردن بسته اى ابزار مفیدى براى مدیر شبکه امنیتى است اما استفاده مفیدآن نیاز به درک کامل توانایى ها ونقاط ضعف وخصوصیات پروتوکل هایى دارد که فیلتر ها از آن استفاده مى کنند .

این مقاله توانایى فیلتر کردن بسته اى را به عنوان یک مقیاس امنیت شبکه بررسى مى کند و فیلتر کردن بسته اى IP را با روشهاى امنیتى ىشبکه مانند ورودیهاى سطح کاربرد مقایسه مى کند و نوع فیلترهاى بسته اى را توضیح مى دهد و مشخصات پروتوکل هاى کاربرد معمولى را توضیح مى دهد که به فیلتر کردن بسته اى مربوط هستند .این مقاله مشکلات اجراى فیلتر کردن بسته اى را مشخص وبررسى مىکند و بیان مى کند که چطور این مشکلات مدیر شبکه را ضعیف مى کند و راه حلهاى این مشکل را بیان مى کند .
در واقع نقطه نظر مدیر شبکه یا سایت مانند نقطه نظر تامین کننده سرویس یا فروشنده مسیریاب نیست .

به عبارتى مدیر سایت بیرون نگه داشتن بیگانه ها نسبت به خودى ها علاقه مندتر است وهدف حفظ بیگانه ها از مختل شدن و خودى ها از قرار گرفتن در معرض خدمات و داده هاست و از متزلزل شدن اقدامات امنیتى خودى ها ممانعت نمى کند .

فیلتر کردن بسته ها : گفتیم اولین مکانیزمى که براى ایجاد یک حفاظ استفاده مى شود "فیلتر کردن بسته ها " نام دارد .

بسیارى از تولیدات مسیریاب IP , فیلتر کردن بسته اى را به عنوان ابزارى جهت اصلاح امنیت شبکه پیشنهاد مى کنند .

فیلتر کردن بسته اى , ابزار مناسب ومفیدى براى مدیر شبکه امنیتى است .

یک فیلتر بسته در واقع برنامه اى است که داخل یک مسیریاب اجرا مى شود .این فیلتر شامل نرم افزارى است که مى تواند جلوى عبور بسته ها از شبکه اى به شبکه دیگر را در محل مسیریاب بگیرد .

یک مدیر شبکه باید فیلتر را به صورتى پیکربندى کند که مشخص شود کدام یک از بسته ها اجازه عبور از مسیریاب را دارند و کدام یک این اجازه را ندارند.

یک فیلتر بسته اى به این صورت عمل مى کند که حوزه هاى موجود در سرایند هر بسته را بررسى مى کند .

فیلتر را مى توان طورى پیکربندى کرد که مشخص شود کدام حوزه از سرایند را بررسى کند و مقدار هر کدام را چگونه تفسیر نماید.

به منظور کنترل اینکه کدام کامپیوتر روی یک شبکه بتواند با کامپیوتر هاى دیگر ارتباط برقرار نماید , مدیر شبکه مشخص مى کند که فیلتر باید حوزه هاى "مبدا " و "مقصد" موجود در سرایند هر بسته را بررسى نماید .

علاوه بر استفاده از آدرس هاى مبدا و مقصد فیلتر مى تواند پروتوکل داخل بسته و یا سرویس سطح بالایى که بسته به آن مربوط مى شود را نیؤ بررسى نماید .اعمال محدودیت روى بسته هاى مربوط به یک سرویس خاص به این معناست که مدیر مى تواند جلوى ترافیک مربوط به یک سرویس را گرفته و ترافیک سرویس دیگرى را آزاد گذارد .

براى مثال مدیر مى تواند فیلتر را طورى پیکربندى نماید که جلوى بسته هاى ارتباطى www را گرفته و بسته هاى مربوط به ترافیک پست الکترونیک را عبور دهد .

شکل فوق نمایش محل قرار گرفتن یک فیلتر بسته , نرم افزار فیلتر طورى پیکربندى شده است که جلوى عبور بعضى از بسته ها را از یک شبکه به شبکه دیگر مى گیرد .

با توجه به شکل فوق جهت ممانعت از ارتباط کامپیوتر با آدرس 192.5.48.27IP روى شبکه سمت راست باهر کامپیوترى از سمت چپ , مدیر مشخص مى کند که فیلتر باید جلوى همه بسته هایى که آدرس مبدا آنها 192.5.48.27 است رابگیرد و یا برای مثال اگر بخواهیم کامپیوترىبا آدرس 128.10.0.32 روى شبکه سمت چپ هیچ بسته اى از کامپیوترهاى شبکه سمت راست دریافت نکند , مدیر مشخص مى کند که فیلتر باید جلو همه بسته هایى کهآدرس مقصد آنها 128.10.0.0 را بگیرد .

علاوه بر استفاده از اینآدرسهاى مبدا ومقصد , فیلتر مى تواند پروتوکل داخل بسته و یا سرویس سطح بالایى که بسته به آن مربوط مى شود را نیز بررسى نماید .اعمال محدودیت روى بسته هایى مربوط به یک بسته خاص به این معناست که مدیر مى تواند فیلتر را طورى پیکربندى کند که جلو بسته هاى ارتباطى را مسدود و بسته هاى مربوط به ترافیک پست الکترونیک را عبور دهد .

یک مکانیزم فیلتر بسته به مدیر اجازه مى دهد تا ترکیباتی از آدرس مبدا ,آدرس مقصد و سرویس را براى ممانعت از عبور بسته ها مشخص نماید .

نرم افزار فیلتر به مدیر اجازه مى دهد تا ترکیبات بولى از مبدا ,مقصد و نوع سرویس را مشخص نماید .

براى مثال مدیر مى تواند اینطور تصمیم بگیرد که :همه ترافیک مربوط به سرویس FTP روى کامپیوتر 128.10.2.14 ممنوع شود , جلو کل ترافیک www که از کامپیوتر192.5.48.33 صادر مى شود گرفته شود و تمام نامه هاى الکترونیک کامپیوتر 192.5.48.34 نیز قطع شود .

در این صورت فیلتر فقط ترکیبات مشخص را ممنوع خواهد نمود و مابقى ترافیک شبکه براى هر کامپیوتر دیگر و در مورد هر سرویس دیگر جارى خواهد بود .

استفاده از فیلترهاى بسته اى جهت ایجاد یک حفاظ عملا یک حفاظ اینترنت حداقل از سه سیستم تشکیل شده است .یک بخش مجزاى فیلتر که دیتاگرامهاى خروجى اینترنت سازمان را محدود مى کند , بخش دیگر فیلتر بسته اى که روى دیتاگرامهاى ورودى اینترنت محدودیت ایجاد مى کند و بالاخره یک سیستم کامپیوترى ایمن داخل حفاظ که نرم افزار کاربردى را اجرا مى نماید .

شکل زیر این ساختار را نشان مى دهد .

همانگونه که در شکل مشاهده مى شود کامپیوتر میزبان مورد نظر نیز روى شبکه اى واقع شده است که به مسیریابها متصل است .

به لحاظ منطقى این کامپیوتر ایمن مابین دو فیلتر قرار گرفته ( فیلتر ها طورى پیکربندى شده اند که بسته ها به طرف کامپیوتر هدایت کنند ).

به عبارت بهتر فیلتر داخل مسیریاب R1 به صورتى پیکر بندى شده که هیچ بسته ورودى را قبول نکند به جز آنهایى که براى برنامه هاى اجرایى روى این کامپیوتر میزبان ایمن ارسال شده اند .

به طریق مشابه , فیلتر داخل مسیریاب R2 نیز به صورتى پیکربندى شده که منحصرا بسته هاى خروجى که به سمت برنامه اى روی کامپیوتر میؤبان مى روند مى پذیرند ز بنابراین تمام ارتبطات بین کامپیوترهاى داخل سازمان وشبکه اینترنتى حتما از داخل کامپیوتر مزبور عبور مى کند .

چه نرم افزارى روى این میزبان ایمن قرار دارد ؟

برنامه هایى که روى این کامپیوتر اجرا مى شوند "دروازه لایه کاربردى " ویا "پروکسى " نامیده مى شوند که یک سرویس ایمن براى اینترنت را در اختیار مى گذارد .

براى مثال فرض کنید کاربرى داخل سازمان مى خواهد با استفاده هر FTP فایلى را دریافت نماید .زمان ایجاد این درخواست توسط کاربر , نرم افزار مشترى روى کامپیوتر کاربر با یک پروکسى FTP روى میزبان ایمن تماس مى گیرد .

وقتى مشتى درخواست دریافت فایل را مى فرستد , پروکسى بررسى مى کند که طبق سیاست هاى امنیتى سازمان آیا این درخواست مجاز است و در آنصورت جهت دریافت از کارگذار روى اینترنت اقدام نموده و بعد از کنترل فایل از نظر وجود ویروس و غیره آن را به کاربر متقاضى تحویل مى نماید .

این نرم افزار همچنین ممکن است گزارشى از کل درخواستهای انجام را ثبت نماید تا بهد جهت ارزیابى هاى منیتى مورد بررسى واقع گشود .

فیلترینگ بسته اى چگونه کار مى کند هدف اساسى فیلتر کردن ممانعت از دستیابى غیر مجاز شبکه بدون مانع شدن از دسترسى مجاز به شبکه : تعریف دسترسى مجاز دسترسى غیر مجاز براى سازمانهاى مختلف متفاوت است .

یکى از اهداف فیلتر کردن این است که مکانیسم ها با توجه به عملکرد , آگاهى کاربر و آگاهى کاربردى از اقدامات امنیتى مشخص باشند .

هدف بعدی این است که مکانیسم هاى مورد استفاده پیکربندى ونگهدارى , ساده باشند واین احتمال را افزایش دهند که خط مشى درست و کامل اجرا مى شود .

فیلترینگ بسته اى مکانیزمى جهت امنیت شبکه است ولى استفاده مفید آن نیاز به درک کامل توانایى ها و نقاط ضعف وخصوصیات پروتوکلهای مورد استفاده فیلترها دارد .

چند فاکتور تحقق این خط مشی ها را با استفاده از فیلتر کردن شرایط نا متقارن , شرایط مختلف براى گروههاى مختلف داخلى و خارجى ماشینها , خصوصیات مختلف پروتوکلهاى ویژه , خدمات وتحقق این پروتوکل ها و خدمات پیچیده از فیلتر کردن بسته اى استفاده مى کنند .

شرایط دستیابى نا متقارن با این ویژگى به وجود مى آید که سازمان مى خواهد سیستم هاى داخلى اش , دسترسى بیشترى به سیستمهاى خارجى داشته باشند .

وقتى شرایط مختلف به وجود مى آید که سازمان مى خواهد گروههاى ماشینهایش دسترسى مختلفى به شبکه نسبت به دیگر گروههاى ماشین داشته باشند .

یک سازمان دسترسى شبکه اى کمتر یا بیشترى نسبت به حد معمول با مشترى کلیدى داشته باشد و دسترسى شبکه اى کمترى نسبت به حد معمول با یک دانشکده محلى داشته باشد .

روشهاى معمول فیلتر کردن بسته اى براى امنیت شبکه شامل تامین دسترسى شبکه اى براى ماشین و استفاده از گیتهاى کاربردى است .

دسترسى شبکه اى بر مبناى "همه – هیچى " هر ماشین را ایمن مى سازد و دسترسى شبکه اى غیر مفیدى دارد .

برخى سایتها ,منابعى براى تامین و کنترل هر ماشین دارند که نیاز به دسترسى شبکه اى تصادفى دارد .

گیتهاى کاربردى AT&T وشرکت تجهیزات دیجیتالى و چند سازمان , غیر عملى هستند چون نیاز به میزبان داخلى تغییر نسخه هاى کاربردها (مانند ftp,telnet ) براى دستیابى به میزبانهاى خارجى هستند .

در صورتى که نسخه تغییر یافته کاربردى , براى یک میزبان داخلى خاص وجود نداشته باشد کاربران میزبان نمى توانند به گیتهاى کاربردى گذشته برسند .

حال باید این موضوع را بررسى کنیم که فیلترینگ بسته اى به چه صورتى کار مى کند .براى بررسى این موضوع ابدا باید بررسى کنیم که مبناى تصمیمات فیلترهاى بسته اى چیست ؟

تحققات فیلترینگ بسته اى IP به این صورت است که آنها , عناوین یک بسته را تجزیه مى کنند و بعد از قوانین یک اصل ساده براى تعیین مسیر استفاده مى کنند .

اغلب حوزه هاى عناوین فیلتر , از نوع بسته اى UDP,TCP) ) آدرس IP منبع , آدرس مقصد IP و ورودى مقصد TCP/UDP یکى از حوزه هاى موجود نیست .

علاوه بر اطلاعات موجود در عناوین , بسیارى از تحققات فیلترینگ به مدیر اجازه مى دهند تا اصولى را مشخص کنند که بر مبناى آن رابط مسیر یاب به مقصد مى رسد و یا رابط بسته وارد آن شبکه مى شود.

مشخص کردن رابطه هاى درون محدوده و بیرون محدوده فیلتر ها به شما این امکان را مى دهد تا کنترل خوبى بر مسیر یاب طرح فیلترینگ داشته باشید و برای یلترینگ مفید مسیر یابهاى داراى بیش از دو واسطه راحت است .

اگر با استفاده از فیلتر هاى درون محدوده روى یک واسط مشخص بیفتد , آن بسته ها باید در فیلترهاى برون محدوده تمام واسط ها قرار گیرند که اینکار مشخصات فیلترینگ را ساده مى کند .

علاوه بر این فیلتر هایى که مى خواهد استفاده شود نیاز به معلوماتى از این قبیل دارد که کدام واسط بسته وارد مى شود .

براى مثال مدیر مى خواهد تمام بسته هاى درون را از واسط خارجى و میزبان داخلى براى حفاظت در مقابل حملات جهانى بیرون حذف کند که از آدرس هاى منبع داخلى استفاده مى کنند .

برخى مسیر یابها با قابلیت هاى ابدایى فیلترینگ بسته اى , عناوین را تجزیه نمى کنند اما در عوض به مدیر براى مشخص کردن حدود بایت موجود در عناوین براى جستجو در آن حدود نیاو دارند ., این کار بى فایده است زیرا نیاز به درک کامل مدیر از ساختار بسته IP دارد .

البته این کار براى بسته ها با استفاده از حوزه هاى انتخاب IP در عنوان IP غیر عملى است .

اصول فیلترینگ بسته اى چگونه مشخص مى شود اصول فیلترینگ به عنوان مجموعه شرایط و اقداماتى در نظر گرفته مى شود تا به دستور مسیریابى یا حذف بسته برسند .

زمانى که یک بسته همه شرایط مشخص شده را در ردیف خاصى از جدول براورد مى کند , اقدام خاصى در این ردیف صورت مىگیرد(براى مسیریابى یا حذف بسته ر برخى از تحققات فیلترینگ , این عمل نشان مى دهد که آیا بسته ثبت مى شود یا اقدامى صورت مى گیرد .

برخى سیستم ها از اصول مشخص شده توسط مدیر استفاده مى کنند تا به اصلى برسند که از [Mogul89] [cisco] استفاده مى کند و مسیر یابى و حذف بسته را مشخص مى سازد .سیستم هاى دیگر نظم کاربردى این اصل را بر مبناى معیار این اصول مانند منبع و آدرس منبع و مقصد بدون توجه به ترتیب اصول مشخص شده توسط مدیر , اجرا مى کنند .

برا مثال برخى از اصول فیلترینگ مانند ورودى هاى جدول مسیریابى استفاده مى کنند یعنى از اصول داراى آدرس هاى به خصوص کمتر استفاده مى کنند ز هر چه روش مرتب کردن اصول هاى مسیر یاب , پیچیده تر باشد , درک اصول و کاربرد آنها براى مدیر مشکل تر است , مسیریابى که از نظم مشخص شده توسط مدیر بدون تر تیب مجدد اصول استفاده مى کنند ,ساده تر توسط مدیر درک و پیکر بندى مى شوند و از مجموعه فیلتر هاى کامل و درستى استفاده مى کنند .

مشخصات فیلترینگ پروتوکلهاى کاربردى پروتوکل ها ی کاربرد با هم متفاوتند و هر یک مشخصات خاصى دارند که به فیلترینگ بسته اى IP مربوط است و یا با پروتوکل هاى دیگر فرق دارد .

تحقق یک پروتوکل به خصوص مشخصاتى دارد که به نتیجه پروتوکل نیست بلکه نتیجه تصمیمات طراحى گرفته شده توسط این تحققات است .

زیرا مشخصات تحققات در مشخصه پروتوکل وجود ندارند , بنابراین از تحققات مختلف همان پروتوکل فرق دارند وممکن است در یک تحقق به خصوص تغییر کنند .

این مشخصات شامل ورودى server و ورودى client است خواه این سرویس در UDP/TCP پیشنهاد شده باشد .

درک این مشخصات براى تنظیم فیلترینگ مفید واستفاده محدود از این پروتوکل لازم است .

این نکته داراى اهمیت است که ورودیهاى اتفاقى واقعا اتفاقى نیستند .

هر چند که تحققات پروتوکل هاى مختلف از ورودیهاى اتفاقى براى اتمام کار client یک ورودى معروف براى اتمام server اتفاقى نیستند .

هر چند این تحققات ازRFCS استفاده نمى کنند , سیستم هاى مبتنى بر BSD UNIX , ورودیهاى پایین تر از 1024 را براى استفاده توسط فرایندهاى ممتاز حفظ مى کند و این فرایند ها به آن ورودیها مى پیوندند .بر عکس فرایندهاى غیر ممتاز از ورودیها در بالاتر از 1024 استفاده کنند .

اگریک بر نامه نیاز به ورودى یا درگاهى خاصى نداشته باشد , درگاهى را بعد از آخرین مورد تعیین شده , مشخص می نماید , اگر آخرین درگاهى 5150 باشد , بعدى 5151 خواهد بود .

مشکلات مربوط به فیلترینگ بسته فعلى مشکلات مربوط به تحققات فعلى فیلترینگ شامل پیچیدگى ییکربندى و اداره , حذف درگاهى منبع UDP/TCP است که فیلترینگ بر مبناى روابط یش بینى نشده بین اجزاى نا مربوط مجموعه مشخصات فیلتر ,عدم ابزار آزمایش و اشکال زدایى و ناتوانى نسبت به پروتوکل RPC مانندNTFS و YP/NIS انجام مى شود .

یکى از این مشکلات این است که فیلترها به سختى ییکربندى مى شوند .

در این حالت مدیر اعتماد کم به مشخص شدن درست و کامل فیلتر ها دارد .

syntax ساده مورد استفاده در مکانیسم هاى فیلترینگ بسته اى زندگى را براى مسیریاب آسان و براى مدیر مشکل مى سازد .در قبال آن از تجردهاى زبان سدح بالا استفاده مى کند .

مدیر باید نمایش ج\ولى از اصول تولید را تولید کند و رفتار مطلوب در این نمایش باید نشان داده شود .

مدیران فعالیت شبکه را طبق روابط بررسى مى کنند در حالیکه فیلترینگ بسته اى به بسته هاى داراد یک ارتباط مربوط است .یک مدیر طبق ارتباط داخلى SMTP عمل مى کند و باید به دو اصل فیلترینگ ترجمه شود ( یکى براى بسته هاى داخلى از client به server و دومى براى بسته هاى خارجى از server به client استفاده مى کند .

مفهوم یک ارتباط با بررسى پروتوکل UDP , ICMP مطرح مى شود و مدیران درباره روابط NFS , DNS صحبت مى کنند .

عدم هماهنگى بین abstraction هاى مدیران و مکانیسم هاى تامین شده توسط تحققات فیلترینگ , مشکل مشخص کردن صحیح فیلتر هاى بسته اى را تحت تاثیر قرار مى دهد .

از دیگر مشکلات تحققات فیلترینگ بسته اى این است که درگاهى منبع UDP/TCP از اصول فیلترینگ حذف مىشوند .

ترافیک داخلى و خارجى را در یک سرویس بدون باز کردن سوراخهاى شکاف با شوند .

ترافیک داخلى و خارجى را در یک سرویس بدون باز کردن سوراخهاى شکاف با server ,غیر ممکن مى سازد .

براى مثال بدون بررسى منبع و مقدار درگاهى مقصد یک بسته , شما نمى توانید روابط داخلى SMTP را با ماشین هاى داخلى و روابط خارجى SMTP را با ماشینهاى داخلى و خارجى برقرار سازید که در آنجا دو انتهاى اتصال , در درگاهى هاى 1024 یا بالاتر هستند .براى این منظور فرض کنید جدول اصل مسیریاب 6 متغیر براى اصول یک رابط دارید که شامل جهت , آدرس منبع , آدرس مقصد , درگاهى و عمل مسیر یابى یا حذف است .

شما نیاز به 5 اصل در این جدول دارید تا SMTP داخلى و خارجى داشته باشد یکى از مشکلات دیگر تحققات فیلترینگ بسته اى این است که فیلترینگ نمودارى ساختارهاى اصلى خیلى پیچیده مى باشد حتی براى کاربردهاى ساده این syntax هاى پیچیده مشکل هستند و اثرات جانبى نا مطلوبى دارند .

ومشکل دیگر این است که آزمایش و کنترل فیلتر ها مشکل است .

زندگى مدیر با عدم مکانیسم هاى داخلى جه آزمایش مجموعه فیلتر یاکنترل عملکردش , با مشکل بر خورد مى کند .

بنابراین اشکال زدایى و اعتبار مجموعه اصول فیلترینگ تغییر اصول فعلى را مشکل مى سازد و مدیر باید این موضوع را باید بداند که که آیا اصوت فیلترینگ مطرح است و یا اگر این اصل شکاف غیر عمدى دارد , مدیر باید آن را مد نظر داشته باشد .

مى توان به این مشکل هم اشاره کرد که RPC به سختى فیلترینگ مى شود زیرا در عدد درگاهى , سرویس "portmapper " است .

portmapper در واقع عدد سرویس RPC (عدد 32 بیتى تعریف شده ) مى باشد این اصول را از سطح بالا ى قابل اصلاح جهت پردازش مفید تبدیل کند ,یک احتمال وجود کامپایلر فیلتر است که فیلتر هاى syntax بالایى را قبول مىکند که براى مدیردت است ولیست فیلتر کامپایل شده مورد قبول مسیر یاب را حذف مى کند .

خصوصیات مشترک پروتوکل هاى IP فیلتر کننده RPC هر برنامه نویسى که نرم افزارهاى client-server را نوشته باشد مى داند که این کارى مشکل است .

از آنجا که نوشتن برنامه client–server جزییات سطح پایین زیادى را در بر دارد به علت اینکه نرم افزار client-server از یک سرى شکل هاى ساختارى پایه پیروى مى کند ,برنامه نویسان مى تواتتد از ابزارى استفاده کنند و بخش زیدى از کد را تولید نمایند .نتیجه به دست آمده بسیار کارآمد مى باشد .

یکى از این تسهیلات اولیه اى که براى کمک به نوشتن برنامه client-server ایجاد شده است مکانیسم "فراخوان روال راه جور " یا RPCنام دارد .

این ابدارها که میان افزار نام دارند از ایده پایه اى مشابهى که که فراخوان روال از راه دور نام دارد بهره مى گیرند .

برنامه نویس ابتدا یک برنامه نوشته و بعد آن را به ىد قسمت client , server تقسیم مى کند .

تکنولوژى هاى میان افزار مختلفى تاکنون طراحى شده که همه آنها از یک الگو پیروى مى کنند و آن اینکه ابزارى جهت تولید ریشه هاى ارتباطى client-server استفاده مى شود که این ریشه ها اجازه مى دهند تا یک فراخوان روال از یک client روى یک کامپیوتر به کار گزارى روى کامپیوتر دیگر منتقل شود .

در مقوله فیلترینگ بسته اى پورت هایى که RPC اغلب استفاده مى کند UDP , TCP پورت 111 براى پردازش " "portmapper مى باشند که maps درخواست مى کند براى سرویس هاى RPC ویژه به پورت هاى مخصوص که آنها اجرا مى شوند همان لحظه اى که ماشینهاى مخصوص اجرا مى شوند .

DNS سیستم نام دامنه نگاشت خودکارى بین نامهاى کامپیوتر و آدرس هاى IP معادل آن برقرار مى کند هر نام یک ىنباله کارکترى است که از قسمتهاى عددى –الفبایى که به وسیله نقطه هز هم جدا شده اند تشکیل شده است.

نام ها به طور سلسله مراتبى تخصیص داده شده اند و قسمتهاى هر نام متناظر باسطوح سلسله مراتب هستند.

هیچ استانداردى براى تعداد قسمتهاى یک نام نیست زیرا هر سازمان آزاد است سطوح سلسله مراتب خود را تعیین نماید .

در حقیقت حتى دو گروه درون یک سازمان ممکن است سطوح مختلفى تعریف نمایند .

مجموعه اى از نرم افزار هاى server به درخواستهاى ترجمه آدرس پاسخ مى دهند هر سازمان خودش مشخص مى کند که چگونه نام هایش را به یک server تخصیص دهد و server ها همدیگر لینک شوند تا یک سیستم همگون را ایجاد نمایند .

یک برنامه کاربردى که یک برنامه مترجم را صدا مى زند به عنوان client یک سیستم ناغم دامنه (DNS) محسوب مى شود .

در مقوله فیلترینگ بسته اى DNS هم از سریسهایTCP و هم از UDP در پورت 53 تهیه شده است .

سرویس هاى UDP اغلب براى query هاى client-server استفاده مى شوند .

در حالیکه سرویسهاى TCP اغلب براى انتقال توده اى داده بصورت server-to-server استفاده مى شود .

FTP یک سرویس انتقال فایل امکان ارسال یک نسخه کامل از یک فایل را از کامپیوترى به کامپیوتر دیگر مى دهد .

این پروتوکل اندکى دشوار است زیرا در به کار گیرى نوع معمولى UNIX یک دستور FTP شامل دو ارتباطTCP مى باشد : یکى براى ارتباط فرمانه ودستورات و یکى براى داده .

ارتباط فرامین از پورت 21 روى server است و ارتباط داده از طریق پورت 20 روى server .

هر دو ارتباط از پورتهاى تصادفى روى clientاستفاده مى کنند .

RIP نسخه 4ام پروتوکل دروازه مرزى یک پروتوکل دروازه خارجى است که براى تبادل اطلاعات مسیریابى بین سیستم هاى خود گردان در اینتر نت جهانى استفاده مى شود .

