CC BY
3INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
МАЪЛУМОТЛАР УЗАТИШ ТАРМОЦЛАРИДАН ФОЙДАЛАНА ОЛИШНИ БОШЦАРИШ УСУЛЛАРИНИНГ ТА^ЛИЛИ Ш.Ю. Джаббаров
Мухаммад ал-Хоразмий номидаги ТАТУ, "МУТ ва Т" кафедраси доценти,т.ф.н.
https://doi.org/10.5281/zenodo.7857611
Abstract. In this article the methods of access management to data transmission networks (DTN) are considered. Two basic access management mechanisms are conducted: discretionary and mandatory. The basis of the Discretionary Access Control is a matrix of access rights, in the cells of the matrix that contains the access rights of subjects to objects. Also mandatory access management is considered based on the model of the Bell-Lapadul which prohibits the transfer of right access between users. The most widespread protocols to management access to the (DTN) of remote users are protocols RADIUS and TACACS +. The advantages and disadvantages are demonstrated by analyzing of their capabilities.
Keywords: discretion, mandate, confidentiality, password, secret, security, subject, object, authentication, TACACS+, RADIUS
МУТда ахборотларни мухофаза килишга боглик булган куплаб бузиш турларидан бири рухсат этилмаган тарзда фойдалана олиш (РЭФО) хисобланади [1-3].
Улар буйича фойдалана олишни бошкариш зарурлигини тушунтириш мумкин булган куплаб сабаблар мавжуд:
- бир канча дастурий воситаларда сакланадиган шахсий характердаги ахборотларни дахлсизлигини таъминлаш;
- мухим ахборотларнинг конфиденциаллигини мухофаза килиш;
- ахборотларнинг яхлитлигини таъминлаш.
Фойдалана олишни бошкариш РЭФО олдини олишдан иборат. Фойдалана олишни бошкаришнинг лозимлиги конуний фойдаланувчилар максимал фойдалана олишга эга булишини, ноконуний фойдаланувчилар эса максимал оддий мураккаб фойдалана олишга эга булишини талаб килади.
Фойдалана олишни бошкаришнинг асосий вазифаси фойдаланувчилар учун рухсат этилган куплаб операцияларни урнатиш хисобланади. Фойдалана олишнинг иккита механизми мавжуд: дискрецион (ихтиёрий) ва мандатли (меъёрий) [2,3].
Фойдалана олишни дискрецион бошкариш асоси сатрлари субъектларга (фойдаланувчилар, жараёнлар ва бошкалар) мос келадиган, устунлари эса объектларга (файллар, каталоглар ва бошкалар) мос келадиган фойдалана олиш хукуклари матрицаси хисобланади. Матрицанинг ячейкаларида субъектларнинг объектларга фойдалана олиш хукуклари мавжуд булади.
Фойдалана олиш хукуклари матрицасининг такдим этилиш усулига боглик равишда бир нечта фойдалана олишни дискрецион назорат килишнинг ишлатилиш усулларига булинади. Энг кенг таркалган усуллар "паролли" мухофаза килиш, фойдалана олиш хукуклари руйхати (A^ess Control List - ACL), мухофаза килиш битлари хисобланади.
"Паролли" мухофаза килиш куйидаги тарзда амалга оширилади. Фойдаланувчи тизимдаги хар бир объектга фойдалана олиш учун алохида паролни ишлатади. Паролли тизимларнинг куплаб ишлатилишларида объект учун ва хар бир фойдалана олиш тури учун
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
турли пароллар мавжуд. Паролли мухофаза килишнинг кулланилишида сезиларли муаммони паролларни даврий алмаштирилиш зарурати келтириб чикаради.
ACL ёрдамида фойдалана олишни дискрецион бошкаришда хар бир объект билан уларнинг объектга фойдалана олиш хукуклари курсатиладиган фойдаланувчилар руйхати ассоциацияланади (богланади). Мос ACL фойдалана олиш объектига фойдалана олиш хакида карорни кабул килишда фойдалана олишни сураган фойдаланувчи ёки улар гурухининг идентификатори билан ассоциацияланган хукукларнинг мавжудлиги текширилади. Бу усулнинг асосий камчилиги руйхатларни кайта ишлашга катта вакт сарфланиши хисобланади.
Мухофаза килиш битлари механизми ёрдамида дискрецион фойдалана олишнинг ишлатилишида объектга фойдалана олиш рухсат этилган фойдаланувчилар руйхати урнига объект билан мухофаза килиш битлари богланади.
Мухофаза килиш битлари механизмидан фойдаланишнинг камчилиги фойдалана олишни ихтиёрий назорат килишнинг тулик ишлатилмаслиги хисобланади, бинобарин, объектга фойдалана олишни алохида фойдаланувчилар учун рухсат этиш ёки таъкиклаш керак эмас. Замонавий тизимларда фойдалана олишни назорат килиш руйхатлари ва мухофаза килиш битлари биргаликда ишлатилади.
Бир абонентдан бошка абонентга хукукларни узатишга имкон берадиган фойдалана олишни дискрецион бошкаришдан фаркли равишда фойдалана олишни мандатли бошкариш фойдаланувчилар орасида фойдалана олиш хукукларини тулик таъкиклайди. Бу мухофазаланган ахборот тизимларидаги "троян отлари" муаммосини ечишга имкон беради. Фойдалана олишни мандатли бошкариш Белл-Лападул моделига асосланган.
Белл-Лападул моделининг биринчи коидаси, "юкори даражадан укишни таъкиклаш" коидаси сифатида маълум булган коида билдирадики, Х хавфсизлик даражасидаги субъект Y хавфсизлик даражасидаги объектдан ахборотларни, агар Х Y дан устун булса укий олади.
Белл-Лападул моделининг иккинчи коидаси, "паст даражага ёзишни таъкиклаш" коидаси сифатида маълум булган коида билдирадики, Х хавфсизлик даражасидаги субъект Y хавфсизлик даражасидаги объектга ахборотларни, агар Х Y дан устун булса ёза олади.
Бу шуни билдирадики, агар Белл-Лападул моделининг коидаларини каноатлантирадиган тизимда "мутлако махфий" фойдалана олиш даражасидаги субъект синфларга булинмаган объектга ахборотларни ёзишга уринса, у холда бундай фойдалана олишга рухсат этилмайди.
Битта файл ва битта жараён махфий эмас, бошка файл ва жараён махфий хисобланади.
Фойдалана олишни бошкариш усулларининг самарадорлиги тизимда ишлатиладиган аутентификациялаш воситаларининг самарадорлигига боглик.
Айникса, узок масофадаги фойдаланувчиларни аутентификациялаш курсаткичларига талаблар юкори булиши керак. Бу шунга богликки, локал фойдаланувчилардан фаркли равишда узок масофадаги фойдаланувчилар фойдаланганда физик назорат килиш жараёнидан утмайди, бу тармок ресурсларига факат конуний фойдаланувчиларни фойдалана олишини таъминлашни мураккаблаштиради. Бундан
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
ташкари, узок масофадан фойдаланишда нафакат фойдаланувчилар, балки курилмаларни хам аутентификациялаш зарур.
Узок масофадаги фойдаланувчиларнинг МУТдан фойдалана олишини назорат килишнинг энг кенг таркалган протоколларига RADIUS (Remote Authentication Dial-In User Service - фойдаланувчиларни богланадиган линиялар буйича масофадан аутентифкациялаш тизими) ва TACACS+ (Terminal Access Controller Access Control System - масофадан фойдаланишни марказлаштирилган назорат килиш тизими) протоколлари киради.
RADIUS уз асосида UDP (User Data Protocol - фойдаланувчининг маълумотларини узатиш) протоколини ишлатади, шунинг учун у нисбатан тез ишлайди, муаллифлаштириш жараёни аутентификациялаш жараёни контекстида булиб утади. RADIUS ва сервернинг ишлатилиши мижозларга бир жараёнли хизмат курсатишга (куп жараёнли булиши мумкин булсада), етарлича чекланган аутентификациялаш турлари сонини куллаб-кувватлайди ва уртача мухофазаланганлик даражасига эга.
TACACS+ протоколи ТСР (Transport Control Protocol - узатишларни бошкариш) протоколини ишлатилишига асосланган, шунинг учун RADIUS протоколидан секин ишлайди, лекин жараёнларни мульти жараёнли кайта ишлашни (вактнинг хар бир моментида бир нечта фойдаланувчиларга хизмат курсатилиши мумкин) олиб боришга имкон беради ва юкори мухофазаланганлик даражасига эга.
RADIUS протоколи йукотиладиган пакетлар 5...10% дан кам буладиган тармокларда самарадор булади, бошка тармокларда TACACS+ протоколи ишлатилади.
^андайдир сервердан фойдалана олиш учун RADIUS протоколи битта суровни кайта ишлайди (аутентификациялаш - суров, жавоб), TACACS+ протоколи эса иккита суровни кайта ишлайди (аутентификациялаш ва муаллифлаштириш), лекин бунда TACACS+ протоколи ишлатилганида бошка сервердан фойдалана олиш имконияти мавжуд.
Шифрлашда RADIUS протоколи паролда факат clear text шифрланади, колган бутун пакет "очик" колади (хавфсизлик нуктаи назаридан хатто фойдаланувчининг номи жуда мухим параметр булсада).
TACACS+ протоколида пакетнинг факат сарлавхаси очик (хеч кандай кимматли ахборотни ташимайдиган) колади, пакетнинг бутун танаси эса шифрланади.
Бирок, TACACS+ протоколида унча катта булмаган заифлик хам бор: TACACS+ протоколи хужжатлаштиришда outbound (яъни ташки) дейиладиган муаллифлаштиришни куллаб-кувватлайди, яъни фойдаланувчини аутентификациялаш керакми ёки керак эмасми карорини мижознинг узи кабул килади.
TACACS+ протоколида суровни кайта йуналтириш имконияти йук. RADIUS протоколи эса бундай имкониятга эга. RADIUS-сервер суровни бошка RADIUS-серверга кайта йуналтиришни билади. Шундай килиб, RADIUS протоколи ихчам таксимланган тизимни лойихалаштиришга имкон беради.
RADIUS ва TACACS+ протоколлари такдим этадиган имкониятлар 1-жадвалда келтирилган.
1-жадвал
RADIUS ва TACACS+ протоколла] ини таккослаш
RADIUS TACACS+
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
Базавий UDP TCP
протокол
Ишлатиладиган сервислар Аутентификациялаш, муаллифлаштириш ва хисобга олиш бирлаштирилган Аутентификациялаш, муаллифлаштириш ва хисобга олиш алохида
Хавфсизлик Факат пароллар шифрланади. Маълумотлар базасидаги пароллар очик куринишда сакланади Серверлар ва мижозлар орасидаги барча пакетлар шифрланади. Маълумотлар базасидаги пароллар шифрланиши мумкин
Суровни кайта йуналтириш имконияти Бор Йук
Куриб чикилган протоколларнинг самарадорликларини нисбий тахлил килиш максадида РЭФОдан мухофаза килиш воситасининг дастурини дешифрлаш учун бузгунчига зарур буладиган уртача вактни бахолашга боглик булган хисоблашлар амалга оширилган.
Дастурни дешифрлаш учун Т уртача вакт куйидагича аникланади [3,4]:
T = 3 х n х
N2 х log2 7
4XS
(1)
бу ерда n - тизим ишлатадиган серверлар сони; N - кандайдир тилда ёзилган дастур матнининг узунлиги, бит; П - дастур матни тилининг алфавити;
S - Страуд сони (секундига S=4^20 операциялар), бузгунчи бир вактда иш олиб бориши мумкин булган объектлар сонини характерлайди. RADIUS учун:
T = 3 х
100 002х log2 256
4 х 20 TACACS+ учун:
T = 3 х
105002 х log2 256
=30000000с»347 кун
=33075000с»383 кун
4 х 20
Демак, ахборотларни мухофаза килиш воситасининг дастурини расшифровка килиб булмаслик эхтимоллилигини куйидаги формула буйича хисоблаш мумкин:
ß
P =
ß +
1 '
(2)
буерда ß - Пуассон конуни била тавсифланадиган 0,001 га тенг булган параметр. Ахборотларни мухофаза килиш воситасининг дастурини расшифровка килиб булмаслик эхтимоллилигини хисоблаймиз: RADIUS учун:
INTERNATIONAL SCIENTIFIC AND TECHNICAL CONFERENCE "DIGITAL TECHNOLOGIES: PROBLEMS AND SOLUTIONS OF PRACTICAL IMPLEMENTATION IN THE SPHERES" APRIL 27-28, 2023
P =-^-= 0,999967
0,001 +
300000000
TACACS+ учун:
P =_0'00\ = 0,99997
0,001 +-
33075000
Хулоса килиб шуни айтиш мумкинки мухофаза килиш воситасининг дастурини дешифрлаш учун бузгунчига зарур буладиган уртача вактнинг богликлик тахлили курсатдики, бузгунчига расшифровка килиш учун уртача бир йил зарур булади.
Узок масофадан фойдалана олиш протоколларининг нисбий таккослаш натижаси шуни курсатадики, TACACS+ протоколи RADIUS протоколига караганда кенгрок имкониятлар тупламига ва юкори мухофазаланганлик даражасига эга. Лекин, RADIUS протоколи кулайлиги ва тез ишлаши сабабли кенг кулланилади.
REFERENCES
1. Устинов Г.Н. Информационная безопасность систем и сетей передачи данных. Учебное пособие. Серия «Безопасность». - М.: СИНТЕГ, 2000, 248 с.
2. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах. М.: ДМК. Пресс. 2002, 286 с.
3. Щеглов Ю.А. Защита компьютерной информации от несанкционированного доступа. - Санкт-Петербург.: Наука и Техника. 2004, 384 с.
4. Р.Х. Джураев., Ш.Ю. Джаббаров. Телекоммуникацияларда ахборот хавфсизлиги. Маърузалар туплами. ТАТУ, 2014. 301 б.
