Ipsec protokollari. Ipsec qanday ishlaydi ipsec tunnel va transport rejimi



Yüklə 430,43 Kb.
Pdf görüntüsü
səhifə19/19
tarix06.03.2023
ölçüsü430,43 Kb.
#86808
1   ...   11   12   13   14   15   16   17   18   19
Ipsec protokollari. Ipsec qanday ishlaydi ipsec tunnel va transp

Moslashtirish
VPN tunnellarini sozlash tavsifi, shuningdek, ularning xususiyatlari va
imkoniyatlarini ko'rib chiqish ushbu maqola doirasidan tashqarida, shuning
uchun biz IPsec transport rejimini sozlash jarayonini tavsiflash bilan
cheklanamiz.
Windows XP da IPsec mahalliy xavfsizlik sozlamalari qo'shimcha elementi
yordamida sozlangan, uni Ma'muriy asboblar menyusidan, Boshqarish
panelidan yoki "secpol.msc" Run buyrug'i orqali ishga tushirish mumkin.
Sukut bo'yicha yaratilgan siyosatlardan foydalanish yoki yangisini yaratish
mumkin.
IP xavfsizlik siyosatini yaratish uchun roʻyxatdan “IP xavfsizlik siyosati”
bandini tanlang va “Harakat” menyusidan “IP xavfsizlik siyosatini yaratish”
bandini tanlang.
Guruch. 8, IP xavfsizlik siyosatini yarating
"IP xavfsizlik siyosati ustasi" ochiladi. Davom etish uchun “Keyingi”
tugmasini bosing. Keyingi oynada siz yangi siyosat nomini kiritishingiz
kerak va "Keyingi" tugmasini bosing.
Guruch. 9, IP siyosatining nomi
Keyingi oynada "Sehrgar" sizdan standart qoidadan foydalanish-qilmaslik
to'g'risida qaror qabul qilishingizni so'raydi. Agar zarurat tug'ilsa, ushbu
qoidadan foydalanish siyosat yaratilgandan keyin bekor qilinishi mumkin.
Guruch. 10, standart qoida
Shundan so'ng, "Sehrgar" foydalanuvchini autentifikatsiya qilish usulini
tanlashni taklif qiladi. IPsec quyidagi usullarni qo'llab-quvvatlaydi: Kerberos
protokoli orqali (Windows 2000 va Windows 2003 domenlari uchun
standart autentifikatsiya protokoli), foydalanuvchi sertifikatidan foydalanish
yoki xavfsizlik qatoriga ("parol") asoslangan. Agar tarmog'ingizda domen
kontrollerlari bo'lmasa va tarmoqdagi foydalanuvchilarning haqiqiy
sertifikatlari bo'lmasa, qilish kerak bo'lgan yagona narsa - yanada
murakkabroq qatorni tanlash va uni mahkam yashirish. Himoya chizig'i
aslida bir nechta satr bo'lishi mumkin.
Guruch. 11, autentifikatsiya usulini tanlash
Siyosat deyarli tugallandi. Sehrgarni tugatgandan so'ng darhol
xususiyatlarni o'zgartirishingiz mumkin (xususiyatlar oynasi avtomatik
ravishda ochiladi) yoki keyinroq kerakli siyosatni ajratib ko'rsatish va
kontekst menyusidan Xususiyatlar bandini tanlash orqali.
Guruch. 12, Siyosat yaratishni yakunlash
Endi siyosat xususiyatlarini ehtiyojlaringizga mos ravishda o'zgartirish vaqti
keldi, ya'ni siz IP xavfsizlik qoidalari, filtr va filtr qoidalarini yaratishingiz


