• 8.2. Tarmoqlararo ekranlaming asosiy komponentlari
    		•

    S. K. Ganiyev, M. M. Karimov, K. A. Tashev




    Download 10,28 Mb.
    Pdf ko'rish
    bet90/183
    Sana25.01.2024
    Hajmi10,28 Mb.
    #145814
    1   ...   86   87   88   89   90   91   92   93   ...   183
    Bog'liq
    Axborot xavfsizligi

    Nazorat savollari:
    1. Tarmoqlararo ekran vositalari tushunchasi va uning vazifa-
    lari.
    2. Tarmoqlararo ekranlaming OSI modeli sathlari bo‘yicha tur- 
    kumlanishi.
    3. Trafiklami fdtrlash funksiyasining ishlashini tushuntirib be­
    ring.
    4. Tarmoq adreslarini translyatsiyalash qanday amalga oshiri-
    ladi?
    5. Tarmoqlararo ekranlaming vositachilik funksiyalarining 
    mohiyati nimadan iborat?
    8.2. Tarmoqlararo ekranlaming asosiy komponentlari
    Tarmoqlararo ekranlar tarmoqlararo aloqa xavfsizligini OSI 
    modelining turli sathlarida madadlaydi. Bunda etalon modelning 
    turli sathlarida bajariladigan himoya funksiyalari bir-biridan jiddiy 
    farqlanadi. Shu sababli, tarmoqlararo ekranlar kompleksini, har biri 
    OSI modelining alohida sathiga moMjallangan, bo'linmaydigan ek­
    ranlar majmui ko‘rinishida tasavvur etish mumkin.
    Ekranlar kompleksi ko‘pincha etalon modelning tarmoq, seans, 
    tatbiqiy sathlarida ishlaydi. Mos holda, quyidagi boTinmaydigan 
    brandmauerlar farqlanadi (8.5-rasm).
    - ekranlovchi marshrutizator;
    - seans sathi shlyuzi (ekranlovchi transport);
    - tatbiqiy sath shlyuzi (ekranlovchi shlyuz).
    Tarmoqlarda ishlatiladigan protokollar (TCP/IP, SPX/IPX) 
    OSI etalon modeliga batamom mos kelmaydi, shu sababli sanab 
    o ‘tilgan ekranlar xili funksiyalarini amalga oshirishda etalon mo­
    delining qo‘shni sathlarini ham qamrab olishlari mumkin. Masalan, 
    tatbiqiy ekran xabarlaming tashqi tarmoqqa uzatilishida ulami avto- 
    matik tarzda shifrlashni hamda qabul qilinuvchi kriptografik bekitil- 
    gan maTumotlami avtomatik tarzda rasshifrovka qilishni amalga
    202

    oshirishi mumkin. Bu holda, bunday ekran OSI modelining nafaqat 
    tatbiqiy sathida, balki taqdimiy sathida ham ishlaydi.
    Seans sathi shlyuzi ishlashida OSI modelining transport va tar- 
    moq sathlarini qamrab oladi. Ekranlovchi marshrutizator xabarlar 
    paketini tahlillashda ulaming nafaqat tarmoq, balki transport sathi 
    sarlavhalarini ham tekshiradi.
    Tatbiqiy sath
    Tatbiqiy sath 
    ,
    Tatbiqiy sath
    Taqdimiy sath
    Taqdimiy sath
    Seans sathi
    /
    Seans sathi 

    shlyuzi
    Seans sathi
    Transport sathi
    Transport sathi
    Tarmoq sathi
    S '
    Ekranlaydigan
    marshrutizator 
    _y
    Tarmoq sathi
    Kanal sathi
    Kanal sathi
    Fizik sath
    Fizik sath
    8.5-rasm. OSI modelining alohida sathlarida ishlaydigan 
    tarmoqlararo ekranlar turi.
    Yuqorida keltirilgan tarmoqlararo ekranlaming xillari o’zining 
    afzalliklari va kamchiliklariga ega. Ishlatiladigan brandniauerlaming 
    ko‘pchiligi yoki tatbiqiy shlyuzlar, yoki ekranlovchi marshrutizator- 
    lar bo'lib, tannoqlararo aloqaning to’liq xavfsizligini ta’minlamay- 
    di. Ishonchli himoyani esa faqat har biri - ekranlovchi marshrutiza­
    tor, seans sathi shlyuzi hamda tatbiqiy shlyuzni birlashtiruvchi tar­
    moqlararo ekranlaming kompleksi ta’minlaydi.
    Ekranlovchi marshrutizator (screeningrouter) (paketli filtr 
    (packetfilter) deb ham ataladi) xabarlar paketini filtrlashga atalgan, 
    ichki va tashqi tarmoqlar orasida shaffof aloqani ta’minlaydi. U OSI 
    modelining tarmoq sathida ishlaydi, ammo o ’zining ayrim funksiya- 
    larini bajarishida etalon modelining transport sathini ham qamrab 
    olishi mumkin.
    M a’lumotlami o ’tkazish yoki brakka chiqarish xususidagi qa- 
    ror filtrlashning berilgan qoidalariga binoan har bir paket uchun
    203

    mustaqil qabul qilinadi. Qaror qabul qilishda tarmoq va transport 
    sathlari paketlarining sarlavhalari tahlil etiladi (8.6-rasm).
    8.6-rasm. Paketli filtming ishlash sxemasi.
    Har bir paketning IP- va TCP/UDP - sarlavhalarining tahlil- 
    lanuvchi hoshiyalari sifatida quyidagilar ishlatilishi mumkin:
    - jo ‘natuvchi adresi;
    - qabul qiluvchi adresi;
    - paket xili;
    - paketni fragmentlash bayrog‘i;
    - manba porti nomeri;
    - qabul qiluvchi port nomeri.
    Birinchi to‘rtta parametr paketning IP-sarlavhasiga, keyingilari 
    esa TCP-yoki UDP sarlavhasiga taalluqli. Jo‘natuvchi va qabul 
    qiluvchi adreslari IP-adreslar hisoblanadi. Bu adreslar paketlami 
    shakllantirishda toidiriladi va uni tarmoq bo‘yicha uzatganda 
    o‘zgarmaydi.
    Paket xili hoshiyasida tarmoq sathiga mos keluvchi ICMP 
    protokol kodi yoki tahlillanuvchi IP-paket taalluqli boig an transport 
    sathi protokolining (TCP yoki UDP) kodi boTadi.
    Paketni fragmentlash bayrog‘i IP-paketlar fragmentlashining 
    borligi yoki yo‘qligini aniqlaydi. Agar tahlillanuvchi paket uchun 
    fragmentlash bayrog‘i o'matilgan bo‘lsa, mazkur paket fragment- 
    langan IP-paketning qismpaketi hisoblanadi.
    Manba va qabul qiluvchi portlari nomerlari TCP yoki UDP 
    drayver tomonidan har bir jo ‘natiluvchi xabar paketlariga qo'shiladi 
    va jo ‘natuvchi ilovasini hamda ushbu paket atalgan ilovani bir 
    m a’noda identifikatsiyalaydi. Portlar nomerlari bo‘yicha filtrlash
    2 0 4

    imkoniyati uchun yuqori sath protokollariga port nomerlarini ajra- 
    tish bo‘yicha tarmoqda qabul qilingan kelishuvni bilish lozim.
    Har bir paket ishlanishida ekranlovchi marshrutizator berilgan 
    qoidalar jadvalini, paketning to‘liq assotsiatsiyasiga mos keluvchi 
    qoidani topgunicha, ketma-ket ko‘rib chiqadi. Bu yerda assotsiatsiya 
    deganda, berilgan paket sarlavhalarida ko‘rsatilgan parametrlar maj- 
    mui tushuniladi. Agar ekranlovchi marshrutizator jadvaldagi qoida- 
    laming birortasiga ham mos kelmaydigan paketni olsa, u, xavfsizlik 
    nuqtayi nazaridan, uni yaroqsiz holga chiqaradi.
    Paketli filtrlar apparat va dasturiy amalga oshirilishi mumkin. 
    Paketli filtr sifatida oddiy marshrutizator hamda kiruvchi va chiquv- 
    chi paketlami filtrlashga moslashtirilgan, serverda ishlovchi dastur- 
    dan foydalanish mumkin. Zamonaviy marshrutizatorlar har bir port 
    bilan bir necha o ‘nlab qoidalami bog‘lashi va kirishda hamda 
    chiqishda paketlami filtrlashi mumkin.
    Paketli filtrlaming kamchiligi sifatida quyidagilami ko‘rsatish 
    mumkin. Ular xavfsizlikning yuqori darajasini ta’minlamaydi, chun- 
    ki faqat paket sarlavhalarini tekshiradi va ko‘pgina kerakli funksiya- 
    lami madadlamaydi. Bu funksiyalarga, masalan, oxirgi uzellami 
    autentifikatsiyalash, xabarlar paketlarini kriptografik bekitish hamda 
    ulaming yaxlitligini va haqiqiyligini tekshirish kiradi. Paketli filtrlar 
    dastlabki adreslami almashtirib qo‘yish va xabarlar paketi tarkibini 
    ruxsatsiz o‘zgartirish kabi keng tarqalgan tarmoq hujumlariga zaif 
    hisoblanadilar. Bu xil brandmauerlami "aldash" qiyin emas - filtr­
    lashga ruxsat beruvchi qoidalami qondimvchi paket sarlavhalarini 
    shakllantirish kifoya.
    Ammo, paketli filtrlaming amalga oshirilishining soddaligi, 
    yuqori unumdorligi, dasturiy ilovalar uchun shaffofligi va narxining 
    pastligi, ulaming hamma yerda tarqalishiga va tarmoq xavfsizligi 
    tizimining majburiy elementi kabi ishlatilishiga imkon yaratdi.

    Download 10,28 Mb.
    1   ...   86   87   88   89   90   91   92   93   ...   183




    Download 10,28 Mb.
    Pdf ko'rish
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    S. K. Ganiyev, M. M. Karimov, K. A. Tashev

    Download 10,28 Mb.
    Pdf ko'rish