|
Internet tarmoqda AX ta’minlash usullari va vositalarini qo‘llash bo‘yicha IETF tavsiflari
|
bet | 104/118 | Sana | 17.05.2024 | Hajmi | 8,17 Mb. | | #240348 |
Bog'liq R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshkeInternet tarmoqda AX ta’minlash usullari va vositalarini qo‘llash bo‘yicha IETF tavsiflari
AX ta’minlash usullari va vositalari faqatgina ishlashi himoyalangan Internet-protokollarga o‘rnatiladi. AX muammolarining ko‘pchiligi Axni ta’minlash usullarini noto‘g‘ri amalga oshirish natijasida vujudga keladi (o‘rnatishdagi xatoliklar). Biroq Axni ta’minlash usuli to‘g‘ri amalga oshirilgan taqdirda ham AX muammolari paydo bo‘lishi mumkin, chunki fundamental protokol o‘z-o‘zidan amalda to‘g‘ri ishlashni talab qiladi. Aynan shunday himoyalangan protokolda amalga oshirish zarur bo‘lgan Axni ta’minlash usulida ham turlicha bo‘lishi mumkin, chunki himoyalangan protokol o‘zining shaxsiy ichki tuzilmasiga ega. Shunga qaramay, Internetda standartlashtirilgan AXni ta’minlash usullarini ko‘pgina protokollari mavjud. Usulning aniq tanlanishi turlicha bo‘lishi mumkin, chunki barchasi aniq vaziyatga bog‘liqdir. Ushbu tavsiyada, har birining vazifasi va xususiyatlari tushuntirgan Axni ta’minlash usullari keltirilgan.
Ma’lumki, Axni ta’minlash – bu san’atdir. Internet da Axni obro‘sizlantirish variantlari bir necha guruhlarga bo‘linishi mumkin, ya’ni “xizmat ko‘rsatishdan bosh tortish”dan IP-bog‘lamani obro‘sizlantirishgacha bo‘lgan butun diapazon bo‘ylab. “Xizmat ko‘rsatishdan rad etish” turidagi hujumlar shunga asoslanganki, translyatsiya qilinuvchi trafik ochiq hisoblanadi, biroq AXni obro‘sizlantiradigan bu guruh variantlari ushbu qo‘llanma talablaridan chetga chiqadi, hozirgi paytda bo‘lib o‘tayotgan bunday hujumlar ko‘p munozara va tadqiqotlar ob’ekti bo‘lishiga sabab bo‘lmoqda. Ta’kidlash joizki, bunday hujumlarning ko‘pchiligini amalga oshirish qiyin, chunki hozirgi paytda ulardan himoyalanish bo‘yicha katta tajriba to‘plangan. Avvalambor IP-bog‘lamani obro‘sizlantirish (umumiy hodisa sifatida xotiraning bufer qurilmalarining aniqlab bo‘lmaydigan o‘ta yuklanishi hisoblanadi), IP-bog‘lamada amalga oshirilgan protokollarning o‘zidagi kamchiliklardan ko‘ra, IP-bog‘lamaning dasturiy modulida AX ta’minlash usullarini aniq amalga oshirishdagi kamchiliklar natijasi hisoblanadi. Shunga qaramay, sinchkovlik bilan ishlangan protokollar bo‘lishi mumkin bo‘lgandan kamroq kamchiliklarga ega bo‘lishi mumkin va foydalanishda kamroq mehnat talab qilishi mumkin.
Biroq AXni obro‘sizlantirish variantlari mavjud, ular Internet-tarmoqda qo‘llaniluvchi protokollarning o‘zi bilan murakkablashtiriladi. Agar AX ta’minlash muammosi protokolga xos bo‘lsa, u holda ushbu muammoni rad etuvchi u yoki bu AX ta’minlash usulini amalga oshirish usuli mavjud emas.
Shuning uchun Internet- tarmoq uchun yaratiluvchi barcha protokollar AX ta’minlovchi funksional xususiyatlarga ega bo‘lishi hayotiy ahamiyatga ega. Buni himoyalovchi protokolga Axni ta’minlash usuli tatbiq etilgani kabi, himoyalanayotgan protokol o‘z ichki tuzilmasi asosida o‘zining funksional himoyalanganligini ta’minlashi kerak. Ko‘pgina xollarda AX ta’minlashning standartlashgan IETF usullarini to‘g‘ri qo‘llash, protokolning zarur bo‘lgan himoyalanganlik darajasini ta’minlashi mumkin.
Internet - tarmoqda AX ta’minlash uchun barcha usullardan foydalanish mumkin. Qandayusullardanfoydalanishesabirnechaomillargabog‘liqbo‘ladi.
AX ta’minlash ilmiy natijalarni qo‘llash ilmi va san’atining kompleks muvofiqlashtirishdan iborat. Ma’lumotlarni himoyalashning u yoki bu usulini tavsiya qilish falokatga olib kelishi mumkin. Har doimgidek, istalgan protokolni ishlab chiqishda uni har tomonlama testdan o‘tkazish zarur.
Shunday qilib, AX ta’minlash usullari qandaydir “mo‘‘jiza” hisoblanmaydi, ular yordamida protokollarni to‘liq himoyalash mumkin. AX ta’minlash usuli ko‘p vaqtga o‘rnatilmaydi. Yaxshi (ya’ni xavfsiz, shaffof va samarali) loyihalar AX ta’minlash usullarini protokoli bilan birgalikda ishlab chiqilganda hosil bo‘ladi. Kriptografiya aniq semantik nuqsonlarga ega protokollarni himoyalay olmaydi.
Yechim qabul qilishga ta’sir qiluvchi omillar. AX ta’minlash usulini tanlashdagi muhim omillardan biri, bu AX tahdidlar modeli hisoblanadi. Ya’ni kim hujum qilishi mumkin, qaysi axborot manbaiga va qaysi usullarni qo‘llab? Hujumning kam axborotli maqsadi, masalan W3–server singari, ya’ni faqat ochiq axborotni taklif qilib, kuchli himoyaga ega bo‘lmasligi mumkin. Va aksincha, Internet-infratuzilmaning muhim komponentlarini himoyasiz qoldirgan manba, masalan asosiy magistral marshrutizator yoki ierarxiyaning yuqori sathidagi DNS-serveri, Axni ta’minlashni juda ishonchli usullari va vositalari yordamida himoyalangan bo‘lishi kerak. Muhimligi, hujum qilish maqsadiga bog‘liqligiga qarab buzg‘unchi ob’ektni tanlaydi. Agar hujum qilish maqsadi jiddiy axborot bo‘lsa (ya’ni bunday axborotga ulanish), u holda bunday axborot yordamida boshqariluvchi yoki unga kirish uchun vositachilik qiladigan barcha tizimlar buzg‘unchi uchun muhim sanaladi. Agarda buzg‘unchini maqsadi zarar yetkazish bo‘lsa, tizimni normal ishlashi Internet- tarmog‘ini yirik segmentlariga bog‘liq.
Internet ga ulangan barcha tarmoqlar hech bo‘lmaganda minimal darajadagi himoyalanganlikni talab qiladi. 2000 yildan boshlab to hozirgi kungacha AX tizimlariga yangiturdagi hujumlar paydo bo‘lgan: "cherv" debnomlanuvchi dastur, izlaydigan va avtomatik tarzda tizimlarga hujum qiladigan tizim. Bunday “dasturiy chervlar” qisqa davr ichida minglab tizimlarni buzishi mumkin. (Bunday birinchi Internet-cherv 1988 yilda “Morris” bo‘lgan. Biroq, bu g‘oya 12 yil davomida bunday dasturlarda o‘z ishiningdavomini topmadi).
Barcha bu chervlar o‘z oldiga qo‘ygan maqsadga, protokollarni amalga oshirishda yo‘l qo‘yilgan dasturiy xatolar hisobiga erishgan, ular boshqa tomondan yetarlicha himoyalangan bo‘lgan. Biroq birgalikda qo‘llanilgan himoyalangan protokoldagi fundamental bo‘sh joyga yo‘nalgan hujumni tasavvur qilish qiyin. Shunga qaramay, qat’iy talab mavjud: ishlab chiqilayotgan protokollarda bunday bo‘sh joylarni kamaytirishga intilish kerak.
Buzg‘unchi uchun maqsadning ahamiyati uning joylashuv o‘rniga ham bog‘liq bo‘lishi mumkin. Magistral kabelda joylashgan tarmoq monitoringi serveri muhim nishon hisoblanadi, chunki u osonlik bilan tarmoq trafigini eshitish serveriga “aylanishi” mumkin. Tarmoq subsegmentida joylashgan va xabarlarni qayta ishlash uchun qo‘llaniladigan aynan o‘xshash server buzg‘unchida kamroq qiziqish uyg‘otadi va xavf-xatarga kamroq uchraydi.
Barcha vaziyatlarda trafikni eshitish AXga jiddiy tahdid sifatida qaralishi kerak. Oxirgi paytda, 1993 yildan boshlab trafikni qonunga qarshi eshitish (nazorat qilish) bilan bog‘liq ko‘p voqealar sodir bo‘ldi. Faol hujumlar natijasida ko‘pincha tizim xavf-xatarga uchraydi, ya’ni buzg‘unchi tomonidan asl IP-paketlarni o‘chirish yoki yolg‘onlarini qo‘yish orqali. Ta’kidlash joizki, bunday hujumlar hamma foydalanishi mumkin bo‘lgan vositalar yordamida amalga oshirilishi mumkin va ularni “tabiat”da kuzatish mumkin. Amaliy nuqtai nazardan, “aloqa seansiga bostirib kirish” deb nomlanuvchi hujum turlari alohida qiziqish uyg‘otadi, unda “kimdir” o‘zaro ta’sir qiluvchi tomonlar orasida joylashib, autentifikatsiya jarayoni tugashini kutib, keyinchalik o‘zaro ta’sir qiluvchi tomonlardan birini tasvirlay boshlaydi va aloqa seansini boshqasi bilan davom ettiradi.
AX protokollarini ta’minlashda hamma foydalanishi mumkin bo‘lgan muhim vositalardan biri bu kriptografiya hisoblanadi. Kriptografiya ma’lumotlarni himoyalashning turli darajalarini ta’minlash imkonini beradi, ular tarmoq orqali translyatsiyalanib, tarmoqning himoyalanganlik darajasiga bog‘liq bo‘lmaydi. Oxirgisi o‘ta muhim hisoblanadi, chunki Internet-tarmog‘i o‘zining boshqarish va nazorat qilish muhitining taqsimlanganligi sababli axborot uzatishning ishonchli muhiti sifatida qaralmaydi. Uning xavfsizligi AX ta’minlash usullariga asoslangan, ular ma’lumotlar uzatish muhiti yoki tarmoq operatorlariga bog‘liq bo‘lmagan tarmoq protokollariga o‘rnatiladi.
Albatta, kriptografiyadan foydalanganda ma’lum moliyaviy harajatlar kerak bo‘ladi. Ammo bu sarf-harajatlar tezlik bilan kamayib boradi. “Mur qonuni”da protsessorlarning tez harakati har yili 1V barobar o‘sib boradi, hamda kriptografik komponentlar va ma’lumotlarni himoyalash vositalarining oson qo‘llanishi kriptografiyani AXni ta’minlashning ishonchli usullarini qo‘llash nuqtai nazaridan nisbatan oddiydir. Shunga qaramay, ba’zi istisnolar mavjud. Bu ochiq kalitli tizimlarga tegishli, ular avvalgidek juda qimmatbaho hisoblanadi. Bunday tizimlarga kirish shunday hollarda mumkin bo‘lmay qoladiki, qachonki ochiq kalitni shakllantirish bo‘yicha har bir jarayonning narxi oddiylarning (ya’ni qimmatbaho) juda kam qismini qoplaydi, shakllanish nuqtai nazaridan kalit sezilmas darajada u yordamida himoyalanadigan tomonidan qo‘llaniladi.
Agarda hech qanday cheklashlar bo‘lmasa, barcha protokollar uchun ishlatilishi mumkin bo‘lgan axborotni himoyalashning yanada ishonchli kriptografik usullaridan foydalanish tavsiya etiladi. Ko‘pincha axborotni himoyalashning eng ishonchli kriptografik usullari uncha ishonchli bo‘lmagan usullardan qimmat bo‘lmaydi. Kriptoalgoritmni tezkorligini ta’minlash bilan bog‘liq real harajatlar, u ta’minlab beradigan himoyalanganlik darajasi bilan bog‘liq bo‘lmaydi. Kompleksning qo‘llaniladigan apparat qismiga qaraganda, kriptografik jarayonlar juda yuqori tezlik bilan amalga oshishi mumkin (1Gb/s), hatto dasturiy qo‘llanishda amalga oshirilayotgan kriptografik jarayonlarning tezkorligi bunday tezlikka yaqinlashadi.
|
| |