|
-ma’ruza.
Tarmoqlararo ekran texnologiyalari
|
| bet | 55/144 | | Sana | 20.05.2024 | | Hajmi | 10,58 Mb. | | #245858 |
Bog'liq “tarmoq xavfsizligi”13-ma’ruza.
Tarmoqlararo ekran texnologiyalari
Reja:
Foydalanishlarga ruxsat berish ro‘yxati (ACL)
Tarmoqlararo ekran texnologiyalari. Tarmoqlararo ekranlarning qo‘shimcha imkoniyatlari
Zonali siyosatga asoslangan tarmoqlararo ekran
ASA (Adaptive Security Appliance) ga kirish
DMZ - bu mahalliy tarmoq va Internet o'rtasida bufer vazifasini bajaradigan jismoniy yoki virtual server. U mahalliy tarmoq foydalanuvchilariga elektron pochta xizmatlari, masofaviy serverlar, veb-ilovalar va World Wide Web-ga kirishni talab qiladigan boshqa dasturlarni taqdim etish uchun ishlatiladi. Ichki manbalarga tashqi tomondan kirish uchun avtorizatsiya tartibidan o'tish kerak, ruxsatsiz foydalanuvchilar uchun tizimga kirish urinishi muvaffaqiyatli bo'lmaydi. Ko'pgina hollarda, bu marshrutizator sozlamalarida amalga oshiriladi.
Bu nom inglizcha qisqartirishdan kelib chiqib, aloqa qilinayotgan hududlar o'rtasida to'siq bo'lib xizmat qiladi. Ushbu texnologiya Internetga ulangan har qanday kompyuterdan kirish kerak bo'lgan uy serverini yaratishda ishlatiladi. Ichki xavfsizligi yuqori bo'lgan yirik korporativ tarmoqlarda haqiqiy ajratilgan zonasi qo'llaniladi. Routerlarning uy modellari Internetga kirish uchun kompyuterni to'liq ochadi.
Service Leg konfiguratsiyasi
DMZ tarmog'ining konfiguratsiyalaridan biri "service leg" deb nomlangan xavfsizlik devori konfiguratsiyasi. Ushbu konfiguratsiyada xavfsizlik devori kamida uchta tarmoq interfeysiga ega. Bir tarmoq interfeysi Internetga, ikkinchisi ichki tarmoqqa ulanadi va uchinchi tarmoq interfeysi DMZ tarmog'ini tashkil qiladi. Ushbu konfiguratsiya DMZ tarmog'ida joylashgan xizmatlarga yo'naltirilgan DoS hujumida xavfsizlik devori uchun xavfni oshirishi mumkin. Oddiy DMZ konfiguratsiyasida veb-server kabi DMZ tarmog'ida joylashgan manbaga qarshi DoS hujumi faqat ushbu maqsad resursga ta'sir qiladi. DMZ tarmog'i konfiguratsiyasining xizmat ko'rsatish qismida xavfsizlik devori DoS hujumining asosiy yukini oladi, chunki u trafik DMZ-da joylashgan manbaga etib borguncha barcha tarmoq trafigini tekshirishi kerak. Natijada, agar veb-serverida DoS hujumi amalga oshirilsa, bu tashkilotning barcha trafiklariga ta'sir qilishi mumkin.
Lokal tarmoqlarni umumiy VPN tarmog‘iga birlashtirish orqali kam xarajatli va yuqori darajali himoyalangan tunelni qurish mumkin. Bunday tarmoqni yaratish uchun sizga har bir tarmoq qismining bitta kompyuteriga filiallar o‘rtasida ma’lumot almashishiga xizmat qiluvchi maxsus VPN shlyuz o‘rnatish kerak. Har bir bo‘limda axborot almashishi oddiy usulda amalga oshiriladi. Agar VPN tarmog‘ining boshqa qismiga ma’lumot jo‘natish kerak bo‘lsa, bu holda barcha ma’lumotlar shlyuzga jo‘natiladi. O‘z navbatida, shlyuz ma’lumotlarni qayta ishlashni amalga oshiradi, ishonchli algoritm asosida shifrlaydi va Internet tarmog‘i orqali boshqa filialdagi shlyuzga jo‘natadi. Belgilangan nuqtada ma’lumotlar qayta deshifrlanadi va oxirgi kompyuterga oddiy usulda uzatiladi. Bularning barchasi foydalanuvchi uchun umuman sezilmas darajada amalga oshadi hamda lokal tarmoqda ishlashdan hech qanday farq qilmaydi. Eavesdropping hujumidan foydalanib, tinglangan axborot tushunarsiz bo‘ladi.
Bundan tashqari, VPN alohida kompyuterni tashkilotning lokal tarmog‘iga qo‘shishning ajoyib usuli hisoblanadi. Tasavvur qilamiz, xizmat safariga noutbukingiz bilan chiqqansiz, o‘z tarmog‘ingizga ulanish yoki u yerdan biror-bir ma’lumotni olish zaruriyati paydo bo‘ldi. Maxsus dastur yordamida VPN shlyuz bilan bog‘lanishingiz mumkin va ofisda joylashgan har bir ishchi kabi faoliyat olib borishigiz mumkin. Bu nafaqat qulay, balki arzondir.
VPN ishlash tamoyili. VPN tarmog‘ini tashkil etish uchun yangi qurilmalar va dasturiy ta’minotdan tashqari ikkita asosiy qismga ham ega bo‘lish lozim: ma’lumot uzatish protokoli va uning himoyasi bo‘yicha vositalar.
Ruxsatsiz kirishni aniqlash tizimi (IDS) yordamida tizim yoki tarmoq xavfsizlik siyosatini buzib kirishga harakat qilingan usul yoki vositalar aniqlanadi. Ruxsatsiz kirishlarni aniqlash tizimlari deyarli chorak asrlik tarixga ega. Ruxsatsiz kirishlarni aniqlash tizimlarining ilk modellari va prototiplari kompyuter tizimlarining audit ma’lumotlarini tahlillashdan foydalangan. Bu tizim ikkita asosiy sinfga ajratiladi. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (Network Intrusion Detection System) va kompyuterga ruxsatsiz kirishni aniqlash tizimiga (Host Intrusion Detection System) bo‘linadi.
1-rasm. Himoyalangan tarmoq strukturasi
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi:
himoyalangan tizimlar xavfsizligi bilan bog‘liq holatlarni yig‘ib tahlillovchi sensor qism tizimi;
sensorlar ma’lumotlariga ko‘ra shubhali harakatlar va hujumlarni aniqlashga mo‘ljallangan tahlillovchi qism tizimi;
tahlil natijalari va dastlabki holatlar haqidagi ma’lumotlarni yig‘ishni ta’minlaydigan omborxona;
IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va himoyalangan tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan mojarolarni kuzatuvchi boshqaruv konsoli.
Bu tizim ikkita asosiy sinfga ajratiladi. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (Network Intrusion Detection System) va kompyuterga ruxsatsiz kirishni aniqlash tizimiga (Host Intrusion Detection System) bo‘linadi. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (NIDS) ishlash tamoyili quyidagicha:
1. tarmoqqa kirish huquqiga ega bo‘lgan trafiklarni tekshiradi;
2. zararli va ruxsatga ega bo‘lmagan paketlarga cheklov qo‘yadi.
Sanab o‘tilgan xavfsizlik bosqichlarini qo‘llagan holda Eavesdropping tahdidiga qarshi samarali tarzda himoyalanish mumkin.
|
| |
