VPN xavfsizlik shlyuzi. (Security gateway) ikkita tarmoqqa ulanuvchi tarmoq
qurilmasi bo‘lib, o‘zidan keyin joylashgan ko‘p sonli xostlar uchun shifrlash va
autentifikatsiyalash vazifalarini bajaradi. VPN xavfsizli-gi shlyuzi shunday
joylashtiriladiki, ichki korporativ tarmoqqa atalgan barcha trafik u orqali o‘tadi.
VPN xavfsizligi shlyuzining adresi kiruvchi tunnellanuvchi paketning tashqi adresi
sifatida ko‘rsatiladi, paketning ichki adresi esa shlyuz orqasidagi muayyan xost
adresi hisoblanadi. VPN xavfsizligi shlyuzi alohida dasturiy echim, alohida apparat
qurilmasi, hamda VPN vazifalari bilan to‘ldirilgan marshrutizatorlar yoki
tarmoqlararo ekran ko‘rinishida amalga oshirilishi mumkin.
Axborot uzatishning ochiq tashqi muhiti ma’lumot uzatishning tezkor
kanallarini (Internet muhiti) va aloqaning sekin ishlaydigan umumfoyda-lanuvchi
kanallarini (masalan, telefon tarmog‘i kanallarini) o‘z ichiga oladi. Virtual xususiy
tarmoq VPNning samaradorligi aloqaning ochiq kanallari bo‘yicha aylanuvchi
axborotning himoyalanish darajasiga bog‘liq. Ochiq tarmoq orqali ma’lumotlarni
xavfsiz uzatish uchun inkapsulyasiyalash va tunnellash keng ishlatiladi. Tunnellash
usuli bo‘yicha ma’lumotlar paketi umumfoydalanuvchi tarmoq orqali xuddi oddiy
ikki nuqtali ula-nish bo‘yicha uzatilganidek uzatiladi. Har bir "jo‘natuvchi-qabul
qiluvchi" juftligi orasiga bir protokol ma’lumotlarini boshqasining paketiga
inkapsulyasiyalashga imkon beruvchi o‘ziga xos tunnel-mantiqiy ulanish o‘rnatiladi.
Tunnellashga binoan, uzatiluvchi ma’lumotlar porsiyasi xizmatchi hoshiyalar
bilan birga yangi "konvert"ga "joylash" amalga oshiriladi. Bunda pastroq sath
protokoli paketi yuqoriroq yoki xudi shunday sath protokoli paketi ma’lumotlari
maydoniga joylashtiriladi. Ta’kidlash lozimki, tunnelashning o‘zi ma’lumotlarni
ruxsatsiz foydalanishdan yoki buzishdan himoyalamaydi, ammo tunnellash tufayli
inkapsulyasiyalanuvchi dastlabki paketlarni to‘la kriptografik himoyalash
imkoniyati paydo bo‘ladi. Uzatiluvchi ma’lumotlar konfidensialligini ta’minlash
maqsadida jo‘natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IP sarlavha bilan
tashqi paketga joylaydi va tranzit tarmoq bo‘yicha jo‘natadi (8.1-rasm).
Ochiq tarmoq bo‘yicha ma’lumotlarni tashishda tashqi paket
sarlavhasining ochiq kanallaridan foydalaniladi.
Tashqi paket himoyalangan kanalning oxirgi nuqtasiga kelishi bilan undan
ichki dastlabki paket chiqarib olinib, rasshifrovka qilinadi va uning tiklangan
sarlavhasi ichki tarmoq bo‘yicha keyingi uzatish uchun ishlatiladi.
Tunnellashdan paket tarkibini nafaqat konfidensialligini, balki uning
yaxlitligini va autentiligini ta’minlashda foydalaniladi. Bunda elektron raqamli
imzoni paketning barcha hoshiyalariga tarqatish mumkin.
Internet bilan bog‘lanmagan lokal tarmoq yaratilganda kompaniya o‘zining
tarmoq qurilmalari va kompyuterlari uchun hohlagan IP-adresdan foydalanishi
mumkin. Oldin yakkalangan tarmoqlarni birlashtirishda bu adreslar bir-birlari va
Interne^ ishlatilayotgan adreslar bilan to‘qnashishlari mumkin. Paketlarni
inkapsulyasiyalash bu muammoni echadi, chunki u dastlabki adreslarni berkitishga
va Internet IP adreslari makoni-dagi noyob adreslarni qo‘shishga imkon beradi. Bu
adreslar keyin ma’lu-motlarni ajratiluvchi tarmoqlar bo‘yicha uzatishda ishlatiladi.
Bunga lo-kal tarmoqqa ulanuvchi mobil foydalanuvchilarning IP-adreslarini va
boshqa parametrlarini sozlash masalasi ham kiradi.
Tunellash
mexanizmi
himoyalanuvchi kanalni shakllantiruvchi turli
protokollarda keng qo‘llaniladi. Odatda tunnel faqat ma’lumotlarning
konfidensialligi va yaxlitligining buzilishi xavfi mavjud bo‘lgan ochiq tarmoq
qismida, masalan, ochiq Internet va korporativ tarmoq kirish nuqtalari orasida,
yaratiladi. Bunda tashqi paketlar uchun ushbu ikki nuqtada o‘rnatilgan chegara
marshrutizatorlarining adreslaridan foydala-nilsa, oxirgi uzellarning ichki adreslari
ichki dastlabki paketlarda himoyalangan holda saqlanadi. Ta’kidlash lozimki,
tunellash mexanizmi-ning o‘zi qanday maqsadlarda tunnellash qo‘llanilayotganiga
bog‘liq emas. Tunnellash nafaqat uzatilayotgan barcha ma’lumotlarning
konfidensialli-gi va yaxlitligini ta’minlashda, balki turli protokolli (masalan IPv4 va
IPv6) tarmoqlar orasida o‘tishni tashkil etishda ham qo‘llaniladi. Tunnel-lash bir
protokol paketini boshqa protokoldan foydalanuvchi mantiqiy muhitda uzatishni
tashkil etishga imkon beradi. Natijada bir necha turli xil tarmoqlarning o‘zaro
aloqalari muammosini hal etish imkoniyati pay-do bo‘ladi.
Tunnellash mexanizmini amalga oshirilishiga uch xil protokollar: protokol-
"yo‘lovchi", protokol eltuvchi va tunnellash protokoli ishlashi natijasi deb qarash
mumkin. Masalan, protokol - "yo‘lovchi" sifatida bitta korxona filiallarining lokal
tarmoqlarida ma’lumotlarni tashuv-chi transport protokoli IPX ishlatilishi mumkin.
Eltuvchi protokolning eng ko‘p tarqalgan varianti Internet tarmog‘ining IP
protokoli
- lokal tarmoqlar orasidagi virtual himoyalangan kanal ("LXT-LHT" kanal);
- uzel va lokal tarmoq orasidagi virtual himoyalangan kanal ("mi-joz-LHT"
kanali).
Ulanishning birinchi sxemasi alohida ofislar orasidagi qimmatli ajratilgan
liniyalar o‘rniga o‘tadi va ular orasida doimo foydalanuvchan, himoyalangan
kanallarni yaratadi. Bu holda xavfsizlik shlyuzi tunnel va lokal tarmoq orasida
interfeys vazifasini o‘taydi va lokal tarmoq foy-dalanuvchilari bir-birlari bilan
muloqot qilishda tunneldan foydalana-dilar. Aksariyat kompaniyalar \F1CHning bu
hilidan global tarmoqning mavjud Frame Relay kabi ulanishlarni almashtirish uchun
yoki ularga qo‘shimcha sifatida foydalanadilar.
VPN himoyalangan kanalning ikkinchi sxemasi masofadagi yoki mobil
foydalanuvchilar bilan ulanishni o‘rnatishga atalgan. Tunnelni yaratishni mijoz
(masofadan foydalanuvchi) boshlab beradi. Masofadagi tarmoqni himoyalovchi
shlyuz bilan bog‘lanish uchun u o‘zining kompyuterida maxsus mijoz dasturiy
ta’minotini ishga tushiradi. VPNning bu turi kommuta-siyalanuvchi ulanishlarni
o‘rniga o‘tadi va masofadan foydalanishning an’-anaviy usullari bilan bir qatorda
ishlatilishi mumkin.
Virtual himoyalangan kanallarning qator variantlari mavjud. Umu-man,
orasida virtual himoyalangan kanal shakllantiriluvchi korporativ tarmoqning har
qanday ikkita uzeli himoyalanuvchi axborot oqimining oxirgi va oraliq nuqtasiga
taalluqli bo‘lishi mumkin. Axborot xavfsiz-ligi nuqtai nazaridan himoyalangan
tunnel oxirgi nuqtalarining himoyalanuvchi axborot oqimining oxirgi nuqtalariga
mos kelishi varian-ti ma’qul hisoblanadi. Bu holda kanalning axborot paketlari
o‘tishining barcha yo‘llari bo‘ylab himoyalanishi ta’minlanadi. Ammo bu variant
boshqarishning detsentralizatsiyalanishiga va resurs sarfining oshishiga olib keladi.
Agar virtual tarmoqdagi lokal tarmoq ichida trafikni himoyalash talab etilmasa,
himoyalangan tunnelning oxirgi nuqtasi sifati-da ushbu lokal tarmoqning
tarmoqlararo ekrani yoki chegara marshrutizato-ri tanlanishi mumkin. Agar lokal
tarmoq ichidagi axborot oqimi himoyalanishi shart bo‘lsa, bu tarmoq oxirgi
nuqtasi vazifasini himoyalangan aloqada ishtirok etuvchi kompyuter bajaradi.
Lokal tarmoqdan masofadan foydalanilganida foydalanuvchi komp-yuteri
virtual himoyalangan kanalning oxirgi nuqtasi bo‘lishi shart. Faqat paketlarni
kommutatsiyalashli ochiq tarmoq, masalan Internet ichida o‘tkaziluvchi
himoyalangan tunnel varianti etarlicha keng tarqalgan. Ushbu variant ishlatilishi
qulayligi bilan ajralib tursada, nisbatan past xavfsizlikka ega. Bunday tunnelning
oxirgi nuqtalari vazifasini odatda Internet provayderlari yoki lokal tarmoq chegara
marshrutizatorlari (tarmoqlararo ekranlar) bajaradi.
Lokal tarmoqlar birlashtirilganida tunnel faqat Internetning chega-ra
provayderlari yoki lokal tarmoqning marshrutizatorlari (tarmoqlararo ekranlari)
orasida shakllantiriladi. Lokal tarmoqdan masofadan foyda-lanilganida tunnel
Internet provayderining masofadan foydalanish serve-ri, hamda Internetning chegara
provayderi yoki lokal tarmoq marshrutizatori (tarmoqlararo ekran) orasida yaratiladi.
Ushbu variant bo‘yicha qurilgan korporativ tarmoqlar yaxshi masshtablanuvchanlik
va boshqariluvchanlikka ega bo‘ladi. SHakllantirilgan himoyalangan tunnellar ushbu
virtual tarmoqdagi mijoz kompyuterlari va serverlari uchun to‘la shaffof hisoblanadi.
Ushbu uzellarning dasturiy ta’minoti o‘zgarmaydi. Ammo bu variant axborot
aloqasining nisbatan past xavfsizligi bilan xarakter-lanadi, chunki trafik qisman
ochiq aloqa kanali bo‘yicha himoyalanmagan holda o‘tadi. Agar shunday VPNni
yaratish va ekspluatatsiya qilishni pro-vayder ISP o‘z zimmasiga olsa, barcha virtual
xususiy tarmoq uning shlyuz-larida, lokal tarmoqlar va korxonalarning masofadagi
foydalanuvchilari uchun shaffof holda qurilishi mumkin. Ammo bu holda
provayderga ishonch va uning xizmatiga doimo to‘lash muammosi paydo bo‘ldi.
Himoyalangan tunnel, orasida tunnel shakllantiriluvchi uzellardagi virtual
tarmoq komponentlari yordamida yaratiladi. Bu komponentlarni tunnel initsiatorlari
va tunnel terminatorlari deb yuritish qabul qilingan.
Dostları ilə paylaş: |