آموزش شبکه (قسمت سوم: فایروال و امنیت)

جهت آشنایی بیشتر با شبکه مجموعه ای از مقالات در موضوع IP ، SubMask،Gateway، DNSو WINSآشنایی با ساختار شبکه را منتشر خواهم کرد

Firewall ( دیوار آتش ) چیست؟

دیوار آتش یا فایروال نام عمومی برنامه‌هایی است که از دستیابی غیر مجاز به یک سیستم رایانه جلوگیری می‌کنند. در برخی از این نرم‌افزارها، برنامه‌ها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانه‌ها، داده ارسال کنند. به این گونه نرم‌افزارها، تارباروی دو طرفه گویند، زیرا علاوه بر درگاه ورودی (Incoming)، درگاه‌های خروجی (Outing) هم کنترل می‌شوند. بسته‌های اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله تاربارو متوقف می‌شوند. نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس می گویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر می کند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر می‌کند. در عمل، فیلترکردن برای هر دوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرم‌افزار یکسانی انجام می‌شود.

یکی از کاربردهای معمول فایروال واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع بوده، و همچنین بازداشتن کسانی که از خارج از گروه خواهان دسترسی به منبع هستند میباشد. استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانه‌ها با دنیای خارج میباشد. هر چند فایروال بخش مهمی از سیستم امنیتی را تشکیل میدهد ولی طراحان به این نکته نیز توجه میورزند که اکثر حملات از درون شبکه می‌آیند و نه از بیرون آن.

نحوه عملکرد بسیاری از سیستمهای فایروال اینگونه‌است تمامی ارتباطات ازطریق یک سرویس دهنده پروکسی به سمت فایروال هدایت شده وهمین سرویس دهنده درباره امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیم گیری می‌کند.

این سیستم امنیتی معمولاً ترکیبی از سخت‌افزار و نرم‌افزار است. با توجه به ضررورتهای استاندارد (ISMS & ISO۲۷۰۰۱) فایروالها جزء لاینفک شبکه‌های کامپیوتری قرارگرفته‌اند و یکی از دغدغه‌های اصلی مسئولین شبکه شده‌اند، در این میان با توجه به حساسیت هر سازمان لایه بندی و قدرت فایروال‌ها در نظر گرفته می‌شود. مثلاً در بانکها به لحاظ اهمیت و ارزش اطلاعات فایروال‌ها جایگاه حساسی دارند و مسئولین شبکه بانکها همواره دقت بسیاری را در این ارتباط به خرج می‌دهند. برخی از شرکتهای بزرگی که در این ارتباط با مهم‌ترین بانکهای بین‌المللی همکاری دارند عبارت‌اند از Cisco، Juniper، Securepoint و….

سیستم‌های فایروال معمولاً به سه دسته عمومی تقسیم بندی میشوند. البته یک سیستم ممکن است ترکیبی از گونه‌های مختلف فایروال را همزمان استفاده کند.

تصفیه کننده بسته‌های اطلاعاتی (Packets)

در اینگونه سیستم‌ها بسته‌ها بر اساس قانون خاصی متوقف میشوند. این قانون میتواند بستگی به جهت حرکت بسته، پروتکل خاص استفاده شده، آدرس فرستنده، شماره پرت پرتکل (مثلاً در TCP/IP)، واسطه فیزیکی و غیره طراحی شده باشد. اینگونه فایروال معمولاً در روتر(Router) انجام میشود. به عنوان مثالی معروف از Configurable access control lists یا ACLs در روترهای Cisco میتوان نام برد.

بازرسی کننده سطوح بالاتر شبکه

اینگونه سیستم‌ها مانند تصفیه کننده بسته‌های اطلاعاتی بوده با این تفاوت که بدلیل آگاهی از تمامی لایه‌ها و سطوح مختلف در stack پروتکل هوشمندتر عمل میکنند. اینگونه سیستم‌ها معمولاً حافظه دار بوده اجازه آن را میدهد که به یک بسته اطلاعاتی نه به صورت مجزا بلکه به عنوان بخشی از جریان داده‌ها نگاه کند.

سرویس دهنده پروکسی

یک یا چند سیستم که به نظر می آید که خدماتی را به خارج میدهند، ولی عملاً به عنوان پروکسی برای سیستم اصلی عمل میکنند. بنابر این سیستم خارجی مستقیماً به سیستم درونی وصل نشده و پروکسی بین آنها قرار میگیرد. پیاده سازی آنها میتوانند در سطح مدار(سخت‌افزار) یا در سطح برنامه رایانه‌ای (نرم‌افزار) باشد.

• فایروال های سخت افزاری بصورت ابزارهایی بر روی برد های سخت افزاری نصب شده اند ، روتر نیز می تواند در نقش یک فایروال عمل کند .
• فایروال های نرم افزاری ، برنامه هایی هستند که بر روی هر سیستم عامل می توانند نصب شده و شروع بکار کنند و هم بصورت شبکه ای و هم بصورت تک محصولی می توانند مورد استفاده قرار بگیرند .
• بصورت پیشفرض شما می تواند از تنظیمات پیشفرض فایروال های سخت افزاری و نر م افزاری برای محافظت از شبکه خود استفاده کنید .
• فایروال سخت افزاری نیز در حقیقت نوعی فایروال نرم افزاری میتواند باشد که بر روی یک برد سخت افزاری نصب شده است.
• فایروال های سخت افزاری سرعتت و کارایی بیشتری نسبت به فایروال های نرم افزاری دارند .
• هزینه پیاده سازی و استفاده از فایروال های نرم افزاری بسیار کمتر از فایروال های سخت افزاری است.
• برای داستن بهترین کارایی در شبکه همیشه می بایست از اینگونه فایروال های بصورت ترکیبی استفاده کرد .

