I bob. Axborot kommunikatsiya texnologiyalari



Download 5,34 Mb.
Pdf ko'rish
bet96/115
Sana30.03.2022
Hajmi5,34 Mb.
#519514
1   ...   92   93   94   95   96   97   98   99   ...   115
Bog'liq
tarmoq texnologiyalari (1)

VPN ishlash tamoyili
. VPN tarmogʻini tashkil etish uchun yangi qurilmalar 
va dasturiy taʻminotdan tashqari ikkita asosiy qismga ham ega boʻlish lozim: 
maʻlumot uzatish protokoli va uning himoyasi boʻyicha vositalar. 
Ruhsatsiz kirishni aniqlash tizimi (IDS) yordamida tizim yoki tarmoq 
xavfsizlik siyosatini buzib kirishga harakat qilingan usul yoki vositalar aniqlanadi. 
Ruhsatsiz kirishlarni aniqlash tizimlari deyarli chorak asrlik tarixga ega. Ruhsatsiz 
kirishlarni aniqlash tizimlarining ilk modellari va prototiplari kompyuter 
tizimlarining audit maʻlumotlarini tahlillashdan foydalangan. Bu tizim ikkita 


184 
asosiy sinfga ajratiladi. Tarmoqqa ruhsatsiz kirishni aniqlash tizimi (Network 
Intrusion Detection System) va kompyuterga ruhsatsiz kirishni aniqlash tizimiga 
(Host Intrusion Detection System) boʻlinadi. 
8.1- rasm. VPN tarmoq tuzilmasi. 
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi: 
• himoyalangan tizimlar xavfsizligi bilan bogʻliq holatlarni yigʻib 
tahlillovchi sensor qism tizimi; 
• sensorlar maʻlumotlariga koʻra shubhali harakatlar va hujumlarni 
aniqlashga moʻljallangan tahlillovchi qism tizimi; 
• tahlil natijalari va dastlabki holatlar haqidagi maʻlumotlarni yigʻishni 
taʻminlaydigan omborxona; 
• IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va himoyalangan 
tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan mojarolarni kuzatuvchi 
boshqaruv konsoli. 
Bu tizim ikkita asosiy sinfga ajratiladi. Tarmoqqa ruhsatsiz kirishni aniqlash 
tizimi (Network Intrusion Detection System) va kompyuterga ruhsatsiz kirishni 
aniqlash tizimiga (Host Intrusion Detection System) boʻlinadi. Tarmoqqa ruhsatsiz 
kirishni aniqlash tizimi (NIDS) ishlash tamoyili quyidagicha: 
1. Tarmoqqa kirish huquqiga ega boʻlgan trafiklarni tekshiradi; 
2. Zararli va ruhsatga ega boʻlmagan paketlarga cheklov qoʻyadi. 
Sanab oʻtilgan xavfsizlik bosqichlarini qoʻllagan holda Eavesdropping 
tahdidiga qarshi samarali tarzda himoyalanish mumkin. 


185 
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan voz 
kechish hujumi deb nomlanadi. Bunda hujum qiluvchi legal foydalanuvchilarning 
tizim yoki xizmatdan foydalanishiga toʻsqinlik qilishga urinadi. Tez-tez bu 
hujumlar infratuzilma resurslarini xizmatga ruhsat soʻrovlari bilan toʻlib toshishi 
orqali amalga oshiriladi. Bunday hujumlar alohida hostga yoʻnaltirilgani kabi 
butun tarmoqqa ham yoʻnaltirilishi mumkin. Hujumni amalga oshirishdan oldin 
obekt toʻliq oʻrganilib chiqiladi, yaʻni tarmoq hujumlariga qarshi qoʻllanilgan 
himoya vositalarining zaifligi yoki kamchliklari, qanday operatsion tizim 
oʻrnatilgan va obekt ish faoliyatining eng yuqori boʻlgan vaqti. Quyidagilarni 
aniqlab va tekshirish natijalariga asoslanib, maxsus dastur yoziladi. Keyingi 
bosqichda esa yaratilgan dastur katta mavqega ega boʻlgan serverlarga yuboriladi. 
Serverlar oʻz bazasidagi roʻyxatdan oʻtgan foydalanuvchilarga yuboradi. Dasturni 
qabul qilgan foydalanuvchi ishonchli server tomonidan yuborilganligini bilib yoki 
bilmay dasturni oʻrnatadi. Aynan shu holat minglab hattoki, millionlab 
kompyuterlarda sodir boʻlishi mumkin. Dastur belgilangan vaqtda barcha 
kompyuterlarda faollashadi va toʻxtovsiz ravishda hujum qilinishi moʻljallangan 
obektning serveriga soʻrovlar yuboradi. Server tinimsiz kelayotgan soʻrovlarga 
javob berish bilan ovora boʻlib, asosiy ish faoliyatini yurgiza olmaydi. Server 
xizmat qilishdan voz kechib qoladi. 
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali 
yoʻllari quyidagilar: 
• tarmoqlararo ekranlar texnologiyasi (Firewall); 
• IPsec protokoli. 
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya qurilmasi 
hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya texnologiya (AKT) 
larida kiruvchi va chiquvchi maʻlumotlarni boshqaradi va maʻlumotlarni filtrlash 
orqali AKT himoyasini taʻminlaydi, belgilangan mezonlar asosida axborot 
tekshiruvini amalga oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. 
Tarmoqlararo ekran tarmoqdan oʻtuvchi barcha paketlarni koʻradi va ikkala (kirish, 
chiqish) yoʻnalishi boʻyicha paketlarni belgilangan qoidalar asosida tekshirib, 


186 
ularga ruhsat berish yoki bermaslikni hal qiladi. Shuningdek, tarmoqlararo ekran 
ikki tarmoq orasidagi himoyani amalga oshiradi, yaʻni himoyalanayotgan tarmoqni 
ochiq tashqi tarmoqdan himoyalaydi. 
8.2- rasm. Xizmat qilishdan voz kechish (DoS) hujumini tashkil qilish 
Himoya vositasining quyida sanab oʻtilgan qulayliklari, ayniqsa, paketlarni 
filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning samarali vositasidir. 
Paket filtrlari quyidagilarni nazorat qiladi: 
• fizik interfeys, paket qayyerdan keladi; 
• manbaning IP-manzili; 
• qabul qiluvchining IP-manzili; 
• manba va qabul qiluvchi transport portlari. 
Tarmoqlararo ekran baʻzi bir kamchiliklari tufayli Dos hujumidan toʻlaqonli 
himoyani taʻminlab bera olmaydi: 
• loyihalashdagi xatoliklar yoki kamchiliklar — tarmoqlararo ekranlarning 
har xil texnologiyalari himoyalana-yotgan tarmoqqa boʻladigan barcha suqilib 
kirish yoʻllarini qamrab olmaydi; 
• amalga oshirish kamchiliklari — har bir tarmoqlararo ekran murakkab 
dasturiy (dasturiy-apparat) majmua koʻrinishida ekan, u xatoliklarga ega. Bundan 


187 
tashqari, dasturiy amalga oshirish sifatini aniqlash imkonini beradigan va 
tarmoqlararo 
ekranda 
barcha 
spetsifikatsiyalangan 
xususiyatlar 
amalga 
oshirilganligiga 
ishonch 
hosil 
qiladigan 
sinov 
oʻtkazishning 
umumiy 
metodologiyasi mavjud emas; 
• qoʻllashdagi (ekspluatatsiyadagi) kamchiliklar — tarmoqlararo ekranlarni 
boshqarish, ularni xavfsizlik siyosati asosida konfiguratsiyalash juda murakkab 
hisoblanadi va koʻpgina vaziyatlarda tarmoqlararo ekranlarni notoʻgʻri 
konfiguratsiyalash hollari uchrab turadi. Sanab oʻtilgan kamchiliklarni IPsec 
protokolidan foydalangan holda bartaraf etish mumkin. Yuqoridagilarni 
umumlashtirib, tarmoqlararo ekranlar va IPsec protokolidan toʻgʻri foydalanish 
orqali DOS hujumidan yetarlicha himoyaga ega boʻlish mumkin. 
Port scanning hujum turi odatda tarmoq xizmatini koʻrsatuvchi 
kompyuterlarga nisbatan koʻp qoʻllanadi. Tarmoq xavfsizligini taʻminlash uchun 
koʻproq virtual portlarga eʻtibor qaratishimiz kerak. Chunki portlar maʻlumotlarni 
kanal orqali tashuvchi vositadir. Kompyutyerda 65 536ta standart portlar mavjud. 
Kompyuter portlarini majoziy maʻnoda uyning eshigi yoki derazasiga oʻxshatish 
mumkin. Portlarni tekshirish hujumi esa oʻgʻrilar uyga kirishdan oldin eshik va 
derazalarni ochiq yoki yopiqligini bilishiga oʻxshaydi. Agar deraza ochiqligini 
oʻgʻri payqasa, uyga kirish oson boʻladi. Hakker hujum qilayotgan vaqtda port 
ochiq yoki foydalanilmayotganligi haqida maʻlumot olishi uchun Portlarni 
tekshirish hujumidan foydalanadi. 
Bir vaqtda barcha portlarni tahlil qilish maqsadida xabar yuboriladi, natijada 
real vaqt davomida foydalanuvchi kompyuterning qaysi portini ishlatayotgani 
aniqlanadi, bu esa kompyuterning nozik nuqtasi hisob-lanadi. Aynan maʻlum 
boʻlgan port raqami orqali foydalanuvchi qanday xizmatni ishlatayotganini aniq 
aytish mumkin. Masalan, tahlil natijasida quyidagi port raqamlari aniqlangan 
boʻlsin, aynan shu raqamlar orqali foydalanilayotgan xizmat nomini aniqlash 
mumkin 
• Port #21: FTP (File Transfer Protocol) fayl almashish protokoli; 
• Port #35: Xususiy printer server; 


188 
• Port #80: HTTP traffic (Hypertext Transfer [Transport] Protocol) 
gipermatn almashish protokoli; 
• Port #110: POP3 (Post Office Protocol 3) E-mail portokoli. 
8.2- jadval. 
Portlarni tekshirish hujumiga qarshi samarali himoya yyechimi tarmoqlararo 
ekran texnologiyasidan unumli foydalanish kutilgan natija beradi. Barcha portlarni 
bir vaqtda tekshirish haqidagi kelgan soʻrovlarga nisbatan tarmoqlararo ekranga 
maxsus qoida joriy etish yoʻli bilan hujumni bartaraf etish mumkin. 

Download 5,34 Mb.

Do'stlaringiz bilan baham:
1   ...   92   93   94   95   96   97   98   99   ...   115




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish