الفصل العاشر CHAPTER 10 جدران النار FIREWALLS مبادئ تصميم جدران النار Firewall Design Principles خصاي ص جدار النار Firewall Characteristics أنواع جدران النار Types of تهيي ات جدار النار Firewall Configurations مقدمة: يمك ن أن تك ون ج دران الن ار () وس اي ل فعال ة ف ي حماي ة أي نظ ام محل ي أو ش بكة أنظم ة م ن المهددات الا منية المعتمدة على الشبكات threats) (Network-based security في ح ين أنه ا ف ي نف س الوق ت تتحم ل م سي ولية الوص ول إل ى الع الم الخ ارجي عب ر ش بكات ال Networks) (Wide Area (WANs) و آذلك عبر شبكة الا نترنت. مبادئ تصميم جدران النار ) Principles :( Firewall Design مرت أنظمة المعلومات ف ي ال شرآات و الوآ الات الحكومي ة و المنظم ات الا خ رى بتط ور ثاب ت آم ا ه و مبين أدناه : نظ ام معالج ة البيان ات المرآزي ة system) (Centralized data processing و ال ذي يحت وي عل ى حاس ب ض خم مرآ زي mainframe) (central ي دعم العدي د م ن الطرفي ات (terminals) المتصلة مباشرة. ال شبكات المحلي ة (LANs) و الت ي ت زود ب ربط داخل ي لا جه زة الحاس وب الشخ صية (PCs) و الطرفيات مع بعضها البعض و آذلك مع ال.(mainframe) ال شبكة الفرض ية network) (Premises و تتك ون م ن ع دد م ن ال (LANs) و ت زود ب الربط الداخلي لكل من ال (PCs) و ال (servers) و ربما ال (mainframe) أو آليهما. ش بكة الم شروع الع ريض network) (Enterprise-wide وتتك ون م ن العدي د م ن ال networks) (promises الموزع ة جغرافي ا و المت صلة داخلي ا ع ن طري ق ش بكات ال وان الخاص ة.(Private Wide Area Network) (Premises networks) ال و فيه ترتبط العديد م ن (Internet connectivity) ربط الا نترنت عن طريق الا نترنت و هي قد تتصل أو قد لا تتصل ب WAN).(private Internet-based أهداف جدار النار aims) :(Firewall.(Establish a controlled link) يو سس إرتباط يمكن التحكم به يحم ي ال network) (premises م ن الهجم ات المعتم دة عل ى الا نترن ت ).(attacks. (single choke point) يزود بنقطة اختناق خصاي ص جدار النار ) Characteristics :( Firewall الا هداف التصميمية Goals) :(Designing هناك مجموعة من الا هداف التصميمية لل () يمكن سردها فيما يلي : 1- آ ل عملي ات الم رور (traffic) م ن ال داخل إل ى الخ ارج و العك س يج ب أن تم ر عب ر ال.(Firewall) ويمك ن إنج از ه ذا المفه وم ع ن طري ق المن ع الفيزي اي ي (blocking) لك ل عملي ات الوصول للشبكة المحلية إلا عبر ال.(Firewall) Prepared by : Abdulfattah Almashreqi 1
) ال (traffic) الم صرح ل ه ) آم ا ه و مع رف ف ي سياس ة ال سرية المحلي ة ( ه و فق ط م ن سي سمح ل ه ب المرور. هن اك أن واع عدي دة م ن ال () الم ستخدمة و الت ي تنف ذ أن واع مختلف ة م ن سياسات السرية policies).(security يك ون ال (Firewall) ذات نف سه مح صنا ض د عملي ات الا خت راق.(penetration) و ه ذا يقت ضي إستخدام نظام موثوق به system) (Trusted مع نظام تشغيل ا من O.S.).(Secure -2-3 تقني ات ج دار الن ار الم ستخدمة لل تحكم بالوص ول وف رض سياس ات ال سرية ) techniques Firewall :(used to control access and enforce security policy هناك أربع تقنيات عامة تستخدمها ال () للتحكم بالوصول و تمكين سياس ات ال سرية المعرف ة م ن قبل موقع معين و سنشرحها فيما يلي: -1 خدمة التحكم control) :(Service و هي خدمة تحدد أنواع خدمات الا نترن ت services) (Internet الت ي يمك ن الوص ول إليه ا. حي ث يقوم ال (Firewall) بعمل تنقية لل (traffic) اعتمادا على عنوان ال (IP) و آ ذلك رق م ال ) TCP port أو ق د ي زود ال (Firewall) ببرمجي ة (Proxy) مهمته ا اس تقبال و تف سير آ ل طل ب م ن طلبات الخدمة قبل تمري ره أو ق د يست ضيف ال (Firewall) برمجي ة ال (Server) نف سها آم ا ه و الحال في خدمات ال (Web) و البريد الا لكتروني.(E-mail) -2 التحكم بالاتجاه control) :(Direction و هي تقنية تحدد الاتجاه الذي يمكن أن تبدأ طلب ات خدم ة معين ة ب سلوآه حي ث ي سمح له ا ب المرور عبره لاجتياز ال (Firewall). -3 التحكم بالمستخدم control) :(User و هي تقنية الغ رض منه ا ال تحكم بالوص ول إل ى الخدم ة اعتم ادا عل ى ماهي ة الم ستخدم ال ذي يح اول الوصول إليها. و هذه الميزة تطبق أيضا على المستخدمين الموج ودين عل ى حاف ة ال (Firewall) ) أو م ا نطل ق عل يهم بالم ستخدمين المحلي ين). يمك ن أن تطب ق أي ضا عل ى ال (traffic) الق ادم م ن المستخدمين الخارجيين و هنا قد يتطلب الا مر وجود تكنولوجيا التحقق الا من. -4 التحكم بالسلوك control) :(Behavior و ت تحكم ه ذه التقني ة بكيفي ة اس تخدام الخ دمات. م ثلا ق د يق وم ال (Firewall) بعم ل تنقي ة للبري د الا لكتروني (E-mail) للتخلص من الرساي ل الغير حقيقية أو أن ال ) (Firewall ق د يق وم بتمك ين الوصول الخارجي فقط لجزء من المعلومات على خادم وب محلي. مقدرات جدار النار Firewall) :(Capabilities of 1- يمكن لل (Firewall) أن يعرف نقطة اختناق point) (Choke و هي تح تفظ بالم ستخدمين الغي ر م صرح له م بالوص ول بعي دا ع ن ال شبكة المحمي ة و تمن ع الخ دمات اله شة م ن دخ ول أو مغ ادرة ال شبكة و ت زود بالحماي ة ض د الا ن واع المختلف ة لهجم ات ال ) IP ( مث ل التزوي ر ف ي بروتوآ ول الا نترن ت spoofing) (IP أو تغيي ر م سار بروتوآ ول الا نترن ت routing).(ip إن اس تخدام point) (choke وحي دة يب سط عملي ة إدارة ال سرية management) (security و ذل ك لا ن إمكانيات السرية مدعومة سواء في نظام وحيد أو مجموعة من الا نظمة. 2- يزود ال( Firewall ) بموقع لمراقبة الا حداث التي لها علاقة بال سرية. يمك ن تنفي ذ مراجع ة و ت دقيق الحسابات (Audits) و آذلك أجراس الا نذار (Alarms) على نظام ال.(Firewall) 3- يع د ال (Firewall) بيي ة ملاي م ة للعدي د م ن وظ اي ف الا نترن ت functions) (Internet الت ي له ا علاقة بالسرية. من الا مثلة على ذلك : Prepared by : Abdulfattah Almashreqi 2
*مترجم عن وان ال شبكة translator) (Network address و ال ذي ي ربط ف ي ش كل ج دول آ لا من العناوين المحلية addresses) (Local و عناوين الا نترنت addresses).(internet * و وظيف ة إدارة ال شبكة function) (Network management و الت ي تق وم بالمراجع ة أو التدقيق و الدخول في استخدام الانترنت. يمكن أن يعمل ال (Firewall) آبيي ة لسرية بروتوآول الانترن ت (IPSec). حي ث أن ه باس تخدام ال mode) (Tunnel الذي شرحناه ف ي الف صل ال سادس يمك ن لل (Firewall) تنفي ذ ش بكة إفتراض ية خاصة network).(virtual private -4 محدوديات (أوجه القصور) في جدار النار limitations) :(Firewall 1- لايمك ن لل (Firewall) أن ي زود بالحماي ة ض د تل ك الهجم ات الت ي اجت ازت ج دار الن ار. ق د تمتل ك الا نظمة الخارجية خاصية ال (Dial-out) للاتصال بم زود خدم ة الا نترن ت.(ISP) يمك ن أن ت دعم شبكة ال (LAN) الداخلية ب pool) (modem للتزويد بخاصية ال (Dial-in) للموظفين المتنقلين. 2- لا يزود ال (Firewall) بالحماية ض د المه ددات الداخلي ة مث ال عل ى ذل ك الهجمه ات الت ي يتع اون فيها الموظفون الساخطون من داخل المو سسة مع مهاجمين خارجيين. 3- لا يزود ال (Firewall) بالحماية ضد انتقال البرامج أو الملفات المعدية بالفيروسات. و قد يكون م ن غير العمل ي و ربم ا م ن الم ستحيل عل ى ال (Firewall) أن يفح ص آ ل الملف ات, و الا يم يلات و الرساي ل القادمة من أجل التا آد من وجود فيروسات و لعل السبب في ذل ك وج ود العدي د م ن أنظم ة التشغيل و التطبيقات المدعومة داخل نطاق ال.(Firewall) أنواع جدران النار( :(Types of هناك ثلاثة أنواع شاي عة من جدران النار وهي : 1. مسيرات تنقية الحزمة routers).(packet-filtering 2. بوابات المستوى التطبيقي gateways).(application-level 3. بوابات على مستوى الداي رة gateways).(circuit-level النوع الا ول : مسيرات تنقية الحزمة routers) :(Packet-filtering - تقوم بتطبيق مجموعة من القواعد على آل packet) (IP قادمة و من ث م إرس ال ه ذه ال (packet) أو التخلي عنها. - يتم تهيي ة ال (router) بحيث يقوم بعمل تنقية لل (packets) المرسلة في آلا الاتجاهين ) م ن و إل ى الشبكة الداخلية ). - تعتمد قواع د التنقي ة rules) (Filtering عل ى مطابقته ا ل بعض الحق ول ف ي ال header) (IP و ال header) (TCP حيث يتم نداء تلك ال (rule) لتحدي د فيم ا إذا آ ان يج ب إرس ال ال (packet) أو التخلي عنها. من الا مثلة على هذه الحقول : 1. عنوان بروتوآول الانترنت للمصدر address).(source IP 2. عنوان بروتوآول الانترنت للوجهة address).(destination IP 3. حق ل بروتوآ ول الانترن ت field) (IP protocol و ه ذا الحق ل يع رف بروتوآ ول النق ل.(Transport protocol) 4. رقم ال (port) لل (TCP) أو لل (UDP) و هو يع رف التطبي ق مث ل بروتوآ ول SNMP أو.TELNET - إذا لم يكن هناك أي تطابق مع أي (rule) فسيتم حينه ا إتخ اذ ح دث إفتراض ي action) (default هناك سياستان افتراضيتان ممكنتان هما: Prepared by : Abdulfattah Almashreqi 3
سياسة التخلي discard) (default = : و تعني ما لم ي سم ح له بشكل واضح فا نه ي من ع. سياسة الا رسال forward) (default = : و تعني ما ل م ي من ع ب شكل واض ح ف سيتم ال سماح له..1.2 خصاي ص ال discard) :(default محافظة أآثر حيث ي تم عم ل (blocking) لك ل ش ي و يج ب إض افة الخ دمات عل ى قاع دة case-) -.(by-case مري ية أآثر بالنسبة للمستخدمين حيث من الراجح انهم يرون جدار النار آالعاي ق. - خصاي ص ال forward) (default : تزيد من سهولة الاستخدام بالنسبة لل users).(end - يمنح سرية أقل. - مزايا مسيرات تنقية الحزمة Router) :(Advantages of Packet-Filtering البساطة.(Simplicity) - الشفافية بالنسبة للمستخدمين users).(transparency to - السرعة العالية speed).(high - مساوئ مسيرات تنقية الحزمة Router) :(Disadvantages of Packet-Filtering صعوبة وضع قواعد تنقية الحزمة rules).(difficulty of setting up packet filter - نقص التحققية Authentication).(Lack of - Prepared by : Abdulfattah Almashreqi 4
الهجم ات المحتمل ة و الا ج راءات الم ضادة المناس بة ) appropriate Possible attacks and :(countermeasures الهجمة الا ولى : التزوير في عنوان بروتوآول الانترنت spoofing) :(IP address - يقوم الدخيل (intruder) با رسال ال (packets) م ن الخ ارج بحي ث يحت وي حق ل ال ) IP source (address على عنوان host داخلي. - يطمح ال attacker أن يكون استخدامه للعنوان المزور سيسمح له باختراق الا نظمة الت ي تك ون فيه ا سرية بسيطة على ال address).(source - و الا ج راء الم ضاد ف ي ه ذه الحال ة ه و التخل ي ع ن ال (packets) الت ي تحت وي عل ى ) source (address داخلي في حال أن هذه ال (packet) قادمة من (interface) خارجية. الهجمة الثانية : هجمات تسير المصدر attacks) :(Source routing - تقوم ال station) (source بتحديد المسار الذي يجب عل ى ال (packet) س لوآه عن د مروره ا ف ي الا نترن ت عل ى أم ل أن ذل ك س يتجاوز إج راءات ال سرية الت ي لا تق وم بتحلي ل معلوم ات ت سيير ال.(source) - الا جراء المضاد في هذه الحالة هو التخلي عن آل ال (packets) التي تستخدم هذا الخيار. الهجمة الثالثة : هجمات الجزء الصغير جدا attacks) :(Tiny fragment - يستخدم ال (intruder) خي ار تجزي ة ال (IP fragmentation option) IP و ذل ك بغ رض تولي د (packet fragment) ف ي (TCP header) ال معلوم ات و جع ل ج دا ص غيرة (fragments) منفصل. - ه ذه الهجم ة ص ممت لمراوغ ة قواع د التنقي ة rules) (Filtering و الت ي تعتم د عل ى معلوم ات ال.(TCP header) - يطم ح ال (Attacker) أن ال router) (Filtering س يقوم فق ط باختب ار أول (fragment) بينم ا ستمر بقية ال (fragments) دون اختبار. - الا جراء المضاد في هذه الحالة هو التخلي عن آل ال (packets) الت ي يك ون ن وع البروتوآ ول فيه ا هو ال (TCP) و ازاحة ال fragment) (IP له مساوية للواحد الصحيح. النوع الثاني : بوابات المستوى التطبيقي gateways) :(Application-level - يسمى أيضا بال server) (proxy و يعمل آناقل لمرور المستوى التطبيقي ) Application-level.(traffic - يتصل المستخدم بال (gateway) باستخدام تطبيق من تطبيق ات ال (TCP/IP) مث ل ال (Telnet) أو ال.(FTP) - تطلب ال (gateway) من المستخدم إدخال اسم ال (host) البعيد المراد الوصول إليه. - عن دما ي ستجيب الم ستخدم بتزوي ده لل (UserID) و معلوم ات التحق ق ال صحيحة ف ا ن ال (gateway) تتصل بالتطبيق الموجود على ال (host) البعيد و تنقل أجزاء ال (TCP) الت ي تحت وي على بيانات التطبيق بين النهايتن الطرفيتين. - إذا لم تقدم ال (gateway) شفرة ال (proxy) لتطبي ق مح دد ف ا ن الخدم ة ل ن تك ون مدعوم ة و ل ن يتم إرسالها عبر ال.(Firewall) Prepared by : Abdulfattah Almashreqi 5
مزايا بوابات المستوى التطبيقي gateways) :(Advantages of Application-level - أآثر سرية من النوع السابق filters).(higher security than packet - يحتاج فق ط للفح ص ال دقيق للقلي ل م ن التطبيق ات الم سموحة( Only need to scrutinize a few.(allowable applications - م ن ال سهل ت سجيل و ت دقيق آ ل الم رورات القادم ة ) incoming Easy to log and audit all.(traffic مساوئ بوابات المستوى التطبيقي gateways) :(Disdvantages of Application-level - الحاجة إلى زيادة معالجة إضافية لكل إرتب اط ) each Additional processing overhead on.(connection (gateway as splice point) النوع الثال ث : بوابات على مستوى الداي رة gateways).(circuit-level (stand-alone أو وظيف ة مخص صة يمك ن أن يك ون ه ذا الن وع نظام ا م ستقلا system) -.(Application-level Gateway) يتم إنجازها بواسطة (specialized function) لا يسمح بارتباطات ال TCP) (end-to-end و بدلا عن ذلك يقوم بوض ع اثن ين م ن ارتباط ات ال - :(TCP) أحدهما بين ال (gateway) نفسها و مستخدم ال (TCP) على ال (host) الداخلي. و الا خر بين ال (gateway) نفسها و مستخدم ال (TCP) على ال (host) الخارجي. عن دما ي تم إن شاء ه ذين الارتب اطين ف ا ن ال (gateway) س تقوم بنق ل ال segments) (TCP م ن - ارتباط إلى ا خر دون فحص المحتويات. تكون وظيفة السرية هنا هي تحديد أي من الاتباطات سيسمح لها. - يستخدم هذا النوع في حالة أن يكون مدير النظام واثقا من المستخدمين الداخليين. - من الا مثلة عليه ال package).(socks - Prepared by : Abdulfattah Almashreqi 6
مضيف الحصن host) :(Bastion - و هو نظام معرف من قبل مدير ال (Firewall) آنقطة حرجة قوية في سرية الشبكة. - يعمل ال host) (Bastion آبيي ة لا ي م ن ال gateway) (application-level أو ال circuit-).(level gateway إعداد جدار النار configuration) :(Firewall - بالا ض افة إل ى اس تخدام التهيي ة الب سيطة لنظ ام وحي د ) or single packet filtering router (single gateway فا ن هناك أنواع تهيي ة أآثر تعقيدا. - سنتطرق هنا إلى أآثر ثلاثة تهيي ات شيوعا : التهيي ة الا ولى : ال host) :Screened host firewall system (single-homed bastion - يتكون ال (Firewall) من نظامين : (*) ال router).(packet-filtering (*) ال host).(bastion - يتم تهيي ة ال (router) بحيث : 1. فيم ا يخ ص ال (traffic) الق ادم م ن الانترن ت ي سمح فق ط لل packets) (IP المخص صة لل.(Bastion host) 2. فيم ا يخ ص ال (traffic) م ن ال شبكة الداخلي ة ي سمح فق ط لل packets) (IP القادم ة م ن ال.(Bastion host) - يقوم ال host) (Bastion با نجاز عمليات ال (authentication) و ال functions).(proxy - السرية هنا أفضل مما هو عليه الحال في ال configuration) (single و ذلك لسببين: 1. أن هذا ال (configuration) ينف ذ آ لا م ن ال filtering) (packet-level و ال application-) (level filtering و يسمح بالمرونة عند تعريف سياسة السرية. 2. يجب على ال (intruder) بشكل عام أن يخترق نظامين منفصلين. - أيضا تتوافر هنا المرونة في تزويد الوصول المباشر إلى الا نترنت ) خادم المعلومات العام مثل ال web.(server Prepared by : Abdulfattah Almashreqi 7
التهيي ة الثانية : ال host)) :(Screened host firewall system (dual-homed bastion - لا يفضح ال router) (packet-filtering بشكل آامل. - يجب أن يتدفق ال (traffic) بين الانترنت و ال (hosts) الا خرين في الشبكة الخاصة عب ر ال ) Bastion.(host التهيي ة الثالثة : ال system) :(Screened-subnet firewall - أآثر الثلاثة ال (configurations) أمنا. - يتم استخدام اثنين من ال routers).(packet-filtering - يتم توليد شبكة جزي ية (sub-network) معزولة. مزايا هذا النوع :.(intruders) يوجد ثلاثة مستويات من الحماية لا حباط ال يعل ن ال (router) الخ ارجي ف ي الانترن ت فق ط ع ن وج ود ال subnet) (screened بمعن ى أن الشبكة الداخلية تكون غير مري ية على شبكة الانترنت. يعلن ال (router) الداخلي في الشبكة الداخلية فقط عن وج ود ال subnet) (screened بمعن ى أن الا نظمة على الشبكة الداخلية لا يمكن أن تنشي مسارات مباشرة إلى شبكة الانترنت. Prepared by : Abdulfattah Almashreqi 8