|
-ma’ruza.
Himoyalangan virtual tarmoq texnologiyalari asoslari
|
| bet | 49/144 | | Sana | 20.05.2024 | | Hajmi | 10,58 Mb. | | #245858 |
Bog'liq “tarmoq xavfsizligi”12-ma’ruza.
Himoyalangan virtual tarmoq texnologiyalari asoslari
Reja:
1. Himoyalangan virtual tarmoq texnologiyalari
2. IPsec VPN komponentalari va funksiyalari
3. CLI (command-line interface) yordamida tomon-tomon (Site-to-Site) IPsec VPNni amalga oshirish
4. ASA VPN konfiguratsiyasi
Internetning gurkillab rivojlanishi natijasida dunyoda axborotni tarqatish va foydalanishda sifatiy o‘zgarish sodir bo‘ldi. Internet foydalanuvchilari arzon va qulay kommunikatsiyaga ega bo‘ldilar. Korxonalar Internet kanallaridan jiddiy tijorat va boshqaruv axborotlarini uzatish imkoniyatlariga qiziqib qoldilar. Ammo Internetning qurilishi prinsipi niyati buzuq odamlarga axborotni o‘g‘irlash yoki atayin buzish imkoniyatini yaratdi. Odatda TCP/IP protokollar va standart Internetilovalar (e-mail, Web, FTP) asosida qurilgan korporativ va idora tarmoqlari suqilib kirishdan kafolatlanmaganlar. Internet hamma yerda tarqalishidan manfaat ko‘rish maqsadida tarmoq xujumlariga samarali qarshilik ko‘rsatuvchi va biznesda ochiq tarmoqlardan faol va xavfsiz foydalanishga imkon beruvchi virtual xususiy tarmoq VPN yaratish ustida ishlar olib borildi. Natijada 1990 yilning boshida virtual xususiy tarmoq VPN konsepsiyasi yaratildi. "Virtual" iborasi VPN atamasiga ikkita uzel o‘rtasidagi ulanishni vaqtincha deb ko‘rilishini ta’kidlash maqsadida kiritilgan. Haqiqatan, bu ulanish doimiy, qat’iy bo‘lmay, faqat ochiq tarmoq bo‘yicha trafik o‘tganida mavjud bo‘ladi. Virtual tarmoq VPN tarmogʻini qurish konsepsiyasi asosida etarlicha oddiy g‘oya yotadi: agar global tarmoqda axborot almashinuvchi ikkita uzel bo‘lsa, bu uzellar orasida ochiq tarmoq orqali uzatilayotgan axborotning konfidensialligini va yaxlitligini ta’minlovchi virtual himoyalangan tunnel qurish zarur va bu virtual tunneldan barcha mumkin bo‘lgan tashqi faol va passiv kuzatuvchilarning foydalanishi xaddan tashqari qiyin bo‘lishi lozim. Shunday qilib, VPN tunneli ochiq tarmoq orqali o‘tkazilgan ulanish bo‘lib, u orqali virtual tarmoqning kriptografik himoyalangan axborot paketlari uzatiladi. Axborotni VPN tunneli bo‘yicha uzatilishi jarayonidagi himoyalash quyidagi vazifalarni bajarishga asoslangan:
- o‘zaro aloqadagi taraflarni autentifikatsiyalash;
- uzatiluvchi ma’lumotlarni kriptografik berkitish (shifrlash);
- yetkaziladigan axborotning haqiqiyligini va yaxlitligini tekshirish.
Bu vazifalar bir biriga bog‘liq bo‘lib, ularni amalga oshirishda axborotni kriptografik himoyalash usullaridan foydalaniladi. Bunday himoyalashning samaradorligi simmetrik va asimmetrik kriptografik tizimlarning birgalikda ishlatilishi evaziga ta’minlanadi. VPN qurilmalari tomonidan shakllantiriluvchi VPN tunneli himoyalangan ajratilgan liniya xususiyatlariga ega bo‘lib, bu himoyalangan ajratilgan liniyalar umumfoydalanuvchi tarmoq, masalan Internet doirasida, saflanadi. VPN qurilmalari virtual xususiy tarmoqlarda VPN-mijoz, VPNserver yoki VPN xavfsizligi shlyuzi vazifasini o‘tashi mumkin. VPN-mijoz odatda shaxsiy kompyuter asosidagi dasturiy yoki dasturiy-apparat kompleksi bo‘lib, uning tarmoq dasturiy ta’minoti u boshqa VPN-mijoz, VPN-server yoki VPN xavfsizligi shlyuzlari bilan almashinadigan trafikni shifrlash va autentifikatsiyalash uchun modifikatsiyalanadi.VPN-server tashqi tarmoqlarning ruxsatsiz foydalanishidan serverlarni himoyalashni hamda alohida kompyuterlar va mos VPN-mahsulotlari orqali himoyalangan lokal tarmoq segmentlaridagi kompyuterlar bilan himoyalangan ulanishlarni tashkil etishni ta’minlaydi. VPN xavfsizlik shlyuzi. (Security gateway) ikkita tarmoqqa ulanuvchi tarmoq qurilmasi bo‘lib, o‘zidan keyin joylashgan ko‘p sonli xostlar uchun shifrlash va autentifikatsiyalash vazifalarini bajaradi. VPN xavfsizligi shlyuzi shunday joylashtiriladiki, ichki korporativ tarmoqqa atalgan barcha trafik u orqali o‘tadi.
