Тармоқ хавфсизлиги 16 шрифт (1)

OʻZBЕKISTON RЕSPUBLIKASI AXBOROT TЕXNOLOGIYALARI VA KOMMUNIKATSIYALARINI RIVOJLANTIRISH VAZIRLIGI MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKЕNT AXBOROT TЕXNOLOGIYALARI UNIVЕRSITЕTI F.B.Botirov, A.A.Abdurahmonov, B.M.Shamshiyeva, E.D.Haydarov TARMOQ XAVFSIZLIGI Oʻquv qoʻllanma (laboratoriya ishlarini bajarish uchun) 5330300- "Axborot xavfsizligi", 5330500 - "Kompyuter injiniringi (Kompyuter injiniringi, AT - servis, Multimediya texnologiyalari)", 5350100 - "Telekommunikatsiya texnologiyalari" (telekommunikatsiyalar, mobil tizimlar) yoʻnalishlari boʻyicha oʻqiyotgan bakalavr talabalari uchun. TOSHKENT 2021 Taqrizchilar: Gafurov Sh.R.“Kiberxavfsizlik markazi” DUK, direktor oʻrinbosari. Samarov H.K. Muhammad al-Xorazmiy nomidagi TATU, “Axborot xavfsizligini ta’minlash” kafedrasi dotsenti, t.f.n. Tarmoq xavfsizligi: Oʻquv qoʻllanma / F.B.Botirov, A.A.Abdurahmonov, B.M.Shamshiyeva, E.D.Haydarov – Т.: «_______________», 2021. – 246 с. Oʻquv qoʻllanma "Tarmoq xavfsizligi" fani boʻyicha laboratoriya mashgʻulotlari dasturini hisobga olgan holda tuzilgan. Ushbu qoʻllanma xavfsiz korporativ tarmoqlarni yaratishning dolzarb masalalariga bagʻishlangan. Xavfsizlik kafolatlari, korporativ tarmoqlarni ichki tajovuzkorlardan himoya qilish usullari va vositalari bilan murakkab axborot xavfsizligi tizimini yaratish masalalariga alohida e'tibor qaratilgan. Zamonaviy korxonalarning korporativ tarmoqlari xavfsizligi muammolari, tarmoq axborot texnologiyalari rivojlanishining zamonaviy tendensiyalarini hisobga olgan holda korporativ tarmoqlarning axborot resurslari xavfsizligini ta'minlash tizimini yaratishning ilmiy-texnik tamoyillari, xavfsizligini tahlil qilish usullari va vositalari, korporativ tarmoqlar, tarmoqlararo ekran texnologiyasi, kirishni aniqlash tizimlari va virtual xususiy tarmoqlarni qurish vositalari muhokama qilinadi. Qonunbuzarlarning harakatlarini modellashtirish asosida himoya usullari va korporativ tarmoqlarning umumiy xavfsizligini oshirish boʻyicha tavsiyalar taklif etiladi. Qoʻllanma 5330300- "Axborot xavfsizligi", 5330500 "Kompyuter injiniringi" (kompyuter injiniringi, AT-servis, Multimediya texnologiyalari), 5350100 - "Telekommunikatsiya texnologiyalari" (telekommunikatsiya, mobil aloqa tizimlari) yoʻnalishlari boʻyicha oʻqishga qabul qilingan bakalavriat talabalari uchun tavsiya etiladi. Shuningdek, faoliyati tarmoq xavfsizligini ta'minlash bilan bogʻliq boʻlgan koʻplab mutaxassislar uchun foydali boʻlishi mumkin. F.B.Botirov, A.A.Abdurahmonov, B.M.Shamshiyeva, E.D.Haydarov2021 © «_______________», 2021 2 KIRISH Yangi texnologiyalar, elektron xizmatlar kundalik hayotimizning ajralmas qismiga aylandi. Jamiyat axborotkommunikatsiya texnologiyalariga tobora koʻproq qaram boʻlib borayotganligi sababli, ushbu texnologiyalarni himoya qilish va ulardan foydalanish milliy manfaatlar uchun juda muhimdir. Shu sababli, tarmoq xavfsizligini ta'minlash uchun har bir tashkilot tarmoq xavfsizligi masalalari bilan shugʻullanadi va xodimlarni tarmoq xavfsizligi bilan tanishtirish uchun bir qator seminarlar va treninglar tashkil etiladi. Buning yorqin namunasi shundaki, onlayn xavfsizlik mavzusi oliy oʻquv yurtlarida oʻqitiladi. Respublikada axborot texnologiyalarini rivojlantirish bilan bir qatorda tarmoq xavfsizligini ta'minlashga, xususan, iqtisodiy va davlat boshqaruvi organlarida kompyuter bilan bogʻliq muammolarni bartaraf etishga alohida e'tibor qaratilmoqda. 2017-2021 yillarda Oʻzbekiston Respublikasini yanada rivojlantirish boʻyicha harakatlar strategiyasida vazifalar belgilab qoʻyilgan, shu jumladan "... axborot xavfsizligini ta'minlash va axborotni muhofaza qilish tizimini modernizatsiya qilish, oʻz vaqtida va yetarli darajada javob berish axborot sohasidagi tahdidlar va kiberjinoyatchilikni aniqlash. Bundan tashqari, Oʻzbekiston Prezidentining "Ilm-fan, ta'lim va raqamli iqtisodiyotni rivojlantirish yilida Harakatlar strategiyasini amalga oshirishning davlat dasturi toʻgʻrisida"gi Farmonida "Kiberxavfsizlik 2020 yil 1 sentyabrgacha milliy strategiya va qonun loyihasini ishlab chiqish" vazifalari belgilangan. Ushbu vazifalarni amalga oshirishda siz e'tibor berishingiz kerak boʻlgan muhim jihatlardan biri bu tarmoq xavfsizligi sohasida oʻquv qoʻllanmalarini ishlab chiqishdir. Oʻquv qoʻllanmada tarmoq qurilmalarida - Telnet, SSH masofadan ulanish protokollarini sozlash, komutatorlarda Port Securityni sozlash, tarmoq qurilmalari xavfsizligini tahlil qilish, STP, RSTP, LACP, PAgP, VTP, OSPFni sozlash, RIP, EIGRP va BGP, kirish roʻyxatini sozlash (standart, kengaytirilgan), NAT / PAT texnologiyasini sozlash, SCP, SNMP protokollarini oʻrnatish va log fayllarini tekshirish, shuningdek AAA serverlarida autentifikatsiya rejimini oʻrnatish (RADIUS, TACACS+), DHCP Snooping xavfsizlik texnologiyasini tahlil qilish, tarmoqdagi ARP Poisoning hujumlarini tahlil qilish, ASA xavfsizlik texnologiyasini oʻrnatish, SSTP, PPTP, L2TP va IKEv2 protokollarini oʻrganish, korxonalarda 3 VPN tarmogʻini yaratish, tarmoq marshrutizatorlarida DMZ oʻrnatish, tarmoq muammolarini bartaraf etish. Troubleshooting, firewall, IDS / IPS dasturini oʻrnatish va sozlash uchun asosiy xavfsizlik sozlamalarini oʻrnatish boʻyicha laboratoriya ishlari shaklida keltirilgan. 4 1 – LABORATORIYA ISHI TARMOQ QURILMALARIDA DASTLABKI XAVFSIZLIK SOZLAMALARINI OʻRNATISH Ishdan maqsad : Kommutator qurilmasining tuzilishi, ishlash tamoyillari, masofadan kirishni ta’minlash usullari hamda xavfsizlik koʻrsatkichlarini sozlash qoidalarini tadqiq qilishdan iborat. Nazariy qism Tarmoq qurilmalari. Koʻp sonli ish stansiyalarini birlashtirganda, alohida joylarda lokal tarmoqlarni yaratish maqsadga muvofiqdir, keyinchalik ular bir-biri bilan birlashtiriladi. Turli xil lokal tarmoqlarni bir-biri bilan bogʻlash uchun axborot oqimini boshqaruvchi qurilmalar talab qilinadi: - hub (Hub); - komutator (Switch); - marshrutizator (Router); - koʻprik (Bridge); - repeater (Repeater); - ulanish nuqtasi(Access point); - tarmoqlararo ekran(Firewall). Lokal tarmoqlarni qurishning eng oson usuli - bu birma-bir elektr signalini birlashtirish orqali tarmoq ulanishini amalga oshiradigan repitorlardan foydalanish. Bir portli va koʻp portli repitorlar bor. Kabellar portlarga ulanadi. Bunday holda, repitor moslamasi signalni qabul qilishi kerak, keyin uning asl shaklini tanib chiqishi va chiqishda uning aniq nusxasini yaratishi kerak. Bunday holda, paketlar bir vaqtning oʻzida ikki yoki undan ortiq portlarga yetib borishi bilan bogʻliq muammo paydo boʻlishi mumkin. Yana bir muammo - bu xavfsizlik - barcha paketlar tarmoqdagi barcha kompyuterlarga yetib boradi, shuning uchun ma'lumotlarga ruxsatsiz kirish imkoniyati mavjud. Yana bir muammo shundaki, paketlarni nusxalash tarmoqdagi yukni sezilarli darajada oshiradi (tarmoq segmentining barcha trafigi kompyuterlarning har biriga toʻgʻri keladi va shu bilan tarmoqni yuklaydi). Komutatorlar har bir tarmoq segmentini individual ravishda sozlashi va tegishli ish rejimini oʻrnatishi mumkin. Ma'lumotlar paketlarini qabul qilish / uzatish paytida ular uni darhol barcha chiqish 5 portlariga emas, balki faqat uni olishga tayyor boʻlgan qurilmalarga ulanganlarga yuboradilar. Kommutator kommutatsiya jadvalini xotirada saqlaydi, bu hostning MAC manzilining (kompyuter tarmoqlaridagi har bir uskunaga berilgan noyob identifikator) komutator portiga mosligini koʻrsatadi. Komutatorlar mos MACmanzil bilan bogʻliq interfeyslarni qidirish jadvallaridagi qurilmalarning MAC-manzillari asosida uzatishni amalga oshiradi. Odatda, komutatorlar oddiy yulduz topologiyasiga ega boʻlgan tarmoqlarda qoʻllaniladi, unda ish stansiyasi toʻliq dupleks rejimida boshqa barcha ish stansiyalariga bevosita ulanadi. Hozirgi vaqtda ushbu yechim lokal tarmoqlarda eng keng tarqalgan (ish stansiyalari soniga ma'lum cheklovlar qoʻyilgan holda). 1.1-rasm. Tarmoq qurilmasi: komutator Marshrutizatorlar - bu turli xil tarmoq segmentlari oʻrtasida ma'lumotlar paketlarini uzatuvchi va tarmoq topologiyasi haqidagi ma'lumotlarga asoslanib qarorlar qabul qiladigan tarmoq qurilmasi. Odatda, marshrutizator ma'lumotlar paketlarida koʻrsatilgan IPmanzilidan foydalanadi va ma'lumotlarni uzatish uchun eng mos yoʻlni aniqlash uchun marshrutlash jadvalidan foydalanadi. Agar manzil uchun marshrut jadvalida tavsiflangan marshrut boʻlmasa, paket tashlab yuboriladi. Marshrutizator kamida ikkita turli xil tarmoqlarni birlashtiradi. 1.2-rasm. Tarmoq qurilmasi: marshrutizator 6 Koʻprik - turli xil topologiyalar va arxitekturalardagi kompyuter tarmogʻining segmentlarini (qism tarmoqlarini) birlashtirish uchun moʻljallangan tarmoq uskunasi. Umuman olganda, komutator (switch) va koʻprik funksional jihatdan oʻxshashdir; farq ichki qismda yotadi: koʻpriklar trafikni protsessor yordamida boshqaradi, komutator esa kommutatsiya matritsasidan foydalanadi (paketlarni almashtirish uchun apparat sxemasi). Koʻprik OSI modelida 2-sathida ishlaydi. Ulanish nuqtasi - bu kompyuterlarni bitta simsiz tarmoqqa birlashtirish uchun moslama. Tarmoqlararo ekran (Firewall) - bu tarmoqlar oʻrtasida ma'lumotlarning ruxsatsiz harakatlanishini oldini oluvchi qurilma. Shuningdek tarmoqlararo ekranlari koʻpincha filtrlar deb nomlanadi, chunki ularning asosiy vazifasi konfiguratsiyada belgilangan mezonlarga mos kelmaydigan paketlarni oʻtkazmaslik (filtrlash). Zamonaviy tarmoqlararo ekranlari orqali tarmoqni sozlash imkoniyati mavjud. Masalan, ular aslida ishlatilmaydigan portlarni yopishi mumkin. Tarmoqlararo ekranlari tarmoqdagi alohida qurilmaning kirishini himoya qiladigan qurilma yoki dastur boʻlishi mumkin. 1.3-rasm. Tarmoq qurilmasi: tarmoqlararo ekran Masofaviy ulanish usullari. Telnet - bu TCPga asoslangan mijoz-server protokoli boʻlib, mijozlar odatda ushbu xizmatni taqdim etadigan masofaviy kompyuterdagi 23-portga ulanishadi (internetda ishlatiladigan koʻplab protokollar singari, ulanish uchun ishlatiladigan portni oʻzgartirish mumkin, boshqacha qilib aytganda 23 raqamli port shunchaki umumiy ulanish porti hisoblanadi). Protokol qurilishi va telnet dasturlari tomonidan taqdim etiladigan moslashuvchanlik tufayli telnet 7 ishlatiladigan dasturidan boshqa ba'zi masofali kompyuter xizmatlari bilan interfaol TCP ulanishini oʻrnatilishi mumkin. Internetdagi koʻpgina kompyuterlar telnetga kirish huquqini faqat toʻgʻri foydalanuvchi qayd yozuvi va parolga ega foydalanuvchilarga taqdim qilsada, qidiruv dasturlarini (masalan, Archie ftp protokoli yordamida arxivlarni qidirish tizimi) ishga tushirish va ulardan foydalanish uchun oʻz tarmoqlariga foydalanuvchi autentifikatsiyasiz kirishni ta'minlaydigan tizimlar mavjud. Telnet protokolining vazifasi soʻnggi qurilmalar oʻrtasida aloqani ta'minlashdir. Ushbu protokol terminallar orasidagi aloqa uchun ishlatiladi. Serverdan mijoz displeyiga chiqish Mijoz klaviaturasidan serverga chiqish TELNET SERVER TELNET MIJOZ 1.4-rasm. telnet protokolining ishlash prinsipi Telnet protokoli xavfsizligi. Telnet bilan bogʻliq uchta asosiy muammo mavjud, bu xavfsizlik nuqtai nazaridan zamonaviy tizimlar uchun yaxshi tanlov emas: - standart telnet xizmatlari yillar davomida topilgan bir nechta zaif tomonlarga ega va ehtimol yana bir nechtasi mavjud; - telnet oʻrnatilgan ulanish orqali yuborilgan ma'lumotlarni (shu jumladan parollarni) shifrlamaydi va shu bilan aloqani tinglash va parolni keyinchalik zararli maqsadlarda ishlatish mumkin boʻladi; - telnetda autentifikatsiya tizimining yoʻqligi, ikkita masofadagi xostlar oʻrtasida oʻrnatiladigan aloqa oʻrtada uzilmasligiga hech qanday kafolat bermaydi. Telnet protokolidan xavfsizlik muhim boʻlgan tizimlarda, masalan, umumiy internetda foydalanish uchun yaratilmagan. Telnet seanslari ma'lumotlarni shifrlashni qoʻllab-quvvatlamaydi. Bu shuni anglatadiki, telnet seansi orqali ulangan ikkita masofadagi kompyuterlar orasidagi tarmoqdagi istalgan marshrutizatorga, komutatorga yoki shlyuzga kirish huquqiga ega boʻlgan har kim oʻtayotgan paketlarni ushlab, tizimga kirish uchun login va parolni 8 osongina olishi mumkin (tcpdump va Ethereal kabi har qanday dasturlardan foydalangan holda ushbu kompyuterlar oʻrtasida ma'lumotga egalik qilishi mumkin). Ushbu kamchiliklar tufayli telnet protokoli oʻrniga 1998 yilda taqdim etilgan yanada xavfsiz va funksional jihatdan samaraliroq boʻlgan SSH protokoli qoʻllanila boshlandi. SSH telnet taqdim etgan barcha funksiyalarni taqdim etadi, foydalanuvchi nomlari va parollar kabi ma'lumotlarni tinglashni oldini olish uchun kodlashni amalga oshiradi. SSHning ochiq kalitini autentifikatsiya qilish tizimi masofadagi kompyuterning haqiqiyligini ta'minlaydi. Secureshell protokoli (SSH) - ushbu protokol masofadagi qurilmalarni boshqarish uchun xavfsiz (shifrlangan) ulanishni ta'minlaydi. Shuningdek, u qurilmalar oʻrtasida tranzit paytida ma'lumotlarni himoya qiladi. SSH TCP port 22, Telnet TCP port 23 foydalanadi. Internetning paradoksi shundan iboratki, agar u ochiq boʻlmaganida, u hech qachon rivojlanmagan boʻlar edi. Ammo bunday ochiqlik uni har xil turdagi hujumlarga moyil qiladi. SSH protokoli ushbu paradoksni hal qilish uchun yaratilgan va ishlab chiqarilgan soʻnggi yechimlardan biri hisoblanadi. Koʻpchilik foydalanuvchilar uchun SSH - bu masofadagi kompyuterga ulanish, undagi ba'zi buyruqlarni bajarish va fayllarni kompyuterlar oʻrtasida koʻchirishga imkon beruvchi dastur. Kuchli autentifikatsiya tizimini va ochiq kanallar (masalan, Internet) orqali uzatiladigan ma'lumotlarni kuchli shifrlash algoritmini taqdim etish qobiliyatini ta'minlab, SSH protokoli telnet, rsh, rlogin va boshqalar kabi xavfsizligi past terminal emulyatsiya dasturlarining oʻrniga ishlatishga imkon berdi. Har qanday tizim ma'muri terminal emulyatsiya dasturlarini (ssh, rsh, telnet va boshqalar), shuningdek ular oʻzaro aloqada boʻlgan protokollarni yaxshi biladi. Avvalo, operatsion tizimni oʻrnatgandan soʻng, tizim ma'muri telnet, rlogin va boshqalar kabi standart xavfsiz boʻlmagan masofadan kirish dasturlarini SSH bilan almashtirishni oʻz vazifasi deb biladi. SSH barcha tarmoq xavfsizligi muammolarini hal qilmaydi. U faqat terminal emulyatorlari kabi dasturlarning xavfsiz ishlashini ta'minlashga qaratilgan (ammo protokol ushbu funksiyalar bilan cheklanib qolmaydi, balkim boshqa maqsadlar uchun xavfsiz 9 ulanishlarni oʻrnatishga imkon beradi). SSH protokolini serverlarda va mijoz dasturlarida ishlatish faqat tranzit paytida ma'lumotlarni himoya qilishga yordam beradi; SSH hech qanday holatda tarmoqlararo ekranlar, hujumlarni aniqlash tizimlarini, tarmoq brauzerlarini, autentifikatsiya tizimlarini yoki axborot tizimlari va tarmoqlarini hujumlardan himoya qilishga yordam beradigan boshqa vositalarni oʻrnini bosa olmaydi. 1995 yilda Tatu Ilonen (Finlyandiya) SSH dasturining birinchi versiyasini va SSH-1 nomi bilan ham tanilgan SSH dasturi tomonidan foydalaniladigan protokolni tavsiflovchi "SSH (Secure Shell) Remote Login Protocol" Internet-loyihasini taqdim etdi. Koʻp oʻtmay SSH-2 protokolining yangi versiyasi chiqarildi. 1997 yilda Tatu Ilonenning iltimosiga binoan IETF tashkiloti protokolni yanada rivojlantirish, takomillashtirish va saqlash uchun maxsus SECSH guruhini tashkil etdi. SSH-1 va SSH-2 protokollarining bir-biridan farq qiladi. Agar mijoz SSH-1 protokoli yordamida serverga ulanishni talab qilsa va server faqat SSH-2 protokolini qoʻllab-quvvatlasa, u holda aloqa oʻrnatilmaydi. Ushbu xususiyat, asosan, bir xil funksiyalarni bajaradigan ushbu protokollarning texnik bajarilishi bilan bogʻliq. Bundan tashqari, SSH-1 protokolidan foydalanish tizimlar oʻrtasida uzatiladigan ma'lumotlarning haqiqiy himoyasini ta'minlay olmayd. 1. Mijoz serverga aloqa o rnatish uchun so rov yuboradi 2.Server ommaviy kalitni yuboradi 3.Parametrlarni muhokama qilish va xavfsiz kanalni ochish 4.Foydalanuvchi server xost operatsion tizimiga kirishi SSH mijoz SSH server 1.5-rasm. SSH protokolining ishlash prinsipi SSH-1 protokoli texnologiyasining tavsifi. Birinchidan, mijoz serverga SSH ulanishini oʻrnatish va yangi seans yaratish toʻgʻrisida soʻrov yuboradi. Ushbu turdagi xabarlarni qabul qilsa va yangi aloqa seansini ochishga tayyor boʻlsa, ulanish server tomonidan qabul qilinadi. Keyin mijoz va server qaysi protokol versiyalarini qoʻllab- 10 quvvatlashi haqida ma'lumot almashadi. Agar protokollar oʻrtasida moslik topilsa va ikkala tomon ham ushbu protokol yordamida ulanishni davom ettirishga tayyor ekanligi haqida tasdiq olinsa, ulanish davom etadi. Shundan soʻng darhol server mijozga doimiy ochiq va vaqtinchalik server kalitlarini yuboradi. Mijoz ushbu kalitlardan sessiya kalitini shifrlash uchun foydalanadi. Vaqtinchalik kalit aniq matnda yuborilgan boʻlsa ham, sessiya kaliti hali ham xavfsizdir. Shundan soʻng, sessiya kaliti vaqtinchalik kalit va serverning ochiq kaliti bilan shifrlanadi va shu bilan faqat server uni parolini boshqara oladi. Shu nuqtada, mijoz ham, server ham sessiya kalitiga ega va shuning uchun xavfsiz shifrlangan paketli uzatish seansi tayyor boʻladi. Serverni autentifikatsiya qilish uning serverning ochiq kaliti bilan shifrlangan sessiya kalitini parolini hal qilish qobiliyatiga asoslangan. Mijozlarni autentifikatsiya qilish DSA, RSA, OpenPGP yoki parol kabi turli usullar bilan amalga oshirilishi mumkin. Mijoz ham, server ham bir-birining autentifikatsiyasini amalga oshirishi mumkin boʻlsa, sessiya davom etadi. SSH-1 protokoli orqali oʻrnatilgan ulanish uzatilgan ma'lumotlarni kuchli shifrlash algoritmi, ma'lumotlarni yaxlitligini tekshirish va siqish bilan himoya qilishga imkon beradi. SSH-2 protokoli texnologiyasining tavsifi. Ikkala protokol ham bir xil funksiyani bajaradi, ammo SSH-2 yanada samaraliroq, xavfsizroq va moslashuvchan hisoblanadi. Protokollarning asosiy farqi shundaki, SSH-2 protokoli SSH protokolining barcha funksiyalarini uchta protokol oʻrtasida ajratadi, SSH-1 protokoli esa bitta va boʻlinmas protokoldir. SSH protokoli funksiyalarini uchta protokolda - transport qatlami protokoli, autentifikatsiya protokoli va ulanish protokolida modulyatsiya qilish orqali SSH-2 protokoli xavfsiz tunnellarni yaratish uchun eng moslashuvchan va kuchli mexanizmga aylanadi. Quyida SSH-2 protokolini tashkil etuvchi uchta protokolning har birining qisqacha tavsifi va maqsadi keltirilgan: - transport qatlami protokoli - uzatilayotgan ma'lumotlarni shifrlash va siqish vazifasini bajaradi, shuningdek ma'lumotlar yaxlitligini boshqarish tizimini amalga oshiradi; - ulanish protokoli - mijozlarga asl SSH tunnel orqali koʻp tarmoqli ulanishni oʻrnatishga imkon beradi va shu bilan mijoz jarayonlari yaratadigan yukni kamaytiradi; 11 - autentifikatsiya protokoli - autentifikatsiya protokoli transport qatlami protokolidan ajratilgan, chunki autentifikatsiya tizimidan foydalanish har doim ham zarur emas. Agar autentifikatsiya zarur boʻlsa, jarayon transport qatlami protokoli orqali oʻrnatilgan dastlabki xavfsiz kanal bilan himoyalangan. Autentifikatsiya protokoli transport protokolidan ajralib turadi, chunki u ba'zida autentifikatsiyadan foydalanish nafaqat ixtiyoriy, balki hatto istalmagan holatda ham yuzaga keladi. Masalan, tashkilot ularni yuklab olishni istagan har qanday shaxs (yoki tizim) uchun FTP-serveridagi xavfsizlik tuzatishlariga noma'lum kirishni ta'minlaydi. Bunday holda, autentifikatsiya qilish talab qilinmaydi, shifrlash, siqish va ma'lumotlarning yaxlitligini boshqarish transport qatlami protokoli tomonidan ta'minlanadi. Bundan tashqari, yuqori oʻtkazuvchanlik kanalini hisobga olgan holda, mijozlar ulanish protokoli yordamida SSH ulanishi orqali koʻp tarmoqli ulanishni oʻrnatishi mumkin. SSH protokolining xavfsizligi. Mijozlarning dasturlari odatda ma'lum bir portdagi serverga sessiya ochish uchun soʻrov yuboradi, uni kiruvchi maxsus soʻrovlar uchun serverda ishlaydigan xizmatlar tinglashadi. Quyida eng mashhur portlar roʻyxati keltirilgan: - 21 - ftp; - 80 - http; - 25 - smtp; - 23 - telnet. SSH ushbu ulanishlarni himoyalashga imkon beradi. Birinchidan, paketlar serverda ma'lum boʻlgan ma'lum bir portga yuboriladi, shundan soʻng ular 22-portga (SSH server tomonidan xizmat koʻrsatiladi) yoʻnaltiriladi va u yerda ular xavfsiz ulanishga joylashtirilgan xavfsiz SSH paketlariga aylantiriladi. Amaliy qism Ushbu laboratoriya ishida 1.6 – rasmda keltirilgan tarmoq tuzilishi bo`yicha konfiguratsiya ishlari amalga oshiriladi. 1.6 – rasm. Tadqiq qilinayotgan tarmoq tuzilishi 12 1.1-jadval Manzillash jadvali Qurilma Interfeys IP-manzil Tarmoq maska Asosiy shlyuz S1 VLAN 1 192.168.1.100 255.255.255.0 192.168.1.1 PC-A Tarmoq adapteri 192.168.1.2 255.255.255.0 192.168.1.1 1. Kommutatorni sozlashni tekshirish 1.1. Topologiyaga mos ravishda kabellarni ulang a. Topologiyaga mos ravishda konsolli ulanishni oʻrnating. Bunda Ethernet kabelini PC-A ga ulamang (bu real qurilmaga ulanishda). b. Tarmoq qurilmasini sozlashda konsolli port yoki Telnet / SSH ulanish uchun terminal (m: kompyuter)da emulyatsiya dasturlari mavjud boʻlishi kerak. Ushbu dasturlardan ba’zilari quyidagilardir:  PuTTY;  Tera Term;  SecureCRT;  HyperTerminal;  Terminal OS X. Laboratoriya ishini bajarishda topologiyani qurish va Cisco kommutatoriga konsol kabeli bilan bogʻlanish yoki masofadan kirish usuli (telnet yoki SSH) orqali kirishga ruxsat olish kerak. Kommutatorning asosiy koʻrsatkichlarini sozlashdan oldin kommutatorning dastlabki holatini tekshirish kerak. Kommutatorning bu koʻrsatkichlariga qurilmaning nomi, interfeysning nomi, lokal parollar, MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) banneri, IP manzil, statik MAC manzilni qoʻyilganligi kiradi. 1.2. Kommutatorni dastlabki holatini tekshiring. Kommutatorni dastlabki holati: IOS ma’lumotlari, interfeys xususiyatlari, VLAN va flesh – xotira toʻgʻrisidagi ma’lumotlarni tekshiramiz. Kommutator IOS ning barcha buyruqlari imtiyoz rejimida bajarish mumkin. Imtiyoz rejimiga kirishda begonalarni qurilmadan 13 foydalanishini oldini olish va global konfiguratsiya rejimiga toʻgʻridan toʻgʻri oʻtib ketmaslik hamda ishchi koʻrsatkichlarni sozlash uchun ishlatiladigan buyruqlarga kirmaslik uchun parol yordamida cheklash kerak. Imtiyoz toʻplamiga foydalanuvchi rejimining buyruqlari kiradi. Shuningdek boshqa buyruqli rejimlarga oʻtishni bajaruvchi configure buyrugʻi kiradi. Imtiyoz rejimiga kirish uchun Enable buyrugʻini kiriting. a. Imtiyoz rejimiga oʻtish uchun foydalanuvchi rejimida kommutatorga Switch> enable buyrugʻini yozing. Switch> enable Switch# Qatordagi oʻzgarish imtiyoz rejimiga oʻtganligiga e’tibor bering. Kommutatorning konfiguratsiyasini tekshirish uchun imtiyoz rejimida show running-config buyrugʻini kiriting. Agar kommutatorda sozlangan fayllar saqlangan boʻlsa, ularni oʻchirib tashlang. b. "Running configuration" faylini oʻrganing Switch# show running-config 2960 kommutatori nechta FastEthernet interfeyslari mavjud? 2960 kommutatori nechta Gigabit Ethernet interfeyslari mavjud? VTY-kanalining diapazon qiymati qancha? c. VLAN 1 uchun SVI xarakteristikalarini oʻrganing. Switch # show interface vlan1 VLAN 1 tarmogʻi uchun IP-manzil qoʻyilganmi? SVI qanday MAC-manzilga ega? Ushbu interfeys yoqilganmi? Switch # show ip interface vlan1 d. Kommutatorning Cisco IOS operatsion tizimi toʻgʻrisidagi ma’lumotni oʻrganing. 14 Switch# show version Hozirda ishlab turgan kommutator qaysi Cisco IOS operatsion tizimda ishlaydi? Tizimning fayl obrazi qanday nomlanadi? 2. Tarmoq qurilmasini asosiy koʻrsatkichlarini sozlash 2.1. Kommutatorning asosiy parametrlari: qurilmaning nomi, lokal parollar, MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) banneri, boshqaruv manzili va Telnet orqali kirishlarni sozlang a. Agar kommutatorning NVRAM xotirasida konfiguratsiyaning fayli saqlanmagan boʻlsa, siz imtiyoz rejimda boʻlasiz. Agar qator Switch> ga oʻzgargan boʻlsa enable ni yozing. Switch> enable Switch # b. Global konfiguratsiya rejimiga oʻting. Switch # configure terminal Switch (config) # Global konfiguratsiya rejimini koʻrsatish uchun qator yana oʻzgardi. c. Kommutatorga nom bering. Switch (config) # hostname S1 S1 (config) # d. Parolni shifrlanishini sozlang. S1 (config) # service password-encryption S1 (config) # e. Imtiyoz rejimiga kirish uchun maxfiy parol sifatida class bering. S1 (config) # enable secret class S1 (config) # 15 f. MOTD (qurilmaga kirishda kiruvchini ogohlantiruvchi xabar) bannerini sozlang. S1 (config) # banner motd # Qurilmaga kirish taqiqlanadi # g. Rejimlarga oʻtishdagi oʻtishlarni sozlanganligini tekshiring. S1(config)# exit S1# exit Foydalanuvchi rejimidan imtiyoz rejimiga oʻting. Parol soʻralganda class ni kiriting. S1> enable Password: S1# Izoh: kiritishda Parol koʻrinmaydi. i. Kommutatorning SVI siga IP manzil qoʻyish uchun global rejimga kiring. Bu esa kommutatorni masofadan boshqarish imkoniyatini beradi. S1 kommutatorni masofadagi PC-A kompyuter orqali boshqarishdan oldin kommutatorga IP manzil qoʻyish kerak. Kommutatorning dastlabki xolatidagi konfiguratsiyaga asosan kommutatorni boshqarish VLAN 1 orqali amalga oshiriladi. Kommutatorning ichki virtual interfeys (SVI) VLAN 1 ga IP manzil 192.168.1.100 va tarmoq maskasi 255.255.255.0 ni sozlang. S1(config)# interface vlan1 S1(config-if)# ip address 192.168.1.100 255.255.255.0 S1(config-if)# no shutdown S1(config-if)# exit S1(config)# 3. Console konfiguratsiyasini sozlash Konsol port orqali kirishni ham chegaralash kerak. Dastlabki holatdagi konfiguratsiyaga asosan barcha konsolli ulanishlar parolsiz sozlangan boʻlishi kerak. Konsol xabarlarini uzluksizligini ta’minlash uchun logging synchronous buyrugʻi kiritiladi. S1 (config) # line console 0 16 S1 (config-line) # password cisco S1 (config-line) # login S1 (config-line) #exit S1 (config) # 4. Telnet konfiguratsiyasini sozlash Kommutator telnet orqali kirishga ruxsat berishi uchun, ya’ni masofadan boshqarish uchun virtual bogʻlanish kanali (vty) ni sozlash kerak. Agar vty paroli qoʻyilmasa telnet orqali qurilmaga kirib boʻlmaydi. S1 (config) # line vty 0 15 S1 (config-line) # password cisco S1 (config-line) # login S1 (config-line) # end S1 # 5. SSH konfiguratsiyasini sozlash SSH protokolini sozlashdan oldin kommutatorda tugunning maxsus nomini va tarmoq ulanishining mos keluvchi ko`rsatkichlarini koʻrsatish lozim. 1 – qadam. SSH protokolini borligini tekshirish. SSH protokoli borligini bilish uchun show ip ssh buyrugʻi beriladi. Agar kommutatorda kriptografik funksiyani qoʻllab quvvatlovchi IOS boʻlmasa, bu buyruq ishlamaydi. 2 – qadam. IP domenni sozlash. Tarmoqning IP domenini global konfiguratsiya rejimida ip domain-name domen nomi yordamida koʻrsating. 1.7 – rasmda domen nomi cisco.com qilib olingan. 1.7– rasm. Masofadagi qurilmani boshqarish uchun SSH protokolini sozlash 17 3– qadam. RSA kalitlarini yaratish. IOS ning hamma versiyalarida ham SSH ning 2 versiyasi ishlatilmaydi. SSH ning 1 versiyasida ma’lum zaifliklar mavjud. SSH ni sozlash uchun global konfiguratsiya rejimida ip ssh version 2 buyrugʻi beriladi. Juft RSA kalitlari yaratilganda SSH protokoli avtomatik ishga tushadi. Kommutatorda SSH serverini ishlatish va juft RSA kalitlarini generatsiya qilish uchun global konfiguratsiya rejimida crypto key generate rsa buyrugʻi kiritiladi. RSA kalitlarini yaratishda administratordan modulni uzunligini kiritish talab etiladi. Modulning uzunligi 1024 bit boʻlishi tavsiya etiladi. Uzun modul ishlatilsa xavfsiz boʻladi, lekin uni yaratishda va ishlatishda koʻp vaqt ketadi. 4 – qadam. Foydalanuvchining autentifikatsiyasini sozlash.SSH-server foydalanuvchilarni lokal yoki autentifikatsiya serveri yordamida himoyalashi mumkin. Autentifikatsiyaning lokal usulini ishlatish uchun global konfiguratsiya rejimida username foydalanuvchi nomi secret password buyrugʻi beriladi. Foydalanuvchi uchun admin parol uchun ccna olindi. 5 – qadam. VTY kanalini sozlash. Transport input ssh kanal konfiguratsiya rejimida VTY kanalida SSH protokoli yoqiladi. Kommutatorlarda VTY kanalining diapazoni 0 dan 15 gacha boʻladi. Bunday sozlash SSH protokolidan boshqa barcha ulanishlar (Masalan; Telnet)ni bekor qiladi va kommutatorga faqat SSH protokoli boʻyicha ulanishga ruxsat beradi. Global konfiguratsiya rejimida line vty buyrugʻi beriladi, soʻng SSH ulanish paytida foydalanuvchilarning lokal ma’lumotlar bazasidan lokal autentifikatsiya ishlatilishi uchun kanalning konfiguratsiya rejimida login local buyrugʻi beriladi. 6 – qadam. SSH versiya 2 ni qoʻllash. Odatda SSH ikkala versiya (1 va 2)ni qoʻllab quvvatlaydi. Agar ikkala versiya ishlasa, u holda show ip ssh buyrugʻining natijasi 1.99 versiya deb xabar beradi. 1 versiyada koʻp zaifliklar mavjud. Shu sababli faqat 2 - versiyani ishlatish tavsiya qilinadi. Uni ishlatish uchun global konfiguratsiya rejimida ip ssh version 2 buyrugʻi beriladi. Uzoqdagi qurilmaga xavfsiz ulanishni boshqarish uchun Telnet protokolini oʻrniga SSH protokolini qoʻllash tavsiya etiladi. Telnet da ochiq shifrlanmagan matnli almashish ishlatiladi. SSH protokoli qurilmalar oʻrtasida uzatilayotgan barcha ma’lumotlarni ishonchli shifrlash orqali uzoqdagi qurilma bilan xavfsiz ulanishni ta’minlaydi. 18 6. PC-A kompyuteri uchun IP manzil qoʻying Manzillash jadvaliga muvofiq kompyuterga IP manzil va tarmoq maskasini oʻrnating. Koʻrilayotgan tarmoq uchun asosiy shlyuz kerak emas. Ekranning oʻng tomondagi pastki burchagidagi belgiga sichqonchaning chap tugmasini 2 marta bosing. 2) “Подключение по локальной сети” belgisiga 2 marta sichqonchaning chap tugmasini bosing. 3) Chiqqan oynadan “Protokol Interneta TCP/IP” qatori tanlanib, “свойства” tugmasi bosiladi. 4) Chiqqan oynadan IP-manzil va tarmoq maskasi kiritiladi. 1) 7. Tarmoq bogʻlanishni tekshiring 7.1. Kommutatorning konfiguratsiyasini chiqaring. Console orqali ulangan PC-A kompyuterda kommutatorning konfiguratsiyasini chiqaring. Show run buyrugʻi hozirgi konfiguratsiyani sahifa koʻrinishida chiqaradi. Keyingi qatorlarni koʻrish uchun PROBEL tugmasi bosiladi. a. Bu erda konfiguratsiyaga misol keltirilgan. Kiritgan sozlanishlar sariq rangda ajratilgan. Konfiguratsiyaning boshqa ko`rsatkichlari IOS ning oʻzida oʻrnatilgan sozlanish hisoblanadi. S1# show run Building configuration... Current configuration : 2206 bytes ! version 15.0 no service pad service timestamps debug datetime msec service hostname S1 ! boot-start-marker enable secret 4 06YFDUHH61wAE/kLkDq9BGho1QM5EnRtoyr8cHAUg.2 no aaa new-model system mtu routing 1500 ! ! b. Administrativ VLAN 1 ni ko`rsatkichlarini tekshiring. 7.2. Toʻgʻridan toʻgʻri bogʻlanishni exo soʻrov joʻnatish orqali tekshiring. a. PC-A kompyuterdan kommutatorning SVI interfeysining administrativ manziligi exo soʻrov joʻnating C: \ Users \ User1>ping 192.168.1.100 19 PC-A kompyuter S1 kommutatorning MAC manzilini ARP protokoli yordamida olishi kerak. Birinchi paket uzatmada kutish vaqti tugashi mumkin. Lekin exo – soʻrov amalga oshmasa, qurilmaning bazaviy sozlanishidagi nosozlikni tekshiring va sozlang. 7.3. S1 kommutatorni masofadan boshqarishni tekshiring. Qurilmaga masofadan kirishni Telnet orqali amalga oshiring. Bizning misolda kompyuter va kommutator yonma – yon joylashgan. Ishlab chiqarishda esa kompyuter 1 qavatda, kommutator boshqa qavatda joylashgan boʻlishi mumkin. SHu sababli kommutatorni masofadan boshqarish uchun Telnetdan foydalaniladi. a. PC-A kompyuterning cmd oynasida S1 kommutatorga SVI administrativ manzil orqali ulanish uchun telnet /SSH buyrugʻini kiriting. C:\Users\User1> telnet 192.168.1.100 C:\Users\User1> ssh –l admin 192.168.1.100 b. cisco parolini kiritgandan soʻng foydalanuvchi rejimiga oʻtgan hisoblanadi. Imtiyoz rejimiga oʻting. c. Telnet yoki SSH seansini tugatish uchun exit ni kiriting. 7.4. Kommutatorga kiritilgan oʻzgarishlarni saqlang. Konfiguratsiyani saqlang. S1# copy running-config startup-config Destination filename [startup-config]? [Enter] Building configuration... [OK] S1# Topshiriq  1.8-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzish talab qilinadi;  Router1 va PC0 qurilmalarini bir-biriga mos kabellar yordamida ulang, har biriga ip address bering, qurilmaga nom bering ular uchun telnet protokolini sozlang;  Switch0 va PC1 qurilmalarini bir-biriga mos kabellar yordamida ulang, har biriga ip address bering, qurilmaga nom bering ular uchun ssh protokolini sozlang. 20 1.8-rasm. Tarmoq topologiyasi Nazorat savollari 1. 2. Console porti qaysi holatda ishlatiladi? Kommutator uchun nima sababdan VTY kanalini sozlash kerak? 3. Parolni shifrlanmagan koʻrinishda uzatilmasligi uchun nima qilish kerak? 4. Telnet va SSH protokollari nima maqsadda ishlatiladi? 5. Kompyuterlar qurilmalarga kirishi uchun nima sababdan tarmoq manzili bir xil boʻlishi kerak? 6. Line vty 0 15 buyrugʻi nimani bildiradi? 2 - LABORATORIYA ISHI KOMMUTATORDA PORT XAVFSIZLIGI (PORT SECURITY) NI SOZLASH Ishdan maqsad: Kommutatsiya jadvallari to`ldirilishiga yo`naltirilgan hujumlardan, tarmoqni himoya qilish imkonini beruvchi kommutatorning “port-security” funksiyasini sozlash bo`yicha amaliy ko`nikmalarini hosil qilish. Nazariy qism Port-security funksiyasi kommutatorning biror bir porti orqali tarmoqqa faqat ko`rsatilgan qurilmalar kirishini sozlashga imkon beradi. Ushbu portga kirishga ruxsat berilgan qurilmalar MACmanzillar bo`yicha aniqlanadi. MAC-manzillar dinamik yoki tarmoq administratori tomonidan qo`lda sozlanishi mumkin. Bundan tashqari Port-security funksiyasi portga ulanuvchi tugunlar sonini cheklashga 21 imkoniyat yaratadi, bu esa portga MAC-manzillar sonini ko`rsatish orqali amalga oshiriladi. Yana bir funksiyasi MAC-manzillar jadvali to`ldirilishiga yo`naltirilgan hujumlardan kommutatorni himoyalash hisoblanadi (2.1-rasm). MAC:AA:AA:AA PORT 0/2 MAC:BA:AD:01 Ruxsat berilgan MAC 0/1 AA:AA:AA 0/2 BB:BB:BB 0/3 CC:CC:CC MAC:BA:AD:02 2.1-rasm. Kommutatorda Port Security funksiyasining ishlash tartibi MAC-manzillarga cheklov kiritishning ikkita usuli mavjud: 1. Statik – administrator qaysi manzillar kirishini ko`rsatadi ; 2. Dinamik – administrator nechta manzil kirishini ko`rsatadi va kommutator qaysi manzillar shu vaqtda ko`rsatilgan port orqali murojat qilayotganini eslab qoladi. Port security - Cisco katalizator komutatorlarida foydalanish kerak boʻlgan xususiyat. Ethernet freymlari komutatordan oʻtib, ushbu freymlarda koʻrsatilgan yuboruvchi manzilidan foydalanib MAC manzil jadvalini toʻldiradi. Ushbu jadvalning maksimal hajmi cheklangan, hujumchi uchun uni toʻldirish qiyin emas, tasodifiy qaytish manzillari bilan koʻplab freymlarni yaratadigan maxsus dasturlardan foydalanish kifoya. Bu narsa nega kerak boʻlishi mumkin? MAC-manzil jadvali toʻlib toshgan taqdirda, komutator xab vazifasini bajarishi mumkin - ya'ni barcha qabul qilingan paketlarni barcha portlarga yuborish. Hujumchining keyingi harakati - barcha kiruvchi paketlarni koʻrish uchun sniffer dasturlarini ishga tushirish va hujumchining porti bilan bir xil VLAN orqali oʻtadigan barcha paketlarni ushlaydi. Bunday vaziyatni oldini olish uchun port xavfsizligi funksiyasi barcha komutatorlarda ishlashiga e'tibor qaratish lozim. 22 Ushbu funksiyaning mohiyati quyidagicha: u yoki bu tarzda, har bir port uchun unda paydo boʻlishi mumkin boʻlgan MACmanzillar roʻyxati (yoki raqami) cheklangan, agar portda juda koʻp manzillar koʻrinsa, u holda port oʻchadi. Manzillarni saqlash usullari. Port security MAC manzillarini eslab qolish va qoidabuzarliklarga javob berishning bir necha rejimlarida ishlashi mumkin: – Continuous - har qanday MAC-manzilga ega qurilma kommutator porti orqali cheklovlarsiz ishlashi mumkin; – Static - 0 dan 8 gacha MAC-manzillar statik ravishda kiritilishi mumkin, qolganlari dinamik ravishda oʻrganilishi mumkin; – Configured - 1 dan 8 gacha boʻlgan MAC-manzillar statik ravishda oʻrnatilishi mumkin, manzillarni dinamik ravishda oʻrganish mumkin emas; – Limited-continuous - 1 dan 32 gacha MAC-manzillarni dinamik ravishda oʻrganish mumkin; – Port-access - 802.1X bilan birgalikda tasdiqlangan 802.1X sessiyasining MAC manzilini vaqtincha oʻrganish uchun ishlatiladi. Xavfsizlikning buzilishiga javob berish usullari. Port xavfsizligi uchun quyidagi holatlar xavfsizlikni buzish hisoblanadi: manzil jadvaliga xavfsiz MAC-manzillarning maksimal soni qoʻshilgan va MAC-manzili manzil jadvalida qayd etilmagan xost interfeys orqali kirishga harakat qiladi. Xavfsizlik buzilishlariga javob berishning quyidagi usullari interfeysda sozlanishi mumkin: – none - xavfsiz MAC-manzillar soni portda koʻrsatilgan maksimal chegaraga yetganida, noma'lum manba MAC-manzilga ega paketlar yetarli miqdordagi xavfsiz MAC-manzillar maksimal sonidan kam boʻlmaguncha yoki maksimal son koʻpaytirilguniga qadar ruxsat beriladi. Xavfsizlikni buzish toʻgʻrisida ogohlantirish mavjud boʻlmaydi. – send-alarm - xavfsiz MAC-manzillar soni portda tuzilgan maksimal chegaraga yetganda, noma'lum manba MAC-manzilga ega paketlar, maksimal MAC-manzillar maksimal qiymatdan kam boʻlguncha yoki ruxsat etilgan maksimal sondan kam boʻlguncha tushiriladi. Ushbu rejimda xavfsizlik buzilganida SNMP trap va syslog xabari yuboriladi. 23 – send-disable - xavfsizlikni buzish interfeysni oʻchirilgan holatga keltirishga va darhol oʻchirishga olib keladi. SNMP trap va syslog xabari yuborildi. Agar port bloklangan holatda boʻlsa, uni portsecurity <port-id> clear-intrusion-flag buyrugʻini kiritib, uni ushbu holatdan olib tashlash va keyin konfiguratsiya rejimida activ interfeysini kiritib interfeysni qoʻlda faollashtirish mumkin. Eavesdrop Prevention. Eavesdrop Prevention bu komutatorga noma'lum boʻlgan MAC manzillariga, u yoqilgan portlarga uzatiladigan bir martalik paketlarni uzatishni taqiqlovchi funksiya. Bu ruxsatsiz foydalanuvchilarning eskirgan oʻtish jadvalidan olib tashlangan MAC manzillariga yuboriladigan trafikni tinglashiga yoʻl qoʻymaydi. Eavesdrop Prevention multicast va translyatsiya trafigiga ta'sir qilmaydi. Komutator ushbu trafikni port security ularda tuzilganligidan qat'iy nazar tegishli portlar orqali oʻtkazadi. Interfeysdagi port security sozlamalari ushbu interfeysda Eavesdrop Preventionni avtomatik ravishda yoqadi. Amaliy qism Windows OS da Ethernet adapterining MAC-manzilini ipconfig /all buyrugì yordamida aniqlanadi. Quyidagi 2.2-rasmga kompyuterning MAC-manzili 00-18-DE-C7-F3-FB ko`rinishda keltirilgan. 2.2-rasm. Kompyuter qurilmasining MAC-manzilini ko`rish. 24 Kommutator qurilmasining MAC-manzillar jadvalini ko`rish uchun show mac-address-table buyrugì qoʻllaniladi (2.3-rasm). 2.3-rasm. Kommutator qurilmasining MAC-manzilini ko`rish Kommutatorni himoya qilishning oddiy usullaridan biri bu – ishlatilmayotgan portlarni o`chirib qo`yish hisoblanadi. Ishlatilmayotgan portlarni o`chirish. Ishlatilmayotgan portlarni o`chirish – bu ko`pchilik administratorlar foydalanadigan, tarmoqni ruxsatsiz kirishdan himoya qilishda oddiy usullardan biri. Masalan, agar Catalyst 2960 kommutatori 24 ta portga ega va unda 3 ta FastEthernet portlari ishlatilayotgan bo`lsa, qolgan 21 ta ishlatilmayotgan portlarni o`chirib qo`yish tavsiya etiladi. Buni amalga oshirish uchun har bir ishlatilmayotgan portga alohida kiritiladi va o`chirib qo`yish buyrugì beriladi: Cisco IOSda shutdown Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown Agar keyinchalik portlarni yana ishga tushurish kerak bo`lsa, no shutdown buyrugìdan foydalaniladi: Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#no shutdown Cisco kommutatorlarida Port-security Port-securityni sozlash. Port-security interfeysni sozlash kommutatorning port rejimlar orqali amalga oshiriladi. Ko`pchilik Cisco kommutatorlarida portlar odatda dynamic auto rejimida turadi, ushbu rejim port-security funksiyasiga to`g`ri kelmaydi. Shuning uchun interfeysni trunk yoki access rejimiga o`tkazish kerak: 25 switch(config-if)# switchport mode <access | trunk> Interfeysda port securityni ishga tushurish: switch(config-if)# switchport port-security Xavfsiz MAC-manzillarni sozlash. Manzillarni dinamik saqlash (sticky) buyrugì orqali ishga tushurish: switch(config-if)# switchport port-security mac-address sticky Agar manzillarni statik tarzda kiritish kerak bo`lsa sticky buyrugì o`rniga manzillar yoziladi: switch (config) # interface ethernet 0/1 switch (config-if) # switchport port-security mac-адрес 0050.3e8d.6400 Xavfsiz MAC-manzillarning maksimal soni. switchport portsecurity maximum N – bu bir vaqtda N sonli MAC-manzillar interfeysda ishlashini anglatadi. Masalan: switch(config)# interface Fastethernet0/3 switch(config-if)# switchport mode access switch(config-if)# switchport port-security maximum 3 switch(config-if)# switchport port-security Xavfsizlik buzilishiga javob berish (реагирование) rejimini sozlash Xavfsizlik buzilishiga javob berishning uchta usuli mavjud: switch(config-if)# switchport port-security violation <protect | restrict | shutdown> switchport port-security violation restrict – buzilishga javob berish rjimini ko`rsatish. Bunda, agar interfeysda uchinchi notanish MAC-manzil paydo bo`lsa, undan keluvchi barcha paketlar qabul 26 qilinmaydi. Undan tashqari syslog, SNMP trap, violetion counter ka`bi jurnallashtiruvchilarga xabar jo`natiladi. switchport port-security violation shutdown - buzilish aniqlanganda interfeysni error-disabled holatiga o`tkazadi va o`chiradi. Undan tashqari syslog, SNMP trap, violetion counter ka`bi jurnallashtiruvchilarga xabar jo`natiladi. Ushbu holatdan chiqarish uchun shutdown va no shutdown buyruqlaridan foydalaniladi. Agar interfeysga switchport port-security violation protect buyrugì kiritilgan bo`lsa, unda notanish MAC-manzil paketlari qabul qilinmaydi va xech qanday xabar yaratilmaydi, hamda port shutdown holatiga o`tmaydi. Ushbu usullardan switchport port-security violation restrict ko`pchilik hollarda tavsiya etiladi. MAC-manzillar jadvalini tozalash.Boshqa qurilmalar ulanishi uchun MAC-manzillar jadvalini tozalash: switch# clear port-security [all|configured|dynamic|sticky] [address <mac>|interface <int-id>]: switch #clear port-security all switch #clear port-security configured switch #clear port-security dynamic switch #clear port-security sticky Port-security sozlanishlari haqidagi ma’lumotlarni ko`rish switch# show port-security switch# show port-security interface fa0/3 switch# show port-security address Topshiriq  2.4-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzish talab qilinadi;  Har bir kompyuter uchun IP manzilni sozlang va MAC manzillarni 2.2-rasmda ko`rsatilgandek aniqlang;  Kommutatorning har bir portlariga xavfsizlik ko`rsatkichlarini sozlang;  2.1-jadvalga yuqorida keltirilgan topshiriqlarni kiriting. 27 2.4-rasm. Tarmoq topologiyasi Qurilma Laptop0 Laptop1 Laptop2 Laptop3 Laptop4 Laptop5 SW1 IP-manzil МАС-manzil 192.168.1.1 00E0.F902.D683 192.168.1.2 000B.BE9B.EE4A 192.168.1.3 00D0.5819.04E3 192.168.1.4 0004.9AB9.DAC2 192.168.1.5 00D0.BAC2.8C58 192.168.1.6 0000.0C6E.01E0 N/A N/A Interfeys Fa0 Fa0 Fa0 Fa0 Fa0 Fa0 Fa0/1 SW1 N/A N/A Fa0/2 SW1 SW1 SW2 SW2 SW2 SW2 N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A N/A Fa0/3 Fa0/5-24 Fa0/1 Fa0/2 Fa0/3 Fa0/4 Ishni bajarish tartibi Switch>enable Switch#configure terminal Switch(config)#hostname Sw1 Sw1(config)#interface fa0/1 1. Portni access rejimiga o`zgartirish Sw1(config-if)#switchport mode access 28 2.1-jadval Port rejimlari n/a n/a n/a n/a n/a n/a sticky mac-address 00D0.5819.04E3 violation protect Shutdown restrict restrict Protect maximum 4 2. Portda port-securityni ishga tushurish Sw1 (config-if)#switchport port-security 3. Secure-MAC ni dinamik aniqlashni ko`rsatish Sw1 (config-if)#switchport port-security mac-address sticky Sw1 (config-if)#exit 4. Secure-MAC ni statik aniqlashni ko`rsatish Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security Sw1(config-if)#switchport port-security mac-address 000B.BE9B.EE4A Sw1(config-if)#end 5. Xavfsizlik buzilishigi javob berish rejimini sozlash Sw1(config)#interface fastEthernet 0/3 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport port-security Sw1(config-if)#switchport port-security mac-address sticky Sw1(config-if)#switchport port-security violation protect Sw1(config-if)#end 6. Ishlatilmayotgan portlarni o`chirish Sw1(config)#interface range fastEthernet 0/5-24 Sw1(config-if-range)#shutdown 7. Portda secure-MAC maksimal soni N ni ko`rsatish (Bu buyruq Sw2 kommutatorga tavsiya etiladi) Switch>enable Switch#configure terminal Switch(config)#hostname Sw2 Sw2(config)#interface fa0/4 Sw2(config-if)#switchport mode trunk Sw2(config-if)#switchport port-security maximum 4 Sw2(config-if)#switchport port-security violation restrict 29 8. Natijani tekshirish Switch#show port-security interface fa 0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0001.63B4.E4A6:1 Security Violation Count : 0 9. Sozlamalarni saqlash Switch#copy running-config startup-config Nazorat savollari 1. MAC-manzil bu nima va qurilmalarda qanday aniqlanadi? 2. Kommutatorda port xavfsizligi funksiyasini nima uchun ishlatiladi? 3. Secure-MAC maksimal sonini N qaysi holatlarda ishlatiladi? 4. Port security asosiy atributalari keltiring. 5. Kommutatorning xavfsizligini ta`minlashning yana qanday chorlarini bilasiz ? 3-LABORATORIYA ISHI TARMOQ QURILMALARI XAVFSIZLIGINI TAHLIL QILISH Ishdan maqsad: Cisco kommutatorlarida va marshrutizatorlarida parolni olib tashlash (сброс) bo`yicha amaliy ko`nikmalar hosil qilish. Nazariy qism 30 Qurilma sozlamalariga kirish uchun kerak bo`ladigan parolning yo`qotilishi yoki unutilish holatlari tez-tez uchrab turadi. Ushbu laboratoriya ishida Cisco kommutatorlari va marshrutizatorlarida parollarni olib tashlash (Сброс) jarayoni ko`rib chiqiladi. Quyida keltiriladigan usullar qurilmaga to`g`ridan-to`g`ri konsol kabel orqali ulanishni ko`zda tutadi. Shuning uchun ham qurilma joylashgan xonaga faqat kirish huquqiga ega foydalanuvchilar kirishi, xavfsizlik nuqtai nazaridan e`tiborga olinishi kerak. Ushbu metodikalarning mohiyati quyidagicha: paroli unutilgan yoki yo`qolgan konfiguratsion faylsiz qurilmaning sozlamalariga imtiyozli rejimda (Privileged EXEC) kirish va konfiguratsion faylni almashtirish orqali barcha parollarni o`zgartirish. Cisco marshrutizatorlarida parolni tashlab yuborish. Cisco marshrutizatorlarida parolni tashlab yuborish uchun qurilmaga fizik kira olish kerak, ya`ni konsol kabel orqali ulanish imkoniyati bo`lishi kerak. Marshrutizatorda konfiguratsion registr mavjud bo`lib, ushbu registr marshrutizatorning ishga tushishini boshqaradi va uning qiymatlari energiya talab qiluvchi xotirada saqlanadi. Configuration register – bu marshrutizatorning ishga tushishi ketma-ketligiga javob beruvchi NVRAM da joylashgan 16 bitli registr. Ya`ni marshrutizatorga operatsion tizimni va sozlanish fayllarini qaysi tartibda va qayerdan olishini ko`rsatib beradi. Uning odatiy qiymati – 2102. Qiymatning uchinchi raqami sozlanish fayliga, to`rtinchi raqami esa operatsion tizimga javob beradi. Parollar unitilishi yoki yo`qolishi holatlarida uchinchi raqamni “4” raqamga o`zgartirish kerak bo`ladi. Ko`pchilik marshrutizatorlarda konfiguratsion registrning qiymati – 0x2102 bo`ladi. Agar Cisco marshrutizatoriga kirish huquqi bor bo`lsa, unda konfiguratsion registrning qiymatini quyidagicha tekshirsa bo`ladi: R1#show version Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) M860 processor: part number 0, mask 49 2 FastEthernet/IEEE 802.3 interface(s) 239K bytes of NVRAM. 31 62720K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 Oxirgi qator konfiguratsion registr qiymatini o`z ichiga olgan bo`ladi. Endi unutilgan parolni o`zgartirish jarayoni bosqichmabosqich ko`rib chiqiladi. Birinchi navbatda marshrutizatorga konsol kabel (3.1-rasm.) orqali ulanish lozim (Rollover deb ham nomlanadi). 3.1-rasm. Konsol kabelining ko`rinishi Konsol orqali ulaniladi va keyingi jarayonlarning barchasi konsol port orqali amalga oshiriladi (3.2-rasm). 3.2-rasm. Kompyuterning kommutator qurilmasiga Console kabeli yordamida ulanishi Xizmat ko`rsatish maqsadlarida ishlatiladigan – ROMMON rejimida marshrutizator elektr energiyasi manbasidan o`chiriladi va qayta ishga tushiriladi (3.3-rasm). Marshrutizatorni ROMMON rejimida qayta ishga tushurish uchun odatiy boshlangìch IOS ishga tushish jarayoni to`xtatiladi, buni amalga oshirish terminalga bog`liq. Masalan, hyperterminalda – 32 “Ctrl-Break”, teratermda – “Alt-B”, Cisco Packet Tracer emulyatorida – “Ctrl-Break” va h.k. 3.3-rasm. Cisco Packet tracer muhitida Router qurilmasining elektr ta’minotini o`chirib/yoqish tugmasi Qurilmaga ulanib, u qayta ishga tushiriladi va IOS ishga tushirilishida Ctrl+Break tugmalari qo`shilib bosiladi: System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc. Initializing memory for ECC .c2811 processor with 524288 Kbytes of main memory Main memory is configured to 64 bit mode with ECC enabled Readonly ROMMON initialized Self decompressing the image : ############## monitor: command "boot" aborted due to user interrupt rommon 1 > Shu tarzda, ROMMON (ROM monitor) rejimiga kiriladi. Bu yerda konfiguratsiya registri confreg 0x2142 buyrugì bilan o`zgartiriladi, natijada marshrutizator Flash xotiraga yozilgan konfiguratsion faylni ishga tushirilishida ishlatmaydi. Bundan keyin reset buyrugìni kiritish orqali marshrutizator qayta ishga tushiriladi. 33 rommon 1 > confreg 0x2142 rommon 2 > reset Endi marshrutizator konfiguratsion faylsiz ishga tushadi va eski konfiguratsion faylni tiklash maqsadida quyidagi imtiyozli rejimda copy startup-config running-config buyrugì orqali amalga oshiriladi. Router>enable Router#copy startup-config running-config Destination filename [running-config]? 700 bytes copied in 0.416 secs (1682 bytes/sec) Router1# %SYS-5-CONFIG_I: Configured from console by console Shundan soʻng, parol bilan himoyalangan eski konfiguratsiya qoʻllaniladi, lekin bu yerda imtiyozli rejimda turganligi uchun telnet va konsol uchun yangi parollarni oʻrnatishingiz mumkin. Router1#conf t Router1(config)#enable password NewPassword Router1(config)#enable secret NewPassword Router1(config)#line vty 0 4 Router1(config-line)#password NewPassword Router1(config-line)#login Router1(config-line)#exit Router1(config)#line console 0 Router1(config-line)#password NewPassword Router1(config-line)#login Parollar o`zgartirildi, endi konfiguratsion registrning eski qiymatini qayta joyiga qo`yish kerak, buning uchun config-register 0x2102 buyrugì kiritiladi Router1(config)# config-register 0x2102 Bundan keyin yangi konfiguratsiya saqlanadi va marshrutizator qayta ishga tushiriladi. 34 Router1#copy running-config startup-config Router1#reload Marshrutizator qayta ishga tushirilgach, yangi parollar bilan saqlangan konfiguratsion faylni o`ziga oladi. Yana, no service password-recovery buyrugìni ishlatish orqali parol tashlab yuborilishi imkoniyatini o`chirib qo`ysa bo`ladi, buning uchun yuqorida ta`kidlanganidek qurilmaga fizik kirish imkoniyati kerak. Cisco Catalyst kommutatorlarida parolni olib tashlash (сброс) Cisco Catalyst kommutatorlarida parolni olib tashlash uchun qurilmaga fizik kirish imkoniyati kerak. Kommutatorga konsol kabeli orqali ulaniladi, tok energiyasi manbasidan o`chiriladi va qayta ishga tushiriladi, ishga tushirilish vaqtida oldi panelidagi “MODE” tugmasi bosib turiladi (3.4-rasm.). 3.4-rasm. “MODE” tugmasining kommutatorda joylashish o`rni Shu tarzda odatiy ishga tushish to`xtatiladi. Loading "flash:/c2960-lanbase-mz.122-25.FX.bin"... ############################# Boot process terminated. switch: Bundan keyin flash_init va load_helper buyruqlari kiritiladi va dir flash buyrugʻidan foydalanish orqali flash xotiraning tarkibini koʻrish imkoniyati paydo bo`ladi. switch: flash_init Initializing Flash... flashfs[0]: 3 files, 0 directories flashfs[0]: 0 orphaned files, 0 orphaned directories flashfs[0]: Total bytes: 64016384 35 flashfs[0]: Bytes used: 3059643 flashfs[0]: Bytes available: 60956741 flashfs[0]: flashfs fsck took 1 seconds. ...done Initializing Flash. switch: load_helper switch: dir flash: Directory of flash:/ 1 -rw- 3058048 c2950-i6q4l2-mz.121-22.EA4.bin 3 -rw- 979 config.text 2 -rw- 616 vlan.dat 60956741 bytes available (3059643 bytes used) Yuqoridagi flash xotiraning tarkibidan config.text, ya`ni kommutatorning konfiguratsion fayli ko`rib chiqiladi. Kommutator config.text konfiguratsion faylisiz ishga tushirilishi uchun nomi o`zgartiriladi. Bu rename flash:config.text flash:config.old buyrugì bilan amalga oshiriladi va tekshiriladi switch: rename flash:config.text flash:config.old switch: dir.flash Directory of flash:/ 1 -rw- 3058048 c2950-i6q4l2-mz.121-22.EA4.bin 3 -rw- 979 config.old 2 -rw- 616 vlan.dat 60956741 bytes available (3059643 bytes used) Bundan keyin, ishga tushishni boot buyrugì orqali tiklaymiz. switch: boot Kommutator konfiguratsiya faylini topa olmaydi va usiz ishga tushadi. Endi imtiyozli rejimga kiriladi va konfiguratsiya fayli nomi qayta o`z nomiga rename flash:config.old flash:config.text buyrugì orqali o`zgartiriladi va copy flash:config.text system:running-config buyrugì orqali u ishga tushiriladi. Switch>en Switch#rename flash:config.old flash:config.text 36 Switch#copy flash:config.text system:running-config Konfiguratsion fayl ishga tushirilgandan keyin, yangi parol kirilsa bo`ladi Switch1#conf t Switch1(config)#enable secret NewPassword Switch1(config)#enable password NewPassword Switch1 (config)#line vty 0 4 Switch1 (config-line)#password NewPassword Switch1 (config-line)#login Switch1 (config-line)#exit Switch1 (config)#line console 0 Switch1 (config-line)#password NewPassword Switch1 (config-line)#login Topshiriq  3.5-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzish talab qilinadi;  Marshrutizator xavfsizlik sozlanmalarini sozlang va ROMMON rejimiga kirib parolni bizishni amalga oshiring. 3.5-rasm. Tarmoq topologiyasi Nazorat savollari 1. Tarmoq qurilmalarining xavfsizligini ta’minlash vositalari. 2. Unitilgan parollarni qayta tiklashning qanday usullarini bilasiz? 3. Qaysi holatlarda parollar qayta tiklanadi yoki yangi parol o`rnatiladi? 4. Cisco qurilmalarida qanday xotira turlari mavjud? 37 4–LABORATORIYA ISHI REZERVLASH PROTOKOLLARI(STP, RSTP) VA AGREGATSIYALASH PROTOKOLLARI(LACP, PagP) NI SOZLASH Ishdan maqsad: Kanal pogʻonasi protokollari-STP (spanningtree protocol), RSTP protokollari va LACP, PAgP аgregatsiyalash protokollarining sozlash va ishlash tamoyillari bo`yicha amaliy ko`nikmalarni hosil qilish. Nazariy qism STP protokoli OSI modelining kanal pogònasi protokoli bo`lib, IEEE 802.1d standartida asosida ishlaydi. STP protokoli 1985 yilda Radia Perlman tomonidan ishlab chiqilgan. Protokolning quyidagi spesifikatsiyalari mavjud: PVSP+, RSTP, MSTP, SPM. STP protokolining asosiy maqsadi Ethernet tarmogìdagi ixtiyoriy topologiyada bir-biriga bog`langan bir nechta kommutatorlar o`rtasidagi kanalda pet (petel) hosil bo`lishini oldini olishga qaratilgan. STP protokoli tarmoqda kommutatorlar bir-biri bilan bog`lanishlarning mantiqiy daraxtini yaratishga asoslangan. Daraxtning yuqori qismida ildiz kommutator (Root switch) va undan keyingi filial, ya’ni ildiz bo`lmagan kommutatorlar joylashadi. Kommutatorlar bir-biri bilan bog`langan holatda, asosiy magistral kanalni ishlatib, boshqa kanallarni fizik jihatdan bog`lab, lekin mantiqiy jihatdan avtomatik bloklab qo`yish imkoniyatini beradi (4.2rasm). Tarmoqda asosiy bo`lgan ildiz kommutatorni tanlashda kommutatorlarning eng kichik imtiyoz (prioritet) qiymati yoki uning ID qiymati asosida tanlanadi. Bu yerda ID qiymati kommutatorning MAC manzilini anglatadi, ya’ni eng kichik qiymati tarmoqda ildiz kommutator hisoblanadi. Kommutatorlar har 2 soniyada bir-biriga Hello BPDU kadrlarni jo`natib qaysi biri ildiz kommutatorligini belgilab olishadi. Qo`shnilardan olingan kadrlarning imtiyoz va ID identifikator qiymatlarini taqqoslanadi va ularning qiymatlari yuqoriroq bo`lsa, u ildiz lavozimiga da’vo qilishni to`xtatadi va gòlibga Hello BPDU xabarini tarqatishni boshlaydi. Shuni bilishimiz kerakki, imtiyozlar taqqoslanganda ular teng qiymat bo`lib qolsa, u holda ularning ID taqqoslash orqali ildiz kommutator tanlanadi. 38 4.1 - rasm. STP protokoli asosida tuzilgan tarmoq topologiyasi Daraxtni qurish jarayoni quyidagi bosqichlardan iborat:  Ildiz kommutatorni tanlash (root switch);  Ildiz portlarni tanlash (root port);  Loyihalashgan portlarni tanlash (designated port). Loyihalashgan port-P01 Loyihalashgan port-P02 ROOT Root port- P03 root port-P06 bloklangan port-P05 A komutator B komutator Broadcast yo nalishi Loyihalashgan port-P01 4.2-rasm. STP protokolidagi port turlari Rapid Spanning Tree Protocol (RSTP). Rapid STP (RSTP) STPni ishlashini sezilarli darajada yaxshilaydi. Avvalo, portlarni yonish vaqtining pasayishi va yuqori barqarorlikni qayd etish lozim. Bunga 39 katta darajada Cisco Systems tomonidan STPning kengaytmasi sifatida ishlatilgan gʻoyalar tufayli erishildi. RSTP IEEE 802.1w standartida tavsiflangan (keyinchalik 802.1D-2004 ga kiritilgan). Per-VLAN Spanning Tree Protocol (PVSTP). Per-VLAN STP (PVSTP), nomidan koʻrinib turibdiki, VLANlardan foydalanish uchun STP funksiyasini kengaytiradi. Ushbu protokol doirasida har bir VLANda alohida STP nusxasi ishlaydi. Dastlab, PVST protokoli faqat ISL magistrallari orqali ishlagan, keyin PVST + versiyasi ishlab chiqilgan boʻlib, bu juda keng tarqalgan 802.1Q magistrallari orqali ishlashga imkon berdi. PVST + va RSTP xususiyatlarini birlashtirgan dasturlar mavjud, chunki bu kengaytmalar protokolning mustaqil qismlariga ta'sir qiladi, natijada (Cisco terminologiyasida) Rapid PVST + paydo boʻldi. PVST + STP bilan mos keladi va hatto koʻp tarmoqli freymlardan foydalangan holda PVST + yoki Rapid PVST + ni qoʻllabquvvatlamaydigan komutatorlar orqali "aloqa" qiladi. Biroq, Cisco Systems bir xil tarmoqdagi turli ishlab chiqaruvchilarning komutatorlarini aralashtirmaslikni tavsiya qiladi, chunki har xil STP dasturlari va oʻzgarishlari oʻrtasida moslik muammolari paydo boʻlmaydi. Multiple Spanning Tree Protocol (MSTP) IEEE 802.1s standartida tavsiflangan va keyinchalik IEEE 802.1Q-2003 bilan qo`shimchalar kiritilgan. MSTP protokoli bir nechta STP protokoli nusxasini qo`llab-quvvatlash maqsadida IEEE 802.1w (RSTP) standartini takomillashtirilgan ko`rinishi. U tarmoqni tezroq ishlashini, VLAN sozlangan tarmoqda yuklamani balanslash imkoniyatini ta’minlaydi. 802.1s MSTP standartiga qo`shimcha 802.1Q standartida qo`shimcha kiritilgan. Kanallarni agregatsiyalash (ingilizcha link aggregation) – bir nechta fizik kanalni bitta mantiqiy kanalga birlashtirish imkonini beradigan texnologiya. Agregatsiya kanal fizik kanal bo`ylab mantiqiy kanalda trafiklarni taqsimlash va bitta yoki bir nechta jismoniy kanallarni bitta mantiqiy kanalda ichki rad etilish holati sodir bo`lganda zaxiralash imkonini beradi. Bunday texnologiya kanal o`tkazish qobilyatini va ishonchligini oshirish imkonini beradi. Tarmoq topologiyasi 4.3-rasmda keltirilgan 40 Port-channel 1 Port-channel 1 Interface range fa0/1-2 Channel-group1mode on Interface range fa0/1-2 Channel-group1mode on 4.3 - rasm. Kommutatorlar o`rtasida agregatsiya kanalning tashkil etilishi Agregatsiya kanallar ikkita masalani yechish imkonini beradi: - Kanalni o`tkazish qobiliyatini oshirish; - Kanallardan biri qatordan chiqqanda zahirani ta’minlaydi. Kanallarni birlashtirish ikkita komutator, komutator va marshrutizator oʻrtasida, komutator va xost oʻrtasida sozlanishi mumkin. Koʻpgina agregatsiyalash texnologiyalari faqat parallel ulanishlarni birlashtirishga imkon beradi. Ya'ni, bitta qurilmada boshlanib, boshqasida tugaydi. Agar komutatorlar orasidagi ortiqcha ulanishlarni koʻrib chiqilsa, unda ulanishlarni birlashtirish uchun maxsus texnologiyalarni ishlatmasdan ma'lumotlar STP tomonidan bloklanmagan faqat bitta interfeys orqali uzatiladi. Ushbu parametr kanallarning ortiqcha miqdorini ta'minlashga imkon beradi, ammo oʻtkazuvchanlikni oshirish imkoniyatini bermaydi. Kanallarni agregatsiyalash texnologiyalari barcha interfeyslarni bir vaqtning oʻzida ishlatishga imkon beradi. Shu bilan birga, qurilmalar translyatsiya qilinmasligi uchun efirga uzatiladigan freymlarning tarqalishini boshqaradi (shuningdek, koʻp tarmoqli va noma'lum bitta translyatsiya). Buning uchun komutator odatdagi interfeys orqali translyatsiya kadrini qabul qilganda uni faqat bitta interfeys orqali yuboradi va yigʻilgan kanaldan efirga uzatishni qabul qilganda, u uni qaytarib yubormaydi. Kanallarni agregatsiyalash kanalning oʻtkazuvchanligini oshirishga imkon beradigan boʻlsada, birlashtirilgan kanallardagi interfeyslar orasidagi yukni mukammal muvozanatlashini ta’minlamaydi. Birlashtirilgan kanallarda yuklarni muvozanatlash texnologiyalari, qoida tariqasida, quyidagi mezonlarga muvofiq muvozanatlashishga yoʻnaltirilgan: MAC manzillari, IP-manzillar, 41 manba yoki manzil portlari (bitta mezon yoki ularning kombinatsiyasi boʻyicha). Bazi bir interfeysning haqiqiy ish yukini hech qanday tarzda hisoblab boʻlmaydi. Shuning uchun bitta interfeys boshqalarga qaraganda koʻproq yuklanishi mumkin. Bundan tashqari, muvozanatlash usulini notoʻgʻri tanlagan holda (yoki boshqa usullar mavjud boʻlmasa) yoki ba'zi topologiyalarda, aslida barcha ma'lumotlar, bitta interfeys orqali uzatiladigan vaziyat yuzaga kelishi mumkin. Ba'zi tarmoq ma’murlari turli xil qurilmalarni agregatsiyalash protokollari yordamida birlashtirishadi. Bunda, nafaqat kanal, balki qurilmaning oʻzi ham zaxiralanadi. Bunday texnologiyalar, odatda, tarqatilgan kanallar agregatsiyasi deb ataladi (koʻplab ishlab chiqaruvchilar ushbu texnologiya uchun oʻz nomlariga ega). Cisco qurilmalarida kanallarni agregatsiyalash uchun uchta variantdan biri foydalanilishi mumkin: – LACP (Link Aggregation Control Protocol) standart protokoli; – PAgP (Port Aggregation Protocol) Cisco protokoli; Protokollardan foydalanmasdan statik agregatsiyalash. 4.1-jadval. Agregatsiyalash protokollari xususiyatlari Xususiyatlari PAGP LACP Kengaytmasi Port Aggregation Protocol Link Aggregation Control Protocol Standarti Cisco Proprietary Open Standard (IEEE 802.3ad) Konfiguratsiya rejimlari * Auto * Desirable * Active * Passive Multicast manzil 01-00-0C-CC-CC-CC 01-80-c2-00-00-02 Qoʻllanilishi Etherchannel Etherchannel va 802.3ad Yaratilgan vaqti Konfiguratsiyasi 1990 yildan oldin Switch(config-if)#channel-group 1 mode 42 2000 yilda Switch(config-if)#channelgroup 1 mode EtherChannel mantiqiy kanal fizik kanal bo`ylab kadrlarni taqsimlaydi, raqamli belgiga ega kadrda manzil to`g`risida axborotlarga tegishli ikkilik shablonda ifodalaydi, dastlabki bosqichida mantiqiy kanalda fizik kanallardan biri tanlaniladi. EtherChannel kanallarni taqsimlash Cisco xeshlash algoritmiga asoslanadi. Cisco qurilmasida kanalni agregatsiyalashni sozlashda bir nechta terminlardan foydalaniladi: - EtherChannel — kanallarni agregatsiyalash texnologiyasi. Termin kanallarni agregatsiyalash uchun Cisco da foydalaniladi. EtherChannel dan ekranlanmagan juft o`ramli kabellar (UTP) yoki bir va ko`p moddali optik tolali kabellar orqali lokal tarmoqda kommutatorlarni, marshrutizatorlar, serverlar, mijozlar bir-biri bilan bog`lashda foydalaniladi. – port-channel — mantiqiy interfeys, ya’ni fizik interfeyslarni birlashtiradi. – channel-group — bu buyruq qaysi mantiqiy interfeys fizik interfeysda joylashganligini va qaysi agregatsiyalash rejimidan foydalanishi ko`rsatadi. Port-channel 1 Port-channel 1 fa0/2 fa0/2 fa0/1 fa0/1 Interface range fa0/1-2 Channel-group1mode on Interface range fa0/1-2 Channel-group1mode on 4.7-rasm. Port-channel mantiqiy interfeys Bu terminlar kanallarni agregatsiyalashda foydalaniladi. Sxemada channel-group buyrugìdan keyingi son Port-channel mantiqiy interfeys raqamini bildiradi. Ikki tarafi Agregatsiyalangan kanalli mantiqiy interfeys raqami bir-biriga mos kelishi kerak. Raqam bitta kommutatorda turli port guruhlarini farqlashda foydalaniladi. channel-group buyruqlari sw(config-if)# channel-group <channel-group-number> mode <<auto [non-silent] | desirable [non-silent] | on> | <active | passive>> Buyruq parametrlari: 43   active —LACP ulaydi, passive —faqat agar LACP xabari kelayotgan bo`lsa LACP ulaydi ,   desirable —PAgP ulaydi, auto —faqat agar PAgP xabari kelayotgan bo`lsa PAgP ulaydi, on —faqat Etherchannel ulaydi. LACP asosida kanal pogònasida EtherChannel konfiguratsiyasini sozlash  Port-channel 1 Port-channel 1 Fa0/11-14 Fa0/11-14 4.8-rasm. LACP asosida EtherChannel Agregatsiyalashni sozlashdan avval jismoniy interfeyslarni o`chirib qo`yish kerak bo`ladi. Ularni bir tarafini o`chirib qo`yish yetarli bo`ladi (misolda sw1 taraf o`chirilgan), so`ng ikki tarafda agregatsiyalash sozlanadi va interfeyslar ulaniladi. Amaliy qism STP, RSTP protokollarini ishlash prinsipi 4.6-rasmda ko`rsatilgan topologiya bo`yicha Sw1, Sw2, Sw3, Sw4 kommutatorlar uchun asosiy konfiguratsiyalarni sozlang. 4.6-rasm. Tadqiq qilinayotgan tarmoq tuzilishi 44 Yuqorida keltirilgan tarmoq topologiyasida kommutatorlar orasida asosiy ildiz kommutator (root) Sw1 hisoblanadi. Chunki bu topologiyada Sw1 boshqa kommutatorlarga nisbatan MAC adresi kichik. Shu sababli Sw1 kommutatorga barcha kirish va chiqish interface portlari yashil holatdagini ko`rishimiz mumkin. Buni tekshirish uchun Sw1#show spanning-tree buyrugì orqali amalga oshiriladi. Natijada Sw1 kommutatorning MAC-Address 000D.BD2C.15B9 yoki asosiy bo`lgan kommutatorni (This bridge is the root) bilishimiz mumkin (4.7-rasm). 4.7-rasm. Sw1 bo`yicha spanning-tree natijalari 4.8-rasmda Sw2 kommutatorning show spanning-tree buyrugì orqali ko`rishimiz mumkinki, asosiy bo`lgan ildiz kommutatorni belgilaydigan qismida fastEthernet 0/4 ko`rsatilgan. Sw2 FastEthernet 0/4 portida root switch (sw1) joylashgan. 4.8-rasm. Sw1 bo`yicha spanning-tree natijalari 45 Tarmoq topologiyasida asosiy bo`lgan kommutatorni (ildiz kommutatorni) belgilashimiz uchun bir nechta usullar mavjud: 1-usul. Tarmoqda asosiy bo`lgan kommutatorni aniq tayinlash: spanning-tree vlan vlan-id root primary – tarmoq uchun asosiy bo`lgan kommutatorni (ildiz kommutatorni) ko`rsatish uchun foydalaniladi (masalan, spanning-tree vlan 1 root primary) spanning-tree vlan vlan-id root secondary - tarmoq uchun asosiy bo`lgan kommutatorga (ildiz kommutatorga) zaxira kommutatorni ko`rsatish uchun foydalaniladi (masalan, spanning-tree vlan 1 root secondary). Misol uchun tarmoqda asosiy bo`lgan kommutator (root)ni boshqasiga ya`ni Sw2 o`zgartiramiz. Switch>enable Switch#configure terminal Switch(config)#hostname Sw2 sw2(config)#spanning-tree vlan 1 root primary sw2(config)#exit sw2#show spanning-tree 4.9-rasmda Sw2 kommutatorning root switch bo`lganligini ko`rishimiz mumkin. 4.9-rasm. Root switchni almashtirish jarayoni 2-usul Kommutatorning muhimliligi (priority) bo`yicha Rootni tayinlash: spanning-tree vlan vlan-id priority value - tarmoq uchun asosiy bo`lgan kommutatorni (ildiz kommutatorni) ko`rsatish uchun 46 foydalaniladi. Muhimliligi (priority) kichik kommutator asosiy kommutator hisoblanadi. (masalan, spanning-tree vlan 1 priority 24576). Tarmoqdagi kommutatorlar dastlabki holatda barchasi bir xil bo`ladi (Priority 32769). 4.10-rasm. Root switchni koʻrish jarayoni Priorityni o`rnatishda qadamlar soniga e’tibor beriladi, ya’ni har bir qadam uzunliligi 4096 ga teng. 4.11-rasm. Switchni muhimliligi (priority) belgilash Bu usul bo`yicha sw4 ni root switch qilib sozlaymiz (Eslatma: sw2ga sozlangan kommandani olib tashlang. sw2(config)#no spanning-tree vlan 1 root primary). Switch>enable Switch#configure terminal Switch(config)#hostname Sw4 sw4(config)#spanning-tree vlan 1 priority 24576 Quyida keltirilgan tarmoq parametrlari sozlangandan keyin kommutatorlar bir-biriga xabar jo`natib, LAN tarmogì uchun ildiz kommutatorni tanlab oladi. Hozirgi mavjud konfiguratsiyalarni ko`rish uchun: show spanning-tree – kommutator uchun ko`prik (most) muhimliliklarini ko`rishda foydalaniladi show spanning-tree active - spanning-tree protokolida ishlayotgan faqat faol interfeyslarning konfiguratsiyasini ko`rsatadi. 47 show spanning-tree summary —port holatlari haqida ma’lumot beradi. show spanning-tree root — ildiz ko`prigining konfiguratsiyasi haqida ma’lumot beradi. show spanning-tree detail —port haqida batafsil ma’lumot olish show spanning-tree interface — STP interfeysi va konfiguratsiyasi holati haqida ma’lumot beradi. LACP, PAgP protokollarini ishlash prinsipi 4.12-rasm. Sw4 komutatorni asosiy qilib belgilash Sw1 da EtherChannel sozlash: sw1(config)# interface range f0/11-14 sw1(config-if-range)# shutdown sw1(config-if-range)# channel-group 1 mode active Creating a port-channel interface Port-channel 1 Sw2 da EtherChannel sozlash: sw2(config)# interface range f0/11-14 sw2(config-if-range)# channel-group 1 mode passive Creating a port-channel interface Port-channel 1 Sw1 ga jismoniy interfeyslarni ulash: 48 sw1(config)# interface range f0/11-14 sw1(config-if-range)# no shutdown Etherchannel to`g`risida axborotlar 4.13-rasmda keltirilgan. 4.13-rasm. sw2 port-channel to`g`risida axborotlar PAgP yordami bilan kanal pogòna EtherChannel sozlash Port-channel 1 Port-channel 1 Fa0/11-14 Fa0/11-14 4.14-rasm. PAgP asosida EtherChannel Agregatsiyalashni sozlashdan avval jismoniy interfeyslarni o`chirib qo`yish kerak bo`ladi. Ularni bir tarafini o`chirib qo`yish etarli bo`ladi (misolda sw1 taraf o`chirilgan), so`ng ikki tarafda agregatsiyalash sozlanadi va interfeyslar ulaniladi. 1. Sw1 da EtherChannel sozlash: sw1(config)# interface range f0/11-14 sw1(config-if-range)# shutdown sw1(config-if-range)# channel-group 2 mode desirable Creating a port-channel interface Port-channel 2 2. Sw2 da EtherChannel sozlash: sw2(config)# interface range f0/11-14 49 sw2(config-if-range)# channel-group 2 mode auto Creating a port-channel interface Port-channel 2 3. Sw1 ga jismoniy interfeyslarni ulash: sw1(config)# interface range f0/11-14 sw1(config-if-range)# no shut Etherchannel to`g`risida axborotlar 4.15-rasmda keltirilgan. 4.15-rasm. Etherchannel to`g`risida axborotlar Topshiriq  4.16-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Switch5 va Switch6 komutatorlari uchun agregatsiyalash protokollarini sozlang;  Switch7 va Switch8 komutatorlari uchun rezervlash protokollarini sozlang.  Qurilgan topologiyani testlab ko’ring. 4.16-rasm. Tarmoq topologiyasi 50 Nazorat savollari 1. STP protokolining vazifalarini keltiring? 2. Tarmoqda ildiz kommutator deganda nimani tushunasiz va u qanday tanlanadi? 3. STP protokolida qanday port turlari ishlatiladi va ular qanday aniqlanadi.? 4. Agregatsiya kanal vazifasi va turlarini keltiring? 5. Kanal pogònasi protokollarini keltiring? 6. PAgP protokolini tavsiflang? 7. LACP protokolini tavsiflang? 5-LABORATORIYA ISHI VTP PROTOKOLI SOZLASH Ishdan maqsad: Lokal tarmoqda yaratilgan VLAN lar oʻrtasida marshrutizatsiyani amalga oshirish va VTP protokolini ishlash tamoyili bo`yicha amaliy ko`nikmalarni hosil qilish. Nazariy qism Virtual LAN trunking protocol (VTP) - bu VLANlarni samarali boshqaruvini ta’minlaydiga qulay vosita hisoblanadi. Bu bir vaqtning oʻzida tarmoqdagi bir nechta komutatorlarga avtomatik ravishda VLAN xususiyatlarini tayinlash imkonini beradi. Ushbu vositaning qulayligini toʻliq baholash uchun katta tarmoqdagi tarmoq ma'muri sifatida tasavvur qilish kerak. Aytaylik, ushbu tarmoq 500 ta komutatorga va 100 dan ortiq VLANga ega. VLANlar oʻzlarining sozlanmalariga muvofiq magistrallar orqali ma'lumot almashishi uchun VLAN raqamlar ularni ishlab chiqarishda ishtirok etadigan barcha komutatorlarda bir xil boʻlishi kerak. Bundan tashqari, u yoki bu VLANlarning nima uchun moʻljallanganligini kuzatib borish masalan, "ushbu tarmoq ijro etuvchi boshqaruv uchun, bu tarmoq esa oddiy xodimlar uchun" va boshqalarni hisobga olish kerak. Hatto ushbu (juda tipik) xususiyatlarning oʻzi ham bunday katta tarmoqdagi VLANlarni sozlash bilan bogʻliq qanday qiyinchiliklar mavjudligini tushunishga imkon beradi. Agar foydalanuvchi porti notoʻgʻri VLANga joylashtirilgan boʻlsa, nima boʻlishini tasavvur qilish kifoya, 51 chunki kimdir VLAN 115 oʻrniga VLAN 151ni notoʻgʻri kiritishi mumkin? Ushbu muammoni hal qilishda yordam berish uchun VTP dasturiy ta'minoti tarmoq ma'muri tomonidan VLAN sozlanmalarini avtomatik ravishda amalga oshiradi va VLAN nomlari va raqamlarini bitta komutatorda aniqlashga imkon beradi va keyin butun korxona boʻylab tarqatiladi. Shuni ta'kidlash kerakki, VTP dasturi barcha komutatorlarga VLAN ma'lumotlarini tarqatmaydi (chunki bu aksariyat tarmoqlarda muammoli hodisalarni sodir boʻlishiga sabab boʻlishi mumkin); boshqa komutatorlarga faqat quyidagilar (ism, raqam va boshqa asosiy ma'lumotlar) yuboriladi. Ushbu maqsadga erishish uchun birinchi navbatda VTP dasturiy ta'minoti (VTP protokoli ishlagandan soʻng) barcha magistral portlarda VLAN konfiguratsiyasi toʻgʻrisidagi ma'lumotlarni yuboradi. Shunday qilib, qoʻshni komutatorlarga topologiyada VLANlarning mavjudligi va ularning konfiguratsiyasi toʻgʻrisida ma'lumot beriladi. Keyin ushbu komutatorlar VLAN ma'lumotlarini ularga biriktirilgan komutatorlarga tarqatadi va hokazo. Ish rejimlari (VTP Modes). VTP dasturi komutatorda uchta rejimdan birida ishlashi mumkin: mijoz, server va transparent. Ushbu rejimlar quyida tavsiflangan. Mijoz rejimi. Ushbu rejimda komutator oʻz domeniga xos boʻlgan VTP e'lonlarini qabul qiladi va tarqatadi. Ushbu e'lon bilan komutator VLAN konfiguratsiyasiga oʻzgartirish kiritadi. Komutator mijoz rejimida boʻlganda, VLAN konfiguratsiyasiga toʻgʻridan-toʻgʻri oʻzgartirish kiritilmaydi. Shuning uchun, mijoz rejimida komutatorning VLAN konfiguratsiyasiga oʻzgartirishlar faqat VTP protokoli yordamida amalga oshirilishi mumkin. Server rejimi. Ushbu rejimda komutator, shuningdek, boshqaruv domeni bilan bogʻliq boʻlgan VTP xabarnomalarini qabul qiladi va tarqatadi, shuningdek, yangi e'lonlarni yaratadi. Ushbu rejim sizga VLAN ma'lumotlarini toʻgʻridan-toʻgʻri komutatorning oʻzida oʻzgartirish, shu jumladan VLANlarni boshqarish domenidan qoʻshish va olib tashlashga imkon beradi. VTP boshqaruv domeni konfiguratsiyasini oʻzgartirish konfiguratsiya versiyasi raqamini yangilashga olib keladi. Ushbu yangilanish boshqaruv domenidagi barcha komutatorlarni oʻzlarining VTP konfiguratsiyalarini yangi ma'lumotlar bilan yangilashga majbur qiladi. Odatda har bir 52 boshqaruv domenida faqat bitta VTP-server boʻlishi kerak; Bundan tashqari, ushbu komutatorlarning konfiguratsiyasini oʻzgartirish huquqlarini diqqat bilan bajarish kerak. Aks holda, boshqaruv domeni boʻylab tarqaladigan xatolar yuzaga kelishi mumkin. (agar konfiguratsiyani qayta koʻrib chiqish raqami yetarlicha katta boʻlsa, bu xatolarni tuzatish juda koʻp vaqt talab qilishi mumkin). Transparent rejimi. Transparent rejimda VTP ma'lumotlari yoʻnaltiriladi, ammo ushbu xabar tarkibidagi VLAN konfiguratsiyasi ma'lumotlari e'tiborga olinmaydi. Qarama-qarshi rejimda toʻgʻridantoʻgʻri komutatordagi VLAN konfiguratsiyasiga oʻzgartirish kiritishga ruxsat beriladi, ammo bunday konfiguratsiya oʻzgarishlari faqat ushbu lokal komutatorga tegishli boʻladi. VTP boshqaruv domenlari. VTP boshqaruv domenlari VTP konfiguratsiyasini boshqarish uchun ishlatiladi. Boshqarish domenida VTP protokolida qatnashadigan barcha komutatorlar bilishi kerak boʻlgan ma'lum bir nom bor, boshqacha aytganda, agar komutator VTP domeniga tegishli boʻlmasa, u ushbu domenga yuborilgan VLAN ma'lumotlarini olmaydi. Komutatorlar faqat bitta VTP domeniga tegishli boʻlishi mumkin va VTP domeni toʻgʻri ishlashi uchun bir qator shartlarni bajarish kerak. Avvalo, VTP domeni yonma-yon boʻlishi kerak. VTP ma'lumotlari bitta komutatordan ikkinchisiga oʻtishi uchun ushbu komutatorlarning barchasi uzilishlarga ega boʻlmagan bitta VTP domeniga tegishli boʻlishi kerak, masalan, 1-rasmda koʻrsatilgan konfiguratsiyada VTP e'lonlari hech qachon Diablo komutatoriga yetib bormaydi, chunki bitta domendagi boshqa komutatorlarga bitta ulanish ulanmagan. 5.1-rasmda koʻrsatilganidek, Countach va Diablo komutatorlari orasidagi aloqa mavjud boʻlsa. Bundan tashqari, VTP ma'lumotlari faqat magistral kanallar yaratilgan portlar orqali tarqaladi. Shuning uchun, magistral konfiguratsiyasi notoʻgʻri boʻlsa yoki magistral ishlamay qolsa, VTP ma'lumotlari toʻxtatiladi. Agar ushbu shartlar bajarilmasa, VTP dasturi toʻgʻri ishlamasligi mumkin. Shuning uchun, odatda, tarmoqdagi barcha komutatorlarni bir xil VTP boshqaruv domeniga tegishli ravishda sozlash osonroq boʻladi. 53 Jalpa Countach F355 Diablo 5.1-rasm. VTP ma'lumotlari domenlardan biriga (Lamborghini) yetib bormaydigan konfiguratsiyaga misol VTP versiyalari. VTP protokoli tarmoqda ishlatilishi mumkin boʻlgan ikkita versiyaga ega: 1-versiya va 2-versiya. Ushbu versiyalar mutlaqo bir-biriga mos kelmaydi va ikkala versiya bir vaqtning oʻzida bir xil tarmoqqa joylashtirilsa, tartibsizlik paydo boʻladi. VTP 2versiyasi oddiygina 1-versiyada mavjud boʻlmagan ba'zi bir qoʻshimcha funksiyalarni oʻz ichiga oladi, ammo ulardan faqat ikkitasi, aksariyat tarmoqlar uchun juda muhimdir: virtual tarmoqlarni qoʻllab-quvvatlaydigan token Ring va bir nechta transparent rejim. Token Ring VLAN ma'lumotlarini Token Ring muhitida tarqatish uchun komutatorda VTP dasturidan foydalanishga imkon beradi. Ushbu funksionallik koʻpgina zamonaviy tarmoqlarda kamdan kam qoʻllaniladi. Shu bilan birga, koʻp domenli transparent VTPni qoʻllab-quvvatlash bir nechta VTP domeni ishlatilgan har qanday tarmoq muhitida juda muhimdir. VTP 1-versiyasi transparent rejimda ishlaydigan komutatorlarning faqat VTP reklamasidagi boshqaruv domeni oʻzlariga mos keladigan boʻlsa, VTP ma'lumotlarini tarqatishini belgilaydi. Boshqacha qilib aytganda, agar transparent rejimda ishlaydigan komutator Corp VTP domeniga tegishli boʻlsa va Org domeni uchun reklama oladigan boʻlsa, u holda bu reklamani boshqa komutatorlarga uzatmaydi. Boshqa tomondan, VTP-ning 2versiyasida, barcha VTP-reklamalar domendan qat'iy nazar tarqatiladi. VTP (ingliz. VLAN Trunking Protokol) - lokal hisoblash tarmogì protokoli bo`lib, tanlangan trank portda VLAN haqida axborot almashish uchun xizmat qiladi. VTP – vlanlarni dinamik tarzda sinxronizatsiyalash uchun ishlatiladi; 54 3 xil rejimi mavjud: 1.Client – VLAN larni o`zgartirish, o`chirish, yaratish mumkin emas; 2.Transparent – bunda, switchda sinxronizatsiya amalga oshirilmaydi, switch faqat o`tkazuvchi vazifasini bajaradi; 3. Server – VLAN bilan istalgan funksiyalarni bajarish mumkin; Vtp serverda vlan yaratiladi Clientlar avtomatik serverda yaratilgan VLAN larni qabul qiladi. Xavfsizlik ta ‘minlash maqsadida bu protokolda Client switch vlan yarata olmaydi, faqat foydalanuvchilarni o`zlariga biriktira oladi. Tarmoqda qandaydir oʻzgarish yuz bersa (masalan yangi vlan qo`shilishi yoki olib tashlash) faqat VTP server orqali amalga oshiriladi. VTP-da uchta xabar turi mavjud: 1. Advertisement requests Summary Advertisement Alert uchun mijozdan serverga soʻrov taqdim etadi 2. Summary advertisements Ushbu standart xabar server har 5 daqiqada yoki konfiguratsiyani oʻzgartirgandan soʻng darhol yuboradi. 3. Subset advertisements VLAN konfiguratsiyasini oʻzgartirgandan soʻng, shuningdek, ogohlantirish soʻrovidan keyin darhol yuboriladi. VLAN ma'lumotlar bazasining yangi versiyasi serverdan olgan mijoz uni boshqa barcha trank portlarga uzatadi, agar uning orqasida yana VTP Client lari va VTP Transparent lari bo`lsa, ular ham ushbu yangilanishlarni oladi. VTP protokolining bazaviy sozlamasi switch(config)#vtp mode - bu yerda kerakli rejim tanlanadi: server, client, transparent yoki off. Protokol versiyasi tanlanadi: Switch(config)# vtp version 3 Domen va parol kiritiladi: Switch(config)# vtp domain domen nomi Switch(config)# vtp password пароль [hidden | secret] 55 Kerakli rejimga oʻtiladi: Switch(config)# vtp mode server | client | transparent | off Yuqoridagi buyruqlardan soʻng VTP yoqiladi, biroq, zarur vaqtda uni ma’lum bir interfeyslarda oʻchirib qoʻyish ham mumkin: Switch(config-if) # no vtp Protokol sozlamalarini koʻrish uchun quyidagi buyruqlarni kiritish kerak: Switch# show vtp status Switch# show vtp devices Switch# show vtp interface Switch# show vtp added counters Kommutatsiyalangan internet tarmoqlarida VLANlar segmentatsiya va tashkilotning moslashuvchanligini ta'minlaydi. VLANlar qurilmalarni lokal tarmoq ichida birlashtirishga imkon beradi. VLAN ichidagi qurilmalar guruhi, xuddi qurilmalar bitta kabel yordamida ulanganidek aloqada boʻladi. VLANlar jismoniy ulanishlarga emas, balki mantiqiy aloqalarga asoslangan. VLANlar tarmoq ma'muriga foydalanuvchi yoki qurilmaning jismoniy joylashuvidan qat'i nazar, funksiyalari, dizayn guruhlari yoki dasturlari boʻyicha segmentlarga boʻlishga imkon beradi. VLAN ichidagi qurilmalar, xuddi boshqa infratuzilmani boshqa VLANlar bilan boʻlishgan taqdirda ham, oʻzlarining mustaqil tarmogʻida boʻlganidek tutishadi. Komutatordagi har qanday port VLANga tegishli boʻlishi mumkin. Unicast, translyatsiya va multicast paketlari yuboriladi va faqat ushbu paketlarning manbai boʻlgan VLAN ichidagi soʻnggi nuqtalarga yuboriladi. Har bir VLAN alohida mantiqiy tarmoq deb hisoblanadi va ushbu VLANga tegishli boʻlmagan stansiyalarga yoʻnaltirilgan paketlar marshrutizatsiyani qoʻllab-quvvatlovchi qurilma orqali uzatilishi kerak. VLAN tarmogì LAN ning bir nechta segmentlarini qamrab oluvchi mantiqiy keng eshittirishli (broadcast) domenni yaratadi. VLAN tarmogì quyidagi afzalliklarga ega: 56 Xavfsizlik: muhim ma`lumotlarga ega bo`lgan guruhlarni tarmoqning boshqa qismlaridan ajratiladi. Uning yordamida axborotni maxfiyligini buzilish ehtimolligini kamaytiradi; Xarajatlarni kamaytirish: o`tkazish qobiliyatidan samarali foydalanish va qimmat tarmoq inrastrukturalari yangilanishini arzonligi; Samaradorlikni oshirish: tarmoqni ikkinchi pogònada bir nechta mantiqiy guruhlarga bo`lish (keng eshittirishli domen) ortiqcha tarmoq trafigini sonini kamaytiradi va samaradorlikni oshiradi; Keng eshittirishli domenlarni kamaytiradi: tarmoqni VLANlarga ajratish keng eshittirishli domendagi qurilmalar sonini kamaytiradi. Аxborot texnologiyalari bo`limining samaradorligini oshirish: VLAN tarmogì tarmoqni boshqarishni soddalashtiradi. Yangi kommutatorni ekspluatatsiyaga kiritishda ko`rsatilgan portlarda kerakli qoida va jarayonlarni amalga oshiradi. Аxborot texnologiyalari mutaxassislari VLAN ga tegishli nom bilan tarmoqni funksiyasini tezda aniqlashadi. Har bir VLAN tarmoqda qaysidir bir IP tarmoqqa tegishli bo`ladi. VLAN ni loyihalashda tarmoq adreslashining ierarxik tizimini amalga oshirishni inobatga olish lozim. Vlan tarmoqlari asosan 2 xil diapazoda bo`ladi: 1.Standart – 1 dan 1005 gacha 2.Kengaytirilgan – 1006 dan 4094 gacha Kommutator portlari VLAN 1 ga oldindan biriktirilgan bo`ladi (default vlan, native vlan = 1) 5.2-rasm. VLAN 1 ga biriktirilgan portlar roʻyxati 57 Amaliy qism Ishni bajarish tartibi:5.3-rasmda ko`rsatilgan topologiya bo`yicha Sw1, Sw2 kommutatorlar uchun asosiy konfiguratsiyalarni sozlang. 5.3-rasm. VLAN tarmogì asosida tuzilgan tarmoq topologiyasi Qurilma Laptop0 Laptop1 Laptop2 Laptop3 Laptop4 Laptop5 Laptop6 Laptop7 Laptop8 Laptop9 Laptop10 Laptop11 SW1 IP-manzil 192.168.10.1 192.168.10.2 192.168.30.1 192.168.30.2 192.168.20.1 192.168.20.2 192.168.10.3 192.168.10.4 192.168.20.3 192.168.20.4 192.168.30.3 192.168.30.4 - SW2 - Gateway VLAN ID 192.168.10.254 vlan 10 192.168.10.254 vlan 10 192.168.30.254 vlan 30 192.168.30.254 vlan 30 192.168.20.254 vlan 20 192.168.20.254 vlan 20 192.168.10.254 vlan 10 192.168.10.254 vlan 10 192.168.20.254 vlan 20 192.168.20.254 vlan 20 192.168.30.254 vlan 30 192.168.30.254 vlan 30 Vlan 10,20,30 Vlan 10,20,30 58 Interface Fa0/1 Fa0/2 Fa0/5 Fa0/6 Fa0/3 Fa0/4 Fa0/1 Fa0/2 Fa0/3 Fa0/4 Fa0/5 Fa0/6 Fa0/7 5.1-jadval Port rejimlari Access Access Access Access Access Access Access Access Access Access Access Access Trunk Fa0/7 Trunk Sw1 va Sw2 kommutatorlarda VLAN (10, 20, 30) yaratish va unga mos ravishda nom berilishi (bugalteriya, student, dekanat). Switch>enable Switch#conf terminal Switch(config)#hostname Sw1 Sw1(config)#vlan 10 Sw1(config-vlan)#name bugalteriya Sw1(config-vlan)#exit Sw1(config)#vlan 20 Sw1(config-vlan)#name student Sw1(config-vlan)#exit Sw1(config)#vlan 30 Sw1(config-vlan)#name dekanat Sw1(config-vlan)#exit Switch>enable Switch#conf terminal Switch(config)#hostname Sw2 Sw2(config)#vlan 10 Sw2(config-vlan)#name bugalteriya Sw2(config-vlan)#exit Sw2(config)#vlan 20 Sw2(config-vlan)#name student Sw2(config-vlan)#exit Sw2(config)#vlan 30 Sw2(config-vlan)#name dekanat Sw2(config-vlan)#exit Switch da yaratilgan Vlanlarni ko`rish. 5.4-rasm.Yaratilgan VLANlarni koʻrish 59 Kommutator portlarini Vlan ID larga biriktirish Sw1(config)#interface fastEthernet 0/1 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport access vlan 10 Sw1(config-if)#exit Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport access vlan 10 Sw1(config-if)#exit Sw1(config)#interface fastEthernet 0/3 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport access vlan 20 Sw1(config-if)#exit Sw1(config)#interface fastEthernet 0/4 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport access vlan 20 Sw1(config-if)#exit Sw1(config)#interface fastEthernet 0/5 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport access vlan 30 Sw1(config-if)#exit Sw1(config)#interface fastEthernet 0/6 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport access vlan 30 Sw1(config-if)#exit Sw2(config)#interface fastEthernet 0/1 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 10 Sw2(config-if)#exit Sw1(config)#interface fastEthernet 0/2 Sw1(config-if)#switchport mode access Sw1(config-if)#switchport access vlan 10 Sw1(config-if)#exit Sw2(config)#interface fastEthernet 0/3 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 20 Sw2(config-if)#exit Sw2(config)#interface fastEthernet 0/4 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 20 60 Sw2(config-if)#exit Sw2(config)#interface fastEthernet 0/5 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 30 Sw2(config-if)#exit Sw2(config)#interface fastEthernet 0/6 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 30 Sw2(config-if)#exit 5.5-rasm. VLAN IDga komutator portlarini biriktirish Sw1 va Sw2 kommutatorlar o`rtasida trunk rejimini sozlash va magistral liniya bo`yicha aniq VLAN ID ta’yinlash. Sw1(config)#interface fastEthernet 0/7 Sw1(config-if)#switchport mode trunk Sw1(config-if)#switchport trunk allowed vlan 10,20,30 Sw1(config-if)#end Sw1#show running-config 5.6-rasm. Sw1 va Sw2 komutatorlari oʻrtasida magistral(trunk) rejimini sozlash Yuqorida keltirilgan buyruq bitta kommutatorga sozlansa yetarli boladi, sababi 2 chi kommutator 1 chi kommutatorga ulangan interfeysini (fa0/7) avtomatik trunk rejimini o`tkazadi. 61 VLAN lar oʻrtasida marshrutizatsiyani sozlash. Lokal tarmoqda yaratilgan VLAN lar oʻrtasida marshrutizatsiyani sozlashning 3 xil usuli mavjud: - Demonstrating the legacy inter-VLAN routing. - Router-on-a-Stick. - Switch Based Inter Vlan Routing. Bu laboratoriya ishida VLAN lar oʻrtasida marshrutizatsiyani Router-on-a-stick (ROS) usulidan foydalanamiz. 5.7-rasm. VLAN oʻrtasida marshrutizatsiyalashning ROS usuli Sw1(config)#interface fastEthernet 0/8 Sw1(config-if)#switchport mode trunk Router>enable Router#conf t Router(config)#interface fastEthernet 0/1 Router(config-if)#no shutdown Router(config)#interface fastEthernet 0/1.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.254 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastEthernet 0/1.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.254 255.255.255.0 Router(config-subif)#exit 62 Router(config)#interface fastEthernet 0/1.30 Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address 192.168.30.254 255.255.255.0 Router(config-subif)#exit 2 topshiriq 5.8-rasmda keltirilgan topologiyani yarating. Oʻzingiz uchun topologiyadagi qaysi kommutatorlar Client, Transparent, Server ekanligini belgilab oling. 5.8-rasm. VTP bo`yicha tuzilgan tarmoq topologiyasi VTP SERVER Switch(config)#vtp version 2 Switch(config)#vtp mode server Switch(config)#vtp domain tuit Switch(config)#vtp password cisco Switch(config)#vlan 10 Switch(config)#name student Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config)#name kafedra Switch(config-vlan)#exit Switch(config)#vlan 30 Switch(config-vlan)#name test Switch(config-vlan)#exit Switch(config)#interface range fastEth 0/1-2 63 Switch(config-if-range)#switchport mode trunk VTP Transparent Switch(config)#vtp version 2 Switch(config)#vtp mode transparent Switch(config)#vtp domain tuit Switch(config)#vtp password cisco Switch(config)#vlan 10 Switch(config)#name student Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config)#name kafedra Switch(config-vlan)#exit Switch(config)#vlan 30 Switch(config-vlan)#name test Switch(config-vlan)#exit Switch(config)#interface fastEthernet 0/2 Switch(config-if-range)#switchport mode trunk VTP client Switch(config)#vtp version 2 Switch(config)#vtp mode client Switch(config)#vtp domain tuit Switch(config)#vtp password cisco Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit Switch(config)#interface fastEthernet 0/4 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 30 Switch(config-if)#exit 64 Transparent switch natijalari Client switch natijalari Topshiriq  5.9-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  VTP protokolini sozlang va tarmoqlarni o’zaro ROS usuli yordamida ulashni amalga oshiring; 65  Qurilgan topologiyani testlab ko’ring. 5.9-rasm. Tarmoq topologiyasi Nazorat savollari 1. VLAN adreslar diapazoni qancha? 2. Bitta kommutator qurilmasida nechtagacha vlan ID yaratish mumkin? 3. Vlan lar o`rtasida marshrutizatsiyaning qanday usullari mavjud. 4. VTP da client switch nimani anglatadi? 5. VTP da server switch nimani anglatadi? 6. VTP da transparent switch nimani anglatadi? 7. Qaysi turdagi switch asosiy tashabbuskor hisoblanadi? 6 - LABORATORIYA ISHI RIP, EIGRP, OSPF VA BGP PROTOKOLLARI ASOSIDA DINAMIK MARSHRUTLASHNI SOZLASH Ishdan maqsad: Dinamik marshrutizatsiya RIP, EIGRP, OSPF, BGP protokollari asosida qurilgan tarmoqda xavfsizlikni ta’minlash bo`yicha amaliy ko`nikmalarni hosil qilish. 66 Nazariy qism IP texnologiyasida marshrutlash jarayoni umuman tarmoq samaradorligi va ishlashiga ta'sir qiluvchi asosiy omillardan biridir. "Marshrutlash" tushunchasi bir nechta ma'nolarni oʻz ichiga oladi, ulardan biri ma'lumotni joʻnatuvchidan qabul qiluvchiga yetkazishdir. IT muhitida marshrutlash - bu maxsus tarmoq qurilmasi marshrutizator yordamida tarmoqlar oʻrtasida ma'lumotlar paketlarining harakatlanish marshrutini qoʻshimcha ravishda hisoblashdir. Marshrutlar statik ya’ni tarmoq ma'muri tomonidan oʻrnatilishi mumkin, yoki dinamik ya’ni tarmoq topologiyasi toʻgʻrisidagi ma'lumotlarga asoslangan ma'lum marshrutlash algoritmlariga (protokollariga) muvofiq tarmoq qurilmalari tomonidan hisoblab chiqilishi mumkin. Statik marshrutlash sodda, uni sozlash oson va qoʻshimcha marshrutizator dasturini talab qilmaydi. Statik marshrutlash tarmoq resurslarini iste'mol qilmaydi va marshrutlash ma'lumotlarini tarqatish uchun protsessor vaqtini talab qilmaydi. Biroq, statik marshrutlash yetarlicha moslashuvchan emas; bu tarmoqdagi nosozliklarni chetlab oʻtishga yoki topologiyadagi oʻzgarishlarni hisobga olishga imkon bermaydi. Statik marshrutlash jadvali juda kichik boʻlishi mumkin. Ushbu misol uchun ikkita yozuv yetarli: biri xost toʻgʻridan-toʻgʻri ulangan tarmoqqa, ikkinchisi esa barcha yoʻnalishlarga olib boradigan standart yoʻnalishga ishora qiladi. Ilova lokal tarmoqdagi kompyuter uchun moʻljallangan ma'lumotlar diagrammasini yaratganda, marshrutlash jadvalidagi birinchi yozuv dasturiy ta'minot uchun ushbu datagram toʻgʻridan-toʻgʻri manzilga yetkazilishi kerakligi toʻgʻrisida koʻrsatma boʻlib xizmat qiladi. Agar ma'lumotlar bazasi boshqa biron bir tarmoqqa tegishli boʻlsa, unda jadvaldagi ikkinchi yozuv dasturga marshrutizatorga datagrammani yuborishini aytadi. Boshqa tomondan, dinamik marshrutlash, statik marshrutlashning koʻplab cheklovlarini yoʻq qiladi. Dinamik marshrutlashning asosiy gʻoyasi shundan iboratki, tarmoq topologiyasida marshrutizatorlar oʻrtasida ma'lumot uzatish uchun marshrutlash protokoli deb nomlangan maxsus protokoldan foydalaniladi. 67 Dinamik marshrutizatsiya protokollari IP-tarmoq marshrutizatorlariga optimal marshrut jadvalini (tanlangan mezonlar asosida) avtomatik ishlab chiqish va tarmoq topologiyasida sodir boʻladigan oʻzgarishlarga mos holda uni dinamik ravishda oʻzgartirib borish imkonini beradi. Dinamik marshrutlash quyidagicha klassifikatsiyalanadi (6.1-rasm). Dinamik marshrutizatsiya protokollari Ichki marshrutizatsiya protokollari Masofa-vektor protokollari RIPv1 IGRP RIPv2 EIGRP Tashqi marshrutizatsiya protokollari Aloqa kanal holati bo’yicha marshrutizatsiya protokollari OSPF IS-IS Vektor yo’li bo’yicha marshrutizatsiya protokollari BGP 6.1-rasm. Dinamik marshrutizatsiya protokollari klassifikatsiyasi. Dinamik marshrutlash protokollarining oʻzi bir necha mezonlarga muvofiq tasniflanishi mumkin. Algoritmlari boʻyicha: Masofaviy-vektor protokollari(Distance-vector Routing Protocols): - RIP Aloqa kanali holati boʻyicha protokollari(Link-state Routing Protocols): - OSPF - IS-IS Ba'zan klassik masofa-vektor protokollari oʻrtasidagi sezilarli farqlarni ta'kidlash uchun uchinchi sinf rivojlangan masofaviy-vektorli protokollar(advanced distance-vector) ajralib turadi. - EIGRP 68 Qoʻllash sohasiga koʻra, ular quyidagilarga boʻlinadi: Domenlararo marshrutlash protokollari (EGP): - BGP Domen ichidagi yoʻnaltirish protokollari (IGP): - OSPF - RIP - EIGRP - IS-IS RIP. RIP masofaviy vektor algoritmiga asoslangan va keng qoʻllaniladi. RIP (Routing Information Protocol) - bu eng oddiy marshrutlash protokollaridan biri. Kichik kompyuter tarmoqlarida qoʻllaniladigan marshrutizatorlarga marshrutlash ma'lumotlarini dinamik ravishda yangilashga imkon beradi (yoʻnalish va masofa), uni qoʻshni routerlardan olish imkonini beradi. Protokolning asosiy afzalligi shundaki, uni sozlash oson va yuqori malakali xizmat koʻrsatuvchi xodimlar talab qilinmaydi. Protokol ochiq va deyarli barcha tarmoq qurilmalari ishlab chiqaruvchilarining tarmoq qurilmalarini qoʻllab-quvvatlaydi. RIP protokolining ikkinchi versiyasi MD5 xeshlash algoritmi asosida aniq matnda (shifrlanmagan) marshrutlash boʻyicha ma'lumotlarning tasdiqlangan almashinuvini qoʻllab-quvvatlaydi. RIP - bu marshrut metrikasi sifatida qadamlar(xop) asosida ishlaydigan masofaviy vektorli marshrutlash protokoli. Uning asosiy xususiyatlari: - marshrutni tanlashda koʻrsatkichlar sifatida oʻtish (xop) soni qoʻllaniladi; - xoplar soni 15 dan oshsa, paket tashlanadi; - Odatda har bir RIP marshrutizator har 30 soniyada toʻliq marshrutlash jadvalini tarmoqqa uzatadi, natijada past tezlikli aloqa liniyalariga koʻproq yuk tushadi; - RIP UDP port 520 yordamida TCP / IP modelining 4qatlamida (ilova qatlami) ishlaydi. 69 Ishonchli tarmoq RIPV2 MD5 RIPV2 MD5 RIPV2 MD5 Ishonchsiz tarmoq 6.2-rasm. RIPv2 protokolida autentifikatsiya Protokol tarmoq ishonchliligi uchun yuqori talablarga ega boʻlmagan lokal tarmoqlar va malakasi past tarmoq ma'murlari uchun keng tarqalgan. RIPv2 GNS3 (Graphical Network Simulator) muhitida qoʻllanilganligi 6.3-rasmda keltirilgan. RIPning asosiy operatsiyalari juda sodda va quyida tavsiflangan juda oddiy qoidalardan iborat: - marshrutizator yuklangandan soʻng, u biladigan amalga oshiriladigan yagona marshrutlar - bu toʻgʻridan-toʻgʻri ulangan tarmoqlarga yoʻnalishlar. - RIP 1-versiyasiga koʻra, marshrutizator barcha ma'lum tarmoqlar haqidagi ma'lumotlarni toʻgʻridan-toʻgʻri ulangan barcha tarmoqlarga uzatadi. Buning uchun ishlatiladigan paketlarga yangilanishlarni qabul qiladi. - RIP marshrutizatorlari RIP translyatsiyalarini qabul qilishadi. Bu ularga boshqa marshrutizatorlardan oʻzlari olishlari mumkin boʻlmagan tarmoqlar haqida ma'lumot olishlariga imkon beradi. - RIPda ishlatiladigan metrika - bu sakrashlar soni (bu koʻrsatkichni norasmiy ravishda marshrutizatorlar soni sifatida belgilash mumkin) va har bir tarmoq uchun RIP translyatsiyalarida 70 reklama qilinadi. RIP uchun ruxsat etilgan maksimal sakrash soni 15 hisoblanadi. - RIP marshrutizatoridan olingan har qanday marshrut ma'lumotlari ushbu marshrutizator orqali marshrut bilan bogʻliq deb taxmin qilinadi. Boshqacha qilib aytadigan boʻlsak, agar A marshrutizator B marshrutizatorga yangilanish yuborgan boʻlsa, u holda B marshrutizator ushbu yangilanishga kiritilgan tarmoqlarga navbatdagi oʻtish tezligining oxirida joylashgan deb taxmin qiladi. - Yangilanishlar ma'lum vaqt oraligʻida yuboriladi. 6.3-rasm. GNS3 muhitida RIPv2 protokol bo`yicha qurilgan tarmoq topologiyasi EIGRP. EIGRP (Enhanced Interior Gateway Routing Protocol) protokoli- bu turli topologiyalar va muhitlar uchun mos boʻlgan ichki shlyuz protokoli. Yaxshi ishlab chiqilgan tarmoqda EIGRP protokoli minimal tarmoq trafigini sarflaydi. Cisco Systemsning EIGRP protokoli - bu IGRPning asl versiyasining takomillashtirilgan versiyasi hisoblanadi. Protokol gibrid va Diffuzatsion-yangilash algoritmiga (DUAL) asoslangan. EIGRPning asosiy afzalliklari quyidagilardir: - normal ishlash vaqtida tarmoq resurslaridan juda kam foydalanish; faqat dastlabki aloqa paketlar barqaror tarmoqda uzatiladi; 71 - oʻzgarish sodir boʻlganda, faqat marshrut jadvalidagi oʻzgarishlar tarqaladi, butun marshrut jadvali emas; bu marshrutlash protokolining oʻzi tarmoqqa qoʻyadigan yukni kamaytiradi; - tarmoq topologiyasining oʻzgarishi uchun qisqa yaqinlashish vaqti (ba'zi holatlarda yaqinlashish deyarli bir zumda boʻlishi mumkin); EIGRP - bu diffuzion yangilash algoritmi (DUAL) yordamida tarmoq ichidagi manzilga eng qisqa yoʻlni hisoblab chiqadigan kengaytirilgan masofaviy vektor protokoli. EIGRP quyidagilarni taqdim etadi: - faqat ma'lum bir vaqtda talab qilinadigan yangilanishlar yuboriladigan tizim; bunga qoʻshnilarni topish va parvarish qilish orqali erishiladi; - marshrutizator tomonidan siklsiz yoʻllarni aniqlash usuli; - tarmoqdagi barcha marshrutizatorlar uchun topologik jadvallardan yaroqsiz marshrutlarni olib tashlash jarayoni; - yoʻqolgan manzilga boradigan yoʻllarni qidirishda qoʻshni tugunlarni soʻroq qilish jarayoni. EIGRPning soʻnggi versiyasi hujumchilarning marshrut jadvali yozuvlarini yozishlariga toʻsqinlik qiladigan va ularni MD5 xeshlash algoritmi asosida tasdiqlaydigan xavfsizlik xususiyatiga ega (6.6rasm). Buxoro Toshkent 192.168.1.6 192.168.1.2 192.168.1.5 Samarqand 192.168.1.1 6.4-rasm. EIGRP protokolida autentifikatsiya 72 6.5-rasm. GNS3 muhitida EIGRP protokol bo`yicha qurilgan tarmoq topologiyasi OSPF. (Open Short-est Path First Protocol (OSPF)) Hozirda nisbatan koʻp qirrali va korporativ tarmoqlarda sozlanishi oson boʻlgan dinamik marshrutlash protokoli hisoblanadi. Dastlab, protokol murakkab topologiyalarga ega boʻlgan (65 536 marshrutizatorgacha) yirik tarmoqlarda ishlashga moʻljallangan edi. U bogʻlanish holati algoritmiga asoslangan va tarmoq holatidagi oʻzgarishlarga yuqori qarshilik koʻrsatadi. OSPF (Open Shortest Path First) - bu kanal bogʻlanishi holati texnologiyasiga asoslangan dinamik marshrutlash protokoli boʻlib Dijkstra algoritmidan(Dijkstra’s algorithm) foydalanib, eng qisqa yoʻlni topadi. Biznes uchun ushbu protokoldan foydalanish quyidagi afzalliklarga ega: - xatolarga bardoshlik. Biron bir marshrutizator ishlamay qolsa, ma'lumot almashinuvi darhol boshqa marshrutga oʻtadi, bu esa tarmoqning ishlamay qolishini oldini oladi; 73 - tejamkorlik. Tugunlar orasidagi aloqa ishonchli tarzda zaxiralanadi va strukturani oʻzgartirish katta mehnat xarajatlarini talab qilmaydi. Shunday qilib, tizimni ta'minlaydigan koʻplab xodimlarni saqlab qolish shart emas. - xavfni kamaytirish. Ushbu texnologiyadan foydalanish ishlamay qolish xavfini, shuningdek tizimning texnik xizmat koʻrsatuvchi xodimlarga bogʻliqligi xavfini sezilarli darajada kamaytiradi. OSPF dinamik marshrutlash protokoli sifatida qanday ishlashi quyidagi diagrammada berilgan. 6.6-rasm. OSPF protokolida autentifikatsiya BGP (ing. Border Gateway Protocol, chegaraviy shlyuz protokoli) Internetdagi asosiy dinamik marshrutlash protokoli hisoblanadi. BGP protokoli boshqa dinamik marshrutlash protokollaridan farqli oʻlaroq, marshrut ma’lumotlarini alohida marshrutlagichlar oʻrtasida emas, balki butun avtonom tizimlar oʻrtasida almashish uchun moʻljallangan va shu sababli, tarmoqdagi marshrutlar haqida ma’lumotlardan tashqari, avtonom tizimlarga yoʻnalishlar toʻgʻrisida ham ma’lumot olib boradi. Hozirda bu Internetdagi asosiy dinamik marshrutlash protokoli hisoblanadi. 74 BGP protokoli avtonom tizimlar (inglizcha AS - autonomous system), ya'ni marshrutlarni aniqlash uchun domen ichidagi marshrutlash protokolidan foydalanadigan yagona texnik va ma'muriy nazorat ostidagi marshrutizatorlar guruhlari oʻrtasida qismtarmoqlarga kirish imkoniyati toʻgʻrisida ma'lumot almashish uchun moʻljallangan. Paketlarni boshqa marshrutizatorlarga yetkazib berishni aniqlash uchun oʻzlari va domenlararo marshrutlash protokoli. Oʻtkazilgan ma'lumot ushbu tizim orqali kirish mumkin boʻlgan AS roʻyxatini oʻz ichiga oladi. Eng yaxshi marshrutlarni tanlash tarmoqda qabul qilingan qoidalarga asoslanadi. BGP sinfsiz adreslashni qoʻllab-quvvatlaydi va marshrut jadvallarini qisqartirish uchun marshrut sarhisobidan foydalanadi. Protokolning toʻrtinchi versiyasi 1994 yildan beri amal qiladi, avvalgi barcha versiyalari eskirgan. BGP, DNS bilan birga, Internetning ishlashini ta'minlaydigan asosiy mexanizmlardan biridir. BGP protokoli yordamida ma’lumot almashadigan marshrutizatorlar tarmoqlar haqidagi ma'lumotlar bilan bir qatorda ushbu tarmoqlarning turli xil atributlari uzatiladi, ular yordamida BGP eng yaxshi marshrutni tanlaydi va marshrut siyosatini tuzadi. Yoʻnalish haqida ma'lumot bilan uzatiladigan asosiy xususiyatlardan biri bu ma'lumot oʻtgan avtonom tizimlarning roʻyxati. Ushbu ma'lumotlar BGPga tarmoqning avtonom tizimlarga nisbatan qayerdaligini aniqlashga, keraksiz marshrutlarni yoʻq qilishga va shuningdek, qoidalarni sozlash uchun ishlatilishiga imkon beradi. Marshrut bir avtonom tizimdan boshqasiga bosqichma-bosqich amalga oshiriladi. Barcha BGP qoidalari asosan tashqi/qoʻshni avtonom tizimlarga nisbatan tuzilgan. Ya'ni, ular bilan oʻzaro munosabatlar qoidalari tavsiflangan. BGP katta hajmdagi ma'lumotlar bilan ishlaganligi sababli (IPv4 uchun jadvalning hozirgi hajmi 450 mingdan ortiq marshrutni tashkil qiladi), uning konfiguratsiyasi va ishlash tamoyillari ichki dinamik marshrutlash protokollaridan (IGP) farq qiladi. BGP eng yaxshi marshrutlarni yoʻlning texnik xususiyatlariga (tarmoq kengligi, kechikish va hk) asoslanib emas, balki siyosat asosida tanlaydi. Lokal tarmoqlarda, eng muhimi, tarmoqning yaqinlashish tezligi, oʻzgarishlarga javob berish vaqti va ichki 75 dinamik marshrutlash protokollaridan foydalanadigan marshrutizatorlar, marshrutni tanlashda, qoida tariqasida, yoʻlning ba'zi texnik xususiyatlarini taqqoslashadi, masalan, kanallarning oʻtkazuvchanligi. Ikkala provayderning kanallarini tanlashda koʻpincha qaysi kanalning texnik xususiyatlari yaxshiroq boʻlishi emas, balki kompaniyaning ba'zi ichki qoidalari muhim ahamiyatga ega. Masalan, qaysi kanal kompaniya uchun arzonroq. Shuning uchun BGP filtrlar, marshrut reklamalari va atributlarni oʻzgartirishlar yordamida tuzilgan qoidalar asosida eng yaxshi marshrutni tanlaydi. Protokolning asosiy xususiyatlari BGP - bu quyidagi umumiy xususiyatlarga ega boʻlgan pathvector protokoli: - ma'lumotlarni uzatish uchun TCP dan foydalanadi, bu protokol yangilanishlarini ishonchli yetkazib berishni ta'minlaydi (port 179); - faqat tarmoq oʻzgargandan soʻng yangilanishlarni yuboradi (vaqti-vaqti bilan yangilanishlar boʻlmaydi); - TCP ulanishini tekshirish uchun vaqti-vaqti bilan doimiy xabarlarni yuboradi; - protokol metrikasi yoʻl vektori yoki atributlar deb ataladi. 6.7-rasm. BGP protokoli asosida qurilgan tarmoq topologiyasi 76 Amaliy qism GNS3 muhitida RIPv2 protokolini ishlash tamoyili 6.8-rasm. R1 va R2 marshrutizatorlari oʻrtasida tasdiqlangan ma'lumotlar almashinuvi. 6.8-rasmda koʻrsatilgan tarmoqda R1 va R2 marshrutizatorlari oʻrtasida autentifikatsiyaga asoslangan va autentifikatsiyalanmagan aloqani oʻrnatdik va ular orasidagi farqlarni taqqosladik. R1 sozlanmasi Router(config)#hostname R1 R1(config)#router rip R1(config-router)#version 2 R1(config-router)#no auto-summary R1(config-router)#network 192.168.10.0 R1(config-router)#network 10.10.10.0 R1(config-router)#network 11.11.11.0 R1(config-router)#exit R1(config)#key chain cisco R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco1 R1(config-keychain-key)#exit R1(config-keychain)#exit R1(config)#interface serial 0/0 R1(config-if)#ip rip authentication mode md5 R1(config-if)#ip rip authentication key-chain cisco 77 R1(config-if)#exit R2 sozlanmasi R2(config)#router rip R2(config-router)#version 2 R2(config-router)#no auto-summary R2(config-router)#network 192.168.20.0 R2(config-router)#network 10.10.10.0 R2(config-router)#network 12.12.12.0 R2(config-router)#exit R2(config)#key chain cisco R2(config-keychain)#key 1 R2(config-keychain-key)#key-string cisco1 R2(config-keychain-key)#exit R2(config-keychain)#exit R2(config)#interface serial 0/0 R2(config-if)#ip rip authentication mode md5 R2(config-if)#ip rip authentication key-chain cisco R2(config-if)#exit EIGRP protokoliga asoslangan tarmoqning ishlash tamoyili 6.7-rasmda koʻrsatilgan tarmoqda R1 va R2 marshrutizatorlari oʻrtasida autentifikatsiyaga asoslangan va autentifikatsiyalanmagan aloqani oʻrnatdik va ular orasidagi farqlarni taqqosladik. R1 sozlanmasi Router(config)#hostname R1 R1(config)#router eigrp 1 R1(config-router)#eigrp router-id 1.1.1.1 R1(config-router)#network 192.168.10.0 0.0.0.255 R1(config-router)#network 10.10.10.0 0.0.0.3 R1(config-router)#network 11.11.11.0 0.0.0.3 R1(config-router)#no auto-summary R1(config-router)#exit R1(config)#key chain EIGRP_KEY R1(config-keychain)#key 1 R1(config-keychain-key)#key-string cisco R1(config-keychain-key)#exit 78 R1(config-keychain)#exit R1(config)#interface serial 0/3/0 R1(config-if)#ip authentication mode eigrp 1 md5 R1(config-if)#ip authentication key-chain eigrp 1 EIGRP_KEY R1(config-if)#exit R2 sozlanmasi Router(config)#hostname R2 R2(config)#router eigrp 1 R2(config-router)#eigrp router-id 2.2.2.2 R2(config-router)#network 192.168.20.0 0.0.0.255 R2(config-router)#network 10.10.10.0 0.0.0.3 R2(config-router)#network 12.12.12.0 0.0.0.3 R2(config-router)#no auto-summary R2(config-router)#exit R2(config)#key chain EIGRP_KEY R2(config-keychain)#key 1 R2(config-keychain-key)#key-string cisco R2(config-keychain-key)#exit R2(config-keychain)#exit R2(config)#interface serial 0/3/0 R2(config-if)#ip authentication mode eigrp 1 md5 R2(config-if)#ip authentication key-chain eigrp 1 EIGRP_KEY R2(config-if)#exit R3 sozlanmasi Router(config)#hostname R3 R3(config)#router eigrp 1 R3(config-router)#eigrp router-id 3.3.3.3 R3(config-router)#network 192.168.30.0 0.0.0.255 R3(config-router)#network 12.12.12.0 0.0.0.3 R3(config-router)#network 11.11.11.0 0.0.0.3 R3(config-router)#no auto-summary 79 6.9-rasm. R1 va R2 marshrutizatorlari oʻrtasida tasdiqlangan ma'lumotlar almashinuvi 6.10-rasm. R1 va R2 marshrutizatorlari oʻrtasida tasdiqlanmagan ma'lumotlar almashinuvi. OSPF protokoliga asoslangan tarmoqning ishlash tamoyili 6.11-rasmda koʻrsatilgan tarmoqda R1 va R2 marshrutizatorlari oʻrtasida autentifikatsiyaga asoslangan va autentifikatsiyalanmagan aloqani oʻrnatdik va ular orasidagi farqlarni taqqosladik. R1 sozlanmasi R1(config)#router ospf 10 R1(config-router)#router-id 1.1.1.1 R1(config-router)#network 192.168.10.0 0.0.0.255 area 1 R1(config-router)#network 11.11.11.0 0.0.0.3 area 0 R1(config-router)#network 10.10.10.0 0.0.0.3 area 0 R1(config-router)#exit R1(config)#router ospf 10 R1(config-router)#area 0 authentication message-digest R1(config-router)#exit R1(config)#interface serial 0/3/0 80 R1(config-if)#ip ospf message-digest-key 1 md5 cisco123 R1(config-if)#exit 6.11-rasm.OSPF protokoli asosida qurilgan tarmoq R2 sozlanmasi R2(config)#router ospf 10 R2(config-router)#router-id 2.2.2.2 R2(config-router)#network 10.10.10.0 0.0.0.3 area 0 R2(config-router)#network 12.12.12.0 0.0.0.3 area 0 R2(config-router)#network 192.168.20.0 0.0.0.255 area 2 R2(config-router)#exit R2(config)#router ospf 10 R2(config-router)#area 0 authentication message-digest R2(config-router)#exit R2(config)#interface serial 0/3/0 R2(config-if)#ip ospf message-digest-key 1 md5 cisco123 R2(config-if)#exit R3 sozlanmasi R3(config)#router ospf 10 81 R3(config-router)#router-id 3.3.3.3 R3(config-router)#network 192.168.30.0 0.0.0.255 area 3 R3(config-router)#network 12.12.12.0 0.0.0.3 area 0 R3(config-router)#network 11.11.11.0 0.0.0.3 area 0 R3(config-router)#exit 6.12-rasm. R1 va R2 marshrutizatorlari oʻrtasida tasdiqlangan ma'lumotlar almashinuvi OSPF protokoliga asoslangan tarmoqning ishlash tamoyili. 6.13-rasmda koʻrsatilgan topologiyaga kompyuterlarning IP-manzillarini kiriting. R1 sozlanmasi R1(config)#router bgp 65100 R1(config-router)#bgp router-id 1.1.1.1 R1(config-router)#neighbor 172.16.0.2 remote-as 65200 R1(config-router)#neighbor 172.16.13.2 remote-as 65300 R1(config-router)#network 192.168.1.0 mask 255.255.255.0 R1(config-router)#exit R2 sozlanmasi R2(config)#router bgp 65200 R2(config-router)#bgp router-id 2.2.2.2 R2(config-router)#neighbor 172.16.0.1 remote-as 65100 R2(config-router)#neighbor 172.16.23.2 remote-as 65300 R2(config-router)#network 192.168.2.0 mask 255.255.255.0 R2(config-router)#exit 82 muvofiq R3 sozlanmasi R3(config)#router bgp 65300 R3(config-router)#bgp router-id 3.3.3.3 R3(config-router)#neighbor 172.16.13.1 remote-as 65100 R3(config-router)#neighbor 172.16.23.1 remote-as 65200 R3(config-router)#network 192.168.3.0 mask 255.255.255.0 R3(config-router)#exit а) b) 6.13-rasm. Konfiguratsiya roʻyxatiga misollar: а) show ip route b) show ip bgp 83 Topshiriq  6.14-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  RIP, OSPF, BGP va EIRGP protokollari asosida tarmoqlarni o’zaro bog’lang;  Qurilgan topologiyani testlab ko’ring. 6.14-rasm. Tarmoq topologiyasi Nazorat savollari 1. 2. 3. 4. 5. 6. 7. 8. 9. RIP protokoli qaysi algoritm asosida ishlaydi? RIP protokoli metrikani nimaga asoslanib hisoblaydi? RIP protokolining administrativ distansiyasi nimaga teng? RIPv1 va RIPv2 protokollarining farqi nimada? OSPF protokoli qaysi algoritm asosida ishlaydi? EIGRP protokoli qaysi algoritm asosida ishlaydi EIGRP protokolining afzalliklari qanday? Administrativ masofa deganda nimani tushunasiz? Dinamik marshrutizatsiya protokollarining turlarini ayting? 84 10. nimada? 11. 12. 13. Dinamik marshrutizatsiya statik marshrutizatsiyadan farqi BGP tashqi marshrutizatsiya protokolini tavsiflang. BGP protokoli administrativ masofa nechiga teng? BGP protokoli qaysi algoritm asosida ishlaydi? 7 – LABORATORIYA ISHI ACL RO`YXATINI SOZLASH (STANDART, EXTENDED) Ishdan maqsad: Ma’lumot uzatish tarmoqlarida qoʻllaniluvchi ACL-ro`yxati tuzish, sozlash va tekshirish qoidalarini tadqiq qilish. Nazariy qism ACL (Access Control List) - bu biror narsaga ruxsat beradigan yoki biror narsani taqiqlovchi matnli iboralar toʻplami. Odatda ACL IP-paketlarga ruxsat beradi yoki rad etadi, ammo boshqa dasturlar qatori u IP-paketga tarkibini tekshirish, paket turini, TCP va UDP portlarini koʻrishi mumkin. Shuningdek, ACL turli xil tarmoq protokollari uchun mavjud (IP, IPX, AppleTalk va boshqalar). Asosan, kirish roʻyxatlaridan foydalanish paketlarni filtrlash nuqtai nazaridan koʻrib chiqiladi, ya'ni Internet va xususiy tarmoq chegaralaridagi qurilmalarda keraksiz trafikni filtrlashingiz kerak boʻlgan hollarda ishlatiladi. ACL royxatlar IPv4, IPv6 yoki IPX kabi marshrutizatorda ishlaydigan barcha tarmoq protokollari uchun yaratilishi mumkin va marshrutizator interfeyslariga oʻrnatiladi. Marshrutizator interfeysi orqali tarmoq trafigini rad etish yoki unga ruxsat berish ma'lum shartlar (qoidalar) tasodifiyligini tahlil qilish asosida amalga oshiriladi. Buning uchun kirish roʻyxatlari ishlatilgan manzillar va protokollar tahlil qilinadigan ketma-ket yozuvlar koʻrinishida taqdim etiladi. Kirish roʻyxatlari (tarmoq filtrlari) kirish va chiqish paketlari uchun ACL roʻyxatida koʻrsatilgan tahlil qilingan parametrlar (manba manzili, masofadagi manzil, foydalanilgan protokol va yuqori sathdagi port raqami) asosida tuziladi(7.1-rasm). Har bir marshrutizator interfeysida tarmoq trafigining har bir yoʻnalishi uchun (chiquvchi va kiruvchi) va interfeysga oʻrnatilgan har bir tarmoq protokoli uchun alohida kirish roʻyxatlari yaratilishi 85 mumkin. Masalan, ikkita tarmoq protokoli (IPv4, IPv6) uchun tuzilgan uchta marshrutizator interfeysida(7.2-rasm) 12 ta alohida kirish roʻyxati yaratilishi mumkin: oltita IPv4 uchun va oltita IPv6 uchun. Ya'ni, har bir interfeysda 4 ta roʻyxat mavjud: 2 ta kiruvchi va 2 ta chiquvchi trafik uchun. Kadr sarlavhasi Paket sarlavhasi Segment sarlavhasi Ma’lumot maydoni Port raqami protokol Paketni sinovdan o'tkazishda qaror qabul qilish ACL 3 Masofa manzili Manba manzili ACL 1 Permit Deny ACL 4 ACL 2 ACL 5 ACL 6 7.2-rasm. Bitta tarmoq protokoli uchun kirish roʻyxatlari (IPv4) Kirish roʻyxatlari paketni chiquvchi interfeysga yoʻnaltirishdan oldin kirish trafigi paketlarini filtrlash uchun oʻrnatilgan. Shunday qilib, kirish roʻyxati tomonidan tushirilgan paket yoʻnaltirilmaydi, bu marshrutizator resurslarini tejaydi. Chiquvchi kirish roʻyxatlari lokal tarmoqni marshrutizatorning turli xil kirish qismlariga kiruvchi trafikdan himoya qilish uchun foydalidir. Kirish roʻyxatlari tarmoqning moslashuvchanligini oshiradi. Masalan, video trafikni cheklaydigan roʻyxatlar tarmoqdagi yukni kamaytirishi va shu sababli ma'lumotlar yoki audio signallarni uzatish uchun uning oʻtkazuvchanligini oshirishi mumkin. Roʻyxatlar trafikning qaysi turlarini yuborish mumkinligini va marshrutizator interfeyslarida bloklanganligini aniqlashga imkon beradi, masalan, elektron pochta orqali yoʻnaltirishga ruxsat berishingiz mumkin, ammo Telnet trafigini bloklashingiz mumkin. FTP yoki HTTP kabi 86 har xil turdagi fayllarga kirishga ruxsat berish yoki rad etish uchun foydalanishingiz mumkin. Agar marshrutizatorda kirish roʻyxatlari shakllanmagan boʻlsa, u holda marshrutizator orqali oʻtadigan barcha paketlar tarmoqqa kirish huquqiga ega boʻladi. ACL marshrutizator kirish yoki chiqish interfeysida paketlarni qabul qilish yoki rad etish kerakligini aniqlaydigan tasdiqlardan (shartlardan) iborat. Cisco IOS Software har bir shart uchun paketni ketma-ket tekshiradi. Agar paketni taqiqlashga imkon beradigan shart roʻyxatning yuqori qismida boʻlsa, quyida qoʻshilgan shartlarning hech biri paketni taqiqlashga toʻsqinlik qilmaydi. Kirish roʻyxati faqat maxsus tuzilgan muayyan sharoitlarda tahrir qilinishi mumkin. Koʻpgina hollarda, agar uni tahrirlash kerak boʻlsa, barcha kirish roʻyxatini oʻchirib tashlash va yangi shartlar bilan yangi roʻyxat yaratish tavsiya etiladi. Marshrutizator tomonidan yaratilgan paketlar kirish roʻyxatlari tomonidan filtrlanmaydi. Qabul qilingan paketning kirish roʻyxati talablariga muvofiqligini tekshirish boʻyicha marshrutizatorning ishlashi quyidagicha. Kadr interfeysga kelganda, marshrutizator paketni freymdan chiqaradi (dekapsulatsiya qiladi) va uni kirish interfeysi ACL bilan tekshiradi. Rad etish boʻlmasa yoki kirish roʻyxati boʻlmasa, paket yoʻnaltiriladi va chiqadigan interfeysga yoʻnaltiriladi, u yerda yana tekshiriladi, soʻngra yangi freymga joylashtiriladi va keyingi qurilmaning interfeysiga yuboriladi. Kirish roʻyxatining shartlari ketma-ket tarzda tekshiriladi. Agar joriy paket tasdiqlansa, paket ruxsatnomaga muvofiq permit qayta ishlanadi yoki deny kirish roʻyxatidagi buyruqlarni rad etadi. Har bir roʻyxatning oxirida odatda har qanday buyruqni rad etish mavjud. Shuning uchun, agar kirish roʻyxatida bitta ruxsat beruvchi shart boʻlmasa, unda barcha trafik bloklanadi. Kirish roʻyxatlarining har xil turlari mavjud: standart (standart ACL), kengaytirilgan (extendet ACL), nomlangan (named ACL). Marshrutizatorda kirish roʻyxati tuzilgan boʻlsa, har bir roʻyxatda oʻziga xos identifikatsiya raqami yoki nomi boʻlishi kerak. Yaratilgan kirish roʻyxatining identifikatsiya raqami ushbu roʻyxat turi uchun belgilangan aniq doirada boʻlishi kerak(7.1-jadval). 87 7.1-jadval. Kirish roʻyxati identifikatorlari diapazoni Raqamlar diapazoni 1-99 100-199 1300-1999 2000-2699 600-699 800-899 900-999 Kirish roʻyxati nomi IP standard access-list IP extended access-list IP standard access-list (extended range) IP extended access-list (extended range) Appletalk access-list IPX standard access-list IPX extended access-list Standart kirish roʻyxatlari(Standard access lists) - IP-paketda qaror qabul qilish (permit yoki deny) uchun faqat xabar manbasining manzili tahlil qilinadi. Kengaytirilgan kirish roʻyxatlari(Extended access lists) manba va masofa IP-manzillarini, tarmoq sathi paketining sarlavhasidagi protokol maydonini va transport sathi sarlavhasidagi port raqamini tekshiradi. Shunday qilib, har bir protokol, trafikning har bir yoʻnalishi va har bir interfeys uchun kirish roʻyxati yaratilishi mumkin. Chiquvchi filtrlar lokal marshrutizatordan keladigan trafikka ta'sir qilmaydi. Standart kirish roʻyxatlarini maqsadga imkon qadar yaqinroq va kengaytirilgan kirish roʻyxatlarini manbaga yaqinroq qilib qoʻyish tavsiya etiladi. Ya'ni, standart kirish roʻyxatlari maqsadli qurilmani yoki tarmoqni toʻsib qoʻyishi va himoyalangan tarmoqqa yaqinroq joylashishi kerak va kengaytirilgan roʻyxatlar istalmagan trafik manbasiga yaqinroq oʻrnatiladi. Kirish roʻyxati paketlarni tartib bilan filtrlaydi, shuning uchun filtrlash shartlari roʻyxatlarning satrlarida aniq holatlardan umumiy holatgacha koʻrsatilishi kerak. Kirish roʻyxati shartlari roʻyxatning yuqorisidan oxirigacha mos keladigan shart topilmaguncha ketmaketlikda qayta ishlanadi. Agar shart topilmasa, paket rad qilinadi va yoʻq qilinadi, chunki har qanday yashirin inkor har qanday kirish har qanday kirish roʻyxatining oxiriga toʻgʻri keladi. Kirish roʻyxatiga toʻgʻri kelmaydigan IP-paket rad qilinadi va bekor qilinadi va ICMP xabar yuboruvchiga yuboriladi. Kirish roʻyxatining oxirida har doim yangi yozuvlar qoʻshiladi. 88 Tarmoq trafigini filtrlash uchun ACL marshrutizatorning infterfeysida uzatilayotgan paketni oʻtkazishni yoki blokka tushirishni tekshiradi. Marshrutizator har bir paketni tekshiradi va ACL da oʻrnatilgan mezonlarga asosan paketni nima qilish: uzatish yoki tashlab yuborish kerakligini aniqlaydi. ACL ni mezonlari quyidagilar: – trafikni uzatuvchi manzili; – trafikni qabul qiluvchi manzili; – yuqori pogʻona protokollari. IP ACL – bu IP paketga qoʻllaniladigan rad etish va ruxsat berish holatlarining ketma – ket buyruqlar toʻplami. Marshrutizator ACL ni shartlariga mos ravishda bittalab paketni tekshiradi. IP ACL ni quyidagi turlari sozlanishi mumkin: – standart ACL; – kengaytirilgan ACL; – dinamik ACL (qulf va kalit); – nomlangan ACL IP – roʻyxatlar; – refleksif ACL; – proksi – autentifikatsiya; – Turbo ACL. Standart ACL buyrugʻini koʻrinishi quyidagicha: 1. Standart ACL (faqat roʻyxatdan oʻtgan mijozlar uchun) IP paketlarni uzatuvchi manzili bilan roʻyxatga kiritilgan manzillarni solishtirish orqali trafikni boshqaradi. Standart ACL roʻyxatini qabul qiluvchi manziliga yaqinroq joylashtirilishi maqbul hisoblanadi, chunki ushbu trafikning ACL qoʻllaniladigan interfeysidagi boshqa tarmoqlarga yetib borishini oldini oladi. Kirish roʻyxatlari ramziy nomlar yoki nomerlar bilan belgilanadi:  standart: 1 dan 99 gacha;  kengaytirilgan: 100 dan 199 gacha. Standart ACL roʻyxati Router(config)#access-list <roʻyxat nomeri 1 dan 99 gacha > {permit | deny | remark} {address | any | host}[source-wildcard] [log]  permit: ruhsat;  deny: rad etish;  remark: kirish roʻyxati boʻyicha sharx;  address: tarmoqqa ruxsat berish yoki rad etish; 89 any: barcha ruxsat yoki rad etish;  host: hostga ruxsat yoki rad etish;  source-wildcard: WildCard tarmoq maskasi;  log: ushbu ACL yozuvidan oʻtadigan paketlarni jurnalga yozishni yoqish.  Interfeysga biriktirish Router(config-if)#ip access-group < ACL nomlash> {in | out}   in: kiruvchi yoʻnalish; out: chiquvchi yoʻnalish; access-list access-list-number {permit|deny} {host|source sourcewildcard|any}. Standart ACL (faqat ro`yxatdan oʻtgan mijozlar uchun) IP paketlarni uzatuvchi manzili bilan ro`yxatga kiritilgan manzillarni solishtirish orqali trafikni boshqaradi. Standart ACL ro`yxat bo`yicha tanlangan hostni tarmoqqa kirishiga ruxsat berish. Host B: 192.168.10.1 Tarmoq A Tarmoq B R1 7.3- rasm. Standart ACL ro`yxat bo`yicha tarmoq tuzilishi 7.3– rasmda Hostni tarmoqqa kirishiga ruxsat berilishi koʻrsatilgan. B tarmoqdagi xost 192.168.10.1 dan A tarmoqqa yoʻnaltirilgan barcha trafiklarni qabul qiladi va bir vaqtda boshqa B tarmoqdan A tarmoqqa yoʻnaltirilgan barcha trafiklar rad etiladi. R1 marshrutizatorning jadvali tarmoq xostga qanday kirishga ruxsat berishini koʻrsatadi. Chiqish ma’lumotlari quyidagicha: – bu konfiguratsiya IP manzili 192.168.10.1 boʻlgan xostni R1 marshrutizatorga Ethernet 0 interfeys orqali oʻtkazadi; – bu xostda A tarmoqning IP xizmatlariga kirish mavjud; – B tarmoqning boshqa xostlari A tarmoqqa kira olmaydi; 90 – ACL da ruxsat bermaslikning boshqa instruksiyasi sozlanmagan. Har bir ACL ning oxirida noaniq sharoitda deny all (barchani ta’qiqlash) mavjud. Barchasi ruxsat etilmasa, barchasi bekor qilinadi. ACL B tarmoqdan A tarmoqqa yoʻnaltirilgan IP paketlarni, B tarmoqdan chiquvchi paketlardan boshqa barcha paketlarni filtrlaydi. B xostdan A tarmoqqa yoʻnaltirilgan paketlarga ruxsat etiladi. ACL ni sozlashni boshqa usuli: access-list 1 permit 192.168.10.1 0.0.0.0. Tarmoqqa tanlangan xostni kirishini ta’qiqlash 7.4 – rasmda B xostdan A tarmoqqa yoʻnaltirilgan barcha trafiklarni oʻtishi bekor qilinadi va shu vaqtda B tarmoqdan A tarmoqqa yoʻnaltirilgan boshqa barcha trafiklarni oʻtishi ruxsat etiladi. Host B: 192.168.10.1 Tarmoq A Tarmoq B R1 7.4- rasm. Tarmoq tuzilishi Bu konfiguratsiya 192.168.10.1/32 xostdan qabul qilingan barcha paketlarni Ethernet 0 yoki R1 orqali ta’qiqlaydi va boshqa barcha paketlarni qabul qilinishiga ruxsat beradi. Boshqa barcha paketlarga ruxsat berish uchun quyidagi buyruqni ishlatish kerak: access list 1 permit any. Har bir ACL ning oxirida noaniq sharoitda deny all (barchani ta’qiqlash) mavjud. Shartni qoʻyilishi ACL ro`yxatini ishlashi uchun muhim. Agar yozuvni teskari tartibda joylashtirsak, ushbu buyruqda koʻrsatilganidek, birinchi qator paketning ixtiyoriy uzatuvchi manziliga mos keladi. Shu sababli A tarmoqqa 192.168.10.1/32 xostini kirishini blokka tushira olmaydi. access-list 1 permit any access-list 1 deny host 192.168.10.1 91 Kengaytirilgan ACL roʻyxati. Kengaytirilgan ACL (faqat roʻyxatdan oʻtgan mijozlar uchun) IP paketni uzatuvchi va qabul qiluvchi manzili bilan roʻyxatga kiritilgan manzillarni solishtirish orqali trafikni boshqaradi. Kengaytirilgan ACL ni ishlashini aniq berish mumkin. Kengaytirilgan ACL roʻyxati IPv4 paketlarini bir nechta mezonlarga asoslanib filtrlashni amalga oshiradi:  protokol turi;  manbaning IPv4 manzili;  qabul qiluvchining IPv4-manzili;  manbaning TCP yoki UDP portlari ;  qabul qiluvchining TCP yoki UDP portlari;  samarali nazorat qilish uchun protokol turi haqidagi qoʻshimcha ma’lumotlar. Kengaytirilgan ACL (faqat ro`yxatdan oʻtgan mijozlar uchun) IP paketni uzatuvchi va qabul qiluvchi manzili bilan ro`yxatga kiritilgan manzillarni solishtirish orqali trafikni boshqaradi. Kengaytirilgan ACL ni ishlashini aniq berish mumkin. Trafikni filtrlash quyidagi me’zonlar bilan ishlatilishi mumkin: – protokol; – port nomeri; – DSCP qiymati; – imtiyoz qiymati; – SYN bitini xolati. Kengaytirilgan ACL buyrugʻi quyidagi koʻrinishga ega. Kengaytirilgan ACL roʻyxati Router(config)#access-list <roʻyxat nomeri 100 dan 199 gacha> >{permit | deny | remark} protocol source [source-wildcard] [operator operand] [port<port yoki protokol nomi> [established] protocol source: qaysi protokolga ruhsat berish yoki rad etish (ICMP, TCP, UDP, IP, OSPF va boshqa);  deny: rad etish;  operator;  A.B.C.D — qabul qiluvchi manzili;  any — har qanday yakuniy test;  eq — fakat ushbu portdagi paketlar;  92 gt — faqat yuqori port raqamiga ega paketlar;  host — bitta oxirgi host;  range —port diapazioni;  port: port raqami (TCP yoki UDP) yoki nomini koʻrsatish ham mumkin;  established: avvaldan yaratilgan TCP-sessiyalarining bir qismi boʻlgan TCP-segmentlarini oʻtkazishga ruxsat berish.  