پایان نامه بررسی دیوار آتش مبتنی بر سیستم عامل لینوکس در 105 صفحه ورد قابل ویرایش

بررسی دیوار آتش مبتنی بر سیستم عامل لینوکس - پایان نامه بررسی دیوار آتش مبتنی بر سیستم عامل لینوکس در 105 صفحه ورد قابل ویرایش

---

پایان نامه بررسی دیوار آتش مبتنی بر سیستم عامل لینوکس در 105 صفحه ورد قابل ویرایش

پیشگفتار:
این قابلیت که بتوان یک کامپیوتر را در هر کجا به کامپیوتری دیگر در جایی دیگر متصل کرد، به منزلة یک سکة دو رو است؛ برای اشخاصی که در منزل هستند گردش در اینترنت بسیار لذت بخش است در حالی که برای مدیران امنیت در سازمان ها، یک کابوس وحشتناک به حساب می‎آید.
«دیوار آتش» پیاده سازی مدرنی از روش قدیمی حصارهای امنیتی است: خندقی عمیق دور تا دور قلعه حفر می کردند. این الگو همه را مجبور می‌کند تا برای ورود یا خروج از قلعه، از یک پل متحرک و واحد بگذرند و بتوان همه را توسط پلیس حراست بازرسی کرد. در دنیای شبکه های کامپیوتری، همین راهکار ممکن خواهد بود: یک سازمان می‎تواند هر تعداد شبکة محلی داشته باشد که به صورت دلخواه به هم متصل شده اند، اما تمام ترافیک ورودی یا خروجی سازمان صرفاً از طریق یک پل متحرک (همان دیوار آتش) میسر است.
مطالب این پایان نامه در دو فصل تنظیم شده است. فصل اول به معرفی دیوارهای آتش می پردازد. در این فصل، مطالبی از قبیل اثرات مثبت و منفی دیوار آتش، تواناییها و ناتواناییهای آن، نحوة عملکرد دیوارهای آتش، انواع دیوار آتش، معماری های دیوار آتش و نحوة انتخاب، پیاده سازی و آزمایش یک دیوار آتش بررسی می‎شوند. این فصل،‌ یک دید جامع در مورد نحوة انتخاب دیوار آتش منطبق با سیاست امنیتی سازمان می‎دهد. فصل دوم به پیاده سازی نرم افزاری یک دیوار آتش فیلتر کنندة بسته با استفاده از ابزار ارائه شده در سیستم عامل لینوکس، یعنی iptables می پردازد. در این فصل، مطالبی از قبیل نحوة پیکربندی سیستم مبتنی بر لینوکس به عنوان یک مسیریاب، جداول و زنجیرها، قوانین و تطبیق ها و اهداف، پیکربندی iptables، مشخصات فیلترسازی، تعمیم ها، مشخصات هدف، ترکیب NAT با فیلترسازی بسته و نحوة ذخیره و بازیابی دستورات iptables بررسی می‎شوند. این فصل، نحوة نوشتن قوانین دیوار آتش فیلتر کنندة بسته را به منظور کنترل مناسب ترافیک ورودی یا خروجی توضیح می‎دهد.



فهرست مطالب
فهرست مطالب....................................................................................................... 3
فهرست شکل ها.................................................................................................... 9
فهرست جدول ها................................................................................................... 11
چکیده (فارسی)...................................................................................................... 12
فصل اول: دیوارهای آتش شبکه.......................................................................... 13
1-1 : مقدمه................................................................................................. 14
1-2 : یک دیوار آتش چیست؟..................................................................... 15
1-3 : دیوارهای آتش چه کاری انجام می دهند؟........................................ 16
1-3-1 : اثرات مثبت.......................................................................... 16
1-3-2 : اثرات منفی.......................................................................... 17
1-4 : دیوارهای آتش، چه کارهایی را نمی توانند انجام دهند؟................... 18
1-5 : چگونه دیوارهای آتش عمل می‌کنند؟................................................ 20
1-6 : انواع دیوارهای آتش......................................................................... 21
1-6-1 : فیلتر کردن بسته................................................................. 22
1-6-1-1 : نقاط قوت.............................................................. 24
1-6-1-2 : نقاط ضعف........................................................... 25
1-6-2 : بازرسی هوشمند بسته........................................................ 28
1-6-2-1 : نقاط قوت.............................................................. 31
1-6-2-2 : نقاط ضعف........................................................... 32
1-6-3 : دروازة برنامه های کاربردی و پراکسیها........................... 32
1-6-3-1 : نقاط قوت.............................................................. 35
1-6-3-2 : نقاط ضعف........................................................... 36
1-6-4 : پراکسیهای قابل تطبیق........................................................ 38
1-6-5 : دروازة سطح مداری........................................................... 39
1-6-6 : وانمود کننده ها................................................................... 40
1-6-6-1 : ترجمة آدرس شبکه.............................................. 40
1-6-6-2 : دیوارهای آتش شخصی........................................ 42
1-7 : جنبه های مهم دیوارهای آتش کارآمد.............................................. 42
1-8 : معماری دیوار آتش........................................................................... 43
1-8-1 : مسیریاب فیلترکنندة بسته.................................................... 43
1-8-2 : میزبان غربال شده یا میزبان سنگر.................................... 44
1-8-3 : دروازة دو خانه ای............................................................. 45
1-8-4 : زیر شبکة غربال شده یا منطقة غیرنظامی.......................... 46
1-8-5 : دستگاه دیوار آتش.............................................................. 46
1-9 : انتخاب و پیاده سازی یک راه حل دیوار آتش................................... 48
1-9-1 : آیا شما نیاز به یک دیوار آتش دارید؟................................ 48
1-9-2 : دیوار آتش، چه چیزی را باید کنترل یا محافظت کند؟........ 49
1-9-3 : یک دیوار آتش، چه تأثیری روی سازمان، شبکه و کاربران
خواهد گذاشت؟..................................................................... 50
1-10 : سیاست امنیتی ............................................................................... 51
1-10-1 : موضوعات اجرایی............................................................ 52
1-10-2 : موضوعات فنی................................................................. 53
1-11 : نیازهای پیاده سازی....................................................................... 54
1-11-1 : نیازهای فنی...................................................................... 54
1-11-2 : معماری............................................................................. 54
1-12 : تصمیم گیری................................................................................... 55
1-13 : پیاده سازی و آزمایش................................................................... 56
1-13-1 : آزمایش، آزمایش، آزمایش!.............................................. 57
1-14 : خلاصه ........................................................................................... 58
فصل دوم: پیاده سازی دیوار آتش با استفاده از iptables................................. 60
2-1 : مقدمه................................................................................................. 61
2-2 : واژگان علمی مربوط به فیلترسازی بسته......................................... 62
2-3 : انتخاب یک ماشین برای دیوار آتش مبتنی بر لینوکس...................... 65
2-4 : به کار بردن IP Forwarding و Masquerading.................................. 65
2-5 : حسابداری بسته................................................................................ 70
2-6 : جداول و زنجیرها در یک دیوار آتش مبتنی بر لینوکس.................... 70
2-7 : قوانین................................................................................................ 74
2-8 : تطبیق ها............................................................................................ 75
2-9 : اهداف................................................................................................ 75
2-10 : پیکربندی iptables............................................................................ 76
2-11 : استفاده از iptables.......................................................................... 77
2-11-1 : مشخصات فیلترسازی...................................................... 78
2-11-1-1 : تعیین نمودن آدرس IP مبدأ و مقصد................. 78
2-11-1-2 : تعیین نمودن معکوس......................................... 79
2-11-1-3 : تعیین نمودن پروتکل........................................... 79
2-11-1-4 : تعیین نمودن یک رابط........................................ 79
2-11-1-5 : تعیین نمودن قطعه ها......................................... 80
2-11-2 : تعمیم هایی برای iptables (تطبیق های جدید)................... 82
2-11-2-1 : تعمیم های TCP.................................................. 82
2-11-2-2 : تعمیم های UDP................................................. 86
2-11-2-3 : تعمیم های ICMP............................................... 86
2-11-2-4 : تعمیم های تطبیق دیگر........................................ 87
2-11-3 : مشخصات هدف............................................................... 92
2-11-3-1 : زنجیرهای تعریف شده توسط کاربر................. 92
2-11-3-2 : هدف های تعمیمی .............................................. 92
2-11-4 : عملیات روی یک زنجیر کامل........................................... 94
2-11-4-1 : ایجاد یک زنجیر جدید......................................... 94
2-11-4-2 : حذف یک زنجیر ................................................. 94
2-11-4-3 : خالی کردن یک زنجیر ....................................... 95
2-11-4-4 : فهرست گیری از یک زنجیر .............................. 95
2-11-4-5 : صفر کردن شمارنده ها..................................... 95
2-11-4-6 : تنظیم نمودن سیاست.......................................... 95
2-11-4-7 : تغییر دادن نام یک زنجیر................................... 96
2-12 : ترکیب NAT با فیلترسازی بسته.................................................... 96
2-12-1 : ترجمة آدرس شبکه.......................................................... 96
2-12-2 : NAT مبدأ و Masquerading.............................................. 98
2-12-3 : NAT مقصد...................................................................... 99
2-13 : ذخیره نمودن و برگرداندن قوانین................................................. 101
2-14 : خلاصه............................................................................................ 102
نتیجه گیری............................................................................................................ 105
پیشنهادات.............................................................................................................. 105

فهرست شکل ها
فصل اول
شکل 1-1 : نمایش دیوار آتش شبکه........................................................... 15
شکل 1-2 : مدل OSI................................................................................... 22
شکل 1-3 : دیوار آتش از نوع فیلترکنندة بسته........................................... 23
شکل 1-4 : لایه های OSI در فیلتر کردن بسته.......................................... 23
شکل 1-5 : لایه های OSI در بازرسی هوشمند بسته................................ 28
شکل 1-6 : دیوار آتش از نوع بازرسی هوشمند بسته............................... 30
شکل 1-7 : لایة مدل OSI در دروازة برنامة کاربردی............................... 33
شکل 1-8 : دیوار آتش از نوع دروازة برنامة کاربردی............................. 34
شکل 1-9 : مسیریاب فیلتر کنندة بسته........................................................ 44
شکل 1-10 : دیوار آتش میزبان غربال شده یا میزبان سنگر..................... 45
شکل 1-11 : دروازة دو خانه ای................................................................ 46
شکل 1-12 : زیر شبکة غربال شده یا منطقة غیرنظامی............................. 46
شکل 1-13 : دستگاه دیوار آتش................................................................. 47
فصل دوم
شکل 2-1 : یک سیستم مبتنی بر لینوکس که به عنوان یک مسیریاب به
جلو برنده پیکربندی شده است............................................................ 67
شکل 2-2 : تغییر شکل شبکة 10.1.2.0 به عنوان آدرس 66.1.5.1 IP....... 69
شکل 2-3 : مسیر حرکت بستة شبکه برای filtering................................... 72
شکل 2-4 : مسیر حرکت بستة شبکه برای Nat.......................................... 73
شکل 2-5 : مسیر حرکت بستة شبکه برای mangling................................. 73

فهرست جدول ها
فصل اول
فصل دوم
جدول 2-1 : جداول و زنجیرهای پیش فرض............................................. 71
جدول 2-2 : توصیف زنجیرهای پیش فرض.............................................. 71
جدول 2-3 : هدف های پیش فرض............................................................. 76
جدول 2-4 : حالت های ردیابی ارتباط........................................................ 91
جدول 2-5 : سطوح ثبت وقایع.................................................................... 93
جدول 2-6 : ماجول های کمکی NAT......................................................... 97

چکیده:
تأمین امنیت شبکه، بخش حساسی از وظایف هر مدیر شبکه محسوب می‎شود. از آنجاییکه ممکن است محافظت های متفاوتی موردنیاز باشد، لذا مکانیزم های گوناگونی هم برای تأمین امنیت در شبکه وجود دارد. یکی از این مکانیزم ها استفاده از دیوار آتش می‎باشد. مدیر شبکه باید درک بالایی از انواع دیوار آتش، نقاط قوت و ضعف هر نوع، حملات تهدید کنندة هر نوع، معماری های دیوار آتش، تأثیرات آن بر شبکه و کاربران، سیاست امنیتی سازمان و همچنین نیازهای فنی پیاده سازی داشته باشد تا بتواند راه حل مناسب را انتخاب و به درستی پیاده سازی نماید و سپس آنرا مورد آزمایش قرار دهد. در همین راستا، سیستم عامل «Linux» برای پیاده سازی نرم افزاری دیوار آتش فیلتر کنندة بسته، ابزاری را به نام «iptables» در اختیار کاربر قرار می‎دهد تا با استفاده از دستورات این ابزار بتواند قوانین و فیلترهای موردنیاز را برای کنترل مطلوب دسترسی، خواه از داخل شبکه به خارج و خواه بالعکس، پیکربندی نماید.
فصل اول: دیوارهای آتش شبکه
1-1 : مقدمه
امروزه با وجود طیف گستردة راه حل‌های دیوار آتش، انتخاب و پیاده سازی دیوار آتش به فرایندی زمان گیر مبدل شده است. روش جذاب در راه حل‌های دیوار آتشی که به بازار عرضه شده اند، به همراه ادعاهای نصب و مدیریت آسان، ممکن است سازمانها را به سمتی سوق دهد که بدون آنکه به طور کامل نیاز به راه حل دیوار آتش را بررسی نمایند، تصمیم به پیاده سازی آن بگیرند. با اتخاذ تصمیمات عجولانه، سازمانها اثراتی را که یک راه حل دیوار آتش بر شبکة موجود و کاربران آنها می‌گذارد، نادیده می‌گیرند.
چه متغیرهایی باید در هنگام تعیین نیاز به یک دیوار آتش، مورد توجه قرار گیرند؟ سازمانهایی که اتصال به اینترنت یا هر شبکة نامطمئن دیگر دارند، ممکن است نیاز به پیاده سازی یک راه حل دیوار آتش داشته باشند. به هر حال، این سازمانها باید اثراتی را که یک دیوار آتش بر سرویسهای شبکه، منابع و کاربران آن خواهد گذاشت مورد توجه قرار دهند و نحوة قرارگیری دیوار آتش براساس نیازهای تجاری خاص آنها و زیربنای شبکه را در نظر بگیرند. سازمانها باید نیازهای ویژة خود را مشخص کنند، زیربنای فعلی شبکة خود را تجزیه و تحلیل نمایند و از اطلاعات بدست آمده به عنوان مبنایی برای تصمیمات خود استفاده کنند. در برخی موارد، ممکن است بعد از بررسی تمام متغیرها، دریابند که یک راه حل دیوار آتش، ضروری نیست و یا پیاده سازی آن غیرعملی است.

1-2 : یک دیوار آتش چیست؟
دیوارهای آتش شبکه، سدی مابین شبکه‌ها به وجود می‌آورند که از ترافیک (traffic) ناخواسته یا بدون مجوز (unauthorized) جلوگیری می‌کند.


تعریف: دیوار آتش شبکه، سیستم یا گروهی از سیستمهاست که با استفاده از قوانین (rules) یا فیلترهای از پیش پیکربندی شده، دسترسی مابین دوشبکه- یک شبکة مطمئن (Trusted) و یک شبکة نامطمئن (Untrusted)- را کنترل می‌کند.
سرویسی که مسدود (block) شده است، دسترسی یابند.
دیوارهای آتش از نوع فیلترکنندة بسته، معمولاً گران نیستند. بسیاری از وسایل سخت افزاری و بسته‌های نرم افزاری، ویژگیهای فیلتر کردن بسته را به عنوان بخشی از خصوصیات استاندارد خود دارا هستند. اگر سازمانی در حال حاضر یک وسیله یا بستة نرم افزاری با قابلیت‌های فیلتر کردن بسته داشته باشد، علاوه بر عدم نیاز به صرف زمان برای طراحی و پیکربندی قوانین یا فیلترها، دیگر نیازی به هزینه‌های اضافی هم نخواهد بود.
دیوارهای آتش از نوع فیلتر کنندة بسته، معمولاً نسبت به دیگر انواع دیوارهای آتش، بهتر مقیاس (scale) می‌شوند. این موضوع شاید با این واقعیت توجیه شود که سربار (overhead) ناشی از پردازشی که در دیگر انواع دیوار آتش وجود دارد، در این نوع وجود ندارد.
دیوارهای آتش از نوع فیلتر کنندة بسته، مستقل از برنامة کاربردی (application independent) هستند. تصمیمات، برمبنای اطلاعات درون سر آیند بسته اتخاذ می‌شود و نه بر مبنای اطلاعات مرتبط با یک برنامة کاربردی خاص.
6-1-1-2 نقاط ضعف:
دیوارهای آتش از نوع فیلتر کنندة بسته، اجازة برقراری یک ارتباط مستقیم مابین دو نقطة انتهایی (endpoints) را می دهند. اگرچه این روش غربال کردن بسته، برای اجازة ورود دادن یا رد کردن ترافیک مابین دو شبکه، پیکربندی می‎شود اما مدل سرویس دهنده/ مشتری (client / server) هرگز نقض نمی‎شود.
دیوارهای آتش از نوع فیلتر کنندة بسته سریع هستند و معمولاً تأثیری بر روی عملکرد شبکه نمی‌گذارند، اما اغلب یک نگرش همه یا هیچ چیز (all- or- nothing) محسوب می‌شود. اگر پورتها (ports) باز باشند، برای کل ترافیک عبوری از آن پورت باز هستند و در نتیجه یک حفرة امنیتی (hole) در شبکة شما باقی می‌ماند.
تعریف کردن قوانین و فیلترهای یک دیوار آتش از نوع فیلتر کنندة بسته ممکن است به کار پیچیده ای تبدیل شود. مدیر شبکه باید درک خوبی از سرویسها و پروتکلها (protocol) داشته باشد تا بتواند نیازهای امنیتی سازمان را به مجموعة دقیقی از قوانین یا فیلترهای اجازه یا رد ترجمه نماید. در بعضی حالات، ممکن است کار پیکربندی قوانین یا فیلترها آنقدر پیچیده شود که پیاده سازی را غیرممکن سازد. قوانین یا فیلترهای دسترسی طولانی می‌تواند تأثیر منفی روی عملکرد شبکه بگذارد و بستر خطا را فراهم سازد. هنگامی‌که تعداد قوانین یا فیلترها افزایش می‌یابد، مدت زمانی که دیوار آتش صرف اتخاذ تصمیمات مقایسه ای می‌کند افزایش می‌یابد و امکان اینکه یک قانون یا فیلتر، نادرست باشد نیز اضافه خواهد شد.
آزمایش صحت قوانین یا فیلترهای دیوار آتش از نوع فیلتر کنندة بسته ممکن است دشوار باشد. حتی اگر قوانین یا فیلترها ساده به نظر آیند، بررسی درستی یک قانون از طریق آزمایش می‌تواند فرایندی زمان گیر باشد. گاهی اوقات نتایج آزمایش می‌تواند گمراه کننده و غیردقیق باشد.
دیوارهای آتش از نوع فیلترکنندة بسته در معرض حملات مشخصی هستند. از آنجاییکه بازرسی بسته، از اطلاعات سرآیند بسته فراتر نمی‌رود، دچار مشکل کردن این روش غربال سازی بسته آسانتر است و در مقابل حملاتی (attack) که در سطح برنامه‌های کاربردی صورت می‌گیرند، نمی‌تواند حفاظتی انجام دهد. دیوارهای آتش از نوع فیلتر کنندة بسته نسبت به سه نوع استثمار (exploit)،‌ مستعد پذیرش هستند. این سه مورد عبارتند از:
· IP spoofing (فریب دادن ماشین‌ها با آدرسهای IP جعلی)
· Buffer overruns (لبریز شدن بافر)
· ICMP tunneling (ایجاد تونل)
IP spoofing ، یعنی فرستادن داده‌های شما و وانمود کردن یک آدرس مبدأ مورد تأیید دیوار آتش. لبریز شدن بافر معمولاً زمانی رخ می‌دهد که اندازة داده‌های داخل یک بافر از مقدار تخصیص یافته بیشتر می‌شود. ایجاد تونل ICMP به یک نفوذگر (hacker) اجازه می‌دهد که داده‌های خود را به داخل یک بستة قانونی ICMP اضافه نماید.
دیوارهای آتش از نوع فیلترکنندة بسته، تأیید اعتبار کاربر را انجام نمی‌دهند. مجدداً یادآوری می‌کنم که این روش غربال سازی بسته به اطلاعات موجود در سرآیند بسته نگاه می‌کند و فقط براساس آن، تصمیم می‌گیرد.
1-6-6 : وانمود کننده‌ها (Impostors)
وقتی در مورد دیوارهای آتش، شیوه‌های غربال سازی بسته و نحوة عمل کردن دیوار آتش صحبت می‌کنیم، نیاز است که چند تصور غلط را در این زمینه مورد توجه قرار دهیم:
· ترجمة آدرس شبکه
· دیوارهای آتش شخصی
1-6-6-1 : ترجمة آدرس شبکه (Network Address Translation)
یک فن آوری که به طور متداول تصور می‌شود که مثل یک راه حل دیوار آتش عمل می‌کند، ترجمة آدرس شبکه (NAT) می‌باشد. NAT، آدرسهای IP داخلی روی یک شبکه را به آدرسهای IP خارجی روی شبکه ای دیگر ترجمه می‌کند. ترجمة آدرس شبکه از سه روش برای ترجمة آدرس استفاده می‌کند که عبارتند از:
· ترجمة آدرس ایستا (Static NAT)
· ترجمة آدرس محدوده ای (Pooled NAT)
· ترجمة آدرس سطح پورت (Port Level NAT)
ترجمة آدرس ایستا، یک آدرس واحد معین را به آدرس واحد معین دیگر نسبت می‌دهد. (map)
مثال: 10.0.0.1 -mapped to- 168.13.1.1
ترجمة آدرس محدوده ای، به طور پویا تمام آدرسهای واحد معین را به یک محدوده (range) از آدرسهای خارجی نسبت می‌دهد.
مثال: 10.0.0.1 – 10.0.0.254 -mapped to- 168.13.1.1- 168.13.1.254
ترجمة آدرس سطح پورت، به طور پویا تمام آدرسهای داخلی واحد معین را به یک آدرس خارجی واحد معین نسبت می‌دهد. آدرس داخلی از طریق ترکیب آدرس خارجی خاص با یک شمارة پورت یکتا شناسایی می‌شود.
مثال: 10.0.0.1 -mapped to- 168.13.1.1:1084
10.0.0.2 -mapped to- 168.13.1.1:1085
10.0.0.3 -mapped to- 168.13.1.1:1086
با مقایسة روشی که NAT مابین دو شبکه به آن عمل می‌کند و روشی که شیوه‌های غربال سازی بسته مابین دو شبکه به آن عمل می‌کنند،‌ می‌توان دریافت که ترجمة آدرس شبکه با تعریف دیوار آتش همخوانی ندارد. ترجمة آدرس شبکه، دسترسی مابین دو شبکه را کنترل نمی‌کند. برخی ممکن است بیان کنند که ترجمة آدرس شبکه، به طور حتم، دسترسی را کنترل می‌کند زیرا شما نمی‌توانید شبکة داخلی را ببینید. ترجمة آدرس شبکه، این کار را با استفاده از قوانین یا فیلترها انجام نمی‌دهد و شبکه را از کاربران خارجی پنهان می‌سازد.

1-6-6-2 : دیوارهای آتش شخصی (Personal Firewalls)
فناوری دیگری که به طور متداول یک «دیوار آتش» نامیده می‌شود و به عنوان محصولی که امنیت را برای یک شبکه فراهم خواهد کرد، در معرض فروش قرار می‌گیرد، دیوار آتش شخصی می‌باشد. یک دیوار آتش شخصی، حفاظت از یک وسیلة واحد (معمولاً یک کامپیوتر شخصی) را در مقابل یک شبکة نامطمئن (معمولاً اینترنت) انجام می‌دهد. زمانیکه آنرا با تعریف دیوار آتش مقایسه می‌کنیم، درمی‌یابیم که دیوارهای آتش شخصی، معیار موردنظر را برآورده نمی‌کنند. دیوارهای آتش شخصی، دسترسی مابین دو شبکه را کنترل نمی‌کنند بلکه دسترسی به یک وسیلة (device) خاص را کنترل می‌کنند.
1-7 : جنبه های مهم دیوارهای آتش کارآمد
صرفنظر از اینکه کدام منطق طراحی امنیت یا روش غربالسازی بسته انتخاب شود، دو جنبة مهم پیاده سازی دیوارهای آتش می توانند تعیین کنند که آیا یک راه حل دیوار آتش، کارآمد خواهد بود یا نه:
·نخست آنکه وسیله یا سیستم میزبانی که راه حل دیوار آتش روی آن مقیم می شود، باید مطمئن باشد. اگر دیوار آتشی که انتخاب کرده اید، بر مبنای یک سیستم عامل شبکه ای معروف است، اطمینان یابید که وصله های (patch) امنیتی آن به طور کامل نصب شده اند و تمام به روز رسانیهای امنیتی اعمال شده اند.
·دوم آنکه برای اینکه یک دیوار آتش، کارآمد باشد تمام ترافیک ورودی به یا خروجی از شبکة شما باید از میان دیوار آتش عبور کند. اگر یک دیوار آتش به طور فیزیکی یا منطقی قابل دور زدن (bypass) باشد، آنگاه تضمینی وجود ندارد که شبکة مطمئن شما امن باشد. معماری به کار رفته برای راه حل دیوار آتش شما،‌ بسیار مهم است.
1-8 : معماری دیوار آتش (Firewall Architecture)
از آنجاییکه راه حلهای دیوار آتش می توانند با استفاده از یک سیستم واحد یا چندین سیستم، پیکربندی شوند لذا معماری به کار رفته برای پیاده سازی راه حل می تواند ساده یا پیچیده باشد. هنگام تصمیم گیری در مورد یک معماری خاص، به خاطر بسپارید که کارآمدترین راه حلهای دیوار آتش به گونه ای پیاده سازی می شوند که تمام ترافیک شبکه از میان آنها عبور کند. این ویژگی پیاده سازی در معماریهای دیوار آتش رایج و شناخته شدة زیر، به طور بدیهی به چشم می خورد:
·مسیر یاب فیلتر کنندة بسته
·میزبان غربال شده (میزبان سنگر)
·دروازة دو خانه ای (دو محلی)
·زیرشبکة غربال شده یا منطقة غیرنظامی (غیرمحرمانه)
·دستگاه دیوار آتش
1-10 : سیاست امنیتی (Security Policy)
موفقیت هر پیاده سازی راه حل دیوار آتشی مستقیماً مربوط به وجود یک سیاست امنیتی خوب اندیشیده شده و به طور استوار پیاده سازی شده است. بدون یک سیاست امنیتی، هیچ راهنما و نشانه ای که بر مبنای آن یک تصمیم برای انتخاب صورت گیرد، وجود ندارد. در سطح بالا، یک سیاست امنیتی تعیین می‌کند که یک سازمان، کدام معیارهای امنیتی را لازم دارد. این معیارهای امنیتی، به صورت مستقل از هر راه حل فنی که برای اجرای آنها استفاده خواهد شد، بسط داده می‎شوند. با مجزا نمودن سیاست امنیتی و راه حل فنی، سیاست امنیتی به خاطر قابلیتهای سخت افزار یا نرم افزار یا هر راه حل دیوار آتش معینی محدود نخواهد شد. انتخاب فناوری به کار رفته در راه حل دیوار آتش باید سیاست امنیتی را منعکس کند.
توسعة یک سیاست امنیتی نیاز به ورودی از تمام سطحهای یک سازمان دارد. گرفتن ورودی و پشتیبانی از تمام بخشها در مدت توسعة سیاست امنیتی، فرایند انتخاب دیوار آتش را روانتر می‌کند و مشکلات کمتری را در مدت پیاده سازی به وجود خواهد آورد.
معمولاً سیاست های امنیتی یک بخش اجرایی (administrative) و یک بخش فنی (technical) دارند. بخش اجرایی، موضوعاتی از قبیل اینکه آیا دسترسی از راه دور (remote) اجازه داده خواهد شد، آیا تمام کاربران به سرویس های پست الکترونیکی دسترسی دارند، و چه کسی مسئول تغییرات و به روز رسانیها می‎باشد را مورد توجه قرار می‎دهد. بخش فنی، موضوعاتی از قبیل اینکه آیا دسترسی توسط شناسة کاربر، گروههای کاربران یا آ‎درسهای IP کنترل می شود، فعالیت توسط شناسه های کاربر، ردیابی خواهد شد یا توسط آدرسهای IP، آیا تمام ترافیک ورودی به شبکه یا خروجی از آن کنترل خواهد شد یا فقط ترافیک وب. بسیاری از مواردی که در بخش فنی مورد توجه قرار می گیرند، شالوده ای را بنا می نهند که قوانین و فیلترهای یک راه حل دیوار آتش براساس آن ایجاد می‎شوند.
بعضی از موضوعاتی که یک سیاست امنیتی مورد توجه قرار می‎دهد عبارتند از:
· موضوعات اجرایی
· موضوعات فنی
1-10-1 : موضوعات اجرایی (Administrative Issues)
دسترسی کاربر: به چه کاربرانی اجازة دسترسی به شبکه و از شبکه داده خواهد شد؟ دسترسی به سرویس‌ها: چه سرویس‌هایی در شبکه و خارج از آن اجازه داده خواهد شد؟ دسترسی به منابع: چه منابعی در اختیار کاربران خواهد بود؟ تأیید اعتبار کاربر: آیا سازمان نیاز به تأیید اعتبار کاربر خواهد داشت؟ نظارت و ثبت وقایع: آیا سازمان خواهد خواست که فایلهای گزارش و ثبت وقایع را نگهداری کند؟ چه چیزی ثبت خواهد شد؟ اگر سازمان قصد دارد اقداماتی در مورد تخلفات سیاستی انجام دهد، آنگاه جمع آوری داده های مناسب به عنوان مدرک، اهمیت می یابد. اگر هرگز چنین اقدامی انجام نشود، مکانیزم پرزحمت ثبت وقایع، هزینه و پیچیدگی غیرضروری‌ای را اضافه می‌کند. پیامدهای تخلف سیاستی: (policy violation): تخلف سیاستی، چه پیامدهایی خواهد داشت؟ استثناءها (Exceptions): چگونه استثناءهای سیاست امنیتی، مدیریت می‎شوند؟ مسئولیت ها: چه کسی سیاست امنیتی را سرپرستی و مدیریت خواهد کرد؟ مسئولیت های فنی: چه کسی پیاده سازی فنی را سرپرستی و مدیریت خواهد کرد؟
1-10-2 : موضوعات فنی (Technical Issues)
دسترسی از راه دور (Remote access) : آیا سازمان اجازة دسترسی از راه دور به شبکه را خواهد داد؟ امنیت فیزیکی: چگونه امنیت فیزیکی ماشین ها (یکی از بدیهی ترین عوامل امنیتی که اغلب از آن چشم پوشی می‎شود.) فراهم می‎شود؟ روش های پیاده سازی: چه روش هایی برای پیاده سازی سیاست امنیتی به کار گرفته خواهد شد؟ محافظت در برابر ویروس (Virus Protection): چگونه سازمان، محافظت در برابر ویروس را مدیریت می‌کند؟
بسیار مهم است که برای ایجاد یک سیاست امنیتی جامع، زمان صرف کنیم زیرا سندی است که بسیاری از نیازهای فنی برای انتخاب یک دیوار آتش، براساس آن است.

1-11 : نیازهای پیاده سازی
1-11-1 : نیازهای فنی
فصل دوم: پیاده سازی دیوار آتش با استفاده از iptables
2-1 : مقدمه
انجمن کد منبع باز (open source community)، در ایجاد نرم افزار دیوار آتش که به طور ایده آلی برای شبکه با هر اندازه ای مناسب باشد، حضور برتری داشته است. سیستم عامل لینوکس (Linux) نیز طبیعتاً از قابلیتهای مسیریابی (route) بسته ها و فیلتر کردن آنها پشتیبانی می‌کند. سیستم زیرمجموعة هستة لینوکس (Linux Kernel Subsystem) که پردازش بسته های شبکه را بر عهده دارد، Netfilter نام دارد و iptables، دستوراتی برای پیکربندی آن است. تا نسخة 2/2 هستة لینوکس،‌از ipchains و قبل از آن نیز از ipfwadm استفاده می‎شد اما در نسخه های جدیدتر از 2/2 باید از iptables استفاده کنیم. بستة نرم افزاری iptables از عملیات تغییر شکل (masquerading) و فیلترسازی (filtering) که در هستة 3/2 و بعد از آن وجود دارند، پشتیبانی می‌کند. بنابراین به منظور استفاده از iptables، باید هسته را کامپایل مجدد (recompile) کنیم تا netfilter نصب شود و نیز باید بستة نرم افزاری iptables را نصب کنیم. بسته به نسخة هستة سیستم، می‎توان از این برنامه های کاربردی برای پیکربندی سیستم لینوکس استفاده کرد تا به عنوان یک مسیریاب عمل کند، در این صورت تضمین می‎شود که بسته ها از یک شبکه به شبکه ای دیگر فرستاده شوند و مسیریاب لینوکسی، هیچ ترافیکی را بررسی یا فیلتر نخواهد کرد.
امکان دیگری که ipchains و iptables فراهم می سازد، پیکربندی مسیریاب لینوکسی برای تغییر شکل دادن ترافیک یا بررسی و مسدود نمودن آن است، مثلاً با بازنویسی سرآیندهای IP، اینگونه به نظر خواهد رسید که یک بسته، از یک میزبان معین ناشی شده است.

پرداخت و دانلود

مشخصات فروشنده

نام و نام خانوادگی : مجتبی خادم پیر

شماره تماس : 09151803449 - 05137530742

ایمیل :info@payfile.org

سایت :payfile.org

مشخصات فایل

فرمت : doc

تعداد صفحات : 105

قیمت : برای مشاهده قیمت کلیک کنید

حجم فایل : 323 کیلوبایت

برای خرید و دانلود فایل و گزارش خرابی از لینک های روبرو اقدام کنید...

پرداخت و دانلودگزارش خرابی و شکایت از فایل