Желі аралық экрандар технологиясы. Желіаралық экранның
қосымша мүмкіндіктері
Дәріс мақсаты: ЖЭ жалғауыш-программа көмегінсіз сүзгілеу функциясын
жүзеге асыра алады, бұл жағдайда ол ішкі және сыртқы желі арасында мөлдір
өзара байланысты қамтамасыз ететіндігін түсіндіру. ЖЭ-нің маңызды
функциялары болып оқиғаларды тіркеу, берілген оқиғаға жауап қайтару,
сонымен қатар тіркелген ақпаратты талдау (анализ) және есеп беруді жасау
болып табылады.
Негізгі қарастырылатын сөздер: ауқымды желі, клиент, сервер,
корпоративті интражелі, локальді желі, сеанстық деңгей, сүзгілеу, трафик,
сүзгілеу, оқиғаларды тіркеу, администрациялау және есеп беру генерациясы,
есептеу жүйесі.
Дәріс сұрақтары:
1. Желі аралық экрандар технологиясы және функциялары
2. Трафикті сүзгілеу
3.Пайдаланушылардың аутентификациясы мен идентификациясы
4. Желілік адрестердің трансляциясы
Дәрістің негізгі мазмұны
Желі аралық экран(ЖЭ) - брандмауер немесе firewall жүйесі деп аталатын
арнайыланған желі аралық қорғаныс кешені. ЖЭ ортақ желіні екіге бөлуге және
ортақ желінің бір облысынан екінші облысының шекарасынан берілгендер
пакетінің өту шаттарын анықтайтын ережелер жиынтығын іске асыруға
мүмкіндік береді. Мұндай шекаралар мекеменің локальді желісі және Internet
ауқымды желісі арасында жүргізіледі.
Әдетте ЖЭ Internet ауқымды желісінен мекеменің ішкі желісін бұзып кіруден
қорғайды, мекеменің локальді желісіне қосылған корпоративті интражелідегі
шабуылдан қорғау үшін де қолданыла береді. ЖЭ технологиясы корпоративті
желілерді сыртқы кауіп қатерден қорғайтын ең алғашқы технологиялардың бірі.
Көптеген мекемелерде ЖЭ – орнату орнату ішкі желіні қорғаудың ең қажетті
шарты болып табылады.
Желі аралық экрандар функциясы
Рұхсат етілмеген желі аралық бұзуға қарсы тұру үшін ЖЭ ішкі болып
табылатын мекеменің қорғалатын желісі және сыртқы қарсылас желінің
арасында орналасуы керек (1 - сурет). Соған қарамастан осы желілер
арасындағы қарым қатынастар ЖЭ арқылы жүзеге асырылуы тиіс. ЖЭ жалпы
қорғалатын желі құрамына кіреді.
Бірнеше түйіндерді бірден тарқататын ЖЭ, мынадай мәселерді шешеді:
• Корпоративті желінің ішкі ресурстарына сыртқы қолданушылардың
кіруін шектеу жұмысы (қорғалатын желіге байланысты). Мұндай
пайдаланушыларға серіктестер, жойылған қолданушылар, хакерлер және де
сол мекеменің ЖЭ қорғайтын берілгендер қорын алғысы келетін
жұмысшыларын жатқызуға болады.
VPN қауіпсіздік шлюзі (security gateway) – бұл екі желіге қосылатын және
шифрлау, аутентификация функцияларын орындайтын желілік құрылғы. Ішкі
корпоративті желіге арналған барлық трафик осы VPN қауіпсіздік шлюзі
арқылы өтетіндей болып орналасқан.
Филиал офисі
Internet бизнес-серіктес
Алыстатылған қолданушы
6-сурет. VPN виртуалды қорғалған желі.
Ақпаратты берудің ашық ішкі ортасы Интернет желісін қолданатын
жылдам мәлімет беру каналдары, сонымен қатар әдетте телефон желісі
каналдары болатын жай байланыс каналдары болып табылады. Ақпараттың
қауіпсіздігін асқтау үшін инкапсуляция немесе туннельдеу қолданылады.
Туннельдеу әдісі арқылы берілгендер пакеті жалпы желі арқылы беріледі.
Әрбір «жіберуші-ақпаратты қабылдаушы» жұптарының арасында логикалық
байланыс – өзіндік туннель орнайды. Ол бір протокол мәліметтерін
басқалардың пакетіне инкапсуляциялау үшін қажет.
Туннельдеу ұғымы инкапсуляциялау, яғни ақпаратты жаңа канвертте
орау дегенді білдіреді. Мұнда протокол пакеті өте аз деңгейде болса да, өте
жоғары немесе өзінікіндей деңгейдегі мәліметтер өрісіне орналасады.
Туннельдеу ақпаратты санкцияланбаған қол жеткізуден қорғамайды, бірақ ол
арқылы ақпаратты толық криптографиялық қорғау мүмкіндігі туады.
Ақпаратты беруші берілетін ақпаратты қорғау үшін шығыс пакеттерін
шифрлайды, оны ішкі пакетке жаңа IP-тақырыппен жазып қояды және
транзиттік желі бойынша жібереді. Қорғалған каналдың соңғы нүктесіне
келгенде ішкі пакеттен бастапқы пакетті шығарады, шифрын ашады және әрі
қарай қолдана береді.Туннельдеу пакет мазмұнының тұтастығын сақтау үшін
ғана емес, сонымен қатар аутенттілігін сақтау үшін қолданылады. Мұнда
электронды цифрлы жазбаны пакеттің барлық өрістеріне орналастыруға
болады. Туннельдеу механизмі қорғалған каналдар жасаудың әртүрлі
протоколдарында кеңінен қолданылады. Әдетте туннель ақпараттың тұтастығы
мен мазмұндылығы бұзылуға қауіп бар жерде, ашық желі бөліктерінде
құрылады. Мұнда ішкі пакеттер үшін шекаралық маршрутизаторлар адресі
қолданылады. Туннельдеу логикалық ортада басқа протокол қолданатын бір
протокол пакеттерін беруді ұйымдастырады. Нәтижесінде бірнеше әр түрлі
желілердің өзара әсерінің мәселелері шешіледі.
Жаңа пакет
Жаңа IP AH-тақырып ESP- Бастапқы IP Мәліметтер
тақырып тақырып тақырып
Бастапқы пакет
7-сурет. Туннельдеу үшін дайындалған пакет мысалы
Негізінен, бастапқы пакет тақырыбынан желінің ішкі құрылым туралы
мәлімет алуға болады – ішкі желілердің саны туралы мәліметтер және тораптар
және олардың IP тақырыптары. Бұзушы мұндай мәліметтерді корпоративті
желіге шабуыл кезінде қолдануы мүмкін. Шифрленген тақырыппен жазылған
бастапқы пакет желі бойынша тасымалдау мекемелері үшін қолданылмайды.
Сондықтан да бастапқы пакетті қорғау үшін инкапсуляция немесе туннельдеу
қолданылады. Бастапқы пакетті тақырыбымен қоса толығымен шифрлайды,
содан соң оны басқа ішкі пакетке орналастырып қояды. Мәліметтерді ашық
желіде тасымалдау үшін ішкі пакет тақырыбының ашық өрістері қолданылады.
Қорғалған каналдың соңғы нүктесіне келгенде ішкі пакеттен ішкі
алғашқы пакетті шығарады, шифрын ашады және алдағы уақытта ішкі желіде
ақпарат беру үшін қолданады.
Туннельдеу ақпараттың құпиялығын сақтау үшін ғана емес, сонымен
қатар оның тұтастығын және аутенттілігін сақтау үшін қолданылады.
Екі нүкте арасындағы желілік құрылымды толықтыруда туннельдеу екі
локальды желі арасындағы адрестер конфликтін алдын алуға мүмкіндік
туғызады.
Туннельдеу механизмі қорғалған каналдар жасаудың әр түрлі
протоколдарында кеңінен қолданылады. Әдетте туннель ақпараттың
құпиялығы мен тұтастығының бұзылу қаупі бар ашық желі аймағында
құрылады. Оған қоса ішкі пакеттер үшін осы екі нүктеде құрылған шекаралық
маршрутизаторлар адрестері қолданылады. Туннельдеу бір протокол
қолданатын логикалық ортада басқа протокол пакеттерін беруді
ұйымдастырады. Нәтижесінде бірнеше әр типті желілердің өзара әсерлесу
мәселелерін шешуге мүмкіндік туады.
Туннельдеу механизмін жүзеге асыруды 3 типті протоколдармен жұмыс
нәтижесі ретінде түсінуге болады. Бұл 3 типті протоколдарға мыналар жатады:
«пассажир» протоколы, жеткізуші протоколы және туннельдеу протоколы.
Мысалы, «пассажир» протоколы ретінде IPX протоколы қолданылады, ол бір
мекеме филиалдарының локальды желілерінде мәліметтерді жеткізеді.
Жеткізуші протоколдың кең таралған нұсқасына Интернет желісінің IP
протоколы жатады. Туннельдеу протоколы ретінде каналдық деңгейдегі PPTP
және L2TP, сонымен қатар желілік деңгейдегі IPSec қосымшаларынан
Интернет инфрақұрылымдарын ашу мүмкіндігі туады.
VPN туннельдері соңғы қолданушылардың әр түрлі типтері үшін құрыла
алады. Ол не LAN (Local Area Network) локальды желісі, не алыстатылған
немесе мобильді қолданушылардың жеке компьютерлері болуы мүмкін.
Ауқымды мекеменің виртуалды жеке желілерін құру үшін VPN-клиент, VPN-
сервер және VPN қауіпсіздік шлюзі керек. VPN қауіпсіздік шлюзі мекеменің
локальды желілерін қорғау үшін, VPN-сервер және VPN-клиент Интернет
арқылы корпоративті желіде алыстатылған және мобильді қолданушылардың
қорғалған байланыстарын ұйымдастыру үшін пайдаланылады.
VPN желісін жобалау дың негізгі екі сызбасы бар:
1. Локальды желілер арасындағы виртуалды қорғалған канал (ЛВС-ЛВС);
2. Торап пен локальды желі арасындағы виртуалды қорғалған канал (канал
клиент-ЛВС).
Бұл байланыс жекелеген офистар арасындағы қымбатқа түсетін
ерекшеленген сызықтарды алмастыруға мүмкіндік береді және олардың
арасындағы әрқашан қол жеткілікті қорғалған каналдар құруға мүмкіндік
береді. Бұл жағдайда қауіпсіздік шлюзі туннель мен локальды желі арасында
интерфейс болып табылады.
VPN қорғалған каналының сызбасы алыстатылған немесе мобильді
қолданушылармен байланыс орнату үшін арналған. Туннель құруды клиент
қарастырады. Шлюзбен байланыстыру үшін ол өзінің компьютерінде арнайы
клиенттік программалық қамсыздандыруды жүктемелейді.
VPN-ның бұл түрі коммутацияланатын байланыстарды ауыстыра алады
және алыстатылған қол жеткізулердің дәстүрлі әдістерімен бірге қолданылады.
Виртуалды қорғалған каналдардың сызбаларының бірнеше варианттары
бар. Виртуалды қорғалған канал орнатылатын екі тораптың кез келгені
қорғалатын хабарлама ағынының соңғы немесе аралық нүктесіне тиісті болады.