|
Ipsec qanday port. Ipsec protokollar. Chiqish ip paketlarini qayta ishlash 0
|
bet | 21/22 | Sana | 21.05.2024 | Hajmi | 294,06 Kb. | | #247555 |
Bog'liq Ipsec qanday port. Ipsec protokollar. Chiqish ip paketlariniXAVFSIZLIK BIRLASHMASI
AH va ESP protokollarining uzatilayotgan ma'lumotlarning xavfsizligini ta'minlash vazifalarini bajarishlari uchun, IKE protokoli IPSec standartlarida "Xavfsizlik assotsiatsiyasi" (SA) deb nomlangan ikkita so'nggi nuqta o'rtasida mantiqiy aloqani o'rnatadi. SAni yaratish tomonlarning o'zaro autentifikatsiyasidan boshlanadi, chunki agar ma'lumot noto'g'ri yoki boshqa shaxs tomonidan uzatilsa yoki olinsa, xavfsizlik choralarining barchasi ma'nosiz bo'ladi. Quyida tanlangan SA parametrlari ikkita protokollardan qaysi biri, AH yoki ESP ma'lumotlarni himoya qilish uchun ishlatilishini, himoya protokoli qanday funktsiyalarni bajarishini aniqlaydi: masalan, faqat autentifikatsiya va yaxlitlikni tekshirish, yoki qo'shimcha ravishda yolg'on takrorlanishdan himoya. Xavfsiz birlashmaning juda muhim parametri deb ataladigan kriptografik material, ya'ni AH va ESP protokollarining ishlashida ishlatiladigan maxfiy kalitlardir.
IPSec shuningdek, xavfsiz assotsiatsiyani tashkil etishning qo'lda qo'llaniladigan usulidan foydalanishga ruxsat beradi, unda ma'mur assotsiatsiyaning kelishilgan parametrlarini, shu jumladan maxfiy kalitlarni qo'llab-quvvatlash uchun har bir so'nggi tugunni sozlaydi.
AH yoki ESP protokoli oldindan o'rnatilgan mantiqiy SA ulanish doirasida ishlaydi, uning yordami bilan uzatilayotgan ma'lumotlarning zaruriy himoyasi tanlangan parametrlar yordamida amalga oshiriladi.
Xavfsiz assotsiatsiya parametrlari xavfsiz kanalning ikkala oxirgi nuqtasini ham qondirishi kerak. Shuning uchun SAni o'rnatishning avtomatik protsedurasidan foydalanganda, kanalning turli tomonlarida ishlaydigan IKE protokollari muzokaralar jarayonida parametrlarni tanlaydi, xuddi ikkita modem ikkala tomon uchun ham maqbul qabul qilinadigan valyuta kursini aniqlaydi. Har bir AH va ESP vazifasi uchun bir nechta autentifikatsiya va shifrlash sxemalari taklif etiladi, bu IPSec-ni juda moslashuvchan qiladi. (E'tibor bering, autentifikatsiya muammosini hal qilish uchun hazm olish funktsiyasini tanlash ma'lumotni shifrlash algoritmini tanlashga hech qanday ta'sir ko'rsatmaydi.)
Moslikni ta'minlash uchun IPsec-ning standart versiyasi ma'lum bir "vosita" to'plamini belgilaydi: xususan, MD5 yoki SHA-1 shifrlash funktsiyalaridan biri har doim ma'lumotlarni autentifikatsiya qilish uchun ishlatilishi mumkin va DES albatta shifrlash algoritmlari soniga kiritilgan. Shu bilan birga, IPSec-ni o'z ichiga olgan mahsulot ishlab chiqaruvchilari protokolni boshqa autentifikatsiya va shifrlash algoritmlari bilan uzaytirib, ular muvaffaqiyatli bajaradilar. Masalan, ko'plab IPSec dasturlari mashhur Triple DES shifrlash algoritmini, shuningdek nisbatan yangi algoritmlarni - Blowfish, Cast, CDMF, Idea, RC5-ni qo'llab-quvvatlaydi.
IPSec standartlari shlyuzlarga Internet orqali ulanadigan barcha xostlardan trafikni uzatish uchun bitta SA dan foydalanishga yoki ushbu maqsad uchun o'zboshimchalik bilan SAni yaratishga imkon beradi, masalan, har bir TCP ulanishi uchun bitta. Xavfsiz SA bu IPSec-da bir tomonlama (simpleks) mantiqiy ulanishdir, shuning uchun ikki SA bilan ikki tomonlama aloqada o'rnatilishi kerak.
|
| |