Виртуалды желілер
Виртуалды жеке желілір (VPN) технологиясының маңызы – берілген канал бойынша таратылатын ақпараттың шифрлаудың арнайы алгоритмін қолдануынан өте жоғары қауіпсізідігін қамтамасыз ететін, VPN қолданушысының компьютерінің арнайы бағдарламалық қамтама көмегімен орнатылып қойылған жалпы қолжетімді желі үстіне қосылғанда жаңа жабық шифрланған байланыс каналы қалыптасады.
Бүгінгі таңда, глобалды компьютерлік желілер кең қолданыста болғандықтан, өзінің жеке локалды желіңді тұрғызу (мысалы, өз кеңселік желілерді қосу ушін) тиімсіз болып табылады. Оданда бір глобалды желіге қосылып, сол арқылы жұмыс жасаған арзанырақ. Алайда глобалды желі арқылы таратылатын ақпаратты ауыстырып немесе жолдан ұстап қалу оңайға түседі.
Осы жағдайлардан қорғануға мүмкіндік беретін, әмбебап желіні – VPN (виртуалды жеке желіні) қолдану.
VPN желісі арқылы өтетін ақпарат тарату берілген ақпараттарды шифрлау арқылы жүзеге асады. Виртуалды жеке желілерді қолдану бар таратылатын ақпаратқа болжанбаған қолданудан қорғануға рұқсат етеді және де қолданушыларға жалпы желінің документтеріне қолданысты қамтамасыз етеді, себебі олар корпоративті документтер. Сонда да қолданыстағы мекен – жайлар желіде құпия болып қалмақ.
VPN таратылатын ақпараттардың тұтастығын және қауіпсіздігін қамтамасыз ететін жеке машиналар бірлестігін немесе виртуалды желідегі локалды желі болып табылады. Ол ерекшеленген жеке желі қасиетіне ие және екі компьютер арасында ақпаратты аралық желі арқылы (internetwork) таратуға мүмкіндік береді, мысалы Internet. VPN алыстатылған қол жетімділік әдістерімен салыстырғанда экономикалық артықшылықтарымен ерекшеленеді. Біріншіден, қолданушылар корпоративті желіге онымен коммутациялық байланыс орнатпай-ақ қосыла алады, осылайша модемдерді қолдану қажеттілігі болмайды. Екіншіден, ерекшеленген желілерді қолданбауға болады.
VPN техникалық жүзеге асуы үшін, стандартты желілік құрылғылардан басқа, туннельдердің пайда болуының бар функцияларын, ақпарат қауіпсіздігін, трафик бақылауын, және де орталықтандырылған басқару функциясын орындайтын VPN шлюзі қажет болады. Бүгінгі таңда VPN – үнемді, сенімді және жалпыға қол жетімді алыстатылған қол жетімділіктің ұйымдастырылуының шешімі. Ара қашықтық қандай болмасын, VPN жер бетінің кез келген нүктесімен байланысты қамтамасыз етеді және ең маңызды ақпараттардың таратылуының сақтап қалуын қамтамасыз етеді.
Бүгінгі таңда, глобалды компьютерлік желілер кең қолданыста болғандықтан, өзінің жеке локалды желіңді тұрғызу (мысалы, өз кеңселік желілерді қосу ушін) тиімсіз болып табылады. Оданда бір глобалды желіге қосылып, сол арқылы жұмыс жасаған арзанырақ. Алайда глобалды желі арқылы таратылатын ақпаратты ауыстырып немесе жолдан ұстап қалу оңайға түседі.
Осы жағдайлардан қорғануға мүмкіндік беретін, әмбебап желіні – VPN (виртуалды жеке желіні) қолдану.
VPN желісі арқылы өтетін ақпарат тарату берілген ақпараттарды шифрлау арқылы жүзеге асады. Виртуалды жеке желілерді қолдану бар таратылатын ақпаратқа болжанбаған қолданудан қорғануға рұқсат етеді және де қолданушыларға жалпы желінің документтеріне қолданысты қамтамасыз етеді, себебі олар корпоративті документтер. Сонда да қолданыстағы мекен – жайлар желіде құпия болып қалмақ.
