Дипломдық жобаға ТҤсініктемелік жазба 5В071900 Радиотехника, электроника және телекоммуникация мамандығы Алматы 2019
жүктеу/скачать 1,77 Mb. Pdf көрінісі
|
|
33 2.4 VPN желілерін жіктеу VPN технологиясының арқасында кӛптеген компаниялар Интернетті ақпаратты берудің басты құралы ретінде пайдалануды ескере отырып, ӛз стратегиясын құра бастайды, тіпті осал немесе ӛмірлік маңызды болып табылады. VPN классификациясының әртүрлі белгілері бар. Ең жиі қолданылады [4]: - OSI моделінің «жұмыс» деңгейі; - VPN техникалық шешімінің архитектурасы; - VPN техникалық іске асыру тәсілі. OSI моделінің «жұмыс» деңгейі бойынша VPN жіктелуі. Жалпы қол жетімді (қорғалмаған) желі бойынша деректерді қауіпсіз беру технологиялары үшін жалпыланған атау – қорғалған арна (securechannel) қолданылады. «Арна» термині деректерді қорғау пакеттер коммутациясы бар желіде салынған кейбір виртуалды жолдың бойында желінің екі торабы (хост немесе шлюздер) арасында қамтамасыз етілетіндігін атап кӛрсетеді. Қорғалған арнаны OSI ашық жүйелерінің ӛзара әрекеттесу моделінің әртүрлі деңгейлерінде іске асырылған жүйелік құралдардың кӛмегімен құруға болады. VPN-ның «жұмыс» деңгейі бойынша жіктелуі OSI-дің таңдалған деңгейіне кӛп жағдайда іске асырылатын VPN функционалдығы және оның қосымшалармен, сондай-ақ басқа да қорғаныс құралдарымен үйлесімдігі байланысты. OSI моделінің «жұмыс» деңгейінің белгісі бойынша келесі vpn топтары ажыратылады: - VPN арналық деңгей; - VPN желілік деңгейі; - VPN сеанс деңгейі. VPN арналық деңгей. OSI моделінің арналық деңгейінде қолданылатын VPN құралдары үшінші деңгейдегі (және одан жоғары) трафиктің әр түрлі түрлерінің инкапсуляциясын және типті виртуалды туннельдерді құруды қамтамасыз етуге мүмкіндік береді. «Нүкте-нүкте» (маршрутизатордан маршрутизаторға немесе дербес компьютерден ЛВС шлюзіне). Бұл топқа L2F (Layer 2 Forwarding) және РРТР (Point-to-PointTunneling Protocol) протоколдарын пайдаланатын ӛнімдер, сондай-ақ Cisco Systems және Microsoft фирмалары әзірлеген L2TP (Layer 2 Tunneling Protocol) стандарты жатады. VPN желілік деңгейі. VPN-желілік деңгейдегі ӛнімдер IP-де инкапсуляцияны орындайды. Осы деңгейдегі кең танымал хаттамалардың бірі IPSec протоколы болып табылады, ол аутентификация, туннелдеу және IP- пакеттерді шифрлауға арналған. IPSec протоколы Internet Engineering Task Force (IETF) консорциумымен стандартталған пакеттерді шифрлау бойынша 34 барлық үздік шешімдерді ӛзіне қосып, IPv6 протоколына міндетті компонент ретінде кіруі тиіс. IPSec протоколына Ike (Internet Key Exchange) протоколы байланысты, алыстағы құрылғылар арасында криптографиялық кілттерді қауіпсіз басқару және алмасу міндеттерін шешеді. IKE ХАТТАМАСЫ кілттермен алмасуды автоматтандырады және қорғалған қосылуды орнатады, ал IPSec кодтайды және пакеттерге қол қояды. Сонымен қатар, IKE орнатылған қосылу үшін кілтті ӛзгертуге мүмкіндік береді, бұл берілетін ақпараттың құпиялылығын арттырады. VPN сеанс деңгейі. Кейбір VPN «арналар делдалдары» (circuit proxy) деп аталатын басқа тәсілді қолданады. Бұл әдіс кӛлік деңгейімен жұмыс істейді және қорғалған желіден әрбір сокет үшін жеке Internet жалпыға қол жетімді желісіне трафикті қайта таратады. (IP сокеті TCP-байланыс және нақты портты немесе UDP портымен сәйкестендіріледі. TCP / IP стегінің бесінші сеанстық деңгейі жоқ, алайда сокеттерге бағытталған операциялар жиі сеанстық деңгейдегі операциялар деп аталады.) Туннельдің бастамашысы мен терминаторы арасында берілетін ақпаратты шифрлау кӛбінесе TLS (Transport Layer Security) кӛлік деңгейін қорғау кӛмегімен жүзеге асырылады. Қазіргі уақытта socks v5 протоколы арналар делдалдарын стандартталған іске асыру үшін қолданылады. Техникалық шешім архитектурасы бойынша VPN классификациясы виртуалды жеке желілердің үш негізгі түрін бӛліп алу қабылданған: - ішкі корпоративтік VPN (Intranet VPN); - Қашықтан қол жеткізу VPN (Remote Access VPN); - корпоративтік VPN (Extranet VPN). VPN ішкі корпоративтік желілері кәсіпорын ішіндегі бӛлімшелер арасында немесе бӛлінген желілерді қоса алғанда, корпоративтік байланыс желілерімен біріктірілген кәсіпорындар тобы арасында қорғалған ӛзара іс- қимылды қамтамасыз етуге арналған. Алыстан қатынайтын VPN компанияның мобильді және/немесе алыстан (home-office) қызметкерлерінің корпоративтік ақпараттық ресурстарына қашықтан қатынауын қамтамасыз етуге арналған. Vpn корпоративтік желілері бизнес бойынша стратегиялық серіктестермен, жеткізушілермен, ірі тапсырыс берушілермен, пайдаланушылармен, клиенттермен және т.б. қорғалған ақпарат алмасуды қамтамасыз етуге арналған. Соңғы уақытта VPN әр түрлі конфигурациялар конвергенциясының үрдісі байқалады. Техникалық іске асыру тәсілі бойынша VPN жіктелуі. Техникалық іске асыру тәсілі бойынша VPN: - маршрутизаторлар; - желі аралық экрандар; - бағдарламалық шешімдер; - кіріктірілген шифропроцессорлары бар мамандандырылған аппараттық құралдар Vpn маршрутизаторлар негізінде (2.6 сурет). 35 Сурет 2.6 - Маршрутизаторлар базасында VPN VPN құрудың бұл тәсілі қорғалған арналарды құру үшін маршрутизаторларды қолдануды кӛздейді. Ӛйткені барлық ақпарат, шығыс хат- жергілікті желі арқылы арқылы ӛтеді маршрутизатор болса, әбден әрине оған жүктелсін мен міндеттері шифрлау. VPN үшін маршрутизаторлардағы жабдық үлгісі – Cisco Systems компаниясының құрылғылары және т. б. VPN желіаралық экрандар негізінде (МЭ) 2.7 суретте келтірілген. Сурет 2.7 - ЭМ мен VPN клиенттерінің арасында VPN іске асыру Кӛптеген ӛндірушілердің МЭ деректерді туннелдеу және шифрлау мүмкіндіктерін қолдайды, мысалы, Check Point Software Technologies компаниясының Fire Wall - 1 ӛнімі. Пайдаланғанда ЭМ базасында ДК есте сақтау керек, мұндай шешім тері шағын желілер аз кӛлемі берілетін ақпарат. 36 Бұл әдістің кемшіліктері бір жұмыс орнына қайта есептегенде шешімнің жоғары құны және ӛнімділіктің ЭМ жұмыс істейтін аппараттық қамтамасыз етуден тәуелділігі болып табылады. VPN бағдарламалық жасақтама негізінде 2.8 суретте кӛрсетілген Сурет 2.8 - Бағдарламалық қамтамасыз ету базасында VPN VPN-бағдарламалық тәсілмен іске асырылған ӛнімдер ӛнімділік тұрғысынан мамандандырылған құрылғыларға жол береді, алайда VPN- желілерін іске асыру үшін жеткілікті қуатқа ие. Алыстан рұқсат етілген жағдайда қажетті ӛткізу жолағына қойылатын талаптар үлкен емес екенін атап ӛткен жӛн. Сондықтан таза бағдарламалық ӛнімдер қашықтан қол жеткізу үшін жеткілікті ӛнімділікті қамтамасыз етеді. Бағдарламалық ӛнімдердің сӛзсіз артықшылығы қолданудағы икемділік пен ыңғайлылық, сондай-ақ салыстырмалы түрде жоғары емес құн болып табылады [4]. VPN мамандандырылған аппараттық құралдар негізінде 2.9 суретте кӛрсетілген. Мұндай VPN – ның басты артықшылығы-жоғары ӛнімділік, оларда шифрлау арнайы микросхемалармен жүзеге асырылады. Арнайы VPN құрылғылары қауіпсіздіктің жоғары деңгейін қамтамасыз етеді, алайда олар жолдар. VPN - бұл сыртқы периметрлерде VPN-агенттер орнатылған желілердің жиынтығы. Оны 2.8 суреттен кӛруге болады. VPN-бағдарламалық тәсілмен іске асырылған ӛнімдер ӛнімділік тұрғысынан мамандандырылған құрылғыларға жол береді, алайда VPN- желілерін іске асыру үшін жеткілікті қуатқа ие. Алыстан рұқсат етілген жағдайда қажетті ӛткізу жолағына қойылатын талаптар Үлкен емес екенін атап ӛткен жӛн. Сондықтан таза бағдарламалық ӛнімдер қашықтан қол жеткізу үшін жеткілікті ӛнімділікті қамтамасыз етеді. Бағдарламалық ӛнімдердің сӛзсіз артықшылығы қолданудағы икемділік пен ыңғайлылық, сондай-ақ салыстырмалы түрде жоғары емес құн болып табылады [4]. VPN мамандандырылған аппараттық құралдар негізінде 2.9 суретте кӛрсетілген. Мұндай VPN – ның басты артықшылығы-жоғары ӛнімділік, оларда шифрлау арнайы микросхемалармен жүзеге асырылады. Арнайы VPN құрылғылары қауіпсіздіктің жоғары деңгейін қамтамасыз етеді, алайда олар жолдар. Шын мәнінде, VPN – сыртқы периметрі vpn-агенттер орнатылған желілер 37 жиынтығы. Сурет 2.9 - Аппараттық құралдар базасында VPN VPN-агент-бұл тӛменде сипатталған операцияларды орындау арқылы берілетін ақпаратты қорғауды қамтамасыз ететін бағдарлама (немесе бағдарламалық-аппараттық кешен). Кез келген VPN IP - пакетін желіге жібермес бұрын-агент келесілерді шығарады: - IP-пакеттің атауынан оның адресаты туралы ақпарат бӛлінеді. Осы ақпаратқа сәйкес, VPN-агенттің қауіпсіздік саясаты негізінде қорғау алгоритмдері (егер VPN-агент бірнеше алгоритмдерді қолдаса) және осы пакет қорғалатын криптографиялық кілттер таңдалады. Егер VPN-агенттің қауіпсіздік саясатында осы адресатқа IP-пакетті немесе осы сипаттамалары бар IP-пакетті жіберу қарастырылмаған болса, IP-пакетті жіберу бұғатталады; - таңдалған тұтастықты қорғау алгоритмінің кӛмегімен IP-пакетке электрондық цифрлық қолтаңба (ЭЦҚ), имито қою немесе ұқсас бақылау сомасы қалыптасады және қосылады; - таңдалған шифрлеу алгоритмінің кӛмегімен IP-пакетті шифрлеу жүргізіледі; - пакеттерді инкапсуляциялаудың белгіленген алгоритмінің кӛмегімен шифрланған IP-пакетке жіберуге дайын IP-пакетке орналастырылады, оның тақырыбы адресат пен жіберуші туралы бастапқы ақпараттың орнына адресаттың VPN-агенті және жіберушінің VPN-агенті туралы тиісінше ақпаратты қамтиды; - пакет адресаттың VPN-агентіне жіберіледі. Кешенді қорғау. Электрондық құлып аппараттық шифрлау базасында әзірленуі мүмкін. Бұл кездейсоқ сандарды шифрлеу, генерациялау және НСД қорғау функцияларын орындайтын бір құрылғы. Мұндай шифрлеуші барлық 38 компьютердің қауіпсіздік орталығы бола алады, оның базасында келесі мүмкіндіктерді қамтамасыз ететін деректерді криптографиялық қорғаудың толық функционалды жүйесін құруға болады: компьютерді физикалық қол жетімділіктен қорғау; компьютерді желі бойынша ЖСҚ қорғау және VPN ұйымдастыру; файлдарды талап ету бойынша шифрлеу; компьютердің логикалық дискілерін автоматты шифрлеу, ЭЦҚ есептеу/тексеру; электрондық пошта хабарын қорғау. Бағдарламалық және аппараттық шешімдер базасында компьютерлерді кешенді қорғауды және деректер алмасуды ұйымдастыру мысалы 2.10-суретте келтірілген. Сурет 2.10 - Кешенді қорғау жүктеу/скачать 1,77 Mb. Достарыңызбен бөлісу:
|