447
33.2-rasm. Paketlar filtri, ilovalar shlyuzi va ruxsatsiz kirishlarni aniqlash tizimlari
sensorlarini ishlatadigan tashkilot
33.2-rasmda tasvirlanganidek, nima uchun to‘g‘ridan-to‘g‘ri
paketlar
filtridan keyin atigi bitta bunday sensor o‘rnatish kerak emas (buning ustiga bizga
uni bunday filtrga integratsiyalashga nima halal beradi)? Tez oradi biz amin
bo‘lamizki, ruxsatsiz kirishlarni aniqlash tizimi nafaqat paketlarni
chuqurlashtirilgan tekshirishni bajaradi, balki undan o‘tadigan har bir paketni o‘n
minglab “signaturalar” bilan taqqoslaydi. Bu ayniqsa, agar tashkilot har sekundda
Internetdan gigabitlardagi trafikni qabul qilsa, sezilarli hisoblash harajatlarini talab
qilishi mumkin. Agar IDS sensorlari tashkiliy tarmoqda birmuncha quyida
joylashtirilsa, bu sensorlardan har biri tashkilot trafigini faqat ulushini qayta
ishlashga oladi, bunday ishni bajarish ancha yengil bo‘ladi. Shunga qaramay,
bugungi kunda ruxsatsiz kirishlarni aniqlash va oldini
olishni yuqori samarador
tizimlari mavjud va ko‘plab tashkilotlar ulanish marshrutizatorining yoniga
o‘rnatilgan atigi bitta bunday sensorga ega.
Barcha ruxsatsiz kirishlarni aniqlash tizimlarini ikkita katta -
signaturalarni tekshirish asosida ishlaydigan
va
chetga chiqishlarni aniqlash
448
asosida ishlaydigan
toifalarga bo‘lish mumkin. Signaturalarni
tekshirish asosida
ishlaydigan ruxsatsiz kirishlarni aniqlash tizimlari, hujumlar signaturalari keng
ma’lumotlar omborini yuritadi. Har bir signatura bu u yoki bu turdagi ruxsatsiz
kirish bilan kurashish usullarini tavsiflaydigan qoidalar to‘plami hisoblanadi.
Signatura alohida olingan paketning oddiy xarakteristikalari to‘plami bo‘lishi
mumkin (masalan, birinshi va oxirgi portlar raqami, protocol turi,
bitlarni aniq
ketma-ketligi, paketni foydali yuklamasida tekshiriladigan mavjudlik) va nafaqat
alohida paketga, balki paketlar turkumiga kiradi. Signaturalarni shakllantirish bilan
ma’um hujumlar turlari bilan shug‘ullanadigan, tarmoq xavfsizligi bo‘yicha
tajribali mutaxassislar shug‘ullanishadi. Tashkilot hisoblash tarmog‘i ma’muriy
signaturani tuzatishi, shuningdek o‘z signaturalar variantlarini ma’lumotlar
omboriga qo‘shishi mumkin.
Amalda signaturalar asosida ishlaydigan ruxsatsiz kirishlarni aniqlash tizimi
u orqali o‘tadigan har bir paketning ma’lumotlarini uning ma’lumotlar omborida
bo‘lgan signaturalar bilan taqqoslash bilan paketlarni tahlil qiladi. Agar paket (yoki
paketlar turkumi) ma’lumotlar omborida bo‘lgan signatura bilan mos tushsa, u
holda ruxsatsiz kirishlarni aniqlash tizimi ogohlantirishni generatsiyalaydi.
Ogohlantirish elektron xabar ko‘rinishida hisoblash markazi ma’muriga jo‘natilishi
yoki keyingi tekshirish uchun oddiy jurnalga yozib qo‘yilishi mumkin.
Signaturalarni tahlil qiladigan ruxsatsiz kirishlarni aniqlash tizimi juda keng
tarqalgan, ularga ayrim cheklashlar xos. Aniq signaturani
generatsiyalash uchun
bunday tizim u yoki bu hujumning mavjudligi haqida oldindan bilishi kerakligi
barchasidan muhim. Boshqacha aytganda, bunday tizim hali hech qayerda qayd
etilmagan yangi hujumlarga qarshi mutlaqo kuchsiz. Boshqa nozik farq shundan
iboratki, signaturaning mos tushishi hujum bilan bog‘lanmagan bo‘lishi mumkin,
bunday holda tizim xato natijani berishi mumkin. Nihoyat, modomiki,
har bir
paketni juda katta signaturalar to‘plami bilan taqqoslashga to‘g‘ri keladi, ruxsatsiz
kirishlarni aniqlash tizimi bunday ishni oddiy eplay olmasligi va ko‘plab
zararkunanda paketlarni “o‘tkazib yuborishi” mumkin.
449
Chetga chiqishlarni aniqlash asosida ishlaydigan ruxsatsiz kirishlarni
aniqlash tizimi shtatdagi rejimda kuzatiladigan xavfsiz trafik profilini yaratadi.
Keyin u statik g‘ayrioddiyliklarga ega bo‘lgan paketlar oqimlarini kuzatadi.
Masalan, oqimda ICMP-paketlar sonini noproporsional ortishi yoki portlarni
skaynerlashi, yoki manzillarning exo-testlash jadalliklarini to‘satdan keskin
sakrashi kuzatilishi mumkin. Bunday ruxsatsiz kirishlarni aniqlash tizimlarining
ajoyib xususiyati shundan iboratki, ishlashda
ular mavjud hujumlar haqida
oldindan ma’lum ma’lumotlarga ega bo‘lmaydi, ya’ni ular mutlaqo yangi hali
tavsiflanmagan hujumlarni potensial aniqlay oladi. Boshqa tomondan, normal va
statistik o‘zgacha trafikni ajratish o‘ta qiyin. Hozirgi vaqtda ruxsatsiz kirishlarni
aniqlash tizimlari orasida, u yoki bu darajada chetga
chiqishlarni aniqlash bilan
shug‘ullanadigan tizimlar uchrasada, signaturalar asosida ishlaydigan tizimlar
ustun turadi.
