تبلیغات
آموزش ترفندهای کامپیوتر - ناتوانی*های دیواره*های آتش و تفاوت آن با آنتی ویروس:
 
آموزش ترفندهای کامپیوتر
صفحه نخست            تماس با مدیر            پست الکترونیک           RSS            ATOM
در ادامه برخی از ناتوانی*هایدیواره*های آتش را مورد بررسی قرار می*دهیم: 

یک دیواره آتش نمی*تواند شبکهو منابع آن را از خرابکاران داخلی محافظت*کند: دیواره آتش ممکن است بتواند از اینکهاطلاعات مفید سازمان از طریق خط ارتباطی شبکه به بیرون انتقال یابند جلوگیری کنداما هنگامی که این اطلاعات از خط ارتباطی عبور نمی*کنند نمی*تواند هیچ*کاری انجامدهد. کاربری ممکن است با استفاده از یک دیسک، Floppy، CD و یا تعدادی ورقه که آنهارا در کیفش قرار می*دهد اطلاعات حساس سازمان را به بیرون انتقال دهد. در مقابله بااین نوع کاربران (که ممکن است اطلاعات داخل را عمداً و یا سهواً از روی غفلت افشاکنند)، دیواره*های آتش ناتوان هستند و هیچ*کاری از دستشان ساخته نیست. برخی ازافراد داخلی سطوح دسترسی بالایی را در شبکه دارا هستند و مجازند به منابع مختلف درشبکه دسترسی داشته باشند، این افراد قادر خواهند بود سخت افزارها را خراب کنند، نرمافزارها و برنامه*های مختلف را دچار مشکل*کنند، به طور ماهرانه*ای برنامه*ها راتغییردهند، سطوح دسترسی*ها را دستکاری کنند و.... واقعیت این است که دیواره*های آتشدر مقابله با این مشکلات کاری نمی*توانند انجام دهند. 

در ادامه برخی از ناتوانی*هایدیواره*های آتش را مورد بررسی قرار می*دهیم: 

یک دیواره آتش نمی*تواند شبکهو منابع آن را از خرابکاران داخلی محافظت*کند: دیواره آتش ممکن است بتواند از اینکهاطلاعات مفید سازمان از طریق خط ارتباطی شبکه به بیرون انتقال یابند جلوگیری کنداما هنگامی که این اطلاعات از خط ارتباطی عبور نمی*کنند نمی*تواند هیچ*کاری انجامدهد. کاربری ممکن است با استفاده از یک دیسک، Floppy، CD و یا تعدادی ورقه که آنهارا در کیفش قرار می*دهد اطلاعات حساس سازمان را به بیرون انتقال دهد. در مقابله بااین نوع کاربران (که ممکن است اطلاعات داخل را عمداً و یا سهواً از روی غفلت افشاکنند)، دیواره*های آتش ناتوان هستند و هیچ*کاری از دستشان ساخته نیست. برخی ازافراد داخلی سطوح دسترسی بالایی را در شبکه دارا هستند و مجازند به منابع مختلف درشبکه دسترسی داشته باشند، این افراد قادر خواهند بود سخت افزارها را خراب کنند، نرمافزارها و برنامه*های مختلف را دچار مشکل*کنند، به طور ماهرانه*ای برنامه*ها راتغییردهند، سطوح دسترسی*ها را دستکاری کنند و.... واقعیت این است که دیواره*های آتشدر مقابله با این مشکلات کاری نمی*توانند انجام دهند. 

یک دیواره آتشنمی*تواند از بروز تمام مشکلات امنیتی جلوگیری*کند: دیواره آتش برای مقابله باخطرات شناخته شده طراحی شده است. مدیران شبکه با شناختی که از حملات و خطرات مختلفدارند و با تصویب تعدادی قوانین و اجرای آنها توسط دیواره آتش سعی می*کنند از بروزآنها جلوگیری کنند، اما واقعیت این است که روز به روز حملات و مشکلات امنیتی جدیدیبه وجود می*آیند و دیواره آتش نمی*تواند به طور خودکار با این خطرات مقابله کند. دیواره آتش نیز مانند تجهیزات دیگر توسط مدیر سیستم پیکربندی می*شود و پیرودستوراتی است که مدیر می*دهد. یک پیکربندی خوب تا حدودی قادر خواهد بود از خطراتجدید نیز جلوگیری*کند. در این پیکربندی هیچ ترافیکی عبور داده نمی*شود غیر ازترافیک مربوط به تعداد بسیار اندکی سرویس مطمئن. خرابکاران به طور مرتب راههایجدیدی برای نفوذ و خرابکاری پیدا می*کنند. آنها یا از سرویسهای مطمئن شناخته شدهسوء استفاده می*کنند ویا مشکلاتی که تا کنون برای کسی رخ نداده (و بنابراین هیچ کسراجع به آنها چیزی نمی*داند و به همین دلیل در هیچ دیواره آتشی در نظر گرفته نشده) را به کار می*بندند. یک دیواره آتش را نمی*توان یک بار پیکربندی کرد و انتظار داشتبرای همیشه شبکه را از هر خطری مورد محافظت قرار دهد. 

یک دیواره آتشمعمولاً نمی*تواند از ورود ویروسهاجلوگیری کند: اغلب دیواره*های آتش بخشهای مربوط به آدرس مبدأ و آدرس مقصد و شماره پورت مبدأومقصد شبکه*های ورودی را مورد بازرسی قرار می*دهند و به جزئیات داده توجهی ندارند. پیاده*سازی بخش تشخیص ویروس و بررسی کامل داده بسته*ها در دیواره**های آتش زیادعملی وکارا نیست. انواع بسیار زیادی از ویروسها وجود دارند و روشهای زیادی برایآنکه ویروس خودش را در داخل داده مخفی*کند وجود دارد. تشخیص ویروس (Virus Detection) در یک بسته تصادفی از داده*ای که از دیواره آتش عبور می*کند بسیار مشکلاست. برای تشخیص ویروس در بسته*ها نیازمندیهای زیر وجود دارد: 

- 
تشخیص اینمطلب که بخش داده بسته بخشی از یک برنامه است. 

- 
مشخص کردن این*که یکبرنامه مجاز چگونه است و چه ویژگیهایی دارد. 

- 
تشخیص این که تفاوتی بین اینبرنامه و مدل برنامه*های بدون مشکل و مجاز وجود دارد و بنابراین برنامه یک ویروساست. 

اغلب دیواره*های آتش ماشینهایی از انواع مختلف و با فرمتهای اجراییمختلف را مورد محافظت قرار می*دهند. 

یک برنامه ممکن است یک برنامه کامپایلشده قابل اجرا و یا یک script باشد. علاوه بر این، بسیاری از برنامه*ها قبل ازاینکه انتقال یابند به شکل یک Package در می*آیند و به خوبی فشرده سازی می*شوند. این مسایل باعث می*شود پیچیدگی مسأله تشخیص ویروسها بالاتر رود و پیاده*سازی آنمشکل باشد. با این همه باز هم نمی*توان تمامی منابع دیگر انتقال ویروسها را کنترلکرد. بسیاری از برنامه*ها ممکن است از طریق مودمهای اشخاصی که به اینترنت متصلند واز دیواره آتش رد نمی شوند download شوند و یا با یک floppy از محل سکونت به شبکهداخلی سازمان انتقال یابند و ... روش عملی تر مقابله با ویروسها استفاد از نرمافزارهایhost-base virus protection است. آموزش کاربران و آگاه کردن آنها از خطراتویروسها نیز می تواند مؤثر باشد. 


تاریخچه 

اگر چه تکنولوژیدیواره*های آتش جوان است و تازه شکل گرفته اما بسیار سریع رشد کرده و در کمتر ازبیست سال تحولات زیادی را پشت سر گذاشته است. 

اولین نسل از دیواره های آتشدر حدود سال 1985 بوجود آمدند و " دیواره های آتش پالایشگر بسته" (Packet filter firewalls) نام گرفتند. ایده اصلی آنها از امکانات نرم افزاری گرفته شده بود کهمتعلق به شرکت Cisco بود و تحت عنوان (IOS (Internetworking Operation system شناخته می شد. اولین مقاله در ارتباط با فرآیند غربال کردن (Screening Process) کهتوسط این نوع دیواره های آتش مورد استفاده قرار می گرفت در سال 1988 منتشر شد. 

در سال 1989 آزمایشگاه شرکت AT&T برای اولین بار نسل دوم دیواره*هایآتش که در آینده "دیواره*های آتش سطح مدار" (Circuit level firewalls) لقب گرفتندرا بوجود آوردند. در همان سال آنها همچنین اولین مدل عملی (Working Model) از نسلسوم دیواره*های آتش یعنی "دیواره****های آتش لایه کاربرد" (Application layer firewalls) پیاده*سازی کردند اما نه هیچ مقاله*ای در این ارتباط منتشر شد و نهمحصولی بر اساس این مدل به بازار عرضه گشت. 

در اواخر سال 1989 و اوایل دهه 90 تحقیقات مختلف و پراکنده ای در سطح کشور آمریکا بر روی نسل سوم دیواره های آتشانجام شد و بالاخره نتایج این تحقیقات به صورت جداگانه درسال های 1990 و 1991 توسط Gene Spafford از دانشگاه Bill Cheswick,Purdue از لابراتوری Bell شرکت AT&T و Marcus Ranum انتشار یافتند. در سال 1991 تحقیقات Marcus Ranum بیشترین توجه را بهخودش معطوف کرد و باعث بوجود آمدن Bastion host هایی که سرویس ***** را اجرا میکردند شد. نتایج این تحقیقات به سرعت در اولین محصول تجاری شکل عینی یافت و به کارگرفته شد. این محصول که SEAL نام داشت توسط شرکت DEC عرضه شد. 

در اواخرسال1991، Bill Cheswick و Steve Bellovin تحقیقاتی را در ارتباط با پالایش کردنبسته* ها به صورت پویا (Dynamic) شروع کردند و بر این اساس محصولی داخلی را درلابراتوار Bell پیاده*سازی کردند که البته هرگز به بیرون عرضه نشد. در سال 1992، Bob Barden و Annette DeSchon در مؤسسه USC’s Information Sience Institute تحقیقاتی را بر روی نسل چهارم دیواره*های آتش تحت عنوان "دیواره*های آتش پالایشگربسته پویا" (Dynamic packet filter firewalls) برای سیستمی با نام Visas به طورجداگانه شروع کردند و در نهایت نرم افزار Chech Point، اولین محصول تجاری بر پایهمعماری نسل چهارم دیواره های آتش، در سال 1994 به بازار عرضه شد. 

در سال 1996، Scott Wiegel طرحی را برای نسل پنجم دیوارههای آتش با عنوان Kernel ***** ارائه داد. دیواره آتش Cisco Centriکه درسال 1997 پیاده سازی شد اولین محصول تجاریبر اساس معماری این نسل بود. 

در سال های اخیر نیاز به سیستم های امنیتی کهپرسرعت و در عین حال قابل گسترش(Extensible)، قابل نگهداری(Maintainable) و انعطافپذیر (Flexible) باشند باعث شده است شرکت های فعال در زمینه امنیت در تکاپوی یافتنراه حلهایی مناسب و کاربردی برای پاسخگویی به این نیازها باشند. 




نوع مطلب : آموزش، 
برچسب ها :
لینک های مرتبط :

دوشنبه 13 اردیبهشت 1389
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر
نظرات پس از تایید نشان داده خواهند شد.


آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
HTML & web design learning