Toshkent axborot texnologiyalari universiteti nukus filiali kompyuter injiniringi fakulteti
Download 1.5 Mb. Pdf ko'rish
|
malumotlar uzatishda qollaniladigan tarmoqlararo ekran tahlili
- Bu sahifa navigatsiya:
- 2. MA`LUMOT UZATISH TARMOQLARINI AXBOROT XAVFSIZLIGINI TA`MINLASH TAMOYILLARI.
- 6–taqdim etish pog`onasi
- 5-seans pog`onasi
- 2.2. Axborot xavfsizligini dasturiy - texnikaviy vositalarining tuzilishi
- 2.3. Tarmoqlar oralig’i ekranlari
- Tarmoqlararo ekranlarning asosiy tashkil etuvchilari.
|
XULOSA BMI ning birinchi bo`limida quyidagi masalalar keltirilgan: 38 - tarmoqning tashkil etilishi va ularga qo`yiladigan talablar, asosan tarmoqning tashkil etilishi, tarmoq elementlari, ularning vazifalari va xususiyatlari, tarmoq tuzilmalari komponentlari, tarmoqning funktsional modeli, kommutatsiya usullari; - axborot xavfsizligini buzilishiga olib keluvchi taxdidlarning turlari va ularning tasniflari, ximoyaning buzilishlari, passiv xujumlar, ma`lumotlar oqimini taxlili, axborotlar mazmunini fosh etish, ximoya mexanizmlari; - axborot xavfsizligini ta`minlash choralari tasniflari, komp`yuter tizimlari va tarmoqlarining axborot xavfsizligini ta`minlash va apparat dasturli vositalar ko`rib o`tilgan. 2. MA`LUMOT UZATISH TARMOQLARINI AXBOROT XAVFSIZLIGINI TA`MINLASH TAMOYILLARI. 2.1. O`zaro ochiq tizimlarning etalon modelini xavfsizlik arxitekturasi axborot xavfsizligining xizmatlari va mexanizmlari Ochiq tizimlarning tavsiflari va vositalarini aniqlaydigan kontseptual asosi sifatida OSI (Open System Interconnection) etalon modeli ishlatiladi. U ochiq tizimlarning turli ishlab chiqaruvchilar tomonidan tavsiya etilgan tizimlarning bir tarmoqda ishlashini ta`minlovchi o`zaro bog`lanishini aniqlaydi va quyidagilarni muvofiqlashtiradi: - qo`llanish jarayonlarning o`zaro bog`lanishini; - ma`lumotlarni taqdim etish shakllarini; - ma`lumotlar saqlanishi bir xilligini; - tarmoq resurslarini boshqarish; - ma`lumotlar xavfsizligi va axborot himoyasini; - dasturlar va texnik vositalarning diagnostikasini. 39 Ochiq tizimlarning standart holatdagi o`zaro bog`lanishi quyidagicha: 1. o`zaro ochiq tizimning etalon modeli; 2. etalon modelini qanoatlantiradigan xizmatlarning aniq to`plami; 3. xizmatlar bajarilishini ta`minlovchi va ularni amalga oshirish uchun ishlab chiqilgan protokollar to`plami. Xizmat - yuqori daraja komponentlari ixtiyoriga beriladigan joriy darajaga tegishli funktsional imkoniyatlar to`plamidir. Protokol - har-xil texnik qurilmalarda ishlatiladigan, bir xil jarayonlar orasidagi mantiqiy va protsedurali bog`lanishni ta`minlovchi qoidalar to`plami. Interfeys - ikkita qurilma yoki tizimlar osti chegarasida ularning to`liq birga ishlashini ta`minlovchi qurilmalar va protseduralar to`plami. Interfeys elektrik, mexanik va funktsional bog`lanishlarni ta`minlaydi. Protokollarning funktsiyalari: 7–amaliy pog`onasi (prikladn. protokol) modelning eng yuqori pog`onasi bo`lib, qo`llanish jarayonlarining tarmoq xizmatlariga kirish uchun imkon yaratadi va quyidagilarni taminlaydi: - ochiq tizimlarni o`zaro bog`lanish muhiti bilan foydalanuvchilarning amaliy dasturlarni birga ishlashini; - axborot almashish bo`yicha sheriklarni (partnerlarni) identifikatsiyalash; - ma`lumotlar hajmini aniqlash; - konfedentsiallikni ta`minlash mexanizmini muvofiqlashtirish; - xizmat ko`rsatish sifatini muvofiqlashtirish; - xizmat ko`rsatish tartibini tanlashlarni ta`minlaydi. 6–taqdim etish pog`onasi (predstavitel`n. protokol) quyidagilarni ta`minlaydi: 40 - yuboruvchi va qabul qiluvchi sintaksislarni tarmoqqa uzatish sintaksisi bilan muvofiqlashtirish; - so`rov orqali seans o`rnatish va yakunlash; - axborot yuborishlarni ta`minlaydi. Taqdimot pog`onasi protokollarni qayta o`zgartirish, ma`lumotlar translyatsiyasi, qo`llanilayotgan simvollar to`plamini almashtirish kabilarga javob beradi. 5-seans pog`onasi (protokol seansovыy) seans boshlanishi va yakunlanishini, transport tarmog`i darajasida ishdan chiqish (ishlamaslik) holatlarida qayta ulashni amalga oshirishni ta`minlaydi. 4-transport pog`onasi (transportn. protokol) transport pog`onasining asosiy vazifasi paketlarni xatosiz, dastlabki ketma-ketlikda yo`qotishsizlarsiz kafolat bilan etkazib berishdir. Bu pog`onada ma`lumotlar qayta taxlanadi: uzunlari bir nechta paketlarga ajratiladi, qisqa paketlar esa birlashtiriladi. Shu orqali tarmoqdan paketlarni yuborish samaradorligi oshiriladi. Transport pog`onasida qabul qiluvchi tomonidan ma`lumotlar qabul qilingani xaqida tasdiq signali yuboriladi. Trasport pog`onasi oqimni boshqaradi, xatolarni tekshiradi, paketlarni yuborish va qabul qilish bilan bog`liq bo`lgan muammolarni hal qilishda ishtirok etadi. 3-tarmoq pog`onasi (setevoy protokol) quyidagilarni ta`minlaydi: - foydalanayotgan tarmoq va fizik muhitlarni kommutatsiyalash; - marshrutizatsiyalashga bog`liq bo`lmagan transport tarmoq darajasi uchun axborotlarni uzatilishni ta`minlovchi tarmoq ulanishlarni o`rnatish; - faol holda tutish va uzish vositalarini etgazib berish; - ma`lumot oqimlarini boshqarilishini ta`minlash; 41 - paketlar jo`natilishi ketma – ketligini tartibga solish; - shoshilinch ma`lumot uzatilishini ta`minlash; - xatolarni topish va tuzatilishini ta`minlash. Tarmoq pog`onasining ma`lumotlarini paketlar deb atash qabul qilingan. Tarmoq pog`onasida 2 xil protokollar ishlaydi. 1. tarmoq protokollari – tarmoq orqali paketlarni harakatini yo`lga qo`yadi; 2. marshrutlash protokollari – marshrutizator tarmoqlararo bog`lanishlar topologiyasi to`g`risida axborot to`playdilar. 2–kanal pog`onasi (kanal`n. pratokol) kanal uzatishlarini o`rnatadi va uzatadi, kadrlar bo`yicha sinxronizatsiiyalashni ta`minlaydi, xatolarni topish va tuzatish axborot oqimini boshqarish, kadrlar ketma - ketligini tartibga solishlarni ta`minlaydi. 1-fizik pog`ona (protokol fizicheskiy) fizikaviy kanallar koaksial kabel`, optik tolali kabel` yoki radiomuhit orqali bitlar ketma-ketligi bilan ish olib boradi. Fizik pog`ona fizik ulashlarni o`rnatish, faol holatda tutish va o`zini mexanik, elektron va protsedurali vositalarini boshqarish, bitlar bo`yicha sinxronizatsiyalash, bitlarni dupleks yoki yarim dupleksli uzatish, ikki yoki ko`p nuqtali uzatish, fizik darajada ishdan chiqish xolatlari to`g`risida kanal darajasini ogohlantirishlarni ta`minlaydi. 42 2.1 – rasm. Ochiq tizimlar o`zaro bog`lanish etalon modeli. Amaliy Taqdim etish Seans Transport Tarmoq Kanal Fizik Amaliy Taqdim etish Seans Transport Tarmoq Kanal Fizik Tarmoqqa bog`lik pog`onalar Tarmoqqa nobog`lik pog`onalar Ma`lumotlarni uzatish fizik muxiti 43 T/R Xizmat turlari Pog`onalar Fizik Kanal Tarmoq Transport Seans Taqdim etish Amaliy 1. Birpog`onali ob`ektlar autentifikatsiyasi + + + 2. Ma`lumotlar manba`i autentifikatsiyasi + + + 3. Kirish yo`li nazorati + + + 4. Ulash o`rnatishli aloqa konfidentsialligi + + + + + + 5. Ulash o`rnatishsiz aloqa konfidentsialligi + + + + + 6. Ixtiyriy tanlangan maydonlar konfidentsialligi + + 7. Ma`lumotlar oqimi konfidentsialligi + + + 8. Tiklanishli ulanish butunligi + + 9. Tiklanishsiz ulanish butunligi + + + 10. Ulanishning ajratilgan maydoni butunligi + 44 11. Ulash o`rnatishsiz bog`lanish butunligi + + + 12. Ulanishsiz ajratilgan maydon butunligi + 13 Manba`ni tasdiqlab rad etishlardan ximoya + 14. etkazib berishni tasdiqlab rad etishlardan ximoya + Xavfsizlikni ta`minlashni xizmatlari va mexanizmlarini o`zaro bog`liqligi T/ R T/R Mexanizm Xizmat Shifrlas h Raqaml i imzo Kirish yo`li nazorati Ma`lumot- lar butunligi Almashuv autentif- ikatsiyasi Marshrutizat siyani boshqarish Arbitraj (muxokama) 1. Birpog`onali ob`ektlar autentifikatsiyasi + + + 2. Ma`lumotlar manba`i autentifikatsiyasi + + 3. Kirish yo`li nazorati + 4. Ulash o`rnatishli aloqa konfidentsialligi + + 5. Ulash o`rnatishsiz aloqa konfidentsialligi + + 6. Ixtiyriy tanlangan maydonlar konfidentsialligi + 7. Ma`lumotlar oqimi konfidentsialligi + + + 45 8. Tiklanishli ulanish butunligi + + 9. Tiklanishsiz ulanish butunligi + + 10. Ulanishning ajratilgan maydoni butunligi + + 11. Ulash o`rnatishsiz bog`lanish butunligi + + + 12. Ulanishsiz ajratilgan maydon butunligi + + + 13 Manba`ni tasdiqlab rad etishlardan ximoya + + + 14. etkazib berishni tasdiqlab rad etishlardan ximoya + + + 46 2.2. Axborot xavfsizligini dasturiy - texnikaviy vositalarining tuzilishi Ximoya qilishning tashkiliy – dasturiy vositalari texnik usullarga tegishli bo`ladi. Bunday usullar va vositalar etarlicha katta miqdordadir. Bular tasodifiy xavflardan an`anaviy josuslik va qo`poruvchilik, elektromagnit nurlanishlardan va yo`naltirishlardan KT lari tuzilmalarini ruxsat etilmagan o`zgartirishlardan, ruxsat etilmagan murojaat qilishdan axborotni ximoya qilish, kriptografik usullar, komp`yuter viruslari va ular bilan kurashish mexanizmlari va boshqalar. Tasodifiy xavflardan axborotni ximoya qilishga axborotlarni dubllash, KT ishonchliligini oshirish, ishdan chiqishlariga mustaxkam KT larini yaratish, xalokatlardan va favqulodda xolatlardan keladigan talofatlarni kamaytirish, noto`g`ri amallarni blokirovkalash bilan erishiladi. An`anaviy josuslikdan va qo`poruvchilikdan axborotni ximoya qilishda KT laridan KT lari ishlatilmaydigan boshqa ob`ektlarni ximoya qilish uchun ishlatiladigan vosita va usullar qo`llaniladi. Bu tizimning vazifalariga ob`ektni qo`riqlash tizimini yaratish, KT ob`ektlarida maxfiy axborot resurslari bilan ishlashni tashkil etish, kuzatishga va bildirmasdan eshitib olishga xamda xodimlarning yomon niyatli xarakatlarga qarshi kurashishi kiradi. Zararli elektromagnit nurlanishdan va yo`naltirishlardan ximoya qilish xam faol xam passiv usullar bilan amalga oshiriladi. Ximoya qilishning faol usullari, yomon niyatli odam tomonidan ushlab olingan xabarlardan foydali axborotlarni qabul qilish va ajratib olishni murakkablashtiradigan, zararli elektromagnit nurlanishlar va yo`naltirilishlar kanallarida xalaqitlarni yaratishga qaratilgandir. Passiv usullar xavfli xabarni darajasining kamayishini yoki xabarlarning axborotlanganligini pasayishini ta`minlaydilar. KT larini tuzilmasini ruxsat etilmagan o`zgartirishlardan ximoya qilish usul va uslublari KT larini ishlab chiqish va ishlatish bosqichlarida algoritmik, dasturli 47 va texnik tuzilmalarni ximoya qilish uchun mo`ljalangan. 2.2-rasmda axborot qurilmasini dasturiy texnikaviy vositalari keltirilgan. 48 2.2-rasm. Axborot qurilmasini dasturiy texnikaviy vositalari Axborot qurilmasini dasturiy texnikaviy vositalari Ichki vosita Dasturiy vositalari Operatsion tizim vositalari Ma`lumotlar bazasini boshqarish tizimi vositalari Ilova vositalari Texnikaviy vositalar Kabel` tarmog`ining tuzilishi Aktiv tarmoq va telekommunikatsi ya qurilmalari Qo`shimcha vositalar Tarmoqlararo ekran Ximoyalangan virtual tarmoqni yaratish vositalari Kirishni boshqarish va autentifikatsiya vositalari Ruxsatsiz kirishni aniqlash va oldini olish vositalari Ximoyalanishni taxlil vositalari Virusga qrshi ximoya vositalari Elektron pochta va WEB trafiklarni taxlil qilish vositalari Kriptografik vositalar Ochiq kalitlar infratuzilmasini yaratish vositalari Xavfsizlikni boshqarish vositalari 49 2.3. Tarmoqlar oralig’i ekranlari Bugun ko`pgina kompaniyalar internetga lokal tarmoqqa ruxsat etilmagan murojaat qilishga to`sqinlik qiladigan maxsus dastur ta`minoti bilan ta`minlangan komp`yuterlar – brandmauerlar ( tarmoqlararo ekranlar yoki fire Wall) orqali ulanmoqdalar. Lokal tarmoqda brandmauerli o`rnatilishning asosiy sababi uning har doim chaqirilmagan maexmonlardan himoya qilinishidir. Yomon niyatli odam tomonidan olingan axborot korxonaning raqobatbardoshligini va uning klientlarini ishonchini jiddiy buzib qo`yishi mumkin. Ichki tarmoqlar uchun eng extimolli xavflarni bartaraf etish bo`yicha bir qator masalalarni brandmauerlar hal qilish qobiliyatiga egadirlar. Komp`yuter muxitidan tashqarida yonmaydigan materiallardan va yong`inni tarqalishiga to`sqinlik qiladigan devorni brandmauer (yoki fire Wall) deb ataladi. Komp`yuter tarmog`i muxitida tarmoqlararo ekran figurali yong`indan yomon niyatli odamlarni ichki tarmoqqa, axborotni nusxalash, o`zgartirish yoki o`chirish uchun yoki bu tarmoqda ishlayotgan komp`yuterlar xotirasidan yoki hisoblash quvvatidan foydalanish uchun kirib olishga intilishi tushuniladi (2.3-rasm) . Internet Tarmoqlararo ekran 50 Tashkilotning ichki tarmog`i Tarmoqlararo ekranning bosh tuguni Tarmoqlararo ekranning oxirgi tuguni Tashkilotning ichki tarmog`i oxirgi tuguni Ички тармоқ Тармоқ экрани Foydalanuvchi Tarmoq ekrani Ichki tarmoq 51 2.3-rasm. Tarmoqlararo ekranni o`rnatish chizmasi Tarmoqlararo ekran (TE) – tarmoqlararo himoya qilish tizimi bo`lib, u umumiy tarmoqni ikki va undan ortiq qismlarga ajratishga va ma`lumotlar paketlarini chegara orqali umumiy tarmoqning bir qismidan boshqa qismiga o`tish shartlarini aniqlaydigan qoidalar to`plamini amalga oshirishga imkon yaratadi. Qoidaga ko`ra, bu chegara korxonaning korporativ (lokal ) tarmog`i va Internet global tarmog`i o`rtasida o`tkaziladi, biroq uni korxonaning korporativ tarmog`i ichida ham o`tkazish mumkin. TE o`zi orqali har bir o`tayotgan paket uchun qarorni, uni o`tkazish kerakmi yoki tashlab yuborish kerakmi, qabul qilgan holda butun trafikni o`tkazadi. TE buni amalga oshira olish uchun u fil`trlashning qoidalar to`plamini aniqlab olishi kerak. Tarmoqlararo ekranlarning asosiy tashkil etuvchilari. Tarmoqlararo ekranlarning ko`pchilik tashkil etuvchilarini quyidagi uchta toifadan bittasiga kiritish mumkin: - fil`trlovchi marshrutizatorlar; - tarmoq darajasidagi shlyuzlar; - amaliy darajadagi shlyuzlar. Fil`trlovchi marshrutizator marshrutizator yoki serverda ishlaydigan dastur ko`rinishiga ega bo`lib, u kiruvchi va chiquvchi paketlarni fil`trlaydigan qilib tayyorlangan bo`ladi. Paketlarni fil`trlash paketlarning TSR va IP sarlavxalarida mavjud bo`lgan axborot asosida amalga oshiriladi. Filtrlash aniq bir xost – komp`yuterlar bilan ishonchsiz yoki raqib deb xisoblangan tarmoqlarning va xost – komp`yuterlarning aniq adreslari aloqalarini bloklash uchun turli ko`rinishda amalga oshirish mumkin. Masalan, ichki tarmoq ba`zi bir tizimlardan tashqari barcha xost-komp`yuterlar bilan barcha ichki ulanishlarni bloklashi mumkin. Bu tizimlar uchun faqatgina ma`lum bir 52 servislargina ruxsat etilishi mumkin. (SMTP bitta tizim uchun, TELNET yoki FTP-boshqa tizim uchun) (2.4-rasm) SMTP trafik 2.4-rasm. SMTP va TELNET trafikni fil`trlash chizmasi Fil`trlovchi marshrutizatorlarning ijobiy sifatlariga quyidagilarni kiritish mumkin: - nisbatan yuqori bo`lmagan narxi; - fil`trlash qoidalarini aniqlashdagi moslashuvchanlik; - paketlarni o`tishida unchalik katta bo`lmagan ushlanib qolishlar. Fil`trlovchi marshrutizatorlarning kamchiliklari quyidagilar: - ichki tarmoq Internet tarmog`idan ko`rinib turadi (marshrutlanadi); Internet Fil`trlovchi marshrutizator 53 - paketlarni fil`trlash qoidalarini yozib chiqish qiyin. Buning uchun TSR va IP texnologiyalarini juda yaxshi bilish talab etiladi; - paketlarni fil`trlashda tarmoqlararo ekranni ishlash qobiliyati buzilganda barcha komp`yuterlar undan keyin, to`liq himoya qilinmagan yoki murojaat qilib bo`lmaydigan bo`lib qoladi; - xujum qiladigan tizim IP adresini ishlatib o`zini boshqa tizim kabi ko`rsatadi. Tarmoq darajasidagi shlyuzni ba`zida tarmoq adreslarini namoyish qilish tizimi yoki OSI modelining seansli darajasi shlyuzi deb ataladi. Bunday shlyuz mualliflashtirilgan klient va tashqi xost- komp`yuter o`rtasidagi to`g`ridan - to`g`ri o`zaro ta`sirni inkor etadi. Tarmoq darajadagi shlyuz ishongan klientni aniq bir xizmatlarga so`rovini qabul qiladi va so`roqlangan seansni mumkin ekanligini tekshirgandan keyin tashqi xost-komp`yuter bilan ulanishni o`rnatadi. Paketlarni nusxalash va qayta yo`naltirish uchun tarmoq xizmatchilari deb ataladigan maxsus ilovalar qo`llaniladi, chunki ular ikki tarmoq o`rtasida virtual zanjir yoki kanalni o`rnatadilar. Keyin esa TCP/IP ilovalari bilan xosil qilinayotgan paketlarga bu kanal bo`yicha o`tishga ruxsat beradi. Aslida esa tarmoq darajasidagi ko`pchilik shlyuzlar mustaqil maxsulotlar hisoblanmaydi, balki amaliy darajadagi shlyuzlar bilan birgalikda etkazib beriladi. Amaliy darajadagi shlyuz. Fil`trlovchi marshrutizatorlarga xos bo`lgan bir qator kamchiliklarni bartaraf etish uchun tarmoqlararo ekranlar TELNET va FTP turidagi qo`shimcha dastur vositalarini ishlatishi kerak. Bunday dastur vositalari vakolatli server (server- xizmatchilar), ular bajariladigan xost- komp`yuterlar esa amaliy darajadagi shlyuz deb ataladi. Amaliy darajadagi shlyuzlar amaliy trafik bevosita ichki xost – komp`yuterlarga o`tkazib yuboriladigan oddiy rejimga nisbatan bir qator jiddiy afzalliklarga ega: 54 - internet global tarmog`idan himoya qilinayotgan tarmoq tuzilmasining ko`rinmasligi; - ishonchli qayd qilinishi; - narx va samaradorlik o`rtasidagi optimal nisbati; - fil`trlashning oddiy qoidalari; - ko`p sonli tekshiruvlarni tashkil etish imkoniyati. Amaliy darajadagi shlyuzlarning kamchiliklariga quyidagilar tegishlidir: - fil`trlovchi marshrutizatorlarga nisbatan birmuncha past unumdorligi; - fil`trlovchi marshrutizatorlarga nisbatan birmuncha yuqori narxdaligi. Download 1.5 Mb. Do'stlaringiz bilan baham: 
|