|
R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshkent 2018 udk: 621. 391 Bbk 32. 94 G95
|
bet | 105/118 | Sana | 17.05.2024 | Hajmi | 8,17 Mb. | | #240348 |
Bog'liq R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshkeAX ta’minlashning majburiy usullari. Internet–hamjamiyatida (IETF) “qo‘llash uchun majburiy bo‘lgan AXni ta’minlash usullari” tushunchasi standartlashtirilgan. Ushbu yondashuv shunday xavfsizlik protokolini ishlab chiqishni nazarda tutadiki, ushbu prokoldan foydalanuvchi turli amaliy xizmatlarning funksional mos kelishini kafolatlay olishi kerak. Agar protokol qo‘yilgan vazifani bajarish uchun bir necha qo‘shimcha funksiyalarni taklif qilsa, ammo u birgalikda ishlashi kerak bo‘lgan amaliy xizmatlarning hech bo‘lmaganda bittasida bo‘lsa ham amalga oshirilmasa, u holda bir necha amaliy xizmatlar funksional jihatdan to‘g‘ri kelmaydi. Bu turli amaliy xizmatlarning funksional to‘g‘ri kelmasligiga olib keluvchi AX ta’minlash usulini tanlashda yo‘l qo‘yilgan xatoliklar natijasidir.
Shunga qaramay, xavfsizlik protokoli bir yoki bir necha AXni ta’minlash usullarini o‘z ichiga oladi, bu usullar, o‘z navbatida, ko‘pincha bir necha kriptografik tizimlarni qo‘llashi mumkin. Kriptotizimlarning o‘zi esa ishonchlilik va tez ta’sir qilishi nuqtai nazaridan o‘zgarishi mumkin. Biroq xavfsizlik protokollarining ko‘pchiligida “qo‘llash uchun majburiy bo‘lgan” kriptotizimlarni aniqlash lozim, chunki istalgan ikkita amaliy xizmatlarga keyinchalik o‘zaro qabul qilinadigan kriptotizim moslashtirish qobiliyatini kafolatlaydi.
Boshidan aniq chegaralangan amaliy tizimlarda qo‘llash uchun ishlab chiqilgan xavfsizlik protokollari mavjud. Bunday protokollarni yaratishda uchraydigan dalillardan biri, mos keluvchi protokolning qo‘llanilish sohasi yetarlicha yaxshi aniqlangan, protokolning o‘zi esa ishonchli himoyalangan va AX ta’minlashning qo‘shimcha usullariga ehtiyoj yo‘q. Tarix bu dalillarni rad etadi. Hatto “yaxshi protokollar” (agar ular ma’lum tarmoq segmenti chegarasida aniq amaliy masalalarni yechish uchun ishlab chiqilgan bo‘lsa) boshlanishidan xavfsizlikni ta’minlash vazifasi ko‘rilmagan chegara soxasi oralig‘ida o‘zining to‘g‘ri ishlashini to‘xtatadi. Bu muammoni yechish uchun IETF talab qiladiki, barcha xavfsizlik protokollari mos keluvchi AXni ta’minlash usullarini qo‘llab-quvvatlashi kerak (eng ishonchlilari bilan birga), hattoki ularning qo‘llanish sohasi boshidanoq chegaralangan bo‘lsa ham.
Shuni tushunish muhimki, AXni ta’minlashning majburiy usullari foydalanish uchun juda zarur (ular himoyalanganlikning yuqori darajasini ta’minlaydi). Biroq bu oxirgi foydalanuvchilar albatta shu usullarni qo‘llashi kerak degani emas. Agar oxirgi foydalanuvchi u foydalanayotgan tarmoq xavfsizligini ta’minlovchi protokolga ushbu usullar o‘rnatilganini bilsa ham, baribir foydalanuvchi AXni ta’minlash usullarining ishonchli bo‘lmagan (eng yaxshi bo‘lmagan) turini tanlashi mumkin, ammo u bularga ishonadi va ular o‘zlarining AXni ta’minlashga ketgan sarf-harajatlaridan kelib chiqib, himoyalanganlik darajasini ta’minlaydi deb o‘ylaydilar.
AXni ta’minlashning ishonchli usullarini qo‘llash majburiy deb belgilangan talablar shuni anglatadiki, bu usullarni amalga oshiruvchi protokol kerak bo‘lgan oxirgi foydalanuvchilar zarurat yuzaga kelganda ulardan foydalanishlari mumkin. Agar AXni ta’minlash usullari haqida gapirsak, ularni qo‘llashni majburiyligi shundan iboratki, “jimlik bo‘yicha” rejimida foydalaniladi, hatto foydalanuvchi ularni qo‘llashdan bosh tortsa yoki tizimni sozlash ularning qo‘llanilishini blokirovkalasa, u yanada ishonchli algoritmdan foydalanishi sharoitida undan bosh tortishi mumkin.
Himoyaning taqsimlangan tizimi. AXni ta’minlashning ba’zi usullari butun tarmoqni butunligicha himoyalashi mumkin. Bunday yondashuv qurilmali tarmoq komplekslarida tejash imkonini berishiga qaramay, u bunday tarmoqni ichki segmentini ichkaridan hujumlar uchun ochiq qoldirishi mumkin. Himoya tizimini taqsimlanganligining kerakli darajasi hisoblanganda, protokol ishlab chiqaruvchilar uning qo‘llanish modellarini, protokol o‘rnatiladigan Internet-arxitektura darajalarini, shuningdek uning Internetda tarqalishini taxminiy darajasini e’tiborga olishlari kerak. Agar protokol biror himoyalangan kompyuterlar guruhi ichida foydalanilsa (masalan, tarmoqni boshqarish markazi), u holda tarmoq segmentining subsegmentlarga topologik bo‘linish darajasi turlicha bo‘lishi mumkin (maksimalgacha). Boshqa tomondan, AXni ta’minlashning ba’zi usullari faqat bitta amaliy xizmat uchun qiziqish uyg‘otsa, faqat shu amaliy protokolga yaxshi o‘rnatilishi mumkin, qiyoslash uchun, masalan, TCP-protokolda ko‘rish mumkin. Biroq, bu boshqa protokollarga ushbu usulni o‘rnatishda ma’lum qiyinchiliklarni tug‘diradi, demak uning Internetda tarqalishida qiyinchiliklarni keltirib chiqaradi.
Protokol o‘rnatiladigan Internet-arxitekturalar darajasi. AXni ta’minlash usullari Internet - arxitekturaning istalgan darajasida o‘rnatilishi mumkin. Umuman olganda, agar usulni arxitekturaning quyiroq darajasida o‘rnatilsa, u holda yuqori darajadagi protokollarning keng spektrini himoya qilish qobiliyatiga ega bo‘ladi, boshqa tomondan esa bu himoya yetarlicha ishonchli bo‘lmasligi mumkin. Kanal sathidagi shifrator (“linklayer”) faqat IP- paketlarni emas, balki ARP-paketlarni ham himoya qilishga qodir. Biroq u faqat bitta aloqa kanalini himoyalaydi. Va aksincha, bir nechta pochta server-retranslyatorlar orqali uzatilishi mumkin (“saqlash-uzatish” rejimida) bo‘lgan elektron raqamli imzo (ERI) yordamida imzolangan pochta xabarlari real jo‘natuvchini identifikatsiyalashga qodir, ERIning o‘zi esa xabar yetib borganidan keyin kechroq tekshirilishi mumkin. Shunga qaramay, ushbu holatda faqat bir turdagi xabar himoyalanadi. Oddiy formatdagi xabarlar, masalan, tarmoq yangiliklari, bunday xabarlar uchun xavfsizlik usullaridan biri moslashtirilmaguncha va ularni tarqatish dasturlariga o‘rnatilmaguncha himoyalanmaydi.
Xabar manbalari orqali trafikni marshrutlash (IP-paketlar). Odatda, IP-paketni yetkazib berishning real marshruti (qabul qiluvchi/yuboruvchining adreslari IP-sarlavhada keltirilgan), xabarni IP-bog‘lama/jo‘natuvchi va IP-bog‘lama/qabul qiluvchisi o‘rtasida joylashgan marshrutizatorlar orqali aniqlanadi. IP-paketning o‘zi “qayerga yuborilishini aytadi” (IP-qabul qiluvchi adresi), hamda “qanday u yerga borishi” haqida “hech nima aytmaydi”.
Marshrutni tanlash bo‘yicha qo‘shimcha funksiya mavjud, u IP-bog‘lama/yuboruvchiga IP-paketga axborotni kiritish imkoniyati xabarini beradi, u IP-paketni uzatishda qo‘llash maqsadga muvofiq bo‘lgan yetkazib berish marshrutini ko‘rsatadi. Bu qo‘shimcha funksiya (yoki yetkazish usuli) “xabar manbalari orqali IP-paketlarni yetkazib berish marshrutini tanlash”deb ataladi (“source routing” - SR-usul/marshrutlash). SE-tizimini ishlashi nuqtai nazaridan, bunday IP-paketlarni yetkazib berishni SR-usuli alohida e’tibor talab qiladi, chunki buzg‘unchi himoyalangan SE tarmog‘idan (ichki tarmoq) chiqadigan “o‘zini trafik o‘rnida ko‘rsatadigan” trafikni shakllantirishi mumkin. Umuman olganda, bunday trafik keraklicha SEga yo‘naltirilgan bo‘lmaydi (SE orqali marshrutga ega), lekin IP-paketlarda qo‘shimcha “SR-etkazish usuli” funksiyasi mavjud bo‘lganda, buzg‘unchini kompyuteri va hujum ob’ekti o‘rtasidagi barcha marshrutizatorlar trafikni SR-marshrutga nisbatan teskari yo‘nalishda qayta yo‘naltiradi. Bunday hujumni o‘tkazish juda oson, shuning uchun SEni ishlab chiquvchilar bunday hujumlar haqida esdan chiqarmasliklari kerak.
Real hayotda, SR-etkazib berish usuli (marshrutlash) kamdan-kam qo‘llaniladi. Haqiqatda, marshrutlashning bunday usuli faqat tarmoq nosozliklari aniqlanganda yoki trafikni maxsus ajratilgan aloqa liniyalari bo‘yicha marshrutlashda qo‘llaniladi, ular alohida vaziyatlarda boshqarishni ta’minlash uchun mo‘ljallangan. SEni qurish va sozlashda qo‘shimcha SR-funksiyasi tizimning mos keluvchi nuqtasida blokirovkalangan bo‘lishi kerak. Ko‘pgina tijorat marshrutizatorlar ataylab SR-marshrutlashni bloklash bo‘yicha qo‘shimcha funksiyani o‘rnatadilar. SE-tizimlari tarkibida IP-bog‘lama/tayanchlarni qurishda qo‘llanishi mumkin bo‘lgan OS UNIXning ko‘pgina turlarida esa, SR-trafikni o‘chirish yoki rad etish funksiyasi nazarda tutilgan.
ICMP-paketlar yordamida trafikni qayta yo‘naltirish. Boshqaruv xabarlarini uzatish protokoli (ICMP-protokol) “trafikni qayta yo‘naltirish” maxsus funksiyasini aniqlaydi (“Redirect”). ICMP/redirect-paket IP-bog‘lamaga (bu paketni olgan) o‘z marshrutlash jadvalida belgilangan marshrutdan voz kechishi haqida xabar beradi. Bu ICMP-funksiyasi marshrutizatorlar tomonidan IP-bog‘lamalarga xabar berish uchun qo‘llaniladi, ular qulay bo‘lmagan yoki mavjud bo‘lmagan marshrutlarni aniq IP-bog‘lama/ belgilashgacha qo‘llaydi, ya’ni IP-bog‘lama o‘zining IP-paketini “xato” marshrutizatorga uzatgan xolda. Bu “xato” marshrutizator javobga ICMP/redirect-paketni uzatadi, u IP-bog‘lamaga to‘g‘ri (boshqa) marshrut tanlashi kerakligi haqida xabar beradi. Agar buzg‘unchi ICMP/redirect-paketlarni qalbakilashtira olsa va hujum qilish nishoni bo‘lgan IP-bog‘lama bu paketlarga ta’sirchan, u holda buzg‘unchi bu IP-bog‘lamaning marshrutlash jadvaliga o‘zgartirish kiritishi mumkin va bu bilan tarmoq ma’muriyati tomonidan nazorat ostida bo‘lmagan marshrut bo‘yicha trafikni qayta yo‘naltirish orqali uning xavfsizligini buzadi. ICMP/redirect-paketlar buzg‘unchi tomonidan “xizmat ko‘rsatishni rad etish” turidagi hujumlarni o‘tkazish uchun qo‘llanilishi mumkin. Bunday hollarda IP-bog‘lamaga ICMP/redirect-paket uzatiladi, u bu IP-bog‘lama bilan bog‘liqlikni ta’minlamaydigan marshrutni ko‘rsatadi yoki belgilangan tarmoqqa kirish mumkin emasligini ko‘rsatuvchi boshqa ICMP/network/unreachable-paket uzatiladi.
Ko‘pchilik SE ishlab chiquvchilar chiqish va ichki (korporativ) tarmoqni ICMP-trafikini aks ettiruvchi funksiyani ishga tushiradilar, bu tashqi IP-bog‘lama uchun exo-paketlar/so‘rovlarni (“ping”) uzatish yoki o‘zining marshrutlash jadvallarini modifikatsiyalash imkoniyatini cheklaydi.
Barcha ICMP-paketlarni bloklash haqida xulosa chiqarishdan avval,TCR-protokoli qanday qilib IP-paketlarni yetkazib berish marshrutini ma’lum retranslyatsiya uchastkasida xabarni ruxsat etilgan maksimal o‘lchamini aniqlash vazifasini hal etishini tekshirish kerak, chunki bu boshqa tashqi IP-bog‘lamalar bilan bog‘liqlik buzilmaganligiga ishonch hosil qilishga imkon beradi. Agar ICMP-paketlarni to‘liq bloklash mumkin bo‘lmasa (xavfsiz bo‘lmasa), u holda trafikni marshrutlashga javob beradigan ob’ektlar tomonidan xizmat ko‘rsatiluvchi ICMP-paketlar turlarini tanlash lozim. Agar nimadir bloklanmay qolsa, u holda hech bo‘lmaganda korporativ marshrutizatorlar va IP-bog‘lamalar keng eshittirishli (ko‘padresli) exo- paketlar/so‘rovlarga e’tibor bermasligiga ishonch hosil qilish kerak.
“Xizmat ko‘rsatishni rad etish”. “Xizmat ko‘rsatishni rad etish” turidagi hujumning mohiyati shundaki, buzg‘unchi buzish, funksionalligini buzish, bloklash yoki o‘tayuklash yo‘llari orqali “korporativ tarmoq yoki marshrutizatorni befoyda qilishga urinadi”. Bu holda bunday hujumlar oqibatini oldindan aytib bo‘lmaydi, hujumlarning o‘zini esa oldindan bartaraf etib bo‘lmaydi. Shuning uchun taqsimlangan topologiya va tuzilishga ega tarmoqlarni yaratish maqsadga muvofiq: har bir tarmoqni IP-bog‘lamasi boshqa tarmoqlar orqali ulangan, ular o‘z navbatida boshqa tarmoqlar bilan ulangan va h.k. Tarmoq xavfsizligi ma’muriyati yoki Internet-provayder (Internet Service Provider — ISP) faqatgina bevosita yaqindagi bir nechta lokal tarmoq komponentlarini nazorat qilishi mumkin. Buzg‘unchi xar doim o‘zi boshqarayotgan kompyuter yordamida, foydalanuvchidan ISP-servergacha (“upstream”) virtual ulanishni “buzishi” mumkin. Boshqacha qilib aytganda, agar kimdir tarmoqni buzishni xoxlasa, qayerdan bo‘lsa ham u buni amalga oshirishi mumkin, bunga yoki tarmoqni o‘zini buzish yo‘li yoki bu tarmoq ulanishlarini buzish yo‘li orqali erishish mumkin. “Xizmat ko‘rsatishni rad etish” turidagi hujumlarni amalga oshirishning ko‘p usullari mavjud, murakkablardan boshlab eng eskilarigacha “qo‘pol kuchni ishlatib” amalga oshirish mumkin. Muhim va mas’uliyatli vazifalarni yechishda o‘ta muhim hisoblanuvchi qandaydir amaliy xizmatlar extiyojida Internet-tarmoqni qo‘llash haqida xulosaga kelishdan avval, korporativ tarmoqni ishlashida mumkin bo‘lgan muammolar natijasida yuzaga keladigan katta xavflar bilan bog‘liq yechim ekanligiga kelishish kerak.
Tarmoqni korporativ segmentini “exo-paketlar” xizmati yordamida bloklash mumkin, bu buzg‘unchi tomonidan “zararli” xizmat trafikini generatsiyalash uchun qo‘llaniladi.
|
| |