3-qism. Axborot resurslarini himoya qilish texnologiyalari
Xavfsiz VPN kanallarini yaratish imkoniyatlari
Download 0.52 Mb.
|
VPN
|
Xavfsiz VPN kanallarini yaratish imkoniyatlariVPN
Axborot almashinuvining xavfsizligi mahalliy tarmoqlarni birlashtirishda ham, masofaviy yoki mobil foydalanuvchilarning mahalliy tarmoqlariga kirishda ham ta'minlanishi kerak. VPN-ni loyihalashda odatda ikkita asosiy sxema ko'rib chiqiladi: mahalliy tarmoqlar orasidagi himoyalangan virtual kanal (tarmoq-tarmoq); tugun va mahalliy tarmoq o'rtasidagi himoyalangan virtual kanal (foydalanuvchi-tarmoq) (2-rasm).11.3). Shakl.11.3. Tarmoq - tarmoq va foydalanuvchi-tarmoq kabi tunnellar. Birinchi ulanish sxemasi alohida ofislar orasidagi qimmat ajratilgan chiziqlarni almashtirishga va ular o'rtasida doimiy ravishda mavjud bo'lgan xavfsiz kanallarni yaratishga imkon beradi. Bunday holda, xavfsizlik shlyuzi tunnel va mahalliy tarmoq o'rtasidagi interfeys bo'lib xizmat qiladi, mahalliy tarmoq foydalanuvchilari bir-biri bilan aloqa qilish uchun tunneldan foydalanadilar. Ko'pgina kompaniyalar ushbu turdagi VPN-dan Frame relay kabi mavjud global tarmoq ulanishlarini almashtirish yoki qo'shimcha sifatida foydalanadilar. Xavfsiz VPN kanalining ikkinchi sxemasi masofaviy yoki mobil foydalanuvchilar bilan aloqa o'rnatish uchun mo'ljallangan. Tunnelni yaratish mijozni (masofaviy foydalanuvchi) boshlaydi. Masofaviy tarmoqni himoya qiladigan shlyuz bilan aloqa qilish uchun u o'z kompyuterida maxsus mijoz dasturini ishga tushiradi. Ushbu turdagi VPN Dial-up ulanishlarini almashtiradi va an'anaviy masofaviy kirish usullari bilan bir qatorda ishlatilishi mumkin. Xavfsiz virtual kanal sxemalari uchun bir qator variantlar mavjud. Printsipial jihatdan, himoyalangan virtual kanal hosil bo'lgan virtual korporativ tarmoqning ikkita tugunidan biri himoyalangan xabarlar oqimining so'nggi yoki oraliq nuqtasiga tegishli bo'lishi mumkin. Axborot xavfsizligini ta'minlash nuqtai nazaridan, himoyalangan tunnelning so'nggi nuqtalari himoyalangan xabarlar oqimining so'nggi nuqtalariga to'g'ri keladigan variant eng yaxshisidir. Bunday holda, xabar paketlarining butun yo'nalishi bo'ylab kanal xavfsizligi ta'minlanadi. Biroq, ushbu parametr boshqaruvni markazsizlashtirishga va resurs xarajatlarining ortiqcha bo'lishiga olib keladi. Mahalliy tarmoqning har bir mijoz kompyuteriga VPN yaratish vositalarini o'rnatish kerak. Bu kompyuter resurslariga kirishni markazlashtirilgan boshqarishni murakkablashtiradi va har doim ham iqtisodiy jihatdan oqlanmaydi. Himoya vositalarini sozlash uchun har bir mijoz kompyuterining alohida ma'muriyati katta tarmoqda juda ko'p vaqt talab qiladigan protsedura hisoblanadi. Agar virtual tarmoqqa kiradigan mahalliy tarmoq ichida trafikni himoya qilish talab qilinmasa, u holda xavfsizlik devori yoki ushbu mahalliy tarmoqning chegara yo'riqchisi himoyalangan tunnelning so'nggi nuqtasi sifatida tanlanishi kerak. Agar mahalliy tarmoq ichidagi xabarlar oqimi himoyalangan bo'lishi kerak bo'lsa, u holda himoyalangan o'zaro aloqada ishtirok etadigan kompyuter ushbu tarmoqdagi tunnelning so'nggi nuqtasi vazifasini bajarishi kerak. Masofaviy Foydalanuvchining mahalliy tarmog'iga kirishda ushbu Foydalanuvchining kompyuteri himoyalangan virtual kanalning so'nggi nuqtasi bo'lishi kerak. Foydalanish qulayligi bilan ajralib turadigan, ammo nisbatan past xavfsizlikka ega bo'lgan variant juda keng tarqalgan. Ushbu parametrga ko'ra, himoyalangan tunnel faqat paketli kommutatsiyalangan ochiq tarmoq ichida, masalan, Internet. Bunday tunnelning so'nggi nuqtalari odatda Internet-provayderlar yoki mahalliy tarmoqning chegara routerlari (xavfsizlik devorlari). Mahalliy tarmoqlarni birlashtirishda tunnel faqat chegara Internet-provayderlari yoki mahalliy tarmoq routerlari (xavfsizlik devorlari) o'rtasida hosil bo'ladi. Mahalliy tarmoqqa masofadan kirishda Internet-provayderning masofaviy kirish serveri, shuningdek, Internet-provayder yoki mahalliy tarmoqning yo'riqnoma (xavfsizlik devori) o'rtasida tunnel yaratiladi. Ushbu parametr asosida qurilgan virtual korporativ tarmoqlar yaxshi miqyoslash va boshqarish qobiliyatiga ega. Yaratilgan himoyalangan tunnellar mijoz kompyuterlari va bunday virtual tarmoqning bir qismi bo'lgan mahalliy tarmoq serverlari uchun to'liq shaffofdir. Ushbu tugunlarning dasturiy ta'minoti o'zgarishsiz qolmoqda. Biroq, ushbu parametr ma'lumotlarning o'zaro ta'sirining nisbatan past xavfsizligi bilan tavsiflanadi, chunki qisman trafik ochiq aloqa kanallari orqali himoyalanmagan shaklda o'tadi. Agar bunday VPN-ni yaratish va ishlatish Internet-provaydertomonidan amalga oshirilsa, unda butun virtual xususiy tarmoq mahalliy tarmoqlar va korxonaning uzoq foydalanuvchilari uchun shaffof ravishda uning shlyuzlarida qurilishi mumkin. Ammo provayderga ishonish va uning xizmatlari uchun doimiy to'lov muammolari mavjud. Himoyalangan tunnel tunnel hosil bo'lgan tugunlarda ishlaydigan virtual tarmoq komponentlari tomonidan yaratiladi. Ushbu komponentlar odatda tunnel tashabbuskori va tunnel terminatori deb ataladi. Tunnel tashabbuskori asl paketni jo'natuvchi va qabul qiluvchi ma'lumotlari bilan yangi sarlavhani o'z ichiga olgan yangi paketga joylashtiradi. Inkapsulyatsiya qilinadigan paketlar har qanday turdagi protokolga tegishli bo'lishi mumkin, shu jumladan NetBEUI kabi yo'naltirilmaydigan protokol paketlariNetBEUI. Tunnel orqali uzatiladigan barcha paketlar IP-paketlardir. Tunnel tashabbuskori va terminatori o'rtasidagi yo'nalish IPa dan boshqa tarmoq bo'lishi mumkin bo'lgan umumiy yo'naltirilgan IP tarmog'i Internet. Turli xil tarmoq qurilmalari va dasturlari tunnelni boshlashi va buzishi mumkin. Masalan, tunnelni modem bilan jihozlangan mobil foydalanuvchi noutbuki va masofadan kirish ulanishlarini o'rnatish uchun tegishli dasturiy ta'minot boshlashi mumkin. Tegishli funktsional imkoniyatlarga ega bo'lgan mahalliy tarmoq yo'riqchisi ham tashabbuskor sifatida harakat qilishi mumkin . Tunnel odatda tarmoq kaliti yoki xizmat ko'rsatuvchi provayder shlyuzi bilan yakunlanadi. Tunnel terminatori kapsulaga teskari jarayonni amalga oshiradi. Terminator yangi sarlavhalarni olib tashlaydi va har bir manba paketini mahalliy tarmoqdagi manzilga yo'naltiradi. Inkapsulyatsiya qilinadigan paketlarning maxfiyligi ularni shifrlash orqali, yaxlitligi va haqiqiyligi esa elektron raqamli imzoni shakllantirish orqali ta'minlanadi. Kriptografik ma'lumotlarni himoya qilishning ko'plab usullari va algoritmlari mavjud, shuning uchun tunnel tashabbuskori va terminatori bir-biriga o'z vaqtida mos kelishi va bir xil himoya usullari va algoritmlaridan foydalanishi kerak. Ma'lumotlarni shifrlash va qabul qilishda raqamli imzoni tekshirish imkoniyatini ta'minlash uchun tunnel tashabbuskori va terminatori kalitlarni xavfsiz almashish funktsiyalarini ham qo'llab-quvvatlashi kerak. Bundan tashqari, ma'lumotlarning o'zaro ta'sirining yakuniy tomonlari faqat vakolatli foydalanuvchilar o'rtasida VPN tunnellarini yaratishni ta'minlash uchun autentifikatsiya qilinishi kerak. Korporatsiyaning mavjud tarmoq infratuzilmasi dasturiy ta'minot va apparat vositalari orqali VPN-dan foydalanishga tayyorlanishi mumkin. Download 0.52 Mb. Do'stlaringiz bilan baham: 
|