Ipsec qanday port. Ipsec protokollar. Chiqish ip paketlarini qayta ishlash 0
IPSec tunnel va transport usullari
Download 300.58 Kb.
|
d
IPSec tunnel va transport usullari
IPSec tunnel yoki transport rejimida ishlaydi. Rasmda tunnel rejimini amalga oshirish sxemasi ko'rsatilgan. Ushbu rejimda barcha asl IP ma'lumotlar diagrammasi shifrlangan va yangi IP sarlavhasi va ixtiyoriy IPSec sarlavhasi bo'lgan yangi IP paketida yukga aylanadi (rasmda, sarlavha HDR deb qisqartirilgan). Tunnel rejimi tarmoq qurilmasiga (masalan, PIX xavfsizlik devori) IPSec shlyuzi yoki proksi-server vazifasini bajarishga imkon beradi, bu xavfsizlik devori orqasidagi xostlarni shifrlashni ta'minlaydi. Manba yo'riqnoma paketni shifrlaydi va uni IPSec tunneli orqali uzatadi. Belgilangan PIX Xavfsizlik devori qabul qilingan IPSec paketini shifrlaydi, asl IP ma'lumotlar sxemasini chiqarib oladi va uni maqsad tizimiga uzatadi. Tunnel rejimining asosiy afzalligi shundaki, IPSec-dan foydalanish uchun so'nggi tizimlarni o'zgartirish kerak emas. Tunnel rejimi shuningdek, dushmanga ma'lumot oqimini tahlil qilishiga to'sqinlik qiladi. Tunnel rejimida almashish paytida, raqib faqat tunnelning so'nggi nuqtalarini aniqlash imkoniyatiga ega, ammo tunnel orqali o'tadigan paketlarning haqiqiy manbai va manzilini, hatto tunnelning so'nggi nuqtalari manba va maqsad tizimlarida joylashgan bo'lsa ham. Quyidagi rasmdagi diagramma transport rejimini ko'rsatadi. Bu erda faqat IP yuk yuki shifrlangan va asl IP sarlavhasi saqlanib qoladi. IPSec sarlavhasi qo'shilgan. Ushbu rejimning afzalligi shundaki, har bir paketga atigi bir necha bayt qo'shiladi. Bundan tashqari, ochiq tarmoq qurilmalari paketning haqiqiy manbai va manzil manzillarini ko'rishlari mumkin. Bu IP sarlavhasidagi ma'lumotlarga asoslanib, oraliq tarmoqlarning maxsus xususiyatlaridan (masalan, kafolatlangan xizmat sifati) foydalanishga imkon beradi. Biroq, Layer 4 sarlavhasi shifrlangan, bu paketni tahlil qilish imkoniyatini cheklaydi. Afsuski, IP sarlavhasini o'tkazish ochiq shakl transport rejimida tajovuzkor ma'lum bir darajada ma'lumot oqimini tahlil qilishga imkon beradi. Masalan, tajovuzkor transport rejimida ishlaydigan IPSec partiyalari tomonidan qancha paketlar uzatilishini bilib olishi mumkin. Ammo tajovuzkor faqat IP-paketlar yuborilganligini bilib olishi mumkin. U ular xabar bo'lganmi yoki yo'qligini aniqlay olmaydi elektron pochta yoki ESP protokoli ishlatilgan bo'lsa, boshqa dastur. Download 300.58 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling