دانلود تحقیق فیلترینگ

اگرچه اکثر سازمان ها تمایل به داشتن شبکه های امن دارند ولى گفتن یک تعریف واحد براى امنیت که همه نیازها را براورده سازد ممکن نیست .

در عوض هر سازمان باید ارزش اطلاعات خود را تعیین کرده و سپس یک سیاست امنیتى تعریف کند که مواردى که باید محافظت شوند در آن مشخص شود.
جنبه هاى مختلفى از امنیت وجود دارد که زمان تعریف سیاست امنیتى باید در نظر گرفته شوند.براى این منظور مجموعه مکانیزم هایى طراحى شده که جنبه هاى مختلف امنیت را در اختیار ما مى گذارند.

به منظور داشتن اطلاعات خصوصى روی یک اینترنت دو کامپیوتر مى توانند از رمزنگارى استفاده کنند.

فرستنده الطوریتمى را براى درهم ریختن پیغام استفاده کرده وگیرنده نیز با استفاده ازنگاشت معکوس از روى نسخه به هم ریخته پیغام اصلى را بازسازى مى کند .
اگرچه تکنولوژى رمز نگارى کمک خوبى در رفع بسارى از مشکلات امنیتى است , اما وجود تکنولوژى دیگرى نیز در کنار آن لازم است .

این تکنولوژى که به منظور حفاظت از کامپیوترهاى یک سازمان در مقابل ترافیک ناخواسته جهانى استفاده مى شود حفاظ اینترنت نام دارد .
یک حفاظ مى تواند هزینه هاى ایجاد امنیت را کاهش دهد .

بدون یک حفاظ براى ایجاد محدودیت در دسترسى افراد بیرونى مى توانند بسته هایى را به هر کامپیوتر داخل یک سازمان ارسال کنند.

در نتیجه سازمان باید جهت امنیت همه کامپیوترهاى خود را امن سازد.

این در حالى است که با وجود یک حفاظ , مدیر مى تواند بسته هاى ورودى را فقط به یک مجموعه کوچک از کامپیوترهامحدود نماید و حتى در نهایت این مجموعه مى تواند یک کامپیوتر باشد.

اگرچه کامپیوترهاى این مجموعه باید امنیت خوبى داشته باشند ولی کامپیوترهاى دیگر ساؤمان نیازى به داشتن امنیت ندارند.
بنابراین سازمان مى تواند در هزینه هاى سازمان صرفه جویى کند زیرا نصب یک حفاظ ارزانتر از ایمن سازى همه سیستم هاى کامپیوترى تمام مى شود .
اولین مکانیزمى که براى ایجاد یک حفاظ استفاده مى شود فیلتر کردن بسته ها نام دارد .

که ما در اینجا تصمیم داریم توضیحى در مورد فیلتر کردن بسته ها بدهیم .
جنبه هاى مختلفى از امنیت وجود دارد که زمان تعریف سیاست امنیتى باید در نظر گرفته شوند.براى این منظور مجموعه مکانیزم هایى طراحى شده که جنبه هاى مختلف امنیت را در اختیار ما مى گذارند.

یکى از این روشها فیلتر کردن بسته اى مى باشد .

فیلتر کردن بسته اى ابزار مفیدى براى مدیر شبکه امنیتى است اما استفاده مفیدآن نیاز به درک کامل توانایى ها ونقاط ضعف وخصوصیات پروتوکل هایى دارد که فیلتر ها از آن استفاده مى کنند .

این مقاله توانایى فیلتر کردن بسته اى را به عنوان یک مقیاس امنیت شبکه بررسى مى کند و فیلتر کردن بسته اى IP را با روشهاى امنیتى ىشبکه مانند ورودیهاى سطح کاربرد مقایسه مى کند و نوع فیلترهاى بسته اى را توضیح مى دهد و مشخصات پروتوکل هاى کاربرد معمولى را توضیح مى دهد که به فیلتر کردن بسته اى مربوط هستند .این مقاله مشکلات اجراى فیلتر کردن بسته اى را مشخص وبررسى مىکند و بیان مى کند که چطور این مشکلات مدیر شبکه را ضعیف مى کند و راه حلهاى این مشکل را بیان مى کند .
در واقع نقطه نظر مدیر شبکه یا سایت مانند نقطه نظر تامین کننده سرویس یا فروشنده مسیریاب نیست .

به عبارتى مدیر سایت بیرون نگه داشتن بیگانه ها نسبت به خودى ها علاقه مندتر است وهدف حفظ بیگانه ها از مختل شدن و خودى ها از قرار گرفتن در معرض خدمات و داده هاست و از متزلزل شدن اقدامات امنیتى خودى ها ممانعت نمى کند .

فیلتر کردن بسته ها : گفتیم اولین مکانیزمى که براى ایجاد یک حفاظ استفاده مى شود "فیلتر کردن بسته ها " نام دارد .

بسیارى از تولیدات مسیریاب IP , فیلتر کردن بسته اى را به عنوان ابزارى جهت اصلاح امنیت شبکه پیشنهاد مى کنند .

فیلتر کردن بسته اى , ابزار مناسب ومفیدى براى مدیر شبکه امنیتى است .

یک فیلتر بسته در واقع برنامه اى است که داخل یک مسیریاب اجرا مى شود .این فیلتر شامل نرم افزارى است که مى تواند جلوى عبور بسته ها از شبکه اى به شبکه دیگر را در محل مسیریاب بگیرد .

یک مدیر شبکه باید فیلتر را به صورتى پیکربندى کند که مشخص شود کدام یک از بسته ها اجازه عبور از مسیریاب را دارند و کدام یک این اجازه را ندارند.

یک فیلتر بسته اى به این صورت عمل مى کند که حوزه هاى موجود در سرایند هر بسته را بررسى مى کند .

فیلتر را مى توان طورى پیکربندى کرد که مشخص شود کدام حوزه از سرایند را بررسى کند و مقدار هر کدام را چگونه تفسیر نماید.

به منظور کنترل اینکه کدام کامپیوتر روی یک شبکه بتواند با کامپیوتر هاى دیگر ارتباط برقرار نماید , مدیر شبکه مشخص مى کند که فیلتر باید حوزه هاى "مبدا " و "مقصد" موجود در سرایند هر بسته را بررسى نماید .

علاوه بر استفاده از آدرس هاى مبدا و مقصد فیلتر مى تواند پروتوکل داخل بسته و یا سرویس سطح بالایى که بسته به آن مربوط مى شود را نیؤ بررسى نماید .اعمال محدودیت روى بسته هاى مربوط به یک سرویس خاص به این معناست که مدیر مى تواند جلوى ترافیک مربوط به یک سرویس را گرفته و ترافیک سرویس دیگرى را آزاد گذارد .

براى مثال مدیر مى تواند فیلتر را طورى پیکربندى نماید که جلوى بسته هاى ارتباطى www را گرفته و بسته هاى مربوط به ترافیک پست الکترونیک را عبور دهد .

شکل فوق نمایش محل قرار گرفتن یک فیلتر بسته , نرم افزار فیلتر طورى پیکربندى شده است که جلوى عبور بعضى از بسته ها را از یک شبکه به شبکه دیگر مى گیرد .

با توجه به شکل فوق جهت ممانعت از ارتباط کامپیوتر با آدرس 192.5.48.27IP روى شبکه سمت راست باهر کامپیوترى از سمت چپ , مدیر مشخص مى کند که فیلتر باید جلوى همه بسته هایى که آدرس مبدا آنها 192.5.48.27 است رابگیرد و یا برای مثال اگر بخواهیم کامپیوترىبا آدرس 128.10.0.32 روى شبکه سمت چپ هیچ بسته اى از کامپیوترهاى شبکه سمت راست دریافت نکند , مدیر مشخص مى کند که فیلتر باید جلو همه بسته هایى کهآدرس مقصد آنها 128.10.0.0 را بگیرد .

