Toshkent axborot texnologiyalari universiteti nukus filiali kompyuter injiniringi fakulteti
Download 1.5 Mb. Pdf ko'rish
|
malumotlar uzatishda qollaniladigan tarmoqlararo ekran tahlili
- Bu sahifa navigatsiya:
- 3. MA`LUMOT UZATISHDA QO`LLANILADIGAN TARMOQLARARO EKRAN TAXLILI 3.1. Tarmoqlararo ekranlarning ishlash xususiyatlari
- Trafiklarni fil`trlash .
- Fil`tr 1 Fil`tr N Tarmoqlararo ekran
- Vositachilik funktsiyalarining bajarilishi.
|
XULOSA Ikkinchi bo`limda quyidagi masalalar ko`rib o`tilgan: - o`zaro ochiq tizimlarning etalon modelini xavfsizlik arxitekturasi, axborot xavfsizligining xizmatlari va mexanizmlari; - axborot xavfsizligining dasturiy texnikaviy vositalarining tuzilishi; - tarmoqlar oraligi ekranlari va o`rnatish chizmasi, tarmoqlararo ekranlarning asosiy tashkil etuvchilari keltirilgan. 55 3. MA`LUMOT UZATISHDA QO`LLANILADIGAN TARMOQLARARO EKRAN TAXLILI 3.1. Tarmoqlararo ekranlarning ishlash xususiyatlari Tarmoqlararo ekran (TE) - brandmauer yoki firewall sistemasi deb xam ataluvchi tarmoqlararo ximoyaning ixtisoslashtirilgan kompleksi. Tarmoqlararo ekran umumiy tarmoqni ikki yoki undan ko`p qismlarga ajratish va ma`lumot paketlarini chegara orqali umumiy tarmoqning bir qismidan ikkinchisiga o`tish shartlarini belgilovchi qoidalar tӯplamini amalga oshirish imkonini beradi. Odatda, bu chegara korxonaning korporativ (lokal) tarmog`i va Internet global tarmoq orasida o`tkaziladi. Tarmoqlararo ekranlar garchi korxona lokal tarmog`i ulangan korporativ intratarmog`idan qilinuvchi xujumlardan ximoyalashda ishlatilishlari mumkin bo`lsada, odatda ular korxona ichki tarmog`ini Internet global tarmoqdan suqilib kirishdan ximoyalaydi. Aksariyat tijorat tashkilotlari uchun tarmoqlararo ekranlarning o`rnatilishi ichki tarmoq xavfsizligini ta`minlashning zaruriy sharti xisoblanadi. Ruxsat etilmagan tarmoqlararo foydalanishga qarshi ta`sir ko`rsatish uchun tarmoqlararo ekran ichki tarmoq xisoblanuvchi tashkilotning ximoyalanuvchi tarmog`i va tashqi g`anim tarmoq orasida joylanishi lozim (3.1-rasm). Bunda bu tarmoqlar orasidagi barcha aloqa faqat tarmoqlararo ekran orqali amalga oshirilishi lozim. Tashkiliy nuqtai nazaridan tarmoqlararo ekran ximoyalanuvchi tarmoq tarkibiga kiradi. Ichki tarmoqning ko`pgina uzellarini birdaniga ximoyalovchi tarmoqlararo ekran quyidagi ikkita vazifani bajarishi kerak: - tashqi (ximoyalanuvchi tarmoqqa nisbatan) foydalanuvchilarning korporativ tarmoqning ichki resurslaridan foydalanishini chegaralash. Bunday 56 foydalanuvchilar qatoriga tarmoqlararo ekran ximoyalovchi ma`lumotlar bazasining serveridan foydalanishga urinuvchi sheriklar, masofadagi foydalanuvchilar, xakerlar, xatto kompaniyaning xodimlari kiritilishi mumkin; - ximoyalanuvchi tarmoqdan foydalanuvchilarning tashqi resurslardan foydalanishlarini chegaralash. Bu masalaning echilishi, masalan, serverdan xizmat vazifalari talab etmaydigan foydalanishni tartibga solishga imkon beradi. Xozirda ishlab chiqarilayotgan tarmoqlararoekranlarning tavsiflariga asoslangan xolda, ularni quyidagi asosiy alomatlari bo`yicha turkumlash mumkin: OSI modeli satxlarida ishlashi bo`yicha: - paketli fil`tr (ekranlovchi marshrutizator – screening router); - seans satxi shlyuzi (ekranlovchi transport); - tatbiqiy shlyuz (application gateway); - ekspert satxi shlyuzi (stateful inspection firewall). Ishlatiladigan texnologiya bo`yicha: - protokol xolatini nazoratlash (Stateful inspection); - vositachilar modullari asosida (proxy); Serverlar Mijozlar Serverlar Mijozlar TE Ochiq tashqi tarmoq 3.1-rasm. Tarmoqlararo ekranni ulash sxemasi . Himoyalanadigan ichki tarmoq 57 Bajarilishi bo`yicha: - apparat-dasturiy; - dasturiy; Ulanish sxemasi bo`yicha; - tarmoqni umumiy ximoyalash sxemasi; - tarmoq segmentlari ximoyalanuvchi berk va tarmoq segmentlari ximoyalanmaydigan ochiq sxema; - tarmoqning berk va ochiq segmentlarini aloxida ximoyalovchi sxema. Trafiklarni fil`trlash. Axborot oqimlarini fil`trlash ularni ekran orqali, ba`zida qandaydir o`zgartirishlar bilan, o`tkazishdan iborat. Fil`trlash qabul qilingan xavfsizlik siyosatiga mos keluvchi, ekranga oldindan yuklangan qoidalar asosida amalga oshiriladi. Shu sababli tarmoqlararo ekranni axborot oqimlarini ishlovchi fil`trlar ketma-ketligi sifatida tasavvur etish qulay (3.2-rasm). Ochiq tashqi tarmoq Himoyalanadiga n ichki tarmoq 3.2-rasm. Tarmoqlararo ekran tuzilmasi. Fil`tr 1 Fil`tr N Tarmoqlararo ekran Qabul qiluvchi nomidan ishlash Ma`lumotlar oqimini blokirovka qilish Keyingi fil`trga uzatish O`tkazib yuborish Qo`shimcha harakatlar Qabul qiluvchi nomidan ishlash Ma`lumotlar oqimini blokirovka qilish Keyingi fil`trga uzatish O`tkazib yuborish Qo`shimcha harakatlar … 58 Fil`trlarning xar biri quyidagi xarakatlarni bajarish orqali fil`trlashning aloxida qoidalarini izoxlashga atalgan: 1. Axborotni izoxlanuvchi qoidalardagi berilgan mezonlar bo`yicha taxlillash, masalan, qabul qiluvchi va jo`natuvchi adreslari yoki ushbu axborot atalgan ilova xili bo`yicha. 2. Izoxlanuvchi qoidalar asosida quyidagi echimlardan birini qabul qilish: - ma`lumotlarni o`tkazmaslik; - ma`lumotlarni qabul qiluvchi nomidan ishlash va natijani jo`natuvchiga qaytarish; - taxlillashni davom ettirish uchun ma`lumotlarni keyingi fil`trga uzatish; - keyingi fil`trlarga e`tibor qilmay ma`lumotlarni uzatish. Fil`trlash qoidalari vositachilik funktsiyalariga oid qo`shimcha, masalan ma`lumotlarni o`zgartirish, xodisalarni qaydlash va x. kabi xarakatlarni xam berishi mumkin. Mos xolda, fil`trlash qoidalari quyidagilarning amalga oshirilishini ta`minlovchi shartlar ro`yxatini aniqlaydi: - ma`lumotlarni keyingi uzatishga ruxsat berish yoki ruxsat bermaslik; - ximoyalashning qo`shimcha funktsiyalarini bajarish. Axborot oqimini taxlillash mezoni sifatida quyidagi parametrlardan foydalanish mumkin: - tarkibida tarmoq adreslari, identifikatorlar, interfeyslar adresi, portlar nomeri va boshqa muxim ma`lumotlar bo`lgan xabar paketlarining xizmatchi xoshiyalari; - masalan, komp`yuter viruslari borligiga tekshiriluvchi xabar paketlarining bevosita tarkibi; 59 - axborot oqimining tashqi xarakteristikalari, masalan, vaqt va chastota xarakteristikalari ma`lumotlar xajmi va x. Ishlatiluvchi taxlillash mezonlari fil`trlashni amalga oshiruvchi OSI modelining satxlariga bog`liq. Umumiy xolda, paketni fil`trlashni amalga oshiruvchi OSI modelining satxi qanchalik yuqori bo`lsa, ta`minlanuvchi ximoyalash darajasi xam shunchalik yuqori bo`ladi. Vositachilik funktsiyalarining bajarilishi. Tarmoqlararo ekran vositachilik funktsiyalarini ekranlovchi agentlar yoki vositachi dasturlar deb ataluvchi maxsus dasturlar yordamida bajaradi. Bu dasturlar rezident dasturlar xisoblanadi va tashqi va ichki tarmoq orasida xabarlar paketini bevosita uzatishni taqiqlaydi. Tashqi tarmoqdan ichki tarmoqning va aksincha foydalanish zaruriyati tug`ilganda avval tarmoqlararo ekran komp`yuterida ishlovchi vositachi-dastur bilan mantiqiy ulanish o`rnatilishi lozim. Vositachi-dastur so`ralgan tarmoqlararo aloqaning joizligini tekshiradi va ijobiy natijada o`zi suralgan komp`yuter bilan aloxida ulanish o`rnatadi. So`ngra tashqi va ichki tarmoq komp`yuterlari orasida axborot almashish, xabarlar oqimini fil`trlashni xamda boshqa ximoyalash funktsiyalarini bajaruvchi dasturiy vositachi orqali amalga oshiriladi. Ta`kidlash lozimki, tarmoqlararo ekran fil`trlash funktsiyasini vositachi- dastur ishtirokisiz amalga oshirib, tashqi va ichki tarmoq orasida o`zaro aloqaning shaffofligini ta`minlashi mumkin. Shu bilan birga vositachi dasturlar xabarlar oqimini fil`trlashni amalga oshirmasligi xam mumkin. Umuman, vositachi-dasturlar, xabarlar oqimini shaffof uzatilishini blokirovka qilgan xolda, quyidagi funktsiyalarni bajarishi mumkin: - uzatiluvchi va qabul qilinuvchi ma`lumotlarning xaqiqiyligini tekshirish; - ichki tarmoq resurslaridan foydalanishni chegaralash; - tashqi tarmoq resurslaridan foydalanishni chegaralash; 60 - tashqi tarmoqdan so`raluvchi ma`lumotlarni keshlash; - xabarlar oqimini fil`trlash va o`zgartirish, masalan, viruslarni dinamik tarzda qidirish va axborotni shaffof shifrlash; - foydalanuvchilarni identifikatsiyalash va autentifikatsiyalash; - ichki tarmoq adreslarini translyatsiyalash; - xodisalarni qaydlash, xodisalarga reaktsiya ko`rsatish, xamda qaydlangan axborotni taxlillash va xisobotlarni generatsiyalash. Uzatiluvchi va qabul qilinuvchi ma`lumotlarning xaqiqiyligini tekshirish nafaqat elektron xabarlarni, balki soxtalashtirilishi mumkin bo`lgan migratsiyalanuvchi dasturlarni (Java, Active X Controls) autentifkatsiyalash uchun dolzarb xisoblanadi. Xabar va dasturlarning xaqiqiyligini tekshirish ularning raqamli imzosini tekshirishdan iboratdir. Ichki tarmoq resurslaridan foydalanishni chegaralash usullari operatsion tizim satxida madadlanuvchi chegaralash usullaridan farq qilmaydi. Tashqi tarmoq resurslaridan foydalanishni chegarlashda ko`pincha quyidagi yondashishlardan biri ishlatiladi: - faqat tashqi tarmoqdagi berilgan adres bo`yicha foydalanishga ruxsat berish; - yangilanuvchi nojoiz adreslar ruyxati bo`yicha surovlarni fil`trlash va o`rinsiz kalit so`zlari bo`yicha axborot resurslarini qidirishni blokirovka qilish: - ma`mur tomonidan tashqi tarmoqning qonuniy resurslarini brandmauerning diskli xotirasida to`plash va yangilash va tashqi tarmoqdan foydalanishni to`la taqiqlash. Tashqi tarmoqdan so`raluvchi ma`lumotlarni keshlash maxsus vositachilar yordamida madadlanadi. Ichki tarmoq foydalanuvchilari tashqi tarmoq 61 resurslaridan foydalanganlarida barcha axborot, proxy-server deb ataluvchi brandmauer qattiq diski makonida to`planadi. Shu sababli, agar navbatdagi so`rovda kerakli axborot proxy-serverda bo`lsa, vositachi uni tashqi tarmoqqa murojaatsiz taqdim etadi. Bu foydalanishni jiddiy tezlashtiradi. Ma`murga faqat proxy-server tarkibini vaqti-vaqti bilan yangilab turish vazifasi qoladi. Keshlash funktsiyasi tashqi tarmoq resurslaridan foydalanishni chegaralashda muvaffaqiyatli ishlatilishi mumkin. Bu xolda tashqi tarmoqning barcha qonuniy resurslari ma`mur tomonidan proxy-serverda to`planadi va yangilanadi. Ichki tarmoq foydalanuvchilariga faqat proxy-serverning axborot resurslaridan foydalanishga ruxsat beriladi, tashqi tarmoq resurslaridan bevosita foydalanish esa mann qilinadi. Xabarlar oqimini fil`trlash va o`zgartirish vositachi tomonidan qoidalarning berilgan t¢plami yordamida bajariladi. Bunda vositachi-dasturlarning ikki xili farqlanadi: - servis turini aniqlash uchun xabarlar oqimini taxlillashga mo`ljallangan ekranlovchi agentlar, masalan, FTP, HTTP, Telnet; - barcha xabarlar oqimini ishlovchi universal ekranlovchi agentlar, masalan, komp`yuter viruslarini qidirib zararsizlantirishga yoki ma`lumotlarni shaffof shifrlashga mo`ljallangan agentlar. Dasturiy vositachi unga keluvchi ma`lumotlar paketini taxlillaydi va agar qandaydir ob`ekt berilgan mezonlarga mos kelmasa, vositachi uning keyingi siljishini blokirovka qiladi yoki mos o`zgarishini, masalan, oshkor qilingan komp`yuter viruslarni zararsizlantirishni bajaradi. Paketlar tarkibini taxlillashda ekranlovchi agentning o`tuvchi faylli arxivlarni avtomatik tarzda ocha olishi muxim xisoblanadi. Foydalanuvchilarni identifikatsiyalash va autentifikatsiyalash ba`zida oddiy identifikatorni (ism) va parolni taqdim etish bilan amalga oshiriladi (3.3-rasm). Ammo bu sxema xavfsizlik nuqtai nazaridan zaif xisoblanadi, chunki parolni 62 begona shaxs ushlab qolib ishlatishi mumkin. Internet tarmog`idagi ko`pgina mojarolar qisman an`anaviy ko`p marta ishlatiluvchi parollarning zaifligidan kelib chiqqan. Autentifikatsiyalashning ishonchliroq usuli – bir marta ishlatiluvchi parollardan foydalanishdir. Bir martali parollarni generatsiyalashda apparat va INTERNET Marshrutizator 3.3–rasm. Parol` bo`yicha foydalanuvchini autentifikatsiyalash sxemasi INTERNET Kommutator Foydalanuvchi nomi Parol` Kozim Isaev ******** Tarmoqlararo ekran www.security.u z Ishchi stantsiya Ishchi stantsiya Ishchi stantsiya Ishchi stantsiya 63 dasturiy vositalardan foydalaniladi. Apparat vositalari komp`yuterning slotiga o`rnatiluvchi qurilma bo`lib, uni ishga tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi tokeni axborotni generatsiyalaydi va bu axborotni xost an`anaviy parol o`rnida ishlatadi. Smart-karta yoki token xostning apparat va dasturiy ta`minoti bilan birga ishlashi sababli, generatsiyalanuvchi parol xar bir seans uchun noyob bo`ladi. Ishonchli organ, masalan kalitlarni taqsimlash markazi tomonidan beriluvchi raqamli sertifikatlarni ishlatish xam qulay va ishonchli. Ko`pgina vositachi dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining boshida autentifikatsiyalansin. Bundan keyin ma`mur belgilangan vaqt mobaynida undan qo`shimcha autentifikatsiyalanish talab etilmaydi. Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsiyalash dasturlari va qurilmalarini o`rnatishga munosib joy xisoblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari xar bir xostda ishlatilishi mumkin bo`lsada, ularning tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash choralaridan foydalanuvchi tarmoqlararo ekranlar bo`lmasa, Telnet yoki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning ichki tizimlariga to`g`ridan-to`g`ri o`tishi mumkin. Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan usullaridan biri – Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemalarini madadlaydi. Bu esa tarmoq xavfsizligi ma`muriga o`zining sharoitiga qarab eng maqbul sxemani tanlash imkonini beradi. 64 Ichki tarmoq adreslarini translyatsiyalash. Ko`pgina xujumlarni amalga oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo`ladi. Bu adreslarni xamda butun tarmoq topologiyasini berkitish uchun tarmoqlararo ekranlar eng muxim vazifani – ichki tarmoq adreslarini translyatsiyalashni bajaradi (3.4-rasm). INTERNET Marshrutizator 3.4–rasm. Tarmoq adreslarini translyatsiyalash INTERNET Kommutator Tarmoqlararo ekran 183.157.3.210 184.56.5.12 183.157.3.110 183.157.3.105 183.157.3.201 183.157.3.212 65 Bu funktsiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga nisbatan bajariladi. Bunday paketlar uchun jo`natuvchi komp`yuterlarning IP- adreslari bitta "ishonchli" IP adresga avtomatik tarzda o`zgartiriladi. Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqlararo ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so`ng adres bo`shaydi va uni korporativ tarmoqning boshqa uzeli ishlatishi mumkin. Statik usulda uzel adresi barcha chiquvchi paketlar uzatiladigan tarmoqlararo ekranning bitta adresiga doimo bog`lanadi. Tarmoqlararo ekranning IP-adresi tashqi tarmoqqa tushuvchi yagona faol IP-adresga aylanadi. Natijada, ichki tarmoqdan chiquvchi barcha paketlar tarmoqlararo ekrandan jo`natilgan bo`ladi. Bu avtorizatsiyalangan ichki tarmoq va xavfli bo`lishi mumkin bo`lgan tashqi tarmoq orasida to`g`ridan-to`g`ri aloqani istisno qiladi. Bunday yondashishda ichki tarmoq topologiyasi tashqi foydalanuvchilardan yashiringan, demak, ruxsatsiz foydalanish masalasi qiyinlashadi. Adreslarni translyatsiyalash tarmoq ichida tashqi tarmoq, masalan Internetdagi adreslash bilan kelishilmagan adreslashning xususiy tizimiga ega bo`lishiga imkon beradi. Bu ichki tarmoqning adres makonini kengaytirish va tashqi adres tanqisligi muammosini samarali echadi. Xodisalarni qaydlash, xodisalarga reaktsiya ko`rsatish, xamda qaydlangan axborotni taxlillash va xisobotlarni generatsiyalash tarmoqlararo ekranlarning muxim vazifalari xisoblanadi. Korporativ tarmoqni ximoyalash tizimining jiddiy elementi sifatida tarmoqlararo ekran barcha xarakatlarni ro`yxatga olish imkoniyatiga ega. Bunday xarakatlarga nafaqat tarmoq paketlarini o`tkazib yuborish yoki blokirovka qilish, balki xavfsizlik ma`muri tomonidan foydalanishni qoidasini o`zgartirish va x. xam taalluqli. Bunday ruyxatga olish zaruriyat tug`ilganda (xavfsizlik mojarosi paydo bo`lganida yoki sud instantsiyalariga yoki ichki tergov uchun dalillarni yig`ishda) yaratiluvchi jurnallarga murojaat etishga imkon beradi. 66 Shubxali xodisalar (alarm) xususidagi signallarni qaydlash tizimi to`g`ri sozlanganida tarmoqlararo ekran yoki tarmoq xujumga duchor bo`lganligi yoki zondlanganligi to`g`risidagi batafsil axborotni berishi mumkin. Tarmoqdan foydalanish va uning zondlanganligining isboti statistikasini yig`ish qator sabablarga ko`ra muximdir. Avvalo. tarmoqlararo ekranning zondlanishga va xujumlarga bardoshligini aniq bilish zarur va tarmoqlararo ekranni ximoyalash tadbirlarining adekvatligini aniqlash lozim. Undan tashqari, tarmoqdan foydalanish statistikasi tarmoq asbob-uskunalariga va dasturlariga talablarni ifodalash maqsadida xavf-xatarni tadqiqlash va taxlillashda dastlabki ma`lumotlar sifatida muxim xisoblanadi. Ko`pgina tarmoqlararo ekranlar statistikani qaydlovchi, yig`uvchi va taxlillovchi quvvatli tizimga ega. Mijoz va server adresi, foydalanuvchilar identifikatori, seans vaqtlari, ulanish vaqtlari, uzatilgan va qabul qilingan ma`lumotlar soni, ma`mur va foydalanuvchilar xarakatlari bo`yicha xisob olib borilishi mumkin. Xisob tizimlari statistikani taxlillashga imkon beradi va ma`murlarga batafsil xisobotlarni taqdim etadi. Tarmoqlararo ekranlar maxsus protokollardan foydalanib, ma`lum xodisalar to`g`risida real vaqt rejimida masofadan xabar berishni bajarishi mumkin. Ruxsatsiz xarakatlarni qilishga urinishlarni aniqlanishiga bo`ladigan majburiy reaktsiya sifatida ma`murning xabari, ya`ni ogoxlantiruvchi signallarni berish belgilanishi lozim. Xujum qilinganligi aniqlanganda ogoxlantiruvchi signallarni yuborishga qodir bo`lmagan tarmoqlararo ekranni tarmoklararo ximoyaning samarali vositasi deb bo`lmaydi. 3.2. Tarmoqlararo ekranlarning asosiy komponentlari Tarmoqlararo ekranlar tarmoqlararo aloqa xavfsizligini OSI modelining turli satxlarida madadlaydi. Bunda etalon modelning turli satxlarida bajariladigan 67 ximoya funktsiyalari bir-biridan jiddiy farqlanadi. Shu sababli, tarmoqlararo ekranlar kompleksini, xar biri OSI modelining aloxida satxiga mo`ljallangan, bo`linmaydigan ekranlar majmui ko`rinishida tasavvur etish mumkin. Ekranlar kompleksi ko`pincha etalon modelning tarmoq, seans, tatbiqiy satxlarida ishlaydi. Mos xolda, quyidagi bo`linmaydigan brandmauerlar farqlanadi (3.5-rasm). - ekranlovchi marshrutizator; - seans satxi shlyuzi (ekranlovchi transport); - tatbiqiy satx shlyuzi (ekranlovchi shlyuz). Tarmoqlarda ishlatiladigan protokollar (TCP/IP, SPX/IPX) OSI etalon modeliga batamom mos kelmaydi, shu sababli sanab o`tilgan ekranlar xili funktsiyalarini amalga oshirishda etalon modelining qo`shni satxlarini xam qamrab olishlari mumkin. Masalan, tatbiqiy ekran xabarlarning tashqi tarmoqqa uzatilishida ularni avtomatik tarzda shifrlashni, xamda qabul qilinuvchi kriptografik berkitilgan ma`lumotlarni avtomatik tarzda rasshifrovka qilishni amalga oshirishi mumkin. Bu xolda bunday ekran OSI modelining nafaqat tatbiqiy satxida, balki taqdimiy satxida xam ishlaydi. Tatbiqiy sath Taqdimiy sath Seans sathi Transport sathi Tarmoq sathi Kanal sathi Fizik sath Tatbiqiy sath Taqdimiy sath Seans sathi Transport sathi Tarmoq sathi Kanal sathi Fizik sath Tatbiqiy sath Seans sathi shlyuzi Ekranlaydigan marshrutizator 3.5-rasm. OSI modelining alohida sathlarida ishlaydigan tarmoqlararo ekranlar turi 68 Seans satxi shlyuzi ishlashida OSI modelining transport va tarmoq satxlarini qamrab oladi. Ekranlovchi marshrutizator xabarlar paketini taxlillashda ularning nafaqat tarmoq, balki transport satxi sarlavxalarini xam tekshiradi. Yuqorida keltirilgan tarmoqlararo ekranlarning xillari o`zining afzalliklari va kamchiliklariga ega. Ishlatiladigan brandmauerlarning ko`pchiligi yoki tatbiqiy shlyuzlar, yoki ekranlovchi marshrutizatorlar bo`lib, tarmoqlararo aloqaning to`liq xavfsizligini ta`minlamaydi. Ishonchli ximoyani esa faqat xar biri ekranlovchi marshrutizator, seans satxi shlyuzi, xamda tatbiqiy shlyuzni birlashtiruvchi tarmoqlararo ekranlarning kompleksi ta`minlaydi. Ekranlovchi marshrutizator (screening router) (paketli fil`tr (packet filter) deb xam ataladi) xabarlar paketini fil`trlashga atalgan va ichki va tashqi tarmoqlar orasida shaffof aloqani ta`minlaydi. U OSI modelining tarmoq satxida ishlaydi, ammo o`zining ayrim funktsiyalarini bajarishida etalon modelining transport satxini xam qamrab olishi mumkin. Ma`lumotlarni o`tkazish yoki brakka chiqarish xususidagi qaror fil`trlashning berilgan qoidalariga binoan xar bir paket uchun mustaqil qabul qilinadi. Qaror qabul qilishda tarmoq va transport satxlari paketlarining sarlavxalari taxlil etiladi (3.6-rasm). Xar bir paketning IP- va TCP/UDP – sarlavxalarining taxlillanuvchi xoshiyalari sifatida quyidagilar ishlatilishi mumkin: - jo`natuvchi adresi; 69 - qabul qiluvchi adresi; - paket xili; - paketni fragmentlash bayrog`i; - manba porti nomeri; - qabul qiluvchi port nomeri. Birinchi to`rtta parametr paketning IP-sarlavxasiga, keyingilari esa TCP- yoki UDP sarlavxasiga taalluqli. Jo`natuvchi va qabul qiluvchi adreslari IP- adreslar xisoblanadi. Bu adreslar paketlarni shakllantirishda to`ldiriladi va uni tarmoq bo`yicha uzatganda o`zgarmaydi. Paket xili xoshiyasida tarmoq satxiga mos keluvchi ICMP protokol kodi yoki taxlillanuvchi IP-paket taalluqli bo`lgan transport satxi protokolining (TCP yoki UDP) kodi bo`ladi. Paketni fragmentlash bayrog`i IP-paketlar fragmentlashining borligi yoki yo`qligini aniqlaydi. Agar taxlillanuvchi paket uchun fragmentlash bayrog`i o`rnatilgan bo`lsa, mazkur paket fragmentlangan IP-paketning qism paketi xisoblanadi. Ochiq tashqi Himoyalanadigan ichki tarmoq Ekranlaydigan marshrutizator Paketlarni IP- va TCP- (UDP-, ICMP) sarlavhalari bo`yicha fil`trlash 3.6-rasm. Paketli fil`trni ishlash sxemasi 70 Manba va qabul qiluvchi portlari nomerlari TCP yoki UDP drayver tomonidan xar bir jo`natiluvchi xabar paketlariga qo`shiladi va jo`natuvchi ilovasini, xamda ushbu paket atalgan ilovani bir ma`noda identifikatsiyalaydi. Portlar nomerlari bo`yicha fil`trlash imkoniyati uchun yuqori satx protokollariga port nomerlarini ajratish bo`yicha tarmoqda qabul qilingan kelishuvni bilish lozim. Xar bir paket ishlanishida ekranlovchi marshrutizator berilgan qoidalar jadvalini, paketning to`liq assotsiatsiyasiga mos keluvchi qoidani topgunicha, ketma-ket ko`rib chiqadi. Bu erda assotsiatsiya deganda berilgan paket sarlavxalarida ko`rsatilgan parametrlar majmui tushuniladi. Agar ekranlovchi marshrutizator jadvaldagi qoidalarning birortasiga ham mos kelmaydigan paketni olsa, u, xavfsizlik nuqtai nazaridan, uni braka chiqaradi. Paketli fil`trlar apparat va dasturiy amalga oshirilishi mumkin. Paketli fil`tr sifatida oddiy marshrutizator, xamda kiruvchi va chiquvchi paketlarni fil`trlashga moslashtirilgan, serverda ishlovchi dasturdan foydalanish mumkin. Zamonaviy marshrutizatorlar xar bir port bilan bir necha o`nlab qoidalarni bog`lashi va kirishda, ham chiqishda paketlarni fil`trlashi mumkin. Paketli fil`trlarning kamchiligi sifatida quyidagilarni ko`rsatish mumkin. Ular xavfsizlikning yuqori darajasini ta`minlamaydi, chunki faqat paket sarlavxalarini tekshiradilar va ko`pgina kerakli funktsiyalarni madadlamaydi. Bu funktsiyalarga, masalan, oxirgi uzellarni autentifikatsiyalash, xabarlar paketlarini kriptografik berkitish, xamda ularning yaxlitligini va xaqiqiyligini tekshirish kiradi. Paketli fil`trlar dastlabki adreslarni almashtirib qo`yish va xabarlar paketi tarkibini ruxsatsiz o`zgartirish kabi keng tarqalgan tarmoq xujumlariga zaif xisoblanadilar. Bu xil brandmauerlarni "aldash" qiyin emas - fil`trlashga ruxsat beruvchi qoidalarni qondiruvchi paket sarlavxalarini shakllantirish kifoya. Ammo, paketli fil`trlarning amalga oshirilishining soddaligi, yuqori unumdorligi, dasturiy ilovalar uchun shaffofligi va narxining pastligi, ularning 71 xamma erda tarqalishiga va tarmoq xavfsizligi tizimining majburiy elementi kabi ishlatilishiga imkon yaratdi. Seans satxi shlyuzi, (ekranlovchi transport deb xam yuritiladi) virtual ulanishlarni nazoratlashga va tashqi tarmoq bilan o`zaro aloqa qilishda IP- adreslarni translyatsiyalashga atalgan. U OSI modelining seans satxida ishlaydi va ishlashi jarayonida etalon modelning transport va tarmoq satxlarini xam qamrab oladi. Seans satxi shlyuzining ximoyalash funktsiyalari vositachilik funktsiyalariga taalluqli. Virtual ulanishlarning nazorati aloqani kvitirlashni kuzatishdan xamda o`rnatilgan virtual kanallar bo`yicha axborot uzatilishining nazoratlashdan iborat. Aloqani kvitirlashning nazoratida seans satxida shlyuz ichki tarmoq ishchi stantsiyasi va tashqi tarmoq komp`yuteri orasida virtual ulanishni kuzatib, so`ralayotgan aloqa seansining joizligini aniqlaydi. Bunday nazorat TCP protokolining seans satxi paketlarining sarlavxasidagi axborotga asoslanadi. Ammo TCP-sarlavxalarni taxlillashda paketli fil`tr faqat manba va qabul qiluvchi portlarining nomerini tekshirsa, ekranlovchi transport aloqani kvirtirlash jarayoniga taalluqli boshqa xoshiyalarni taxlillaydi. Aloqa seansiga so`rovning joizligini aniqlash uchun seans satxi shlyuzi quyidagi xarakatlarni bajaradi. Ishchi stantsiya (mijoz) tashqi tarmoq bilan bog`lanishni so`raganida, shlyuz bu so`rovni qabul qilib uning fil`trlashning bazaviy mezonlarni qanoatlantirishini, masalan server mijoz va u bilan assotsiatsiyalangan ismning IP-adresini aniqlay olishini tekshiradi. So`ngra shlyuz, mijoz ismidan xarakat qilib, tashqi tarmoq komp`yuteri bilan ulanishni o`rnatadi va TCP protokoli bo`yicha kvitirlash jarayonining bajarilishini kuzatadi. Bu muolaja SYN (Sinxronlash) va ACK (Tasdiqlash) bayroqlari orqali belgilanuvchi TCP-paketlarni almashishdan iborat (3.7-rasm). Tashqi tarmoq xosti Ichki tarmoq ishchi stantsiyasi SYN (1000) 72 SYN bayroq bilan belgilangan va tarkibida ixtiyoriy son, masalan 1000, bo`lgan TCP seansining birinchi paketi mijozning seans ochishga so`rovi xisoblanadi. Bu paketni olgan tashqi tarmoq komp`yuteri javob tariqasida ACK bayroq bilan belgilangan va tarkibida olingan paketdagidan bittaga katta (bizning xolda 1001) son bo`lgan paketni jo`natadi. Shu tariqa, mijozdan SYN paketi olinganligi tasdiqlanadi. So`ngra, teskari muolaja amalga oshiriladi: tashqi tarmoq komp`yuteri xam mijozga uzatiluvchi ma`lumotlar birinchi baytining tartib raqami bilan (masalan, 2000) SYN paketini jo`natadi, mijoz esa uni olganligini, tarkibida 2001 soni bo`lgan paketni uzatish orqali tasdiqlaydi. Shu bilan aloqani kvirtirlash jarayoni tugallanadi. Seans satxi shlyuzi (3.8-rasm) uchun so`ralgan seans joiz xisoblanadi, qachonki aloqani kvirtirlash jarayoni bajarilishida SYN va ACK bayroqlar, xamda TCP-paketlari sarlavxalaridagi sonlar o`zaro mantiqiy bog`langan bo`lsa. 73 Ichki tarmoqning ichki stantsiyasi va tashqi tarmoqning komp`yuteri TCP seansining avtorizatsiyalangan qatnashchilari ekanligi xamda ushbu seansning joizligi tasdiqlanganidan so`ng shlyuz ulanishni o`rnatadi. Bunda shlyuz ulanishlarining maxsus jadvaliga mos axborotni (jo`natuvchi va qabul qiluvchi adreslari, ulanish xolati, ketma-ketlik nomeri xususidagi axborot va x.) kiritadi. Shu ondan boshlab shlyuz paketlarni nusxalaydi va ikkala tomonga yo`naltirib, o`rnatilgan virtual kanal bo`yicha axborot uzatilishini nazorat qiladi. Ushbu nazorat jarayonida seans satxi shlyuzi paketlarni fil`trlamaydi. Ammo u uzatiluvchi axborot sonini nazorat qilishi va qandaydir chegaradan oshganida ulanishni uzishi mumkin. Bu esa, o`z navbatida, axborotning ruxsatsiz eksport qilinishiga to`siq bo`ladi. Virtual ulanishlar xususidagi qaydlash axborotining to`planishi xam mumkin. Seans satxi shlyuzlarida virtual ulanishlarni nazoratlashda kanal vositachilari (pipe proxy) deb yuritiluvchi maxsus dasturlardan foydalaniladi. Bu Ochiq tashqi Himoyalanadigan ichki tarmoq Seans sathi shlyuzi 3.8-rasm. Seans sathi shlyuzi ishlash sxemasi Kanal vositachilari Ichki adreslarni translyatsiyalash 74 vositachilar ichki va tashqi tarmoqlar orasida virtual kanallarni o`rnatadi, so`ngra TCP/IP ilovalari generatsiyalagan paketlarning ushbu kanal orqali uzatilishini nazoratlaydi. Kanal vositachilari TCP/IPning muayyan xizmatlariga mo`ljallangan. Shu sababli ishlashi muayyan ilovalarning vositachi-dasturlariga asoslangan tatbiqiy satx shlyuzlari imkoniyatlarini kengaytirishda seans satx shlyuzlaridan foydalanish mumkin. Seans satxi shlyuzi tashqi tarmoq bilan o`zaro aloqada tarmoq satxi ichki adreslarini (IP-adreslarini) translyatsiyalashni xam ta`minlaydi. Ichki adreslarni translyatsiyalash ichki tarmoqdan tashqi tarmoqqa jo`natiluvchi barcha paketlarga nisbatan bajariladi. Amalga oshirilishi nuqtai nazaridan seans satxi shlyuzi etarlicha oddiy va nisbatan ishonchli dastur xisoblanadi. U ekranlovchi marshrutizatorni virtual ulanishlarni nazoratlash va ichki IP-adreslarni translyatsiyalash funktsiyalari bilan to`ldiradi. Seans satxi shlyuzining kamchiliklari – ekranlovchi marshrutizatorlarning kamchiliklariga o`xshash. Ushbu texnologiyaning yana bir jiddiy kamchiligi ma`lumotlar xoshiyalari tarkibini nazoratlash mumkin emasligi. Natijada, niyati buzuq odamlarga zarar keltiruvchi dasturlarni ximoyalanuvchi tarmoqqa uzatish imkoniyati tug`iladi. Undan tashqari, TCP-sessiyasining (TCP hijacking) ushlab qolinishida niyati buzuq odam xujumlarini xatto ruxsat berilgan sessiya doirasida amalga oshirishi mumkin. Amalda aksariyat seans satx shlyuzlari mustaqil maxsulot bo`lmay, tatbiqiy satx shlyuzlari bilan komplektda taqdim etiladi. Tatbiqiy satx shlyuzi (ekranlovchi shlyuz deb xam yuritiladi) OSI modelining tatbiqiy satxida ishlab, taqdimiy satxni xam qamrab oladi va tarmoqlararo aloqaning eng ishonchli ximoyasini ta`minlaydi. Tatbiqiy satx shlyuzining ximoyalash funktsiyalari, seans satxi shlyuziga o`xshab, vositachilik 75 funktsiyalariga taalluqli. Ammo, tatbiqiy satx shlyuzi seans satxi shlyuziga qaraganda ximoyalashning ancha ko`p funktsiyalarini bajarishi mumkin: - brandmauer orqali ulanishni o`rnatishga urinishda foydalanuvchilarni identifikatsiyalash va autentifikatsiyalash; - shlyuz orqali uzatiluvchi axborotning xaqiqiyligini tekshirish; - ichki va tashqi tarmoq resurslaridan foydalanishni chegaralash; - axborotlar oqimini fil`trlash va o`zgartirish, masalan, viruslarni dinamik tarzda qidirish va axborotni shaffof shifrlash; - xodisalarni qaydlash, xodisalarga reaktsiya ko`rsatish, xamda qaydlangan axborotni taxlillash va xisobotlarni generatsiyalash; - tashqi tarmoqdan so`raluvchi ma`lumotlarni keshlash. Tatbiqiy satx shlyuzi funktsiyalari vositachilik funktsiyalariga taalluqli bo`lganligi sababli, bu shlyuz universal komp`yuter xisoblanadi va bu komp`yuterda xar bir xizmat ko`rsatiluvchi tatbiqiy protokol (HTTP, FTP, SMTP, NNTP va x.) uchun bittadan vositachi dastur (ekranlovchi agent) ishlatiladi. TCP/IPning xar bir xizmatining vositachi dasturi (application proxy) aynan shu xizmatga taalluqli xabarlarni ishlashga va ximoyalash funktsiyalarini bajarishga mo`ljallangan. Tatbiqiy satx shlyuzi mos ekranlovchi agentlar yordamida kiruvchi va chiquvchi paketlarni ushlab qoladi, axborotni nusxalaydi va qayta jo`natadi, ya`ni ichki va tashqi tarmoqlar orasidagi to`g`ridan-to`g`ri ulanishni istisno qilgan xolda, server-vositachi funktsiyasini bajaradi (3.9-rasm). 76 Tatbiqiy satx shlyuzi ishlatadigan vositachilar seans satxi shlyuzlarining kanal vositachilaridan jiddiy farqlanadi. Birinchidan, tatbiqiy satx shlyuzlari muayyan ilovalar (dasturiy serverlar) bilan bog`langan, ikkinchidan ular OSI modelining tatbiqiy satxida xabarlar oqimini fil`trlashlari mumkin. Tatbiqiy satx shlyuzlari vositachi sifatida mana shu maqsadlar uchun maxsus ishlab chiqilgan TCP/IPning muayyan xizmatlarining dasturiy serverlari – HTTP, FTP, SMTP, NNTP va x. – serverlaridan foydalanadi. Bu dasturiy serverlar brandmauerlarda rezident rejimida ishlaydi va TCP/IPning mos xizmatlariga taalluqli ximoyalash funktsiyalarini amalga oshiradi. UDP trafigiga UDP-paketlar tarkibining maxsus translyatori xizmat ko`rsatadi. Ochiq tashqi Himoyalanadigan ichki tarmoq 3.9-rasm. Tatbiqiy shlyuz ishlash sxemasi. Download 1.5 Mb. Do'stlaringiz bilan baham: 
|