OSI
modeli
sathlari
Tunnellashning bazaviy
protokoli
Shifrlash vositalari
Seans sathi
SOCKS
Quyidagi protokollardan
foydalanadi.
Transport
sathi
SSH
AES, 3DES, Blowish
SSL/TLS
AES,3DES,IDEA, RC4 va h.
Tarmoq
sathi
IPSec(ESP)
AES,3DES va h.
Kanal sathi
L2TP
Yuqoridagi protokollardan
foydalanadi.
PPTP
MPPE(RC4)
PPTP (Point-to-Point Tunneling Protocol)
– “nuqta-nuqta” xilidagi kanal
sathining tunnel protokoli. Ushbu protokol, tunnelga xizmat qilish uchun,
qo‘shimcha
TCP-ulanish
yordamida
PPP-kadrlarni
IP-paketlarga
inkapsulyatsiyalaydi.
Mijozlarni
autentifikatsiyalash
uchun
masofaviy
foydalanishning
turli
protokollarini,
jumladan
MSCHAPv2
protokolini,
madadlaydi. Shifrlashda RC4 algoritmni amalga oshiruvchi MPPE protokol
madadlanadi.
L2TP (Layer 2 Tunneling Protocol)
– PPP-kadrlarni tarmoq sathi paketlariga
inkapsulyatsiyalovchi kanal sathining tunnel protokoli. Protokolning afzalligi
sifatida foydalanish ustuvorliklarini va multiprotokollikni (nazariy jixatdan IPga
bog‘liq emaslikni) madadlashini ko‘rsatish mumkin. Shifrlash mexanizmi o‘zidan
yuqori sathga ishonib topshiriladi, masalan IPSec apparat yordamida amalga
oshirilishi mumkin. PPTPdan farqli holda, TCP/IP tarmoqlarida ushbu protokol
transport protokoli UDPga moslangan.
IPSec (IP Security) protokoli ikkita rejimda
– transport va tunnel rejimida
ishlaydi. Transport rejimida (ushbu rejim hostlar orasidagi ulanishlarni o‘rnatishda
ishlatiladi) IPSecdan, qandaydir boshqa usul, xususan, shifrlash funksiyasi
bo‘lmagan L2TP tomonidan tashkil etilgan “nuqta-nuqta” xilidagi tunnellarni
himoyalashda foydalanish mumkin. Tunnel rejimi shunday tunnelarni yaratishga
imkon beradiki, shifrlangan butun paket (transport rejimidan farqli holda, butun
paket sarlavhasi bilan shifrlangan) adresatga yetkazish uchun yuqori sathga
inkapsulyatsiyalanadi.
Tarmoq xavfsizligini ta’minlovchi qo‘shimcha vositalar.
Suqilib kirishlarni
aniqlash tizimlari (Intrusion Detection System, IDS). IDSning asosini tarkibida
mosshablonlar, signaturalar yoki profillar bo‘lgan hujumlarning ma’lumotlar
bazasi tashkil etadi va aynan ushbu baza bilan sensorlardan olingan ma’lumotlar
taqqoslanadi. Shu sababli, IDSning samaradorligi hujumlarning ma’lumotlar
bazasining nufuziga bog‘liq. Suqilib kirishlarni aniqlashda quyidagi usullardan
foydalanish mumkin:
− signatura usuli – qandaydir hujumga xarakterli ma’lumotlar nabori
bo‘yicha suqilib kirishlarni aniqlash;
− anomallarni aniqlash usuli –normal holatiga harakterli bo‘lmagan
alomatlarni aniqlash;
− xavfsizlik siyosatiga asoslangan usul – xavfsizlik siyosatida belgilangan
parametrlarning buzilganligini aniqlash.
Monitoring darajasi bo‘yicha IDS – tizimlar quyidagilarga bo‘linadi:
− tarmoq sathi IDSi (Network based IDS, NIDS);
− uzel sathi IDSi (Host based IDS, HIDS).
NIDS tarmoq segmentiga ulangan bir necha xostlardan keluvchi tarmoq
trafigini monitoringlash orqali ushbu xostlarni himoyalashi mumkin. HIDS yagona
kompyuterda yig‘ilgan, asosan operatsion tizimning va axborotni himoyalash
tizimining jurnallaridan, foydalanuvchi profilidan va h. yig‘ilgan, axborot bilan ish
ko‘radi. Shu sababli NIDSdan kompyuter hujumlarini oldinroq aniqlashda
foydalanish qulay hisoblansa, HIDSdan ruxsatsiz foydalanishning ishonchli faktini
qaydlashda foydalaniladi.
IDSning aktiv (in-line) xili suqilib kirishlarni ogohlantirish tizimi (Intrusion
Prevention System, IPS) deb ataladi.
Himoyalanganlikni tahlillash vositalari. Texnik audit bo‘yicha mutaxassislar
bo‘lishi mumkin bo‘lgan va real zaifliklarni aniqlashda turli himoyalanganlikni
tahlillash vositalaridan foydalanishadi. Himoyalanganlikni tahlillash vositalarining
quyidagi sinflari mavjud:
− zaifliklarning tarmoq skanerlari;
− web-ilovalar xavfsizligining skanerlari;
− tizim konfiguratsiyasini tahlillash vositalari;
− testlashning maxsus vositalari.
Zaifliklarning tarmoq skanerlari maxsus dasturiy vositalar bo‘lib, undagi
kirish axboroti sifatida skanerlanuvchi IP-adreslarning ro‘yxati, chiqish axboroti
sifatida esa aniqlangan zaifliklar xususidagi hisobot ishtirok etadi. Asosiy ishlash
prinsipi – masofadagi uzelda o‘rnatilgan dasturiy ta’minotning aniq versiyasini
aniqlash va zaifliklarning yangilanuvchi lokal bazasiga dasturiy ta’minotning
ushbu versiyasi uchun xarakterli zaifliklar xususidagi axborotni qidirish.
Web-ilovalar xavfsizligining skanerlari maxsus dasturiy vositalar bo‘lib,
web-tizimlar strukturasini tahlillaydi. Natijada axborotni kiritishning bo‘lishi
mumkin bo‘lgan variantlari aniqlanadi va zaiflikdan foydalanish maqsadida so‘rov
shakllantiriladi.
Tizim konfiguratsiyasini tahlillash vositalari – tizim himoyalanganligini
uning sozlanishi bo‘yicha baholovchi dastur. Bu xil yechim kompleks mahsulot
yoki lokal skript (senariy) sifatida ifodalanishi mumkin.
Testlashning maxsus vositalari:
− parollarni online va offline saralash dasturlari;
− zaifliklardan foydalanish freymworklari;
− ma’lum tarmoq hujumlarini amalga oshiruvchi dasturlar (masalan, ARP-
spoofing);
− web-serverga uzatiluvchi HTTP so‘rovlarni o‘zgartirish uchun loakl HTTP
proksilar va h.
Zaifliklarning turli onlayn – bazalari mavjud. CVE (Common Vulnerabilities
and Exposures, cve.mitre.org) zaifliklar bazasi mashhur.
Ma’lumotlarning sirqib chiqishini oldini olish tizimlari (Data Leakage
Prevention, DLP). Ushbu tizimlardan, tarkibida tijoriy, kasbiy yoki boshqa turdagi
sir bo‘lgan ma’lumotlarning noqonuniy tarzda tashqi tarmoqqa jo‘natilishini
aniqlashda va blokirovkalashda foydalaniladi.
DLP tizimlar ulanish sxemasi bo‘yicha IDS – yechimlarga o‘xshash –
tahlillanuvchi axborot tarmoq sathida yoki hostsathida yig‘ilishi mumkin.
Axborot oqimlarini, ularda konfidensial axborotning mavjudligini aniqlash
maqsadida, nazoratlashning ikkita usuli qo‘llaniladi:
− hujjatda berilgan belgilar bo‘yicha aniqlash;
− ma’lumotlar nabori kontenti bo‘yicha aniqlash.
Birinchi usul bo‘yicha axborotni dastlabki kategoriyalash va markirovkalash
amalga oshiriladi. Bunda konfidensial hujjatga (masalan, faylga, ma’lumotlar
bazasi yozuviga va h.) qandaydir ajralmaydigan formal alomat (masalan, nazorat
yig‘indisi, inventar nomeri, konfidensiallik grifi) moslashtiriladi. So‘ngra,
uzatiluvchi axborot oqimida ushbu alomat aniqlansa, mos hujjat blokirovkalanadi.
Bunday
yondashish
hujjatni
faqat
butunligicha
himoyalashga
qodir.
Yondashishning afzalligi sifatida huquqiy risklarning pasayishini va turli xil
yolg‘on nishonlar ishlashi darajasining yuqori emasligini ko‘rsatish mumkin.
Yolg‘on nishonlar yoki tuzoqlar (honeypot). Tarmoq xavfsizligini
ta’minlovchi ushbu vositadan niyati buzuq tomonidan yolg‘on nishonlarni
aniqlash, hamda buzib ochish usullarini tadqiqlash maqsadida hujumni yuzaga
keltirishga urinishda foydalaniladi.
Yolg‘on nishonlarni tasniflashda alomat sifatida ularning interaktivligi
ishlatiladi, ya’ni quyidagi tuzoqlar farqlanadi:
− interaktiv tuzoqlar;
− interaktivlik darajasi past tuzoqlar;
− interaktivlik darajasi yuqori tuzoqlar.
Interaktivlik darajasi past tuzoqlar bitta tarmoq servisining, masalan, FTP-
servisning
emulyatsiyasi
bo‘lishi
mumkin.
Joylashtirilishining
va
nazoratlanishining osonligi bunday tuzoqlarning afzalligi hisoblansa, kamchiligi
sifatida ular yordamida ko‘pincha faqat hujum faktining aniqlanishini ko‘rsatish
mumkin.
Interaktivlik darajasi yuqori tuzoqlarni to‘laqonli operatsion tizimga va
servislar naboriga ega virtual mashina sifatida tasavvur etish mumkin. Bunday
tuzoqlar niyati buzuq xususida ancha ko‘p axborotni yig‘ishga imkon beradi
(ayniqsa, u bilan intellektual teskari bog‘lanish tashkil etilgan bo‘lsa).
“Bo‘sh” tarmoqlar (DarkNet) tuzoqlarning alohida sinfi hisoblanadi. Ularga
muvofiq korporativ tarmoqda, biznes-masalalarni yechishda real ishlatilmaydigan,
tashqi adreslar diapazoni ajratiladi. “Bo‘sh” tarmoqqa har qanday murojaat
konfiguratsiyadagi xatolikni yoki noqonuniy faoliyatni anglatadi.
Ta’kidlash lozimki, IDS va DLP – yechimlar hujumlarning ma’lum sinfiga
mo‘ljallangan. Amaliyotda axborot tizimi ishlashidagi har qanday xavfsizlik va
ishonchlik hodisalarni yig‘ish masalasi paydo bo‘ladi. Bunday tizimlarga
quyidagilar taaluqli:
− jurnallarni boshqarish tizimlari (log management). Ushbu tizimlar axborot
xavfsizligi hodisalarini markazlashgan tarzda yig‘ishni tashkil etish uchun
mo‘ljallangan;
− xavfsizlik xususidagi axborotni boshqarish tizimlari (Security Information
Management, SIM). Ushbu tizimlar axborot xavfsizligi hodisalarini markazlashgan
tarzda yig‘ishga, hamda turli hisobotlarni shakllantirishga va tahlillashga
mo‘ljallangan;
− xavfsizlik hodisalari hususidagi axborotni boshqarish tizimlari (Security
Event Manager, SEM). Ushbu tizimlar vaqtning real rejimida monitoringlashga,
axborot xavfsizligi hodisalarini korrelyatsiyalashga mo‘ljallangan;
− xavfsizlik va xavfsizlik hodisalari xususidagi axborotni boshqarish
tizimlari (Security Information and Event Management, SIEM). Ushbu tizimlar
monitoring tizimlari rivojining keyingi qadami hisoblanadi, chunki SEM va SIM
funksionalliklarini kombinasiyalaydi.
Qo‘shimcha sifatida aytish mumkinki, tarmoqlararo ekranlar uchun
belgilangan mexanizm – filtratsiya, VPN uchun – inkapsulyatsiya, SIEM uchun
esa korrelyatsiya.
|
