Vazirligi muhammad al-xorazmiy nomidagi
Yüklə 1,38 Mb.
|
|
istalgan mustaqil tarmoq texnologiyasini tanlay olish: tanlash imkoniyati faqat ishlab - chiqaruvchining qurilmalarini imkoniyati bilan chegaralanishi mumkin;
mustaqil manzillash tizimi. VPN da manzil tanlashda cheklanish yo‗q, u istalgancha bo‗lishi mumkin; ishlab - chiqaruvchanligini oldindan aytish mumkin. Shaxsiy aloqa kanallari avvaldan ma‘lum kafolatlangan o‗tkazuvchanlik qobiliyatini korxona qurilmalari (global ulanishlar uchun) yoki kommutatsiya qurilmalar (lokal ulanishlar uchun) o‗rtasida ta‘minlaydi; maksimal pog‘onadagi xavfsizlik. ―Tashqi dunyo‖ bilan aloqa yo‗qligi butun tarmoq bo‗yicha axborotni ―o‗g‗irlanishi‖ ehtimolligini kamaytiradi. Lekin VPN - judayam ―arzonga‖ aylanmaydi. Bunday tarmoqlarni milliy yoki xalqaro doirada ishlaydigan, moliyaviy barqaror va yirik kompaniyalar o‗zlariga ep ko‗radi. Shaxsiy tarmoqni yaratish - shaxsiy tarmoq infratuzilmasiga ega zarur, ish jarayoni uchun muhim. VPN tarmoqdan o‗tayotgan axborot turini aniqlay olishi lozim (tovush, SNA, video oqim yoki elektron pochta). U juda tez bir trafikni boshqasidan ajrata olishi kerak. Yana tarmoq VPN - ogoh bo‗lishi kerak, chunki servis - provayder internet va ekstranet tarmoqlari uchun foydalanuvchi va xizmatlarni osongina guruhlay olishi lozim. MPLS texnologiyasi kommutatsiyalanadigan va marshrutizatsiyalanadigan tarmoq uchun VPN xabardorlikni beradi. Bu narsa yagona infratuzilmada servis-provayderga tez va tejamkor, himoyalangan, istalgan hajmdagi VPN tarmog‗ini hosil qilish imkonini beradi. Turli boshqa yo‗llarni ishlatmagan holda MPLS tarmog‗i trafikni kodlamay, tunellashtirmay uni himoyasini ta‘minlay oladi. MPLS texnologiyasi har bir alohida tarmoqda xuddi FR va ATM ulanishdagi kabi xavfsizlikni ta‘minlay oladi. Agarda an‘anaviy VPN tarmog‗i tarmoqdagi harakatni, bazali qiymatlarini amalga oshirsa, MPLS texnologiyasi bilan jihozlangan tarmoq, keng doiradagi VPN xizmatlaridan VPN tarmog‗ining harakatini bazali xizmatlariga IPni qo‗shgan holda amalga oshiradi. Bu reja servis provayderlarning mo‗ljallangan usulda xizmatlarini mo‗ljallangan modelga o‗tishini bildiradi. VPN uzatish jadvallari asosida 3-sathdagi trafikni bemalol taqsimlay oladi. MPLS VPN birinchi buyurtmachi trafigini boshqa buyurtmachi trafigidan bemalol ajratadi, chunki har bir VPN tarmog‗idagi hamma buyurtmachilar o‗zining noyob identifikatoriga ega. Bu narsa huddi ATM va FRdagi kabi xavfsizlikni ta‘minlaydi, chunki VPN tarmog‗ining foydalanuvchisi tarmoqdan tashqarida uzatilayotgan trafikni ko‗rmaydi. Yana bir marta MPLS - VPN tarmog‗ining tavsifsini ko‗rib chiqamiz. Buyurtmachining istalgan marshrutiga MPLS belgisi uzviy bog‗lanadi. Uni marshrut boshida joylashgan RE - marshrutizator qo‗shadi. Ushbu belgi ma‘lumotlar paketini ohirgi nuqtadagi RE marshrutizatorga uzatishga yo‗naltirilgan: ma‘lumotlar paketini magistral bo‗ylab uzatganda 2 ta belgidan foydalanadi. Ustki belgi paketni kerakli ohirgi RE -marshrutizatoriga yo‗naltiradi. Keyingi belgi ushbu RE - marshrutizatoriga paketni keyingi yo‗nalishni tanlash uchun qo‗shiladi; RE va SE - marshrutizatorlari o‗rtasidagi aloqa kanalida standart uzatish sxemalari (IP for war doing) ishlatiladi. RE har bir SEni uzatish jadvali bilan bog‗laydi (for warding table), ushbu jadvallarga faqatgina shu SE larga tegishli marshrutlar saqlanadi. VPNni to‗g‗rilash uchun, provayderning magistral tarmog‗i orqali o‗tadigan marshrutlar haqidagi axborot uning chegarasidan chiqishi kerak emas. Mijozlarning saytidagi marshrutlash haqidagi axborot esa ayrim VPNlarning chegarasidan chiqmasligi talab etiladi. Yo‗nalish haqidagi axborotni tarqalishiga to‗siq bo‗lishi mumkin bo‗lgan narsa, bu mos shakllangan marshrutizatordir. Marshrutizatsiyalash protokoli qaysi interfeys va kimdan yo‗nalganligi to‗g‗risidagi axborotni olish va kimga uzatish kerakligi haqida xabardor bo‗lishi kerak. MPLS VPN tarmog‗ida bunday to‗siqlar rolini chegaraviy RE marshrutizatorlari bajaradi. Tasavvur qiling, RE marshrutizator orqali mijoz sayti va provayder tarmog‗i o‗rtasida ko‗rinmas chegara o‗rnatiladi. Bir tomonga RE marshrutizatorlari R marshrutizatorlari bilan bog‗lanishi uchun zarur interfeyslar o‗rnatiladi. Yana bir tomonga mijozlarning sayti ulanishi uchun kerak bo‗lgan interfeyslar o‗rnatiladi. Bir tomondan RE marshrutizatorlari magistral tarmoqning marshrutlari haqidagi axborot kelsa, bir tomondan mijozlarning saytidagi marshrutlar haqidagi axborot keladi. RE marshrutizatorlariga bir necha IGP turidagi protokollar joylashtirilgan. Ulardan biri RE ni R bilan ulash uchun, marshrutlarni ketma-ket va uzatish uchun uchta ichki interfeys bilan bog‗langan. Qolgan ikkita IGP protokoli mijozlarning saytidan tushgan axborotlarni qayta ishlaydi. Qolgan RElar ham xuddi shu tarzda shakllangan. R marshrutizatorlari barcha interfeyslardan kelayotgan IGP axborotini qabul qiladi va qayta ishlaydi. Natijada barcha RE va R marshrutizatorlari marshrut jadvallariga ega bo‗lishadi. Ularda provayder tarmog‗ining ichidagi barcha marshrutlar mavjud bo‗ladi. Shuni ta‘kidlash kerakki, mijozlarning saytlaridagi marshrutlar haqidagi axborot bu yerda yo‗q. Shunga mos ravishda mijozlar provayder tarmog‗idagi marshrutlar haqida hech narsa bilmaydilar. Chegaraviy RE marshrutizatorlari tomonidan jadval, o‗zida marshrutlash haqida axborot bor, maxsus «marshrutlashning global jadvali» degan nom olgan. Bu jadvaldan holi holda RE mijozlarning saytidagi marshrutlar asosida VRF (VPN Roting and forwarding) jadvalini tuzgan, bunda RE mijozlarning saytidan tushgan e‘lon asosida jadval tuzadi. Mijozlarning sayti oddiy IP tarmog‗idan iborat, marshrutlash axboroti istalgan IGP protokoli yordamida uzatilishi va qayta ishlanishi mumkin. Ko‗rinib turibdiki, bu jarayon provayder tomonidan rejalashtirilmaydi. Marshrutlash haqidagi e‘lonlar bemalol qurilmalar orasida tarqaladi. Bu narsa chegaraviy RE marshrutizatoriga yetib borguncha sodir bo‗ladi, chunki u ularning keyingi tarqalishida chegara bo‗lib xizmat qiladi. Turli mijozlarning marshrutlarini cheklash uchun RE marshrutizatorlariga o‗rnatilgan interfeyslarga, mijoz saytlari ulangan alohida marshrutlash protokollari o‗rnatilgan. Ushbu protokol mijozning marshrut e‘lonlarini faqat bitta interfeys orqali uzatadi va qabul qiladi, ularni na ichki RE va R marshrutizatorlar bog‗lanadigan inrefeys orqali na boshqa mijozlarning sayti ulangan interfeyslar orqali uzatmaydi. Natijada RE marshrutizatorlarida bir nechta VRF jadvallari hosil bo‗ladi. Soddalashtirib shuni aytish mumkinki, REda unga nechta ulangan sayt bo‗lsa shuncha VRF hosil bo‗ladi. Umuman olganda, RE marshrutizatorlarida bir nechta virtual marshrutizatorlar hosil bo‗ladi, ularning har biri o‗zining VRF jadvallari bilan ishlaydi. Saytlar va VRF jadvallari o‗rtasida yana boshqa aloqa mavjud bo‗lishi mumkin. Misol uchun bitta RE ga bitta VPN ning bir nechta sayti ulangan bo‗lsa, unda ularga bitta umumiy VRF jadval hosil qilish mumkin. Har bir shunday jadvalga faqat shu VPNga tegishli saytga murojaat qila oladi. IPSec protokoli (Internet Protocol Security) asosan IP tarmoqlarda ma‘lumotlarni xavfsiz uzatishni ta‘minlaydi. IPSecning ishlatilishi quyidagilarni kafolatlaydi: uzatilayotgan ma‘lumotlarning yaxlitligini, ya‘ni ma‘lumotlar uzatilishida buzilmaydi, yo‗qolmaydi va takrorlanmaydi; jo‗natuvchining autentligini, ya‘ni ma‘lumotlar haqiqiy jo‗natuvchi tomonidan uzatilgan; uzatiladigan ma‘lumotlarning mahfiyligini, ya‘ni ma‘lumotlar shunday shaklda uzatiladiki, ularni ruxsatsiz ko‗zdan kechirishning oldi olinadi. Ta‘kidlash lozimki, axborot xavfsizligi tushunchasiga odatda, yana bir talab-ma‘lumotlarning foydalanuvchanligi kiritiladi. Ma‘lumotlarning foydalanuvchanligi deganda ma‘lumotlar yetkazilishining kafolati tushuniladi. IPSec protokollari bu masalani hal etmaydi va uni transport satxda ISP ga qoldiradi. IPSec protokollar steki tarmoq satxida axborot himoyasini ta‘minlaydi. Bu himoya ishlovchi ilovalarga ko‗rinmasligiga olib keladi. IP- paket IP tarmoqlarda kommunikatsiyaning fundamental birligi hisoblanadi. Uning tuzilmasi 5.7-rasmda keltirilgan. – rasm. IP-paket tuzulishi IP-paket tarkibida manba manzili S va axborot qabul qiluvchining manzili D, transport sarlovhasi, bu paketda tashiluvchi ma‘lumotlar xili xususidagi axborot va ma‘lumotlarning o‗zi bo‗ladi. Autentifikatsiyalashni, uzatiluvchi ma‘lumotlarning mahfiyligi va yaxlitligini ta‘minlash maqsadida, IPSec protokollarining steki qator standartlashtirilgan kriptografik texnologiyalar asosida qurilgan: kalitlarni almashtirish ochiq tarmoqdan foydalanuvchilar orasida mahfiy kalitlarni taqsimlashning Diffi-Xellman algoritmi bo‗yicha amalga oshiriladi; ikkala tomonning haqiqiyligini kafolatlash va main-in-the-midle xilidagi hujumlarni oldini olish maqsadida Diffi-Xellman algoritmi bo‗yicha almashishlarni imzolashda ochiq kalitlar kriptografiyasidan foydalaniladi; ochiq kalitlarning haqiqiyligini tasdiqlashda raqamli sertifikatlar ishlatiladi; ma‘lumotlarni shifrlashda blokli simmetrik algoritmlardan foydalaniladi; xeshlash funksiyalari asosida axborotlarni autentifikatsiyalash algoritmlari ishlatiladi. Himoyalangan kanalni o‗rnatish va madadlashdagi asosiy masalalar quyidagilar: foydalanuvchilar yoki kompyuterlarni autentifikatsiyalash; himoyalangan kanalning ohirgi nuqtalari orasida uzatiluvchi ma‘lumotlarni shifrlash va autentifikatsiyalash; kanalning ohirgi nuqtalarini ma‘lumotlarni autentifikatsiyalashda va shifrlashda kerak bo‘ladigan mahfiy kalitlar bilan ta‘minlash. Yuqorida sanab o‗tilgan masalalarni hal etishda IPSec tizimi axborot almashish xavfsizligi vositalarining kompleksidan foydalanadi. IPSec protokolining amalga oshirilishida quyidagi komponentlardan foydalaniladi: IPSecning asosiy protokoli. Ushbu komponent himoyani inkapsulyatsiyalovchi protokol ESP (Encapsulation Security Rau1oad)ni va sarlovhani autentifikatsiyalovchi protokoli AH (Authentication Header)ni amalga oshiradi. U sarlovhalarni ishlaydi; paketga qo‗llaniladigan xavfsizlik siyosatini aniqlash uchun SPD va SAD ma‘lumotlar bazasi bilan o‗zaro aloqa qiladi; kalit axborotlarini almashishni boshqarish protokoli IKE. IKE odatda foydalanish satxida qo‗llaniladi (operatsion tizimga o‗rnatilgani bundan istisno); xavfsizlik siyosatlarining ma‘lumotlar bazasi SAD (Security Association Database). Bu eng muhim komponentlardan biri bo‘lib, paketga qo‗llaniladigan xavfsizlik siyosatini belgilaydi. SAD dan asosiy proto- kol IPSec tomonidan kiruvchi va chiquvchi paketlarni ishlashda foydalaniladi; xavfsiz assotsiatsiyalarning ma‘lumotlar bazasi SPD. Bu ma‘lumotlar bazasi kiruvchi va chiquvchi axborotni ishlash uchun xavfsiz assotsiatsiyalar SA(Security Association) ro‘yxatini saqlaydi. Chiquvchi SAlardan chiquvchi paketlarni himoyalashda, kiruvchi SAlardan esa IPSec sarlovhali paketlarni ishlashda foydalaniladi. SAD ma‘lumotlar bazasi SA bilan qo‗lda yoki kalitlarni boshqarish protokollari IKE yordamida to‗ldiriladi; xavfsizlik siyosatini va xavfsiz assotsiyatsiyalarni boshqarish. Bu SAni va xavfsizlik siyosatini boshqaruvchi ilovalardir. Asosiy protokol IPSec (ESP va AHni amalga oshiruvchi) TCP/IP protokollarining transport va tarmoq steklari bilan o‘zaro uzviy aloqada bo‗ladi. IPSecni tarmoq sathining qismi deyish mumkin. IPSecning asosiy moduli ikkita interfeysni - kirish yo‗li va chiqish yo‗li interfeyslarni ta‘minlaydi. Kirish yo‗li interfeysi kiruvchi paketlar tomonidan, chiqish yo‗li interfeysi esa chiquvchi paketlar tomonidan foydalaniladi. IPSecning amalga oshirilishi TCP/IP protokollar stekining transport va tarmoq sathlari orasidagi interfeysga bog‗liq bo‗lmasligi lozim. SPD va SAD ma‘lumotlar bazasi IPSec ishlashiga jiddiy ta‘sir ko‗rsatadi. Ulardagi ma‘lumotlar tuzilmasini tanlash IPsec ishlashining unumdorligiga ta‘sir etadi. IPSec dagi barcha protokollarni ikkita guruhga ajratish mumkin: uzatiluvchi ma‘lumotlarni bevosita ishlovchi (ularning xavfsizligini ta‘minlash uchun) protokollar; birinchi guruh, protokollariga kerakli himoyalangan ulanishlar ko‘rsatkichlarini avtomatik tarzda muvofiqlashtirishga imkon beruvchi proto- kollar. IPSec yadrosini uchta AH, ESP virtual kanal va kalitlarni boshqarish IKE ko‘rsatkichlarini muvofiqlashtiruvchi protokollar tashkil etadi. IPSec xavfsizlik vositalarining arxitekturasi 5.8-rasmda keltirilgan. 5.8-rasm. IPSec protokollari stekining arxitekturasi Arxitekturaning yuqori sathida quyidagi protokollar joylashgan: virtual kanal ko‘rsatkichlarini muvofiqlashtiruvchi va kalitlarni boshqarish protokoli IKE. Bu protokol himoyalangan kanalni initsializatsiyalash usulini, jumladan ishlatiluvchi kriptohimoyalash algoritmlarini muvofiqlashtirishni, hamda himoyalangan ulanish doirasida mahfiy kalitlarni almashish va boshqarish muolajalarini belgilaydi; sarlovhani autentifikatsiyalovchi protokol AH. Bu protokol ma‘lumotlar manbaini autentifikatsiyalashni, ularning, qabul qilinganidan so‘ng, yaxlitligini va xaqiqiyligini tekshirish, takroriy axborotlarning tiqishtirilishidan himoyani ta‘minlaydi; himoyani inkapsulyatsiyalovchi protokol ESP. Bu protokol uzatiluvchi ma‘lumotlarni kriptografik berkitishni, autentifikatsiyalashni va yaxlitligini ta‘minlaydi, hamda takroriy axborotlarning tiqishtirilishidan himoyalaydi. AH va ESP protokollarining har biri alohida va birgalikda ishlatilishi mumkin. Bu protokollarning vazifalari qisqacha bayonidan ko‘rinib turibdiki, ularning imkoniyatlari qisman bir xil. AH protokoli faqat ma‘lumotlarni yaxlitligini va autentifikatsiyalashni ta‘minlashga javob beradi. ESP protokoli kuchliroq hisoblanadi, chunki u ma‘lumotlarni shifrlashi mumkin, undan tashqari AH protokoli vazifasini ham bajarishi mumkin. IKE, AH va ESP protokollarining o‗zaro aloqalari quyidagicha kechadi. Avval IKE protokoli bo‗yicha ikkita nuqta orasida mantiqiy ulanish o‗rnatiladi. Bu ulanish IPSec standartlarida "xavfsiz assotsiatsiya''-Security Association, SA nomini olgan. Ushbu mantiqiy kanal o‗rnatilishida kanalning ohirgi nuqtalarini autentifikatsiyalash bajariladi, hamda ma‘lumotlarni himoyalash ko‘rsatkichlari, masalan, shifrlash algoritmi, sessiya mahfiy kaliti va x,. tanlanadi. So‘ngra xavfsiz assotsiatsiya SA tomonidan o‘rnatilgan doirada AH va ESP protokoli ishlay boshlaydi. Bu protokollar yordamida uzatiluvchi ma‘lumotlarning istalgan himoyasi, tanlangan ko‘rsatkichlardan foydalanilgan holda bajariladi. IPSec arxitekturasining o‗rta sathini IKE protokolida qo‗llaniluvchi ko‘rsatkichlarni muvofiqlashtirish va kalitlarni boshqarish algoritmlari hamda AH va ESP protokollarida ishlatiluvchi autentifikatsiyalash va shifrlash algoritmlari tashkil etadi. Ta‘kidlash lozimki, IPSec arxitekturasining yuqori sathidagi virtual kanalni himoyalash protokollari (AH va ESP) muayyan kriptografik algoritmlarga bog‗liq emas. Autentifikatsiyalash va shifrlashning ko‗p sonli turli-tuman algoritmlaridan foydalanish imkoniyati tufayli IPSec tarmoqni himoyalashni tashkil etishning yuqori pog‗onada moslashuvchanligini ta‘minlaydi. IPSecning moslashuvchanligi deganda har bir masala uchun uning yechilishini turli usullari tavsiya etilishi tushuniladi. Bir masala uchun tanlangan usul, odatda, boshqa masalalarni amalga oshirish usullariga bog‗liq emas. Masalan, shifrlash uchun DES algoritmining tanlanishi ma‘lumotlarni autentifikatsiyalashda ishlatiluvchi daydjestni hisoblash funksiyasini tanlashga ta‘sir qilmaydi. IPSec arxitekturasining pastki sath interpretatsiyalash domeni DOI (Domain of Interpretation) dan iborat. Interpretatsiyalash domenining qo‗llanish zaruriyatiga quyidagilar sabab bo‗ldi. AH va ESP protokollari modulli tuzilmaga ega, ya‘ni foydalanuvchilar o‗zaro kelishgan holda shifrlash va autentifikatsiyalashning turli kriptografik algoritmlaridan foydalanishlari mumkin. Shu sababli, barcha ishlatiluvchi va yangi kiritiluvchi protokol va algoritmlarning birgalikda ishlashini ta‘minlovchi modul zarur. Aynan shu vazifalar interpretatsiyalash domeniga yuklatilgan. Interpretatsiyalash domeni ma‘lumotlar bazasi sifatida IPSecda ishlatiladigan protokollar va algoritmlar, ularning ko‘rsatkichlari, protokol identifikatorlari va b. xususidagi axborotlarni saqlaydi. Mohiyati bo‗yicha interpretatsiyalash domeni IPSec arxitekturasida fundament rolini bajaradi. AH va ESP protokollarida autentifikatsiyalash va shifrlash algoritmlari sifatida milliy standartlarga mos keluvchi algoritmlardan foydalanish uchun bu algoritmlarni interpretatsiyalash domenida ro‗yxatdan o‗tkazish lozim. AH yoki ESP protokollari uzatiluvchi ma‘lumotlarni quyidagi ikkita rejimda himoyalashi mumkin: tunnel rejimda: IP paketlar butunlay, ularning sarlovhasi bilan birga himoyalanadi; transport rejimida: IP paketlarning faqat ichidagilari himoyalanadi. Tunnel rejimi asosiy rejim hisoblanadi. Bu rejimda dastlabki paket yangi IP paketga joylanadi va ma‘lumotlarni tarmoq bo‗yicha uzatish yangi IP-paket sarlovhasi asosida amalga oshiriladi. Tunnel rejimida ishlashda har bir oddiy IP-paket kriptohimoyalangan ko‗rinishda butunligicha IPSec konvertiga joylanadi. IPSec konverti, o‗z navbatida boshqa himoyalangan IP-paketga inkapsulyatsiyalanadi. Tunnel rejimi odatda maxsus ajratilgan xavfsizlik shlyuzlarida - marshrutizatorlar yoki tarmoqlararo ekranlarda amalga oshiriladi. Bunday shlyuzlar orasida himoyalangan tunnellar shakllantiriladi. Tunnelning boshqa tomonida qabul qilingan himoyalangan IP-paketlar "ochiladi" va olingan dastlabki IP-paketlar qabul qiluvchi lokal tarmoq kompyuterlariga standart qoidalar bo‗yicha uzatiladi. IP-paketlarni tunnellash tunnellarni egasi bo‗lmish lokal tarmoqdagi oddiy kompyuterlar uchun shaffof hisoblanadi. Ohirgi tizimlarda tunnel rejimi masofadagi va mobil foydalanuvchilarni madadlash uchun ishlatilishi mumkin. Bu holda foydalanuvchilar kompyuterida IPSecning tunnel rejimini amalga oshiruvchi dasturiy ta‘minot o‘rnatilishi lozim. Transport rejimida tarmoq orqali IP-paketni uzatish bu paketning dastlabki sarlovhasi yordamida amalga oshiriladi. IPSec konvertiga kriptohimoyalangan ko‘rinishda faqat IP-paket ichiga joylanadi va olingan konvertga dastlabki IP- sarlovha qo‗shiladi. Transport rejimi tunnel rejimiga nisbatan tezkor va ohirgi tizimlarda qo‗llanish uchun ishlab chiqilgan. Ushbu rejim masofadagi va mobil foydalanuvchilarni, hamda lokal tarmoq ichidagi axborot oqimini himoyalashni madadlashda ishlatilishi mumkin. Ta‘kidlash lozimki, transport rejimida ishlash himoyalangan o‘zaro aloqa guruhiga kiruvchi barcha tizimlarda o‘z aksini topadi va aksariyat hollarda tarmoq ilovalarini qayta dasturlash talab etiladi. Tunnel yoki transport rejimidan foydalanish ma‘lumotlarni himoyalashga qo‘yiladigan talablarga, hamda IPSes ishlovchi tugun roliga bog‗liq. Himoyalanuvchi kanalni tugallovchi tugun-xost(ohirgi tugun) yoki shlyuz (oraliqdagi tugun) bo‘lishi mumkin. Mos holda, IPSecni qo‗llashning quyidagi uchta asosiy sxemasi farqlanadi: "xost - xost"; "shlyuz - shlyuz"; "xost - shlyuz"; Birinchi sxemada himoyalangan kanal tarmoqning ohirgi ikkita tuguni, ya‘ni HI va H2 xostlar orasida o‘rnatiladi (5.9 - rasm), IPSecni madadlovchi xostlar uchun transport hamda tunnel rejimlaridan foydalanishga ruxsat beriladi. 5.9 - rasm. "Xost-xost " sxemasi Ikkinchi sxemaga binoan, himoyalangan kanal har birida IPSec protokoli ishlovchi, xavfsizlik shlyuzlari SG1 va SG2 (Security Gateway) deb ataluvchi oraliqdagi ikkita tugunlar orasida o‘rnatiladi (5.10 - rasm). 5.10 - rasm. "Shlyuz-shlyuz" sxemasi Xavfsizlik shlyuzi ikkita tarmoqqa ulanuvchi tarmoq qurilmasi bo‘lib, o‘zidan keyin joylashgan xostlar uchun shifrlash va autentifikatsiyalash funksiyalarini bajaradi. VPNning xavfsizlik shlyuzi alohida dasturiy mahsulot, alohida apparat qurilma hamda VPN funksiyalari bilan to‗ldirilgan marshrutizator yoki tarmoqlararo ekran ko‗rinishida amalga oshirilishi mumkin. Ma‘lumotlarni himoyalangan almashish tarmoqlarga ulangan, xavfsizlik shlyuzlaridan keyin joylashgan har qanday ikkita ohirgi tugunlar orasida ro‘y berishi mumkin. Ohirgi tugunlardan IPSec protokolni madadlash talab qilinmaydi, ular o‘zlarining trafigini himoyalanmagan holda korxonaning ishonchli tarmog‗i Intranet orqali uzatadi. Umumfoydalanuvchi tarmoqqa yuboriluvchi trafik xavfsizlik shlyuzi orqali o‘tadi va bu shlyuz o‘zining nomidan IPSec yordamida trafikni himoyalashni ta‘minlaydi. Shlyuzlarga faqat tunnel rejimida ishlashga ruxsat beriladi, garchi ular transport rejimini ham madadlashlari mumkin (bu holda samara kam bo‗ladi). "Xost - shlyuz" sxemasi ko‘pincha himoyalangan masofadan foydalanishda ishlatiladi (5.11-rasm). 5.11-rasm. "Xost-xost"kanali bilan to‗ldirilgan "xost-shlyuz" sxemasi Bu yerda himoyalangan kanal IPSec ishlovchi masofadagi H1 xost va korxona Intranet tarmog‗iga kiruvchi barcha xostlar uchun trafikni himoyalovchi SG shlyuz orasida tashkil etiladi. Masofadagi xost shlyuzga paketlarni junatishda ham transport va ham tunnel rejimlaridan foydalanishi mumkin, shlyuz esa xostga paketlarni faqat tunnel rejimida junatadi. Bu sxemani masofadagi H1 xost va shlyuz tomonidan himoyalanuvchi ichki tarmoqqa tegishli biror H2 xost orasida parallel yana bir himoyalangan kanalni yaratib modifikatsiyalash mumkin. Ikkita SAdan bunday kombinatsiyadan foydalanish ichki tarmoqdagi trafikni ham ishonchli himoyalashga imkon beradi. Ko‘rilgan IPSec asosida himoyalangan kanalni qurish sxemalari turli-tuman VPNlarni yaratishda keng qo‗llaniladi. IPSec asosida turli arxitekturaga ega bo‗lgan VPN, jumladan masofadan foydalanuvchi VPN (Remote Access VPN), korporatsiya ichidagi VPN (Intranet VPN) va korporatsiyalararo VPN (Extranet VPN) quriladi. IPSec asosidagi VPN-texnologiyalarining jozibaliligini quyidagi sabablar orqali izohlash mumkin: tarmoq satxining himoyasi tarmoqda ishlovchi barcha tadbiq etish tizimlari uchun shaffof, ya‘ni barcha ilovalar himoyalangan tarmoqda hech qanday tuzatishsiz va o‘zgarishsiz xuddi ochiq tarmoqda ishlaganidek ishlayveradi; himoyalash tizimining masshtablanuvchanligi ta‘minlanadi, ya‘ni murakkabligi va unumdorligi turli bo‗lgan ob‘ektlarni himoyalash uchun murakkabligi, unumdorligi, narhi, pog‗onasi bo‗yicha adekvat bo‗lgan himoyalashning dasturiy yoki dasturiy-apparat vositalaridan foydalanish mumkin; masshtablanuvchi qatordagi axborotni himoyalash mahsulotlari birga ularni turli sathdagi ob‘ektlarda (masofadagi yagona terminallardan to ixtiyoriy masshtabli lokal tarmoqlargacha) resurslaridan va trafigidan barcha begonalar foydalana olmaydigan yagona korporativ tarmoqqa birlashtirish mumkin. Yüklə 1,38 Mb. Dostları ilə paylaş:
|