25-Mavzu:Xavfsizlik
konseptsiyasi.Tarmoqli
va
tizimli
tahdidlar(hujumlar)
Reja:
1. Xavfsizlik konseptsiyasi
2. Tarmoq va tizim tahdidlari
3. Tarmoq tizimlarining auditi
Ma'ruza quyidagi masalalarni o'z ichiga oladi: xavfsizlik tushunchasi; tarmoq va
tizim
tahdidlari
(hujumlar); jangovar
hujumlar; tarmoq
tizimlarining
auditi; xavfsizlik
devorlari; xakerlik
urinishlarini
aniqlash; kriptografiya; SSL; kompyuter xavfsizligi darajasi; Windows NT va
Microsoft.NET
da
xavfsizlik
muammolarini
hal
qilish; xavfsizlik
siyosati; Microsoft ishonchli hisoblash tashabbusi.
Tarkib
 Kirish
 Xavfsizlik muammosi
 Autentifikatsiya
 Dasturiy tahdidlar (hujumlar)
 Tizimli tahdidlar (hujumlar)
 Tarmoq hujumlarining turlari
 Ishonchli hisoblash (TWC) tashabbusi
 Xavfsiz dasturiy mahsulotlarni ishlab chiqish tamoyillari
 Tahdidlar va hujumlar tasnifi (STRIDE)
 Dasturiy ta'minot hujumlarini baholash
 Hujumlarga qarshi kurash
 Xavfsizlik devori
 Xakerlik urinishlarini aniqlash
 Kriptografiya
 Kompyuterning xavfsizlik darajalari
 Windows NT da xavfsizlik
 .NET xavfsizligi
 Asosiy shartlar
 Qisqacha xulosa
 Amaliyot to'plami
o
Savollar
o
Mashqlar
o
Kurs ishlari, insholar, insholar uchun mavzular
Kirish
Xavfsizlik bugungi kunda IT sohasidagi eng dolzarb muammolardan biri bo'lib,
kundalik faoliyat va biznesning kompyuter texnologiyalariga kuchli bog'liqligi va
tarmoq hujumlari (kiber jinoyatlar) sonining keskin o'sishi tufayli. Xavfsizlik,
ayniqsa, hujumlarning asosiy nishoni sifatida operatsion tizimlar va tarmoqlar uchun
muhimdir. Ma'ruza quyidagi masalalarni ko'rib chiqadi:
 Xavfsizlik muammosi
 Autentifikatsiya
 Dasturiy tahdidlar (hujumlar)
 Tizimli tahdidlar (hujumlar)
 Tizim himoyasi
 Buzg'unchilikni aniqlash
 Kriptografiya
 Windows NT / 2000 / XP / 2003 / Vista, .NET da xavfsizlik
 Microsoft ishonchli hisoblash tashabbusi.
Xavfsizlik muammosi
Xavfsizlik tashqi
hujumlardan
himoya
qilishdir. Hozirgi
vaqtda
ma'lumotlarning yaxlitligiga, kompyuter tizimlari va ularga bog'liq bo'lgan
kompaniyalarning sog'lig'iga, odamlarning farovonligi va shaxsiy xavfsizligiga
tahdid soladigan turli xil xakerlik hujumlari soni sezilarli darajada
oshmoqda. Hujumlardan himoyalanish uchun maxsus xavfsizlik choralari,
kompyuter texnologiyalari va vositalar kerak bo'ladi.
Har qanday kompyuter tizimida tizimning tashqi muhitini tekshirishi va uni
quyidagilardan himoya qilishi kerak bo'lgan xavfsizlik quyi tizimi amalga
oshirilishi kerak:
 Ruxsatsiz kirish
 Zararli o'zgartirish yoki yo'q qilish
 Noto'g'ri ma'lumotni tasodifiy kiritish.
Amaliyot shuni ko'rsatadiki, ma'lumotga zararli zarar etkazishdan ko'ra,
tasodifan himoya qilish osonroq.
Autentifikatsiya
Eng
ko'p
qo'llaniladigan
xavfsizlik
choralaridan
biri autentifikatsiya , foydalanuvchilar tizimga kirganlarida identifikatsiya
qilishdir. Bunday foydalanuvchi identifikatsiyasi ko'pincha loginlar - tizimga kirish
uchun ro'yxatdan o'tgan foydalanuvchi nomlari va parollar - har bir login bilan
bog'liq maxfiy kod so'zlari orqali amalga oshiriladi .
Parollardan foydalanishning asosiy printsipi shundaki, ular sir saqlanishi
kerak. Shu sababli, xakerlarga hujum qilishning an'anaviy maqsadlaridan biri
foydalanuvchidan uning foydalanuvchi nomi va parolini har qanday yo'l bilan
aniqlashdir. Parollar sirini saqlash uchun quyidagi choralar ko'riladi.
 Parolni tez-tez o'zgartirish . Urush paytida armiyada ham xuddi shunday
choralar qo'llanilgan. Aksariyat saytlar va boshqa tizimlar (masalan, Microsoft
hamkorlari sayti) foydalanuvchilardan parollarni muntazam ravishda o'zgartirishni
talab qiladi (masalan, kamida uch oyda bir marta), aks holda saytga kirish uchun
bloklanadi. Bunday choralar to'liq oqlanadi.
 "O'zini oldindan aytib bo'lmaydigan" parollardan foydalanish . Deyarli
barcha tizimlar foydalanuvchidan roʻyxatdan oʻtish vaqtida osonlik bilan taxmin
qilinmaydigan parollarni oʻrnatishni talab qiladi: masalan, qoida tariqasida, parolda
katta va kichik harflar va raqamlar, maxsus belgilar boʻlishi va kamida 7-8 belgidan
iborat boʻlishi kerak. Bundan tashqari, oldindan aytib bo'lmaydigan parollarning
avtomatik generatorlari ham qo'llaniladi. Shuning uchun, parol sifatida osongina
taxmin qilinadigan so'zlardan foydalanish tavsiya etilmaydi - masalan, sevimli itning
nomi yoki umumiy tushuncha.
 Barcha noto'g'ri kirish urinishlari saqlanadi . Ko'pgina tizimlarda login va
parollarni kiritish uchun barcha noto'g'ri urinishlarni qayd etadigan tizim jurnali
amalga oshiriladi. Odatda bunday urinishlarning qat'iy soni beriladi (masalan,
uchta).
Parollar ham shifrlanishi yoki faqat bir marta kirishga ruxsat berilishi mumkin ,
shundan so'ng foydalanuvchi parolni o'zgartirishi kerak.
Dasturiy tahdidlar (hujumlar)
Keling, xakerlar tomonidan qo'llaniladigan tahdid va hujumlarning odatiy
turlarini ko'rib chiqaylik.
Troyan oti - bu qandaydir foydali dasturni "qalbaki" qiladigan, lekin noto'g'ri
ishga tushirilganda (zararli ravishda) o'z muhitidan foydalanadigan, masalan, maxfiy
ma'lumotlarni qabul qiladigan va ishlatadigan hujum qiluvchi dastur. Troyanlar ba'zi
foydalanuvchilar tomonidan yozilgan dasturlar boshqa foydalanuvchilar tomonidan
bajarilishi uchun tizim mexanizmlaridan foydalanadi.
Trap Door - xavfsizlik tekshiruvlaridan qochish uchun foydalanuvchi nomi
yoki paroldan foydalanish.
Stack and Buffer Overflow - boshqa foydalanuvchi yoki jarayonning
yaxlitligini buzish maqsadida uning xotirasiga kirish uchun dastur xatosidan
(xotiradagi stek yoki buferlarning to'lib ketishi) foydalanish.
Tizimli tahdidlar (hujumlar)
Keling , tizim dasturlaridagi zaifliklardan foydalanadigan ba'zi tipik
hujumlarni ham ko'rib chiqaylik - hujumlarni tashkil qilish imkonini beradigan
xatolar va kamchiliklar.
Qurtlar o'z-o'zini takrorlash (ko'paytirish) mexanizmlaridan foydalanadigan
zararli dasturlardir. Masalan, Internet qurtlaridan biri UNIX tarmoq
imkoniyatlaridan
(masofadan
foydalanish)
hamda barmoq va sendmail dasturlaridagi xatolardan foydalanadi . Uning ishlash
printsipi quyidagicha: tarmoqda doimiy ravishda ishlatiladigan ba'zi tizim dasturi
qurtning asosiy dasturini tarqatadi.
Yilda sek. 24.1 UNIX tizim dasturlaridagi zaifliklardan foydalanadigan Morris
Internet qurtining ishlashi tasvirlangan.
Guruch. 24.1. Morris Internet qurti.
Viruslar - bu dasturlarning va butun kompyuter tizimining ishlashini buzish
uchun oddiy dasturlarga kiritilgan kod bo'laklari. Viruslar asosan mikrokompyuter
tizimlariga ta'sir qiladi. Viruslar umumiy foydalanish mumkin bo'lgan saytlardan
yoki "infektsiya" ni o'z ichiga olgan disklardan yuklab olinadi. Kompyuter viruslari
bilan kasallanishning oldini olish uchun kompyuterlardan foydalanishda xavfsizlik
tamoyillariga
rioya
qilish
kerak ( xavfsiz hisoblash )
- antivirus
dasturlari , qo'riqchilar - doimiy xotirada bo'lgan dasturlar va ochilgan har bir
faylni viruslarni skanerlash - .exe, doc. , va boshqalar.
Xizmat ko‘rsatishni rad etish (DoS) serverning to‘g‘ri ishlashiga yo‘l
qo‘ymaslik uchun uni sun’iy ravishda ortiqcha yuklaydigan server hujumlarining
keng tarqalgan turlaridan biridir. Masalan, veb-server uchun bunday hujum sun'iy
ravishda million "GET" so'rovlarini yaratish bo'lishi mumkin. Agar server to'liq
ishonchli tarzda amalga oshirilmasa, bunday hujum ko'pincha serverda xotiraning
to'lib ketishiga va uni qayta ishga tushirish zarurligiga olib keladi.
Tarmoq hujumlarining turlari
Keling, foydalanuvchilar doimo ehtiyot bo'lishlari kerak bo'lgan zamonaviy
tarmoq hujumlarining ayrim turlarini ko'rib chiqaylik.
Fishing - bu foydalanuvchining maxfiy ma'lumotlarini foydalanuvchining
o'zidan aldab o'g'irlashga urinish. Hatto fishing so'zining o'zi ham baliq
ovlash uchun noto'g'ri so'zdir . (baliq ovlash), ya'ni. xaker ushbu texnika yordamida
haddan tashqari sodda foydalanuvchini "o'lja ustida" tutishga harakat
qilmoqda. Masalan, foydalanuvchini login va paroli, kredit kartasi yoki bank hisobi
xavf ostida ekani haqida o‘z xabarida qo‘rqitish orqali xaker foydalanuvchiga
javoban ba’zi maxfiy ma’lumotlarni kiritishga va jo‘natishga harakat qiladi. Odatda,
fishing elektron pochtasi bank nomidan keladi va bank veb-saytida ishlatiladigan
ranglar, logotiplar va boshqalar bilan qalbakilashtiriladi. Biroq, uni ochish uchun
odatda sichqoncha kursorini (uni bosmasdan) taqdim etilgan veb-havola yoki
elektron pochta manziliga (shu bilan birga u ta'kidlangan) ko'chirish va manzil
bankka ishora qilmasligiga ishonch hosil qilish kifoya. lekin butunlay begona sayt
yoki elektron pochtaga. Shuning uchun, foydalanuvchilar juda sodda bo'lmasligi
kerak. Yana bir samarali chora Agar fishing bir xil elektron pochta manzillaridan
muntazam ravishda sodir bo'lsa, ushbu manzillarni elektron pochta serverida qora
ro'yxatga kiriting. Shunda bunday xabarlar foydalanuvchining pochta qutisiga
umuman tushmaydi.
Pharming - foydalanuvchini zararli veb- saytga yo'naltirish (odatda fishing
maqsadlarida). Biz allaqachon foydalanuvchi tomonidan oldini olish choralarini
ko'rib chiqdik. Antiphishing nazorati dasturlari zamonaviy veb-brauzerlarga
o'rnatilgan bo'lib, ular saytga kirishda avtomatik ravishda ishga
tushadi. Foydalanuvchi uchun biroz vaqt talab qilsa-da, bunday choralar ko'plab
hujumlarning oldini olishga yordam beradi.
Ma'lumotlarga o'zgartirish kiritish - ma'lumotlarni zararli buzish yoki
buzish. Bunday
hujumlarga
qarshi
kurashning
samarali
chorasi axborotni shifrlashdir .
Spoofing - ma'lum bir foydalanuvchi uchun " soxta" (uning logini, paroli va
vakolatidan zararli foydalanish). Login va parol foydalanuvchidan soxta yo'l bilan
(masalan, fishing natijasida) olinadi yoki xakerlik dasturi tomonidan "buzilgan"
tizim faylidan olinadi.
Imtiyozlarni ko'tarish - zararli harakatlarni amalga oshirish uchun vakolatlarni
(masalan, tizim ma'muri vakolatlarini) kengaytirishga urinish. Shuning uchun har
qanday kompyuter tizimidagi eng maxfiy ma'lumotlar tizim administratori paroli
bo'lib, uni juda ehtiyotkorlik bilan himoya qilish kerak.
Ishonchli hisoblash (TWC) tashabbusi
Xavfsiz va xavfsiz hisoblash tashabbusi 2002 yilda Microsoft asoschisi Bill
Geytsning barcha Microsoft xodimlariga yuborgan tarixiy elektron pochtasida e'lon
qilingan edi. TWC tashabbusining asosiy yo'nalishi shundan iboratki, dasturiy
ta'minot tizimini yaratishda xavfsizlikka birinchi bosqichlardan boshlab alohida
e'tibor berilishi kerak. Biroq, TWC tashabbusi bu bilan cheklanib qolmaydi - uning
mazmuni va maqsadlari ancha kengroq bo'lib, iqtisodiy, huquqiy jihatlar va "inson
omili"ni ham qamrab oladi.
TWC tashabbusining asosiy tamoyillari:
Xavfsizlik - har qanday dasturiy ta'minot tizimida tashqi hujumlardan samarali
himoya choralarini amalga oshirish va qo'llash; ushbu maqsadga erishishga
qaratilgan dasturlarni ishlab chiqishning maxsus usullaridan foydalanish.
Axborotning maxfiyligini saqlash (Privacy) - shaxsiy va korporativ
ma'lumotlardan dasturiy ta'minot tomonidan faqat foydalanuvchining aniq roziligi
bilan va faqat unga tushunarli bo'lgan qonuniy maqsadlarda foydalanish; maxfiy
ma'lumotlarni hujum natijasida xakerlikdan himoya qilish.
Ishonchlilik - ma'lum bir muhitda dasturning kutilgan to'g'ri harakatini
ta'minlashi kerak bo'lgan dasturiy ta'minot tizimlarining xatti-harakatlarini oldindan
aytish mumkinligi.
Biznesning samaradorligi, qonuniyligi va to'g'riligi (Business Integrity) dasturiy mahsulotlarni qo'llab-quvvatlash guruhi ishining samaradorligi va
foydalanuvchilarning
xavfsizlik
masalalari
bo'yicha
o'z
vaqtida
maslahatlashuvlari; kompaniya biznesining to'g'riligi - dasturiy ta'minot ishlab
chiqaruvchisi.
Microsoft korporatsiyasining o'zi 2002 yildan buyon dasturiy ta'minotni ishlab
chiqish biznes-jarayonlarini butunlay qayta tashkil etdi, bunda xavfsiz dasturiy
ta'minotni ishlab chiqish uchun yangi hayot tsikli sxemasi - SDLC (Security
Development Life Cycle) qo'llanildi. TWC tamoyillari Microsoft mahsulotlarining
barcha yangi versiyalarida mujassamlangan: Internet Explorer 7 va 8, Windows
Vista va boshqalar.
Microsoft o'zining TWC tashabbusi bilan barcha boshqa kompaniyalar va
individual ishlab chiquvchilarni taklif qilingan tamoyillarga amal qilishga chaqirdi,
garchi dastlab dunyoda TWC tashabbusiga nisbatan ehtiyotkorlik va hatto shubha
bilan munosabatda bo'lgan.
Microsoft TWC ta'minoti va TWC universitet ta'limini moliyalashtirdi.
Qayd etish joizki, dunyo universitetlarida TWC ta’limi endigina boshlangan. Bu
masalalarga katta e'tibor, birinchi navbatda, harbiy qo'mondonlik va tayinlash oliy
o'quv yurtlari tomonidan beriladi.
IT talabalariga TWC tamoyillarini o'rgatadigan birinchi universitetlardan biri
Sankt-Peterburg davlat universitetining matematika va mexanika fakultetidir TWCni yanada batafsil o'rganish prof. IN. Safonov “Dasturlar va bilimlarning
arxitekturasi va modellari” (4-kurs) va boshqa barcha kurslarda TWC
elementlarining taqdimoti prof. IN. Safonova: "Operatsion tizimlar va tarmoqlar",
"Java texnologiyasi", "Kompilyatorlar".
Xavfsiz dasturiy mahsulotlarni ishlab chiqish tamoyillari
Microsoft-ning yangi xavfsizlikni ishlab chiqish hayotiy tsikli (SDLC) xavfsiz
dasturiy ta'minotni ishlab chiqish uchun yangi hayot tsikli ramkasidir . SDLC ning
asosiy g'oyasi birinchi bosqichlardan boshlab dasturiy ta'minotni ishlab chiqishning
butun hayoti davomida xavfsizlik talablarini hisobga olishdir. SDLC sxemasi
rasmda ko'rsatilgan . 24.2 .
Shakl . 24.2. Xavfsizlikni rivojlantirish hayot tsikli (SDLC) sxemasi.
Diagramma hayot tsiklining an'anaviy bosqichlarini ko'rsatadi va o'qlar unga
SDLC tomonidan kiritilgan qo'shimchalarni ko'rsatadi. Dasturiy ta'minotni ishlab
chiqishning butun tsikli davomida, dastlabki bosqichlardan boshlab (talablar,
spetsifikatsiyalar, dizayn) dasturiy ta'minotning ishonchliligi va xavfsizlik
choralarini doimiy ravishda ta'minlash kerak, shunda keyinchalik ular "favqulodda"
tizimga kiritilishi shart emas. , bu esa xarajatlarni sezilarli darajada oshiradi.
Dasturiy ta'minotga mumkin bo'lgan tahdidlar va hujumlarni oldindan tahlil
qilish va modellashtirish va ularga qarshi kurashish choralarini ishlab chiqish
kerak.
Ishonchlilik va xavfsizlik nuqtai nazaridan xavfni miqdoriy baholash
vositalariga ehtiyoj bor.
Dasturiy ta'minotni sinovdan o'tkazishning maxsus turlari talab qilinadi
- xavfsizlik testi, loyqa test (fuzzing) - xavfsizlik quyi tizimini sinovdan o'tkazish
va parametrlarning chegara yoki chegaraviy qiymatlarini sinash, IP manzillarini va
boshqa komponentlarni tanlash va buzish bo'yicha xakerlarning harakatlarini taqlid
qilish. kompyuter tizimidan.
Rivojlanish jarayoni davomida hissa qo'shish uchun xavfsizlik do'stlari kerak .
Microsoft xavfsiz dasturiy ta'minotni baholash va ishlab chiqish, tahdidlar va
hujumlarni baholash va hujum oqibatlarini baholash uchun bir qator oddiy
sxemalarni taklif qildi, biz ularni ko'rib chiqamiz.
SD3C sxemasi (formula) xavfsiz dasturiy ta'minotni ishlab chiqishning asosiy
tamoyillarini belgilaydi:
 Secure in Design - xavfsiz dizayn tamoyillarini qo'llash; mumkin bo'lgan
hujumlarni hisobga olgan holda; ularni aks ettirish usullarini amalga oshirish;
 Sukut bo'yicha xavfsiz - standart xavfsizlik sozlamalarini yoqing;
 Secure in Deployment - dasturiy ta'minotni xavfsiz joylashtirish va o'rnatish;
 Aloqa - mahsulotni qo'llab-quvvatlash guruhining foydalanuvchilar bilan
doimiy o'zaro aloqasi, xavfsizlik xatolari aniqlangan mahsulotning yangi
versiyalarini tezda chiqarish; xavfsizlikni sozlash bo'yicha tavsiyalar.
Tahdidlar va hujumlar tasnifi (STRIDE)
STRIDE formulasidan foydalanib, Microsoft tahdidlar va hujumlarni
tasniflashni taklif qiladi:
Spoofing - harflar: parodiya, pranking - ma'lum bir foydalanuvchi uchun
"soxta"; masalan, foydalanuvchini autentifikatsiya qiluvchi tranzaksiyani
takrorlash.
Buzg'unchilik - hujum qilish maqsadida ma'lumotlarni ruxsatsiz
o'zgartirish; masalan, yangi foydalanuvchi qo'shish uchun autentifikatsiya fayllarini
o'zgartirish.
Rad - tom ma'noda aniq noroziligini, inkor, rad xavfsizlik buzilishi sabab
bo'lishi mumkin harakatlar tizimi jurnallaridan aniqlamay etishmadi -. Operatsion
tizimda, agar u xavfsizlik buzilishiga olib kelishi mumkin bo'lgan hech narsa qayd
qilmasa, haydovchi rad etish xavfi ostida bo'lishi mumkin. Misol uchun, fokusni
o'zgartirish va tasvir hajmini kamaytirish so'rovlarini ushlamaydigan video qurilma
drayveri (bu tasvirning buzilishiga olib kelishi mumkin).
Axborotni oshkor qilish - maxfiy ma'lumotlarga ruxsatsiz kirish; masalan:
Bank mijozlarining kredit karta raqamlari ro'yxatini olish.
Xizmat ko'rsatishni rad etish - Xizmatni rad etish; masalan: xesh
algoritmining kamchiliklaridan foydalanib, protsessorni ortiqcha yuklash effektiga
ataylab erishish.
Imtiyozlarni oshirish - Imtiyozlarni oshirish (tizim ma'muri huquqlarini
ruxsatsiz berish). Misol: buyruqlaringizni bajarish uchun imtiyozli dasturni ishga
tushirish.
Dasturiy ta'minot hujumlarini baholash
Boshqa formula - DREAD - tashqi hujumlarni baholash uchun tavsiya etiladi:
Zarar - hujum natijasida etkazilgan zarar.
Reproduktivlik - Hujumning takrorlanishi: qanchalik tez-tez sodir bo'ladi va
uni takrorlash mumkinmi (simulyatsiya).
Ekspluatatsiya qilish imkoniyati - bu erda: malaka (daraja); hujum uchun
zarur bo'lgan tajriba va malaka (xakerning).
Ta'sirlangan foydalanuvchilar - hujum qaysi foydalanuvchilarga qaratilgan.
Oshkoralik - hujumni aniqlash mumkinmi.
Hujumlarga qarshi kurash
Hujumlarga qarshi kurashish uchun quyidagi choralar ko'rilishi mumkin.
Faoliyatning shubhali misollarini tekshirish - masalan, noto'g'ri parolni
kiritishga bir necha marta ketma-ket urinishlar uni taxmin qilishga urinish bo'lishi
mumkin.
Saqlab audit jurnalini (audit log) u yoziladi esa, va har bir foydalanuvchi
urinishlar turi ob'ektini kirish uchun -. Jurnal xavfsizlik buzilishidan xalos bo'lish va
yanada samarali xavfsizlik choralarini ishlab chiqish uchun ishlatiladi.
Xavfsizlik tizimidagi "teshiklar" uchun tizimni davriy skanerlash . U
kompyuterdan deyarli foydalanilmaganda (masalan, viruslarni skanerlash)
bajariladi.
Tekshiruvlar :
 Qisqa yoki taxmin qilish oson parollar
 Turli xil foydalanuvchi nomlarini o'rnatadigan ruxsatsiz dasturlar
 Tizim kataloglarida ruxsatsiz dasturlar
 Kutilmaganda ko'p vaqt talab qiladigan jarayonlar
 Yaroqsiz katalog himoyasi
 Tizim ma'lumotlari fayllarini himoya qilishning etarli emasligi
 Dasturlarni qidirish yo'llaridagi xavfli elementlar (troyanlarga olib keladi)
 Tizim dasturlaridagi o'zgarishlar: nazorat summasini tekshirish.
Xavfsizlik devori
Faervol (xavfsizlik devori) - mahalliy tarmoqni tashqi hujumlardan himoya
qilish uchun tizim dasturi. Xavfsizlik devori "ishonchli" va "ishonchsiz"
kompyuterlar o'rtasida joylashgan - masalan, mahalliy tarmoqdagi kompyuterlar va
boshqalar. Xavfsizlik devori ikki xil xavfsizlik domenlari o'rtasida tarmoqqa kirishni
cheklaydi. O'rnatilgan xavfsizlik devori barcha zamonaviy operatsion tizimlarga
kiritilgan va sukut bo'yicha yoqilgan. Uni o'chirib qo'ymaslik qat'iyan tavsiya etiladi,
bu Internetga kirishda ayniqsa muhimdir.
Xavfsizlik devoridan foydalanish diagrammasi rasmda ko'rsatilgan . 24.3 .
Guruch. 24.3. Tarmoq xavfsizligini ta'minlash uchun xavfsizlik devoridan
foydalanish diagrammasi.
Ishonchim komilki, o'quvchilar orasida barcha Windows foydalanuvchilari
kompyuteringizni buzishga urinish bostirilganligi haqidagi OS xabariga bir necha
bor e'tibor berishgan. Buning sababi o'rnatilgan Windows xavfsizlik devori.
Faervollar odatda "ishonchli" va potentsial ishonchsiz IP manzillardan tarmoq
paketlarini filtrlash orqali amalga oshiriladi.
Xakerlik urinishlarini aniqlash
Samarali xavfsizlik chorasi kompyuter tizimlariga kirishga urinishlarni
aniqlashdir. Aniqlash usullari:
 Tekshiruv va jurnallar ( Hujumlarga qarshi kurash bo'limiga qarang );
 tripwire- dan foydalanish - UNIX dasturlari ba'zi fayllar va kataloglar
o'zgarganligini tekshiradi, masalan, parollarni o'z ichiga olgan fayllar;
 Tizim qo'ng'iroqlarini kuzatish.
Yilda 1-jadval UNIX tizimi qo'ng'iroqlarni kuzatish uchun ishlatiladigan jadval
namunasidir.
Jadval 1. Tizim qo'ng'iroqlari ketma-ketligini kuzatish jadvali
tizim chaqiruvi
masofa = 1
masofa = 2
masofa = 3
ochiq
getrlimitni
o'qing
mmap
mmap yopish
o'qing
mmap
mmap
ochiq
mmap
mmap
yopish
cheklash
mmap
ochiq
getrlimitni
oching
getrlimit mmap
yaqin
yaqin
Kriptografiya
Kriptografiya - aniq matnni shifrlangan matnga aylantirish. Maxfiy
ma'lumotlarni himoya qilish uchun kriptografiya usullari keng qo'llaniladi.
Yaxshi shifrlash usullarining xususiyatlari:
 Vakolatli foydalanuvchilar uchun ma'lumotlarni shifrlash va shifrini
ochishning nisbatan oson usuli.
 Shifrlash sxemasi maxfiy algoritmga emas, balki kalit shifrlash ( shifrlash
kaliti ) deb ataladigan maxfiy algoritm parametriga bog'liq bo'lishi kerak .
 Ruxsatsiz foydalanuvchi uchun kalitni aniqlash juda qiyin bo'lishi kerak.
Ma'lumotlarni shifrlash standarti (DES) texnologiyasi xavfsiz mexanizm
orqali vakolatli foydalanuvchilarga taqdim etilgan kalit asosida belgilarni
almashtirish va tartibni o'zgartirishga asoslangan. Bunday sxema faqat kalitni olish
mexanizmi kabi xavfsizdir.
Ochiq kalitli kriptografiya, yana bir keng tarqalgan kriptografiya usuli,
foydalanuvchi ikkita kalitni bilishi printsipiga asoslanadi:
ochiq kalit - ma'lumotlarni shifrlash uchun ochiq kalit .
maxfiy kalit - faqat foydalanuvchiga ma'lum bo'lgan va u tomonidan
ma'lumotlarni shifrlash uchun foydalaniladigan shaxsiy kalit .
Ochiq kalit usuli kriptografiya usullariga qoʻyiladigan yana bir muhim talabni
oʻzida mujassam etadi: usul hamma uchun ochiq boʻlgan kriptografik sxemaga
asoslangan boʻlishi kerak, ammo bu shifrni ochish sxemasini ochishni
osonlashtirmaydi.
Veb-texnologiyalarda ishlatiladigan shifrlash misoli SSL (Secure Socket
Layer) shifrlangan xabarlarni rozetka orqali almashish uchun mo'ljallangan
kriptografik protokollar oilasidir. SSL veb-serverlar va brauzerlar o'rtasida xavfsiz
aloqa uchun ishlatiladi (masalan, kredit karta raqamlarini kiritish). Mijoz server
bilan bog'langanda, ikkinchisi sertifikat yordamida tekshiriladi. Kompyuterlar
orasidagi aloqa simmetrik kalit kriptografiyasidan foydalanadi.
Kompyuterning xavfsizlik darajalari
AQSh Mudofaa vazirligi kompyuter xavfsizligini A, B, C, D darajalariga
ajratadi.
Xavfsizlik darajasi D minimal xavfsizlik darajasiga mos keladi.
On xavfsizlik darajasi C audit bilan davriy kompyuter betob taqdim etiladi. C
darajasi C1 va C2 darajalariga bo'linadi. C1 darajasi foydalanuvchining bir xil
xavfsizlik darajasi bilan o'zaro ta'sirini bildiradi. C2 darajasi foydalanuvchi
darajasida kirishni boshqarish imkonini beradi.
Xavfsizlik darajasi B C darajasining barcha xususiyatlariga ega, ammo har bir
ob'ekt noyob sezgirlik belgilariga ega bo'lishi mumkin . B1, B2, B3 darajalariga
bo'linadi.
At xavfsizlik darajasi A , rasmiy spetsifikatsiyasi va dizayn texnik xavfsizlikni
ta'minlash uchun ishlatiladi.
Windows NT da xavfsizlik
Sozlanishi mumkin bo'lgan xavfsizlik D dan C2 gacha bo'lgan siyosat
darajalariga ruxsat beradi (foydalanuvchi darajasidagi kirishni boshqarish).
Xavfsizlik foydalanuvchi hisoblariga asoslanadi, har bir foydalanuvchi
boshqa xavfsizlik identifikatoriga ega.
Mavzu modeli kirish xavfsizligini ta'minlash uchun ishlatiladi. Tashkilot
ruxsatlarni kuzatib boradi va foydalanuvchi ishga tushiradigan har bir dastur uchun
ruxsatlarni boshqaradi.
Windows NT dagi har bir ob'ekt xavfsizlik deskriptori tomonidan aniqlangan
o'ziga xos xavfsizlik atributiga ega . Masalan, faylda barcha foydalanuvchilar uchun
kirish ruxsatlarini belgilaydigan xavfsizlik identifikatori mavjud.
.NET xavfsizligi
Dasturiy ta'minotni ishlab chiqish uchun barcha tizimlar va platformalar ichida
.NET eng ilg'or xavfsizlik mexanizmlariga ega. .NET moslashuvchan, sozlanishi
xavfsizlikni ta'minlaydi. Tashkilot va xavfsizlik auditining uchta asosiy turi mavjud.
Code Access Security Bajariladigan kod (montaj) xavfsizligini sozlaydi va
tekshiradi. Xavfsizlik tekshiruvlari dastur joriy ip stekida bajarilganda amalga
oshiriladi. Xavfsizlik organi (masalan, faylni ochish uchun ruxsat) nafaqat
chaqirilgan aniq usul uchun, balki joriy ipning stekida chaqirilgan barcha
yig'ilishlarning barcha usullari uchun tekshiriladi. Agar ulardan kamida bittasi
uchun ruxsatlar buzilgan bo'lsa, dastur SecurityException-ni tashlash orqali
tugatiladi . Ushbu sxema imtiyoz hujumlarining ko'tarilishini yo'q qiladi .
Dalillarga asoslangan xavfsizlik - chaqirilgan ikkilik yig'ilishga ishonchni
tekshirish uchun xavfsizlik sxemasi. muddatli dalil (dalil) bu holda qo'llabquvvatlash tizimini amalga oshirish tahlil yig'ish haqida ma'lumot, degan ma'noni
anglatadi, -.. Misol uchun, raqamli imzo mavjudligi, kompaniya-ishlab chiquvchi,
va boshqalar asosiy majmui bilan belgilanadi. ushbu tahlil asosida yig'ilish
vakolatlari.
+Rolga asoslangan xavfsizlik - bu foydalanuvchi xavfsizlik ruxsatlarining
moslashuvchan konfiguratsiyasi sxemasi. Har bir foydalanuvchiga ma'lum
xavfsizlik
ruxsatnomalari
to'plami
bog'lanishi mumkin
bo'lgan rol ( "menejer" kabi
belgilar
qatori
bilan
belgilanadi) tayinlanishi mumkin.
Xavfsizlik atributlari . .NET da atribut tushunchasi keng qo'llaniladi - nom
berilgan ob'ektga izoh beruvchi ixtiyoriy ma'lumotlar (masalan, sinf, usul yoki
maydon). Xususan, xavfsizlik atributlarining o'rnatilgan tizimi mavjud. Xavfsizlik
atributlari montaj ish vaqti virtual mashinasiga yuklanganda tekshiriladi.
Deklarativ
va
imperativ
xavfsizlikni
boshqarish . Xavfsizlik
atributlari xavfsizlikni
boshqarishning deklarativ usuli
hisoblanadi. Boshqa
usul, imperativ , ish vaqtida xavfsizlik hisob ma'lumotlarini tekshiradigan tizim
usullarini (masalan, Talab ) chaqirishdir .
Mamlakatimiz siyosatining ustuvor yo‘nalishlariga kiritilgan kompyuter va
axborot texnologiyalari, telekomunikatsiya, ma’lumotlarni uzatish tarmoqlari,
Internet xizmatlaridan foydalanish rivojlanmoqda va modernizatsiyalashmoqda.
Jamiyatimizning barcha sohalariga kundalik hayotimizga zamonaviy axborot
texnologiyalarini keng joriy etish istiqboldagi maqsadlarimizga erishishni
ta’minlaydi. Har bir soha faoliyatida Internet tarmog‘idan foydalanish ish
unumdorligini oshirmoqda.
Aynan tarmoqdan foydalangan holda tezkor ma’lumot almashish vaqtdan yutish
imkonini beradi. Xususan, yurtimizda Elektron hukumat tizimi shakllantirilishi va
uning zamirida davlat boshqaruv organlari hamda aholi o‘rtasidagi o‘zaro aloqaning
mustahkamlanishini tashkil etish tarmoqdan foydalangan holda amalga oshadi.
Tarmoqdan samarali foydalanish demokratik axborotlashgan jamiyatni
shakllantirishni ta’minlaydi. Bunday jamiyatda, axborot almashinuv tezligi
yuksaladi, axborotlarni yig‘ish, saqlash, qayta ishlash va ulardan foydalanish
bo‘yicha tezkor natijaga ega bo‘linadi.
Biroq tarmoqqa noqonuniy kirish, axborotlardan foydalanish va o‘zgartirish,
yo‘qotish kabi muammolardan himoya qilish dolzarb masala bo‘lib qoldi. Ish
faoliyatini tarmoq bilan bog‘lagan korxona, tashkilotlar hamda davlat idoralari
ma’lumot almashish uchun tarmoqqa bog‘lanishidan oldin tarmoq xavfsizligiga
jiddiy e’tibor qara-tishi kerak. Tarmoq xavfsizligi uzatilayotgan, saqlanayotgan va
qayta ishlanayotgan axborotni ishonchli tizimli tarzda ta’minlash maqsadida turli
vositalar va usullarni qo‘llash, choralarni ko‘rish va tadbirlarni amalga oshirish
orqali amalga oshiriladi. Tarmoq xavsizligini ta’minlash maqsadida qo‘llanilgan
vosita xavf-xatarni tezda aniqlashi va unga nisbatan qarshi chora ko‘rishi kerak.
Tarmoq xavfsizligiga tahdidlarning ko‘p turlari bor, biroq ular bir necha toifalarga
bo‘linadi:
 axborotni uzatish jarayonida hujum qilish orqali, eshitish va o‘zgartirish
(Eavesdropping);
 xizmat ko‘rsatishdan voz kechish; (Denial-of-service)
 portlarni tekshirish (Port scanning).
Axborotni uzatish jarayonida, eshitish va o‘zgartirish hujumi bilan telefon aloqa
liniyalari, internet orqali tezkor xabar almashish, videokonferensiya va faks
jo‘natmalari orqali amalga oshiriladigan axborot almashinuvida foydalanuvchilarga
sezdirmagan holatda axborotlarni tinglash, o‘zgartirish hamda to‘sib qo‘yish
mumkin. Bir qancha tarmoqni tahlillovchi protokollar orqali bu hujumni amalga
oshirish mumkin. Hujumni amalga oshiruvchi dasturiy ta’minotlar orqali CODEC
(video yoki ovozli analog signalni raqamli signalga aylantirib berish va aksincha)
standartidagi raqamli tovushni osonlik bilan yuqori sifatli, ammo katta hajmni
egallaydigan ovozli fayllar (WAV)ga aylantirib beradi. Odatda bu hujumning
amalga oshirilish jarayoni foydalanuvchiga umuman sezilmaydi. Tizim ortiqcha
zo‘riqishlarsiz va shovqinsiz belgilangan amallarni bajaraveradi. Axborotning
o‘g‘irlanishi haqida mutlaqo shubha tug‘ilmaydi. Faqatgina oldindan ushbu tahdid
haqida ma’lumotga ega bo‘lgan va yuborilayotgan axborotning o‘z qiymatini saqlab
qolishini xohlovchilar maxsus tarmoq xafvsizlik choralarini qo‘llash natijasida
himoyalangan tarmoq orqali ma’lumot almashish imkoniyatiga ega bo‘ladilar.
Tarmoq orqali ma’lumot almashish mobaynida yuborilayotgan axborotni eshitish va
o‘zgartirishga qarshi bir necha samarali natija beruvchi texnologiyalar mavjud:
 IPSec (Internet protocol security) protokoli;
 VPN (Virtual Private Network) virtual xususiy tarmoq;

IDS (Intrusion Detection System) ruxsatsiz kirishlarni aniqlash tizimi.
Ipsec (Internet protocol security) bu xavfsizlik protokollari hamda shifrlash
algoritmlaridan foydalangan holda tarmoq orqali xavfsiz ma’lumot almashish
imkonini beradi. Bu maxsus standart orqali tarmoqdagi kompyuterlarning o‘zaro
aloqasida dastur va ma’lumotlar hamda qurilmaviy vositalar bir-biriga mos kelishini
ta’minlaydi. Ipsec protokoli tarmoq orqali uzatilayotgan axborotning sirliligini,
ya’ni faqatgina yubo-ruvchi va qabul qiluvchiga tushunarli bo‘lishini, axborotning
sofligini hamda paketlarni autentifikatsiyalashni amalga oshiradi. Zamonaviy
axborot texnologiyalarni qo‘llash har bir tashkilotning rivojlanishi uchun zaruriy
vosita bo‘lib qoldi, Ipsec protokoli esa aynan quyidagilar uchun samarali himoyani
ta’minlaydi:
 bosh ofis va filiallarni global tarmoq bilan bog‘laganda;
 uzoq masofadan turib, korxonani internet orqali boshqarishda;
 homiylar bilan bog‘langan tarmoqni himoyalashda;
 elektron tijoratning xavfsizlik darajasini yuksaltirishda.
VPN (Virtual Private Network) virtual xususiy tarmoq sifatida ta’riflanadi. Bu
texnologiya foydalanuvchilar o‘rtasida barcha ma’lumotlarni almashish boshqa
tarmoq doirasida ichki tarmoqni shakllantirishga asoslangan, ishonchli himoyani
ta’minlashga qaratilgan. VPN uchun tarmoq asosi sifatida Internetdan foydalaniladi.
VPN texnologiyasining afzalligi. Lokal tarmoqlarni umumiy VPN tarmog‘iga
birlashtirish orqali kam xarajatli va yuqori darajali himoyalangan tunelni qurish
mumkin. Bunday tarmoqni yaratish uchun sizga har bir tarmoq qismining bitta
kompyuteriga filiallar o‘rtasida ma’lumot almashishiga xizmat qiluvchi maxsus
VPN shlyuz o‘rnatish kerak. Har bir bo‘limda axborot almashishi oddiy usulda
amalga oshiriladi. Agar VPN tarmog‘ining boshqa qismiga ma’lumot jo‘natish
kerak bo‘lsa, bu holda barcha ma’lumotlar shlyuzga jo‘natiladi. O‘z navbatida,
shlyuz ma’lumotlarni qayta ishlashni amalga oshiradi, ishonchli algoritm asosida
shifrlaydi va Internet tarmog‘i orqali boshqa filialdagi shlyuzga jo‘natadi.
Belgilangan nuqtada ma’lumotlar qayta deshifrlanadi va oxirgi kompyuterga oddiy
usulda uzatiladi. Bularning barchasi foydalanuvchi uchun umuman sezilmas
darajada amalga oshadi hamda lokal tarmoqda ishlashdan hech qanday farq
qilmaydi. Eavesdropping hujumidan foydalanib, tinglangan axborot tushunarsiz
bo‘ladi.
Bundan tashqari, VPN alohida kompyuterni tashkilotning lokal tarmog‘iga
qo‘shishning ajoyib usuli hisoblanadi. Tasavvur qilamiz, xizmat safariga
noutbukingiz bilan chiqqansiz, o‘z tarmog‘ingizga ulanish yoki u yerdan biror-bir
ma’lumotni olish zaruriyati paydo bo‘ldi. Maxsus dastur yordamida VPN shlyuz
bilan bog‘lanishingiz mumkin va ofisda joylashgan har bir ishchi kabi faoliyat olib
borishigiz mumkin. Bu nafaqat qulay, balki arzondir.
VPN ishlash tamoyili. VPN tarmog‘ini tashkil etish uchun yangi qurilmalar va
dasturiy ta’minotdan tashqari ikkita asosiy qismga ham ega bo‘lish lozim: ma’lumot
uzatish protokoli va uning himoyasi bo‘yicha vositalar.
Ruxsatsiz kirishni aniqlash tizimi (IDS) yordamida tizim yoki tarmoq xavfsizlik
siyosatini buzib kirishga harakat qilingan usul yoki vositalar aniqlanadi. Ruxsatsiz
kirishlarni aniqlash tizimlari deyarli chorak asrlik tarixga ega. Ruxsatsiz kirishlarni
aniqlash tizimlarining ilk modellari va prototiplari kompyuter tizimlarining audit
ma’lumotlarini tahlillashdan foydalangan. Bu tizim ikkita asosiy sinfga ajratiladi.
Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (Network Intrusion Detection System)
va kompyuterga ruxsatsiz kirishni aniqlash tizimiga (Host Intrusion Detection
System) bo‘linadi.
IDS tizimlari arxitekturasi tarkibiga quyidagilar kiradi:
 himoyalangan tizimlar xavfsizligi bilan bog‘liq holatlarni yig‘ib tahlillovchi
sensor qism tizimi;
 sensorlar ma’lumotlariga ko‘ra shubhali harakatlar va hujumlarni aniqlashga
mo‘ljallangan tahlillovchi qism tizimi;
 tahlil natijalari va dastlabki holatlar haqidagi ma’lumotlarni yig‘ishni
ta’minlaydigan omborxona;
 IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va himoyalangan
tizim holatini kuzatuvchi, tahlil qism tizimlari aniqlagan mojarolarni kuzatuvchi
boshqaruv konsoli.
Bu tizim ikkita asosiy sinfga ajratiladi. Tarmoqqa ruxsatsiz kirishni aniqlash
tizimi (Network Intrusion Detection System) va kompyuterga ruxsatsiz kirishni
aniqlash tizimiga (Host Intrusion Detection System) bo‘linadi. Tarmoqqa ruxsatsiz
kirishni aniqlash tizimi (NIDS) ishlash tamoyili quyidagicha:
1. tarmoqqa kirish huquqiga ega bo‘lgan trafiklarni tekshiradi;
2. zararli va ruxsatga ega bo‘lmagan paketlarga cheklov qo‘yadi.
Sanab o‘tilgan xavfsizlik bosqichlarini qo‘llagan holda Eavesdropping tahdidiga
qarshi samarali tarzda himoyalanish mumkin.
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan voz kechish
hujumi deb nomlanadi. Bunda hujum qiluvchi legal foydalanuvchilarning tizim yoki
xizmatdan foydalanishiga to‘sqinlik qilishga urinadi. Tez-tez bu hujumlar
infratuzilma resurslarini xizmatga ruxsat so‘rovlari bilan to‘lib toshishi orqali
amalga oshiriladi. Bunday hujumlar alohida xostga yo‘naltirilgani kabi butun
tarmoqqa ham yo‘naltirilishi mumkin. Hujumni amalga oshirishdan oldin obyekt
to‘liq o‘rganilib chiqiladi, ya’ni tarmoq hujumlariga qarshi qo‘llanilgan himoya
vositalarining zaifligi yoki kamchliklari, qanday operatsion tizim o‘rnatilgan va
obyekt ish faoliyatining eng yuqori bo‘lgan vaqti. Quyidagilarni aniqlab va
tekshirish natijalariga asoslanib, maxsus dastur yoziladi. Keyingi bosqichda esa
yaratilgan dastur katta mavqega ega bo‘lgan serverlarga yuboriladi. Serverlar o‘z
bazasidagi ro‘yxatdan o‘tgan foydalanuvchilarga yuboradi. Dasturni qabul qilgan
foydalanuvchi ishonchli server tomonidan yuborilganligini bilib yoki bilmay
dasturni o‘rnatadi. Aynan shu holat minglab hattoki, millionlab kompyuterlarda
sodir bo‘lishi mumkin. Dastur belgilangan vaqtda barcha kompyuterlarda
faollashadi va to‘xtovsiz ravishda hujum qilinishi mo‘ljallangan obyektning
serveriga so‘rovlar yuboradi. Server tinimsiz kelayotgan so‘rovlarga javob berish
bilan ovora bo‘lib, asosiy ish faoliyatini yurgiza olmaydi. Server xizmat qilishdan
voz kechib qoladi.
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali yo‘llari
quyidagilar:
 tarmoqlararo ekranlar texnologiyasi (Firewall);
 IPsec protokoli.
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya qurilmasi
hisoblanadi. Tarmoqlararo ekran axborot-kommunikatsiya texnologiya (AKT)larida
kiruvchi va chiquvchi ma’lumotlarni boshqaradi va ma’lumotlarni filtrlash orqali
AKT himoyasini ta’minlaydi, belgilangan mezonlar asosida axborot tekshiruvini
amalga oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. Tarmoqlararo
ekran tarmoqdan o‘tuvchi barcha paketlarni ko‘radi va ikkala (kirish, chiqish)
yo‘nalishi bo‘yicha paketlarni belgilangan qoidalar asosida tekshirib, ularga ruxsat
berish yoki bermaslikni hal qiladi. Shuningdek, tarmoqlararo ekran ikki tarmoq
orasidagi himoyani amalga oshiradi, ya’ni himoyalanayotgan tarmoqni ochiq tashqi
tarmoqdan himoyalaydi. Himoya vositasining quyida sanab o‘tilgan qulayliklari,
ayniqsa, paketlarni filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning
samarali vositasidir. Paket filtrlari quyidagilarni nazorat qiladi:
 fizik interfeys, paket qayerdan keladi;

manbaning IP-manzili;
 qabul qiluvchining IP-manzili;
 manba va qabul qiluvchi transport portlari.
Tarmoqlararo ekran ba’zi bir kamchiliklari tufayli Dos hujumidan to‘laqonli
himoyani ta’minlab bera olmaydi:
 loyihalashdagi xatoliklar yoki kamchiliklar — tarmoqlararo ekranlarning har
xil texnologiyalari himoyalana-yotgan tarmoqqa bo‘ladigan barcha suqilib kirish
yo‘llarini qamrab olmaydi;
 amalga oshirish kamchiliklari — har bir tarmoqlararo ekran murakkab
dasturiy (dasturiy-apparat) majmua ko‘rinishida ekan, u xatoliklarga ega. Bundan
tashqari, dasturiy amalga oshirish sifatini aniqlash imkonini beradigan va
tarmoqlararo ekranda barcha spetsifikatsiyalangan xususiyatlar amalga
oshirilganligiga ishonch hosil qiladigan sinov o‘tkazishning umumiy
metodologiyasi mavjud emas;
 qo‘llashdagi (ekspluatatsiyadagi) kamchiliklar — tarmoqlararo ekranlarni
boshqarish, ularni xavfsizlik siyosati asosida konfiguratsiyalash juda murakkab
hisoblanadi va ko‘pgina vaziyatlarda tarmoqlararo ekranlarni noto‘g‘ri
konfiguratsiyalash hollari uchrab turadi. Sanab o‘tilgan kamchiliklarni IPsec
protokolidan foydalangan holda bartaraf etish mumkin. Yuqoridagilarni
umumlashtirib, tarmoqlararo ekranlar va IPsec protokolidan to‘g‘ri foydalanish
orqali DOS hujumidan yetarlicha himoyaga ega bo‘lish mumkin.
Port scanning hujum turi odatda tarmoq xizmatini ko‘rsatuvchi kompyuterlarga
nisbatan ko‘p qo‘llanadi. Tarmoq xavfsizligini ta’minlash uchun ko‘proq virtual
portlarga e’tibor qaratishimiz kerak. Chunki portlar ma’lumotlarni kanal orqali
tashuvchi vositadir. Kompyuterda 65 536ta standart portlar mavjud. Kompyuter
portlarini majoziy ma’noda uyning eshigi yoki derazasiga o‘xshatish mumkin.
Portlarni tekshirish hujumi esa o‘g‘rilar uyga kirishdan oldin eshik va derazalarni
ochiq yoki yopiqligini bilishiga o‘xshaydi. Agar deraza ochiqligini o‘g‘ri payqasa,
uyga kirish oson bo‘ladi. Hakker hujum qilayotgan vaqtda port ochiq yoki
foydalanilmayotganligi haqida ma’lumot olishi uchun Portlarni tekshirish
hujumidan foydalanadi.
Bir vaqtda barcha portlarni tahlil qilish maqsadida xabar yuboriladi, natijada real
vaqt davomida foydalanuvchi kompyuterning qaysi portini ishlatayotgani
aniqlanadi, bu esa kompyuterning nozik nuqtasi hisob-lanadi. Aynan ma’lum
bo‘lgan port raqami orqali foydalanuvchi qanday xizmatni ishlatayotganini aniq
aytish mumkin. Masalan, tahlil natijasida quyidagi port raqamlari aniqlangan
bo‘lsin, aynan shu raqamlar orqali foydalanilayotgan xizmat nomini aniqlash
mumkin
 Port #21: FTP (File Transfer Protocol) fayl almashish protokoli;

Port #35: Xususiy printer server;
 Port #80: HTTP traffic (Hypertext Transfer [Transport] Protocol) gipermatn
almashish protokoli;
 Port #110: POP3 (Post Office Protocol 3) E-mail portokoli.
Portlarni tekshirish hujumiga qarshi samarali himoya yechimi tarmoqlararo
ekran texnologiyasidan unumli foydalanish kutilgan natija beradi. Barcha portlarni
bir vaqtda tekshirish haqidagi kelgan so‘rovlarga nisbatan tarmoqlararo ekranga
maxsus qoida joriy etish yo‘li bilan hujumni bartaraf etish mumkin.