آموزش شبکه (قسمت سوم: فایروال و امنیت)

امیر فدائیان

آذر 24, 1392

جهت آشنایی بیشتر با شبکه مجموعه ای از مقالات در موضوع IP ، SubMask،Gateway، DNSو WINSآشنایی با ساختار شبکه را منتشر خواهم کرد

آموزش

آشنایی با دستور ping

آشنايي و آموزش سوكت زني و متعلقات

آموزش شبکه (قسمت اول :درباره IP)

آموزش شبکه ( قسمت دوم:DNS-Gateway-SubMask-WINS)

آموزش شبکه (قسمت سوم: فایروال و امنیت)

چگونه به یک سيستم چند IP اختصاص دهیم

آموزش شبکه( قسمت چهارم: اشتراک گذاری فايل و پرینتِر)

Firewall ( دیوار آتش ) چیست؟

دیوار آتش یا فایروال نام عمومی برنامه‌هایی است که از دستیابی غیر مجاز به یک سیستم رایانه جلوگیری می‌کنند. در برخی از این نرم‌افزارها، برنامه‌ها بدون اخذ مجوز قادر نخواهند بود از یک رایانه برای سایر رایانه‌ها، داده ارسال کنند. به این گونه نرم‌افزارها، تارباروی دو طرفه گویند، زیرا علاوه بر درگاه ورودی (Incoming)، درگاه‌های خروجی (Outing) هم کنترل می‌شوند. بسته‌های اطلاعاتی که حاوی اطلاعات بدون مجوز هستند، به وسیله تاربارو متوقف می‌شوند. نوع دیگری از فایروال نیز وجود دارد که به آن فایروال معکوس می گویند. فایروال معکوس ترافیک خروجی شبکه را فیلتر می کند، برخلاف فایروال معمولی که ترافیک ورودی را فیلتر می‌کند. در عمل، فیلترکردن برای هر دوی این مسیرهای ورودی و خروجی، احتمالاً توسط دستگاه یا نرم‌افزار یکسانی انجام می‌شود.

یکی از کاربردهای معمول فایروال واگذاری اختیار ویژه به گروهی خاص از کاربران جهت استفاده از یک منبع بوده، و همچنین بازداشتن کسانی که از خارج از گروه خواهان دسترسی به منبع هستند میباشد. استفاده دیگر فایروال جلوگیری از ارتباط مستقیم یک سری از رایانه‌ها با دنیای خارج میباشد. هر چند فایروال بخش مهمی از سیستم امنیتی را تشکیل میدهد ولی طراحان به این نکته نیز توجه میورزند که اکثر حملات از درون شبکه می‌آیند و نه از بیرون آن.

نحوه عملکرد بسیاری از سیستمهای فایروال اینگونه‌است تمامی ارتباطات ازطریق یک سرویس دهنده پروکسی به سمت فایروال هدایت شده وهمین سرویس دهنده درباره امن بودن یا نبودن عبور یک پیام یا یک فایل از طریق شبکه تصمیم گیری می‌کند.

این سیستم امنیتی معمولاً ترکیبی از سخت‌افزار و نرم‌افزار است. با توجه به ضررورتهای استاندارد (ISMS & ISO۲۷۰۰۱) فایروالها جزء لاینفک شبکه‌های کامپیوتری قرارگرفته‌اند و یکی از دغدغه‌های اصلی مسئولین شبکه شده‌اند، در این میان با توجه به حساسیت هر سازمان لایه بندی و قدرت فایروال‌ها در نظر گرفته می‌شود. مثلاً در بانکها به لحاظ اهمیت و ارزش اطلاعات فایروال‌ها جایگاه حساسی دارند و مسئولین شبکه بانکها همواره دقت بسیاری را در این ارتباط به خرج می‌دهند. برخی از شرکتهای بزرگی که در این ارتباط با مهم‌ترین بانکهای بین‌المللی همکاری دارند عبارت‌اند از Cisco، Juniper، Securepoint و….

سیستم‌های فایروال معمولاً به سه دسته عمومی تقسیم بندی میشوند. البته یک سیستم ممکن است ترکیبی از گونه‌های مختلف فایروال را همزمان استفاده کند.

تصفیه کننده بسته‌های اطلاعاتی (Packets)

در اینگونه سیستم‌ها بسته‌ها بر اساس قانون خاصی متوقف میشوند. این قانون میتواند بستگی به جهت حرکت بسته، پروتکل خاص استفاده شده، آدرس فرستنده، شماره پرت پرتکل (مثلاً در TCP/IP)، واسطه فیزیکی و غیره طراحی شده باشد. اینگونه فایروال معمولاً در روتر(Router) انجام میشود. به عنوان مثالی معروف از Configurable access control lists یا ACLs در روترهای Cisco میتوان نام برد.

بازرسی کننده سطوح بالاتر شبکه

اینگونه سیستم‌ها مانند تصفیه کننده بسته‌های اطلاعاتی بوده با این تفاوت که بدلیل آگاهی از تمامی لایه‌ها و سطوح مختلف در stack پروتکل هوشمندتر عمل میکنند. اینگونه سیستم‌ها معمولاً حافظه دار بوده اجازه آن را میدهد که به یک بسته اطلاعاتی نه به صورت مجزا بلکه به عنوان بخشی از جریان داده‌ها نگاه کند.

سرویس دهنده پروکسی

یک یا چند سیستم که به نظر می آید که خدماتی را به خارج میدهند، ولی عملاً به عنوان پروکسی برای سیستم اصلی عمل میکنند. بنابر این سیستم خارجی مستقیماً به سیستم درونی وصل نشده و پروکسی بین آنها قرار میگیرد. پیاده سازی آنها میتوانند در سطح مدار(سخت‌افزار) یا در سطح برنامه رایانه‌ای (نرم‌افزار) باشد.

فایروال های سخت افزاری بصورت ابزارهایی بر روی برد های سخت افزاری نصب شده اند ، روتر نیز می تواند در نقش یک فایروال عمل کند .
فایروال های نرم افزاری ، برنامه هایی هستند که بر روی هر سیستم عامل می توانند نصب شده و شروع بکار کنند و هم بصورت شبکه ای و هم بصورت تک محصولی می توانند مورد استفاده قرار بگیرند .
بصورت پیشفرض شما می تواند از تنظیمات پیشفرض فایروال های سخت افزاری و نر م افزاری برای محافظت از شبکه خود استفاده کنید .
فایروال سخت افزاری نیز در حقیقت نوعی فایروال نرم افزاری میتواند باشد که بر روی یک برد سخت افزاری نصب شده است.
فایروال های سخت افزاری سرعتت و کارایی بیشتری نسبت به فایروال های نرم افزاری دارند .
هزینه پیاده سازی و استفاده از فایروال های نرم افزاری بسیار کمتر از فایروال های سخت افزاری است.
برای داستن بهترین کارایی در شبکه همیشه می بایست از اینگونه فایروال های بصورت ترکیبی استفاده کرد .

برنامه های ضد ویروس و امنیتی که کلمه internet security را یدک میکشند به سیستم فایروال و دیگر قابلیت های امنیتی مجهز می باشند

مانند Kaspersky Internet Security –ESET Smart Security–Norton™ Internet Security و…

برنامه اختصاصی که فقط بعنوان فایروال عمل میکند

مانند Zonealarm – Comodo – Kerio و …

فایروال های سخت افزاری بسیار قدرتمندتر و مخصوص سازمان ها ، ادارت و شرکت های میباشد که اطلاعات مهم و امنیت بیشتری نیاز دارند، ارائه دهنده اینترنت نیز مجهز به فایروال سخت افزاری میباشند.

انواع برندهای سخت افزاری فایروال : cyberoam- D-Link- Cisco – Fortinet – Juniper

امنیت شبکه

در شبکه‌های کامپیوتری، زمینهٔ تخصصی «امنیت شبکه»، شامل مقررات و سیاست‌های اتّخاذ شده توسط مدیریت شبکه است که به منظور جلوگیری و نظارت بر دسترسی غیر مجاز، سوء استفاده، اصلاح، یا ایجاد محدودیت در شبکه‌های کامپیوتری و منابع قابل دسترس در شبکه، تدوین و اعمال می گردد.

برای منازل کوچک

از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه ابتدایی استفاده کنید.
برای کاربران ویندوز، نرم افزار آنتی ویروس ابتدایی مناسب است. یک برنامه ضد جاسوسی نیز ایده خوبی می باشد. تعداد بسیاری از انواع دیگر آنتی ویروس‌ها یا برنامه‌های ضد جاسوسی نیز وجود دارد که می تواند مد نظر قرار بگیرد.
هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده کنید. همچنین سعی کنید، از بالاترین امنیتی که توسط دستگاه‌های بی سیم شما پشتیبانی می شود، استفاده کنید؛ مانند WPA2 با رمزنگاری AES .
اگر از اتصال بی سیم استفاده می کنید، نام شبکه پیش فرض در SSID را تغییر دهید. همچنین امکان انتشار در SSID را غیر فعال کنید. زیرا این قابلیت‌ها برای استفاده در منزل غیرضروری است. اگر چه بسیاری از کارشناسان امنیتی این موضوع را نسبتاً بی فایده در نظر می گیرند.
فیلترسازی آدرس MAC را فعال کنید تا اینکه تمام اتصال‌های دستگاه‌های MAC موجود در شبکه خانگی به مسیریاب شما ثبت گردد.
به همه دستگاه‌های موجود در شبکه IP ثابت اختصاص دهید.
امکان تشخیص اتصال ICMP در مسیریاب را غیر فعال کنید.
فهرست ثبت وقایع مسیریاب یا دیوار آتش را مورد بازبینی قرار دهید تا بتوانید اتصال‌ها و ترافیک‌های غیر عادی روی اینترنت را تشخیص بدهید.
برای همه حساب‌های کاربری، رمز عبور تعیین کنید.
برای هر یک از اعضای خانواده حساب کاربری جداگانه ای در نظر بگیرید و برای فعالیت‌های روزانه از حساب‌های کاربری غیر مدیریتی استفاده نمایید. حساب کاربری مهمان را غیر فعال کنید. (کنترل پنل > ابزارهای مدیریتی > مدیریت کامپیوتر > کاربران)
میزان آگاهی کودکان در مورد امنیت اطلاعات را بالا ببرید.

برای کسب و کارهای متوسط

از یک دیوار آتش یا یک سیستم مدیریت تهدید یکپارچه نسبتاً قوی استفاده کنید.
از نرم افزارهای آنتی ویروس قوی و نرم افزارهای امنیت اینترنت استفاده کنید.
برای احراز هویت، از رمزهای عبور قوی استفاده کرده و هر دو هفته یکبار یا ماهانه آنها را تغییر دهید.
هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده نماید.
میزان آگاهی کارکنان در خصوص امنیت فیزیکی را بالا ببرید.
از یک تحلیل گر شبکه و یا کنترل کننده شبکه با قابلیت انتخاب استفاده کنید.
وجود یک مدیر روشن فکر نیز ضروری است.

برای کسب و کارهای بزرگ

از یک دیوار آتش و پروکسی قوی استفاده کنید تا افراد ناخواسته را دور نگه دارید.
از یک بسته حاوی نرم افزارهای آنتی ویروس قوی و نرم افزارهای امنیت اینترنت استفاده کنید.
برای احراز هویت، از رمزهای عبور قوی استفاده کرده و به طور هفتگی یا هر دو هفته یکبار آنها را تغییر دهید.
هنگام استفاده از اتصال بی سیم، از یک رمز عبور قوی استفاده نماید.
اقدامات احتیاطی در خصوص امنیت فیزیکی را به کارمندان تمرین دهید.
یک تحلیل گر شبکه یا کنترل کننده شبکه فراهم کرده تا در صورت نیاز از آن استفاده نمایید.
مدیریت امنیت فیزیکی، مانند تلویزیون مدار بسته برای مبادی ورودی و مناطق محدود شده را پیاده سازی نمایید.
حصار امنیتی را برای علامت گذاری محیط شرکت به کار ببندید.
وجود کپسول آتش نشانی برای فضاهای حساس به آتش، مانند اتاق سرور و اتاق‌های امنیتی لازم است.
حفاظ‌های امنیتی می تواند به بیشینه کردن امنیت کمک کند.

کارشناسان توصیه می‌کنند که کاربران برای پیشگیری از نفوذ سوءاستفاده‌کنندگان به چند نکته امنیتی توجه کنند.

پسوردهای مطمئن و ایمن

شاید شنیده باشید که رایج‌ترین پسوردها عباراتی مانند “password” و اعدادی مانند ۱۲۳۴ است. اگر شما اکانتی شبیه این رمز دارید بهتر است به سرعت آن را تغییر دهید! پسوردهایی مانند شماره تلفن، کدپستی، شماره شناسنامه، کدملی، نام خودتان و رمزهایی از این قبیل نیز به هیچ عنوان امن و مطمئن محسوب نمی شوند.

پسورد‌هایی را انتخاب کنید که شامل حروف کوچک، حروف بزرگ و اعداد باشند. در کلمه مورد نظرتان به صورت تصادفی از حروف بزرگ استفاده کرده و درصورت امکان اعداد و علائم را جایگزین حروف کنید.

روشی دیگر نیز وجود دارد که برای کاربران ایرانی بسیار مفید است. صفحه کلید را برروی زبان انگلیسی تنظیم کرده و سپس عبارتی را که به خاطر می‌سپارید به فارسی تایپ کنید. این موضوع باعث می‌شود تا دسته‌ای از کلمات انگلیسی داشته باشید که هیچ رابطه‌ای بین آن‌ها وجود ندارد.

به هیچ عنوان از یک پسورد برای چند اکانت استفاده نکنید؛ چرا که اگر یکی از آنها هک شد تمامی اطلاعات و اموال خود را به باد خواهید داد.

پاسخ اشتباه به سؤال‌های امنیتی

در سایت‌هایی که سرویس ایمیل ارائه می‌کنند، پس از انتخاب پسورد باید یک سوال امنیتی انتخاب کرده و به آن پاسخ دهید تا در صورتی که پسوردتان را فراموش کردید بتوانید با پاسخ دادن به آن سوال پسوردتان را تغییر دهید.

اما این اطلاعات را به راحتی می‌توان از شبکه‌های اجتماعی بدست آورد. به گفته یکی از متخصصان کسپرسکی به هیچ عنوان به این سوالات پاسخ مستقیم ندهید. به طور مثال برای پاسخ سوال نام مادرتان چیست می‌توانید نام مادربزرگتان را وارد کنید. به این ترتیب هم شما پاسخ را به یاد خواهید داشت و هم هکرها به هیچ عنوان به این پاسخ دست پیدا نمی‌کنند.

استفاده مداوم از HTTPS

پروتکل HTTPS یک پروتکل امن است که در بیشتر سایت‌های معتبر مانند گوگل، فیس بوک، توییتر و … به کار می‌رود. این پروتکل یک مزیت امنیتی مهم دارد و آن این است که تمامی ارتباطات شما را با سرور رمزگذاری می‌کند و به این ترتیب اگر هکری به شبکه وای‌فای خانگی شما نفوذ کرد، به هیچ عنوان نمی‌تواند اطلاعات رد و بدل شده شما را بخواند. استفاده از این پروتکل در کافی‌نت‌ها و وای‌فای‌های عمومی مانند دانشگاه‌ها حیاتی به نظر می‌رسد.

لاگین‌ها را دو مرحله‌ای کنید

سایت‌هایی مانند فیس‌بوک و گوگل این قابلیت را دارند که برای ورود به اکانت علاوه بر رمز عبور، کدی را به گوشی شما پیامک کنند تا پس از وارد کردن آن در سایت بتوانید به اکانت خود دسترسی پیدا کنید. به این ترتیب هربار باید به جز پسورد کد پیامک شده را نیز وارد کنید که البته کاری خسته کننده است اما امنیت شما را به مراتب افزایش می دهد.

هشدارهای ورود را فعال کنید

سایت‌هایی مانند فیس‌بوک و گوگل اگر متوجه شوند که از آی‌پی‌های مختلفی تلاش برای ورود به اکانت انجام می‌شود به صورت خودکار یک پیامک برایتان ارسال می‌کنند و بعضی مواقع از ورود کاربران با آی‌پی‌های مشکوک جلوگیری می‌کنند. این قابلیت را می‌توانید حساس‌تر کنید برای مثال در فیس‌بوک تنظیم کنید که در صورت ورود از آی‌پی مشکوک بلافاصله به شما اطلاع داده شود.

از آدرس ایمیل محرمانه استفاده کنید

همیشه سعی کنید یک آدرس ایمیل خاص تنها برای حساب‌های مختلف خود داشته باشید. به این ترتیب اگر پسورد ایمیلتان با ایمیل‌های دیگر مشترک است کمی ایمن‌تر خواهید بود. همچنین سعی کنید تمامی ایمیل‌هایی را که حاوی پسوردهای مختلف سایت‌های متفاوت برایتان ارسال شده است، هر چه سریع تر حذف کنید.

پسوردهای خود را مدیریت کنید

یک برنامه مدیریت پسورد می‌تواند علاوه بر آنکه پسورد‌های پیچیده‌تان را برایتان به صورت خودکار وارد کند بلکه به صورت خودکار برای تعویض پسورد به شما هشدار می دهد.

این برنامه‌ها با سیستم عاملهای ویندوز، مک، iOS و اندروید سازگار است و می توانید همواره و هر کجایی به آن دسترسی داشته باشید.

همچنين مي توانيد خط و مش‌هاي امنيتي را مطالعه كنيد

منبع + و +