Muxammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti samarqand filiali abdukarimov a., Kubayev s. T

Download 0,61 Mb.

bet	22/58
Sana	27.03.2022
Hajmi	0,61 Mb.
	#512867

1 ... 18 19 20 21 22 23 24 25 ... 58

Bog'liq
ИИ амалиёт усл.қулланма

Sanoat tarmoqlari protokollari
Quyidagi tashvishlar Ethernet/IP uchun xosdir:

CIP xavfsizlikning aniq yoki yashirin mexanizmlarini belgilamaydi.
Qurilmani identifikatsiyalash uchun umumiy talab qilinadigan ob'ektlardan foydalanish qurilmani identifikatsiyalash va ro'yxatga olishni osonlashtirishi va hujumni osonlashtirishi mumkin.
Qurilma ma'lumotlarini almashish va boshqarish uchun umumiy dastur ob'ektlaridan foydalanish sanoat qurilmalarining keng doirasini boshqarishga qodir bo'lgan kengroq sanoat hujumlarini amalga oshirishi mumkin.
Ethernet/IP-ning UDP va Multicast trafigidan foydalanish (ikkalasi ham uzatishni nazorat qilmaydi) real vaqtda translyatsiyalar uchun soxta trafikni kiritish yoki (ko'p tarmoqli trafik holatida) IGMP boshqaruv elementlari yordamida uzatish yo'lini manipulyatsiya qilishni osonlashtiradi.

Sanoat tarmoqlarining buzilishi va kirib borishi
"Sanoat tarmoqlarini skanerlash" bo'limida aytib o'tilganidek, sanoat tarmog'ini skanerlash uni buzish uchun etarli bo'lishi mumkin: ko'pgina sanoat protokollari etarlicha sezgir bo'lib, kutilmagan trafikning sezilarli miqdori protokolning buzilishiga olib keladi va samarali DOS holati. Bu muhim tashvish: tarmoqni skanerlashni xavfsizlik devori orqali amalga oshirish mumkin, 17va xavfsizlik devoridagi ochiq port orqali paketlarni to'ldirish osonroq. Ya'ni, xavfsizlik devori orqali qanday trafikka ruxsat berilganligini aniqlash orqali tajovuzkor haqiqiy razvedka uchun yumshoq skanerdan yoki xizmatni buzish uchun qattiq skanerdan foydalanib, xavfsizlik devori orqali skanerlash uchun ruxsat etilgan trafikdan foydalanishi mumkin. Agar xavfsizlik devori yaxshi sozlangan bo'lsa, skanerlash imkonsiz bo'lishi mumkin, ammo barcha xavfsizlik devorlari ma'lum trafik orqali o'tishga imkon beradi. Qonuniy aloqalarni soxtalashtirish orqali boshqaruv tarmog'iga g'ayritabiiy trafik miqdori kiritilishi mumkin, bu esa DOSni keltirib chiqaradi.
Xavfsizlik devori qoidalari qanchalik qat'iy belgilangan bo'lsa, "ruxsat etilgan" trafikni aniqlash va buzish shunchalik qiyin bo'ladi. Xavfsizlik devorini sozlashda har doim "hammasini rad etish" bilan boshlang va keyin quyidagi ko'rsatmalarga muvofiq "ruxsat berish" qoidalarini sozlang.Faqat himoyalangan anklavga xos qurilmalarning ishlashi uchun mutlaqo zarur bo'lgan trafikka "ruxsat bering". Agar juda ko'p "ruxsat berish" shartlari kerak bo'lsa, anklavni qo'shimcha funktsional guruhlarga ajratishni o'ylab ko'ring.Har doim manba va maqsad IP-manzil va portni aniq belgilang. Ya'ni, "[ma'lum bir IP manzildan] hammasiga ruxsat berish" o'rniga "[ma'lum bir IP manzil va portdan] [ma'lum bir IP manzil va portga] ruxsat berish" dan foydalaning.
Ayniqsa, muhim boshqaruv tizimlari uchun ruxsat etilgan protokollar ichidagi yashirin kanallarni yoki ekspluatatsiyalarni aniqlash uchun xavfsizlik devorini IDS/IPS, dastur monitori yoki shunga o'xshash qurilma bilan to'ldiring. Masalan, tezlikka asoslangan anomaliyani aniqlashga ega IDS/IPS potentsial buzuvchi paketli suv toshqini holatini aniqlashi va oldini olishi mumkin.Agar maqsad buzilish emas, balki kirish (va, ehtimol, qat'iylik) bo'lsa, biz Stuxnet -ga yana qo'llanilishi mumkin bo'lgan infiltratsiya usullarining namunasi sifatida murojaat qilishimiz mumkin. Stuxnet sanoat tarmoqlariga kirish uchun turli xil skanerlash va mutatsiya mexanizmlarini qo'llaydi. Qo'shimcha vazifalarni bajarishdan oldin tarmoq muhitida muayyan sharoitlarni qidirib, Stuxnet juda yo'naltirilgan maqsadni saqlab qolganiga qaramay, o'zini keng tarqatishga qodir.
Xavfsiz anklavlarni o'rnatish .Perimetr xavfsizlik qurilmalarini tanlash
Yagona tahdidlarni boshqarish (UTM) qurilmalari, tarmoqni oq roʻyxatga olish qurilmalari, ilovalar monitorlari, sanoat protokoli filtrlari va boshqalar ham talab qilinishi mumkin. Odatda, anklavning tanqidiyligi (qarang: "Tanqidiylik") talab qilinadigan xavfsizlik darajasini belgilaydi.
Tanqidiylik. Kerakli xavfsizlik. Tavsiya etilgan qo'shimchalar
Har bir xavfsizlik perimetrida xavfsizlik devori va IPS dan foydalanishni tavsiya qiladi. Buning sababi shundaki, xavfsizlik devorlari va IPS qurilmalari turli funktsiyalarni bajaradi: perimetr orqali qanday turdagi trafikni o'tkazishga ruxsat berilgan xavfsizlik devori; va ruxsat etilgan yo'llar orqali uzatiladigan zararli niyatli, ya'ni ekspluatatsiya kodi, zararli dasturlar va boshqalar bilan "qonuniy" trafikni aniqlash uchun ruxsat etilgan trafikni sinchkovlik bilan o'rganib chiqadi . Ikkala qurilmani birgalikda ishlatish ikkita o'zaro foyda keltiradi: birinchidan, bu IPS ga paketlarni chuqur tekshirishni amalga oshirish imkonini beradi) xavfsizlik devori orqali ruxsat etilgan barcha trafik bo'yicha; ikkinchidan, xavfsizlik devori ruxsat etilgan trafikni xavfsizlik anklavining belgilangan parametrlari asosida cheklaydi, IPS o'z resurslarini aynan shu trafikka yo'naltirish uchun bo'shatadi va shuning uchun unga yanada kengroq va mustahkam IPS qoidalarini qo'llash imkonini beradi.
Kattaroq himoya qilish uchun DPI maxsus sanoat protokoli funktsiyalarini tahlil qilish uchun ishlatilishi mumkin. Bu ushbu protokol funktsiyalarini aniqlash uchun mo'ljallangan maxsus SCADA IDS yoki SCADA xavfsizlik devori qurilmalaridan foydalanishni yoki hatto ICS protokoli filtridan yoki seans ichidagi barcha paketlar bo'ylab DPI ni ta'minlovchi ilovalarni kuzatish vositasidan foydalanishni talab qilishi mumkin - aniqlash va tahlil qilish qobiliyatini ta'minlaydi. bir nechta paketlarni qamrab oluvchi protokol va dastur tarkibiga. Bu tarmoq trafigining mazmunini yanada chuqurroq ko'rib chiqish imkonini beradi. 7.14 -rasmda xavfsizlik devorlari, IDS/IPS qurilmalari va ilovalar seansi monitoringi tizimlarining ortib borayotgan xavfsizlik imkoniyatlari tasvirlangan.Toʻliq oʻlchamdagi rasmni yuklab olish uchun tizimga kiring.Umumiy xavfsizlik qurilmalarining nisbiy imkoniyatlari.
Eng muhim sohalarda, amaliy qatlam seansi monitoringi qimmatli va zarur darajadagi ishonchni ta'minlaydi, chunki ular ikkala past darajadagi protokol anomaliyalarini (masalan, HTTP ichidagi baza 64-kodlangan, ko'plab APTlar va botnetlar tomonidan ishlatiladigan dastur oqimini) aniqlashga qodir. ) va dastur siyosatining buzilishi (masalan, PLC ga yangi konfiguratsiya yozishga ruxsatsiz urinish). Biroq, agar kerakli tarkiblar bitta paket yoki freym ichida aniq qadoqlangan bo'lsa, juda oddiy dastur protokollari kuzatilmasa, 7.15 -rasmda ko'rsatilganidek, monitoringdan oldin dastur seansini qayta yig'ish kerak .
Toʻliq oʻlchamdagi rasmni yuklab olish uchun tizimga kiring.Eng qat'iy perimetri xavfsizlik qurilmasi ma'lumotlar diyoti bo'lishi mumkin, shuningdek, bir yo'nalishli shlyuz deb ataladi. Ma'lumot diyoti juda oddiy, bir tomonlama tarmoq ulanishi - ko'pincha uzatish / qabul qilish juftligidan faqat bitta optik tolali tarmoqdan foydalanadigan jismoniy cheklangan ulanish. Faqatgina TX optikasidan foydalangan holda, boshqaruv tizimi qurilmalarini o'z ichiga olgan yuqori sezgir tarmoq hududida har qanday raqamli aloqani amalga oshirish jismonan imkonsiz, shu bilan birga nazorat ma'lumotlarini ushbu yuqori darajada xavfsiz anklavdan SCADA DMZ yoki undan tashqariga uzatishga ruxsat berilishi mumkin. Ba'zi hollarda, masalan, o'ta sezgir hujjatlarni saqlash uchun, diod teskari bo'lishi mumkin, shunday qilib ma'lumot xavfsiz anklavga yuborilishi mumkin, bu esa keyinchalik ushbu ma'lumotni anklavdan tashqariga qaytarishga jismoniy jihatdan to'sqinlik qiladi.

Download 0,61 Mb.

Do'stlaringiz bilan baham:

1 ... 18 19 20 21 22 23 24 25 ... 58