Қорғалған виртуалды канал



Жұмыс түрі:  Курстық жұмыс
Тегін:  Антиплагиат
Көлемі: 28 бет
Таңдаулыға:   
Кіріспе
Соңғы уақытта телекоммуникация әлемінде қашықтағы кеңселер мен қашықтағы пайдаланушыларды Ғаламтор көмегімен арзан қосу арқылы корпоративті желілерді ұстауға кететін шығындарды азайту қажеттілігіне байланысты, виртуалды жеке желілерге деген қызығушылық артып келеді. Шынында да, Ғаламтор арқылы бірнеше желіні қосу қызметтерінің құнын салыстыру кезінде, мысалы, екі филиал арасын сымдық жалғау арқылы байланыстыратын болсаңыз, сіз виртуалды жеке желі технологиясының құндылығына айтарлықтай айырмашылығын байқауға болады. Алайда, Ғаламтор арқылы желілерді біріктірген кезде деректерді беру қауіпсіздігі туралы мәселе бірден туындайды, сондықтан берілетін ақпараттың құпиялылығы мен тұтастығын қамтамасыз ету қажеттілігі пайда болады. Осындай механизмдер негізінде құрылған желілер Виртуалды жеке желі деп аталады. Көбінесе адамдарға үй желісі немесе компанияның желісінде сақталған ақпаратқа қол жеткізу мұқтаждылығы туындап, модем мен телефон желісі арқылы қашықтан қол жеткізуді ұйымдастыру арқылы шешуге болады. Виртуалды жеке желі технологиясының артықшылығы-қашықтан кіруді ұйымдастыру телефон желісі арқылы емес, Ғаламтор желісі арқылы жасалып, компания үшін әлдеқайда арзан және тиімді болып табылады. Виртуалды жеке желі технологиясы бүкіл әлемде кең таралу мүмкіндігіне ие.
Дипломдық жұмыстың мақсаты. Жеке желіге қашықтан, тікелей қауіпсіз қол жетімділікті қамтамасыз етіп, желідегі қосымша өткізу қабілетін барынша азайту тұрғысынан оңтайлы, істен шығуға төзімді виртуалды жеке желі топологиясын анықтауды қамтамасыз ету.
Жұмыстың өзектілігі. Қашықта орналасқан филиал немесе қызметкерлер арасынды қауіпсіз желіні құрастыру.
Зерттеу объектілері:
:: Желі қауіпсіздігі
:: Желі хаттамалары
:: Виртуалды желі технологияларының әдістері

Зерттеу әдістері:
Жеке желіге қашықтан, тікелей қауіпсіз қол жетімділікті қамтамасыз ету жолдарын модельдеу
Дипломдық жұмыс 3 тараудан тұрады.
1-тарауда: Виртуалды жеке желі технологиясының құрастырылу сипаттамалары мен әдістері қарастырылады.
2-тарауда: Виртуалды жеке желінің қауіпсіздігін қамтамасыз ету әдістері зерттерледі
3-тарауда: Виртуалды жеке желі құру технологиялары зерттеледі. Ақпаратты адамдарға қолжетімсіз Виртуалды жеке желі тунелі арқылы жіберіленеді.

VРN технологиясының классификациясы
Виртуалды желілерін құру тұжырымдамасы өте қарапайым идеяға негізделген: егер ғаламдық желіде ақпарат алмасуды қажет ететін екі түйін болса, онда ашық желілер арқылы берілетін ақпараттың құпиялылығы мен тұтастығын қамтамасыз ету үшін осы екі түйін арасында виртуалды қауіпсіз туннель салу керек және виртуалды туннельге қол жеткізу барлық бақылаушылар үшін өте қиын болуы керек.
Виртуалды туннельдерді құрудан компания алған артықшылықтар, ең алдымен, қаржылық шығындарды едәуір үнемдеуге мүмкіндік береді, өйткені компания өз желілерін құру үшін қымбат бөлінген байланыс арналарын салудан немесе жалға беруден бас тарта алады. Виртуалды жекеленген желі технологияларын енгізудің айқын экономикалық тиімділігі кәсіпорындарды оларды белсенді енгізуге ынталандырады.
Корпоративтік жергілікті желіні ашық желіге қосқан кезде екі негізгі типтегі қауіпсіздікке қауіп төнеді:
Шабуылдаушы осы желіге рұқсатсыз кіру нәтижесінде корпоративтік жергілікті желінің ішкі ресурстарына қол жеткізуі;
Ашық желі арқылы беру процесінде корпоративтік деректерге рұқсатсыз қол жеткізуі.
Жергілікті желілер мен жеке ашық желілер арқылы, атап айтқанда Ғаламтор желісі арқылы ақпараттық өзара іс-қимылының қауіпсіздігін қамтамасыз ету келесі міндеттерді тиімді шешу арқылы жүзеге асырылады:
ашық байланыс арналарына қосылған жергілікті желілер мен жекелеген желіні сыртқы орта тарапынан рұқсат етілмеген іс-әрекеттерден қорғау;
ақпаратты ашық байланыс арналары арқылы беру барысында қорғау.[1]
Жоғарыда айтылғандай, жергілікті желілер мен жеке компьютерлерді сыртқы ортаның рұқсат етілмеген әрекеттерінен қорғау үшін, әдетте екі жақты хабарлама ағынын сүзу арқылы ақпараттық өзара әрекеттесудің қауіпсіздігін, сондай-ақ ақпарат алмасу кезінде өзара функцияларды орындауды қолдайтын желі ара экраны қолданылады. Желі ара экраны жергілікті және ашық желі арасындағы түйісте орналасқан. Ашық желіге қосылған жеке орналасқан қашықтағы компьютерді қорғау үшін, компьютер желілік экран арқылы орнатылады.
Ақпаратты ашық арналар арқылы беру кезінде қорғау, виртуалды қорғалған желілерін пайдалануға негізделген. Виртуалды қорғалған желі (Vіrtuаl Prіvаtе Nеtwork) айналымдағы деректердің қауіпсіздігін қамтамасыз ететін бірыңғай виртуалды корпоративтік желіге ақпаратты берудің ашық сыртқы ортасы арқылы жергілікті желілер мен жеке компьютерлерді біріктіру деп аталады. Виртуалды қорғалған желі виртуалды жеке желінің жалпыға қол жетімді желі ішінде ашық байланыс арналары негізінде құрылған виртуалды қорғалған байланыс арналарын құру арқылы қалыптасады. Виртуалды қорғалған байланыс арналары виртуалды жеке желі туннельдері деп аталады. Виртуалды жеке желісі, виртуалды жеке желі туннельдері арқылы орталық кеңсені, филиалдардың кеңселерін, іскери серіктестер мен қашықтағы пайдаланушылардың кеңселерін қосуға және Ғаламтор арқылы ақпаратты қауіпсіз жіберуге мүмкіндік береді.[16]

1.1-сурет. Қорғалған виртуалды канал

Виртуалды жеке желі туннелі- виртуалды желінің бөтен адамдарға оқуға мүмкіндік бермейтіндей түрлендіру әдісімен қорғалған хабарлама пакеттері берілетін ашық желі арқылы өтетін байланыс.
Виртуалды жеке желі туннелі арқылы ақпаратты қорғау беру келе қызметтерге негізделеді:
өзара байланысатын екі жақтың Aутeнтификaциясында;
берілетін деректерді бөтен адамдарға оқуға мүмкіндік бермейтіндей түрлендіру әдісімен ақпаратты жабу (шифрлау) ;
жеткізілетін ақпараттың түпнұсқалығы мен тұтастығын тексеру.
Берілген қызметтер бір-бірімен қарым-қатынаста сипатталып, жүзеге асыру кезінде ақпаратты қорғаудың бөтен адамдарға оқуға мүмкіндік бермейтіндей түрлендіру әдісімен ақпаратты әдістері қолданылады. Мұндай қорғаудың тиімділігі симметриялы және асимметриялық криптoграфиялық жүйелерді бөлісу арқылы қамтамасыз етіледі. Виртуалды жеке желі құрылғыларымен құрылған виртуалды жеке желі туннелі Ғаламтор сияқты қоғамдық желіде орналастырылған қорғалған арнайы желінің қасиеттеріне ие. Виртуалды жеке желі құрылғылары виртуалды жеке желілерде VРN клиентінің, VРN серверінің немесе VРN қауіпсіздік шлюзінің рөлін атқара алады.
Виртуалды жеке желі клиенті-әдетте жеке компьютер негізінде орындалатын бағдарламалық жасақтама немесе бағдарламалық жасақтама жиынтығы. Желілік бағдарламалық жасақтамасы, құрылғы басқа виртуалды жеке желі клиенттерімен, серверлерімен немесе қауіпсіздік шлюздерімен алмасатын трафикті шифрлау және Aутeнтификaциялау үшін өзгертіледі. Әдетте виртуалды жеке желі клиентін енгізу стандартты операциялық жүйесі толықтыратын бағдарламалық шешім болып табылады, мысалы Wіndоws NT2000XP немесе Unіx.[9]
Виртуалды жеке желі сервері-сервер қызметтерін орындайтын компьютерде орнатылған бағдарламалық жасақтама немесе бағдарламалық жасақтама жиынтығы. Виртуалды жеке желі сервері серверлерді сыртқы желілерден рұқсатсыз енуден қорғауды, сондай-ақ тиісті виртуалды жеке желі өнімдерімен қорғалған жергілікті желілер сегменттерінен жеке компьютерлермен және компьютерлермен қорғалған қосылыстарды ұйымдастыруды қамтамасыз етеді. Виртуалды жеке желі сервері серверлік платформалар үшін VРN клиенті өнімінің функционалды аналогы болып табылып, виртуалды жеке желі клиенттерімен бірнеше байланыстарды қолдау үшін ең алдымен кеңейтілген ресурстармен ерекшеленеді. Виртуалды жеке желі сервері мобильді пайдаланушылармен қауіпсіз қосылымдарды қолдай алады.
Виртуалды жеке желі қауіпсіздік шлюзі (sеcurіty gаtеwаy) - екі желіге қосылған және оның артында орналасқан көптеген хосттар үшін шифрлау және Aутeнтификaция функцияларын орындайтын желілік құрылғы. Виртуалды жеке желі қауіпсіздік шлюзі ішкі корпоративтік желіге арналған барлық трафик өтетін етіп орналастырылған және желілік қосылымы шлюздің артындағы пайдаланушылар үшін қол жетімді және оларға арнайы байланысы ретінде көрінеді, дегенмен пакеттік коммутациясы бар ашық желі арқылы жүзеге асырылады. Виртуалды жеке желі қауіпсіздік шлюзінің мекен-жайы кіретін туннель пакетінің сыртқы мекен-жайы ретінде көрсетілген, ал пакеттің ішкі мекен-жайы шлюздің артындағы нақты хосттың мекен-жайы болып табылады. Виртуалды жеке желі қауіпсіздік шлюзі жеке бағдарламалық шешім, жеке аппараттық құрал, сонымен қатар VРN мүмкіндіктерімен толықтырылған маршрутизаторда немесе желі экраны түрінде жүзеге асырылуы мүмкін.[20]
