|
“ Tarmoq xavfsizligi” fanidan amaliy ishi 10-11-12-13
|
| bet | 2/3 | | Sana | 22.05.2024 | | Hajmi | 7,13 Mb. | | #250058 |
Bog'liq Amaliy ishlar 10-11-12-1311 AMALIY ISH
MAVZU: ASA XAVFSIZLIK TEXNOLOGIYASINI SOZLASH. Ishdan maqsad. ASA (Adaptive Security Appliance) xavfsizlik texnologiyasini sozlash ko`nikmalarini hosil qilish. Nazariy qism Cisco Systems - Frost & Sulivanning 2018 yildagi hisoboti bo’yicha olib borilgan tadqiqotlar asosida xavfsizlik devorlari bo'yicha jahon bozorida yetakchi hisoblanadi. Kompaniyaning eng mashhur xavfsizlik mahsuloti Cisco ASA hisoblanadi. Cisco ASA tarmoqlararo ekrani(firewall) PIX seriyasining davomchisi bo'lib, ular Cisconing birinchi xavfsizlik devorlari bo'lgan va kompaniyaning tarmoq qurilmalarining ushbu segmentida ustunligini ta'minlagan. Infografikada muhim voqealar xronologiyasi keltirilgan. Muhim voqealardan biri Cisco kompaniyasi, Snort - hujumlarni oldini olish tizimi(IPS) va AMP antivirusini ishlab chiquvchi SourceFire tashkilotini sotib olishi bo'ldi. Kompaniyaning texnologiyalari 5500-X mahsulot qatoriga kiritilgan va FirePower xizmatlari sifatida tanilgan. O'shandan beri qurilmalar himoya mexanizmlari ta’minlash va boshqarish bo’yicha qulayligi oshirilib kelinmoqda. Funksional xususiyatlar Cisco ASA - bu quyidagi texnologiyalarni birlashtirgan ko'p funksiyali xavfsizlik vositasi: • keyingi avlod xavfsizlik devori (NGFW); • dasturlarni donadorlik bilan kuzatish va boshqarish tizimi (Cisco AVC); • VPN tunnellarini qurish tizimi (site-to-site IPsec); • yangi avlod hujumlarni bartaraf etish tizimlari(NGIPS); • retrospektiv himoya xususiyatlariga ega rivojlangan zararli dasturlardan himoya qilish (AMP) • muhimlik darajasi va tasniflash algoritmlari asosida URL-filtrlash; • zaifliklarni boshqarish tizimi va SIEM. Cisco Adaptive Security Appliance (ASA) Moslashuvchan va ko’p-funksiyali xavfsizlik imkoniyatlarini qadrlaydigan korxonalar uchun Cisco o'zining ASA texnologiyasini yaratdi. Ammo bu shunchaki firewall emas, balki ko'p imkoniyatlarga ega vositadir.
12 MAVZU: AAA SERVERDA AUTENTIFIKATSIYA REJIMINI SOZLASH (RADIUS, TACACS+) Ishdan maqsad: Ma’lumot uzatish tarmoqlarida autentifikatsiya, avtorizatsiya va hisobga olish protokollarini sozlash, hamda amaliy ko’nikmaga ega bo’lish. Nazariy qism RADIUS (Remote Authentication in Dial-In User Service) - AAA protokoli (Autentifikatsiya, Avtorizatsiya va Accounting), markaziy AAA platformasi va Dial-Up ulanish uskunalari (NAS, Network Access Server) va billing tizimi o‘rtasida ma’lumotlarni uzatish uchun mo‘ljallangan. Birlamchi ma’lumotlar (an’anaviy ravishda RADIUS protokoli orqali uzatiladi) kiruvchi va chiquvchi trafik qiymatlari: bayt / oktetlarda (yaqinda gigabaytlarda). Shu bilan birga, protokol VSA (Vendor Specific Attributes) yordamida amalga oshiriladigan har qanday turdagi ma’lumotlarni uzatishni ta’minlaydi. RADIUS server ishlash uchun UDP dan foydalanadi. Odatiy bo‘lib, RADIUS serveri 1812 portda tinglaydi. Akkaunt hisobi uchun boshqa port ishlatiladi - 1813 (radius-acct). NAS (Network Access Server) foydalanuvchi autentifikatsiyani talab qilganda qanday javob berishini ko‘rib chiqamiz: • foydalanuvchi NAS -ga haqiqiylikni tekshirishga harakat qilmoqda • NAS birinchi radiusli serverga qaraydi va ulanishni o‘rnatish uchun paket yuboradi (kirish so‘rovi) • agar javob ma’lum vaqt ichida qabul qilinmasa, NAS yana radius serverini so‘roq qiladi yoki alternativ serverni qidiradi • RADIUS server NAS IP manziliga qaraydi va simmetrik shifrlash kalitini tekshiradi, agar IP manzili va kalit konfiguratsiya faylida yozilganga mos bo‘lsa, ulanish davom etadi, aks holda mijozga yaroqsiz kalit paketi yuboriladi. Tekshirish tasodifiy satrni yaratish va shifrlash orqali amalga oshiriladi. Bundan tashqari, mijoz va RADIUS server o‘rtasida uzatiladigan ma’lumotlar ushbu kalit bilan shifrlangan. • RADIUS server foydalanuvchi parolini tekshiradi (md5 parol Xash tarmog‘i orqali uzatiladi), parol bilan bir qatorda, server ip-manzilini va NAS portini tekshirishi mumkin, agar bu ma’lumotlar noto‘g‘ri bo‘lsa, server NAS-ni yuboradi xato kodini o‘z ichiga olgan " Доступ запрещён" to‘plami, shuningdek, foydalanuvchi uchun ko‘rsatiladigan xato matn tavsifini ham o‘z ichiga olishi mumkin agar foydalanuvchi ma’lumotlari to‘g‘ri bo‘lsa, server NAS paketini yuboradi "Доступ разрешён", xizmat ma’lumotlarini o‘z ichiga olgan(PPP, SLIP, login) va xizmatning ayrim o‘ziga xos parametrlari, masalan, IP-manzil, subnet raqami, MTU PPP xizmati uchun juft parametr=qiymat(AV juft). • RADIUS xabari har doim sarlavha va atributlardan iborat bo‘lib, ularning har biri kirishga urinish haqida bir yoki bir nechta ma’lumotni o‘z ichiga oladi: masalan, foydalanuvchi nomi va paroli, so‘ralgan xizmatlar va kirish serverining IP-manzili. Shunday qilib, RADIUS atributlarining asosiy vazifasi RADIUS mijozlari va serverlari o‘rtasidagi ma’lumotlarni tashishdir. RADIUS atributlari RFC 2865, RFC 2866, RFC 2867, RFC 2868, RFC 2869 va RFC 3162 kabi bir nechta RFC da aniqlanadi. • RADIUS turli xil autentifikatsiya protokollari bilan birgalikda ishlashi mumkin. Eng ko‘p ishlatiladigan parol autentifikatsiya protokoli (Password Authentication Protocol, PAP), oldindan kelishilgan autentifikatsiya protokoli (Challenge Handshake Authentication Protocol, CHAP) va MS CHAP (Microsoft -ning birinchi versiyasida yoki MS — CHAPv2 ikkinchi). Amaliy qism Dasturni ishga tushirib rasmda ko‘rsatilganidek tarmoq quring va IP manzillar belgilang. (rasmda ko‘rsatilganidek). (14.1Rasm).
|
| |
