Tarmoq va tizim administratorlari. Tarmoq boshqaruvida xavfsizlik tushunchasi

Загружено в:

11.11.2024

Скачано:

0

Размер:

228.0625 KB

Скачать

Tarmoq va tizim administratorlari.
Tarmoq boshqaruvida xavfsizlik
tushunchasi

Tarkib

- muammolar, mexanizmlar,
xizmatlar

Paket filtrlash

3 3 dan 2
xavfsizligi muammosi

Himoya bo'lmasa, kompyuter tarmog'i har xil
turdagi tarmoq hujumlariga moyil bo'ladi

Tinglash ( sniffing ) - tarmoq orqali uzatiladigan
ma'lumotlarni ushlash

Trafik tarkibini ko'rish va uni o'zgartirishga qodir
vositachi (

Manbani soxtalashtirish - boshqa birovning nomidan
ma'lumotlarni uzatish

Foydalanuvchining kelishuvi - foydalanuvchi
identifikatsiya ma'lumotlarini olish, uning nomidan
resurslarga kirish imkoniyati

Xizmatni rad etish ( DOS ) - xizmatni ortiqcha yuklash
yoki blokirovka qilish

...

4 3 dan 2
umumiy shartlari...

Axborotni muhofaza qilish -
axborotning yo'qolishi, buzilishi, sizib
chiqishi, bloklanishi va hokazolarning
oldini olish uchun ko'riladigan chora-
tadbirlar majmuidir.

Axborot xavfsizligi bundan tashqari
autentifikatsiya, audit, tajovuzni
aniqlash va hokazolarni o'z ichiga
oladi.

5 3 dan 2
umumiy shartlari

Murosaga kelish - buning natijasida murosaga kelish ob'ekti xavfli
bo'lib qoladigan harakatlar

Uchinchi shaxs tomonidan foydalanuvchi hisobi nomi va parolni olish -
hisobni buzish

O'tkazilgan ma'lumotlarni o'zgartirish - ma'lumotlarning buzilishi

Hujum - ob'ektni buzishga qaratilgan harakat

Zaiflik - tizimning (apparat yoki dasturiy ta'minot) hujum qilishi
mumkin bo'lgan (zaif) nuqtasi

Xavfsizlik mexanizmi zaifliklarni hujumlardan himoya qiluvchi
apparat yoki dasturiy xususiyatdir.

Xavfsizlik siyosati - tashkilotdagi ma'lumotlarni himoya qilish
tartibi (ma'lumotni saqlash, qayta ishlash va almashish tartibini
nazorat qiladi)

Xavfsizlik xizmati - xavfsizlik siyosatini amalga oshiradigan
apparat va dasturiy ta'minot to'plami

6 3 dan 2ni
ta'minlash mexanizmlari

Simmetrik shifrlash algoritmlari - shifrlash va shifrni ochish
uchun bir xil kalitdan foydalaning

Asimmetrik shifrlash algoritmlari - shifrlash va shifrni
ochish uchun turli kalitlardan foydalaning

Qoidaga ko'ra, "ochiq" (ommaviy ) kalit va "yopiq" (maxfiy,
shaxsiy ) kalit ishlatiladi, "ochiq" kalitni "shaxsiy" kalitdan olish
mumkin, lekin aksincha emas

Xizmat kalit juftligini yaratishi va ochiq kalitni tarqatishi
mumkin xavfsiz shovqinni tashkil qilish

Xesh funksiyalari ixtiyoriy uzunlikdagi xabardan sobit
o'lchamdagi qiymatni hisoblab chiqadi

O'tkazilgan xabarda o'zgarishlar mavjudligini yuqori ehtimollik
bilan aniqlash imkonini beradi

Simmetrik kalitlardan foydalaning (ya'ni, jo'natuvchi va qabul
qiluvchi xesh kalitini bilishi kerak)

7 3 dan 2
Xavfsizlik xizmatlari…

Rad etmaslik - xabar jo'natuvchining haqiqiyligini
kafolatlaydi

Yuboruvchi o'zining shaxsiy kaliti yordamida xabarga raqamli
imzo qo'shishi mumkin

Qabul qiluvchi jo'natuvchining ochiq kaliti yordamida xabarning
haqiqiyligini tekshirishi mumkin XabarUmumiy kalit
PrivateKeyA
PublicKeyA
Umumiy kalitB A B Umumiy kalit
PrivateKeyB
Umumiy kalitB
PublicKeyA
Imzo Xabar Imzo Imtihon
imzolar

8 3 dan 2
Xavfsizlik xizmatlari…

Butunlik - uzatish paytida ma'lumotlar
o'zgarmasligini ta'minlaydi

Xabarlar uchun xesh qiymati hisoblanadi, xabarga
yoziladi va qabul qiluvchi tomonidan tasdiqlanadi

Yuboruvchi va qabul qiluvchidan kalitni almashishni talab
qiladi XabarUmumiy kalit
PrivateKeyA
PublicKeyA
Umumiy kalitB A B Umumiy kalit
PrivateKeyB
Umumiy kalitB
PublicKeyA
Hash Xabar HashQayta hisoblash va taqqoslash
hash qiymatlari

9 3 dan 2
Xavfsizlik xizmatlari…

Maxfiylik - ma'lumotlar faqat qabul
qiluvchi tomonidan oshkor etilishini
kafolatlaydi

Manba ma'lumotlarni qabul qiluvchining ochiq
kaliti bilan shifrlaydi, qabul qiluvchi o'zining
shaxsiy kaliti yordamida ma'lumotlarni
shifrlaydi. XabarUmumiy kalit
PrivateKeyA
PublicKeyA
Umumiy kalitB A B Umumiy kalit
PrivateKeyB
Umumiy kalitB
PublicKeyA
Xabar shifrni ochishshifrlash

10 3 dan 2
Xavfsizlik xizmatlari…

Autentifikatsiya - o'zaro aloqada bo'lgan tomonlar o'zlari
aytgan kimsa bo'lishini ta'minlash

Haqiqiylik har bir tomon o'z identifikatsiyasini (sertifikatini)
yuborishi va uning qonuniyligini boshqa tomon tomonidan
tekshirishi bilan tasdiqlanishi mumkin. Sertifikat A B
iltimos
ko'rib chiqish uchun
sertifikatlar
Sertifikatidentifikator (sertifikat) serveri

11 3 dan 2
Xavfsizlik xizmatlari

Takrorlashni oldini olish - har bir xabarning o'ziga
xosligini ta'minlaydi

Masalan, o'rnatilgan ulanishdagi oxirgi kalit o'zgarishidan
keyin har bir IP- paket uchun noyob raqamni
belgilashingiz mumkin

Uzatilgan paketni qabul qila oladigan tugun undan keyin
qabul qiluvchi bilan seans o'rnatish uchun foydalana
olmasligi uchun talab qilinadi

Kirish nazorati - resurslarga kirishni cheklash va
boshqarish imkonini beradi

12 3 dan 2
kalitlari almashinuvi…

Ochiq kalit almashinuvi shifrlashsiz amalga oshirilishi
mumkin

Boshqa tomonni autentifikatsiya qilish kifoya

Yashirin kalitni uzatish uchun siz o'zboshimchalik bilan
shifrlash tartibiga ruxsat beruvchi shifrlash algoritmlaridan
foydalanishingiz mumkin.

M shifrlangan xabar, S1() va S2() shifrlash funksiyalari, D1() va
D2() mos keladigan shifrni ochish funksiyalari bo‘lsin .

Qoidaga ko'ra, bu bir xil funktsiyalar juftligi, ammo turli tugmachalar
yordamida

A = D1(S1(M)) = D2(S2(M)) = D2(D1(S1(S2(M)))) –
funksiyalar uchun tabiiy talablar

A = D 1 (D 2 (S1 (S2 (M))) - qo'shimcha talab

Misol: Diffie-Hellman kalit almashinuvi

13 3 dan 2
kalit almashinuvi

Birja ketma-ketligiga misol

A tugun M maxfiy kalitini hosil qiladi

A B ga S1(M) ni o'z ichiga olgan xabar yuboradi

B A S2(S1(M))

A B ga uzatadi D1(S2(S1(M)))

B hisoblaydi D2(D1(S2(S1(M)))) = A S1(M) A B
S1()
D1()
M S2()
D2()
S2(S1(M))
D1(S2(S1(M)))
D2(D1(S2(S1(M))) M

14 3 dan 2
kalitlarini boshqarish

Ikki sub'ekt kalitlarni xavfsiz almashishi
mumkinligini aniqladik, lekin aslida tarmoqdagi
kalitlarning kerakli soni juda katta bo'lishi
mumkin.

Katta tarmoqlar ko'pincha kalitlarni tugunlar va
muayyan xizmatlar/ilovalar o'rtasida taqsimlash
uchun mas'ul bo'lgan Key Distribution Center
(KDC) dan foydalanadi.

KDC ( bosh kalit )

Ulanishlarni o'rnatishda ilovalar har bir seans uchun
alohida kalit so'rashadi (sessiya kaliti)

15 3 dan 2
IPSec

IPSec (IP-Xavfsizlik) - nuqtadan nuqtaga ulanishlar va asboblarni himoya
qilishga asoslangan IP xavfsizligi

IP paketlarni himoya qilish

tarmoq hujumlaridan himoya qilish

Protokollardan foydalanadi

Encapsulated Security Payload (ESP) - nosimmetrik kriptografik algoritmlar
(Blowfish, 3DES) yordamida kontentni shifrlash orqali IP-paket ma'lumotlarini
himoya qilish.

Autentifikatsiya sarlavhasi (AH) - kriptografik nazorat summasini hisoblash va IP
paket sarlavhalari maydonlarini xavfsiz xeshlash funksiyasi bilan xeshlash orqali IP-
paket sarlavhasini himoya qiladi.

Xavfsiz ulanish (Security Association , SA) - IPSec-ning asosiy tushunchasi ,
xavfsizlikni ta'minlash uchun yaratilgan bir yo'nalishli (simpleks) mantiqiy
ulanishni anglatadi.

Ikki xost o'rtasidagi trafikni to'g'ridan-to'g'ri shifrlash (transport rejimi) yoki
ikkita pastki tarmoq o'rtasida "virtual tunnellar" ni qurish uchun ishlatiladi
(tunnel rejimi)

Oxirgi holat odatda virtual xususiy tarmoq (VPN) deb ataladi.

16 3 dan 2
Virtual xususiy tarmoq…

Vaziyat tavsifi

Ikkita tarmoq mavjud

Ikkala tarmoq ham IP protokolidan foydalanadi

Tarmoqlar bir-biriga Internet orqali ulangan routerlarga ega

Har bir tarmoq routerida kamida bitta umumiy IP manzil
mavjud

Tarmoqlarning ichki IP manzillari umumiy yoki shaxsiy bo'lishi
mumkin (muhim emas) ; marshrutizatorlar tarmoq manzili
tarjimasidan ( NAT )

Ikki tarmoqning ichki IP manzillari bir-biriga mos kelmasligi
kerak

Internet orqali tarmoqlar o'rtasida xavfsiz ma'lumotlarni
uzatishni tashkil qilish kerak

17 3 dan 2
Virtual xususiy tarmoq

192.168.1.0/24 tarmog'idan VPN server1 ga
kelgan va 192.168.2.0/24 tarmog'i uchun
mo'ljallangan barcha paketlar ESP paketlariga
qadalgan va Internet orqali VPN server2 ga
yuboriladi, u ularni oladi va 192.168.2.0/2 InternetVPN server 1 VPN server 2
192.168.2.0/24192.168.1.0/24
IP1=192.168.1.1
IP2 = ABCD IP1=192.168.2.1
IP2 = EFGH

Paket filtrlash

Paket filtrlash odatda tarmoq yoki transport
qatlamida amalga oshiriladi

Har bir paket bir qator shartlarni qondirish uchun
tekshiriladi

Qabul qilingan shartlarga qarab, paket qayta ishlanadi

Paket filtrlash har qanday xostda amalga
oshirilishi mumkin, lekin Internet bilan
chegaradosh routerlarda qo'llanilishi kerak

Biz alohida holatni ko'rib chiqamiz - iptables
yordamida IP- paketlarni filtrlash (Linux OS 2.4
va 2.6 versiyalari yadrolarida amalga oshirilgan
filtrlash mexanizmi )

20 3 dan 2iptables
paket filtri Filtrlash belgilari

iptables tahlil qilishi mumkin

Manba IP, maqsad IP

Protokol turi

Manba port raqami, maqsad port raqami ( TCP
va UDP protokollari uchun )

TCP protokoli bayroqlari

IP paket sarlavhasi ma'lumotlari

Paket ketma-ketlikda birinchi ekanligini
ko'rsatadi

Boshqa variantlar

iptables paketli ma'lumotlarni tahlil
qilmaydi

21 3 dan 2iptables
paket filtri Filtrlash

iptables qoidalar ketma-ketligini (zanjirlarini )
ishlatadi, ularning har biri o'z ichiga oladi

shartlar to'plami

amalga oshiriladigan harakat

Zanjirdagi qoidalar ketma-ket ko'rib chiqiladi

Agar shartlar qayta ishlanayotgan paketga tegishli bo'lsa,
qoidalarda ko'rsatilgan harakat amalga oshiriladi

Harakatga qarab, zanjirdagi qoidalarni ko'rib chiqish tugaydi
yoki davom etadi

Agar shartlar qayta ishlanayotgan paketga taalluqli
bo'lmasa, zanjirdagi keyingi qoidaga o'ting

22 3 dan 2iptables
paketli filtr zanjirlari

5 ta o'rnatilgan zanjirlar
qo'llab-quvvatlanadi

1 – OLDINA MARSHIRASH

2 - OLGA

3 – POSTRASHING

4 – KIRISH

5 – CHIKARISH

Maxsus zanjirlar yaratilishi
mumkin, ammo ulardan
foydalanish o'rnatilgan
zanjirlar qoidalarida aniq
belgilangan Ilova
TCP/IP
NIC
12
3 45

23 3 dan 2Paket filtri iptables
Jadvallar...

IP -paketlarni qayta ishlashning har xil turlari
uchun 3 ta jadval mavjud (ularning har birida
alohida zanjirlar to'plami mavjud)

filtr - paketlarni filtrlash qoidalarini o'rnatish uchun
mo'ljallangan;

4 – KIRISH

2 - OLGA

5 – CHIKARISH

nat - tarmoq manzili tarjimalarini (NAT) belgilash uchun
mo'ljallangan; zanjirlardan foydalanishi mumkin

1 – OLDINA MARSHIRASH

3 – POSTRASHING

5 – CHIKARISH

mangle - paket sarlavhalariga o'zgartirishlar kiritish
uchun mo'ljallangan; barcha zanjirlardan foydalanishi
mumkin

24 3 dan 2Paket filtri iptables
jadvallari

Paketlarni qayta ishlashda zanjirlarni ishlatish tartibi aniq
belgilangan

Tranzit paketlar uchun

mangle - PREROUTING

nat-PREROUTING

mangle - OLGA

filtr - OLGA

mangle - POSTROUTING

nat - POSTROUTING

Mahalliy dastur uchun mo'ljallangan paketlar uchun

mangle - PREROUTING

nat-PREROUTING

mangle - INPUT

filtr-KIRISh

Chiquvchi mahalliy dastur paketlari uchun

mangle - OUTPUT

nat-OUTPUT

filtr - OUTPUT

mangle - POSTROUTING

nat - POSTROUTING

25 3 dan 2Paket filtri iptables
Utilities

Qoidalarni boshqarish uchun iptables yordam
dasturidan foydalaning
iptables [opts] [-t table] [-com] [parms]
.

Maxsus zanjirlarni yaratish/o'chirish

Zanjir uchun standart siyosatni o'rnating

Qoidalarni qo'shish/o'zgartirish/o'chirish

Paket hisoblagichlarini ko'rish/o'rnatish/qayta tiklash

va hokazo.

Standart jadval filtr hisoblanadi

iptables-saqlash va iptables-tiklash yordamchi
dasturlari konfiguratsiyani faylga saqlash va uni
fayldan tiklash imkonini beradi

Paket filtri iptables
Jadval filtri ...

Filtr jadvalida qoidalar har xil turdagi paketlarni tanlash
shartlaridan foydalanishi mumkin

Umumiy - protokoldan mustaqil

protokol

Manba IP va maqsad IP

kirish va chiqish NIC

Implicit - protokol turiga bog'liq

TCP uchun - manba va maqsad port raqamlari va TCP bayroqlari

UDP uchun - manba va maqsad port raqamlari

ICMP uchun - ICMP

Aniq - maxsus modullarni yuklashni talab qiladi

Mac moduli sizga paketlarni uzatuvchi xostlarning MAC manzillarini
tekshirish imkonini beradi

Holat moduli jarayonlar orasidagi bog‘lanishlarni kuzatib boradi va
ulanish holati bo‘yicha shartlarni yozish imkonini beradi

Cheklov moduli qoidani ishga tushirish sonini cheklash imkonini
beradi

va hokazo.

Paket filtri iptables
Jadval filtri

Filtr jadvalida qoidalar quyidagi amallardan foydalanishi
mumkin

ACCEPT - paket keyingi qayta ishlash uchun qabul qilinadi

REJECT - paket yo'q qilinadi, manbaga ICMP xabari yuboriladi

qoidada yuboriladigan ICMP xabarining turini aniq belgilashingiz
mumkin

DROP - paket yo'q qilinadi, ICMP xabari manbaga yuborilmaydi

CHAIN_NAME – belgilangan zanjir qoidalarini ko‘rish uchun
o‘ting

RETURN - joriy zanjir qoidalarini qayta ishlash talab qilingan
zanjir qoidalarini ko'rishga qaytish.

LOG - qoidaning ishga tushirilishini jurnalga yozib qo'ying

boshqa harakatlar ham mavjud

Paket filtri iptables
nat

Tarmoq manzilini tarjima qilish ichki tarmoqdagi shaxsiy
diapazondagi manzillardan foydalanish imkonini beradi

Paketni ichki tarmoqdan tashqi xostga yuborishga
urinayotganda, router manba IP manzilini tashqi manzil bilan
almashtiradi.

Tashqi tugundan javob paketi kelganda, qabul qiluvchining IP
manzili chiquvchi paketni yuborgan tugunning ichki IP manzili
bilan almashtiriladi va paket ichki tarmoqqa uzatiladi.

NAT jadvalida qoidalar quyidagi amallardan foydalanishi
mumkin

SNAT yoki MASQUERADE - manba IP manzilini va/yoki portni
almashtirish

DNAT - IP-manzil yoki maqsad portini almashtirish (tashqi
tarmoqlardan ichki tarmoqda joylashgan va shaxsiy
diapazondagi manzillarga ega bo'lgan serverlarga kirishni
tashkil qilish uchun ishlatiladi)

Xulosa

Hozirgi vaqtda tarmoq infratuzilmasini
rejalashtirish va amalga oshirishda asosiy
masalalardan biri hisoblanadi;
muvaffaqiyatsiz qaror tarmoq
infratuzilmasi ishonchliligini sezilarli
darajada kamaytirishi mumkin

Xavfsiz tarmoqlarni qurishda ko'plab
apparat va dasturiy echimlar qo'llaniladi,
ular orasida virtual xususiy tarmoqlar va
paketli filtrlar mavjud.

Adabiyot

Laponina O.R. asoslari: kriptografik
algoritmlar va o'zaro ta'sir
protokollari. M:INTUIT.ru, 2005 yil

TCP/IP tarmoqlari . Microsoft
Windows 2000 Server resurslari . - M
.: Rus nashri, 2001 yil.

Tarmoq va tizim administratorlari. Tarmoq boshqaruvida xavfsizlik tushunchasi

Tarkib  - muammolar, mexanizmlar, xizmatlar  Paket filtrlash

3 3 dan 2 xavfsizligi muammosi  Himoya bo'lmasa, kompyuter tarmog'i har xil turdagi tarmoq hujumlariga moyil bo'ladi  Tinglash ( sniffing ) - tarmoq orqali uzatiladigan ma'lumotlarni ushlash  Trafik tarkibini ko'rish va uni o'zgartirishga qodir vositachi (  Manbani soxtalashtirish - boshqa birovning nomidan ma'lumotlarni uzatish  Foydalanuvchining kelishuvi - foydalanuvchi identifikatsiya ma'lumotlarini olish, uning nomidan resurslarga kirish imkoniyati  Xizmatni rad etish ( DOS ) - xizmatni ortiqcha yuklash yoki blokirovka qilish  ...

4 3 dan 2 umumiy shartlari...  Axborotni muhofaza qilish - axborotning yo'qolishi, buzilishi, sizib chiqishi, bloklanishi va hokazolarning oldini olish uchun ko'riladigan chora- tadbirlar majmuidir.  Axborot xavfsizligi bundan tashqari autentifikatsiya, audit, tajovuzni aniqlash va hokazolarni o'z ichiga oladi.

5 3 dan 2 umumiy shartlari  Murosaga kelish - buning natijasida murosaga kelish ob'ekti xavfli bo'lib qoladigan harakatlar  Uchinchi shaxs tomonidan foydalanuvchi hisobi nomi va parolni olish - hisobni buzish  O'tkazilgan ma'lumotlarni o'zgartirish - ma'lumotlarning buzilishi  Hujum - ob'ektni buzishga qaratilgan harakat  Zaiflik - tizimning (apparat yoki dasturiy ta'minot) hujum qilishi mumkin bo'lgan (zaif) nuqtasi  Xavfsizlik mexanizmi zaifliklarni hujumlardan himoya qiluvchi apparat yoki dasturiy xususiyatdir.  Xavfsizlik siyosati - tashkilotdagi ma'lumotlarni himoya qilish tartibi (ma'lumotni saqlash, qayta ishlash va almashish tartibini nazorat qiladi)  Xavfsizlik xizmati - xavfsizlik siyosatini amalga oshiradigan apparat va dasturiy ta'minot to'plami

Tarmoq va tizim administratorlari. Tarmoq boshqaruvida xavfsizlik tushunchasi

11.11.2024

0

228.0625 KB

Похожие