1-savol Kiberxavfsizlikning asosiy tushunchalari
Ximoyalangan virual tarmok (VPN) ximoya mexanizmi
Yüklə 138,67 Kb.
|
- Bu səhifədəki naviqasiya:
- Tarmoq xavfsizligini ta’minlovchi vositalar
- Simsiz tarmoq xavfsizligi
- Risklarni boshqarish
|
Ximoyalangan virual tarmok (VPN) ximoya mexanizmi
Agar tashkilotlar yagona binoda joylashgan yoki yaqin binolarda joylashgan bo’lsa, u xolda ular uchun korporativ tarmokni qurishi qiyinchilik tug’dirmaydi. Ammo, georgafik jixatdan biri - biridan uzoqda joylashgan tashkilot ofislari orasida yagona korporativ tarmokni hosil qilish murakkab vazifa. Ochiq tarmok orqali ximoyalangan tarmokni qurish va biznes harakatlarini amalga oshirish uchun dastlabki qadamlar 1990 yillarda qo’yila boshlandi va bu konsepsiya ximoyalangan virtual tarmok - VPN (Virtual Private Network) deb atala boshlandi. VPNni qurishda juda oddiy g’oya yotadi. Internet tarmog’ida malumot almashinish uchun ikkita uzel mavjud bo’lgan ekan, bu ikki uzel orasida axborotni konfidensiyalligini va butunligini ta’minovchi virtual tarmok qurish kerak. Bu ximoyalangan tarmokdan ixtiyoriy passiv va aktiv xujum hamda ham malumotni olish imkoniyati bo’lmasin. Bu qurilgan ximoyalangan kanalni tunel ham deb atash mumkin. VPN tarmok orqali bosh ofis va uning masofadagi filiallari orasida ishonchli ravishda axborotni uzatish mumkin (13.7 - rasm). 15.7 - rasm. Virtual ximoyalangan tarmok VPN tunel ochiq kanal yordamida bog’lanishni amalga oshirib, virtual tarmok orqali kriptografik ximoyalangan xabarlar paketini uzatadi. VPN tunel orqali uzatilgan axborot ximoyasi quyidagilarga asoslanadi: tomonlarni autentifikasiyalashga; yuboriladigan axborotlarni kriptografik yashirish (shifrlash); etkazilgan axborotni butunligini va to’g’riligini tekshirish. Virtual tunelni yaratishda mavjud bo’lgan paket shifrlangan xolda yangi hosil qilingan mantiqiy paket ichiga kiritiladi. Bundan shunday xulosa kelib chiqadiki, VPN shifrlanuvi paket qismi tegishli bo’lgan tarmok sathidan past bo’lishi yoki o’ziga teng bo’lishi shart. Odatda mavjud bo’lgan IP - paket to’liq shifrlanib, unga yangi IP sarlavha beriladi (15.8 - rasm). 15.8 - rasm. Tunellash uchun tayorlangan paketga misol VPN apparat-dasturiy qurilmasi VPN - mijoz, VPN - server va VPN - shlyuz sifatida faoliyat yuritishi mumkin. VPN shlyuz hamda ximoyalangan kanalni qurishda ikkita tomonda ham shlyuz bo’lishi talab etiladi. Bunda lokal tarmokdan chiquvchi paketga yangi sarlavha beriladi. Eski sarlavha esa shifrlangan xolda bo’ladi. Ochiq tarmok orqali uzatilganda, qabul qiluvchi shlyuz qabul qilingan paketdan yangi sarlavhani olib tashlaydi va lokal tarmok ichida eski sarlavha hamda paketlarni uzatadi (15.9 - rasm). 15.9 - rasm. Virtual ximoyalangan tunel sxemasi Virtual tarmoklarni qurish asosan ikkita sxemaga asoslanadi: lokal tarmoklar orasida qurilgan virtual lokal tarmok; lokal tarmok va uzel orasida qurilgan virtual lokal tarmok. VPN texnologiyalar quyidagi belgilariga ko’ra klassifikasiyalanadi: OSI modelining “ishchi sathlari”ga ko’ra: kanal sathidagi VPN (L2F, L2TP va PPTP protakoli yordamida); tarmok sathidagi VPN (IPSec protakoli); seans sathidagi VPN (TLS protakoli). VPNning texnik echim arxitekturasiga ko’ra: korporativ ichidagi VPN; masofadan foydaloniluvchi VPN; korporativlararo VPN. VPN ning texnik amalga oshirilishiga ko’ra: marshrutizator ko’rinishida; tarmoklararo ekran ko’rinishida; dasturiy ko’rinishda; maxsus shifrlash prosessoriga ega apparat vosita. VPN tarmoklarni axborot tizimlarida axborot xavfsizligini ta’minlashda foydalonishning afzalliklari quyidagilar: barcha korporativ tarmokni ximoyalash imkoniyati - yirik lokal tarmok ofislaridan tortib alohida ishchi joylarigacha; masshtablashgan ximoya tizimi, ya’ni, alohida foydalonuvchi uchun dasturiy ko’rinishda, lokal tarmok uchun server ko’rinishda va korporativ tarmok uchun shlyuz ko’rinishda amalga oshirish imkoniyati; ochiq tarmok yordamida ximoyalangan tarmokni qurish imkoniyati; tarmok ishini nazorat ositida olish va barcha axborot manbalarini identifikasiyalash. VPN texnologiya tarmoklararo uzatilayotgan axborotni ximoyalashda muhim sanalib, yaqin kelajakda barcha tashkilotlar bu texnologiyadan to’liq foydalona boshlaydi. 15. Tarmoq xavfsizligini ta’minlovchi vositalar: tarmoqlararo ekranlash, virtual xususiy tarmoqlar, suqilib kirishlarni aniqlash tizimlari (Intrusion Detection System, IDS), ma’lumotlarning sirqib chiqishini oldini olish tizimlari (Data Leakage Prevention, DLP), yolg’on nishonlar yoki tuzoqlar (honeypot). tarmoqlarining xavfsizligi tarmoq va unga mavjud resurslarga ruxsatsiz kirish, noto'g'ri foydalanish, o'zgartirish yoki uzib qo'yishning oldini olish va nazorat qilish uchun qabul qilingan siyosat va amaliyotlar orqali ta'minlanadi. U tarmoq ma'muri tomonidan boshqariladigan ma'lumotlarga kirish avtorizatsiyasini o'z ichiga oladi. Foydalanuvchilar o'z vakolatlari doirasida ma'lumotlar va dasturlarga kirish imkonini beruvchi ID va parol yoki boshqa autentifikatsiya ma'lumotlarini tanlaydilar yoki tayinlaydilar. Tarmoq xavfsizligi kundalik ishlarda foydalaniladigan, korxonalar, davlat idoralari va jismoniy shaxslar o'rtasida tranzaktsiyalar va aloqalarni amalga oshiradigan ko'plab davlat va xususiy kompyuter tarmoqlarini o'z ichiga oladi. Tarmoqlar shaxsiy (masalan, kompaniya ichida) yoki boshqa (omma uchun ochiq bo'lishi mumkin) bo'lishi mumkin. Zaiflik dizayn, amalga oshirish, ishlash yoki ichki nazoratdagi zaiflikdir. Topilgan zaifliklarning aksariyati Common Vulnerabilities and Exposures (CVE) ma'lumotlar bazasida hujjatlashtirilgan. Tarmoqlarga turli manbalardan hujum qilish mumkin. Ular ikkita toifaga bo'linishi mumkin: "Passiv", buzg'unchi tarmoq orqali o'tayotgan ma'lumotlarni to'xtatganda va "Faol", bunda tajovuzkor tarmoqning normal ishlashini buzish yoki unga kirish uchun monitoring o'tkazish uchun buyruqlarni boshlaydi. ma'lumotlar. Kompyuter tarmoqlarida axborot xavfsizligi foydalanuvchi nomi va parolni kiritish bilan bog'liq autentifikatsiyadan boshlanadi. Bu turdagi bir omil. Ikki faktorli autentifikatsiya bilan qo'shimcha parametr qo'shimcha ravishda (xavfsizlik belgisi yoki "kalit", bankomat kartasi yoki mobil telefon) ishlatiladi, uch faktorli autentifikatsiya bilan noyob foydalanuvchi elementi (barmoq izi yoki retinal skaner) ham qo'llaniladi. Autentifikatsiya qilingandan so'ng, xavfsizlik devori kirish siyosatini qo'llaydi.Ushbu kompyuter tarmog'i xavfsizligi xizmati ruxsatsiz kirishning oldini olishda samarali, ammo bu komponent kompyuter qurtlari yoki tarmoq orqali uzatiladigan troyanlar kabi potentsial xavfli tarkibni skanerlashda muvaffaqiyatsiz bo'lishi mumkin. Antivirus dasturi yoki hujumni oldini olish tizimi (IPS) bunday zararli dasturlarni aniqlash va blokirovka qilishga yordam beradi. 16. Simsiz tarmoq xavfsizligi: simsiz tarmoq turlari, simsiz tarmoqlardagi mavjud zaifliklar, nazoratlanmaydigan xudud, ruxsatsiz suqilib kirish, yashirincha eshitish, xizmat ko’rsatishdan voz kechishga undash, o’rtada turgan odam hujumi, tarmoqdan foydalanishning yolg’on nuqtalari (zararli egizak hujumi), Rouming muammosi, tarmoq orqali uzatiluvchi ma’lumotni shifrlash. Har xil kompyuterlar va tudasturlar tarmoq aloqasi jarayonida bir- birlarini tushunish uchun maxsus texnik qoidalar qo`llaniladi. Tarmoq sohasida bunday qoidalar to`plami protokol (bayonnrli oma) deb ataladi.TLS (Transport Layer Security) ning protokol konfiguratsiyasi o‘zaro xavfsiz harakatlanishga mo‘ljallangan. U shifrlash programmalarini, sertifikatlar formatini, raqamli imzo algoritmini va aloqa seansi jurnalidan foydalanishni o‘z ichiga oladi. Konfiguratsiya yana transport darajasida qayta qabul qilish – uzatishdan aloqani himoyalash uchun TLS ni tunnellash uslubini ham aniqlaydi. TLS spetsifikatsiyasi tarmoq sathida konfidensiallik va yaxlitlik vositalarining to‘liq to‘plamini tavsiflangan holda, mubolag`asiz fundamental ahamiyatga ega. TLS asosida yuqoriroq sath (tatbiqiy sathga qadar) protokollarini himoyalash mexanizmi hamda xavfsizlikning tugallangan vositalari, xususan virtual xususiy tarmoqlar quriladi. Albatta TLS kriptografik mexanizmlariga va kalit infratuzilmalariga tayanadi. TLS spetsifikatsiyasi turli vazifalarni bajaruvchi ko‘pgina dasturiy maxsulotlarda ishlatiluvchi ommaviy Secure Socket Layer (SSL) protokolini rivojlantiradi va oydinlashtiradi.Tunnelning initsiatori va terminatori orasida uzatiluvchi axborotni shifrlash transport sathi TLS(Transport Layer Security) yordamida amalga oshiriladi. Tarmoqlararo ekran orqali autentifikatsiyalangan o‘tishni standartlash uchun SOCKS deb ataluvchi protokol aniqlangan va hozirda SOCKS protokolining 5-versiyasi kanal vositachilarini standart amalga oshirilishida ishlatiladi. 1999 - yili SSL 3.0 versiyasi o‘rniga, SSL protokoliga asoslangan va hozirda Internet standarti hisoblangan TLS protokoli keldi. SSL 3.0 va TLS protokollari orasidagi farq juda ham jiddiy emas. SSL va TLS protokollarining kamchiligi - o‘zlarining xabarlarini tashishda tarmoq sathidagi faqat bitta — IP-protokolidan foydalanishlari va faqat IP-tarmoqlarda ishlay olishlari. Undan tashqari, SSL/TLSning amalda qo‘llanishi tatbiqiy protokollar uchun to‘la shaffof emas. SSLning yana bir salbiy tomoni shunday iboratki, agar mijoz va server ulanishni uzsalar, ular uni ma’lumotlarning minimal hajmini almashish yo‘li bilan tiklashlari va Session ID ning eski parametrlaridan foydalanishlari mumkin. G`araz niyatli shaxs oldingi sessiyalardan birini obro‘sizlantirib uni tiklash muolajasini server bilan o‘tkazishi mumkin. Natijada bu sessiyada uzatiladigan keyingi barcha ma’lumotlar obro‘sizlantiriladi. Undan tashqari, SSLda autentifikatsiyalashda va shirflashda bir xil kalitdan foydalaniladi. Bu esa ma’lum bir holatlarda zaiflikka olib kelishi mumkin. Bunday yechim turli kalitlar ishlatilganiga nisbatan ko‘p statistik ma’lumotlarni yig`ishga imkon beradi. 17. Risklarni boshqarish: risk, risk darajasi, risk chastotasi, risk matrisasi, risklarni boshqarish, muhim risk ko’rsatkichlari, risklarni boshqarish bosqichlari, tashkilotda risklarni boshqarishning freymvorki, risklarni boshqarishning axborot tizimlari (Risk Management Information Systems, RMIS). Yüklə 138,67 Kb. Dostları ilə paylaş:
|