Nazariy o‘quv mashg‘ulotining o‘qitish texnologiyasi

Download 277,31 Kb.

bet	7/13
Sana	10.07.2022
Hajmi	277,31 Kb.
	#770218

1 2 3 4 5 6 7 8 9 10 ... 13

Bog'liq
3- mavzu

Guruch. 6.10. AN protokolining tunnel va transport rejimlari
Rejimda transportESP butun paketni autentifikatsiya qilmaydi, faqat IP yukini himoya qiladi. ESP transport rejimidagi ESP sarlavhasi IP sarlavhasidan so'ng darhol IP paketiga qo'shiladi va ESP tugashi (ESP Trailer) mos ravishda ma'lumotlardan keyin qo'shiladi.
ESP transport rejimi paketning quyidagi qismlarini shifrlaydi:
IP yuki;

original IP-paket;

ESP tunnel rejimi uchun ICV quyidagicha hisoblanadi:

ESP sarlavhasidagi barcha maydonlar;
asl IP-paket, shu jumladan ochiq matn IV;
autentifikatsiya ma'lumotlari maydonidan tashqari barcha ESP sarlavha maydonlari.

Guruch. 6.11. ESP protokolining tunnel va transport rejimi

Guruch. 6.12. ESP va AH protokollarini solishtirish
Ilova rejimlarining qisqacha tavsifiIPSec:
Protokol - ESP (AH).
Rejim - tunnel (transport).
Kalitlarni almashtirish usuli - IKE (qo'lda).
IKE rejimi - asosiy (agressiv).
DH kaliti - 5-guruh (2-guruh, 1-guruh) - dinamik ravishda yaratilgan seans kalitlarini tanlash uchun guruh raqami, guruh uzunligi.
Autentifikatsiya - SHA1 (SHA, MD5).
Shifrlash - DES (3DES, Blowfish, AES).
Siyosatni yaratishda odatda algoritmlar va Diffie-Hellman guruhlarining tartiblangan ro'yxatini yaratish mumkin. Diffie-Hellman (DH) - bu IKE, IPSec va PFS (Perfect Forward Secrecy) uchun umumiy maxfiy kalitlarni o'rnatish uchun ishlatiladigan shifrlash protokoli. Bunday holda, ikkala tugunga mos keladigan birinchi pozitsiya ishlatiladi. Xavfsizlik siyosatidagi hamma narsa bu tasodifga erishishga imkon berishi juda muhimdir. Agar siyosatning bir qismidan tashqari hamma narsa mos kelsa, xostlar hali ham VPN ulanishini o'rnatolmaydi. O'rtasida VPN tunnelini o'rnatishda turli tizimlar Siz eng xavfsiz siyosatni tanlashingiz uchun har bir tomon qaysi algoritmlarni qo'llab-quvvatlashini bilib olishingiz kerak.
Xavfsizlik siyosati o'z ichiga olgan asosiy sozlamalar:
Ma'lumotlarni shifrlash/parchalash uchun simmetrik algoritmlar.
Ma'lumotlar yaxlitligini tekshirish uchun kriptografik nazorat summalari.
Tugunni aniqlash usuli. Eng keng tarqalgan usullar - bu oldindan ulashilgan sirlar yoki CA sertifikatlari.
Tunnel rejimi yoki transport rejimidan foydalanish kerakmi.
Qaysi Diffie-Hellman guruhidan foydalanish kerak (DH guruhi 1 (768-bit); DH guruhi 2 (1024-bit); DH guruhi 5 (1536-bit)).
AH, ESP yoki ikkalasini ishlatish kerakmi.
PFS dan foydalanish kerakmi.
IPSec-ning cheklovi shundaki, u faqat IP protokoli sathida ma'lumotlarni uzatishni qo'llab-quvvatlaydi.
IPSec-dan foydalanishning ikkita asosiy sxemasi mavjud bo'lib, ular xavfsiz kanalni tashkil etuvchi tugunlarning rolida farqlanadi.
Birinchi sxemada tarmoqning oxirgi xostlari o'rtasida xavfsiz kanal hosil bo'ladi. Ushbu sxemada IPSec protokoli ishlayotgan xostni himoya qiladi:

Guruch. 6.13. Ikki so'nggi nuqta o'rtasida xavfsiz kanal yarating
Ikkinchi sxemada ikkita Xavfsizlik shlyuzlari o'rtasida xavfsiz kanal o'rnatiladi. Ushbu shlyuzlar shlyuzlar ortidagi tarmoqlarga ulangan oxirgi xostlardan ma'lumotlarni oladi. Bu holda oxirgi xostlar IPSec protokolini qo'llab-quvvatlamaydi, umumiy tarmoqqa yo'naltirilgan trafik o'z nomidan himoyani amalga oshiradigan xavfsizlik shlyuzidan o'tadi.

Guruch. 6.14. Ikki shlyuz o'rtasida xavfsiz kanal yaratish
IPSec-ni qo'llab-quvvatlaydigan xostlar uchun transport rejimi ham, tunnel rejimi ham ishlatilishi mumkin. Shlyuzlar uchun faqat tunnel rejimiga ruxsat beriladi.

Download 277,31 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 10 ... 13