Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К
IPSec протоколлар стекини химояланган виртуал хусусий тармоцлар
Download 3.91 Mb. Pdf ko'rish
|
axborot-kommunikatsion tizimlar xav- fsizligi
|
8.5. IPSec
протоколлар стекини химояланган виртуал хусусий тармоцлар куришда ишлатилиши IPSec протоколи (Internet Protocol Security) асосан IP тармокларда маълумотларни хавфеиз узатишни таъминлашга аталган. IPSecHHHr ишлати- лиши к,уйидагиларни кафолатлайди: - узатилаётган маълумотларнинг яхлитлигини, яъни маълумотлар уза- тилишида бузилмайди, йукрлмайди ва такрорланмайди; - жунатувчининг аутентлигини, яъни маълумотлар х,ак,ик,ий жунатувчи томонидан узатилган; - узатиладиган маълумотларнинг конфиденциаллигини, яъни маълу мотлар шундай шаклда узатиладики, уларни рухсатсиз куздан кечиришнинг олди олинади. Таъкидлаш лозимки, маълумотлар хавфсизлиги тушунчасига одатда, яна бир талаб-маълумотларнинг фойдаланувчанлиги киритилади. Маълумот- ларнинг фойдаланувчанлиги деганда маълумотлар етказилишининг кафолати тушунилади. IPSec протоколлари бу масалани х,ал этмайди ва уни транс- порт сатхд ISPra крлдиради. IPSec протоколлар стеки тармок, сатхида ах- борот химоясини таъминлайди. Бу химоянинг ишловчи иловаларга куринмаслигига олиб келади. IP- пакет IP тармокларда коммуникациянинг фундаментал бирлиги хисобланади. Унинг тузилмаси 8.19-расмда келтирилган. IP-пакет таркибида манба адреси S ва ахборот кабул килувчининги адреси D, транспорт сарлавхаси, бу пакетда ташилувчи маълумотлар хили хусусидаги ахборот ва маълумотларнинг узи булади. ff- сарлав^а Адрес-D Транспорт TCPси ёки UDP сарлавхд Маълумотлар 8.19- расм. IP-пакет тузилмаси Аутентификациялашни, узатилувчи маълумотларнинг конфиденциал- лиги ва яхлитлигини таъминлаш максадида, IPSec протоколларининг стеки катор стандартлаштирилган криптографик технологиялар асосида курилган: - калитларни алмаштириш очик, тармокдан фойдаланувчилар орасида махфий калитларни так,симлашнинг Диффи-Хеллман алгоритми буйича амалга оширилади; - иккала томоннинг х,ак,ик,ийлигини кафолатлаш ва main-in-the-midle хилидаги хужумларни олдини олиш максадида Диффи-Хеллман алгоритми буйича алмашишларни имзолашда очик, калитлар криптографиясидан фой- даланилади; - очик, калитларнинг х,ак,ик,ийлигини тасдиклашда рак,амли сертифи- катлар ишлатилади; - маълумотларни шифрлашда блокли симметрик алгоритмлардан фой- даланилади; - хэшлаш функциялари асосида ахборотларни аутентификациялаш ал- горитмлари ишлатилади. Адрес-S Хдмояланган канални урнатиш ва мададлашдаги асосий масалалар куйидагилар: - фойдаланувчилар ёки компьютерларни аутентификациялаш; - химояланган каналнинг охирги нукталари орасида узатилувчи маълумотларни шифрлаш ва аутентификациялаш; - каналнинг охирги нукталарини маълумотларни аутентификациялаш- да ва шифрлашда керак буладиган махфий калитлар билан таъминлаш. Юкррида санаб утилган масалаларни х,ал этишда IPSec тизими ахбо- рот алмашиш хавфсизлиги воситаларининг комплексидан фойдаланади. IPSec протоколининг аксарият амалга оширилишида куйидаги компо- нентлардан фойдаланилади: - IPSecHHHr асосий протоколи. Ушбу компонент химояни инкапсуля- цияловчи протокол ESP (Encapsulation Security Рау1оас1)ни ва сарлавхани аутентификацияловчи протоколи AH(Authentication Header)HH амалга оши- ради. У сарлавх,аларни ишлайди; пакетга кулланиладиган хавфсизлик сиёса- тини аникдаш учун SPD ва SAD маълумотлар базаси билан узаро алока килади; - калит ахборотларини алмашишни бошкариш протоколи IKE. IKE одатда фойдаланиш сатхида кулланилади (операцион тизимга урнатилгани бундан истисно); - хавфсизлик сиёсатларининг маълумотлар базаси SPD (Security Poli cy Database). Бу энг мухим компонентлардан бири булиб, пакетга кулланиладиган хавфсизлик сиёсатини белгилайди. SPD дан асосий прото кол IPSec томонидан кирувчи ва чикувчи пакетларни ишлашда фойдалани лади; - хавфсиз ассоциацияларнинг маълумотлар базаси SPD (Security Asso- cition Database). Бу маълумотлар базаси кирувчи ва чикувчи ахборотни иш- лаш учун хавфсиз ассоциациялар SA(Security Association) руйхатини саклайди. Чик,увчи 8Алардан чикувчи пакетларни химоялашда, кирувчи 8Алардан эса IPSec сарлавх,али пакетларни ишлашда фойдаланилади. SAD маълумотлар базаси SA билан кулда ёки калитларин бошк,ариш протокол- лари IKE ёрдамида тулдирилади; - хавфсизлик сиёсатини ва хавфсиз ассоцияцияларни бошкариш. Бу - хавфсизлик сиёсатини ва SA HH бошкарувчи иловалар. Асосий протокол IPSec (ESP ва АНни амалга оширувчи) ТСРЯР про- токолларининг транспорт ва тармок, стеклари билан узаро узвий алокада булади. IPSecHH тармок, сатхининг кисми дейиш мумкин. IPSecHHHr асосий модули иккита интерфейсни - кириш йули ва чикиш йули интерфейсларни таъминлайди. Кириш йули интерфейси кирувчи пакетлар томонидан, чикиш йули интерфейси эса чикувчи пакетлар томонидан фойдаланилади. IPSecHHHr амалга оширилиши ТСРЯР протоколлар стекининг транспорт ва тармок, сатхдари орасидаги интерфейсга боглик, булмаслиги лозим. SPD ва SAD маълумотлар базаси IPSec ишлашига жиддий таъсир курсатади. Улардаги маълумотлар тузилмасини танлаш IPsec ишлашининг унумдорлигига таъсир этади. 1Р8есдаги барча протоколларни иккита гурухга ажратиш мумкин: - узатилувчи маълумотларни бевосита ишловчи (уларнинг хавфсизли- гини таъминлаш учун) протоколлар; - биринчи гурух, протоколларига керакли химояланган уланишлар па- раметрларини автоматик тарзда мувофиклаштиришга имкон берувчи прото коллар. IPSec ядросини учта АН, ESP ва виртуал канал ва калитларни бошк,ариш IKE параметрларини мувофикдаштирувчи протоколлар ташкил этади. IPSecHHHr хавфсизлик воситаларининг архитектураси 8.20-расмда келтирилган. Архитектуранинг юцори сагщида куйидаги протоколлар жойлашган: - виртуал канал параметрларини мувофикдаштирувчи ва калитларни бошкариш протоколи IKE. Бу протокол химояланган канални инициализа- циялаш усулини, жумладан ишлатилувчи криптох,имоялаш алгоритмларини мувофикдаштиришни х,амда х,имояланган уланиш доирасида махфий калит ларни алмашиш ва бошкариш муолажаларини белгилайди; |
