9-LABORATORIYA ISHI
TARMOQNI HIMOYALASH PROTOKOLLARI SCP, SNMP
NI SOZLASH VA LOG FAYLLARNI TADQIQ ETISH
Ishdan maqsad: SCP va SNMP tarmoqlarini himoya qilish
protokollari, log fayllari va Syslog serverining sozlash koʻnikmalarini
hosil qilish.
113
Nazariy qism
Tarmoqni himoyalash protokollari SCP va SNMP
Telnet protokolida barcha ma’lumotlar ochiq koʻrinishda
uzatiladi va buzgʻunchi ularni osonlik bilan egallab olishi mumkin.
Telnetga alternativ sifatida SHH protokoli taklif qilingan boʻlib, unda
barcha ma’lumotlar shifrlanadi. HTTP va HTTPS protokollarida ham
shunga oʻxshash holat.
Biroq, tarmoq qurilmalari bilan ishlashda yuqorida keltirilgan
protokollarga kamdan-kam murojat qilinadi. Quyida biz ularning
koʻproq himoyalangan versiyalari hisoblangan yana bir nechta
mashhur protokollarni koʻrib chiqamiz.
SCP.Tizim
administratorlari
oldida
qurilmalarning
proshivkalarini qayta yuklash boʻyicha vazifalar judayam tez-tez
yuzaga keladi. Buning uchun qurilmaga yangi proshivkani “tashlash”
kerak boʻladi, bu odatda TFTP yoki FTP-server yordamida qilinadi.
Texnologiya juda eski hisoblanadi, ammo bunday serverlar bir nechta
harakat bilan kuchaytirilishi mumkin.(9.1-rasm)
SCP secure copy
Local
Masofadagi qurilma
9.1-rasm. SCP protokolini ishlash prinsipi
Ushbu protokollar
(TFTP va FTP)
yana
qurilmalar
konfiguratsiyalarini Zahira nusxalash uchun koʻp ishlatiladi.
Shubhasiz koʻpchilik quyidagiga oʻxshash buyruqlar bilan tanish:
Router#copy running-config tftp:
Ushbu buyruq bilan joriy konfiguratsiyani masofviy TFTP-
serverga nusxalaydi.
114
Yoki teskari holat, TFTP yoki FTP-server konfiguratsiyani
qayta tiklash uchun ishlatiladi:
Router#copy tftp: running-config
Ammo
ahamiyatli
konfiguratsiya
bilan
ishlashda
himoyalanmagan TFTP yoki FTP-serverlardan foydalanish umuman
mumkin emas. Telnet protokoliga oʻxshab, ushbu protokollar barcha
ma’lumotlarni ochiq koʻrinishda uzatadi, bu buzgʻunchiga juda
qimmatli axborotni – sizning qurilmangizning konfiguratsiyasini
egallab olish imkonini beradi. Bunday muammoni yechish uchun SCP
singari yaxshiroq himoyalangan protokol mavjud.
SCP (secure copy) – fayllarni nusxalash protokoli, u transport
sifatida SHH ni ishlatadi (ya’ni, barcha uzatiluvchi fayllar shifrlanadi).
Ushbu protokol ishlashi uchun SCP-server za’rur. SSH-server xizmati
yoqilgan istalgan Linux distributivi SCP-server hisoblanadi. Windows
uchun SCP-server sifatida maxsus dasturiy ta’minotlar mavjud,
masalan Solarwinds SFTP/SCP server (bepul versiyalari mavjud).
Zahira nusxalash jaroyonining oʻzi quyidagicha amalga oshiriladi:
Router#copy
running-config
scp://user:password@192.168.1.100/
Cisco-Conf/Router1.config
Ushbu buyruq bilan biz 192.168.1.100 ip-adresli SCP-
serverning
Cisco-Conf
deb
nomlangan
papkasiga
joriy
konfiguratsiyani nusxalaymiz, fayl esa Router1.config degan nom
oladi. SCP-serverga ulanish uchun serverda oldindan yaratilgan login
va parol ishlatiladi. Bunda barcha uzatiluvchi axborot shifrlanadi.
SNMP. SNMP – Simple Network Management Protocol. Agar
soʻzma-soʻz tarjima qilsak, “oddiy tarmoqni boshqarish protokoli”
jumlasi kelib chiqadi. Bunday nomlanishiga qaramasdan, ushbu
protokol aynan boshqarish uchun juda kamdan-kam ishlatiladi. SNMP
koʻpincha monitoring (protsessor temperaturasi, kanal yuklanishi,
boʻsh operativ xotira va boshqalar) uchun ishlatiladi.
SNMP - UDP / TCP arxitekturasi asosida IP-tarmoqlarda
qurilmani boshqarish uchun standart Internet protokoli. SNMP
yoqilgan qurilmalar tarkibiga marshrutizatorlar, komutatorlar,
serverlar, ishchi stansiyalari, printerlar, modemlar va boshqalar kiradi.
Protokol odatda tarmoqni boshqarish tizimlarida administrator
115
e'tiborini talab qiladigan sharoitlarda tarmoq qurilmalarini kuzatishda
ishlatiladi. SNMP Internet Engineering Task Force (IETF) tomonidan
TCP / IP tarkibiy qismi sifatida kiritildi. U dasturni boshqarish
protokoli, ma'lumotlar bazasi sxemasi va ma'lumotlar ob'ektlari
toʻplamini oʻz ichiga olgan tarmoqni boshqarish standartlari
toʻplamidan iborat.
SNMP
boshqariladigan
tizimning
konfiguratsiyasini
tavsiflovchi oʻzgaruvchilar shaklida boshqaruv ma'lumotlarini taqdim
etadi. Ushbu oʻzgaruvchilarni boshqarish dasturlari soʻrashi mumkin
(va ba'zida oʻrnatilishi mumkin).
Protokolning uch versiyasi mavjud: SNMPv1, SNMPv2c va
SNMPv3. Batafsil tahlil qilmasdan shu xulosani keltirish mumkinki,
SNMPv3 paydo boʻlgangacha SNMP ning asosiy muammosi aynan
xavfsizlik boʻlgan. Protokolning dastlabki ikkita versiyasi juda
kuchsiz autentifikatsiya mexanizmiga ega, mohiyatan u ochiq
koʻrinishda uzatiladigan faqatgina bitta parol (birikmalar qatori) dan
tashkil topgan. Bu juda jiddiy zaiflik, buzgʻunchi ushbu parolni qoʻlga
kiritish imkoniyatiga ega boʻladi, undan keyin u SNMP ishga
tushirilgan qurilmadan barcha zaruriy axborotlarni olishi mumkin.
Agar siz SNMP ni boshqarish uchun ishlatsangiz, unda xavfsizlik
bilan bogʻliq vaziyat yana ham koʻproq diqqat talab qiladi.
Ushbu xavfsizlik muammosini yechish uchun SNMPv3
protokoli yaratilgan, u uchta variantda ishlatilishi mumkin:
1. noAuthNoPriv – parollar ochiq koʻrinishda uzatiladi,
ma’lumotlar konfidensialligi mavjud emas;
2. authNoPriv – konfidensialliksiz autentifikatsiya;
3. authPriv – autentifikatsiya va shifrlash.
Asosiy tushunchalar tahlili. SNMPdan foydalanishda bir yoki
bir nechta ma'muriy kompyuterlar (menejerlar deb ataladigan dasturlar
ishlaydigan) xostlar guruhini nazorat qiladi yoki boshqaradi hamda
kompyuter tarmogʻidagi har bir boshqariladigan tizimda menejerga
SNMP orqali ma'lumot yetkazib beradigan agent deb nomlangan
doimiy ishlaydigan dastur mavjud boʻladi.
SNMP
menejerlari
boshqariladigan
tizimlarning
konfiguratsiyasi va ishlashi toʻgʻrisidagi ma'lumotlarni qayta ishlaydi
va ularni SNMP-ni qoʻllab-quvvatlash uchun qulay boʻlgan ichki
formatga aylantiradi. Protokol shuningdek, ushbu oʻzgaruvchilarni
masofadan oʻzgartirish orqali yangi konfiguratsiyani oʻzgartirish va
116
qoʻllash kabi faol boshqaruv vazifalariga ruxsat beradi. SNMP orqali
mavjud boʻlgan oʻzgaruvchilar ierarxiyada tashkil etiladi. Ushbu
ierarxiyalar,
boshqa
metama'lumotlar
singari
(masalan,
oʻzgaruvchining turi va tavsifi) boshqaruv ma'lumot bazalari (MIB -
Management information base) tomonidan tavsiflanadi.
|