I bob. Axborot kommunikatsiya texnologiyalari

184 
asosiy sinfga ajratiladi. Tarmoqqa ruhsatsiz kirishni aniqlash tizimi (Network 
Intrusion Detection System) va kompyuterga ruhsatsiz kirishni aniqlash tizimiga 
(Host Intrusion Detection System) boʻlinadi. 
8.1- rasm. VPN tarmoq tuzilmasi. 
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi: 
• himoyalangan tizimlar xavfsizligi bilan bogʻliq holatlarni yigʻib 
tahlillovchi sensor qism tizimi; 
• sensorlar maʻlumotlariga koʻra shubhali harakatlar va hujumlarni 
aniqlashga moʻljallangan tahlillovchi qism tizimi; 
• tahlil natijalari va dastlabki holatlar haqidagi maʻlumotlarni yigʻishni 
taʻminlaydigan omborxona; 
• IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va himoyalangan 
tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan mojarolarni kuzatuvchi 
boshqaruv konsoli. 
Bu tizim ikkita asosiy sinfga ajratiladi. Tarmoqqa ruhsatsiz kirishni aniqlash 
tizimi (Network Intrusion Detection System) va kompyuterga ruhsatsiz kirishni 
aniqlash tizimiga (Host Intrusion Detection System) boʻlinadi. Tarmoqqa ruhsatsiz 
kirishni aniqlash tizimi (NIDS) ishlash tamoyili quyidagicha: 
1. Tarmoqqa kirish huquqiga ega boʻlgan trafiklarni tekshiradi; 
2. Zararli va ruhsatga ega boʻlmagan paketlarga cheklov qoʻyadi. 
Sanab oʻtilgan xavfsizlik bosqichlarini qoʻllagan holda Eavesdropping 
tahdidiga qarshi samarali tarzda himoyalanish mumkin. 

185 
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan voz 
kechish hujumi deb nomlanadi. Bunda hujum qiluvchi legal foydalanuvchilarning 
tizim yoki xizmatdan foydalanishiga toʻsqinlik qilishga urinadi. Tez-tez bu 
hujumlar infratuzilma resurslarini xizmatga ruhsat soʻrovlari bilan toʻlib toshishi 
orqali amalga oshiriladi. Bunday hujumlar alohida hostga yoʻnaltirilgani kabi 
butun tarmoqqa ham yoʻnaltirilishi mumkin. Hujumni amalga oshirishdan oldin 
obekt toʻliq oʻrganilib chiqiladi, yaʻni tarmoq hujumlariga qarshi qoʻllanilgan 
himoya vositalarining zaifligi yoki kamchliklari, qanday operatsion tizim 
oʻrnatilgan va obekt ish faoliyatining eng yuqori boʻlgan vaqti. Quyidagilarni 
aniqlab va tekshirish natijalariga asoslanib, maxsus dastur yoziladi. Keyingi 
bosqichda esa yaratilgan dastur katta mavqega ega boʻlgan serverlarga yuboriladi. 
Serverlar oʻz bazasidagi roʻyxatdan oʻtgan foydalanuvchilarga yuboradi. Dasturni 
qabul qilgan foydalanuvchi ishonchli server tomonidan yuborilganligini bilib yoki 
bilmay dasturni oʻrnatadi. Aynan shu holat minglab hattoki, millionlab 
kompyuterlarda sodir boʻlishi mumkin. Dastur belgilangan vaqtda barcha 
kompyuterlarda faollashadi va toʻxtovsiz ravishda hujum qilinishi moʻljallangan 
obektning serveriga soʻrovlar yuboradi. Server tinimsiz kelayotgan soʻrovlarga 
javob berish bilan ovora boʻlib, asosiy ish faoliyatini yurgiza olmaydi. Server 
xizmat qilishdan voz kechib qoladi. 
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali 
yoʻllari quyidagilar: 
• tarmoqlararo ekranlar texnologiyasi (Firewall); 
• IPsec protokoli. 
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya qurilmasi 
hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya texnologiya (AKT) 
larida kiruvchi va chiquvchi maʻlumotlarni boshqaradi va maʻlumotlarni filtrlash 
orqali AKT himoyasini taʻminlaydi, belgilangan mezonlar asosida axborot 
tekshiruvini amalga oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. 
Tarmoqlararo ekran tarmoqdan oʻtuvchi barcha paketlarni koʻradi va ikkala (kirish, 
chiqish) yoʻnalishi boʻyicha paketlarni belgilangan qoidalar asosida tekshirib, 

186 
ularga ruhsat berish yoki bermaslikni hal qiladi. Shuningdek, tarmoqlararo ekran 
ikki tarmoq orasidagi himoyani amalga oshiradi, yaʻni himoyalanayotgan tarmoqni 
ochiq tashqi tarmoqdan himoyalaydi. 
8.2- rasm. Xizmat qilishdan voz kechish (DoS) hujumini tashkil qilish 
Himoya vositasining quyida sanab oʻtilgan qulayliklari, ayniqsa, paketlarni 
filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning samarali vositasidir. 
Paket filtrlari quyidagilarni nazorat qiladi: 
• fizik interfeys, paket qayyerdan keladi; 
• manbaning IP-manzili; 
• qabul qiluvchining IP-manzili; 
• manba va qabul qiluvchi transport portlari. 
Tarmoqlararo ekran baʻzi bir kamchiliklari tufayli Dos hujumidan toʻlaqonli 
himoyani taʻminlab bera olmaydi: 
• loyihalashdagi xatoliklar yoki kamchiliklar — tarmoqlararo ekranlarning 
har xil texnologiyalari himoyalana-yotgan tarmoqqa boʻladigan barcha suqilib 
kirish yoʻllarini qamrab olmaydi; 
• amalga oshirish kamchiliklari — har bir tarmoqlararo ekran murakkab 
dasturiy (dasturiy-apparat) majmua koʻrinishida ekan, u xatoliklarga ega. Bundan 

187 
tashqari, dasturiy amalga oshirish sifatini aniqlash imkonini beradigan va 
tarmoqlararo 
ekranda 
barcha 
spetsifikatsiyalangan 
xususiyatlar 
amalga 
oshirilganligiga 
ishonch 
hosil 
qiladigan 
sinov 
oʻtkazishning 
umumiy 
metodologiyasi mavjud emas; 
• qoʻllashdagi (ekspluatatsiyadagi) kamchiliklar — tarmoqlararo ekranlarni 
boshqarish, ularni xavfsizlik siyosati asosida konfiguratsiyalash juda murakkab 
hisoblanadi va koʻpgina vaziyatlarda tarmoqlararo ekranlarni notoʻgʻri 
konfiguratsiyalash hollari uchrab turadi. Sanab oʻtilgan kamchiliklarni IPsec 
protokolidan foydalangan holda bartaraf etish mumkin. Yuqoridagilarni 
umumlashtirib, tarmoqlararo ekranlar va IPsec protokolidan toʻgʻri foydalanish 
orqali DOS hujumidan yetarlicha himoyaga ega boʻlish mumkin. 
Port scanning hujum turi odatda tarmoq xizmatini koʻrsatuvchi 
kompyuterlarga nisbatan koʻp qoʻllanadi. Tarmoq xavfsizligini taʻminlash uchun 
koʻproq virtual portlarga eʻtibor qaratishimiz kerak. Chunki portlar maʻlumotlarni 
kanal orqali tashuvchi vositadir. Kompyutyerda 65 536ta standart portlar mavjud. 
Kompyuter portlarini majoziy maʻnoda uyning eshigi yoki derazasiga oʻxshatish 
mumkin. Portlarni tekshirish hujumi esa oʻgʻrilar uyga kirishdan oldin eshik va 
derazalarni ochiq yoki yopiqligini bilishiga oʻxshaydi. Agar deraza ochiqligini 
oʻgʻri payqasa, uyga kirish oson boʻladi. Hakker hujum qilayotgan vaqtda port 
ochiq yoki foydalanilmayotganligi haqida maʻlumot olishi uchun Portlarni 
tekshirish hujumidan foydalanadi. 
Bir vaqtda barcha portlarni tahlil qilish maqsadida xabar yuboriladi, natijada 
real vaqt davomida foydalanuvchi kompyuterning qaysi portini ishlatayotgani 
aniqlanadi, bu esa kompyuterning nozik nuqtasi hisob-lanadi. Aynan maʻlum 
boʻlgan port raqami orqali foydalanuvchi qanday xizmatni ishlatayotganini aniq 
aytish mumkin. Masalan, tahlil natijasida quyidagi port raqamlari aniqlangan 
boʻlsin, aynan shu raqamlar orqali foydalanilayotgan xizmat nomini aniqlash 
mumkin 
• Port #21: FTP (File Transfer Protocol) fayl almashish protokoli; 
• Port #35: Xususiy printer server; 

188 
• Port #80: HTTP traffic (Hypertext Transfer [Transport] Protocol) 
gipermatn almashish protokoli; 
• Port #110: POP3 (Post Office Protocol 3) E-mail portokoli. 
8.2- jadval. 
Portlarni tekshirish hujumiga qarshi samarali himoya yyechimi tarmoqlararo 
ekran texnologiyasidan unumli foydalanish kutilgan natija beradi. Barcha portlarni 
bir vaqtda tekshirish haqidagi kelgan soʻrovlarga nisbatan tarmoqlararo ekranga 
maxsus qoida joriy etish yoʻli bilan hujumni bartaraf etish mumkin. 

Download 5,34 Mb.

Do'stlaringiz bilan baham: