Yakuniy nazorat savollari
1. Tarmoq protokoli nima? Kriptografik protokollarning funksiyalarini tushuntiring. (Sherzod)
Tarmoq protokoli-bu tarmoqdagi qurilmalarning o'zaro ishlash tamoyillarini belgilaydigan qoidalar
to'plami. Ma'lumotni yuborish va qabul qilish muvaffaqiyatli bo'lishi uchun jarayonning barcha
ishtirokchilari protokol shartlarini qabul qilishlari va ularga rioya qilishlari kerak. Tarmoqda ularni
qo'llab-quvvatlash apparat qismiga (apparat) yoki dasturiy ta'minot qismiga (tizim kodiga) yoki u erga
o'rnatiladi.
Kriptografik protokol kriptoalgoritmdan va shifrlash kalitlaridan foydalanishni belgilab beradigan qoidalar
va proseduralar to‘plamidir. Tomonlar bir-biriga ishonib do‘st bo‘lishi mumkin yoki aksincha bir-biriga
ishonmasligi, ya’ni buzg‘unchi bo‘lishi mumkin. Kriptografik protokol tarkibiga ma’lum bir kriptografik
algoritm kiradi, ammo protokollar faqatgina maxfiylikni ta’minlash uchun mo‘ljallanmagan. Protokollarda
kriptografiyani ishlatishdan maqsad firibgarlik va noqonuniy eshitishni aniqlash yoki unga yo‘l qo‘ymaslik
Kriptografik protokol mavhum yoki aniq protokol bo'lib, kriptografik algoritmlar to'plamini o'z ichiga
oladi. Protokol axborot jarayonlarida kriptografik transformatsiyalar va algoritmlardan foydalanishni
tartibga soluvchi qoidalar majmuasiga asoslanadi. Kriptografik protokollarning funksiyalari
• Ma'lumotlar manbasini autentifikatsiya qilish
• Partiya autentifikatsiyasi
• Ma'lumotlar maxfiyligi
• Rad etishning mumkin emasligi
• Qabul qilinganligi to'g'risidagi guvohnoma bilan rad etishning mumkin emasligi
• Manba isbotlangan holda rad etishning mumkin emasligi
• Ma'lumotlar yaxlitligi
• Qayta tiklanmasdan ulanishning yaxlitligini ta'minlash
• Qayta tiklash bilan ulanishning yaxlitligini ta'minlash
• Kirish nazorati Tasniflash Shifrlash va shifrni hal qilish protokollari.
Bu sinfning protokoli qandaydir simmetrik yoki assimetrik shifrlash va shifrni ochish algoritmiga
asoslanadi. Shifrlash algoritmi xabarni jo'natuvchi tomonidan uzatilganda amalga oshiriladi, buning
natijasida xabar ochiq shakldan shifrlangan shaklga aylanadi. Shifrni ochish algoritmi qabul qiluvchi
tomonidan qabulda amalga oshiriladi, buning natijasida xabar shifrlangan shakldan ochiq shaklga
o'tkaziladi. Bu maxfiylik xususiyatini ta'minlaydi.
2. Wu-Lam protokolini tushuntiring. (Sherzod)
3. SSLga nisbatan bo‘lishi mumkin bo‘lgan hujumlarni tushuntiring. (Sherzod)
SSL (Secure Sockets Layer) yoki uni o'rnating Transport Layer Security (TLS) bugungi kunda internetda
axborotni xavfsiz yuborish uchun keng qo'llaniladigan protokol. Bu protokol ma'lumotlarni shifrlash,
identifikatsiya qilish va to'ldirish bo'yicha xavfsizlikni ta'minlashda ishlatiladi. Bundan ko'ra, SSLga nisbatan kelib
chiqqan hujumlar quyidagilarni o'z ichiga oladi:
1. Man-in-the-Middle (MITM) hujumlari: Bu turdagi hujumda g'alaba qozonuvchilar SSL orqali aloqada
bo'lgan to'g'ri odam orasiga kirib, ma'lumotlarni o'qish yoki o'zgartirish imkoniyatiga ega bo'lishadi. Bu xil
hujumlar SSL sertifikatlarining yolg'on tuzilishlari, saytlarning haqiqiyligiga doir o'ylab topilgan
shubhalarni ishlatish orqali amalga oshirilishi mumkin.
2. SSL sertifikatlarining gecertifikatsiyasi: Agar SSL sertifikatining amaldagi muddati tugagan yoki sertifikat
xodim tomonidan to'g'ri o'rnatilmagan bo'lsa, saytning xavfsizligi buzilishi mumkin. Bu shuningdek,
shaxsiy ma'lumotlarni olishni maqsad qilgan ziddiyatkorlar xodimlarining yordamida sertifikatni qayta
tuzish orqali hujumlar amalga oshirishi mumkin.
3. POODLE (Padding Oracle On Downgraded Legacy Encryption) hujumlari: Bu hujum SSL va TLS
protokollaridagi xavfsizlik birikmalaridan biri bo'lib, qo'shma ma'lumotni yuborish jarayonida yopilgan
ma'lumotlarni taxmin qilish orqali amalga oshiriladi.
4. Heartbleed bug kabi protokol bug'lari: Bu, SSL/TLS serverlarida raqamli xotirani to'ldirish uchun
ishlatiladigan OpenSSL kitobxonasi xato qismi sifatida ifoda etilgan bug. Bu bug foydalanuvchilarga
serverdan raqamli xotira o'qish imkoniyatini beradi, shuningdek maxfiy kalitlarni ham olishadi.
Bu hujumlardan himoya qilish uchun, sayt operatorlari va muharrir tashkilotlari kiber xavfsizlikni ta'minlash
bo'yicha yuqori darajada ehtiyoj qiladi. Dastlab, moslashtirilgan, yangilanadigan xavfsizlik protokollarini,
sertifikat niyozlari va serverlarini kuzatish, monitoring qilish, va xavfsizlik so'zlashuvlarini qo'llash kabi
chora-tadbirlar kerak.
4. Masofaviy autentifikatsiya uchun foydalaniladigan protokollarni sanang va tushuntiring. (Erkin aka)
JAVOB: Masofaviy autentifikatsiya protokollari, foydalanuvchilarning identifikatsiyasini tasdiq qilishda
xavfsizlikni ta'minlash uchun xizmat qiladi va yuqori darajada himoyalangan aloqalarni
ta'minlaydi.Masofaviy autentifikatsiya uchun foydalaniladigan protokollar soni juda ko'p, ammo eng
mashhur va keng qo'llaniladiganlari quyidagilar:
● OAuth 2.0 - Bu protokol veb ilovalar va mobil ilovalar uchun autentifikatsiya va autorizatsiya
amalga oshirish uchun ishlatiladi.
● OpenID Connect - Bu protokol identifikatsiya ma'lumotlarini almashish va autentifikatsiya amalga
oshirish uchun ishlatiladi.
● SAML (Security Assertion Markup Language) - Bu protokol identifikatsiya ma'lumotlarini
almashish va autentifikatsiya amalga oshirish uchun ishlatiladi.
● Kerberos - Bu protokol tarmoqda autentifikatsiya va avtorizatsiyani boshqarish uchun ishlatiladi.
● LDAP (Lightweight Directory Access Protocol) - Bu protokol identifikatsiya ma'lumotlarini
almashish va autentifikatsiya amalga oshirish uchun ishlatiladi.
Bu protokollar har birining xususiyatlari va foydalanish sohasiga mos ravishda tanlanganligi sababli,
ularning har biri turli muammolar yechishda yordam berishi mumkin. Masofaviy autentifikatsiyada
foydalanuvchi tomonidan kiritilgan ma'lumotlarni himoya qilish, xavfsizlikni ta'minlash va foydalanuvchi
identifikatorlarini tekshirib chiqishning muhim bo'lgan vazifalarini bajarish uchun bu protokollar juda
muhimdir. Masofaviy autentifikatsiya protokollari - ьasofaviy autentifikatsiya uchun ma'lumot almashish
jarayonlarini amalga oshirishda kritik ahamiyatga ega bo'lib, foydalanuvchini tasdiqlashda xavfsizlikni
ta'minlash uchun muhimdir.
5. PKIning asosiy vazifalarini sanang va tushuntiring. (Erkin aka)
JAVOB: PKI (Public Key Infrastructure) - bu xavfsizlik va identifikatsiya tizimi, shaxsiy va tashkilot
foydalanuvchilarni identifikatsiya qilish, ma'lumotlar almashishni himoya qilish va xavfsizlikni ta'minlash
uchun ishlatiladi. PKI asosiy vazifalari quyidagilar:
Xavfsizlik: PKI yordamida ma'lumotlar shifrlanadi va imzolangan bo'lib, ularga hech kimga kirish mumkin
emas. Shuningdek, PKI yordamida foydalanuvchilar o'zlarining identifikatorlari bilan autentifikatsiya
qilinadi.
Identifikatsiya: PKI yordamida foydalanuvchilar o'zlarining identifikatorlari (public key) bilan tasdiqlanadi
va autentifikatsiya qilinadi. Bu usul orqali foydalanuvchi haqiqiy shaxs sifatida tasdiqlanadi.
Ma'lumot almashish: PKI yordamida ma'lumotlar shifrlanib, imzolangan va himoyalangan bo'lib almashish
uchun ishlatiladi. Bu usul orqali ma'lumotlar xavfsiz tarzda almashishi ta'minlanadi.
Elektron imzo: PKI yordamida elektron imzolar yaratiladi va tekshirib chiqiladi. Bu elektron imzolar
ma'lumotlarni to'g'ri va xavfsiz ravishda almashish uchun ishlatiladi.
Sertifikat boshqaruv: PKI tizimi sertifikat boshqaruvini o'z ichiga oladi va sertifikatni tekshirib chiqish,
yangilash va bekor qilish imkoniyatini beradi.
PKI bilan xavfsizlikni ta'minlash usullari
PKI bilan xavfsizlikni ta'minlash usullari o'z ichiga shifrlashning, imzolashning va sertifikat
boshqarilishining asosiy qismlarini o'z ichiga oladi. Bu protokollarning foydalanishini va xavfsizlikni
ta'minlashda muhimliklarini tushunishga yordam beradi.
Xavfsizlikni ta'minlash: PKI, ma'lumotlarni
xavfsiz saqlash va ularga hech kimga ruxsat etilmagan shaklda kirib chiqilmasligini ta'minlaydi. Elektronik
to'lovlar: PKI, elektronik to'lovlar uchun xavfsizlik protokollari va usullarini taqdim etadi. Ma'lumotlarni
saqlash: PKI, ma'lumotlarni uzluksiz saqlab turadi va ularning yo'nalishlariga mos ravishda ularga kirib
chiqilmasligini ta'minlaydi.
6. PAP va CHAP protokollari va ularning farqini tushuntiring. (Erkin aka)
JAVOB: PAP (Password Authentication Protocol) - bu avtorizatsiya protokoli, internetga ulanishda
foydalanuvchining identifikatsiyasini va autentifikatsiyasini amalga oshirish uchun ishlatiladi. PAP,
foydalanuvchi nomi va parolni yuborish orqali autentifikatsiya jarayonini bajaradi. Uning asosiy xususiyati
shundaki, parol ovoz berilgandan keyin shifrlanmagan shaklda yuboriladi, shuning uchun xavfsizlikni
ta'minlashda kamchiliklarga ega bo'lishi mumkin. Bu sababli, ko'p tarmoqlarda PAP protokoli
ishlatilmaydi va uni kerakli xavfsizlik darajasi ta'minlovchi protokollarga o'tkazish tavsiya etiladi, masalan,
CHAP (Challenge-Handshake Authentication Protocol) yoki EAP (Extensible Authentication Protocol).
CHAP (Challenge-Handshake Authentication Protocol) - bu autentifikatsiya protokoli, internetga ulanishda
foydalanuvchining identifikatsiyasini va autentifikatsiyasini amalga oshirish uchun ishlatiladi. CHAP, PAP
(Password Authentication Protocol) bilan solishtirilgan holda xavfsizlikni oshiradi. CHAP protokoli
autentifikatsiya jarayonida "challenge-response" usuli ishlatiladi. Bu usulda server foydalanuvchiga
"challenge" deb nomlangan tasdiq so'rovini yuboradi va foydalanuvchi uni qabul qilib, o'zining parolini
shifrlangan shaklda yuboradi. Server esa foydalanuvchi tomonidan yuborilgan parolni o'z ichiga oladi va
tekshirish jarayonida chiqqan natijaga asosan autentifikatsiya muvaffaqiyatli bo'lishini aniqlaydi. CHAP
protokoli PAPdan farqli ravishda, parolning shifrlangan shaklda yuborilishi tufayli xavfsizlikni oshiradi.
Shuningdek, CHAP protokoli har safar yangi autentifikatsiya jarayonida yangi "challenge" yaratadi, shu
sababli salbiy guruhlar tomonidan sergancha atakalar bilan muhofaza qilinadi.
7. Sertifikatlar va tokenlar orqali autentifikatsiyani tushuntiring. (Sardor Isakulov)
Sertifikatlar va tokenlar orqali autentifikatsiya kompyuter tizimlaridagi ob'ektlarning identifikatorini
tekshirish uchun keng qo'llaniladigan usullardir, ammo ular biroz boshqacha tarzda ishlaydi.
Sertifikatlar: Sertifikatlar ishonchli uchinchi tomon tomonidan berilgan raqamli hujjatlar boʻlib, Sertifikat
organi (CA) deb nomlanadi. Ular o'zlariga tegishli ob'ekt haqidagi ma'lumotlarni o'z ichiga oladi, masalan,
ularning identifikatori va ochiq kalit. Sertifikatlar odatda SSL/TLS shifrlashda veb-ulanishlarni himoya
qilish uchun ishlatiladi. Mijoz serverga HTTPS orqali ulanganda, server mijozga o'z sertifikatini taqdim
etadi. Keyin mijoz sertifikatning haqiqiyligini uning raqamli imzosini ishonchli CAlar ro‘yxati bilan
tekshirish orqali tekshiradi. Agar sertifikat haqiqiy va ishonchli bo'lsa, mijoz xavfsiz ulanishni davom
ettiradi.
Tokenlar: Tokenlar foydalanuvchilar yoki ob'ektlarni autentifikatsiya qilish uchun ishlatiladigan
ma'lumotlar bo'laklari. Ular ko'pincha tokenga asoslangan autentifikatsiya tizimlarida qo'llaniladi, bu erda
token muvaffaqiyatli autentifikatsiyadan so'ng foydalanuvchiga beriladi va keyin himoyalangan resurslarga
kirish uchun keyingi so'rovlar bilan taqdim etiladi. Tokenlar turli xil bo'lishi mumkin, masalan, JSON Web
Tokens (JWT), OAuth tokenlari yoki Security Assertion Markup Language (SAML) tokenlari. Ushbu
tokenlar foydalanuvchi yoki tashkilot haqidagi ma'lumotlarni o'z ichiga oladi va ularning yaxlitligini
ta'minlash uchun raqamli imzolanadi. Mijoz himoyalangan resursga kirish uchun tokenni taqdim etganda,
server uning haqiqiyligini taʼminlash uchun token imzosini tekshiradi va mijozda kerakli ruxsatlarga ega
yoki yoʻqligini aniqlash uchun uning mazmunini tekshiradi.
Xulosa qilib aytadigan bo'lsak, sertifikatlar ham, tokenlar ham autentifikatsiya qilish uchun ishlatilsa-da,
sertifikatlar odatda server-server o'rtasidagi aloqada, masalan SSL/TLS shifrlashda, tokenlar odatda
foydalanuvchi autentifikatsiya stsenariylarida, ayniqsa veb-ga asoslangan ilovalarda va API'lar. Ularning
har biri o'zining kuchli va zaif tomonlariga ega va ular orasidagi tanlov loyihalashtirilayotgan tizimning
o'ziga xos talablari va arxitekturasiga bog'liq.
8. CA (Certificate authority) ierarxiyasini tushuntiring. (Sardor Isakulov)
Kriptografiyada sertifikat organi/sertifikatlash organi (CA) oddiy qilib aytganda, raqamli sertifikatlarni
chiqaradigan tashkilotdir. Ushbu raqamli sertifikat sertifikatning maxsus nomlangan mavzusi haqiqatda
tegishli shaxsiy kalitga ega ekanligini tekshirishga xizmat qiladi, bu boshqa tomonlarga tegishli kalit
haqida imzolar yoki tasdiqlarga ishonch bilan tayanish imkonini beradi. Shunday qilib, CA ishonchli
uchinchi tomon bo'lib xizmat qiladi - u sertifikat sub'ekti (egasi) tomonidan ham, sertifikatga tayangan
tomon tomonidan ham ishoniladi.
CA ierarxiyasi shunchaki har bir sertifikat organi uchun darajalar yoki darajalar sonini bildiradi. CA
ierarxiyasidagi darajalar sonini aniqlash samarali PKI rejalashtirish uchun muhim ahamiyatga ega. Tanlash
uchun uchta variant - bitta/bir darajali ierarxiya, ikki darajali ierarxiya va uch bosqichli ierarxiya.
Yagona/Bir darajali PKI ierarxiyasi
Yagona/Bir darajali ierarxiya bitta yagona CA dan iborat bo'lib, u ham ildiz CA, ham emissiya CA bo'lib
xizmat qiladi. Ushbu turdagi CA larni batafsilroq ko'rib chiqish uchun ildiz CA va emissiya CA o'rtasidagi
farqni ko'rsatadigan blogimizni ko'rib chiqing, ammo hozircha bilingki, ildiz CA butun PKI ning ishonchli
langaridir. Ildiz CA umumiy kaliti sertifikat uchun ishonch ildizi vazifasini bajaradi - ildiz CAga
ishonadigan har qanday ilovalar, foydalanuvchilar yoki kompyuterlar natijada CA tomonidan chiqarilgan
har qanday sertifikatlarga ham ishonadilar.
Yagona/Bir darajali ierarxiya har qanday ishlab chiqarish stsenariysi uchun tavsiya etilmaydi, chunki bu
ierarxiya bilan yagona CAning murosasi butun PKIning murosaga kelishini anglatadi. Xavfsizlik nuqtai
nazaridan ildiz CA va emissiya CA odatda ajratiladi, chunki buzilgan CAni almashtirish uchun yangi ildiz
CA ni tezda tarqatish odatda qiyin.
Ikki bosqichli PKI ierarxiyasi (tavsiya etilgan usul)
Ikki bosqichli ierarxiya - bu ko'pchilik tashkilotlarning ehtiyojlarini qondiradigan dizayn. Ikki darajali
ierarxiyada oflayn ildiz CA va onlayn bo'ysunuvchi CAni chiqaradi; ildiz CA va emissiya CA rollari
ajratilganligi sababli xavfsizlikning yuqori darajasi mavjud, lekin eng muhimi, ildiz CA oflayn bo'lib, ildiz
CA ning shaxsiy kalitini murosadan himoya qiladi. Ikki bosqichli ierarxiya, shuningdek, miqyoslilik va
moslashuvchanlikni oshiradi, chunki ildiz CA ga bo'ysunadigan bir nechta emissiya CAlari bo'lishi
mumkin, bu bizning sertifikatlarni boshqarish bo'yicha eng yaxshi amaliyotlarimizdan biridir. Bu
ma'murlarga CA-larni turli xil xavfsizlik darajalariga ega bo'lgan turli geografik joylarda, shuningdek, turli
CA qamrovlarida (smartcard, SCEP va boshqalar) joylashtirish imkonini beradi; ammo, bu qo'shimcha
xavfsizlik yuqori xarajatlar bilan birga keladi. Boshqaruv qobiliyati oshirildi, chunki CRL imzolash uchun
ildiz CA qo'lda onlaynga keltirilishi kerak. Qo'shimcha server yoki virtual mashina va apparat xavfsizlik
modullari (HSMs) kerak bo'lganligi sababli kapital qiymati ham oshiriladi. Yuqori narxga qaramay, ikki
bosqichli ierarxiya ko'pgina PKI echimlari uchun tavsiya etilgan dizayndir.
Uch bosqichli PKI ierarxiyasi
Uch bosqichli ierarxiya ildiz CA va emissiya CA o'rtasida qo'shimcha CA siyosatini qo'shadi. Ushbu CA
siyosati odatda chiqargan CAlar uchun emissiya chegaralarini o'rnatish uchun chiqarish siyosatini qo'llash
uchun ishlatiladi. Agar tashkilot turli xil CA-larni boshqarishni bir nechta guruhlarni talab qiladigan juda
katta PKI infratuzilmasini boshqarmasa, bu ierarxiya tavsiya etilmaydi, chunki u qo'shimcha, keraksiz
murakkabliklar qo'shadi. Uch bosqichli ierarxiyadan foydalanish misoli AQSh hukumatida bo'lishi
mumkin, bu erda sizda ildiz CA mavjud, lekin sizda hukumatning turli bo'limlari ham mavjud - bu misolda
siz o'rtasida CA siyosati bo'lishini xohlaysiz. Aytaylik, DOD Markaziy razvedka boshqarmasi
sertifikatlarini bera olmaydi.
What is a CA?
A certificate authority (CA) is a trusted organization that issues digital certificates for websites and other
entities.CAs validate a website domain and, depending on the type of certificate, verify the ownership of
the website.They then issue TLS/SSL certificates that are trusted by web browsers like Chrome, Safari, and
Firefox1.
Role of a CA:
Every time you visit a website with HTTPS (secure) or see the little padlock in the URL bar, you’re using a
site that has been verified by a CA. CAs verify the certificate requester’s information, including site
ownership, name, and location. Before issuing a certificate, they adhere to stringent industry standards to
ensure consistent validation. The CA/Browser Forum, comprising major browsers and CAs, sets the
standards for TLS encryption and digital certificates.
Hierarchies:
Single/One-Tier Hierarchy:
Consists of a single CA that serves as both the root CA and an issuing CA. The root CA is the trust anchor
for the entire PKI, and its public key establishes trust paths. Certificates issued by this hierarchy are trusted
by any applications, users, or computers that trust the root CA. However, this one-tier hierarchy is not
recommended for production scenarios because compromising the single CA would compromise the entire
PKI.
Two-Tier Hierarchy:
In this typical deployment, there are two levels: a root CA and one or more intermediate CAs. The root CA
validates the intermediate level, and the intermediate CAs issue certificates to end entities. This separation
enhances security, as compromising an intermediate CA does not affect the root CA2.
Three-Tier Hierarchy:
Similar to the two-tier hierarchy, but with an additional level of issuing CAs beneath the intermediate CAs.
The root CA validates the intermediate CAs, which in turn validate the issuing CAs. This structure
provides flexibility and scalability for large organizations2.
9. AH va ESP protokollarini tushuntiring. (Sardor Isakulov)
IPSec ikkita alohida protokoldan foydalanadi, IETF tomonidan aniqlangan Autentifikatsiya sarlavhasi
(AH) va Encapsulating Security Payload (ESP).
AH protokoli faqat autentifikatsiya qilish mexanizmini taqdim etadi. AH maʼlumotlar yaxlitligi,
maʼlumotlar kelib chiqishi autentifikatsiyasi va ixtiyoriy qayta oʻynashni himoya qilish xizmatini taqdim
etadi. Ma'lumotlar yaxlitligi HMAC-MD5 yoki HMAC-SHA kabi algoritm tomonidan yaratilgan xabarlar
dayjestidan foydalanish orqali ta'minlanadi. Ma'lumotlarning kelib chiqishi autentifikatsiyasi xabarlar
dayjestini yaratish uchun umumiy maxfiy kalit yordamida ta'minlanadi. Takrorlash himoyasi AH sarlavhasi
bilan tartib raqami maydonidan foydalanish orqali ta'minlanadi. AH IP sarlavhalari va ularning foydali
yuklarini autentifikatsiya qiladi, tranzitda qonuniy ravishda o'zgartirilishi mumkin bo'lgan ba'zi sarlavha
maydonlari, masalan, Yashash vaqti (TTL) maydoni bundan mustasno.
ESP protokoli ma'lumotlarning maxfiyligini (shifrlash) va autentifikatsiyani (ma'lumotlarning yaxlitligi,
ma'lumotlarning kelib chiqishi autentifikatsiyasi va takroriy himoya) ta'minlaydi. ESP dan faqat maxfiylik,
faqat autentifikatsiya yoki maxfiylik va autentifikatsiya bilan foydalanish mumkin. ESP autentifikatsiya
funksiyalarini taqdim qilganda, u AH bilan bir xil algoritmlardan foydalanadi, ammo qamrovi boshqacha.
AH uslubidagi autentifikatsiya butun IP-paketni, shu jumladan tashqi IP sarlavhasini autentifikatsiya
qiladi, ESP autentifikatsiya mexanizmi esa IP-paketning faqat IP-datagramma qismini autentifikatsiya
qiladi.
IP-paketni himoya qilish uchun ikkala protokol ham bir xil IP-paketga birgalikda qo'llanilishi mumkin.
IPSec protokolini tanlash o'rnatishingizning xavfsizlik ehtiyojlari bilan belgilanadi va administrator
tomonidan sozlanadi. U butun tizim bo'ylab qo'llanilishi shart emas va ulanishning so'nggi nuqtalarining
har bir to'plami uchun boshqacha tarzda sozlanishi mumkin. Dinamik tunnel uchun IPSec protokolini
tanlash IP xavfsizlik siyosati konfiguratsiya faylidagi IpDataOffer bayonoti yordamida sozlanadi. Qo'lda
tunnel uchun IPSec protokolini tanlash IP xavfsizlik siyosati konfiguratsiya faylidagi IpManVpnAction
bayonoti yordamida sozlanadi. IpDataOffer bayonoti va IpManVpnAction bayonoti haqida koʻproq
maʼlumot olish uchun z/OS Communications Server: IP konfiguratsiya maʼlumotnomasiga qarang.
10. Parol orqali autentifikatsiyani amalga oshiruvchi protokollarni tushuntiring. (Javoxir)
Bir nechta protokollar parolni autentifikatsiya qilishni amalga oshiradi, ularning har biri turli darajadagi
xavfsizlikka ega. Mana bir nechta keng tarqalgan bo'lganlar:
1. Parolni autentifikatsiya qilish protokoli (PAP - Password Authentication Protocol):
Tavsif: Nuqtadan nuqtaga ulanish (PPP) uchun ishlatiladigan oddiy va eskirgan protokol.
Jarayon:
Mijoz foydalanuvchi nomi va parolni aniq matnda (shifrlanmagan) serverga yuboradi.
Server hisob ma'lumotlarini saqlangan parolga nisbatan tekshiradi (ko'pincha aniq matn yoki zaif
xeshda).
Xavfsizlik tashvishlari:
O'ta xavfli - parollar shifrlanmagan holda uzatiladi, ularni tinglash mumkin.
O'ziga xos zaif tomonlari tufayli har qanday foydalanish uchun tavsiya etilmaydi.
2. Challenge-Handshake autentifikatsiya protokoli (CHAP - Challenge-Handshake Authentication
Protocol):
Ta'rif: Qiyinchiliklarga javob berish mexanizmidan foydalanadigan PAPga xavfsizroq alternativ.
Jarayon:
Server mijozga tasodifiy chaqiruv yuboradi.
Mijoz bir tomonlama xesh funksiyasidan (masalan, MD5) o‘z paroli bilan birlashgan holda topshiriqda
foydalanadi.
Mijoz xeshlangan javobni serverga yuboradi.
Server chaqiruv va saqlangan parolda bir xil xeshlashni amalga oshiradi (xeshlangan versiya).
Server yaratilgan xeshni olingan javob bilan solishtiradi.
Xavfsizlik tashvishlari:
PAPga qaraganda xavfsizroq, chunki parollar to'g'ridan-to'g'ri uzatilmaydi.
Agar qiyinchilik etarlicha tasodifiy yoki oldindan aytib bo'lmaydigan bo'lsa, hujumlarni takrorlash
uchun himoyasiz.
3. Kengaytirilgan autentifikatsiya protokoli (EAP - Extensible Authentication Protocol):
Ta'rif: Turli autentifikatsiya usullarini ulash imkonini beruvchi moslashuvchan ramka. Ko'pincha simsiz
tarmoq ulanishlari (Wi-Fi) va VPNlar uchun ishlatiladi.
Jarayon:
EAP mijoz va server o'rtasidagi aloqa qatlami sifatida ishlaydi.
Maxsus EAP usullari (masalan, PEAP, TTLS) EAP doirasidagi haqiqiy autentifikatsiya almashinuvini
boshqaradi.
Ushbu usullar kuchli autentifikatsiya uchun parollar bilan birga tokenlar, sertifikatlar yoki ochiq kalit
kriptografiyasi kabi turli mexanizmlardan foydalanishi mumkin.
Xavfsizlik tashvishlari:
Xavfsizlik ishlatiladigan maxsus EAP usuliga bog'liq.
PEAP kabi ba'zi usullar xavfsiz amalga oshirilmasa, zaif bo'lishi mumkin.
4. Xavfsiz masofaviy parol protokoli (SRP - Secure Remote Password Protocol):
Ta'rif: An'anaviy parolni autentifikatsiya qilishdagi kamchiliklarni bartaraf etish uchun mo'ljallangan
nisbatan yangi va xavfsiz protokol.
Jarayon:
Haqiqiy parolni uzatmaslik uchun "tekshiruvchi" deb nomlangan kriptografik texnikadan foydalanadi.
Mijoz ham, server ham parol bo'yicha hisob-kitoblarni amalga oshiradi va parolning o'zini
ko'rsatmaydi.
Keyinchalik shifrlash uchun ishlatilishi mumkin bo'lgan umumiy sirni xavfsiz tarzda o'rnatadi.
Xavfsizlik tashvishlari:
Boshqa protokollarga qaraganda kamroq qo'llaniladi.
Mijoz va server dasturlarini qo'llab-quvvatlashni talab qiladi.
To'g'ri protokolni tanlash:
Protokolni tanlash dasturning o'ziga xos xavfsizlik talablariga bog'liq. Past darajadagi xavfsizlik ehtiyojlari
uchun CHAP etarli bo'lishi mumkin. Biroq, muhim tizimlar uchun yoki kuchli parol himoyasi zarur
bo'lgan hollarda, SRP yoki EAP kabi ishonchli usullarga ega protokollar tavsiya etiladi.
11. PKI protokollarini tushuntiring. (Javoxir)
Ochiq kalitlar infratuzilmasi (PKI) samarali ishlashi uchun bir qator protokollarga tayanadi. Ushbu
protokollar raqamli sertifikatlar va xavfsiz aloqa va autentifikatsiya uchun ishlatiladigan kriptografik
kalitlarni boshqarishning turli jihatlarini ko'rib chiqadi. Bu erda ba'zi asosiy PKI protokollarining taqsimoti
berilgan:
1. X.509: Bu raqamli sertifikatlar uchun asos bo'lib xizmat qiladi. U sertifikatlar formati va tuzilishini,
jumladan ochiq kalit, egasining identifikatori, (Sertifikat vakolatxonasi - CA), amal qilish muddati va
qo'shimcha ma'lumotlar uchun kengaytmalar(exe) kabi ma'lumotlarni belgilaydi.
2. Sertifikatlarni boshqarish protokollari:
Onlayn sertifikat holati protokoli (OCSP): Ushbu protokol real vaqt rejimida sertifikatning bekor
qilinganligini tekshirish imkonini beradi. Mijoz OCSP javob beruvchidan sertifikatga ishonishdan oldin
uning bekor qilinganligini tekshirish uchun so'rashi mumkin.
Sertifikatlarni bekor qilish roʻyxati (CRL): Bu CA tomonidan yuritiladigan bekor qilingan sertifikatlar
roʻyxati. Mijozlar vaqti-vaqti bilan CRL-ni yuklab olishlari va bekor qilingan sertifikatlarni aniqlash uchun
uni duch kelgan sertifikatlar bilan solishtirishlari mumkin.
Sertifikatlashtirish amaliyoti bayonoti (CPS): Ushbu hujjat CAning sertifikatlarni berish, boshqarish va
bekor qilish siyosati va tartiblarini belgilaydi. Bu PKI tizimiga ishonchni o'rnatishga yordam beradi.
3. Asosiy boshqaruv protokollari:
PKCS#11: Bu kriptografik tokenlar va kalitlarni boshqarish tizimlariga kirish uchun standartlashtirilgan
interfeysni taqdim etadi. Ilovalar PKCS#11 yordamida turli xil xavfsizlik uskunalari bilan sotuvchiga xos
kodga muhtoj bo'lmasdan o'zaro ishlashi mumkin.
Secure Sockets Layer (SSL)/Transport Layer Security (TLS): Bu protokollar xavfsiz aloqa kanallari uchun
PKI dan foydalanadi. Server qoʻl siqish jarayonida oʻz sertifikatini taqdim etadi, bu mijozga oʻz shaxsini
tekshirish va ochiq kalit yordamida aloqani shifrlash imkonini beradi.
4. Ro'yxatdan o'tish protokollari:
Sertifikatlarni ro‘yxatga olishning oddiy protokoli (SCEP): Ushbu protokol foydalanuvchi yoki qurilmani
sertifikatlar
uchun
ro‘yxatdan
o‘tkazishni
soddalashtiradi.
Bu
veb-xizmat
interfeysi
orqali
avtomatlashtirilgan sertifikat so'rovlari va berish imkonini beradi.
Bular asosiy PKI protokollarining ba'zilari. PKI-ni joylashtirishda ishlatiladigan maxsus protokollar
tashkilotning o'ziga xos ehtiyojlari va xavfsizlik talablariga qarab farq qilishi mumkin.
12. GSM autentifikatsiya protokolini tushuntiring. (Javoxir)
GSM autentifikatsiya protokoli faqat avtorizatsiya qilingan foydalanuvchilar tarmoqqa kirishini
ta'minlaydi. Biroq, u zamonaviy protokollarga nisbatan ba'zi cheklovlarga ega. Bu qanday ishlashi haqida
qisqacha ma'lumot:
Konponentlar:
Mobil stantsiya (MS): Tarmoqqa ulanishga urinayotgan mobil telefon yoki qurilma.
Abonent identifikatsiya moduli (SIM): Foydalanuvchining obuna maʼlumotlari va maxfiy kalitni oʻz
ichiga olgan smart-karta.
Baza stansiyasi (BS): Mobil qurilmalardan signallarni uzatuvchi va qabul qiluvchi uyali minora.
Autentifikatsiya markazi (AuC): Foydalanuvchi autentifikatsiya maʼlumotlarini saqlaydigan va sinov
raqamlarini yaratuvchi xavfsiz server. Bu odatda tarmoq operatori infratuzilmasining bir qismi bo'lib, unga
bevosita kirish imkoni yo'q.
Tashrifchilarning joylashuvi registri (VLR): Xizmat koʻrsatuvchi tarmoqdagi (foydalanuvchi hozir
joylashgan) maʼlumotlar bazasi, HLRdagi baʼzi abonent maʼlumotlarini vaqtincha saqlaydi.
Uy joylashuvi registri (HLR): Foydalanuvchining uy tarmog'idagi doimiy abonent ma'lumotlarini, shu
jumladan maxfiy kalitni saqlaydigan ma'lumotlar bazasi.
Autentifikatsiya jarayoni:
1. Boshlash: Mobil qurilma (MS - Mobile Station) eng yaqin tayanch stantsiyaga (BS-Base Station) so'rov
yuborish orqali tarmoqqa ulanishga harakat qiladi.
2. Challenge so'rovi(Challenge Request): BS MSga autentifikatsiya chaqiruvini (tasodifiy raqam) yuboradi.
3. Javob ishlab chiqarish: MS SIM-kartada xavfsiz saqlangan maxfiy kalitini oladi. U maxfiy kalit bilan
birga chaqiruv raqamida kriptografik operatsiyani (bir tomonlama A3 funksiyasidan foydalangan holda)
amalga oshiradi. Bu autentifikatsiya javobini yaratadi.
4. Tarmoqni tekshirish: MS autentifikatsiya javobini BS ga yuboradi.
5. VLR da tekshirish: BS chaqiruv va javobni VLRga yuboradi.
6. HLR o'zaro ta'siri (ixtiyoriy): Ba'zi ilovalarda VLR foydalanuvchining maxfiy kalitini olish va mahalliy
tekshirishni amalga oshirish uchun HLR (foydalanuvchining uy tarmog'i) bilan bog'lanishi mumkin. Aks
holda, VLR o'zi tekshirishni amalga oshiradi.
7. Autentifikatsiya qarori: VLR (yoki HLR) foydalanuvchining maxfiy kaliti va chaqiruv raqami
yordamida kutilgan javobni hisoblab chiqadi. Buni MSdan olingan javob bilan solishtiradi.
8. Tarmoqqa kirish: Agar javoblar mos kelsa, foydalanuvchi autentifikatsiya qilinadi va tarmoq kirishga
ruxsat beradi. Aks holda, kirish rad etiladi.
Cheklovlar
Bir tomonlama autentifikatsiya: GSM protokoli faqat foydalanuvchini tarmoqqa autentifikatsiya qiladi.
Tarmoqning foydalanuvchiga o'zini autentifikatsiya qilish mexanizmi yo'q, bu uni firibgarlik hujumlariga
qarshi himoyasiz qiladi.
Zaif shifrlash: Autentifikatsiya uchun ishlatiladigan A3 algoritmi zamonaviy standartlarga ko‘ra zaif deb
hisoblanadi.
Tugatish uchun zaiflik: Agar MS va BS o‘rtasidagi aloqa uzilib qolsa, chaqiruv va javob qo‘lga olinishi va
haqiqiy foydalanuvchi nomini o‘zgartirish uchun ishlatilishi mumkin.
GSM autentifikatsiyasi mobil aloqaning dastlabki kunlarida o‘z maqsadiga erishgan, ammo uning
cheklovlari tufayli UMTS va LTE kabi yanada mustahkam protokollar yangi uyali aloqa tarmoqlarida
qabul qilingan.
13. Autentifikatsiya protokollarining xarakteristikalarini tavsiflang. (Behruz)
Autentifikatsiya protokollarining xarakteristikalari, xususan shaxsiy ma'lumotlarni identifikatsiya
qilish va tasdiqlash uchun amalga oshiriladigan texnologiyalardir. Bu protokollar, foydalanuvchilarning
kimligini tasdiqlash, yoki so'rovlarni jonatish uchun to'g'ri yo'nalishga olish uchun xavfsiz va ishonchli
usullar taqdim etish maqsadida ishlab chiqilgan. Quyidagi xususiyatlar, eng ko'p uchraydigan
autentifikatsiya protokollarining bir qator xarakteristikasidir:
Identifikatsiya: Foydalanuvchilar identifikatsiya qilinadi va uning identifikatorlari (masalan, nom va parol)
tekshiriladi.
Tasdiq: Foydalanuvchi identifikatorlarini tasdiqlash uchun autentifikatsiya protokollari qo'llaniladi. Bu,
kutilgan foydalanuvchi tomonidan kiritilgan ma'lumotlarning to'g'ri va haqiqiyligini tasdiqlashni
ta'minlaydi.
Xavfsizlik: Autentifikatsiya protokollari, ma'lumotlarni ko'rib chiqishga qarshi himoya ta'minlash uchun
xavfsizlikni ta'minlaydi. Masalan, ma'lumotlar yoki kirish kengaytmasiga yetkazilganda, uni shifrlash va
himoya qilish mumkin.
Ko'p qatlamli autentifikatsiya: Bu protokollar ko'p qatlamli autentifikatsiyani ta'minlaydi, ya'ni,
foydalanuvchilarga bir nechta identifikatsiya bosqichlaridan o'tish imkoniyatini beradi. Masalan, parol,
ikkita faktorli autentifikatsiya, biometrik identifikatsiya va boshqalar kabi.
Bog'liqlik va portativlik: Autentifikatsiya protokollari, tarmoqning turli qismlarida (masalan, shaxsiy
kompyuterda, mobil qurilma yoki veb sayt) ishlashini ta'minlash uchun o'zaro bog'liq va portativ bo'lishi
kerak.
Protokollar interoperabiliteti: Ulanish so'rovlari va protokollar, o'zaro qo'llanilishi kerak bo'lgan tarmoqlar
va platformalar uchun to'g'ri interoperabilitetni ta'minlash uchun bo'lishi lozim.
Monitoring va logging: Autentifikatsiya jarayonlarini kuzatish va uchta kirish uchun muvaffaqiyatli yoki
xato ko'rsatish, tashqi hamda ichki monitoring tizimlari orqali xavfsizlikni ta'minlash uchun protokollar
uchun muhimdir.
Bu xususiyatlar autentifikatsiya protokollarining umumiy xususiyatlari bo'lib, ular har bir autentifikatsiya
usulida dastlabki, o'rtacha va so'nggi amalga oshirish uchun muhimdir.
14. CA vazifalari va sertifikat turlarini tushuntiring. (Behruz)
"CA" ko'krakli namunaviy agent (CA) ni ifodalovchi jargon hisoblanadi. CA'lar, to'g'ri tasdiqlash
jarayonini o'tkazish va elektron ma'lumotlar uchun xavfsizlikni ta'minlashda muhim rollarni o'zlariga
olishadi. Ularning asosiy vazifalari quyidagilardan iborat:
Sertifikat ishlab chiqarish: CA'lar, xavfsizlik sertifikatlarini yaratish va taqdim etish maqsadida xizmat
ko'rsatishadi. Bu sertifikatlar, veb saytlar, ilova platformalari, elektron pochtalar va boshqa tarmoqlar
uchun maxfiylik va identifikatsiya ni ta'minlashda foydalaniladi.
Tasdiqlash: CA'lar, shaxsiyligini va kompaniya haqida ma'lumotlarni tasdiqlashni o'zlariga olishadi. Bu,
xaridorlar uchun xavfsizlik va ishonchning o'zi eng muhim yaratuvchilardan biridir.
Xavfsizlik ko'rsatkichlari: Sertifikatlar, ko'rsatkichlar va boshqa xavfsizlik tillarini ta'minlash orqali
ma'lumotlarni shifrlab o'tkazishda muhim ahamiyatga ega. CA'lar, shu xavfsizlikning turli ko'rsatkichlari
va protokollari uchun ham mas'uliyatni o'z zimmasiga oladi.
Revokatsiya va yangilanish: Agar sertifikat o'z muhokamaga ega bo'lgan foydalanuvchi yoki kompaniya
xavfni iloji boricha buzganini yoki xavfsizlik muammolari paydo bo'lganini aytsa, CA'lar bu sertifikatni
bekor qilish va yangilash masalasini muomala qilishlari kerak bo'ladi.
CA'lar turli sertifikat turlarini taqdim etishi mumkin, quyidagi bir necha uchun amaliyati ommalashtiriladi:
Xavfsizlik sertifikatlari: SSL/TLS sertifikatlari veb saytlarning xavfsizligini ta'minlash uchun ishlatiladi.
Masalan, banklarning veb saytlari, onlayn do'konlar va boshqa muassasalar.
Elektron pochta sertifikatlari: Xavfsiz elektron pochta yoki imzo qo'yish uchun ishlatiladi. Bu, elektron
xatlar va dokumentlarni xavfsiz ravishda yuborishning muhim qismidir.
Klient sertifikatlari: Foydalanuvchilar o'zlarining identifikatorlarini tasdiqlash uchun ishlatiladi. Masalan,
tarmoq bo'ylab kirish uchun foydalanuvchi nomi va parolini tasdiqlash.
Uyali kartalar uchun sertifikatlar: Chip va PIN karta operatsiyalarini tasdiqlashda ishlatiladi.
Bu, faqat bir qancha umumiy sertifikat turlaridir, va har bir CA o'z maxsus sertifikatlarini va xizmatlarini
taklif etishi mumkin.
15. L2TP protokolining ishlash rejimlarini tushuntiring. (Behruz)
Layer 2 Tunneling Protocol (L2TP) internet provayderlar va korporativ tarmoqlar o'rtasida xavfsiz, maxfiy
kanallar yaratishda ishlatiladi. U yana qo'shimcha xavfsizlik funksiyalarini L2TP/IPsec yoki L2TPv3/IPsec
kabi protokollar bilan biriktirish mumkin. L2TP ni quyidagi ishlash rejimlari bo'ylab tushunish mumkin:
L2TP Sessiyasi: Ushbu rejimda, aloqaning ikki tomoni o'rtasida bir L2TP sessiyasi ochiladi. Bir joyda
L2TP ta'minoti yordamida yaratilgan virtual aloqa bo'linadi. Bu rejimda, aloqa ustidan uchraydigan barcha
ma'lumotlar, ya'ni ikki uchun yuboriladigan barcha ma'lumotlar, xavfsizlik kafolati bilan shifrlanadi.
L2TP Tunneli: Ushbu rejimda, L2TP aloqasi yordamida yaratilgan virtual aloqa bo'linadi, lekin
shifrlanmagan. Bunga L2TP sessiyasi aloqasi uchun xavfsizlik qo'llanmaganligi maqbul bo'ladi.
L2TP/IPsec kabi qo'shimcha protokollar yordamida, L2TP sessiyalari IPsec kafolati bilan shifrlanadi. Bu
usul, aloqaning eng muhim ma'lumotlarini yaxshiroq himoyalaydi va maxfiylikni ta'minlaydi. L2TP/IPsec
protokoli, Internetga ulanishda yoki korporativ tarmoqlarda ishlatilishi kerak bo'lgan xavfsiz aloqalarni
yaratish uchun yaxshi variant bo'ladi.
L2TP protokoli internet aloqalarini o'rtachalashtirishda va maxfiylikni ta'minlashda ishlatiladi. Bu
protokolni qanday qilib ishlatish to'g'risida quyidagicha malumotlarni aytib otadigan bo'lsak:
Ishlash prinsipi: L2TP, bir ma'lumot tarmog'ini internet protokollari orqali yuborish uchun ishlatiladi. U
L2TP uchun aloqa kanalini yaratadi, keyin bu kanalni IPSec (Internet Protocol Security) yoki basqa
maxfiylik protokollari bilan shifrlaydi.
Aloqa tuzilishi: L2TP, aloqani yaratish uchun Layer 2 Tunnel (tunel) yaratadi. Bu aloqa, internet
protokollari orqali to'xtalmas ma'lumotlar uchun bir qo'shimcha tarmoqni yaratishda yordam beradi.
Shuningdek, L2TP, PPP (Point-to-Point Protocol) yoki Ethernet kabi protokollarni ko'rsatish uchun
ishlatiladi.
Kerakli bog'lovchilar: L2TP protokolini ishlatish uchun ikki tomonli aloqaga ega bo'lish zarur. Ushbu
aloqa ikki tomonli kompyuterlar, serverlar yoki ko'proq qurilmalar o'rtasida o'rnatilishi mumkin. Eng oddiy
o'rnatilishlar, internet provayderlari tomonidan taqdim etilgan xizmatni qo'llash va uch qadamli taqdimotlar
uchun ishlatilishi mumkin.
Xavfsizlik: L2TP o'ziga xos maxfiylik kafolatlari yo'qligi tufayli keng qo'llanilgan maxfiylik protokollari
bilan biriktiriladi. Bunday maxfiylik protokollariga IPSec kiritilgan bo'lishi ko'proq xavfsizlikni
ta'minlaydi.
Portlar: L2TP uchun 1701-port ishlatiladi. Bu port, aloqa uchun qo'llanilgan aloqachi tomonidan ochiladi
va L2TP sessiyalarini qabul qiladi.
L2TP, aloqa uchun qo'llaniladigan bir nechta qo'llanmalar orqali eng keng tarqalgan protokollar biri
hisoblanadi. U internet provayderlar, korporativ tarmoqlar va ish joylar uchun maxfiylikni ta'minlashda
yoki aloqalar o'rnatishda ishlatiladi.
16. Identifikatsiya va autentifikatsiya. Autentifikatsiya protokollarini tavsiflang. (Boburxon) Identifikatsiya -
bu tizim foydalanuvchisini yoki tizimda ishlayotgan dasturni yagona aniqlash qobiliyati. Autentifikatsiya -
bu foydalanuvchi yoki ilovaning o'sha shaxs ekanligini yoki ushbu ilova o'zini nima deb isbotlash
qobiliyati. Misol uchun, foydalanuvchi identifikatori va parolni kiritish orqali tizimga kirgan
foydalanuvchini ko'rib chiqadi. Tizim foydalanuvchini aniqlash uchun foydalanuvchi identifikatoridan
foydalanadi. Tizim tizimga kirish vaqtida foydalanuvchini taqdim etilgan parolning toʻgʻriligini tekshirish
orqali autentifikatsiya qiladi.
Autentifikatsiya protokoli - bu ikki obyekt o'rtasida autentifikatsiya ma'lumotlarini uzatish uchun maxsus ishlab
chiqilgan kompyuter aloqa protokoli yoki kriptografik protokol turi. Uning maqsadi qabul serverga bog'langan
mijozni autentifikatsiya qilish, shuningdek, serverdan mijozga autentifikatsiya qilish imkonini berishdir.
Autentifikatsiya protokollarini Maqsadi:
● Tarmoqlar orqali foydalanish mumkin bo'lgan ishonchli ma'lumotlarning ko'payishi hamda ruxsatsiz
kirishning oldini olishi.
● Autentifikatsiya protokollari soʻrov yuborayotgan shaxs, ular ruxsat so’rayotgan shaxs ekanligini
tekshirishga yordam beradi.
● Ular kompyuter tarmoqlari ichida xavfsiz aloqa vazifasini bajaradi.
Autentifikatsiya protokollari qanday ishlaydi:
● Autentifikatsiya protokollari tomonlar o'rtasida bajariladigan bir qator qadamlarni o'z ichiga oladi.
● Ikkala tomon ham protokolni oldindan bilishlari va unga aniq rioya qilishlari kerak.
● Asosiy autentifikatsiya protokoliga misol: parolga asoslangan autentifikatsiyani o'z ichiga oladi:
● Elis va Bob protokol bo'yicha kelishib olishadi.
● Bobda Elisning paroli ma'lumotlar bazasida saqlanadi.
● Elis protokol qoidalariga rioya qilgan holda parolini Bobga yuboradi.
● Bob olingan parolni ma'lumotlar bazasida saqlangan parol bilan tekshiradi.
● Natijaga asoslanib, Bob "Autentifikatsiya muvaffaqiyatli" yoki "Autentifikatsiya amalga oshmadi"
degan paketni yuboradi.
Biroq, autentifikatsiya qilishning asosiy protokollari tinglash, takroriy hujumlar va shafqatsiz hujumlar1 kabi
tahdidlarga nisbatan zaifdir.
Autentifikatsiya protokollarining turlari:
● PPP autentifikatsiya protokollari: Asosan nuqtadan nuqtaga protokoli (PPP) serverlari tomonidan server
maʼlumotlariga kirish huquqini berishdan oldin masofaviy mijozlarning identifikatorini tekshirish uchun
foydalaniladi.
● Misollar: PAP (Password Authentication Protocol), CHAP (Challenge-handshake autentifikatsiya
protokoli) va EAP (Extensible Authentication Protocol).
● AAA arxitektura protokollari (autentifikatsiya, avtorizatsiya, buxgalteriya hisobi):
● TACACS, XTACACS va TACACS+: Tarmoqqa kirishni boshqarish uchun ishlatiladi.
● RADIUS: Odatda masofaviy autentifikatsiya uchun ishlatiladi.
● Boshqa protokollar:
● Kerberos: mijoz-server ilovalari uchun xavfsiz autentifikatsiyani ta'minlaydi.
● OpenID, LAN Manager va NTLM12 kabi boshqa turli xil protokollar.
17. Layer 2 Forwarding Protocol va L2F Paket Formatini tushuntiring. (Boburxon)
Ушбу протоколи CISCO томонидан ишлаб чиқилган протокол bo’lib. Конфиденциалликни таъминлаш учун
L2F инкапцуляцияла oqali амалга оширади. Ушбу протокол PPP протоколи трафигини тунеллаш учун
махсус ишлаб чиқилган. Bu протоколni асосий конкуренти PPTP протоколи hisoblanadi
Version – L2F нинг мажор верциясини кўрсатади. У 001 дан иборат бўлиши шарт. Агар бундай бўлмаса ёки
пакетнинг S дан C гача бўлган битлари нолдан фарқли бўлса, бу пакет қабул қилувчи томонидан
тушунилмаганини билдиради.
Protocol – L2F пакетни олиб юрилувчи протоколни кўрсатади.
Агар протокол банди L2F_ILLEGAL ёки бошқа бирор номаълум қийматни кўрсатса, бу пакетни
зарарланганлигини кўрсатади.
L2F: инкапцуляланган пакетнинг formati
Sequence Number – ушбу банд кўрсатилади агар S битиги бир bo’lib ўрнатилган бўлса. Пакетни ҳар доим S
бити бирга ўрнатилган бўлиши шарт. Биринчи пакет учун Sequence Number қисми 0 га тенг бўлса, ундан
кейинги пакетлар учун санагич каби ортиб боради. Бунда санагич қиймати Mod256 бўйича олинади. Бу
майдон бир пакетни қайта юборишдан ҳимоялаш учун қўлланилади. Яъни, жорий пакет Seq Num ундан
олдинги пакет Seq Num ига тенг бўлиши ёки кичик бўлиши текширилади.
Packet Multiplex ID (MID) – тунеллашдаги хусусий уланишни кўрсатади. MID қиймати олдин тунелда
фойдаланилган ва ҳозирда ёпиқ бўлган ва ишлатилиши мумкин бўлишини англатади.
Client ID – демултиплексланган каналда энг четки нуқталарга ёрдам беради. Бошқа сўз билан айтганда
томонларни тунелда томонларни ажратиб туриш учун фойдаланилган ID.
Length – бутун пакетнинг узунлиги бўлиб, сарлавҳа ва маълумот бандини ўз ичига олади. Checksum бундан
мустасно.
Packet Checksum – сарлавҳа сатҳида С битида 1 ўрнатилган бўлса, ушбу банд кўрсатилади. Ушбу 16-бит
CRC қиймат PPP томонидан фойдаланилади. У сарлавҳа қисмининг биринчи битидан маълумот қисмини
охирги битига бўлган маълумотни ўз ичига олади.
Payload offset – сарлавҳадаги F битига 1 ўрнатилганда мавжуд бўлади ва L2F сарлавҳасидан кейин неча
байтдан кейин маълумот бошланишини англатади. Агар у 0 га тенг ёки F ўрнатилмаган бўлса,
маълумотнинг биринчи байти L2F нинг сарлавҳасидан кейин бошланишини билдиради.
Packet key – сарлавҳадаги K битига 1 ўрнатилганда мавжуд бўлади. Ушбу банд қиймати тунелни яратиш
давомида томонлардаги аутентификация жавобига боғлиқ бўлади ва сеанс давомида пакетни
қалбакилаштиришдан ҳимоялаш вазифасини бажаради.
18. FTPS protokolini tushuntiring. (Boburxon)
FTPS (File Transfer Protocol Secure) - bu Transport Layer Security (TLS) va Secure Sockets Layer (SSL) ni
qo'llab-quvvatlaydigan fayl uzatish protokolining kengaytmasi.
Keng ma'noda, FTPS - bu kompaniyalarga o'zlarining savdo hamkorlari, foydalanuvchilari va mijozlari bilan
xavfsiz muloqot qilish imkonini beruvchi xavfsiz fayl uzatish protokoli. O'tkazilgan fayllar FTPS orqali
almashinadi va mijoz sertifikatlari va server identifikatorlari kabi FTPS tomonidan qo'llab-quvvatlanadigan
ilovalar yordamida autentifikatsiya qilinadi.
FTPS ishlashi:
FTPS AES kabi algoritmlar yordamida fayl uzatish shifrlashni qo'llab-quvvatlaydi. Birgalikda FTPS tashqi
serverlarga ulanish va autentifikatsiyani tekshirish uchun turli xil xavfsizlik choralari va shifrlash strategiyalaridan
foydalanadi.
FTPS korxonalarga HIPAA, PCI DSS, SOX, 23 NYCRR 500 va boshqa davlat va tashkilot qoidalari kabi
kiberxavfsizlik qoidalariga rioya qilishga yordam beradi.
Aniqlash mumkin bo'lgan ma'lumotlarni shifrlash - bu ma'lumotlarni boshqarish va muvofiqlikni ta'minlashning
kaliti hisoblanadi. FTPS emitent nomlari, mavzu nomlari, ochiq kalit ma'lumotlari va imzolar kabi nozik
identifikatsiya qilinadigan ma'lumotlarni himoya qilib, server ulanishlarini himoyalash uchun TLS dan
foydalanadi.
Ijobiy tomonlari:
● SFTPdan farqli o'laroq, FTPS insonga aloqani tushunish va o'qish imkonini beradi
● Bu serverdan serverga fayl uzatishni amalga oshirishga ruxsat beradi
● SSL/TLS kuchli autentifikatsiya mexanizmi sifatida ishlaydigan X.509 sertifikat xususiyatlari bilan birga
keladi
Kamchiliklari:
FTPS ning eng tez-tez tilga olinadigan kamchiliklaridan biri yuqori darajada himoyalangan xavfsizlik devorlari
orqali ulanishning qiyinligidir. FTPS yashirin va aniq ulanish turlari uchun bir nechta port identifikatorlaridan
foydalanadi, buning natijasida har safar fayl uzatish yoki katalog ro'yxati so'rovi kiritilganda yangi portlarni ochish
zarurati tug'iladi. To'g'ri risklarni boshqarish strategiyalari ishlab chiqilmasa, port so'rovlarining ko'pligi tizimni
xavf ostiga qo'yishi mumkin.
FTPS asosiy FTP-ga qaraganda ancha xavfsizroq bo'lsa-da, boshqa xavfsiz fayl uzatish protokollari mavjud,
masalan, ochiq kalit autentifikatsiyasi bilan mashhur SFTP protokoli.
Tezligi:
SFTP dan biroz tezroq, chunki FTPS imkon qadar yuqori ma'lumotlarni uzatish tezligiga erishish uchun asinxron
ravishda ishlaydigan ikki xil ulanishdan foydalanadi.
Imkoniyat:
Seanslar davomida foydalanuvchi harakatini kuzatish kerak bo'lganda, chunki FTPS bularning barchasini qayd
qiladi.
Himoya:
Xavfsizlik bo'yicha SFTP va HTTPS bilan teng, chunki u foydalanuvchi nomlari, parollar va ma'lumotlar
mazmunini shifrlaydi.
19. Kalitlarni taqsimlash protokolini tushuntiring. (Iftixor)
20. PPP protokolini tushuntiring. (Iftixor)
|
