یک نکته در خصوص پیکربندی و تنظیم صحیح دیواره آتش PfSense

در فایروال PfSense به صورت پیش فرض اجازه برقراری هرگونه ارتباطی از شبکه داخلی به سایر شبکه ها داده می شود . این رویکرد ، مناسب یک محیط سازمانی نیست و می تواند آسیب های  بسیاری را متوجه منابع و دارایی های اطلاعاتی نماید که در پناه دیواره آتش قرار گرفته اند.

به طور کلی رهیافت اساسی در نگارش قواعد دیواره آتش در خصوص دسترسی کاربران، ماشینها و سرویسهای موجود در شبکه داخلی به شبکه های دیگر ، بکارگیری اصل (( دسترسی محدود و مبتنی بر نیاز)) است . به این معنا که کاربران ، ماشینها و سرویس های موجود در شبکه داخلی تنها با استفاده از پروتکلهای ضروری و مورد نیاز برای انجام صحیح وظایف خود و در کمترین حد ممکن می توانند به شبکه های دیگر دسترسی داشته باشند و ازارتباط آنها با این شبکه ها با استفاده از هر پروتکل و سرویس دیگری جلوگیری خواهد شد.

 اهمیت این رویکرد زمانی آشکار می شود که بدانیم بسیاری از تلاشهای بدخواهانه و خرابکاری های انجام شده بر علیه منابع ، دارایی های فن آوری اطلاعات و زیرساخت های حیاتی شبکه ، ریشه در اهداف انتقام جویانه کارکنان ناراضی خود سازمانها دارد ، از این رو پذیرش قابل اطمینان بودن شبکه داخلی باوری منسوخ و نادرست بوده و لازم است در تدوین خط مشی های امنیتی که مرجع اصلی نگارش قواعد (Rules) دیواره آتش به حساب می آید این حقیقت در نظر گرفته شود. با رعایت این اصل توانایی کاربران بدخواه و بدافزارهایی که در ژرفای محیط شبکه داخلی شما لانه کرده اند بسیار محدود خواهد شد.  برای نمونه کاربران شبکه داخلی برای دسترسی به سرویس وب (WWW ) درشبکه جهانی Internet تنها به پروتکل های HTTP و HTTPS  و امکان درخواست تبدیل نام از سرویس DNS نیاز دارند بنابراین در قواعد تعریف شده در FireWall بایستی امکان ارتباط شبکه داخلی با اینترنت تنها از طریق پروتکل TCP و پورتهای مقصد 80 و 443 و پروتکل UDP با شماره پورت مقصد 53  فراهم گردد و دیگر ضرورتی برای باز شدن پورتهای 20 و 21  پروتکل TCP که مربوط به سرویس FTP است و یا پورت 53 پروتکل TCP که به سرویس DNS اختصاص دارد  و به منظور Zone Transfer استفاده می شود وجود نخواهد داشت . در این حالت کاربران و نرم افزارهای موجود امکان بهره گیری از پروتکل FTP برای بارگزاری و دریافت فایل های مورد نظر خود را نخواهند داشت و دایره توانایی آنها در ارسال و دریافت فایلها و تبادل اطلاعات با اینترنت محدود به پروتکل های http و https خواهد بود. همچنین در بسیاری از شبکه ها نیازی به IP V6 نیست بنابراین در PfSense ضرورتی برای ایجاد قواعدی که ترافیک مبتنی بر IP V6 را مجاز می شمارد وجود نخواهد داشت.

یکی دیگر از دلایل مهم رعایت اصل(( دسترسی محدود و مبتنی بر نیاز)) حفاظت سازمان و کسب و کار در برابر قانون و حفظ سرمایه اجتماعی و اعتماد مشتریان  است برای درک اهمیت این موضوع کافی است تصور کنید یک یا تعدادی از ماشینهای موجود در شبکه داخلی سازمان شما به هردلیلی به بدافزار مرتبط با یک BotNet آلوده شده  باشند در این حالت ماشینهای تحت اختیار و مالکیت سازمان شما به عضوی از BotNet تبدیل شده و می توانند با ارتباط گیری با مرکز فرماندهی این شبکه مخرب در یک حمله گسترده DDOS که بر علیه منابع پردازشی ، ارتباطی و یا سرویسهای سازمان دیگری تدارک دیده شده است شرکت کنند .حال چنانچه شرکتی که قربانی این حمله شده در مراجع قانونی اقدام به طرح شکایت و اقامه دعوی کند ، بی گمان در ردیابی و بررسی های صورت گرفته توسط قانون پای شرکت شما هم به ماجرا کشیده خواهد شد و سازمان شما افزون بر پاسخگویی در برابر قانون ممکن است اعتماد مشتریان خود را نیز از دست داده و در نتیجه آن  بخشی یا تمامی سهم خود از بازار را به رقبا واگذار کند. با دانستن این نکته که ماشینهای آلوده برای تکمیل فرآیند نصب بدافزار BOT و  ارتباط با مرکز فرماندهی BotNet جهت دریافت دستور حمله به قربانی از شماره پورتهای خاصی چون  TCP 6667 که شماره پورت معمول کانالهای IRC است استفاده می کنند می توانید با بستن این گونه پورتها ، تلاش سیستم های آلوده را بی اثر کنید. لازم است بدانید که در دیواره آتش PfSense چنانچه ترافیک رسیده به فایروال با هیچیک از قواعد (Rules) تعریف شده توسط کاربر تطابق نداشته باشد و یا برای اجازه عبور یک ترافیک خاص ازفایروال قاعده صریحی توسط کاربر نگارش نیافته باشد ، ترافیک مسدود شده و اجازه عبور از فایروال را نخواهد داشت  بنا براین شما به عنوان کاربر تنها کافیست به ترافیک مورد نیازتان اجازه عبور (Pass) بدهید ، سایر ترافیک ها  به صورت خودکار مسدود خواهند شد.