Vositachilik funksiyalarining bajarilishi




Download 2,72 Mb.
Pdf ko'rish
bet102/191
Sana18.11.2023
Hajmi2,72 Mb.
#101187
1   ...   98   99   100   101   102   103   104   105   ...   191
Bog'liq
axborot xavfsizligi222

Vositachilik funksiyalarining bajarilishi. Tarmoqlararo ekran vositachilik 
funksiyalarini ekranlovchi agentlar yoki vositachi dasturlar deb ataluvchi maxsus 
dasturlar yordamida bajaradi. Bu dasturlar rezident dasturlar hisoblanadi va tashqi 
va ichki tarmoq orasida xabarlar paketini bevosita uzatishni taqiqlaydi. 
Tashqi tarmoqdan ichki tarmoqning va aksincha foydalanish zaruriyati 
tug‘ilganda avval tarmoqlararo ekran kompyuterida ishlovchi vositachi-dastur 
bilan mantiqiy ulanish o‘rnatilishi lozim. Vositachi-dastur so‘ralgan tarmoqlararo 
aloqaning joizligini tekshiradi va ijobiy natijada o‘zi suralgan kompyuter bilan 
alohida ulanish o‘rnatadi. So‘ngra tashqi va ichki tarmoq kompyuterlari orasida 
axborot almashish, xabarlar oqimini filtrlashni hamda boshqa himoyalash 
funksiyalarini bajaruvchi dasturiy vositachi orqali amalga oshiriladi. 


210 
Ta’kidlash lozimki, tarmoqlararo ekran filtrlash funksiyasini vositachi-dastur 
ishtirokisiz amalga oshirib, tashqi va ichki tarmoq orasida o‘zaro aloqaning 
shaffofligini ta’minlashi mumkin. Shu bilan birga vositachi dasturlar xabarlar 
oqimini filtrlashni amalga oshirmasligi ham mumkin. 
Umuman, vositachi-dasturlar, xabarlar oqimini shaffof uzatilishini 
blokirovka qilgan holda, quyidagi funksiyalarni bajarishi mumkin: 
- uzatiluvchi va qabul qilinuvchi ma’lumotlarning haqiqiyligini tekshirish; 
- ichki tarmoq resurslaridan foydalanishni chegaralash; 
- tashqi tarmoq resurslaridan foydalanishni chegaralash; 
- tashqi tarmoqdan so‘raluvchi ma’lumotlarni kesh xotiraga saqlash; 
- xabarlar oqimini filtrlash va o‘zgartirish, masalan, viruslarni dinamik 
tarzda qidirish va axborotni shaffof shifrlash; 
- foydalanuvchilarni identifikasiyalash va autentifikatsiyalash; 
- ichki tarmoq adreslarini translyatsiyalash; 
- xodisalarni qaydlash, xodisalarga reaksiya ko‘rsatish, xamda qaydlangan 
axborotni taxlillash va hisobotlarni generatsiyalash. 
Uzatiluvchi va qabul qilinuvchi ma’lumotlarning haqiqiyligini tekshirish 
nafaqat elektron xabarlarni, balki soxtalashtirilishi mumkin bo‘lgan 
migrasiyalanuvchi dasturlarni (Java, ActiveXControls) autentifkasiyalash uchun 
dolzarb hisoblanadi. Xabar va dasturlarning haqiqiyligini tekshirish ularning 
raqamli imzosini tekshirishdan iboratdir. 
Ichki tarmoq resurslaridan foydalanishni chegaralash usullari operasion 
tizim sathida madadlanuvchi chegaralash usullaridan farq qilmaydi. 
Tashqi tarmoq resurslaridan foydalanishni chegarlashda ko‘pincha 
quyidagi yondashishlardan biri ishlatiladi: 
- faqat tashqi tarmoqdagi berilgan adres bo‘yicha foydalanishga ruxsat 
berish; 
- yangilanuvchi nojoiz adreslar ro‘yxati bo‘yicha surovlarni filtrlash va 
o‘rinsiz kalit so‘zlari bo‘yicha axborot resurslarini qidirishni blokirovka qilish: 
- ma’mur tomonidan tashqi tarmoqning qonuniy resurslarini brandmauerning 


211 
diskli xotirasida to‘plash va yangilash va tashqi tarmoqdan foydalanishni to‘la 
taqiqlash. 
Tashqi tarmoqdan so‘raluvchi ma’lumotlarni keshlash maxsus vositachilar 
yordamida madadlanadi. Ichki tarmoq foydalanuvchilari tashqi tarmoq 
resurslaridan foydalanganlarida barcha axborot, proxy-server deb ataluvchi 
brandmauer qattiq diski makonida to‘planadi. Shu sababli, agar navbatdagi 
so‘rovda kerakli axborot proxy-serverda bo‘lsa, vositachi uni tashqi tarmoqqa 
murojaatsiz taqdim etadi. Bu foydalanishni jiddiy tezlashtiradi. Ma’murga faqat 
proxy-server tarkibini vaqti-vaqti bilan yangilab turish vazifasi qoladi. 
Keshlash funksiyasi tashqi tarmoq resurslaridan foydalanishni chegaralashda 
muvaffaqiyatli ishlatilishi mumkin. Bu holda tashqi tarmoqning barcha qonuniy 
resurslari ma’mur tomonidan proxy-serverda to‘planadi va yangilanadi. Ichki 
tarmoq foydalanuvchilariga faqat proxy-serverning axborot resurslaridan 
foydalanishga ruxsat beriladi, tashqi tarmoq resurslaridan bevosita foydalanish esa 
man qilinadi. 
Xabarlar oqimini filtrlash va o‘zgartirish vositachi tomonidan qoidalarning 
berilgan to‘plami yordamida bajariladi. Bunda vositachi-dasturlarning ikki xili 
farqlanadi: 
- servis turini aniqlash uchun xabarlar oqimini taxlillashga mo‘ljallangan 
ekranlovchi agentlar, masalan, FTP, HTTP, Telnet; 
- barcha xabarlar oqimini ishlovchi universal ekranlovchi agentlar, masalan, 
kompyuter viruslarini qidirib zararsizlantirishga yoki ma’lumotlarni shaffof 
shifrlashga mo‘ljallangan agentlar. 
Dasturiy vositachi unga keluvchi ma’lumotlar paketini taxlillaydi va agar 
qandaydir ob’ekt berilgan mezonlarga mos kelmasa, vositachi uning keyingi 
siljishini blokirovka qiladi yoki mos o‘zgarishini, masalan, oshkor qilingan 
kompyuter viruslarni zararsizlantirishni bajaradi. Paketlar tarkibini taxlillashda 
ekranlovchi agentning o‘tuvchi faylli arxivlarni avtomatik tarzda ocha olishi 
muhim hisoblanadi.
Foydalanuvchilarni identifikasiyalash va autentifikatsiyalash ba’zida oddiy 


212 
identifikatorni (ism) va parolni taqdim etish bilan amalga oshiriladi (8.3-rasm). 
Ammo bu sxema xavfsizlik nuqtai nazaridan zaif hisoblanadi, chunki parolni 
begona shaxs ushlab qolib ishlatishi mumkin. Internet tarmog‘idagi ko‘pgina 
mojarolar qisman an’anaviy ko‘p marta ishlatiluvchi parollarning zaifligidan kelib 
chiqqan. 
Autentifikatsiyalashning ishonchliroq usuli – bir marta ishlatiluvchi 
parollardan foydalanishdir. Bir martali parollarni generatsiyalashda apparat va 
dasturiy vositalardan foydalaniladi. Apparat vositalari kompyuterning slotiga 
o‘rnatiluvchi qurilma bo‘lib, uni ishga tushirish uchun foydalanuvchi qandaydir 
maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi tokeni 
axborotni generatsiyalaydi va bu axborotni xost an’anaviy parol o‘rnida ishlatadi. 
Smart-karta yoki token xostning apparat va dasturiy ta’minoti bilan birga ishlashi 
sababli, generatsiyalanuvchi parol har bir seans uchun noyob bo‘ladi. 
Ishonchli organ, masalan kalitlarni taqsimlash markazi tomonidan beriluvchi 
raqamli sertifikatlarni ishlatish ham qulay va ishonchli. Ko‘pgina vositachi 
dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan 
ishlash seansining boshida autentifikatsiyalansin. Bundan keyin ma’mur belgilagan 
vaqt mobaynida undan qo‘shimcha autentifikatsiyalanish talab etilmaydi. 
Tarmoqlararo 
ekranlar 
tarmoqdan 
foydalanishni 
boshqarishni 
markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsiyalash 
dasturlari va qurilmalarini o‘rnatishga munosib joy hisoblanadi. Garchi 
kuchaytirilgan autentifikatsiya vositalari har bir xostda ishlatilishi mumkin 
bo‘lsada, ularning tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan 
autentifikatsiyalash choralaridan foydalanuvchi tarmoqlararo ekranlar bo‘lmasa, 
Telnet yoki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning 
ichki tizimlariga to‘g‘ridan-to‘g‘ri o‘tishi mumkin. 
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan 
usullaridan biri – Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo 
ekranlar autentifikatsiyalashning turli sxemalarini madadlaydi. Bu esa tarmoq 
xavfsizligi ma’muriga o‘zining sharoitiga qarab eng maqbul sxemani tanlash 


213 
imkonini beradi. 
 
Ichki tarmoq adreslarini translyatsiyalash. Ko‘pgina xujumlarni amalga 
oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo‘ladi. Bu 
adreslarni hamda butun tarmoq topologiyasini bekitish uchun tarmoqlararo 
ekranlar eng muhim vazifani – ichki tarmoq adreslarini translyatsiyalashni bajaradi 
(8.4-rasm). 
Bu funksiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga 
nisbatan bajariladi. Bunday paketlar uchun jo‘natuvchi kompyuterlarning IP-
adreslari bitta "ishonchli" IP adresga avtomatik tarzda o‘zgartiriladi. 
Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik 
usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqlararo 
ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so‘ng adres bo‘shaydi 

Download 2,72 Mb.
1   ...   98   99   100   101   102   103   104   105   ...   191




Download 2,72 Mb.
Pdf ko'rish