تبلیغات
مطالب مفید - توسعه فایروال‌ها برای IPv6
مطالب مفید
مطالب کاربردی و مورد نیاز کاربران

پیغام مدیر : به شما كاربرگرامی سلام عرض می كنم . امیدوارم در این وبلاگ دقایقی خوبی را سپری كنید.مطالب سعی شده کاربردی و مورد نیاز کاربران باشد. نظر فراموش نشه.



بهترین موضوع وبلاگ









وصیت شهدا
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • کل بازدیدها :
  • آخرین بازدید :
  • آخرین به روز رسانی :
  • تعداد نویسندگان :
  • تعداد کل مطالب :

 

آدرس‌های جدید مبتنی بر IPv6 روی اینترنت و به تبع آن شبكه‌های گسترده سازمان‌ها، تجهیزات امنیتی مانند فایروال‌ها، دستگاه‌های UTM و IPS را تحت‌تأثیر قرار خواهند داد و مدیران شبكه و كارشناسان امنیتی سازمان‌ها ناگزیز به توسعه سیاست‌های امنیتی خود و تغییر رفتار و عملكرد این دستگاه‌ها در برابر این بسته‌های دارای فرمت جدید هستند. «آیا باید با آدرس‌های IPv6 همان‌طوری رفتار كرد كه تا قبل از این با آدرس‌های IPv4 رفتار می‌شد؟ آیا برای بسته‌های IPv6 باید قانون (Rule) و خط‌مشی‌ (Policy) جدید و متفاوتی تعریف كرد؟ آیا می‌توان یك قانون را برای هر دو نسخه IP اعمال كرد؟ فایروال‌های كنونی چه قابلیت‌ها و ظرفیت‌هایی برای مواجه شدن با آدرس‌های جدید دارند؟ چه روش‌هایی برای مدیریت قوانین و خط‌مشی‌های متفاوت IPv4 و IPv6 روی فایروال‌ها وجود دارد؟»


در مقاله پیش‌رو، تلاش بر این است تا بدون وارد شدن به جزئیات و پیچیدگی‌های این موضوع، یک راهنمای كلی برای توسعه فایروال‌ها و مدیریت IPv6 در آینده ارائه دهیم و انواع روش‌های موجود را همراه با مزایا و معایب آن‌ها موشكافی كنیم.

پشتیبانی از IPv6
در حال حاضر، بیشتر فایروال‌های امروزی بر‌اساس IPv4 كار می‌كنند و خط مشی‌های آن‌ها برای بسته‌هایی تنظیم شده است که برای مبداء و مقصد شبكه از فرمت IPv4 استفاده می‌کنند. در حالی كه فایروال‌های ساخته‌شده در چند سال اخیر قابلیت پشتیبانی از فرمت بسته‌های IPv6 را دارند و مدیران امنیتی سیستم‌ها می‌توانند فایروال‌ها را با خط‌مشی‌های مبتنی بر IPv6 پیكربندی کنند. در این مدت، خط‌مشی‌‌ها برای IPv4 و IPv6 در کنار یکدیگر روی فایروال‌ها پیكربندی می‌شده است كه هزینه سنگینی دارد و از نظر زمانی و منطقی نیز توصیه نمی‌شود. در نهایت، فایروال‌ها باید به سویی بروند كه بتوان خط‌مشی‌های متمركز و در بردارنده هر دو فرمت IPv4 و IPv6 را برایشان تعریف كرد یا به سادگی با استفاده از آبجکت‌هایی که هر دو خواص IPv4 و IPv6 را دارند،‌آن‌ها را پیکربندی کرد.


برای استفاده از IPv6 و تعریف خط‌مشی‌های مرتبط با این نسخه از پروتكل IP در شبكه و اینترنت، باید به یك موضوع توجه كرد و آن ظرفیت‌های فایروال شما برای تعمیم به IPv6 است. بیشتر فایروال‌های امروزی قابلیت فیلترینگ بسته‌های IPv6 را دارند و بیشتر شركت‌های سازنده فایروال‌ها این قابلیت را در محصولات خود قرار می‌دهند. با وجود این، باید بررسی كنید كه این قابلیت برای فایروال شما فعال است یا خیر. بسیاری از UTMها، IPSها، نرم‌افزارهای امنیتی و برنامه‌های فیلترینگ محتوا از IPv6 پشتیبانی می‌كنند. اگر فایروال شما از ظرفیت‌های IPv6 پشتیبانی نمی‌كند و شركت سازنده این فایروال نیز هیچ برنامه‌ای برای توسعه فایروال‌های خود یا افزودن این قابلیت به محصولات قبلی ندارد، ناچار هستید یك فایروال جدید تهیه كنید. در هنگام انتخاب و خرید یك فایروال با قابلیت پشتیبانی از IPv6 دقت كنید كه ویژگی‌هایی مانند توسعه سرآیند بسته‌ها، مدیریت هوشمند بسته‌ها و فریم‌ها، PMTUD (م Path MTU Discovery)، فیلترینگ مجزای پیغام‌های ICMPv6 و ترافیك چندگانه را داشته باشد.

تعریف قوانین و خط‌مشی‌های IPv6
قبل از تعریف قوانین و خط‌مشی‌های جدید مبتنی بر IPv6 برای فایروال، باید این موضوع را بررسی كنید كه در پشت صحنه شبكه، فایروال فعلی شما چگونه بسته‌ها را كنترل و مدیریت می‌كند. در فایروال‌ها چندین خط‌مشی برای رویارویی با بسته‌ها و درخواست‌های جدید می‌توان تعریف كرد. بیشتر فایروال‌ها ازسیستم First-Match استفاده می‌کنند. در این سیستم،‌ بسته اطلاعات با قوانین موجود در خط‌مشی سیستم مطابقت داده می‌شود و نخستین قانونی که کاملاً با بسته مورد نظر مطابقت داشته باشد‌، تعیین‌کننده عملیاتی است که فایروال روی بسته انجام می‌دهد. دلیل استفاده از خط‌مشی First-Match این است كه به راحتی قابل فهم و اشكال‌زدایی است. وقتی یك فایروال روی این خط‌مشی تعریف شود، در درخواست‌های بعدی اگر انطباق كامل میان قانون ایجاد شده و درخواست مورد نظر وجود نداشته باشد، قانون آخر خط مشی اجرا می‌شود که به طور معمول منجر به بلوک‌شدن بسته در شبکه خواهد شد. فایروال‌های زیادی مانند Cisco ASA، Cisco Router Access-Lists، Juniper SRX/SSG، Check Point، Fortinet، IPtables/IP6tables و IPfirewall  از خط‌مشی بالا استفاده می‌كنند. خط‌مشی بعدی كه برخی از فایروال‌ها روی آن تنظیم شده‌اند، Last-Match است (در این روش عملیاتی که روی یك بسته یا درخواست انجام می‌شود براساس آخرین قانونی خواهد بود که کاملاً با بسته منطبق باشد) كه تا حدود زیادی یك سیاست گیج‌كننده و سخت‌گیرانه است و پیچیدگی‌های خاص خودش را دارد. از جمله فایروال‌هایی كه از خط‌مشی Last-Match استفاده می‌كنند، می‌توان به (PF) م OpenBSD Packet Filter و IPFilter اشاره کرد. البته باید به این نكته نیز توجه كرد كه در فایروال‌هایی مانند PF با استفاده از یك دستور می‌توان خط‌مشی Last-Match را به خط‌مشی First-Match تبدیل کرد. به هر حال، پیش از شروع تعریف قوانین و خط‌مشی‌های فایروال برای IPv6، باید رفتار فایروال با درخواست‌های جدید را پیش‌بینی و مشخص كنید.


گام بعدی، ارزیابی كلی از قانون‌ها و خط‌مشی‌های IPv6 است كه می‌خواهید برای فایروال تعریف كنید. برخی از مدیران سیستم متناسب با تغییرات شبكه، كاربران و گروه‌ها و برحسب نیاز، به تدریج قانون‌های جدیدی را به فایروال اضافه می‌كنند. در این صورت، ممكن است چندین سال طول بكشد تا یك بسته خط‌مشی كامل مبتنی بر IPv6 تهیه كنید. شما نیاز دارید كه به صورت متمركز تمام قانون‌ها و خط‌مشی‌های لازم را قبل از راه‌اندازی فایروال تعریف‌كنید و اجازه ندهید كه این عملیات‌ها مشمول مرور زمان شوند.

 

توصیه می‌شود برای نامگذاری قانون‌های جدید متناسب با IPv6 از عبارت‌هایی مانند «-v6» و «-6» در ابتدا یا انتهای هر قانون استفاده كنید تا در آینده بتوانید به سرعت قانون‌های مرتبط با نسخه ششم پروتكل IP را تشخیص دهید. برای IPv4 نیز می‌توانید از همین شیوه استفاده كنید و به ابتدا یا انتهای هر قانون عبارت‌های «-v4» و «-4» را اضافه كنید. در این صورت در یك فایروال به راحتی می‌توان قانون‌های مرتبط با هر نسخه IP را تشخیص‌داد و در آینده تغییرات و اصلاحات لازم را اعمال كرد. به طور كلی دو روش برای تعریف قوانین وجود دارد. در روش نخست می‌توانیم قانون‌های IPv4 و IPv6 را در گروه‌هایی مجزا تعریف كنیم. در روش دوم قانون‌ها به صورت تركیبی در یك گروه تعریف می‌شوند. در ادامه، هر دو روش را به همراه مزایا، معایب و نمونه فایروال‌هایی كه از این روش‌ها استفاده می‌كنند، مرور می‌كنیم.


تعریف قوانین جداگانه
در فایروال‌های امروزی خط‌مشی‌های IPv4 و IPv6 از یكدیگر مجزا هستند. برای نمونه در فایروال Cisco ASA از دو دستور جداگانه «ip access-list» و «ipv6 access-list» برای تعریف خط‌مشی‌ها استفاده می‌شود و با دستور «access-group» خط‌مشی‌های access-list مرتبط با IPv4 و IPv6 روی رابط كاربری یا ترافیك شبكه اعمال می‌شوند. شكل‌1 نمونه‌ای از تعریف خط‌مشی‌های جداگانه برای IPv4 و IPv6 را نشان می‌دهد. در این حالت یک‌آبجكت متعلق به IPv4 یا IPv6 است و هیچ آبجكتی برای هر دو نسخه IP استفاده نمی‌شود كه در آینده باعث ایجاد پیچیدگی شده و مدیر شبکه را مجبور به اعمال تغییرات گسترده‌ای در فایروال کند. مزیت دیگر چنین روشی اعمال تغییرها و سیاست‌های جدید به شکلی ساده و سریع و گروهی برای قانون‌ها و خط‌مشی‌های IPv6 است. خیلی سریع می‌توان دسترسی‌ها و مجوزها را برای یك هاست خاص، مشاهده كرد و بعد تصمیم گرفت که این هاست خاص روی IPv6 چه وضعیتی داشته باشد. در هنگام تعریف قانون‌ها نیز دقت داشته باشید كه هر دو سری خط‌مشی‌های IPv4 و IPv6 روی «First-Match» تنظیم شده باشند.  بزرگترین مشکل تعریف جداگانه قانون‌ها در دو گروه، به دوباره‌كاری برای اعمال سیاست‌های امنیتی جدید نیاز است. زیرا مجبور هستید یك سیاست جدید را یك بار برای قانون‌های IPv4 و بار دیگر برای قانون‌های IPv6 تعریف كنید. در این شرایط، نیاز دارید كه به خاطر بسپارید كه یك سیاست جدید را همواره برای هر دو گروه و به صورت یکسان تعریف كنید. مشكل جایی بروز می‌كند كه شما فراموش كنید یك سیاست جدید را برای گروه IPv6 تعریف كنید اما آن را برای گروه IPv4 تعریف كرده باشید. در این حالت، مشکل‌یابی و برطرف کردن آن نیز دشوار ‌می‌شود و روی سرور همواره با بلوكه‌شدن بسته‌های IPv6 مواجه می‌شوید.

شکل 1- تعریف قانو‌ن‌ها در دو گروه مجزا برای IPv4 و IPv6

 

شکل 2- تعریف قوانین تركیبی نسخه‌های مختلف IP در یك گروه

 

 تعریف قوانین تركیبی
برخلاف روش نخست كه قانون‌های IPv4 و IPv6 در دو گروه مجزا تعریف می‌شوند، برخی از فایروال‌ها از یك خط‌مشی تركیبی برای IPv4 و IPv6 استفاده می‌كنند اما قانون‌های دسترسی را با آدرس‌های مجزا تعریف می‌كنند. فایروال‌های Check Point و Palo Alto Network از این روش استفاده می‌كنند. شكل 2 نمونه‌ای از تعریف قانون‌های جداگانه IPv4 و IPv6 در یك گروه یكسان است. همان‌طور كه مشخص است، قانون‌های مرتبط با هر نسخه IP را می‌توان از روی آدرس‌های مبداء و مقصد تشخیص داد. قانون شماره یك متعلق به IPv4 است. قانون‌های شماره دو و سه متعلق به IPv6 هستند. قانون شماره چهار و پنج به صورت تركیبی روی هر دو نسخه IPv4 و IPv6 عمل می‌کنند. بنابراین، در این روش می‌توان یك خط‌مشی را به صورت همزمان برای هر دو قانون IPv4 و IPv6 تعریف كرد و مدیریت قانون‌ها بسیار ساده خواهد شد. به عنوان مثال، شما می‌دانید كه یك تغییر را باید روی كدام قانون اعمال كنید. اگر فقط مختص IPv6 است، قانون‌های متعلق به این نسخه را انتخاب می‌كنید. اگر متعلق به IPv4 باشد، قانون‌های متعلق به آن را انتخاب می‌كنید و اگر باید به هر دو نسخه اعمال شود، به سراغ قانون‌های تركیبی می‌روید. این روش به شما اطمینان می‌دهد كه یك رویه دسترسی و مجوز یكسانی را برای تمام نسخه‌ها روی فایروال اعمال كرده‌اید. همچنین می‌توانید گروهی به نام Host-1 بسازید که ترکیبی از هر دو آدرس V4-Host-1 و V6-Host-1 باشد. در این صورت هر قانونی که به این گروه اعمال شود،‌ هر دو فرمت IPv4 و IPv6 را در بر خواهد گرفت. به هر حال، در این روش برای افزودن یك قانون جدید به فایروال نیازی به دادن مجوز جدید ندارید.  اگر می‌خواهید از این روش برای تعریف قانون‌ها و خط‌مشی‌های فایروال استفاده كنید، در نظر داشته باشید كه مشكل زمانی بروز می‌كند كه بخواهید برای یك قانون تركیبی IPv4 و IPv6 دسترسی‌های جداگانه‌ای تعریف كنید. به عنوان مثال نمی‌توانید روی قانون‌های تركیبی، بسته‌های IPv6 را محدود اما بسته‌های IPv4 را تأیید كنید. به هر حال، در فایروال‌های مبتنی بر ASIC مانند Fortinet و Palo Alto Networks پردازش‌های مربوط به IPv4 و IPv6 با سرعت یکسانی انجام خواهد شد.

آینده فایروال‌ها
در این مقاله گفتیم كه اگر می‌خواهید فایروال خود را برای آدرس‌های IPv6 توسعه دهید، نیاز دارید كه در ابتدا تصمیم بگیرید چگونه می‌خواهید خط‌مشی‌های آدرس‌های IPv6 را روی فایروال اعمال كنید، چگونه می‌خواهید قانون‌های IPv6 را تعریف كنید و قانون‌های موجود روی IPv4 را به نسخه جدید تعمیم دهید. خیلی مهم است كه شما قبل از تعریف تعداد خیلی زیادی قانون كه ممكن است سازماندهی فایروال شما را نیز مختل كنند، دید و تسلط‌كاملی به محدودیت‌ها و مشكلات پیش رو داشته باشید و روش‌های مختلف موجود را ارزیابی كنید تا با یك نقشه توسعه دقیق و با كمترین پیچیدگی یا مشكلات بعدی، کار را شروع كنید. شما با یك تصمیم درست می‌توانید طرحی را برای سی‌سال آینده شبكه خود ترسیم كنید. به نظر می‌رسد با گذشت زمان شركت‌های سازنده فایروال بتوانند قابلیت‌هایی ایجاد كنند كه یك آبجكت به صورت همزمان متعلق به دو خط‌مشی جداگانه باشد و بتوان برای آن دو آدرس جداگانه IPv4‌ و IPv6 تعریف كرد. زیرا نزدیك به ده سال یا بیشتر مجبور خواهیم بود كه از دو پروتكل اینترنت به صورت همزمان استفاده كنیم در حالی كه نمی‌توانیم مدام میان IPv4 و IPv6 تفاوت قائل شویم و برای هریك به صورت جداگانه قانون‌ها و خط‌مشی‌هایی را تعریف كنیم و مواظب باشیم كه دسترسی‌های یكسانی برای هر دو نسخه تعریف شود. امیدواریم كه در آینده مدیران سیستم كار ساده‌ای برای تعیین ویژگی‌ها و مجوزهای آدرس‌های IPv4 و IPv6 پیش‌رو داشته باشند و مجموعه‌ای از ویژگی‌های كامل برای پوشش‌دادن انواع دسترسی‌ها به نسخه‌های مختلف IP به فایروال‌ها افزوده شود.


نوشته شده توسط : ایمان طبقه بندی شده در :شبکه , 


تمام حقوق این وبلاگ و مطالب آن متعلق به مطالب مفید آن می باشد.