Mavzu: Korporativ tarmoqlarda resurslarni xavsizligi ta’minlash yechimlari Reja


Download 44.68 Kb.
bet1/2
Sana31.01.2024
Hajmi44.68 Kb.
#1828338
  1   2
Bog'liq
Дилрабо


MAVZU:  Korporativ tarmoqlarda resurslarni xavsizligi ta’minlash yechimlari
Reja



  1. Himoyalangan korporativ tarmoqlarni qurish uchun VPN yechimlar

  2. Ixtisoslashtirilgan apparat vositalari asosidagi VPN


1.Himoyalangan korporativ tarmoqlarni qurish uchun VPN yechimlar
Marshrutizatorlar asosidagi VPN. Tashqi dunyo bilan lokal tarmoq almashadigan barcha axborot mashrutizator orqali o'tadi. Bu marshrutizatorlami chiquvchi paketlarni shifrlovchi va kiruvchi paketlarni rasshifrovka qiluvchi tabiiy platformaga aylantiradi. Boshqacha aytganda, marshrutizator, umuman, marshrutlash vazifasini VPNni madadlash bilan birga olib borishi mumkin. Bunday yechim o‘zining afzalliklari va kamchiliklariga ega.
Afzalligi - marshrutlash va VPN vazifalarini birgalikda ma’murlash qulayligidir. Korxona tarmoqlararo ekranni ishlatmasdan korporativ tarmoq himoyasini faqat ham tarmoqdan foydalanish bo'yicha, ham uzatiladigan trafikni shifrlash bo'yicha himoyalash vazifalarini birgalikda hal etuvchi marshrutizator yordamida tashkil etgan hollarda mashrutizatorlarni VPNni madadlashda ishlatilishi, ayniqsa, foydalidur. Ushbu yechimning kamchiligi marshrutlash bo'yicha asosiy amallaming ko'p mehnat sarfini talab etuvchi trafikni shifrlash va autentifikatsiyalash amallari bilan birga olib borilishi natijasida, marshrutizator unumdorligiga quyiladigan talablaming oshishi bilan bog‘liq. Marshrutizatorlaming unumdorligini oshirishga shifrlash vazifalarini apparat madadlash orqali erishiladi.
Hozirda barcha marshrutizator va boshqa tarmoq qurilmalarini yetakchi ishlab chiqaruvchilari o‘zlarining mahsulotlarida turli VPN-protokollarini madadlaydilar. Bu sohada Cisco Systems va 3 Com kompaniyalari lider hisoblanadilar. Cisco Systems kompaniyasi o‘zlari ishlab chiqqan marshrutizatorlarga eng keng tarqalgan standartlar asosida VPNlami qurishga imkon beruvchi kanal sathi protokolini madadlovchi IOS 11.3 (Internetwork Operation System 11.3) va tarmoq sathi protokoli IPSec ni kiritdi. L2F protokoli awalroq IOS operatsion tizimning komponentiga aylandi va Cisco ishlab chiqaradigan barcha tarmoqlararo aloqa va masofadan foydalanish qurilmalarida madadlanadi. Cisco marshrutizitorlarida VPN vazifalari butunlay dasturiy yo‘1 bilan yoki shifrlash soprotsessori bo’lgan maxsus kengaytirish platasidan foydalanilgan holda amalga oshirilishi mumkin.
Oxirgi variant VPN amallarida marshrutizator unumdorligini anchagina oshiradi. Cisco Systems kompaniyasi tomonidan ishlab chiqilgan VPN qurish texnologiyasi yuqori unumdorligi va moslanuvchanligi bilan ajralib turadi. Unda «toza» yoki inkapsulatsiya qilingan ko'rinishda uzatiluvchi har qanday IP-oqim uchun shifrlash bilan tunnellash ta’minlanadi. Cisco kompaniyasining marshrutizatorlari asosida VPN-kanallarini qurish operatsionizimining vositalari yordamida Cisco IOS 12.x. versiyasidan boshlab amalga oshiriladi. Agar mazkur operatsion tizim kompaniyaning boshqa bo’limlaridagi Cisco chegara marshrutizatorlarida o‘rnatilgan boMsa, bir marshrutizatordan ikkinchisiga «nuqta-nuqta» turidagi virtual himoyalangan tunnellar majmuasidan iborat boMgan korporativ VPN tarmoqni shakllantirish imkoniyati boMadi (7.7-rasm). Marshrutizatorlar asosida VPNlami qurishda esda tutish lozimki, bunday yondashishning o'zi kompaniyaning umumiy axborot xavfsizligini ta’minlash muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan hujum qilish uchun ochiq qoladi.
Bu resurslami himoyalash uchun, odatda, chegara marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi.

Marshrutizatorlar asosida VPNlami qurishda esda tutish lozimki, bunday yondashishning o‘zi kompaniyaning umumiy axborot xavfsizligini ta’minlash muammosini hal etmaydi, chunki barcha ichki axborot resurslar baribir tashqaridan hujum qilish uchun ochiq qoladi. Bu resurslami himoyalash uchun, odatda, chegara marshrutizatorlaridan keyin joylashgan tarmoqlararo ekranlardan foydalaniladi. Cisco 1720 VPN Access Router marshrutizatori katta boMmagan va o‘rtacha korxonalarda himoyalangan foydalanishini tashkil etishga atalgan.
Bu marshrutizator Internet va intratarmoqlardan foydalanishni tashkil etishga zarur boMgan imkoniyatlami ta’minlaydi va Cisco IOS dasturiy ta’minot asosidagi virtual xususiy tarmoqlarni tashkil etish vazifalarini madadlaydi. Cisco IOS operatsion tizimi ma’lumotlarni himoyalash, xizmat sifatini boshqarish va yuqori ishonchililikni ta’minlash bo‘yicha VPN vazifalarining juda keng to‘plamini ta’minlaydi. Cisco 1720 marshrutizatori ma’lumotlar himoyasining quyidagi vazifalarini bajaradi: - tarmoqlararo ekranlash. Cisco IOS Firewall komponenta lokal tarmoqlarni hujumlardan himoyalaydi. Foydalanishning kontekstli nazorati CBAC (Context-based access control) funksiyasi ma’lumotlami dinamik yoki holatlarga asoslangan, ilovalar bo'yicha differensiallangan flltrlashni bajaradi. Bu funksiya samarali tarmoqlararo ekranlash uchun juda muhim hisoblanadi.
Cisco IOS Firewall komponenta qator boshqa foydali vazifalami ham, xususan, «xizmat qilishdan voz kechish» kabi hujumlami aniqlash va oldini olish, Javani blokirovka etish, audit va vaqtning real masshtabida ogohlantirishlarni tarqatish vazifalarini bajaradi. - shifrlash. IPSec protokolidagi DES va Triple DES shifrlash algoritmlarini madadlash ma’lumotlami konfidensialligi va yaxlitligini va ma’lumotlar manbaini autentifikatsiyalashni (ma’lumotlar global tarmoqdan o'tganidan so'ng) ta’minlash maqsadida ishonchli va standart shifrlaydi. - tunnellash. Tunnellashning IPSec, GRE (Generic Routing Encapsulation), L2F va L2TP standartlari ishlatiladi. L2F va L2TP standartlari masofadagi foydalanuvchilarning korxona lokal tarmog'ida o'rnatilgan Cisco 1720 marshrutizatorigacha virtual tunnel o'tkazganlarida ishlatiladi. Bunday qo'llanishda korxonada masofadan foydalanish serveriga ehtiyoj qolmaydi va shaharlararo yoki xalqaro qo‘ng‘iroqlar uchun to‘Iovi tejaladi. - qurilmalarni autentifikatsiyalash va kalitlarni boshqarish.
IPSec katta tarmoqlarda ma’lumotlar va qurilmalarni masshtablanuvchi autentifikatsiyalashni ta’minlovchi kalitlarni boshqarish protokoli IKE, raqamli sertifikatlar X.509 versiya 3, sertifikatlarni boshqaruvchi protokol CEP hamda Verisign va Entrust kompaniya sertifikat serverlari madadlanadi. - VPNning mijoz dasturiy ta ’minoti. IPSec va L2TP protokollarining standart versiyalari bilan ishlovchi harqanday mijoz Cisco IOS bilan o‘zaro aloqa qilishi mumkin. - foydalanuvchilami autentifikatsiyalash. Buning uchun PAP, CHAP protokollari, TACACS+ va RADIUS tizimlari, foydalanish tokenlari kabi vositalardan foydalaniladi.
Virtual himoyalangan tarmoqlar nafaqat ma’lumotlarni himoyalash, balki himoyalashning yuqori saviyasi QoSni (Quality o f Service) ta’minlashi lozim. Cisco 1720 marshrutizatori QoSni quyidagi boshqarish mexanizmlarini madadlaydi:
- foydalanishning kelishilgan tezligi CAR (Committed Access Rate) ilovalar yoki foydalanuvchilar bazisida quiydagi uchta muhim vazifani bajaradi:
• trafik turini turkumlaydi;
• berilgan ilovaga ruxsat etilgan o‘tkazish qobiliyatining maksimal darajasini o ‘rnatadi;
• trafikning har bir turi ustuvorligini belgilaydi;
- siyosat asosida marshrutlash (Policy Routing) ham trafikni turkumlaydi va ustuvorlaydi hamda trafikning qaysi turini marshrutizatorning mos chiqish yo‘li portiga jo ‘natish lozimligini hal etadi;
- mulohazali odilona navbat WFQ (Weighted Fair Queneing) trafikni hisobga olgan holda maqbul javob vaqtini ta’minlaydi;
- protokol RSVP ilovalarga yoMning boshidan oxirigacha kafolatlangan o'tkazish qobiliyatini rezervlashga imkon beradi. Marshrutizatoming moslashuvchanligi modulli konstruksiya va ikkita slotda o'rnatiluvchi interfeys WAN-kartalari to‘plami orqali ta’minlanadi.
Cisco 1720 modelida Cisco 1600, 2800, va 3600 modellarda ishlatiladigan WAN-kartalardan foydalaniladi. Kompaniya 3Com VPN texnologiyani amalga oshirishda boshidan standartlami ko‘zga tutgan edi. VPN ni madadlash uning NetBuilder II, Super Stack 11 NetBuilder marshrutizatorlariga Office Connect Net Builder Platform pladformalariga o‘rnatilgan. 3Com kompaniyasi PPTP va L2TP protokollami madadlovchi masofadan foydalaniluvchi konsentratorlarni yirik ishlab chiqaruvchilaridan biridir. 3Com kompaniyasining VPN tarmoqlari IPSec bilan birga ishlatiladi va tashqi kataloglar, jumladan Novell NDS va Windows NT Directory Serviceslar bilan o‘zaro aloqa qilish uchun ishlab chiqilgan.
Kompaniya Web-texnologiyaga asoslangan va VPN yuklanganligini nazoratlashga hamda yuz beruvchi hodisalar asosida statistika va axborotni yig‘ishga atalgan dasturiy ilova Transcend Ware Secure VPN Manager ni ham ishlab chiqdi. Undan tashqari, 3Com kriptohimoyalangan tunnellarni osongina yaratishga imkon beruvchi Web asosidagi instrumentariyni ishlab chiqaradi. Internet Devices kompaniyasining Fort Knox marshrutizatorlarida tezlik va quw at uyg‘unlashgan. Undagi tarmoqni himoyalashni ta’minlashga yo'naltirilgan IP-trafikni ishlash vazifalari ro‘yxatining kengligi uning afzalligidir. Fort Knox marshrutizatori tarmoqlararo ekran rejimida ishlashi, NAT standard bo'yicha adreslarni translatsiyalashi, xavfsizlik siyosatini boshqarishi, Web-sahifalar va DNS jadval yozuvlarini xeshlashi, auditni bajarishi mumkin. Odatda, Fort Knox korporativ tarmoq chegarasida, korporativ tarmoqni global tarmoq bilan ulovchi marshrutizatordan keyin o'matiladi. Demak, u boshqa lokal tarmoqlar bilan VPN-aloqani o'matish va tarmoqlararo ekranlar kabi foydalanishni nazoratlashning turli qoidalarini shakllantirishi mumkin. Fort Knoxda NAT adreslarini translatsiyalash funksiyasining mavjudligi, unga ichki IP-adreslarni berkitish va marshrutizatorlar trafigini qayta yo'naltirish imkonini beradi.
Bu korporativ tarmoq ma’murlarini VPNni qurishda marshrutizatorlami yangidan konfiguratsiyalashdan ozod etadi. Fort Knox funksiyalari to'plamining kengligiga qaramay uning narxi oddiy marshrutizator narxiga teng. Tarmoqlararo ekranlar asosidagi VPN. Lokal tarmoqning tarmoqlararo ekrani orqali, xuddi marshrutizatordagidek, butun trafik o'tadi. Shu sababli, tarmoqlararo ekran ham chiquvchi trafikni shifrlash, kiruvchi trafikni rasshifrovka qilish vazifasini bajarishi mumkin. Hozirgi qator VPN-yechimlar tarmoqlararo ekranlami VPNning qo'shimcha madad funksiyalari bilan to'ldirilishiga tayanadi. Bu Internet orqali boshqa tarmoqlararo ekranlar bilan shifrlangan ulanishni o'matishga imkon beradi.
Axborot xavfsizligi bo'yicha qator mutaxassislaming fikricha, VPNni tarmoqlararo ekranlar asosida qurish, korporativ tarmoqlami ochiq tarmoqlar hujumlaridan kompleks himoyalash nuqtai nazaridan, to'la asoslangan yechimdir. Haqiqatan, tarmoqlararo ekran va VPN-shlyuz funksiyalari bir nuqtada, yagona boshqarish va audit tizimi nazoratida birlashtirilsa, korporativ tarmoqni himoyalash funksiyalari bitta qurilmada to'planadi. Natijada, himoya vositalarini ma’murlash sifati oshadi. Ammo himoyalash vositalarining bunday universallashtirilishi, hisoblash vositalarining mavjud imkoniyatlari darajasida nafaqat ijobiy, balki salbiy tomoniga ham ega.
Shifrlash va autentifikatsiyalash amallarini hisoblash murakkabligi tarmoqlararo ekran uchun an’anaviy bo'lgan paketlami filtrlash amallariga nisbatan ancha yuqori. Shu sababli, VPNning qo'shimcha vazifalarini amalga oshirishda murakkabligi katta bo'lmagan amallami bajarishga mo'ljallangan tarmoqlararo ekran ko'pincha kerakli unumdorlikni ta’minlamaydi. Korporativ tarmoq tezkor kanal orqali ochiq tarmoqqa ulanganida sifatli himoyani ta’minlash uchun alohida apparat, dasturiy yoki kombinatsiyalangan qurilma ko'rinishidagi VPN-shlyuzdan foydalanish lozim. Aksariyat tarmoqlararo ekranlar server dasturiy ta'minotidan iborat, shu sababli, unumdorlikni oshirish muammosi yuqori unumdorlikka ega bo‘lgan kompyuter platformasidan foydalanish evaziga yechilishi mumkin. Check Point Software Technologies kompaniyasi Internet bilan ishlaganda axborot xavfsizligini kompleks ta’minlash mahsulotlarinl ishlab chiqarish sohasidagi yetakchilardan biri hisoblanadi. Check Point Fire Wall-1 tarmoqlararo ekran korporativ axborot resurslari uchun yagona kompleks doirasida himoyaning chuqur eshelonlangan chegarasini qurishga imkon beradi. Bunday kompleks tarkibiga Check Point FW-1 ning o‘zi va korporativ VPN tarmoq (himoyalangan tunneliami shakllantiruvchi qism tizim) qurish uchun mahsulotlar to‘plami Check Point VPN-1 hamda suqilib kirishni payqash vositalari Flood Gate va hokazolar kiradi.
Dasturiy ta’minotlar Check Point Fire Wall-l/VPN-1 asosida korporativ tarmoq qurish misoli 7.8-rasmda keltirilgan. Check Point VPN-1 qism tizim tarkibidagi barcha mahsulotlar ham o‘zaro, ham ommaviy brandmauer Fire Wall-1 bilan uzviy integratsiyalangan. Check Point kompaniyasi «tarmoq-tarmoq» (VPN-1 Gateway) va «tarmoq-masofadagi foydalanuvchi» (VPN-1 Gateway+VPN-1 Secu Remote) tipidagi himoyalangan tarmoqlami tashkil etish uchun vositalami taqdim etadi.

1-rasm . C h e c k P o in t F W -I/V P N -I a so sid a k o r p o ra tiv V P N ta rm o g ‘ini q u ris h sxem asi.



Check Point VPN-1 mahsulotlari ochiq standartlar (IPSec) asosida amalga oshirilgan, foydalanuvchilami autentifikatsiyalashning rivojlangan tizimiga ega, ochiq kalitlami (PKI) taqsimlashning tashqi tizimlari bilan o‘zaro aloqani madadlaydi, boshqarish va auditning markazlashtirilgan tizimini qurishga imkon beradi va hokazo. Check Point Fire Wall-1/VPN-1 nafaqat ochiq, balki kriptohimoyalangan trafikni ham nazoratlaydi.
Tarmoqlararo ekran FW -lga kelgan maMumotlar VP-1 vositalari yordamida rasshifrovka qilinadi, so‘ngra axborotlar paketi yana shifrlanadi va o‘tkazib yuboriladi. VPN-1 qism tizimi trafikni nafaqat kriptografik berkitadi, balki axborotlar paketini autentifikatsiyalaydi ham. Check Point Fire Wall1/VPN-l kanallarida trafikni shifrlashda mashhur DES, 3-Des, CAST, IDEA, FWZ1 va h. kriptoalgoritmlardan foydalaniladi. FWZ1 kriptotizimi Check Point kompaniyasining ishlanmasidir.
Axborot paketlarini autentifikatsiyalashda MD5, SHA-1, CBC DES va MAC algoritmlari ishlatiladi. VPN Gateway shlyuzi - shifrlashning dasturiy moduli tarmoqlararo ekran Fire Wall - 1 bilan uzviy integratsiyalangan. Bu mahsulot korxonaga uzatiluvchi maMumotlaming toMa konfidensialligini, autentifikatsiyalanganligi va yaxlitligini kafolatlagan holda Internet orqali aloqa kanallarini qurishga imkon beradi.
VPN funksiyalari korxonaning umumiy xavfsizlik siyosatiga toMa integratsiyalanganligi sababli, brandmauer va VPN-mahsulotlami alohida boshqarishga ehtiyoj qolmaydi. VPN Gateway shlyuzi himoyalangan VPN-tunnelni o‘matgan holda tarmoqlar orasida Intrenet orqali uzatilayotgan konfidensial maMumotlami shifrlaydi. Bu shlyuz uni javobgarlik doirasiga, ya’ni uning domeniga kiruvchi kompyuterlardan keladigan maMumotlar oqimini shifrlaydi. Bu lokal tarmoq yoki ushbu shlyuz orqasidagi oddiy xostlar guruhi boMishi mumkin. Bu maMumotlar tarmoqning ommaviy qismi bo‘yicha shifrlangan ko‘rinishda uzatiladi, ichki tarmoq bo‘yicha uzatilganda shifrlanmaydi.
VPN-amallarining barchasi oxirgi foydalanuvchi va barcha ilovalar uchun shaffofdir. VPN-1 Gateway shlyuzi shifrlashning bir necha algoritmini va bir necha kalitlami boshqarish protokolini madadlaydi. Bu shlyuz IKE (Internet Key Exchange) kabi industrial standart VPN-protokollarni madadlashi sababli, ekstratarmoqlarni tashkil etishda qoMlash qulay hisoblanadi. Ekstratarmoqlarda VPN biznes-sheriklar orasida xavfsiz aloqani ta’minlaydi. Sheck Point kompaniyasining VPN-mahsulotlari IKE standartiga amal qiladi. Shu sababli, ular qarshi tomon bilan muzokaralar jarayonida avtomatik tarzda shifrlashning eng kriptobardosh algoritmini (DES va Triple DES) va autentifikatsiyalashning eng qat’iy algoritmini (SHA-1 va MD5) tanlaydi. Undan tashqari, shifrlashning maxfiy kalitlari, maksimal himoyalanishni kafolatlagan holda, tez-tez yangilanadi. VPN-1 Gateway shlyuzi virtual xususiy tarmoqdagi ikkita oxirgi uzellarga ham shifrlangan, ham shifrlanmagan ma’lumotlarni almashishga imkon beruvchi shifrlashning tanlov rejimini madadlaydi.
Buning uchun tarmoq ma’muri trafigi uchun himoyalashning alohida shartlari ta’minlanadigan ilovalami beradi. So‘ngra VPN-1 Gateway ushbu ilovalar ma’lumotlarini shifrlangan, qolgan konfidensial bo‘lmagan ma’lumotlarni ochiq ko‘rinishda uzatishni boshlaydi. Bunday moslanuvchanlik VPN-1 Gateway shlyuzining unumdorligini oshiradi. VPN-1 Gateway shlyuzi kalitlami boshqarishning quyidagi mexanizmlarini madadlaydi: IPSec uchun standart bo'lgan IKE, kalitlami boshqarishning sanoat standarti FWZ, ommaviy protokol SKIP va kalitlami qo‘l bilan tarqatiladigan usuli. U X.509 sertifikatlari va Entrus Technologies kompaniyasining sertifikatlar serverlari texnologiyasi asosida ochiq PKI kalitlami boshqarish infratuzilmasini madadlaydi.
VPN-1 Secu Remote mijoz dasturiy ta’minoti VPN-1 Gateway Shlyuzi yordamida «tarmoq-masofadagi foydalanuvchi» xilidagi himoyalangan ulanishlami tashkil etishda ishlatiladi. Windows 98/XP/NT/2000 boshqaruvida ishlovchi masofadagi kompyuterlarga VPN-1 Secu Remotening o'matilishi mobil xodimlaming yoki telekompyuterlaming korxona bosh tarmog'i bilan Internet orqali himoyalangan bog'lanishini ta’minlaydi. VPN-1 Secu Remotening ma’lumotlarni OSI modelining tarmoq sathida shifrlashi va rasshifrovka qilishi ushbu amallarning barcha ilovalar uchun shaffofligini, mavjud ilovalarga o'zgartirish kiritishni talab qilmagan holda, ta’minlaydi. SecuRemote foydalanuvchilarga VPN-vositalar o'rnatilgan bir necha turli tarmoqlar bilan bog'lanishiga imkon beradi. VPN-1 Accelator Card qurilmasi Chrysalis-ITS kompaniyasi tomonidan ishlab chiqilgan apparat kriptografik tezlatgichdir. VPNning himoyalangan kanallarida trafikni shifrlash va kalitlarni generatsiyalovchi amallar anchagina hisoblash murakkabligiga ega va VPN orqali uzatiluvchi trafikning hajmi oshgan sari kompyuterning prosessori va xotirasining haddan ortiq yuklanishi ro'y berishi mumkin. VPN-1 Accelator mahsuloti bu muammoni hal etishi mumkin. VPN-1 Accelator Card tezlatgichi VPN-1 Gateway shlyuzi bilan birgalikda ishlashga atalgan va IKE va IPSeclar talab etadigan barcha kriptografik amallami bajaradi. VPN-1 Accelator Card bevosita shlyuz orqali ma’murlanadi. VPN funksiyalari o‘matilgan SecureZone tarmoqlararo ekrani Secure Computing kompaniyasi tomonidan ishlab chiqilgan va asosiy xarakteristikalari quyidagicha: - VPNni madadlash funksiyalari - IPSec standarti, DES va Triple DES, PKI boshqarish va Netscape, Entrust va Verisign kompaniyalardan X.509 sertifikat lari; - ixtisoslashtirilgan operatsion tizimi Secure OS (Unixning himoyalangan varianti) boshqaruvida ishlaydi; - quyidagi lami qanoatlantiruvchi apparat platformalar: prosessor Intel Pentium, Pentium Pro, yoki Pentium II; RAM-kamida 64Mbayt; tashqi qurilmalar qattiq disk 4 Gbayt SCSI-2, qayishqoq disklar 3,5, CD ROM, strimmer DAT; SVGA video, PS/2- bilan birga ishlay oluvchi sichqon. - standart tarmoq interfeyslari: 2-4 Ethernet, FAST Ethernet, Token Ring yoki FDDI; - buzilishga bardoshlik xossasiga ega. Secure Computing kompaniyasi Microsoft Windows muhitida ishlovchi, alohida foydalanuvchi larga TCP/IP protokollari bo‘yicha telefon tarmog‘i yoki paketlarni kommutatsiyalovchi, ommaviy tarmoqdan himoyalangan masofaviy foydalanishni ta’minlovchi, IPSec bilan birga ishlayoluvchi mijoz dasturiy ta’minotini (SecureClient) ham tavsiya etadi. VPN funksiyalari o‘tnatilgan Raptor Firewall 5.0 tarmoqlararo ekrani Axent Technologies kompaniyasi tomonidan ishlab chiqilgan va Eagle Firewallning modifikatsiyalangan mahsuloti hisoblanadi. Bu tarmoqlararo ekranning xarakteristikalari quyidagicha: - VPN madadi tarmoqlararo ekranga o'rnatilgan; - IPSec standarti madadlanadi, dasturiy shifrlash IP (tekin tarqatiluvchi shifrlash usuli swIPe); - xavfsiziikning umumiy siyosati tarmoqlararo ekran funksiyalariga va VPN fimksiyasi yordamida tunnellanuvchi trafikka taalluqli; - Windows NT/2000 va Solaris operatsion tizimlar boshqaruvida ishlaydi. Axent kompaniyasi masofadagi foydalanuvchilar uchun VPNning mijoz dasturiy ta’minotini ham taqdim etadi. Raptor Firewall 5.0 versi- yasi IPSec protokoli bo'yicha himoyalangan virtual tarmoq qurilishini ta’minlaydi. Gauntlet Global VPN mahsuloti Network Associates kompaniyasi tarkibiga kiruvchi Trusted Information Systems kompaniyasining Gauntlet Firewall tarmoqlararo ekrani uchun, ushbu tarmoqlararo ekran muhitida uzviy integratsiyalanuvchi, qo‘shimcha dasturiy mahsulot hisoblanadi.
IPSec protokoliga asoslangan Gauntlet Global VPN qism tizimi trafik-ni kriptografik himoyalashning quyidagi ikkita rejimini madadlaydi: - Smart Gate shlyuzlari yordamida amalga oshiriluvchi tarmoqlararo ekrandan tarmoqlararo ekrangacha; - masofadagi mijoz dasturiy ta’minoti Gauntlet .PC Extender yordamida amalga oshiriluvchi tarmoqlararo ekrandan masofadagi foydalanuvchi kompyuterigacha. Gauntlet Global VPNda shifrlashning DES algoritmi ishlatiladi. Gauntlet Global VPN sertifikatsiya markazining dasturiy ta’minoti bilan ham taqdim etiladi. Ushbu dasturiy ta’minot yordamida tashkilotlar X.S09 standartiga mos keluvchi raqamli sertifikatlarni generatsiyalashi va tekshirishi mumkin.
VPN qurish funksiyasini madadlovchi Border Manager tarmoqlararo ekrani Novell kompaniyasining mahsuloti boMib, nafaqat VPN qurish imkoniyatini, balki foydalanishni chegaralashni, paketlami filtrlash va tarmoq adreslarini translatsiyalashni ta’minlaydi, vositachi HTTPning xizmatlarini tavsiya etadi, Web sahifalarini xeshlaydi, kanal sathida shlyuzlarga ega, ko‘p protokolli marshrutlashni bajaradi va masofadan foydalanishni madadlaydi. Border Manager tarmoqlararo ekranning NDS (Novell Directory Service) kataloglari xizmati bilan uzviy integratsiyasi himoyalangan virtual tarmoqlarni samarali boshqarishga imkon beradi. Shifrlash kalitining taqsimoti RSA kriptotizimi va Diffi-Xellman algoritmi bo'yicha amalga oshiriladi. Axborot paketlarini kriptografik berkitish va autentifikatsiyalashda RC2 va RSA kriptotizimlardan foydalaniladi. Border Managerning bir versivasida IPSec protokoli madadlanadi.
Border Manager tarmoqlararo ekran asosida qurilgan himoyalangan virtual tarmoqlarda brandmauerlardan birining asosiy boMishi, boshqarish markazi rolini bajarishi lozim. Ixtisoslashtirilgan dasturiy ta ’minot asosidagi VPN. VPN qurishda ixtisoslashtirilgan dasturiy vositalar keng qoMlaniladi. VPN qu- rishning dasturiy vositalari himoyalangan tunnellami faqat dasturiy shakllantirishga imkon beradi va ular ishlaydigan kompyutemi TCP/IP marshrutizatoriga aylantiradi. Bu marshrutizator shifrlangan paketlami qabul qiladi, rasshifrovka qiladi va lokal tarmoq orqali tayinlangan nuqtaga uzatadi. Oxirgi vaqtda bunday mahsulotlaming yetarlicha soni paydo bo‘ldi. Ixtisoslashtirilgan dasturiy ta’minot ko‘rinishida VPNshlyuzlar, VPN-serverlar va VPN-mijozlar bajarilishi mumkin. Dasturiy usul bo'yicha amalga oshirilgan VPN-mahsulotlar unumdorlik nuqtai nazaridan ixtisoslashtirilgan apparat qurilmalardan qolishsada, dasturiy mahsulotlar masofadagi foydalanuvchilarga yetarli unumdorlikni osongina ta’minlaydi.
Dasturiy mahsulotlaming shubhasiz afzalligi ishlatilishida moslanuvchanligi va qulayligi hamda nisbatan yuqori bo'lmagan narxidir. Apparat shlyuzlami ishlab chiqaruvchi ko'pgina kompaniyalar (masalan, Time Step, VPNet, Shiva) o'zlarining mahsulotlariga standart operatsion tizimda ishlashga mo'ljallangan VPN-mijozning dasturiy amalga oshirilishini qo'shadilar. MicroSoft kompaniyasining RAS va RRAS dasturiy mahsulotlari. Microsoft kompaniyasining masofadan foydalanuvchi dasturiy serveri RAS (Remote Access Service) mashhur PPP (Point to Point Protocol) protokolning kengaytirilgan varianti-himoyalangan kanal protokoli PPTPni (Point-to-Point Tunneling Protocol) o'matilishi evaziga VPN texnologiyani madadlaydi. Trafikni tunnellash ochiq IP-tarmoq bo'yicha uzatiladigan standart PPP- freymlarni IP-datagrammalarga inkapsulatsiyalash va keyin shifrlash orqali amalga oshiriladi. RASning asosiy afzalligi - tejamliligi, kamchiligi - unumdorligining pastligi.
Hozirda bu mahsulotning takomillashtirilgan versiyasi - RRAS (Routing and Remote Acces Service) paydo bo‘ldi. RRAS tarkibidagi takomillashtirilgan dasturiy ko'p protokolli marshrutizator marshrutlashning RIP (Routing Information Protocol) va OSFP (Open Shortest Path First) protokollarini madadlaydi. RRASning bu xususiyatlari undan VPN shlyuzi kabi «tarmoq-tarmoq» aloqasida foydalanishga imkon yaratadi. RAS xizmati masofadan foydalanuvchilaming ko'pchiligiga (256 tagacha) bitta Windows NT serveriga ulanish va lokal tarmoq resurslaridan IPX va TCP/IP protokollari bo'yicha foydalanish imkoniyatini beradi. Alta Vista Tunnel 98 mahsulotlari oilasi uchta mahsulotni o'z ichiga oladi: Telecommuter Server, Extranet Server, AltaVista Tunnel Client. Telecommuter Server serveri Internet korporativ foydalanuvchilar orasida himoyalangan tunnellami Internet orqali tashkil etishga atalgan. Extranet Server serveri yordamida tarmoqlar orasida himoyalangan kanal hosil qilinadi.
Bu ikkala server umumiy Alta Vista Tunnel Server nomiga ega. Alta Vista Tunnel Client VPN klientning dasturiy ta’minotidir. Alta Vista Tunnel 98 oilasining barcha mahsulotlari foydalanuvchilami autentifikatsiyalashda va RSA kriptografik tizimning sessiya kalitlarini almashishda ishlatiladi. Foydalanuvchilarni autentifikatsiyalashda Security Dynamics kompaniyasining apparat kaliti SecurlD ham ishlatilishi mumkin. Mijoz va server yangi sessiya kalitlari bilan har 30 minutda almashishadi. Ma’lumotlarni shifrlashda RC4 algoritmidan foydalaniladi. Mahsulotlarning xalqaro versiyasi RC4 algoritmi bo'yicha shifrlashda 56 yoki 40 bitli kalitlardan foydalanadi. Ma’lumotlami autentifikatsiyalash va yaxlitligini ta’minlash uchun MD5 xesh-funksiyasi ishlatiladi. Alta Vista Tunnel 98 oilasining mahsulotlari LZO algoritmi bo‘yicha ma’lumotlarni zichlashtirishi mumkin.
Ushbu oila mahsulotlari aksariyat zamonaviy operatsion tizimlar - Windows NT/2000, Unix BSD/OS, Unix Free BSD va Digital UNIX boshqaruvida ishlashi mumkin. Windows NT/2000 operatsion muhitda Alta Vista Tunnel Server mahsuloti bir vaqtning o‘zida 200 tunnel ulanishlarini, UNIX operatsion muhitda esa 2000 gacha tunnel ulanishlarni madadlaydi.

Download 44.68 Kb.

Do'stlaringiz bilan baham:
  1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling