• 638 21-bob ÿ Tarmoqqa hujum va mudofaa
    		•

    Bob 21 Tarmoqqa hujum




    Download 226.42 Kb.
    bet4/35
    Sana29.05.2023
    Hajmi226.42 Kb.
    #67003
    1   2   3   4   5   6   7   8   9   ...   35
    Bog'liq
    SEv2-c21
    1- Amaliyot (2), 1- Amaliyot (3), doc.6, dox.16, OT mustaqil ish, 1681796789 (1), Elektron hukumat, Таржима 3-5, 16-22, 29-30 ва 34-49 бетлар БМИ СКК, elektron tijorat (amaliy-1), kamp-maruza, kiber, computer, vIt8QArvSYzLUrt9j4P3ZL2aSfINUJyVHuiLYVQC, Mavzu Ma’lumotlarni qidirish usullari, algoritmlari va ularning
    21.2 Tarmoq protokollaridagi zaifliklar 637

    soxta pastki tarmoq niqobini yuborish orqali signalni ko'tarish. Yana bir imkoniyat - soxta DHCP xabarlarini yuborish. Bu kabi hujumlar qanday sozlanganiga qarab,


    zamonaviy kommutatsiyalangan Ethernetga qarshi ishlamasligi yoki ishlamasligi mumkin.

          1. Yana bir qator hujumlar ma'lum platformalarga qaratilgan. Misol uchun, agar maqsadli kompaniya Linux yoki Unix serverlaridan foydalansa, ular fayl almashish uchun Sun's Network File System (NFS) dan foydalanishlari mumkin . Bu ish stantsiyalariga tarmoq diskidan xuddi mahalliy disk kabi foydalanish imkonini beradi va bir xil LANdagi tajovuzkorlarga nisbatan bir qator taniqli zaifliklarga

    ega. Tovush birinchi marta o'rnatilganda, mijoz serverdan ildiz fayl dastagini oladi. Bu aslida o'rnatilgan fayl tizimining ildiz katalogiga ishora qiluvchi kirish chiptasidir, lekin bu vaqtga yoki serverni yaratish raqamiga bog'liq emas va uni bekor qilib bo'lmaydi. Har bir foydalanuvchi uchun autentifikatsiya mexanizmi yo'q: server mijozga to'liq ishonishi kerak yoki umuman ishonmasligi kerak. Bundan tashqari, NFS serverlari ko'pincha boshqa tarmoq interfeysidan so'rov kelgan so'rovga javob beradi. Shunday qilib, administrator fayl serveridan foydalanmaguncha kutish va parol faylini qayta yozish uchun uning qiyofasini ko'rsatish mumkin. Fayl tutqichlari tarmoqni hidlash orqali ham to'xtatilishi mumkin, lekin yana, kommutatsiyalangan Ethernet buni qiyinlashtiradi.
    Kerberos mijozlar va serverlarni autentifikatsiya qilish uchun ishlatilishi mumkin, lekin
    ko'pgina firmalar undan foydalanmaydi; uni heterojen muhitda ishlash qiyin bo'lishi mumkin.

    Shunday qilib, sizning tarmog'ingizdagi yomon mashina boshqa mashinalarni egallab olishi sizning tarmoq qanchalik mahkam yopilganingizga bog'liq va yomon mashinaning shikastlanishi mahalliy tarmoq hajmiga bog'liq bo'ladi. Tizim boshqaruvchisi qanchalik uzoqqa borishi uchun cheklovlar mavjud; Sizning firmangiz Kerberosni ishga solib bo'lmaydigan murakkab eski tizimlar aralashmasini ishga tushirishi kerak bo'lishi mumkin. Bundan tashqari, xavfsizlikni biladigan tizim ma'muri haqiqiy xarajatlarni qo'yishi mumkin. Laboratoriyamizda biz ko'p yillar davomida tizim boshqaruvchilarimiz bilan bahslashdik, mehmonlarga tashrif buyurish uchun Internetga kirishga harakat qildik, ular texnik himoya va siyosat nuqtai nazaridan qarshilik ko'rsatdilar (bizning akademik tarmog'imiz tijorat foydalanuvchilari uchun mavjud bo'lmasligi kerak). Oxir-oqibat, biz universitetning magistraliga emas, balki tijorat provayderiga ulangan alohida mehmon tarmog'ini o'rnatish orqali muammoni hal qildik.


    Bu kengroq muammoni keltirib chiqaradi: tarmoq chegarasi qayerda? Qadimgi kunlarda ko'plab kompaniyalar Internetga qandaydir xavfsizlik devori orqali ulangan yagona ichki tarmoqqa ega edilar. Ammo 9-bobda muhokama qilganimdek, bo'limlar ko'pincha mantiqiy bo'ladi: har bir bo'lim uchun alohida tarmoqlar buzilgan mashina etkazadigan zararni cheklashi mumkin. Agar sizning ba'zi bo'limlaringiz yuqori himoya talablariga ega bo'lsa, boshqalari katta moslashuvchanlikka muhtoj bo'lsa, buning uchun ayniqsa kuchli dalillar bo'lishi mumkin. Bizning universitetda, masalan, biz talabalarni ish haqi to'laydigan odamlar foydalanadigan bir xil LANda istamaymiz; aslida biz talabalar, xodimlar va ma'muriy tarmoqlarni ajratamiz va bularning birinchi ikkitasi


    638 21-bob ÿ Tarmoqqa hujum va mudofaa

    kollej va kafedra tomonidan ham ajratilgan. So'nggi paytlarda mobillik va virtual tarmoqlar aniq tarmoq chegaralarini aniqlashni yanada qiyinlashtirdi.


    Bu munozara deperimiterizatsiya degan shov-shuvli so'z bilan boradi va men unga keyinroq qaytaman.
    Bitta yakuniy hujumni mahalliy tarmoqlarga qilingan hujumlar sarlavhasi ostida eslatib o'tish joiz, bu yolg'on kirish nuqtasi. Vaqti-vaqti bilan jamoat joylarida, masalan, aeroportlarda, zararli tarzda joylashtirilgan Wi-Fi ulanish nuqtalarini topasiz.
    Operator aeroport zalida pulli WiFi xizmati orqali internetga kiradigan va bepul xizmatni reklama qiladigan noutbuk bilan o'tirishi mumkin; Agar siz undan foydalansangiz, u siz kiritgan har qanday ochiq matn parollarini, masalan, veb-pochtangiz yoki Amazon hisob qaydnomangizga kirita oladi va agar siz onlayn-bankingni amalga oshirishga harakat qilsangiz, u sizni zararli saytga yuborishi mumkin. Shunday qilib, ta'sirlar biroz ishonchli va kamroq kengaytiriladigan bo'lsa-da, haydovchiga o'xshash bo'lishi mumkin. Bundan tashqari, firibgar kirish nuqtalari xodimlar korporativ siyosatga zid ravishda o'zlariga qulaylik yaratish uchun o'rnatgan qurilmalar yoki hatto trafikni shifrlamaslik uchun noto'g'ri sozlangan rasmiy tugunlar bo'lishi mumkin. Shifrlanmagan Wi-Fi trafigining ahamiyati katta bo'ladimi, bu vaziyatga bog'liq bo'ladi; Men buni keyinroq shifrlashga kelganimizda batafsilroq muhokama qilaman.


        1. Download 226.42 Kb.
    1   2   3   4   5   6   7   8   9   ...   35




    Download 226.42 Kb.