Тораптың қатынас құру саясаты
МАЗМҰНЫ
Тапсырма
Аңдатпа
Мазмұны
Кіріспе 8
1 Торапаралық экранға кіріспе 10
1.1 Торапаралық экрандардан туындайтын проблемалар 14
1.2 Торапаралық экрандардың компоненттері 16
1.3 Күшейтілген аутентификация 18
1.4 Дестелерді сүзгіден өткізу 20
2 Дербес торапаралық экрандар түрлері 28
2.1 ESafe Desktop торапаралық экранының жалпы түсінігі 28
2.2 Sygate Personal Firewall торапаралық экранының жалпы түсінігі 30
2.3 Norton Internet Security торапаралық экранының жалпы түсінігі 32
2.4 Agnitum Outpost Firewall дербес торапаралық экранын орнату және
келтіру 34
2.5 Tiny Personal Firewall дербес торапаралық экранның орнату және
баптау 91
2.6 Дербес торапаралық Zone Alarm экранды орнату және баптау 110
3 Экономикалық бөлім 141
3.1 Жалпы жағдай 141
3.2 Экономикалық есептер 143
4 Еңбек қорғау бөлімі 147
4.1 Дербес компьютерде жұмыс істегендегі еңбек қорғау ережелері 147
4.2 Есептеулер 159
Қорытынды 166
Қолданылған әдебиеттер 167
Қосымша А 168
АҢДАТПА
Дипломдық жобада дербес торапаралық экрандардың негіздері және оның
іске асырылу жолдары қарастырылған. Бұл дипломдық жобада дербес торапаралық
экрандар, Интернет қорғанысының негіздері және “Дербес торапаралық
экрандарды” жасау туралы теориялық деректер келтірілген. Корпоративті
тораптарды Интернет шабуылдан қорғау мәселелері қарастырылған.
АННОТАЦИЯ
В данном дипломном проекте рассмотрены основы и пути практической
реализации “Персональных брандмауэров”. В этом дипломном проекте
рассматриваются теоретические данные о персональных брандмауэрах, основах
Интернет защиты и о создании “Персональных брандмауэров” в данное время,
рассматриваются вопросы о защите корпоративных сетей от атак.
ANNOTATION
In the given degree project questions of a basis and a way of
practical realization of "Firewall” are considered. In this degree project
the theoretical data on Firewall, bases of protect and safety on creation
of Firewalls system at present are considered (examined), reports of
quantum cryptography, their evident circuits of practical application,
reports of distribution of the key information and the data on distribution
of keys in optical channels are considered (examined).
КІРІСПЕ
Глобальды компьютерлік тораптардың қарқынды дамуы, ақпарат іздеудің
жаңа технологияларының пайда болуы жеке тұлғалар және ұйымдардың назарын
Интернет торабына аударуды. Көптеген компаниялар өз жергілікті және
корпоративті тораптарын Интернетпен қосуды жөн көріп отыр. Интернетті
коммерциялық мақсаттарда, жасырын мәліметтері бар ақпараттармен алмасуда
пайдалану кезінде деректерді қорғаудың сенімді жүйелерін тұрғызуды талап
етеді. Интернет торабын пайдаланудың жағымды жақтары өте көп, бірақ, басқа
да жаңа технологиялар сияқты оның да кемшіліктері бар. Глобальды
тораптардың дамуы пайдаланушылардың ғана санын арттырып қойған жоқ, сонымен
қатар Интернетке қосылған компьютерлерге шабуылдардың да санын күрт
арттырды. Компьютерлердің қорғалмағандығынан жыл сайын шығындар 10 миллион
АҚШ долларынан асып жығылады. Сондықтан, жергілікті немесе корпоративті
тораптарды Интернетке қосқан кезде оның ақпараттық қауіпсіздігін қамтамасыз
ету керек.
Интернет торабы ақпаратпен еркін алмасу үшін арналған ашық жүйе болып
жасалған. Интернет торабы көп мүмкіндіктерді қолдағандықтан ақпараттық
жүйелерге еніге зор мүмкіндіктерді ашады.
Интернет арқылы бұзушы:
1) кәсіпорынның торабына еніп, жасырын ақпаратқа қол жеткізеді;
2) кәсіпорын үшін маңызды әрі бағалы ақпаратты көшіріп алады;
3) құпиясөздерді, серверлер мекен-жайларын және ішіндегілерін ала
алады;
4) кәсіпорынның ақпараттық жүйесіне кіріп, тіркелген пайдаланушы
атынан кіре алады.
Егер бұзушы ақпараттарға қол жеткізсе, онда кәсіпорынның беделіне әрі
жұмыс істеу қабілетіне орасан зор зиян келуі мүмкін.
Ішкі торап үшін мүмкін болатын қатерлерге төтеп беретін мәселелердің
біразын торапаралық экрандар шешуге қабілетті. Торапаралық экран - әр
торабты екі немесе одан да көп бөліктерге бөліп, деректері бар дестелердің
шекара арқылы бір бөліктен екінші бөлікке өтуін анықтайтын ережелердің
жиынын жүзеге асыратын торапаралық қорғау жүйесі. Әдетте, бұл шекара
жергілікті тораб және Интернет арасында жүргізіледі. Торапаралық экрандарды
пайдалану кәсіпорынның тораб қауіпсіздігінің ішкі саясатын ұйымдастыруға
мүмкіндік береді. Бұл корпоративті торап қауіпсіздігі сәулетінің негізгі
ұстанымдарын қалыптастыруға мүмкіндік береді:
1) құпиялылықтың N категорияларын енгізу және пайдаланушылардың
сәйкесінші N бөлінген торабтық сегменттерін жасау, бұл жағдайда торабтық
сегменттің әр пайдаланушысы құпиялылықтың бірдей деңгейіне ие болады,
бұл құрылым әр түрлі құпиялылық деңгейі бар ақпарат ағымын араластыруға
болмайтындығын түсіндіріледі;
2) компанияның барлық ішкі серверлерін жеке бір сегментке бөлу. Бұл
әдіс сонымен қатар әр түрлі құпиялылық деңгейлері бар
пайдаланушылар арасында ақпарат ағымына тиым салады;
3) компанияның Интернеттен қатынас құра алатын барлық серверлерін
жеке сегментке бөлу;
4) әкімшілік басқарманың жеке сегментін жасау;
5) қауіпсіздік басқармасының жеке сегментін жасау.
Торапаралық экран өзі арқылы барлық трафикті өткізеді және барлық
өткен дестені қабылдап, өған өтуге рұқсат беруін және бермеуін шешеді.
Торапаралық экран осы операцияны орындауы үшін ол сүзгілеудің ережелер
жиынын анықтап алуы керек. Торапаралық экран көмегімен белгілі бір
хаттамалар мен мекен-жайларды сүзгілеу жөніндегі шешімді қабылдау
қорғалатын торабта қабылданған қауіпсіздік саясатына байланысты.
Торапаралық экран - ңдалған қауіпсіздік саясатын іске асыру үшін жөнделетін
компоненттер жинағы болып табылады.
Әр ұйымның торабтық қауіпсіздік саясаты екі құраушыдан тұрады:
1) торабтық қызметтерге қатынас құру саясаты;
2) торапаралық экрандарды жүзеге асыру саясаты.
Торапаралық экран қызметтерге қатынас құру саясаттарының бірнешеуін
іске асыра алады. Әдетте торабтық қызметтерге қатынас құру саясаты келесі
ұстанымдарға негізделген:
1) интернеттен қатынас құруға тыйым салу және ішкі торабтың Интернетке
шығуына рұқсат беру;
2) интернеттен ішкі торабқа шектулі рұқсат беру (мысалы, ақпараттық
және пошталық жүйелеріне ғана рұқсат беру).
Торапаралық экрандарға функционалдық талаптар:
1) торабтық деңгейдегі сүзгілеу;
2) қолданбалар деңгейіндегі сүзгілеу;
3) сүзгілеу ережелерін жөндеу және әкімшілеу;
4) торабтық аутентификация құрылғылары;
5) журнал енгізу және қадағалау.
Ішкі торабты торапаралық экран арқылы қорғау тиімділігі торабтық
қызметтерге және торабтың қорларына қатынас құру тек таңдалған қауіпсіздік
саясатынан ғана емес, сонымен қатар торапаралық экранның негізгі
құраушыларын таңдау мен пайдаланудан тәуелді.
1 ТОРАПАРЫЛЫҚ ЭКРАНҒА КІРІСПЕ
Бұрыннан бар, жақсы танымал технологияны және хост деңгейіндегі қорғау
шараларын қолдану арқылы Интернеттегі қауіпсіздіктің бірқатар мәселелерін
шешуге, ең болмағанда олардың қауіптілігін азайтуға мүмкіндік бар.
Торапаралық экран мекеменің немесе ұйымның тораптарындағы қауіпсіздік
деңгейлерін едәуір жоғарлатып, сонымен қатар Интернеттің барлық
ресурстарына қатынас құру мүмкіндігін сақтап қалады. Бұл бөлімде
торапаралық экранға жалпы шолу беріліп, осал орындардағы қауіпті жоюдағы
олардың мүмкіндіктеріне, торапаралық экрандардың және оны құрайтын
компоненттердің неден қорғай алмайтындықтарына талдау жасалады. Бұл бөлімде
күшейтілген аутентификацияны қолдануға және қорғау тәсілін торапаралық
экранның қалай жүзеге асырылатын дығын анықтау кезіндегі қауіпсіздік
саясатының маңыздылығына ерекше назар аударылады. 1.1-ші суретте бағыт
бағдарғылағышты және қолданбалы арналы торапаралық экрандар көрсетілген.
1.1-ші сурет – Бағыт бағдарғылағышты және қолданбалы арналы
торапаралық экрандарға мысал
Торапаралық экранға түсінік
Алдымен, не нәрсенің торапаралық экранға болып табылмайтынына түсінік
беруден бастаған жөн секілді. Торапаралық экран – бұл тораптағы
қауіпсіздікті қамтамасыз ететін жәй ғана бағытбағдарғылауыш, хост немесе
жүйелер тобы емес. Нақтырақ түсінік беретін болсақ, торапаралық экран –
қауіпсіздіктің бір тәсілі секілді, ол қызметтік белгілі бір түріне
байланысты қауіпсіздік саясатын жүзеге асыруға көмектеседі, және осы
саясатты тораптық конфигурацияда, хосттар мен бағытбағдарғылауыштарда, және
де статикалық парольдің орнындағы күшейтілген аутентификация сияқты
қорғаудың басқа да шараларын да жүзеге асырумен анықталады.
Торапаралық экран жүйесінің негізгі мақсаты – қорғалатын торапқа
қатынас құруды (оған немесе одан) басқару.
Торапаралық экран тораптың қатынас құру саясатын жүзеге асырады, ол
үшін тораппен байланыстың барлығын торапаралық экран арқылы орнатуға мәжбүр
ете отырып, орнатылған байланыстарды талдап, қажет еместерін қабылдамай
тастау мүмкіндігін иемденеді. Торапаралық экран жүйесі бағытбағдарғылауыш,
дербес компьютер, хост немесе хосттар тобы болуы мүмкін. Хосттар онымен
жұмыс кезіндегі хаттамаларды және қызметтерді қолданбаудан торапты қорғау
үшін арнайы құралды және ішкі тораптан тыс орналасады. Әдетте торапаралық
экран жүйесі жоғарғы деңгейлі бағытбағдарғылауыштар негізінде құрылады,
әсіресе, Интернет пен торапты байланыстыратын бағытбағдарғылауыштарда
құрылады. Хосттар бөліктерін немесе ішкі тораптарды қорғау үшін басқа да
бағытбағдарғылауыштар да құруға болады.
Неге торапаралық экран керек?
Торапаралық экранрдың қолданудың негізгі себебі мынада, сіз ішкі торап
жүелеріндегі NFS және NIS сияқты қызметтің осал жерлерін қолдануға немесе
Интернеттегі хосттар тарапынан шабуылда және сканерлеу негізінде
қауіпсіздік шаралары сақталмайды. Торапаралық экрансіз тораптық қауіпсіздік
хосттар қауіпсіздігіне тәуелді және бұл жағдайда барлық хосттар
қауіпсіздіктің жоғарғы деңгейіне жету үшін өзара әрекеттесуі қажет.
Неғұрлым ішкі торап көп болса, соғұрлым барлық хосттарды қауіпсіздіктің бір
деңгейінде ұстап тұру қиын. Қауіпсіздіктегі қателіктер мен жіберіп алған
осал тұстар ойланып жасалған шабуылдар нәтижесінде емес, қарапайым
конфигурация негізіндегі қателіктердің себебінен туындайды. Торапаралық
экранды пайдалану тәсілдің торап үшін пайдасы көп және хосттар
қауіпсіздігін жоғарылатуға жәрдемдеседі.
Қызметтердегі осал жерлерден қорғану
Торапаралық экран тораптық қауіпсіздікті едәуір ұлғайтып, ішкі
тораптардағы хосттар үшін қауіпті қызметтерді сүзгілеу жолымен қауіп-
қатерлерді азайтады. Нәтижесінде ішкі торап аз қауіпсіздікке ұрынады,
себебі, қауіпсіз хаттамалар тек торапаралық экрандар арқылы өтпек.
Мысалы, торапаралық экрандар NFS сияқты осал қызметтердің осы ішкі
торап шеңберінен тыс қолданылуына тыйым сала алады. Бұл көлденең шабуыл
жасаушылардан осы қызметті қолдануды қорғайды, бірақ оларды ерекше қауіпке
ұрынбай-ақ торап ішінде пайдалануды жалғастыра береді. Сондықтан локальды
торапты администрациялаудағы шығынды азайту үшін арнайы әзірленген NFS және
NIS сияқты ыңғайлы қызметтерді еркін қолдануға болады.
Торапаралық экрандар сонымен қатар, бағытбағдарғылауыштарды қолданып
шабуылдан қорғауды қамтамасыз етеді. Мұндай бағытбағдарғылауышқа көзді
бағытбағдарғылау және ІСМР қайтабағыттаушы команданың көмегімен деректерді
беру бағытын өзгертуші бағытбағдарғылағышы жатады. Торапаралық экрандар көз
бағытбағдарлаушыдан келетін барлық дестелерді тұйықтап, ІСМР-ға бағыттап,
сонан соң осы жасалған әрекеттер жөнінде әкімшіні хабарландырады.
Торап жүйелеріне қатынас құруды басқару
Торапаралық экрандар торап хосттарына қатынас құруды басқару
мүмкіндігін де ұсынады. Мысалы, кейбір хосттарға қатынас сыртқы тораптан
ұйымдастырылады, бұл кезде басқа жүйелерге сырттан қатынас құруға мүмкіндік
болмайды. Торап өз хосттарына сырттан қатынас құруға тыйым салады, бұл
әрекеттің, әрине, пошталық серверге байланысты жұмыстарда еленбеуі де
мүмкін. Торапаралық экранрдардың мұндай қасиеттері мынадай принциптер
бойынша құрылған қатынас құруда басқару саясатына талап етіледі: қатынас
құру талап етілмейтін қызметтер немесе хосттарға қатынас құруды ұсынбау.
Басқа сөзбен айтар болсақ, шын мәнінде талап етілмейтін, тек шабуыл
жасаушылар қолдана алатын хосттар мен қызметтерге қатынас құру құқығын
берудің қажеті қанша?
Мысалы, қолданушы тораптағы өзінің жұмыс станциясы басқа біреудің
қатынас құрғанын қаламайтын болса, онда торапаралық экрандар дәл осы
саясаттың түрін жүзеге асыруға мүмкіндік береді.
Аралас қауіпсіздік
Іс жүзінде торапаралық экрандар мекеме үшін қымбатқа түспейді, себебі,
программалардағы барлық өзгерістер немесе өзгерістердің көпшілігі және
қауіпсіздік бойынша қосымша программалар хосттардың көп көлемінде емес,
торапаралық экран жүйесінде орнатылатын болады.
Жекелеген жағдайларда бір реттік парольдер жүйесі және күшейтілген
аутентификацияның басқа да қосымша программалары Интернетке қатынас құруға
қажетті әрбір жүйеде емес, тек торапаралық экрандарда ғана орнатылады.
Тораптық қауіпсіздіктің басқа тәсілдері (Kerberos сияқты) тораптағы
әрбір жүйеде программалар модификациясын талап етеді. Сондықтан, Kerberos-
та, басқа технологиялар да олардың жетістіктер жағынан қарастырылуы тиіс
және белгілі бір жағдайларда торапаралық экрандарға қарағанда тиімдірек
болып шығуы мүмкін.
Дегенмен, қолданыста торапаралық экрандар қарапайым да жеңіл, себебі
арнайы программалар тек торапаралық экрандарда талап етіледі.
Құпиялықты жоғарылату
Құпиялықтың кейбір мекемелер үшін маңызы өте зор, кейбір мекемелердегі
елеусіз ақпараттың өзі шабуыл жасаушы үшін пайдалы мәліметті қамтуы мүмкін.
Торапаралық экрандарды қолдана отырып, кейбір тораптар finger сияқты
қызметтерді және домендік қызметтерін тұйықтап тастайды. Finger мынадай
қолданушы туралы ақпараттар береді: соңғы сеанстың уақыты, почтаның
оқылғандығы және т.б. Бірақ, тағы бір айта кететін жайт ол finger шабуыл
жасаушы ақпаратқа да мәліметтер бере алады, оған мынандай мәліметтер
жатады. Жүйенің қаншалықты жиі қолданылатындығы, сол сәтте жүйеде
қолданушының жұмыс жасап отырғандығы, жүйеге ешкімнің назарын аудармастан
шабуылдың жасалу мүмкіндігі және т.б.
Торапаралық экрандар торап жүйелері жөніндегі DNS ақпараттарды
тұйықтау үшін де қолданылады, сондықтан да тораптағы хосттардың ІР-
мекенжайы Интернеттегі хосттарға танымал бола алмайды. Кейбір мекемелердің
осы ақпараттарды тұйықтай отырып, шабуыл жасаушыға тиімді ақпаратты жасыра
алатындықтарына көздері жетіп отыр.
Торапты пайдалану статистиканы және хаттамаландыру, торапқа енуге
тырысу
Егер Интернетке қатынас немесе құру торапаралық экрандар арқылы жүзеге
асырылатын болса, онда торапаралық экрандар қатынасты хаттамаландырып,
торапты пайдалану жөніндегі статистиканы көресетіп береді. Күдікті оқиғалар
(alarm) туралы сигналдардың күйге келтірілген дұрыс жүйесінде торапаралық
экрандар торапаралық экрандарға немесе торабқа шабуылдың жасалған -
жасалмағандығы жөнінде нақты мәліметтер бере алады.
Торапты қолдану жөніндегі статистика мен бақылау дәлелдемелерін жинап
отырудың маңызы зор. Торапаралық экранның барлау мен шабуылға төтеп беру
мүмкіндігін білу қажет және торапаралық экрандардың қорғау шараларының
қаншалықты адекватты екенін анықтап отырған жөн. Нәтижесінде тораптық
жабдықтар мен программаларға қойылатын талаптарды қалыптастыру үшін, қауіп-
қатерлерді талдауға зерттеулер жүргізу үшін бастапқы деректер ретінде
торапты пайдалану статистикасының маңызы зор.
Саясатты өмірде жүзеге асыру
Ең маңыздысы – торапаралық экрандарда өмірге тораптық қатынас саясатын
енгізу және іске асыру жабдықтарын ұсынады. Іс жүзінде торапаралық экрандар
қолданушылар мен қызметтер үшін қатынас құруды басқаруды қамтамасыз етеді.
Сондықтан да, тораптық қатынас құру саясаты торапаралық экранның көмегімен
жүзеге асырылады, торапаралық экрандар болмаған жағдайда қолданушының
еркіне тәуелді болмақ. Мекеме өз қолданушыларына тәуелді бола алғанымен,
Интернеттің барлық қолданушыларына тәуелді болмақ емес.
1.1 Торапаралық экрандардан туындайтын проблемалар
Жоғарыда біз торапаралық экранның жетістіктерін айтып кеттік.
Талқыланған жетістіктермен қатар, торапаралық экрандарды қолдану барысында
біршама кемшіліктер де жоқ емес, барлық торапаралық экрандардың кез келген
проблемадан қорғауға мүмкіндігі бар деп, біржақты анықтама беруге болмайды.
Интернетпен байланысты қауіпсіздік проблемаларында торапаралық экран
панацея бола алмайды.
Қажетті қызметтерге қатынас құрудағы шектеулер
Торапаралық экрандардың ең таңқаларлық кемшілігі TELNET, FTP X
Windows, NFS және т.б. сияқты қолданушылар қолданатын қызметтердің түрлерін
тұйықтап тастайды. Бұл кемшіліктер тек торапаралық экрандарға ғана тән
емес, тораптық қатынас қауіпсіздік саясатына сәйкес хосттар деңгейінде
қорғау кезінде де шектелуі мүмкін.
Қауіпсіздік талаптары мен қолданушылар қажеттіліктері арасындағы
тепетеңдікпен сипатталатын қауіпсіздіктің жақсы ойластырылған саясаты
қызметке шектелген қатынас құру арқылы проблеманы шешуде үлкен көмек
тигізбек.
Кейбір тораптар торапаралық экрандарды қолдануға мүмкіндік бермейтін
немесе NFS сияқты қызметтерді пайдалануға шектеу қоятын топологияны қамтуы
мүмкін, осылайша торапаралық экрандарды пайдалану тораптағы жұмыс кезінде
шектеулерді талап етеді. Мысалы, торапта негізгі бағытбағдарғылаушылар
арқылы NFS және NIS-ті қолдану талабы қойылсын. Мұндай жағдайларда
торапаралық экрандарды орнату құнын шығынмен салыстыру қажет. Қауіп-қатерді
талдап, оның нәтижелерінің негізінде шешім қабылдау торапаралық экрандар
қорғайтын осал жерлерді пайдаланып жасалатын шабуылдардың негізінде болмақ.
Ақпарат қауіпсіздігін қорғауда басқа шешімдер қабылдауға да болады.
Мысалы, Керберос. Дегенмен, бұл шешімнің кемістеу жағы да жоқ емес.
Қалып қойған осал орындардың санының көптік жағдайы
Торапаралық экрандар торапқа жасырын кіруден қорғамайды. Мысалы,
торапаралық экрандар арқылы қорғалған торапқа модем арқылы шексіз қатынас
құруды жүзеге асыруға болатын болса, шабуыл жасаушылар торапаралық
экрандарды тиімді айналып кете алады.
Қазіргі модемдердің жылдамдығы SLIP (Serial Line IP) және PPP (Point-
to-Point Protocol)-ді қолдануға мүмкіндік береді. SLIP немесе PPP қорғалған
торап ішіндегі байланыстар тораппен байланыстың бір түрі болып табылады
және потенциалды осал орын болып саналады. Егер модемге шексіз қатынас құру
мүмкіндігі берілген болса, онда торапаралық экрандардың қажеті қанша?
Өз қызметкерлерінің шабуылынан қорғаудың нашар тәсілі
Торапаралық экрандар әдетте ішкі қауіп-қатерлерден қорғауды қамтамасыз
ете алмайды. Торапаралық экрандар сын деректерді бөтен адамдардың алуынан
қорғағанымен де, өз қызметкерлерінің деректерді таспаға немесе дискетаға
көшіріп, тораптан тыс жерге алып кетуінен қорғай алмайды. Сондықтан,
мекеменің ішінде торапаралық экрандардың болуы ішкі қауіп-қатерлердің
болмайтындығына кепілдік бере алмайды, мекеме ішкі торап жұмыстарында
торапаралық экрандарды қолданудың өзінде ақпараттар түрлі шабуылға ұшырап
жатады. Егер деректерді ұрлаудың басқа тәсілдері болатын болса, торапаралық
экрандарға елеулі ресурс қосудың қажеті де болмас.
Басқа да мәселелер
Торапаралық экрандармен басқа да көптеген проблемалар байланысты:
1) WWW, gopher – торапаралық экрандармен біріккен жұмысқа арналған WWW,
gopher, WAIS сияқты жаңа ақпараттық серверлер мен клиенттер, олардың
жаңалықтарын қолдану қиын, арнайы деректерді беру көмегімен шабуыл
ұйымдастырудың потенциалды мүмкіндігі бар, мұнда клиенттер өңдейтін
деректер клиентке команданы қамтуы мүмкін, бұл командалар клиентте
қатынас құруды басқару жабдықтарының параметрлерін өзгертуге, клиент
машинасын қорғаумен байланысты маңызды файлдарды модифицирлеуге мәжбүр
етеді;
2) MBONE – сөз бен көріністерді қамтитын IP (MBONE) көмегімен топтап
жіберу, басқа дестелерде инкапсулирленеді, торапаралық экран әдетте
бұл дестенің мазмұнын тексерместен өткізіп жібереді, MBONE типті
беріліс қорғау жабдықтары жұмыстарының параметрлерін өзгертетін және
қаскүнемге қатынас құру мүмкіндігін ала алатын командаларды қамтитын
дестелерден тұрса, онда елеулі қауіп-қатер төндіреді;
3) вирустар – Интернеттік архивтен вирус жұқтырылған программаларды
дербес ЭЕМ-ге жүктейтін немесе вирус жұқтырылған программаларды хатқа
қосымша ретінде беретін қолданушылардан торапаралық экран қорғай
алмайды, мұндай программалардың кодталуына байланысты немесе көптеген
тәсілдер арқылы сығылуына байланысты, торапаралық экрандар мұндай
программаларды сканерлей алмайды және вирустар белгілерін анықтай
алмайды, вирустар проблемасы жалғасып отырады және қорғаудың басқа
вирусқа қарсы шараларының көмегімен ғана шешімін таппақ;
4) өткізу мүмкіндігі – торапаралық экрандар потенциалды тар орын болып
табылады, себебі барлық байланыстар торапаралық экрандар арқылы өту
керек және кейбір жағдайларда торапаралық экрандар арқылы ондай
орындарды зерттеуге тура келеді, соған қарамастан, қазіргі уақытта бұл
проблема емес, себебі мұндай торапаралық экрандар деректерді 1.5Мбитс
жылдамдықта өңдейді, ал интернетке қосылған тораптардың көпшілігі
жылдамдығы осыған тең немесе кемдеу қосылыстарды қамтиды;
5) торапаралық экрандар жүйесі қауіпсіздікті бір орында жүзеге асырады,
жүйе топтарының арасында үлестірілмейді, торапаралық экрандар
мүмкіндігінің төмендегі ішкі тораптағы нашар қорғалған жүйелер үшін
өте қиын, бұл тезиске мынадай контраргумент қарама-қайшы тұра алады,
ішкі тораптар ұлғайған сайын, осал орындардың пайда болу мүмкіндігі де
жоғары.
Осындай кемшіліктерге қарамастан NISТ мынадай кеңес береді: мекеме өз
ресурстарын брандмауэрдің және басқа да қауіпсіздік жабдықтарының көмегімен
қорғауы тиіс.
1.2 Торапаралық экрандардың компоненттері
Торапаралық экрандардың негізгі компоненттері мыналар болып табылады:
1) тораптың қатынас құру саясаты;
2) күшейтілген аутентификация механизмдері;
3) дестелерді сүзгілеу;
4) қолданбалы арналар.
Төмендегі бөлімдерде осы қомпоненттердің әрқайсысына нақты түсініктер
беріледі.
Тораптың қатынас құру саясаты
Торапаралық экрандар жүйесін жобалауға, орнатуға және қолдануға әсер
ететін тораптық қатынас құру саясатының екі түрі бар.
Жоғарғы деңгейлі саясат – проблемалы концепциалды саясат болып
табылады және мыналарды анықтайды:
1) қорғалатын тораптық қатынастың қандай сервистер үшін ашық немесе
тыйым салынғандығын анықтайды;
2) бұл сервистер қалай қолданылады;
3) саясат қандай жағдайда сақталады және қандай жағдайда
сақталмайды.
Төменгі деңгейлі саясат – жоғарғы деңгейлі саясатта көрсетілген
сервистердің қайсысынына торапаралық экрандар шын мәнінде сүзгіден өткізеді
және қатынас құру мүмкіндігін шектейді, міне осыны анықтайды.
Сервистерге қатынас құру саясаты
Сервистерге қатынас құру саясаты жоғарыда баяндалған проблемаларға
тиянақталуы тиіс, бұған торапқа сырттан қатынас құру (яғни, модем арқылы
байланысу саясаты. SLIP немесе PPP байланыстары) да кіреді. Бұл саясат
мекемедегі ақпараттық ресурстарды қорғауға байланысты сол жердің жалпы
саясатымен нақтылануы тиіс. Торапаралық экрандар оларды сәтті қорғау үшін,
сервистерге қатынас құру саясаты анық нақты болуы тиіс және торапаралық
экрандарды орнатар алдындағы соған жауапты адамдармен келісілуі тиіс.
Нақты шындық саясат – танымал қауіп-қатерлерден торапты қорғаумен
тораптық ресурстарға қолданушылардың қатынасын қамтамасыз ету уақытысы
арасында тепе-теңдік табуы қажет. Егер торапаралық экрандар жүйесі кейбір
сервистерді қолдануға тыйым салса немесе шектеу қоятын болса, онда саясатты
осыған сәйкес қатаңдық шаралары баяндалуы тиіс, бұл қатынас құруды басқару
жабдықтарының параметрлерін өзгертуді болдырмайды.
Басшылықтың қолдауына сүйенген нақты саясат қана осы әрекеттерді
қамтамасыз ете алады.
Торапаралық экрандар сервистерге қатынас құрудың бірқатар саясатын
жүзеге асыра алады, бірақ әдетті саясат Интернеттен торапқа қатынас құруға
тыйым салып, тораптан Интернетке ғана қатынас құруға мүмкіндік бере алады.
Басқа әдетті саясат Интернеттен кейбір қатынастарды құруды жүзеге асырады,
бірақ ақпараттық серверлер және пошталық серверлер сияқты таңдаулы
жүйелерге ғана қатынас құру мүмкіндігін береді.
Торапаралық экрандар Интернеттен кейбір таңдаулы хосттармен жұмыс
жасау үшін торап қолданушыларына мүмкіндік беретін сервистерге қатынас құру
саясатын жиі жүзеге асырады. Бұл қатынас күшейтілген аутентификациямен
үйлескенде ғана ұсынылмақ.
Торапаралық экрандар жобасының саясаты
Бұл саясат нақты торапаралық экрандарға тән. Ол сервиске қатынас құру
саясатын жүзеге асыру үшін қолданылатын ережені анықтайды. Бұл саясатты
торапаралық экрандардың мүмкіндіктері мен шектеулерін, қауіп-қатерлері мен
ТСРІР-ге байланысты осал жерлері сияқты сұрақтарды түсінбестен әзірлеуге
болмайды.
Әдетте жобаның екі негізгі саясаты жүзеге асырылады:
1) сервис үшін қатынас құруға мүмкіндік беру, егер ол тыйым салынбаған
болса;
2) сервис үшін қатынас құруға тыйым салу, егер оған рұхсат етілмеген
болса.
Бірінші саясатты жүзеге асыратын торапаралық экрандар барлық
сервистерді торапқа жасырын өткізіп жібереді, бірақ бұл сервис қатынас
құруды басқару саясатында тыйым салынбаған болуы тиіс. Екінші саясатты
жүзеге асыратын торапаралық экрандар жасырын түрде барлық сервистерге тыйым
салады, бірақ рұхсат етілген сервистер тізімінде көрсетілген сервисті ғана
өткізіп отырады.
Екінші саясат ақпараттық қауіпсіздіктің барлық саласында қолданылатын
қатынас құрудың классикалық моделін ұстанады.
Бірінші саясаттың ұстанымы аздау, себебі, торапаралық экрандарды
айналып өту тәсілдерін көбірек ұстанады. Мысалы, тыйым салынбайтын немесе
саясатта көрсетілмеген саясат арқылы жаңа сервистерге қолданушылар қатынас
құру мүмкіндігін ала алады, немесе саясат тыйым салмаған ТСРUDP стандартты
емес порттарында тыйым салынған сервистерді жібере алады. X Windows, FTR,
ARCHIE және RPC сияқты белгілі бір сервистерді сүзгіден өткізу қиын, олар
үшін бірінші саясатты жүзеге асыратын торапаралық экрандар ыңғайлы.
Екінші саясат қатаңдау және қауіпсіздеу, бірақ оны жүзеге асыру
қиынырақ және жоғарыда көрсетілген сервистер тұйықталған жағдайда және
оларды қолдануға шектеу қойылған жағдайда қолданушылар жұмысына әсерін
тигізбей қоймайды.
Сервиске қатынас құрудың концептуалды саясаты мен оған сәйкес екінші
бөлім арасындағы өзара байланыс жоғарыда баяндалған. Бұл өзара байланыс
мынадан пайда болады: сервиске қатынас құру саясатын жүзеге асыру
торапаралық экрандар жүйесінің мүмкіндіктері мен шектеулеріне қатты
тәуелді.
Мысалы, сервиске қатынас құру саясатымен рұхсат етілген сервистерге
тыйым салу қажеттілігі туындайды, егер ондағы осал жерлер төменгі деңгейлі
саясатпен тиімді бақыланбайтын болса, және егер тораптың қауіпсіздігі
бәрінен де маңызды болса. Басқа жағынан алсақ, осы сервистерге тікелей
тәуелді мекеме өз тапсырмаларын шешу кезінде үлкен қауіпке бас тіге отырып,
осы сервистерге қатынас құру мүмкіндігін алады. Бұл өзара байланыс мынаған
келіп тіреледі: екі саясаттың қалыптасуы интерактивті үрдіске айналады.
Сервиске қатынас құру саясаты – жоғарыда баяндалған төрт компоненттің
ең маңыздысы. Қалған үш компоненті саясатты жүзеге асыру үшін қолданылады.
Торапты қорғау кезіндегі торапаралық экрандар жүйесінің тиімділігі оны
жүзеге асыру түріне байланысты және онымен жұмыс процедурасының дұрыстығына
және сервиске қатынас құру саясатына байланысты болмақ.
1.3 Күшейтілген аутентификация
Көптеген жылдар бойы қолданушыларға шешілуі қиын пароль таңдап, оны
ешкімге жарияламау жөнінде кеңес беріліп келеді. Қолданушы бұл кеңесті
қатаң ұстанғанмен де, қаскүнемдердің интернеттегі каналдарды бақылап, онда
берілетін парольдерді ұстап алу оқиғаларының жиілігі дәстүрлі парольді
ескіртіп отыратыны сөзсіз.
Күшейтілген аутентификацияның көптеген шаралары әзірленді, оған: смарт-
карта, биометриялық механизмдер, программалық механизмдер жатады. Бұлардың
барлығы жәй парольдарды осалдылықтан қорғау үшін ойластырылған шаралар.
Олардың бір-бірінен ерекшеліктері болғанымен, ұқсатықтары бір жерде
түйіндеседі. Күшейтілген аутентификация құрылғысымен генерацияланатын
парольдерді байланыс трафиктерін ұстайтын шабуыл жасаушылар тарапынан қайта
қолданылмайды. Интернетке парольге байланысты үнемі проблема
туындайтындықтан күшейтілген аутентификация жабдықтарын қамтитын
торапаралық экрандар интернетпен байланыс үшін парольдерді қолданбайды.
Күшейтілген аутентификацияның танымал құрылғылары, бүгінгі таңда
қолданылатын құрылғы – бір реттік парольді жүйелер деп аталады.
Смарт –карта, мысалы хосттың дәстүрлі пароль орнына қолданатын жауабын
генерациялайды. Смарт-карта хосттағы программамен немесе жабдықтармен
бірігіп жұмыс істейтіндіктен, генерацияланатын жауаптар әрбір орнатылған
сеанс үшін ерекше болмақ.
Нәтижесінде бір реттік пароль болып табылады. Егер оны ұстанған
жағдайда да қаскүнем хостпен жұмысты орнату үшін қолданушының бейнесіне
еніп, оны қолданып кете алмайды.
1.2-ші сурет – TELNET, FTP трафиктеріналдын ала аутентификациялау үшін
брандмауэрде күшейтілген аутентификацияны қолдану
Торапаралық экрандар торапқа қатынас құруды басқаруды орталықтандыра
алатындықтан, олар программаны орнатуға арналған логикалық орын немесе
күшейтілген аутентификация құрылғысы болып табылады. Күшейтілген
аутентификация шаралары әр хостта пайдаланғанымен де, олардың торапаралық
экрандарда орналастыру тәжірибесі кеңінен қолданылып отыр.
1.2-суретте күшейтілген аутентификация шараларын қолданатын
торапаралық экрандарсыз торапта TELNET немесе FTP қосымшалар сияқты
аутентифирленбеген трафиктердің тораптағы жүйелерге тікелей өтетіндігі
көрсетілген. Егер хосттар күшейтілген аутентификация шараларын қолданбайтын
болса, онда қаскүнем парольді бұзуға немесе жұмыс барысында пароль
берілетін сеанстарды табу мақсатында тораптық трафикті ұстап қалуға
тырысады. 2-сурет, сонымен қатар, күшейтілген аутентификацияны қолданатын
торапаралық экрандар торапты көрсетеді. Онда Интернет тарапынан торап
жүйесін қамти отырып орнатылған TELNET немесе FTP сеанстары жұмыс басталар
алдында күшейтілген аутентификацияның көмегімен тексеруден өткізіледі.
Торап жүйелерінің өзі өзіне қатынас құрар алдында статикалық парольді талап
етуді жалғастыра алады, бірақ бұл парольдарды ұстап алғанмен, олар
қолданысқа жарамсыз болып қалады, себебі күшейтілген аутентификация және
басқа да торапаралық экрандар комоненттері қаскүнемге торапқа енуге немесе
торапаралық экрандарды айналып өтуге мүмкіндік бермейді.
1.4 Дестелерді сүзгіден өткізу
ІР-дестелерді сүзгіден өткізуді қамтитын бағытбағдарғылаушылардың
көмегімен орындалады. Бұл әрекет дестелердің бағытбағдарғылаушылар
интерфейстері арасында берілуі кезінде жүзеге аспақ.
Сүзгілеуші бағытбағдарғылаушы әдетте ІР-дестелерді сүзгіден мынадай
өрістер топтарының негізінде өткізеді. Өрістер топтары келесі дестелер
өрістерінен таңдалады:
1) жіберушінің ІР-мекен-жайы;
2) қабылдаушының ІР-мекен-жайы;
3) ТСРUDP жіберуші порты;
4) ТСРUDP қабылдаушы порты.
Сүзгілеуші бағытбағдарғылаушылардың барлығы бірдей жіберушінің ТСРUDP-
порты бойынша сүзгілей алмайды, дегенмен көптеген осы саланың мамандары
осындай мүмкіндікті іске қоса бастады.
Кейбір бағытбағдарғылаушылар бағытбағдарғылаушы қандай тораптың
интерфейсінен дестенің келгенін тексереді, сонан соң осы ақпаратты
сүзгілеудің қосымша критериі ретінде қолданады UNIX-тің кейбір версиялары
дестелерді сүзгілеу мүмкіндігін қамтиды. Сүзгілеу түрліше мақсатта, әрқалай
қолданылады, жекелеген хосттарға немесе тораптарға, хосттардан немесе
тораптардан байланыстарды тұйықтау үшін қолданылмақ.
Мекемеде сенімсіз және зиянды болып табылатын хосстар мен тораптарды
тұйықтау қажеттілігі туындасын немесе мекемеге сырттан қосылған (SLIP-
почтаны алу) барлық адрестермен байланыстарды тұйықтау қажет болсын.
Сүзгішті ТСР және UDP порттары арқылы ІР-адрес бойынша сүзгілеуге қосу
ыңғайлы жұмыс түрін береді. TELNET домен сияқты серверлер нақты бір
порттармен байланысқан, TELNET үшін порт 23. Егер торапаралық экрандар
белгілі бір порттарға немесе бір хосттармен байланыс түрін анықтайтын
саясатты қолдануға тура келеді. Мысалы, мекеме торапаралық экрандар
құрамына кіретін бірнеше жүйеден басқа барлық хосттар үшін кіріс
байланыстарын туындатқысы келді. Мұндай жүйелер үшін тек белгілі бір
сервистерді қолдануға ғана мүмкіндік бар, айтарлық, бір жүйе үшін SLIP,
басқалары үшін TELNET немесе FTP. ТСР және UDP порттары бойынша сүзгілеу
кезінде бұл саясатты хосттарды сүзгілеу мүмкіндіктерін қамтитын немесе
дестелерді сүзгілеу мүмкіндіктерін қамтитын бағытбағдарғылаушыларды оңай да
жеңіл жүзеге асыру мақсатында қолдануға болады. Олар 1.3-ші суретте
көрсетілген.
1.3-ші сурет – TELNET және SLIP үшін дестелерді сүзгілеуге мысал
Мысал үшін тораппен 123.4.*.* мекен жайы арқылы тек белгілі бір
байланысқа рұхсат ету саясатын қарастыралық. TELNET байланысы бір ғана
хостпен байланыса алады, 123.4.5.6, ол тораптың қолданбалы TELNET арнасы
болуы мүмкін, ал SLIP-байланыс екі хостпен байланыса алады, 123.4.5.7 және
123.4.5.8, бұл өз кезегінде тораптың екі почталық арансын құрайды. NNTP
(Network News Transfer Protocol) жаңалықтар серверінің торабымен өзара
әрекеттесуді жүзеге асырады, 129.6.48.254, және тек қана тораптың NNTP-
серверімен байланысады, 123.4.5.9, ал NNTP хаттамасы (тораптық уақыт)
барлық хосттар үшін байланыс орнатуға әзір. Барлық басқа сервистер мен
дестелер тұйықталады. Ережелер жиынына мысал төменде берілген.
1.1-ші кесте – Ережелер жиыны
Типі Жіберуші адресіҚабылдаушы Көз порты Алушы порты Әрекеттер
адресі
Tcp * 123.4.5.6 1023 23 рұхсат
Tcp * 123.4.5.7 1023 25 рұхсат
Tcp * 123.4.5.8 1023 25 рұхсат
Tcp 129.6.48.254 123.4.5.9 1023 119 рұхсат
Udp * 123.4.*.* 1023 123 рұхсат
* * * * * Рұхсат
етпеу
Бірінші ереже ТСР дестелерді Интернеттің кез келген көзінен өткізуге
мүмкіндік береді, егер 23 портпен байланыс орнатылатын болса, 123.4.5.6
адресіне 1023-тен артық жіберуші порты қамтиды.
Порт 23-бұл TELNET серверімен байланысты порт, ал TELNET-тің барлық
клиенттері 1024-тен артық портты қолданулары қажет. Екінші және үшінші
ережелердің жұмыстары ұқсас 123.4.5.7 және 123.4.5.8 және порт 25 – SLIP
белгілеу адрестерін қамтиды. Төртінші ереже NNTP-торап серверіне дестелерді
өткізіп отырады, тек 119 белгілеу порт арқылы 129.6.48.254 адресінен
123.4.5.9 адресіне ғана жібереді (129.6.48.254-торап жаңалық ала алатын
жалғыз NNTP-сервер, сондықтан торапқа қатынас құру осы жүйемен шектелген).
Бесінші ереже UDP қолданатын NTP трафикті қамтиды (ТСР-ның қатысы
жоқ). Бұл трафик кез келген көзден тораптағы кез келген жүйеге беріледі.
Алтыншы ереже барлық қалған дестелерді тұйықтайды –егер бұл ереже
болмаған болса, онда бағытбағдарғылаушы дестелердің басқа типтерін
тұйықтауы да, тұйықтамауы да мүмкін. Бұл дестелерді сүзгілеудің қарапайым
мысалы. Бұл ереже күрделі сүзгілеулерді жүзеге асырады және жұмысқа ыңғайлы
болып табылады.
Қандай хаттамаларды сүзгіден өткізген жөн
Қандай хаттаманы немесе порттар топтарын сүзгіден өткізу керектігі
тораптық қатынас құру саясатына байланысты, яғни қандай жүйенің Интернетке
қатынас құру керек және қандай қатынас құру түрлеріне рұхсат берілген, міне
осыларға байланысты.
Төменде баяндалған сервистер шабуылға мықты төтеп бере алмайды және
торапаралық экрандарда торапқа кірерде және тораптан шығар кезде
тұйықталады. ОЖ-ні дискісіз жұмыс станцияларында, терминалды серверлерде
және бағытбағдарғылаушыларда жүктеу үшін қолданылатын ыңғайлы FTP, порт 69,
Tftp хаттамасын, сонымен қатар жүйеде дұрыс орнатылмаған жағдайда кез
келген файлды оқу үшін қолдануға болады.
X Windows, Open Windows, порттар 6000+, порт 2000 X-терезе
терезелерінің көріністерін ұстау үшін, сонымен қатар енгізілетін
символдарды ұстау үшін қолданылады. RPC, порт 111-жырақтағы процедураларды
шақыру қызметі, NFS және NIS-ті қамтиды, жүйелік ақпараттардарды (парольді
ұрлау, файлдарды оқу және жазу) ұрлау мақсатында қолданылады. Бұл файлдар
rlogin, rsh, rexec типтерді қамтиды.
513, 514, 512 порттарының қызметтерін дұрыс пайдаланбаған жағдайда,
жүйеге қатынас құру шарты бұзылуы мүмкін. Сүзгілеудің басқа да жабдықтары
бар, дегенмен олар жүйеде сол жабдықтарға қажеттілік туындаған жағдайда
ғана қолданылады. Бұған мыналар жатады:
1) TELNET, 23 порт, тек жекелеген жүйелер үшін ғана жиі қолданылады;
2) FTP, 20 және 21 порттар, TELNET-ке ұқсас, жекелеген жүйелер үшін ғана
қолдануға арналған;
3) SMTP, порт 25, тек орталық почталық серверге арналған;
4) RIP, порт 520, дестелерді бағытбағдарғылаушы туралы ақпараттарды беру
протоколы, дестелерді қайта бағыттауда жарамсыз болуы мүмкін;
5) DNS, порт 53;
6) UUCP, порт 540, UNIX-to-UNIX CoPy, конфигурация қате болған жағдайда
қате қатынас құру мүмкіндігін алу үшін қолданылады;
7) NNTP, порт 119, тораптық жаңалықтарды беру, тораптық жаңалықтарға
қатынас құру және одан жаңалықтарды оқу хаттамасы;
8) Gopher, http, 70 және 80 порттар.
TELNET және FTP сияқты осы қызметтің түрлері қауіпті болып саналады,
басқаларына қатынас құру мүмкіндігін толық тұйықтау көптеген мекемелер үшін
тиімсіз болуы мүмкін. Дегенмен де, барлық жүйе барлық қызмет түрлеріне
қатынас құру мүмкіндігін талап ете бермейді. Мысалы, TELNET және FTP
бойынша Интернеттен осы қатынас құру түрлеріне сәйкес қатынас құру
мүмкіндігін алу қолданушыға зиянын тигізбестен қауіпсіздікті жақсартуға
мүмкіндік береді. NNTP сияқты қызмет түрлері бір қарағанда елеулі
қауіптілік танытпайды, осы қызметті сәйкес жүйелерде қолдану барысында
реттелгентораптық ортаны қорғауға көмектеседі және әлі танымал емес осал
орындардың себебінен шабуыл жасаушылардың оны тиімді қолдану ықтималдылығы
азаяды.
Дестелік сүзгілеуішті бағытбағдарғылаушылар проблемалары
Дестелік бағытбағдарғылаушылардың көптеген кемшіліктері бар.
Дестелерді сүзгілеу ережесінің қалыптасуы күрделі, олардың дұрыстығын
тексеретін (қолмен тестен өткізуден басқа) арнайы жабдықтар жоқ. Кейбір
бағытбағдарлаушыларда хаттамалау жабдықтары жоқ, сондықтан да, егер дестені
сүзгілеу ережесі бағытбағдарлаушы арқылы қауіпті дестелердің өтіп кетуіне
мүмкіндік жасайтын болса, онда ондай дестелерді еніп кеткенін аңғарғанға
дейін анықтау мүмкін емес.
Қарапайым тұйықталатын қатынас құру мүмкіндігінің белгілі бір түрлерін
шешу үшін ережелерден қажеттісін таңдауға тура келетін кездер жиі
кездеседі. Бірақ сүзгілеу ережесін аңдап таңдау қажет, мұндай ережелер
кейде қиындық әкеліп, оны бақылау мүмкіндігі болмай да қалуы ықтимал.
Мысалы, 23 портқа барлық кіріс байланыстарын тұйықтау үшін (TELNET
серверіне) ереже жазса жеткілікті. Егер, тораптың кейбір жүйелерімен TELNET
бойынша тікелей байланыс алуға рұхсат жасалған болса, онда әрбір осындай
жүйе үшін ереже қосылуы керек.
Кейде белгілі ережені қосу сүзгілеудің барлық тәсілін күрделендіріп
жібереді. Жоғарыда айтылып кеткендей, ережелердің күрделі жиынын оның
дұрыстығына тексеру қиынға соқпақ.
Дестелерді сүзгілеуді қамтитын кейбір бағытбағдарлаушылар ТСРUDP
порты бойынша жіберушіні сүзгіден өткізбейді, нәтижесінде сүзгілеу
ережелерінің жиынын күрделілендіріп, сүзгілеу тәсілінде тесік құрайды.
ТСР – байланыс жіберуші және қабылдаушы порттарын қамтиды.
Егер жүйе сервермен SLIP-байланысты анықтайтын болса, онда жіберуші
порты 1024-тен артық нөмерлі кездейсоқ таңдалған порт болады, ал қабылдаушы
портының нөмері 25, бұл SLIP сервері тыңдайтын порт болып белгіленеді.
Сервер жіберушінің 25 нөмерлі портынан дестені қайтарады және клиент
арқылы кездейсоқ таңдалған порт номерлеріне тең қабылдаушы портының номерін
қайтарады. Егер торапта SLIP-байланыстың кіріс және шығыс түрлері рұхсат
етілген болса, онда бағытбағдарлаушы екі бағытқа да 1023-тен көп номерлі
жіберуші және қабылдаушы порттарымен байланыс орнатуы қажет. Егер
бағытбағдарлаушы жіберушінің порты арқылы сүзе алатын болса, онда ол
қабылдаушының порты 1023-тен көп, ал жөнелтуші порты 25-ке тең емес
мекемелер торабына кіретін барлық дестелерді тұйықтай алады. Егер ол
жіберуші порты арқылы дестелерді сүзе алмайтын болса, онда бағытбағдарлаушы
1024-тен артық жіберуші мен қабылдаушының порттарын қолданатын байланысты
шешуі қажет.
Қолданушы кей жағдайда 1023-тен үлкен порттарда серверді арнайы
жіберуі мүмкін, осылайша сүзгілеу саясатын басқаша жүзеге асыруы мүмкін
(әдетте TELNET сервер жүйеде порты 23-ты тыңдайды, кейде мүмкін оның орнына
9876 портты тыңдайтындай жағдайда конфигурацияны ұйымдастырып, қолданушылар
Интернетте бағытбағдарлаушы №23 белгілеу портымен байланысты тұйықтап
тастағанның өзінде осы сервер арқылы TELNET-сеансты ұйымдастыра алады).
Басқа келесі бір проблема – RPC қызметтерінің кемшілігін тұйықтау өте
қиын. Оған себеп бұл қызметтің серверлері жүйені жүктеу процесінде
кездейсоқ таңдалған порттарды тыңдайды. Portmapper атымен танымал қызмет
түрі RPC қызметінің алғашқы шақыруын бейнелейді (белгіленген қызмет номері
ретінде). Яғни, қызметтің қандай порттпен жұмыс жасайтыны анықталмайды.
Бағытбағдарлаушыға қызмет порты белгісіз болғандықтан, мұндай қызметті
толық тұйықтауға болмайды. UDP барлық дестелерін тұйықтау DNS сияқты басқа
пайдалы қызметтерді тұйықтауға әкеп соғады. Сондықтан RPC тұйықтауы
дилеммаға әкеп тірейді.
Дестелерді сүзгілеуші бағытбағдарлаушылар (екі интерфейстен жоғары)
дестенің қандай интерфейстен қабылданып, қайда бағытталғанына байланысты
сүзгілеу мүмкіндігінен айырылады. Кіріс және шығыс дестелерін сүзгілеу
дестелерді сүзгілеу ережесін ыңғайландырып, бағытбағдарлаушыға ІР-адрестің
қайсысының нағыз, қайсысының жалған екенін жеңіл анықтауға мүмкіндік
береді. Мұндай мүмкіндіксіз бағытбағдарлаушылар сүзгілеу стратегиясын
жүзеге асыруды қиындатады. Мұнан басқа дестелерді сүзгілеу
бағытбағдарғылаушылары екі концептуалды стратегияны да жүзеге асыра алады.
Ережені аз икемді, яғни жіберуші порты бойынша немесе интерфейс типі (кіріс
немесе шығыс) бойынша сүзгілемейтін ережелер жиыны өмірге екінші және одан
күштіріек саясатты енгізуге мүмкіндікті азайтады. Мысалы, RPC-ке
негізделетін күрделі қызметтер ыңғайлы ережелер жиынының аздығынан қиынырақ
сүзгілейтін болады. Жіберуші порты бойынша сүзгілеудің болмауы 1023-тен көп
нөмірлі порттармен байланысты талап етеді. Ережелер жиынының аздығы мықты
саясатты жүзеге асыруда қиындық туғызатындықтан, әдетте бірінші саясат
қолданылады.
Қолданбалы арналар
Осал орындардан қорғану үшін дестелік сүзгіні бағытбағдарлаушылармен
байланысты торапаралық экрандарда TELNET және FTP сияқты қызметтермен
байланыстарды қайта бағыттау үшін және сүзгілеуге арналған қолданбалы
программаларды қолдану қажет. Мұндай қосымшалар прокси-қызмет деп аталады,
ал прокси-қызмет жұмыс істейтін хост-қолданбалы арна (шлюз) деп аталады.
Қолданбалы шлюздер және дестелік сүзгілі бағытбағдарлаушылар жоғарғы
қауіпсіздік пен ыңғайлылықты қамтамасыз ету мақсатында бірігіп қолданылады.
Екеуін дара-дара қолданса мұндай жетістікке жете алмасы сөзсіз.
Мысалы, 1.4-ші суретте көрсетілгендей, TELNET және FTP кіріс
байланыстары сүзгілі дестені бағытбағдарлаушылар көмегімен тұйықталатын
торапты қарастырамыз. Бұл бағытбағдарлаушылар TELNET немесе FTP дестелерін
тек бір машинаға ғана, TELNETFTP қолданбалы арнасына жібере алады. Сырттан
торапқа байланысқысы келген қолданушы алдымен қолданбалы арнамен, сонан соң
қажетті хостпен байланысуы керек:
1) алдымен қолданушы қолданбалы арнамен TELNET –байланысты орнатады және
ішкі хост атын енгізеді;
2) арна қолданушының ІР-адресін тексереді және белгілі бір қатынас
критериіне байланысты қатынас құруға рұхсат береді немесе тыйым
салынады;
3) қолданушыларды аутентификациялау қажеттілігі туындайды (бір реттік
парольдің көмегімен болуы мүмкін);
4) прокси-сервер арна мен ішкі хост арасында TELNET-байланыс құрады;
5) прокси-сервер деректерді осы екі байланыс арасына береді;
6) қолданбалы арна байланысты хаттамаландырады.
1.4-ші сурет – Қолданбалы арна және прокси-сервер көмегімен жүзеге
асырылатын виртуальды байланыстар
Бұл мысал прокси-серверді қолданудың бірнеше артықшылықтарын
көрсетеді. Біріншіден, прокси-қызмет прокси бар қызметтерге арналған. Басқа
сөзбен айтқанда, егер қолданбалы арна FTP және TELNET үшін проксиді
қамтитын болса, онда қорғалатын ішкі жүйе тек FTP және TELNET үшін ғана
жұмыс жасай алады, ал қалған қызметтер толығымен тұйықталады. Кейбір
мекемелер үшін қызметтің мұндай түрі, маңызды торапаралық экрандарарқылы
тек қауіпсіз қызметтер ғана өткізілетін болады. Бұл тәсіл жаңа қауіпсіз
қызметтерді торапаралық экрандар администраторына ескертпестен әзірлеуге
мүмкіндік бермейді. Прокси-қызметті пайдаланудың тағы бір артықшылығы –
хаттамаларды сүзгілеу мүмкіндігі. Мысалы кейбір торапаралық экрандар
ftp-байланысты сүзіп, FTP командасын қолдануға тыйым салады. Қолданбалы
артықшылықтары бар, қолданбалы трафик тікелей ішкі хосттарға жіберіледі
және мына бөлімдерді қамтиды:
1) ақпаратты жасыру, ішкі жүйе атының сыртқы жүйеге (DNS арқылы) танымал
болуы міндетті емес, қолданбалы арна сыртқы жүйеге танымал болатын
жалғыз хост;
2) сенімді аутентификация және хаттамалау, қолданбалы трафик ішкі хостқа
жеткенге дейін алдын ала аутентификацирленеді және тиімді
хаттамаланады;
3) база мен тиімділік арасындағы оптимальды қатынас, қосымша программалар
мен жабдықтарды (аутентификация мен хаттамаландыруға арналған) тек
қолданбалы арнаны орнатуға байланысты анықталмақ;
4) сүзгілеудің қарапайым ережесі, сүзгілі дестені бағытбағдарлаушылардағы
ереже күрделі болмайды, ол үшін бағытбағдарлаушы қолданбалы трификті
өзі сүзіп, ішкі жүйенің көп көлеміне өзі жіберуі қажет,
бағытбағдарлаушы қолданбалы трафикті қолданбалы арнаға жіберіп, қалған
барлық трафиктерді тұйықтауы қажет.
Қолданбалы арнаның кемшілігі мынада, TELNET сияқты клиент-серверлік
хаттамаларды қолдануда екі қадамды ішке кіру немесе сыртқа шығу
процедурасы талап етіледі, бұның артықшылығын немесе кемшілігін
клиенттердің торапаралық экрандардың қолдануына байланысты анықтауға
болады. TELNET қолданбалы арнасы модифицирленген клиентті талап етпейді, ол
қолданушыдан мынаны талап етеді: қолданушы тікелей хостпен сеанс орнатпай,
торапаралық экрандармен байланыс орнату қажет. Дегенмен TELNET-тің
модифицирленген клиент қолданушыға ақырғы жүйені TELNET командасында
көрсетіп, торапаралық экрандарды анық етіп жасайды.
Торапаралық экрандар ақырғы жүйеде қымбат болып табылады және
байланысты ұстап, сонан соң бір реттік пароль сияқты сұраныс түріндегі
қосымша қадамдарды орындайды.
Қолданушыдан ешқандай әрекет талап етілмейді, бірақ әр жүйеде
модифицирленген клиент орнатылуы тиіс.
TELNET-пен қатар, әдетте қолданбалы арналар FTP және электронды
почталар үшін, сонымен қатар X Windows пен басқа да қызметтер үшін
қолданылады. Кейбір FTP қолданбалы арналар кейбір хосттар үшін get және put
командаларын тұйықтау мүмкіндіктерін қамтиды. Мысалы, анонимді FTP-сервер
сияқты ішкі жүйелі FTP-сеансты ... жалғасы
Тапсырма
Аңдатпа
Мазмұны
Кіріспе 8
1 Торапаралық экранға кіріспе 10
1.1 Торапаралық экрандардан туындайтын проблемалар 14
1.2 Торапаралық экрандардың компоненттері 16
1.3 Күшейтілген аутентификация 18
1.4 Дестелерді сүзгіден өткізу 20
2 Дербес торапаралық экрандар түрлері 28
2.1 ESafe Desktop торапаралық экранының жалпы түсінігі 28
2.2 Sygate Personal Firewall торапаралық экранының жалпы түсінігі 30
2.3 Norton Internet Security торапаралық экранының жалпы түсінігі 32
2.4 Agnitum Outpost Firewall дербес торапаралық экранын орнату және
келтіру 34
2.5 Tiny Personal Firewall дербес торапаралық экранның орнату және
баптау 91
2.6 Дербес торапаралық Zone Alarm экранды орнату және баптау 110
3 Экономикалық бөлім 141
3.1 Жалпы жағдай 141
3.2 Экономикалық есептер 143
4 Еңбек қорғау бөлімі 147
4.1 Дербес компьютерде жұмыс істегендегі еңбек қорғау ережелері 147
4.2 Есептеулер 159
Қорытынды 166
Қолданылған әдебиеттер 167
Қосымша А 168
АҢДАТПА
Дипломдық жобада дербес торапаралық экрандардың негіздері және оның
іске асырылу жолдары қарастырылған. Бұл дипломдық жобада дербес торапаралық
экрандар, Интернет қорғанысының негіздері және “Дербес торапаралық
экрандарды” жасау туралы теориялық деректер келтірілген. Корпоративті
тораптарды Интернет шабуылдан қорғау мәселелері қарастырылған.
АННОТАЦИЯ
В данном дипломном проекте рассмотрены основы и пути практической
реализации “Персональных брандмауэров”. В этом дипломном проекте
рассматриваются теоретические данные о персональных брандмауэрах, основах
Интернет защиты и о создании “Персональных брандмауэров” в данное время,
рассматриваются вопросы о защите корпоративных сетей от атак.
ANNOTATION
In the given degree project questions of a basis and a way of
practical realization of "Firewall” are considered. In this degree project
the theoretical data on Firewall, bases of protect and safety on creation
of Firewalls system at present are considered (examined), reports of
quantum cryptography, their evident circuits of practical application,
reports of distribution of the key information and the data on distribution
of keys in optical channels are considered (examined).
КІРІСПЕ
Глобальды компьютерлік тораптардың қарқынды дамуы, ақпарат іздеудің
жаңа технологияларының пайда болуы жеке тұлғалар және ұйымдардың назарын
Интернет торабына аударуды. Көптеген компаниялар өз жергілікті және
корпоративті тораптарын Интернетпен қосуды жөн көріп отыр. Интернетті
коммерциялық мақсаттарда, жасырын мәліметтері бар ақпараттармен алмасуда
пайдалану кезінде деректерді қорғаудың сенімді жүйелерін тұрғызуды талап
етеді. Интернет торабын пайдаланудың жағымды жақтары өте көп, бірақ, басқа
да жаңа технологиялар сияқты оның да кемшіліктері бар. Глобальды
тораптардың дамуы пайдаланушылардың ғана санын арттырып қойған жоқ, сонымен
қатар Интернетке қосылған компьютерлерге шабуылдардың да санын күрт
арттырды. Компьютерлердің қорғалмағандығынан жыл сайын шығындар 10 миллион
АҚШ долларынан асып жығылады. Сондықтан, жергілікті немесе корпоративті
тораптарды Интернетке қосқан кезде оның ақпараттық қауіпсіздігін қамтамасыз
ету керек.
Интернет торабы ақпаратпен еркін алмасу үшін арналған ашық жүйе болып
жасалған. Интернет торабы көп мүмкіндіктерді қолдағандықтан ақпараттық
жүйелерге еніге зор мүмкіндіктерді ашады.
Интернет арқылы бұзушы:
1) кәсіпорынның торабына еніп, жасырын ақпаратқа қол жеткізеді;
2) кәсіпорын үшін маңызды әрі бағалы ақпаратты көшіріп алады;
3) құпиясөздерді, серверлер мекен-жайларын және ішіндегілерін ала
алады;
4) кәсіпорынның ақпараттық жүйесіне кіріп, тіркелген пайдаланушы
атынан кіре алады.
Егер бұзушы ақпараттарға қол жеткізсе, онда кәсіпорынның беделіне әрі
жұмыс істеу қабілетіне орасан зор зиян келуі мүмкін.
Ішкі торап үшін мүмкін болатын қатерлерге төтеп беретін мәселелердің
біразын торапаралық экрандар шешуге қабілетті. Торапаралық экран - әр
торабты екі немесе одан да көп бөліктерге бөліп, деректері бар дестелердің
шекара арқылы бір бөліктен екінші бөлікке өтуін анықтайтын ережелердің
жиынын жүзеге асыратын торапаралық қорғау жүйесі. Әдетте, бұл шекара
жергілікті тораб және Интернет арасында жүргізіледі. Торапаралық экрандарды
пайдалану кәсіпорынның тораб қауіпсіздігінің ішкі саясатын ұйымдастыруға
мүмкіндік береді. Бұл корпоративті торап қауіпсіздігі сәулетінің негізгі
ұстанымдарын қалыптастыруға мүмкіндік береді:
1) құпиялылықтың N категорияларын енгізу және пайдаланушылардың
сәйкесінші N бөлінген торабтық сегменттерін жасау, бұл жағдайда торабтық
сегменттің әр пайдаланушысы құпиялылықтың бірдей деңгейіне ие болады,
бұл құрылым әр түрлі құпиялылық деңгейі бар ақпарат ағымын араластыруға
болмайтындығын түсіндіріледі;
2) компанияның барлық ішкі серверлерін жеке бір сегментке бөлу. Бұл
әдіс сонымен қатар әр түрлі құпиялылық деңгейлері бар
пайдаланушылар арасында ақпарат ағымына тиым салады;
3) компанияның Интернеттен қатынас құра алатын барлық серверлерін
жеке сегментке бөлу;
4) әкімшілік басқарманың жеке сегментін жасау;
5) қауіпсіздік басқармасының жеке сегментін жасау.
Торапаралық экран өзі арқылы барлық трафикті өткізеді және барлық
өткен дестені қабылдап, өған өтуге рұқсат беруін және бермеуін шешеді.
Торапаралық экран осы операцияны орындауы үшін ол сүзгілеудің ережелер
жиынын анықтап алуы керек. Торапаралық экран көмегімен белгілі бір
хаттамалар мен мекен-жайларды сүзгілеу жөніндегі шешімді қабылдау
қорғалатын торабта қабылданған қауіпсіздік саясатына байланысты.
Торапаралық экран - ңдалған қауіпсіздік саясатын іске асыру үшін жөнделетін
компоненттер жинағы болып табылады.
Әр ұйымның торабтық қауіпсіздік саясаты екі құраушыдан тұрады:
1) торабтық қызметтерге қатынас құру саясаты;
2) торапаралық экрандарды жүзеге асыру саясаты.
Торапаралық экран қызметтерге қатынас құру саясаттарының бірнешеуін
іске асыра алады. Әдетте торабтық қызметтерге қатынас құру саясаты келесі
ұстанымдарға негізделген:
1) интернеттен қатынас құруға тыйым салу және ішкі торабтың Интернетке
шығуына рұқсат беру;
2) интернеттен ішкі торабқа шектулі рұқсат беру (мысалы, ақпараттық
және пошталық жүйелеріне ғана рұқсат беру).
Торапаралық экрандарға функционалдық талаптар:
1) торабтық деңгейдегі сүзгілеу;
2) қолданбалар деңгейіндегі сүзгілеу;
3) сүзгілеу ережелерін жөндеу және әкімшілеу;
4) торабтық аутентификация құрылғылары;
5) журнал енгізу және қадағалау.
Ішкі торабты торапаралық экран арқылы қорғау тиімділігі торабтық
қызметтерге және торабтың қорларына қатынас құру тек таңдалған қауіпсіздік
саясатынан ғана емес, сонымен қатар торапаралық экранның негізгі
құраушыларын таңдау мен пайдаланудан тәуелді.
1 ТОРАПАРЫЛЫҚ ЭКРАНҒА КІРІСПЕ
Бұрыннан бар, жақсы танымал технологияны және хост деңгейіндегі қорғау
шараларын қолдану арқылы Интернеттегі қауіпсіздіктің бірқатар мәселелерін
шешуге, ең болмағанда олардың қауіптілігін азайтуға мүмкіндік бар.
Торапаралық экран мекеменің немесе ұйымның тораптарындағы қауіпсіздік
деңгейлерін едәуір жоғарлатып, сонымен қатар Интернеттің барлық
ресурстарына қатынас құру мүмкіндігін сақтап қалады. Бұл бөлімде
торапаралық экранға жалпы шолу беріліп, осал орындардағы қауіпті жоюдағы
олардың мүмкіндіктеріне, торапаралық экрандардың және оны құрайтын
компоненттердің неден қорғай алмайтындықтарына талдау жасалады. Бұл бөлімде
күшейтілген аутентификацияны қолдануға және қорғау тәсілін торапаралық
экранның қалай жүзеге асырылатын дығын анықтау кезіндегі қауіпсіздік
саясатының маңыздылығына ерекше назар аударылады. 1.1-ші суретте бағыт
бағдарғылағышты және қолданбалы арналы торапаралық экрандар көрсетілген.
1.1-ші сурет – Бағыт бағдарғылағышты және қолданбалы арналы
торапаралық экрандарға мысал
Торапаралық экранға түсінік
Алдымен, не нәрсенің торапаралық экранға болып табылмайтынына түсінік
беруден бастаған жөн секілді. Торапаралық экран – бұл тораптағы
қауіпсіздікті қамтамасыз ететін жәй ғана бағытбағдарғылауыш, хост немесе
жүйелер тобы емес. Нақтырақ түсінік беретін болсақ, торапаралық экран –
қауіпсіздіктің бір тәсілі секілді, ол қызметтік белгілі бір түріне
байланысты қауіпсіздік саясатын жүзеге асыруға көмектеседі, және осы
саясатты тораптық конфигурацияда, хосттар мен бағытбағдарғылауыштарда, және
де статикалық парольдің орнындағы күшейтілген аутентификация сияқты
қорғаудың басқа да шараларын да жүзеге асырумен анықталады.
Торапаралық экран жүйесінің негізгі мақсаты – қорғалатын торапқа
қатынас құруды (оған немесе одан) басқару.
Торапаралық экран тораптың қатынас құру саясатын жүзеге асырады, ол
үшін тораппен байланыстың барлығын торапаралық экран арқылы орнатуға мәжбүр
ете отырып, орнатылған байланыстарды талдап, қажет еместерін қабылдамай
тастау мүмкіндігін иемденеді. Торапаралық экран жүйесі бағытбағдарғылауыш,
дербес компьютер, хост немесе хосттар тобы болуы мүмкін. Хосттар онымен
жұмыс кезіндегі хаттамаларды және қызметтерді қолданбаудан торапты қорғау
үшін арнайы құралды және ішкі тораптан тыс орналасады. Әдетте торапаралық
экран жүйесі жоғарғы деңгейлі бағытбағдарғылауыштар негізінде құрылады,
әсіресе, Интернет пен торапты байланыстыратын бағытбағдарғылауыштарда
құрылады. Хосттар бөліктерін немесе ішкі тораптарды қорғау үшін басқа да
бағытбағдарғылауыштар да құруға болады.
Неге торапаралық экран керек?
Торапаралық экранрдың қолданудың негізгі себебі мынада, сіз ішкі торап
жүелеріндегі NFS және NIS сияқты қызметтің осал жерлерін қолдануға немесе
Интернеттегі хосттар тарапынан шабуылда және сканерлеу негізінде
қауіпсіздік шаралары сақталмайды. Торапаралық экрансіз тораптық қауіпсіздік
хосттар қауіпсіздігіне тәуелді және бұл жағдайда барлық хосттар
қауіпсіздіктің жоғарғы деңгейіне жету үшін өзара әрекеттесуі қажет.
Неғұрлым ішкі торап көп болса, соғұрлым барлық хосттарды қауіпсіздіктің бір
деңгейінде ұстап тұру қиын. Қауіпсіздіктегі қателіктер мен жіберіп алған
осал тұстар ойланып жасалған шабуылдар нәтижесінде емес, қарапайым
конфигурация негізіндегі қателіктердің себебінен туындайды. Торапаралық
экранды пайдалану тәсілдің торап үшін пайдасы көп және хосттар
қауіпсіздігін жоғарылатуға жәрдемдеседі.
Қызметтердегі осал жерлерден қорғану
Торапаралық экран тораптық қауіпсіздікті едәуір ұлғайтып, ішкі
тораптардағы хосттар үшін қауіпті қызметтерді сүзгілеу жолымен қауіп-
қатерлерді азайтады. Нәтижесінде ішкі торап аз қауіпсіздікке ұрынады,
себебі, қауіпсіз хаттамалар тек торапаралық экрандар арқылы өтпек.
Мысалы, торапаралық экрандар NFS сияқты осал қызметтердің осы ішкі
торап шеңберінен тыс қолданылуына тыйым сала алады. Бұл көлденең шабуыл
жасаушылардан осы қызметті қолдануды қорғайды, бірақ оларды ерекше қауіпке
ұрынбай-ақ торап ішінде пайдалануды жалғастыра береді. Сондықтан локальды
торапты администрациялаудағы шығынды азайту үшін арнайы әзірленген NFS және
NIS сияқты ыңғайлы қызметтерді еркін қолдануға болады.
Торапаралық экрандар сонымен қатар, бағытбағдарғылауыштарды қолданып
шабуылдан қорғауды қамтамасыз етеді. Мұндай бағытбағдарғылауышқа көзді
бағытбағдарғылау және ІСМР қайтабағыттаушы команданың көмегімен деректерді
беру бағытын өзгертуші бағытбағдарғылағышы жатады. Торапаралық экрандар көз
бағытбағдарлаушыдан келетін барлық дестелерді тұйықтап, ІСМР-ға бағыттап,
сонан соң осы жасалған әрекеттер жөнінде әкімшіні хабарландырады.
Торап жүйелеріне қатынас құруды басқару
Торапаралық экрандар торап хосттарына қатынас құруды басқару
мүмкіндігін де ұсынады. Мысалы, кейбір хосттарға қатынас сыртқы тораптан
ұйымдастырылады, бұл кезде басқа жүйелерге сырттан қатынас құруға мүмкіндік
болмайды. Торап өз хосттарына сырттан қатынас құруға тыйым салады, бұл
әрекеттің, әрине, пошталық серверге байланысты жұмыстарда еленбеуі де
мүмкін. Торапаралық экранрдардың мұндай қасиеттері мынадай принциптер
бойынша құрылған қатынас құруда басқару саясатына талап етіледі: қатынас
құру талап етілмейтін қызметтер немесе хосттарға қатынас құруды ұсынбау.
