Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi
Yüklə 7,38 Mb. Pdf görüntüsü
|
- Bu səhifədəki naviqasiya:
- Nazorat savollari
- 11-LABORATORIYA ISHI DHCP SNOOPING – XAVFSIZLIK TEXNOLOGIYASI Ishdan maqsad
| Topshiriq
10.6-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing; Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering; AAA serverda autentifikatsiyalash protokolini sozlang; Qurilgan topologiyani testlab ko’ring. 10.6-rasm. Tarmoq topologiyasi 140 Nazorat savollari 1. Autentifikatsiyalash tushunchasiga ta’rif bering? 2. Avtotizatsiyalash tushunchasiga ta’rif bering? 3. Identifikatsiyalash tushunchasiga ta’rif bering? 4. TACACS va RADIUS protokollarini taqqoslang? 5. Hisobga olish (Accounting) deganda nimani tushunasiz? 6. RADIUS xabarlarini uzatish uchun qaysi protokol ishlatiladi? 7. UDP protokolining ishlash tamoyilini tushuntiring 11-LABORATORIYA ISHI DHCP SNOOPING – XAVFSIZLIK TEXNOLOGIYASI Ishdan maqsad: DHCP Snooping xavfsizlik texnologiyalarini sozlash boʻyicha nazariy bilim va amaliy koʻnikmalarni shakllantirish. Nazariy qism Tarmoqdagi kompyuterlarni aniqlash uchun ularga IP-manzillar beriladi. IP-manzillarni ikkita usul orqali berish mumkin. Statik IP-manzil. Bunday holda, tarmoqdagi har bir kompyuter uchun IP-manzilni, qismtarmoq maskasini va boshqa TCP / IP parametrlarini qoʻlda kiritish kerak. Dinamik IP-manzil. Tarmoqqa ulanganda kompyuter TCP / IP sozlamalarini avtomatik ravishda oladi. Buning uchun tarmoqdagi kompyuterlardan biri DHCP-server funksiyasini bajarishi kerak, ya'ni barcha yangi ulangan kompyuterlarga IP-manzillarni "tarqatishi" kerak. DHCP (Dynamic Host Configuration Protocol ) - bu tarmoq qurilmalariga TCP / IP tarmogʻida ishlash uchun zarur boʻlgan IP- manzil va boshqa parametrlarni avtomatik ravishda olish imkonini beradigan dasturiy sath protokoli. Ushbu protokol mijoz-server modeliga muvofiq ishlaydi. Avtomatik konfiguratsiya uchun mijoz kompyuter tarmoq qurilmasini sozlash bosqichida DHCP-server deb nomlanadi va undan kerakli parametrlarni oladi. Tarmoq ma'muri server tomonidan kompyuterlar oʻrtasida tarqatiladigan manzillar oraligʻini oʻrnatishi mumkin. Bu tarmoq kompyuterlarini qoʻlda 141 sozlashdan saqlaydi va xatolarni kamaytiradi. DHCP koʻplab TCP / IP tarmoqlarida qoʻllaniladi. DHCP - bu yuklash vaqtida disksiz ish stansiyalarini bilan ta'minlash uchun ilgari ishlatilgan BOOTP protokolining kengaytmasi sifatida ishlatiladi. DHCP IP-manzillarni tarqatishning uchta usulini taqdim etadi: • Qoʻlda tarqatish. Ushbu usul bilan tarmoq ma'muri har bir mijoz kompyuterining apparat manzilini (Ethernet tarmoqlari uchun bu MAC-manzil) ma'lum bir IP-manzil bilan bogʻlaydi. Darhaqiqat, manzillarni taqsimlashning bu usuli har bir kompyuterni qoʻlda sozlashidan farq qiladi, chunki manzillar haqidagi ma'lumotlar markazlashtirilgan holda saqlanadi (DHCP-serverda) va shuning uchun agar kerak boʻlsa, ularni oʻzgartirish osonroq. • Avtomatik tarqatish . Ushbu usul yordamida har bir kompyuterga ma'mur tomonidan doimiy foydalanish uchun belgilangan oraliqdan avtomatik ravishda IP-manzil ajratiladi. • Dinamik ajratish. Ushbu usul avtomatik ajratishga oʻxshaydi, faqat manzil kompyuterga doimiy foydalanish uchun emas, balki ma'lum bir muddat uchun beriladi. Bunga manzilni ijaraga berish deyiladi. Ijara muddati tugagandan soʻng, IP-manzil yana boʻsh hisoblanadi va mijoz yangisini talab qilishi shart (ammo u oldingisi bilan bir xil boʻlishi mumkin). Bundan tashqari, mijoz oʻzi qabul qilingan manzilni rad qilishi mumkin. Ba'zi DHCP xizmatlari, ularga yangi manzillar ajratilganda, mijoz kompyuterlariga mos keladigan DNS yozuvlarini avtomatik ravishda yangilashga qodir. Bu DNS-ni yangilash protokoli yordamida amalga oshiriladi. DHCP IP manzilidan tashqari mijozga tarmoqning normal ishlashi uchun zarur boʻlgan qoʻshimcha parametrlarni ham taqdim etishi mumkin. Ushbu parametrlarga DHCP parametrlari deyiladi. Koʻproq ishlatiladigan ba'zi bir parametrlar quyidagilar: • marshrutizatorning IP-manzili; • qismtarmoq maskasi; • DNS-server manzillari; • DNS domen nomi. Ba'zi dasturiy ta'minot ishlab chiqaruvchilari oʻzlarining ixtiyoriy DHCP parametrlarini belgilashlari mumkin. 142 Kanal sathi texnologiyalari lokal tarmoqlarning asosini tashkil etadi, shuning uchun ularning ishi xavfsizlikni ta'minlash umuman tarmoq xavfsizligining tamal toshi hisoblanadi, chunki tajovuzkor ushbu darajadagi buzish orqali yuqori sath himoya choralarini chetlab oʻtish imkoniyatini qoʻlga kiritadi. Faol tajovuzkorning vazifasi ma'lum manbalarga kirish yoki tarmoqning normal ishlashini buzish (xizmatni rad etish). Tajovuzkor lokal tarmoqda yoki hujumlarni amalga oshirish uchun vositachidan foydalanmoqda deb taxmin qilish mumkin. Odatda bir nechta hujumlar birgalikda amalga oshiriladi; birining muvaffaqiyati keyingisining muvaffaqiyati uchun asos tayyorlayotgan boʻlishi mumkin. Muvaffaqiyatli hujum natijalariga qarab, tahdidlarning bir nechta turlarini ajratish mumkin: 1. Axborotni shaffof ushlash maqsadida qalbakilashtirish; 2. Ba'zi bir tizim resurslari uchun xizmatni rad etish; 3. Tarmoq boʻlimlariga ruxsatsiz kirish; 4. Tarmoqning yoki uning boʻlimlarining toʻgʻri ishlashini buzish. Aksariyat hujumlar "sun'iy" ravishda emas, ular kanal sathi protokollarining standart xatti-harakatlariga asoslanadi, ya'ni ularni amalga oshirish imkoniyati tarmoq infratuzilmasini beparvolik bilan loyihalashning natijasida paydo boʻladi. Xost-mijozdan birinchi DHCP Discover xabari tarqatiladi, ya'ni uni tarmoqdagi barcha foydalanuvchilar, shu jumladan DHCP server va tajovuzkor Rogue tomonidan qabul qilinadi (11.1-rasm). Ular DHCP Offer boʻyicha javoblarni mijozga yuborishadi, ulardan host oʻziga mos keladigan narsani tanlashi kerak. Odatda, aksariyat tizimlarda mijoz qolganlarga e'tibor bermasdan birinchi kelgan taklifni tanlaydi. Shunday qilib, tarmoqda boʻshliq ochiladi: agar Rogue javobi erta kelsa, hujum muvaffaqiyatli boʻladi. Server tajovuzkorga qaraganda mijozdan fizik jihatdan uzoqroq boʻlishi mumkin, shuningdek tezkorroq boʻlishi mumkin, shuning uchun muvaffaqiyatli hujum ehtimoli katta. Hujum natijalari: 1. Tajovuzkor mijozga oʻz javobida tarmoq haqida notoʻgʻri ma'lumotlarni koʻrsatishi mumkin, bu esa uning keyingi ishlarini 143 imkonsiz boʻlishiga olib keladi, ya'ni xizmatni rad etish amalga oshiriladi. 2. Koʻp hollarda DHCP mijozga standart shlyuz ma'lumotlarini taqdim etadi. Shunday qilib, tajovuzkor oʻzini shlyuz sifatida koʻrsatish qobiliyatiga ega, bu tarmoq sathida oʻrtadagi odam hujumini amalga oshiradi. Yüklə 7,38 Mb. Dostları ilə paylaş:
|