|
Himoyalangan korporativ tarmoqlarni qurish uchun VPN yechimlar
|
| bet | 54/144 | | Sana | 20.05.2024 | | Hajmi | 10,58 Mb. | | #245858 |
Bog'liq “tarmoq xavfsizligi”Himoyalangan korporativ tarmoqlarni qurish uchun VPN yechimlar
Tashqi dunyo bilan lokal tarmoq almashadigan barcha axborot mashrutizator orqali o‘tadi. Bu marshrutizatorlarni chiquvchi paketlarni shifrlovchi va kiruvchi paketlarni rasshifrovka qiluvchi tabiiy platformaga aylantiradi. Boshqacha aytganda, marshrutizator, umuman, marshrutlash vazifasini VPN vazifasini madadlash bilan birga olib borishi mumkin. Bunday echim o‘zining afzalliklari va kamchiliklariga ega. Afzalligi — marshrutlash va VPN vazifalarini birgalikda ma’murlash qulayligidir. Korxona tarmoqlararo ekranni ishlatmasdan korporativ tarmoq himoyasini faqat ham tarmoqdan foydalanish bo‘yicha, ham uzatiladigan trafikni shifrlash bo‘yicha himoyalash vazifala-rini birgalikda hal etuvchi marshrutizator yordamida tashkil etgan hollarda mashrutizatorlarni VPNni madadlashda ishlatilishi ayniqsa foydalidur. Ushbu echimning kamchiligi marshrutlash bo‘yicha asosiy amallarning trafikni ko‘p mehnat sarfini talab etuvchi shifrlash va autentifikatsiyalash amallari bilan birga olib borilishi natijasida marshrutizator unumdorligiga quyiladigan talablarning oshishi bilan bog‘liq. Marshrutizatorlarning unumdorligini oshirishga shifrlash vazifalarini apparat madadlash orqali erishiladi. Hozirda barcha marshrutizator va boshqa tarmoq qurilmalarini etakchi ishlab chiqaruvchilar o‘zlarining mahsulotlarida turli VPN-protokollarini madadlaydilar. Bu sohada Cisco Systems va 3Com kompaniyalari lider hisoblanadilar. Cisco Systems kompaniyasi o‘zlari ishlab chiqqan marshrutizatorlarga eng keng tarqalgan standartlar asosida VPNlarni qurishga imkon beruvchi kanal sathi proto-kolini madadlovchi IOS 11.3(Internetwork Operation System 11.3) va tarmoq sathi protokoli IPSecmi kiritdi. L2F protokoli avvalroq IOS operatsion tizimning omponentiga aylandi va Cisco ishlab chiqaradigan barcha tarmoqlararo aloqa va masofadan foydalanish qurilmalarida madadlanadi. Cisco marshrutizitorlarida VPN vazifalari butunlay dasturiy yo‘l bilan yoki shifrlash soprotsessori bo‘lgan maxsus kengaytirish platasidan foydalanilgan holda amalga oshirilishi mumkin. Oxirgi variant VPN amallarida marshrutizator unumdorligini anchagina oshiradi. Cisco Systems kompaniyasi tomonidan ishlab chiqilgan VPN qurish texnologiyasi yuqori unumdorligi va moslanuvchanligi bilan ajralib turadi. Unda "toza" yoki inkapsulyasiya qilingan ko‘rinishda uzatiluvchi har qanday IP-oqim uchun shifrlash bilan tunnellash ta’minlanadi. Cisco kompaniyasining marshrutizatorlari asosida VPN-kanallarini qurish operatsiontizimining vositalari yordamida Cisco IOS 12.x. versiyasidan boshlab amalga oshiriladi. Agar mazkur operatsion tizim kompaniyaning boshqa bo‘limlaridagi Cisco chegara marshrutizatorlarida o‘rnatilgan bo‘lsa, bir marshrutizatordan ikkinchisiga "nuqta-nuqta" turidagi virtual himoyalangan tunnellar majmuasidan iborat bo‘lgan korporativ VPN tarmoqni shakllantirish imkoniyati bo‘ladi.
Cisco mashrutizatorlari asosida korporativ VPN tarmog’ini qurishning namunaviy sxemasi.
Marshrutizatorlar asosida VPNlarni qurishda esda tutish lozimki, bunday yondashishning o‘zi kompaniyaning umumiy axborot xavfsizligini ta’minlash muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan xujum qilish uchun ochiq qoladi. Bu resurslarni himoyalash uchun, odatda, chegara marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi. Cisco 1720 VPN Access Router marshrutizatori katta bo‘lmagan va o‘rtacha korxonalarda himoyalangan foydalanishini tashkil etishga atalgan. Bu marshrutizator Internet va intratarmoqlardan foydalanishni tashkil etishga zarur bo‘lgan imkoniyatlarni ta’minlaydi va Cisco IOS dasturiy ta’minot asosidagi virtual xususiy tarmoqlarni tashkil etish vazifala-rini madadlaydi. Cisco IOS operatsion tizimi ma’lumotlarni himoyalash, xizmat sifatini boshqarish va yuqori ishonchililikni ta’minlash bo‘yicha VPN vazifalarining juda keng to‘plamini ta’minlaydi. Cisco 1720 marshrutizatori ma’lumotlar himoyasining quyidagi va-zifalarini bajaradi: - tarmotslararo ekranlash. Cisco IOS Firewall komponenta lokal tarmoqlarni xujumlardan himoyalaydi. Foydalanishning kontekstli nazo-rati CBAC (Contextbased access control) funksiyasi ma’lumotlarni dina-mik yoki xolatlarga asoslangan, ilovalar bo‘yicha differensiallangan filtrlashni bajaradi. Bu funksiya samarali tarmoqlararo ekranlash uchun juda muhim hisoblanadi. Cisco IOS Firewall komponenta qator boshqa foy-dali vazifalarni ham, xususan, "xizmat qilishdan voz kechish" kabi xujum-larni aniqlash va oldini olish, Javami blokirovka etish, audit va vaqtning real masshtabida ogohlantirishlarni tarqatish vazifalarini ba-jaradi. - shifrlash. IPSec protokolidagi DES va Triple DES shifrlash algo-ritmlarini madadlash ma’lumotlarni konfidensialligi va yaxlitligini va ma’lumotlar manbaini autentifikatsiyalashni (ma’lumotlar global tarmoqdan o‘tganidan so‘ng) ta’minlash maqsadida ishonchli va standart shifrlaydi. - tunnellash. Tunnellashning IPSec, GRE (Generic Routing Encapsulation), L2F va L2TP standartlari ishlatiladi. L2F va L2TP standartlari masofadagi foydalanuvchilarning korxona lokal tarmog‘ida o‘rnatilgan Cisco 1720 marshrutizatorgacha virtual tunnel o‘tkazganlarida ishlatiladi. Bunday qo‘llanishda korxonada masofadan foydalanish serveriga ehtiyoj qolmaydi va shaharlararo yoki xalqaro qo‘ng‘iroqlar uchun to‘lovi tejaladi. - kurilmalarni autentifikatsiyalash va kalitlarni boshsarish. IPSec katta tarmoqlarda ma’lumotlar va qurilmalarni masshtablanuvchi autenti-fikatsiyalashni ta’minlovchi kalitlarni boshqarish protokoli IKE, raqamli sertifikatlar X.509 versiya 3, sertifikatlarni boshqaruvchi pro-tokol CEP, hamda Verisign va Entrust kompaniya sertifikat serverlari ma-dadlanadi. - VPNmtm mijoz dasturiy ta’minoti. IPSec va L2TP protokolla-rining standart versiyalari bilan ishlovchi harqanday mijoz Cisco IOSbilan o‘zaro aloqa qilishi mumkin. - foydalanuvchilarni autentifikatsiyalash. Buning uchun PAP, CHAP protokllari, TACACS+ va RADIUS tizimlari, foydalanish tokenlari ka-bi vositalardan foydalanilida.
Himoyalash vositalarining bunday universallashtirilishi, hisoblash vositalarining mavjud imkoniyatlari darajasida nafaqat ijo-biy, balki salbiy tomoniga ham ega. Shifrlash va autentifikatsiyalash amallarini hisoblash murakkabligi tarmoqlararo ekran uchun an’anaviy bo‘lgan paketlarni filtrlash amallariga nisbatan ancha yuqori. SHu sababli, VPNning qo‘shimcha vazifalarini amalga oshirishda murakkabligi katta bo‘lmagan amallarni bajarishga mo‘ljallangan tarmoqlararo ekran ko‘pincha kerakli unumdorlikni ta’minlamaydi. Korporativ tarmoq tezkor kanal orqali ochiq tarmoqqa ulanganida sifatli himoyani ta’minlash uchun alohida apparat, dasturiy yoki kombinatsiyalangan qurilma ko‘rinishidagi VPN-shlyuzdan foydalanish lozim. Aksariyat tarmoqlararo ekranlar server dasturiy ta’minotidan iborat, shu sababli unumdorlikni oshirish muammosi yuqori unumdorlikka ega bo‘lgan kompyuter platformasidan foydalanish evaziga echilishi mumkin.
|
| |
