TCP/IP يکي از پروتکل هاي کاملا" شناخته شده در عرصه شبکه هاي کامپيوتري است که در عمل تا اندازه اي پيچيده جلوه مي نمايد . شايد بخشي از اين پيچيدگي مبتني بر اين حقيقت باشد که پروتکل فوق از تعداد زيادي زيرعنصر نظير پورت ها و پروتکل هاي ديگر تشکيل شده است . پروتکل TCP/IP به منظور انجام عمليات روزمره خود به تعداد زيادي از پورت ها و پروتکل ها نياز خواهد داشت و برخي ديگر بندرت استفاده مي گردند . پروتکل هاي غيرضروري مي تواند امنيت شبکه شما را بمخاطره انداخته و فرصت نفوذ به يک شبکه را در اختيار مهاجمان قرار دهد . براي پيشگيري از دستيابي غير مجاز مهاجمان به شبکه ، اغلب مديران شبکه اقدام به پياده سازي يک فايروال مي نمايند که در آن تمامي پورت ها و پروتکل هاي غيرضروري ، بلاک مي گردند.
شايد اين موضوع براي شما جالب باشد که بدانيد نسخه هاي ويندوز 2000 به بعد داراي امکانات از قبل تعبيه شده اي نظير پتانسيل هاي ارائه شده توسط فايروال ها مي باشند . در ادامه با نحوه بلاک کردن پورت ها و پروتکل هاي غيرضروري در نسخه ويندوز 2000 آشنا مي شويم .
اجازه دهيد در ابتدا با صراحت عنوان نمائيم که راه حلي که در ادامه به آن اشاره خواهد شد را نمي توان به عنوان گزينه اي جايگزين در مقابل يک فايروال واقعي مطرح نمود . فيلترينگ بسته هاي اطلاعاتي TCP/IP با استفاده از امکانات ارائه شده در نسخه هاي ويندوز 2000 به بعد ، صرفا" روشي است که مي تواند تا حدودي شبکه شما را ايمن نمايد .
سيستم فيلترينگ بسته هاي اطلاعاتي در ويندوز 2000 بگونه اي طراحي شده است که تمامي بسته هاي اطلاعاتي فيلتر مي گردند مگر آناني که مجوز لازم براي استفاده از آنان صادر و اصطلاحا" در ليست مجاز قرار گرفته باشند . پيشنهاد مي گردد تمامي بسته هاي اطلاعاتي بجزء آناني که به مقصد شماره پورت هاي زير حرکت مي نمايند ، بلاک گردند .
• شماره پورت هاي TCP
شماره پورت هاي TCP |
کاربرد | شماره پورت |
FTP Server Data Channel | 20 |
FTP Server Control Channel | 21 |
Telnet | 23 |
HTTP | 80 |
NetBIOS | 139 |
• شماره پورت هاي UDP
شماره پورت هاي UDP |
کاربرد | شماره پورت |
DNS Lookup | 53 |
TFTP | 69 |
NBNS | 137 |
SNMP | 161 |
RIP | 520 |
• شماره پورت هاي IP
شماره پورت هاي UDP |
کاربرد | شماره پورت |
ICMP | 1 |
IGMP | 2 |
GGP | 3 |
IP in IP encapsulation | 4 |
ST stream | 5 |
TCP | 6 |
Often used for Computer Based Training | 7 |
EGP | 8 |
نحوه فليترينگ پورت ها و پروتکل هاي غيرضروري
• کليک بر روي آيکون Network and Dial Up Connections از طريق control panel
• کليک سمت راست بر روي Connection مورد نظري که قصد پيکربندي آن را داريم و انتخاب گزينه Properties
• انتخاب پروتکل TCP/IP از طريق ليست عناصر نصب شده و فعال نمودن دکمه Properties
• کليک بر روي دکمه Advanced ( پس از نمايش صفحه مربوط به خصلت ها ي پروتکل TCP/IP )
• انتخاب گزينه TCP/IP Filtering و کليک بر روي دکمه Properties . در ادامه پنجره TCP/IP Filtering نمايش داده مي شود :
همانگونه که در شکل فوق مشاهده مي گردد ، در قسمت بالاي پنجره TCP/IP Filtering يک check box به منظور فعال و يا غيرفعال نمودن ( Enable TCP/IP Filtering (All Adapters وجود دارد . پنجره فوق به سه ستون TCP Ports , UDP Ports و IP Protocols تقسيم شده است که هر يک داراي مجموعه اي از دکمه هاي Radio button مي باشند . مقدار پيش فرض Radio button موجود در هر ستون، Permit All در نظر گرفته شده است . بدين ترتيب به تمامي بسته هاي اطلاعاتي اين اجازه داده مي شود که بدون هيچگونه فيلترينگي در مسير خود آزادانه حرکت نمايند .
براي اعمال فيلترينگ بر روي برخي پورت ها مي توان مقدار Radio button موجود در هر ستون را به Permit Only تغيير داد . بدين ترتيب صرفا" به شماره پورت هاي مشخص شده در ليست ، اجازه ارسال و يا دريافت بسته هاي اطلاعاتي از طريق connection مربوطه داده مي شود . . با استفاده از دکمه هاي Add و يا Remove مي توان ليست پورت هاي مجاز را ويرايش نمود . مثلا" در صورتي که بخواهيم به connection مورد نظر امکان دستيابي به صفحات وب داده شود ، مي توان پورت 80 را در بخش TCP Ports اضافه نمود .
فيلترينگ بسته هاي اطلاعاتي با بلاک نمودن بسته هاي اطلاعاتي غيرمجاز مي تواند يک سطح حفاظتي را به شبکه شما اضافه مي نمايد. در صورتي که پس از ايجاد ليست پورت هاي ضروري ( بر اساس جداول اشاره شده ) با مشکل خاصي برخورد کرديد ، ممکن است برنامه ها و يا سرويس هائي در شبکه شما استفاده مي گردد که از پورت هاي خاص ديگري استفاده مي نمايند . در صورت تحقق چنين شرايطي مي توان يا شماره پورت حذف شده را به ليست مورد نظر اضافه نمود و يا Packet filtering را غيرفعال تا همه چيز به حالت اوليه بر گردد .