آیا شبکه شمـا از ایمنی کافى برخوردار است؟
تامین ایمنی کامل یک پایگاه عملا ممکن نیست، فقط راه تامین صد در صد ایمنى یک پایگاه، خارج کـردن آن از اینترنت مىباشد. اما روشهایى وجود دارد که از طریق آنها مىتوان قابلیت و توانایى پایگاههاى اینترنت را در مواجهه بـا مهاجمین رشد داد. رایج ترین شیوه براى این منظور، ایجاد یک مکانیسم کنترلى بـه نام Firewall مىباشد.
Firewall در واقع یک دیوار فیزیکى یا الکترونیک نمىباشد، بلکه انواع مختلفى از ترکیب سیستمهاى (Setups) رایانه ى یک Firewall را تشکیل مىدهد.
در کوتاه مدت، هر نوع سیستم امنیتى مىتواند تـا میزان قابلیت و توانایى خود، جواب گوى نیازهاى شمـا باشد. اگر قیمت یک Firewall بیش از پانزده هزار دلار باشد، معدل قیمت هر کانال رابطه ى (امکان تردد از این دیوار) حدود هزار و پانصد تـا دو هزار و پانصد دلار خواهد بود، و این مبلغ ممکن است بالاتر هم برود.
اولین وهله در تامین ایمنی یک پایگاه، اضافه کردن سخت افزار یا نرمافزار براى جبران کاستیها و نقایص امنیتى موجود در نرم افزار سیستم دلیل شبکه مىباشد.
سخت افزار افزودنى (onـadd) همان Firewall است و مفهوم این جمله این است که سخت افزار و نرمافزار بـه کمک یکدیگر ایمنی لازم را براى شبکه فراهم مىسازند.
اکثرا اصلاحات و ارتقاهاى سیستمهاى عامل، بسیارى از شکافهاى ایمنى را ترمیم و مسدود مىنماید، اما این، بـه تنهایى، نیاز بـه تامین ایمنی بیشتر در پایگاههاى وب را برطرف نمىسازد.
ممکن است اصلىترین و مهمترین بخش سختافزار موجود در یک پایگاه وب، مسیریاب (router) باشد که در واقع سوئیچى است که براى برقرارى رابطه یک پایگاه بـا اینترنت مـورد مصرف قرار مىگیرد.
این دستگاه، اطلاعات ورودى و خروجى بـه یا از یک پایگاه را که در بستههاى اطلاعات (Data packets) مرتب شدهاند کنترل مىنماید.
یک مسیریاب در سطحى پایینتر از سطح برنامه کاربردى، که سطح انتقال (Transport) همچنین نامیده مىشود، قرار دارد.
اضافه کردن این سطح فیلترسازى فقط چند صد دلار هزینه در بـر خواهد داشت.
براى مثال، قیمت خط رابطه ى (Globe Trotter) ، از مسیریابهاى Firewall متعلق بـه شرکت Open Raute Networks ، حدود ۷۹۵ دلار مىباشد که مىتواند علاوه بـر فیلترسازى بستههاى اطلاعات، مسیریابى و فشردهسازى دادهها را همچنین صورت دهد.
این نوع Firewall ، یکى از اولین نمونهها و Firewall ـهاى ویژه فیلتر کـردن بستههاى اطلاعات (filterـPlacket) بوده که این نمونه در واقع بـه منزله مسیریابى بود که نوع بستههاى اطلاعاتى که اجازه ورود از محوطه نا امن بیرون« insecure outside » بـه محوطه امن داخل Secure inside و بالعکس دارند را معین مىکند؛ بـه این فیلترها اصطلاحا فیلترهاى بستهاى گفته مىشود. فیلترهاى بستهاى، نیاز بـه یک مدیر پایگاه دارند تـا مراقب انواع بستههاى اطلاعات و کار آنها باشد. اما این کار بـر خلاف ظاهر آن، کار چندان آسان و ساده ى نیست.
یکى از کارهایى که فیلترهاى بستهاى انجام مىدهند این است که مبادله بستههاى اطلاعات بـا درگاههاى قراردادى دسترسى بـه خدمات شبکه (مثل FTP,Telnet و…) را بـر اساس قواعد تنظیم شده از طرف مدیر پایگاه، کنترل کنند. این فیلترها همین طور انواع مفرق بستههاى اطلاعات (مانند بستههاى قراردادهاى مفرق ICMP,UDP,TCP و…) را همچنین کنترل مىکنند .
مبدا و مقصد بستههاى اطلاعاتى را که از طریق Firewall مبادله مىشود؛ همچنین مىتوان از طریق این فیلترها کنترل نمود. کار فیلترها شبیه باجههاى عوارضى مىباشد که در جلوى یک پل قرار گرفته و بـا چشم الکترونیکى مراقب رفت و آمد (و واگذارى اجازه به) ماشین هاى مجاز براى ورود هستند .
به طور کلى، مطمئنترین راه براى حفظ ایمنی کامل یک سایت این است که بـه هیچ چیز اجازه ورود داده نشود، مگر این که مجوز ویِژه براى این کار در اختیار داشته باشد.
یک فیلتر بستهاى مىتواند فیلتر مسیریابى همچنین باشد، تـا رابطه را فقط بـا رایانه ها، شبکهها و سرویسهاى معین و مـورد تایید برقرار نماید .
حفظ و نگهدارى از لیست اجازه یا عدم اجازه ورود، خصوصا در وضعیتى که تغییرات بسرعت در آن اتفاق مىافتد، دشوار بـه نظر مىرسد. به همین دلیل یک فیلتر مسیریابى یا بستهاى بـه تنهایى نمىتواند جواب گوى نیازهاى امنیتى پایگاه باشد.
اما در چند سال اخیر آنچه که بـه عنـوان راه حل بهتر و مناسبتر بـه دست آمده است Firewall روى دروازها در لایه کاربرد (LevelـApplication) مىباشد که همراه بـا یک Firewall در لایه مدار (LevelـCircuit) یا مسیر یاب ویِژه مصرف مىشود. دروازه مدار، یک سرور واسط (Proxy) بین مسیریاب و اینترنت نصب مىکند. این پروکسى، پس رابطه واقعى بین منطقه حفاظت شده و اینترنت را کنترل مىکند. این نوع Firewall براحتى نصب مىشود بـه طورى که چندین شبکه حفاظت شده داخلى وجود خواهد داشت که از طریق یک Firewall مشترک بـه اینترنت متصل هستند .
در کتاب: Refelliny The Wily Hacker : Firewall نوشته ویلیام آر چسویک و استیون بلووین، بـه بحث درباه Firewall مختلط (hybrid) در لایههاى کاربرد و مدار پرداخته شده است. در این نوع راهاندازى (Setup) ، دروازه فیلترکننده بستهها بـه شبکه داخلى متصل مىشود و بعد بـه دروازه برنامه کاربردى از طریق فیلتر بستهاى دیگر بـه شبکه خارجى متصل مىشود.
در هیچ زمانى، شبکه خارجى مستقیما بـه شبکه داخلى متصل نخواهد شد؛ چون تمام چیز از طریق سرور واسط (Proxy) یا دروازه برنامههاى کاربردى انجام مىشود. شبکه خارجى از طریق دروازه برنامه کاربردى بـه یک سرور واسط متعلق بـه درگاه رابطه ى شبکه داخلى متصل مىشود . آقاى چسویک (Cheswick) معتقد است که در این طریق، ایمنی قابل ملاحظهاى (که وى آن را homedـ Dual یا دو وهله اى مىنامد) ایجاد مىشود که اما نیاز بـه حفظ و نگهدارى دارد.
اما در این مسیر، مسائل ى در عمل همچنین وجود خواهد داشت.
براى مثال، ممکن است بستههاى نرمافزار تـا زمانى که Firewall اجازه نداده است، بـه مقصد نرسند.
Firewall هاى مراقب وضعیت یا (WatchingـState) شیوه دیگر جلوگیرى از دسترسى افراد غیر مجاز بـه شبکه یک شرکت مىباشد. این Firewall ها بستههاى نرمافزار را شبیه یک Firewall سطح مدارى کنترل مىکنند. اما وهله اضافى همراه کـردن درگاههاى سیستم دلیل رایانه ى بـا رابطه اتى که بستهها تولید مىکنند را همچنین حاوی مىشود.
وقت ى که یک رابطه بسته (قطع) مىشود، Firewall امان دسترسى بـه درگاههاى بسته را مسدود مىکند تـا وقتى که دوباره آنها از طریق درست و مـورد تایید بازگشایى شوند. بـا اعمال و بـه کارگیرى این وهله ، مهاجمین دیگر قادر نخواهند بود تابا دستکارى در محافظهاى سیستم دلیل بـه درگاهى دست یابند.
Firewall مختلط در لایههاى کاربرد و مدار که توسط چسویک ارائه شد، بـه عنـوان استاندارد اولیه در شرکتهاى بزرگ مـورد مصرف قرار گرفت. حالا نیز، از آنجا که مراقبت وضعیت Watchingـ State همچنین بـه آن افزوده شده است، اکثر محصولات جدید Firewall از یک دروازه در لایه کاربرد که رابطه اطلاعاتى را از طریق یک فیلتر بستهاى در لایه مدار ایجاد مىکند. مصرف مىنمایند. اما امکان رابطه بـا لایههاى مدارى، توانایى ترجمه آدرسهاى IP شبکهاى را بـه Firewall مىدهد.
این ترجمه، آدرسهاى IP واقعى در شبکه را از دسترسى افراد خارج از شبکه مخفى نگاه مىدارد و معادلهاى مجازى براى آنها فراهم مىسازد. همین طور مصرف از این ترجمه، امکان سرقت آدرسهاى مزبور را همچنین از مهاجمان سلب خواهد نمود.
در بعضى مواقع، سیستمهاى Firewall از علائم و نشانهها بـه عنـوان یک وسائل دیگر امنیتى مصرف مىکنند. سرور Firewall متعلق بـه Border Ware یک Firewall مختلط بـا سبک چسویک مىباشد که داراى امکان تشخیص هویت است. این سرور Firewall اجازه (و امکان) دسترسى کاربران مـورد تایید بـه سرویسهاى شبکه از داخل و خارج را فراهم مىسازد . بـه جمله دیگر، یک کاربر مىتواند از شبکه خارجى و در اینترنت بـه پایگاهى در شبکه Telnet نماید، مشروط بـر آنکه ابتدا هویت وى شناسایى گردد.
اما امکان و اجازه دسترسى، فقط زمانى واگذار مىشود که علامت و نشانه توسط سرور شناسایى شود.
نوعى دیگر از سیستمهاى امنیتى همچنین بـه نام Socks وجود دارد که توابع کتابخانهاى آن را مىتوان بـه برنامههاى کاربردى مـورد نظر براى تامین رابطه امنیتى از طریق یک Firewall افزود. مزیت Sock این است که وقت کمترى را نسبت بـه نگارش یک پروکسى کامل، مىگیرد؛ چون در نگارش یک پروکسى، ابتدا باید بـه جدید اصلى برنامه کاربردى دسترسى پیدا کرد که اما این کار همواره امکان پذیر نیست؛ به همین دلیل کاربران باید از برنامههاى کاربردى موجود که Socks براى آنها نوشته است، مصرف نمایند.
انجمن NCSA ، که یک دسته صنعتى است و محصولات Firewall را ارزیابى مىکند، اخیرا اقدام بـه انتشار گزارشى نمود که در آن مشاغل ایالت متحده حاوی دولتى، فدرال و محلى در آن قید شده بود. این گزارش مىتواند الگویى براى الگوهاى جدید کاربرد Firewall بـه حساب آید. ۴۴ درصد از جواب گویان (در گزارش فوق) اظهار داشتند که سیستم آنها مـورد حملات خارجى قرار گرفته است و ۸۹ درصد از جواب گویان اظهار داشتند که Firewall ها بـه طور مرتب این حملات را دفع کرده اند. حملاتى که جواب گویان بـه آن اشاره کردند، حاوی سرقت آدرسهاى IP ، حملات ارسال پست، حملات تخریب سرویسها و همچنین پویش درگاهها مىباشد، که هر یک از مسائل فوق توسط ده درصد از جواب گویان اشاره شده است.
در گزارش NCSA ، حملات تخریب خدمات بیشترین نگرانى را براى ۳۸ درصد از جواب گویان باعث شده است. ارسال پستهاى خیلی (بمباران پستى)، یکى از روشهاى حملات تخریب خدمات است که سبب قطع رابطه ات شبکه و خرابى سیستم مىشود.
بمباران پستى سعى مىکند تـا کنترل مسیریاب را بـه دست گرفته و پس یک آدرس پستى همراه بـا میزان زیادى ترافیک بـه طرف سایت (مورد یورش قرار داده) سرازیر مىکند. از دیگر روشهاى تخریب خدمات، مىتوان بـه نفوذ در سرورهاى گمنام FTP ، انباشته کـردن بافرهاى ورودى و همچنین ارسال تعداد بسیار خیلی درخواست رابطه بـه سرورها براى هدر دادن حافظه موجود و از کار انداختن سیستم اشاره کرد. انجمن NCSA ، همین طور ارائه نرمافزار آزمون و تایید Firewall بـه سازندگان سیستمهاى Firewall را ضمانت کرده است. اطلاعات بیشتر در زمینه Firewall ها و شیوه فعلى حملات را مىتوانید در پایگاه وب NCSA (www .ncsa.com) بیابید.
آقاى سام گلسنر، از مدیران انجمن NCSA معتقد است که یک Firewall تایید شده را مىتوان براى حفاظت از یک شبکه داخلى در مساوی مجموعه تهدیدات پیکر بندى کرد و امکان اجراى موثر کار هاى با ارزش و حساس در محیط اینترنت را فراهم نمود. بـه نظر ما تمامى سیستمهاى موجود در اینترنت باید نگران احتمال یورش خرابکاران باشـند ، اما تمامى سیستمها بـه یک Firewall احتیاج ندارند. اگر شمـا سرورى را در اینترنت تعبیه بکنید که تحالا بـه هیچ شبکه اینترنت متصل نشده است، یک مسیر یاب حفاظتى براى تامین ایمنی کافى خواهد بود. اما اگر اینترنت بـه شبکههاى داخلى وصل شده باشد، یک Firewall ، حداقل چیزى است که مىتواند ایمنی لازمه را تامین نماید. سیستمهایى که بیشتر کارهاى اجرایى و تجارى را صورت مىدهند، بیشتر در معرض تهدید قرار دارند که از جمله این سیستمها مىتوان بـه صنایع بیمه و مالیاتى اشاره کرد.
اخیرا همچنین تلاش هایى براى رشد «کارایى» Firewall هاى لایه کاربرد، انجام شده است .
Webstalker ، متعلق بـه Hay Stack در سطح سیستم دلیل کار مىکند و اگر چه یک Firewall نیست، اما مىتواند رفتار روى سرور که توسط یک Firewall حفاظت مىشود را کنترل نماید و در نکات ى هم چون دسترسى بـه فایلها، ID User ، تغییرات ID و اجراى برنامه بـه کار مىرود و آنها را (مورد هاى فوق) بـا پیشنویس (Profile) رفتار سیستم مقایسه مىنماید. پرو فایل سیستم از خط مشى حفاظتى که کاربر، در رابطه بـا سیستم دلیل انتخاب مىکند، مشتق شده است که بیشتر شبیه راهاندازى جعبه Netra یا اجراى Turbo Tax مىباشد. هرگاه فرآیندى درحال نقض سیاست (خط مشى) حفاظتى باشد، Webstalker در مساوی آن از خود عکس العمل نشان داده و مدیر سیستم را همچنین از آن مطلع خواهد تهیه .
Firewall هاى جدید، مانند AltaVista را مىتوان براى قبول یا رد انواع مشخصى از بستههاى اطلاعات، پیکربندى نمود. بارزترین نمونه، UDP مىباشد که یک پروتکل انتقال دادهها بوده که توسط سیستمهاى Conferencingـ Video مانند SeeMeـs CU’ White Pine و همچنین سیستمهاى مکالمه و شنوایى مصرف مىشود. هرگاه این نوع بستههاى اطلاعاتى در Firewall مسدود شود، کاربران دیگر امکان شرکت در کار هاى مبتنى بـر UDP را نخواهند داشت. انسداد بستههاى نرمافزارى UDP ، بدین معنى است که کاربران دیگر شاهد جدیدترین تغییرات و اصلاحات در وب نخواهند بود. فقط راه حل این مشکل، فراهم کـردن امکان دسترسى بـه بستههاى نرمافزارى UDP مىباشد. بعضى از Firewall ها بـا مصرف از برنامه کاربردى پروکسى این امکان را فراهم مىسازند.
راهاندازى و نصب یک Firewall ممکن است زمان زیادى را صرف نماید . یکى از جدیدترین راهنماهاى بازاریابى، این مساله را بـا Firewall هاى loadـ Pre برطرف ساخته است. یکى از این راهنماى بازاریاب، شرکت Point Software مىباشد که ۱ـ Firewall را عرضه کرده است و داراى سرورهاى d[1]‘ AST بوده و ویندوز NT را همچنین بـه اجرا درمىآورد . این شرکت همین طور داراى بستههاى نرمافزارى مشابهى براى Sun ، همراه بـا Solaris و IBM براى سیستمهاى AIX مىباشد. براى پشتیبانى از آدرسهاى اضافى IP مىتوان Firewall.First را بـه ۱ـ Firewall کامل ارتقاء ورژن کرد.
ساکس - خرید ساکس- ساکس رایگان - ساکس - ساکس جدید
شرکت Raptur همچنین داراى بستههاى نرمافزارى شبیه به آن بـا Firewall هاى Eagle خود براى Compaq و Digital مىباشد.
نکته بعد در مورد Firewall ها و ایمنی دادهها، تهدید پنهان اى است که از جاوا و اپلتهاى Active X ناشى مىشود. به همین دلیل مدیران شبکه محدودیتهایى را براى مصرف از اپلتها در نظر گرفتهاند. این محدودیت فقط از طریق بـه کارگیرى پروکسى برنامه کاربردى که براى شناسایى این اپلتها در جریان دادهها پیکر بندى شده است، در سطح برنامه کاربردى روى مىدهد. اکثر Firewall ها فاقد این مشخصه هستند .
s Watclguard’ Seatle Software را مىتوان بـه عنـوان اولین Firewall ذکر کرد که داراى جاوا و فیلترهاى Active X مىباشد. دیگر فروشندگان از جمله ۱ـ Network همچنین قصد دارند این فیلترها را بـه محصولات خود اضافه کنند.
امروزه در بازار، محصولات Firewall مناسبى یافت مىشود. اولین وهله در ارزیابى ایمنی شرکت خود، کسب اطمینان از وجود حفاظت و ایمنى در مساوی تهاجم خارجى مىباشد. همین طور مطمئن شوید که فیلترسازى بستهاى که از ورود آدرسهاى اینترنت از خارج از ساوقت شمـا جلوگیرى مىکند را در اختیار دارید. اینکار را مىتوانید بـا کنترل سرورهاى سازمانى خود صورت دهید. پس مناطق ویِژه شبکه خود را کنترل بکنید . اگر کاربران بـا اجراى امکانات تصویرى، که اصلا بـه آن نیازى هم ندارند، سبب بار هزینهاى سنگینى براى شمـا مىشوند، مىتوانید بـه فیلترهاى برنامهکاربردى که جریانات UDP را مسدود مىکنند، مراجعه بکنید . اگر برنامههاى کاربردى شمـا با ارزش و حساس هستند ، همچنین ممکن است که سعى بکنید حفاظت Firewall پیچیدهترى را براى خود فراهم بکنید .
در وقت تهیه Firewall ، سعى بکنید محصولى را انتخاب نمائید که مطابق نیازهاى شمـا باشد و قیمت آن همچنین بودجه زیادى براى شرکت شمـا تحمیل ننماید و وقت ورود Firewall پیچیدهتر بـه بازار، در صورت امکان از آن همچنین بى بهرهمند شوید.
مسؤولیت حفظ و نگهدارى از مدار و پروکسیهاى برنامه کاربردى، بـر عهده مدیر شبکه مىباشد که باید مشخصات Firewall را بـه وقت اضافه کردن برنامههاى کاربردى یا حذف برخى از آنها Update نماید. چون اکثر Firewall ها بـه گونهاى اجرا مىشوند که هر چیزى غیر از مسائل قید شده را مسدود مىنمایند. کسانى که مىخواهند براى اولین بار از یک برنامه کاربردى موجود در پشت Firewall مصرف کنند. بـا مسائل ى روبرو خواهند شد . به همین دلیل باید نیازهاى برنامه کاربردى معین شده و مطابق بـا آن، پروکسیهایى همچنین تنظیم یابند.
ایمنی وب سایت، شبیه ترطعم اى ضد قفل (lock brakesـanti) ماشین مىباشد؛ تـا وقتى که بـه آن نیاز پیدا نکنید، ارزش و ارزش آن براى شمـا نآشنا خته مىماند.ساکس - خرید ساکس- ساکس رایگان - ساکس - ساکس جدید
ساکس - شبکه...
ما را در سایت ساکس - شبکه دنبال می کنید
برچسب : شبکه,ساکس, نویسنده : محمد takvitrin-2013 بازدید : 161 تاريخ : چهارشنبه 17 مهر 1392 ساعت: 14:55