7 .20 -rasm . IP S ec p ro to k o lla ri ste k in in g a rxitektu ra si.
sarlavhani autentifikatsiyalovchi protokol AH. Bu protokol ma’lumotlar manbaini autentifikatsiyalashni, ulaming, qabul qilin gan idan so‘ng, yaxlitligini va haqiqiyligini tekshirish va takroriy ax-borotlarning tiqishtirilishidan himoyani ta’minlaydi;
- himoyani inkapsulatsiyalovchi protokol ESP. Bu protokol uzati-luvchi ma’lumotlarni kriptografik berkitishni, autentifikatsiyalashni va yaxlitligini ta’minlaydi hamda takroriy axborotlaming tiqishtirilishidan himoyalaydi.
AH va ESP protokollari har biri alohida va birgalikda ishlatilishi mumkin. Bu protokollar vazifalarining qisqacha bayonidan ko'rinib turibdiki, ulaming imkoniyatlari qisman bir xil.
AH protokoli faqat ma’lumotlami yaxlitligini va autentifikatsiya lashni ta’minlashga javob beradi. ESP protokoli quvvatliroq hisoblanadi, chunki u ma’lumotlarni shifrlashi mumkin, undan tashqari, AH proto koli vazifasini ham bajarishi mumkin.
IKE, AH va ESP protokollarining o‘zaro aloqalari quyidagicha ke-chadi. Awal IKE protokoli bo‘yicha ikkita nuqta orasida mantiqiy ulan ish o‘rnatiladi. Bu ulanish IPSec standartlarida «xavfsiz assotsiatsiya»-Security Association, SA nomini olgan. Ushbu mantiqiy kanal o‘matilishida kanalning oxirgi nuqtalarini autentifikatsiyalash bajariladi hamda ma’lumotlami himoyalash parametrlari, masalan, shifrlash algo ritmi, sessiya maxfiy kaliti va h. tanlanadi. So'ngra xavfsiz assotsiatsiya SA tomonidan o‘matilgan doirada AHva ESP protokoli ishlay bosh-laydi. Bu protokollar yordamida uzatiluvchi ma’lumotlarning istalgan himoyasi, tanlangan parametrlardan foydalanilgan holda bajariladi.
IPSecf arxitekturasining o 'rta sathini IKE protokolida qoMlaniluvchi parametrlami muvofiqlashtirish va kalitlarni boshqarish algoritmlari hamda AH va ESP protokollarida ishlatiluvchi autentifikatsiyalash va shifrlash algoritmlari tashkil etadi.
Ta’kidlash lozimki, IPSec arxitekturasining yuqori sathidagi virtual kanalni himoyalash protokollari (AH va ESP) muayyan kriptografik algoritmlarga bog'liq emas. Autentifikatsiyalash va shifrlashning ko‘p sonli turli-tuman algoritmlaridan foydalanish imkoniyati tufayli IPSec tarmoqni himoyalashni tashkil etishning yuqori darajadagi moslanuv-chanligini ta’minlaydi. IPSecning moslanuvchanligi deganda har bir masala uchun uning yechilishining turli usullari tavsiya etilishi tu-shuniladi. Bir masala uchun tanlangan usul, odatda, boshqa masalalarni amalga oshirish usullariga bogiiq emas. Masalan, shifrlash uchun DES algoritmining tanlanishi ma’lumotlami autentifikatsiyalashda ishlatilu vchi daydjestni hisoblash funksiyasini tanlashga ta’sir qilmaydi.
IPSec arxitekturasining pastki sathi interpretatsiyalash domeni DOI (Domain of Interpretation)dan iborat. Interpretatsiyalash domenining qoMlanish zaruriyatiga quyidagilar sabab bo‘ldi. AH va ESP protokollari
modulli tuzilmaga ega, ya’ni foydalanuvchilar o‘zaro kelishilgan holda shifrlash va autentifikatsiyalashning turli kriptografik algoritmlaridan foydalanishlari mumkin. Shu sababli, barcha ishlatiluvchi va yangi kiritiluvchi protokol va algoritmlarning birgalikda ishlashini ta’min-lovchi modul zarur. Aynan shu vazifalar interpretatsiyalash domeniga yuklatilgan.
Interpretatsiyalash domeni ma’lumotlar bazasi sifatida IPSecda ish latiladigan protokollar va algoritmlar, ularning parametrlari, protokol identifikatorlari va h. xususidagi axborotlarni saqlaydi. Mohiyati bo‘yicha interpretatsiyalash domeni IPSec arxitekturasida fundament rolini bajaradi. AH va ESP protokollarida autentifikatsiyalash va shifrlash algoritmlari sifatida milliy standartlarga mos keluvchi algo-ritmlardan foydalanish uchun bu algoritmlarni interpretatsiyalash domenida ro'yxatdan o‘tkazish lozim.
AH yoki ESP protokollari uzatiluvchi ma’lumotlarni quyidagi ik kita rejimda himoyalashi mumkin:
tunnel rejimda; IP paketlar butunlay, ularning sarlavhasi bilan birga himoyalanadi;
transport rejimida; IP paketlaming faqat ichidagilari himoyala
nadi.
Tunnel rejimi asosiy rejim hisoblanadi. Bu rejimda dastlabki paket yangi IP paketga joylanadi va ma’lumotlarni tarmoq bo'yicha uzatish yangi IP-paket sarlavhasi asosida amalga oshiriladi. Tunnel rejimida ishlashda har bir oddiy IP-paket kriptohimoyalangan ko‘rinishda bu-tunlaycha IPSec konvertiga joylanadi. IPSec konverti, o‘z navbatida, boshqa himoyalangan IP-paketga inkapsulatsiyalanadi. Tunnel rejimi odatda maxsus ajratilgan xavfsizlik shlyuzlarida - marshrutizatorlar yoki tarmoqlararo ekranlarda amalga oshiriladi. Bunday shlyuzlar ora sida himoyalangan tunnellar shakllantiriladi.
Tunnelning boshqa tomonida qabul qilingan himoyalangan IP-paketlar «ochiladi» va olingan dastlabki IP-paketlar qabul qiluvchi lokal tarmoq kompyuterlariga standart qoidalar bo‘yicha uzatiladi. IP-paketlami tunnellash tunnellami egasi bo‘lmish lokal tarmoqdagi oddiy kompyuterlar uchun shaffof hisoblanadi. Oxirgi tizimlarda tunnel rejimi masofadagi va mobil foydalanuvchilarni madadlash uchun ishlatilishi mumkin. Bu holda foydalanuvchilar kompyuterida IPSecning tunnel rejimini amalga oshiruvchi dasturiy ta’minot o‘matilishi lozim.
Transport rejimida tarmoq orqali IP-paketni uzatish bu paketning dastlabki sarlavhasi yordamida amalga oshiriladi. IPSec konvertiga krip-
tohimoyalangan ko‘rinishda faqat IP-paket ichidagi joylanadi va olingan konvertga dastlabki IP-sarlavha qo'shiladi. Transport rejimi tunnel rejimiga nisbatan tezkor va oxirgi tizimlarda qoMlanish uchun ishlab chiqilgan. Ushbu rejim masofadagi va mobil foydalanuvchilarni hamda lokal tarmoq ichidagi axborot oqimini himoyalashni madadlashda ishla tilishi mumkin. Ta’kidlash lozimki, transport rejimida ishlash himoya langan o‘zaro aloqa guruhiga kiruvchi barcha tizimlarda o‘z aksini topadi va aksariyat hollarda tarmoq ilovalarini qayta dasturlash talab etiladi.
Tunnel yoki transport rejimidan foydalanish ma’lumotlami himoya-lashga qo'yiladigan talablarga hamda IPSec ishlovchi uzel roliga bogMiq. Himoyalanuvchi kanalni tugallovchi uzel-xost (oxirgi uzel) yoki shlyuz (oraliqdagi uzel) boMishi mumkin. Mos holda, IPSecni qoMlashning quyidagi uchta asosiy sxemasi farqlanadi:
«xost - xost»;
«shlyuz - shlyuz»;
«xost - shlyuz».
Birinchi sxemada himoyalangan kanal tarmoqning oxirgi ikkita uzeli, ya’ni HI va N2 xostlar orasida o‘matiladi (7.21-rasm), IPSecni madadlovchi xostlar uchun transport, ham tunnel rejimlaridan foydalan ishga ruxsat beriladi.
7 .2 l-ra sm . « X o st-xo st» sxem a si.
Ikkinchi sxemaga binoan, himoyalangan kanal har birida IPSec pro tokoli ishlovchi, xavfsizlik shlyuzlari SGI va SG2 (Security Gateway) deb ataluvchi oraliqdagi ikkita uzellar orasida o‘matiladi (7.22-rasm).
Do'stlaringiz bilan baham: |