Kompyuter tarmoqlarida aloqa vositalarining axborot xavfsizligini ta'minlash uchun dasturiy ta'minot va texnik vositalarga quyidagilar kiradi:
- tarmoq trafigining apparat kodlovchilari;
- dasturiy ta'minot va texnik vositalar asosida amalga oshirilgan xavfsizlik devori texnikasi;
- xavfsiz tarmoq kriptoprotokollari;
- tarmoq trafigining dasturiy va apparat analizatorlari;
- xavfsiz tarmoq operatsion tizimlari.
Internetda foydalanish uchun mo'ljallangan ushbu xavfsizlik vositalariga bag'ishlangan juda ko'p adabiyotlar mavjud (so'nggi ikki yil ichida har qanday kompyuter jurnalining deyarli har bir sonida ushbu mavzu bo'yicha maqolalarni topishingiz mumkin). Keyinchalik, hammaga ma'lum ma'lumotni takrorlamaslik uchun, iloji boricha qisqacha, biz Internetda ishlatiladigan ushbu himoyalarni tasvirlab beramiz. Shu bilan birga, biz quyidagi maqsadlarni ko'zlamoqdamiz: birinchidan, yana bir bor Firewall tizimlari, ehtimol, sotuvchilarning sa'y-harakatlari tufayli taqdim etadigan "mutlaq himoya" haqidagi afsonaga qaytaylik; ikkinchidan, internetda qoʻllanilayotgan kriptoprotokollarning mavjud versiyalarini solishtirib koʻraylik va aslida ushbu sohadagi keskin vaziyatga baho beramiz; va uchinchidan, biz o'quvchilarni IP tarmog'ining himoyalangan segmentida yuzaga keladigan vaziyatlarni dinamik ravishda kuzatish uchun mo'ljallangan tarmoq xavfsizligi monitoridan foydalangan holda himoya qilish imkoniyatlari bilan tanishtiramiz, bu 4-bobda tasvirlangan masofaviy hujumlardan biri amalga oshirilayotganligini ko'rsatadi. bu segment.
3.1 Xavfsizlik devori texnikasi maxsus IP tarmoq segmentida tarmoq xavfsizligi siyosatini amalga oshirish uchun asosiy apparat va dasturiy vosita sifatida
Umuman olganda, xavfsizlik devori texnikasi quyidagi uchta asosiy funktsiyani amalga oshiradi:
1. Tarmoq trafigini ko'p darajali filtrlash.
Filtrlash odatda uchta OSI qatlamida amalga oshiriladi:
- tarmoq (IP);
- transport (TCP, UDP);
- qo'llaniladigan (FTP, TELNET, HTTP, SMTP va boshqalar).
Tarmoq trafigini filtrlash xavfsizlik devori tizimlarining asosiy funktsiyasi bo'lib, tarmoq xavfsizligi ma'muriga IP tarmog'ining ajratilgan segmentida zarur tarmoq xavfsizligi siyosatini markazlashtirilgan tarzda amalga oshirish imkonini beradi, ya'ni xavfsizlik devorini mos ravishda sozlash orqali siz foydalanuvchilarga kirishiga ruxsat berishingiz yoki rad etishingiz mumkin. tashqi tarmoqdan tegishli xost xizmatlariga yoki himoyalangan segmentda joylashgan xostlarga, shuningdek foydalanuvchilarning ichki tarmoqdan tashqi tarmoqning tegishli resurslariga kirishiga. Tizimda xavfsizlik siyosatini amalga oshirish uchun kerak bo'lganda sub'ektlar (foydalanuvchilar) va tizim ob'ektlari (masalan, fayllar) o'rtasida tegishli munosabatlarni belgilaydigan mahalliy OT ma'muri bilan o'xshashlik qilish mumkin. administrator tomonidan belgilangan kirish huquqlariga muvofiq tizim sub'ektlarining uning ob'ektlariga kirishini farqlash imkonini beradi. Xuddi shu mulohaza Xavfsizlik devori filtrlash uchun ham amal qiladi: o'zaro ta'sir ob'ektlari foydalanuvchi xostlarining IP manzillari bo'ladi va kirish cheklanishi kerak bo'lgan ob'ektlar xostlarning IP manzillari, foydalaniladigan transport protokollari va masofaviy kirish xizmatlari bo'ladi.
Faervol xostida qo'shimcha foydalanuvchi identifikatsiyasi va autentifikatsiyasi bilan proksi-sxema .
Proksi-server sxemasi, birinchidan, xavfsizlik devori bilan himoyalangan tarmoq segmentiga kirishda, undagi masofaviy foydalanuvchini qo'shimcha identifikatsiya qilish va autentifikatsiya qilish imkonini beradi, ikkinchidan, bu virtual IP-manzillar bilan shaxsiy tarmoqlarni yaratish uchun asosdir. Proksi-server sxemasining ma'nosi Firewall xostidagi oraliq proksi-server (inglizcha vakolatli proksi) orqali yakuniy manzil bilan ulanishni yaratishdir. Ushbu proksi-serverda abonentni qo'shimcha identifikatsiya qilish mumkin.
3. "Virtual" IP manzillari (NAT - Network Address Translation) bilan xususiy tarmoqlarni (Private Virtual Network - PVN) yaratish.
Agar tarmoq xavfsizligi ma'muri o'zining ichki IP tarmog'ining haqiqiy topologiyasini yashirishni maqsadga muvofiq deb hisoblasa, unga shaxsiy tarmoq (PVN tarmog'i) yaratish uchun xavfsizlik devori tizimlaridan foydalanish tavsiya etilishi mumkin. PVX tarmog'idagi xostlarga har qanday "virtual" IP-manzillar beriladi. Tashqi tarmoqqa (xavfsizlik devori orqali) murojaat qilish uchun xavfsizlik devori xostida yuqorida tavsiflangan proksi-serverlardan foydalanish yoki faqat tashqi manzillash mumkin bo'lgan maxsus marshrutlash (marshrutlash) tizimlaridan foydalanish kerak. Buning sababi, ichki PVX tarmog'ida qo'llaniladigan virtual IP-manzilning tashqi manzillash uchun mos emasligi aniq (tashqi adreslash - bu PVX tarmog'idan tashqaridagi abonentlarga murojaat qilish). Shuning uchun proksi-server yoki marshrutlash vositasi tashqi tarmoqdagi abonentlar bilan haqiqiy IP-manzilidan bog'lanishi kerak. Aytgancha, agar sizga IP-tarmoqni yaratish uchun etarli IP-manzillar ajratilmagan bo'lsa, ushbu sxema qulaydir (IPv4 standartida bu har doim sodir bo'ladi, shuning uchun proksi-server sxemasidan foydalangan holda to'liq huquqli IP tarmog'ini yaratish uchun faqat proksi-server uchun bitta ajratilgan IP manzil etarli).
Shunday qilib, xavfsizlik devori texnikasining ushbu funktsiyalaridan kamida bittasini amalga oshiradigan har qanday qurilma xavfsizlik devori qurilmasi hisoblanadi. Masalan, oddiy FreeBSD yoki Linux operatsion tizimiga ega kompyuterdan xavfsizlik devori xosti sifatida foydalanishga hech narsa to'sqinlik qilmaydi, buning uchun OT yadrosini mos ravishda kompilyatsiya qilishingiz kerak. Ushbu turdagi xavfsizlik devori faqat IP-trafikni ko'p darajali filtrlashni ta'minlaydi. Yana bir narsa shundaki, bozorda taqdim etilayotgan kompyuter yoki mini-kompyuter asosida ishlab chiqarilgan kuchli Firewall komplekslari odatda Firewall usulining barcha funksiyalarini amalga oshiradi va to'liq xususiyatli Firewall tizimlari hisoblanadi. Quyidagi rasmda tashqi tarmoqdan to'liq ishlaydigan Firewall xosti bilan ajratilgan tarmoq segmenti ko'rsatilgan.
Guruch. 2. To'liq ishlaydigan Firewall xostining umumiy diagrammasi.
Biroq, IP-tarmoq ma'murlari, Firewall tizimlari reklamalariga berilib, Firewall Internetdagi masofaviy hujumlardan mutlaq himoya kafolati deb o'ylamasliklari kerak. Xavfsizlik devori xavfsizlik vositasi emas, balki tarmoqdagi mavjud resurslarga masofaviy kirishni cheklash uchun tarmoq siyosatini markazlashtirilgan tarzda amalga oshirish qobiliyatidir. Ha, masalan, ushbu xostga TELNET-dan masofaviy kirish taqiqlangan bo'lsa, xavfsizlik devori ushbu kirish imkoniyatini shubhasiz oldini oladi. Ammo haqiqat shundaki, ko'pchilik masofaviy hujumlar butunlay boshqacha maqsadlarga ega (agar u Firewall tizimi tomonidan taqiqlangan bo'lsa, ma'lum bir kirish turini olishga harakat qilish mantiqiy emas). Ko'rib chiqilayotgan masofaviy hujumlardan qaysi biri xavfsizlik devori oldini oladi? Tarmoq trafigini tahlil qilishmi? Shubhasiz! Soxta ARP servermi? Ha va yo'q (himoya uchun xavfsizlik devoridan foydalanish shart emas). Soxta DNS servermi? Yo'q, afsuski, xavfsizlik devori bu erda yordam bermaydi. ICMP protokoli yordamida noto'g'ri marshrut qo'yish kerakmi? Ha, xavfsizlik devori ICMP xabarlarini filtrlash orqali bu hujumni osonlikcha qaytaradi (garchi Cisco kabi filtrlovchi router etarli bo'lsa ham). TCP ulanishi sub'ektlaridan birini almashtirish? Javob salbiy; Xavfsizlik devori bunga mutlaqo aloqasi yo'q. Yo'naltirilgan soxta so'rov bo'ronini yaratish yoki so'rovlar navbatini to'ldirish orqali xost sog'lig'ini buzishmi? Bunday holda, xavfsizlik devoridan foydalanish faqat hamma narsani yomonlashtiradi. Xavfsizlik devori tizimi bilan himoyalangan segmentdagi barcha xostlarni o'chirish (tashqi dunyodan uzib qo'yish) uchun tajovuzkor bir nechta xostlarga emas, faqat bitta Firewallga hujum qilishi kifoya (bu aloqaning mavjudligi bilan oson izohlanadi). ichki xostlar va tashqi dunyo o'rtasida faqat xavfsizlik devori orqali mumkin).
Yuqorida aytilganlarning barchasidan, xavfsizlik devori tizimlaridan foydalanish mutlaqo ma'nosiz ekanligini anglatmaydi. Yo'q, hozirda bu usulga alternativa yo'q (faqat usul sifatida!) Biroq, uning asosiy maqsadini aniq tushunish va eslab qolish kerak. Bizningcha, tarmoq xavfsizligini ta'minlash uchun xavfsizlik devori texnikasidan foydalanish zarur, ammo etarli shart emas va xavfsizlik devorini o'rnatish orqali siz tarmoq xavfsizligi bilan bog'liq barcha muammolarni darhol hal qilasiz va undan xalos bo'lasiz deb o'ylamaslik kerak. Internetdan barcha mumkin bo'lgan masofaviy hujumlar. Xavfsizlik nuqtai nazaridan chirigan Internetni hech qanday alohida xavfsizlik devori himoya qila olmaydi!
Dostları ilə paylaş: |