مرتبط با : 1 .:. نویسنده : ايوب سهرابي

ديوار هاي آتش (Fire Walls)  به سه نوع است:

ديوار آتش به اساس وسيله  (Appliance-based Fire wall):

وسيله يا پرزه كه به منظور ديوار آتشي ساخته شده است.

ديوار آتش به اساس سرور  (Server-based Fire wall):

اينوع ديوار آتش داراي پروگرامي است كه زير سيستم عامل شبكه مانند يونيكس، ويندوز NT، وغيره باشد.

ديوار آتش متكامل  (Integrated Fire wall):

عبارت از ديوار آتش است كه بااستفاده از اضافه ساختن وظيفه ديوار آتش، به يك وسيله موجود بوجود آورده ميشود.

ديوار آتش  PIX سيسكو

Cisco PIX Fire Wall

ديوار آتش سيسكو داراي مادل هاي ذيل است:

PIX 501، PIX 506، PIX 515، PIX 525، و PIX 535 . مادل هاي شماره بالا وظائف بيشتر را انجام ميدهد.

اين ديوار هاي آتش كه ساخت سيسكو است، داراي فعاليت هاي ذيل ميباشد:

·        بررسي پروگرامها وپروتوكولها

·        پشتيباني اين نام مجاز نمي باشد

·        كشف و مانع شدن مهاجمين

PIX  مادل 525:   اين مادل PIX  براي امنيت شبكه متوسط و بزرگ استفده شده ميتواند. داراي انترفس هاي Ethernet است. ميتواند تا 25  VLAN  را پشتيباني كند. شكل ذيل PIX  مادل 525  را نشان ميدهد.

ارتباط استفاده كننده با ديوار آتش:

ديوار آتش سيسكو مانند سويچ و روتر از طريق پورت Console و به كمك پروگرام  Hyper Terminal  بااستفاده از مانيتور، موس و صفحه كليد كمپيوتر مورد دسترسي قرار گرفته ميتواند.

اين ارتباط داراي چهار حالت ميباشد:

·        حالت غير امتيازي  (Unprivileged Mode)

·        حالت امتيازي  (Privileged Mode)

·        حالت عيار سازي  (Configuration Mode)

·        حالت بررسي  (Monitor Mode)

حالت هاي غير امتيازي، امتيازي و عيار سازي مشابه به حالتهاي روتر بوده كه قبلا آنرا مطالعه نموده ايم. در حالت بررسي (Monitor Mode) استفاده كننده ميتوانند سيستم عامل را تغير و يا پاسورد فراموش شده را باز نمايد.

عيار سازي ديوار آتش PIX:

در اثناي عيار سازي ديوار آتش، اوامر ذيل را بايد به خاطر داشته باشيم. اين اوامرمشابه به اوامر عيار سازي روتر ميباشد:

امر enable، enable password (البته اين پاسورد مرموز ميباشد و توسط امر show enable password نشان داده ميشود ولي خوانده شده نميتواند)، configure terminal، help، hostname، ip address، interface.

ليول امنيتي  (Security Level)

ليول امنيتي حالت امنيت بودن و محفوظ بودن انترفس ها را نشان ميدهد. اگر ليول امنيتي داراي شماره بلند باشد، همان انترفس بيشتر باامن و محفوظ ميباشد.

قانون اولي اينست كه يك انترفس داراي شماره بلند ميتواند يك انترفس داراي شماره پائين را مورد دسترسي قرار دهد. ولي انترفس شماره پائين نميتواند بدون لست كنترولي(Access List)  انترفس شماره بالا را مورد دسترسي قرار دهد. شماره انترفس ميتواند از صفر تا صد باشد. اين قوانين طور ذيل است:

·        تمام ترافيك از انترفس شماره بالا ميتواند به طرف انترفس شماره پائين عبور نمايد. البته لست هاي كنترولي ميتواند اين ترافيك را محدود سازد.

·         تمام پاكت هاي كه از انترفس شماره پائين  به طرف انترفس شماره بالا ميرود، گرفته نشده بلكه Drop  ميگردد. باز هم لست هاي كنترولي ميتواند اين محدوديت را از بين ببرد.

