|
Axborot texnologiyalari va kommunikatsiyalarni rivojlantirish vazirligi muhammad al xorazmiy nomidagi
|
| Sana | 30.10.2023 | | Hajmi | 31.85 Kb. | | #91035 |
Bog'liq Tarmoq xafsizligi 2 1. Anketa (talabalar), 3-mavzu, conference, 12 labaratoriya ishi, Маълумотлар тузилмаси ва алгоритмлар узб, Abduvositaka, Saralash algoritmlari, Akademik yozuv 2 Omonboyev Rashidbek 12, kontakt hodisalar, golosariy, Operatsion tizimlar uz, 1 - lesson (internet), 2-маруза мавзуси Симулятор, dars tahlili, 6666666666666666666666666666666666666
O’ZBEKISTON RESPUBLIKASI
AXBOROT TEXNOLOGIYALARI
VA KOMMUNIKATSIYALARNI RIVOJLANTIRISH VAZIRLIGI
MUHAMMAD AL – XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI
FARG’ONA FILIALI TELEKOMUNKATSIYA TEHNALOGIYALARI FAKULTETI
633-20 GURUH TALABASI
ORTIQOV ASADBEKNING TARMOQ XAFSIZLIGI FANIDAN
MUSTAQIL ISH
Farg’ona 2023
Topshirdi: Ortiqov A.A
Qabul qildi: MIRZAYEV J.B
FARG`ONA - 2023
MAVZU : Himoyalangan masofaviy foydalanishlarni tashkil etish
Reja
Himoyalangan virtual xususiy tarmoqlarni qurish konsepsiyasi
Himoyalangan virtual xususiy tarmoqlarning turkumlanishi
Himoyalangan korporativ tarmoqlarni qurish uchun VPN yechimlar
Kanal va seans sathlarda himoyalangan virtual kanallarni qurish
FARG`ONA - 2023
Intemetning gurillab rivojlanishi natijasida dunyoda axborotni tarqatish va foydalanishda sifatiy o‘zgarish sodir boMdi. Internet foydalanuvchi lari arzon va qulay kommunikatsiyaga ega bo‘ldilar. Korxonalar Internet kanallaridan jiddiy tijorat va boshqaruv axborotlarini uzatish imkoniyatlariga qiziqib qoldilar. Ammo Intemetning qurilishi prinsipi niyati buzuq odamlarga axborotni o‘g‘irlash yoki atayin buzish imkoniyatini yaratdi. Odatda, TCP/IP protokollar va standart lnternet-ilovalar (e-mail, Web, FTP) asosida qurilgan korporativ va idora tarmoq lari suqilib kirishdan kafolatlanmaganlar. Intemetning hamma yerda tarqalishidan manfaat ko‘rish maqsadida tarmoq hujumlariga samarali qarshilik ko‘rsatuvchi va biznesda ochiq tarmoqlardan faol va xavfsiz foydalanishga imkon beruvchi virtual xususiy tarmoq VPN yaratish ustida ishlar olib borildi. Natijada, 1990- yilning boshida virtual xususiy tarmoq VPN konsepsiyasi yaratildi. «Virtual» iborasi VPN atamasiga ikkita uzel o‘rtasidagi ulanishni vaqtincha, deb ko‘rilishini ta’kidlash maqsadida kiritilgan. Haqiqatan, bu ulanish doimiy, qat’iy boMmay, faqat ochiq tarmoq bo'yicha traflk o‘tganida mavjud boMadi. Virtual tarmoq VPNlarni qurish konsepsiyasi asosida yetarlicha oddiy g‘oya yotadi: agar global tarmoqda axborot almashinuvchi ikkita uzel boMsa, bu uzellar orasida ochiq tarmoq orqali uzatilayotgan axborotning konfidensialligini va yaxlitligini ta’minlovchi virtual himoyalangan tunnel qurish zarur va bu virtual tunneldan barcha mumkin boMgan tashqi faol va passiv kuzatuvchilarning foydalanishi haddan tashqari qiyin boMishi lozim. Shunday qilib, VPN tunneli ochiq tarmoq orqali o ‘tkazilgan ulanish boMib, u orqali virtual tarmoqning kriptografik himoyalangan axborot paketlari uzatiladi. Axborotni VPN tunneli bo'yicha uzatilishi jarayonidagi himoyalash quyidagi vazifalami bajarishga asoslangan: - o'zaro aloqadagi taraflami autentifikatsiyalash; - uzatiluvchi ma’lumotlami kriptografik berkitish (shifrlash); - yetkaziladigan axborotning haqiqiyligini va yaxlitligini tekshirish. Bu vazifalar bir-biriga bog'liq boMib, ulami amalga oshirishda axborotni kriptografik himoyalash usullaridan foydalaniladi. Bunday himoyalashning samaradorligi simmetrik va asimmetrik kriptografik tizimlaming birgalikda ishlatilishi evaziga ta’minlanadi. VPN qurilmalari tomonidan shakllantiriluvchi VPN tunneli himoyalangan ajratilgan liniya xususiyatlariga ega boMib, bu himoyalangan ajratilgan liniyalar umumfoydalanuvchi tarmoq, masalan, Internet doirasida, saflanadi. VPN qurilmalari virtual xususiy tarmoqlarda VPN-mijoz, VPN-server yoki VPN xavfsizligi shlyuzi vazifasini o‘tashi mumkin. VPN-mijoz, odatda shaxsiy kompyuter asosidagi dasturiy yoki dasturiy-apparat kompleksi boMib, uning tarmoq dasturiy ta’minoti u boshqa VPN-mijoz, VPN-server yoki VPN xavfsizligi shlyuzlari bilan almashinadigan trafikni shifrlash va autentifikatsiyalash uchun modifikatsiyalanadi. Odatda, VPN-mijozning amalga oshirilishi standart operatsion tizim - Windows NT/2000 yoki Unixni toMdiruvchi dasturiy yechimdan iborat bo‘ladi. VPN-server server vazifasini o‘tovchi, kompyuterga o‘rnatiluvchi dasturiy yoki dasturiy-apparat kompleksidan iborat. VPN-server tashqi tarmoqlaming ruxsatsiz foydalanishidan serverlami himoyalashni hamda alohida kompyuterlar va mos VPN-mahsulotlari orqali himoyalangan lokal tarmoq segmentlaridagi kompyuterlar bilan himoyalangan ulanishlarni tashkil etishni ta’minlaydi. VPN-server VPN-mijozning server platformalari uchun funksional analog hisoblanadi. U awalo, VPN-mijozlar bilan ko'pgina ulanishlarni inadadlovchi kengaytirilgan resurslari bilan ajralib turadi. VPN-server mobil foydalanuvchilar bilan ulanishlarni ham madadlashi mumkin. VPN xavfsizlik shlyuzi. (Security gateway) ikkita tarmoqqa ulanuvchi tarmoq qurilmasi bo‘lib, o‘zidan keyin joylashgan ko‘p sonli xostlar uchun shifrlash va autentifikatsiyalash vazifalarini bajaradi. VPN xavfsizligi shlyuzi shunday joylashtiriladiki, ichki korporativ tarmoqqa atalgan barcha trafik u orqali o‘tadi. VPN xavfsizligi shlyuzining adresi kiruvchi tunnellanuvchi paketning tashqi adresi sifatida ko‘rsatiladi, paketning ichki adresi esa shlyuz orqasidagi muayyan xost adresi hisoblanadi. VPN xavfsizligi shlyuzi alohida dasturiy yechim, alohida apparat qurilmasi hamda VPN vazifalari bilan to'ldirilgan marshrutizatorlar yoki tarmoqlararo ekran ko‘rinishida amalga oshirilishi mumkin. Axborot uzatishning ochiq tashqi muhiti ma’lumot uzatishning tezkor kanallarini (Internet muhiti) va aloqaning sekin ishlaydigan umumfoydalanuvchi kanallarini (masalan, telefon tarmog‘i kanallarini) o'z ichiga oladi. Virtual xususiy tarmoq VPNning samaradorligi aloqaning ochiq kanallari bo'yicha aylanuvchi axborotning himoyalanish darajasiga bog'liq. Ochiq tarmoq orqali ma’lumotlami xavfsiz uzatish uchun inkapsulatsiyalash va tunnellash keng ishlatiladi. Tunnellash usuli bo'yicha ma’lumotlar paketi umumfoydalanuvchi tarmoq orqali xuddi oddiy ikki nuqtali ulanish bo'yicha uzatilganidek uzatiladi. Har bir «jo'natuvchi qabul qiluvchi» juftligi orasiga bir protokol ma’lumotlarini boshqasining paketiga inkapsulatsiyalashga imkon beruvchi o'ziga xos tunnel-mantiqiy ulanish o'rnatiladi. Tunnellashga binoan, uzatiluvchi ma’lumotlar porsiyasi xizmatchi hoshiyalar bilan birga yangi «convert»ga «joylash» amalga oshiriladi. Bunda pastroq sath protokoli paketi yuqoriroq yoki xuddi shunday sath protokoli paketi ma’lumotlari maydoniga joylashtiriladi. Ta’kidlash lozimki, tunnelashning o'zi ma’lumotlarni ruxsatsiz foydalanishdan yoki buzishdan himoyalamaydi, ammo tunnellash tufayli inkapsulatsiyalanuvchi dastlabki paketlami to'la kriptografik himoyalash imkoniyati paydo bo'ladi. Uzatiluvchi ma’lumotlar konfidensialligini ta’minlash maqsadida jo'natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IPsarlavha bilan tashqi paketga joylaydi va tranzit tarmoq bo'yicha jo'natadi (7.1-rasm). Ochiq tarmoq bo'yicha ma’lumotlami tashishda tashqi paket sarlavhasining ochiq kanallaridan foydalaniladi. Tashqi paket himoyalangan kanalning oxirgi nuqtasiga kelishi bilan undan ichki dastlabki paket chiqarib olinib, rasshifrovka qilinadi va uning tiklangan sarlavhasi ichki tarmoq bo'yicha keyingi uzatish uchun ishlatiladi.
