|
TARMOQLAR
7.1. Himoyalangan virtual xususiy tarmoqlarni qurish konsepsiyasi
Intemetning gurillab rivojlanishi natijasida dunyoda axborotni tarqatish va foydalanishda sifatiy o‘zgarish sodir boMdi. Internet foy dalanuvchi lari arzon va qulay kommunikatsiyaga ega bo‘ldilar. Korxonalar Internet kanallaridan jiddiy tijorat va boshqaruv axborot-larini uzatish imkoniyatlariga qiziqib qoldilar. Ammo Intemetning quril-ishi prinsipi niyati buzuq odamlarga axborotni o‘g‘irlash yoki atayin buzish imkoniyatini yaratdi. Odatda, TCP/IP protokollar va standart lnternet-ilovalar (e-mail, Web, FTP) asosida qurilgan korporativ va idora tarmoq lari suqilib kirishdan kafolatlanmaganlar.
Intemetning hamma yerda tarqalishidan manfaat ko‘rish maqsadida tarmoq hujumlariga samarali qarshilik ko‘rsatuvchi va biznesda ochiq tarmoqlardan faol va xavfsiz foydalanishga imkon beruvchi virtual xususiy tarmoq VPN yaratish ustida ishlar olib borildi. Natijada, 1990-yilning boshida virtual xususiy tarmoq VPN konsepsiyasi yaratildi. «Virtual» iborasi VPN atamasiga ikkita uzel o‘rtasidagi ulanishni vaqtincha, deb ko‘rilishini ta’kidlash maqsadida kiritilgan. Haqiqatan, bu ulanish doimiy, qat’iy boMmay, faqat ochiq tarmoq bo'yicha traflk o‘tganida mavjud boMadi.
Virtual tarmoq VPNlarni qurish konsepsiyasi asosida yetarlicha od-diy g‘oya yotadi: agar global tarmoqda axborot almashinuvchi ikkita uzel boMsa, bu uzellar orasida ochiq tarmoq orqali uzatilayotgan ax borotning konfidensialligini va yaxlitligini ta’minlovchi virtual himoya langan tunnel qurish zarur va bu virtual tunneldan barcha mumkin boMgan tashqi faol va passiv kuzatuvchilarning foydalanishi haddan tashqari qiyin boMishi lozim.
Shunday qilib, VPN tunneli ochiq tarmoq orqali o‘tkazilgan ulanish boMib, u orqali virtual tarmoqning kriptografik himoyalangan axborot paketlari uzatiladi. Axborotni VPN tunneli bo'yicha uzatilishi jarayoni-dagi himoyalash quyidagi vazifalami bajarishga asoslangan:
o'zaro aloqadagi taraflami autentifikatsiyalash;
uzatiluvchi ma’lumotlami kriptografik berkitish (shifrlash);
yetkaziladigan axborotning haqiqiyligini va yaxlitligini tekshirish. Bu vazifalar bir-biriga bog'liq boMib, ulami amalga oshirishda ax
borotni kriptografik himoyalash usullaridan foydalaniladi. Bunday hi-moyalashning samaradorligi simmetrik va asimmetrik kriptografik tizimlaming birgalikda ishlatilishi evaziga ta’minlanadi. VPN qurilma-lari tomonidan shakllantiriluvchi VPN tunneli himoyalangan ajratilgan liniya xususiyatlariga ega boMib, bu himoyalangan ajratilgan liniyalar umumfoydalanuvchi tarmoq, masalan, Internet doirasida, saflanadi. VPN qurilmalari virtual xususiy tarmoqlarda VPN-mijoz, VPN-server yoki VPN xavfsizligi shlyuzi vazifasini o‘tashi mumkin.
VPN-mijoz, odatda shaxsiy kompyuter asosidagi dasturiy yoki das-turiy-apparat kompleksi boMib, uning tarmoq dasturiy ta’minoti u boshqa VPN-mijoz, VPN-server yoki VPN xavfsizligi shlyuzlari bilan almashinadigan trafikni shifrlash va autentifikatsiyalash uchun modifi-katsiyalanadi. Odatda, VPN-mijozning amalga oshirilishi standart ope-ratsion tizim - Windows NT/2000 yoki Unixni toMdiruvchi dasturiy yechimdan iborat bo‘ladi.
VPN-server server vazifasini o‘tovchi, kompyuterga o‘rnatiluvchi dasturiy yoki dasturiy-apparat kompleksidan iborat. VPN-server tashqi tarmoqlaming ruxsatsiz foydalanishidan serverlami himoyalashni hamda alohida kompyuterlar va mos VPN-mahsulotlari orqali himoya-langan lokal tarmoq segmentlaridagi kompyuterlar bilan himoyalangan ulanishlarni tashkil etishni ta’minlaydi. VPN-server VPN-mijozning server platformalari uchun funksional analog hisoblanadi. U awalo, VPN-mijozlar bilan ko'pgina ulanishlarni inadadlovchi kengaytirilgan resurslari bilan ajralib turadi. VPN-server mobil foydalanuvchilar bilan ulanishlarni ham madadlashi mumkin.
VPN xavfsizlik shlyuzi. (Security gateway) ikkita tarmoqqa ulanu-vchi tarmoq qurilmasi bo‘lib, o‘zidan keyin joylashgan ko‘p sonli xost-lar uchun shifrlash va autentifikatsiyalash vazifalarini bajaradi. VPN xavfsizligi shlyuzi shunday joylashtiriladiki, ichki korporativ tarmoqqa atalgan barcha trafik u orqali o‘tadi. VPN xavfsizligi shlyuzining adresi kiruvchi tunnellanuvchi paketning tashqi adresi sifatida ko‘rsatiladi, paketning ichki adresi esa shlyuz orqasidagi muayyan xost adresi hisoblanadi. VPN xavfsizligi shlyuzi alohida dasturiy yechim, alohida apparat qurilmasi hamda VPN vazifalari bilan to'ldirilgan marshrutiza-torlar yoki tarmoqlararo ekran ko‘rinishida amalga oshirilishi mumkin.
Axborot uzatishning ochiq tashqi muhiti ma’lumot uzatishning tez kor kanallarini (Internet muhiti) va aloqaning sekin ishlaydigan umum-foydalanuvchi kanallarini (masalan, telefon tarmog‘i kanallarini) o'z ichiga oladi. Virtual xususiy tarmoq VPNning samaradorligi aloqaning ochiq kanallari bo'yicha aylanuvchi axborotning himoyalanish dara-jasiga bog'liq. Ochiq tarmoq orqali ma’lumotlami xavfsiz uzatish uchun inkapsulatsiyalash va tunnellash keng ishlatiladi. Tunnellash usuli bo'yicha ma’lumotlar paketi umumfoydalanuvchi tarmoq orqali xuddi oddiy ikki nuqtali ulanish bo'yicha uzatilganidek uzatiladi. Har bir «jo'natuvchi qabul qiluvchi» juftligi orasiga bir protokol ma’lumotlarini boshqasining paketiga inkapsulatsiyalashga imkon beruvchi o'ziga xos tunnel-mantiqiy ulanish o'rnatiladi.
Tunnellashga binoan, uzatiluvchi ma’lumotlar porsiyasi xizmatchi hoshiyalar bilan birga yangi «convert»ga «joylash» amalga oshiriladi. Bunda pastroq sath protokoli paketi yuqoriroq yoki xuddi shunday sath protokoli paketi ma’lumotlari maydoniga joylashtiriladi. Ta’kidlash lozimki, tunnelashning o'zi ma’lumotlarni ruxsatsiz foydalanishdan yoki buzishdan himoyalamaydi, ammo tunnellash tufayli inkapsulatsiyalanu-vchi dastlabki paketlami to'la kriptografik himoyalash imkoniyati paydo bo'ladi. Uzatiluvchi ma’lumotlar konfidensialligini ta’minlash maqsadida jo'natuvchi dastlabki paketlarni shifrlaydi, ularni, yangi IP-sarlavha bilan tashqi paketga joylaydi va tranzit tarmoq bo'yicha jo'natadi (7.1-rasm).
Ochiq tarmoq bo'yicha ma’lumotlami tashishda tashqi paket sar-lavhasining ochiq kanallaridan foydalaniladi.
|
|
Y angi paket
|
|
|
Yangi IP-
|
AH -
|
ESP-
|
Dastlabki IP
|
Ma’lumotlar
|
sarlavha
|
sarlavha
|
sarlavha
|
- sarlavha
|
|
Dastlabki paket
Do'stlaringiz bilan baham: |
