|
1–amaliy ishi bajardi: nasimov o qabul qildi: pardayev o. Ch
|
| Sana | 14.04.2024 | | Hajmi | 30.36 Kb. | | #195486 |
Bog'liq 1-AMALIY YUZI mus ish, Мустакил иш 1, 1-Dasturlash fanidan Izzatillo G\'aniyevning Mustaqil ishi, Statistika nazariyasi (Yo.Abdullayev), Tizimli blok, Разностная аппроксимация начально, Портовые служащие, BAZA MB, Grammarway1 Jenny Dooley & Virginia Evans 2004, 2023 ким тех рус, 2-AMALIY YUZI, 3-AMALIY MASHG\'ULOT BASHARASI
O’ZBEKISTON RESPUBLIKASI AXBOROT TEXNOLOGIYALARI VA
KOMMUNIKATSIYALARINI RIVOJLANTIRISH
VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT
TEXNOLOGIYALARI UNIVERSITETI
QARSHI FILIALI
KOMPYUTER INJINIRINGI FAKULTETI
KI-17-21 (S) GURUH TALABASINING
TARMOQ XAVFSIZLIGI
FANIDAN
1–AMALIY ISHI
Bajardi: NASIMOV O
Qabul qildi: PARDAYEV O.CH
Reja:
1 .Simsiz tarmoqlar xavfsizligi protokollari.
2.Tarmoq identifikatsiyasi va autifikatsiyasi protokollari.
3.Simsiz tarmoqdan foydalanuvchilarga bo’ladigan hujumlar.
4 .SSL protokolidan autentifikatsiyalash jarayonlari.
5.IPSEC protokolida autifikatsiyalash usullarini tahlili.
6.Kerberos protokoli. Kerberos protokoli ishtirokchilari
Kompyuter tizimida ro’yxatga olingan har bir sub’ekt (foydalanuvchi yoki foydalanuvchi nomidan harakatlanuvchi jarayon) bilan uni bir ma’noda indentifikatsiyalovchi axborot bog’liq. Bu ushbu sub’ektga nom beruvchi son yoki simvollar satri bo’lishi mumkin. Bu axborot sub’ekt indentifikatori deb yuritiladi. Agar foydalanuvchi tarmoqda ro’yxatga olingan indentifikatorga ega bo’lsa u legal (qonuniy), aks holda legal bo’lmagan (noqonuniy) foydalanuvchi hisoblanadi. Kompyuter resurslaridan foydalanishdan avval foydalanuvchi kompyuter tizimining identifikatsiya va autentifikatsiya jarayonidan o’tishi lozim. Identifikatsiya (Identification) - foydalanuvchini uning identifikatori (nomi) bo’yicha aniqlash jarayoni. Bu foydalanuvchi tarmoqdan foydalanishga uringanida birinchi galda bajariladigan funktsiyadir. Foydalanuvchi tizimga uning so’rovi bo’yicha o’zining identifikatorini bildiradi, tizim esa o’zining ma’lumotlar bazasida uning borligini tekshiradi. Autentifikatsiya (Authentication) - ma’lum qilingan foydalanuvchi, jarayon yoki qurilmaning haqiqiy ekanligini tekshirish muolajasi. Bu tekshirish foydalanuvchi (jarayon yoki qurilma) haqiqatan aynan o’zi ekanligiga ishonch xosil qilishiga imkon beradi. Autentifikatsiya o’tqazishda tekshiruvchi taraf tekshiriluvchi tarafning xaqiqiy ekanligiga ishonch hosil qilishi bilan bir qatorda tekshiriluvchi taraf ham axborot almashinuv jarayonida faol qatnashadi. Odatda foydalanuvchi tizimga o’z xususidagi noyob, boshqalarga ma’lum bo’lmagan axborotni (masalan, parol yoki sertifikat) kiritishi orqali identifikatsiyani tasdiqlaydi. Identifikatsiya va autentifikatsiya sub’ektlarning (foydalanuvchilarning) haqiqiy ekanligini aniqlash va tekshirishning o’zaro bog’langan jarayonidir. Muayyan foydalanuvchi yoki jarayonning tizim resurslaridan foydalanishiga tizimning ruxsati aynan shularga bog’liq. Sub’ektni identifikatsiyalash va autentifikatsiyalashdan so’ng uni avtorizatsiyalash boshlanadi. Avtorizatsiya (Authorization) - subektga tizimda ma’lum vakolat va resurslarni berish muolajasi, ya’ni avtorizatsiya sub’ekt harakati doirasini va u foydalanadigan resurslarni belgilaydi. Agar tizim avtorizatsiyalangan shaxsni avtorizatsiyalanmagan shaxsdan ishonchli ajrata olmasa bu tizimda axborotning konfidentsialligi va yaxlitligi buzilishi mumkin. Autentifikatsiya va avtorizatsiya muolajalari bilan foydalanuvchi harakatini ma’murlash muolajasi uzviy bog’langan. Ma’murlash (Accounting) - foydalanuvchining tarmoqdagi harakatini, shu jumladan, uning resurslardan foydalanishga urinishini qayd etish. Ushbu hisobot axboroti xavfsizlik nuqtai nazaridan tarmoqdagi xavfsizlik xodisalarini oshkor qilish, taxlillash va ularga mos reaktsiya ko’rsatish uchun juda muhimdir. Autentifikatsiya protokollarini taqqoslashda va tanlashda quyidagi xarakteristikalarni hisobga olish zarur: o’zaro autentifikatsiyaning mavjudligi. Ushbu xususiyat autentifikatsion almashinuv taraflari o’rtasida ikkiyoqlama autentifikatsiyaning zarurligini aks ettiradi; hisoblash samaradorligi. Protokolni bajarishda zarur bo’lgan amallar soni; kommunikatsion samaradorlik. Ushbu xususiyat autentifikatsiyani bajarish uchun zarur bo’lgan xabar soni va uzunligini aks ettiradi; uchinchi tarafning mavjudligi. Uchinchi tarafga misol tariqasida simmetrik kalitlarni taqsimlovchi ishonchli serverni yoki ochiq kalitlarni taqsimlash uchun sertifikatlar daraxtini amalga oshiruvchi serverni ko’rsatish mumkin; xavfsizlik kafolati asosi. Misol sifatida nullik bilim bilan isbotlash xususiyatiga ega bo’lgan protokollarni ko’rsatish mumkin; sirni saqlash. Jiddiy kalitli axborotni saqlash usuli ko’zda tutiladi
Autentifikatsiya va avtorizatsiya.Ikkala atamalar ham xavfsizlik va tizimga kirish vaqtida bir-biri bilan hamohang ishlatiladi. Ikkala atama ham Internet bilan xizmat ko’rsatish infratuzilmasining asosiy bo’laklari sifatida bog’langan juda muhim mavzular. Biroq, bu ikkita atama mutlaqo boshqacha tushunchalar bilan bir-biridan farq qiladi. Endi ushbu atamalar nima ekanligini tushunishga harakat qilib ko’raylik. Bu ikki atama autentifikatsiya va avtorizatsiya deb nomlanadi. Autentifikatsiya sizning shaxsingizni tasdiqlashni anglatadi, avtorizatsiya tizimga kirish huquqini anglatadi. Oddiyroq qilib aytganda, autentifikatsiya - bu o’zini tekshirish jarayoni, avtorizatsiya - bu kirish huquqini tekshirish jarayoni. Identification (Identifikatsiya). Dastlab ikki atamani tushunishdan oldin yana bir muhim atamalardan biri bo’lgan atama Identifikatsiya nima ekanligini bilib olish lozim. Buni oddiy tarzda tushuntirishga harakat qilaman. Ko’pgina veb-saytlarga kirganingizda, foydalanuvchi nomini kiritasiz (login). Agarda siz yangi hisob qaydnomasi (profile) yaratmoqchi bo’lsangiz, sizdan identifikatsiyalash uchun foydalanuvchi nomini tanlashingiz so’raladi. Kirish paytida siz kiritadigan foydalanuvchi nomi bu "Identifikatsiya" dir. Bu shunchaki sizning shaxsingizni tasdiqlash usulidir. Yana ham oddiyroq aytadigan bo’lsak siz kiritadigan foydalanuvchi nomi bu barcha ilovalar yoki veb saytlarda so’raladigan login, e-mail yoki telefon raqamini tushunish mumkin. Autentifikatsiya (Authentication) Autentifikatsiya bu sizning foydalanuvchi identifikatoringizni tekshirish uchun foydalanuvchi nomi / foydalanuvchi identifikatori va parol kabi ma’lumotlarini tekshirish bilan bog’liq jarayonni o’z ichiga oladi. Shundan so’ng tizim sizning ma’lumotingizdan foydalanayotganligingiz yoki yo’qligingizni tekshiradi. Global yoki lokal tarmoqlarda bo’lsin, tizim login parollar orqali foydalanuvchi identifikatorini tasdiqlaydi. Odatda autentifikatsiya qilish foydalanuvchi nomi va parol orqali amalga oshiriladi, garchi autentifikatsiya qilishning boshqa usullari bo’lsa ham. Oddiyroq aytadigan bo’lsak, Siz login va parolingiz orqali tizimga kirishga urunishingiz bu autentifikatsiya deyiladi.
Autentifikatsiya qilish omillari tizim har kimga biron bir narsaga kirish huquqini berishdan oldin shaxsini tasdiqlash uchun foydalanadigan ko’plab turli elementlarni aniqlaydi. Shaxsning identifikatori shaxs nimani bilishi mumkinligini aniqlaishi mumkin va xavfsizlik to’g’risida gap ketganda, tizimda kimgadir ruxsat berish uchun kamida ikkita yoki uchta autentifikatsiya qilish omillarini tekshirish kerak. Xavfsizlik darajasiga qarab, autentifikatsiya qilish omillari quyidagilarda bir biridan farq qilishi mumkin. Single-Factor Authentication (Bir faktorli autentifikatsiya): Bu autentifikatsiya jarayonining eng oddiy shakli bo’lib, foydalanuvchiga veb-sayt yoki tarmoqda muayyan tizimga kirish huquqini berish uchun parolni talab qiladi. Shaxs identifikatorini tekshirish uchun faqat bitta ma’lumotlardan foydalanib tizimga kirishni amalga oshirishi mumkin. Masalan, foydalanuvchi nomiga tegishli parolnigina talab qilish orqali faqat bitta faktorli autentifikatsiya yordamida login ma’lumotlarini tekshirishi mumkin. Two-Factor Authentication: Ushbu autentifikatsiya ikki bosqichli tekshirish jarayonini talab qiladi, bu nafaqat foydalanuvchi nomi va parolni, balki faqat foydalanuvchi biladigan ma’lumotni ham talab qiladi. Foydalanuvchi nomi va parolni maxfiy ma’lumotlar bilan birgalikda ishlatish xakerlarga muhim va shaxsiy ma’lumotlarni o’g’irlashni ancha qiyinlashtiradi. Multi-Factor Authentication (ko’p faktorli autentifikatsiya): Bu autentifikatsiyaning eng ilg’or usuli bo’lib, foydalanuvchilarga tizimga kirish huquqini berish uchun mustaqil autentifikatsiya kategoriyalaridan ikki yoki undan ko’p darajadagi xavfsizlikni talab qiladi. Autentifikatsiya qilishning ushbu shakli har qanday ma’lumotlarga ta’sir qilishni bartaraf etish uchun bir-biridan mustaqil bo’lgan omillardan foydalanadi. Moliyaviy tashkilotlar, banklar va huquqni muhofaza qilish idoralarida ko’p faktorli autentifikatsiyadan foydalanish odatiy holdir. Authorization (Avtorizatsiya) Avtorizatsiya sizning shaxsingiz tizim tomonidan muvaffaqiyatli tasdiqlanganidan so’ng amalga oshiriladi. Shuning uchun sizga ma’lumot, fayllar, ma’lumotlar bazalari, fondlar va boshqa manbalarga to’liq kirish huquqini beradi. Ammo avtorizatsiya sizning kirish huquqingizni aniqlagandan keyingina manbalarga kirish huquqini tasdiqlaydi. Boshqacha qilib aytganda, avtorizatsiya - bu autentifikatsiya qilingan foydalanuvchining muayyan manbalardan foydalana olishini aniqlatuvchi jarayon hisoblanadi. Autentifikatsiya orqali xodimning identifikatori va parollarini tekshirilib, tasdiqlanganidan so’ng, keyingi qadam qaysi xodimning qaysi qavatga kirish huquqiga ega ekanligi va bu avtorizatsiya orqali nimalarni amalga oshirilishini aniqlash imkonini beradi. Tizimga kirish autentifikatsiya va avtorizatsiya bilan himoyalangan va ular ko’pincha bir-biri bilan birgalikda ishlatiladi. Garchi ikkalasi ham bundan keyin turli xil tushunchalarga ega bo’lishsa-da, ular veb-servis infratuzilmasi uchun, ayniqsa tizimga kirish huquqi haqida gap ketganda juda muhimdir. Har bir atamani tushunish juda muhim va xavfsizlikning muhim jihati hisoblanadi. Ma’lumotlarni uzatish kanallarini himoyalashda sub’ektlarning o’zaro autentifikatsiyasi, ya’ni aloqa kanallari orqali bog’lanadigan sub’ektlar xaqiqiyligining o’zaro tasdig’i bajarilishi shart. Xaqiqiylikning tasdig’i odatda seans boshida, abonentlarning bir-biriga ulanish jarayonida amalga oshiriladi. “Ulash” atamasi orqali tarmoqning ikkita sub’ekti o’rtasida mantiqiy bog’lanish tushuniladi. Ushbu muolajaning maqsadi - ulash qonuniy sub’ekt bilan amalga oshirilganligiga va barcha axborot mo’ljallangan manzilga borishligiga ishonchni ta’minlashdir. O’zining xaqiqiyligining tasdiqlash uchun sub’ekt tizimga turli asoslarni ko’rsatishi mumkin. Sub’ekt ko’rsatadigan asoslarga bog’liq holda autentifikatsiya jarayonlari quyidagi kategoriyalarga bo’linishi mumkin: biror narsani bilish asosida. Misol sifatida parol, shaxsiy identifikatsiya kodi PIN (Personal Identification Number) hamda “so’rov javob” xilidagi protokollarda namoyish etiluvchi maxfiy va ochiq kalitlarni ko’rsatish mumkin; biror narsaga egaligi asosida. Odatda bular magnit kartalar, smart-kartalar, sertifikatlar va touch memory qurilmalari; qandaydir daxlsiz xarakteristikalar asosida. Ushbu kategoriya o’z tarkibiga foydalanuvchining biometrik xarakteristikalariga (ovozlar, ko’zining rangdor pardasi va to’r pardasi, barmoq izlari, kaft geometriyasi va x.) asoslangan usullarni oladi. Bu kategoriyada kriptografik usullar va vositalar ishlatilmaydi. Beometrik xarakteristikalar binodan yoki qandaydir texnikadan foydalanishni nazoratlashda ishlatiladi. Parol - foydalanuvchi hamda uning axborot almashinuvidagi sherigi biladigan narsa. O’zaro autentifikatsiya uchun foydalanuvchi va uning sherigi o’rtasida parol almashinishi mumkin. Plastik karta va smart-karta egasini autentifikatsiyasida shaxsiy identifikatsiya nomeri PIN sinalgan usul hisoblanadi. PIN - kodning mahfiy qiymati faqat karta egasiga ma’lum bo’lishi shart. Dinamik - (bir martalik) parol - bir marta ishlatilganidan so’ng boshqa umuman ishlatilmaydigan parol. Amalda odatda doimiy parolga yoki tayanch iboroga asoslanuvchi muntazam o’zgarib turuvchi qiymat ishlatiladi. ASOSIY QISM 2.1 Tarmoq identifikatsiyasi protokollari. Identifikatsiyalashning yagona tizimi - har xil hukumat agentliklariga va fuqarolik vebsaytlariga kirish imkoniyatini beradigan yagona akkount bilan taʼminlaydi. Foydalanuvchilar turli xil veb saytlar uchun turli xil akkountlar yaratishiga toʻgri kelmaydi va ular oʻzlarining elektron raqamli imzo orqali YIT ga javobgar idoralarga tashrif buyurmasdan roʻyhatga kirishlari mumkin. Foydalanuvchi YIT ga kirgandan soʻng, u YITga bogʻlangan veb saytlarga qaytadan kirishiga oʻrin qolmaydi. Foydalanuvchining bir akkaunti bilan barcha davlat e-hukumat tizimlariga E-hukumat tizimlari bilan Yagona Identifikatsiya Tizimi integratsiya boʻlgani sababli, barcha tegishli resurslarga kirish uchun bir akkaunt bilan foydalanish imkonini beradi. Yagona Identifikatsiya Tizimi akkaunti yordamida barcha xizmatlar bilan foydalanishingiz mumkin. Xavfsizlik va asillik Foydalanuvchi Yagona Identifikatsiya Tizimida shaxsiy maʼlumotlari haqiqiyligini tasdiqlash uchun Elektron Raqamli Imzo taqdim etishi kerak. Bu esa internetdagi foydalanuvchining haqiqiy odamligini taʼminlaydi. Bu eng ilgʻor onlayn davlat hizmatlarini taqdim etishni taminlaydi. Bundan tashqari, jismoniy va yuridik shaxslar markaziy bazasi bilan integratsiya orqali, barcha shaxsiy maʼlumotlarni toʻldirish uchun hech qanday ehtiyoj yoʻq - sana axborot avtomatik ravishda oʻz vaqtida yuklanadi va yangilanadi (Masalan, ism yoki yashash manzili oʻzgarishi) Boshqa saytlar bilan integratsiya Agar siz veb-sayt egasi boʻlsangiz va foydalanuchni identifikatsiya qilmoqchi boʻlsangiz, har qanday xizmatlar (bank xizmatlari, elektron tijorat va boshqalar) bilan taʼminlash uchun - Yagona Identifikatsiya Tizimi qonuniy va qulay yoʻl. Yagona Identifikatsiya Tizimi qonun bilan belgilanadi. Vazirlar Mahkamasi tomonidan 17 dekabr 2015 yil 365 sonli tasdiqlangan foydalanuvchilarni aniqlash Yagona Identifikatsiya Tizimi elektron hukumat haqidagi nizomga muvofiq, Yagona Identifikatsiya Tizimi tomonidan koʻrsatilgan maʼlumotlar haqiqiy deb qabul qilish lozim. Yuridik shaxslarni identifikatsiya qilish Agar siz tashkilot (kompaniya) rahbari boʻlib jismoniy shaxs sifatida roʻyxatdan oʻtgan boʻlsangiz, oʻz kabinetingizda tashkilot qoʻshishingiz mumkin. Buning uchun, siz Yagona Identifikatsiya Tizimi shaxsiy kabinetingizda, Hozirgi vaqtda bizni identifikatsiya qilish atamasi nimani anglatishini tahlil qilishdan oldin, uning etimologik kelib chiqishi nima ekanligini aniqlaylik. Xususan, biz uni o’rganayotganda uning Lotin va aniqrog’i ikki zarra yig’indisidan kelib chiqqanligini aniqlaymiz: ot identifikatorlar, "shaxs" va fe’l bilan sinonim tomoni, bu "qilish" deb tarjima qilinishi mumkin. ID hisoblanadi aniqlash yoki aniqlashning harakati va ta’siri (agar bo’lsa, tan oling shaxs yoki bitta narsa qidirilayotgan narsadir, ikki yoki undan ko’p narsani bitta deb hisoblang, boshqa odam kabi bir xil e’tiqod va maqsadlarga ega bo’ling, tan olinishi uchun zarur ma’lumotlarni taqdim eting). Identifikatsiya bilan bog’liq kimligi qaysi sub’ekt yoki jamoaning xususiyatlarining to’plami. Bu xislatlar shaxsni yoki guruhni boshqalar oldida xarakterlaydi. Identifikatsiya, boshqa tomondan, xabardorlik a inson bo’lish O’ziga nisbatan hurmat bor. Uchun psixologiya, identifikatsiya bu mavzuning o’zi haqidagi izchil surati, ko’nikmalar, e’tiqodlar va boshqalar tomonidan shakllangan. Ushbu rasm hayot davomida qurilgan, garchi bu jarayon o’smirlik davrida ayniqsa faol bo’lsa. U psixoanaliz U identifikatsiya qilish boshqa shaxsning xususiyatini yoki xususiyatini o’zlashtirishga bog’liqligini qo’shimcha qiladi. Mavzuning turli xil belgilari uning shaxsiyatini shakllantiradi. U rasmiy hujjat yoki shaxsni tasdiqlovchi ma’lumot identifikatsiya deb ham nomlanadi. - dedi hujjat bo’lishi mumkin ID (Milliy guvohnoma), a Shaxsini tasdiqlovchi hujjat yoki a ro’yxatdan o’tkazish, vaziyatga qarab. Masalan: "Agar siz o’zingizning shaxsingizni tasdiqlovchi hujjatingizni ko’rsatsangiz, men uni berolmayman", "Janob, protsedurani yakunlash uchun sizning shaxsingizni tasdiqlovchi guvohnoma kerak". Ish joyida shuni ta’kidlash kerakki, bir nechta ish joylari va tashkilotlar mavjud bo’lib, ular o’z xodimlariga har doim karta yoki karta sifatida identifikatsiyani olib turishni tanlaydilar. Bu bilan ular nafaqat mijozlar va boshqa hamkasblar tomonidan tan olinishi, balki xavfsizlik yoki shaxsiy hayot bilan cheklangan hududlarga kirish imkoniga ega. Shunday qilib, masalan, bunday identifikatsiyani talab qiladigan kasblar orasida politsiya xodimlari, shifokorlar yoki tadqiqotchilar bor. Xuddi shu tarzda, ish muhitida biz uchun tegishli bo’lgan so’zni ishlatadigan yana bir muhim atama borligini ta’kidlashimiz kerak. Biz yagona Mehnatni aniqlash kodeksiga murojaat qilmoqdamiz. Ushbu sektorga mas’ul bo’lgan davlat idoralari pensiya va pensiya tizimining bir qismi bo’lgan har bir ishchini aniqlash uchun ushbu kodni yaratishni amalga oshiradilar. Xususan, biz ushbu raqam sizning shaxsingizni tasdiqlovchi hujjat raqamlaridan, prefiksdan va verifikator turidagi boshqa raqamdan iboratligini aniqlashimiz mumkin. Umuman olganda, politsiya kabi xavfsizlik kuchlari jamoat joylarida odamlarni aniqlashni talab qilish huquqiga ega. 2.2 Tarmoq autentifikatsiyasi protokollari Autentifikatsiya protokoli bu kompyuterning bir turi aloqa protokoli yoki kriptografik protokol o’tkazish uchun maxsus mo’ljallangan autentifikatsiya ikki shaxs o’rtasidagi ma’lumotlar. Bu qabul qiluvchi sub’ektga ulanuvchi ob’ektni (masalan, Serverga ulanadigan mijoz) autentifikatsiya qilish, shuningdek autentifikatsiya qilish uchun zarur bo’lgan ma’lumot turini va sintaksisini e’lon qilish orqali o’zini bog’laydigan ob’ektga (Serverni mijozga) tasdiqlash imkoniyatini beradi. Bu kompyuter tarmoqlarida xavfsiz aloqa uchun zarur bo’lgan eng muhim himoya qatlami. Tarmoq orqali ishonchli ma’lumotlarning ko’payib borishi bilan ruxsatsiz shaxslarni ushbu ma’lumotlarga kirish huquqini saqlab qolish zarurati paydo bo’ldi. Birovning shaxsini o’g’irlash hisoblash dunyosida oson kechadi - ma’lumotni so’ragan shaxs / kompyuter haqiqatan ham u o’zi kimligini aniqlash uchun maxsus tekshirish usullarini ixtiro qilish kerak edi. Autentifikatsiya protokolining vazifasi autentifikatsiyani amalga oshirish uchun zarur bo’lgan bosqichlarni aniq belgilashdir. U asosiy protokol printsiplariga muvofiq bo’lishi kerak: 1. Protokolga ikki yoki undan ortiq tomonlar jalb qilinishi kerak va protokolda qatnashgan har bir kishi protokolni oldindan bilishi shart. 2. Barcha kiritilgan partiyalar protokolga rioya qilishlari kerak. 3. Protokol aniq bo’lishi kerak - har bir qadam aniq belgilanishi kerak. 4. Protokol to’liq bo’lishi kerak - har qanday vaziyat uchun belgilangan harakatni o’z ichiga olishi kerak. Oddiy autentifikatsiya protokoli yordamida parolga asoslangan autentifikatsiyani tasvirlash: Elis (tasdiqlanmoqchi bo’lgan tashkilot) va Bob (Elisning shaxsini tasdiqlovchi tashkilot) ikkalasi ham foydalanishga kelishib olgan protokoldan xabardor. Bobda Elisning paroli taqqoslash uchun ma’lumotlar bazasida saqlangan. 1. Elis Bobga parolini protokol qoidalariga muvofiq paketda yuboradi. 2. Bob olingan parolni ma’lumotlar bazasida saqlangan parol bilan tekshiradi. Keyin u natijaga asoslanib "Autentifikatsiya muvaffaqiyatli" yoki "Autentifikatsiya amalga oshmadi" degan paketni yuboradi. Bu kabi ko’plab tahdidlarga qarshi juda sodda autentifikatsiya protokolining misoli tinglash, takroriy hujum, o’rtada odam hujumlar, lug’at hujumlari yoki qo’pol hujumlar. Ko’pgina autentifikatsiya protokollari ushbu hujumlarga qarshi turish uchun yanada murakkabroq. PPP uchun ishlab chiqilgan autentifikatsiya protokollari Nuqtadan nuqtaga protocol. Protokollar asosan tomonidan ishlatiladi Nuqtadan nuqtaga protokol (PPP) serverlari server ma’lumotlariga kirish huquqini berishdan oldin masofaviy mijozlarning shaxsini tasdiqlash uchun. Ularning aksariyati autentifikatsiya qilishning asosi sifatida paroldan foydalanadi. Ko’pgina hollarda, parolni aloqa qiluvchi sub’ektlar o’rtasida oldindan bo’lishish kerak. EAP - kengaytirilgan autentifikatsiya protokoli EAP dastlab PPP (Point-to-Point Protocol) uchun ishlab chiqilgan, ammo bugungi kunda keng qo’llanilmoqda IEEE 802.3, IEEE 802.11(WiFi) yoki IEEE 802.16 ning bir qismi sifatida IEEE 802.1x autentifikatsiya doirasi. Eng so’nggi versiyasi standartlashtirilgan RFC 5247. EAP-ning afzalligi shundaki, u faqat mijozserver autentifikatsiyasi uchun umumiy autentifikatsiya doirasidir - autentifikatsiyaning o’ziga xos usuli uning EAP-metodlari deb nomlangan ko’plab versiyalarida aniqlanadi. 40 dan ortiq EAP usullari mavjud, eng keng tarqalgan: EAP-MD5 EAP-TLS EAP-TTLS EAP-FAST
AAA arxitektura protokollari (autentifikatsiya, avtorizatsiya, hisobga olish) Foydalanuvchini tekshirish (Autentifikatsiya), server ma’lumotlariga kirishni boshqarish (Avtorizatsiya) va tarmoq resurslari hamda xizmatlar uchun hisob-kitob qilish uchun zarur bo’lgan ma’lumotlarni nazorat qilish uchun (Buxgalteriya hisobi) katta tarmoqlarda ishlatiladigan murakkab protokollar. Hech qanday shifrlashsiz IP-ga asoslangan autentifikatsiyadan foydalanadigan eng qadimgi AAA protokoli (foydalanuvchi nomlari va parollar oddiy matn sifatida ko’chirilgan). Keyinchalik XTACACS (kengaytirilgan TACACS) versiyasi avtorizatsiya va buxgalteriya hisobini qo’shdi. Ushbu ikkala protokol keyinchalik TACACS + bilan almashtirildi. TACACS + AAA komponentlarini ajratib turadi, shuning uchun ularni ajratish va alohida serverlarda ishlash mumkin (Hatto boshqa protokoldan foydalanishi mumkin, masalan, Avtorizatsiya). U foydalanadi TCP (Transmission Control Protocol) tashish uchun va butun paketni shifrlaydi. TACACS + Cisco-ga tegishli. Masofaviy autentifikatsiyani terish uchun foydalanuvchi xizmati (RADIUS) to’liq AAA protokoli tomonidan odatda ishlatiladi Internet-provayder. Hisobga olish ma’lumotlari asosan foydalanuvchi nomi va parol birikmasidan iborat bo’lib, u foydalanadi NAS va UDP transport uchun protokol. Diametri (protokol) RADIUS-dan rivojlanib, yanada ishonchli TCP yoki SCTP transport protokollaridan foydalanish va yuqori darajadagi xavfsizlik tufayli ko’plab yaxshilanishlarni o’z ichiga oladi. TLS. 2.3 Parollar asosida autentifikatsiyalash Autentifikatsiyaning keng tarqalgan sxemalaridan biri oddiy autentifikatsiyalash bo’lib, u an’anaviy ko’p martali parollarni ishlatishi-ga asoslangan. Tarmoqdagi foydalanuvchini oddiy autentifikatsiyalash muolajasini quyidagicha tasavvur etish mumkin. Tarmoqdan foydalanishga uringan foydalanuvchi kompyuter klaviaturasida o’zining identifikatori va parolini teradi. Bu ma’lumotlar autentifikatsiya serveriga ishlanish uchun tushadi. Autentifikatsiya serverida saqlanayotgan foydalanuvchi identifikatori bo’yicha ma’lumotlar bazasidan mos yozuv topiladi, undan parolni topib foydalanuvchi kiritgan parol bilan taqqoslanadi. Agar ular mos kelsa, autentifikatsiya muvaffaqiyatli o’tgan hisoblanadi va foydalanuvchi legal (qonuniy) maqomini va avtorizatsiya tizimi orqali uning maqomi uchun aniqlangan xuquqlarni va tarmoq resurslaridan foydalanishga ruxsatni oladi. Eng keng tarqalgan usul - foydalanuvchilar parolini tizimli fayllarda, ochiq holda saqlash usulidir. Bunda fayllarga o’qish va yozishdan himoyalash atributlari o’rnatiladi (masalan, operatsion tizimdan foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni parollar faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama funktsiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning kamchiligi - niyati buzuq odamning tizimda ma’mur imtiyozlaridan, shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir. Bunda fayllarga o’qish va yozishdan himoyalash atributlari o’rnatiladi (masalan, operatsion tizimdan foydalanishni nazoratlash ruyxatidagi mos imtiyozlarni tavsiflash yordamida). Tizim foydalanuvchi kiritgan parolni parollar faylida saqlanayotgan yozuv bilan solishtiradi. Bu usulda shifrlash yoki bir tomonlama funktsiyalar kabi kriptografik mexanizmlar ishlatilmaydi. Ushbu usulning kamchiligi - niyati buzuq odamning tizimda ma’mur imtiyozlaridan, shu bilan birga tizim fayllaridan, jumladan parol fayllaridan foydalanish imkoniyatidir. Xavfsizlik nuqtai nazaridan parollarni bir tomonlama funktsiyalardan foydalanib uzatish va saqlash qulay hisoblanadi. Bu holda foydalanuvchi parolning ochiq shakli urniga uning bir tomonlama funktsiya h(.) dan foydalanib olingan tasvirini yuborishi shart. Bu o’zgartirish g’anim tomonidan parolni uning tasviri orqali oshkor qila olmaganligini kafolatlaydi, chunki g’anim yechilmaydigan sonli masalaga duch keladi. Ko’p martali parollarga asoslangan oddiy autentifikatsiyalash tizi-mining bardoshligi past, chunki ularda autentifikatsiyalovchi axborot ma’noli so’zlarning nisbatan katta bo’lmagan to’plamidan jamlanadi. Ko’p martali parollarning ta’sir muddati tashkilotning xavfsizligi siyosatida belgilanishi va bunday parollarni muntazam ravishda almashtirib turish lozim. Parollarni shunday tanlash lozimki, ular lug’atda bo’lmasin va ularni topish qiyin bo’lsin. Bir martali parollarga asoslangan autentifikatsiyalashda foydalanishga har bir so’rov uchun turli parollar ishlatiladi. Bir martali dinamik parol faqat tizimdan bir marta foydalanishga yaroqli. Agar, hatto kimdir uni ushlab qolsa ham parol foyda bermaydi. Odatda bir martali parollarga asoslangan autentfikatsiyalash tizimi masofadagi foydalanuvchilarni tekshirishda qo’llaniladi. Bir martali parollarni generatsiyalash apparat yoki dasturiy usul oqali amalga oshirilishi mumkin. Bir martali parollar asosidagi foydalanishning apparat vositalari tashqaridan to’lov plastik kartochkalariga o’xshash mikroprotsessor o’rnatilgan miniatyur qurilmalar ko’rinishda amalga oshiradi. Odatda kalitlar deb ataluvchi bunday kartalar klaviaturaga va katta bo’lmagan displey darchasiga ega.
Foydalanilgan adabiyotlar
1. S.K.G’aniev, M.M. Karimov, K.A. Toshev «Axborot xavfsizligi. Axborot - kommunikatsion tizimlari xavfsizligi», «Aloqachi» 2008 yil 2. Анин Б. "О шифровании и дешифровании”. Конфидент, 1997. 3. Гайкович В. "Компютерная безопасност", Банковская технология, 1997. 4. Балакирский Б.В. "Безопасност электронного платежа", Конидент, 1996.
|
| |
