VPN виртуалды қорғалған желі
Қазақстан Республикасының Білім және ғылым минстрлігі
Қорқыт Ата атындағы Қызылорда университеті
Жаратылыстану институты
Информатика және ақпараттық коммуникациялық
технологиялар кафедрасы
ӘОЖ 004.358:004.9:004.9:004.056.5:378.2 45.2 Қолжазба құқығы ретінде
Әміртаева Қаламқас Серікқызы
Ғылыми жетекшісі:
Ф.-м.ғ.к Махамбаева И.У.
Қызылорда, 2022 ж.
Қазақстан Республикасының Білім және ғылым минстрлігі
Қорқыт Ата атындағы Қызылорда университеті
Жаратылыстану институты
Информатика және ақпараттық коммуникациялық технологиялар кафедрасы
Қорғауға жіберілді
Информатика және АКТ кафедрасының
меңгерушісі _____________С.Ш.Тілеубай
____ __________________2022 ж.
Магистрлік диссертация
Тақырыбы: VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесі.
7М01514 - Информатика мамандығы
(ғылыми-педагогикалық бағыт)
Магистрант: Әміртаева Қ.С.
Ғылыми жетекшісі Махамбаева И.У.
Институт директоры: Қосанов С.О.
Қызылорда, 2022 ж
НОРМАТИВТІК СІЛТЕМЕЛЕР
Осы диссертациялық жұмыста келесі нормативтік сілтемелер қолданылды:
1. ҚР 27.07.2007ж. Білім туралы Заңы, 09.04.2016 ж. №501-V өзгертулері және толықтыруларымен;
2. ҚР Үкіметінің 23.08.2012 жылғы №1080 қаулысымен бекітілген, 13.05.2016ж. №292 өзгертулері және толықтыруларымен Жоғары оқу орнынан кейінгі білімнің мемлекеттік жалпыға міндетті стандарттары
3. ҚР Білім және ғылым министрінің 18.03.2008 жылғы №125 бұйрығымен бекітілген, 13.05.2016ж. №318 өзгертулері және толықтыруларымен Жоғары оқу орындарында оқитындардың сабақ үлгеріміне ағымды бақылау, аралық және қорытынды бақылау жүргізудің үлгілік ережесі;
4. Қазақстан Республикасының Ғылым туралы Заңы 24.10.2011ж. №407-IV. - Астана, 2011. (29.09.2014 ж. өзгерістер енгізілген). http:adilet.zan.kz.
5. Қорқыт Ата атындағы ҚМУ ҒМС бекіткен, магистрлік диссертацияға қойылатын талаптар (хаттама №__, __.___. 20__ж)
АНЫҚТАМАЛАР
Диссертацияда мынадай анықтамаларға сәйкес келетін терминдер қолданылған:
VPN (Virtual Private Network)- бұл алыстатылған локальдық желімен виртуалды канал бойынша ақпарат алмасу процесі өтетін технология.
Best Effort - мәліметтер тарату, файлдар мен хабарламалармен алмасу, құжаттармен бірлесіп жұмыс істеу, мәліметтердің корпоративті базасына кіру, электрондық пошта үшін арналған .
Business Critical -- объектінің, процестің немесе құбылыстың күйі туралы жаңа ақпарат алу үшін мәліметтерді жинау, өңдеу, жеткізу тәсілдері мен құралдарының жиынтығын пайдаланатын процесс.
Real Time - корпоративті телефония мен видеоконференция ұйымдастыру үшін, сонымен бірге пакеттерді бірқалыпты және аз кідіріспен таратуға кепілдік береді.
L2 VPN (VPLS Virtual Private LAN Service) - қала көлемінде бірнеше географиялық алыста орналасқан кеңселерді бірыңғай жоғарғы жылдамдықтағы көппротоколды қауіпсіз желіге біріктіру тәсілі.
VPN қауіпсіздік шлюзі (security gateway) - бұл екі желіге қосылатын және шифрлау, аутентификация функцияларын орындайтын желілік құрылғы.
Extranet VPN - іскерлік қарым-қатынастар кезінде байланыстың сенімділігінің арттырылуын қолдайтын бір компания желісінен екінші басқа компания желісіне тікелей қатынауды қамтамасыз ететін тораптық технология. Компьютерлік желі дегеніміз - ресурстарды (дискі, файл, принтер, коммуникациялық құрылғылар) тиімді пайдалану мақсатында бір - бірімен байланыстырылған компьютерлер тізбегі.
БЕЛГІЛЕУЛЕР МЕН ҚЫСҚАРТУЛАР
VPN
Virtual Private Network- виртуалды қорғалған желі
LAN
MAN
WAN
Local Area Network -жергілікті желі
Metropolitan Area Network- Аймақтық желілер
Wide Area Network- Глобальді желілер
ЛВС
локальды желілер арасындағы виртуалды қорғалған канал
IT
Information technology - Ақпарат технологиясы
SLA
DES
Service Level Agreement - келісім жасасу нәтижесі
Data Encryption Standard- IBM жасаған және бекітілген симметриялық шифрлау алгоритмі
AES
Advanced Encryption Standard- криптографиялық деректерді өңдейді
МАЗМҰНЫ
КІРІСПЕ 6
1 VPN виртуалды қорғалған желілердің негізгі технологиялары 15
арқылы ақпаратты қорғау әдістемесінің теориялық негіздері
1.1 VPN виртуалды қорғалған желілердің негізгі ұғымдары және 20
анықтамалары
1.2 Виртуалды қорғалған каналдарды құру варианттары мен жабдықтары 25
1.3 VPN виртуалды қорғалған желілердің негізгі технологияларын
ақпаратты қорғауда қолданудың маңыздылығы 31
2 VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемелері 44
.1 VPN архитектурасының негізгі варианттары 51
.2 Информатика пәнінде виртуалды қорғалған желілерді оқыту әдістемесін пайдалану 57
.3 VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесін эксперименттік зерттеу нәтижелері 66
Қорытынды
Пайдаланылған әдебиеттер тізімі
Қосымша
КІРІСПЕ
Диссертациялық жұмыстың өзектілігі
Internet ауқымды желісінің жоғары деңгейде өсуі және ақпараттық технологиялардың дамуы адам қызметтерінің барлық сферасына әсерін тигізетін ақпараттық ортаның пайда болуына әкелді. Жаңа технологиялық мүмкіндіктер ақпараттың таралуын жеңілдетеді, өндірістік процесстердің эффективтілігін жоғарылатады, құжат қатынастарының кеңейтілуіне көмектеседі. Дегенмен компьютерлік құралдардың және ақпараттық технологиялардың интенсивті дамуы, жаңа заманғы ақпараттық жүйелер мен компьютерлік желілердің қорғалуы қиындық туғызып отыр. Сондықтан да ақпараттық қауіпсіздікті қамтамасыз ету проблемалары компьютерлік жүйелер мен желіліерді қолданушылардың, сонымен қатар көптеген компьютер қолданушыларының назарын аударып отыр[1].
Жаңа технологияларды, стандарттарды, протоколдарды және ақпаратты қорғау құралдарын білмей және қолданбай компьютерлік жүйелер мен желілердің ақпараттық қауіпсіздігінің қажет деңгейіне жету мүмкін емес.
Бүгінде Интернет - біздің өмірімізді: ғылыми-техникалық прогресс қарқынын, жұмыс қызметін, ақпарат алмасу әдістерінің қарқынын түбегейлі өзгертетін технология. Ақпараттық технологияларды эффективті қолдану мекеменің бәсекеге қабілеттілігінің өсуінің стратегиялық факторы болып табылады. Әлемде көптеген мекемелер Интернет және электронды бизнес мүмкіндіктерін пайдалана отырып, ақпаратты тасымалдауда - электрондық транзакциялау (Интернет арқылы немесе басқа да желілер арқылы) мүмкіндіктерін пайдаланады[2].
Көптеген компанияларда корпоративті ақпараттық жүйелер (КАЖ) бизнесті басқарудың, өндірістің негізгі құралы болып табылады. Мекеменің КАЖ-нің дамуына әсер ететін негізгі фактор - Интернет арқылы мекеменің барлық бөліктерін бір уақытта осы коммуникацияның қауіпсіздігін қамтамасыз ету арқылы байланыстыру. Сондықтан да Internet, Intranet, Extranet-тердің кеңінен таралуымен байланысты ақпараттық қауіпсіздік проблемаларының шешілуі ең актуальді мәселелердің бірі болып отыр.Қазіргі дамыған кезеңде ақпараттық технологиялардың дамуы, виртуалды жеке желілерді құру қажеттілігі артып отыр.
Бірақ виртуалды жеке желілерді ұйымдастырудың қажетті әрі пайдалы әдістерін айтпас бұрын негізгі ұғымдармен танысып алған жөн. Виртуалды жеке желі немесе жай VPN (Virtual Private Network) - бұл алыстатылған локальдық желімен виртуалды канал бойынша ақпарат алмасу процесі өтетін технология. Бұл нүкте-нүкте (точка-точка) жиі қосылу имитациясы арқылы жалпы қолданушылық желіде орындалады. Жалпы қолданушылық желі деп Интернетті, сонымен қатар басқа да интражелілерді айтуға болады.
Internet дамуымен ақпараттың таралуы сапалы бола түсті. Пайдаланушылар арзан және қол жеткілікті Internet каналдарын алды. Мекемелер критикалық коммерциялық және басқарушы ақпаратты беру үшін каналдарды пайдалануға ұмтылады.
Ұлттық ядролық орталығының ғылыми инфрақұрылымын дамыту және ғылыми зерттеулер жүргізу кезінде халықаралық кооперацияға кеңінен енгізу бүгінгі таңда деректер берудің бірлескен және әлемдік желілерінің күнделікті қолданылуынсыз мүмкін емес[3]. Дербес компьютердің желіден тыс жеке жұмыс істеуі іс жүзінде мүмкін емес деуге де болады, себебі компьютерді пайдаланушы адам бірлескен жобалар бойынша өз әріптестерімен араласу және тиімді еңбек ету мүмкіндігін жоғалтады. Ақпараттың маңызды көзі және байланыстың оңтайлы құралы болып табылатын Интернетті қолданбайтын ғалым қазіргі заманғы ғылыми үдерістен қалыс қалады десе де болады.
Зерттеу мақсаты -бизнесте желілік шабуылдарға нәтижелі қарсы әрекет ету үшін және белсенді әрі қауіпсіз қорғау мүмкіндіктерін қолдану үшін виртуалды жеке желілерді құру концепциясы - VPN (Virtual Private Network) әдістемесін қолдану арқылы ақпараттық қауіпсіздікті қамтамасыз ету.
VPN виртуалды қорғалған желі құру концепциясы негізінде жеткілікті қарапайым идея жатыр: егер ауқымды желіде ақпарат алмасатын екі торап болса, онда осы екі торап арасына ашық желі арқылы берілетін ақпараттың тұтастығын қамтамасыз ету үшін виртуальді туннель қүру керек. Бұл туннельге кіру мүмкіндігі белсенді және белсенді емес ішкі бақылаушыға да өте қиын болуы керек[4].
Виртуалды туннельдер құруда компанияның алатын артықшылықтары қаражаттың аз жұмсалуы болып табылады.
Виртуалды жеке желілерді құрудың негізгі ерекшелігі - бірыңғай мәліметтер тарату желісіне Тапсырушының кеңселері мен техникалық орталықтарын біріктіру үшін белгіленген арналарды пайдалану қажет емес. Осылайша Тапсырушы келесі ықпалдың арқасында өз қаражатын үнемдеуге мүмкіндік алады.
* Бөлінген арналарды ұйымдастыруға көп шығын кетпейді
* Трафик төлемінің икемді жүйесі
* Клиент трафигі толықтай рұқсатсыз кіруден сақталған
* Порттың өткізу мүмкіндіктерінің оперативті өсуі
SMARTNET клиенттің географиялық бөлініп орналасқан кеңселерін бірыңғай қорғалған логикалық желіге байланыстырып, IPMPLS технологиясын пайдалану арқылы виртуалды жеке желілерді (VPN) құру және қызмет көрсетуді іске асырады. Осылайша, клиент үшін оператордың мәліметтер тарату желісі нағыз мөлдір орта болып табылады.
Зерттеу нысаны - ақпарат алмасатын жергілікті желілердің және жеке компьютерлердің ашық ішкі орта арқылы бірігуі. VPN (Virtual Private Network) жалпыға қол жеткілікті желінің ашық байланыс каналдары базасында құралатын виртуалды қорғалған байланыс каналдарын құру арқылы жүзеге асырылады[5].
Зерттеудің ғылыми болжамы-VPN технологиясы арқылы пайдаланушының сенімі жоқ кез-келген басқа ашық желі ішінде қауіпсіз виртуалды жеке желіні құруды қамтамасыз ету тәсілдері мен құралдарын қалыптастыру болып табылады .Технология белгілі бір ашық ғаламдық желінің қолданыстағы инфрақұрылымы негізінде бір-бірінен қашықтағы Жергілікті желілерді немесе жеке компьютерлерді бірыңғай қорғалған корпоративті желіге біріктіруге арналған (қазіргі уақытта іс жүзінде Интернет ресурстары көп жағдайда қолданылады). Қарапайым сөзбен айтқанда, бір-бірінен географиялық тұрғыдан алыс орналасқан әртүрлі құрылымдық бөлімшелер, сондай-ақ Қоғамдық интернет арқылы компания қызметкерлері арасында тікелей қауіпсіз байланыс (кейде туннель деп аталады) ұйымдастырылады. Нәтижесінде компаниядағы Интернет желісінің кез келген пайдаланушысы ішкі корпоративтік ресурстарға қол жеткізе алады: бірыңғай виртуалды кеңсе құрылады. Зерттеу мақсаты ұсынылған болжамды жүзеге асыру үшін келесі негізгі міндеттерімен нақтыланады:
-деректерді беру: файлдар мен хабарламалармен алмасу, құжаттар мен мәліметтер базасымен бірлесіп жұмыс істеу, корпоративтік ақпараттық серверлерге қол жеткізу;
- VPN архитектурасының негізгі варианттарын қарастыру;
- VPN желісінде ақпараттың қорғалуын қамтамасыз ету әдістемесін ұсыну
Зерттеу көздері. ашық білім беру ресурстары, информатика курстары, білім беру саласындағы ІТ құрылғыларды пайдалану, Интернет сайттар, отандық, шетел және ТМД елдері ғалымдарының зерттеу жұмыстары, еңбектері, оқулықтары, оқу құралдары және т.б. құжаттары.
Зерттеу әдістері ретінде информатика, талдау, алгоритмдерге, бағдарламаларға талдау жасау.
Зерттеу жұмысының ғылыми жаңалығы:
- VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесінің теориялық негіздерін зерттеу;
- VPN виртуалды қорғалған желілердің негізгі технологияларын ақпаратты қорғауда қолданудың маңыздылығын зерттеу;
- VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесін эксперименттік зерттеу нәтижесі ретінде бағдарламаны қолдану.
Зерттеу нәтижелерін сынақтан өткізу. Зерттеу жұмысының негізгі қағидалары мен нәтижелері Қорқыт Ата атындағы мемлекеттік университетінің Информатика кафедрасының ғылыми семинарларында және түрлі конференцияларда баяндалды.
Қорғауға ұсынылатын негізгі қағидалары:
- VPN виртуалды қорғалған желілердің негізгі технологияларын ақпаратты қорғауда қолданудың маңыздылығын зерттеу;
-бағдарламалық қамтамасыз етуі.
Диссертацияның құрылымдық мазмұны. Диссертация кіріспеден, екі тараудан, қорытындыдан, пайдаланылған әдебиеттер тізімінен, суреттерден, кестелерден, қосымшалардан тұрады.
Диссертацияны орындау барысында 3 мақала жарық көрді.
I VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесінің теориялық негіздері
3.1 VPN виртуалды қорғалған желілердің негізгі ұғымдары және анықтамалары
Бүгінгі таңда Виртуалды жеке желілерді құру технологиясы (VPN-Virtual Private Network) телекоммуникация технологиясының ең белсенді дамып келе жатқан және нарықта сұранысқа ие технологияларының бірі болып табылады.
Қазіргі уақытта көптеген кәсіпорындар мен ұйымдардың алдында қызметкерлердің орналасқан жеріне қарамастан толыққанды өзара іс-қимылын қамтамасыз ететін бірыңғай қорғалған ақпараттық кеңістікті қалыптастыру міндеті тұр. Сонымен қатар бір-бірінен географиялық жағынан алыс орналасқан көптеген филиалдары, құрылымдық бөлімшелері және жұмыс орындары бар, ірі корпорациялар қорғалған ақпараттық кеңістікті қалыптастыруды қажет етеді.
Құжат айналымын жеделдету, еңбек өнімділігін және басқару қызметінің тиімділігін арттыру мақсатында ақпаратты уақтылы алмасу, корпоративішілік ресурстарға, дерекқорларға, папкаларға, файлдарға және т.б. қолжетімділікті ұйымдастыру қажеттілігі туындайды.
VPN технологиясы арқылы пайдаланушының сенімі жоқ кез-келген басқа ашық желі ішінде қауіпсіз виртуалды жеке желіні құруға болады. Технология белгілі бір ашық ғаламдық желінің қолданыстағы инфрақұрылымы негізінде бір-бірінен қашықтағы Жергілікті желілерді немесе жеке компьютерлерді бірыңғай қорғалған корпоративті желіге біріктіруге арналған (қазіргі уақытта іс жүзінде Интернет ресурстары көп жағдайда қолданылады). Қарапайым сөзбен айтқанда, бір-бірінен географиялық тұрғыдан алыс орналасқан әртүрлі құрылымдық бөлімшелер, сондай-ақ Қоғамдық интернет арқылы компания қызметкерлері арасында тікелей қауіпсіз байланыс (кейде туннель деп аталады) ұйымдастырылады. Нәтижесінде компаниядағы Интернет желісінің кез келген пайдаланушысы ішкі корпоративтік ресурстарға қол жеткізе алады: бірыңғай виртуалды кеңсе құрылады. Бұл жағдайда трафиктің үш түрін беруді ұйымдастыруға болады:
-деректерді беру: файлдар мен хабарламалармен алмасу, құжаттар мен мәліметтер базасымен бірлесіп жұмыс істеу, корпоративтік ақпараттық серверлерге қол жеткізу;
- дауыстық ақпаратты беру: ішкі корпоративтік телефон байланысы;
- бейнеақпаратты беру: бейнеконференц-байланыс, телемедицина.
Әлеуетті пайдаланушының Интернет желісі негізінде немесе жеке желі негізінде VPN желісін ұйымдастыру нұсқасын таңдауы ең маңызды шешімдердің бірі болып табылады. Бірінші нұсқа қосылысты ұйымдастырудың тиімділігі мен қол жетімділігін қамтамасыз етеді, ал екіншісі-оның сапасын бақылау мен басқарудың жоғарылау мүмкіндігі. Екі жағдайда да ақпаратты қорғаудың сенімділігі бірдей және жоғары деңгейге ие.
Қашықтағы Жергілікті желілерді немесе жеке пайдаланушыларды бірыңғай қорғалған ақпараттық кеңістікке біріктіру мәселелерін шешу үшін VPN желісін құру әрқашан орынды ма? Бұл шешім жалғыз және әмбебап па? Әрине, жоқ: бәрі нақты жағдайға байланысты.
Мысалы, егер компанияның барлық бөлімшелері бір-біріне жақын жерде, бір ауданда немесе қаланың аумағында болса, ең оңай шешім қашықтағы кеңселер немесе жергілікті желілер арасында бөлінген желіні ұйымдастыру болар еді. Сондай-ақ, байланыс операторынан қолданыстағы арнаны жалға алу нұсқасын қарастыруға болады: егер компанияның барлық бөлімшелері бір елді мекенде болса және, әрине, қолайлы байланыс арнасы болса, бұл өте қолайлы болады. Алайда, мұндай шешімдер кеңселері бір-бірінен едәуір қашықтықта орналасқан корпорациялар үшін іс жүзінде мүмкін емес: әртүрлі қалаларда немесе тіпті елдерде. Сонымен қатар, бұл опциялар құпия ақпаратты сенімді қорғау қажеттіліктеріне толық жауап бермейді (біріктірілген желіге рұқсатсыз қосылу және ақпараттың ағып кету мүмкіндігі бар).
Сонымен, корпоративті клиент үшін қандай жағдайларда виртуалды жеке желіні (VPN) құру оңтайлы шешім болаиындығын қарастырамыз.
Экономиканың жаһандануы, қалааралық және халықаралық байланыстардың дамуы жағдайында көптеген кәсіпорындар мен ұйымдар кеңейіп, өз қызмет аясын кеңейтіп, жаңа нарықтар іздейді. Нәтижесінде бір қалада бас кеңсесі және басқа қалаларда немесе елдерде бірқатар филиалдары, құрылымдық бөлімшелері бар корпоративтік құрылым құрылады. Мұндай Ұйымдық құрылым көбінесе ірі банктерге және басқа қаржы ұйымдарына, сақтандыру компанияларына, өнеркәсіптік кәсіпорындарға, отын-энергетикалық кешен кәсіпорындарына, сауда желілеріне, мемлекеттік құрылымдарға және т.б. тән. Қашықтағы құрылымдық бөлімшелер, жергілікті желілер, қызметкерлер арасында қорғалған тікелей байланысты ұйымдастыру виртуалды жеке желіні құру арқылы қамтамасыз етілуі мүмкін.
Басқа жағдайды қарастырайық: компанияда аумақтық бөлінген филиалдар желісі болмауы мүмкін (ол тіпті үлкен болуы мүмкін емес), бірақ оның қызметінің ерекшелігі қызметкерлердің үнемі сапарларында, іссапарларында болатындығында. Бұл ретте қызметкер мен корпоративтік кеңсе арасында тұрақты ақпарат алмасу қажеттілігі бар делік (корпоративтік деректер базасына, есептілікке және т.б. қол жеткізу). Бұл жағдайда деректерді жергілікті корпоративті желіге беру үшін қашықтан кіру нүктесін ұйымдастыруға болады: қызметкер модем арқылы осы мақсаттар үшін арнайы бөлінген нөмірге желіге қосылады және ақпаратты жібереді немесе алады.
Айта кету керек, бұл процесс ұзақ, берілетін деректердің көлеміне байланысты бірнеше сағатты алуы мүмкін, қалааралық және халықаралық байланыс қызметтеріне айтарлықтай шығындар қажет.
Мұндай жағдайда VPN технологиясы пайдаланушыға келесі балама ұсынады. Компания қызметкерінің дербес компьютерінде жергілікті оператор арқылы Интернет желісіне қол жеткізуді жүзеге асырғаннан кейін жергілікті корпоративтік желінің VPN-шлюзімен қосылуға және талап етілетін ақпаратты уақытша алыс орналасқан жерінен беруге мүмкіндік беретін арнайы бағдарламалық қамтамасыз ету орнатылады (бұл қонақ үй нөмірі, автомобиль және т.б. болуы мүмкін).
Бір ғимарат шеңберінде мекеменің компьютерлік желілерін құру мәселесі қиын шешілмейді. Дегенмен қазіргі заманғы корпорациялардың инфрақұрылымы корпорацияның өзінің географиялық бөліктерінен, серіктестіктерінен, клиенттерден және жеткізушілерден тұрады. Сондықтан корпроративті желі құру мәселесі қиынырақ болып табылады.
Internet дамуымен және ұжымдық түрде енуімен ақпараттың таралуы сапалы бола түсті. Пайдаланушылар арзан және қол жеткілікті Интернет каналдарын алды. Мекемелер критикалық коммерциялық және басқарушы ақпаратты беру үшін каналдарды пайдалануға ұмтылады. Бизнесте желілік шабуылдарға нәтижелі қарсы әрекет ету үшін және белсенді әрі қауіпсіз қорғау мүмкіндіктерін қолдану үшін 1990 жылдың басынан бастап виртуалды жеке желілерді құру концепциясы - VPN (Virtual Private Network) жетілдірілді
VPN виртуалды қорғалған желі құру концепциясы негізінде жеткілікті қарапайым идея жатыр: егер ауқымды желіде ақпарат алмасатын екі торап болса, онда осы екі торап арасына ашық желі арқылы берілетін ақпараттың тұтастығын қамтамасыз ету үшін виртуалды туннель құру керек. Бұл туннелге кіру мүмкіндігі белсенді және белсенді емес ішкі бақылаушыға өте қиын болуы керек.
Виртуалды туннельдер құруда компанияның алатын артықшылықтары қаражаттың аз жұмсалуы болып табылады.
VPN виртуалды жеке желілер ұйымдастыру (IP Virtual Private Network) IPVPN немесе L2VPN көмегімен іске асырылады және клиенттің кеңселері мен нүктелерін рұқсатсыз кірістерден қорғалған желіге біріктіруді ұйымдастыруға мүмкіндік береді. Көптеген жергілікті желілерді мөлдір байланыстыру (LAN), клиенттің жергілікті желілерін, қала ауқымын 1Гбитс дейінгі жылдамдықта құру.
VPN шешімі төмендегілер үшін өте тиімді:
* корпорациялар
* өндірістік және коммерциялық компаниялар
* мемлекеттік ұйымдар
* сақтандыру компаниялары
* банктер және қаржы ұйымдары
* тауарлар мен қызметтер дистрибуция желілері
IP VPN желісі жоғары жылдамдықтағы SMARTNET талшықты-оптикалық желісіне негізделіп, қосылу Ethernet технологиясы бойынша 100 Мбсекундқа дейінгі жылдамдықта іске асады. Әртүрлі қосымшалардағы трафикті тарату үшін SMARTNET мәліметтер трафигіне қызмет көрсетудің (CoS) үш тобын ұсынады:
Best Effort -- мәліметтер тарату, файлдар мен хабарламалармен алмасу, құжаттармен бірлесіп жұмыс істеу, мәліметтердің корпоративті базасына кіру, электрондық пошта үшін арналған.
Business Critical -- мәліметтерді тарату кезінде ерекше сенімділікті талап ететін және өткізу жолағы, пакеттердің жоғалуын қаламайтын корпоративті жүйелердің трафигі үшін арналған.
Real Time -- корпоративті телефония мен видеоконференция ұйымдастыру үшін, сонымен бірге пакеттерді бірқалыпты және аз кідіріспен таратуға кепілдік береді.
Сервистердің әртүрлі деңгейлерін қамтамасыз ету (Қызмет көрсету тобы) жергілікті желілер мәліметтерімен дауыс трафигін таратуды интегралдауды, видео ақпаратты сапалы таратуды қамтамасыз етеді.
