محمدرضا کریمی
دیوار آتش (فایروال firewall) سد ایمن یک شبکه رایانه ای در برابر جهان خارج است. افراد، شرکت ها و سازمان های بزرگ به دیوار آتشی نیاز دارند که به قدر کافی قوی باشد و تلاش هکرها را برای نفوذ به سیستم رایانه ای ناکام بگذارد. با وجود اهمیت زیاد دیوار آتش، مدیریت قواعد آن برای این که سازمان های دارای شبکه های بزرگ رایانه ای بتوانند بین دوست و دشمن آنلاین تمیز قایل شوند، کاری پیچیده، مستعد خطا، گران و ناکارآمد است.
محمد عابدین که به همراه همکارانش در دانشگاه تگزاس تحقیقی را در این زمینه انجام داده می گوید که تنها یک خطا (error) در مجموعه قواعد کنترل یک دیوار آتش می تواند راهی را برای بروز آسیب پذیری بحرانی در سیستم باز کند.
چنین مشکل امنیتی ای می تواند به مزاحمان اجازه دهد تا به داده ها و برنامه ها دسترسی پیدا کنند که نتیجه آن تجاوز به حریم خصوصی افراد، خرابکاری عمدی صنعتی، کلاهبرداری و دزدی است. این محققان روشی را برای تجزیه و تحلیل فعالیت “فایل های لاگ” دیوار آتش شخصیت های حقیقی ایجاد کرده اند. گزارش های مربوط به فعالیت های رایانه نظیر داده ها، زمان، بایت های رسیده و ارسال شده و … در فایلی ذخیره می شود که فایل لاگ نامیده می شود. تجزیه و تحلیل های این محققان از فایل های لاگ می تواند تعیین کند که واقعاً چه قواعدی در دیوار آتش برای ترافیک ورودی و خروجی شبکه اعمال می شود. سپس این قواعد را با قواعد اصلی مقایسه کنند تا خطاها و حذفیات را مکان یابی کنند.
از زمان ظهور اینترنت، فناوری دیوار آتش پس از چند نسل ابداع و تحقیق و در یک دوره زمانی کوتاه به سرعت پیشرفت کرده که نتیجه آن ارایه خدماتی است که از نظر هزینه به صرفه و از نظر کیفیت قوی است. اما هیچ دیوار آتشی کامل نیست و همیشه امکان خطای انسانی یا اشکالات رایانه ای وجود دارد که می تواند به طور غیرعمدی مسیرهایی را مقابل کاربران بداندیش باز کند و اجازه دسترسی آنها به اجزای شبکه یا سیستم هایی که لازم است برای دسترسی به آنها محدودیت وجود داشته باشد را بدهد.
متخصصان تحقیقات زیادی برای تجزیه و تحلیل مجموعه قواعد دیوار آتش انجام داده اند تا بدین وسیله مشکلات امنیتی را کشف کنند. اما همه آنها با رویکردی ایستا از فایل های لوگ دیوار آتش که به طور دایم تغییر می کنند چشم پوشی می کنند. در حالی که فایل های لوگ می توانند منبعی غنی از اطلاعات مربوط به ترافیک شبکه را فراهم کنند. تجزیه و تحلیل فایل های لاگ به طور بالقوه می تواند راه بسیار جدی ای را برای ارزیابی شکل حفاظتی دیوار آتش پیش پای کارشناسان قرار دهد.
عابدین توضیح می دهد که با مقایسه قواعد استخراج شده از این طریق با قواعد اصلی، ما می توانیم در صورتی که هر ناهنجاری ای در قواعد اصلی و هر نقصی که در اجرا وجود داشته باشد، آن را به راحتی پیدا کنیم. او می گوید که آزمایش هایشان نشان می دهد که از تنها مقدار کمی از داده ها می توان قواعد فایروال مؤثری را با درجه بالایی از دقت بازسازی کرد.
این رویکرد همچنین مزیت هایی در زمینه تشخیص موارد خلاف قاعده که به حذفیات در خود لاگ ها می انجامد هم دارد. به طوری که موقعی که قواعد استخراج شده با قواعد اصلی مقایسه می شود، این موارد آشکار می شود.