Topshiriq
10.6-rasmda keltirilgan tarmoq topologiyasini Cisco Packet
Tracer dasturida tuzing;
Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;
AAA serverda autentifikatsiyalash protokolini sozlang;
Qurilgan topologiyani testlab ko’ring.
10.6-rasm. Tarmoq topologiyasi
140
Nazorat savollari
1. Autentifikatsiyalash tushunchasiga ta’rif bering?
2. Avtotizatsiyalash tushunchasiga ta’rif bering?
3. Identifikatsiyalash tushunchasiga ta’rif bering?
4. TACACS va RADIUS protokollarini taqqoslang?
5. Hisobga olish (Accounting) deganda nimani tushunasiz?
6. RADIUS xabarlarini uzatish uchun qaysi protokol
ishlatiladi?
7. UDP protokolining ishlash tamoyilini tushuntiring
11-LABORATORIYA ISHI
DHCP SNOOPING – XAVFSIZLIK TEXNOLOGIYASI
Ishdan maqsad: DHCP Snooping xavfsizlik texnologiyalarini
sozlash boʻyicha nazariy bilim va amaliy koʻnikmalarni shakllantirish.
Nazariy qism
Tarmoqdagi kompyuterlarni aniqlash uchun ularga IP-manzillar
beriladi. IP-manzillarni ikkita usul orqali berish mumkin.
Statik IP-manzil. Bunday holda, tarmoqdagi har bir kompyuter
uchun IP-manzilni, qismtarmoq maskasini va boshqa TCP / IP
parametrlarini qoʻlda kiritish kerak.
Dinamik IP-manzil. Tarmoqqa ulanganda kompyuter TCP / IP
sozlamalarini avtomatik ravishda oladi. Buning uchun tarmoqdagi
kompyuterlardan biri DHCP-server funksiyasini bajarishi kerak, ya'ni
barcha yangi ulangan kompyuterlarga IP-manzillarni "tarqatishi"
kerak.
DHCP (Dynamic Host Configuration Protocol ) - bu tarmoq
qurilmalariga TCP / IP tarmogʻida ishlash uchun zarur boʻlgan IP-
manzil va boshqa parametrlarni avtomatik ravishda olish imkonini
beradigan dasturiy sath protokoli. Ushbu protokol mijoz-server
modeliga muvofiq ishlaydi. Avtomatik konfiguratsiya uchun mijoz
kompyuter tarmoq qurilmasini sozlash bosqichida DHCP-server deb
nomlanadi va undan kerakli parametrlarni oladi. Tarmoq ma'muri
server tomonidan kompyuterlar oʻrtasida tarqatiladigan manzillar
oraligʻini oʻrnatishi mumkin. Bu tarmoq kompyuterlarini qoʻlda
141
sozlashdan saqlaydi va xatolarni kamaytiradi. DHCP koʻplab TCP / IP
tarmoqlarida qoʻllaniladi.
DHCP - bu yuklash vaqtida disksiz ish stansiyalarini bilan
ta'minlash uchun ilgari ishlatilgan BOOTP protokolining kengaytmasi
sifatida ishlatiladi.
DHCP IP-manzillarni tarqatishning uchta usulini taqdim etadi:
• Qoʻlda tarqatish. Ushbu usul bilan tarmoq ma'muri har bir
mijoz kompyuterining apparat manzilini (Ethernet tarmoqlari uchun
bu MAC-manzil) ma'lum bir IP-manzil bilan bogʻlaydi. Darhaqiqat,
manzillarni taqsimlashning bu usuli har bir kompyuterni qoʻlda
sozlashidan farq qiladi, chunki manzillar haqidagi ma'lumotlar
markazlashtirilgan holda saqlanadi (DHCP-serverda) va shuning
uchun agar kerak boʻlsa, ularni oʻzgartirish osonroq.
• Avtomatik tarqatish. Ushbu usul yordamida har bir
kompyuterga
ma'mur
tomonidan
doimiy
foydalanish
uchun
belgilangan oraliqdan avtomatik ravishda IP-manzil ajratiladi.
• Dinamik ajratish. Ushbu usul avtomatik ajratishga oʻxshaydi,
faqat manzil kompyuterga doimiy foydalanish uchun emas, balki
ma'lum bir muddat uchun beriladi. Bunga manzilni ijaraga berish
deyiladi. Ijara muddati tugagandan soʻng, IP-manzil yana boʻsh
hisoblanadi va mijoz yangisini talab qilishi shart (ammo u oldingisi
bilan bir xil boʻlishi mumkin). Bundan tashqari, mijoz oʻzi qabul
qilingan manzilni rad qilishi mumkin.
Ba'zi DHCP xizmatlari, ularga yangi manzillar ajratilganda,
mijoz kompyuterlariga mos keladigan DNS yozuvlarini avtomatik
ravishda yangilashga qodir. Bu DNS-ni yangilash protokoli yordamida
amalga oshiriladi.
DHCP IP manzilidan tashqari mijozga tarmoqning normal
ishlashi uchun zarur boʻlgan qoʻshimcha parametrlarni ham taqdim
etishi mumkin. Ushbu parametrlarga DHCP parametrlari deyiladi.
Koʻproq ishlatiladigan ba'zi bir parametrlar quyidagilar:
• marshrutizatorning IP-manzili;
• qismtarmoq maskasi;
• DNS-server manzillari;
• DNS domen nomi.
Ba'zi dasturiy ta'minot ishlab chiqaruvchilari oʻzlarining
ixtiyoriy DHCP parametrlarini belgilashlari mumkin.
142
Kanal sathi texnologiyalari lokal tarmoqlarning asosini tashkil
etadi, shuning uchun ularning ishi xavfsizlikni ta'minlash umuman
tarmoq xavfsizligining tamal toshi hisoblanadi, chunki tajovuzkor
ushbu darajadagi buzish orqali yuqori sath himoya choralarini chetlab
oʻtish imkoniyatini qoʻlga kiritadi.
Faol tajovuzkorning vazifasi ma'lum manbalarga kirish yoki
tarmoqning normal ishlashini buzish (xizmatni rad etish). Tajovuzkor
lokal tarmoqda yoki hujumlarni amalga oshirish uchun vositachidan
foydalanmoqda deb taxmin qilish mumkin. Odatda bir nechta
hujumlar birgalikda amalga oshiriladi; birining muvaffaqiyati
keyingisining muvaffaqiyati uchun asos tayyorlayotgan boʻlishi
mumkin.
Muvaffaqiyatli hujum natijalariga qarab, tahdidlarning bir
nechta turlarini ajratish mumkin:
1. Axborotni shaffof ushlash maqsadida qalbakilashtirish;
2. Ba'zi bir tizim resurslari uchun xizmatni rad etish;
3. Tarmoq boʻlimlariga ruxsatsiz kirish;
4. Tarmoqning yoki uning boʻlimlarining toʻgʻri ishlashini
buzish.
Aksariyat hujumlar "sun'iy" ravishda emas, ular kanal sathi
protokollarining standart xatti-harakatlariga asoslanadi, ya'ni ularni
amalga oshirish imkoniyati tarmoq infratuzilmasini beparvolik bilan
loyihalashning natijasida paydo boʻladi.
Xost-mijozdan birinchi DHCP Discover xabari tarqatiladi, ya'ni
uni tarmoqdagi barcha foydalanuvchilar, shu jumladan DHCP server
va tajovuzkor Rogue tomonidan qabul qilinadi (11.1-rasm). Ular
DHCP Offer boʻyicha javoblarni mijozga yuborishadi, ulardan host
oʻziga mos keladigan narsani tanlashi kerak. Odatda, aksariyat
tizimlarda mijoz qolganlarga e'tibor bermasdan birinchi kelgan taklifni
tanlaydi. Shunday qilib, tarmoqda boʻshliq ochiladi: agar Rogue
javobi erta kelsa, hujum muvaffaqiyatli boʻladi. Server tajovuzkorga
qaraganda mijozdan fizik jihatdan uzoqroq boʻlishi mumkin,
shuningdek tezkorroq boʻlishi mumkin, shuning uchun muvaffaqiyatli
hujum ehtimoli katta.
Hujum natijalari:
1. Tajovuzkor mijozga oʻz javobida tarmoq haqida notoʻgʻri
ma'lumotlarni koʻrsatishi mumkin, bu esa uning keyingi ishlarini
143
imkonsiz boʻlishiga olib keladi, ya'ni xizmatni rad etish amalga
oshiriladi.
2. Koʻp hollarda DHCP mijozga standart shlyuz ma'lumotlarini
taqdim etadi. Shunday qilib, tajovuzkor oʻzini shlyuz sifatida
koʻrsatish qobiliyatiga ega, bu tarmoq sathida oʻrtadagi odam
hujumini amalga oshiradi.
|