14.2. Xavfsizlik devori. VPN texnologiyasi.
Virtual xususiy tarmoq - bu qandaydir tarzda haqiqiy xususiy tarmoq xususiyatlarini takrorlaydi degan xulosaga kelish mumkin.
Hech qanday mubolag'asiz, faqatgina korxona butun tarmoq infratuzilmasi - kabellar, o'zaro faoliyat uskunalar, kanallarni yaratish uskunalari, kalitlarga, marshrutizatorlarga va boshqa aloqa vositalariga egalik qilsa va ularni boshqaradigan bo'lsa, uni xususiy deb atash mumkin.
Virtual xususiy tarmoq - bu "tarmoq ichidagi tarmoq" ning bir turi, ya'ni foydalanuvchilarga umumiy tarmoq ichida o'zlarining shaxsiy tarmog'i borligi haqida illuziya beradigan xizmatdir.
VPN texnologiyasining asosiy vazifalari umumiy tarmoqdagi foydalanuvchi ma'lumotlari oqimlari uchun kafolatlangan xizmat ko'rsatish sifatini ta'minlash, shuningdek ularni mumkin bo'lgan buzilish yoki yo'q qilishdan himoya qilishdir.
Virtual xususiy tarmoq (VPN) - bu mahalliy tarmoqlarni ochiq tashqi muhit (global tarmoq) orqali yagona korporativ tarmoqqa o'zaro bog'lashdir. xavfsiz ma'lumotlar aylanishi.
VPN texnologiyasining mohiyati quyidagicha (14.1-rasm):
VPN agentlari Internet tarmog'iga ulangan barcha kompyuterlarda o'rnatiladi (Internet o'rniga, boshqa har qanday umumiy tarmoq bo'lishi mumkin), kompyuter tarmoqlari orqali uzatiladigan IP-paketlarni qayta ishlaydi.
VPN agentlari barcha chiquvchi ma'lumotlarni avtomatik ravishda shifrlashadi (va shunga muvofiq barcha kiruvchi ma'lumotlarni parolini hal qiladi). Shuningdek, ular elektron raqamli imzo (ERI) yoki imitatsion qo'shimchalar (shifrlash kaliti yordamida hisoblab chiqilgan kriptografik nazorat summasi) yordamida uning yaxlitligini nazorat qiladilar.
IP-paketni yuborishdan oldin VPN agenti quyidagicha ishlaydi.
Paketni qabul qiluvchining IP-manzili tahlil qilinadi, ushbu manzilga qarab, ushbu paketni himoya qilish algoritmi tanlangan. Agar VPN agenti sozlamalarida bunday qabul qiluvchi bo'lmasa, ma'lumot yuborilmaydi.
Paketga jo'natuvchining ERI yoki taqlid varag'ini yaratadi va qo'shadi.
Paketni shifrlaydi (sarlavha bilan birga to'liq holda).
Enkapsulyatsiyani o'tkazadi, ya'ni. yangi sarlavha yaratadi, bu manzil umuman oluvchining emas, balki uning VPN agentining manzilini ko'rsatadi. Ushbu foydali qo'shimcha funktsiya sizga ikkita tarmoq o'rtasidagi almashinuvni VPN agentlari o'rnatilgan ikkita kompyuter o'rtasidagi deb o'ylashga imkon beradi. Tajovuzkor uchun foydali bo'lgan har qanday ma'lumot, masalan, ichki IP-manzillar endi unda mavjud emas.
IP-paket qabul qilinganda teskari yo'nalish amalga oshiriladi.
Sarlavha jo'natuvchining VPN agenti haqidagi ma'lumotlarni o'z ichiga oladi. Agar sozlamalarda ruxsat etilganlar ro'yxatiga kiritilmagan bo'lsa, unda ma'lumot shunchaki tashlanadi.
Sozlamalarga muvofiq, kriptografik algoritmlar va ERI tanlanadi, shuningdek kerakli kalitlar tanlanadi, shundan so'ng paket parolini hal qiladi va uning yaxlitligi tekshiriladi, butunligi buzilgan paketlar (ERI to'g'ri emas) ham o'chiriladi.
Barcha teskari transformatsiyalardan so'ng, paket asl shaklida mahalliy tarmoq orqali haqiqiy manzilga yuboriladi.
Yuqoridagi barcha operatsiyalar avtomatik ravishda amalga oshiriladi, VPN agentlarining ishi foydalanuvchilarga ko'rinmaydi. VPN agenti to'g'ridan-to'g'ri himoyalangan kompyuterda joylashgan bo'lishi mumkin (bu ayniqsa mobil foydalanuvchilar uchun foydalidir). Bunday holda, u o'rnatilgan faqat bitta kompyuterning aloqasini himoya qiladi.
Do'stlaringiz bilan baham: |