Professional Documents
Culture Documents
340
ლოკალური კომპიუტერების დაცვა ქსელური ჭიებისაგან (Worm) ან მომხმარებლის კომპიუტერზე
რაიმე პროგრამის ინტერნეტთან წვდომის აკრძალვა. ამიტომ კომპიუტერზე პერსონალური
ფაიერვოლის გარეშე მუშაობა უბრალოდ არ შეიძლება.
ფაიერვოლების გამოყენება აუცილებელია კომპიუტერისათვის. როგორც კი კომპიუტერი
დაკავშირდება საზოგადო ქსელში (public Network), ავტომატური პროგრამა-სკანერები იწყებენ მისი
ქსელური ინტერფეისის შემოწმებას, რათა იპოვონ დაუცველი ადგილები შემოჭრისათვის. დღეი-
სათვის მომხმარებლები ხშირად იყენებენ საზოგადო ქსელს (public Network), WiFi-ს კაფეში ან
აეროპორტში. უფასო WiFi ქსელში ჩართვისას, ვერ იქნებით დარწმუნებულნი, რომ ვინმე არ
ცდილობს პორტების სკანირებას, რათა აღმოაჩინოს დაუცველი ადგილები თქვენს კომპიუტერში.
ფაიერვოლი აუცილებელია მუდმივად, არამარტო საზოგადო ქსელში (public Network) ჩართვისას,
არამედ ასევე კორპორაციულშიც, რადგან ყოველთვის არსებობს კომპიუტერში შემოჭრის რისკი.
Windows-ის ფაიერვოლი უზრუნველყოფს კომპიუტერის უსაფრთხოებას, ის იცავს მას
ოფისის დაცულ ქსელთან (Private Network) ან საზოგადო ქსელთან (public Network) კაფეებსა და
აეროპორტებში მიერთებისას.
ფაიერვოლები განსაზღვრავენ ქსელურ ტრაფიკს მომართული წესების ერთობლიობის
საფუძველზე. ეს წესები ცნობილია როგორც გამონაკლისები (Exception). როცა ტრაფიკი ხვდება
ფაიერვოლით დაცულ ქსელურ ინტერფეისზე, ფაიერვოლი გაანალიზებს და წესების შესაბამისად
გაატარებს ან დაბლოკავს მას. Windows-ში არის ორი ფაიერვოლი: Windows Firewall და Windows
Firewall უსაფრთხოების გაძლიერებულ რეჟიმში (WFAS - Windows Firewall with Advanced Security).
მათ შორის ძირითადი განსხვავება დაკავშირებულია წესების სირთულესთან, რომლებიც მოიმარ-
თება თვითონ მოცემულ ფაიერვოლებში. Windows Firewall-ში გამოიყენება მარტივი წესები, რომ-
ლებიც პირდაპირ უკავშირდება პროგრამას ან სერვისს. WFAS-ში გამოიყენება უფრო რთული
წესები, რომლებიც ფილტრავენ ტრაფიკს პორტების, პროტოკოლების და მისამართების საფუძ-
ველზე.
ფაიერვოლის პრინციპების შესწავლისას გახსოვდეთ: თუ არ არსებობს წესი, რომელიც
კონკრეტული სახის ტრაფიკს გაატარებს, ფაიერვოლი უბრალოდ დაბლოკავს მას. ზოგადად დაშ-
ვებულია საჭირო ტრაფიკის ფაიერვოლით გატარება, თუმცა შეიძლება შეიქმნას სიტუაცია, როცა
აუცილებელია ამკრძალავი წესების შემოღება. ავტომატურად Windows Firewall-სა და WFAS-ს აქვთ
წესების მინიმალური ნაკრები, რომლებიც ქსელებთან ურთიერთქმედების საშუალებას იძლევა. ეს
ნიშნავს, რომ თქვენ შეგიძლიათ ფაიერვოლის მომართვის გარეშე დაათვალიეროთ ქსელი, მაგრამ
თუ შეეცდებით გამოიყენოთ აპლიკაციი, რომლისათვისაც არ არის მომართული წესები, მაგალი-
თად, FTP, მიიღებთ გამაფრთხილებელ შეტყობინებას. ეს რეჟიმი განსხვავდება Windows-ის წინა
ვერსიებისგან, მაგალითად, Windows XP-გან, სადაც ფაიერვოლი ბლოკავდა მხოლოდ შემომავალ
ტრაფიკებს და არ ბლოკავდა გამავალს. სტანდარტულად Windows-ის ფაიერვოლი ბლოკავს შემო-
სული ტრაფიკის დიდ ნაწილს. პროგრამის პირველად დაბლოკვისას, ფაიერვოლისგან მიიღებთ
შეტყობინებას (სურ. 13.1), რაც საშუალებას იძლევა დავუშვათ გამონაკლისი, რომელიც შემდგომში
გაატარებს მოცემული ტიპის ტრაფიკს:
Windows ფაიერვოლი იყენებს სრული ფარულობის (Full stealth) ფუნქციას. ფარულობა
ბლოკავს გარე ჰოსტის მიერ ოპერაციული სისტემის ანაბეჭდის შექმნას. ოპერაციული სისტემის
ანაბეჭდის შექმნა (OS fingerprinting) არის ტექნიკა, რომლის საშუალებითაც ბოროტმოქმედი
განსაზღვრავს კომპიუტერის ოპერაციულ სისტემას. ამას იგი აღწევს კომპიუტერის გარე ქსელურ
ინტერფეისზე სპეციალური ტრაფიკის გაგზავნით. როცა ბოროტმოქმედი შეიტყობს, თუ რომელი
ოპერაციული სისტემა მუშაობს კომპიუტერზე, მას შეუძლია აირჩიოს შეტევის საშუალებები.
ამიტომ, დაუშვებელია ფარულობის ფუნქციის გათიშვა Windows-ში.
341
სურ. 13.1. ფაიერვოლის მიერ აპლიკაციის დაბლოკვა
ფილტრაცია ჩატვირთვის მომენტში (Boot time filtering), Windows-ის კიდევ ერთი ახალი
ფუნქციაა, რომელიც გარანტიას იძლევა, რომ Windows ფაიერვოლი მუშაობს იმ მომენტიდან, როცა
აქტიურდება ქსელური ინტერფეისები. უფრო ძველ ოპერაციულ სისტემებში მაგალითად, Windows
XP-ში, ფაიერვოლი ირთვება მხოლოდ ამ პროცესის დასრულების შემდეგ. ეს დრო არის მოკლე
ხანგრძლივობის, მაგრამ მნიშვნელოვანი პერიოდი, როცა ქსელური ინტერფეისი უკვე აქტიურია,
მაგრამ არაა დაცული ფაიერვოლით. ფილტრაცია ჩატვირთვის მომენტში გამორიცხავს ამ
პერიოდის დაუცველობას.
იმისათვის, რომ გავარკვიოთ Windows ფაიერვოლის მუშაობის პრინციპი, აუცილებელია
გავეცნოთ ქსელთან მუშაობის რამდენიმე ძირითად კონცეფციას:
პროტოკოლი (protocol). Windows Firewall-ში საწყისი თვალსაზრისით აუცილებელია სამი
პროტოკოლი - TCP (Transmission Control Protocol), UDP (User Datagram Protocol) და ICMP (Internet
Control Message Protocol). TCP პროტოკოლი უფრო საიმედოა. ის გამოიყენება ინტერნეტტრაფიკის
დიდი ნაწილისათვის. პროტოკოლი UDP გამოიყენება ფართომაუწყებლობითი და დიდმისა-
მართიანი მონაცემებისათვის, ასევე ტრაფიკისათვის, რომელიც დაკავშირებულია ონლაინთამა-
შებთან. ICMP პროტოკოლი ძირითადად გამოიყენება დიაგნოსტიკისათვის.
პორტი (port) ეს არის საიდენტიფიკაციო ნომერი TCP ან UDP პაკეტის სათაურში. პორტები
გამოიყენება იმისათვის, რომ „დავაკავშიროთ" ქსელური ტრაფიკი კონკრეტულ სერვისთან ან
პროგრამასთან. მაგალითად, 80 ნომერი პორტი დარეზერვებულია WWW ტრაფიკისათვის, ხოლო
პორტი 25 - ელექტრონული ფოსტის ინტერნეტით გადასაცემად.
IPSec (Internet Protocol Security). IPSec არის საშუალება, რომელიც უზრუნველყოფს ქსე-
ლური ტრაფიკის უსაფრთხოებას შიფრაციის და ციფრული ხელმოწერის მეშვეობით. შიფრაცია
გარანტიას იძლევა, რომ ბოროტმოქმედი ვერ შეძლებს წაიკითხოს გადაცემული ტრაფიკი. ხელმო-
წერა საშუალებას აძლევს ტრაფიკის ადრესატს, ამოიცნოს გამგზავნი;
ქსელის მისამართი (network address). ქსელის ყველა ჰოსტს აქვს საკუთარი მისამართი.
ფაიერვოლში შესაძლებელია მოვმართოთ ტრაფიკის სხვადასხვა დამუშავება, მთელი ქსელის გამა-
ვალ ტრაფიკთან დამოკიდებულებით ან გამავალი ქსელის შემომავალ ტრაფიკთან დამოკიდებუ-
ლებით;
342
შემომავალი ტრაფიკი (inbound traffic) ქსელური მონაცემები, რომლებიც გამოდის გარე
ჰოსტიდან და მომართული არიან ჩვენს კლიენტ Windows-ზე;
გამავალი ტრაფიკი (outbound traffic). ტრაფიკი, რომელსაც ჩვენი კლიენტი Winodws,
აგზავნის გარე ჰოსტთან ქსელის საშუალებით;
ქსელური ინტერფეისი (network interface). ქსელური ინტერფეისი შეიძლება იყოს ფიზი-
კურ კავშირში ლოკალური ქსელით, უკაბელოდ, მოდემის საშუალებით ან ვირტუალური დაცული
ქსელის (VPN) მეშვეობით.
ქსელის ადგილმდებარეობა
ინფორმაცია ქსელურ ადგილმდებარეობაზე (Network Location Awareness, NLA) საშუალებას
აძლევს Windows-ს დანიშნოს ქსელური პროფილი ქსელური შეერთების თვისებების საფუძველზე.
როგორც 13.2 სურათზეა ნაჩვენები, Windows იყენებს სამ ქსელურ პროფილს: დომენურ ქსელს
(Domain Networks), კერძო ქსელებს (Private networks) და სტუმარ ან საზოგადო ქსელს (Guest or public
networks). როცა ვუკავშირდებით ახალ ქსელს, Windows-ს გამოაქვს დიალოგური ფანჯარა, სადაც
უნდა დავაზუსტოთ ქსელის ტიპი კერძო, სტუმარი ან საზოგადო. შემდგომში ქსელის ტიპი
ასოცირდება მის თვისებებთან, რადგან ასახული იქნას კომპიუტერის ამ ქსელში შეერთება მომდევ-
ნო ეტაპზე. შესაძლებელია ქსელის ტიპის შეცვლა ქსელის მართვისა და საერთო წვდომის (Network
and Sharing Center) ფანჯრიდან. დომენური ქსელური პროფილი გამოიყენება Active Directory
Domain Services (AD DS) დომენში სამუშაოდ.
343
ნაჩვენებია, რომ Remote Desktop უფლება აქტიურია დომენურ (Domain) და კერძო (Private) პროფი-
ლებში, მაგრამ არაა აქტიური საზოგადო (Public) პროფილში. Windows-ში პროფილი ვრცელდება
თითოეული ქსელური ინტერფეისისათვის ცალკე. თუ გაქვთ ერთი ქსელური ადაპტერი, რომელიც
დაკავშირებულია ინტერნეტთან, და მეორე საოფისე უკაბელო ადაპტერი, თითოეული კავშირი-
სათვის გავრცელებული იქნება საკუთარი წესების ერთობლიობა. Windows Vista-ში ფაიერვოლი
ირჩევდა მაქსიმალურად მკაცრ ქსელურ პროფილს იმ შემთხვევაში, როცა კომპიუტერი ჩართული
იყო განსხვავებული ტიპის ქსელებში და ავრცელებდა უფრო შეზღუდული წესების ერთობლიობას
ყველა ინტერფეისზე.
344
როგორც წესი, Windows Firewall-ი ითიშება ყველა პროფილისათვის იმ შემთხვევაში, თუ იყე-
ნებთ სხვა მწარმოებლის ფაიერვოლს და გსურთ, რომ სწორედ მან დაიცვას კომპიუტერი. მნიშვნე-
ლოვანია, რომ არ გათიშეთ Windows Firewall-ი მხოლოდ იმიტომ, რომ ქსელში Windows-სა და
ინტერნეტს შორის არის სხვა ფაიერვოლი, მაგალითად, მარშრუტიზატორი ან აპარატურული
ფაიერვოლი. სრულიად შესაძლებელია, რომ ბოროტმოქმედმა დააინფიცირა ლოკალური ქსელის
სხვა კომპიუტერი. უსაფრთხოების თვალსაზრისით ყველა ქსელი უნდა იქნას განხილული, რო-
გორც პოტენციურად საშიში.
345
პროგრამა, რომელიც იყენებს ამ პორტს, იქნება ეს qip.exe, qip1.exe თუ icq.exe - ვერ მიიღებს წვდომას
ინტერნეტთან ამ პორტით. მეორე ხერხი უფრო საიმედოა, მაგრამ ამისათვის საჭიროა იმ პორტების
ცოდნა, რომლებსაც იყენებს მოცემული პროგრამა. პორტის ნომერი შეგვიძლია დავაზუსტოთ
პროგრამის დოკუმენტაციაში ან პროგრამის მწარმოებლის საიტზე. ძირითადი TCP პორტები აღწე-
რილია ქვემოთ მოცემულ ცხრილში.
ცხრილი 13.1 ძირითადი TCP პორტები
პორტი სერვისი რა მოხდება, თუ ავკრძალავთ ამ პორტთან წვდომას
ვერცერთი FTP კლიენტი ვერ შეძლებს FTP სერვერთან
დაკავშირებას. FTP-დან ფაილების გადმოწერა იქნება
FTP (File შეუძლებელი. სასარგებლოა, თუ გსურთ ტრაფიკის ეკონომია -
21 Transfer FTP სერვერებზე ინახება უამრავი ტრაფიკი და თუ ჩვენს გარდა
Protocol) კომპიუტერს იყენებს სხვა მომხმარებელიც, მაშინ
შესაძლებელია FTP სერვერთან წვდომის აკრძალვა, ზიანის
თავიდან ასაცილებლად.
SMTP (Simple
მოცემულ პორტთან წვდომის აკრძალვით, ვბლოკავთ ფოსტის
25 Mail Transfer
გაგზავნას ყველა საფოსტო კლიენტთან.
Protocol)
ამ პორტის აკრძალვა არ შეიძლება, რადგან სისტემა ვერ
შეძლებს დომენური სახელის IP-მისამართებში გარდასახვას,
DNS (Domain
53 ე.ი. ვერ შევძლებთ ინტერნეტში მუშაობას (ვერ გავხსნით
Name System)
ვებგვერდებს, არ მოხდება ელექტრონული ფოსტის გაგზავნა
და მიღება და ა. შ.)
ჰიპერტექსტური ინფორმაციის გადაცემის პროტოკოლი. ეს
HTTP (Hyper არის WWW-ს ძირითადი პროტოკოლი. ამ პორტთან წვდომის
80 Test Transfer აკრძალვით, ყველა ბრაუზერს ვუკრძალავთ ნებისმიერ საიტზე
Protocol) შესვლას. დანარჩენი სერვისები (ფოსტა, FTP) იმუშავებენ, თუ,
რა თქმა უნდა, ისინიც დაბლოკილი არ გაქვთ.
ეს არის პროტოკოლი, რომლითაც ვიღებთ ელექტრონულ
POP (Post Office ფოსტას. თუ ავკრძალავთ ამ პორტის გამოყენებას, ვერ
110
Protocol) შევძლებთ მოცემული პროტოკოლით ელექტრონული წერი-
ლების მიღებას.
SSL (Secure ამ პორტის აკრძალვის შემდეგ შეგვიძლია დავივიწყოთ
443
Socket Layer) უსაფრთხო კავშირი (HTTPS), რომლებიც ყენდება 443 პორტზე
მოცემულ პორტს იყენებს შეტყობინებათა სწრაფი გაცვლის
პოპულარული კლიენტი ICQ. 5190 პორტის წვდომის
5190 ICQ
შეზღუდვით ვკრძალავთ ინტერნეტწვდომას ყველა ICQ
კლიენტისათვის (ICQ, QIP, Miranda და ა.შ.)
44583 პორტი გამოიყენება Skype პროგრამის შემომავალი
44583 Skype კავშირისათვის. თუ დავბლოკავთ ამ პორტს, Skype აღარ
იმუშავებს.
346
პროგრამების დაშვების უზრუნველყოფა Windows Firewall-ში
Windows Firewall საშუალებას იძლევა დავუშვათ გამონაკლისები პროგრამებთან მიმართე-
ბით. ამით განსხვავდება იგი Windows Vista-სგან, სადაც ფაიერვოლი საშუალებას იძლეოდა დაეშვა
გამონაკლისები პორტის მისამართის მიხედვით.
შესაძლებელია WFAS-ის გამოყენებით, შექმნათ წესები პორტის მისამართის მიხედვით,
რომლის შესახებაც შემდეგში გვექნება საუბარი. ასევე შეგიძლიათ ფაიერვოლის საშუალებით
მუშაობის უფლება დართოთ Windows-ის კონკრეტულ კომპონენტს, მაგალითად, Windows Virtual
PC. იმისათვის, რომ დავამატოთ წესი ნებისმიერი კომპონენტისათვის ან პროგრამისათვის,
დააჭირეთ მაუსის მარცხენა ღილაკი ბრძანებას Allow an app or feature through Windows Firewall
(დაშვებულ იქნას აპლიკაციების და კომპონენტის მუშაობა Windows Firewall-ის მეშვეობით),
მართვის პანელის Windows Firewall განყოფილებაში. დიალოგურ ფანჯარაში (სურ.13.3) გამოჩნდე-
ბა დაინსტალირებული პროგრამების და კომპონენტების სია, რომლებისთვის შექმნილია წესები,
ასევე პროფილები, რომელშიც გააქტიურებულია წესი, დაკავშირებული მოცემულ პროგრამებთან
და კომპონენტებთან.
ამ გვერდის პარამეტრების შესაცვლელად დააჭირეთ ღილაკზე Change Settings. ფაიერვოლის
პარამეტრების ცვლილების უფლება აქვთ მხოლოდ ლოკალური ჯგუფის ადმინისტრატორ წევრებს
ან მომხმარებლებს, რომლებიც იქნენ დელეგირებული შესაბამისი სრულუფლებიანობით.
თუ პროგრამა, რომლისათვისაც გვინდა წესის შექმნა, არ არის ამ ჩამონათვალში, დააჭირეთ
ღილაკზე Allow another app… (დაშვებულ იქნას სხვა აპლიკაცია). გაიხსნება დიალოგური ფანჯარა
Add an app (სურ. 13.5). თუ ამ სიაშიც არ არის პროგრამა, რომლისათვისაც ვქმნით წესს ან სია სულ
ცარიელია, დააჭირეთ ღილაკს Browse. გამოიყენეთ ღილაკი Network types…, რათა მიუთითოთ
ქსელური პროფილი, რომლისათვისაც წესი იქნება აქტიური.
347
სურ. 13.6. ქსელური პროფილის შეცვლა
348
შეუძლიათ მიიღონ წვდომა მოცემულ კომპიუტერზე განთავსებულ ვებსერვერზე, რაც შეეხება
ჰოსტებს, რომლებიც ცდილობენ მიიღონ წვდომა იმავე ვებსერვერზე ინტერნეტის საშუალებით,
დაიბლოკება.
349
სურ. 13.8. წესის შექმნის ოსტატი ახალი შემომავალი შეერთებისათვის
350
სურ. 13.9. ტრაფიკის დაბლოკვა/დაშვება
351
წესის მოქმედების არე (Rule Scope)
წესის მოქმედების არე (Rule Scope) საშუალებას გვაძლევს, დავაკონკრეტოთ, ვრცელდება თუ
არა წესი კონკრეტულ საწყის და სამიზნე მისამართზე. თუ გსურთ შექმნათ წესი, რომელიც დაუშ-
ვებს კონკრეტული ტიპის ტრაფიკს, და შეზღუდოთ იგი კონკრეტული ქსელური მისამართებით,
აუცილებელია შეიცვალოს წესების მოქმედების არე. მოქმედების არე შექმნის პროცესში შეიძლება
მივუთითოთ მხოლოდ მორგებული (Custom) წესისათვის. პროგრამების ან პორტის წესებისათვის
სამოქმედო არე მიეთითება შემდეგ, წესის თვისებების რედაქტირების მეშვეობით, როგორც ნაჩვე-
ნებია სურათზე 13.11. ჩვენ შეგვიძლია მივუთითოთ IP-მისამართი ან IP-მისამართების დიაპაზონი,
ასევე გამოვიყენოთ ერთი რომელიმე წინასწარგანსაზღვრული იმ კომპიუტერების ერთობლიობი-
დან, რომლებიც მოიცავენ გასასვლელს (Gateway), WINS-სერვერებს, DHCP-სერვერებს, DNS-სერვე-
რებს და ლოკალურ ქვექსელს. დიაპაზონებში დაშვებულია როგორც IPv4, ასევე IPv6 მისამართების
გამოყენება.
წესის მოქმედების არის შესაცვლელად შევასრულოთ შემდეგი მოქმედებები:
WFAS კონსოლში მაუსის მარჯვენა ღილაკით დააჭირეთ წესზე და აირჩიეთ ბრძანება
Properties (თვისებები). გაიხსნება წესის თვისებების დიალოგური ფანჯარა. გადადით Scope ჩანარ-
თში;
იმისათვის რომ გამოვიყენოთ წესები ლოკალურ IP მისამართთან (მაგალითად, იმ შემ-
თხვევაში, როცა ქსელურ ადაპტერს მინიჭებული აქვს რამდენიმე მისამართი ან კომპიუტერზე და-
ყენებულია რამდენიმე ქსელური ადაპტერი), დააყენეთ გადამრთველი These IP Addresses (მითითე-
ბული IP-მისამართები) Local IP-Address განყოფილებაში. დააჭირეთ ღილაკს Add (დამატება) და
მიუთითეთ, რომელ მისამართსა თუ მისამართებზე ვრცელდება მოცემული წესი;
352
წესის თვისებების ფანჯრის Advanced ჩანართი საშუალებას იძლევა, დავაკონკრეტოთ, რომელ
ქსელურ ინტერფეისზე ვრცელდება წესი. ეს პროცედურა ლოკალური IP მისამართების შეზღუდვის
ანალოგიურია, რომელშიც ვრცელდება წესი, მაგრამ ამ შემთხვევაში ირჩევა კონკრეტული მოწყობი-
ლობა, და არა მისამართი, რომელიც ამ მოწყობილობისათვისაა განკუთვნილი. Advanced ჩანართში
ასევე მიეთითება, თუ როგორ რეაგირებს წესები იმ ტრაფიკზე, რომელიც გაივლის სასაზღვრო მოწ-
ყობილობას, მაგალითად, NAT მარშრუტიზატორს. ხელმისაწვდომია შემდეგი ვარიანტები:
ბლოკირება კვანძების გვერდის ავლით (Block edge traversal) - წესის სამოქმედო ობიექტი
იბლოკება ინტერნეტიდან არამოთხოვნილი ტრაფიკი NAT მოწყობილობის საშუალებით;
დაშვება კვანძების გვერდის ავლით (Allow edge traversal) - წესის სამოქმედო ობიექტი დაა-
მუშავებს არამოთხოვნილ ტრაფიკს, რომელიც მიღებულია ინტერნეტიდან NAT მოწყობილობის
საშუალებით;
მომხმარებლისათვის გადაცემა (Defer to user) - მომხმარებელი იღებს შეტყობინებას, რომე-
ლიც ატყობინებს NAT მოწყობილობიდან ტრაფიკის შემოსვლას. თუ მომხმარებელს აქვს საკმარისი
უფლებამოსილება, მას შეუძლია ხელით დაბლოკოს ან დაუშვას მონაცემთა გაცვლა;
ჩანართებზე გადაცემა (Defer to application) - NAT მოწყობილობიდან შემომავალი ტრაფი-
კის მიღება ან დაბლოკვა განისაზღვრება აპლიკაციების პარამეტრებით.
353
რებლის სააღრიცხვო ჩანაწერთან ან კომპიუტერთან, რომელიც ზის დომენში. თუ ავირჩევთ დამა-
ტებით პარამეტრებს, შევძლებთ შეერთების ნამდვილობის შემოწმებას NTMLv2 პროტოკოლის,
სერტიფიცირების ცენტრის მიერ გაცემული კომპიუტერის სერტიფიკატების ან წინასწარ არჩეული
გასაღების დახმარებით.
შეერთების უსაფრთხოების სხვადასხვა წესები მუშაობს შემდეგნაირად:
იზოლაცია (Isolation) - იზოლაციის წესები ზღუდავს მხოლოდ ჰოსტების კომუნიკაციას,
რომლებმაც გაიარეს შემოწმება ნამდვილობაზე კონკრეტული სააღრიცხვო მონაცემების გამოყენე-
ბით. მაგალითად, შეგვიძლია გამოვიყენოთ იზოლაციის წესები იმისათვის, რომ გამოვრიცხოთ
მონაცემთა გაცვლიდან ის ჰოსტები, რომლებიც არ არიან Active Directory Domain System (AD DS)-ს
წევრები. იზოლაციის წესებში შეიძლება ჩავრთოთ შემომავალი და გამავალი ტრაფიკების ნამდვი-
ლობის შემოწმების მოთხოვნა, მოვითხოვოთ როგორც შემომავალი, ასევე გამავალი შეერთების
ნამდვილობის შემოწმება ან მოვითხოვოთ ყველანაირი ტიპის შეერთების ნამდვილობის შემოწმება;
ნამდვილობის შემოწმებისაგან განთავისუფლება (Authentification exemption) - ეს წესები
იძლევა იზოლაციის წესებისგან გამონაკლისების დაშვების საშუალებას. ნამდვილობის შემოწ-
მებისგან გათავისუფლების პარამეტრებს მომართავენ იმ შემთხვევაში, მაგალითად, თუ გვინდა
დავუშვათ კომპიუტერი დაუკავშირდეს DHCP და DNS სერვერებს ავტორიზაციის აუცილებლობის
გარეშე;
სერვერი სერვერთან (Server-to-server) - ეს წესები იცავენ შეერთებას კონკრეტულ კომ-
პიუტერებს შორის. ისინი განსხვავდებიან იზოლაციის წესებისაგან იმით, რომ ის ვრცელდება არა
მთელ შეერთებაზე, არამედ მხოლოდ კონკრეტულ მისამართსა და ჰოსტს შორის შეერთებაზე;
გვირაბი (Tunnel) - ეს წესები Server-to-server-ის ანალოგიურია, მაგრამ გამოიყენება
დისტანციურ საიტთან „გვირაბული" შეერთებისას. მაგალითად, საიტიდან საიტზე.
354
შენიშვნა: ურთიერთობა შეერთების უსაფრთხოების წესებსა და IPSec პოლიტიკას შორის
ანალოგიურია, AppLocker-სა და პროგრამების გამოყენების შეზღუდვის პოლიტიკას შორის ურთი-
ერთობის. წესთა ორივე ნაკრები ასრულებენ ერთსა და იმავე ფუნქციას და არჩევანი დამოკიდე-
ბულია ოპერაციულ სისტემაზე, რომელსაც იყენებს ჩვენი ორგანიზაციის კლიენტის კომპიუტერი.
355
Windows Firewall უშვებს ბაზისური წესის შექმნას, რომელიც ვრცელდება Windows-ის
პროგრამებზე და კომპონენტებზე. მისი საშუალებით შესაძლებელია წესის მოქმედების არის
მომართვა ან შემოწმების მითითება ნამდვილობაზე;
ქსელური პროფილები საშუალებას იძლევა გავრცელდეს ფაიერვოლის განსხვავებული
წესების ერთობლიობა, ქსელური შეერთების თვისებებიდან გამომდინარე. არსებობს სამი
ქსელური პროფილი: დომენური (Domain), საზოგადო (Public) და კერძო (Private);
Windows Firewall-ის წესები შესაძლებელია მივანიჭოთ ხელით, კონკრეტული ქსელური
პროფილისათვის. სხვადასხვა ქსელური პროფილები შესაძლებელია ერთდროულად
მოქმედებდეს განსხვავებულ ქსელურ ინტერფეისებთან;
WFAS უზრუნველყოფს მოიმართოს შემომავალი და გამავალი ტრაფიკის წესი პორტი-
სათვის, პროგრამისათვის და სერვისისათვის;
WFAS უზრუნველყოფს მოიმართოს წესის მოქმედების არე და ნამდვილობის შემოწმება.
356
13.2. ვირტუალური დაცული ქსელების (VPN) ტექნოლოგიის საფუძვლები
VPN ქსელები უზრუნველყოფენ ქსელებთან შეერთების შექმნას, ინტერნეტის გამოყენებით.
VPN მომხმარებლები, რომლებიც იმყოფებიან თავიანთ ოფისში, იღებენ წვდომას ლოკალური
ქსელის რესურსებთან: ელექტრონულ ფოსტასთან, საერთო კატალოგებთან, პრინტერებთან,
მონაცემთა ბაზასთან. მათ ამისათვის სჭირდებათ მხოლოდ ინტერნეტთან წვდომა და VPN ინფრა-
სტრუქტურა კორპორაციულ ქსელში, რომელსაც ისინი უკავშირდებიან. რესურსებთან წვდომის
უფლება აქვთ მხოლოდ VPN მომხმარებლებს, რომელთაც შემოწმება აქვთ გავლილი ნამდვილო-
ბაზე. დანარჩენი ინტერნეტ მომხმარებლებისათვის რესურსები მიუწვდომელია. დისტანციური
წვდომის შეერთების შექმნა შეუძლიათ ადმინისტრატორის უფლების არმქონე მომხმარებლებსაც.
იმისათვის, რომ მომხმარებლებს მივცეთ დისტანციური წვდომის შეერთების შექმნის ან ცვლილე-
ბის უფლება, მომართეთ შემდეგი პოლიტიკის პარამეტრები: User Configuration\Administrative
Templates\Network\Network Connections.
VPN-შეერთების შექმნისას აუცილებელია იმ VPN-სერვერის მისამართის მითითება, რომელ-
საც უკავშირდებით, ასევე უნდა მივუთითოთ მომხმარებლის სახელი და პაროლი ნამდვილობის
შესამოწმებლად. ახალი VPN-შეერთება იქმნება Network and Sharing Center ფანჯარაში. დააჭირეთ
Set up a New Connection or Network მიმართვას და აირჩიეთ Connect to a Workplace ვარიანტი.
ნაგულისხმევად Windows თვითონ ირჩევს შეერთების ტიპს. ჩვენ შეგვიძლია გამოვიყენოთ კონკრე-
ტული VPN პროტოკოლი, მაგრამ ამ შემთხვევაში Windows არ შეეცდება სხვა VPN პროტოკოლების
გამოყენებას, თუ პროტოკოლი, რომელსაც ჩვენ ავირჩევთ იქნება მიუწვდომელი.
თუ დაყენებულია პროტოკოლების ავტომატური შერჩევა, Windows თავიდან შეეცდება
ისეთი შეერთების დაყენებას, რომელიც იყენებს ყველაზე უსაფრთხო პროტოკოლს. Windows-ის
მომხმარებლებისათვის ხელმისაწვდომია ოთხი VPN პროტოკოლი, რომლებიც განსხვავდებიან
შიფრაციისა და მონაცემთა დაცვის ტიპებით. საუკეთესო უსაფრთხო პროტოკოლები
უზრუნველყოფენ:
მონაცემთა კონფიდენციალურობას (data confidentiality) - პროტოკოლი შიფრავს მონაცემებს
ისე, რომ მესამე პირს არ შეეძლოს მისი წაკითხვა საერთო წვდომის ქსელში გადაცემისას;
მონაცემთა მთლიანობას (data integrity) - ამ ფუნქციის პროტოკოლების გამოყენებისას
შევიტყობთ, თუ მესამე პირი შეცვლის მონაცემებს ქსელში გადაცემისას;
ხელახალი გადაცემისაგან დაცვას (replay protection) - გარანტიას იძლევა, რომ ერთი და
იგივე მონაცემები გადაცემული იქნება მხოლოდ ერთხელ. Replay Attack შეტევისას ბოროტმოქმედი
იპარავს გადაცემულ მონაცემებს და შემდეგ ხელახლა აგზავნის;
მონაცემთა წყაროს ნამდვილობის შემოწმებას (data origin authentication) - ინფორმაციის
გამგზავნი და მიმღები უნდა იყვნენ დარწმუნებული გადაცემული და მიღებული მონაცემების წარ-
მომავლობაზე.
Windows უზრუნველყოფს VPN-ის შემდეგ პროტოკოლებს (პროტოკოლები დალაგებულია
უსაფრთხოების ზრდადობის მიხედვით):
PPTP (Point-to-Point Tunneling Protocol) – VPN ქსელი PPTP პროტოკოლით, VPN-ის ყვე-
ლაზე დაბალი უსაფრთხოების ფორმაა. ვინაიდან ისინი არ საჭიროებენ ინფრასტრუქტურასთან
საერთო წვდომის გასაღებს (PKI - public-key infrastructure), რომლებიც ასევე ნაკლებად გავრცე-
ლებულია. PPTP შეერთებაში გამოიყენება ნამდვილობის შესამოწმებელი პროტოკოლები: MS-
CHAP, MS-CHAPv2, EAP და PEAP. მონაცემთა შიფრაციისათვის გამოიყენება MPPE (Microsoft Point-
to-Point Encryption) პროტოკოლი. PPTP შეერთება უზრუნველყოფს მონაცემთა კონფიდენცი-
ალურობას, მაგრამ არ იძლევა მათი მთლიანობისა და წყაროს ნამდვილობის შემოწმების
357
გარანტიას. ზოგიერთ მოძველებულ NAT-მოწყობილობას მხარს არ აქვს PPTP-ს მხარდაჭერა.
Windows-ში PPTP პროტოკოლი გამოიყენება შემომავალი VPN-შეერთების მხარდასაჭერად.
L2TP/IPsec (Layer 2 Tunneling Protocol/Internet Protocol Security) პროტოკოლი უზრუნ-
ველყოფს მონაცემთა წყაროს ნამდვილობის შემოწმებას, მთლიანობას, განმეორებითი გაგზავნისა-
გან დაცვას და კონფიდენციალურობას თითოეული პაკეტისათვის ცალ-ცალკე. L2TP/IPsec-ში გამო-
იყენება ციფრული სერტიფიკატები, ამიტომ მას სჭირდება წვდომა სერტიფიკატების
მომსახურების ინფრასტრუქტურასთან. L2TP/IPsec პროტოკოლს უზრუნველყოფს სხვა
მწარმოებლის უმრავლესი VPN-პროდუქტი. L2TP/IPsec-ის გამოყენება შეუძლია ყველა NAT
მოწყობილობას, მხოლოდ იმ შემთხვევაში, თუ კლიენტი და სერვერი უზრუნველყოფს IPsec NAT
Traversal (NAT-T)-ს, მაგალითად, Windows 7/8.1/10, Windows Server 2003/2008/2012. L2TP შეიძლება
მოიმართოს ნამდვილობის შემმოწმებლად, სერტიფიკატების ან საერთო გასაღების საფუძველზე,
ისე როგორც ნაჩვენებია 13.14 სურათზე:
SSTP – VPN ტუნელები SSTP პროტოკოლით იყენებენ 443 პორტს. ეს ნიშნავს იმას, რომ VPN
ტრაფიკს SSTP-ს შეუძლია გაიაროს პრაქტიკულად ყველა ფაიერვოლი, ინტერნეტთან დაშვებული
წვდომით, განსახვავებით PPTP, L2TP/IPsec და IKEv2 (Internet Key Exchange version 2) პროტოკოლე-
ბისაგან. SSTP აგზავნის ტრაფიკს HTTPS პროტოკოლის SSL-არხით. ის უზრუნველყოფს მონაცემთა
წყაროს ნამდვილობის შემოწმებას, მთლიანობას, განმეორებითი გადაგზავნისგან დაცვას და
კონფიდენციალურობას. არასდროს გამოიყენოთ SSTP პროტოკოლი Web-Proxy-სერვერის გავლით,
რომელიც იყენებს ნამდვილობის შემოწმებას;
IKEv2 - ეს არის პროტოკოლი, რომლისთვისაც Windows-ის ძველ ვერსიებს მხარდაჭერა არ
აქვთ. ის მუშაობს IPv6 და VPN Reconnect ფუნქციებით, უზრუნველყოფს EAP (Extensible Authen-
tication Protocol) პროტოკოლს და კომპიუტერის სერტიფიკატებს კლიენტის მხრიდან ნამდვილო-
ბის შესამოწმებლად. აქ შედის PEAP, EAP-MSCHAP v2, სმარტბარათები და სხვა სერტიფიკატები
(სურ. 13.15):
IKEv2 არ აქვს ნამდვილობის შემმოწმებელ POP, CHAP ან MS-CHAPv2 (EAP-ის გარეშე)
პროტოკოლების მხარდაჭერა. IKEv2 უზრუნველყოფს მონაცემთა წყაროს ნამდვილობის შემოწმე-
ბას, მთლიანობას, ხელახალი გადაგზავნისგან დაცვას და კონფიდენციალურობას. IKEv2 იყენებს
UDP პორტ 500-ს. როდესაც ვქმნით ახალი VPN-შეერთებას ნაგულისხმევი პარამეტრებით, Windows,
პირველ რიგში, ცდილობს შეერთების მომართვას IKEv2 პროტოკოლით.
358
სურ. 13.15. ნამდვილობის შესამოწმებელი პროტოკოლები, რომელთაც უზრუნველყოფს IKEv2
359
PEAP/PEAP-TLS (Protected Extensible Authentication Protocol with Transport Layer Security) -
სერტიფიკატზე დაფუძნებული ნამდვილობის შესამოწმებელი პროტოკოლი. საჭიროებს კომპიუ-
ტერის სერტიფიკატის დაყენებას VPN-სერვერზე.
EAP-MS-CHAPv2/PEAP-MS-CHAPv2 - პაროლზე დაფუძნებული ნამდვილობის შესამოწ-
მებელი უფრო უსაფრთხო პროტოკოლები, რომელიც ხელმისაწვდომია Windows 10-ის VPN ქსელის
კლიენტებისათვის. საჭიროებს კომპიუტერის სერტიფიკატის დაყენებას VPN-სერვერზე, და არ სა-
ჭიროებს კლიენტის სერტიფიკატს.
სმარტბარათი ან სხვა სერტიფიკატი (Smart card or other certificate) - ეს ვარიანტი გამოიყე-
ნება იმ შემთხვევაში, როცა მომხმარებლები ახორციელებენ ნამდვილობის შემოწმებას იმ სმარტ-
ბარათების ან სერტიფიკატების დახმარებით, რომლებიც დაყენებულია მოცემულ კომპიუტერზე
(სურ. 13.16):
პარამეტრების მომართვა
VPN შეერთებისათვის ნამდვილობის შესამოწმებელი პროტოკოლების პარამეტრების მომარ-
თვა ხორციელდება VPN-შეერთების თვისებების ფანჯარაში (სურ. 13.17). Windows-ი თავიდან
ცდილობს უფრო უსაფრთხო პროტოკოლის გამოყენებას, შემდეგ კი გადადის ნაკლებად
უსაფრთხო პროტოკოლებზე, თუ ისინი ხელმისაწვდომია.
360
სურ. 13.17. ნამდვილობის შესამოწმებელი VPN პროტოკოლები
შეიძლება დავასკვნათ:
Windows 10 კლიენტები უზრუნველყოფენ VPN-პროტოკოლებს: PPTP, L2TP/IPsec, SSTP და
IKEv2.
თუ გვსურს VPN Reconnect ფუნქციის გამოყენება, ამისათვის აუცილებელია პროტოკოლი
IKEv2 და VPN-სერვერი, რომელიც მუშაობს Windows Server 2012/2016 ოპერაციულ სისტემაზე;
SSTP პროტოკოლი უზრუნველყოფს VPN ქსელებთან წვდომის მიღებას უამრავი ფაიერ-
ვოლების გავლით, რადგან ის იყენებს იგივე პორტს, როგორსაც HTTPS (443);
EAP-MS-CHAPv2 - ეს არის ნამდვილობის შესამოწმებელი ყველაზე საიმედო პროტოკოლი,
რომელიც იყენებს პაროლს და ერთადერთი პროტოკოლი (რომელიც იყენებს პაროლს), რომელიც
შეიძლება გამოვიყენოთ IKEv2-თან;
VPN-შეერთების შესაქმნელად გამოიყენება შეერთების ან ქსელის შექმნის ოსტატი (Set up
a Connection or Network);
Windows-მა შეიძლება იფუნქციონიროს როგორც VPN-სერვერმა, თუ დავუშვებთ შემომა-
ვალ შეერთებას.
361
13.3. ინფორმაციის დაცვა შიფრაცით
ფაილების და კატალოგების დაშიფვრის ფუნქციას ფაილური სისტემის დონეზე ადგილი
ჰქონდა ჯერ კიდევ Windows 2000/XP-ში, Windows Vista-ში დამატებულ იქნა მთლიანი დანაყოფის
დაშიფრვის შესაძლებლობა (BitLocker ტექნოლოგია), რაც შეეხება Windows 7 ოპერაციულ სისტემას,
მასში დაემატა ცვლადი მოწყობილობების (Removable device) დაშიფრვის ფუნქცია Flash მეხსიერე-
ბის საფუძველზე (BitLocker To Go), ხოლო Windows 8-სა და Windows 10-ში დაემატა ფუნქცია, რომ-
ლის საშუალებითაც ჩვენ შეგვიძლია ოპერაციული სისტემის დაშიფვრა ისე, რომ სტანდარტული
TPM მოდულის ან ფლეშმეხსიერების გარდა გამოყენებულ იქნას უბრალო პაროლით დაშიფვრაც.
მომხმარებელი ვალდებულია ოპერაციული სისტემის ყოველი ჩატვირთვისას შეიტანოს პაროლი.
BitLocker-ით ფაილების და კატალოგების შიფრაცია ხელმისაწვდომია Windows-ის შემდეგ
ვერსიებში (იხილეთ ცხრილი):
- ხელმისაწვდომია;
- არაა ხელმისაწვდომი;
362
დონეზე სრულდება დოკუმენტების გახსნის ან შენახვის დროს და მომხმარებლისათვის
პრაქტიკულად შეუმჩნეველია.
რეკომენდებულია დაიშიფროს არა ფაილები, არამედ კატალოგები, რაც საშუალებას იძლევა
ავტომატურად დაიშიფროს ყველა მასში არსებული ფაილი. იმისათვის რომ დაშიფროთ ფაილი ან
კატალოგი, შეასრულეთ შემდეგი მოქმედებები:
დააჭირეთ მაუსის მარჯვენა ღილაკს სასურველ ობიექტზე და აირჩიეთ პუნქტი Properties;
General ჩანართში დააჭირეთ Advanced ღილაკს, რათა გაიხსნას დამატებითი ატრიბუტების
(Advanced Attributes) ფანჯარა (სურ. 13.18);
363
ამ ფუნქციაზე პირველი მიმართვისას, სისტემა შემოგვთავაზებს შევქმნათ არქივირებული
გასაღების ასლი და დაშიფვრის სერტიფიკატი. ამის გაკეთება აუცილებელია, საწინააღმდეგო
შემთხვევაში შეიძლება სამუდამოდ დაკარგოთ წვდომა თქვენს ფაილებთან. მაგალითად,
სააღრიცხვო ჩანაწერის წაშლის ან ოპერაციული სისტემის გადაყენების შემდეგ.
ასლის შესაქმნელად დავალებათა პანელის მარჯვენა კუთხეში დააჭირეთ გამოსულ
შეტყობინებას და გამოსულ ფანჯარაში აირჩიეთ ერთ-ერთი ვარიანტი (სურ. 13.20):
364
სურ. 13.21. სერტიფიკატის პარამეტრების მომართვის ფანჯარა
365
კოპირება ან გადაადგილება არ იძლევა დეშიფრირების გარანტიას, თუ დანიშნულების ადგილს არ
წარმოადგენს NTFS დანაყოფი. სხვა მომხმარებლებს არავითარი საშუალებებით არ შეუძლიათ
დაშიფრული ფაილის შემცველობის ნახვა, თუმცა NTFS-ით შესაბამისი დაშვების შემთხვევაში, მათ
შეუძლიათ გადაარქვან სახელი ან წაშალონ კიდევაც დაშიფრული ფაილი, ამიტომ რეკომენდე-
ბულია გამოყენებულ იქნეს შიფრაცია ფაილებთან წვდომის აკრძალვასთან ერთად. კატალოგების
ან ფაილების შიფრირების გასაუქმებლად გახსენით დამატებითი ატრიბუტების (Advanced Attri-
butes) ფანჯარა ისე, როგორც ეს აღწერილი იყო ზემოთ, და პუნქტიდან მოხსენით ალამი Encrypt
contents to secure data-შემცველობის დაშიფვრა მონაცემთა დასაცავად
შენიშვნა: ნებისმიერ მომხმარებელს, რომელმაც იცის თქვენი სააღრიცხვო ჩანაწერის პაროლი,
შეუძლია მიიღოს სრული წვდომა დაშიფრულ ფაილებთან, ამიტომ საჭიროა დაიცვათ პაროლი სხვა
მომხმარებლისაგან.
366
სისტემური დისკის დაშიფვრა
იმ დანაყოფის დაშიფვრისათვის, რომელზეც დაყენებულია ოპერაციული სისტემა, საჭიროა,
რომ მყარი დისკი იყოს დაყოფილი მინიმუმ ორ ნაწილად და თითოეული დანაყოფი დაფორმა-
ტებული იყოს NTFS ფაილური სისტემით. პირველ დანაყოფს არ უნდა ჰქონდეს 500 მბ-ზე ნაკლები
მოცულობა და უნდა იყოს აქტიური. ოპერაციული სისტემა აუცილებელია დაყენებული იქნას
მეორე დანაყოფზე, რომელიც დაიშიფრება შემდგომში BitLocker უტილიტის დახმარებით. Windows
Vista-სგან განსხვავებით, სადაც საჭირო დანაყოფების შექმნის პრობლემის გადაწყვეტა ეხებოდა
მომხმარებელს, Windows 7/8/10 ყველაფერს თვითონ აკეთებს. დანაყოფების საჭირო კონფიგურაცია
შეიძლება შეიქმნას ავტომატურად Windows 7/8/10-ის ინსტალაციისას ან BitLocker-ის ჩართვის
პროცესში.
BitLocker-ის ყველა შესაძლებლობების გამოსაყენებლად კომპიუტერზე უნდა იყოს დაყენე-
ბული სანდო პლატფორმული მოდული (Trusted Platform Module, TPM) - სპეციალური მიკროჩიპი,
რომელიც უზრუნველყოფს სისტემის უსაფრთხოების დამატებით ფუნქციებს. TPM არ არის ჩაშე-
ნებული ყველა სისტემაში და ამიტომ კომპიუტერის ან ნოუთბუქის ყიდვისას აუცილებელია
გავამახვილოთ ყურადღება TPM მოდულის ხელმისაწვდომობაზე.
შეგვიძლია მოვმართოთ BitLocker დაშიფრვა ნებისმიერ კომპიუტერზე TPM-ის გარეშე, მაგ-
რამ უსაფრთხოების გათვალისწინებული დონე იქნება დაბალი. ამისათვის აუცილებელია ჩავრ-
თოთ გასაღების ფლეშმეხსიერებაზე შენახვის შესაძლებლობა ჯგუფური პოლიტიკის მეშვეობით.
შევასრულოთ შემდეგი მოქმედებები:
Start მენიუს ძიების ველში შეიტანეთ ბრძანება gpedit.msc და დააჭირეთ Enter ღილაკს. ამ
ბრძანების შესასრულებლად საჭიროა ადმინისტრატორის უფლებები;
მიყევით შემდეგ ინსტრუქციას Computer Configuration >Administrative Templates >Windows
Components > BitLocker Drive Encryption > Operating System Drives;
367
ორჯერ დააწექით პარამეტრზე Require additional authentication at startup-მოთხოვნილ იქნას
დამატებითი აუთენტიკაცია გაშვებისას და გამოსულ ფანჯარაში დააყენეთ გადამრთველი ჩარ-
თულ მდგომარეობაში;
დარწმუნდით, რომ ალამი დაყენებულია შემდეგ პარამეტრზე Allow BitLocker without a
compatible TPM-დაშვებულ იქნას BitLocker უტილიტა TPM მოდულის გარეშე და დააჭირეთ OK
ღილაკს (სურ. 13.23). შემდეგ დახურეთ ჯგუფური პოლიტიკის ყველა ფანჯარა;
დისკის დასაშიფრად შეასრულეთ ქვემოთ მოცემული ბრძანებების თანამიმდევრობა:
გახსენით BitLocker-ის პარამეტრების ფანჯარა მარჯვენა ღილაკით დააჭირეთ Start მენიუს
→ Control Panel - > BitLocker Drive Encryption (სურ. 13.24);
დააჭირეთ Turn On BitLocker მიმართვას სისტემური დანაყოფის გასწვრივ, რომელიც აღ-
ნიშნული იქნება Windows-ის ლოგოთი. თუ დისკის კონფიგურაცია არ შეესაბამება BitLocker უტი-
ლიტის მოთხოვნებს, ის ავტომატურად შეიცვლება, რის შემდეგაც დაგვჭირდება სისტემის გადა-
ტვირთვა;
368
გვახსოვდეს, რომ აღმდგენი გასაღების გარეშე ყოველთვის არის რისკი დავკარგოთ ინფორმაცია
დაშიფრულ დისკზე. გვაქვს შენახვის შემდეგი ვარიანტები:
Save to your Microsoft account - თუ უკვე გაქვთ შექმნილი ონლაინ სააღრიცხვო ჩანაწერი,
მაშინ შესაძლებელია აღმდგენი კოდის ამ ჩანაწერში შენახვა;
Save to a USB flash drive - შეაერთეთ ფლეშმეხსიერება კომპიუტერთან და დაადასტურეთ
ოპერაცია დიალოგურ ფანჯარაში;
Save to a file - ამ შემთხვევაში უნდა მივუთითოთ შენახვის ადგილი და ფაილის სახელი;
Print the recovery key - საჭიროა მოვამზადოთ პრინტერი დასაბეჭდათ და დავადასტუროთ
ბრძანება დიალოგურ ფანჯარაში.
6. შემდეგ ფანჯარაში (სურ. 13.27) უნდა ავირჩიოთ ორი ვარიანტიდან ერთ-ერთი: 1) Encrypt
used disk space only (faster and best for new PCs and drives) - მხოლოდ გამოყენებული ადგილების
დაშიფვრა (სწრაფი და საუკეთესო გადაწყვეტა ახალი კომპიუტერებისა და დისკებისათვის) - ამ
პარამეტრის ჩართვის შემდეგ დაიშიფრება მხოლოდ მიმდინარედ გამოყენებული დისკის ნაწილი.
BitLocker-ი ავტომატურად დაშიფრავს ყველა ახალდამატებულ მონაცემს; 2) Encrypt entire drive
(slower but best for PCs and drives already in use) - მთელი დისკის დაშიფვრა (ნელი მაგრამ საუკეთესო
ვარიანტი უკვე გამოყენებაში მყოფი კომპიუტერებისა და დისკებისათვის) - ამ ვარიანტის არჩევის
369
შემთხვევაში დაიშიფრება მთლიანი დისკი. მთლიანი დისკის დაშიფვრა გარანტიას იძლევა, რომ
ყველა მონაცემი დაცულია, ასევე ის ფაილებიც, რომლებიც წაშალეთ, მაგრამ ჯერ კიდევ შეიცავს
აღსადგენ ინფორმაციას.
სასურველი ვარიანტის არჩევის შემდეგ დააჭირეთ Next ღილაკს.
370
სურ.13.28. შიფრაციის რეჟიმის არჩევა
371
სურ. 13.30. დისკზე ბლოკის მოხსნის საშუალებები
Use a password to unlock the drive - ყველაზე შესაფერისი ვარიანტი უმეტესობა კომპიუ-
ტერებისათვის. პაროლის სიგრძე უნდა იყოს არა ნაკლებ 8 სიმბოლოსი, მომდევნო ველში ვიმეო-
რებთ პაროლს და Next;
Use my smart card to unlock the drive - შეგვიძლია ავირჩიოთ ეს ვარიანტი, მხოლოდ იმ
შემთხვევაში, თუ გვაქვს მოწყობილობა რომელიც Smart card ბარათს წაიკითხავს;
მომდევნო ფანჯარაში შესაძლებელია შევინახოთ აღმდგენი გასაღები, რომელიც იქნება
პაროლის დაკარგვისას დაშიფრულ დისკებთან წვდომის ერთადერთი საშუალება.
372
მონაცემებისათვისაც. ამიტომ არსებითად იზრდება რისკი ჩავარდეს საჭირო ფაილები მესამე
პირის ხელში, რადგან ფლეშის მოპარვა რთული არაა, და დაკარგვა - კიდევ უფრო ადვილი.
373
შეგვიძლია შევცვალოთ პაროლი;
საერთოდ მოვხსნათ პაროლი მოცემულ დანაყოფს თუ ფლეშმეხსიერებას;
დავამატოთ „ჭკვიანი“ ბარათი დაბლოკილი დანაყოფის გასახსნელად;
ავტომატურად მოეხსნას ბლოკი მოწყობილობას, მოცემულ კომპიუტერზე მიერთებისას;
გამოვრთოთ BitLocker დაცვა.
როცა მივუერთებთ დაშიფრულ ფლეშმეხსიერებას სხვა კომპიუტერზე, რომელზეც დაყენე-
ბულია Windows 7/8/10 ოპერაციული სისტემა, გამოვა ბლოკირების მოსახსნელი ფანჯარა. პაროლის
შეტანის შემდეგ დისკი გახდება ხელმისაწვდომი მუშაობისათვის და შევძლებთ გამოვიყენოთ იგი,
როგორც ნებისმიერი ფლეშმეხსიერება. თუ დავაყენებთ ალამს პუნქტზე Turn on auto-unlock, პარო-
ლის შესატანი ველი ბლოკის მოსახსნელად აღარ გამოვა, მაგრამ მხოლოდ მოცემული კომპიუტე-
რისათვის.
ფლეშის დაშიფრვის პროცესში, მასში ასევე იწერება პროგრამა BitLocker To Go Reader, რომ-
ლის საშუალებითაც შესაძლებელია ვნახოთ დაშიფრული დისკი Windows XP და Windows Vista
ოპერაციულ სისტემებში. ამისათვის მიაერთეთ ფლეშმეხსიერება კომპიუტერთან, დაელოდეთ
პროგრამის ავტოგაშვებას და შეიტანეთ პაროლი ბლოკის მოსახსნელად. თუ ავტოგაშვება კომპი-
უტერზე გამორთულია, გახსენით ფლეშმეხსიერება Computer კატალოგის დახმარებით და გაუშვით
BitLocker To Go Reader პროგრამა ხელით. ამ უტილიტის დახმარებით შეძლებთ დაათვალიეროთ
დისკის შემცველობა და დააკოპიროთ საჭირო ფაილები კომპიუტერში, მაგრამ ჩაწერა დაშიფრულ
დისკზე იქნება მიუწვდომელი. ამის გაკეთება შესაძლებელი იქნება იმ კომპიუტერზე, სადაც აყენია
Windows 7/8/10 ოპერაციული სისტემა.
374
13.4. ციფრული სერტიფიკატები
ციფრული სერტიფიკატები Windows-ის უსაფრთხოების სტრუქტურის მნიშვნელოვან
კომპონენტს წარმოადგენს. სერტიფიკატი ესაა ჩანაწერი, რომელიც გამოიყენება აუთენტიკაციის,
კოდირების ან ორივე ამ მოქმედების ერთდროულად შესრულების მიზნით.
აუთენტიკაცია – ესაა პროცედურა, რომლის საშუალებითაც დასტურდება პიროვნების,
ორგანიზაციის ან ტექნიკური მოწყობილობის ნამდვილობა. მაგალითად, თუ თქვენ იღებთ
ელექტრონულ შეტყობინებას ციფრული ხელმოწერით, ეს იმის გარანტიაა, რომ აღნიშნული
პიროვნება, როგორც „გამომგზავნი“, სწორედ ეს პიროვნებაა და არა სხვა.
კოდირების საშუალებით შესაძლებელია ინფორმაცია დაუმალოთ ისეთ მომხმარებლებს,
რომლებსაც არ აქვთ მასთან მიმართვის უფლება. ამ პროცესში გამოიყენება გასაღებები, რომლებიც
ახდენენ მონაცემების გადაყვანას საბაზო ფორმატიდან ისეთ ფორმატში, რომელსაც ვერ აღიქვამს
მომხმარებელი. იმისათვის, რომ შესაძლებელი გახდეს ამ მონაცემების კვლავ აღქმა, არსებობს მხო-
ლოდ ერთი გზა უკუგარდაქმნა. (ამ დროს ისევ საჭიროა გასაღები). მონაცემთა კოდირების ყველაზე
უფრო ეფექტური და ძველი მეთოდია სიმეტრიული კოდირება. ამ დროს მონაცემთა კოდირებისა
და დეკოდირებისათვის გამოიყენება ერთი გასაღები. ასიმეტრიული კოდირება იყენებს განსხვავე-
ბულ გასაღებებს მონაცემთა კოდირება/დეკოდირებისათვის. დღეს, ყველაზე მეტად გავრცელე-
ბულია სიმეტრიული კოდირების ერთ-ერთი მეთოდი - კოდირება საერთო გასაღებით. ამ დროს
არსებობს დახურული გასაღები, რომელთანაც მიმართვის უფლება აქვს მხოლოდ ერთ სუბიექტს
და ღია გასაღები, რომელთანაც მიმართვის უფლება აქვთ ყველა მომხმარებლებს. მონაცემები,
კოდირებული ღია გასაღებით, შეიძლება დეკოდირებული იყოს მხოლოდ შესაბამისი დახურული
გასაღებით. მაგალითად, თქვენ უგზავნით კერძო შეტყობინებას ანას. თუ გამოიყენებთ მის ღია
გასაღებს შეტყობინების კოდირებისათვის, მაშინ დეკოდირების ოპერაცია შეუძლია ჩაატაროს მხო-
ლოდ ანამ, რადგან მას აქვს დახურული გასაღები. როგორ მივიღოთ ანას დახურული გასაღები? რა
თქმა უნდა, მან ის უნდა გამოგიგზავნოთ. მაგრამ როგორ დავრწმუნდეთ, რომ ის ნამდვილად ანამ
გამოაგზავნა? ამაში დაგვეხმარება სერტიფიკატის მნიშვნელოვანი თვისება: აუთენტიკაცია. შეტყო-
ბინება, ანამ გამოგზავნა თავისი გასაღებით, ხელმოწერილია მესამე პირის (რომელსაც ენდობით
თქვენც და ანაც) მიერ. ვინაიდან ნდობით აღჭურვილი პირი ერთადერთია, რომელსაც შეუძლია
ხელი მოაწეროს შეტყობინებას თავისი დახურული გასაღებით, თქვენ რწმუნდებით, რომ შეტყო-
ბინება ნამდვილად ანას გამოგზავნილია. ციფრული სერტიფიკატები უზრუნველყოფენ ღია გასა-
ღების შენახვისა და გაგზავნის მექანიზმს. ადამიანს, ორგანიზაციას ან კომპიუტერს, რომელსაც
მიეცემა სერთიფიკატი, შეუძლია გაავრცელოს ღია გასაღები სერტიფიკატის გადაგზავნის გზით.
სერტიფიკატი შეიცავს შემდეგი სახის ინფორმაციას:
სუბიექტის ღია გასაღებს;
სუბიექტის პირად მონაცემებს, როგორიცაა სახელი ან ელექტრონული მისამართი;
სერტიფიკატის მოქმედების ვადა;
იმ სერტიფიკატის ცენტრის CA (Certification authority) დასახელებას, რომელმაც გასცა
სერტიფიკატი;
სერტიფიკაციის ცენტრის ციფრულ ხელმოწერას, რომელმაც გასცა სერტიფიკატი.
სერტიფიკაციის ცენტრები
CA-ს დანიშნულებაა იმ ღია გასაღებების აუთენტიკაცია, რომლებიც ეკუთვნის მომხმარე-
ბლებს ან სხვა სერტიფიკაციის ცენტრებს. ამ ფუნქციების განსახორციელებლად CA გასცემს სერ-
თიფიკატებს, რომელიც ხელმოწერილია მათი საკუთრი დახურული გასაღებით, ახორციელებს
375
სერტიფიკატის სერიულ ნომერთან დაკავშირებულ ოპერაციებს და აუცილებლობის შემთხვევაში
გააუქმებს სერტიფიკატს.
იმისათვის, რომ სერტიფიკატი განსაზღვრული იყოს, როგორც მოქმედი, ელექტრონული
ტრანზაქციის ორივე მხარე უნდა ენდობოდეს სერტიფიკაციის ცენტრს (CA). თქვენს კომპიუტერზე
„ნაგულისხმევი პრინციპით“ მოთავსებულია მრავალი სერტიფიკატი, რომლებიც გაცემულია სან-
დო CA-ს მიერ. ისინი მოთავსებულია საცავში Trusted Root Certification Authorities. ეს სერტიფი-
კატები აქტიურდებიან ციფრული ხელმოწერის მქონე პროგრამის ჩატვირთვის შემთხვევაში. ამ
დროს სერტიფიკატები გამოიყენება ავტომატურად, თქვენგან დამოუკიდებლად. სერტიფიკატები
გამოიყენება იმ შემთხვევაშიც, თუ მომხმარებელი მიმართვს დაცულ ვებსაიტს (Internet Explorer- ის
ფანჯარაში სტატუსის პანელზე გამოსახულია ბოქლომი) კოდირებული მიერთების განსახორციე-
ლებლად.
სურ.13.34-ზე გამოსახულია სერტიფიკატი, რომლის მიმართაც არ არის დადასტურებული
სანდო დამოკიდებულება, რადგან ის არ არის გაცემული ძირითადი სანდო CA-ს მიერ.
თუ გსურთ დაიცვათ თქვენი წერილები არასანქცირებული მიმართვისაგან ან გამოაქვეყნოთ
ინტერნეტში რომელიმე პროგრამული პროდუქტი, საჭიროა იქონიოთ სერტიფიკატები. სერტიფი-
კატის შეძენა შეიძლება სერტიფიკაციის ცენტრებში. ცენტრების უმრავლესობა აწესებს გარკვეულ
ფასებს სერტიფიკატებზე და თითოეული მათგანი იყენებს პიროვნების დადასტურების სხვადასხვა
ხერხებს. ფირმა Thawte-ი (https://www.thawte.com/) გარკვეული რეგისტრაციის გავლის შემდეგ,
სერტიფიკატებს გასცემს უფასოდ.
376
ციფრული სერტიფიკატების თვისებები
ციფრული სერტიფიკატების თვისებების დასათვალიერებლად შეასრულეთ შემდეგი მოქმე-
დებები:
გააქტიურეთ Internet Explorer-ი;
აირჩიეთ ბრძანება Tools > Internet Options > Content > Certificates;
აირჩიეთ სერტიფიკატი, ორჯერ დააჭირეთ მაუსის მარცხენა ღილაკს მის დასახელებაზე
იხილეთ სურ. 13.35 ეკრანზე გამოჩნდება დიალოგური ფანჯარა, რომელიც შედგება შემდეგი
ჩანართებისაგან.
377
პროგრამული კოდის გამოიყენება პროგრამული კოდის მწარმოებლების
ხელმოწერა მიერ პროგრამების აუთენტიკაციისათვის
სერტიფიკატების მართვა
სერტიფიკატების მართვა შეიძლება ორი გზით: დიალოგური ფანჯრიდან Certificates და
Microsoft-მართვის კონსოლიდან Certificates.
დიალოგური ფანჯარა Certificates
დიალოგური ფანჯრის Certificates -ის ეკრანზე გამოსატანად შეასრულეთ შემდეგი მოქმედე-
ბები:
გააქტიურეთ Internet Explorer-ი;
აირჩიეთ ბრძანება Tools→Internet Options→ Content→Certificates;
ეკრანზე გამოჩნდება დიალოგური ფანჯარა (სურ. 13.36). მოცემულ დიალოგურ
ფანჯარაში წარმოდგენილია სერტიფიკატების საცავი, სადაც სერტიფიკატები დაჯგუფებულია
დანიშნულების მიხედვით.
378
სურ. 13.36. Windows-ის ციფრული სერტიფიკატების სია
379
სურ. 13.37. სერტიფიკატების მართვის ფანჯარა
380
სურ. 13.38. სერფიტიკატის ექსპორტის ოსტატი
381
ლაბორატორიული სამუშაო №11 - პაკეტებისა და პროცესების
მართვა
11.1 შესავალი
ეს არის ლაბორატორიული სამუშაო №11: ლინუქსის მონაცემთა ადგილმდებარეობები.
მოცემული ლაბორატორიული სამუშაოს შესრულებით, თქვენ შეისწავლით ბირთვის
(kernel) ინფორმაციის, პროცესების ინფორმაციის, ბიბლიოთეკების, ლოგ ფაილების და
პროგრამულ პაკეტების ადგილმდებარეობებს.
ამ ლაბორატორიულ სამუშაოში თქვენ შეასრულებთ შემდეგ ამოცანებს:
1. შეისწავლით თუ როგორ იყენებს ბირთვი /proc ფაილურ სისტემას.
2. გამოიყენებთ ps ბრძანებას, პროცესის ინფორმაციის დასათვალიერებლად
3. პროცესების მართვის შესწავლა, მათი გაშვებით, შეჩერებით და განახლებით
4. ლოგ ფაილების დათვალიერება
5. საერთო ბიბლიოთეკების ჩატვირთვის შესაძლებლობის მართვა
ბრძანების ბოლოს & (ამპერსანდი - გრაფიკული ნიშანი &. გამოიყენება სიტყვა „და“-ს
ნაცვლად) ნიშნის დამატებით, პროცესი გაეშვება ფონურ რეჟიმში, რაც მომხმარებელს
აძლევს ტერმინალის კონტროლის შენარჩუნების საშუალებას.
ზემოთ მოყვანილი ბრძანების ადვილად შესაყვანად გამოიყენეთ ბრძანების ისტორია.
თქვენ უნდა დააჭიროთ კლავიატურაზე არსებულ ზედა ისრის ღილაკს , დაამატოთ
სივრცე (space), ბრძანების ბოლოს აკრიფოთ & სიმბოლო და შესასრულებლად დააჭიროთ
Enter ღილაკს. ამით დაზოგავთ დროს, მსგავსი ბრძანებების შეყვანისას.
ეს ნიშნავს, რომ ამ პროცესს აქვს სამუშაო ნომერი 1 (როგორც ნაჩვენებია [1] შედეგით)
და პროცესის იდენტიფიკატორი (PID) 93. თითოეულ ტერმინალს/პროგრამულ გარსს ექნება
უნიკალური სამუშაო ნომერი. PID არის საერთო სისტემური; თითოეულ პროცესს აქვს
უნიკალური ID ნომერი.
ეს ინფორმაცია მნიშვნელოვანია, როცა სრულდება ზოგიერთი პროცესის
მანიპულაციები, როგორიცაა პროცესების შეწყვეტა ან მათთვის პრიორიტეტის
მნიშვნელობის შეცვლა.
შენიშვნა: თქვენი პროცეს ID იქნება იმისგან განსხვავებული, რაც მაგალითშია
მოცემული.
გაითვალისწინეთ:
შეწყვეტის სიგნალი 9 ან SIGKILL წარმოადგენს „ძლიერ“ სიგნალს, ნაგულისხმევი
მნიშვნელობისაგან (15) განსხვავებით, მისი უგულებელყოფა არ ხდება. მიაქციეთ
ყურადღება იმას, რომ ping ბრძანების ყველა მიმართვა წაშლილია top-დან.
რესურსების
მონიტორინგის აღწერა
ჩანართები
• ჩანართი გვიჩვენებს ზოგად მოხმარებას თითოეული რესურსისთვის
Overview
• თუ აირჩევთ ერთ პროცესს, ის გაიფილტრება ყველა ჩანართში, რათა ასახოს მხოლოდ ამ
(მიმოხილვა)
პროცესის სტატისტიკა
• ნაჩვენებია პროცესის იდენტიფიკატორი (PID), ნაკადების რაოდენობა, რომელ პროცესორს
CPU იყენებს პროცესი და პროცესორის საშუალო მოხმარება თითოეული პროცესისთვის
(ცენტრალური • ქვედა სტრიქონების ჩამოშლით შეგიძლიათ ნახოთ დამატებითი ინფორმაცია ნებისმიერი
პროცესორი) სერვისის შესახებ, რომელზეც დამოკიდებულია პროცესი და ასევე დაკავშირებული
მაკონტროლებლებისა (handle) და მოდულების შესახებ
• ამ ჩანართში ნაჩვენებია ყველანაირი სტატისტიკური ინფორმაცია იმის შესახებ თუ როგორ
Memory
იყენებს თითოეული პროცესი მეხსიერებას
(ოპერატიული
• ასევე, ქვედა Processes სტრიქონზე ნაჩვენებია მთლიანი ოპერატიული მეხსიერების (RAM)
მეხსიერება)
გამოყენების მიმოხილვა
Disk (მყარი • მოცემულ ჩანართში ნაჩვენებია ყველა ის პროცესი, რომელიც იყენებს დისკს, ასევე
დისკი) ჩაწერა/წაკითხვის სტატისტიკები და თითოეული შემნახველი მოწყობილობის მიმოხილვა
The next command output shows the configuration file for the network time protocol
(NTP).
ლინუქსი - სერვისის კონფიგურაციის ფაილები
The last command output shows the configuration file for Snort, a Linux-based intrusion detection system (IDS).
There is no rule for a configuration file format; it is the choice of the service’s developer. However, the option =
value format is often used. For example, in the last command output, the variable ipvar is configured with several
options. The first option, HOME_NET, has the value 209.165.200.224/27. The hash character (#) is used to indicate
comments.
ლინუქსი - სერვისის ლოგების მონიტორინგი
Log files are the records that a computer stores to keep track of important events. Kernel,
services, and application events are all recorded in log files. It is very important for an
administrator to periodically review the logs of a computer to keep it healthy. By monitoring
Linux log files, an administrator gains a clear picture of the computer’s performance, security
status, and any underlying issues. Log file analysis allows an administrator to guard against
upcoming issues before they occur.
In Linux, log files can be categorized as:
• Application logs
• Event logs
• Service logs
• System logs
Some logs contain information about daemons that are running in the Linux system. A
daemon is a background process that runs without the need for user interaction. For example,
the System Security Services Daemon (SSSD) manages remote access and authentication for
single sign-on capabilities.
ლინუქსი - სერვისის ლოგების მონიტორინგი
The table lists a few popular Linux log files and their functions:
ლინუქსი - სერვისის ლოგების მონიტორინგი
The command output shows a portion of /var/log/messages log file. Each line represents a
logged event. The timestamps at the beginning of the lines mark the moment the event took place.
მუშაობა ლინუქს ჰოსტზე - პროცესები და განშტოებები
A process is a running instance of a computer program. Multitasking operating systems can
execute many processes at the same time.
Forking is a method that the kernel uses to allow a process to create a copy of itself. Processes
need a way to create new processes in multitasking operating systems. The fork operation is the
only way of doing so in Linux.
Forking is important for many reasons. One of them relates to process scalability. Apache, a
popular web server, is a good example. By forking itself, Apache is able to serve a large number of
requests with fewer system resources than a single-process-based server.
When a process calls a fork, the caller process becomes the parent process, with the newly
created process referred to as its child. After the fork, the processes are, to some extent,
independent processes; they have different process IDs but run the same program code.
მუშაობა ლინუქს ჰოსტზე - პროცესები და განშტოებები
The command output shows the output of the top command on a Linux computer.
გმადლობთ ყურადღებისათვის!!!
თავი 15. სისტემის წარმადობა და მონიტორინგი
401
სურ 15.2 – Boot (ჩატვირთვა) ჩანართი
402
OS boot information - გამოტანილი იქნება ოპერაციული სისტემის შესახებ დამატებითი
ინფორმაცია;
რაც შეეხება უსაფრთხო რეჟიმს, შეგიძლიათ აირჩიოთ შემდეგი ვარიანტი:
Minimal – Windows-ის მინიმალური ჩატვირთვა, ასეთი რეჟიმი ყველაზე მეტად გამოიყე-
ნება ოპერაციული სისტემის აღდგენისათვის;
Alternate shell - იქნება გამოყენებული ალტერნატიული გარსი. Explorer-ის ნაცვლად გაშვე-
ბულ იქნება ბრძანებათა სტრიქონი ადმინისტრატორის უფლებით. არ აგერიოთ მოცემული რეჟიმი
No GUI boot რეჟიმთან. მოცემულ რეჟიმში გრაფიკული ქვესისტემა იქნება ჩატვირთული, რაც უზ-
რუნველყოფს გრაფიკული აპლიკაციის გაშვებას ბრძანებათა სტრიქონიდან, უბრალოდ არ იქნება
ჩატვირთული File Explorer-ი;
Active Directory repair - აქტიური დირექტორიის აღდგენის რეჟიმი;
Network - უსაფრთხო რეჟიმის ჩატვირთვა ქსელურ დრაივერებთან ერთად (მხარდაჭერი-
ლი იქნება ქსელი).
შერჩეული პარამეტრები ინახება ზუსტად ერთ გადატვირთვამდე. მეორე გადატვირთვის
დაწყებისას (პარამეტრების მომართვის შემდეგ) გამოყენებული იქნება სტანდარტული პარამეტ-
რები. თუ გსურთ ცვლილებების შენახვა, დააყენეთ აღნიშვნა Make all boot settings permanent
(ჩატვირთვის ყველა პარამეტრის მომართვა მუდმივად) პუნქტზე (ზუსტად უნდა იყოთ დარწმუნე-
ბული იმაში რასაც აკეთებთ, რადგან Windows-ის ნორმალური ჩატვირთვისათვის როგორც წესი
არაა საჭირო მოცემულ ჩანართში რაიმეს ცვლილება).
Services (მომსახურებები) ჩანართი (სურ.15.4) უზრუნველყოფს სისტემური სერვისების ჩარ-
თვა-გამორთვას. სერვისის გათიშვა საპასუხისმგებლო საქმეა (არ გათიშოთ ისეთი სერვისი, რომ-
ლის გარეშეც ვერ იმუშავებს ნახევარი სისტემა), msconfig პროგრამა არაა ისეთი მოხერხებული
როგორც services.msc ტექნიკა.
403
ავტომატურად გაშვებადი პროგრამები „განისაზღვრება“ HKLM\SOFTWARE
\Microsoft\Windows\CurrentVersion\Run რეესტრის დანაყოფში ან HKCU\Software\ Microsoft\Win-
dows\CurrentVersionRun დანაყოფში. პროგრამის ავტოგაშვების გათიშვა რეესტრის რედაქტორის გა-
მოყენებით არ არის მოხერხებული, ამიტომ უნდა გამოიყენოთ msconfig პროგრამა (სურ. 15.5).
msconfig პროგრამა მოსახერხებელია ასევე პროგრამების ავტოგაშვების გამოსართველად იმ შემ-
თხვევაშიც კი თუ ბოლო „ჩანაწერი“ არაა რეესტრში, არამედ არის Startup (ავტოგაშვება) პროგრამულ
ჯგუფში. Startup-ის ობიექტების სამართავად უნდა გახსნათ ამავე დასახელების ჩანართი დავალე-
ბათა მმართველში (Task Manager) ან დააჭიროთ სისტემის კონფიგურაციის Startup ჩანართში Open
Task Manager (დავალებათა მმართველის გახსნა) ბმულს. ერთი სიტყვით, ნებისმიერ შემთხვევაში
msconfig ან Task Manager პროგრამის გამოყენებაა უფრო მოხერხებული, ვიდრე რეესტრის რედაქ-
ტორი (კონკრეტულად ავტოგაშვების რედაქტირებისათვის).
404
სურ. 15.7 – Tools (უტილიტები) ჩანართი
405
სურ. 15.8. დავალებათა დამგეგმავის ფანჯარა
406
სურ. 15.10. დავალების ასამუშავებელი სქემა (Trigger)
შემდეგი ეტაპი - დავალების შესრულების საწყისი დროის განსაზღვრა (სურ. 15.11). შემდეგ
უნდა განისაზღვროს საჭირო ქმედება, სწორად უნდა მოვმართოთ თვითონ დავალება (სურ. 15.12).
დამგეგმავს შეუძლია პროგრამის გაშვება, ელექტრონული შეტყობინების გაგზავნა ან უბრალოდ
შეტყობინების გამოტანა სამუშაო მაგიდაზე. ჩვენს შემთხვევაში გვჭირდება ბოლო ვარიანტი (სურ.
15.13).
407
სურ. 15.13. შეტყობინების მითითება
დავალების შექმნის შემდეგ ჩნდება ერთი კითხვა, რას იზამს დამგეგმავი თუ დაგეგმილი
დავალების დაწყების დროისათვის კომპიუტერი იქნა გათიშული? მაგალითად, მომართეთ ფაილის
გადმოწერა 21:00-ზე და წახვედით სახლში. მაგრამ 20:50-ზე მოხდა ელექტროენერგიის გამორთვა
და 21:00 დროისათვის კომპიუტერი იქნა გათიშული. დენი მოვიდა 21:30-ზე. დაიწყება თუ არა
ფაილის გადმოწერა?
როგორც ჩანს არა, არ დაიწყება. თუ კომპიუტერი იქნა გათიშული, დამგეგმავს არ შეუძლია
კომპიუტერის ჩართვის დავალების შექმნა. თუმცა არსებობს ასეთი შესაძლებლობა. ამისათვის
408
მოძებნეთ თქვენ მიერ შექმნილი დავალება დავალებების სიაში, დააჭირეთ მასზე მაუსის მარჯვენა
ღილაკით და აირჩიეთ Properties (თვისებები) ბრძანება. გამოსულ ფანჯარაში გადადით Settings
(პარამეტრები) ჩანართში და გააქტიურეთ ბრძანება Run task as soon as possible after a scheduled start is
missed (გაშვებულ იქნას დავალება რაც შეიძლება მალე, დაგეგმილი დაწყების გამოტოვების შემდეგ).
Conditions (პირობები) ჩანართში შედის დამატებითი პარამეტრები, რომელიც ძალიან გამოსა-
დეგია ნოუთბუქის მომხმარებლებისათვის (სურ. 15.16). სტანდარტულად დავალება ეშვება მხო-
ლოდ ელექტროენერგიის მიწოდების დროს და წყდება, თუ ნოუთბუქი გადავა დენის ელემენტი-
დან მიწოდების რეჟიმზე, რაც სრულიად ლოგიკურია - საჭიროა ენეგიის ეკონომია. ასევე შესაძლე-
ბელია Wake the computer to run this task (კომპიუტერის გამოღვიძება დავალების შესასრულებლად)
რეჟიმის ჩართვა - თუ კომპიუტერი დავალების გაშვების პერიოდში იმყოფება ძილის რეჟიმში
(ჰიბერნაცია), მაშინ დამგეგმავი „გააღვიძებს“ კომპიუტერს დავალების შესასრულებლად.
409
15.3. მოვლენათა დათვალიერება
სისტემა ყოველთვის იწერს მოვლენებს, რომელიც მის შიგნით ხდება. ეს ნიშნავს, რომ თუ
მოხდა რაიმე მოვლენა, მაგალითად, გაშვებული იქნა ან შეჩერდა რაიმე სერვისი ან თუნდაც დაფიქ-
სირდა შეცდომა, ეს მოვლენა იქნება ჩაწერილი ჟურნალში. Event Viewer პროგრამა იძლევა სისტემის
ყველა მოვლენის დათვალიერების საშუალებას.
გაუშვით მოცემული პროგრამა. პროგრამის გასაშვებად მიყევით ინსტრუქციას: Start (Start
მენიუ) → All apps (ყველა აპლიკაცია) → Windows Administrative Tools (Windows-ის ადმინის-
ტრირების უტილიტები) → Event Viewer (მოვლენათა დათვალიერება). ვთქვათ, დავათვალიეროთ
დღეს დაფიქსირებული შეცდომები. ქვემოთ მოცემულ ფანჯარაში (სურ. 15.17) მარცხენა მხარეს
ჩამოშალეთ Windows Logs (Windows-ის აღრიცხვის ჟურნალები) კატალოგი და აირჩიეთ System
(სისტემა), შემდეგ აირჩიეთ მოქმედება (მარჯვენა მენიუდან) Filter Current Log… (მიმდინარე ჟურნ-
ალის გაფილტვრა). ჩამოშალეთ Logged ველი და აირჩიეთ ბოლო 24 საათი და Event level (მოვლენის
დონე) განყოფილებაში აღნიშნეთ თქვენთვის საინტერესო ყველა მოვლენის დონე (ჩვენს შემთხვ-
ევაში გვაინტერესებს კრიტიკული მოვლენები (Critical), შეცდომები (Error) და გაფრთხილებები
(Warning)).
OK ღილაკზე დაჭერის შემდეგ პროგრამა გამოიტანს ყველა იმ მოვლენას, რომელიც შეესა-
ბამება ჩვენ მიერ მითითებულ პირობებს (სურ. 15.18).
410
სურ. 15.18. ფილტრის შედეგები
არ ღირს პანიკის ატეხა თუ თქვენს სისტემაში არის შეცდომები. ეს არის ნორმალური მოვ-
ლენა. თუ სისტემა ნორმალურად იტვირთება და მუშაობს, ე.ი. გამოჩენილი შეცდომები გავლენას
არ ახდენს სისტემის მუშაობაზე, ამიტომ შეგიძლიათ ყურადღება არ მიაქციოთ მოცემულ შეცდო-
მებს. მაგრამ თუ კომპიუტერი მოულოდნელად „ეკიდება“, მაშინ არსებობს შეცდომების ჟურნალის
გადახედვის მიზეზი, კომპიუტერის გადატვირთვის შემდეგ.
411
სურ. 15.19. პროცესორის დატვირთვის გრაფიკი
412
სურ. 15.21. დატვირთვების ერთობლივი გრაფიკი
413
სურ. 15.22. მეხსიერების შემოწმების საშუალება Windows-ში
Test Mix (ტესტირების ნაკრები) შეგიძლიათ აირჩიოთ ტესტირების ტიპი (Basic (ბაზისური),
Standard (სტანდარტული), Extended (გაფართოებული)); ტესტის თითოეული ტიპის აღწერა აისახება
მეხსიერების დიაგნოსტიკის საშუალებაში;
Cache საჭიროა თუ არა ქეშის გამოყენება;
Pass Count (გავლების რაოდენობა) შესაძლებელია ტესტირების გამეორებების რიცხვის
შეცვლა.
შეცვლილი პარამეტრებით ტესტის გასავლელად დააჭირეთ F10 ღილაკს.
414
რა უნდა ვქნათ, თუ Windows-მა აღმოაჩინა მეხსიერებასთან დაკავშირებული პრობლემები?
ამ შემთხვევაში უნდა დავუბრუნოთ კომპიუტერი იმ პიროვნებას, ვისგანაც იყიდეთ ან მიაკითხოთ
პირდაპირ სერვისცენტრს მეხსიერების მოდულის შესაცვლელად. თუ გარანტია აღარ აქვს, მაშინ
საჭიროა მეხსიერების მოდულის შეცვლა, სხვა გამოსავალი არაა. თუმცა სჯობს სერვისცენტრში
მიტანა იმ შემთხვევაშიც კი, თუ გარანტიას ვადა გაუვიდა. საქმე ისაა, რომ ხშირად პრობლემა
დაკავშირებულია არა ოპერატიულ მეხსიერებასთან, არამედ დედაპლატასთან. ამ შემთხვევაში შეც-
ვლა უფრო ძვირი დაჯდება, მაგრამ თქვენ დაზოგავთ ფულს მეხსიერების მოდულების შეძენაში.
415
ოპერაციული სისტემის სისუსტეები
Operating systems consist of millions of lines of code. Installed software can also contain
millions of lines of code. With all this code comes vulnerabilities. A vulnerability is some
flaw or weakness that can be exploited by an attacker to reduce the viability of a computer’s
information. To take advantage of an operating system vulnerability, the attacker must use a
technique or a tool to exploit the vulnerability. The attacker can then use the vulnerability to
get the computer to act in a fashion outside of its intended design. In general, the goal is to
gain unauthorized control of the computer, change permissions, or to manipulate or steal
data.
ოპერაციული სისტემის სისუსტეები
Device hardening involves implementing proven methods of securing the device and
protecting its administrative access. Some of these methods involve maintaining passwords,
configuring enhanced remote login features, and implementing secure login with SSH. Defining
administrative roles in terms of access is another important aspect of securing infrastructure
devices because not all information technology personnel should have the same level of access to
the infrastructure devices.
Depending on the Linux distribution, many services are enabled by default. Some of these
features are enabled for historical reasons but are no longer required. Stopping such services and
ensuring they do not automatically start at boot time is another device hardening technique.
OS updates are also extremely important to maintaining a hardened device. New
vulnerabilities are discovered every day. OS developers create and issue fixes and patches regularly.
An up-to-date computer is less likely to be compromised.
The following are basic best practices for device hardening.
• Ensure physical security
• Minimize installed packages
• Disable unused services
• Use SSH and disable the root account login over SSH
• Keep the system updated
• Disable USB auto-detection
• Enforce strong passwords
• Force periodic password changes
• Keep users from re-using old passwords
Many other steps exist and are often service or application-dependent.
მუშაობა ლინუქს ჰოსტზე - სისტემის განახლებული მდგომარეობის შენარჩუნება
Also known as patches, OS updates are released periodically by OS companies to address
any known vulnerabilities in their operating systems. While companies have update
schedules, the release of unscheduled OS updates can happen when a major vulnerability is
found in the OS code. Modern operating systems will alert the user when updates are
available for download and installation, but the user can check for updates at any time.
The following table compares Arch Linux and Debian / Ubuntu Linux distribution
commands to perform package system basic operations.
მუშაობა ლინუქს ჰოსტზე - სისტემის განახლებული მდგომარეობის შენარჩუნება
A Linux GUI can also be used to manually check and install updates. In Ubuntu for
example, to install updates you would click Dash Search Box, type software updater, and then
click the Software Updater icon, as shown in the figure.
მუშაობა ლინუქს ჰოსტზე - მავნე პროგრამა ლინუქს ჰოსტზე
Linux malware includes viruses, Trojan horses, worms, and other types of malware that
can affect the operating system. Due to a number of design components such as file system
structure, file permissions, and user account restrictions, Linux operating systems are
generally regarded as better protected against malware.
While arguably better protected, Linux is not immune to malware. Many vulnerabilities
have been found and exploited in Linux. These range from server software to kernel
vulnerabilities. Attackers are able to exploit these vulnerabilities and compromise the target.
Because Linux is open source, fixes and patches are often made available within hours of the
discovery of such problems.
If a malicious program is executed, it will cause damage, regardless of the platform. A
common Linux attack vector is its services and processes. Vulnerabilities are frequently found
in server and process code running on computers connected to the network. An outdated
version of the Apache web server could contain an unpatched vulnerability which can be
exploited by an attacker, for example. Attackers often probe open ports to assess the version
and nature of the server running on that port. With that knowledge, attackers can research if
there are any known issues with that particular version of that particular server to support
the attack. As with most vulnerabilities, keeping the computer updated and closing any
unused services and ports is a good way to reduce the opportunities for attack in a Linux
computer.
მუშაობა ლინუქს ჰოსტზე - მავნე პროგრამა ლინუქს ჰოსტზე
The command output shows an attacker using the Telnet command to probe the nature
and version of a web server (port 80).
The attacker has learned that the server in question is running nginx version 1.12.0. The
next step would be to research known vulnerabilities in the nginx 1.12.0 code.
Note: You will learn more about this attack later in the course.
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - შესავალი
სისტემაში შესვლა
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - OpenSSH სერვერის ინსტალაცია
პირველ რიგში განაახლეთ სისტემა apt ან apt-get ბრძანებით:
sudo apt update ან sudo apt-get update
sudo apt upgrade ან sudo apt-get upgrade
Openssh-server პაკეტის ინსტალაციისთვის გაუშვით შემდეგი ბრძანება:
sudo apt-get install openssh-server
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ssh სერვისის
შემოწმება და ჩართვა
აკრიფეთ შემდეგი systemctl ბრძანება:
sudo systemctl status ssh
თუ არაა გაშვებული, მაშინ ჩართეთ ssh სერვერი და გაუშვით შემდეგი systemctl
ბრძანებათა გამოყენებით:
sudo systemctl enable ssh
sudo systemctl start ssh
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ფაიერვოლის
კონფიგურაცია და 22-ე პორტის გახსნა
ssh პორტის ფაიერვოლში გახსნისთვის გამოიყენება ქვემოთ მოცემული სინტაქსი:
sudo ufw allow ssh
ან
sudo ufw allow 22/tcp
შესაძლებელია კომენტარის დამატებაც:
sudo ufw allow 22/tcp comment ‘Open port ssh tcp port 22’
თუ ssh-ს უშვებთ 2222 პორტის ნომერზე, მაშინ შეიყვანეთ
sudo ufw allow 2222/tcp
კონკრეტული IP მისამართიდან შემომავალი SSH კავშირის დასაშვებად შეგიძლიათ
გამოიყენოთ შემდეგი სინტაქსი:
sudo ufw allow from 192.168.1.6 to any port 22
კონკრეტული ქვექსელიდან შემომავალი SSH კავშირის დასაშვებად გამოიყენეთ
შემდეგი სინტაქსი:
sudo ufw allow from 192.168.1.6/24 to any port 22
ან sudo ufw allow from 192.168.1.6/24 to any port 22 proto tcp
კონკრეტული ქვექსელიდან შემომავალი SSH შეერთებების კონკრეტულ SSH
სერვერზე დასაშვებად გამოიყენეთ შემდეგი სინტაქსი:
sudo ufw allow from 192.168.1.6/24 to 192.168.1.21 port 22 proto tcp
შემომავალი SSH პორტის შეზღუდვა ყველასთვის
შემომავალი SSH კავშირის გახსნა და შეერთებების აკრძალვა იმ IP მისამართიდან,
რომელმაც სცადა 6 ან მეტი კავშირის წარმოება ბოლო 30 წუთში. სინტაქსი შემდეგია:
sudo ufw limit ssh ან sudo ufw limit 22/tcp
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ფაიერვოლის
მდგომარეობის შემოწმება
sudo ufw status
შედეგი შესაძლოა გამოიყურებოდეს სურათზე მოცემულის მსგავსად:
თუ ფაიერვოლი არაა ჩართული, შედეგი იქნება შემდეგნაირი
sudo ufw status
Status: inactive
ფაიერვოლის ჩასართავად სტანდარტულის წესების ნაკრებთან და open ssh პორტთან
ერთად, შეიყვანეთ:
sudo ufw enable
sudo ufw status verbose
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - SSH კავშირის
შემოწმება
ახლა უკვე შეგიძლიათ სხვა Linux, BSD, macOS, MS-Windows ან სხვა სისტემებიდან ssh
კავშირის განხორციელება ჩვენს ssh სერვერზე (რომელზეც გავხსენით წვდომა):
ssh shsvanishvili@192.168.1.21
OpenSSH სერვერის მომართვა უბუნტუ ლინუქსზე - ღია
გასაღებით აუთენტიკაცია
OpenSSH სერვერი მხარს უჭერს სხვადასხვა აუთენტიკაციის სქემას. ორ ყველაზე
პოპულარულ მეთოდს წარმოადგენს:
1. პაროლებზე დაფუძნებული აუთენტიკაცია
2. ღია გასაღებზე დაფუძნებული აუთენტიკაცია. ის წარმოადგენს ალტერნატიულ
უსაფრთხოების მეთოდს პაროლების გამოყენებისთვის. მოცემული მეთოდი
რეკომენდებულია VPS, cloud, გამოყოფილ ან თუნდაც საშინაო სერვერზე.
A rootkit is a type of malware that is designed to increase an unauthorized user’s privileges or grant
access to portions of the software that should not normally be allowed. Rootkits are also often used to
secure a backdoor to a compromised computer.
The installation of a rootkit can be automated (done as part of an infection) or an attacker can
manually install it after compromising a computer. A rootkit is destructive because it changes kernel
code and its modules, changing the most fundamental operations of the OS itself. With such a deep level
of compromise, rootkits can hide the intrusion, remove any installation tracks, and even tamper with
troubleshooting and diagnostic tools so that their output now hides the presence of the rootkit. While a
few Linux vulnerabilities through history have allowed rootkit installation via regular user accounts, the
vast majority of rootkit compromises require root or administrator access.
Because the very nature of the computer is compromised, rootkit detection can be very difficult.
Typical detection methods often include booting the computer from trusted media such as a diagnostics
operating system live CD. The compromised drive is mounted and, from the trusted system toolset,
trusted diagnostic tools can be launched to inspect the compromised file system. Inspection methods
include behavioral-based methods, signature scanning, difference scanning, and memory dump analysis.
Rootkit removal can be complicated and often impossible, especially in cases where the rootkit
resides in the kernel; re-installation of the operating system is usually the only real solution to the
problem. Firmware rootkits usually require hardware replacement.
chkrootkit is a popular Linux-based program designed to check the computer for known rootkits. It
is a shell script that uses common Linux tools such as strings and grep to compare the signatures of core
programs. It also looks for discrepancies as it traverses the /proc file system comparing the signatures
found there with the output of ps.
While helpful, keep in mind that programs to check for rootkits are not 100% reliable.
მუშაობა ლინუქს ჰოსტზე - შემოწმება რუტკიტზე
There are a number of ways to secure a network. Networks can be secured through device
hardening, authentication, authorization, and accounting (AAA) access control lists (ACLs),
firewall features, and intrusion prevention system (IPS) implementations. These combined
features protect the infrastructure and end devices within the local network. But how is
network traffic protected when traversing the public Internet? The answer is through
cryptographic methods.
The principles of cryptology can be used to explain how modern day protocols and
algorithms are used to secure communications. Cryptology is the science of making and
breaking secret codes. The development and use of codes is called cryptography, and breaking
codes is called cryptanalysis. Cryptography has been used for centuries to protect secret
documents. For example, Julius Caesar used a simple alphabetic cipher to encrypt messages to
his generals in the field. His generals would have knowledge of the cipher key required to
decrypt the messages.
Today, modern day cryptographic methods are used in many different ways to ensure
secure communications. Modern cryptography uses computationally secure algorithms to
make sure that cyber criminals cannot easily compromise protected information.
კრიპტოგრაფიული სისტემები
Data confidentiality ensures privacy so that only the receiver can read the message. This
can be achieved through encryption. Encryption is the process of scrambling data so that it
cannot be easily read by unauthorized parties.
When enabling encryption, readable data is called plaintext, or cleartext, while the
encrypted version is called encrypted text or ciphertext. In this course, we will use the term
ciphertext. The plaintext readable message is converted to ciphertext, which is the
unreadable, disguised message. Decryption reverses the process. A key is required to encrypt
and decrypt a message. The key is the link between the plaintext and ciphertext.
Using a hash function is another way to ensure data confidentiality. A hash function
transforms a string of characters into a usually shorter, fixed-length value or key that
represents the original string. The difference between hashing and encryption is in how the
data is stored. With encrypted text, the data can be decrypted with a key. With the hash
function, after the data is entered and converted using the hash function, the plaintext is
gone. The hashed data is simply there for comparison. For example, when a user enters a
password, the password is hashed and then compared to the stored hashed value. If the user
forgets the password, it is impossible to decrypt the stored value, and the password must be
reset.
The purpose of encryption and hashing is to guarantee confidentiality so that only
authorized entities can read the message.
შიფრაციის ალგორითმების ორი კლასი -
კრიპტოგრაფიული შიფრაცია სხვადასხვა შრეებზე
როგორც სურათზეა ნაჩვენები, კრიპტოგრაფიულ შიფრაციას სხვადასხვა უტილიტებისა და პროტოკოლების
გაერთიანებით შეუძლია კონფიდენციალურობის უზრუნველყოფა OSI მოდელის რამოდენიმე შრეზე.
გასაღების სტანდარტული სიგრძე არის 80- გასაღების სტანდარტული სიგრძე არის 512-
დან 256 ბიტამდე დან 4096 ბიტამდე
გასაღები გასაღები
შიფრაცია დეშიფრაცია
ასიმეტრიული შიფრაციის მაგალითი
სურათზე მოცემულ ასიმეტრიული ალგორითმის მაგალითში, ბობი და ალისა არ ცვლიან გასაღებებს
კონფიდენციალური შეტყობინებების გაგზავნის წინ. ამის ნაცვლად, ბობს და ალისას, თითოეულს, აქვს
გამოყოფილი ბოქლომი თავის შესაბამის გასაღებთან ერთად. იმისათვის, რომ ალისამ გაუგზავნოს
საიდუმლო შეტყობინება ბობს, პირველ რიგში ის უნდა დაუკავშირდეს ბობს და სთხოვოს მას თავისი ღია
ბოქლომის გამოგზავნა. ბობი უგზავნის ბოქლომს, მაგრამ ინახავს თავის გასაღებს. როცა ალისა მიიღებს
ბოქლომს, ის წერს თავის კონფიდენციალურ შეტყობინებას და ათავსებს მას მცირე ყუთში. ის ასევე დებს
თავის გახსნილ ბოქლომს ყუთში, მაგრამ ინახავს თავის გასაღებს. შემდეგ ის კეტავს ყუთს ბობის ბოქლომით.
როდესაც ალისა ჩაკეტავს ყუთს, მას აღარ შეუძლია შიგნით შეღწევა, რადგან მას არ აქვს ამ ბოქლომის
გამხსნელი გასაღები. ის უგზავნის ყუთს ბობს. ყუთის საფოსტო სისტემით გადაგზავნის დროს არავის არ
შეუძლია მისი გახსნა. როცა ბობი იღებს ყუთს, მას შეუძლია თავისი გასაღების გამოყენება ყუთის
გასახსნელად და ალისასგან გამოგზავნილი შეტყობინების ამოღება. კონფიდენციალური პასუხის
გასაგზავნად, ბობი ათავსებს თავის საიდუმლო შეტყობინებას ყუთში, თავის გახსნილ ბოქლომთან ერთად და
კეტავს ყუთს ალისას ბოქლომით. ბობი უკან უგზავნის დაცულ ყუთს ალისას.
შიფრაციის გასაღები დეშიფრაციის გასაღები
შიფრაცია დეშიფრაცია
სიმეტრიული შიფრაციის ალგორითმები
სიმეტრიული ან საიდუმლო გასაღებით შიფრაცია არის კრიპტოგრაფიის ყველაზე ხშირად
გამოყენებული ფორმა, რადგან გასაღების მოკლე სიგრძე ზრდის შესრულების სიჩქარეს. ამასთან
ერთად, სიმეტრიული გასაღების ალგორითმები დაფუძნებულია მარტივ მათემატიკურ ოპერაციებზე,
რაც აჩქარებს ტექნიკური უზრუნველყოფის მიერ მის დამუშავებას. სიმეტრიული შიფრაცია ხშირად
გამოიყენება მონაცემთა ქსელებში სადენის-სიჩქარით შიფრაციისთვის და დიდი მოცულობის
შიფრაციის უზრუნველყოფისთვის, როცა მოითხოვება მონაცემთა საიდუმლოება, მაგალითად VPN
დაცვისთვის.
სიმეტრიული შიფრაციით, გასაღების მართვა შეიძლება იყოს პრობლემატური. შიფრაციისა და
დეშიფრაციის გასაღებები არის ერთიდაიგივე. გამგზავნმა და მიმღებმა უნდა გაცვალონ სიმეტრიული,
საიდუმლო გასაღები დაცული არხით, სანამ მოხდება რაიმეს დაშიფვრა. სიმეტრიული ალგორითმის
უსაფრთხოება დამოკიდებულია სიმეტრიული გასაღების საიდუმლოებაზე. გასაღების მოპოვებით,
ნებისმიერს შეუძლიაშეტყობინებების შიფრაცია და დეშიფრაცია.
გასაღების სიგრძე
სიმეტრიული შიფრაციის ალგორითმი
(ბიტებში)
DES 56
DES, 3DES, AES, პროგრამული შიფრაციის ალგორითმი (SEAL) და Riverst ciphers (RC) სერია,
რომელიც მოიცავს RC2, RC4, RC5 და RC6 ვერსიებს, წარმოადგენენ ყველაზე ცნობილ შიფრაციის
ალგორითმებს, რომლებიც იყენებენ სიმეტრიულ გასაღებებს. სურათზე გამოყოფილადაა ნაჩვენები
ხშირად გამოყენებული შიფრაციის ალგორითმები და მათი გასაღების სიგრძეები.
შენიშვნა: არსებობს კიდევ სხვა სიმეტრიული შიფრაციის ალგორითმები, როგორიცაა Blowfish,
Twofish, Threefish და Serpent. თუმცა ამ პროტოკოლებს ან Cisco-ს პლატფორმები არ უჭერს მხარს ან მათ
ჯერ ვერ ჰპოვეს ფართო გავრცელება.
ასიმეტრიული ალგორითმების ტიპები
ასიმეტრიული გასაღების
შიფრაციის სიგრძე აღწერა
ალგორითმი (ბიტებში)
დიფი-ჰელმანის (Diffie-Hellman) ალგორითმი არის ღია გასაღების
ალგორითმი, რომელიც შეიქმნა 1976 წელს ვაიტფილდ დიფისა და მარტინ
ჰელმანის მიერ. ის აძლევს საშუალებას ორ მხარეს, რომ შეთანხმდნენ ერთ
512, 1024,
გასაღებზე, რომელსაც გამოიყენებენ ისინი იმ შეტყობინებების დასაშიფრად,
DH 2048, 3072,
რომლის გაგზავნაც სურთ ერთმანეთთან. მოცემული ალგორითმის
4096
უსაფრთხოება დამოკიდებულია “ვარაუდზე”, რომ ადვილია რიცხვის აყვანა
გარკვეულ ხარისხში, მაგრამ რთულია იმის გამოთვლა თუ რომელი ხარისხი
იქნა გამოყენებული, მოცემული რიცხვისა და შედეგის მიხედვით.
DSS შეიქმნა NIST-ის მიერ და ზუსტად განსაზღვრავს DSA-ს, როგორც
ციფრული ხელმოწერის
ალგორითმს ციფრული ხელმოწერებისათვის. DSA არის ღია გასაღების
სტანდარტი (DSS) და
512 - 1024 ალგორითმი, რომელიც დაფუძნებულია ElGamal ხელმოწერის სქემაზე.
ციფრული ხელმოწერის
ხელმოწერის შექმნის სიჩქარე RSA-ს მსგავსია, მაგრამ 10-40-ჯერ ნელი
ალგორითმი (DSA)
დადასტურებაში (verification).
შეიქმნა მასაჩუსეტსის ტექნოლოგიურ უნივერსიტეტში, რონ რივესტის (Ron
Rivest), ადი შამირის (Adi Shamir) და ლეონარდ ადლემანის (Leonard Adleman)
მიერ, 1977 წელს. ის არის ალგორითმი ღია-გასაღებით კრიპტოგრაფიისთვის,
რომელიც დაფუძნებულია ძალიან დიდი რიცხვების მამრავლებად დაშლის
RSA შიფრაციის 512-დან მიმდინარე სირთულეებზე. ეს არის პირველი ალგორითმი, ცნობილი
ალგორითმი 2048-მდე როგორც ხელმოწერისა და შიფრაციისთვის შესაფერისი და ერთ-ერთი
პირველი დიდი წარმატებებიდან, ღია გასაღების კრიპტოგრაფიაში. ფართოდ
გამოიყენება ელექტრონული კომერციის პროტოკოლებში და ითვლება
დაცულად, საკმარისად გრძელი გასაღებებისა და თანამედროვე
რეალიზაციებში გამოყენების გათვალისწინებით.
ასიმეტრიული ალგორითმების ტიპები - ასიმეტრიული შიფრაციის ალგორითმები
ასიმეტრიული გასაღების
შიფრაციის სიგრძე აღწერა
ალგორითმი (ბიტებში)
ასიმეტრიული გასაღებით შიფრაციის ალგორითმი ღია-გასაღებით
კრიპტოგრაფიისთვის, რომელიც დაფუძნებულია Diffie-Hellman-ის
გასაღების ურთიერთშეთანხმებაზე. წარმოდგენილია Taher ElGamal-ის მიერ
1984 წელს და გამოიყენება GNU Privacy Guarg პროგრამულ
ElGamal 512 - 1024 უზრუნველყოფაში, PGP-ში და სხვა კრიპტოსისტემებში. ElGamal-ის
სისტემის ნაკლი არის ის, რომ დაშიფრული შეტყობინება ხდება ძალიან
დიდი, ორიგინალ შეტყობინებაზე დაახლოებით ორჯერ მეტი, და ამ
მიზეზით ის გამოიყენება მხოლოდ მცირე ზომის შეტყობინებებში,
როგორიცაა საიდუმლო გასაღებები.
ელიფსური მრუდის კრიპტოგრაფია გამოიგონა Neil Koblitz-მა და Victor
Elliptical curve techniques Miller-მა შუა 1980-იან წლებში. შეიძლება იქნას გამოყენებული მრავალ
- ელიფსური მრუდის 160 კრიპტოგრაფიულ სისტემასთან შეწყობისთვის, როგორიცაა Diffie-Hellman ან
ტექნიკები ElGamal. ელიფსური მრუდით კრიპტოგრაფიის მთავარი უპირატესობა არის
ის, რომ გასაღებები შეიძლება იყოს ბევრად უფრო პატარა.
გმადლობთ ყურადღებისათვის!!!