Ergashev-Tursunmurod-individuval-liyha 2

О‘ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI «Axborot xavfsizligi » kafedrasi INDIVIDUAL LOYIHA Mavzu: Blokcheyn texnologiyasi yordamida tashkilotlarda axborot xavfsizligini ta’minlash usullari 5330300 – “Axborot xavfsizligi (sohalar bо‘yicha)” yо‘nalishi Bajardi: Ergashev Tursunmurud Ilmiy rahbar: Shukurov Orziqul Toshkent - 2023 1 Tasdiqlayman kafedra mudiri Ganiyev A.A. « » _2023 y. INDIVIDUAL LOYIHA Talaba : Ergashev Tursunmurud Rahbar Shukurov Orziqul T O РS HI RIQ 1.Mavzu:Elektron to'lov tizimlarida ma'lumotlar xavfsizligini ta'minlash usullari 2.Loyixaga oid dastlabki ma’lumotlar: Manzillash usullari, ularning zaifliklari va ularga yechimlarga doir ilmiy-texnik adabiyotlar, internet ma`lumotlari. 3.Manbalar: Miсrosoft Offiсe Рower Рoint ilovasida tayyorlangan slaydlar 4.Individual loyihaning tuzilishi:Kirish. Tarmoqda manzillash usullarining afzalliklari va kamchiliklari. Tarmoqlarda manzillash va ularning zayifliklari tahlili. Hayot faoliyati xafsizligi va ekalogiya.Xulosa 5.Qо‘shimcha vazifa va kо‘rsatmalar: Elektron toʻlov tizimining toʻlov kartalari,Elektron to'lov tizimiga xos bo'lgan keng qamrovli xavfsizlik. 6.Individual loyihani bajarish rejasi: 2 № BMI bo`limlarining nomlari Bajarish muddati 1. Kirish, masalaning qo`yilishi 01.05.23-05.05.23 2. Shifrlash 02.05.23-12.05.23 3. Secure Sockets Layer Transport Layer 10.05.23-16.05.23 4. Tokenizatsiya 12.05.23-014.05.23 5. Xulosa 14.05.23-20.05.23 6. Рrezentatsiya slaydlarini ishlab сhiqish 16.05.23-21.05.23 7. Asosiy himoya Himoya natijasi: ball Rahbar: (imzo) 3 Bajarilganligi xaqida rahbar imzosi Individual loyihaning namunaviy mavzulari 1. INDIVIDUAL LOYIHA 2 (6-semestr)  Elektron to’lov tizimlarida ma’lumotlar xavfsizligini ta’minlash usullari  Spam xabarlarni aniqlash usullari va algoritmlari tahlili  Korparativ tarmoqlarda axborotni sirqib chiqishidan himoyalash vositalariningtahlili  Kompyuter tarmoqlarida masofadan kirishga urinishlarni aniqlash usullari  Tarmoq qurilmalari zaifliklarini aniqlash usullarining tahlili  Bank tizimida mijozlarning shaxsiy ma’lumotlarini xavfsizligini ta’minlash usullari  Web tizimlarda in’eksiya hujumlari va ularni oldini olish usullari  Zararli dasturlarni tahlillash vositalarining tadqiqi  Tarmoq trafigini hujumlardan himoyalash usullari va algoritmlari  Tarmoq hujumlarini oldini olishda IDS va IPS vositalaridan samarali foydalanishusullari  Xavfsiz ma’lumotalmashishda blokcheyn texnologiyasidan foydalanish ahamiyati 4 MUNDARIJA KIRISH ....................................................................................................... 5 1. Elеktron to’lovlar tizimida axborotlarni himoyalash Ma’ruza darsini olib borish texnologiyasi…..………………………... 8 1.1. Xavfsiz kalitlarni boshqarish:....…………………………. 8 1.2. Global tarmoqlari soxalarini qamrab olgan xavflar va taxdidlar haqida tushuncha beriladi.…………………….. 11 1.3. Manzillash usullari zaifliklari…………………………………….... 28 2. TARMOQDA MANZILLASH USULLARI VA ULARNING ZAIFLIKLARI TAHLILI ……………………………………………… 34 2.1. Tarmoqda manzillash hujumlarining turlari…………….……..…… 34 2.2. Manzillash usullaridagi hujumlarga qarshi himoya choralari………. 40 2.3. Tarmoqda manzillash usullari zaifliklari tahlili.…………………… 44 3. HAYOT FAOLIYATI XAVFSIZLIGI VA EKOLOGIYA………... 60 3.1 Server honasida toʻgʻri ishlash talablari. Serverlar bilan ishlaganda yuz berishi mumkin boʻlgan xavflar……………………………….. 60 3.2 AKT tizimlarida faoliyat xavfsizligi……………………………….. 64 XULOSA…………………………………………………………………. 67 FOYDALANILGAN ADABIYOTLAR………………………………... 68 5 KIRISH Jahon miqyosidagi murakkab jarayonlarni va mamlakatimiz bosib oʻtgan taraqqiyot natijalarini chuqur tahlil qilgan holda keyingi yillarda “Inson qadri uchun” tamoyili asosida xalqimizning farovonligini yanada oshirish, iqtisodiyot tarmoqlarini transformatsiya qilish va tadbirkorlikni jadal rivojlantirish, inson huquqlari va manfaatlarini soʻzsiz ta’minlash hamda faol fuqarolik jamiyatini shakllantirishga qaratilgan islohotlarning ustuvor yoʻnalishlarini belgilash maqsadida va keng jamoatchilik muhokamasi natijasida “Harakatlar strategiyasidan — Taraqqiyot strategiyasi sari” tamoyiliga asosan ishlab chiqilgan yettita ustuvor yoʻnalishdan iborat 2022 — 2026-yillarga moʻljallangan Yangi Oʻzbekistonning taraqqiyot va uni “Inson qadrini ulug‘lash va faol mahalla yili”da amalga oshirishga oid davlat dasturi tasdiqlangan. Oʻzbekiston Respublikasi Prezidentining 28. 01. 2022 yildagi PF-60-sonli “2022 — 2026 yillarga moʻljallangan Yangi Oʻzbekistonning taraqqiyot strategiyasi toʻg‘risida”gi Farmonining Mamlakatimiz xavfsizligi va mudofaa salohiyatini kuchaytirish, ochiq, pragmatik va faol tashqi siyosat olib borishga bag‘ishlangan VII yoʻnalishidagi bir nechta bandlarida AKT sohasida axborot xavfsizligini taʼminlashga qaratilgan vazifalarni yechish hamda Vazirlar Mahkamasining “Butunjahon internet tarmog‘ida axborot xavfsizligini yanada takomillashtirish chora-tadbirlari toʻg‘risida” 2018 yil 5 sentyabrdagi 707-son qarori hamda mazkur faoliyatga tegishli boshqa meʼyoriy-huquqiy hujjatlarda belgilangan vazifalarni amalga oshirishda ushbu dissertatsiya tadqiqoti muayyan darajada xizmat qiladi. XXI asrga kelib yashab turgan dunyoyimizda texnika tehnologiyalar juda ham rivojlanib ketti va budan toʻxtamayapti. Kundan kunga yangidan yangi zamonaviy gadjetlar taqdim qilinmoqda. Bu esa oʻz navbatida uskunalar koʻpayishiga olib kelmoqda. Endilikda oddiy mashinalar, uy yoki telefonlar eskirgan deb 6 hisoblanmoqda, hamda ularni yana ham zamonaviy boʻlgan aqlli, elektron versiyalariga almashtirilmoqda. Bunda albatta foydali jihatlar juda koʻplab topiladi. Bunday tehnologiyalarni boshqarish albatta osonroq boʻladi. Sababi ularni masofadan boshqarish imkoniyati mavjud. Kompyuterlar, aqlli televizor, aqlli uylar va hokazo qurilmalarni bemalol hohlagan yerdan boshqarish imkoniyati yuzaga keldi. Bu huddi internetga uydan turib ulanganday gap. Buni amalga oshirish uchun esa har bir shunday qurilmalarga oʻziga hos, qurilmani identifikatsiyalaydigan tizim allaqachon ishlab chiqilgan va samaralari qoʻllab kelinmoqda. Identifikatsiyalash jarayoni odatda tarmoq orqali boʻladi. Bunda qurilma local yoki global tarmoqlarga bogʻlangan holda oʻz ishini bajarishi mumkin boʻladi. Bu identifikatsiyalashni oddiyroq qilib manzillash desak ham boʻladi. Minglab tugunlardan tashkil topgan yirik tarmoqlarda manzillar iyerarxiyasining yoʻqligi soʻnggi tugunlarga yuqori bosim yuzaga keltirishi mumkin va aloqa uskunalari minglab yozuvlardan iborat manzillar jadvallari bilan ishlashga majbur boʻladi. Bunday muammolar yechimi sifatida tarmoqda manzillash tushunchasi keltiriladi. Tarmoqda manzillash – bu har bir tarmoqqa ulanuvchi qurilmaga oʻziga hos identifikatsion raqamlar yoki belgilar berishdir. Tarmoqda manzillash orqali qurilmaga tarmoqqa kirish, internetga ulanish kabi asosiy hususiyatlarni berish mumkin boʻladi. Bitiruv ishining maqsadi tarmoqda manzillash usullarini o‘rganib chiqishdan hamda ularda yuzaga keluvchi zaifliklarni tahlil qilishdan iborat. Ushbu maqsadga erishish uchun quyidagi vazifalar qoʻyildi: − Tarmoqda manzillash usullarining ahamiyatini belgilash hamda koʻrsatib o‘tish; − Tarmoqda qoʻllaniladigan manzillash usullarini oʻrganib chiqish; − Tarmoqda manzillashga bo‘ladigan hujumlarning turlarini o‘rganib chiqish; − Manzillash usullaridagi hujumlarga qarshi himoya choralarini koʻrib chiqish; − Tarmoqda manzillash usullari zaifliklarini tahlil qilish. 7 Mazkur bitiruv malakaviy ishi kirish, uchta bob, xulosa va foydalanilgan adabiyotlar ro‘yxatidan iborat. Bitiruv malakaviy ishining kirish qismida ishining dolzarbligi va maqsadi keltirib o‘tilgan. Bitiruv malakaviy ishining birinchi bobida tarmoqda manzillashning usullarining dolzarbligi, afzalliklari va kamchiliklarini tahlil qilish amalga oshirilgan. Ikkinchi bobida tarmoqda manzillash usullarining zaifliklarini tahlillash asosida ularni bartaraf etish bo‘yicha tavsiyalar ishlab chiqilgan. Bitiruv malakaviy ishining uchinchi bobida hayot faoliyati xavfsizligi va ekologiya muammolarini qamrab olgan. Xulosa qismida olingan natijalar va yakuniy fikrlar keltirilgan. 8 1. Elеktron to’lovlar tizimida axborotlarni himoyalash Ma’ruza darsini olib borish texnologiyasi 1.1 Xavfsiz kalitlarni boshqarish Tarmoqda manzillash ma’lumotlarni yetkazib berish jarayonining juda muhim qismidir. OSI modeli tarmoq orqali uzatish uchun ma’lumotlarni kodlash, formatlash, segmentlash va inkapsulyatsiya qilish jarayonlarini tavsiflaydi. Manbadan manzilga yuboriladigan ma’lumotlar oqimi boʻlinishi va tarmoq boʻylab boshqa xostlardan boshqa manzillarga oʻtadigan xabarlar bilan birlashtirilishi mumkin. Ushbu milliardlab ma’lumotlar istalgan vaqtda internetda harakatlanadi. Har bir ma’lumot toʻgʻri manzilga yetkazilishi uchun yetarli ma’lumotni oʻz ichiga olishi kerak (1.1 - rasm). 1.1 – rasm. Ma’lumotlarni yetkazish jarayoni Bitta xostda ishlaydigan manba ilovasidan boshqasida ishlayotgan kerakli maqsadli ilovaga maʼlumotlarni muvaffaqiyatli yetkazib berish uchun har xil turdagi manzillar qoʻshilishi kerak. OSI modelidan qoʻllanma sifatida foydalanib, har bir qatlamda zarur boʻlgan turli manzillar va identifikatorlarni koʻrish mumkin. Inkapsulyatsiya jarayonida manzil identifikatorlari ma’lumotlarga qoʻshiladi, chunki u manba xostidagi protokollar toʻplami boʻylab harakatlanadi. Ma’lumotlarni oʻz manziliga yetkazish uchun tayyorlaydigan bir necha qatlamli protokollar mavjud boʻlgani kabi, ma’lumotlarni yetkazib berishni ta’minlash uchun ham bir necha darajali manzillar mavjud. Birinchi identifikator, xostning jismoniy manzili, freym deb ataladigan Layer 2 PDU sarlavhasida joylashgan. 2-daraja oddiy mahalliy tarmoq orqali xabarlarni 9 yetkazib berish bilan bogʻliq (1.2 – rasm). Layer 2 manzili mahalliy tarmoqda yagona boʻlib, jismoniy muhitda oxirgi qurilmaning manzilini ifodalaydi. 1.2 – rasm. Mahalliy tarmoqda manzillash Ethernet-dan foydalanadigan LANda bu manzil MAC manzili deb ataladi. Ikki oxirgi qurilma Ethernet LAN tarmogʻida muloqot qilganda, ular oʻrtasida almashinadigan ramkalar maqsad va manba MAC manzillarini oʻz ichiga oladi. Kadr maqsadli xostga muvaffaqiyatli yetib borgach, ma’lumotlar dekapsulatsiyalanganda va protokollar stekini 3- darajaga oʻtkazilganda 2- daraja manzili ma’lumotlari oʻchiriladi (1.3 – rasm). 1.3 – rasm. Habar boʻlaklarini tarmoq orqali yetkazish 3-daraja protokollari birinchi navbatda ma’lumotlarni bir mahalliy tarmoqdan ikkinchisiga internet tarmogʻida (bir nechta tarmoqlar majmuasi) koʻchirish uchun 10 moʻljallangan. 2-darajali manzillar faqat bitta mahalliy tarmoqdagi qurilmalar oʻrtasidagi aloqa uchun foydalanilsada, 3- daraja manzillari oraliq tarmoq qurilmalariga turli tarmoqlardagi xostlarni topishga imkon beruvchi identifikatorlarni oʻz ichiga olishi kerak. TCP/IP protokollar toʻplamida xostning har bir IP-manzili xost joylashgan tarmoq haqidagi ma’lumotlarni oʻz ichiga oladi. Har bir LAN chekkasida oraliq tarmoq qurilmasi, odatda marshrutizator, paket sarlavhasidagi maqsad xost manzilini oʻqish uchun freymni dekapsulatsiyalaydi, ya’ni Layer 3 PDU. Routerlar qaysi yoʻnalishni aniqlash uchun ushbu manzilning Tarmoq ID qismidan foydalanadilar. maqsadli xostga erishish uchun foydalaning. Marshrut aniqlangandan soʻng, marshrutizator paketni yangi ramkaga oʻrab oladi va uni tegishli yoʻl boʻylab belgilangan oxirgi qurilmaga yuboradi. Kadr belgilangan joyga yetganda, ramka va paket sarlavhalari oʻchiriladi va ma’lumotlar 4- darajaga oʻtkaziladi. 4- darajada PDU sarlavhasidagi ma’lumotlar maqsadli xost yoki maqsad tarmogʻini aniqlamaydi. U belgilangan asosiy qurilmada ishlaydigan ma’lum bir jarayon yoki xizmat, etkazib berilgan ma’lumotlar bilan biror narsa qiladi. Xostlar Internetdagi mijoz yoki server boʻladimi, bir vaqtning oʻzida koʻplab tarmoq ilovalarini ishga tushirishi mumkin. Shaxsiy kompyuterlardan foydalanadigan odamlar koʻpincha veb-brauzer bilan bir vaqtda ishlaydigan elektron pochta mijozi, lahzali xabar almashish dasturi, oqimli media resurs va hatto oʻyinlar kabi dasturlarga ega. Bu alohida ishlaydigan dasturlarning barchasi individual jarayonlarga misoldir. Veb-saytlarni koʻrish kamida bitta tarmoq jarayonini oʻz ichiga oladi. Giperhavolani bosish veb-brauzerning veb-server bilan bogʻlanishiga olib keladi. Shu bilan birga, fonda elektron pochta mijozi elektron pochta xabarini yuborishi va qabul qilishi, hamkasbi yoki doʻsti esa tezkor xabar yuborishi mumkin. Faqat bitta tarmoq interfeysiga ega kompyuterni tasavvur qilinsin. Ushbu kompyuterda ishlaydigan ilovalar tomonidan yaratilgan barcha ma’lumotlar oqimlari shu bitta interfeys orqali kiradi va chiqadi, lekin baribir, matn protsessor 11 hujjatida tezkor xabarlar paydo boʻlmaydi va oʻyin paytida elektron pochta xabarlari paydo boʻlmaydi. Buning sababi, manba va maqsad xostlarida ishlaydigan alohida jarayonlar bir-biri bilan aloqa qiladi. Har bir ilova yoki xizmat 4- darajada port raqami bilan ifodalanadi. Qurilmalar oʻrtasidagi noyob suhbat ikkita oʻzaro ta’sir qiluvchi ilovalarning vakili boʻlgan 4- daraja manba va maqsad port raqamlari bilan aniqlanadi. Xost ma’lumotni qabul qilganda, qaysi dastur yoki jarayon ushbu ma’lumotlar uchun toʻgʻri maqsad ekanligini aniqlash uchun port raqamini tekshiradi. Tarmoqdagi manzillash tarmoqdagi ikkita uzoq tugunga bir-biri bilan bogʻlanish imkonini beradi. TCP/IP protokollaridan foydalangan holda tarmoqdagi aloqa tizimi TCP/IP arxitekturasining har bir qatlamida bittadan toʻrtta adreslash turidan foydalanadi. Barchaniki kabi boshqa geografik hududda yashovchi insonga habar joʻnatmoqchi boʻlgan real vaziyatni koʻrsak. Bunda uning mamlakati, shahri, tumani, koʻchasi va uy raqamini bilish kerak. Xuddi shunday, agar tarmoqdagi masofaviy tugun bilan aloqa oʻrnatmoqchi boʻlganda, ushbu tugunning manzili kerak boʻladi. TCP/IP arxitekturasidan foydalanadigan tarmoqdagi tizimlar toʻrtta darajadagi manzillardan foydalanadi. Keyingi boʻlimda tarmoqdagi toʻrt turdagi manzillarni muhokama qilinadi va qaysi manzil TCP/IP arxitekturasining qaysi qatlami uchun ishlatilishini koʻrib chiqiladi. 1.2 Global tarmoqlari soxalarini qamrab olgan xavflar va taxdidlar haqida tushuncha beriladi. Allaqachon bilish mumkinki, har qanday tarmoq uzatish modelida har qanday ikkita qurilma oʻzlarining yagona manzili tufayli aloqani boshlashi kerak. Oddiy soʻzlar bilan aytganda, agar ikkita qurilma har qanday dialog (aloqa) bilan shugʻullanmoqchi boʻlsa, ular birinchi navbatda ushbu murakkab tarmoq uzatish maydonida oʻzlarini aniqlashlari kerak. Shunday qilib, avval ular bir-birlarining tegishli manzillarini (manba va manzil) bilishlari kerak. TCP/IP protokolidan 12 foydalanadigan internetda turli qatlamlar uchun ishlatiladigan toʻrtta darajadagi manzillar mavjud. Quyida turli xil manzil usullarini batafsil koʻrib chiqiladi. Tarmoqdagi manzillash usullari quyidagilar: 1. Jismoniy manzillash (MAC-manzillash) 2. Mantiqiy manzillash (IP-manzillash) 3. Port manzililash 4. Maxsus manzillash Manzillashning har bir turini chuqur oʻrganishdan oldin, TCP/IP modelining har bir qatlamidagi har bir manzilning tegishli xaritasini (amalga oshirishni) tushunish kerak. Bu 1.1 – jadvalda keltirilgan. 1.1 – jadval. Manzillash usullari joylashuvi TCP/IP sathi Manzillash usullari Ilova sathi Maxsus manzillash Transport sathi Port manzillash Tarmoq yoki Internet sathi Mantiqiy manzillash Ma’lumotlar havolasi sathi / Fizik sath Fizik manzillash 1. MAC manzillash (jismoniy manzillash). U "Bogʻlanish manzili" sifatida ham tanilgan. Bu asosan LAN yoki WAN tomonidan tasvirlangan har qanday alohida tugunning manzili. Bundan tashqari, u OSI modelining DLL (ma’lumotlar havolasi qatlami) tomonidan ishlatiladigan ramka ichiga kiritilgan. Bu eng quyi qatlam (OSI modelidagi eng quyi manzili) manzilidir. Paketlar manbadan maqsadli xostlarga jismoniy tarmoqlar boʻylab harakatlanadi. Internet protokoli manzili tafsilotlari foydali emas, ammo xost va routerlar MAC manzillari bilan tan olinadi. MAC manzili asosan mahalliy 13 manzildir. Bu mahalliy miqyosda noyob boʻladi, lekin universal tarzda noyob emas. Ushbu turdagi manzilning formati va hajmi tarmoqqa qarab oʻzgaradi. Eng muhimi, IP-manzilga mos keladigan MAC manziliga xaritalash kerak. Har qanday jismoniy manzilning oʻlchami va formati tarmoq xususiyatiga qarab oʻzgaradi. Ethernet (LAN) odatda tarmoq interfeysi kartasida (NIC) ishlab chiqariladigan 48 bitli (6 bayt) jismoniy manzildan foydalanadi. Jismoniy manzili 15 boʻlgan joʻnatuvchi kompyuter jismoniy manzilli 54 boʻlgan qabul qiluvchi kompyuter bilan muloqot qilishni xohlaydi. Har qanday joʻnatuvchi tomonidan yuborilgan ramka maqsad manzili, joʻnatuvchilar manzili, inkapsullangan ma’lumotlar va xato boshqaruv bitini oʻz ichiga olgan treylerdan iborat. Ushbu ramka avtobus topologiyasi boʻylab sayohat qilganda, har bir kompyuter uni qabul qiladi va uni oʻzining jismoniy manzili bilan moslashtirishga harakat qiladi. 54 dan boshqa jismoniy manzilga ega boʻlgan stansiyalarning har biri freymni rad etadi, chunki maqsad topologiyada joylashgan. Freymvork oʻzining jismoniy manziliga mos kelmaydi. Agar kadr sarlavhasidagi maqsad manzili jismoniy manzilga mos kelmasa, u shunchaki ramkani tashlab yuboradi. Qabul qiluvchi kompyuterda (D) yoʻnalishlar manzili uning fizik manziliga (54) mos keladi. Shunday qilib, kadr qabul qilinadi va ma’lumotlarni qayta tiklash uchun dekapsulyatsiya amalga oshiriladi. Shunday qilib, nihoyat kadr tekshiriladi, sarlavha va treyler tushiriladi va keyin ma’lumotlar qismi dekapsulatsiya qilinadi va yuqori qatlamga yetkaziladi. Ishlab chiqarish jarayonida barcha Ethernet tarmoq interfeyslariga jismoniy manzillar beriladi. MAC manzili (mediadan foydalanishni boshqarish manzili) mahalliy tarmoqqa ulangan har bir port yoki qurilma uchun standartlashtirilgan havola qatlami manzili. Tarmoqdagi boshqa qurilmalar MAC manzilidan ma’lum tarmoq portlarini qidirish, jadvallar va marshrutlash ma’lumotlari tuzilmalarini yaratish va yangilash uchun foydalanadi. Ethernet standartida MAC manzillari (uzunligi 6 bayt) har bir manba tugunini va tarmoqdagi har bir maqsad tugunni aniqlaydi. Ethernet tarmoqlari tugunlar va tarmoq qurilmalarini birlashtiruvchi mis 14 yoki optik tolali kabellar yordamida yotqiziladi. Ular tugunlar orasidagi aloqa kanalini ifodalaydi. Ethernetga ulangan tugun ma’lumotlar almashinuviga kirganda, u oʻzining manba MAC manzili va moʻljallangan MAC manzili bilan kadrlarni yuboradi. Barcha qabul qiluvchi tugunlar freymni dekodlaydi (kodlangan ma’lumotni dastur yoki foydalanuvchi oʻqiy oladigan formatga aylantiradi) va maqsadli MAC manzilini oʻqiydi. Agar u NIC ning sozlangan MAC manziliga mos kelsa, u xabarni qayta ishlaydi va saqlaydi. Agar maqsad MAC manzili xost MAC manziliga mos kelmasa, tarmoq adapteri xabarni e'tiborsiz qoldiradi (1.4-rasm). 1.4 – rasm. MAC manzillash usulida ma’lumotlarni uzatish Standart Ethernet protokollari tarmoq aloqalarining koʻp jihatlarini, jumladan, ramka formati va hajmini, vaqtni va kodlashni belgilaydi. Ethernet tarmogʻiga ulangan tugunlar xabarlarni joʻnatganda, ularni ramka tartibi standartlariga muvofiq formatlaydi. Ramkalar Protocol Data Units (PDU) sifatida ham tanilgan. 1.5 – rasm. Ethernet kadrlari formati 15 Ethernet ramka formati maqsad va manbasi MAC manzillarining joylashuvini belgilaydi (1.5-rasm). Preamble - bitlar ketma-ketligi, aslida ETH sarlavhasining bir qismi hisoblanmaydigan Ethernet ramkasining boshlanishini belgilaydi. DA (Destination Address) - Destination MAC manzili, Unicast, Multicast, Broadcast boʻlishi mumkin. SA (Source address) - joʻnatuvchining MAC manzili. Har doim unicast. E-TYPE (EtherType) - L3 protokolini aniqlaydi (masalan, 0x0800 - Ipv4, 0x86DD - IPv6, 0x8100 - ramka 802.1q sarlavhasi bilan belgilanganligini bildiradi va hokazo). Payload - 46 dan 1500 baytgacha boʻlgan L3 paketi - ma’lumotlarning oʻzi. FCS (Frame Check Sequences) - uzatish xatolarini aniqlash uchun ishlatiladigan 4 bayt CRC qiymati. Yuboruvchi tomon tomonidan hisoblab chiqiladi va FCS maydoniga joylashtiriladi. Qabul qiluvchi tomon bu qiymatni mustaqil ravishda hisoblab chiqadi va uni olingan bilan taqqoslaydi. 1.2 – jadval. MAC usuli afzalliklari va kamchiliklari Afzalligi Tarmoq Kamchiligi kartasining MAC manzili MAC manzili uchun dastlabki uchta Router uchun kompyuterga statik IP bayt belgilash uchun ishlatilishi mumkin. ishlab chiqaruvchi uchun ajratilganligi sababli, bir xil ishlab chiqaruvchi uchun faqat 224 noyob manzilga ega boʻlishi bilan cheklangan. MAC manzili kompyuter tarmogʻiga Koʻpgina hollarda, tajovuzkor oʻzining kirishni cheklash uchun foydali boʻlishi MAC manzilini ruxsat etilgan manzilga doimiy ravishda oʻzgartirish orqali mumkin. tarmoqqa kirishi mumkin. Yuqorida aytib oʻtilganidek, MAC Spoofing MAC manzillarini filtrlash manzili kompyuter tarmogʻidagi uchun 16 foydali ekanligini aytish kompyuter yoki foydalanuvchini mumkin. Ethernetning translyatsiya aniqlash uchun ishlatilishi mumkin. xususiyati tufayli niqoblangan holda Nmap yoki foydalanib, boshqa dasturlardan harakat qilish va ruxsat etilgan MAC tarmoqqa kompyuterlarning IP ulangan manzillarini tinglash mumkin. va MAC manzillarini osongina olish mumkin. Router yoki mobil qurilmaning MAC manzili odamlar va qurilmalarni IP xaritalashdan ancha yuqori aniqlik bilan joylashtirishga xizmat qilishi mumkin. Oʻz mijozlariga Internetni taqdim etish uchun MAC autentifikatsiyasini talab qiladigan Internet-provayderlar mavjud. 2. IP-manzillash (mantiqiy manzillash).Mantiqiy manzillash kengroq jihatga ega va u turli manzil formatiga ega boʻlishi mumkin boʻlgan ikki xil tarmoq oʻrtasida kadrni yuborish uchun ishlatiladi. Mantiqiy manzillash har bir tugunni asosiy jismoniy tarmoqdan qat'iy nazar, alohida aniqlash uchun maxsus ishlab chiqilgan. Mantiqiy manzillash internetga ulangan tugunlarga beriladigan IP-manzil boʻlib, bu yerda ikkita tugun bir xil IP-manzilga ega boʻlolmaydi. Jismoniy manzillar singari, mantiqiy manzillar ham unicast (bitta qabul qiluvchi), multicast (bir nechta qabul qiluvchi) va translyatsiya (tizimning barcha tugunlari) ga boʻlinadi. Garchi eshittirishda qabul qiluvchilar soni boʻyicha ma’lum cheklovlar mavjud. Mantiqiy manzillash universal aloqani osonlashtirish uchun talab qilinadi, unda har xil turdagi jismoniy tarmoqlar ishtirok etishi mumkin. Universal manzillash tizimida har qanday asosiy jismoniy tarmoqdan qat'i nazar, har bir xost alohida tan olinadi. Paket manba xostdan boshlanadi, koʻplab jismoniy tarmoqlardan oʻtadi va nihoyat maqsadli xostga yetib boradi. Kadr belgilangan joyga yetganda, paket 17 dekapsulatsiyalanadi. Belgilangan mantiqiy manzil ma’lum bir kompyuterning mantiqiy manziliga mos keladi. Keyin ma’lumotlar paketdan dekapsulatsiya qilinadi va keyin yuqori qatlamga uzatiladi (yuklanadi). Xabar ramkasi dastlab LAN tarmogʻidagi har bir birlik tomonidan qabul qilinadi, lekin keyinchalik zarur boʻlgan yoʻriqnomadan tashqari hamma tomonidan rad etiladi, natijada u ramkadagi manzil manzili oʻzining maqsadli jismoniy manziliga mos kelishini tushunadi. Router, nihoyat, maqsad mantiqiy manzilni olish uchun ma’lumotlar paketini dekapsulatsiya qiladi. Tarmoq darajasida xostlar va marshrutizatorlar ularning IP-manzillari orqali qoʻshimcha ravishda tan olinadi. E'tibor bering, jismoniy manzillar oʻz-oʻzidan hophop harakatiga (har bir sakrashga oʻtish) oʻzgarib tursa-da, mantiqiy manzillar manbadan manzilgacha bir xil boʻlib qoladi. IP-manzil - bu internet tarmogʻi manzili. U universal yagona manzildir. Internet tarmogʻida ishlaydigan har bir protokol IP manzilini talab qiladi. Internetda ishlatiladigan mantiqiy manzil hozirda 32 bitli manzildir. Xuddi shu IPmanzil Internetdagi bir nechta kompyuterlar tomonidan ishlatilishi mumkin. Manzil maydoni. Manzil maydoni IPv4 protokoli tomonidan foydalaniladigan manzillarning umumiy sonidir. Agar N bitli manzil ishlatilsa, manzil maydonidagi umumiy manzillar 2N boʻladi. IPv4 32 bitli manzillardan foydalanadi, keyin manzil maydonidagi manzillarning umumiy soni 232 = 42, 94,967,296 IP – manzillash oʻzi 2 ga boʻlinadi: sinfli manzillash va sinfsiz manzillash. Sinfli manzillash. Sinfli manzillashda manzil maydoni 5 sinfga boʻlinadi: A, B, C, D va E. Birinchi oktetning Binary Notation boshlangʻich bitlari sinfni aytib beradi. Sinflar va bloklar. Sinfning har biri ma’lum miqdordagi bloklarga boʻlingan va har bir blok oʻrnatilgan oʻlchamga ega. Sinfli manzillashda kamchilik bor. A klassi koʻp sonli xostlar va routerlarga ega boʻlgan yirik tashkilotlar tomonidan qoʻllaniladi, ammo u har qanday tashkilot uchun juda katta. Oʻrta oʻlchamdagi tashkilot uchun B toifasi, lekin bu IP adresning 18 behuda sarflanishiga olib keladigan tashkilot uchun ham juda katta. C klassi tashkilotlar uchun juda kichik. Shunday qilib, sinfli manzillashda, manzillarning katta qismi behuda ketadi. 1.3 – jadval. Sinflarga oktetlardagi 2 lik boʻlinish Sinf 1 - oktet 2 - oktet 3 - oktet 4 - oktet A 0 har qanday har qanday har qanday B 10 har qanday har qanday har qanday C 110 har qanday har qanday har qanday D 1110 har qanday har qanday har qanday E 1111 har qanday har qanday har qanday 1.4 – jadval. Sinflarda oktetlardagi 10 lik boʻlinish Sinf 1 - oktet A 0-127 B 128-191 C 192-223 D 224-239 E 240-255 1.5 – jadval. Sinflardagi bloklar o’lchovi Sinf Bloklar soni Bloklar hajmi 19 Ilova A 128 16 777 216 Unicast B 16284 65536 Unicast C 2 097 152 256 Unicast D 1 268 435 456 Multicast E 1 268 435 456 Zaxiralangan Netid & Hostid & Mask. Sinfli mantiqiy manzillashda manzil ikki qismga boʻlinadi - Netid va hosted. Masalan, A sinf manzili, birinchi bayt tarmoq identifikatori, qolgan 3 bayt esa HostIddir. Standart niqob bizga Netid va IP adresning xostini topishga yordam beradi. /n koʻrinishidagi sinf CIDR (Classless Inter Domain Routing) deb ataladi, u sinfsiz mantiqiy manzillash uchun ishlatiladi. Subnetting. Sinf mantiqiy manzillash endi eskirgan. Tashkilot A yoki B sinfidagi koʻp sonli manzillarni oladi va keyin bu manzil subnetid boʻlib, mantiqiy guruhlarda Subnets deb nomlangan kichik tarmoqlarga tayinlanadi. Supernetting. A va B sinfidagi koʻp sonli manzillar tugadi. Kattaroq tarmoqni yaratish uchun tashkilotlar C sinf manzilini Supernets deb nomlangan bitta guruhga birlashtirdilar va jarayon Supernetting deb nomlanadi. Sinf manzillash eskirgan deb emas, sinfsiz manzillash bilan almashtirgan desak maqsadga muvofiqroq boʻladi. 1.6 – jadval. Sinflarning binary, oʻnlik va CIDR koʻrinishi Sinf Binar Nuqta-oʻnlik A 11111111.00000000.00000000.00000000 255.0.0.0 /8 B 11111111.11111111.00000000.00000000 255.255.0.0 /16 C 11111111.11111111.11111111.00000000 255.255.255.0 /24 20 CIDR Sinfsiz manzillash. Manzillar kamayganligi sababli, koʻproq tashkilotlarni Internetga ulash uchun sinfsiz mantiqiy manzillash joriy etildi. Manzil bloklari va cheklovlar. Sinfsiz mantiqiy manzillashda manzil blokining oʻlchami ob'yekt hajmi va tabiatiga bogʻliq. Masalan, ISP minglab manzillarni olishi mumkin; uy foydalanuvchisi 2 ta manzilni olishi mumkin. IP addressni boshqarish uchun uchta cheklov qoʻyildi 1. Blokdagi manzil yuqumli boʻlishi kerak. 2. Blokdagi manzillar soni 2 ga teng boʻlishi kerak. 3. Birinchi manzil manzillar soniga teng boʻlinishi kerak. − 203.100.23.32 – birinchi − Jami = 16 ta manzil − 203.100.23.47 - oxirgi 1-shart: manzil yuqumli boʻlishi kerak. Bu yuqumli. 2-shart: manzillar soni 24 = 16. 3-shart: oʻnli kasrga aylantirilganda birinchi manzil 16 ga boʻlinadi. 3412334368 = 213270898 16 1.7 – jadval. Statik IP usuli afzalliklari va kamchiliklari Afzalliklari Kamchiliklari Koʻpgina hollarda, bu manzillar FTP, VPN Qurilma yoki veb-saytga serverlari, ma’lumotlar bazalari, tarmoq tayinlangan raqam, agar boshqacha uskunalari va veb-xosting xizmatlari bilan koʻrsatilmagan boʻlsa, hatto qurilma operatsiyalarni osonlashtirish uchun oʻchirilgan va foydalanilmayotgan korxonalar tomonidan qoʻllaniladi. DNS-serverlar manzillardan odatda foydalanadilar. statik Agar boʻlsa ham band. IP IP-manzilni osongina oʻzgartirib IP boʻlmagani uchun u xakerlar yoki muntazam ravishda oʻzgarib tursa, DNS keyingi hujumlarga koʻproq moyil serveri routerda tez-tez qayta sozlanishi boʻladi. 21 kerak boʻladi. Asosan, toʻgʻridan-toʻgʻri aloqani talab Asl nusxasi eskirgan boʻlsa, server qiladigan har qanday xizmat yoki funksiya sozlamalarini bir qurilmadan doimiy manzilga ega boʻlishi kerak. boshqasiga oʻtkazish qiyin. Shuning uchun fayl tizimi xizmati yoki onlayn oʻyin kabi izchil ulanishni talab qiladigan xizmatlar statik IP manzilidan foydalanadi. Agar kerak boʻlsa, mahalliy tarmoq Bu manzillar qimmatroq. Internet ma’muri oʻzgarmas IP manzillarni belgilash xizmatlari uchun oylik xarajatlar uchun DHCP dan foydalanishi mumkin. ortib bormoqda. Statik IP-ga ega qurilmalarni kuzatish osonroq. Oʻrnatish qiyin boʻlishi mumkin. 1.8 – jadval. Dinamik IP usuli afzalliklari va kamchiliklari Afzalligi Kamchiligi Ular statik qurilmalarga qaraganda Dinamik IP-manzillar koʻproq kamroq texnik xizmat koʻrsatishni talab qoʻllanilsa-da, ular hali ham ba’zi qiladi, bu esa foydalanuvchilar koʻp kamchiliklarga ega, siz bilishingiz texnik bilimga ega boʻlmasligi mumkin kerak: boʻlgan uyda foydalanish uchun ideal qiladi. Tarmoqni sozlash avtomatik tarzda Mumkin boʻlgan tarmoq ishlamay amalga oshiriladi, foydalanuvchilar oʻz ya’ni qolishi, masalan, DHCP serveri manzillarini ishlamay qolsa, ishlamay qolish vaqtini oʻrnatish haqida tashvishlanishlari shart oshirishi mumkin. 22 emas. Dinamik IP manzillar cheklangan DHCP avtomatizatsiyasi atrofida miqdordagi statik manzillarni hisobga xavfsizlik bilan bogʻliq muammolar olgan holda ancha tejamkor. mavjud. Ular xavfsizlik xavfini kamaytiradi, Dinamik IP manzillar ovozli, virtual chunki foydalanuvchi har safar tizimga xususiy tarmoqlar yoki onlayn oʻyinlar kirganida qurilmaga yangi tayinlanadi. IP kabi vazifalar uchun kamroq ishonchli, chunki xizmat ishlamay qolishi mumkin. Joylashuv xizmatlari qurilmaning aniq manzilini tezroq topadi. Dinamik raqamlar IP manzillarini belgilash va oʻzgartirish uchun dasturni talab qiladi. 3. Port manzillash. Hozirgacha bir xil yoki boshqa tarmoqdagi ikkita tugun oʻrtasida ma’lumotlarni yuborish va qabul qilish uchun zarur boʻlgan mantiqiy va jismoniy manzillashni koʻrdik. Lekin bu bilan hammasi tugamaydi. Ma’lumotlar kompyuterga qabul qilingandan soʻng, keyingi bosqichda ma’lumotlar kompyuterda qaysi jarayonga yetkazib berilishi kerakligini aniqlash kerak. Kompyuter bir vaqtning oʻzida bir nechta jarayonlarni bajaradi. Shunday qilib, ma’lumotlar qaysi jarayon uchun kelganligini, kompyuterdagi har bir jarayonni alohida aniqlash uchun jarayonni belgilash kerak. TCP/IP arxitekturasida jarayonning manzili port manzili deb ataladi. Faraz qilaylik, kompyuter "A" , birinchi navbatda TELNETdan foydalangan holda "C" nomli boshqa kompyuter bilan aloqani boshlaydi. Bundan tashqari, bir xil kompyuter "A" fayl uzatish protokoli (FTP) orqali bir vaqtning oʻzida har qanday "B" kompyuteri bilan bogʻlanadi. 23 Internetning asosiy maqsadi aloqalarni qayta ishlash jarayonidir. Buning uchun ma’lum bir jarayonni belgilash yoki nomlash kerak. Shunday qilib, jarayon manzillarga muhtoj. Jarayonga ajratilgan yorliq port manzillash sifatida tanilgan. Bu 16 bitli manzil maydonidir. Jismoniy manzillar paketning har bir safari uchun oʻzgaradi, lekin mantiqiy va port manzillari asosan shunday boʻlib qoladi. Odatda, Port manzili oʻchirilgan, ya’ni jismoniy emulyatsiya portlari tarmoq kaliti (yoki koʻprik) kabi ishlaydi. Shuning uchun 0-portga ulangan qurilma 1-port bilan bir xil quyi tarmoqda sozlanishi mumkin (1.6 – rasm). 1.6 – rasm. Port manzillash usulida 2 ta qurilmani bogʻlash Emulator, shuningdek, har bir jismoniy port oʻz IP-manziliga ega boʻlgan tarmoq routeri kabi ishlashi uchun ham sozlanishi mumkin. Quyidagi misolda mijoz kompyuteri hozir 0-portda 10.0.0.1 konfiguratsiya qilingan boshqa 10.0.0.x quyi tarmogʻida joylashgan (1.7 – rasm). Mijoz kompyuteri boshqa tarmoqlar uchun moʻljallangan paketlar boʻlishi uchun standart shlyuzini 10.0.0.1 ga oʻrnatishi kerak. Port 0 orqali uzatiladi. Server mijozga javob yuborishi uchun shlyuz sifatida 192.168.200.197 dan foydalanishga sozlanishi kerak. 1.7 – rasm. Shluz sozlash jarayoni Tegishli emulyatsiya ishga tushirilmasa, emulyator faqat mahalliy tarmoqdagi ping soʻrovlariga javob beradi. Misol uchun, agar mijoz kompyuteri 10.0.0.2 ping 24 10.0.0.1 boʻlsa, emulyator unga javob beradi, ammo mos emulyatsiya ishga tushirilmasa, mijoz 192.168.200.197 dan javob olmaydi. Port manzili sahifasida toʻldirilishi kerak boʻlgan maydonlar IP manzili va tarmoq niqobidir. Shluz maydoni (ixtiyoriy) agar tarmoq murakkabroq boʻlsa va keyingi marshrutlashni talab qilsa, Emulator emas, balki ushbu tarmoqdagi routerning IPmanzilini koʻrsatish uchun ishlatiladi. DHCP server maydoni (ixtiyoriy) DHCP tomonidan tayinlanishi kerak boʻlgan IP-manzilni talab qiluvchi qurilmalar/mijozlar oʻzlarining DHCP soʻrovlarini emulyatsiya ishlamayotgan boʻlsa ham emulyator orqali belgilangan DHCP serveriga oʻtkazishlari uchun taqdim etiladi. Bu keyinroq batafsilroq tushuntiriladi. Yangilash tugmasi faol boʻlmasa, emulyatsiya allaqachon ishlamoqda. Bunday holda, port manzilini yoqish yoki oʻzgartirish mumkin emas. Menyuning yon panelida emulyatsiya ishlayotgan port juftligi ham yashil rangda ta’kidlangan. Port manziliga oʻzgartirishlar kiritish uchun avval ishlayotgan emulyatsiyalarni toʻxtatish kerak. DHCP Server / DHCP Relay. Yuqorida qisqacha muhokama qilinganidek, DHCP Server maydonining maqsadi qarama-qarshi tarmoq (pastki tarmoq) uchun IP-manzillarni ta’minlaydigan ushbu tarmoqdagi (pastki tarmoq) DHCP serverini belgilashdir. Aytaylik, 0-portda bizda bir nechta qurilmalar (kompyuterlar, Mac kompyuterlari, oʻyin pristavkalari, mobil qurilmalar) mavjud boʻlib, ular 1-portga ulangan DHCP serveridan IP-manzil olishni talab qiladi va portlarning manzili yuqoridagi misolga mos keladi. Tegishli maydonga DHCP server manzilini kiritiladi, 192.168.2.50. Oʻzgarishlarni saqlash uchun Yangilash tugmasini bosiladi. Emulator qayta ishga tushirilsa, ular saqlanib qoladi. Eslatmalar: − IP-manzil sozlamalari avvalgidek bir xil, ammo DHCP server manzilini u ulangan portga qoʻshildi. 25 − Shlyuz ixtiyoriy, lekin agar DHCP serveri 192.168.2.0 tarmogʻida boʻlmasa, DHCP soʻrovlarini unga yoʻnaltirish uchun kerak boʻladi. Bu misolda bunday emas. − Port juftligidagi ikkala portda DHCP serverlarini oʻrnatishga ruxsat berilmagan. DHCP soʻrovlarini uzatish bir yoʻnalishda - 0-portdan 1portgacha, bu misolda DHCP serveriga oʻtadi. DHCP soʻrovlari translyatsiya xabarlari boʻlib, DHCP server 1-port uchun aniqlangandan soʻng (va yangilash bosilgandan soʻng), keyin 0-port (juftlikdagi qarama-qarshi port bu soʻrovlarni tinglaydi va birinchi boʻlib oʻz manzilini kiritgandan soʻng ularni 1-portga oʻtkazadi (bu holda, 192.168.1.254) DHCP soʻrovlari shlyuzi maydoniga kiritish kerak. 1-port endi soʻrovni DHCP relayi sifatida toʻgʻridan-toʻgʻri (translyatsiyasiz) koʻrsatgan DHCP serveriga toʻgʻridan-toʻgʻri (oldingi misolda boʻlgani kabi) yoki agar kerak boʻlsa, Gateway orqali uzatadi. DHCP serveri tegishli manzil taklifi bilan javob beradi va uni 1-portning IP manziliga qaytaradi. 1-port paketlarni soʻragan xostga yuboradigan 0-portga qaytaradi. Eslatmalar: − Bu jarayon emulyatsiya ishlamayotgan boʻlsa ham ishlaydi - paketlar toʻgʻridan-toʻgʻri Emulator portlari oʻrtasida yuboriladi. Bu DHCP sozlamalari tugallangandan soʻng manzillarni olish mumkinligini anglatadi. − DHCP soʻrovlari kechikish, yoʻqotish va boshqalar kabi bogʻlanish xususiyatlariga bogʻliq emas, chunki ular havolalardan oʻtmaydi. − Bizning misolimizda DHCP serveridan javob toʻgʻridan-toʻgʻri 0 (192.168.1.254) portidagi manzilga yuborilganligi sababli, DHCP serveri 192.168.2.254 orqali oʻtadigan 192.168.1.0 pastki tarmoqqa belgilangan marshrutga ega boʻlishi kerak. − Tegishli DHCP diapazonlari 192.168.1.0 tarmogʻi uchun DHCP serverida aniqlanishi kerak, chunki sukut boʻyicha ular odatda oʻzlari joylashgan tarmoqlar uchun manzillarni ajratadilar (bizning misolimizda 192.168.2.0). 26 Port manzillashga misol: Rasmda ikkita kompyuter orqali aloqa oʻrnatilgan Internet. Yuboruvchi kompyuter uchta jarayonni bajarmoqda bu vaqtda a, b va c port manzillari bilan. Qabul qiluvchi kompyuter hozirda port bilan ikkita jarayonni bajarmoqda j va k manzillari. Yuboruvchi kompyuterda a ni qayta ishlashda, qabul qilishdagi j jarayoni bilan aloqa qilish kerak. 1.8 – rasm. Port manzillash jarayoni E’tibor berish kerakki, jismoniy manzillar oʻzgarsa ham hop dan hop gacha mantiqiy va port manzillari manbadan manzilgacha bir xil qoladi (1.8 – rasm). 1.9 – jadval. Port usuli afzalliklari va kamchiliklari Afzalligi Kamchiligi Port manzili bilan belgilangan joyda Ilova uchun port raqamini oʻzgartirish ishlayotgan xizmatga kirish mumkin. mumkin. Masalan, 80-port vebserverlar tomonidan ishlatiladigan umumiy portdir. Biroq, veb-server ma’muri uni oʻzgartirishi mumkin. Masalan, www.google.com saytiga Koʻpgina veb-ilovalar va elektron kirishga harakat qilinyapti. Bu xavfsiz pochta xizmatlari port raqamlarini veb-xizmat (https). Shunday qilib, almashadi. Masalan, Gmail, Yahoo! 27 transport qatlamida manba port raqami Mail, AOL Mail va Office 365 bir xil tasodifiy port raqami boʻladi, masalan, POP, IMAP va SMTP port 60000 va maqsad porti 443 boʻladi. raqamlaridan foydalanadi. Agar ilovalarni aniqlash uchun port raqamlaridan foydalanilsa, ushbu elektron pochta provayderlari orasida farq qilmaydi. Brauzerda www.google.com veb-sayt Korporativ xavfsizlik devori 20 va 21- nomi bilan kompyuter DNSga murojaat portlarni rad etish uchun (FTP trafigini qiladi va nomni IP-manzilga rad etish uchun) oʻrnatilishi mumkin, aylantiradi. 54.84.216.68 IP-manzilli shunda tarmoq ichidan boshqa joyga ushbu Google serveri (google.comga koʻchirilgan fayllarni cheklash koʻrsatilgan boshqa IPlar koʻp boʻlishi mumkin. Biroq, bugungi bulutga mumkin boʻladi) koʻplab xizmatlarni asoslangan xizmatlarning koʻpchiligi ishga tushirishi mumkin, masalan, veb- xavfsizlik devoriga ruxsat bergan port server vazifasini bajarishdan tashqari, u orqali shunga oʻxshash funksiyalarni pochta serveri, FTP serveri va bajaradi. Port 80 va 443 trafik ruxsat boshqalar (bu odatiy hol emas) ham etilganda, insayderlar shunga oʻxshash xizmat qilishi mumkin. Port raqami funktsiyalarni bajaradigan vebga veb-xizmatga kirishga xizmat qiladi. asoslangan ilovalardan foydalanishlari 443-raqamli portni koʻrgan google mumkin. Dropbox, Box va Hightail - serveri veb-kontentni soʻralyotganini bu 80 va 443 portlaridan tushunadi va 60000 portida xuddi foydalanadigan va foydalanuvchilarga shunday xizmat koʻrsatadi. FTP-dan foydalanish kabi fayllarni uzatish imkonini beruvchi xizmatlarning bir nechtasi. 4. Maxsus manzillash (ilova manzillash). Bir nechta ilovalar odatda oddiy (foydalanish uchun qulay) manzilga ega. Muayyan manzillarga misol sifatida University Resource Locators (URL) elektron pochta manzillarini keltirish mumkin. 28 Misollar asosan elektron pochta manzilidan (masalan, electronicscrunch@gmail.com) va Universal Resource Locator (URL) (masalan, www.gmail.com) dan iborat. Bunday manzillar ma’lum bir manzil uchun moʻljallangan. Biroq, bu manzil joʻnatuvchi kompyuterdan yuborilgan kerakli mantiqiy va port manzillariga qarab oʻzgartiriladi. 1.3 Manzillash usullari zaifliklari. 1. MAC manzillash usuli zaifliklari. MAC (media kirishni boshqarish) manzillash jismoniy qurilmaga tayinlangan tarmoq manzilidir. Ular Ethernet portlarida, shuningdek, Wi-Fi va Bluetooth soʻnggi nuqtalarida qoʻllaniladi. Ularning uzunligi 48 bit (6 bayt) va koʻpincha olti juft oʻn oltilik raqamlar sifatida yoziladi (masalan, 00:0a:95:9d:68:16). Raqamlarning oʻzi IEEE (Elektrotexnika va elektronika muhandislari instituti) tashkilotlari tomonidan boshqariladi. Odatda, dastlabki 3 bayt tashkilotni aniqlash uchun ishlatiladi, qolgan 3 bayt esa oʻsha tashkilot tomonidan oʻzlari ishlab chiqaradigan alohida apparat komponentlariga ajratiladi. Har bir tarmoq qurilmasi har bir tarmoq texnologiyasi/porti uchun noyob MAC manzilini oladi. MAC manzillari jismoniy manzillash uchun ishlatilganligi sababli, ular koʻpincha tarmoqda shifrlanmagan holda yuboriladi va koʻpincha protokolli translyatsiya trafigida qoʻllaniladi (mahalliy tarmoqning barcha tugunlari tomonidan qabul qilinadi). Tarmoqdagi har qanday tugun uchun bir xil tarmoqdagi boshqa barcha tugunlarning MAC manzillarini tinglash va jamlash ahamiyatsiz. Keyin ishlab chiqaruvchini aniqlash mumkin va har bir MAC manzili yagona apparat qurilmasiga tayinlanganligi sababli, ushbu qurilmani kuzatish mumkin. Xususan, qurilma turli tarmoqlar oʻrtasida oʻtayotganda ham kuzatilishi mumkin edi. Misol sifatida Wi-Fi protokolidan foydalanamiz. Savdo markazi atrofidagi doʻkonlarga kirib-chiqayotganingizda telefoningiz Wi-Fi tarmoqlarini tinglab, ulanishga harakat qilmoqda. Bu barcha trafik MAC manzillarini oʻz ichiga oladi va siz joylar oʻrtasida harakatlanayotganda sizni kuzatish mumkin boʻladi. 29 Tasodifiy MAC manzillari zaifligi. Bu yerda muammo telefoningizning Wi-Fi moduli yoki tarmoq kartasiga tayinlangan MAC manzilidir. MAC manzili aniqlanganligi sababli, u sizni (yoki hech boʻlmaganda telefoningizni) aniqlaydigan narsaga aylanadi. Ularning soʻnggi operatsion tizimlarida hozirda Google va Apple tomonidan amalga oshirilayotgan vaqtinchalik yechim uning oʻrniga har bir bogʻlangan tarmoq uchun tasodifiy MAC manzillaridan foydalanish hisoblanadi. Telefon har safar tarmoqqa ulanishga harakat qilganda, u boshqa tasodifiy yaratilgan MAC manzilidan foydalanadi - bu sizni kuzatishni imkonsiz qiladi (hech boʻlmaganda ahamiyatsiz). Identifikator endi uzoq vaqt davomida yoki turli tarmoqlar oʻrtasida yagona emas. Bu yerda afzallik aniq. Yechim sizning shaxsiy daxlsizligingiz uchun ma’lum darajadagi himoyani taklif qiladi, shu bilan birga xavfsizligingiz yaxshilanadi. IEEE 802.1 da MAC manzillash zaifligi. Bu Ethernetning birinchi 34 yilida boʻldi. Ethernet muvaffaqiyati va texnologiyaning arzonligi bilan, Ethernet MAC manzillaridan foydalanish tezligi ortib bormoqda. Uyali telefon, IP telefon, noutbuk, lazer printer, pristavka, televizor, BluRay player, planshet, uy kompyuter, simsiz kirish nuqtasi va hokazolar. MAC manzillari ushbu mahsulotlarda "iste’mol qilinadi". Agar ularning barcha interfeyslarini hech qachon ishlatilmasa ham sotib olinadi. 2025 yilda nechta MAC manzilidan foydalanish bizga noma’lum. Oddiy qilib aytganda, Ethernet MAC manzillari cheklangan manbadir. Bir marta foydalanilganda, Ethernet MAC manzilini qayta ishlatib boʻlmaydi. Hech qachon. Bunga IEEE’dan sotib olingan barcha MAC manzillar kiradi. IEEE tomonidan sotib olingan MAC manzillar global miqyosda noyobdir. Hech boʻlmaganda mahalliy noyob boʻlmagan MAC manzillari (ya’ni, takroriy manzillar) IEEE 802.1 koʻprigi (kalitlari) ramkalarni notoʻgʻri xaritalashiga olib keladi. Global noyob manzillardan foydalanish MACni ta’minlashning bir usulini ta’minlaydi. Manzillar mahalliy darajada noyobdir. 30 IEEE MAC manzillari tugashi bilan (taxminan 100 yillar, bugungi taxmin) MAC manzillarining barcha foydalanuvchilari azob chekishadi. IEEE RAC (Roʻyxatga olish organi qoʻmitasi) soʻnggi ikki yil davomida bu masala ustida ishlamoqda. Xarid qilish oʻlchami imkoniyatlari va MAC manzillaridan foydalanish qayta ishlandi. MAC manzillaridan samaraliroq va toʻliqroq foydalanishni qoʻllabquvvatlash. Va bu kattaroq “Foydalanish darajasi” muammolarini yangi sifatida hal qilish uchun yangi ish boshlanmoqda. MAC manzilini filtrlash zaifligi. Bahsli xususiyatlardan biridir. Ba’zilar uchun esa bu vaqt va resurslarni butunlay behuda sarflashdir. Menimcha, bu ikkalasi ham siz undan nimaga erishmoqchi ekanligingizga bogʻliq. Afsuski, bu xususiyat xavfsizlikni yaxshilash vositasi sifatida sotilmoqda, agar texnik bilimga ega boʻlinsa va kuch sarflashga tayyor boʻlinsa foydalanish mumkin. U haqiqatan ham qoʻshimcha xavfsizlikni ta’minlamaydi ammo, Wi-Fi tarmogʻini xavfsizroq qilishi mumkin. Biroq, bu butunlay foydasiz emas. Tarmoqda MAC manzillarini filtrlashdan foydalanish mumkin boʻlgan ba’zi qonuniy holatlar mavjud, ammo bu qoʻshimcha xavfsizlikni ta’minlamaydi. Buning oʻrniga, bu koʻproq ma’muriyat vositasi boʻlib, bolalar kun davomida ma’lum vaqtlarda Internetga kira oladimi yoki yoʻqligini nazorat qilish uchun foydalanish mumkin yoki nazorat qilish mumkin boʻlgan tarmoqqa qurilmalarni qoʻlda qoʻshishni xohlaganda. Tarmoqni xavfsizroq qilmasligining asosiy sababi shundaki, MAC manzilini aldash juda oson. Asboblardan foydalanish juda oson boʻlganligi sababli, tom ma’noda hamma boʻlishi mumkin boʻlgan tarmoq xakeri tarmogʻdagi MAC manzillarini osongina aniqlashi va keyin bu manzilni oʻz kompyuteriga soxtalashtirishi mumkin. Bu WiFida oʻziga xos zaiflik. WPA2 shifrlangan tarmoq boʻlsa ham, ushbu paketlardagi MAC manzillari shifrlanmaydi. Bu shuni anglatadiki, tarmoqni aniqlash dasturi oʻrnatilgan va tarmoq diapazonida simsiz kartasi boʻlgan har bir 31 kishi routeringiz bilan bogʻlangan barcha MAC manzillarini osongina egallashi mumkin. 1.9 – rasm. Windows os da man manzilini aniqlash Ular ma’lumotlarni yoki shunga oʻxshash narsalarni koʻra olmaydilar, lekin ular tarmogʻga kirish uchun shifrlashni buzishlari shart emas. Chunki endi ular MAC manzilga ega boʻlib, uni aldashlari va keyin qurilmani simsiz tarmoqdan uzib qoʻyadigan disassotsiatsiya paketlari deb nomlangan maxsus paketlarni routerga yuborishlari mumkin. Shundan soʻng, xakerlarning qurilmasi yoʻriqnomaga ulanishga harakat qiladi va qabul qilinadi, chunki u hozir haqiqiy MAC manzilidan foydalanmoqda. Shuning uchun avvalroq aytdilganidek, bu xususiyat tarmogʻni kamroq xavfsiz qilishi mumkin, chunki endi xaker WPA2 shifrlangan parolni buzishga urinishlari shart emas. Ular shunchaki ishonchli kompyuter sifatida koʻrsatishlari kerak. Shunga qaramay, buni kompyuterni juda kam bilmagan yoki umuman bilmaydigan odam amalga oshirishi mumkin. Agar shunchaki Google ni Kali Linux dan foydalanib WiFi ni buzilsa, bir necha daqiqada qoʻshnilarning WiFi ni qanday buzish boʻyicha koʻplab qoʻllanmalarga ega boʻlinadi. 2. IP manzillash usuli zaifliklari. Statik IPlar qoʻlda sozlanishi kerak va bu xatolarga olib kelishi mumkin. Router konfiguratsiyasiga bir nechta oʻzgartirishlar 32 kiritish va yoʻriqnomani almashtirilsa yoki ISPni oʻzgartirilsa, ularni kuzatib borish kerak boʻladi. Notoʻgʻri konfiguratsiyalar koʻproq IP-manzil ziddiyatiga olib kelishi mumkin. Misol uchun, agar mashinalardan birini 192.168.0.10 IP manziliga oʻrnatgan boʻlsa va yoʻriqnoma avtomatik ravishda IP manzillarini berishda davom etsa, boshqa mashinaga bir xil IP berilishi mumkin. Statik IP manzil barcha holatlar uchun ideal emas. Statik IPlar koʻproq buziladi. Statik IP manzil bilan xakerlar server internetda qayerda ekanligini aniq bilishadi. Bu ularga hujum qilishni osonlashtiradi. Avast Internet Security bu borada yordam berishi mumkin. Yuqori narx. Internet-provayderlar odatda statik IP manzillar uchun koʻproq haq oladilar, ayniqsa iste’molchi ISP rejalari bilan. Biznes-provayder rejalari koʻpincha statik IPni oʻz ichiga oladi, hech boʻlmaganda variant sifatida, lekin ular oxirgi foydalanuvchi rejalariga qaraganda qimmatroq. Haqiqiy xavfsizlik bilan bogʻliq muammolar. Toʻgʻri tarmoq vositalariga ega boʻlgan har bir kishi kompyuterlar qayerda joylashganligini bilib oladi. Avast SecureLine VPN kabi VPNlar jismoniy joylashuvini yashirish orqali ushbu tashvishni yengillashtirishga yordam beradi. Dinamik IP manzillash zaifliklari. Dinamik IP manzillar barcha holatlar uchun ideal emas. Ular internet yoki elektron pochta kabi internetga ulangan xizmatlar uchun yaxshi ishlamaydi. Xostlangan xizmatlar uchun yaxshi ishlashi dargumon. Agar veb-sayt, elektron pochta serveri va hokazolarni joylashtirishni rejalashtirmoqchi boʻlinsa, dinamik IP manzilidan foydalanish muammoli boʻlishi mumkin. DNS dinamik IP manzillar bilan yaxshi ishlamaydi, chunki manzil har doim oʻzgarib turadi. Ushbu muammoni hal qiladigan Dynamic DNS xizmatlari mavjud, ammo, ular xarajat va murakkablikni oshiradi. Bu jiddiy kamchilik boʻlishi mumkin. Masofaviy kirishni cheklashi mumkin. Masofaviy kirish dasturiga qarab, dinamik IP manzilidan foydalanilsa, dastur ulanishda muammoga duch kelishi 33 mumkin. Bu yerda Avast SecureLine VPN kabi VPN dasturlari haqiqatan ham kerak bo’ladi. Potensial koʻproq ishlamay qolish vaqti. Bu tez-tez sodir boʻlmasada, ba’zida provayder dinamik IP manzilini tayinlay olmaydi. Bu internet aloqani uzishi mumkin. Shaxsiy iste’molchi uchun bu vaqtinchalik bezovtalik. Agar u kompaniya veb-saytini oflayn rejimda oʻchirib qoʻysa, bu juda katta muammo. Aniqroq geolokatsiya. Dinamik IP manzil geojoylashuv xizmatlarini ishlamay qolishi mumkin, chunki haqiqiy joylashuvini endi aks ettirmaydigan dinamik manzilni saqlab qolish mumkin. 34 2. TARMOQDA MANZILLASH USULLARI VA ULARNING ZAIFLIKLARI TAHLILI 2.1 Tarmoqda manzillash hujumlarining turlari MAC Spoofing hujumi. MAC spoofing hujumi hozirda tobora oʻsib borayotgan texnologiya tufayli keng tarqalgan hodisa. Lekin birinchi navbatda, oʻzimizni uning qurboni boʻlib qolmaslik uchun MAC spoofing hujumi nima ekanligini tushunish kerak. MAC spoofing hujumi bu firibgar yoki xaker tarmoqdan haqiqiy va asl MAC manzillarini qidiradi va kirishni nazorat qilish choralarini chetlab oʻtadi va xakerga haqiqiy MAC manzillaridan biri sifatida oʻzini namoyon qilish uchun afzallik beradi (2.1 – rasm). 2.1 – rasm. MAC Spoofing hujumi koʻrinishi Bunda xaker autentifikatsiya tekshiruvlarini ham chetlab oʻtishi mumkin, chunki u buni standart shlyuz sifatida taqdim etadi va standart shlyuzga uzatilgan barcha ma’lumotlarni aniqlanmasdan nusxa koʻchiradi va unga ilovalar haqida barcha muhim tafsilotlarni beradi. Foydalanishdagi va oxirgi xost IP manzillari koʻrsatadi. Hakerlar kirish nazorati va xavfsizlik tekshiruvlarini chetlab oʻtish yoki noqonuniy harakatlar uchun MAC spoofing strategiyasidan foydalanadiganidan tashqari, odamlar qonuniy sabablarga koʻra MAC spoofingidan ham foydalanadilar. 35 Yuqorida aytib oʻtilganidek, MAC manzili har bir tarmoq qurilmasiga berilgan noyob raqam boʻlib, u butun dunyoda ushbu tarmoq qurilmasini aniqlash uchun ishlatiladi. Shunday qilib, MAC manzilini yashirish yoki soxtalashtirish uchun quyidagi sabablar mavjud: A) Maxfiylikni himoya qilish. MAC manzillari ochiq yoki umumiy WLAN yoki LAN tarmoqlari orqali uzatilganligi sababli, u shifrlanmagan boʻlib, ushbu tarmoqda roʻyxatdan oʻtgan qurilmalar va tegishli apparat manzillari tafsilotlarini beradi. Ushbu ma’lumotlarning oson boʻlishiga yoʻl qoʻymaslik uchun, ba’zi foydalanuvchilar oʻzlarining maxfiyligini himoya qilish uchun manzilni maskalashadi. Shu bilan birga, shuni ham ta’kidlash kerakki, xakerlar oʻzlarining shaxsiy ma’lumotlarini yashirish va noqonuniy harakatlar uchun anonim ravishda kezish uchun xuddi shu sababdan foydalanadilar. B) Shaxsni oʻgʻirlashning oldini olish. Koʻpgina ma’murlar va AT guruhlari ruxsat etilgan qurilmalarga LANga kirishni cheklash orqali AT tizimlarini ichki va tashqi xavflardan himoya qilish uchun xavfsizlik choralarini qoʻllaydi. Tarmoq bosqichida Ethernet kalitlari kabi ulanish omillari port xavfsizligi orqali OSI 2 qatlamida tarmoq ma’lumotlari oʻtishini filtrlash imkonini beradi. Oq roʻyxat texnikasidan foydalangan holda, agar noma’lum manzil mavjud boʻlsa, u avtomatik ravishda bloklanadi. MAC filtrlari WLAN tarmoqlari tomonidan kirishni cheklash uchun ham ishlatiladi. C) Pullik dasturiy ilovalarga kirish. MAC manzilini buzish, shuningdek, pullik dasturiy ilovalar yoki onlayn xizmatlarga kirish uchun ruxsat berilgan qurilmani qayta ishlab chiqarish uchun ham amalga oshiriladi. Ammo ba’zida undan MAC manzilini dasturiy ta’minotdan foydalanish uchun pullik dasturiy ta’minotning litsenziya shartnomasida koʻrsatilgan manzilga qayta yozadigan yoki niqoblaydigan ba’zi odamlar notoʻgʻri ishlatishadi. Dasturiy ta’minot yoki onlayn xizmat koʻrsatuvchi provayder har doim MAC-ning bu turini aldash xizmatlardan aldamchi foydalanish deb hisoblashi va qonuniy murojaat qilishi mumkin. Ochiq port hujumi. Portlar TCP va UDP protokollarida ilovalarni identifikatsiyalash uchun foydalaniladigan raqamlardir. Ba’zi ilovalar HTTP uchun 36 80 yoki HTTPS uchun 443 kabi taniqli port raqamlaridan foydalansa, ba’zi ilovalar dinamik portlardan foydalanadi. Ochiq port tizim aloqani qabul qiladigan portga ishora qiladi. Ochiq port darhol xavfsizlik muammosini anglatmaydi. Biroq, u tajovuzkorlar uchun ushbu portda tinglayotgan dasturga yoʻl berishi mumkin. Shu sababli, tajovuzkorlar zaif hisob ma’lumotlari, ikki faktorli autentifikatsiya yoʻqligi yoki hatto ilovaning oʻzida zaiflik kabi kamchiliklardan foydalanishi mumkin. Axloqiy xakerlik va ekspluatatsiya bizning penetratsion sinovchilarimiz va qizil jamoamiz a’zolarining asosiy tajribasidir. Mutaxassislarimiz oʻzlarini tarmoq, serverlar yoki ish stantsiyalaringizga buzib kirishga urinayotgan tajovuzkorlardek tutmoqda. 2.2 – rasm. Portlarni tinglaydigan xizmatlarga ega serverning portni skanerlash natijasi Internet uchun ochiq boʻlsa, tajovuzkorlar ochiq portlardan dastlabki hujum vektori sifatida foydalanishlari mumkin. Bundan tashqari, mahalliy tarmoqdagi tinglash portlari lateral harakatlanish uchun ishlatilishi mumkin. Portlarni yopish yoki hech boʻlmaganda ularni mahalliy tarmoq bilan cheklash yaxshi amaliyotdir. Agar kerak boʻlsa, xavfsiz VPN orqali ilovalarni masofaviy ishchilar uchun ochiq qilishi mumkin. Buzgʻunchilar va xavfsizlik mutaxassislari tomonidan qoʻllaniladigan skanerlash vositalari ochiq portlarni avtomatlashtirilgan tarzda aniqlash imkonini beradi. Koʻpgina tarmoqqa asoslangan IDS/IPS yechimlari va hatto ish stantsiyasiga 37 asoslangan soʻnggi nuqta xavfsizlik yechimlari port skanerlashni aniqlay oladi. Mahalliy tarmoq ichidan kelib chiqadigan portni skanerlashni tekshirishga arziydi, chunki bu koʻpincha buzilgan qurilmani anglatadi. Biroq, ba’zi xavfsizlik echimlari bilan ishlaydigan kompyuterlar notoʻgʻri ijobiy natijalarni keltirib chiqarishi mumkin. Buning sababi, xavfsizlik yechimlari sotuvchilari uy tarmogʻidagi zaif qurilmalarni aniqlash uchun port skaneri mavjud. Portni skanerlash hujumi. Portni skanerlash xakerlar tarmoqdagi ochiq eshiklar yoki zaif nuqtalarni aniqlash uchun foydalanadigan keng tarqalgan usuldir. Portni skanerlash hujumi kiber jinoyatchilarga ochiq portlarni topishga va ular ma’lumotlarni qabul qilish yoki joʻnatayotganini aniqlashga yordam beradi. Shuningdek, u xavfsizlik devori kabi faol xavfsizlik qurilmalari tashkilot tomonidan foydalanilayotganligini aniqlashi mumkin. Xakerlar portga xabar joʻnatganda, ular olgan javob portdan foydalanilayotganligini va undan foydalanish mumkin boʻlgan kamchiliklar mavjudligini aniqlaydi. Korxonalar, shuningdek, paketlarni ma’lum portlarga yuborish va har qanday zaiflik uchun javoblarni tahlil qilish uchun portni skanerlash texnikasidan foydalanishi mumkin. Keyin ular tarmoq va tizimlar xavfsizligini ta’minlash uchun IP skanerlash, tarmoq xaritasi (Nmap) va Netcat kabi vositalardan foydalanishlari mumkin. Port skanerlash quyidagi ma’lumotlarni taqdim etishi mumkin: − Ishlayotgan xizmatlar; − Xizmatlarga ega foydalanuvchilar; − Anonim kirishga ruxsat berilishi; − Qaysi tarmoq xizmatlari autentifikatsiyani talab qilishi. Portni skanerlash turli usullardan foydalangan holda maqsad port raqamlariga yuborilgan paketlarni koʻradi. Ulardan bir nechtasiga quyidagilar kiradi: 38 2.1 – jadval Skanerlash turlari Ping skanerlash. Ping skanerlash portni skanerlashning eng oddiy usuli hisoblanadi. Ular Internetni boshqarish xabar protokoli (ICMP) soʻrovlari sifatida ham tanilgan. Ping skanerlari javob olish uchun bir nechta ICMP soʻrovlari guruhini turli serverlarga yuboradi. Ping-skanerlash ma’mur tomonidan muammolarni bartaraf etish uchun ishlatilishi mumkin va pinglar xavfsizlik devori tomonidan bloklanishi va oʻchirilishi mumkin. Vanilla skanerlash. Portni skanerlashning yana bir asosiy usuli, vanil skanerlash bir vaqtning oʻzida barcha 65 536 portga ulanishga harakat qiladi. U sinxronlash (SYN) bayrogʻini yoki ulanish soʻrovini yuboradi. U SYN-ACK javobini yoki ulanishni tasdiqlashni olganda, u ACK bayrogʻi bilan javob beradi. Ushbu skanerlash aniq, ammo osongina aniqlanadi, chunki toʻliq ulanish har doim xavfsizlik devorlari tomonidan qayd etiladi. SYN skanerlash. Yarim ochiq skanerlash deb ham ataladi, bu maqsadga SYN bayrogʻini yuboradi va SYN-ACK javobini kutadi. Agar javob boʻlsa, skaner javob bermaydi, ya’ni TCP ulanishi tugallanmagan. Shuning uchun oʻzaro ta’sir qayd etilmaydi, lekin joʻnatuvchi port ochiq yoki yoʻqligini bilib oladi. Bu xakerlar zaif tomonlarni topish uchun foydalanadigan tezkor usul. XMAS va FIN skanerlash. Rojdestvo daraxti skanerlari (XMAS skanerlari) va FIN skanerlari diskret hujum usullaridir. XMAS skanerlari oʻz nomini Wireshark kabi protokol analizatorida koʻrganda Rojdestvo daraxti kabi miltillovchi koʻrinadigan paket ichida yoqilgan bayroqlar toʻplamidan oladi. Ushbu turdagi skanerlash bayroqlar toʻplamini yuboradi, ularga javob berilganda xavfsizlik devori va portlar holati haqidagi ma’lumotlarni ochib berishi mumkin. FIN skanerlash tajovuzkorning ma’lum bir portga oʻrnatilgan seansni tugatish uchun ishlatiladigan FIN bayrogʻini yuborishini koʻradi. Tizimning tushunishga yordam bunga beradi javobi va tajovuzkorga tashkilotning 39 faoliyat darajasini xavfsizlik devoridan foydalanishi haqida tushuncha beradi. FTP bounce skanerlash. Ushbu usul yuboruvchiga paketni qaytarish uchun FTP serveridan foydalanib, oʻz manzilini yashirishga imkon beradi. Ushbu dastlabki portni skanerlash usuli faol boʻlganlarni aniqlash uchun tarmoqdagi bir nechta kompyuterlar boʻylab portga trafik yuboradi. U port faoliyati haqida hech qanday ma’lumotni baham koʻrmaydi, lekin joʻnatuvchiga biron bir tizim ishlatilayotganligi haqida xabar beradi. SYN flood (yarim ochiq hujum). Bu xizmatni rad etish (DDoS) hujumi boʻlib, u barcha mavjud server resurslarini iste'mol qilish orqali serverni qonuniy trafik uchun mavjud boʻlmagan holga keltirishga qaratilgan. Dastlabki ulanish soʻrovi (SYN) paketlarini qayta-qayta joʻnatib, tajovuzkor maqsadli server mashinasidagi barcha mavjud portlarni bosib oʻtishga qodir, bu maqsadli qurilma qonuniy trafikka sust yoki umuman javob bermasligiga olib keladi. SYN flood hujumlari TCP ulanishining qoʻl siqish jarayonidan foydalanish orqali ishlaydi. Oddiy sharoitlarda TCP ulanishi ulanishni amalga oshirish uchun uchta alohida jarayonni namoyish etadi. 2.3 – rasm. Uch tomonlama qoʻl siqish jarayoni Birinchidan, mijoz ulanishni boshlash uchun serverga SYN paketini yuboradi. 40 Keyin server aloqani tasdiqlash uchun ushbu dastlabki paketga SYN/ACK paketi bilan javob beradi (2.3 – rasm). Nihoyat, mijoz serverdan paketni olganligini tasdiqlash uchun ACK paketini qaytaradi. Paketlarni yuborish va qabul qilishning ushbu ketma-ketligini tugatgandan soʻng, TCP ulanishi ochiq va ma’lumotlarni yuborish va qabul qilish imkoniyatiga ega. 2.2 Manzillash usullaridagi hujumlarga qarshi himoya choralari MAC spoofingni aniqlash usuli va unga qarshi himoya choralari. MAC spoofing odatda kirishni boshqarish roʻyxatlarini, paketlarni filtrlash va autentifikatsiya jarayonlarini aldash uchun amalga oshiriladi. Shunday qilib, toʻgʻridan-toʻgʻri xavfsizlik choralari bunday hujumning oldini olishga yordam bermaydi. Buning oʻrniga quyidagi usullardan birini qoʻllash kerak. Ogohlantirishga asoslangan trafik monitoringi - menejerga moslashtirilgan ogohlantirishlarni oʻrnatish imkonini beruvchi tarmoq monitoridan foydalanish. Ikki IP-manzil yordamida bir xil MAC manzilini aniqlash uchun ogohlantirish yaratish kerak. Buzilishni aniqlash - bu tizimlari har bir foydalanuvchi yoki qurilmaning normal xatti-harakatlariga mos kelmaydigan harakatlarni nazorat qiladi. MAC manzilini soxtalashtirish tarmoqni aylanib chiqmaydi va shuning uchun tarmoq menejeri soxta MAC manzilidan trafikni sinchkovlik bilan tekshirishi mumkin. Soxtalashtirilgan manzil bir vaqtning oʻzida ikki xil manbadan kelgan trafikni koʻrsatadi. Boshqa usul tarmoqdagi boshqa jismoniy joydan tarmoqqa ulangan kompaniya qurilmasi boʻladi. Shuningdek, MAC spoofing hujumlarini oldini olish uchun tizimni, kirish nuqtalarini yoki alohida mashinalarni kuchayitirish zarur. Bundan tashqari, xavfsizlik devorini yoki MAC spoofingdan himoyani oshirish uchun maxsus MAC SPOOFING xizmatini ishga tushirish mumkin. Teskari ARP - Barcha faol MAC manzillarida teskari manzilni aniqlash protokolini muntazam ravishda amalga oshiradigan vositadan foydalaning. Bu bir xil MAC manzilining bir nechta IP manzillar bilan bogʻlanganligini aniqlaydi. 41 Ochiq port xujumiga qarshi himoya choralari. Portni skanerlash vositalari tarmoqni buzishga urinayotgan tajovuzkor uchun ham, uni himoya qilishga urinayotgan AT administratori uchun ham foydalidir. Portlar tarmoqqa qachon, qanday va kim tomonidan kirish mumkinligini aniqlashda muhim rol oʻynaganligi sababli, xavfsizlik muammolarini oldini olish uchun ularni doimiy ravishda kuzatib borish juda muhimdir. Portni skanerlash vositalari bunda yordam beradi. 1. Portni qoʻlda skanerlashning mashaqqatli jarayonini avtomatlashtirish. Mahalliy buyruq qatori interfeysi (CLI) vositalarida taklif qilinganlar kabi portlarni qoʻlda skanerlash usullari qurilmadagi portlarning umumiy koʻrinishini koʻrsatishi mumkin. Biroq, bu buyruqlar samarasiz va koʻp vaqt talab qiladi, bu esa korporativ darajadagi tarmoqlarda portni qoʻlda skanerlashni amalga oshirib boʻlmaydi. Boshqa tomondan, portni skanerlash vositalari bir necha daqiqada tashkilot boʻylab portlarni skanerlashni amalga oshirishga yordam beradi. Vaqti-vaqti bilan skanerlash jarayonini avtomatlashtirish va skanerlashni boshlash uchun buyruqlarni qoʻlda kiritish zaruriyatini bartaraf etish orqali portni skanerlash vositalari tarmoq ma’murlariga port mavjudligi va foydalanish koʻrsatkichlariga osongina kirish imkonini beradi. 2. Skanerlangan tarmoq portlarining turli jihatlarini koʻrishni taklif qilish. Portni skanerlash vositalari real vaqt rejimida tarmoqda qaysi port, qachon va qanday foydalanilayotganini koʻrish imkonini beradi. U portlar haqida turli ma’lumotlarni koʻrsatadi, masalan, ochiq portlar soni, hozirda ishlayotgan xizmatlar, operatsion tizim turi va hokazo. Kengaytirilgan portni skanerlash vositalari tarmoq xavfsizligini yaxshiroq tahlil qilishga yordam beradi Real vaqt rejimida port skanerlash holatini tortib, tarmoqdagi ochiq portlarni, ularda ishlaydigan xizmatlarni va ularning javob vaqtlarini tezda topadi. Shuningdek, u bir qator IP manzillari va ularning TCP va UDP portlarida uchidan uchiga portni skanerlash orqali yopiq, ochiq yoki tinglovchi portlar roʻyxatini yaratadi. Bu portlarni real vaqt rejimida kuzatishga hamda tarmoq xavfsizligi 42 choralarini kuchaytirish uchun portdan foydalanish sxemasini tahlil qilishga yordam beradi. 3. Tarmoq xavfsizligini proaktiv skanerlash orqali oshirish. Tarmoqni skanerlash uchun portni skanerlash vositasidan foydalanish tarmoq qurilmalar qanday ulanganligi va tarmoqda ishlayotgan xizmatlarni chuqur koʻrish imkonini beradi. Portlarni skanerlash vositalari tarmoq portlarining holatini real vaqtda skanerlash va koʻrsatish imkoniyatiga ega boʻlib, tarmoqdagi ochiq portlarni bir zumda aniqlash va yopish orqali tajovuzkorlardan oldinda boʻlishga yordam beradi. Portni skanerlash vositalari tarmoq portlarining turli jihatlari, jumladan, qaysi portlar ochiq va qaysi biri yopiqligi haqida xabardor qiladi. U doimiy ravishda skanerdan oʻtkazadi va tarmoq porti holati haqida ogohlantiradi, shuning uchun ushbu ma’lumotlardan tarmoqni begonalar koʻrishishini kuzatish uchun ishlatish mumkin. Bu xavfsizlik buzilishiga moyil boʻlgan joylarni aniqlash va himoyalashga yordam beradi. Portni skanerlash hujumiga qarshi himoya choralari. Portni skanerlash kiber jinoyatchilar zaif serverlarni qidirish uchun foydalanadigan mashhur usul. Ular koʻpincha undan tashkilotlarning xavfsizlik darajasini aniqlash, korxonalarda samarali xavfsizlik devori mavjudligini aniqlash va zaif tarmoqlar yoki serverlarni aniqlash uchun foydalanadilar. Ba’zi TCP usullari tajovuzkorlarga oʻz manzillarini yashirish imkonini beradi. Kiber jinoyatchilar portlar qanday reaksiyaga kirishishini baholash uchun tarmoqlar orqali qidiradi, bu ularga biznesning xavfsizlik darajalari va ular qoʻllaydigan tizimlarni tushunish imkonini beradi. Portni skanerlash hujumining oldini olish rivojlanayotgan tahdidlar landshaftiga mos keladigan samarali, yangilangan tahdidlar ma’lumotlariga ega boʻlishga bogʻliq. Korxonalar, shuningdek, kuchli xavfsizlik dasturlari, portlarni skanerlash vositalari va portlarni kuzatuvchi va zararli shaxslarning oʻz tarmogʻiga kirishiga yoʻl qoʻymaydigan xavfsizlik ogohlantirishlarini talab qiladi. Foydali vositalar orasida IP skanerlash, Nmap va Netcat mavjud. Boshqa himoya mexanizmlariga quyidagilar kiradi: 43 − Kuchli xavfsizlik devori. Xavfsizlik devori biznesning shaxsiy tarmogʻiga ruxsatsiz kirishni oldini oladi. U portlar va ularning koʻrinishini boshqaradi, shuningdek, portni skanerlash qachon amalga oshirilayotganini oʻchirishdan oldin aniqlaydi; − TCP oʻramlari. Bular ma’murlarga IP manzillari va domen nomlari asosida serverlarga kirishga ruxsat berish yoki rad etish imkoniyatiga ega boʻlish imkonini beradi; − Tarmoq teshiklarini ochish. Korxonalar talab qilinganidan koʻra koʻproq portlar ochiq yoki yoʻqligini aniqlash uchun port skaneridan foydalanishlari mumkin. Ular tajovuzkor tomonidan ishlatilishi mumkin boʻlgan zaif nuqtalar yoki zaifliklar haqida xabar berish uchun oʻz tizimlarini muntazam tekshirib turishlari kerak. Portni skanerlash tarmoqdagi ochiq portlar sonini va ruxsatsiz kirishni oldini olish uchun tarmoq xavfsizlik choralari samaradorligini aniqlash orqali tarmoqning zararli xakerliklarga nisbatan zaifligini tekshirishning samarali usuli hisoblanadi. Kiberxavfsizlik boʻyicha mutaxassislar tarmoq muhiti va soʻnggi kibertahdidlarga asoslangan tegishli portni skanerlash usullaridan foydalanishlari kerak, shuning uchun keng koʻlamli texnikani bilish juda muhimdir. SYN flood hujumiga qarshi himoya choralari. SYN flood hujumiga qarshi uzoq vaqtdan beri ma’lum va bir qator yumshatish usullaridan foydalanilgan. Bir nechta yondashuvlar quyidagilarni oʻ z ichiga oladi: Orqaga qaytish navbati. Maqsadli qurilmadagi har bir operatsion tizimda ular ruxsat beradigan ma’lum miqdordagi yarim ochiq ulanishlar mavjud. SYN paketlarining yuqori hajmiga javoblardan biri operatsion tizim ruxsat beradigan mumkin boʻlgan yarim ochiq ulanishlarning maksimal sonini oshirishdir. Maksimal zaxirani muvaffaqiyatli oshirish uchun tizim barcha yangi soʻrovlar bilan ishlash uchun qoʻshimcha xotira resurslarini zaxiralashi kerak. Agar tizimda ortib boruvchi navbat hajmiga bardosh bera oladigan xotira yetarli boʻlmasa, tizim unumdorligiga salbiy taʼsir koʻrsatadi, ammo bu xizmatni rad etishdan koʻra yaxshiroq boʻlishi mumkin. 44 Eng birinchi yarim ochiq TCP ulanishini qayta ishlash. Yana bir yumshatish strategiyasi toʻldirilgandan soʻng eng birinchi yarim ochiq ulanishni qayta yozishni oʻz ichiga oladi. Ushbu strategiya zararli SYN paketlari bilan toʻldirilishi mumkin boʻlmagan vaqtdan koʻra qonuniy ulanishlar toʻliq oʻrnatilishini talab qiladi. Ushbu maxsus mudofaa hujum hajmi oshirilganda yoki kechiktirish hajmi amaliy boʻlish uchun juda kichik boʻlsa muvaffaqiyatsiz boʻladi. SYN cookie fayllari. Ushbu strategiya server tomonidan cookie-fayllarni yaratishni oʻz ichiga oladi. Orqaga qoʻyilgan roʻyxat toʻldirilganda ulanishlarni uzib qoʻyish xavfini oldini olish uchun server har bir ulanish soʻroviga SYN-ACK paketi bilan javob beradi, lekin keyin SYN soʻrovini orqada qolgan roʻyxatdan oʻchiradi, soʻrovni xotiradan olib tashlaydi va portni ochiq qoldiradi va yangi ulanishga tayyor. Agar ulanish qonuniy soʻrov boʻlsa va oxirgi ACK paketi mijoz mashinasidan serverga qaytarilsa, server keyin SYN orqaga qaytish navbati yozuvini qayta tiklaydi (ba’zi cheklovlar bilan). Ushbu yumshatish harakati TCP ulanishi haqidagi ba’zi ma’lumotlarni yoʻqotsa-da, bu hujum natijasida qonuniy foydalanuvchilarga xizmat koʻrsatishni rad etishiga ruxsat berishdan koʻra yaxshiroqdir. 2.3 Tarmoqda manzillash usullari zaifliklari tahlili Koʻp qoʻllaniladigan portlardagi zaifliklar. Tarmoq xizmatlaridagi zaifliklar ma’lumotlarning yoʻqolishiga, xizmatlarning rad etilishiga yoki tajovuzkorlarga boshqa qurilmalarga hujumlarni osonlashtirishga olib kelishi mumkin. Xavfsiz yoki muhim boʻlmagan xizmatlarni tekshirish tarmoqdagi xavfni kamaytirish uchun juda muhimdir. Ochiq portlarni ular bilan bogʻliq xizmatlar bilan aniqlash orqali ushbu xizmatlarning zarurligini ta’minlash va tegishli xavflarni mos ravishda kamaytirish mumkin. Tenable.io sayti zaifliklarni boshqarishning kengaytirilgan imkoniyatlaridan foydalanish port va xizmat bilan bogʻliq zaifliklarni aniqlashning samarali usulini ta’minlaydi va yashirin xavfsizlik xatarlari haqida tushuncha beradi, bu tashkilotlarga himoya qilish uchun yaxshiroq asosli qarorlar qabul qilish imkonini beradi. Tarmoq hujumlarining aksariyati osonlikcha aniqlangan zaifliklarga qaratilgan boʻlib, ulardan foydalanish mumkin. Maqsadli hujumlar ma’lum bir 45 zaiflik va aniq belgilangan metodologiyadan foydalanadi. Koʻp qoʻllaniladigan portlar boshqaruv panelidagi Tenable.io zaifliklari zaiflik ma’lumotlarini bir necha usulda koʻrsatish uchun turli port filtrlaridan foydalanadi. Ushbu asboblar paneli ochiq portlar va xizmatlar bilan bogʻliq har qanday potentsial xavfni aniqlashda yordam berishi mumkin. 2.4 – rasm. Koʻp qoʻllaniladigan portlar zaifliklari asosiy oynasi Portni kompyuterning IP-manzilini takomillashtirish deb hisoblash mumkin. IP-manzilga moʻljallangan paket ushbu IP-manzilga ega boʻlgan qurilmaga yoʻnaltiriladi. Ushbu IP manzil faqat tarmoqdagi qurilmani aniqlaydi. Port qoʻshimcha ravishda ushbu paket qayerga yetkazilishi kerakligini belgilaydi va ulanish turini belgilaydi. Ochiq port bir-biri bilan ulanish uchun ma’lum bir protokoldan foydalanadigan qurilmalar uchun juda muhimdir. Internet Assigned Numbers Authority (IANA) bir nechta port toifalarini ishlab chiqdi: − 1 dan 1023 gacha taniqli portlar sifatida tanilgan; − 1024 dan 49151 gacha roʻyxatdan oʻtgan portlar sifatida tanilgan; − 49152 dan 65535 gacha dinamik portlar sifatida tanilgan. 46 Taniqli portlar odatda tarmoq ulanishining bir turini amalga oshiradi va odatda ma’lum bir tarmoq protokoliga tayinlanadi. Ushbu taniqli portlar IANA tomonidan "faqat tizim (yoki ildiz) jarayonlari yoki imtiyozli foydalanuvchilar tomonidan bajariladigan dasturlar tomonidan ishlatilishi mumkin boʻlgan portlar" sifatida tavsiflanadi. Ushbu diapazondagi portlarga ma’lum bir tarmoq protokoli tayinlangan. Roʻyxatga olingan portlar "oddiy foydalanuvchi jarayonlari yoki oddiy foydalanuvchilar tomonidan bajariladigan dasturlar tomonidan ishlatilishi mumkin boʻlgan" portlar sifatida aniqlanadi. Roʻyxatdan oʻtgan portlar odatda ulardan foydalanishni istagan har qanday dastur uchun mavjud. IANA aslida ushbu diapazondagi port raqamlarini roʻyxatdan oʻtkazsa-da, ular tarmoq protokolini tayinlamaydi. Nihoyat, Dinamik portlar "xususiy ilovalar, mijoz tomonidagi jarayonlar yoki port raqamlarini dinamik ravishda taqsimlaydigan boshqa jarayonlar uchun tayinlanmagan va roʻyxatdan oʻtmagan portlar" deb ta’riflanadi. Portdan foydalanish ma’lumotlari bilan tarmoq koʻrinishini oshirish. "Koʻp qoʻllaniladigan portlar" - bu bir nechta tizimlarda keng tarqalgan portlarni tavsiflash uchun taniqli portlarning port diapazonlarini yanada takomillashtirish. Masalan, koʻpchilik tashkilotlarda ochiq boʻlgan 22/SSH, 25/SMTP, 80/HTTP va 443/HTTPS kabi portlarni topish mumkin. Ushbu portlar bilan bogʻliq zaifliklar tajovuzkorlar tomonidan osongina kirishi mumkin. Tarmoq ichida qaysi portlar ochiqligini tushunish murosaga kelish ehtimolini kamaytirish va ba’zi hollarda ishlashni yaxshilash uchun yaxshi qadamdir. Tarmoq hujumlarini har doim ham tezda aniqlash mumkin emas. Koʻpgina hujumlar past va sekin boʻlib, ularga koʻproq ma’lumotlarni chiqarib tashlash va uzoq vaqt davomida aniqlanmaslik imkonini beruvchi buyruq va boshqaruv kanallarini yaratadi. Tarmoqlarning murakkabligi va tashkilotdagi ochiq portlarning koʻpligi tahdidlarni aniqlashni tobora qiyinlashtirmoqda. Eng oddiy, eng oddiy va eng qimmat yondashuv - bu reaktiv pozitsiya boʻlib, unda siz biror narsa sodir boʻlishini kutasiz va uni tuzatasiz. Lekin bu eng yaxshi yondashuv emas. Eng yaxshi yechim tarmoq infratuzilmasini faol ravishda skanerlash va tahlil qilishdir. Tenable.io tahlilchilarga ma’lum ochiq portlarni skanerlar oʻrtasida solishtirish 47 imkonini beradi. Yangi faol portlar va zaifliklar aniqlanishi mumkin, bu yangi xizmatlar oʻrnatilgan yoki yoqilgan boʻlishi mumkin boʻlgan koʻr nuqtalardan qochadi. Erishish mumkin boʻlgan maqsadlarni belgilash. Umumiy portlar boʻyicha zaifliklar boshqaruv paneli tez-tez ishlatiladigan portlar bilan bogʻliq zaifliklarni aniqlaydi va tahlilchilarga port bilan bogʻliq zaifliklarni aniqlash uchun mos yozuvlar nuqtasini taqdim etadi. Bu portlarning oʻzi zaif, degani emas, chunki portlarning oʻzida zaifliklar yoʻq. Portlar bilan bogʻliq xizmatlarda zaifliklar mavjud. Skanerlash paytida portlar soʻraladi. Soʻrov natijalari banner yoki koʻrsatilgan portda ishlaydigan xizmat tomonidan qaytariladigan boshqa ma’lumotlar boʻlishi mumkin. Ma’lumotlar portda qanday xizmat ishlayotganini va zaiflik aniqlanganligini tez va oson aniqlash uchun ishlatiladi. 2.5 – rasm. Koʻp qoʻllaniladigan portlar hostlarni hisoblash oynasi Analitiklarga ushbu maqsadlarga osonlik bilan erishishda yordam beradigan ikkita komponent - umumiy portlar boʻyicha xostlarni hisoblash va Port va protokol komponentlari. Har bir komponent turli xil ochiq portlar va xizmatlar bilan bogʻliq boʻlgan zaifliklarni, noma’lum xizmatlarni yoki orqa eshiklarni aniqlashda xavflar va yordam beradi. Umumiy portlar boʻyicha xostlarni hisoblash komponenti ma’lum 48 portlar va jiddiylik darajalariga asoslangan tafsilotlarni taqdim etadigan zaif xostlarni sanab oʻtadi (2.5 – rasm). Port va protokol komponenti, shuningdek, TCP va UDP protokollari orqali aktiv va passiv zaiflik natijalarini qoʻshib, jiddiylik darajasi boʻyicha zaifliklar sonini beradi. Port 0-1024 oraligʻida boʻlib, barcha taniqli portlarni qamrab oladi va past, oʻrta, yuqori va xavfli darajadagi darajalari koʻrsatiladi. Har bir komponent bilan, shuningdek, foydalanish mumkin boʻlgan zaifliklarning foizi koʻrsatiladi (2.6 – rasm). 2.6 – rasm. Port va Protokollar Portlar boʻyicha zaifliklarni aniqlash uchun CVSS dan foydalanish. Umumiy zaifliklarni baholash tizimi (CVSS) zaifliklar uchun mustahkam va foydali reyting tizimini taqdim etadi. CVSS AQSHda joylashgan FIRST notijorat tashkilotiga tegishli va boshqariladi, uning vazifasi butun dunyo boʻylab kompyuter xavfsizligi hodisalariga javob berish guruhlariga yordam berishdir. CVSS keng tarqalgan boʻlib qoʻllaniladi, bu jiddiylik reytinglari uchun ochiq va universal standartni ta’minlaydi va javoblarning dolzarbligi va ustuvorligini aniqlashga yordam beradi. Zaifliklar CVSS balli asosida tezda aniqlanishi va kuzatilishi mumkin. Boshqaruv panelidagi CVSS zaifliklari har bir port komponenti ichida zaifliklar jiddiylik yoki port diapazoni boʻyicha tanlanishi mumkin. Tahlilchilar zaifliklarni tezda aniqlashlari va tanlashlari va keraksiz va zaif xizmatlar tufayli xavflarni kamaytirishlari mumkin. 49 Portdagi CVSS zaifliklar soni komponenti aniqlangan zaifliklar xavfini bildirish uchun CVSS ballari va jiddiylik darajasining kombinatsiyasidan foydalanadi (2.7 – rasm). 2.7 – rasm. CVSS zaifliklari 1024 dan kam, 1024 dan katta portlar zaifliklari va FTP, SSH, SMTP, HTTP va HTTPS uchun noyob filtrlar uchun tafsilotlar kiritilgan. Jiddiylik darajasini aniqlash uchun ishlatiladigan ranglar sariq (oʻrta), toʻq sariq (yuqori) va qizil (kritik). Xavflarni kamaytirish vazifalarini hal qilish va taraqqiyotni kuzatish uchun ishlayotganda, Tenable.io zaifliklari umumiy portlar boshqaruv paneli asosiy tahlillarni taqdim etadi. Umumiy portlar bilan bogʻliq xavflarni koʻrib chiqish va kamaytirish uchun vaqt va kuchni sezilarli darajada kamaytirish uchun asboblar panelidan foydalanish kerak. MAC manzilini toʻldirish zaifligi (CAM table flooding). Bu tarmoq hujumining bir turi boʻlib, u yerda kommutator portiga ulangan tajovuzkor kommutator interfeysini turli xil soxta manba MAC manzillari bilan juda koʻp chekilgan freymlari bilan toʻldiradi. MAC manzilini toʻldirish zaifligi tez orada MAC manzillar jadvali uchun ajratilgan xotira resurslarini quritishi mumkin va keyinroq kalit tarmoq uyasi kabi ishlay boshlaydi. 50 Port xavfsizligi xususiyati kalitni MAC flooding hujumlaridan himoya qilishi mumkin. Port xavfsizligi xususiyati kalitni DHCP ochlik hujumlaridan ham himoya qilishi mumkin, bunda mijoz tarmoqni juda koʻp sonli DHCP soʻrovlari bilan toʻldirishni boshlaydi, ularning har biri boshqa manba MAC manzilidan foydalanadi. DHCP ochlik hujumlari DHCP Server doirasidagi mavjud IP manzillarning tugashiga olib kelishi mumkin. Port xavfsizligi xususiyati kirish portlari uchun moʻljallangan va u magistral portlar, Eter-kanal portlari yoki SPAN (Switch Port Analyzer) portlarida ishlamaydi. Port xavfsizligi tushunchalari. Port xavfsizligining maqsadi tarmoq tajovuzkorining soxta manba MAC manzillari bilan koʻp sonli chekilgan ramkalarni Switch interfeysiga yuborishining oldini olishdir. Ushbu maqsadga kalit interfeysi bilan bogʻliq boʻlgan quyidagi sozlamalar orqali erishiladi. 1) Port xavfsizligi funksiyasini yoqiladi. Port xavfsizligi defolt boʻyicha oʻchirilgan. Port xavfsizligini yoqish uchun "switchport port-security" (interfeys konfiguratsiya rejimida) buyrugʻidan foydalanish mumkin. SW1 (config-if) #switchport port-security 2) Ushbu interfeysda ruxsat etilgan MAC manzillarining maksimal sonini belgilanadi. Esda tutish kerakki, bir nechta haqiqiy qurilmalar kommutator interfeysiga ulangan boʻlishi mumkin (masalan: telefon va kompyuter). SW1(config-if) #switchport port-security maximum ? <1-4097> Maximum addresses 3) Tarmoqqa ushbu interfeys orqali kirmoqchi boʻlgan ma’lum qurilmalarning MAC manzillarini aniqlash kerak. Buni ma’lum qurilmalarning MAC manzillarini qattiq kodlash (ma’lum MAC manzillarini statik ravishda aniqlash) yoki "yopishqoq" MAC manzilini sozlash orqali amalga oshirish mumkin. Yopishqoq MAC manzillari ("switchport port-security mac-address sticky") dinamik ravishda oʻrganilgan MAC manzillarini ishlaydigan konfiguratsiyaga kiritish imkonini beradi. Ma’lum boʻlgan xavfsiz MAC manzillarining standart soni bitta. SW1(config-if)#switchport port-security mac-address ? 51 H.H.H 48 bit mac address sticky Configure dynamic secure addresses as sticky 4) Yuqoridagi shartlar boʻyicha buzilish sodir boʻlganda bajarilishi kerak boʻlgan harakatni belgilash kerak. Port xavfsizligi kommutatorida buzilish sodir boʻlganda, Cisco kalitlari quyida tavsiflangan uchta variantdan birida harakat qilish uchun sozlanishi mumkin. Himoya. “Himoya” opsiyasi sozlanganda va kommutator port xavfsizligida buzilish sodir boʻlganda, kommutator interfeysi kommutator porti ruxsat etilgan MAC manzillarining maksimal soniga yetgandan soʻng nomaʼlum manba MAC manzilli kadrlarni tushiradi. MAC manzillari ma’lum boʻlgan freymlarga ruxsat beriladi. SNMP tuzogʻi va syslog xabari yaratilmaydi. "Himoya" opsiyasi mavjud boʻlgan eng past port xavfsizligi variantidir. Cheklash. “cheklash” opsiyasi sozlanganda va kommutator port xavfsizligida buzilish sodir boʻlganda, kommutator interfeysi kommutator porti ruxsat etilgan MAC manzillarining maksimal soniga yetgandan soʻng nomaʼlum manba MAC manzilli kadrlarni tushiradi. Cheklash opsiyasi, shuningdek, SNMP tuzogʻi va syslog xabarini yuboradi va port xavfsizligi buzilishi sodir boʻlganda, buzilish hisoblagichini oshiradi. Oʻchirish opsiyasi SNMP tuzogʻi va tizim xabarini ham yuboradi. Shuningdek, u buzilish hisoblagichini ham oshiradi. Oʻchirish. "Oʻchirish" opsiyasi sozlanganda va switch port xavfsizligida buzilish sodir boʻlganda, interfeys oʻchiriladi. Oʻchirish opsiyasi SNMP tuzogʻi va tizim xabarini ham yuboradi. Shuning uchun, port xavfsizligi buzilishi sodir boʻlganda, interfeys oʻchiriladi va bu interfeysda hech qanday trafikka ruxsat berilmaydi. "Oʻchirish" opsiyasi mavjud boʻlgan eng yuqori port xavfsizligi variantidir. Odatiy buzilish harakati portni oʻchirishdir. SW1(config-if)#switchport port-security violation ? protect Security violation protect mode restrict Security violation restrict mode shutdown Security violation shutdown mode 52 Quyida Cisco kalitida Port xavfsizligining yuqoridagi tushunchalarini aynan bir xil tartibda qanday sozlashni tushuntiriladi. 1) Port xavfsizligini yoqish uchun quyidagi buyruqlardan foydalaniladi. SW1#configure terminal SW1(config)#interface gigabitethernet 0/0 SW1(config-if)#switchport port-security SW1(config-if)#exit SW1(config)#exit SW1# 2) Interfeysda ruxsat etilgan MAC manzillarining maksimal sonini belgilash uchun quyidagi buyruqlardan foydalaniladi. SW1#configure terminal SW1(config)#interface gigabitethernet 0/0 SW1(config-if)#switchport port-security maximum 5 SW1(config-if)#exit SW1(config)#exit SW1# 3) Ma’lum xavfsiz qurilmalarning MAC manzillarini statik ravishda aniqlash uchun quyidagi buyruqlardan foydalaniladi. SW1#configure terminal SW1(config)#interface gigabitethernet 0/0 SW1(config-if)#switchport port-security maximum 2 SW1(config-if)#switchport port-security mac-address aaa.bbb.ccc SW1(config-if)#switchport port-security mac-address aaa.bbb.ddd SW1(config-if)#exit SW1(config)#exit SW1# 4) Port xavfsizligi buzilganda talab qilinadigan harakatni aniqlash uchun quyidagi buyruqlardan foydalaniladi. 53 SW1#configure terminal SW1(config)#interface gigabitethernet 0/0 SW1(config-if)#switchport port-security violation shutdown SW1(config-if)#exit SW1(config)#exit SW1# Portning Errdisable holatida ekanligini tasdiqlash uchun quyida koʻrsatilganidek, "show interface <interface_no>" dan foydalanish mumkin. SW1#show interfaces gigabitethernet 0/0 GigabitEthernet0/0 is down, line protocol is down (err-disabled) Interfeysning Port xavfsizligi bilan bogʻliq sozlamalarini quyidagicha koʻrish mumkin. SW1#show port-security interface gigabitethernet 0/0 Port Security Port Status : Enabled : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses Total MAC Addresses :2 :2 Configured MAC Addresses : 2 Sticky MAC Addresses Last Source Address :0 : 0000.0000.0000 Last Source Address VlanId : 0 Security Violation Count : 0 SW1# Port xavfsizligi uchun sozlangan xavfsiz ma’lum MAC manzillarini quyidagicha koʻrish mumkin. 54 SW1#show port-security address Secure Mac Address Table ------------------------------------------------------------------------------------------Vlan Mac Address Type Ports Remaining Age (mins) ------ ---------------- ------ ------ --------------------------- 1 0aaa.0bbb.0ccc SecureConfigured Gi0/0 - 1 0aaa.0bbb.0ddd SecureConfigured Gi0/0 - ------------------------------------------------------------------------------------------Total Addresses in System (excluding one mac per port) :1 Max Addresses limit in System (excluding one mac per port) : 4096 SW1# IP spoofing zaifligi. Har kuni internetda turli tahdidlarga duch kelinadi. Ushbu tahdidlar turli manbalardan kelib chiqadi va bu koʻp jihatdan ta’sir qiladi. Ana shunday tahdidlardan biri Spoofingdir. Oddiy soʻz bilan aytganda, aldash yoki soxtalashtirishni anglatadi. Spoofingning turli shakllari mavjud, ammo IP spoofing eng mashhur zaiflikdir. IP-spoofing, kiberjinoyatchining foydalanuvchining IP manzilini taqlid qilish yoki oʻzini oʻzi qilib koʻrsatish va mahalliy kompyuter tarmogʻiga hujumlar uyushtirish uchun oʻzini foydalanuvchi sifatida koʻrsatishga urinishini anglatadi. IPspoofingda xaker kompyuter tarmogʻini aldab, ulanish ishonchli manbadan, masalan, boshqa ma’lum kompyuter tarmogʻidan olingan deb oʻylaydi. Keyin xaker ushbu ishonchdan foydalanib, qabul qiluvchi tarmoqni vayron qiladi. Internet orqali mahalliy kompyuter tarmogʻida yuborilgan barcha ma’lumotlar paketlar deb ataladigan kichikroq qismlarga boʻlinadi. Ushbu paketlar yakka tartibda uzatiladi va keyin belgilangan joyga yigʻiladi. Ushbu paketlarning har birida IP (Internet Protocol) sarlavhasi ham mavjud boʻlib, u paket haqida kerakli ma’lumotlarni, masalan, uning kelib chiqish va maqsad IP manzillarini oʻz ichiga oladi. 55 Ma’lumotlar TCP/IP protokoli orqali uzatiladi va aynan shu nuqtada xaker ulanishni uzib qoʻyadi. Xaker uchun birinchi qadam maqsad tarmoq tomonidan ishonchli boʻlgan xost IP-manzilini aniqlash boʻladi. Keyin IP-spoof IPmanzillardagi manba yoki maqsad ma’lumotlarini IP sarlavhalaridagi ishonchli manbaga oʻxshash qilib oʻzgartiradi. Ushbu manipulyatsiya joʻnatuvchini yoki qabul qiluvchini boshqa tomon bilan aloqa muvaffaqiyatli oʻrnatilganligiga ishontirishga olib keladi. IP-spoofing zaifligining turlari. IP-spoofing koʻpincha kompyuter tarmogʻiga turli xil hujumlarni boshlash uchun ishlatiladi. Bunday hujumlardan ba’zilari: 1. Firewall bypass va IP avtorizatsiyasi. Kiberjinoyatchi xavfsizlik devorlari kabi kiberxavfsizlik tizimlarini chetlab oʻtish uchun IP-spoofingdan foydalanishi mumkin. Bu aylanib oʻtish, ayniqsa, qora roʻyxatlar va oq roʻyxatlardan foydalanadigan tizimlar uchun toʻgʻri keladi. Oq roʻyxatlar ruxsat etilgan IP manzillar boʻlsa, qora roʻyxatlar kirishi bloklangan ruxsatsiz manzillarni oʻz ichiga oladi. Hackerlar ushbu autentifikatsiya protokollarini chetlab oʻtish uchun IPspoofingdan foydalanishlari mumkin, chunki qurilmaning IP-manzili muhim identifikator hisoblanadi. Qora roʻyxatga kiritilgan xaker faqat ruxsat olish uchun oq roʻyxatga kiritilgan IP manzilini soxtalashtirishi kerak. 2. Man-in-the-Middle (MITM) hujumlari. MITM hujumini amalga oshirish uchun xaker almashilgan paket ma’lumotlarini ushlab turish va oʻzgartirish uchun ikkita qurilma oʻrtasida joy oladi. Xaker internet foydalanuvchisi va veb-sayt oʻrtasidagi aloqani ham toʻxtata oladi. Bunday holda, foydalanuvchi veb-sayt bilan aloqa oʻrnatgan deb oʻylaydi, veb-sayt esa qonuniy foydalanuvchi bilan muloqot qiladi deb oʻylaydi. Ushbu hujum odatda xavfsiz boʻlmagan Wi-Fi ulanishlari orqali sodir boʻladi. MITM xakeri veb-sayt va internet foydalanuvchisi oʻrtasidagi barcha aloqalarni kuzatishi mumkin. Shunday qilib, baham koʻrilgan hech qanday ma’lumot xavfsiz emas. 3. DoS va DDoS hujumlari. Xizmat koʻrsatishni rad etish (DoS) va tarqatilgan xizmat koʻrsatishni rad etish (DDoS) hujumlari maqsadli veb-saytlar yoki serverlar trafik bilan toʻlib-toshganda, ularni foydalanuvchilar uchun mavjud boʻlmaganda 56 sodir boʻladi. DoS hujumi odatda bitta kompyuter tizimidan kelib chiqadi, DDoS hujumi esa bir tizimga hujum qiladigan bir nechta tizimlarni oʻz ichiga oladi. IPspoofing DoS/DDoS tajovuzkorlari tomonidan ushbu hujumlarning manbasini yashirish uchun ishlatilishi mumkin, shunda ularni kuzatib boʻlmaydi va oʻchirilmaydi. Soxta hujum tomonidan yaratilgan bu anonimlik DoS hujumini yanada halokatli qiladi. Kompyuter tarmogʻini keyingi har qanday hujumlardan himoya qilish uchun IP spoofing hujumlarini ular paydo boʻlishi bilanoq aniqlash kerak. Garchi, bu juda qiyin boʻlsada, ushbu ikkita vosita orqali tarmoqda IP spoofingni aniqlash mumkin: − Paket tahlili. Paket yoki tarmoq analizatori yoki sniffer kompyuter tarmogʻidan oʻtgan yoki foydalaniladigan trafikni tahlil qiladi. Ushbu tahlil paketlarni olish deb ataladi. Tarmoq monitoringi orqali internet-trafikdan foydalanishni kuzatish mumkin. Shunday qilib, tarmoqdagi har qanday anomaliyani koʻrish va bu IP spoofing ekanligini aniqlash uchun qoʻshimcha tekshirish mumkin. Noqonuniy trafikni koʻrsatadigan IP manzillariga e’tibor berish, ularni tahlil qilish va agar soxta manzillar boʻlsa, ularga kirishni bloklash kerak; − Tarmoqli kengligi monitoringi. Oʻtkazish qobiliyatini monitoring qilish vositalari yordamida kompyuter tarmogʻidagi mavjud tarmoqli kengligini diqqat bilan kuzatish mumkin. Mahalliy tarmoqni (LAN) yoki keng tarmoqni (WAN) kuzatish mumkin. Tarmoqli kengligi monitoringi nafaqat tarmoqdagi tarmoqli kengligi chegaralarini boshqarishga yordam beradi, shuningdek, har qanday tarmoq tajovuzlarini aniqlashga yordam beradi. Ularning qonuniy egalari tarmoqdagi barcha IP manzillar bilan ishlayotganligiga ishonch hosil qilish oson emas. Biroq, IP spoofing va boshqa hujumlarning oldini olish uchun koʻrish mumkin boʻlgan choralar mavjud. 57 2.2 – jadval IP spoofingga qarshi choralar. Kirishni boshqarish roʻyxatlari. Kirishni boshqarish roʻyxati mahalliy tarmoqqa kirishi mumkin boʻlgan IP manzillarni cheklash va boshqarishga yordam beradi. Shunday qilib, tarmoq bilan oʻzaro aloqada boʻlishga urinayotgan shaxsiy IP manzillarga kirishni rad qilish mumkin. Paketli filtrlash. Paketli filtrlash tarmoq trafigini boshqarishning eng samarali vositalaridan biridir. Ushbu xususiyat yordamida kiruvchi va chiquvchi trafikni filtrlash mumkin, bu esa shubhali manbalardan kelgan har qanday trafikni bloklashni osonlashtiradi. Kirish filtrlash tarmoq IP sarlavhasidagidan boshqa IP manzildan kelib chiqishi aniqlangan paketlarni qabul qilishiga toʻsqinlik qiladi. Agar IP sarlavhasi oʻzgartirilgan boʻlsa, chiqish filtri paketlarni tarmoqdan chiqishini oldini oladi. Autentifikatsiya. Tarmoqdagi qurilmalar oʻrtasidagi barcha oʻzaro aloqalarni autentifikatsiya qilish har qanday soxta shovqinlarni aniqlashga yordam beradi. IPsec protokollaridan foydalanishni koʻrib chiqish mumkin, chunki ular autentifikatsiya va shifrlash uchun mos keladi. Router va kommutatorlarni qayta sozlash va shifrlash. Kompyuter tarmogʻiga tashqi manbalardan kelgan, lekin tarmoq ichidan kelib chiqqanligini daʼvo qiladigan paketlarni rad etish uchun routerlar konfiguratsiyasi va boshqaruvlarini oʻzgartirish kerak boʻladi. Ishonchli tashqi xostlar mahalliy xostlar bilan xavfsiz aloqa oʻrnatishi uchun marshrutizatorlar shifrlangan boʻlsa ham oqilona boʻladi. Faqat xavfsiz veb-saytlarga tashrif buyurish. Bundan tashqari, iloji boricha koʻrishni faqat xavfsiz HTTPS veb-saytlari bilan cheklashga harakat qilish kerak. Ehtiyotkorlik shundaki, ushbu veb-saytlar SSL/TLS protokolidan foydalanadi, bu esa ular bilan ulanishni shifrlaydi va uni xavfsiz qiladi. IPv6 ga oʻtish. Veb-saytlar oʻz foydalanuvchilariga yaxshi onlayn xavfsizlikni 58 ta’minlash uchun IPv6 internet protokoliga oʻtishni ham koʻrib chiqishi kerak. IPv6 maxsus IP spoofing kabi xavfsizlik muammolarini hal qilish uchun yaratilgan. Protokol autentifikatsiya choralari bilan veb-saytlarda shifrlashni kafolatlaydi. Antivirus dasturidan foydalanish. Yuqoridagi amallarni bajargandan keyin ham, IP spoofing nishoni boʻlganini bilish kerak. Shuning uchun antivirus kabi firibgarlikni aniqlash dasturi kerak boʻladi. Shuni ham ta’kidlash kerakki, odatiy antivirus dasturlari faqat shubhali yoki zararli dasturlarni skanerlash dasturiga ega. Ularda firibgarlikdan himoya qilish uchun maxsus protseduralar mavjud emas, shuning uchun "keyingi avlod" yoki "oxirgi nuqtani himoya qilish" antivirusini tekshirish kerak. Ushbu antivirus turlari shubhali dasturiy ta’minot faoliyatini qora roʻyxatga kiritishdan tashqari zararli dasturlardan himoyaga ega va noodatiy faoliyatni aniqlash uchun yetarlicha rivojlangan. Virtual xususiy tarmoqdan (VPN) foydalanish. VPN lar ham tarmoqning onlayn xavfsizligini kafolatlashning ajoyib usuli hisoblanadi. Koʻpgina yaxshi VPN lar internet trafigini himoya qilish uchun harbiy darajadagi shifrlashdan foydalanadi. Ushbu shifrlash darajasi xakerlar trafikni tinglashni yoki IP manzillarini aldashini qiyinlashtiradi. Shunisi ham muhimki, koʻplab VPN lar bir vaqtning oʻzida bitta obuna boʻyicha ulanishga ruxsat beradi, ba’zilari esa cheksiz obunalarga ruxsat beradi. Bir vaqtning oʻzida ulanish xususiyati mahalliy tarmoqdagi koʻplab yoki barcha qurilmalarni bitta VPN obunasi bilan himoya qilishi mumkinligini anglatadi. 2.3 – jadval Tarmoqda manzillash usullarida mavjud boshqa zaifliklar Tarmoqda manzillash Ushbu zaifliklarga qarshi samarali himoya choralari usullarida mavjud boshqa zaifliklar MAC manzilini Tarmoqga ulanishni istagan begonalarni boshqarishning filtrlash zaifligi eng yaxshi yechimi mehmon Wi-Fi tarmog'idan 59 Umumiy IP manzili zaifligi foydalanishdir. Bu ularga tarmoqga ulanishiga ruxsat beradi, lekin uy tarmog’ida hech narsa koʻrishlariga yoʻl qoʻymaydi. Buning uchun arzon router sotib olish va uni alohida parol va alohida IP manzil diapazoni bilan tarmoqga ulash mumkin. WPA2 shifrlash yetarli, chunki uni buzish juda qiyin. Lekin asosiysi kuchli va uzoq parolga ega boʻlishdir. Agar kimdir WPA2 shifrlashni buzsa, ular MAC filtrini aldashga harakat qilishlari shart emas. Agar tajovuzkor MAC manzilini filtrlash bilan adashsa, ular shifrlashni buza olmaydi. Himoya qilishning eng yaxshi usuli, albatta, umumiy IPmanzildan umuman foydalanmaslikdir, ayniqsa kerakligiga ishonch komil boʻlmasa. Ammo agar statik IPga muhtojlik sezilsa, himoya ustida koʻproq ishlash kerak. Birinchi qadam marshrutizatordagi standart parolni oʻzgartirishdir. Bu ma'lum bir modeldagi zaifliklardan foydalanadigan xakerlardan himoya qilmaydi, lekin kam malakali hujumchilardan qutqaradi. Iloji boricha kamroq xakerlar uchun qulay xatolarga ega router modelidan foydalanish yaxshi fikr, ammo buning uchun eng soʻnggi ma'lumotlarni olish uchun Internetda varaqlab, bir oz tadqiqot qilish kerak. Router proshivkasini muntazam yangilab turish kerak. Yangilanishlar odatda oldingi versiyalarda topilgan xatolarni tuzatadi. Va shuni aytish kerakki, barcha oʻrnatilgan himoya vositalari yoqilgan boʻlishi kerak. Bundan tashqari, koʻrayotgan joydan qat’i nazar, umumiy IP manzilni yashirish uchun VPN tavsiya etiladi. U faol boʻlsa, oʻrniga VPN server manzili koʻrsatiladi. Nihoyat, kompyuterlar va mobil qurilmalarda xavfsizlik yechimlarisiz qolmaslik. Hozirgi kunda ular nafaqat zararli dasturlarni ushlaydi, balki boshqa turdagi hujumlardan ham himoya qiladi, masalan, zararli saytlarga yoʻnaltirish yoki zararli reklama kiritish – agar yoʻriqnoma buzilgan boʻlsa, aynan shu hujumlar sodir boʻlishi mumkin. 60 3. HAYOT FAOLIYATI XAVFSIZLIGI VA EKOLOGIYA 3.1 Server honasida toʻgʻri ishlash talablari. Serverlar bilan ishlaganda yuz berishi mumkin boʻlgan xavflar Server xonasi - bu hisoblash va telekommunikatsiya uskunalari joylashgan maxsus xona. Uskunaning xavfsiz va toʻlaqonli ishlashi uchun xona bir qator shartlarga javob berishi kerak. 3.1 – rasm. Server honasi Server xonasi - bu hisoblash va telekommunikatsiya uskunalari joylashgan maxsus xona. Uskunaning nosozliklarsiz ishlashi uchun xona bir qator shartlarga javob berishi kerak, jumladan: − qoʻshni xonalarga nisbatan ortiqcha havo bosimi; − qoʻshni xonalarga qaraganda yuqori qavat darajasi; − zaxira quvvat manbalarining mavjudligi. Server xonasida harorat va namlikni, shuningdek havo oqimini ma’lum darajada ushlab turish kerak. Bu va yana koʻp narsalar hisoblash uskunalarining uzluksiz ishlashini va muhim ma’lumotlarning xavfsizligini kafolatlaydi. Asosiy talablar. 1. Amerika isitish, sovutish va konditsioner muhandislari jamiyati (ASHRAE) server xonasi haroratini +18°C dan 27°C gacha saqlashni tavsiya qiladi. 61 2. Elektron kompyuterlar uchun binolar va binolarni loyihalash uchun qurilish qoidalariga (SN 512-78) koʻra, chang miqdori 0,75 mg / m3 dan oshmasligi kerak. 3. Havoning namligi - kamida 20 va 80 ° S dan yuqori emas. Shu bilan birga, xonada uning oʻzgarishining maksimal tezligi soatiga 6% ni tashkil qiladi, kondensatsiya boʻlmasligi kerak. 4. Server xonasidagi bosim qoʻshni xonalarga qaraganda yuqori boʻlishi kerak. Farqi kamida 14,7 Pa boʻlishi kerak. Bundan tashqari, ba’zi uskunalar vibratsiyani cheklashi kerak va chang va ba’zi kimyoviy moddalar (xlor, uglevodorodlar, azot oksidi, vodorod sulfidi va oltingugurt dioksidi) maksimal mumkin boʻlgan kontsentratsiyasi ma’lum qiymatlardan oshmasligi kerak. Yongʻin xavfsizligi talablari. Amaldagi qoidalarga koʻra, katta server xonalari (24 m2 dan ortiq) yongʻinga qarshi tizimlar bilan jihozlangan boʻlishi kerak. Shu bilan birga, freon 114B2 yoki chang tarkibi emas, balki yongʻinni oʻchiradigan modda sifatida sertifikatlangan gazdan foydalanish kerak. Ikkinchi talab - yongʻin signalizatsiya tizimining mavjudligi. Elektr talablari: − har bir telekommunikatsiya rafida turli xil kirishlarga ulangan ikkita quvvat distribyutor boʻlishi kerak; − kuchlanishni barqarorlashtirish va quvvatni zaxiralash uchun siz ikki tomonlama konvertatsiya qilish sxemasiga (On-Line) muvofiq qurilgan etarli quvvatga ega UPSni oʻrnatishingiz kerak; − guruhli yotqizish uchun yonishni tarqatmaydigan va korroziyaga olib keladigan gazsimon mahsulotlarni chiqarmaydigan "ng-HF" belgisi bilan kabellardan foydalanish kerak. Ushbu ixtisoslashtirilgan xonada odatda yuqori unumdorlik va qimmatbaho uskunalar mavjud. Uning ishlamay qolishi yoki hatto vaqtincha toʻxtab qolishi 62 moliyaviy yoʻqotishlarga olib kelishi mumkin. Harorat oʻzgarishiga eng sezgir qurilmalar: qattiq disk - qizdirilganda uning asosiy komponentlari (golovkalar, magnit disklar va boshqalar) ishlab chiqarilgan material kengayadi, buning natijasida muhim ma’lumotlar yoʻqolishi mumkin; protsessor - agar u haddan tashqari qizib ketgan boʻlsa, taktni oʻtkazib yuborish mexanizmi ishga tushishi mumkin, bu apparat ishini pasaytiradi yoki kompyuter yopilishi mumkin; anakart koʻprigi - bu juda koʻp issiqlik hosil qiluvchi va harorat koʻtarilishiga ham sezgir boʻlgan chipsetlar. Monitoring turlari. Uskunalar uchun zarur shart-sharoitlarni ta’minlash uchun, birinchi navbatda, server xonasida quyidagilarni nazorat qilish kerak: 1. Mikroiqlim va konditsioner tizimining parametrlari. Buning uchun konditsionerlar, masofadan boshqarish uchun adapterlar, shuningdek harorat va namlik sensorlari ishlatiladi. 2. Quvvat imkoniyatlari. Ular maxsus sensorlar orqali uzatiladi. 3. Binoga kirish va xavfsizlik va yongʻin signalizatsiyasini ishga tushirish. Buning uchun avtomatlashtirilgan parametrlarni boshqarish tizimi javobgardir. 4. Videokuzatuv tizimi. Signal hodisasi sodir boʻlganda, u xabar bilan birga server xonasining bir qator fotosuratlarini yuboradi. Shovqin va tebranishlardan himoya qilish usullari. Shovqindan himoya qilishning bino-akustik usullari qurilish me'yorlari va qoidalarida nazarda tutilgan, bular: − yopiq inshootlarni ovoz oʻtkazmaydigan qilib qoʻyish, deraza va eshiklarning ayvonlarining perimetri boʻylab muhrlash; − tovushni yutuvchi konstruksiyalar va ekranlar; − shovqinni oʻchirish vositalari, tovushni yutuvchi astarlar. 63 Administratorning ish joyida, qoida tariqasida, shovqin manbalari kompyuter, printer, shamollatish uskunalari, shuningdek tashqi shovqin kabi texnik vositalardir. Ular juda oz shovqin qiladilar, shuning uchun xonada ovozni yutishdan foydalanish kifoya. Xonaga tashqaridan kiruvchi shovqinni kamaytirishga deraza va eshiklarning ayvonlarining perimetri boʻylab muhrlanish orqali erishiladi. Ovozni yutish deganda akustik ishlov berilgan sirtlarning tovush energiyasini issiqlikka aylanishi tufayli ular tomonidan aks ettirilgan toʻlqinlarning intensivligini kamaytirish xususiyati tushuniladi. Ovozni yutish shovqinni kamaytirish uchun juda samarali choradir. Tolali gʻovakli materiallar eng aniq ovoz yutuvchi xususiyatlarga ega: tolali tolalar, shisha tolalar, mineral jun, poliuretan koʻpik, gʻovakli polivinilxlorid va boshqalar Ovozni yutuvchi materiallarga faqat ovozni yutish koeffitsienti 0,2 dan past boʻlmaganlar kiradi. Koʻrsatilgan materiallardan tayyorlangan tovushni yutuvchi astarlar (masalan, shisha tolali qoplamali oʻta yupqa shisha tolali paspaslar shiftga va devorlarning tepasiga joylashtirilishi kerak). Maksimal tovushni yutish xonaning oʻrab turgan yuzalarining umumiy maydonining kamida 60% ga qaraganida erishiladi. Server xonasini muhandislik xodimlarining ish joylaridan ajratib turadigan ovoz oʻtkazmaydigan qismning qalinligini hisoblaylik. Server W 0 = 65 dB boʻlgan shovqin manbai boʻlib, sanitariya me'yorlariga javob bermaydi. Shuning uchun ovoz yalıtımı kerak. Devorning talab qilinadigan maksimal ruxsat etilgan ovoz oʻtkazuvchanligi: r pr. = W pr. / W 0 = 50/65 = 0,77 Devorning ovoz oʻtkazmasligi qobiliyati: R pr. = 10 lg(1/ r pr.) = 1,44 Ogʻirligi 1 m2 dan 200 kg gacha, uning talab qilinadigan solishtirma ogʻirligi: R pr. = 13,5 lg Q pr. + 13 Q pr. = 10((R pr. - 13)/13,5) = 10-0,8 = 0,13 кг DSTU 112.1.003-83 ish joylarida ruxsat etilgan ovoz bosimi darajasini (oktava chastota diapazonlarida), tovush darajalarini va ekvivalent tovush darajalarini (dB da) belgilaydi (W pr. = 50 dB). 64 − Server xonasidagi shovqin manbalari: − kompyuterning ichki ventilyatsiyasi; − kompyuterning aylanadigan qismlari (NGMD, HDD va optik diskni oʻquvchilar); − sabab-chiqarish ventilyatsiyasi; − konditsioner tizimi. 3.2 AKT tizimlarida faoliyat olib borish xavfsizligi XX asrning oxirgi oʻn yilligida axborot-kommunikasiya texnologiyalari (AKT) insonlar hayot tarzi va jamiyat rivojiga ta’sir qiluvchi asosiy omillardan biri boʻlib qoldi. Bugungi kunda kishilik jamiyatida axborot–kommunikasiya texnologiyalarini jadal rivojlanishi natijasida insonlar hayotining barcha yoʻnalishlarida chuqur oʻzgarishlar sodir boʻlmoqda. Axborot–kommunikasiya texnologiyalari inson hayotining barcha jabhalarini, ya’ni ish faoliyatini ham, muloqotini ham, maishiy va madaniy sohalarini ham qamrab olmoqda. Ular har bir odamga hayot kechirish darajasini rivojlantirish va yaxshilash uchun katta imkoniyatlarni ochib bermoqda hamda insonni yolgʻizlikdan chiqarib, jahon axborot jamiyatiga qoʻshilishiga imkoniyat yaratmoqda. Respublikamiz hukumati tomonidan AKTga oid zarur me’yoriy-huquqiy baza yaratilib, u 11 ta ixtisoslashtirilgan (sohaviy) va 6 ta oʻzaro bogʻlangan qonunlar, Oʻzbekiston Respublikasi Prezidentining 3 ta farmoyishi, Oʻzbekiston Respublikasi Prezidenti va Vazirlar Mahkamasining 40 dan ortiq qarorlari hamda 600 ta qonunosti hujjatlarni oʻz ichiga olgan. Xavfsizlik texnikasi deb xavfsiz mehnat sharoitini ta’minlashga qaratilgan texnik tadbirlar va ish usullari majmuiga aytiladi. Ma’lumki har qanday texnik qurilma xavfli zonalarga ega boʻladi. Xavfli zonalar deb mashina yoki mexanizmning ichki qismida yoki tashqi tomonida doimiy yoki davriy ravishda unda ishlayotgan ishchi uchun xavf sodir boʻladigan maydoni tushuniladi. Xavf real va yashirin turlarga boʻlinadi. Shu sababli har qanday mashina-mexanizmning konstruksiyasi quyidagi umumiy va xususiy talablarga javob berishi zarur: 65 − mashina va mexanizmlarning harakatlanuvchi va aylanuvchi mexanizmlari himoyalangan yoki himoya qobiqlari bilan toʻsilgan, texnik xizmat koʻrsatish va ta’mirlashga qulay qilib joylashtirilgan boʻlishi; − konstruksiya elementlari oʻtkir qirrali yoki gʻadir-budir yuzali boʻlmasligi (agar mashinaning funsional vazifasi talab etmasa), mashinada hosil boʻladigan issiq yoki sovuq detallarga ishchi tana a’zolarining qoʻqqisdan tegib ketish oldi olingan boʻlishi; − tarkibiy qismlar (elektr simlari, truba quvurlari va b.) qoʻqqisdan uzilishi yoki yorilib ketmasligi; − mashinaning (mobil mashinalarda) transport holatidagi gabarit oʻlchami ixcham, xavfsiz va yoʻlda harakatlanish, elektr liniyalari ostidan oʻtishga qulay boʻlishi; − mashina yoki mexanizm ishlashi natijasida ajralib chiqadigan zararli moddalar ruxsat etilgan miqdor darajasida boʻlishi va u ishchi joylashgan muhitga tarqalmasligi zarur. Xususiy talablar esa mashinaning yoritilganlik, shovqin, titrash va shu kabi koʻrsatkichlarini sanitar-gigiyenik talablar doirasida boʻlishi, tormoz qurilmalarining ishonchliligi, boshqarishni qulay boʻlishi va texnik –estetik talablarni oʻz ichiga oladi. Xususiy talablar esa mashinaning yoritilganlik, shovqin, titrash va shu kabi koʻrsatkichlarini sanitar-gigiyenik talablar doirasida boʻlishi, tormoz qurilmalarining ishonchliligi, boshqarishni qulay boʻlishi va texnik –estetik talablarni oʻz ichiga oladi. − xavf darajasini kamaytirish asosan quyidagi tadbirlar orqali amalga oshiriladi: − xavfsiz texnikalarni loyihalash va ishlab chiqish; − xavfdan himoyalashning muhandis-texnik vositalaridan foydalanish; − xavfsiz, zamonaviy texnologik jarayonlarni ishlab chiqish va tadbiq etish; − ishchi –xodimlarni xavfsizlik texnikasi boʻyicha oʻqitishni tashkil etish. Xavfsizlikni ta’minlovchi muhandislik-texnik vositalariga quyidagilar kiradi: − toʻsiq qurilmalari (qoʻzgʻaluvchi, qoʻzgʻalmas, doimiy, vaqtinchalik); 66 − blokirovkalash moslamalari; − mexanik zoʻriqishlardan saqlovchi; mashinalardagi harakatlanuvchi mexanizmlarni belgilangan chegarada harakatlanishini taminlovchi; bosim va haroratni ruxsat etilgan meyordan oshishini taqiqlovchi; elektr toki kuchini ruxsat etilgan miqdordan oshmasligini taminlovchi; − tormozlar; − masofadan (distansion) boshqarish qurilmalari. Xavfsizlik belgilari standart boʻyicha toʻrt guruhga ajratiladi: taqiqlovchi, ogohlantiruvchi, koʻrsatuvchi va buyuruvchi. Taqiqlovchi belgilar biror bir harakatni taqiqlash yoki cheklash uchun ishlatiladi.Ular yumaloq shaklga ega boʻladi. Ogohlantiruvchi belgilar xavf boʻlish ehtimoli toʻgʻrisida malumot beradi va uchburchak shaklga ega boʻladi. Buyuruvchi belgilar aniq talablar asosida biror harakatni amalga oshirishga ruxsat etishni koʻrsatadi, kvadrat shaklda boʻladi. Koʻrsatuvchi belgilar toʻrtburchak shaklga ega boʻlib turli xil ob’ektlar joyini,manzilini koʻrsatish uchun ishlatiladi. Mashina va mexanizmlardan foydalanish xavfsizligini va qulayligini oshirish maqsadida masofadan boshqarish (“distansion”) qurilmalardan ham keng foydalaniladi. Ular ishlash prinsipiga koʻra mexaniq, gidravlik, pnevmatik, elektrik va kombinasiyalashgan turlarga boʻlinadi. Globallashuv jarayonlari chuqurlashayotgan va milliy iqtisodiyotning raqobatbardoshligi oʻsayotgan pallada telekommunikasiya sanoatining iqtisodiyotning alohida sohasi sifatida rivoj topishi hamda iqtisodiyotning boshqa sohalarida AKTning qoʻllanishiga doir masalalar ustuvor ahamiyat kasb etmoqda. Texnik imkoniyatlarning kengayishi va mazkur sanoatning salohiyatini amaliyotda toʻlaqonli qoʻllash milliy iqtisodiyotning raqobatbardoshligini kuchaytirishda muhim rol oʻynaydi hamda shu tarzda xususiy va davlat tuzilmalarning strategik barqarorligini ta’minlaydi. Aloqa va axborotlashtirish sohasida sifatli faoliyatni ta’minlash uchun Oʻzbekiston Respublikasi Hukumati oʻz oldiga qoʻygan maqsadi iqtisodiyot va jamiyat hayotining barcha sohalarida axborot texnologiyalarini keng koʻlamda qoʻllash va jahon axborot hamjamiyatiga kirish uchun qulay sharoitlarni yaratishdan iboratdir. 67 XULOSA Koʻrib chiqilgan manzillash usullarining barchasi hozirgi kunda ishlatilayotganini va ularning ahamiyati tarmoqda katta ekanligini, ularda afzallik va kamchilik taraflari mavzjudligi va zaifliklari tahlilini amalga oshirdik. Natijada mavjud boʻlgan zaifliklarining havfi va ularga qarshi tura oladigan va qoʻllashda yaxshi natija bera oladigan samarali choralarni koʻrib chiqishga muvaffaq boʻldik. Shuni takidlash lozimki hozirda eng keng qamrovda ishlatilayotgan IP manzillash va MAC manzillash usullari va ular bilan bog’liq boʻlgan zaifliklar, tarmoq foydalanuvchilarini doimo hushyor boʻlishlariga, hamda, oʻzlariga tegishli boʻlgan qurilmalarni tahlildan doimo oʻtkazishlari kerakligini tushunishlari uchun zarur boʻlgan ma’lumotlar keltirib oʻtishga harakat qilindi. Koʻrib chiqilgan tahlillar natijasida: 1. Manzillash usullarining dolzarbligi aniqlandi; 2. Ushbu usullarning afzallik va kamchilik taraflari oʻrganildi; 3. Ushbu usullarga boʻladigan hujumlar yoritildi; 4. Ushbu hujumlarga qarshi samarali bartaraf etadigan himoya choralari oʻrganib chiqildi; 5. Manzillash usullarining zaifliklari tahlil qilindi va ularni bartaraf etish boʻyicha tavsiyalar berildi. Tahlil qilingan yechimlar samarasi yuqori funksionallikka ega, shu sababdan ushbu usullardan foydalangan foydalanuvchi oʻzini xavfsizlikda sezishi mumkin boʻladi. 68 FOYDALANILGAN ADABIYOTLAR 1. 1. O‘zbekiston Respublikasi Prezidentining Farmoni, 28. 01. 2022 yil PF- 60-son . https://lex. uz/uz/docs/-5841063 . 2. Kungu, E. (2018 yil, 8 may). Mantiqiy manzil va jismoniy manzil o‘rtasidagi farq. O‘xshash atamalar va ob’ektlar o‘rtasidagi farq. http://www.differencebetween.net/technology/difference-between-logicaladdress- and-physical-address/. 3. Endryu S. Tanenbaum, Devid Veterall. n.d. Kompyuter tarmoqlari. Pearson, 23-iyul, 2013 yil. 4. Behrouz A. Forouzan, Sophia Chung Fegan. n.d. Ma'lumotlar kommunikatsiyalari va tarmoqlar, To'rtinchi nashr. Mcgraw Hill ta’limi. 5. Galkin, V. A. Telekommunikatsiya va tarmoqlar [Matn]: darslik. "Axborotni qayta ishlash va boshqarishning avtomatlashtirilgan tizimlari" mutaxassisligi bo‘yicha universitet talabalari uchun qo‘llanma "Informatika va kompyuter injiniringi" bitiruvchilarni tayyorlash yo‘nalishlari / Ed. V. A. Galkina, Yu. A. Grigorieva. - M.: MSTU im. N.E. Bauman, 2003 yil. 6. Broido, V. L. Hisoblash tizimlari, tarmoqlari va telekommunikatsiyalari [Matn]: universitetlar uchun darslik / O. P. Ilyina. 4-nashr. - Sankt-Peterburg. : Piter, 2011 yil. 7. Anonimlik va maxfiylik uchun dinamik IP-manzillarga ega VPN dan foydalaning / Ru.itopvpn.com: [veb-sayt]. URL: 8. https://ru.itopvpn.com/blog/dinamicheskiy-ip-vpn-1367. 9. https://docs.eggplantsoftware.com/ePN/3.0.0/epn-port-addressing.htm 10. https://electronicsguide4u.com/computer-network-addressing-basicoverview/ 11. http://okitgo.ru/network/adresaciya-v-seti.html 12. https://learn.trudmore.ru/seti/osnovy-setej/obmen-dannymi-v-ethernet/ 13. Andrew S. Tanenbaum, David Wetherall. n.d. Computer Networks. Pearson, 23-Jul-2013. 69 14. https://webznam.ru/blog/chto_takoe_mac_adres_ustrojstva/2022-02-011950 15. https://www.educba.com/what-is-a-physical-address/ 16. https://www.jigsawacademy.com/blogs/cyber-security/mac-spoofingattack/ 17. https://www.cloudflare.com/learning/ddos/syn-flood-ddos-attack/ 18. https://studbooks.net/2156478/informatika/analiz_vrednyh_proizvodstvenn yh_f aktorov_servernoy_komnate 19. http://domcontrol63.ru/articles/kontrol-usloviy-v-servernoy-komnate/ 20. https://www.tenable.com/blog/vulnerabilities-by-common-ports-dashboard 21. https://www.omnisecu.com/ccna-security/how-to-prevent-mac-floodingttacks-by-configuring-switchport-port-security.php 22. https://techrobot.com/what-is-ip-spoofing/ 23. 22.https://beingintelligent.com/types-addressing-innetwork.html#PhysicalAddress 70

Ergashev-Tursunmurod-individuval-liyha 2

Products

Support

Ergashev-Tursunmurod-individuval-liyha 2

Add this document to collection(s)

Add this document to saved

Suggest us how to improve StudyLib