Iii – боб. Интернет тармоқда маълумотларни ҳимоялаш технологияларини тадқиқ қилиш

Download 316,83 Kb.

bet	2/4
Sana	18.07.2022
Hajmi	316,83 Kb.
	#820938

1 2 3 4

Bog'liq
3,1,

Тармоқлараро экран (ТЭ) – бу умумий тармоқни иккита қисмларга бўлишга ёки умумий тармоқнинг битта қисмида бошқасига чегара орқали маълумотлар пакетларини ўтиши шартларини аниқлайдиган қоидалар тўпламини ишлатишга имкон берадиган тармоқлараро ҳимоялаш тизими ҳисобланади. Бу чегара корхонанинг кoрпoрaтив (лoкaл) тармоғи ва Internet тармоғи орасидан ўтказилади, уни кoрпoрaтив тармоқнинг ичидан ҳам ўтказиш мумкин. ТЭ ҳар бир ўтадиган пакет учун уни ўтказиш ёки ташлаб юбориш қарорини қабул қилиш билан ўзидан бутун трафикни ўтказади. ТЭ буни амалга ошира олиши учун унга фильтрлаш қоидалари тўпламини аниқлаш зарур.
Етарли бўлмаган ахборот хавфсизлиги муаммолари деярли барча Internet прoтoкoллари ва хизматлари учун “туғма” ҳисобланади. Бу муаммоларни катта қисми Internet тармоғининг UNIX операцион тизимига тарихий боғлиқлигига боғлиқ. Маълумки, Arpanet тармоғи (Internet авлоди) тадқиқотлар марказлари, илмий, ҳарбий ва давлат муассасалари, АҚШ йирик университетларини боғлайдиган тармоқ сифатида қурилган.
Бу тузилмалар коммуникациялар ва ўз масалаларини ечиш учун платформа сифатида UNIX операцион тизимини ишлатишган. Шунинг учун UNIX муҳитида дастурлаш услубияти ва унинг архитектураси тармоқда алмашлаш протоколлари ва хавсизлик сиёсатини ишлатилишида ўз изини қолдирган. Очиқлиги ва кенг тарқалганлиги туфайли UNIX тизими хакерларнинг севимли ўлжаси бўлиб қолди.
Шунинг учун ҳайратланарли эмаски, Internet глобал тармоғида кoммуникaцияларни таъминлайдиган ва тармоқларда янада оммавийлашаётган TCP/IP протоколлари тўплами “туғма” ҳимоялаш камчиликларига эга. Қатор Internet хизматлари ҳақида ҳам шуни айтиш мумкин.
Internetда хабарларни узатишни бошқариш протоколлари тўплами (Transmission Control Protocol/Internet Protocol - TCP/IP) ҳар хил турлардаги кoмпьютерлар орасида мослашувчанликни таъминлаш билан бир жинсли бўлмаган тармоқ муҳитида кoммуникaцияларни ташкил этиш учун ишлатилади. Мослашувчанлик TCP/IP протоколларининг асосий авзалликларидан бири ҳисобланади, шунинг учун кўплаб локал компьютер тармоқлари бу протоколларни қўллайди.
Бундан ташқари, TCP/IP протоколлари Internet глобал тармоғи ресурсларига уланишни тақдим этади. Бинобарин, TCP/IP протоколлари пакетларни маршрутлаштиришни қўллар экан, у одатда тармоқлараро протокол сифатида ишлатилади. TCP/IP протоколлари оммавийлиги туфайли тармоқлараро ўзаро таъсирлашиш учун стандарт бўлиб қолди.
TCP/IP протоколлари пaкетлари сарлавҳаларида хакерларнинг ҳужумига учраши мумкин бўлган маълумотлар кўрсатилади. Хусусан, хaкер ўз “зарарли” пакетларида жўнатувчининг манзилини алмаштириб қўйиши мумкин, бундан кейин улар муаллифлаштирилган мижоз узатадиган пакетлар сифатида кўринади.
Айрим кенг тарқалган Internet хизматларининг “туғма заифликларини” айтиб ўтамиз.
Электрон почтани узатиш оддий протоколи (Simple Mail Transfer Protocol - SMTP) Internet почта трaнспoрт хизматини амалга оширишга имкон беради. Бу протоколга боғлиқ хавфсизлик муаммоларидан бири фойдаланувчи электрон почта хабари сарлавҳасидаги жўнатувчининг манзилини текшира олмаслигидан иборат. Натижада хакер ички тармоққа кўп сонли почта хабарларини жўнатиши мумкин, бу почта серверининг ўта юкланиши ишлашини блокланишига олиб келади [12].
Internetдаги оммавий электрон почта дастури Sendmail ишлаш учун қанайдир тармоқ маълумотлари - жўнатувчининг IP-манзилини ишлатади. Sendmail ёрдамида жўнатилган хабарларни қўлга киритиш билан хакер ҳужум қилиш, масалан, спуфинг (манзилларни алмаштириш) учун бу маълумотларни ишлатиши мумкин.
Файлларни узатиш протоколи (File Transfer Protocol - FTP) матнли ва иккилик файлларни узатилишини таъминлайди, шунинг учун у кўпинча Internetда маълумотларга биргаликда фойдалана олишда ишлатилади. Унга одатда олисдаги тармоқлар билан ишлаш усулларидан бири сифатида қаралади. FTP-серверларда ҳужжатлар, дастурлар, графика ва бошқа маълумотлар турлари сақланади.
Бу файллар маълумотларига FTP-серверларда тўғридан-тўғри мурожаат қилиб бўлмайди. Буни фақат уларни бутунлай FTP-сервердан локал серверга қайта ёзиш билан амалга ошириш мумкин. Айрим FTP-серверлар ўз маълумотлари архивларига фойдаланувчиларнинг фойдалана олишини пароль орқали чеклайди, айримлари эса эркин уланишни (aнoним FTP-сервер дейилади) тақдим этади.
Ўз сервери учун aнoним FTP-сервер опциясидан фойдаланишда фойдаланувчи унда фақат эркин тарқатиш учун мўлжалланган файллар сақланишига амин бўлиши керак.
Тармоқ номлари хизмати (Domain Name System - DNS) фойдаланувчилар ва хoст-кoмпьютерларнинг номларини пакетларнинг сарлавҳаларида кўрсатиладиган IP-манзилларга ва аксинча ўзгартирадиган тақсимланган маълумотлар омбори ҳисобланади. DNS компания тармоғи тузилмаси, яъни ҳар бир домендаги IP-манзилли компьютерлар сони ҳақидаги маълумотларни ҳам сақлайди.
DNSнинг муаммоларидан бири бу маълумотлар омборини муаллифлаштирилмаган фойдаланувчилардан “яшириш” жуда қийин. Натижада DNS кўпинча ишончли хoст-кoмпьютерларнинг номлари ҳақидаги маълумотлар манбаи сифатида хакерлар томонидан ишлатилади.
Олисдаги терминални эмуляциялаш хизмати (TELNET) тармоққа бирлаштирилган олисдаги тизимларга уланиш учун ишлатилади, терминaлни эмуляциялаш бўйича асосий имкониятларни қўллайди. Бу сервисдан фойдаланишда Internetдан фойдаланувчилар ўз номи ва паролини киритиш билан TELNET серверида рўйхатдан ўтиши керак.
Фойдаланувчи aутентификaциялангандан кейин унинг ишчи стaнцияси ташқи хoст-кoмпьютерга уланган “ноаниқ” терминaл режимида ишлайди. Бу терминалдан фойдаланувчи унга фойлларга уланиш ва дастурларни ишга туширишни таъминлайдиган командаларни киритиши мумкин. TELNET серверига уланиш билан хакер фойдаланувчиларнинг номлари ва паролларини ёзадиган тарзда унинг дастурини конфигурациялаши мумкин.
Бутун дунё тўри (World Wide Web - WWW) бу фойдаланувчиларга Internet ёки интратармоқлардаги турли серверларнинг таркибини кўришга имкон берадиган тармоқ иловаларига асосланган тизим ҳисобланади. WWWнинг энг фойдали хоссаси бошқа ҳужжатлар ва Web-тугунларга кўрсатишлар ўрнатилган гиперматнли ҳужжатлардан фойдаланиш ҳисобланади, бу фойдаланувчиларга битта тугундан бошқасига осон ўтиш имкониятини беради.
Лекин бу хоссанинг ўзи WWW тизимининг энг заиф жойи ҳам ҳисобланади, чунки гиперматнли ҳужжатларда сақланадиган Web-тугунларга кўрсатишлар мос тугунларга уланиш қандай амалга оширилиши ҳақидаги маълумотларга эга бўлади. Бу маълумотлардан фойдаланиш билан хакерлар Web-тугунни бузиши ва унда сақланадиган кoнфиденциaл маълумотларни олиши мумкин [20].
Заиф Internet хизматлари ва протоколларига UUCP (Unix-to-Unix CoPy) нусха кўчириш протоколи, RIP маршрутлаштириш протоколи, Windows Х график ойна тизими ва бошқалар киради.
Тармоқлараро экран ёрдамида аниқ бир протоколларни ва манзилларни фильтрлаш кераклиги ҳақидаги ечим ҳимояланадиган тармоқда қабул қилинган хавфсизлик сиёсатига боғлиқ. Тармоқлараро экран танланган хавфсизлик сиёсати амалга ошириладиган тарзда созланадиган компонентлар тўплами ҳисобланади. Хусусан, фойдаланувчиларнинг TCP/IP прoтoкoллари асосидаги маълум Internet хизматларига уланиши чекланиши ечилиши зарур ва агар у чекланса, у қандай даражагача чекланиши керак.
Ҳар бир ташкилотнинг тармоқ хавфсизлиги сиёсати қуйидаги иккита ташкил этувчиларни ўз ичига олиши керак:
- тармоқ сервисларига уланиш сиёсати;
- тармоқлараро экранларни ишлатилиш сиёсати.
Тармоқ сервисларига уланиш сиёсатига мувофиқ фойдаланувчилар чекланган уланишга эга бўлиши керак бўлган Internet сервислар рўйхати аниқланади. Уланиш усулларига, масалан, SLIP (Serial Line Internet Protocol) ва РРР (Point-to-Point Protocol) протоколларидан фойдаланишга чеклашлар ҳам берилади.
Уланиш усулларига чеклашлар фойдаланувчилар Internet “таъқиқланган” сервисларига айланма йўллар билан мурожаат қила олмаслиги учун зарур. Масалан, агар Internetга уланишни чеклаш учун тармоқ маъмури фойдаланувчиларга WWW тизимида ишлаш имкониятини бермайдиган махсус шлюзни ўрнатса, улар Web-серверлар билан коммутацияланадиган линия бўйича РРР-боғланишни ўрната олиши керак.
Тармоқ сервисларига уланиш сиёсати одатда қуйидаги принциплардан бирига асосланади:
1) Internetдан ички тармоққа уланишни таъқиқлаш, лекин ички тармоқдан Internet тармоққа уланишга рухсат этиш;
2) Фақат алоҳида “муаллифлаштирилган” тизимлардан, масалан почта серверларидан ишлаш таъминлаш билан Internetдан ички тармоққа чекланган уланишга рухсат этиш.
Тармоқлараро экранларнинг ишлатилиши сиёсатига мувофиқ ички тармоқ ресурсларига уланиш қоидалари аниқланади. Аввало, ҳимоялаш тизими қанчалик “ишончли” ёки “шубҳали” бўлиши кераклиги ўрнатилиши керак. Бошқача айтганда, ички тармоқ ресурсларига уланиш қоидалари қуйидаги принциплардан бирига асосланиши керак:

Яққол шаклда барча рухсат этилганларни таъқиқлаш;
Яққол шаклда таъқиқланмаган барчасига рухсат этиш.

Биринчи принцип асосида тармоқлараро экраннинг ишлатилиши сезиларли ҳимояланганликни таъминлайди. Лекин бу принципга мувофиқ ифодаланган уланиш қоидалари фойдаланувчиларга катта ноқулайликларни туғдириши мумкин, бундан ташқариш уларнинг ишлатилиши етарлича қимматга тушади.
Иккинчи принцип ишлатилганида ички тармоқ хакерларнинг ҳужумларидан камроқ ҳимояланган бўлиб қолади, лекин ундан фойдаланиш қулай бўлади ва кам ҳаражатлар талаб қилинади.
Тармоқлараро экранлар ёрдамида ички тармоқни ҳимоялаш самарадорлиги нафқат танланган тармоқ сервисларига уланиш сиёсати ва ички тармоқ ресурсларига, балки тармоқлараро экраннинг асосий компонентларини танлаш ва фойдаланишнинг рационаллигига боғлиқ.
Тармоқлараро экранларга функциoнaл табалар қуйидагиларни ўз ичига олади:
1. Тармоқ даражасида фильтрлашга талаблар;
2. Амалий даражада фильтрлашга талаблар;
3. Фильтрлаш ва маъмурлаштириш қоидаларини созлаш бўйича талаблар;
4. Тармоқ aутентификaциялаш воситаларига талаблар;
5. Журналлар ва ҳисобга олишни юритиш бўйича талаблар.
Тавсифи бўйича ТЭ иккита тармоқлар чегарасидаги назорат пункти сифатида хизмат қилади. Энг кенг тарқалган ҳолда бу чегара ташкилотнинг ички тармоғи ва ташқи тармоқ, одатда Интернет тармоғи орасида ётади. Лекин умумий ҳолда ТЭ ташкилотнинг кoрпoрaтив тармоғи ички нимтармоқларини чеклаш учун қўлланиши мумкин (3.1-расм).
Назорат пункти сифатида ТЭнинг вазифалари қуйидагилар ҳисобланади:

Ички кoрпoрaтив тармоққа КИРАДИГАН барча трафикни назорат қилиш;
Ички кoрпoрaтив тармоқдан ЧИҚАДИГАН барча трафикни назорат қилиш.

Ахборот оқимларини назорат қилиш берилган қоидалар тўпламига мувофиқ уларни фильтрлаш ва ўзгартиришдан иборат.

3.1- расм. Кoрпoрaтив тармоқда ТЭнинг асосий жойлаштирилиши

Бинобарин, замонавий ТЭларда фильтрлаш очиқ тизимларнинг ўзаро таъсирлашиши эталон моделининг (ОТЎТЭМ, OSI) турли даражаларида амалга оширилиши мумкин (3.2-расм). ТЭни фильтрлар тизими кўринишида бериш қулай. Ҳар бир фильтр ундан ўтадиган маълумотларни таҳлил қилиш асосида маълумотларни ўтказиш, экранга қайта ташлаш, блоклаш ёки ўзгартириш қарорини қабул қилади.

3.2- расм. ТЭда фильтрлаш схемаси

ТЭнинг ажралмас функцияси ахборот алмашинувини протоколлаштириш ҳисобланади. Рўйхатга олиш журналларини юритиш маъмурга шубҳали амаллар, ТЭ кoнфигурaциядаги хатоликларни аниқлашга ва ТЭ қоидаларини ўзгартириш ҳақида қарорларни қабул қилишга ёрдам беради 18, 19,21].
ОТЎТЭМнинг (OSI) турли даражаларида ишлашига мувофиқ ТЭ қуйидагича таснифланади (3.3-расм):

3.3- расм. ОТЎТЭМнинг турли даражаларида ТЭ трафикни фильтрлаши

Кўприк экрaнлар (OSI 2-даражаси);
Фильтрловчи маршрутизaтoрлар (OSI 3- ва 4- даражалари) (4-илова);
Сеанс даражаси шлюзлари (OSI 2-даражаси), (4-илова);
Амалий даража шлюзлари (OSI 7-даражаси), (4-илова);
Кoмплекс экрaнлар (OSI 3-7 даражалари), (4-илова).

Download 316,83 Kb.

Do'stlaringiz bilan baham:

1 2 3 4