ماذا يعني الجدار الناري و مامدى أهميته ؟

تبقى مسألة حفظ الخصوصية من أهم الهواجس التي تنتاب المستعمل خصوصا مع الإرتفاع الرهيب لمحاولات الإختراق لدى استعمالنا للإنترنات, و هو ما يدفعنا إلى استعمال بعض الوسائل الخاصة بالحماية و التي من بينها نجد مضاد الفيروسات, الجدار الناري و الترقيعات التي تهم نظم التشغيل.

1. لماذا هو مهم؟


أحد المواقع قام بتجربة فريدة للتحقق من نجاعة الجدار الناري فقام بتشغيل ستة أجهزة مختلفة من حيث الإعدادات و الأنظمة لمدة أسبوعين فكان أن حصل على النتائج التالية:
- Windows XP SP1 من دون جدار ناري تعرض ل 139.024 محاولة اختراق نجحت منها تسع محاولات.
- Windows XP SP2 مع الجدار الناري تعرض ل 1.386 محاولة اختراق لم تنجح منها أي محاولة.
- Linux مع الجدار الناري تعرض ل 795 محاولة اختراق دون أن تنجح أي محاولة.

إذن الأمر واضح, نجح الجدار الناري في إخفاء الأجهزة التي يعمل من خلالها من أعين الهاكرز و بالتالي قلل من المخاطر بشكل كبير.

2. ما هو الجدار الناري؟

يمكن أن يكون الجدار الناري في شكل عتاد Hardware أو برنامج Software مهمته الأساسية فلترة الحزم الواردة للجهاز و الخارجة منه.

الجدار الناري Pix 501 من Cisco سيسكو
و بلغة أبسط الجدار الناري يعمل كمراقب يقوم بالتحقق من الأشخاص الذين بإمكانهم أن يحطو ببلدك.
أما بلغة الإعلامية فهو يعمل على الفصل بين الشبكتين الداخلية و الخارجية و من ثم السماح بالربط بينهما في نطاق محدود و مراقب بحسب الإعدادات التي تحددها له.

3. أنا أستعمل لينوكس, هل الجدار الناري مهم بالنسبة لي؟

عند استعمالك لنظام لينوكس للمرة الأولى ستكون جميع المنافذ ports مغلقة افتراضيا و بالتالي فلا يوجد داعي لاستعمال الجدار الناري, و لكن باستعمال برامج مختلفة لاحقا كحزم المشاركة samba أو استعمال برامج torrent تتزايد الأخطار من ترك أحد المنافذ مفتوحا بدون موجب, و بالتالي الإجابة نعم للإستعمال المنزلي أو داخل الشبكات, و لكن هل تعلم بأن نظامك يحتوي على جدار ناري مدمج بالنواة و يدعى NetFilter لتصبح Iptables واجهة الإستعمال الخاصة به ابتداءا من النسخة 2.6

4. أريد استعمال iptables و لكن لا أعرف من أين أبدأ.

استعمال iptables صعب نوع ما و لكن سأحاول تقديم شرح مبسط قدر الإمكان و بالتالي سأعتمد أمثلة مشروحة دون التطرق إلى درس نظري.

iptables -t filter -A INPUT --source 207.46.134.190 --jump DROP
في هذا المثال قمنا بعمل قاعدة تنص على رفض كل ما يأتينا من العنوان 207.46.134.190 كما يمكننا عدم ادخال الأمر filter لأن هذا ما سنقوم به بطبيعة الحال ليصبح الأمر على الشكل التالي:

iptables -A INPUT -s 207.46.134.190 -j DROP
 لنحصل على نفس النتيجة. استعمال A- كان لإدخال قاعدة جديدة في آخر القناة.

بشكل عام لإدخال مجموعة قواعد جديدة أول خطوة تكون بحذف كل القواعد rules السابقة.

iptables -t filter -F
ثم نحدد له ماذا نريد منه أن يسمح له بالدخول ليقوم هو برفض الباقى:

iptables -t filter -A INPUT --protocol tcp --destination-port 80 --jump ACCEPT
هذه القاعدة تسمح بمرور كل حزم بروتوكول TCP عبر المنفذ 80. هذه القاعدة مثلا مفيدة لمن يستعمل خادم ويب, و بما أن الأشخاص الذي سيستعملون الخادم بحاجة لإجابة لطلباتهم فلا بد لنا أن بإضافة القاعدة التالية

iptables -t filter -A OUTPUT --protocol tcp --source-port 80 --jump ACCEPT
و لكي نسمح للمستعملين بتصفح صفحات الويب سنضيف
iptables -t filter -A OUTPUT --protocol tcp --destination-port 80 --jump ACCEPT
 ثم السماح بمرور الحزم الموجهة عبر المنفذ 80 من جهاز خارجي, أي لكي يستقبل صاحب الطلب ما قام بطلبه

iptables -t filter -A INPUT --protocol tcp --source-port 80 --jump ACCEPT

و لكي لا تحصل لخبطة قمنا باستعمال أربع قواعد:

  • الأول دخول ما هو موجه نحو المنفذ 80 لجهاز "أ"
  • الثاني خروج الحزم عبر المنفذ 80 لجهاز "أ"
  • الثالث خروج الحزم عبر المنفذ 80 لجهاز "ب"
  • الرابع السماح بدخول ما يأتي من المنفذ 80 لجهاز "ب"
هذا أحد الأمثلة ل script يستعمل مع خادم ويب للتوضيح فقط كما توجد أمثلة أخرى لكن سأكتفي بهذا القدر.

5. لا أريد الخوض في التفاصيل أريد برنامج شبيه ب Zone Alarm على الوندوز

لمن يريد استعمال جدار ناري بواجهة رسومية أقترح عليه استعمال برنامج firestarter

sudo apt-get install firestarter

 من دون الحاجة للدخول في الإعدادت المتقدمة فقط تأكد من تفعيل الخانتين التاليين عندما يطلب منك ذلك في الإعدادات


استعنت في الشرح بما ورد في
الموقع1 و الموقع2


4 comments: