ESP dan foydalanishning ikkita usuli

talab qiladi. Biroq, bu rejim pastroq himoya darajasini ta'minlaydi. Ko'pgina hollarda,
ESP protokoli bilan ishlashda ochiq uzatish rejimi qo'llaniladi.
Tunnel rejimida yangi IP sarlavhasi yaratiladi va datagramning eng tashqi
sarlavhasiga aylanadi. Shundan so'ng ESP sarlavhasi, so'ngra datagrammaning o'zi (IP
sarlavhasi va ma'lumotlar). ESP treyleri va identifikatsiya ma'lumotlari, agar mavjud
bo'lsa, ma'lumotlar maydonining oxiriga qo'shiladi. Agar shifrlash va autentifikatsiya
bir vaqtning o'zida ishlatilsa, ESP original datagramni to'liq himoya qiladi, chunki
datagram yangi ESP paketidagi ma'lumotlar maydoniga aylanadi. Yangi IP sarlavhasi
himoyalanmagan. Shlyuzlar orasidagi aloqani o'rnatishda ESP tunnel rejimida
ishlatilishi kerak.
ESP tomonidan qo'llaniladigan axborot xavfsizligi algoritmi
ESP protokoli simmetrik kalitdan foydalanadi, uning yordamida ma'lumotlar
oxirgi tizimlar tomonidan shifrlanadi va shifrlanadi. Ma'lumot almashishdan oldin
jo'natuvchi va oluvchi foydalanadigan kalitni kelishib olishlari kerak. VPN funktsiyasi
DES, uchlik DES (3DES), AES, AES-CBC va AES-CTR shifrlash usullarini qo'llab-
quvvatlaydi .

AES shifrlash algoritmidan foydalanganda kengaytirilgan tartib raqamini (ESN)
yoqishingiz mumkin. ESN katta hajmdagi ma'lumotlarni yuqori tezlikda uzatish
imkonini beradi. VPN ulanishi IPSec orqali 32 bitli raqamlar o'rniga 64 bitli tartib
raqamlaridan foydalanadi. 64 bitli ketma-ketlik raqamlaridan foydalanish kalit
o'zgarishi sodir bo'lgunga qadar vaqtni oshiradi, bu tartib raqamlari pulining tugashini
oldini oladi va tizim resurslari sarfini kamaytiradi.
Internet Engineering Task Force (IETF) quyidagi RFClarda algoritmlarni rasmiy
ravishda belgilaydi:
RFC 1829 da DES, ESP DES-CBC Transform
RFC 1851 da 3DES, ESP Triple DES Transform
RFC 3602 da AES-CBC, AES-CBC shifrlash algoritmi va uning IPsec bilan
ishlatilishi
RFC 3686 da AES-CTR, IPSec Encapsulating Security Payload (ESP) bilan
Kengaytirilgan shifrlash standarti (AES) hisoblagich rejimidan foydalanish
ESP identifikatsiya funktsiyalarini ta'minlash uchun HMAC-MD5, HMAC-SHA,
HMAC-SHA-256 , HMAC-SHA-384, HMAC-SHA-512 va AES-XCBC-MAC
algoritmlaridan foydalanadi. Har bir algoritm kirish sifatida o'zgaruvchan uzunlikdagi

ma'lumotlarni va shaxsiy kalitni oladi va ularni qattiq uzunlikdagi ma'lumotlarni
(MAC qiymati yoki xesh funktsiyasi) yaratish uchun ishlatadi. Agar ikkita xabar
uchun hisoblangan xesh qiymatlari bir xil bo'lsa, xabarlar bir xil bo'lish ehtimoli katta.
Internet Engineering Task Force (IETF) quyidagi RFClarda algoritmlarni rasmiy
ravishda belgilaydi:
RFC 2085 da HMAC-MD5, HMAC-MD5 IP autentifikatsiyasi takror o'ynashni
oldini olish bilan .
RFC 2404 da HMAC-SHA, ESP va AH ichida HMAC-SHA-1-96 dan
foydalanish
RFC 4868 da HMAC-SHA_256 , HMAC-SHA-384 va HMAC-SHA-512, IPsec
bilan HMAC-SHA-256, HMAC-SHA-384 va HMAC-SHA-512 dan foydalanish
RFC 3566 da AES-XCBC-MAC, AES-XCBC-MAC-96 algoritmi va uning
IPsec bilan ishlatilishi
Ushbu RFClarni Internetda quyidagi veb-saytda topish mumkin: http://www.rfc-
editor.org.
ESP shifrlash va autentifikatsiyani ta'minlash uchun AES-CCM va AES-GCM
dan foydalanadi. Agar "birlashtirilgan" algoritmlardan biri tanlangan bo'lsa,
identifikatsiya algoritmini tanlab bo'lmaydi.

RFC 4309 da AES-CCM, IPSec Encapsulating Security Payload (ESP) bilan
Kengaytirilgan shifrlash standarti (AES) CCM rejimidan foydalanish
RFC 4106 da AES-GCM, IPSec Incapsulating Security Payload (ESP) da
Galios/Counter Mode (GCM) dan foydalanish
ESP identifikatsiyalash uchun AES-GMAC (Galios xabar autentifikatsiya kodi)
dan foydalanadi, lekin shifrlash uchun emas.
RFC 4543 da AES-GMAC, IPSec ESP va AH da Galios xabari autentifikatsiya
kodidan (GMAC) foydalanish.
Ma‘lumotlarning butunligi va autentligini ta‘minlash uchun (AH va ESP
protokollarida) shifrlashning bir turidan foydalaniladi. Bir tomonlama shifrlovchi
funksiya (One way function), xesh funksiya (Hash function) deb ham yuritiladi, yoki
dayjest – funksiya (Digest Function). Ma‘lumotlarni bu funksiya yordami bilan
shifrlaganda katta bo‘lmagan chegaralangan baytlardan iborat dayjest qiymat qaytaradi.
Ayni vaqtda AH va ESP protokollari uchun ikkita autentifikatsiyalash algoritmlari
HMAC-MD5 va HMAC-SHA-1 qabul qilingan. HMAC (Keyed- Hashing for Message
Authentication Code) algoritmi RFC 2104 standartida aniqlangan. MD5 (Message
Digest version 5, RFC 1321 standarti) va SHA-1 (Secure Hash Algorith version 1,
standart FIPS 180-1) funksiyalari umumiy maxfiy kalitli xesh funksiyalar hisoblanadi.
IPSec quyidagi himoya funksiyalarini ta‘minlaydi:

autentifikatsiya;

ma‘lumotlar butunligi;

konfidensiallik;

kalitlarni ishonchli boshqarish;

tunnellashtirish.
Sarlavhani autentifikatsiyalaydigan AH protokoli autentlik tekshiruvini va IP paketlar
butunligin ta‘minlaydi. AH protokoli qabul qiluvchi quyidagilarga ishonch hosil
qilishiga imkon beradi:


paket aynan kerakli, ya‘ni joriy ulanish o‘rnatilgan tomondan uzatilgan;

paket ma‘lumotlari tarmoq orqali uzatish vaqtida hech qanday buzilishlarga
uchramagan;

paket oldinroq qabul qilingan biror–bir paketning dublikati emas.
Ammo, seans darajasida yuqori darajali protokollar amalga oshiradigan dasturlar
bilan bevosita bo‘gliqligi boshlanadi. Shuning uchun ushbu darajaga tegishli ma‘lumot
almashinuvi himoya protokollarini tashkil etish, odatda yuqori darajalardagi tarmoq
dasturlariga o‘zgartirishlar kiritishni talab qiladi. Seans darajasidagi ma‘lumot
almashinuvi himoyasi uchun SSL protokoli keng ko‘lamda qo‘llaniladi. SSL (Secure
Socket Layer – himoyalangan soketlar protokollari) protokoli Netscape
Communications tashkiloti tomonidan va RSA Data Security tashkiloti hamkorligida
mijoz/server dasturlarida himoyalangan ma‘lumot almashinuvini tashkil etish uchun
ishlab chiqarilgan. SSL protokolining yadrosini assimmetrik va simmetrik
kriptosistema texnologiyalarining kompleks ishlatilishi tashkil qiladi. SSL protokolida
ikkala tomon autentifikatsiyasi foydalanuvchilarning (mijoz va server) maxsus
sertifikatlash markazlari tomonidan raqamli imzolar bilan tasdiqlangan ochiq kalitlar
sertifikatlari almashinuvi yo‘li bilan bajariladi. Serverning SSL autentifikatsiyasi
mijozga serverning haqiqiyligini tekshirish imkonini beradi. SSL-sessiyasi
o‘rnatilganda quyidagi masalalar yechiladi:

tomonlar autentifikatsiyasi;

tomonlarning himoyalangan ma‘lumot almashinuvida ishlatiladigan kriptografik
algoritmlar va siqish algoritmlari mosligi va kelishuvi;

umumiy maxfiy maxsus kalitni tashkillashtirish;

umumiy maxfiy maxsus kalit asosida ma‘lumot almashinuvining kripto
himoyasi uchun umumiy maxfiy seans kalitlarni generatsiyalash.

Xulosa
ESP protokoli ma'lumotlarning maxfiyligini (shifrlash) va autentifikatsiyani
(ma'lumotlarning yaxlitligi, ma'lumotlarning kelib chiqishi autentifikatsiyasi va
takroriy himoya) ta'minlaydi. ESP dan faqat maxfiylik, faqat autentifikatsiya yoki
maxfiylik va autentifikatsiya bilan foydalanish mumkin. ESP autentifikatsiya
funksiyalarini taqdim qilganda, u AH bilan bir xil algoritmlardan foydalanadi, ammo
qamrovi boshqacha. AH uslubidagi autentifikatsiya butun IP-paketni, shu jumladan
tashqi IP sarlavhasini autentifikatsiya qiladi, ESP autentifikatsiya mexanizmi esa IP-
paketning faqat IP-datagramma qismini autentifikatsiya qiladi.
IP-paketni himoya qilish uchun ikkala protokol ham bir xil IP-paketga
birgalikda qo'llanilishi mumkin. IPSec protokolini tanlash o'rnatishingizning xavfsizlik
ehtiyojlari bilan belgilanadi va administrator tomonidan sozlanadi. U butun tizim
bo'ylab qo'llanilishi shart emas va ulanishning so'nggi nuqtalarining har bir to'plami
uchun boshqacha tarzda sozlanishi mumkin. Dinamik tunnel uchun IPSec protokoli
tanlovi IP xavfsizlik siyosati konfiguratsiya faylidagi IpDataOffer bayonoti yordamida
sozlanadi. Qo'lda tunnel uchun IPSec protokolini tanlash IP xavfsizlik siyosati
konfiguratsiya faylidagi IpManVpnAction bayonoti yordamida sozlanadi.
IpDataOffer
bayonoti
va
IpManVpnAction bayonoti
haqida batafsil ma'lumot olish uchun
z/OS
Communications Server: IP Configuration Reference ga
qarang .
Shuni ta’kidlab o’tish kerakki, ma’lumotlar xavfsizligi tushunchasi yana bir
talabni o’z ichiga oladi - bu ma’lumotlar mavjudligi . Bu ma’lumotlar uzatilishi va
yetib kelishnini kafolatlaydi. IPSec protokllari bu vazifa bilan shug’ullanmaydi, va uni
transport darajasi TCP protokoliga qoldiradi. Shuning uchun odatda TCP va IP
protokollari birgalikda TCP/IP protokollari deb yuritiladi.

Download 312,26 Kb.