Ақпарат таратудағы нақты параметрлерге қатысты (бөгеліс, пакеттердің жоғалуы және тағы басқалары) клиентке кепілдіктер ұсынылады[6].
Виртуалды жеке желілерді құрудың негізгі ерекшелігі - бірыңғай мәліметтер тарату желісіне Тапсырушының кеңселері мен техникалық орталықтарын біріктіру үшін белгіленген арналарды пайдалану қажет емес. Осылайша Тапсырушы келесі ықпалдың арқасында өз қаражатын үнемдеуге мүмкіндік алады.
* Бөлінген арналарды ұйымдастыруға көп шығын кетпейді
* Трафик төлемінің икемді жүйесі
* Клиент трафигі толықтай рұқсатсыз кіруден сақталған
* Порттың өткізу мүмкіндіктерінің оперативті өсуі
VPN-де қосылу нүктелерінің санында шек жоқ. Қажет кезде VPN-ге кіретін әрбір нүкте байланыстың физикалық арнасы арқылы Интернетке кірісті қамтамасыз етеді.
SMARTNET клиенттің географиялық бөлініп орналасқан кеңселерін бірыңғай қорғалған логикалық желіге байланыстырып, IPMPLS технологиясын пайдалану арқылы виртуалды жеке желілерді (VPN) құру және қызмет көрсетуді іске асырады. Осылайша, клиент үшін оператордың мәліметтер тарату желісі нағыз мөлдір орта болып табылады[7].
Үш деңгейдегі VPN (VPNL3) жүзеге асыруда оңай және IP-желілері деңгейінде өзара әрекетте іске асырылады, алайда кеңсенің басқа кеңсеге көшуі кезінде жаңа желі ұйымдастыруды талап етеді. Бас кеңсені бөлімшелермен байланыстырудан басқа, мысалы POS-терминалдар немесе банкоматтардың бас компьютермен байланысын ұйымдастыру да мүмкін.
Екінші деңгейдегі виртуалды жеке желі L2 VPN (VPLS Virtual Private LAN Service) -- қала көлемінде бірнеше географиялық алыста орналасқан кеңселерді бірыңғай жоғарғы жылдамдықтағы көппротоколды қауіпсіз желіге біріктіру тәсілі.
Екінші деңгейдегі виртуалды жеке желілерді құрудағы шешімдердің бірыңғайлығы L2 VPN (Layer 2 Virtual Private Network, MPLS VPLS VPN, Ethernet VPN) жеке қауіпсіздік пен өнімділікке жоғарғы талаптар қойылатын, корпоративті желілерде әртүрлі желілік протоколдар пайдалану мүмкіндігінде жатыр. L2 VPN арнайы IP-желілерге байланбаған және Ethernet деңгейінде жұмыс істейді. Мысалы, кеңседен тыс жүріп, ноутбук көмегімен компанияның корпоративті желісіне еркін қосылу мүмкіндігі.
VPLS технологиясын пайдаланудың артықшылықтары:
* мәліметтер тарату протоколдарының барлық түрін пайдалану мүмкіндігі;
* клиент желісінің ішкі құрылымына (IP-желілердің деңгейлерде де) кіріс және тек тапсырушымен басқарылудың арқасында қауіпсіздік деңгейі жоғары;
* желі арқылы мәліметтердің қандай болмасын типін өткізу мүмкіндігі, соның ішінде арна деңгейінде шифрланғандарды да өткізуі[8].
Осылайша, L2 VPN қолдану желілік инфрақұрылым мен қосымшаларды толығымен пайдалану мүмкіндігі, сондай-ақ виртуалды жеке желілердің SMARTNET-тің басқа қызметтерімен интеграциясы: 100 Мбитс дейінгі жылдамдықта жоғарғы жылдамдықтағы интернетке кіру, жаңа ұрпақтың жоғарғы пакеттік телефониясы (Voice-Over-IP) және т.б. Бұл шешім қызметкерлерінің жұмысы іс-сапарлармен байланысты және оларға компанияның жергілікті желісіне қолжетімділік қажет компаниялар үшін өзекті.
Корпоративті локальдық желілерді ашық желіге қосуда мына екі типті қауіп туындайды:
* Корпоративті локальды желілерге рұқсатсыз кіру барысында пайдаланушының санкцияланбаған қол жеткізулері;
* Ашық желіде берілу барысында корпоративті мәліметтерге келетін санкцияланбаған қол жеткізулер.
Локальды желілердің және жеке компьютерлердің ашық желіде, негізінен Интернет желісінде ақпарат алмасуда қауіпсіздікпен қамтамасыз ету үшін келесі мәселелер шешілуі тиіс:
* Локальды желілердің ашық байланыс каналдарына және жеке компьютерлерге ішкі ортадан рұқсатсыз әрекет етуден қорғау;
* Ашық байланыс каналдары бойынша ақпарат беру процесінде қорғау.
Жоғарыда аталғандай, локальды желілерді және жеке компьютерлерді ішкі ортадан рұқсатсыз әрекет етуден қорғау үшін әдетте экран аралық желілер қолданылады. Ол ақпараты алмасудың қауіпсіздігін екі жақты хабарлама ағынын сүзгілеу, сонымен қатар ақпарат алмасуда аралық функциясын орындау арқылы қамтамасыз етеді.
Экран аралық локальды және глобальды желі ортасында орналасады. Жеке алыстатылған компьютерлерді қорғау үшін осы компьютерде желілік экранның программалық қамсыздандырылуын орнатады және бұл желілік экран персональды деп аталады[9].
Ашық каналдар бойынша ақпараттың берілуі барысында ақпаратты қорғау VPN виртуалды қорғалған желілерді қолдануға негізделген.
VPN (Virtual Private Network) виртуалды қорғалған желі деп ақпарат алмасатын локальды желілердің және жеке компьютерлердің ашық ішкі орта арқылы бірігуі. VPN (Virtual Private Network) жалпыға қол жеткілікті желінің ашық байланыс каналдары базасында құралатын виртуалды қорғалған байланыс каналдарын құру арқылы жүзеге асырылады.
Бұл виртуалды қорғалған байланыс каналдарын VPN (Virtual Private Network) туннельдері деп атайды. VPN желісі М туннелі арқылы орталық офис пен филиалдар офисін, бизнес-партнерлар және алыстатылған пайдаланушыларды байланыстырып, интернет арқылы ақпарат береді.
Филиал офисі
Internet
бизнес-серіктес
Алыстатылған қолданушы.
Сурет 1.1 VPN виртуалды қорғалған желі.
VPN туннелі ашық желі арқылы өтетін криптографиялық қорғалған виртуалды желі хабарламаларының пакеттерін байланыстырады. VPN туннельдері бойынша ақпаратты беру процесінде қорғау мыналарға негізделген:
* өзара әсерлесуші жақтардың аутентификациясына;
* берілетін мәліметтердің криптографиялық жабылуына (шифрлауға) ;
* жеткізілетін ақпараттың тұтастығын тексеруге.
Бұл функциялар бір-бірімен өзара байланысқан. Олардың жүзеге асырылуы үшін ақпаратты криптографиялық қорғау әдістері қолданылады. Бұндай қорғаудың нәтижелілігі симметриялық және ассиметриялық криптографиялық жүйенің бірігіп қолдану есебінен қамтамасыз етіледі. VPN құрылғысымен жасалатын VPN туннелі жалпыға ортақ желі шеңберінде ерекшеленген қорғалған сызық қасиеттеріне ие. VPN құрылғылары виртуалды жеке желілерде VPN-клиент, VPN-сервер және VPN қауіпсіздік шлюзі ретінде бола алады[10].
VPN-клиент әдетте дербес компьютер базасында орындалатын программалық-ақпараттық және программалық кешен. Оның желілік программалық қамсыздандырылуын шифрлау және трафикті аутентификациялау үшін жасалады. Әдетте VPN-клиенттің стандартты операциялық жүйесі - Windows NT2000XP және UNIX-ті толықтыратын программалық шешім арқылы жүзеге асырылады.
VPN-сервер компьютерде орнатылатын сервер функциясын орындайтын программалық және программалық-аппараттық кешен болып табылады. VPN-сервер серверді ішкі желілердегі санкцияланбаған қол жеткізулерден қорғайды. VPN-сервер серверлік платформаларға арналған VPN-клиентке ұқсас функционалды өнім болып табылады.
VPN қауіпсіздік шлюзі (security gateway) - бұл екі желіге қосылатын және шифрлау, аутентификация функцияларын орындайтын желілік құрылғы. Ішкі корпоративті желіге арналған барлық трафик осы VPN қауіпсіздік шлюзі арқылы өтетіндей болып орналасқан.
Ақпаратты берудің ашық ішкі ортасы Интернет желісін қолданатын жылдам мәлімет беру каналдары, сонымен қатар әдетте телефон желісі каналдары болатын жай байланыс каналдары болып табылады.
Ақпараттың қауіпсіздігін асқтау үшін инкапсуляция немесе туннельдеу қолданылады. Туннельдеу әдісі арқылы берілгендер пакеті жалпы желі арқылы беріледі. Әрбір жіберуші-ақпаратты қабылдаушы жұптарының арасында логикалық байланыс - өзіндік туннель орнайды. Ол бір протокол мәліметтерін басқалардың пакетіне инкапсуляциялау үшін қажет[11].
Туннельдеу ұғымы инкапсуляциялау, яғни ақпаратты жаңа канвертте орау дегенді білдіреді. Мұнда протокол пакеті өте аз деңгейде болса да, өте жоғары немесе өзінікіндей деңгейдегі мәліметтер өрісіне орналасады.
Туннельдеу ақпаратты санкцияланбаған қол жеткізуден қорғамайды, бірақ ол арқылы ақпаратты толық криптографиялық қорғау мүмкіндігі туады. Ақпаратты беруші берілетін ақпаратты қорғау үшін шығыс пакеттерін шифрлайды, оны ішкі пакетке жаңа IP-тақырыппен жазып қояды және транзиттік желі бойынша жібереді.
Қорғалған каналдың соңғы нүктесіне келгенде ішкі пакеттен бастапқы пакетті шығарады, шифрын ашады және әрі қарай қолдана береді.Туннельдеу пакет мазмұнының тұтастығын сақтау үшін ғана емес, сонымен қатар аутенттілігін сақтау үшін қолданылады. Мұнда электронды цифрлы жазбаны пакеттің барлық өрістеріне орналастыруға болады[12].
Туннельдеу механизмі қорғалған каналдар жасаудың әртүрлі протоклдарында кеңінен қолданылады. Әдетте туннель ақпараттың тұтастығы мен мазмұндылығы бұзылуға қауіп бар жерде, ашық желі бөліктерінде құрылады. Мұнда ішкі пакеттер үшін шекаралық маршрутизаторлар адресі қолданылады.
Туннельдеу логикалық ортада басқа протокол қолданатын бір протокол пакеттерін беруді ұйымдастырады. Нәтижесінде бірнеше әр түрлі желілердің өзара әсерінің проблемалары шешіледі. Жаңа пакет
Жаңа IP тақырып
Жаңа IP тақырып
Мәліметтер
Мәліметтер
Бастапқы IP тақырып
Бастапқы IP тақырып
ESP-тақырып
ESP-тақырып
AH-тақырып
AH-тақырып
Бастапқы пакет
Сурет 1.2 Туннельдеу үшін дайындалған пакет мысалы.
Негізінен, бастапқы пакет тақырыбынан желінің ішкі құрылым туралы мәлімет алуға болады - ішкі желілердің саны туралы мәліметтер және тораптар және олардың IP тақырып тақырыптары. Бұзушы мұндай мәліметтерді корпоративті желіге шабуыл кезінде қолдануы мүмкін. Шифрленген тақырыппен жазылған бастапқы пакет желі бойынша тасымалдау мекемелері үшін қолданылмайды.
Сонлықтан да бастапқы пакетті қорғау үшін инкапсуляция немесе туннельдеу қолданылады. Бастапқы пакетті тақырыбымен қоса толығымен шифрлайды, содан соң оны басқа ішкі пакетке орналастырып қояды. Мәліметтерді ашық желіде тасымалдау үшін ішкі пакет тақырыбының ашық өрістері қолданылады.
Қорғалған каналдың соңғы нүктесіне келгенде ішкі пакеттен ішкі бастапқы пакетті шығарады, шифрын ашады және алдағы уақытта ішкі желіде ақпарат беру үшін қолданады.
Туннельдеу ақпараттың құпиялығын сақтау үшін ғана емес, сонымен қатар оның тұтастығын және аутенттілігін сақтау үшін қолданылады.
Екі нүкте арасындағы желілік құрылымды толықтыруда туннельдеу екі локальды желі арасындағы адрестер конфликтін алдын алуға мүмкіндік туғызады[13].
Туннельдеу механизмі қорғалған каналдар жасаудың әр түрлі протоколдарында кеңінен қолданылады. Әдетте туннель ақпараттың құпиялығы мен тұтастығының бұзылу қаупі бар ашық желі аймағында құрылады. Оған қоса ішкі пакеттер үшін осы екі нүктеде құрылған шекаралық маршрутизаторлар адрестері қолданылады.
Туннельдеу бір протокол қолданатын логикалық ортада басқа протокол пакеттерін беруді ұйымдастырады. Нәтижесінде бірнеше әр типті желілердің өзара әсерлесу мәселелерін шешуге мүмкіндік туады.
Туннельдеу механизмін жүзеге асыруды 3 типті протоколдармен жұмыс нәтижесі ретінде түсінуге болады. Бұл 3 типті протоколдарға мыналар жатады: пассажир протоколы, жеткізуші протоколы және туннельдеу протоколы. Мысалы, пассажир протоколы ретінде IPX протоколы қолданылады, ол бір мекеме филиалдарының локальды желілерінде мәліметтерді жеткізеді. Жеткізуші протоколдың кең таралған нұсқасына
Интернет желісінің IP протоколы жатады. Туннельдеу протоколы ретінде каналдық деңгейдегі PPTP және L2TP, сонымен қатар желілік деңгейдегі IPSec қосымшаларынан Интернет инфрақұрылымдарын ашу мүмкіндігі туады.
VPN туннельдері соңғы қолданушылардың әр түрлі типтері үшін құрыла алады. Ол не LAN (Local Area Network) локальды желісі, не алыстатылған немесе мобильді қолданушылардың жеке компьютерлері болуы мүмкін. Ауқымды мекеменің виртуалды жеке желілерін құру үшін VPN-клиент, VPN-сервер және VPN қауіпсіздік шлюзі керек.
VPN қауіпсіздік шлюзі мекеменің локальды желілерін қорғау үшін, VPN-сервер және VPN-клиент Интернет арқылы корпоративті желіде алыстатылған және мобильді қолданушылардың қорғалған байланыстарын ұйымдастыру үшін пайдаланылады.
1.2 Виртуалды қорғалған каналдарды құру варианттары мен жабдықтары
VPN желісін жобалаудың негізгі екі сызбасы бар:
1. локальды желілер арасындағы виртуалды қорғалған канал (ЛВС-ЛВС);
2. торап пен локальды желі арасындағы виртуалды қорғалған канал (канал клиент-ЛВС).
1-сызба. Бұл байланыс жекелеген офистар арасындағы қымбатқа түсетін ерекшеленген сызықтарды алмастыруға мүмкіндік береді және олардың арасындағы әрқашан қол жеткілікті қорғалған каналдар құруға мүмкіндік береді. Бұл жағдайда қауіпсіздік шлюзі туннель мен локальды желі арасында интерфейс болып табылады.
2-сызба. VPN қорғалған каналының сызбасы алыстатылған немесе мобильді қолданушылармен байланыс орнату үшін арналған. Туннель құруды клиент қарастырады. Шлюзбен байланыстыру үшін ол өзінің компьютерінде арнайы клиенттік программалық қамсыздандыруды жүктемелейді.
VPN-ның бұл түрі коммутацияланатын байланыстарды ауыстыра алады және алыстатылған қол жеткізулердің дәстүрлі әдістерімен бірге қолданылады.
Сурет 1.2 VPN жіктелуі
Виртуалды қорғалған каналдардың сызбаларының бірнеше варианттары бар. Виртуалды қорғалған канал орнатылатын екі тораптың кез келгені қорғалатын хабарлама ағынының соңғы немесе аралық нүктесіне тиісті болады.
Ақпараттың қауіпсіздігін қамтамасыз ету мақсатында ең тиімді нұсқа мынадай: қорғалған туннельдің соңғы нүктелері қорғалатын хабарлама ағынының соңғы нүктелеріне сәйкес келуі керек.
Дегенмен бұл нұсқа басқару децентрализациясына және ресурстық шығындардың көбеюіне әкеледі. Бұл жағдайда VPN құрудың түрлері әрбір клиенттің компьютерлерінде орнатылуы тиіс.
Егер де виртуалды желіге кіретін локальды желі ішінде трафик қауіпсіздігі қажет болмаса, онда қорғалған туннельдің соңғы нүктесі ретінде экранаралық желілерді немесе шекаралық маршрутизаторды қолдануға болады.
Егер де локальды желі ішінде хабарламалар ағыны қорғалған болу керек болса, онда туннельдің соңғы нүктесі ретінде компьютер қолданылу керек. Алыстатылған қолданушының локальды желісіне қол жеткізуде осы қолданушының компьютері виртуалды қорғалған каналдың соңғы нүктесі болуы керек.
Сонымен қатар кең тараған нұсқа - қорғалған туннель пакеттер коммутациясымен ашық желі ішінде, мысалы Интернетте қойылады. Бұл нұсқа қолдану ыңғайлылығымен ерекшеленеді, бірақ қауіпсіздік деңгейі салыстырмалы түрде төмен. Мұндай туннельдің соңғы нүктесі ретінде әдетте Интернет провайдерлері немесе локальды желінің шекаралық маршрутизаторлары қолданылады.
Туннель локальды желілерді біріктіруде тек Интернет шекаралық провайдерлері арасында немесе локальды желі маршрутизаторлары арасында жасалады. Осы нұсқа бойынша құрылған виртуалды жеке желілер масштабталуы мен басқару мүмкіндігінің жоғарылығымен ерекшеленеді. Құрылған қорғалған туннельдер локальды желілердің клиенттер компьютерлері мен серверлері үшін мөлдір болып табылады.Мұндай тораптардың программалық қамсыздандырылуы өзгеріссіз қалады.
Дегенмен бұл нұсқа да ақпараттық өзара әсерлесу барысында салыстырмалы түрде қауіпсіздіктің төмендігімен сипатталады, өйткені жеке трафик байланыстың ашық каналдары бойынша қорғалмаған күйде өтеді. Егер де мұндай желіні құру немесе пайдалану мүмкіндіктерін ISP провайдерлері қолға алса, онда барлық виртуалды жеке желі оның шлюзінде құрыла алады. Бірақ бұл жағдайда провайдерлерге сену проблемалары мен оған қызмет көрсеткені үшін ақы төлеу мәселелері пайда болады.
Қорғалған туннель араларында туннель құрылатын тораптардың виртуалды желі компоненттерімен құрылады. Бұл компоненттерді туннель инициаторы немесе туннель терминаторы деп атауға болады.
Туннель имитаторы бастапқы пакетті жаңа пакетке инкапсуляциялайды. Инкапсуляцияланатын пакеттер кез келген тип протоколдарына тәуелді бола алады. Туннель бойынша берілетін барлық пакеттер IP пакеттері болып табылады. Инициатор мен терминатор арасындағы маршрутты әдеттегі маршрутизацияланатын IP желісі анықтайды.
Туннельді инициалдау немесе бөлуді әр түрлі желілік құрылғылар және программалық қамсыздандырулар жасай алады. Мысалы, туннель мобильді қолданушының ноутбугымен инициалданады.
Инициатор ретінде сәйкесінше функционалды мүмкіндіктерімен бөлінген локальды желі маршрутизаторы шыға алады. Туннель әдетте желі коммутаторымен және қызмет көрсетуші провайдер шлюзімен аяқталады.
Туннель терминаторы инкапсуляцияға қарама-қарсы процесс. Терминатор жаңа тақырыптарды өшіреді және әрбір бастапқы пакетті локальды желі адресатына бағыттайды[14].
Инкапсуляцияланатын пакеттердің құпиялығы шифрлау жолымен қамсыздандырылады, ал тұтастығы - электронды-цифрлық жазба жасау әдісімен қамсыздандырылады. Мәліметтерді криптографиялық қорғаудың бірнеше әдістері мен алгоритмдері бар, сондықтан да инициатор және терминатор уақытында бір-бірімен байланысып, қауіпсіздіктің бірдей тәсілі мен алгоритмдерін қолдануы керек.
Мәліметтерді дешифрлау мүмкіндіктерін қамтамасыз ету үшін және қабылдау кезінде цифрлық жазбаны тексеру үшін туннель инициаторы мен терминаторы кілттермен алмасуды қауіпсіз ету функцияларын қолдау керек. Сонымен қатар, ақпараттық әсерлесудің соңғы нүктелері VPN туненелін құруға кепіл болу үшін аутентификациядан өтуі керек.
Корпорацияның желілік инфрақұрылымы VPN қолдану үшін программалық, сонымен қатар аппараттық қамсыздандыруға дайын болуы керек.
VPN виртуалды қорғалған желі құру барысында ақпараттың қауіпсіздігін сақтау бірінші деңгейдегі мәселе болып табылады. Жалпыға ортақ анықтама бойынша, мәліметтердің қауіпсіздігі деп оның құпиялығын, тұтастығын және қол жетімділігін айтады.
Құпиялық - VPN қорғалған каналдары бойынша мәліметтерді беру процесінде осы мәліметтер тек қана легальды жіберуші мен алушыға мәлім болу кепілдігі.
Тұтастық - VPN қорғалған каналдары бойынша мәліметтерді беру процесінде жіберілетін мәліметтердің сақталу кепілі. Кез келген өзгерту лер, жаңартулар, бұзу немесе жаңа мәлімет құру жағдайлары көрініп қалады және легальды қолданушыға мәлім болады.
Қол жетімділік - VPN функциясын орындайтын, легальды қолданушыларға әр уақытта қол жетімді болып тұру мүмкіндігінің кепілі. VPN мүмкіндіктерінің қол жетімділігі кешенді көрсеткіш болып табылады.
Аутентификация бірқолданушылық немесе көпқолданушылық парольдер, цифрлық сертификаттар, смарт-карталар, қатаң аутентификация протоколдары негізінде құрылады және VPN-байланысын тек легальды қолданушылар арасында ғана құруды қамсыздандырады және VPN мүмкіндіктеріне қажетсіз адамдардың қол жеткізулерін болдырмайды.
Авторизация өзінің аутенттілігін (легальдығын) дәлелдеген барлық абоненттерге әр түрлі қызмет түрлерін көрсетеді. Авторизация және қол жеткізуді басқару бірдеу әдістермен іске асырылады.
Виртуалды қорғалған желілерде берілетін мәліметтердің қауіпсіздігін қамтамасыз ету үшін мына мәселелер шешілуі тиіс:
* Байланыс орнату барысында абоненттердің өзара аутентификациясы;
* Берілетін мәліметтің құпиялығын, тұтастығын және аутенттілігін қамтамасыз ету;
* Авторизация және қол жеткізуді басқару;
* Желі периметрінің қауіпсізідігі және бұзып кіру табу;
* Желі қауіпсіздігін басқару.
Абоненттердің аутентификациясы. Аутентификация процедурасы легальды қолданушылар үшін кіруге рұқсат береді және қажетсіз адамдардың желіге кіруінің алдын алады.
Ақпараттың құпиялығын, тұтастығын және аутенттілігін қамтамасыз ету. Ақпараттың құпиялығын сақтау мәселесі берілетін ақпараттың санкцияланбаған оқылуы мен көшірмелеуінен қорғау дегенді білдіреді. Ақпараттың құпиялығын сақтау үшін шифрлеу әдісі қолданылады.
Авторизация және қол жеткізуді басқару. VPN желісінің кілттік қауіпсіздік компоненті компьютерлік ресурстарға қол жеткізуді тек авторизациядан өткен қолданушылар ғана ала алады дегенді білдіреді. Ал авторизациядан өтпеген қолданушыларға бұл ресурстар қол жеткіліксіз болып табылады.
Авторизацияның программалық құралдарын құру кезінде мыналар қолданылады:
* Авторизацияның орталықтандырылған сызбасы;
* Авторизацияның деорталықтандырылған сызбасы.
Авторизацияның орталықтандырылған жүйесінің негізгі мәселесі - бірлік кіріс принципін іске асыру. Қолданушыға ресурстарды беру процесін басқару сервер арқылы жүзеге асырылады. Ол мына жүйелерде орындалады: Kerberos, RADIUS, TACACS.
Соңғы уақыттарда белсенді түрде қол жеткізуді рольдік басқару деп аталатын басқару түрі пайда бола бастады. Ол қауіпсіздік мәселелерін шешпейді, жүйенің басқарылу мүмкіндігінің қалай артатындығын шешеді. Әрбір қолданушы үшін бір уақытта бірнеше роль белсенді болуы мүмкін, олардың әрқайсысы оған толығымен белгілі бір құқықтар береді.
Қолданушылар мен олардың привелегияларын қарағанда рольдер көп болғандықтан, рольдерді қолдану қиындықтың төмендеуіне және жүйе басқарылуының жақсаруына әкеледі.
Желі периметрінің қауіпсіздігі және вторжениелерді табу. Қорғалатын желі қосымшаларына, сервистерге және ресурстарға кіруге қатаң бақылау желіні дұрыс құрудың маңызды функциясы болып табылады.
Экранаралық желі секілді қауіпсіздіктің мұндай әдістерін қолдану вторжениелерді тобу жүйесі, қауіпсіздік аудиті жүйесі, антивирустық кешендер желіге орналасатын мәліметтердің жүйелік қорғанысын қамтамасыз етеді.
Желі қауіпсіздігінің жалпы шешіміның маңызды бөлігі экранаралық желілер болып табылады. Олар қорғалатын желідегі қиылысатын периметрлердің трафигін бақылайды.
Желі периметрінің қауіпсіздік кепілінің қосымша элементі IDS вторжениелерді табу жүйесі болып табылады. Ол нақты уақытта жұмыс істейді және ішкі немесе сыртқы көздерден авторизацияланбаған желілік белсенділіктерді табады, фиксациялайды және жұмысын тоқтатады.
Желінің қауіпсіздігін қорғау. VPN желілері желілік құрылғылар ... жалғасы
Қорқыт Ата атындағы Қызылорда университеті
Жаратылыстану институты
Информатика және ақпараттық коммуникациялық
технологиялар кафедрасы
ӘОЖ 004.358:004.9:004.9:004.056.5:378.2 45.2 Қолжазба құқығы ретінде
Әміртаева Қаламқас Серікқызы
Ғылыми жетекшісі:
Ф.-м.ғ.к Махамбаева И.У.
Қызылорда, 2022 ж.
Қазақстан Республикасының Білім және ғылым минстрлігі
Қорқыт Ата атындағы Қызылорда университеті
Жаратылыстану институты
Информатика және ақпараттық коммуникациялық технологиялар кафедрасы
Қорғауға жіберілді
Информатика және АКТ кафедрасының
меңгерушісі _____________С.Ш.Тілеубай
____ __________________2022 ж.
Магистрлік диссертация
Тақырыбы: VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесі.
7М01514 - Информатика мамандығы
(ғылыми-педагогикалық бағыт)
Магистрант: Әміртаева Қ.С.
Ғылыми жетекшісі Махамбаева И.У.
Институт директоры: Қосанов С.О.
Қызылорда, 2022 ж
НОРМАТИВТІК СІЛТЕМЕЛЕР
Осы диссертациялық жұмыста келесі нормативтік сілтемелер қолданылды:
1. ҚР 27.07.2007ж. Білім туралы Заңы, 09.04.2016 ж. №501-V өзгертулері және толықтыруларымен;
2. ҚР Үкіметінің 23.08.2012 жылғы №1080 қаулысымен бекітілген, 13.05.2016ж. №292 өзгертулері және толықтыруларымен Жоғары оқу орнынан кейінгі білімнің мемлекеттік жалпыға міндетті стандарттары
3. ҚР Білім және ғылым министрінің 18.03.2008 жылғы №125 бұйрығымен бекітілген, 13.05.2016ж. №318 өзгертулері және толықтыруларымен Жоғары оқу орындарында оқитындардың сабақ үлгеріміне ағымды бақылау, аралық және қорытынды бақылау жүргізудің үлгілік ережесі;
4. Қазақстан Республикасының Ғылым туралы Заңы 24.10.2011ж. №407-IV. - Астана, 2011. (29.09.2014 ж. өзгерістер енгізілген). http:adilet.zan.kz.
5. Қорқыт Ата атындағы ҚМУ ҒМС бекіткен, магистрлік диссертацияға қойылатын талаптар (хаттама №__, __.___. 20__ж)
АНЫҚТАМАЛАР
Диссертацияда мынадай анықтамаларға сәйкес келетін терминдер қолданылған:
VPN (Virtual Private Network)- бұл алыстатылған локальдық желімен виртуалды канал бойынша ақпарат алмасу процесі өтетін технология.
Best Effort - мәліметтер тарату, файлдар мен хабарламалармен алмасу, құжаттармен бірлесіп жұмыс істеу, мәліметтердің корпоративті базасына кіру, электрондық пошта үшін арналған .
Business Critical -- объектінің, процестің немесе құбылыстың күйі туралы жаңа ақпарат алу үшін мәліметтерді жинау, өңдеу, жеткізу тәсілдері мен құралдарының жиынтығын пайдаланатын процесс.
Real Time - корпоративті телефония мен видеоконференция ұйымдастыру үшін, сонымен бірге пакеттерді бірқалыпты және аз кідіріспен таратуға кепілдік береді.
L2 VPN (VPLS Virtual Private LAN Service) - қала көлемінде бірнеше географиялық алыста орналасқан кеңселерді бірыңғай жоғарғы жылдамдықтағы көппротоколды қауіпсіз желіге біріктіру тәсілі.
VPN қауіпсіздік шлюзі (security gateway) - бұл екі желіге қосылатын және шифрлау, аутентификация функцияларын орындайтын желілік құрылғы.
Extranet VPN - іскерлік қарым-қатынастар кезінде байланыстың сенімділігінің арттырылуын қолдайтын бір компания желісінен екінші басқа компания желісіне тікелей қатынауды қамтамасыз ететін тораптық технология. Компьютерлік желі дегеніміз - ресурстарды (дискі, файл, принтер, коммуникациялық құрылғылар) тиімді пайдалану мақсатында бір - бірімен байланыстырылған компьютерлер тізбегі.
БЕЛГІЛЕУЛЕР МЕН ҚЫСҚАРТУЛАР
VPN
Virtual Private Network- виртуалды қорғалған желі
LAN
MAN
WAN
Local Area Network -жергілікті желі
Metropolitan Area Network- Аймақтық желілер
Wide Area Network- Глобальді желілер
ЛВС
локальды желілер арасындағы виртуалды қорғалған канал
IT
Information technology - Ақпарат технологиясы
SLA
DES
Service Level Agreement - келісім жасасу нәтижесі
Data Encryption Standard- IBM жасаған және бекітілген симметриялық шифрлау алгоритмі
AES
Advanced Encryption Standard- криптографиялық деректерді өңдейді
МАЗМҰНЫ
КІРІСПЕ 6
1 VPN виртуалды қорғалған желілердің негізгі технологиялары 15
арқылы ақпаратты қорғау әдістемесінің теориялық негіздері
1.1 VPN виртуалды қорғалған желілердің негізгі ұғымдары және 20
анықтамалары
1.2 Виртуалды қорғалған каналдарды құру варианттары мен жабдықтары 25
1.3 VPN виртуалды қорғалған желілердің негізгі технологияларын
ақпаратты қорғауда қолданудың маңыздылығы 31
2 VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемелері 44
.1 VPN архитектурасының негізгі варианттары 51
.2 Информатика пәнінде виртуалды қорғалған желілерді оқыту әдістемесін пайдалану 57
.3 VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесін эксперименттік зерттеу нәтижелері 66
Қорытынды
Пайдаланылған әдебиеттер тізімі
Қосымша
КІРІСПЕ
Диссертациялық жұмыстың өзектілігі
Internet ауқымды желісінің жоғары деңгейде өсуі және ақпараттық технологиялардың дамуы адам қызметтерінің барлық сферасына әсерін тигізетін ақпараттық ортаның пайда болуына әкелді. Жаңа технологиялық мүмкіндіктер ақпараттың таралуын жеңілдетеді, өндірістік процесстердің эффективтілігін жоғарылатады, құжат қатынастарының кеңейтілуіне көмектеседі. Дегенмен компьютерлік құралдардың және ақпараттық технологиялардың интенсивті дамуы, жаңа заманғы ақпараттық жүйелер мен компьютерлік желілердің қорғалуы қиындық туғызып отыр. Сондықтан да ақпараттық қауіпсіздікті қамтамасыз ету проблемалары компьютерлік жүйелер мен желіліерді қолданушылардың, сонымен қатар көптеген компьютер қолданушыларының назарын аударып отыр[1].
Жаңа технологияларды, стандарттарды, протоколдарды және ақпаратты қорғау құралдарын білмей және қолданбай компьютерлік жүйелер мен желілердің ақпараттық қауіпсіздігінің қажет деңгейіне жету мүмкін емес.
Бүгінде Интернет - біздің өмірімізді: ғылыми-техникалық прогресс қарқынын, жұмыс қызметін, ақпарат алмасу әдістерінің қарқынын түбегейлі өзгертетін технология. Ақпараттық технологияларды эффективті қолдану мекеменің бәсекеге қабілеттілігінің өсуінің стратегиялық факторы болып табылады. Әлемде көптеген мекемелер Интернет және электронды бизнес мүмкіндіктерін пайдалана отырып, ақпаратты тасымалдауда - электрондық транзакциялау (Интернет арқылы немесе басқа да желілер арқылы) мүмкіндіктерін пайдаланады[2].
Көптеген компанияларда корпоративті ақпараттық жүйелер (КАЖ) бизнесті басқарудың, өндірістің негізгі құралы болып табылады. Мекеменің КАЖ-нің дамуына әсер ететін негізгі фактор - Интернет арқылы мекеменің барлық бөліктерін бір уақытта осы коммуникацияның қауіпсіздігін қамтамасыз ету арқылы байланыстыру. Сондықтан да Internet, Intranet, Extranet-тердің кеңінен таралуымен байланысты ақпараттық қауіпсіздік проблемаларының шешілуі ең актуальді мәселелердің бірі болып отыр.Қазіргі дамыған кезеңде ақпараттық технологиялардың дамуы, виртуалды жеке желілерді құру қажеттілігі артып отыр.
Бірақ виртуалды жеке желілерді ұйымдастырудың қажетті әрі пайдалы әдістерін айтпас бұрын негізгі ұғымдармен танысып алған жөн. Виртуалды жеке желі немесе жай VPN (Virtual Private Network) - бұл алыстатылған локальдық желімен виртуалды канал бойынша ақпарат алмасу процесі өтетін технология. Бұл нүкте-нүкте (точка-точка) жиі қосылу имитациясы арқылы жалпы қолданушылық желіде орындалады. Жалпы қолданушылық желі деп Интернетті, сонымен қатар басқа да интражелілерді айтуға болады.
Internet дамуымен ақпараттың таралуы сапалы бола түсті. Пайдаланушылар арзан және қол жеткілікті Internet каналдарын алды. Мекемелер критикалық коммерциялық және басқарушы ақпаратты беру үшін каналдарды пайдалануға ұмтылады.
Ұлттық ядролық орталығының ғылыми инфрақұрылымын дамыту және ғылыми зерттеулер жүргізу кезінде халықаралық кооперацияға кеңінен енгізу бүгінгі таңда деректер берудің бірлескен және әлемдік желілерінің күнделікті қолданылуынсыз мүмкін емес[3]. Дербес компьютердің желіден тыс жеке жұмыс істеуі іс жүзінде мүмкін емес деуге де болады, себебі компьютерді пайдаланушы адам бірлескен жобалар бойынша өз әріптестерімен араласу және тиімді еңбек ету мүмкіндігін жоғалтады. Ақпараттың маңызды көзі және байланыстың оңтайлы құралы болып табылатын Интернетті қолданбайтын ғалым қазіргі заманғы ғылыми үдерістен қалыс қалады десе де болады.
Зерттеу мақсаты -бизнесте желілік шабуылдарға нәтижелі қарсы әрекет ету үшін және белсенді әрі қауіпсіз қорғау мүмкіндіктерін қолдану үшін виртуалды жеке желілерді құру концепциясы - VPN (Virtual Private Network) әдістемесін қолдану арқылы ақпараттық қауіпсіздікті қамтамасыз ету.
VPN виртуалды қорғалған желі құру концепциясы негізінде жеткілікті қарапайым идея жатыр: егер ауқымды желіде ақпарат алмасатын екі торап болса, онда осы екі торап арасына ашық желі арқылы берілетін ақпараттың тұтастығын қамтамасыз ету үшін виртуальді туннель қүру керек. Бұл туннельге кіру мүмкіндігі белсенді және белсенді емес ішкі бақылаушыға да өте қиын болуы керек[4].
Виртуалды туннельдер құруда компанияның алатын артықшылықтары қаражаттың аз жұмсалуы болып табылады.
Виртуалды жеке желілерді құрудың негізгі ерекшелігі - бірыңғай мәліметтер тарату желісіне Тапсырушының кеңселері мен техникалық орталықтарын біріктіру үшін белгіленген арналарды пайдалану қажет емес. Осылайша Тапсырушы келесі ықпалдың арқасында өз қаражатын үнемдеуге мүмкіндік алады.
* Бөлінген арналарды ұйымдастыруға көп шығын кетпейді
* Трафик төлемінің икемді жүйесі
* Клиент трафигі толықтай рұқсатсыз кіруден сақталған
* Порттың өткізу мүмкіндіктерінің оперативті өсуі
SMARTNET клиенттің географиялық бөлініп орналасқан кеңселерін бірыңғай қорғалған логикалық желіге байланыстырып, IPMPLS технологиясын пайдалану арқылы виртуалды жеке желілерді (VPN) құру және қызмет көрсетуді іске асырады. Осылайша, клиент үшін оператордың мәліметтер тарату желісі нағыз мөлдір орта болып табылады.
Зерттеу нысаны - ақпарат алмасатын жергілікті желілердің және жеке компьютерлердің ашық ішкі орта арқылы бірігуі. VPN (Virtual Private Network) жалпыға қол жеткілікті желінің ашық байланыс каналдары базасында құралатын виртуалды қорғалған байланыс каналдарын құру арқылы жүзеге асырылады[5].
Зерттеудің ғылыми болжамы-VPN технологиясы арқылы пайдаланушының сенімі жоқ кез-келген басқа ашық желі ішінде қауіпсіз виртуалды жеке желіні құруды қамтамасыз ету тәсілдері мен құралдарын қалыптастыру болып табылады .Технология белгілі бір ашық ғаламдық желінің қолданыстағы инфрақұрылымы негізінде бір-бірінен қашықтағы Жергілікті желілерді немесе жеке компьютерлерді бірыңғай қорғалған корпоративті желіге біріктіруге арналған (қазіргі уақытта іс жүзінде Интернет ресурстары көп жағдайда қолданылады). Қарапайым сөзбен айтқанда, бір-бірінен географиялық тұрғыдан алыс орналасқан әртүрлі құрылымдық бөлімшелер, сондай-ақ Қоғамдық интернет арқылы компания қызметкерлері арасында тікелей қауіпсіз байланыс (кейде туннель деп аталады) ұйымдастырылады. Нәтижесінде компаниядағы Интернет желісінің кез келген пайдаланушысы ішкі корпоративтік ресурстарға қол жеткізе алады: бірыңғай виртуалды кеңсе құрылады. Зерттеу мақсаты ұсынылған болжамды жүзеге асыру үшін келесі негізгі міндеттерімен нақтыланады:
-деректерді беру: файлдар мен хабарламалармен алмасу, құжаттар мен мәліметтер базасымен бірлесіп жұмыс істеу, корпоративтік ақпараттық серверлерге қол жеткізу;
- VPN архитектурасының негізгі варианттарын қарастыру;
- VPN желісінде ақпараттың қорғалуын қамтамасыз ету әдістемесін ұсыну
Зерттеу көздері. ашық білім беру ресурстары, информатика курстары, білім беру саласындағы ІТ құрылғыларды пайдалану, Интернет сайттар, отандық, шетел және ТМД елдері ғалымдарының зерттеу жұмыстары, еңбектері, оқулықтары, оқу құралдары және т.б. құжаттары.
Зерттеу әдістері ретінде информатика, талдау, алгоритмдерге, бағдарламаларға талдау жасау.
Зерттеу жұмысының ғылыми жаңалығы:
- VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесінің теориялық негіздерін зерттеу;
- VPN виртуалды қорғалған желілердің негізгі технологияларын ақпаратты қорғауда қолданудың маңыздылығын зерттеу;
- VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесін эксперименттік зерттеу нәтижесі ретінде бағдарламаны қолдану.
Зерттеу нәтижелерін сынақтан өткізу. Зерттеу жұмысының негізгі қағидалары мен нәтижелері Қорқыт Ата атындағы мемлекеттік университетінің Информатика кафедрасының ғылыми семинарларында және түрлі конференцияларда баяндалды.
Қорғауға ұсынылатын негізгі қағидалары:
- VPN виртуалды қорғалған желілердің негізгі технологияларын ақпаратты қорғауда қолданудың маңыздылығын зерттеу;
-бағдарламалық қамтамасыз етуі.
Диссертацияның құрылымдық мазмұны. Диссертация кіріспеден, екі тараудан, қорытындыдан, пайдаланылған әдебиеттер тізімінен, суреттерден, кестелерден, қосымшалардан тұрады.
Диссертацияны орындау барысында 3 мақала жарық көрді.
I VPN виртуалды қорғалған желілердің негізгі технологиялары арқылы ақпаратты қорғау әдістемесінің теориялық негіздері
3.1 VPN виртуалды қорғалған желілердің негізгі ұғымдары және анықтамалары
Бүгінгі таңда Виртуалды жеке желілерді құру технологиясы (VPN-Virtual Private Network) телекоммуникация технологиясының ең белсенді дамып келе жатқан және нарықта сұранысқа ие технологияларының бірі болып табылады.
Қазіргі уақытта көптеген кәсіпорындар мен ұйымдардың алдында қызметкерлердің орналасқан жеріне қарамастан толыққанды өзара іс-қимылын қамтамасыз ететін бірыңғай қорғалған ақпараттық кеңістікті қалыптастыру міндеті тұр. Сонымен қатар бір-бірінен географиялық жағынан алыс орналасқан көптеген филиалдары, құрылымдық бөлімшелері және жұмыс орындары бар, ірі корпорациялар қорғалған ақпараттық кеңістікті қалыптастыруды қажет етеді.
Құжат айналымын жеделдету, еңбек өнімділігін және басқару қызметінің тиімділігін арттыру мақсатында ақпаратты уақтылы алмасу, корпоративішілік ресурстарға, дерекқорларға, папкаларға, файлдарға және т.б. қолжетімділікті ұйымдастыру қажеттілігі туындайды.
VPN технологиясы арқылы пайдаланушының сенімі жоқ кез-келген басқа ашық желі ішінде қауіпсіз виртуалды жеке желіні құруға болады. Технология белгілі бір ашық ғаламдық желінің қолданыстағы инфрақұрылымы негізінде бір-бірінен қашықтағы Жергілікті желілерді немесе жеке компьютерлерді бірыңғай қорғалған корпоративті желіге біріктіруге арналған (қазіргі уақытта іс жүзінде Интернет ресурстары көп жағдайда қолданылады). Қарапайым сөзбен айтқанда, бір-бірінен географиялық тұрғыдан алыс орналасқан әртүрлі құрылымдық бөлімшелер, сондай-ақ Қоғамдық интернет арқылы компания қызметкерлері арасында тікелей қауіпсіз байланыс (кейде туннель деп аталады) ұйымдастырылады. Нәтижесінде компаниядағы Интернет желісінің кез келген пайдаланушысы ішкі корпоративтік ресурстарға қол жеткізе алады: бірыңғай виртуалды кеңсе құрылады. Бұл жағдайда трафиктің үш түрін беруді ұйымдастыруға болады:
-деректерді беру: файлдар мен хабарламалармен алмасу, құжаттар мен мәліметтер базасымен бірлесіп жұмыс істеу, корпоративтік ақпараттық серверлерге қол жеткізу;
- дауыстық ақпаратты беру: ішкі корпоративтік телефон байланысы;
- бейнеақпаратты беру: бейнеконференц-байланыс, телемедицина.
Әлеуетті пайдаланушының Интернет желісі негізінде немесе жеке желі негізінде VPN желісін ұйымдастыру нұсқасын таңдауы ең маңызды шешімдердің бірі болып табылады. Бірінші нұсқа қосылысты ұйымдастырудың тиімділігі мен қол жетімділігін қамтамасыз етеді, ал екіншісі-оның сапасын бақылау мен басқарудың жоғарылау мүмкіндігі. Екі жағдайда да ақпаратты қорғаудың сенімділігі бірдей және жоғары деңгейге ие.
Қашықтағы Жергілікті желілерді немесе жеке пайдаланушыларды бірыңғай қорғалған ақпараттық кеңістікке біріктіру мәселелерін шешу үшін VPN желісін құру әрқашан орынды ма? Бұл шешім жалғыз және әмбебап па? Әрине, жоқ: бәрі нақты жағдайға байланысты.
Мысалы, егер компанияның барлық бөлімшелері бір-біріне жақын жерде, бір ауданда немесе қаланың аумағында болса, ең оңай шешім қашықтағы кеңселер немесе жергілікті желілер арасында бөлінген желіні ұйымдастыру болар еді. Сондай-ақ, байланыс операторынан қолданыстағы арнаны жалға алу нұсқасын қарастыруға болады: егер компанияның барлық бөлімшелері бір елді мекенде болса және, әрине, қолайлы байланыс арнасы болса, бұл өте қолайлы болады. Алайда, мұндай шешімдер кеңселері бір-бірінен едәуір қашықтықта орналасқан корпорациялар үшін іс жүзінде мүмкін емес: әртүрлі қалаларда немесе тіпті елдерде. Сонымен қатар, бұл опциялар құпия ақпаратты сенімді қорғау қажеттіліктеріне толық жауап бермейді (біріктірілген желіге рұқсатсыз қосылу және ақпараттың ағып кету мүмкіндігі бар).
Сонымен, корпоративті клиент үшін қандай жағдайларда виртуалды жеке желіні (VPN) құру оңтайлы шешім болаиындығын қарастырамыз.
Экономиканың жаһандануы, қалааралық және халықаралық байланыстардың дамуы жағдайында көптеген кәсіпорындар мен ұйымдар кеңейіп, өз қызмет аясын кеңейтіп, жаңа нарықтар іздейді. Нәтижесінде бір қалада бас кеңсесі және басқа қалаларда немесе елдерде бірқатар филиалдары, құрылымдық бөлімшелері бар корпоративтік құрылым құрылады. Мұндай Ұйымдық құрылым көбінесе ірі банктерге және басқа қаржы ұйымдарына, сақтандыру компанияларына, өнеркәсіптік кәсіпорындарға, отын-энергетикалық кешен кәсіпорындарына, сауда желілеріне, мемлекеттік құрылымдарға және т.б. тән. Қашықтағы құрылымдық бөлімшелер, жергілікті желілер, қызметкерлер арасында қорғалған тікелей байланысты ұйымдастыру виртуалды жеке желіні құру арқылы қамтамасыз етілуі мүмкін.
Басқа жағдайды қарастырайық: компанияда аумақтық бөлінген филиалдар желісі болмауы мүмкін (ол тіпті үлкен болуы мүмкін емес), бірақ оның қызметінің ерекшелігі қызметкерлердің үнемі сапарларында, іссапарларында болатындығында. Бұл ретте қызметкер мен корпоративтік кеңсе арасында тұрақты ақпарат алмасу қажеттілігі бар делік (корпоративтік деректер базасына, есептілікке және т.б. қол жеткізу). Бұл жағдайда деректерді жергілікті корпоративті желіге беру үшін қашықтан кіру нүктесін ұйымдастыруға болады: қызметкер модем арқылы осы мақсаттар үшін арнайы бөлінген нөмірге желіге қосылады және ақпаратты жібереді немесе алады.
Айта кету керек, бұл процесс ұзақ, берілетін деректердің көлеміне байланысты бірнеше сағатты алуы мүмкін, қалааралық және халықаралық байланыс қызметтеріне айтарлықтай шығындар қажет.
Мұндай жағдайда VPN технологиясы пайдаланушыға келесі балама ұсынады. Компания қызметкерінің дербес компьютерінде жергілікті оператор арқылы Интернет желісіне қол жеткізуді жүзеге асырғаннан кейін жергілікті корпоративтік желінің VPN-шлюзімен қосылуға және талап етілетін ақпаратты уақытша алыс орналасқан жерінен беруге мүмкіндік беретін арнайы бағдарламалық қамтамасыз ету орнатылады (бұл қонақ үй нөмірі, автомобиль және т.б. болуы мүмкін).
Бір ғимарат шеңберінде мекеменің компьютерлік желілерін құру мәселесі қиын шешілмейді. Дегенмен қазіргі заманғы корпорациялардың инфрақұрылымы корпорацияның өзінің географиялық бөліктерінен, серіктестіктерінен, клиенттерден және жеткізушілерден тұрады. Сондықтан корпроративті желі құру мәселесі қиынырақ болып табылады.
Internet дамуымен және ұжымдық түрде енуімен ақпараттың таралуы сапалы бола түсті. Пайдаланушылар арзан және қол жеткілікті Интернет каналдарын алды. Мекемелер критикалық коммерциялық және басқарушы ақпаратты беру үшін каналдарды пайдалануға ұмтылады. Бизнесте желілік шабуылдарға нәтижелі қарсы әрекет ету үшін және белсенді әрі қауіпсіз қорғау мүмкіндіктерін қолдану үшін 1990 жылдың басынан бастап виртуалды жеке желілерді құру концепциясы - VPN (Virtual Private Network) жетілдірілді
VPN виртуалды қорғалған желі құру концепциясы негізінде жеткілікті қарапайым идея жатыр: егер ауқымды желіде ақпарат алмасатын екі торап болса, онда осы екі торап арасына ашық желі арқылы берілетін ақпараттың тұтастығын қамтамасыз ету үшін виртуалды туннель құру керек. Бұл туннелге кіру мүмкіндігі белсенді және белсенді емес ішкі бақылаушыға өте қиын болуы керек.
Виртуалды туннельдер құруда компанияның алатын артықшылықтары қаражаттың аз жұмсалуы болып табылады.
VPN виртуалды жеке желілер ұйымдастыру (IP Virtual Private Network) IPVPN немесе L2VPN көмегімен іске асырылады және клиенттің кеңселері мен нүктелерін рұқсатсыз кірістерден қорғалған желіге біріктіруді ұйымдастыруға мүмкіндік береді. Көптеген жергілікті желілерді мөлдір байланыстыру (LAN), клиенттің жергілікті желілерін, қала ауқымын 1Гбитс дейінгі жылдамдықта құру.
VPN шешімі төмендегілер үшін өте тиімді:
* корпорациялар
* өндірістік және коммерциялық компаниялар
* мемлекеттік ұйымдар
* сақтандыру компаниялары
* банктер және қаржы ұйымдары
* тауарлар мен қызметтер дистрибуция желілері
IP VPN желісі жоғары жылдамдықтағы SMARTNET талшықты-оптикалық желісіне негізделіп, қосылу Ethernet технологиясы бойынша 100 Мбсекундқа дейінгі жылдамдықта іске асады. Әртүрлі қосымшалардағы трафикті тарату үшін SMARTNET мәліметтер трафигіне қызмет көрсетудің (CoS) үш тобын ұсынады:
Best Effort -- мәліметтер тарату, файлдар мен хабарламалармен алмасу, құжаттармен бірлесіп жұмыс істеу, мәліметтердің корпоративті базасына кіру, электрондық пошта үшін арналған.
Business Critical -- мәліметтерді тарату кезінде ерекше сенімділікті талап ететін және өткізу жолағы, пакеттердің жоғалуын қаламайтын корпоративті жүйелердің трафигі үшін арналған.
Real Time -- корпоративті телефония мен видеоконференция ұйымдастыру үшін, сонымен бірге пакеттерді бірқалыпты және аз кідіріспен таратуға кепілдік береді.
Сервистердің әртүрлі деңгейлерін қамтамасыз ету (Қызмет көрсету тобы) жергілікті желілер мәліметтерімен дауыс трафигін таратуды интегралдауды, видео ақпаратты сапалы таратуды қамтамасыз етеді.
