Asosiy farq Inkapsulyatsiya dekapsulyatsiya va boshqalar Inkapsulyatsiya nima?


Chiqish IPsec paketini qayta ishlash



Download 39,33 Kb.
bet4/4
Sana04.06.2022
Hajmi39,33 Kb.
#634592
1   2   3   4
Bog'liq
Jalilova Gulgun Ilova sathida inkapsulyatsiya va dekapsulyatsiya

Chiqish IPsec paketini qayta ishlash

Agar yuboradigan IPsec moduli paketning ESP ishlashini kutadigan SA bilan bog'liqligini aniqlasa, u qayta ishlashni boshlaydi. Rejimga qarab (transport yoki tunnel rejimi) asl IP-paket har xil ishlov beriladi. Yuk tashish rejimida yuboruvchi IPsec moduli yuqori IP protokolni ramkalash (inkapsulyatsiya) protsedurasini (masalan, TCP yoki UDP) ESP sarlavhasi va ESP treyleridan foydalanib, asl IP paketining sarlavhasiga ta'sir qilmasdan amalga oshiradi. Tunnel rejimida IP-paket ESP sarlavhasi va ESP treyleri bilan hoshiyalanadi, so'ngra tashqi IP sarlavhasi bilan hoshiyalanadi. Bundan tashqari, shifrlash amalga oshiriladi - transport rejimida faqat pastki qavat ustidagi protokol xabari shifrlanadi (ya'ni asl paketdagi IP-sarlavhadan keyin hamma narsa), tunnel rejimida butun asl IP-paket shifrlanadi. Yuboruvchi IPsec moduli SA yozuvidan shifrlash algoritmi va maxfiy kalitni aniqlaydi. IPsec standartlari uch karra DES, AES va Blowfish shifrlash algoritmlaridan foydalanishga imkon beradi. Oddiy matn hajmi ma'lum bir baytning ko'paytmasi bo'lishi kerakligi sababli, masalan, blok algoritmlari uchun blok kattaligi, shifrlangan xabarning kerakli qo'shilishi ham shifrlashdan oldin amalga oshiriladi. Shifrlangan xabar maydonga joylashtirilgan Yuk ko'tarish ma'lumotlari... Dalada Yostiqning uzunligi plomba uzunligiga mos keladi. Keyin, hijriy ahvolda bo'lgani kabi, u ham hisoblab chiqadi Tartib raqami... Keyin checksum (ICV) hisoblanadi. Tekshirish summasi, AH protokolidan farqli o'laroq, bu erda IP sarlavhasining ba'zi maydonlari uni hisoblashda ham hisobga olinadi, ESP da faqat ESP paketining maydonlari minus ICV maydonlari bilan hisoblanadi. Tekshirish summasini hisoblashdan oldin u nol bilan to'ldiriladi. AH protokolida bo'lgani kabi, ICV ni hisoblash algoritmi, yuboruvchi IPsec moduli SA bilan ishlangan paket bilan bog'liq bo'lgan yozuv haqida ma'lumot oladi.

  1. IKE parametrlari.

Ulanishni o'rnatish vaqtida bir nechta parametrlardan foydalaniladi, ular bo'yicha kelishuvsiz VPN ulanish o'rnatib bo'lmaydi.

Oxirgi nuqtani aniqlash


Tugunlar qanday qilib bir-birini tasdiqlaydi. Eng ko'p ishlatiladigan umumiy kalit. Umumiy kalitlarga asoslangan autentifikatsiya Diffie-Hellman algoritmidan foydalanadi.
Mahalliy va masofaviy tarmoq / xost
VPN tunnel orqali yuboriladigan trafikni belgilaydi.
Tunnel yoki transport rejimi.
IPsec ikki rejimda ishlashi mumkin: tunnel va transport. Rejimni tanlash himoyalangan ob'ektlarga bog'liq.
Tunnel rejimi u uzoq ob'ektlar orasidagi himoya qilish uchun ishlatiladi, ya'ni. IP-paket to'liq yangisiga kiritilgan va faqat ikkita VPN nuqtasi orasidagi aloqa tashqi kuzatuvchiga ko'rinadi. Haqiqiy manba va manzil IP-manzillari faqat paket VPN qabul qilish punktida qabul qilinganida dekapsulyatsiya qilinganidan keyin ko'rinadi. Shuning uchun tunnel rejimi eng ko'p VPN ulanishlari uchun ishlatiladi.
Transport rejimi IP paket ma'lumotlarini himoya qiladi (TCP, UDP va yuqori qavat protokollari) va asl IP paket sarlavhasi o'zi saqlanib qoladi. Shunday qilib, kuzatuvchi uzatilgan ma'lumotlarni emas, balki asl manbani va manzilni ko'radi. Ushbu rejim ko'pincha xostlar o'rtasida mahalliy tarmoq ulanishini ta'minlashda ishlatiladi.
Masofaviy shlyuz
VPN-nuqta xavfsiz ulanishning qabul qiluvchisi bo'lib, u boshqa tomonda ma'lumotlarni parolini ochadi / tasdiqlaydi va oxirgi manzilga yuboradi.
IKE ish tartibi
IKE muzokarasi ikki rejimda ishlashi mumkin: asosiy va tajovuzkor.
Ularning orasidagi farq shundaki, tajovuzkor rejimda ulanish tezroq o'rnatilishiga imkon beradigan kamroq paketlardan foydalaniladi. Boshqa tomondan, tajovuzkor rejim Diffie-Hellman guruhlari va PFS kabi ba'zi kelishuv parametrlarini uzatmaydi, bu ularni ulanish ishtirokchilarining nuqtalarida bir xil tarzda tuzilishini talab qiladi.
IPsec protokollari
Shifrlash va autentifikatsiya qilish funktsiyalarini bajaradigan ikkita IPsec protokoli mavjud: Authentication Header (AH) va Encapsulating Security Payload (ESP).
ESP sizga shaxsiy yoki bir vaqtning o'zida shifrlash, autentifikatsiya qilish imkoniyatini beradi.
AH faqat autentifikatsiyaga ruxsat beradi. ESP autentifikatsiyasining farqi shundaki, AH tashqi IP-sarlavhani ham tasdiqlaydi va bu sizga paket haqiqatan ham unda ko'rsatilgan manbadan kelganligini tasdiqlash imkonini beradi.
IKE shifrlash
IKE shifrlash algoritmini va uning kalitlarini belgilaydi. Har xil nosimmetrik shifrlash algoritmlari qo'llab-quvvatlanadi, masalan: DES, 3DES, AES.
IKE autentifikatsiyasi
IKE muzokaralarida foydalanilgan autentifikatsiya algoritmi. Bunday bo'lishi mumkin: SHA, MD5.
IKE Diffie-Hellman (DH) guruhlari
IKE kalit almashish uchun ishlatiladigan DF guruhi. Guruh qanchalik katta bo'lsa, almashinish tugmachalarining kattaligi kattaroq.
IKE ulanish muddati
U vaqt (soniya) bilan ham, uzatilgan ma'lumotlarning hajmi (kilobayt) bilan ham ko'rsatiladi. Hisoblagichlardan biri pol qiymatiga yetishi bilanoq, yangi birinchi bosqich boshlanadi. Agar IKE aloqasi yaratilgandan beri ma'lumotlar uzatilmagan bo'lsa, tomonlardan biri VPN ulanishini yaratishni xohlamaguncha yangi aloqalar yaratilmaydi.
PFS
PFS o'chirilgan bo'lsa, kalitlarni ishlab chiqarish materiallari kalitlarni almashtirish paytida IKE muzokaralarining birinchi bosqichida olinadi. IKE muzokaralarining ikkinchi bosqichida qabul qilingan materiallar asosida sessiya kalitlari hosil bo'ladi. PFS yoqilganda, yangi seans tugmachalarini yaratishda ular uchun material har safar yangisi ishlatilganda ishlatiladi. Shunday qilib, agar kalit buzilgan bo'lsa, uning asosida yangi kalitlarni yaratish mumkin emas.
