Rеja: Tarmoqda axborotni himoya qilish
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali yoʻllari quyidagilar
Download 1.01 Mb.
|
5 maruza01
|
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali yoʻllari quyidagilar:
• tarmoqlararo ekranlar texnologiyasi (Firewall); • IPsec protokoli. Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya qurilmasi hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya texnologiya (AKT) larida kiruvchi va chiquvchi maʻlumotlarni boshqaradi va maʻlumotlarni filtrlash orqali AKT himoyasini taʻminlaydi, belgilangan mezonlar asosida axborot tekshiruvini amalga oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. Tarmoqlararo ekran tarmoqdan oʻtuvchi barcha paketlarni koʻradi va ikkala (kirish, chiqish) yoʻnalishi boʻyicha paketlarni belgilangan qoidalar asosida tekshirib, ularga ruhsat berish yoki bermaslikni hal qiladi. Shuningdek, tarmoqlararo ekran ikki tarmoq orasidagi himoyani amalga oshiradi, yaʻni himoyalanayotgan tarmoqni ochiq tashqi tarmoqdan himoyalaydi. Himoya vositasining quyida sanab oʻtilgan qulayliklari, ayniqsa, paketlarni filtrlash funksiyasi DOS hujumiga qarshi himoyalanishningsamarali vositasidir. Paket filtrlari quyidagilarni nazorat qiladi: • fizik interfeys, paket qayyerdan keladi; • manbaning IP-manzili; • qabul qiluvchining IP-manzili; • manba va qabul qiluvchi transport portlari. 6.1.2- rasm. Xizmat qilishdan voz kechish (DoS) hujumini tashkil qilishTarmoqlararo ekran baʻzi bir kamchiliklari tufayli DoS hujumidan toʻlaqonli himoyani taʻminlab bera olmaydi: • loyihalashdagi xatoliklar yoki kamchiliklar — tarmoqlararo ekranlarning har xil texnologiyalari himoyalana-yotgan tarmoqqa boʻladigan barcha suqilib kirish yoʻllarini qamrab olmaydi; • amalga oshirish kamchiliklari — har bir tarmoqlararo ekran murakkab dasturiy (dasturiy-apparat) majmua koʻrinishida ekan, u xatoliklarga ega. Bundan tashqari, dasturiy amalga oshirish sifatini aniqlash imkonini beradigan va tarmoqlararo ekranda barcha spetsifikatsiyalangan xususiyatlar amalga oshirilganligiga ishonch hosil qiladigan sinov oʻtkazishning umumiy metodologiyasi mavjud emas; • qoʻllashdagi (ekspluatatsiyadagi) kamchiliklar — tarmoqlararo ekranlarni boshqarish, ularni xavfsizlik siyosati asosida konfiguratsiyalash juda murakkab hisoblanadi va koʻpgina vaziyatlarda tarmoqlararo ekranlarni notoʻgʻri konfiguratsiyalash hollari uchrab turadi. Sanab oʻtilgan kamchiliklarni IPsec protokolidan foydalangan holda bartaraf etish mumkin. Yuqoridagilarni umumlashtirib, tarmoqlararo ekranlar va IPsec protokolidan toʻgʻri foydalanish orqali DOS hujumidan yetarlicha himoyaga ega boʻlish mumkin. Port scanning hujum turi odatda tarmoq xizmatini koʻrsatuvchi kompyuterlarga nisbatan koʻp qoʻllanadi. Tarmoq xavfsizligini taʻminlash uchun koʻproq virtual portlarga eʻtibor qaratishimiz kerak. Chunki portlar maʻlumotlarni kanal orqali tashuvchi vositadir. Kompyutyerda 65 536ta standart portlar mavjud. Kompyuter portlarini 300 majoziy maʻnoda uyning eshigi yoki derazasiga oʻxshatish mumkin. Portlarni tekshirish hujumi esa oʻgʻrilar uyga kirishdan oldin eshik va derazalarni ochiq yoki yopiqligini bilishiga oʻxshaydi. Agar deraza ochiqligini oʻgʻri payqasa, uyga kirish oson boʻladi. Hakker hujum qilayotgan vaqtda port ochiq yoki foydalanilmayotganligi haqida maʻlumot olishi uchun Portlarni tekshirish hujumidan foydalanadi. Bir vaqtda barcha portlarni tahlil qilish maqsadida xabar yuboriladi, natijada real vaqt davomida foydalanuvchi kompyuterning qaysi portini ishlatayotgani aniqlanadi, bu esa kompyuterning nozik nuqtasi hisoblanadi. Aynan maʻlum boʻlgan port raqami orqali foydalanuvchi qanday xizmatni ishlatayotganini aniq aytish mumkin. Masalan, tahlil natijasida quyidagi port raqamlari aniqlangan boʻlsin, aynan shu raqamlar orqali foydalanilayotgan xizmat nomini aniqlash mumkin • Port #21: FTP (File Transfer Protocol) fayl almashish protokoli; • Port #35: Xususiy printer server; • Port #80: HTTP traffic (Hypertext Transfer [Transport] Protocol) gipermatn almashish protokoli; • Port #110: POP3 (Post Office Protocol 3) E-mail portokoli. Portlarni tekshirish hujumiga qarshi samarali himoya yyechimi tarmoqlararo ekran texnologiyasidan unumli foydalanish kutilgan natija beradi. Barcha portlarni bir vaqtda tekshirish haqidagi kelgan soʻrovlarga nisbatan tarmoqlararo ekranga maxsus qoida joriy etish yoʻli bilan hujumni bartaraf etish mumkin. Download 1.01 Mb. Do'stlaringiz bilan baham: 
|