S. K. Ganiyev, M. M. Karimov, ica. Tashev



Download 1,64 Mb.
bet85/267
Sana28.09.2021
Hajmi1,64 Mb.
#187525
1   ...   81   82   83   84   85   86   87   88   ...   267
Bog'liq
AXBOROT Хавфсизлиги new

Л1к

Tashqi tannoq
xosti


SYN (1000 )

Ichki tarmoq
ishchi stansiyasi


ACK (1001), SYN (2000)

ACK (2001)

Ulanish

o'rnatilgan

ACK. ma lumotlar

Ulanish

o‘matilgan
Passiv taraf

8.7-rasm. TCP protokoli bo‘yicha aloqani


kvitirlash sxemasi.





8.8-rasm. Seans sathi shlyuzining ishlash sxemasi.
Seans sathi shlyuzi (8.8-rasm) uchun so‘ralgan seans joiz hi- soblanadi, qachonki aloqani kvirtirlash jarayoni bajarilishida SYN va ACK bayroqlar hamda TCP-paketlari sarlavhalaridagi sonlar o'zaro mantiqiy bogTangan bo‘lsa.

Ichki tarmoqning ichki stansiyasi va tashqi tarmoqning kom- pyuteri TCP seansining avtorizatsiyalangan qatnashchilari ekanligi hamda ushbu seansning joizligi tasdiqlanganidan so1 rig shlyuz ula- nishni o‘matadi. Bunda shlyuz ulanishlarming maxsus jadvaliga mos axborotni (jo‘natuvchi va qabul qiluvchi adreslari, ulanish holati, ketma-ketlik nomeri xususidagi axborot va h.) kiritadi.

Shu ondan boshlab shlyuz paketlarm nusxalaydi va ikkala to- monga yo'naltirib, o‘rnatilgan virtual kanal bo‘yicha axborot uza- tilishini nazorat qiladi. Ushbu nazorat jarayonida sears sathi shlyuzi paketlami filtrlamaydi. Ammo u uzatiluvchi axborot sonini nazorat qilishi va qandaydir chegaradan oshganida ulamshni uzishi mumkin. Bu esa, o‘z navbatida, axborotning ruxsatsiz eksport qilinishiga to‘- siq boTadi. Virtual ulanishlar xususidagi qaydlash axboroti to‘p- lanishi ham mumkin.

Seans sathi shlyuzlarida virtual ulanishlarni nazoratlashda kanal vositachilari (pipeproxy) deb yuritiluvchi maxsus dasturlar- dan foydalaniladi. Bu vositachilar ichki va tashqi tarmoqlar orasida virtual kanallarni o‘rnatadi, so‘ngra TCP/IP ilovalari generatsiya- lagan paketlarning ushbu kanal orqali uzatilishini nazoratlaydi.

Kanal vositachilari TCP/IPning muayyan xizmatlariga moTjal- langan. Shu sababli, ishlashi muayyan ilovalarning vositachi-dastur- lariga asoslangan tatbiqiy satli shlyuzlari lmkoniyatlarini kengayti- rishda seans sath shlyuzlaridan foydalanish mumkin.

Seans sathi shlyuzi tashqi tarmoq bilan o'zaro aloqada tarmoq sathi ichki adreslarini (ГР-adreslarini) translyatsiyalashni ham ta’- minlaydi. Ichki adreslami translyatsiyalash ichki tarmoqdan tashqi tarmoqqa jo'natiluvchi barcha paketlarga nisbatan bajariladi.

Amalga oshirilishi nuqtayi nazaridan seans sathi shlyuzi yetar- licha oddiy va nisbatan ishonchli dastur hisoblanadi. U ekranlovchi marshrutizatorni virtual ulanishlarni nazoratlash va ichki IP-adres- lami translyatsiyalash fmksiyalari bilan to‘ldiradi.

Seans sathi shlyuzining kamchiliklari - ekranlovchi marshru- tizatorlaming kamchiliklariga o"xshash. Ushbu texnologiyaning ya­na bir jiddiy kamchiligi ma’lumotlar hoshiyalari tarkibini nazorat­lash mumkin emasligi. Natijada, niyati buzuq odamlarga zarar kelti- ruvchi dasturlarni himoyalanuvchi tarmoqqa uzatish imkoniyati tu- g'iladi. Undan tashqari, TCP-sessiyasining (TCPhijacking) ushlab

208


qolinishida niyati buzuq odam hujumlarini hatto ruxsat berilgan sessiya doirasida amalga oshirishi mumkin.

Amalda aksariyat seans sath shlyuzlari mustaqil mahsulot bo‘lmay, tatbiqiy sath shlyuzlari bilan komplektda taqdim etiladi.



Tatbiqiy sath shlyuzi (ekranlovchi shlyuz deb ham yuritiladi) OSI modelining tatbiqiy sathida ishlab, taqdimiy sathni ham qamrab oladi va tarmoqlararo aloqaning eng ishonchli himoyasini ta’min- laydi. Tatbiqiy sath slilyuzining himoyalash funksiyalari, seans sathi shlyuziga o'xshab, vositachilik funksiyalariga taalluqli. Ammo, tat­biqiy sath shlyuzi seans sathi shlyuziga qaraganda himoyalashning ancha ko‘p funksiyalarini bajarishi mumkin:

  • brandmauer orqali ulanishni o‘rnatishga urinishda foydala- nuvchilami identifikatsiyalash va autentifikatsiyalash;

  • shlyuz orqali ixzatiluvchi axborotning haqiqiyligini tekshirish;

  • ichki va tashqi tarmoq resurslaridan foydalanishni cheklash;

  • axborot oqimini filtrlash va o'zgartirish, masalan, viruslami dinamik tarzda qidirish va axborotni shaffof shifrlash;

  • hodisalarni qaydlash, hodisalarga reaksiya ko‘rsatish hamda qaydlangan axborotni tahiillash va hisobotlami generatsiyalash;

  • tashqi tarmoqdan so‘raluvchi ma’lumotlami keshlash.

Tatbiqiy sath shlyuzi funksiyalari vositachilik funksiyalariga

taalluqli boTganligi sababli, bu shlyuz universal kompyuter hisob- lanadi va bu kompyuterda har bir xizmat ko‘rsatiluvchi tatbiqiy pro- tokol (HTTP, FTP. SMTP, NNTP va h.) uchun bittadan vositachi dastur (ekranlovchi agent) ishlatiladi. TCP/IPning har bir xizmati- ning vositachi dasturi (applicationproxy) aynan shu xizmatga taal­luqli xabarlarni ishlashga va himoyalash funksiyalarini bajarishga moljallangan.

Tatbiqiy sath shlyuzi mos ekranlovchi agentlar yordamida kiruvchi va chiquvchi paketlarni ushlab qoladi, axborotni nusxalaydi va qayta jo‘natadi, ya’ni ichki va tashqi tarmoqlar orasidagi to‘g‘ridan-to‘g'ri ulanishni istisno qilgan holda, server-vositachi funksiyasini bajaradi (8.9-rasm).


8.9-rasm. Tatbiqiy shlyuzning ishlash sxemasi.




Tatbiqiy sath shlyuzi ishlatadigan vositachilar seans sathi shlyuzlarining kanal vositachilaridan jiddiy farqlanadi. Birinchidan. tatbiqiy sath shlyuzlari muayyan ilovalar (dasturiy serverlar) bilan bog‘langan, lkkinchidan, ular OSI modelining tatbiqiy sathida xa- barlar oqimini filtrlashlari mnmkin.

Tatbiqiy sath shlyuzlari vositachi sifatida mana shu maqsadlar uchun maxsus ishlab chiqilgan TCP/EPning muayyan xizmatlarining dasturiy serverlari - HTTP, FTP, SMTP, NNTP va h. - serverlari- dan foydalanadi. Bu dasturiy serverlar brandmauerlarda rezident re- jimida ishlaydi va TCP/IPning mos xizmatlariga taalluqli himoya- lash funksiyalarini amalga oshiradi UDP trafigiga UDP-paketlar tarkibining maxsus translyatori xizmat ko‘rsatadi.

Ichki tarmoq ishchi serveri va tashqi tarmoq kompyuteri ora- sida ikkita ulanish amalga oshiriladi: ishchi stansiyadan brand- mauergacha va brandmauerdan belgilangan joygacha. Kanal vosita­chilaridan farqli holda, tatbiqiy sath shlyuzining vositachilari faqat o‘zlari xizmat qiluvchi ilovalar generatsiyalagan paketlarni o‘tka- zadi. Masalan, HTTP xizmatining vositachi-dasturi faqat shu xizmat generatsiyalagan trafikni ishlaydi.

Agar qandaydir ilovada o‘zimng vositachisi bo‘lmasa, tatbiqiy sathdagi shlyuz bunday ilovani ishlay olmaydi va u blokirovka qili- nadi. Masalan, agar tatbiqiy sathdagi shlyuz faqat HTTP, FTP va Telnet vositachi-dasturlaridan foydalansa, u faqat shu xizmatlarga tegishli paketlarni ishlaydi va qolgan xizmatlarning paketlarini blokirovka qiladi

Tatbiqiy sath shlyuzi vositachilari, kanal vositachilaridan farqli holda. ishlanuvchi ma’lumotlar tarkibini tekshirishni ta’minlaydi. Ular o‘zlari xizmat leo'rsatadigan tatbiqiy sath protokollaridagi ko- mandalarning alohida xillarini va xabarlardagi axborotlami filtrlash- lari mumkin.

Tatbiqiy sath shlyuzini sozlashda va xabarlarni filtrlash qoida- larini tavsiflashda quyidagi parametrlardan foydalaniladi: servis no- mi, undan foydalanishning joiz vaqt oralig‘i, ushbu servisga bogTiq xabar tarkibiga cheklashlar, servis ishlatadigan kompyuterlar, foyda- lanuvchi identifikatori, autentifikatsiyalash sxemalari va h.

Tatbiqiy sath shlyuzi quyidagi afzalliklarga ega:



  • aksariyat vositachilik funksiyalarini bajara olishi tufayli lokal tarmoq himoyasining yuqori darajasini ta’minlaydi;

  • ilovalar sathida himoyalash ko‘pgina qo‘shimcha tekshirish- larni amalga oshirishga imkon beradi, natijada dasturiy ta’minot kamchiliklariga asoslangan muvaffaqiyatli hujumlar o‘tkazish ehti- molligi kamayadi;

  • tatbiqiy sath shlyuzimng ishga layoqatligi buzilsa, boTinuv- chi tarmoqlar orasida paketlarning to‘ppa-to‘g‘ri o‘tishi blokirovka qilinadi, natijada rad qilinishi tufayli himoyalanuvchi tarmoqning xavfsizligi pasaymavdi.

Tatbiqiy sath shlyuzining kamchiliklariga quyidagilar kiradi:

  • narxining msbatan yuqoriligi;

  • brandmauerning o‘zi hamda uni o‘matish va konfiguratsiya- lash muolajasi yetarlicha murakkab;

  • kompyuter platformasi unumdorligiga va resurslari hajmiga qo‘yiladigan talablarning yuqoriligi;

  • foydalanuvchilar uchun shaffoflikning yo‘qligi va tarmoqlar- aro aloqa o‘matilishida o‘tkazish qobiliyatining susayishi.

Oxirgi kamchilikka batafsil to‘xtalamiz. Vositachilar server va mijoz orasida paketlar uzatilishida oraliq rolini bajaradi. Awal vosi-

211


tachi bilan ulanish o‘matiladi, so‘ngra vositachi adresat bilan ula- nishni yaratish yoki yaratmaslik xususida qaror qabul qiladi. Mos holda tatbiqiy sath shlyuzi ishlashi jarayonida har qanday mxsat etilgan ulanishni qaytalaydi. Natijada foydalanuvchilar uchun shaf- foflik yo‘qoladi va ulanishga xizmat qilishga qo‘shimcha harajat sarflanadi.

Tatbiqiy sath shlyuzimng foydalanuvchi lar uchun shaffofligi- ning yo‘qligi va tarmoqlararo aloqa o‘matilishida o‘tkazish qobili- yatining susayishi kabi jiddiy kamchiliklarini bartaraf etish maqsa- dida paketlarni filtrlashning yangi texnologiyasi ishlab chiqilgan. Bu texnologiyani ba’zida ulanish holatini nazoratlashli filtrlash (state- fulinspection) yoki ekspert sathidagi filtrlash deb yuritishadi. Bun- day filtrlash paketlar holatini ko‘p sathli tahlillashning maxsus usul- lari (SMLT) asosida amalga oshiriladi

Ushbu gibrid texnologiya tarmoq sathida paketlarni ushlab qo- lish va undan ulanishni nazorat qilishda ishlatiluvchi tatbiqiy sath axborotini chiqarib olish orqali ulanish holatini kuzatishga imkon beradi.

Ishlashi asosini ushbu texnologiya tashkil etuvchi tarmoqlararo ekran ekspert sath brandmaueri deb yuritiladi. Bunday brandmauer- lar o‘zida ekranlovchi marshrutizatorlar va tatbiqiy sath shlyuzlari elementlarini uyg‘unlashtiradi. Ular har bir paket tarkibini berilgan xavfsizlik siyosatiga muvofiq baholaydilar.

Shunday qilib, ekspert sathidagi brandmauerlar quyidagilami nazoratlashga imkon beradi:


  • ma'viud qoidalar jadvali asosida har bir uzatiluvchi paketni;

  • holatlar jadvali asosida har bir sessiyani;

  • ishlab chiqilgan vositachilar asosida har bir ilovani.

Ekspert sath tarmoqlararo ekranlarining afzalliklari sifatida

ulaming foydalanuvchilar uchun shaffofligini, axborot oqimini ish- lashining yuqori tezkorligini hamda ular orqali o‘tuvchi paket- laming IP-adreslarini o‘zgartirmasligini ko‘rsatish murnkin. Oxirgi afzallik: IP-adresdan foydalanuvchi tatbiqiy sathning har qanday protokolining bunday brandmauerlardan hech qanday o‘zgarishsiz yoki maxsus dasturlashsiz birga ishlay olishini anglatadi.

Bunday brandmauerlaming avtorizatsiyalangan mijoz va tashqi tarmoq kompyuteri orasida to‘g‘ridan-to‘g‘ri ulanishga yo‘l qo‘-

21 2

yishi, himoyaning unchalik yuqori bo‘lmagan darajasini ta’min- laydi. Shu sababli, amalda ekspert sathini filtrlash texnologiyasidan kompleks brandmauerlar ishlashi samaradorligini oshirishda foyda- laniladi Ekspert sathning filtrlash texnologiyasini ishlatuvchi komp­leks brandmauerlarga misol tariqasida FireWall-1 va ON Guardlarni ko‘rsatish mumkin.

Nazorat savollari:



  1. Ekranlovchi marshrutizatorlarning ishlash prinsipini tushun- tirib berin.

  2. Seans sath i shlyuzining funksiyalarini yoritib bering.

  3. Tatbiqiy sath shlyuzi qanday tartibda ishlashini tushuntirib bering.

  4. Ekranlovchi marshrutizatorlar, seans sathi shlyuzi va tatbi­qiy sath shlyuzi qoTlaydigan funksiyalaming bir-biridan farqi ni- mada?

  1. Tarmoqlararo ekranlar asosidagi tarmoq himoyasining


Download 1,64 Mb.

Do'stlaringiz bilan baham:
1   ...   81   82   83   84   85   86   87   88   ...   267




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish