|
ESP dan foydalanishning ikkita usuli
|
bet | 2/3 | Sana | 18.05.2024 | Hajmi | 0,57 Mb. | | #242820 |
Bog'liq Tarmoq xavfsizligi Mustaqil ishESP dan foydalanishning ikkita usuli
ESP protokoli ikki usulda ishlatilishi mumkin: ochiq uzatish rejimi va tunnel rejimi. Ochiq uzatish rejimida ESP sarlavhasi IP datagram sarlavhasidan keyin paydo bo'ladi. Agar datagrammada allaqachon IPSec sarlavhasi bo'lsa, ESP sarlavhasi ushbu sarlavha oldiga qo'yiladi. ESP chegarasi kaliti va identifikatsiya ma'lumotlari, agar mavjud bo'lsa, ma'lumotlar maydonidan keyin ko'rsatiladi.
Ochiq uzatish rejimida IP sarlavhasi aniqlanmaydi yoki shifrlanmaydi. Bunday holda, tarmoq orqali datagram uzatilayotganda sarlavhada ko'rsatilgan manzillar ushlanishi mumkin. Ochiq rejimda aloqa tunnel rejimiga qaraganda kamroq resurslarni talab qiladi. Biroq, bu rejim pastroq himoya darajasini ta'minlaydi. Ko'pgina hollarda, ESP protokoli bilan ishlashda ochiq uzatish rejimi qo'llaniladi.
Tunnel rejimida yangi IP sarlavhasi yaratiladi va datagramning eng tashqi sarlavhasiga aylanadi. Shundan so'ng ESP sarlavhasi, so'ngra datagrammaning o'zi (IP sarlavhasi va ma'lumotlar). ESP treyleri va identifikatsiya ma'lumotlari, agar mavjud bo'lsa, ma'lumotlar maydonining oxiriga qo'shiladi. Agar shifrlash va autentifikatsiya bir vaqtning o'zida ishlatilsa, ESP original datagramni to'liq himoya qiladi, chunki datagram yangi ESP paketidagi ma'lumotlar maydoniga aylanadi. Yangi IP sarlavhasi himoyalanmagan. Shlyuzlar orasidagi aloqani o'rnatishda ESP tunnel rejimida ishlatilishi kerak.
ESP tomonidan qo'llaniladigan axborot xavfsizligi algoritmi
ESP protokoli simmetrik kalitdan foydalanadi, uning yordamida ma'lumotlar oxirgi tizimlar tomonidan shifrlanadi va shifrlanadi. Ma'lumot almashishdan oldin jo'natuvchi va oluvchi foydalanadigan kalitni kelishib olishlari kerak. VPN funktsiyasi DES, uchlik DES (3DES), AES, AES-CBC va AES-CTR shifrlash usullarini qo'llab-quvvatlaydi .
AES shifrlash algoritmidan foydalanganda kengaytirilgan tartib raqamini (ESN) yoqishingiz mumkin. ESN katta hajmdagi ma'lumotlarni yuqori tezlikda uzatish imkonini beradi. VPN ulanishi IPSec orqali 32 bitli raqamlar o'rniga 64 bitli tartib raqamlaridan foydalanadi. 64 bitli ketma-ketlik raqamlaridan foydalanish kalit o'zgarishi sodir bo'lgunga qadar vaqtni oshiradi, bu tartib raqamlari pulining tugashini oldini oladi va tizim resurslari sarfini kamaytiradi.
Internet Engineering Task Force (IETF) quyidagi RFClarda algoritmlarni rasmiy ravishda belgilaydi:
RFC 1829 da DES, ESP DES-CBC Transform
RFC 1851 da 3DES, ESP Triple DES Transform
RFC 3602 da AES-CBC, AES-CBC shifrlash algoritmi va uning IPsec bilan ishlatilishi
RFC 3686 da AES-CTR, IPSec Encapsulating Security Payload (ESP) bilan Kengaytirilgan shifrlash standarti (AES) hisoblagich rejimidan foydalanish
ESP identifikatsiya funktsiyalarini ta'minlash uchun HMAC-MD5, HMAC-SHA, HMAC-SHA-256 , HMAC-SHA-384, HMAC-SHA-512 va AES-XCBC-MAC algoritmlaridan foydalanadi. Har bir algoritm kirish sifatida o'zgaruvchan uzunlikdagi ma'lumotlarni va shaxsiy kalitni oladi va ularni qattiq uzunlikdagi ma'lumotlarni (MAC qiymati yoki xesh funktsiyasi) yaratish uchun ishlatadi. Agar ikkita xabar uchun hisoblangan xesh qiymatlari bir xil bo'lsa, xabarlar bir xil bo'lish ehtimoli katta.
Internet Engineering Task Force (IETF) quyidagi RFClarda algoritmlarni rasmiy ravishda belgilaydi:
RFC 2085 da HMAC-MD5, HMAC-MD5 IP autentifikatsiyasi takror o'ynashni oldini olish bilan .
RFC 2404 da HMAC-SHA, ESP va AH ichida HMAC-SHA-1-96 dan foydalanish
RFC 4868 da HMAC-SHA_256 , HMAC-SHA-384 va HMAC-SHA-512, IPsec bilan HMAC-SHA-256, HMAC-SHA-384 va HMAC-SHA-512 dan foydalanish
RFC 3566 da AES-XCBC-MAC, AES-XCBC-MAC-96 algoritmi va uning IPsec bilan ishlatilishi
Ushbu RFClarni Internetda quyidagi veb-saytda topish mumkin: http://www.rfc-editor.org.
ESP shifrlash va autentifikatsiyani ta'minlash uchun AES-CCM va AES-GCM dan foydalanadi. Agar "birlashtirilgan" algoritmlardan biri tanlangan bo'lsa, identifikatsiya algoritmini tanlab bo'lmaydi.
RFC 4309 da AES-CCM, IPSec Encapsulating Security Payload (ESP) bilan Kengaytirilgan shifrlash standarti (AES) CCM rejimidan foydalanish
RFC 4106 da AES-GCM, IPSec Incapsulating Security Payload (ESP) da Galios/Counter Mode (GCM) dan foydalanish
ESP identifikatsiyalash uchun AES-GMAC (Galios xabar autentifikatsiya kodi) dan foydalanadi, lekin shifrlash uchun emas.
RFC 4543 da AES-GMAC, IPSec ESP va AH da Galios xabari autentifikatsiya kodidan (GMAC) foydalanish.
Ma‘lumotlarning butunligi va autentligini ta‘minlash uchun (AH va ESP protokollarida) shifrlashning bir turidan foydalaniladi. Bir tomonlama shifrlovchi funksiya (One way function), xesh funksiya (Hash function) deb ham yuritiladi, yoki dayjest – funksiya (Digest Function). Ma‘lumotlarni bu funksiya yordami bilan shifrlaganda katta bo‘lmagan chegaralangan baytlardan iborat dayjest qiymat qaytaradi. Ayni vaqtda AH va ESP protokollari uchun ikkita autentifikatsiyalash algoritmlari HMAC-MD5 va HMAC-SHA-1 qabul qilingan. HMAC (Keyed- Hashing for Message Authentication Code) algoritmi RFC 2104 standartida aniqlangan. MD5 (Message Digest version 5, RFC 1321 standarti) va SHA-1 (Secure Hash Algorith version 1, standart FIPS 180-1) funksiyalari umumiy maxfiy kalitli xesh funksiyalar hisoblanadi. IPSec quyidagi himoya funksiyalarini ta‘minlaydi:
autentifikatsiya;
ma‘lumotlar butunligi;
konfidensiallik;
kalitlarni ishonchli boshqarish;
tunnellashtirish.
Sarlavhani autentifikatsiyalaydigan AH protokoli autentlik tekshiruvini va IP paketlar butunligin ta‘minlaydi. AH protokoli qabul qiluvchi quyidagilarga ishonch hosil qilishiga imkon beradi:
paket aynan kerakli, ya‘ni joriy ulanish o‘rnatilgan tomondan uzatilgan;
paket ma‘lumotlari tarmoq orqali uzatish vaqtida hech qanday buzilishlarga uchramagan;
paket oldinroq qabul qilingan biror–bir paketning dublikati emas.
Ammo, seans darajasida yuqori darajali protokollar amalga oshiradigan dasturlar bilan bevosita bo‘gliqligi boshlanadi. Shuning uchun ushbu darajaga tegishli ma‘lumot almashinuvi himoya protokollarini tashkil etish, odatda yuqori darajalardagi tarmoq dasturlariga o‘zgartirishlar kiritishni talab qiladi. Seans darajasidagi ma‘lumot almashinuvi himoyasi uchun SSL protokoli keng ko‘lamda qo‘llaniladi. SSL (Secure Socket Layer – himoyalangan soketlar protokollari) protokoli Netscape Communications tashkiloti tomonidan va RSA Data Security tashkiloti hamkorligida mijoz/server dasturlarida himoyalangan ma‘lumot almashinuvini tashkil etish uchun ishlab chiqarilgan. SSL protokolining yadrosini assimmetrik va simmetrik kriptosistema texnologiyalarining kompleks ishlatilishi tashkil qiladi. SSL protokolida ikkala tomon autentifikatsiyasi foydalanuvchilarning (mijoz va server) maxsus sertifikatlash markazlari tomonidan raqamli imzolar bilan tasdiqlangan ochiq kalitlar sertifikatlari almashinuvi yo‘li bilan bajariladi. Serverning SSL autentifikatsiyasi mijozga serverning haqiqiyligini tekshirish imkonini beradi. SSL-sessiyasi o‘rnatilganda quyidagi masalalar yechiladi:
tomonlar autentifikatsiyasi;
tomonlarning himoyalangan ma‘lumot almashinuvida ishlatiladigan kriptografik algoritmlar va siqish algoritmlari mosligi va kelishuvi;
umumiy maxfiy maxsus kalitni tashkillashtirish;
umumiy maxfiy maxsus kalit asosida ma‘lumot almashinuvining kripto himoyasi uchun umumiy maxfiy seans kalitlarni generatsiyalash.
Xulosa
ESP protokoli ma'lumotlarning maxfiyligini (shifrlash) va autentifikatsiyani (ma'lumotlarning yaxlitligi, ma'lumotlarning kelib chiqishi autentifikatsiyasi va takroriy himoya) ta'minlaydi. ESP dan faqat maxfiylik, faqat autentifikatsiya yoki maxfiylik va autentifikatsiya bilan foydalanish mumkin. ESP autentifikatsiya funksiyalarini taqdim qilganda, u AH bilan bir xil algoritmlardan foydalanadi, ammo qamrovi boshqacha. AH uslubidagi autentifikatsiya butun IP-paketni, shu jumladan tashqi IP sarlavhasini autentifikatsiya qiladi, ESP autentifikatsiya mexanizmi esa IP-paketning faqat IP-datagramma qismini autentifikatsiya qiladi.
IP-paketni himoya qilish uchun ikkala protokol ham bir xil IP-paketga birgalikda qo'llanilishi mumkin. IPSec protokolini tanlash o'rnatishingizning xavfsizlik ehtiyojlari bilan belgilanadi va administrator tomonidan sozlanadi. U butun tizim bo'ylab qo'llanilishi shart emas va ulanishning so'nggi nuqtalarining har bir to'plami uchun boshqacha tarzda sozlanishi mumkin. Dinamik tunnel uchun IPSec protokoli tanlovi IP xavfsizlik siyosati konfiguratsiya faylidagi IpDataOffer bayonoti yordamida sozlanadi. Qo'lda tunnel uchun IPSec protokolini tanlash IP xavfsizlik siyosati konfiguratsiya faylidagi IpManVpnAction bayonoti yordamida sozlanadi. IpDataOffer bayonoti va IpManVpnAction bayonoti haqida batafsil ma'lumot olish uchun z/OS Communications Server: IP Configuration Reference ga qarang .
Shuni ta’kidlab o’tish kerakki, ma’lumotlar xavfsizligi tushunchasi yana bir talabni o’z ichiga oladi - bu ma’lumotlar mavjudligi . Bu ma’lumotlar uzatilishi va yetib kelishnini kafolatlaydi. IPSec protokllari bu vazifa bilan shug’ullanmaydi, va uni transport darajasi TCP protokoliga qoldiradi. Shuning uchun odatda TCP va IP protokollari birgalikda TCP/IP protokollari deb yuritiladi.
|
| |