|
Simsiz tarmoqlarda axborot xavfsizligi ipsec protokollari
|
| Sana | 05.03.2024 | | Hajmi | 27.39 Kb. | | #167457 |
Bog'liq 60-MMAVZU Каралина0, 10.Mavzu1, 12.Mavzu1, 15.Mavzu1, 17.Mavzu1
MAVZU:SIMSIZ TARMOQLARDA AXBOROT XAVFSIZLIGI IPSEC PROTOKOLLARI. VPN HIMOYASI. XAVFSIZ, OCHIQ INTERNETDAGI TAHDIDLARGA ULANISH OLIMLAR VPN KABI XAVFSIZ VIRTUAL TARMOQNI RIVOJLANTIRA BOSHLADILAR.
REJA:
SIMSIZ TARMOQLARDA AXBOROT XAVFSIZLIGI IPSEC PROTOKOLLARI.
VPN HIMOYASI
XAVFSIZ, OCHIQ INTERNETDAGI TAHDIDLARGA ULANISH OLIMLAR VPN KABI XAVFSIZ VIRTUAL TARMOQNI RIVOJLANTIRA BOSHLADILAR.
Tarmoqingizni shifrlash uchun o'ngga sakrash uchun, simsiz tarmoqni qanday qilib shifrlash mumkinligini bilib oling . Ammo bu erda xavfsizlikni routerga va u bilan bog'lab turgan mijozga nisbatan qanday qo'llanilishini o'rganish uchun o'qing.
Simsiz tarmoq xavfsizligini ta’minlashda zamonaviy protokollarni ahamiyati
Zamonaviy axborot texnologiyalarining taraqqiyoti kompyuter jinoyatchiligi, konfedensial ma’lumotlarga ruxsatsiz kirish, o‘zgartirish, yo‘qotish kabi salbiy hodisalar bilan birgalikda kuzatilmoqda. Simsiz aloqa tarmoqlari bundan mustasno emas, uning xavfsizligini ta’minlash bo‘yicha ko‘pgina muzokarali qarashlar gobal tarmoq orqali keng tarqalmoqda. Qanday qilib, tarmog‘ingiz xavfsizligini yuqori darajaga ko‘tarish mumkin?
Har qanday tarmoq kirish nuqtasi va simsiz mijoz aloqasi quyidagicha qurilgan:
• Autentifikatsiya — mijoz va kirish nuqtasi bir — birlariga qanday tanishtirilishi va o‘zaro aloqa qilishga huquqini tasdiqlaydi
• Shifrlash — uzatiluvchi ma’lumotlarda qanday shifrlash algoritmlari qo‘llanilishi, qanday qilib shifrlash kaliti shakllantirilishi va u qachon o‘zgartirilishi.
Simsiz aloqa tarmog‘i ko‘rsatkichlari, birinchi navbatda uning nomi, tarmoq paketlari yordamida bog‘lanish nuqtasi bilan doim aloqada bo‘ladi. Kutilgan xavfsizlik sozlamalaridan tashqari, xohishga ko‘ra bir necha ko‘rsatkichlar uzatilishi mumkin: QoS (xizmat ko‘rsatish sifati) va 802.11n (simsiz aloqa standarti) ma’lumot almashish tezligi hamda boshqa qo‘shnilar haqida axborot beradi. Autentifikatsiya mijozni kirish nuqtasiga o‘zini tanishtirishni aniqlab beradi.
Yuz berishi mumkin bo‘lgan variantlar:
• Open — ochiq tarmoq, barcha ulanuvchi qurilmalar oldindan avtorizatsiya qilingan;
• Shared — ulanuvchi qurilma haqiqiyligi kalit yoki parol bilan tekshirilishi lozim;
• EAP — ulanuvchi qurilma haqiqiyligi tashqi server EAP protokoli bilan tekshirilishi lozim.
Tarmoqning ochiqligi istalgan kishi unda xohlagan ishini qilishi mumkin degani emas. Bunday tarmoqda ma’lumot uzatish uchun qo‘llanilayotgan shifrlash algoritmining mos kelishi va unga mos ravishda to‘g‘ri shifrlangan ulanish o‘rnatilishi zarur.
Shifrlash algoritmlari quyidagicha:
• None — shifrlashning yo‘qligi, ma’lumotlar ochiq holda uzatiladi;
• WEP — RC4 algoritmiga asoslangan turli uzunlikdagi shifr statik yoki dinamik kalit (64 yoki 128 bit);
• CKIP — Cisco’dan WEP protokoli o‘rnini bosa oluvchi, TKIP ning oldingi versiyasi;
• TKIP — WEP protokoli o‘rinini bosa oluvchi yangilangan algoritm, qo‘shimcha tekshirish va himoya bilan ta’minlangan;
• AES/CCMP — mukammalroq algoritm, AES256 algoritmga asoslangan qo‘shimcha tekshirishlar va himoyaga ega.
Open Authentication, No Encryption kombinatsiyasi korxona yoki mehmonxonalarda Internetga ulanish kirish tizimlarida keng qo‘llaniladi. Ulanish uchun faqat simsiz tarmoq nomini bilish yetarli. Odatda bunday ulanish Captive Portal da qo‘shimcha tekshirish bilan birgalikda qo‘llaniladi. Tarmoqqa ulanish uchun foydalanuvchi kirishi HTTP so‘rov orqali qo‘shimcha sahifaga yo‘naltirilishi mumkin. Bu sahifada shaxsni tasdiqlash (login-parol, qoidalar bilan rozilik va boshqalar) amalini amalga oshirish so‘rovini tashkil etish mumkin. WEP shifrlash algoritmini buzish yo‘llari keng tarqalgan, shuning uchun uni ishlatish mumkin emas (hattoki dinamik kalit kiritilgan holat uchun ham).
Keng uchraydigan WPA va WPA2 tushunchalari shifrlash algoritmini (TKIP yoki AES) aniqlab beradi. Anchadan beri foydalanuvchi adapterlari WPA2 (AES) qo‘llay olish imkoniga ega bo‘lganligi sababli TKIP protokolini ishlatish ma’nosizdir. Barcha xavfsizlik ko‘rsatkichlari quyidagi jadvalda keltirilgan.
Agar WPA2 Personal (WPA2 PSK)da ishlash jarayoni tushunarli bo‘lsa, korporativ yechim qo‘shimcha qayta ko‘rib chiqishni talab qiladi.
WPA2 Personal va WPA2 Enterprise o‘rtasidagi farq shundan iboratki, AES algoritmi ishlashida foydalaniladigan shifrlash kalitlarining olinadigan joyidir. Xususiy foydalanish holatlarida (uyda) minimal uzunligi 8 belgidan iborat statik kalit (parol, kod so‘zi) ishlatiladi. Ushbu kalit barcha mijozlarning simsiz tarmoqlariga kirish nuqtasida kiritilishi zarur.
Agar bunday kalit xavfsizligi buzilsa (parolni aytib qo‘yish, ishchi bo‘shab ketganda, noutbuk o‘g‘irlanganda), zudlik bilan barcha mijozlardan parol almashtirishni talab qiladi. Korporativ ko‘rinishda foydalanganda hozirda ishlab turgan har bir ishchilar uchun individual bo‘lgan dinamik kalitdan foydalaniladi. Bu kalit ulanishda uzilish bo‘lmasligi uchun davriy ravishda almashtirilib turishi mumkin. Uning almashishiga qo‘shimcha dasturiy qism — avtorizatsiya serveri yoki ko‘pincha bu RADIUS-serverga yuklanishi mumkin.
VPN (inglizcha: Virtual private network) shaxsiy tarmoqni jamoat tarmog'i orqali uzaytiradi va foydalanuvchilarning shaxsiy tarmoqqa bevosita ulangan bo'lsa, foydalanuvchilarga birgalikda yoki umumiy tarmoqlarda ma'lumotlarni qabul qilish va olish imkonini beradi ("Qisqasi, u sizning kompyuteringiz va VPN xizmat serverlari o'rtasida tunellangan xavfsiz, shifrlangan aloqa yaratadi"). Buning uchun VPN ilovalari foydali bo'lishi mumkin. Xususiy tarmoqni boshqarish imkonini beradi.
VPN-lar korporativ bo'lmagan korporativ intranetlardan xavfsiz foydalanishni ta'minlaydi. Ular geografik jihatdan integratsiyalangan tarmoqlarni birlashtiradigan tarmoqni ta'minlash uchun ishlatiladi. Individual Internet foydalanuvchilari o'zlarining proksi-serverlariga VPN bilan simsiz operatsiyalarni amalga oshirish, geografik cheklovlar va tsenzurani to'xtatish yoki shaxsiy identifikatsiyani va joylashuvni himoya qilish uchun ulanishlari mumkin. Biroq, ayrim veb-saytlarga geografik cheklovlar uchun ma'lum VPN texnologiyasiga kirish taqiqlanadi.
VPN alohida ulanishlar, virtual tunnel protokollari yoki shifrlash transporti bilan virtual portni o'rnatish orqali yaratiladi. U katta Internet tarmog'iga ega VPN keng maydonli (WAN) tarmoqning afzalliklarini ta'minlaydi. Foydalanuvchilar nuqtai nazaridan, xususiy tarmoq ichida masofadan turib foydalaniladigan resurslarga kirish.
An'anaviy VPN-lar nok-to-nuqta topologiyasida tasvirlanadi va ta'sirni tasdiqlamaydi yoki ta'sir qilmaydi, shuning uchun Microsoft Windows NetBIOS to'liq qo'llab-quvvatlanmaydi yoki Mahalliy Tarmoq (LAN). Dizaynerlar virtual cheklovlarni bartaraf etish uchun Virtual Private LAN Services (VPLS) va layer-2 tunnel protokollari kabi VPN-larni ishlab chiqdi.
VPN ishlaydigan prinsip quyidagicha:
Shifrlash: VPN-tarmoq orqali o'tkaziladigan ma'lumotlar shifrlanadi, ya'ni o'g'irligi va muvaffaqiyatsiz to'xtalishi kerak bo'lgan katta sonlar bilan kodlanadi. Bu, foydalanuvchilarning ma'lumotlarini hujum va hokazoliklardan himoya qiladi.
IP-manzillar: VPN, foydalanuvchilarga o'ziga xos IP-manzillar taqdim etadi. Bu, foydalanuvchilarni asosiy IP-manzillariga nisbatan anonim bo'lishiga yordam beradi va ulanishlar uchun foydalanuvchilarni noma'lum bo'lishi mumkin.
Uzluksiz ulanish: VPN, foydalanuvchilarga uzluksiz internet ulanishlarini ta'minlaydi, yani ulanishlar o'rtasida bloklangan resurslarga va internetda taqiqlangan tarmoqlarga kirish mumkin bo'ladi.
O'zlashtirilgan yo'nalishlar: VPN-tarmoqlar, ma'lum resurslarga yo'nalish berish uchun o'zlashtirilgan yo'nalishlarni taqdim etadi. Bu, tarmoq ichida ulanishlarda sifatli tezlik va sifatni ta'minlaydi.
VPN-ni foydalanish tarmoq xavfsizligini oshirish, internet foydalanuvchilari uchun maxfiylikni ta'minlash, korporativ tarmoqda ishlash, geografiyaning chegaralarini o'tish, engil tarmoqlarga ulanish berish va boshqa turli maqsadlarga erishish uchun qo'llaniladi. Shuning uchun VPN bugungi kunda internet foydalanuvchilari uchun muhim tarmoq vositasidan biri hisoblanadi.
|
| |
