Vazirligi toshkent davlat iqtisodiyot universiteti

-jadval Kriptotizimlarning asosiy tavsiflari Kriptotizim turi

Download 3,04 Mb.

bet	355/375
Sana	04.02.2023
Hajmi	3,04 Mb.
	#907765

1 ... 351 352 353 354 355 356 357 358 ... 375

Bog'liq
Informatika va axborot texnologiyalari

21.1-jadval Kriptotizimlarning asosiy tavsiflari Kriptotizim turi	Amallar	Bog'liqligi	Pozitsiyali
Simmetriyaning mavjudligi
Uzluksiz shifrlash	Bitlar	Bog'liq emas	Bog'liq	Simmetrik
Blokli shifrlash	Bloklar	Bog'liq emas	Bog'liq emas	Simmetrik yoki asimmetrik
Teskari aloqali	Bitlar yoki bloklar	Bog'liq	Bog'liq emas	Simmetrik

Uzluksiz shifrlash shundan iboratki, ochiq matn bitlari modul 2 bo’yicha soxta tasodifiy ketma-ketlik bitlari bilan qo'shiladi. Uzluksiz shifrlaming afzalliklari shundaki, ulaming shifrlash tezligi yuqori bo'ladi, ulami qo‘llash nisbatan oson va xatolar ko'payib ketmaydi. Faqat bunda sinxronlashtirish haqidagi axborot ma’lumot sarlavhasidan oldin uzatilishi lozim. Bu sarlavha har qanday ma’lumot deshifrlanishidan oldin qabul qilib olinishi kerak. Bu esa uzluksiz shifrlash usulining kamchiligi bo‘lib, uning kelib chiqish sababi shundaki, agar ikkita turli xil ma’lumot bitta kalit vositasida shifrlanadigan bo‘lsa, bu holda ulami deshifrlash uchun ham bitta sohta tasodifiy ketma-ketlik talab qilinadi. Bunday hoi tizim kriptoturg'unligi uchun xavf tug'diradi. Shuning uchun ham tasodifiy tanlab olingan qo‘shimcha kalit ishlatiladi. Bu kalit ma’lumotlardan oldin uzatiladi va shifrlash kalitini modifikatsiyalash uchun qo’llanadi. Natijada turli ma’lumotlar turli ketma-ketliklar yordamida shifrlanadi.
Uzluksiz shifrlar axborot iste’molchisiga tezkor etkazib berilishni talab qilgan va raqamli shaklga o‘zgartirilgan nutqiy signallar va raqamli ma’lumotlami shirflash uchun qo‘llanadi. Yaqin paytgacha shifrlashning ushbu usulidan mana shunday tarzda foydalanish etakchilik qilar ediki, bu shifrlovchi ketma-ketliklar generatorlarining nisbatan sodda loyihalanishi va ishlatilishi bilan izohlanadi.

638

21 - bob. Axborot xavfsizligi

Ammo eng muhim omil bu o‘rinda, shubhasiz, uzluksiz shifrda xatolaming ko‘payishi sodir bo'lmasligida. Uzluksiz shifrlashda ketma-ketliklarni generatsiyalashning standart usuli bu chiqish bo‘yicha teskari aloqa rejimida DES shifrlash standartida qo‘llanadigan usuldir (OFB rejimi).
Blokli shifrlashda ochiq matn awal teng uzunlikdagi bloklarga bo'linadi, so‘ngra m bit uzunlikdagi ochiq matn blokini xuddi shunday uzunlikdagi shifrmatn blokiga o‘zgartirish uchun kalitga bog‘liq bo‘lgan shifrlash funksiyasi qo’llanadi. Blokli shifrlashning afzalligi shundaki, shifrmatnning har bitta bloki ochiq matndagi tegishli blokning barcha qiymatlariga bog‘liq bo‘lib, ochiq matnning hech qanday ikkita bloki shifrmatning bir xil blokiga to‘g‘ri kelmaydi. Blokli shifrlash algoritmi turli rejimlarda qo‘llanishi mumkin. DES algoritmining to’rtta shifrlash rejimini amalda har qanday shifrli blok uchun qo‘llash mumkin. Bular to‘g‘ridan to’g'ri shifrlash yoki elektron kodlar kitobi ECB (Electronic code Book)ni qo‘llagan holda shifrlash rejimi, shifrmatn bloklarini o‘zaro tutashtirish yo‘li bilan shifrlash rejimi - CBC (Cipher block cheining), CFB (Cipher feedback) shifrmatni bo‘yicha teskari aloqali shifrlash hamda chiqish, ya’ni OFB (Output feedback) bo’yicha teskari aloqali ishfrlash.
To‘g‘ridan to’g’ri blokli shifrlash ECBning asosiy afzalligi shundaki, puxta loyihalashtirilgan blokli shifrlash tizimida shifrmatndagi kichkina o‘zgarish ham ochiq matnning tegishli qismida katta va avvaldan bilib bo’lmaydigan o‘zgarishni keltirib chiqaradi, va aksincha. Shuning bilan birga blokli shifrlashni ushbu rejimda qo’llashning jiddiy nuqsonlari ham bor. Shulardan birinchisi quyidagi sabab bilan izohlanadi. Shifrlash determinlanuvchi, ya’ni aniqlanuvchi xususiyatga ega bo'lganligi tufayli, qayd etilgan 64 bitli blok berilganda shifrmatnning «lug‘at bilan» kriptotahlilini amalga oshirish mumkin bo’lib qoladi. 64 bit uzunlikdagi ochiq matnning ma’lum bir qismi shifrmatnning xuddi shu qismiga to‘g‘ri keladi, bu esa kriptotahlilchiga uzatilayotgan ma’lumotning mazmuni haqida ma’lum xulosalarga kelish imkonini beradi. Bu shifrning boshqa bir potentsial kamchiligi shundaki, unda xatolar ko'payish xususiyatiga ega bo’ladi. Qabul qilingan shifrmatn blokidagi bittagina bitning o’zgarishi natijasida butun blok noto'g’ri deshifrlanadi. Bu esa, o‘z navbatida, dastlabki matnning tiklangan bloklarida xato bitlaming (1 dan 64gacha) paydo bo’lishiga olib keladi.
Ko’rsatib o‘tilgan kamchiliklari tufayli blokli shifrlar ushbu rejimda uzun ma’lumotlami shifrlash uchun kamdan-kam qo’llanadi. Biroq uzatilayotgan ma’lumotlar bir yoki ikkita blokdan oshmaydigan moliya muassasalarida blokli shifrlar to‘g‘ridan-to‘g‘ri shifrlash rejimida keng qo’llanadi, chunki bu o’rinda shifr kalitini tez-tez o’zgartirib turish imkoni mavjud. Shuning uchun ham ochiq matnning ikkita bir xil blokining bitta kalit bilan shifrlanishi kamdan-kam uchraydigan holdir.
Ochiq kalitli kriptotizim ham blokli shifrlash tizimiga kiradi va katta uzunlikdagi bloklar bilan ish olib borishi kerak. Nima uchun? Chunki kriptotahlilchi ochiq shifrlash kalitini bilishi va shu tufayli ochiq va shifrmatnlaming tegishli bloklarini oldindan hisoblab chiqib, ulaming jadvalini tuzib chiqishi mumkin. Agar bloklar uzunligi kichik bo’lsa (masalan, 30 bit), bu holda bloklar soni ham uncha katta bo’lmaydi (30 bit uzunlikda bloklar soni

§21.6. Nosimmetrik kriptotizimlar. Ochiq kalitli kriptotizim konsentratsiyasi

639

230(109). Bu holda ma’lum ochiq kalitdan foydalanib, har qanday ma’lumotni shu ondayoq deshifrlash imkonini beradigan to'liq jadval tuzish mumkin bo‘ladi. Ochiq kalitli asimmetrik kriptotizimlar quyidagi batafsil tahlil etilgan.
Blokli shifrlar teskari aloqali shifrlash tizimlarida nisbatan ko‘proq qo'llanadi. Teskari aloqali shifrlash tizimlarining amaliyotda turli variantlari uchraydi. Blokli shifrlashda bo‘lganidek, bu yerda ham ma’lumotlar m bitdan iborat bloklarga bo‘lib chiqiladi. Bu bloklami shifrbloklarga aylantirish uchun maxsus shifrlash funksiyalari qo'llanadi. Biroq, agar blokli shifiiarda bunday funksiya faqat kalitga bog'liq bo'lsa, teskari aloqali blokli shifrlarda u kalitga ham, shifrmatnning oldin kelgan bir yoki bir nechta bloklariga ham bog'liq bo'ladi.
Teskari aloqali blokli shifrlashda shifrmatn bloklari o'zaro tutashtirilgan shift CBC eng muhim hisoblanadi. Bunda oldin kelgan shifrmatnning m ta biti modul 2 bo'yicha ochiq matnning keyin kelgan m ta biti bilan jamlanadi, keyin esa shifrmatnning navbatdagi blokiga ega bo'lish uchun kalit boshqaruvida blokli shifrlash algoritmi qo'llanadi. Teskari aloqali shifrning yana bir varianti DES algoritmining CFB standart rejimidan, ya’ni shifrmatn bo'yicha teskari aloqali rejimdan hosil qilinadi.
Teskari aloqali blokli shifrlash kriptotizimlarining afzalligi shundaki, ular ma’lumotlar ustida faol tutib oluvchi olib borayotgan xatti-harakatlami aniqlash imkonini beradi. Bunda bunday shifrlarda xatolaming ko'payish holati hamda bu tizimlaming autentifikatsiya kodlarini oson generatsiyalash qobiliyati qo'l keladi. Shuning uchun ham teskari aloqali shifrlash tizimlari nafaqat ma’lumotlami shifrlash uchun, balki ulami autentifikatsiyalash uchun ham qo'llaniladi. Teskari aloqali blokli shifrlash kriptotizimlari ayrim kamchiliklarga ham ega. Ulaming asosiylari xatolaming ko'payishidir, chunki ma’lumotlami uzatishda ketgan bitta xato bit deshifrlangan matnda bir qator xatoliklami keltirib chiqarishi mumkin. Boshqa kamchiligi shundaki, teskari aloqali shifrlash tizimlarini ishlab chiqish va amalda qo'llash uzluksiz shifrlash tizimlariga qaraganda murakkabroqdir.
Amalda uzun ma’lumotlami shifrlashda uzluksiz shifrlar yoki teskari aloqali shifrlar qo'llanadi. Shifrning ma’lum bir ko'rinishini tanlash tizim vazifalari va unga qo'yiladigan talablarga bog'liq.
§ 21.6. NOSIMMETRIK KRIPTOTIZIMLAR. OCHIQ
KALITLI KRIPTOTIZIM KONSENTRATSIYASI
Ma’lumotlami kriptografik himoyalashning samarali tizimlaridan biri nosimmetrik kriptotizimlar bo'lib, ular shuningdek ochiq kalitli kriptotizimlar deb ataladi. Bunday tizimlarda ma’lumotlami shifrlash uchun bitta kalit, deshifrlash uchun esa boshqa kalit qo'llanadi. Shuning uchun ham ular nosimmetrik kriptotizimlar . Birinchi kalit ochiq bo'ladi hamda ma’lumotlami shifrlayotgan barcha tizim foydalanuvchilarining qo'llashi uchun nashr etiladi. Ochiq kalit yordamida ma’lumotlami deshifrlash mumkin emas.
Ma’lumotlami deshifrlash uchun shifrlangan ma’lumotlami qabul qiluvchi shaxs ikkinchi - maxfiy kalitdan foydalanadi. Tabiiyki, deshifrlash kalitini shifrlash kalitidan aniqlab olish mumkin emas.

640

21 - bob. Axborot xavfsizligi

Ochiq kalitli kriptotizimning umumlashma sxemasi 21.4-rasmda ko'rsatilgan. Bu kriptotizimda ikkita turli kalit qo‘llanadi: Kß - ma’lumot jo'natuvchisi Aning ochiq kaliti; kß - qabul qiluvchi Bning maxfiy kaliti. Kalitlar generatorini qabul qiluvchi Bning tomonida joylashtirish maqsadga muvofiqdir (maxfiy kalit kß ni himoyalanmagan kanal bo‘yicha uzatmaslik uchun). Kß va kß kalitlarining qiymatlari kalitlar generatorining boshlang‘ich holatiga bog'liq. Maxfiy kalit Iqjni ma’lum bo'lgan ochiq kalit ^KB bo'yicha ochilishi yechimi yo‘q masala bo'lishi kerak.

I I

A io natuvchi 1 himovalanmasan kanal I .. . . ..
^J ■ ^e \ qabul qiluvchi

21.4-rasm. Ochiq kalitli nosimmetrik kriptotizimning umumlashma sxemasi.

§ 21.7. INTERNET TARMOG‘1 ORQALI UZOQLASHTIRILGAN
HUJUMLARDAN HIMOYA USULLARI VA VOSITALARI
Global kompyuter tarmoqlarining jadal sur’atlarda rivojlanishi, axborot qidiruvida yangi texnologiyalaming paydo bo‘lishi natijasida alohida shaxslar va turli korxonalaming Internet tarmog'iga bo‘lgan qiziqishi tobora ortib bormoqda. Ko‘pgina tashkilotlar o'zlarining lokal va korporativ tarmoq- larini global tarmoqqa integratsiya qilish to‘g‘risida qaror qabul qilmoqdalar. Global tarmoqlardan tijorat maqsadlarida, shuningdek konfidensial tusdagi ma’lumotlarga ega bo‘lgan axborotlami uzatishda foydalanish axborot himoya- sining samarali tizimini yaratish zaruratini ham keltirib chiqarmoqda. Hozirgi paytda global tarmoqlardan ko‘pincha maxfiylik darajasi turlicha bo‘lgan tijorat axborotlami uzatishda, masalan bosh shtabkvartiradan turib uzoqdagi ofislar bilan aloqa bog‘lashda yoki tashkilotning Web-sahifasini tashkil etib, unda reklama yoki xizmatga oid takliflami joylashtirishda foydalaniladi.
Internet global tarmog‘iga kirish imkoniga ega bo‘lgan zamonaviy korxona bundan qanday manfaat ko'rishini sanab o‘tishning hojati bo‘lmasa kerak. Biroq, boshqa ko‘pchilik yangi texnologiyalar kabi, Intemetdan foydalanish o‘zining salbiy oqibatlariga ham ega. Global tarmoqlaming rivojlanishi foydala- nuvchilar sonini ko‘p martaga oshirib yubordi hamda Internet tarmog‘iga ulangan ShKga bo‘lgan hujumlar sonini ham ko‘payishiga olib keldi. Har yili ShKning himoyalanganlik darajasi yetarlicha bo‘lmagani sababli kelib chiqadigan zararlar o‘nlab million dollar bilan o‘lchanadi. Intemetga lokal

§21.7. Internet tarmog'i orqali uzoqlashtirilgan hujumlardan himoya

641

yoki korporativ tarmoq ulanayotganda, bu tarmoqda axborot xavfsizligining ta’minlanishi haqida ham jiddiy o‘ylab qo‘yish kerak.
Internet global tarmog‘i dastlab axborotlaming erkin almashinuvi uchun mo'ljallangan ochiq tizim sifatida yaratilgan edi. O‘zining mafkuraviy ochiqligi bilan Internet buzg'unchilar uchun an’anaviy axborot tizimlariga nisbatan ancha katta imkoniyatlami yaratib beradi. Internet orqali buzg'unchi quyidagilami amalga oshirishi mumkin:

korxonaning ichki tarmog‘iga bostirib kirib, maxfiy axborotlarga ruxsat etilmagan kirish imkoniga ega bo‘lish;
korxona uchun muhim va qimmatli bo'lgan axborotlardan noqonuniy nusxa ko'chirib olish;
parollar, serverlar manzillari, ba’zida esa ulaming ichidagi axborotlarga ega bo‘lish;
korxonaning axborot tizimiga ro'yxatdan o‘tgan foydalanuvchi ismi ostida kirib borish.

Buzg'unchi ega bo'lgan axborot yordamida korxonaning raqobatbardoshliligiga jiddiy putur yetishi va mijozlarining ishonchi yo'qolishi mumkin.
Ichki tarmoqlar uchun ehtimoliy tahdidlaming ayrimlarini daf qilishga oid qator masalalami tarmoqlararo ekranlar hal qilib berishga qodir. Chet el adabiyotlarida buning uchun brandmauer va firewall atamalari qo'llanadi. Bu atamalaming asi ma’nosi yonmaydigan material lardan ishlangan hamda yong'in tarqalishiga to'sqinlik qiladigan devorni bildiradi. Kompyuter tarmoqlari sohasida esa tarmoqlararo ekran buzg'inchilaming axborotlardan nusxa ko'chirib olish, uni o'zgartirish yoki o'chirib tashlash, yoki bo'lmasa ushbu tarmoqda ishlayotgan kompyuterlarning xotirasi yoki hisoblash quvvatidan foydalanish maqsadida ichki tarmoqqa bostirib kirish kabi intilish- yong'inlaridan himoyalovchi to'siq vazifasini o'taydi.
Tarmoqlararo ekran tashqi tarmoqqa behavotir kirishni ta’minlashi hamda tashqi foydalanuvchilaming ichki tarmoqqa kirishini cheklashi lozim.
Tarmoqlararo ekran (ТЕ) tarmoqlararo himoya tizimi bo'lib, u umumiy tarmoqni ikki va undan ortiq qismlarga ajratish hamda ma’lumotli paketlami umumiy tarmoqning bir qismidan ikkinchi qismiga ular o'rtasidagi chegaradan olib o'tilishini belgilovchi qoidalar to'plamini ishga solish imkonini beradi (21.5-rasm). Odatda bu chegara korxonaning korporativ tarmog'i va Internet global tarmog'i o'rtasida o'tkaziladi, uni korxonaning korporativ tarmog'i ichida ham o'tkazish mumkin. TE o'zidan butun trafikni o'tkazadi va bunda har bir o'tayotgan paket uchun o'tkazish yoki o'tkazmaslik haqida qaror qabul qiladi. TE bu ishni amalga oshirishi uchun esa, uning uchun filtratsiya qoidalari to'plamini belgilab berish kerak.
Odatda tarmoqlararo ekranlar korxonaning ichki tarmog'ini Internet global tarmog'idan kelgan «bosqinchiliklar»dan himoya qiladi, biroq ular korxonaning lokal tarmog'ini u ulangan korporativ intratarmoqdan kelgan «hujumlarwdan himoya qilish uchun ham qo'llanishi mumkin. Bironta tarmoqlararo ekran ichki tarmoqni barcha ehtimoliy holatlardan to'liq himoyasini kafolatlay

642

21 - bob. Axborot xavfsizligi

olmaydi. Biroq ko'pchilik tijorat tashkilotlari uchun TEni o‘matish ichki tarmoq xavfsizligini ta’minlashning zaruriy shartidir. Tarmoqlararo ekranni qo'llash foydasiga keltirish mumkin bo‘lgan bosh dalil shundan iboratki, bunday ekranlarsiz ichki tarmoq tizimlari Internet global tarmog'ining yaxshi himoyalanmagan xizmatlari tomonidan xavfga duch kelishi, shuningdek zond orqali hamda tashqi tarmoqning bironta boshqa xost-kompyuterlarining hujumiga uchrashi mumkin.

rasm. Tarmoqlararo ekranni o'matish sxemasi

Amalda qoniqarsiz axborot xavfsizligi barcha bayonnomalar va Internet xizmatlari uchun «tug'ma» muammodir. Bu muammolaming katta qismi Internet tarmog'ining UNIX operatsion tizimiga tarixan tobe’ligidan kelib chiqadi. Ma’lumki, Arpanet tarmog'i (Internet ning ajdodi) AQSh ning ilmiy- tadqiqot markazlari, ilmiy, harbiy va davlat muassasalari, yirik universitetlarini bog'lovchi tarmoq sifatida yuzaga kelgan edi. Bu tuzilmalar UNIX operatsion tizimidan kommunikatsiya maqsadlarida hamda o‘z vazifalarini hal qilish uchun bir platforma sifatida foydalinar edi. Shuning uchun ham axborot almashinuvi bayonnomalarining ishlashi va tarmoqdagi xavfsizlik siyosatida ham UNIX muhitidagi dasturlash uslubiyalining o‘ziga xos xususiyatlari, uning tuzilishidagi ayrim jihatlaming izi borligini ko'ramiz. O'zining ochiqligi va keng tarqalganligi tufayli UNIX tizimi xakerlaming eng yaxshi ko'rgan o'ljasi bo'lib qoldi. Shuning uchun ham Internet global tarmog'i va borgan sari ommaviylashib ketayotgan intratarmoqlarda kommunikatsiyalarni ta’minlayotgan TCP/IP bayonnomalar to'plami «tug'ma» himoya kamchiliklariga ega.
Intemetga xabarlaming uzatilishini boshqaruvchi bayonnomalar to'plami (Transmission Control Protocol/ Internet Protocol - TCP/IP) bir xil bo'lmagan tarmoq muhitida kommunikatsiyalarni tashkil etish uchun qo'llanib, har xil turdagi kompyuterlaming o'zaro moslashishini ta’minlaydi. Moslashish TCP/IPning asosiy afzalligidir, shuning uchun ham lokal kompyuter tarmoqlari bu bayonnomalami qo'llab-quvvatlaydi. Bundan tashqari, TCP/ IP bayonnomalari Internet global tarmog'i zaxiralariga kirish imkonini beradi. TCP/IP paketlaming marshrutlanishini qo'llab turar ekan, u odatda tarmoqlararo bayonnoma sifatida qo'llanadi. TCP/IP, o'zining ommaviyligi tufayli, tarmoqlararo aloqalarda de-fakto standartiga aylandi.

§21.7. Internet tarmog'i orqali uzoqlashtirilgan hujumlardan himoya

643

TCP/IP paketlarining sarlavhalarida xakerlar hujumiga uchrashi mumkin bo‘lgan axborot ko‘rsatiladi. Jumladan, xaker o‘zining «zarar yog‘diruvchi» paketlarida jo‘natuvchi manzilini o'zgartirib qo‘yishi mumkinki, bundan so‘ng ular xuddi muallif-mijozning o‘zi jo‘natayotgan paketlarga o‘xshab qoladi.
Ba’zi keng tarqalgan Internet xizmatlarining «tug‘ma zaifliklar»ini ko‘rsatib o‘tsak:

Elektron pochtaning oddiy uzatish bayonnomasi (Simple Mail Transfer Protocol - SMTP) Internet global tarmog'ining pochta transport xizmatini amalga oshirish imkonini beradi. Ushbu bayonnoma bilan bog’liq bo‘lgan xavfsizlik muammolaridan biri shundan iboratki, foydalanuvchi elektron pochta xabaridagi sarlavhada jo’natuvchi manzilini tekshira olmaydi. Natijada xaker ichki tarmoqqa katta miqdordagi pochta xabarlarini jo'natish imkoniga ega bo’ladi, bu esa pochta serven ishining haddan ziyod yuklanishiga va blokadaga uchrashiga olib keladi.

Intemetda ommaviylashib ketgan Send-mail elektron pochta dasturi o‘z ishida biron-bir tarmoq axborotidan - IP-jo'natuvchi manzilidan foydalanadi. Send-mail yordamida jo'natilayotgan xabarlarni tutib oigan xaker bu axborotlarni tajovuzlar uchun, masalan, spufing (manzillarni almashtirib qo'yish) uchun qoTlashi mumkin.
Fayllami uzatish bayonnomasi (File Transfer Protocol - FTP) matn va ikkilik fayllarining uzatilishini ta’minlaydi, shuning uchun ham Intemetda axborotlarga hamkorlikda kirishni tashkil etishda undan tez-tez foydalaniladi. Unga odatda uzoqlashtirilgan tarmoqlar bilan ishlash usuli sifatida qaraladi. FTP-serverlarda hujjatlar, dasturlar, grafiklar va axborotlaming boshqa turlari saqlanadi. FTP-serverlardagi ushbu fayllar maTumotlariga to‘g‘ridan to‘g‘ri murojaat etib boTmaydi. Bunga faqat ushbu maTumotlami FTP-serverdan lokal serverga to’liq ko‘chirib olgandan keyingina erishish mumkin. Ba’zi FTPserverlar o‘z arxivlariga foydalanuvchilaming kirishini parollar yordamida cheklab qo’yadi, boshqalari esa, aksincha, erkin kirish imkonini beradi (bular anonim FTP-serverlar deb ataladi). Foydalanuvchi anonim FTP optsiyasidan o‘z serverida foydalanishda, unda faqat erkin tarqatilish uchun mo’ljallangan fayllargina saqlanayotganiga ishonch hosil qilishi kerak.

Tarmoq ismlari xizmati (Domain Name System - DNS) taqsimlangan ma’- lumotlar bazasi bo’lib, u paketlar sarlavhalarida ko’rsatilgan foydalanuvchilar va xost-kompyuterlar ismlarini IP-manzillarga (va aksincha) o'zgartiradi. DNS shuningdek kompaniya tarmog'i tuzilmasi haqidagi, masalan, har bir domendagi IP-manzilli kompyuterlar soni haqidagi axborotlarni saqlaydi. DNS bilan bog'liq muammolardan biri shundan iboratki, ushbu ma’lumotlar bazasini mualliflashtirilmagan foydalanuvchilardan «yashirish» juda qiyin. Natijada xakerlar DNSdan tez-tez vakolatli xost-kompyuterlar ismlari haqidagi axborot manbai sifatida foydalanadilar.
Uzoqlashtirilgan terminal emulyatsiyasi xizmati (TELNET) tarmoqqa ulangan uzoqlashtirilgan tizimlarni ulash uchun qo’llanadi va terminalni emulyatsiyalashning bazaviy imkoniyatlarini qo’llaydi. Intemetning ushbu xizmatidan foydalanishda foydalanuvchilar TELNET serverida, o‘z ismlari va

644

21 - bob. Axborot xavfsizligi

parollarini kiritib, ro‘yxatdan o‘tishlari kerak. Foydalanuvchi autentifikatsiya qilingach, uning ishchi stansiyasi tashqi xost-kompyuterga ulangan «o‘tmas» terminal rejimida ishlaydi. Bu terminaldan turib foydalanuvchi uning fayllarga kirishini va dastrulami ishga solishini ta’minlovchi buyruqlar kiritishi mumkin. TELNET serveriga ulangan xaker uning dasturini shunday konfiguratsiyalashi (o'zgartirishi) mumkinki, bu dastur foydalanuvchilaming ismlari va parollarini yozib oladigan bo'ladi.

But un jahon o‘rgimchak uyasi (World Wide Web - WWW) tizimi tarmoq ilovalariga asoslangan bo‘lib, ular foydalanuvchilarga Internet tarmog‘ida yoki ichki tarmoqlardagi turli serverlar ichidagi materiallami ko‘rib chiqish imkonini beradi. WWWning eng foydali xususiyati shundaki, ularda gipermatnli hujjatlar qo'llangan bo‘lib, bu hujjatlarga boshqa hujjatlar va Web-uzellarga joylangan. Bu esa foydalanuvchilarga bir uzeldan ikkinchisiga osongina o'tish imkonini beradi. Biroq aynan shu xususiyat WWW tizimining eng zaif tomonini ham tashkil etadi, chunki gipermatnli hujjatlarda saqlanayotgan Web-uzellarga iqtiboslar tegishli uzellarga kirish qanday amalga oshirilishi haqidagi axborotlarga ega.

Intemetning eng zaif xizmatlari va bayonnomalari qatoriga UUCP nusxa ko'chirish bayonnomasi, RIP marshrutlash (yo‘naltirish) bayonnomasi, X Windows grafik darcha tizimi va boshqalar kiradi.
Tarmoqlararo ekran yordamida aniq bayonnomalar va manzillami filtrlash kerak yoki kerak emasligi haqidagi qaror himoyalanayotgan tarmoqda qabul qilingan xavfsizlik siyosatiga bog‘liq. Tarmoqlararo ekran tanlangan xavfsizlik siyosatini ishga tushirish uchun moslab sozlangan tarkibiy qismlar to‘plamidan iborat. Xususan, TCP/IP bayonnomalari asosida ish ko‘ruvchi Intemetning ma’lum xizmatlariga foydalanuvchilaming kirishi cheklanadimi va agar cheklansa, qay darajada degan masalani hal etish zarur bo‘ladi.
Har bir tashkilotning tarmoq xavfsizligi siyosati ikkita tarkibiy qismdan iborat bo'lishi kerak:

tarmoq servisiga (xizmatlar) kirish siyosati;
tarmoqlararo ekranlami ishlatish siyosati.

Tarmoq xizmatlariga kirish siyosatiga muvofiq tarzda foydalanuvchilar cheklangan kirish imkoniga ega bo'lishlari lozim bo'lgan Internet xizmatlarining ro‘yxati belgilanadi. Shuningdek kirish usullariga, masalan, SLIP (Serial Line Internet Protocol) va PPP (Point-to-Point Protocol) bayonnomalaridan foydalanishga ham cheklanishlar belgilanadi. Kirish usullariga cheklanishlarning belgilanishi shuning uchun zarurki, foydalanuvchilar Intemetning taqiqlangan) servis (xizmat)lariga aylanma yo‘llar bilan murojaat eta olmasliklari kerak. Masalan, agar Internetga kirishni cheklash uchun administrator foydalanuvchilarga WWW tizimida ishlash imkonini bermaydigan maxsus shlyuz o‘matsa, foydalanuvchilar kommutatsiyalash liniyasi bo‘ylab Web-serverlar bilan PPP-birikmalar o‘matishi mumkin bo‘ladi.
Tarmoq xizmatlariga kirish siyosati odatda quyidagi tamoyillardan biriga asoslanadi:

§21.8. Elektron to'lov tizimlarida axborot xavfsizligi

645

Internet tarmog‘idan ichki tarmoqqa kirishni man etish, ammo ichki tarmoqdan Intemetga kirishga ruxsat berish;
Internet tarmog‘idan ichki tarmoqqa cheklangan kirishga ruxsat berish, bunda faqat alohida «mualliflashgan» (ya’ni muallifi ma’lum) tizimlaming, masalan, pochta serverlarining ishlashi ta’minlanadi.

Tarmoqlararo ekaranlami ishlatish siyosatiga muvofiq ravishda ichki tarrnoq zaxiralariga kirish qoidalari belgilanadi. Avvalo shuni aniqlab olish lozimki, himoya tizimi qanchalik «sirdosh» yoki «shubhali» bo'lishi kerak. Boshqacha qilib aytganda, ichki tarmoqlarga kirish qoidalari quyidagi tamoyillardan biriga asoslanishi kerak:

ochiq shaklda ruxsat etilmagan hamma narsani ta’qiqlash;
ochiq shaklda ta’qiqlanmagan hamma narsaga ruxsat berish.

Tarmoqlararo ekranni birinchi qoida asosida ishlatish ancha puxta himoyani ta’minlaydi. Biroq, ushbu tamoyilga muvofiq ifodalangan kirish qoidalari foydalanuvchilar uchun katta noqulayliklar tug‘dirishi mumkin, bundan tashqari, ulami ishlatish ancha qimmatga tushadi. Ikkinchi tamoyilni ishlatishda ichki tarrnoq xakerlar tajovuzidan kamroq himoyalangan bo‘lib qoladi, biroq undan foydalanish qulayroq bo‘lib, kam mablag‘ talab qilinadi.
Tarmoqlararo ekranlar yordamidagi ichki tarrnoq himoyasining samaradorligi nafaqat ichki tarmoqning tarrnoq xizmatlari va zaxiralariga kirish siyosatiga, balki tarmoqlararo ekranning asosiy tarkibiy qismlarini to‘g‘ri tanlash va ulardan ratsional foydalanishga ham bog'liq.
Tarmoqlararo ekranlar oldiga qo'yilgan vazifalar quyidagi talablami keltirib chiqaradi:

tarrnoq darajasida filtrlashga qo'yiladigan talablar;
amaliy darajada filtrlashga qo'yiladigan talablar;
filtrlash qoidalari va ma’muriylashtirish qoidalarini sozlash bo'yicha talablar;
tarmoqli autentifikatsiyalash vositalariga talablar;
jumallar va hisobni joriy qilishga oid talablar.

§ 21.8. ELEKTRON TO LOV TIZIMLARIDA
AXBOROT XAVFSIZLIGI
Bugungi kunda bank operatsiyalari, savdo kelishuvlari va o'zaro to‘lovlar amaliyotini plastik kartalari qoTlanadigan hisob-kitoblarsiz tasavvur qilib boTmaydi. O‘zining ishonchliligi, universalligi va qulayligi tufayli plastik kartalar boshqa to‘lov vositalari orasida puxta o‘rin egalladi hamda 2000 yilga kelib naqd toTovlarga qaraganda yetakchilik qila boshladi.

Download 3,04 Mb.

Do'stlaringiz bilan baham:

1 ... 351 352 353 354 355 356 357 358 ... 375