Axborot xavfsizligi
Vositachilik funksiyalarining bajarilishi
Yüklə 2,72 Mb. Pdf görüntüsü
|
| Vositachilik funksiyalarining bajarilishi.
Tarmoqlararo ekran vositachilik funksiyalarini ekranlovchi agentlar yoki vositachi dasturlar deb ataluvchi maxsus dasturlar yordamida bajaradi. Bu dasturlar rezident dasturlar hisoblanadi va tashqi va ichki tarmoq orasida xabarlar paketini bevosita uzatishni taqiqlaydi. Tashqi tarmoqdan ichki tarmoqning va aksincha foydalanish zaruriyati tug‘ilganda avval tarmoqlararo ekran kompyuterida ishlovchi vositachi-dastur bilan mantiqiy ulanish o‘rnatilishi lozim. Vositachi-dastur so‘ralgan tarmoqlararo aloqaning joizligini tekshiradi va ijobiy natijada o‘zi suralgan kompyuter bilan alohida ulanish o‘rnatadi. So‘ngra tashqi va ichki tarmoq kompyuterlari orasida axborot almashish, xabarlar oqimini filtrlashni hamda boshqa himoyalash funksiyalarini bajaruvchi dasturiy vositachi orqali amalga oshiriladi. 210 Ta’kidlash lozimki, tarmoqlararo ekran filtrlash funksiyasini vositachi-dastur ishtirokisiz amalga oshirib, tashqi va ichki tarmoq orasida o‘zaro aloqaning shaffofligini ta’minlashi mumkin. Shu bilan birga vositachi dasturlar xabarlar oqimini filtrlashni amalga oshirmasligi ham mumkin. Umuman, vositachi-dasturlar, xabarlar oqimini shaffof uzatilishini blokirovka qilgan holda, quyidagi funksiyalarni bajarishi mumkin: - uzatiluvchi va qabul qilinuvchi ma’lumotlarning haqiqiyligini tekshirish; - ichki tarmoq resurslaridan foydalanishni chegaralash; - tashqi tarmoq resurslaridan foydalanishni chegaralash; - tashqi tarmoqdan so‘raluvchi ma’lumotlarni kesh xotiraga saqlash; - xabarlar oqimini filtrlash va o‘zgartirish, masalan, viruslarni dinamik tarzda qidirish va axborotni shaffof shifrlash; - foydalanuvchilarni identifikasiyalash va autentifikatsiyalash; - ichki tarmoq adreslarini translyatsiyalash; - xodisalarni qaydlash, xodisalarga reaksiya ko‘rsatish, xamda qaydlangan axborotni taxlillash va hisobotlarni generatsiyalash. Uzatiluvchi va qabul qilinuvchi ma’lumotlarning haqiqiyligini tekshirish nafaqat elektron xabarlarni, balki soxtalashtirilishi mumkin bo‘lgan migrasiyalanuvchi dasturlarni (Java, ActiveXControls) autentifkasiyalash uchun dolzarb hisoblanadi. Xabar va dasturlarning haqiqiyligini tekshirish ularning raqamli imzosini tekshirishdan iboratdir. Ichki tarmoq resurslaridan foydalanishni chegaralash usullari operasion tizim sathida madadlanuvchi chegaralash usullaridan farq qilmaydi. Tashqi tarmoq resurslaridan foydalanishni chegarlash da ko‘pincha quyidagi yondashishlardan biri ishlatiladi: - faqat tashqi tarmoqdagi berilgan adres bo‘yicha foydalanishga ruxsat berish; - yangilanuvchi nojoiz adreslar ro‘yxati bo‘yicha surovlarni filtrlash va o‘rinsiz kalit so‘zlari bo‘yicha axborot resurslarini qidirishni blokirovka qilish: - ma’mur tomonidan tashqi tarmoqning qonuniy resurslarini brandmauerning 211 diskli xotirasida to‘plash va yangilash va tashqi tarmoqdan foydalanishni to‘la taqiqlash. Tashqi tarmoqdan so‘raluvchi ma’lumotlarni keshlash maxsus vositachilar yordamida madadlanadi. Ichki tarmoq foydalanuvchilari tashqi tarmoq resurslaridan foydalanganlarida barcha axborot, proxy-server deb ataluvchi brandmauer qattiq diski makonida to‘planadi. Shu sababli, agar navbatdagi so‘rovda kerakli axborot proxy-serverda bo‘lsa, vositachi uni tashqi tarmoqqa murojaatsiz taqdim etadi. Bu foydalanishni jiddiy tezlashtiradi. Ma’murga faqat proxy-server tarkibini vaqti-vaqti bilan yangilab turish vazifasi qoladi. Keshlash funksiyasi tashqi tarmoq resurslaridan foydalanishni chegaralashda muvaffaqiyatli ishlatilishi mumkin. Bu holda tashqi tarmoqning barcha qonuniy resurslari ma’mur tomonidan proxy-serverda to‘planadi va yangilanadi. Ichki tarmoq foydalanuvchilariga faqat proxy-serverning axborot resurslaridan foydalanishga ruxsat beriladi, tashqi tarmoq resurslaridan bevosita foydalanish esa man qilinadi. Xabarlar oqimini filtrlash va o‘zgartirish vositachi tomonidan qoidalarning berilgan to‘plami yordamida bajariladi. Bunda vositachi-dasturlarning ikki xili farqlanadi: - servis turini aniqlash uchun xabarlar oqimini taxlillashga mo‘ljallangan ekranlovchi agentlar, masalan, FTP, HTTP, Telnet; - barcha xabarlar oqimini ishlovchi universal ekranlovchi agentlar, masalan, kompyuter viruslarini qidirib zararsizlantirishga yoki ma’lumotlarni shaffof shifrlashga mo‘ljallangan agentlar. Dasturiy vositachi unga keluvchi ma’lumotlar paketini taxlillaydi va agar qandaydir ob’ekt berilgan mezonlarga mos kelmasa, vositachi uning keyingi siljishini blokirovka qiladi yoki mos o‘zgarishini, masalan, oshkor qilingan kompyuter viruslarni zararsizlantirishni bajaradi. Paketlar tarkibini taxlillashda ekranlovchi agentning o‘tuvchi faylli arxivlarni avtomatik tarzda ocha olishi muhim hisoblanadi. Foydalanuvchilarni identifikasiyalash va autentifikatsiyalash ba’zida oddiy 212 identifikatorni (ism) va parolni taqdim etish bilan amalga oshiriladi (8.3-rasm). Ammo bu sxema xavfsizlik nuqtai nazaridan zaif hisoblanadi, chunki parolni begona shaxs ushlab qolib ishlatishi mumkin. Internet tarmog‘idagi ko‘pgina mojarolar qisman an’anaviy ko‘p marta ishlatiluvchi parollarning zaifligidan kelib chiqqan. Autentifikatsiyalashning ishonchliroq usuli – bir marta ishlatiluvchi parollardan foydalanishdir. Bir martali parollarni generatsiyalashda apparat va dasturiy vositalardan foydalaniladi. Apparat vositalari kompyuterning slotiga o‘rnatiluvchi qurilma bo‘lib, uni ishga tushirish uchun foydalanuvchi qandaydir maxfiy axborotni bilishi zarur. Masalan, smart-karta yoki foydalanuvchi tokeni axborotni generatsiyalaydi va bu axborotni xost an’anaviy parol o‘rnida ishlatadi. Smart-karta yoki token xostning apparat va dasturiy ta’minoti bilan birga ishlashi sababli, generatsiyalanuvchi parol har bir seans uchun noyob bo‘ladi. Ishonchli organ, masalan kalitlarni taqsimlash markazi tomonidan beriluvchi raqamli sertifikatlarni ishlatish ham qulay va ishonchli. Ko‘pgina vositachi dasturlar shunday ishlab chiqiladiki, foydalanuvchi faqat tarmoqlararo ekran bilan ishlash seansining boshida autentifikatsiyalansin. Bundan keyin ma’mur belgilagan vaqt mobaynida undan qo‘shimcha autentifikatsiyalanish talab etilmaydi. Tarmoqlararo ekranlar tarmoqdan foydalanishni boshqarishni markazlashtirishlari mumkin. Demak, ular kuchaytirilgan autentifikatsiyalash dasturlari va qurilmalarini o‘rnatishga munosib joy hisoblanadi. Garchi kuchaytirilgan autentifikatsiya vositalari har bir xostda ishlatilishi mumkin bo‘lsada, ularning tarmoqlararo ekranlarda joylashtirish qulay. Kuchaytirilgan autentifikatsiyalash choralaridan foydalanuvchi tarmoqlararo ekranlar bo‘lmasa, Telnet yoki FTP kabi ilovalarning autentifikatsiyalanmagan trafigi tarmoqning ichki tizimlariga to‘g‘ridan-to‘g‘ri o‘tishi mumkin. Qator tarmoqlararo ekranlar autentifikatsiyalashning keng tarqalgan usullaridan biri – Kerberosni madadlaydi. Odatda, aksariyat tijorat tarmoqlararo ekranlar autentifikatsiyalashning turli sxemalarini madadlaydi. Bu esa tarmoq xavfsizligi ma’muriga o‘zining sharoitiga qarab eng maqbul sxemani tanlash 213 imkonini beradi. Ichki tarmoq adreslarini translyatsiyalash. Ko‘pgina xujumlarni amalga oshirishda niyati buzuq odamga qurbonining adresini bilish kerak bo‘ladi. Bu adreslarni hamda butun tarmoq topologiyasini bekitish uchun tarmoqlararo ekranlar eng muhim vazifani – ichki tarmoq adreslarini translyatsiyalashni bajaradi (8.4-rasm). Bu funksiya ichki tarmoqdan tashqi tarmoqqa uzatiluvchi barcha paketlarga nisbatan bajariladi. Bunday paketlar uchun jo‘natuvchi kompyuterlarning IP- adreslari bitta "ishonchli" IP adresga avtomatik tarzda o‘zgartiriladi. Ichki tarmoq adreslarini translyatsiyalash ikkita usul-dinamik va statik usullarda amalga oshirilishi mumkin. Dinamik usulda adres uzelga tarmoqlararo ekranga murojaat onida ajratiladi. Ulanish tugallanganidan so‘ng adres bo‘shaydi Yüklə 2,72 Mb. Dostları ilə paylaş:
|