اجراي FIRE WALL :
چون شبه سازمانها به كارمندان خود اجازه مي دهند كه به اينترنت عموميCONNECT شوند بايد به نحوي طراحي شود كه اهداف دسترسي اينترنتي سازمان را بر آورده سازد (يا ساير شبكه هاي عمومي)خلاصه سازمان ممكن است به سايتهاي سازمان ،اجازه دسترسي به اينترنت را ندهدولي به اينترنت اجازه دستيابي به سازمان را مي دهد .به عنوان يك جايگزين ديگر ممكن است استفاده شوند كه فقط به سيستم هاي انتخابي اجازه دهند كه به سيستم هاي خصوصي درFIRE WALL وارد يا خارج شوند .
سياستهاي دسترسي ممكن است FIRE WALL رابه دوروش اصلي انجام مي دهد.
الف-هر خدماتي را مجاز بداند تا اينكه آشكارا رد شود
ب-هر خدماتي را رد كند تا آشكارا مجاز شود
[NCSA96]الف-موقعيت قابل توجهي براي سلاحهاي امنيتي ايجاد مي كند در بيشتر مواقع (ب)خدماتي است كه درآن بيشتر طرحهاي دستيابي طراحي مي شوند .مشكل(الف)اين است كه تبديل به يك چتر كامل تمام در برگيرنده مي شود كه مي توانداز مسير جانبي عبور كند(bypass ) . به طور مثال خدمات جديد مي توانند از اين دسته باشند كه در فيلترFIRE WALL توضيح داده نمي شود يا توسط طرح دست يابي سازمان توضيح داده مي شود.به عنوان مثال خدمات رد شده كه در ساختار اينترنت انجام مي شود ،مي توانند با استفاده از پرت دي انترتي غير استاندارد ،غلبه كننده كه در سياست آشكار توضيح داده نشده است (و رد شده است).
آخرين نكته در اين بحث اوليهFIRE WALLS اين است كه دربسياري موارد ،استفاده از انواع مختلف FIRE WALL هامنطقي است تا تجزيه تحليل دستيابي وفيلتر كردن وابسته به طبيعت تبادل وويژگي مانند آدرسها،شماره پرت ها وغيره انجام پذيرد.
يكي از اعمال اصلي انجام شده توسط FIRE WALL فيلتر كردن بسته هاست (شكل5-9)اين اصطلاح عملي را توصيه مي كند كه بسته هاي خاصي اجازه عبور از FIRE WALL رادارند وديگر بسته ها نمي توانند عمل فيلتر كردن بستگي به قوانيني دارد كه در نرم افزار اجرا كننده FIRE WALL بشكل رمزي در آمده است .متداول ترين نوع فيلتر كردن بسته از ديدگاه يك ROUTER مسير ياب قديمي در برنامه اطلاعاتيIP انجام مي شود(بسته هايIP ).فيلتر كردن معمولاًروي (الف)آدرس منبع،(ب)آدرسIP مقصد ،(ج) شماره پرت منبع و(د) شماره پرت مقصد
Filtering:
انجام ميشود.در حاليكه اين پديده ها براي بيشترROUTER هايHIGH-END استفاده مي شود همهROUTER ها نمي توانند روي شماره هاي پرت فيلتر كنند.
بعلاوه سايرROUTER فيلتر را بر اساس ارتباطات شبكه فرستنده انجام مي دهند براي تصميم گيري در باره اينكه آياDATA GRAM ازميان ارتباط ورودي يا خروجي بايد عبور كند يا خير؟
فيلتر كردن همچنين بستگي به سيستم هاي عمل كننده خاصي دارد ،به طور مثال بعضي از HOST هاي UNLX قادرند فيلتر كنند وساير آنها نمي توانند.
تبادل از يك شبكه غير مطمئن به FIRE WALL انجام مي گيرد .قبل از اينكه توسط FIRE WALL پردازش نشده است فيلتر نشده است.
تبادل بر اساس سياست امنيتي در FIRE WALL به شبكه يا شبكه هاي مطمئن انتقال مي يابد ،تا فيلتر شود .در غير اين صورت آنهايي كه از آزمايشات FIRE WALL در نيامده اند دور ريخته مي شوند. در چنين شرايطي ،تبادل بايد براي تجزيه وتحليل هاي بعدي ثبت شود كه جنبه مهمي در زمينه رد يابي مشكلات امنيتي ممكن مي باشد.استفاده از تمام قوانين فيلتر كردن يك ROUTETR ممكن است كار بسيار پيچيده اي باشد حتي اگر قابل اجرا باشد ،ممكن است درROUTER حجم كاري كه پردازش آن كامل نشده ،ايجاد كند .كار ديگر اين است كه بيش از يك FIRE WALL داشته باشيم كه بعضي از داده هاي فيلتر كردن به روشي كه معروف به PROXY FIRE WALL يا استفاده از دروازه است انجام مي شود .مثلاً كاغذ NCSA بيان مي كند كه يكROUTER ممكن است از تمام بسته هايTELNETوFTP به يكHOST خاص بگذرد كه تحت عنوان دروازه اجراي TELNET/FIP شناخته مي شود،سپس اين دروازه ،كارهاي فيلتر كردن بعدي را انجام مي دهد.
مصرف كننده اي كه مي خواهد به سايت سيستم خاصي متصل شود ممكن است نياز باشد كه اول بهAPPLICATION (دروازه اجراوصل شود وسپس بهHOST مقصد متصل گردد)مصرف كننده اول به ELENT/APPLICATIONGATE WAY مي شود ونامHOST داخلي را وارد مي كند.A.G سپس آدرس منبعIP مصرف كننده را براي معتبر بودن كنترل مي كند .(در اين ارتباط ،ممكن استUSER مجبور شود كهA.G را تأييد نمايد )سپس ارتباطTELNET ميان دروازه وHOST داخلي محلي برقرار مي شود كه سپس تبادل ميان دو دستگاه HOST عبور مي كند.
بعلاوه FIRE WALL عملي بعداً مي تواند طراحي شود تا انقلاب خاصي را تأييد يا تكذيب كند .آنچه به نظر مي رسد اين است كه استفاده بعضيUSER ها را تكذيب مي كند واين گونه عمل مي كند كه با تكذيب فرمانFTPPUT بهSERVER مي نويسد.
خدماتFIRE WALL كنترل شده MFWS :
MFWS تقريباً سلاح جديدي در جنگهاي امنيتي است سازماني كه اين خدمات را ارائه مي كند ،مسئوليت درست شدن وكنترل FIRE WALL شركت را به عهده دارد كه شامل طراحي كلي سازمان امنيتي كامل ،مجوز گرفتن براي نرم افزارINSTALL (نصب)،نگهداري وحتي اعمال اصلي كنترل است .
در تخمين وارزشيابيMFWS بايد به دقت به پتانسيل شخصي كاركنان شركت بنگرد ،در واقع شايد بزرگترين شكايت در باره تأمين كنندگان FIRE WALL كمبود شعور كاركنان امنيتي آنهاست.
ولي اين LAMENT ازطريق صنعت متداول است.اما افراد ماهر كافي وجود ندارد.با اين وجود ،شكست درزمينه داشتن كاركنان با صلاحيت درMFWS كهFIRE WALL هايش ما را كنترل مي كنند.مي تواند مشكلات فراواني بيافريندمانند سلاحهاي امنيتي AKA .
تأمين كننده Fire Wall ،2راه پيش پاي مشتري در باره محل Fire Wall مي گذارد. (شكل6-9) الف- روي سياستهاي مشتري ب-روي سايت تأمين كننده بيشتر خدمات توسط ISPهاو انتقال دهندگان مسافت طولاني تأمين مي شود بنابراين (ب)معمولاًاستقرار Fire Wall در مركز اطلاعاتي تأمين كننده در سررور را ايجاب مي كند.(مثلاً محل حضور ISP يا POP ) .
براي راه الف-راحت تراست كه تلاشهاي امنيتي در نقطه متمركز جمع شود. شخص از داشتن Fire Wall اختصاصي مطمئن مي شودوبراي اطمينان فيلترهاي خاصي ايجاد مي شود.براي راه ب- شركت لازم نيست كه فضاي خود را براي وسايل استفاده كند وكاركناني را براي Fire Wall اختصاص دهند .با اينحال راه ب- ممكن است به اين مفهوم باشد كه تلاشهاي امنيتي در محل هايي باچند سررورتصرف شوند .همچنين راه ب-ممكن است به اين معني باشد كه Fire Wall باساير مشتريان تقسيم شده است ولي تصرف لزوماًبد نيست. ممكن است موجب تأخير كمتر وفاصله پرش كمتر شود.
خدمات fire wall كنترل شده:
براي راه ب- دانستن اينكه تأمين كننده چند سايت دارد،خوب است چون تبادل مي تواند توسط محلهاي مضاعف تقسيم شود(مثلاً در امريكا ،اروپا،آسيا وغيره)
همانطور كه اين شكل نشان مي دهد درواقع تنظيم غير اختصاصي دوتنوع ايجاد مي كند.
IP_Sec , Fire wall:
اين مثالها براي اعمال روش تونل است كه در آنها فايرواسها تونل امنيتي ميان آنها را حمايت مي كند. بسته USER براي اين امتحان مي شود كه آيا با سياست امنيتي Out Bound مي خواند يا خير ؟
به خاطر داشته باشيد كه اين هماهنگي مي تواند در باره آدرسهاي IP ،ID پروتكل وشماره هاي پرت ها نيز صورت گيرد . اين بسته ها بر اساس اينكه هماهنگ مي شوند يا نه –الف-به شكل واضح Forwardمي شوند (بدون جايگزين) يا-ب- Drop مي شوند (بدون پردازش هاي بعدي)يا-ج- به راههايي Subject مي شوند كه توسط سياست امنيتي OutBound تعيين مي شود.
الف- IPSEC در يك فايروال(بسته OutBound )
ب- IPSEC در يك فايروال(بسته InBound )
بسته امنيتي به فايروال ميرسد جايي كه بدون تونل مي شود (Decapsulate) .بسته IP سپس براي هماهنگي با سياست SA(inBound)مقايسه مي شود .اگر هماهنگ باشد عملي كه توسط سياست امنيتي InBound تعيين شده انجام مي شود در غير اين صورت Drop مي شود.
مكانيزم هاي امنيتي:
عمل Hash :
اين بخش از مقاله Coding و مكانيزم را براي ايجاد امنيت معرفي مي نمايد .اجازه بدهيد با يك روال كار بسيار مهم واصلي شروع كنم كه معروف به Hash يا عمل Hashing است اين عمل مدارك User را به يك Degestتبدبل مي كند كه معروف به اثر انگشت ديجيتالي (عددي)يا Degest پيغام است.
به اين دليل اين نام را انتخاب كرده اند كه علاوه بر جنبه Encryption عمل مي تواند براي جستجو جعل شده ها و Temprory مدارك نيز استفاده شود. Hash به شكل زير عمل مي كند ودر اين شكل نيز نشان داده شده است.
ابتدا،متن پيام به شماره هاي Binery تبديل مي شود وبه Block هاي هم اندازه تقسيم ميگردد.اين ها به الگوريتم Input ciphering ارسال مي شود كه خروجي توليد مي كند كه معروف به Degest يا Hash مي باشد.
پاسخ با نقل قول
علاقه مندی ها (بوک مارک ها)