علاوه بر استفاده از اینآدرسهاى مبدا ومقصد , فیلتر مى تواند پروتوکل داخل بسته و یا سرویس سطح بالایى که بسته به آن مربوط مى شود را نیز بررسى نماید .اعمال محدودیت روى بسته هایى مربوط به یک بسته خاص به این معناست که مدیر مى تواند فیلتر را طورى پیکربندى کند که جلو بسته هاى ارتباطى را مسدود و بسته هاى مربوط به ترافیک پست الکترونیک را عبور دهد .

یک مکانیزم فیلتر بسته به مدیر اجازه مى دهد تا ترکیباتی از آدرس مبدا ,آدرس مقصد و سرویس را براى ممانعت از عبور بسته ها مشخص نماید .

نرم افزار فیلتر به مدیر اجازه مى دهد تا ترکیبات بولى از مبدا ,مقصد و نوع سرویس را مشخص نماید .

براى مثال مدیر مى تواند اینطور تصمیم بگیرد که :همه ترافیک مربوط به سرویس FTP روى کامپیوتر 128.10.2.14 ممنوع شود , جلو کل ترافیک www که از کامپیوتر192.5.48.33 صادر مى شود گرفته شود و تمام نامه هاى الکترونیک کامپیوتر 192.5.48.34 نیز قطع شود .

در این صورت فیلتر فقط ترکیبات مشخص را ممنوع خواهد نمود و مابقى ترافیک شبکه براى هر کامپیوتر دیگر و در مورد هر سرویس دیگر جارى خواهد بود .

استفاده از فیلترهاى بسته اى جهت ایجاد یک حفاظ عملا یک حفاظ اینترنت حداقل از سه سیستم تشکیل شده است .یک بخش مجزاى فیلتر که دیتاگرامهاى خروجى اینترنت سازمان را محدود مى کند , بخش دیگر فیلتر بسته اى که روى دیتاگرامهاى ورودى اینترنت محدودیت ایجاد مى کند و بالاخره یک سیستم کامپیوترى ایمن داخل حفاظ که نرم افزار کاربردى را اجرا مى نماید .

شکل زیر این ساختار را نشان مى دهد .

همانگونه که در شکل مشاهده مى شود کامپیوتر میزبان مورد نظر نیز روى شبکه اى واقع شده است که به مسیریابها متصل است .

به لحاظ منطقى این کامپیوتر ایمن مابین دو فیلتر قرار گرفته ( فیلتر ها طورى پیکربندى شده اند که بسته ها به طرف کامپیوتر هدایت کنند ).

به عبارت بهتر فیلتر داخل مسیریاب R1 به صورتى پیکر بندى شده که هیچ بسته ورودى را قبول نکند به جز آنهایى که براى برنامه هاى اجرایى روى این کامپیوتر میزبان ایمن ارسال شده اند .

به طریق مشابه , فیلتر داخل مسیریاب R2 نیز به صورتى پیکربندى شده که منحصرا بسته هاى خروجى که به سمت برنامه اى روی کامپیوتر میؤبان مى روند مى پذیرند ز بنابراین تمام ارتبطات بین کامپیوترهاى داخل سازمان وشبکه اینترنتى حتما از داخل کامپیوتر مزبور عبور مى کند .

چه نرم افزارى روى این میزبان ایمن قرار دارد ؟

برنامه هایى که روى این کامپیوتر اجرا مى شوند "دروازه لایه کاربردى " ویا "پروکسى " نامیده مى شوند که یک سرویس ایمن براى اینترنت را در اختیار مى گذارد .

براى مثال فرض کنید کاربرى داخل سازمان مى خواهد با استفاده هر FTP فایلى را دریافت نماید .زمان ایجاد این درخواست توسط کاربر , نرم افزار مشترى روى کامپیوتر کاربر با یک پروکسى FTP روى میزبان ایمن تماس مى گیرد .

وقتى مشتى درخواست دریافت فایل را مى فرستد , پروکسى بررسى مى کند که طبق سیاست هاى امنیتى سازمان آیا این درخواست مجاز است و در آنصورت جهت دریافت از کارگذار روى اینترنت اقدام نموده و بعد از کنترل فایل از نظر وجود ویروس و غیره آن را به کاربر متقاضى تحویل مى نماید .

این نرم افزار همچنین ممکن است گزارشى از کل درخواستهای انجام را ثبت نماید تا بهد جهت ارزیابى هاى منیتى مورد بررسى واقع گشود .

فیلترینگ بسته اى چگونه کار مى کند هدف اساسى فیلتر کردن ممانعت از دستیابى غیر مجاز شبکه بدون مانع شدن از دسترسى مجاز به شبکه : تعریف دسترسى مجاز دسترسى غیر مجاز براى سازمانهاى مختلف متفاوت است .

یکى از اهداف فیلتر کردن این است که مکانیسم ها با توجه به عملکرد , آگاهى کاربر و آگاهى کاربردى از اقدامات امنیتى مشخص باشند .

هدف بعدی این است که مکانیسم هاى مورد استفاده پیکربندى ونگهدارى , ساده باشند واین احتمال را افزایش دهند که خط مشى درست و کامل اجرا مى شود .

فیلترینگ بسته اى مکانیزمى جهت امنیت شبکه است ولى استفاده مفید آن نیاز به درک کامل توانایى ها و نقاط ضعف وخصوصیات پروتوکلهای مورد استفاده فیلترها دارد .

چند فاکتور تحقق این خط مشی ها را با استفاده از فیلتر کردن شرایط نا متقارن , شرایط مختلف براى گروههاى مختلف داخلى و خارجى ماشینها , خصوصیات مختلف پروتوکلهاى ویژه , خدمات وتحقق این پروتوکل ها و خدمات پیچیده از فیلتر کردن بسته اى استفاده مى کنند .

شرایط دستیابى نا متقارن با این ویژگى به وجود مى آید که سازمان مى خواهد سیستم هاى داخلى اش , دسترسى بیشترى به سیستمهاى خارجى داشته باشند .

وقتى شرایط مختلف به وجود مى آید که سازمان مى خواهد گروههاى ماشینهایش دسترسى مختلفى به شبکه نسبت به دیگر گروههاى ماشین داشته باشند .

یک سازمان دسترسى شبکه اى کمتر یا بیشترى نسبت به حد معمول با مشترى کلیدى داشته باشد و دسترسى شبکه اى کمترى نسبت به حد معمول با یک دانشکده محلى داشته باشد .

روشهاى معمول فیلتر کردن بسته اى براى امنیت شبکه شامل تامین دسترسى شبکه اى براى ماشین و استفاده از گیتهاى کاربردى است .

دسترسى شبکه اى بر مبناى "همه – هیچى " هر ماشین را ایمن مى سازد و دسترسى شبکه اى غیر مفیدى دارد .

برخى سایتها ,منابعى براى تامین و کنترل هر ماشین دارند که نیاز به دسترسى شبکه اى تصادفى دارد .

گیتهاى کاربردى AT&T وشرکت تجهیزات دیجیتالى و چند سازمان , غیر عملى هستند چون نیاز به میزبان داخلى تغییر نسخه هاى کاربردها (مانند ftp,telnet ) براى دستیابى به میزبانهاى خارجى هستند .

در صورتى که نسخه تغییر یافته کاربردى , براى یک میزبان داخلى خاص وجود نداشته باشد کاربران میزبان نمى توانند به گیتهاى کاربردى گذشته برسند .

حال باید این موضوع را بررسى کنیم که فیلترینگ بسته اى به چه صورتى کار مى کند .براى بررسى این موضوع ابدا باید بررسى کنیم که مبناى تصمیمات فیلترهاى بسته اى چیست ؟

تحققات فیلترینگ بسته اى IP به این صورت است که آنها , عناوین یک بسته را تجزیه مى کنند و بعد از قوانین یک اصل ساده براى تعیین مسیر استفاده مى کنند .

اغلب حوزه هاى عناوین فیلتر , از نوع بسته اى UDP,TCP) ) آدرس IP منبع , آدرس مقصد IP و ورودى مقصد TCP/UDP یکى از حوزه هاى موجود نیست .

علاوه بر اطلاعات موجود در عناوین