Дипломдық жоба рұқсатсыз қатынас құрудан ақпаратты қорғауға


 Желілердегі ақпараттық қауіпсіздік мәселелерін шешу жолдары



Pdf көрінісі
бет4/7
Дата06.04.2017
өлшемі3,55 Mb.
#11127
түріДиплом
1   2   3   4   5   6   7

2.6 Желілердегі ақпараттық қауіпсіздік мәселелерін шешу жолдары 

Интернет  желісімен  жұмыс  істеу  кезінде  ақпараттық  қауіпсіздік 

мәселелерінің  шешімін  табу  үшін  ешкімге  тәуелсіз  ISTF  (Internet  Security  Task 

Force) консорциумы  құрылды.  ISTF  бұл  –  ақпараттық  қауіпсіздік,  электрондық 

бизнес 

және 


интернет-инфрақұрылымының 

провайдер 

құралдарымен 

жабдықтайтын  кәсіпорындардың  өкілдері  мен  сарапшыларынан  тұратын 

қоғамдық ұйым болып саналады. Бұл консорциумның басты мақсаты – интернет 

ісінде қауіпсіздік бойынша техникалық, ұйымдастырушылық және операциялық 

нұсқамаларды әзірлеу болмақ.    

ISTF  консорциумы,  ең  алдымен  электрондық  бизнес  әзірлеушілері  өз 

өнімдерінің  жұмысын  қамтамасыз  етуге  назар  аударатын  ақпараттық 

қауіпсіздіктің он  екі бағыттарын  анықтап отыр.  Бұл  тізім, атап айтқанда,  мына 

бөлімдерді қамтиды:  

 



аутентификация  (ақпаратты  анықтайтын  объективті  дәлелдемелер 

механизмі); 

 

жеке  ақпаратты  алу  құқығы  (ақпараттың  құпиялылығын  қамтамасыз 



ету); 

 



қауіпсіздік оқиғаларының анықтамасы (Security Events); 

 



корпоративтік периметрдің қорғаныш мүмкіндігі; 

 



шабуылдар түрлерінанықтау; 

 



мүмкін болатын қауіптерді бақылау; 

 



қатынас құруды бақылау

 



әкімшілік басқару; 

 



оқиғаларға жауап беру (Incident Response). 

ISTF  ұсынымдары  жұмыс  істеп  жатқан  немесе  жаңадан  құрылған 

электрондық  коммерция  және  бизнес  ұйымдарына  арналған.  Осы  ұсынымдар 

компьютерлік  желілердегі  мүмкін  болатын  ақауларды  анықтауға  көмектеседі, 

сонымен  қатар  оларға  назар  аударылмайтын  болса,  онда  зиянкестер  шабуыл 

жасауда  бұл  осалдықтар  пайдаланылады,  нәтижесінде  бұл  электрондық 

бизнестің  құлдырауына  әкеп  соғады.  Электрондық  коммерциямен  айналысуға 

ұмтылатын  кәсіпорындарға  ISTF  консорциумы  міндетті  түрде  өзінің  жұмыс 

ұсыныстарын қабылдауға ат салысуға шақырады.  

Консорциумның  ұсыныстарын  жүзеге  асыру  электрондық  бизнес 

жүйесіндегі ақпараттың қауіпсіздігінің кешендік екенін білдіреді.  

Қауіп-қатерлерден кешенді қорғау үшін экономикалық тиімді кепілдіктер 

мен  электрондық  бизнесте  байланыс  ресурстарын  қауіпсіз  пайдалану  үшін 

келесі міндеттерді шешімін табу керек: 

 

электрондық бизнеске арналған қауіп-қатерлерді талдау; 



 

ақпараттық қауіпсіздік саясатын әзірлеу жүйесі; 



 

37 


 

37 


 

тасымалданатын 



ақпараттың 

құпиялылығын, 

бүтіндігін 

және 


шынайылығын  қамтамасыз  ету  үшін  деректер  алмасудың  сыртқы  арналарын 

қорғау; 


 

сыртқы желілер мен Интернетке қауіпсіз қатынас құруға кепілдік беру; 



 

деректер  алмасу  арналарының  қандай  түрін  қолданатына  қарамастан 



коммерциялық маңызды деп саналатын ақпараттық жүйелерді қорғау; 

 



корпоративтік  желінің  ақпараттық  ресурстарына  қызметкерлерге 

алыстан қауіпсіз қатынас құруды қамтамасыз ету; 

 

желіні  қорғауға  арналған  сенімді  орталықтандырылған  басқару 



құралдарын ұсыну. 

ISTF  ұсынымдары  және  Hurwitz  Group  «қорғаныс  шептері»  бойынша 

электрондық  бизнестің  ақпараттық  қауіпсіздігін  әзірлеудің  маңызды  кезеңі 

жалпы  желілерге  қатынас  құру  механизмдері  болып  табылады,  сонымен  қатар 

қауіпсіз  байланыстардың  механизмдері  және  олар  желіаралық  экрандар  мен 

жеке қорғалған ауани желілер арқылы жүзеге асады. 

Атап айтқандарды қорғау жүйесінің бүкіл кілттік ақпаратты (PKI  – ашық 

кілттердің  инфрақұрылымы)  интеграциялау  және  басқару  құралдарымен 

біріктіріп, тұтас және орталықтан басқарылатын ақпараттық қауіпсіздік жүйесін 

қалыптастыруға болады. 

Келесі  кезең  жалпы  құрылымға,  интеграцияланған  жүйеге  пайдаланушы-

лардың қол жеткізумен байланысты басқару құралдары және олар бір реттік кіру 

мен авторизация жүйесімен бірлесіп қолданылу керек.  

Антивирустық  қорғау,  аудит  және  шабуылдардың  алдын  алу  құралдары, 

дұрысында, тұтас интеграцияланған қауіпсіздік жүйесін құруды аяқтайды  (егер 

жұмыс құпия мәліметтерден бөлек жүргізілетін болса). Құпия ақпаратпен жұмыс 

криптографиялық  қорғау  құралдарын  және  электрондық-цифрлық  қолтаңбаны 

қажет етеді. 

Электрондық  бизнес  үшін  қауіпсіздік  жүйесінің  негізгі  функционалдық 

сыңарларын  іске  асыру  үшін  ақпаратты  қорғаудың  әр  түрлі  әдістері  мен 

жабдықтары қолданылады: 

 



қорғалған байланыс хаттамалары; 

 



криптография құралдары

 



аутентификация және авторизация механизмдері; 

 



жалпы  және  жұмыс  орындардағы  желілерге  қол  жеткізудің  бақылау 

жаблықтары; 

 

спам және зиянкес бағдарламаларға қарсы тұру құралдары; 



 

шабуылдарды анықтау, алдын алу бағдарламалары; 



 

пайдаланушылардың  қол  жеткізу  әрекеттерін  орталықтан  басқары-



латын  бақылау  жабдықтары,  сонымен  қатар  кез  келген  қолданбалар  арқылы 

десте  деректерін  және  хабарламаларды  ашық  IP-желілермен  қауіпсіз 

жіберу/қабылдау. 


 

38 


 

38 


Корпоративтік жүйенің барлық деңгейлерінде кешенді қорғау құрал-дарын 

қолдану ақпараттық қауіпсіздікті қамтамасыз ететін сенімді және тиімді жүйені 

құруға жағдай жасайды.  

2.7 DDoS шабуылдардан қорғану

 

Компьютерлік  шабуылдардың  салдары  бойынша  ресурстарға  қатынас 

құруды  бұзуға  бағытталған  маңызды  шабуылдардың  бірі  бөлінген  «қызметтен 

бас тарту» DDoS шабуылы болмақ. 

DDoS-шабуылдарға  қарсы  қорғаудың  басты  мақсаты  нақты  шабуылды 

анықтау және оған тез жауап қайтару болып табылады.  

DDoS-шабуылдардан  қорғанудың  тәсілі  төмендегі  механизмдер  арқылы 

жүзеге асырылады:  

 

шабуылды аңғару; 



 

шабуылдың көзін анықтау; 



 

шабуылдың алдын алу механизмі. 



DDoS-шабуылдарға  қарсы  кәсіпорынның  қорғаныс  жүйесі.  Бұл  қорғау 

жүйесін құру үшін кешенді тәсілді пайдалану қажет және ол жеке серверлер мен 

байланыс арналарын қорғауға жарамды болу керек. Осы жүйе нақты қорғанысы 

көпдеңгейлі болатындай етіп жасалынады.  

Жүйені келесі жағдайларда жүзеге асыру дұрыс болып есептеледі: 

 



кәсіпорындардың Интернет арқылы бизнес жүргізуі ; 

 



кәсіпорынның корпоративтік веб-сайтының болуы; 

 



бизнес-үдерістерді жүзеге асыру үшін Интернет желісін пайдалану. 

 

 



  

11 - сурет  DDoS шабуылға қарсы қорғау жүйесі. 

 


 

39 


 

39 


Берілген  жүйеде  сыртқы  трафикті  үздіксіз  тексеретін  ауытқу  сенсорлары 

қолданысқа ие. Ол байланыс операторының жұмыс аумағында орналасады және 

шабуыл трафигінің тазартуы ішкі желіге кірмей басталады. 

Ауытқуларды  анықтау  әдісі  100  пайыз  трафиктің  тазалау  кепілдігін  бере 

алмайды,  сол  себептен  оны  желілік  және  жүйелік  деңгейдегі  шабуылдарды 

алдын алу ішкі жүйелермен біріктіру көзделеді.  

Сондай-ақ,  байланыс  оператордың  желісін  әр  түрлі  қауіптерге  қарсы 

дайындап, қауіпсіздіктің қосымша шараларын ұйымдастыру керек. 

Байланыс операторлар үшін DDoS шабуылдарын анықтау және  тұйықтау 

жүйесі.  Берілген  жүйе  арқылы  байланыс  операторлары  өз  тұтынушыларына 

бөлінген  DDoS  шабуылдардан  қорғауды  ұсынады.  Жүйенің  басты  мақсаты 

байланыс  арнасынан  ауытқуға  ұшыраған  трафикті  жойып,  заңды  трафикті 

қажетті жерге жеткізу болып табылады. 

Жүйенің негізгі артықшылықтары мынадай: 

 

үлкен,  орташа  және  шағын  кәсіпорындарға  арналған  жоғары  қызмет 



көрсету мүмкіндігінің болуы; 

 



тұтынушыларға  шығын  мен  жоғалтуларды  алдын  алуда  сенімді  тұлға 

ретінде қатысу мүмкіндігін беру; 

 

желілік  инфрақұрылымды  басқарудың  жетілдірілген  нұсқасының 



қамтылуы; 

 



абоненттерге шабуыл туралы қорытынды есептеме жіберу. 

Қызмет  провайдері  өзінің  корпоративтік  клиенттеріне  DDoS  шабуылдар-

дан қорғанудың мынадай мүмкіндіктерін ұсынады: 

 



бөлінген  қызмет  –  шұғылданатын  ісі  Интернет  желісімен  байланысты 

кәсіпорындарға  арналған,  яғни  қаржы  құрылымдары,  онлайн  сауда  және  тағы 

басқа электрондық коммерциямен байланысты  кәсіптер. 

 



ұжымдық  қолдану  қызметі  –  онлайн  қызметтерін  DDoS  шабуылдардан 

қорғану  мақсатында  белгілі  бір  қауіпсіздіктің  деңгейі  қажетті  корпоративтік 

клиенттерге  арналып  ұйымдастырылған.  Қызмет  барлық  клиенттер  үшін 

трафикті  тазалауды  ұжымды  түрде  жүзеге  асырады  және  DDoS  шабуылдарды 

анықтаудың стандартты саясатын береді. 


 

40 


 

40 


 

 

12 – сурет  Байланыс операторы үшін DDoS шабуылдардан қорғау 



жүйесінің құрылымы 

 

Бұл  сәулет  DDoS  шабуылдардың  пайда  болу  көзін  анықтауға  және  оған 



қарсы әрекет жасауға реттелген тәсілді ұсынады.  

Жұмыстың басында шабуылдардан қорғау құралдары стандартты режимде 

жұмыс  жасайды,  яғни  бағытбағдарлауыштан  таралатын  деректер  ағымын 

қолданып, желі шекарасында дұрыс трафиктің үлгісін ұйымдастыруға мүмкіндік 

береді. 

Сонан  соң  жүйе  мониторинг  режиміне  көшеді  де  және  ауытқулар 

анықталған  жағдайда  жүйелік  әкімшіге  хабарлама  жіберіледі.  Егер  шабуыл 

расталатын  болса,  онда  әкімші  трафикті  тазалау  құрылғысын  қорғау  режиміне 

ауыстырып қояды. 

Сонымен  қатар,  мониторинг  құралдарын  автоматты  күйге  ауыстырып 

баптауға  болады  және  ауытқуға  ұшыраған  трафикті  тазалау  әрекеті  өз  бетінше 

іске  асырылады.  Қорғау  режимі  қосылған  кезде  сүзгіден  өткізу  құралы 

шекарадағы бағытбағдарлауыштың бағдарлау кестесі өзгеріске ұшырайды және 

трафик тазалау құралдарына жіберіледі. Бұл үдерістерден кейін трафик қайтадан 

желіге бағытталады. 

Бұл жүйенің артықшылықтары: 

 

DDoS шабуылдарға жылдам жауап қайтару; 



 

жүйенің  талап  бойынша  іске  қосылуы  жоғары  сенімділік  пен 



шығындардың төмендеуін қамтамасыз етеді.  

2.8 Желіаралық экрандар      

Желіаралық  экрандау  корпоративтік  желінің  қорғанысының  негізгі 

элементі болып саналады. 


 

41 


 

41 


Желіаралық экран (ЖЭ) – желіаралық қорғаудың арнайы кешені және оны 

кейде  firewall  жүйесі  немесе  басқаша  айтқанда,  брандмауэр  деп  атайды. 

Желіаралық экран желіні екі немесе одан да көп бөліктерге  жіктеп, желінің бір 

бөлігінің  шекарасынан  екіншісіне  дестелердің  таралудың  ереже  жиынтығын 

жүзеге  асырайды.  Әдетте,  бұл  шекара  кәсіпорынның  корпоративтік  желісі  мен 

ғаламтор желісі арасында жүргізіледі. 

Көп жағдайлар желіаралық экрандар кәсіпорынның ішкі желісін Интер-нет 

желісінен  туындалатын  шабуылдардан  қорғауға  арналған,  бірақ  кейде  ол 

кәсіпорын  қосылған  интражеліден  келетін  шабуылдарға  қарсы  әрекет  жасай 

алуға қабілетті. Желіаралық экрандардың технологиясы корпоративтік желілерді 

сыртқы  қауіптерден  қорғаудың  алғашқы  технологиялардың  бірі  болып 

саналады. 

Көптеген кәсіпорындар үшін ішкі желінің қауіпсіздігін қамтамасыз етуде 

желіаралық экранды орнату қажетті шара болып табылады. 

Желіаралық экрандардың қызметтері. Желіаралық рұқсатсыз қол жеткізуге 

қарсы әрекет жасау мақсатында желіаралық экрандар қорғалған желі мен мүмкін 

болатын  қауіпті  сыртқы  желі  арасында  орналасу  қажет.  Сонымен  қатар  осы 

желілер  арасында  өзара  әрекеттесу  желіаралық  экран  арқылы  ұйымдастырылу 

керек.  Ұйымдастыру  сипаттамасы  бойынша  желіаралық  экран  жалпы  қорғау 

жүйесінің құрамында қамтылады. 

Ішкі  желінің  көптеген  түйіндерін  қорғайтын  желіаралық  экран  екі  негізгі 

міндеттерді шешуге бағытталған: 

 

сыртқы  пайдаланушылардың  корпоративтік  желінің  ішкі  ресурстарына 



қол  жеткізуін  шектеу.  Бұл  қолданушыларға  серіктес  кәсіпорындар,  алыстағы 

пайдаланушылар,  кәсіпорынның  кейбір  қызметкерлері  және  хакерлер, 

қаскүнемдер жатады; 

 



қорғалған  желінің  пайдаланушылардың  сыртқы  ресурстарға  қатынас 

құру  әрекеттерін  ажырату.  Осы  шешім  серверлерге  қатынас  құруды  реттеуге 

жағдай жасайды. 

 

 



 

13 – сурет  Желіаралық экранның қосылу сұлбасы 

 

Қазіргі  кезге  дейін  желіаралық  экрандардың  жалпы  көпшілікке 



мойындалған  жіктелімі  жоқ.  ЖЭ  келесі  басты  белгілер  арқылы  сипаттауға 

болады. 


 

42 


 

42 


OSI үлгісіндегі деңгейлерде атқаратын функциялары бойынша

 



десте фильтрі (экрандалатын бағытбағдарлауыш); 

 



сеанс деңгейіндегі шлюз; 

 



қолданбалы деңгейдегішлюз; 

 



сараптық деңгейдегі шлюз. 

 



қолданылатын технологиясы бойынша: 

 



хаттама күйін бақылау; 

 



делдал модульдерге сүйеніп қызмет атқаратын. 

 



орындау бойынша

 



аппараттық-бағдарламалық; 

 



бағдарламалық; 

 



қосылу сұлбасы бойынша: 

 



желіні біртұтас қорғау сұлбасы; 

 



желінің  қорғалмайтын  ашық  және  қорғалатын  жабық  сегменттерінің 

құрылымы; 

 

желінің қорғалатын ашық және жабық сегменттерінің жіктелген түрінің 



сұлбасы. 

Трафикті  сүзгіден  өткізу.  Ақпарат  ағымдарын  сүзгіден  өткізу  экран 

арқылы  оларды  таңдамалы  түрде  өткізу  және  басқа  да  түрлендірулермен 

жүргізіледі.  Сүзгіден  өткізу  қауіпсіздік  саясатына  сәйкес  желіаралық  экранға 

орнатылған  ережелер  жиынтығымен  орындалады.  Сол  себепті  желіаралық 

экранды ақпараттық ағымдарды өңдейтін сүзгілердің реттілігі арқылы көрсетуге 

болады. 

 

 



 

14 – сурет  Желіаралық экранның құрылымы 

 

Әр  сүзгі  келесі  әрекеттерді  орындау  арқылы  фильтрлеудің  жеке 



ережелерін түсіндіруге арналған: 

а)

 



берілген  ережелер  бойынша  ақпаратты  талдау  шектері,  мысал  ретінде 

қолданбалар түрлері немесе жіберуші мен қабылдаушының мекенжайлары. 



 

43 


 

43 


б)

 

ережелер бойынша төмендегі шешімдерді қабылдау: 



 

деректерді өткізбей қою; 



 

деректерді қабылдаушы атынан өңдеу және жіберушіге қайта жіберу; 



 

талдауды жалғастыру мақсатында деректерді келесі сүзгіге жіберу; 



 

келесі сүзгілерді ескермей деректерді өткізу. 



Сүзгіден өткізу ережелері қосымша әрекеттерді беру мүмкін. Сәйкесінше, 

сүзгіден өткізу ережелері оны жүзеге асырайтын шарттар тізімін анықтайды: 

 

кейінгі деректерді жіберуге рұқсат беру немесе бермеу; 



 

қосымша қорғау мүмкіндіктерін орындау. 



Ақпараттық  ағымдарды  талдаудың  шектері  ретінде  келесі  параметрлерді 

қолдануға мүмкіндік береді: 

 

құрамында  желілік  мекенжайлар,  идентификаторлар,  интерфейс 



мекенжайлары,  порт  нөмірлері  және  тағы  басқа  маңызды  деректер  болатын 

хабарламалама пакеттерінің қызметтік өрістері; 

 

компьютерлік вирустарды тексеруге арналған хабарлама пакеттері



 

ақпарат  ағымының  сыртқы  сипаттамалары,  мысалы  уақыт,  жиілік 



сипаттамалары, деректердің көлемі. 

Қолданылатын  талдаудың  критерийлері  сүзгіден  өткізу  жүргізілетін  OSI 

үлгісінің  деңгейлеріне  тәуелді  болмақ.  Жалпы  жағдайда  желіаралық  экран  

дестелерді сүзгіден өткізу кезінде OSI үлгісінің деңгейі неғұрлым жоғары болса, 

қорғауды қамтамасыз ету деңгейі соғұрлым жоғары болады. 

 Делдалдық  функцияларын  орындау.  Делдалдық  функцияларын  ЖЭ  

делдал-бағдарламалар  немесе  экрандаушы  агенттер  деп  аталатын  арнайы 

бағдарламалар  арқылы  жүзеге  асырады.  Берілген  бағдарламалар  резидентті 

болып  табылады,  яғни  ішкі  және  сыртқы  желі  арқылы  десте  хабарламаларын 

алмасуға рұқсат берілмейді. 

Ішкі  желіден  сыртқы  желіге  қатынас  құру  қажеттілігі  пайда  болған 

жағдайда  желіаралық  экраны  бар  компьютерде  делдал-бағдарламамен 

логикалық  байланыс  орнатылу  қажет.  Делдал-бағдарлама  желіаралық 

әрекеттесуді тексеріп, сонымен қатар рұқсат етілген соң берілген компьютермен 

жеке байланыс орнатады. Ішкі және сыртқы желі компьютерлері арасында хабар 

алмасу осы делдал-бағдарлама арқылы іске асырылады. 

Жалпы  жағдайда  делдал-бағдарламалар  келесі  қызметтерді  орындай 

алады: 


 

жіберілетін, қабылданатын деректердің түпнұсқалығын тексеру; 



 

хабарламалар ағымын сүзгіден өткізу және түрлендіру; 



 

желінің ішкі ресурстарына қатынас құруды ажырату; 



 

желінің сыртқы ресурстарына қатынас құруды ажырату; 



 

сыртқы желіден келетін деректерді кэштеу; 



 

қолданушыларды идентификациялау мен аутентификациялау; 



 

шығыс  хабарламалардың  дестелері  үшін  ішкі  желілік  мекенжайларды 



үлестіру; 

 



оқиғаларды  тіркеу,  тіркелген  ақпаратқа  талдау  жасау,  қорытынды 

есептемелерді генерациялау. 



 

44 


 

44 


Желіаралық  экрандарды  қосудың  негізгі  сұлбалары.  Корпоративтік 

желілердің  ғаламдық  желілерге  қосылуы  кезінде  қорғалатын  желіден  ғаламдық 

желіге  және  ғаламдық  желіден  қорғалатын  желіге  қатынас  құруды  бөлу  қажет, 

сонымен  қатар  қосылатын  желінің  ғаламдық  желі  тарапынан  туындалатын 

қашықтан  рұқсатсыз  қатынас  құрудан  қорғауды  қамтамасыз  ету  қажет. 

Алыстағы  қолданушылармен  жұмыс  қорғалатын  желінің  ақпараттық 

ресурстарына қатынас құрудың қатал шектеулерін орнатуды талап етеді. 

Мекемелерде  корпоративтік  желінің  қорғау  деңгейі  әр  түрлі,  бірнеше 

сегменттерді құрастыру қажет болады: 

 



қатынас құрудың еркін сегменті (жарнамалық WWW-сервер); 

 



қатынас  құрудың  шектеулі  сегменті  (қашықтағы  қолданушылар 

байланысу түйіндері); 

 

жабық сегменттер (ұйымның жергілікті ішкі қаржылық желісі). 



Қолданылатын  желіаралық  экрандардың  сипаттамаларына  және  қор-

ғалатын желіде жұмыс істеу шарттарына байланысты оның әр түрлі сұлбалары 

қолданылады.  Желіаралық  экрандардың  қосылуының  келесі  сұлбалары  кең 

таралған болып есептеледі: 

 

желіні экрандаушы бағытбағдарлауыш арқылы қорғау сұлбалары



 

жергілікті желіні біртұтас қорғау сұлбалары; 



 

қорғаусыз ашық және қорғалатын жабық ішкі желілер сұлбалары; 



 

үлестірілген қорғалатын ашық және жабық ішкі желілер сұлбалары. 



Желіні  экрандаушы  бағытбағдарлауыш  арқылы  қорғау  сұлбасы. 

Дестелерді сүзгіден өткізуге негізделген желіаралық экрандар кең таралған және 

жүзеге асыруда ең қарапайымы болып саналады. Оның құрамына қорғалған желі 

мен  мүмкін  болатын  қауіпті  ашық  сыртқы  желі  арасында  орналасқан 

экрандаушы  бағытбағдарлауыш  кіреді.  Экрандаушы  бағытбағдарлауыштың 

міндеті – кіріс және шығыс дестелерді олардың мекенжай мен порттарын талдау 

негізінде тұйықтап тастау.  

 

 



15 – сурет  Желіаралық экран – экрандаушы бағытбағдарлауыш 

 

Қорғалған  желіде  орналасқан  компьютерлерде  интернет  желісіне  тікелей 



қатынас құруға мүмкіндік бар, ал интернет желісі тарапынан жасалатын қатынас 

құру мүмкіндіктері бұғатталады.  

Экрандаушы бағытбағдарлауыштың кемшін тұстары: 

 



сүзгіден өткізу ережелерінің күрделі болуы; 

 



сүзгіден өткізу ережелерін толық тестілеу мүмкіндігінің болмауы; 

 



оқиғаларды тіркеу мүмкіндігінің жоқтығы. 

 

45 


 

45 


Бірнеше желілік интерфейсі бар желілік экрандардың қосылу сұлба-лары. 

Бір интерфейсі бар ЖЭ қосылу сұлбалары қауіпсіздік тұрғысынан тиімсіз болып 

табылады.  Олар  желіні  физикалық  тұрғыда  сыртқы  және  ішкі  деп  жіктемейді, 

сол  себепті  желіаралық  әрекеттесудің  қауіпсіздігін  толық  қамтамасыз  ете 

алмайды.  

 

 



16 - сурет   Бір желілік интерфейсі бар ЖЭ арқылы жергілікті желіні қорғау 

 

Осы  мәселелерді  шешу  үшін  екі  немесе  бірнеше  желілік  интер-фейсі  бар 



ЖЭ қолданылады. Қорғалған жергілікті желіні ашық және жабық ішкі желілерге 

жіктеу дұрыс болып табылады. Ішкі ашық желі - ғаламдық желі тарапынан қол 

жеткізуге болатын желі  деп есептеледі. Оның ішіне жалпы қол жетімдісі FTP-, 

WWW-, FTP-, SMTP-серверлер жатады.  

Кең таралған сұлбалардың түрлері ретінде қарастырылады: 

 



жергілікті желіні біртұтас қорғау сұлбасы; 

 



ішкі ашық және жабық желі сұлбасы; 

 



бөлінген ішкі ашық және жабық желілер сұлбасы.  

Жергілікті  желіні  бірыңғай  қорғау  сұлбасы  ішкі  жергілікті  желіні  қор-

ғауды  ЖЭ  мүмкін  қауіпті  сыртқы  желіні  толық  экрандау  арқылы  жүзеге 

асыратын қарапайым амалы болып табылады. 

 

 

17 – сурет  Жергілікті желіні бірыңғай қорғау сұлбасы 



 

Желіаралық  экран  жергілікті  желіге  кіретін  ашық  серверлерді  қорғайды. 

Алайда  сыртқы  желінің  серверлерін  қорғалатын  желінің  ақпараттық 


 

46 


 

46 


ресурстарымен  біріктіру  желіаралық  әрекеттесудің  қауіпсіздігін  едәуір 

төмендетеді.  Сондықтан  берілген  сұлбаны  ашық  серверлерсіз  немесе  ашық 

серверлерді шектеулі пайдаланушыларға бөліп қолдану жөн болар еді.  

Ашық  қорғалмайтын  және  жабық  қорғалатын  ішкі  желілер  сұлбасы 

жергілікті  желіде  жалпы  қатынас  құруға  ашық  серверлер  болған  жағдайда 

қолданылмақ.  Көрсетілген  сұлбада  қорғалатын  жабық  ішкі  желі  және 

қауіпсіздігі төмен ашық ішкі желі қамтылады. 

 

 



 

18 -  сурет  Қорғалмайтын ашық және қорғалатын жабық ішкі желілер 

сұлбасы 

 

Берілген  сұлбаны  ашық  ішкі  желіге  қауіпсіздік  бойынша  талаптары 



орташа болған кезде қолдану ыңғайлы болып табылады. 

Ал  егер  ашық  ішкі  желіге  қауіпсіздік  бойынша  талаптары  жоғары  болса, 

онда бөлінген қорғалатын ашық және жабық ішкі желі сұлбасын қолдану қажет. 

Бөлінген  қорғалатын  ашық  және  жабық  ішкі  желілер  сұлбасы  берілген 

сұлба үш желілік интерфейсі бар бір ЖЭ негізінде немесе екі желілік интерфейсі 

бар  қос  ЖЭ  негізінде  құрастырылады.  Екі  жағдайда  ашық  және  жабық  ішкі 

желілерге қол жетімділік желіаралық экран арқылы іске асады.  

Берілген  екі  сұлбалардың  ішінде  желіаралық  әрекеттесудің  қауіпсіздік 

деңгейінің  көрсеткіші  жоғары  –  екі  желіаралық  экрандары  бар  сұлба  болып 

табылады.  Қорғалатын  ашық  ішкі  желі  экрандаушы  ішкі  желі  ретінде  әрекет 

етеді. 

Экрандаушы ішкі желі арқылы мүмкін болатын қауіпті сыртқы желі және 



қорғалатын  жабық  желі  компьютерлеріне  қатынас  құру  қамтамасыз  етіледі. 

Бірақ  сыртқы  желі  мен  жабық  ішкі  желі  арасында  тікелей  ақпарат  алмасу 

мүмкіндігі  қолдау  таппаған.  Экрандаушы  ішкі  желі  жүйелеріне  шабуылды 

жүзеге  асыру  үшін  алдымен  қорғаудың  екі  тәуелсіз  шектерін  өткізу  қажет. 

Желіаралық  экрандар  күйінің  мониторинг  құралдары  іс  жүзінде  шабуылдарды 

анықтауға  мүмкіндік  береді  және  жүйе  әкімшісі  рұқсатсыз  қатынас  құруға 

қарсы, қажетті уақытында керек әрекеттерді жасай алады.    


 

47 


 

47 


 

 

 

19 – сурет  Бір желіаралық экран негізінде үш желілік интерфейсі бар 



бөлінген қорғалатын ашық және жабық ішкі желілер сұлбасы 

 

 



 

20 - сурет  Екі желіаралық экран негізінде екі желілік интерфейсі  бар                      

бөлінген қорғалатын ашық және жабық ішкі желілер сұлбасы 

 

Сонымен  қатар  ұйымның  қашықтағы  қолданушылармен  жұмысы 



қауіпсіздік саясаты бойынша жүргізілуі тиіс. Бұл мәселенің қарапайым шешімі – 

терминалды  серверді  орнату.  Терминалды  сервер  жергілікті  желінің  бір 

интерфейсі және бірнеше асинхрондық порттары бар жүйе. Жергілікті желі мен 

асинхронды  порттар  арасында  ақпарат  алмасу  сыртқы  қолданушы 

аутентификацияны өткен соң жүзеге асырылады.  

Терминалды  сервердің  жұмысы  тек  қана  желіаралық  экран  арқылы  іске 

асырылу  керек.  Бұл  қашықтағы  қолданушылардың  ұйымның  ақпарат 

ресурстарымен жұмыс істеуі кезінде қауіпсіздіктің қажетті деңгейін қамта-масыз 

етеді. 

Терминалды  сервердің  бағдарламалық  қамтамасы  коммутация  арналары 



арқылы  байланыс  сеанстарына  әкімшілік  ету,  сонымен  қатар  бақылау 

 

48 


 

48 


мүмкіндіктерін  ұсыну  керек.  Қазіргі  терминалдық  серверлердің  бақылау 

модульдері  көптеген  қауіпсіздік  мүмкіндіктерімен  қамтамасыз  етілген,  оның 

ішінде: 

 



тізбекті  портқа,  әкімші  құралдарына  қашықтан  және  тікелей  қатынас 

құруға  жергілікті құпия сөзді қолдану;    

 

жергілікті  желінің  кез  келген  компьютерінен  аутентификация 



сұранысын жүзеге асыру;  

 



аутентификацияның сыртқы құралдарын пайдалану; 

 



терминалды  сервердің  порттарына  қатынас  құрудың  бақылау  тізімін 

орнату; 


 

терминалды сервер арқылы байланыс сеанстарын хаттамалау. 



 

 

 



 

 

 



 

49 


 

49 



Достарыңызбен бөлісу:
1   2   3   4   5   6   7




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет