2.6 Xizmatni rad etishdan o'zingizni qanday himoya qilish kerak?
Internetning mavjud IPv4 standartida xizmat ko'rsatishni rad etishdan himoya qilishning maqbul usuli yo'q va bo'lishi ham mumkin emas. Buning sababi shundaki, ushbu standartda xabarlar yo'nalishini boshqarish mumkin emas. Shu sababli, tarmoq ulanishlari ustidan ishonchli nazoratni ta'minlash mumkin emas, chunki tarmoq o'zaro ta'sirining bir sub'ekti uzoq ob'ekt bilan cheksiz miqdordagi aloqa kanallarini egallash va anonim qolish imkoniyatiga ega. Shu sababli, Internetdagi har qanday server masofaviy hujum tufayli butunlay falaj bo'lishi mumkin. Ushbu hujum ostida tizimning ishonchliligini oshirish uchun taklif qilinadigan yagona narsa - iloji boricha kuchli kompyuterlardan foydalanish. Protsessorlarning soni va chastotasi qanchalik ko'p bo'lsa, RAM miqdori qanchalik ko'p bo'lsa, ulanishni yaratish uchun noto'g'ri so'rovlarning yo'naltirilgan "bo'roni" urilganda tarmoq OT ning ishlashi shunchalik ishonchli bo'ladi. Bundan tashqari, siz ko'p sonli ulanish so'rovlarini qabul qila oladigan ichki navbat bilan hisoblash quvvatingizga mos keladigan operatsion tizimlardan foydalanishingiz kerak. Axir, siz, masalan, superkompyuterga Linux yoki Windows NT operatsion tizimini o'rnatganingizdan, ular bir vaqtning o'zida qayta ishlangan so'rovlar uchun navbat uzunligi taxminan 10 ni tashkil qiladi va navbatni tozalash vaqti bir necha daqiqani tashkil qiladi. kompyuterning hisoblash quvvati, OS tajovuzkor tomonidan butunlay falaj bo'ladi.
2.7 TCP / IP oilasining asosiy protokollaridan foydalangan holda o'zaro aloqada tomonlardan birini almashtirishdan qanday himoya qilish kerak
Yuqorida ta'kidlab o'tilganidek, dastlab ulanish va uning abonentlari xavfsizligini ta'minlash funktsiyasini ta'minlaydigan TCP / IP oilasining yagona asosiy protokoli transport qatlami protokoli - TCP protokoli. Asosiy amaliy qatlam protokollariga kelsak: FTP, TELNET, r-service, NFS, HTTP, DNS, SMTP, ularning hech biri o'z darajasida qo'shimcha ulanish himoyasini ta'minlamaydi va barcha ulanish xavfsizligi muammolarini hal qilishni pastki transport protokoliga qoldirmaydi. qatlam - TCP. Biroq, 4.5-bo'limda muhokama qilingan TCP ulanishiga mumkin bo'lgan hujumlarni eslab, bu erda tajovuzkor hujum qilish uchun bitta segmentda bo'lsa, abonentlardan birini almashtirishdan o'zini himoya qilish printsipial jihatdan mumkin emasligi ta'kidlangan. TCP ulanishi, segmentlari, TCP ulanish identifikatori ISN ni matematik bashorat qilish imkoniyati tufayli , abonentlardan birining o'rnini bosish ham haqiqiydir, TCP / IP oilasining asosiy protokollaridan foydalanganda shunday xulosaga kelish oson. ulanishning xavfsizligini ta'minlash deyarli mumkin emas! Buning sababi, afsuski, Internetning barcha asosiy protokollari axborot xavfsizligi nuqtai nazaridan aql bovar qilmaydigan darajada eskirgan.
Tarmoq ma'murlariga ulanishlarga segmentlararo hujumlardan himoya qilish uchun tavsiya etilishi mumkin bo'lgan yagona narsa TCP protokoli va tarmoq operatsion tizimlaridan foydalanishdir, bunda TCP ulanish identifikatorining boshlang'ich qiymati tasodifiy ravishda hosil bo'ladi (yaxshi psevdo- tasodifiy yaratish algoritmi FreeBSD OT ning oxirgi versiyalarida qo'llaniladi).
Dostları ilə paylaş: |