2009-11-30

Галт хэрэмийн талаар...

Сүүлийн үед мэдээллийн технологийн хэрэглээ нэмэгдэж, илүү өндөр чухал түвшинд ашиглагдахын хэрээр түүний аюулгүй байдлын асуудлууд их чухлаар тавигдаж эхэлж буй бололтой. Эргэн тойронд хүмүүс сүлжээ, серверийнхээ аюулгүй байдал, хамгаалалтыг хэрхэн сайжруулах талаар ярих нь улам нэмэгдээд ч байгаа юм шиг эсвэл би өмнө нь анзаардаггүй байсан юм болов уу. Ямар ч байсан үүнд анхаардаг болсон нь сайн хэрэг ч галт хэрэм буюу firewall-ын талаар ойлголт миний ойлгодгоос арай л өөр байгаад байх шиг. Иймд би өөрийн ойлголтын талаар аль болох энгийнээр хийсвэрлэн бичихээр шийдлээ.

Мэдээллийн сүлжээ болон интернэтээр урсаж буй мэдээлэл нь анх харахад хялбар юм шиг боловч цаанаа маш нарийн зохицуулалтууд явагдаж байдаг. Жишээ нь, хаяглалт. Гудамж талбай, тодорхой байршил нь Монгол Улс, Улаанбаатар хот, Сүхбаатар дүүрэг гэх мэт өөрийн гэсэн хаягтай байдагтай адил сүлжээнд ажиллаж буй ямар ч төхөөрөмж өөрийн гэсэн хаягтай байдаг бөгөөд үүнийг IP хаяг гэж нэрлэдэг. IP хаяг нь цэгээр таслагдсан 0-255 хүртэл 4 тоогоор илэрхийлэгддэг ба 192.168.0.1 маягаар харагддаг. Бидний мэдэх аль ч хөдөлгөөн эхлэх цэг болон дуусах цэг гэж байдагтай адилаар сүлжээн дахь мэдээллийн буюу битийн хөдөлгөөн нь эхлэх болон очих хаяг гэж байдаг ба IP хаягаар илэрхийлэгддэг. Энэ хаягийн тусламжтайгаар сүлжээнд ажиллаж буй төхөөрөмжүүд нь мэдээллийг өөрт зориулагдсан эсэхийг ялгаж зарим нь цааш дамжуулах гэх мэт нарийн ажлуудыг гүйцэтгэнэ. Дараагийн ойлгох ёстой чухал зүйл бол порт юм. Ус дамжуулах хоолойтой зүрлэж болох юм уу даа. Усны хоолой нь халуун усны, хүйтэн усны, халаалтын буюу паарны, бохирын гэж тус тусдаа байдаг, тус тусаар нь өөр өөр ус гойждог шиг интернэтэд буй үйлчилгээ бүр нь өөрийн гэсэн портоор дамжиж хэрэглэгчид хүрдэг. Жишээ нь, ямар вэб үзэж байгаагаас үл хамааран бид 80-р порт, хэнд ямар захидал илгээж буйгаас үл хамааран цахим захидал дамжуулахад 25-р порт ашиглагддаг. Бас нэг чухал ойлголт нь дамжуулах протокол буюу TCP UDP-ийн талаар ойлголт юм. Сүлжээгээр дамжиж буй зарим мэдээлэл очих эзэндээ бүрэн бүтэн очих шаардлагатай байдаг бол зарим нь үгүй. Бүрэн бүтэн очих шаардлагатай үед TCP-г ашиглах бөгөөд мэдээллийн эд ширхэг бүрийг бүрэн бүтэн очсон эсэхийг тусгай технологийн тусламжтайгаар нарийн шалгах ба дутсан зүйл байвал нөхөх зорилгоор дахин илгээдэг. Өөрөөр хэлбэл таны үзэж буй вэб хуудасны үсэг дутуу, зураг нь баларчихсан байхыг хүсэхгүй биз дээ. Гэхдээ энэ шалгалт, дахин дамжуулалт нь дамжуулах хурдыг бууруулж, зарим нөхцөлд тийм ч тохирдоггүй тул UDP ашиглах хэрэг гардаг. UDP дээр мэдээллийн эд эс бүрийг очсон эсэхийг шалгахгүйгээр зүгээр л ус шүршиж буй мэт дамжуулж орхидог. Энэ нь ихэвчлэн дуу дүрс дамжуулахад тохиромжтой байдаг.

Буруу ойлголтыг залруулах нь. Вэб маань халдлагад өртчихлөө вэбийнхээ хамгаалалтыг сайжруулах хэрэгтэй байна, галт хэрэм хэрхэн суулгавал хамгаалах вэ, СПАМ их ирэх юм галт хэрэм суулгаж хаах хэрэгтэй байна гэх мэт ярьж байхыг бас надаас асууж байхыг олон удаа сонссон. Эдгээр тохиолдлуудад галт хэрэм огт тус болохгүй, галт хэрэм нь арай өөр зориулалттай. Галт хэрэм нь зөвхөн холболт хэнээс хэн рүү, ямар портоор бас TCP эсвэл UDP үү гэдэг дээр үндэслэж зөвшөөрөх эс зөвшөөрөх шийдвэрийг гаргадаг. Өөрөөр хэлбэл хэнээс хэн рүү холболт тогтоож, ямар хоолойгоор яаж (TCP/UDP) мэдээлэл дамжуулах талаар л зохицуулалт хийдэг. Гэвч тэрхүү хоолойгоор ямар мэдээлэл урсаж байгааг огт хянадаггүй бас боломжгүй юм. Энэ нь бид халуун усны цорго нээхэд халуус ус тасраад хүйтэн ус гоожиж байна уу, эсвэл зэвтэй байна уу гэдгийг хянах боломжгүйтэй адил юм. Ямар мэдээлэл дамжиж байгааг хянахын тулд тухайн интернэтийн үйлчилгээнд тохирсон технологиудыг сонгож ашиглах хэрэгтэй болдог. Тиймээс галт хэрэм нь хамгаалалт мөн боловч бүх зүйлээс хамгаалах бүрэн хэмжээний хамгаалалт биш юм шүү.

11 comments:

Н.Цэцболд said...

Их гоё бичлэг байна аа. Усны хоолойгоор жишээ авсан нь ойлгоход минь илүү тусламж боллоо. :-)

Залуха said...

Тун сайхан бичсэн байна. Манай салбарын бус хүн ч гэсэн ойлгохоор их энгийн болжээ. Олон хүнд тус болох байх :)

Xacaa said...

Маш их төсөөллийг олж авлаа. Баярлаа :)

Anonymous said...

унн... дунд дүн тавья даа

Дөлмандах said...

firewall-г хэрхэн зөв орчуулах талаар мэтгэлцээн энд өрнөж байна.

Anonymous said...
This comment has been removed by a blog administrator.
Anonymous said...

http://ochko.blogspot.com/2007/02/blog-post_21.html

М. Эрдэнэчимэг said...

firewall =хамгаалалтын хана,
firewalled server=хамгаалалтын ханатай сервер,
firewall router=хамгаалалтын ханатай чиглүүлэгч,
application layer firewall = хэрэглээний давхарга хамгаалалтын хана,
proxy-based firewall=прокси-д суурилсан хамгаалалтын хана,
application firewalls =хэрэглээний хамгаалалтын хананууд (програмууд)

гэсэн санаа ямар байна

khashochir said...

ажиллагааны хувьд хэрэм гэдэг нь илүү хамгаалалт талдаа сонсогдож байна харин ,эвтэйхэн байлгах талаас нь юм уу "wall" гэдэг үгээр нь орчуулбал хана гэж орчуулж болох юм .
тэгэхдээ миний бодлоор хэрэм=51% ,
хана=49% өгөх байна

Shijirbayar said...

sain baina uu. tanid ene odrin mendig hurgie. tanig serverin administrator gej sonsson yumaa. nadad neg jsp ajilluulah host hereg bolood baina. tanitai yaj holboo barih gesen yum. mesenger hayagaa ugch tus bolohgui yu.

Дүүдээ said...
This comment has been removed by the author.