Ақпарат таратудағы нақты параметрлерге қатысты (бөгеліс, пакеттердің жоғалуы және тағы басқалары) клиентке кепілдіктер ұсынылады[6].
Виртуалды жеке желілерді құрудың негізгі ерекшелігі - бірыңғай мәліметтер тарату желісіне Тапсырушының кеңселері мен техникалық орталықтарын біріктіру үшін белгіленген арналарды пайдалану қажет емес. Осылайша Тапсырушы келесі ықпалдың арқасында өз қаражатын үнемдеуге мүмкіндік алады.
* Бөлінген арналарды ұйымдастыруға көп шығын кетпейді
* Трафик төлемінің икемді жүйесі
* Клиент трафигі толықтай рұқсатсыз кіруден сақталған
* Порттың өткізу мүмкіндіктерінің оперативті өсуі
VPN-де қосылу нүктелерінің санында шек жоқ. Қажет кезде VPN-ге кіретін әрбір нүкте байланыстың физикалық арнасы арқылы Интернетке кірісті қамтамасыз етеді.
SMARTNET клиенттің географиялық бөлініп орналасқан кеңселерін бірыңғай қорғалған логикалық желіге байланыстырып, IPMPLS технологиясын пайдалану арқылы виртуалды жеке желілерді (VPN) құру және қызмет көрсетуді іске асырады. Осылайша, клиент үшін оператордың мәліметтер тарату желісі нағыз мөлдір орта болып табылады[7].
Үш деңгейдегі VPN (VPNL3) жүзеге асыруда оңай және IP-желілері деңгейінде өзара әрекетте іске асырылады, алайда кеңсенің басқа кеңсеге көшуі кезінде жаңа желі ұйымдастыруды талап етеді. Бас кеңсені бөлімшелермен байланыстырудан басқа, мысалы POS-терминалдар немесе банкоматтардың бас компьютермен байланысын ұйымдастыру да мүмкін.
Екінші деңгейдегі виртуалды жеке желі L2 VPN (VPLS Virtual Private LAN Service) -- қала көлемінде бірнеше географиялық алыста орналасқан кеңселерді бірыңғай жоғарғы жылдамдықтағы көппротоколды қауіпсіз желіге біріктіру тәсілі.
Екінші деңгейдегі виртуалды жеке желілерді құрудағы шешімдердің бірыңғайлығы L2 VPN (Layer 2 Virtual Private Network, MPLS VPLS VPN, Ethernet VPN) жеке қауіпсіздік пен өнімділікке жоғарғы талаптар қойылатын, корпоративті желілерде әртүрлі желілік протоколдар пайдалану мүмкіндігінде жатыр. L2 VPN арнайы IP-желілерге байланбаған және Ethernet деңгейінде жұмыс істейді. Мысалы, кеңседен тыс жүріп, ноутбук көмегімен компанияның корпоративті желісіне еркін қосылу мүмкіндігі.
VPLS технологиясын пайдаланудың артықшылықтары:
* мәліметтер тарату протоколдарының барлық түрін пайдалану мүмкіндігі;
* клиент желісінің ішкі құрылымына (IP-желілердің деңгейлерде де) кіріс және тек тапсырушымен басқарылудың арқасында қауіпсіздік деңгейі жоғары;
* желі арқылы мәліметтердің қандай болмасын типін өткізу мүмкіндігі, соның ішінде арна деңгейінде шифрланғандарды да өткізуі[8].
Осылайша, L2 VPN қолдану желілік инфрақұрылым мен қосымшаларды толығымен пайдалану мүмкіндігі, сондай-ақ виртуалды жеке желілердің SMARTNET-тің басқа қызметтерімен интеграциясы: 100 Мбитс дейінгі жылдамдықта жоғарғы жылдамдықтағы интернетке кіру, жаңа ұрпақтың жоғарғы пакеттік телефониясы (Voice-Over-IP) және т.б. Бұл шешім қызметкерлерінің жұмысы іс-сапарлармен байланысты және оларға компанияның жергілікті желісіне қолжетімділік қажет компаниялар үшін өзекті.
Корпоративті локальдық желілерді ашық желіге қосуда мына екі типті қауіп туындайды:
* Корпоративті локальды желілерге рұқсатсыз кіру барысында пайдаланушының санкцияланбаған қол жеткізулері;
* Ашық желіде берілу барысында корпоративті мәліметтерге келетін санкцияланбаған қол жеткізулер.
Локальды желілердің және жеке компьютерлердің ашық желіде, негізінен Интернет желісінде ақпарат алмасуда қауіпсіздікпен қамтамасыз ету үшін келесі мәселелер шешілуі тиіс:
* Локальды желілердің ашық байланыс каналдарына және жеке компьютерлерге ішкі ортадан рұқсатсыз әрекет етуден қорғау;
* Ашық байланыс каналдары бойынша ақпарат беру процесінде қорғау.
Жоғарыда аталғандай, локальды желілерді және жеке компьютерлерді ішкі ортадан рұқсатсыз әрекет етуден қорғау үшін әдетте экран аралық желілер қолданылады. Ол ақпараты алмасудың қауіпсіздігін екі жақты хабарлама ағынын сүзгілеу, сонымен қатар ақпарат алмасуда аралық функциясын орындау арқылы қамтамасыз етеді.
Экран аралық локальды және глобальды желі ортасында орналасады. Жеке алыстатылған компьютерлерді қорғау үшін осы компьютерде желілік экранның программалық қамсыздандырылуын орнатады және бұл желілік экран персональды деп аталады[9].
Ашық каналдар бойынша ақпараттың берілуі барысында ақпаратты қорғау VPN виртуалды қорғалған желілерді қолдануға негізделген.
VPN (Virtual Private Network) виртуалды қорғалған желі деп ақпарат алмасатын локальды желілердің және жеке компьютерлердің ашық ішкі орта арқылы бірігуі. VPN (Virtual Private Network) жалпыға қол жеткілікті желінің ашық байланыс каналдары базасында құралатын виртуалды қорғалған байланыс каналдарын құру арқылы жүзеге асырылады.
Бұл виртуалды қорғалған байланыс каналдарын VPN (Virtual Private Network) туннельдері деп атайды. VPN желісі М туннелі арқылы орталық офис пен филиалдар офисін, бизнес-партнерлар және алыстатылған пайдаланушыларды байланыстырып, интернет арқылы ақпарат береді.
Филиал офисі
Internet
бизнес-серіктес
Алыстатылған қолданушы.
Сурет 1.1 VPN виртуалды қорғалған желі.
VPN туннелі ашық желі арқылы өтетін криптографиялық қорғалған виртуалды желі хабарламаларының пакеттерін байланыстырады. VPN туннельдері бойынша ақпаратты беру процесінде қорғау мыналарға негізделген:
* өзара әсерлесуші жақтардың аутентификациясына;
* берілетін мәліметтердің криптографиялық жабылуына (шифрлауға) ;
* жеткізілетін ақпараттың тұтастығын тексеруге.
Бұл функциялар бір-бірімен өзара байланысқан. Олардың жүзеге асырылуы үшін ақпаратты криптографиялық қорғау әдістері қолданылады. Бұндай қорғаудың нәтижелілігі симметриялық және ассиметриялық криптографиялық жүйенің бірігіп қолдану есебінен қамтамасыз етіледі. VPN құрылғысымен жасалатын VPN туннелі жалпыға ортақ желі шеңберінде ерекшеленген қорғалған сызық қасиеттеріне ие. VPN құрылғылары виртуалды жеке желілерде VPN-клиент, VPN-сервер және VPN қауіпсіздік шлюзі ретінде бола алады[10].
VPN-клиент әдетте дербес компьютер базасында орындалатын программалық-ақпараттық және программалық кешен. Оның желілік программалық қамсыздандырылуын шифрлау және трафикті аутентификациялау үшін жасалады. Әдетте VPN-клиенттің стандартты операциялық жүйесі - Windows NT2000XP және UNIX-ті толықтыратын программалық шешім арқылы жүзеге асырылады.
VPN-сервер компьютерде орнатылатын сервер функциясын орындайтын программалық және программалық-аппараттық кешен болып табылады. VPN-сервер серверді ішкі желілердегі санкцияланбаған қол жеткізулерден қорғайды. VPN-сервер серверлік платформаларға арналған VPN-клиентке ұқсас функционалды өнім болып табылады.
VPN қауіпсіздік шлюзі (security gateway) - бұл екі желіге қосылатын және шифрлау, аутентификация функцияларын орындайтын желілік құрылғы. Ішкі корпоративті желіге арналған барлық трафик осы VPN қауіпсіздік шлюзі арқылы өтетіндей болып орналасқан.
Ақпаратты берудің ашық ішкі ортасы Интернет желісін қолданатын жылдам мәлімет беру каналдары, сонымен қатар әдетте телефон желісі каналдары болатын жай байланыс каналдары болып табылады.
Ақпараттың қауіпсіздігін асқтау үшін инкапсуляция немесе туннельдеу қолданылады. Туннельдеу әдісі арқылы берілгендер пакеті жалпы желі арқылы беріледі. Әрбір жіберуші-ақпаратты қабылдаушы жұптарының арасында логикалық байланыс - өзіндік туннель орнайды. Ол бір протокол мәліметтерін басқалардың пакетіне инкапсуляциялау үшін қажет[11].
Туннельдеу ұғымы инкапсуляциялау, яғни ақпаратты жаңа канвертте орау дегенді білдіреді. Мұнда протокол пакеті өте аз деңгейде болса да, өте жоғары немесе өзінікіндей деңгейдегі мәліметтер өрісіне орналасады.
Туннельдеу ақпаратты санкцияланбаған қол жеткізуден қорғамайды, бірақ ол арқылы ақпаратты толық криптографиялық қорғау мүмкіндігі туады. Ақпаратты беруші берілетін ақпаратты қорғау үшін шығыс пакеттерін шифрлайды, оны ішкі пакетке жаңа IP-тақырыппен жазып қояды және транзиттік желі бойынша жібереді.
Қорғалған каналдың соңғы нүктесіне келгенде ішкі пакеттен бастапқы пакетті шығарады, шифрын ашады және әрі қарай қолдана береді.Туннельдеу пакет мазмұнының тұтастығын сақтау үшін ғана емес, сонымен қатар аутенттілігін сақтау үшін қолданылады. Мұнда электронды цифрлы жазбаны пакеттің барлық өрістеріне орналастыруға болады[12].
Туннельдеу механизмі қорғалған каналдар жасаудың әртүрлі протоклдарында кеңінен қолданылады. Әдетте туннель ақпараттың тұтастығы мен мазмұндылығы бұзылуға қауіп бар жерде, ашық желі бөліктерінде құрылады. Мұнда ішкі пакеттер үшін шекаралық маршрутизаторлар адресі қолданылады.
Туннельдеу логикалық ортада басқа протокол қолданатын бір протокол пакеттерін беруді ұйымдастырады. Нәтижесінде бірнеше әр түрлі желілердің өзара әсерінің проблемалары шешіледі. Жаңа пакет
Жаңа IP тақырып
Жаңа IP тақырып
Мәліметтер
Мәліметтер
Бастапқы IP тақырып
Бастапқы IP тақырып
ESP-тақырып
ESP-тақырып
AH-тақырып
AH-тақырып
Бастапқы пакет
Сурет 1.2 Туннельдеу үшін дайындалған пакет мысалы.
Негізінен, бастапқы пакет тақырыбынан желінің ішкі құрылым туралы мәлімет алуға болады - ішкі желілердің саны туралы мәліметтер және тораптар және олардың IP тақырып тақырыптары. Бұзушы мұндай мәліметтерді корпоративті желіге шабуыл кезінде қолдануы мүмкін. Шифрленген тақырыппен жазылған бастапқы пакет желі бойынша тасымалдау мекемелері үшін қолданылмайды.
Сонлықтан да бастапқы пакетті қорғау үшін инкапсуляция немесе туннельдеу қолданылады. Бастапқы пакетті тақырыбымен қоса толығымен шифрлайды, содан соң оны басқа ішкі пакетке орналастырып қояды. Мәліметтерді ашық желіде тасымалдау үшін ішкі пакет тақырыбының ашық өрістері қолданылады.
Қорғалған каналдың соңғы нүктесіне келгенде ішкі пакеттен ішкі бастапқы пакетті шығарады, шифрын ашады және алдағы уақытта ішкі желіде ақпарат беру үшін қолданады.
Туннельдеу ақпараттың құпиялығын сақтау үшін ғана емес, сонымен қатар оның тұтастығын және аутенттілігін сақтау үшін қолданылады.
Екі нүкте арасындағы желілік құрылымды толықтыруда туннельдеу екі локальды желі арасындағы адрестер конфликтін алдын алуға мүмкіндік туғызады[13].
Туннельдеу механизмі қорғалған каналдар жасаудың әр түрлі протоколдарында кеңінен қолданылады. Әдетте туннель ақпараттың құпиялығы мен тұтастығының бұзылу қаупі бар ашық желі аймағында құрылады. Оған қоса ішкі пакеттер үшін осы екі нүктеде құрылған шекаралық маршрутизаторлар адрестері қолданылады.
Туннельдеу бір протокол қолданатын логикалық ортада басқа протокол пакеттерін беруді ұйымдастырады. Нәтижесінде бірнеше әр типті желілердің өзара әсерлесу мәселелерін шешуге мүмкіндік туады.
