הפעם מחמת העייפות אני אשתדל לקצר ולתמצת את המאמר .
FIREWALL
מהו firewall (חומת-אש)?
איזה שימושים עיקריים יש לחומת האש?
איזה סוגי חומות אש עיקריות ישנם?
אפשרי לעקוף חומת אש?
נתחיל בשאלה הראשונה מהי חומת האש בכלל?
תשובה: חומת אש היא במילים פשוטות חוצץ בין הרשת הגדולה והמוכרת, האינטרנט (wam) לבין הרשת
הפנימית שלנו בחברה או בבית (lan) בדרך כלל זה יהיה המיקום של חומת האש, לומרות שבאירגונים
מסויימים יש חומות אש גם בין רשתות קטנות בין בנינים כשמדובר בצורך חזק לאבטח גישות.
איזה שימושים עיקריים ישנם לחומת האש?
השימוש הנפוץ ביותר כמו שאמרנו לעיל הוא הצורך לפקח על תנועה של חבילות מידע ובקשות בין ה lan ל wan
ולהיפך כמובן.
לדוגמא: אם נרצה לחסום את תוכנת המסרים המיידיים מסנג"ר , כדי שעובד שלנו או מישהו בבית לא יוכל
לדבר עם אנשים מחוץ לחברה או לבית , פשוט נחסום את הפורט בו משתמשת התוכנה בהגדרות חומת האש
או בחומות האש המתקדמות, נגדיר את שם התוכנה וחומת האש תזהה אותה לבד בכל פורט שתשתמש.
מהם סוגי חומות האש העיקריות? והאם חומת האש של xp באמת סופר ליימרית?
ראשית כל נפריך את האגדה האורבנית, חומת האש של xp משתייכת למשפחה המתוחכמת ביותר מבין
המשפחות שנמנה , כך שאין צורך ליחס לה חשיבות כל כךך זניחה כאילו והיא לא תעזור בכלל!!
ובהמשך נרחיב בנושא.
שלושת המשפחות שאני רוצה לדבר עלייהם, מתחלקות לסוגים עקב רמת ועומק הסינון שלהם, מהירות התגובה
שלהם, רמת החסינות והאנונימיות שלהם.
ואלה השמות של המשפחות מהפשוטה ביותר למתוחכמת ביותר
1: pacet filtering firewall
2: application get way firewall
3: statefull inspection firewall
ונתחיל לפרט משפחה משפחה.
משפחה ראשונה והפשוטה ביותר, pacet filtering firewall
מדובר בחומת אש שעובדת אך ורק על השכבות 3 ו 4 במודל 7 השכבות .
לפרטים אודות השכבות כאן
אז מה זה אומר לנו בעצם שהיא מתפקדת אך ורק בשכבות 3 ו 4? זה אומר שחומת האש מתפקדת ברמת הרשת
וההעברה , ובעיברית יותר מובנת , היא חוסמת אך ורק על פי פורט ואיי פי
לדוגמא: אני מעוניים לחסום עכשיו את אימיול מלגשת לרשת.
אני מגדיר חוק בטבלה הפנימית של חומת האש שכאשר כל מחשב ברשת ניגש החוצה לרשת בפורט 6676,
שנניח והוא הפורט של אימיול כרגע אז הוא יחסם.
אם כך... מה יקרה כשנשנה את הפורט? נכון התוכנה תוכל לגשת לרשת בלי בעיה, היות והחומת אש לא
יודעת לזהות שזאת התוכנה שיוצאת החוצה כי היא לא מתפקדת בשכבות העליונות של המודל שמתעסקות עם תוכנה
(שכבה שביעית במודל היא שכבת התוכנה)
וברגע שהיא רואה פורט נניח 4567 ששינינו לאימיול אותו אחרי שנחסמנו דקה לפני, היא מאפשרת מעבר כי
מבחינתה זה לא אימיול זה פורט אחר .
כנ"ל לגבי אם נחסום איי פי מסויים של אתר נניח כדי שהעובדים לא יגשו אילו אז פשוט מאוד אם בעל האתר ישנה
איי פי אנחנו עדיין נוכל לגשת לאתר .
חיסרון נוסף הוא האנונימיות, מכיוון שבחומת אש זו במידה ויש אישור לתת יציאה לרשת למשל, אז המחשב
שיוצא החוצה יוצא ב ip שלו והוא חשוף.
יתרון אחד כן יש לחומת האש שמשתייכת למשפחה הזו, והיא המהירות שהיא גורם חשוב, חומת האש הזו
מהירה מאוד מכיוון שכל מה שהיא עושה זה לבדוק אישור ולתת תשובה, והמחשב הלקוח ממשיך בדרכו לבד
לרשת או נחסם
משפחה שניה ומתקדמת יותר - application get way firewall
כשם המשפחה כן היא - application!! get.. זאת אומרת שהיא כבר יודעת לעבוד בשכבות
ה 5 6 ו 7 גם! , מה שמאפשר לה לזהות את כל האפליקציות על פי חותמת דיגיטלית שלהם, ולא על פי
Ip שיכול בנקל להשתנות.
לדוגמא: אם נרצה כעת לחסום את אימיול רק נגיד לחומה , תחסמי את אימיול!
וכאן נגמר הסיפור, כל פורט שהיא תשתמש בו יחסם לה אוטומטית.
לגבי האנונימיות, זהו היתרון השני הבולט ביותר למשפחה זו,
משפחת חומות האש השניה נקראת גם בלשון הקהל proxy (מוכר נכון?..חח)
פרוקסי אומר למעשה שחומת האש שלנו היא עבד שלנו.
כשאנו נרצה לגשת לאתר ואללה , חומת האש תרוץ לשם במקומנו ותחזור עם כל החומר להנאתנו.
כשנרצה לשלוח בקשה לאיזה דף באינטרנט היא תבקש בשבילנו..
וכך הרווחנו אנונימיות, שכן חומת האש מבקשת ולוקחת הכל ברשת בעזרת תעודת הזהות שלה (ה ip שלה)
ואנחנו בכלל לא קשורים כביכול.
החסרון המאוד גדול שלה לעומת המשפחה הקודמת , הוא גורם המהירות שיורד כאן פלאים.
חומת האש שמשתייכת למשפחה זו חייבת להיות איטית ביותר מחומות אש אחרות, מכיוון שתארו לכם כמה זמן
לוקח לחומה לרוץ במקום כל מחשב שפונה אליה החוצה בשבילו, ולהחזיר לו ולרוץ שוב בשביל אחר ולחזור
אילו, וככה בלי סוף.
ובנוסף לבצע את עבודת האישור או החסימה של בקשות.
המשפחה השלישית והחזקה ביותר נקראת- statefull inspection firewall
משפחה זו זהה לחלוטין למשפחה הקודמת ואין שום הבדל
היא עובדת בשכבות העליונות גם כן (5 6 7 ) לכן היא יודעת לזהות אפליקציות.
היא מבצעת את אותה מטלה של הריצה עבור המשתמש הלוקאלי (proxy).
והשוני היחיד הוא שהיא לוקחת חשיש! ולכן היא מהירה יותר.
חחח לא סתם חברה זה השעה..והעייפות.
ההבדל היחיד הוא הפטנט הרשום של חברת checkpoint שהמציאה את הרעיון הגאוני שאומר כך.
כשמחשב ניגש לחומת האש ברשת בפעם הראשונה, והוא מקבל אישור לעבור או להבדיל נחסם, נוצר חוק לגבי
אותו מחשב ואותם פרמטרים שהוא ביקש לעבור איתם (לדוגמא לצאת עם אימיול בפורט 1000).
ומקוטלגים בטבלה פנימית של חומת האש.
עכשיו כאשר מחשב זה ישלח בקשה חוזרת מתיי שהוא שוב , חומת האש לא תצטרך לבצע יותר בדיקה מעמיקה
של התוכנה של החתימה שלה , של האיי פי , של הפורט ועוד.
אלא פשוט תראה אם הבקשה והפרמטרים זהים לאחת מהבקשות שהוא שלח בעבר , ותשלוף את התשובה שהוא
קיבל בעבר.
הפטנט הנ"ל מגביר את מהירות התגובה של חומת האש פי כמה וכמה.
וכך הרווחנו חומת אש חזקה, מהירה, וחכמה.
כיום רוב רובם של חומת האש משתייכות למשפחה האחרונה , וcheckpoint כמובן מקבלת מכולם
תמלוגים עבור הפטנט שלה , וכולנו מרוויחים.
חומת האש של xp משתייכת למשפחה האחרונה ולכן יש להתייחס אליה כחומת אש חכמה! ולא טיפשה.
לומרות שבהשוואה לחומות האש המגה חזקות כגון zonealarme של checkpoint אין בכלל
השוואה.
ומפה יצא לה שם חלש , יש לזכור שהיא חזקה ובהחלט תספיק להגנה בסיסית על מחשב פרטי.
ומפה והלאה השמיים הם הגבול , ומה שיותר חזק מומלץ יותר ואין בכך ספק.
מקווה ששפכתי קצת אור על נושא חומות האש.
אני יודע שלא התעמקתי כאן יותר לגבי טבלאות חומות האש , השוני בינייהם, קינפוגים וכדומה.
אבל החלטתי לכתוב על כך כבר במאמר גדול אחר.
נ.ב בקשר לפיסקה האם ניתן לעקוף חומת אש נכתוב מאמר נפרד בהיזדמנות גם כן
מקווה שנהנתם כמו תמיד
An7i