|
Tarmoq (IP) sathida konfidensiallikni ta’minlash
|
| bet | 99/118 | | Sana | 17.05.2024 | | Hajmi | 8,17 Mb. | | #240348 |
Bog'liq R. I. Isayev, D. X. Ibatova multimеdiali aloqa tarmoqlari toshkeTarmoq (IP) sathida konfidensiallikni ta’minlash
“Ishonchsiz paketlar kommutatorlariga” bog‘liqlikni minimallashtiradigan tarmoq xavfsizligi tizimini ta’minlash uchun DOD tarmoq sathi xavfsizligi vositalarini (qurilmalarini) ishlab chiqishga asosiy urg‘u berdi. Bunday qurilmalar oraliq kommutatorlarga bog‘liq bo‘lmagan holda, jo‘natuvchidan oluvchiga butun yo‘lda uzatiladigan xabarlarni himoyalashi mumkin. Bunda ular istalgan amaliy protokol xabarini bu protokol ulanish o‘rnatadigan yoki ulanish o‘rnatmaydigan protokol (ya’ni TCP yoki UDP) hisoblanishidan qat’iy nazar himoyalashi mumkin. Bu qurilmalar axborot xavfsizligini ta’minlashning konfidensiallik, ulanishni boshqarish, autentifikatsiyalash va yaxlitlik usullarini ishlatadi.
Lekin o‘ta muhimki, tarmoq (IP) sathida xavfsizlik usullarining ishlatilishi kompyuterlarga nisbatan tashqi (alohida) xavfsizlik vositalarini ishlab chiqish mumkin. Natijada, bunday vositalar ko‘p sonli “ishonchsiz kompyuterlar” manfaatlarida qo‘llanilishi mumkin. 11.5-rasmda bu vositalar qo‘llanilishi mumkin bo‘lgan joylar (LHT va global MAT) tasvirlangan.
Tarmoq darajasi xavfsizlik vositalarining boshqa muhim xususiyati, ular nafaqat alohida kompyuterlar, balki marshrutizatorlarda ham qo‘llanilishi mumkinligi hisoblanadi. Oxirgi holatda butun LHT himoyalanadi. Agar lokal (korporativ) tarmoqda ishonchsiz kompyuterlar bo‘lsa va ular bir xil konfidensiallik darajasili ma’lumotlarga ishlov bersa, u holda himoyalash darajasi talab qilinadigan darajaga mos tushadi. Agar lokal (korporativ) tarmoqda “ishonchli va ishonchsiz” kompyuterlar bo‘lsa, u hollarda tarmoq xavfsizligi vositalari, manbalari faqat bir yoki bir necha global tarmoqlar (masalan, Internet) hisoblangan tashqi tahdidlardan himoyalashni ta’minlaydi. Lekin himoyalash tizimining bunday konfiguratsiyasi eng kam imtiyozlar prinsipini qoniqtirmaydi, chunki barcha kompyuterlar (bitta lokal/korporativ tarmoqdagi) bir xil himoyalash darajasiga ega bo‘ladi, bu real sharoitlarda amalga oshmasligi mumkin.
Eng kam imtiyozlar prinsipi amalga oshirilganida (ulanish darjalari bo‘linganida) ochiq tizimlarda tarmoqda bir vaqtda himoyalangan va himoyalanmagan paketlar kommutatorlari (marshrutizatorlari) bir vaqtda ishlaganida “yashirin kanallarni boshqarish” muammosi vujudga keladi. Bir tomondan, tarmoqdagi mavjud barcha marshrutizatorlarga mumkin bo‘lgan IP-adreslashtirish tizimi zarur, boshqa tomondan esa IP-adreslashtirish tizimi himoyalangan marshrutizatorlar uchun zarur bo‘ladi. Agarbu ikkala adreslar tizimlari fizik ajratilmagan bo‘lsa va ular tarmoq bo‘ylab bir vaqtda translyatsiya qilinsa, u holda bunday vaziyat “troya otlari” uchun himoyalash vositalarini “chetlab o‘tish”, ya’ni aylanma marshrutlardan foydalanish bo‘yicha katta imkoniyatlarni beradi.
11.5-rasm. Tarmoq (IP) sathini xavfsizlik vositalari
“Aylanma marshrutlardan” foydalanish muammosini yechish va IP-paketlar sarlavhasidagi manzillar va boshqa ma’lumotlarni “inkor etish” uchun AQSh mudofaa vazirligi tomonidan “ikkilangan tarkibiy tarmoq” (catenet) modeli taklif etilgan. Bu modelda (11.5-rasm) IP-sathni xavfsizlik vositalari, IP-paketlarni ikkilangan (takroriy) shaklga solish funksiyasi yordamida adreslar muhitining chegarasi bo‘lib qoladi (11.6-rasm). Shuning uchun himoyalaydigan oxirgi va oraliq tizimlar qo‘llaydigan adreslar, himoyalanmaydigan oxirgi va oraliq tizimlar qo‘llaydigan adreslardan to‘liq farqlanadi.
11.6-rasm. IP-paketlarni ikkilangan (takroriy) shaklga solish funksiyasi
Shu bilan birga, ikkita adresli muhitlar ishlagan sharoitlarda ayrim oxirgi yoki oraliq tizimlar o‘zaro ta’sirlasha olmaydi. Masalan (11.5-rasm), "A" va "V" shlyuzlar (marshrutizatorlar) va 6, 7, 8 va 9-kompyuterlar “S” shlyuz (marshrutizator) bilan o‘zaro ta’sirlasha olmaydi.Va aksincha, 3 va 5-kompyuterlar (xavfsizlik qurilmalarisiz) "A" va "V" marshrutizatorlarning borligini bilmaydi, shuningdek, bu marshrutizatorlarga ulangan LHTning borligini ham bilmaydi.
|
| |
