8.5. IPSec
протоколлар стекини химояланган виртуал хусусий тармоцлар
куришда ишлатилиши
IPSec
протоколи (Internet Protocol Security) асосан IP тармокларда
маълумотларни хавфеиз узатишни таъминлашга аталган. IPSecHHHr ишлати-
лиши к,уйидагиларни кафолатлайди:
-
узатилаётган маълумотларнинг яхлитлигини, яъни маълумотлар уза-
тилишида бузилмайди, йукрлмайди ва такрорланмайди;
-
жунатувчининг аутентлигини, яъни маълумотлар х,ак,ик,ий жунатувчи
томонидан узатилган;
-
узатиладиган маълумотларнинг конфиденциаллигини, яъни маълу
мотлар шундай шаклда узатиладики, уларни рухсатсиз куздан кечиришнинг
олди олинади.
Таъкидлаш лозимки, маълумотлар хавфсизлиги тушунчасига одатда,
яна бир талаб-маълумотларнинг фойдаланувчанлиги киритилади. Маълумот-
ларнинг фойдаланувчанлиги деганда маълумотлар етказилишининг кафолати
тушунилади. IPSec протоколлари бу масалани х,ал этмайди ва уни транс-
порт сатхд ISPra крлдиради. IPSec протоколлар стеки тармок, сатхида ах-
борот химоясини таъминлайди. Бу химоянинг ишловчи иловаларга
куринмаслигига олиб келади.
IP-
пакет IP тармокларда коммуникациянинг фундаментал бирлиги
хисобланади. Унинг тузилмаси 8.19-расмда келтирилган. IP-пакет таркибида
манба адреси S ва ахборот кабул килувчининги адреси D, транспорт
сарлавхаси, бу пакетда ташилувчи маълумотлар хили хусусидаги ахборот ва
маълумотларнинг узи булади.
ff-
сарлав^а
Адрес-D
Транспорт TCPси
ёки UDP сарлавхд
Маълумотлар
8.19-
расм. IP-пакет тузилмаси
Аутентификациялашни, узатилувчи маълумотларнинг конфиденциал-
лиги ва яхлитлигини таъминлаш максадида, IPSec протоколларининг стеки
катор стандартлаштирилган криптографик технологиялар асосида курилган:
-
калитларни алмаштириш очик, тармокдан фойдаланувчилар орасида
махфий калитларни так,симлашнинг Диффи-Хеллман алгоритми буйича
амалга оширилади;
-
иккала томоннинг х,ак,ик,ийлигини кафолатлаш ва main-in-the-midle
хилидаги хужумларни олдини олиш максадида Диффи-Хеллман алгоритми
буйича алмашишларни имзолашда очик, калитлар криптографиясидан фой-
даланилади;
-
очик, калитларнинг х,ак,ик,ийлигини тасдиклашда рак,амли сертифи-
катлар ишлатилади;
-
маълумотларни шифрлашда блокли симметрик алгоритмлардан фой-
даланилади;
-
хэшлаш функциялари асосида ахборотларни аутентификациялаш ал-
горитмлари ишлатилади.
Адрес-S
Хдмояланган канални урнатиш ва мададлашдаги асосий масалалар
куйидагилар:
-
фойдаланувчилар ёки компьютерларни аутентификациялаш;
-
химояланган каналнинг охирги нукталари орасида узатилувчи
маълумотларни шифрлаш ва аутентификациялаш;
-
каналнинг охирги нукталарини маълумотларни аутентификациялаш-
да ва шифрлашда керак буладиган махфий калитлар билан таъминлаш.
Юкррида санаб утилган масалаларни х,ал этишда IPSec тизими ахбо-
рот алмашиш хавфсизлиги воситаларининг комплексидан фойдаланади.
IPSec
протоколининг аксарият амалга оширилишида куйидаги компо-
нентлардан фойдаланилади:
-
IPSecHHHr
асосий протоколи. Ушбу компонент химояни инкапсуля-
цияловчи протокол ESP (Encapsulation Security Рау1оас1)ни ва сарлавхани
аутентификацияловчи протоколи AH(Authentication Header)HH амалга оши-
ради. У сарлавх,аларни ишлайди; пакетга кулланиладиган хавфсизлик сиёса-
тини аникдаш учун SPD ва SAD маълумотлар базаси билан узаро алока
килади;
-
калит ахборотларини алмашишни бошкариш протоколи IKE. IKE
одатда фойдаланиш сатхида кулланилади (операцион тизимга урнатилгани
бундан истисно);
-
хавфсизлик сиёсатларининг маълумотлар базаси SPD (Security Poli
cy Database).
Бу энг мухим компонентлардан бири булиб, пакетга
кулланиладиган хавфсизлик сиёсатини белгилайди. SPD дан асосий прото
кол IPSec томонидан кирувчи ва чикувчи пакетларни ишлашда фойдалани
лади;
-
хавфсиз ассоциацияларнинг маълумотлар базаси SPD (Security Asso-
cition Database).
Бу маълумотлар базаси кирувчи ва чикувчи ахборотни иш-
лаш учун хавфсиз ассоциациялар SA(Security Association) руйхатини
саклайди. Чик,увчи 8Алардан чикувчи пакетларни химоялашда, кирувчи
8Алардан эса IPSec сарлавх,али пакетларни ишлашда фойдаланилади. SAD
маълумотлар базаси SA билан кулда ёки калитларин бошк,ариш протокол-
лари IKE ёрдамида тулдирилади;
-
хавфсизлик сиёсатини ва хавфсиз ассоцияцияларни бошкариш. Бу -
хавфсизлик сиёсатини ва SA
HH
бошкарувчи иловалар.
Асосий протокол IPSec (ESP ва АНни амалга оширувчи) ТСРЯР про-
токолларининг транспорт ва тармок, стеклари билан узаро узвий алокада
булади. IPSecHH тармок, сатхининг кисми дейиш мумкин. IPSecHHHr асосий
модули иккита интерфейсни - кириш йули ва чикиш йули интерфейсларни
таъминлайди. Кириш йули интерфейси кирувчи пакетлар томонидан,
чикиш йули интерфейси эса чикувчи пакетлар томонидан фойдаланилади.
IPSecHHHr
амалга оширилиши ТСРЯР протоколлар стекининг транспорт ва
тармок, сатхдари орасидаги интерфейсга боглик, булмаслиги лозим.
SPD
ва SAD маълумотлар базаси IPSec ишлашига жиддий таъсир
курсатади. Улардаги маълумотлар тузилмасини танлаш IPsec ишлашининг
унумдорлигига таъсир этади.
1Р8есдаги барча протоколларни иккита гурухга ажратиш мумкин:
-
узатилувчи маълумотларни бевосита ишловчи (уларнинг хавфсизли-
гини таъминлаш учун) протоколлар;
-
биринчи гурух, протоколларига керакли химояланган уланишлар па-
раметрларини автоматик тарзда мувофиклаштиришга имкон берувчи прото
коллар.
IPSec
ядросини учта АН, ESP ва виртуал канал ва калитларни
бошк,ариш IKE параметрларини мувофикдаштирувчи протоколлар ташкил
этади.
IPSecHHHr
хавфсизлик воситаларининг архитектураси 8.20-расмда
келтирилган.
Архитектуранинг
юцори сагщида
куйидаги протоколлар жойлашган:
-
виртуал канал параметрларини мувофикдаштирувчи ва калитларни
бошкариш протоколи IKE. Бу протокол химояланган канални инициализа-
циялаш усулини, жумладан ишлатилувчи криптох,имоялаш алгоритмларини
мувофикдаштиришни х,амда х,имояланган уланиш доирасида махфий калит
ларни алмашиш ва бошкариш муолажаларини белгилайди;
Протокол
АН
Протокол
ESP
Протокол
IKE
Do'stlaringiz bilan baham: |