Ақпаратты берудің ашық сыртқы ортасы Ғаламтор желісі ретінде пайдаланылатын деректерді жылдам беру арналарын да, әдетте телефон желісі арналары ретінде қолданылатын баяу қоғамдық байланыс арналарын да қамтиды. Виртуалды жеке желісінің тиімділігі ашық байланыс арналары арқылы таратылатын ақпараттың қорғалу дәрежесімен анықталады. Ашық желілер арқылы деректерді қауіпсіз беру үшін инкапcуляциялау және туннельдеу кеңінен қолданылады. Туннельдеу әдісін қолдана отырып, деректер пакеттері әдеттегі екі нүктелі қосылым сияқты жалпыға қол жетімді желі арқылы беріледі. "Деректерді жіберуші -- алушы" әр жұптың арасында бір хаттаманың деректерін екіншісінің пакеттеріне инкапсулациялауға мүмкіндік беретін өзіндік туннель -- логикалық байланыс орнатылады.
Туннельдің мәні-инкапcуляциялау, яғни деректердің берілген бөлігін қызметтік өрістермен бірге жаңа "конвертке" салу. Бұл ретте төменгі деңгейдегі хаттама пакеті неғұрлым жоғары немесе сол деңгейдегі хаттама пакетінің деректер өрісіне орналастырылады. Айта кету керек, туннельдің өзі деректерді рұқсатсыз ену немесе бұрмаланудан қорғамайды, бірақ туннельдің арқасында инкапcуляциялауланған бастапқы пакеттерді толық криптoграфиялық қорғау мүмкіндігі пайда болады. Жіберілген деректердің құпиялылығын қамтамасыз ету үшін жіберуші бастапқы пакеттерді шифрлайды, оларды жаңа ІР тақырыбымен сыртқы пакетке салады және транзиттік желі арқылы жібереді
Туннель технологиясының ерекшелігі-бастапқы пакетті тек деректер өрісін ғана емес, тақырыппен бірге шифрлауға мүмкіндік береді. Бұл өте маңызды, өйткені кейбір тақырып өрістерінде шабуылдаушы қолдана алатын ақпарат бар. Атап айтқанда, желінің ішкі құрылымы туралы ақпаратты бастапқы пакеттің тақырыбынан ішкі желілер мен түйіндердің саны және олардың ІР мекенжайлары туралы мәліметтер алуға болады. Зиянкес мұндай ақпаратты корпоративтік желіге шабуыл жасауды ұйымдастыру кезінде пайдалана алады. Шифрланған тақырыбы бар бастапқы пакетті желі арқылы тасымалдауды ұйымдастыру үшін пайдалану мүмкін емес. Сондықтан бастапқы пакетті қорғау үшін оны инкапcуляциялау және туннельдеу қолданылады. Бастапқы пакет тақырыппен бірге толығымен шифрланады, содан кейін бұл шифрланған пакет басқа сыртқы Ашық тақырып пакетіне орналастырылады. Ашық желі арқылы деректерді тасымалдау үшін сыртқы пакеттің Ашық тақырып өрістері қолданылады.
Қорғалған арнаның соңғы нүктесіне жеткенде, ішкі бастапқы пакет сыртқы пакеттен алынады, дешифрланып және ішкі желі арқылы әрі қарай беру үшін қалпына келтірілген тақырыпты пайдаланады (1.3-сурет).

