Ruxsatsiz kirishni aniqlash tizimlari




Download 11,41 Mb.
Pdf ko'rish
bet186/209
Sana25.12.2023
Hajmi11,41 Mb.
#128215
1   ...   182   183   184   185   186   187   188   189   ...   209
Bog'liq
Internet tarmoqlari va xizmatlari (1)

 
33.2. Ruxsatsiz kirishni aniqlash tizimlari 
 
Yuqorida paketli filtrlar (an’anaviy va ulanishlarni holatini hisobga 
oladigan) tarmoqlararo ekran dan qaysi paketlarni o‘tkazish mumkinligi haqida 
qaror qabul qilish bilan, IP, TCP, UDP va ICMP protokollaridagi sarlavhalar 
maydonlarini qanday qilib ko‘rishi ko‘rib chiqilgan edi. Lekin ko‘plab hujumlar 
turlarini aniqlash uchun bizga paketlarni chuqurlashtirilgan tekshirish, ya’ni 
nafaqat sarlavhalar maydonlarini, balki paketdagi ilovalar ma’lumotlarini ham 
tahlil qilish talab qilinadi. Ilovalar shlyuzlari ko‘pincha paketlarni 
chuqurlashtirilgan tekshirishni amalga oshiradi. Lekin shlyuz bu masalani faqat 
aniq bir ilova uchun hal etadi. 
Aytaylik, bu holda bizga nafaqat undan o‘tadigan paketlarning sarlavhasini 
tekshiradigan (paketlar filtriga o‘xshagan), balki ularning chuqurlashgan 
tekshirlishini bajaradigan (paketlar filtri qila olmaydigan) yana bir qurilma kerak 
bo‘lar edi. Agar bunday qurilma shubhali paketni yoki ularning turukumini 
payqasa, u holda u bunday paketlarni korporativ tarmoqqa tushishini oldini oladi. 

446 
Agar u yoki bu harakat bu qurilmaga faqatgina shubhali tuyulsa, paketlarni 
o‘tkazadi, lekin hisoblash tarmog‘ining ma’muriga mos bildirishni jo‘natadi. 
Ma’mur trafikni diqqat bilan tahlil qilishi va zarur choralarni ko‘rishi mumkin. 
Potensial xavfli trafik haqida bunday bildirishlarni generatsiyalaydigan qurilma 
ruxsatsiz kirishlarni aniqlash tizimi (intrusion detection system, IDS) deyiladi. 
Shubhali trafikni filtrlaydigan bunday qurilma ruxsatsiz kirishlarni oldini olish 
tizimi (intrusion prevention system, IPS) deyiladi. 
Bu bo‘bda biz har ikkala sinflardagi ham IDS, ham IPS tizimlarni 
o‘rganamiz, binobarin, bunday qurilmalarning eng qiziqarli texnik tomoni ular 
qanday qilib shubhali trafikni aniqlashidan (hisoblash tarmog‘ining ma’murini 
ogohlantirishidan yoki paketlarni oddiy tashlab yuborishidan emas) iborat. 
Shuning uchun biz bu barcha qurilmalar haqida IDS-ruxsatsiz kirishlarni aniqlash 
tizimlari sifatida gapiramiz. 
Tashkilotning tarmog‘ida bir yoki bir necha ruxsatsiz kirishlarni aniqlash 
tizimlari ishlashi mumkin. 33.2-rasmda tarmog‘ida uchta IDS-sensor o‘rnatigan 
tashkilot tasvirlangan. Bir necha bunday sensorlarni bir vaqtda qurishda ular 
odatda IDS markaziy protsessoriga shubhali trafik haqida ma’lumotlarni qayta 
uzatish bilan muvofiqlashtirilgan o‘zaro ta’sirlashishadi, IDS barcha bunday 
ma’lumotlarni to‘playdi va tizimlashtiradi, shuningdek agar zarur bo‘lsa, hisoblash 
tarmog‘i ma’muriga bildirishni jo‘natadi. 33.2-rasmdan ko‘ramizki, tashkilot o‘z 
tarmog‘ini ikkita segmentga bo‘lgan. Ulardan birinchisida paketlar filtri va ilovlar 
shlyuzi yordamida ta’minlanadigan yuqori xavfsizlik darajasiga rioya qilinadi. Bu 
segmentdagi vaziyat IDS sensorlari orqali kuzatiladi. Xavfsizlik darajasi pastroq 
bo‘lgan ikkinchi segment himoyalanmaan xudud deyiladi. Qurolsizlantirilgan 
sohani himoyalanishiga faqat paketlar filtri javob beradi, lekin unda ham IDS 
sensorlari ishlaydi. E’tibor bering, aynan qurolsizlantirilgan sohada tashkilotning 
tashqi duyo bilan aloqasini ma’minlaydigan serverlari, masalan, umumiy 
foydalanishdagi web-server va vakolatli DNS-server o‘rnatilgan. 

447 
 
33.2-rasm. Paketlar filtri, ilovalar shlyuzi va ruxsatsiz kirishlarni aniqlash tizimlari 
sensorlarini ishlatadigan tashkilot
33.2-rasmda tasvirlanganidek, nima uchun to‘g‘ridan-to‘g‘ri paketlar 
filtridan keyin atigi bitta bunday sensor o‘rnatish kerak emas (buning ustiga bizga 
uni bunday filtrga integratsiyalashga nima halal beradi)? Tez oradi biz amin 
bo‘lamizki, ruxsatsiz kirishlarni aniqlash tizimi nafaqat paketlarni 
chuqurlashtirilgan tekshirishni bajaradi, balki undan o‘tadigan har bir paketni o‘n 
minglab “signaturalar” bilan taqqoslaydi. Bu ayniqsa, agar tashkilot har sekundda 
Internetdan gigabitlardagi trafikni qabul qilsa, sezilarli hisoblash harajatlarini talab 
qilishi mumkin. Agar IDS sensorlari tashkiliy tarmoqda birmuncha quyida 
joylashtirilsa, bu sensorlardan har biri tashkilot trafigini faqat ulushini qayta 
ishlashga oladi, bunday ishni bajarish ancha yengil bo‘ladi. Shunga qaramay, 
bugungi kunda ruxsatsiz kirishlarni aniqlash va oldini olishni yuqori samarador 
tizimlari mavjud va ko‘plab tashkilotlar ulanish marshrutizatorining yoniga 
o‘rnatilgan atigi bitta bunday sensorga ega.
Barcha ruxsatsiz kirishlarni aniqlash tizimlarini ikkita katta - 

Download 11,41 Mb.
1   ...   182   183   184   185   186   187   188   189   ...   209




Download 11,41 Mb.
Pdf ko'rish