VPN таратылатын ақпараттардың тұтастығын және қауіпсіздігін қамтамасыз ететін жеке машиналар бірлестігін немесе виртуалды желідегі локалды желі болып табылады. Ол ерекшеленген жеке желі қасиетіне ие және екі компьютер арасында ақпаратты аралық желі арқылы (internetwork) таратуға мүмкіндік береді, мысалы Internet. VPN алыстатылған қол жетімділік әдістерімен салыстырғанда экономикалық артықшылықтарымен ерекшеленеді. Біріншіден, қолданушылар корпоративті желіге онымен коммутациялық байланыс орнатпай-ақ қосыла алады, осылайша модемдерді қолдану қажеттілігі болмайды. Екіншіден, ерекшеленген желілерді қолданбауға болады.
VPN техникалық жүзеге асуы үшін, стандартты желілік құрылғылардан басқа, туннельдердің пайда болуының бар функцияларын, ақпарат қауіпсіздігін, трафик бақылауын, және де орталықтандырылған басқару функциясын орындайтын VPN шлюзі қажет болады. Бүгінгі таңда VPN – үнемді, сенімді және жалпыға қол жетімді алыстатылған қол жетімділіктің ұйымдастырылуының шешімі. Ара қашықтық қандай болмасын, VPN жер бетінің кез келген нүктесімен байланысты қамтамасыз етеді және ең маңызды ақпараттардың таратылуының сақтап қалуын қамтамасыз етеді.
1 Аллен Д. Следующая волна VPN на базе IP//LAN. – № 3. – 2001.- с. 36-39
2 Анищенко В.А. А67 Надежность систем электроснабжения: Учеб. Пособие/Мн.: УП «Технопринт», 2001. – 160 с
3 Барсков А.Г. VPN – старые принципы, новые технологии//Сети и системы связи. - № 6. – 2004. – с. 82-89
4 Бендцувайт Ф. Ethernet на первой мили//LAN. – № 4. – 2004.- с. 74-79
5 Браун С. Виртуальные частные сети. Издательство «Лори», 2001. – 508 с
6 Вегешна Ш. Качество обслуживания в сетях IP. М.: Издательский дом «Вильямс», 2003. – 368 с
7 Гиттик Ю. Новые услуги на основе MPLS//Сети и системы связи. - № 6. – 2004. – с. 95-97
8 Гольдштейн А.Б. Механизм эффективного туннелирования в сети MPLS // Вестник связи. - № 2. - 2004. – с. 39-42
9 Джангозин А.Д. Фирменный стандарт. Общие требования к оформлению текстового и графического материала. Алматы: Издание АИЭС, 2002. – 34 с
10 Джордж Т. Маршрутизаторы с дополнительными функциями//LAN. – № 8. – 2004. - с. 70-72
11 Евдокименко Е. Магистральная технология XXI века//Электронная версия на сайте http://www.equant.ru/news/press03_3.html
12 Жанг Р. Сетевые услуги нового поколения //LAN. – № 12. – 2001.- с. 41-43
13 Запечинков С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. Пособие для вузов. М.: Горячая линия – Телеком, 2003. – 249 с
14 Захватов М. CCIE. Построение виртуальных частных сетей (VPN) на базе технологии MPLS // Cisco Systems. – 2004. – с 48
15 Карпинский О. Следующая волна VPN на базе IP // Электронная версия на сайте http://subscribe.ru/archive/inet.safety.vipnet/200105/22113328.html.
