وقتی قرار باشد از یك ساختمان و وسایل داخل آن محافظت كنیم، اولین كاری كه انجام می دهیم، كنترل مبادی ورود و خروج ساختمان است. به بیان دیگر فقط به افراد منتخبی ، اجازه وارد شدن (و یا خارج شدن) از ساختمان را می دهیم. معیار انتخاب افراد برای كسی كه مامور كنترل ورود و خروج است بایستی در چارچوب یك خط مشی امنیتی، از قبل مشخص باشد.در مورد شبكههای كامپیوتری نیز بطور مشخص، همین روال را پیش می گیریم. یعنی مرزهای شبكه داخلی خود را كنترل میكنیم. منظور از مرز شبكه، لبه تماس شبكه داخلی با شبكه(های) خارجی نظیر اینترنت، شبكه یكی از شعب سازمان و یا شبكه یك سازمان دیگر است.برای كنترل این مرزها از Firewall استفاده میشود با پیادهسازی تكنیكهای Packet Filtering، بخشی از وظایف یك Firewall را می توان به Router(های) لب مرز واگذار كرد. ولی Routerها به تنهایی قادر به انجام كل وظایف یك Firewall نیستند و استفاده از Firewallها امری اجتناب ناپذیر است.
دلیل ناكافی بودن Packet Filtering در Router لب مرز دو چیز است: یكی اینكه اصولا” تمامی تكنیكهایی كه در Firewallها پیاده سازی میشوند، در Router قابل اجرا نیست و گذشته از آن، اصل دفاع لایه به لایه (یا دفاع در عمق) میگوید كه محافظت بایستی در بیش از یك لایه انجام شود.
مانند دژهای قدیمی كه با لایههای مختلف (خندق، دروازه اصلی، دروازههای فرعی، برجها و …) از آنها محافظت میشد. در شكلهای فوق، Router لب مرز، ترافیك را در سطح IP كنترل می كند. این Router اولین لایه دفاعی شبكه محسوب میشود. همانطور كه مشاهده میشود در این Router فقط به كاربرانی از اینترنت اجازه عبور داده می شود كه متقاضی یكی از سرویسهای وب، پست الكترونیك و یا DNS باشند. در هر شكل ناحیه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در این ناحیه سرورهایی را قرار میدهیم كه بایستی از اینترنت دیده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهیم DMZ را با یك مثال روشنتر توصیف كنیم، بایستی بگوییم كه DMZ مانند نمایشگاه و فروشگاه یك شركت است كه تقریبا” به همه اجازه داده میشود به داخل آن بیایند و از محصولات ما دیدن كنند، اصولا” نمایشگاه به همین منظور ایجاد شده، فلسفه وجودی Web Server این است كه از اینترنت دیده شود.ناحیه دیگری كه در شبكهها وجود دارد، ناحیه Private Network است. هیچ بستهای از طریق اینترنت اجازه ورود به ناحیه اختصاصی شبكه ما را ندارد مگر آنكه یكی از طرف یكی از كاربران داخلی درخواست شده باشد. پس در سادهترین شكل، شبكه ما از سه ناحیه Public Network، DMZ و Private Network تشكیل شده و در مرز هر كدام از این نواحی بایستی تمهیدات كنترلی اتخاذ كرده و عبور و مرور بستههای اطلاعاتی را كنترل كنیم. در ادامه مقاله از این سه بخش تحت عناوین Internat، DMZ و LAN نام خواهیم برد.ممكن است علاوه بر سه ناحیه فوق، در ناحیه LAN، بخشی داشته باشیم كه از نظر حساسیت در سطح بالاتری نسبت به سایر LAN باشد. این ناحیه، ناحیهایست كه سرورهای حساس شبكه مانند سرور مالی و یا فایل سرور بخش تحقیق و توسعه قرارداد. برای این ناحیه لازم است Firewall مجزایی پیاده سازی شود. این Firewall لایهای است كه به لایههای امنیتی اضافه شده و دسترسی غیر مجاز به این ناحیه را مشكلتر میكند:همانطور كه ملاحظه میكنید، R1 و R2 بعنوان Routerهای لب مرز شبكهها را از اینترنت جدا كردهاند. در كل مجموعه، یك DMZ داریم كه با F1 از بقیه مجموعه جدا شده است. F3 و F5 دو وظیفه بعهده دارند، یكی مرز بین اینترنت و LANهای مربوط به خود را كنترل میكنند، و دیگر اینكه ارتباط بین دو LAN را كنترل میكنند این ارتباط ممكن است Lease Line، Wireless و یا یك زوج سیم مسی باشد. این Firewalها با پشتیبانی از سرویس VPN، ارتباط داخلی امنی را بین دفترمركزی و شعبه برقرار میكنند. اما F2 و F4 نیز در شرایط مشابهی هستند، این دو وظیفه جدا سازی منطقه حساس را از بقیه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزی را نیز از هم جدا میكند. جداسازی Subnetها از هم در راستای محدود كردن حملات احتمالی است. اگر به نحوی یكی از Subnetها مورد حمله واقع شد، (مثلا” با Wormی كه از طریق e-mail و یا حتی از طریق دیسكت و CD وارد آن شده) این آلودگی به همان Subnet محدود شده و سایر بخشهای شبكه ایمن باقی بمانند. نتیجه گیری:دیدیم كه برای تامین امنیت یك شبكه، Firewall اولین چیزی است كه بایستی پیاده سازی شود. نكته حائز اهمیت آنكه، نصب یك Firewall در شبكه به تنهایی امنیت آن شبكه را تامین نخواهد كرد، آنچه مهمتر است، تعریف قواعد كنترل (Rules) و اعمال تنظیمات اولیه و همچنین مهمتر از آن به روزرسانی قواعد برمبنای تكنیكهای نفوذ و حملات جدید است.
مانند دژهای قدیمی كه با لایههای مختلف (خندق، دروازه اصلی، دروازههای فرعی، برجها و …) از آنها محافظت میشد. در شكلهای فوق، Router لب مرز، ترافیك را در سطح IP كنترل می كند. این Router اولین لایه دفاعی شبكه محسوب میشود. همانطور كه مشاهده میشود در این Router فقط به كاربرانی از اینترنت اجازه عبور داده می شود كه متقاضی یكی از سرویسهای وب، پست الكترونیك و یا DNS باشند. در هر شكل ناحیه وجود دارد موسوم به DMZ مخفف DeMilitarized Zone كه در این ناحیه سرورهایی را قرار میدهیم كه بایستی از اینترنت دیده شوند مانند Web Server، E-Mail Server و DNS Server. اگر بخواهیم DMZ را با یك مثال روشنتر توصیف كنیم، بایستی بگوییم كه DMZ مانند نمایشگاه و فروشگاه یك شركت است كه تقریبا” به همه اجازه داده میشود به داخل آن بیایند و از محصولات ما دیدن كنند، اصولا” نمایشگاه به همین منظور ایجاد شده، فلسفه وجودی Web Server این است كه از اینترنت دیده شود.ناحیه دیگری كه در شبكهها وجود دارد، ناحیه Private Network است. هیچ بستهای از طریق اینترنت اجازه ورود به ناحیه اختصاصی شبكه ما را ندارد مگر آنكه یكی از طرف یكی از كاربران داخلی درخواست شده باشد. پس در سادهترین شكل، شبكه ما از سه ناحیه Public Network، DMZ و Private Network تشكیل شده و در مرز هر كدام از این نواحی بایستی تمهیدات كنترلی اتخاذ كرده و عبور و مرور بستههای اطلاعاتی را كنترل كنیم. در ادامه مقاله از این سه بخش تحت عناوین Internat، DMZ و LAN نام خواهیم برد.ممكن است علاوه بر سه ناحیه فوق، در ناحیه LAN، بخشی داشته باشیم كه از نظر حساسیت در سطح بالاتری نسبت به سایر LAN باشد. این ناحیه، ناحیهایست كه سرورهای حساس شبكه مانند سرور مالی و یا فایل سرور بخش تحقیق و توسعه قرارداد. برای این ناحیه لازم است Firewall مجزایی پیاده سازی شود. این Firewall لایهای است كه به لایههای امنیتی اضافه شده و دسترسی غیر مجاز به این ناحیه را مشكلتر میكند:همانطور كه ملاحظه میكنید، R1 و R2 بعنوان Routerهای لب مرز شبكهها را از اینترنت جدا كردهاند. در كل مجموعه، یك DMZ داریم كه با F1 از بقیه مجموعه جدا شده است. F3 و F5 دو وظیفه بعهده دارند، یكی مرز بین اینترنت و LANهای مربوط به خود را كنترل میكنند، و دیگر اینكه ارتباط بین دو LAN را كنترل میكنند این ارتباط ممكن است Lease Line، Wireless و یا یك زوج سیم مسی باشد. این Firewalها با پشتیبانی از سرویس VPN، ارتباط داخلی امنی را بین دفترمركزی و شعبه برقرار میكنند. اما F2 و F4 نیز در شرایط مشابهی هستند، این دو وظیفه جدا سازی منطقه حساس را از بقیه LAN بر عهده دارند و علاوه برآن F2 دو Subnet موجود در شبكه دفتر مركزی را نیز از هم جدا میكند. جداسازی Subnetها از هم در راستای محدود كردن حملات احتمالی است. اگر به نحوی یكی از Subnetها مورد حمله واقع شد، (مثلا” با Wormی كه از طریق e-mail و یا حتی از طریق دیسكت و CD وارد آن شده) این آلودگی به همان Subnet محدود شده و سایر بخشهای شبكه ایمن باقی بمانند. نتیجه گیری:دیدیم كه برای تامین امنیت یك شبكه، Firewall اولین چیزی است كه بایستی پیاده سازی شود. نكته حائز اهمیت آنكه، نصب یك Firewall در شبكه به تنهایی امنیت آن شبكه را تامین نخواهد كرد، آنچه مهمتر است، تعریف قواعد كنترل (Rules) و اعمال تنظیمات اولیه و همچنین مهمتر از آن به روزرسانی قواعد برمبنای تكنیكهای نفوذ و حملات جدید است.
هیچ نظری موجود نیست:
ارسال یک نظر