Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К


 IPSec  протоколлар стекини химояланган виртуал хусусий тармоцлар


Download 3.91 Mb.
Pdf ko'rish
bet111/170
Sana13.11.2023
Hajmi3.91 Mb.
#1770208
1   ...   107   108   109   110   111   112   113   114   ...   170
Bog'liq
axborot-kommunikatsion tizimlar xav- fsizligi

8.5. IPSec 
протоколлар стекини химояланган виртуал хусусий тармоцлар
куришда ишлатилиши
IPSec 
протоколи (Internet Protocol Security) асосан IP тармокларда 
маълумотларни хавфеиз узатишни таъминлашга аталган. IPSecHHHr ишлати-
лиши к,уйидагиларни кафолатлайди:

узатилаётган маълумотларнинг яхлитлигини, яъни маълумотлар уза- 
тилишида бузилмайди, йукрлмайди ва такрорланмайди; 

жунатувчининг аутентлигини, яъни маълумотлар х,ак,ик,ий жунатувчи 
томонидан узатилган; 

узатиладиган маълумотларнинг конфиденциаллигини, яъни маълу 
мотлар шундай шаклда узатиладики, уларни рухсатсиз куздан кечиришнинг 
олди олинади.


Таъкидлаш лозимки, маълумотлар хавфсизлиги тушунчасига одатда
яна бир талаб-маълумотларнинг фойдаланувчанлиги киритилади. Маълумот-
ларнинг фойдаланувчанлиги деганда маълумотлар етказилишининг кафолати 
тушунилади. IPSec протоколлари бу масалани х,ал этмайди ва уни транс-
порт сатхд ISPra крлдиради. IPSec протоколлар стеки тармок, сатхида ах-
борот химоясини таъминлайди. Бу химоянинг ишловчи иловаларга 
куринмаслигига олиб келади.
IP-
пакет IP тармокларда коммуникациянинг фундаментал бирлиги 
хисобланади. Унинг тузилмаси 8.19-расмда келтирилган. IP-пакет таркибида 
манба адреси S ва ахборот кабул килувчининги адреси D, транспорт 
сарлавхаси, бу пакетда ташилувчи маълумотлар хили хусусидаги ахборот ва 
маълумотларнинг узи булади.
ff-
сарлав^а
Адрес-D
Транспорт TCPси 
ёки UDP сарлавхд
Маълумотлар
8.19-
расм. IP-пакет тузилмаси
Аутентификациялашни, узатилувчи маълумотларнинг конфиденциал-
лиги ва яхлитлигини таъминлаш максадида, IPSec протоколларининг стеки 
катор стандартлаштирилган криптографик технологиялар асосида курилган:

калитларни алмаштириш очик, тармокдан фойдаланувчилар орасида 
махфий калитларни так,симлашнинг Диффи-Хеллман алгоритми буйича 
амалга оширилади; 

иккала томоннинг х,ак,ик,ийлигини кафолатлаш ва main-in-the-midle 
хилидаги хужумларни олдини олиш максадида Диффи-Хеллман алгоритми 
буйича алмашишларни имзолашда очик, калитлар криптографиясидан фой- 
даланилади; 

очик, калитларнинг х,ак,ик,ийлигини тасдиклашда рак,амли сертифи- 
катлар ишлатилади; 

маълумотларни шифрлашда блокли симметрик алгоритмлардан фой- 
даланилади; 

хэшлаш функциялари асосида ахборотларни аутентификациялаш ал- 
горитмлари ишлатилади. 
Адрес-S


Хдмояланган канални урнатиш ва мададлашдаги асосий масалалар 
куйидагилар:

фойдаланувчилар ёки компьютерларни аутентификациялаш;

химояланган каналнинг охирги нукталари орасида узатилувчи 
маълумотларни шифрлаш ва аутентификациялаш;

каналнинг охирги нукталарини маълумотларни аутентификациялаш- 
да ва шифрлашда керак буладиган махфий калитлар билан таъминлаш.
Юкррида санаб утилган масалаларни х,ал этишда IPSec тизими ахбо-
рот алмашиш хавфсизлиги воситаларининг комплексидан фойдаланади.
IPSec 
протоколининг аксарият амалга оширилишида куйидаги компо-
нентлардан фойдаланилади:
- IPSecHHHr 
асосий протоколи. Ушбу компонент химояни инкапсуля- 
цияловчи протокол ESP (Encapsulation Security Рау1оас1)ни ва сарлавхани 
аутентификацияловчи протоколи AH(Authentication Header)HH амалга оши- 
ради. У сарлавх,аларни ишлайди; пакетга кулланиладиган хавфсизлик сиёса- 
тини аникдаш учун SPD ва SAD маълумотлар базаси билан узаро алока 
килади; 

калит ахборотларини алмашишни бошкариш протоколи IKE. IKE 
одатда фойдаланиш сатхида кулланилади (операцион тизимга урнатилгани 
бундан истисно); 

хавфсизлик сиёсатларининг маълумотлар базаси SPD (Security Poli 
cy Database).
Бу энг мухим компонентлардан бири булиб, пакетга 
кулланиладиган хавфсизлик сиёсатини белгилайди. SPD дан асосий прото 
кол IPSec томонидан кирувчи ва чикувчи пакетларни ишлашда фойдалани 
лади; 

хавфсиз ассоциацияларнинг маълумотлар базаси SPD (Security Asso- 
cition Database). 
Бу маълумотлар базаси кирувчи ва чикувчи ахборотни иш- 
лаш учун хавфсиз ассоциациялар SA(Security Association) руйхатини 
саклайди. Чик,увчи 8Алардан чикувчи пакетларни химоялашда, кирувчи 
8Алардан эса IPSec сарлавх,али пакетларни ишлашда фойдаланилади. SAD 
маълумотлар базаси SA билан кулда ёки калитларин бошк,ариш протокол- 
лари IKE ёрдамида тулдирилади; 



хавфсизлик сиёсатини ва хавфсиз ассоцияцияларни бошкариш. Бу - 
хавфсизлик сиёсатини ва SA
HH 
бошкарувчи иловалар.
Асосий протокол IPSec (ESP ва АНни амалга оширувчи) ТСРЯР про-
токолларининг транспорт ва тармок, стеклари билан узаро узвий алокада 
булади. IPSecHH тармок, сатхининг кисми дейиш мумкин. IPSecHHHr асосий 
модули иккита интерфейсни - кириш йули ва чикиш йули интерфейсларни 
таъминлайди. Кириш йули интерфейси кирувчи пакетлар томонидан, 
чикиш йули интерфейси эса чикувчи пакетлар томонидан фойдаланилади. 
IPSecHHHr 
амалга оширилиши ТСРЯР протоколлар стекининг транспорт ва 
тармок, сатхдари орасидаги интерфейсга боглик, булмаслиги лозим.
SPD 
ва SAD маълумотлар базаси IPSec ишлашига жиддий таъсир 
курсатади. Улардаги маълумотлар тузилмасини танлаш IPsec ишлашининг 
унумдорлигига таъсир этади.
1Р8есдаги барча протоколларни иккита гурухга ажратиш мумкин:

узатилувчи маълумотларни бевосита ишловчи (уларнинг хавфсизли- 
гини таъминлаш учун) протоколлар; 

биринчи гурух, протоколларига керакли химояланган уланишлар па- 
раметрларини автоматик тарзда мувофиклаштиришга имкон берувчи прото 
коллар. 
IPSec 
ядросини учта АН, ESP ва виртуал канал ва калитларни 
бошк,ариш IKE параметрларини мувофикдаштирувчи протоколлар ташкил 
этади.
IPSecHHHr 
хавфсизлик воситаларининг архитектураси 8.20-расмда 
келтирилган.
Архитектуранинг юцори сагщида куйидаги протоколлар жойлашган:

виртуал канал параметрларини мувофикдаштирувчи ва калитларни 
бошкариш протоколи IKE. Бу протокол химояланган канални инициализа- 
циялаш усулини, жумладан ишлатилувчи криптох,имоялаш алгоритмларини 
мувофикдаштиришни х,амда х,имояланган уланиш доирасида махфий калит 
ларни алмашиш ва бошкариш муолажаларини белгилайди;


Протокол 
АН
Протокол 
ESP
Протокол 
IKE

Download 3.91 Mb.

Do'stlaringiz bilan baham:
1   ...   107   108   109   110   111   112   113   114   ...   170




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling