Uzatiluvchi va qabul qilinuvchi та ’lumotlarning haqiqiyligini
tekshirish nafaqat elektron xabarlami, balki soxtalashtirilishi mum
kin bo‘lgan migratsiyalanuvchi dasturlami (Java, ActiveXControls)
autentifkatsiyalash uchun dolzarb hisoblanadi. Xabar va dasturlar-
ning haqiqiyligini tekshirish ulaming raqamli imzosini tekshirishdan
iboratdir.
Ichki tarmoq resurslaridan foydalanishni chegaralash usullari
operatsion tizim sathida madadlanuvchi chegaralash usullaridan farq
qilmaydi.
Tashqi tarmoq resurslaridan foydalanishni chegarlashda. ko‘-
pincha quyidagi yondashishlardan biri ishlatiladi:
- faqat tashqi tarmoqdagi berilgan adres bo‘yicha foydala-
nishga ruxsat berish;
196
- yangilanuvchi nojoiz adreslar ro‘yxati bo‘yicha so‘rovlami
filtrlash va o ‘rinsiz kalit so‘zlari bo‘yicha axborot resurslarini qi-
dirishni blokirovka qilish:
- ma’mur tomonidan tashqi tarmoqning qonuniy resurslarini
brandmaueming diskli xotirasida to ‘plash va yangilash hamda tash
qi tarmoqdan foydalanishni to‘la taqiqlash.
Tashqi tarmoqdan so‘raluvchi m a ’lumotlarni keshlash maxsus
vositachilar yordamida madadlanadi. Ichki tarmoq foydalanuvchilari
tashqi tarmoq resurslaridan foydalanganlarida barcha axborot,
proxy-server deb ataluvchi brandmauer qattiq diski makonida to‘p-
lanadi. Shu sababli, agar navbatdagi so‘rovda kerakli axborot proxy-
serverda boTsa, vositachi uni tashqi tarmoqqa murojaatsiz taqdim
etadi. Bu foydalanishni jiddiy tezlashtiradi. M a’murga faqat proxy-
server tarkibini vaqti-vaqti bilan yangilab turish vazifasi qoladi.
Keshlash funksiyasi tashqi tarmoq resurslaridan foydalanishni
chegaralashda muvaffaqiyatli ishlatilishi mumkin. Bu holda tashqi
tarmoqning barcha qonuniy resurslari ma’mur tomonidan proxy-ser-
verda to‘planadi va yangilanadi. Ichki tarmoq foydalanuvchilariga
faqat proxy-serveming axborot resurslaridan foydalanishga ruxsat
beriladi, tashqi tarmoq resurslaridan bevosita foydalanish esa man
qilinadi.
Xabarlar oqimini filtrlash va о ‘zgartirish vositachi tomonidan
qoidalaming berilgan to’plami yordamida bajariladi. Bunda vosita-
chi-dasturlaming ikki xili farqlanadi:
- servis turini aniqlash uchun xabarlar oqimini tahlillashga
m oijallangan ekranlovchi agentlar, masalan, FTP, HTTP, Telnet;
- barcha xabarlar oqimini ishlovchi universal ekranlovchi
agentlar, masalan, kompyuter viruslarini qidirib zararsizlantirishga
yoki maTumotlarni shaffof shifrlashga moTjallangan agentlar.
Dasturiy vositachi unga keluvchi maTumotlar paketini tah-
lillaydi va agar qandaydir obyekt berilgan mezonlarga mos kelmasa,
vositachi uning keyingi siljishini blokirovka qiladi yoki mos
o‘zgarishini, masalan, oshkor qilingan kompyuter viruslami zarar-
sizlantirishni bajaradi. Paketlar tarkibini tahlillashda ekranlovchi
agentning o ‘tuvchi faylli arxivlami avtomatik tarzda ocha olishi
muhim hisoblanadi.
197
Foydalanuvchilarni identifikatsiyalash va autentifikcitsiyalash
ba’zida oddiy identifikatomi (ism) va parolni taqdim etish bilan
amalga oshiriladi (8.3-rasm). Ammo bu sxema xavfsizlik nuqtayi
nazaridan zaif hisoblanadi, chunki parolni begona shaxs ushlab
qolib, ishlatishi mumkin. Internet tarmog’idagi ko‘pgina mojarolar
qisman an’anaviy ko‘p marta ishlatiluvchi parollaming zaifligidan
kelib chiqqan.
Autentifikatsiyalashning ishonchliroq usuli - bir marta ishlati
luvchi parollardan foydalanishdir. Bir martali parollarni generatsiya-
lashda apparat va dasturiy vositalardan foydalaniladi. Apparat vosi-
talari kompyuteming slotiga o ’rnatiluvchi qurilma bo'lib, uni ishga
tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi
zarur. Masalan, smart-karta yoki foydalanuvchi tokeni axborotni
generatsiyalaydi va bu axborotni xost an’anaviy parol o‘mida ish-
latadi. Smart-karta yoki token xostning apparat va dasturiy ta’minoti
bilan birga ishlashi sababli, generatsiyalanuvchi parol har bir seans
uchun noyob bo’ladi.
Ishonchli organ, masalan. kalitlami taqsimlash markazi tomo-
nidan beriluvchi raqamli sertifikatlami ishlatish ham qulay va
ishonchli. Ko’pgina vositachi dasturlar shunday ishlab chiqiladiki,
foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining bo-
shida autentifikatsiyalanadi. Bundan keyin ma'mur belgilagan vaqt
mobaynida undan qo’shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni
markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifi-
katsiyalash dasturlari va qurilmalarini o ’matishga munosib joy hi
soblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir
xostda ishlatilishi mumkin bo‘lsa-da, ulaming tarmoqlararo ekran-
larda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash chora-
laridan foydalanuvchi tarmoqlararo ekranlar boTmasa, Telnet yoki
FTP kabi ilovalaming autentifikatsiyalanmagan trafigi tarmoqning
ichki tizimlariga to‘g ‘ridan-to‘g ‘ri o'tishi mumkin.
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tar-
qalgan usullaridan biri - Kerberosni madadlaydi. Odatda, aksariyat
tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemala-
rini madadlaydi. Bu esa, tannoq xavfsizligi ina’muriga o ’zining sha-
roitiga qarab eng maqbul sxeinani tanlash imkonini beradi.
198
M a rs h ru tiz a to r
8.3-rasm. Parol bo‘yicha foydalanuvchini autentifikatsiyalash
sxemasi.
|