Tunnellashdan paket tarkibini nafaqat konfidensialligini, balki uning yaxlitligini va autentligini ta’minlashda foydalaniladi. Bunda elektron raqamli imzoni paketning barcha hoshiyalariga tarqatish mumkin. Internet bilan bog'lanmagan lokal tarmoq yaratilganda kompaniya o'zining tarmoq qurilmalari va kompyuterlari uchun xohlagan IPadresdan foydalanishi mumkin. Oldin yakkalangan tarmoqlarni birlashtirishda bu adreslar bir-birlari va Internetda ishlatilayotgan adreslar bilan to'qnashishlari mumkin. Paketlami inkapsulatsiyalash bu muammoni yechadi, chunki u dastlabki adreslarni berkitishga va Internet IP adreslari makonidagi noyob adreslarni qo'shishga imkon beradi. Bu adreslar keyin ma’lumotlarni ajratiluvchi tarmoqlar bo'yicha uzatishda ishlatiladi. Bunga lokal tarmoqqa ulanuvchi mobil foydalanuvchilaming IP-adreslarini va boshqa parametrlarini sozlash masalasi ham kiradi. Tunellash mexanizmi himoyalanuvchi kanalni shakllantiruvchi turli protokollarda keng qo‘llaniladi. Odatda tunnel faqat ma’lumotlarning konfidensialligi va yaxlitligining buzilishi xavfi mavjud boMgan ochiq tarmoq qismida, masalan, ochiq Internet va korporativ tarmoq kirish nuqtalari orasida yaratiladi. Bunda tashqi paketlar uchun ushbu ikki nuqtada o‘matilgan chegara marshrutizatorlarining adreslaridan foydalanilsa, oxirgi uzellarning ichki adreslari ichki dastlabki paketlarda himoyalangan holda saqlanadi. Ta’kidlash lozimki, tunellash mexanizmining o‘zi qanday maqsadlarda tunnellash qoMlanilayotganiga bogMiq emas. Tunnellash nafaqat uzatilayotgan barcha maMumotlarning konfidensialligi va yaxlitligini ta’minlashda, balki turli protokolli (masalan, IPv4 va IPv6) tarmoqlar orasida o‘tishni tashkil etishda ham qoMlaniladi. Tunnellash bir protokol paketini boshqa protokoldan foydalanuvchi mantiqiy muhitda uzatishni tashkil etishga imkon beradi. Natijada bir necha turli xil tarmoqlaming o'zaro aloqalari muammosini hal etish imkoniyati paydo bomadi.
Himoyalangan virtual xususiy tarmoqlar VPNni turkumlashni turli variantlari mavjud. Ko'pincha turkumlashning quyidagi uchta alomati ishlatiladi: - OSI modelining ish sathi; - VPN texnik yechimining arxitekturasi; - VPNni texnik amalga oshirish usuli. OSI modelining ish sathi bo'yicha VPNning turkumlanishi Ushbu turkumlash anchagina qiziqish tug'diradi, chunki amalga oshiriluvchi VPNning funksionalligi va uning korporativ axborot tizimlari ilovalari hamda himoyaning boshqa vositalari bilan birgalikda ishlatilishi ko‘p hollarda tanlangan OSI sathiga bog'liq boMadi. OSI modelining ish sath alomati bo'yicha kanal sathidagi VPN, tarmoq sathidagi VPN va seans sathidagi VPN farqlanadi. Demak, VPNlar, odatda OSI modelining pastki sathlarida quriladi. Buning sababi shuki, himoyalangan kanal vositalari qanchalik pastki sathda amalga oshirilsa, ularni ilovalargb va tatbiqiy protokollarga shunchalik shaffof qilish soddalashadi. Tarmoq va kanal sathlarida ilovalaming himoya protokollariga bog'liqligi umuman yo'qoladi. Shu sababli, foydalanuvchilar uchun universal va shaffof himoyani faqat OSI modelining pastki sathlarida qurish mumkin. Ammo bunda biz boshqa muammoga-himoya protokolining muayyan tarmoq texnologiyasiga bog'liqligi muammosiga duch kelamiz. Kanal sathidagi VPN. OSI modelining kanal sathida ishlatiluvchi VPN vositalari uchinchi (va yuqoriroq) sathning turli xil trafigini inkapsulatsiyalashni ta’minlashga va «nuqta-nuqta» xilidagi virtual tunnellarni (marshrutizatordan marshrutizatorga yoki shaxsiy kompterdan lokal hisoblash tarmog'ining shlyuzigacha) qurishga imkon beradi. Bu guruhga L2F (Layer 2 Forwarding) va PPTP (Point-to-Point Tunneling Protocol) protokollari hamda Cisco Systems! MicroSoft firmalarining birga ishlab chiqqan L2TP(Layer 2 Tunneling Protocol) standartidan foydalanuvchi VPN-mahsulotlar taalluqli. Himoyalangan kanalning protokoli PPTP «nuqta-nuqta» ulanishlarida, masalan, ajratilgan liniyalarda ishlaganda keng qo'llaniluvchi PPP protokoliga asoslangan. PPTP protokoli ilovalari va tatbiqiy sath xizmatlari uchun himoya vositalarining shaffofligini ta’minlaydi va tarmoq sathida ishlatiluvchi protokolga bog'liq emas. Xususan, PPTP protokoli ham IP tarmoqlarida, ham IPX, DECnet yoki NetBEUL protokol- lari asosida ishlovchi tarmoqlarda paketlarni tashishi mumkin. Ammo PPP protokoli hamma tarmoqlarda ham ishlatilmasligi sababli (aksariyat lokal tarmoqlarida kanal sathida Ethernet protokoli ishlasa, global tarmoqlarda ATM, Frame Relay protokollari ishlaydi), uni universal vosita deb bo‘lmaydi. Yirik birikma tarmoqning turli qismlarida, umuman aytganda, turli kanal protokollari ishlatiladi. Shu sababli, bu geterogen muhit orqali kanal sathining yagona protokoli yordamida himoyalangan kanalni o‘tkazish mumkin emas. L2TP protokoli, ehtimol, lokal hisoblash tarmoqlaridan foydalanishni tashkil etishda ustunlik qiluvchi yechim bo‘lib qolishi mumkin (chunki u, asosan, Windows operatsion tizimiga tayanadi.) Tarmoq sathidagi VPN. Tarmoq sathidagi VPN-mahsulotlar IPni IPga inkapsulatsiyalashni bajaradi. Bu sathdagi keng tarqalgan protokollardan biri SKIP protokolidir. Ammo bu protokolni autentifikatsiyalash, tunnellash va IP-paketlarni shifrlash uchun atalgan IPSec(IPSecurity) protokoli asta-sekin surib chiqarmoqda. Tarmoq sathida ishlovchi IPSec protokoli murosaga asoslangan variant hisoblanadi. Bir tomondan u ilovalar uchun shaffof, ikkinchi tomondan keng tarqalgan IP protokoliga asoslanganligi sababli barcha tarmoqlarda ishlashi mumkin. Shu orada esdan chiqarmaslik lozimki, IPSecning spetsifikatsiyasi IPga mo‘ljallanganligi sababli u tarmoq sathining boshqa protokollari trafigi uchun to‘g‘ri kelmaydi. IPSec protokoli L2TP protokoli bilan birgalikda ishlashi mumkin. Natijada, bu ikki protokol ishonchli identifikatsiyalashni, standartlangan shifrlashni va ma’lumotlar yaxlitligini ta’minlaydi. Ikkita lokal tarmoq orasidagi IPSec tunneli ma’lumotlar uzatuvchi yakka tarmoqlar to‘plamini madadlashi mumkin. Natijada, bu xildagi ilovalar masshtablanish nuqtai nazaridan ikkinchi sath texnologiyalariga nisbatan ustunlikka ega bo‘Iadi. IPSec protokoli bilan masofadagi qurilmalar orasida kriptografik kalitlarni xavfsiz boshqarish va almashish masalalarini yechuvchi IKE (Internet Key Exchange) protokoli bog‘langan. IKE protokoli kalitlami almashishni avtomatlashtiradi va himoyalangan ulanishni o‘ranatadi, IPSec esa paketlarni kodlaydi va «imzo chekadi». Undan tashqari, IKE o'matilgan ulanish uchun kalitni o‘zgartirish imkoniyatiga ega. Bu uzatiluvchi axborotning konfidensialligini oshiradi. Seam sathidagi VPN. Ba’zi VPNlar «kanal vositachilari» (circuit proxy) deb ataluvchi usuldan foydalanadi. Bu usul transport sathi ustida ishlaydi va har bir soket uchun alohida trafikni himoyalangan tarmoqdan umumfoydanuvchi Internet tarmog'iga retranslatsiyalaydi. (IP soketi TCP-uIanishning va muayyan port yoki berilgan port UDP kombinatsiyasi orqali identifikatsiyalanadi. TCP/IP stekida beshinchi-seans sathi bo‘lmaydi, ammo soketlarga mo'ljallangan amallarni ko‘pincha seans sathi amallari deb yuritishadi.) Tunnelning initsiatori va terminatori orasida uzatiluvchi axborotni shifrlash transport sathi TLS(Transport Layer Security) yordamida amalga oshiriladi. Tarmoqlararo ekran orqali autentifikatsiyalangan o‘tishni standartlash uchun SOCKS deb ataluvchi protokol aniqlangan va hozirda SOCKS protokolining 5-versiyasi kanal vositachilarini standart amalga oshirilishida ishlatiladi. SOCKS protokolining 5-versiyasida mijoz kompyuteri vositachi (proxy) vazifalarini bajaruvchi server bilan autentifikatsiyalangan soket (yoki seans) o‘rnatadi. Bu vositachi-tarmoqlararo ekran orqali bogManishning yagona usuli. Vositachi, o‘z navbatida, mijoz tomonidan so'ralgan har qanday amalni bajaradi. Vositachiga soket sathidagi trafik ma’lumligi sababli, u sinchiklab nazorat qilishi, masalan, muayyan ilovalami, agar ular zaruriy vakolatlarga ega bo'lmasa, blokirovka qilishi mumkin. Agar IPSec protokoli mohiyati bo'yicha, IP tarmoqni himoyalangan tunnelga tarqatsa, SOCKS protokoli asosidagi mahsulotlar uni alohida har bir ilova va har bir soketga kengaytiradi. Ikkinchi va uchinchi sathning yaratilgan tunnellari ikkala yo‘nalishda birday ishlasa, 5 sathning VPN tarmog'i har bir yo‘nalishda uzatishni mustaqil boshqarishga ruxsat beradi. IPSec protokolga va ikkinchi sath protokollariga o'xshab 5 sathning VPN tarmoqlari virtual xususiy tarmoqlaming boshqa turlari bilan birga ishlatilishi mumkin, chunki bu texnologiyalar bir-birini inkor qilmaydi. Texnik yechimining arxitekturasi bo'yicha VPNning turkumlanishi Ushbu turkumlash bo'yicha virtual xususiy tarmoqlar quyidagi uch turga bo‘linadi: - korporatsiya ichidagi VPN tarmoq; - masofadan foydalaniluvchi VPN tarmoq; - korporatsiyalararo VPN tarmoq. Korporatsiya ichidagi VPN tarmoq. Korporatsiya ichidagi VPN tarmoqlar (Intranet VPN) korxona ichidagi bo'linmalar yoki aloqaning korporatsiya tarmoqlari (shu jumladan, ajratilgan liniyalar) yordamida birlashtirilgan korxonalar guruhi orasida himoyalangan aloqani tashkil etish uchun ishlatiladi. O'zining filiallari va bo'limlari uchun axborot- ning markazlashtirilgan omboridan foydalanishga ehtiyoj sezgan kompaniyalar masofadagi uzellami ajratilgan liniyalar yoki frame relay texnologiyasi yordamida ulaydilar. Ammo ajratilgan liniyalaming ishlatilishi egallanadigan o‘tkazish polosasining va obyektlar orasidagi masofaning kattalashgani sari joriy sarf-xarajatlaming oshishiga sabab boMadi. Bulami kamaytirish uchun kompaniya uzellarini virtual xususiy tarmoq yordamida ulashi mumkin (7.4-rasm). Intranet VPN tarmoqlar Intemetdan yoki servis-provayderlar tomonidan taqdim etiluvchi boMinuvchi tarmoq infratuzilmalaridan foydalangan holda quriladi. Kompaniya narxi qimmat ajratilgan liniyalardan voz kechib, ularni arzonroq Internet orqali aloqa bilan almashtiradi. Bu oMkazish polosasidan foydalanishdagi sarf-xarajatni jiddiy kamaytiradi, chunki Intemetda masofa ulanish narxiga hech ta’sir etmaydi