PFS ikki rejimda ishlatilishi mumkin: birinchi PFS tugmachalari har safar muzokara boshlanganda IKE ning birinchi bosqichida yangi kalit almashinuvini keltirib chiqaradi.
ikkinchi bosqich. Ikkinchi rejim, identifikatorlar bo'yicha PFS, har ikkinchi bosqich muzokaralaridan so'ng har safar birinchi bosqich SA-larni olib tashlaydi va shu bilan ikkinchi bosqich muzokaralari bir xil kalit bilan shifrlanmasligini ta'minlaydi.
IPsec DH guruhlari
DF guruhi ma'lumotlari IKE-da ishlatiladigan ma'lumotlarga o'xshash, faqat PFS uchun ishlatiladi.
IPsec shifrlash
Ma'lumotlarni shifrlashda ishlatiladigan algoritm. ESP-dan shifrlash rejimida foydalanilganda foydalaniladi. Algoritm misoli: DES, 3DES, AES.
IPsec autentifikatsiyasi
O'tkazilgan ma'lumotlarning haqiqiyligini tekshirish uchun ishlatiladigan algoritm. Autentifikatsiya rejimida AH yoki ESP holatlarida qo'llaniladi. Algoritm misoli: SHA, MD5.
IPsec ishlash muddati
VPN ulanish muddati vaqt (soniya) bilan ham, uzatilgan ma'lumotlarning hajmi (kilobayt) bilan ham ko'rsatiladi. Chegaraga birinchi bo'lib hisoblagich sessiya tugmachalarini qayta tiklashni boshlaydi. Agar IKE aloqasi yaratilgandan beri ma'lumotlar uzatilmagan bo'lsa, tomonlardan biri VPN ulanishini yaratishni xohlamaguncha yangi aloqalar yaratilmaydi.
Xulosa
Tarmoq - bu ko'plab qurilmalar bilan bog'lanish. Ushbu qurilmalar boshqasidan farq qiladi. Bu moslik muammolarini yaratishi mumkin. Bunga yo'l qo'ymaslik uchun tarmoqdagi barcha qurilmalar ma'lumotlar uzatish uchun standart tarmoq modelidan foydalanadilar. Tarmoqning asosiy modellaridan biri bu TCP / IP modeli. Ushbu modellar bir qator qatlamlardan iborat. Yangi joyga uzatilishi kerak bo'lgan ma'lumotlar har bir qatlamdan o'tishi kerak. Har bir qatlamga etib borishda ma'lumotlar ma'lumotlarga qo'shiladi. Bunga inkapsulyatsiya deyiladi. Ma'lumotlar manzilga yetganda, har bir qatlamda qo'shilgan ma'lumotlar paketdan chiqariladi. Ushbu jarayon dekapsulatsiya deb nomlanadi. Inkapsulyatsiya va dekapsulatsiya o'rtasidagi farq shundaki, inkapsulatsiyada ma'lumotlar yuqori qavatdan pastki qavatgacha siljiydi va har bir qavat sarlavha deb nomlangan ma'lumot to'plamini haqiqiy ma'lumotlar bilan birga o'z ichiga oladi, dekapsulatsiyada esa ma'lumotlar pastki qatlamni yuqori qatlamlarga va har bir qatlam haqiqiy ma'lumotlarni olish uchun tegishli sarlavhalarni ochadi.
Foydalanilgan adabiyotlar.
1. Musaev M.M. "Computer tizimlari va tarmoқlari". oliy uv
yurtlari uchun llanma. Toshkent.: "Aloқachi" nashriyoti, 2013 yil.
2. H.P. Khasanov. Takomillashgan diamatritsalar algebralari parametri algebra asosida cryptotisimlar yaratish usullari va algorithmlari. Toshkent, 2008,
3. Melnikov V. Notitia securitatis Textbook. Publisher: KnoRus. Annus editionis: 2018,
4. Zubov A. Authenticatio codes. PUBLISHER: Romae: Helios ARV. Annus editiones: 2017,
5. Barabanov A.V., Dorofeev A.V., Markov A.S., Tsirlov V.L. septem secure informationes artes / Sub. ed. A.S. Markov. M.: DMK Press, 2017
Download 39,33 Kb.

Do'stlaringiz bilan baham:
1   2   3   4



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish