انواع فایروال‌ های امنیتی در شبکه سازمان‌

از جمله مهم ترین و حساس ترین اقداماتی که مدیران شبکه سازمان ها باید انجام دهند ایجاد امنیت زیرساخت IT سازمان می باشند. چرا که در صورت افزایش امنیت می توان به راحتی و با خیالی آسوده به امور جاری سازمان پرداخت. همچنین در صورت قصور در ایجاد زیرساخت های امنیتی بسیار قوی در سازمان ها و نفوذ هکرها، این حملات می توانند به درز و افشای اطلاعات سازمان منجر شده و این امر سبب وارد آمدن خسارت های جبران ناپذیری به سازمان ها می شود. در بخش های گذشته به مفهوم فایروال پرداختیم و بیان کردیم که فایروال ها اولین دفاع کنندگان در برابر نفوذ هکرها، باج افزارها، بد افزارها و همچنین ویروس ها بوده اند. بیان کردیم فایروال ها می توانند سخت افزاری و یا نرم افزاری باشند.

با انواع فایروال ها چون Access Control Lists, Proxy firewalls, Stateful inspection و UTM ها آشنا شدیم و ویژگی های این دو نوع را بررسی کردیم. در این نوشته که آخرین نوشته از سری نوشته های بررسی انواع فایروال‌ها در شبکه سازمان‌ می باشد به بررسی دو نوع آخر فایروال ها خواهیم پرداخت.

با ورود سیستم های کامپیوتری به ادارات و سازمان ها و لزوم استفاده از شبکه های کامپیوتری حملات به امنیت سازمان‌ها نیز آغاز شد. سیستم های قدیمی امنیت و تکنولوژی حملات جدید چالش‌هایی هستند که ادرات و سازمان ها با آن روبه‌رو شدند. امروزه اطلاعات(داده ها) از مهم‌ترین و اصلی ترین دارایی‌های یک سازمان محسوب میشوند. در گذشته های نه چندان دور حفاظت از اطلاعات و داده ها بسیار آسانتر بود. تمامی اطلاعات و داده‌ها به‌صورت فیزیکی و به‌طورکلی دستی و مکتوب در صندوق‌هایی محافظت می‌شدند و افرادی به عنوان نگهبان از این اطلاعات محافظت فیزیکی می‌کردند. به‌این‌ترتیب امنیت داده‌ها و اطلاعات درگذشته تأمین می‌شد. می‌توان گفت از همان زمان سرقت داده‌ها بوده است. اکنون‌که دنیای داده‌ها و اطلاعات از آنالوگ به دیجیتال تغییر کرده است، شیوه سرقت و به‌طورکلی انواع تهدیدات نیز با آن تغییر کرده‌اند.

انواع حملات :

حملات فعال (Active):در این نوع از حملات، حمله‌کننده به طور مستقیم حملاتی را روی سرورهای سازمان صورت میدهد و چون حملات به صورت آشکار انجام میگیرد به راحتی قابل مشاهده و مانیتورینگ است. از راهکار های مقابله با این حملات میتوان از راه اندازی فایروال‌ها (نرم افزاری و سخت افزاری) و همچنین سیستم‌های IPS نام برد.

حملات غیر فعال:(Passive) این حملات در مقابل امنیت شبکه سازمان می‌باشند که با هدف شناسایی شبکه، شخص نفوذ کننده اقدام به مانیتورینگ شبکه سازمان می‌کند. از آنجاییکه در این حمله نفوذ کننده هیچ گونه فعالیت خرابکارانه ای انجام نمیدهد تشخیص این نوع از حملات بسیار سخت و دشوار می باشد. برای نمونه یکی از انواع حملات Passive آن است که نفوذ کننده اقدام به Capture کردن بسته‌های شبکه داخلی سازمان می‌کند. نکته امیدوار کننده اینکه این نوع از حملات به آسانی و با رمزنگاری صحیح در زیرساخت شبکه قابل پیشگیری باشد.

حملات داخلی:(Close-in) در این نوع از حملات نفوذ کننده به صورت فیزیکی به سیستم ها دسترسی پیدا میکند. متاسفانه با دسترسی فیزیکی به سیستم‌ها تقریبا شخص نفوذ کننده کارهای بسیاری را میتواند انجام دهد وخسارت‌های جبران‌ناپذیری به سازمان وارد کند. راه مناسب و منطقی مقابله با این نوع از حملات تأمین امنیت فیزیکی سیستم ها و سرورها است.

حملات خودی (Insider):این نوع حملات به شبکه معمولا توسط کاربران داخلی سازمان ها که دسترسی‌هایی به سیستم‌ها و ازلاعات دارند انجام میگیرد. سطح دانش و آگاهی این کاربران از شبکه های کامپیوتری به‌طوری است که می‌توانند به سیستم‌ها نفوذ کنند. راهکار جلوگیری از این نوع حملات امنیت در لایه۲ و تمرکز بر روی (Authentication)تصدیق هویت میباشد ضمن اینکه امنیت فیزیکی بایدبه‌طور کامل تأمین شود.

جدیدترین نوع فایروال THREAT-FOCUSED NGFW :

• این نوع از فایروال ها علاوه بر دارا بودن قابلیت‌ها و امکانات فایروال های Next Generation دارای تشخیص پیشرفته تهدیدها می باشند. با استفاده از Threat-focused NGFW شما می‌توانید کارهای زیر را انجام دهید.
• کاهش شدید زمان تشخیص تا پاک‌سازی: با استفاده از retrospective Security که می‌تواند به‌طور مداوم به مانیتورینگ فعالیت‌ها و رفتارهای مشکوک حتی پس از تشخیص اولیه می‌پردازد
• تشخیص بهتر فعالیت‌های مشکوک با استفاده از تطبیق رویدادهای شبکه و endpoint
• مدیریت بسیار آسان فایروال های Threat-focused Next Generation در زیرساخت امنیت شبکه سازمان ها
• سازگاری کامل با تهدیدات جدید: پشتیبانی از به‌روزرسانی‌های دوره‌ای جهت گرفتن اطلاعات تکنیک‌های جدید به‌منظور رفع مشکلات و تهدیدهای آینده شبکه‌های کامپیوتری در سازمان ها.

یکی از مهم‌ترین فاکتورهایی که هنگام تهیه فایروال‌ها باید به ان توجه کرد: throughput که جزء مهمی از اجزاء یک فایروال می‌باشد می‌تواند به‌عنوان یک Backup از ان استفاده کرد. همچنین بیشترین تفاوتی نیز که بین فایروال‌های سخت‌افزاری و نرم‌افزاری بیان می‌شود همین throughput می‌باشد که در فایروال‌های سخت‌افزاری از میزان بیشتری برخوردار است. البته با استفاده از کارت‌های شبکه بسیار قوی شما می‌توانید به‌راحتی با استفاده از فایروال‌های نرم‌افزاری نیاز سازمان خود را برطرف کنید.

همان‌طور که از نام UTM ها این نوع فایروال‌ها از تجمیع Stateful inspection firewall, antivirus و IPS در یک Appliance ایجاد می‌شوند. در طول زمان تعریف UTM گسترش‌یافته و به آن ویژگی‌های جدید امنیت شبکه نیز اضافه‌شده است. باید دانست که موفقیت UTM ها به خاطر استفاده مؤثر از تصمیماتی که بر اساس تمامی ویژگی‌های Stateful inspection-based firewall گرفته می‌شود می‌باشد. این به خاطر اجزا UTM می‌باشد درحالی‌که در یک دیوایس هستند، Downstream Security Services می‌باشند. بنابراین می‌توان گفت که Unified Treat Management ها ویژگی‌های امنیتی زیادی فراهم می‌کنند درحالی‌که در یک محصول می‌باشند.

نحوه ی عملکرد فایروال شبکه امنیتی

فایروال یک دستگاه شبکه ای است که بسته هایی را که در شبکه ها وارد می شوند و یا از آنها خارج می شوند نظارت می کند و با توجه به قوانینی که برای مشخص کردن آنچه که در ترافیک شبکه مجاز است تصمیم میگیرد.انواع مختلفی از فایروال ها وجود دارد که در طول سال ها توسعه یافته اند، به طور مداوم پیچیده تر شده و پارامترهای بیشتری را در هنگام تعیین اینکه آیا ترافیک مد نظر باید اجازه عبور در شبکه را داشته باشد یا خیر، در نظر گرفته میشود.ابتدایی ترین کار فایروال ها فیلتر بسته ها در شبکه هست، اما جدیدترین شان قابلیت های فراوانی دارند.در ابتدا جایگاهشان در مرز بین شبکه های مورد اعتماد و غیر قابل اعتماد بود، اما هم اکنون برای حفاظت از بخش های داخلی شبکه ها، از قبیل مراکز داده، از بخش های دیگر شبکه سازمان، مورد استفاده قرار میگیرند.

فایروال ها سنگر اصلی دفاعی برای اکثر سازمان هایی محسوب میشوندکه درگیر شرایطی مانند: استفاده از پروکسی، برنامه نویسی، برنامه های تحت وب و … هستند.فایروال ها در حدود سه دهه هست که همراه ما هستند، با این وجود آنها به شدت تکامل یافته و شامل ویژگی هایی هستند که به عنوان آپشن جداگانه مورد فروش قرار میگیرند. این فایروال ها به عنوان دروازه بین کاربرانی که برای اطلاعات درخواست دارند عمل می کنند که داده ها و منبع اطلاعاتی آن هاررا مورد بررسی قرار میدهد. دستگاه های میزبان به پروکسی متصل می شوند و پروکسی یک اتصال جداگانه به منبع داده می کند.در پاسخ، دستگاههای منبع، اتصالات به پروکسی را ایجاد می کنند و پروکسی یک اتصال جداگانه به دستگاه میزبان ایجاد می کند. قبل از انتقال بسته ها به یک آدرس مقصد، پروکسی می تواند آنها را برای اجرای سیاست ها و ماسک کردن محل دستگاه گیرنده فیلتر کند.نکته مثبت فایروال های مبتنی بر پروکسی این است که دستگاه های خارج از شبکه محافظت شده می توانند اطلاعات محدودی در مورد شبکه جمع آوری کنند زیرا آنها هرگز به طور مستقیم به آن متصل نیستند.نکته منفی عمده فایروال های مبتنی بر پروکسی این است که قطع اتصال های ورودی و ایجاد اتصالات خروجی به علاوه فیلتر باعث تاخیر هایی می شود که می تواند عملکرد را کاهش دهد. به نوبه خود، این می تواند با استفاده از برخی از برنامه های کاربردی در فایروال از بین برود چرا که زمان پاسخ بسیار کند میشود.

با توجه به آخرین رده بندی شرکت Gartner فایروال های سازمانی، عبارتند از Checkpoint، Cisco، Fortinet و Palo Alto Networks.پنج سال پیش، پیشتازان فایروال Gartner شامل Checkpoint و Palo Alto بودند، اما در سال ۲۰۱۸ سیسکو به رده بالا پیوست.از بین ارائه دهندگان همچنین Cico، Fortinet و Palo Alto به عنوان برترین متخب مشتریان قرار گرفتند. در مجموع، مشتریان ۱۷ تولید کننده را مورد بررسی قرار دادند و مجموعا ۳،۴۰۶ بازبینی را انجام دادند.

این دسته از فایروال های امنیتی به طور منطقی بین سرورهایی که از برنامه های کاربردی وب و اینترنت پشتیبانی می کنند، قرار دارند. به صورت منطقی می توانند از حملات خاص HTML مانند cross-site scripting، تزریق SQL و دیگر موارد محافظت کنند. آنها می توانند سخت افزاری یا مبتنی بر فضای ابری باشند و یا می توانند به برنامه های مستقل تبدیل شوند تا تعیین کنند آیا کاربری که در تلاش برای دسترسی به سرور است مجاز به دسترسی می باشد یا خیر.نسل بعدی فایروال هابسته ها را می توانند با ویژگی هایی بیش از حالت اتصالات و آدرس های منبع و مقصد فیلتر کرد. این جایی است که NGFW ها وارد بازی می شوند. آنها قوانینی را برای برنامه های کاربردی و کاربران مجاز دارند و در داده های جمع آوری شده از فناوری های دیگر ترکیب می کنند تا تصمیمات آگاهانه تر درباره اینکه چه ترافیکی اجازه عبور دارد و چه ترافیکی باید متوقف شوند.به عنوان مثال، برخی از این NGFW ها فیلترینگ URL را انجام می دهند، می توانند اتصالات SSL و اتصالات لایه حمل و نقل (TLS) را خاتمه دهند.

بازرسی عمیق بسته نوعی از فیلتر بسته ها است که به نظر می رسد فراتر از بررسی این باشد که بسته ها از چه زمانی وارد می شوند و محتوای آنها بازرسی می شوند. مثلا چه کاربردی در حال دسترسی یا چه نوع داده ای در حال انتقال است. این اطلاعات می تواند سیاستهای هوشمند و گرانشی برای فایروال را به اجرا در آورد. DPI می تواند مورد استفاده برای مسدود کردن و یا اجازه ترافیک، بلکه محدود کردن میزان پهنای باند برنامه های کاربردی خاص مجاز به استفاده از اینترنت شود. همچنین می تواند یک ابزار برای محافظت از مالکیت معنوی یا بررسی اطلاعات حساس از یک شبکه امن باشد.پیوست های ورودی یا ارتباط با منابع خارجی می توانند حاوی کد مخرب باشند. با استفاده از Sandboxing، برخی از NGFW ها می توانند این پیوست ها را از بین ببرند، به طوریکه آن را اجرا و شناسایی کنند که آیا آن مخرب است یا خیر. ضعف این فرآیند این است که می تواند بسیاری منابع CPU را مصرف کند و تاخیر قابل ملاحظه ای در ترافیک از طریق فایروال ایجاد می کند.ویژگی های دیگری وجود دارد که می تواند در NGF ها گنجانده شود. آنها می توانند از جمع آوری داده های سیستم عامل های دیگر و استفاده از آن برای تصمیم گیری استفاده کنند. به عنوان مثال، اگر یک نشانه ی جدیدی از بدافزار توسط محققان شناسایی شده باشد، فایروال می تواند از سیستم های دیگر اطلاعات بگیرند و ترافیکی را که شامل نشانه های مخرب باشد، فیلتر کند.