Firewall

Чөлөөт нэвтэрхий толь — Википедиагаас
Харайх: Удирдах, Хайлт

FIREWALL буюу ГАЛТ ХАНА гэж юу вэ?


Юу хийдэг вэ: Firewall нь нийтийн сїлжээ болон компьютерийн систем рїї интернэт холболтоор дамжин ирж байгаа мэдээллийг шїїх шїїлтїїр бїхий техник хангамжийн тєхєєрємж буюу програм юм. Нэг ёсондоо тоног тєхєєрємж ба програм хангамж гэсэн хоёр янз байдаг. Firewall-ийн тухай амархан ойлгоё гэвэл томоохон компанийн компьютерїїдийг хамгаалахад .rewall хэрхэн тусалдаг тухай жишээг харцгаая. 500-аад ажилчидтай нэг компани байлаа гэж бодъё. Мєн тэр тооны компьютеруудтай бєгєєд бїгдээрээ дотоод сїлжээгээр бие биетэйгээ холбогддог. Компани нь Т1, Т3 шугамаар дайрах интернэтийн хэд хэдэн холболттой. Тэнд байгаа хэдэн зуун компьютерууд интернэт рїї .rewall-гїйгээр шууд холбогдоно.

Гэтэл гадны хэн нэг этгээд компанийн компьютеруудыг тандаж судалж байгаад тэдэнтэй FTP болон Телнет холболтыг хийхээр оролджээ. Єєрєєр хэлбэл интернэтээр файл, мэдээлэл дамжуулахыг оролдоно гэсэн їг юм. Хэрвээ нэг л ажилчин алдаа гаргаж, хамгаалалтын “цоорхой” їлдээвэл хакерууд тэр л нїхийг тун овжноор ашиглаж, тухайн компанийн дотоод сїлжээ, систем рїї нэвтрээд ороод ирэх магадлалтай. 500-аад ажилчид бїгдээрээ алдаа гаргахгїй, найдвартай ажиллана гэж бараг л байхгїй. Тиймээс заавал ч їгїй сїлжээний нэгдсэн хамгаалалт хэрэгтэй юм. Хэрвээ .rewall-той бол нєхцєл байдал огт єєр байх болно. Интернэтийн холболт бїгд .rewall-р хамгаалагдсан байна. Дээрх жишээн дээр авч їзвэл компани руу ирж байгаа Т1 шугам бїрт .rewall байна гэсэн їг. Тэгэхээр хэн ч ямар ч компьютераас интернэт рїї орсон бай, тэр їед нь .rewall ажиллаж, компанийн сїлжээний найдваргїй ажиллагааг хангаж чадна.

Тїїнчлэн 500 гаруй ажилчидтай компанийн тухайд, тэднээс хэд нь FTP холболтод холбогдож, файл дамжуулж болох, хэд нь файл дамжуулах эрхгїй байх зэргийг .rewall дээрээ тохируулан бий болгож болно. Мєн хичнээн ажилчин вэб сайтуудад холбогдож байгааг, гадагшаа явуулж байгаа файлууд нь уг компаниас гаргаж болох файлууд уу їгїй юу, мєн хэдэн хїн сїлжээ ашиглаж байгаад хяналт тавьж болох мундаг боловсронгуй технологи юм. Firewall-ууд нь сїлжээгээр мэдээлэл орох гарах урсгал, хєдєлгєєнийг хянахдаа дараах 3 янзын аргыг ашигладаг.

- Packet filtering Packet /Пакет/ гэдэг нь єгєгдлийн нэг хэсэг юм. Интернэтээр ямар нэгэн файлыг илгээхэд TCP/IP протокол уг файлыг жижиг, жижиг хэсгїїдэд хувааж байж дамжуулдаг. Тэдгээр олон жижиг хэсгїїдийн нэгийг пакет гэдэг. Пакетууд тус бїрдээ дугаарлагддаг ба очих газрынхаа IP хаягийг агуулсан байдаг. Тэгээд интернэтээр дамжихдаа заавал нэг замаар дамжих албагїй єєр єєр замаар дамжиж болох ба хїрэх газраа очсон хойноо нийлж эргээд нэг файл болдог. Тэгэхээр энэ арга бол пакетуудыг шїїх шїїлтїїр бєгєєд тохируулж, тогтоож єгсєн шїїлтїїрийн хэм хэмжээний дагуу дїн шинжилгээ хийдэг. Пакетууд шїїлтїїрээр чєлєєтэй нэвтэрсний дараагаар очих ёстой газраа саадгїй хїрдэг.

- Proxy service Интернэтээс ирсэн мэдээллийг fire­wall-р сэргээгээд систем рїї илгээнэ.

- Stateful inspection Энэ бол арай шинэлэг арга юм. Энэ аргын хувьд пакет бїрийн гарчгийг судлаад байхын оронд пакетуудын хувьд мэдээллийн баазад гарцаагїй байх зарим тїлхїїр хэсгїїдийг нь харьцуулж їздэг. Firewall-аар дамжин “аялж” байгаа мэдээллїїдийн євєрмєц шинж чанаруудыг тодорхойлдог. Харин гаднаас орж ирж байгаа мэдээллийг тэдгээр шинж чанаруудтай харьцуулдаг. Хэрвээ харьцуулалт зєв зїйтэй гарвал тухайн мэдээллийг нэвтрэхийг зєвшєєрдєг. Їр дїн буруу, зєрїї гарахад мэдээллийг нэвтрїїлэхээс татгалздаг байна.

FIREWALL-ийг єєртєє тохируулан бэлтгэх

Firewall-ийг єєрийнхєє хэрэгцээнд тохируулан єєрчлєн зохион байгуулж болно. Тухайлбал, IP хаяг, домэйн нэр, протокол зэрэг дээр цензур тавьж, єєрийн гэсэн “галт хана”-аа босгож болно. Энэ мэтчилэн дараах нєхцєлїїд дээр .rewall-ийн тохиргоог хийж болох юм.

   IP хаяг- Интернэтэд холбогдсон тоо тоймшгїй олон компьютеруудыг ялган таних ганцхан таних тэмдэг буюу хаяг нь IP хаяг юм. IP гэдэг нь Интернэт протокол гэсэн їгийн товчлол. Энэ хаяг нь 32 битийн тоонуудаас бїрдсэн, 216.22.61.115 гэсэн хэлбэртэй байдаг. Бїх компьютерууд ийм хаягтай байх ба, серверїїд бас ийм хаягтай байна. Жишээ нь, компанийн хувьд .rewall-аар бїх хєдєлгєєнийг хааж, ямар ч компьютертай холбогдох боломжгїй болгоё гэвэл IP хаягийн тохиргоо дээр ажиллах хэрэгтэй юм.
   Домэйн нэр- Интернэт дэх бїх вэбїїд аль нэг сервер дээр байрладаг бєгєєд тухайн сервер ч бас IP хаягтай байна гэж тїрїїн хэлсэн.  Харин IP хаяг нь тоон хэлбэртэй учраас санахад хэцїї байх нь мэдээж юм. Тиймээс интернэт дэх бїх серверїїд хїнд уншигдахад хялбар нэртэй байдаг ба тїїнийг нь домэйн нэр гэдэг. Єєрєєр хэлбэл хїмїїс 216.28.66.858 гэсэн хэцїї тоонуудыг санахаас илїї www.computertimes.mn  гэсэн хаягийг тогтоож авах нь илїї амар. Энэ домэйн нэр нь, хостын нэр /www/, домэйн нэр /computertimes/, єргєтгєл /mn/ гэсэн гурван хэсгээс бїтдэг. Компанийн хувьд бїх сервер, IP хаяг буюу компьютеруудтай биш зарим нэгтэй нь холбогдох эрхтэй  байлгая гэвэл домэйн нэрийн тохиргоог тохируулах хэрэгтэй. Єєрєєр хэлбэл .rewall-aa тохируулахдаа зарим домэйн нэрїїдтэй холбогдох эрхийг хааж, зайлшгїй хэрэгтэй тусгай домэйн нэрїїдэд холбогдох эрхтэйгээр тохируулж болно.
   Протокол- Протокол бол нарийн тодорхойлогдсон зам гэж ойлгож болно. Сервертэй холбогдлоо гэхэд тухайн їйлчилгээ тодорхой нэг протоколоор дамждаг. Энгийнээр тайлбарлавал сервер, клиент хоёрын харилцан ойлголцох зам юм. Тэд эхлээд хоорондоо зєв ойлголцон, замаа тодорхойлж байж, тїїнийхээ дагуу мэдээллээ зєв дамжуулж чаддаг. http бол вэбийн протокол. Зарим энгийн протоколуудад .rewall филтерїїдийг суулгаж болдог.
   IP /Internet Protocol/ - Интернэтээр мэдээллийг дамжуулах їндсэн систем.
   TCP /Transmission Control Protocol/ - Интернэтээр аялж байгаа мэдээллийг дахин зохин байгуулах, єєрчлєхєд ашиглагддаг протокол. Єєрєєр хэлбэл мэдээллийг багцлаад интернэтээр дамжуулж байхад нь алдаа гарах эсэхийг хянаж байдаг. Багц буюу пакетууд нэг газраа хїрч очиход мєн л TCP хїлээн авч нэг файл болгодог.
   HTTP /Hyper Text Transfer Protocol/ - Вэб хуудаснуудад ашиглагддаг
   FTP /File Transfer Protocol/ - Файл оруулах, татахад ашиглагдана.
   UDP /User Datagram Protocol/ - Дуу, видео гэх мэт хариулт шаардагдахгїй мэдээлэлд ашиглагдана.
   ICMP /Internet Control Message Pro­tocol/ - Єєр чиглїїлэгчтэй мэдээлэл солилцох чиглїїлэгчид ашиглагддаг.
   SMTP /Simple Mail Transport Pro­tocol/ - Имэйл захиа буюу текстэн мэдээллийг дамжуулахад хэрэглэгддэг.
   SNMP /Simple Network Management Protocol/ - Алслагдсан компьютераас мэдээлэл цуглуулахад ашиглагдана.
   Telnet /Teletype Network/ – Одоо ашиглаж байгаа энэ компьютераасаа алс хол байгаа компьютерт нэвтрэн їйлдэл хийхэд ашиглагддаг. Гэхдээ цаад компьютераасаа зєвшєєрєл авсан байх хэрэгтэй. 

Компаниуд .rewall-ийг ганц хоёр компьютер дээр зарим нэг протокол дээр суулгаж болох ч бас бїх машинууд дээр протоколуудыг хориглож ч болно.

   Портууд- Ямар ч сервер машинууд интернэттэй харьцахдаа тоо бїхий портуудыг ашигладаг. Интернэтийн їйлчилгээнїїд бїгд  єєр єєр портуудыг ашигласан байдаг. Жишээ нь, сервер машин вэб сервер буюу /HTTP/-г ажилууллаа гэхэд 80-р порт, FTP серверийг ашиглалаа гэхэд 21-р портыг ашигладаг. Компани бїх компьютерийнхаа 21-р портыг хааж, ажиллах эрхгїй болгочихвол компанийн компьютерууд тэр чигээрээ ямар ч файл upload хийж болохгїйгээс гадна татаж авч бас болохгїй.
   Євєрмєц їгс ба єгїїлбэр- Firewall нь  мэдээллийн багц бїрийг сайтар шинжилж сонждог. Жишээ нь, чи “X-rated” гэдэг їгтэй ямар ч пакетыг хориглох тухай .rewall-аа загварчилсан байг.  Тэгвэл яг л энд байгаа тїлхїїр їгийг нэвтрїїлэхгїй барьж чадах ба харин “X rated” гэсэн їгийг филтер барьж чадахгїй. Гэхдээ мэдээж хэрэг чи тэдгээр їгнїїдийн гажиж болох єєр олон хэлбэр, єгїїлбэрїїдийг мєн загварчилж, тохируулж єгч болно шїї дээ. 

Зарим їйлдлийн систем нь .rewall-н зохион байгуулалттай ирдэг. Жишээ нь, Windows XP єєрийн гэсэн .rewall-тай ирдэг. Гэхдээ тэрний нэг дутагдалтай тал нь гаднаас довтлох аюулуудаас єєрийгєє хамгаалж чадах хэдий ч нэгэнт системд нэвтрээд ороод ирсэн аюулыг яаж ч чаддаггїй гэчихвэл буруудахгїй. Тэгэхээр їйлдлийн системд дагалдаж ирдэг .rewall-д лав 100 хувь найдаж болохгїй, гаднаас ч, дотноос ч халдахаас сэргийлсэн найдвартай “галт хана”-ууд зайлшгїй хэрэгтэй. Мєн сїлжээнийхээ аль нэг, /толгой/ компьютерт .rewall програм хангамжийг суулгаж болно. Ийм тохиолдолд уг суулгасан компьютер нь сїлжээнд холбогдсон бусад компьютерийнхаа ємнєєс бїхнийг хамгаалах “хаалга” болж єгдєг. Ихэнх Anti Virus програмтай хамт Firewall програм нь дагалдаж ирдэг. Мєн їнэгїй авч ашиглахад зориулсан www.zonealarm.com сайт байдаг шїї. Техник хангамж бїхий .rewall-ийн хувьд, .rewall-ийн тухайн тєхєєрємж нь єєрєє ердийн “хаалга” болох юм. Хамгийн энгийн жишээ бол Linksys Cable/DSL чиглїїлэгч юм. Firewall тєхєєрємжїїд нь тийм ч їнэтэй биш байдаг.

FIREWALL Чамайг юунаас хамгаалах вэ? Хамгаалалтгїй сїлжээ бол хаалга нь дэлгээтэй айл л гэсэн їг. Хэн ч орж дураараа аашилж, ёс суртахуунгїй хїмїїс нэвтэрч буруугаар ашиглан, хорлон гэмтээж болно. Firewall буюу найдвартай “галт хана” нь дараах зїйлїїдээс сїлжээг хамгаалдаг.

   Remote login - Алсаас нэвтрэх. Хэн нэгэн чиний компьютерт холбогдох боломжтой болно. Ингэснээрээ компьютер дээрх програмуудыг ажиллуулж, чухал файлуудад нэвтэрч, харах боломжтой болно. 
   Application backdoors – Зарим програмууд алсаас нэвтрэн орохыг зєвшєєрсєн євєрмєц онцлогтой байдаг. Нєгєє хэсэг нь “backdoor”-ийг /арын буюу нууц хаалга гэсэн утгатай/ хангаж єгсєн алдаануудыг агуулсан байдаг, эсвэл нууцаар холбогддог.
   SMTP session hijacking – SMTP бол интернэтээр имэйл илгээх хамгийн энгийн арга юм. Имэйл хаягийн жагсаалтад нэвтрэн орж авснаар, хэдэн сая хэрэглэгчид рїї хэрэггїй, спам захианууд явуулах боломжтой болдог. SMTP серверээр имэйлїїдийг ямар ч сэжиггїйгээр дахин удирдаж илгээдэг бєгєєд одоогийн спам илгээгчдийг ялган таних маш хэцїї юм.
   Їйлдлийн системийн алдаа – Зарим їйлдлийн системїїд бас алсаас нууцаар нэвтэрдэг. Хамгаалалт хангалттай биш болохоор дадлага туршлагатай хакер боломжийг ашиглаж алсаас нэвтэрдэг. 
   Ихэнх хакерууд томоохон вэб сайтууд болон вэб серверїїдэд нэвтрэх гэж оролддог. Тэр тусмаа банкны тєлбєр тооцоо, гїйлгээ хийж болдог вэб сайтуудад нэвтрэх дуртай байдаг. Тиймээс сїлжээгээ хамгаалах, найдвартай байлгах нь энэ тєрлийн бизнесийнхний амин чухал зїйл билээ. 
   E-mail bombs – Имэйлээр бємбєгдєх. Энэ нь гол тєлєв хувийн дайралт байдаг. Хэн нэгэн чам руу хэдэн зуун мянган имэйл зэрэг зэрэг явуулж, ачааллыг ихэсгээд,  чиний имэйлийн системийг єєр ганц ч имэйл хїлээж авах чадваргїй болтол нь гэмтээнэ.
   Macros – Ихэнх програмууд єєр дээрээ нэмэлт Macro-тай байдаг. Macro гэдэг нь MS-Word, Excel зэрэг хэрэглээний програмын єєрийн дотоод Мacro хэлийг ашиглан бичсэн скрипт код эсвэл програм зэргийг хэлдэг. Зарим макро єєрийгєє хуулбарладаг бол зарим нь документэд халдаж гэмтээдэг. Хакерууд макроны энэ давуу талыг ашиглан, компьютерийг гэмтээх эсвэл мэдээллийг устгаж гэмтээдэг.
   Вирус – Компьютерийн вирус ямар аюултайг бїгдээрээ сайн мэдэх биз ээ. Вирус бол бусад компьютерууд руу єєрийгєє хуулан маш хурдан тархаж чаддаг жижиг програм юм. 
   Спам – Тэгтлээ их гэм хортой биш ч, хэрэггїй хог болсон захидлаар таны имэйлийн систем дїїрчихвэл яах вэ. Байх ёстой хэм хэмжээг алдагдуулснаараа спамууд ч гэсэн аюулд учруулж чадна.
   Хакерууд єєр чиглїїлэгч руу илгээж байгаа мэдээлэл болон замыг єєрчлєхдєє ICMP-г ашиглаж чаддаг. Хакеруудын бас нэг хор хєнєєл нь энэ юм.
   Ихэнх тохиолдолд интернэт болон єєр ямар нэгэн сїлжээгээр дамжиж байгаа пакетуудын зам бол чиглїїлэгчээр тодорхойлогдсон байдаг. Гэхдээ зарим тохиолдолд цаад эх сурвалж нь пакетуудад явах замаа єєрсдєє сонгох бололцоог олгоод єгчихдєг. Энэ байдлыг нь хакерууд ашиглаж болно.

Спам, имэйл, вирус, хакер гээд сїлжээнд аюул учруулах зїйлїїд тун олон байгаа биз. Эдгээр жагсаалтад дурдсан зїйлїїдийн заримаас нь хамгаалах тун хэцїї л дээ. Зарим спамууд .rewall-ыг чєлєєтэй нэвтрээд л хїрээд ирдэг. Зарим .rewall-ууд давхар вирусийн хамгаалалтыг ашиглахыг санал болгодог. Ер нь компьютер бїрт вирусийн эсрэг програм хангамж суулгах хэрэгтэй юм. Юу юунаас єєрийгєє хамгаалуулах вэ гэдгийг тохируулахдаа эхлээд таны .rewall-ийн їзїїлэлт ямар байгаа, хичнээн аюулуудыг зогсоож чадах нь вэ гэдгийг харгалзан їзэж, тодорхойлох хэрэгтэй байдаг.

Хамгаалалтын хамгийн єндєр тївшин бол юм бїгдийг хялбархан блоклох буюу хаачихдаг. Гэхдээ дандаа имэйл явна, гэх мэтээр сонгон тохируулах нь зїйтэй. Энэ тухайд туршлагатай, чадварлаг сїлжээний администраторууд юу хийх хэрэгтэйгээ сайн мэдэж байгаа. Firewall-ийн тухай хамгийн шилдэг ойлголт гэвэл таны сїлжээнд хэн нэгэн нэвтрэхийг зогсоож чадна. Firewall-ийг тавьж, суурилуулж, хэрэглэснээрээ оюун ухаан, сэтгэл санааны амар амгалан байдлаа хангах болно гэж хїртэл хэлэх болжээ.