Tunnel va transport rejimlaridan foydalanish
Keling, tunnel yoki transport rejimini tanlash qoidalarini tushuntirish uchun bir nechta misollarni ko'rib chiqaylik. Quyidagi rasmda tunnel rejimi ishlatiladigan vaziyatlar ko'rsatilgan. Ushbu rejim IPSec Security Gateways (masalan, Cisco router va PIX Firewall) o'rtasidagi trafikni shifrlash uchun keng qo'llaniladi. IPSec shlyuzlari bunday shlyuzlar orqasidagi qurilmalar uchun IPSec funktsiyalarini bajaradi (rasmda, bu Elisning shaxsiy kompyuteri va HR serverlari). Ushbu misolda, Elis shlyuzlar orasidagi IPSec tunneli orqali HR serverlariga xavfsiz kirish huquqini qo'lga kiritadi.
Tunnel rejimi, shuningdek, CiscoSecure VPN mijozi va IPSec shlyuzi o'rtasidagi aloqa kabi IPSec dasturiy ta'minotida ishlaydigan so'nggi nuqtalar o'rtasidagi aloqa uchun ishlatiladi.
IN bu misol tunnel rejimi Cisco yo'riqnoma va IPSec dasturiy ta'minoti ishlaydigan server o'rtasida IPSec tunnelini yaratish uchun ishlatiladi. E'tibor bering, Cisco IOS dasturiy ta'minotida va PIX xavfsizlik devorida IPSec aloqasi uchun tunnel rejimi standart rejim hisoblanadi.
Transport rejimi IPSec-ni qo'llab-quvvatlovchi so'nggi nuqtalar o'rtasida yoki shlyuz xost deb talqin qilinsa, oxirgi va shlyuz o'rtasida qo'llaniladi. Shaklda Quyida Alice kompaniyasining dasturiy ta'minotidan foydalanuvchi dasturiy ta'minotidan shifrlangan IPSec tunnelini yaratish uchun transport rejimidan foydalanishni tasvirlaydigan D misol keltirilgan. Microsoft Windows 2000-yilda Cisco VPN 3000 kontsentratori, bu Elisga IPSec orqali L2TP tunnelidan foydalanishga imkon beradi.
AH va ESP dan foydalanish
Ba'zi holatlarda AH va ESP o'rtasidagi tanlov muammosini hal qilish qiyin bo'lib tuyulishi mumkin, ammo uni bir nechta qoidalarga rioya qilish orqali soddalashtirish mumkin. Agar siz aniqlangan manbadan olingan ma'lumotlarning yaxlitligini buzmasdan va maxfiy saqlanishini talab qilmasligini bilishingiz kerak bo'lsa, yuqori darajadagi protokollar va tranzitda o'zgarishsiz qolgan IP sarlavhali maydonlarini himoya qiladigan AH dan foydalaning. Xavfsizlik mos keladigan qiymatlarni o'zgartirish mumkin emasligini anglatadi, chunki bu IPSec-ning ikkinchi tomoni tomonidan aniqlanadi va har qanday o'zgartirilgan IP-ma'lumotlar rad etiladi. AN protokoli kanalga quloq solishdan va tajovuzkorning sarlavhasi va ma'lumotlarini ko'rishdan himoya qilmaydi. Ammo sarlavha va ma'lumotlarni jimgina o'zgartirish mumkin emasligi sababli, o'zgartirilgan paketlar bekor qilinadi.
Agar siz shaxsiy ma'lumotlarni saqlashingiz kerak bo'lsa (maxfiylikni ta'minlash uchun), ESP-dan foydalaning. Ushbu protokol yuqori darajadagi protokollarni transport rejimida va tunnel rejimida butun IP-dastur sxemasini shifrlaydi, shuning uchun uzatish kanalini tinglab paketlar haqida ma'lumot olishning iloji yo'q. ESP shuningdek paketlar uchun autentifikatsiya xizmatini ham taqdim qilishi mumkin. Biroq, transport rejimida ESP-dan foydalanganda tashqi asl IP sarlavhasi himoyalanmagan va tunnel rejimida yangi IP sarlavhasi himoyalanmagan. IPSec bilan foydalanuvchilar transport rejimiga emas, balki tunnel rejimiga murojaat qilishadi.
Bugungi dunyoda har xil VPN texnologiyalari hamma joyda qo'llaniladi. Ba'zilar (masalan, PPTP) vaqt o'tishi bilan xavfli deb tan olinadi va asta-sekin yo'q bo'lib ketadi, boshqalari (OpenVPN), aksincha, har yili tobora kuchayib bormoqda. Ammo IPsec VPN ishonchli shaxsiy kanallarni yaratish va qo'llab-quvvatlash uchun shubhasiz etakchi va eng taniqli texnologiya bo'lib qolmoqda. Ba'zan, kirish testi paytida siz faqat 500-chi UDP porti to'xtab qolganda jiddiy himoyalangan tarmoqni topishingiz mumkin. Qolgan har qanday narsalar yopiq, yamalgan va xavfsiz filtrlangan bo'lishi mumkin. Bunday vaziyatda, bu erda hech qanday maxsus narsa yo'q degan fikr paydo bo'lishi mumkin. Ammo har doim ham shunday bo'lmaydi. Bundan tashqari, IPsec, hatto standart konfiguratsiyalarda ham, qaytarib bo'lmaydigan va tegishli xavfsizlik darajasini ta'minlaydi, deb ishoniladi. Bu biz bugun amalda ko'radigan vaziyat. Birinchidan, IPsec bilan iloji boricha samarali ishlash uchun siz uning nima ekanligini va qanday ishlashini aniqlashingiz kerak. Buni biz bajaramiz!
|