• Tunnel rejimida yangi IP sarlavhasi yaratiladi va datagramning eng tashqi sarlavhasiga aylanadi. Shundan song ESP sarlavhasi, songra
  • KI 21-04 guruh talabasi Nasilloyev Nozim
  • ESP dan foydalanishning ikkita usuli




    Download 1,84 Mb.
    Pdf ko'rish
    bet2/2
    Sana29.05.2024
    Hajmi1,84 Mb.
    #256523
    1   2
    Bog'liq
    tarmoq xavsizligi

    ESP dan foydalanishning ikkita usuli
    ESP protokoli ikki usulda ishlatilishi mumkin: ochiq uzatish rejimi va tun
    nel rejimi. Ochiq uzatish rejimida ESP sarlavhasi IP datagram sarlavhasid
    an keyin paydo bo'ladi. Agar datagrammada allaqachon IPSec sarlavhasi b
    o'lsa, ESP sarlavhasi ushbu sarlavha oldiga qo'yiladi. ESP chegarasi kaliti 
    va identifikatsiya ma'lumotlari, agar mavjud bo'lsa, ma'lumotlar maydonid
    an keyin ko'rsatiladi.
    Ochiq uzatish rejimida IP sarlavhasi aniqlanmaydi yoki shifrlanmaydi. Bu
    nday holda, tarmoq orqali datagram uzatilayotganda sarlavhada ko'rsatilga
    n manzillar ushlanishi mumkin. Ochiq rejimda aloqa tunnel rejimiga qara
    ganda kamroq resurslarni talab qiladi. Biroq, bu rejim pastroq himoya dar
    ajasini ta'minlaydi. Ko'pgina hollarda, ESP protokoli bilan ishlashda ochiq 
    uzatish rejimi qo'llaniladi.



    Tunnel rejimida yangi IP sarlavhasi yaratiladi va datagramning eng 
    tashqi sarlavhasiga aylanadi. Shundan so'ng ESP sarlavhasi, so'ngra 
    datagrammaning o'zi (IP sarlavhasi va ma'lumotlar). ESP treyleri v
    a identifikatsiya ma'lumotlari, agar mavjud bo'lsa, ma'lumotlar ma
    ydonining oxiriga qo'shiladi. Agar shifrlash va autentifikatsiya bir v
    aqtning o'zida ishlatilsa, ESP original datagramni to'liq himoya qila
    di, chunki datagram yangi ESP paketidagi ma'lumotlar maydoniga 
    aylanadi. Yangi IP sarlavhasi himoyalanmagan. Shlyuzlar orasidagi 
    aloqani o'rnatishda ESP tunnel rejimida ishlatilishi kerak.


    ESP tomonidan qo'llaniladigan axborot xavfsizligi algor
    itmi
    ESP protokoli simmetrik kalitdan foydalanadi, uning yordamida ma'lu
    motlar oxirgi tizimlar tomonidan shifrlanadi va shifrlanadi. Ma'lumot al
    mashishdan oldin jo'natuvchi va oluvchi foydalanadigan kalitni kelishib 
    olishlari kerak. VPN funktsiyasi DES, uchlik DES (3DES), AES, AES-
    CBC va AES-CTR shifrlash usullarini qo'llab-quvvatlaydi .AES shifrla
    sh algoritmidan foydalanganda kengaytirilgan tartib raqamini (ESN) yo
    qishingiz mumkin. ESN katta hajmdagi ma'lumotlarni yuqori tezlikda u
    zatish imkonini beradi. VPN ulanishi IPSec orqali 32 bitli raqamlar o'rn
    iga 64 bitli tartib raqamlaridan foydalanadi. 64 bitli ketma-ketlik raqam
    laridan foydalanish kalit o'zgarishi sodir bo'lgunga qadar vaqtni oshirad
    i, bu tartib raqamlari pulining tugashini oldini oladi va tizim resurslari s
    arfini kamaytiradi.


    I


    Internet Engineering Task Force (IETF) quyidagi RFClarda algoritmlarni rasmiy ravishda b
    elgilaydi:
    RFC 1829 da DES, ESP DES-CBC Transform
    RFC 1851 da 3DES, ESP Triple DES Transform
    RFC 3602 da AES-CBC, AES-CBC shifrlash algoritmi va uning IPsec bilan ishlatilishi
    RFC 3686 da AES-CTR, IPSec Encapsulating Security Payload (ESP) bilan Kengaytirilgan 
    shifrlash standarti (AES) hisoblagich rejimidan foydalanish
    ESP identifikatsiya funktsiyalarini ta'minlash uchun HMAC-MD5, HMAC-SHA, HMAC-S
    HA-256 , HMAC-SHA-384, HMAC-SHA-512 va AES-XCBC-MAC algoritmlaridan foyda
    lanadi. Har bir algoritm kirish sifatida o'zgaruvchan uzunlikdagi ma'lumotlarni va shaxsiy k
    alitni oladi va ularni qattiq uzunlikdagi ma'lumotlarni (MAC qiymati yoki xesh funktsiyasi) 
    yaratish uchun ishlatadi. Agar ikkita xabar uchun hisoblangan xesh qiymatlari bir xil bo'lsa, 
    xabarlar bir xil bo'lish ehtimoli katta.RFC 2085 da HMAC-MD5, HMAC-MD5 IP autentifi
    katsiyasi takror o'ynashni oldini olish bilan .
    RFC 2404 da HMAC-SHA, ESP va AH ichida HMAC-SHA-1-96 dan foydalanish
    RFC 4868 da HMAC-SHA_256 , HMAC-SHA-384 va HMAC-SHA-512, IPsec bilan HM
    AC-SHA-256, HMAC-SHA-384 va HMAC-SHA-512 dan foydalanish
    RFC 3566 da AES-XCBC-MAC, AES-XCBC-MAC-96 algoritmi va uning IPsec bilan ishla
    tilishi



    RFC 4309 da AES-CCM, IPSec Encapsulating Security Payload (ESP) bilan 
    Kengaytirilgan shifrlash standarti (AES) CCM rejimidan foydalanish
    RFC 4106 da AES-GCM, IPSec Incapsulating Security Payload (ESP) da G
    alios/Counter Mode (GCM) dan foydalanish
    ESP identifikatsiyalash uchun AES-GMAC (Galios xabar autentifikatsiya ko
    di) dan foydalanadi, lekin shifrlash uchun emas.
    RFC 4543 da AES-GMAC, IPSec ESP va AH da Galios xabari autentifikatsi
    ya kodidan (GMAC) foydalanish.
    Ma‘lumotlarning butunligi va autentligini ta‘minlash uchun (AH va ESP pro
    tokollarida) shifrlashning bir turidan foydalaniladi. Bir tomonlama shifrlovc
    hi funksiya (One way function), xesh funksiya (Hash function) deb ham yuri
    tiladi, yoki dayjest – funksiya (Digest Function). Ma‘lumotlarni bu funksiya 
    yordami bilan shifrlaganda katta bo‘lmagan chegaralangan baytlardan iborat 
    dayjest qiymat qaytaradi. Ayni vaqtda AH va ESP protokoll


    HMAC (Keyed- Hashing for Message Authentication Code) algo
    ritmi RFC 2104 standartida aniqlangan. MD5 (Message Digest v
    ersion 5, RFC 1321 standarti) va SHA-1 (Secure Hash Algorith v
    ersion 1, standart FIPS 180-1) funksiyalari umumiy maxfiy kalitl
    i xesh funksiyalar hisoblanadi. IPSec quyidagi himoya funksiyal
    arini ta‘minlaydi:
    autentifikatsiya;
    ma‘lumotlar butunligi;
    konfidensiallik;
    kalitlarni ishonchli boshqarish;
    tunnellashtirish.


    Sarlavhani autentifikatsiyalaydigan AH protokoli autentlik tekshiruvini va IP 
    paketlar butunligin ta‘minlaydi. AH protokoli qabul qiluvchi quyidagilarga i
    shonch hosil qilishiga imkon beradi:
    paket aynan kerakli, ya‘ni joriy ulanish o‘rnatilgan tomondan uzatilgan;
    paket ma‘lumotlari tarmoq orqali uzatish vaqtida hech qanday buzilishlarg
    a uchramagan;
    paket oldinroq qabul qilingan biror–bir paketning dublikati emas.
    Ammo, seans darajasida yuqori darajali protokollar amalga oshiradigan dast
    urlar bilan bevosita bo‘gliqligi boshlanadi. Shuning uchun ushbu darajaga te
    gishli ma‘lumot almashinuvi himoya protokollarini tashkil etish, odatda yuq
    ori darajalardagi tarmoq dasturlariga o‘zgartirishlar kiritishni talab qiladi. SS
    arlavhani autentifikatsiyalaydigan AH protokoli autentlik tekshiruvini va IP 
    paketlar butunligin ta‘minlaydi. AH protokoli qabul qiluvchi quyidagilarga i
    shonch hosil qilishiga imkon beradi:


    SSL protokoli keng ko‘lamda qo‘llaniladi. SSL (Secure Socket Layer 
    – himoyalangan soketlar protokollari) protokoli Netscape Communic
    ations tashkiloti tomonidan va RSA Data Security tashkiloti hamkorli
    gida mijoz/server dasturlarida himoyalangan ma‘lumot almashinuvini 
    tashkil etish uchun ishlab chiqarilgan. SSL protokolining yadrosini as
    simmetrik va simmetrik kriptosistema texnologiyalarining kompleks i
    shlatilishi tashkil qiladi. SSL protokolida ikkala tomon autentifikatsiy
    asi foydalanuvchilarning (mijoz va server) maxsus sertifikatlash mark
    azlari tomonidan raqamli imzolar bilan tasdiqlangan ochiq kalitlar ser
    tifikatlari almashinuvi yo‘li bilan bajariladi. Serverning SSL autentifi
    katsiyasi mijozga serverning haqiqiyligini tekshirish imkonini beradi. 
    SSL-sessiyasi o‘rnatilganda quyidagi masalalar yechiladi:



    tomonlar autentifikatsiyasi;

    tomonlarning himoyalangan ma‘lum
    ot almashinuvida ishlatiladigan kript
    ografik algoritmlar va siqish algorit
    mlari mosligi va kelishuvi;

    umumiy maxfiy maxsus kalitni tash
    killashtirish;

    umumiy maxfiy maxsus kalit asosid
    a ma‘lumot almashinuvining kripto 
    himoyasi uchun umumiy maxfiy sea
    ns kalitlarni generatsiyalash.


    Foydalanilgan adabiyotlar va web saytlar:
    1.Qaxxorov A.A. Tarmoqlami rejalashtirish va qurish. O'quv qo' llan
    ma. - T.: Noshir, 2012, 224 b.
    2.Zilker B.Ya. Kompyuterlar va tizimlarni tashkillashtirish: universite
    tlar uchun darslik / S.A. Orlov, B.Ya. Zilker. - Sankt-Peterburg: Peter, 
    2011 .-- 688 p.
    3.Таненбаум A. (A. Tanenbaum). Архитектура компьютера (Struct
    ured Computer Organization) Учебник. - С.Пб.: Питер, 2007. -844 
    с.
    4.https://www.coursehero.com/file/29636166/14docx/
    5.https://www.coursehero.com/file/29636166/14docx/


    ETIBORINGIZ UCHUN 
    RAHMAT !
    KI 21-04 guruh talabasi
    Nasilloyev Nozim

    Download 1,84 Mb.
    1   2




    Download 1,84 Mb.
    Pdf ko'rish