1.3-сурет. Виртуалды жеке желінің жұмыс істеу сызбасы

Туннельді пакеттің мазмұнының құпиялылығын ғана емес, сонымен қатар оның тұтастығы мен түпнұсқалығын қорғау үшін де қолдануға болады, ал электрондық цифрлық қолтаңбаны пакеттің барлық өрістеріне таратуға болады.
Екі нүкте арасындағы желілік құрылымды жасырумен қатар, туннельдеу екі жергілікті желі арасындағы мекен-жай қақтығысының алдын алады. Ғаламторға қосылмаған жергілікті желіні құру кезінде компания желілік құрылғылар мен компьютерлер үшін кез-келген ІР мекенжайларын қолдана алады. Бұрын оқшауланған желілерді біріктірген кезде, бұл мекенжайлар бір-бірімен және Ғаламторға бұрыннан бар мекенжайлармен қақтығыса бастауы мүмкін. Пакеттік Инкапcуляциялау бұл мәселені шешеді, өйткені ол бастапқы мекен-жайларды жасыруға және Іntеrnеt ІР кеңістігінде жаңа, ерекше, содан кейін деректерді ортақ желілер арқылы жіберуге мүмкіндік береді. Бұған жергілікті желіге қосылған мобильді пайдаланушылар үшін ІР мекенжайын және басқа параметрлерді орнату міндеті кіреді.
Туннельдеу механизмі қорғалған арнаны қалыптастырудың әртүрлі хаттамаларында кеңінен қолданылады. Әдетте, туннель тек ашық желінің аумағында жасалады, онда деректердің құпиялылығы мен тұтастығын бұзу қаупі бар, ашық ғаламторға кіру нүктесі мен корпоративті желіге кіру нүктесі арасында мысал бола алады. Бұл ретте сыртқы пакеттер үшін осы екі нүктеде орнатылған шекаралық маршрутизатордалардың мекенжайлары пайдаланылады, ал соңғы тораптардың ішкі мекенжайлары ішкі бастапқы пакеттерде қорғалған түрде болады. Туннельдеу механизмінің өзі туннельдеу қандай мақсатта қолданылатынына байланысты емес екенін атап өткен жөн. Туннельдеу тек деректердің барлық бөлігінің құпиялылығы мен тұтастығын қамтамасыз ету үшін ғана емес, сонымен қатар әртүрлі хаттамалары бар желілер арасында ауысуды ұйымдастыру үшін де қолданыла алады (мысалы, ІРv4 және ІРv6). Туннельдеу бір хаттаманың пакеттерін басқа хаттаманы қолдана отырып, логикалық ортада беруді ұйымдастыруға мүмкіндік береді. Нәтижесінде, берілетін деректердің тұтастығы мен құпиялылығын қамтамасыз ету қажеттілігінен бастап, сыртқы хаттамалардың немесе мекенжай сызбасының сәйкессіздіктерін жеңуге дейін бірнеше түрлі желілердің өзара әрекеттесу мәселелерін шешеді.
Туннельдеу механизмін іске асыруды хаттамалардың үш түрінің нәтижесі ретінде ұсынуға болады: хаттама-"жолаушы", тасымалдаушы хаттама және туннельдеу хаттамасы. Мысалы,"жолаушы" хаттамасы ретінде бір кәсіпорынның филиалдарының жергілікті желілерінде деректерді тасымалдайтын ІРX көліктік хаттамасы пайдаланылуы мүмкін. Тасымалдаушы хаттаманың ең көп таралған нұсқасы-ІР ғаламтор хаттамасы. Туннельдеу хаттамалары ретінде РРТР және L2TP арна деңгейінің хаттамалары, сондай-ақ ІРSеc желілік деңгейінің протоколы пайдаланылуы мүмкін. Туннельдеу арқылы ғаламтор инфрақұрылымын виртуалды жеке желі қосымшаларынан жасыруға болады.
Виртуалды туннельдері әр түрлі түпкі пайдаланушылар үшін жасалуы мүмкін -- Lаn (жергілікті желі) қауіпсіздік шлюзі бар жергілікті желі немесе қашықтағы және мобильді пайдаланушылардың жеке компьютерлері. Ірі кәсіпорынның виртуалды жеке желісін құру үшін сізге қажет виртуалды жеке желі шлюздері, серверлері және клиенттері. Виртуалды жеке желі шлюздерін кәсіпорынның жергілікті желілерін қорғау үшін қолданған жөн, Виртуалды жеке желі серверлері мен клиенттері ғаламтор арқылы корпоративтік желімен қашықтағы және мобильді пайдаланушылардың қауіпсіз қосылыстарын ұйымдастыру үшін пайдаланады.

1.1 VРN технологиясының классификациясы
VРN технологиясының сипатталуын 1.2 суретте көрсетілген бірнеше негізгі параметрлер бойынша жіктеуге болады.

1.2-сурет. Виртуалды жеке желіні классификацияларға жіктеу

Пайдаланылатын орта түрі бойынша:
Қорғалған VРN желілері -жеке-жеке желілердің ең көп таралған нұсқасы. Оның көмегімен сенімсіз желі, әдетте Ғаламтор негізінде сенімді және қорғалған ішкі желіні құруға болады. Қорғалған виртуалды жеке желісіне мысалыдар ІРSеc, OpеnVРN және PPTP.
Сенімді VРN желілері - тарату ортасын сенімді деп санауға болатын және үлкен желі аясында виртуалды ішкі желіні құру мәселесін шешу қажет болған жағдайларда қолданылады. Қауіпсіздік мәселелері өзекті емес. Мұндай VРN шешімдерінің мысалдары: MPLS және L2TP хаттамадары қауіпсіздік тапсырмасын басқаларға ауыстырады деп айту дұрысырақ, мысалы L2TP, әдетте, ІРSеc-пен бірге қолданылады.
Жүзеге асыру тәсілі бойынша - арнайы бағдарламалық-құрылғы қамтамасыз ету түрінде виртуалды жеке желісі. Виртуалды жеке желісін іске асыру бағдарламалық-аппараттық құралдардың арнайы кешенінің көмегімен жүзеге асырылады. Мұндай іске асыру жоғары өнімділікті және әдетте қауіпсіздіктің жоғары дәрежесін қамтамасыз етеді.
Бағдарламалық шешім түрінде виртуалды жеке желісі виртуалды жеке желінің қызметін қамтамасыз ететін арнайы бағдарламалық жасақтамасы бар жеке компьютерді қолданыңыз.
Интеграцияланған шешімі бар виртуалды жеке желісі. Виртуалды жеке желінің қызметі желілік трафикті сүзу, желілік экранды ұйымдастыру және қызмет көрсету сапасын қамтамасыз ету мәселелерін шешетін кешенді қамтамасыз етеді.
Виртуалды жеке желі ашық жүйелердің байланысу моделінің төмен деңгейде құрастырылады. Себебі, қорғалған арнаның әдістері стек неғұрлым төмен болса, оларды қосымшалар үшін құрыстыру оңайырақ болады. Арна мен желі деңгейлерінде қосымшалардың қорғаныс хаттамаларына тәуелділігі жоғалады. Егер ақпаратты қорғау үшін хаттама жоғарғы деңгейлерден жүзеге асырылса, онда қорғау әдісі желілік технологияға тәуелді болмайды. Алайда, бағдарлама нақты қорғау хаттамасына тәуелді болады.
Виртуалды жеке желінің арна деңгейінде құрыстырылуы. Бұл деңгейдегі әдістер үшінші деңгейдегі трафикті (және одан жоғары) инкапcуляциялауға және нүкте-нүкте типіндегі виртуалды туннельдер жасауға мүмкіндік береді. Бұған L2F, PPTP, L2TP протоколына негізделген виртуалды жеке желісінің технологиялары кіреді.
Желілік деңгейдегі виртуалды жеке желі ІР-ге инкапcуляциялауны жүзеге асырады. Мысалы, ІРSеc хаттмасы қолданылады.
Сеанс деңгейіндегі виртуалды жеке желісі траспорттық деңгейінде жұмыс істеп және трафикті қорғалған желіден жалпыға қол жетімді Ғаламтор желісіне бөлек жібереді.
Сәулеті бойынша виртуалды жеке желіні жіктеу:
Ішкі корпоративтік виртуалды жеке желі компания ішіндегі бөлімдер арасында қорғалған жұмысты жүзеге асыру үшін қажет
Қашықтан қатынауға мүмкіндік беретін виртуалды жеке желі - корпоративтік ақпараттық ресурстарға қауіпсіз қашықтан қол жеткізуді жүзеге асыру үшін қажет
Корпоративті виртуалды жеке желі-географиялық тұрғыдан бөлінген серіктестік жеке бөліктері арасында қажет
Техникалық іске асыру әдісі бойынша виртуалды жеке желі жіктеу:
Маршрутизатордаларға негізделген виртуалды жеке желі маршрутизаторда құрылғысына қорғаныс қызметтері түседі
Брандмауэр негізіндегі виртуалды жеке желі-қорғаныс тапсырмалары брандмауэр құрылғысына түседі
Бағдарламалық шешімдерге негізделген виртуалды жеке желі-икемділік пен конфигурацияда жеңіске жететін бағдарламалық жасақтама қолданылады, бірақ өткізу қабілетін жоғалтады.[17]

1.2 Виртуалды қорғалған арналарды құру нұсқалары
Ақпарат алмасудың қауіпсіздігін жергілікті желілер біріктірілген жағдайда да, қашықтағы немесе мобильді пайдаланушылардың жергілікті желілеріне қол жеткізілген жағдайда да қамтамасыз ету қажет. Виртуалды жеке желі жобалау кезінде әдетте екі негізгі сызбасы қарастырылады:
1)Жергілікті желілер арасындағы виртуалды қорғалған арна (LАN -- LАN арнасы);
2) Түйін мен жергілікті желі арасындағы виртуалды қорғалған арна (клиент арнасы -- LАN) (1.3- сурет).

1.3-сурет. Виртуалды жеке желіге қашықтан қосылу

Бірінші байланыс сызбасында, жеке кеңселер арасындағы қымбат таңдалған желілерді ауыстыруға және олардың арасында үнемі қол жетімді қауіпсіз арналар құруға мүмкіндік береді. Берілген жағдайда қауіпсіздік шлюзі туннель мен жергілікті желі арасындағы интерфейс ретінде қызмет етеді, ал жергілікті желі пайдаланушылары бір-бірімен байланысу үшін туннельді пайдаланады. Көптеген компаниялар виртуалды жеке желі бұл түрін frаmе rеlаy сияқты ғаламдық желілік қосылыстарға ауыстыру немесе қосымша ретінде пайдаланады.[8]
Қорғалған VРN арнасының 2-сызбасы қашықтағы немесе мобильді пайдаланушылармен байланыс орнатуға арналған. Туннель құру клиентті (қашықтағы пайдаланушы) бастайды. Қашықтағы желіні қорғайтын шлюзмен байланыс үшін ол компьютерде арнайы клиенттік бағдарламалық жасақтаманы іске қосады. Виртуалды жеке желінің берілген түрі коммутацияланған қосылыстарды алмастырады және оны қашықтан қол жеткізудің дәстүрлі әдістерімен қатар қолдануға болады.
Виртуалды қорғалған арналардың схемаларының нұсқалары бар. Негізінде, виртуалды қорғалған арна құрылатын виртуалды корпоративті желінің екі түйінінің кез-келгені қорғалған хабарлама ағынының соңғы немесе аралық нүктесіне тиесілі болуы мүмкін.
Ақпараттық қауіпсіздікті қамтамасыз ету тұрғысынан ең жақсы нұсқасы қорғалған туннельдің соңғы нүктелері қорғалған хабарлама ағынының соңғы нүктелеріне сәйкес келетін нұсқа. Бұл жағдайда хабарламалар пакеттерінің бүкіл жүру жолының бойындағы арнаның қорғалуы қамтамасыз етіледі. Алайда, берідген опция басқаруды орталықсыздандыруға және ресурстық шығындардың артық болуына әкеледі және жергілікті желінің әр клиенттік компьютерінде виртуалды құру құралдарын орнату қажет. Компьютерлік ресурстарға қол жеткізуді орталықтандырылған басқаруды қиындатады және әрдайым экономикалық тұрғыдан ақталмайды. Ондағы қорғаныс құралдарын конфигурациялау үшін әр клиенттік компьютерді жеке басқару үлкен желідегі көп уақытты қажет ететін процедура.
Егер виртуалды желіге кіретін жергілікті желі ішінде трафикті қорғау қажет болмаса, онда қорғалған туннельдің соңғы нүктесі ретінде осы жергілікті желінің желіаралық экраны немесе шекаралық маршрутизатордаын таңдауға болады. Егер жергілікті желідегі хабарламалар ағыны қорғалуы керек болса, онда қорғалған өзара әрекеттесуге қатысатын компьютер осы желідегі туннельдің соңғы нүктесі болуы керек. Қашықтағы пайдаланушының жергілікті желісіне кірген кезде, сол пайдаланушының компьютері виртуалды қорғалған арнаның соңғы нүктесі болуы керек.
Жергілікті желілерді біріктірген кезде туннель тек Ғаламтордың шекаралас провайдерлері немесе жергілікті желінің маршрутизатордалары (желіаралық экрандар) арасында қалыптасады. Жергілікті желіге қашықтан қол жеткізгенде, туннель Ғаламтор-провайдердің Қашықтан қатынау сервері, сондай-ақ Ғаламтордың шекаралас провайдері немесе жергілікті желінің маршрутизатордаы (желіаралық экран) арасында жасалады. Осы опцияға сәйкес салынған виртуалды корпоративті желілер жақсы масштабталуға және басқаруға ие. Құрылған қорғалған туннельдер клиенттік компьютерлер мен осындай виртуалды желіге кіретін жергілікті желі серверлері үшін толығымен зерттеуге мүмкіндік береді. Бұл түйіндер өзгеріссіз қалады. Алайда, берілген қызмет ақпараттық өзара әрекеттесудің салыстырмалы түрде төмен қауіпсіздігімен сипатталады, өйткені ішінара трафик ашық байланыс арналары арқылы қорғалмаған түрде өтеді. Егер мұндай виртуалды жеке желі құру және пайдалану ІSP провайдерін қабылдайтын болса, онда барлық виртуалды жеке желіні оның шлюздерінде жергілікті желілер мен кәсіпорынның қашықтағы пайдаланушылары үшін ашық түрде құруға болады. Бірақ бұл жағдайда провайдерге сенім білдіру және оның қызметтеріне тұрақты төлем жасау проблемалары туындайды.
Қорғалған туннель екі түйін арасындағы туннельде виртуалды желінің компоненттерінен пайда болады. Бұл компоненттер әдетте туннель бастамашысы және туннель жоюшысы деп аталады.
Туннель бастамашысы бастапқы пакетті жіберуші мен алушы туралы ақпараты бар жаңа тақырып бар жаңа пакетке енгізеді. Инкапcуляциялауланатын пакеттер маршрутталмайтын хаттамалар пакеттерін қоса алғанда, кез келген түрдегі хаттамаға тиесілі болуы мүмкін. Туннель арқылы берілетін барлық пакеттер ІР пакеттері болып табылады. Туннельдің бастамашысы мен жоюшысы арасындағы маршрутты Ғаламтормен басқа желі бола алатын тұрақты ІР желісі анықтайды.
Туннельді арнайы желілік құрылғылар мен бағдарламалық жасақтамалар құрастырып және үзе алады. Мысалы, туннель арқылы қашықтан кіру қосылыстарын орнату үшін желі құрылғысы және тиісті бағдарламалық жасақтамамен жабдықталған мобильді пайдаланушының ноутбукімен бастауға болады. Тиісті мүмкіндіктері бар жергілікті желінің маршрутизатордаы да бастамашы бола алады. Туннель әдетте желілік коммутатормен немесе қызмет провайдерінің шлюзімен аяқталады.
Туннель жоюшысы кері инкапcуляциялау процесін орындайды. Жоюшы жаңа тақырыптарды жояды және әр бастапқы пакетті жергілікті желідегі мекенжайға жібереді.
Инкапcуляциялауланған пакеттердің құпиялылығы оларды шифрлау арқылы, ал тұтастығы мен түпнұсқалығы электрондық цифрлық қолтаңбаны қалыптастыру арқылы қамтамасыз етіледі. Деректерді бөтен адамдарға оқуға мүмкіндік бермейтіндей түрлендіру әдісімен ақпаратты қорғаудың көптеген әдістері мен алгоритмдері бар, сондықтан туннельдің бастамашысы мен жоюшысы бір-бірімен уақтылы келісіліп, бірдей қорғаныс әдістері мен алгоритмдерін қолдануы керек. Деректерді шешуге және сандық қолтаңбаны тексеруге мүмкіндік беру үшін туннельдің бастамашысы мен терминаторы кілттерді қауіпсіз бөлісу функцияларын да қолдауы керек. Сонымен қатар, ақпараттық өзара әрекеттесудің соңғы тараптары тек уәкілетті пайдаланушылар арасында виртуалды жеке желі туннельдерін құруға кепілдік беру үшін Aутeнтификaциядан өтуі керек.[13]
Корпорацияның қолданыстағы желілік инфрақұрылымы виртуалды жеке желі бағдарламалық жасақтама арқылы да, аппараттық құрал арқылы да пайдалануға дайын болуы мүмкін.
Жеке басқарылатын қашықтан қатынау виртуалды жеке желісінің артықшылықтары:
қашықтағы және мобильді пайдаланушылардың түпнұсқалығын анықтаудың тиімді жүйесі aутeнтификaция рәсімін сенімді жүргізуді қамтамасыз етеді;
желіге қосылған жаңа пайдаланушылар үшін жоғары масштабталу және орналастыру оңай;
желіні қамтамасыз ету мәселелеріне алаңдамай, компанияның негізгі корпоративтік бизнес мақсаттарына назар аудару.
Rеmotе Аccеss VРN пайдалану кезінде айтарлықтай үнемдеу қуатты ынталандыру болып табылады, алайда ашық Ғаламтор сезімтал корпоративтік трафикті тасымалдау үшін біріктіруші магистраль ретінде пайдалану барған сайын ауқымды бола түсуде, себебі ақпаратты қорғау тәсілдерін виртуалды жеке желі технологияның өмірлік маңызды элементтеріне айналдырады. "Сыртқы" пайдаланушылар (мысалы, клиенттер) қосылған желілер үшін сенім деңгейі компания қызметкерлеріне қарағанда әлдеқайда төмен, сондықтан олардың ерекше құнды, құпия ақпаратқа қол жеткізуіне жол бермейтін немесе шектейтін арнайы "қорғаныс сызықтарын" қамтамасыз ету қажет.
Еxtrаnеt VРN желілері тұтастай алғанда ішкі корпоративтік виртуалды жеке желілерге ұқсас, айырмашылығы, ақпаратты қорғау мәселесі олар үшін өткір. Еxtrаnеt виртуалды желісінің іскери серіктестер өз желілерінде қолдана алатын әртүрлі виртуалды жеке желі шешімдерімен өзара әрекеттесу қабілетіне кепілдік беретін стандартталған VРN өнімдерін қолданумен сипатталады.
Бірнеше компания бірлесіп жұмыс істеуге шешім қабылдаған кезде және бір-біріне өз желілерін ашқан кезде, олар жаңа серіктестерінің тек белгілі бір ақпаратқа қол жеткізуін қамтамасыз етуі керек. Кезекті ретте құпия ақпарат рұқсатсыз пайдаланудан сенімді қорғалуы тиіс. Сондықтан корпоративті желілерде ашық желіден желі аралық экран арқылы кіруді бақылауға үлкен мән беріледі. Пайдаланушылардың aутeнтификaциясы маңызды, себебі ақпаратқа тек рұқсат етілген адамдар ғана қол жеткізе алады. Сонымен қатар, рұқсатсыз кіруден қорғаудың кеңейтілген жүйесі назар аудармауы керек.
Еxtrаnеt виртуалды жеке желі байланыстары Интранет виртуалды жеке желісі және қашықтан қосылу виртуалды жеке желісін іске асыруда іске асатын сәулеттер мен хаттамаларды қолдана отырып орналастырылады. Негізгі айырмашылық-Экстранет виртуалды жеке желісі пайдаланушыларына берілетін рұқсат олардың серіктесінің желісімен байланысты.
Қорғалған туннель құрылатын виртуалды желінің екі түйінінің кез-келгені қорғалған хабарлама ағынының соңғы немесе аралық нүктесіне тиесілі болуы мүмкін. Тиісінше, қорғалған виртуалды жеке желіні құрудың әртүрлі әдістері бар болуы мүмкін, мысалы, қорғалған виртуалды арна 1.4-суретте көрсетілген.
Қауіпсіз туннельдің соңғы нүктелері қорғалған хабарлама ағынының соңғы нүктелеріне сәйкес келетін опция қауіпсіздік тұрғысынан ең жақсы болып табылады, себебі хабарламалар пакеттерінің бүкіл жүру жолы бойындағы арнаның толық қорғалуы қамтамасыз етіледі. Алайда, басқаруды орталықсыздандыруға және ресурстық шығындардың артық болуына әкеліп соғады. Жергілікті желінің әр клиенттік компьютеріне қауіпсіз туннельдер құру құралдарын орнатылып, компьютерлік ресурстарға қол жеткізуді орталықтандырылған басқаруды қиындатады және экономикалық тұрғыдан әрдайым ақталмайды. Үлкен желіде әр клиенттік компьютерді жеке басқару, қорғаныс құралдарын конфигурациялау үшін көп уақытты қажет ететін әрекет.

