Topshiriq
13.6-rasmda keltirilgan tarmoq topologiyasini Cisco Packet
Tracer dasturida tuzing;
Qurilmalarga berilgan tarmoqlar bo’yicha manzil bering;
TATU Nukus filiali va TATU SF tarmoqlarini o’zaro vpn
yordamida ulang;
Qurilgan topologiyani testlab ko’ring.
13.6-rasm. Tarmoq topologiyasi
Nazorat savollari
1. VPN tarmoq nima?
2. VPN ning ishlash tamoyilini tushuntirib bering?
3. VPN qurishda qanday protokollardan foydalaniladi?
4. VPN texnologiyasining afzalliklari va kamchiliklari?
166
14-LABORATORIYA ISHI
SSTP, PPTP, L2TP VA IKEV2 PROTOKOLLARINI
OʻRGANISH
Ishdan maqsad: SSTP, PPTP, L2TP va IKEv2 protokollarini
tadqiq etishda nazariy bilimlar va amaliy koʻnikmalarni shakllantirish.
Nazariy qism
Oldingi mavzuda VPN tushunchasi, ushbu texnologiya hal
qiladigan muammolar, uning afzalliklari va kamchiliklari va uni
qanday sozlash haqida keltirilgan edi. Ushbu mavzu VPN
texnologiyasini
tunnellash
uchun
ishlatiladigan
protokollarga
qaratilgan.
Shuni ta'kidlash kerakki, VPN ulanishidan foydalanib, barcha
trafikni dunyoning boshqa joylarida joylashgan server orqali xavfsiz
boshqarish mumkin. Bu lokal tarmoq kuzatuvi va xakerlik
urinishlaridan himoya qiladi va hatto Internet protokolining haqiqiy
manzilini veb-saytlar va xizmatlardan yashiradi. Shifrlash darajasi har
xil boʻlgan turli xil VPN texnologiyalari mavjud. Masalan, "Nuqtadan
nuqtaga tunnel protokoli" (PPTP) tez, ammo xavfsizligi SSL / TLS
(Secure Sockets Layer / Transport Layer Security) dan foydalanadigan
IPSec yoki OpenVPN kabi boshqa protokollarga qaraganda ancha
past. Bundan tashqari, TLSga asoslangan VPNdan foydalanishda
shifrlash algoritmining turi va kalit uzunligi ham muhimdir.
VPNning asosiy maqsadi - jismoniy xususiy tarmoqqa bevosita
ulanmasdan xususiy tarmoqqa xavfsiz kirishni ta'minlash. Shu tarzda,
VPN shaxsiy tarmoqdagi barcha xizmatlarni kengaytiradi, goʻyo
qurilmalar toʻgʻridan-toʻgʻri xususiy tarmoqqa ulangan kabi.
Korparativ IT mutaxassislari fayl serverlari, bosma serverlar, internet
veb-saytlari, ERP tizimlari, zaxira serverlari va boshqalar kabi
xizmatlarni taqdim etishlari mumkin. Ushbu xizmatlar faqat ichki
foydalanish uchun moʻljallangan, ammo VPN yordamida xodim
jismoniy joylashuvi bilan cheklanmaydi va har qanday geografik
joylashuvdan ichki IT-tarmoqqa ulanishga ega boʻlishi mumkin.
Xuddi shu xususiy tarmoq IP-telefoniya yoki qurilmani boshqarish
kabi Internetga ulangan qurilmalar uchun ixtisoslashgan xizmatlarni
taqdim etishi mumkin. Ushbu qurilmalarni shaxsiy tarmoq orqali
167
ixtisoslashgan xizmatlarni taqdim etadigan hisoblash infratuzilmasiga
xavfsiz ravishda ulash uchun VPNdan foydalanish mumkin. VPN har
xil qurilmalar tomonidan yuborilgan va olingan ma'lumotlarni xavfsiz
uzatish uchun ajoyib yechim boʻlib, ular Narsalar Internetining (IoT)
kengayib borayotgan maydonini oʻz ichiga oladi. Shuningdek, VPNlar
bilan bogʻliq xavfsizlik muammolari mavjudligini ham aytib oʻtish
kerak. Bunga masodan turib ruxsatsiz vpn mijoz sifatida ulanish, VPN
aloqani oʻgʻirlash, oʻrtada turgan odam hujumi kabi muammolar
boʻlib,
bu
muammolarning
kelib
chiqishiga
asosiy
sabab
foydalanuvchilarning autentifikatsiyasining zaifligi, internetga xavfsiz
boʻlmagan ulanish mijoz kompyuterida zararli dasturlarni yuqtirish,
tarmoqqa juda koʻp kirish huquqlarini berish, kompyuterda xavfsiz
DNSdan emas, balki standart DNS-ulanishdan foydalangan holda
foydalanish kabilar kiradi.
Ushbu xavflarni kamaytirish uchun VPN mahsulotini tanlashda
qoʻshimcha xavfsizlik xususiyatlarini hisobga olish kerak. Bunga
quyidagi majburiy xavfsizlik xususiyatlari kiradi:
• kuchli autentifikatsiyani qoʻllab-quvvatashi;
• ishonchli shifrlash algoritmlarini qoʻllanilganligi;
• antivirus dasturidan foydalanish va hujumlarni aniqlash va
oldini olish vositalaridan foydalanishi.
• ma'muriy va texnik xizmat koʻrsatish portlari uchun ishonchli
standart himoya mavjud boʻlishi;
• raqamli sertifikatni qoʻllab-quvvatlashi;
• roʻyxatga olish va tekshirishni qoʻllab-quvvatlash;
• shaxsiy tarmoqdagi mijozlarga manzillarni tayinlash
qobiliyatining mavjudligi.
Bundan tashqari, tarmoq va xavfsizlik ma'murlari, texnik
qoʻllab-quvvatlash
xizmatining
xodimlari
va
masofaviy
foydalanuvchilar VPNni joylashtirish va doimiy foydalanish paytida
xavfsizlikning eng yaxshi ilgʻor tajribalariga amal qilishlari uchun
oʻqitilishi kerak.
VPN xavfsizligini yaxshilashning yana bir usuli - bu Perfect
Forward Secret (PFS)dan foydalanish. Agar PFS ishlatilsa, eski
saqlangan shifrlangan xabarlar va sessiyalar qabul qilinmaydi va uzoq
muddatli maxfiy kalitlar yoki parollar buzilgan boʻlsa, ularni parolini
ochib boʻlmaydi. PFS bilan har bir VPN seansi turli xil shifrlash
kalitlar birikmasidan foydalanadi, shuning uchun hujumchilar bitta
168
kalitni oʻgʻirlashsa ham, boshqa VPN sessiyalarining parolini
ololmaydilar.
VPNlarning toʻrtta asosiy turi mavjud:
• VPN-tarmoqlararo ekran ham tarmoqlararo ekran, ham VPN
imkoniyatlariga ega. Ushbu tur ichki tarmoqqa kirishni cheklash
uchun tarmoqlararo ekranlar tomonidan ta'minlangan himoyadan
foydalanadi
va
manzil
translatsiyasini,
foydalanuvchining
autentifikatsiyasini, signalizatsiya va jurnalga yozishni ta'minlaydi.
• Apparat VPN yuqori tarmoqli oʻtkazuvchanlikni ta'minlaydi
va ishlash va ishonchlilikni oshiradi, ammo qimmatga tushadi.
• Dasturiy VPN trafikni boshqarish nuqtai nazaridan
moslashuvchanlikni ta'minlaydi. Bu soʻnggi nuqtalar bir tomon
tomonidan boshqarilmaganda va turli xil tarmoqlararo ekranlar va
marshrutizator ishlatilganda yaxshi boʻladi.
• Secure Socket Layer (SSL) VPN foydalanuvchilarga veb-
brauzer yordamida VPN qurilmalariga ulanish imkonini beradi. SSL
veb-brauzer va VPN qurilmasi oʻrtasidagi trafikni shifrlash uchun
ishlatiladi.
VPN tunnel protokollari turli xil xususiyatlar va xavfsizlik
darajasini taklif qiladi va ularning har birining afzalliklari va
kamchiliklari mavjud. VPN tunnel hosil qilishning beshta asosiy
protokoli mavjud: Secure Socket Tunneling Protocol (SSTP), Point-to
Point Tunneling Protocol (PPTP), Two Layer Tunneling Protocol
(L2TP) va Internet Key Exchange version 2 (IKEv2).
• SSTP boshqa protokollarni bloklashi mumkin boʻlgan
tarmoqlararo ekran va veb-proksi-serverlar orqali trafikni uzatish
uchun HTTPS protokolidan foydalanadi. SSTP SSL kanali orqali
nuqta-nuqta protokoli (PPP) trafigini oʻtkazish mexanizmini taqdim
etadi (14.1-rasm). PPPdan foydalanish kuchli autentifikatsiya
usullarini qoʻllab-quvvatlashga imkon beradi, SSL esa transport
darajasidagi xavfsizlikni yaxshilangan kalitlar, shifrlash va yaxlitlikni
tekshirish bilan ta'minlaydi.
• PPTP koʻp protokolli trafikni shifrlash va soʻngra Internet
Protocol (IP) tarmogʻi orqali yuboriladigan sarlavha bilan oʻrashga
imkon beradi. PPTP masofaviy kirish va VPNga ulanish uchun
ishlatilishi mumkin (14.2-rasm). Internetdan foydalanganda, PPTP-
server - bu Internetda bitta interfeysga va korporativ intranetda
ikkinchi interfeysga ega boʻlgan PPTP yoqilgan VPN-server. PPTP
169
tunnel boshqarish uchun protokol ulanishidan foydalanadi va tunnel
qilingan ma'lumotlar uchun PPP kadrlarini olib oʻtish uchun umumiy
marshrutni inkassatsiya qiladi.
|