·        اگر دو انترفس داراي عين شماره باشد، بين آنها ترافيك عبور و مرور كرده نميتواند.

بعضي اوامر عيار سازي:

امر nameif: توسط اين امر ميتوانيم به انترفس ها نام دهيم.

امر ip address:

توسط اين امر به انترفس ها آدرس ip  داده ميتوانيم. امر clear ip آدرس هاي ip  را از بين ميبرد.

امر ip address dhcp:

اگر خواسته باشيم تا به انترفس هاي PIX  از طريق سرور DHCP  آدرسهاي IP  بدهيم از امر IP address dhcp  استفاده ميكنيم.

امر security level:

توسط اين امر ليول امنيتي انترفسها را تعين كرده ميتوانيم. البته بدون انترفسهاي inside  و outside كه اين دو نوع انترفس داراي ليول امنيتي از قبل تعين شده ميباشد. ليول امنيتي انترفس inside  شماره 100    و از انترفس outside  شماره 0  ميباشد.

درحالت عادي انترفسهاي كه داراي عين شماره امنيتي اند باهم ارتباط گرفته نميتواند. اگر خواسته باشيم تا اين انترفسها باهم ارتباط گرفته بتواند، از امر same-security-traffic  استفاده ميكنيم.

امر speed:

توسط اين امر سرعت يك انترفس را تعين كرده ميتوانيم. جدول ذيل پارامتر هاي اين امر را نشان ميدهد:

امر duplex:

توسط اين امر duplex  انترفس را تعين كرده ميتوانيم. جدول ذيل پارامتر هاي duplex را نشان ميدهد.

ترجمه آدرسهاي شبكه (NAT) يا  Network Address Translation:

NAT  آدرسهاي داخلي كه در عقب PIX  است مخفي نگاه ميكند. NAT  اين وظيفه را با ترجمه كردن اين آدرسها قبل از فرستادن پاكت به طرف شبكه بيروني انجام ميدهد. NAT  در PIX  توسط اوامر nat  و global  اجرا ميشود.

امر nat-control:

توسط اين امر عمليه  NAT  فعال ميشود. اگر عمليه NAT  فعال نباشد، تنها آدرسهاي IP  كه ضرورت به حمايت دارد قانون NAT  بالاي آن تطبيق ميشود. ولي بعد از اينكه NAT  توسط امر nat-control  فعال شود تمام پاكت ها كه به PIX  مي آيد ضرورت به قوانين NAT  دارد. در اين صورت بايد آدرسهاي داخلي مخفي شود.

امر nat:

توسط اين امر ترجمه يك يا چند آدرس ip  تعين شده ميتواند. اين امر داراي دو جز هستند: جز اول عبارت از id-nat  است كه شماره است از 1  تا 2147483647  و وظيفه آن مشخص ساختن Host  است براي ترجمه ديناميكي. آدرسهاي ديناميكي از pool  كه توسط دستور global  تعين گرديده است گرفته ميشود.

مثال:

Nat (inside) 1 10.0.0.0 255.255.255.0

توسط اين امر تمام ترافيك بيروني كه از شبكه 10.0.0.0  باشد، ميتواند از PIX  به كمك ترجمه عبور نمايد.

Nat (inside) 1 10.0.0.11 255.255.255.255

اين امر به مفهوم اينست كه تنها ترافيك كه از كمپيوتر 10.0.0.11  به PIX  مي آيد ترجمه ميشود.

امر global:

براي اينكه آدرسهاي داخلي توسط NAT  ترجمه شود بايد pool  از آدرسها تعريف شود. در PIX  ميتوانيم بيشتر از يك pool  را عيار سازيم. ترجمه هر آدرس شبكه بيروني همراي nat-id  بسته است. و هر pool  هم داراي nat-id  مربوطه است. PIX  به كمك nat-id  پاكت بيروني pool  كه از آن بايد ترجمه صورت گيرد تعين ميكند. Nat-id  پاكت بيروني بايد همراي nat-id  كه همراي pool  است يكي باشد.

در شكل فوق كمپيوتر 10.0.0.11  ميخواهد به بيرون ارتباط بگيرد. Nat-id  پاكت كه بيرون شود 1  است. همچنين pool  ،  192.168.0.20-254  هم داراي nat-id   1 است. PIX  آدرس  IP  192.168.0.20  را به پاكت ميدهد.

امر route:

بااستفاده از اين امر ميتوانيم به يك انترفس راه ثابت  ((Static Route  را معرفي نمائيم. اگرخواسته باشيم تا default route  راتوسط اين امر تعين كنيم، آدرس ip  و ماسك را 0.0.0.0   ميسازيم.

امر name:

توسط امر name  ميتوانيم نامها را به آدرسهاي ip  معرفي نمائيم. بعد از آن ميتوانيم از نامها به عوض آدرسهاي ip  در اثناي عيار سازي  PIX  استفاده كنيم. توسط امر clear names  دوباره اين نامها را پاك كرده ميتوانيم.

تست نمودن عيارسازي PIX:

بعد از عيار ساختن PIX ، مطمئن شدن از درست بودن عيار سازي ضروري ميباشد. اوامر وجود دارد كه به كمك آن ميتوانيم عيار سازي را مشاهده نمائيم. يكي از اين اوامر امر  show  ميباشد.

امر  show:

توسط اين امر عيار سازي PIX  را تست كرده ميتوانيم. اين امر نظر معلومات عيار سازي را طبق پارامتر هاي كه همراي اين امر استفاده ميشود، نشان ميدهد. بعضي از اين پارامتر ها قرار ذيل اند:

Show memory: اين امر مقدار مجموعي ، مقدار استفاده شده و مقدار خالي حافظه فزيكي را نشان ميدهد.

Show cpu usage: اين امر فيصدي مصروف بودن CPU  را نشان ميدهد.

Show version: اين امر نمونه سيستم عامل PIX ، نوع پراسسر، نوع حافظه فلش، نمونه بايوس، كليد فعال ساختن، شماره مسلسل وغيره معلومات را نشان ميدهد.

Show ip address: آدرس IP  انترفس را نشان ميدهد.

Show interface: معلومات راجع به انترفس را نشان ميدهد.

Show name if: اين امر انترفس هاي نامگذاري شده را نشان ميدهد.  شكل ذيل دو انترفس كه داراي نامهاي default  اند( inside  و outside) نشان ميدهد. انترفس inside  داراي ليول امنيتي 100  و انترفس outside  داراي ليول امنيتي 0  است.

امر ping: توسط اين امر ارتباط  PIX  را تست كرده ميتوانيم.

امر clock:

اين امر براي عيار سازي وقت  PIX  استفاده ميشود. ساعت توسط بطري تغذيه ميشود. PIX  پيغامهاي SysLog  را جهت ثبت حادثات سيستم استفاده ميكند. امر logging timestamp  به اين پيغامها وقت ميدهد. توسط show clock  وقت را مشاهده كرده ميتوانيم.

Hacker: شخص ماهر و كنجكاو كه در امور كمپيوتر مهارت زياد دارد.

Cracker: Hacker مضر

Gray hats: اشخاص مهاجم

شبكه TCP/IP  از راه هاي مختلف باامن شده ميتواند. بعضي از اين راه ها قرار ذيل است:

Application Layer Security

Secure Socket Layer (SSL)

IP Security

Application Layer Security:

چون TCP/IP  بدون امنيت بوده پس خود Application  ها بايد داراي امنيت باشد.

Secure Socket Layer (SSL):

ASA 8.x

ciscoasa#show running-config

: Saved

:

ASA Version 8.0(2)

!

!--- In order to set the firewall mode to transparent mode

firewall transparent

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

names

!

interface Ethernet0/0

 nameif outside

 security-level 0

!

interface Ethernet0/1

 nameif inside

 security-level 100

!

interface Ethernet0/2

 shutdown

 no nameif

 no security-level

!

interface Ethernet0/3

 shutdown

 no nameif

 no security-level

!