مدیر سابق تالار سیستمها و روشهای معامله
تاريخ عضويت: Feb 2007
محل سكونت: در آغوش خدا
ارسالها: 3,653
تشکر: 3,982
تشکر از ايشان: 30,640 بار در 4,644 پست
|
روشهاي مختلف پيادهسازي ديواره آتش، مزايا و معايب :
سيستم عامل ويندوز با توجه به موارد استفاده فراواني كه دارد، نسبت به همتايان خود بيشتر مورد توجه هكرها قرار دارد. در اين ميان سرويسهايي نظير IISوSMB SHARING بيشترين توجه را به خود جلب كردهاند. بنابراين لازم است كه تا حد ممكن تدابيري براي مبارزه با این نفوذها انديشيده شود. ديوارههاي آتش از جمله معروفترين روشها در اين زمينه ميباشند. اولين قدم براي هك كردن يك سيستم يافتن اطلاعات كافي در مورد آن ميباشد. اين اطلاعات به هكر نشان ميدهند كه توپولوژي شبكه مقصد او چيست و ضعيفترين يا در حقيقت مناسبترين نقطه جهت انجام حمله كدام است. براي جلوگيري از دستيابي هكر به چنين اطلاعاتی، ديوارههاي آتش شيوههاي متفاوتي دارند كه در ادامه به معرفي آنها میپردازيم.
********** بسته ها
********** بسته ها بر اساس پارامترهاي مختلف بسته نظير IP وPORT مبدا و مقصد، پروتكل ارتباطي و.... صورت ميپذيرد. در چنين حالتي ديواره آتش روی محتويات بسته نظارتي ندارد و تنها به بررسي پارامترهاي فوق ميپردازد. مزيت اصلي این روش سرعت بالاي آن است، ولي در كنار اين مزيت مشكل اصلي چنين روشي عدم توجه به محتويات بسته است كه ميتواند حاوي يك برنامه مخرب باشد. اكثر ديوارههاي آتشی كه به صورت سختافزاري طراحي ميشوند از اين تكنيك استفاده ميكنند.
بررسی stateful
در اين روش جدولي تحت عنوان جدول وضعيت (state table) در ديواره آتش وجود دارد كه وضعيت فعلي كليه اتصالات را درخود نگاه ميدارد. در اين صورت تنها بستههايي مجوز عبور مييابندكه از نظر جدول وضعيت، در وضعيت درستي باشند. به عنوان مثال، اجازه عبور يك پيغام ACK در پروتكل TCP پيش از ورود يك پيغام SYN داده نميشود. با استفاده از اين تكنيك، هكرها نميتوانند به سادگي و تنها با تغييرIP مبدا خود، ديواره آتش را فريفته و آن را دوربزنند همچنين در اين روش با توجه به آنكه تنها بستهها در زمان برقراري ارتباط چك ميشوند (در مورد پروتكلهاي اتصال-گرا (Connection Oriented) نظيرTCP ) و پس از آنكه يك ارتباط مجاز برقرار شد ديگر ساير بستههاي ارتباط مد نظر مورد پردازش قرار نميگيرد. بار پردازش كمتري وجود داشته و لذا كارايي ديواره آتش افزايش خواهد يافت.
********** در سطح برنامه هاي كار بردی
چنين **********هايي ميان شبكه ارتباطي و برنامههاي كاربردي مختلف نظيرInternet Explorer قرارگرفته و محتويات بستهها را مورد پردازش قرار ميدهند تا از وجود كدهاي خرابكار URLهاي غير مجاز و ... در آنها مطلع شده و مانع از فعاليت آنها شوند.
پيادهسازي ديواره آتش
پيادهسازي ديوارههاي آتش تحت سيستم عاملهاي مبتني بر Unix كار نسبتاً سادهاي است. اين سادگي نتيجه كدهاي رايگان متعددي است كه در اين زمينه وجود دارند. نمونههايي از اين دست pf براي سيستم عامل OpenBSD و iptable براي سيستم عامل Linux ميباشند. برخلاف وجود منابع گوناگون و متعدد براي سيستمهاي مبتني بر UNIX براي پيادهسازي يك ديواره آتش تحت ويندوز منابع چندان زيادي در دست
نميباشد و اكثر منابع موجود نيز هزينههاي زيادي را براي اجازه استفاده از خود تحميل ميكنند. همچنين روش استاندارد و مشخصي نيز براي انجام اين كار در ويندوز وجود ندارد. تكنيكهاي مختلفي در اين زمينه وجود دارند كه براي آگاهي از جزئيات آنها ميتوانيد به مقاله پيادهسازي ديواره آتش مراجعه نماييد. در ادامه تنها به بيان مزايا و معايب هر يك از اين تكنيكها پرداخته ميشود.
Layered Socket Provide (LSP
مزايا :
- تحت كليه ويندوزها به صورت يكسان قابل استفاده است
- ديواره آتش به بستههاي كامل دسترسي خواهد داشت. يعني بستههايي كه براي عبور از شبكه ناگزير به تكههاي متعددي شكسته شدهاند به صورت سر هم شده به ديواره آتش خواهند رسيد و لذا ديواره آتش مجبور به انجام عمل سر هم كردن بستهها نيست.
معايب :
- نصب و پاكسازي چنين ديواره آتشي به سادگي امكان پذير نيست و عدم دقت كافي به اين مساله ممكن است نياز به نصب مجدد ويندوز داشته باشد.
- اسبهاي تراوا ميتوانند به سادگي و با استفاده از همان مكانيزم مورد استفاده ديواره آتش در سطحي پائينتر از آن قرار گرفته و به فعاليت بپردازند.
قلاب TDI
مزايا :
- قابليت كنترل برنامههاي كاربردي در اين سطح وجود دارد.
- دسترسي مستقيم به جريان بستهها وجود دارد و به همين دليل عمده **********ينگ در اين لايه قابل انجام است.
معايب :
- كليه بستهها به اين لايه نميرسند به عنوان مثال، بستههاي پروتكل ICMP در اين لايه قابل پردازش نيستند.
- پشته TCP از حملات خارجي نظير حمله DOS مصون نيست، زيرا لايه TDI بالاي پشته پروتكلهاي ويندوز قرار دارند.
قلاب NDIS
مزايا :
- دسترسي مستقيم به بستههاي دريافتي از شبكه
- جلوگيري از ورود بستهها پيش از آنكه به پشته TCP دسترسي پيدا كنند.
معايب :
- راهي براي يافتن نام پروسهاي كه بسته دريافت شده متعلق به آن است وجود ندارد.
قلاب Miniport
مزايا :
- دريافت بستهها در پائينترين سطح ممكن در معماري ويندوز
معايب :
- مشكل بودن برنامه نويسي و خطايابي در اين سطح
********** ( Intermediate(IM
مزايا :
- وجود مثال در این زمینه به همراه DDK
- وجود اطلاعات مناسب و كافي براي برنامه نويسي در اين سطح
معايب :
- نياز به ثبت ديواره آتش در شركت مايكروسافت براي جلوگيري از پيغام خطاي "sign with Microsoft " در هنگام نصب
منبع : meta-guard
|