VPN xavfsizligi shlyuzining adresi kiruvchi tunnellanuvchi paketning tashqi adresi sifatida ko‘rsatiladi, paketning ichki adresi esa shlyuz orqasidagi muayyan xost adresi hisoblanadi. VPN xavfsizligi shlyuzi alohida dasturiy echim, alohida apparat qurilmasi, hamda VPN vazifalari bilan to‘ldirilgan marshrutizatorlar yoki tarmoqlararo ekran ko‘rinishida amalga oshirilishi mumkin. Axborot uzatishning ochiq tashqi muhiti ma’lumot uzatishning tezkor kanallarini (Internet muhiti) va aloqaning sekin ishlaydigan umumfoydalanuvchi kanallarini (masalan, telefon tarmog‘i kanallarini) o‘z ichiga oladi. Virtual xususiy tarmoq VPNning samaradorligi aloqaning ochiq kanallari bo‘yicha aylanuvchi axborotning himoyalanish darajasiga bog‘liq. Ochiq tarmoq orqali ma’lumotlarni xavfsiz uzatish uchun inkapsulyasiyalash va tunnellash keng ishlatiladi. Tunnellash usuli bo‘yicha ma’lumotlar paketi umumfoydalanuvchi tarmoq orqali xuddi oddiy ikki nuqtali ulanish bo‘yicha uzatilganidek uzatiladi. Har bir "jo‘natuvchi-qabul qiluvchi" juftligi orasiga bir protokol ma’lumotlarini boshqasining paketiga inkapsulyasiyalashga imkon beruvchi o‘ziga xos tunnel-mantiqiy ulanish o‘rnatiladi. Tunnellashga binoan, uzatiluvchi ma’lumotlar porsiyasi xizmatchi hoshiyalar bilan birga yangi "konvert"ga "joylash" amalga oshiriladi. Bunda pastroq sath protokoli paketi yuqoriroq yoki xudi shunday sath protokoli paketi ma’lumotlari maydoniga joylashtiriladi. Ta’kidlash lozimki, tunnelashning o‘zi ma’lumotlarni ruxsatsiz foydalanishdan yoki buzishdan himoyalamaydi, ammo tunnellash tufayli inkapsulyasiyalanuvchi dastlabki paketlarni to‘la kriptografik himoyalash imkoniyati paydo bo‘ladi. Uzatiluvchi ma’lumotlar konfidensialligini ta’minlash maqsadida jo‘natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IP sarlavha bilan tashqi paketga joylaydi va tranzit tarmoq bo‘yicha jo‘natadi.Ochiq tarmoq bo‘yicha ma’lumotlarni tashishda tashqi paket sarlavhasining ochiq kanallaridan foydalaniladi. Tashqi paket himoyalangan kanalning oxirgi nuqtasiga kelishi bilan undan ichki dastlabki paket chiqarib olinib, rasshifrovka qilinadi va uning tiklangan sarlavhasi ichki tarmoq bo‘yicha keyingi uzatish uchun ishlatiladi.
Tunnellashdan paket tarkibini nafaqat konfidensialligini, balki uning yaxlitligini va autentiligini ta’minlashda foydalaniladi. Bunda elektron raqamli imzoni paketning barcha hoshiyalariga tarqatish mumkin. Internet bilan bog‘lanmagan lokal tarmoq yaratilganda kompaniya o‘zining tarmoq qurilmalari va kompyuterlari uchun hohlagan IP-adresdan foydalanishi mumkin. Oldin yakkalangan tarmoqlarni birlashtirishda bu adreslar bir-birlari va Internet ishlatilayotgan adreslar bilan to‘qnashishlari mumkin. Paketlarni inkapsulyasiyalash bu muammoni yechadi, chunki u dastlabki adreslarni berkitishga va Internet IP adreslari makonidagi noyob adreslarni qo‘shishga imkon beradi. Bu adreslar keyin ma’lumotlarni ajratiluvchi tarmoqlar bo‘yicha uzatishda ishlatiladi. Bunga lokal tarmoqqa ulanuvchi mobil foydalanuvchilarning IP-adreslarini va boshqa parametrlarini sozlash masalasi ham kiradi. Tunellash mexanizmi himoyalanuvchi kanalni shakllantiruvchi turli protokollarda keng qo‘llaniladi. Odatda tunnel faqat ma’lumotlarning konfidensialligi va yaxlitligining buzilishi xavfi mavjud bo‘lgan ochiq tarmoq qismida, masalan, ochiq Internet va korporativ tarmoq kirish nuqtalari orasida, yaratiladi. Bunda tashqi paketlar uchun ushbu ikki nuqtada o‘rnatilgan chegara marshrutizatorlarining adreslaridan foydalanilsa, oxirgi uzellarning ichki adreslari ichki dastlabki paketlarda himoyalangan holda saqlanadi. Ta’kidlash lozimki, tunellash mexanizmining o‘zi qanday maqsadlarda tunnellash qo‘llanilayotganiga bog‘liq emas. Tunnellash nafaqat uzatilayotgan barcha ma’lumotlarning konfidensialligi va yaxlitligini ta’minlashda, balki turli protokolli (masalan IPv4 va IPv6) tarmoqlar orasida o‘tishni tashkil etishda ham qo‘llaniladi. Tunnellash bir protokol paketini boshqa protokoldan foydalanuvchi mantiqiy muhitda uzatishni tashkil etishga imkon beradi. Natijada bir necha turli xil tarmoqlarning o‘zaro aloqalari muammosini hal etish imkoniyati paydo bo‘ladi.
Tunnelni yaratishni mijoz (masofadan foydalanuvchi) boshlab beradi. Masofadagi tarmoqni himoyalovchi shlyuz bilan bog‘lanish uchun u o‘zining kompyuterida maxsus mijoz dasturiy ta’minotini ishga tushiradi. VPNning bu turi kommutatsiyalanuvchi ulanishlarni o‘rniga o‘tadi va masofadan foydalanishning an’anaviy usullari bilan bir qatorda ishlatilishi mumkin. Virtual himoyalangan kanallarning qator variantlari mavjud. Umuman, orasida virtual himoyalangan kanal shakllantiriluvchi korporativ tarmoqning har qanday ikkita uzeli himoyalanuvchi axborot oqimining oxirgi va oraliq nuqtasiga taalluqli bo‘lishi mumkin. Axborot xavfsizligi nuqtai nazaridan himoyalangan tunnel oxirgi nuqtalarining himoyalanuvchi axborot oqimining oxirgi nuqtalariga mos kelishi varian-ti ma’qul hisoblanadi. Bu holda kanalning axborot paketlari o‘tishining barcha yo‘llari bo‘ylab himoyalanishi ta’minlanadi. Ammo bu variant boshqarishning detsentralizatsiyalanishiga va resurs sarfining oshishiga olib keladi. Agar virtual tarmoqdagi lokal tarmoq ichida trafikni himoyalash talab etilmasa, himoyalangan tunnelning oxirgi nuqtasi sifatida ushbu lokal tarmoqning tarmoqlararo ekrani yoki chegara marshrutizatori tanlanishi mumkin. Agar lokal tarmoq ichidagi axborot oqimi himoyalanishi shart bo‘lsa, bu tarmoq oxirgi nuqtasi vazifasini himoyalangan aloqada ishtirok etuvchi kompyuter bajaradi. Lokal tarmoqdan masofadan foydalanilganida foydalanuvchi komp-yuteri virtual himoyalangan kanalning oxirgi nuqtasi bo‘lishi shart. Faqat paketlarni kommutatsiyalashli ochiq tarmoq, masalan Internet ichida o‘tkaziluvchi himoyalangan tunnel varianti etarlicha keng tarqalgan. Ushbu variant ishlatilishi qulayligi bilan ajralib tursada, nisbatan past xavfsizlikka ega. Bunday tunnelning oxirgi nuqtalari vazifasini odatda Internet provayderlari yoki lokal tarmoq chegara marshrutizatorlari (tarmoqlararo ekranlar) bajaradi. Lokal tarmoqlar birlashtirilganida tunnel faqat Internetning chegara provayderlari yoki lokal tarmoqning marshrutizatorlari (tarmoqlararo ekranlari) orasida shakllantiriladi. Lokal tarmoqdan masofadan foydalanilganida tunnel Internet provayderining masofadan foydalanish serveri, hamda Internetning chegara provayderi yoki lokal tarmoq marshrutizatori (tarmoqlararo ekran) orasida yaratiladi. Ushbu variant bo‘yicha qurilgan korporativ tarmoqlar yaxshi masshtablanuvchanlik va boshqariluvchanlikka ega bo‘ladi. Shakllantirilgan himoyalangan tunnellar ushbu virtual tarmoqdagi mijoz kompyuterlari va serverlari uchun to‘la shaffof hisoblanadi. Ushbu uzellarning dasturiy ta’minoti o‘zgarmaydi. Ammo bu variant axborot aloqasining nisbatan past xavfsizligi bilan xarakter-lanadi, chunki trafik qisman ochiq aloqa kanali bo‘yicha himoyalanmagan holda o‘tadi. Agar shunday VPNni yaratish va ekspluatatsiya qilishni provayder ISP o‘z zimmasiga olsa, barcha virtual xususiy tarmoq uning shlyuzlarida, lokal tarmoqlar va korxonalarning masofadagi foydalanuvchilari uchun shaffof holda qurilishi mumkin. Ammo bu holda provayderga ishonch va uning xizmatiga doimo to‘lash muammosi paydo bo‘ldi. Himoyalangan tunnel, orasida tunnel shakllantiriluvchi uzellardagi virtual tarmoq komponentlari yordamida yaratiladi. Bu komponentlarni tunnel initsiatorlari va tunnel terminatorlari deb yuritish qabul qilingan. Tunnel initsiatori dastlabki paketni yangi paketga jo‘natuvchi va qabul qiluvchi xususidagi axboroti bo‘lgan yangi sarlavhali paketga inkapsulyasiyalaydi. Inkapsulyasiyalangan paketlar har qanday protokol turiga, jumladan marshrutlanmaydigan protokollarga (masalan Net BEUL) mansub bo‘lishlari mumkin. Tunnel bo‘yicha uzatiladigan barcha paketlar IP paketlari hisoblanadi. Tunnelning initsiatori va terminatori orasidagi marshrutni odatda, Internetdan farqlanishi mumkin bo‘lgan, oddiy marshrutlanuvchi tarmoq IP aniqlaydi. Tunnelni initsiallash va uzish turli tarmoq qurilmalari va dasturiy ta’minot yordamida amalga oshirilishi mumkin. Masalan, tunnel maso-fadan foydalanish uchun ulashni ta’minlovchi modem va mos dasturiy ta’minot bilan jihozlangan mobil foydalanuvchining noutbuki tomonidan initsiallanishi mumkin. Initsiator vazifasini mos funksional imkoni-yatlarga ega bo‘lgan lokal tarmoq marshrutizatori ham bajarishi mumkin. Tunnel odatda, tarmoq kommutatori yoki xizmatlar provayderi shlyuzi bilan tugallanadi. Tunnel terminatori inkapsulyasiyalash jarayoniga teskari jarayonni bajaradi. Terminator yangi yangi sarlavhalarni olib tashlab, har bir dastlabki paketni lokal tarmoqdagi adresatga yo‘llaydi.Inkapsulatsiyalanuvchi paketlarning konfidensialligi ularni shifr-lash, yaxlitligi va haqiqiyligi esa elektron raqamli imzoni shakllanti-rish yo‘li bilan ta’minlanadi. Ma’lumotlarni kriptografik himoyalashning juda ko‘p usullari va algoritmlari mavjud bo‘lganligi sababli, tunnel initsiatori va terminatori himoyaning bir xil usullaridan foydalanishga o‘z vaqtida kelishib olishlari maqsadga muvofiq hisoblanadi. Ma’lumotlarni rasshifrovka qilish va raqamli imzoni tekshirish imkoniyatini ta’minlash uchun tunnel initsiatori va terminatori kalitlarni xavfsiz almashish vazifasini ham madadlashlari zarur. Undan tashqari, VPN tunnelarini vakolatli foydalanuvchilar tomonidan yaratilishini kafolatlash maqsadida axborot aloqasining asosiy taraflari autentifikatsiyalashdan o‘tishlari lozim. Korporatsiyaning mavjud tarmoq infratuzilmalari VPN foydalanishga ham dasturiy, ham apparat ta’minot yordamida tayyorlanishlari mumkin.
|
| |
