15.2.Himoyalangan tarmoq tasnifi
Autentifikatsiyalashni, uzatiluvchi ma’lumotlarning mahfiyligi va yaxlitligini ta’minlash maqsadida, IPSec protokollarining steki qator standartlashtirilgan kriptografik texnologiyalar asosida qurilgan:
kalitlarni almashtirish ochiq tarmoqdan foydalanuvchilar orasida maxfiy kalitlarni taqsimlashning Diffi-Xellman algoritmi bo‘yicha amalga oshiriladi;
ikkala tomonning haqiqiyligini kafolatlash va main-in-the-midle xilidagi xujumlarni oldini olish maksadida Diffi-Xellman algoritmi bo‘yicha almashishlarni imzolashda ochiq kalitlar kriptografiyasidan foydalaniladi;
ochiq kalitlarning haqiqiyligini tasdiklashda raqamli sertifikatlar ishlatiladi;
ma’lumotlarni shifrlashda blokli simmetrik algoritmlardan foydalaniladi;
xeshlash funksiyalari asosida axborotlarni autentifikatsiyalash algoritmlari ishlatiladi.
Himoyalangan kanalni o‘rnatish va madadlashdagi asosiy masalalar quyidagilar:
- foydalanuvchilar yoki kompyuterlarni autentifikatsiyalash;
- ximoyalangan kanalning oxirgi nuqtalari orasida uzatiluvchi ma’lumotlarni shifrlash va autentifikatsiyalash;
- kanalning oxirgi nuqtalarini ma’lumotlarni autentifikatsiyalashda va shifrlashda kerak buladigan maxfiy kalitlar bilan ta’minlash.
Yuqorida sanab o‘tilgan masalalarni hal etishda IPSec tizimi axborot almashish xavfsizligi vositalarining kompleksidan foydalanadi.
IPSec protokolining aksariyat amalga oshirilishida kuyidagi komponentlardan foydalaniladi:
IPSecning asosiy protokoli. Ushbu komponent ximoyani inkapsulyatsiyalovchi protokol ESP (Encapsulation Security Rau1oad)ni va sarlavxani autentifikatsiyalovchi protokoli AH(Authentication Header)ni amalga oshiradi. U sarlavhalarni ishlaydi; paketga qo‘llaniladigan xavfsizlik siyosatini aniqlash uchun SPD va SAD ma’lumotlar bazasi bilan o‘zaro aloqa qiladi;
kalit axborotlarini almashishni boshkarish protokoli IKE. IKE odatda foydalanish satxida qo‘llaniladi (operatsion tizimga o‘rnatilgani bundan istisno);
xavfsizlik siyosatlarining ma’lumotlar bazasi SPD (Security Policy Database). Bu eng muxim komponentlardan biri bulib, paketga qo‘llaniladigan xavfsizlik siyosatini belgilaydi. SPD dan asosiy protokol IPSec tomonidan kiruvchi va chiquvchi paketlarni ishlashda foydalaniladi;
xavfsiz assotsiatsiyalarning ma’lumotlar bazasi SPD (Security Assocition Database). Bu ma’lumotlar bazasi kiruvchi va chiquvchi axborotni ishlash uchun xavfsiz assotsiatsiyalar SA(Security Association) ruyxatini saklaydi. Chiquvchi SA lardan chiquvchi paketlarni ximoyalashda, kiruvchi SAlardan esa IPSec sarlavx,ali paketlarni ishlashda foydalaniladi. SAD ma’lumotlar bazasi SA bilan kulda yoki kalitlarin boshqarish protokollari IKE yordamida to‘ldiriladi;
- xavfsizlik siyosatini va xavfsiz assotsiyatsiyalarni boshkarish. Bu - xavfsizlik siyosatini va SAhi boshqaruvchi ilovalar.
Asosiy protokol IPSec (ESP va ANni amalga oshiruvchi) TSR/IR protokollarining transport va tarmoqsteklari bilan uzaro uzviy aloqada buladi. IPSecni tarmoq satxining qismi deyish mumkin. IPSecning asosiy moduli ikkita interfeysni - kirish yuli va chikish yuli interfeyslarni ta’minlaydi. Kirish yuli interfeysi kiruvchi paketlar tomonidan, chikish yuli interfeysi esa chiquvchi paketlar tomonidan foydalaniladi. IPSecning amalga oshirilishi TSR/IR protokollar stekining transport va tarmoq satxdari orasidagi interfeysga bog‘liq bo‘lmasligi lozim.
SPD va SAD ma’lumotlar bazasi IPSec ishlashiga jiddiy ta’sir kursatadi. Ulardagi ma’lumotlar tuzilmasini tanlash IPsec ishlashining unumdorligiga ta’sir etadi.
IPSec dagi barcha protokollarni ikkita guruxga ajratish mumkin:
uzatiluvchi ma’lumotlarni bevosita ishlovchi (ularning xavfsizligini ta’minlash uchun) protokollar;
birinchi gurux, protokollariga kerakli ximoyalangan ulanishlar pa- rametrlarini avtomatik tarzda muvofiklashtirishga imkon beruvchi proto kollar.
IPSec yadrosini uchta AN, ESP va virtual kanal va kalitlarni boshqarish IKE parametrlarini muvofiklashtiruvchi protokollar tashkil etadi.
IPSecning xavfsizlik vositalarining arxitekturasi 2-rasmda keltirilgan.
Arxitekturaning yuqori sathida kuyidagi protokollar joylashgan:
- virtual kanal parametrlarini muvofiklashtiruvchi va kalitlarni boshkarish protokoli IKE. Bu protokol ximoyalangan kanalni initsializatsiyalash usulini, jumladan ishlatiluvchi kriptohimoyalash algoritmlarini muvofiklashtirishni hamda himoyalangan ulanish doirasida maxfiy kalitlarni almashish va boshkarish muolajalarini belgilaydi;
- sarlavhani autentifikatsiyalovchi protokol AN. Bu protokol ma’lumotlar manbaini autentifikatsiyalashni, ularning, qabul kilinganidan sung, yaxlitligini va xakikiyligini tekshirish va takroriy axborotlarning tikishtirilishidan ximoyani ta’minlaydi;
- ximoyani inkapsulyatsiyalovchi protokol ESP. Bu protokol uzatiluvchi ma’lumotlarni kriptografik berkitishni, autentifikatsiyalashni va yax litligini ta’minlaydi xamda takroriy axborotlarning tikishtirilishidan ximoyalaydi.
AN va ESP protokollari xar biri aloxida va birgalikda ishlati-lishi mumkin. Bu protokollar vazifalarining kiskacha bayonidan kurinib turibdiiki, ularning imkoniyatlari kisman bir xil.
AN protokoli fakat ma’lumotlarni yaxlitligini va autentifikatsiyalashni ta’minlashga javob beradi. ESP protokoli kuvvatlirok, xisoblanadi, chunki u ma’lumotlarni shifrlashi mumkin, undan tashkari AN protokoli vazifasini ham bajarishi mumkin.
2-rasm. IP Sec protokollari stekining arxitekturasi
IKE, AN va ESP protokollarining uzaro aloqalari quyidagicha kechadi. Avval IKE protokoli bo‘yicha ikkita nuqta orasida mantiqiy ulanish o‘rnatiladi. Bu ulanish IPSec standartlarida "xavfsiz assotsiatsiya''-Security Association, SA nomini olgan. Ushbu mantikiy kanal o‘rnatilishida kanalning oxirgi nuqtalarini autentifikatsiyalash bajariladi xamda ma’lumotlarni ximoyalash parametrlari, masalan, shifrlash algoritmi, sessiya maxfiy kaligi va x,. tanlanadi. Sungra xavfsiz assotsiatsiya SA tomonidan urnatilgan doirada AN va ESP protokoli ishlay boshlaydi. Bu protokollar yordamida uzatiluvchi ma’lumotlarning istalgan ximoyasi, tanlangan pa-rametrlardan foydalanilgan xrlda, bajariladi.
IPSec arxitekturasining o‘rta sathini IKE protokolida qo‘llaniluvchi parametrlarni muvofiklashtirish va kalitlarni boshkarish algoritmlari xamda AN va ESP protokollarida ishlatiluvchi autentifikatsiyalash va shifrlash algoritmlari tashkil etadi.
Ta’kidlash lozimki, IPSec arxitekturasining yuqori sathidagi virtual kanalni ximoyalash protokollari (AN va ESP) muayyan kriptografik algoritmlarga bog‘liq emas. Autentifikatsiyalash va shifrlashning kup sonli turli-tuman algoritmlaridan foydalanish imkoniyati tufayli IPSec tarmoqni ximoyalashni tashkil etishning yuqori darajada moslanuvchanligi ta’minlaydi. IPSecning moslanuvchanligi deganda xar bir masala uchun uning yechilishining turli usullari tavsiya etilishi tushuniladi. Bir masala uchun tanlangan usul, odatda, boshka masalalarni amalga oshirish usullariga boglik, emas. Masalan, shifrlash uchun DES algoritmining tanlanishi ma’lumotlarni autentifikatsiyalashda ishlatiluvchi daydjestni xisoblash funksiyasini tanlashga ta’sir qilmaydi.
IPSec arxitekturasining pastki sath interpretatsiyalash domeni DOI (Domain of Interpretation) dan iborat. Interpretatsiyalash domenining kullanish zaruriyatiga kuyidagilar sabab bo‘ldi. AN va ESP protokollari modulli tuzilmaga ega, ya’ni foydalanuvchilar uzaro kelishilgan holda shifrlash va autentifikatsiyalashning turli kriptografik algoritmlaridan foydalanishlari mumkin. Shu sababli, barcha ishlatiluvchi va yangi kiritiluvchi protokol va algoritmlarning birgalikda ishlashini ta’minlovchi modul zarur. Aynan shu vazifalar interpretatsiyalash domeniga yuklatilgan.
Interpretatsiyalash domeni ma’lumotlar bazasi sifatida IPSecda ishlatiladigan protokollar va algoritmlar, ularning parametrlari, protokol identifikatorlari va x,. xususidagi axborotlarni saqlaydi. Moxiyati bo‘yicha interpretatsiyalash domeni IPSec arxitekturasida fundament rolini bajaradi. AN va ESP protokollarida autentifikatsiyalash va shifrlash algoritmlari sifatida milliy standartlarga mos keluvchi algoritmlardan foydalanish uchun bu algoritmlarni interpretatsiyalash domenida ruyxatdan utkazish lozim.
AN yoki ESP protokollari uzatiluvchi ma’lumotlarni kuyidagi ikkita rejimda ximoyalashi mumkin:
- tunnel rejimda; IP paketlar butunlay, ularning sarlavxasi bilan birga ximoyalanadi.
- trasport rejimida; IP paketlarning fakat ichidagilari ximoyalanadi.
Tunnel rejimi asosiy rejim xisoblanadi. Bu rejimda dastlabki paket yangi IP paketga joylanadi va ma’lumotlar tarmoq bo‘yicha uzatish yangi IP-paket sarlavxasi asosida amalga oshiriladi. Tunnel rejimida ishlashda xar bir oddiy IP-paket kriptohimoyalangan ko‘rinishda butunlaycha IPSec konvertiga joylanadi. IPSec konverti, o‘z navbatida boshqa ximoyalangan IP-paketga inkapsulyatsiyalanadi. Tunnel rejimi odatda maxsus ajratilgan xavfsizlik shlyuzlarida - marshrutizatorlar yoki
tarmoqlararo ekranlarda amalga oshiriladi. Bunday shlyuzlar orasida ximoyalangan tunnellar shakllantiriladi.
Tunnelning boshka tomonida qabul kilingan ximoyalangan 1R-paketlar "ochiladi" va olingan dastlabki IP-paketlar qabul qiluvchi lokal tarmoqkompyuterlariga standart qoidalar bo‘yicha uzatiladi. IP-paketlarni tunnellash tunnellarni egasi bo‘lmish lokal tarmoqdagi oddiy kompyuterlar uchun shaffof xisoblanadi. Oxirgi tizimlarda tunnel rejimi masofadagi va mobil foydalanuvchilarni madadlash uchun ishlatilishi mumkin. Bu holda foydalanuvchilar kompyuterida IPSecning tunnel rejimini amalga oshiruvchi dasturiy ta’minot urnatilishi lozim.
Transport rejimida tarmoq orkali IP-paketni uzatish bu paketning dastlabki sarlavxasi yordamida amalga oshiriladi. IPSec konvertiga kriptohimoyalangan kurinishda fakat IP-paket ichidagi joylanadi va olingan konvertga dastlabki IP-sarlavxa qo‘shiladi. Transport rejimi tunnel rejimiga nisbatan tezkor va oxirgi tizimlarda qo‘llanish uchun ishlab chiqilgan. Ushbu rejim masofadagi va mobil foydalanuvchilarni xamda lokal tarmoq ichidagi axborot okimini ximoyalashni madadlashda ishlatilishi mumkin. Ta’kidlash lozimki, transport rejimida ishlash ximoyalangan uzaro aloqa guruxiga kiruvchi barcha tizimlarda uz aksini topadi va aksariyat hollarda tarmoq ilovalarini kayta dasturlash talab etiladi.
Tunnel yoki transport rejimidan foydalanish ma’lumotlarni ximoyalashga kuyiladigan talablarga xamda IPSes ishlovchi uzel roliga bog‘liq. Ximoyalanuvchi kanalni tugallovchi uzel-xost(oxirgi uzel) yoki shlyuz (oralikdagi uzel) bulishi mumkin. Mos holda, IPSecni qo‘llashning quyidagi uchta asosiy sxemasi farqlanadi:
"xost - xost";
"shlyuz - shlyuz";
"xost - shlyuz";
Birinchi sxemada ximoyalangan kanal tarmoqning oxirgi ikkita uzeli, ya’ni HI va N2 xostlar orasida urnatiladi (3-rasm), IPSecni madadlovchi xostlar uchun transport, xam tunnel rejimlaridan foydalanishga ruxsat beriladi.
SA himoyalangan kanali
3.- rasm. "Xost-xost " sxemasi
Ikkinchi sxemaga binoan, ximoyalangan kanal xar birida IPSec protokoli ishlovchi, xavfsizlik shlyuzlari SG1 va SG2 (Security Gateway) deb ataluvchi oralikdagi ikkita uzellar orasida urnatiladi (4-rasm).
4-rasm. "Shlyuz-shlyuz" sxemasi
Xavfsizlik shlyuzi ikkita tarmoqqa ulanuvchi tarmoq qurilmasi bulib, uzidan keyin joylashgan xostlar uchun shifrlash va autentifikatsiyalash funksiyalarini bajaradi. VPNhing xavfsizlik shlyuzi aloxida dasturiy maxsulot, alox,ida apparat kurilma xamda VPN funksiyalari bilan tuldirilgan marshrutizator yoki tarmoqlararo ekran kurinishida amalga oshirilishi mumkin.
Ma’lumotlarni ximoyalangan almashish tarmoqlarga ulangan, xavfsizlik shlyuzlaridan keyin joylashgan har kanday ikkita oxirgi uzellar orasida ruy berishi mumkin. Oxirgi uzellardan IPSec protokolni madadlash talab kilinmaydi, ular uzlarining trafigini himoyalanmagan xrlda korxonaning ishonchli tarmog‘i Intranet orkali uzatadi. Umumfoydalanuvchi tarmoqqa yuboriluvchi trafik xavfsizlik shlyuzi orkali utadi va bu shlyuz uzining nomidan IPSec yordamida trafikni himoyalashni ta’minlaydi. Shlyuzlarga fakat tunnel rejimida ishlashga ruxsat beriladi, garchi ular transport rejimini xam madadlashlari mumkin (bu holda samara kam buladi).
"Xost - shlyuz" sxemasi kupincha himoyalangan masofadan foydalanishda ishlatiladi (5-rasm).
5-rasm. "Xost-xost"kanali bilan to‘ldirilgan "xost-shlyuz" sxemasi
Bu yerda himoyalangan kanal IPSec ishlovchi masofadagi HI xost va korxona Intranet tarmog‘iga kiruvchi barcha xostlar uchun trafikni ximoyalovchi SG shlyuz orasida tashkil etiladi. Masofadagi xost shlyuzga paketlarni junatishda xam transport va xam tunnel rejimlaridan foydalanishi mumkin, shlyuz esa xostga paketlarni fakat tunnel rejimida junatadi.
Bu sxemani masofadagi HI xost va shlyuz tomonidan ximoyalanuvchi ichki tarmoqqa tegishli biror N2 xost orasida parallel yana bir ximoyalangan kanalni yaratib modifikatsiyalash mumkin. Ikkita SAdan bunday kombinatsiyadan foydalanish ichki tarmoqdagi trafikni xam ishonchli ximoyalashta imkon beradi.
Kurilgan IPSec asosida himoyalangan kanalni qurish sxemalari turli-tuman virtual himoyalangan tarmoqlarni (VPN) yaratishda keng qo‘llaniladi. IPSec asosida turli arxitekturaga ega bo‘lgan virtual ximoyalangan tarmoqlar, jumladan masofadan foydalanuvchi VPN(Remote Access VPN), korporatsiya ichidagi VPN(Intranet VPN) va korporatsiyalararo VPN(Extranet VPN) quriladi.
IPSec asosidagi VPN-texnologiyalarining jozibaliligini kuyidagi sabablar orqali izoxdash mumkin:
Tarmoq satxining ximoyasi tarmoqda ishlovchi barcha tadbiq etish tizimlari uchun shaffof, ya’ni barcha ilovalar ximoyalangan tarmoqda xech qanday tuzatishsiz va uzgarishsiz xuddi ochiq tarmoqda ishlaganidek ishlayveradi;
himoyalash tizimining masshtablanuvchanligi ta’minlanadi, ya’ni murakkabligi va unumdorligi turli bo‘lgan ob’ektlarni himoyalash uchun murakkabligi, unumdorligi, narxi darajasi bo‘yicha adekvat bo‘lgan himoyalashning dasturiy yoki dasturiy-apparat vositalaridan foydalanish mumkin;
masshtablanuvchi qotordagi axborotni himoyalash maxsulotlari birga ipglay oladilar, shu sababli ularni turli satxdagi ob’ektlarda (masofadagi yagona terminallardan to ixtiyoriy masshtabli lokal tarmoqlargacha) resurslaridan va trafigidan barcha begonalar foydalanaolomaydigan yagona korporativ tarmoqqa birlashtirish mumkin.
Dostları ilə paylaş: |