امنيت اطلاعات و ايمن سازي کامپيوترها به يک ضرورت غيرقابل انکار در عصر اطلاعات تبديل شده است. پرداختن به مقوله امنيت اطلاعات با زباني ساده بيش از هر زمان ديگر احساس مي شود، چراکه هر يک از عوامل انساني و غيرانساني داراي جايگاه تعريف شده اي در نطام مهندسي امنيت اطلاعات مي باشند. آشنائي اصولي و منطقي با اين نطام مهندسي و آگاهي از عناصر موجود در اين ساختار به همراه شناخت علمي نسبت به مسئوليت هر يک از عناصر فوق، امري لازم و حياتي است.
فايروال ها ، يکي از عناصر اساسي در نطام مهندسي امنيت اطلاعات مي باشند که استفاده از آنان به يک ضرورت اجتناب ناپذير در دنياي امنيت اطلاعات و کامپيوتر تبديل شده است . بسياري از افرادي که جديدا" قدم در عرصه گسترده امنيت اطلاعات مي گذارند ، داراي نگراني و يا سوالات مفهومي خاصي در ارتباط با فايروال ها و جايگاه استفاده از آنان در جهت ايمن سازي شبکه هاي کامپيوتري مي باشند .
در اين مطلب قصد داريم به برخي از مفاهيم و نکات مهم و اساسي در خصوص فايروال ها اشاره اي داشته باشيم تا از اين رهگذر بتوانيم دانش لازم به منظور بکارگيري و مديريت بهينه فايروال ها را بدست آوريم .

NAT ( برگرفته از Network Address Translation )

اولين و در عين حال مهم ترين وظيفه يک فايروال ، جداسازي شبکه داخلي يک سازمان از اينترنت است . يکي از فنآوري هاي موجود که ما را در جهت نيل به خواسته فوق کمک مي نمايد ، جداول NAT مي باشند ( NAT ، همچنين کمک لازم در جهت حل معضل کمبود آدرس هاي IP را ارائه مي نمايد ) . مهمترين ايده مطرح شده توسط NAT ، عدم دستيابي به اکثر کامپيوترهاي موجود در يک شبکه خصوصي از طريق اينترنت است . يکي از روش هاي نيل به خواسته فوق ، استفاده از آدرس هاي IP غيرمعتبر ( Invalid ) مي باشد .
در اکثر موارد بکارگيري NAT ، صرفا" آدرس IP معتبر (Valid ) به فايروال نسبت داده مي شود و تمامي کامپيوترهائي که مسئوليت حفاظت از آنان به فايروال واگذار شده است ، از آدرس هاي IP که صرفا" بر روي شبکه داخلي معتبر مي باشد ، استفاده مي نمايند . با تبعيت از چنين رويکردي ، زماني که يک کامپيوتر موجود در شبکه داخلي نيازمند برقراري ارتباط با دنياي خارج است ، اقدام به ارسال درخواست خود براي فايروال مي نمايد . در ادامه فايروال به نمايندگي از کامپيوتر متقاضي ، درخواست مورد نظر را ارسال مي نمايد . در زمان مراجعت درخواست ارسالي ، پاسخ مربوطه به فايروال رسيده و در نهايت ، فايروال آن را براي کامپيوتر موجود در شبکه داخلي ارسال مي نمايد .
فرض کنيد ، کاربري قصد داشته باشد که يک وب سايت خاص را از طريق کامپيوتر موجود بر روي يک شبکه داخلي ملاقات نمايد .پس از درج آدرس وب سايت مورد نظر در بخش آدرس برنامه مرورگر ، درخواست وي به يک درخواست HTTP ترجمه شده و براي فايروال ارسال مي گردد . در ادامه ، فايروال از آدرس IP مختص به خود در ارتباط با درخواست HTTP و به نمايندگي از کاربر ارسال کننده درخواست ، استفاده مي نمايد . پس از پاسخ به درخواست ، پاسخ مربوطه براي فايروال ارسال شده و در نهايت فايروال آن را براي کاربر مربوطه ارسال مي نمايد .

فيلترينگ پورت ها

فيلترينگ پورت ها از جمله مهمترين عملياتي است که توسط فايروال ها انجام مي شود و شايد به همين دليل باشد که اکثر مردم بر اين اعتقاد هستند که فايروال ها صرفا" به همين دليل خاص طراحي و پياده سازي شده اند و اغلب ، آنان را به عنوان ابزاري در جهت فيلترينگ پورت ها تصور مي نمايند . همانگونه که مي دانيد ، مبادلات اطلاعات مبتني بر پروتکل TCP/IP با استفاده و محوريت پورت ها انجام مي گردد . در اين رابطه 65،535 پورت TCP و به همين اندازه پورت UDP جداگانه وجود دارد که مي توان از آنان به منظور مبادله اطلاعات استفاده نمود .
به منظور آشنائي با جايگاه پورت ها و نقش آنان در مبادله اطلاعات در پروتکل TCP/IP ، مي توان آنان را نظير ايستگاه هاي راديوئي تصور نمود . فرض کنيد TCP به عنوان موج FM و UDP به عنوان موج AM باشد . در چنين وضعيتي ، مي توان يک پورت در پروتکل TCP/IP را همانند يک ايستگاه راديوئي تصور نمود . همانگونه که يک ايستگاه راديوئي با اهداف خاصي طراحي شده است ، پورت هاي TCP و UDP نيز چنين وضعيتـي را داشته و با اهداف خاصي طراحي شده اند . يکي از مهمترين دلايل ضرورت استفاده از فايروال ها و فيلترينگ پورت ها ، استفاده غيرمتعارف از پورت ها به منظور نيل به اهدافي ديگر است . مثلا" پورت 21 مربوط به پروتکل TCP بطور سنتي به منظور FTP استفاده مي گردد و مهاجمان مي توانند از پورت فوق و با استفاده از برنامه هائي نظير Telnet سوء استفاده نمايند ( با اين که پورت فوق به منظور استفاده توسط برنامه Telnet طراحي نشده است ) .
پويش پورت ها و آگاهي از پورت هاي باز ، از جمله روش هاي متداولي است که توسط مهاجمان و به منظور يافتن يک نقطه ورود مناسب به يک سيستم و يا شبکه کامپيوتري ، مورد استفاده قرار مي گيرد . مهاجمان پس از آگاهي از پورت هاي باز ، با بکارگيري برنامه هائي نظير Telnet زمينه ورود غير مجاز به يک سيستم را براي خود فراهم مي نمايند .
وضعيت فوق و تهديدات امنيتي مرتبط با آن ، ضرورت فيلترينگ پورت ها را به خوبي نشان مي دهد . با فيلترينگ پورت ها ، اين اطمينان ايجاد خواهد شد که هيچ چيزي نمي تواند از طريق يک پورت باز ارسال گردد مگر پروتکل هائي که توسط مديريت شبکه به آنان اجازه داده شده است . مثلا" در صورتي که فيلترينگ پورت بر روي پورت 21 مربوط به پروتکل TCP اعمال گردد ، صرفا" به مبادلات اطلاعات مبتني بر FTP اجازه داده خواهد شد که از اين پورت استفاده نمايند و مبادله اطلاعات به کمک ساير پروتکل ها و بکارگيري پورت فوق ، امکان پذير نخواهد بود .
محدوده عملياتي فيلترينگ پورت ها مي تواند از موارد اشاره شده نيز تجاوز نموده و در سطح هدر يک بسته اطلاعاتي و حتي محتويات آن نيز تعميم يابد . در چنين مواردي ، هدر بسته اطلاعاتي بررسي و با مشاهده اطلاعاتي نظير آدرس مبداء ، مقصد ، شماره پورت و ساير موارد ديگر در رابطه با آن اتخاذ تصميم مي گردد . مشکل موجود در اين رابطه به وجود اطلاعات جعلي و يا نادرست در هدر بسته هاي اطلاعاتي برمي گردد . مثلا" فرستنده مي تواند آدرس هاي IP و ساير اطلاعات ذخيره شده در هدر بسته هاي اطلاعاتي را جعل نمايد . به منظور غلبه بر مشکل فوق ، نوع ديگري از فيلترينگ که برخي فايروال ها به آن stateful packet inspections و يا فيلترينگ پوياي بسته هاي اطلاعاتي مي گويند ، ايجاد شده است . در مدل فوق ، در مقابل بررسي هدر بسته هاي اطلاعاتي ، محتويات آنان مورد بازبيني قرار مي گيرد . بديهي است با آگاهي از اين موضوع که چه چيزي در بسته اطلاعاتي موجود است ، فايروال ها بهتر مي توانند در رابطه با ارسال و يا عدم ارسال آن براي يک شبکه داخلي تصميم گيري نمايند .

ناحيه غيرنطامي ( Demilitarized Zone )

نواحي غيرنظامي ( DMZ ) ، يکي ديگر از ويژگي هاي ارائه شده توسط اکثر فايروال ها مي باشد . DMZ ، ناحيه اي است که تحت قلمرو حفاظتي فايروال قرار نمي گيرد . فايروال هاي مختلف ، نواحي DMZ را با روش هاي متفاوتي پياده سازي مي نمايند . مثلا" برخي از فايروال ها ، صرفا" شما را ملزم به معرفي آدرس IP ماشيني مي نمايند که قصد استقرار آن در ناحيه DMZ وجود دارد .برخي از فايروال ها داراي يک پورت شبکه اي اختصاصي مي باشند که مي توان از آن براي هر نوع دستگاه شبکه اي که قصد استقرار آن در ناحيه DMZ وجود دارد ، استفاده گردد .
پيشنهاد مي گردد ، حتي المقدور از نواحي DMZ استفاده نگردد ، چراکه ماشين هاي موجود در اين نواحي از امکانات حفاظتي و امنيتي فايروال استفاده نخواهند کرد و تنها گزينه موجود در اين رابطه امکانات ارائه شده توسط سيستم عامل نصب شده بر روي ماشين و ساير توصيه هائي است که با رعايت و بکارگيري آنان ، وضعيت امنيتي سيستم بهتر مي گردد .
در صورتي که براي ايجاد يک ناحيه DMZ دلايل موجه و قانع کننده اي وجود دارد ، مي بايست با دقت و برنامه ريزي صحيح توام با رعايت مسائل امنيتي اقدام به انجام چنين کاري گردد. در صورتي که ماشين مستقر در ناحيه DMZ داراي يک اتصال به شبکه داخلي نيز باشد ، مهاجمان با تمرکز بر روي ماشين فوق مي توانند نقطه مناسبي براي ورود به شبکه را پيدا نمايند . پيشنهاد مي گردد به عنوان يک قانون و اصل مهم ، ماشين هاي موجود در ناحيه DMZ داراي اتصالاتي به غير از پورت DMZ فايروال نباشند .

فورواردينگ پورت ها

در بخش قبل به نحوه عملکرد فيلترينگ پورت ها به منظور بلاک نمودن استفاده از يک پروتکل بجزء يک آدرس IP خاص، اشاره گرديد . فورواردينگ پورت نيز بر اساس همين مفاهيم مطرح و در سازمان هائي که در ارتباط با NAT مي باشند ، کارساز خواهد بود .
براي آشنائي با مفهوم فورواردينگ پورت ها ، يک مثال نمونه را بررسي مي نمائيم .
فرض کنيد ، سازماني داراي يک سرويس دهنده وب است که از آدرس IP: 192.168.0.12 ( يک آدرس معتبر نمي باشد ولي فرض کنيد که چنين واقعيتي وجود ندارد ) استفاده مي نمايد و مي بايست امکان دستيابي عمومي به آن فراهم گردد . در صورتي که سرويس دهنده وب فوق تنها سرويس دهنده موجود در سازمان است که مي بايست امکان دستيابي عمومي به آن فراهم گردد ، مي بايست يک قانون فيلترينگ بسته هاي اطلاعاتي در سطح فايروال تعريف گردد که تمامي درخواست هاي HTTP بر روي پورت 80 و به مقصد هر آدرس موجود در شبکه بجزء آدرس IP:192.168.0.12 ، بلاک گردد . پس از تعريف قانون فوق ، در صورتي که کاربري يک درخواست HTTP را براي آدرس هاي ديگري ارسال نمايد ، با پيامي مبني بر اين که وب سايت درخواستي وجود ندارد ، مواجه خواهد شد .
در مثال فوق ، اين فرض نادرست را کرديم که امکان دستيابي عمومي به آدرس IP:192.168.0.12 وجود دارد . آدرس فوق صرفا" بر روي يک شبکه خصوصي معتبر بوده و امکان دستيابي آن از طريق اينترنت وجود نخواهد داشت . بديهي است در چنين وضعيتي مي بايست آدرس سرويس دهنده وب خصوصي خود را با يک آدرس عمومي جايگزين نمائيد . ( با اين که يک گزينه مطلوب در اين رابطه نمي باشد ) . برخي از مراکز ارائه دهنده خدمات اينترنت ( ISP ) ، صرفا" امکان استفاده از يک آدرس IP عمومي را در اختيار شما قرار داده و بديهي است که در چنين مواردي ما داراي گزينه هاي متعددي براي اختصاص اين آدرس نخواهيم بود و مي بايست آن را به فايروال اختصاص داد .
يکي از موارد استفاده سنتي از NAT به مواردي نظير آنچه اشاره گرديد ، بر مي گردد . سازمان فرضي داراي صرفا" يک آدرس IP معتبر است و آن را به فايروال نسبت داده و از NAT به منظور تسهيل در مبادله اطلاعات بين ماشين هاي موجود در شبکه داخلي و اينترنت استفاده مي نمايد . در چنين مواردي يک مشکل همچنان باقي مي ماند . NAT به منظور بلاک نمودن ترافيک تمامي ارتباطات ورودي بجزء آناني که درخواست آنان از طرف يکي از ماشين هاي موجود در شبکه داخلي ارسال شده است ، طراحي شده است و ما همچنان داراي يک سرويس دهنده وب مي باشيم که مي خواهيم امکان دستيابي عمومي به آن را نيز فراهم نمائيم .
به منظور حل مشکل فوق مي توان از فورواردينگ پورت استفاده نمود . در واقع فورواردينگ پورت ، قانوني است که به فايروال مي گويد در صورتي که درخواست هاي خاصي بر روي يک پورت خاص براي وي ارسال شده باشد ، مي بايست درخواست مربوطه را براي يک ماشين طراحي شده بدين منظور بر روي شبکه داخلي، ارجاع نمايد . در مثال اشاره شده ، ما قصد داريم امکان دستيابي عمومي به سرويس دهنده وب را فراهم نمائيم . بدين منظور مي بايست يک قانون فورواردينگ پورت بدين منظور تعريف که به فايروال اعلام نمايد هر درخواست HTTP بر روي پروتکل TCP و پورت 80 را به آدرس IP:192.168.0.12 تغيير مسير داده و براي آن ارسال نمايد. پس از تعريف قانون فوق ، شخصي که قصد دستيابي به وب سايت سازمان شما را داشته باشد ، پس از فعال نمودن برنامه مرورگر ، اقدام به درج آدرس سايت سازمان شما دربخش مربوطه مي نمايد. مرورگر کاربر مورد نظر به منظور آگاهي از آدرس domain سايت سازمان شما ، اقدام به ارسال يک درخواست DNS مي نمايد تا از اين طريق نسبت به آدرس IP نسبت داده شده به domain آگاهي لازم را پيدا نمايد . بديهي است آدرسي که پيدا خواهد شد و به عنوان مرجع در اختيار مرورگر قرار خواهد گرفت، همان آدرس IPعمومي است که شما آن را به فايروال نسبت داده ايد . مرورگر در ادامه ، درخواست HTTP را براي آدرس IP عمومي شما ارسال مي نمايد که در حقيقت اين درخواست براي فايروال ارسال مي گردد . فايروال درخواست را دريافت و آن را براي سرويس دهنده وب ارسال مي نمايد ( فورواردينگ ) .

خلاصه

در اين مطلب به جايگاه بسيار مهم فايروال ها در نظام مهندسي امنيت اطلاعات اشاره و پس از بررسي نحوه عملکرد آنان با چندين ويژگي مهم ارائه شده توسط فايروال ها آشنا شديم .