Nazorat savollari

Download 135,79 Kb.

bet	6/6
Sana	26.04.2020
Hajmi	135,79 Kb.
	#47322

1 2 3 4 5 6

Bog'liq
SАТ2 17-маъруза Nazorat savollari

Xost-xost” topologiyasi. Bunday topologiya juda kam uchraydi. Gap bir-birlari bilan shifrlangan va shifrlanmagan ma’lumotlarni almashadigan ikkita xostlar haqida bormoqda. Bunday konfiguratsiyada tunnel ikkita xostlar orasida tashkil etiladi va ular orasidagi butun trafik VPN ichida inkapsulyasiyalanadi. Bunday tarmoqlarda amaliy qo‘llanishlar kam, lekin misol sifatida geografik ajratilgan zahiralashtirish serverini aytish mumkin. Har ikkala xostlar Internetga ulangan va markaziy serverdan ma’lumotlar manzillashtirish serveriga simmetrik ko‘chiriladi. Masalan, “xost-xost” turdagi oddiy VPN tarmoqlar bitta darajali tarmoqlarni (Ad Hoc) himoyalash uchun ishlatilishi mumkin.

Tunnellash usuli bo‘yicha ma’lumotlar paketi umumfoydalanuvchi tarmoq orqali xuddi oddiy ikki nuqtali ulanish bo‘yicha uzatilganidek uzatiladi. Har bir "jo‘natuvchi-qabul qiluvchi" juftligi orasiga bir protokol ma’lumotlarini boshqasining paketiga inkapsulyatsiyalashga imkon beruvchi o‘ziga xos tunnel-mantiqiy ulanish o‘rnatiladi.

4.Tunnellashga binoan, uzatiluvchi ma’lumotlar porsiyasi xizmatchi hoshiyalar bilan birga yangi "konvert"ga "joylash" amalga oshiriladi. Bunda pastroq satx protokoli paketi yuqoriroq yoki xuddi shunday sath protokoli paketi ma’lumotlari maydoniga joylashtiriladi.

Tunnellashdan paket tarkibini nafaqat konfidentsialligini, balki uning butunligini va autentiligini ta’minlashda foydalaniladi. Bunda elektron raqamli imzoni paketning barcha hoshiyalariga tarqatish mumkin.

Internet bilan bog‘lanmagan lokal tarmoq yaratilganda kompaniya o‘zining tarmoq qurilmalari va kompyuterlari uchun hohlagan IP-adresdan foydalanishi mumkin.

Tunellash mexanizmi himoyalanuvchi kanalni shakllantiruvchi turli protokollarda keng qo‘llaniladi. Odatda tunnel faqat ma’lumotlarning konfidentsialligi va yaxlitligining buzilishi xavfi mavjud bo‘lgan ochiq tarmoq qismida, masalan, ochiq Internet va korporativ tarmoq kirish nuqtalari orasida yaratiladi.

Bunda tashqi paketlar uchun ushbu ikki nuqtada o‘rnatilgan chegara marshrutizatorlarining adreslaridan foydalanilsa, oxirgi uzellarning ichki adreslari ichki dastlabki paketlarda ximoyalangan holda saqlanadi.

Tunnellash mexanizmini amalga oshirilishiga uch xil protokollar ishlatiladi:

protokol- «yo‘lovchi»;
protokol eltuvchi;
tunnellash.

Protokol - "yo‘lovchi" sifatida bitta korxona filiallarining lokal tarmoqlarida ma’lumotlarni tashuvchi transport protokoli IPX ishlatilishi mumkin. Eltuvchi protokolning eng ko‘p tarqalgan varianti Internet tarmog‘ining IP protokoli hisoblanadi. Tunnellash protokoli sifatida kanal sathi protokolari PPTP va L2TP, xamda tarmoq satxi protokoli IPSec ishlatilishi mumkin. Tunnellash tufayli Internet infratuzilmasini VPN-ilovalardan berkitish mumkin bo‘ladi.

Tunnelashning o‘zi ma’lumotlarni ruxsatsiz foydalanishdan yoki buzishdan himoyalamaydi, ammo tunnellash tufayli inkapsulyasiyalanuvchi dastlabki paketlarni to‘la kriptografik himoyalash imkoniyati paydo bo‘ladi.

Uzatiluvchi ma’lumotlar konfidentsialligini ta’minlash maqsadida jo‘natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IP-sarlavxa bilan tashqi paketga joylaydi va tranzit tarmoq bo‘yicha jo‘natadi (4.28-rasm).

4.28- rasm. Tunnellashga tayyorlangan paket ko‘rinishi

Ochiq tarmoq bo‘yicha ma’lumotlarni tashishda tashqi paket sarlavhasining ochiq kanallaridan foydalaniladi.

Inkapsulyasiya o‘z - o‘zidan tunnellashtiriladigan ma’lumotlarning konfidentsialligi va butunligi darajasini oshirmaydi.

Konfidentsiallik shifrlash yordamida ta’minlanadi. Ma’lumotlarni shifrlash usullarining ko‘pligi sababli, initsiator va tunnel terminatori bir xil usuldan foydalanishi muhim o‘rin tutadi. Bundan tashqari ma’lumotlarni muvaffaqiyatli shifrini echish uchun initsiator va terminator kalitlar bilan almashish imkoniga ega bo‘lishlari kerak. Tunnellar faqat vakolatli foydalanuvchilar o‘rtasida yaratilishi uchun oxirgi nuqtalar identifikatsiya qilinishi kerak. Tunnellanadigan ma’lumotlarning butunligini xabarni tanlab olish shaklida yoki o‘zgartirish yoki yo‘q qilishni aniqlash uchun xesh-funksiya yordamida ta’minlash mumkin.

Uchinchi satx (va undan ham yuqori sath) trafigini inkapsulyasiya qilishning unifikatsiya qilingan usulini Windows mijozlari va serverlarida amalga oshirish uchun Microsoft, Ascend Communications va 3Com kompaniyalari o‘zida RRR protokolining kengaytirilishini ifodalovchi ikki nuqta o‘rtasida ma’lumotlarni etkazib berilishini boshqarishning tunel protokolini (Point-to-Point Tunneling Protocol, RRTR) ishlab chiqdilar.

Cisco Systems kompaniyasi OSI (Laer-2 Forwarding, L2F) modelining ikkinchi sathida tarqatish protokolini ishlab chiqdilar, bu yordamida uzoq masofadagi mijozlar Internet provayderi kanallari bo‘ylab bog‘lanishlari va identifikatsyalanishlari mumkin.

Ushbu ikkita bir biri bilan chambarchas bog‘langan IETF protokollari birlashtirilgan bo‘lib va natijada eng yaxshi RRTR va L2Fni o‘z ichiga oluvchi protokol yuzaga keldi va u ikkinchi sath tunnellash protokoli (Laer-2 Tunneling Protocol, L2TP) deb nomlanadi. Uni Cisco, Microsoft, 3Com, Ascend kompaniyalari va bir qancha boshqa ishlab chiqaruvchilar qo‘llab quvvatladilar. Avval uchragan ikkinchi sath protokollari singari, L2TPning spetsifikatsiyasi identifikatsiya va shifrlash usullarini ta’riflamaydi.

VPNning barcha komponentlari uchun standart usullar tavsiflangan IETF spetsifikatsiyasi bo‘lib IPSec (Internet Protocol Security) protokoli hisoblanadi, ba’zida u uchinchi sath tunellash (Laer-3 Tunneling) deb nomlanadi. IPSec protokoli tunnelni initsiatsiya qilishda foydalanuvchilarni yoki kompyuterlarni identifikatsiya qilishning standart usullarini, tunnelning oxirgi nuqtalari tomonidan shifrlashdan foydalanishning standart usullarini, shuningdek, oxirgi nuqtalar o‘rtasida shifrlash kalitlarini almashish va boshqarishning standart usullarini ko‘zda tutadi.

IPSec protokoli L2TP bilan birgalikda ishlashi mumkin, natijada ushbu ikkita protokol o‘ta ishonchli identifikatsiyani, standartlashtirilgan shifrlashni va ma’lumotlarning butunligini ta’minlaydi.

Initsiator va tunnel terminatori o‘rtasida uzatiladigan axborotning shifrlanishi, ko‘pincha transport sathi muxofazasi (Transport Laer Security, TLS) yordamida amalga oshiriladi. IETF brandmauerlar orqali autentifikatsiyalangan o‘tishni standartlashtirish uchun SOCKS nomli protokolni belgiladi va hozirgi vaqtda SOCKS 5 kanal vositachilarini standartlashtirilgan tarzda amalga oshirilishi uchun foydalanilmoqda.

Boshqa istalgan hisoblash funksiyasi kabi VPN tarmoqlarini yaratish ishlari dasturiy ta’minot yordamida o‘tkaziladi. VPNning yaratilishi uchun dasturiy ta’minot turli apparat platformalarida bajarilishi mumkin. VPN funksiyalari marshrutizatorlarni (OSI modelining uchinchi sathida), kommutatorlarni (OSI modelining ikkinchi sathida), apparat va dasturiy amalga oshiriladigan brandmauerlarni qo‘llab-quvvatlashi mumkin.

Download 135,79 Kb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6