|
3- laboratoriya ishi
Mavzu: Parol bilan himoyalangan ma’lumotlar bazasini hosil qilish va ularni amalga oshirish
Ishdan maqsad. Ma’lumotlar bazasi xavfsizligi tushunchalarini va himoyalash choralarini o‘rganish.
Nazariy qism
Axborot xavfsizligining quyidagi uchta komponentasi mavjud:
konfidensiallik (ruxsat etilmagan kirishdan himoya);
butunlik (axborotni ruxsat etilmagan o‘zgartirishdan himoyalash);
kirish xuquqi (ishlanuvchanlikni himoyalash, buzilishdan himoyalash, axborot va resurslarni ruxsat etilmagan ushlab qolishdan himoyalash).
Ixtiyoriy universal kompyuter tizimining dasturiy ta’minoti uchta asosiy tashkil etuvchidan iborat buladi: operatsion tizim (OT), tarmok dasturiy ta’minoti (TDT) va ma’lumotlar bazasini boshqarish tizimi (MBBT). Shuning uchun kompyuter tizimlarini buzishga bo‘lgan barcha urinishlarni uch guruxga ajratish mumkin:
operatsion tizim darajasidagi xujum;
tarmoq dasturiy ta’minoti darajasidagi xujum;
ma’lumotlar bazasini boshqarish tizimi darajasidagi xujum.
Operatsion tizim darajasidagi xujum. Zamonaviy OTlarning ichki tuzilishi juda xam murakkab va shuning uchun xam uning xavfsizligini nazorat qilish yanada murakkab vazifa xisoblanadi. Amaliyotda u yoki bu xakkerlik xujumi algoritmining muvoffaqiyatli amalga oshirilishi, xujum ob’ekti bo‘lgan aniq OTning arxitekturasi va tuzilishiga (konfiguratsiyasiga) sezilarli darajada bog‘liq. Biroq shunday xujumlar mavjudki, ular deyarli ixtiyoriy OTni ishg‘ol etadi:
parolni o‘g‘irlash;
kompyuterning qattik diskini skanerlash (xaker, kompyuter tizimidagi qattiq diskda saklangan xar bir faylga navbat bilan murojaat qilishga xarakat qiladi);
«o‘chirilgan ma’lumotlar»ni yig‘ish (agar OT vositalari ilgari uchirilgan ob’ektlarni tiklash imkonini bersa, xaker bu imkoniyatdan, ya’ni boshqa foydalanuvchilar uchirib yuborgan ob’ektga kirish uchun foydalanishi mumkin);
vakolatni oshirish (dastur ta’minotidagi yoki OTni boshqarishda xatolikdan foydalanib, xaker amaldagi xavfsizlik siyosati bergan vakolatidan yuqoriroq vakolatga ega bo‘ladi);
xizmat ko‘rsatishni rad etish (bu xujumdan maqsad OTni to‘la yoki qisman ishdan chiqarish).
Tarmoq dasturiy ta’minoti (TDT) darajasidagi xujum. Xabar jo‘natiladigan aloqa kanali ko‘pincha himoyalanmagan bo‘lishi sababli TDT ko‘proq zaif hisoblanadi. Shu uchun TDT darajasida quyidagi xakerlik hujumlari bo‘lishi mumkin:
lokal tarmoq segmentlarini eshitish (lokal tarmoqning biror segmenti doirasida unga ulangan ixtiyoriy kompyuter, segmentning boshqa kompyuterlarga jo‘natilgan xabarlarni qabul qila oladi, binobarin, agar xaker kompyuteri biror lokal tarmoq segmentiga ulangan bo‘lsa, u holda bu segmentdagi kompyuterlar orasidagi barcha axborot almashinuviga u kira oladi);
marshrutizatordagi xabarni egallab olish (agar xakerning tarmoq marshrutizatoriga imtiyozli ruxsati bo‘lsa, u xolda u marshrutizator orqali o‘tadigan xamma xabarlarni olish imkoniga ega bo‘ladi, garchi juda katta xajm tufayli to‘liq axborotni egallash mumkin bo‘lmasada, foydalanuvchilarning parollari va elektron manzillar ko‘rsatilgan xabarlarni tanlab, egalab olish xaker uchun juda qiziqarli bo‘ladi);
yolg‘on marshrutizatorni yaratish (xaker tarmoq orqali maxsus ko‘rinishdagi xabarlar yuborish yo‘li bilan o‘z kompyuterini tarmoqdagi marshrutizator qilib ko‘rsatishga erishadi, keyin esa undan o‘tadigan barcha xabarlarga kirish imkoniga ega bo‘ladi);
xabarni yuklash (tarmoqqa yolg‘on teskari manzil bilan xabar jo‘natib, xaker o‘rnatilgan tarmoq ulanishlarini o‘zining kompyuteriga yo‘naltiradi va natijada, uning kompyuteriga nisbatan aldash yo‘li bilan yo‘naltirilgan foydalanuvchilarning xuquqini qo‘lga kiritadi);
xizmat ko‘rsatishni rad etish (xaker tarmoqda maxsus turdagi xabarlarni jo‘natadi va natijada tarmoqqa ulangan bir yoki bir nechta kompyuter tizimlari qisman yoki butunlay ishdan chiqadi).
Ma’lumotlar bazasini boshqarish tizimi (MBBT) darajasidagi xujum. Qat’iy tuzilishning mavjudligi va aniq belgilangan amallar MBBTni himoyalash vazifasini osonlashtiradi. Ko‘p hollarda xakerlar kompyuter tizimining OT darajasidagi ximoyasini buzishni ma’qul ko‘radilar va OT vositalari yordamida MBBT fayllariga kirish ruxsatiga ega bo‘ladilar. Biroq, agar etarli darajadagi ximoya mexanizmlariga ega bo‘lmagan, yoki xatolari mavjud, yomon testlangan MBBT versiyasidan foydalanilsa, yoki MBBT administratori tomonidan xavfsizlik siyosatini aniqlashda xatolarga yo‘l qo‘yilgan bo‘lsa, u xolda xakerning MBBT darajasidagi ximoyadan o‘tish ehtimoli mavjud bo‘ladi.
Tizim foydalanuvchi kiritgan parolni parollar faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama funksiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning kamchiligi- niyati buzuq odamning tizimda ma’mur imtiyozlaridan, shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir. Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funksiyalardan foydalanib uzatish va saqlash qulay hisoblanadi. Bu holda foydalanuvchi parolning ochiq shakli o‘rniga uning bir tomonlama funksiya h(.) dan foydalanib olingan tasvirini yuborishi shart. Bu o‘zgartirish g’anim tomonidan parolni uning tasviri orqali oshkor qila olmaganligini kafolatlaydi, chunki g’anim echilmaydigan sonli masalaga duch keladi.
Ko‘p martali parollarga asoslangan oddiy autentifikatsiyalash tizimining bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli so‘zlarning nisbatan katta bo‘lmagan to‘plamidan jamlanadi. Ko‘p martali parollarning ta’sir muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni muntazam ravishda almashtirib turish lozim. Parollarni shunday tanlash lozimki, ular lug‘atda bo‘lmasin va ularni topish qiyin bo‘lsin. Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir so‘rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi. Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi foydalanuvchilarni tekshirishda qo‘llaniladi. Bir martali parollarni generatsiyalash apparat yoki dasturiy usul orqali amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari tashqaridan to‘lov plastik kartochkalariga o‘xshash mikroprotsessor o‘rnatilgan miniatyur qurilmalar ko‘rinishda amalga oshiradi. Odatda kalitlar deb ataluvchi bunday kartalar klaviaturaga va katta bo‘lmagan displey darchasiga ega. Foydalanuvchilarni autentifikatsiyalash uchun bir martali parollarni qo‘llashning quyidagi usullari ma’lum:
1. Yagona vaqt tizimiga asoslangan vaqt belgilari mexanizmidan foydalanish.
2. Legal foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan tasodifiy parollar ro‘yxatidan va ularning ishonchli sinxronlash mexanizmidan foydalanish.
3. Foydalanuvchi va tekshiruvchi uchun umumiy bo‘lgan bir xil dastlabki qiymatli psevdotasodifiy sonlar generatoridan foydalanish. Birinchi usulni amalga oshirish misoli sifatida SecurID autentikatsiyalash texnologiyasini ko‘rsatish mumkin.Bu texnologiya Security Dynamics kompaniyasi tomonidan ishlab chiqilgan bo‘lib, qator kompaniyalarning,xususan Cisco Systems kompaniyasining serverlarida amalga oshirilgan.
Do'stlaringiz bilan baham: |
