Kommunikatsiyalarini rivojlantirish vazirligi muxammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti farg

VPN  xavfsizligi  shlyuzining  adresi  kiruvchi  tunnellanuvchi  paketning  tashqi  adresi 

sifatida  ko‘rsatiladi,  paketning  ichki  adresi  esa  shlyuz  orqasidagi  muayyan  xost 

adresi  hisoblanadi. VPN  xavfsizligi shlyuzi alohida dasturiy echim, alohida apparat 

qurilmasi,  hamda  VPN  vazifalari  bilan  to‘ldirilgan  marshrutizatorlar  yoki 

tarmoqlararo ekran ko‘rinishida amalga oshirilishi mumkin. 

Axborot  uzatishning  ochiq  tashqi  muhiti  ma’lumot  uzatishning  tezkor 

kanallarini  (Internet  muhiti)  va  aloqaning  sekin  ishlaydigan  umumfoyda-lanuvchi 

kanallarini  (masalan,  telefon  tarmog‘i  kanallarini)  o‘z  ichiga  oladi.  Virtual  xususiy 

tarmoq  VPNning  samaradorligi  aloqaning  ochiq  kanallari  bo‘yicha  aylanuvchi 

axborotning  himoyalanish  darajasiga  bog‘liq.  Ochiq  tarmoq  orqali  ma’lumotlarni 

xavfsiz  uzatish  uchun  inkapsulyasiyalash  va tunnellash keng  ishlatiladi. Tunnellash 

usuli  bo‘yicha  ma’lumotlar  paketi  umumfoydalanuvchi  tarmoq  orqali  xuddi  oddiy 

ikki  nuqtali  ula-nish  bo‘yicha  uzatilganidek  uzatiladi.  Har  bir  "jo‘natuvchi-qabul 

qiluvchi"  juftligi  orasiga  bir  protokol  ma’lumotlarini  boshqasining  paketiga 

inkapsulyasiyalashga imkon beruvchi o‘ziga xos tunnel-mantiqiy ulanish o‘rnatiladi. 

Tunnellashga binoan, uzatiluvchi  ma’lumotlar porsiyasi  xizmatchi  hoshiyalar 

bilan  birga  yangi  "konvert"ga  "joylash"  amalga  oshiriladi.  Bunda  pastroq  sath 

protokoli  paketi  yuqoriroq  yoki  xudi  shunday  sath  protokoli  paketi  ma’lumotlari 

maydoniga  joylashtiriladi.  Ta’kidlash  lozimki,  tunnelashning  o‘zi  ma’lumotlarni 

ruxsatsiz  foydalanishdan  yoki  buzishdan  himoyalamaydi,  ammo  tunnellash  tufayli 

inkapsulyasiyalanuvchi  dastlabki  paketlarni  to‘la  kriptografik  himoyalash 

imkoniyati  paydo  bo‘ladi.  Uzatiluvchi  ma’lumotlar  konfidensialligini  ta’minlash 

maqsadida jo‘natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IP sarlavha bilan 

tashqi paketga joylaydi va tranzit tarmoq bo‘yicha jo‘natadi (8.1-rasm). 

Ochiq   tarmoq   bo‘yicha   ma’lumotlarni   tashishda   tashqi   paket 

sarlavhasining ochiq kanallaridan foydalaniladi. 

Tashqi  paket  himoyalangan  kanalning  oxirgi  nuqtasiga  kelishi  bilan  undan 

ichki  dastlabki  paket  chiqarib  olinib,  rasshifrovka  qilinadi  va  uning  tiklangan 

sarlavhasi ichki tarmoq bo‘yicha keyingi uzatish uchun ishlatiladi. 

Tunnellashdan  paket  tarkibini  nafaqat  konfidensialligini,  balki  uning 

yaxlitligini  va  autentiligini  ta’minlashda  foydalaniladi.  Bunda  elektron  raqamli 

imzoni paketning barcha hoshiyalariga tarqatish mumkin. 

Internet  bilan  bog‘lanmagan  lokal  tarmoq  yaratilganda  kompaniya  o‘zining 

tarmoq  qurilmalari  va  kompyuterlari  uchun  hohlagan  IP-adresdan  foydalanishi 

mumkin.  Oldin  yakkalangan  tarmoqlarni  birlashtirishda  bu  adreslar  bir-birlari  va 

Interne^  ishlatilayotgan  adreslar  bilan  to‘qnashishlari  mumkin.  Paketlarni 

inkapsulyasiyalash  bu  muammoni  echadi,  chunki  u  dastlabki  adreslarni  berkitishga 

va  Internet  IP  adreslari  makoni-dagi  noyob  adreslarni  qo‘shishga  imkon  beradi.  Bu 

adreslar  keyin  ma’lu-motlarni  ajratiluvchi  tarmoqlar  bo‘yicha  uzatishda  ishlatiladi. 

Bunga  lo-kal  tarmoqqa  ulanuvchi  mobil  foydalanuvchilarning  IP-adreslarini  va 

boshqa parametrlarini sozlash masalasi ham kiradi. 

Tunellash 

mexanizmi 

himoyalanuvchi  kanalni  shakllantiruvchi  turli 

protokollarda  keng  qo‘llaniladi.  Odatda  tunnel  faqat  ma’lumotlarning 

konfidensialligi  va  yaxlitligining  buzilishi  xavfi  mavjud  bo‘lgan  ochiq  tarmoq 

qismida,  masalan,  ochiq  Internet  va  korporativ  tarmoq  kirish  nuqtalari  orasida, 

yaratiladi.  Bunda  tashqi  paketlar  uchun  ushbu  ikki  nuqtada  o‘rnatilgan  chegara 

marshrutizatorlarining  adreslaridan  foydala-nilsa,  oxirgi  uzellarning  ichki  adreslari 

ichki  dastlabki  paketlarda  himoyalangan  holda  saqlanadi.  Ta’kidlash  lozimki, 

tunellash  mexanizmi-ning  o‘zi  qanday  maqsadlarda  tunnellash  qo‘llanilayotganiga 

bog‘liq  emas.  Tunnellash  nafaqat  uzatilayotgan  barcha  ma’lumotlarning 

konfidensialli-gi va yaxlitligini ta’minlashda, balki turli protokolli (masalan IPv4 va 

IPv6)  tarmoqlar  orasida  o‘tishni  tashkil  etishda  ham  qo‘llaniladi.  Tunnel-lash  bir 

protokol  paketini  boshqa  protokoldan  foydalanuvchi  mantiqiy  muhitda  uzatishni 

tashkil  etishga  imkon  beradi.  Natijada  bir  necha  turli  xil  tarmoqlarning  o‘zaro 

aloqalari muammosini hal etish imkoniyati pay-do bo‘ladi. 

Tunnellash  mexanizmini  amalga  oshirilishiga  uch  xil  protokollar:  protokol-

"yo‘lovchi",  protokol  eltuvchi  va  tunnellash  protokoli  ishlashi  natijasi  deb  qarash 

mumkin.  Masalan,  protokol  -  "yo‘lovchi"  sifatida  bitta  korxona  filiallarining  lokal 

tarmoqlarida  ma’lumotlarni  tashuv-chi  transport  protokoli  IPX  ishlatilishi  mumkin. 

Eltuvchi protokolning eng   ko‘p    tarqalgan    varianti    Internet   tarmog‘ining   IP    

protokoli 

-

 

lokal tarmoqlar orasidagi virtual himoyalangan kanal ("LXT-LHT" kanal); 

-

 

uzel  va  lokal  tarmoq  orasidagi  virtual  himoyalangan  kanal  ("mi-joz-LHT" 

kanali). 

Ulanishning  birinchi  sxemasi  alohida  ofislar  orasidagi  qimmatli  ajratilgan 

liniyalar  o‘rniga  o‘tadi  va  ular  orasida  doimo  foydalanuvchan,  himoyalangan 

kanallarni  yaratadi.  Bu  holda  xavfsizlik  shlyuzi  tunnel  va  lokal  tarmoq  orasida 

interfeys  vazifasini  o‘taydi  va  lokal  tarmoq  foy-dalanuvchilari  bir-birlari  bilan 

muloqot  qilishda  tunneldan  foydalana-dilar.  Aksariyat  kompaniyalar  \F1CHning  bu 

hilidan global tarmoqning mavjud Frame Relay kabi ulanishlarni almashtirish uchun 

yoki ularga qo‘shimcha sifatida foydalanadilar. 

VPN  himoyalangan  kanalning  ikkinchi  sxemasi  masofadagi  yoki  mobil 

foydalanuvchilar  bilan  ulanishni  o‘rnatishga  atalgan.  Tunnelni  yaratishni  mijoz 

(masofadan  foydalanuvchi)  boshlab  beradi.  Masofadagi  tarmoqni  himoyalovchi 

shlyuz  bilan  bog‘lanish  uchun  u  o‘zining  kompyuterida  maxsus  mijoz  dasturiy 

ta’minotini  ishga  tushiradi.  VPNning  bu  turi  kommuta-siyalanuvchi  ulanishlarni 

o‘rniga  o‘tadi  va  masofadan  foydalanishning  an’-anaviy  usullari  bilan  bir  qatorda 

ishlatilishi mumkin. 

Virtual  himoyalangan  kanallarning  qator  variantlari  mavjud.  Umu-man, 

orasida  virtual  himoyalangan  kanal  shakllantiriluvchi  korporativ  tarmoqning  har 

qanday  ikkita  uzeli  himoyalanuvchi  axborot  oqimining  oxirgi  va  oraliq  nuqtasiga 

taalluqli  bo‘lishi  mumkin.  Axborot  xavfsiz-ligi  nuqtai  nazaridan  himoyalangan 

tunnel  oxirgi  nuqtalarining  himoyalanuvchi  axborot  oqimining  oxirgi  nuqtalariga 

mos  kelishi  varian-ti  ma’qul  hisoblanadi.  Bu  holda  kanalning  axborot  paketlari 

o‘tishining  barcha  yo‘llari  bo‘ylab  himoyalanishi  ta’minlanadi.  Ammo  bu  variant 

boshqarishning  detsentralizatsiyalanishiga  va  resurs  sarfining  oshishiga  olib  keladi. 

Agar  virtual  tarmoqdagi  lokal  tarmoq  ichida  trafikni  himoyalash  talab  etilmasa, 

himoyalangan  tunnelning  oxirgi  nuqtasi  sifati-da  ushbu  lokal  tarmoqning 

tarmoqlararo ekrani yoki chegara marshrutizato-ri  tanlanishi  mumkin.   Agar  lokal  

tarmoq    ichidagi      axborot      oqimi  himoyalanishi  shart  bo‘lsa,  bu  tarmoq  oxirgi 

nuqtasi vazifasini himoyalangan aloqada ishtirok etuvchi kompyuter bajaradi. 

Lokal  tarmoqdan  masofadan  foydalanilganida  foydalanuvchi  komp-yuteri 

virtual  himoyalangan  kanalning  oxirgi  nuqtasi  bo‘lishi  shart.  Faqat  paketlarni 

kommutatsiyalashli  ochiq  tarmoq,  masalan  Internet  ichida  o‘tkaziluvchi 

himoyalangan  tunnel  varianti  etarlicha  keng  tarqalgan.  Ushbu  variant  ishlatilishi 

qulayligi  bilan  ajralib  tursada,  nisbatan  past  xavfsizlikka  ega.  Bunday  tunnelning 

oxirgi  nuqtalari  vazifasini  odatda  Internet  provayderlari  yoki  lokal  tarmoq  chegara 

marshrutizatorlari (tarmoqlararo ekranlar) bajaradi. 

Lokal  tarmoqlar  birlashtirilganida  tunnel  faqat  Internetning  chega-ra 

provayderlari  yoki  lokal  tarmoqning  marshrutizatorlari  (tarmoqlararo  ekranlari) 

orasida  shakllantiriladi.  Lokal  tarmoqdan  masofadan  foyda-lanilganida  tunnel 

Internet provayderining masofadan foydalanish serve-ri, hamda Internetning chegara 

provayderi yoki lokal tarmoq marshrutizatori (tarmoqlararo ekran) orasida yaratiladi. 

Ushbu  variant bo‘yicha qurilgan korporativ tarmoqlar  yaxshi  masshtablanuvchanlik 

va boshqariluvchanlikka ega bo‘ladi. SHakllantirilgan himoyalangan tunnellar ushbu 

virtual tarmoqdagi mijoz kompyuterlari va serverlari uchun to‘la shaffof hisoblanadi. 

Ushbu  uzellarning  dasturiy  ta’minoti  o‘zgarmaydi.  Ammo  bu  variant  axborot 

aloqasining  nisbatan  past  xavfsizligi  bilan  xarakter-lanadi,  chunki  trafik  qisman 

ochiq  aloqa  kanali  bo‘yicha  himoyalanmagan  holda  o‘tadi.  Agar  shunday  VPNni 

yaratish va ekspluatatsiya qilishni pro-vayder ISP o‘z zimmasiga olsa, barcha virtual 

xususiy  tarmoq  uning  shlyuz-larida,  lokal  tarmoqlar  va  korxonalarning  masofadagi 

foydalanuvchilari  uchun  shaffof  holda  qurilishi  mumkin.  Ammo  bu  holda 

provayderga ishonch va uning xizmatiga doimo to‘lash muammosi paydo bo‘ldi. 

Himoyalangan  tunnel,  orasida  tunnel  shakllantiriluvchi  uzellardagi  virtual 

tarmoq komponentlari  yordamida  yaratiladi.  Bu komponentlarni tunnel  initsiatorlari 

va tunnel terminatorlari deb yuritish qabul qilingan. 

Download 1,6 Mb.

Do'stlaringiz bilan baham: