8.2. Хдмояланган виртуал хусусий тармоцларнинг туркумланиши
Химояланган виртуал хусусий тармокдар VPN
HH
туркумлашни турли
вариантлари мавжуд. Купинча туркумлашнинг куйидаги учта аломати ишла-
тилади:
-
OSI
моделининг иш сатхи;
-
VPN
техник ечимининг архитектураси;
-
VPN
HH
техник амалга ошириш усули.
OSI
моделининг иш сатуи буйича VPN
HUHZ
туркумланиши.
Ушбу
туркумлаш анчагина кизикиш тугдиради, чунки амалга оширилувчи
VPN
HHHF
функционаллиги ва унинг корпоратив ахборот тизимлари илова-
лари хамда химоянинг бошка воситалари билан биргаликда ишлатилиши
куп хрлларда танланган OSI сатхига боглик, булади.
OSI
моделининг иш сатх, аломати буйича канал сатхддаги VPN,
тармок, сатх,идаги VPN ва сеанс сатхидаги VPN фаркланади. Демак,
УРМлар одатда OSI моделининг пастки сатхдарида к,урилади. Бунинг саба-
би шуки, х,имояланган канал воситалари канчалик пастки сатхда амалга
оширилса, уларни иловаларга ва татбик,ий протоколларга шунчалик шаф-
фоф к,илиш соддалашади. Тармок, ва канал сатхдарида иловаларнинг х,имоя
протоколларига богликдиги умуман йукрлади. Шу сабабли, фойдаланувчи-
лар учун универсал ва шаффоф х,имояни факат OSI моделининг пастки
сатхдарида куриш мумкин. Аммо, бунда биз бошка муаммога-х,имоя прото-
колининг муайян тармок, технологиясига богликдиги муаммосига дуч кела-
миз.
Каналъ сатхидаги VPN.
OSI
моделининг канал сатх,ида ишлатилувчи
VPN
воситалари учинчи (ва юкррирок) сатхнинг турли хил трафигини ин-
капсулациялашни таъминлашга ва "нукта-нукта" тилидаги виртуал туннел-
ларни (маршрутизатордан маршрутизаторга ёки шахсий компьтердан локал
х,исоблаш тармогининг шлюзигача) куришга имкон беради. Бу гурухга L2F
(Layer 2 Forwarding)
ва PPTP (Point-to-Point Tunneling Protocol) протокол-
лари хдмда Cisco Systems и MicroSoft фирмаларининг бирга ишлаб чикдан
L2TP(Layer 2 Tunneling Protocol)
стандартидан фойдаланувчи VPN-
махсулотлар тааллукди.
Хдмояланган каналнинг протоколи РРТР "нукта-нукта" уланишлари-
да, масалан, ажратилган линияларда ишлаганда кенг кулланилувчи РРР
протоколига асосланган. РРТР протоколи иловалари ва татбикдй сатх, хиз-
матлари учун хдмоя воситаларининг шаффофлигини таъминлайди ва
тармок, сатхдда ишлатилувчи протоколга боглик, эмас. Хусусан, РРТР про-
токоли хам IP тармокдарида, хам IPX, DECnet ёки NetBEUL протоколлари
асосида ишловчи тармокдарда пакетларни ташиши мумкин. Аммо, РРР
протоколи хдмма тармокдарда хам ишлатилмаслиги сабабли (аксарият ло-
кал тармокдарида канал сатхдда Ethernet протоколи ишласа, глобал
тармокдарда ATM, Frame Relay тармокдари ишлайди), уни универсал воси-
та деб беулмайди. Йирик бирикма тармокнинг турли кисмларида, умуман
айтганда, турли канал протоколлари ишлатилади. Шу сабабли бу гетероген
мухдт оркали канал сатхднинг ягона протоколи ёрдамида хдмояланган ка-
нални утказиш мумкин эмас.
L2TP
протоколи, эхтимол, локал хдсоблаш тармокдаридан фойдала-
нишни ташкил этишда устунлик к,илувчи ечим булиб крлиши мумкин (чун-
ки у, асосан, Windows операцион тизимига таянади.)
Тармоц сатщдаги VPN.
Тармок, сатх,идаги УР1Ч-мах,сулотлар 1Рни
IPra
инкапсуляциялашни бажаради. Бу сатхдаги кенг тарк,алган протокол-
лардан бири SKIP протоколидир. Аммо бу протоколни аутентификациялаш,
туннеллаш ва IP-пакетларни шифрлаш учун аталган IPSec(IPSecurity) про-
токоли аста-секин суриб чикармокда.
Тармок, сатхдда ишловчи IPSec протоколи муросага асосланган вари-
ант х,исобланади. Бир томондан у иловадар учун шаффоф, иккинчи томон-
дан кенг таркалган IP протоколига асосланганлиги сабабли барча
тармокдарда ишлаши мумкин. Шу орада эсдан чикармаслик лозимки,
IPSecHHHr
спецификацияси IPra мулжалланганлиги сабабли у тармок,
сатхднинг бошка протоколлари трафиги учун тугри келмайди. IPSec прото-
коли L2TP протоколи билан биргаликда ишлаши мумкин. Натижада бу ик-
ки протокол ишончли идентификациялашни, стандартланган шифрлашни
ва маълумотлар яхлитлигини таъминлайди. Иккита локал тармок, орасидаги
1Р8естуннели маълумотлар узатувчи якка тармоклар тупламини мададлаши
мумкин. Натижада бу хилдаги иловалар масштабланиш нуктаи назаридан
иккинчи сатх, технологияларига нисбатан устунликка эга булади.
IPSec
протоколи билан масофадаги курилмалар орасида криптогра-
фик калитларни хавфсиз бошкариш ва алмашиш масалаларини ечувчи IKE
(Internet Key Exchange)
протоколи богланган. IKE протоколи калитларни
алмашишни автоматлаштиради ва химояланган уланишни уранатади, IPSec
эса пакетларни кодлайди ва "имзо чекади". Ундан ташкари, IKE урнатилган
уланиш учун калитни узгартириш имкониятига эга. Бу узатилувчи ахборот-
нинг конфиденциаллигини оширади.
Сеанс сстцидаги VPN.
Баъзи VPNnap "канал воситачилари" (circuit
proxy)
деб аталувчи усулдан фойдаланади. Бу усул транспорт сатхи устида
ишлайди ва хар бир сокет учун алохида трафикни химояланган тармокдан
умумфойданувчи Internet тармогига ретрансляциялайди. (IP сокети ТСР-
уланишнинг ва муайян порт ёки берилган порт UDP комбинацияси оркали
идентификацияланади. TCP/IP стекида бешинчи-сеанс сатхи булмайди, ам-
мо сокетларга мулжалланган амалларни купинча сеанс сатх,и амаллари деб
юритишади.)
Туннелнинг инициатори ва терминатори орасида узатилувчи ахборот-
ни шифрлаш транспорт сатхи TLS(Transport Layer Security) ёрдамида амал-
га оширилади. Тармокдараро экран орк,али аутентификацияланган у
тишни
стандартлаш учун SOCKS деб аталувчи протокол аникланган ва хрзирда
SOCKS
протоколининг 5-версияси канал воситачиларини стандарт амалга
оширилишида ишлатилади.
SOCKS
протоколининг 5-версиясида мижоз компьютери воситачи
(proxy)
вазифаларини бажарувчи сервер билан аутентифкацияланган сокет
(ёки сеанс) ур
ната
ди- Бу воситачи-тармокдараро экран оркали
богланишнинг ягона усули. Воситачи, у
3
навбатида, мижоз томонидан
суралган х,ар к,андай амални бажаради. Воситачига сокет сатхидаги трафик
маълумлиги сабабли, у синчиклаб назорат килиши, масалан, муайян илова-
ларни, агар улар зарурий ваколатларга эга булмаса, блокировка килиши
мумкин.
Агар IPSec протоколи мох,ияти буйича, IP тармокни химояланган
туннелга таркатса, SOCKS протоколи асосидаги махсулотлар уни алохдда
хар бир илова ва хар бир сокетга кенгайтиради. Иккинчи ва учинчи
сатхнинг яратилган туннеллари иккала йуналишда бирдай ишласа, 5
сатхнинг VPN тармоги хар бир йуналишда узатишни мустакил бошкаришта
рухсат беради. IPSec протоколга ва иккинчи сатх, протоколларига ухшаб 5
сатхнинг VPN тармогини виртуал хусусий тармокдарнинг бошка турлари
билан бирга ишлатилиши мумкин, чунки бу технологиялар бир-бирини ин-
кор килмайди.
Do'stlaringiz bilan baham: |