DNS Session21

‫به نام خدا‬
‫امنیت داده و شبکه‬

‫فايروال (ديواره اتش)‬
‫دکتر رضا ابراهیمی آتانی _ نیمسال اول ‪91-92‬‬
‫مرکز اموزش های الک ترونیکی‬

‫‪http://elearn.guilan.ac.ir‬‬
‫فهرست مطالب‬
‫مقدمه‬ ‫‪‬‬
‫ويژگي هاي فايروال‬ ‫‪‬‬
‫انواع فايروال ها‬ ‫‪‬‬
‫پيكربندي فايروال ها‬ ‫‪‬‬
‫‪2‬‬
‫‪http://elearn.guilan.ac.ir‬‬ ‫مرکز اموزش های الک ترونیکی‬ ‫امنیت داده و شبکه‬
‫مقدمه‬
‫گسترش ارتباطات شبكه اي‬ ‫‪‬‬
‫نياز به استفاده از زيرساخت اينترنت توسط هر فرد‬ ‫‪‬‬
‫ايجاد تعامل بين شبكه هاي مختلف‬ ‫‪‬‬
‫مشكل بودن ايجاد امنيت در هر سيستم درون سازماني‬ ‫‪‬‬
‫نياز به يك اليه دفاعي جلوي جبهه با استفاده از فايروال‬ ‫‪‬‬
‫فايروال به عنوان بخشي از استراتژي كلي تامين امنيت است‪.‬‬ ‫‪‬‬
‫‪3‬‬
‫فايروال چيست؟‬
‫‪ ‬نقطه كنترل و نظارت شبكه‬
‫‪ ‬امكان اتصال شبكه ها با سطوح اعتماد مختلف با يكديگر‬
‫‪ ‬ترافيك گذرنده از داخل به خارج و برعكس‪ ،‬بايد از داخل فايروال عبور‬
‫كند‪.‬‬
‫‪ ‬تنها اطالعات و اشخاص مجاز‪ ،‬با توجه به سياست هاي شبكه محلي‪،‬‬
‫ميتوانند از فايروال عبور كنند‪.‬‬
‫‪ ‬فايروال خود بايد در مقابل نفوذ ايمن باشد (با استفاده از ‪trusted‬‬
‫‪.)system‬‬
‫‪4‬‬
‫فايروال چيست؟‬
‫سرويس هاي فراهم شده توسط ديواره آتش‪:‬‬ ‫‪‬‬
‫‪ ‬امكان بازرسي و كنترل دسترسي به شبكه و منابع و سرويس هاي‬
‫آن‬
‫‪ ‬امكان ثبت جريان ترافيك‬
‫‪ ‬تصفيه بر اساس محتواي بسته ها‬
‫‪ ‬فراهم سازي ترجمه آدرس‪ NAT‬و نظارت بر استفاده‬
‫‪ ‬پياده سازي شبكه خصوصي مجازي (‪ )VPN‬مبتني بر ‪IPSec‬‬
‫‪5‬‬
‫مقدمه‬ ‫‪‬‬
‫‪6‬‬
‫مكانيزم هاي كنترلي در فايروال‬
‫‪Service Control‬‬ ‫‪‬‬
‫‪ ‬سرويس هاي اينترنتي قابل دسترسي‬
‫‪ ‬اعمال كنترل بر اساس آدرس‪ IP‬و پورت‬
‫‪ ‬استفاده از پروكسي براي سرويس هاي استاندارد(‪)...،Telnet،FTP‬‬
‫‪Direction Control‬‬ ‫‪‬‬
‫اينكه درخواست يك سرويس از كدام سمت مي تواند ارسال و پاسخ داده شود‪.‬‬ ‫‪‬‬
‫‪User Control‬‬ ‫‪‬‬

‫كنترل دسترسي به سرويس بر اساس شخص درخواست كننده‬ ‫‪‬‬
‫‪ : Behavior Control‬كنترل نحوه استفاده از سرويس ها‬ ‫‪‬‬

‫مثال ‪ :‬انسداد سرويس ايميل براي مقابله با ‪spam‬‬ ‫‪‬‬
‫‪7‬‬
‫محدوديت هاي فايروال‬
‫فايروال ها نمي توانند با حمالت زير مقابله كنند‪:‬‬ ‫‪‬‬
‫‪ ‬حمالتي كه از فايروال عبور نمي كنند‪.‬‬
‫‪ ‬اتصال كاركنان از طريق خط‪Dial‐up‬‬
‫‪ ‬خطرات داخلي‬
‫‪ ‬كارمندان ناراضي يا ساده لوح!‬
‫‪ ‬ممانعت كامل از انتقال ويروس ها و فايل هاي اجرايي مخرب‬
‫‪ ‬با توجه به تنوع سيستم عامل ها و انواع فايل هاي مورد‬
‫پشتيباني آنها‬
‫‪8‬‬
‫مقدمه‬ ‫‪‬‬
‫‪9‬‬
‫انواع فايروال ها‬
Packet Filters 
Application‐Level Gateways 
Circuit‐Level Gateways 
10
http://elearn.guilan.ac.ir ‫مرکز اموزش های الک ترونیکی‬ ‫امنیت داده و شبکه‬
‫‪Packet Filters‬‬
‫مبناي كليه سيستم هاي فايروال است‪.‬‬ ‫‪‬‬
‫هر بسته ‪ IP‬را چك كرده (صرفنظر از محتوا) و بر اساس قواعد امنيتي‬ ‫‪‬‬
‫درباره عبور آن تصميم مي گيرد‪:‬‬
‫‪ ‬اجازه عبور‪Permit:‬‬
‫‪ ‬ممانعت از عبور‪Deny:‬‬
‫قواعد بر اساس سرآيند‪ IP‬و اليه انتقال تعريف مي شوند‪.‬‬ ‫‪‬‬

‫تصفيه در هر دو جهت قابل اعمال است‪.‬‬ ‫‪‬‬
‫‪11‬‬
‫دسترسي به سرويس ها قابل كنترل است (با استفاده از پورت ها)‪.‬‬ ‫‪‬‬
‫مزيت‪ :‬سادگي و پنهاني از ديد كاربران‬ ‫‪‬‬
‫ضعف‪:‬‬ ‫‪‬‬
‫‪ ‬عدم پشتيباني از احراز هويت‬
‫‪ ‬اعمال قواعد متناسب با برنامه مشكل است‪.‬‬
‫دو سياست پيش فرض مي تواند وجود داشته باشد‪:‬‬ ‫‪‬‬
‫‪ = Discard ‬هر آنچه كه صريحاً اجازه داده نشده‪ ،‬غيرمجاز است‪.‬‬
‫‪ = Forward ‬هر آنچه كه صريحاً ممنوع نشده‪ ،‬مجاز است‪.‬‬
‫‪12‬‬
‫‪13‬‬
‫تصفيه بسته ها در اين نوع فايروالها بر اساس فيلدهاي زير صورت مي‬ ‫‪‬‬
‫گيرد‪:‬‬
‫نوع پروتكل)‪)... ،ICMP ،TCP ،IP‬‬ ‫‪‬‬
‫آدرس ‪ IP‬مبدا و مقصد‬ ‫‪‬‬
‫پورت مبدا و مقصد‬ ‫‪‬‬
‫حالت ارتباط (پرچم هاي ‪ ،ACK ، SYN‬يا ‪ RST‬در ‪،Related ،TCP‬‬ ‫‪‬‬
‫‪(Established‬‬
‫زمان‪ :‬فعال كردن سرويس در يك بازه زماني خاص‬ ‫‪‬‬
‫واسط ورودي‪/‬خروجي (‪)eth1 ،eth0‬‬ ‫‪‬‬
‫‪14‬‬
‫مثال ‪( 1‬توضيح ‪ :‬قواعد از باال به پايين اعمال مي شوند)‬ ‫‪‬‬
‫‪ ‬ايميل هاي ورودي (پورت ‪ 25‬از‪ )SMTP‬فقط ميتوانند به ميزبان‬
‫‪ OUR_GW‬فرستاده شوند‪.‬‬
‫‪ ‬ايميل هاي ورودي از‪ SPIGOT‬مسدود مي شوند‪.‬‬
‫‪15‬‬
‫مثال ‪2‬‬ ‫‪‬‬
‫‪ ‬بيان صريح سياست پيش فرض( ‪.)default =deny‬‬
‫‪ ‬اين قاعده به صورت ضمني در انتهاي مجموعه قواعد مي آيد‪.‬‬
‫‪16‬‬
‫مثال ‪3‬‬ ‫‪‬‬
‫‪ ‬هر گره از داخل شبكه مي تواند به بيرون از شبكه ايميل ارسال كند‪.‬‬
‫‪ ‬مشكل‪ :‬ممكن است بجاي سرويس ايميل‪ ،‬سرويس ديگري روي‬
‫پورت ‪ 25‬قرار گرفته باشد‪ .‬در اين صورت نفوذگر مي تواند بسته اي‬
‫با پورت مبدا ‪ 25‬را به هر ماشين در داخل شبكه ارسال كند!‬
‫‪17‬‬
‫مثال ‪4‬‬ ‫‪‬‬
‫‪ ‬بسته هايي كه مبدا آنها متعلق به ليست ماشين هاي ميزبان داخلي‬
‫و مقصد آنها‪ ،‬پورت ‪ 25‬از ‪ TCP‬باشند‪ ،‬اجازه عبور دارند‪.‬‬
‫‪ ‬بسته هاي ورودي با پورت مقصد ‪ 25‬از ‪ TCP‬اجازه عبور دارند‪ ،‬به‬
‫شرطي كه پرچم ‪ ACK‬آنها روشن باشد‪.‬‬
‫‪ ‬پرچم ‪ ACK‬تاييد مي كند كه بسته ها از طرف مقابل رسيده اند‪.‬‬
‫‪18‬‬
‫حمالت وارده به ‪Packet Filters‬‬
‫جعل آدرس ‪ :IP‬فرستادن بسته از خارج با آدرس مبدا داخلي جعلي(با هدف‬ ‫‪‬‬
‫دسترسي به سرويس هايي كه صرفاً آدرس‪ IP‬مبدا را براي دسترسي كنترل مي‬
‫نمايند)‪.‬‬
‫‪ ‬راه حل‪ :‬انسداد بسته هاي فوق‬
‫تعيين مسير توسط مبدأ‪ :‬فرستنده مسير انتقال بسته را مشخص و همراه آن مي‬ ‫‪‬‬
‫فرستد و بدين ترتيب فايروال را دور مي زند‪.‬‬
‫‪ ‬راه حل‪ :‬انسداد بسته هايي كه حاوي اطالعات مسير هستند‪.‬‬
‫بسته هاي‪ IP‬قطعه قطعه شده‪ :‬سرآيند بسته اصلي در بسته هاي كوچكتر شكسته‬ ‫‪‬‬
‫مي شود‪.‬‬
‫‪ ‬راه حل‪ :‬انسداد بسته هاي كوچكي كه گزينه تقسيم ‪ IP‬آنها ‪ set‬شده است و يا‬
‫ابتدا بازسازي بسته اصلي و سپس كنترل آن‪.‬‬
‫‪19‬‬
‫فايروال هاي حالتمند )‪(Stateful‬‬
‫در فايروالهاي قديمي‪ ،‬اطالعات اليه هاي باالتر مربوط به بسته ها در‬ ‫‪‬‬
‫تصفيه آنها مورد استفاده قرار نمي گرفت‪.‬‬
‫‪ ‬به طور مثال‪ ،‬كنترل دريافت بسته‪ ،‬بر اساس ترافيك ارسالي‬
‫در اتصال به سرورها‪،‬‬ ‫‪‬‬
‫‪ ‬آدرس پورت سرور معموالً زير ‪ 1024‬و شناخته شده است‪.‬‬
‫‪ ‬آدرس پورت مشتري مي تواند هر مقدار بزرگتر مساوي ‪ 1024‬باشد‪.‬‬
‫‪ ‬لذا نمي توان قاعده اي را براي پورت مبدا در بسته هاي ارسالي و‬
‫پورت مقصد در بسته هاي دريافتي در نظر گرفت‪.‬‬
‫تصفيه حالتمند‪ ،‬اين نياز را برطرف مي كند‪.‬‬ ‫‪‬‬
‫‪20‬‬
‫فايروال هاي حالتمند‬
‫اطالعات مربوط به اتصاالت برقرار شده را نگهداري مي نمايند‪.‬‬ ‫‪‬‬
‫‪ ‬صرفاً بسته هاي دريافتي در صورت تعلق به يكي از اتصاالت جاري‬
‫پذيرفته مي شوند‪.‬‬
‫‪21‬‬
‫‪Application-Level Gateway‬‬
‫بيشتر به عنوان ‪ Proxy Server‬اطالق مي شود‪.‬‬ ‫‪‬‬
‫اصوال نقش واسط انتقال ترافيك در اليه كاربرد را ايفا مي كند‪:‬‬ ‫‪‬‬
‫‪ ‬كاربر از ‪ proxy‬تقاضاي سرويس مي كند‪.‬‬
‫‪ proxy ‬صالحيت كاربر براي استفاده از سرويس را بررسي مي كند‪.‬‬
‫‪ proxy ‬با سرور اصلي تماس مي گيرد و قطعات ‪ TCP‬را منتقل‬
‫مي كند‪.‬‬
‫‪ ‬اگر كد سرويس موردنظر در‪ proxy‬پياده سازي نشده باشد‪،‬‬
‫سرويس غيرقابل دسترسي خواهد بود‪.‬‬
‫‪22‬‬
‫‪ ‬مزايا‬
‫‪ ‬تنها با ليست محدودي از برنامه هاي كاربردي سروكار دارد‪.‬‬
‫‪ ‬ترافيك ورودي به سادگي قابل رديابي و بازرسي است‪.‬‬
‫‪ ‬نسبت به حمله ‪ DoS‬مقاوم تر است‪.‬‬
‫‪ ‬امكان تصفيه بر اساس محتواي بسته ها وجود دارد‪.‬‬
‫در مجموع امنیت بیشتري فراهم می کند‪.‬‬
‫‪23‬‬
‫معايب‬ ‫‪‬‬
‫‪ ‬سربار بوجود آمده براي ايجاد هر اتصال جديد‪.‬‬
‫‪ ‬طرفين با هم ارتباط مستقيم ندارند‪.‬‬
‫‪ ‬با تغيير ‪Proxy Server‬ها ممكن است مجبور به تغيير پيكربندي‬
‫مشتري ها باشيم‪.‬‬
‫در مجموع کارآيی کمتري دارد‪.‬‬
‫‪24‬‬
Application-Level Gateway
25
‫‪Circuit-Level Gateway‬‬
‫در واقع يك فايروال در اليه نشست از مدل ‪ OSI‬است‪.‬‬ ‫‪‬‬
‫صرفاً كنترل مي كند كه يك ارتباط برقرار شود يا نه‪.‬‬ ‫‪‬‬
‫ترافيك (تك تك بسته ها) كنترل نمي شود‪.‬‬ ‫‪‬‬
‫ارتباط انتها به انتها (‪ )end‐to‐end‬برقرار نمي شود‪.‬‬ ‫‪‬‬
‫دو ارتباط جداگانه ‪ ،TCP‬يكي با ميزبان داخلي و يكي با ميزبان خارجي‬ ‫‪‬‬
‫برقرار مي شود‪.‬‬
‫اغلب براي مخفي نمودن شبكه داخلي استفاده مي شود‪.‬‬ ‫‪‬‬
‫‪26‬‬
‫‪Circuit-Level Gateway‬‬
‫‪ ‬عموما وقتي كاربران داخلي قابل اعتماد هستند‪ ،‬به كار مي رود‪ .‬در اين‬
‫حالت ‪:‬‬
‫‪ ‬براي ارتباطات ورودي از‪ proxy‬استفاده مي شود‪.‬‬
‫‪ ‬براي ارتباطات خروجي از ‪ circuit‐level gateway‬استفاده مي‬
‫شود‪ ،‬تا دسترسي به سرويس هاي بيروني كنترل شود‪.‬‬
‫‪ SOCKS ‬يكي از پياده سازي هاي‪ circuit‐level gateway‬است‬
‫كه نسخه ‪ 5‬آن در ‪ RFC 1928‬آمده است‪.‬‬
‫‪27‬‬
Circuit-Level Gateway
28
‫مقدمه‬ ‫‪‬‬
‫‪29‬‬
‫‪Bastion Host‬‬
‫يك نقطه بحراني از نظر امنيت و قابل اعتماد در شبكه داخلي است‪.‬‬ ‫‪‬‬
‫عموما ‪Proxy Server‬ها يا‪Circuit‐level Gateway‬ها روي آن نصب‬ ‫‪‬‬
‫مي شوند‪.‬‬
‫يك نسخه امن سيستم عامل روي آن اجرا مي شود‪.‬‬ ‫‪‬‬
‫‪Proxy‬ها زيرمجموعه اي از ويژگي هاي سرويس ها را پشتيباني مي كنند‪.‬‬ ‫‪‬‬
‫‪Proxy‬ها دسترسي به ميزبان هاي خاصي را مجاز مي شمارند‪.‬‬ ‫‪‬‬
‫‪Proxy‬ها جزييات وقايع امنيتي را ثبت مي كنند‪.‬‬ ‫‪‬‬
‫‪Proxy‬ها از همديگر مستقل هستند‪.‬‬ ‫‪‬‬
‫بجز خواندن فايل پيكربندي در ابتداي زمان راه اندازي‪ ،‬دسترسي به ديسك‬ ‫‪‬‬
‫ندارند (امنيت بيشتر در مقابل ويروس ها و اسب هاي تروا)‪.‬‬
‫‪30‬‬
‫‪Single-Homed Bastion Host‬‬
‫‪Bastion Host + Packet‐Filter router ‬‬
‫‪ ‬بسته هاي ورودي فقط به مقصد ‪ Bastion Host‬مي توانند فرستاده‬
‫شوند‪.‬‬
‫‪ ‬بسته ها فقط از مبداء ‪ Bastion Host‬مي توانند به خارج فرستاده شوند‪.‬‬
‫‪31‬‬
‫‪Single-Homed Bastion Host‬‬
‫در صورت نفوذ به فايروال‪ ،Packet Filter‬از لحاظ فيزيكي‪ ،‬امكان‬ ‫‪‬‬
‫دسترسي به شبكه داخلي وجود ندارد‪.‬‬
‫كارگزار اطالعات يا ساير ميزبانها (در صورت لزوم) مي توانند مستقيماً با‬ ‫‪‬‬
‫مسيرياب ارتباط داشته باشند‪.‬‬
‫‪32‬‬
‫‪Screened-subnet Firewall‬‬
‫ايجاد يك محيط ايزوله با استفاده از دو مسيرياب‪.‬‬ ‫‪‬‬
‫شبكه داخلي و اينترنت مي توانند با زيرشبكه )‪ (subnet‬داخلي ارتباط‬ ‫‪‬‬
‫داشته باشند‪.‬‬
‫ايجاد سه اليه دفاعي و فراهم آمدن امنيت بيشتر‪.‬‬ ‫‪‬‬
‫‪33‬‬

DNS Session21

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

DNS Session21

Uploaded by

Copyright:

Available Formats

‫به نام خدا‬

‫امنیت داده و شبکه‬

‫دکتر رضا ابراهیمی آتانی _ نیمسال اول ‪91-92‬‬

‫مرکز اموزش های الک ترونیکی‬

‫ويژگي هاي فايروال‬ ‫‪‬‬

‫انواع فايروال ها‬ ‫‪‬‬

‫پيكربندي فايروال ها‬ ‫‪‬‬

‫ويژگي هاي فايروال‬ ‫‪‬‬

‫انواع فايروال ها‬ ‫‪‬‬

‫پيكربندي فايروال ها‬ ‫‪‬‬

‫‪User Control‬‬ ‫‪‬‬

‫‪ : Behavior Control‬كنترل نحوه استفاده از سرويس ها‬ ‫‪‬‬

‫ويژگي هاي فايروال‬ ‫‪‬‬

‫انواع فايروال ها‬ ‫‪‬‬

‫پيكربندي فايروال ها‬ ‫‪‬‬

‫قواعد بر اساس سرآيند‪ IP‬و اليه انتقال تعريف مي شوند‪.‬‬ ‫‪‬‬

‫در مجموع امنیت بیشتري فراهم می کند‪.‬‬

‫در مجموع کارآيی کمتري دارد‪.‬‬

‫ويژگي هاي فايروال‬ ‫‪‬‬

‫انواع فايروال ها‬ ‫‪‬‬

‫پيكربندي فايروال ها‬ ‫‪‬‬

You might also like