தமிழ் இணையக் கல்விக்கழகம் - TAMIL VIRTUAL ACADEMY

மொழிகள்

தீச்சுவர்ப் பாதுகாப்பு (Firewall Security)

  • 5.4 தீச்சுவர்ப் பாதுகாப்பு (Firewall Security)

        அரசுத்துறை மற்றும் பிற பொதுத்துறை, தனியார் துறை நிறுவனங்களின் பிணைய அமைப்புகளில் பெரும்பாலானவை மதிப்பேற்று பிணையம் அல்லது இணையம் வழியாகச் செயல்படும் அக இணையம் அல்லது புற இணையமாக இருக்கின்றன. இணையம் வழியான பிணைய அமைப்பு எனில் பணியாளர்கள் தமது கணிப்பொறியிலிருந்து இணையத்தை நேரடியாகவே தொடர்பு கொள்வர். தனிப்பட்ட லேன்(LAN), மேன் (MAN), வேன் (WAN) பிணைய அமைப்பு எனினும் பணியாளர்கள் தமது கணிப்பொறியிலுள்ள ’தொலைபேசிவழி இணைய இணைப்பு’ வசதி மூலம் இணையத்தைத் தொடர்பு கொள்ளவே செய்வர். பணியாளர்களுக்கு இணையம் வழியாகக் கிடைக்கும் அறிவு நிறுவனத்துக்கு நன்மை பயப்பதாகவே அமையும். எனவே அதனைத் தடுக்க இயலாது. ஆக, ஒரு நிறுவனப் பிணையத்துக்கு இணையம் வழியாகத் தாக்குதல் வரக்கூடிய ஆபத்து எப்போதும் இருந்து வருகிறது. இதனை எதிர்கொள்ள நிறுவனப் பிணையத்திலுள்ள ஒவ்வொரு வழங்கியிலும், பயனர் கணிப்பொறியிலும் ஊடுருவலுக்கு எதிரான பாதுகாப்பு நடவடிக்கையை மேற்கொள்ளலாம். ஆனால் அது நடைமுறை சாத்தியமற்ற வழிமுறை ஆகும். இன்றைக்கு அனைவராலும் ஏற்றுக் கொள்ளப்பட்டுள்ள உகந்த வழிமுறை ‘தீச்சுவர்ப்’ பாதுகாப்பாகும். தீச்சுவரின் வரையறை, வடிவமைப்பு, வகைகள், அவற்றின் பலன்கள் மற்றும் வரம்பெல்லைகளை இப்பாடப் பிரிவில் காண்போம்.

    5.4.1 வரையறையும் வடிவமைப்பும்

    வரையறை:

    தீச்சுவர் என்பது நிறுவனப் பிணையத்துக்கும் இணையத்துக்கும் இடையே அமைக்கப்படும் பாதுகாப்புச் சுவர் ஆகும். தீச்சுவர், வன்பொருள் அடிப்படையானதாகவோ, மென்பொருள் அடிப்படையானதாகவோ அல்லது இரண்டும் இணைந்ததாகவோ இருக்கலாம். அது ஒரு கணிப்பொறியாகவோ அல்லது ஒன்றுக்கு மேற்பட்ட கணிப்பொறிகளை உள்ளடக்கிய ஒரு கணிப்பொறி முறைமையாகவோ இருக்கும். இணையம்வழி ஏற்படும் தாக்குதல்களிலிருந்து நிறுவனப் பிணையத்தைப் பாதுகாப்பதும், பாதுகாப்பு நடவடிக்கைகளுக்கான நமது கவனத்தை ஒற்றைப் புள்ளியில் ஒருமுகப்படுத்தும் வாய்ப்பினை வழங்குவதும் தீச்சுவர்ப் பாதுகாப்பு முறையின் நோக்கமாகும்.

    வடிவமைப்பு:

    தீச்சுவர்ப் பாதுகாப்பை வடிவமைக்கும்போது கீழ்க்காணும் கருத்துகளைக் கவனத்தில் கொள்ள வேண்டும்:

     

    • நிறுவனப் பிணையத்திலிருந்து வெளிச்செல்லும், வெளியிலிருந்து உள்வரும் தகவல் போக்குவரத்து அனைத்தையும் தீச்சுவர் வழியாகவே கடக்கச் செய்ய வேண்டும். பிற வழிகள் மூலமான அணுகல் அனைத்தையும் தடை செய்ய வேண்டும்.
    • நிறுவனத்தின் பாதுகாப்புக் கொள்கையில் வரையறுத்துள்ளபடி அனுமதி பெற்ற தகவல் போக்குவரத்தை மட்டுமே அனுமதிக்க வேண்டும்.
    • நிறுவனத்தின் பாதுகாப்புக் கொள்கைக்கு ஏற்றபடி, வெவ்வேறு வகையான தீச்சுவர்களைப் பயன்படுத்த வேண்டும்.
    • எவரும் ஊடுருவ இயலாத பாதுகாப்பு மிக்க இயக்க முறைமையைத் தீச்சுவர்க் கணிப்பொறியில் பயன்படுத்த வேண்டும்.

    5.4.2 தீச்சுவரின் வகைகள்

        காலப்போக்கில் தீச்சுவர் பல்வேறு பரிமாணங்களைக் கண்டுள்ளது. அவற்றைக் கீழ்க்காணுமாறு வகைப்படுத்தலாம்:

    (1) பொட்டல வடிகட்டி (Packet Filter):

    பிணையத்தில் அனுப்பப்படும் தகவல் சிறுசிறு பொட்டலங்களாகப் பிரிக்கப்பட்டு, அனுப்புமுனை, இலக்குமுனைகளின் ஐபீ முகவரிகள் (IP Addresses), பொட்டல வரிசையெண், துறையெண் (Port Number) போன்ற விவரங்கள் பதிக்கப்பட்டு அனுப்பி வைக்கப்படுகின்றன என்பதை நாம் அறிவோம். எத்தகைய பொட்டலங்களை அனுமதிக்க வேண்டும், எவற்றைப் புறக்கணிக்க வேண்டும் என்று முன்பே வகுக்கப்பட்ட விதிமுறைகளின்படி இரு திசைகளிலும் பயணிக்கும் தகவல் பொட்டலங்களை வடிகட்டி அனுமதிக்கும் அல்லது புறக்கணிக்கும் இவ்வகைச் தீச்சுவர்கள்.

    (2) பொட்டல ஆய்வி (Stateful Packet Inspection):

    வெளிச்செல்லும் தகவல் பொட்டலங்களின் அனுப்புமுனை, இலக்குமுனைகளின் முகவரிகள், துறையெண் போன்ற விவரங்கள் ஓர் அட்டவணையில் குறித்து வைத்துக் கொள்ளப்படுகின்றன. உள்வரும் தகவல் பொட்டலங்களின் அனுப்புமுனை, இலக்குமுனை முகவரிகள், துறையெண் ஆகியவை அட்டவணையில் உள்ள விவரங்களோடு சரிபார்க்கப்பட்டு, அனுப்பிய தகவலுக்குப் பதிலாக வரும் தகவல்கள் மட்டும் அனுமதிக்கப்படும். ஏனையவை புறக்கணிக்கப்படும்.

    (3) பயன்பாட்டு-மட்ட நுழைவி (Application-level Gateway):

    பிணையத் தகவல் போக்குவரத்தில் குறிப்பிட்ட பயன்பாட்டுத் தகவல்கள் குறிப்பிட்ட நெறிமுறையைப் (Protocol) பயன்படுத்தி, குறிப்பிட்ட துறையெண்ணில் அனுப்பப் படுகின்றன என்பதை அறிவோம். எத்தகைய பயன்பாடுகளை அனுமதிக்கலாம் என வரையறுத்துக் கொண்டு அத்துறையெண் கொண்ட பொட்டலங்களை மட்டும் அனுமதிக்கும். நெறிமுறைகளும் துறையெண்களும் மோசடியாகப் பயன்படுத்தப்படுமாயின் அத்தகவல் பொட்டலங்கள் புறக்கணிக்கப்படும்.

    (4) இணைப்பு-மட்ட நுழைவி (Circuit-level Gateway):

    பிணையத்திலுள்ள கணிப்பொறிக்கும் வெளியே உள்ள கணிப்பொறிக்கும் (எ-டு: இணையத்திலுள்ள வலைவழங்கி) இடையே நேரடியான இணைப்பை அனுமதிப்பதில்லை. பிணையப் பயனருக்கும் தீச்சுவர் நுழைவிக்கும் இடையே ஓர் இணைப்பும், தீச்சுவர் நுழைவிக்கும் வெளிக் கணிப்பொறிக்கும் இடையே ஓர் இணைப்பும் ஏற்படுத்தப்படும். பயனர் எந்தப் பயன்பாட்டுக்கான கோரிக்கையை முன்வைக்கிறார் என்பதை ஆய்வுசெய்து அனுமதிக்கத் தக்கதாயின் இரண்டாவது இணைப்பு ஏற்படுத்தப்படும். இல்லையேல் புறக்கணிக்கப்படும். இரு இணைப்புகளும் ஏற்படுத்தப்பட்டபின் தகவல் பரிமாற்றம் நேரடியாக நடைபெறும். தகவல் பொட்டலங்கள் பரிசோதிக்கப்படமாட்டா.

    (5) பதிலி வழங்கி (Proxy Server):

    வெளிச்செல்லும் தகவல் பொட்டலங்களில் கோரிக்கை அனுப்பும் பிணையக் கணிப்பொறியின் முகவரிக்குப் பதிலாக, பதிலியின் முகவரியே அனுப்பப்படும். வெளிக் கணிப்பொறியின் பதிலுரை, பதிலி வழங்கிக்கே வந்து சேரும். பதில் சரிபார்க்கப்பட்டு உரிய பிணையக் கணிப்பொறிக்கு அனுப்பி வைக்கப்படும். நிறுவனப் பிணையக் கணிப்பொறிகளின் முகவரிகள் வெளி உலகுக்குத் தெரியாமல் மறைக்கப் படுவதால் அவை வெளித் தாக்குதல்களிருந்து பாதுகாக்கப்படுகின்றன.

    5.4.3 பலன்களும் வரம்பெல்லைகளும்

        தீச்சுவர் மூலமாகக் கீழ்க்காணும் பாதுகாப்பு நடவடிக்கைகளை மேற்கொள்ள முடியும். இவற்றைத் தீச்சுவரின் பலன்களாகக் கொள்ளலாம்:

    • இணையச் சேவைகளுள் பாதுகாப்பற்ற சேவைகளைத் தடுத்துவிடலாம். முன்வரையறுக்கப்பட்ட பாதுகாப்பான இணையச் சேவைகளை மட்டும் உள்வர, வெளிச்செல்ல அனுமதிக்கலாம்.
    • உள்பயனர்கள், வெளிப்பயனர்களில் யார் யார் எந்தெந்தச் சேவைகளை அணுகலாம் என்பதை நிர்ணயித்துக் கொள்ள முடியும்.
    • குறிப்பிட்ட சேவையை எப்படிப் பயன்படுத்த வேண்டும் என்று கட்டுப்பாடு செய்ய முடியும். உள்வரும் புற்றீசல் மின்னஞ்சல்களை (Spam mails) வடிகட்ட முடியும். வெளிப்பயனர்கள் நிறுவன வலை வழங்கியில் குறிப்பிட்ட தகவலை மட்டும் அணுகுமாறு கட்டுப்படுத்த முடியும்.
    • அனுமதியில்லாப் பயனர்கள் பிணையத்துள் நுழையாமல் தடுக்கவும், பாதுகாப்புக்குப் பங்கம் விளைவிக்கும் சேவைகள் பிணையத்துள் நுழைவது, வெளிச்செல்வதைத் தடுக்கவும் வசதியாக ஒற்றை வாசலை தீச்சுவர் வழங்குகிறது.
    • ஒரே புள்ளியில் பாதுகாப்புத் தொடர்புடைய நிகழ்வுகளைக் கண்காணிக்கவும், தணிக்கை நடவடிக்கைகளை நடைமுறைப்படுத்தவும், எச்சரிக்கை அறிவிப்புகளுக்கு ஏற்பாடு செய்யவும் முடியும்.
    • பிணைய மேலாண்மை, பயனர்களின் இணைய உலாக்களைப் பதிவு செய்தல் போன்ற பாதுகாப்புத் தொடர்பில்லாத இணையச் செயற்கூறுகளைச் செயல்படுத்துவதற்கு ஏற்ற தளமாகவும் விளங்குகிறது.
    • இணையம் வழியாகப் பாதுகாப்பான மெய்நிகர் தனியார் பிணையங்களை (Virtual Private Networks) அமைத்துச் செயல்பட தீச்சுவர் உதவுகிறது.

    ஒரு கணிப்பொறிப் பிணையத்துக்கு நூறு சதவீத பாதுகாப்பினை தீச்சுவரினால் வழங்க இயலாது. தீச்சுவரின் வரம்பெல்லைகளுள் (limitations) சிலவற்றைக் காண்போம்:

    • தீச்ச்சுவரின் வழியாக வராமல் வேறு வழியாக வரும் தாக்குதல்களுக்குத் தீச்சுவர் பாதுகாப்பு வழங்க இயலாது. பணியாளர்கள் தீச்சுவர் வழியாக இணையத்தை அணுகாமல், தம் கணிப்பொறியிலிருந்து தொலைபேசி, இணக்கி (modem) மூலம் இணையத்தை அணுக அனுமதித்தால் அதனால் ஏற்படும் ஆபத்துகளைத் தீச்சுவரால் தடுக்க இயலாது.
    • ஏதேனும் காரணத்துக்காக நிர்வாகத்தின் மீது வெறுப்புக் கொண்ட பணியாளர், ஏதேனும் ஆதாயத்துக்காக நிர்வாகத்துக்குத் துரோகம் இழைக்க நினைக்கும் பணியாளர், அறியாமையில் அத்துமீறிளுக்குத் துணைபோகும் பணியாளர் - இவர்களைப் போன்ற உள்ளாட்களால் ஏற்படும் ஆபத்துகளைத் தீச்சுவரால் தடுக்க இயலாது.
    • வெளியிலிருந்து பெறப்படும் நிரல்கள், கோப்புகள், மின்னஞ்சல்கள் மூலம் தொற்றுகின்ற நச்சுநிரல்களினால் ஏற்படும் ஆபத்துகளுக்கு எதிரான பாதுகாப்பினைத் தீச்சுவரால் வழங்க இயலாது.
புதுப்பிக்கபட்ட நாள் : 02-09-2016 23:33:34(இந்திய நேரம்)