دیواره آتش در ویندوز چیست؟
سیستمی است بین کاربران یک شبکه محلی و یک شبکه بیرونی (مثل اینترنت) که ضمن نظارت بر بر دسترسی ها , در تمام سطوح , ورود و خروج اطلاعات را تحت نظر دارد
بسته های TCP و IP قبل و پس از ورود به شبکه وارد دیوارآتش میشوند و منتظر می مانند تا طبق معیارهای امنیتی خاصی پردازش شوند حاصل این پردازش احتمال وقوع سه حالت است :
۱- اجازه عبور بسته صادر میشود Accept Mode
2- بسته حذف میشود Blocking Mode
3- بسته حذف میشود و پیام مناسبی به مبدا ارسال بسته فرستاده میشود (Response Mode)
همانطور که همه جا ایست و بازرسی اعصاب خرد کن و وقتگیر است دیوار آتش نیز میتواند بعنوان یک گلوگاه باعث بالا رفتن ترافیک , تاخیر, ازدحام و بن بست شود .
از آنجا که معماری TCP/IP بصورت لایه لایه است ( شامل ۴ لایه : فیزیکی, شبکه, انتقال و کاربردی ) وهر بسته برای ارسال یا دریافت باید از هر ۴ لایه عبور کند بنابراین باید برای حفاظت باید فیلدهای مربوط شده در هر لایه را مورد بررسی قرار دهیم . بیشترین اهمیت در لایه های شبکه , انتقال و کاربرد است چون فیلد مربوط به لایه فیزیکی منحصربه فرد نیست و در طول مسیر عوض میشود . پس به یک دیوار آتش چند لایه نیاز داریم
سیاست امنیتی یک یک شبکه مجموعه ای از قواعد حفاظتی است که بنابر ماهیت شبکه در یکی از یه لایه دیوار آتش تعریف میشوند . کارهایی که در هر لایه از دیوار آتش انجام میشود عبارتست از :
۱- تعیین بسته های ممنوع ( سیاه ) و حذف آنها یا ارسال آنها به سیستمهای مخصوص ردیابی (لایه اول دیوار آتش)
۲- بستن برخی از پورتها متعلق به برخی سرویسها مثلTelnet , FTP و
(لایه دوم دیوار آتش)
۳- تحلیل یرآیند متن یک صفحه وب یا نامه الکترونیکی یا …. (لایه سوم دیوار آتش)
- A در لایه اول فیلدهای سرآیند بسته IP مورد تحلیل قرار میگیرد :
n آدرس مبدا( Source Address ) : برخی از ماشینهای داخل یا خارج شبکه حق ارسال بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
n آدرس مقصد( Destination Address ) : برخی از ماشینهای داخل یا خارج شبکه حق دریافت بسته را ندارند , بنابراین بسته های آنها به محض ورود به دیوار آتش حذف میشود .
IP آدرسهای غیرمجاز و مجاز برای ارسال و دریافت توسط مدیر مشخص میشود .
n شماره شناسایی یک دیتا گرام تکه تکه شده( Id & Fragment Offset ) : بسته هایی که تکه تکه شده اند یا متعلق به یک دیتا گرام خاص هستند حذف میشوند
n زمان حیات بسته (Time To Live ) : بسته هایی که بیش ازتعداد مشخصی مسیریاب را طی کرده اند حذف میشوند.
n بقیه فیلدها : بر اساس صلاحدید مدیر دیوار آتش قابل بررسی اند
بهترین خصوصیت لایه اول سادگی و سرعت آن است . چرا که در این لایه بسته ها بصورت مستقل از هم بررسی میشوند و نیازی به بررسی لایه های قبلی و بعدی نیست . به همین دلیل امروزه مسیریابهایی با قابلیت انجام وظایف لایه اول دیوار اتش عرضه شده اند که با دریافت بسته آنها را غربال کرده به بسته های غیر مجاز اجازه عبور نمیدهند .
با توجه به سرعت این لایه هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود بسته های مشکوک بیشتری حذف میشوند و حجم پردازش کمتری به لایه های بالاتر اعمال میشود
B - در لایه دوم فیلدهای سرآیند لایه انتقال بررسی میشوند :
n شماره پورت پروسه مبدا و مقصد : با توجه به این مساله که شماره پورتهای استاندارد شناخته شده اند ممکن است مدیر دیوار آتش بخواهد بخواهد مثلا سرویس FTP فقط برای کاربران داخل شبکه وجود داشته باشد بنابراین دیوار آتش بسته های TCP با شماره پورت ۲۰ و ۲۱ که قصد ورود یا خروج از شبکه را داشته باشند حذف میکند . ویا پورت ۲۳ که مخصوص Telnet است اغلب بسته است . یعنی بسته هایی که پورت مقصدشان ۲۳ است حذف میشوند .
n کدهای کنترلی (TCP Code BITS) : دیوار آتش با بررسی این کدها به ماهیت بسته پی میبرد و سیاستهای لازم برای حفاظت را اعمال میکند مثلا ممکن است دیوار آتش طوری تنظیم شده باشد که بسته های ورودی با SYN=1 را حذف کند . بنابراین هیچ ارتباط TCP از بیرون به شبکه برقرار نمیشود .
n فیلد شماره ترتیب و Acknowledgement : بنابر قواعد تعریف شده توسط مدیر شبکه قابل بررسی اند
در این لایه دیوار آتش با بررسی تقاضای ارتباط با لایه TCP , تقاضاهای غیر مجاز را حذف میکند . در این مرحله دیوار آتش به جدولی از شماره پورتهای غیر مجاز دارد . هر چه قوانین سخت گیرانه تری برای عبور بسته ها از این لایه وضع شود و پورتهای بیشتری بسته شوند بسته های مشکوک بیشتری حذف میشوند و حجم پردازش کمتری به لایه سوم اعمال میشود
C - در لایه سوم حفاظت بر اساس نوع سرویس و برنامه کاربردی صورت میگیرد :
در این لایه برای هر برنامه کاربردی یک سری پردازشهای مجزا صورت میگیرد . بنابراین در این مرحله حجم پردازشها زیاد است . مثلا فرض کنید برخی از اطلاعات پست الکترونیکی شما محرمانه است و شما نگران فاش شدن آنهایید در اینجا دیوار آتش به کمک شما می آید و برخی آدرسهای الکترونیکی مشکوک را بلوکه میکند , در متون نامه ها به دنبال برخی کلمات حساس میگردد و متون رمزگذاری شده ای که نتواند ترجمه کند را حذف میکند
یا میخواهید صفحاتی که در آنها کلمات کلیدی ناخوشایند شما هست را حذف کند و اجازه دریافت این صفحات به شما یا شبکه شما را ندهد .
انواع دیوارهای آتش :
دیوارهای آتش هوشمند :
امروزه حملات هکرها تکنیکی و هوشمند شده است به نحوی که با دیوارهای آتش و فیلترهای معمولی که مشخصاتشان برای همه روشن است نمیتوان با آنها مقابله کرد . بنابراین باید با استفاده از دیوارهای آتش و فیلترهای هوشمند با آنها مواجه شد .
از آنجا که دیوارهای آتش با استفاده از حذف بسته ها و بستن پورتهای حساس از شبکه محافظت میکنند , و چون دیوارهای آتش بخشی از ترافیک بسته ها را به داخل شبکه هدایت میکنند ,(چرا که درغیر این صورت ارتباط ما با دنیای خارج از شبکه قطع میشود . ) بنابراین هکرها میتوانند با استفاده از بسته های مصنوعی مجاز و شناسایی پورتهای باز به شبکه حمله کنند.
بر همین اساس هکرها ابتدا بسته هایی ظاهرا مجاز را بسمت شبکه ارسال میکنند .
یک فیلتر معمولی اجازه عبور بسته را میدهد و کامپیوتر هدف نیز چون انتظار دریافت این بسته را نداشته به آن پاسخ لازم را میدهد . بنابراین هکر نیز بدین وسیله از باز بودن پورت مورد نظر و فعال بودن کامپیوتر هدف اطمینان حاصل میکند . برای جلوگیری از ان نوع نفوذها دیوارآتش باید به آن بسته هایی اجازه عبور دهد که با درخواست قبلی ارسال شده اند
حال با داشتن دیوار آتشی که بتواند ترافیک خروجی شبکه را برای چند ثانیه در حافظه خود حفظ کرده و آنرا موقع ورود و خروج بسته مورد پردازش قرار دهد میتوانیم از دریافت بسته های بدون درخواست جلوگیری کنیم .
مشکل این فیلترها زمان پردازش و حافظه بالایی است که نیاز دارند . اما در عوض ضریب اطمینان امنیت شبکه را افزایش میدهند .
دیوارهای آتش مبتنی بر پروکسی :
دیوارهای آتش هوشمند فقط نقش ایست وبازرسی را ایفا میکنند و با ایجاد ارتباط بین کامپیوترهای داخل و خارج شبکه کاری از پیش نمیبرد . اما دیوارهای آتش مبتنی بر پروکسی پس از ایجاد ارتباط فعالیت خود را آغاز میکند . در این هنگام دیوارهای آتش مبتنی بر پروکسی مانند یک واسطه عمل میکند , به نحوی که ارتباط بین طرفین بصورت غیر مستقیم صورت میگیرد این دیوارهای آتش در لایه سوم دیوار اتش عمل میکنند . بنابراین میتوانند بر داده های ارسالی در لایه کاربرد نیز نظارت داشته باشند
دیوارهای آتش مبتنی بر پروکسی باعث ایجاد دو ارتباط میشود :
ارتباط بین مبدا و پروکسی
ارتباط بین پروکسی و مقصد
حال اگر هکر بخواهد ماشین هدف در داخل شبکه را مورد ارزیابی قرار دهد در حقیقت پروکسی را مورد ارزیابی قرار داده است و نمیتواند از داخل شبکه اطلاعات مهمی بدست آورد
دیوارهای آتش مبتنی بر پروکسی به حافظه بالا و CPU بسیار سریع نیاز دارند . و از انجا که دیوارهای آتش مبتنی بر پروکسی باید تمام نشستها را مدیریت کنند گلوگاه شبکه محسوب میشوند . پس هرگونه اشکال در آنها باعث ایجاد اختلال در شبکه میشود .
اما بهترین پیشنهاد برای شبکه های کامپیوتری استفاده همزمان از هر دو نوع دیوار آتش است . با استفاده از پروکسی به تنهایی بارترافیکی زیادی بر پروکسی وارد میشود . با استفاده از دیوارهای هوشمند نیزهمانگونه که قبلا تشریح شد به تنهایی باعث ایجاد دیواری نامطمئن خواهد شد . اما با استفاده از هر دو نوع دیوار أتش بصورت همزمان هم بار ترافیکی پروکسی با حذف بسته های مشکوک توسط دیوار آتش هوشمند کاهش پیدا میکند و هم با ایجاد ارتباط واسط توسط پروکسی از خطرات احتمالی پس از ایجاد ارتباط جلوگیری میشود .
با تشکر از آقای کاظم آقاسی برای تهیه و تنظیم این مقاله
کلمات کلیدی: divar e atash, FireWall چیست, Fragment Offset, ftp, tcp ip, telnet, آدرسهای غیر مجاز, امنیت در ویندوز xp, اینترنت, ترافیک سایت اینترنت, تیسیپی آیپی, جفنگ, دیتا گرام خاص, دیوار آتش, ردیابی اینترنتی, رمزگذاری, زمان حیات بسته Time To Live, سطوح دسترسی در اینترنت, سیاست امنیتی, شبکه, صفحه وب, فایروال ویندوز چیست, فایروال چیست, ماهیت شبکه, مقاله, نامه الکترونیکی, ورود و خروج اطلاعات, پروتکل اینترنت, پورتهای آزاد, پورتهای استاندارد, کاربران شبکه محلی —
فید مطالب سایت (
۶ شهریور ۸۷ @ ۵:۰۳ قبل از ظهر
خیلی ممنون از مقالتون