دانلود مقاله اینترنت فایروال(firewall )

طرح و اجرای موضوعات
3.1- بعضی تصمیمات اساسی طراحی در یک firewall چه چیزهایی هستند ؟

تعدادی موضوعات طراحی اساسی وجود دارند که باید توسط یک شخص خوش اقبال که مسئولیت او طراحی ، تعیین و اجرا یا نظارت بر نصب یک firewall است ، تعیین شوند .

اولین و مهمترین تصمیم سیاست اینکه چگونه شرکت یا سازمان شما می خواهد سیستم را اعمال کند ، است ک آیا firewall سرجای خود قرار دارد برای رد کردن تمام خدمات به جز آن هایی که برای کار اتصال به شبکه ضروری هستند ، یا اینکه آیا firewall برای تهیه یک متد ارزیابی شده کنترل شده ی دستیابی مرتب در یک حالت غیر تعدید آمیز در جای خود قرار گرفته ؟

در جایی از شکاکیت بین این موقعیت ها وجود دارند نقطه بعدی از firewall شما ممکن است بیشتر نتیجه ی یک تصمیم سیاسی باشد تا اجتماعی
دومی بدین قرار است : چه سطحی از مانیتورینگ (کنترل) افزونگی(زیادی) و کنترل را شما می خواهید ؟

با تثبیت کردن سطح ریسک قابل قبول (یعنی ، چقدرشما محتاط هستید ) از طریق حل مورد اول شما می توانید یک فهرست بازبینی از آنچه که باید مونیتور شود ، مجاز شود و رد شود تشکیل دهید .

به عبارت دیگر شما شروع می کنید با فهمیدن (دانستن) اهداف کلی تان و سپس یک تحلیل حتمی را ترکیب می کنید با یک سنجش و لوازم (شرایط یا مقتضیات) تقریبا همیشه متناقض را در یک لیست نشست و رفت تفکیک کنید که مشخص کند چه کاری می خواهید انجام دهید .

(چه طرحی را می خواهید اجراکنید.)
سومین مورد مالی است .

ما نمی توانیم آن را در اینجا ذکر کنیم مگر با عبارت مهم و دو پهلو ، اما مهم است که سعی کرد هر گونه راه حل پیشنهاد شده را با توجه به قیمتی که برای خریدن یا برای اجرا دارد تعیین کرد .

برای مثال یک محصول کامل firewall ممکن است حداکثر 100000 $ حداقل رایگان باشد .

حق داشتن محصول رایگان شاید نیاز به هزینه ای برای پیکر بندی روی یک cisco یا مشابه آن نداشته باشد ، اما نیاز به زمانی پرکار و چند فنجان قهوه دارد !

اجرای یک firewall سطح بالا نیاز به هزینه ی زیادی دارد ، شاید برابر با 30000 $ به اندازه ی حقوق و مزایای کارمندی هزینه های جاری مدیریت سیستم ها هم قابل توجه است .

ساختن یک نوع خانگی خوب است ، اما مهم این است که آن را طوری ساخت به توجه مداوم (و هزینه بردار ) نداشته باشد .

به عبارت دیگر مهم است که firewall ها را نباید فقط با نظر به اینکه چقدر قیمت دارند سنجید بلکه باید هزینه های متوالی را هم در نظر داشت .

از جنبه ی تکنیکی دو تصمیم باید گرفته شوند ،بر مبنای آن حقیقت که برای تمام اهداف عملی و مفید ما درباره آن صحبت می کنیم یک سرویس فرستادن ترافیک ثابت ، بین فرستنده ی (routers ، تعیین مسیر کننده ی) تهیه کننده ی شبکه و شبکه داخلی شما قرار دارد .

سرویس فرستادن ترافیک ممکن است در سطح یک IP اجرا شود ، از طریق چیزی شبیه به قوانین پخش در یک فرستنده (یا تعیین مسیر خنک کننده یا در یک سطح کاربردی ، از طریق دروازه های نماینده و خدمات .

تصمیم لازم برای گرفتن این است که آیا یک دستگاه باز شده بی حفاظ را برای اجرای خدمات نمایندگی برای Telnet ، اخبار و.

...

روی یک شبکه بیرونی قرار داد یا اینکه یک فرستنده پخش به عنوان یک فیلتر تنظیم کرد که امکان ارتباط یک دستگاه داخلی یا بیشتر را فراهم می کند در هر دو راه کار نقص ها و مزایایی هست با دستگاه نمایندگی میزان بیشتری از رسیدگی بالقوه و ایمنی در عوض هزینه های بالای پیکر بندی فراهم می آید و کاهش در سطح خدمات که ممکن است فراهم آید (زیرا یک نماینده حتما باید برای هر سرویس مورد نظر ساخته شود ) این مبادله قدیمی بین آسانی استفاده و ایمنی بر می گردد .

تا فکر ما را با تمام قوا آزار دهد .

3.2- انواع اصلی و اساسی firewall ها کدام هستند ؟

از نظر ادراکی سه نوع firewall وجود دارد .

Network larger (لایه شبکه) Application larger (لایه کاربرد یا اجرا) ترکیبی
آن ها آنقدر که شما فکر می کنید متفاوت نیستند و جدیدترین تکنولوژی ها تفاوت را به آن جا می کشانند که دیگر نمی تواند تشخیص داد کدام بهتر و کدام بدتر است .

مثل همیشه باید دقت داشته باشید همان نوعی را انتخاب کنید که نیازتان را بر طرف کند .

که بستگی دارد به آن مکانیسم هایی که firewall برای انتقال ترافیک از یک ناحیه امنیتی به ناحیه ی دیگر استفاده می کند .

سازمان استانداردهای بین المللی (ISO) سیستم های به هم متصل باز (OSI) برای شبکه سازی هفته لایه تعریف می کند که هر لایه خدماتی را فراهم می کند که لایه بالاتر به آن ها وابسته است و به ترتیب از انتها ، این لایه ها ، فیزیکی ،لینک داده (data link) ، شبکه ، انتقال (جابه جایی) نشست (دوره اجلاس) معرفی ، کاربرد هستند .

مهمترین چیز برای تشخیص این است که هر چه سطح پایینتر ، مکانیسم پیش روتر و بررسی کمتر انجام می شود .

به طور کلی که بخواهیم ، firewall های سطح پایین سریعتر هستند اما امکان کار اشتباه در آن ها بیشتر است این روزها اغلب firewall ها در دسته بندی ترکیبی جای می گیرند که کار فیلتر کردن شبکه انجام می دهند و همچنین کنترل (بازرسی) کاربرد .

مقداری که تغییر می کند بستگی دارد به فروشنده ، محصول ، پروتوکل و ورژن ، بنابراین بعضی سطوح کشفیات و یا آزمودن اغلب ضروری است .

3.2.1- firewall های لایه شبکه کلا این ها تصمیماتشان را بر اساس منبع ، آدرس های متفاوت و پورتها (برای جزئیات بیشتر در زمینه پورت ها به ضمیرها رجوع کنید .") در بسته های تکی IP می گیرند .

یک فرستنده ساده (router) firewall قدیمی لایه شبکه است به خاطر این که آن نمی تواند تصمیمات مخصوص پیچیده در مورد بسته ی که در واقع با آن صحبت می شود یا از جایی که می آید .

firewall های مدرن لایه شبکه فوق العاده پیچیده شده اند و اکنون اطلاعات داخلی در مورد وضعیت اتصال هایی که از آن ها می گذرند ، محتوای بعضی جریان های اطلاعات و غیره نگه می دارند .

یک مورد که تمایز مهمی درباره ی بسیار از firewall های لایه شبکه است این است که آن ها ترافیک را مستقیما از میان آن ها می فرستند ، بنابراین برای داشتن یکی از آن ها لازم است که یک بلوک آدرس IP معتبر داشته باشید یا اینکه از یک بلوک آدرس خصوصی اینترنت استفاده کنید .

لایه های شبکه (network larger) تمایل دارند که خیلی سریع و برای کاربران واضح و روشن باشند .

شکل 1 در شکل 1 یک firewall لایه ی شبکه به نام firewall میزبان پخش شده نشان داده شده در یک firewall میزبان نمایش داده شده ، دستیابی به و از یک میزبان تکی به وسیله ی یک عامل فرستند در یک لایه ی شبکه کنترل می شود .

میزبان تک یک میزبان باستیون (مستحکم) و با پشتیبانی بالا و این است که خوشبختانه در برابر حمله مقاوم باشد .

لایه firewall شبکه نمونه می تواند در شکل 2 یک firewall لایه شبکه به نام firewall زیر شبکه پخش شده نشان داده شده .

در یک firewall زیر شبکه نمایش داده شده دستیابی و از یک شبکه کامل بوسیله ی یکی عامل فرستنده (router) در یک لایه شبکه کنترل می شود .

آن شبیه به یک میزبان نمایش داده شده (پخش شده ) است ، با این تفاوت که به نحو کار آمدی ، شبکه ای از میزبان های پخش شده است .

3.2.2- firewall های لایه کاربرد( Application larger) این ها کلا میزبان هایی هستند که سرورهای نماینده را اجرا می کنند که اجازه ی ترافیک مستقیم بین شبکه ها را نمی دهند .

و رسیدگی (حسابرسی ) logging پر طول و تفسیری از ترافیک در حال عبور از آن ها ، انجام می دهند .

به خاطر اینکه کاربردهای نماینده (پرکسی) عوامل نرم افزاری هستند که روی firewall اجرا می شوند .

آن جا جای خوبی برای logging و کنترل دستیابی محسوب می شود .

firewall های لایه ی کاربرد Application larger می توانند با عنوان مترجم های آدرس شبکه کار روند ، زیرا ترافیک بعد از گذشتن از یک کاربرد (یا application) که به طور موثری خاستگاه اتصال آغاز کننده را می سازد.به یکی وارد می شود و از دیگر خارج .

داشتن یک کاربرد در سر راه در بعضی موارد ممکن است باعث اجرای عملکرد شود و ممکن است firewall ها را مبهم سازد .

اولین firewall های لایه کاربرد مانند آن هایی که با استفاده از جعبه ابزار firewall tis ساخته شدند .

احتمالا برای کاربران نهایی واضح نیستند و ممکن است نیاز بعه کمی آموزش داشته باشند .

firewall های مدرن لایه کاربرد معمولا واضح اند .

firewall های لایه ی کاربرد (یا اجرا) مایل اند نسبت به firewall های لایه شبکه ای الگوهای امنیتی محافظ کارتر (کارانه تر) را اجرا کنند .

نمونه firewall لایه کاربرد : در شکل 3 یک firewall لایه کاربرد به نام دروازه ی کانونی دوتایی نشان داده شده .

دروازه ی کانونی دوتایی یک میزبان فوق العاده ایمن شده است که نرم افزار پروکسی (نماینده) اجرا می کند .

آن دو واسطه شبکه ای دارد ، هر کدام روی یک شبکه و تمام ترافیکی که از آن می گذرد را مسدود می کنند .

اغلب firewall ها اکنون جایی بین firewall های لایه شبکه و firewall های لایه کاربرد قرار می گیرند .

همانطور که انتظار می رود ، firewall های لایه شبکه ای ، به طور فزاینده ای از اطلاعاتی که در آن هابررسی می شود آگاه شده اند و firewall های لایه تقاضا(همان کاربرد) پیش از پیش سطح پایین و واضح شده اند .

نتیجه نهایی این است که اکنون سیستم های نمایش دهنده ی بسته ای سریع که داده ها را همانطور که به سیستم منتقل می شوند (لگ می کنند) و کنترل می کنند .

Firewall ها (لایه های تقاضا و شبکه ای ) بیش از پیش در نهفته سازی شرکت می کنند زیرا آن ها ممکن است از ترافیک که در جریان اینترنت از آن ها می گذرد ، حمایت کنند .

firewall ها با رمز گذاری پشت سر هم می توانند توسط سازمان هایی با چندین نقطه ای پیوستگی اینترنتی برای استفاده از اینترنت به عنوان یک ستون خصوصی استفاده شوند ، بدون اینکه آن ها نگران لو رفتن داده ها یا رمز عبورشان باشند .

(IPSEC که در بخش 2.6 توضیح داده شد نقش فوق العاده مهمی در ساخت چنین شبکه های خصوصی واقعی دارد .) 3.3- سرورهای پرکسی چه چیزهایی هستند و چه کاری می کنند ؟

یک سرور پروکسی (گاهی اشاره دارد به دروازه ی تقاضا یا پیش برنده) است که ترافیک را بین یک شبکه پشتیبانی شده و اینترنت بررسی می کند .

پروکسی ها اغلب به جای کنترلهای ترافیک که بر مبنای فرستنده هستند ، استفاده می شوند برای اینکه از انتقال مستقیم ترافیک بین شبکه ها جلوگیری کنند .

بسیاری از پروکسی ها برای تایید کاربر ، Logging یا پشتیبانی مضاف دارند .

به خاطر این که پروکسی ها باید پروتکل تقاضا که استفاده می شود را بدانند ، می توانند همچنین ایمنی مخصوص پروتکل را اجرا کنند (مثل پروکسی ftp ممکن است برای اجازه دادن ftp در حال آمدن و مسدود کردن ftp بیرون رونده قابل ترکیب بندی باشد .

) سرورهای پروکسی کاربرد اختصاصی دارند .

به منظور پشتیبانی از یک پروتکل جدید از طریق یک پروکسی ،یک پروکسی برای آن باید ساخته شود .

یک مجموعه سرورهای پروکسی fwt2 است که شامل پروکسی هایی ست برای Http / web , x window system , FTP , login , telnet و اخبار socks .

nntp / Usenet یک سیستم پروکسی عام است که می تواند به صورت یک تقاضای جانب مشتری همگردانی شود تا باعث شود آن در یک firewall کار کند .

مزیت آن این است که استفاده آن آسان است اما آن از اضافه ی (یا دنباله ی ) قلاب های تایید با پروتوکل مخصوص logging حمایت نمی کند .

برای اطلاعات بیشتر در زمینه socks رجوع کنید .

به http://www.socks.net.com/ 3.4- بعضی ابزارهای پخش بسته ای ارزان چه چیزهایی هستند ؟

ابزارهای ایمنی دانشگاه texas A&M شامل نرم افزاری برای اجرای فرستنده های نمایش دهنده است .

kalbridge یک کیت فرستنده فرستنده پخش بر اساس pc است ، که از //.

Net .ohio – state – edu/pub/kbridge/ ftb/ftb قابل دستیابی ست .

چندین بسته پخش سطح کرنل وجود دارد از جمله ipchains .

ipw , ipf Linux , Net BSD , OpcnBSD , FreeBSD , pf همچنین ممکن است این ابزارها را در پیاده کردن unix تجاری هم پیدا کنید .

اگر می خواهید دستتان را آلود کنید .

حتما ممکن می شود با ساختن یک firewall کاملا کاربردی و ایمن به قیمت سخت افزار و زمان شما .

3.5- بعضی قوانین منطقی فیلتر کردن برای یک صفحه پخش بر مبنای (kernel – based)kernel این مثال خاص ipfwadm روی لینوکس نوشته شده اما اصول آن و حتی بیشتر ترکیب برای دیگر واسطه ها کرنل برای بسته پخش در سیستم های open source unix نیز به کار می رود .

چهار دسته ی اصلی وجود دارند که قوانین ipfwadm آن ها را پوشش می دهد .

A: Paclect Accounting I Input firewall O Out put firewall F Forwarding firewall Ipfwadm قابلیت های تغییر حالت دارد .

(m-) جهت اطلاعات بیشتر در زمینه جا به جایی ها و گزینه ها می توانید صفحه Ipfwadm را ببینید .

3.5.1- اجراکردن (پیاده کردن) اینجا سازمان ما در حال استفاده از یک شبکه خصوصی 192.168.1.0.classc(RFC1918)است .

Isp آدرس 201.123.102.32 را برای واسط خارجی دروازه ی ما تعیین می کند و همچنین 201.123.102.33 برای سرور پستی خارحی ما سیاست سازمانی چنین می گوید .

مجاز دانستن تمام اتصالات tcp در حال خروج مجاز دانستن SMTP , DNS برای سرور پستی خارجی مسدود کردن تمام ترافیک دیگر قطعه ی فرمان هایی که در زیر آمده می تواند در یک فایل بوت جای گیرد (شاید Re local روی سیستم های unix) Ipfwadm – f –f -f – f deny 3.5- توضیح خط اول انعکاس می دهد (-f) تمام قوانین (-f) پیش رونده خط دوم رویه پیش فرض را (-p) برای رد کردن تنظیم می کند .

خط سوم قوانین ورودی (input) (-i) در قالب زیر هستند : Ipfwadm – f(forward)-i(input) m(masq)-b(bi-directional) p protocol)[protocal] – s (source)[subnet/mask] [ariginating parts] – d (destination)[subnet / mask][part] خط ششم یک قاعده ای اضافه می کند (-a) که امکان می دهد تمام آدرس های IP داخلی را برای تمام آدرس های خارجی در تمام پروتوکل ها و تمام پورتها خط هشتم راهی اضافه می کند که تمام ترافیکی که می رود به 201.123.102.33 هدایت خواهد شد به آدرس داخلی 192.168.1.2 .

3.6- تعدادی از قوانین منطقی فیلتر کردن برای یک cisco چه چیزهایی هستند ؟

نمونه شکل 4 یک پیکر بندی ممکن برای استفاده ی cisco به عنوان فرستنده ی فیلتر کننده را نشان می دهد .

آن نمونه ای است که اجرای سیاست خاص را نشان می دهد .

سایت شما بدون شک فرق دارد .

در این نمونه یک شرکت این آدرس شبکه 195.55.55.0.classc را دارد .

شبکه شرکت متصل به اینترنت است از طریق IP server Provider سیاست شرکت این است که به همه اجازه دسترسی به خدمات اینترنت را بدهد ، بنابراین تمام اتصالات در حال خروج پذیرفته می شوند .

تمام اتصالات (connection ها ) در حال ورود از طریق mailhost بررسی می شوند .

mail و DNS تنها خدمات در حال ورود هستند .

3.6.1- اجرا مجاز دانستن تمام ارتباطات tcp در حال بیرون رفتن مجاز دانستن DNS , SNTP برای میزبان پستی (mail host) مجاز دانستن ارتباطات داده ای ftp در حال آمدن برای پورت بالای tcp (1024) تلاش برای پشتیبانی از سرویس هایی که روی شماره های پورت بالا دوام می آورند .

فقط بسته های در حال آمدن (جدید ؟) از اینترنت در این پیکر بندی چک می شوند .

قوانین به ترتیب تست می شوند و زمانی که اولین مطابقت (یا match ) پیدا شد متوقف می شوند .

یک قانون نفی (رد کردن) در انتهای لیست ورود وجود دارد که همه چیز را رد می کند .

این لیست دستیابی IP فرض می کند که شما در حال اجرای cisco 10sv .10.3 یا بعدی هستید .

هیچ مسیر – منبع ip واسط ethement 3.6.2- توضیحات از قلم انداختن تمام بسته های به منبع فرستاده شده ارسال کننده منبع می تواند برای آدرس جعلی استفاده شود .

از قلم انداتن برنامه های فرستاده شده که در حمله های زیرکانه استفاده می شوند .

اگر یک بسته ی در حال آمدن ادعا کند که از یک شبکه محلی ، شبکه ی loopback یا شبکه خصوصی می آید آن را جا بیاندازد .

تمام بسته هایی که قسمتی از ارتباطات – tcp از قبل تثبیت شده هستند می توانند بدون بررسی زیاد منتقل شوند .

تمام ارتباطات (connection ها ) برای شماره های پورت پایین مسدود هستند به جز DNS , SMTP متوقف کنید تمام سرویس هایی که حواستان به اتصالات tcp روی شماره های پورت بالاست .

X11 (پورت = b000 )و open windows (port 2000 +) تعدادی از گزینه ها هستند .

NES (پورت و 2049 ) معمولا روی udp اجرا می شود ، البته می تواند روی tcp هم اجرا شود بنابراین شما باید آن را متوقف کنید .

ارتباط های در حال ورود از پورت 20 به شماره های پورت بالا احتمال باید اتصالات داده ای ftp باشند .

لیست ورود 2 دستیابی به خود فرستنده را محدود می کند .

(telent & snmp) تمام ترافیک UDP برای پشتیبانی از خدمات RPC متوقف می شود .

3.6.2- ضعف ها (نقاط ضعف؟) شما نمی توانید سیاست های قوئی ورود را با لیست های ورود فرستنده به اجرا در آورید .

کاربران می تواند خیلی راحت با نصب درهای پشتی برای سیستم ها یشان از قوانین noincoming telnet یا no x 11 خلاص شوند .

شما هر گز نمی توانید مطمئن باشید منتظر چه خدماتی برای ارتباطاتی روی پورت های شماره ی بالا هستید (همچنین ) از خدماتی که در شماره های پورت پایین منتظرشان هستید ، مخصوصا در محیط های فوق العاده تمرکز زدا جایی که افراد می توانند دستگاه های خود را روی شبکه بگذارند یا در جایی که آن ها می توانند دستیابی اجرایی برای دستگاه خودشان داشته باشند .

چک کردن پورت منبع روی ارتباطات داده ای FTP روشن امنیتی ضعیفی است .

آن همچنین ورود به بعضی سایت های FTP را هم کار می اندازد .

آن استفاده از سرویس را برای کاربران مشکل تر می سازد بدون اینکه مانع از اسکن شدن سیستم های شما توسط افراد شرور شود .

حداقل ورژن 9.21 را استفاده کنید تا بتوانید بسته هایی در حال آمدن را فیلتر و آدرس گمراه کننده را چک کنید .هنوز استفاده از ورژن 10.3 بهتر است ، جایی که شما بعضی ویژگیهای اضافی دارید ( مثل فیلتر پورت ) و بعضی اصطلاحات روی ترکیب فیلتر .

راههای دیگری هم برای قوی تر ساختن setap دارید .

تمام ارتباطات tcp در حال آمدن را متوقف کنید و به کاربران بگویید که مشتری هایی با ftp – غیر فعال (بی تاثیر) را به کار ببرد .

شما میتوانید همچنین پاسخ – انعکاس lcmp در حال رفتن را متوقف کنید و همین طور پیامهای نرسیده به هدف(مقصد) را تا شبکه شما مخفی شود و از اسکنرهای شبکه محفوظ بماند .Cisco .com برای داشتن یک مجموعه از مثال ها جهت ساختن firewall ها با کمک فرستنده های Cisco ، استفاده میشود ، اما دیگر لازم نیست online باشد .

نکاتی چند در مورد لیست های کنترل ورود Cisco وجود دارند ، حداقل در ftp://ftp.cisco.com/pvb/mibs/app notes/access-lists.

3.7- منابع مهم در یک firewall چه چیزهایی هستند؟

شناخت منابع مهم ساختار firewall تان مهم است ، وقتی که شما توانایی طراحی ، اجرای بهینه سازی و غیره را داشتند دقیقا میدانید چه کاری لازم است انجام دهید و چقدر باید آن را انجام دهید تا به نتیجه مطلوب خود برسید .

دقیقا کدام منابع مهم firewall دوست دارند از سایتی به سایت دیگر تغییر کنید ، این بستگی دارد به نوع ترافیکی که سیستم را لود می کند .

بعضی افراد فکر می کنند آن ها به طور خودکار قادر خواهند بود داده ها را از طریق firewall آن ها با قرار دادن در یک باکس بوسیله یک cpu سریع تر یا یک cpu دیگر ، افزایش دهند .

به طور بالقوه این می تواند هزینه ی زیادی در برداشته باشد که هیچ مشکلی را سریعا حل نمی کند یا قابلیت مورد انتظار را فراهم نمی آورد .

در سیستمو های پرمشغله memory (حافظه) فوق العاده مهم است .

شما باید RAM کافی برای پشتیبانی از هر نمونه لازم برای سرویس لود که روی آن دستگاه قرار گرفته داشته باشید .و الا معاوضه یا تعویض آغاز می شود و مزایای (بهره وری متوقف خواهد شد .

معاوضه سبک مشکل سختی نیست اما اگر معاوضه فضا در یک سیستم زیاد شود ، آن وقت Ram بیشتری لازم است .

سیستمی که به شدت در حال معاوضه است ممکن است به راحتی از لبه ی پرتگاه حمله ی dentinal of service (نفی یک سرویس) سقوط کند یا از پردازش بار روی آن (load) عقب بیافتد .

و در این جاست که تاخیرها زیاد email آغاز می شود .

گذشته از شرایط و لوازم سیستم برای حافظه ، مفید است که بدانید سرویس های مختلف منابع سیستمی مختلفی نیز استفاده می کنند .

بنابراین پیکر بندی که شما برای سیستمان دارید باید گویای نوع لودی باشد که قصد دارید سرویس کنید .

یک پردازشگر 1400MHZ برای شما خیلی خوب کار نمی کند اگر تمام آنچه که انجام می دهید اخبارهای نت (net news) و mail باشند و سعی داشته باشید آن را روی یک دیسک IDE با یک کنترل کننده ISA انجام دهید .

3.8- DMZ چیست و چرا من یکی از آن را می خواهم ؟

DMZ مختصر واژه ی demilitarizes zone (یعنی منطقه ی غیر نظامی) است .

در متن firewall ها این اشاره دارد به قسمتی از شبکه که نه جزئی از شبکه داخلی و نه مستقیما جزئی از اینترنت است .

معمولا این جا ناحیه ایست بین فرستنده ی ورود اینترنت شما و میزبان با باستیون شماست ، البته می تواند بین هر دو عامل سیاست از ساختار شما باشد .

یک DMZ می تواند با گذاشتن لیست های کنترل ورود روی فرستند ورود شما ساخته شود .

و با این کار نمایش میزبان ها روی LAN خارجی شما به حداقل می رسد به خاطر امکان تنها خدمات تایید شده و کنترل شده روی آن میزبان ها تا اینکه آن ها برای میزبانان روی اینترنت قابل حصول باشند .

بسیاری از firewall های بازرگانی صرفا یک واسط سوم از میزبان باستیون می گیرند و به آن بر چسب DMZ می دهند ، نکته اینجاست که شبکه نه داخلی نه خارجی است .

برای مثال یک وب سرور که روی NT اجرا می شود ممکن است برای شماری از حمله های عدم پذیرش سرویس (denial of service) ضعیف و شکننده باشد ، سرویس هایی مانند SMB , NET BIOS , RPC این سرویس ها برای فعال بودن یک وب سرور لازم نیستند ، بنابراین متوقف کردن ارتباطات tcP به پورت های 135 .

137 .

138 و 139 روی آن میزبان خطی حمله ی عدم پذیرش سرویس را کاهش می دهد .

در واقع اگر همه چیز به جز ترافیک http به آن میزبان متوقف کنید (خاتمه دهید) یک حمله کننده فقط یک سرویس برای حمله خواهد داشت .

در اینجا اصل مهمی آشکار می شود : هرگز بیشتر از پشتیبانی خدماتی که می خواهید به عموم ارائه کنید به حمله کننده ها کار ندهید .

3.9- من چطور می توانم ایمنی و قابلیت DMZ خود را افزایش دهم ؟

را کار متداول یک حمله کننده نفوذ به میزبانی است که در برابر حمله ضعیف است و بهره بردن از ارتباطات مطمئن بین میزبان ضعیف و انتخاب های جالب تر .

اگر شما در حال اجرای شماری از خدمات هستید که سطوح مختلف امنیتی دارند ممکن است بخواهید ، نفوذ DMZ خود در چندین منطقه ی امنیتی را بررسی کنید .

این کار با داشتن شبکه های مختلفی در DMZ می تواند شدنی باشد .

برای مثال فرستنده ی ورود می تواند دو تا Ethernets را تغذیه کند (تامین کند ) که هر دو بوسیله Acls حمیات می شوند و بنابراین در DMZ .

در یکی از Ethernets ها ممکن است شما میزبان هایی داشته باشید که هدف آن ها تامین نیازهای سازمان شما برای پیوستگی اینترنتی ست .

اینها بستگی دارند به MAIL اخبار و میزبان DNZ در Ethernet دیگر ممکن است وب سرورهای شما و دیگر میزبان ها قرار داشته باشند .

که سرور ها را به خاطر بهره بردن از اینترنت کاربران فراهم می کنند .

در بسیاری موسسات ، خدمات برای کاربران اینترنت بی احتیاط ترند و احتمال بیشتری دارند که کارهای غیر ایمنی انجام دهند به طور نمونه در مورد یک و با سرور کاربران غیر قابل اطمینان و غیر معتبر ممکن است در حال اجرای PHP , CGL یا دیگر برنامه های قابل اجرا باشند .

این ممکن است برای وب سرور شما منطقی باشد .

اما شاید خطراتی را به دنبال داشته باشد که لازم است کنترل شوند .

احتمالاً این سرویس ها برای یک سازمان به منظور اجرای آنها روی یک میزبان باسیتون خیلی خطرناک هستند ، یعنی در جایی که یک بی دقتی یا اشتباه می تواند به شکست کامل مکانیسم های امنیتی شود .

از طریق گذاشتن با همدیگر میزبان ها با سطوح مشابهی از خطی روی شبکه ها در DMZ ، می توانید تأثیر یک نفوذ در ساتیتان را به حداقل برسانید .

اگر بعضی با بهره بردن از چند نقص در وب سرور شنا به آن نفوذ کنند ، نخواهند توانست از آن به عنوان یک سکو استفاده کنند و به شبکه خصوصی شما نفوذ پیدا کنند ، البته اگر که وب سرورها روی یک LAN جدا از میزبان های باستیون باشند و شما بین وب سرور و میزبان باستیون هیچ ارتباط مطمئنی (معتبری) نداشته باشید .

اکنون به یاد داشته باشید که این Ethernet است .

اگر کسی به وب سرور شما نفوذ کند و میزبان با ستیون شما هم روی همان Ethernet باشد ، یک حمله کننده می تواند یک Sniffer (بوکننده ، بوکش) روی وب سرور شما نصب کند و ترافیک به و از میزبان باستیون شما را تحت نظر بگیرید.

این می تواند باعث پدیدار شدن چیزهایی شود که می توانند برای نفوذ به میزبان باستیون و ورود به شبکه داخلی مورد استفاده قرار گیرند .

(Ethernet تغییر داده شده ، می تواند خطر قرار گرفتن این مشکل را برای شما کاهش دهد ، اما آن را کاملاً از بین نخواهد برد .) با جدا شدن سرویس ها (خدمات) نه فقط از راه میزبان بلکه همچنین بوسیله شبکه و با محدود کردن سطح اطمینان بین میزبان ها و آن شبکه ها می توانید تا حد زیادی احتمال دزدی روی یک میزبان که برای نفوذ به دیگری استفاده می شود را کاهش دهید .

خلاصه اینکه : نفوذ به وب سرور در این مورد ، کار نفوذ به میزبان باستیون را به هیچ وجه آسان نمی کند .

شما همچنین می توانید قابلیت ساختار خود را با قرار دادن میزبان هاروی شبکه های متفاوت افزایش دهید .

هر چه دستگاهایی که قرار است پهنای باند موجود را تقسیم کنند کمتر باشند ، به هر کدام پهنای باند بیشتری خواهد رسید .

3.10- « تنها نکته ی شکست » چیست و من چطور می توانم از آن اجتناب کنم ؟

یک ساختار که ایمنی آن وابسته به یک مکانیسم باشد یک نشان از شکست دارد .

نرم افزاری که میزبان های باستیون را اجرا می کند ، ضعف هایی دارد .

تقاضاها (Application) نقص هایی دارند .

نرم افزاری که فرستنده ها را کنترل می کند نقوصی دارد .

عاقلانه به نظر می رسد که تمام این عوامل را برای ساخت یک شبکه ایمن ـ طراحی شده استفاده کرد و آنها را در راه های اضافه بر سازمان نیز به کار برد .

اگر ساختار Firewall شما یک زیر شبکه ی نمایش داده شده است (Screened Subnet) شما دو فرستنده ی فیلترکننده ی آماده دارید و یک میزبان باستیون (شؤال 3.2 از این بخش را ببینید .) فرستنده ورود ، اینترنت شما اجازه ی ترافیک از اینترنت را نمی دهد تا تمام راه را در شبکه خصوصی شما بیاندازد .

هر چند اگر آن قانون را با هر مکانیسم دیگر در میزبان باستیون یا فرستنده Chode route اجرا نکنید .

فقط یک عامل از ساختار شما حتماً شکست می خورد یا به خطی می افتد .

از طرف دیگر اگر یک قانون اضافی در میزبان باستیون می داشتید و یا Cholle routey (فرستنده Choke) ، یک حمله کننده مجبور خواهد بود سه مکانیسم را شکست دهد .

به علاوه ، اگر میزبان باستیون یا فرستنده Choke حتماً باید از ان قانون کمک بگیرند تا دستیابی خارجی به شبکه را متوقف کنند ، ممکن است شما بخواهید آن را به صورت یک جور آژیر به کار ببرید ، به خاطر اینکه می دانید کسی از فرستنده ورود شما گذشته است .

3.11- چطور می توانم جلو تمام موارد بد را بگیریم ؟

برای Fire wall ها جایی که تأکید به جای پیوستگی (Connectivity) برای ایمنی قرار می گیرد ، شما باید توقف همه چیز با پیش فرض را در نظر داشته باشید و فقط مجاز کنید (سرویس هایی که یک مورد به مورد نیاز دارید .) اگر همه چیز را متوقف کنید به جزء یک مجموعه خاص از سرویس ها ، در این صورت کارتان را راحت تر ساخته اید .

به جای نگران بودن از هر برنامه امنیتی با هر محصولی و سرویس ، لازم است فقط درباره ی هر برنامه امنیتی با یک مجموعه خاص از محصولات و سرویس ها ، نگران باشید : قبل از رجوع کردن به یک سرویس باید سؤالاتی را در نظر بگیرید .

ـ آیا پروتوکل برای این محصول یک پروتوکل منتشر شده ی ، شناخته شده است ؟

ـ آیا تقاضا برای به کار بردن این پروتوکل ، برای کنترل عمومی اجرای ان در دسترس است ؟

ـ سرویس و محصول چقدر شناخته شده و معروف است ؟

ـ امکان دادن این سرویس ، چگونه ساختار Fire wall را تغییر می دهد ؟

آیا یک حمله کننده چیزها را متفاوت می بیند ؟

آیا می شود از آن برای رسیدن به شبکه داخلی من یا تغییر کارها در میزبان ها در DMZ من ، سوء استفاده شود ؟