21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
21/25
kerak.
Xavfsizlik qoidasini yaratish uchun yaratilgan IP xavfsizlik siyosatining
xususiyatlarini oching va 13-rasmda ko'rsatilganidek, "Ushbuzardan
foydalanish" katagiga belgini olib tashlangandan so'ng Qoidalar
ko'rinishidagi Qo'shish tugmasini bosing.
13-rasm, IP xavfsizlik qoidasini yaratish
IPsec-ni tunnel rejimida sozlamaguningizcha, Tunnel sozlamalari yorlig'ida
hech narsani o'zgartirmang. "Ulanish turi" yorlig'ida siz yaratilgan qoida
qaysi tarmoq ulanishlari uchun qo'llanilishini tanlashingiz mumkin - barcha
ulanishlar uchun, faqat mahalliy ulanishlar uchun yoki faqat masofaviy
ulanishlar uchun. Shunday qilib, turli xil ma'lumotlarni uzatish tezligiga ega
bo'lgan tarmoq ulanishlari uchun turli qoidalarni yaratish mumkin, bu esa
sekinroq va qoida tariqasida, autentifikatsiya va yaxlitlikni tekshirish va
shifrlash uchun turli parametrlarni o'rnatish uchun kamroq xavfsiz
masofaviy ulanishlarga imkon beradi.
Guruch. 14, Ulanish turi
"Autentifikatsiya usullari" yorlig'ida siz bir nechta tekshirish usullarini
qo'shishingiz va ularning afzal ko'rish tartibini o'zgartirishingiz mumkin, bu
sizga turli xil autentifikatsiya usullarini qo'llab-quvvatlaydigan turli tugunlar
bilan aloqa qilish qoidasini yanada moslashuvchan sozlash imkonini beradi.
Guruch. 15, Autentifikatsiya usullari
Ulanish turi va autentifikatsiya usullarini tanlagandan so'ng, siz IP filtri
ro'yxatini va filtr amalini tanlashingiz yoki yangilarini yaratishingiz kerak. IP
filtrlarini tanlash yoki yaratish uchun "IP filtrlar ro'yxati" yorlig'iga o'ting
(16-rasm).
Quyidagi filtrlar sukut bo'yicha yaratilgan:
Yuqori qatlam protokolidan qat'i nazar, barcha IP-trafiklarga taalluqli
to'liq IP-trafik;
Barcha ICMP trafigiga tegishli bo'lgan to'liq ICMP trafik.
Guruch. 16, IP filtrlar roʻyxati.
Yangi filtr yaratish uchun "Qo'shish" tugmasini bosing, shundan so'ng "IP
filtrlar ro'yxati" oynasi ochiladi, bu erda filtrlar ro'yxati nomini kiritib, "Use
Wizard" katagiga belgini olib tashlangandan so'ng, "Qo'shish" tugmasini
bosing. (17-rasm).
Guruch. 17, IP filtrlar ro'yxatini yarating.
"Xususiyatlar: Filtr" oynasi ochiladi (18-rasm), bu erda siz filtr
qo'llaniladigan paketlarning manba va maqsad manzillarini, shuningdek,
agar kerak bo'lsa, manba va maqsadning protokoli va portlarini
ko'rsatishingiz kerak.
Guruch. 18, Yangi IP filtri roʻyxati parametrlari


21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
22/25
Filtr ro'yxatlarini tanlagandan yoki yaratgandan so'ng, siz filtrlash harakatini
belgilashingiz kerak. Buni "Filtrlash harakati" yorlig'ida amalga oshirish
mumkin. Standart harakatlar quyidagilardir:
Ruxsat berish, bu xavfli paketlarni o'tkazishga imkon beradi (IPsec-
dan foydalanmasdan),
Xavfsizlik talab qilinadi, bu IPsec bo'lmagan mijozlar bilan aloqani
uzishni belgilaydi va IPsec-ga qodir mijozlar bilan aloqa ESP
yaxlitligini tekshirish yordamida, lekin AH va ma'lumotlarni
shifrlashsiz amalga oshiriladi.
Oldindan o'rnatilgan oxirgi harakat - Xavfsizlik so'rovi - mijozlardan
aloqa xavfsizligini talab qiladi, ammo bu talablar bajarilmasa, xavfsiz
bo'lmagan aloqa uzilmaydi.
Guruch. 19, Filtrlash amallari
Siz "Qo'shish" tugmasini bosish orqali "Sehrgardan foydalanish" katagiga
belgini olib tashlaganingizdan so'ng yangi harakat yaratishingiz mumkin
(19-rasm). Ochilgan "Xususiyatlar: filtrlash harakatini yaratish" oynasining
"Xavfsizlik usullari" yorlig'ida siz ma'lumotlarning o'tishiga ruxsat berishni,
uni blokirovka qilishni yoki xavfsizlik bo'yicha muzokaralar olib borishni
belgilashingiz kerak (20-rasm).
Guruch. 20, mumkin bo'lgan filtrlash harakatlarining bo'sh ro'yxati
Agar siz Xavfsizlik bo'yicha muzokaralar ni tanlasangiz, xavfsizlik usullarini
qo'shishingiz va ularning afzal ko'rish tartibini o'zgartirishingiz mumkin.
Xavfsizlik usullarini qo'shganda, AH, ESP dan foydalanishni yoki Maxsus
xavfsizlikni tanlash orqali xavfsizlikni qo'lda sozlashni tanlashingiz kerak. Bu
AH va ESPni faollashtirishning yagona yo'li. Kerakli protokollar (AH va ESP)
konfiguratsiya qilinadigan xavfsizlik parametrlarida o'rnatiladi (21-rasm).
Guruch. 21, Filtr amalini yarating
Shuningdek, u butunlik va shifrlashni tekshirish algoritmlarini, shuningdek,
seans kalitlarini o'zgartirish parametrlarini qo'lda tanlash imkoniyatini
beradi. Odatiy bo'lib, kalitlar har soatda yoki har 100 Mb uzatilgan
ma'lumotda o'zgartiriladi (22-rasm).
Guruch. 22, Maxsus xavfsizlik usuli parametrlari
Filtr amallarini tanlagandan so'ng, IP xavfsizlik siyosati konfiguratsiyasi
tugallandi. Agar konfiguratsiya Windows XP da, ushbu misolda bo'lgani
kabi, IPsec transport rejimi uchun qilingan bo'lsa, har bir kompyuterda bir
xil operatsiya bajarilishi kerak. Windows Serverdagi avtomatlashtirish
vositalari domendagi barcha ish stantsiyalariga IP siyosatini
markazlashtirilgan tarzda joylashtirish imkonini beradi. Domendan
tashqarida avtomatlashtirish faqat qisman buyruq qatori skriptlari
(ipseccmd dasturi yordamida) mumkin.
Sinov


21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
23/25
IPsec unumdorligini tekshirish turli kriptografik algoritmlardan foydalangan
holda tarmoq orqali ma'lumotlarni uzatishda markaziy protsessorga
yuklanish darajasini aniqlashga qaratilgan.
Sinov quyidagi konfiguratsiyaga ega kompyuterlarda o'tkazildi:
Kompyuter 1
Kompyuter 2
Markaziy
protsessor
AMD Athlon 64 3000+
soket 754
AMD Athlon XP 1700+
soket A
Anakart
2 * 512 Mb Samsung
PC 3200
256 Mb Samsung PC
2700
Qattiq
disk
Seagate ST3160023A
Seagate ST380011A
Tarmoq
adapteri
Ikki kompyuter o'rtasida 701 MB fayl turli xil IPsec sozlamalari bilan,
shuningdek, ushbu protokoldan foydalanmasdan uzatildi.
Afsuski, protsessordan foydalanish va fayllarni uzatish vaqtini o'lchashning
soat va Windows vazifalar menejeridan ko'ra aniqroq usuli topilmadi,
shuning uchun o'lchov noaniqligi bo'lishi mumkin.
IPsec-dan foydalanmasdan fayl 86 soniyada uzatildi. Shu bilan birga, ikkala
kompyuterda protsessor yuklanishi 23 va 24-rasmlarda ko'rsatilgandek
yuqori emas edi va ma'lumotlarni uzatishning o'rtacha tezligi 65,21 Mbit / s
ga etdi.
Shundan so'ng, uzatilgan ma'lumotlarning yaxlitligini ta'minlash uchun
IPsec yuqorida aytib o'tilganidek konfiguratsiya qilindi (SHA-1 yordamida
AH kichik protokoli).
Ma'lumot uzatish vaqti biroz oshdi, 91 s gacha, tezlik esa biroz pasayib,
61,63 Mbit / s gacha. Shu bilan birga, protsessor yuki unchalik oshmadi va
25 va 26-rasmlarda ko'rsatilgan.


21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
24/25
IPsec-ni o'rnatish uchun keyingi sinov ishi DES shifrlash va MD5 xeshlash
bilan AHsiz ESP edi. Ushbu konfiguratsiyada avvalgilariga nisbatan
unumdorlikda sezilarli o'zgarishlar bo'lmadi.
Fayl 93 soniyada uzatildi, uzatish tezligi 60,3 Mbit / s ni tashkil etdi.
Protsessor yuklanishi mos ravishda 27 va 28-rasmlarda ko'rsatilgan. Shuni
ta'kidlash kerakki, DES eskirgan algoritm bo'lib, himoyalangan ma'lumotlar
haqiqatan ham katta qiymatga ega bo'lgan joylarda foydalanish tavsiya
etilmaydi. Shu bilan birga, ushbu algoritmning kuchi tez-tez uchraydigan
asosiy o'zgarishlar bilan sezilarli darajada yaxshilanishi mumkin.
Xuddi shu konfiguratsiyada (MD5) DES o'rniga xavfsizroq 3DES dan
foydalanilganda, uzatish tezligi ikki baravarga qisqardi va 29,99 Mbit / s ni,
vaqt esa mos ravishda 187 s ni tashkil etdi. Protsessorlardan foydalanish
grafiklari amalda o'zgarmadi (29 va 30-rasmlar).
3DES va SHA1 bilan ESP dan foydalanilganda, uzatish vaqti 1 soniyaga
(188 gacha) oshdi va tezlik 29,83 Mbit / s ga tushdi. Protsessordan
foydalanish grafiklarini taqdim etishning ma'nosi yo'q - ular 29 va 30-
rasmlardagi kabi.
AH protokolini ESP bilan birgalikda Windows XP-da mavjud bo'lgan eng
xavfsiz va shuning uchun eng ko'p resurs talab qiladigan konfiguratsiyada
qo'llash natijasida quyidagi natijalarga erishildi: uzatish vaqti 212 s gacha
ko'tarildi, tezlik 26,45 Mbit / s gacha tushdi.
1-diagramma, ishlatiladigan kriptografik algoritmlarga qarab fayllarni
uzatish vaqti va tezligi
Sinov natijalaridan ko'rinib turibdiki (1-rasm), faqat AH dan foydalanilganda
va ESP bilan DES bilan foydalanilganda IPsec qo'shimcha xarajatlari past
bo'ladi. 3DES-dan foydalanishda unumdorlik keskin pasayadi, ammo past
ma'lumotlarni uzatish tezligida hatto eskirgan protsessorlarning ishlashi
etarli bo'ladi. Yuqori ma'lumotlarni uzatish tezligi talab qilinadigan hollarda
kalitlarni tez-tez o'zgartiradigan DES etarli bo'lishi mumkin. Har xil sinfdagi
ikkita protsessorning yuklanishi unchalik farq qilmasligi xarakterlidir.
Shunga o'xshash nashrlar:
O'z qo'llaringiz bilan elektron
velosiped uchun batareyani
hujayralar va elementlardan
qanday qilib mustaqil ravishda
yig'ish mumkin, diagrammalar
va ko'rsatmalar Elektron
velosiped diagrammasi uchun
zaryadlovchi
Noma'lum transformatorni
qanday aniqlash mumkin


21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
25/25
Past kuchlanish kuchlanishida
chiziqni skanerlash sinovi
Uch fazali analog quvvat
regulyatorlari 3 fazali
regulyator
Sayt xaritasi
2021, flypods.ru - Kompyuter yordami

Yüklə 430,43 Kb.

Dostları ilə paylaş:
1   ...   11   12   13   14   15   16   17   18   19




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©azkurs.org 2024
rəhbərliyinə müraciət

gir | qeydiyyatdan keç
    Ana səhifə


yükləyin