قالب پیامهاى آن شامل لیستى از مقصدها و فاصله به هر مقصد مى باشد .RIP اولین پروتوکل مسیر یابى بود که با IP استفاده شد .

RIP فاصله را در شبکه بر حسب تعداد پرش اندازه مى گیرد بطوریکه شبکه بین مبدا و مقصد به عنوان یک پرش واحد شمرده مى شود .

به علاوه RIP از شمارش " مبىا – یک " استفاده مى کند .یعنى شبکه اى که مستقیم وصل است یک پرش فاصله دارد نه صفر پرش .

RIP ازUDP براى انتقال پیامها استفاده مى کند .

در مقوله فیلترینگ بسته اى باید به این نکته اشاره کرد که پروتوکل RIP بین مسیریابهایى که از UDP پورت 520 هم براى منبع و هم براى مقصد استفاده مى کنند انتشار مى یابد .

یک RIP query ممکنه از بعضى از پورتهاى UDP دیگر مانند مبداش با 520 یا مانند پورت مقصد استفاده کند .

براى جواب دادن به query از پورت 520 به عنوان پورت منبع استفاده مى کند و مبدا پورت query به عنوان مقصد جواب در نظر گرفته مى شود .

ICMP مجموعه پروتوکل TCP/IP شامل پروتوکلى است که به وسیله IP براى ارسال پیامهاى خطا مورد استفاده قرار مى گیرد که این پروتوکل ICMP نامیده مى شود .

دو سطح بسته بندى در ارسال پیام ICMP وجود دارد.

این پیام ابتدا در ىیتاگرام بسته بندى مى شود و دیتاگرام در قاب بسته بندى مى شود و تادر شبکه فیزیکى منتقل شود .

ICMP پروتوکل موازى باUDP, TCP مى باشد و لایه اى در بالاى IP که براى انتقال کنترل استفاده مى شود .

در اینجا هر پیام با یک حوزه "نوع" شناخته مى شود .

packet هاى اجرایى فیلترینگ مى توانند packet هاى ICMP را به وسیله type یا نوع آن فیلتر کنند همانطور که در این مسیر مى توانند بسته هاى UDP, TCP را با پورت فیلتر کنند .

برنامه traceroute ازپیامهاى خطاى ICMP براى یافتن مسیر یابهایى که در یک مسیر به مقصد داده شده قرار دارند استفاده مى کنند .

دو پیاده سازى موجود است که آدرس هاى مختلفى براى مقصد نهابى دبر اختیر ما قرار مى دهند واین در حالتى است که مقصد نهایى چند واسط شبکه دارد .

نتیجه گیرى در این قسمت , فیلتر کردن بسته اى را به عنوان یک مقیاس امنیت شبکه بررسى کردیم و فیلتر کردن بسته اى IP را با روشهاى امنیتى ىشبکه مانند ورودیهاى سطح کاربرد مقایسه کرد یم و مشخصات پروتوکل هاى کاربرد معمولى را توضیح مى دهد که به فیلتر کردن بسته اى مربوط هستند .این مقاله مشکلات اجراى فیلتر کردن بسته اى را مشخص وبررسى مىکند و بیان مى کند که چطور این مشکلات مدیر شبکه را ضعیف مى کند و راه حلهاى این مشکل را بیان مى کند .

در واقع نقطه نظر مدیر شبکه یا سایت مانند نقطه نظر تامین کننده سرویس یا فروشنده مسیریاب نیست .

هدف اساسى فیلتر کردن ممانعت از دستیابى غیر مجاز شبکه بدون مانع شدن از دسترسى مجاز به شبکه : تعریف دسترسى مجاز دسترسى غیر مجاز براى سازمانهاى مختلف متفاوت است .

که در اینجا به قسمتى از آنها اشاره کردیم .

منابع : کتاب شبکه هاى کامپیوترى : تالیف آقاى کمر و ترجمه دکتر اکبرى و مزینى کتاب شبکه هاى کامپیوترى : تالیف تننباوم مقاله D .

Brent Chapman