• 2. Telekommunikatsiya tarmoqlarida xavfsizlikni ta’minlash masalasining DPI asosidagi yechimlari
  • 3. DPI tizimining texnik tashkil etilishi
  • 4. IP tarmoq trafigini boshqarishda DPI texnologiyasini o’rni
  • II bob. Telekommunikatsiya tarmoqlarida xavfsizlikni DPI texnologiyasi asosida ta’minlash




    Download 1 Mb.
    bet9/12
    Sana24.10.2022
    Hajmi1 Mb.
    #27986
    1   ...   4   5   6   7   8   9   10   11   12
    Bog'liq
    Tellekomunikatsiya tarmoqlarning tuzilish asoslari

    II bob. Telekommunikatsiya tarmoqlarida xavfsizlikni DPI texnologiyasi asosida ta’minlash


    1. Multiservis tarmoqlarini tashkil etish muammolari
    Bugungi kunda infokommunikatsiya xizmatlarining ta’minlanishi ko’p hollarda Internet tarmog’i doirasida, hamda an’anaviy aloqa tarmoqlari orqali amalga oshirilmoqda. Shu bilan birga, internet xizmati ko’rsatilishidagi ba’zi holatlarda uning cheklangan transport infratuzilmasi sababli, axborot xizmatlari taqdim etilishining zamonaviy talablari qoniqtirilmayapti. Bu esa axborot resurslarini samarali boshqarish bilan birgalikda aloqa tarmog’ining funksionalligini kengaytirish maqsadida multiservis tarmoqlarini tashkil etishni talab qiladi. Multiservis tarmoqlarini tashkil etishda ko’plab omillar transport texnologiyasi, xizmatlar, xizmatlarni boshqarish, axborot resurslariga kirish imkoniyati kabilar muhim ahamiyatga ega. Shu kabi omillarning tarmoq miqyosida amalga oshirish jihatlari hamda zamonaviy texnologiyalar yordamida tarmoqni takomillashtirish kabi masalalar hozirgi kunda dolzarb masalalardan biridir. Multiservis tarmoqlarini tashkil etish va uni qo’llash qator masalalarni hal qilishni talab etadi, ya’ni multiservis tarmoqlarini ishlash samaradorligini oshirishni, ulardagi jarayonlarni boshqarish hamda tizimning musahkamligini ta’minlash kabi masalalarni echishni keltirib chiqaradi. Bu masalalarni echishning asosiy va muhim bosqichlaridan biri ushbu jarayonni multiservis tarmoqlarining topologiyasini hisobga olgan holda, uning arxitekturasini va ishlashini to’liq tasvirlovchi matematik apparatni tanlash va uning asosida shakllantirish vazifasidir. Ushbu masalani yechishda multiservis tarmoq strukturasini ifodalash uchun graflar nazariyasidan, boshqarish jarayonlari uchun esa ommaviy xizmat ko’rsatish usulidan, ya’ni gibrid matematik apparatdan foydalanishni taklif etamiz [6,9].
    Multiservis tarmoqlarini axborotni uzatish imkoniyatlari va samaradorligini aks ettiradigan bir qator ko’rsatkichlar bilan baholash mumkin. Axborotni uzatish uchun multiservis tarmog’ining vaqtdagi ishchanlik qobiliyati, ya’ni berilgan vazifalarni belgilangan ko’lamda sifatli darajada tarmoqdan foydalaniladigan ma’lum muddat ichida amalga oshirishi talab etiladi. Tarmoqning ishchanlik qobiliyati uning ishonchliligi va yashovchanligi bilan belgilanadi. Tarmoqning ishonchliligini aloqani berilgan ekspluatatsiya sharoitlarida belgilangan sifat ko’rsatkichlari ifodalarini vaqt oralig’ida saqlagan holda ta’minlab berish xususiyati aniqlaydi. Bunda asosan tarmoq ishonchliligiga ta’sir etuvchi ichki omillar (texnikaviy vositalarning ishdan chiqishi, xizmat ko’rsatishdagi xatoliklar va x.k.) inobatga olinadi. Yashovchanlik tushunchasi esa tarmoqning biron bir qismi (liniya yoki tugun) ning buzilishi yoki ishdan chiqishiga olib keluvchi tashqi omillar ta’sirida ishchanligini to’liq yoki qisman saqlab qolish qobiliyatini nazarda tutadi. Hozirgi kunda talaygina an’anaviy aloqa tarmoqlari ishlab turibdi, shuning uchun yangi avlod aloqa tarmog’ini yaratishda mavjud uskunalar imkoniyatlarini hisobga olish hamda yangi avlod tarmoqlarining funksional imkoniyatlarini hisobga olish kerak. Multiservis tarmog’ining funksionalligini ta’minlashda uning tashkil etilishida qo’llaniladigan texnologiyalar inobatga olinadi. Multiservis tarmoqli infratuzilma tuzilishining asosiy elementi bo’lib dasturiy (moslashuvchi) kommutator Softswitch sanaladi [6,14]. Dasturiy kommutatorning asosiy vazifasi xizmatlarning keng spektri, taqsimlangan muassasa stansiyalarining foydalanish tuguni funksiyalarini taqdim etgan holda signalizatsiya protokollarini o’zgartirish funksiyalariga keltirilgan. Softswitch texnologiyasining asosiy talablari paketli tarmoqlarda tarmoqli protokollarni, shuningdek ular bilan o’zaro ishlash imkoniyatiga ega bo’lish uchun kanallarni kommutatsiya qilish imkoniyati hisoblanadi.
    Aytish lozimki, Softswitch bu tarmoqning birgina qurilmasi emas, balki tarmoq arxitekturasi va hatto ma’lum bir darajadagi tarmoq qurish g’oyasidir. Aynan shuning uchun funksional imkoniyatlari asos qilib ko’rsatilgan. Birinchi navbatda, Softswitch chaqiruvga xizmat ko’rsatishni boshqaradi, Softswitch bir biriga mos kelmaydigan tarmoqlar uchun ikkala tomonga xam ma’lumotlarni tushunarli xabarlarga aylantiradi va tomonlarning mantiqiy obektlari o’rtasida bog’lanishni ta’minlab beradi. Dasturiy kommutator asosida qurilgan multiservis tarmoqlarida chaqiriqlarni boshqarish tizimini tadbiq etish “klassik” boshqarish tizimlari bilan solishtirilganda quyidagi texnik afzalliklarga ega:

    • tarmoqning soddalashtirilgan strukturasi;

    • turli xil qurilmalarning moslashuvchanligini ta’minlash;

    • turli tarmoqlarning to’g’ridan to’g’ri IP tarmog’i orqali mos kelishi;

    • chaqiriqlarga xizmat ko’rsatish sifatini boshqarish imkoniyati.

    Softswitchning eng asosiy jihatlaridan biri bu kengayuvchanlik imkoniyatidir. Softswitch uchun kengayish 3 ta o’lcham asosida belgilanadi: umumiy portlar soni qancha ko’p bo’lishi mumkin; umumiy portlar soni qancha kam bo’lishi mumkin; bunday sharoitda chaqiruvlarni qayta ishlash imkoniyati qancha keng bo’lishi va texnik xizmat ko’rsatish imkoniyati qay darajada bo’lishi. Iqtisodiy nuqtai nazardan yangi texnologiya eskisini shunisi bilan o’rnini egallaydiki, bunda eski texnologiya bajargan vazifalarni yangi texnologiya arzon, oson, kichik hajmda va qulay amalga oshiradi.
    2. Telekommunikatsiya tarmoqlarida xavfsizlikni ta’minlash masalasining DPI asosidagi yechimlari
    DPI(Deep Packet inspection) texnologiyasi yangi zamonaviy texnologiya hisoblanib, IP asosida qurilgan paketli ma’lumot uzatish tarmoqlarida axborot paketlarini chuqur tekshirish va analiz qilish yo’li bilan xavfsizlikni ta’minlash, trafikni boshqarish va xizmat ko’rsatish sifatini nazorat qilish kabi dolzarb muammolarni hal etish maqsadida ishlab chiqildi [15]. Hozirgi kunda ushbu texnologiya ustida izlanishlar global ravishda davom etmoqda. Bu texnologiyaning xalqaro standarti 2012 yilning oxirida ITU-T va TTA tomonidan Y.2770 tavsiyanomasi bilan e’lon qilindi. Bu texnologiya kelajak avlod tarmoqlari (NGN) qurishning muhim qismi hisoblanadi. Shu sababli ko’pchilik olimlar “internetning oxiri” deb ta’rif berishmoqda. Sababi bu texnologiya amaliyotga to’liq tadbiq etilsa, tarmoqni har tomonlama nazorat qilish imkoniyatini beradi. Aytish mumkinki, bu tamomila yangi texnologiya hisoblanib, uni o’rganish va amaliyotga tadbiq qilish ma’lumot uzatish tarmoqlaridagi ko’plab muammolarni echishda katta samara beradi.
    DPI texnologiyasi IP asosida qurilgan barcha turdagi paketli ma’lumot uzatish tarmoqlarida keng qo’llanilishi mumkin. Tarmoqda joylashgan DPI qurilmasi OSI modelining hamma pog’onasiga tegishli bo’lgan barcha turdagi axborot oqimlari tarkibini chuqur tekshiradi. DPI qurilmalarida xizmatlarni identifikatsiyalash qo’llanilgan bo’lib, ko’p hizmatli axborot paketlari har bir xizmat identifikatsiyasi bo’yicha alohida ajratib chiqiladi va ularga xizmat ko’rsatiladi.



    2.1-rasm. Service-based traffic classification and identification jarayoni

    DPI ning bu funksiyasidan hozirgi IP asosida qurilgan ma’lumot uzatish tarmoqlarida xizmat ko’rsatish sifatini yaxshilash, ularni boshqarish, tarmoqqa tushadigan yuklamalarni balanslash va tarmoqqa bo’ladigan tahdidlarni oldini olish kabi masalalarni echishda keng qo’llaniladi. Bu texnologiyaning tarmoq va axborot xavfsizligini ta’minlashdagi o’rnini alohida ta’kidlash joiz. DPI trafikni ajratish, sinflash va paket tarkibini chuqur tekshirish orqali tarmoq ishiga ta’sir ko’rsatuvchi, aloqa sifatini cheklovchi, foydalanuvchiga xavf soluvchi, tarmoq resurslarini ishdan chiqaruvchi zararli paketlarni tutib qolish, tarmoqqa bo’lgan hujum joyini aniqlash va tahdidni bartaraf etish imkonini beradigan ilg’or kompleks xavfsizlik tizimidir. DPI asosida ishlovchi qurilmalar yordamida tarmoqdagi har bir trafik, paket to’liq tekshiriladi, tarmoqqa xavf soluvchi zararli axborot paketi aniqlansa, u tutib qolinadi va tarmoq bo’ylab tarqalishi, tahdidining oldi olinadi [15].





    2.2-rasm. DPI qurilmalarining ishlash prinsipi.

    DPI tarmoq qurilmalarini telekommunikatsiya tarmoqlarining barcha qismlarida qo’llash mumkin bo’ladi. Ayniqsa, abonent ulanish va taqsimlash tarmoqlarida qo’llash katta samara beradi. Bu tarmoqqa bo’ladigan tahdidlarni keng yoyilib ketmasdan oldin bartaraf etish imkonini beradi. Serverlarga, ishchi stansiyalarga, tarmoqlarga bo’ladigan DDoS, ping va boshqa hujumlar havfini kamaytiradi. Ta’kidlash joizki, internet va barcha ma’lumot uzatish tarmoqlarinining axborot paketlarini chuqur tekshirish, tahlil va nazorat qilish uchun DPI texnologiyasidan foydalanish samaralidir. Bu texnologiyani tadbiq qilish internet va boshqa ma’lumot uzatish tarmoqlarida turli saytlarga ulanishni cheklash, tarmoqqa ruxsatsiz kirishni cheklash, tarmoqni virusli dasturlar va keraksiz axborotlardan tozalash, tarmoqlardagi turli noqonuniy reklamalarni kesib tashlash, xavfsizlikka tahdid soluvchi turli axborot paketlarini tutib qolish, bir so’z bilan aytganda provayder o’z tarmog’ini to’liq nazorot ostiga olish imkonini beradi. DPI texnologiyasi asosida yaratiladigan va ishlab chiqariladigan tarmoq qurilmalari va ilovalari keyingi avlod tarmoqlarining xavfsizlik masalasidagi barcha muammolarini echuvchi asosiy tarmoq elementi bo’lishi e’tirof etilmoqda.


    3. DPI tizimining texnik tashkil etilishi
    Foydalanuvchilarning ma’lumot uzatish tarmoqlariga qo’yadigan talablari yildan yilga oshib bormoqda. Natijada, Internet provayderlari tashqi kanallar sonini ko’paytirish, yangi qurilmalarni qo’llash orqali tarmoq samaradorligini tushirmaslikka harakat qiladi, katta miqdordagi on-layn videoservislar, P2P tarmoqlaridan ommaviy foydalanish natijasida yangi qurilmalarning resurslaridan nooqilona foydalanish yuz bermoqda. Bu holat esa operator tomonidan ilovalar trafikini boshqarish zaruratini keltirib chiqaradi. Bugungi kunda trafikni boshqarishning asosan quyidagi usullaridan foydalaniladi:
     MAC-adreslar yoki VLAN asosida;
     uzatuvchi va qabul qiluvchilarning IP adreslari asosida;
     TCP va UDP portlari raqamlari orqali;
     Proksi-serverlarda domen nomlarini cheklash asosida.
    Bu usullar OSI modelining faqatgina transport sathigacha ishlashga mo’ljallangan fayrvollarda amalga oshirilishi mumkin. DPI (Deep Packet Inspection) tizimi paketlarni OSI modelining 2-sathidan 7-sathigacha nazorat qilish imkoniyatiga ega. DPI imkoniyatlari quyidagilardan iborat:

    • turli ko’rinishdagi statistik ma’lumotlarni yig’ish;

    • turli mezonlar asosida trafikni filtrlash (bunda odatiy “IP- adres+port”ga domen nomlari va protokollari ham qo’shiladi, masalan P2P yoki Skype trafiklarini aniqlash imkoniyati mavjud);

    • foydalanuvchilarga turli darajada xizmat ko’rsatish;

    • hujumlardan himoya qilish. Code Red, NIMDA , SQL Slammer, DoS, DDoS kabi tarmoq hujumlaridan himoyalash.

    DPI tizimi aloqa operator tarmog’ining chegarasiga qo’yiladi. DPI texnik vositalari quyidagi komponentlardan tashkil topgan:
     Bypass;
     Front-End qurilmasi;
     Back-End qurilmasi;
     PCRF-serveri (Policy and Charging Rules Function);
     komponentlar orasida aloqani ta’minlaydigan kommutatorlar;
     serverlar (qo’shimcha);
     disk massivlari (qo’shimcha);
     VAS qurilmasi (Value Added Services – spam va viruslar tekshiruvi) (qo’shimcha). Umumiy sxemasi 1-rasmdagi ko’rinishga ega.



    2.3-rasm. DPI tizimining tipik sxemasi

    Birinchi bo’lib tarmoqqa Bypass, keyin esa unga Front-End ulanadi. Bypass ikkita ishlash rejimiga ega:


    1. Himoya. Trafik to’g’ri liniyaga o’tib ketadi va Front-End qurilmasiga uzatilmaydi.
    2. Ishchi. Trafik Front-End qurilmasiga uzatiladi.
    Front-End ishdan chiqqanda, uning portlariga ulangan kabel shikastlanganda, DPI texnik vositalari elektr ta’minotidan uzilib qolganda Bypass himoya rejimiga o’tadi. Bypass elektr yoki optik turda bo’lishi mumkin. Elektr Bypass relega asoslangan bo’lib, mis simlar ulashga mo’ljallangan va ma’lumot uzatish tezligi 1 Gbit/s gacha bo’ladi. Optik Bypass bir necha afzalliklarga ega: ma’lumot uzatish tezligi 10 Gbit/s gacha, trafikni akslantirish imkoniyati yuzaga keladi (trafik to’g’ri kanal bo’yicha ketayotganda uning nusxasi Front-End ga uzatiladi, trafik bilan hech qanday amallarni bajarish imkoniyati mavjud bo’lmasada, statistika olib borish mumkin bo’ladi). Front-End qurilmasida paketlar OSI modelinig kanal sathidan amaliy sathigacha tahlil qilinadi. Operator tarmoq samaradoligini oshirish maqsadida alohida turdagi trafikni cheklab qo’yishi mumkin. SHuningdek, tarmoqdagi turli hujumlardan himoyalanish ham Front-End qurilmasida bajariladi. Back-End qurilmasida barcha qoidalar majmuasi, yig’ilgan ma’lumotlar statistikasi, signaturalar, akslantirish va qayta yo’naltirish marshrutlari yig’iladi.
    PCRF-serverining asosiy vazifasi foydalanuvchi-qoida raqami mosligini saqlash. Front-End qurilmasi PCRF-serveriga abonent identifikatorini uzatadi, PCRF-serveri javob tariqasida Front-End qurilmasiga qoida raqamini uzatadi, Front-End qurilmasi bu qoidaning tavsifi yuzasidan Back-End qurilmasiga so’rov yuboradi.
    4. IP tarmoq trafigini boshqarishda DPI texnologiyasini o’rni
    Telekommunikatsiya sohasining yangi tarmoq xizmatlarini yaratishi va taqdim qilishi kundan kunga ortib bormoqda. Global IP tarmoqlar foydalanuvchilar uchun katta imkoniyatlar yaratdi.
    Tarmoqdan foydalanuvchilar sonining ko’payishi hamda ularning keng polosali xizmatlarga bo’lgan talablarining ortishi IP tarmoq bo’ylab uzatilayotgan ma’lumotlar oqimi hajmining yuqori sur’atda o’sishiga olib keldi. Buning natijasida tarmoqning yuqori darajada yuklanishi yuz bermoqda. Bu holat tarmoq operatorlari oldiga ma’lumotlar oqimini intelektual nazorat qilish muommosini qo’ymoqda [15].
    Internet servis provayderlari (ISP) va tarmoq administratorlari uchun doim tarmoqlaridan qanday turdagi traffik o’tayotganini bilishi muhim ahamiyatga ega. SHuning uchun, tarmoq administratorlari va menejerlar doimo tarmoq monitoringi va traffik analizini olib borishlari kerak. Bunday ishlarni bajarish bilan tarmoq haqida quyidagi axborotlarga va statistikalarga ega bo’lish mumkin: tarmoq muommolari, foydalanuvchilar foydalanayotgan protokollar va dasturlar, hamda boshqa tarmoq infrastrukturasi haqidagi ma’lumotlar.
    Tarmoq monitoringi texnologiyasining eng ko’p foydalaniladigan turlaridan biri bu traffik klassifikatsiya texnologiyasidir. Traffik sinfini bilgan holda ISPlar ularga mos xizmatlar ko’rsata oladilar. Masalan ma’lum oqimlar uchun xizmat ko’rsatish sifatini oshirishi yoki kamaytirishi va xavfli ma’lumotlar oqimini bloklab qo’yishi mumkin. Traffik klassifikatsiya texnologiyasining ikki xil usuli mavjud. Online va offline traffik klassifikatsiya. ISPlar asosan Online traffik klassifikatsiya texnikasiga tayanadi. CHunki real vaqtda traffik sinfini aniqlab ular ustida mos qaror qabul qilish kerak.
    Online traffik klassifikatsiya usuli DPI(Deep Packet Inspection) texnologiyasiga asoslanadi. Avvalgi texnologiyalar faqat paketning sarlavha qismini tekshirish bilan cheklangan bo’lsa DPI esa paketning foydali yuklama qismini ham tekshira oladi. 4 pog’ona sarlavha qismidagi port raqamlarini bilish orqali paketning amaliy pog’onadagi qaysi protokolga tegishli ekanini bilish mumkin, ya’ni qaysi sinifga tegishli ekanini aniqlash mumkin. Agar amaliy pog’ona protokollari shifrlangan yoki o’zini yashirgan bo’lsa, masalan boshqa protokol port raqamini ko’rsatish yo’li bilan, bu holda 4 pog’anadagi port raqamlari orqali paketning qaysi sinfga tegishliligini aniqlab bo’lmaydi. DPI texnologiyasi paketning foydali yuklama qismini tekshirishi orqali aniq yechimga kela oladi. DPI tizimlari butun paketni tutadi va paketning foydali yukalama qismi va dastur signaturalari o’rtasida moslashuvchanlikni aniqlashga harakat qiladi.
    Asosan DPI texnologiyalari amaliy pog’ona protokolini aniqlashi va farqlashi uchun signaturali analizdan foydalanadi. Signaturalar har bir amaliy pog’ona protokollariga mos keluvchi yagona shablonlardir. Boshqacha qilib aytganda, har bir amaliy pog’ona protokoli xarakteristikalari o’rganiladi va ularni ifodalovchi ma’lumotlar bazasi yaratiladi. Keyin klassifikatsiya mashinasi tarmoqdan o’tayotgan traffikni ana shu ma’lumotlar bazasi bilan taqqoslash orqali paketning amaliy pog’ona protokolini to’g’ri aniqlay oladi.
    Shuningdek, ma’lumotlar bazasini davriy ravishda yangi amaliy pog’ona protokollari bilan to’ldirib turish lozim. DPI tizimlari traffik klassifikatsiyasini to’g’ri va aniq amalga oshirishi uchun turli internet dasturlarini aks ettiruvchi katta hajmdagi signaturalar bazasi bilan ta’minlanishi lozim. DPI tizimiga qo’yiladigan muhim talablardan yana biri, u paketni ma’lumot uzatish kanali tezligida tekshirishi kerak. Ma’lumotlar oqimi va paketlar sinfi aniqlanishi bilan, ularga belgi qo’yish (ya’ni imtiyoz berish) kerak. Ana shu holda ularga mos xizmat ko’rsatish mumkin bo’ladi. Belgilar yoki bayroqlar bir necha yo’llar bilan o’rnatilishi mumkin. IP paketlar uchun, maxsus ajratilgan paketning Type of sevice (ToS) yoki Differentiated Services Code Point (DSCP) blokiga o’rnatiladi. Bu yo’l bilan asosan tarmoqni yuklanishiga sabab bo’luvchi va kanallarning o’tkazish polosasining ko’p qismini egallayotgan P2P (peer- to-peer), fayl almashuv protokollari asosidagi traffiklarni chegaralash orqali boshqa HTTP, SMTP kabi so’rovlarga imtiyoz berish mumkin. Tarmoqda paketning yo’qolishiga sezgir traffiklar mavjud, masalan FTP, SMTP. Hamda paketning kechikishiga sezgir bo’lgan traffiklar, VoIP, online video, kabilar. DPI tizimlari ularning bu kabi xususiyatlarini e’tiborga olib, kerakli xizmat ko’rsatadi.
    DPI mahsuloti dastur ko’rinishida yoki alohida qurilma ko’rinishida bo’lishi mumkin. Ikkisi ham o’ziga xos avfzallik va kamchiliklarga ega. DPI qurilmasi katta tezlikni va moslashuvchanlikni ta’minlaydi lekin narxi juda baland. Asosan undan Data center va ulkan korparativ tarmoqlar foydalanadi. Dasturga asoslangan DPI mahsuloti iqtisodiy jixatdan samarador, ammo ular markaziy protsessor resurslarining ko’p qismini iste’mol qiladi. Asosan bu turdagi DPI mahsulotidan past va o’rta tezlikli ma’lumotlar oqimaga ega, uncha katta bo’lmagan tarmoqlar foydalanadi.
    DPI tizimi operator tarmog’i chegarasiga o’rnatiladi. Operator tarmog’idan chiqayotgan va kirayotgan barcha traffik DPI qurilmasi orqali o’tadi. DPI qurilmasini bunday joylashtirish tarmoq operatiriga ma’lumotlar oqimini monitoring qilish va boshqarish imkoniyatini beradi. Tarmoq traffigini samarali boshqarish orqali internet servis provayderlar tarmoq resurslaridan foydalanishni optimallashtira oladi. Bu yo’l bilan kapital, hamda ekspluatatsiya xarajatlarini qisqartiradi.
    Xulosa qilib, kengpolosali keyingi avlod tarmoqlari barqarorligini ta’minlashda shu kabi DPI texnologiyalaridan foydalasnish muhim ahamiyat kasb etadi.



    Download 1 Mb.
    1   ...   4   5   6   7   8   9   10   11   12




    Download 1 Mb.

    Bosh sahifa
    Aloqalar

        Bosh sahifa



    II bob. Telekommunikatsiya tarmoqlarida xavfsizlikni DPI texnologiyasi asosida ta’minlash

    Download 1 Mb.