IPSec (Internet protocol security) protokoli; VPN

O’zbekiston respublikasi axborat texnologiyalari va kommunikatsiyalarini rivojlantirishvazirligi muhammad al-xorazmiy nomidagi toshkent axborat texnologiyalari univesiteti kiberxavfsizlik asoslari fanidan Mustaqil ish Mavzu


IPSec (Internet protocol security) protokoli; VPN


Download 210.73 Kb.
bet4/4
Sana16.01.2023
Hajmi210.73 Kb.
#1095077
1   2   3   4
Bog'liq
Kiber xavfsizlik Mustaqil ish

IPSec (Internet protocol security) protokoli;
VPN (Virtual Private Network) virtual xususiy tarmoq;
IDS (Intrusion Detection System) ruxsatsiz kirishlarni aniqlash tizimi.
IPSec (Internet protocol security) bu xavfsizlik protokollari hamda shifrlash algoritmlaridan foydalangan holda tarmoq orqali xavfsiz ma’lumot almashish imkonini beradi. Bu maxsus standart orqali tarmoqdagi kompyuterlarning oʻzaro aloqasida dastur va ma’lumotlar hamda qurilmaviy vositalar bir-biriga mos kelishini ta’minlaydi. Ipsec protokoli tarmoq orqali uzatilayotgan axborotning sirliligini, ya’ni faqatgina yuboruvchi va qabul qiluvchiga tushunarli boʻlishini, axborotning sofligini hamda paketlarni autentifikatsiyalashni amalga oshiradi. Zamonaviy axborot texnologiyalarni qoʻllash har bir tashkilotning rivojlanishi uchun zaruriy vosita boʻlib qoldi, Ipsec protokoli esa aynan quyidagilar uchun samarali himoyani ta’minlaydi:
bosh ofis va filiallarni global tarmoq bilan bogʻlaganda;
uzoq masofadan turib, korxonani internet orqali boshqarishda;
homiylar bilan bogʻlangan tarmoqni himoyalashda;
elektron tijoratning xavfsizlik darajasini yuksaltirishda.
VPN (Virtual Private Network) virtual xususiy tarmoq sifatida ta’riflanadi. Bu texnologiya foydalanuvchilar oʻrtasida barcha ma’lumotlarni almashish boshqa tarmoq doirasida ichki tarmoqni shakllantirishga asoslangan, ishonchli himoyani ta’minlashga qaratilgan. VPN uchun tarmoq asosi sifatida Internetdan foydalaniladi.
VPN texnologiyasining afzalligi. Lokal tarmoqlarni umumiy VPN tarmogʻiga birlashtirish orqali kam xarajatli va yuqori darajali himoyalangan tunelni qurish mumkin. Bunday tarmoqni yaratish uchun sizga har bir tarmoq qismining bitta kompyuteriga filiallar oʻrtasida ma’lumot almashishiga xizmat qiluvchi maxsus VPN shlyuz oʻrnatish kerak. Har bir boʻlimda axborot almashishi oddiy usulda amalga oshiriladi. Agar VPN tarmogʻining boshqa qismiga ma’lumot joʻnatish kerak boʻlsa, bu holda barcha ma’lumotlar shlyuzga joʻnatiladi. Oʻz navbatida, shlyuz ma’lumotlarni qayta ishlashni amalga oshiradi, ishonchli algoritm asosida shifrlaydi va Internet tarmogʻi orqali boshqa filialdagi shlyuzga joʻnatadi. Belgilangan nuqtada ma’lumotlar qayta deshifrlanadi va oxirgi kompyuterga oddiy usulda uzatiladi. Bularning barchasi foydalanuvchi uchun umuman sezilmas darajada amalga oshadi hamda lokal tarmoqda ishlashdan hech qanday farq qilmaydi. Eavesdropping hujumidan foydalanib, tinglangan axborot tushunarsiz boʻladi.
Bundan tashqari, VPN alohida kompyuterni tashkilotning lokal tarmogʻiga qoʻshishning ajoyib usuli hisoblanadi. Tasavvur qilamiz, xizmat safariga noutbukingiz bilan chiqqansiz, oʻz tarmogʻingizga ulanish yoki u yerdan biror-bir ma’lumotni olish zaruriyati paydo boʻldi. Maxsus dastur yordamida VPN shlyuz bilan bogʻlanishingiz mumkin va ofisda joylashgan har bir ishchi kabi faoliyat olib borishigiz mumkin. Bu nafaqat qulay, balki arzondir.
VPN ishlash tamoyili. VPN tarmogʻini tashkil etish uchun yangi qurilmalar va dasturiy ta’minotdan tashqari ikkita asosiy qismga ham ega boʻlish lozim: ma’lumot uzatish protokoli va uning himoyasi boʻyicha vositalar.
Ruxsatsiz kirishni aniqlash tizimi (IDS) yordamida tizim yoki tarmoq xavfsizlik siyosatini buzib kirishga harakat qilingan usul yoki vositalar aniqlanadi. Ruxsatsiz kirishlarni aniqlash tizimlari deyarli chorak asrlik tarixga ega. Ruxsatsiz kirishlarni aniqlash tizimlarining ilk modellari va prototiplari kompyuter tizimlarining audit ma’lumotlarini tahlillashdan foydalangan. Bu tizim ikkita asosiy sinfga ajratiladi. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (Network Intrusion Detection System) va kompyuterga ruxsatsiz kirishni aniqlash tizimiga (Host Intrusion Detection System) boʻlinadi.

1-rasm. Xavfsiz kompyuter tarmog‘ini vositalari.



Ruxsatsiz kirishlarni aniqlash tizimi Intrusion Detection System (IDS)
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi:
himoyalangan tizimlar xavfsizligi bilan bogʻliq holatlarni yigʻib tahlillovchi sensor qism tizimi;
sensorlar ma’lumotlariga koʻra shubhali harakatlar va hujumlarni aniqlashga moʻljallangan tahlillovchi qism tizimi;
tahlil natijalari va dastlabki holatlar haqidagi ma’lumotlarni yigʻishni ta’minlaydigan omborxona;
IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va himoyalangan tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan mojarolarni kuzatuvchi boshqaruv konsoli.
Bu tizim ikkita asosiy sinfga ajratiladi. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (Network Intrusion Detection System) va kompyuterga ruxsatsiz kirishni aniqlash tizimiga (Host Intrusion Detection System) boʻlinadi. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (NIDS) ishlash tamoyili quyidagicha:
1.Tarmoqqa kirish huquqiga ega boʻlgan trafiklarni tekshiradi;
2. Zararli va ruxsatga ega boʻlmagan paketlarga cheklov qoʻyadi.
Sanab oʻtilgan xavfsizlik bosqichlarini qoʻllagan holda Eavesdropping tahdidiga qarshi samarali tarzda himoyalanish mumkin.
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan voz kechish hujumi deb nomlanadi. Bunda hujum qiluvchi legal foydalanuvchilarning tizim yoki xizmatdan foydalanishiga toʻsqinlik qilishga urinadi. Tez-tez bu hujumlar infratuzilma resurslarini xizmatga ruxsat soʻrovlari bilan toʻlib toshishi orqali amalga oshiriladi. Bunday hujumlar alohida xostga yoʻnaltirilgani kabi butun tarmoqqa ham yoʻnaltirilishi mumkin. Hujumni amalga oshirishdan oldin obyekt toʻliq oʻrganilib chiqiladi, ya’ni tarmoq hujumlariga qarshi qoʻllanilgan himoya vositalarining zaifligi yoki kamchliklari, qanday operatsion tizim oʻrnatilgan va obyekt ish faoliyatining eng yuqori boʻlgan vaqti. Quyidagilarni aniqlab va tekshirish natijalariga asoslanib, maxsus dastur yoziladi. Keyingi bosqichda esa yaratilgan dastur katta mavqega ega boʻlgan serverlarga yuboriladi. Serverlar oʻz bazasidagi roʻyxatdan oʻtgan foydalanuvchilarga yuboradi. Dasturni qabul qilgan foydalanuvchi ishonchli server tomonidan yuborilganligini bilib yoki bilmay dasturni oʻrnatadi. Aynan shu holat minglab hattoki, millionlab kompyuterlarda sodir boʻlishi mumkin. Dastur belgilangan vaqtda barcha kompyuterlarda faollashadi va toʻxtovsiz ravishda hujum qilinishi moʻljallangan obyektning serveriga soʻrovlar yuboradi. Server tinimsiz kelayotgan soʻrovlarga javob berish bilan ovora boʻlib, asosiy ish faoliyatini yurgiza olmaydi. Server xizmat qilishdan voz kechib qoladi.
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali yoʻllari quyidagilar:
tarmoqlararo ekranlar texnologiyasi (Firewall);
IPsec protokoli.

2-rasm. Tarmoqlararo ekran orqali ichki va tashqi hujumlarni himoyalash strukturasi.
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya qurilmasi hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya texnologiya (AKT)larida kiruvchi va chiquvchi ma’lumotlarni boshqaradi va ma’lumotlarni filtrlash orqali AKT himoyasini ta’minlaydi, belgilangan mezonlar asosida axborot tekshiruvini amalga oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. Tarmoqlararo ekran tarmoqdan oʻtuvchi barcha paketlarni koʻradi va ikkala (kirish, chiqish) yoʻnalishi boʻyicha paketlarni belgilangan qoidalar asosida tekshirib, ularga ruxsat berish yoki bermaslikni hal qiladi. Shuningdek, tarmoqlararo ekran ikki tarmoq orasidagi himoyani amalga oshiradi, ya’ni himoyalanayotgan tarmoqni ochiq tashqi tarmoqdan himoyalaydi. Himoya vositasining quyida sanab oʻtilgan qulayliklari, ayniqsa, paketlarni filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning samarali vositasidir.
Paket filtrlari quyidagilarni nazorat qiladi:
fizik interfeys, paket qayerdan keladi;
manbaning IP-manzili;
qabul qiluvchining IP-manzili;
manba va qabul qiluvchi transport portlari.
Tarmoqlararo ekran ba’zi bir kamchiliklari tufayli Dos hujumidan toʻlaqonli himoyani ta’minlab bera olmaydi:
Loyihalashdagi xatoliklar yoki kamchiliklar — tarmoqlararo ekranlarning har xil texnologiyalari himoyalana-yotgan tarmoqqa boʻladigan barcha suqilib kirish yoʻllarini qamrab olmaydi;
Amalga oshirish kamchiliklari — har bir tarmoqlararo ekran murakkab dasturiy (dasturiy-apparat) majmua koʻrinishida ekan, u xatoliklarga ega. Bundan tashqari, dasturiy amalga oshirish sifatini aniqlash imkonini beradigan va tarmoqlararo ekranda barcha spetsifikatsiyalangan xususiyatlar amalga oshirilganligiga ishonch hosil qiladigan sinov oʻtkazishning umumiy metodologiyasi mavjud emas;
Qoʻllashdagi (ekspluatatsiyadagi) kamchiliklar — tarmoqlararo ekranlarni boshqarish, ularni xavfsizlik siyosati asosida konfiguratsiyalash juda murakkab hisoblanadi va koʻpgina vaziyatlarda tarmoqlararo ekranlarni notoʻgʻri konfiguratsiyalash hollari uchrab turadi. Sanab oʻtilgan kamchiliklarni IPsec protokolidan foydalangan holda bartaraf etish mumkin. Yuqoridagilarni umumlashtirib, tarmoqlararo ekranlar va IPsec protokolidan toʻgʻri foydalanish orqali DOS hujumidan yetarlicha himoyaga ega boʻlish mumkin.
Port scanning hujum turi odatda tarmoq xizmatini koʻrsatuvchi kompyuterlarga nisbatan koʻp qoʻllanadi. Tarmoq xavfsizligini ta’minlash uchun koʻproq virtual portlarga e’tibor qaratishimiz kerak. Chunki portlar ma’lumotlarni kanal orqali tashuvchi vositadir. Kompyuterda 65536 ta standart portlar mavjud. Kompyuter portlarini majoziy ma’noda uyning eshigi yoki derazasiga oʻxshatish mumkin. Portlarni tekshirish hujumi esa oʻgʻrilar uyga kirishdan oldin eshik va derazalarni ochiq yoki yopiqligini bilishiga oʻxshaydi. Agar deraza ochiqligini oʻgʻri payqasa, uyga kirish oson boʻladi. Hakker hujum qilayotgan vaqtda port ochiq yoki foydalanilmayotganligi haqida ma’lumot olishi uchun Portlarni tekshirish hujumidan foydalanadi.
Bir vaqtda barcha portlarni tahlil qilish maqsadida xabar yuboriladi, natijada real vaqt davomida foydalanuvchi kompyuterning qaysi portini ishlatayotgani aniqlanadi, bu esa kompyuterning nozik nuqtasi hisoblanadi. Aynan ma’lum boʻlgan port raqami orqali foydalanuvchi qanday xizmatni ishlatayotganini aniq aytish mumkin. Masalan, tahlil natijasida quyidagi port raqamlari aniqlangan boʻlsin, aynan shu raqamlar orqali foydalanilayotgan xizmat nomini aniqlash mumkin:
Port #21: FTP (File Transfer Protocol) fayl almashish protokoli;
Port #35: Xususiy printer server;
Port #80: HTTP traffic (Hypertext Transfer [Transport] Protocol) gipermatn almashish protokoli;
Port #110: POP3 (Post Office Protocol 3) E-mail portokoli.

3-rasm. Axboratlarga hujum turlari va himoya vositalari
Portlarni tekshirish hujumiga qarshi samarali himoya yechimi tarmoqlararo ekran texnologiyasidan unumli foydalanish kutilgan natija beradi. Barcha portlarni bir vaqtda tekshirish haqidagi kelgan soʻrovlarga nisbatan tarmoqlararo ekranga maxsus qoida joriy etish yoʻli bilan hujumni bartaraf etish mumkin.


Xulosa. Men ushbu mustaqil ishni bajarish mobaynida juda ko’p qiziqarli va kerakli ma’lumotlarga ega bo’ldim. Xususan, tarmoq o’zi nimz? Tarmoq nimalardan tashkl topishi kerak? Tarmoq uchun qanday xavf va xujumlar mavjud? Tarmoqni qanday himoyalash zarurligi
Download 210.73 Kb.

Do'stlaringiz bilan baham:
1   2   3   4



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling