(Security  Association Database,  SAD )




Download 11,41 Mb.
Pdf ko'rish
bet183/213
Sana16.05.2024
Hajmi11,41 Mb.
#238365
1   ...   179   180   181   182   183   184   185   186   ...   213
Bog'liq
Internet tarmoqlari va xizmatlari

 
(Security 
Association Database
SAD

saqlaydi. Bu qurilmaning operatsion tizimi yadrosida 
joylashgan alohida ma’lumotlar tuzilmasi hisoblanadi. 
31.4. IPsec Deytagramma 
 
Endi xavfsiz uyushmalarni tavsiflash bilan IPsec-deytagrammalarning o‘zini 
muhokama qilishga o‘tish mumkin. IPsecda
 
tunnel rejimi
 
(tunnel mode) va 
transport rejimi
 
(transport mode) deyiladigan rejimlar uchun mo‘ljallangan, ikkita 
turdagi paketlar qo‘llaniladi. Tunnel rejim virtual xususiy tarmoqlar bilan ishlash 
uchun qulayroq va shuning uchun transport rejimiga qaraganda keng qo‘llaniladi. 
IPsec mavzusini murakablashtirmaslik uchun faqat tunnel rejimiga e’tiborni 
qaratamiz. Siz tunnel rejimini yaxshi o‘zlashtirganingizda transport rejimini 
qiyinchiliksiz mustaqil o‘rganishingiz mumkin bo‘ladi. 
IPsec deytagrammasi paketining formati 31.3-rasmda tasvirlangan. Ml 
marshrutizator 172.16.1.17 xostdan (bosh ofis tarmog‘i) 172.16.2.48 xostga (filial 
tarmog‘idagi) uzatilishi kerak bo‘ladigan oddiy IPv4 deytagrammani qabul qiladi. 
Ml marshrutizator bu “dastlabki IPv4 deytagrammani” IPsec deytagrammaga 
quyidagi prinsip bo‘yicha o‘zgartiradi: 

Dastlabki IPv4 deytagrammaning (sarlavhaning dastlabki maydonlariga 
ega bo‘lgan) oxiriga ESP-sarlavhaning yakuniy qismli (ESP trailer 
deyiladigan) maydoni biriktiriladi; 

Xavfsiz uyushma beradigan algoritm va kalit yordamida natija 
shifrlanadi; 

Shifrlangan blokning oldiga sarlavha maydoni qo‘yiladi («ESP header»). 
Natijaviy paketni shartli ravishda “enchilada taomi” deb ataymiz; 

Keyin 
bu butun terma 
enchilada taomi uchun joriy uyushma doirasida 
beriladigan algoritm va kalit qo‘llaniladigan autentifikasiyalash MAS 

430 
kodi yaratiladi; 

MAS kod paket-enchilada taomi oxiriga biriktiriladi va bu barcha 
ma’lumotlar, IP-deytagrammaning foydali ma’lumotlarini hosil qiladi; 

Nihoyat, hozirgina shakllantirilgan ma’lumotlarning oldiga qo‘yiladigan 
IPv4 an’anaviy maydonli mutlaqo yangi IP-sarlavha hosil qilinadi. 
E’tibor bering, natijada bizda to‘laqonli IPv4 deytagramma olinadi, bunda 
oddiy IPv4-sarlavha maydonlaridan keyin ma’lumotlar maydoni keladi. Lekin bu 
yerda, bu ma’lumotlarda ESP-sarlavha, dastlabki IP-deytagramma, ESP oxiri va 
ESP autentifikasiyalash maydoni (binobarin, dastlabki IP-deytagramma va ESP 
oxiri shifrlangan) bo‘ladi. Dastlabki IP-deytagrammani jo‘natuvchi va qabul 
qiluvchi IP-adreslari mos ravishda 172.16.1.7 va 172.16.2.48. Modomiki, IPsec – 
deytagramma tarkibiga dastlabki IP-deytagramma kirar ekan, bu adreslar IPsec-
paket foydali ma’lumotlari qismi sifatida kiritiladi (va shifrlanadi). IPsec-
deytagrammaning chetki chap sarlavhasida joylashgan yangi IP-sarlavhadan IP- 
adreslar to‘g‘risida biz nima deyishimiz mumkin. Ehtimol siz fahmladingizki, bu 
yerga tunnelning har ikkala tomonlarida joylashgan ikkita interfeyslarning 
adreslari, aynan 200.168.1.100 va 193.68.2.23 yoziladi. Bundan tashqari, bu yangi 
IP-sarlavhada protokol identifikatori odatdagi TCP, UDP yoki ICMP protokollarga 
ko‘rsatiladi. Buning o‘rniga bizning qarshimizdagi ESP protokolini ishlatadigan 
IPsec deytagramma ekanligini ko‘rsatadigan 50 qiymatni topamiz.
Ml marshrutizator IPsec deytagrammani jo‘natganidan keyin, u M2 
marshrutizatorga yetib borguncha ko‘plab marshrutizatorlardan o‘tadi. Bu barcha 
marshrutizatorlar bizning deytagrammamizni eng oddiy sifatda qayta ishlaydi, 
ularni deytagramma IPsec formatdagi shifrlangan ma’lumotlarni tashishi 
qiziqtirmaydi. Umumiy foydalanishdagi Internetdan bu marshrutizatorlar nuqtai 
nazaridan muhimki, bizning tashqi IP-sarlavhada yuborilish adresi sifatida M2 
marshrutizator ko‘rsatilgan, aynan shuning uchun deytagramma M2 
marshrutizatorga yetkazilishi kerak. 

431 
IPsec-deytagrammaning tarkibi va yaratilishini misolda o‘rganish bilan, 
bizning “enchilada taomimizni” tarkibiy qismini atroflicha o‘rganamiz. 31.3-
rasmda IPsecning oxirgi uchta qismi to‘ldiruvchi, to‘ldiruvchining uzunligi va 
keyingi sarlavha maydonlaridan tashkil topgan. To‘ldiruvchi (foydali 
ma’lumotlarni tashimaydigan ixtiyoriy baytlardan tashkil topgan) aynan u bilan 
(shuningdek to‘ldiruvchining uzunligi va navbatdagi sarlavha maydonlari bilan) 
dastlabki deytagramma va barcha xabarlar bloklarning butun sonini hosil qilishi 
uchun ishlatiladi. To‘ldiruvchi uzunligi maydoni, yuborilish adresiga 
deytagrammaga qancha to‘ldiruvchi baytlar qo’yilganligini (mos ravishda qancha 
baytlarni o‘chirish kerakligini) ko‘rsatadi. Keyingi sarlavha maydoni, foydali 
ma’lumotlar maydonida bo‘lgan ma’lumotlar turini (masalan, UDP) ko‘rsatadi. Bu 
ma’lumotlarning o‘zi (bu dastlabki IP-deytagramma) ESP oxiri bilan birlashtiriladi 
va shifrlanadi. 

Download 11,41 Mb.
1   ...   179   180   181   182   183   184   185   186   ...   213




Download 11,41 Mb.
Pdf ko'rish
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


(Security  Association Database,  SAD )

Download 11,41 Mb.
Pdf ko'rish