Басқа сөзбен айтар болсақ, шын мәнінде талап етілмейтін, тек шабуыл
жасаушылар қолдана алатын хосттар мен қызметтерге қатынас құру құқығын
берудің қажеті қанша?
Мысалы, қолданушы тораптағы өзінің жұмыс станциясы басқа біреудің
қатынас құрғанын қаламайтын болса, онда торапаралық экрандар дәл осы
саясаттың түрін жүзеге асыруға мүмкіндік береді.
Аралас қауіпсіздік
Іс жүзінде торапаралық экрандар мекеме үшін қымбатқа түспейді, себебі,
программалардағы барлық өзгерістер немесе өзгерістердің көпшілігі және
қауіпсіздік бойынша қосымша программалар хосттардың көп көлемінде емес,
торапаралық экран жүйесінде орнатылатын болады.
Жекелеген жағдайларда бір реттік парольдер жүйесі және күшейтілген
аутентификацияның басқа да қосымша программалары Интернетке қатынас құруға
қажетті әрбір жүйеде емес, тек торапаралық экрандарда ғана орнатылады.
Тораптық қауіпсіздіктің басқа тәсілдері (Kerberos сияқты) тораптағы
әрбір жүйеде программалар модификациясын талап етеді. Сондықтан, Kerberos-
та, басқа технологиялар да олардың жетістіктер жағынан қарастырылуы тиіс
және белгілі бір жағдайларда торапаралық экрандарға қарағанда тиімдірек
болып шығуы мүмкін.
Дегенмен, қолданыста торапаралық экрандар қарапайым да жеңіл, себебі
арнайы программалар тек торапаралық экрандарда талап етіледі.
Құпиялықты жоғарылату
Құпиялықтың кейбір мекемелер үшін маңызы өте зор, кейбір мекемелердегі
елеусіз ақпараттың өзі шабуыл жасаушы үшін пайдалы мәліметті қамтуы мүмкін.
Торапаралық экрандарды қолдана отырып, кейбір тораптар finger сияқты
қызметтерді және домендік қызметтерін тұйықтап тастайды. Finger мынадай
қолданушы туралы ақпараттар береді: соңғы сеанстың уақыты, почтаның
оқылғандығы және т.б. Бірақ, тағы бір айта кететін жайт ол finger шабуыл
жасаушы ақпаратқа да мәліметтер бере алады, оған мынандай мәліметтер
жатады. Жүйенің қаншалықты жиі қолданылатындығы, сол сәтте жүйеде
қолданушының жұмыс жасап отырғандығы, жүйеге ешкімнің назарын аудармастан
шабуылдың жасалу мүмкіндігі және т.б.
Торапаралық экрандар торап жүйелері жөніндегі DNS ақпараттарды
тұйықтау үшін де қолданылады, сондықтан да тораптағы хосттардың ІР-
мекенжайы Интернеттегі хосттарға танымал бола алмайды. Кейбір мекемелердің
осы ақпараттарды тұйықтай отырып, шабуыл жасаушыға тиімді ақпаратты жасыра
алатындықтарына көздері жетіп отыр.
Торапты пайдалану статистиканы және хаттамаландыру, торапқа енуге
тырысу
Егер Интернетке қатынас немесе құру торапаралық экрандар арқылы жүзеге
асырылатын болса, онда торапаралық экрандар қатынасты хаттамаландырып,
торапты пайдалану жөніндегі статистиканы көресетіп береді. Күдікті оқиғалар
(alarm) туралы сигналдардың күйге келтірілген дұрыс жүйесінде торапаралық
экрандар торапаралық экрандарға немесе торабқа шабуылдың жасалған -
жасалмағандығы жөнінде нақты мәліметтер бере алады.
Торапты қолдану жөніндегі статистика мен бақылау дәлелдемелерін жинап
отырудың маңызы зор. Торапаралық экранның барлау мен шабуылға төтеп беру
мүмкіндігін білу қажет және торапаралық экрандардың қорғау шараларының
қаншалықты адекватты екенін анықтап отырған жөн. Нәтижесінде тораптық
жабдықтар мен программаларға қойылатын талаптарды қалыптастыру үшін, қауіп-
қатерлерді талдауға зерттеулер жүргізу үшін бастапқы деректер ретінде
торапты пайдалану статистикасының маңызы зор.
Саясатты өмірде жүзеге асыру
Ең маңыздысы – торапаралық экрандарда өмірге тораптық қатынас саясатын
енгізу және іске асыру жабдықтарын ұсынады. Іс жүзінде торапаралық экрандар
қолданушылар мен қызметтер үшін қатынас құруды басқаруды қамтамасыз етеді.
Сондықтан да, тораптық қатынас құру саясаты торапаралық экранның көмегімен
жүзеге асырылады, торапаралық экрандар болмаған жағдайда қолданушының
еркіне тәуелді болмақ. Мекеме өз қолданушыларына тәуелді бола алғанымен,
Интернеттің барлық қолданушыларына тәуелді болмақ емес.
1.1 Торапаралық экрандардан туындайтын проблемалар
Жоғарыда біз торапаралық экранның жетістіктерін айтып кеттік.
Талқыланған жетістіктермен қатар, торапаралық экрандарды қолдану барысында
біршама кемшіліктер де жоқ емес, барлық торапаралық экрандардың кез келген
проблемадан қорғауға мүмкіндігі бар деп, біржақты анықтама беруге болмайды.
Интернетпен байланысты қауіпсіздік проблемаларында торапаралық экран
панацея бола алмайды.
Қажетті қызметтерге қатынас құрудағы шектеулер
Торапаралық экрандардың ең таңқаларлық кемшілігі TELNET, FTP X
Windows, NFS және т.б. сияқты қолданушылар қолданатын қызметтердің түрлерін
тұйықтап тастайды. Бұл кемшіліктер тек торапаралық экрандарға ғана тән
емес, тораптық қатынас қауіпсіздік саясатына сәйкес хосттар деңгейінде
қорғау кезінде де шектелуі мүмкін.
Қауіпсіздік талаптары мен қолданушылар қажеттіліктері арасындағы
тепетеңдікпен сипатталатын қауіпсіздіктің жақсы ойластырылған саясаты
қызметке шектелген қатынас құру арқылы проблеманы шешуде үлкен көмек
тигізбек.
Кейбір тораптар торапаралық экрандарды қолдануға мүмкіндік бермейтін
немесе NFS сияқты қызметтерді пайдалануға шектеу қоятын топологияны қамтуы
мүмкін, осылайша торапаралық экрандарды пайдалану тораптағы жұмыс кезінде
шектеулерді талап етеді. Мысалы, торапта негізгі бағытбағдарғылаушылар
арқылы NFS және NIS-ті қолдану талабы қойылсын. Мұндай жағдайларда
торапаралық экрандарды орнату құнын шығынмен салыстыру қажет. Қауіп-қатерді
талдап, оның нәтижелерінің негізінде шешім қабылдау торапаралық экрандар
қорғайтын осал жерлерді пайдаланып жасалатын шабуылдардың негізінде болмақ.
Ақпарат қауіпсіздігін қорғауда басқа шешімдер қабылдауға да болады.
Мысалы, Керберос. Дегенмен, бұл шешімнің кемістеу жағы да жоқ емес.
Қалып қойған осал орындардың санының көптік жағдайы
Торапаралық экрандар торапқа жасырын кіруден қорғамайды. Мысалы,
торапаралық экрандар арқылы қорғалған торапқа модем арқылы шексіз қатынас
құруды жүзеге асыруға болатын болса, шабуыл жасаушылар торапаралық
экрандарды тиімді айналып кете алады.
Қазіргі модемдердің жылдамдығы SLIP (Serial Line IP) және PPP (Point-
to-Point Protocol)-ді қолдануға мүмкіндік береді. SLIP немесе PPP қорғалған
торап ішіндегі байланыстар тораппен байланыстың бір түрі болып табылады
және потенциалды осал орын болып саналады. Егер модемге шексіз қатынас құру
мүмкіндігі берілген болса, онда торапаралық экрандардың қажеті қанша?
Өз қызметкерлерінің шабуылынан қорғаудың нашар тәсілі
Торапаралық экрандар әдетте ішкі қауіп-қатерлерден қорғауды қамтамасыз
ете алмайды. Торапаралық экрандар сын деректерді бөтен адамдардың алуынан
қорғағанымен де, өз қызметкерлерінің деректерді таспаға немесе дискетаға
көшіріп, тораптан тыс жерге алып кетуінен қорғай алмайды. Сондықтан,
мекеменің ішінде торапаралық экрандардың болуы ішкі қауіп-қатерлердің
болмайтындығына кепілдік бере алмайды, мекеме ішкі торап жұмыстарында
торапаралық экрандарды қолданудың өзінде ақпараттар түрлі шабуылға ұшырап
жатады. Егер деректерді ұрлаудың басқа тәсілдері болатын болса, торапаралық
экрандарға елеулі ресурс қосудың қажеті де болмас.
Басқа да мәселелер
Торапаралық экрандармен басқа да көптеген проблемалар байланысты:
1) WWW, gopher – торапаралық экрандармен біріккен жұмысқа арналған WWW,
gopher, WAIS сияқты жаңа ақпараттық серверлер мен клиенттер, олардың
жаңалықтарын қолдану қиын, арнайы деректерді беру көмегімен шабуыл
ұйымдастырудың потенциалды мүмкіндігі бар, мұнда клиенттер өңдейтін
деректер клиентке команданы қамтуы мүмкін, бұл командалар клиентте
қатынас құруды басқару жабдықтарының параметрлерін өзгертуге, клиент
машинасын қорғаумен байланысты маңызды файлдарды модифицирлеуге мәжбүр
етеді;
2) MBONE – сөз бен көріністерді қамтитын IP (MBONE) көмегімен топтап
жіберу, басқа дестелерде инкапсулирленеді, торапаралық экран әдетте
бұл дестенің мазмұнын тексерместен өткізіп жібереді, MBONE типті
беріліс қорғау жабдықтары жұмыстарының параметрлерін өзгертетін және
қаскүнемге қатынас құру мүмкіндігін ала алатын командаларды қамтитын
дестелерден тұрса, онда елеулі қауіп-қатер төндіреді;
3) вирустар – Интернеттік архивтен вирус жұқтырылған программаларды
дербес ЭЕМ-ге жүктейтін немесе вирус жұқтырылған программаларды хатқа
қосымша ретінде беретін қолданушылардан торапаралық экран қорғай
алмайды, мұндай программалардың кодталуына байланысты немесе көптеген
тәсілдер арқылы сығылуына байланысты, торапаралық экрандар мұндай
программаларды сканерлей алмайды және вирустар белгілерін анықтай
алмайды, вирустар проблемасы жалғасып отырады және қорғаудың басқа
вирусқа қарсы шараларының көмегімен ғана шешімін таппақ;
4) өткізу мүмкіндігі – торапаралық экрандар потенциалды тар орын болып
табылады, себебі барлық байланыстар торапаралық экрандар арқылы өту
керек және кейбір жағдайларда торапаралық экрандар арқылы ондай
орындарды зерттеуге тура келеді, соған қарамастан, қазіргі уақытта бұл
проблема емес, себебі мұндай торапаралық экрандар деректерді 1.5Мбитс
жылдамдықта өңдейді, ал интернетке қосылған тораптардың көпшілігі
жылдамдығы осыған тең немесе кемдеу қосылыстарды қамтиды;
5) торапаралық экрандар жүйесі қауіпсіздікті бір орында жүзеге асырады,
жүйе топтарының арасында үлестірілмейді, торапаралық экрандар
мүмкіндігінің төмендегі ішкі тораптағы нашар қорғалған жүйелер үшін
өте қиын, бұл тезиске мынадай контраргумент қарама-қайшы тұра алады,
ішкі тораптар ұлғайған сайын, осал орындардың пайда болу мүмкіндігі де
жоғары.
Осындай кемшіліктерге қарамастан NISТ мынадай кеңес береді: мекеме өз
ресурстарын брандмауэрдің және басқа да қауіпсіздік жабдықтарының көмегімен
қорғауы тиіс.
1.2 Торапаралық экрандардың компоненттері
Торапаралық экрандардың негізгі компоненттері мыналар болып табылады:
1) тораптың қатынас құру саясаты;
2) күшейтілген аутентификация механизмдері;
3) дестелерді сүзгілеу;
4) қолданбалы арналар.
Төмендегі бөлімдерде осы қомпоненттердің әрқайсысына нақты түсініктер
беріледі.
Тораптың қатынас құру саясаты
Торапаралық экрандар жүйесін жобалауға, орнатуға және қолдануға әсер
ететін тораптық қатынас құру саясатының екі түрі бар.
Жоғарғы деңгейлі саясат – проблемалы концепциалды саясат болып
табылады және мыналарды анықтайды:
1) қорғалатын тораптық қатынастың қандай сервистер үшін ашық немесе
тыйым салынғандығын анықтайды;
2) бұл сервистер қалай қолданылады;
3) саясат қандай жағдайда сақталады және қандай жағдайда
сақталмайды.
Төменгі деңгейлі саясат – жоғарғы деңгейлі саясатта көрсетілген
сервистердің қайсысынына торапаралық экрандар шын мәнінде сүзгіден өткізеді
және қатынас құру мүмкіндігін шектейді, міне осыны анықтайды.
Сервистерге қатынас құру саясаты
Сервистерге қатынас құру саясаты жоғарыда баяндалған проблемаларға
тиянақталуы тиіс, бұған торапқа сырттан қатынас құру (яғни, модем арқылы
байланысу саясаты. SLIP немесе PPP байланыстары) да кіреді. Бұл саясат
мекемедегі ақпараттық ресурстарды қорғауға байланысты сол жердің жалпы
саясатымен нақтылануы тиіс. Торапаралық экрандар оларды сәтті қорғау үшін,
сервистерге қатынас құру саясаты анық нақты болуы тиіс және торапаралық
экрандарды орнатар алдындағы соған жауапты адамдармен келісілуі тиіс.
Нақты шындық саясат – танымал қауіп-қатерлерден торапты қорғаумен
тораптық ресурстарға қолданушылардың қатынасын қамтамасыз ету уақытысы
арасында тепе-теңдік табуы қажет. Егер торапаралық экрандар жүйесі кейбір
сервистерді қолдануға тыйым салса немесе шектеу қоятын болса, онда саясатты
осыған сәйкес қатаңдық шаралары баяндалуы тиіс, бұл қатынас құруды басқару
жабдықтарының параметрлерін өзгертуді болдырмайды.
Басшылықтың қолдауына сүйенген нақты саясат қана осы әрекеттерді
қамтамасыз ете алады.
Торапаралық экрандар сервистерге қатынас құрудың бірқатар саясатын
жүзеге асыра алады, бірақ әдетті саясат Интернеттен торапқа қатынас құруға
тыйым салып, тораптан Интернетке ғана қатынас құруға мүмкіндік бере алады.
Басқа әдетті саясат Интернеттен кейбір қатынастарды құруды жүзеге асырады,
бірақ ақпараттық серверлер және пошталық серверлер сияқты таңдаулы
жүйелерге ғана қатынас құру мүмкіндігін береді.
Торапаралық экрандар Интернеттен кейбір таңдаулы хосттармен жұмыс
жасау үшін торап қолданушыларына мүмкіндік беретін сервистерге қатынас құру
саясатын жиі жүзеге асырады. Бұл қатынас күшейтілген аутентификациямен
үйлескенде ғана ұсынылмақ.
Торапаралық экрандар жобасының саясаты
Бұл саясат нақты торапаралық экрандарға тән. Ол сервиске қатынас құру
саясатын жүзеге асыру үшін қолданылатын ережені анықтайды. Бұл саясатты
торапаралық экрандардың мүмкіндіктері мен шектеулерін, қауіп-қатерлері мен
ТСРІР-ге байланысты осал жерлері сияқты сұрақтарды түсінбестен әзірлеуге
болмайды.
Әдетте жобаның екі негізгі саясаты жүзеге асырылады:
1) сервис үшін қатынас құруға мүмкіндік беру, егер ол тыйым салынбаған
болса;
2) сервис үшін қатынас құруға тыйым салу, егер оған рұхсат етілмеген
болса.
Бірінші саясатты жүзеге асыратын торапаралық экрандар барлық
сервистерді торапқа жасырын өткізіп жібереді, бірақ бұл сервис қатынас
құруды басқару саясатында тыйым салынбаған болуы тиіс. Екінші саясатты
жүзеге асыратын торапаралық экрандар жасырын түрде барлық сервистерге тыйым
салады, бірақ рұхсат етілген сервистер тізімінде көрсетілген сервисті ғана
өткізіп отырады.
Екінші саясат ақпараттық қауіпсіздіктің барлық саласында қолданылатын
қатынас құрудың классикалық моделін ұстанады.
Бірінші саясаттың ұстанымы аздау, себебі, торапаралық экрандарды
айналып өту тәсілдерін көбірек ұстанады. Мысалы, тыйым салынбайтын немесе
саясатта көрсетілмеген саясат арқылы жаңа сервистерге қолданушылар қатынас
құру мүмкіндігін ала алады, немесе саясат тыйым салмаған ТСРUDP стандартты
емес порттарында тыйым салынған сервистерді жібере алады. X Windows, FTR,
ARCHIE және RPC сияқты белгілі бір сервистерді сүзгіден өткізу қиын, олар
үшін бірінші саясатты жүзеге асыратын торапаралық экрандар ыңғайлы.
Екінші саясат қатаңдау және қауіпсіздеу, бірақ оны жүзеге асыру
қиынырақ және жоғарыда көрсетілген сервистер тұйықталған жағдайда және
оларды қолдануға шектеу қойылған жағдайда қолданушылар жұмысына әсерін
тигізбей қоймайды.
Сервиске қатынас құрудың концептуалды саясаты мен оған сәйкес екінші
бөлім арасындағы өзара байланыс жоғарыда баяндалған. Бұл өзара байланыс
мынадан пайда болады: сервиске қатынас құру саясатын жүзеге асыру
торапаралық экрандар жүйесінің мүмкіндіктері мен шектеулеріне қатты
тәуелді.
Мысалы, сервиске қатынас құру саясатымен рұхсат етілген сервистерге
тыйым салу қажеттілігі туындайды, егер ондағы осал жерлер төменгі деңгейлі
саясатпен тиімді бақыланбайтын болса, және егер тораптың қауіпсіздігі
бәрінен де маңызды болса. Басқа жағынан алсақ, осы сервистерге тікелей
тәуелді мекеме өз тапсырмаларын шешу кезінде үлкен қауіпке бас тіге отырып,
осы сервистерге қатынас құру мүмкіндігін алады. Бұл өзара байланыс мынаған
келіп тіреледі: екі саясаттың қалыптасуы интерактивті үрдіске айналады.
Сервиске қатынас құру саясаты – жоғарыда баяндалған төрт компоненттің
ең маңыздысы. Қалған үш компоненті саясатты жүзеге асыру үшін қолданылады.
Торапты қорғау кезіндегі торапаралық экрандар жүйесінің тиімділігі оны
жүзеге асыру түріне байланысты және онымен жұмыс процедурасының дұрыстығына
және сервиске қатынас құру саясатына байланысты болмақ.
1.3 Күшейтілген аутентификация
Көптеген жылдар бойы қолданушыларға шешілуі қиын пароль таңдап, оны
ешкімге жарияламау жөнінде кеңес беріліп келеді. Қолданушы бұл кеңесті
қатаң ұстанғанмен де, қаскүнемдердің интернеттегі каналдарды бақылап, онда
берілетін парольдерді ұстап алу оқиғаларының жиілігі дәстүрлі парольді
ескіртіп отыратыны сөзсіз.
Күшейтілген аутентификацияның көптеген шаралары әзірленді, оған: смарт-
карта, биометриялық механизмдер, программалық механизмдер жатады. Бұлардың
барлығы жәй парольдарды осалдылықтан қорғау үшін ойластырылған шаралар.
Олардың бір-бірінен ерекшеліктері болғанымен, ұқсатықтары бір жерде
түйіндеседі. Күшейтілген аутентификация құрылғысымен генерацияланатын
парольдерді байланыс трафиктерін ұстайтын шабуыл жасаушылар тарапынан қайта
қолданылмайды. Интернетке парольге байланысты үнемі проблема
туындайтындықтан күшейтілген аутентификация жабдықтарын қамтитын
торапаралық экрандар интернетпен байланыс үшін парольдерді қолданбайды.
Күшейтілген аутентификацияның танымал құрылғылары, бүгінгі таңда
қолданылатын құрылғы – бір реттік парольді жүйелер деп аталады.
Смарт –карта, мысалы хосттың дәстүрлі пароль орнына қолданатын жауабын
генерациялайды. Смарт-карта хосттағы программамен немесе жабдықтармен
бірігіп жұмыс істейтіндіктен, генерацияланатын жауаптар әрбір орнатылған
сеанс үшін ерекше болмақ.
Нәтижесінде бір реттік пароль болып табылады. Егер оны ұстанған
жағдайда да қаскүнем хостпен жұмысты орнату үшін қолданушының бейнесіне
еніп, оны қолданып кете алмайды.
1.2-ші сурет – TELNET, FTP трафиктеріналдын ала аутентификациялау үшін
брандмауэрде күшейтілген аутентификацияны қолдану
Торапаралық экрандар торапқа қатынас құруды басқаруды орталықтандыра
алатындықтан, олар программаны орнатуға арналған логикалық орын немесе
күшейтілген аутентификация құрылғысы болып табылады. Күшейтілген
аутентификация шаралары әр хостта пайдаланғанымен де, олардың торапаралық
экрандарда орналастыру тәжірибесі кеңінен қолданылып отыр.
1.2-суретте күшейтілген аутентификация шараларын қолданатын
торапаралық экрандарсыз торапта TELNET немесе FTP қосымшалар сияқты
аутентифирленбеген трафиктердің тораптағы жүйелерге тікелей өтетіндігі
көрсетілген. Егер хосттар күшейтілген аутентификация шараларын қолданбайтын
болса, онда қаскүнем парольді бұзуға немесе жұмыс барысында пароль
берілетін сеанстарды табу мақсатында тораптық трафикті ұстап қалуға
тырысады. 2-сурет, сонымен қатар, күшейтілген аутентификацияны қолданатын
торапаралық экрандар торапты көрсетеді. Онда Интернет тарапынан торап
жүйесін қамти отырып орнатылған TELNET немесе FTP сеанстары жұмыс басталар
алдында күшейтілген аутентификацияның көмегімен тексеруден өткізіледі.
Торап жүйелерінің өзі өзіне қатынас құрар алдында статикалық парольді талап
етуді жалғастыра алады, бірақ бұл парольдарды ұстап алғанмен, олар
қолданысқа жарамсыз болып қалады, себебі күшейтілген аутентификация және
басқа да торапаралық экрандар комоненттері қаскүнемге торапқа енуге немесе
торапаралық экрандарды айналып өтуге мүмкіндік бермейді.
1.4 Дестелерді сүзгіден өткізу
ІР-дестелерді сүзгіден өткізуді қамтитын бағытбағдарғылаушылардың
көмегімен орындалады. Бұл әрекет дестелердің бағытбағдарғылаушылар
интерфейстері арасында берілуі кезінде жүзеге аспақ.
Сүзгілеуші бағытбағдарғылаушы әдетте ІР-дестелерді сүзгіден мынадай
өрістер топтарының негізінде өткізеді. Өрістер топтары келесі дестелер
өрістерінен таңдалады:
1) жіберушінің ІР-мекен-жайы;
2) қабылдаушының ІР-мекен-жайы;
3) ТСРUDP жіберуші порты;
4) ТСРUDP қабылдаушы порты.
Сүзгілеуші бағытбағдарғылаушылардың барлығы бірдей жіберушінің ТСРUDP-
порты бойынша сүзгілей алмайды, дегенмен көптеген осы саланың мамандары
осындай мүмкіндікті іске қоса бастады.
Кейбір бағытбағдарғылаушылар бағытбағдарғылаушы қандай тораптың
интерфейсінен дестенің келгенін тексереді, сонан соң осы ақпаратты
сүзгілеудің қосымша критериі ретінде қолданады UNIX-тің кейбір версиялары
дестелерді сүзгілеу мүмкіндігін қамтиды. Сүзгілеу түрліше мақсатта, әрқалай
қолданылады, жекелеген хосттарға немесе тораптарға, хосттардан немесе
тораптардан байланыстарды тұйықтау үшін қолданылмақ.
Мекемеде сенімсіз және зиянды болып табылатын хосстар мен тораптарды
тұйықтау қажеттілігі туындасын немесе мекемеге сырттан қосылған (SLIP-
почтаны алу) барлық адрестермен байланыстарды тұйықтау қажет болсын.
Сүзгішті ТСР және UDP порттары арқылы ІР-адрес бойынша сүзгілеуге қосу
ыңғайлы жұмыс түрін береді. TELNET домен сияқты серверлер нақты бір
порттармен байланысқан, TELNET үшін порт 23. Егер торапаралық экрандар
белгілі бір порттарға немесе бір хосттармен байланыс түрін анықтайтын
саясатты қолдануға тура келеді. Мысалы, мекеме торапаралық экрандар
құрамына кіретін бірнеше жүйеден басқа барлық хосттар үшін кіріс
байланыстарын туындатқысы келді. Мұндай жүйелер үшін тек белгілі бір
сервистерді қолдануға ғана мүмкіндік бар, айтарлық, бір жүйе үшін SLIP,
басқалары үшін TELNET немесе FTP. ТСР және UDP порттары бойынша сүзгілеу
кезінде бұл саясатты хосттарды сүзгілеу мүмкіндіктерін қамтитын немесе
дестелерді сүзгілеу мүмкіндіктерін қамтитын бағытбағдарғылаушыларды оңай да
жеңіл жүзеге асыру мақсатында қолдануға болады. Олар 1.3-ші суретте
көрсетілген.
1.3-ші сурет – TELNET және SLIP үшін дестелерді сүзгілеуге мысал
Мысал үшін тораппен 123.4.*.* мекен жайы арқылы тек белгілі бір
байланысқа рұхсат ету саясатын қарастыралық. TELNET байланысы бір ғана
хостпен байланыса алады, 123.4.5.6, ол тораптың қолданбалы TELNET арнасы
болуы мүмкін, ал SLIP-байланыс екі хостпен байланыса алады, 123.4.5.7 және
123.4.5.8, бұл өз кезегінде тораптың екі почталық арансын құрайды. NNTP
(Network News Transfer Protocol) жаңалықтар серверінің торабымен өзара
әрекеттесуді жүзеге асырады, 129.6.48.254, және тек қана тораптың NNTP-
серверімен байланысады, 123.4.5.9, ал NNTP хаттамасы (тораптық уақыт)
барлық хосттар үшін байланыс орнатуға әзір. Барлық басқа сервистер мен
дестелер тұйықталады. Ережелер жиынына мысал төменде берілген.
1.1-ші кесте – Ережелер жиыны
Типі Жіберуші адресіҚабылдаушы Көз порты Алушы порты Әрекеттер
адресі
Tcp * 123.4.5.6 1023 23 рұхсат
Tcp * 123.4.5.7 1023 25 рұхсат
Tcp * 123.4.5.8 1023 25 рұхсат
Tcp 129.6.48.254 123.4.5.9 1023 119 рұхсат
Udp * 123.4.*.* 1023 123 рұхсат
* * * * * Рұхсат
етпеу
Бірінші ереже ТСР дестелерді Интернеттің кез келген көзінен өткізуге
мүмкіндік береді, егер 23 портпен байланыс орнатылатын болса, 123.4.5.6
адресіне 1023-тен артық жіберуші порты қамтиды.
Порт 23-бұл TELNET серверімен байланысты порт, ал TELNET-тің барлық
клиенттері 1024-тен артық портты қолданулары қажет. Екінші және үшінші
ережелердің жұмыстары ұқсас 123.4.5.7 және 123.4.5.8 және порт 25 – SLIP
белгілеу адрестерін қамтиды. Төртінші ереже NNTP-торап серверіне дестелерді
өткізіп отырады, тек 119 белгілеу порт арқылы 129.6.48.254 адресінен
123.4.5.9 адресіне ғана жібереді (129.6.48.254-торап жаңалық ала алатын
жалғыз NNTP-сервер, сондықтан торапқа қатынас құру осы жүйемен шектелген).
Бесінші ереже UDP қолданатын NTP трафикті қамтиды (ТСР-ның қатысы
жоқ). Бұл трафик кез келген көзден тораптағы кез келген жүйеге беріледі.
Алтыншы ереже барлық қалған дестелерді тұйықтайды –егер бұл ереже
болмаған болса, онда бағытбағдарғылаушы дестелердің басқа типтерін
тұйықтауы да, тұйықтамауы да мүмкін. Бұл дестелерді сүзгілеудің қарапайым
мысалы. Бұл ереже күрделі сүзгілеулерді жүзеге асырады және жұмысқа ыңғайлы
болып табылады.
Қандай хаттамаларды сүзгіден өткізген жөн
Қандай хаттаманы немесе порттар топтарын сүзгіден өткізу керектігі
тораптық қатынас құру саясатына байланысты, яғни қандай жүйенің Интернетке
қатынас құру керек және қандай қатынас құру түрлеріне рұхсат берілген, міне
осыларға байланысты.
Төменде баяндалған сервистер шабуылға мықты төтеп бере алмайды және
торапаралық экрандарда торапқа кірерде және тораптан шығар кезде
тұйықталады. ОЖ-ні дискісіз жұмыс станцияларында, терминалды серверлерде
және бағытбағдарғылаушыларда жүктеу үшін қолданылатын ыңғайлы FTP, порт 69,
Tftp хаттамасын, сонымен қатар жүйеде дұрыс орнатылмаған жағдайда кез
келген файлды оқу үшін қолдануға болады.
X Windows, Open Windows, порттар 6000+, порт 2000 X-терезе
терезелерінің көріністерін ұстау үшін, сонымен қатар енгізілетін
символдарды ұстау үшін қолданылады. RPC, порт 111-жырақтағы процедураларды
шақыру қызметі, NFS және NIS-ті қамтиды, жүйелік ақпараттардарды (парольді
ұрлау, файлдарды оқу және жазу) ұрлау мақсатында қолданылады. Бұл файлдар
rlogin, rsh, rexec типтерді қамтиды.
513, 514, 512 порттарының қызметтерін дұрыс пайдаланбаған жағдайда,
жүйеге қатынас құру шарты бұзылуы мүмкін. Сүзгілеудің басқа да жабдықтары
бар, дегенмен олар жүйеде сол жабдықтарға қажеттілік туындаған жағдайда
ғана қолданылады. Бұған мыналар жатады:
1) TELNET, 23 порт, тек жекелеген жүйелер үшін ғана жиі қолданылады;
2) FTP, 20 және 21 порттар, TELNET-ке ұқсас, жекелеген жүйелер үшін ғана
қолдануға арналған;
3) SMTP, порт 25, тек орталық почталық серверге арналған;
4) RIP, порт 520, дестелерді бағытбағдарғылаушы туралы ақпараттарды беру
протоколы, дестелерді қайта бағыттауда жарамсыз болуы мүмкін;
5) DNS, порт 53;
6) UUCP, порт 540, UNIX-to-UNIX CoPy, конфигурация қате болған жағдайда
қате қатынас құру мүмкіндігін алу үшін қолданылады;
7) NNTP, порт 119, тораптық жаңалықтарды беру, тораптық жаңалықтарға
қатынас құру және одан жаңалықтарды оқу хаттамасы;
8) Gopher, http, 70 және 80 порттар.
TELNET және FTP сияқты осы қызметтің түрлері қауіпті болып саналады,
басқаларына қатынас құру мүмкіндігін толық тұйықтау көптеген мекемелер үшін
тиімсіз болуы мүмкін. Дегенмен де, барлық жүйе барлық қызмет түрлеріне
қатынас құру мүмкіндігін талап ете бермейді. Мысалы, TELNET және FTP
бойынша Интернеттен осы қатынас құру түрлеріне сәйкес қатынас құру
мүмкіндігін алу қолданушыға зиянын тигізбестен қауіпсіздікті жақсартуға
мүмкіндік береді. NNTP сияқты қызмет түрлері бір қарағанда елеулі
қауіптілік танытпайды, осы қызметті сәйкес жүйелерде қолдану барысында
реттелгентораптық ортаны қорғауға көмектеседі және әлі танымал емес осал
орындардың себебінен шабуыл жасаушылардың оны тиімді қолдану ықтималдылығы
азаяды.
Дестелік сүзгілеуішті бағытбағдарғылаушылар проблемалары
Дестелік бағытбағдарғылаушылардың көптеген кемшіліктері бар.
Дестелерді сүзгілеу ережесінің қалыптасуы күрделі, олардың дұрыстығын
тексеретін (қолмен тестен өткізуден басқа) арнайы жабдықтар жоқ. Кейбір
бағытбағдарлаушыларда хаттамалау жабдықтары жоқ, сондықтан да, егер дестені
сүзгілеу ережесі бағытбағдарлаушы арқылы қауіпті дестелердің өтіп кетуіне
мүмкіндік жасайтын болса, онда ондай дестелерді еніп кеткенін аңғарғанға
дейін анықтау мүмкін емес.
Қарапайым тұйықталатын қатынас құру мүмкіндігінің белгілі бір түрлерін
шешу үшін ережелерден қажеттісін таңдауға тура келетін кездер жиі
кездеседі. Бірақ сүзгілеу ережесін аңдап таңдау қажет, мұндай ережелер
кейде қиындық әкеліп, оны бақылау мүмкіндігі болмай да қалуы ықтимал.
Мысалы, 23 портқа барлық кіріс байланыстарын тұйықтау үшін (TELNET
серверіне) ереже жазса жеткілікті. Егер, тораптың кейбір жүйелерімен TELNET
бойынша тікелей байланыс алуға рұхсат жасалған болса, онда әрбір осындай
жүйе үшін ереже қосылуы керек.
Кейде белгілі ережені қосу сүзгілеудің барлық тәсілін күрделендіріп
жібереді. Жоғарыда айтылып кеткендей, ережелердің күрделі жиынын оның
дұрыстығына тексеру қиынға соқпақ.
Дестелерді сүзгілеуді қамтитын кейбір бағытбағдарлаушылар ТСРUDP
порты бойынша жіберушіні сүзгіден өткізбейді, нәтижесінде сүзгілеу
ережелерінің жиынын күрделілендіріп, сүзгілеу тәсілінде тесік құрайды.
ТСР – байланыс жіберуші және қабылдаушы порттарын қамтиды.
Егер жүйе сервермен SLIP-байланысты анықтайтын болса, онда жіберуші
порты 1024-тен артық нөмерлі кездейсоқ таңдалған порт болады, ал қабылдаушы
портының нөмері 25, бұл SLIP сервері тыңдайтын порт болып белгіленеді.
Сервер жіберушінің 25 нөмерлі портынан дестені қайтарады және клиент
арқылы кездейсоқ таңдалған порт номерлеріне тең қабылдаушы портының номерін
қайтарады. Егер торапта SLIP-байланыстың кіріс және шығыс түрлері рұхсат
етілген болса, онда бағытбағдарлаушы екі бағытқа да 1023-тен көп номерлі
жіберуші және қабылдаушы порттарымен байланыс орнатуы қажет. Егер
бағытбағдарлаушы жіберушінің порты арқылы сүзе алатын болса, онда ол
қабылдаушының порты 1023-тен көп, ал жөнелтуші порты 25-ке тең емес
мекемелер торабына кіретін барлық дестелерді тұйықтай алады. Егер ол
жіберуші порты арқылы дестелерді сүзе алмайтын болса, онда бағытбағдарлаушы
1024-тен артық жіберуші мен қабылдаушының порттарын қолданатын байланысты
шешуі қажет.
Қолданушы кей жағдайда 1023-тен үлкен порттарда серверді арнайы
жіберуі мүмкін, осылайша сүзгілеу саясатын басқаша жүзеге асыруы мүмкін
(әдетте TELNET сервер жүйеде порты 23-ты тыңдайды, кейде мүмкін оның орнына
9876 портты тыңдайтындай жағдайда конфигурацияны ұйымдастырып, қолданушылар
Интернетте бағытбағдарлаушы №23 белгілеу портымен байланысты тұйықтап
тастағанның өзінде осы сервер арқылы TELNET-сеансты ұйымдастыра алады).
Басқа келесі бір проблема – RPC қызметтерінің кемшілігін тұйықтау өте
қиын. Оған себеп бұл қызметтің серверлері жүйені жүктеу процесінде
кездейсоқ таңдалған порттарды тыңдайды. Portmapper атымен танымал қызмет
түрі RPC қызметінің алғашқы шақыруын бейнелейді (белгіленген қызмет номері
ретінде). Яғни, қызметтің қандай порттпен жұмыс жасайтыны анықталмайды.
Бағытбағдарлаушыға қызмет порты белгісіз болғандықтан, мұндай қызметті
толық тұйықтауға болмайды. UDP барлық дестелерін тұйықтау DNS сияқты басқа
пайдалы қызметтерді тұйықтауға әкеп соғады. Сондықтан RPC тұйықтауы
дилеммаға әкеп тірейді.
Дестелерді сүзгілеуші бағытбағдарлаушылар (екі интерфейстен жоғары)
дестенің қандай интерфейстен қабылданып, қайда бағытталғанына байланысты
сүзгілеу мүмкіндігінен айырылады. Кіріс және шығыс дестелерін сүзгілеу
дестелерді сүзгілеу ережесін ыңғайландырып, бағытбағдарлаушыға ІР-адрестің
қайсысының нағыз, қайсысының жалған екенін жеңіл анықтауға мүмкіндік
береді. Мұндай мүмкіндіксіз бағытбағдарлаушылар сүзгілеу стратегиясын
жүзеге асыруды қиындатады. Мұнан басқа дестелерді сүзгілеу
бағытбағдарғылаушылары екі концептуалды стратегияны да жүзеге асыра алады.
Ережені аз икемді, яғни жіберуші порты бойынша немесе интерфейс типі (кіріс
немесе шығыс) бойынша сүзгілемейтін ережелер жиыны өмірге екінші және одан
күштіріек саясатты енгізуге мүмкіндікті азайтады. Мысалы, RPC-ке
негізделетін күрделі қызметтер ыңғайлы ережелер жиынының аздығынан қиынырақ
сүзгілейтін болады. Жіберуші порты бойынша сүзгілеудің болмауы 1023-тен көп
нөмірлі порттармен байланысты талап етеді. Ережелер жиынының аздығы мықты
саясатты жүзеге асыруда қиындық туғызатындықтан, әдетте бірінші саясат
қолданылады.
Қолданбалы арналар
Осал орындардан қорғану үшін дестелік сүзгіні бағытбағдарлаушылармен
байланысты торапаралық экрандарда TELNET және FTP сияқты қызметтермен
байланыстарды қайта бағыттау үшін және сүзгілеуге арналған қолданбалы
программаларды қолдану қажет. Мұндай қосымшалар прокси-қызмет деп аталады,
ал прокси-қызмет жұмыс істейтін хост-қолданбалы арна (шлюз) деп аталады.
Қолданбалы шлюздер және дестелік сүзгілі бағытбағдарлаушылар жоғарғы
қауіпсіздік пен ыңғайлылықты қамтамасыз ету мақсатында бірігіп қолданылады.
Екеуін дара-дара қолданса мұндай жетістікке жете алмасы сөзсіз.
Мысалы, 1.4-ші суретте көрсетілгендей, TELNET және FTP кіріс
байланыстары сүзгілі дестені бағытбағдарлаушылар көмегімен тұйықталатын
торапты қарастырамыз. Бұл бағытбағдарлаушылар TELNET немесе FTP дестелерін
тек бір машинаға ғана, TELNETFTP қолданбалы арнасына жібере алады. Сырттан
торапқа байланысқысы келген қолданушы алдымен қолданбалы арнамен, сонан соң
қажетті хостпен байланысуы керек:
1) алдымен қолданушы қолданбалы арнамен TELNET –байланысты орнатады және
ішкі хост атын енгізеді;
2) арна қолданушының ІР-адресін тексереді және белгілі бір қатынас
критериіне байланысты қатынас құруға рұхсат береді немесе тыйым
салынады;
3) қолданушыларды аутентификациялау қажеттілігі туындайды (бір реттік
парольдің көмегімен болуы мүмкін);
4) прокси-сервер арна мен ішкі хост арасында TELNET-байланыс құрады;
5) прокси-сервер деректерді осы екі байланыс арасына береді;
6) қолданбалы арна байланысты хаттамаландырады.
1.4-ші сурет – Қолданбалы арна және прокси-сервер көмегімен жүзеге
асырылатын виртуальды байланыстар
Бұл мысал прокси-серверді қолданудың бірнеше артықшылықтарын
көрсетеді. Біріншіден, прокси-қызмет прокси бар қызметтерге арналған. Басқа
сөзбен айтқанда, егер қолданбалы арна FTP және TELNET үшін проксиді
қамтитын болса, онда қорғалатын ішкі жүйе тек FTP және TELNET үшін ғана
жұмыс жасай алады, ал қалған қызметтер толығымен тұйықталады. Кейбір
мекемелер үшін қызметтің мұндай түрі, маңызды торапаралық экрандарарқылы
тек қауіпсіз қызметтер ғана өткізілетін болады. Бұл тәсіл жаңа қауіпсіз
қызметтерді торапаралық экрандар администраторына ескертпестен әзірлеуге
мүмкіндік бермейді. Прокси-қызметті пайдаланудың тағы бір артықшылығы –
хаттамаларды сүзгілеу мүмкіндігі. Мысалы кейбір торапаралық экрандар
ftp-байланысты сүзіп, FTP командасын қолдануға тыйым салады. Қолданбалы
артықшылықтары бар, қолданбалы трафик тікелей ішкі хосттарға жіберіледі
және мына бөлімдерді қамтиды:
1) ақпаратты жасыру, ішкі жүйе атының сыртқы жүйеге (DNS арқылы) танымал
болуы міндетті емес, қолданбалы арна сыртқы жүйеге танымал болатын
жалғыз хост;
2) сенімді аутентификация және хаттамалау, қолданбалы трафик ішкі хостқа
жеткенге дейін алдын ала аутентификацирленеді және тиімді
хаттамаланады;
3) база мен тиімділік арасындағы оптимальды қатынас, қосымша программалар
мен жабдықтарды (аутентификация мен хаттамаландыруға арналған) тек
қолданбалы арнаны орнатуға байланысты анықталмақ;
4) сүзгілеудің қарапайым ережесі, сүзгілі дестені бағытбағдарлаушылардағы
ереже күрделі болмайды, ол үшін бағытбағдарлаушы қолданбалы трификті
өзі сүзіп, ішкі жүйенің көп көлеміне өзі жіберуі қажет,
бағытбағдарлаушы қолданбалы трафикті қолданбалы арнаға жіберіп, қалған
барлық трафиктерді тұйықтауы қажет.
Қолданбалы арнаның кемшілігі мынада, TELNET сияқты клиент-серверлік
хаттамаларды қолдануда екі қадамды ішке кіру немесе сыртқа шығу
процедурасы талап етіледі, бұның артықшылығын немесе кемшілігін
клиенттердің торапаралық экрандардың қолдануына байланысты анықтауға
болады. TELNET қолданбалы арнасы модифицирленген клиентті талап етпейді, ол
қолданушыдан мынаны талап етеді: қолданушы тікелей хостпен сеанс орнатпай,
торапаралық экрандармен байланыс орнату қажет. Дегенмен TELNET-тің
модифицирленген клиент қолданушыға ақырғы жүйені TELNET командасында
көрсетіп, торапаралық экрандарды анық етіп жасайды.
Торапаралық экрандар ақырғы жүйеде қымбат болып табылады және
байланысты ұстап, сонан соң бір реттік пароль сияқты сұраныс түріндегі
қосымша қадамдарды орындайды.
Қолданушыдан ешқандай әрекет талап етілмейді, бірақ әр жүйеде
модифицирленген клиент орнатылуы тиіс.
TELNET-пен қатар, әдетте қолданбалы арналар FTP және электронды
почталар үшін, сонымен қатар X Windows пен басқа да қызметтер үшін
қолданылады. Кейбір FTP қолданбалы арналар кейбір хосттар үшін get және put
командаларын тұйықтау мүмкіндіктерін қамтиды. Мысалы, анонимді FTP-сервер
сияқты ішкі жүйелі FTP-сеансты ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz