Xabarlar oqimini filtrlash va о ‘zgartirish
vositachi tomonidan
qoidalaming berilgan to‘plami yordamida bajariladi. Bunda vosita-
chi-dasturlaming ikki xili farqlanadi:
- servis turini aniqlash uchun xabarlar oqimini tahlillashga
mo‘ljallangan ekranlovchi agentlar, masalan, FTP, HTTP, Telnet;
- barcha xabarlar oqimini ishlovchi universal ekranlovchi
agentlar, masalan, kompyuter viruslarini qidirib zararsizlantirishga
yoki ma’lumotlami shaffof shifrlashga mo‘ljallangan agentlar.
Dasturiy vositachi unga keluvchi ma’lumotlar paketini tah-
lillaydi va agar qandaydir obyekt berilgan mezonlarga mos kelmasa,
vositachi uning keyingi siljishini blokirovka qiladi yoki mos
o‘zgarishini, masalan, oshkor qilingan kompyuter vimslami zarar-
sizlantirishni bajaradi. Paketlar tarkibini tahlillashda ekranlovchi
agentning o‘tuvchi faylli arxivlami avtomatik tarzda ocha olishi
muhim hisoblanadi.
197
Foydalanuvchilarni identifikatsiyalash va autentifikatsiyalash
ba’zida oddiy identifikatomi (ism) va parolni taqdim etish bilan
amalga oshiriladi (8.3-rasm). Ammo bu sxema xavfsizlik nuqtayi
nazaridan zaif hisoblanadi, chunki parolni begona shaxs ushlab
qolib, ishlatishi mumkin. Internet tarmog‘idagi ko‘pgina mojarolar
qisman an’anaviy ko‘p marta ishlatiluvchi parollaming zaifligidan
kelib chiqqan.
Autentifikatsiyalashning ishonchliroq usuli - bir marta ishlati
luvchi parollardan foydalanishdir. Bir martali parollami generatsiya-
lashda apparat va dasturiy vositalardan foydalaniladi. Apparat vosi
talari kompyuteming slotiga o‘matiluvchi qurilma bo‘lib, uni ishga
tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi
zarur. Masalan, smart-karta yoki foydalanuvchi tokeni axborotni
generatsiyalaydi va bu axborotni xost an’anaviy parol o‘mida ish-
latadi. Smart-karta yoki token xostning apparat va dasturiy ta’minoti
bilan birga ishlashi sababli, generatsiyalanuvchi parol har bir seans
uchun noyob bo‘ladi.
Ishonchli organ, masalan, kalitlami taqsimlash markazi tomo-
nidan beriluvchi raqamli sertifikatlami ishlatish ham qulay va
ishonchli. Ko‘pgina vositachi dasturlar shunday ishlab chiqiladiki,
foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining bo-
shida autentifikatsiyalanadi. Bundan keyin ma’mur belgilagan vaqt
mobaynida undan qo‘shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni
markazlashtirishlari mumkin. Demak, ular kucjiaytirilgan autentifi
katsiyalash dasturlari va qurilmalarini o‘matishga munosib joy hi
soblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir
xostda ishlatilishi mumkin bo‘lsa-da, ulaming tarmoqlararo ekran-
larda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash chora-
laridan foydalanuvchi tarmoqlararo ekranlar bo‘lmasa, Telnet yoki
FTP kabi ilovalaming autentifikatsiyalanmagan trafigi tarmoqning
ichki tizimlariga to‘g‘ridan-to‘g‘ri o‘tishi mumkin.
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tar-
qalgan usullaridan biri - Kerberosni madadlaydi. Odatda, aksariyat
tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemala-
rini madadlaydi. Bu esa, tarmoq xavfsizligi ma’muriga o‘zining sha-
roitiga qarab eng maqbul sxemani tanlash imkonini beradi.
198
Marshrutizator
stansiya
stansiya
8.3-rasm. Parol bo‘yicha foydalanuvchini autentifikatsiyalash
sxemasi.
|
