426
IPsec protokoli oddiy narsa emas. U o‘ntadan ortiq RFC standartlari orqali
tavsiflanadi.
Ulardan ikkita eng muhimi, IP xavfsizlikni umumiy arxitekturasi
aniqlanadigan, RFC 4301 va IPsec protokollar qaraladigan RFC 6071 hisoblanadi.
Bu kitobning boshqa bo‘limlaridagi kabi, biz oddiy va ajib RFClarni xotirada
yangilash emas, balki bu protokollarni yanada amaliy va ta’lim nuqtai nazaridan
tavsiflashga intilamiz.
IPsec protokollar to‘plamida eng muhimlari ikkita sarlavhani
autentifikasiyalash
protokoli
(Authentication Header,
AN
)
va ma’lumotlarni xavfsiz
inkapsulyatsiyalash
protokoli
(Encapsulation
Security Payload,
ESP)
hisoblanadi.
IPsec dan foydalanadigan
jo‘natuvchi-qurilma (odatda bu xost yoki marshrutizator) deytagrammani qabul
qiluvchi qurilmaga (bu ham xost yoki marshrutizator) jo‘natganida, bu AN
protokoli yoki ESP protokoli orqali amalga oshiriladi. AN protokoli maxfiylikni
emas, balki manbani autentifikasiyalashni va ma’lumotlarni
butunligini
ta’minlaydi. ESP protokoli maxfiylikni, manbani autentifikasiyalashni,
ma’lumotlarni butunligini va maxfiylikni ta’minlaydi. Binobarin, maxfiylik odatda
VPN va boshqa IPsec dan foydalanish amaliy variantlar uchun juda muhim, ESP
protokoli AN protokoliga qaraganda keng tarqalgan. IPsec atrofidagi sir pardasini
ko‘tarish va uning murakkabligiga o‘ta berilmaslik uchun endi biz, ESP
protokolini o‘rganishga diqqatni qaratamiz. Agar o‘quvchi AN protokoli bilan ham
tanishishni istasa, uni mos RFC va onlayn resurslarga yo‘llaymiz.
31.3. Xavfsizlik bo’yicha uyushmalar
Har bir IPsec deytagrammasi ikkita
tarmoq qurilmalari orasida, masalan,
ikkita xostlar, ikkita marshrutizatorlar orasida yoki xost va marshrutizator orasida
qayta uzatiladi. IPsec-deytagrammani bunday manbadan manzilga yo‘l bo‘yicha
jo‘natishdan oldin, bu ikki qurilmalar orasida tarmoq satxida xavfsiz uyushma
(security association, SA
)
deyiladigan mantiqiy ulanish hosil qilinadi. Xavfsiz
uyushma bu simpleks ulanish, ya’ni u bir yo‘nalishli
hisoblanadi va manbadan
427
qabul qiluvchigachadir. Agar har ikkala qurilmalar bir-biriga himoyalangan
deytagrammalarni jo‘natishni rejalashtirsa, u holda ikkita xavfsiz uyushmani (ya’ni
ikkita mantiqiy ulanishni) har bir yo‘nalishda bittadan o‘rnatishga zarur bo‘ladi.
Masalan, yana 31.2-rasmda tasvirlangan tashkilotning virtual xususiy
tarmog‘ini ko‘rib chiqamiz. Bu misolda bosh ofis va filial orasida ikki yo‘nalishli
IPsec-trafik uzatiladi, shuningdek u bosh ofis va sotuvchi vakillar har birining
kompyuteri orasida uzatiladi deb olamiz. Bu VPN tarmog‘ida
nechta xavfsiz
uyushmalar mavjud? Bu savolga javob berish uchun, bizda bosh ofis va filial
orasida, shlyuzlari orasida (har bir yo‘nalishda bittadan) ikkita xavfsiz uyushma
mavjudligini hisobga olish zarur. Bundan tashqari,
bosh ofis orasida ikkitadan
xavfsiz uyushmalar va sotuvchi vakillar har birining noutbuki (yana har bir
yo‘nalishda bittadan) bor. Demak, hammasi bo‘lib (2+2
p)
xavfsiz uyushmalarga
egamiz. Bunda shuni nazarda tutish kerakki, Internetga shlyuz marshrutizatorlar
yoki noutbuklardan yo‘naltiriladigan
butun trafik ham
IPsec texnologiyasi
bo‘yicha himoyalangan. Masalan, bosh ofisdan xost katta internetda joylashgan
serverga (
masalan, Amazon yoki Google serveriga) murojaat qilishi mumkin.
Natijada shlyuz marshrutizator (shuningdek noutbuklar) internetga ham oddiy
deytagrammalarni IPv4, ham IPsec
himoyalangan
deytagrammalarni jo‘natishi
mumkin.
