|
Fizik sathda konfidensiallikni ta’minlash
|
| bet | 101/118 | | Sana | 17.05.2024 | | Hajmi | 8,17 Mb. | | #240348 |
Bog'liq R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshkeFizik sathda konfidensiallikni ta’minlash.
Fizik sathning xavfsizlik vositalari (ko‘pincha kanal (liniyali) shifratorlari deyiladi) yangi tarmoq muhitida ma’lum kriptografik usullarni muvaffaqiyatli qo‘llanilishiga misol hisoblanishi bilan paketlar kommutatsiyasi tarmoqlar paydo bo‘lguncha qo‘llanilgan tarzda MATda ham qo‘llaniladi.
Bu vositalar konfidensiallikni, asosan, oxirgi qurilmalar orasidagi aloqa (point-to-point) liniyalarida (kanallarida) ma’lumotlar oqimining konfidensialligini ta’minlaydi. 11.8-rasm tarmoq muhitida fizik sathda shifrlash qurilmalari qo‘llanilishi mumkin bo‘lgan bir necha “nuqtalarni” ko‘rsatadi. Shifratorlar ajratilgan, kommutatsiyalanadigan va magistral aloqa liniyalarida qo‘llanilishi mumkin. Bu maxsus qurilmalar o‘zaro konstruktiv kanallarning o‘tkazish qobiliyatidagi farq tufayli farqlanishi mumkin, ularda qo‘llaniladigan asosiy kriptografik usullar esa bir xil bo‘ladi.
Fizik sathda shifrlash qurilmalari bilan himoyalangan global tarmoq, paketlarga shifrlanmagan ko‘rinishda ishlov beriladigan kommutatorlardan har birida zaif bo‘ladi. Fizik sathda faqat shifrlashni qo‘llaydigan tarmoq, kommutatorlar to‘g‘ri ishlayotganiga “ishonch hosil qilishi” kerak (aks holda, noto‘g‘ri marshrut bo‘yicha yo‘naltirilgan marshrut xavfsizlikni buzishi mumkin).
11.8-rasm. Fizik sathning xavfsizlik vositalari
Ma’lumki, agar tarmoq bir necha xavfsizlik darajalariga ega bo‘lsa(masalan, “Secret” va “Topsecret”) va faqat kanallarni shifrlash ko‘zda tutilsa (xatto, agar kommutatorlar yetarlicha ishonchli kommutatsiyalash mexanizmlari va algoritmlarini ishlatsa), u holda eng kam himoyalangan kommutator (fizik, xavfsizlik protsedurali va “inson omilining” mavjudligi nuqtai nazaridan) butun tarmoqni oshkor etishi mumkin bo‘lgan vaziyatni yuzaga kelish imkoni mavjud bo‘ladi.
Gibrid tizimlar. Real tizimlarda DOD xavfsizlik arxitekturasi barcha uchta sathda xavfsizlik vositalari va usullariga asoslanadi. 11.9-rasmda bunday tizimga misol keltirilgan, unda fizik, MAC- va IP-sathlar birgalikda axborot himoyasini ta’minlash uchun qo‘llaniladi, aynan:
- fizik sath qurilmalari kommutatsiyalangan lokal aloqa liniyalarini himoya qilish uchun (abonent trafikini (konfidensiallikni ta’minlash) himoya qilish), global tarmoqlarga olisdanulanishuchun aloqa liniyalari (ma’lumotlar oqimi va abonent trafikini himoya qilish uchun (konfidensiallikni ta’minlash)), global tarmoqlarni kommutatorlari orasida magistral aloqa liniyalarida (ma’lumotlar oqimini himoya qilish uchun (konfidensiallikni ta’minlash)) qo‘llaniladi;
- LHTda MAC-sathni “A” qurilmasi konfidensiallikni, kirishni boshqarish, yaxlitlik va autentifikatsiyani (yoki bu xizmatlarni yanada yuqori sathlarda qo‘llab-quvvatlashni) ta’minlaydi;
- LHTda “V” va global tarmoqqa ulangan marshrutizatorlarda (shlyuzlar "A" va "V"), IP-sathni qurilmalari IP-paketlarni konfidensialligini, kirishni boshqarishni va IP-paketlar uchun yaxlitlikni, shuningdek ma’lumotlar manbaini autentifikatsiyasini ta’minlaydi.
DOD modelining kamchiliklari. Ma’lumki, DOD xavfsizlik arxitektura modelida amaliy sathni axborot xavfsizligi haqida hech nima deyilmagan. Bu - tasodif emas, bu o‘sha davrdagi DOD qarashlarining tabiiy o‘rinishlari, u davrda xavfsizlik arxitekturasi va paradigmalari yaratilgan.
Eng nozik bo‘g‘inlardan biri (DOD xavfsizlik arxitekturasi nuqtai nazaridan) Internet segment/sohalarini nomlash tizimi (DNS — Domain Name System) hisoblanadi. Birinchi navbatda DNS, amaliy sathning turli adreslash tizimlarini tarmoq adresida (IP-adres) aks ettirish masalalarini yechadi (HTTP, FTP, SMTP, NNTP va b.q) va IP-paketni yetkazib berish marshrutini aniqlashda ishtirok etadi. Shuning uchun, DOD xavfsizlik modeli umuman DNSdan foydalanishni rad etadi.
11.9-rasm. Uch sathli Internet - arxitekturasida (gibrid tizim) xavfsizlik vositalarini kompleks qo‘llanilishi
Bu vakolatlarni tekshirish tizimi sifatida ishlaydigan maxfiy (himoyalangan) operatsion tizimni qo‘llash, xavfsizlik arxitekturasining muhim prinsipi hisoblanadi.
Fizik, kanal (MAS) va IP-sathlarning xavfsizlik vositalari, vakolatlarni tekshirish tizimini amalga oshiradi. Bu vositalar kommunikatsion interfeyslar bilan ketma-ket ulangan tashqi apparat-dasturiy qurilmani aks ettiradi, bu o‘z navbatida o‘rnatilgan vakolatlarni tekshirish tizimlarini (himoyalangan operatsion tizim yadrosida) ruxsatsiz ulanishdan (oxirgi va oraliq tizimlarda ishonchsiz DT) himoya qilish va himoyalangan ob’ektlarga kirishni nazorat qilish imkonini beradi. DOD xavfsizlik arxitekturasiga muvofiq amaliy sathda axborot xavfsizligini samarali ta’minlash uchun himoya tizimi asosi sifatida maxfiy operatsion tizimni qo‘llash kerak.
DOD arxitekturasida amaliy sathni xavfsizligini mashxur bo‘lmasligining yana bir sababi, kirishni qat’iy reglament asosida ma’muriy boshqarish hisoblanadi (ma’lum qoidalar asosida). Bunda har qanday o‘xshashlik bo‘lmay, ayniqsa foydalanuvchilar autentifikatsiyasi amaliy sathda amalga oshirilgani uchun (uchinchi sub’ekt axborot almashishni qo‘llab - sertifikatlashtirish markazi yoki kalit axborotni taqsimlash markazi) foydalaniladi, tarmoq arxitekturasining uchta quyi sathlarida qo‘llanilmaydi. DOD modelidagi asosiy urg‘u (elektron pochtadan tashqari, unda jo‘natuvchi va qabul qiluvchilarni identifikatorlari muhim) konfidensial axborotni turli sathlarga bo‘luvchi va bu axborotga “troyan otlarining” ruxsatsiz kirishidan himoya qilishga qaratilgan qoidalarga beriladi.
Avvalombor, DOD xavfsizlik arxitekturasida avvalgidek asosiy e’tibor uchta quyi sathni xavfsizlik vositalariga qaratiladi. Shunga qaramay, amaliy sathni xavfsizlik vositalari qo‘llanish doirasini topadi, faqat quyi sathning xavfsizlik vositalari kerakli xavfsizlik darajasini ta’minlay olmaganda. Tizimli va amaliy jarayonlar DODning yuqori talablariga javob beradigan, maxfiy axborot texnologiyalarini ishlab chiqish va amalga oshirish uchun yetarlicha kafolatni ta’minlaydi.
|
| |
