Transport sathi ma’lumotlarni himoyalash. Tcp
Static versus Dynamic Port Assignments
Yüklə 28,93 Kb.
|
|
Static versus Dynamic Port Assignments
Masofaviy mijoz serverga ulanishi uchun unga ikkita element kerak. Birinchidan, unga serverning tarmoq manzili kerak. Xost o'lchamlari tizimlari ,masalan / etc / xostlar va DNS, ushbu ma'lumotni taqdim eting. Ikkinchidan, uzoq mijoz transport protokoli va portini bilishi kerak. Agar veb-server 80/TCP da ishlayotgan bo'lsa, 1435/udp kabi boshqa joyga ulanish veb-serverga etib bormaydi. TCP va UDP uchun 1024 ostidagi port raqamlari imtiyozli va himoyalangan hisoblanadi. Ushbu port diapazoni odatda ma'mur tomonidan boshqariladigan tarmoq xizmatlari bilan cheklanadi va ushbu portlarning aksariyati taniqli xizmatlarga beriladi. Aksincha, 1024 dan yuqori portlar tugundagi har qanday dastur tomonidan ishlatilishi mumkin. Mijoz dastlab serverga ulanganda, ulanish serverdagi taniqli portga amalga oshiriladi. Aksincha, mijoz odatda bir qator dinamik portlardan tanlangan efemer portdan foydalanadi. Server mijozga javob berishi uchun mijoz paketga tarmoq manzili va port raqamini kiritadi. Xavfsizlik devorlari tarmoqqa kirishni ta'minlash uchun port ma'lumotlaridan foydalanadi. Masalan, elektron pochta serveri oldidagi xavfsizlik devori tashqi so'rovlarni ma'lum bir ichki xostda 25/tcp ga yo'naltirishga imkon beradi. Nat qo'llab-quvvatlash bilan chiqish filtrlash va router bilan xavfsizlik devorlari jadal paketi mashg'ulotlari kuzatish. Bir portdagi masofaviy xost boshqa portdagi mahalliy xost bilan gaplashishi mumkin. Ba'zi yuqori qatlamli protokollarda belgilangan port raqami ishlatilmaydi. Misollar RPC o'z ichiga oladi, ftp (data connection), va NetMeeting. Barcha aloqa uchun bitta portdan foydalanish o'rniga, taniqli portda boshqaruv xizmati ishlaydi va ma'lumotlar uzatish uchun dinamik portlar ochiladi. Boshqarish xizmatiga dastlabki ulanish dinamik port raqamini aniqlaydigan xabar hosil qiladi. Dinamik portlar dastur tarmoq faoliyatini boshqarish jarayonlarini to'xtatganda foydalidir. (Turli ilovalar bir xil port raqami foydalanish ega ishlash masalalarni yaratishingiz mumkin.) Dinamik portlar xavfsizlik xavfini yaratadi, chunki katta port diapazoni tarmoq uchun ochiq bo'lishi kerak. Masalan, ftp ma'lumotlarni uzatish uchun ikkinchi portni yaratadi. Ushbu dinamik port har qanday foydalanilmagan port raqami paydo bo'lishi mumkin. Barcha portlar uchun xavfsizlik devorini ochmasdan, FTP-ning ma'lumot ulanishi bloklanadi. FTP xavfsizlik devori orqali ishlashi uchun uchta mos variant mavjud: Farewall yanada yuqori (>1023) portlarga ruxsat berish uchun ochilishi mumkin. Bu Farewall tarmoq trafigining katta qismini samarali ravishda o'tkazib yuborganligi sababli katta zaiflikni keltirib chiqaradi. Yuqori port raqamini ishlatadigan har qanday dastur masofaviy tarmoq hujumiga qarshi himoyasiz bo'ladi. Farewall deganda Ftp ni tushunish mumkin. Ushbu xavfsizlik devorlari dinamik portlarni aniqlashi va kerak bo'lganda trafikka ruxsat berishi mumkin. Garchi bu ftp kabi taniqli protokollar uchun foydali echim bo'lsa-da, kamroq tarqalgan (yoki murakkabroq) protokollar bunday RPC va NetMeeting qo'llab-quvvatlanmasligi mumkin. Protokolni dinamik port talab qilmaslik uchun qayta yozish mumkin. FTP qo'llab-quvvatlash passiv o'tkazmalari yangi versiyalari [RFC 1579]. Oddiy FTP rejimida, mijoz serverga bir nazorat port ulanish avval, va server mijozga bir ma'lumotlar port ulanish avval. Passiv FTP rejimida mijoz boshqaruv va ma'lumotlar ulanishlarini boshlaydi. FTP ko'proq xavfsiz imkoniyatlari bilan o'zgartirilishi mumkin. Rsync, scp va sftp kabi dastur qatlami protokollari dinamik portlarga ehtiyoj sezmasdan shunga o'xshash funktsiyalarni ta'minlaydi. Yüklə 28,93 Kb. Dostları ilə paylaş:
|