12-Ma’ruza : Axborotni himoyalashda tarmoqlararo ekranlarning o’rni Reja

Yüklə 0,49 Mb.

səhifə	2/3
tarix	02.01.2022
ölçüsü	0,49 Mb.
	#44636

1 2 3

12-maruza

- xabarlar oqimini filtrlash va o ‘zgartirish, masalan, viruslarni
- hodisalami qaydlash, hodisalarga reaksiya ko‘rsatish hamda

tekshirish;

- ichki tarmoq resurslaridan foydalanishni chegaralash;

- tashqi tarmoq resurslaridan foydalanishni chegaralash;

- tashqi tarmoq dan so‘raluvchi ma’lumotlami kesh xotiraga

saqlash;

- xabarlar oqimini filtrlash va o ‘zgartirish, masalan, viruslarni

dinamik tarzda qidirish va axborotni shaffof shifrlash;

- foydalanuvchilarni identifxkatsiyalash va autentifikatsiyalash;

- ichki tarmoq adreslarini translyatsiyalash;

- hodisalami qaydlash, hodisalarga reaksiya ko‘rsatish hamda

qaydlangan axborotni tahlillash va hisobotlami generatsiyalash.

Uzatiluvchi va qabul qilinuvchi ma ’lumotlaming haqiqiyligini tekshirish nafaqat elektron xabarlarni, balki soxtalashtirilishi mumkin boigan migratsiyalanuvchi dasturlarni (Java, ActiveXControls) autentifkatsivalash uchun dolzarb hisoblanadi. Xabar va dasturlarning haqiqiyligini tekshirish ulaming raqamli imzosmi tekshirishdan iboratdir.

Ichki tarmoq resurslaridan foydalanishni chegaralash usullari operatsion tizim sathida madadlanuvchi chegaralash usullaridan farq qilmaydi.

Tashqi tarmoq resurslaridan foydalanishni chegarlashdz ko‘pincha quyidagi yondashishlardan biri ishlatiladi:

- faqat tashqi tarmoqdagi berilgan adres bo‘yicha foydalanishga ruxsat berish;

- yangilanuvchi nojoiz adreslar ro‘yxati bo‘yicha so'rovlarni filtrlash va o ‘rinsiz kalit so'zlari bo‘yicha axborot resurslarini qidirishni blokirovka qilish:

- ma’mur tomonidan tashqi tarmoqning qonuniy resurslarini brandmauerning diskli xotirasida to‘plash va yangilash hamda tashqi

tarmoqdan foydalanishni t o ‘la taqiqlash.Tashqi tarmoqdan so ‘raluvchi ma’lumotlami keshlash maxsus vositachilar yordamida madadlanadi. Ichki tarmoq foydalanuvchilari tashqi tarmoq resurslaridan foydalanganlarida barcha axborot,

proxy-server deb ataluvchi brandmauer qattiq diski makonida to‘planadi.

Shu sababli, agar navbavdagi so‘rovda kerakli axborot proxyserverda

bo‘lsa, vositachi uni tashqi tarmoqqa murojaatsiz taqdim etadi. Bu foydalanishni jiddiy tezlashtiradi. Ma’murga faqat proxyserver tarkibini vaqti-vaqti bilan yangilab turish vazifasi qoladi.

Keshlash funksiyasi tashqi tarmoq resurslaridan foydalanishni

chegaralashda muvaffaqiyatli ishlatilishi mumkin. Bu holda tashqi tarmoqning barcha qonuniy resurslari ma’mur tomonidan proxy-serverda to‘planadi va yangilanadi. Ichki tarmoq foydalanuvchilariga faqat proxy-serveming axborot resurslaridan foydalanishga ruxsat beriladi, tashqi tarmoq resurslaridan bevosita foydalanish esa man qilinadi.

Xabarlar oqimini filtrlash va o'zgartirish vositachi tomonidan

qoidalarning berilgan to‘plami yordamida bajariladi. Bunda vositachi- dasturlarning ikki xili farqlanadi:

- servis turini aniqlash uchun xabarlar oqimini tahlillashga mo‘ljallangan ekranlovchi agentlar, masalan, FTP, HTTP, Telnet;

- barcha xabarlar oqimini ishlovchi universal ekranlovchi agentlar, masalan, kompyuter viruslarini qidirib zararsizlantirishga yoki ma’lumotlami shaffof shifrlashga mo’ljallangan agentlar. Dasturiy vositachi unga keluvchi ma’lumotlar paketini tahlillaydi va agar qandaydir obyekt berilgan mezonlarga mos kehnasa,

vositachi uning keyingi siljishini blokirovka qiladi yoki mos o‘zgarishini, masalan, oshkor qilingan kompyuter viruslarni zararsizlantirishni bajaradi. Paketlar tarkibini tahlillashda ekranlovchi agentning o ‘tuvchi faylli arxivlarni avtomatik tarzda ocha olishi muhim hisoblanadi

Foydalanuvchilarni identifikatsiyaiash va autentifikatsiyalash

ba’zida oddiy identifikatorni (ism) va parolni taqdim etish bilan amalga oshiriladi. Ammo bu sxema xavfsizlik nuqtayi nazaridan zaif hisoblanadi, chunki parolni begona shaxs ushlab qolib, ishlatishi mumkin. Internet tarmog‘idagi ko'pgina mojarolar qisman an’anaviy ko‘p marta ishlatiluvchi parollarning zaifligidan

kelib chiqqan.

Autentifikatsiyalashning ishonchliroq usuli - bir marta ishlatiluvchi parollardan foydalanishdir. Bir martali parollarni generatsiyalashda apparat va dasturiy vositalardan foydalaniladi. Apparat vositalari kompyuteming slotiga o ‘rnatiluvchi qurilma bo‘lib. uni ishga tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi token i axborotni generatsiyalaydi va bu axborotni xost an’anaviy paroi o‘rnida ishlatadi. Smart-karta yoki token xostning apparat va dasturiy ta'minoti bilan birga ishlashi sababli, generatsiyalanuvchi paroi har bir seans uchun noyob bo‘ladi.

Ishonchli organ, masalan, kalitlarni taqsimlash markazi tomonidan

beriluvchi raqamli sertifikatlami ishlatish ham qulay va ishonchli. Ko‘pgina vositachi dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining boshida autentifikatsiyalanadi. Bundan keyin ma'mur belgilagan vaqt mobaynida undan qo'shimcha autentifikatsiyalanish talab etilmaydi.

Tarmoqlararo ekranlar tarmoqdan fovdalanishni boshqarishni markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsiyalash dasturlari va qurilmalarini o'rnatishga munosib joy hisoblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir xostda ishlatilishi mumkin bo‘lsa-da, ularning tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash choralaridan

foydalanuvchi tarmoqlararo ekranlar bo‘lmasa, Telnet yoki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning ichki tizimlariga to ‘g‘ridan-to‘g ‘ri o‘tishi mumkin. Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan usullaridan biri - Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemalarini madadlaydi. Bu esa, tarmoq xavfsizligi ma’muriga o ‘zining sharoitiga qarab eng maqbul sxemani tanlash imkonini beradi.

Ichki tarmoq adreslarini translyatsiyalash. Ko‘pgina hujumlarni amalga oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo‘ladi. B u adreslami hamda butun tarmoq topologiyasini bekitish uchun tarmoqiararo ekranlar eng muhim vazifani – ichki tarmoq adreslarini translyatsiyalashni bajaradi .

Bu funksiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga nisbatan bajanladi. Bunday paketlar uchun jo ‘natuvchi kompyuterlarning IP-adreslari bitta "ishonchli" IP-adresga avtomatik tarzda o'zgartiriladi.

Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqiararo ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so'ng adres bo‘shaydi va uni korporativ tarmoqning boshqa uzeli ishlatishi mumkin. Statik usulda uzel adresi barcha chiquvchi paketlar uzatiladigan tarmoqlararo ekranning bitta adresiga

doimo bog‘lanadi. Tarmoqlararo ekranning IP-adresi tashqi tarmoqqa tushuvchi yagona faol IP-adresga aylanadi. Natijada, ichki tarmoqdan chiquvchi barcha paketlar tarmoqlararo ekrandan jo ‘natilgan bo‘ladi. Bu avtorizatsiyalangan ichki tarmoq va xavfli bo'lishi mumkin bo‘lgan tashqi tarmoq orasida to‘g ‘ridan-to‘g‘ri aloqani istisno qiladi.

Bunday yondashishda ichki tarmoq topologiyasi tashqi foydalanuvchilardan

yashiringan, demak, ruxsatsiz foydalanish masalasi qiyinlashadi. Adreslami translyatsiyalash tarmoq ichida tashqi tarmoq, masalan, Internetdagi adreslash bilan kelishilmagan adreslashning xususiy tizimiga ega bo‘lishiga imkon beradi. Bu ichki tarmoq- ning adres makonini kengaytirish va tashqi adres tanqisligi muammosini samarali yechadi.

Yüklə 0,49 Mb.

Dostları ilə paylaş:

1 2 3