Professional Documents
Culture Documents
DNS Session21
DNS Session21
2
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مقدمه
گسترش ارتباطات شبكه اي
نياز به استفاده از زيرساخت اينترنت توسط هر فرد
ايجاد تعامل بين شبكه هاي مختلف
مشكل بودن ايجاد امنيت در هر سيستم درون سازماني
نياز به يك اليه دفاعي جلوي جبهه با استفاده از فايروال
فايروال به عنوان بخشي از استراتژي كلي تامين امنيت است.
3
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فايروال چيست؟
نقطه كنترل و نظارت شبكه
امكان اتصال شبكه ها با سطوح اعتماد مختلف با يكديگر
ترافيك گذرنده از داخل به خارج و برعكس ،بايد از داخل فايروال عبور
كند.
تنها اطالعات و اشخاص مجاز ،با توجه به سياست هاي شبكه محلي،
ميتوانند از فايروال عبور كنند.
فايروال خود بايد در مقابل نفوذ ايمن باشد (با استفاده از trusted
.)system
4
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فايروال چيست؟
سرويس هاي فراهم شده توسط ديواره آتش:
امكان بازرسي و كنترل دسترسي به شبكه و منابع و سرويس هاي
آن
امكان ثبت جريان ترافيك
تصفيه بر اساس محتواي بسته ها
فراهم سازي ترجمه آدرس NATو نظارت بر استفاده
پياده سازي شبكه خصوصي مجازي ( )VPNمبتني بر IPSec
5
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فهرست مطالب
مقدمه
6
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
مكانيزم هاي كنترلي در فايروال
Service Control
سرويس هاي اينترنتي قابل دسترسي
اعمال كنترل بر اساس آدرس IPو پورت
استفاده از پروكسي براي سرويس هاي استاندارد()...،Telnet،FTP
Direction Control
اينكه درخواست يك سرويس از كدام سمت مي تواند ارسال و پاسخ داده شود.
8
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فهرست مطالب
مقدمه
9
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
انواع فايروال ها
Packet Filters
Application‐Level Gateways
Circuit‐Level Gateways
10
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
مبناي كليه سيستم هاي فايروال است.
هر بسته IPرا چك كرده (صرفنظر از محتوا) و بر اساس قواعد امنيتي
درباره عبور آن تصميم مي گيرد:
اجازه عبورPermit:
ممانعت از عبورDeny:
11
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
دسترسي به سرويس ها قابل كنترل است (با استفاده از پورت ها).
مزيت :سادگي و پنهاني از ديد كاربران
ضعف:
عدم پشتيباني از احراز هويت
اعمال قواعد متناسب با برنامه مشكل است.
دو سياست پيش فرض مي تواند وجود داشته باشد:
= Discard هر آنچه كه صريحاً اجازه داده نشده ،غيرمجاز است.
= Forward هر آنچه كه صريحاً ممنوع نشده ،مجاز است.
12
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
13
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
تصفيه بسته ها در اين نوع فايروالها بر اساس فيلدهاي زير صورت مي
گيرد:
نوع پروتكل))... ،ICMP ،TCP ،IP
آدرس IPمبدا و مقصد
پورت مبدا و مقصد
حالت ارتباط (پرچم هاي ،ACK ، SYNيا RSTدر ،Related ،TCP
(Established
زمان :فعال كردن سرويس در يك بازه زماني خاص
واسط ورودي/خروجي ()eth1 ،eth0
14
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
مثال ( 1توضيح :قواعد از باال به پايين اعمال مي شوند)
ايميل هاي ورودي (پورت 25از )SMTPفقط ميتوانند به ميزبان
OUR_GWفرستاده شوند.
ايميل هاي ورودي از SPIGOTمسدود مي شوند.
15
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
مثال 2
بيان صريح سياست پيش فرض( .)default =deny
اين قاعده به صورت ضمني در انتهاي مجموعه قواعد مي آيد.
16
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
مثال 3
هر گره از داخل شبكه مي تواند به بيرون از شبكه ايميل ارسال كند.
مشكل :ممكن است بجاي سرويس ايميل ،سرويس ديگري روي
پورت 25قرار گرفته باشد .در اين صورت نفوذگر مي تواند بسته اي
با پورت مبدا 25را به هر ماشين در داخل شبكه ارسال كند!
17
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Packet Filters
مثال 4
بسته هايي كه مبدا آنها متعلق به ليست ماشين هاي ميزبان داخلي
و مقصد آنها ،پورت 25از TCPباشند ،اجازه عبور دارند.
بسته هاي ورودي با پورت مقصد 25از TCPاجازه عبور دارند ،به
شرطي كه پرچم ACKآنها روشن باشد.
پرچم ACKتاييد مي كند كه بسته ها از طرف مقابل رسيده اند.
18
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
حمالت وارده به Packet Filters
جعل آدرس :IPفرستادن بسته از خارج با آدرس مبدا داخلي جعلي(با هدف
دسترسي به سرويس هايي كه صرفاً آدرس IPمبدا را براي دسترسي كنترل مي
نمايند).
راه حل :انسداد بسته هاي فوق
تعيين مسير توسط مبدأ :فرستنده مسير انتقال بسته را مشخص و همراه آن مي
فرستد و بدين ترتيب فايروال را دور مي زند.
راه حل :انسداد بسته هايي كه حاوي اطالعات مسير هستند.
بسته هاي IPقطعه قطعه شده :سرآيند بسته اصلي در بسته هاي كوچكتر شكسته
مي شود.
