Қазақстан республикасы ғылым және жоғары білім министрлігі

Лекция №11. Аутентификациялау. Ортақ құпиялы кілтке негізделген аутентификация

жүктеу/скачать 2.12 Mb. бет 33/39 Дата 12.11.2022 өлшемі 2.12 Mb. #464656 түрі Білім беру бағдарламасы

Лекция №11. Аутентификациялау. Ортақ құпиялы кілтке негізделген аутентификация Желілік қауіпсіздік ресурстарға рұқсатсыз қол жеткізуден немесе желілік трафикке басқару элементтерін қолдану арқылы шабуылдан қорғау процесі ретінде анықталуы мүмкін. Мұндағы мақсат тек рұқсат етілген трафикті шешу болып табылады. Желіге қатынауды бақылау. Желіге қатынауды бақылау-белгілі бір құрылғылардан және виртуалды желіден белгілі ішкі желілерден қосылу процесі. Желіге қатынауды басқару кезінде виртуалды машиналар мен қызметтерге бекітілген пайдаланушылар мен құрылғыларға ғана рұқсат беріледі. Қол жетімділікті бақылау механизмдері виртуалды машинаға немесе қызметке қосылуға рұқсат беру не тыйым салу туралы шешім қабылдауға негізделген. Желіге қатынауды бақылаудың бірнеше түрі қолданылады: * Желілік деңгейді бақылау * Маршруттарды басқару және мәжбүрлі туннелдеу * Виртуалды желілердің қауіпсіздік құрылғылары Желілік деңгейді бақылау. Кез келген қауіпсіз өрістету желіге қатынауды бақылаудың белгілі бір деңгейін талап етеді. Желіге қатынауды бақылау виртуалды машинаның қажетті жүйелермен өзара әрекеттесуін шектеуге бағытталған. Басқа әрекеттестік әрекеттері бұғатталады. Желі қауіпсіздігі ережелері (NSG). Егер базалық желілік деңгейде(IP мекенжайы және TCP немесе UDP хаттамалары негізінде) қатынауды бақылау қажет болса, желі қауіпсіздігі топтарын (NSGs) пайдалануға болады. NSG-бұл 5 кортеж бойынша қатынауды бақылауға мүмкіндік беретін күйін қадағалайтын пакеттерді сүзуге арналған базалық брандмауэр. Желі қауіпсіздік топтары басқаруды жеңілдету және баптау қателіктерін азайту үшін функционалдылықты қамтиды. Маршруттарды басқару және мәжбүрлі туннелдеу. Виртуалды желілерде маршруттауды басқару өте маңызды. Егер маршрутизация дұрыс орнатылмаса, виртуалды машинада орналастырылған қосымшалар мен қызметтер әлеуетті зиянкестерге тиесілі жүйелерді қоса алғанда, авторизацияланбаған құрылғыларға қосылуы мүмкін. Мәжбүрлі туннелдеу-бұл қызметтерге интернет құрылғыларына қосылуға тыйым салуға мүмкіндік беретін механизм. Интерфейсті веб-серверлер веб-түйіндерден сұрау салуға жауап беруі тиіс, сондықтан интернеттегі трафиктерге осындай веб-серверлерге енуге рұқсат етіледі, және оларға өз кезегінде жауап беруге рұқсат етіледі. Интерфейстік веб-сервер Шығыс сұранысын бастамауы тиіс. Мұндай сұраныстар қауіпсіздік жүйесіне қауіп төндіруі мүмкін, өйткені бұл қосылыстар зиянды программаларды жүктеу үшін пайдаланылуы мүмкін. Мұндай жағдайды болдырмау үшін мәжбүрлі туннелдеуді пайдалануға болады. Мәжбүрлі туннелдеу қосылған кезде Интернетке барлық қосылыстар жергілікті шлюз арқылы мәжбүрлі түрде орындалады. Мәжбүрлі туннелдеуді пайдаланушы анықтаған маршруттарды пайдалана отырып реттеуге болады. Виртуалды желілердің қауіпсіздік құрылғылары. Желі қауіпсіздігі топтары, пайдаланушы анықтаған маршруттар мен мәжбүрлі туннелдеу OSI моделінің желілік және транспорттық деңгейлерінде қауіпсіздік деңгейін ұсынады, бірақ кейде жоғары деңгейде қорғауды қамтамасыз ету қажеттілігі туындайды. Мысалы, қауіпсіздік талаптарында келесі талаптар қамтылуы мүмкін: * Қосымшаға қол жеткізу рұқсатының алдында аутентификация және авторизация жасау * Шабуылдарды анықтау және әрекет ету * Жоғары деңгейлі хаттамалар үшін қолданбалы деңгейде тексеру * URL мекенжайын фильтрлеу * Желілік деңгейде вирустардан және зиянды программалардан қорғау бағдарламалары * Робот-программалардан қорғау * Қосымшаларға қатынауды бақылау * DDoS шабуылдарынан қосымша қорғаныс DDoS шабуылынан қорғау. "Қызмет көрсетуден бас тарту" (DDoS) түріндегі таратылған шабуылдар — бұл өз қосымшаларын әдетте бұлтқа ауыстырған клиенттерде кездесетін қолжетімділік пен қауіпсіздіктің ең ірі қатерлерінің бірі. DDoS-шабуылдың мақсаты қарапайым пайдаланушылар үшін қол жетімсіз болу үшін қосымша ресурстарын жою болып табылады. DDoS шабуылын Интернет арқылы көпшілікке қол жетімді кез келген соңғы нүктеге жіберуге болады. Танымал қорғаныс механизмдері DDoS шабуылдарынан қорғауды ұсынады. Ол тегін жеткізіледі және әрқашан нақты уақыт режимінде желілік деңгейдегі кең таралған шабуылдардан мониторинг пен қорғауды қамтиды. Front Door қызметі. Front Door қызметі жаһандық веб-трафик маршрутизациясын анықтауға, басқаруға және қадағалауға мүмкіндік береді.Ол өнімділік пен қолжетімділік деңгейін арттыру үшін трафикті бағыттауды оңтайландырады. Front Door HTTP/HTTPS жұмыс жүктемесін клиенттің IP мекен-жайлары, ел коды және http протоколы параметрлерінің негізінде әр түрлі қауіптерден қорғау үшін қолжетімділікті басқару үшін веб-қосымшалардың брандмауэрінің жеке ережелерін (WAF) жасауға мүмкіндік береді. Сонымен қатар, Front Door зиянды боттардан қорғау үшін жылдамдықты шектеу ережелерін жасауға мүмкіндік береді, SSL жеңілдетуді, HTTP және HTTPS жеке сұраныстарын өңдеуді, сондай-ақ қосымшалар деңгейінде өңдеуді қолдайды. Front Door платформасын қорғау үшін "базалық"санатындағы DDoS шабуылдарынан қорғау қолданылады. Қосымша ретінде виртуалды желілерге "стандартты" санатындағы DDoS шабуылдарынан қорғауды қосуға және ресурстарды автоматты реттеу және тәуекелдерді жою арқылы желілік шабуылдардан (TCP/UDP) қорғауға болады. Front Door қызметі-7 деңгейлі кері прокси сервері, ол әдепкі бойынша веб-трафикті тек ішкі серверлерге өткізіп, трафиктің басқа түрлерін бұғаттайды. Желіаралық экрандар. Желіаралық экран, желілік экран-берілген ережелерге сәйкес ол арқылы өтетін желілік трафикті бақылау мен сүзуді жүзеге асыратын компьютерлік желінің бағдарламалық немесе бағдарламалық-аппараттық элементі. Оларды Брандма́уэр (нем. Brandmauer — противопожарная стена), Файрво́л Firewall — противопожарная стена) деп те атайды. Желіаралық экранды таңдау критерийлері әдетте үш негізгі аймаққа бөлінеді: * қауіпсіздік функциялары, * басқару ыңғайлылығы, * өнімділік. Қауіпсіздік жүйесінің функционалдық элементтері қорғаныс жүйесінің тиімділігіне және сіздің команданың желідегі түрлі қосымшалардың жұмысына байланысты тәуекелдерді басқару қабілетіне әсер етеді. Әрбір ұйым желіаралық экранды таңдау өлшемдері арасында өз талаптары мен басымдықтарын ұсынады. Қазіргі таңда желіаралық экранның 10 міндетті функцияларын атап көрсетуге болады: 1. Кез келген порт бойынша қосымшаларды сәйкестендіру және бақылау 2. Қорғауды айналып өту әрекеттерін анықтау және бақылау 3. Шығыс SSL және басқару SSH трафигін шешу 4. Қосымшалардың функцияларын және олардың ішкі қосымшаларын бақылау 5. Беймәлім трафикті басқару 6. Барлық қосымшалар, барлық порттар бойынша вирустар мен зиянды программаларды анықтау мақсатында сканерлеу 7. Барлық пайдаланушылар мен құрылғыларға арналған қосымшаларды визуализациялау мен бақылаудың бірдей деңгейін қамтамасыз ету 8. Қосымшаларды бақылау функциясын қосу арқылы желі қауіпсіздігі жүйесін жеңілдету 9. Қосымшалардың қауіпсіздік жүйесі толығымен қосылған кезде сол өткізу қабілеті мен өнімділігін қамтамасыз ету 10. Аппараттық және виртуалды формадағы желіаралық экранның мүлдем бірдей функцияларын қолдау Желіаралық экран барлық порттарда программаларды тұрақты сәйкестендіру мен басқаруды қамтамасыз етуі тиіс. жүктеу/скачать 2.12 Mb. Достарыңызбен бөлісу: