فایروال چیست ؟
فایروال میتواند به صورت یک تجهیز سخت افزاری یا نرمافزاری باشد . وظیفه فایروال کنترل ترافیک عبوری است
در واقع میتوان گفت طراحان شبکه فایروال را به نوعی در شبکه قرار میدهند که تمامی ترافیکهای شبکه از آن عبور کند تا بتوانند آن ترافیک ها را بررسی کنند
از جمله مهمترین ترافیکهای شبکه میتوان به ترافیک شبکه به سمت اینترنت و یا از اینترنت به سمت شبکه داخلی اشاره کرد همچنین ترافیکهایی که مقصد آن ها سرورهای شبکه است از مهمترین ترافیک ها به شمار می آیند
جهت بررسی دقیق این ترافیکها از اولین قابلیت فایروال یعنی اکسس لیست استفاده می شود
اکسس لیست چیست ؟
نوعی لیست با نام Access List یا لیست دسترسی ها وجود دارد با تنظیم این لیستها میتوانیم مشخص کنیم کدام کلاینتها با کدام سرورها چه ارتباطی داشته باشد مثلاً کلاینتها نتوانند سرورها را پینگ کنند اما سرورها این امکان را داشته باشند یا بگوییم کلاینتها به غیر از مدیر شبکه امکان ریموت زدن به سرورها را نداشته باشد در واقع وظیفه اصلی فایروال اعمال همین بایدها و نبایدهاست که به آنها پالیسی گفته میشود
به غیر از بحث لیست دسترسیها که در فایروالها راهاندازی میکنیم دو جزء دیگر نیز در فایروال وجود دارد که به آن ها IPS و IDS گفته می شود
IDS چیست ؟
IDS مخفف عبارت Intrusion Detection System است . وظیفه اصلی ids تشخیص حملات و نفوذ است . در واقع با بررسی و تحلیل ترافیک های عبوری از فایروال حملات را شناسایی می کند .
روش های شناسایی حملات که توسط ids استفاده می شود چیست ؟
معروف ترین روش شناسایی حملات در ids استفاده از Signature-based detection است . Signature در واقع سورس حمله است که در فایروال آپلود می کنیم و فایروال روش آن حمله را فرا می گیرد. این روش شبیه به واکسیناسیون عمل می شود . در واقع واکسن یک بیماری , میکروب ضعیف شده یا کشته شده است که به بدن افراد تزریق می شود تا سیستم ایمنی الگوی ویروس را شناسایی و برای تهاجم های بعدی آماده باشد
هم اکنون در فایروال ها بیش از 20,000 Signature وجود دارد .
روش دیگر برای شناسایی حملات Anomaly-Based Detection است . واژه Anomaly به معنی غیر طبیعی یا غیر نرمال است . شناسایی با استفاده از این روش کمی دشوار است . برای استفاده از این قابلیت می توانید کل ترافیک هایی که به نظر شما مورد تایید هستند را شناسایی و غیر از آن را بلاک کنید . در این روش امکان خطا وجود دارد .
نکته : دقت کنید که در IDS می توان چندین روش را همزمان استفاده کرد و IDS فقط برای تشخیص نفوذ است نه جلوگیری از آن . در واقع IDS شبیه کمک داور فوتبال عمل می کند . یعنی در صورتیکه تخلفی در زمین فوتبال مشاهده کند به داور اصلی اطلاع می دهد . IDS نیز در صورت تشخیص نفوذ موضوع را به IPS اطلاع می دهد
IPS چیست ؟
IPS مخفف Intrusion Prevention System است
وظیفه IPS جلوگیری از حملات است . در واقع گزارش حملاتی که توسط IDS تشخیص داده شود به دست IPS خواهد رسید و IPS واکنش نشان می دهد . اینکه IPS چه واکنشی نشان دهد بستگی به تنظیمات ما دارد . ممکن است IPS فقط از حملات جلوگیری کند یا ممکن است آدرس IP شخصی که حمله کرده است را به مدت زمانی معلومی بلاک کند . تصویر بالا به خوبی وظیه IPS و IDS و همکاری آن ها با یکدیگر نمایش می دهد
توپولوژی استفاده از IDS و IPS :
مد پسیو و اکتیو چیست ؟ اگر یک دستگاه به صورت مستقیم در روند انتقال اطلاعات قرار گیرد و عبور ترافیک در شبکه منوط به رد شدن از آن دستگاه باشد , آن دستگاه به صورت اکتیو در شبکه جایگذاری شده است . مانند تصویر اول که IPS به صورت اکتیو بسته شده است و اگر غیر از این باشد مانند IDS که در تصویر مشاهده می کنید مد پسیو است
اگر از مد پسیو در شبکه استفاده شود ترافیک ها به صورت پیش فرض از آن دستگاه عبور نمی کنند و آن دستگاه از ترافیک های شبکه بی اطلاع خواهد ماند برای همین جهت قرار دادن یک دستگاه به صورت پسیو از پورت Span بر روی سوییچ استفاده می کنیم