Tarqalgan CS ning har bir ob'ektida ishlaydigan tarmoq operatsion tizimiga yuklangan asosiy vazifalardan biri har qanday tarmoq ob'ektidan ushbu ob'ektga ishonchli masofaviy kirishni ta'minlashdir. Umumiy holatda, taqsimlangan CSda tizimning har bir sub'ekti har qanday WCS ob'ektiga ulanishi va o'z huquqlariga muvofiq uning resurslariga masofaviy kirish imkoniyatiga ega bo'lishi kerak. Odatda, kompyuter tarmoqlarida masofaviy kirishni ta'minlash imkoniyati quyidagicha amalga oshiriladi: tarmoq operatsion tizimidagi WAN ob'ektida bir qator server dasturlari (masalan, FTP serveri, WWW serveri va boshqalar) ishga tushiriladi, ular masofadan kirishni ta'minlaydi. ushbu ob'ektning resurslari. Ushbu server dasturlari masofaviy kirishni ta'minlash uchun telekommunikatsiya xizmatlarining bir qismidir. Serverning vazifasi WAN ob'ektining operatsion tizim xotirasida bo'lgan holda uzoq ob'ektdan ulanish so'rovini doimiy ravishda kutishdir. Agar bunday so'rov olingan bo'lsa, server, iloji bo'lsa, so'rov yuborayotgan ob'ektga javob yuborishi kerak, unda ulanishga ruxsat beriladi yoki yo'q (serverga ulanish maxsus sxematik tarzda tasvirlangan, chunki tafsilotlar muhim emas. moment). Shunga o'xshash sxema bo'yicha virtual aloqa kanali yaratiladi, bu orqali RCS ob'ektlari odatda o'zaro ta'sir qiladi. Bunday holda, tarmoq OT yadrosi virtual kanal (VC) yaratish uchun kiruvchi so'rovlarni to'g'ridan-to'g'ri qayta ishlaydi va ularni so'rov identifikatoriga (port yoki soket) muvofiq mos keladigan server bo'lgan dastur jarayoniga uzatadi.
Shubhasiz, tarmoq operatsion tizimi cheklangan miqdordagi ochiq virtual ulanishlarga ega bo'lishi va faqat cheklangan miqdordagi so'rovlarga javob berishi mumkin. Ushbu cheklovlar butun tizimning turli parametrlariga bog'liq bo'lib, ularning asosiylari kompyuterning tezligi, operativ xotira miqdori va aloqa kanalining o'tkazish qobiliyatidir (u qanchalik baland bo'lsa, birlik uchun mumkin bo'lgan so'rovlar soni shunchalik ko'p bo'ladi. vaqt).
Asosiy muammo shundaki, RCSda statik kalit ma'lumotlari mavjud bo'lmaganda, so'rovni faqat uni jo'natuvchining manzili bo'yicha identifikatsiya qilish mumkin. Agar tarqatilgan CS jo'natuvchining manzilini autentifikatsiya qilish vositalarini taqdim etmasa, ya'ni RCS infratuzilmasi tizimning bir ob'ektidan boshqa ob'ektlar nomidan hujum ostida bo'lgan boshqa ob'ektga cheksiz miqdordagi anonim ulanish so'rovlarini o'tkazishga imkon beradi . bu holatda odatdagi masofadan turib xizmat ko'rsatishni rad etish hujumi muvaffaqiyatli bo'ladi. Ushbu masofaviy hujumdan foydalanish natijasi hujum qilingan ob'ektga tegishli masofaviy kirish xizmatining ishlashini buzish, ya'ni boshqa WAN ob'ektlaridan masofaviy kirishni olishning mumkin emasligi - xizmat ko'rsatishni rad etish!
Ushbu odatiy masofaviy hujumning ikkinchi versiyasi hujumga uchragan ob'ektga bitta manzildan trafik imkon beradigan darajada ko'p so'rovlarni yuborishdan iborat (so'rovlarning yo'naltirilgan "bo'roni"). Bunday holda, agar tizimda vaqt birligi uchun bitta ob'ektdan (manzildan) olingan so'rovlar sonini cheklaydigan qoidalar bo'lmasa, bu hujumning natijasi so'rovlar navbatining to'lib ketishi yoki ulardan birining ishlamay qolishi bo'lishi mumkin. telekommunikatsiya xizmatlari yoki tizim so'rovlarni qayta ishlashdan boshqa hech narsa qila olmasligi sababli kompyuterning to'liq o'chirilishi.
Va oxirgi, uchinchi turdagi "Xizmat ko'rsatishni rad etish" hujumi - bu hujum qilingan ob'ektga noto'g'ri, maxsus tanlangan so'rovni uzatish. Bunday holda, agar masofaviy tizimda xatolar mavjud bo'lsa, so'rovni qayta ishlash protsedurasi aylanishi mumkin, bufer to'lib-toshadi, keyin tizim osilib qoladi va hokazo.
Oddiy masofaviy hujum "Xizmatni rad etish" - bu hujum nishoniga nisbatan so'zsiz tizimni buzish maqsadida amalga oshiriladigan faol ta'sir. Ushbu UA OSI modelining transport va amaliy (7) darajalarida amalga oshiriladigan segmentlararo va segmentlararo bir yo'nalishli ta'sirdir.
2.2 Himoya vositalari
2.2.1 Himoya usullari
Tahdidlarni tahlil qilgandan so'ng, korxona infratuzilmasi uchun eng xavfli "passiv" hujumlar ekanligini ko'rishingiz mumkin, ya'ni. korxona tarmog'iga jismoniy kirish imkoni bo'lmagan, bosh ofis va korxona filiali o'rtasidagi tarmoq trafigini tahlil qilish va ushlab turishga qaratilgan hujumlar, shuning uchun aloqa kanallarini himoya qilish eng ustuvor vazifa bo'ladi.
Jadval 1. tahdid tahlili
Tahdidning nomi
|
Zarar
|
Tarmoq trafigini tahlil qilish
|
taqsimlangan samolyotning ish mantig'ini o'rganish,
ma'lumotlar oqimini ushlab turish.
|
Taqsimlangan havo kemasining ishonchli ob'ektini yoki predmetini almashtirish
|
Axborotning maxfiyligi va yaxlitligini buzish
|
Axborotni o'zgartirish va almashtirish
|
ma'lumotni o'zgartirish uning qisman buzilishiga olib keladi;
almashtirish - uning to'liq o'zgarishiga.
|
Xizmatni rad etish
|
So'rovni qayta ishlash protsedurasini aylantirish, buferning to'lib ketishi, keyin tizimni muzlatish va hokazo.
|
Jadval 2. Himoya vositalari
Himoya vositalarining nomi
|
Tahdidning nomi
|
IPsec VPN _
|
Tarmoq trafigini tahlil qilish
|
Ulanishni boshqarish,
Xavfsizlik siyosati
|
Taqsimlangan havo kemasining ishonchli ob'ektini yoki predmetini almashtirish
|
Antivirus
|
Axborotni o'zgartirish va almashtirish
|
Xavfsizlik devori sozlamalari
|
Xizmatni rad etish
|
Filiallar o'rtasida axborot almashish kanallarini himoya qilishning eng samarali usullaridan biri bu trafikni shifrlashdir, ammo bu uzatiladigan ma'lumotlar xavfsizligini kafolatlamaydi. Shuning uchun, mening fikrimcha, axborot xavfsizligini oshirish uchun terminaldan foydalanish kerak.
Korxonaning ichki infratuzilmasi uchun eng katta xavf axborotni o'zgartirishga qaratilgan hujumlar, ya'ni. virus hujumlari, shuningdek, josuslik dasturlari. Viruslarning kirib borishi faqat ikkita usulda, mahalliy (portativ xotira qurilmalari, kompakt disklar) va Internet orqali mumkin. Internet tahdidlaridan himoya qilish, shuningdek, trafikni tejash uchun o'rnatilgan antivirusga ega proksi -server ishlatiladi. "Mahalliy" virus tahdidlaridan har bir foydalanuvchining kompyuterida o'rnatilgan antivirus ishlatiladi, bu ham Internet tahdidlaridan himoya qilishning ikkinchi vositasi bo'lib xizmat qiladi.
Shuningdek, xavfsizlikni oshirish uchun foydalanuvchilarning kirish huquqlariga cheklovlar qo'llaniladi. Bu nafaqat turli bo'limlarning foydalanuvchilari o'rtasida muhim ma'lumotlarni "yashirish" uchun kerak, balki viruslar tizim fayllarini zararlash uchun foydalanuvchining kirish huquqlaridan foydalanadi.
2.2.2 IPsec
IP xavfsizligi - bu IP paketlarni tashishda shifrlash, autentifikatsiya va xavfsizlik bilan shug'ullanadigan protokollar to'plami; u 20 ga yaqin standart takliflarini va 18 ta RFCni o'z ichiga oladi.
IP Xavfsizlik spetsifikatsiyasi (bugungi kunda IPsec nomi bilan tanilgan) IETF (Internet Engineering Task Force) tomonidan ishlab chiqilmoqda. Hozirgi vaqtda IPsec RFC hujjatlari sifatida nashr etilgan 3 ta algoritmdan mustaqil bazaviy spetsifikatsiyani o'z ichiga oladi "IP xavfsizlik arxitekturasi", "Autentifikatsiya sarlavhasi (AH)", "Encapsulating Encrypted Data (ESP)". Shuni ta'kidlash kerakki, 1998 yil mart oyida IP xavfsizlik protokoli ishchi guruhi ushbu spetsifikatsiyalarning hozirgi vaqtda dastlabki standartlar maqomiga ega bo'lgan yangi versiyalarini taklif qildi. Bundan tashqari, MD5, SHA, DES protokollaridan foydalanadigan bir nechta algoritmga bog'liq spetsifikatsiyalar mavjud.
Guruch. 1 IPSec arxitekturasi
IP xavfsizligi protokoli ishchi guruhi shuningdek, asosiy axborotni boshqarish protokollarini ishlab chiqadi. Ushbu guruhning vazifasi qo'llaniladigan xavfsizlik protokollaridan mustaqil bo'lgan amaliy qatlam kalitlarini boshqarish protokoli bo'lgan Internet Key Management Protocol (IKMP) ni ishlab chiqishdan iborat. Hozirgi vaqtda asosiy boshqaruv tushunchalari Internet xavfsizligi assotsiatsiyasi va kalitlarni boshqarish protokoli (ISAKMP) spetsifikatsiyasi va Oakley kalitini aniqlash protokoli yordamida ko'rib chiqilmoqda. ISAKMP spetsifikatsiyasi foydalanilgan protokollarning atributlari bo'yicha muzokaralar mexanizmlarini tavsiflaydi, Okley protokoli esa Internetdagi kompyuterlarda seans kalitlarini o'rnatishga imkon beradi. SKIP kalitlarini boshqarish mexanizmlaridan foydalanish imkoniyatlari ham ko'rib chiqiladi 5. Yaratilayotgan asosiy maʼlumotlarni boshqarish standartlari Kerberos tizimida qoʻllaniladigan asosiy tarqatish markazlarini qoʻllab-quvvatlashi mumkin.
mos ravishda autentifikatsiya va shifrlash mexanizmlaridan foydalanish orqali ta'minlanadi . Ikkinchisi, o'z navbatida, tomonlarning axborot almashinuvi deb ataladigan dastlabki kelishuviga asoslanadi. "xavfsizlik konteksti" - qo'llaniladigan kriptografik algoritmlar, asosiy ma'lumotlarni boshqarish algoritmlari va ularning parametrlari. IPsec spetsifikatsiyasi ma'lumotlar paketlarini autentifikatsiya qilish va shifrlash uchun turli xil protokollar va parametrlarni, shuningdek, kalitlarni tarqatishning turli sxemalarini qo'llab-quvvatlash uchun tomonlarga ma'lumot almashish imkoniyatini beradi. Shu bilan birga, xavfsizlik konteksti bo'yicha muzokaralar natijasi xavfsizlik parametrlarining mumkin bo'lgan to'plamlarini tavsiflovchi axborot almashinuvi tomonining ichki tuzilishining ma'lum bir elementiga ko'rsatgich bo'lgan xavfsizlik parametrlari indeksini (SPI) yaratishdir.
Aslida, IPSec uchinchi qatlamda, ya'ni tarmoq sathida ishlaydi. Natijada, uzatilgan IP-paketlar tarmoq ilovalari va infratuzilmasi uchun shaffof tarzda himoyalangan. To'rtinchi (ya'ni transport) qatlamda ishlaydigan va OSI modelining yuqori qatlamlari bilan chambarchas bog'liq bo'lgan SSL (Secure Socket Layer) dan farqli o'laroq, IPSec past darajadagi xavfsizlikni ta'minlash uchun mo'ljallangan.
Guruch. 2 OSI/ISO modeli
IPSec himoyalangan paketlarni aniqlash uchun VPN orqali yuborishga tayyor bo'lgan IP ma'lumotlariga sarlavha qo'shadi. Internet orqali uzatilishidan oldin, bu paketlar boshqa IP-paketlarga o'raladi. IPSec shifrlashning bir necha turlarini, jumladan DES 6va MD5 - xabarlar dayjestini qo'llab-quvvatlaydi.
Xavfsiz ulanishni o'rnatish uchun ikkala sessiya ishtirokchisi autentifikatsiya algoritmlari va kalitlari kabi xavfsizlik parametrlari bo'yicha tezda kelishib olishlari kerak. IPSec ikki turdagi kalitlarni boshqarish sxemalarini qo'llab-quvvatlaydi, ular orqali ishtirokchilar sessiya parametrlarini muhokama qilishlari mumkin. Ushbu ikki tomonlama qo'llab-quvvatlash IETF ishchi guruhida biroz ishqalanishga olib keldi.
Bilan joriy IP, IPv4 versiyasi mumkin bo'l ishlatilgan yoki Internet Secure Association Key Management Protocol (ISAKMP) yoki Internet Protocol uchun oddiy kalitlarni boshqarish. IP ning yangi IPv6 versiyasi bilan siz endi ISAKMP/Oakley nomi bilan tanilgan ISAKMP dan foydalanishingiz kerak bo'ladi. Afsuski, yuqorida tavsiflangan ikkita asosiy boshqaruv sxemasi asosan bir-biriga mos kelmaydi, ya'ni oxirigacha o'zaro hamkorlikni kafolatlash qiyin.
AH sarlavhasi7
Autentifikatsiya sarlavhasi (AH) oddiy ixtiyoriy sarlavha bo'lib, odatda asosiy IP paket sarlavhasi va ma'lumotlar maydoni o'rtasida joylashgan. AH ning mavjudligi transport va yuqori qatlamlarning ma'lumotlarini uzatish jarayoniga ta'sir qilmaydi. AH ning asosiy va yagona maqsadi paket tarkibiga ruxsatsiz o'zgartirishlar, shu jumladan tarmoq qatlamining asl manzilini buzish bilan bog'liq hujumlardan himoya qilishdir. Qabul qilingan ma'lumotlarning haqiqiyligini tekshirish uchun yuqori darajadagi protokollarni o'zgartirish kerak.
AH formati juda oddiy va 96 bitli sarlavha va 32 bitli so'zlarning o'zgaruvchan uzunligi ma'lumotlaridan iborat. Maydon nomlari ularning mazmunini aniq aks ettiradi: Keyingi sarlavha keyingi sarlavhani ko'rsatadi, Payload Len paket uzunligini ko'rsatadi, SPI xavfsizlik kontekstiga ko'rsatgichdir va Tartib raqami maydoni paketning tartib raqamini o'z ichiga oladi.
Guruch. 3 AH sarlavha formati
Paket tartib raqami AHga 1997 yilda IPsec spetsifikatsiyasini qayta ko'rib chiqish jarayonida kiritilgan. Ushbu maydonning qiymati jo'natuvchi tomonidan ishlab chiqariladi va autentifikatsiya jarayoni ma'lumotlarini qayta ishlatish bilan bog'liq hujumlardan himoya qilish uchun xizmat qiladi. Internet paketlarni etkazib berish tartibiga kafolat bermaganligi sababli, qabul qiluvchi muvaffaqiyatli autentifikatsiya qilingan paketning maksimal tartib raqami va oldingi ketma-ketlik raqamlarini o'z ichiga olgan ma'lum miqdordagi paketlarni qabul qilish to'g'risidagi ma'lumotlarni saqlashi kerak (odatda bu raqam 64).
Dial-up aloqa liniyalari yoki LAN kanallari orqali ma'lumot uzatish protokollarida qo'llaniladigan va uzatish tashuvchisidagi tasodifiy xatolarni tuzatishga qaratilgan nazorat summasini hisoblash algoritmlaridan farqli o'laroq, ochiq telekommunikatsiya tarmoqlarida ma'lumotlarning yaxlitligi mexanizmlari ma'lumotlarni uzatishdan himoya qilish vositalariga ega bo'lishi kerak. maqsadli o'zgarishlar. Ushbu mexanizmlardan biri MD5 algoritmining maxsus qo'llanilishidir: AHni shakllantirish jarayonida xesh funktsiyasi paketning o'zi va oldindan kelishilgan kalitning kombinatsiyasidan, so'ngra natija va o'zgartirilganlarning kombinatsiyasidan ketma-ket hisoblanadi. kalit. Ushbu mexanizm IPv6 ning barcha ilovalarini eksport cheklovlariga tobe bo'lmagan kamida bitta umumiy algoritm bilan ta'minlash uchun sukut bo'yicha qo'llaniladi.
Do'stlaringiz bilan baham: |