22-MA’RUZA. TARMOQLAR VA TARMOQLARARO AXBOROTLARNI
HIMOYALASH USULLARI VA VOSITALARI
Mahalliy tarmoqlarda axborotni himoya qilishning quyi darajasi texnologiyalari:
xavfsizlik devorlari
. Xavfsizlik devori (xavfsizlik devori, xavfsizlik devori) tarmoqning
bir qismini boshqasidan ajratib turadigan va ma'lumotlarni bir qismdan ikkinchisiga
o'tkazish qoidalarini amalga oshiradigan apparat va dasturiy xavfsizlik devori
tizimidir. Chegara mahalliy korporativ tarmoq va tashqi Internet tarmoqlari yoki
mahalliy taqsimlangan tarmoqning turli qismlari o'rtasidagi qismdir. Ekran joriy
trafikni filtrlaydi, ba'zi ma'lumotlar paketlarini uzatadi va boshqalarni filtrlaydi.
Faervol (ME) tarmoq himoyasining asosiy komponentlaridan biridir. Internet Internet
Protocol (Internet Security Protocol - IPSec) bilan bir qatorda ME ishonchli
foydalanuvchi autentifikatsiyasini va ruxsatsiz kirishdan himoya qilishni ta'minlovchi
eng muhim himoya vositalaridan biridir. E'tibor bering, tarmoqlarning axborot
xavfsizligi bilan bog'liq muammolarning aksariyati aloqa echimlarining UNIX OT ga
"bobosi" bog'liqligi bilan bog'liq - ochiq platformaning xususiyatlari va UNIX
dasturlash muhiti ma'lumotlar almashinuvi protokollari va axborot xavfsizligi
siyosatini amalga oshirishga ta'sir ko'rsatdi. . Natijada, bir qator Internet xizmatlari va
tarmoq protokollari to'plami (Transmission Control Protocol / Internet Protocol - TCP
/ IP) himoyada "bo'shliqlar" ga ega [Levin M., 2001].
Ushbu xizmatlar va protokollarga quyidagilar kiradi:
-xizmat tarmoq nomlar (Domen nomlari serveri - DNS);
-WWW jahon tarmog'iga kirish;
-elektron pochta dasturi Pochta yuborish;
-Telnet masofaviy terminali emulyatsiya xizmati;
-Oddiy pochta uzatish protokoli (SMTP)
-Fayl uzatish protokoli;
-grafik oynalash tizimi X Windows.
ME sozlamalari, ya'ni. ma'lumotlar paketlarini uzatish yoki filtrlash to'g'risidagi
qaror tarqatilgan tarmoq topologiyasiga va qabul qilingan axborot xavfsizligi siyosatiga
bog'liq. Shu munosabat bilan xavfsizlik devorini amalga oshirish siyosati ichki tarmoq
resurslariga kirish qoidalarini belgilaydi. Ushbu qoidalar ikkita umumiy tamoyilga
asoslanadi - aniq ruxsat etilmagan hamma narsani taqiqlash va aniq taqiqlanmagan
hamma narsaga ruxsat berish. Birinchi printsipdan foydalanish foydalanuvchilarga
kamroq imkoniyatlar beradi va tarmoq o'zaro ta'sirining qat'iy belgilangan sohasini
qamrab oladi. Ikkinchi tamoyilga
asoslangan siyosat yumshoqroq, lekin koʻp
hollarda bu unchalik maʼqul emas, chunki u foydalanuvchilarga DOEni “aylanib
oʻtish” va taqiqlangan xizmatlardan nostandart portlar (User Data Protocol – UDP)
orqali foydalanish uchun koʻproq imkoniyatlar beradi. xavfsizlik siyosati bilan
taqiqlanmagan.
ME funksionalligi axborot xavfsizligini joriy etishning quyidagi
bo'limlarini qamrab oladi:
-filtrlash qoidalarini o'rnatish;
-ichki tarmoqlarga kirishni boshqarish;
`Ìi`ÊÜÌ
ÊÌ
iÊ`iÊÛiÀÃÊvÊ
vÝÊ*ÀÊ* Ê `ÌÀÊ
/ÊÀiÛiÊÌ
ÃÊÌVi]ÊÛÃÌ\Ê
ÜÜܰVi°VÉÕV°
Ì
-tarmoq darajasida filtrlash;
-dastur darajasida filtrlash;
-tarmoq autentifikatsiya vositalari;
-jurnal va buxgalteriya hisobi.
ME apparat va dasturiy ta'minot komponentlarini uchta toifadan biriga
ajratish mumkin: filtrlash marshrutizatorlari, seans darajasidagi shlyuzlar va dastur
darajasidagi shlyuzlar. ME ning ushbu komponentlari - har biri alohida va turli
kombinatsiyalarda - ME ning asosiy imkoniyatlarini aks ettiradi va ularni bir-
biridan ajratib turadi.
Filtrlash marshrutizatori (Filter Router - FR) IP paketlarni
paket sarlavhasi maydonlarining parametrlariga ko'ra filtrlaydi: manba IP manzili,
maqsad IP manzili, manba TCP/UDP porti va maqsad TCP/UDP porti. Filtrlash
ma'lum xostlar va/yoki portlar bilan ulanishlarni so'zsiz
blokirovka qilishga
qaratilgan - bu holda birinchi turdagi siyosat amalga oshiriladi.
Filtrlash qoidalarini
shakllantirish juda murakkab masala, bundan tashqari, odatda qoidalarni va
ularning bajarilishining to'g'riligini tekshirishning standartlashtirilgan vositalari
mavjud emas. FR ning samarali xavfsizlikni amalga oshirish qobiliyati cheklangan,
chunki OSI mos yozuvlar modelining tarmoq darajasida u odatda paketlarning IP
sarlavhalarini tekshiradi. FR dan foydalanishning afzalliklari past narxni,
qoidalarni shakllantirishda moslashuvchanlikni va paketlarni uzatishda biroz
kechikishni o'z ichiga oladi. FR ning kamchiliklari juda jiddiy,
ular batafsilroq
muhokama qilinishi kerak:
ma'lum bir foydalanuvchining autentifikatsiyasi yo'q;
yuqoridagi
IP-manzil
autentifikatsiyasini
kerakli
IP-manzil
yordamida
foydalanuvchi ma'lumotlarini tajovuzkor ma'lumotlari bilan almashtirish orqali
"aylanib o'tish" mumkin;
ichki tarmoq tashqi tarmoqdan "ko'rinadi"; filtrlash
qoidalarini tavsiflash va tekshirish qiyin, ular yuqori malakali ma'murlar va
TCP/UDP protokollarini yaxshi bilishni talab qiladi;
FM ishining buzilishi ushbu
ME orqasida turgan barcha kompyuterlarning to'liq xavfsizligiga olib keladi.
Session Level Gateway (SLG) TCP ulanishining faol tarjimonidir. Shlyuz
vakolatli mijozdan xizmatlar ko'rsatish uchun so'rovni qabul qiladi , so'ralgan
seansning haqiqiyligini tekshiradi (Handshaking), tashqi tarmoqning manzil
manzili bilan kerakli ulanishni o'rnatadi va ushbu aloqa seansi bo'yicha
statistik
ma'lumotlarni yaratadi. Ishonchli mijoz va tashqi xost sessiyaning "qonuniy"
(vakolatli) ishtirokchilari ekanligini aniqlagandan so'ng, shlyuz paketlarni
filtrlashsiz ikkala yo'nalishda ham uzatadi. Bunday holda, maqsad ko'pincha
oldindan belgilanadi va ko'plab ma'lumot manbalari bo'lishi mumkin (birdan
ko'pga ulanish) - bu, masalan, tashqi veb-resursdan foydalanishning odatiy holidir.
Turli portlardan foydalanib, siz tarmoq resurslariga kirish huquqiga ega
bo'lgan barcha foydalanuvchilarga bir vaqtning o'zida xizmat ko'rsatadigan turli xil
ulanish konfiguratsiyalarini yaratishingiz mumkin. SLG ning muhim kamchiligi
shundan iboratki, ulanish o'rnatilgandan so'ng paketlar mazmunini dastur
darajasida tekshirmasdan faqat OSI modelining sessiya qatlamida filtrlanadi.
Vakolatli tajovuzkor bunday shlyuz orqali zararli dasturlarni osongina tarqatishi
mumkin.
Shunday qilib, himoyani amalga oshirish asosan e'tirof etish
(Handshaking) darajasida amalga oshiriladi.
Gateway Daraja ilovalar (Application
Layer Gateway - ALG). FR va SLG shlyuzlarining kamchiliklarini qoplash uchun
Telnet va FTP va boshqalar kabi xizmatlarga ulanishda paketlarni filtrlash uchun
ilovalar xavfsizlik devoriga o'rnatilgan. Bu ilovalar proksi-serverlar va xizmat
ishlayotgan qurilma (host) deb ataladi. darajali shlyuz deb ataladi.ilovalar. Shlyuz
vakolatli foydalanuvchi va tashqi xost o'rtasidagi bevosita o'zaro aloqani yo'q
qiladi. Tarmoq seansini tuzatgandan so'ng, shlyuz uni to'xtatadi va so'ralgan
xizmatni - Telnet, FTP, WWW yoki E-mailni amalga oshirish uchun vakolatli
dasturni chaqiradi. Tarmoqda ulanish xizmatini olmoqchi bo'lgan tashqi
foydalanuvchi avval ALG ga ulanadi, so'ngra xavfsizlik siyosatida ko'zda tutilgan
protseduralardan o'tib, kerakli ichki tugunga (host) kirish huquqiga ega bo'ladi. Biz
ushbu texnologiyaning aniq afzalliklarini ta'kidlaymiz:
vakolatli ilovalar faqat o'z
doirasida ro'yxatdan o'tgan xizmatlarni chaqiradi, so'ralgan
xizmat kontekstida
axborot xavfsizligi talablariga javob bermaydigan barcha boshqalar bundan
mustasno;
vakolatli ilovalar protokol filtrlashni ta'minlaydi - masalan, ba'zi ALGlar
FTP ulanishini filtrlash va
buyrug'ini bajarishni taqiqlash uchun
sozlanishi mumkin, bu ma'lumotni anonim FTP serveriga o'tkazishga aniq ruxsat
bermaydi;
amaliy qatlam shlyuzlari, qoida tariqasida, server tomonidan amalga
oshirilgan harakatlarni maxsus jurnalga yozib oladi va kerak bo'lganda, tarmoq
ma'muriga mumkin bo'lgan to'qnashuvlar va kirishga urinishlar haqida xabar
beradi;
ichki tarmoq strukturasi Internetdan ko'rinmaydi, shlyuz kuchli
autentifikatsiya va ro'yxatdan o'tishni amalga oshiradi, filtrlash qoidalari oddiy,
chunki ekran faqat dastur qatlami shlyuziga mo'ljallangan dastur trafigiga ruxsat
beradi, qolgan hamma narsani bloklaydi.
Amaliyot shuni ko'rsatadiki, dastur
darajasida himoya qo'shimcha ravishda axborot xavfsizligi tizimida boshqa
tekshiruvlarni amalga oshirishga imkon beradi - va bu xavfsizlik tizimida
"teshiklari" bo'lgan tizimni "buzish" xavfini kamaytiradi.
Xavfsizlik devorlarini
quyidagi asosiy xususiyatlarga bo'lish mumkin:
bajarilishi bo'yicha: dasturiy
ta'minot va apparat-dasturiy ta'minot;
ishlatiladigan texnologiya bo'yicha: protokol
holatini boshqarish (Stateful Inspection Protocol) yoki vositachi modullar
yordamida (Proksi-server);
OSI (Open System Interconnection) mos yozuvlar
modeli darajalarida ishlash bo'yicha: ekspert shlyuzlari, dastur, seans darajalari,
paket filtri;
ulanish sxemasi bo'yicha: tarmoqni himoya qilishning yagona sxemasi;
yopiq va himoyalanmagan ochiq tarmoq segmentlari bilan sxema; yopiq va ochiq
tarmoq segmentlarini alohida himoya qilish sxemasi.
Shaklda . 30.16 da apparat va
dasturiy yechimga asoslangan mahalliy tarmoqni himoya qilish varianti
ko'rsatilgan - Cisco Systems kompaniyasining Cisco 2610 va PIX Firewall 520
xavfsizlik devori [Sokolov A.V., Shangin V.F., 2002]. Ushbu modelning o'ziga xos
xususiyati real vaqt rejimidagi maxsus OT bo'lib, yuqori ko'rsatkichlar adaptiv
xavfsizlik algoritmi (Adaptive Security Algorithm - ASA) asosida amalga
oshiriladi.