Mavzu: Virtual tarmoqlarni tashkil qiluvchi protokollar
Download 0.69 Mb.
|
Virtual tarmoqlarni tashkil qiluvchi protokollar
- Bu sahifa navigatsiya:
- Guruch. 6.13.
- Guruch. 6.14.
|
Guruch. 6.11. ESP protokolining tunnel va transport rejimi
Guruch. 6.12. ESP va AH protokollarini solishtirish Ilova rejimlarining qisqacha mazmuniIPSec: Protokol - ESP (AH). Rejim - tunnel (transport). Kalitlarni almashtirish usuli - IKE (qo'lda). IKE rejimi - asosiy (agressiv). DH tugmasi - 5-guruh (2-guruh, 1-guruh) - dinamik ravishda yaratilgan seans kalitlarini tanlash uchun guruh raqami, guruh uzunligi. Autentifikatsiya - SHA1 (SHA, MD5). Shifrlash - DES (3DES, Blowfish, AES). Siyosatni yaratishda odatda algoritmlar va Diffie-Hellman guruhlarining tartiblangan ro'yxatini yaratish mumkin. Diffie-Hellman (DH) - bu IKE, IPSec va PFS (Perfect Forward Secrecy) uchun umumiy sirlarni o'rnatish uchun ishlatiladigan shifrlash protokoli. Bunday holda, ikkala tugunga mos keladigan birinchi pozitsiya ishlatiladi. Xavfsizlik siyosatidagi hamma narsa bu tasodifga erishishga imkon berishi juda muhimdir. Agar siyosatning bir qismidan tashqari hamma narsa mos kelsa, xostlar hali ham VPN ulanishini o'rnatolmaydi. O'rtasida VPN tunnelini o'rnatishda turli tizimlar Siz eng xavfsiz siyosatni tanlashingiz uchun har bir tomon qaysi algoritmlarni qo'llab-quvvatlashini bilib olishingiz kerak. Xavfsizlik siyosati o'z ichiga olgan asosiy sozlamalar: Ma'lumotlarni shifrlash/parchalash uchun simmetrik algoritmlar. Ma'lumotlar yaxlitligini tekshirish uchun kriptografik nazorat summalari. Tugunni aniqlash usuli. Eng keng tarqalgan usullar - oldindan ulashilgan sirlar yoki CA sertifikatlari. Tunnel rejimi yoki transport rejimidan foydalanish kerakmi. Qaysi Diffie-Hellman guruhidan foydalanish kerak (DH guruhi 1 (768-bit); DH guruhi 2 (1024-bit); DH guruhi 5 (1536-bit)). AH, ESP yoki ikkalasini ham ishlatish kerakmi. PFS dan foydalanish kerakmi. IPSec ning cheklovi shundaki, u faqat IP protokoli darajasida ma'lumotlarni uzatishni qo'llab-quvvatlaydi. IPSec-dan foydalanishning ikkita asosiy sxemasi mavjud bo'lib, ular xavfsiz kanalni tashkil etuvchi tugunlarning rolida farqlanadi. Birinchi sxemada tarmoqning oxirgi xostlari o'rtasida xavfsiz kanal hosil bo'ladi. Ushbu sxemada IPSec protokoli ishlayotgan xostni himoya qiladi: Guruch. 6.13. Ikki so'nggi nuqta o'rtasida xavfsiz kanal yarating Ikkinchi sxemada ikkita xavfsizlik shlyuzi o'rtasida xavfsiz kanal o'rnatiladi. Ushbu shlyuzlar shlyuzlar orqasidagi tarmoqlarga ulangan oxirgi xostlardan ma'lumotlarni oladi. Bu holda oxirgi xostlar IPSec protokolini qo'llab-quvvatlamaydi, umumiy tarmoqqa yo'naltirilgan trafik o'z nomidan himoyani amalga oshiradigan xavfsizlik shlyuzidan o'tadi. Guruch. 6.14. Ikki shlyuz o'rtasida xavfsiz kanal yaratish IPSec-ni qo'llab-quvvatlaydigan xostlar uchun transport rejimi ham, tunnel rejimi ham ishlatilishi mumkin. Shlyuzlar uchun faqat tunnel rejimiga ruxsat beriladi. Download 0.69 Mb. Do'stlaringiz bilan baham: 
|