Add to collection(s) Add to saved
  1. No category
Uploaded by setmamatovasadbek903

Birlashtirilgan maruza Tarmoq xavfsizligi 5 170-208

advertisement 
Тармоқ хавфсизлиги
9-маъруза. Тармоқ сатхида маълумотларни
ҳимоялаш.
+998 71 238 6525
@tarmoq_xavfsizligi
www.tuit.uz
108 Amir Temur Street,
Tashkent, Uzbekistan
100200
Маъруза давомида кўриб чиқиладиган
масалалар
Маршрутлаш ва унинг хавфлари
Адреслаш
Фрагментлаш ва унинг хавфлари
Quality of service хужумлари
Хавфсизлик
6/9/2021
2
Тармоқ сатҳи канал сатҳининг функциясини тармоққа уланадиган барча
қурилмаларга узатиб беради.
Тармоқ
сатҳи
Канал сатҳи учта функцияни
таъминлайди:
манзиллаш,
маълумотларни фрагментлаш ва
хизмат кўрсатиш сифати. Канал
сатҳида ушбу функциялар фақат
локал тармоққа тақдим этилади.
Тармоқ сатҳи ушбу функцияларни
тармоқлар ўртасида тақсимлайди.
Канал
сатҳи
жисмоний
уланишларга йўналтирилган бўлса,
тармоқ
сатҳи
тармоқ
топологиясига эътибор беради.
6/9/2021
Маршрут
лаш
Тармоқ
маршрутизацияси
маълумотлар ҳаволасининг икки
хил
қатлами
билан
алоқа
ўрнатишга имкон беради. Тармоқ
маршрутизациясисиз канал сатҳи
барча тугунларни тармоқдаги
барча бошқа тугунлар билан
тўғридан-тўғри алоқа қилишни
талаб қилади. Ўзаро алоқа
туфайли катта тармоқлар тўсиқ
бўлиб қолади. Тармоқ сатҳи
алоҳида
тармоқларга
зарур
бўлгандагина маълумот алмашиш
имконини беради.
3
Тармоқ сатҳининг функциялари
Пакетлаш
Фрагментлаш
Маршрутлаш
Мантиқий манзиллаш
6/9/2021
4
Тармоқ сатҳи қандай ишлайди?
6/9/2021
5
Маршрутлаш
Роутерлар
6/9/2021
Маршрут жадвали
Маршрутлаш
кўрсаткичлари
Маршрутларни
қўллаш
6
Маршрутлаш хавфлари
4
2
Router table
flooding
Direct routing
Attacks
Router table
poisoning
1
6/9/2021
Router Looping
attacks
Routing metric
attacks
3
5
7
Маршрутлаш хавфлари
Роутерга тўғридан тўғри
хужум
Роутерга тўғридан-тўғри ҳужум DoS ёки
тизим компрометацияси шаклида бўлади.
DoS роутернинг асосий маршрутлаш
функцияларини бажаришига тўсқинлик
қилади, бу эса тармоқ уланишини
ўчишига олиб келади. Тарихий жиҳатдан,
ушбу ҳужумлар юклашга асосланган эди:
маълум бир интерфейсдаги тармоқ
ҳажми жуда катта, кейин роутер
трафикни, шу жумладан бошқа тармоқ
интерфейсларидан
келган
трафикни
бошқаролмайди.
6/9/2021
Роутер жадвалини захарлаш
Канал сатҳининг ARP жадвали сингари, тармоқ
сатҳининг маршрутлаш жадвали ҳам заҳарланиш
ҳужумларига қарши ҳимоясиз. Баъзи тармоқ
протоколлари
тармоқ
трафигини
аутентификациялайди. Сохта ёки бузилган
тармоқ
трафиги
маршрут
жадвалидаги
ёзувларни ёзиши, қўшиши ёки ўчириши мумкин.
Натижа бузилган роутердан унчалик фарқ
қилмайди: заҳарланган жадвални трафикни
бошқа хостга йўналтириш, аниқ хостлардан
трафикни тўсиб қўйиш ёки тасодифий янги
яширин субнетларни ажратиш учун қайта тузиш
мумкин..
Роутер жадвалини
тўлдириш
Роутерларда
одатда
маршрутлаш
жадвалларини сақлаш учун катта қаттиқ
дисклар ёки оператив хотира мавжуд
емас. Маршрутлаш жадвалининг ўлчами
одатда
чекланган
бўлади.
