-расм. "Хост-хост" капали билан тўлдирилган "хост-шлюз" схемаси

Microsoft Word ax kitob янги doc


-расм. "Хост-хост" капали билан тўлдирилган "хост-шлюз" схемаси


Download 5.8 Mb.
bet97/147
Sana11.09.2023
Hajmi5.8 Mb.
#1675958
1   ...   93   94   95   96   97   98   99   100   ...   147
Bog'liq
Ахборот хавфсизлиги (word)

8.23-расм. "Хост-хост" капали билан тўлдирилган "хост-шлюз" схемаси
Бу ерда ҳимояланган канал IPSec ишловчи масофадаги Н1 хост ва корхона Intranet тармоғига кирувчи барча хостлар учун трафикни ҳимояловчи SG шлюз орасида ташкил этилади. Масофадаги хост шлюзга пакетларни жўнатишда ҳам транспорт ва ҳам туннел режимларидан фойда- ланиши мумкин, шлюз эса хостга пакетларни фақат туннел режимида жўнатади.
Бу схемани масофадаги Н1 хост ва шлюз томонидан ҳимояланувчи ички тармоққа тегишли бирор Н2 хост орасида параллел яна бир ҳимояланган канални яратиб модификациялаш мумкин. Иккита SAдан бун- дай комбинациялаб фойдаланиш ички тармоқдаги трафикни ҳам ишончли ҳимоялашга имкон беради.
Кўрилган IPSec асосида ҳимояланган канални қуриш схемалари тур- ли-туман виртуал ҳимояланган тармоқларни (VPN) яратишда кенг қўлланилади. IPSec асосида турли архитектурага эга бўлган виртуал ҳимояланган тармоқлар, жумладан масофадан фойдаланувчи VPN(Remote Access VPN), корпорация ичидаги VPN(Intranet VPN) ва корпорациялараро VPN(Extranet VPN) қурилади.


IPSec асосидаги VPN-технологияларининг жозибалилигини қуйидаги сабаблар орқали изоҳлаш мумкин:

  • тармоқ сатҳининг ҳимояси тармоқда ишловчи барча татбиқий ти- зимлар учун шаффоф, яъни барча иловалар ҳимояланган тармоқда ҳеч қандай тузатишсиз ва ўзгаришсиз худди очиқ тармоқда ишлаганидек иттт- лайверади;

  • ҳимоялаш тизимининг масштабланувчанлиги таъминланади, яъни мураккаблиги ва унумдорлиги турли бўлган объектларни ҳимоялаш учун мураккаблиги, унумдорлиги, нархи даражаси бўйича адэкват бўлган ҳимоялашнинг дастурий ёки дастурий-аппарат воситаларидан фойдаланиш мумкин;

  • масштабланувчи қатордаги ахборотни ҳимоялаш маҳсулотлари бирга ишлай оладилар, шу сабабли уларни турли сатҳдаги объектларда (масофада- ги ягона терминаллардан то ихтиёрий масштабли локал тармоқларгача) ре- сурсларидан ва трафигидан барча бегоналар фойдаланаоломайдиган ягона корпоратив тармоққа бирлаштириш мумкин.




  1. боб. ОЧИҚ КАЛИТЛАРНИ БОШҚАРИШ ИНФРАТУЗИЛМАСИ PKI


  1. РК1нинг ишлаш принципы

Тарихан ахборот хавфсизлигини бошқарувчи ҳар қандай марказнинг вазифалари доирасига ахборот хавфсизлигининг турли воситалари томони- дан ишлатилувчи калитларни бошқариш кирган. Бу-калитларни бериш, ян- гилаш, бекор қилиттт ва тарқатиш.
Симметрик криптографиядан фойдаланилганда калитларни тарқатиш масаласи энг мураккаб муаммога айланган, чунки:

  • N фойдаланувчи учун ҳимояланган N(N-1)/2 калитни тарқатиш ло- зим эди. N бир неча юзга тенг бўлганида бу сермашаққат вазифага айлани- ши мумкин;

  • бундай тизимнинг мураккаблиги (калитларнинг кўплиги ва тарқатиш каналининг махфийлиги) хавфсизлик тизимини курит қоидаларининг бири- тизим оддийлигига тўғри келмайди, натижада заиф жойларнинг пайдо бўлишига олиб келади.

Асимметрик криптография фақат N махфий калитни тавсия этиб, бу муаммони четлаб ўтишга имкон яратади. Бунда ҳар бир фойдаланувчида фақат битта махфий калит ва махсус алгоритм бўйича махфий калитдан олинган очиқ калит бўлади.
Очиқ калитдан маҳфий калитни олиб бўлмаслиги сабабли очиқ ка­литни ҳимояланмаган ҳолда барча ўзаро алоқа қатнашчиларига тарқатиш мумкин. Узининг маҳфий калити ва ўзаро алоқадаги шеригининг очиқ ка­лиги ёрдамида ҳар қандай фойдаланувчи ҳар қандай криптоамалларни ба- жариши мумкин: бўлинувчи сирни ҳисоблаш, ахборотнинг конфиденциал- лиги ва яхлитлигини ҳимоялаш, электрон рақамли имзони яратиш.
Шундай қилиб, симметрик криптографиянинг иккита асосий муаммо- си ҳал этилади:

  • калитлар сонининг кўплиги - улар энди атиги №та;

  • тарқатишнинг мураккаблиги - уларни очиқ тарқатиш мумкин.


Ammo бу технологиянинг битта камчилиги - хужум қилувчи нияти бузуқ одам ўзаро алоқа қатнашчилари ўртасида жойлашганида man-in-the- middle (ўртадаги одам) хужумига мойиллиги.


Очиқ калитларни бошқариш инфратузилмаси PKI ушбу камчиликни бартараф қилишга имкон беради ва man-in-the-middle хужумидан самарали ҳимояланишни таъминлайди. Очиқ калитлар инфратузилмаси корпоратив ахборот тизимларининг ишончли ишлаши учун аталган ва ички ва ташқи фойдаланувчиларга ишончли муносабатлар занжири ёрдамида хавфсиз ах­борот алмашишга имкон беради. Очиқ калитлар инфратузилмаси фойдала- нувчининг шахсий махфий калитини унинг очиқ калити билан боғловчи электрон паспортга ўхшаб ишловчи рақамли сертификатларга асосланади.
Man-in-the-middle хужумидан ҳимоялаш. Man-in-the-middle хужуми амалга оширилганида нияти бузуқ одам очиқ канал орқали узатилувчи ўзаро алоқанинг қонуний иштирокчилари калитларини секингина ўзининг очиқ калитига алмаштириб, қонуний иштирокчиларнинг ҳар бири билан бўлинувчи сир яратиши ва сўнгра уларнинг барча ахборотларини ушлаб қолиши ва расшифровка қилиттти мумкин.
Хужум қилувчининг ҳаракатини ва бу хужумдан ҳимояланиш усулини мисол орқали (9.1-расм) кўриб чиқайлик. Фараз қилайлик, фойдаланувчи- лар 1 ва 2 ўзларига умумий бўлган бўлинувчи сирни Диффи-Хеллман схе- маси бўйича ҳисоблаб, ҳимояланган уланишни ўрнатишга қарор қилдилар. Ammo 1- ва 2- фойдаланувчиларнинг K1 ва К2 калитлари узатилаётган онда нияти бузуқ, одам @ адресатга етказмай ушлаб қолди. Нияти бузуқ одам ўзининг махфий ва очиқ калитини яратиб, очиқ К калитини 1 ва 2- фойдаланувчиларга секингина уларнинг ҳақиқий очиқ К1 ва К2 калитлари- нинг ўрнига жўнатади. Натижада 1 ва 2 - фойдаланувчилар бўлинувчи сир­ни ўзаро эмас, балки 1-@ ва 2-@ схемалари бўйича яратадилар, чунки улар ўзларининг махфий калитларидан ва нияти бузуқ одам @нинг очиқ калити К@ дан фойдаланадилар.











  1. Download 5.8 Mb.

    Do'stlaringiz bilan baham:
1   ...   93   94   95   96   97   98   99   100   ...   147



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling