S. K. Ganiyev, M. M. Karimov, K. A. Tashev




Download 10,28 Mb.
Pdf ko'rish
bet88/183
Sana25.01.2024
Hajmi10,28 Mb.
#145814
1   ...   84   85   86   87   88   89   90   91   ...   183
Bog'liq
Axborot xavfsizligi

Uzatiluvchi va qabul qilinuvchi та ’lumotlarning haqiqiyligini 
tekshirish nafaqat elektron xabarlami, balki soxtalashtirilishi mum­
kin bo‘lgan migratsiyalanuvchi dasturlami (Java, ActiveXControls) 
autentifkatsiyalash uchun dolzarb hisoblanadi. Xabar va dasturlar- 
ning haqiqiyligini tekshirish ulaming raqamli imzosini tekshirishdan 
iboratdir.
Ichki tarmoq resurslaridan foydalanishni chegaralash usullari 
operatsion tizim sathida madadlanuvchi chegaralash usullaridan farq 
qilmaydi.
Tashqi tarmoq resurslaridan foydalanishni chegarlashda. ko‘- 
pincha quyidagi yondashishlardan biri ishlatiladi:
- faqat tashqi tarmoqdagi berilgan adres bo‘yicha foydala- 
nishga ruxsat berish;
196


- yangilanuvchi nojoiz adreslar ro‘yxati bo‘yicha so‘rovlami 
filtrlash va o ‘rinsiz kalit so‘zlari bo‘yicha axborot resurslarini qi- 
dirishni blokirovka qilish:
- ma’mur tomonidan tashqi tarmoqning qonuniy resurslarini 
brandmaueming diskli xotirasida to ‘plash va yangilash hamda tash­
qi tarmoqdan foydalanishni to‘la taqiqlash.
Tashqi tarmoqdan so‘raluvchi m a ’lumotlarni keshlash maxsus 
vositachilar yordamida madadlanadi. Ichki tarmoq foydalanuvchilari 
tashqi tarmoq resurslaridan foydalanganlarida barcha axborot, 
proxy-server deb ataluvchi brandmauer qattiq diski makonida to‘p- 
lanadi. Shu sababli, agar navbatdagi so‘rovda kerakli axborot proxy- 
serverda boTsa, vositachi uni tashqi tarmoqqa murojaatsiz taqdim 
etadi. Bu foydalanishni jiddiy tezlashtiradi. M a’murga faqat proxy- 
server tarkibini vaqti-vaqti bilan yangilab turish vazifasi qoladi.
Keshlash funksiyasi tashqi tarmoq resurslaridan foydalanishni 
chegaralashda muvaffaqiyatli ishlatilishi mumkin. Bu holda tashqi 
tarmoqning barcha qonuniy resurslari ma’mur tomonidan proxy-ser- 
verda to‘planadi va yangilanadi. Ichki tarmoq foydalanuvchilariga 
faqat proxy-serveming axborot resurslaridan foydalanishga ruxsat 
beriladi, tashqi tarmoq resurslaridan bevosita foydalanish esa man 
qilinadi.
Xabarlar oqimini filtrlash va о ‘zgartirish vositachi tomonidan 
qoidalaming berilgan to’plami yordamida bajariladi. Bunda vosita- 
chi-dasturlaming ikki xili farqlanadi:
- servis turini aniqlash uchun xabarlar oqimini tahlillashga 
m oijallangan ekranlovchi agentlar, masalan, FTP, HTTP, Telnet;
- barcha xabarlar oqimini ishlovchi universal ekranlovchi 
agentlar, masalan, kompyuter viruslarini qidirib zararsizlantirishga 
yoki maTumotlarni shaffof shifrlashga moTjallangan agentlar.
Dasturiy vositachi unga keluvchi maTumotlar paketini tah- 
lillaydi va agar qandaydir obyekt berilgan mezonlarga mos kelmasa, 
vositachi uning keyingi siljishini blokirovka qiladi yoki mos 
o‘zgarishini, masalan, oshkor qilingan kompyuter viruslami zarar- 
sizlantirishni bajaradi. Paketlar tarkibini tahlillashda ekranlovchi 
agentning o ‘tuvchi faylli arxivlami avtomatik tarzda ocha olishi 
muhim hisoblanadi.
197


Foydalanuvchilarni identifikatsiyalash va autentifikcitsiyalash 
ba’zida oddiy identifikatomi (ism) va parolni taqdim etish bilan 
amalga oshiriladi (8.3-rasm). Ammo bu sxema xavfsizlik nuqtayi 
nazaridan zaif hisoblanadi, chunki parolni begona shaxs ushlab 
qolib, ishlatishi mumkin. Internet tarmog’idagi ko‘pgina mojarolar 
qisman an’anaviy ko‘p marta ishlatiluvchi parollaming zaifligidan 
kelib chiqqan.
Autentifikatsiyalashning ishonchliroq usuli - bir marta ishlati­
luvchi parollardan foydalanishdir. Bir martali parollarni generatsiya- 
lashda apparat va dasturiy vositalardan foydalaniladi. Apparat vosi- 
talari kompyuteming slotiga o ’rnatiluvchi qurilma bo'lib, uni ishga 
tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi 
zarur. Masalan, smart-karta yoki foydalanuvchi tokeni axborotni 
generatsiyalaydi va bu axborotni xost an’anaviy parol o‘mida ish- 
latadi. Smart-karta yoki token xostning apparat va dasturiy ta’minoti 
bilan birga ishlashi sababli, generatsiyalanuvchi parol har bir seans 
uchun noyob bo’ladi.
Ishonchli organ, masalan. kalitlami taqsimlash markazi tomo- 
nidan beriluvchi raqamli sertifikatlami ishlatish ham qulay va 
ishonchli. Ko’pgina vositachi dasturlar shunday ishlab chiqiladiki, 
foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining bo- 
shida autentifikatsiyalanadi. Bundan keyin ma'mur belgilagan vaqt 
mobaynida undan qo’shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni 
markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifi- 
katsiyalash dasturlari va qurilmalarini o ’matishga munosib joy hi­
soblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir 
xostda ishlatilishi mumkin bo‘lsa-da, ulaming tarmoqlararo ekran- 
larda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash chora- 
laridan foydalanuvchi tarmoqlararo ekranlar boTmasa, Telnet yoki 
FTP kabi ilovalaming autentifikatsiyalanmagan trafigi tarmoqning 
ichki tizimlariga to‘g ‘ridan-to‘g ‘ri o'tishi mumkin.
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tar- 
qalgan usullaridan biri - Kerberosni madadlaydi. Odatda, aksariyat 
tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemala- 
rini madadlaydi. Bu esa, tannoq xavfsizligi ina’muriga o ’zining sha- 
roitiga qarab eng maqbul sxeinani tanlash imkonini beradi.
198


M a rs h ru tiz a to r
8.3-rasm. Parol bo‘yicha foydalanuvchini autentifikatsiyalash
sxemasi.

Download 10,28 Mb.
1   ...   84   85   86   87   88   89   90   91   ...   183




Download 10,28 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



S. K. Ganiyev, M. M. Karimov, K. A. Tashev

Download 10,28 Mb.
Pdf ko'rish