Toshkent axborot axborot lashtirish texnologiyalari

sarlavhani autentifikatsiyalovchi protokol AH. Bu protokol ma’lumotlar manbaini autentifikatsiyalashni, ulaming, qabul qilin­ gan idan so‘ng, yaxlitligini va haqiqiyligini tekshirish va takroriy ax-borotlarning tiqishtirilishidan himoyani ta’minlaydi;

AH va ESP protokollari har biri alohida va birgalikda ishlatilishi mumkin. Bu protokollar vazifalarining qisqacha bayonidan ko'rinib turibdiki, ulaming imkoniyatlari qisman bir xil.

AH protokoli faqat ma’lumotlami yaxlitligini va autentifikatsiya­ lashni ta’minlashga javob beradi. ESP protokoli quvvatliroq hisoblanadi, chunki u ma’lumotlarni shifrlashi mumkin, undan tashqari, AH proto­ koli vazifasini ham bajarishi mumkin.

IKE, AH va ESP protokollarining o‘zaro aloqalari quyidagicha ke-chadi. Awal IKE protokoli bo‘yicha ikkita nuqta orasida mantiqiy ulan­ ish o‘rnatiladi. Bu ulanish IPSec standartlarida «xavfsiz assotsiatsiya»-Security Association, SA nomini olgan. Ushbu mantiqiy kanal o‘matilishida kanalning oxirgi nuqtalarini autentifikatsiyalash bajariladi hamda ma’lumotlami himoyalash parametrlari, masalan, shifrlash algo­ ritmi, sessiya maxfiy kaliti va h. tanlanadi. So'ngra xavfsiz assotsiatsiya SA tomonidan o‘matilgan doirada AHva ESP protokoli ishlay bosh-laydi. Bu protokollar yordamida uzatiluvchi ma’lumotlarning istalgan himoyasi, tanlangan parametrlardan foydalanilgan holda bajariladi.

IPSecf arxitekturasining o 'rta sathini IKE protokolida qoMlaniluvchi parametrlami muvofiqlashtirish va kalitlarni boshqarish algoritmlari hamda AH va ESP protokollarida ishlatiluvchi autentifikatsiyalash va shifrlash algoritmlari tashkil etadi.

Ta’kidlash lozimki, IPSec arxitekturasining yuqori sathidagi virtual kanalni himoyalash protokollari (AH va ESP) muayyan kriptografik algoritmlarga bog'liq emas. Autentifikatsiyalash va shifrlashning ko‘p sonli turli-tuman algoritmlaridan foydalanish imkoniyati tufayli IPSec tarmoqni himoyalashni tashkil etishning yuqori darajadagi moslanuv-chanligini ta’minlaydi. IPSecning moslanuvchanligi deganda har bir masala uchun uning yechilishining turli usullari tavsiya etilishi tu-shuniladi. Bir masala uchun tanlangan usul, odatda, boshqa masalalarni amalga oshirish usullariga bogiiq emas. Masalan, shifrlash uchun DES algoritmining tanlanishi ma’lumotlami autentifikatsiyalashda ishlatilu­ vchi daydjestni hisoblash funksiyasini tanlashga ta’sir qilmaydi.

IPSec arxitekturasining pastki sathi interpretatsiyalash domeni DOI (Domain of Interpretation)dan iborat. Interpretatsiyalash domenining qoMlanish zaruriyatiga quyidagilar sabab bo‘ldi. AH va ESP protokollari

Interpretatsiyalash domeni ma’lumotlar bazasi sifatida IPSecda ish­ latiladigan protokollar va algoritmlar, ularning parametrlari, protokol identifikatorlari va h. xususidagi axborotlarni saqlaydi. Mohiyati bo‘yicha interpretatsiyalash domeni IPSec arxitekturasida fundament rolini bajaradi. AH va ESP protokollarida autentifikatsiyalash va shifrlash algoritmlari sifatida milliy standartlarga mos keluvchi algo-ritmlardan foydalanish uchun bu algoritmlarni interpretatsiyalash domenida ro'yxatdan o‘tkazish lozim.

AH yoki ESP protokollari uzatiluvchi ma’lumotlarni quyidagi ik­ kita rejimda himoyalashi mumkin:

tunnel rejimda; IP paketlar butunlay, ularning sarlavhasi bilan birga himoyalanadi;

transport rejimida; IP paketlaming faqat ichidagilari himoyala­

nadi.

Tunnel rejimi asosiy rejim hisoblanadi. Bu rejimda dastlabki paket yangi IP paketga joylanadi va ma’lumotlarni tarmoq bo'yicha uzatish yangi IP-paket sarlavhasi asosida amalga oshiriladi. Tunnel rejimida ishlashda har bir oddiy IP-paket kriptohimoyalangan ko‘rinishda bu-tunlaycha IPSec konvertiga joylanadi. IPSec konverti, o‘z navbatida, boshqa himoyalangan IP-paketga inkapsulatsiyalanadi. Tunnel rejimi odatda maxsus ajratilgan xavfsizlik shlyuzlarida - marshrutizatorlar yoki tarmoqlararo ekranlarda amalga oshiriladi. Bunday shlyuzlar ora­ sida himoyalangan tunnellar shakllantiriladi.

Tunnelning boshqa tomonida qabul qilingan himoyalangan IP-paketlar «ochiladi» va olingan dastlabki IP-paketlar qabul qiluvchi lokal tarmoq kompyuterlariga standart qoidalar bo‘yicha uzatiladi. IP-paketlami tunnellash tunnellami egasi bo‘lmish lokal tarmoqdagi oddiy kompyuterlar uchun shaffof hisoblanadi. Oxirgi tizimlarda tunnel rejimi masofadagi va mobil foydalanuvchilarni madadlash uchun ishlatilishi mumkin. Bu holda foydalanuvchilar kompyuterida IPSecning tunnel rejimini amalga oshiruvchi dasturiy ta’minot o‘matilishi lozim.

Transport rejimida tarmoq orqali IP-paketni uzatish bu paketning dastlabki sarlavhasi yordamida amalga oshiriladi. IPSec konvertiga krip-

Tunnel yoki transport rejimidan foydalanish ma’lumotlami himoya-lashga qo'yiladigan talablarga hamda IPSec ishlovchi uzel roliga bogMiq. Himoyalanuvchi kanalni tugallovchi uzel-xost (oxirgi uzel) yoki shlyuz (oraliqdagi uzel) boMishi mumkin. Mos holda, IPSecni qoMlashning quyidagi uchta asosiy sxemasi farqlanadi:

«xost - xost»;

«shlyuz - shlyuz»;

«xost - shlyuz».

Birinchi sxemada himoyalangan kanal tarmoqning oxirgi ikkita uzeli, ya’ni HI va N2 xostlar orasida o‘matiladi (7.21-rasm), IPSecni madadlovchi xostlar uchun transport, ham tunnel rejimlaridan foydalan­ ishga ruxsat beriladi.