راه حل :انسداد بسته هاي كوچكي كه گزينه تقسيم IPآنها setشده است و يا
ابتدا بازسازي بسته اصلي و سپس كنترل آن.
19
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فايروال هاي حالتمند )(Stateful
در فايروالهاي قديمي ،اطالعات اليه هاي باالتر مربوط به بسته ها در
تصفيه آنها مورد استفاده قرار نمي گرفت.
به طور مثال ،كنترل دريافت بسته ،بر اساس ترافيك ارسالي
در اتصال به سرورها،
آدرس پورت سرور معموالً زير 1024و شناخته شده است.
آدرس پورت مشتري مي تواند هر مقدار بزرگتر مساوي 1024باشد.
لذا نمي توان قاعده اي را براي پورت مبدا در بسته هاي ارسالي و
پورت مقصد در بسته هاي دريافتي در نظر گرفت.
تصفيه حالتمند ،اين نياز را برطرف مي كند.
20
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فايروال هاي حالتمند
اطالعات مربوط به اتصاالت برقرار شده را نگهداري مي نمايند.
صرفاً بسته هاي دريافتي در صورت تعلق به يكي از اتصاالت جاري
پذيرفته مي شوند.
21
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Application-Level Gateway
بيشتر به عنوان Proxy Serverاطالق مي شود.
اصوال نقش واسط انتقال ترافيك در اليه كاربرد را ايفا مي كند:
كاربر از proxyتقاضاي سرويس مي كند.
proxy صالحيت كاربر براي استفاده از سرويس را بررسي مي كند.
proxy با سرور اصلي تماس مي گيرد و قطعات TCPرا منتقل
مي كند.
اگر كد سرويس موردنظر در proxyپياده سازي نشده باشد،
سرويس غيرقابل دسترسي خواهد بود.
22
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Application-Level Gateway
مزايا
تنها با ليست محدودي از برنامه هاي كاربردي سروكار دارد.
ترافيك ورودي به سادگي قابل رديابي و بازرسي است.
نسبت به حمله DoSمقاوم تر است.
امكان تصفيه بر اساس محتواي بسته ها وجود دارد.
23
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Application-Level Gateway
معايب
سربار بوجود آمده براي ايجاد هر اتصال جديد.
طرفين با هم ارتباط مستقيم ندارند.
با تغيير Proxy Serverها ممكن است مجبور به تغيير پيكربندي
مشتري ها باشيم.
24
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Application-Level Gateway
25
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Circuit-Level Gateway
در واقع يك فايروال در اليه نشست از مدل OSIاست.
صرفاً كنترل مي كند كه يك ارتباط برقرار شود يا نه.
ترافيك (تك تك بسته ها) كنترل نمي شود.
ارتباط انتها به انتها ( )end‐to‐endبرقرار نمي شود.
دو ارتباط جداگانه ،TCPيكي با ميزبان داخلي و يكي با ميزبان خارجي
برقرار مي شود.
اغلب براي مخفي نمودن شبكه داخلي استفاده مي شود.
26
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Circuit-Level Gateway
عموما وقتي كاربران داخلي قابل اعتماد هستند ،به كار مي رود .در اين
حالت :
براي ارتباطات ورودي از proxyاستفاده مي شود.
براي ارتباطات خروجي از circuit‐level gatewayاستفاده مي
شود ،تا دسترسي به سرويس هاي بيروني كنترل شود.
SOCKS يكي از پياده سازي هاي circuit‐level gatewayاست
كه نسخه 5آن در RFC 1928آمده است.
27
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Circuit-Level Gateway
28
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
فهرست مطالب
مقدمه
29
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Bastion Host
يك نقطه بحراني از نظر امنيت و قابل اعتماد در شبكه داخلي است.
عموما Proxy Serverها ياCircuit‐level Gatewayها روي آن نصب
مي شوند.
يك نسخه امن سيستم عامل روي آن اجرا مي شود.
Proxyها زيرمجموعه اي از ويژگي هاي سرويس ها را پشتيباني مي كنند.
Proxyها دسترسي به ميزبان هاي خاصي را مجاز مي شمارند.
Proxyها جزييات وقايع امنيتي را ثبت مي كنند.
Proxyها از همديگر مستقل هستند.
بجز خواندن فايل پيكربندي در ابتداي زمان راه اندازي ،دسترسي به ديسك
ندارند (امنيت بيشتر در مقابل ويروس ها و اسب هاي تروا).
30
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Single-Homed Bastion Host
Bastion Host + Packet‐Filter router
بسته هاي ورودي فقط به مقصد Bastion Hostمي توانند فرستاده
شوند.
بسته ها فقط از مبداء Bastion Hostمي توانند به خارج فرستاده شوند.
31
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Single-Homed Bastion Host
در صورت نفوذ به فايروال ،Packet Filterاز لحاظ فيزيكي ،امكان
دسترسي به شبكه داخلي وجود ندارد.
كارگزار اطالعات يا ساير ميزبانها (در صورت لزوم) مي توانند مستقيماً با
مسيرياب ارتباط داشته باشند.
32
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه
Screened-subnet Firewall
ايجاد يك محيط ايزوله با استفاده از دو مسيرياب.
شبكه داخلي و اينترنت مي توانند با زيرشبكه ) (subnetداخلي ارتباط
داشته باشند.
ايجاد سه اليه دفاعي و فراهم آمدن امنيت بيشتر.
33
http://elearn.guilan.ac.ir مرکز اموزش های الک ترونیکی امنیت داده و شبکه