A. G. Abdukadirov 2017 y

VPN xavfsizligi shlyuzining adresi kiruvchi tunnellanuvchi paketning tashqi adresi 
sifatida ko‘rsatiladi, paketning ichki adresi esa shlyuz orqasidagi muayyan xost 
adresi hisoblanadi. VPN xavfsizligi shlyuzi alohida dasturiy echim, alohida apparat 
qurilmasi, hamda VPN vazifalari bilan to‘ldirilgan marshrutizatorlar yoki 
tarmoqlararo ekran ko‘rinishida amalga oshirilishi mumkin. 
Axborot uzatishning ochiq tashqi muhiti ma’lumot uzatishning tezkor 
kanallarini (Internet muhiti) va aloqaning sekin ishlaydigan umumfoyda-lanuvchi 
kanallarini (masalan, telefon tarmog‘i kanallarini) o‘z ichiga oladi. Virtual xususiy 
tarmoq VPNning samaradorligi aloqaning ochiq kanallari bo‘yicha aylanuvchi 
axborotning himoyalanish darajasiga bog‘liq. Ochiq tarmoq orqali ma’lumotlarni 
xavfsiz uzatish uchun inkapsulyasiyalash va tunnellash keng ishlatiladi. Tunnellash 
usuli bo‘yicha ma’lumotlar paketi umumfoydalanuvchi tarmoq orqali xuddi oddiy 
ikki nuqtali ula-nish bo‘yicha uzatilganidek uzatiladi. Har bir "jo‘natuvchi-qabul 
qiluvchi" juftligi orasiga bir protokol ma’lumotlarini boshqasining paketiga 
inkapsulyasiyalashga imkon beruvchi o‘ziga xos tunnel-mantiqiy ulanish o‘rnatiladi. 
Tunnellashga binoan, uzatiluvchi ma’lumotlar porsiyasi xizmatchi hoshiyalar 
bilan birga yangi "konvert"ga "joylash" amalga oshiriladi. Bunda pastroq sath 
protokoli paketi yuqoriroq yoki xudi shunday sath protokoli paketi ma’lumotlari 
maydoniga joylashtiriladi. Ta’kidlash lozimki, tunnelashning o‘zi ma’lumotlarni 
ruxsatsiz foydalanishdan yoki buzishdan himoyalamaydi, ammo tunnellash tufayli 
inkapsulyasiyalanuvchi dastlabki paketlarni to‘la kriptografik himoyalash 
imkoniyati paydo bo‘ladi. Uzatiluvchi ma’lumotlar konfidensialligini ta’minlash 
maqsadida jo‘natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IP sarlavha bilan 
tashqi paketga joylaydi va tranzit tarmoq bo‘yicha jo‘natadi (8.1-rasm). 
Ochiq tarmoq bo‘yicha ma’lumotlarni tashishda tashqi paket 
sarlavhasining ochiq kanallaridan foydalaniladi. 
Tashqi paket himoyalangan kanalning oxirgi nuqtasiga kelishi bilan undan 
ichki dastlabki paket chiqarib olinib, rasshifrovka qilinadi va uning tiklangan 
sarlavhasi ichki tarmoq bo‘yicha keyingi uzatish uchun ishlatiladi. 

Tunnellashdan paket tarkibini nafaqat konfidensialligini, balki uning 
yaxlitligini va autentiligini ta’minlashda foydalaniladi. Bunda elektron raqamli 
imzoni paketning barcha hoshiyalariga tarqatish mumkin. 
Internet bilan bog‘lanmagan lokal tarmoq yaratilganda kompaniya o‘zining 
tarmoq qurilmalari va kompyuterlari uchun hohlagan IP-adresdan foydalanishi 
mumkin. Oldin yakkalangan tarmoqlarni birlashtirishda bu adreslar bir-birlari va 
Interne^ ishlatilayotgan adreslar bilan to‘qnashishlari mumkin. Paketlarni 
inkapsulyasiyalash bu muammoni echadi, chunki u dastlabki adreslarni berkitishga 
va Internet IP adreslari makoni-dagi noyob adreslarni qo‘shishga imkon beradi. Bu 
adreslar keyin ma’lu-motlarni ajratiluvchi tarmoqlar bo‘yicha uzatishda ishlatiladi. 
Bunga lo-kal tarmoqqa ulanuvchi mobil foydalanuvchilarning IP-adreslarini va 
boshqa parametrlarini sozlash masalasi ham kiradi. 
Tunellash 
mexanizmi 
himoyalanuvchi kanalni shakllantiruvchi turli 
protokollarda keng qo‘llaniladi. Odatda tunnel faqat ma’lumotlarning 
konfidensialligi va yaxlitligining buzilishi xavfi mavjud bo‘lgan ochiq tarmoq 
qismida, masalan, ochiq Internet va korporativ tarmoq kirish nuqtalari orasida, 
yaratiladi. Bunda tashqi paketlar uchun ushbu ikki nuqtada o‘rnatilgan chegara 
marshrutizatorlarining adreslaridan foydala-nilsa, oxirgi uzellarning ichki adreslari 
ichki dastlabki paketlarda himoyalangan holda saqlanadi. Ta’kidlash lozimki, 
tunellash mexanizmi-ning o‘zi qanday maqsadlarda tunnellash qo‘llanilayotganiga 
bog‘liq emas. Tunnellash nafaqat uzatilayotgan barcha ma’lumotlarning 
konfidensialli-gi va yaxlitligini ta’minlashda, balki turli protokolli (masalan IPv4 va 
IPv6) tarmoqlar orasida o‘tishni tashkil etishda ham qo‘llaniladi. Tunnel-lash bir 
protokol paketini boshqa protokoldan foydalanuvchi mantiqiy muhitda uzatishni 
tashkil etishga imkon beradi. Natijada bir necha turli xil tarmoqlarning o‘zaro 
aloqalari muammosini hal etish imkoniyati pay-do bo‘ladi. 
Tunnellash mexanizmini amalga oshirilishiga uch xil protokollar: protokol-
"yo‘lovchi", protokol eltuvchi va tunnellash protokoli ishlashi natijasi deb qarash 
mumkin. Masalan, protokol - "yo‘lovchi" sifatida bitta korxona filiallarining lokal 
tarmoqlarida ma’lumotlarni tashuv-chi transport protokoli IPX ishlatilishi mumkin. 
Eltuvchi protokolning eng ko‘p tarqalgan varianti Internet tarmog‘ining IP
protokoli 

- lokal tarmoqlar orasidagi virtual himoyalangan kanal ("LXT-LHT" kanal); 
- uzel va lokal tarmoq orasidagi virtual himoyalangan kanal ("mi-joz-LHT" 
kanali). 
Ulanishning birinchi sxemasi alohida ofislar orasidagi qimmatli ajratilgan 
liniyalar o‘rniga o‘tadi va ular orasida doimo foydalanuvchan, himoyalangan 
kanallarni yaratadi. Bu holda xavfsizlik shlyuzi tunnel va lokal tarmoq orasida 
interfeys vazifasini o‘taydi va lokal tarmoq foy-dalanuvchilari bir-birlari bilan 
muloqot qilishda tunneldan foydalana-dilar. Aksariyat kompaniyalar \F1CHning bu 
hilidan global tarmoqning mavjud Frame Relay kabi ulanishlarni almashtirish uchun 
yoki ularga qo‘shimcha sifatida foydalanadilar. 
VPN himoyalangan kanalning ikkinchi sxemasi masofadagi yoki mobil 
foydalanuvchilar bilan ulanishni o‘rnatishga atalgan. Tunnelni yaratishni mijoz 
(masofadan foydalanuvchi) boshlab beradi. Masofadagi tarmoqni himoyalovchi 
shlyuz bilan bog‘lanish uchun u o‘zining kompyuterida maxsus mijoz dasturiy 
ta’minotini ishga tushiradi. VPNning bu turi kommuta-siyalanuvchi ulanishlarni 
o‘rniga o‘tadi va masofadan foydalanishning an’-anaviy usullari bilan bir qatorda 
ishlatilishi mumkin. 
Virtual himoyalangan kanallarning qator variantlari mavjud. Umu-man, 
orasida virtual himoyalangan kanal shakllantiriluvchi korporativ tarmoqning har 
qanday ikkita uzeli himoyalanuvchi axborot oqimining oxirgi va oraliq nuqtasiga 
taalluqli bo‘lishi mumkin. Axborot xavfsiz-ligi nuqtai nazaridan himoyalangan 
tunnel oxirgi nuqtalarining himoyalanuvchi axborot oqimining oxirgi nuqtalariga 
mos kelishi varian-ti ma’qul hisoblanadi. Bu holda kanalning axborot paketlari 
o‘tishining barcha yo‘llari bo‘ylab himoyalanishi ta’minlanadi. Ammo bu variant 
boshqarishning detsentralizatsiyalanishiga va resurs sarfining oshishiga olib keladi. 
Agar virtual tarmoqdagi lokal tarmoq ichida trafikni himoyalash talab etilmasa, 
himoyalangan tunnelning oxirgi nuqtasi sifati-da ushbu lokal tarmoqning 
tarmoqlararo ekrani yoki chegara marshrutizato-ri tanlanishi mumkin. Agar lokal
tarmoq ichidagi axborot oqimi himoyalanishi shart bo‘lsa, bu tarmoq oxirgi 
nuqtasi vazifasini himoyalangan aloqada ishtirok etuvchi kompyuter bajaradi. 
Lokal tarmoqdan masofadan foydalanilganida foydalanuvchi komp-yuteri 
virtual himoyalangan kanalning oxirgi nuqtasi bo‘lishi shart. Faqat paketlarni 

kommutatsiyalashli ochiq tarmoq, masalan Internet ichida o‘tkaziluvchi 
himoyalangan tunnel varianti etarlicha keng tarqalgan. Ushbu variant ishlatilishi 
qulayligi bilan ajralib tursada, nisbatan past xavfsizlikka ega. Bunday tunnelning 
oxirgi nuqtalari vazifasini odatda Internet provayderlari yoki lokal tarmoq chegara 
marshrutizatorlari (tarmoqlararo ekranlar) bajaradi. 
Lokal tarmoqlar birlashtirilganida tunnel faqat Internetning chega-ra 
provayderlari yoki lokal tarmoqning marshrutizatorlari (tarmoqlararo ekranlari) 
orasida shakllantiriladi. Lokal tarmoqdan masofadan foyda-lanilganida tunnel 
Internet provayderining masofadan foydalanish serve-ri, hamda Internetning chegara 
provayderi yoki lokal tarmoq marshrutizatori (tarmoqlararo ekran) orasida yaratiladi. 
Ushbu variant bo‘yicha qurilgan korporativ tarmoqlar yaxshi masshtablanuvchanlik 
va boshqariluvchanlikka ega bo‘ladi. SHakllantirilgan himoyalangan tunnellar ushbu 
virtual tarmoqdagi mijoz kompyuterlari va serverlari uchun to‘la shaffof hisoblanadi. 
Ushbu uzellarning dasturiy ta’minoti o‘zgarmaydi. Ammo bu variant axborot 
aloqasining nisbatan past xavfsizligi bilan xarakter-lanadi, chunki trafik qisman 
ochiq aloqa kanali bo‘yicha himoyalanmagan holda o‘tadi. Agar shunday VPNni 
yaratish va ekspluatatsiya qilishni pro-vayder ISP o‘z zimmasiga olsa, barcha virtual 
xususiy tarmoq uning shlyuz-larida, lokal tarmoqlar va korxonalarning masofadagi 
foydalanuvchilari uchun shaffof holda qurilishi mumkin. Ammo bu holda 
provayderga ishonch va uning xizmatiga doimo to‘lash muammosi paydo bo‘ldi. 
Himoyalangan tunnel, orasida tunnel shakllantiriluvchi uzellardagi virtual 
tarmoq komponentlari yordamida yaratiladi. Bu komponentlarni tunnel initsiatorlari 
va tunnel terminatorlari deb yuritish qabul qilingan. 

Yüklə 1,6 Mb.

Dostları ilə paylaş: