|
12-Ma’ruza : Axborotni himoyalashda tarmoqlararo ekranlarning o’rni Reja
|
| bet | 3/4 | | Sana | 01.01.2023 | | Hajmi | 0.49 Mb. | | #37369 |
Bog'liq 12-Ma’ruza Axborotni himoyalashda tarmoqlararo ekranlarning o’ Psixologiya fanining asosiy sohalariFoydalanuvchilarni identifikatsiyaiash va autentifikatsiyalash
ba’zida oddiy identifikatorni (ism) va parolni taqdim etish bilan amalga oshiriladi. Ammo bu sxema xavfsizlik nuqtayi nazaridan zaif hisoblanadi, chunki parolni begona shaxs ushlab qolib, ishlatishi mumkin. Internet tarmog‘idagi ko'pgina mojarolar qisman an’anaviy ko‘p marta ishlatiluvchi parollarning zaifligidan
kelib chiqqan.
Autentifikatsiyalashning ishonchliroq usuli - bir marta ishlatiluvchi parollardan foydalanishdir. Bir martali parollarni generatsiyalashda apparat va dasturiy vositalardan foydalaniladi. Apparat vositalari kompyuteming slotiga o ‘rnatiluvchi qurilma bo‘lib. uni ishga tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi token i axborotni generatsiyalaydi va bu axborotni xost an’anaviy paroi o‘rnida ishlatadi. Smart-karta yoki token xostning apparat va dasturiy ta'minoti bilan birga ishlashi sababli, generatsiyalanuvchi paroi har bir seans uchun noyob bo‘ladi.
Ishonchli organ, masalan, kalitlarni taqsimlash markazi tomonidan
beriluvchi raqamli sertifikatlami ishlatish ham qulay va ishonchli. Ko‘pgina vositachi dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining boshida autentifikatsiyalanadi. Bundan keyin ma'mur belgilagan vaqt mobaynida undan qo'shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo ekranlar tarmoqdan fovdalanishni boshqarishni markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsiyalash dasturlari va qurilmalarini o'rnatishga munosib joy hisoblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir xostda ishlatilishi mumkin bo‘lsa-da, ularning tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash choralaridan
foydalanuvchi tarmoqlararo ekranlar bo‘lmasa, Telnet yoki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning ichki tizimlariga to ‘g‘ridan-to‘g ‘ri o‘tishi mumkin. Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan usullaridan biri - Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemalarini madadlaydi. Bu esa, tarmoq xavfsizligi ma’muriga o ‘zining sharoitiga qarab eng maqbul sxemani tanlash imkonini beradi.
Ichki tarmoq adreslarini translyatsiyalash. Ko‘pgina hujumlarni amalga oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo‘ladi. B u adreslami hamda butun tarmoq topologiyasini bekitish uchun tarmoqiararo ekranlar eng muhim vazifani – ichki tarmoq adreslarini translyatsiyalashni bajaradi .
Bu funksiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga nisbatan bajanladi. Bunday paketlar uchun jo ‘natuvchi kompyuterlarning IP-adreslari bitta "ishonchli" IP-adresga avtomatik tarzda o'zgartiriladi.
Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqiararo ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so'ng adres bo‘shaydi va uni korporativ tarmoqning boshqa uzeli ishlatishi mumkin. Statik usulda uzel adresi barcha chiquvchi paketlar uzatiladigan tarmoqlararo ekranning bitta adresiga
doimo bog‘lanadi. Tarmoqlararo ekranning IP-adresi tashqi tarmoqqa tushuvchi yagona faol IP-adresga aylanadi. Natijada, ichki tarmoqdan chiquvchi barcha paketlar tarmoqlararo ekrandan jo ‘natilgan bo‘ladi. Bu avtorizatsiyalangan ichki tarmoq va xavfli bo'lishi mumkin bo‘lgan tashqi tarmoq orasida to‘g ‘ridan-to‘g‘ri aloqani istisno qiladi.
Bunday yondashishda ichki tarmoq topologiyasi tashqi foydalanuvchilardan
yashiringan, demak, ruxsatsiz foydalanish masalasi qiyinlashadi. Adreslami translyatsiyalash tarmoq ichida tashqi tarmoq, masalan, Internetdagi adreslash bilan kelishilmagan adreslashning xususiy tizimiga ega bo‘lishiga imkon beradi. Bu ichki tarmoq- ning adres makonini kengaytirish va tashqi adres tanqisligi muammosini samarali yechadi.
|
| |
