ESP dan foydalanishning ikkita usuli
ESP protokoli ikki usulda ishlatilishi mumkin: ochiq uzatish rejimi va tun
nel rejimi. Ochiq uzatish rejimida ESP sarlavhasi IP datagram sarlavhasid
an keyin paydo bo'ladi. Agar datagrammada allaqachon IPSec sarlavhasi b
o'lsa, ESP sarlavhasi ushbu sarlavha oldiga qo'yiladi. ESP chegarasi kaliti
va identifikatsiya ma'lumotlari, agar mavjud bo'lsa, ma'lumotlar maydonid
an keyin ko'rsatiladi.
Ochiq uzatish rejimida IP sarlavhasi aniqlanmaydi yoki shifrlanmaydi. Bu
nday holda, tarmoq orqali datagram uzatilayotganda sarlavhada ko'rsatilga
n manzillar ushlanishi mumkin. Ochiq rejimda aloqa tunnel rejimiga qara
ganda kamroq resurslarni talab qiladi. Biroq, bu rejim pastroq himoya dar
ajasini ta'minlaydi. Ko'pgina hollarda, ESP protokoli bilan ishlashda ochiq
uzatish rejimi qo'llaniladi.
Tunnel rejimida yangi IP sarlavhasi yaratiladi va datagramning eng
tashqi sarlavhasiga aylanadi. Shundan so'ng ESP sarlavhasi, so'ngra
datagrammaning o'zi (IP sarlavhasi va ma'lumotlar). ESP treyleri v
a identifikatsiya ma'lumotlari, agar mavjud bo'lsa, ma'lumotlar ma
ydonining oxiriga qo'shiladi. Agar shifrlash va autentifikatsiya bir v
aqtning o'zida ishlatilsa, ESP original datagramni to'liq himoya qila
di, chunki datagram yangi ESP paketidagi ma'lumotlar maydoniga
aylanadi. Yangi IP sarlavhasi himoyalanmagan. Shlyuzlar orasidagi
aloqani o'rnatishda ESP tunnel rejimida ishlatilishi kerak.
ESP tomonidan qo'llaniladigan axborot xavfsizligi algor
itmi
ESP protokoli simmetrik kalitdan foydalanadi, uning yordamida ma'lu
motlar oxirgi tizimlar tomonidan shifrlanadi va shifrlanadi. Ma'lumot al
mashishdan oldin jo'natuvchi va oluvchi foydalanadigan kalitni kelishib
olishlari kerak. VPN funktsiyasi DES, uchlik DES (3DES), AES, AES-
CBC va AES-CTR shifrlash usullarini qo'llab-quvvatlaydi .AES shifrla
sh algoritmidan foydalanganda kengaytirilgan tartib raqamini (ESN) yo
qishingiz mumkin. ESN katta hajmdagi ma'lumotlarni yuqori tezlikda u
zatish imkonini beradi. VPN ulanishi IPSec orqali 32 bitli raqamlar o'rn
iga 64 bitli tartib raqamlaridan foydalanadi. 64 bitli ketma-ketlik raqam
laridan foydalanish kalit o'zgarishi sodir bo'lgunga qadar vaqtni oshirad
i, bu tartib raqamlari pulining tugashini oldini oladi va tizim resurslari s
arfini kamaytiradi.
I
Internet Engineering Task Force (IETF) quyidagi RFClarda algoritmlarni rasmiy ravishda b
elgilaydi:
RFC 1829 da DES, ESP DES-CBC Transform
RFC 1851 da 3DES, ESP Triple DES Transform
RFC 3602 da AES-CBC, AES-CBC shifrlash algoritmi va uning IPsec bilan ishlatilishi
RFC 3686 da AES-CTR, IPSec Encapsulating Security Payload (ESP) bilan Kengaytirilgan
shifrlash standarti (AES) hisoblagich rejimidan foydalanish
ESP identifikatsiya funktsiyalarini ta'minlash uchun HMAC-MD5, HMAC-SHA, HMAC-S
HA-256 , HMAC-SHA-384, HMAC-SHA-512 va AES-XCBC-MAC algoritmlaridan foyda
lanadi. Har bir algoritm kirish sifatida o'zgaruvchan uzunlikdagi ma'lumotlarni va shaxsiy k
alitni oladi va ularni qattiq uzunlikdagi ma'lumotlarni (MAC qiymati yoki xesh funktsiyasi)
yaratish uchun ishlatadi. Agar ikkita xabar uchun hisoblangan xesh qiymatlari bir xil bo'lsa,
xabarlar bir xil bo'lish ehtimoli katta.RFC 2085 da HMAC-MD5, HMAC-MD5 IP autentifi
katsiyasi takror o'ynashni oldini olish bilan .
RFC 2404 da HMAC-SHA, ESP va AH ichida HMAC-SHA-1-96 dan foydalanish
RFC 4868 da HMAC-SHA_256 , HMAC-SHA-384 va HMAC-SHA-512, IPsec bilan HM
AC-SHA-256, HMAC-SHA-384 va HMAC-SHA-512 dan foydalanish
RFC 3566 da AES-XCBC-MAC, AES-XCBC-MAC-96 algoritmi va uning IPsec bilan ishla
tilishi
RFC 4309 da AES-CCM, IPSec Encapsulating Security Payload (ESP) bilan
Kengaytirilgan shifrlash standarti (AES) CCM rejimidan foydalanish
RFC 4106 da AES-GCM, IPSec Incapsulating Security Payload (ESP) da G
alios/Counter Mode (GCM) dan foydalanish
ESP identifikatsiyalash uchun AES-GMAC (Galios xabar autentifikatsiya ko
di) dan foydalanadi, lekin shifrlash uchun emas.
RFC 4543 da AES-GMAC, IPSec ESP va AH da Galios xabari autentifikatsi
ya kodidan (GMAC) foydalanish.
Ma‘lumotlarning butunligi va autentligini ta‘minlash uchun (AH va ESP pro
tokollarida) shifrlashning bir turidan foydalaniladi. Bir tomonlama shifrlovc
hi funksiya (One way function), xesh funksiya (Hash function) deb ham yuri
tiladi, yoki dayjest – funksiya (Digest Function). Ma‘lumotlarni bu funksiya
yordami bilan shifrlaganda katta bo‘lmagan chegaralangan baytlardan iborat
dayjest qiymat qaytaradi. Ayni vaqtda AH va ESP protokoll
HMAC (Keyed- Hashing for Message Authentication Code) algo
ritmi RFC 2104 standartida aniqlangan. MD5 (Message Digest v
ersion 5, RFC 1321 standarti) va SHA-1 (Secure Hash Algorith v
ersion 1, standart FIPS 180-1) funksiyalari umumiy maxfiy kalitl
i xesh funksiyalar hisoblanadi. IPSec quyidagi himoya funksiyal
arini ta‘minlaydi:
autentifikatsiya;
ma‘lumotlar butunligi;
konfidensiallik;
kalitlarni ishonchli boshqarish;
tunnellashtirish.
Sarlavhani autentifikatsiyalaydigan AH protokoli autentlik tekshiruvini va IP
paketlar butunligin ta‘minlaydi. AH protokoli qabul qiluvchi quyidagilarga i
shonch hosil qilishiga imkon beradi:
paket aynan kerakli, ya‘ni joriy ulanish o‘rnatilgan tomondan uzatilgan;
paket ma‘lumotlari tarmoq orqali uzatish vaqtida hech qanday buzilishlarg
a uchramagan;
paket oldinroq qabul qilingan biror–bir paketning dublikati emas.
Ammo, seans darajasida yuqori darajali protokollar amalga oshiradigan dast
urlar bilan bevosita bo‘gliqligi boshlanadi. Shuning uchun ushbu darajaga te
gishli ma‘lumot almashinuvi himoya protokollarini tashkil etish, odatda yuq
ori darajalardagi tarmoq dasturlariga o‘zgartirishlar kiritishni talab qiladi. SS
arlavhani autentifikatsiyalaydigan AH protokoli autentlik tekshiruvini va IP
paketlar butunligin ta‘minlaydi. AH protokoli qabul qiluvchi quyidagilarga i
shonch hosil qilishiga imkon beradi:
SSL protokoli keng ko‘lamda qo‘llaniladi. SSL (Secure Socket Layer
– himoyalangan soketlar protokollari) protokoli Netscape Communic
ations tashkiloti tomonidan va RSA Data Security tashkiloti hamkorli
gida mijoz/server dasturlarida himoyalangan ma‘lumot almashinuvini
tashkil etish uchun ishlab chiqarilgan. SSL protokolining yadrosini as
simmetrik va simmetrik kriptosistema texnologiyalarining kompleks i
shlatilishi tashkil qiladi. SSL protokolida ikkala tomon autentifikatsiy
asi foydalanuvchilarning (mijoz va server) maxsus sertifikatlash mark
azlari tomonidan raqamli imzolar bilan tasdiqlangan ochiq kalitlar ser
tifikatlari almashinuvi yo‘li bilan bajariladi. Serverning SSL autentifi
katsiyasi mijozga serverning haqiqiyligini tekshirish imkonini beradi.
SSL-sessiyasi o‘rnatilganda quyidagi masalalar yechiladi:
tomonlar autentifikatsiyasi;
tomonlarning himoyalangan ma‘lum
ot almashinuvida ishlatiladigan kript
ografik algoritmlar va siqish algorit
mlari mosligi va kelishuvi;
umumiy maxfiy maxsus kalitni tash
killashtirish;
umumiy maxfiy maxsus kalit asosid
a ma‘lumot almashinuvining kripto
himoyasi uchun umumiy maxfiy sea
ns kalitlarni generatsiyalash.
Foydalanilgan adabiyotlar va web saytlar:
1.Qaxxorov A.A. Tarmoqlami rejalashtirish va qurish. O'quv qo' llan
ma. - T.: Noshir, 2012, 224 b.
2.Zilker B.Ya. Kompyuterlar va tizimlarni tashkillashtirish: universite
tlar uchun darslik / S.A. Orlov, B.Ya. Zilker. - Sankt-Peterburg: Peter,
2011 .-- 688 p.
3.Таненбаум A. (A. Tanenbaum). Архитектура компьютера (Struct
ured Computer Organization) Учебник. - С.Пб.: Питер, 2007. -844
с.
4.https://www.coursehero.com/file/29636166/14docx/
5.https://www.coursehero.com/file/29636166/14docx/
ETIBORINGIZ UCHUN
RAHMAT !
KI 21-04 guruh talabasi
Nasilloyev Nozim
|