3-qism. Axborot resurslarini himoya qilish texnologiyalari
Download 0.52 Mb.
|
VPN
|
Tunnel qilish
Tunnel ochiq tarmoqlar orqali ma'lumotlarni xavfsiz uzatish uchun keng qo'llaniladi. Tunnel texnikasi yordamida ma'lumotlar paketlari umumiy tarmoq orqali oddiy nuqta-nuqta aloqasi sifatida uzatiladi. Har bir "ma'lumotlarni jo'natuvchi–qabul qiluvchi" juftligi o'rtasida bir xil tunnel o'rnatiladi – bu bitta protokol ma'lumotlarini boshqasining paketlariga kiritishga imkon beradigan xavfsiz mantiqiy ulanish. Tunnellashning mohiyati-uzatilayotgan ma'lumotlarning bir qismini xizmat ko'rsatish maydonchalari bilan birga yangi" konvert "ga"qadoqlash". Bunday holda, quyi darajadagi protokol to'plami yuqori yoki bir xil darajadagi protokol paketining ma'lumotlar maydoniga joylashtiriladi. Shuni ta'kidlash kerakki, tunnelning o'zi ma'lumotlarni ruxsatsiz kirish yoki buzilishdan himoya qilmaydi, ammo tunnel orqali kapsulalangan manba paketlarini to'liq kriptografik himoya qilish mumkin bo'ladi. Uzatilgan ma'lumotlarning maxfiyligini ta'minlash uchun jo'natuvchi manba paketlarini shifrlaydi, ularni yangi ip sarlavhasi bilan tashqi paketga joylashtiradi va tranzit tarmog'i orqali yuboradi (2-rasm). 11.1). Shakl.11.1. Tunnel qilish uchun tayyorlangan paketga misol. Tunnelning o'ziga xos xususiyati shundaki, ushbu texnologiya asl paketni nafaqat ma'lumotlar maydonini, balki sarlavha bilan birga shifrlashga imkon beradi. Bu juda muhim, chunki ba'zi sarlavha maydonlarida tajovuzkor tomonidan ishlatilishi mumkin bo'lgan ma'lumotlar mavjud. Xususan, manba paketining sarlavhasidan siz tarmoqning ichki tuzilishi - pastki tarmoqlar va tugunlar soni va ularning IP-manzillari to'g'risidagi ma'lumotlarni olishingiz mumkinIP. Tajovuzkor korporativ tarmoqqa hujumlarni tashkil qilishda bunday ma'lumotlardan foydalanishi mumkin. Shifrlangan sarlavhali asl paket tarmoq orqali transportni tashkil qilish uchun ishlatilishi mumkin emas. Shuning uchun, asl paketni himoya qilish uchun uni kapsulalash va tunnel qilish qo'llaniladi. Asl paket sarlavha bilan to'liq shifrlanadi va keyin bu shifrlangan paket ochiq sarlavhali boshqa tashqi paketga joylashtiriladi. Ochiq tarmoq orqali ma'lumotlarni tashish uchun tashqi paket sarlavhasining ochiq maydonlaridan foydalaniladi. Himoyalangan kanalning so'nggi nuqtasiga etib borgach, tashqi paketdan ichki manba paketi olinadi, dekodlanadi va ichki tarmoq orqali keyingi uzatish uchun qayta tiklangan sarlavhadan foydalaniladi (2-rasm). 11.2). Tunneldan nafaqat paket tarkibidagi maxfiylikni, balki uning yaxlitligi va haqiqiyligini ta'minlash uchun ham foydalanish mumkin, shu bilan birga elektron raqamli imzo paketning barcha maydonlariga kengaytirilishi mumkin. Shakl.11.2. Virtual tunnel sxemasi Ikki nuqta orasidagi tarmoq tuzilishini yashirishdan tashqari, tunnel ikkita mahalliy tarmoq o'rtasida yuzaga kelishi mumkin bo'lgan manzil to'qnashuvining oldini oladi. Internetga ulanmagan mahalliy tarmoqni yaratishda kompaniya IPtarmoq qurilmalari va kompyuterlari uchun har qanday IP-manzillardan foydalanishi mumkin. Ilgari ajratilgan tarmoqlarni birlashtirganda, ushbu manzillar bir-biriga va Internetda allaqachon ishlatilgan manzillarga zid kelishi mumkin. Paket kapsulasi bu muammoni hal qiladi, chunki u asl manzillarni yashirishga va Internet IP-manzil maydoniga xos bo'lgan yangi manzillarni qo'shishga imkonberadi, keyinchalik ular ma'lumotlarni umumiy tarmoqlarga yo'naltirish uchun ishlatiladi. Bunga IPmahalliy tarmoqqa ulangan mobil foydalanuvchilar uchun IP-manzil va boshqa parametrlarni sozlash vazifasi ham kiradi. Tunnel mexanizmi himoyalangan kanalni shakllantirishning turli protokollarida keng qo'llaniladi. Odatda tunnel faqat ochiq tarmoqning maxfiylik va ma'lumotlar yaxlitligini buzish xavfi mavjud bo'lgan qismida, masalan, ochiq Internetga kirish nuqtasi va korporativ tarmoqqa kirish nuqtasi o'rtasida yaratiladi. Shu bilan birga, tashqi paketlar uchun ushbu ikki nuqtada o'rnatilgan chegara yo'riqchilarining manzillari ishlatiladi va oxirgi tugunlarning ichki manzillari ichki manba paketlarida himoyalangan shaklda mavjud. Shuni ta'kidlash kerakki, tunnel mexanizmining o'zi tunnel qanday maqsadda ishlatilishiga bog'liq emas. Tunnel nafaqat uzatiladigan ma'lumotlarning butun qismining maxfiyligi va yaxlitligini ta'minlash, balki turli protokollarga ega tarmoqlar (masalan, IPv4 va IPv6) o'rtasida o'tishni tashkil qilish uchun ham qo'llanilishi mumkin. Tunnellash sizga boshqa protokoldan foydalangan holda mantiqiy muhitda bitta protokol paketlarini uzatishni tashkil qilish imkonini beradi. Natijada, uzatiladigan ma'lumotlarning yaxlitligi va maxfiyligini ta'minlash zaruriyatidan tortib, tashqi protokollar yoki manzil sxemalarining nomuvofiqligini bartaraf etishgacha bo'lgan bir nechta turli xil tarmoqlarning o'zaro ta'siri muammolarini hal qilish mumkin bo'ladi. Tunnel mexanizmini amalga oshirish uch turdagi protokollarning ishlashi natijasida ifodalanishi mumkin: protokol - "yo'lovchi", tashuvchi protokol va tunnel protokoli. Masalan, bitta korxona filiallarining mahalliy tarmoqlarida ma'lumotlarni uzatadigan IPX transport protokoli "yo'lovchi" protokoli sifatida ishlatilishi mumkin. Tashuvchi protokolning eng keng tarqalgan versiyasi IPInternet IP protokoli hisoblanadi. Tunnel protokollari sifatida PPTP va L2TP havola qatlamiprotokollari, shuningdek IPsec tarmoq qatlami protokoli ko'rsatilishi mumkinIPSec. Download 0.52 Mb. Do'stlaringiz bilan baham: 
|