Kommunikasiyalarini rivojlantirish vazirligi muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti

Download 11,41 Mb. Pdf ko'rish
bet	185/209
Sana	25.12.2023
Hajmi	11,41 Mb.
	#128215

1 ... 181 182 183 184 185 186 187 188 ... 209

Bog'liq
Internet tarmoqlari va xizmatlari (1)

Siyosat
Tarmoqlararo ekranning
sozlanishi
Korporativ tarmoq tashqarisida
Internetga ulanishni ta’qiqlash
80-port orqali istalgan adreslarga
boradigan barcha chiqish
paketlarini tashlab yuborish
Tashkilotning umuiy
foydalanishdagi serveridan
keladiganlardan tashqari, kirit
TCP-ulanishlarni ta’qiqlash
80-port 130.207.244.203dan
tashqari istalgan IRdan barcha
kirish TCP SYN paketlarini
tashlab yuborish
Internet-radio trafigiga
ma’lumotlarni uzatish polosasi
aktiv sarflanishiga yo‘l qo‘ymaslik
DNS-paketlardan tashqari barcha
kirish UDP- paketlarni tashlab
yuborish
Sizning tarmog‘ingizni
o‘zgartirilgan adreslarli (smurf
attack) va keyingi xizmat
ko‘rsatishga rad etishli ICMP-
so‘rovlar bilan hujumlar uchun
ishlatilishiga yo‘l qo‘ymaslik
Keng uzatishli adreslar (masalan,
130.207.255.255) bo‘yicha
yo‘naltiriladigan ICMP
protokolining barcha ping-
paketlarini tashlab yuborish
Sizning tarmog‘ingizni
trassalashtirishdan himoyalash
ICMP protokoli bo‘yicha
uzatiladigan va tugagan TTL
qiymatga ega bo‘lgan butun trafikni
tashlab yuborish

443
Hisoblash tarmog‘i ma’muri, tashkilotda amalda bo‘lgan qoidalarga tayanish
bilan tarmoqlararo ekran ni konfiguratsiyalaydi. Siyosat foydalanuvchining ishlash
jadalligi va ma’lumotlarni uzatish polosasini sarflanishining aktivligi, shuningdek
tashkilotda amalda bo‘lgan xavfsizlik mulohazalarini hisobga olishi mumkin. 33.1-
jadvalda tashkilotda amalda bo‘lishi mumkin bo’lgan bir qator siyosatlar sanab
o‘tilgan, shuningdek ular paketli filtr yordamida potensial ishlatilishi mumkinligi
tavsiflangan. Masalan, agar kompaniya uning web-serveri initsializatsiyalaydigan
TCP-ulanishlardan tashqari, boshqa hech qanday kirish TCP-ulanishlarni qabul
qilishni istamaydi, u holda bunday tarmoq tarmoqlararo ekran i web-serverning 80-
porti va IP-adresi ko‘rsatilganlardan tashqari, barcha kirish TCP SYN
segmentlarini to‘sib qo‘yishi mumkin. Agar tashkilot, uning foydalanuvchilari
internetga ulanish polosasini radio-ilovalar bilan to‘liq egallashini istamasa, u
holda tarmoqlararo ekran butun keraksiz UDP-trafikni to‘sib qo‘yadi (chunki
Internet-radio ko‘pincha UDP protokoli bo‘yicha translyatsiya qilinadi). Agar
tashkilot
jinoyatchilar
borishi mumkin bo‘lgan o‘z ichki tarmog‘ini
trassalashtirilishini oldini olishga intilsa, u holda u korporativ tarmoqning
tashqarisiga yo‘naltiriladigan tugagan TTL qiymatli barcha ICMP-xabarlarni
(hayot vaqti oldindan belgilangan) to‘sib qo‘yishi mumkin.
Filtrlash siyosati asosida adreslar va portlar raqamlari kombinatsiyalari ham
yotishi mumkin. Masalan, filtrlovchi marshrutizator faqat ro’yxatda ko‘rsatilgan
ko‘plab IP-adreslardan chiqadigan yoki bu ro‘yxatdan adreslarga yo‘naltiriladigan
Telnet-deytagrammalarni (23-portga boradigan) uzatishi mumkin. Bunday siyosat
faqat ruxsat etilgan adreslar ro‘yxatiga kiritilgan xostlardan-xostlarga Telnet-
ulanishlarni o‘rnatilishiga ruxsat etadi. Afsuski, tashqi adreslar asosida siyosatni
qurishda adreslari spufingga uchragan deytagrammalardan himoyalanish mumkin
emas.
Filtlash TCP ASK biti o‘rnatilganligi belgisi bo‘yicha ham amalga
oshirilishi mumkin. Agar tashkilot o‘z ichki mojozlariga tashqi serverlarga
ulanishga ruxsat berishni, lekin bir vaqtda tashqi mijozlarga tashkilotning ichki

444
serverlariga ulanishga ruxsat bermaslikni rejalashtirsa, bunday usul juda foydali
bo‘ladi. Har bir TCP-ulanishda birinchi segmentda ASK-bit nolga o‘rnatilgan, u
holda ulanish doirasida barcha qolgan segmentlar 1 ga o‘ratilgan. Mos ravishda,
agar tashkilotda tashqi mijozlar va ichki serverlar orasida ulanishlarga yo‘l
qo‘ymaslik talab qilinsa, u holda tizim ASK-biti 0 qiymatga ega bo‘lgan barcha
kirish segmentlarini oddiy filtrlashi kerak bo‘ladi. Bunday siyosat tashqaridan
o‘rnatiladigan barcha TCP-ulanishlarni to‘sib qo‘yadi, lekin korporativ tarmoqning
ichidan initsializatsiyalanadigan ulanishlarga ruxsat etadi.
Tarmoqlararo ekran qoidalari marshrutizatorlarda ulanishni nazorat qilish
ro‘yxatlari yordamida ishlatiladi, binobarin, marshrutizator interfeysi o‘z
qoidalariga ega. 222.22/16 tashkilot uchun ulanishni nazorat qilish ro‘yxatiiga
misol 33.2-jadvalda keltirilgan.
33.2-jadval
Marshrutizator interfeysi uchun ulanishni nazorat qilish ro‘yxati
Amal
Dastlabki
adres
Oxirgi
adres
Protokol
Dastlabki
port
Oxirgi
port
Bayroq
biti
Ruxsat
etish
222.22/16 Tashqi
222.22/1
6
TCP
>1023
80
Istalgan
Ruxsat
etish
Tashqi
222.22/16
222.22/1
6
TCP
80
>1023
ASK
Ruxsat
etish
222.22/16 Tashqi
222.22/1
6
UDP
>1023
53
—
Ruxsat
etish
Tashqi
222.22/16
222.22/1
6
UDP
53
>1023
—
Ta’qiqlas
h
Barcha
Barcha
Barcha
Barcha
Barcha Barcha
Qoidalar bu interfeys orqali yuqoridan pastga o‘tadigan har bir
deytagrammada qo‘llaniladi. Birinchi ikkita qoidalar birgalikda foydalanuvchilarga
Internet bo‘ylab sayr qilishga imkon beradi. Birinchi qoida yuborilishi 80-portli
paketga tashkilotni tark etishga imkon beradi. Ikkinchi qoida dastlabki 80-portli va

445
o‘rnatilgan ASK-bitli istalgan paket, tashkilotning tarmog‘iga kira olishini
kafolatlaydi. E’tibor bering, agar tashqi manba ichki xostilan TCP-ulanishni
o‘rnatishga urinsa, hatto agar jo‘natuvchi yoki qabul qiluvchi porti 80-port
hisoblansada, bunday ulanish to‘sib qo‘yiladi. Ikkinchi ikkita qoidalar birgalikda
DNS-paketlarga tashkilot tarmog‘iga kirishga va uni tark etishga imkon beradi.
Umuman olganda yetarlicha qat’iy ulanishni nazorat qilish ro‘yxati, biinchidan
tashkilotdan chiqadigan Internet-trafikdan, ikkinchidan DNS-trafikdan tashqari
butun trafikni to‘sib qo‘yadi. “Packet Filtering for Firewall Systems” hujjatda
namunaviy tarmoq, amaliy masalalaridagi qator keng tarqalgan illatlardan
qochishga imkon beradigan port/protokol prinsipi bo‘yicha tavsiya etiladigan
filtrlash variantlari ro‘yxati berilgan.

Download 11,41 Mb.

1 ... 181 182 183 184 185 186 187 188 ... 209

Download 11,41 Mb.

Pdf ko'rish