Statik tarmoqlararo ekran

Har qanday its uchun quyidagi turdagi elementlar xarakterlidir


Statik tarmoqlararo ekran


Download 281.69 Kb.
bet2/7
Sana06.01.2023
Hajmi281.69 Kb.
#1080924
1   2   3   4   5   6   7
Bog'liq
1.4.ru.uz

Statik tarmoqlararo ekran. OSI (Open System Interconnection) mos yozuvlar modelining tarmoq va havola qatlamlari ma'lumotlari bilan ishlaydigan protokol portlari va jo'natuvchi va qabul qiluvchi manzillarini tahlil qilish asosida paketli filtrlashni amalga oshirish. Statik tarmoqlararo ekranlardan foydalanish, ayniqsa, yuqori tarmoq unumdorligi talab qilinadigan hollarda, internet aloqalarini himoya qilish uchun maqbul yechimdir, lekin ba'zi funktsional cheklovlarga ega, masalan, OSI modelining yuqori darajalarida tarmoq trafigini tahlil qilish mumkin emas.
Dinamik tarmoqlararo ekran statik filtrlash tizimining kengaytmasini ifodalaydi, uni tarmoq paketlari tarkibini tahlil qilish va transport darajasida paketlarni tahlil qilish orqali protokollardan noto'g'ri foydalanishni aniqlash qobiliyati bilan to'ldiradi. Statik tarmoqlararo ekranlarni ishlatish bilan solishtirganda dinamik tarmoqlararo ekranlardan foydalanishning afzalligi ularning joriy ulanishlarni kuzatish va faqat tegishli transport protokollarining mantiqiy va algoritmlarini qondiradigan paketlarga ruxsat berish qobiliyatidir, bu esa SYN-flood kabi xizmat ko'rsatishni rad etish hujumlari xavfini kamaytiradi. hujum (SYN - sinxronlash).
Ilova sathining tarmoqlararo ekrani OSI modelining barcha darajalarida tarmoq paketlarini tahlil qilib, ular yuqori darajadagi protokollardan foydalanishning RFC (Izohlar so'rovi) tavsifiga muvofiqligini tekshiradi, tarmoq sessiyasi doirasida ma'lumotlar almashinuvining yaxlitligini nazorat qiladi va dinamik ravishda moslasha oladi. tarmoq ilovalari mantig'i. Amaliy darajadagi tarmoqlararo ekranlardan foydalanish tarmoq trafigini boshqarish va tarmoq ilovalariga hujumlardan himoya qilish uchun keng imkoniyatlar yaratadi.
Ba'zi tarmoqlararo ekranlar o'z funktsiyalarini shaffof rejimda bajarishi mumkin. Bunday holda, tarmoqlararo ekran tarmoq manzillariga ega bo'lmasdan, ma'lumotlar havolasi darajasida ishlaydi, lekin u yuqorida tavsiflangan barcha funktsiyalarni bajarishi mumkin. Shaffof tarmoqlararo ekranlardan foydalanish bir qator afzalliklarga ega: tarmoq manzillari bo'lmasa, tarmoqlararo ekran buzg'unchiga ko'rinmas bo'lib qoladi, bundan tashqari, bu turli xil havolalar sathi protokollarini tahlil qilish imkonini beradi. Ushbu tarmoqlararo ekranlar odatda yuqori mahsuldorlikka ega, shuning uchun ular ma'lumotlar markazlarini, shuningdek, tarmoq trafigining kechikishlariga sezgir bo'lgan konvergent tarmoq segmentlarini himoya qilish uchun ishlatilishi mumkin. Shuni ham ta'kidlash joizki, shaffof tarmoqlararo ekranlarning IP-qurilmalar bilan integratsiyasi tarmoq tartibini o'zgartirishni talab qilmaydi.
Tarmoqlararo ekranlar maxsus ishlab chiqilgan operatsion tizimda ishlaydigan dasturiy ta'minot va apparat tizimlari bo'lishi mumkin yoki ular Windows yoki Solaris kabi operatsion tizimlar bilan ishlaydigan turli platformalarda ishlashga mo'ljallangan dasturiy echimlar bo'lishi mumkin. QoS (Xizmat sifati) va h.323 yoki SIP kabi protokollarni qo'llab-quvvatlash va yuqori mavjudlik funksiyasiga ega bo'lgan tarmoqlararo ekranlar an'anaviy va konvergent tarmoqlar uchun ishonchli himoyani ta'minlashi mumkin.
Bundan tashqari, bozorda alohida ish stantsiyalari yoki serverlarini himoya qilish uchun mo'ljallangan tarmoqlararo ekranlar uchun tizim tarmoqlararo ekranlar mavjud. Markazlashtirilgan boshqaruv tizimlari bilan birgalikda ishlaydigan tizim tarmoqlararo ekranlar korporativ axborot tizimini himoya qilish uchun keng imkoniyatlarni taqdim etadi, bu sizga korporativ xavfsizlik siyosatini moslashuvchan tarzda amalga oshirish imkonini beradi.
Ma'lumotlar markazini tashqi tahdidlardan himoya qilish uchun tarmoq chetida tarmoqlararo ekranlar o'rnatiladi va ma'lumotlar markazi perimetrining birinchi himoya chizig'i bo'lib, odatda uchta zonani tashkil qiladi:

  • ichki zona - ma'lumotlar markazining mahalliy tarmog'i zonasi;

  • umumiy tarmoq resurslari joylashgan davlat xizmatlari zonasi;

  • ishonchsiz zona - Internet zonasi.

Tarmoq chetida o'rnatilgan tarmoqlararo ekranlar paketlarni filtrlashdan tashqari, tarmoq manzillarini tarjima qilish (NAT), VPN (Virtual Private Network) qo'llab-quvvatlashi yoki hujumni aniqlash va oldini olish kabi bir qator qo'shimcha funktsiyalarni bajarishi mumkin.
Tarmoqlararo ekranlar aloqa kanalining uzilishida o'rnatiladi, shuning uchun tarmoqlararo ekranlarni tanlashning asosiy mezonlari samaradorlik bilan bir qatorda ishlash, ishonchlilik va yuqori mavjudlik funksionalligi hisoblanadi. Yuqori mavjudlik, qoida tariqasida, bir nechta ortiqcha tarmoqlararo ekranlarni o'rnatish orqali ortiqcha bilan ta'minlanadi. Tarmoqlararo ekran tizimining yuqori samarali va nosozliklarga chidamli ishlashini ta'minlaydigan bir qator me'moriy echimlar mavjud.
Ma'lumotlar markazining bir qismi sifatida tarmoqlararo ekranlar bir qator axborot xavfsizligi (IS) quyi tizimlari bilan birgalikda ishlashi mumkin. Boshqaruv va monitoring quyi tizimlari bilan integratsiya tarmoqlararo ekranlarning ishlashi ustidan markazlashtirilgan nazoratni amalga oshirish, xavfsizlik siyosatini amalga oshirish uchun mehnat xarajatlarini kamaytirish va to'plangan monitoring ma'lumotlari asosida axborot xavfsizligi oqibatlarini oldini olish va minimallashtirish bo'yicha o'z vaqtida choralar ko'rish imkonini beradi. hodisalar. Tarmoqlararo ekranlarning VPN tashkiloti quyi tizimi yoki kirishni aniqlash va oldini olish quyi tizimi kabi quyi tizimlar bilan integratsiyalashuvi xavfsizlik funktsiyalarini bitta qurilmada birlashtirish va yagona boshqaruv interfeysini tashkil qilish imkonini beradi. Ushbu yondashuv kichik tashkilotlar va filiallarda himoya vositalaridan foydalanish rentabelligini oshirishga imkon beradi,
Tarmoqlararo ekran quyi tizimi quyidagi echimlar asosida tuzilishi mumkin:

  • Cisco ASA 5500 seriyali, Cisco tarmoqlararo ekran xizmatlari moduli;

  • Check Point Firewall-1 GX, VPN-1;

  • Nortel Switched Firewall 6000/5100 Series;

  • Juniper NetScreen 5000, ISG;ZoneAlarm.

Intrusionlarni aniqlash va oldini olish tizimi. Buzilishni aniqlash - bu ma'lumotlar markazida sodir bo'lgan hodisalarni kuzatish va ularni bosqinga urinishlarni ko'rsatadigan belgilar: maxfiylik, yaxlitlik, ma'lumotlar mavjudligi yoki axborot xavfsizligi siyosatining buzilishini tahlil qilish jarayonidir. Buzlishning oldini olish - bu aniqlangan hujumlarni blokirovka qilish jarayonidir.
Buzilishlarni aniqlash va oldini olish quyi tizimining vositalari ushbu jarayonlarni avtomatlashtiradi va har qanday darajadagi tashkilotda kirishlar natijasida yuzaga kelishi mumkin bo'lgan zarar va yo'qotishlarning oldini olish uchun zarurdir.
Monitoring usuliga ko'ra quyi tizim vositalari quyidagilarga bo'linadi:

  • tarmoq segmentlarining tarmoq trafigini kuzatuvchi tarmoqqa asoslangan kirishni oldini olish vositalari (tarmoqqa asoslangan IDS/IPS).

  • axborot xavfsizligi hodisalarini aniqlaydigan va himoyalangan tugun ichida tuzatuvchi harakatlarni amalga oshiradigan tizim darajasidagi tajovuzlarning oldini olish vositalari (host-asoslangan IDS/IPS).

Hodisalarni tahlil qilishning bir necha usullari mavjud:

  • suiiste'molni aniqlash, bunda hodisa yoki hodisalar to'plami ma'lum hujumni tavsiflovchi oldindan belgilangan naqsh (naqsh) bilan tekshiriladi. Ma'lum bo'lgan hujum namunasi signatura deb ataladi.

  • anomaliyani aniqlash, unda g'ayritabiiy (anomal) hodisalar aniqlanadi. Bu usul tajovuzga urinishda olingan hodisalar oddiy foydalanuvchi faoliyati yoki xost bilan o'zaro ta'sirlardan farq qiladi va shuning uchun aniqlanishi mumkin deb taxmin qiladi. Sensorlar hodisa ma'lumotlarini to'playdi, normal faoliyat naqshlarini yaratadi va me'yordan og'ishlarni aniqlash uchun turli ko'rsatkichlardan foydalanadi.

Quyi tizim chegaradagi tarmoq trafigini anomaliyalarni aniqlash orqali tahlil qiluvchi DDoS hujumlaridan (Distributed Denial of Service) himoya qiladi.
Bosqinning oldini olish yechimi sensorlar, bir yoki bir nechta boshqaruv serverlari, operator konsoli va administratorlardan iborat. Ba'zan tashqi ma'lumotlar bazasi axborot xavfsizligi hodisalari va ularning parametrlari haqidagi ma'lumotlarni saqlash uchun ajratiladi. Boshqaruv serveri sensorlardan ma'lumot oladi va ularni boshqaradi. Odatda, hodisalar serverlarda birlashtiriladi va korrelyatsiya qilinadi. Muhim voqealarni chuqurroq qayta ishlash uchun tizim darajasidagi hujumlarning oldini olish vositalari monitoring va hodisalarni boshqarish quyi tizimi bilan birlashtirilgan. Konsollar quyi tizim operatorlari va administratorlari uchun interfeyslarni taqdim etadi. Bu odatda ish stantsiyasiga o'rnatilgan dasturiy vositadir.
Markazlashtirilgan boshqaruvni tashkil qilish, signatura yangilanishlarini boshqarish va konfiguratsiyalarni boshqarish uchun tashkilotning himoyani boshqarish quyi tizimi bilan integratsiyadan foydalaniladi.
Shuni yodda tutish kerakki, faqat har xil turdagi quyi tizim vositalaridan kompleks foydalanish har tomonlama va aniq bosqinlarni aniqlash va oldini olish imkonini beradi.

Tizim darajasida bosqinning oldini olish. Tizim darajasidagi hujumlarni oldini olish quyi tizimi (host-asoslangan IDS / IPS) tizim darajasidagi hujumlarni darhol blokirovka qilishni va mas'ul shaxslarni xabardor qilishni ta'minlaydi. Tizim darajasidagi hujumlarni aniqlash agentlari (sensorlar) ma'lum bir operatsion tizimda sodir bo'ladigan faoliyatni aks ettiruvchi ma'lumotlarni to'playdi. Ushbu quyi tizimning afzalliklari tugunning axborot ob'ektlariga kirishni boshqarish, ularning yaxlitligini tekshirish va ma'lum bir foydalanuvchining anomal faoliyatini ro'yxatga olish qobiliyatidir. Kamchiliklar orasida murakkab anomal hodisalarni aniqlay olmaslik, himoyalangan tizimning qo'shimcha resurslaridan foydalanish, barcha himoyalangan tugunlarga o'rnatish zarurati kiradi. Bundan tashqari, operatsion tizim zaifliklari sensorlarning yaxlitligi va ishlashiga putur etkazishi mumkin.


Yechim variantlari:

Cisco Security Agent;
Check Point endpoint Security; Symantec Endpoint Protection;

Trend Micro OfficeScan;
IBM Proventia Serverga kirishni oldini olish tizimi;
Kaspersky Total Security.



Tarmoq qatlamiga kirishni oldini olish. Tarmoqqa asoslangan tajovuzlarning oldini olish quyi tizimi (tarmoqqa asoslangan IPS yoki NIPS) tarmoq hujumlarini darhol blokirovka qilishni va mas'ul shaxslarni xabardor qilishni ta'minlaydi. Tarmoq darajasidagi vositalardan foydalanishning afzalligi bir vaqtning o'zida bir nechta tugunlarni yoki tarmoq segmentlarini bitta vosita bilan himoya qilish qobiliyatidir. Dasturiy ta'minot yoki apparat-dasturiy ta'minot sensorlari ulanish uzilishida o'rnatiladi yoki ma'lum tugunlar yoki tarmoq segmentlarining tarmoq trafigini passiv ko'rib chiqadi va tarmoq, transport va o'zaro ta'sirning amaliy protokollarini tahlil qiladi. Qabul qilingan trafik hujumlar yoki xavfsizlik siyosati qoidalarini buzishning o'ziga xos naqshlari (signaturalari) to'plami bilan taqqoslanadi. Signaturalar tarmoq paketida topilsa, qarshi choralar qo'llaniladi.


Qarshi choralar sifatida quyidagilar amalga oshirilishi mumkin:

  • tanlangan tarmoq paketlarini bloklash;

  • tajovuzni yanada samarali oldini olish uchun axborot xavfsizligining boshqa quyi tizimlari (masalan, tarmoqlararo ekran) konfiguratsiyasini o'zgartirish;

  • tanlangan paketlarni keyinchalik tahlil qilish uchun saqlash;

  • hodisalarni ro'yxatga olish va mas'ul shaxslarni xabardor qilish.

Ushbu vositalarning qo'shimcha xususiyati himoyalangan tugunlar haqida ma'lumot to'plash bo'lishi mumkin. Tugun yoki tarmoq segmentining xavfsizligi va muhimligi to'g'risida ma'lumot olish uchun axborotni himoya qilish samaradorligini monitoring qilish quyi tizimi bilan integratsiya qo'llaniladi.
Yechim variantlari:

Cisco IPS sensori; Cisco IOS IPS;
Cicso IDS va IPS modullari; IPS-1 nazorat nuqtasi;

Check Point Interspect;
IBM Proventia Network IPS; Juniper Intrusion oldini olish; McAfee IntruShield IPS.


DDoS himoyasi. Oqibatlari nuqtai nazaridan kompyuter hujumlarining eng muhim sinflaridan biri axborot resurslarining mavjudligini buzishga qaratilgan Taqsimlangan Xizmatni rad etish (DDoS) hujumlaridir. Ushbu hujumlar Internetda joylashtirilgan turli xil dasturiy ta'minot komponentlari yordamida amalga oshiriladi. Ular nafaqat alohida tugunlar va xizmatlarning ishdan chiqishiga, balki ildiz DNS serverlarining ishlashini to'xtatishga va tarmoqning qisman yoki to'liq to'xtashiga olib kelishi mumkin.


DDoS hujumlaridan himoya qilishning asosiy maqsadi ularni amalga oshirishning oldini olish, ushbu hujumlarni aniq aniqlash va ularga tezkor javob berishdir. Shu bilan birga, buzg'unchilik trafigiga o'xshash belgilarga ega bo'lgan qonuniy trafikni samarali tanib olish va qonuniy trafikni belgilangan joyga ishonchli yetkazib berishni ta'minlash ham muhimdir.
DDoS hujumlaridan himoya qilishning umumiy yondashuvi quyidagi mexanizmlarni amalga oshirishni o'z ichiga oladi:

  • kirishni aniqlash;

  • hujum manbasini aniqlash;

  • kirishni oldini olish.

ITS uchun yechim varianti. Keling, aniq qurilgan mudofaa chizig'iga ega bo'lgan ko'p darajali tizim bo'lgan integratsiyalashgan yondashuv misolini ko'rib chiqaylik. Yechimni amalga oshirish ichki tarmoq xavfsizligini oshirish imkonini beradi (5.3-rasm).



5.3-rasm. DDoS himoyasi yechimi arxitekturasi


Ushbu yechim uzluksiz rejimda tashqi trafikni kuzatib turuvchi anomaliyalarni aniqlash sensorlaridan foydalanadi. Ushbu tizim ma'lumotlar markazining chetida joylashgan, shuning uchun tozalash jarayoni hujum trafigining ichki ma'lumotlar markazi tarmog'iga kirishidan oldin ham boshlanadi. Anomaliyalarni aniqlash usuli trafikni tozalashning 100% ehtimolini ta'minlay olmaydi, shuning uchun tarmoq va tizim darajasida hujumlarning oldini olish quyi tizimlari bilan integratsiya qilish zarur bo'ladi. Yechim sizga aloqa operatori tarmog'ini mustahkamlash va uni tezkor qarshi turish va turli xil tarmoq tahdidlaridan maksimal himoya qilishga tayyorlash imkonini beruvchi qo'shimcha xavfsizlik bo'yicha tavsiyalarni taqdim etadi.


Amalga oshirilgan yechimlarning texnik afzalliklari:

  • DDoS hujumlariga tezkor javob;

  • tizimni faqat talab bo'yicha yoqish qobiliyati maksimal ishonchlilik va minimal o'lchov xarajatlarini ta'minlaydi.

Yechim variantlari:

  • Arbor Peakflow SP;

  • Cisco Guard;

  • Cisco Traffic Anomaliya Detektori.

Virusdan himoyalanish. ITS-da virusga qarshi himoyaning maqsadi viruslar uchun barcha mumkin bo'lgan kirish nuqtalarini blokirovka qilishdir, xususan:

          • ish stantsiyasida olinadigan saqlash vositalaridan zararlangan fayllardan foydalanganda viruslarning ish stantsiyalariga kirib borishi;

          • HTTP yoki FTP protokollari orqali Internetdan olingan va mahalliy ish stantsiyasida saqlanadigan virusli dasturlardan foydalangan holda virus infektsiyasi;

          • masofaviy yoki mobil foydalanuvchilarning zararlangan ish stantsiyalarining ichki tarmog'iga ulanganda viruslarning kirib borishi;

          • ichki tarmoqqa ulangan masofaviy serverdan virus infektsiyasi va zararlangan ma'lumotlarni dastur va ma'lumotlar bazasi serverlari bilan almashish.

Antivirus himoya vositalari foydalanuvchilar va administratorlarning serverlari va ish stantsiyalari uchun zararli dasturlardan, shuningdek, tashqi tarmoqqa kirish/chiqish shlyuzlarini himoya qilishni ta'minlashi kerak [35]. Virusga qarshi himoya vositalaridan foydalanish inkor etilmaydigan afzalliklarga ega - qimmatli ma'lumotlarning yo'q qilinishi, buzilishi yoki kompyuter jihozlarining buzilishi natijasida shikastlanishning oldini olish.
Virusga qarshi himoya vositalari quyidagi funksiyalarni ta'minlashi kerak:

          • signatura va evristik usullarga asoslangan virusga qarshi skanerlash;

          • doimiy antivirus monitoringi;

          • blokirovka qilish skript viruslari (makroviruslar, javascript viruslari);

          • bir nechta yangilash manbalaridan foydalanish imkoniyati bilan antivirus ma'lumotlar bazalarini avtomatik yangilash;

          • barcha kiruvchi va chiquvchi trafikni tekshirish;

          • fishingdan himoya qilish (internetdagi firibgarlikning bir turi, uning maqsadi foydalanuvchi identifikatsiya ma'lumotlarini olishdir)

          • ishlaydigan vazifalarni to'xtatish va virusga qarshi dastur sozlamalarini o'zgartirish uchun foydalanuvchi huquqlarini cheklash;

          • foydalanuvchi ruxsati bilan shubhali fayllarni virusga qarshi laboratoriyaga tekshirish uchun yuborish.

Zararli koddan keng qamrovli himoya quyidagi me'moriy echimlarni o'z ichiga olishi kerak:

          • Himoya tizimini samarali boshqarish uchun antivirusni himoya qilish tizimining tarkibiy qismlarini markazlashtirilgan o'rnatish va olib tashlash.

          • Yagona virusga qarshi himoya siyosatini qo'llash va kompleks boshqaruv qulayligi uchun tizim komponentlarini markazlashtirilgan boshqarish.

          • Virus tarqalishiga tezkor javob berish, himoya tizimining ishlashi to'g'risida hisobot va statistik ma'lumotlarni taqdim etish uchun antivirusdan himoya qilish faoliyatini markazlashtirilgan monitoring qilish.

          • Zararlangan fayllarni qimmatli ma'lumotlar bilan tahlil qilish va saqlash va keyingi tiklash uchun shubhali yoki zararlangan fayllarning markazlashtirilgan karantini.

          • Antivirusdan himoya qilish siyosatini qo'llashda moslashuvchanlik va himoya tizimining ishonchliligini oshirish uchun foydalaniladigan yangilash va boshqarish serverlari ierarxiyasidan foydalanish.

Qatlamli markazlashtirilganni qurish yaxshi amaliyotdir tizimlari antivirus himoya qilish,turli ishlab chiqaruvchilarning virusga qarshi himoya vositalaridan foydalanishni va ularni ish stantsiyalari, ma'lumotlar bazasi va ilovalar serverlarida, shuningdek, Internetga kirish shlyuzlarida alohida o'rnatishni ta'minlash.
Ba'zi antivirus vositalari tomonidan taqdim etilgan qo'shimcha funktsiyalar:

          • zararni avtomatik tuzatish va zararli dasturlar tomonidan kiritilgan o'zgarishlarni bekor qilish;

          • virus tahdidlari amalga oshiriladigan zaifliklar uchun axborot tizimi tugunlarini avtomatik skanerlash;

          • virus epidemiyasi tarqalishining oldini olish uchun infektsiyalangan tugunlarni blokirovka qilish;

          • antivirus vositalarining eskirgan versiyalari yoki eskirgan antivirus ma'lumotlar bazalari bilan xostlarni bloklash.

Zararli dasturlardan himoya qilish quyi tizimi quyidagi quyi tizimlar bilan integratsiyalashgan:

          • virus epidemiyasi va axborot xavfsizligi siyosatiga mos kelmaydigan tugunlar tarqalishining oldini olish maqsadida infektsiyalangan tugunlarni blokirovka qilish uchun kommutatsiyalangan infratuzilma va simsiz tarmoqlar xavfsizligini ta'minlash quyi tizimi bilan;

          • virusga qarshi skanerlash uchun faqat potentsial xavfli trafikni yo'naltirish, shu bilan oqimli antivirus filtrlash vositasidagi yukni muvozanatlash va xavfli tashqi resurslarni blokirovka qilish uchun tarmoqlararo ekran quyi tizimi bilan;

          • virusga qarshi himoya vositalari va virusga qarshi ma'lumotlar bazalari konfiguratsiyasini zahira nusxasini yaratish va virus tarqalib ketgan taqdirda antivirus tizimini zudlik bilan tiklash uchun himoya vositalarining uzluksiz ishlashini ta'minlash uchun quyi tizim bilan;

          • virusli infektsiya hodisalarini operativ tahlil qilish, ularni qayta ishlash, mas'ul shaxslarni xabardor qilish va tizimning ishlashi to'g'risida hisobot berish uchun monitoring va hodisalarni boshqarish quyi tizimi bilan.

Aloqa tizimlarining axborot xavfsizligi. Ta’kidlanganidek, ITSda aloqa vositasi sifatida quyidagilardan foydalanish mumkin:

  • Internet;

  • GSM/GPRS tarmog'i;

  • sun'iy yo'ldosh aloqasi.

Tarmoq stekining sabablari va ilovalar zaifliklari. Hozirgi vaqtda juda keng qo'llaniladigan va turli xil kompyuter tizimlarining o'zaro ta'sirini tashkil qilish imkonini beruvchi va Internetning ichki ishlashini tavsiflovchi TCP / IP protokollari to'plami (stek) AQSh Mudofaa vazirligi ishtirokida ishlab chiqilgan. Shunga qaramay, u to'g'ri bajarilishidan qat'i nazar, uning xavfsizligi bilan bog'liq jiddiy kamchiliklarni o'z ichiga oladi. Umuman olganda, ushbu zaifliklarning manbalarini shartli ravishda quyidagicha ajratish mumkin:

          • Tarmoq protokollariga o'rnatilgan zaif autentifikatsiya mexanizmlari, ko'plab xizmatlar yomon ishlab chiqilgan. Ko'pgina autentifikatsiya xizmatlari paketda aldash oson bo'lgan IP manzillarga (masalan, Berkley r-utils, lpd, NFS) tayanadi. Boshqa tarmoqni boshqarish mexanizmlarida autentifikatsiya vositalari umuman yo'q, xususan marshrutlash protokollari (RIP). Ba'zi protokollarda login/parol autentifikatsiyasi (pop3) mavjud, ammo statik parollar ishlatiladi, shuning uchun lug'at hujumlari mumkin bo'ladi.

          • Tarmoq trafigi aniq uzatiladi. Ko'pincha parollar aniq matnda ham uzatiladi. Agar tajovuzkor uzatish kanaliga kirish imkoniga ega bo'lsa, u o'zini qiziqtirgan ma'lumotlarni qidirishda barcha uzatilgan paketlarni ko'rishi mumkin.

          • Tarmoq dasturiy ta'minotidagi xatolar (masalan, buferning to'lib ketishi). Bu protokolga hujum emas, balki uni amalga oshirishga qaratilgan. Tarmoq xizmatini muvaffaqiyatli boshqarish orqali tajovuzkor xizmat ishlayotgan xostni ham nazorat qilishi mumkin.

Shunday qilib, agar Internetdan ITSda aloqa tizimi sifatida foydalanish rejalashtirilgan bo'lsa, unda ma'lumotlarni uzatishda axborot xavfsizligini ta'minlash uchun TCP/IP protokoli stekida ta'minlanmagan qo'shimcha himoya mexanizmlaridan foydalanish kerak bo'ladi.
Tashkilot VPN. Ochiq aloqa kanallari (Internet, 2G / 3G tarmoqlari) orqali uzatiladigan ma'lumotlarni himoya qilish usullaridan biri bu xavfsiz virtual tarmoqlarni (Virtual Private Network, VPN) yaratishdir. Haqiqiy jismoniy kanal orqali yaratilgan virtual aloqa kanali ma'lumotlarni shifrlash, ma'lumotlar yaxlitligini nazorat qilish va ko'pincha ma'lumotlar manbasini autentifikatsiya qilishni ta'minlaydi. VPN ning asosiy afzalliklaridan biri bunday tarmoqni qurishning soddaligidir, chunki kriptografik operatsiyalar tezligini oshirish uchun dasturiy yechimdan ham, apparat-dasturiy komplekslardan ham foydalanish mumkin [33].
Hozirgi vaqtda VPN tarmoqlarini qurishda ikkita asosiy yondashuv mavjud: IPSec (IP Security) yoki L2TP (Layer 2 Tunneling Protocol) kabi standartlashtirilgan protokollardan foydalanish yoki SSL/TLS (Secure Sockets Layer/ Transport Layer Security) asosida oʻz yechimingizni yaratish mumkin.

Download 281.69 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling