2 buyrug‗i beriladi.
5.2. Himoyalangan tarmoq protokollari
VPN – shaxsiy virtual tarmoq (SHVT) deganda, u albatta shaxsiy tarmoq
ko‗rsatkichlariga ega. Hech qanday ―gap - so‗zsiz‖ tarmoqni shaxsiy deb atash
uchun biror - bir korxona butun tarmoqning infratuzilmasiga, ya‘ni kabel, kross
qurilmasi, kanal hosil qiluvchi qurilma, kommutator, marshrutizator va boshqa
kommutatsiya qurilmalariga egalik qilganda aytish mumkin.
110
VPNning boshqa tarmoqlardan asosiy farqi, bu uning boshqa tarmoqlardan
ajralganligidadir. Ajralganligini ko‗rsatuvchi ko‗rsatkichlar quyidagilardan iborat:
- istalgan mustaqil tarmoq texnologiyasini tanlay olish: tanlash
imkoniyati faqat ishlab - chiqaruvchining qurilmalarini imkoniyati bilan
chegaralanishi mumkin;
- mustaqil manzillash tizimi. VPN da manzil tanlashda cheklanish yo‗q, u
istalgancha bo‗lishi mumkin;
- ishlab - chiqaruvchanligini oldindan aytish mumkin. Shaxsiy aloqa
kanallari avvaldan ma‘lum kafolatlangan o‗tkazuvchanlik qobiliyatini korxona
qurilmalari (global ulanishlar uchun) yoki kommutatsiya qurilmalar (lokal
ulanishlar uchun) o‗rtasida ta‘minlaydi;
- maksimal pog‘onadagi xavfsizlik. ―Tashqi dunyo‖ bilan aloqa yo‗qligi
butun tarmoq bo‗yicha axborotni ―o‗g‗irlanishi‖ ehtimolligini kamaytiradi.
Lekin VPN - judayam ―arzonga‖ aylanmaydi. Bunday tarmoqlarni milliy
yoki xalqaro doirada ishlaydigan, moliyaviy barqaror va yirik kompaniyalar
o‗zlariga ep ko‗radi. Shaxsiy tarmoqni yaratish - shaxsiy tarmoq infratuzilmasiga
ega zarur, ish jarayoni uchun muhim.
VPN tarmoqdan o‗tayotgan axborot turini aniqlay olishi lozim (tovush,
SNA, video oqim yoki elektron pochta). U juda tez bir trafikni boshqasidan ajrata
olishi kerak. Yana tarmoq VPN - ogoh bo‗lishi kerak, chunki servis - provayder
internet va ekstranet tarmoqlari uchun foydalanuvchi va xizmatlarni osongina
guruhlay olishi lozim. MPLS texnologiyasi kommutatsiyalanadigan va
marshrutizatsiyalanadigan tarmoq uchun VPN xabardorlikni beradi. Bu narsa
yagona infratuzilmada servis-provayderga tez va tejamkor, himoyalangan, istalgan
hajmdagi VPN tarmog‗ini hosil qilish imkonini beradi.
Turli boshqa yo‗llarni ishlatmagan holda MPLS tarmog‗i trafikni kodlamay,
tunellashtirmay uni himoyasini ta‘minlay oladi. MPLS texnologiyasi har bir
alohida tarmoqda xuddi FR va ATM ulanishdagi kabi xavfsizlikni ta‘minlay
oladi. Agarda an‘anaviy VPN tarmog‗i tarmoqdagi harakatni, bazali qiymatlarini
amalga oshirsa, MPLS texnologiyasi bilan jihozlangan tarmoq, keng doiradagi
111
VPN xizmatlaridan VPN tarmog‗ining harakatini bazali xizmatlariga IPni
qo‗shgan holda amalga oshiradi. Bu reja servis provayderlarning mo‗ljallangan
usulda xizmatlarini mo‗ljallangan modelga o‗tishini bildiradi. VPN uzatish
jadvallari asosida 3-sathdagi trafikni bemalol taqsimlay oladi. MPLS VPN
birinchi buyurtmachi trafigini boshqa buyurtmachi trafigidan bemalol ajratadi,
chunki har bir VPN tarmog‗idagi hamma buyurtmachilar o‗zining noyob
identifikatoriga ega. Bu narsa huddi ATM va FRdagi kabi xavfsizlikni ta‘minlaydi,
chunki VPN tarmog‗ining foydalanuvchisi tarmoqdan tashqarida uzatilayotgan
trafikni ko‗rmaydi.
Yana bir marta MPLS - VPN tarmog‗ining tavsifsini ko‗rib chiqamiz.
Buyurtmachining istalgan marshrutiga MPLS belgisi uzviy bog‗lanadi. Uni
marshrut boshida joylashgan RE - marshrutizator qo‗shadi. Ushbu belgi
ma‘lumotlar paketini ohirgi nuqtadagi RE marshrutizatorga uzatishga
yo‗naltirilgan:
- ma‘lumotlar paketini magistral bo‗ylab uzatganda 2 ta belgidan
foydalanadi. Ustki belgi paketni kerakli ohirgi RE -marshrutizatoriga yo‗naltiradi.
Keyingi belgi ushbu RE - marshrutizatoriga paketni keyingi yo‗nalishni tanlash
uchun qo‗shiladi;
- RE va SE - marshrutizatorlari o‗rtasidagi aloqa kanalida standart uzatish
sxemalari (IP for war doing) ishlatiladi. RE har bir SEni uzatish jadvali bilan
bog‗laydi (for warding table), ushbu jadvallarga faqatgina shu SE larga tegishli
marshrutlar saqlanadi.
VPNni to‗g‗rilash uchun, provayderning magistral tarmog‗i orqali o‗tadigan
marshrutlar haqidagi axborot uning chegarasidan chiqishi kerak emas.
Mijozlarning saytidagi marshrutlash haqidagi axborot esa ayrim VPNlarning
chegarasidan chiqmasligi talab etiladi.
Yo‗nalish haqidagi axborotni tarqalishiga to‗siq bo‗lishi mumkin bo‗lgan
narsa, bu mos shakllangan marshrutizatordir. Marshrutizatsiyalash protokoli qaysi
interfeys va kimdan yo‗nalganligi to‗g‗risidagi axborotni olish va kimga uzatish
kerakligi haqida xabardor bo‗lishi kerak.
112
MPLS VPN tarmog‗ida bunday to‗siqlar rolini chegaraviy RE
marshrutizatorlari bajaradi. Tasavvur qiling, RE marshrutizator orqali mijoz sayti
va provayder tarmog‗i o‗rtasida ko‗rinmas chegara o‗rnatiladi. Bir tomonga RE
marshrutizatorlari R marshrutizatorlari bilan bog‗lanishi uchun zarur interfeyslar
o‗rnatiladi. Yana bir tomonga mijozlarning sayti ulanishi uchun kerak bo‗lgan
interfeyslar o‗rnatiladi. Bir tomondan RE marshrutizatorlari magistral tarmoqning
marshrutlari haqidagi axborot kelsa, bir tomondan mijozlarning saytidagi
marshrutlar haqidagi axborot keladi.
RE marshrutizatorlariga bir necha IGP turidagi protokollar joylashtirilgan.
Ulardan biri RE ni R bilan ulash uchun, marshrutlarni ketma-ket va uzatish
uchun uchta ichki interfeys bilan bog‗langan. Qolgan ikkita IGP protokoli
mijozlarning saytidan tushgan axborotlarni qayta ishlaydi.
Qolgan RElar ham xuddi shu tarzda shakllangan. R marshrutizatorlari
barcha interfeyslardan kelayotgan IGP axborotini qabul qiladi va qayta ishlaydi.
Natijada barcha RE va R marshrutizatorlari marshrut jadvallariga ega bo‗lishadi.
Ularda provayder tarmog‗ining ichidagi barcha marshrutlar mavjud bo‗ladi. Shuni
ta‘kidlash kerakki, mijozlarning saytlaridagi marshrutlar haqidagi axborot bu yerda
yo‗q. Shunga mos ravishda mijozlar provayder tarmog‗idagi marshrutlar haqida
hech narsa bilmaydilar. Chegaraviy RE marshrutizatorlari tomonidan jadval, o‗zida
marshrutlash haqida axborot bor, maxsus «marshrutlashning global jadvali» degan
nom olgan. Bu jadvaldan holi holda RE mijozlarning saytidagi marshrutlar
asosida VRF (VPN Roting and forwarding) jadvalini tuzgan, bunda RE
mijozlarning saytidan tushgan e‘lon asosida jadval tuzadi.
Mijozlarning sayti oddiy IP tarmog‗idan iborat, marshrutlash axboroti
istalgan IGP protokoli yordamida uzatilishi va qayta ishlanishi mumkin. Ko‗rinib
turibdiki, bu jarayon provayder tomonidan rejalashtirilmaydi. Marshrutlash
haqidagi e‘lonlar bemalol qurilmalar orasida tarqaladi. Bu narsa chegaraviy RE
marshrutizatoriga yetib borguncha sodir bo‗ladi, chunki u ularning keyingi
tarqalishida chegara bo‗lib xizmat qiladi.
Turli mijozlarning marshrutlarini cheklash uchun RE marshrutizatorlariga
113
o‗rnatilgan interfeyslarga, mijoz saytlari ulangan alohida marshrutlash protokollari
o‗rnatilgan. Ushbu protokol mijozning marshrut e‘lonlarini faqat bitta interfeys
orqali uzatadi va qabul qiladi, ularni na ichki RE va R marshrutizatorlar
bog‗lanadigan inrefeys orqali na boshqa mijozlarning sayti ulangan interfeyslar
orqali uzatmaydi. Natijada RE marshrutizatorlarida bir nechta VRF jadvallari
hosil bo‗ladi.
Soddalashtirib shuni aytish mumkinki, REda unga nechta ulangan sayt
bo‗lsa shuncha VRF hosil bo‗ladi. Umuman olganda, RE marshrutizatorlarida
bir nechta virtual marshrutizatorlar hosil bo‗ladi, ularning har biri o‗zining VRF
jadvallari bilan ishlaydi. Saytlar va VRF jadvallari o‗rtasida yana boshqa aloqa
mavjud bo‗lishi mumkin. Misol uchun bitta RE ga bitta VPN ning bir nechta sayti
ulangan bo‗lsa, unda ularga bitta umumiy VRF jadval hosil qilish mumkin. Har
bir shunday jadvalga faqat shu VPNga tegishli saytga murojaat qila oladi.
IPSec protokoli (Internet Protocol Security) asosan IP tarmoqlarda
ma‘lumotlarni xavfsiz uzatishni ta‘minlaydi. IPSecning ishlatilishi quyidagilarni
kafolatlaydi:
- uzatilayotgan ma‘lumotlarning yaxlitligini, ya‘ni ma‘lumotlar uzatilishida
buzilmaydi, yo‗qolmaydi va takrorlanmaydi;
- jo‗natuvchining autentligini, ya‘ni ma‘lumotlar haqiqiy jo‗natuvchi
tomonidan uzatilgan;
- uzatiladigan ma‘lumotlarning mahfiyligini, ya‘ni ma‘lumotlar shunday
shaklda
uzatiladiki,
ularni
ruxsatsiz
ko‗zdan
kechirishning
oldi olinadi.
Ta‘kidlash lozimki, axborot xavfsizligi tushunchasiga odatda, yana bir
talab-ma‘lumotlarning
foydalanuvchanligi
kiritiladi.
Ma‘lumotlarning
foydalanuvchanligi deganda ma‘lumotlar yetkazilishining kafolati tushuniladi.
IPSec protokollari bu masalani hal etmaydi va uni transport satxda ISP ga
qoldiradi. IPSec protokollar steki tarmoq satxida axborot himoyasini
ta‘minlaydi. Bu himoya ishlovchi ilovalarga ko‗rinmasligiga olib keladi. IP-
paket IP tarmoqlarda kommunikatsiyaning fundamental birligi hisoblanadi. Uning
114
tuzilmasi 5.7-rasmda keltirilgan.
5.7 – rasm. IP-paket tuzulishi
IP-paket tarkibida manba manzili S va axborot qabul qiluvchining manzili
D, transport sarlovhasi, bu paketda tashiluvchi ma‘lumotlar xili xususidagi axborot
va ma‘lumotlarning o‗zi bo‗ladi.
Autentifikatsiyalashni,
uzatiluvchi
ma‘lumotlarning
mahfiyligi
va
yaxlitligini ta‘minlash maqsadida, IPSec protokollarining steki qator
standartlashtirilgan kriptografik texnologiyalar asosida qurilgan:
- kalitlarni almashtirish ochiq tarmoqdan foydalanuvchilar orasida
mahfiy kalitlarni taqsimlashning Diffi-Xellman algoritmi bo‗yicha
amalga oshiriladi;
- ikkala tomonning haqiqiyligini kafolatlash va main-in-the-midle
xilidagi hujumlarni oldini olish maqsadida Diffi-Xellman algoritmi
bo‗yicha almashishlarni imzolashda ochiq kalitlar kriptografiyasidan
foydalaniladi;
- ochiq kalitlarning haqiqiyligini tasdiqlashda raqamli sertifikatlar ishlatiladi;
- ma‘lumotlarni shifrlashda blokli simmetrik algoritmlardan foydalaniladi;
- xeshlash funksiyalari asosida axborotlarni autentifikatsiyalash algoritmlari
ishlatiladi.
Himoyalangan kanalni o‗rnatish va madadlashdagi asosiy masalalar
quyidagilar:
- foydalanuvchilar yoki kompyuterlarni autentifikatsiyalash;
- himoyalangan kanalning ohirgi nuqtalari orasida uzatiluvchi
ma‘lumotlarni shifrlash va autentifikatsiyalash;
- kanalning ohirgi nuqtalarini ma‘lumotlarni autentifikatsiyalashda va
115
shifrlashda kerak bo‘ladigan mahfiy kalitlar bilan ta‘minlash.
Yuqorida sanab o‗tilgan masalalarni hal etishda IPSec tizimi axborot
almashish xavfsizligi vositalarining kompleksidan foydalanadi.
IPSec protokolining amalga oshirilishida quyidagi komponentlardan
foydalaniladi:
- IPSecning
asosiy
protokoli.
Ushbu
komponent
himoyani
inkapsulyatsiyalovchi protokol ESP (Encapsulation Security Rau1oad)ni va
sarlovhani autentifikatsiyalovchi protokoli AH (Authentication Header)ni
amalga oshiradi. U sarlovhalarni ishlaydi; paketga qo‗llaniladigan xavfsizlik
siyosatini aniqlash uchun SPD va SAD ma‘lumotlar bazasi bilan o‗zaro
aloqa qiladi;
- kalit axborotlarini almashishni boshqarish protokoli IKE. IKE
odatda foydalanish satxida qo‗llaniladi (operatsion tizimga o‗rnatilgani bundan
istisno);
- xavfsizlik siyosatlarining ma‘lumotlar bazasi SAD (Security
Association Database). Bu eng muhim komponentlardan biri bo‘lib,
paketga qo‗llaniladigan xavfsizlik siyosatini belgilaydi. SAD dan asosiy proto-
kol IPSec tomonidan kiruvchi va chiquvchi paketlarni ishlashda foydalaniladi;
- xavfsiz assotsiatsiyalarning ma‘lumotlar bazasi SPD. Bu ma‘lumotlar
bazasi kiruvchi va chiquvchi axborotni ishlash uchun xavfsiz assotsiatsiyalar
SA(Security Association) ro‘yxatini saqlaydi. Chiquvchi SAlardan chiquvchi
paketlarni himoyalashda, kiruvchi SAlardan esa IPSec sarlovhali paketlarni
ishlashda foydalaniladi. SAD ma‘lumotlar bazasi SA bilan qo‗lda yoki kalitlarni
boshqarish protokollari IKE yordamida to‗ldiriladi;
- xavfsizlik siyosatini va xavfsiz assotsiyatsiyalarni boshqarish. Bu SAni
va xavfsizlik siyosatini boshqaruvchi ilovalardir.
Asosiy protokol IPSec (ESP va AHni amalga oshiruvchi) TCP/IP
protokollarining transport va tarmoq steklari bilan o‘zaro uzviy aloqada bo‗ladi.
IPSecni tarmoq sathining qismi deyish mumkin. IPSecning asosiy moduli ikkita
interfeysni - kirish yo‗li va chiqish yo‗li interfeyslarni ta‘minlaydi. Kirish yo‗li
116
interfeysi kiruvchi paketlar tomonidan, chiqish yo‗li interfeysi esa chiquvchi
paketlar tomonidan foydalaniladi. IPSecning amalga oshirilishi TCP/IP protokollar
stekining transport va tarmoq sathlari orasidagi interfeysga bog‗liq bo‗lmasligi
lozim.
SPD va SAD ma‘lumotlar bazasi IPSec ishlashiga jiddiy ta‘sir ko‗rsatadi.
Ulardagi ma‘lumotlar tuzilmasini tanlash IPsec ishlashining unumdorligiga ta‘sir
etadi.
IPSec dagi barcha protokollarni ikkita guruhga ajratish mumkin:
- uzatiluvchi ma‘lumotlarni bevosita ishlovchi (ularning xavfsizligini
ta‘minlash uchun) protokollar;
- birinchi guruh, protokollariga kerakli himoyalangan ulanishlar
ko‘rsatkichlarini avtomatik tarzda muvofiqlashtirishga imkon beruvchi proto-
kollar.
IPSec yadrosini uchta AH, ESP virtual kanal va kalitlarni boshqarish
IKE ko‘rsatkichlarini muvofiqlashtiruvchi protokollar tashkil etadi.
IPSec xavfsizlik vositalarining arxitekturasi 5.8-rasmda keltirilgan.
5.8-rasm. IPSec protokollari stekining arxitekturasi
Arxitekturaning yuqori sathida quyidagi protokollar joylashgan:
- virtual kanal ko‘rsatkichlarini muvofiqlashtiruvchi va kalitlarni
boshqarish protokoli IKE. Bu protokol himoyalangan kanalni initsializatsiyalash
117
usulini,
jumladan
ishlatiluvchi
kriptohimoyalash
algoritmlarini
muvofiqlashtirishni, hamda himoyalangan ulanish doirasida mahfiy kalitlarni
almashish va boshqarish muolajalarini belgilaydi;
- sarlovhani autentifikatsiyalovchi protokol AH. Bu protokol
ma‘lumotlar manbaini autentifikatsiyalashni, ularning, qabul
qilinganidan so‘ng, yaxlitligini va xaqiqiyligini tekshirish, takroriy
axborotlarning tiqishtirilishidan himoyani ta‘minlaydi;
- himoyani inkapsulyatsiyalovchi protokol ESP. Bu protokol uzatiluvchi
ma‘lumotlarni kriptografik berkitishni, autentifikatsiyalashni va yaxlitligini
ta‘minlaydi,
hamda takroriy
axborotlarning tiqishtirilishidan himoyalaydi.
AH va ESP protokollarining har biri alohida va birgalikda ishlatilishi
mumkin. Bu protokollarning vazifalari qisqacha bayonidan ko‘rinib turibdiki,
ularning imkoniyatlari qisman bir xil.
AH protokoli faqat ma‘lumotlarni yaxlitligini va autentifikatsiyalashni
ta‘minlashga javob beradi. ESP protokoli kuchliroq hisoblanadi, chunki u
ma‘lumotlarni shifrlashi mumkin, undan tashqari AH protokoli vazifasini ham
bajarishi mumkin.
IKE, AH va ESP protokollarining o‗zaro aloqalari quyidagicha kechadi.
Avval IKE protokoli bo‗yicha ikkita nuqta orasida mantiqiy ulanish o‗rnatiladi. Bu
ulanish IPSec standartlarida "xavfsiz assotsiatsiya''-Security Association, SA
nomini olgan. Ushbu mantiqiy kanal o‗rnatilishida kanalning ohirgi nuqtalarini
autentifikatsiyalash bajariladi, hamda ma‘lumotlarni himoyalash ko‘rsatkichlari,
masalan, shifrlash algoritmi, sessiya mahfiy kaliti va x,. tanlanadi. So‘ngra
xavfsiz assotsiatsiya SA tomonidan o‘rnatilgan doirada AH va ESP protokoli
ishlay boshlaydi. Bu protokollar yordamida uzatiluvchi ma‘lumotlarning istalgan
himoyasi, tanlangan ko‘rsatkichlardan foydalanilgan holda bajariladi.
IPSec arxitekturasining o‗rta sathini IKE protokolida qo‗llaniluvchi
ko‘rsatkichlarni muvofiqlashtirish va kalitlarni boshqarish algoritmlari hamda AH
va ESP protokollarida ishlatiluvchi autentifikatsiyalash va shifrlash algoritmlari
118
tashkil etadi.
Ta‘kidlash lozimki, IPSec arxitekturasining yuqori sathidagi virtual kanalni
himoyalash protokollari (AH va ESP) muayyan kriptografik algoritmlarga bog‗liq
emas. Autentifikatsiyalash va shifrlashning ko‗p sonli turli-tuman algoritmlaridan
foydalanish imkoniyati tufayli IPSec tarmoqni himoyalashni tashkil etishning
yuqori pog‗onada moslashuvchanligini ta‘minlaydi. IPSecning moslashuvchanligi
deganda har bir masala uchun uning yechilishini turli usullari tavsiya etilishi
tushuniladi. Bir masala uchun tanlangan usul, odatda, boshqa masalalarni amalga
oshirish usullariga bog‗liq emas. Masalan, shifrlash uchun DES algoritmining
tanlanishi ma‘lumotlarni autentifikatsiyalashda ishlatiluvchi daydjestni hisoblash
funksiyasini tanlashga ta‘sir qilmaydi.
IPSec arxitekturasining pastki sath interpretatsiyalash domeni DOI
(Domain of Interpretation) dan iborat. Interpretatsiyalash domenining qo‗llanish
zaruriyatiga quyidagilar sabab bo‗ldi. AH va ESP protokollari modulli tuzilmaga
ega,
ya‘ni
foydalanuvchilar
o‗zaro
kelishgan
holda
shifrlash
va
autentifikatsiyalashning turli kriptografik algoritmlaridan foydalanishlari mumkin.
Shu sababli, barcha ishlatiluvchi va yangi kiritiluvchi protokol va algoritmlarning
birgalikda ishlashini ta‘minlovchi modul zarur. Aynan shu vazifalar
interpretatsiyalash domeniga yuklatilgan.
Interpretatsiyalash domeni ma‘lumotlar bazasi sifatida IPSecda ishlatiladigan
protokollar va algoritmlar, ularning ko‘rsatkichlari, protokol identifikatorlari va
b. xususidagi axborotlarni saqlaydi. Mohiyati bo‗yicha interpretatsiyalash
domeni IPSec arxitekturasida fundament rolini bajaradi. AH va ESP
protokollarida autentifikatsiyalash va shifrlash algoritmlari sifatida milliy
standartlarga mos keluvchi algoritmlardan foydalanish uchun bu algoritmlarni
interpretatsiyalash domenida ro‗yxatdan o‗tkazish lozim.
AH yoki ESP protokollari uzatiluvchi ma‘lumotlarni quyidagi ikkita
rejimda himoyalashi mumkin:
- tunnel rejimda: IP paketlar butunlay, ularning sarlovhasi bilan birga
himoyalanadi;
119
- transport rejimida: IP paketlarning faqat ichidagilari
himoyalanadi.
Tunnel rejimi asosiy rejim hisoblanadi. Bu rejimda dastlabki
paket yangi IP paketga joylanadi va ma‘lumotlarni tarmoq bo‗yicha uzatish yangi
IP-paket sarlovhasi asosida amalga oshiriladi. Tunnel rejimida ishlashda har bir
oddiy IP-paket kriptohimoyalangan ko‗rinishda butunligicha IPSec konvertiga
joylanadi. IPSec konverti, o‗z navbatida boshqa himoyalangan IP-paketga
inkapsulyatsiyalanadi. Tunnel rejimi odatda maxsus ajratilgan xavfsizlik
shlyuzlarida - marshrutizatorlar yoki tarmoqlararo ekranlarda amalga
oshiriladi. Bunday shlyuzlar orasida himoyalangan tunnellar shakllantiriladi.
Tunnelning boshqa tomonida qabul qilingan himoyalangan IP-paketlar
"ochiladi" va olingan dastlabki IP-paketlar qabul qiluvchi lokal tarmoq
kompyuterlariga standart qoidalar bo‗yicha uzatiladi. IP-paketlarni tunnellash
tunnellarni egasi bo‗lmish lokal tarmoqdagi oddiy kompyuterlar uchun shaffof
hisoblanadi. Ohirgi tizimlarda tunnel rejimi masofadagi va mobil
foydalanuvchilarni madadlash uchun ishlatilishi mumkin. Bu holda
foydalanuvchilar kompyuterida IPSecning tunnel rejimini amalga oshiruvchi dasturiy
ta‘minot o‘rnatilishi lozim.
Transport rejimida tarmoq orqali IP-paketni uzatish bu paketning dastlabki
sarlovhasi yordamida amalga oshiriladi. IPSec konvertiga kriptohimoyalangan
ko‘rinishda faqat IP-paket ichiga joylanadi va olingan konvertga dastlabki IP-
sarlovha qo‗shiladi. Transport rejimi tunnel rejimiga nisbatan tezkor va ohirgi
tizimlarda qo‗llanish uchun ishlab chiqilgan. Ushbu rejim masofadagi va mobil
foydalanuvchilarni, hamda lokal tarmoq ichidagi axborot oqimini himoyalashni
madadlashda ishlatilishi mumkin. Ta‘kidlash lozimki, transport rejimida ishlash
himoyalangan o‘zaro aloqa guruhiga kiruvchi barcha tizimlarda o‘z aksini topadi
va aksariyat hollarda tarmoq ilovalarini qayta dasturlash talab etiladi.
Tunnel
yoki
transport
rejimidan
foydalanish
ma‘lumotlarni
himoyalashga qo‘yiladigan talablarga, hamda IPSes ishlovchi tugun roliga
bog‗liq. Himoyalanuvchi kanalni tugallovchi tugun-xost(ohirgi tugun) yoki shlyuz
120
(oraliqdagi tugun) bo‘lishi mumkin. Mos holda, IPSecni qo‗llashning quyidagi
uchta asosiy sxemasi farqlanadi:
- "xost - xost";
- "shlyuz - shlyuz";
- "xost - shlyuz";
Birinchi sxemada himoyalangan kanal tarmoqning ohirgi ikkita tuguni,
ya‘ni HI va H2 xostlar orasida o‘rnatiladi (5.9 - rasm), IPSecni madadlovchi
xostlar uchun transport hamda tunnel rejimlaridan foydalanishga ruxsat beriladi.
5.9 - rasm. "Xost-xost " sxemasi
Ikkinchi sxemaga binoan, himoyalangan kanal har birida IPSec protokoli
ishlovchi, xavfsizlik shlyuzlari SG1 va SG2 (Security Gateway) deb ataluvchi
oraliqdagi ikkita tugunlar orasida o‘rnatiladi (5.10 - rasm).
5.10 - rasm. "Shlyuz-shlyuz" sxemasi
121
Xavfsizlik shlyuzi ikkita tarmoqqa ulanuvchi tarmoq qurilmasi bo‘lib,
o‘zidan keyin joylashgan xostlar uchun shifrlash va autentifikatsiyalash
funksiyalarini bajaradi. VPNning xavfsizlik shlyuzi alohida dasturiy mahsulot,
alohida apparat qurilma hamda VPN funksiyalari bilan to‗ldirilgan marshrutizator
yoki tarmoqlararo ekran ko‗rinishida amalga oshirilishi mumkin.
Ma‘lumotlarni himoyalangan almashish tarmoqlarga ulangan, xavfsizlik
shlyuzlaridan keyin joylashgan har qanday ikkita ohirgi tugunlar orasida ro‘y
berishi mumkin. Ohirgi tugunlardan IPSec protokolni madadlash talab qilinmaydi,
ular o‘zlarining trafigini himoyalanmagan holda korxonaning ishonchli tarmog‗i
Intranet orqali uzatadi. Umumfoydalanuvchi tarmoqqa yuboriluvchi trafik xavfsizlik
shlyuzi orqali o‘tadi va bu shlyuz o‘zining nomidan IPSec yordamida trafikni
himoyalashni ta‘minlaydi. Shlyuzlarga faqat tunnel rejimida ishlashga ruxsat
beriladi, garchi ular transport rejimini ham madadlashlari mumkin (bu holda
samara kam bo‗ladi).
"Xost - shlyuz" sxemasi ko‘pincha himoyalangan masofadan
foydalanishda ishlatiladi (5.11-rasm).
5.11-rasm. "Xost-xost"kanali bilan to‗ldirilgan "xost-shlyuz" sxemasi
122
Bu yerda himoyalangan kanal IPSec ishlovchi masofadagi H1 xost va
korxona Intranet tarmog‗iga kiruvchi barcha xostlar uchun trafikni
himoyalovchi SG shlyuz orasida tashkil etiladi. Masofadagi xost shlyuzga paketlarni
junatishda ham transport va ham tunnel rejimlaridan foydalanishi mumkin, shlyuz
esa xostga paketlarni faqat tunnel rejimida junatadi.
Bu sxemani masofadagi H1 xost va shlyuz tomonidan himoyalanuvchi
ichki tarmoqqa tegishli biror H2 xost orasida parallel yana bir
himoyalangan kanalni yaratib modifikatsiyalash mumkin. Ikkita SAdan bunday
kombinatsiyadan foydalanish ichki tarmoqdagi trafikni ham ishonchli
himoyalashga imkon beradi.
Ko‘rilgan IPSec asosida himoyalangan kanalni qurish sxemalari turli-tuman
VPNlarni yaratishda keng qo‗llaniladi. IPSec asosida turli arxitekturaga ega
bo‗lgan VPN, jumladan masofadan foydalanuvchi VPN (Remote Access VPN),
korporatsiya ichidagi VPN (Intranet VPN) va korporatsiyalararo VPN (Extranet
VPN) quriladi.
IPSec asosidagi VPN-texnologiyalarining jozibaliligini quyidagi sabablar
orqali izohlash mumkin:
- tarmoq satxining himoyasi tarmoqda ishlovchi barcha tadbiq etish
tizimlari uchun shaffof, ya‘ni barcha ilovalar himoyalangan tarmoqda hech
qanday tuzatishsiz va o‘zgarishsiz xuddi ochiq tarmoqda ishlaganidek
ishlayveradi;
- himoyalash tizimining masshtablanuvchanligi ta‘minlanadi, ya‘ni
murakkabligi va unumdorligi turli bo‗lgan ob‘ektlarni himoyalash uchun
murakkabligi, unumdorligi, narhi, pog‗onasi bo‗yicha adekvat bo‗lgan
himoyalashning dasturiy yoki dasturiy-apparat vositalaridan foydalanish mumkin;
- masshtablanuvchi qatordagi axborotni himoyalash mahsulotlari birga ularni
turli sathdagi ob‘ektlarda (masofadagi yagona terminallardan to ixtiyoriy
masshtabli lokal tarmoqlargacha) resurslaridan va trafigidan barcha begonalar
foydalana olmaydigan yagona korporativ tarmoqqa birlashtirish mumkin.
|