3-qism. Axborot resurslarini himoya qilish texnologiyalari
Download 0.52 Mb.
|
VPN
11.3.3. Routerga asoslangan VPNBugungi kunda yo'riqnoma va boshqa tarmoq qurilmalarining deyarli barcha etakchi ishlab chiqaruvchilari o'z mahsulotlarida turli xil VPN protokollarini qo'llab-quvvatlashlarini da'vo qilmoqdalar. Rossiyada Cisco Systems ushbu bozorda so'zsiz etakchi hisoblanadi, shuning uchun korporativ VPN-larni qurish ushbu kompaniyaning echimlarida eng yaxshi namoyish etiladi. Cisco routerlari asosida VPN kanallarini qurish Cisco IOS 12 versiyasidan boshlab Osning o'zi tomonidan amalga oshiriladi.X. Agar Ciscoushbu OS kompaniyaning boshqa filiallarining Cisco chegara Routerlariga o'rnatilgan bo'lsa, unda bitta martshutizatordan boshqasiga virtual himoyalangan nuqta-nuqta tunnellari to'plamidan iborat korporativ VPN yaratish mumkin (1-rasm).11.5). Bu erda va undan keyin ishlab chiqaruvchilarning veb-saytlaridan olingan xususiy VPN qurish sxemalari illyustratsiya sifatida ishlatiladi. Qoida tariqasida, "standart" kanaldagi ma'lumotlarni shifrlash uchunkalit uzunligi 56 bit bo'lgan Amerika des (Data Encryption Standard) kriptoalgoritmidan foydalaniladi. Shakl.11.5. Cisco routerlari asosida korporativ VPN qurishning odatiy sxemasi на базе маршрутизаторов Cisco. Nisbatan yaqinda Rossiya dilerlarining narxlari ro'yxatida kompaniyaning yangi mahsuloti – Cisco VPN client paydo bo'ldi, bu sizga ish stantsiyalari (shu jumladan masofaviy) va Cisco routerlari o'rtasida xavfsiz nuqtadan nuqtaga ulanishga imkon beradi, bu esa Internetva localnet-VPN - ni yaratishga imkonVPNberadi. VPN tunnelini tashkil qilish uchun Cisco routerlari hozirda L2TP (xususiy l2f (Cisco Systems) va PPTP (Microsoft Co.) protokollari asosida yaratilgan) havola qatlami protokolidan foydalanmoqda.)) va IETF assotsiatsiyasi (Internet Engineers Task Force) tomonidan ishlab chiqilgan IPsec tarmoq qatlami protokoli. Yuqorida aytib o'tilgan protokollarni jiddiy tahlil qilmasdan, biz ulardan amaliy foydalanishning eng qiziqarli tomonlarini ta'kidlaymiz. L2TP protokoli tarmoq qatlami protokollarini (IP, IPX, NetBEUI va boshqalar) "nuqta-nuqta"kanallarida datagramlarni etkazib berishni qo'llab-quvvatlaydigan tarmoqlar orqali uzatiladigan kanal qatlami paketlariga (RRR) kiritishni ta'minlaydi. Ushbu protokol VPN-da xavfsizlik muammolarini hal qilishni talab qilsa-da, shifrlash, autentifikatsiya qilish (autentifikatsiya jarayoni sessiya boshida bir marta amalga oshiriladi) va ochiq tarmoq orqali uzatiladigan har bir paketning yaxlitligini tekshirish, shuningdek kriptografik kalitlarni boshqarish tartibini aniqlamaydi. L2TP ning asosiy afzalligi uning transport qatlamidan mustaqilligi bo'lib, uni heterojen tarmoqlarda ishlatishga imkon beradi. L2TP-ning juda muhim sifati bu Windows 2000-da qo'llab-quvvatlashdir, bu asosan VPNMicrosoft va Cisco mahsulotlari asosida birlashtirilgan VPN-larni yaratishga imkon Microsoft и Ciscoberadi. Biroq, L2TP protokolining" kanal tabiati " uning muhim kamchiliklariga sabab bo'ladi: himoyalangan paketni kompozit tarmoqlar orqali kafolatlangan uzatish uchun barcha oraliq marshrutizatorlar ushbu protokolni qo'llab-quvvatlashlari kerak, bu aniq kafolat berish qiyin. Ko'rinishidan, shu sababli, Cisco bugungi kunda yanada zamonaviy VPN protokoli – IPSec-ni targ'ib qilishga diqqat bilan qaradi. Bugungi kunda IPSec xavfsizlik nuqtai nazaridan eng rivojlangan va mukammal Internet protokollaridan biridir. Xususan, IPSec har bir paket darajasida autentifikatsiya, yaxlitlikni tekshirish va xabarlarni shifrlashni ta'minlaydi (IPsec kriptografik kalitlarni boshqarish uchun avvalgi Oakley versiyasida yaxshi o'rnatilgan IKE protokolidan foydalanadi). Bundan tashqari, protokolning tarmoq darajasida ishlashi IPSec-ning strategik afzalliklaridan biridir, chunki unga asoslangan VPN-lar istisnosiz barcha dasturlar va tarmoq xizmatlari uchun ham, ma'lumot uzatish tarmoqlari uchun ham to'liq shaffof ishlaydi. Shuningdek, IPSec shifrlangan paketlarni oraliq marshrutizatorlarni qo'shimcha sozlamasdan tarmoqlarga yo'naltirishga imkon beradi, chunki u IPv4-da qabul qilingan standart ip sarlavhasini saqlaydi. Va IPsec-ning kelajakdagi IPv6 Internet protokolining ajralmas qismi sifatida kiritilganligi uni korporativ VPN-larni tashkil qilish uchun yanada jozibador qiladi. Afsuski, IPSec ba'zi kamchiliklarga ham ega: faqat TCP/IP stekini qo'llab-quvvatlash va juda katta miqdordagi xizmat ma'lumotlari, bu past tezlikli aloqa kanallarida ma'lumotlar almashish tezligining sezilarli darajada pasayishiga olib kelishi mumkin, afsuski, Rossiyada mavjud kanallarning aksariyatini ishonchli tarzda bog'lash mumkin. Routerlar asosida korporativ VPN-larni qurishga qaytsak, ushbu qurilmalarning asosiy vazifasi trafikni yo'naltirish ekanligini ta'kidlaymiz, ya'ni paketlarni kripto bilan qayta ishlash qo'shimcha hisoblash resurslarini talab qiladigan qo'shimcha funktsiyadir. Boshqacha qilib aytganda, agar sizning yo'riqnoma juda katta ishlash chegarasiga ega bo'lsa, unda VPN-ni shakllantirish unga "ishonib topshirilishi" mumkin. Ammo, agar yo'riqnoma "chegarada" ishlayotgan bo'lsa, u o'z ishining umumiy funktsiyasini buzmasdan bu vazifani bajara olmaydi. Routerlar asosida VPN-ni qurishda, ushbu yondashuvning o'zi kompaniyaning umumiy axborot xavfsizligini ta'minlash muammosini hal qilmasligini yodda tutish kerak, chunki barcha ichki axborot resurslari tashqi hujumlarga ochiq bo'lib qolmoqda. Ushbu resurslarni himoya qilish uchun, qoida tariqasida, chegara marshrutizatorlari orqasida joylashgan xavfsizlik devorlari (me) ishlatiladi, ya'ni yo'riqchidan MEGACHA bo'lgan kanalda va undan keyin barcha maxfiy ma'lumotlar "ochiq" shaklda bo'ladi. Bu, xususan, yo'riqchini iloji boricha me ga "yaqinroq" qo'yish kerakligini anglatadi, yaxshisi umumiy himoyalangan joyda. Routerlarga asoslangan VPN-ni qurishning muhim kamchiliklaridan biri shundaki, bu holda kompaniyaning axborot resurslarini tashqi hujumlardan himoya qilishning yagona muammosini hal qilish bir nechta funktsional mustaqil qurilmalarga (masalan, yo'riqnoma va me) taqsimlanadi. Ushbu yondashuv jiddiy tashkiliy va texnik muammolarga olib kelishi mumkin, masalan, tarmoqning axborot xavfsizligini buzganlik uchun javobgarlikni aniqlash. Download 0.52 Mb. Do'stlaringiz bilan baham: 
|