فايروال ها : يک ضرورت اجتناب ناپذير در دنياى امنيت اطلاعات
سخاروش – امنيت اطلاعات و ايمن سازى کامپيوترها به يک ضرور غيرقابل انکار در عصر اطلاعات تبديل شده است. پرداختن به مقوله امنيت اطلاعات با زبانى ساده بيش از هر زمان ديگر احساس مى شود، چراکه هر يک از عوامل انسانى و غيرانسانى داراى جايگاه تعريف شده اى در نطام مهندسى امنيت اطلاعات مى باشند. آشنائى اصولى و منطقى با اين نطام مهندسى و آگاهى از عناصر موجود در اين ساختار به همراه شناخت علمى نسبت به مسئوليت هر يک از عناصر فوق، امرى لازم و حياتى است.
فايروال ها ، يکى از عناصر اساسى در نطام مهندسى امنيت اطلاعات مى باشند که استفاده از آنان به يک ضرورت اجتناب ناپذير در دنياى امنيت اطلاعات و کامپيوتر تبديل شده است . بسيارى از افراد که جديدا” قدم در عرصه گسترده امنيت اطلاعات مى گذارند ، داراى نگرانى و يا سوالات مفهومى خاصى در ارتباط با فايروال ها و جايگاه استفاده از آنان در جهت ايمن سازى شبکه هاى کامپيوترى مى باشند .
در اين مطلب قصد داريم به برخى از مفاهيم و نکات مهم و اساسى در خصوص فايروال ها اشاره اى داشته باشيم تا از اين رهگذر بتوانيم دانش لازم به منظور بکارگيرى و مديريت بهينه فايروال ها را بدست آوريم .
NAT ( برگرفته از Network Address Translation )
اولين و در عين حال مهم ترين وظيفه يک فايروال ، جداسازى شبکه داخلى يک سازمان از اينترنت است . يکى از فنآورى هاى موجود که ما را در جهت نيل به خواسته فوق کمک مى نمايد ، جداول NAT مى باشند ( NAT ، همچنين کمک لازم در جهت حل معضل کمبود آدرس هاى IP را ارائه مى نمايد ) . مهمترين ايده مطرح شده توسط NAT ، عدم دستيابى به اکثر کامپيوترهاى موجود در يک شبکه خصوصى از طريق اينترنت است . يکى از روش هاى نيل به خواسته فوق ، استفاده از آدرس هاى IP غيرمعتبر ( Invalid ) مى باشد .
در اکثر موارد بکارگيرى NAT ، صرفا” آدرس IP معتبر (Valid ) به فايروال نسبت داده مى شود و تمامى کامپيوترهائى که مسئوليت حفاظت از آنان به فايروال واگذار شده است ، از آدرس هاى IP که صرفا” بر روى شبکه داخلى معتبر مى باشد ، استفاده مى نمايند . با تبعيت از چنين رويکردى ، زمانى ه يک کامپيوتر موجود در شبکه داخلى نيازمند برقرارى ارتباط با دنياى خارج است ، اقدام به ارسال درخواست خود براى فايروال مى نمايد . در ادامه فايروال به نمايندگى از کامپيوتر متقاضى ، درخواست مورد نظر را ارسال مى نمايد . در زمان مراجعت درخواست ارسالى ، پاسخ مربوطه به فايروال رسيده و در نهايت ، فايروال آن را براى کامپيوتر موجود در شبکه داخلى ارسال مى نمايد .
فرض کنيد ، کاربرى قصد داشته باشد که يک وب سايت خاص را از طريق کامپيوتر موجود بر روى يک شبکه داخلى ملاقات نمايد .پس از درج آدرس وب سايت مورد نظر در بخش آدرس برنامه مرورگر ، درخواست وى به يک درخواست HTTP ترجمه شده و باى فايروال ارسال مى گردد . در ادامه ، فايروال از آدرس IP مختص به خود در ارتباط با درخواست HTTP و به نمايندگى از کاربر ارسال کننده درخواست ، استفاده مى نمايد . پس از پاسخ به درخواست ، پاسخ مربوطه براى فايروال ارسال شده و در نهايت فايروال آن را براى کاربر مربوطه ارسال مى نمايد .
فيلترينگ پورت ها
فيلترينگ پورت ها از جمله مهمترين عملياتى است که توسط فايروال ها انجام مى شود و شايد به همين دليل باشد که اکثر مردم بر اين اعتقاد هستند که فايروال ها صرفا” به همين دليل خاص طراحى و پياده سازى شده اند و اغلب ، آنان را به عنوان ابزارى در جهت فيلترينگ پورت ها تصور مى نمايد . همانگونه که مى دانيد ، مبادلات اطلاعات مبتنى بر پروتکل TCP/IP با استفاده و محوريت پورت ها انجام مى گردد . در اين رابطه 65،535 پورت TCP و به همين اندازه پورت UDP جداگانه وجود دارد که مى توان از آنان به منظور مبادله اطلاعات استفاده نمود .
به منظور آشنائى با جايگاه پورت ها و نقش آنان در مبادله اطلاعات در پروتکل TCP/IP ، مى توان آنان را نظير ايستگاه هاى راديوئى تصور نمود . فرض کنيد TCP به عنوان موج FM و UDP به عنوان موج AM باشد . در چنين وضعيتى ، مى توان يک پورت در پروتکل TCP/IP را همانند يک ايستگاه راديوئى تصور نمود . همانگونه که يک ايستگاه راديوئى با اهداف خاصى طراحى شده است ، پورت هى TCP و UDP نيز چنين وضعيتـى را داشته و با اهداف خاصى طراحى شده اند . يکى از مهمترين دلايل ضرورت استفاده از فايروال ها و فيلترينگ پورت ها ، استفاده غيرمتعارف از پورت ها به منظور نيل به اهدافى ديگر است . مثلا” پورت 21 مربوط به پروتکل TCP بطور سنتى به منظور FTP استفاده مى گردد و مهاجمان مى توانند از پورت فوق و با استفاده از برنامه هائى نظير Telnet سوء استفاده نمايند ( با اين که پورت فوق به منظور استفاده توسط برنامه Telnet طراحى نشده است ) .
پويش پورت ها و آگاهى از پورت هاى باز ، از جمله روش هاى متداولى است که توسط مهاجمان و به منظور يافتن يک نقطه ورود مناسب به يک سيستم و يا شبکه کاپيوترى ، مورد استفاده قرار مى گيرد . مهاجمان پس از آگاهى از پورت هاى باز ، با بکارگيرى برنامه هائى نظير Telnet زمينه ورود غير مجاز به يک سيستم را براى خود فراهم مى نمايند .
وضعيت فوق و تهديدات امنيتى مرتبط با آن ، ضرورت فيلترينگ پورت ها را به خوبى نشان مى دهد . با فيلترينگ پورت ها ، اين اطمينان ايجاد خواهد شد که هيچ چيزى نمى تواند از طريق يک پورت باز ارسال گردد مگر پروتکل هائى که توسط مديريت شبکه به آنان اجازه داده شده است . مثلا” در صورتى که فيلترينگ پورت بر روى پورت 21 مربوط به پروتکل TCP اعمال گردد ، صرفا” به مبادلات اطلاعات مبتنى بر FTP اجازه داده خواهد شد که از اين پرت استفاده نمايند و مبادله اطلاعات به کمک ساير پروتکل ها و بکارگيرى پورت فوق ، امکان پذير نخواهد بود .
محدوده عملياتى فيلترينگ پورت ها مى تواند از موارد اشاره شده نيز تجاوز نموده و در سطح هدر يک بسته اطلاعاتى و حتى محتويات آن نيز تعميم يابد . در چنين مواردى ، هدر بسته اطلاعاتى بررسى و با مشاهده اطلاعاتى نظير آدرس مبداء ، مقصد ، شماره پورت و ساير موارد ديگر در رابطه با آن اتخاذ تصميم مى گردد . مشکل موجود در اين رابطه به وجود اطلاعات جعلى و يا نادرست در هدر بسته هاى اطلاعاتى برمى گردد . مثلا” فرستنده مى تواند آدرس هاى IP و ساير اطلاعات ذخيره شده در هدر بسته هاى اطلاعاتى را جعل نمايد . به منظور غلبه بر مشکل فوق ، نوع ديگرى از فيلترينگ که برخى فايروال ها به آن stateful packet inspections و يا فيلترينگ پوياى بسته هاى اطلاعاتى مى گويند ، ايجاد شده است . در مدل فوق ، در مقابل بررسى هدر بسته هاى اطلاعاتى ، محتويات آنان مورد بازبينى قرار مى گيرد . بديهى است با آگاهى از اين موضوع که چه چيزى در بسته اطلاعاتى موجود است ، فايروال ها بهتر مى توانند در رابطه با ارسال و يا عدم ارسال آن براى يک شبکه داخلى تصميم گيرى نمايند .
ناحيه غيرنطامى ( Demilitarized Zone )
نواحى غيرنظامى ( DMZ ) ، يکى ديگر از ويژگى هاى ارائه شده توسط اکثر فايروال ها مى باشد . DMZ ، ناحيه اى است که تحت قلمرو حفاظتى فايروال قرار نمى گيرد . فايروال هاى مختلف ، نواحى DMZ را با روش هاى متفاوتى پياده سازى مى نمايند . مثلا” برخى از فايروال ها ، صرفا” شما را ملزم به معرفى آدرس IP ماشينى مى نمايند که قصد استقرار آن در ناحيه DMZ وجود دارد .برخى از فايروال ها داراى يک پورت شبکه اى اختصاصى مى باشند که مى توان از آن براى هر نوع دستگاه شبکه اى که قصد استقرار آن در ناحيه DMZ وجود دارد ، استفاده گردد .
پيشنهاد مى گردد ، حتى المقدور از نواحى DMZ استفاده نگردد ، چراکه ماشين هاى موجود در اين نواحى از امکانات حفاظتى و امنيتى فايروال استفاده نخواهند کرد و تنها گزينه موجود ر اين رابطه امکانات ارائه شده توسط سيستم عامل نصب شده بر روى ماشين و ساير توصيه هائى است که با رعايت و بکارگيرى آنان ، وضعيت امنيتى سيستم بهتر مى گردد .
در صورتى که براى ايجاد يک ناحيه DMZ دلايل موجه و قانع کننده اى وجود دارد ، مى بايست با دقت و برنامه ريزى صحيح توام با رعايت مسائل امنيتى اقدام به انجام چنين کارى گردد. در صورتى که ماشين مستقر در ناحيه DMZ داراى يک اتصال به شبکه داخلى نيز باشد ، مهاجمان با تمرکز بر روى ماشين فوق مى توانند نقطه مناسبى براى ورود به شبکه را پيدا نمايند . پيشنهاد مى گردد به عنوان يک قانون و اصل مهم ، ماشين هاى موجود در ناحيه DMZ داراى اتصااتى به غير از پورت DMZ فايروال نباشند .
فورواردينگ پورت ها
در بخش قبل به نحوه عملکرد فيلترينگ پورت ها به منظور بلاک نمودن استفاده از يک پروتکل بجزء يک آدرس IP خاص، اشاره گرديد . فورواردينگ پورت نيز بر اساس همين مفاهيم مطرح و در سازمان هائى که در ارتباط با NAT مى باشند ، کارساز خواهد بود .
براى آشنائى با مفهوم فورواردينگ پورت ها ، يک مثال نمونه را بررسى مى نمائيم .
فرض کنيد ، سازمانى داراى يک سرويس دهنده وب است که از آدرس IP: 192.168.0.12 ( يک آدرس معتبر نمى باشد ولى فرض کنيد که چنين واقعيتى وجود ندارد ) استفاده مى نمايد و مى بايست امکان دستيابى عمومى به آن فرام گردد . در صورتى که سرويس دهنده وب فوق تنها سرويس دهنده موجود در سازمان است که مى بايست امکان دستيابى عمومى به آن فراهم گردد ، مى بايست يک قانون فيلترينگ بسته هاى اطلاعاتى در سطح فايروال تعريف گردد که تمامى درخواست هاى HTTP بر روى پورت 80 و به مقصد هر آدرس موجود در شبکه بجزء آدرس IP:192.168.0.12 ، بلاک گردد . پس از تعريف قانون فوق ، در صورتى که کاربرى يک درخواست HTTP را براى آدرس هاى ديگرى ارسال نمايد ، با پيامى مبنى بر اين که وب سايت درخواستى وجود ندارد ، مواجه خواهد شد .
در مثال فوق ، اين فرض نادرست را کرديم که امکان دستيابى عمومى به آدرس IP:192.168.0.12 وجود دارد . آدرس فوق صرف” بر روى يک شبکه خصوصى معتبر بوده و امکان دستيابى آن از طريق اينترنت وجود نخواهد داشت . بديهى است در چنين وضعيتى مى بايست آدرس سرويس دهنده وب خصوصى خود را با يک آدرس عمومى جايگزين نمائيد . ( با اين که يک گزينه مطلوب در اين رابطه نمى باشد ) . برخى از مراکز ارائه دهنده خدمات اينترنت ( ISP ) ، صرفا” امکان استفاده از يک آدرس IP عمومى را در اختيار شما قرار داده و بديهى است که در چنين مواردى ما داراى گزينه هاى متعددى براى اختصاص اين آدرس نخواهيم بود و مى بايست آن را به فايروال اختصاص داد .
يکى از موارد استفاده سنتى از NAT به مواردى نظير آنچه اشاره گرديد ، بر مى گردد . سازمان فرضى داراى صرفا” يک آدرس IP معتبر است و آن را به فايروال نسبت داده و از NAT به منظور تسهيل در مبادله اطلاعات بين ماشين هاى موجود در شبکه داخلى و اينترنت استفاده مى نمايد . در چنين مواردى يک مشکل همچنان باقى مى ماند . NAT به منظور بلاک نمودن ترافيک تمامى ارتباطات ورودى بجزء آنانى که درخواست آنان از طرف يکى از ماشين هاى موجود در شبکه داخلى ارسال شده است ، طراحى شده است و ما همچنان داراى يک سرويس دهنده وب مى باشيم که مى خواهيم امکان دستيابى عمومى به آن را نيز فراهم نمائيم .
به منظور حل مشکل فوق مى توان از فورواردينگ پورت استفاده نمود . در واقع فورواردينگ پورت ، قانونى است ه به فايروال مى گويد در صورتى که درخواست هاى خاصى بر روى يک پورت خاص براى وى ارسال شده باشد ، مى بايست درخواست مربوطه را براى يک ماشين طراحى شده بدين منظور بر روى شبکه داخلى، ارجاع نمايد . در مثال اشاره شده ، ما قصد داريم امکان دستيابى عمومى به سرويس دهنده وب را فراهم نمائيم . بدين منظور مى بايست يک قانون فورواردينگ پورت بدين منظور تعريف که به فايروال اعلام نمايد هر درخواست HTTP بر روى پروتکل TCP و پورت 80 را به آدرس IP:192.168.0.12 تغيير مسير داده و براى آن ارسال نمايد.
پس از تعريف قانون فوق ، شخصى که قصد دستيابى به وب سايت سازمان شما را داشته باشد ، پس از فعال نمودن برنامه مرورگر ، اقدام به درج آدرس سايت سازمان شما دربخش مربوطه مى نمايد. مرورگر کاربر مورد نظر به منظور آگاهى از آدرس domain سايت سازمان شما ، اقدام به ارسال يک درخواست DNS مى نمايد تا از اين طريق نسبت به آدرس IP نسبت داده شده به domain آگاهى لازم را پيدا نمايد . بديهى است آدرسى که پيدا خواهد شد و به عنوان مرجع در اختيار مرورگر قرار خواهد گرفت، همان آدرس IPعمومى است که شما آن را به فايروال نسبت داده ايد . مرورگر در ادامه ، درخواست HTTP را براى آدرس IP عمومى شما ارسال مى نمايد که در حقيقت اين درخواست براى فايروال ارسال مى گردد . فايروال درخواست را دريافت و آن را براى سرويس دهنده وب ارسال ى نمايد ( فورواردينگ ) .
خلاصه
در اين مطلب به جايگاه بسيار مهم فايروال ها در نظام مهندسى امنيت اطلاعات اشاره و پس از بررسى نحوه عملکرد آنان با چندين ويژگى مهم ارائه شده توسط فايروال ها آشنا شديم .