297
tahlillashdan foydalangan. Bu tizim ikkita asosiy sinfga ajratiladi.
Tarmoqqa ruhsatsiz kirishni aniqlash tizimi (Network Intrusion
Detection System) va kompyuterga ruhsatsiz kirishni aniqlash tizimiga
(Host Intrusion Detection System) boʻlinadi.
6.1.1- rasm. VPN tarmoq tuzilmasi.
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi:
• himoyalangan tizimlar xavfsizligi bilan bogʻliq holatlarni yigʻib
tahlillovchi sensor qism tizimi;
• sensorlar maʻlumotlariga koʻra shubhali harakatlar va hujumlarni
aniqlashga moʻljallangan tahlillovchi qism tizimi;
• tahlil natijalari va dastlabki holatlar haqidagi maʻlumotlarni
yigʻishni taʻminlaydigan omborxona;
• IDS tizimini konfiguratsiyalashga
imkon beruvchi, IDS va
himoyalangan tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan
mojarolarni kuzatuvchi boshqaruv konsoli.
Tarmoqqa ruhsatsiz kirishni aniqlash tizimi (NIDS) ishlash tamoyili
quyidagicha:
1. Tarmoqqa kirish huquqiga ega boʻlgan trafiklarni tekshiradi;
2. Zararli va ruhsatga ega boʻlmagan paketlarga cheklov qoʻyadi.
Sanab oʻtilgan xavfsizlik bosqichlarini qoʻllagan
holda
Eavesdropping tahdidiga qarshi samarali tarzda himoyalanish mumkin.
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan
voz kechish hujumi deb nomlanadi. Bunda hujum qiluvchi legal
foydalanuvchilarning tizim yoki xizmatdan foydalanishiga toʻsqinlik
qilishga urinadi. Tez-tez bu hujumlar infratuzilma resurslarini xizmatga
ruhsat soʻrovlari bilan toʻlib toshishi orqali amalga oshiriladi. Bunday
hujumlar alohida hostga yoʻnaltirilgani kabi butun tarmoqqa ham
yoʻnaltirilishi mumkin. Hujumni amalga oshirishdan oldin obekt toʻliq
oʻrganilib chiqiladi, yaʻni tarmoq hujumlariga qarshi qoʻllanilgan
himoya vositalarining
zaifligi yoki kamchliklari, qanday operatsion
298
tizim oʻrnatilgan va ob’ekt ish faoliyatining eng yuqori boʻlgan vaqti.
Quyidagilarni aniqlab va tekshirish natijalariga asoslanib, maxsus dastur
yoziladi. Keyingi bosqichda esa yaratilgan dastur katta mavqega ega
boʻlgan serverlarga yuboriladi. Serverlar oʻz bazasidagi roʻyxatdan
oʻtgan
foydalanuvchilarga
yuboradi.
Dasturni
qabul
qilgan
foydalanuvchi ishonchli server tomonidan yuborilganligini bilib yoki
bilmay dasturni oʻrnatadi. Aynan shu holat minglab hattoki, millionlab
kompyuterlarda sodir boʻlishi mumkin.
Dastur belgilangan vaqtda
barcha kompyuterlarda faollashadi va toʻxtovsiz ravishda hujum
qilinishi moʻljallangan obektning serveriga soʻrovlar yuboradi. Server
tinimsiz kelayotgan soʻrovlarga javob berish bilan ovora boʻlib, asosiy
ish faoliyatini yurgiza olmaydi. Server xizmat qilishdan voz kechib
qoladi.
Xizmat qilishdan voz kechish hujumidan
himoyalanishning eng
samarali yoʻllari quyidagilar:
• tarmoqlararo ekranlar texnologiyasi (Firewall);
• IPsec protokoli.
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya
qurilmasi hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya
texnologiya (AKT) larida kiruvchi va chiquvchi maʻlumotlarni
boshqaradi va maʻlumotlarni filtrlash orqali AKT himoyasini
taʻminlaydi, belgilangan mezonlar asosida axborot tekshiruvini amalga
oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. Tarmoqlararo
ekran tarmoqdan oʻtuvchi barcha paketlarni koʻradi va ikkala (kirish,
chiqish) yoʻnalishi boʻyicha paketlarni belgilangan qoidalar asosida
tekshirib, ularga ruhsat berish yoki bermaslikni hal qiladi.
Shuningdek,
tarmoqlararo ekran ikki tarmoq orasidagi himoyani amalga oshiradi,
yaʻni himoyalanayotgan tarmoqni ochiq tashqi tarmoqdan himoyalaydi.
Himoya vositasining quyida sanab oʻtilgan qulayliklari, ayniqsa,
paketlarni filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning
samarali vositasidir. Paket filtrlari quyidagilarni nazorat qiladi:
• fizik interfeys,
paket qayyerdan keladi;
• manbaning IP-manzili;
• qabul qiluvchining IP-manzili;
• manba va qabul qiluvchi transport portlari.
