|
3.2. Himoyalangan virtual xususiy tarmoqlarning turkumlanishi
Himoyalangan virtual xususiy tarmoqlar VPNni turkumlashni turli variantlari
mavjud. Ko‘pincha turkumlashning quyidagi uchta alomati ishla-tiladi:
-
OSI modelining ish sathi;
-
VPN texnik echimining arxitekturasi;
-
VPNni texnik amalga oshirish usuli.
OSI modelining ish sathi bo‘yicha VPN
H UH Z
turkumlanishi.
Ushbu
turkumlash anchagina qiziqish to‘g‘diradi, chunki amalga oshiriluvchi VPNon^
funksionalligi va uning korporativ axborot tizimlari ilova-lari hamda himoyaning
boshqa vositalari bilan birgalikda ishlatilishi ko‘p hollarda tanlangan OSI sathiga
bog‘liq bo‘ladi.
OSI modelining ish sath alomati bo‘yicha kanal sathidagi VPN, tarmoq
sathidagi VPN va seans sathidagi VPN farqlanadi. Demak, VPN^ odatda OSI
modelining pastki sathlarida quriladi. Buning saba-bi shuki, himoyalangan kanal
vositalari qanchalik pastki sathda amalga oshirilsa, ularni ilovalarga va tatbiqiy
protokollarga shunchalik shaf-fof qilish soddalashadi. Tarmoq va kanal sathlarida
ilovalarning himoya protokollariga bog‘liqligi umuman yo‘qoladi. SHu sababli,
foydalanuvchi-lar uchun universal va shaffof himoyani faqat OSI modelining pastki
sathlarida qurish mumkin. Ammo, bunda biz boshqa muammoga-himoya proto-
kolining muayyan tarmoq texnologiyasiga bog‘liqligi muammosiga duch kela-miz.
Kanal sathidagi VPN.
OSI modelining kanal sathida ishlatiluvchi VPN
vositalari uchinchi (va yuqoriroq) sathning turli xil trafigini in-kapsulatsiyalashni
ta’minlashga va "nuqta-nuqta" tilidagi virtual tunnel-larni (marshrutizatordan
marshrutizatorga
yoki shaxsiy kompterdan lokal hisoblash tarmog‘ining
shlyuzigacha) qurishga imkon beradi. Bu guruhga L2F (Layer 2 Forwarding) va
PPTP (Point-to-Point Tunneling Protocol) protokol-lari hamda Cisco Systems i
MicroSoft firmalarining birga ishlab chiqqan L2TP(Layer 2 Tunneling Protocol)
standartidan foydalanuvchi VPN-mahsulotlar taalluqli.
Himoyalangan kanalning protokoli PPTP "nuqta-nuqta" ulanishlari-da,
masalan, ajratilgan liniyalarda ishlaganda keng qo‘llaniluvchi PPP protokoliga
asoslangan. PPTP protokoli ilovalari va tatbiqiy sath xiz-matlari uchun himoya
vositalarining shaffofligini ta’minlaydi va tarmoq sathida ishlatiluvchi protokolga
bog‘liq emas. Xususan, PPTP pro-tokoli ham IP tarmoqlarida, ham IPX, DECnet
yoki NetBEUL protokollari asosida ishlovchi tarmoqlarda paketlarni tashishi
mumkin. Ammo, PPP protokoli hamma tarmoqlarda ham ishlatilmasligi sababli
(aksariyat lo-kal tarmoqlarida kanal sathida Ethernet protokoli ishlasa, global
tarmoqlarda ATM, Frame Relay tarmoqlari ishlaydi), uni universal vosi-ta deb
beo‘lmaydi. Yirik birikma tarmoqning turli qismlarida, umuman aytganda, turli
kanal protokollari ishlatiladi. SHu sababli bu geterogen muhit orqali kanal sathining
yagona protokoli yordamida himoyalangan ka-nalni o‘tkazish mumkin emas.
L2TP protokoli, ehtimol, lokal hisoblash tarmoqlaridan foydala-nishni tashkil
etishda ustunlik qiluvchi echim bo‘lib qolishi mumkin (chun-ki u, asosan, Windows
operatsion tizimiga tayanadi.)
Tarmots sathidagi VPN.
Tarmoq sathidagi VPN-mahsulotlar №ni IPra
inkapsulyasiyalashni bajaradi. Bu sathdagi keng tarqalgan protokol-lardan biri SKIP
protokolidir. Ammo bu protokolni autentifikatsiyalash, tunnellash va IP-paketlarni
shifrlash uchun atalgan IPSec(IPSecurity) pro-tokoli asta-sekin surib chiqarmoqda.
Tarmoq sathida ishlovchi IPSec protokoli murosaga asoslangan vari-ant
hisoblanadi. Bir tomondan u ilovadar uchun shaffof, ikkinchi tomon-dan keng
tarqalgan IP protokoliga asoslanganligi sababli barcha tarmoqlarda ishlashi mumkin.
SHu orada esdan chiqarmaslik lozimki, IPSecning spetsifikatsiyasi IPra
mo‘ljallanganligi sababli u tarmoq sathining boshqa protokollari trafigi uchun to‘g‘ri
kelmaydi. IPSec protokoli L2TP protokoli bilan birgalikda ishlashi mumkin.
Natijada bu ik-ki protokol ishonchli identifikatsiyalashni, standartlangan shifrlashni
va ma’lumotlar yaxlitligini ta’minlaydi. Ikkita lokal tarmoq orasidagi IPSectunneli
ma’lumotlar uzatuvchi yakka tarmoqlar to‘plamini madadlashi mumkin. Natijada bu
xildagi ilovalar masshtablanish nuqtai nazaridan ikkinchi sath texnologiyalariga
nisbatan ustunlikka ega bo‘ladi.
IPSec protokoli bilan masofadagi qurilmalar orasida kriptogra-fik kalitlarni
xavfsiz boshqarish va almashish masalalarini echuvchi IKE (Internet Key Exchange)
protokoli bog‘langan. IKE protokoli kalitlarni almashishni avtomatlashtiradi va
ximoyalangan ulanishni o‘ranatadi, IPSec esa paketlarni kodlaydi va "imzo chekadi".
Undan tashqari, IKE o‘rnatilgan ulanish uchun kalitni o‘zgartirish imkoniyatiga ega.
Bu uzatiluvchi axborot-ning konfidensialligini oshiradi.
Seans sathidagi VPN.
Ba’zi VPN^ "kanal vositachilari" (circuit proxy) deb
ataluvchi usuldan foydalanadi. Bu usul transport sathi ustida ishlaydi va har bir soket
uchun alohida trafikni himoyalangan tarmoqdan umumfoydanuvchi Internet
tarmog‘iga retranslyasiyalaydi. (IP soketi TCP-ulanishning va muayyan port yoki
berilgan port UDP kombinatsiyasi orqali identifikatsiyalanadi. TCP/IP stekida
beshinchi-seans sathi bo‘lmaydi, am-mo soketlarga mo‘ljallangan amallarni
ko‘pincha seans sathi amallari deb yuritishadi.)
Tunnelning initsiatori va terminatori orasida uzatiluvchi axborot-ni shifrlash
transport sathi TLS(Transport Layer Security) yordamida amal-ga oshiriladi.
Tarmoqlararo ekran orqali autentifikatsiyalangan o‘tishni standartlash uchun
SOCKS deb ataluvchi protokol aniqlangan va hozirda SOCKS protokolining 5-
versiyasi kanal vositachilarini standart amalga oshirilishida ishlatiladi.
SOCKS protokolining 5-versiyasida mijoz kompyuteri vositachi (proxy)
vazifalarini bajaruvchi server bilan autentifkatsiyalangan soket (yoki seans)
o‘rnatadi. Bu vositachi-tarmoqlararo ekran orqali bog‘lanishning yagona usuli.
Vositachi, o‘z navbatida, mijoz tomonidan so‘ralgan har qanday amalni bajaradi.
Vositachiga soket sathidagi trafik ma’lumligi sababli, u sinchiklab nazorat qilishi,
masalan, muayyan ilova-larni, agar ular zaruriy vakolatlarga ega bo‘lmasa,
blokirovka qilishi mumkin.
Agar IPSec protokoli mohiyati bo‘yicha, IP tarmoqni himoyalangan tunnelga
tarqatsa, SOCKS protokoli asosidagi mahsulotlar uni alohida har bir ilova va har bir
soketga kengaytiradi. Ikkinchi va uchinchi sathning yaratilgan tunnellari ikkala
yo‘nalishda birday ishlasa, 5 sathning VPN tarmog‘i har bir yo‘nalishda uzatishni
mustaqil boshqarishga ruxsat beradi. IPSec protokolga va ikkinchi sath
protokollariga o‘xshab 5 sathning VPN tarmog‘ini virtual xususiy tarmoqlarning
boshqa turlari bilan birga ishlatilishi mumkin, chunki bu texnologiyalar bir-birini in-
kor qilmaydi.
Do'stlaringiz bilan baham: |
