. 1 فیلتر بسته ای 
یک فایروال بسته های داده را بین شبکه ها کنترل و فیلتر می کند. این به اصطلاح یک انتقال کنترل شده را نشان می دهد و هدف آن جلوگیری از ارسال بسته هایی است که می تواند تهدید بالقوه ای برای داده ها و مؤلفه های شبکه باشد. قوانینی برای نظارت بر ترافیک و تعیین اینکه آیا بسته های خاصی از شبکه می توانند از آن عبور کنند ، استفاده می شود.
پروژه OpenWrt فیلتر بسته های netfilter / iptables را برای تصفیه ترافیک در مناطق و بین مناطق ادغام می کند. قوانین جدید فایروال با استفاده از رابط وب LuCI یا خط فرمان می تواند ایجاد ، تغییر یا حذف شود.
در این مقاله ، می خواهم مقدمه ای از قوانین فایروال را برای فیلتر کردن ترافیک برون مرزی معرفی کنم. مشتریان شبکه داخلی باید به آن سرویس ها در شبکه WAN / DMZ یا اینترنت که در واقع به آنها احتیاج دارند دسترسی داشته باشند. تمام بسته های دیگر قبل از تحویل دور ریخته می شوند.
این پست بخشی از یک سری مقالات است:
2. راهنمای کوتاه Firewall
2.1 فایروال شخصی در مقابل. فایروال
فایروال OpenWrt روی روتر پیکربندی شده است. بنابراین ، ما با یک به اصطلاح فایروال کار می کنیم که برخلاف فایروال شخصی ، روی خود سیستم کار نمی کند. فایروال ها به طور معمول از بسیاری از مشتری ها محافظت می کنند ، در حالی که فایروال شخصی به طور مستقیم روی مشتری نصب و پیکربندی می شود. هر دو نوع مزایا و معایب خود را دارند و همیشه باید بطور موازی استفاده شوند. به عنوان مثال ، فایروال های شخصی اغلب دارای فیلتر برنامه ای هستند که به شما امکان می دهد ترافیک داده را بطور جداگانه یا با دانه بندی دقیق برای هر برنامه تعریف کنید.
نکته اساسی دیگر: عملکرد فایروال شناسایی حملات نیست بلکه فقط به کار بردن مجموعه قوانین تعریف شده است.
2.2 لیست سیاه در مقابل اصل لیست سفید
حفاظت ارائه شده توسط فایروال تا حد زیادی به پیکربندی مناسب بستگی دارد. در اصل ، دو رویکرد پیکربندی مختلف متمایز می شود:
- لیست سیاه : هر آنچه صریحاً ممنوع نیست مجاز است
- لیست سفید : هر آنچه صریحاً مجاز نیست ، ممنوع است
به طور کلی ، توصیه می کنم لیست سفید – قانون شست. بنابراین فقط این اتصالات در خارج مجاز است که صریحاً مجاز است – همه چیز دیگر رد شده است. نه تنها برای فایروال ها ، بلکه در سایر زمینه های فناوری اطلاعات ، اصل لیست سفید اغلب بهتر از اصل لیست سیاه است.
2.3 قوانین
قوانین مربوط به فایروال شامل کلیه قوانین در مورد کار بسته های شبکه است. این قوانین به نوبه خود برای هر بسته بررسی می شوند و اولین قانون لازم در این مورد اعمال می شود. از این رو ترتیب قوانین بسیار مهم است. قوانین فایروال معمولاً از اطلاعات یا مؤلفه های مختلفی تشکیل شده است:
- نام
- آدرس IP فرستنده
- آدرس IP گیرنده
- حمل و نقل یا پروتکل شبکه (TCP ، UDP ، ICMP و غیره) [19659018] شماره بندر
- ] عمل (اجازه ، رد یا رد)
- مجله (بله / خیر)
هر قانون شامل یک عمل یا عملی است که توسط فایروال مطابق با پیکربندی آن انجام می شود. بسیاری از اقدامات زیر قابل تعریف است:
- DROP / DENY : بسته بسته بندی می شود ، بنابراین بدون اقدام بیشتر ارسال نمی شود.
- رد : بسته رد می شود و به فرستنده اطلاع می یابد که اتصال رد شده است.
- ACCEPT : درخواست شبکه مجاز و مجاز است.
- FORWARD : درخواست شبکه مجاز است و ارسال می شود.
به عنوان نمونه ای از قانون OpenWrt ، مشتریان اجازه می دهند از طریق پورت 80 (HTTP) و 443 (HTTPS) به سرورهای اینترنتی دسترسی داشته باشند:
اجازه دهید نگاهی به برخی از مؤلفه های این قانون بپردازیم: [19659014] نام : نام را می توان آزادانه انتخاب کرد. به طور کلی ، من فکر می کنم توصیه می شود که آنها را انتخاب کنید تا در یک نگاه واضح باشد که کدام پورت یا مقصد / منبع فیلتر می شود.
. این بدان معنی است که هر مشتری در منطقه WiFi به ترتیب از طریق درگاه های 80 و 443 به سرورهای HTTP دسترسی دارد. همچنین ممکن است برای برخی از آدرس های IP محدود شود تا از دسترسی برخی از مشتری ها جلوگیری کند. wan را انتخاب کنیم. هیچ محدود نکرده و پیکربندی کرده ایم. قبول کنید . 3. ترافیک برون مرزی را فیلتر کنید
رابط شبکه LuCI پیکربندی قوانین فایروال را نسبتاً ساده می کند. در شبکه -> فایروال -> قوانین راهنمایی و رانندگی چندین قانون استاندارد قبلاً ایجاد شده است. می توانید آنها را رها کرده و موارد دلخواه خود را اضافه کنید. در اینجا باید از خودتان سؤالات زیر را بپرسید:
- چه سرویس یا پورت باید از LAN ، منطقه WIFI دسترسی داشته باشد تا به
- دسترسی داشته باشند. اگر کلیه مشتری های منطقه باید به بعضی از سرویس ها ، مانند وب سایت یا سرورهای الکترونیکی دسترسی داشته باشند. یا باید دسترسی محدودی به برخی از مشتریان داشته باشد؟
اگر خدمات یا بنادر را فراموش نکنید. شما می توانید آنها را در هر زمان اضافه کنید. با این حال ، این می تواند یک مشکل باشد: شما فقط فراموش می کنید که فایروال OpenWrt فعال است یا تمام بسته های داده خروجی را که صریحاً مجاز نیستند دور می زند. اگر یک مشکل از طرف مشتری ایجاد شود ، ممکن است فایروال منبع خطای احتمالی نیز باشد - این را همیشه باید به خاطر بسپارید.
در نهایت هیچ دستور جادویی وجود ندارد یا هر پیکربندی فایروال احتمالاً متفاوت خواهد بود. در ادامه می خواهم نوعی «چارچوب اساسی» را برای شما معرفی کنم. می توانید آن را به عنوان یک الگو تهیه کرده یا آن را مانند دلخواه گسترش دهید. قوانین پیش فرض ارائه شده در تصویر موجود نمی باشد و به ترتیب قوانین تکمیل شده در بالا قرار دارد:
پیکربندی نشان داده شده برای مشتری های منطقه WIFI اعمال می شود. علاوه بر قوانین استاندارد مانند HTTP و SMTPS یا ترافیک IMAPS ، قوانین ایجاد اتصالات OpenVPN و Wireguard نیز گنجانده شده است. احتمالاً مهمترین قانون در انتهاست و با رنگ قرمز مشخص شده است. این قانون "مسدود کردن همه" تضمین می کند که تمام بسته های مطابقت با مجموعه های قانون قبلاً ذکر شده رد شوند. بدون این قانون خاتمه ، کلیه ترافیک (به اینترنت) مجاز خواهد بود
3.1 بسته های رد شده [ورود به سیستم] بسته های رد شده
بسته های رد شده در صورت لزوم می توانند در سیستم سیستم نمایش داده شوند. این کار ضروری است ، به عنوان مثال ، اگر برنامه کار نمی کند و می خواهید دریابید که کدام درگاه را باز کنید. نکته مهم: قاعده "مسدود کردن همه" باید تنظیم شود که را به عنوان بخشی از عمل رد کند. اگر عملکرد را روی drop تنظیم کنید ، نمی توانید هیچ بسته ای را وارد کنید. در پیکربندی مثال بالا ، آخرین قانون روی "دور انداختن" تنظیم شده است.
اگر این شرط برآورده شود ، ورود به سیستم رابط WAN را فعال کنید. Network -> Firewall -> تنظیمات عمومی را کلیک کنید. برای Zones ، خط منطقه WAN را پیدا کنید و بر روی دکمه Edit راست کلیک کنید. در تب تنظیمات پیشرفته شما علامت بررسی زیر را تنظیم کردید:
برای رد کردن می توانید از منوی Status -> Log system استفاده کنید. در مثال زیر ، من به طور موقت ترافیک HTTP را غیرفعال کرده ام - پس از تماس با وب سایت ، ورودی بلافاصله در syslog ایجاد می شود:
پنجشنبه. 5 10:16:15 2019 هسته kern.warn: [13594.979197] REJECT ناپدید شد: IN = wlan1 OUT = eth1 MAC = fd: b1: 56: f3: d2: 0a: af: 6l: af: 32: a0: c6: 07: a0 SRC = 192.168.150.10 DST = 95.216.40.49 LEN = 52 TOS = 0x00 PREC = 0x00 TTL = 63 ID = 24764 DF PROTO = TCP SPT = 46422 DPT = 443 WINDOW = 29200 RES = 0x00 SYN URGP = 0 [1965905] علاوه بر منبع ، مقصد و به ویژه درگاه مقصد (DPT = 443) اطلاعات مهمی است که بر اساس این اطلاعات ، می توانید یک قانون فایروال جدید ایجاد کنید.3.2 محدودیت فیلتر بسته
فیلتر بسته روی لایه های OSI 3 و 4 ، یعنی در شبکه و لایه های حمل و نقل کار می کند. برای فیلتر کردن ترافیک ، فقط اطلاعات عنوان بسته های شبکه تجزیه و تحلیل می شود. در مقابل ، فایروال های برنامه ، به عنوان مثال ، داده های پروتکل برنامه کاربردی را ارزیابی می کنند (OSI Layer 7). با تشکر از این ، شما دانش در مورد برنامه مناسب یا ساختار پروتکل مانند HTTP ، FTP ، DNS و غیره دارید.
بدافزار هوشمند می تواند با اتصال به مهاجم از طریق پورت HTTP یا HTTPS که معمولاً برای ارتباط با سرورها منتشر می شود ، به راحتی فیلتر بسته را دور بزند. وب. یک سرور پروکسی واسطه می تواند خطر را کاهش دهد - اما نکته اینجاست که فیلتر بسته محدودیت های خود را دارد و تنها بخش کوچکی از مفهوم امنیتی است.
4. نتیجه گیری
به خصوص در دستگاه های شبکه مرکزی مانند روتر ، مجموعه قوانین فایروال منطقی است زیرا همه مشتری ها از آن استفاده می کنند. با این حال ، همیشه محدودیت های فیلتر بسته را به خاطر داشته باشید و با امنیت کاذب آن را سنگین نکنید.
شخصاً من از فایروال OpenWrt برای هدف دیگری استفاده می کنم: من یک ماشین مجازی با ویندوز 7 دارم که تبادل داده ها با اینترنت ممنوع است - دستگاه فقط می تواند آدرس IP دفتر امور مالیاتی محلی را برای ارسال اظهارنامه مالیات بر ارزش افزوده و اظهارنامه مالیات بر درآمد دریافت کند. این به ویندوز اجازه می دهد تا بدون مشارکت در بازی مایکروسافت برای جمع آوری داده ، استفاده از آن را در برنامه های انتخابی ادامه دهد.
در قسمت بعدی و آخر سری OpenWrt ، ما به روند به روزرسانی روتر یا تصویر OpenWrt می پردازیم.
منبع تصویر :
فایروال: Smashicons از www.flaticon.com دارای مجوز CC 3.0 BY
درباره نویسنده
[19659004ناممنمایککوکتزاستومناینبلاگرابراینوشتنامنیت - و محافظت از داده های مربوط مباحث را برای درک و در دسترس همه آسانتر می کنم.
در کار من به عنوان پنتستر (Kuketz IT-Security) من نقش "هکر" را بازی می کنم و به دنبال ایجاد نقاط ضعف در سیستم های IT ، برنامه ها و برنامه های اینترنتی می باشم. بعلاوه ، من مدرس امنیت فناوری اطلاعات در دانشگاه دوتایی در کارلسروهه و ، در میان دیگران ، نویسنده مجله کامپیوتر c & # 39؛ t.
وبلاگ کوکتز یا شخص من به طور مرتب در رسانه ها (heise آنلاین ، Sdedeutsche Zeitung و غیره) ارائه می شود.
اطلاعات بیشتر ➡
مرا از طریق
دنبال کنید. اگر می خواهید درباره آخرین ارسال ها اعلان دریافت کنید ، گزینه های مختلفی برای پیگیری وبلاگ خود دارید:
Newsletter ➡
