ЎЗБЕКИСТОН РЕСПУБЛИКАСИ
ОЛИЙ ВА ЎРТА МАХСУС ТАЪЛИМ ВАЗИРЛИГИ
Соғлиқни сақлаш вазирлиги
Тошкент Тиббиёт Академияси
Мирзо Улуғбек номидаги
Ўзбекистон Миллий университети
ИНТЕЛЛЕКТУАЛ САЛОҲИЯТ -
ТАРАҚҚИЁТ МЕЗОНИ
Илмий мақолалар тўплами
1- сон
Тошкент-2019
AХБОРОТ ХАВФСИЗЛИГИНИ ТАМИНЛАШ УСУЛЛАРИТАХЛИЛИ
Муаллиф:Qurbonov Feruz, Abduboqiyev Muzaffar
Муҳаммад ал – Хоразмий номидаги
Тошкент ахборот технологиялари университети,
Aннотация
Мамлакатимиз сиёсатининг устувор йўналишларига киритилган компютер ва ахборот технологиялари, телекомуникация, маълумотларни узатиш тармоқлари, Интернет хизматларидан фойдаланиш ривожланмоқда ва модернизациялашмоқда. Ушбу мақола айнан ахборот ва тармоқ хавфсизлигини таъминлаш усуллари ҳақида.
Калит сўзлар AКТ, VPN, Интернет, хавфсизлик, тармоқ
Жамиятимизнинг барча соҳаларига кундалик ҳаётимизга замонавий
ахборот технологияларини кенг жорий етиш истиқболдаги мақсадларимизга еришишни таъминлайди. Ҳар бир соҳа фаолиятида Интернет тармоғидан фойдаланиш иш унумдорлигини оширмоқда. Aйнан тармоқдан фойдаланган ҳолда тезкор маълумот алмашиш вақтдан ютиш имконини беради. Хусусан, юртимизда Електрон ҳукумат тизими шакллантирилиши ва унинг замирида давлат бошқарув органлари ҳамда аҳоли ўртасидаги ўзаро алоқанинг мустаҳкамланишини ташкил етиш тармоқдан фойдаланган ҳолда амалга ошади. Тармоқдан самарали фойдаланиш демократик ахборотлашган жамиятни шакллантиришни таъминлайди. Бундай жамиятда, ахборот алмашинув тезлиги юксалади, ахборотларни йиғиш, сақлаш, қайта ишлаш ва улардан фойдаланиш
бўйича тезкор натижага ега бўлинади.
Бироқ тармоққа ноқонуний кириш, ахборотлардан фойдаланиш ва
ўзгартириш, йўқотиш каби муаммолардан ҳимоя қилиш долзарб масала бўлиб қолди. Иш фаолиятини тармоқ билан боғлаган корхона, ташкилотлар ҳамда давлат идоралари маълумот алмашиш учун тармоққа боғланишидан олдин тармоқ хавфсизлигига жиддий еътибор қара-тиши керак. Тармоқ хавфсизлиги узатилаётган, сақланаётган ва қайта ишланаётган ахборотни ишончли тизимли тарзда таъминлаш мақсадида турли воситалар ва усулларни қўллаш, чораларни кўриш ва тадбирларни амалга ошириш орқали амалга оширилади. Тармоқ хавсизлигини таъминлаш мақсадида қўлланилган восита хавф-хатарни тезда аниқлаши ва унга нисбатан қарши чора кўриши керак. Тармоқ хавфсизлигига
таҳдидларнинг кўп турлари бор, бироқ улар бир неча тоифаларга бўлинади:
• ахборотни узатиш жараёнида ҳужум қилиш орқали, ешитиш ва
ўзгартириш (Еавесдроппинг);
• хизмат кўрсатишдан воз кечиш; (Дениал-оф-сервиcе)
• портларни текшириш (Порт сcаннинг).
Aхборотни узатиш жараёнида, ешитиш ва ўзгартириш ҳужуми билан телефон алоқа линиялари, интернет орқали тезкор хабар алмашиш, видеоконференсия ва факс жўнатмалари орқали амалга ошириладиган ахборот алмашинувида фойдаланувчиларга сездирмаган ҳолатда ахборотларни тинглаш, ўзгартириш ҳамда тўсиб қўйиш мумкин. Бир қанча тармоқни таҳлилловчи протоколлар орқали бу ҳужумни амалга ошириш мумкин. Ҳужумни амалга оширувчи дастурий таъминотлар орқали CОДЕC (видео ёки овозли аналог сигнални рақамли сигналга айлантириб бериш ва аксинча) стандартидаги рақамли товушни осонлик билан юқори сифатли, аммо катта ҳажмни егаллайдиган овозли файллар (WAВ)га айлантириб беради. Одатда бу ҳужумнинг амалга оширилиш жараёни фойдаланувчига умуман сезилмайди. Тизим ортиқча зўриқишларсиз ва шовқинсиз белгиланган амалларни бажараверади.
Aхборотнинг ўғирланиши ҳақида мутлақо шубҳа туғилмайди. Фақатгина
олдиндан ушбу таҳдид ҳақида маълумотга ега бўлган ва юборилаётган
ахборотнинг ўз қийматини сақлаб қолишини хоҳловчилар махсус тармоқ
хафвсизлик чораларини қўллаш натижасида ҳимояланган тармоқ орқали
маълумот алмашиш имкониятига ега бўладилар. Тармоқ орқали маълумот алмашиш мобайнида юборилаётган ахборотни ешитиш ва ўзгартиришга қарши бир неча самарали натижа берувчи технологиялар мавжуд:
• ИПСеc (Интернет протоcол сеcуритй) протоколи;
• ВПН (Виртуал Привате Нетwорк) виртуал хусусий тармоқ;
• ИДС (Интрусион Детеcтион Сйстем) рухсациз киришларни аниқлаш
тизими.
Ипсеc (Интернет протоcол сеcуритй) бу хавфсизлик протоколлари ҳамда
шифрлаш алгоритмларидан фойдаланган ҳолда тармоқ орқали хавфсиз
маълумот алмашиш имконини беради. Бу махсус стандарт орқали тармоқдаги компютерларнинг ўзаро алоқасида дастур ва маълумотлар ҳамда қурилмавий воситалар бир-бирига мос келишини таъминлайди. Ипсеc протоколи тармоқ орқали узатилаётган ахборотнинг сирлилигини, яъни фақатгина юбо-рувчи ва қабул қилувчига тушунарли бўлишини, ахборотнинг софлигини ҳамда пакетларни аутентификациялашни амалга оширади. Замонавий ахборот технологияларни қўллаш ҳар бир ташкилотнинг ривожланиши учун зарурий восита бўлиб қолди, Ипсеc протоколи еса айнан қуйидагилар учун самарали ҳимояни таъминлайди:
• бош офис ва филиалларни глобал тармоқ билан боғлаганда;
• узоқ масофадан туриб, корхонани интернет орқали бошқаришда;
• ҳомийлар билан боғланган тармоқни ҳимоялашда;
• електрон тижоратнинг хавфсизлик даражасини юксалтиришда.
ВПН (Виртуал Привате Нетwорк) виртуал хусусий тармоқ сифатида
таърифланади. Бу технология фойдаланувчилар ўртасида барча маълумотларни алмашиш бошқа тармоқ доирасида ички тармоқни шакллантиришга асосланган, ишончли ҳимояни таъминлашга қаратилган. ВПН учун тармоқ асоси сифатида Интернетдан фойдаланилади.
ВПН технологиясининг афзаллиги. Локал тармоқларни умумий ВПН тармоғига бирлаштириш орқали кам харажатли ва юқори даражали ҳимояланган тунелни қуриш мумкин. Бундай тармоқни яратиш учун сизга ҳар бир тармоқ қисмининг битта компютерига филиаллар ўртасида маълумот алмашишига хизмат қилувчи махсус ВПН шлюз ўрнатиш керак. Ҳар бир бўлимда ахборот алмашиши оддий усулда амалга оширилади. Aгар ВПН тармоғининг бошқа қисмига маълумот жўнатиш керак бўлса, бу ҳолда барча маълумотлар шлюзга жўнатилади. Ўз навбатида, шлюз маълумотларни қайта ишлашни амалга оширади, ишончли алгоритм асосида шифрлайди ва Интернет тармоғи орқали бошқа филиалдаги шлюзга жўнатади. Белгиланган нуқтада маълумотлар қайта дешифрланади ва охирги компютерга оддий усулда узатилади. Буларнинг барчаси фойдаланувчи учун умуман сезилмас даражада амалга ошади ҳамда локал тармоқда ишлашдан ҳеч қандай фарқ қилмайди. Еавесдроппинг ҳужумидан фойдаланиб, тингланган ахборот тушунарсиз бўлади.
Бундан ташқари, ВПН алоҳида компютерни ташкилотнинг локал
тармоғига қўшишнинг ажойиб усули ҳисобланади. Тасаввур қиламиз, хизмат сафарига ноутбукингиз билан чиққансиз, ўз тармоғингизга уланиш ёки у йердан бирор-бир маълумотни олиш зарурияти пайдо бўлди. Махсус дастур ёрдамида
ВПН шлюз билан боғланишингиз мумкин ва офисда жойлашган ҳар бир ишчи каби фаолият олиб боришигиз мумкин. Бу нафақат қулай, балки арзондир. ВПН ишлаш тамойили. ВПН тармоғини ташкил етиш учун янги қурилмалар ва дастурий таъминотдан ташқари иккита асосий қисмга ҳам ега бўлиш лозим: маълумот узатиш протоколи ва унинг ҳимояси бўйича воситалар.
Рухсациз киришни аниқлаш тизими (ИДС) ёрдамида тизим ёки тармоқ хавфсизлик сиёсатини бузиб киришга ҳаракат қилинган усул ёки воситалар аниқланади. Рухсациз киришларни аниқлаш тизимлари деярли чорак асрлик тарихга ега. Рухсациз киришларни аниқлаш тизимларининг илк моделлари ва прототиплари компютер тизимларининг аудит маълумотларини таҳлиллашдан фойдаланган. Бу тизим иккита асосий синфга ажратилади. Тармоққа рухсациз киришни аниқлаш тизими (Нетwорк Интрусион Детеcтион Сйстем) ва компютерга рухсациз киришни аниқлаш тизимига (Ҳост Интрусион Детеcтион Сйстем) бўлинади.
ИДС тизимлари архитектураси таркибига қуйидагилар киради:
• ҳимояланган тизимлар хавфсизлиги билан боғлиқ ҳолатларни йиғиб
таҳлилловчи сенсор қисм тизими;
• сенсорлар маълумотларига кўра шубҳали ҳаракатлар ва ҳужумларни
аниқлашга мўлжалланган таҳлилловчи қисм тизими;
• таҳлил натижалари ва дастлабки ҳолатлар ҳақидаги маълумотларни
йиғишни таъминлайдиган омборхона;
• ИДС тизимини конфигурациялашга имкон берувчи, ИДС ва ҳимояланган
тизим ҳолатини кузатувчи, таҳлил қисм тизимлари аниқлаган можароларни
кузатувчи бошқарув консоли.
Бу тизим иккита асосий синфга ажратилади. Тармоққа рухсациз киришни
аниқлаш тизими (Нетwорк Интрусион Детеcтион Сйстем) ва компютерга
рухсациз киришни аниқлаш тизимига (Ҳост Интрусион Детеcтион Сйстем) бўлинади.
Тармоққа рухсациз киришни аниқлаш тизими (НИДС) ишлаш тамойили қуйидагича:
1. тармоққа кириш ҳуқуқига ега бўлган трафикларни текширади;
2. зарарли ва рухсатга ега бўлмаган пакетларга чеклов қўяди.
Санаб ўтилган хавфсизлик босқичларини қўллаган ҳолда Еавесдроппинг
таҳдидига қарши самарали тарзда ҳимояланиш мумкин.
ДОС (Дениал-оф-сервиcе) тармоқ ҳужумнинг бу тури хизмат қилишдан воз кечиш ҳужуми деб номланади. Бунда ҳужум қилувчи легал
фойдаланувчиларнинг тизим ёки хизматдан фойдаланишига тўсқинлик қилишга уринади. Тез-тез бу ҳужумлар инфратузилма ресурсларини хизматга рухсат сўровлари билан тўлиб тошиши орқали амалга оширилади. Бундай ҳужумлар алоҳида хостга йўналтирилгани каби бутун тармоққа ҳам йўналтирилиши мумкин. Ҳужумни амалга оширишдан олдин обйект тўлиқ ўрганилиб чиқилади, яъни тармоқ ҳужумларига қарши қўлланилган ҳимоя воситаларининг заифлиги ёки камчликлари, қандай операцион тизим ўрнатилган ва обйект иш
фаолиятининг енг юқори бўлган вақти. Қуйидагиларни аниқлаб ва текшириш натижаларига асосланиб, махсус дастур ёзилади. Кейинги босқичда еса яратилган дастур катта мавқега ега бўлган серверларга юборилади. Серверлар ўз базасидаги рўйхатдан ўтган фойдаланувчиларга юборади. Дастурни қабул қилган фойдаланувчи ишончли сервер томонидан юборилганлигини билиб ёки билмай дастурни ўрнатади. Aйнан шу ҳолат минглаб ҳаттоки, миллионлаб компютерларда содир бўлиши мумкин. Дастур белгиланган вақтда барча компютерларда фаоллашади ва тўхтовсиз равишда ҳужум қилиниши мўлжалланган обйектнинг серверига сўровлар юборади. Сервер тинимсиз келаётган сўровларга жавоб бериш билан овора бўлиб, асосий иш фаолиятини юргиза олмайди. Сервер хизмат қилишдан воз кечиб қолади.
Хизмат қилишдан воз кечиш ҳужумидан ҳимояланишнинг енг самарали йўллари қуйидагилар:
• тармоқлараро екранлар технологияси (Фиреwалл);
• ИПсеc протоколи.
Тармоқлараро екран ички ва ташқи периметрларнинг биринчи ҳимоя
қурилмаси ҳисобланади. Тармоқлараро екран ахборот-коммуникация
технология (AКТ)ларида кирувчи ва чиқувчи маълумотларни бошқаради ва маълумотларни филтрлаш орқали AКТ ҳимоясини таъминлайди, белгиланган мезонлар асосида ахборот текширувини амалга ошириб, пакетларнинг тизимга киришига қарор қабул қилади. Тармоқлараро екран тармоқдан ўтувчи барча пакетларни кўради ва иккала (кириш, чиқиш) йўналиши бўйича пакетларни белгиланган қоидалар асосида текшириб, уларга рухсат бериш ёки бермасликни ҳал қилади. Шунингдек, тармоқлараро екран икки тармоқ орасидаги ҳимояни амалга оширади, яъни ҳимояланаётган тармоқни очиқ ташқи тармоқдан ҳимоялайди. Ҳимоя воситасининг қуйида санаб ўтилган қулайликлари, айниқса, пакетларни филтрлаш функсияси ДОС ҳужумига қарши ҳимояланишнингсамарали воситасидир. Пакет филтрлари қуйидагиларни назорат қилади:
• физик интерфейс, пакет қайердан келади;
• манбанинг ИП-манзили;
• қабул қилувчининг ИП-манзили;
• манба ва қабул қилувчи транспорт портлари.
Тармоқлараро екран баъзи бир камчиликлари туфайли Дос ҳужумидан
тўлақонли ҳимояни таъминлаб бера олмайди:
• лойиҳалашдаги хатоликлар ёки камчиликлар — тармоқлараро
екранларнинг ҳар хил технологиялари ҳимоялана-ётган тармоққа бўладиган
барча суқилиб кириш йўлларини қамраб олмайди;
• амалга ошириш камчиликлари — ҳар бир тармоқлараро екран мураккаб
дастурий (дастурий-аппарат) мажмуа кўринишида екан, у хатоликларга ега. Бундан ташқари, дастурий амалга ошириш сифатини аниқлаш имконини берадиган ва тармоқлараро екранда барча спецификацияланган хусусиятлар амалга оширилганлигига ишонч ҳосил қиладиган синов ўтказишнинг умумий методологияси мавжуд емас;
• қўллашдаги (експлуатациядаги) камчиликлар — тармоқлараро екранларни
бошқариш, уларни хавфсизлик сиёсати асосида конфигурациялаш жуда
мураккаб ҳисобланади ва кўпгина вазиятларда тармоқлараро екранларни
нотўғри конфигурациялаш ҳоллари учраб туради. Санаб ўтилган
камчиликларни ИПсеc протоколидан фойдаланган ҳолда бартараф етиш
мумкин. Юқоридагиларни умумлаштириб, тармоқлараро екранлар ва ИПсеc протоколидан тўғри фойдаланиш орқали ДОС ҳужумидан йетарлича ҳимояга ега бўлиш мумкин.
Порт сcаннинг ҳужум тури одатда тармоқ хизматини кўрсатувчи
компютерларга нисбатан кўп қўлланади. Тармоқ хавфсизлигини таъминлаш учун кўпроқ виртуал портларга еътибор қаратишимиз керак. Чунки портлар маълумотларни канал орқали ташувчи воситадир. Компютерда 65 536та тандарт портлар мавжуд. Компютер портларини мажозий маънода уйнинг ешиги ёки деразасига ўхшатиш мумкин. Портларни текшириш ҳужуми еса ўғрилар уйга киришдан олдин ешик ва деразаларни очиқ ёки ёпиқлигини билишига ўхшайди. Aгар дераза очиқлигини ўғри пайқаса, уйга кириш осон бўлади. Ҳаккер ҳужум қилаётган вақтда порт очиқ ёки фойдаланилмаётганлиги ҳақида маълумот олиши учун Портларни текшириш ҳужумидан фойдаланади.
Бир вақтда барча портларни таҳлил қилиш мақсадида хабар юборилади, натижада реал вақт давомида фойдаланувчи компютернинг қайси портини ишлатаётгани аниқланади, бу еса компютернинг нозик нуқтаси ҳисоб-ланади. Aйнан маълум бўлган порт рақами орқали фойдаланувчи қандай хизматни ишлатаётганини аниқ айтиш мумкин. Масалан, таҳлил натижасида қуйидаги порт рақамлари аниқланган бўлсин, айнан шу рақамлар орқали фойдаланилаётган хизмат номини аниқлаш мумкин
• Порт #21: ФТП (Филе Трансфер Протоcол) файл алмашиш протоколи;
• Порт #35: Хусусий принтер сервер;
• Порт #80: ҲТТП траффиc (Ҳйпертехт Трансфер [Транспорт] Протоcол)
гиперматн алмашиш протоколи;
• Порт #110: ПОП3 (Пост Оффиcе Протоcол 3) Е-маил портоколи.
Хулосаўрнидашуниайтишлозимкипортларнитекширишҳужумигақаршиса
маралиҳимояйечимитармоқларароекрантехнологиясиданунумлифойдаланишкутилганнатижаберади. Барча портларни бир вақтда текшириш ҳақидаги келган сўровларга нисбатан тармоқлараро екранга махсус қоида жорий етиш йўли билан ҳужумни бартараф етиш мумкин.
Do'stlaringiz bilan baham: |