31-BOB. Tarmoq sathida xavfsizlik: IPsec va virtual shaxsiy tarmoqlar
31.1. IPsec va virtual shaxsiy tarmoqlar (VPN)
Ko‘pincha IPsec qisqartmasi bilan belgilanadigan IP xavfsizlik protokoli
tarmoq satxida xavfsizlikni ta’minlaydi. IPses istalgan ikkita tarmoq qurilmalari
orasida, xususan, xostlar va marshrutizatorlar orasida uzatiladigan IP-
deytagrammalarni himoya qiladi. Ko‘plab tashkilotlar (korporatsiyalar, hukumat
muassasalari, notijorat tashkilotlar va boshqalar) umumiy foydalanishdagi
internetda ishlaydigan virtual xususiy tarmoqlarni (Virtual Private Networks,
VPN) yaratish uchun foydalanadi.
423
IPsec ning nozik tafsilotlarini o‘rganishga o‘tishdan oldin, keling bir qadam
orqaga chekinamiz va “tarmoq satxida maxfiylikni ta’minlash” nimani bildirishi
haqida gaplashamiz. Bunday holda gap ikkita tarmoq qurilmalari orasida (masalan,
ikkita marshrutizatorlar, ikkita xostlar orasida yoki xost va marshrutizator orasida)
aloqaning maxfiyligi haqida bormoqda. Jo‘natuvchi qurilma qabul qiluvchi
qurilmaga jo‘natiladigan barcha deytagrammalarning foydali yuklamasini
shifrlaydi. Bunday shifrlangan foydali yuklama TCP-segment, UDP-segment,
ICMP-xabar va boshqalar hisoblanishi mumkin. Agar tarmoq satxida bunday
xizmat mavjud bo‘lganida edi, u holda bitta qurilmadan boshqasiga uzatiladigan
istalgan ma’lumotlar, xususan, elektron xatlar, web-sahifalar, TCP bo‘yicha qo‘l
berish haqida xabarlar, shuningdek boshqarish xabarlari (masalan, ICMP yoki
SNMP) - tarmoq trafigini tahlil qila oladigan, istalgan tashqi kuzatuvchidan
yashiringan bo‘lar edi. Shuning uchun, tarmoq satxida xavfsizlikni “yaxlit qamrab
olish”ni ta’minlaydi deyish mumkin.
Maxfiylik bilan bir qatorda, tarmoq satxidagi xavfsizlik protokoli boshqa
xizmatlarni ham potensial berishi mumkin. Masalan, u qabul qiluvchi qurilma
himoyalangan deytagrammani qaerdan kelganligini tekshirishi uchun, manbani
autentifikasiyalashni bajara olar edi. Tarmoq satxi xavfsizligi protokoli
ma’lumotlarning butunligini ta’minlay oladi, bu qabul qiluvchi tugunga kelish
yo‘li bo‘yicha deytagrammaga kiritilishi mumkin bo‘lgan istalgan o‘zgarishlarni
borligini tekshirishga imkon beradi. Nihoyat, bunday protokol takroran qayta
ishlash, hujumlarning oldini olish uchun xizmat qilishi mumkin, ya’ni Bob
jinoyatchi ma’lumotlar oqimiga qo‘yadigan istalgan nusxa ko‘chiriladigan
deytagrammalarni aniqlash imkoniyatini beradi. Tez orada amin bo‘lamizki, IPsec
protokoli
aslida barcha bunday xavfsizlik xizmatlarini ta’minlaydigan
mexanizmlarni beradi, ya’ni maxfiylikka rioya qilinishiga, manbani
autentifikasiyalashga, ma’lumotlarning butunligini ta’minlaydi va takroran qayta
hujumlarning oldini oladi.
424
Agar tashkilot taqsimlangan hisoblansa va birdaniga bir necha hududlarda
mavjud bo‘lsa, u holda unga ko‘pincha xostlar va serverlar orasida xavfsiz va
maxfiy ma’lumotlarni almashishni yo‘lga qo‘yish mumkin bo‘ladigan o‘z IR-
tarmog‘i talab qilinadi. Buning uchun tashkilot umumiy foydalanishdagi
internetdan to‘liq ajratilishi mumkin bo‘ladigan marshrutizatorlar, kanallar va
DNS-infratuzilmali avtonom fizik tarmoqni qurishi mumkin. Bunday tarmoqlar
xususiy tarmoqlar (private network) deyiladi.
Tabiiyki, bunday xususiy tarmoq qimmat xisoblanadi, chunki uni qurish
uchun tashkilot butun o‘z fizik tarmoq infratuzilmasini sotib olishi, o‘rnatishi va
xizmat ko‘rsatishi kerak.
Hozirgi vaqtda ko‘plab tashkilotlar bunday tarmoqlarni qurmaydi va
qo‘llamaydi, balki to‘g‘ri umumiy foydalanishdagi internet asosidagi mavjud
bo‘ladigan virtual xususiy tarmoqlarni yaratadi. VPNni ishlatishda aniq bir
tashkilotning butun ichki trafigi avtonom fizik tarmoq bo‘yicha emas balki internet
tarmog’i bo‘yicha uzatiladi. Lekin maxfiylikni ta’minlash uchun u dastlab
shifrlanadi va keyin Internetga beriladi. Virtual xususiy tarmoqning oddiy modeli
31.1-rasmda tasvirlangan. Bunday holda tashkilot bosh ofis va filialdan tashkil
topadi,
shuningdek
unga
odatda
mehmonxona
raqamlaridan
shaxsiy
kompyuterlaridan Internetga chiqadigan sotuvchi vakillar kiradi. Agar bu virtual
xususiy tarmoqda bosh ofisdan ikkita xost bir-birlariga IP-deytagrammalarni
jo‘natsa yoki filialdan ikkita xostlarning ulanishi talab qilinsa, bunday seansda eski
IPv4 (har qanday IPsec-xizmatlarsiz) qo‘llaniladi. Lekin, agar bu tashkilotning
ikkita xosti umumiy foydalanishdagi Internetga o’tadigan yo‘l bo‘yicha bog‘lansa,
u holda trafik internetga tushish oldidan shifrlanadi.
VPN qanday ishlashi haqida ta’surot hosil qilish uchun, keling 31.1-rasm
tarkibida oddiy misolni ko‘rib chiqamiz. Bosh ofisdan xost IP-deytagrammani
mehmonxonada bo‘lgan sotuvchi vakilning shaxsiy kompyuterlariga jo‘natganida,
bosh ofisning shlyuz marshrutizatori oddiy IPv4 daytagrammani IPsec
deytagrammaga o‘zgartiradi va endi bu ko‘rinishdagi deytagrammani internet
425
bo‘yicha
jo‘natadi.
Aytganday,
bunday
IPsec
deytagramma
IPv4
deytagrammalaridagi kabi oddiy sarlavhaga ega bo‘ladi, shuning uchun umumiy
foydalanish internetidagi marshrutizatorlar hech qanday farqni sezmasdan uni
oddiy IPv4 deytagramma kabi qayta ishlaydi. Lekin, 31.1-ramda ko‘rsatilganidek,
IPsec deytagrammaning ma’lumotlar maydoni IPsecni qayta ishlashda
qo‘llaniladigan IPsec-sarlavha bo‘ladi. Bundan tashqari, IPsec-deytagramma
shifrlanadi. U sotuvchi vakilning kompyuteriga kelganida, kompyuterning
operatsion tizimi ma’lumotlar maydonini qayta shifrlaydi (shuningdek, boshqa
xavfsizlik funksiyalarini beradi, xususan, ma’lumotlarning butunligini tekshiradi),
bundan keyin qayta shifrlangan ma’lumotlarni yuqori satx protokoli (masalan, TCP
yoki UDP) ga uzatadi.
31.1-rasm. Virtual xususiy tarmoq (VPN)
Demak, biz hozir umumiy ko‘rinishda, virtual xususiy tarmoqlarni yaratish
uchun IPsec qanday qo‘llanilishini ko‘rib chiqdik.
|