Қорғалуға тиісті есептеу техникалық құралдарының объектісінің сипаттамасы

     ТСР-байланысты орнату үш сатыда өтеді: клиент sequence number (оны C-SYN деп атайық) таңдайды және серверге жібереді, осыған жауап ретінде сервер сервер клиентке растауы (С-АСК) және өзінің серверлік sequence number (S-SYN) бар деректер дестесін жібереді. Енді клиент растауды (S-ACK) жіберуі керек. Осыдан кейін байланыс орнатылды деп саналады және деректермен алмасу басталады. Осы кезде әрбір дестенің тақырыбында sequence number және  acknowledge number арналған өріс бар болады. Санның мәліметтері деректермен ауысу кезінде ұлғайып тұрады және тасымалдаудың дұрыстығын бақылап тұруға ммүкіндік береді.

     Қаскүнем сервермен жіберілетін sequence number-дің (сұлба бойынша S-SYN) қандай болатынын болжай алады деп санайық. Мұны ТСР/ІР-дің нақты орындалуын білу негізінде істеуге болады. Мысалы, 4.3BSD-да келесі мәнді орнату кезінде қолданылатын sequence number мәні әр секунд сайын 125000-ға үлкейіп тұрады. Осылайша, серверге бір дестені жібере отырып, қаскүнем жауап алады да, келесі байланыс үшін sequence number-ді болжай (мүмкін, бірнеше әрекеттен және байланыс жылдамдығын түзету арқылы) алады. Егер ТСР/ІР іске асуы sequence number-ді анықтау үшін арнайы алгоритмді қолданатын болса, онда ол серверге бірнеше ондаған дестелерді жіберу арқылы және оның жауаптарын талдау арқылы анықталуы мүмкін.

     Сонымен, В жүйесінің пайдаланушысы “rlogin A” істей алатындай және кілт сөзді енгізбей А-ның ішінде бола алатындай А жүйесі В жүйесіне сенеді деп санайық. Қаскүнем С жүйесінде орналасқан деп санайық. А жүйесі сервер ретінде, ал В және С – клиенттер болсын.

     Қаскүнемнің бірінші мақсаты – В жүйесін  тораптық сұрауларға жауап қайтара  алмайтын күйге келтіру. Бұл бірнеше әдістермен істелінуі мүмкін, ең қарапайым жағдайда жай ғана В жүйесінің қайта жүктелуін күту қажет. Ол жұмысқа жарамсыз болған бірнеше минут аралығы жеткілікті. Осыдан соң қаскүнем А жүйесіне қолжеткізу үшін (қысқа уақытқа болса да) В жүйесі болып қылымсып көре алады. Қаскүнем сервердің sequence number ағымдағы күйін анықтау үшін А жүйесіне байланысты инициалдайтын бірнеше ІР-дестелерді жібереді. Қаскүнем кері мекен-жайда В жүйесінің иекені көрсетілген ІР-дестелерді жібереді. А жүйесі В жүйесіне бағытталатын sequence number-ден дестеге жауап қайтарады. Алайда В жүйесі оны ешқашан алмайды (ол істен шығарылған), сол сияқты қаскүнем де. Бірақ ол алдындағы талдаудың негізінде В жүйесіне қандай sequence number жіберілгенін болжай алады. Қаскүнем В атынан шамаланған S-ACK дестесін жібере отырып, А-дан дестені “алғандығын” растайды (егер жүйелер бір сегментте орналасқан болса, онда sequence number-ді анықтау үшін қаскүнемге А жүйесімен жіберілген дестені ұстап қалу жеткілікті болатынын белгілеп кету қажет). Осыдан соң, егер қаскүнемнің жолы болып және сервердің sequence number дұрыс табылған болса, онда байланыс орнатылған болып саналады. Енді қаскүнем кезекті жалған ІР-дестені жібере алады, қайсында енді деректер бар болады. Мысалы, егер шабуыл rsh бағытталған болса, онда оның құрамында .rhosts файлды құру командасы немесе қаскүнемге электронды почта арқылы  /etc/passwd жіберу бар болуы мүмкін.