Статик
маршрутлардан
фойдаланмайдиган
қурилмалар маршрут муддати тугашини
ва жадвал тўлдирилишини бошқариши
керак. Бузғунчи роутер маршрутлаш
жадвалини
тўлдириш
учун
фойдаланадиган сохта маълумотларни
яратиши мумкин.
8
Маршрутлаш хавфлари
Роутер метрикасига
хужум
Роутернинг метрикасига
бўлган ҳужум маршрут
жадвалидаги
динамик
кўрсаткичларни
заҳарлайди. Ушбу ҳужум
афзал
бўлган
йўлни
исталмайдиган
йўлга
айлантириши мумкин.
6/9/2021
Роутер халқаси хужуми
Кўпгина тармоқ протоколлари маълумотлар бир
интерфейс орқали уша роутернинг бошқа
интерфейсига узатилганда тармоқ ҳалқа (петля)ни
аниқлаш ва бартараф етишга ҳаракат қилади.
Тармоқ ҳалқалари ҳаддан ташқари кўп тармоқ
ўтказувчанлигини истеъмолини келтириб чиқаради
ва бу қайта алоқа вақтида мавжуд бўлган барча
тармоқ ўтказувчанлигини истеъмол қилишга сабаб
бўлади. Тармоқ сатҳининг баъзи протоколлари
етказиб берилмайдиган пакетларнинг амал қилиш
муддатини тугатиш воситасини тақдим етади,
шунингдек, тармоқ ҳалқаларини аниқлашга ёрдам
берадиган кўплаб протоколлар ҳам мавжуд.
9
Роутерга тўғридан тўғри хужум
6/9/2021
10
Роутер жадвалини захарлаш
6/9/2021
11
Роутер жадвалини тўлдириш
6/9/2021
12
Роутер халқаси хужуми
6/9/2021
13
Манзиллаш
Канал сатхи кўп узелли тармоқлар учун манзилни қўллаб-қувватлайди. Ҳар бир манзил уникал кетмакетлик бўлиши керак. Канал сатхи манзилни тармоқдаги уникал узелни аниқлашдан ташқари бошқа
мақсадларда ишлатмайди. Канал сатхида мурожаат қилиш одамларнинг исмлари билан мурожаат
қилишга ўхшайди. Хонада Барт исмли фақат битта одам бўлса, кимдир унинг исмини тилга олганда
чалкашликлар бўлмайди.
1. Номерли манзиллаш (IP, IPX, X.25, VINES)
2. Номга асосланган манзиллаш (AX.25, NBRP)
6/9/2021
14
Манзил схемалари хавфлари
Ўзини бошқа инсон
қилиб кўрсатиш
OSI канал сатҳида иккита тугун
бир хил аппарат манзилини
баҳам кўрганда низолар юзага
келиши мумкин. Худди шу
нарса
тармоқ
сатҳи
манзиллари учун ҳам амал
қилади. Масалан, роутер қайси
аппарат манзилини тармоқ
манзили
билан
боғлашни
билмайди.
6/9/2021
Манзилни бузиш
Иккита узел битта субнетда
бир хил тармоқ манзилига ега
бўлган ҳолда мавжуд бўлса, енг
тезкор жавоб берадиган узел
тармоқ
уланишини
ушлаб
туриши мумкин. Aгар битта
тугун
доимий
равишда
секинроқ жавоб берса, у барча
тармоқ
трафигидан
блокланади.
Истеъмолни динамик
тақсимлаш
Барча
манзиллар
тақсимлаб
бўлинганда,
тармоққа
янги
узелларни
қўшиб
бўлмайди.
Тақсимлаш ҳужуми барча мавжуд
манзилларни тақсимланган деб
белгилашни талаб қилади. Битта
хост бошқа хостларнинг тармоққа
киришига тўсқинлик қилишини
таъминлаш учун жуда кўп сонли
сохта
манзилларни
ажратиш
бўйича
сўровларни
яратиши
мумкин.
15
Манзил схемалари хавфлари
Ёлғон бўшатиш хужуми
Ёлгон
бўшатиш
ҳужуми,
бузғунчи
ажратилган манзилни ўзиники деб
кўрсатганида ва манзил бўшаганини
кўрсатганда содир бўлади. Натижада,
жабрланувчининг узели ажратилмаган
тармоқ манзили билан ишлай бошлайди,
бу еса келгусида манзилни тақсимлаш
сабабли уни сохта ҳужумларга қарши
ҳимоясиз қилади.
6/9/2021
Ёлғон динамик жойлаштириш
ҳужуми
Хост янги тармоқ манзилини сўраши учун, аввал
хостинг серверига мурожаат қилиши керак.
Aфсуски, сервер маълум бўлмаслиги мумкин. VINES
ва DHCP серверлари ушбу муаммони трансляция
ажратиш сўровларига жавоб бериш орқали қайта
ҳал
қилишади.
Ҳужумчилар
ўз
тарқатиш
серверларини созлашлари ва тарқатиш сўровларига
расмий серверларга қараганда тезроқ жавоб
беришлари мумкин. Тарқатишга жавоб бериш
одатда конфигурация маълумотлари тўпламини ўз
ичига олади.
16
Фрагментлаш
6/9/2021
17
Фрагментация хавфлари
Фрагментлашнинг барча схемалари иккита асосий хавфга дуч келади: фрагментларнинг
етишмаслиги ва тўпланган маълумотларнинг ҳажми. Шунингдек, фрагментлашни бошқариш тури
маълумотлар сегментларини етишмаслигига олиб келиши мумкин.
2
Фрагмент етишмаслиги
хужуми
Фрагментларни
қайта тиклаш
Максимал
фрагментланган
хажм
1
6/9/2021
3
18
Quality of Service
Тармоқ сатҳи транспорт сатҳи томонидан фойдаланиш учун олтита ҚоС функциясини таъминлайди. Ушбу хизматлар
маълумотларнинг оптимал оқимини таъминлашга ёрдам беради.
Уланишни бошқариш
Оқимни назорат қилиш
Оқимни бошқариш
Хато статуси
Узел хатоси
Созламаларни бекор килиш
6/9/2021
19
Quality-of-Service хужумлари
Қайта
ўрнатиш
Уланишни
бошқари
ш
Тугун
ҳолати
QoS
хужумлари
Оқимни
назорат
қилиш
Хато
ҳолати
Оқимни
бошқари
ш
6/9/2021
20
Хавфсизлик
• Маълумотларни муваффақиятли узатилишини таъминлаш учун тармоқ
сатҳи кўплаб хизматларни таклиф қилади, аммо тармоқ узатилишини
қандай химоялашни тасвирламайди. Бундан ташқари, тармоқ
сатҳининг
аксарият
протоколлари
тармоқ
маълумотларини
аутентификация қилиш, текшириш ёки бошқа ҳимоя қилиш
функцияларини таъминламайди. Тармоқ сатҳи дуч келадиган умумий
хатарларга ешитиш, ўзга ўхшашликни яратиш ва қўшиб қўйиш
ҳужумлари киради. Кўпгина тармоқ протоколлари томонидан
маълумотлар ҳаволасини ўғирлаш ва такрорий ҳужумлар каби қуйи
қатлам хавфлари камайтирилмайди. Бунинг ўрнига, хавфсизлик
чоралари юқори даражасатҳдаги протоколлар билан амалга
оширилади деб тахмин қилинади. Бир нечта криптографик ечимлар
мавжуд бўлса-да, яхши танланган тармоқ архитектураси ва филтрлаш
дастурлари кўплаб хавфсизлик хавфини камайтириши мумкин.
Мураккабликдан ташқари, кўплаб OSI протоколлари қўшни OSI
сатҳларига боғлиқ. Тармоқнинг номувофиқлиги баъзи хавфсиз
ечимларнинг вариант сифатида кўрилишига тўсқинлик қилиши
мумкин.
6/9/2021
21
Хавфсизлик
Хавфсизлик протоколлари
Уланишни бошқариш
Тармоқни мос келмаслиги
Архитектура
Сервер фильтрацияси
Тармоқлараро экран ва чиқувчи трафик фильтрацияси
6/9/2021
22
Эътиборингиз учун
раҳмат
Тармоқ хавфсизлиги
10- маъруза. Физик сатҳда компьютер тармоғини
ҳимоялаш.
+998 71 238 6525
@tarmoq_xavfsizligi
www.tuit.uz
108 Amir Temur Street,
Tashkent, Uzbekistan
100200
Физик сатҳ
Физик
сатҳи
OSI модели физик сатҳдан
бошланади. Бунга физик тармоқ
оммавий ахборот воситалари, тармоқ
карталари (NIC) ва NICни бошқариш
учун операцион тизим драйверлари
киради. Ушбу қатламни бошқа барча
OSI қатламларидан ажратиб
турадиган нарса - бу жисмоний
мавжудлик; бошқа барча қатламлар
7 - Application - A
виртуал. Жисмоний муҳит тури ва
6 - Presentation - Person
тармоқ тартиби (топология)
5 - Session - Sent
4 - Transport - Through тармоқнинг физик хавфсизлигини
белгилайди.
3 - Network - Network
2 - Data Link - Data
1 - Physical - Packets
5/9/2021
Физик сатҳ
вазифаси
OSI физик қатлами битта
мақсадга эга: жисмоний канал
орқали тўғридан-тўғри жисмоний
оммавий ахборот воситалари
билан алоқа қилиш. Ушбу алоқа
физик алоқани ўрнатишни,
маълумотни канал орқали
узатишни ва маълумотни канал
орқали олишни ўз ичига олади
Physical - Please
Data Link - Do
Network - Not
Transport - Throw
Session - Sausage
Presentation - Pizza
Application - Away
2
Физик сатҳда маълумотлар оқими
Физик сатҳи орқали умумий маьлумотлар оқими
маълумотларни узатиш ва қабул қилишнинг беш
босқичли жараѐни сифатида намоѐн бўлади.
Жисмоний қурилма
драйвери жисмоний
канал орқали
маълумотларни
узатиш учун тармоқ
картасидан
фойдаланади.
Маълумотлар қабул
қилувчининг физик
қурилмаси
драйверига узатилади
2
3
Қабул қилиш
тизимидаги тармоқ
картаси
маълумотларни
қабул қилади.
5
Жисмоний қурилма
драйвери
маълумотларни қайта
ишлаш учун юқори
даражадаги OSI
қатламларига узатади.
Дастур
маълумотлар
яратади ва уларни
жисмоний
қурилма
драйверига
юборади.
4
Физик муҳитнинг турлари
Физик муҳит - бу маълумотларни юбориш ва қабул қилиш учун ҳамма нарсани,
Маълумот сигнализацияси электр кучланиш, радиочастота (частота) ва ѐруғликнинг
модуляциясини ўз ичига олади.
4
2
Симли тармоқ
протоколлари
Магистрал
линиялар
Оптик толали
тармоқлар
1
Симсиз
тармоқлар
Динамик
тармоқлар
3
5
4
5/9/2021
Физик тармоқ компонентлари
Физик қатлам маълумотлар узатувчи ва қабул қилувчи тармоқ таркибий
қисмларидан иборат.
Улагич
Компьютер
Т
А
Р
М
О
Қ
Кўприк
Шлюз
Т
У
Г
У
Н
И
Репитер
Маршрутизатор
Комутатор
5/9/2021
5
Физик сатҳ хавф-хатарлари
Eavesdropping
Insertion
Replay
Denial of Service (DoS)
6
Тармоқ топологиялари
Шина
топологияси
барча тугунларни
ўз ичига олган
битта алоқа
каналидан иборат
5/9/2021
Юлдуз
топологияси
тугунлар билан
алоқа қилиш учун
марказий
қурилмага
эга
Ҳалқа
топологияси
марказий
қурилмани
тармоқнинг
марказидан ҳар
бир тугунга
кўчиради.
Broadcast
топологияси
маълумотлар бир
нуқтадан бир
нуқтага емас,
балки
радиочастоталар
орқали
узатилганда
ишлатилади.
Гибрид
топология бир
нечта тармоқ
архитектураларини
афзалликларнинг
комбинациясини
таъминлаш учун
бирлаштиради.
7
Физик сатҳ
хавфсизлиги
Тармоқни аутентификация қилиш
тўплами намунаси.
Кўпгина
физик
сатҳ
протоколлари
аутентификация қилиш учун юқори
сатҳлар билан чамбарчас боғлиқ. Бунга
мисол қилиб диалуп линиялар ва симсиз
тармоқларни келтириш мумкин. Диалуп
тармоқ тез-тез фойдаланувчини тасдиқлаш
учун
PPP
ѐки
SLIP
(2-даражали
протоколлар) га таянади. Худди шундай,
симсиз
тармоқ
мижозларнинг
ҳақиқийлигини текшириш учун Wired
Equivalent Privacy (WEP) протоколи ва МAC
манзилини филтрлашдан фойдаланади.
8
Тармоқ муаммоларини аниқлаш
Физик сатҳ ҳужумининг манбасини аниқлаш қобилияти тармоқ муҳити ва конфигурациясига боғлиқ. Шина
топологиясида ҳар бир тугун шинанинг бошқа барча тугунлари томонидан қабул қилинган сигнални ҳосил
қилади. Ушбу конфигурацияда тармоқ муаммоси манбасини аниқлаш жуда қийин бўлиши мумкин. Бундан
фарқли ўлароқ, юлдуз топологияда бузилган тугунни қидиришни тезда марказнинг маълум бир портига
қисқартириши мумкин; агар портдан фойдаланадиган битта тугун бўлса, у ҳолда портни осонгина аниқлаш
мумкин.
Симсиз тармоқ узилишларини аниқлаш катта тармоқдаги номаълум тугунга қараганда анча қийинроқ
бўлиши мумкин. Умуман олганда, физик сатҳдаги муаммоларни махсус воситаларсиз осонгина аниқлаш
мумкин емас.
Тармоқнинг катталиги ҳам муаммоларни аниқлаш қобилиятига олиб келади.
BUS
RING
Small networks
9
Физик LAN
LAN
WAN
1
2
Физик тармоқ
турлари
DMZ
3
MAN
4
10
Ҳужум турлари
Симли тармоқлар учун асосий таҳдидлар бузилиш, шовқин, ҳидлаш, такрорлаш
ва қўшилиш ҳужумларидан иборат.
Disruption
Interference
Intentional
Attacks
5/9/2021
Тармоқ сегментидаги тез-тез учрайдиган узилишларга електр узилиши
ва узилган тармоқ кабеллари киради. Юмшатилиш усуллари одатда
захира қувват манбаларини ва асосий тармоқ қурилмаларига
чекланган киришни ўз ичига олади.
Тармоқ трафигини узатиш учун ишлатиладиган восита бошқа
сигналларни ҳам узатиши мумкин. Aгар воситага рухсациз сигнал
(шовқин) кирса, у ҳолда тармоқ қурилмалари маълумотларни
шовқиндан ажрата олмайдилар. Маълумотларни кодлаш
техникаси таъсирни шовқинлардан юмшата олади.
Sniffing, replay ва insertion ҳужумларидан таҳдидлар қасддан
қилинган ҳужум турларига киради.
11
Тармоқлараро экран
(Firewall)
Тармоқлараро экран - бу тармоқ сегментлари ўртасида ўтиши билан тармоқ трафигини филтрлайдиган ва
маълум тармоқ протоколлари асосида ҳимояни таъминлайдигам тизим тури. Тармоқлараро экран
биринчи навбатда OSI нинг қуйи сатҳлари билан боғлиқ: физик, канал, тармоқ ва транспорт сатҳи. Тармоқ
трафигини филтрлашга асосланган ҳар қандай ҳужумларни камайтириш усуллари тармоқлараро экранда
амалга ошириш мумкин.
Software Firewalls
Hardware Firewalls
Home Users and Firewalls
5/9/2021
Дастурий тармоқлараро экран тармоқ
филтрини тўғридан-тўғри тармоқ дастурлари
ишлайдиган компютерга жойлаштиради.
Ускуна тармоқлараро экрани дастурий тармоқлараро
экранида мавжуд бўлмаган қўшимча ҳимоя воситаларини
тақдим этади.
Зарарли тармоқ тажовузкорлари одатда уй
фойдаланувчиларини нишонга олишади, чунки 65 фоиздан
ортиқ уйлар ҳеч қандай тармоқлараро экрандан
фойдаланмайди
12
Имтиѐзли ҳудудлар
Тармоқлараро экран асосан унчалик ишончли бўлмаган WAN ва ишончли LAN ўртасида тўсиқ
яратади. Битта тармоқлараро экран иккита имтиѐзли зонани белгилайди. Ташкилот ичида
кўпинча турли даражадаги ишонч мавжуд. Булар сегментланган топологиядан фойдаланган
ҳолда физик сатҳда аниқ белгиланиши мумкин: ҳар бир ишонч даражасини
сегментлаштирадиган қатор зоналар ҳосил қилиниши мумкин.
DMZ
ONION
GARLIC
Тармоқларни улаш ва ундаги заифликлар
Dynamic Connections
Static Connections
2
Modem Risks
4
Caller-ID
Modem
Authentication
Credentials
1
5/9/2021
Creating
Secure
Dynamic
Connections
Automated
Callback
3
5
14
Мустақил иш мавзулари
Симсиз тармоқ
протоколларининг
хавфсизлик
таҳлили
5/9/2021
15
Эътиборингиз учун
раҳмат
Download
advertisement