ورود به سایت

ثبت نام در سایت

Registration confirmation will be e-mailed to you.

فراموشی رمز

3 × 2 =

بستن
بستن

چگونه از isa server msبه عنوان دیوار آتش استفاده کنیم؟

چگونه از isa server msبه عنوان دیوار آتش استفاده کنیم؟

دیواره های آتش برای ایجاد محدودیت در ترافیک مابین دو زیرشبکه به وجود آمده اند. هر دیواره آتش برای تشخیص ترافیکی که باید مسدود شود از ابزارهای زیر استفاده می کند:

  • Packet Filter
  • Stateful Filter
  • Application Filter
  • فیلترینگ بسته چیست؟

    قانون اصلی هر دیواره آتش از ترافیک ورودی به شبکه داخلی جلوگیری می کند. البته به جز ترافیکی که به طور صریح اجازه داده شده باشد. هنگامی که دیواره آتش یک بسته IP را بررسی می کند تنها اطلاعات موجود در سرآیند لایه های ۳ و ۴ مورد بررسی قرار می گیرند. به منظور پالایش بسته ها از معیارهای زیر برای ارزیابی بسته های IP استفاده می‌شود:

    1. آدرس مقصد: آدرس مقصد ممکن است آدرس حقیقی رایانه ای باشد که مابین دو شبکه ای که به MS ISA Server متصل اند مسیریابی شده باشد. همچنین ممکن است در واسط خارجی باشدکه ارتباط آن به وسیله NAT انجام گرفته است.
    2. آدرس مبدا: آدرس رایانه ای است که بسته ها واقعا با آن مبادله می گردند.
    3. IP & Protocol Number: شما می توانید پالایش بسته ها را بر اساس پروتکل های TCP یا UDP و یا ICMPیا پروتکل های دیگر پیکربندی نمایید. هر پروتکل با یک عدد شماره گذاری شده است، برای مثال شماره پروتکلTCP، ۶ است و شماره پروتکل GRE (مربوط به PPTP) 47 است.
    4. مسیر یا جهت: این مورد مربوط به مسیر بسته ها در دیواره آتش است. در بیشتر موارد مسیر به وسیله Inbound یا Outbound و یا هر دو می تواند تعریف گردد.
    5. Port Number: پالایش بسته هایUDP یاTCP به وسیله ی پورت‌هایLocal یا Remote تعریف می گردد.
    6. پورت‌هایLocal یا Remoteبه وسیله ی شماره ی پورت های ثابت یا پویا می توانند تعریف شوند.

    Intrusion Detection

مطالب مرتبط


گام 1 - استفاده از ISA Server MS به عنوان ديواره آتش

استفاده از ISA Server MS به عنوان ديواره آتش

مزايای پالایش بسته‌ها

  • در هنگام پالایش هر بسته تنها به لايه هاي 3 و 4 سرکشي می‌شود. بنابراين این فرآیند بسيار سريع است.
  • با پالایش بسته مي توان از دسترسی به آدرس مشخصی جلوگيري کرد. اگر شما يک حمله نرم‌افزاري را از يک آدرس تشخيص داديد، مي-توانيد آن آدرس را با اين قابليت ببنديد.
  • پالایش بسته مي تواند براي ورودي و خروجي استفاده شود. پالایش ورودي، تمام دسترس هاي روي واسط خارجی دیواره آتش که بسته هاي آن ها داراي آدرس مبدا شبکه ي داخلي است را مسدود مي کند.

معایب پالایش بسته‌ها

  • اين قابليت توانايي مقابله با حمله هاي IP Spoofing و Source-Routing را ندارد. يک حمله‌کننده مي تواند يک آدرس معتبر را به جاي آدرس مبداء جانشين کند و پالایش بسته ها نمي تواند بسته را مسدود کند. همچنين يک حمله‌کننده مي تواند اطلاعات مسیریابی بسته را با اطلاعات نادرست تعويض نمايد که اطلاعات به آدرس اصلي برنگردد و به آدرس رايانه حمله‌کننده باز گردد.
  • پالایش بسته ها نمي تواند از حمله هاي IP-Fragment جلوگيري کند. در اين نوع از حمله، حمله يک بسته IP را به چندين بسته تقسيم مي کند. بيشتر پالایش بسته در دیواره های آتش، تنها اولين بخش از بسته ها را بررسي مي کند و فرض مي کند بقيه قسمت هاي بسته قابل پذيرش است.
  • پالایش بسته، آگاه از وضعیت نرم افزار نيست. شما ممکن است پورت پيش‌فرض سرويسTelnet را روي دیواره آتش ببنديد، اما بهHTTP اجازه دسترسي دهيد. اگر حمله‌کننده بتواند سرویس دهنده Telnet را روي پورت 80 راه‌اندازي کند، اين بسته ها از دیواره-آتش عبور مي کنند.

MS ISA Server و پالایش بسته‌ها

ISA Server 2004 MS گزينه اي براي پيکربندي مستقيم پالایش بسته‌ها ندارد. هر چند که پالایش بسته ها را انجام مي دهد و ترافيک را در لايه هاي 3 و 4 بررسي مي کند. براي مثال اگر شما قانوني تعريف کنيد که ترافيک تمام پروتکل ها از آدرسي در شبکه به آدرسي در شبکه ديگري را اجازه دهد، ISA Server از پالایش بسته براي اجازه دادن به آن ترافيک استفاده مي کند، اگر شما قانوني تعريف کنيد که استفاده از Telnet را ممنوع کند، ISA Server از اين قابليت براي جلوگيري استفاده مي کند. ISA Server به طور پيشفرض پالایش ورودي و خروجي را نيز انجام مي دهد.

Stateful Filtering چيست؟

هنگامي که از اين قابليت استفاده مي کنيد، دیواره آتش علاوه بر اطلاعات سرآیند هر بسته، وضعیت آن بسته‌ را نيز بررسي مي کند. براي مثال ديواره آتش مي تواند به بسته در واسط خارجی خود سرکشي کند که چه بسته اي پاسخ به تقاضايي از شبکه داخلي است. اين بررسي مي تواند در لايه هاي 3 و4 انجام گيرد.Stateful Filtering اطلاعات مربوط به نشست TCP را بررسي مي کند تا تشخيص دهد چه بسته اي بايد مسدود گردد و چه بسته اي در دیواره آتش اجازه حرکت دارد. هر نشستTCP از دست‌تکاني 3 طرفه TCP ايجاد شده است. هدف از اين کار همگام‌سازي Sequence Number و Acknowledge Number است تا اطلاعات چگونگي مبادله بسته ها، مابين دو رایانه مبادله گردد. TCP از فرآیند دست تکاني مشابهي براي پايان دادن به هر اتصال استفاده مي کند. اين کار تضمين مي کند که دو طرف به طور همزمان ارسال بسته را پايان دهند. دیواره آتش از اطلاعات TCP استفاده مي کند تا Stateful Filtering را انجام دهد. زماني که يک کاربر در شبکه داخلي اولين بسته را براي دست تکاني 3 طرفه ارسال مي کند، دیواره آتش بسته را دوباره ارسال مي کند و بسته ارسال شده را ثبت مي-کند. هنگامي که جواب از سرویس دهنده بازگشت، دیواره آتش بسته ها را مي پذيرد زيرا پاسخي هستند به يک درخواست داخلي. اگر بسته اي تنها با بيت SYN يا با هر دو بيت SYN و ACK تنظیم شده باشد و به دیواره آتش برسد و دیواره آتش رکوردي از درخواست کاربري در شبکه نداشته باشد، دیواره آتش جلوی بسته ها را مي گيرد. دیواره آتش همچنين مي تواند از رفتار ديگرTCP Session براي کنترل ترافيک استفاده کند. براي مثال هنگامي که کاربر يک نشست را شروع مي کند، دیواره آتش مي تواند يک شمارنده تنظيم کند و نشست را فقط به اندازه تنظيم شده در شمارنده باز نگه دارد. دیواره آتش همچنين مي تواند اطلاعات Application-Level را براي Stateful-Filtering بررسي کند. براي مثال هنگامي که کاربر دستور GET را براي آدرس خاصي به سرویس دهنده وب ارسال مي کند، دیواره آتش مي تواند درخواست را پيگيري کند و به آن جواب دهد.

شکل 2. مسیریابی به وسیله ISA Server

مزايا و معایب Stateful Filtering

استفاده از اين قابليت داراي چندين مزیت است. براي مثال اين قابليت اطمينان مي دهد که تمام ترافيک شبکه که اجازه حرکت در دیواره آتش را مي يابند، قسمتي از يک نشست موجود می‌باشند و يا با قوانين دیواره آتش براي ايجاد يک نشست جديد هماهنگ هستند. به علاوه اين قابليت، پالایش پوياي بسته ها را نيز پياده‌سازي مي کند تا اطمینان داده شود که يک پورت خاص تنها در صورتي اجازه مي يابد که يک نشست معتبر وجود داشته باشد. براي مثال، پروکسی وب (کاربر) تقاضايي از سرویس دهنده‌ی وب مي کند که جواب با پورت 1159 مي آيد. دیواره آتش تنها در زمان اين نشست به اين پورت گوش مي-کند. به هر حال اين قابليت به طور کامل در مقابل حملات از شبکه محافظت نمي کند. بسياري از حملات جديد در Application-Levelاتفاق مي-افتند. براي مثال ممکن است يک کاربر يک کد مخرب را از يک بسته HTTP دانلود کند که از يک نشست درست مي آيد. تنها جستجوي Stateful در لايه 7 مي‌تواند از اين حمله جلوگيري نمايد.

قوانين اتصال MS ISA Server

MS ISA Server از قوانين اتصال برای پیگیری هر نشست استفاده می‌کند. این سرویس‌دهنده پس از دریافت هر بسته، تلاش می‌کند تا آن بسته را با یکی از قوانین موجود تطبیق دهد. هر قانون بر اساس پروتکل مبدا و مقصد داراي مشخصات زير است:

  • شماره پروتکل
  • آدرس و پورت مبداء
  • آدرس و پورت مقصد
  • آدرس NAT مبداء
  • آدرسNAT مقصد
  • آمار وضعيت (تعداد بايت‌ها و آخرين زمان دست‌يابي)

در صورت انطباق هر یک از بسته‌ها با قوانین، آن بسته ارسال مي-گردد. اما اگر بسته با هيچ کدام از قوانين اتصال هماهنگ نبود،ISA Server قوانين دسترسي دیواره آتش را براي تشخيص ايجاد يک ارتباط جديد بررسي مي کند. اگر هيچ کدام از قوانين دیواره آتش ايجاد يک اتصال جديد را مسدود نکند، ISA Server يک اتصال جديد ايجاد مي کند و بسته را عبور مي دهد. اگر يکي از قوانين دیواره آتش ايجاد يک اتصال جديد را مسدود کند بسته دور ريخته مي شود.

پالایش لایه کاربرد چيست؟

پالایش لايه کاربرد به دیواره آتش اجازه مي دهد تا اطلاعات بسته TCP/IP را براي دستورات و اطلاعات غيرقابل پذيرش، بررسي کند. براي مثال يک SMTP Filter ترافيک پورت 25 را سد مي کند تا مطمئن گردد به دستورات SMTP اجازه داده شده است قبل از ارسال داده ها، به سرویس دهنده مقصد برسند.

تشخیص نفوذ چيست؟

تشخیص نفوذ يعني تشخيص حمله ای که بر ضد شبکه ايجاد مي شود يا در حال اجراست. اگر شما از یک حمله به اندازه کافي زود مطلع گرديد، مي توانيد از وقوع آن حمله جلوگيري کنيد. يک سیستم تشخیص نفوذ در لبه هاي شبکه قرار داده شده است تا تمامي ترافيک شبکه را بررسي کند و الگوهاي حمله به شبکه را بررسي و کشف نماید. سیستم تشخیص نفوذ معمولا شامل اطلاعات بسياري از انواع حملات شبکه است و ترافيک شبکه را بررسي مي کند تا اثري از حملات را در بسته ها بيابد. همچنين اين سيستم مي تواند با اطلاعات صحيح پيکربندي گردد، تا اين ترافيک را نيز تشخيص دهد.

شکل 3. تنظیمات دیواره آتش

يک سیستم تشخیص نفوذ کامل داراي لايه‌هاي گوناگوني است. يک وسيله ممکن است در شبکه Perimeter يا DMZ نصب گردد و ترافيک ورودي و خروجي را کنترل کند. وسيله ي ديگر ممکن است در شبکه داخلي پيکربندي گردد يا روي مسیریاب که شبکه ها را به هم وصل کرده است. اين سيستم همچنين گزينه هايي را فراهم مي آورد تا اعلام خطر نمايد يا به حملات پاسخ دهد. در پايين ترين حد، اين سيستم بايد به مدير شبکه يک پيغام هشدار دهد. سیستمهاي تشخیص نفوذ پيشرفته تر فعاليت هاي بيشتري را نسبت به حمله انجام مي دهند اين کارها شامل مسدودسازي يا محدودسازي کارايي سيستم زير حمله است. به هر حال هر دو سیستم تشخیص نفوذ و دیواره آتش به امنيت مربوط مي شوند. يک سیستم تشخیص نفوذ با يک دیواره آتش که تلاش مي کند يک حمله را متوقف سازد، متفاوت است. دیواره آتش دسترسي شبکه را محدود مي سازد تا از حمله جلوگيري کند و هيچ نشانه و پيغامي را هنگام حمله گزارش نمي دهد. اما يک سیستم تشخیص نفوذ، حرکتي را که به آن بدگمان است را ارزيابي مي کند و با هشدار نسبت به آن واکنش مي دهد.

سیستم تشخیص نفوذ و MS ISA Server

MS ISA Server شامل یک سیستم تشخیص نفوذ است و حملات را در دو لايه مختلف شبکه تشخيص مي دهد. MS ISA Server ابتدا حملات را در لايه شبکه تشخيص مي دهد. اين قابليت مي تواند آسيب پذيري ارث رسيده شده به اين لايه (IP) را تشخيص دهد. MS ISA Server از Application Filter براي تشخيص حملات در لايه کاربرد استفاده مي کند. شما مي توانيد از نرم‌افزار‌هاي غير مايکروسافتي استفاده کنيد تا حملات بيشتري را تشخيص دهيد.

احراز هویت

قبل از آن که یک کاربر بتواند از MS ISA Server درخواستی کند باید احراز هویت شود.

روش های احراز هویت

در ISA Server روش های زیر برای احراز هویت وجود دارد:

  • Basic: در این روش نام کاربری و کلمه عبور به صورت ساده ارسال می گردد.
  • Digest: در این روش یک سری اطلاعات به نام کاربری و کلمه عبور اضافه می گردد تا تشخیص آن به راحتی انجام نپذیرد. اگرچه در این روش کلمه‌های عبور کدگذاری نمی شوند، ولی دارای امنیت بیشتری نسبت به روش قبل برخوردار است.
  • Windows Integrated: در این روش از پروتکل Kerberos استفاده می-گردد.

علاوه بر روش های فوق، MS ISA Server دارای قابلیت Pass-through نیز می-باشد. با استفاده از این قابلیت یک کاربر داخل شبکه می‌تواند بر روی یک سرویس دهنده‌ی وب در اینترنت احراز هویت گردد. یکی دیگر از مزایای این قابلیت این است که اگر کاربر بخواهد از طریق یک زیردامنه در یک زنجیره از سرویس‌دهنده ها به اینترنت متصل گردد، فقط کافی است در همان دامنه مورد شناسایی قرار بگیرد

اطلاعات مطلب

دیدگاه کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بهترین علوم و دانش برای شما گردآوری میشه

آخرین های آیا میدانید

از همه جا براتون مطلب داریم لطفا کلیک کنید

مطالب برگزیده

موضوعات مهم سایت

مطالب محبوب