آیا شبکه شما از امنیت کافی برخوردار است؟
تأمین امنیت کامل یک پایگاه عملاً ممکن نیست، تنها راه تأمین صد درصد ایمنی یک پایگاه ،خارج کردن آن از اینترنت می باشد. اما روشهایی وجود دارد که از طریق آنها می توان قابلیت و توانایی پایگاههای اینترنت را در مقابله با مهاجمین افزایش داد. متداول ترین روش برای این منظور ،ایجاد یک مکانیسم کنترلی به نام firewall می باشد.
firewall در حقیقت یک دیوار فیزیکی یا الکترونیک نمی باشد، بلکه انواع مختلفی از ترکیب سیستم های (setups) کامپیوتری یک firewall را تشکیل می دهد.
در کوتاه مدت ، هر نوع سیستم امنیتی می تواند تا حد قابلیت و توانایی خود ، پاسخگوی نیاز های شما باشد . اگر قیمت یک firewall بیش از پانزده هزار دلار باشد میانگین قیمت هر کانال ارتباطی (امکان تردد از ین دیوار) حدود هزار و پانصد تا دو هزار و پانصد هزار دلار خواهد بود. و این مبلغ ممکن است بالاتر هم برود.
اولین مرحله در تامین امنیت یک پایگاه، افزودن سخت افزار یا نرم افزار برای جبران کاستیها و نقایص امنیتی موجود در نرم افزار سیستم عامل شبکه می باشد.
سخت افزار افزودنی (add-on)همان firewall است و مفهوم این عبارت این است که سخت افزار و نرم افزار به کمک یکدیگر امنیت لازم را برای شبکه فراهم می سازند.
معمولاً اصلاحات و ارتقاهای سیستم های عامل،بسیاری از شکافهای ایمنی را ترمیم و مسدود می نماید ،اما این ، به تنهایی ، نیاز به تامین امنیت بیشتر در پایگاههای وب را برطرف نمی سازد.
شاید اصلی ترین و مهم ترین بخش سخت افزار موجود در یک پایگاه وب،مسیر یاب (router)باشد که در واقع سوئیچی است که برای برقراری ارتباط یک پایگاه اینترنت مورد استفاده قرار می گیرد.
این دستگاه، اطلاعات ورودی و خروجی به یا از یک پایگاه را که در بسته های اطلاعات (packets data)مرتب شده اند کنترل می نماید.
یک مسیر یاب در سطحی پایین تر ازسطح برنامه کربردی ،که سطح انتقال (Transport)نیز نامیده می شود ،قرار دارد.
افزودن این سطح فیلتر سازی تنها چند صد دلار هزینه در بر خواهد داشت.
برای مثال ،قیمت خط ارتباطی (Globe Trotter)،از مسیر یابهای firewallمتعلق به شرکت Open Raute Networks،حدود 795 دلار می باشد که می تواند علاوه بر فیلتر سازی بسته های اطلاعات ،مسیر یابی و فشرده سازی داده ها را نیز صورت دهد.
این نوع firewall، یکی از اولین نمونه ها و fierwallهای مخصوص فیلتر کردن بسته های اطلاعات (Placket -filter)بوده که این نمونه در واقع به منزله مسیر یابی بود که نوع بسته های اطلاعاتی که اجازه ورود از محوطه نا امن بیرون «insecure ouside» به محوطه امن داخل Secure inside و بلعکس دارند را تعیین می کند ; به این فیلتر ها احتمالاً فیلتر های بسته ای گفته می شود. فیلتر های بسته ای ، نیاز به یک مدیر پایگاه دارند تا مراقب انواع بسته های اطلاعات و کار آنها باشد. البته این کار بر خلاف ظاهر آن ، کار چندان ساده و آسانی نیست.
یکی از کار هایی که فیلتر های بسته ای انجام می دهند این است که مبادله بسته های اطلاعات با درگاههای قراردادی دسترسی به خدمات شبکه (نظیر FTP,Telnetو ...)را بر اساس قواعد تنظیم شده از طرف مدیر پایگاه ،کنترل کند. این فیلتر ها همچنین انواع متفاوت بسته های اطلاعات (مانند بسته های قراردادهای متفاوت ICMP,UDP,TCP و ...) را نیز کنترل می کنند.
مبدأ و مقصد بسته های اطلاعاتی را که از طریق firewall مبادله می شوند،نیز می توان از طریق این فیلتر ها کنترل نمود. کار فیلتر ها همانند باجه های عوارضی می باشد که در جلوی یک پل قرار گرفته و با چشم الکترونیکی مراقب رفت و آمد (و واگذاری اجازه به ) اتوموبیلهای مجاز برای ورود هستند.
به طور کلی ، مطمئن ترین راه برای حفظ امنیت کامل یک سایت این است که به هیچ چیز اجازه ورود داده نشود ، مگر اینکه مجوز ویژه برای این کار در اختیار داشته باشد.
یک فیلتر بسته ای می تواند مسیر یابی نیز باشد ،تا ارتباط را تنها با کامپیوتر ها ،شبکه ها و سرویسهای مشخص و مورد تأیید برقرار کند.
حفظ و نگهداری از لیست اجازه یا عدم اجازه ورود ،خصوصاً در وضعیتی که تغییرات بسرعت در آن اتفاق می افتد. دشوار به نظر می رسد. از این رو یک فیلتر مسیر یابی یا بسته ای به تنهایی نمی تواند پاسخگوی نیاز های امنیتی پایگاه باشد.
اما در چند سال اخیر آنچه که به عنوان راه حل بهترو مناسبتر به دست آمده است firewall روی دروازها در لایه کاربرد (Application-Level)می باشد که همراه با یک firewall در لایه مدار (Proxy)بین مسیر یاب و اینترنت نصب می کند . این پیروکسی ، سپس ارتباط واقعی بین منطقه حفاظت شده و اینترنت را کنترل می کند .این نوع firewall براحتی نصب می شود به طوری که چندین شبکه حفاظت شده داخلی وجود خواهد داشت که از طریق یک firewall مشترک به اینترت متصل هستند.
در کتاب Wily Hacker:firewall Refelliny Theنوشته ویلیامآر چسویک و استیون بلویین ، به بحث درباره firewall مختلط (hybrid) در لایه های کاربرد و مدار پرداخته شده است . در این نوع راه اندازی (setup)،دروازه های فیلتر کننده بسته ها به شبکه داخلی متصل می شود و بعد به دروازه برنامه کاربردی به یک سرور واسط متعلق به درگاه ارتباطی شبکه داخلی متصل می شود . آقای چسویک (Cheswick) معتقد است که در این طریق ،امنیت قابل ملاحظه ای (که وی آن را Dual -homed یا دو مرحله ای می نامند ) ایجاد می شود که البته نیاز به حفظ و نگهداری دارد.
البته در این مسیر ، مشکلاتی در عمل نیز وجود خواهد داشت.
برای مثال ،ممکن است بسته های نرم افزار تا زمانی که firewallاجازه نداده است به مقصد نرسند.
firewall های مراقب وضعیت یا (state-Watching)روش دیگر جلوگیری از دسترسی افراد غیر مجاز به شبکه یک شرکت می باشد . این ها بسته های نرم افزار را همانند یک firewall سطح مداری کنترل می کنند. ما مرحله اضافی همراه ردن درگاههای سیستم عامل کامپیوتری با ارتباطی که بسته ها تولید می کنند را نیز شامل می شود.