34-§. Tarmoqlarda xavfsizlik muammolari. 35-§. Xavfsizlikni ta’minlash usullari. (FireWall, vpn,ids). 34-§. Tarmoqlarda xavfsizlik muammolari


Download 117.81 Kb.
bet2/11
Sana20.06.2023
Hajmi117.81 Kb.
#1636106
1   2   3   4   5   6   7   8   9   10   11
Bog'liq
14-mavzu

Tizimning barcha komponentlarini himoya qilish kerak: apparat, dasturlar, ma'lumotlar va xodimlar. Himoya tizimi ko'p darajali va maxfiylik darajalariga asoslangan bo'lishi kerak. Ishonchli himoya qilish uchun ushbu darajalar o'rtasida funktsiyalarni taqsimlash kerak, shunda himoya funktsiyalarining zaruriy takrorlanishi amalga oshiriladi va bir darajadagi kamchiliklar boshqalar tomonidan qoplanadi. Kriptografik himoya barcha yuqori darajalarda qo'llanilishi kerak, lekin uni qo'llash mo'ljallangan tahdidlarga mos kelishi kerak.
Kompyuter xavfsizligi xodimlari va xakerlarga qarshi kurashuvchilar barcha qoidabuzarlarni jabrlanuvchiga nisbatan to'rt guruhga bo'lishadi:

  • kompaniyani bilmagan begonalar; kompaniyani biladigan begonalar va sobiq xodimlar;

  • dasturchi bo'lmagan xodimlar; ishchi dasturchilar.

ISTF konsorsiumi axborot xavfsizligining 12 ta yo‘nalishini belgilab oldi, ularning ishlashini ta’minlash uchun elektron biznesni yaratuvchilar birinchi navbatda ularga e’tibor qaratishlari kerak. Ushbu ro'yxatga, xususan:
autentifikatsiya (identifikatsiya qiluvchi ma'lumotni ob'ektiv tasdiqlash mexanizmi);
• shaxsiy, shaxsiy ma'lumotlarga bo'lgan huquq (ma'lumotlarning maxfiyligini ta'minlash);
• xavfsizlik hodisalarini aniqlash (Security Events);
• korporativ perimetrni himoya qilish;
• hujumlarni aniqlash;
• potentsial xavfli kontent ustidan nazorat;
• kirishni boshqarish;
• ma'muriyat;
• hodisalarga javob berish (Incident Response).
Elektron biznes uchun xavfsizlik tizimining asosiy funktsional komponentlarini amalga oshirish uchun axborotni himoya qilishning turli usullari va vositalari qo'llaniladi:
xavfsiz aloqa protokollari;
• kriptografiya vositalari
• autentifikatsiya va avtorizatsiya mexanizmlari;
• tarmoq ish joylariga va umumiy tarmoqlardan kirishni nazorat qilish vositalari;
• virusga qarshi komplekslar
• hujumlarni aniqlash va tekshirish dasturlari;
• foydalanuvchi kirishini boshqarishni markazlashtirilgan boshqarish vositalari, shuningdek ochiq IP tarmoqlari orqali har qanday ilovalarning ma'lumotlar paketlari va xabarlarini xavfsiz almashish.
Autentifikatsiya. Kuchli autentifikatsiya paketlarni sezishdan himoya qilishning eng muhim usuli hisoblanadi. "Kuchli" deganda biz chetlab o'tish qiyin bo'lgan autentifikatsiya usullarini nazarda tutamiz. Bunday autentifikatsiyaga misol sifatida bir martalik parollarni keltirish mumkin (Bir martalik parollar, OTP). OTP - bu ikki faktorli autentifikatsiya texnologiyasi bo'lib, u sizda bor va siz bilgan narsalarni birlashtiradi. Ikki faktorli autentifikatsiyaning odatiy misoli odatiy bankomatning ishlashi bo'lib, u sizni, birinchidan, plastik kartangiz, ikkinchidan, siz kiritgan pin kod orqali taniydi. OTP tizimida autentifikatsiya qilish PIN-kod va shaxsiy kartangizni ham talab qiladi. "Karta" (token) - bu (tasodifiy ravishda) bir martalik noyob parolni yaratadigan apparat yoki dasturiy vosita. Agar xaker bu parolni sniffer yordamida o'rgansa, bu ma'lumot foydasiz bo'ladi, chunki o'sha paytda parol allaqachon ishlatilgan va eskirgan bo'ladi. E'tibor bering, hidlash bilan kurashishning ushbu usuli faqat parolni ushlab qolish holatlarida samarali bo'ladi. Boshqa ma'lumotlarni (masalan, elektron pochta xabarlarini) ushlab turadigan snifferlar o'z samaradorligini yo'qotmaydi.
WLAN xavfsizligiga tahdidlar
WLAN taklif qiladigan mahsuldorlik, qulaylik va xarajat ustunligiga qaramay, simsiz tarmoqlarda ishlatiladigan radio to'lqinlar tarmoqni buzish xavfi tug'diradi. Ushbu bo'lim muhim tahdidlarning uchta misolini tushuntiradi: Xizmatni rad etish, soxtalashtirish va tinglash.
Spoofing va seansni o'g'irlash
Bu yerda tajovuzkor joriy foydalanuvchi identifikatorini qabul qilib, tarmoqdagi imtiyozli maʼlumotlar va resurslarga kirish huquqiga ega boʻlishi mumkin. Buning sababi, 802.11 tarmoqlari manba manzilini, ya'ni O'rta kirishni boshqarish (MAC) freymlarning manzilini autentifikatsiya qilmaydi.
Shunday qilib, tajovuzkorlar MAC manzillarini aldashlari va seanslarni o'g'irlashlari mumkin.
Bundan tashqari, 802.11 aslida AP ekanligini isbotlash uchun kirish nuqtasini talab qilmaydi. Bu AP [9] qiyofasini ko'rsatishi mumkin bo'lgan hujumchilarni osonlashtiradi. Spoofingni bartaraf etish uchun WLAN-ga tegishli autentifikatsiya va kirishni boshqarish mexanizmlarini joylashtirish kerak.
Bu tarmoq bo'ylab uzatiladigan ma'lumotlarning maxfiyligiga qarshi hujumni o'z ichiga oladi. O'z tabiatiga ko'ra, simsiz LAN tarmoq trafigini ataylab kosmosga chiqaradi. Bu har qanday simsiz LAN o'rnatishda signallarni kim qabul qilishi mumkinligini nazorat qilishni imkonsiz qiladi. Simsiz tarmoqda uchinchi shaxslar tomonidan tinglash eng muhim tahdiddir, chunki tajovuzkor kompaniya hududidan uzoqda, havo orqali uzatishni to'xtatib qo'yishi mumkin.
Simli ekvivalent maxfiylik
Wired Equivalent Privacy (WEP) simsiz tarmoq uchun standart shifrlash hisoblanadi.
Bu xavfsizlik tahdidlarini bartaraf etish uchun foydalaniladigan IEEE 802.11 foydalanuvchi autentifikatsiyasi va ma'lumotlarni shifrlash tizimi. Asosan, WEP havo orqali uzatiladigan ma'lumotlarni shifrlash orqali WLAN xavfsizligini ta'minlaydi, shuning uchun faqat to'g'ri shifrlash kalitiga ega bo'lgan qabul qiluvchilar ma'lumotni shifrlashi mumkin. Quyidagi bo'lim WLAN uchun asosiy xavfsizlik protokoli sifatida WEP ning texnik funksiyalarini tushuntiradi.
Tarmoq xavfsizligi uchun oltita asosiy xavfsizlik maqsadi mavjud.
Bular maxfiylik, mavjudlik, autentifikatsiya, yaxlitlik, kirishni boshqarish va rad etmaslikdir.
Maxfiylik
Bu asosan oqim yoki blokli shifrlar kabi kriptografik mexanizmlarga asoslangan. Ushbu texnologiyada xaker yoki tajovuzkor ikki tomon o'rtasida uzatilgan xabarlarni qabul qila olmaydi.
B. Mavjudligi
Raqamli dunyoda mavjudlik eng muhim xizmatdir. DOS hujumlari har doim xizmatlarni bezovta qiladi.
C. Autentifikatsiya
Haqiqiy foydalanuvchilar ma'lumotlar yoki ma'lumotlarga ularning holati tekshirilgandan so'ng kirishlari mumkin. U ob'ekt va ma'lumotlarning autentifikatsiyasini o'z ichiga oladi. Bunga odatda autentifikatsiya protokollari orqali erishiladi. Buzg'unchilar ma'lumotlarga kira olmaydi.
D. Yaxlitlik
Ma'lumotlar va ma'lumotlar uzatish paytida kodlangan bo'lishi kerak. O'tkazilgan ma'lumotlar manbadan yuborilganligi sababli manzilga yetib borgandan so'ng dekodlanganligiga ishonch hosil qiling.
E. Kirish nazorati
U aloqa havolalari orqali qurilmalar va ilovalarga kirishni cheklash va nazorat qilish imkonini beradi.
F. Rad etmaslik
Bu xabarni jo'natuvchi ham, qabul qiluvchi ham uzatishni rad eta olmasligiga kafolat beradi.
Hackerlardan qochishning bir necha muhim usullari mavjud.
A. Shifrlashdan foydalanish
Bu simsiz tarmoqni buzg'unchilardan himoya qilishning eng yaxshi usullaridan biri tarmoq orqali aloqalarni shifrlash yoki shifrlashdir. Ko'pgina simsiz marshrutizatorlar, kirish nuqtalari va tayanch stantsiyalar o'rnatilgan shifrlash mexanizmiga ega. Agar simsiz marshrutizatoringizda shifrlash funksiyasi bo'lmasa, uni olish haqida o'ylab ko'ring. Ishlab chiqaruvchilar ko'pincha simsiz routerlarni shifrlash funksiyasi o'chirilgan holda etkazib berishadi.
B. Antivirus va josuslarga qarshi dasturlardan hamda xavfsizlik devoridan foydalaning
Simsiz tarmoqdagi kompyuterlarda viruslardan qochish uchun Internetga ulangan har qanday kompyuter kabi himoya vositalari kerak. Antivirus va josuslarga qarshi dasturlarni o'rnating va ularni yangilab turing. Har doim xavfsizlik devori opsiyasi yoqilgan bo'lishi kerak.
C. Identifikator translyatsiyasini o'chiring
Identifikatorni eshittirish simsiz routerlarda juda muhim mexanizmdir. U yaqin atrofdagi istalgan qurilmaga uning mavjudligi haqida signal yuboradi. Agar tarmoqdan foydalanayotgan shaxs uning mavjudligini bilsa, biz ushbu ma'lumotni translyatsiya qilishdan qochishimiz kerak. Buzg'unchilar zaif simsiz tarmoqlarda uyga identifikator translyatsiyasidan foydalanishlari mumkin.
Simsiz routerimiz ruxsat bergan bo'lsa, identifikatorni uzatish mexanizmini o'chiring.
D.Routerimizdagi identifikatorni sukut bo'yicha o'zgartiring
Xakerlar turli manbalardan standart identifikatorlarni bilishadi va ulardan bizning tarmog'imizni olish uchun foydalanishlari mumkin. Biz identifikatorimizni o'zgartirishimiz va simsiz routerimiz va tizimimizga bir xil noyob identifikatorni sozlashni unutmang, shunda ular muloqot qilishlari mumkin. Kamida 10 ta belgidan iborat paroldan foydalanish ancha yaxshi. Uzunroq parolni buzish juda qiyin.
E. Ma'muriyat uchun marshrutizatorning oldindan o'rnatilgan parolini o'zgartiring
Xakerlar barcha yangi ishlab chiqarilgan simsiz router standart parolini bilishadi. Xavfsizlik nuqtai nazaridan biz ushbu parollarni o'zgartirishimiz va uzoqroq parolni saqlashimiz kerak. Uzunroq parolni buzish juda qiyin.
F. Simsiz tarmog'ingizga faqat ma'lum kompyuterlarga kirishiga ruxsat bering
Barcha tizim o'zining yagona Media Access Control (MAC) manziliga ega. Simsiz routerlarda faqat ma'lum MAC manzillari bo'lgan qurilmalarga tarmoqqa kirish imkonini beruvchi maxsus mexanizm mavjud. Ba'zi xakerlar MAC manzillarini taqlid qilgan, shuning uchun faqat bu qadamga tayanmang.
G. Simsiz tarmoqdan foydalanmasligingizni bilganingizda uni o'chiring. Routerga ehtiyoj bo'lmasa, uni o'chiring. Hackerlar simsiz router yopilganda unga kira olmaydi.



Download 117.81 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   10   11




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling