)شتآ هراوید( لاوریاف : سردce.sharif.edu/courses/94-95/1/ce442-1/resources/... ·...

امنیت داده و شبکه محمد صادق دوستی

صنعتی شریف دانشگاه آزمایشگاه امنیت داده و شبکه دانشکده مهندسی کامپیوتر

محمد صادق دوستی

http://dnsl.ce.sharif.edu

(دیواره آتش)فایروال : 12درس

1 / 27


فهرست مطالب

مقدمه

فایروال‌ویژگی‌های‌

فایروال‌هاانواع‌‌

2 / 27


مقدمه

ای گسترش ارتباطات شبکه

نیاز به استفاده از زیرساخت اینترنت توسط هر فرد

های مختلف ایجاد تعامل بین شبکه

مشکل بودن ایجاد امنیت در هر سیستم درون سازمانی

نیاز به یک الیه دفاعی جلوی جبهه با استفاده از فایروال

فایروال به عنوان بخشی از استراتژی کلی تامین امنیت است.

3 / 27


فایروال چیست؟

نقطه کنترل و نظارت شبکه

با سطوح اعتماد مختلف با یکدیگر ها شبکهامکان اتصال

ترافیک گذرنده از داخل به خارج و برعکس، باید از داخل فاایروال

.عبور کند

شابکه سیاسات هاای تنها اطالعات و اشخاص مجاز، باا توجاه باه

.محلی، می توانند از فایروال عبور کنند

با استفاده از )فایروال خود باید در مقابل نفوذ امن باشدtrusted

system.)

4 / 27


تجاری فایروالهایهای فراهم شده توسط سرویس

هاای امکان بازرسی و کنترل دسترسی به شبکه و منابع و سرویس

آن

امکان ثبت جریان ترافیک

ها پاالیش بر اساس محتوای بسته

سازی ترجمه نشانی فراهمNAT و نظارت بر استفاده

سازی شبکه خصوصی مجازی پیاده(VPN ) مبتنی برIPsec

5 / 27



مقدمه‌

فایروال ویژگی های

فایروال‌هاانواع‌‌

6 / 27


سازوکارهای کنترلی در فایروال

Service Control

قابل دسترسی هستند سرویس هاییچه.

Direction Control

درخواست به یک سرویس از کدام سمت می تواناد ارساال و پاسا

.داده شود

User Control

درخواست کنندهکنترل دسترسی به سرویس بر اساس شخص

7 / 27


محدودیتهای فایروال

با حمالت زیر مقابله کنند نمی توانند فایروال ها:

نمی کنندحمالتی که ترافیک آنها از فایروال عبور.

ADSLیا Dial-upاتصال کارکنان از طریق مودم •

خطرات داخلی

!کارمندان ناراضی یا ساده لوح•

اجرایی مخرب فایل هایو ویروس هاممانعت کامل از انتقال

مورد پشتیبانی آنها فایل هایو انواع عامل هابا توجه به تنوع سیستم •

ترافیک رمز شده

8 / 27



مقدمه‌

فایروال‌ویژگی‌های‌

فایروال هاانواع

9 / 27

27 / 10 امنیت داده و شبکه محمد صادق دوستی

انواع فایروال ها

فایروال شخصی(Personal :) روی یک میزبان نصب می شاود، و .ترافیک شبکه ورودی و خروجی به آن را کنترل می کند

مثال :iptables وWindows Firewall

قادر است به ترافیاک نهاایی کاه روی میزباان رمزگشاایی : مزیت .می شود دسترسی داشته باشد

دید محدودی نسبت به شبکه دارد: اشکال.

و ورودی ترافیاک در بخشی از شبکه نصب شاده و : فایروال شبکه .را کنترل می کند شبکهآن بخش از خروجی به

مثال :ASA سیسکو ،pfsense


وسیسک ASA: مثال


فایروال در شبکه جایدهی

DMZ: Demilitarized Zone


Packet Filter

مبنای کلیه سیستم های فایروال است.

هر بستهIP و بر اساس قواعاد ( صرف نظر از محتوا)را چک کرده

:امنیتی درباره عبور آن تصمیم می گیرد

اجازه عبور :Permit

ممانعت از عبور :Deny

سرآیندقواعد بر اساس IP و الیاه انتقاال(TCP/UDP/… )

.تعریف می شوند

است اِعمالپاالیش در هر دو جهت قابل. 13 / 27


Packet Filter

(.پورت هابا استفاده از )قابل کنترل است سرویس هادسترسی به

سادگی و پنهانی از دید کاربران: مزیت

ضعف :

عدم پشتیبانی از تصدیق هویت

اعمال قواعد متناسب با برنامه مشکل است.

می تواند وجود داشته باشد پیش فرضدو سیاست:

Discard / Block =هر آنچه که صریحاً اجازه داده نشده، غیرمجاز است.

Forward / Allow =هر آنچه که صریحاً ممنوع نشده، مجاز است.

14 / 27


Packet Filterروش پاالیش بسته در

نوع پروتکل(IP ،TCP ،ICMP ،)...

نشانیIP مبدأ و مقصد

مبدأ و مقصد پورت

هااای پاارچم)حالاات ارتبااا SYN ،ACK یاااRST درTCP ،

Related ،Established)

فعال کردن سرویس در یک بازه زمانی خاص: زمان

خروجی /واسط ورودی(eth0 ،eth1)

15 / 27


1مثال

اعمال می شوند به واسط ورودیو باال به پایینقواعد از :توضیح.

ورودی از ایمیل هایENEMY (1.2.3.* )مسدود می شوند.

ورودی ایمیاال هااای(از 25 پااورتSMTP ) فقااط ماای تواننااد بااه

.فرستاده شوندSMTP_GW (213.233.161.* )میزبان

A

action ourhost port theirhost port comment

block * 25 ENEMY * we don't trust these people

allow SMTP_GW 25 * * connection to our SMTP port

16 / 27


2مثال

بیان سیاست پیش فرض(default = deny.)

این قاعده به صورت صریح در انتهای مجموعه قواعد می آید.

B action ourhost port theirhost port comment

block * * * * default

17 / 27


3مثال

هر گره از داخل شبکه می تواند به بیارون از شابکه ایمیال ارساال

.کند

اعمال می شود خروجیواسط به این قاعده.

ممکن است بجای سرویس ایمیال، سارویس دیگاری روی : مشکل

می تواند بسته ای نفوذگردر این صورت . قرار گرفته باشد 25 پورت

!را به هر ماشین در داخل شبکه ارسال کند 25مبدأ پورتبا

C action ourhost port theirhost port comment

allow * * * 25 connection to their SMTP port

18 / 27


4مثال

میزباان ماشاین هاای که مبدأ آنهاا متعلاق باه لیسات هاییبسته

. باشند، اجازه عبور دارند TCPاز 25 پورتداخلی و مقصد آنها،

از 25مقصد پورتبسته های ورودی باTCP ،اجازه عباور دارناد

. آنها روشن باشد ACKبه شرطی که پرچم

پرچمACK از طارف مقابال در تأییاد هاا بستهکه کند میتأیید

.رسیده اندارسالی های بسته

D

action src port dest port flags comment

allow {our hosts} * * 25 our packets to their SMTP port

allow * 25 * * ACK their replies

19 / 27


Packet Filter – 1حمالت وارده به

جعل نشانیIP: فرستادن بسته از خاارج باا نشاانی مبادأ داخلای

مبدأ IPکه صرفاً نشانی سرویس هاییبا هدف دسترسی به )جعلی

(.را برای دسترسی کنترل می نمایند

فایروالهاانسداد بسته های فوق توسط : راه حل.

فرستنده، مسیر انتقال بسته را مشخص و همراه : از مبدأ مسیردهی

گزینااه . )زنااد ماایآن ماای فرسااتد و باادین ترتیااب فااایروال را دور

source routing سرآینددر IP.)

مسیریابهاانسداد بسته های حاوی اطالعات مسیر توسط : راه حل.

20 / 27


Packet Filter – 2حمالت وارده به

بسته هایIP بسته اصلی در بساته هاای سرآیند: شده قطعه قطعه

.کوچکتر شکسته می شود

انسداد بسته های کوچکی که گزینه تقسایم : راه حلIP آنهااset

.شده است و یا ابتدا بازسازی بسته اصلی و سپس کنترل آن

21 / 27


(Stateful) حالتمند های فایروال

SPI: Stateful Packet Inspection

آنها نیست سرآیندوارسی بسته ها فقط منحصر به اطالعات.

هر بسته بخشی از یک اتصال است، و باید درcontext آن اتصال

.وارسی شود

کارگزار موجود در : 1مثالDMZ حق ندارد شروع کننده اتصاال

به بیرون باشد، و فقط حق دارد به اتصالی که از بیرون برقرار شاده

.پاس دهد

2مثال: FTP در حالتActive

22 / 27


های حالتمند فایروال

نمایند اطالعات مربو به اتصاالت برقرار شده را نگهداری می.

23 / 27

Proto Local Address Foreign Address State

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1541 127.0.0.1:5354 ESTABLISHED

UDP 127.0.0.1:1542 127.0.0.1:5354 ESTABLISHED

UDP 127.0.0.1:1570 127.0.0.1:15485 ESTABLISHED

TCP 127.0.0.1:1576 127.0.0.1:27015 ESTABLISHED

TCP 127.0.0.1:5555 127.0.0.1:14181 TIME_WAIT

TCP 192.168.1.4:14198 74.125.71.19:443 TIME_WAIT

TCP 192.168.1.4:14199 74.125.71.99:443 TIME_WAIT


در شبکه حالتمندفایروال جایدهی


در شبکه حالتمندفایروال دیگر جایدهی

:جایدهیعلل استفاده از این فااایروال فقااط دو واسااط

.شبکه دارد فااااااایروال رفیاااااات

(Throughput ) .کافی را ندارد

دفاع چند الیه


فایروال الیه کاربرد

از نوع فایروالهایPacket Filter تنها می توانند بساته هاا را در .الیه شبکه و انتقال وارسی کنند

امروزه الزم است حمالت در سطح الیه کاربرد نیز وارسی شود.

خاص یک یا چند پروتکل الیه کاربرد فایروالهاییایجاد

کاربردفایروال الیه انواع معروف:

Web Application Firewall ( یاWAF :) شامل قوانینی SQL Injectionیا XSSبرای جلوگیری از حمالتی نظیر

NGINXو IISوب آپاچی، کارگزارهایبرای ModSecurity: مثال•

DB Firewall


پایان

:صفحه درس

/1-442/ce1/95-94http://ce.sharif.edu/courses/

16الی 15 شنبه ها :مراجعه حضوری جهت رفع اشکال

(جنب آسانسور شیشه ایطبقه پنجم دانشکده، درب )

یا در زمانهای دیگر با قرار قبلی

dousti@ce :یا به وسیله رایانامه

27 / 27

http://ce.sharif.edu/courses/94-95/1/ce442-1/











)شتآ هراوید( لاوریاف : سردce.sharif.edu/courses/94-95/1/ce442-1/resources/... ·...

Documents