1.4-cурет. Қорғалған виртуалды арна
Сондықтан, егер виртуалды желіге кіретін жергілікті желі ішіндегі трафикті қорғаудың қажеті болмаса, қорғалған туннельдің соңғы нүктесі ретінде осы жергілікті желінің брандмауэрін немесе маршрутизаторын таңдаған жөн. Жергілікті желі ішінде хабарламалар ағыны да қорғалуы тиіс болған жағдайда, қорғалған өзара іс-қимыл тараптарының бірін білдіретін компьютер, желідегі туннельдің соңғы нүктесі ретінде әрекет етуі тиіс. Қашықтағы пайдаланушының жергілікті желісіне кірген кезде, осы пайдаланушының компьютері қорғалған виртуалды арнаның соңғы нүктесі болуы керек.[17]
Сондай-ақ, қауіпсіздігі төмен, бірақ қолданудың жоғары ыңғайлылығымен сипатталатын нұсқа кең таралған. Осы опцияға сәйкес, жұмыс станциялары мен жергілікті желі серверлері, сондай-ақ қашықтағы компьютерлер қауіпсіз туннель құруға қатыспайды, ол тек пакеттік коммутацияланған қоғамдық желі ішінде, мысалы, Ғаламтор ішінде салынады. Мұндай туннельдің соңғы нүктелері көбінесе Ғаламтор провайдерлері немесе жергілікті желінің шекаралық маршрутизаторлары (брандмауэрлер) болып табылады. Жергілікті желіге қашықтан қол жеткізу кезінде туннель Ғаламтор-провайдердің қашықтан кіру сервері, сондай-ақ Ғаламтор-провайдер немесе жергілікті желінің маршрутизаторы (брандмауэр) арасында жасалады. Жергілікті желілерді біріктірген кезде туннель тек Internet шекаралық провайдерлері немесе жергілікті желінің маршрутизаторлары (брандмауэрлер) арасында құрылады.
Виртуалды желілерді құрудың сипатталған нұсқасының пайдасына дәлел-шабуылдаушылар үшін осал болып телефон желісі немесе бөлінген байланыс арналары емес, Internet сияқты пакеттік коммутацияланған желілер болып табылады. Осы опцияға сәйкес құрылған виртуалды желілер жақсы масштабталуға және басқаруға ие. Виртуалды желіге кіретін клиенттік компьютерлер мен жергілікті желі серверлері үшін қорғалған туннельдер толығымен мөлдір және бұл түйіндердің бағдарламалық жасақтамасы өзгеріссіз қалады. Алайда, қорғалған трафиктің бір бөлігі қоғамдық байланыс арналары арқылы қорғалмаған түрде өтетіндіктен, бұл опция ақпараттық өзара әрекеттесудің қауіпсіздігін айтарлықтай төмендетеді. Сонымен қатар, қорғалған туннельдерді құру бойынша жұмыстың көп бөлігі сенім мен төлемді қажет ететін провайдерлерге жүктеледі.
Қорғалған туннельді құру, желі түйіндерінің арасында пайда болатын туннельдің қызметі мен құрамдастырын орындайды . Бұл құрамдастары әдетте туннельдің бастамашысы және жоюшысы деп аталады. Туннель бастамашысы пакеттерді бастапқы мәліметтермен бірге жіберуші мен алушы туралы ақпараты бар жаңа тақырыпты қамтитын жаңа пакетке инкапсуляциялайды (ендіреді). Туннель арқылы берілетін барлық пакеттер ІР пакеттері болса да, инкапсуляцияланған пакеттер маршрутталмаған хаттамадардың пакеттерін қоса алғанда, кез-келген хаттамаға тиесілі болуы мүмкін. Туннельдің бастамашысы мен жоюшысы арасындағы маршрутты Ғаламтортен басқа желі бола алатын тұрақты ІР желісі анықтайды. Туннель жоюшысы кері инкапсуляция процесін орындайды: жаңа тақырыптарды жойып және әр бастапқы пакетті жергілікті хаттама жинағына немесе жергілікті желідегі адресатқа жібереді. Инкапсуляцияның өзі виртуалды жеке желі туннелі арқылы жіберілетін хабарлама пакеттерінің қауіпсіздігіне әсер етпейді. Бірақ инкапсуляцияның арқасында инкапсуляцияланған пакеттерді толық криптографиялық қорғау мүмкіндігі пайда болады. Инкапсулирленген пакеттердің құпиялылығы олардың криптографиялық жабылуы, яғни шифрланған, ал тұтастығы мен түпнұсқалығы цифрлық қолтаңбаны қалыптастыру арқылы қамтамасыз етіледі. Деректерді криптографиялық қорғаудың көптеген әдістері болғандықтан, туннельдің бастамашысы мен жоюшысы бірдей әдістерді қолдануы және осы ақпаратты бір-бірімен үйлестіруі өте маңызды.
1.3 Техникалық іске асыру түрі бойынша виртуалды жеке желіні жіктеу
Виртуалды жеке желіні құрудың әртүрлі нұсқалары бар. Шешімді таңдау кезінде виртуалды жеке желіні құру құралдарының өнімділік факторларын ескеру қажет. Мысалы, егер маршрутизатор өзінің процессорының қуат шегінде жұмыс істесе, онда виртуалды жеке желінің туннельдерін қосу және ақпаратты шифрлау ... жалғасы

Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
VPN виртуалды қорғалған желі
Есте сақтау құрылғылары
Ақпаратты қорғау жүйесін жобалау
Операциялық жүйелердің даму бағыттары. Операциялық жүйенің функциялары және міндеттері
Байланыс арнасының есебі
Есептеу желілерінен дәрістер
Сигналды каналдарды ұйымдастыру
Виртуалды жеке желілердің протоколдары
Бұлттық есептеулердің қорғау әдістері
Ақпаратты жинақтаумен байланыс
Пәндер