Хабарлар оцимини филътрлаш ва узгартириш
воситачи томонидан
коидаларнинг берилган туплами ёрдамида бажарилади. Бунда воситачи-
дастурларнинг икки хили фаркланади:
-
сервис турини аникдаш учун хабарлар ок,имини тахлиллашга
мулжалланган экранловчи агентлар, масалан, FTP, HTTP, Telnet;
-
барча хабарлар окимини ишловчи универсал экранловчи агентлар,
масалан, компьютер вирусларини кидириб зарарсизлантиришга ёки маълу
мотларни шаффоф шифрлашга мулжалланган агентлар.
Дастурий воситачи унга келувчи маълумотлар пакетини тахлиллайди
ва агар кандайдир объект берилган мезонларга мое келмаса, воситачи унинг
кейинги силжишини блокировка килади ёки мое узгаришини, масалан, ош-
кор килинган компьютер вирусларни зарарсизлантиришни бажаради. Па-
кетлар таркибини тахлиллашда экранловчи агентнинг утувчи файлли архи-
вларни автоматик тарзда оча олиши мухим хисобланади.
Фойдаланувчиларни идентификациялаш ва аутентификациялаш
баъзида оддий идентификаторни (исм) ва паролни такдим этиш билан
амалга оширилади (7.3-расм). Аммо бу схема хавфсизлик нуктаи назаридан
заиф хисобланади, чунки паролни бегона шахе ушлаб крлиб ишлатиши
мумкин. Internet тармогидаги купгина можаролар кисман анъанавий куп
марта ишлатилувчи паролларнинг заифлигидан келиб чикдан.
Маршрутизатор
Тармокдараро
экран
Коммутатор
Ишчи
станция Ишчи Ишчи станция
станция станция
9.3-
расм. Пароль бўйича фойдаланувчини аутентификациялаш
схемаси
Аутентификациялашнинг ишончлирок, усули - бир марта
ишлатилувчи пароллардан фойдаланишдир. Бир мартали
паролларни генерациялашда
www.security.
\J K
OMI
Ишчи
аппарат ва дастурий воситалардан фойдаланилади. Аппарат воситалари
компьютернинг слотига урнатилувчи курилма булиб, уни ишга тушириш
учун фойдаланувчи кандайдир махфий ахборотни билиши зарур. Масалан,
смарт-карта ёки фойдаланувчи токени ахборотни генерациялайди ва бу ах-
боротни хост анъанавий парол урнида ишлатади. Смарт-карта ёки токен
хостнинг аппарат ва дастурий таъминоти билан бирга ишлаши сабабли, ге-
нерацияланувчи парол хар бир сеанс учун ноёб булади.
Ишончли орган, масалан калитларни таксимлаш маркази томонидан
берилувчи ракамли сертификатларни ишлатиш хам кулай ва ишончли.
Купгина воситачи дастурлар шундай ишлаб чикиладики, фойдаланувчи
факат тармокдараро экран билан ишлаш сеансининг бошида аутентифика-
циялансин. Бундан кейин маъмур белгиланган вакт мобайнида ундан
кушимча аутентификацияланиш талаб этилмайди.
Тармокдараро экранлар тармокдан фойдаланишни бошкаришни мар-
казлаштиришлари мумкин. Демак, улар кучайтирилган аутентификациялаш
дастурлари ва курилмаларини урнатишга муносиб жой хисобланади. Гарчи
кучайтирилган аутентификация воситалари хар бир хостда ишлатилиши
мумкин булсада, уларнинг тармокдараро экранларда жойлаштириш кулай.
Кучайтирилган аутентификациялаш чораларидан фойдаланувчи
тармокдараро экранлар булмаса, Telnet ёки FTP каби иловаларнинг аутен-
тификацияланмаган трафиги тармокнинг ички тизимларига тугридан-тугри
утиши мумкин.
Катор тармокдараро экранлар аутентификациялашнинг кенг
тарк,алган усулларидан бири - KerberosHH мададлайди. Одатда, аксарият
тижорат тармокдараро экранлар аутентификациялашнинг турли схемалари-
ни мададлайди. Бу эса тармок, хавфсизлиги маъмурига узининг шароитига
к,араб энг макбул схемани танлаш имконини беради.
Ички тармок адресларини трансляциялаш.
Купгина хужумларни
амалга оширишда нияти бузук, одамга к,урбонининг адресини билиш керак
булади. Бу адресларни хамда бутун тармок, топологиясини беркитиш учун
тармокдараро экранлар энг мухим вазифани - ички тармок, адресларини
трансляциялашни бажаради (7.4-расм).
Маршрутизатор
184.56.5.12
Тармокдараро
экран
183.157.3.212
Коммутатор
183.157.3.110 183.157.3.105
7.
4-
расм. Тармоц адресларини трансляциялаш
Бу функция ички тармокдан ташки тармоккд узатилувчи барча пакет -
ларга нисбатан бажарилади. Бундай пакетлар учун жунатувчи компьютер-
ларнинг IP-адреслари битта "ишончли" IP адресга автоматик тарзда
узгартирилади.
Ички тармок, адресларини трансляциялаш иккита усул-динамик ва
статик усулларда амалга оширилиши мумкин. Динамик усулда адрес узелга
тармоклараро экранга мурожаат онида ажратилади. Уланиш тугаллангани-
дан сунг адрес бушайди ва уни корпоратив тармокнинг бошка узели ишла-
тиши мумкин. Статик усулда узел адреси барча чикувчи пакетлар узатила-
диган тармоклараро экраннинг битта адресига доимо богланади.
Тармоклараро экраннинг IP-адреси ташки тармоккд тушувчи ягона фаол IP-
адресга айланади. Натижада, ички тармокдан чикувчи барча пакетлар
тармоклараро экрандан жунатилган булади. Бу авторизацияланган ички
183.157.3.210
183.157.3.201
тармок, ва хавфли булиши мумкин булган ташки тармок, орасида тугридан-
тугри алокани истисно килади.
Бундай ёндашишда ички тармок, топологияси ташки фойдаланувчи-
лардан яширинган, демак, рухсатсиз фойдаланиш масаласи кийинлашади.
Адресларни трансляциялаш тармок, ичида ташки тармок,, масалан
Internetflara
адреслаш билан келишилмаган адреслашнинг хусусий тизимига
эга булишига имкон беради. Бу ички тармокнинг адрес маконини кенгай-
тириш ва ташки адрес танкислиги муаммосини самарали ечади.
Ходисаларни кайдлаш, ходисаларга реакция курсатиш, хамда
кайдланган ахборотни тахлиллаш ва хисоботларни генерациялаш
тармоклараро экранларнинг мухим вазифалари х,исобланади. Корпоратив
тармок,ни х,имоялаш тизимининг жиддий элементи сифатида тармокдараро
экран барча харакатларни руйхатга олиш имкониятига эга. Бундай
х,аракатларга нафак,ат тармок, пакетларини утказиб юбориш ёки блокировка
килиш, балки хавфсизлик маъмури томонидан фойдаланишни к,оидасини
узгартириш ва х,. х,ам тааллукди. Бундай руйхатга олиш зарурият тугилганда
(хавфсизлик можароси пайдо булганида ёки суд инстанцияларига ёки ички
тергов учун далилларни йигишда) яратилувчи журналларга мурожаат этишга
имкон беради.
Шубх,али ходисалар (alarm) хусусидаги сигналларни к,айдлаш тизими
тугри созланганида тармокдараро экран ёки тармок, хужумга дучор
булганлиги ёки зондланганлиги тугрисидаги батафсил ахборотни бериши
мумкин. Тармокдан фойдаланиш ва унинг зондланганлигининг исботи ста-
тистикасини йигиш к,атор сабабларга кура мухимдир. Аввало. тармокдараро
экраннинг зондланишга ва хужумларга бардошлигини аник, билиш зарур ва
тармокдараро экранни химоялаш тадбирларининг адэкватлигини аникдаш
лозим. Ундан ташк,ари, тармокдан фойдаланиш статистикаси тармок, асбоб-
ускуналарига ва дастурларига талабларни ифодалаш мак,садида хавф-
хатарни тадкикдаш ва тахлиллашда дастлабки маълумотлар сифатида мухим
хисобланади.
Купгина тармокдараро экранлар статистикани к,айдловчи, йигувчи ва
тахлилловчи к,увватли тизимга эга. Мижоз ва сервер адреси, фойдаланувчи-
лар идентификатори, сеанс вактлари, уланиш вактлари, узатилган ва к,абул
килинган маълумотлар сони, маъмур ва фойдаланувчилар харакатлари
буйича хисоб олиб борилиши мумкин. Хисоб тизимлари статистикани тах-
лиллашга имкон беради ва маъмурларга батафсил хисоботларни такдим
этади. Тармоклараро экранлар махсус протоколлардан фойдаланиб, маълум
ходисалар тугрисида реал вакт режимида масофадан хабар беришни бажа-
риши мумкин.
Рухсатсиз харакатларни килишга уринишларни аникланишига
буладиган мажбурий реакция сифатида маъмурнинг хабари, яъни
огохдантирувчи сигналларни бериш белгиланиши лозим. Хужум
килинганлиги аникданганда огохдантирувчи сигналларни юборишга крдир
булмаган тармокдараро экранни тармоклараро химоянинг самарали восита-
си деб булмайди.
Do'stlaringiz bilan baham: |