Vositachilik funksiyalarining bajarilishi. Tarmoqlararo ekran vositachilik
funksiyalarini ekranlovchi agentlar yoki vositachi dasturlar deb ataluvchi maxsus
dasturlar yordamida bajaradi. Bu dasturlar rezident dasturlar hisoblanadi va tashqi
va ichki tarmoq orasida xabarlar paketini bevosita uzatishni taqiqlaydi.
Tashqi tarmoqdan ichki tarmoqning va aksincha foydalanish zaruriyati
tug‘ilganda avval tarmoqlararo ekran kompyuterida ishlovchi vositachi-dastur
bilan mantiqiy ulanish o‘rnatilishi lozim. Vositachi-dastur so‘ralgan tarmoqlararo
aloqaning joizligini tekshiradi va ijobiy natijada o‘zi suralgan kompyuter bilan
alohida ulanish o‘rnatadi. So‘ngra tashqi va ichki tarmoq kompyuterlari orasida
axborot almashish, xabarlar oqimini filtrlashni hamda boshqa himoyalash
funksiyalarini bajaruvchi dasturiy vositachi orqali amalga oshiriladi.
210
Ta’kidlash lozimki, tarmoqlararo ekran filtrlash funksiyasini vositachi-dastur
ishtirokisiz amalga oshirib, tashqi va ichki tarmoq orasida o‘zaro aloqaning
shaffofligini ta’minlashi mumkin. Shu bilan birga vositachi dasturlar xabarlar
oqimini filtrlashni amalga oshirmasligi ham mumkin.
Umuman, vositachi-dasturlar, xabarlar oqimini shaffof uzatilishini
blokirovka qilgan holda, quyidagi funksiyalarni bajarishi mumkin:
- uzatiluvchi va qabul qilinuvchi ma’lumotlarning haqiqiyligini tekshirish;
- ichki tarmoq resurslaridan foydalanishni chegaralash;
- tashqi tarmoq resurslaridan foydalanishni chegaralash;
- tashqi tarmoqdan so‘raluvchi ma’lumotlarni kesh xotiraga saqlash;
- xabarlar oqimini filtrlash va o‘zgartirish, masalan, viruslarni dinamik
tarzda qidirish va axborotni shaffof shifrlash;
- foydalanuvchilarni identifikasiyalash va autentifikatsiyalash;
- ichki tarmoq adreslarini translyatsiyalash;
- xodisalarni qaydlash, xodisalarga reaksiya ko‘rsatish, xamda qaydlangan
axborotni taxlillash va hisobotlarni generatsiyalash.
Uzatiluvchi va qabul qilinuvchi ma’lumotlarning haqiqiyligini tekshirish
nafaqat elektron xabarlarni, balki soxtalashtirilishi mumkin bo‘lgan
migrasiyalanuvchi dasturlarni (Java, ActiveXControls) autentifkasiyalash uchun
dolzarb hisoblanadi. Xabar va dasturlarning haqiqiyligini tekshirish ularning
raqamli imzosini tekshirishdan iboratdir.
Ichki tarmoq resurslaridan foydalanishni chegaralash usullari operasion
tizim sathida madadlanuvchi chegaralash usullaridan farq qilmaydi.
Tashqi tarmoq resurslaridan foydalanishni chegarlashda ko‘pincha
quyidagi yondashishlardan biri ishlatiladi:
- faqat tashqi tarmoqdagi berilgan adres bo‘yicha foydalanishga ruxsat
berish;
- yangilanuvchi nojoiz adreslar ro‘yxati bo‘yicha surovlarni filtrlash va
o‘rinsiz kalit so‘zlari bo‘yicha axborot resurslarini qidirishni blokirovka qilish:
- ma’mur tomonidan tashqi tarmoqning qonuniy resurslarini brandmauerning
211
diskli xotirasida to‘plash va yangilash va tashqi tarmoqdan foydalanishni to‘la
taqiqlash.
Tashqi tarmoqdan so‘raluvchi ma’lumotlarni keshlash maxsus vositachilar
yordamida madadlanadi. Ichki tarmoq foydalanuvchilari tashqi tarmoq
resurslaridan foydalanganlarida barcha axborot, proxy-server deb ataluvchi
brandmauer qattiq diski makonida to‘planadi. Shu sababli, agar navbatdagi
so‘rovda kerakli axborot proxy-serverda bo‘lsa, vositachi uni tashqi tarmoqqa
murojaatsiz taqdim etadi. Bu foydalanishni jiddiy tezlashtiradi. Ma’murga faqat
proxy-server tarkibini vaqti-vaqti bilan yangilab turish vazifasi qoladi.
Keshlash funksiyasi tashqi tarmoq resurslaridan foydalanishni chegaralashda
muvaffaqiyatli ishlatilishi mumkin. Bu holda tashqi tarmoqning barcha qonuniy
resurslari ma’mur tomonidan proxy-serverda to‘planadi va yangilanadi. Ichki
tarmoq foydalanuvchilariga faqat proxy-serverning axborot resurslaridan
foydalanishga ruxsat beriladi, tashqi tarmoq resurslaridan bevosita foydalanish esa
man qilinadi.
Xabarlar oqimini filtrlash va o‘zgartirish vositachi tomonidan qoidalarning
berilgan to‘plami yordamida bajariladi. Bunda vositachi-dasturlarning ikki xili
farqlanadi:
- servis turini aniqlash uchun xabarlar oqimini taxlillashga mo‘ljallangan
ekranlovchi agentlar, masalan, FTP, HTTP, Telnet;
- barcha xabarlar oqimini ishlovchi universal ekranlovchi agentlar, masalan,
kompyuter viruslarini qidirib zararsizlantirishga yoki ma’lumotlarni shaffof
shifrlashga mo‘ljallangan agentlar.
Dasturiy vositachi unga keluvchi ma’lumotlar paketini taxlillaydi va agar
qandaydir ob’ekt berilgan mezonlarga mos kelmasa, vositachi uning keyingi
siljishini blokirovka qiladi yoki mos o‘zgarishini, masalan, oshkor qilingan
kompyuter viruslarni zararsizlantirishni bajaradi. Paketlar tarkibini taxlillashda
ekranlovchi agentning o‘tuvchi faylli arxivlarni avtomatik tarzda ocha olishi
muhim hisoblanadi.
Foydalanuvchilarni identifikasiyalash va autentifikatsiyalash ba’zida oddiy
212
identifikatorni (ism) va parolni taqdim etish bilan amalga oshiriladi (8.3-rasm).
Ammo bu sxema xavfsizlik nuqtai nazaridan zaif hisoblanadi, chunki parolni
begona shaxs ushlab qolib ishlatishi mumkin. Internet tarmog‘idagi ko‘pgina
mojarolar qisman an’anaviy ko‘p marta ishlatiluvchi parollarning zaifligidan kelib
chiqqan.
Autentifikatsiyalashning ishonchliroq usuli – bir marta ishlatiluvchi
parollardan foydalanishdir. Bir martali parollarni generatsiyalashda apparat va
dasturiy vositalardan foydalaniladi. Apparat vositalari kompyuterning slotiga
o‘rnatiluvchi qurilma bo‘lib, uni ishga tushirish uchun foydalanuvchi qandaydir
maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi tokeni
axborotni generatsiyalaydi va bu axborotni xost an’anaviy parol o‘rnida ishlatadi.
Smart-karta yoki token xostning apparat va dasturiy ta’minoti bilan birga ishlashi
sababli, generatsiyalanuvchi parol har bir seans uchun noyob bo‘ladi.
Ishonchli organ, masalan kalitlarni taqsimlash markazi tomonidan beriluvchi
raqamli sertifikatlarni ishlatish ham qulay va ishonchli. Ko‘pgina vositachi
dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan
ishlash seansining boshida autentifikatsiyalansin. Bundan keyin ma’mur belgilagan
vaqt mobaynida undan qo‘shimcha autentifikatsiyalanish talab etilmaydi.
Tarmoqlararo
ekranlar
tarmoqdan
foydalanishni
boshqarishni
markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsiyalash
dasturlari va qurilmalarini o‘rnatishga munosib joy hisoblanadi. Garchi
kuchaytirilgan autentifikatsiya vositalari har bir xostda ishlatilishi mumkin
bo‘lsada, ularning tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan
autentifikatsiyalash choralaridan foydalanuvchi tarmoqlararo ekranlar bo‘lmasa,
Telnet yoki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning
ichki tizimlariga to‘g‘ridan-to‘g‘ri o‘tishi mumkin.
Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan
usullaridan biri – Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo
ekranlar autentifikatsiyalashning turli sxemalarini madadlaydi. Bu esa tarmoq
xavfsizligi ma’muriga o‘zining sharoitiga qarab eng maqbul sxemani tanlash
213
imkonini beradi.
Ichki tarmoq adreslarini translyatsiyalash. Ko‘pgina xujumlarni amalga
oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo‘ladi. Bu
adreslarni hamda butun tarmoq topologiyasini bekitish uchun tarmoqlararo
ekranlar eng muhim vazifani – ichki tarmoq adreslarini translyatsiyalashni bajaradi
(8.4-rasm).
Bu funksiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga
nisbatan bajariladi. Bunday paketlar uchun jo‘natuvchi kompyuterlarning IP-
adreslari bitta "ishonchli" IP adresga avtomatik tarzda o‘zgartiriladi.
Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik
usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqlararo
ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so‘ng adres bo‘shaydi
|