|
Oʻzbekiston respublikasi oliy va oʻrta maxsus ta’lim vazirligi begbo’tayev
|
bet | 188/216 | Sana | 19.07.2024 | Hajmi | 7,52 Mb. | | #267965 |
Bog'liq 5ffd2d83d9d2c (1)6.1.1- rasm. VPN tarmoq tuzilmasi.
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi:
himoyalangan tizimlar xavfsizligi bilan bogʻliq holatlarni yigʻib tahlillovchi sensor qism tizimi;
sensorlar maʻlumotlariga koʻra shubhali harakatlar va hujumlarni aniqlashga moʻljallangan tahlillovchi qism tizimi;
tahlil natijalari va dastlabki holatlar haqidagi maʻlumotlarni yigʻishni taʻminlaydigan omborxona;
IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va himoyalangan tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan mojarolarni kuzatuvchi boshqaruv konsoli.
Tarmoqqa ruhsatsiz kirishni aniqlash tizimi (NIDS) ishlash tamoyili quyidagicha:
Tarmoqqa kirish huquqiga ega boʻlgan trafiklarni tekshiradi;
Zararli va ruhsatga ega boʻlmagan paketlarga cheklov qoʻyadi. Sanab oʻtilgan xavfsizlik bosqichlarini qoʻllagan holda
Eavesdropping tahdidiga qarshi samarali tarzda himoyalanish mumkin.
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan voz kechish hujumi deb nomlanadi. Bunda hujum qiluvchi legal foydalanuvchilarning tizim yoki xizmatdan foydalanishiga toʻsqinlik qilishga urinadi. Tez-tez bu hujumlar infratuzilma resurslarini xizmatga ruhsat soʻrovlari bilan toʻlib toshishi orqali amalga oshiriladi. Bunday hujumlar alohida hostga yoʻnaltirilgani kabi butun tarmoqqa ham yoʻnaltirilishi mumkin. Hujumni amalga oshirishdan oldin obekt toʻliq oʻrganilib chiqiladi, yaʻni tarmoq hujumlariga qarshi qoʻllanilgan himoya vositalarining zaifligi yoki kamchliklari, qanday operatsion
tizim oʻrnatilgan va ob’ekt ish faoliyatining eng yuqori boʻlgan vaqti. Quyidagilarni aniqlab va tekshirish natijalariga asoslanib, maxsus dastur yoziladi. Keyingi bosqichda esa yaratilgan dastur katta mavqega ega boʻlgan serverlarga yuboriladi. Serverlar oʻz bazasidagi roʻyxatdan oʻtgan foydalanuvchilarga yuboradi. Dasturni qabul qilgan foydalanuvchi ishonchli server tomonidan yuborilganligini bilib yoki bilmay dasturni oʻrnatadi. Aynan shu holat minglab hattoki, millionlab kompyuterlarda sodir boʻlishi mumkin. Dastur belgilangan vaqtda barcha kompyuterlarda faollashadi va toʻxtovsiz ravishda hujum qilinishi moʻljallangan obektning serveriga soʻrovlar yuboradi. Server tinimsiz kelayotgan soʻrovlarga javob berish bilan ovora boʻlib, asosiy ish faoliyatini yurgiza olmaydi. Server xizmat qilishdan voz kechib qoladi.
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali yoʻllari quyidagilar:
tarmoqlararo ekranlar texnologiyasi (Firewall);
IPsec protokoli.
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya qurilmasi hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya texnologiya (AKT) larida kiruvchi va chiquvchi maʻlumotlarni boshqaradi va maʻlumotlarni filtrlash orqali AKT himoyasini taʻminlaydi, belgilangan mezonlar asosida axborot tekshiruvini amalga oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. Tarmoqlararo ekran tarmoqdan oʻtuvchi barcha paketlarni koʻradi va ikkala (kirish, chiqish) yoʻnalishi boʻyicha paketlarni belgilangan qoidalar asosida tekshirib, ularga ruhsat berish yoki bermaslikni hal qiladi. Shuningdek, tarmoqlararo ekran ikki tarmoq orasidagi himoyani amalga oshiradi, yaʻni himoyalanayotgan tarmoqni ochiq tashqi tarmoqdan himoyalaydi.
Himoya vositasining quyida sanab oʻtilgan qulayliklari, ayniqsa, paketlarni filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning samarali vositasidir. Paket filtrlari quyidagilarni nazorat qiladi:
|
| |