395
Nazorat uchun savollar:
1. Ovozni paketli uzatish tamoyillari asosiy mohiyati nimada?
2. Ovozni paketli uzatish texnologiyasining asosiy komponentlarini ayting va
vazifalarini keltiring.
3. VoIP texnologiyasi uchun qo’llaniladigan protokollar tarkibini sanang.
4. Qaysi turdagi ma’lumotlar uzatilishiga real vaqt aloqasi deyiladi?
5. RTP paketi sarlavha maydonida qanday ma’lumotlarni tashiydi?
6. RTP da qo‘llanadigan audio ma’lumot turi.
7. RTPda qo‘llanadigan videoning ma’lumot turlari va formatlari.
8. RTP paketining sarlavha maydoni.
9. SIP protokolining vazifasi nimalardan iborat?
10. SIP qanday rejimda ishlaydi?
11. SIP protokolining so‘rovlari va ularning vazifalarini keltiring.
12. SIP ro‘yxatga olish serveri va proksi serveri qanday vazifalarni bajaradi?
13. SIP tarmog‘ining asosiy elementlarini nimalar tashkil etadi?
396
13-BO’LIM. INTERNET TARMOG’IDA AXBOROT XAVFSIZLIGI
30-BOB. Internet tarmog’i havfsizligining umumiy tushunchalari
30.1. Kriptografiya asoslari
Global kompyuter tarmoqlari haqida gapirganimizda, internet hujumlari,
shuningdek zararli dasturlar orqali hujum qilish, DoS hujumlari, niqoblanish
hamda xabar o’zgartirish va o’chirish holatlarini qanday qilib bu kabi hujumlardan
humoyalash mumkin. Internet protokollari va kompyuter tarmoqlaridan olingan
bilimlar bilan qo’llagan holda, axborot xavfsizligini chuqur o’rganamiz va shu
bilan birga qanday qilib kompyuter tarmoqlarini bu kabi havflardan va
hujumlardan himoyalash mumkin?
Tarmoq xavfsizligini o’rganishni ikki foydalanuvchining o’zaro xavfsiz
ma’lumot almashish jarayoni bilan o’rganamiz. Bu nima degani? Birinchi
foydalanuvchi o’zi jo’natgan xabarni faqat ikkinchi foydalanuvchi o’qiy olishini
xoxlaydi, xatto ular xavfsizligi ta’minlanmagan aloqa muhiti orqali aloqa
o’rnatayotgan bo’lsalar ham. Xavfsizligi ta’minlanmagan aloqa muhitidan boshqa
bir foydalanuvchi ularni xabarini yashirincha o’qishi mumkin. Shuningdek,
ikkinchi foydalanuvchi o’zi qabul qilgan xabarni birinchi foydalanuvchi
jo’natganiga amin bo’lishi kerak, birinchi foydalanuvchi ham o’z navbatida u bilan
aloqa o’rnatayotgan shaxs ikkinchi foydalanuvchi bo’lishiga amin bo’lishi kerak.
bir foydalanuvchi va ikkinchi foydalanuvchi aloqa o’rnatilgan kanaldan
almashayotgan xabarlari o’zgarmaganiga ishonchlari komil bo’lishi lozim. Bu
muhokamalardan, xavfsiz aloqani quyidagi ajoyib hususiyatlarini aniqlab olishimiz
mumkin:
- Maxfiylik. Faqat uzatuvchi va qabul qiluvchi tarmoqdan uzatilgan xabarni
tushuna olishi kerak. Sababi, yashirincha eshituvchilar xabarni
397
tarmoqdan ushlab olishlari mumkin. Shuning uchun ham xabarni axborot
xavfsiligini ta’minlash muhimki, mobodo uzatilgan xabar yashirincha
ushlab olingan holatda ham uni o’qib bo’lmasin. Xavfsiz aloqa terminini
tushunish uchun ehtimol maxfiylikni tub ma’nosini anglash lozim
bo’ladi.
- Xabarni butunligi. Alisa va Bob ularning o’rtalaridagi aloqa kontenti ham
tasodifan, ham qastdan o’zgartirilmaganligiga ishonchlari komil bo’lishi
kerak. Xabar butunligini ta’minlashda ishonchli kanal va transport sathi
protokollaridan foydalanish orqali amalga oshirish mumkin. Sababi, bu
sath protokollari ma’lumot bitlarini umumiy qiymatini ma’lumotga
qo’shib uzatadi, hamda qabul qilishda ham umumiy bitlar qiymati
hisoblanadi va qabul qilingan nusxaga taqqoslash orqali xabarning
butunligi aniqlanadi va bu texnika nazorat yig’indi texnikasi deyiladi.
- Oxirgi punkt autentifikasiyasi. Ham uzatuvchi ham qabul qiluvchi tomon
aloqa kanaliga qo’shilgan uchunchi tomonni aniqlab tasdiqlashi kerak.
Masalan yuzma-yuz aloqa qilinganida bunday muammo bo’lmasligi
mumkin. Lekin aloqa kanali bo’ylab xabar almashayotgan vaqtda bunday
muammoni aniqlab olish juda murakkab, autentifikasiya qilish oson
bo’lmaydi. Agar foydalanuvchi elektron pochta qutisiga kirmoqchi
bo’lsa, qanday qilib pochta serveri, foydalanuvchi ayolmi yoki
erkakligini aniqlaydi
- Operatsion xavfsizlik. Bugungi kunda deyarli barcha tashkilotlarning
(kompaniyalar, universitetlar, va x.k.) o’z tarmoqlari mavjud bo’lib,
Internetga ulanish imkoniyatiga ega. Shuning uchun ham, bu tarmoqlar
bir-birlari bilan o’zaro hamkorlik qilish imkoniyatiga ega. Shu sababdan
ham hujumchilar tarmoqdagi oxirgi terminallarga har doim xavf
solishlari, tashkilot sirlarini bilib olishlari, ichki tarmoq bog’lanishlarini
aniqlab olishlari, hamda DoS hujumlarni amalga oshirishlari mumkin.
Firewall qurilmasi umumfoydalanuvchi tarmoq va tashkilot tarmog’i
398
o’rtasiga o’rnatilgan bo’lib, tarmoqdan kelayotgan va tarmoqqa
chiqayotgan paketlarni nazorat qiladi. Xavfni aniqlovchi tizimlar
“paketni chuqur tahlil qilish” vazifasini bajaradi, hamda shubhali
harakatlar haqida tarmoq administratoriga ma’lum qiladi.
Tarmoq xavfsizligi haqida qisqacha ko’rib chiqdik, endi buzg’unchi aynan
qaysi axborotlarga chiqish imkoniyatiga ega bo’ladi va u qanday faoliyatlarni
amalga oshirishi mumkinligi haqida muhokama qilib chiqamiz. 30.1-rasmda
ko’rsatilgan senariyda Alisa Bobga ma’lumot jo’natishni xoxlaydi. Xavfsiz
ma’lumot almashishni tartibli amalga oshirish uchun maxfiylikni, oxirgi punkt
autentifikasiyasi, hamda xabarni butunligiga qo’yiladigan talablar bilan tanishib
chiqqan holda Alisa va Bob ma’lumot, hamda nazorat xabarlarini almashishlari
mumkin (aynan TCP uzatuvchilar, hamda qabul qiluvchilar nazorat va ma’lumot
sigmentlarini almashganlaridek). Bu xabarlarning qisman yoki barchasi odatda
kodlanishi mumkin Buzg’unchi olishi mumkin:
yashirincha ma’lumotga ega bo’lishi – masalan kanaldagi ma’lumot
xabarlarini yashirincha eshitishlari, hamda yozib olishlari mumkin;
xabarlarni yoki xabar kontentini o’zgartirishi, ma’lumotga qo’shimcha
qo’shishlari mumkin.
30.1-rasm. Uzatuvchi, qabul qiluvchi va buzg’unchi (Alisa, Bob, Trudi)
399
Ko’rib turganimizdek, bu muammolarga qarshi choralar to’g’ri amalga
oshirilmas ekan, buzg’unchi har doim tarmoq xavfsizligiga tahdid solish uchun
ko’plab imkoniyatlarga ega bo’lar ekan: ma’lumot va parolni yashirincha olish,
boshqa shaxsning nomidan ish olib borish, seans davomiyligida kerakli
ma’lumotlarni tizim resurslariga yuklanishini hosil qilish orqali, foydalanuvchi
tarmog’idagi xizmatlarni ishlash imkoniyatini cheklash va x.k. Qayt qilingan
hujumlar hulosasi CERN boshqaruv markazida saqlanadi [CERN 2012].
Albatta aytib o’tilganidek, Internetda haqiqiy tahdidlar mavjudki, Alisa va
Bob xavfsiz aloqa qilishiga to’sqinlik qilishi mumkin. Bob va Alisa ikki oxirgi
tizimda foydalanuvchi bo’lib, ular rostdan ham xavfsiz e-pochta almashishni
xoxlashadi. Shuningdek, ular elektron tijorat tranzaksiyalarida ham qatnashishni
xoxlab qolishlari mumkin. Masalan, onlayn holatda Bob nimadir sotib olmoqchi
bo’lsa, o’zining kredit kartasi raqamini Web serveriga ishonchli uzatilishini juda
xoxlaydi. Shunga o’xshash, Alisa ham o’zining banki bilan ishonchi tranzaksiya
qilishni xoxlaydi. Tarmoqning turli qismlari bir-biri bilan xavfsiz aloqa o’rnatishni
xoxlaydi, har bir qism uchun axborot xavfsizligi birdek muhim sanaladi, sababi har
biri tarmoq ifrastrukturasining bir bo’lagidir.
Garchi kriptografiyaning tarixi Yuli Sezar davriga borib taqalsada, Internet
tarmoqlarida qo’llanilib kelinayotgan zamonaviy kriptografiya texnikalari oxirgi
30 yilda taraqqiy topdi. Kahni (1967 yilda chop etilgan Kod buzuvchilar) va Sinxni
(1999 Kodli kitob) kitoblari kriptografiyaning uzoq tarixiga bag’ishlangan.
Kriptografiyani to’liq muhokama qilish uchun ma’lum darajadagi kriptografiya
kitoblarini [Kaufmen 1995 va Shinier 1995] ko’rib chiqish talab etiladi, hamda
Internetda qo’llanilib kelinayotgan kriptografiyaning asosiy jihatlariga ko’proq
urg’u berish kerak. Shuningdek, bu bo’limdan ko’zlangan asosiy maqsad
maxfiylikni ta’minlash uchun kriptografiyadan foydalanishning axamiyati
muhokama qilinadi va shu bilan birga qisqacha kriptografiya texnikalari
400
autentifikasiya, xabar butunligi va boshqa masalalar bilan ajralmas bog’liqligi
ko’rib chiqiladi.
Kriptografiya texnikalari ma’lumot jo’natuvchisiga ma’lumotni kodlash
imkonini beradi, hamda kodlash texnikasi maxorat bilan yaratilgan bo’lsa,
ma’lumotni ushlab olgan uchunchi shaxs undan xech qanday foydali ma’lumot
ololmasligi mumkin. Shu o’rinda qabul qiluvchi ham kodlangan ma’lumotni qayta
tiklay olish imkoniyatiga ega bo’lishi kerak. 30.2-rasmda muhim atamalarning
ba’zilari ko’rsatilgan.
Faraz qilaylik, Alisa Bobga xabar jo’natishmoqchi va uning asl xabari
masalan, “Bob, Men seni yaxshi ko’raman, Alisa” ko’rinishida bo’lsin. Kodlash
algoritmidan foydalanib, Alisaning xabari kodlanadi va shunday qilib kodlangan
xabar biror Internet foydalanuvchisi tomonidan ushlangan taqdirda ham o’qib
bo’lmaydigan
holatda
bo’ladi.
Qiziqarlisi,
kodlash
texnikalari
ham
standartlashtiriladi, ularning algoritmlari chop etiladi va barcha uchun foydalanish
mumkin bo’ladi (masalan RFC1321; RFC3447; RFC2420; NIST2001) va xatto
buzg’unchilar uchun ham ochiq bo’ladi. Aniqroq aytadigan bo’lsak, agar kimdir
ma’lumotlarni kodlash uchun qo’llanilgan usuldan xabardor bo’lsa, buzg’unchi
uzatilgan ma’lumotni dekodlashni amalga oshira olmasligi uchun bu yerda maxfiy
ma’lumot bo’lishi kerak, ya’ni kalitlar .
30.2-rasmda Alisaning uzatayotgan ma’lumoti uchun ishlatiladigan kodlash
algoritmiga K
|
