Oʻzbеkiston rеspublikasi axborot tеxnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi

140 
Nazorat savollari
1.
Autentifikatsiyalash tushunchasiga ta’rif bering? 
2.
Avtotizatsiyalash tushunchasiga ta’rif bering? 
3.
Identifikatsiyalash tushunchasiga ta’rif bering? 
4.
TACACS va RADIUS protokollarini taqqoslang? 
5.
Hisobga olish (Accounting) deganda nimani tushunasiz? 
6.
RADIUS xabarlarini uzatish uchun qaysi protokol 
ishlatiladi? 
7.
UDP protokolining ishlash tamoyilini tushuntiring 
11-LABORATORIYA ISHI 
DHCP SNOOPING – XAVFSIZLIK TEXNOLOGIYASI 
Ishdan maqsad: 
DHCP Snooping xavfsizlik texnologiyalarini 
sozlash boʻyicha nazariy bilim va amaliy koʻnikmalarni shakllantirish. 
Nazariy qism 
Tarmoqdagi kompyuterlarni aniqlash uchun ularga IP-manzillar 
beriladi. IP-manzillarni ikkita usul orqali berish mumkin. 
Statik IP-manzil.
Bunday holda, tarmoqdagi har bir kompyuter 
uchun IP-manzilni, qismtarmoq maskasini va boshqa TCP / IP 
parametrlarini qoʻlda kiritish kerak. 
Dinamik IP-manzil.
Tarmoqqa ulanganda kompyuter TCP / IP 
sozlamalarini avtomatik ravishda oladi. Buning uchun tarmoqdagi 
kompyuterlardan biri DHCP-server funksiyasini bajarishi kerak, ya'ni 
barcha yangi ulangan kompyuterlarga IP-manzillarni "tarqatishi" 
kerak. 
DHCP 
(Dynamic Host Configuration Protocol ) - bu tarmoq 
qurilmalariga TCP / IP tarmogʻida ishlash uchun zarur boʻlgan IP-
manzil va boshqa parametrlarni avtomatik ravishda olish imkonini 
beradigan dasturiy sath protokoli. Ushbu protokol mijoz-server 
modeliga muvofiq ishlaydi. Avtomatik konfiguratsiya uchun mijoz 
kompyuter tarmoq qurilmasini sozlash bosqichida DHCP-server deb 
nomlanadi va undan kerakli parametrlarni oladi. Tarmoq ma'muri 
server tomonidan kompyuterlar oʻrtasida tarqatiladigan manzillar 
oraligʻini oʻrnatishi mumkin. Bu tarmoq kompyuterlarini qoʻlda 

141 
sozlashdan saqlaydi va xatolarni kamaytiradi. DHCP koʻplab TCP / IP 
tarmoqlarida qoʻllaniladi. 
DHCP - bu yuklash vaqtida disksiz ish stansiyalarini bilan 
ta'minlash uchun ilgari ishlatilgan BOOTP protokolining kengaytmasi 
sifatida ishlatiladi.
DHCP IP-manzillarni tarqatishning uchta usulini taqdim etadi: 
• 
Qoʻlda tarqatish.
Ushbu usul bilan tarmoq ma'muri har bir 
mijoz kompyuterining apparat manzilini (Ethernet tarmoqlari uchun 
bu MAC-manzil) ma'lum bir IP-manzil bilan bogʻlaydi. Darhaqiqat, 
manzillarni taqsimlashning bu usuli har bir kompyuterni qoʻlda 
sozlashidan farq qiladi, chunki manzillar haqidagi ma'lumotlar 
markazlashtirilgan holda saqlanadi (DHCP-serverda) va shuning 
uchun agar kerak boʻlsa, ularni oʻzgartirish osonroq. 
• 
Avtomatik tarqatish
. Ushbu usul yordamida har bir 
kompyuterga 
ma'mur 
tomonidan 
doimiy 
foydalanish 
uchun 
belgilangan oraliqdan avtomatik ravishda IP-manzil ajratiladi. 
• 
Dinamik ajratish.
Ushbu usul avtomatik ajratishga oʻxshaydi, 
faqat manzil kompyuterga doimiy foydalanish uchun emas, balki 
ma'lum bir muddat uchun beriladi. Bunga manzilni ijaraga berish 
deyiladi. Ijara muddati tugagandan soʻng, IP-manzil yana boʻsh 
hisoblanadi va mijoz yangisini talab qilishi shart (ammo u oldingisi 
bilan bir xil boʻlishi mumkin). Bundan tashqari, mijoz oʻzi qabul 
qilingan manzilni rad qilishi mumkin. 
Ba'zi DHCP xizmatlari, ularga yangi manzillar ajratilganda, 
mijoz kompyuterlariga mos keladigan DNS yozuvlarini avtomatik 
ravishda yangilashga qodir. Bu DNS-ni yangilash protokoli yordamida 
amalga oshiriladi. 
DHCP IP manzilidan tashqari mijozga tarmoqning normal 
ishlashi uchun zarur boʻlgan qoʻshimcha parametrlarni ham taqdim 
etishi mumkin. Ushbu parametrlarga DHCP parametrlari deyiladi. 
Koʻproq ishlatiladigan ba'zi bir parametrlar quyidagilar: 
• marshrutizatorning IP-manzili; 
• qismtarmoq maskasi; 
• DNS-server manzillari; 
• DNS domen nomi. 
Ba'zi dasturiy ta'minot ishlab chiqaruvchilari oʻzlarining 
ixtiyoriy DHCP parametrlarini belgilashlari mumkin. 

142 
Kanal sathi texnologiyalari lokal tarmoqlarning asosini tashkil 
etadi, shuning uchun ularning ishi xavfsizlikni ta'minlash umuman 
tarmoq xavfsizligining tamal toshi hisoblanadi, chunki tajovuzkor 
ushbu darajadagi buzish orqali yuqori sath himoya choralarini chetlab 
oʻtish imkoniyatini qoʻlga kiritadi. 
Faol tajovuzkorning vazifasi ma'lum manbalarga kirish yoki 
tarmoqning normal ishlashini buzish (xizmatni rad etish). Tajovuzkor 
lokal tarmoqda yoki hujumlarni amalga oshirish uchun vositachidan 
foydalanmoqda deb taxmin qilish mumkin. Odatda bir nechta 
hujumlar birgalikda amalga oshiriladi; birining muvaffaqiyati 
keyingisining muvaffaqiyati uchun asos tayyorlayotgan boʻlishi 
mumkin. 
Muvaffaqiyatli hujum natijalariga qarab, tahdidlarning bir 
nechta turlarini ajratish mumkin: 
1. Axborotni shaffof ushlash maqsadida qalbakilashtirish; 
2. Ba'zi bir tizim resurslari uchun xizmatni rad etish; 
3. Tarmoq boʻlimlariga ruxsatsiz kirish; 
4. Tarmoqning yoki uning boʻlimlarining toʻgʻri ishlashini 
buzish. 
Aksariyat hujumlar "sun'iy" ravishda emas, ular kanal sathi 
protokollarining standart xatti-harakatlariga asoslanadi, ya'ni ularni 
amalga oshirish imkoniyati tarmoq infratuzilmasini beparvolik bilan 
loyihalashning natijasida paydo boʻladi. 
Xost-mijozdan birinchi DHCP Discover xabari tarqatiladi, ya'ni 
uni tarmoqdagi barcha foydalanuvchilar, shu jumladan DHCP server 
va tajovuzkor Rogue tomonidan qabul qilinadi (11.1-rasm). Ular 
DHCP Offer boʻyicha javoblarni mijozga yuborishadi, ulardan host 
oʻziga mos keladigan narsani tanlashi kerak. Odatda, aksariyat 
tizimlarda mijoz qolganlarga e'tibor bermasdan birinchi kelgan taklifni 
tanlaydi. Shunday qilib, tarmoqda boʻshliq ochiladi: agar 
Rogue
javobi erta kelsa, hujum muvaffaqiyatli boʻladi. Server tajovuzkorga 
qaraganda mijozdan fizik jihatdan uzoqroq boʻlishi mumkin, 
shuningdek tezkorroq boʻlishi mumkin, shuning uchun muvaffaqiyatli 
hujum ehtimoli katta. 
Hujum natijalari: 
1. Tajovuzkor mijozga oʻz javobida tarmoq haqida notoʻgʻri 
ma'lumotlarni koʻrsatishi mumkin, bu esa uning keyingi ishlarini 

143 
imkonsiz boʻlishiga olib keladi, ya'ni xizmatni rad etish amalga 
oshiriladi. 
2. Koʻp hollarda DHCP mijozga standart shlyuz ma'lumotlarini 
taqdim etadi. Shunday qilib, tajovuzkor oʻzini shlyuz sifatida 
koʻrsatish qobiliyatiga ega, bu tarmoq sathida oʻrtadagi odam 
hujumini amalga oshiradi. 

Yüklə 5,01 Kb.

Dostları ilə paylaş: