3. Korporativ tarmoqlarda xavfsizlikni ta’minlash usullari. Korporativ tarmoq – lokal tarmoqlardan o’zining katta taqsimlangan
hududi bilan farq qiladi. Bunday tarmoqlarda lokal va global tarmoqlaridagi kabi
himoya mexanizmi va usullari qo’llaniladi. Korporativ tarmoqlar havfsizligini
ta’minlash uchun aksariyat hollarda virtual xususiy tarmoq (Virtual Private
Network, VPN) texnologiyasi qo’llaniladi. Ushbu texnologiya korporativ tarmoq
resurslariga umumiy foydalanishga mo’ljallangan tarmoq, masalan Internet
tarmog’i vositasida xavfsiz foydalanishni ta’minlashga imkon beradi. Xususiy
tarmoqlar internet xizmatini taqdim qiluvchilar va turli telefon kompaniyalari
tomonidan ijaraga beriladigan aloqa kanallaridan tashkil topgan bo’lib,
tashkilotlar tomonidan masofadagi saytlar va boshqa tashkilotlar bilan bog’lanish
uchun ishlatiladi.
Ushbu aloqa kanallari ikkita sayt orasida o’zaro aloqani ta’minlovchi ijara
kanallari kabi umumiy trafikdan ajratilgan holda faqat ikkita obyektni bog’laydi.
VP
N qurishning uchta turi mavjud:
-
apparat tizimlari;
-
dasturiy tizimlari;
-
veb-tizimlari.
Umumiy foydalanadigan tarmoqqa chiqishda xavfsizlikni ta’minlashning
eng samarali usullaridan biri sifatida tarmoqlararo ekran tizimini o’rnatishni
aytish mumkin. Ushbu majmua berilgan qoidalar asosida o’tuvchi tarmoq
paketlarini filtrlovchi va nazorat qiluvchi apparat yoki dasturiy vositalardir.
Tarmoqlararo ekranning asosiy vazifasi kompyuter tarmoqlari yoki ayrim
uzellarni ruxsat etilmagan foydalanishlardan himoyalash hisoblanadi. Dasturiy
tarmoqlararo ekranlarga quyidagilarni misol qilishimiz mumkin: Agnitum
Outpost, Symantec Firewall, Zone Alarm.
81
Rasm.6.2
. Tarmoqlararo ekran texnologiyasi
Shuningdek tarmoqlarni himoyalash uchun suqilib kirishlarni aniqlash
tizimlari (Intrusion Detection System) deb nomlanuvchi maxsus vositalardan ham
foydalaniladi. IDS tizimlari kompyuter tizimlari xavfsizligini buzishi mumkin
bo’lgan ayrim zararli faol turlarni aniqlashda foydalaniladi. Bunday faollikka zaif
xizmatlarga qarshi qaratilgan tarmoq xujumlari, imtiyozni oshirishga qaratilgan
hujumlar, muhim fayllardan avtorizasiyasiz foydalanish, hamda zararli dasturiy
ta’minotlar harakatlari(kompyuter viruslari, troyanlar va qurtlar) kiradi.
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi:
-
himoyalangan tizimlar xavfsizligi bilan bog’liq holatlarni yig’ib
tahlillovchi sensor qismtizimi;
-
sensorlar ma’lumotlariga ko’ra shubhali harakatlar va xujumlarni
aniqlashga mo’ljallangan tahlillovchi qismtizim;
-
tahlil natijalari va dastlabki holatlar haqidagi ma’lumotlarni yig’ishni
ta’minlaydigan omborxona;
-
IDS tizimini konfigurasiyalashga imkon beruvchi, IDS va himoyalangan
tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan mojarolarni
kuzatuvchi boshqaruv konsoli.
Aksariyat IDS tizimlarida barcha tarkibiy qismlari yagona modul yoki
qurilma ko’rinishida amalga oshirilgan.
Suqilib kirishlarni bartaraf qilish tizimlari (
Intrusion Prevention System ) —
suqilib kirishlar yoki xavfsizlik buzilishlarini aniqlovchi va avtomat bartaraf
etuvchi dasturiy yoki apparat tizim. IPS tizimlarini IDS tizimlarining
kengaytirilgan varianti sifatida ko’rish mumkin, ammo xujumlarni kuzatish
vazifasi bir xilligicha qoladi. Ular asosan faollikni real vaqt davomida kuzatib
borishi va tezkorlik bilan xujumni bartaraf qilish harakatlarini amalga oshirishi
bilan farqlanadi. Ushbu tizimlar quyidagi kategoriyalarga bo’linadi:
Tarmoq IPSlari (
Network-based Intrusion Prevention, NIPS );
Simsiz tarmoqlar uchun IPS(
Wireless Intrusion Prevention Systems, WIPS );
Tarmoqni holatga ko’ra tahlillash (
Network Behavior Analysis, NBA );
82
Alohida kompyuterlar uchun suqilib kirishlarni bartaraf qilish (
Host-based Intrusion Prevention, HIPS ).
Suqilib kirishlarni aniqlash va bartaraf qilish tizimlariga misol tariqasida
quyidagilarni keltirishimiz mumkin: Snort, Open VAS, Bro, Prelude Hybrid,
OSSEC, Check Point IPS Blade, Check Point, McAfee.