برنامه های ضد ویروس و امنیتی که کلمه internet security را یدک میکشند به سیستم فایروال و دیگر قابلیت های امنیتی مجهز می باشند

مانند Kaspersky Internet Security –ESET Smart Security–Norton™ Internet Security و…

برنامه اختصاصی که فقط بعنوان فایروال عمل میکند

مانند Zonealarm – Comodo – Kerio و …

فایروال های سخت افزاری بسیار قدرتمندتر و مخصوص سازمان ها ، ادارت و شرکت های میباشد که اطلاعات مهم و امنیت بیشتری نیاز دارند، ارائه دهنده اینترنت نیز مجهز به فایروال سخت افزاری میباشند.

انواع برندهای سخت افزاری فایروال : cyberoam- D-Link- Cisco – Fortinet – Juniper

امنیت شبکه

در شبکه‌های کامپیوتری، زمینهٔ تخصصی «امنیت شبکه»، شامل مقررات و سیاست‌های اتّخاذ شده توسط مدیریت شبکه است که به منظور جلوگیری و نظارت بر دسترسی غیر مجاز، سوء استفاده، اصلاح، یا ایجاد محدودیت در شبکه‌های کامپیوتری و منابع قابل دسترس در شبکه، تدوین و اعمال می گردد.

برای منازل کوچک

• از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه ابتدایی استفاده کنید.
• برای کاربران ویندوز، نرم افزار آنتی ویروس ابتدایی مناسب است. یک برنامه ضد جاسوسی نیز ایده خوبی می باشد. تعداد بسیاری از انواع دیگر آنتی ویروس‌ها یا برنامه‌های ضد جاسوسی نیز وجود دارد که می تواند مد نظر قرار بگیرد.
• هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده کنید. همچنین سعی کنید، از بالاترین امنیتی که توسط دستگاه‌های بی سیم شما پشتیبانی می شود، استفاده کنید؛ مانند WPA2 با رمزنگاری AES .
• اگر از اتصال بی سیم استفاده می کنید، نام شبکه پیش فرض در SSID را تغییر دهید. همچنین امکان انتشار در SSID را غیر فعال کنید. زیرا این قابلیت‌ها برای استفاده در منزل غیرضروری است. اگر چه بسیاری از کارشناسان امنیتی این موضوع را نسبتاً بی فایده در نظر می گیرند.
• فیلترسازی آدرس MAC را فعال کنید تا اینکه تمام اتصال‌های دستگاه‌های MAC موجود در شبکه خانگی به مسیریاب شما ثبت گردد.
• به همه دستگاه‌های موجود در شبکه IP ثابت اختصاص دهید.
• امکان تشخیص اتصال ICMP در مسیریاب را غیر فعال کنید.
• فهرست ثبت وقایع مسیریاب یا دیوار آتش را مورد بازبینی قرار دهید تا بتوانید اتصال‌ها و ترافیک‌های غیر عادی روی اینترنت را تشخیص بدهید.
• برای همه حساب‌های کاربری، رمز عبور تعیین کنید.
• برای هر یک از اعضای خانواده حساب کاربری جداگانه ای در نظر بگیرید و برای فعالیت‌های روزانه از حساب‌های کاربری غیر مدیریتی استفاده نمایید. حساب کاربری مهمان را غیر فعال کنید. (کنترل پنل > ابزارهای مدیریتی > مدیریت کامپیوتر > کاربران)
• میزان آگاهی کودکان در مورد امنیت اطلاعات را بالا ببرید.

برای کسب و کارهای متوسط

• از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه نسبتاً قوی استفاده کنید.
• از نرم افزارهای آنتی ویروس قوی و نرم افزارهای امنیت اینترنت استفاده کنید.
• برای احراز هویت، از رمزهای عبور قوی استفاده کرده و هر دو هفته یکبار یا ماهانه آنها را تغییر دهید.
• هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده نماید.
• میزان آگاهی کارکنان در خصوص امنیت فیزیکی را بالا ببرید.
• از یک تحلیل گر شبکه و یا کنترل کننده شبکه با قابلیت انتخاب استفاده کنید.
• وجود یک مدیر روشن فکر نیز ضروری است.

برای کسب و کارهای بزرگ

• از یک دیوار آتش و پروکسی قوی استفاده کنید تا افراد ناخواسته را دور نگه دارید.
• از یک بسته حاوی نرم افزارهای آنتی ویروس قوی و نرم افزارهای امنیت اینترنت استفاده کنید.
• برای احراز هویت، از رمزهای عبور قوی استفاده کرده و به طور هفتگی یا هر دو هفته یکبار آنها را تغییر دهید.
• هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده نماید.
• اقدامات احتیاطی در خصوص امنیت فیزیکی را به کارمندان تمرین دهید.
• یک تحلیل گر شبکه یا کنترل کننده شبکه فراهم کرده تا در صورت نیاز از آن استفاده نمایید.
• مدیریت امنیت فیزیکی، مانند تلویزیون مدار بسته برای مبادی ورودی و مناطق محدود شده را پیاده سازی نمایید.
• حصار امنیتی را برای علامت گذاری محیط شرکت به کار ببندید.
• وجود کپسول آتش نشانی برای فضاهای حساس به آتش، مانند اتاق سرور و اتاق‌های امنیتی لازم است.
• حفاظ‌های امنیتی می تواند به بیشینه کردن امنیت کمک کند.