Marshrutizatorlar asosidagi VPN. Tashqi dunyo bilan lokal tarmoq almashadigan barcha axborot mashrutizator orqali o'tadi. Bu marshrutizatorlami chiquvchi paketlarni shifrlovchi va kiruvchi paketlarni rasshifrovka qiluvchi tabiiy platformaga aylantiradi. Boshqacha aytganda, marshrutizator, umuman, marshrutlash vazifasini VPNni madadlash bilan birga olib borishi mumkin. Bunday yechim o‘zining afzalliklari va kamchiliklariga ega. Afzalligi - marshrutlash va VPN vazifalarini birgalikda ma’murlash qulayligidir. Korxona tarmoqlararo ekranni ishlatmasdan korporativ tarmoq himoyasini faqat ham tarmoqdan foydalanish bo'yicha, ham uzatiladigan trafikni shifrlash bo'yicha himoyalash vazifalarini birgalikda hal etuvchi marshrutizator yordamida tashkil etgan hollarda mashrutizatorlarni VPNni madadlashda ishlatilishi, ayniqsa, foydalidur. Ushbu yechimning kamchiligi marshrutlash bo'yicha asosiy amallaming ko'p mehnat sarfini talab etuvchi trafikni shifrlash va autentifikatsiyalash amallari bilan birga olib borilishi natijasida, marshrutizator unumdorligiga quyiladigan talablaming oshishi bilan bog‘liq. Marshrutizatorlaming unumdorligini oshirishga shifrlash vazifalarini apparat madadlash orqali erishiladi. Hozirda barcha marshrutizator va boshqa tarmoq qurilmalarini yetakchi ishlab chiqaruvchilari o‘zlarining mahsulotlarida turli VPN-protokollarini madadlaydilar. Bu sohada Cisco Systems va 3 Com kompaniyalari lider hisoblanadilar. Cisco Systems kompaniyasi o‘zlari ishlab chiqqan marshrutizatorlarga eng keng tarqalgan standartlar asosida VPNlami qurishga imkon beruvchi kanal sathi protokolini madadlovchi IOS 11.3 (Internetwork Operation System 11.3) va tarmoq sathi protokoli IPSec ni kiritdi. L2F protokoli awalroq IOS operatsion tizimning komponentiga aylandi va Cisco ishlab chiqaradigan barcha tarmoqlararo aloqa va masofadan foydalanish qurilmalarida madadlanadi. Cisco marshrutizitorlarida VPN vazifalari butunlay dasturiy yo‘1 bilan yoki shifrlash soprotsessori boMgan maxsus kengaytirish platasidan foydalanilgan holda amalga oshirilishi mumkin. Oxirgi variant VPN amallarida marshrutizator unumdorligini anchagina oshiradi. Cisco Systems kompaniyasi tomonidan ishlab chiqilgan VPN qurish texnologiyasi yuqori unumdorligi va moslanuvchanligi bilan ajralib turadi. Unda «toza» yoki inkapsulatsiya qilingan ko'rinishda uzatiluvchi har qanday IP-oqim uchun shifrlash bilan tunnellash ta’minlanadi. Cisco kompaniyasining marshrutizatorlari asosida VPN-kanallarini qurish operatsionizimining vositalari yordamida Cisco IOS 12.x. versiyasidan boshlab amalga oshiriladi. Agar mazkur operatsion tizim kompaniyaning boshqa boMimlaridagi Cisco chegara marshrutizatorlarida o‘rnatilgan boMsa, bir marshrutizatordan ikkinchisiga «nuqta-nuqta» turidagi virtual himoyalangan tunnellar majmuasidan iborat boMgan korporativ VPN tarmoqni shakllantirish imkoniyati boMadi (7.7-rasm). Marshrutizatorlar asosida VPNlami qurishda esda tutish lozimki, bunday yondashishning o'zi kompaniyaning umumiy axborot xavfsizligini ta’minlash muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan hujum qilish uchun ochiq qoladi. Bu resurslami himoyalash uchun, odatda, chegara marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi. Marshrutizatorlar asosida VPNlami qurishda esda tutish lozimki, bunday yondashishning o‘zi kompaniyaning umumiy axborot xavfsizligini ta’minlash muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan hujum qilish uchun ochiq qoladi. Bu resurslami himoyalash uchun, odatda, chegara marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi. Cisco 1720 VPN Access Router marshrutizatori katta boMmagan va o‘rtacha korxonalarda himoyalangan foydalanishini tashkil etishga atalgan. Bu marshrutizator Internet va intratarmoqlardan foydalanishni tashkil etishga zarur boMgan imkoniyatlami ta’minlaydi va Cisco IOS dasturiy ta’minot asosidagi virtual xususiy tarmoqlarni tashkil etish vazifalarini madadlaydi. Cisco IOS operatsion tizimi ma’lumotlarni himoyalash, xizmat sifatini boshqarish va yuqori ishonchililikni ta’minlash bo‘yicha VPN vazifalarining juda keng to‘plamini ta’minlaydi. Cisco 1720 marshrutizatori ma’lumotlar himoyasining quyidagi vazifalarini bajaradi: - tarmoqlararo ekranlash. Cisco IOS Firewall komponenta lokal tarmoqlarni hujumlardan himoyalaydi. Foydalanishning kontekstli nazorati CBAC (Context-based access control) funksiyasi ma’lumotlami dinamik yoki holatlarga asoslangan, ilovalar bo'yicha differensiallangan flltrlashni bajaradi. Bu funksiya samarali tarmoqlararo ekranlash uchun juda muhim hisoblanadi. Cisco IOS Firewall komponenta qator boshqa foydali vazifalami ham, xususan, «xizmat qilishdan voz kechish» kabi hujumlami aniqlash va oldini olish, Javani blokirovka etish, audit va vaqtning real masshtabida ogohlantirishlarni tarqatish vazifalarini bajaradi. - shifrlash. IPSec protokolidagi DES va Triple DES shifrlash algoritmlarini madadlash ma’lumotlami konfidensialligi va yaxlitligini va ma’lumotlar manbaini autentifikatsiyalashni (ma’lumotlar global tarmoqdan o'tganidan so'ng) ta’minlash maqsadida ishonchli va standart shifrlaydi. - tunnellash. Tunnellashning IPSec, GRE (Generic Routing Encapsulation), L2F va L2TP standartlari ishlatiladi. L2F va L2TP standartlari masofadagi foydalanuvchilarning korxona lokal tarmog'ida o'rnatilgan Cisco 1720 marshrutizatorigacha virtual tunnel o'tkazganlarida ishlatiladi. Bunday qo'llanishda korxonada masofadan foydalanish serveriga ehtiyoj qolmaydi va shaharlararo yoki xalqaro qo‘ng‘iroqlar uchun to‘Iovi tejaladi. - qurilmalarni autentifikatsiyalash va kalitlarni boshqarish. IPSec katta tarmoqlarda ma’lumotlar va qurilmalarni masshtablanuvchi autentifikatsiyalashni ta’minlovchi kalitlarni boshqarish protokoli IKE, raqamli sertifikatlar X.509 versiya 3, sertifikatlarni boshqaruvchi protokol CEP hamda Verisign va Entrust kompaniya sertifikat serverlari madadlanadi. - VPNning mijoz dasturiy ta ’minoti. IPSec va L2TP protokollarining standart versiyalari bilan ishlovchi harqanday mijoz Cisco IOS bilan o‘zaro aloqa qilishi mumkin. - foydalanuvchilami autentifikatsiyalash. Buning uchun PAP, CHAP protokollari, TACACS+ va RADIUS tizimlari, foydalanish tokenlari kabi vositalardan foydalaniladi. Virtual himoyalangan tarmoqlar nafaqat ma’lumotlarni himoyalash, balki himoyalashning yuqori saviyasi QoSni (Quality o f Service) ta’minlashi lozim. Cisco 1720 marshrutizatori QoSni quyidagi boshqarish mexanizmlarini madadlaydi: - foydalanishning kelishilgan tezligi CAR (Committed Access Rate) ilovalar yoki foydalanuvchilar bazisida quiydagi uchta muhim vazifani bajaradi: • trafik turini turkumlaydi; • berilgan ilovaga ruxsat etilgan o‘tkazish qobiliyatining maksimal darajasini o ‘rnatadi; • trafikning har bir turi ustuvorligini belgilaydi; - siyosat asosida marshrutlash (Policy Routing) ham trafikni turkumlaydi va ustuvorlaydi hamda trafikning qaysi turini marshrutizatorning mos chiqish yo‘li portiga jo ‘natish lozimligini hal etadi; - mulohazali odilona navbat WFQ (Weighted Fair Queneing) trafikni hisobga olgan holda maqbul javob vaqtini ta’minlaydi; - protokol RSVP ilovalarga yoMning boshidan oxirigacha kafolatlangan o'tkazish qobiliyatini rezervlashga imkon beradi. Marshrutizatoming moslashuvchanligi modulli konstruksiya va ikkita slotda o'rnatiluvchi interfeys WAN-kartalari to‘plami orqali ta’minlanadi. Cisco 1720 modelida Cisco 1600, 2800, va 3600 modellarda ishlatiladigan WAN-kartalardan foydalaniladi. Kompaniya 3Com VPN texnologiyani amalga oshirishda boshidan standartlami ko‘zga tutgan edi. VPN ni madadlash uning NetBuilder II, Super Stack 11 NetBuilder marshrutizatorlariga Office Connect Net Builder Platform pladformalariga o‘rnatilgan. 3Com kompaniyasi PPTP va L2TP protokollami madadlovchi masofadan foydalaniluvchi konsentratorlarni yirik ishlab chiqaruvchilaridan biridir. 3Com kompaniyasining VPN tarmoqlari IPSec bilan birga ishlatiladi va tashqi kataloglar, jumladan Novell NDS va Windows NT Directory Serviceslar bilan o‘zaro aloqa qilish uchun ishlab chiqilgan. Kompaniya Web-texnologiyaga asoslangan va VPN yuklanganligini nazoratlashga hamda yuz beruvchi hodisalar asosida statistika va axborotni yig‘ishga atalgan dasturiy ilova Transcend Ware Secure VPN Manager ni ham ishlab chiqdi. Undan tashqari, 3Com kriptohimoyalangan tunnellarni osongina yaratishga imkon beruvchi Web asosidagi instrumentariyni ishlab chiqaradi. Internet Devices kompaniyasining Fort Knox marshrutizatorlarida tezlik va quw at uyg‘unlashgan. Undagi tarmoqni himoyalashni ta’minlashga yo'naltirilgan IP-trafikni ishlash vazifalari ro‘yxatining kengligi uning afzalligidir. Fort Knox marshrutizatori tarmoqlararo ekran rejimida ishlashi, NAT standard bo'yicha adreslarni translatsiyalashi, xavfsizlik siyosatini boshqarishi, Web-sahifalar va DNS jadval yozuvlarini xeshlashi, auditni bajarishi mumkin. Odatda, Fort Knox korporativ tarmoq chegarasida, korporativ tarmoqni global tarmoq bilan ulovchi marshrutizatordan keyin o'matiladi. Demak, u boshqa lokal tarmoqlar bilan VPN-aloqani o'matish va tarmoqlararo ekranlar kabi foydalanishni nazoratlashning turli qoidalarini shakllantirishi mumkin. Fort Knoxda NAT adreslarini translatsiyalash funksiyasining mavjudligi, unga ichki IP-adreslarni berkitish va marshrutizatorlar trafigini qayta yo'naltirish imkonini beradi. Bu korporativ tarmoq ma’murlarini VPNni qurishda marshrutizatorlami yangidan konfiguratsiyalashdan ozod etadi. Fort Knox funksiyalari to'plamining kengligiga qaramay uning narxi oddiy marshrutizator narxiga teng.
PPTP, L2F va L2TP protokollar OSI modeli kanal sathining tunnellash protokollari hisoblanadi. Ushbu protokollarning umumiy xususiyati shundan iboratki, ular ochiq tarmoq, masalan, Internet orqali korporativ tarmoq resurslaridan himoyalangan ko‘p protokolli masofadan foydalanishni tashkil etishda ishlatiladi. Uchala protokolni, odatda, himoyalangan kanalni shakllantirish protoko I lariga mansub deb hisoblaydilar. Ammo bu ta’rifga uzatiladigan ma’lumotlami tunnellashni va shifrlashni ta’minlovchi faqat PPTP protokoli aniq mos keladi, chunki L2F va L2TP protokollar faqat tunnellash funksiyalarini madadlaydi. Tunnellangan ma’lumotlarni himoyalash (shifrlash, yaxlitlik, autentifikatsiya) uchun bu protokollarda qo'shimcha, protokol, xususan, IPSec protokoli ishlatiladi. PPTP protokoli ma’Iumotlami IP, IPX va NetBEUI protokollari bo-yicha almashish uchun himoyalangan kanallami yaratishga imkon beradi. Ushbu protokollar ma’lumotlari PPP kadrlariga joylanadi va so‘ngra PPTP protokoli vositasida IP protokolining paketlariga inkapsulat-siyalanadi va shu protokol yordamida shifrlangan ko‘rinishda har qanday TCP/IP tarmog‘i orqali tashiladi. PPP sessiyasi doirasida uzatiluvchi paketlar quyidagi tuzilmaga ega (7.10-rasm): - Internet ichida ishlatiluvchi kanal sathining sarlavhasi, masalan, Ethernet kadrining sarlavxasi; - tarkibida paketni jo ‘natuvchi va qabul qiluvchi adreslari boMgan IP sarlavhasi; - marshrutlash uchun inkapsulatsiyalashning umumiy usulining sarlavhasi GRE(Generic Routing Encapsulation); -tarkibida IP, IPX yoki NetBEUI paketlari boMgan dastlabki paket PPP. Tarmoqning qabul qiluvchi uzeli IP paketlardan PPP kadrlarni chiqarib oladi, so‘ngra PPP kadrdan dastlabki paket IP, IPX yoki NetBEUI paketini chiqarib olib uni lokal tarmoq bo’yicha muayyan adresatga jo ‘natadi. Kanal sathining inkapsulatsiyalovchi protokol larining ko‘p protokolliligi (unga PPTP protokol ham taalluqli), ularning yanada yuqoriroq sathning himoyalangan kanal protokollaridan afzalligidir. Masalan, agar korporativ tarmoqda IPX yoki NetBEUI ishlatilsa, IPSec yoki SSLprotokollarini ishlatib boMmaydi, chunki ular IP tarmoq sathining faqat bitta protokoliga moljallangan. Inkapsulatsiyalashning mazkur usuli OSI modelining tarmoq sathi protokollariga bogMiq boMmaslikni ta’minlaydi va ochiq IP-tarmoqlar orqali har qanday lokal tarmoqlardan (IP, IPX yoki NetBEUI) himoyalangan masofadan foydalanishni amalga oshirishga imkon beradi. PPTP protokoliga muvofiq, himoyalangan virtual Kanal yaratishda masofadagi foydalanuvchini autentifikatsiyalash va uzatiluvchi ma'lumotlami shifrlash amalga oshiriladi. Masofadagi foydalanuvchini autentifikatsiyalashda PPP uchun qo‘llaniladigan turli protokollardan foydalanish mumkin. Microsoft kompaniyasi tomonidan Windows 98/XP/NT/2000 ga kiritilgan PPTPning amalga oshirilishida autentiflkatsiyalashning quyidagi protokollari madadlanadi: parol bo‘yicha aniqlash protokoli PAP(Pasword Athentication Protocol), qo‘l berishishda aniqlash protokoli MSCHAP (Microsoft Challenge - Handshaking Authentication Protocols) va aniqlash protokoli EAP-TLS (Extensible Authentication ProtocolTransport Layer Security). PAP protokolidan foydalanilganda identifikatorlar va parollar aloqa liniyalari orqali shifrlanmagan ko'rinishda uzatiladi, bunda autentifikatsiyalashni faqat server o‘tkazadi. MSCHAP va EAP-TLS protokollaridan foydalanilganda niyati buzuq odamning ushlab qolingan shifrlangan parolli paketdan qayta fovdalanishidan himoyalash va mijoz va VPN-serverni autentifikatsiyalash ta'minlanadi. PPTP yordamida shifrlash Internet orqali jo ‘natishda ma’Iumotlardan hech kim foydalana olmasligini kafolatlavdi. Shifrlash protokoli MPPE (Microsoft Point-to-Point Encryption) faqat MSCHAP(1 va 2 versiyalari) va EAP-TLS bilan birga islilay oladi. mijoz va server orasida parametrlar muvofiqlashtirilishida shifrlash kalitining uzunligini avtomatik tarzda tanlay oladi. MPPE protokoli uzunligi 40, 56 yoki 128 bit bo'lgan kalitlar bilan ishlashni madadlaydi. PPTP protokoli har bir olingan paketdan so‘ng shifrlash kaliti qiymatini o‘zgartiradi. MMPE protokoli «nuqta-nuqta» xilidagi aloqa kanallari uchun ishlab chiqilgan boMib, bu aloqa kanallarida paketlar ketma-ket uzatiladi va ma’lumotlar yo‘qotilishi juda kam. Bu vaziyatda navbatdagi paket uchun kalit qiymati oldingi paketning rasshifrovkasi natijasiga bog'liq. Umumfoydalanuvchi tarmoq orqali virtual tarmoq qurishda bu shartlarga rioya qilish mumkin emas, chunki ma’lumotlar paketi ko'pincha qabul qiluvchiga jo'natilgan ketma-ketlikda kelmaydi. Shuning uchun PPTP shifrlash kalitini o'zgartirishda paketlarning tartib raqamidan foydalanadi. Bu rasshifrovka qilishni oldingi qabul qilingan paketlarga bog'liq boMmagan holda amalga oshirishga imkon beradi. PPTP protokoli uchun qo‘llashning quyidagi ikkita asosiy sxemasi aniqlangan: - masofadan foydalanuvchining Internet bilan to‘g‘ridan-to‘g‘ri ula-nishidagi tunnellash sxemasi; - masofadan foydalanuvchining Internet bilan provayder orqali telefon liniyasi bo'yicha ulanishidagi tunnellash sxemasi. Tunnellashning birinchi sxemasi amalga oshirilganida (7.12-rasm) masofadan foydalanuvchi Windows 98/XP/NT tarkibidagi masofadan foydalanish servisi RAS (Remote Access Service)ning mijoz qismi yordamida lokal tarmoq bilan masofaviy bog'lanishni o'matadi. So'ngra foydalanuvchi lokal tarmoqdan masofadan foydalanish serveriga, uning IP adresini ko'rsatib murojaat etadi va u bilan PPTP protokoli bo'yicha aloqa o'matadi. Masofadan foydalanish serveri vazifasini lokal tarmoqning chegara marshrutizatori bajarishi mumkin. Masofadan foydalanuvchining kompyuterida Windows 98/XP/NT tarkibidagi RAS serveming mijoz qismi va PPTPning drayveri, masofadan foydalanuvchi lokal tarmog‘ining serverida esa Windows NT Server tarkibidagi RAS serveri va PPTP drayveri o'rnatilishi shart. PPTP protokoli o‘zaro aloqadagi tomonlar almashadigan bir nechta xizmatchi xabarni aniqlaydi. Xizmatchi xabarlar TCP protokoli bo‘yicha uzatiladi. Muvaffaqiyatli autentiflkatsiyalashdan so'ng himoyalangan almashish jarayoni boshlanadi. Lokal tarmoqning ichki serverlari PPTP protokolini madadlamasligi mumkin, chunki chegara marshrutizator IP paketlardan PPP kadrlarini chiqarib olib ulami lokal tarmoq orqali kerakli IP, IPX yoki NetBIOS formatida jo ‘natadi. Masofadagi kompyutemi Intemetga telefon liniyasi bo'yicha provayder ISP (Internet Service Provider) orqali ulashda tunnellash sxemasining ikkita varianti boMishi mumkin
Adabiyotlar ro‘yxati
1. Советов Б.Я., Цехановский.В.В. «Информационные технологии». Москва. Высшая школа. 2003г.
2. В.Н. Петров. Информационные системы. Учебник для ВУЗов. С-Пб. Питер 2003г.
3. Информатика и информаионные технологии. Под ред. Ю.Д.Романовой. Москва. 3-е изд. 2008г. 4. Водовозов В.А. и др. «Практическое введение в информационные системы». Санкт-Петербург ГЭУ. 1996г.
5. Липаев В.В., Филинов Е.И. «Мобильность программ и данных в открытых информационных системах». РФФИ. 1997г.
6. Имамов Э.З., Фаттахов М. «Информационные технологии». Ташкент. Молия. 2002г.
7. Арипов М. и др. «Основы Интернет». Ташкент. Университет 2002г.
8. Толаметов А., Махаров Т., Нурмухамедов А. Ахборот технологиялари (магистрантлар учун маърузалар матни) Тошкент. ГИФКС. 2008й.
9. Дж. Ирвин, Д. Харль. «Передача данных в сетях: инженерный подход». С-Петербург. 2003г.
10. Романова Ю.Д. и др. Информатика и информационные технологии. /Учебное пособие. 3-е изд. М.: «Эксмо». 2008г.
11. Марахимов А.Р., Рахмонкулова С.Р. «Интернет ва ундан фойдаланиш». Тошкент. ТГТУ. 2001й. 12. Зима В.М., Молдовян А.А. Многоуровенная защита от компьютерных вирусов. С-Пб. 1998г. 13. http://ru.wikipedia.org
|
| |
