פרק 3.1 - חומת אש בסיסית
יסודות חומת האש
חומת אש היא התקן או מערכת אבטחת רשת המאפשרים (בהתבסס על מערכת כללים) לשלוט בתעבורה שנכנסת ויוצאת מהרשת. בדרך כלל חומת אש יוצרת מחסום בין רשת הנחשבת מאובטחת (בדרך כלל הרשת הפנימית או ה-LAN) לבין רשת אחרת שמניחים שהיא לא מאובטחת (בדרך כלל רשת חיצונית ו/או האינטרנט). חומת האש מסננת תעבורה בין שתי רשתות או יותר.
נתבים המנהלים תעבורה בין רשתות מכילים רכיבי חומת אש, וכמו כן חומות אש מסוימות יכולות לבצע פונקציות ניתוב מסוימות, ואף לספק שירותי מנהור (VPN), הקצאת כתובות DHCP ואחרות.
- כיום, חומת אש היא כלי חיוני להגנה על חיבור האינטרנט שלנו. העובדה של שימוש בחיבור לאינטרנט יכולה להיות הגורם להתקפות מרובות על ציוד המחשב שלנו מבחוץ ככל שאנו מחוברים זמן רב יותר, כך גדלה ההסתברות שהאבטחה של המערכת שלנו תיפגע על ידי פולש לא ידוע. לכן, לא רק שיש צורך להתקין ולעדכן תוכנות אנטי וירוס ותוכנות נגד תוכנות ריגול, אלא גם מומלץ מאוד להתקין ולעדכן תוכנת חומת אש.
- חומת אש היא מערכת שנועדה למנוע גישה בלתי מורשית או גישה מרשת פרטית. ניתן ליישם חומות אש בחומרה, בתוכנה או בשניהם. חומות אש משמשות לעתים קרובות כדי למנוע ממשתמשי אינטרנט לא מורשים לגשת לרשתות פרטיות המחוברות לאינטרנט.
- חומת האש של MikroTik מגינה על המחשב שלך מפני התקפות אינטרנט, תוכן אינטרנט מסוכן, סריקת יציאות והתנהגות אחרת בעלת אופי חשוד.
- חומת האש מיישמת סינון מנות ובכך מספקת פונקציות אבטחה, המשמשות לניהול הנתונים הזורמים אל, מ ודרך הנתב:
- באמצעות NAT (תרגום כתובות רשת) נמנעת גישה לא מורשית לרשתות המחוברות ישירות ולנתב עצמו. והוא משמש גם כמסנן לתנועה יוצאת.
- RouterOS פועל כ-Stateful Firewall, מה שאומר שהוא מבצע בדיקת מצב מנות ועוקב אחר מצב חיבורי הרשת העוברים דרך הנתב.
- RouterOS תומך גם ב:
- מקור ויעד NAT
- NAT
- עוזרים ליישומים פופולריים
- UPnP
- חומת האש מספקת סימון פנימי של חיבורים, ניתוב ומנות.
כיצד פועלת חומת אש?
חומת האש פועלת באמצעות כללים. יש לזה 2 אפשרויות:
- השדכן : כל התנאים חייבים להיות מאומתים וחייבים להתאים כדי להגיש בקשה.
- הפעולה : ברגע שכל הפרמטרים תואמים והאימות הראשון עובר, הפעולה ממשיכה.
השדכן נתחו והשוו את הפרמטרים הבאים:
- כתובת המקור של ה-MAC
- כתובות IP (רשת או רשימה) וסוגי כתובות (שידור, מקומי, שידור רב, unicast)
- טווח נמל או נמל
- פרוטוקול
- אפשרויות פרוטוקול (שדות מסוג ICMP ושדות קוד, דגלי TCP, אפשרויות IP)
- ממשק שדרכו החבילה מגיעה או יוצאת
- בייט DSCP
- מזל טוב...
RouterOS יכול לסנן לפי:
- כתובת IP, טווח כתובות, יציאה, טווח יציאות
- פרוטוקול IP, DSCP ופרמטרים נוספים
- תומך ברשימות כתובות סטטיות ודינמיות
- אתה יכול להתאים מנות לפי דפוס בתוכן שלהן, המצוין בביטויים רגולריים, המכונה התאמת שכבה 7
חומת האש של RouterOS תומכת גם ב-IPv6
חומת אש מהווה מעין מחסום מול המחשב שלנו, מחסום זה בוחן כל חבילת מידע וחבילת מידע שמנסה לעבור דרכה. בהתבסס על כללים שנקבעו בעבר, חומת האש מחליטה אילו מנות צריכות לעבור ואילו צריכות להיחסם. סוגים רבים של חומות אש מסוגלות לסנן תעבורת נתונים שמנסה להשאיר את הרשת שלנו בחוץ, ובכך למנוע סוגים שונים של קוד זדוני כמו סוסים טרויאניים, וירוסים ותולעים, בין היתר, להיות יעילים. חומת האש פועלת כמתווך בין המחשב שלנו (או הרשת המקומית שלנו) לבין האינטרנט, ומסנן את התעבורה שעוברת דרכו.
חומת אש, כפי שכבר תואר, מיירטת כל חבילה וחבילה המיועדת ומגיעה מהמחשב שלנו, ועושה את העבודה הזו לפני שכל שירות אחר יכול לקבל אותן. מהאמור לעיל אנו יכולים להסיק שחומת אש יכולה לשלוט בכל התקשורת של מערכת דרך האינטרנט.
נאמר כי יציאת תקשורת פתוחה אם המערכת מחזירה תגובה כאשר מגיעה חבילת בקשה ליצירת חיבור. אחרת הפורט נחשב סגור ואף אחד לא יכול להתחבר אליו. החוזק של חומת אש היא שעל ידי ניתוח כל חבילה שזורמת דרכה, היא יכולה להחליט אם לתת לה לעבור בכיוון זה או אחר, והיא יכולה להחליט אם יש להגיב לבקשות חיבור לפורטים מסוימים או לא.
חומות אש מתאפיינות גם ביכולתן לשמור על רישום מפורט של כל נסיונות התעבורה והחיבור המתרחשים (המכונה יומן). על ידי לימוד היומנים ניתן לקבוע את המקורות של התקפות אפשריות ולגלות דפוסי תקשורת המזהים תוכניות זדוניות מסוימות. רק משתמשים בעלי הרשאות ניהול יכולים לגשת ליומנים אלה, אך זוהי תכונה שניתן לדרוש מיישומים אלה.
- שתף את המאמר הזה
