Tarmoq texnologiyalari




Download 7,35 Mb.
Pdf ko'rish
bet209/243
Sana31.05.2024
Hajmi7,35 Mb.
#258127
1   ...   205   206   207   208   209   210   211   212   ...   243
Bog'liq
Begbutayev A Yusupov RUquv qollanma tarmoq texnologiyalari Kitob

VPN ishlash tamoyili
. VPN tarmogʻini tashkil etish uchun yangi 
qurilmalar va dasturiy taʻminotdan tashqari ikkita asosiy qismga ham 
ega boʻlish lozim: maʻlumot uzatish protokoli va uning himoyasi 
boʻyicha vositalar. 
Ruhsatsiz kirishni aniqlash tizimi (IDS) yordamida tizim yoki 
tarmoq xavfsizlik siyosatini buzib kirishga harakat qilingan usul yoki 
vositalar aniqlanadi. Ruhsatsiz kirishlarni aniqlash tizimlari deyarli 
chorak asrlik tarixga ega. Ruhsatsiz kirishlarni aniqlash tizimlarining ilk 
modellari va prototiplari kompyuter tizimlarining audit maʻlumotlarini 


297 
tahlillashdan foydalangan. Bu tizim ikkita asosiy sinfga ajratiladi. 
Tarmoqqa ruhsatsiz kirishni aniqlash tizimi (Network Intrusion 
Detection System) va kompyuterga ruhsatsiz kirishni aniqlash tizimiga 
(Host Intrusion Detection System) boʻlinadi. 
 
6.1.1- rasm. VPN tarmoq tuzilmasi. 
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi: 
• himoyalangan tizimlar xavfsizligi bilan bogʻliq holatlarni yigʻib 
tahlillovchi sensor qism tizimi; 
• sensorlar maʻlumotlariga koʻra shubhali harakatlar va hujumlarni 
aniqlashga moʻljallangan tahlillovchi qism tizimi; 
• tahlil natijalari va dastlabki holatlar haqidagi maʻlumotlarni 
yigʻishni taʻminlaydigan omborxona; 
• IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va 
himoyalangan tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan 
mojarolarni kuzatuvchi boshqaruv konsoli. 
Tarmoqqa ruhsatsiz kirishni aniqlash tizimi (NIDS) ishlash tamoyili 
quyidagicha: 
1. Tarmoqqa kirish huquqiga ega boʻlgan trafiklarni tekshiradi; 
2. Zararli va ruhsatga ega boʻlmagan paketlarga cheklov qoʻyadi. 
Sanab oʻtilgan xavfsizlik bosqichlarini qoʻllagan holda 
Eavesdropping tahdidiga qarshi samarali tarzda himoyalanish mumkin. 
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan 
voz kechish hujumi deb nomlanadi. Bunda hujum qiluvchi legal 
foydalanuvchilarning tizim yoki xizmatdan foydalanishiga toʻsqinlik 
qilishga urinadi. Tez-tez bu hujumlar infratuzilma resurslarini xizmatga 
ruhsat soʻrovlari bilan toʻlib toshishi orqali amalga oshiriladi. Bunday 
hujumlar alohida hostga yoʻnaltirilgani kabi butun tarmoqqa ham 
yoʻnaltirilishi mumkin. Hujumni amalga oshirishdan oldin obekt toʻliq 
oʻrganilib chiqiladi, yaʻni tarmoq hujumlariga qarshi qoʻllanilgan 
himoya vositalarining zaifligi yoki kamchliklari, qanday operatsion 


298 
tizim oʻrnatilgan va ob’ekt ish faoliyatining eng yuqori boʻlgan vaqti. 
Quyidagilarni aniqlab va tekshirish natijalariga asoslanib, maxsus dastur 
yoziladi. Keyingi bosqichda esa yaratilgan dastur katta mavqega ega 
boʻlgan serverlarga yuboriladi. Serverlar oʻz bazasidagi roʻyxatdan 
oʻtgan 
foydalanuvchilarga 
yuboradi. 
Dasturni 
qabul 
qilgan 
foydalanuvchi ishonchli server tomonidan yuborilganligini bilib yoki 
bilmay dasturni oʻrnatadi. Aynan shu holat minglab hattoki, millionlab 
kompyuterlarda sodir boʻlishi mumkin. Dastur belgilangan vaqtda 
barcha kompyuterlarda faollashadi va toʻxtovsiz ravishda hujum 
qilinishi moʻljallangan obektning serveriga soʻrovlar yuboradi. Server 
tinimsiz kelayotgan soʻrovlarga javob berish bilan ovora boʻlib, asosiy 
ish faoliyatini yurgiza olmaydi. Server xizmat qilishdan voz kechib 
qoladi. 
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng 
samarali yoʻllari quyidagilar: 
• tarmoqlararo ekranlar texnologiyasi (Firewall); 
• IPsec protokoli. 
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya 
qurilmasi hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya 
texnologiya (AKT) larida kiruvchi va chiquvchi maʻlumotlarni 
boshqaradi va maʻlumotlarni filtrlash orqali AKT himoyasini 
taʻminlaydi, belgilangan mezonlar asosida axborot tekshiruvini amalga 
oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. Tarmoqlararo 
ekran tarmoqdan oʻtuvchi barcha paketlarni koʻradi va ikkala (kirish, 
chiqish) yoʻnalishi boʻyicha paketlarni belgilangan qoidalar asosida 
tekshirib, ularga ruhsat berish yoki bermaslikni hal qiladi. Shuningdek
tarmoqlararo ekran ikki tarmoq orasidagi himoyani amalga oshiradi, 
yaʻni himoyalanayotgan tarmoqni ochiq tashqi tarmoqdan himoyalaydi. 
Himoya vositasining quyida sanab oʻtilgan qulayliklari, ayniqsa, 
paketlarni filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning 
samarali vositasidir. Paket filtrlari quyidagilarni nazorat qiladi: 
• fizik interfeys, paket qayyerdan keladi
• manbaning IP-manzili; 
• qabul qiluvchining IP-manzili; 
• manba va qabul qiluvchi transport portlari. 


299 

Download 7,35 Mb.
1   ...   205   206   207   208   209   210   211   212   ...   243




Download 7,35 Mb.
Pdf ko'rish