Mavzu: Virtual tarmoqlarni tashkil qiluvchi protokollar
Download 0.69 Mb.
|
Virtual tarmoqlarni tashkil qiluvchi protokollar
|
IPSec komponentlari
AH (Autentifikatsiya sarlavhasi) protokoli sarlavhani identifikatsiya qilish protokoli. Uzatish vaqtida paketning himoyalangan qismidagi bitlar o'zgartirilmaganligini tekshirish orqali butunlikni ta'minlaydi. Ammo AH dan foydalanish, masalan, paket NAT qurilmasi orqali o'tganda muammolarga olib kelishi mumkin. NAT xususiy mahalliy manzildan Internetga kirishga ruxsat berish uchun paketning IP manzilini o'zgartiradi. Chunki bu holda paket o'zgaradi, keyin AH nazorat summasi noto'g'ri bo'ladi (bu muammoni bartaraf etish uchun UDP orqali ESP uzatishni ta'minlaydigan NAT-Traversal (NAT-T) protokoli ishlab chiqilgan va o'z ishida UDP port 4500 dan foydalanadi). Shuni ham ta'kidlash kerakki, AH faqat yaxlitlik uchun yaratilgan. Paket tarkibini shifrlash orqali maxfiylikni kafolatlamaydi. ESP (Encapsulation Security Payload) protokoli nafaqat uzatilgan ma'lumotlarning yaxlitligi va autentifikatsiyasini, balki ma'lumotlarni shifrlashni, shuningdek, paketlarni buzishdan himoya qilishni ham ta'minlaydi. ESP protokoli yaxlitlik va maxfiylikni ta'minlaydigan inkapsulatsiyalangan xavfsizlik protokolidir. Transport rejimida ESP sarlavhasi asl IP sarlavhasi va TCP yoki UDP sarlavhasi o'rtasida joylashgan. Tunnel rejimida ESP sarlavhasi yangi IP sarlavhasi va to'liq shifrlangan asl IP paketi o'rtasida joylashtiriladi. Chunki ikkala protokol - AH va ESP - o'z IP sarlavhalarini qo'shing, ularning har biri o'z protokol raqamiga (ID) ega bo'lib, ular orqali IP sarlavhasidan keyin nima bo'lishini aniqlashingiz mumkin. Har bir protokol, IANA (Internet Assigned Numbers Authority - Internetning manzil maydoni uchun mas'ul tashkilot) ma'lumotlariga ko'ra, o'z raqamiga (ID) ega. Masalan, TCP uchun bu raqam 6, UDP uchun esa 17. Shuning uchun xavfsizlik devori orqali ishlashda filtrlarni protokolning ID AH va/yoki ESP bilan paketlarni uzatadigan tarzda sozlash juda muhimdir. Protokol ID 51 IP sarlavhasida AH va ESP uchun 50 mavjudligini ko'rsatish uchun o'rnatiladi. DIQQAT: Protokol identifikatori port raqami bilan bir xil emas. IKE (Internet Key Exchange) protokoli virtual xususiy tarmoqlarda aloqani himoyalash uchun foydalaniladigan standart IPsec protokolidir. IKE maqsadi xavfsiz muzokaralar olib borish va aniqlangan materialni xavfsizlik uyushmasiga (SA) yetkazib berishdir. SA ulanish uchun IPSec atamasi. O'rnatilgan SA ("xavfsiz assotsiatsiya" yoki "xavfsizlik assotsiatsiyasi" deb ataladigan xavfsiz kanal - Security Association, SA) umumiy maxfiy kalit va kriptografik algoritmlar to'plamini o'z ichiga oladi. IKE protokoli uchta asosiy vazifani bajaradi: ikkita VPN so'nggi nuqtasi o'rtasida autentifikatsiya vositasini taqdim etadi; yangi IPSec havolalarini o'rnatadi (bir juft SA yaratadi); mavjud munosabatlarni boshqaradi. IKE 500-raqamli UDP portidan foydalanadi. NAT Traversal xususiyatidan foydalanganda, avval aytib o'tilganidek, IKE protokoli UDP port raqami 4500-dan foydalanadi. IKE-da ma'lumotlar almashinuvi 2 bosqichda sodir bo'ladi. Birinchi bosqichda SA IKE assotsiatsiyasi tashkil etiladi. Shu bilan birga, kanalning so'nggi nuqtalari autentifikatsiya qilinadi va ma'lumotlarni himoya qilish parametrlari, masalan, shifrlash algoritmi, seans kaliti va boshqalar tanlanadi. Ikkinchi bosqichda SA IKE protokol muzokaralari uchun ishlatiladi (odatda IPSec). Konfiguratsiya qilingan VPN tunnel bilan har bir ishlatiladigan protokol uchun bitta SA jufti yaratiladi. SAlar juft bo'lib yaratilgan, kabi har bir SA bir yo'nalishli ulanishdir va ma'lumotlar ikki yo'nalishda yuborilishi kerak. Qabul qilingan SA juftlari har bir tugunda saqlanadi. Har bir tugun boshqa tugunlar bilan bir nechta tunnel o'rnatishga qodir bo'lganligi sababli, har bir SA mavjud noyob raqam Qaysi tugunga tegishli ekanligini aniqlash imkonini beruvchi A. Bu raqam SPI (Security Parameter Index) yoki Security Parameter Index deb ataladi. SA ma'lumotlar bazasida (DB) saqlanadi SAD(Xavfsizlik assotsiatsiyasi ma'lumotlar bazasi). Har bir IPSec tugunida ikkinchi JB - mavjud SPD(Security Policy Database) - Xavfsizlik siyosati maʼlumotlar bazasi. Unda sozlangan xost siyosati mavjud. Aksariyat VPN yechimlari siz ulanishni xohlagan har bir xost uchun mos algoritmlar kombinatsiyasi bilan bir nechta siyosatlarni yaratishga imkon beradi. IPSec-ning moslashuvchanligi shundaki, har bir vazifa uchun uni hal qilishning bir necha usullari mavjud va bitta vazifa uchun tanlangan usullar odatda boshqa vazifalarni bajarish usullaridan mustaqildir. Biroq, IETF ishchi guruhi barcha IPSec-ni qo'llab-quvvatlaydigan mahsulotlarda bir xil tarzda amalga oshirilishi kerak bo'lgan qo'llab-quvvatlanadigan xususiyatlar va algoritmlarning asosiy to'plamini aniqladi. AH va ESP mexanizmlari turli xil autentifikatsiya va shifrlash sxemalari bilan ishlatilishi mumkin, ulardan ba'zilari majburiydir. Masalan, IPSec paketlar MD5 bir tomonlama funksiyasi yoki SHA-1 bir tomonlama funksiyasi yordamida autentifikatsiya qilinishini va shifrlash DES algoritmi yordamida amalga oshirilishini belgilaydi. IPSec bilan ishlaydigan mahsulotlar ishlab chiqaruvchilari boshqa autentifikatsiya va shifrlash algoritmlarini qo'shishlari mumkin. Masalan, ba'zi mahsulotlar 3DES, Blowfish, Cast, RC5 va boshqalar kabi shifrlash algoritmlarini qo'llab-quvvatlaydi. IPSec-da ma'lumotlarni shifrlash uchun maxfiy kalitlardan foydalanadigan har qanday nosimmetrik shifrlash algoritmidan foydalanish mumkin. Oqimni himoya qilish protokollari (AH va ESP) ikkita rejimda ishlashi mumkin - ichida transport rejimi va ichida tunnel rejimi. Transport rejimida ishlaganda, IPsec faqat transport qatlami ma'lumotlari bilan shug'ullanadi; faqat TCP / UDP protokollarini o'z ichiga olgan paketning ma'lumotlar maydoni shifrlangan (IP-paketning sarlavhasi o'zgartirilmagan (shifrlanmagan)). Transport rejimi odatda xostlar o'rtasida aloqa o'rnatish uchun ishlatiladi. Tunnel rejimi butun IP-paketni, shu jumladan tarmoq sathi sarlavhasini shifrlaydi. Tarmoq orqali uzatilishi uchun u boshqa IP-paketga joylashtiriladi. Aslida, bu xavfsiz IP tunnel. Tunnel rejimi masofaviy kompyuterlarni virtual xususiy tarmoqqa ("xost-tarmoq" ulanish sxemasi) ulash yoki virtual shaxsiy tarmoqning turli qismlarini birlashtirish uchun shlyuzlar o'rtasida ochiq aloqa kanallari (masalan, Internet) orqali xavfsiz ma'lumotlarni uzatishni tashkil qilish uchun ishlatilishi mumkin. tarmoq ("tarmoqqa ulanish sxemasi"). -net"). IPsec rejimlari bir-birini istisno qilmaydi. Xuddi shu xostda ba'zi SAlar transport rejimidan, boshqalari esa tunnel rejimidan foydalanishi mumkin. Autentifikatsiya bosqichida paketning ICV nazorat summasi (Integrity Check Value) hisoblanadi. Ikkala tugun ham biladi deb taxmin qilinadi Yashirin kalit, bu qabul qiluvchiga ICVni hisoblash va uni jo'natuvchi tomonidan yuborilgan natija bilan solishtirish imkonini beradi. Agar ICV taqqoslash muvaffaqiyatli bo'lsa, paket jo'natuvchisi autentifikatsiya qilingan hisoblanadi. Rejimda transportAH tranzitda o'zgartirilishi mumkin bo'lgan IP sarlavhasidagi ba'zi maydonlar bundan mustasno, butun IP paketi. ICVni hisoblash uchun qiymatlari 0 ga teng bo'lgan ushbu maydonlar xizmatning bir qismi bo'lishi mumkin (Xizmat turi, TOS), bayroqlar, fragment ofset, yashash vaqti (TTL), shuningdek nazorat summasi sarlavhasi; AHdagi barcha maydonlar; IP-paketlarning foydali yuki. Transport rejimida AH IP sarlavhasini (o'zgartirishga ruxsat berilgan maydonlardan tashqari) va original IP paketidagi foydali yukni himoya qiladi (3.39-rasm). Tunnel rejimida asl paket yangi IP-paketga joylashtiriladi va ma'lumotlarni uzatish yangi IP-paketning sarlavhasi asosida amalga oshiriladi. Uchun tunnel rejimiAH Hisoblashda quyidagi komponentlar ICV nazorat summasiga kiritiladi: uzatish paytida o'zgartirilishi mumkin bo'lgan IP sarlavhasidagi ba'zi maydonlar bundan mustasno, tashqi IP sarlavhasidagi barcha maydonlar. ICVni hisoblash uchun qiymatlari 0 ga teng bo'lgan ushbu maydonlar xizmatning bir qismi bo'lishi mumkin (Xizmat turi, TOS), bayroqlar, fragment ofset, yashash vaqti (TTL), shuningdek nazorat summasi sarlavhasi; barcha maydonlar AH; original IP paketi. Quyidagi rasmda ko'rib turganingizdek, AH tunnel rejimi butun manba IP paketini AH transport rejimi ishlatmaydigan qo'shimcha tashqi sarlavha bilan himoya qiladi: Download 0.69 Mb. Do'stlaringiz bilan baham: 
|