قلعه طلسم شدگان!

برپاسازي وپيکربندي ديواره آتش firewall Builder
 

هميشه يادگيري ماهيگيري بهتر از تهيه ماهي است. نرم افزارهاي ديواره آتش زيادي براي سيستم عامل هاي مبتني به يونيکس /لينوکس طراحي وعرضه شده اند .اين نرم افزارها با مژول هاي خاص وبسيارقدرتمندي مانند iptabkesکه براي هسته لينوکس نوشته شده وتمامي نيازهاي کاربران را برطرف مي کنند، متفاوت هستند.دراين شماره مي خواهيم به سراغ نرم افزارهاي برويم که امکان ساخت يک ديواره آتش پايدار ومطمئن رابرپايه iptabkesفراهم مي کند.قابليت ويژه نرم افزارFirewall Builer(به اختصارfwbuilder)برپاسازي وپيکر بندي يک ديواره آتش کاملاً بومي ومتناسب شبکه به استفاده از رابط کاربري گرافيکي وابزارهاي معروف است.شما درfwbuilder با يک نرم افزار آماده استفاده روبه رونيستيد، پس بايددست به کارشويد ويک ديواره آتش براي خودتان طراحي کنيد.

معرفي ونصب
 

fwbuilderيک نرم افزار ديواره آتش گرافيکي است که مي تواند برنامه ها وابزارهاي متنوعي مانند iptabled netifilter), ipfilter, Cisco )routers ipfw , Cisco PIX (FWSM , ASA و Pfراپشتيباني وپيکربندي کند.با اين برنامه مي توانيد از ساده ترين تا پيچيده تري سياسيت هاي مديريت شبکه وسيستم ها رابراي بالابردن امنيت تعريف وپياده سازي کنيد. fwbuilderنرم افزاري است که ميتواند روي سکوها وسيستم عامل هاي مختلفي مانند لينوکس،ويندوز،مک،فري بي اس دي ( free BSD)واوپن بي اس دي (oPEN bsd)نصب واجرا شود همچنين اين نرم افزار قابليت مديريت از راه دور (Remote computer)رانيز دارد.بسته نرم افزاري نصب اين برنامه همراه با بيشتر توزيع هاي لينوکس ارائه شده ومي توانيد هنگام نصب لينوکس، آن را انتخاب ونصب کنيد.اگر بسته fwbuilder رادرفهرست بسته هاي اصلي توزيع لينوکس نمي بينيد،دربخش «Extras» به دنبال آن بگرديد.براي نصب fwbuilder روي لينوکس نيازبه نصب بسته هاي libfwbuilderوfwbuilder است براي نصب اين بسته ها مي توان ازابزارهاي نصب ومديريت بسته ها مانند yum , apt- getو aptiude استفاده کرد.درفري بي اس دي واوپن بي اس دي ، fwbuilder دربخش /
/security/ fwbuilder / usr/ ports يافت مي شوداگر براي توزيع مورد استفاده ،بسته باينري نصب را پيدا نکرديد، براي ساخت آن به نشاني http://www.fwbuilder.org/ guides firewall-builder- intallation.htmlمراجعه کنيد. بسته سورس نيز ازنشاني .http://www.fwbuilder org /docs/ firewall-builder-packages.html قابل دانلود است.به دليل اين که بارها درمورد نصب نرم افزارها روي لينوکس صحبت کرديم، از توضيح مراحل نصب fwbuilder گذر کرده وبه سراغ تنظيمان اين نرم افزار مي رويم.

ساخت ديواره آتش
 

پس از نصب، مي توانيد برنامه رادربخش نرم افزارهاي منوي اصلي بيابيد. اجراي دستورfwbuilder درترمينالي خطر فرمان نيز موجب اجراي اين برنامه مي شود وپس از ازاجراء پنجره برنامه اصلي به همراه يک پنجره خوش آمد گويي ظاهر مي شود( تصوير 1).
درپنجره خوش آمد گويي مي توانيد نشاني سايت نرم افزار، ناشني مستندات برنامه،راهنماها ولينک هاي مفيد ديگري را بيابيد.اين پنجره ازمنوي Helpنيز قابل دسترسي است.پنجره را ببنديد وبراي ساخت ديواره آتش ،ازمنوي پايين رونده کنار منوي User درنوار ابزار،گزينه«New firwall» را انتخاب کنيد(تصوير2). پنجره اي گشوده خواهد شد.که قدم به قدم شمارادرساختن يک ديواره آتش مناسب نيازتان راهنمايي مي کند. درصفحه اول بايد نام ديواره آتش، سکوي ديواره آتش وسيستم عامل را انتخاي کنيد .به عنوان مثال درتصوير3نشان داده دشه که نام ديواره آتش «guardian» نام سکو يا ابزار مورد استفاده «iptables» ونام سيستم عامل Linuxانتخاب شده است.شما مي توانيد به دو روش يک ديواره آتش جديد بسازيد: استفاده ا زنمونه ها آماده نرم افزار (Template Objects)وساخت ازابتدا.دراين مقاله مبناي ساخت ديواره آتش روش اول است.تيک گزينه «USE preconfigured template firewall obgects» را بزندي ويک فايل آماده را مطابق تصوير3 انتخاب کنيد، مي توانيد فايل هاي آماده خودرا نيز دراني بخش استفاده کنيدو.با زدن دکمه Nexوارد مرحله بعدي شويد. template firewall object وبرخي سياست هاي NAT است .شما مي توانيد با توجه به نوع شبکه وتعداد کارت هاي شبکه و ورودي /خروجي شبکه،يک نوع سياست گذاري را انجام دهيد.به عنوان مثال، با انتخاب FW template،يک آدرس به دروازه ورودي کارت شبکه آدرس دهي به کارت هاي شبکه بيشتري نياز داشته باشيد، مي توانيد فايل هاي آماده ديگري را استفاده کنيد. کليد finishرا فشاردهيد(تصوير4). اکنون اولين ديواره آتش تعريف وساخته شده وازمنوي کشويي سمت چپ قابل مشاهده است. نام اين ديواره آتش guardian است. هنگامي که اين ديواره آتش را انتخاب مي کنيد،تمامي قوانين وتنظيمات مربوط به آن درپنجره سمت راست برنامه قابل مشاهده هستند(تصوير5).شما مي توانيد هريک ازتنظيمات اين پنجره راتغيير داده وبا زدن کليد Apply آن را ثبت کنيد.درانتها ميتوانيد اين ديواره را با استفاده ا زگزينه Save Asدرمنوي Fileذخيره کنيد.

تنظيمات استاندارد
 

fwbuilderيک سري قوانين وتنظيمات استاندارد ورايج براي کارت شبکه وسرويس هاي ديواره آتش ارائه کرده است.ازنوارابزار، گزينه Standard را انتخاب کنيد.(تصوير6)درپوشه Obgect/ Hosts چندين سناريوي آماده براي کامپيوترهاي Host /Hostچندين سناريوي آماده براي کامپيوترهاي Host جهت استفاده درStandard firewall template تعريف شده است.درپوشه /Obgects Network انواع آدرس دهي هاي استاندارد درمحدوده هاي مختلف وبلاک کردن آدرس ها تعريف شده است(تصوير7).
درکناراين تنظيمات، در fwbuilferسرويس هاي TCP, UDP, CMPو... ارائه شده اند که درپوشه Servicesقراردارند(تصوير8). روي سرويس TCPکليک کنيد.پنجره گشوده شده امکان انجام تنظيمات مربوط به اين پروتکل مانند فلگ ها، رنج پورت هاي مبداء ومقصد ونوع پروتکل مورد استفاده را فراهم مي کند(تصوير9).

تنظيمات ديواره آتش
 

دوباره سراغ ديواره آتش guardianساخته شده دربخش قبلي مي رويم. ازنوار ابزار،برنامه بخش Userرا انتخاب وروي ديواره آتش guardian دوبارکليک کنيد تا پنجره ويرايش آن گشوده شود(تصوير10). هرديواره آتش داراي يک نام، ابزار مورد استفاده يا سکو،سيستم عامل، نسخه سکوبه همراه کليدهاي Host OS Setting و firewall Settingاست که امکان وارد کردن تنظيمات زيادي را براي شما فراهم مي کند به عنوان مثال، اگرروي کليد firewall Setting کليک کنيد، پنجره تنظيمات ديواره آتش تعريف شده گشوده خواهد شد(تصوير 11). همان طور که مي بينيد ازطريق اين بخش مي توانيد تنظيمات کمپالر،فايل هاي اسکريپت، ipv6،تنظيمات مربوط به لاگين و...را انجام دهيد.
براي ريز شدن درتنظيمات مربوط به کارت شبکه وآدرس ipتعريف شده براي ديواره آتش را ببينيد.به عنوان مثال،روي بخش outside کليک کرده، سپس بخش IP را انتخاب کنيد(تصوير 12). درپنجره گشوده شده مي توانيد تنظيمات مرتبط را انجام دهيد.گزينه هاي اين پنجره رامرور مي کنيم(تصوير13):
Name: دراين بخش بايد نام کارت شبکه را انتخاب کنيد. نامگذاري کارت شبکه از نامگذاري لينوکس تبعيت يم کند.بع عنوان مثال، کارت شبکه مي تواند نام هايي مانند etho, eth1, enoو bro»انتخاب شود.
Label: دربسياري ازسيستم عامل ها اين گزينه مورد استفاده قرارنمي گيرد.مي توانيد براي کارت شبکه خوديک برچسب انتخاب کرده تادرآينده بهتر ديواره آتش را مديريت کنيد.
Management interface: گاهي براي يک ديواره آتش چندين کارت شبکه تعريف مي وشد با زدن تيک اين گزينه، اين کارت شبکه مديريت ميان ديواره آتش وکامپيوتر رابرعهده خواهد گرفت.

(External interface (insecure:
 

اگر با اين کارت شبکه به اينترنت متصل مي شويد،بايد تيک اين گزينه ار بزنيد
Unprotected interface :براي سکوي Cisco IOSمورداستفاده قرارمي گيرد.کارتشبکه دراين حالت نمي تواند فهرست دسترسي تعريف کند.
Regular interface:اگر آدرس IP به صورت دستي براي اين کارت شبکه تعريف مي شود اين گزينه ار انتخاب کنيد.
Adderss is assigned dynamicallyاگر ازDHCPياPPPبرا تخصيص آدرس IPپويا استفاده مي شود، اين گزينه راانتخاب کنيد.
Unnumbered interface:اگر هيچ آدرس IPبه کارت شبکه تخصيص پيدا نمي کند، انتخاب مي شود به عنوان مثال، استفاده از کارت شبکه درسرويس ADSLيا استفاده دارشبکه داخلي.
Bridge port:براي پورت Bridgeديواره آتش مورد استفاده قرارمي گيرد.
Security level تعيين سطح امنيت کارت شبکه، فقط د ر(Cisco(ASA استفاده مي شود.
Network zone: اين گزينه نيز فقط در cisco PIX (ASA به کار گرفته مي شود.
براي تعريف آدرس IPکارت شبکه نيز روي گزينه IPمرتبط با آن کارت شبکه دوباره کليک کنيد.تا پنجره IP Addressگشوده شود.دراين پنجره مي توانيد نام کارت شبکه، آدرس ip، Netmaskوآدرس DNSراتعريف کنيد(تصوير14).

تعريف Rule
 

يکي ديگر ازامکانات fwbuilder،تعريف Ruleوسياست هاي جديد براي ديواره آتش است. براي تعريف يک Rule جديد، از بخش Objects درمنوي کشويي سمت چپ، گزينه«policy» را انتخاب کنيد پنجره تعريفRuleجديد گشوده مي شود (تصوير15). اين پنجره شامل گزينه هيا زيراست.
هرRule مي تواند جدول Rule ها را مديريت کند يا شامل يک سري قوانين بازدارنده وفيلتر ينگ نيز بشود. براي يک Rule جديد بايد تعريف شود چه وظيفه اي دارد.
مي توانيد براي هرRule چند خط توضيح بنويسيد.

زدن تيک «Top ruledet» ،
 

Ruleجديد رابه بالاي جدول Rule ها خواهد برد.
پس ا زتعريف يک Rule جديد، مي توانيد با مراجعه به جدول،سايت هاي تعريف شده خودرابه آن اعمال کنيد. به عنوان مثال، اگربخواهيد تمامي بسته هاي ارسالي ازسوي آدرس 192.168.2.0به سوي شبکه را بلوکه کنيد، بايد يکRule مانند تصوير 16 تعريف کنيد.
نرم افزار fwbuilder قابليت ها وظرفيت هاي بسياري زيادي دارد که براي احاطه برآن ها به زمان نياز است.بااين ابزار مي توان ديواره هاي آتش مختلفي مطابق با نيازهاي شبکه،تعريف واستفاده کرد.سازگاري با سکوهاي سيستم عاملي مختلف نيز يک امتياز ويژه است.
منبع:عصر شبكه 95
/ن