Туннельдеу механизмін жүзеге асыруды 3 типті протоколдармен жұмыс нәтижесі ретінде түсінуге болады. Бұл 3 типті протоколдарға мыналар жатады: пассажир протоколы, жеткізуші протоколы және туннельдеу протоколы. Мысалы, пассажир протоколы ретінде IPX протоколы қолданылады, ол бір мекеме филиалдарының локальды желілерінде мәліметтерді жеткізеді. Жеткізуші протоколдың кең таралған нұсқасына
Интернет желісінің IP протоколы жатады. Туннельдеу протоколы ретінде каналдық деңгейдегі PPTP және L2TP, сонымен қатар желілік деңгейдегі IPSec қосымшаларынан Интернет инфрақұрылымдарын ашу мүмкіндігі туады.
VPN туннельдері соңғы қолданушылардың әр түрлі типтері үшін құрыла алады. Ол не LAN (Local Area Network) локальды желісі, не алыстатылған немесе мобильді қолданушылардың жеке компьютерлері болуы мүмкін. Ауқымды мекеменің виртуалды жеке желілерін құру үшін VPN-клиент, VPN-сервер және VPN қауіпсіздік шлюзі керек.
VPN қауіпсіздік шлюзі мекеменің локальды желілерін қорғау үшін, VPN-сервер және VPN-клиент Интернет арқылы корпоративті желіде алыстатылған және мобильді қолданушылардың қорғалған байланыстарын ұйымдастыру үшін пайдаланылады.
1.2 Виртуалды қорғалған каналдарды құру варианттары мен жабдықтары
VPN желісін жобалаудың негізгі екі сызбасы бар:
1. локальды желілер арасындағы виртуалды қорғалған канал (ЛВС-ЛВС);
2. торап пен локальды желі арасындағы виртуалды қорғалған канал (канал клиент-ЛВС).
1-сызба. Бұл байланыс жекелеген офистар арасындағы қымбатқа түсетін ерекшеленген сызықтарды алмастыруға мүмкіндік береді және олардың арасындағы әрқашан қол жеткілікті қорғалған каналдар құруға мүмкіндік береді. Бұл жағдайда қауіпсіздік шлюзі туннель мен локальды желі арасында интерфейс болып табылады.
2-сызба. VPN қорғалған каналының сызбасы алыстатылған немесе мобильді қолданушылармен байланыс орнату үшін арналған. Туннель құруды клиент қарастырады. Шлюзбен байланыстыру үшін ол өзінің компьютерінде арнайы клиенттік программалық қамсыздандыруды жүктемелейді.
VPN-ның бұл түрі коммутацияланатын байланыстарды ауыстыра алады және алыстатылған қол жеткізулердің дәстүрлі әдістерімен бірге қолданылады.
Сурет 1.2 VPN жіктелуі
Виртуалды қорғалған каналдардың сызбаларының бірнеше варианттары бар. Виртуалды қорғалған канал орнатылатын екі тораптың кез келгені қорғалатын хабарлама ағынының соңғы немесе аралық нүктесіне тиісті болады.
Ақпараттың қауіпсіздігін қамтамасыз ету мақсатында ең тиімді нұсқа мынадай: қорғалған туннельдің соңғы нүктелері қорғалатын хабарлама ағынының соңғы нүктелеріне сәйкес келуі керек.
Дегенмен бұл нұсқа басқару децентрализациясына және ресурстық шығындардың көбеюіне әкеледі. Бұл жағдайда VPN құрудың түрлері әрбір клиенттің компьютерлерінде орнатылуы тиіс.
Егер де виртуалды желіге кіретін локальды желі ішінде трафик қауіпсіздігі қажет болмаса, онда қорғалған туннельдің соңғы нүктесі ретінде экранаралық желілерді немесе шекаралық маршрутизаторды қолдануға болады.
Егер де локальды желі ішінде хабарламалар ағыны қорғалған болу керек болса, онда туннельдің соңғы нүктесі ретінде компьютер қолданылу керек. Алыстатылған қолданушының локальды желісіне қол жеткізуде осы қолданушының компьютері виртуалды қорғалған каналдың соңғы нүктесі болуы керек.
Сонымен қатар кең тараған нұсқа - қорғалған туннель пакеттер коммутациясымен ашық желі ішінде, мысалы Интернетте қойылады. Бұл нұсқа қолдану ыңғайлылығымен ерекшеленеді, бірақ қауіпсіздік деңгейі салыстырмалы түрде төмен. Мұндай туннельдің соңғы нүктесі ретінде әдетте Интернет провайдерлері немесе локальды желінің шекаралық маршрутизаторлары қолданылады.
Туннель локальды желілерді біріктіруде тек Интернет шекаралық провайдерлері арасында немесе локальды желі маршрутизаторлары арасында жасалады. Осы нұсқа бойынша құрылған виртуалды жеке желілер масштабталуы мен басқару мүмкіндігінің жоғарылығымен ерекшеленеді. Құрылған қорғалған туннельдер локальды желілердің клиенттер компьютерлері мен серверлері үшін мөлдір болып табылады.Мұндай тораптардың программалық қамсыздандырылуы өзгеріссіз қалады.
Дегенмен бұл нұсқа да ақпараттық өзара әсерлесу барысында салыстырмалы түрде қауіпсіздіктің төмендігімен сипатталады, өйткені жеке трафик байланыстың ашық каналдары бойынша қорғалмаған күйде өтеді. Егер де мұндай желіні құру немесе пайдалану мүмкіндіктерін ISP провайдерлері қолға алса, онда барлық виртуалды жеке желі оның шлюзінде құрыла алады. Бірақ бұл жағдайда провайдерлерге сену проблемалары мен оған қызмет көрсеткені үшін ақы төлеу мәселелері пайда болады.
Қорғалған туннель араларында туннель құрылатын тораптардың виртуалды желі компоненттерімен құрылады. Бұл компоненттерді туннель инициаторы немесе туннель терминаторы деп атауға болады.
Туннель имитаторы бастапқы пакетті жаңа пакетке инкапсуляциялайды. Инкапсуляцияланатын пакеттер кез келген тип протоколдарына тәуелді бола алады. Туннель бойынша берілетін барлық пакеттер IP пакеттері болып табылады. Инициатор мен терминатор арасындағы маршрутты әдеттегі маршрутизацияланатын IP желісі анықтайды.
Туннельді инициалдау немесе бөлуді әр түрлі желілік құрылғылар және программалық қамсыздандырулар жасай алады. Мысалы, туннель мобильді қолданушының ноутбугымен инициалданады.
Инициатор ретінде сәйкесінше функционалды мүмкіндіктерімен бөлінген локальды желі маршрутизаторы шыға алады. Туннель әдетте желі коммутаторымен және қызмет көрсетуші провайдер шлюзімен аяқталады.
Туннель терминаторы инкапсуляцияға қарама-қарсы процесс. Терминатор жаңа тақырыптарды өшіреді және әрбір бастапқы пакетті локальды желі адресатына бағыттайды[14].
Инкапсуляцияланатын пакеттердің құпиялығы шифрлау жолымен қамсыздандырылады, ал тұтастығы - электронды-цифрлық жазба жасау әдісімен қамсыздандырылады. Мәліметтерді криптографиялық қорғаудың бірнеше әдістері мен алгоритмдері бар, сондықтан да инициатор және терминатор уақытында бір-бірімен байланысып, қауіпсіздіктің бірдей тәсілі мен алгоритмдерін қолдануы керек.
Мәліметтерді дешифрлау мүмкіндіктерін қамтамасыз ету үшін және қабылдау кезінде цифрлық жазбаны тексеру үшін туннель инициаторы мен терминаторы кілттермен алмасуды қауіпсіз ету функцияларын қолдау керек. Сонымен қатар, ақпараттық әсерлесудің соңғы нүктелері VPN туненелін құруға кепіл болу үшін аутентификациядан өтуі керек.
Корпорацияның желілік инфрақұрылымы VPN қолдану үшін программалық, сонымен қатар аппараттық қамсыздандыруға дайын болуы керек.
VPN виртуалды қорғалған желі құру барысында ақпараттың қауіпсіздігін сақтау бірінші деңгейдегі мәселе болып табылады. Жалпыға ортақ анықтама бойынша, мәліметтердің қауіпсіздігі деп оның құпиялығын, тұтастығын және қол жетімділігін айтады.
Құпиялық - VPN қорғалған каналдары бойынша мәліметтерді беру процесінде осы мәліметтер тек қана легальды жіберуші мен алушыға мәлім болу кепілдігі.
Тұтастық - VPN қорғалған каналдары бойынша мәліметтерді беру процесінде жіберілетін мәліметтердің сақталу кепілі. Кез келген өзгерту лер, жаңартулар, бұзу немесе жаңа мәлімет құру жағдайлары көрініп қалады және легальды қолданушыға мәлім болады.
Қол жетімділік - VPN функциясын орындайтын, легальды қолданушыларға әр уақытта қол жетімді болып тұру мүмкіндігінің кепілі. VPN мүмкіндіктерінің қол жетімділігі кешенді көрсеткіш болып табылады.
Аутентификация бірқолданушылық немесе көпқолданушылық парольдер, цифрлық сертификаттар, смарт-карталар, қатаң аутентификация протоколдары негізінде құрылады және VPN-байланысын тек легальды қолданушылар арасында ғана құруды қамсыздандырады және VPN мүмкіндіктеріне қажетсіз адамдардың қол жеткізулерін болдырмайды.
Авторизация өзінің аутенттілігін (легальдығын) дәлелдеген барлық абоненттерге әр түрлі қызмет түрлерін көрсетеді. Авторизация және қол жеткізуді басқару бірдеу әдістермен іске асырылады.
Виртуалды қорғалған желілерде берілетін мәліметтердің қауіпсіздігін қамтамасыз ету үшін мына мәселелер шешілуі тиіс:
* Байланыс орнату барысында абоненттердің өзара аутентификациясы;
* Берілетін мәліметтің құпиялығын, тұтастығын және аутенттілігін қамтамасыз ету;
* Авторизация және қол жеткізуді басқару;
* Желі периметрінің қауіпсізідігі және бұзып кіру табу;
* Желі қауіпсіздігін басқару.
Абоненттердің аутентификациясы. Аутентификация процедурасы легальды қолданушылар үшін кіруге рұқсат береді және қажетсіз адамдардың желіге кіруінің алдын алады.
Ақпараттың құпиялығын, тұтастығын және аутенттілігін қамтамасыз ету. Ақпараттың құпиялығын сақтау мәселесі берілетін ақпараттың санкцияланбаған оқылуы мен көшірмелеуінен қорғау дегенді білдіреді. Ақпараттың құпиялығын сақтау үшін шифрлеу әдісі қолданылады.
Авторизация және қол жеткізуді басқару. VPN желісінің кілттік қауіпсіздік компоненті компьютерлік ресурстарға қол жеткізуді тек авторизациядан өткен қолданушылар ғана ала алады дегенді білдіреді. Ал авторизациядан өтпеген қолданушыларға бұл ресурстар қол жеткіліксіз болып табылады.
Авторизацияның программалық құралдарын құру кезінде мыналар қолданылады:
* Авторизацияның орталықтандырылған сызбасы;
* Авторизацияның деорталықтандырылған сызбасы.
Авторизацияның орталықтандырылған жүйесінің негізгі мәселесі - бірлік кіріс принципін іске асыру. Қолданушыға ресурстарды беру процесін басқару сервер арқылы жүзеге асырылады. Ол мына жүйелерде орындалады: Kerberos, RADIUS, TACACS.
Соңғы уақыттарда белсенді түрде қол жеткізуді рольдік басқару деп аталатын басқару түрі пайда бола бастады. Ол қауіпсіздік мәселелерін шешпейді, жүйенің басқарылу мүмкіндігінің қалай артатындығын шешеді. Әрбір қолданушы үшін бір уақытта бірнеше роль белсенді болуы мүмкін, олардың әрқайсысы оған толығымен белгілі бір құқықтар береді.
Қолданушылар мен олардың привелегияларын қарағанда рольдер көп болғандықтан, рольдерді қолдану қиындықтың төмендеуіне және жүйе басқарылуының жақсаруына әкеледі.
Желі периметрінің қауіпсіздігі және вторжениелерді табу. Қорғалатын желі қосымшаларына, сервистерге және ресурстарға кіруге қатаң бақылау желіні дұрыс құрудың маңызды функциясы болып табылады.
Экранаралық желі секілді қауіпсіздіктің мұндай әдістерін қолдану вторжениелерді тобу жүйесі, қауіпсіздік аудиті жүйесі, антивирустық кешендер желіге орналасатын мәліметтердің жүйелік қорғанысын қамтамасыз етеді.
Желі қауіпсіздігінің жалпы шешіміның маңызды бөлігі экранаралық желілер болып табылады. Олар қорғалатын желідегі қиылысатын периметрлердің трафигін бақылайды.
Желі периметрінің қауіпсіздік кепілінің қосымша элементі IDS вторжениелерді табу жүйесі болып табылады. Ол нақты уақытта жұмыс істейді және ішкі немесе сыртқы көздерден авторизацияланбаған желілік белсенділіктерді табады, фиксациялайды және жұмысын тоқтатады.
Желінің қауіпсіздігін қорғау. VPN желілері желілік құрылғылар ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz