446
Agar u yoki bu harakat bu qurilmaga faqatgina shubhali tuyulsa, paketlarni
o‘tkazadi, lekin hisoblash tarmog‘ining ma’muriga mos bildirishni jo‘natadi.
Ma’mur trafikni diqqat bilan tahlil qilishi va zarur choralarni ko‘rishi mumkin.
Potensial xavfli trafik haqida bunday bildirishlarni
generatsiyalaydigan qurilma
ruxsatsiz kirishlarni aniqlash tizimi (intrusion detection system, IDS) deyiladi.
Shubhali trafikni filtrlaydigan bunday qurilma
ruxsatsiz kirishlarni oldini olish
tizimi (intrusion prevention system, IPS) deyiladi.
Bu bo‘bda biz
har ikkala sinflardagi ham IDS, ham IPS tizimlarni
o‘rganamiz, binobarin, bunday qurilmalarning eng qiziqarli texnik tomoni ular
qanday qilib shubhali trafikni aniqlashidan (hisoblash tarmog‘ining ma’murini
ogohlantirishidan yoki paketlarni oddiy tashlab yuborishidan emas) iborat.
Shuning uchun biz bu barcha qurilmalar haqida IDS-ruxsatsiz kirishlarni aniqlash
tizimlari sifatida gapiramiz.
Tashkilotning tarmog‘ida bir yoki bir necha ruxsatsiz
kirishlarni aniqlash
tizimlari ishlashi mumkin. 33.2-rasmda tarmog‘ida uchta IDS-sensor o‘rnatigan
tashkilot tasvirlangan. Bir necha bunday sensorlarni bir vaqtda qurishda ular
odatda IDS markaziy protsessoriga shubhali trafik haqida ma’lumotlarni qayta
uzatish bilan muvofiqlashtirilgan o‘zaro ta’sirlashishadi, IDS barcha bunday
ma’lumotlarni to‘playdi va tizimlashtiradi, shuningdek agar zarur bo‘lsa, hisoblash
tarmog‘i ma’muriga bildirishni jo‘natadi. 33.2-rasmdan ko‘ramizki, tashkilot o‘z
tarmog‘ini ikkita segmentga bo‘lgan. Ulardan birinchisida paketlar filtri va ilovlar
shlyuzi yordamida ta’minlanadigan yuqori xavfsizlik darajasiga rioya qilinadi. Bu
segmentdagi vaziyat IDS sensorlari orqali kuzatiladi. Xavfsizlik darajasi pastroq
bo‘lgan
ikkinchi segment himoyalanmaan xudud deyiladi. Qurolsizlantirilgan
sohani himoyalanishiga faqat paketlar filtri javob beradi, lekin unda ham IDS
sensorlari ishlaydi. E’tibor bering, aynan qurolsizlantirilgan sohada tashkilotning
tashqi duyo bilan aloqasini ma’minlaydigan
serverlari, masalan, umumiy
foydalanishdagi web-server va vakolatli DNS-server o‘rnatilgan.
447
33.2-rasm. Paketlar filtri, ilovalar shlyuzi va ruxsatsiz kirishlarni aniqlash tizimlari
sensorlarini ishlatadigan tashkilot
33.2-rasmda tasvirlanganidek, nima uchun to‘g‘ridan-to‘g‘ri paketlar
filtridan keyin atigi bitta bunday sensor o‘rnatish kerak emas (buning ustiga bizga
uni bunday filtrga integratsiyalashga nima halal beradi)? Tez oradi biz amin
bo‘lamizki, ruxsatsiz kirishlarni aniqlash
tizimi nafaqat paketlarni
chuqurlashtirilgan tekshirishni bajaradi, balki undan o‘tadigan har bir paketni o‘n
minglab “signaturalar” bilan taqqoslaydi. Bu ayniqsa, agar tashkilot har sekundda
Internetdan gigabitlardagi trafikni qabul qilsa, sezilarli hisoblash harajatlarini talab
qilishi mumkin. Agar IDS sensorlari tashkiliy tarmoqda birmuncha quyida
joylashtirilsa, bu sensorlardan har biri tashkilot trafigini faqat ulushini qayta
ishlashga oladi, bunday ishni bajarish ancha yengil bo‘ladi. Shunga qaramay,
bugungi kunda ruxsatsiz kirishlarni aniqlash va oldini olishni yuqori samarador
tizimlari mavjud va ko‘plab tashkilotlar ulanish
marshrutizatorining yoniga
o‘rnatilgan atigi bitta bunday sensorga ega.
Barcha ruxsatsiz kirishlarni aniqlash tizimlarini ikkita katta -
