3.3. Himoyalangan korporativ tarmoqlarni qurish uchun VPN echimlar
Marshrutizatorlar asosidagi VPN. Tashqi dunyo bilan lokal tarmoq
almashadigan barcha axborot mashrutizator orqali o‘tadi. Bu mar-shrutizatorlarni
chiquvchi paketlarni shifrlovchi va kiruvchi paketlarni rasshifrovka qiluvchi tabiiy
platformaga aylantiradi. Boshqacha aytganda, marshrutizator, umuman, marshrutlash
vazifasini VPN vazifasini madad-lash bilan birga olib borishi mumkin. Bunday
echim o‘zining afzalliklari va kamchiliklariga ega. Afzalligi — marshrutlash va
VPN vazifalarini birgalikda ma’murlash qulayligidir. Korxona tarmoqlararo ekranni
ish-latmasdan korporativ tarmoq himoyasini faqat ham tarmoqdan foydalanish
bo‘yicha, ham uzatiladigan trafikni shifrlash bo‘yicha himoyalash vazifala-rini
birgalikda hal etuvchi marshrutizator yordamida tashkil etgan hollarda
mashrutizatorlarni VPNni madadlashda ishlatilishi ayniqsa foydalidur. Ushbu
echimning kamchiligi marshrutlash bo‘yicha asosiy amal-larning trafikni ko‘p
mehnat sarfini talab etuvchi shifrlash va autenti-fikatsiyalash amallari bilan birga
olib borilishi natijasida marshruti-zator unumdorligiga quyiladigan talablarning
oshishi bilan bog‘liq. Marshrutizatorlarning unumdorligini oshirishga shifrlash
vazifalarini apparat madadlash orqali erishiladi. Hozirda barcha marshrutizator va
boshqa tarmoq qurilmalarini etakchi ishlab chiqaruvchilar o‘zlarining mahsulotlarida
turli VPN-protokollarini madadlaydilar. Bu sohada Cisco Systems va 3Com
kompaniyalari lider hisoblanadilar. Cisco Systems kompaniyasi o‘zlari ishlab
chiqqan marshrutizatorlarga eng keng tarqalgan standartlar asosida VPNlarni
qurishga
imkon
beruvchi
kanal
sathi
proto-kolini
madadlovchi
IOS
11.3(Internetwork Operation System 11.3) va tarmoq sathi protokoli IPSecmi kiritdi.
L2F protokoli avvalroq IOS operatsion tizimning komponentiga aylandi va Cisco
ishlab chiqaradigan barcha tarmoqlararo aloqa va masofadan foydalanish
qurilmalarida madadlanadi.
Cisco marshrutizitorlarida VPN vazifalari butunlay dasturiy yo‘l bilan yoki
shifrlash soprotsessori bo‘lgan maxsus kengaytirish platasidan foydalanilgan holda
amalga oshirilishi mumkin. Oxirgi variant VPN amallarida marshrutizator
unumdorligini anchagina oshiradi. Cisco Systems kompaniyasi tomonidan ishlab
chiqilgan VPN qurish texnologiyasi yuqori unumdorligi va moslanuvchanligi bilan
ajralib turadi. Unda "toza" yoki inkapsulyasiya qilingan ko‘rinishda uzatiluvchi har
qanday
IP-oqim
uchun
shifrlash
bilan
tunnellash
ta’minlanadi. Cisco
kompaniyasining
marshrutizatorlari
asosida
VPN-kanallarini
qurish
operatsiontizimining vositalari yordamida Cisco IOS 12.x. versiyasidan boshlab
amalga oshirila-di. Agar mazkur operatsion tizim kompaniyaning boshqa
bo‘limlaridagi Cisco chegara marshrutizatorlarida o‘rnatilgan bo‘lsa, bir
marshrutizatordan ikkinchisiga "nuqta-nuqta" turidagi virtual himoyalangan
tunnellar majmuasidan iborat bo‘lgan korporativ VPN tarmoqni shakllantirish imko-
niyati bo‘ladi.
Cisco marshrutizatorlari asosida korporativ VPN tarmogini qurishning
namunaviy sxemasi.
Marshrutizatorlar asosida VPNlarni qurishda esda tutish lozimki, bunday
yondashishning o‘zi kompaniyaning umumiy axborot xavfsizligini ta’minlash
muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan
xujum qilish uchun ochiq qoladi. Bu resurslarni himoyalash uchun, odatda, chegara
marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi.
Cisco 1720 VPN Access Router marshrutizatori katta bo‘lmagan va o‘rtacha
korxonalarda himoyalangan foydalanishini tashkil etishga atalgan.
Bu marshrutizator Internet va intratarmoqlardan foydalanishni tashkil etishga zarur
bo‘lgan imkoniyatlarni ta’minlaydi va Cisco IOS dasturiy ta’minot asosidagi virtual
xususiy tarmoqlarni tashkil etish vazifala-rini madadlaydi. Cisco IOS operatsion
tizimi ma’lumotlarni himoyalash, xizmat sifatini boshqarish va yuqori ishonchililikni
ta’minlash bo‘yicha VPN vazifalarining juda keng to‘plamini ta’minlaydi.
Cisco 1720 marshrutizatori ma’lumotlar himoyasining quyidagi va-zifalarini
bajaradi:
- tarmotslararo ekranlash. Cisco IOS Firewall komponenta lokal tarmoqlarni
xujumlardan himoyalaydi. Foydalanishning kontekstli nazo-rati CBAC (Context-
based access control) funksiyasi ma’lumotlarni dina-mik yoki xolatlarga asoslangan,
ilovalar bo‘yicha differensiallangan filtrlashni bajaradi. Bu funksiya samarali
tarmoqlararo ekranlash uchun juda muhim hisoblanadi. Cisco IOS Firewall
komponenta qator boshqa foy-dali vazifalarni ham, xususan, "xizmat qilishdan voz
kechish" kabi xujum-larni aniqlash va oldini olish, Javami blokirovka etish, audit va
vaqtning real masshtabida ogohlantirishlarni tarqatish vazifalarini ba-jaradi.
- shifrlash. IPSec protokolidagi DES va Triple DES shifrlash algo-ritmlarini
madadlash ma’lumotlarni konfidensialligi va yaxlitligini va ma’lumotlar manbaini
autentifikatsiyalashni (ma’lumotlar global tarmoqdan o‘tganidan so‘ng) ta’minlash
maqsadida ishonchli va standart shifrlaydi.
- tunnellash. Tunnellashning IPSec, GRE (Generic Routing Encapsulation),
L2F va L2TP standartlari ishlatiladi. L2F va L2TP standartlari masofadagi
foydalanuvchilarning korxona lokal tarmog‘ida o‘rnatilgan Cisco 1720
marshrutizatorgacha virtual tunnel o‘tkazganlarida ishlatiladi. Bunday qo‘llanishda
korxonada masofadan foydalanish serveriga ehtiyoj qolmaydi va shaharlararo yoki
xalqaro qo‘ng‘iroqlar uchun to‘lovi tejaladi.
- kurilmalarni autentifikatsiyalash va kalitlarni boshsarish. IPSec katta
tarmoqlarda ma’lumotlar va qurilmalarni masshtablanuvchi autenti-fikatsiyalashni
ta’minlovchi kalitlarni boshqarish protokoli IKE, raqamli sertifikatlar X.509
versiya 3, sertifikatlarni boshqaruvchi pro-tokol CEP, hamda Verisign va Entrust
kompaniya sertifikat serverlari ma-dadlanadi.
- VPNmtm mijoz dasturiy ta’minoti. IPSec va L2TP protokolla-rining standart
versiyalari bilan ishlovchi harqanday mijoz Cisco IOSbilan o‘zaro aloqa qilishi
mumkin.
- foydalanuvchilarni autentifikatsiyalash. Buning uchun PAP, CHAP
protokllari, TACACS+ va RADIUS tizimlari, foydalanish tokenlari ka-bi
vositalardan foydalanilida.
Virtual himoyalangan tarmoqlar nafaqat ma’lumotlarni himoyalash, balki
himoyalashning yuqori saviyasi QoSmi (Quality of Service) ta’minla-shi lozim.
Cisco 1720 marshrutizatori QoSmi quyidagi boshqarish mexa-nizmlarini
madadlaydi:
- foydalanishning kelishilgan tezligi CAR (Committed Access Rate) ilovalar
yoki foydalanuvchilar bazisida quiydagi uchta muhim vazifani bajaradi:
• trafik turini turkumlaydi;
• berilgan ilovaga ruxsat etilgan o‘tkazish qobiliyatining maksimal
darajasini o‘rnatadi;
• trafikning har bir turi ustivorligini belgilaydi;
- siyosat asosida marshrutlash (Policy Routing) ham trafikni tur-kumlaydi va
ustivorlaydi hamda trafikning qaysi turini marshrutizator-ning mos chiqish yo‘li
portiga jo‘natish lozimligini hal etadi;
- mulohazali odilona navbat WFQ (Weighted Fair Queneing) trafik-ni
hisobga olgan holda maqbul javob vaqtini ta’minlaydi;
- protokol RSVP ilovalarga yo‘lning boshidan oxirigacha kafolat-langan
o‘tkazish qobiliyatini rezervlashga imkon beradi.
Marshrutizatorning moslashuvchanligi modulli konstruksiya va ikki-ta slotda
o‘rnatiluvchi interfeys WAN-kartalari to‘plami orqali ta’min-lanadi. Cisco 1720
modelida Cisco 1600, 2800, va 3600 modellarda ishlati-ladigan WAN-kartalardan
foydalaniladi.
Kompaniya 3Com VPN texnologiyani amalga oshirishda boshidan stan-
dartlarni ko‘zga tutgan edi. VPN ni madadlash uning NetBuilder II, Super Stack II
NetBuilder marshrutizatorlariga Office Connect Net Builder Platform larida
o‘rnatilgan.
3 Com kompaniyasi PPTP va L2TP protokollarni madadlovchi masofa-dan
foydalaniluvchi konsentratorlarni yirik ishlab chiqaruvchilaridan biridir. 3Com
kompaniyasining VPN tarmoqlari IPSec bilan birga ishla-tiladi va tashqi kataloglar,
jumladan Novell NDS va Windows NT Directory Serviceslar bilan o‘zaro aloqa
qilish uchun ishlab chiqilgan.
Kompaniya Web-texnologiyaga asoslangan va VPN yuklanganligini na-
zoratlashga, hamda yuz beruvchi xodisalar asosida statistika va axborotni yig‘ishga
atalgan dasturiy ilova Transcend Ware Secure VPN Manager ni ham ishlab chiqdi.
Undan tashqari 3Com kriptohimoyalangan tunnellarni osongina yaratishga imkon
beruvchi Web asosidagi instrumentariyni ishlab chiqaradi.
Internet Devices kompaniyasining Fort Knox marshrutizatorlarida tez-lik va
quvvat uyg‘unlashgan. Undagi tarmoqni himoyalashni ta’minlashga yo‘naltirilgan
IP-trafikni ishlash vazifalari ruyxatining kengligi uning afzalligidir. Fort Knox
marshrutizatori tarmoqlararo ekran reji-mida ishlashi, NAT standarti bo‘yicha
adreslarni translyasiyalashi, xav-fsizlik siyosatini boshqarishi, Web-sahifalar va
DNS jadval yozuvlarini keshlashi, auditni bajarishi mumkin. Odatda Fort Knox
korporativ tarmoq chegarasida, korporativ tarmoqni global tarmoq bilan ulovchi
marshrutiza-tordan keyin o‘rnatiladi. Demak, u boshqa lokal tarmoqlar bilan VPN-
aloqani o‘rnatish va tarmoqlararo ekranlar kabi foydalanishni nazorat-lashning turli
qoidalarini shakllantirishi mumkin. Fort Knoxda NAT ad-reslarini translyasiyalash
funksiyasining mavjudligi, unga ichki IP-adreslarni berkitish va marshrutizatorlar
trafigini qayta yo‘naltirish imkonini beradi. Bu korporativ tarmoq ma’murlarini
VPNni qurishda marshrutizatorlarni yangidan konfiguratsiyalashdan ozod etadi. Fort
Knox funksiyalari to‘plamining kengligiga qaramay uning narxi oddiy marshru-
tizator narxiga teng.
Dostları ilə paylaş: |