     Қарсы әрекеттер: IP-spoofing-тің қарапайым сигналы ретінде ішкі дүниеден келген ішкі мекендері бар дестелер болады. Бағдарғылауыштың программалық қамтамасы ол туралы әкімшіні хабарлар ете алады. Алайда азғыруға болмайды – шабуыл сіздің торабыңыздың ішінен де жүргізілуі мүмкін. Торапты басқару құралдарын парасаттау пайдалану жағдайында әкімші қол жетпес күйде тұрған жүйелерден бастап дестелерді қадағалай алады (автоматты режимде). Алайда, қаскүнемге ІСМР-дестеге жауап қайтару арқылы В жүйесінің жұмысын еліктеуге не кедергі болып тұр? ІР-spoofing-ден қорғану үшін қандай әдістер бар? Біріншіден, sequence number-ді табуды қиындатуға немесе мүмкін емес етуге болады (шабуылдың кілттік элементі). Мысалы, серверде sequence number-дің өзгеру жылдамдығын өзгертуге болады немесе sequence number-дің өзгеру коэффициентін кездейсоқ таңдауға болады (кездейсоқ сандарды генерациялау үшін криптографиялық берік алгоритмді қолданған жақсы). Егер торап firewall-ды (немеес ІР-дестелердің басқа бір фильтрін) қолданған болса, онда оған ережелерді қосу қажет, қайсылар бойынша сырттан келген және біздің мекен-жайлық кеңістігінен кері мекені бар барлық дестелертораптың ішіне өтпеуі қажет. Одан басқа, машиналардың бір-біріне сенімділігін төмендету қажет. Машиналардың біреуіне суперпайдаланушы құқын ала отырып, тораптағы көршілес машинаға тікелей кіру әдістері болмау қажет. Әрине, бұл авторлауды қажет етпейтін сервистерді пайдаланудан сақтамайды, мысалы, IRC (қаскүнем Internet-тің ерікті машинасы ретінде қылымсына алады және ерікті хабарларды және т.б. жіберуші IRC арнасына кіру үшін командалар тізбегін жібере алады). ТСР/ІР хаттамасын шифрлау жалпы жағдайда IP-spoofing-тің мәселесін шешеді (криптографиялық берік алгоритмдер қолданылады деген шартта). Осындай шабуылдардың санын төмендету үшін, сондай-ақ біздің торабымызбен сыртқа жіберілген, бірақ біздің мекен-жайлық кеңістігімізге жатпайтын мекен-жайлары бар дестелерді фильтрлеу үшін firewall-ды баптауды ұсынады. 
 
 

    3 Желіаралық экран

    Желіаралық  экран – берілген ережелерге сәйкес түрлі дәрежедегі АЖӘ (OSI) үлгісінде  сүзгі және бақылау арқылы өтетін желілік дестелерді жүзеге асыратын аппараттық және бағдарламалық жабдықтардың жиынтығы. Желіаралық экранның негізгі міндеті рұқсат етілмеген қатынас құрудан компьютерлік желілерді немесе бөлек түйіндерді қорғау болып табылады.

    Брандмауэр (нем. Brandmauer)-  бұның негізгі түпнұсқасы өрттің таралып кетуінен сақтайтын қабырға дегенді білдіретін неміс тіліндегі термин болса, ағылшын тіліндегі баламасы firewall деп аталады.Ал firewall желіаралық экран мағынасына эквивалентті.

    Қазіргі уақытта барлық шығарылған ЖАЭ келесі негізгі белгілері бойынша жіктеуге болады:

а) орындалуы  бойынша: 

      1) аппараттық – бағдарламалық;

      2) бағдарламалық;

ә) АЖӘ  үлгісінің деңгейлерінде жұмыс  істеуі бойынша:

      1) сараптық деңгейдегі ретқақпа;

      2) экрандалған ретқақпа(қолданбалық);

      3) экрандалған көлік (сеанстық);

      4) экрандалған бағдарғылауыш (дестелік  сүзгі);

б) қолданылатын технологиясы бойынша:

      1)  хаттамалардың күй-жайын бақылау;

      2) делдал жекебөлшектер негізінде;

в) жалғау сұлбасы бойынша:

      1) желіні ортақ қорғау сұлбасы;

      2) қорғанылатын жабық және қорғалынбайтын  ашық сегменттері бар желі  сұлбасы;

      3) желінің жабық және ашық сегменттерін  бөлек-бөлек қорғайтын сұлба; 

    ЖАЭ-ның  жұмыс істеу саясаты брандмауэрдің  функциялай негізіне қойылған, желіаралық өзараәрекетке басқарудың қор ұстанымын тапсырады. Осындай ұстанымның екеуден біреуі таңдалуы мүмкін:

    ● Нақ рұқсат етілмегеннің бәріне тыйым салу;

    ● Нақ тыйым салғанның бәріне рұқсат ету.

    Бірінші жағдайда ЖАЭ кез келген нақ  рұқсат етілмеген желіаралық өзараәрекетті бұғаттайтындай болып пішінүйлесімдіруі керек. Осындай жүріс пұрсаттылықтың минимизация ұстанымын бара-барлыққа жүзеге асыруға рұқсатететінін есепке ала, ол қауіпсіздік көзқарасынан өте жақсы. Нақ тыйым салғанның бәріне рұқсат ету ұстанымын таңдау кезінде ЖАЭ тек нақ рұқсат етілмеген желіаралық өзараәрекетті бұғаттайтындай бапталуы керек. Бұл жағдайда пайдаланушылар жағынан желілік қызмет көрсетуді пайдалану ыңғайлылығы жоғары, бірақ желіаралық өзараәрекетке қауіпсіздігі төмен. Әкімші пайдаланушыларға рұқсат етілмеген әрекеттердің барлығын бірдей есепке алмайды.

    Корпоративті  желіаралық экрандар кеңсені немесе үйде жұмыс істейтін қызметкерді  сенімдірек қорғайды. Өкінішке орай құны бірнеше доллар тұратын желіаралық экранды қарапайым пайдаланушы немесе кез келген компания сатып ала бермейді. Корпоративті брандмауэрларға қарағанда дербес желіаралық экрандар өзінің арзандылығымен ерекшеленеді, бірақ олар әрбір компьютерге орнатылуы керек. Дербес желіаралық экрандар желілік құрылғыларды бақылайды және корпоративтік желіаралық экрандардың мынадай функцияларын жүзеге асыра алады: бұзып-енуді анықтау, қатынас құруды басқару, қауіпсіздік ережелерін орындау, оқиғаларды тіркеу. Мұндай желіаралық экран барлық желілік трафикті сүзгіден өткізіп, тек рұқсат етілген байласуларды ғана орнатып тұрады. 

    3.1 Lan2net NAT Firewall 1.95.0175 орнату және баптау 

 

3-сурет.  Lan2net NAT Firewall 1.95.0175-ті орнату

4-сурет. Типтік түрін таңдау 
 
 

     Lan2net NAT Firewall 1.95.0175-тің  7 функционалдық деңгейі:

1. Пайдалаушы.

Мұнда пайдалаушының тізімі және топтары, Firewll-дың трафик заңдылығы.

Пайдаланушылар  бөлімінде төмендегідей мүмкіндіктер бар:

• бұл бөлімде пайдаланушыны қосуға, өшіруге және редакциялауға болады;
• Әрбір топтардағы пайдаланушы туралы ақпарат көруге болады және сол күнгі немесе бірнеше күн бұрынғы, тіптен айлар алдындағы жұмыс істелген периодты көруге болады;
• Бір мезетте барлық топ пайдаланушыларына немесе тек пайдалаушыға трафиктік жеңілдік беруге болады;
• Firewall-дың жұмыс істеу трафигінің ережелерін көруге болады;
• Пайдаланушының жылдамдығын маниторда көрсетуге болады;
• Трафикке байланысты ақпаратты MS Excel-ге экспорттауға болады.

      Lan2net NAT Firewall 1.95.0175-тің жергілікті желідегі  бір компьютерге бірнеше пайдаланушыны  қосу мүмкіндігі бар. 

5-сурет. Пайдаланушы бөлімі 

2. Топтар  және пайдаланушылар құқығы

      Пайдаланушылар  өздерінің қатынау құқығына байланысты топтарға бөлінеді. Әрбір пайдаланушы  міндетті түрде қандайда топта болуы  керек. Бұл бөлімде пайдаланушының қатынау құқығын өзгертуге, анықтауға  болады және трафиктік жеңілдік беруге, желілік мекен-жайды көрсетуге болады. 

6-сурет. Топтар және пайдаланушылар құқығы бөлімі

3. Желіаралық экранның жұмы режімі

     Firewall пайдаланушылардан сырт трафиктерді  басқару және есептеу сияқты  жұмыстарды атқарады. Мысалы: желілік  трафик, web серверлік және ҒТР  серверлік трафик т.б. Бұл режім  көмегімен кез-келген трафикті  протокол  бойынша ІР мекен-жайды және порттар арқылы есептеуге болады. 

7-сурет. ЖЭ-ның жұмыс режімі бөлімі 

      4. Интерфейс бөлімі

      Бұл бөлімде желіаралық экранның әр желілік  адаптрге сәйкестірілген анық интерфейсі бар (ішкі және сыртқы). Адаптрге біреуі ғана сәйкес келеді.

      Бұл бөлімнің төмендегідей мүмкіндіктері бар:

• Кезекші интерфейске қандай адаптр таңдау керектігін біле аламыз;
• NAT өңделуін беру;
• DHCP сұраныстарына рұқсат беру.

 

8-сурет. Интерфейс бөлімі 
 
 

6. Маниторинг  бөлімі

      Бұл бөлімде қосылған белсенді пайдаланушыны  көруге, сонымен қатар желілік қосылуды және Firewall-дың қосылу ережесін көрсетеді. Бұл бөлімде белсенді падаланушылар үшін ережелер жасауға болады. Бұл ережелерді контекістік меню комендалары арқылы жасайды.

      Қосылған  пайдаланушының маниторингі

      Маниторинг  бөлімі пайдаланушының атынан ереже жасау үшін қажет.

      Қосылулар пайдаланушының ережелері ароқылы  топталады. Қосылулар бұтақ түрінде  көрсетіледі. Сонымен қатар жүйелік  қосылуларды да көрсетеді. Олар:

• System0 – тиым салынған қосылу, ешбір пайдаланушы жоқ;
• System1 – шлюз және интерфейс арасындағы транзиттік трафик;
• System2 – NAT қосылуы.

 

9-сурет. Мониторинг бөлімі 

     6. Лог журналы бөлімі

      Бұл бөлім лог файлдарды көру үшін қызмет етеді және қолайлы іздеу  үшін әр түрлі сүзгілері бар. 

10-сурет. Лог журналы бөлімі

7. Настройка бөлімі

      Бұл бөлімде Lan2net NAT Firewall 1.95.0175-тің қосымша  өңдеуінде DNS forward-ті өңдеуге болады және лог файлдардың NTLM аутентификациясы  арқылы өңделеді.

11-сурет. Настроика бөлімі 

3.2 Lan2net NAT Firewall 1.95.0175 мүмкіншіліктері 

• Трафикті  бақылау;
• Firewall көмегімен желіні сенімді түрде қорғау;
• Ережелер тізбегі арқылы Firewall-ды оңай түрде өңдеуге болады;
• Бір ІР мекен-жайы арқылы жергілікті желіге қосылу мүмкіншілігі бар;
• Нақты уақытта трафикті өте дәлдікпен есептейді;
• Нақты уақытта маниторингтік қосылыу – бұтақтардың қосылуы және ол туралы ақпаратты және жылдамдығын көруге болады;
• Қолданушылар трафигнің статистикалық жүйесі;
• QoS түрлерін қолдану арқылы каналды қайта іске қосуды динамикалық басқару қажет;
• Қолданушыларды аутентификациялаудың әртүрлі әдістері, оның ішінде NTLM – аутентификация;
• Қолданушылар үшін жеңілдік трафиктері;
• Қолданушы жұмысының әр сағаттағы кестесі;
• Интернеттен жергілікті желі ресурстарына организациялық рұқсат беру;
• Port mapping (порттарды белгілеу);
• DNS forward (DNS сұраныстарды қайта бағыттау);
• Желілік интерфейстерді қолдау;
• Лог файлды текістік түрде сақтау мүмкіндігі бар, аналогы Kerio WinRoute;
• MS Excel-ге статистиканы жіберу.