buyrug‗i beriladi.  5.2. Himoyalangan tarmoq protokollari




Download 3,37 Mb.
Pdf ko'rish
bet36/54
Sana22.12.2023
Hajmi3,37 Mb.
#126392
1   ...   32   33   34   35   36   37   38   39   ...   54
Bog'liq
61e54be6345e45.35724858

buyrug‗i beriladi. 
5.2. Himoyalangan tarmoq protokollari 
 
VPN – shaxsiy virtual tarmoq (SHVT) deganda, u albatta shaxsiy tarmoq
ko‗rsatkichlariga ega. Hech qanday ―gap - so‗zsiz‖ tarmoqni shaxsiy deb atash 
uchun biror - bir korxona butun tarmoqning infratuzilmasiga, ya‘ni kabel, kross 
qurilmasi, kanal hosil qiluvchi qurilma, kommutator, marshrutizator va boshqa 
kommutatsiya qurilmalariga egalik qilganda aytish mumkin.


110 
VPNning boshqa tarmoqlardan asosiy farqi, bu uning boshqa tarmoqlardan 
ajralganligidadir. Ajralganligini ko‗rsatuvchi ko‗rsatkichlar quyidagilardan iborat: 
istalgan mustaqil tarmoq texnologiyasini tanlay olish: tanlash 
imkoniyati faqat ishlab - chiqaruvchining qurilmalarini imkoniyati bilan 
chegaralanishi mumkin;
mustaqil manzillash tizimi. VPN da manzil tanlashda cheklanish yo‗q, u 
istalgancha bo‗lishi mumkin; 
ishlab - chiqaruvchanligini oldindan aytish mumkin. Shaxsiy aloqa 
kanallari avvaldan ma‘lum kafolatlangan o‗tkazuvchanlik qobiliyatini korxona
qurilmalari (global ulanishlar uchun) yoki kommutatsiya qurilmalar (lokal 
ulanishlar uchun) o‗rtasida ta‘minlaydi; 
maksimal pog‘onadagi xavfsizlik. ―Tashqi dunyo‖ bilan aloqa yo‗qligi 
butun tarmoq bo‗yicha axborotni ―o‗g‗irlanishi‖ ehtimolligini kamaytiradi.
Lekin VPN - judayam ―arzonga‖ aylanmaydi. Bunday tarmoqlarni milliy 
yoki xalqaro doirada ishlaydigan, moliyaviy barqaror va yirik kompaniyalar 
o‗zlariga ep ko‗radi. Shaxsiy tarmoqni yaratish - shaxsiy tarmoq infratuzilmasiga 
ega zarur, ish jarayoni uchun muhim. 
VPN tarmoqdan o‗tayotgan axborot turini aniqlay olishi lozim (tovush, 
SNA, video oqim yoki elektron pochta). U juda tez bir trafikni boshqasidan ajrata 
olishi kerak. Yana tarmoq VPN - ogoh bo‗lishi kerak, chunki servis - provayder
internet va ekstranet tarmoqlari uchun foydalanuvchi va xizmatlarni osongina 
guruhlay olishi lozim. MPLS texnologiyasi kommutatsiyalanadigan va 
marshrutizatsiyalanadigan tarmoq uchun VPN xabardorlikni beradi. Bu narsa 
yagona infratuzilmada servis-provayderga tez va tejamkor, himoyalangan, istalgan 
hajmdagi VPN tarmog‗ini hosil qilish imkonini beradi.
Turli boshqa yo‗llarni ishlatmagan holda MPLS tarmog‗i trafikni kodlamay, 
tunellashtirmay uni himoyasini ta‘minlay oladi. MPLS texnologiyasi har bir 
alohida tarmoqda xuddi FR va ATM ulanishdagi kabi xavfsizlikni ta‘minlay 
oladi. Agarda an‘anaviy VPN tarmog‗i tarmoqdagi harakatni, bazali qiymatlarini 
amalga oshirsa, MPLS texnologiyasi bilan jihozlangan tarmoq, keng doiradagi 


111 
VPN xizmatlaridan VPN tarmog‗ining harakatini bazali xizmatlariga IPni 
qo‗shgan holda amalga oshiradi. Bu reja servis provayderlarning mo‗ljallangan 
usulda xizmatlarini mo‗ljallangan modelga o‗tishini bildiradi. VPN uzatish
jadvallari asosida 3-sathdagi trafikni bemalol taqsimlay oladi. MPLS VPN 
birinchi buyurtmachi trafigini boshqa buyurtmachi trafigidan bemalol ajratadi, 
chunki har bir VPN tarmog‗idagi hamma buyurtmachilar o‗zining noyob 
identifikatoriga ega. Bu narsa huddi ATM va FRdagi kabi xavfsizlikni ta‘minlaydi,
chunki VPN tarmog‗ining foydalanuvchisi tarmoqdan tashqarida uzatilayotgan 
trafikni ko‗rmaydi.
Yana bir marta MPLS - VPN tarmog‗ining tavsifsini ko‗rib chiqamiz. 
Buyurtmachining istalgan marshrutiga MPLS belgisi uzviy bog‗lanadi. Uni 
marshrut boshida joylashgan RE - marshrutizator qo‗shadi. Ushbu belgi
ma‘lumotlar paketini ohirgi nuqtadagi RE marshrutizatorga uzatishga 
yo‗naltirilgan:
- ma‘lumotlar paketini magistral bo‗ylab uzatganda 2 ta belgidan 
foydalanadi. Ustki belgi paketni kerakli ohirgi RE -marshrutizatoriga yo‗naltiradi. 
Keyingi belgi ushbu RE - marshrutizatoriga paketni keyingi yo‗nalishni tanlash 
uchun qo‗shiladi;
- RE va SE - marshrutizatorlari o‗rtasidagi aloqa kanalida standart uzatish 
sxemalari (IP for war doing) ishlatiladi. RE har bir SEni uzatish jadvali bilan 
bog‗laydi (for warding table), ushbu jadvallarga faqatgina shu SE larga tegishli
marshrutlar saqlanadi.
VPNni to‗g‗rilash uchun, provayderning magistral tarmog‗i orqali o‗tadigan 
marshrutlar haqidagi axborot uning chegarasidan chiqishi kerak emas. 
Mijozlarning saytidagi marshrutlash haqidagi axborot esa ayrim VPNlarning 
chegarasidan chiqmasligi talab etiladi. 
Yo‗nalish haqidagi axborotni tarqalishiga to‗siq bo‗lishi mumkin bo‗lgan 
narsa, bu mos shakllangan marshrutizatordir. Marshrutizatsiyalash protokoli qaysi 
interfeys va kimdan yo‗nalganligi to‗g‗risidagi axborotni olish va kimga uzatish
kerakligi haqida xabardor bo‗lishi kerak. 


112 
MPLS VPN tarmog‗ida bunday to‗siqlar rolini chegaraviy RE 
marshrutizatorlari bajaradi. Tasavvur qiling, RE marshrutizator orqali mijoz sayti
va provayder tarmog‗i o‗rtasida ko‗rinmas chegara o‗rnatiladi. Bir tomonga RE 
marshrutizatorlari R marshrutizatorlari bilan bog‗lanishi uchun zarur interfeyslar 
o‗rnatiladi. Yana bir tomonga mijozlarning sayti ulanishi uchun kerak bo‗lgan 
interfeyslar o‗rnatiladi. Bir tomondan RE marshrutizatorlari magistral tarmoqning 
marshrutlari haqidagi axborot kelsa, bir tomondan mijozlarning saytidagi 
marshrutlar haqidagi axborot keladi. 
RE marshrutizatorlariga bir necha IGP turidagi protokollar joylashtirilgan. 
Ulardan biri RE ni R bilan ulash uchun, marshrutlarni ketma-ket va uzatish
uchun uchta ichki interfeys bilan bog‗langan. Qolgan ikkita IGP protokoli 
mijozlarning saytidan tushgan axborotlarni qayta ishlaydi. 
Qolgan RElar ham xuddi shu tarzda shakllangan. R marshrutizatorlari
barcha interfeyslardan kelayotgan IGP axborotini qabul qiladi va qayta ishlaydi. 
Natijada barcha RE va R marshrutizatorlari marshrut jadvallariga ega bo‗lishadi. 
Ularda provayder tarmog‗ining ichidagi barcha marshrutlar mavjud bo‗ladi. Shuni 
ta‘kidlash kerakki, mijozlarning saytlaridagi marshrutlar haqidagi axborot bu yerda 
yo‗q. Shunga mos ravishda mijozlar provayder tarmog‗idagi marshrutlar haqida 
hech narsa bilmaydilar. Chegaraviy RE marshrutizatorlari tomonidan jadval, o‗zida
marshrutlash haqida axborot bor, maxsus «marshrutlashning global jadvali» degan 
nom olgan. Bu jadvaldan holi holda RE mijozlarning saytidagi marshrutlar
asosida VRF (VPN Roting and forwarding) jadvalini tuzgan, bunda RE 
mijozlarning saytidan tushgan e‘lon asosida jadval tuzadi. 
Mijozlarning sayti oddiy IP tarmog‗idan iborat, marshrutlash axboroti
istalgan IGP protokoli yordamida uzatilishi va qayta ishlanishi mumkin. Ko‗rinib 
turibdiki, bu jarayon provayder tomonidan rejalashtirilmaydi. Marshrutlash 
haqidagi e‘lonlar bemalol qurilmalar orasida tarqaladi. Bu narsa chegaraviy RE 
marshrutizatoriga yetib borguncha sodir bo‗ladi, chunki u ularning keyingi
tarqalishida chegara bo‗lib xizmat qiladi. 
Turli mijozlarning marshrutlarini cheklash uchun RE marshrutizatorlariga


113 
o‗rnatilgan interfeyslarga, mijoz saytlari ulangan alohida marshrutlash protokollari 
o‗rnatilgan. Ushbu protokol mijozning marshrut e‘lonlarini faqat bitta interfeys 
orqali uzatadi va qabul qiladi, ularni na ichki RE va R marshrutizatorlar
bog‗lanadigan inrefeys orqali na boshqa mijozlarning sayti ulangan interfeyslar 
orqali uzatmaydi. Natijada RE marshrutizatorlarida bir nechta VRF jadvallari
hosil bo‗ladi. 
Soddalashtirib shuni aytish mumkinki, REda unga nechta ulangan sayt
bo‗lsa shuncha VRF hosil bo‗ladi. Umuman olganda, RE marshrutizatorlarida
bir nechta virtual marshrutizatorlar hosil bo‗ladi, ularning har biri o‗zining VRF
jadvallari bilan ishlaydi. Saytlar va VRF jadvallari o‗rtasida yana boshqa aloqa 
mavjud bo‗lishi mumkin. Misol uchun bitta RE ga bitta VPN ning bir nechta sayti 
ulangan bo‗lsa, unda ularga bitta umumiy VRF jadval hosil qilish mumkin. Har 
bir shunday jadvalga faqat shu VPNga tegishli saytga murojaat qila oladi. 
IPSec protokoli (Internet Protocol Security) asosan IP tarmoqlarda 
ma‘lumotlarni xavfsiz uzatishni ta‘minlaydi. IPSecning ishlatilishi quyidagilarni 
kafolatlaydi: 
- uzatilayotgan ma‘lumotlarning yaxlitligini, ya‘ni ma‘lumotlar uzatilishida 
buzilmaydi, yo‗qolmaydi va takrorlanmaydi; 
- jo‗natuvchining autentligini, ya‘ni ma‘lumotlar haqiqiy jo‗natuvchi 
tomonidan uzatilgan; 
- uzatiladigan ma‘lumotlarning mahfiyligini, ya‘ni ma‘lumotlar shunday
shaklda 
uzatiladiki, 
ularni 
ruxsatsiz 
ko‗zdan 
kechirishning 
oldi olinadi. 
Ta‘kidlash lozimki, axborot xavfsizligi tushunchasiga odatda, yana bir 
talab-ma‘lumotlarning 
foydalanuvchanligi 
kiritiladi. 
Ma‘lumotlarning 
foydalanuvchanligi deganda ma‘lumotlar yetkazilishining kafolati tushuniladi. 
IPSec protokollari bu masalani hal etmaydi va uni transport satxda ISP ga 
qoldiradi. IPSec protokollar steki tarmoq satxida axborot himoyasini 
ta‘minlaydi. Bu himoya ishlovchi ilovalarga ko‗rinmasligiga olib keladi. IP-
paket IP tarmoqlarda kommunikatsiyaning fundamental birligi hisoblanadi. Uning 


114 
tuzilmasi 5.7-rasmda keltirilgan.
5.7 – rasm. IP-paket tuzulishi 
IP-paket tarkibida manba manzili S va axborot qabul qiluvchining manzili 
D, transport sarlovhasi, bu paketda tashiluvchi ma‘lumotlar xili xususidagi axborot 
va ma‘lumotlarning o‗zi bo‗ladi. 
Autentifikatsiyalashni, 
uzatiluvchi 
ma‘lumotlarning 
mahfiyligi 
va 
yaxlitligini ta‘minlash maqsadida, IPSec protokollarining steki qator 
standartlashtirilgan kriptografik texnologiyalar asosida qurilgan: 
- kalitlarni almashtirish ochiq tarmoqdan foydalanuvchilar orasida 
mahfiy kalitlarni taqsimlashning Diffi-Xellman algoritmi bo‗yicha 
amalga oshiriladi; 
- ikkala tomonning haqiqiyligini kafolatlash va main-in-the-midle 
xilidagi hujumlarni oldini olish maqsadida Diffi-Xellman algoritmi 
bo‗yicha almashishlarni imzolashda ochiq kalitlar kriptografiyasidan 
foydalaniladi; 
- ochiq kalitlarning haqiqiyligini tasdiqlashda raqamli sertifikatlar ishlatiladi; 
- ma‘lumotlarni shifrlashda blokli simmetrik algoritmlardan foydalaniladi; 
- xeshlash funksiyalari asosida axborotlarni autentifikatsiyalash algoritmlari 
ishlatiladi. 
Himoyalangan kanalni o‗rnatish va madadlashdagi asosiy masalalar 
quyidagilar: 
- foydalanuvchilar yoki kompyuterlarni autentifikatsiyalash; 
- himoyalangan kanalning ohirgi nuqtalari orasida uzatiluvchi 
ma‘lumotlarni shifrlash va autentifikatsiyalash; 
- kanalning ohirgi nuqtalarini ma‘lumotlarni autentifikatsiyalashda va 


115 
shifrlashda kerak bo‘ladigan mahfiy kalitlar bilan ta‘minlash. 
Yuqorida sanab o‗tilgan masalalarni hal etishda IPSec tizimi axborot 
almashish xavfsizligi vositalarining kompleksidan foydalanadi. 
IPSec protokolining amalga oshirilishida quyidagi komponentlardan 
foydalaniladi: 
- IPSecning 
asosiy 
protokoli. 
Ushbu 
komponent 
himoyani 
inkapsulyatsiyalovchi protokol ESP (Encapsulation Security Rau1oad)ni va 
sarlovhani autentifikatsiyalovchi protokoli AH (Authentication Header)ni
amalga oshiradi. U sarlovhalarni ishlaydi; paketga qo‗llaniladigan xavfsizlik 
siyosatini aniqlash uchun SPD va SAD ma‘lumotlar bazasi bilan o‗zaro 
aloqa qiladi; 
- kalit axborotlarini almashishni boshqarish protokoli IKE. IKE 
odatda foydalanish satxida qo‗llaniladi (operatsion tizimga o‗rnatilgani bundan 
istisno); 
- xavfsizlik siyosatlarining ma‘lumotlar bazasi SAD (Security 
Association Database). Bu eng muhim komponentlardan biri bo‘lib,
paketga qo‗llaniladigan xavfsizlik siyosatini belgilaydi. SAD dan asosiy proto-
kol IPSec tomonidan kiruvchi va chiquvchi paketlarni ishlashda foydalaniladi; 
- xavfsiz assotsiatsiyalarning ma‘lumotlar bazasi SPD. Bu ma‘lumotlar 
bazasi kiruvchi va chiquvchi axborotni ishlash uchun xavfsiz assotsiatsiyalar
SA(Security Association) ro‘yxatini saqlaydi. Chiquvchi SAlardan chiquvchi
paketlarni himoyalashda, kiruvchi SAlardan esa IPSec sarlovhali paketlarni 
ishlashda foydalaniladi. SAD ma‘lumotlar bazasi SA bilan qo‗lda yoki kalitlarni 
boshqarish protokollari IKE yordamida to‗ldiriladi; 
- xavfsizlik siyosatini va xavfsiz assotsiyatsiyalarni boshqarish. Bu SAni 
va xavfsizlik siyosatini boshqaruvchi ilovalardir. 
Asosiy protokol IPSec (ESP va AHni amalga oshiruvchi) TCP/IP 
protokollarining transport va tarmoq steklari bilan o‘zaro uzviy aloqada bo‗ladi. 
IPSecni tarmoq sathining qismi deyish mumkin. IPSecning asosiy moduli ikkita 
interfeysni - kirish yo‗li va chiqish yo‗li interfeyslarni ta‘minlaydi. Kirish yo‗li 


116 
interfeysi kiruvchi paketlar tomonidan, chiqish yo‗li interfeysi esa chiquvchi 
paketlar tomonidan foydalaniladi. IPSecning amalga oshirilishi TCP/IP protokollar 
stekining transport va tarmoq sathlari orasidagi interfeysga bog‗liq bo‗lmasligi 
lozim. 
SPD va SAD ma‘lumotlar bazasi IPSec ishlashiga jiddiy ta‘sir ko‗rsatadi. 
Ulardagi ma‘lumotlar tuzilmasini tanlash IPsec ishlashining unumdorligiga ta‘sir 
etadi. 
IPSec dagi barcha protokollarni ikkita guruhga ajratish mumkin: 
- uzatiluvchi ma‘lumotlarni bevosita ishlovchi (ularning xavfsizligini 
ta‘minlash uchun) protokollar
- birinchi guruh, protokollariga kerakli himoyalangan ulanishlar 
ko‘rsatkichlarini avtomatik tarzda muvofiqlashtirishga imkon beruvchi proto-
kollar. 
IPSec yadrosini uchta AH, ESP virtual kanal va kalitlarni boshqarish 
IKE ko‘rsatkichlarini muvofiqlashtiruvchi protokollar tashkil etadi. 
IPSec xavfsizlik vositalarining arxitekturasi 5.8-rasmda keltirilgan. 
5.8-rasm. IPSec protokollari stekining arxitekturasi 
Arxitekturaning yuqori sathida quyidagi protokollar joylashgan: 
- virtual kanal ko‘rsatkichlarini muvofiqlashtiruvchi va kalitlarni 
boshqarish protokoli IKE. Bu protokol himoyalangan kanalni initsializatsiyalash 


117 
usulini, 
jumladan 
ishlatiluvchi 
kriptohimoyalash 
algoritmlarini 
muvofiqlashtirishni, hamda himoyalangan ulanish doirasida mahfiy kalitlarni 
almashish va boshqarish muolajalarini belgilaydi; 
- sarlovhani autentifikatsiyalovchi protokol AH. Bu protokol 
ma‘lumotlar manbaini autentifikatsiyalashni, ularning, qabul 
qilinganidan so‘ng, yaxlitligini va xaqiqiyligini tekshirish, takroriy 
axborotlarning tiqishtirilishidan himoyani ta‘minlaydi; 
- himoyani inkapsulyatsiyalovchi protokol ESP. Bu protokol uzatiluvchi 
ma‘lumotlarni kriptografik berkitishni, autentifikatsiyalashni va yaxlitligini
ta‘minlaydi, 
hamda takroriy 
axborotlarning tiqishtirilishidan himoyalaydi. 
AH va ESP protokollarining har biri alohida va birgalikda ishlatilishi 
mumkin. Bu protokollarning vazifalari qisqacha bayonidan ko‘rinib turibdiki, 
ularning imkoniyatlari qisman bir xil. 
AH protokoli faqat ma‘lumotlarni yaxlitligini va autentifikatsiyalashni 
ta‘minlashga javob beradi. ESP protokoli kuchliroq hisoblanadi, chunki u 
ma‘lumotlarni shifrlashi mumkin, undan tashqari AH protokoli vazifasini ham 
bajarishi mumkin. 
IKE, AH va ESP protokollarining o‗zaro aloqalari quyidagicha kechadi. 
Avval IKE protokoli bo‗yicha ikkita nuqta orasida mantiqiy ulanish o‗rnatiladi. Bu 
ulanish IPSec standartlarida "xavfsiz assotsiatsiya''-Security Association, SA 
nomini olgan. Ushbu mantiqiy kanal o‗rnatilishida kanalning ohirgi nuqtalarini 
autentifikatsiyalash bajariladi, hamda ma‘lumotlarni himoyalash ko‘rsatkichlari, 
masalan, shifrlash algoritmi, sessiya mahfiy kaliti va x,. tanlanadi. So‘ngra 
xavfsiz assotsiatsiya SA tomonidan o‘rnatilgan doirada AH va ESP protokoli 
ishlay boshlaydi. Bu protokollar yordamida uzatiluvchi ma‘lumotlarning istalgan 
himoyasi, tanlangan ko‘rsatkichlardan foydalanilgan holda bajariladi. 
IPSec arxitekturasining o‗rta sathini IKE protokolida qo‗llaniluvchi 
ko‘rsatkichlarni muvofiqlashtirish va kalitlarni boshqarish algoritmlari hamda AH 
va ESP protokollarida ishlatiluvchi autentifikatsiyalash va shifrlash algoritmlari 


118 
tashkil etadi. 
Ta‘kidlash lozimki, IPSec arxitekturasining yuqori sathidagi virtual kanalni 
himoyalash protokollari (AH va ESP) muayyan kriptografik algoritmlarga bog‗liq 
emas. Autentifikatsiyalash va shifrlashning ko‗p sonli turli-tuman algoritmlaridan 
foydalanish imkoniyati tufayli IPSec tarmoqni himoyalashni tashkil etishning 
yuqori pog‗onada moslashuvchanligini ta‘minlaydi. IPSecning moslashuvchanligi 
deganda har bir masala uchun uning yechilishini turli usullari tavsiya etilishi 
tushuniladi. Bir masala uchun tanlangan usul, odatda, boshqa masalalarni amalga 
oshirish usullariga bog‗liq emas. Masalan, shifrlash uchun DES algoritmining 
tanlanishi ma‘lumotlarni autentifikatsiyalashda ishlatiluvchi daydjestni hisoblash 
funksiyasini tanlashga ta‘sir qilmaydi. 
IPSec arxitekturasining pastki sath interpretatsiyalash domeni DOI 
(Domain of Interpretation) dan iborat. Interpretatsiyalash domenining qo‗llanish 
zaruriyatiga quyidagilar sabab bo‗ldi. AH va ESP protokollari modulli tuzilmaga 
ega, 
ya‘ni 
foydalanuvchilar 
o‗zaro 
kelishgan 
holda 
shifrlash 
va 
autentifikatsiyalashning turli kriptografik algoritmlaridan foydalanishlari mumkin. 
Shu sababli, barcha ishlatiluvchi va yangi kiritiluvchi protokol va algoritmlarning 
birgalikda ishlashini ta‘minlovchi modul zarur. Aynan shu vazifalar 
interpretatsiyalash domeniga yuklatilgan. 
Interpretatsiyalash domeni ma‘lumotlar bazasi sifatida IPSecda ishlatiladigan 
protokollar va algoritmlar, ularning ko‘rsatkichlari, protokol identifikatorlari va
b. xususidagi axborotlarni saqlaydi. Mohiyati bo‗yicha interpretatsiyalash 
domeni IPSec arxitekturasida fundament rolini bajaradi. AH va ESP 
protokollarida autentifikatsiyalash va shifrlash algoritmlari sifatida milliy 
standartlarga mos keluvchi algoritmlardan foydalanish uchun bu algoritmlarni 
interpretatsiyalash domenida ro‗yxatdan o‗tkazish lozim. 
AH yoki ESP protokollari uzatiluvchi ma‘lumotlarni quyidagi ikkita 
rejimda himoyalashi mumkin: 
- tunnel rejimda: IP paketlar butunlay, ularning sarlovhasi bilan birga 
himoyalanadi; 


119 
- transport rejimida: IP paketlarning faqat ichidagilari 
himoyalanadi. 
Tunnel rejimi asosiy rejim hisoblanadi. Bu rejimda dastlabki 
paket yangi IP paketga joylanadi va ma‘lumotlarni tarmoq bo‗yicha uzatish yangi 
IP-paket sarlovhasi asosida amalga oshiriladi. Tunnel rejimida ishlashda har bir 
oddiy IP-paket kriptohimoyalangan ko‗rinishda butunligicha IPSec konvertiga 
joylanadi. IPSec konverti, o‗z navbatida boshqa himoyalangan IP-paketga 
inkapsulyatsiyalanadi. Tunnel rejimi odatda maxsus ajratilgan xavfsizlik
shlyuzlarida - marshrutizatorlar yoki tarmoqlararo ekranlarda amalga 
oshiriladi. Bunday shlyuzlar orasida himoyalangan tunnellar shakllantiriladi. 
Tunnelning boshqa tomonida qabul qilingan himoyalangan IP-paketlar 
"ochiladi" va olingan dastlabki IP-paketlar qabul qiluvchi lokal tarmoq 
kompyuterlariga standart qoidalar bo‗yicha uzatiladi. IP-paketlarni tunnellash 
tunnellarni egasi bo‗lmish lokal tarmoqdagi oddiy kompyuterlar uchun shaffof 
hisoblanadi. Ohirgi tizimlarda tunnel rejimi masofadagi va mobil 
foydalanuvchilarni madadlash uchun ishlatilishi mumkin. Bu holda 
foydalanuvchilar kompyuterida IPSecning tunnel rejimini amalga oshiruvchi dasturiy 
ta‘minot o‘rnatilishi lozim. 
Transport rejimida tarmoq orqali IP-paketni uzatish bu paketning dastlabki 
sarlovhasi yordamida amalga oshiriladi. IPSec konvertiga kriptohimoyalangan 
ko‘rinishda faqat IP-paket ichiga joylanadi va olingan konvertga dastlabki IP-
sarlovha qo‗shiladi. Transport rejimi tunnel rejimiga nisbatan tezkor va ohirgi 
tizimlarda qo‗llanish uchun ishlab chiqilgan. Ushbu rejim masofadagi va mobil 
foydalanuvchilarni, hamda lokal tarmoq ichidagi axborot oqimini himoyalashni 
madadlashda ishlatilishi mumkin. Ta‘kidlash lozimki, transport rejimida ishlash 
himoyalangan o‘zaro aloqa guruhiga kiruvchi barcha tizimlarda o‘z aksini topadi 
va aksariyat hollarda tarmoq ilovalarini qayta dasturlash talab etiladi. 
Tunnel 
yoki 
transport 
rejimidan 
foydalanish 
ma‘lumotlarni 
himoyalashga qo‘yiladigan talablarga, hamda IPSes ishlovchi tugun roliga 
bog‗liq. Himoyalanuvchi kanalni tugallovchi tugun-xost(ohirgi tugun) yoki shlyuz 


120 
(oraliqdagi tugun) bo‘lishi mumkin. Mos holda, IPSecni qo‗llashning quyidagi 
uchta asosiy sxemasi farqlanadi: 
- "xost - xost"; 
- "shlyuz - shlyuz"; 
- "xost - shlyuz"; 
Birinchi sxemada himoyalangan kanal tarmoqning ohirgi ikkita tuguni, 
ya‘ni HI va H2 xostlar orasida o‘rnatiladi (5.9 - rasm), IPSecni madadlovchi 
xostlar uchun transport hamda tunnel rejimlaridan foydalanishga ruxsat beriladi. 
5.9 - rasm. "Xost-xost " sxemasi 
Ikkinchi sxemaga binoan, himoyalangan kanal har birida IPSec protokoli 
ishlovchi, xavfsizlik shlyuzlari SG1 va SG2 (Security Gateway) deb ataluvchi 
oraliqdagi ikkita tugunlar orasida o‘rnatiladi (5.10 - rasm). 
5.10 - rasm. "Shlyuz-shlyuz" sxemasi 


121 
Xavfsizlik shlyuzi ikkita tarmoqqa ulanuvchi tarmoq qurilmasi bo‘lib, 
o‘zidan keyin joylashgan xostlar uchun shifrlash va autentifikatsiyalash 
funksiyalarini bajaradi. VPNning xavfsizlik shlyuzi alohida dasturiy mahsulot, 
alohida apparat qurilma hamda VPN funksiyalari bilan to‗ldirilgan marshrutizator 
yoki tarmoqlararo ekran ko‗rinishida amalga oshirilishi mumkin. 
Ma‘lumotlarni himoyalangan almashish tarmoqlarga ulangan, xavfsizlik 
shlyuzlaridan keyin joylashgan har qanday ikkita ohirgi tugunlar orasida ro‘y 
berishi mumkin. Ohirgi tugunlardan IPSec protokolni madadlash talab qilinmaydi, 
ular o‘zlarining trafigini himoyalanmagan holda korxonaning ishonchli tarmog‗i 
Intranet orqali uzatadi. Umumfoydalanuvchi tarmoqqa yuboriluvchi trafik xavfsizlik 
shlyuzi orqali o‘tadi va bu shlyuz o‘zining nomidan IPSec yordamida trafikni 
himoyalashni ta‘minlaydi. Shlyuzlarga faqat tunnel rejimida ishlashga ruxsat 
beriladi, garchi ular transport rejimini ham madadlashlari mumkin (bu holda 
samara kam bo‗ladi). 
"Xost - shlyuz" sxemasi ko‘pincha himoyalangan masofadan 
foydalanishda ishlatiladi (5.11-rasm). 
5.11-rasm. "Xost-xost"kanali bilan to‗ldirilgan "xost-shlyuz" sxemasi 


122 
Bu yerda himoyalangan kanal IPSec ishlovchi masofadagi H1 xost va 
korxona Intranet tarmog‗iga kiruvchi barcha xostlar uchun trafikni 
himoyalovchi SG shlyuz orasida tashkil etiladi. Masofadagi xost shlyuzga paketlarni 
junatishda ham transport va ham tunnel rejimlaridan foydalanishi mumkin, shlyuz 
esa xostga paketlarni faqat tunnel rejimida junatadi. 
Bu sxemani masofadagi H1 xost va shlyuz tomonidan himoyalanuvchi 
ichki tarmoqqa tegishli biror H2 xost orasida parallel yana bir 
himoyalangan kanalni yaratib modifikatsiyalash mumkin. Ikkita SAdan bunday 
kombinatsiyadan foydalanish ichki tarmoqdagi trafikni ham ishonchli 
himoyalashga imkon beradi. 
Ko‘rilgan IPSec asosida himoyalangan kanalni qurish sxemalari turli-tuman 
VPNlarni yaratishda keng qo‗llaniladi. IPSec asosida turli arxitekturaga ega 
bo‗lgan VPN, jumladan masofadan foydalanuvchi VPN (Remote Access VPN), 
korporatsiya ichidagi VPN (Intranet VPN) va korporatsiyalararo VPN (Extranet 
VPN) quriladi. 
IPSec asosidagi VPN-texnologiyalarining jozibaliligini quyidagi sabablar 
orqali izohlash mumkin: 
- tarmoq satxining himoyasi tarmoqda ishlovchi barcha tadbiq etish 
tizimlari uchun shaffof, ya‘ni barcha ilovalar himoyalangan tarmoqda hech 
qanday tuzatishsiz va o‘zgarishsiz xuddi ochiq tarmoqda ishlaganidek 
ishlayveradi; 
- himoyalash tizimining masshtablanuvchanligi ta‘minlanadi, ya‘ni 
murakkabligi va unumdorligi turli bo‗lgan ob‘ektlarni himoyalash uchun 
murakkabligi, unumdorligi, narhi, pog‗onasi bo‗yicha adekvat bo‗lgan 
himoyalashning dasturiy yoki dasturiy-apparat vositalaridan foydalanish mumkin; 
- masshtablanuvchi qatordagi axborotni himoyalash mahsulotlari birga ularni 
turli sathdagi ob‘ektlarda (masofadagi yagona terminallardan to ixtiyoriy 
masshtabli lokal tarmoqlargacha) resurslaridan va trafigidan barcha begonalar 
foydalana olmaydigan yagona korporativ tarmoqqa birlashtirish mumkin. 

Download 3,37 Mb.
1   ...   32   33   34   35   36   37   38   39   ...   54




Download 3,37 Mb.
Pdf ko'rish

Bosh sahifa
Aloqalar

    Bosh sahifa



 buyrug‗i beriladi.  5.2. Himoyalangan tarmoq protokollari

Download 3,37 Mb.
Pdf ko'rish