|
15-Ma’ruza. Tarmoq xavfsizligini ta’minlovchi vositalar
|
| bet | 3/3 | | Sana | 22.11.2023 | | Hajmi | 1.06 Mb. | | #103726 |
Bog'liq 15-maruza 1-Mavzu. Kiberxavfsizlikga oid milliy va xorijiy me’yoriy-huquqi (3), Kiberxavfsizlik fanidan mustaqil ish, 202-guruh talabasi Raxmatova Kumushoyning Kiber xavfsizlik fanid (1), falsafa-asoslari 2018, 30096, hjhjEkspert paketi filtrlari. Bu turdagi tarmoqlararo ekran paketni filterlash vazifasini bajaruvchi tarmoqlararo ekranga mavjud kamchiliklarni bartaraf etadi. Bu turga asosan tekshiruv tarmoq va transport sathida amalga oshiriladi. Kamchiligi esa, tekshirish vaqtining ko’pligi va ilova sathi ma’lumotlarini tekshirish imkoni yo’qligidir (15.5-rasm.).
Ilova sathi
|
Transport sathi
|
Tarmoq sathi
|
Kanal sathi
|
Fizik sathi
|
15.5-rasm. Ekspert paketi filtri
Ilova proksilari. Bu turdagi tarmoqlararo ekran oldingi ikki turga mavjud kamchiliklarni o’zida bartaraf etadi va ilova sathida ishlaydi (15.6 - rasm).
Ilova sathi
|
Transport sathi
|
Tarmoq sathi
|
Kanal sathi
|
Fizik sathi
|
15.6-rasm. Ilova proksilari
Bu toifadagi tarmoqlararo ekranda paketlar tarmoq, transport va ilova sathlarida tekshiriladi. Ilova sathi uchun paket “buzulib” qaytadan “quriladi”.
Shaxsiy tarmoqlararo ekran. Bu dasturiy vositalar yuqoridagi uch turdan biriga tegishli bo’lib, odatda bir hostni himoyalash uchun foydalaniladi. Bu dasturiy vositalar sodda interfeysga ega bo’lib, oson sozlanadi.
Ximoyalangan virual tarmok (VPN) ximoya mexanizmi
Agar tashkilotlar yagona binoda joylashgan yoki yaqin binolarda joylashgan bo’lsa, u xolda ular uchun korporativ tarmokni qurishi qiyinchilik tug’dirmaydi. Ammo, georgafik jixatdan biri - biridan uzoqda joylashgan tashkilot ofislari orasida yagona korporativ tarmokni hosil qilish murakkab vazifa.
Ochiq tarmok orqali ximoyalangan tarmokni qurish va biznes harakatlarini amalga oshirish uchun dastlabki qadamlar 1990 yillarda qo’yila boshlandi va bu konsepsiya ximoyalangan virtual tarmok - VPN (Virtual Private Network) deb atala boshlandi.
VPNni qurishda juda oddiy g’oya yotadi. Internet tarmog’ida malumot almashinish uchun ikkita uzel mavjud bo’lgan ekan, bu ikki uzel orasida axborotni konfidensiyalligini va butunligini ta’minovchi virtual tarmok qurish kerak. Bu ximoyalangan tarmokdan ixtiyoriy passiv va aktiv xujum hamda ham malumotni olish imkoniyati bo’lmasin.
Bu qurilgan ximoyalangan kanalni tunel ham deb atash mumkin. VPN tarmok orqali bosh ofis va uning masofadagi filiallari orasida ishonchli ravishda axborotni uzatish mumkin (13.7 - rasm).
15.7 - rasm. Virtual ximoyalangan tarmok
VPN tunel ochiq kanal yordamida bog’lanishni amalga oshirib, virtual tarmok orqali kriptografik ximoyalangan xabarlar paketini uzatadi. VPN tunel orqali uzatilgan axborot ximoyasi quyidagilarga asoslanadi:
tomonlarni autentifikasiyalashga;
yuboriladigan axborotlarni kriptografik yashirish (shifrlash);
etkazilgan axborotni butunligini va to’g’riligini tekshirish.
Virtual tunelni yaratishda mavjud bo’lgan paket shifrlangan xolda yangi hosil qilingan mantiqiy paket ichiga kiritiladi. Bundan shunday xulosa kelib chiqadiki, VPN shifrlanuvi paket qismi tegishli bo’lgan tarmok sathidan past bo’lishi yoki o’ziga teng bo’lishi shart. Odatda mavjud bo’lgan IP - paket to’liq shifrlanib, unga yangi IP sarlavha beriladi (15.8 - rasm).
15.8 - rasm. Tunellash uchun tayorlangan paketga misol
VPN apparat-dasturiy qurilmasi VPN - mijoz, VPN - server va VPN - shlyuz sifatida faoliyat yuritishi mumkin. VPN shlyuz hamda ximoyalangan kanalni qurishda ikkita tomonda ham shlyuz bo’lishi talab etiladi. Bunda lokal tarmokdan chiquvchi paketga yangi sarlavha beriladi. Eski sarlavha esa shifrlangan xolda bo’ladi. Ochiq tarmok orqali uzatilganda, qabul qiluvchi shlyuz qabul qilingan paketdan yangi sarlavhani olib tashlaydi va lokal tarmok ichida eski sarlavha hamda paketlarni uzatadi (15.9 - rasm).
15.9 - rasm. Virtual ximoyalangan tunel sxemasi
Virtual tarmoklarni qurish asosan ikkita sxemaga asoslanadi:
VPN texnologiyalar quyidagi belgilariga ko’ra klassifikasiyalanadi:
OSI modelining “ishchi sathlari”ga ko’ra:
kanal sathidagi VPN (L2F, L2TP va PPTP protakoli yordamida);
tarmok sathidagi VPN (IPSec protakoli);
seans sathidagi VPN (TLS protakoli).
VPNning texnik echim arxitekturasiga ko’ra:
korporativ ichidagi VPN;
masofadan foydaloniluvchi VPN;
korporativlararo VPN.
VPN ning texnik amalga oshirilishiga ko’ra:
marshrutizator ko’rinishida;
tarmoklararo ekran ko’rinishida;
dasturiy ko’rinishda;
maxsus shifrlash prosessoriga ega apparat vosita.
VPN tarmoklarni axborot tizimlarida axborot xavfsizligini ta’minlashda foydalonishning afzalliklari quyidagilar:
barcha korporativ tarmokni ximoyalash imkoniyati - yirik lokal tarmok ofislaridan tortib alohida ishchi joylarigacha;
masshtablashgan ximoya tizimi, ya’ni, alohida foydalonuvchi uchun dasturiy ko’rinishda, lokal tarmok uchun server ko’rinishda va korporativ tarmok uchun shlyuz ko’rinishda amalga oshirish imkoniyati;
ochiq tarmok yordamida ximoyalangan tarmokni qurish imkoniyati;
tarmok ishini nazorat ositida olish va barcha axborot manbalarini identifikasiyalash.
VPN texnologiya tarmoklararo uzatilayotgan axborotni ximoyalashda muhim sanalib, yaqin kelajakda barcha tashkilotlar bu texnologiyadan to’liq foydalona boshlaydi.
Nazorat savollari
1. Tarmoqlararo ekranlash nima?
2. Virtual xususiy tarmoqlarni tushuntiring.
3. Suqilib kirishlarni aniqlash tizimlari (Intrusion Detection System, IDS) nima?
4. Ma’lumotlarning sirqib chiqishini oldini olish tizimlari (Data Leakage Prevention, DLP) qanday ishlaydi?
|
| |
