S. K. Ganiyev, M. M. Karimov, ica. Tashev

Download 1,64 Mb.

bet	88/267
Sana	28.09.2021
Hajmi	1,64 Mb.
	#187525

1 ... 84 85 86 87 88 89 90 91 ... 267

Bog'liq
AXBOROT Хавфсизлиги new

Himoyalanuvchi yopiq va himoyalamnaydigan ochiq qismtar- moqli sxertmlar. Agar lokal tarmoq tarkibida umumfoydalanuvchi ochiq serverlar bo‘lsa, ularni tarmoqlararo ekrandan oldin ochiq qismtarmoq sifatida chiqarish maqsadga muvofiq hisoblanadi (8.13- rasm).

Ushbu usul lokal tarmoq yopiq qismining kuchli himoyalani- shini, ammo tarmoqlararo ekrangacha joylashgan ochiq serverlar- ning pasaygan himoyalanishini ta’minlaydi.

Ba’zi brandmauerlar bu serverlarni o‘zida joylashtiradi. Ammo bu brandmauerning xavfsizligi va kompyuteming yuklanishi nuqtai nazaridan yaxshi yechim hisoblanmaydi. Himoyalanuvchi yopiq va himoyalanmaydigan ochiq qismtarmoqli sxemani ochiq qismtarmoq xavfsizligiga qo‘ydadigan talablarmng yuqori bo‘lmagan hollarida ishlatilishi maqsadga muvofiq hisoblanadi. Agar ochiq server xavfsizligiga yuqori talablar qo‘yilsa, yopiq va ochiq qismtarmoqlarni alohida himoyalash sxemalaridan foydalanish zarur.

Yopiq va ochiq qism (armoqlami alohida himoyalovchi sxema- lar. Bunday sxemalar uchta tarmoq interfeysli bitta brandmauer (8.14-rasm) yoki ikkita tarmoq interfeysli ikkita brandmauer (8.15- rasm) asosida qurilishi mumkin.

rasm. Himoyalanadigan yopiq va himoyalanmaydigan
ochiq qismtarmoqli sxema.

8.14 -rasm. Uchta tarmoq inte., ... bir brandmauer asosida yopiq va ochiq qimstarmoqlarni alohida himoyalash sxemasi.

Ikkala holda ham ochiq va yopiq qismtarmoqlardan faqat tar- moqlararo ekran orqali foydalanish mumkin. Bunda ochiq qismtar-

moqdan foydalanish yopiq qismtarmoqdan foydalanishga imkon bermaydi.

8.15-rasm. Ikkita tarmoq interfeysli ikkita brandmauer asosida yopiq va ochiq qismtarmoqlarni alohida himoyalash sxemasi.

Ikkita brandmauerli sxema tarmoqlararo aloqa xavfsizligining yuqori darajasini ta’minlaydi. Bunda har bir brandmauer yopiq tarmoqni himoyalashning alohida eshelonini hosil qiladi, himoya- lanuvchi ochiq qismtarmoq esa ekranlovchi qismtarmoq sifatida ish- tirok etadi. Odatda ekranlovchi qismtarmoq shunday konfigurat- siyalanadiki. qismtarmoq kompyuteridan g'anim tashqi tarmoq va lokal tarmoqning yopiq qismtarmog‘i foydalana olsin. Ammo tashqi tarmoq va yopiq qismtarmoq orasida to‘g‘ridan-to‘g‘ri axborot pa- ketlarini almashish mumkin emas. Ekranlovchi qismtarmoqli ti- zimga hujum qilishda, bo‘lmaganida, himoyaning ikkita mustaqil chizig‘ini bosib o'tishga to‘g‘ri keladi. Bu esa juda murakkab masala hisoblanadi. Tarmoqlararo ekran holatlarini monitoringlash vositalari bunday urinishni doimo aniqlashi va tizim ma’muri o‘z vaqtida ruxsatsiz foydalanishga qarshi zaruriy choralar ko‘rishi mumkin.

Ta’kidlash lozimki, aloqaning kommutatsiyalanuvchi liniyasi orqali ulanuvchi masofadagi foydalanuvchilarning ishi ham tashkilotda o‘tkaziluvchi xavfsizlik siyosatiga muvofiq nazorat qilinishi shart. Bunday masalaning namunaviy hal etilishi - zaruriy funksional imkoniyatlarga ega bo‘lgan masofadan foydalanish ser- verini (terminal serverm) o‘matish. Terminal server bir necha asinxron portlarga va lokal tarmoqning bitta interfeysiga ega bo‘l- gan tizim hisoblanadi. Asinxron portlar va lokal tarmoq orasida ax- borot almashish faqat tashqi foydalanuvchini autentifikatsiyalashdan keyin amalga oshiriladi.

Terminal serverm ulashni shunday amalga oshirish lozimki, uning ishi faqat tarmoqlararo ekran orqali bajarilsin. Bu masofadagi foydalanuvchilarning tashkilot axborot resurslari bilan ishlash xavf- sizligining kerakli darajasini ta’minlashga imkon beradi.

Terminal serverni ochiq qismtarmoq tarkibiga kiritilganida, bunday ulanish joiz hisoblanadi. Terminal serverning dasturiy ta’- minoti kommutatsiyalanuvchi kanallar orqali aloqa seanslarini ma’- murlash va nazoratlash imkoniyatini ta’minlashi lozim. Zamonaviy terminal serverlami boshqarish modullari serveming o‘zini xavfsiz- ligini ta’minlash va mijozlaming foydalanishini chegaralash bo‘- yicha yetarlicha rivojlangan imkoniyatlarga ega va quyidagi funk- siyalami bajaradi:

ketma-ket portlardan, PPP protokoli bo‘yicha masofadan hamda ma’mur konsolidan foydalanishaa lokal parolni ishlatish,
lokal tarmoqning qandaydir mashinasining autentifikatsi- yalashga so‘rovidan foydalanish;
autentifikatsiyalashning tashqi vositalaridan foydalanish;
terminal serveri portlaridan foydalanishni nazoratlovchi ro‘y- xatni o‘matish;
terminal server orqali aloqa seanslarini protokollash.

Shaxsiy var~~taqsin~~t~~langan~~ tarmoq ~~ekranla~~rL Oxirgi bir necha

yil mobaynida korporativ tarmoq tuzilmasida ma’lum o‘zgarishlar sodir bo‘ldi. Agar ilgari bunday tarmoq chegaralarini aniq belgilash mumkin bo'lgan bo'lsa, hozirda bu mumkin emas. Yaqin vaqtgacha bunday chegara barcha marshrutizatorlar yoki boshqa qurilmalar (masalan, modemlar) orqali o‘tar va ular yordamida tashqi tarmoq- larga chiqilar edi. Ammo hozirda tarmoqlararo ekran orqali himoya-

221

lanuvchi tarmoqning to‘la huquqli egasi - himoyalanuvchi perimetr tashqarisidagi xodim hisoblanadi. Bunday xodimlar sirasiga uydagi yoki mehnat safaridagi xodimlar kiradi. Shubxasiz, ularga ham hi- moya zarur. Ammo barcha an’anaviy tarmoqlararo ekranlar shunday qurilganki, himoyalanuvchi foydalanuvchilar va resurslar ularning himoyasida korporativ yoki lokal tarmoqning ichki tomonida bo‘- lishlari shart. Bu esa mobil foydalanuvchilar uchun mumkin emas.

Bu muammoni yechish uchun quyidagi yondashishlar taklif etilgan:

taqsimlangan tarmoqlararo ekranlardan (distributed firewall) foydalanish;
virtual xususiy tarmoq VPNlar imkoniyatidan foydalanish.

Download 1,64 Mb.

Do'stlaringiz bilan baham:

1 ... 84 85 86 87 88 89 90 91 ... 267