7.5– rasm. Kengaytirilgan ACL ro`yxati bo`yicha tuzilgan tarmoq topologiyasi Amaliy qism Barcha komp’yuterlardan serverlarga ping oʻtsin lekin: 1. 192.168.1.0 tarmoqdagi komp’yuterlar daryo.uz saytiga kirishga ruxsat berilsin, boshqa serverlarga kirish cheklansin; 2. 192.168.2.0 tarmoqdagi kompyuterlar soft.uz saytiga kirishga ruxsat berilsin, boshqa serverlarga kirish cheklansin; 3. 192.168.3.0 tarmoqdagi komp’yuterlar mail.ru saytiga kirishga ruxsat berilsin, boshqa serverlarga kirish cheklansin; 4. 192.168.3.0 tarmoqdagi komp’yuterlar ftp ga kirishga ruxsat berilsin, boshqa serverlarga kirish cheklangan boʻlishi kerak. Yuqoridagi shartlarni bajarish uchun Assess list ning kengaytirilgan ACL dan foydalanamiz. Ishni bajarish tartibi 93 Serverlarni vlan 50 ga biriktiramiz. Komutator 1ni sozlash Switch>enable Switch#conft Switch(config)#hostname Sw1 Sw1 (config)#vlan 50 Sw1 (config-vlan)#exit Sw1 (config)#interface range fastEthernet 0/1-4 Sw1 (config-if-range)#switchport mode access Sw1 (config-if-range)#switchport access vlan 50 Sw1 (config-if-range)#exit Sw1 (config)#int fa0/5 Sw1 (config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 50 Switch(config-if)#exit Komutator 2ni sozlash Switch>en Switch#conf t Switch(config)#hostname Sw2 Sw2 (config)#vlan 10 Sw2 (config-vlan)#vlan 20 Sw2(config-vlan)#vlan 30 Sw2(config-vlan)#vlan 40 Sw2 (config-vlan)#vlan 50 Sw2 (config-vlan)#exit Sw2(config)# interface fastEthernet 0/1 Sw2(config-if)#switchport mode trunk Sw2(config-if)#switchport trunk allowed vlan 50 Sw2(config-if)#exit Sw2(config)# interface fastEthernet 0/3 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 10 Sw2(config-if)#exit Sw2(config)#interface fastEthernet 0/4 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 20 Sw2(config-if)#exit Sw2(config)# interface fastEthernet 0/5 94 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 30 Sw2(config-if)#exit Sw2(config)# interface fastEthernet 0/6 Sw2(config-if)#switchport mode access Sw2(config-if)#switchport access vlan 40 Sw2(config-if)#exit Sw2(config)# interface fastEthernet 0/2 Sw2(config-if)#switchport mode trunk Sw2(config-if)#switchport trunk allowed vlan 10,20,30,40,50 Sw2(config-if)#exit Marshrutizatorni sozlash Router>en Router#configure terminal Router(config)#intfa 0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#intfa 0/0.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.1.1 255.255.255.0 Router(config-subif)#exit Router(config)#intfa 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.2.1 255.255.255.0 Router(config-subif)#exit Router(config)#intfa 0/0.30 Router(config-subif)#encapsulation dot1Q 30 Router(config-subif)#ip address 192.168.3.1 255.255.255.0 Router(config-subif)#exit Router(config)#intfa 0/0.40 Router(config-subif)#encapsulation dot1Q 40 Router(config-subif)#ip address 192.168.4.1 255.255.255.0 Router(config-subif)#exit Router(config)#intfa 0/0.50 Router(config-subif)#encapsulation dot1Q 50 Router(config-subif)#ip address 192.168.5.1 255.255.255.0 Router(config-subif)#exit Marshrutizatorni quyidagi buyruqlar yoziladi: 95 Router(config)# Router(config)#ip access-list extended TEST Router(config-ext-nacl)#permit icmp any any Router(config-ext-nacl)#permit tcp 192.168.1.0 80 Router(config-ext-nacl)#permit tcp 192.168.2.0 80 Router(config-ext-nacl)#permit tcp 192.168.3.0 20 Router(config-ext-nacl)#permit tcp 192.168.3.0 21 Router(config-ext-nacl)#permit tcp 192.168.4.0 80 Router(config-ext-nacl)#exit Router(config)#intfastEthernet 0/0.50 Router(config-subif)#ip access-group TEST out Router(config-subif)#exit 0.0.0.255 host 192.168.5.2 eq 0.0.0.255 host 192.168.5.3 eq 0.0.0.255 host 192.168.5.4 eq 0.0.0.255 host 192.168.5.4 eq 0.0.0.255 host 192.168.5.5 eq 7.6-rasm Topologiyani testlash natijalari Topshiriq  7.7-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  Barcha kompyuterlardan serverlarga ping oʻtsin;  1-tarmoqdagi komp’yuterlar kun.uz saytiga kirishga ruxsat berilsin, boshqa serverlarga kirish cheklansin; 96  2-tarmoqdagi kompyuterlar tuit.uz saytiga kirishga ruxsat berilsin, boshqa serverlarga kirish cheklansin;  3-tarmoqdagi komp’yuterlar ftp ga kirishga ruxsat berilsin, boshqa serverlarga kirish cheklangan boʻlishi kerak.  Qurilgan topologiyani testlab ko’ring. 7.7-rasm. Tarmoq topologiyasi Nazorat savollari 1. ACL nima? 2. ACL ning qanday turlari mavjud? 3. ACL qanday maqsadlarda ishlatiladi? 4. Video trafikni oʻtkazmaslik uchun qanday buyruq yoziladi? 5. Internet trafigini oʻtkazish uchun qanday buyruq yoziladi? 6. ACL roʻyxati tarmoqning qaysi mezonllar boʻyicha trafiklarni filtrlaydi? 97 8 – LABORATORIYA ISHI MARSHRUTIZATORLARDA NAT/PAT TEXNOLOGIYASINI SOZLASH Ishdan maqsad: Manzillarni translatsiya qilish (NAT) tamoyillari va vazifalarini tadqiq qilish va amaliy ko`nikmalarni shakllantirish. Nazariy qism NAT (Network Address Translation) - TCP / IP tarmoqlaridagi tranzit paketlarning IP manzillarini translatsiya qilishga imkon beruvchi mexanizm. Shuningdek, IP Masquerading, Network Masquerading va Native Address Translation deb ham nomlanadi. NAT usuli boʻyicha manzilni translatsiya qilish deyarli har qanday marshrutizatsiya qurilmalari- marshrutizator, kirish serveri, tarmoqlararo ekran tomonidan amalga oshirilishi mumkin. Eng ommabopi SNAT hisoblanadi, uning mexanizmining mohiyati paket bir yoʻnalishda oʻtayotganda manba manzilini almashtirish va javob paketidagi manzilni teskari yoʻnaltirishdir. Manba / masofa manzillaridan tashqari, manba va masofa port raqamlari ham almashtirilishi mumkin. Marshrutizator lokal kompyuterdan paketni qabul qilishda belgilangan IP-manzilga qaraydi. Agar u lokal manzil boʻlsa, u holda paket boshqa lokal kompyuterga yoʻnaltiriladi. Agar lokal manzil boʻlmasa, unda paket Internetga yuborilishi kerak. Ammo paketdagi qaytish manzili kompyuterning lokal manzilini bildiradi, unga Internet orqali kirish imkoni boʻlmaydi. Shuning uchun, marshrutizator paketning qaytgan IP-manzilini oʻzining tashqi (Internetdan koʻrinadigan) IP-manziliga translatsiya qiladi (oʻzgartiradi) va port raqamini oʻzgartiradi (turli xil lokal kompyuterlarga yuborilgan javob paketlarini ajratish uchun). Marshrutizator teskari almashtirish uchun zarur boʻlgan kombinatsiyani vaqtinchalik jadvalda saqlaydi. Mijoz va server paketlarni almashishni tugatgandan bir muncha vaqt oʻtgach, marshrutizator oʻz jadvalidagi n-chi port haqidagi yozuvni bir muddat oʻchirib tashlaydi. Source NATdan tashqari (lokal tarmoq foydalanuvchilariga Internetga kirishning ichki manzillarini taqdim etish), tashqaridan 98 soʻrovlar tarmoqlararo ekran orqali lokal tarmoqdagi foydalanuvchi kompyuteriga uzatilganda destination NAT manzilidan foydalaniladi. OUTSIDE INSIDE INSIDE 192.168.1.1 Ichki lokal tarmoq NAT 203.44.55.1 Ichki global tarmoq 8.1-rasm. Manzilni translatsiyalash NAT (Network Address Translation) - tarmoq manzillarini translatsiya qilish texnologiyasi, bu tarmoq paketlaridagi IP-manzillar va portlarni translatsiya qilishga (oʻzgartirishga) imkon beradi. NAT koʻpincha korxonalarning lokal tarmogʻidan Internetga kirish uchun qurilmalar yoki aksincha Internetdan tarmoq ichidagi har qanday manbaga kirish uchun ishlatiladi. Korxonaning lokal tarmogʻi xususiy IP-manzillar asosida quriladi:  10.0.0.0 — 10.255.255.255 (10.0.0.0/255.0.0.0 (/8))  172.16.0.0 — 172.31.255.255 (172.16.0.0/255.240.0.0 (/12))  192.168.0.0 — 192.168.255.255 (192.168.0.0/255.255.0.0 (/16)) Ushbu manzillar Internetda yoʻnaltirilmaydi va Internetprovayderlar ushbu yuboruvchi yoki qabul qiluvchining IP-manzillari bilan paketlarni yoʻq qilishlari kerak. NAT xususiy manzillarni Global (Internetga yoʻnaltirilgan) manzillarga translatsiya qilish uchun ishlatiladi. NAT - bu tarmoq manzilini translatsiya qilish texnologiyasi ya'ni, IP-paketning sarlavhasidagi manzillari (yoki portlari) almashtiradi. Boshqacha qilib aytganda, marshrutizator orqali oʻtadigan paket oʻz manbasini va / yoki manzilini oʻzgartirishi mumkin. Ushbu mexanizm xususiy IP-manzillardan foydalangan holda lokal IP manzillardan global IP-manzillar yordamida Internetga kirishni ta'minlashga xizmat qiladi. 99 NAT (Network Address Translation) - bu tranzit paketlarning IP-manzillarini translatsiya qiladigan TCP / IP tarmoqlaridagi mexanizm. NAT mexanizmi RFC 1631, RFC 3022 da tavsiflangan. SNATdan tashqari, lokal tarmoq foydalanuvchilariga Internetga kirish imkoniyatini beruvchi ichki manzillarni taqdim etish, Destination NAT ham tez-tez ishlatiladi, chunki tashqi tomondan qoʻngʻiroqlar tarmoqlararo ekran tomonidan lokal tarmoqdagi serverga ichki manzilga ega va shuning uchun tashqi tarmoqqa toʻgʻridan-toʻgʻri kirish imkoni yoʻq(NAT boʻlmagan holda). Quyidagi rasmlarda NAT qanday ishlashiga misol keltirilgan. INTERNET Provayder shluzi 120.3.2.1 120.3.2.5 Web-server 188.200.0.1 120.3.2.0/24 8.2-rasm Bitta kompyuterni Internetga ulanishi Korporativ tarmoqdagi foydalanuvchi marshrutizator, foydalanishni boshqarish serveri yoki tarmoqlararo ekranning ichki interfeysiga tushadigan soʻrovni internetga yuboradi (NAT qurilmasi). NAT qurilmasi, oʻz navbatida, ushbu paketni olgandan soʻng, ulanishning kuzatuv jadvalidagi asl paketning yuboruvchisini qidiradi, manbaning IP-manzilini tegishli lokal IP-manzil bilan almashtiradi va paketni manba kompyuterga yoʻnaltiradi. NAT qurilmasi barcha ichki kompyuterlar nomidan paketlarni yuborganligi sababli, u asl tarmoq portini oʻzgartiradi va bu ma'lumotlar ulanishni kuzatish jadvalida saqlanadi. Manzil translatsiyasi uchun uchta asosiy tushuncha mavjud: • statik (SAT, Static Network Address Translation), • dinamik (DAT, Dynamic Address Translation), 100 • maskarad (NAPT, NAT Overload, PAT). INTERNET 192.168.0.2 LAN WAN 192.168.0.1 120.3.2.5 Provayder shluzi 120.3.2.1 Web-server 188.200.0.1 192.168.0.3 192.168.0.0/24 120.3.2.0/24 8.3-rasm. Bir nechta lokal tarmoqqa ulangan kompyuterlarni internetga ulanash NAT qurilmasi paketni qabul qiladi va ulanishni kuzatish jadvaliga yozuv kiritadi, bu manzil translatsiyasini boshqaradi. Src:192.168.0.2:5000 Dst: 188.200.0.1:80 INTERNET 192.168.0.2 LAN WAN 192.168.0.1 120.3.2.5 Provayder shluzi 120.3.2.1 Web-server 188.200.0.1 192.168.0.3 192.168.0.0/24 120.3.2.0/24 8.4-rasm. Ulanish jadvalini kiritish Keyin paketning manba manzilini oʻzining tashqi IP-manzili bilan almashtiradi va paketni Internetdagi manziliga yuboradi. 101 INTERNET Src:192.168.0.2:5000 = Yangi Src:120.3.2.5:12432 192.168.0.2 LAN 192.168.0.1 WAN Provayder shluzi 120.3.2.1 120.3.2.5 Web-server 188.200.0.1 192.168.0.3 192.168.0.0/24 8.5-rasm. NAT funksiyasidan foydalanib manzilni translatsiyalash Belgilangan xost paketni oladi va javobni yana NAT qurilmasiga yuboradi. INTERNET 192.168.0.2 LAN WAN 192.168.0.1 120.3.2.5 Provayder shluzi 120.3.2.1 Web-server 188.200.0.1 192.168.0.3 192.168.0.0/24 120.3.2.0/24 8.6-rasm. Server soʻrovni qabul qiladi va javob yuboradi Statik NAT lokal IP-manzillarni aniq global manzillarga yakka tartibda almashtiradi. Lokal xostga belgilangan manzillar yordamida tashqi tomondan kirish kerak boʻlganda foydalaniladi. Dynamik NAT xususiy IP-manzillar toʻplamini global manzillar toʻplamiga almashtiradi. Agar lokal xostlar soni mavjud boʻlgan global manzillar sonidan oshmasa, har bir lokal manzil global manzilga mos kelishi kafolatlanadi. Aks holda, tashqi tarmoqlarga bir 102 vaqtning oʻzida kira oladigan xostlar soni global manzillar soni bilan cheklanadi. Dst: 120.3.2.5:12432 Yangi Dst: 192.168.0.2:5000 192.168.0.2 INTERNET Provayder shluzi 120.3.2.1 LAN WAN 192.168.0.1 120.3.2.5 Scr: 188.200.0.1:80 Dst: 120.3.2.5:12432 Web-server 188.200.0.1 192.168.0.3 192.168.0.0/24 120.3.2.0/24 8.7-rasm. NAT funksiyasidan foydalanib manzilni translatsiyalash Maskarad NAT (NAPT, NAT Overload, PAT, maskaradlash) bu turli xil portlardan foydalangan holda bir nechta lokal manzillarni bitta global IP-manzilga tushiradigan dinamik NAT shaklidir. Shuningdek, PAT (Port Address Translation) nomi bilan ham ishlatiladi. Haddan tashqari yuklangan NAT (NAPT, NAT Overload, PAT) - bu turli xil portlar yordamida roʻyxatdan oʻtmagan bir nechta manzillarni bitta roʻyxatdan oʻtgan IP-manzilga tushiradigan dinamik NAT shaklidir. Shuningdek, PAT (Port Address Translation) nomi bilan ham tanilgan. Haddan tashqari yuklanganida, shaxsiy tarmoqdagi har bir kompyuter bir xil manzilga translatsiya qiladi, lekin boshqa port raqami bilan. NAT mexanizmi RFC 1631, RFC 3022 da belgilangan. NAT uchta muhim funksiyani bajaradi. 1. Bir nechta ichki IP-manzillarni bitta tashqi umumiy IPmanzilga (yoki bir nechta, lekin ichki) kamroq translatsiya qilish orqali IP-manzillarni saqlashga imkon beradi. Dunyodagi tarmoqlarning aksariyati ushbu prinsip asosida qurilgan: 1 ta umumiy (tashqi) IP-manzil lokal provayderning ichki tarmogʻining kichik 103 maydoniga yoki ofisga, uning orqasida xususiy (ichki) interfeyslarga ajratilgan IP-manzillar ishlashga ruxsat oladi. 2. Ichki xostlarga tashqi kirishni oldini olish yoki cheklash, ichki tarmoqdan tashqi tarmoqqa kirish imkoniyatini qoldirish imkonini beradi. Tarmoq ichidan ulanish boshlanganda, translyatsiya yaratiladi. Tashqaridan kelgan javob paketlari yaratilgan translyatsiyaga mos keladi va shuning uchun oʻtkazib yuboriladi. Agar tashqi tarmoqdan keladigan paketlar uchun mos keladigan translatsiya boʻlmasa (va u ulanish boshlanganda yoki statik holda yaratilishi mumkin boʻlsa), ular oʻtkazilmaydi. 3. Ichki xostlar / serverlarning ma'lum ichki xizmatlarini yashirishga imkon beradi. Aslida, xuddi shu translyatsiya ma'lum bir portda amalga oshiriladi, ammo rasmiy ravishda roʻyxatdan oʻtgan xizmatning ichki portini almashtirish mumkin (masalan, tashqi 54055 uchun TCP port 80 (HTTP server)). NAT orqasidagi ichki serverda u odatdagi 80-portda ishlaydi. Statik NAT Birga bir Public IP Pool 200.200.200.1 200.200.200.1 200.200.200.1 200.200.200.1 Dinamik NAT 192.168.0.1 Ko pga ko p maydon Internet 192.168.0.2 192.168.0.1 192.168.0.3 192.168.0.4 192.168.0.2 NAT translatsiyasi Ichki lokal IP Ichki global IP 192.168.0.1 200.200.200.1 192.168.0.2 200.200.200.2 192.168.0.3 200.200.200.3 192.168.0.4 200.200.200.4 Public IP Pool 200.200.200.1 200.200.200.2 200.200.200.3 200.200.200.4 200.200.200.5 200.200.200.6 200.200.200.7 200.200.200.8 Internet 192.168.0.3 192.168.0.4 Random NAT translatsiyasi Ichki lokal IP Ichki global IP 192.168.0.1:18 Ko pga bir port orqali 192.168.0.2:19 Internet 192.168.0.3:20 192.168.0.1 192.168.0.2 192.168.0.3 192.168.0.4 Global IP 192.168.0.4:21 200.200.200.1 Port NAT translatsiyasi raqami Ichki lokal IP Ichki global IP 192.168.0.1:18 200.200.200.1:18 192.168.0.2:19 200.200.200.1:19 PAT (NAT overload) 192.168.0.3:20 200.200.200.1:20 192.168.0.4:21 200.200.200.1:21 8.8-rasm. Manzillarni translatsiyalash mexanizmi 104 200.200.200.2 200.200.200.4 200.200.200.7 200.200.200.8 Shu bilan birga, ushbu texnologiyaning kamchiliklari haqida ham aytib oʻtish lozim: 1. Bazi protokollar NATni "aylanib" oʻtishlari mumkin. Muloqot qiluvchi xostlar oʻrtasida yoʻlda manzil translatsiyasi boʻlsa, ba'zilari muvaffaqiyatsiz boʻladi. IP-manzillarni translatsiyasi qiladigan ba'zi bir tarmoqlararo ekranlari ushbu kamchilikni nafaqat IP-sarlavhalarda, balki yuqori qatlamlarda (masalan, FTPbuyruqlarda) IP-manzillarni mos ravishda almashtirish orqali tuzatishi mumkin. 2. "Koʻp manzilni bittaga" manzillarning translatsiyasi tufayli foydalanuvchilarni aniqlashda qoʻshimcha qiyinchiliklar yuzaga keladi va toʻliq translatsiyasi jurnallarini saqlash zarurati tugʻiladi. 3. NATni bajaradigan tugundan DoS hujumi uyushtirilishi mumkin - agar NAT koʻplab foydalanuvchilarni bir xil xizmatga ulash uchun ishlatilsa, bu xizmatga DoS hujumi amalga oshirish mumkin (koʻplab muvaffaqiyatli va muvaffaqiyatsiz urinishlar). Masalan, NAT orqasida juda koʻp ICQ foydalanuvchilari ruxsat etilgan ulanish tezligidan oshib ketganligi sababli ba'zi foydalanuvchilar uchun serverga ulanish bilan bogʻliq muammolarga olib keladi. Amaliy qism Statik NAT bo`yicha ishni bajarish tartibi Cisco IOS Routerlarida NATni sozlash quyidagi bosqichlarni oʻz ichiga oladi 1. Ichki va tashqi interfeyslarni tayinlang 2. Translatsiya kim uchun (qaysi IP manzillari) amalga oshirilishini aniqlang. 3. Qaysi translatsiya ishlatishni tanlang 4. Translatsiyani tekshiring Birinchi navbatda 8.9 - rasmdagi tarmoq topologiyasi boʻyicha Router1 va Router2 larga ixtiyoriy yoʻnalishda ip route beriladi. Chunki Internet qismidagi IP - adresslarni oldindan bilmaymiz. Router1(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.2 Router2(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1 105 8.9 – rasm. Statik NAT tamoyili asosida qurilgan tarmoq tuzilishi 8.10-rasm. Manzillarni translatsiyasi boʻyicha olingan natijalar NAT-statik konfiguratsiyasini Router1 ga sozlash uchun birinchi navbatda translyatsiya boʻluvchi manzilar ko`rsatiladi, yani Private 192.168.1.2 IP-adres manzilni Public 195.158.1.10 manzilga yoki Private 192.168.1.3 manzil Public 195.158.1.11 manzilga translyatsiya qilinadi. Router1(config)#ip nat inside source static 192.168.1.2 195.158.1.10 Router1(config)#ip nat inside source static 192.168.1.3 195.158.1.11 Keyingi jarayon Statik NAT ni kiruvchi va chiquvchi router interfeysga biriktiriladi. Router1(config)#interface fastEthernet 0/1 Router1(config-if)#ip nat outside 106 Router1(config-if)#exit Router1(config)#interface fastEthernet 0/0 Router1(config-if)#ip nat inside Router1(config-if)#end Router1#show ip nat translations Bu yerda: 192.168.1.2 manzil-lokal tarmoqdagi PC mazili hisoblanadi. Shu Private manzilini internetga chiqishi uchun Public manziliga (195.158.1.10) oʻzgartirildi. Bu jarayonda faqat bitta PC 1 manzil internetga ulana oladi, ammo boshqa PC internetga ulana olmaydi. Agar boshqa PC lar tashqi tarmoqqa chiqishi uchun shu holat qayta takrorlanadi. Manzillarni translatsiya jarayonini koʻrish uchun quyidagi komandalar orqali amalga oshiriladi: Router1# show ip nat translations Router1# show ip nat statistics 8.11-rasm. Manzillarni translatsiyasi boʻyicha olingan natijalar Dinamik NAT bo`yicha ishni bajarish tartibi 107 8.12 – rasm. Dinamik NAT tamoyili asosida qurilgan tarmoq tuzilishi Birinchi navbatda Router1 va Router2 larga statik ip route beriladi. Chunki internet qismidagi adreslarni oldindan bilmaymiz. Router1(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.2 Router2(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1 195.158.1.1 dan 195.158.1.10 gacha public IP adreslarni tarqatishimiz uchun TATU nomli Pool yaratamiz. Router(config)#ip nat pool TUIT 195.158.1.1 195.158.1.10 netmask 255.255.255.240 LAN tarmoqlar ichida aynan 192.168.1.0/24 tarmoq internetga chiqishi uchun Access list foydalanamiz Router1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 Access list ni TATU nomli yaratilgan NAT ga biriktiramiz. Router1(config)#ip nat inside source list 10 pool TUIT Router ning kirish va chiqish portlariga NAT ni biriktiramiz. Router1(config)#interface fastEthernet 0/0 Router1(config-if)#ip nat inside Router1(config-if)#exit Router1(config)#interface fastEthernet 0/1 108 Router1(config-if)#ip nat outside Router1(config-if)#exit 8.13-rasm. IP manzillarni translatsiyalash Router1# show ip nat translations 109 Router1#show running-config 8.12-rasm. Manzillarni translatsiyasi boʻyicha olingan natijalar PAT bo`yicha ishni bajarish tartibi 8.14 – rasm. PAT tamoyili asosida qurilgan tarmoq tuzilishi Router1(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.2 Router1(config)#ip nat pool nad_pat 195.158.1.1 195.158.1.4 netmask 255.255.255.240 Router1(config)#access-list 10 permit 192.168.1.0 0.0.0.255 110 Router1(config)#ip nat inside source list 10 pool nad_pat overload Router1(config)#interface fastEthernet 0/0 Router1(config-if)#ip nat inside Router1(config-if)#exit Router1(config)#interface fastEthernet 0/1 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#end Router#copy run startup-config Router 2 konfiguratsiyasi Router(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.1 8.15-rasm. Manzillarni translatsiyalash natijasi 111 LAN tarmogìdagi barcha Private adreslar bitta 195.158.1.1 Public adres orqali translatsiya qilsa bo`ladi, bunda faqat port har xil boʻladi. Topshiriq  8.16-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  Tarmoqlar orasida NAT texnologiyasini sozlang.  Qurilgan topologiyani testlab ko’ring. 8.16-rasm. Tarmoq topologiyasi Nazorat savollari 1. 2. 3. 4. Manzillarni translatsiya qilish (NAT) usullarini keltiring? Statik NAT Dinamik NAT dan qanday farqlanadi? PAT ning ishlash prinsipini tushuntirib bering. Tarmoqda qanday turdagi manzillar mavjud. 9-LABORATORIYA ISHI TARMOQNI HIMOYALASH PROTOKOLLARI SCP, SNMP NI SOZLASH VA LOG FAYLLARNI TADQIQ ETISH Ishdan maqsad: SCP va SNMP tarmoqlarini himoya qilish protokollari, log fayllari va Syslog serverining sozlash koʻnikmalarini hosil qilish. 112 Nazariy qism Tarmoqni himoyalash protokollari SCP va SNMP Telnet protokolida barcha ma’lumotlar ochiq koʻrinishda uzatiladi va buzgʻunchi ularni osonlik bilan egallab olishi mumkin. Telnetga alternativ sifatida SHH protokoli taklif qilingan boʻlib, unda barcha ma’lumotlar shifrlanadi. HTTP va HTTPS protokollarida ham shunga oʻxshash holat. Biroq, tarmoq qurilmalari bilan ishlashda yuqorida keltirilgan protokollarga kamdan-kam murojat qilinadi. Quyida biz ularning koʻproq himoyalangan versiyalari hisoblangan yana bir nechta mashhur protokollarni koʻrib chiqamiz. SCP.Tizim administratorlari oldida qurilmalarning proshivkalarini qayta yuklash boʻyicha vazifalar judayam tez-tez yuzaga keladi. Buning uchun qurilmaga yangi proshivkani “tashlash” kerak boʻladi, bu odatda TFTP yoki FTP-server yordamida qilinadi. Texnologiya juda eski hisoblanadi, ammo bunday serverlar bir nechta harakat bilan kuchaytirilishi mumkin.(9.1-rasm) Local Masofadagi qurilma SCP secure copy 9.1-rasm. SCP protokolini ishlash prinsipi Ushbu protokollar (TFTP va FTP) yana qurilmalar konfiguratsiyalarini Zahira nusxalash uchun koʻp ishlatiladi. Shubhasiz koʻpchilik quyidagiga oʻxshash buyruqlar bilan tanish: Router#copy running-config tftp: Ushbu buyruq bilan joriy konfiguratsiyani masofviy TFTPserverga nusxalaydi. 113 Yoki teskari holat, TFTP yoki FTP-server konfiguratsiyani qayta tiklash uchun ishlatiladi: Router#copy tftp: running-config Ammo ahamiyatli konfiguratsiya bilan ishlashda himoyalanmagan TFTP yoki FTP-serverlardan foydalanish umuman mumkin emas. Telnet protokoliga oʻxshab, ushbu protokollar barcha ma’lumotlarni ochiq koʻrinishda uzatadi, bu buzgʻunchiga juda qimmatli axborotni – sizning qurilmangizning konfiguratsiyasini egallab olish imkonini beradi. Bunday muammoni yechish uchun SCP singari yaxshiroq himoyalangan protokol mavjud. SCP (secure copy) – fayllarni nusxalash protokoli, u transport sifatida SHH ni ishlatadi (ya’ni, barcha uzatiluvchi fayllar shifrlanadi). Ushbu protokol ishlashi uchun SCP-server za’rur. SSH-server xizmati yoqilgan istalgan Linux distributivi SCP-server hisoblanadi. Windows uchun SCP-server sifatida maxsus dasturiy ta’minotlar mavjud, masalan Solarwinds SFTP/SCP server (bepul versiyalari mavjud). Zahira nusxalash jaroyonining oʻzi quyidagicha amalga oshiriladi: Router#copy running-config Cisco-Conf/Router1.config scp://user:password@192.168.1.100/ Ushbu buyruq bilan biz 192.168.1.100 ip-adresli SCPserverning Cisco-Conf deb nomlangan papkasiga joriy konfiguratsiyani nusxalaymiz, fayl esa Router1.config degan nom oladi. SCP-serverga ulanish uchun serverda oldindan yaratilgan login va parol ishlatiladi. Bunda barcha uzatiluvchi axborot shifrlanadi. SNMP. SNMP – Simple Network Management Protocol. Agar soʻzma-soʻz tarjima qilsak, “oddiy tarmoqni boshqarish protokoli” jumlasi kelib chiqadi. Bunday nomlanishiga qaramasdan, ushbu protokol aynan boshqarish uchun juda kamdan-kam ishlatiladi. SNMP koʻpincha monitoring (protsessor temperaturasi, kanal yuklanishi, boʻsh operativ xotira va boshqalar) uchun ishlatiladi. SNMP - UDP / TCP arxitekturasi asosida IP-tarmoqlarda qurilmani boshqarish uchun standart Internet protokoli. SNMP yoqilgan qurilmalar tarkibiga marshrutizatorlar, komutatorlar, serverlar, ishchi stansiyalari, printerlar, modemlar va boshqalar kiradi. Protokol odatda tarmoqni boshqarish tizimlarida administrator 114 e'tiborini talab qiladigan sharoitlarda tarmoq qurilmalarini kuzatishda ishlatiladi. SNMP Internet Engineering Task Force (IETF) tomonidan TCP / IP tarkibiy qismi sifatida kiritildi. U dasturni boshqarish protokoli, ma'lumotlar bazasi sxemasi va ma'lumotlar ob'ektlari toʻplamini oʻz ichiga olgan tarmoqni boshqarish standartlari toʻplamidan iborat. SNMP boshqariladigan tizimning konfiguratsiyasini tavsiflovchi oʻzgaruvchilar shaklida boshqaruv ma'lumotlarini taqdim etadi. Ushbu oʻzgaruvchilarni boshqarish dasturlari soʻrashi mumkin (va ba'zida oʻrnatilishi mumkin). Protokolning uch versiyasi mavjud: SNMPv1, SNMPv2c va SNMPv3. Batafsil tahlil qilmasdan shu xulosani keltirish mumkinki, SNMPv3 paydo boʻlgangacha SNMP ning asosiy muammosi aynan xavfsizlik boʻlgan. Protokolning dastlabki ikkita versiyasi juda kuchsiz autentifikatsiya mexanizmiga ega, mohiyatan u ochiq koʻrinishda uzatiladigan faqatgina bitta parol (birikmalar qatori) dan tashkil topgan. Bu juda jiddiy zaiflik, buzgʻunchi ushbu parolni qoʻlga kiritish imkoniyatiga ega boʻladi, undan keyin u SNMP ishga tushirilgan qurilmadan barcha zaruriy axborotlarni olishi mumkin. Agar siz SNMP ni boshqarish uchun ishlatsangiz, unda xavfsizlik bilan bogʻliq vaziyat yana ham koʻproq diqqat talab qiladi. Ushbu xavfsizlik muammosini yechish uchun SNMPv3 protokoli yaratilgan, u uchta variantda ishlatilishi mumkin: 1. noAuthNoPriv – parollar ochiq koʻrinishda uzatiladi, ma’lumotlar konfidensialligi mavjud emas; 2. authNoPriv – konfidensialliksiz autentifikatsiya; 3. authPriv – autentifikatsiya va shifrlash. Asosiy tushunchalar tahlili. SNMPdan foydalanishda bir yoki bir nechta ma'muriy kompyuterlar (menejerlar deb ataladigan dasturlar ishlaydigan) xostlar guruhini nazorat qiladi yoki boshqaradi hamda kompyuter tarmogʻidagi har bir boshqariladigan tizimda menejerga SNMP orqali ma'lumot yetkazib beradigan agent deb nomlangan doimiy ishlaydigan dastur mavjud boʻladi. SNMP menejerlari boshqariladigan tizimlarning konfiguratsiyasi va ishlashi toʻgʻrisidagi ma'lumotlarni qayta ishlaydi va ularni SNMP-ni qoʻllab-quvvatlash uchun qulay boʻlgan ichki formatga aylantiradi. Protokol shuningdek, ushbu oʻzgaruvchilarni masofadan oʻzgartirish orqali yangi konfiguratsiyani oʻzgartirish va 115 qoʻllash kabi faol boshqaruv vazifalariga ruxsat beradi. SNMP orqali mavjud boʻlgan oʻzgaruvchilar ierarxiyada tashkil etiladi. Ushbu ierarxiyalar, boshqa metama'lumotlar singari (masalan, oʻzgaruvchining turi va tavsifi) boshqaruv ma'lumot bazalari (MIB Management information base) tomonidan tavsiflanadi. Monitoring serveri SNMP SNMP 9.2-rasm. SNMP protokolining ishlash prinsipi SNMP tomonidan boshqariladigan tarmoqlarda uchta asosiy komponent mavjud: – Boshqariladigan qurilma; – Agent - boshqariladigan qurilmada yoki boshqariladigan qurilmaning boshqaruv interfeysiga ulangan qurilmada ishlaydigan dastur; – Tarmoqni boshqarish tizimi (Network Management System, NMS) - menejerlar bilan oʻzaro aloqada boʻlib, tarmoqning holatini aks ettiradigan ma'lumotlarning murakkab tuzilishini saqlab qoladigan dastur. – Boshqariladigan qurilma - element haqidagi aniq ma'lumotlarga bir tomonlama (faqat oʻqish uchun) yoki ikki tomonlama kirishga imkon beradigan boshqaruv interfeysini (SNMP 116 shart emas) amalga oshiradigan tarmoq elementi (apparat yoki dasturiy ta'minot). Boshqariladigan qurilmalar ushbu ma'lumotlarni menejer bilan almashadilar. Boshqariladigan qurilmalar har qanday turdagi qurilmalar boʻlishi mumkin: marshrutizatorlar, autentifikatsiya serverlari, komutatorlar, koʻpriklar, markazlar, IP telefonlar, IP kameralar, kompyuterlar, printerlar va boshqalar. – Agent - bu boshqariladigan qurilmada yoki boshqariladigan qurilmaning boshqaruv interfeysiga ulangan qurilmada joylashgan tarmoqni boshqarish dasturiy moduli. Agent nazorat ma'lumotlari toʻgʻrisida lokal ma'lumotlarga ega va ushbu ma'lumotlarni SNMP-ga xos shaklda namoyish qiladi. – Tarmoqni boshqarish tizimi (NMS) boshqariladigan qurilmalarni nazorat qiluvchi va boshqaradigan dasturni oʻz ichiga oladi. NMSlar tarmoqni boshqarish uchun zarur boʻlgan ma'lumotlarni qayta ishlashning asosiy qismini ta'minlaydi. Har qanday boshqariladigan tarmoq bir yoki bir nechta NMSga ega boʻlishi mumkin. Protokol tafsilotlari. SNMP TCP / IP ilova sathida ishlaydi (OSI modelining 7-sathi). SNMP agenti 161-sonli UDP portida soʻrovlarni qabul qiladi. Menejer istalgan mavjud portidan soʻrovlarni agent portiga yuborishi mumkin. Agentning javobi menejerdagi manba portiga qaytarib yuboriladi. Menejer 162-portda xabarnomalar (Traps va InformRequests) oladi. Agent mavjud boʻlgan har qanday portdan xabarnomalarni yaratishi mumkin. TLS yoki DTLS dan foydalanilganda, soʻrovlar 10161 portiga qabul qilinadi va tuzoqlar 10162 portiga yuboriladi. SNMPv1 protokolning beshta asosiy birliklarini (protocol data units - PDU) aniqlaydi. Yana ikkita PDU, GetBulkRequest va InformRequest, SNMPv2 tomonidan taqdim etiladi va SNMPv3ga koʻchiriladi. Barcha SNMP PDUlari quyidagicha tuzilgan(9.3-rasm): Yettita SNMP almashinuv protokoli birligi quyida keltirilgan: GetRequest. Oʻzgaruvchining qiymatini yoki oʻzgaruvchilar roʻyxatini olish uchun menejerdan ob'ektga soʻrovi. Kerakli oʻzgaruvchilar oʻzgaruvchan bogʻlash maydonida koʻrsatilgan (maydonning qiymatlari boʻlimi ishlatilmaydi). Belgilangan oʻzgaruvchining qiymatlarini olish agent tomonidan Atomik 117 operatsiya sifatida bajarilishi kerak. Joriy qiymatlarga Response (javob) menejerga qaytariladi. SetRequest. Menejerning ob'ektga oʻzgaruvchini yoki oʻzgaruvchilar roʻyxatini oʻzgartirish haqidagi soʻrovi. Bogʻlangan oʻzgaruvchilar soʻrovlar qismida koʻrsatiladi. Belgilangan barcha oʻzgaruvchilarga oʻzgartirishlar agent tomonidan atomik operatsiya sifatida bajarilishi kerak. Oʻzgaruvchilarning (joriy) yangi qiymatlariga Response (javob) menejerga qaytariladi. IP UDP versio commu PD requ error erro head head n nity U- est-id rer er (versiy (parol) typ (id statu inde (UDP asi) e soʻro s x (IP sarlav (PD vi) (xato (xato sarlav ha) Ulik lik ha) turi) daraj inde asi) ksi) variable bindings (bogʻlang an oʻzgaruvc hilar) 9.3-rasm. SNMP protokolida PDU GetNextRequest. Mavjud oʻzgaruvchilar va ularning qiymatlarini topish uchun menejerdan ob'ektga soʻrovi. Javob MIB bazasida leksik tartibda navbatdagi oʻzgaruvchiga bogʻliq oʻzgaruvchilar bilan menejerga qaytariladi. OID 0 dan boshlab butun MIB agentini GetNextRequest yordamida takrorlash orqali oʻtish mumkin. Jadval satrlarini soʻrovdagi bogʻliq oʻzgaruvchilardagi ustunlarning OID-larini koʻrsatish orqali oʻqish mumkin. GetBulkRequest. GetNextRequest-ning takomillashtirilgan versiyasi. GetNextRequest-ning bir necha marta takrorlanishi uchun menejerdan ob'ektga murojaat qilish. Javob menejerga soʻrovda bogʻlangan oʻzgaruvchi(lar)dan boshlab bir nechta bogʻlangan oʻzgaruvchilarni chetlab oʻtib qaytariladi. PDUga xos takrorlanmaydigan va maksimal takroriy maydonlar javob xattiharakatlarini boshqarish uchun ishlatiladi. GetBulkRequest SNMPv2da taqdim etilgan. Response. Agentdan GetRequest, SetRequest, GetNextRequest, GetBulkRequest va InformRequest uchun bogʻlangan oʻzgaruvchilar va qiymatlarni menejerga qaytaradi. Xato xabarnomalari xato holati va xato indekslari maydonlaridan iborat boʻladi. Ushbu birlik get- va 118 set-soʻrovlariga javob sifatida ishlatilgan boʻlsada, SNMPv1da GetResponse deb nomlangan. Trap. Agentdan menejerga mos kelmaydigan xabarnoma. Joriy sysUpTime qiymati, trap(tuzoq) turi, OID va ixtiyoriy bogʻlangan oʻzgaruvchilarni oʻz ichiga oladi. Trap manzilini aniqlash MIBda trap tuzilmasi oʻzgaruvchilari yordamida aniqlanadi. Trap xabar formati SNMPv2ga oʻzgartirildi va PDU SNMPv2 Trap deb oʻzgartirildi. InformRequest. Menejerdan menejerga yoki agentdan menejerga sinxron xabarnoma. SNMPv1da menejerdan menejerga xabar berish mumkin edi (Trap yordamida), lekin SNMP odatda UDPda ishlaydi, unda xabarlarni yetkazib berish kafolatlanmaydi va yoʻqolgan paketlar haqida xabar berilmaydi. InformRequest buni qabul qilish toʻgʻrisidagi tasdiqnomani qaytarib yuborish orqali tuzatadi. Qabul qilgich InfromRequest-dan olingan barcha ma'lumotlarni Response xabari bilan javob beradi. Ushbu PDU SNMPv2da taqdim etilgan. Shuni qoʻshimcha qilish mumkin, SNMP protokoli istalgan korporativ tarmoqning ahamiyatli qismi hisoblanadi. U barcha ITinfratuzilmani monitoring qilish uchun keng qoʻllaniladi. Hatto ushbu maqsad uchun maxsus dasturiy ta’minot (masalan Zabbix) mavjud, u butun tarmoq toʻgʻrisida axborotlarning katta miqdorini yigʻadi. Ushbu axborotlar agar buzgʻunchining “qoʻliga” tushsa tahdid tugʻdirishi mumkin. Aynan shuning uchun SNMPning himoyalangan varianti sizning tarmogʻingiz xavfsizligi uchun ahamiyatli qadam hisoblanadi. Log fayllarni tadqiq etish. Agar siz qachondir Tarix darslariga qatnashgan boʻlsangiz, “Tarixiy xotirasiz kelajak yoʻq” degan ma’nodagi frazalarni eshitgansiz. Bunda axborot xavfsizligi sohasida ham tadbiqiga ega boʻlgan chuqur ma’no bor. Bizning holatda tarix darsligi sifatida log fayllar (logs) xizmat qiladi. Ular voqealar jurnali, registratsiya fayllari deb ham nomlanadi. Qanday nomlanishiga qaramasdan mazmuni bitta – barcha voqealar toʻgʻrisida xronologik tartibda yozuvlarni saqlash. “Voqealar” deganda aniq nimalar tushinilishiga keyinroq yana toʻqtalamiz. Koʻpchilik tizim administratorlari loglarga beparvolik bilan munosabat qilishadi. Loglarni umuman yigʻmaydi yoki ularga diqqat qaratishmaydi. Ayni paytda, loglar nosozliklarni izlashda (troubleshooting) va turli hodisalarni tekshirishda eng kuchli 119 uskunalardan biri hisoblanadi. Ularga quyidagilarni kiritish mumkin, masalan: Marshrutizatorga kirishga nechta muvaffaqiyatsiz urinishlar sodir boʻldi? Qachon VPN-tunnelga hujum amalga oshirildi? Qurilmaning qayta yuklanganidan berli qancha vaqt oʻtdi va bu elektrning oʻchishi bilan bogʻliqmi? Konfiguratsiyada oxirgi oʻzgartirish qachon amalga oshirildi? Ushbu va boshqa koʻplab shu kabi savollarga biz faqat loglarga murojat qilgan holda javob topishimiz mumkin. Loglash (logging) amalda sizning tarmogʻingizda sodir boʻlgan hamma narsani koʻrish imkonini beradi. Barcha qurilmalarni real vaqt rejimida kuzatib borish mumkin emas, ayniqsa hodisalar tunda sodir boʻlsa, tarmoq esa oʻnlab kommutatorlar va marshrutizatorlardan tashkil topgan boʻlsa. Bundan tashqari, loglarni davriy ravishda koʻrib chiqish kelajakda yuzaga kelishi mumkin boʻlgan muammolarning oldini olishga yordam beradi. Afsuski, Cisco (va boshqa ishlab chiqaruvchilar) ning tarmoq qurilmalari loglar uchun juda cheklangan joyga (bufer) ega, bu oʻz navbatida loglarda aks etishi mumkin boʻlgan vaqt oraligʻiga ta’sir qiladi. Bufer hajmi tugagandan soʻng, eng eski loglar oddiygina oʻchiriladi. Bundan tashqari, qurilma qayta yoqilganda, loglar qayta tiklanmaydigan koʻrinishda yoʻqoladi. Ushbu muammolarni hal qilish uchun Log-serverlaridan foydalaniladi. Loglarni yigʻish usullari. Cisco qurilmalaridan (va boshqa ayrim qurilmalardan ham) loglarni yigʻishning 6 usuli mavjud. Ularni koʻrib chiqamiz: 1) Console Logging – Xabarlarni konsolga chiqarish. Ushbu usul avtomatik ishlaydi va logni toʻgʻridan-toʻgʻri qurilma konsoliga chiqaradi. 2) Buffered Logging – Qurilma buferiga, ya’ni RAM xotirasiga loglarni saqlash. 3) Terminal Logging – loglarni terminalga chiqarish, ya’ni Telnet yoki SSH seanslari uchun. 4) Syslog сервер – Syslog protokoli yordamida loglarni markazlashtirilgan yigʻish. 5) SNMP Traps – SNMP protokoli orqali loglarni markazlashtirilgan yigʻish. 6) AAA – Accounting ni ishlatish. Qurilmaga ulanish va buyruqlarni kiritish bilan bogʻliq yigʻish. 120 Usullarning har biri oʻzining afzalliklari va kamchiliklariga ega, shuning uchun ularni birgalikda ishlatish kerak. Quyida ushbu usullarning ayrim jihatlarini koʻrib chiqamiz. Loglash darajalari. Biroz yuqoriroqda, biz loglar xronologik tartibdagi barcha voqealarning yozuvlari deb xulosa qildik. Ammo voqea deganda nimani tushinish kerak? Bularning barchasi loglash darajasiga bogʻliq. Loglarda qanday ma'lumot koʻrsatilishi kerakligini aynan ushbu darajalar aniqlaydi. Jami 8 ta loglash darajasi mavjud: 0 - Emergencies. Tizimning ishlamasligi bilan bogʻliq hodisalar. 1 - Alets. Darhol chora koʻrish zarurligi toʻgʻrisida xabarlar. 2 - Critical. Muhim voqealar. 3 - Errors. Xatoliklar haqida xabarlar. 4 - Warnings. Ogohlantirishlarni oʻz ichiga olgan xabarlar. 5 - Notifications. Muhim bildirgilar. 6 - Informational. Axborot xabarlari. 7 - Debugging. Nosozliklarni tuzatish xabarlari. Ushbu darajalar irsiydir, ya'ni 7-darajani tanlab, siz barcha darajadagi xabarlarni qabul qilasiz (0 dan 7 gacha), va 3-darajani tanlaganingizda – faqat 0 dan 3 gacha. Loglash darajasini ehtiyotkorlik bilan oshiring, chunki bu daraja qanchalik baland boʻlsa, protsessorga yuklama shuncha ortadi. Masalan, agar marshrutizator orqali "katta" trafik oʻtayotgan boʻlsa va protsessor allaqachon katta yuklama ostida boʻlsa, u holda 7-darajani (Debugging) yoqsangiz siz shunchaki qurilma ustidan nazoratni yoʻqotishingiz mumkin. Korporativ tarmoqlarda loglashning 6-darajasi (Informational) koʻpincha qoʻllaniladi. 7-daraja (Debugging) odatda nosozliklarni qidirishda (troubleshooting) ishlatiladi, masalan, VPN tunnelini qurish bilan bogʻliq muammolarni aniqlash uchun. Console Logging. Kommutatorga yoki marshrutizatorga konsol orqali ulanganingizdan soʻng, darhol loglarni koʻrasiz. Avtomatik tarzda loglashning 5-darajasi yoqilgan boʻladi. Agar qurilma yuklama ostida boʻlsa (ya'ni u orqali trafik oʻtayatgan boʻlsa), hech qanday holatda loglash darajasini oshirmasligingiz kerak, aks holda siz shunchaki konsolda ishlay olmaysiz, chunki doimiy ravishda loglar paydo boʻlishi buyruqlar yozishingizga toʻsqinlik qiladi. Bunga qoʻshimcha ravishda, agar siz oddiygina konsol kabelini tortib 121 olsangiz, u holda jurnallar konsolga yuborilishni davom ettiradi va qurilmadan muhim resurslarni iste'mol qiladi. Biroq, Console Logging eng qulay boʻlgan holatlar (odatda testlash bosqichida) mavjud, chunki qurilmani real vaqtda kuzatib borish imkoniyatini beradi. Loglash darajasini sozlash uchun quyidagi buyruqdan foydalaning: Router(config)#logging console 7 yoki Router(config)#logging console debugging Agar loglar konsolda ishlashga xalaqit berishni boshlasa, unda loglash darajasini oʻzgartiring yoki ularni buyruq bilan oʻchirib qoʻying: R1(config)#no logging console Buffered Logging. Yuqorida aytib oʻtilganidek, loglar qurilmaning oʻzida, buferda – RAM xotirasida saqlanishi mumkin. Bunday holda siz ushbu bufer hajmini oʻzgartirishingiz va shu bilan loglash “chuqurligini” sozlashingiz mumkin. Bufer hajmini tanlashda siz juda ehtiyot boʻlishingiz kerak. Odatda u qurilmaning boʻsh operativ xotirasiga bogʻliq. Buferni juda kichik qilib oʻrnatib, boʻsh joy tugagandan soʻng ustiga yoziladigan muhim voqealarni oʻtkazib yuborish xavfi mavjud. Buferni juda katta tanlab, siz qurilmaning barcha boʻsh xotiralarini egallashingiz mumkin, bu esa noma'lum oqibatlarga olib keladi. Odatda, bufer hajmi 16 yoki 32 KB ga oʻrnatiladi. Soʻnggi zamonaviy qurilmalar loglar uchun bir necha megabayt operativ xotirani ajratishga imkon beradi. Oʻrnatish oddiy: Router(config)# logging on Router(config)# logging buffered 32768 Router(config)# logging buffered informational Ushbu holatda biz oldin Buffered Logging ni yoqdik, soʻngra bufer hajmini 32 Kbayt qilib oʻrnatdik va loglash darajasini tanladik 122 (informational, ya’ni 6-chi). Loglarni koʻrish uchun imtiyozli rejimdan show log buyrugʻidan foydalaning. Hatto Syslog serveridan foydalansangiz ham, loglarni yigʻish usulini hech qachon e'tiborsiz qoldirmang. Syslog serveri ishlamay qolganda shunday holat boʻlishi mumkin, agar Buffered Logging ishlatmasangiz, jurnallar qaytarib boʻlmaydigan darajada yoʻqoladi. Terminal Logging. Avval aytib oʻtganimizdek, ba’zida Console Loggingdagi misolda boʻlgani kabi, loglarni real vaqtda koʻrishingiz kerak boʻlgan holatlar mavjud. Bunday holda, logni toʻgʻridan-toʻgʻri qurilma konsoliga chiqarish, buferdan xabarlarni koʻrsatish uchun show log buyrugʻini doimiy ravishda yozishdan koʻra ancha qulaydir. Ammo konsoldan foydalanish har doim ham mumkin emas. Masofaviy ulanish bilan nima qilish kerak (Telnet, SSH)? Ushbu muammoni hal qilish uchun terminal sessiyasida loglarni koʻrsatishga imkon beruvchi terminal monitor buyrugʻi mavjud. Bunday holda, siz loglash darajasini ham oʻrnatishingiz mumkin: Router(config)#logging monitor informational Router(config)#exit Router#terminal monitor Terminal monitor buyrugʻi global konfiguratsiya rejimidan emas, balki imtiyozli rejimdan kiritilganligini unutmang. Loglarni oʻchirish uchun terminal no monitor buyrugʻidan foydalaning. Terminal monitorni yoqayotganda, qurilmadagi yuklamaning koʻpayishi va loglash darajalarining ahamiyati haqida eslang. Shuningdek, siz ulangan kanalning oʻtkazuvchanligini hisobga olish kerak. Katta hajmdagi jurnallar bilan kanal toʻliq tiqilib qolishi mumkin, bu terminal sessiyasining tugashiga olib keladi (ya'ni siz boshqaruvni yoʻqotasiz). Juda kam hollarda Terminal Logging ishlatiladi. Uning oʻrniga, Syslog serveridan foydalanish ancha qulayroq. Syslog-server. Log-serverning asosiy vazifasi – barcha tarmoq qurilmalaridan loglarni markazlashkan yigʻish. Jurnallar ajratilgan log-serverda toʻplanadi, bunda diskda katta boʻsh joy boʻlishi mumkin, bu sizga hodisalarni ancha uzoq vaqt oraligʻida (6, 12 oy va undan ham koʻproq) saqlashga imkon beradi. Log-serverdan foydalanishda monitoring juda soddalashadi, chunki bu 123 holda voqealar jurnalini tekshirish uchun har bir qurilmaga ulanishga hojat yoʻq. Log-server har qanday jiddiy tarmoqning ajralmas elementidir(9.4-rasm). Jurnallarni yigʻish maxsus protokollar yordamida amalga oshiriladi. Syslog amalda standart hisoblanadi, shuning uchun Syslog serverini koʻpincha oddiygina Log Server deb atashadi. Ushbu protokol 514 (UDP) portidan foydalanadi va barcha ma'lumotlar ochiq koʻrinishda yuboriladi. Loglarni yigʻishning yana bir mashhur usuli – bu SNMP Traps hisoblanadi. Log-serverini tanlashda uning ushbu texnologiyalarni qoʻllab-quvvatlashiga ishonch hosil qiling. 9.4-rasm. Log-serverni ishlash prinsipi Log serverga Windows tizimlari uchun bepul versiyasiga ega boʻlgan Kiwi Syslog serverini misol qilib keltirish mumkin. Linux tizimlari uchun koʻproq tanlovlar mavjud. Shunisi e'tiborga loyiqki, loglarni saqlash zoʻr yechim emas. Tasavvur qiling, har kuni sizning tarmogʻingizda milliondan ortiq voqealar sodir boʻladi (bu oʻrta tarmoq uchun juda kamtar koʻrsatkich). Bundan tashqari, loglar nafaqat foydali ma'lumotlarni oʻz ichiga oladi. Ushbu tartibsizlik bilan qanday kurashish mumkin? Shuning uchun hozirgi kunda rivojlangan qidirish funksiyasi va voqealarni avtomatik tahlil qilish va oʻzaro bogʻliqligi boʻlgan Log serverlari juda mashhur boʻlib kelmoqda. Bu bizga katta miqdordagi 124 voqealar orasida eng muhimini ajratib olishga imkon beradi. Bunday log serverlari Log Management yoki SIEM tizimlari deb tasniflanadi. Keling, loglarni maxsus log-serverga yuborish uchun Cisco qurilmalarini sozlashning boshlangʻich jarayonini koʻrib chiqamiz: Router(config)#logging host 192.168.1.100 \ Syslog-serveri adresi Router(config)#logging trap informational \6-darajali loglash Bundan tashqari, Syslog server barcha xabarlarni saralashiga asoslangan loglar toifalarini (facilities) sozlashingiz mumkin. Biroq, ushbu parametr tanlangan serverga bogʻliq, shuning uchun biz ushbu mavzuni koʻrib chiqmaymiz. SNMP Traps. SNMP Traps ning eng muhim ustunligi – ma’lum bir qurilma parametrlari bilan bogʻliq loglarni uzatish qobiliyatidir, masalan: protsessor harorati, tarmoq yuklamasi, konfiguratsiyadagi oʻzgarishlar va h.k. Bu loglar oddiygina toifalarga ajratilgan “klassik” loglash darajalaridan sezilarli darajada farq qiladi. SNMP Traplar dan foydalanib, siz loglar sonini sezilarli darajada kamaytira olasiz va faqatgina kerakli parametrlarni monitoring qilishingiz, qolgan “keraksiz xabar” lardan xalos boʻlishingiz mumkin. Amaliy qism Laboratoriya ishi ikkita topshiriqdan iborat: 1-topshiriq:  1-rasmda keltirilgan topologiya boʻyicha tarmoq hosil qiling;  R1 va R2 routerlarda SNMP ni yoqing. Bunda: ro community = public; rw community = private boʻlsin;  PC da MIB browser dan foydalangan holda R1 va R2 routerlarning nomlarini (hostname) koʻring;  MIB browser orqali R1 routerning interfeyslarini koʻring;  MIB browser orqali R1 routerda interfeys turlarini koʻring;  MIB browser orqali R1 routerda marshrutizatsiya jadvalini koʻring;  MIB browser orqali R1 routerning nomini (hostname) oʻzgartiring;  Yoʻqoridagi vazifalarni R2 router uchun takrorlang. 125 1 topshiriq bo`yicha laboratoriya ishini bajarish tartibi 1-topshiriqni bajarish boʻyicha tarmoq topologiyasi quyidagi koʻrinishga ega boʻladi (9.5-rasm). 9.5-rasm. SNMP protokoli asosida tarmoq monitoringini amalga oshirish uchun topologiya R1 va R2 routerlarda SNMP ni yoqish uchun quyidagi buyruqlar kiritiladi. R1 router uchun: Router>en Router#conf t Router(config)#hostname R1 R1(config)#snmp-server community public ro R1(config)#snmp-server community private rw R1(config)#exit R2 router uchun: Router>en Router#conf t Router(config)#hostname R2 R2(config)#snmp-server community public ro R2(config)#snmp-server community private rw R2(config)#exit MIB browser yordamida PC dan R1 routerga kirish jarayoni 9.6-rasmda tasvirlangan. 126 9.6-rasm. MIB browser yordamida R1 routerga kirish MIB browser yordamida R1 routerni nomini (hostname) koʻrish jarayoni 9.7-rasmda tasvirlangan. 9.7-rasm. MIB browser yordamida R1 routerni hostnameini koʻrish MIB browser yordamida R1 routerning interfeyslarini koʻrish jarayoni 9.8-rasmda tasvirlangan. Bu bizga routerning R1#show ip interface brief komandasi bergan ma’lumotlarni bera oladi. 127 9.8-rasm. MIB browser yordamida R1 routerni interfeyslarini koʻrish MIB browser yordamida R1 routerning interfeys turlarini koʻrish jarayoni 9.9-rasmda tasvirlangan. 9.9-rasm. MIB browser yordamida R1 routerni interfeys turlarini koʻrish MIB browser yordamida R1 routerning marshrutizatsiya jadvalini koʻrish jarayoni 9.10-rasmda tasvirlangan. 128 9.10-rasm. MIB browser yordamida R1 routerni marshrutizatsiya jadvalini koʻrish MIB browser yordamida R1 routerning nomini (hostname) oʻzgartirish jarayoni 9.11-rasmda tasvirlangan. 129 9.11-rasm. MIB browser yordamida R1 routerning nomini (hostname) oʻzgartirish 2-topshiriq:  9.12-rasmda ko`rsatilgan topologiya bo`yicha SYSLOG serverni sozlang  Router0 va Router1 routerlari log fayllarni SYSLOG serverga yozib qoʻyishi uchun tegishli konfiguratsiyalarni oʻrnating. 2 topshiriq bo`yicha laboratoriya ishini bajarish tartibi Quyidagi topologiya boʻyicha tarmoq quramiz (9.12-rasm): 9.12-rasm. SYSLOG server oʻrnatilgan tarmoq topologiyasi Router0 (R1) va Router1 (R2) da SYSLOG serverga loglarni yozib qoʻyishni konfiguratsiya qilamiz va loglash darajasini koʻrsatamiz: Router0 uchun: R1(config)#logging host 200.200.200.11 R1(config)#logging trap debugging Router1 uchun: R2(config)#logging host 200.200.200.11 R2(config)#logging trap debugging Routerlarni ayrim intefeyslarini oʻchirib/yoqib, soʻng SYSLOG serverdagi log yozuvlarni tekshiramiz (9.13-rasm): 130 9.13-rasm. SYSLOG serveriga log fayllarni yozilishi tarmoq topologiyasi Topshiriq  9.14-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  SYSLOG serverini sozlashni amalg aoshiring;  Qurilgan topologiyani testlab ko’ring. 9.14-rasm. Tarmoq topologiyasi Nazorat savollari 1. SCP protokolining vazifasi nimadan iborat. 131 2. SCP protokolining ishlash tamoyillarini tushintiring. 3. SNMP protokolining vazifasi nimadan iborat. 4. SNMP protokolining ishlash tamoyillarini tushintiring. 5. Loglar (logs) nima uchun ishlatiladi? 6. Loglash darajalari haqida ma’lumot bering. 10-LABORATORIYA ISHI AAA SERVERDA AUTENTIFIKATSIYA REJIMINI SOZLASH (RADIUS, TACACS+) Ishdan maqsad: Ma’lumot uzatish tarmoqlarida autentifikatsiya, avtorizatsiya va hisobga olish protokollarini sozlash, hamda amaliy koʻnikmaga ega boʻlish. Nazariy qism AAA (Authentication, Authorization, Accounting) mexanizmi ulanishni taqdim etish jarayonini tavsiflash va uning ustidan nazorat qilish uchun ishlatiladi. Autentifikatsiyalash (Authentication) - bu soʻrovni xavfsizlik tizimidagi mavjud roʻyxatga olish yozuvi bilan taqqoslash hisoblanadi. Bu login, parol, sertifikat, smart-karta va boshqalar boʻyicha amalga oshiriladi. Avtorizatsiya (Authorization) (vakolatlarni, ulanish darajasini tekshirish) – tizimdagi mavjud roʻyxatga olish yozuvi (autentifikatsiyalashdan oʻtgan shaxsni) va ma’lum vakolatlarni (yoki ulanishga ta’qiqlashni) taqqoslash hisoblanadi. Hisobga olish (Accounting) - bu foydalanuvchi tomonidan tizimning resurslaridan foydalanilishi haqida ma’lumotlarni toʻplash hisoblanadi. Koʻp tizimlarga ega boʻlgan (serverlar, ATS, WI-FI, binolar va boshqalar) tashkilotni (masalan, universitet) misol qilib oladigan boʻlsak, har bir tizimda bir xil foydalanuvchini roʻyxatdan oʻtkazishi kerak boʻladi. Buni amalga oshirrmaslik uchun AAA-server oʻrnatilgan va barcha foydalanuvchilar faqat unda roʻyxatdan oʻtgan boʻlishi kerak. Tashkilotning barcha tizimlari AAA-serverga ulanishadi. Ishlash algoritmi: 132 1. foydalanuvchi tizimga autentifikatsiya qilish uchun soʻrov yuboradi (parol, kalit va boshqalar); 2. tizim uni AAA-serverga uzatadi (chunki u tasdiqlay olmaydi); 3. AAA-server tizimga javob yuboradi; 4. foydalanuvchi kirish huquqini oladi yoki olmaydi. ATS FTP Tijorat WWW proxy Pochta AAA Autentifikatsiya Avtorizatsiya Ma murlash Nusxalash Ma lumotlar ba zasi WI-FI 10.1-rasm. AAA protokolini ishlash prinsipi AAA serverining asosiy protokollari.  RADIUS, DIAMETER  TACACS, TACACS+ (Cisco kompaniyasiniki) RADIUS protokoli (Remote Authentication in Dial-In User Service) serverga kirish va hisobga olish uchun autentifikatsiya protokoli sifatida Livingston Enterprises, Inc. kompaniyasi tomonidan ishlab chiqilgan. Hozirda RADIUS spesifikatsiyasi (RFC 2058) va RADIUS ma’murlash standarti (RFC 2059) IETF tomonidan umumiy qabul qilingan standartlar sifatida tasdiqlash uchun taklif qilinmoqda. RADIUS protokoli haqiqiylikni, avtorizatsiyalashni va roʻyxatga olishni tekshirishni amalga oshirish uchun ishlatiladi. RADIUS-mijoz (odatda masofadan ulanish serveri, VPN-server, simsiz tarmoqqa ulanish nuqtasi va h.k.) foydalanuvchining roʻyxatga olish ma’lumotlarini va RADIUS xabar shaklidagi ulanish 133 parametrlarini RADIUS -serverga joʻnatadi. Server haqiqiylikni tekshiradi va mijozning soʻrovini avtorizatsiyalaydi, keyin esa teskari javob xabarini joʻnatadi. Mijozlar serverlarga roʻyxatga olish xabarlarni ham joʻnatadi. Bundan tashqari, RADIUS standarti proksiserverlardan foydalanishni qoʻllaydi. RADIUSning proksi-serveri bu RADIUS protokolini qoʻllaydigan tugunlar orasida RADIUSxabarlarni qayta uzatadigan kompyuter hisoblanadi. RADIUS - xabarlarni uzatilishi uchun UDP (User Datagram Protocol - Foydalanuvchi deytagramm protokoli) protokoli ishlatiladi. RADIUS haqiqiylikni tekshirish xabarlari uchun 1812 UDP-port, roʻyxatga olish xabarlari uchun esa 1813 UDP-port ishlatiladi. Tarmoqqa ayrim ulanish serverlari RADIUS haqiqiylikni tekshirish xabarlari uchun 1645 UDP-portni va RADIUS hisobga olish xabarlari uchun esa 1646 UDP-portni ishlatishi mumkin. NAS va RADIUS serverlari oʻrtasidagi aloqa UDP protokoli asosida amalga oshiriladi. Umuman olganda, RADIUS ulanish uchun ahamiyatsiz hisoblanadi. Serverning mavjudligi, qayta uzatish va vaqt tugashi bilan bogʻliq barcha muammolar RADIUS qurilmalari tomonidan boshqariladi, lekin uzatish protokoli oʻzi tomonidan emas. RADIUS protokoli “mijoz-server” texnologiyasiga asoslangan (10.2-rasm). RADIUS mijozi odatda NAS, RADIUS serveri esa UNIX yoki NT mashinasida ishlaydi. Mijoz ma'lum bir RADIUS serverlariga foydalanuvchi ma'lumotlarini yuboradi va keyin serverdan olingan koʻrsatmalar asosida ishlaydi. RADIUS serverlari foydalanuvchiga ulanish soʻrovlarini qabul qiladi, foydalanuvchilarning autentifikatsiyasini tasdiqlaydi va keyin mijoz foydalanuvchiga xizmat qilishi uchun kerak boʻlgan barcha konfiguratsiya ma'lumotlarini yuboradi. Boshqa RADIUS serverlari yoki identifikatorning boshqa turlari uchun RADIUS server proksiklient vazifasini bajarishi mumkin. TACACS protokoli (Terminal Access Controller Access Control System)- bu User Datagram Protocol (UDP) standartlariga asoslangan kirishni boshqarish boʻyicha oddiy protokol. TACACS + bu “mijoz-server” texnologiyasi asosida ishlaydigan protokol boʻlib, bu yerda TACACS + mijozi odatda NAS deb ataladi va TACACS + server odatda "demon" deb nomlanadi (bu jarayon UNIX yoki NT mashinasida ishlaydi). TACACS + protokolining asosiy tarkibiy qismi bu autentifikatsiya, avtorizatsiya 134 va ma’murlash (AAA - Authentication, Authorization, Accounting). Bu har qanday uzunlik va tarkibdagi autentifikatsiya xabarlarini almashtirishga imkon beradi va shuning uchun PPAC PAP, PPP CHAP, apparat kartalari va Kerberos kabi TACACS + mijozlari uchun har qanday autentifikatsiya mexanizmidan foydalanadi. Autentifikatsiya majburiy amalga oshirilmaydi. Ba'zi joylarda bu umuman talab qilinmaydi, boshqalarda u faqat cheklangan xizmatlar toʻplami uchun ishlatilishi mumkin. INTERNET AAA server VPN foydalanuvchilari, Mobil foydala`nuvchilar VPN Marshrutizator, komutator, server 10.2-rasm. Foydalanuvchi va TACACS+ tizimining oʻzaro aloqasi Avtorizatsiya - bu ma'lum bir foydalanuvchi uchun ruxsat etilgan harakatlarni aniqlash jarayoni. Autentifikatsiya odatda avtorizatsiyadan oldin boʻladi, ammo bu talab qilinmaydi. Avtorizatsiya soʻrovida foydalanuvchi autentifikatsiya qilinmaganligini koʻrsatishingiz mumkin (foydalanuvchi identifikatori tasdiqlanmagan). Bunday holda, avtorizatsiya uchun mas'ul shaxs mustaqil ravishda bunday foydalanuvchini soʻralgan xizmatlarga qabul qilish toʻgʻrisida qaror qabul qilishi kerak. TACACS + faqat ijobiy yoki salbiy avtorizatsiyaga ruxsat beradi, ammo bu natija sozlanishi mumkin. Avtorizatsiya turli bosqichlarda boʻlishi mumkin, masalan, foydalanuvchi birinchi boʻlib tarmoqqa kirganda va grafik interfeysni ochmoqchi boʻlganda yoki foydalanuvchi PPPni ishga tushirganda va IPni PPP orqali ma'lum IP manzil bilan ishlatishga harakat qilganda. Bunday hollarda, TACACS + server xizmati xizmat koʻrsatishga ruxsat berishi mumkin, ammo vaqt chegaralarini belgilaydi yoki PPP kanali uchun IPga kirish roʻyxatini talab qiladi. Ma’murlash jarayoni odatda autentifikatsiya va avtorizatsiyadan soʻng amalga oshiriladi. Ma’murlash jarayoni - bu foydalanuvchi harakatlarining yozuvi. TACACS + ma’murlash jarayoni ikkita vazifani bajarishi mumkin. Birinchidan, u ishlatilgan 135 xizmatlarni yozib olish uchun ishlatilishi mumkin. Ikkinchidan, u xavfsizlik maqsadida ishlatilishi mumkin. Buning uchun TACACS + uchta turdagi hisoblarni qoʻllab-quvvatlaydi. Boshlangʻich yozuvlar xizmatni boshlash kerakligini koʻrsatadi. Stop yozuvlari xizmat endigina tugaganligini bildiradi. Yangilanish (update) yozuvlari oraliq boʻlib, xizmat hali ham taqdim etilayotganligini koʻrsatadi. TACACS+ hisoblari avtorizatsiya paytida talab qilinadigan barcha ma'lumotlarni, shuningdek boshqa ma'lumotlarni oʻz ichiga oladi: boshlanish va tugash vaqtlari (agar mavjud boʻlsa) va resurslardan foydalanish toʻgʻrisidagi ma'lumotlar. TACACS+ mijozi va TACACS + server oʻrtasidagi identifikatsiya aloqa kanallari orqali hech qachon uzatilmaydigan umumiy "sir" bilan aniqlanadi. Odatda, bu sir serverda va mijozda qoʻlda oʻrnatiladi. TACACS+ TACACS+ mijozi va TACACS+ server xizmatining oʻrtasida harakatlanadigan barcha trafiklarni shifrlashi mumkin. Amaliy qism Ushbu ishda quyidagilarni bajarish kerak: 10.3-rasmda koʻrsatilgan sxemaga muvofiq tarmoq modeli yaratiladi; 10.3-rasm. Tadqiq qilinayotgan tarmoq tuzilishi AAA serverini kompyuterga va marshrutizatorga ulanadigan qilib sozlanadi. Marshrutizatorga AAA mijozi sozlanadi 136 a) RADIUS protokoli orqali server konfiguratsiyasini sozlang; b) TACACS + protokoli orqali server konfiguratsiyasini oʻrnating: notoʻgʻri parol yoki foydalanuvchi nomidan foydalanib marshrutizatorga Telnet protokoli orqali kirishga harakat qiling; toʻgʻri parol yoki foydalanuvchi nomidan foydalanib marshrutizatorga Telnet protokoli orqali kirishga harakat qiling. AAA Server 1 AAA Server 2 Tarmoq qurilmasi Tarmoq foydalanuvchisi Terminal foydalanuvchisi 10.4-rasm. TACACS va RADIUS protokollarining ishlash mexanizmi Bajarish boʻyicha koʻrsatmalar AAA-serverni sozlash uchun sichqonchaning chapki tugmasini serverning modeli boʻyicha bosish, konfiguratsiyalash oynasini ochish, «Config» qismiga oʻtish (10.5-rasm, 1-marker) va «AAA» tugmasini bosish (10.6-rasm, 2-marker).  User Name (10.5-rasm, 7-marker) – tarmoq elementiga ulanish uchun foydalanuvchining nomi (logini);  Password (10.5-rasm, 8-marker) – tarmoq elementiga ulanish uchun parol;  yuqorida sanab oʻtilgan parametrlar qiymatlari koʻrsatilganidan keyin AAA-serverga mos yozuvlarni qoʻshish uchun «+» tugmasini bosish (10.5-rasm, 6-va 9-markerlar) kerak boʻladi.  Marshrutizatorlarning interfeyslari aktivlashtirilganidan keyin marshrutizatordagi AAA-mijozni sozlash kerak boʻladi. Buning uchun quyida keltirilgan komandalar ketma-ketligini bajarish kerak. 1. AAA- serverning IP-manzilini koʻrsatish: R1(config)#radius-server host 192.168.2.100 137 bu yerda <IP-adres> – AAA-serverning IP-manzili. 2. RADIUS protokoli uchun shifrlash kalitini koʻrsatish : R1(config)#radius-server key burgut 3. Marshrutizatordagi barcha AAA-xizmatlarni aktivlashtirish: R1(config)#aaa new-model 4. Marshrutizatorda autentifikatsiyalash jarayonini sozlash: R1(config)#aaa authentication login default group radius local bu yerda <metod> – autentifikatsiyalash usuli. RADIUS protokoli boʻyicha autentifikatsiyalash usuliga bu parametrning «group radius» qiymati mos keladi. 10.5 - rasm. AAA-serverni konfiguratsiya oynasi 5. Marshrutizatorda avtorizatsiya jarayonini sozlash: - boshqarish seansini boshlanishi uchun avtorizatsiyalash: R1(config)#aaa authentication login exec default <metod1><metod2> - tarmoq seanslari uchun avtorizatsiyalash: R1(config)#aaa authentication network default <metod1><metod2> bu yerda <metod> – mualliflashtirish usuli. RADIUS protokoli boʻyicha autentifikatsiyalash usuliga bu parametrning «group radius» qiymati mos keladi. Cisco Packet Tracerda roʻyxatga olish funksiyalari mavjud emas. Ishni bajarish tartibi R1 konfiguratsiyasi 138 Router>enable Router#configure terminal Router(config)# hostname R1 R1 (config)# enable secret 123456 R1(config)#username admin password admin R1 (config)# aaa new-model R1 (config)# radius-server host 192.168.2.100 key burgut Routerga masofadan kirishda username admin password admin foydalaniladi R1 (config)# aaa authentication login default local group radius Agar group radius ishlatilsa, u holda rasmda ko`rsatilgan username cisco va parol cisco orqali kiritiladi R1 (config)# aaa authentication login default group radius group radius AAA mexanizmi yordamida enable kirish parolini ham nazorat qilsa boladi. R1 (config)# aaa authentication enable default group radius enable R1 (config)# aaa authentication enable default enable Topshiriq  10.6-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  AAA serverda autentifikatsiyalash protokolini sozlang;  Qurilgan topologiyani testlab ko’ring. 10.6-rasm. Tarmoq topologiyasi 139 Nazorat savollari 1. Autentifikatsiyalash tushunchasiga ta’rif bering? 2. Avtotizatsiyalash tushunchasiga ta’rif bering? 3. Identifikatsiyalash tushunchasiga ta’rif bering? 4. TACACS va RADIUS protokollarini taqqoslang? 5. Hisobga olish (Accounting) deganda nimani tushunasiz? 6. RADIUS xabarlarini uzatish uchun qaysi protokol ishlatiladi? 7. UDP protokolining ishlash tamoyilini tushuntiring 11-LABORATORIYA ISHI DHCP SNOOPING – XAVFSIZLIK TEXNOLOGIYASI Ishdan maqsad: DHCP Snooping xavfsizlik texnologiyalarini sozlash boʻyicha nazariy bilim va amaliy koʻnikmalarni shakllantirish. Nazariy qism Tarmoqdagi kompyuterlarni aniqlash uchun ularga IP-manzillar beriladi. IP-manzillarni ikkita usul orqali berish mumkin. Statik IP-manzil. Bunday holda, tarmoqdagi har bir kompyuter uchun IP-manzilni, qismtarmoq maskasini va boshqa TCP / IP parametrlarini qoʻlda kiritish kerak. Dinamik IP-manzil. Tarmoqqa ulanganda kompyuter TCP / IP sozlamalarini avtomatik ravishda oladi. Buning uchun tarmoqdagi kompyuterlardan biri DHCP-server funksiyasini bajarishi kerak, ya'ni barcha yangi ulangan kompyuterlarga IP-manzillarni "tarqatishi" kerak. DHCP (Dynamic Host Configuration Protocol ) - bu tarmoq qurilmalariga TCP / IP tarmogʻida ishlash uchun zarur boʻlgan IPmanzil va boshqa parametrlarni avtomatik ravishda olish imkonini beradigan dasturiy sath protokoli. Ushbu protokol mijoz-server modeliga muvofiq ishlaydi. Avtomatik konfiguratsiya uchun mijoz kompyuter tarmoq qurilmasini sozlash bosqichida DHCP-server deb nomlanadi va undan kerakli parametrlarni oladi. Tarmoq ma'muri server tomonidan kompyuterlar oʻrtasida tarqatiladigan manzillar oraligʻini oʻrnatishi mumkin. Bu tarmoq kompyuterlarini qoʻlda 140 sozlashdan saqlaydi va xatolarni kamaytiradi. DHCP koʻplab TCP / IP tarmoqlarida qoʻllaniladi. DHCP - bu yuklash vaqtida disksiz ish stansiyalarini bilan ta'minlash uchun ilgari ishlatilgan BOOTP protokolining kengaytmasi sifatida ishlatiladi. DHCP IP-manzillarni tarqatishning uchta usulini taqdim etadi: • Qoʻlda tarqatish. Ushbu usul bilan tarmoq ma'muri har bir mijoz kompyuterining apparat manzilini (Ethernet tarmoqlari uchun bu MAC-manzil) ma'lum bir IP-manzil bilan bogʻlaydi. Darhaqiqat, manzillarni taqsimlashning bu usuli har bir kompyuterni qoʻlda sozlashidan farq qiladi, chunki manzillar haqidagi ma'lumotlar markazlashtirilgan holda saqlanadi (DHCP-serverda) va shuning uchun agar kerak boʻlsa, ularni oʻzgartirish osonroq. • Avtomatik tarqatish. Ushbu usul yordamida har bir kompyuterga ma'mur tomonidan doimiy foydalanish uchun belgilangan oraliqdan avtomatik ravishda IP-manzil ajratiladi. • Dinamik ajratish. Ushbu usul avtomatik ajratishga oʻxshaydi, faqat manzil kompyuterga doimiy foydalanish uchun emas, balki ma'lum bir muddat uchun beriladi. Bunga manzilni ijaraga berish deyiladi. Ijara muddati tugagandan soʻng, IP-manzil yana boʻsh hisoblanadi va mijoz yangisini talab qilishi shart (ammo u oldingisi bilan bir xil boʻlishi mumkin). Bundan tashqari, mijoz oʻzi qabul qilingan manzilni rad qilishi mumkin. Ba'zi DHCP xizmatlari, ularga yangi manzillar ajratilganda, mijoz kompyuterlariga mos keladigan DNS yozuvlarini avtomatik ravishda yangilashga qodir. Bu DNS-ni yangilash protokoli yordamida amalga oshiriladi. DHCP IP manzilidan tashqari mijozga tarmoqning normal ishlashi uchun zarur boʻlgan qoʻshimcha parametrlarni ham taqdim etishi mumkin. Ushbu parametrlarga DHCP parametrlari deyiladi. Koʻproq ishlatiladigan ba'zi bir parametrlar quyidagilar: • marshrutizatorning IP-manzili; • qismtarmoq maskasi; • DNS-server manzillari; • DNS domen nomi. Ba'zi dasturiy ta'minot ishlab chiqaruvchilari oʻzlarining ixtiyoriy DHCP parametrlarini belgilashlari mumkin. 141 Kanal sathi texnologiyalari lokal tarmoqlarning asosini tashkil etadi, shuning uchun ularning ishi xavfsizlikni ta'minlash umuman tarmoq xavfsizligining tamal toshi hisoblanadi, chunki tajovuzkor ushbu darajadagi buzish orqali yuqori sath himoya choralarini chetlab oʻtish imkoniyatini qoʻlga kiritadi. Faol tajovuzkorning vazifasi ma'lum manbalarga kirish yoki tarmoqning normal ishlashini buzish (xizmatni rad etish). Tajovuzkor lokal tarmoqda yoki hujumlarni amalga oshirish uchun vositachidan foydalanmoqda deb taxmin qilish mumkin. Odatda bir nechta hujumlar birgalikda amalga oshiriladi; birining muvaffaqiyati keyingisining muvaffaqiyati uchun asos tayyorlayotgan boʻlishi mumkin. Muvaffaqiyatli hujum natijalariga qarab, tahdidlarning bir nechta turlarini ajratish mumkin: 1. Axborotni shaffof ushlash maqsadida qalbakilashtirish; 2. Ba'zi bir tizim resurslari uchun xizmatni rad etish; 3. Tarmoq boʻlimlariga ruxsatsiz kirish; 4. Tarmoqning yoki uning boʻlimlarining toʻgʻri ishlashini buzish. Aksariyat hujumlar "sun'iy" ravishda emas, ular kanal sathi protokollarining standart xatti-harakatlariga asoslanadi, ya'ni ularni amalga oshirish imkoniyati tarmoq infratuzilmasini beparvolik bilan loyihalashning natijasida paydo boʻladi. Xost-mijozdan birinchi DHCP Discover xabari tarqatiladi, ya'ni uni tarmoqdagi barcha foydalanuvchilar, shu jumladan DHCP server va tajovuzkor Rogue tomonidan qabul qilinadi (11.1-rasm). Ular DHCP Offer boʻyicha javoblarni mijozga yuborishadi, ulardan host oʻziga mos keladigan narsani tanlashi kerak. Odatda, aksariyat tizimlarda mijoz qolganlarga e'tibor bermasdan birinchi kelgan taklifni tanlaydi. Shunday qilib, tarmoqda boʻshliq ochiladi: agar Rogue javobi erta kelsa, hujum muvaffaqiyatli boʻladi. Server tajovuzkorga qaraganda mijozdan fizik jihatdan uzoqroq boʻlishi mumkin, shuningdek tezkorroq boʻlishi mumkin, shuning uchun muvaffaqiyatli hujum ehtimoli katta. Hujum natijalari: 1. Tajovuzkor mijozga oʻz javobida tarmoq haqida notoʻgʻri ma'lumotlarni koʻrsatishi mumkin, bu esa uning keyingi ishlarini 142 imkonsiz boʻlishiga olib keladi, ya'ni xizmatni rad etish amalga oshiriladi. 2. Koʻp hollarda DHCP mijozga standart shlyuz ma'lumotlarini taqdim etadi. Shunday qilib, tajovuzkor oʻzini shlyuz sifatida koʻrsatish qobiliyatiga ega, bu tarmoq sathida oʻrtadagi odam hujumini amalga oshiradi. DHCP server Komutator Rogue Host 11.1-rasm. DHCP Snooping uchun yaratilgan topologiya Bu muammoning yechimlardan biri bu DHCP Snooping deb nomlangan komutatorning funksiyasini sozlash. DHCP Snooping - bu qabul qilinmaydigan deb topilgan DHCP trafigini oʻchirib tashlaydigan real tarmoq komutatorining operatsion tizimiga oʻrnatilgan 2-darajali xavfsizlik texnologiyasi. DHCP Snooping, DHCP mijozlariga IP-manzillarni taklif qiladigan notoʻgʻri DHCP-serverlarning oldini oladi. DHCP Snooping funksiyasi quyidagilarni amalga oshiradi: 1. Kommutatorning barcha portlari DHCP serverlari ulangan ishonchli(trusted) va ishonchsiz (untrusted) portlarga boʻlinadi; 2. DHCP serverlari (DHCP Offer, Ack, Nack, LeaseQuery) tomonidan yuborilgan va ishonchsiz portlarga kelgan xabarlar bekor qilinadi; 3. Ishonchsiz portlarga yetib kelgan DHCP xabarlari, joʻnatuvchining MAC manziliga toʻgʻri kelmaydigan MAC manzilini oʻz ichiga oladi; 4. Ishonchsiz portga yetib kelgan va 82-variantni oʻz ichiga olgan DHCP xabarlari bekor qilinadi; 143 5. DHCP Discover xabarlari faqat ishonchli portlarga yuboriladi. DHCP mijozi IP-manzilni dinamik ravishda olish jarayonida DHCP snooping mijoz va server oʻrtasida DHCP paketlarini tahlil qiladi va filtrlaydi. DHCP snoopingni toʻgʻri konfiguratsiyasi ruxsatsiz serverlarni filtrlashni amalga oshiradi, mijozlarga ruxsatsiz DHCP-server tomonidan taqdim etilgan manzillarni olishdan va ularning tarmoqqa kirishini oldini oladi. Tarmoqda ruxsatsiz DHCPserver hujumlari sodir boʻlayotgan boʻlsa, DHCP kuzatuvidan foydalanish mumkin. DHCP snoopingni komutatorga joylashtirish tavsiya etiladi. DHCP snooping kompyuterga yaqinroq komutatorga oʻrnatilganda interfeysni boshqarish toʻgʻri boʻladi. Har bir komutator interfeysi faqat bitta kompyuterga ulangan boʻlishi kerak. Agar ma'lum bir interfeys hub orqali bir nechta shaxsiy kompyuterlarga ulangan boʻlsa, hubda sodir boʻlgan DHCP snooping hujumlarini oldini olish mumkin emas, chunki snooping paketlari toʻgʻridan-toʻgʻri kontsentrator interfeyslari oʻrtasida uzatiladi va kirish komutatoriga oʻrnatilgan DHCP snooping funksiyasi bilan boshqarib boʻlmaydi. DHCP Snoopingni faqat simli tarmoq foydalanuvchilar uchun qoʻllasa boʻladi. Kirish qatlami xavfsizligi xususiyati sifatida, asosan, DHCP tomonidan xizmat koʻrsatiladigan VLANga kirish portlarini oʻz ichiga olgan har qanday komutatorda yoqiladi. DHCP Snoopingni oʻrnatishda himoya qilmoqchi boʻlgan VLANda DHCP Snoopingni yoqishdan oldin ishonchli portlarni (DHCP-serverning tegishli xabarlari oʻtadigan portlarni) sozlash kerak. Bu CLIda ham, vebinterfeysda ham amalga oshirilishi mumkin. CLI buyruqlari DHCP Snooping konfiguratsiyasida FS S3900 seriyali komutatorlarida berilgan. Amaliy qism Mavzuning amaliy qismida vazifalarni bajarish tartibi koʻrsatilgan. Ushbu ish uchun quyidagi koʻrsatmalarga rioya qilish kerak. 1. Cisco packet tracer simulyatorini ishga tushiring. 2. Cisco 2960 komutatori va Cisco 2911 marshrutizatori yordamida tarmoq topologiyasini yarating (11.2-rasm). 144 11.2-rasm. DHCP Snooping texnologiyasini oʻrganish uchun qurilgan tarmoq topologiyasi 3. Tarmoq uskunalari uchun asosiy sozlamalarni sozlang. 4. Server0-da orqali dinamik manzillashni sozlash uchun DHCPni yoqing (11.3-rasm). 11.3-rasm. DHCP serverni yoqish Asosiy sozlamalar va DHCP texnologiyasi sozlangandan soʻng PC0, PC1 va PC2 kompyuterlari serverdan IP-manzillarni oladi (11.4rasm). 145 11.4-rasm. Xostlarning dinamik ravishda IP-manzil olish 5. Server1 tajovuzkorning soxta serverida dinamik manzilni sozlash orqali DHCP hujumini amalga oshirish (11.5-rasm). 11.5-rasm. DHCP serverini soxta serverda yoqish Hujumkorning Server1dagi dinamik manzil konfiguratsiyasini tugatgandan soʻng, yangi ulangan PC3 kompyuter soxta serverdan manzil oladi, chunki soxta server ishonchli serverga qaraganda 146 tarmoqda yaqinroq joylashgan. Shunday qilib, manzil soxta server orqali olinadi (11.6-rasm). 11.6-rasm. Xost IP-manzilni soxta serverdan olish 6. Kompyuterlarni soxta serverdan himoya qilish uchun DHCP Snooping texnologiyasini sozlang. Buning uchun kompyuter haqiqiy serverdan toʻgʻri manzilni olishi uchun marshrutizatorga ulangan ishonchli portni koʻrsatishingiz kerak. Komutatorni sozlash: Switch> Switch>en Switch#conf t Switch(config)#ip dhcp snooping Switch(config)#ip dhcp snooping vlan 1 Switch(config)#interface fastEthernet 0/5 Switch(config-if)#ip dhcp snooping trust Switch(config-if)#ip dhcp snooping limit rate 2048 Switch(config-if) do wr Switch(config)#end 7. Tegishli buyruqlarni yozgandan soʻng, tarmoqdagi barcha kompyuterlar toʻgʻri manzilga ega boʻlishadi (11.7-rasm) 147 11.7-rasm. Haqiqiy serverdan xostning IP-manzilini olish Topshiriq  11.8-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  DHCP serverida DHCP Snoopingni sozlashni amalga oshiring;  Qurilgan topologiyani testlab ko’ring. 11.8-rasm. Tarmoq topologiyasi Nazorat savollari 1. DHCP funksiyasini tavsiflang. Ushbu texnologiya nima uchun yaratilgan? 148 2. DHCP Snooping nima? 3. DHCP tarmoq hujumini tushuntiring va uni qanday oldini olish mumkin? 4. DHCP Snooping qanday ishlaydi. 5. Show ip dhcp snooping buyrugʻi qanday chiqish turini beradi? 12-LABORATORIYA ISHI ARP POISONING TARMOQ HUJUMI TAHLILI Ishdan maqsad. ARP zaharlanishi(poisoning) kabi tarmoq hujumlari turlari va ulardan qanday himoyalanish toʻgʻrisida koʻnikmalar hosil qilish. Nazariy qism Kanal sathi texnologiyasi lokal tarmoqlarning asosini tashkil etadi va ularning xavfsizligi umuman tarmoq xavfsizligining tamal toshi boʻlib, uni buzgan holda tajovuzkor yuqori darajadagi xavfsizlik choralarini chetlab oʻtishga qodir. Faol kiberjinoyatchining maqsadi - ma'lum manbalarga kirish yoki xizmat koʻrsatish rad etish hujumlarini amalga oshirish. Tajovuzkor lokal tarmoqda yoki hujumlarni amalga oshirish uchun vositachidan foydalanadi deb taxmin qilish mumkin. Odatda bir nechta hujumlar birgalikda amalga oshiriladi, bir hujumchining muvaffaqiyati keyingi hujumchining muvaffaqiyati uchun tayyorgarlik bazasi boʻlishi mumkin. Tarmoq hujumi - bu masofadan yoki lokal kompyuter tarmoqlarining operatsion tizimiga qasddan kirish (jinoiy maqsad bilan ham boʻlishi mumkin). Hujumchilar guruhi yoki shaxs hujum uchun javobgar boʻlishi mumkin. Kiberjinoyatchi maxsus vositalardan foydalangan holda adminstrator huquqlarni oladi va shu bilan tizim ustidan nazoratni qoʻlga kiritadi. Muvaffaqiyatli hujum natijalariga qarab, tahdidlarning bir nechta turlari mavjud: • Ba'zi tizim resurslari uchun xizmatni rad etish. • Tarmoqqa ruxsatsiz kirish. • Shaffof ushlash maqsadida almashtirish. 149 • Tarmoqning yoki uning boʻlimlarining toʻgʻri ishlashini buzish. Aksariyat hujumlar "sun'iy" ravishda emas, ular kanal sathi protokollarining standart xatti-harakatlariga asoslanadi, ya'ni ularni amalga oshirish imkoniyati tarmoq infratuzilmasini beparvolik bilan loyihalashning natijasida paydo boʻladi. ARP protokoli. ARP - Address Resolution Protocol, tarmoq IPmanzilini MAC manzillari bilan aloqa qilish uchun ishlatiladigan tarmoq protokoli, tarmoq qurilmalari LAN va WAN qatlamlari oʻrtasida aloqani ta'minlaydi. ARP IP-manzillarni MAC-manzillarga aylantirish uchun moʻljallangan. Koʻpincha, Ethernet tarmogʻida qoʻllanilishi haqida gapiramiz, ammo ARP boshqa texnologiyali tarmoqlarida ham qoʻllaniladi: Token Ring, FDDI va boshqalar. Protokolning ishlash prinsipi. Bizda marshrutizator orqali ulangan ikkita lokal tarmoqlar mavjudligini tasavvur qiling va birinchi LAN (xost A) xostiga paketni ikkinchi LAN (xost B) da xostga yuborishni xohlasin. IP protokoli A tugun joylashgan 1 lokal tarmoq ulangan marshrutizator interfeysining (IP1) IP-manzilini belgilaydi. Bunda, paket kadrga joylashtirilishi va marshrutizator interfeysiga uzatilishi uchun IP1 manzili, ushbu interfeysning MAC manzilini bilishingiz kerak. Keyinchalik, ARP protokoli ishlay boshlaydi. ARP protokoli kompyuter yoki marshrutizatorning har bir tarmoq interfeysida oʻz ARP jadvaliga ega(12.1-rasm), bu tarmoq qurilmalarining IP-manzillari va MAC-manzillari oʻrtasidagi yozishmalarni yozib oladi. 12.1-rasm. ARP jadvalga misol Boshlanishida barcha ARP jadvallari boʻsh boʻladi. Keyinchalik quyidagi ketma-ketlik amalga oshiriladi: 1. IP protokoli ARP protokolidan IP1 interfeysning MACmanzilini soʻraydi. 150 2. ARP protokoli oʻzining ARP jadvalini tekshiradi va IP1 bilan mos keladigan MAC manzilini topmaydi. 3. Soʻngra ARP protokoli ARP soʻrovini hosil qiladi (soʻrovning ma'nosi interfeysning MAC manzilini uning IP-manzili orqali bilib olish), uni Ethernet freymiga qoʻshadi va ushbu kadrni 1 lokal tarmoqda tarqatadi. 4. 1 lokal tarmoqdagi har bir interfeys ARP soʻrovini oladi va uni oʻzining ARP protokoliga yoʻnaltiradi. 5. Agar interfeysning ARP protokoli interfeysning IP-manziliga IP1 bilan toʻgʻri keladigan boʻlsa, u holda ARP soʻrov beruvchi xostga yoʻnaltirilgan ARP javobini hosil qiladi (bu holda marshrutizatorning ARP soʻrovi). ARP javobida kadr yuborilishi kerak boʻlgan interfeysning MAC manzili mavjud (bu holda LAN 1 ga ulangan marshrutizator interfeysi). 6. Keyin A hosti kapsulali paket bilan mos keladigan marshrutizator interfeysiga uzatadi. ARP protokoli zaifligi. ARP protokoli umuman himoyalanmagan. Unda paketlardagi, soʻrovlarni ham, javoblarning ham haqiqiyligini tekshirishning biron bir usuli yoʻq. Avtomatik ARP (gratuitous ARP) dan foydalanilganda vaziyat yanada murakkablashadi. Avtomatik ARP - bu ARP javobi yuborilganda, unga alohida ehtiyoj sezilmaganda (qabul qiluvchi nuqtai nazaridan) ARPning xatti-harakati. Avtomatik ARP-javob - bu soʻrovsiz yuborilgan ARP javoblar toʻplami. U tarmoqdagi IP-manzil toʻqnashuvlarini aniqlash uchun ishlatiladi: stansiya manzilni DHCP orqali qabul qilishi yoki manzil qoʻlda kiritilishi bilanoq, bepul ARP javobi yuboriladi. Avtomatik ARP quyidagi hollarda foydali boʻlishi mumkin: • ARP jadvallarini, xususan, klaster tizimlarida yangilash; • Komutatorlarni xabardor qilish; • Tarmoq interfeysini qoʻshish toʻgʻrisida xabarnoma. Avtomatik ARP samaradorligiga qaramay, bu juda xavfli, chunki u masofaviy xostni shu tarmoqdagi tizimning MAC-manzili oʻzgarganligiga ishonch hosil qilish va hozirda qaysi manzil ishlatilayotganligini koʻrsatish uchun ishlatilishi mumkin. ARP-spoofing (ARP- poisoning) - bu asosan Ethernetda ishlatiladigan, ammo ARP protokoli yordamida boshqa tarmoqlarda mumkin boʻlgan, ARP protokolining kamchiliklaridan foydalangan 151 holda va bir xil domen ichida joylashgan tugunlar oʻrtasida trafikni ushlab turishga imkon beradigan tarmoq hujumi texnikasi.. Soxta hujumlar soniga ishora qiladi. ARP soxtalashtirish hujumlari ARP hech qanday ARP soʻrovi olinmagan boʻlsa ham xostdan javob berishga imkon berishi tufayli sodir boʻladi. Hujumdan soʻng, hujum qilingan qurilmadagi barcha trafik tajovuzkorning kompyuteridan, soʻngra marshrutizatorga, komutatorga yoki xostga oʻtadi. ARP firibgarligi hujumi tarmoqqa ulangan xostlarga, komutatorlarga va marshrutizatorlarga ta'sir qilishi mumkin. ARP keshiga yolgʻon ma'lumot yuborish ARP keshidan zaharlanish deb ataladi. Yolgʻon hujumlar, shuningdek, kichik tarmoqdagi boshqa xostlar uchun moʻljallangan trafikni toʻxtatishi mumkin. ARP spoofing hujumining tavsifi. 1. Lokal Ethernet tarmogʻidagi ikkita kompyuter (tugun) M va N xabar almashinyapti (12.2-rasm). Xuddi shu tarmoqdagi Attacker X ushbu tugunlar orasidagi xabarlarni ushlab turishni xohlaydi. M tugunining tarmoq interfeysida ARP firibgarligi qoʻllanilishidan oldin ARP jadvali N tugunning IP va MAC manzillarini oʻz ichiga oladi. Shuningdek, N tugunining tarmoq interfeysida ARP jadvali M tugunasining IP va MAC manzillarini oʻz ichiga oladi. 2. ARP- spoofing hujumi paytida X xosti (tajovuzkor) ikkita ARP javobini yuboradi (soʻrovsiz) - M xost va N xost uchun, M xostga berilgan ARP javobida IP manzil N va MAC manzil X mavjud. ARP javob X hostda IP manzili M va MAC manzili X mavjud. 3. M va N kompyuterlar avtomatik ARPni qoʻllabquvvatlaganligi sababli, ARP javobini olgandan soʻng, ular ARP jadvallarini oʻzgartiradilar va endi M ARP jadvalida N IP manzil bilan bogʻlangan MAC manzil va N ARP jadvalda M . bilan bogʻliq MAC manzil mavjud 4. Shunday qilib, ARP-spoofing hujumi amalga oshiriladi va endi M va N orasidagi barcha paketlar (trafik) X orqali oʻtmoqda. Masalan, M kompyuterga N paketini yubormoqchi boʻlsa, u holda M oʻzining ARP jadvaliga qaraydi, IP tugun manzili N bilan yozuvni topadi, u yerdan MAC manzilini tanlaydi (tugunning MAC manzili mavjud) va paketni uzatadi. Paket X interfeysiga yetib boradi, u tomonidan tahlil qilinadi va keyin N tuguniga yoʻnaltiriladi. 152 Haqiqiy aloqa M MITM aloqa N X 12.2-rasm. ARP- spoofing hujumi jarayoni (Yashil ulanish - bu ARP-firibgarlik qoʻllanilishidan oldin M va N orasidagi bogʻlanish. Qizil ulanish - bu ARPsoxtalashtirish qoʻllanilgandan keyin M va N oʻrtasidagi bogʻliqlik (barcha paketlar X orqali oʻtadi)) ARP firibgarligini aniqlash va oldini olish. Soxtalashtirishni oldini olish uchun ARP anti-spoofingni yoqish mumkin. Agar aldashga qarshi ARP yoqilgan boʻlsa, barcha ARP paketlari tekshirish uchun protsessorga yuboriladi. ARP paketlari statik ARP jadvali, IP manbai Guard statik majburiy jadvali yoki DHCP(snooping) kuzatuv jadvalidagi yozuvlar yordamida tekshiriladi. Har qanday jadvaldagi yozuvlarga mos keladigan barcha ARP paketlari uzatiladi. Har qanday toʻliq boʻlmagan ARP paketlari yoki jadval yozuvlariga qisman mos keladigan paketlar oʻchiriladi. Noma'lum ARP paketlari yoki jadval yozuvlarining hech biriga mos kelmaydigan paketlar tushirib yuborilishi yoki barcha portlarga yuborilishi uchun sozlanishi mumkin. Odatda ARP-spoofing hujumi oʻchirilgan boʻladi. IP-manzil yoki MAC-manzil va xostning ulangan portini birlashtiradigan xost xavfsizlik funksiyasini sozlash mumkin. Ushbu portdan yuborilgan ARP paketlari boshqa ulangan barcha portlar tomonidan qabul qilinadi. Xuddi shu IP yoki MAC-manzilga ega boʻlgan ARP paketlari boshqa biron bir portdan yuborilsa, tashlab yuboriladi. ARP paketidagi manba Ethernet MAC manzili jadvalda saqlangan manba MAC manziliga mos kelishini tekshirish uchun Source MAC Consistency Checkerni sozlash mumkin. Agar manba MAC manzillari mos kelmasa, paket oʻchiriladi. Ushbu xususiyat odatda oʻchirilgan boʻladi. 153 3 sath qurilmasi ma'lum LAN qurilmalari uchun shlyuz sifatida sozlanishi mumkin. Hujumchi oʻzini toʻgʻri shlyuz deb tanib, avtomatik ARP yuborib, bloklangan roʻyxatga 3 sath qurilmasini qoʻshishga urinishi mumkin. Bunday hujumni oldini olish uchun shlyuzning anti-spoofing funksiyasini sozlash mumkin. Ushbu xususiyat odatda oʻchirilgan boʻladi. Odatda hujumdan soʻng barcha portlar ishonchsiz hisoblanadi. Ushbu muammoning oldini olish uchun monitoringni talab qilmaydigan va ishonchli port sifatida ishlatiladigan ishonchli portni sozlash mumkin. ARP firibgarligi hujumi tarmoqqa ulangan xostlar, komutatorlarga va marshrutizatorlarga ichki tarmoqdagi qurilmalarning protsessoriga paketlarni qoʻyish orqali qurilmaning ishlashiga ta'sir qilishi mumkin. Qurilmadagi protsessorning haddan tashqari toʻlib-toshishi ARPning toʻlib-toshishi hujumi sifatida tanilgan. ARP toshqini hujumini oldini olish uchun quyidagi sozlanmalar mavjud. • ARP toshqini hujumini oldini olish uchun toshqinga qarshi hujumni yoqish kerak. ARP paketi protsessorga uzatiladi. Har bir trafik oqimi paketning manba MAC-manzili asosida aniqlanadi. • ARP oqimini kuzatish uchun tezlik chegarasini sozlash mumkin. Agar tezlik chegarasi oshib ketgan boʻlsa, bu hujum deb hisoblanadi. Tezlik chegarasini global yoki har bir interfeysga moslashtirsa boʻladi. • Hujum sodir boʻlganda, kompyuterning manba MACmanzilini qora tuynuk manzillari roʻyxatiga qoʻshish va barcha paketlarni tashlab yuborish yoki xostdan faqat ARP paketlarini tushirmaslikni sozlash mumkin. • Xostlarni qora tuynuk manzillari roʻyxatidan olib tashlash uchun tiklash vaqti oraligʻini belgilash yoki xostni qoʻlda tiklash mumkin. • Dinamik MAC-manzilni qora tuynuk manzillar roʻyxatidagi xostning statik MAC-manziliga bogʻlash mumkin. Bu xostning har qanday turdagi paketlarni uzatishiga yoʻl qoʻymaydi. Agar lokal tarmoq bir nechta VLANga boʻlinadigan boʻlsa, ARP spoofing faqat VLANdagi kompyuterlarga qoʻllanilishi mumkin. Xavfsizlik nuqtai nazaridan ideal vaziyat bir xil VLANda faqat bitta 154 kompyuter va marshrutizator interfeysiga ega boʻlishdir. Bunday segment uchun ARP-spoofing hujumlari mavjud emas. Amaliy qism Mavzuning amaliy qismida vazifalarni bajarish tartibi koʻrsatilgan. Ushbu ish quyidagi koʻrsatmalarni nazarda tutadi. ARP firibgarlikdan himoyani yoqish. Device> enable Device# configure terminal Device(config)# arp anti-spoofing Device(config)# arp anti-spoofing unknown discard Xost xavfsizligini sozlash. Portdagi xost xavfsizligini sozlash portga noma'lum ARP paketlarini tashlashga imkon beradi. Qurilmani noma'lum ARP paketlarini tushirish uchun sozlashda IP portni bogʻlashni sozlash kerak. Bu ushbu IP-manzilning ARP paketiga boshqa portlarga faqat oʻsha tuzilgan port orqali harakat qilish imkoniyatini beradi. Agar ushbu IP-manzilning ARP toʻplami boshqa portga kirsa, u oʻchiriladi. Device> enable Device# configure terminal Device# host bind ip 192.168.5.13 ethernet ½ Manba MAC manzilining muvofiqligini tekshirishni sozlash. MAC-manzilning izchilligini tekshirishni sozlash uchun ushbu jarayonni bajarish kerak. Device> enable Device# configure terminal Device# arp anti-spoofing valid-check Soxtalashtirishga qarshi shlyuzni sozlash. Shlyuzni soxtalashtirishni sozlash uchun ushbu jarayonga rioya qilish kerak. Device> enable Device# configure terminal Device# arp anti-spoofing deny-disguiser 155 Ishonchli portini sozlash. Ishonchli portini sozlash uchun ushbu jarayon bajariladi. Device> enable Device# configure terminal Device# interface fastEthernet (interfeysning port nomeri koʻrsatiladi) Device# arp anti trust Ishonchli port sozlamalarini oʻchirish uchun quyidagi buyruqlar kiritiladi: Device# no arp anti trust Anti-Flood Attack ni sozlash. Toshqinlarga qarshi hujumni tashkil qilish uchun ushbu jarayon bajariladi. Device> enable Device# configure terminal Device(config)# arp anti-flood Device(config)# arp anti-flood threshold (ARP toshqinlaridan himoya qilish chegarasi. Odatda - sekundiga 16 paket) Device(config)# arp anti-flood action deny-arp {deny-all|deny-arp} (Oʻchirish uchun paketlar turini belgilaydi. deny-all: xostni qora roʻyxatga qoʻshadi va barcha paketlarni bekor qiladi. deny-arp: Faqat ARP paketlarini tashlaydi) Device(config)# arp anti-flood recover-time 100 Device(config)# arp anti-flood recover 00:00:00:00:32:33 Device# interface fastEthernet (interfeysning port raqamini koʻrsatadi) Device(config)# arp anti-flood threshold ARP Snooping va Flood Attack monitoring qilish. ARP Snooping va Flood Attackni kuzatish uchun quyidagi jadvaldagi buyruqlardan foydalanish mumkin. Jadval 12.1. ARP Snooping va Flood Attack buyruqlari Buyruqlar Maqsad ARP maxfiy kuzatuv show arp anti-snooping konfiguratsiyasini aks ettiradi. Toshqinga qarshi ARP konfiguratsiyasi va bosqinchilar show arp anti-flood roʻyxatini aks ettiradi Interfeys holatini aks ettiradi show arp anti interface 156 Topshiriq  sozlang;    Uchta xost bilan tarmoq yarating va asosiy sozlamalarni ARP protokoli qanday ishlashini bilib oling; ARP Snooping jarayonini ko'rib chiqing; ARP Snoopingga qarshi himoyani sozlang. Nazorat savollari 1. ARP protokolining vazifasini aytib bering. 2. ARP qanday ishlaydi? 3. ARP protokoliga qarshi qanday hujumlar boʻlishi mumkin? 4. ARP Snooping-dan qanday himoya qilishin mumkin? Bir nechta usullarni sanab oʻting. 5. Himoyalashning qanday usuli samarali? 13-LABORATORIYA ISHI KORXONA VA TASHKILOT AXBOROT KOMUNIKATSIYA TIZIMLARIDA VPN TARMOQ QURISH Ishdan maqsad. Korxonalarda VPN tarmoqlarini yaratish uchun nazariy bilim va amaliy koʻnikmalarni hosil qilish. Nazariy qism Globallashib borayotgan iqtisodiyotda kompaniyalar soliq imtiyozlari bilan bogʻliq yoki oddiygina kengaytiriladigan geografik taqsimotlarni qidirmoqdalar. Bunday holda, xodimlarga oʻz faoliyatlarini geografik cheklovlarsiz amalga oshirish erkinligi va uzatilayotgan ma'lumotlarning xavfsizligi ta’minlanishi kerak. VPN nomi bilan mashhur boʻlgan virtual xususiy tarmoq konsepsiyasi umumiy aloqa kanallari orqali xavfsiz aloqaning ta’minlanishi uchun moliyaviy alternativasi sifatida paydo boʻldi va tez orada texnologiya, keng foydalaniladigan xavfsizlikka yoʻnaltirilgan xizmat boʻlib, butunlikni, maxfiylikni va ma'lumotlarning haqiqiyligini ta’minlashni amalga oshiradigan boʻldi. VPN masofadan ulanish uchun birinchi texnologiya emas edi. Bir necha yil oldin, kompyuterlarni bir nechta ofislar oʻrtasida ulashning eng keng tarqalgan usuli - ajratilgan kanaldan foydalanish edi. ISDN (Integrated Services Digital Network, 157 128 Kbit / s) kabi ijaraga olingan kanallar telekommunikatsiya kompaniyasi oʻz mijozlariga ijaraga berishi mumkin boʻlgan xususiy tarmoq ulanishlari hisoblanadi. Ijaraga olingan kanallar kompaniyaga oʻzining bevosita geografik hududidan tashqarida xususiy tarmogʻini kengaytirish imkoniyatini berdi. Ushbu ulanishlar biznes uchun yagona kengaytirilgan tarmogʻini (WAN) tashkil etadi. Ijaraga olingan kanallar ishonchli boʻlsada, ijaraga olish qimmat, idoralar orasidagi masofa oshgani sayin xarajatlar koʻpaymoqda. Bugungi kunda Internet har qachongidan koʻra koʻproq foydalanish imkoniyatiga ega va Internet-provayderlar (ISP) ijaraga olingan kanallarga qaraganda arzonroq narxlarda tezroq va ishonchli xizmatlarni rivojlantirishda davom etmoqdalar. Buning afzalliklaridan foydalanish uchun aksariyat korxonalar ijaraga olingan kanallarni ishlash va xavfsizlikni yoʻqotmasdan Internet aloqalarini ishlatadigan yangi texnologiyalar bilan almashtirdilar. Korxonalar oʻzlarining intranetlarini yaratishdan boshladilar, ular xususiy kompaniyalargina foydalanishi mumkin boʻlgan intranetlardir. Internet uzoqdagi hamkasblarga ish stoli almashish kabi texnologiyalardan foydalangan holda birgalikda ishlashga imkon berdi. VPNlarni qoʻshish orqali korxonalar oʻzlarining intranet resurslarini kengaytirib, xodimlarga olis ofislardan yoki uylardan ishlashga ruxsat berishlari mumkin. VPNning maqsadi mavjud boʻlgan umumiy tarmoqda, odatda Internet orqali kompyuter tarmoqlari oʻrtasida xavfsiz va ishonchli aloqani ta'minlashdir. Quyidagi 13.1-rasmda VPN texnologiyasi qanday ishlashi koʻrsatilgan. Buzg unchi VPN xizmati Himoyalangan kanal Foydalanuvchi Internet Korporativ tarmoq 13.1-rasm. VPNni ishlash prinsipi Yaxshi ishlab chiqilgan VPN quyidagi afzalliklarni beradi: 1. ajratilgan kanaldan foydalanmasdan turli xil geografik joylarda kengaytirilgan ulanishlarni hosil qilish; 158 2. ma'lumotlar almashinuvi xavfsizligini oshirish; 3. masofadagi ofislar va xodimlar intranetni mavjud boʻlgan Internet aloqasi orqali tarmoqqa toʻgʻridan-toʻgʻri ulangan kabi ishlatish uchun moslashuvchanlikni ta’minlash; 4. vaqt va pulni tejash; 5. geografik jihatdan tarqalgan manbalar koʻrsatkichlari yaxshilanadi. Shu bilan birga, VPN har doim quyidagilarni talab qiladi: Xavfsizlik. VPN umumiy tarmoqda harakatlanayotganda ma'lumotlarni himoya qilishi kerak. Agar tajovuzkorlar ma'lumotlarni oʻgʻirlamoqchi boʻlsalar, ularni oʻqiy olmaydi yoki foydalana olmaydi. Ishonchlilik. Xodimlar va masofaviy idoralar VPNga muammosiz ulanishi kerak va VPN har bir foydalanuvchi uchun bir vaqtning oʻzida ulanishning maksimal sonini boshqargan taqdirda ham bir xil ulanish sifatini ta'minlashi kerak. Oʻlchamlilik. VPN xizmatlari kengaytirilishi kerak. Boshqa har qanday texnologiyalar singari, VPNning afzalliklari va kamchiliklari ham mavjud. 1. Trafik shifrlanadi va internet orqali xavfsiz uzatiladi, shunda koʻplab tahdidlarning oldini olish mumkin. 2. Xakerlar foydalanuvchining ma'lumotlariga va yozishmalariga kirish huquqini qoʻlga kiritishi juda qiyin boʻladi. 3. Umumiy Wi-Fi ulanish nuqtalaridan boshqa birov tomonidan olingan ma'lumotlardan xavotirlanmasdan foydalanish mumkin. 4. VPNga ulanish oson. VPN provayderning xizmatlarini toʻlash yoki bepul variantlardan foydalanish mumkin. 5. VPNlar bilan koʻplab mamlakatlarda, masalan, Netflixda geo-bloklangan tarkibga kirish mumkin. Bu AQSh tashqarisidagi translyatsiyalarni tomosha qilishning eng yaxshi usuli. 6. VPN yordamida IP-taqiqlar va DDoS hujumlaridan himoya qilish, shuningdek, geo-bloklangan yoki taqiqlangan oʻyinlarga kirishni ta'minlash orqali eng yaxshi onlayn oʻyinlar taqdim etiladi. Texnologiyaning sezilarli kamchiliklari koʻp emas, ammo ular mavjud: 1. Internet tezligini pasaytirish imkoniyati. Bu koʻpincha foydalanuvchilarni VPNdan foydalanishni toʻxtatadi. 159 2. Xavfsizlik muammolari. VPN maxfiy ma'lumotlarni yuqori darajada himoya qiladi, ammo ular xavf ostida boʻlishi mumkin. Bu faqat shubhali provayder tanlangan taqdirda sodir boʻlishi mumkin. Ushbu kamchilikni toʻliq bartaraf etish uchun taqdim etilgan xizmatlarning provayderini diqqat bilan tekshirish lozim. 3. Narx. Bozorda koʻplab bepul VPNlar mavjud, ammo bepul va shubhali provayderlar har doim ham sifatli xizmatlarni taqdim etmaydilar va ulanish tezligini keskin cheklashadi. Amaliy qism Amaliy qismda Cisco paket tracer simulyatorida VPN texnologiyasini sozlash koʻrib chiqilgan. VPNni sozlash uchun quyidagi koʻrsatmalarga amal qilish kerak. 1. Bosh ofis marshrutizatori, filial marshrutizatori va ular oʻrtasida xizmat koʻrsatuvchi Internet-provayder marshrutizatori joylashgan tarmoq topologiyasi yaratiladi (13.2-rasm). 2. Belgilangan manzildan chiqadigan barcha marshrutizatorlarni sozlang. Quyida har bir marshrutizator uchun buyruqlar toʻplami berilgan. 13.2-rasm. Tadqiq qilinayotgan tarmoq topologiyasi ROUTER_1 ga kiritiladigan buyruqlar ketma-ketligi. Router>enable Router#conf t 160 Router(config)#int fa 0/0 Router(config-if)#no shut Router(config-if)#ip nat inside Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config)#int fa 0/1 Router(config-if)#no shut Router(config-if)#ip address 1.1.1.1 255.255.255.252 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#ip access-list extended for-nat Router(config-ext-nacl)#deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Router(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 any Router(config-ext-nacl)#exit Router(config)#ip nat inside source list for-nat int fa 0/1 overload Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 Router(config)#ip dhcp pool vl2 Router(dhcp-config)#network 192.168.2.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.2.1 Router(dhcp-config)#dns-server 8.8.8.8 Router(dhcp-config)#exit Router(config)#crypto isakmp policy 1 Router(config-isakmp)#encryption aes Router(config-isakmp)#hash md5 Router(config-isakmp)#authentication pre-share Router(config-isakmp)#group 2 Router(config)#crypto isakmp key 123 address 2.2.2.1 Router(config)#crypto ipsec transform-set ts esp-aes esp-md5-hmac Router(config)#ip access-list extended for-vpn Router(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255 Router(config-ext-nacl)#exit Router(config)#crypto map kriptokarta 10 ipsec-isakmp Router(config-crypto-map)#match address for-vpn Router(config-crypto-map)#set peer 2.2.2.1 Router(config-crypto-map)#set transform-set ts Router(config-crypto-map)#exit Router(config)#int fa 0/1 Router(config-if)#crypto map kriptokarta *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON 161 Router(config-if)#exit (VPN qurish jarayoni) ROUTER_2 kiritiladigan buyruqlar ketma-ketligi. Router>enable Router#conf t Router(config)#int fa 0/0 Router(config-if)#no shut Router(config-if)#ip nat inside Router(config-if)#ip address 192.168.3.1 255.255.255.0 Router(config-if)#exit Router(config)#int fa 0/1 Router(config-if)#no shut Router(config-if)#ip address 2.2.2.1 255.255.255.0 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#ip access-list extended for-nat Router(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 Router(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 any Router(config-ext-nacl)#exit Router(config)#ip nat inside source list for-nat int fa 0/1 overload Router(config)#ip route 0.0.0.0 0.0.0.0 2.2.2.2 Router(config)#ip dhcp pool vl3 Router(dhcp-config)#network 192.168.3.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.3.1 Router(dhcp-config)#dns-server 8.8.8.8 Router(dhcp-config)#exit Router(config)#crypto isakmp policy 1 Router(config-isakmp)#encryption aes Router(config-isakmp)#hash md5 Router(config-isakmp)#authentication pre-share Router(config-isakmp)#group 2 Router(config-isakmp)#exit Router(config)#crypto isakmp key 123 address 1.1.1.1 Router(config)#crypto ipsec transform-set ts esp-aes esp-md5-hmac Router(config)#ip access-list extended for-vpn Router(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 Router(config-ext-nacl)#exit Router(config)#crypto map kriptokarta 10 ipsec-isakmp 162 Router(config-crypto-map)#match address for-vpn Router(config-crypto-map)#set peer 1.1.1.1 Router(config-crypto-map)#set transform-set ts Router(config-crypto-map)#exit Router(config)#int fa 0/1 Router(config-if)#crypto map kriptokarta *Jan 3 07:16:26.785: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON Router(config-if)#exit ROUTER_3 kiritiladigan buyruqlar ketma-ketligi. Router>enable Router#conf t Router(config)#int fa 0/0 Router(config-if)#no shut Router(config-if)#ip address 1.1.1.2 255.255.255.252 Router(config)#int fa 0/1 Router(config-if)#no shut Router(config-if)#ip address 2.2.2.2 255.255.255.0 Router(config-if)#exit 3. DHCP protokoli ishlashini tekshirish (13.3-rasm). 13.3-rasm. DHCP protokoli funksiyasini tekshirish 4. Bosh ofis va filial oʻrtasida aloqani ICMP protokolidan foydalanib tekshirish (13.4-rasm). 163 13.4-rasm. Korxonaning idoralari oʻrtasidagi aloqani tekshirish 5. VPN kanali orqali uzatiladigan paketlar statistikasi haqida ma'lumot olish uchun Show crypto ipsec sa buyrugʻidan foydalaniladi (13.5-rasm). 13.5-rasm. VPN kanali orqali yuborilgan ma'lumot statistikasi 164 Topshiriq  13.6-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  TATU Nukus filiali va TATU SF tarmoqlarini o’zaro vpn yordamida ulang;  Qurilgan topologiyani testlab ko’ring. 13.6-rasm. Tarmoq topologiyasi Nazorat savollari 1. 2. 3. 4. VPN tarmoq nima? VPN ning ishlash tamoyilini tushuntirib bering? VPN qurishda qanday protokollardan foydalaniladi? VPN texnologiyasining afzalliklari va kamchiliklari? 165 14-LABORATORIYA ISHI SSTP, PPTP, L2TP VA IKEV2 PROTOKOLLARINI OʻRGANISH Ishdan maqsad: SSTP, PPTP, L2TP va IKEv2 protokollarini tadqiq etishda nazariy bilimlar va amaliy koʻnikmalarni shakllantirish. Nazariy qism Oldingi mavzuda VPN tushunchasi, ushbu texnologiya hal qiladigan muammolar, uning afzalliklari va kamchiliklari va uni qanday sozlash haqida keltirilgan edi. Ushbu mavzu VPN texnologiyasini tunnellash uchun ishlatiladigan protokollarga qaratilgan. Shuni ta'kidlash kerakki, VPN ulanishidan foydalanib, barcha trafikni dunyoning boshqa joylarida joylashgan server orqali xavfsiz boshqarish mumkin. Bu lokal tarmoq kuzatuvi va xakerlik urinishlaridan himoya qiladi va hatto Internet protokolining haqiqiy manzilini veb-saytlar va xizmatlardan yashiradi. Shifrlash darajasi har xil boʻlgan turli xil VPN texnologiyalari mavjud. Masalan, "Nuqtadan nuqtaga tunnel protokoli" (PPTP) tez, ammo xavfsizligi SSL / TLS (Secure Sockets Layer / Transport Layer Security) dan foydalanadigan IPSec yoki OpenVPN kabi boshqa protokollarga qaraganda ancha past. Bundan tashqari, TLSga asoslangan VPNdan foydalanishda shifrlash algoritmining turi va kalit uzunligi ham muhimdir. VPNning asosiy maqsadi - jismoniy xususiy tarmoqqa bevosita ulanmasdan xususiy tarmoqqa xavfsiz kirishni ta'minlash. Shu tarzda, VPN shaxsiy tarmoqdagi barcha xizmatlarni kengaytiradi, goʻyo qurilmalar toʻgʻridan-toʻgʻri xususiy tarmoqqa ulangan kabi. Korparativ IT mutaxassislari fayl serverlari, bosma serverlar, internet veb-saytlari, ERP tizimlari, zaxira serverlari va boshqalar kabi xizmatlarni taqdim etishlari mumkin. Ushbu xizmatlar faqat ichki foydalanish uchun moʻljallangan, ammo VPN yordamida xodim jismoniy joylashuvi bilan cheklanmaydi va har qanday geografik joylashuvdan ichki IT-tarmoqqa ulanishga ega boʻlishi mumkin. Xuddi shu xususiy tarmoq IP-telefoniya yoki qurilmani boshqarish kabi Internetga ulangan qurilmalar uchun ixtisoslashgan xizmatlarni taqdim etishi mumkin. Ushbu qurilmalarni shaxsiy tarmoq orqali 166 ixtisoslashgan xizmatlarni taqdim etadigan hisoblash infratuzilmasiga xavfsiz ravishda ulash uchun VPNdan foydalanish mumkin. VPN har xil qurilmalar tomonidan yuborilgan va olingan ma'lumotlarni xavfsiz uzatish uchun ajoyib yechim boʻlib, ular Narsalar Internetining (IoT) kengayib borayotgan maydonini oʻz ichiga oladi. Shuningdek, VPNlar bilan bogʻliq xavfsizlik muammolari mavjudligini ham aytib oʻtish kerak. Bunga masodan turib ruxsatsiz vpn mijoz sifatida ulanish, VPN aloqani oʻgʻirlash, oʻrtada turgan odam hujumi kabi muammolar boʻlib, bu muammolarning kelib chiqishiga asosiy sabab foydalanuvchilarning autentifikatsiyasining zaifligi, internetga xavfsiz boʻlmagan ulanish mijoz kompyuterida zararli dasturlarni yuqtirish, tarmoqqa juda koʻp kirish huquqlarini berish, kompyuterda xavfsiz DNSdan emas, balki standart DNS-ulanishdan foydalangan holda foydalanish kabilar kiradi. Ushbu xavflarni kamaytirish uchun VPN mahsulotini tanlashda qoʻshimcha xavfsizlik xususiyatlarini hisobga olish kerak. Bunga quyidagi majburiy xavfsizlik xususiyatlari kiradi: • kuchli autentifikatsiyani qoʻllab-quvvatashi; • ishonchli shifrlash algoritmlarini qoʻllanilganligi; • antivirus dasturidan foydalanish va hujumlarni aniqlash va oldini olish vositalaridan foydalanishi. • ma'muriy va texnik xizmat koʻrsatish portlari uchun ishonchli standart himoya mavjud boʻlishi; • raqamli sertifikatni qoʻllab-quvvatlashi; • roʻyxatga olish va tekshirishni qoʻllab-quvvatlash; • shaxsiy tarmoqdagi mijozlarga manzillarni tayinlash qobiliyatining mavjudligi. Bundan tashqari, tarmoq va xavfsizlik ma'murlari, texnik qoʻllab-quvvatlash xizmatining xodimlari va masofaviy foydalanuvchilar VPNni joylashtirish va doimiy foydalanish paytida xavfsizlikning eng yaxshi ilgʻor tajribalariga amal qilishlari uchun oʻqitilishi kerak. VPN xavfsizligini yaxshilashning yana bir usuli - bu Perfect Forward Secret (PFS)dan foydalanish. Agar PFS ishlatilsa, eski saqlangan shifrlangan xabarlar va sessiyalar qabul qilinmaydi va uzoq muddatli maxfiy kalitlar yoki parollar buzilgan boʻlsa, ularni parolini ochib boʻlmaydi. PFS bilan har bir VPN seansi turli xil shifrlash kalitlar birikmasidan foydalanadi, shuning uchun hujumchilar bitta 167 kalitni oʻgʻirlashsa ham, boshqa VPN sessiyalarining parolini ololmaydilar. VPNlarning toʻrtta asosiy turi mavjud: • VPN-tarmoqlararo ekran ham tarmoqlararo ekran, ham VPN imkoniyatlariga ega. Ushbu tur ichki tarmoqqa kirishni cheklash uchun tarmoqlararo ekranlar tomonidan ta'minlangan himoyadan foydalanadi va manzil translatsiyasini, foydalanuvchining autentifikatsiyasini, signalizatsiya va jurnalga yozishni ta'minlaydi. • Apparat VPN yuqori tarmoqli oʻtkazuvchanlikni ta'minlaydi va ishlash va ishonchlilikni oshiradi, ammo qimmatga tushadi. • Dasturiy VPN trafikni boshqarish nuqtai nazaridan moslashuvchanlikni ta'minlaydi. Bu soʻnggi nuqtalar bir tomon tomonidan boshqarilmaganda va turli xil tarmoqlararo ekranlar va marshrutizator ishlatilganda yaxshi boʻladi. • Secure Socket Layer (SSL) VPN foydalanuvchilarga vebbrauzer yordamida VPN qurilmalariga ulanish imkonini beradi. SSL veb-brauzer va VPN qurilmasi oʻrtasidagi trafikni shifrlash uchun ishlatiladi. VPN tunnel protokollari turli xil xususiyatlar va xavfsizlik darajasini taklif qiladi va ularning har birining afzalliklari va kamchiliklari mavjud. VPN tunnel hosil qilishning beshta asosiy protokoli mavjud: Secure Socket Tunneling Protocol (SSTP), Point-to Point Tunneling Protocol (PPTP), Two Layer Tunneling Protocol (L2TP) va Internet Key Exchange version 2 (IKEv2). • SSTP boshqa protokollarni bloklashi mumkin boʻlgan tarmoqlararo ekran va veb-proksi-serverlar orqali trafikni uzatish uchun HTTPS protokolidan foydalanadi. SSTP SSL kanali orqali nuqta-nuqta protokoli (PPP) trafigini oʻtkazish mexanizmini taqdim etadi (14.1-rasm). PPPdan foydalanish kuchli autentifikatsiya usullarini qoʻllab-quvvatlashga imkon beradi, SSL esa transport darajasidagi xavfsizlikni yaxshilangan kalitlar, shifrlash va yaxlitlikni tekshirish bilan ta'minlaydi. • PPTP koʻp protokolli trafikni shifrlash va soʻngra Internet Protocol (IP) tarmogʻi orqali yuboriladigan sarlavha bilan oʻrashga imkon beradi. PPTP masofaviy kirish va VPNga ulanish uchun ishlatilishi mumkin (14.2-rasm). Internetdan foydalanganda, PPTPserver - bu Internetda bitta interfeysga va korporativ intranetda ikkinchi interfeysga ega boʻlgan PPTP yoqilgan VPN-server. PPTP 168 tunnel boshqarish uchun protokol ulanishidan foydalanadi va tunnel qilingan ma'lumotlar uchun PPP kadrlarini olib oʻtish uchun umumiy marshrutni inkassatsiya qiladi. TCP aloqa SSL munosabatlari HTTPS orqali SSTP Ip binding Internet SSTP Tunnel 14.1-rasm. SSTP protokolini ishlash mexanizmi PPP va PPTP mijoz (IP, IPX, NetBEUI) RAS Korporativ tarmoq 1 PPP sessiya RAS ISP Internet 2 PPTP tunel Korporativ tarmoq (IP, IPX, NetBEUI) PPTPni qo llab quvvatlash 14.2-rasm. PPTP protokolini ishlash mexanizmi • L2TP koʻp protokolli trafikni shifrlash va undan keyin PPP yetkazib berishni qoʻllab-quvvatlovchi har qanday ommaviy axborot vositalaridan, masalan IP yoki asinxron uzatish rejimidan foydalanishga imkon beradi. L2TP - bu PPTP va Layer2 Forwarding (L2F) birikmasidan tashkil topgan. L2TP eng yaxshi PPTP va L2F xususiyatlarini taqdim etadi. PPTPdan farqli oʻlaroq, L2TP shifrlash xizmatlari uchun transport rejimida IP xavfsizligiga (IPsec)dan foydalanadi. L2TP va IPsec kombinatsiyasi L2TP / IPsec sifatida ma’lum. Ham L2TP, ham IPsec ham VPN mijozi, ham VPN server tomonidan qoʻllab-quvvatlanishi kerak (14.3-rasm). L2TP / IPsec – xavfsizlik jihatidan eng yaxshi tunnellash hisoblanadi. 169 L2TP tunnel LNS LAC Masofadagi foydalanuvchi Internet PSTN NAS Masofadagi ofis LAN Ichki server 1 4.3-rasm. L2TP protokolini ishlash mexanizmi • IKE yoki Internet Key Exchange - bu IPSec protokoli asosida xavfsiz aloqa kanalini hosil qiladigan tunnel protokoli hisoblanadi. Protokolning birinchi versiyasi (IKEv1) 1998 yilda, ikkinchisi (IKEv2) 7 yil oʻtgach chiqarildi. IKEv1 va IKEv2 oʻrtasida bir qator farqlar mavjud, ulardan biri IKEv2 oʻtkazuvchanligini kamaytirishdir. IKEning maqsadi aloqa qilayotgan tomonlar uchun bir xil nosimmetrik kalitni yaratishdir(14.4-rasm). Ushbu kalit VPN tugunlari oʻrtasida ma'lumotlarni uzatish uchun ishlatiladigan IP-paketlarni shifrlash va deshifrlash uchun ishlatiladi. IKE har ikki tomonning autentifikatsiyasi va shifrlash va yaxlitlik toʻgʻrisida kelishib, VPN tunnelini yaratadi. Filial Bosh ofis GE0/1 1.1.1.1/24 GE0/1 Internet A qurilma B qurilma Tunnel 1 10.1.1.1/24 Tunnel 1 10.1.1.2/24 172.17.17.0/24 192.168.1.0/24 14.4-rasm. IPSec asosidagi IKEv2 protokolining ishlash mexanizmi Amaliy qism Amaliy qismda tunnellash protokollari yordamida VPNni yaratish keltirilgan. VPNni sozlash uchun quyidagi koʻrsatmalarni bajarish kerak. 170 1. Bosh ofis marshrutizatori, filial marshrutizatori va ular oʻrtasida xizmat koʻrsatuvchi Internet-provayder marshrutizatoridan iborat topologiya yaratiladi (14.5-rasm). 14.5-rasm. Tadqiq qilinayotgan tarmoq topologiyasi 2. IP manzillarni rasmda koʻrsatilgandek sozlanadi. 3. R0 va R2 marshrutizatorlarda NAT sozlamalarini oʻrnatiladi, masalan: R0(config)#interface fastEthernet 0/0 R0(config-if)#ip nat outside (tashqi NAT interfeysiga ishora qiladi) R0(config-if)#exit R0(config)#int fa0/1 R0(config-if)#ip nat inside (ichki NAT interfeysiga ishora qiladi) R0(config-if)#exit R0(config)#ip access-list standard vpnlab (kirish roʻyxatini sozlash) R0(config-std-nacl)#permit 192.168.i.0 0.0.0.255 (NATni marshrutizator LAN manzillariga qoʻllash uchun ruxsat berish) R0(config-std-nacl)#exit R0(config)#ip nat inside source list vpnlab interface fastEthernet 0/0 overload (access-listning translatsiyasi va marshrutizator tashqi interfeysini koʻrsatish) R0(config)# 4. R (200.150.20.1) marshrutizator interfeysi foydalanuvchanligini 192.168.1.0 tarmogʻidagi kompyuterlarning biridan PING yordamida tekshiriladi. 171 5. NATni xuddi shu tarzda R2 marshrutizatorda sozlanadi va 192.168.1.0 ikkinchi tarmogʻidagi kompyuterlardan birida R1 marshrutizatorning ikkinchi interfeysi mavjudligi tekshiriladi. 6. Quyidagi buyruqlar yordamida R0da VPN sozlanadi: R0> R0>enable R0#configureterminal R0(config)#crypto isakmp policy 1(siyosat va uning parametrlarini yaratish) R0(config-isakmp)#encryption 3des (3des nosimmetrik shifrlash algoritmini sozlash) R0(config-isakmp)#hash md5 (md5 xesh funksiyasini sozlash) R0(config-isakmp)#authentication pre-share (oldindan kalitlarni almashtirish uchun defi-helman algoritmini sozlash) R0(config-isakmp)#group 2(2 Diffie-Hellman group 2) R0(config-isakmp)#exit R0(config)# Endi oldindan umumiy kalitni yaratishingiz va VPN ulanadigan marshrutizatorning IP-manzilini oʻrnatishingiz kerak: R0(config)#crypto isakmp key vpn key address 200.150.20k.2 IPSec tunnelini qurish uchun zarur boʻlgan parametrlarni koʻrsatiladi: R0(config)#crypto ipsec transform-set TrSet esp-3des esp-md5hmac(Shifrlash va xeshlash algoritmi) Tunnelga qanday trafikni yuborish kerakligini koʻrsatadigan ACL roʻyxatini sozlash: R0>enable R0#configure terminal R0(config)#ip access-list extended vpntun R0(config-ext-nacl)#permit ip 192.168.i.0 0.0.0.255 192.168.(i+1).0 0.0.0.255 (paketlarni i tarmoqdan (i+1) tarmoqqa tunnellash) R0(config-ext-nacl)#exit Kripto xaritasini yaratish: 172 R0(config)#cryptomap CrMap10 ipsec-isakmp R0(config-crypto-map)#set peer 200.150.20k.2 (R2 tashqi interfeysi) R0(config-crypto-map)#set transform-set TrSet R0(config-crypto-map)#match address vpntun (access-list) R0(config-crypto-map)#exit R0(config)#interface fastEthernet 0/0 R0(config-if)#crypto map CrMap (tashqi interfeysga kripto xaritasini biriktirish) 7. R2 marshrutizator ham xuddi shu tarzda sozlanadi. 8. PING soʻrovini chap tarmoqdagi kompyuterdan oʻngdagi kompyuterga joʻnatiladi. 9. Xost mavjud emasligi tekshiriladi. 10. PING soʻrovi qayta joʻnatiladi va R0 marshrutizatorga quyidagi buyruq kiritiladi: R0#show ip nat translations 11. NAT mexanizmi tomonidan paketlarning rad etilishi haqida ma'lumot paydo boʻladi, bu barcha paketlarning oʻtishiga imkon bermaydi. 12. Oldindan yaratilgan access-listni oʻchirib tashlab va ushbu tarmoqdan masofadan yuborilgan paketlarning qabul qilinishini koʻrsatadigan yangisi yaratiladi: R0(config)#no ip access-list standard vpntun R0(config)#ip access-list extended vpntun R0(config-ext-nacl)#deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 R0(config-ext-nacl)#permit ip 192.168.3.0 0.0.0.255 any R0(config-extnacl)#exit R0(config)#exit 13. Xuddi shu tarzda, R2 uchun kirish roʻyxati sozlanadi. 14. PINGdan foydalangan holda bir-birlari uchun turli xil tarmoqlarda kompyuterlarning foydalanuvchanligi tekshiriladi. 15. Paketlar endi muvaffaqiyatli yetib kelayotganligini koʻrsa boʻladi. 173 Topshiriq  14.6-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  Qurilgan topologiyani testlab ko’ring. 14.6-rasm. Tarmoq topologiyasi Nazorat savollari 1. VPN qanday imkoniyatlarni taqdim etadi va ushbu texnologiyani kim koʻproq ishlatadi? 2. NAT qanday funksiyalarni bajaradi? 3. Tarmoq manzilini translatsiya qilish VPN tunnel orqali paketlarni yuborishga xalaqit berishi aniqlangandan soʻng ushbu laboratoriyada qanday choralar koʻrildi? 4. PPTP nima? 5. L2F va L2TP oʻrtasidagi farq nima? 6. IPSes qanday ishlashini tushuntiring? 15-LABORATORIYA ISHI CISCO ASA TARMOQLARARO EKRAN SOZLASH Ishdan maqsad. ASA tarmoqlararo ekranni sozlashda nazariy bilimlar va amaliy koʻnikmalarni shakllantirish. Nazariy qism 174 Mobil aloqa tizimlari va bulutli texnologiyalar ishlab chiqarish samaradorligini oshirishi mumkin, ammo ular qoʻshimcha xavf tugʻdiradi. Bunda Resurslarni himoya qilish uchun foydalanuvchilarni, ilovalarni, qurilmalarni va tarmoqdagi tahdidlarni kuzatishingiz va boshqarishingiz kerak. Cisco ASA 5500-X seriyali tarmoqlararo ekrani kerakli tarmoq koʻrinishini, rivojlangan tahdidlar va zararli dasturlardan yuqori darajada himoyani va xarajatlarni kamaytirish va infratuzilmani soddalashtirish uchun yuqori darajadagi avtomatlashtirishni ta'minlaydi. Cisco ASA tarmoqlararo ekrani imkoniyatlari, uning ishlashi va uni oʻrnatish va sozlash haqida gapirishdan oldin, tarmoqlararo ekran texnologiyasining oʻzi qanday ishlashini koʻrib chiqish lozim. Tarmoqlararo ekran - bu kiruvchi va chiquvchi tarmoq trafigini kuzatuvchi va xavfsizlik qoidalarining belgilangan toʻplamiga asoslanib, ma'lum trafikka ruxsat berish yoki berkitishga qaror qiladigan tarmoq xavfsizligi qurilmasi (15.1-rasm). Tashqi hujum Shaxsiy kompyuter FireWall Umumiy tarmoq 15.1-rasm. Tarmoqlararo ekranni ishlash prinsipi Tarmoqlararo ekran apparat yoki dasturiy ta'minot orqali amalga oshirilishi mumkin. Buni aniq ishlash tamoyili tarmoq masshtabi, trafik miqdori va bazibir vazifalarga bogʻliq. Tarmoqlararo ekranning eng keng tarqalgan turi dasturiy ta'minotga asoslangan. Bunday holda, u maqsadli kompyuterda ishlaydigan dastur yoki chekka tarmoq qurilmasi, masalan, marshrutizator shaklida amalga oshiriladi. Uskuna orqali amalga oshirishda tarmoqlararo ekran odatda yuqori ishlash qobiliyatiga ega boʻlgan, ammo shunga oʻxshash vazifalarni bajaradigan alohida tarmoq elementidir. Tarmoqlararo ekran trafikni oʻtkazishga mas'ul boʻlgan filtrlarni quyidagi mezonlarga muvofiq sozlash imkonini beradi: 175 1. IP-manzil. Ma'lumki, IP protokolidan foydalanadigan har qanday soʻnggi qurilma noyob manzilga ega boʻlishi kerak. Manzilni yoki ma'lum bir diapazonni koʻrsatib, ulardan paketlarni olishni taqiqlash yoki aksincha, faqat ushbu IP-manzillardan kirishga ruxsat berish mumkin. 2. Domen nomi. Ma'lumki, internetdagi sayt, aniqrogʻi uning IP-manzili harflar soni bilan bogʻlanishi mumkin, bu raqamlar toʻplamiga qaraganda esda saqlash ancha osondir. Shunday qilib, filtr trafikni faqat manbalardan biriga / biridan uzatadigan yoki unga kirishni taqiqlaydigan qilib sozlanishi mumkin. 3. Port. Dasturiy ta'minot portlari, ya'ni dasturlarning tarmoq xizmatlariga kirish nuqtalari. Masalan, ftp 21-portdan foydalanadi, veb-brauzer dasturlari 80-portdan foydalanadi. Bu keraksiz xizmatlardan va tarmoq dasturlaridan kirishni rad etish yoki aksincha, faqat ularga kirish huquqini berish imkonini beradi. 4. Protokol. Tarmoqlararo ekran faqat bitta protokolga ma'lumotlarni uzatishi yoki undan foydalanishni taqiqlashi uchun sozlanishi mumkin. Odatda protokol turi u foydalanadigan dasturning vazifalari va himoya parametrlari toʻplami sifatida ishlatiladi. Shunday qilib, kirish faqat biron bir maxsus dasturning ishlashi uchun sozlanishi va boshqa barcha protokollar yordamida potensial xavfli kirishni oldini olish mumkin. Yuqorida faqat sozlash mumkin boʻlgan asosiy parametrlar keltirilgan. Ushbu tarmoqda bajariladigan vazifalarga qarab, tarmoqqa xos boʻlgan boshqa filtr parametrlari ham qoʻllanilishi mumkin. Shunday qilib, tarmoqlararo ekran tarmoqning ishlashiga ta'sir qilishi mumkin boʻlgan ruxsatsiz kirish, ma'lumotlarning buzilishi yoki oʻgʻirlanishi yoki boshqa salbiy ta'sirlarning oldini olish boʻyicha keng qamrovli vazifalar toʻplamini taqdim etadi. Odatda, tarmoqlararo ekran boshqa himoya vositalari bilan birgalikda ishlatiladi, masalan, antivirus dasturi. Cisco Systems - Frost & Sulivanning 2018 yilgi hisobotidagi tadqiqotlar asosida tarmoqlararo ekran boʻyicha jahon bozorida yetakchi hisoblanadi. Kompaniyaning eng mashhur xavfsizlik mahsuloti Cisco ASA hisoblanadi. Cisco ASA xavfsizlik devori PIX seriyasining davomchisi boʻlib, ular Cisconing birinchi xavfsizlik devorlari boʻlgan va 176 kompaniyaning tarmoq qurilmalarining ushbu segmentida ustunligini ta'minlagan. Cisco ASA - bu quyidagi texnologiyalarni birlashtirgan koʻp funksiyali xavfsizlik vositasi: • keyingi avlod xavfsizlik devori (NGFW); • dasturlarni donadorlik bilan kuzatish va boshqarish tizimi (Cisco AVC); • VPN tunnellarini qurish tizimi (site-to-site IPsec); • yangi avlod hujumlarni bartaraf etish tizimlari(NGIPS); • retrospektiv himoya xususiyatlariga ega rivojlangan zararli dasturlardan himoya qilish (AMP); • muhimlik darajasi va tasniflash algoritmlari asosida URLfiltrlash; • zaifliklarni boshqarish tizimi va SIEM. Barcha Cisco ASA 5500-X seriyali keyingi avlod tarmoqlararo ekran Cisco Adaptive Security Appliance (ASA) dasturiy ta'minotini boshqaradi va korporativ darajadagi yangi avlod tarmoqlararo ekran imkoniyatlarini qoʻllab-quvvatlaydi. ASA dasturiy konfiguratsiyasi quyidagi funksiyalarga imkon beradi: • tarmoqni himoya qilishning asosiy texnologiyalari bilan integratsiya qilish; • foydalanuvchi identifikatorlarini Cisco TrustSec guruhining xavfsizlik yorliqlari va identifikatsiyaga asoslangan xavfsizlik devori yordamida kengaytirilgan hisobga olish; • 16 tagacha ASA 5585-X qurilmalarini klasterlash hisobiga 640 Gbit / s gacha tezlik; • nosozliklarga bardoshliligi yuqori talablarga ega dasturlar uchun yuqori darajadagi aniqlik; • Cisco ASA FirePOWER xizmatlaridan foydalangan holda ishonchli yangi avlod xavfsizlik vositalari. Amaliy qism Amaliy qismda Cisco paket tracer simulyatorida ASA 5505 tarmoqlararo ekrani sozlash va uning imkoniyatlarini oʻrganish keltirilgan. ASA 5505 tarmoqlararo ekrani qanday ishlashini bilish uchun ushbu koʻrsatmalarni bajarish kerak. 1. Cisco packet tracer dasturi ishga tushiriladi. 177 2. Laboratoriya ishi uchun cisco 2960 kommutatori, 2911 marshruzatori, ASA0 5505 firewalli, server va kompyuterlar tanlanadi. 3. 15.2-rasmda keltirilgan tarmoq topologiyasi tuziladi. 15.2-rasm. ASA 5505 ishlash prinsipini oʻrganish uchun qurilgan tarmoq topologiyasi 4. Marshrutizatorning dastlabki sozlanmalarini sozlash. continue with configuration dialog? [yes/no]: no Router>enable Router#conf t Router(config)#interface gigabitEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#hostname IP IP(config)#interface gigabitEthernet 0/0 IP(config-if)#ip address 195.158.0.1 255.255.255.252 IP(config-if)#ex IP(config)#interface gigabitEthernet 0/1 IP(config-if)#no shutdown IP(config-if)#ip address 8.8.8.1 255.255.255.0 Router(config-if)#do wr Router(config-if)#exit 178 5. Cisco ASA tarmoqlararo ekranida xavfsizlik maqsadida ishlatilganligi sababli, barcha portlar odatda yopilgan holatda boʻladi. Sozlanmalarni amalga oshirishda foydalanish kerak boʻlgan portlarni asta-sekin ochish kerak. ASA 5505ni sozlash uchun quyidagi buyruqlardan foydalanladi: ciscoasa>en ciscoasa#conf t ciscoasa(config)#interface vlan 1 (vlan 1 sozlash) ciscoasa(config-if)#no ip address ciscoasa(config-if)#ip address 192.168.100.1 255.255.255.0 (IP addresslarni berish) ciscoasa(config-if)#exit ciscoasa(config)#dhcpd address 192.168.100.22-192.168.100.50 inside (DHCPni sozlash) ciscoasa(config)#dhcpd dns 8.8.8.8 ciscoasa(config)#enable password salom ciscoasa(config)#username admin password admin (foydalanuvchi yaratish) ciscoasa(config)#ssh 192.168.100.22 255.255.255.255 inside ciscoasa(config)#ssh timeout 1 ciscoasa(config)#aaa authentication ssh console LOCAL (ssh protokolini yoqish) ciscoasa(config)#interface vlan 2 (vlan 2 sozlash) ciscoasa(config-if)# no ip address ciscoasa(config-if)#ip address 195.158.0.2 255.255.255.252 (IP addresslarni berish) ciscoasa(config-if)#exit ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 195.158.0.1 (marshrutizatsiyani sozlash) ciscoasa(config)#object network NET ciscoasa(config-network-object)#subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)#nat (inside,outside) dynamic interface ciscoasa(config-network-object)#ex ciscoasa#conf t ciscoasa(config)#access-list NAT extended permit icmp any any (accesslistni sozlash) ciscoasa(config)#access-group NAT in interface outside 179 Tegishli buyruqlarni yozgandan soʻng, tarmoqqa ulangan kompyuterlar manzillarni qabul qilishadi(15.3-rasm). 15.3-rasm. Hostning ASA tarmoqlararo ekrani orqali IP-manzilni olishi Shuni yodda tutish kerakki, Server manzilni statik ravishda qabul qilishi kerak (15.4-rasm), chunki u oʻz manzilini oʻzgartirmasligi kerak. 17.4-rasm. Serverga IP address berish Barcha sozlamalar amalga oshirilgandan soʻng, portni tashqi tarmoqqa uzatish uchun portning ochiq yoki yoʻqligini tekshirish kerak (17.5-rasm). 180 17.5-rasm. Qurilgan topologiyani testlash Testlash natijasidan soʻng SSH protokoli koʻrsatilgan manzilda toʻgʻri ishlashini tekshirib koʻrish mumkin (17.6-rasm). 17.6-rasm. SSH protokoli orqali tarmoqlararo ekranga ulanish Topshiriq  17.7-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;  ASA 5505 fiirewallini sozlang;  Qurilgan topologiyani testlab ko’ring. 181 17.7-rasm. Tarmoq topologiyasi Nazorat savollari 1. 2. mavjud? 3. 4. 5. Tarmoqlararo ekranni funksiyalarini tushuntiring? ASA firewallining qanday funksional imkoniyatlari ASA da NATqanday sozlanadi? Cisco AVC nima? IPSdan NGIPS nimasi bilan afzal? 16-LABORATORIYA ISHI TARMOQ MARSHRUZATORIDA DMZ NI OʻRNATISH Ishdan maqsad. Tarmoq marshruzatorida DMZni oʻrnatish ko`nikmalarini hosil qilish. Nazariy qism Tarmoq xavfsizligi boʻyicha mutaxassislar potensial zararni hali aniqlanmagan zaifliklarini oldini olish uchun choralar koʻrishlari kerak. Buning uchun ideal yechim - bu bitta muhim server internetdan "koʻrinmaydigan" boʻlishi kerak, lekin internetdan butunlay ajralib qolish imkonsizdir. Biz xizmatning funksionalligi va uning xavfsizligi oʻrtasida oqilona kelishuvni oʻrnatishimiz kerak. Internetga ulangan koʻpgina kompaniyalar oʻzlarining pochta serverlariga ega, ular bir xil turdagi boshqa pochta serverlaridan pochta xabarlarini qabul qilishadi. Ushbu serverga internetning 182 istalgan joyidan ulanish uchun kirish kerak boʻlishi kerak, chunki SMTP protokoli (Simple Mail Transport Protocol) yordamida kompaniyaning serveriga toʻgʻridan-toʻgʻri ulanish orqali kelgan keyingi xatni kim yuborishini taxmin qilish mumkin emas. Bir tomondan, pochta serveri xavfsizligini ta'minlash kerak, ya'ni ruxsatsiz ulanishlarni iloji boricha cheklash lozim, boshqa tomondan esa internetdan imkon qadar koʻproq foydalanishiga imkoniyat yaratish kerak. Aniqlanishsiz ulanishlarni qabul qilishi kerak boʻlgan serverlar odatda "umumiy" deb nomlanadi, ya'ni global tarmoqning har qanday foydalanuvchisi uchun kirish mumkin. Umumiy serverlarini oʻz ichiga olgan qurilish tizimlariga yondashuv ichki serverlarga asoslangan tizimlarni yaratish yondashuvidan farq qilishi kerak. Bu serverning ochiqligi sababli yuzaga keladigan oʻziga xos xatarlar tomonidan belgilanadi. Serverlarning ochiqligi bilan bogʻliq muammolarni hal qilish uchun marshrutizatordagi paketlarni filtrlash qoidalari va aniq belgilangan tarmoq xavfsizligi siyosati orqali umumiy foydalaniladigan serverlar va lokal tarmoqni ajratishdan iborat boʻlgan kompleks yondashuv mavjud. Ichki va umumiy tarmoqlarni ajratish uchun tarmoq xavfsizligi mutaxassislari tomonidan keng qoʻllaniladigan tasdiqlangan yechim mavjud - Demilitarizatsiya qilingan Zona (DMZ). Ushbu yechimning mohiyati serverlarning birortasidan lokal tarmoqqa ulanishlarni nazoratsiz oʻrnatishga imkon bermasligi uchun umumiy serverlarning tarmoqda joylashuvi. Hatto buzgʻunchi ulardan birini boshqara oladigan boʻlsa ham, masalan, dasturiy ta'minotda yangi zaiflikdan foydalangan holda, u ichki tarmoqqa nazoratsiz kira olmaydi. Bunday yechimning mohiyati umumiy serverlarni lokal tarmoqdan deyarli butunlay ajratib qoʻyishdan iborat, ammo faqat ushbu serverlardan kelib chiqadigan ulanishlar uchun, chunki bu ulanishlar boshqaruvni qoʻlga olgan buzgʻunchi tomonidan boshqarilishi mumkin. Shu bilan birga, serverlarning oʻzi ham internetdan, ham lokal tarmoqdan boshlangan ulanishlar uchun ochiq boʻlishi kerak. Demilitarizatsiya qilingan zona orqali korporativ tarmoqqa kirib borishini himoya qilish uchun tarmoqlararo ekran ishlatiladi. Dasturiy va apparat ta'minot tarmoqlararo ekranlari mavjud. Dasturiy ta’minot uchun alohida mashina kerak. Aparat tarmoqlararo ekranini 183 oʻrnatish uchun uni tarmoqqa ulash va minimal konfiguratsiyani sozlash kerak. Odatda, dasturiy ta'minot ekranlari tarmoqlarni himoya qilish uchun ishlatiladi, bu yerda tarmoq kengligi egiluvchanligini taqsimlash va foydalanuvchilar uchun protokollar yordamida trafikni cheklash bilan bogʻliq koʻplab sozlamalarni oʻrnatishga hojat qolmaydi. Agar tarmoq katta boʻlsa va yuqori ishlash talab etilsa, qoʻshimcha tarmoqlararo ekranlarini ishlatish yanada foydali boʻladi. Koʻpgina hollarda, bitta emas, balki ikkita tarmoqlararo ekranlarini ishlatiladi - biri DMZni tashqi ta'sirlardan himoya qiladi, ikkinchisi uni korporativ tarmoqning ichki qismidan ajratib turadi(16.1-rasm). Tashkilot tarmogʻi qismtarmoqlardan iborat va shunga koʻra, tashqaridan ham, ichkaridan ham kirishga muhtoj boʻlgan serverlar bir xil tarmoqda (DMZ yoki demilitarizatsiya zonasi deb ham ataladi), foydalanuvchilar va lokal manbalar esa turli qismtarmoqlarda joylashgan. Ushbu topologiya bilan DMZdagi serverlar Internetdan, boshqasi lokal tarmoqdan tarmoqlararo ekran bilan ajratilishi kerak. Shu bilan birga, "tashqi tomondan" kerakli resurslarga kirish tashqi tarmoqlararo ekranda amalga oshirilishi kerak. DMZ Intranet (LAN) Router (WAN) 16.1-rasm. Ikki tomonlama tarmoqlararo ekranli DMZ arxitekturasi Biroq, har kim ham, ayniqsa kichik kompaniyalar, tarmoqni himoya qilish uchun ikkita serverdan foydalanishga qodir emas. Shuning uchun, ular koʻpincha arzonroq variantga murojaat qilishadi: uchta server sifatida bitta server interfeysidan foydalanish. Keyin bitta interfeys Internetga, ikkinchisi DMZ ga, uchinchisi lokal tarmoqqa 184 ulanadi. Amalda, DMZ umumiy tarmoq manzillari bilan alohida qismtarmoq sifatida amalga oshiriladi(16.2-rasm), bunda jismoniy yoki VLAN (Virtual Local Area Network) texnologiyasidan foydalangan holda, korxonaning lokal tarmogʻidan ajratiladi. DMZ Intranet (LAN) Router (WAN) 16.2-rasm. Yagona tarmoqlararo ekranli DMZ arxitekturasi Ommaviy serverlari tomonidan ichki tarmoqqa ulanish urinishlarini filtrlash marshrutizatordagi paketli filtr yordamida amalga oshiriladi. Marshrutizatorning oʻzi ommaviy serverlaridan biri sifatida koʻrib chiqilishi kerak va unga nisbatan xavfsizlik siyosati ommaviy serverlarida qoʻllanilishi kerak. Va shuni yodda tutish kerakki, agar marshrutizator buzilgan boʻlsa, hech qanday DMZ siyosati yordam bermaydi – ya’ni kraker sizning ichki tarmogʻingizga kirish huquqiga ega boʻladi. Shunday qilib, umumiy tarmoqni qurishda marshrutizator xavfsizligiga alohida e'tibor berishingiz kerak. Ushbu tarmoq dizayni bilan barcha ommaviy serverlar alohida DMZ segmentida oʻrnatiladi. Shu bilan birga, ommaviy serverlarning internet va lokal tarmoq bilan aloqasi faqat ulanishlarni moslashuvchan boshqarishingiz mumkin boʻlgan marshrutizator orqali amalga oshiriladi. Ikkinchi variantni amalga oshirishda uning kamchiliklariga e'tibor qaratish lozim. Avvalo, bu umumiy tarmoqning ishonchliligining pasayishiga olib keladi. Agar server osilib qolsa yoki qayta ishga tushirilsa, DMZda joylashgan resurslar foydalanuvchilar uchun vaqtincha mavjud boʻlmaydi. Masalan, agar sizning 185 tarmogʻingizda bitta pochta serveri boʻlsa va u DMZda joylashgan boʻlsa, u holda tarmoqlararo ekranni oʻchirib qoʻysangiz, u ishlamay qoladi va pochta mijozidagi foydalanuvchilar ulanishga oid xato xabarlarini qabul qilishni boshlaydilar. Natijada, tizim ma'muriga tarmoqning ishlamay qolishi toʻgʻrisida qoʻngʻiroqlar va shikoyatlar oqimi paydo boʻldi. Bitta serverdan foydalanishning yana bir kamchiligi shundaki, u ishlamay qolganda, almashtirishga sarflagan barcha vaqtda tashkilotning lokal tarmogʻi deyarli ishlamay qoladi. Ushbu topologiyaning eng muhim kamchiligi, agar tajovuzkor serverga kirishni uddalasa, u DMZga ham, lokal tarmoqqa ham kirish huquqiga ega boʻladi. Agar ikkita tarmoqlararo ekran ishlatilsa, unda bu kamchiliklarning barchasi qisman yoki toʻliq yoʻq qilinishi mumkin. Agar ulardan bittasi bir necha daqiqa ichida ishlamay qolsa, serverga boshqa tarmoq kartasini qoʻshish va sozlamalarga tegishli oʻzgartirishlar kiritish orqali "a" variantidan tarmoq "b" variantiga aylantirilishi mumkin. Bundan tashqari, ikkita tarmoqlararo ekrandan foydalanish orqali tarmoq xavfsizligi yaxshilanadi. Masalan, agar tajovuzkor WAN va DMZ ga ulangan serverga kirib olishga muvaffaq boʻlsa, u holda lokal tarmoq resurslari unga mavjud boʻlmaydi. Amaliy qism Amaliy qismda Cisco packet tracer simulyatorida demilitarizatsiya qilingan zonani qanday tashkil etish va uning imkoniyatlarini keltirilgan. DMZ yaratish uchun ASA 5505 tarmoqlararo ekrani, cisco 2960 kommutatorlari va cisco 2911 marshruzatori, kompyuterlar va server ishlatiladi. DMZ qanday ishlashini bilish uchun quyidagi koʻrsatmalarni bajarish lozim: 1. 16.3-rasmda koʻrsatilgan tarmoq topologiyasini yarating. 186 16.3-rasm. Tadqiq qilinayotgan tarmoq topologiyasi 2. Marshruzator va tarmoqlararo ekrandagi asosiy sozlamalarni sozlang. Asosiy sozlamalar uchun quyidagi buyruqlardan foydalaning. Marshruzatorga quyida buyruqlar ketma ketligi kiritiladi. continue with configuration dialog? [yes/no]: no Router>enable Router#conf t Router(config)#interface gigabitEthernet 0/1 Router(config-if)#no shutdown Router(config-if)#ip address 195.158.18.1 255.255.255.0 Router(config-if)#exit Router(config)#interface gigabitEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#ip address 8.8.8.1 255.255.255.0 Router(config-if)#do wr Tarmoqlararo ekrandagi asosiy sozlamalarni sozlash uchun quyidagi buyruqlar kiritiladi: ciscoasa>en ciscoasa#conf t 187 ciscoasa#no dhcpd enable inside ciscoasa#no dhcpd address 192.168.1.5-192.168.1.36 inside ciscoasa(config)#interface vlan 1 ciscoasa(config-if)#ip address 192.168.100.1 255.255.255.0 ciscoasa(config-if)#exit ciscoasa(config)#dhcpd enable inside ciscoasa(config)#dhcpd address 192.168.100.22-192.168.100.50 inside ciscoasa(config)#dhcpd dns 8.8.8.8 ciscoasa(config)#interface vlan 2 ciscoasa(config-if)#ip address 195.158.18.18 255.255.255.0 ciscoasa(config-if)#exit ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 195.158.18.1 ciscoasa(config)#object network NAT ciscoasa(config-network-object)#subnet 192.168.100.0 255.255.255.0 ciscoasa(config-network-object)#nat (inside,outside) dynamic outside ciscoasa(config-network-object)#exit ciscoasa(config)#class-map qoida ciscoasa(config-if)#match default-inspection-traffic ciscoasa(config-if)#exit ciscoasa(config)#policy-map toplam ciscoasa(config)#class qoida ciscoasa(config)#inspect http ciscoasa(config)#inspect icmp ciscoasa(config)#exit ciscoasa(config)#service-policy toplam global ciscoasa(config)#exit ciscoasa(config)#enable salom ciscoasa(config)#username admin password tatu123 3. Asosiy sozlamalarni kiritgandan soʻng, DMZni tarmoqlararo ekran yordamida sozlanadi. Buyruqning satriga quyidagi buyruqlar kiritiladi: ciscoasa(config)#hostname ASA ASA(config)#domain-name tatu.uz ASA(config)#ssh 192.168.100.0 255.255.255.0 inside ASA(config)#aaa authentication ssh console LOCAL ASA(config)#aaa authentication telnet console LOCAL ASA(config)#ssh 8.8.8.8 255.255.255.255 outside ASA(config)#interface vlan 3 ASA(config-if)#no forward interface vlan 1 ASA(config-if)#nameif DMZ 188 ASA(config-if)#ip address 192.168.70.1 255.255.255.0 ASA(config-if)#exit ASA(config)#interface vlan 3 ASA(config-if)#security-level 70 ASA(config-if)#exit ASA(config)#object network DMZ ASA(config-network-object)#nat (DMZ,outside) static 195.158.18.88 ASA(config-network-object)#exit ASA# ASA#conf t ASA(config)#access-list DMZ permit icmp any host 195.158.18.88 ASA(config)#access-group DMZ in interface outside ASA(config)#access-list DMZ permit tcp any host 195.158.10.88 eq www ASA(config)#end Tegishli buyruqlarni kiritgandan soʻng, tarmoqning ishlashini tekshirishingiz kerak. Topshiriq  16.4-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlardan manzil bering;  DMZ serverida DMZ zonani sozlang;  Qurilgan topologiyani testlab ko’ring. 16.4-rasm. Tarmoq topologiyasi 189 Nazorat savollari 1. DMZ nima? 2. Korporativ tarmoqlarda nima uchun DMZ zonalar tashkil etiladi? 3. DMZ ning ishlash tamoyilini tushuntirib bering? 4. Demilitarizatsiya qilingan zonaning arxitekturasi haqida gapirib bering. 5. Korporativ tarmoqlarda demilitarizatsiya zonasini yaratish texnologiyasining kamchiliklari va afzalliklari nimada? 17-LABORATORIYA ISHI TARMOQ MUAMMOLARINI IZLASH VA BARTARAF ETISH: TROUBLESHOOTING Ishdan maqsad: Tarmoq qurilmalarini sozlangandan soʻng kelib chiqadigan muammolarni aniqlash va ularni bartaraf etish boʻyicha nazariy bilimlarni va amaliy koʻnikmalarni shakllantirish. Nazariy qism Tarmoqning normal rejimda qanday ishlashi haqida toʻliq ma'lumotga ega boʻlgan odamgina tarmoqdagi muammolarni muvaffaqiyatli aniqlay oladi va tuzatadi. Faqatgina ushbu sharoitda me'yordan chetga chiqishni tezda aniqlash va muammoni aniqlash mumkin. Yaxshi texnik mutaxasis avvalo oʻzida mavjud boʻlgan barcha ma'lumotlarni batafsil oʻrganib chiqadi, barcha tarkibiy qismlarning ishini yaxshilab tushunishga harakat qiladi va ularni qanday qilib toʻgʻri ishlashni oʻrganadi. Tajribali tarmoq muhandislari katta muvaffaqiyatsizlikni dasturni notoʻgʻri ishlatilishi yoki "inson omili" deb nomlangan natijalar bilan xato qilish mumkinligini bilishadi. Muammolarni bartaraf etishning umumiy sxemasi uch qismdan iborat: 1. Muammoning alomatlarini toʻplash. Bu jarayonning birinchi qismi. Muammolarni hal qilish koʻpincha foydalanuvchining qoʻngʻirogʻidan boshlanadi, unda u: "Men uchun hech narsa ishlamayabdi!" Ushbu ma'lumot keng qamrovli qidiruv oʻtkazish uchun yetarli emas. Buning uchun ba’zi qoʻshimcha narsalarni 190 aniqlashtirib olish lozim: Toʻliq ishlamayotgan narsa, oxirgi marta qachon ishlaganligi, xatoni takrorlashi va boshqa ba’zi savollarni aniqlashtirish kerak. Keyin u tarmoq apparatida simptomlarni yigʻishni boshlaydi. Masalan, agar foydalanuvchi ma'lum bir tarmoqdan manbalar ochilmayotganligi haqida xabar bergan boʻlsa, unda marshrutizatorda qoʻshimcha ma'lumot toʻplash kerak boʻlishi mumkin. 2. Muammoni ajratib olish. Muammoning chegaralari aniq belgilanishi kerak. Bunday izolyatsiya(ajratib olish)ga misol, kerakli resursning qoʻshni kompyuterda ishlayotganligini tekshirish boʻlishi mumkin. Yoki, u noutbukni foydalanuvchi kompyuterining oʻrniga bir xil tarmoq sozlamalari bilan ulaydi va muammo tarmoqda yoki foydalanuvchi kompyuterida ekanligini tushunadi. 3. Muammoni bartaraf etish. Bu muammolarni bartaraf etish jarayonining yakuniy qismi. Amaliyot shuni koʻrsatadiki, uchinchi bandning bajarilish qulayligi toʻgʻridan-toʻgʻri oldingi ikkitasining sifatiga bogʻliq. Masalan, simptomlarni toʻgʻri yigʻmasdan va nosozlikni ajratmasdan, muammoni hal qilishda juda qiyin va uzoq vaqt oladi. Uchala nuqta ham toʻldirilgandan soʻng, muammoning hal qilinganligiga, mijozning qoniqishiga ishonch hosil qilishingiz kerak. Muammolarni izlash va tuzatishning bir qator tuzilgan usullari mavjud(17.1-17.3-rasmlar). Amaliy, taqdimot, seans sathi Nosozliklarni qidirish va bartaraf etish usuli Foydalanish Yuqoridan pastga Har doim amaliy sathdan boshlanadi va uzilish bo lgan sathni topgancha pastga bajariladi Foydalanishga tavsiya etiladigan holat Ustunliklar/ kamchiliklar Transport sathi Tarmoq sathi Soddaroq muammolarni Agar natijada muammo yechish uchun ko proq pastki sath bilan to g ri keladi, hamda bog liqligi aniqlansa, agar muammolar ilova vaqtni va mehnatni yoki foydalanuvchi, yuqori yoki amaliy ya ni yuqori sathlar sathdagi samarasiz sarfi bilan bog liq bo lsa bajariladi Kanal sathi Fizik sathi 17.1-rasm. Muammolarni izlash usullari: “yuqoridan pastga” 191 Amaliy, taqdimot, seans sathi Nosozliklarni qidirish va bartaraf etish usuli Foydalanish Foydalanishga tavsiya etiladigan holat Ustunliklar/ kamchiliklar Ajratib ber va hukmronliki qil Vaziyat va malaka bog liq holda istalgan sathda qidiruvni boshlash va yuqoriga harakatlanish yoki OSI bo yicha pastga harakatlanish to g risida qaror qabul qilish mumkin Ko proq muammoni aniq belgilari bo lganda malakali foydalanuvchilar uchun to g ri keladi Boshqa usullar qaraganda tezroq nosozlik bo lgan sathga yetish imkonini beradi. Bu usulni samarali foydalanish uchun malaka kerak Transport sathi Tarmoq sathi Kanal sathi Fizik sathi 17.2-rasm. Muammolarni izlash usullari: “pastdan yuqoriga” Amaliy, taqdimot, seans sathi Nosozliklarni qidirish va bartaraf etish usuli Foydalanish Pastdan yuqoriga Har doim fizik sathdan boshlanadi va uzilish bo lgan sathni topgancha yuqoriga bajariladi Foydalanishga tavsiya etiladigan holat Ustunliklar/ kamchiliklar Ko proq murakkab vaziyatlar uchun to g;ri keladi BU sekin lekin ishonchli usul. Agar muammo ilova sathida paydo bo lsa (yoki yuqori sathda) unda undan foydalanish uzoq vaqtni talab qilishi mumkin Transport sathi Tarmoq sathi Kanal sathi Fizik sathi 17.1-rasm. Muammolarni izlash usullari: “taqsimlash va aniqlash” Ushbu tuzilgan usullarning barchasi koʻp qatlamli tarmoqlarni oʻz ichiga oladi. Qatlamli tarmoqqa misol qilib OSI modeli keltirilgan boʻlib, unda barcha aloqa funksiyalari qat'iy ravishda yetti darajaga boʻlinadi. Ushbu modeldagi muammolarni bartaraf qilish orqali siz muammo lokalizatsiya qilinmaguncha har bir darajadagi barcha funksiyalarning ishlashini doimiy ravishda sinab koʻrishingiz mumkin. 192 "Yuqoridan pastga" usuli ilova darajasidan pastga oʻtishni oʻz ichiga oladi. Muammo foydalanuvchi va dastur nuqtai nazaridan oʻrganiladi. Faqat bitta dastur ishlamayaptimi yoki barcha dasturlarmi? Masalan, elektron pochta mavjud boʻlmaganda foydalanuvchi veb-sahifalarga kira oladimi? Shunga oʻxshash hodisalar boshqa ish stantsiyalarida ham paydo boʻladimi? “Pastdan yuqoriga” usuli fizik sathdan yuqori sathga oʻtishni oʻz ichiga oladi. Fizik sathda uskunalar va simli ulanishlar tekshiriladi. Kabellar rozetkasidan tushib ketganmi? Agar uskunada koʻrsatkichlar mavjud boʻlsa, koʻrsatkichlar yoniqmi? “Taqsimlash va aniqlash” usuli bilan tahlil oʻrta darajalardan birida boshlanadi, undan keyin yuqori yoki pastki darajalar tekshiriladi. Masalan, diagnostika IP-konfiguratsiyani tekshirish orqali tarmoq sathidan boshlanishi mumkin. Kamroq tuzilgan usullarga sinov, xato va komponentlarni almashtirish kiradi. Tajribali muammolarni bartaraf etuvchilar odatda oʻzlarining tajribalariga va kam tuzilgan usullariga ishonadilar. Muammolarni bartaraf etishda yordam beradigan bir nechta vositalar mavjud: – Fizik muammolar odatda uskunalar yoki simli ulanishlar bilan bogʻliq. – Fizik muammolar odatda tashqi vositalar va ma’murning jismoniy harakatlari yordamida aniqlanadi. – Tarmoqdagi muammolarni aniqlashda yordam beradigan bir qator dasturiy vositalar mavjud. Simli va simsiz tarmoqlarning muammolarini bartaraf etishda bir nechta omillarni hisobga olish kerak: – LED koʻrsatkichlari qurilmaning yoki ulanishning hozirgi holatini yoki faolligini bildiradi. – Simli qurilmalar uchun fizik ulanish va kabel muammolarini tekshirish: notoʻgʻri kabel turi, yomon ulanish, jismoniy shikastlanish va portning joylashishi. – Simsiz tarmoq mijozlar uchun A / B / G / N mosligi, kanallarning ustma-ust tushishi, signal kuchi va shovqin kabi ulanish muammolari tekshirilishi kerak. Shuningdek, SSID, autentifikatsiya va shifrlash sozlamalarini tekshirish. 193 – Simli va simsiz mijozlar mijozning IP-konfiguratsiyasini, shu jumladan IP-manzil, pastki tarmoq maskasi, standart shlyuz va DNS ma'lumotlarini tekshirishlari kerak. – Shuningdek, ISR va Internet-provayderingiz oʻrtasidagi aloqani tekshirishingiz kerak. Buning uchun Internet-provayderingiz IP-manzil tayinlaganligini va ulanishning toʻgʻriligini tekshirish uchun ISRdagi marshrutizator holati sahifasini tekshirishingiz kerak. Muammolarni bartaraf etishda yordam beradigan bir nechta ma'lumot manbalari mavjud: – Hujjatlar (masalan, tarmoq topologiyasi xaritalari, tarmoq diagrammalari va manzillar sxemalari). – Boshqa foydali manbalarga quyidagilar kiradi: ilgari yozilgan hujjatlar, Internetda mavjud boʻlgan tez-tez soʻraladigan savollar, hamkasblari va boshqa tarmoq mutaxassislari va Internetdagi forumlar. – Qoʻllab quvvatlash xizmati - bu umumiy muammolarni aniqlash va tuzatish uchun bilim va vositalarga ega boʻlgan odamlar guruhi. 1-darajali, 2-darajali va 3-darajali qoʻllab quvvatlash xizmatlari koʻpincha yuqori darajadagi protseduralar yordamida muammolarni hal qilishda yordam beradi. Muammolarni bartaraf etish jarayonida qabul qilingan barcha qadamlarni, shu jumladan qoʻllab-quvvatlash bilan oʻzaro aloqalarni hujjatlashtirish muhimdir. Qurilmada ma'lumot toʻplash uchun bizga ma'lum boʻlgan buyruqlar ishlatiladi: ping, traceroute, telnet, show ip interface brief, show ipv6 interface brief, show ip route, show ipv6 route, show cdp neighbors, show running-config, debug, show protocols va boshqalar. Amaliy qismida muammoni ajratish va muammolarni bartaraf etish jarayonini batafsil koʻrib chiqamiz. Amaliy qism Biror qurilmaga tasodifan kirib ketmaslik uchun, muammolarni bartaraf etishning yagona yondashuvidan foydalanishingiz kerak. OSI modelida asoslangan yondashuv tavsiya etiladi. Tarmoqdagi har bir qurilma ushbu modelning ma'lum bir darajasida ishlashini hisobga olsak, muammoni prinsipial ravishda uni keltirib chiqara olmaydigan 194 qurilmalarning butun sinfidan muvaffaqiyatli ajratish mumkin. Agar fizik ulanishda muammo yuzaga kelsa va kompyuter vaqti-vaqti bilan "Tarmoq kabeli ulanmagan" deb yozsa, u holda bu muammoni chegara marshrutizatoridan izlashning hojati yoʻq. Agar marshrutizatsiyalashda muammo yuzaga kelsa, bunga hub yoki Layer 2 komutatori sabab boʻlishi mumkin emas. Nosozliklarni tuzatish jarayoni qanday ishlashini koʻrish uchun 17.4-rasmda koʻrsatilgan topologiya yaratiladi. 17.4-rasm. Tadqiq etilayotgan tarmoq topologiyasi Komutator uchun quyidagi asosiy sozlamalar terilgan boʻlsin: Switch>en Switch#conf t Switch(config)#interface range fastEthernet 0/1-4 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 10 Switch(config-if-range)#ex Switch(config)#interface range fastEthernet 0/5-8 Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 20 Switch(config-if-range)#ex Switch(config)#interface fastEthernet 0/9 195 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10 Switch(config-if)#do wr Shuningdek, marshrutizator uchun asosiy sozlamalar uchun quyidagi buyruqlar kiritiladi: Router>en Router#conf t Router(config)#interface gigabitEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#ex Router(config)#interface gigabitEthernet 0/0.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config-subif)#ex Router(config)#interface gigabitEthernet 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#ex Router(config)#ip dhcp pool t1 Router(dhcp-config)#network 192.168.10.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.10.1 Router(dhcp-config)#ex Router(config)#ip dhcp pool t2 Router(dhcp-config)#network 192.168.20.0 255.255.255.0 Router(dhcp-config)#default-router 192.168.20.1 Router(dhcp-config)#do wr Qurilgan topologiyani sozlashda xatolikka yoʻl qoʻyilgan. Terilgan sozlamalardan soʻng tarmoqqa ulangan ba'zi qurilmalar IPmanzilni dinamik ravishda qabul qilmasligini bilib olishingiz mumkin (17.5-17.6-rasm). Quyidagi raqamlardan koʻrinib turibdiki, Vlan 10dagi qurilmalar IP-manzilni olgan, ammo Vlan 20dagi qurilmalar IPmanzilni olmagan. Bu shuni anglatadiki, asosiy sozlamalarni sozlashda xatolik yuz berdi. Xato qayerda boʻlganini bilish uchun komutator va marshrutizator bilan bogʻliq muammolarni aniqlashingiz kerak. 196 17.5-rasm. Vlan 10 dagi hostlar dinamik IP addresslarni sozlash 17.6-rasm. Vlan 20 dagi hostlar dinamik IP address berish Komutator va marshrutizator qurilmalarida muammolarni aniqlash uchun quyidagi buyruqlardan foydalaniladi: – Komutator uchun: – – – – – Show vlan – vlanni koʻrish Show vlan briefShow interface trunkShow ip arpShow mac-address-table- – Show ip interface brief show interface fastEthernet 0/1… Marshrutizator uchun: 197 – – – – Show ip arpShow dhcp leaseShow ip dhcp poolShow ip dhcp binding-… 17.7-rasm. Show vlan 17.7-rasmdan Vlanlarda muammo yoʻqligini koʻrish mumkin. 17.8-rasm. Show interface trunk 198 17.8-rasmdan muammo interfeysda ekanligini koʻrish mumkin. Vlanlarni trunk portlarga biriktirishda vlan 20 biriktirilmasdan qolib ketgan shuning uchun vlan 20 dagi hostlarda DHCP xizmati ishlamagan. Topilgan muammo quyidagicha bartaraf etiladi: Switch# Switch#conf t Switch(config)#interface fastEthernet 0/9 Switch(config-if)#switchport trunk allowed vlan add 20 Switch(config-if)# Muammo bartaraf etilganligini testlab koʻrish kerak(17.9-rasm) 17.9-rasm Testlash natijalari 17.9-rasmda koʻrib turganingizdek, barcha qurilmalar toʻgʻri manzil olishdi. Topshiriq  17.10-rasmda keltirilgan tarmoq topologiyasini Cisco Packet Tracer dasturida tuzing;  Qurilmalarga berilgan tarmoqlardan manzil bering;  Komutator va marshrutizatorlarni sozlashda xatolikka yo’l qo’ying va uni topishni amalga oshiring;  Qurilgan topologiyani testlab ko’ring. 199 17.10-rasm Tarmoq topologiyasi Nazorat savollari 1. 2. 3. 4. 5. Troubleshooting nima? Troubleshootingning qanday usullar mavjud? “Yuqoridan pastga” usulini tushuntiring? “Pastdan yuqoriga” usulni tushuntiring? “Taqsimlash va aniqlash” usulini tushuntiring? 18-LABORATORIYA ISHI FIREWALL DASTURIY VOSITASINI OʻRNATISH VA SOZLASH Ishdan maqsad: Kerio Control misolida firewall dasturiy vositasi bilan ishlashning nazariy bilimlari va amaliy koʻnikmalarini shakllantirish. Nazariy qism Ma'lumotlarga ruxsatsiz kirish, axborotni oʻgʻirlash, lokal tarmoqlarning ishlashidagi uzilishlar uzoq vaqtdan beri biznes, jamoat tashkilotlari va davlat idoralari faoliyatiga jiddiy tahdidga aylanib bormoqda. 15-mavzuda ta'kidlanganidek, tarmoqlararo ekranlar ushbu tahdidlardan himoya qilish uchun samarali yechimdir. Bu kiruvchi trafikni blokirovka qilishga moʻljallangan dasturiy ta'minot yoki apparat / dasturiy mahsulot hisoblanadi. 200 Tarmoqlararo ekran trafikni oʻtkazishga mas'ul boʻlgan filtrlarni quyidagi mezonlarga muvofiq sozlash imkonini beradi: – IP-manzil. Ma'lumki, IP protokolidan foydalanadigan har qanday soʻnggi qurilma noyob manzilga ega boʻlishi kerak. Manzilni yoki ma'lum bir diapazonni koʻrsatib, ulardan paketlarni olishni taqiqlash yoki aksincha, faqat ushbu IP-manzillardan kirishga ruxsat berish mumkin. – Domen nomi. Ma'lumki, Internetdagi sayt, aniqrogʻi uning IP-manzili harflar soni bilan bogʻlanishi mumkin, bu raqamlar toʻplamiga qaraganda esda saqlash ancha osondir. Shunday qilib, filtr trafikni faqat manbalardan biriga / biridan uzatadigan yoki unga kirishni taqiqlaydigan qilib sozlanishi mumkin. – Port. Dasturiy ta'minot portlari, ya'ni dasturlarning tarmoq xizmatlariga kirish nuqtalari. Masalan, ftp 21-portdan foydalanadi, veb-brauzer dasturlari 80-portdan foydalanadi. Bu keraksiz xizmatlardan va tarmoq dasturlaridan kirishni rad etish yoki aksincha, faqat ularga kirish huquqini berish imkonini beradi. – Protokol. Tarmoqlararo ekran faqat bitta protokolga ma'lumotlarni uzatishi yoki undan foydalanishni taqiqlashi uchun sozlanishi mumkin. Odatda protokol turi u foydalanadigan dasturning vazifalari va himoya parametrlari toʻplami sifatida ishlatiladi. Lokal tarmoqlarni kiruvchi trafik va ruxsatsiz kirishdan himoya qilish uchun turli xil tarmoqlararo ekranlar qoʻllaniladi. Amalga oshirish uslubiga qarab, ular dasturiy yoki apparat-dasturiy boʻlishi mumkin. Dasturiy Firewall - bu kompyuterga oʻrnatilgan va tarmoqni tashqi tahdidlardan himoya qiladigan maxsus dastur. Bu xususiy kompyuterlar uchun, shuningdek, uy yoki kichik ofis kabi kichik lokal tarmoqlar uchun qulay va arzon yechim hisoblanadi. Ular ofisdan tashqarida ishlatiladigan korporativ kompyuterlarda ishlatilishi mumkin. Kattaroq tarmoqlarni himoya qilish uchun Kerio Control kabi dasturiy ta'minot tizimlaridan foydalaniladi, buning uchun maxsus kompyuter ajratishingiz kerak. Shu bilan birga, bunday shaxsiy kompyuterlar uchun texnik xususiyatlarga talablar juda yuqori. Kerio Control (ilgari Kerio WinRoute Firewall va WinRoute Pro deb nomlangan) Kerio Technologies va Tiny Software tomonidan ishlab chiqilgan firewall dasturiy ta'minoti. Dasturning asosiy 201 funksiyalari quyidagilardir: Internetga xavfsiz foydalanuvchi kirishini tashkil qilish, LANni ishonchli tarmoq himoyasi, turli xil toifadagi veb-kontentga kirishni cheklash orqali xodimlarning trafigi va ish vaqtini tejash. Kerio Control kichik va oʻrta biznesni tarmoq tahdidlaridan toʻliq himoya qilish uchun maxsus ishlab chiqilgan. Kerio Control tizim ma'murlariga moslashuvchan foydalanuvchi siyosatini yaratish, tarmoq kengligi va xizmat koʻrsatish sifatini boshqarish, tarmoq monitoringi va bozorda eng tezkor va ishonchli VPNdan foydalanish uchun toʻliq vositalarni taqdim etadi. Bundan tashqari, mahsulot korporativ tarmoqni paydo boʻladigan tahdidlardan himoya qiladi, tarmoq hujumlari signaturalarini doimiy ravishda yangilab turadi. Kerio Control yuqori darajadagi tarmoq xavfsizligini ta'minlaydi, barqaror, xavfsiz va eng muhimi, boshqarish oson. Dasturning xususiyatlari va afzalliklari 17.1-jadvalda keltirilgan. 17.1-jadval. Dasturning xususiyatlari va afzalliklari Afzalliklari Xususiyatlari Tavsif  Active Directory va  Windows yoki Open Directory ma'lumotlari Mac OS tarmogʻi uchun asosida foydalanuvchi qulay sozlash. ma'lumotlarining shaffof  Lokal tarmoq va koʻrinishi. Internetga kirish uchun Foydalanuvchilarni  Muayyan aniq foydalanuvchilarga boshqarish foydalanuvchilar uchun kirish bogʻlangan qoidalar. siyosati.  Ma'murlar va  Tarmoqqa kirishda menejerlar tomonidan foydalanuvchining majburiy Internetdagi autentifikatsiyasi. xodimlarning  Tarmoqdagi harakatlarini aniq kuzatib foydalanuvchi faoliyati borish. toʻgʻrisidagi hisobotlar.  •Shlyuzlar darajasida  Tarmoqlarni va viruslardan himoya qilish, fayl alohida turlarini blokirovka qilish, IDS foydalanuvchilarni / IPS, veb-filtr, P2P tarmoqlari viruslardan, shipion uchun filtr, shuningdek kalit dasturlardan, yashirin Koʻp qatlamli soʻzlar va veb-ob'ektlarning yuklab olishlardan va tarmoqni himoya moslashuvchan filtri. boshqa zararli qilish tizimi dasturlardan himoya qilish. 202   IPsec VPN va Kerio VPN.  VPN Saytdan saytga va mijozdan saytga bir nechta VPN tunnellarini yaratish.  Windows, Mac OS va Linux uchun platformalararo VPN-mijoz.  Sifatli xizmat koʻrsatish Kanal yukini taqsimlash va ishlamay qolganda avtomatik ravishda oʻchirib qoʻyish bilan koʻp portli “faolfaol” va “faol-passiv” konfiguratsiyalar.  Tarmoq trafigining ma'lum turlari uchun kanalni zaxiralash va bir-birini qoplash imkonini beruvchi tarmoq kengligini boshqarish texnologiyasi. Qonuniy javobgarlik va mahsuldorlikni yoʻqotish holatlarini oldini olish.  IPsec VPN yoki Kerio VPN yordamida statsionar kompyuterni yoki mobil qurilmani ulash.  Murakkab VPN tarmoqlarini soddalashtirilgan joylashtirish.  Kerio VPN mijozi bilan istalgan foydalanuvchi va istalgan kompyuter uchun yuqori tezlikda xavfsiz kirish.  Tarmoqning ish vaqtini koʻpaytirish, shuningdek ishlash samaradorligini oshirish.  Kritik dasturlar uchun tarmoq kengligi kafolatlangan va tarmoq trafigini turiga, foydalanuvchiga, guruhiga, kvotasiga va boshqalarga qarab osongina boshqarish. Amaliy qism Mavzuning amaliy qismida ushbu dasturni oʻrnatish va asosiy sozlamalarni sozlash keltirilgan. Ushbu dasturni oʻrnatishni ikki qismga boʻlish kerak: 1. Dasturni oʻrnatish va ba'zi bir asosiy sozlamalarni sozlash. 2. Asosiy funksiyalarni batafsil sozlash. Kerio Control Software Applianceni oʻrnatish uchun fleshka yoki disk orqali disk yuklovchi fayl hosil qilish kerak .Bu ishda, fleshka orqali UNetbootin dasturi yordamida yaratilgan. 203 1. Unetbootin va Kerio Control Software Appliance dasturlarini yuklash kerak. 2. Fleshkani Windows yordamida FAT32 fayl tizimida formatlash (18.1-rasm). 18.1-rasm. Fleshkani Windows yordamida FAT32 fayl tizimida formatlash 3. UNetbootinni ishga tushirib va quyidagi sozlamalarni tanlansh kerak. Distrubitlarni oʻzgartirish kerak emas. Obraz – “Стандарт ISO” tanlanadi va yuklab olingan Kerio Control Software Appliance obraziga yoʻl belgilanadi. “Тип” ga – “Устройство USB” va kerakli fleshkani tanlab OK tugmachasi bosiladi (18.2-rasm). 204 18.2-rasm. Dastur obrazini yuklash jarayoni 4. Yaratilgandan biroz vaqt oʻtgandan soʻng, yuklovchi fleshka tayyor boʻladi. “Выход” tugmasi bosiladi (18.3-rasm). 18.3-rasm. Obrazni yuklab olishni yakunlash jarayoni Obrazni yuklab olgandan soʻng Kerio Control Software Appliance dasturini oʻrnatish jarayonini boshlanadi. Birinchi qadam tilni tanlashdir. Keyin litsenziya shartnomasini oʻqib chiqiladi, keyin uni F8 tugmachasini bosib qabul qilinadi. Keyinchalik, dasturni qattiq diskka oʻrnatish uchun tasdiqlash kodi kiritiladi. Kod sifatida 135 205 raqamlari kiritiladi. Dastur qattiq disk formatlanishi haqida ogohlantiradi. Formatlash tugagandan soʻng darhol dasturni oʻrnatish jarayoni boshlanadi. Oʻrnatish jarayoni tugashi kutiladi va tizim qayta yoqiladi. Oʻrnatishni yakunlash uchun brauzerga oʻtib: 10.10.10.1:4081/admin manziliga kiriladi va parol oʻrnatiladi. Hozircha bu jarayon amalga oshirilmaydi, balki Kerio Control Software Applianceda tarmoq konfiguratsiyasiga oʻtib. “Конфигурация сетевого интерфейса Ethernet” oynasida boʻsh joy belgilanadi - «Назначить статический IP-адрес» tanlanadi va quyidagi qiymatlar oʻrnatiladi. IP-address: 192.168.1.250 Maska: 255.255.255.0 5. Beshinchi bosqichdan keyin yana parol oʻrnatish soʻraladi. Ammo bu safar IP-manzilda: 192.168.1.250. Keyin brauzerda quyidagi manzilga oʻtiladi: https://192.168.1.250:4081/admin. Brauzer ushbu sayt xavfsizlik sertifikatida muammo borligi haqida xabar berishi mumkin. “Продолжить открытие этого веб сайта и попадаем в мастер активации” tugmasi bosiladi(18.4-rasm). Yuklab olingan Kerio Control Software Appliance dasturi faollashtiriladi. 18.4-rasm. Faollashtirish nuqtasi 6. Adminstratorga yangi parol kiritiladi (18.4-rasm). 206 18.5-rasm. Yangi parolni hosil qilish jarayoni 7. Yangi parol hosil qilish jarayoni tugagandan soʻng avtorizatsiya jarayoni boshlanadi(18.6-rasm). 18.6-rasm. Avtorizatsiya jarayoni 8. Avtorizatsiyadan soʻng Kerio Control Software Appliance dasturining ishchi paneliga oʻtiladi. 207 18.7-rasm. Kerio Control Software Appliancening ishchi paneli 9. Ichki tarmoq manzili 192.168.1.1 ga oʻzgartirilishi kerak. IPmanzilni oʻzgartirgandan soʻng, https://192.168.1.1:4081/adminga kiriladi. 18.8-rasmda quyida ulanishning blok sxemasi keltirilgan. KerioControl ADSl modem Komutator 1-tarmoq kartasi Ichki shlyuz 192.168.0.1 192.168.0.250 2-tarmoq kartasi 192.168.1.1 Windows server 18.8-rasm. Ulanish blok sxemasi 10. Interfeyslar boʻlimida Ethernet interfeysining xususiyatlari tanlanadi (18.9-rasm). 208 18.9-rasm. Ethernet interfeysining xususiyatlari 11. «Внешняя сеть» yoki Internet nomi bilan kelganda, odatda WAN yoziladi. IP-manzil, maska, shlyuz va DNS ma'lumotlarini statik bir xil qism tarmoqda kiritiladi, soʻngra "OK" tugmachasi bosiladi (18.10-rasm). 18.10-rasm. Ethernet interfeysining umumiy parametrlarini kiritish jarayoni 12. Keyin, “Доверенные/локальные интерфейсы” boʻlimidan ichki tarmoqdagi interfeyslar ostidagi keyingi ulanish tanlanadi. Ushbu narsalar, Kerio Control Software Appliance versiyasiga qarab, boshqacha nomlanishi mumkin. Nomi topiladi va ma'lumotlarni quyidagi rasmdagi kabi kiritiladi. Tashqi va ichki tarmoqlar bir xil 209 ichki tarmoqda boʻlishi mumkin emas. Buni unutmaslik kerak. DNS Kerio Control Software Appliance sozlamalaridan yoziladi. Shlyuz yozilmaydi. Barcha parametrlarni kiritgandan soʻng, "OK" tugmachasini bosiladi (18.11-rasm). 18.11-rasm. IPv4 parametrlarini sozlash jarayoni 13. Ekranning pastki oʻng qismidagi «Применить» tugmachasi bosilib, sozlamalar faollashtiriladi. Internetga ulanishini tekshirib koʻriladi. Koʻrsatkich panelida Internet ishlayotganini koʻrishin mumkin (18.12-rasm). 18.12-rasm. Internet-ulanishni monitor panelida tekshirish jarayoni 210 Ishchi paneldan Trafik qoidalarini yaratish, tarkibni filtrlashga oʻtish mumkin, Bunda torrentlarni kim yuklab olayotganini va tarmoqni haddan tashqari yuklayotganini, tezlikni cheklaydigan yoki toʻsib qoʻyadiganlarni koʻrish mumkin. Kerio Control Software Appliance koʻplab sozlamalarga ega. Bu yerda har kim oʻzlariga kerakli narsalarni oʻrnatishi mumkin. Ochiq portlar. Yana bir muhim jihatlaridan biri - bu ochiq portlar. Kerio Control Software Applianceni oʻrnatishdan oldin portlar modemdagi serverga yoʻnaltiriladi. Bundan tashqari, dastlab talab qilingan portlar serverning oʻzida ochiladi. Ushbu portlarsiz maxsus server dasturi normal ishlay olmaydi. 4443 portni quyidagicha ochiladi. HUAWEI HG532e modemiga oʻtiladi, buning uchun brauzerning manzil satriga 192.168.0.1 kiritiladi. Advanced -> NAT -> Port Mapping yorliqlariga oʻtib va ma'lumotlarni quyidagi 18.14-rasmdagi kabi kiritiladi. 18.13-rasm. Port Mappingni sozlash Quyidagi ma'lumotlar kiritiladi: 1. Ulanish ma’lumotlari (router rejimida). 2. Protokol - TCP / UDP. 3. Remote host - hech narsa kiritilmaydi. 4. External start port/end port - 4443 (tashqi port). 5. Internal host - 192.168.0.250 (Kerio Control Software Appliance tashqi tarmoq kartasining manzili). 6. Internal port - 4443 (ichki port). 211 7. Mapping name - har qanday mazmunli ism. Amaliyot prinsipi shuki, Internetdan tashqi statik IP-manzilga 4443-portga murojaat Kerio Control Software Appliance tashqi tarmoq kartasiga yuboriladi. Tashqi tarmoq kartasidan soʻrov ichki tarmoq kartasiga, soʻngra 4443 portdagi serverga yoʻnaltiriladi (18.14rasm). Bu ikkita qoidani yaratish orqali amalga oshiriladi. Birinchi qoida tashqaridan, ikkinchi qoida ichkaridan kirish huquqini beradi. 18.14-rasm. Tashqi tarmoq kartasidan soʻrov soʻrash jarayoni Ushbu ikkita qoida «Правила трафика» yorligʻida yaratiladi. Farqi kelib chiqish va borar manzillarida. Xizmat vazifasini 4443 port bajaradi. «Трансляция» bandida 18.15-rasmdagi kabi sozlamalar oʻrnatiladi. «Адрес назначения» NAT katagiga belgi qoʻyiladi va u yerda manzil serverining IP manzili va kerakli porti yoziladi, soʻng "OK" tugmasi bosiladi. 18.15-rasm. Trafikni boshqarish siyosatini sozlash 212 Ma'lumotlarni kiritgandan soʻng, " применить " tugmasi bosiladi. Onlayn xizmatda portning ochiqligini tekshiriladi (18.16rasm). 18.16-rasm. Portlarni tekshirish jarayoni Keyinchalik, bularning barchasi amalga oshirilgan server xizmatlarini tekshirish mumkin. Har qanday port shunga oʻxshash tarzda ochilishi mumkin. 2. Asosiy funksiyalarni batafsil sozlash Internet tarqatilishini sozlash. Trafikning taqsimlanishini toʻgʻri sozlash uchun Internetga ulanish turini tanlash kerak. Doimiy kirish ulanishini sozlash mumkin, bu funksiya bilan Internetga doimiy ulanish mavjud. Ikkinchi usul agar kerak boʻlsa, dastur oʻzi ulanishni oʻrnatadi. Ikkita ulanish mavjud, Kerio Control Internetga ulanishini yoʻqotsa, boshqa kanalga qayta ulanishni yaratadi (18.17-rasm). Agar ikkita yoki undan ortiq Internet-kanal mavjud boʻlsa, ulanishning toʻrtinchi turini tanlash mumkin. Tarmoq yuki barcha kanallar boʻyicha teng ravishda taqsimlanadi. Filial ofisi 192.168.30.0/24 Filial ofisi 192.168.40.0/24 Filial ofisi 192.168.20.0/24 Kerio VPN Tunnel Kerio VPN Kerio VPN Tunnel Tunnel WAN=109.172.42.xx IP=192.168.10.1 LAN=192.168.10.0/24 WAN=109.172.41.xx IP=192.168.88.1 LAN=192.168.88.0 Ipsec Tunnel Filial ofisi Bosh ofis 18.17-rasm.Internetni taqsimlashni sozlash 213 Foydalanuvchilarni sozlash. Dasturning asosiy konfiguratsiyasida foydalanuvchiga kirish parametrlarini sozlash kerak. Tarmoq interfeyslarini belgilash va qoʻshish, foydalanuvchilar uchun mavjud boʻlgan tarmoq xizmatlarini tanlash kerak. VPN ulanish qoidalarini va mahalliy tarmoqda ishlaydigan xizmatlarning qoidalarini sozlashni unutmaslik kerak. Dasturga foydalanuvchilarni qoʻshish uchun avval ularni guruhlarga ajratish tavsiya etiladi. Ushbu funksiyani «Пользователи и группы». yorligʻida oʻrnatish mumkin. Guruhlarda kirish huquqlarini yaratish kerak, masalan, VPNdan foydalanish, statistikani koʻrish. Tarmoqda domen mavjud boʻlsa, foydalanuvchilarni qoʻshish juda oson. «Пользователи». menyusida «Использовать базу данных пользователей домена» parametrini yoqish kerak. Agarda tarmoqda domen mavjud boʻlmasa, foydalanuvchilarga har birining ismini, pochta manzilini, kirish va tavsifini berib, qoʻlda qoʻshish kerak (18.18-rasm). 18.18-rasm. Foydalanuvchilarni sozlash Kerio Controlda statistikani sozlash. 214 Kerio Control foydalanuvchilarga avtorizatsiya sozlangandan soʻng Internet-trafik statistikasini koʻrsatadi. Foydalanuvchi statistikasini kuzatib borish, brauzer tomonidan har bir foydalanuvchining avtomatik roʻyxatdan oʻtishini yoqish kerak. Tashkilotda oz sonli xodimlar mavjud boʻlsa, har bir kompyuter uchun statik IP manzilni sozlash va har bir foydalanuvchini u bilan bogʻlash mumkin. Buni amalga oshirishdan oldin barcha foydalanuvchilarga qoʻlda yoki domen foydalanuvchisi ma'lumotlar bazasi orqali avtorizatsiya qilinish shart. Har bir kompyuter uchun trafik Kerio Controlda har bir foydalanuvchi uchun koʻrsatiladi (18.19-rasm). 18.19-rasm. Kerio Controlda statistikani sozlash Kerio Control: tarkibni filtrlash - parametrlarni sozlash. Xavfsizlik tizimini sozlash uchun "Конфигурация" yorligʻidan «Фильтрация содержимого». parametrlariga oʻtish kerak. «Антивирус» boʻlimida antivirus ma'lumotlar bazalarini yangilashni 215 sozlash va skanerdan oʻtkaziladigan protokollarni belgilash uchun katakchalardan foydalanish mumkin (18.20-rasm). HTTP trafigini tekshirishni yoqish uchun «Политика HTTP» yorligʻiga oʻtiladi. «Черный список» ni faollashtirib va unga taqiqlangan soʻzlar qoʻshiladi. Qoʻshilgan joy belgilaridan foydalanib, tizim ushbu iboralar uchraydigan barcha saytlarni darhol bloklaydi. Moslashuvchan filtrlash tizimini yaratish uchun «Правила URL» boʻlimidan foydalanib mos qoidalar yaratish mumkin. 18.20-rasm. Tarkibni filtrlashni sozlash Trafik qoidalarini sozlash. Trafik qoidalari «Конфигурация»boʻlimi orqali tuziladi. «Политика трафика» yorligʻiga oʻtib va sozlashni xohlagan uchta parametrdan biri tanlanadi. «Правила трафика» boʻlimida foydalanuvchilarning Internetga kirishini, tarkibni filtrlashni va masofaviy ofisdan ulanishni tartibga soladigan qoidalarni yarata olish mumkin. Qoidaga nom berish lozim. «Источник» ustunida «Любой источник», «Доверенный источник» tanlash yoki ma'lum manbalarni roʻyxatlash mumkin. «Назначение» ustunida ma'lumotlar qayerga, ya’ni lokal tarmoqqa, VPN tunneliga yoki Internetga 216 yuborilishini belgilash kerak. «Службы» bandi ma'lum bir qoida amalga oshiriladigan barcha xizmatlar va portlarni roʻyxatlash uchun moʻljallangan (18.21-rasm). 18.21-rasm. Trafik qoidalarini sozlash Kerio Control yukini muvozanatlashtirilishini sozlash. Tarmoq trafigini boshqarish va uni eng muhim uzatish kanallari orasida oqilona taqsimlash uchun yuklarni balanslashni sozlash kerak. Shunday qilinsa, foydalanuvchilar uchun Internetga kirish optimallashtiriladi. Trafikni eng muhim ulanish kanalida tarqatish orqali har doim muhim ma'lumotlarni uzatish uchun uzluksiz internet boʻladi. Tarmoq trafigi miqdorini tayinlash uchun QoS dasturidan foydalanib amalga oshirish mumkin. Ustuvor kanal uchun maksimal oʻtkazuvchanlik yaratish mumkin, shu bilan past darajadagi trafik toʻxtatiladi. Bir nechta ulanishlar boʻyicha yuklarni muvozanatlashni sozlash mumkin (18.22-rasm). NATni sozlash. Kerio xavfsizlik firewalli yordamida lokal tarmoq orqali xavfsiz kompyuter ulanishini ta'minlash mumkin. Masofaviy ofisdagi ba'zi xodimlar uchun internetga kirish imkoniyatini yaratiladi, ammo ular tarmoqda hech bir harakatni amalga oshira olmaydi. Buning uchun masofaviy ofisdan lokal tarmoqqa VPN ulanishini yaratish kerak boʻladi. Internetga ulanish uchun interfeyslarni oʻrnatib va 217 ularni sozlash kerak. Boshqarish panelidagi «Политика трафика»yorligʻida lokal trafikka ruxsat berish uchun qoida yaratiladi. 18.22-rasm. Tarmoq yukini muvozanatlashtirilishini sozlash Barcha kerakli obyektarni manbaga qoʻshishni esdan chiqarmaslik kerak. Shuningdek, lokal foydalanuvchilarga internetga kirishga imkon beradigan qoida yaratish kerak boʻladi. Internetga kirish uchun yaratilgan qoidalarga qaramay, NATni sozlash kerak, ushbu funksiyani yoqmasdan buni amalga oshirib boʻlmaydi (18.23rasm). «Политика трафика» yorligʻida «Трансляция» boʻlimini tanlab va «Включить источник NAT». katagiga belgi qoʻyiladi. Bu jarayondan soʻng balanslash yoʻli koʻrsatiladi. Kerio Controlda interfeyslarni sozlash. Interfeyslar dasturni oʻrnatgandan soʻng darhol tuziladi. Internetga ulanish turini tanlagan Kerio Control litsenziyasi allaqachon faollashtirilgandan soʻng, interfeyslarni sozlashni boshlash mumkin. «Интерфейсы» boʻlimiga boshqaruv konsoliga oʻtiladi. Internetga ulangan va mavjud boʻlgan interfeyslarni dastur oʻzi aniqlaydi. Barcha nomlar roʻyxat sifatida koʻrsatiladi (18.24-rasm). 218 18.23-rasm. NATni sozlash Interfeyslarga taqsimlangan yuk (Internetga ulanish turini tanlash) bilan cheksiz koʻp tarmoq interfeyslarini qoʻshish mumkin. Mumkin boʻlgan maksimal yuk ularning har biri uchun oʻrnatiladi. 18.24-rasm. Interfeyslarni sozlash Topshiriq  VMWare (Virtual box) ni o'rnating va virtual bo'sh joy yarating; 219  Kerio Controlni o'rnating;  Asosiy sozlamalarni sozlang;  «Настройка пользователей”, “Настройка статистики в Kerio Control», «Настройка правил трафика» и «Настройка NAT” kabi qo'shimcha sozlamalarni sozlang. Nazorat savollari 1. Kerio Control nima? 2. Kerio Controlning afzalliklari nimada? 3. Kerio Controlning kamchiliklari nimada? 4. «Настройка пользователей”, “Настройка статистики в Kerio Control», «Настройка правил трафика» va «Настройка NAT” kabi qoʻshimcha sozlamalarni qanday sozlash mumkin. 19-LABORATORIYA ISHI IDS / IPS DASTURIY VOSITASINI OʻRNATISH VA SOZLASH Ishdan maqsad: IPS / IDS tizimlari haqidagi nazariy bilimlarni va Snort dasturini oʻrnatish boʻyicha amaliy koʻnikmalarni shakllantirish. Nazariy qism IDS / IPS tizimlari - bu tarmoqlarni ruxsatsiz kirishdan himoya qilish uchun moʻljallangan noyob vositalar. Ular hujumlarni tezda aniqlash va samarali oldini olishga qodir boʻlgan apparat yoki dasturiy vositalar. IDS / IPSning asosiy maqsadlariga erishish uchun koʻrilgan chora-tadbirlar orasida axborot xavfsizligi boʻyicha mutaxassislarga xakerlik hujumlari va zararli dasturlarning kiritilishi, tajovuzkorlar bilan aloqani uzish va tarmoqlararo ekranlarni korporativ tizimga kirishni bloklash uchun qayta sozlash faktlari toʻgʻrisida xabardor qilishni alohida ta'kidlash mumkin. Bugungi kunda kirib borgan barcha hujumlarni aniqlash va oldini olish tizimlari axborot xavfsizligi boʻyicha mutaxassislar foydalanadigan bir nechta umumiy xususiyatlar, funksiyalar va vazifalar bilan birlashtirilgan. Darhaqiqat, bunday vositalar ma'lum resurslardan foydalanishni doimiy ravishda tahlil qiladi va tipik boʻlmagan hodisalarning har qanday belgilarini aniqlaydi. 220 Korporativ tarmoqlarning xavfsizligini tashkil qilish bir nechta texnologiyalarga boʻysunishi mumkin, ular aniqlangan hodisalar turlari va bunday hodisalarni aniqlash usullari bilan farqlanadi. Nima boʻlayotganini doimiy monitoring qilish va tahlil qilish funksiyalaridan tashqari, barcha IDS tizimlari quyidagi funksiyalarni bajaradilar: – Information - ma'lumot toʻplash va yozib olish; – Tarmoqda sodir boʻlgan oʻzgarishlar toʻgʻrisida tarmoq ma'murlariga xabarnomalar uzatish (ogohlantirish); – Log jurnallarni umumlashtirish uchun hisobotlarni yaratish. IPS texnologiyasi, oʻz navbatida, yuqoridagi narsani toʻldiradi, chunki u nafaqat tahdid va uning manbasini aniqlashga, balki ularni toʻsib qoʻyishga ham qodir. Bu, shuningdek, bunday yechimning kengaytirilgan funksional imkoniyatlari haqida gapiradi. U quyidagi harakatlarni bajarishi mumkin: – zararli seanslarni tugatish va muhim manbalarga kirishni oldini olish; – "himoyaosti" muhiti konfiguratsiyasini oʻzgartirish; – Hujum vositalarida harakatlarni bajarish (masalan, virusli fayllarni oʻchirish). Shunisi e'tiborga loyiqki, UTM tarmoqlararo ekrani va har qanday zamonaviy hujumlarni aniqlash va oldini olish tizimlari IDS va IPS texnologiyalarining optimal kombinatsiyasi hisoblanadi. IDS va IPS tizimi ostida ishlaydigan koʻplab dasturlar mavjud. Snort va Surricata - bu eng keng tarqalgan dasturlardan hisoblanadi. Snort dasturining xususiyatlarini koʻrib chiqamiz. Snort - GPL litsenziyasiga ega bepul va ochiq kodli dasturiy ta'minot hisoblanadi. Snort dastlab 1998-yilda axborot xavfsizligi dunyosidagi eng taniqli odamlardan biri - Martin Roshning mualliflik kitoblarida yaratilgan. Ushbu IDSni yaratilishining asosiy sababi oʻsha davrda yetarli darajada samarali, hamda bepul hujum toʻgʻrisida xabar berish vositasining yoʻqligi edi. Dastur Windows va Linux operatsion tizimlariga mos keladi. Barcha aniqlangan tahdidlar jurnal fayliga yoziladi. Snort transport sathi paketini tahlil qilish prinsipi asosida ishlaydi, shuning uchun uni ishlatish uchun tarmoq kartasini maxsus monitor rejimiga qoʻyishingiz kerak. Ishlab chiquvchilar IDS sinfidagi tizimlar tomonidan tizim 221 resurslarini yoʻqotish muammosini hisobga olishdi, shuning uchun Snort qoʻshimcha qurilmalar talab qilmaydi va orqa fonda ishlaydi. SNORT ishga tushgandan keyin paket ketma-ket dekoderlar, dastlabki protsessorlar orqali oʻtadi va shundan keyingina qoidalarni qoʻllay boshlaydigan detektorga murojat qiladi. Dekoderlarning vazifasi kanal darajasidagi protokollar (Ethernet, 802.11, Token Ring…)dan tarmoq va transport darajasidagi ma'lumotlar(IP, TCP, UDP)ni "ajratib olish" hisoblanadi (19.1-rasm). Snort qaysi "trafik" ga ruxsat berish va qaysi birini kechiktirish kerakligini bilish uchun "qoidalar" dan ("qoidalar" fayllarida koʻrsatilgan) foydalanadi. Ushbu vosita moslashuvchan boʻlib, yangi qoidalarni yozib olishingiz va ularga rioya qilishingiz mumkin. Dasturda modulli ulanadigan arxitekturadan foydalanadigan "aniqlash mexanizmi" mavjud boʻlib, unda ba'zi dastur kengaytmalari "aniqlash dvigatelidan" qoʻshilishi yoki olib tashlanishi mumkin. Snort uchta rejimda ishlashi mumkin: 1. tcpdumpga oʻxshash paketli sniffer sifatida; 2. Paket registratori sifatida; 3. Kirishni aniqlashning rivojlangan tizimi sifatida. Snort Snifferlash Paket dekodlash mexanizmi Ma lumotlar oqimi Preprotsessor plaginlari Mexanizmni aniqlash Chiquvchi plaginlar Ogohlantirishlar / loglar 19.1-rasm. Snort dasturining ishlash prinsipi Amaliy qism Mavzuning amaliy qismida dasturni oʻrnatish, shuningdek, asosiy va qoʻshimcha sozlamalarni oʻrnatish koʻrib chiqiladi. 222 Snort dasturining asosiy sayti - http://www.snort.org. Snort muallif Martin Roes tomonidan GNU GPL litsenziyasi ostida tarqatiladi. Arxivni yuklagandan soʻng uni snort-1.7 katalogiga ochish kerak: root @lord]# tar -zxvf snort-1.7.tar.gz Libpcapni yuklab olgandan soʻng, uni arxivdan ochish kerak. Libbacp katalogiga kirib va quyidagi amallarni bajariladi: root @lord]# ./configure root @lord]# make Endi, snort kompilyatsiya qilish kerak. Buning uchun Snort joylashgan katalogga kirib va quyidagi buyruqni bajarish lozim: root @lord]# ./configure --with-libpcap-includes=/path/to/libpcap/ {* in my case it was : root@lord./configure--with-libpcap-includes=/home/dood/libpcap} root @lord]# make root @lord]# make install Ushbu jarayondan soʻng Snort kompyuterda oʻrnatiladi. Endi Snort jurnal fayllarini saqlaydigan katalog yaratish kerak: root @lord]#mkdir /var/log/snort Dastur qayerda oʻrnatilganligini tasdiqlash uchun quyidagilarni bajarish kerak: root @lord]# whereis snort Snort arxitekturasi uchta asosiy tarkibiy qismga ega, ularni quyidagicha tavsiflash mumkin: 1. Paket dekoderi: ushlangan paketlarni ma'lumotlar turi shaklida tayyorlaydi, keyinchalik ularni aniqlash mexanizmi yordamida qayta ishlashi mumkin. Paket dekoderi Ethernet, SLIP va PPP paketlarini qayd etishi mumkin. 2. Aniqlash mexanizmi: Snort qoidalari asosida unga "dekoder" tomonidan yuborilgan paketlarni tahlil qiladi va qayta ishlaydi. Snortning funksionalligini oshirish uchun oʻzgaruvchan modullarni aniqlash mexanizmiga kiritish mumkin. 223 3. Logger/Alerter: Registrator siz oʻqigan formatda paket dekoder tomonidan toʻplangan ma'lumotlarni yozib olish imkonini beradi. Odatda, roʻyxatdan oʻtish fayllari katalogda saqlanadi:/var/log/Snort. Ogohlantirish mexanizmi ogohlantirishlarni syslog, fayl, Unix soketlari yoki ma'lumotlar bazasiga yuboradi. Odatda, barcha ogohlantirishlar faylda saqlanadi: /var/log/Snort/alerts. Dastur va uning rejimlarini oʻrganish.Ushbu boʻlimda SNORT tushunchalari va buyruqlarini batafsil muhokama qilinadi. Ushbu vazifa dasturning barcha kalitlarini aks ettiradigan oddiy buyruq bilan boshlanadi: root@lord snort -? Buyruq quyidagilarni beradi: -*> Snort! <*Version 1.7 By Martin Roesch (roesch@clark.net, www.snort.org) USAGE: snort [-options] Options: -A Set alert mode: fast, full, or none (alert file alerts only) 'unsock' enables UNIX socket logging (experimental). -a Display ARP packets -b Log packets in tcpdump format (much faster!) -c Use Rules File -C Print out payloads with character data only (no hex) -d Dump the Application Layer -D Run Snort in background (daemon) mode -e Display the second layer header info -F Read BPF filters from file -g Run snort gid as 'gname' user or uid after initialization -h Home network = -i Listen on interface -l Log to directory -n Exit after receiving packets -N Turn off logging (alerts still work) -o Change the rule testing order to Pass|Alert|Log -O Obfuscate the logged IP addresses 224 -p Disable promiscuous mode sniffing -P set explicit snaplen [sp? -ed.] of packet (default: 1514) -q Quiet. Don't show banner and status report -r Read and process tcpdump file -s Log alert messages to syslog Yuqorida aytib oʻtilganidek, SNORT uch xil rejimda ishlaydi: 1. Paketli sniffer rejimi: Snort ushbu rejimda ishlayotgan boʻlsa, u barcha tarmoq paketlarini oʻqiydi va deshifrlaydi va stdout (ekraningiz) ga dump hosil qiladi. Snortni sniffer rejimiga oʻtkazish uchun quyidagi kalitdan foydalaniladi: –v: root @lord]# ./snort –v Shuni esda tutish kerakki, ushbu rejimda faqat paket sarlavhalari koʻrsatiladi. Toʻplamning sarlavhasini va mazmunini koʻrish uchun quyidagi buyruq kiritiladi: root @lord]# ./snort -X 2. Paketni roʻyxatdan oʻtkazish rejimi: Ushbu rejim paketlarni diskka yozib oladi va ularni ASCII formatida kodlaydi. root @lord]# Snort -l < directory to log packets to > 3. Ruxsatsiz kirishni aniqlash rejimi: Signal ma'lumotlari aniqlash mexanizmi tomonidan roʻyxatga olinadi (standart jurnal katalogida "alert" deb nomlangan fayl, lekin syslog, Winpop xabarlari va boshqalar ham boʻlishi mumkin). Standart jurnal katalogi /var/log/snort koʻrinishida boʻladi, lekin "- l" kaliti yordamida oʻzgartirilishi mumkin. Endi paketni tahlil qilish uchun odatiy Snort buyrugʻi koʻrib chiqiladi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 Bu yerda C sinfi qismtarmogʻining 192.168.3.0-192.168.3.255 (qismtarmoq maskasi: 255.255.255.0) oraligʻini koʻrib chiqish lozim. Buning ma'nosini tushunish uchun yuqoridagi buyruqni batafsil tahlil qilish kerak: '-v': konsol batafsil javob yuboradi. 225 '-d': dekodlangan dastur qatlami ma’lumotlarining borini hosil qiladi '-e': dekodlangan Ethernet sarlavhalarini koʻrsatadi. '-i': paketni tahlil qilish uchun tekshiriladigan interfeysni belgilaydi. '-h': boshqariladigan tarmoqni belgilaydi. Keyingi misolda Snortda ogohlantirishlar yaratiladi. Snort ogohlantirish rejimlari uchta asosiy guruhga ega: a. Tez: "alert" fayliga ogohlantirishlarni bitta satrda, xuddi syslog singari yozadi. b. Toʻliq: Toʻliq sarlavha dekodlangan holda 'alert' faylini yuborish uchun ogohlantirishlarni yozadi. v. None: - ogohlantirish bermaydi, soʻngra buyruq quyidagiga oʻzgaradi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 -A fast Syslog signal xabarlarini yuborish uchun oʻrniga ‘-s ‘ kalitidan foydalaniladi. /var/log/safe yoki /var/log/messages ogohlantirishlar quyidagi buyruqda paydo boʻladi: root @lord]# snort -v -d -e -i eth0 -h 192.168.3.0/24 –s Hozirgacha barcha ushlab olingan va tahlil qilingan paketlar ekranda namoyish etiladi. Agar Snort ularni jurnaliga yozishi kerak boʻlsa, "-l" parametridan foydalaniladi va jurnallarni yozish uchun katalog nomi koʻrsatiladi (masalan /var/log/snort): root @lord]#snort -v -d -e -i eth0 -h 192.168.3.0/24 -A full -l /var/log/snort Paketlarni tcpdump formatida roʻyxatdan oʻtkazish va minimal ogohlantirishlarni yaratish uchun '-b' kalitidan foydalanish mumkin: root @lord]#snort -b -i eth0 -A fast -h 192.168.3.0/24 -s -l /var/log/snort Yuqoridagi buyruqlarda Snort tarmoq segmentidagi barcha paketlarni qayd qiladi. Agar qoidalarga qarab faqat ayrim turdagi 226 paketlarni roʻyxatdan foydalaniladi. oʻtkazish kerak boʻlsa, '-c' kalitidan root @lord]# snort -b -i eth0 -A fast -h 192.168.5.0/24 -s -l /var/log/snort -c /snort-rule-file. Topshiriq  SNORT dasturini o'rnating va qoidalarni sozlang;  Ikkinchi virtual mashinada ping dan foydalaning, SNORT ning ta'sir qilish darajasini kuzating;  Turli xil nmap skanerlash usullaridan foydalaning (-sS, -sT, -sN, -sU, -sX, -sF) va SNORT qanday reaksiyaga kirishishini kuzating;  Ikkinchi virtual mashinada skanerlang va qoidalarning qanday ishlashini tekshiring. Nazorat savollari 1. IDS nima? 2. Tarmoqqa ruxsatsiz kirishni aniqlash tizimi nima? 3. Passiv va faol IDS larning farqi nimada? 4. SNORT nima? 5. SNORT qanday vazifalarni bajaradi? 6. SNORT qoidalari qanday ishlaydi? 7. SNORT uchun qoidalar qanday yaratiladi? 8. Nima uchun SNORT qoidalari yangilanishini yuklab olish kerak? 9. SNORT da log fayllarni qanday yaratish mumkin? 227 QISQARTMALAR ROʻYXATI AAA - Authentication, Authorization, Accounting ACL – Access List AMP - Advanced Malware Protection ARP - Address Resolution Protocol ASA - Adaptive Security Appliance BGP - Border Gateway Protocol CLI – Comman Line Interface DAT - Dynamic Address Translation DDoS – Distributed Deniol of Service DHCP - Dynamic Host Configuration Protocol DoS - Denial of service DNS – Domain Name System DMZ - Demilitarized Zone DSA – Digital Signature Algorithm EIGRP – Enhanced Interior Gateway Routing Protocol FTP – File Transfer Protocol GPL – General Pubic License HTTP - Hypertext Transfer Protocol HTTPS - Hypertext Transfer Protocol Secure IETF - Internet Engineering Task Force ICMP – Internet Control Message Protocol IDS - Instrusion Detection System IKEv2 – Internet Key Exchange Version 2 IOS – Internetwork Operating System IPS - Intrusion Prevention System IPSec - IP Security ISDN – Integrated Services Digital Network ISO – International Organization for Standardization ISP – Internet Service Provider LACP - Link Aggregation Control Protocol LAN - Local Area Network L2F - Layer2 Forwarding L2TP - Layer 2 Tunneling Protocol MAC - Mandatory access control MAC - Message Authentication Code MAN - Metropolitan Area Network 228 MIB – Management Information Base MITM - Man in the middle attack MOTD – Message Of The Day MSTP – Multiple Spanning Tree Protocol NAT - Network Address Translation NAPT – Network Address and Port translation NGFW – Next Generation Firewall NGIPS – Next Generation Intrusion Prevention System NMS - Network Management System OpenPGP – Open Pretty Good Privacy OS – Operating System OSPF – Open Path Shortest First OSI – Open System Interconnection PAN - Personal Area Network PAGP - Port Aggregation Protocol PAT - Port Address Translation РС – Personal Computer PIN - Personal Identification Number PPTP - Point-to-Point Tunneling Protocol PVSTP - Per-VLAN Spanning Tree Protocol RADIUS - Remote Authentication in Dial-In User Service RIP – Routing Information Protocol ROM – Read Only Memory RSA –Rivest, Shamir va Adleman familiyalarining qisqartmasi RSTP - Rapid Spanning Tree Protocol SCP - Secure Copy SIEM – Security Information and Event Management SNMP - Simple Network Management Protocol SNAT - Static Network Address Translation STP - Spanning Tree Protocol SSH - SecureShell SSL/TLS - Secure Sockets Layer/Transport Layer Security SSTP – Secure Socket Tunneling Protocol TACACS - Terminal Access Controller Access Control System TCP/IP – Transmission Control Protocol/Internet Protocol TFTP – Trivial File Transfer Protocol VPN – Virtual Private Network 229 UDP – User Datagram Protocol URL – Uniform Resource Locator UTM – Universal Transaction Monitor VLAN – Vertual Local Area Network VTP - VLAN Trunking Protocol WAN - Wide Area Network Wi-Fi – Wireless Fidelity WLAN - Wireless Local Area Network WMAN - Wireless Metropolitan Area Network WPA - Wi-Fi Protected Access TE – Tarmoqlararo ekran OT – Operatsion tizim PC – Personal computer DT – Dasturiy ta’minot CPU – Central processing unit 230 OʻZBEKCHA, RUSCHA VA INGLIZCHA TERMINLAR LUGʻATI Avtorizatsiya – tizimda foydalanuvchiga, uning ijobiy autentifikatsiyasiga asosan, ma’lum foydalanish huquqlarini taqdim etish. Авторизация - представление пользователю определенных прав доступа на основе положительного результата его аутентификации в системе. Authorization – granting the user certain access rights based on the positive result of authentication in the system. Himoya ma’muri – avtomatlashtirilgan tizimni axborotdan ruxsatsiz foydalanishdan himoyalashga javobgar foydalanish subyekti. Администратор защиты - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации. Security administrator - the subject of the access responsible for the protection of the automated system against unauthorized access to the information. Tizim ma’muri – tizimni ekspluatatsiyasiga va uning ishga layoqatlik holatini ta’minlashga javobgar shaxs. Администратор системы - лицо, отвечающее за эксплуатацию системы и поддержание ее в работоспособном состоянии. System administrator – a person who is responsible for operation of the system and keeping it in an appropriate working condition. Faol tahdid – tizim holatini atayin ruxsatsiz oʻzgartirish tahdidi. Активная угроза угроза преднамеренного несанкционированного изменения состояния системы. Active threat – a threat that can make a deliberate unauthorized change to the system. Shifrlash algoritmi - shifrlash funksiyasini amalga oshiruvchi kriptografik algoritm. Blokli shifrtizim holida shifrlashning muayyan rejimida shifrlashning bazaviy blokli algoritmidan foydalanib hosil qilinadi. 231 Алгоритм шифрования - алгоритм криптографический, реализующий функцию шифрования. В случае шифрсистем блочных получается использованием алгоритма шифрования блочного базового в конкретном режиме шифрования. Encryption algorithm - a cryptographic algorithm that implements the function of encryption. In the case of block cipher system is obtained using the algorithm of the base block encryption in a particular mode of encryption. RSA shifrlash algoritmi – 1978 yili R. Rayvest, A Shamir va L.Adleman tomonidan taklif etilgan va asimetrik shifr tizimlarini qurishga moʻljallangan shifrlash algoritmi. Алгоритм шифрования RSA - алгоритм шифрования, предложенный в 1978 г. Р. Райвестом, А. Шамиром и Л. Адлеманом и предназначенный для построения шифрсистем асимметричных. RSA encryption algorithm - the encryption algorithm proposed in 1978 by R. Rivest, A. Shamir and L. Adleman and is designed to build asymmetric ciphers. Tahlil – olingan ma’lumotlarning muhimligi va vaziyat uchun isbotlanganlik qiymatini oʻrganish. Анализ - изучение значимости полученных данных и доказательственной ценности к случаю. Analysis – the examination of acquired data for its significance and probative value to the case. Tarmoq tahlillagichlari (sniffer) – tarmoq trafigini “tinglash”ni va tarmoq trafigidan avtomatik tarzda foydalanuvchilar ismini, parollarni, kredit kartalar nomerini, shu kabi boshqa axborotni ajratib olishni amalga oshiruvchi dasturlar. Анализаторы сетевые (сниффер) - программы, осуществляющие «прослушивание» трафика сетевого и автоматическое выделение из трафика сетевого имен пользователей, паролей, номеров кредитных карт, другой подобной информации. Network analyzers (sniffer) - programs that listen on network traffic and automatic allocation of network traffic usernames, passwords, credit card numbers, and other such information. 232 Axborotni himoyalashning apparat vositasi – axborotni ishlovchi texnik vositasi komplekti tarkibiga kiruvchi maxsus himoyalovchi qurilma yoki moslama. Аппаратное средство защиты информации специальное защитное устройство или приспособление, входящее в комплект технического средства обработки информации. Hardware data protection - a special protective device or fixture included in the kit technical tools of information processing. AT xavfsizlik arxitekturasi - xavfsizlikni loyihalash tizimini boshqaruvchi prinsiplariga rioya qilish uchun xavfsizlik prinsiplarining va umumiy yondashishning tavsifi. Архитектура IT безопасности - описание принципов безопасности и общего подхода для соблюдения принципов, управляющих системой проектирования безопасности. IT security architecture – a description of security principles and an overall approach for complying with the principles that drive the system design. Axborot xavfsizligining arxitekturasi - tashkilot xavfsizlik jarayonlari strukturasi va ishlash rejimini, axborot xavfsizligi tizimlarini, shaxsiy va tashkiliy boʻlinmalarini, ularni tashkilot missiyasi va strategik rejalariga tenglashtirishni koʻrsatish bilan tavsiflovchi tashkilot arxitekturasining oʻrnatilgan, ajratib boʻlmas qismi. Архитектура информационной безопасности встроенная, неотъемлемая часть архитектуры предприятия, описывающая структуру и поведение процессов безопасности, систем информационной безопасности, персональных и организационных подразделений, с указанием их выравнивание с целью и стратегическими планами предприятия. Information security architecture – an embedded, integral part of the enterprise architecture that describes the structure and behavior for an enterprise’s security processes, information security systems, personnel and organizational sub-units, showing their alignment with the enterprise’s mission and strategic plans. «Dushman oʻrtada» hujumi – kriptografik protokolga hujum boʻlib, bunda dushman C ushbu protokolni ishtirokchi A va ishtirokchi B bilan bajaradi. Dushman C ishtirokchi A bilan seansni ishtirokchi B nomidan, ishtirokchi B bilan esa ishtirokchi A nomidan 233 bajaradi. Bajarish jarayonida dushman ishtirokchi A dan ishtirokchi V ga va aksincha xabarni, ehtimol, oʻzgartirib uzatadi. Xususan, abonentni autentifikatsiyalash protokoli holida «dushman oʻrtada» hujumining muvafaaqiyatli amalga oshirilishi dushmanga ishtirokchi B uchun oʻzini ishtirokchi A nomidan autentifikatsiyalashga imkon beradi. «Dushman oʻrtada» hujumini amalga oshirish uchun protokolning ikkita seansining sinxronlanishini ta’minlash lozim. Атака «противник в середине» — атака на протокол криптографический, в которой противник С выполняет этот протокол как с участником А, так и с участником В. Противник С выполняет сеанс с участником А от имени В, а с участником B от имени А. В процессе выполнения противник пересылает сообщения от А к В и обратно, возможно, подменяя их. В частности, в случае протокола аутентификации абонента успешное осуществление атаки «противник в середине» позволяет противнику аутентифицировать себя для В под именем А. Для осуществления атаки «противник в середине» необходимо обеспечивать синхронизацию двух сеансов протокола. Attack “the opponent in the middle” - attack on a cryptographic protocol in which the enemy with this protocol performs as a party A and party B with C. Enemy performs session with party A on behalf of B, and a participant on behalf of A. During runtime opponent forwards messages from A to B and back, possibly replacing them attacks. In particular, in the case of an authentication protocol is connected to the success of the attack “the opponent in the middle” allows authenticate itself to the enemy in the name of A. To carry out the attack “the opponent in the middle” is necessary to ensure the synchronization of the two sessions of the protocol. Xizmat qilishdan voz kechish hujumi – tizim buzilishiga sabab boʻluvchi hujum, ya’ni shunday sharoitlar tugʻdiradiki, qonuniy foydalanuvchi tizim taqdim etgan resurslardan foydalana olmaydi yoki foydalanish anchagina qiyinlashadi. Атака на отказ в обслуживании — атака с целью вызвать отказ системы, то есть создать такие условия, при которых легитимные пользователи не смогут получить доступ к предоставляемым системой ресурсам, либо этот доступ будет значительно затруднён. 234 Denial-of-service attack - attack intended to cause a system failure, that is, to create conditions under which legitimate users will not be able to access the system-provided resources, or this access much more difficult. Passiv hujum – kriptotizmga yoki kriptografik protokolga hujum boʻlib, bunda dushman va/yoki buzgʻunchi uzatiluvchi shifrlangan axborotni kuzatadi va ishlatadi, ammo qonuniy foydalanuvchilar harakatiga ta’sir etmaydi. Атака пассивная — атака на криптосистему или протокол криптографический, при которой противник и/или нарушитель наблюдает и использует передаваемые сообщения шифрованные, но не влияет на действия пользователей законных. Passive attack - attack on a cryptosystem or a cryptographic protocol in which enemy and/or the offender observes and uses the transmitted messages are encrypted, but does not affect the user's actions legitimate. Parollar lugʻatiga asoslangan hujum – parol qiymatlarini saralashga asoslangan kriptotizimga hujum. Атака со словарем паролей — атака на криптосистему, основанная на переборе значений пароля. Аttack with a dictionary of passwords - the attack on the cryptosystem based on iterating the value of a password. Autentifikator – foydalanuvchining farqli alomatini ifodalovchi autentifikatsiya vositasi. Qoʻshimcha kod soʻzlari, biometrik ma’lumotlar va foydalanuvchining boshqa farqli alomatlari autentifikatsiya vositalari boʻlishi mumkin. Аутентификатор средство аутентификации, представляющее отличительный признак пользователя. Средствами аутентификации пользователя могут быть дополнительные кодовые слова, биометрические данные и другие отличительные признаки пользователя. Authenticator - means of authentication that represents the distinctive attribute of the user. Means of user authentication can be additional code word, biometric data and other identifying features of the user. Autentifikatsiya – odatda tizim resurslaridan foydalanishga ruxsat etish xususida qaror qabul uchun foydalanuvchining, qurilmaning yoki tizimning boshqa tashkil etuvchisining 235 identifikasiyasini tekshirish; saqlanuvchi va uzatuvchi ma’lumotlarning ruxsatsiz modifikatsiyalanganligini aniqlash uchun tekshirish. Аутентификация - проверка идентификации пользователя, устройства или другого компонента в системе, обычно для принятия решения о разрешении доступа к ресурсам системы; проверка целостности хранящихся или передающихся данных для обнаружения их несанкционированной модификации. Authentication - checking the identification of user, device, or other component in the system, typically for decision-making about access to system resources; check the integrity of stored or transmitted data to detect unauthorized modification. Ikki faktorli autentifikatsiya – foydalanuvchilarni ikkita turli faktorlar asosida autentifikatsiyalash, odatda, foydalanuvchi biladigan narsa va egalik qiladigan narsa (masalan, parol va fizik identifikatori) asosida. Аутентификация двухфакторная — аутентификация пользователей на основе двух разнородных факторов, как правило, на основе того, что знает пользователь, и того, чем он владеет (например, на основе пароля и физического идентификатора). Two-factor authentication - user authentication on the basis of two unrelated factors, as a rule, on the basis of what he knows and what he knows (e.g., password-based and physical ID). Bir martali parollar aosidagi autentifikatsiya - bir martali parollar yordamida autentifikatsiyalash texnologiyasi. Bir martali parollarni olishda quydagilar ishlatilishi mumkin: bir tomonlama funksiya asosida generatsiyalash algoritmi, maxsus qurilmalartokenlar, yoki bir martali parolni, foydalanuvchi tatbiqiy tizimdan foydalanishda ishlatiladigan kanaldan farqli, kanal orqali uzatishga asoslangan OOB (out of band) texnologiyasi. Аутентификация на основе паролей одноразовых — технология аутентификации c помощью паролей одноразовых, для получения которых могут использоваться: алгоритм генерации на основе односторонней функции, специальные устройства – токены, либо технология OOB (out of band), основанная на передаче пароля одноразового с использованием 236 дополнительного канала, отличного от того, по которому пользователь осуществляет доступ к прикладной системе. One time password based authentication - technology authentication using one time passwords, which can be used: the generation algorithm based on one-way functions, special device – taken, or technology OOB (out of band) based on the transmission password disposable using additional channels, other than where the user accesses the application system. Xabarlar autentifikatsiyasi – ma’lumotlarda har qanday oʻzgarishlarni aniqlash maqsadida ma’lumotlar blokiga nazorat hoshiyasini qoʻshish. Ushbu hoshiya qiymatini hisoblashda faqat ma’lumotlar priyemnigiga ma’lum kalitlar ishlatiladi. Аутентификация сообщений - добавление к блоку данных контрольного поля для обнаружения любых изменений в данных. При вычислении значений этого поля используется ключ, известный только приемнику данных. Message authentication - adding control data to the data field to detect any changes in the data. The values of this field using a key known only to receiver data. Xavfsizlik - ta’siri natijasida nomaqbul holatlarga olib keluvchi atayin yoki tasodifiy, ichki va tashqi beqarorlovchi faktorlarga qarshi tizimning tura olish xususiyati. Yana - ma’lumotlar fayllarining va dasturlarning avtorizatsiyalanmagan shaxslar (jumladan tizim xodimi), kompyuterlar yoki dasturlar tomonidan ishlatilishi, koʻrib chiqilishi va modifikatsiyalanishi mumkin boʻlmagan holat. Безопасность - свойство системы противостоять внешним или внутренним дестабилизирующим факторам, следствием воздействия которых могут быть нежелательные ее состояния или поведение. Еще - состояние, в котором файлы данных и программы не могут быть использованы, просмотрены и модифицированы неавторизованными лицами (включая персонал системы), компьютерами или программами. Security - the property of a system to withstand external or internal destabilizing factors, the effect of which may be unwanted state or behaviour. Still - a state in which the data files and programs may not be used, viewed and modified by unauthorized persons (including the system staff), computers or software. 237 Axborot xavfsizligi - axborot holati boʻlib, unga binoan axborotga tasodifiy yoki atayin ruxsatsiz ta’sir etishga yoki ruxsatsiz uning olinishiga yoʻl qoʻyilmaydi; yana - axborotni texnik vositalar yordamida ishlanishida uning maxfiylik (konfidensiallik), yaxlitlik va foydalanuvchanlik kabi xarakteristikalarini (xususiyatlarini) saqlanishini ta’minlovchi axborotning himoyalanish darajasi holati. Безопасность информации - состояние информации, при котором исключаются случайные или преднамеренные несанкционированные воздействия на информацию или несанкционированное ее получение; еще - состояние уровня защищенности информации при ее обработке техническими средствами, обеспечивающее сохранение таких ее качественных характеристик (свойств) как секретность (конфиденциальность), целостность и доступность. Information security - status information, which excludes accidental or deliberate tampering or unauthorized information receive it, also - the state of security level information when processing technical means to ensure the preservation of its quality characteristics (properties) such as secrecy (confidentiality), integrity, and availability. Axborot tarmogʻi xavfsizligi – axborot tarmogʻini ruxsatsiz foydalanishdan, me’yoriy harakatlariga tasodifiy yoki atayin aralashishdan yoki komponentlarini buzishga urinishdan saqlash choralari. Безопасность информационной сети меры, предохраняющие информационную сеть от несанкционированного доступа, случайного или преднамеренного вмешательства в нормальные действия или попыток разрушения ее компонентов. Network security - measures that protect the information network from unauthorized access, accidental or deliberate interference in normal activities or attempts the destruction of its components. Tarmoqlararo ekran – apparat-dasturiy vositalar yordamida tarmoqdan foydalanishni markazlashtirish va uni nazoratlash yoʻli bilan tarmoqni boshqa tizimlardan va tarmoqlardan keladigan xavfsizlikka tahdidlardan himoyalash usuli; yana - bir necha komponentlardan (masalan, tarmoqlararo ekran dasturiy ta’minoti 238 ishlaydigan marshrutizator yoki shlyuzdan) tashkil topgan ximoya toʻsigʻi hisoblanadi. Брандмауэр - метод защиты сети от угроз безопасности, исходящих от других систем и сетей, с помощью централизации доступа к сети и контроля за ним аппаратно-программными средствами; еще - является защитным барьером, состоящим из нескольких компонентов (например, маршрутизатора или шлюза, на котором работает программное обеспечение брандмауэра). Firewall - a method of protecting a network against security threats from other systems and networks, through centralizing network access and control hardware and software; - is a protective barrier consisting of several components (e.g., router or gateway running firewall software). Imtiyozlar - hisoblash tizimida ma’lum obyektlardan foydalanish va ularda ishlashdan iborat foydalanuvchilarning yoki dasturning huquqlari. Привилегии - права пользователя или программы, состоящие в доступности определенных объектов и действий в вычислительной системе. Privilege - rights of the user or a program, consisting in the availability of certain objects and actions in a computing system. Ilova – bevosita foydalanuvchi uchun boshqarish, monitoringlash tizimlaridan yoki ma’muriy imtiyozlardan foydalanmay aniq funksiyani bajaruvchi axborot tizimining dasturiy ta’minoti (dasturi). Приложение – программное обеспечение (программа) информационной системы, выполняющая определенную функцию непосредственно для пользователя без доступа к системе управления, мониторинга или административным привилегиям. Application – a software (program) hosted by an information system. In addition, software program that performs a specific function directly for a user and can be executed without access to system control, monitoring, or administrative privileges. Virtual xususiy tarmoq - tarmoqlar orasida almashiniluvchi ma’lumotlar yoki boshqa axborotni uzatish uchun xavfsiz kommunikatsiya tunnelini ta’minlovchi, mavjud fizik tarmoqlar asosida qurilgan virtual tarmoq. 239 Виртуальная частная сеть - виртуальная сеть, построенная на основе существующих физических сетей, обеспечивающая безопасный туннель коммуникации для передачи данных или другой информации, передаваемой между сетями. Virtual private network – a virtual network, built on top of existing physical networks that provides a secure communications tunnel for data and other information transmitted between networks. Rollarga asoslangan ruxsatni nazoratlash - resurslardan foydalanishni boshqarish modeli boʻlib, resurslarda ruxsat berilgan harakatlar shaxsiy subyekt identifikatorining oʻrniga rollar bilan identifikatsiyalanadi. Контроль доступа на основе ролей - модель для управления доступом к ресурсам, когда разрешенные действия на ресурсы идентифицированы с ролями, а не с личными идентификаторами субъекта. Role-based access control – a model for controlling access to resources where permitted actions on resources are identified with roles rather than with individual subject identities. Konfidensiallik – 1. Avtorizatsiyalanmagan shaxs tomonidan olinishi yoki foydalanishi tashkilot uchun jiddiy zarar sababi boʻla olmaydigan ma’lumotlarning qandaydir sinfi. 2. Alohida shaxslar, modullar, jarayonlar ruxsatisiz aniqlanishi, va foydalanishi mumkin boʻlmagan axborot xususiyati. Конфиденциальность – 1. Некоторый класс данных, получение либо использование которых неавторизованными для этого лица не может стать причиной серьезного ущерба для организации. 2. Свойство информации, состоящее в том, что она не может быть обнаружена и сделана доступной без разрешения отдельным лицам, модулям или процессам. Confidentiality – 1. Some class data, obtaining or the use of which by unauthorized persons could not cause serious damage to the organization. 2. The quality of information, consisting in that it cannot be detected and made available without the permission of individuals, modules or processes. 240 ADABIYOTLAR ROʻYXATI 1. Oʻzbеkiston Rеspublikasi Prеzidеntining PF 4947-sonli farmoni “Oʻzbеkiston Rеspublikasini yanada rivojlantirish boʻyicha harakatlar stratеgiyasi toʻgʻrisida”. 6 (766)-son. 2017y 7 fеvral. 2. Олифер В.Г., Олифер Н.А. “Безопасность компьютерных сетей” 2017 г. 3. Роджер А. Гримс “Взламываем хакера” Часть I. (Учимся у экспертов барьбе с хакерами). 4. Роджер А. Гримс “Взламываем хакера” Часть II. (Учимся у экспертов барьбе с хакерами). 5. Роджер А. Гримс “Взламываем хакера” Часть III. (Учимся у экспертов барьбе с хакерами). 6. Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др. Технические средства и методы защиты информации: Учебник для вузов / – М.: ООО «Издательство Машиностроение», 2009 – 508 с. 7. Нестеров С. А. Информационная безопасность и защита информации: Учеб.пособие. – СПб.: Изд-во Политехн. унта, 2009. – 126 с. 8. Чефранова А.О., Игнатов В.В., Уривский А.В. и др. Технология построения VPN: курс лекций: Учебное пособие.Москва: Прометей, 2009. -180 с. 9. Шаньгин В. Ф. Защита информации в компьютерных системах и сетях - М: ДМК Пресс, 2012. - 596 с. INTERNET MANBALARI 1. 2. 3. 4. 5. 6. http://www.infotecs.ru/solutions/VРN/ http://hostinfo.ru/articles/501/ http://hamachi.ru.softonic.com/ ViPNet Администратор: Руководство администратора ViPNet Координатор: Руководство администратора http://hostinfo.ru/articles/501/ 241 MUNDARIJA KIRISH Tarmoq qurilmalarida dastlabki xavfsizlik sozlamalarini oʻrnatish - telnet, ssh………………………………………. 3 2 Komutatorlarda Port xavfsizligi (Port Security)ni sozlash 21 3 30 7 Tarmoq qurilmalarining xavfsizligini tahlili… . . . . . . . . . . Rezervlash protokollari - STP, RSTP va agregatsiyalash protokollari - LACP, PAgP ni sozlash. . . . . . . . . . ………. VTP protokolini sozlash. . . . . . . . . . . . . . . . . . . . . . . . . . . . OSPF, RIP, EIGRP va BGP protokollari asosida dinamik marshrutlashni sozlash. . . . . . . . . . . . . . . . . . . . . . . . . . . . .. ACL roʻyxatini sozlash (standard, extended). . . . . . . . . . . . 8 Marshrutizatorlarda NAT/PAT texnologiyasini sozlash. . . 98 9 Tarmoqni himoyalash protokollari SCP, SNMP ni sozlash va log fayllarni tadqiq etish. . . . . . . . . . . . . . . . . . . . . . . . . 112 10 AAA serverda autentifikatsiya rejimini sozlash(RADIUS, TACACS+).. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 11 DHCP Snooping – xavfsizlik texnologiyasi. . . . . . . . . . . . 140 12 ARP Poisoning tarmoq hujumi tahlili. . . . . . . . . . . . . . . . . 149 13 Korxona va tashkilot axborot komunikatsiya tizimlarida VPN tarmoq qurish. . . . . . . . . . . . . . . . . . . . . . …………. 157 1 4 5 6 14 15 5 38 51 66 85 SSTP ,PPTP, L2TP va IKEv2 protokollarini oʻrganish. . . . 166 ASA xavfsizlik texnologiyasini sozlash. . ………………. . 174 17 Tarmoq marshrutizatorida DMZ ni oʻrnatish. . . . . . . . . . ... 182 Tarmoq muammolarini izlash va bartaraf etish: Troubleshooting.. …………………………………………. 190 18 Firewall dasturiy vositasini oʻrnatish va sozlash.. . . . . . . . 200 19 IDS / IPS dasturiy vositasini oʻrnatish va sozlash.. . . . . . . 220 16 242 Qisqartmalar roʻyxati…………………………………….. 228 Oʻzbekcha, ruscha va inglizcha terminlar lugʻati………… 231 Foydalanilgan adabiyotlar roʻyxati…………………… 241 243 QAYDLAR UCHUN ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ ________________________________________________________ 244 Muhammad al-Xorazmiy texnologiyalari universiteti, 2021 nomidagi Toshkent axborot “Tarmoq xavfsizligi” Oʻquv qoʻllanma 5330300 - Axborot xavfsizligi, 5330500 Kompyuter injiniringi (Kompyuter injiniringi, AT servis, Multimediya texnologiyalari), 5350100 - Telekommunikatsiya texnologiyalari (telekommunikatsiya, radioeshittirish, mobil tizimlar) yoʻlishi talabalari uchun. Oʻquv qoʻllanma “Axborot xavfsizligini ta’minlash” kafedarsi yigʻilishida koʻrib chiqildi va tasdiqlandi (22.05 2021. Protokol № _20_) Oʻquv qoʻllanma "Axborot xavfsizligi" fakulteti ilmiy-uslubiy kengashi yigʻilishida chop etish uchun tavsiya etildi. (26.05. 2021. Protokol № __20_) Oʻquv qoʻllanma Muhammad alXorazmiy nomidagi Toshkent axborot texnologiyalari universiteti ilmiy-uslubiy kengashi tomonidan tasdiqlandi. (02.07.2021. Protokol № 11(713)) Tuzuvchilar: F.B.Botirov A.A.Abdurahmonov B.M.Shamshiyeva E.D.Haydarov Taqrizchilar: Sh.R.Gafurov H.K.Samarov Mas'ul muharrir: Tuzatuvchi: S.X.Abdullayeva 245 246 247 248

Тармоқ хавфсизлиги 16 шрифт (1)

Study collections

Products

Support

Тармоқ хавфсизлиги 16 шрифт (1)

Study collections

Add this document to collection(s)

Add this document to saved

Suggest us how to improve StudyLib