23-03-2021, 07:21 PM
امنیت شبکه های کامپیوتری از مهمترین مسائل مبتلا به شبکه های کامپیوتری است. مهمترین رکن برپائی یک شبکه پس از پیکربندی صحیح سخت افزاری مساله تضمین امنیت شبکه است. این مساله در محورهای زیز بررسی شده است:
[*]تمامی ضعفهای امنیتی موجود در شبکههای سیمی، در مورد شبکههای بیسیم نیز صدق میکند. در واقع نه تنها هیچ جنبهیی چه از لحاظ طراحی و چه از لحاظ ساختاری، خاص شبکههای بیسیم وجود ندارد که سطح بالاتری از امنیت منطقی را ایجاد کند، بلکه همان گونه که ذکر شد مخاطرات ویژهیی را نیز موجب است.
[*]نفوذگران، با گذر از تدابیر امنیتی موجود، میتوانند بهراحتی به منابع اطلاعاتی موجود بر روی سیستمهای رایانهیی دست یابند.
[*]اطلاعات حیاتییی که یا رمز نشدهاند و یا با روشی با امنیت پایین رمز شدهاند، و میان دو گره در شبکههای بیسیم در حال انتقال میباشند، میتوانند توسط نفوذگران سرقت شده یا تغییر یابند.
[*]حملههای DoS به تجهیزات و سیستمهای بیسیم بسیار متداول است.
[*]نفوذگران با سرقت کدهای عبور و دیگر عناصر امنیتی مشابه کاربران مجاز در شبکههای بیسیم، میتوانند به شبکهی مورد نظر بدون هیچ مانعی متصل گردند.
[*]با سرقت عناصر امنیتی، یک نفوذگر میتواند رفتار یک کاربر را پایش کند. از این طریق میتوان به اطلاعات حساس دیگری نیز دست یافت.
[*]کامپیوترهای قابل حمل و جیبی، که امکان و اجازهی استفاده از شبکهی بیسیم را دارند، بهراحتی قابل سرقت هستند. با سرقت چنین سخت افزارهایی، میتوان اولین قدم برای نفوذ به شبکه را برداشت.
[*]یک نفوذگر میتواند از نقاط مشترک میان یک شبکهی بیسیم در یک سازمان و شبکهی سیمی آن (که در اغلب موارد شبکهی اصلی و حساستری محسوب میگردد) استفاده کرده و با نفوذ به شبکهی بیسیم عملاً راهی برای دستیابی به منابع شبکهی سیمی نیز بیابد.
[*]در سطحی دیگر، با نفوذ به عناصر کنترل کنندهی یک شبکهی بیسیم، امکان ایجاد اختلال در عملکرد شبکه نیز وجود دارد.
[/list]
www.kishtech.ir
کلیات امنیت شبکه کامپیوتری
امنیت شبکه بی سیم
آشنایی با Firewall
کلیات امنیت شبکه کامپیوتری
حفاظت، پشتیبانی و نگهداری از دادههای رایانهای، اطلاعات مهم، برنامههای حساس، نرمافزارهای مورد نیاز و یا هر آنچه که در حافظه جانبی رایانه مورد توجه بوده و با اهمیت میباشد، امنیت رایانهای نامیده میشود. تفکر امنیت در شبکه برای دستیابی به سه عامل مهم است که با یک دیگر مثلث امنیتی را تشکیل می دهند. این عوامل عبارتند از راز داری و امانت داری (Confidentiality)، یکپارچگی (Integrity) و در نهایت در دسترس بودن همیشگی (Availability). این سه عامل (CIA) اصول اساسی امنیت اطلاعات - در شبکه و یا بیرون آن - را تشکیل می دهند بگونه ای که تمامی تمهیدات لازمی که برای امنیت شبکه اتخاذ میشود و یا تجهیزاتی که ساخته می شوند، همگی ناشی از نیاز به اعمال این سه پارامتر در محیط های نگهداری و تبادل اطلاعات است.
Confidentiality
به معنای آن است که اطلاعات فقط در دسترس کسانی قرار گیرد که به آن نیاز دارند و اینگونه تعریف شده است. بعنوان مثال از دست دادن این خصیصه امنیتی معادل است با بیرون رفتن قسمتی از پرونده محرمانه یک شرکت و امکان دسترسی به آن توسط مطبوعات.
Integrity
بیشتر مفهومی است که به علوم سیستمی باز می گردد و بطور خلاصه می توان آنرا اینگونه تعریف کرد:
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
- تغییرات در اطلاعات فقط باید توسط افراد یا پروسه های مشخص و مجاز انجام گیرد.
- تغییرات بدون اجازه و بدون دلیل حتی توسط افراد یا پروسه های مجاز نباید صورت بگیرد.
- یکپارچگی اطلاعات باید در درون و بیرون سیستم حفظ شود. به این معنی که یک داده مشخص چه در درون سیستم و چه در خارج آن باید یکسان باشد و اگر تغییر می کند باید همزمان درون و برون سیستم از آن آگاه شوند.
Availability
این پارامتر ضمانت می کند که یک سیستم - مثلا اطلاعاتی - همواره باید در دسترس باشد و بتواند کار خود را انجام دهد. بنابراین حتی اگر همه موارد ایمنی مد نظر باشد اما عواملی باعث خوابیدن سیستم شوند - مانند قطع برق - از نظر یک سیستم امنیتی این سیستم ایمن نیست.
اما جدای از مسائل بالا مفاهیم و پارامترهای دیگری نیز هستند که با وجود آنکه از همین اصول گرفته می شوند برای خود شخصیت جداگانه ای پیدا کرده اند. در این میان می توان به مفاهیمی نظیر Identification به معنی تقاضای شناسایی به هنگام دسترسی کاربر به سیستم، Authentication به معنی مشخص کردن هویت کاربر، Authorization به معنی مشخص کردن میزان دسترسی کاربر به منابع، Accountability به معنی قابلیت حسابرسی از عملکرد سیستم و ... اشاره کرد.
امنیت در یک شبکه به 2 روش صورت می پذیرد. 1- برنامه های نرمافزاری 2- قطعههای سختافزاری. در بهترین حالت از برنامه های نرم افزاری و قطعات سخت افزاری بطور همزمان استفاده می گردد. عموماً برنامههای نرمافزاری شامل برنامههای ضدمخرب (مخربها شامل ویروس، کرمهای مهاجم، اسبهای تراوا، مخفیشدهها و .... ) و دیوار آتش میباشد. قطعات سختافزاری نیز عموماً شامل دیوار آتش میشود. این قطعهها موجب کنترل درگاههای ورودی و خروجی به رایانه و شناخت کامل از حملهکنندهها بخصوص نشانههای خاص مهاجم را ایجاد می نماید.
فراموش نکنیم که شرکت مایکروسافت به عنوان عرضهکننده سیستم های عامل نسل Windows (که در حال حاضر پرمصرف ترین گروه سیستمهای عامل را تشکیل می دهد)، به یک برنامه نرم افزاری دیوار آتش بصورت پیش فرض مجهز می باشد، که میتواند تا امنیت را هر چند کم، برای کاربران سیستمهای عامل خود فراهم نماید اما قطعا ًاین نرم افزار به تنهایی کفایت امن سازی رایانه را تأمین نمی نماید. اما در اولین مرحله امن سازی یک شبکه ابتدا باید سازمان را به یک برنامه ضدمخرب قوی مانندَAntivir, Symantec, Kaspersky, Nod32, BitDefender, Norton, Panda، Mac با قابلیت بروزآوری مجهز نمود، تا بتواند در مقابل حمله برنامه های مخرب واکنش مناسبی ارائه نماید. برنامه Antivir می تواند یک انتخاب مناسب در این زمینه باشد. چرا که این برنامه قابلیت بروزآوری را بطور مداوم دارا میباشد و خود برنامه نیز هر 6 ماه یکبار ویرایش میگردد تا از موتور جستجوگر قوی تر و بهینهتری برای یافتن برنامه های مخرب بهره گیرد. خرید نسخه اصلی این نرمافزار توصیه میگردد، چرا که در صورت بروز مشکل شرکت اصلی نسبت به پشتیبانی از رایانههای شما اقدام لازم را در اسرع وقت به انجام میرساند.
در مرحله دوم امن سازی یک شبکه باید از دستگاه تقسیمکننده استفاده نمود. دستگاه های فوق خود بر دومدل قابل تنظیم و پیکربندی و غیرقابل تنظیم و غیر قابل پیکربندی تقسیم می شوند. ممکن است در گروه اول نیز قطعاتی یافت شود که تنظیمات جزئی پیکربندی را انجام دهند اما بطور کامل و با تمامی امکاناتی که در گروه دوم قطعات دیده می شوند، مجهز نمیباشند. عموماً این دستگاه تقسیم کننده از مدل Core و برای ارتباط سرویسدهندههای مرکزی به یکدیگر و انجام خدمات به شبکه داخلی یا دنیای اینترنت تهیه میشود و در لایه اصلی تقسیم ارتباط شبکه، از طرف سرویسدهندههای مرکزی به سرویس گیرنده های داخلی و بالعکس قرار گیرد. این قطعه می تواند از تکثیر یک برنامه ضدمخرب و همچنین ورود و خروج مهاجمان پنهان، در درون شبکه داخلی از یک رایانه به رایانه دیگر تا حد بسیار زیادی جلوگیری نماید. اما اگر تعداد کاربران و سرویسگیرندههای یک سازمان بیش از تعداد درگاههای خروجی یک تقسیمکننده مرکزی Core Switch باشد، در این صورت از تقسیم کننده های دیگری که قابلیت پیکربندی را دارا بوده و مقرون به صرفه نیز میباشند، میتوان استفاده نمود، تا کنترل ورودی و خروجی های هر طبقه یا واحد را بیمه نماییم. در مورد قطعات سخت افزاری تقسیم کننده Cisco Switch گزینه مناسبی می باشد که برترین نام جهانی را در این زمینه به خود اختصاص داده و با بروزآوری قطعات خود و همچنین آموزش متخصصان خود سهم بزرگی در این بحث ایفا می نماید.
در مرحله سوم امن سازی، نیاز به خرید برنامه نرم افزاری و یا قطعه سخت افزاری دیوار آتش احساس می شود. بیشترین تأکید بر روی قطعه سخت افزاری استوار است زیرا که از ثبات، قدرت بیشتر و ایرادات کمتری نسبت به نرم افزارهای مشابه خود برخوردار است. قطعه سختافزاری دژ ایمن می بایست در مسیر ورودی اینترنت به یک سازمان قرار گیرد. دقیقاً همانجایی که اینترنت غیرامن به یک سازمان تزریق می گردد. پیشنهاد ما، قطعه سختافزاریCisco ASA و یا Astaro Firewall می باشد. فراموش نشود استفاده از دو دستگاه همزمان موازی قطعاً نیاز ارجح هر سازمان می باشد چرا که با ایست، و توقف سرویسدهی یکی از قطعهها، دستگاه دیگر کنترل ورودی ها و خروجی ها را بدست میگیرد. اما در برنامه نرمافزاری نیاز به نصب نرمافزار بر روی یک سرویسدهنده مرکزی دیوار آتش بوده که ورود اینترنت ناامن تنها از مسیر این سرویسدهنده مرکزی انجام پذیرد. باید توجه داشت در صورت تهیه قطعههای سختافزاری خاصی استفاده نمود تا در قبل و بعد از قطعه مسیریابها قرار گیرد که در این صورت بهتر است تا از قطعه های Cisco ASA در دیواره داخلی و بعد از قطعه مسیربابها استفاده نمود.
در مرحله چهارم امن سازی نیاز به وجود قطعه سختافزاری دیگری به نام مسیریاب برای شبکه داخلی میباشد که ضمن قابلیت پیکربندی، برای نشان دادن مسیر ورودی ها و خروجی ها، اشتراک اینترنت، تنظیم ورودی ها و خروجی های دیوار آتشین، و همچنین خروج اطلاعات به شکل اینترنتی از سازمان به رایانه های شهری و یا بین شهری از طریق خطوط تلفن و ... استفاده نمود. پیشنهاد ما نیز محصولات شرکت معتبر Cisco میباشد.
در مرحله بعدی امن سازی یک سازمان نیاز به وجود دستگاه های تنظیم جریان برق و دستگاه های پشتیبان جریان برق اضطراری برای ارائه خدمات به صورت تمام وقت، بدون قطعی و تنظیم جریان برق، تمامی قطعههای سخت افزاری راهبر یک شبکه شامل تقسیمکنندهها، مسیریاب ها ، سرویسدهندههامی باشد. این سیستم به دلیل ایجاد خطرات احتمالی ناشی از قطع جریان برق نظیر از بین رفتن اطلاعات در حال ثبت بر روی سرویسدهنده ها، تقسیم کننده ها، مسیریاب ها میباشد.
به عنوان آخرین مرحله امن سازی، تهیه از اطلاعات و فایلهای مورد نیاز به صورت پشتیبان از برنامههای اصلی نرمافزاری بر روی یک سرویسدهنده پشتیبان ، آخرین لایه امن سازی درون سازمانی را تکمیل می نماید.
امنیت در شبکه های بی سیم
از آنجا که شبکههای بی سیم، در دنیای کنونی هرچه بیشتر در حال گسترش هستند، و با توجه به ماهیت این دسته از شبکهها، که بر اساس سیگنالهای رادیوییاند، مهمترین نکته در راه استفاده از این تکنولوژی، آگاهی از نقاط قوت و ضعف آنست. نظر به لزوم آگاهی از خطرات استفاده از این شبکهها، با وجود امکانات نهفته در آنها که بهمدد پیکربندی صحیح میتوان بهسطح قابل قبولی از بعد امنیتی دست یافت، بنا داریم در این بخش به «امنیت در شبکه های بی سیم» بپردازیم.
سه روش امنیتی در شبکه های بی سیم عبارتند از :
- WEP: Wired Equivalent Privacy
در این روش از شنود کاربرهایی که در شبکه مجوز ندارند جلوگیری به عمل می آید که مناسب برای شبکه های کوچک بوده زیرا نیاز به تنظیمات دستی( KEY ) مربوطه در هر Client می باشد. اساس رمز نگاری WEP بر مبنای الگوریتم RC4 بوسیله RSA می باشد.
- WEP: Wired Equivalent Privacy
در این روش از شنود کاربرهایی که در شبکه مجوز ندارند جلوگیری به عمل می آید که مناسب برای شبکه های کوچک بوده زیرا نیاز به تنظیمات دستی( KEY ) مربوطه در هر Client می باشد. اساس رمز نگاری WEP بر مبنای الگوریتم RC4 بوسیله RSA می باشد.
- SSID: Service Set Identifier
شبکه های WLAN دارای چندین شبکه محلی می باشند که هر کدام آنها دارای یک شناسه (Identifier ) یکتا می باشند این شناسه ها در چندین Access Point قرار داده می شوند . هر کاربر برای دسترسی به شبکه مورد نظر بایستی تنظیمات شناسه SSID مربوطه را انجام دهد .
شبکه های WLAN دارای چندین شبکه محلی می باشند که هر کدام آنها دارای یک شناسه (Identifier ) یکتا می باشند این شناسه ها در چندین Access Point قرار داده می شوند . هر کاربر برای دسترسی به شبکه مورد نظر بایستی تنظیمات شناسه SSID مربوطه را انجام دهد .
- MAC : Media Access Control
لیستی از MAC آدرس های مورد استفاده در یک شبکه به AP (Access Point ) مربوطه وارد شده بنابراین تنها کامپیوترهای دارای این MAC آدرسها اجازه دسترسی دارند به عبارتی وقتی یک کامپیوتر درخواستی را ارسال می کند MAC آدرس آن با لیست MAC آدرس مربوطه در AP مقایسه شده و اجازه دسترسی یا عدم دسترسی آن مورد بررسی قرار می گیرد .این روش امنیتی مناسب برای شبکه های کوچک بوده زیرا در شبکه های بزرگ امکان ورود این آدرسها به AP بسیار مشکل می باشد.
لیستی از MAC آدرس های مورد استفاده در یک شبکه به AP (Access Point ) مربوطه وارد شده بنابراین تنها کامپیوترهای دارای این MAC آدرسها اجازه دسترسی دارند به عبارتی وقتی یک کامپیوتر درخواستی را ارسال می کند MAC آدرس آن با لیست MAC آدرس مربوطه در AP مقایسه شده و اجازه دسترسی یا عدم دسترسی آن مورد بررسی قرار می گیرد .این روش امنیتی مناسب برای شبکه های کوچک بوده زیرا در شبکه های بزرگ امکان ورود این آدرسها به AP بسیار مشکل می باشد.
ضعف امنیتی در شبکههای بیسیم و خطرات معمول
خطر معمول در کلیهی شبکههای بیسیم مستقل از پروتکل و تکنولوژی مورد نظر، بر مزیت اصلی این تکنولوژی که همان پویایی ساختار، مبتنی بر استفاده از سیگنالهای رادیویی بهجای سیم و کابل، استوار است. با استفاده از این سیگنالها و در واقع بدون مرز ساختن پوشش ساختار شبکه، نفوذگران قادرند در صورت شکستن موانع امنیتی نهچندان قدرتمند این شبکهها، خود را بهعنوان عضوی از این شبکهها جازده و در صورت تحقق این امر، امکان دستیابی به اطلاعات حیاتی، حمله به سرویس دهندهگان سازمان و مجموعه، تخریب اطلاعات، ایجاد اختلال در ارتباطات گرههای شبکه با یکدیگر، تولید دادههای غیرواقعی و گمراهکننده، سوءاستفاده از پهنایباند مؤثر شبکه و دیگر فعالیتهای مخرب وجود دارد.
در مجموع، در تمامی دستههای شبکههای بیسیم، از دید امنیتی حقایقی مشترک صادق است :
[list][*]تمامی ضعفهای امنیتی موجود در شبکههای سیمی، در مورد شبکههای بیسیم نیز صدق میکند. در واقع نه تنها هیچ جنبهیی چه از لحاظ طراحی و چه از لحاظ ساختاری، خاص شبکههای بیسیم وجود ندارد که سطح بالاتری از امنیت منطقی را ایجاد کند، بلکه همان گونه که ذکر شد مخاطرات ویژهیی را نیز موجب است.
[*]نفوذگران، با گذر از تدابیر امنیتی موجود، میتوانند بهراحتی به منابع اطلاعاتی موجود بر روی سیستمهای رایانهیی دست یابند.
[*]اطلاعات حیاتییی که یا رمز نشدهاند و یا با روشی با امنیت پایین رمز شدهاند، و میان دو گره در شبکههای بیسیم در حال انتقال میباشند، میتوانند توسط نفوذگران سرقت شده یا تغییر یابند.
[*]حملههای DoS به تجهیزات و سیستمهای بیسیم بسیار متداول است.
[*]نفوذگران با سرقت کدهای عبور و دیگر عناصر امنیتی مشابه کاربران مجاز در شبکههای بیسیم، میتوانند به شبکهی مورد نظر بدون هیچ مانعی متصل گردند.
[*]با سرقت عناصر امنیتی، یک نفوذگر میتواند رفتار یک کاربر را پایش کند. از این طریق میتوان به اطلاعات حساس دیگری نیز دست یافت.
[*]کامپیوترهای قابل حمل و جیبی، که امکان و اجازهی استفاده از شبکهی بیسیم را دارند، بهراحتی قابل سرقت هستند. با سرقت چنین سخت افزارهایی، میتوان اولین قدم برای نفوذ به شبکه را برداشت.
[*]یک نفوذگر میتواند از نقاط مشترک میان یک شبکهی بیسیم در یک سازمان و شبکهی سیمی آن (که در اغلب موارد شبکهی اصلی و حساستری محسوب میگردد) استفاده کرده و با نفوذ به شبکهی بیسیم عملاً راهی برای دستیابی به منابع شبکهی سیمی نیز بیابد.
[*]در سطحی دیگر، با نفوذ به عناصر کنترل کنندهی یک شبکهی بیسیم، امکان ایجاد اختلال در عملکرد شبکه نیز وجود دارد.
[/list]
راه کارهای افزایش امنیت سیستمها
- بررسی میزان امنیت مورد نیاز کامپیوترها با توجه به اطلاعات ذخیره شده روی آنها، محیطی که در آن قرار گرفته اند، موارد و روشهای استفاده از آنها
- بررسی تنظیمات موجود روی کامپیوترها و تشخیص آسیب پذیریها و سوراخهای امنیتی با استفاده از برنامه های جدید و حرفه ای
- انجام تنظیمات و نصب برنامه های لازم جهت ارتقای امنیت منطقی کامپیوترها پیاده سازی امنیت برای فایلها
- کنترل میزان دسترسی کاربران به فایلها بر اساس موارد زیر: الف- فقط خواندن ب- خواندن و ویرایش ج- خواندن، ویرایش و حذف د- خواندن، ویرایش، حذف و کنترل دسترسی دیگران
- ثبت دسترسی کاربران مورد نظر به فایلهای تعیین شده (برای مثال جهت تشخیص کاربری که فایلهای خاصی را ویرایش می کند) - پیاده سازی رمزگذاری فایلها (Encrypting File System ) جهت جلوگیری از دسترسی کاربران دیگر (حتی مدیر شبکه) به آنها
دیواره آتش Firewall
دیواره آتش برای جدا کردن شبکه ها از همدیگر به کار می رود با استفاده از یک Firewall مناسب اهداف زیر محقق می گردد.
1- می توان سیاستها و سرویسهای ارائه شده در شبکه ها را از همدیگر بصورت مجرا نگهداری ، مدیریت و کنترل نمود.
2-انتخاب سرویس های داخلی ارائه شوند به بیرون از شبکه و یا بالعکس
3 -کنترل امنیت و مدیریت دسترسی های کاربران
4- حفاظت از اطلاعات در ماقبل کسانی که قصد نفوذ به شبکه داخلی را دارند.
دیوار آتش سیستمی است که در بین کاربران یک شبکه محلی و شبکه جهانی قرار میگیرد و ضمن نظارت بردسترسیها در تمام سطوح ورود و خروج اطلاعات راتحت نظر دارد. در این ساختار هر سازمان یا نهادی که بخواهد ورود و خروج اطلاعات را کنترلکند موظف است تمام ارتباطات مستقیم شبکه داخلی خود را با دنیای خارج قطع کرده و هرگونه ارتباط خارجی از طریق یک دروازه که دیوارآتش یا فیلتر نام دارد انجامشود. بستههای TCP وIP قبل از ورود به شبکه یا خروج ازآن ابتدا وارد دیواره آتش میشوند تا طبق معیارهای حفاظتی و امنیتی پردازش شوند.
شبکه های با قابلیت بالا جهت ارتباط با اینترنت از سخت افزاری های تخصصی استفاده می نمایند ولی نرم افزارهایی هم به همین منظور تولید شده و روی دستگاه های PC نصب می شود برای اتصال مناسب و امن به اینترنت استفاده از نرم افزار firewall ضروری می باشد. ناگفته نماند که ویندوز XP در نسخه SP2 خود این قابلیت را دارا می باشد و دارای امنیت بسیار بالائی جهت اتصال به شبکه می باشد . علاوه بر این توصیه می شود که جهت اتصال به شبکه اینترنت علاوه بر استفاده از Firewall ، از نرم افزارهای مناسب ویروس کش و AntiSpy نیز استفاده شود .
انواع فایروال
انواع مختلف فایروال کم و بیش کارهایی را که اشاره کردیم ، انجام می دهند، اما روش انجام کار توسط انواع مختلف ، متفاوت است که این امر منجر به تفاوت در کارایی و سطح امنیت پیشنهادی فایروال می شود.بر این اساس فایروالها را به 5 گروه تقسیم می کنند.
1- فایروالهای سطح مدار (Circuit-Level): این فایروالها به عنوان یک رله برای ارتباطات TCP عمل می کنند. آنها ارتباط TCP را با رایانه پشتشان قطع می کنند و خود به جای آن رایانه به پاسخگویی اولیه می پردازند.تنها پس از برقراری ارتباط است که اجازه می دهند تا داده به سمت رایانه مقصد جریان پیدا کند و تنها به بسته های داده ای مرتبط اجازه عبور می دهند. این نوع از فایروالها هیچ داده درون بسته های اطلاعات را مورد بررسی قرار نمی دهند و لذا سرعت خوبی دارند. ضمنا امکان ایجاد محدودیت بر روی سایر پروتکلها ( غیر از TCP) را نیز نمی دهند.
2- فایروالهای پروکسی سرور : فایروالهای پروکسی سرور به بررسی بسته های اطلاعات در لایه کاربرد می پردازد. یک پروکسی سرور درخواست ارائه شده توسط برنامه های کاربردی پشتش را قطع می کند و خود به جای آنها درخواست را ارسال می کند.نتیجه درخواست را نیز ابتدا خود دریافت و سپس برای برنامه های کاربردی ارسال می کند. این روش با جلوگیری از ارتباط مستقیم برنامه با سرورها و برنامه های کاربردی خارجی امنیت بالایی را تامین می کند. از آنجایی که این فایروالها پروتکلهای سطح کاربرد را می شناسند ، لذا می توانند بر مبنای این پروتکلها محدودیتهایی را ایجاد کنند. همچنین آنها می توانند با بررسی محتوای بسته های داده ای به ایجاد محدودیتهای لازم بپردازند. البته این سطح بررسی می تواند به کندی این فایروالها بیانجامد. همچنین از آنجایی که این فایروالها باید ترافیک ورودی و اطلاعات برنامه های کاربردی کاربر انتهایی را پردازش کند، کارایی آنها بیشتر کاهش می یابد. اغلب اوقات پروکسی سرورها از دید کاربر انتهایی شفاف نیستند و کاربر مجبور است تغییراتی را در برنامه خود ایجاد کند تا بتوان داین فایروالها را به کار بگیرد.هر برنامه جدیدی که بخواهد از این نوع فایروال عبور کند ، باید تغییراتی را در پشته پروتکل فایروال ایجاد کرد.
3- فیلترهای Nosstateful packet : این فیلترها روش کار ساده ای دارند. آنها بر مسیر یک شبکه می نشینند و با استفاده از مجموعه ای از قواعد ، به بعضی بسته ها اجازه عبور می دهند و بعضی دیگر را بلوکه می کنند. این تصمیمها با توجه به اطلاعات آدرس دهی موجود در پروتکلهای لایه شبکه مانند IP و در بعضی موارد با توجه به اطلاعات موجود در پروتکلهای لایه انتقال مانند سرآیندهای TCP و UDP اتخاذ می شود. این فیلترها زمانی می توانند به خوبی عمل کنند که فهم خوبی از کاربرد سرویسهای مورد نیاز شبکه جهت محافظت داشته باشند. همچنین این فیلترها می توانند سریع باشند چون همانند پروکسی ها عمل نمی کنند و اطلاعاتی درباره پروتکلهای لایه کاربرد ندارند.
4- فیلترهای ٍStateful Packet : این فیلترها بسیار باهوشتر از فیلترهای ساده هستند. آنها تقریبا تمامی ترافیک ورودی را بلوکه می کنند اما می توانند به ماشینهای پشتشان اجازه بدهند تا به پاسخگویی بپردازند. آنها این کار را با نگهداری رکورد اتصالاتی که ماشینهای پشتشان در لایه انتقال ایجاد می کنند، انجام می دهند.این فیلترها ، مکانیزم اصلی مورد استفاده جهت پیاده سازی فایروال در شبکه های مدرن هستند.این فیلترها می توانند رد پای اطلاعات مختلف را از طریق بسته هایی که در حال عبورند ثبت کنند. برای مثال شماره پورت های TCP و UDP مبدا و مقصد، شماره ترتیب TCP و پرچمهای TCP. بسیاری از فیلترهای جدید Stateful می توانند پروتکلهای لایه کاربرد مانند FTP و HTTP را تشخیص دهند و لذا می تواننداعمال کنترل دسترسی را با توجه به نیازها و سرعت این پروتکلها انجام دهند.
5- فایروالهای شخصی : فایروالهای شخصی ، فایروالهایی هستند که بر روی رایانه های شخصی نصب می شوند.آنها برای مقابله با حملات شبکه ای طراحی شده اند. معمولا از برنامه های در حال اجرا در ماشین آگاهی دارند و تنها به ارتباطات ایجاد شده توسط این برنامه ها اجازه می دهند که به کار بپردازند نصب یک فایروال شخصی بر روی یک PC بسیار مفید است زیرا سطح امنیت پیشنهادی توسط فایروال شبکه را افزایش می دهد. از طرف دیگر از آنجایی که امروزه بسیاری از حملات از درون شبکه حفاظت شده انجام می شوند ، فایروال شبکه نمی تواند کاری برای آنها انجام دهد و لذا یک فایروال شخصی بسیار مفید خواهد بود. معمولا نیازی به تغییر برنامه جهت عبور از فایروال شخصی نصب شده (همانند پروکسی) نیست.
نصب و تنظیم فایروال
- تشخیص و تعیین کامپیوترهایی که نیاز به نصب فایروال روی آنها وجود دارد (مخصوصا سرورها)
- نصب نرم افزار فایروال مناسب روی کامپیوترها جهت جلوگیری از دسترسی های غیر مجاز
- انجام تنظیمات لازم در فایروالهای نصب شده بگونه ای که اختلالی در سرویسها و ارتباطات معمول ایجاد نگردد
- انجام آزمایشات لازم جهت کسب اطمینان از صحت و کارایی فایروال
نرم افزار Sunbelt Personal Firewall
قطع ترافیک ورودی و خروجی رایانه: بسیار مناسب برای زمانی که حرکات مشکوک و نا خوشایند بر روی شبکه رخ می دهد. نگارش وقایع: با ثبت تمامی ارتباطات شبکه به شما امکان مرور و پیدا کردن مشکل احتمالی را می دهد. مرور کلی ارتباط ها و آمارگیری از وقایع: آمارگیری دقیق از ارتباطات برقرار شده و پورت های باز توسط نرم افزارهای دیگر و موقعیت بلاک شده ها و زمان های حمله و جلوگیری را نمایش می دهد. به روز رسانی: با بروز شدن نرم افزار آخرین ویرایش و قویترین آن همیشه در دسترس خواهد بود.www.kishtech.ir