16 Кларк Э. Виртуальные частные сети. Версия 2.0 // LAN. – № 12. – 1999.- с. 66-72
17 Кораблин М.А., Мороз А.В. Оценка эффективности использования технологий VoIP и VAD в корпоративных IP сетях // Электросвязь. - № 8. – 2004. – с. 23-24
18 Кучерявый А.Е., Нестеренко В.Д., Парамонов А.И., Ревелова З.Б. Анализ трафика пользователей Интернета в ТфОП // Электросвязь. - № 9. – 2004. – с. 24-26
19 Кучерявый А.Е., Гильченок Л.З., Иванов А.Ю., Ревелова З.Б. Перспективные решения по разделению трафика сети связи общего пользования и Интернет // Электросвязь. - № 5. – 2000. – с. 23-25
20 Кучерявый А.Е., Кучерявый Е.А., Харю Я. Качество обслуживания в сети Интернет // Электросвязь. - № 1. – 2002. – с. 9-14
21 Лагутин В.С., Костров В.О. Оценка характеристик пропускной способности мультисервисных пакетных сетей при реализации технологии разделения типов нагрузки // Электросвязь. - № 3. – 2003. – с. 28-32
22 Марк Лассерре М. Межсоединение локальных сетей посредством MPLS // LAN. – № 8. – 2004.- с. 66-69
23 Мейкшан В.И. Оценка влияния надежности оборудования на качество функционирования систем с потерями и ожиданием // Электросвязь.– № 11. – 1990. – с. 30-32
24 Михалевич И.Ф., Сычев К.И., Лузин В.Ю. Оптимизация пропускной способности корпоративных сетей связи // Электросвязь. - № 10. – 2003. – с. 36-39
25 Юшков Т. Применение MPLS // Электронная версия на сайте http://www.mpls-exp.ru/mplsapplication.html
26 Юшков Т. Архитектура MPLS // Электронная версия на сайте http://www.mpls-exp.ru/mplsarchitecture.html
27 Юшков Т. Организация VPN на базе MPLS // Электронная версия на сайте http://www.mpls-exp.ru/mplsvpn.html
28 Нетес В.А. Мультисервисные сети: сумма технологий // Электросвязь. - № 9. – 2004. – с. 20-23
29 Нолле Т. MPLS: новый порядок в сетях IP? // Электронная версия на сайте http://www.xserver.ru/computer/nets/razn/52/
30 Олвейн В. Структура и реализация современной технологии MPLS.: Пер. с англ. – М.: Издательский дом «Вильямс», 2004. - 480 с
31 Орлов С. Перекресток миров // Электронная версия на сайте http://www.osp.ru/lan/2004/05/062.htm
32 Охрана труда на предприятиях связи: Учебник для вузов / Под.ред. Н.И. Баклашова.-М.:1982
33 Алибаева С.А. Методические указания по дипломному проектированию. – Алматы: АИЭС, 2001. – 17 с
34 Сериков И.В. Мультисервисные сети // Электронная версия на сайте http://seradmiral.narod.ru/cety_5.html
35 Шварцман В.О. Выбор технологии передачи и коммутации в мультисервисных сетях на основе оптических кабелей // Электросвязь. - № 8. – 2003. – с. 33-39
36 Харитонов В.Х. Мультисервисная сеть и методы коммутации // Электросвязь. - № 1. – 2004. – с. 17-25
2 Анищенко В.А. А67 Надежность систем электроснабжения: Учеб. Пособие/Мн.: УП «Технопринт», 2001. – 160 с
3 Барсков А.Г. VPN – старые принципы, новые технологии//Сети и системы связи. - № 6. – 2004. – с. 82-89
4 Бендцувайт Ф. Ethernet на первой мили//LAN. – № 4. – 2004.- с. 74-79
5 Браун С. Виртуальные частные сети. Издательство «Лори», 2001. – 508 с
6 Вегешна Ш. Качество обслуживания в сетях IP. М.: Издательский дом «Вильямс», 2003. – 368 с
7 Гиттик Ю. Новые услуги на основе MPLS//Сети и системы связи. - № 6. – 2004. – с. 95-97
8 Гольдштейн А.Б. Механизм эффективного туннелирования в сети MPLS // Вестник связи. - № 2. - 2004. – с. 39-42
9 Джангозин А.Д. Фирменный стандарт. Общие требования к оформлению текстового и графического материала. Алматы: Издание АИЭС, 2002. – 34 с
10 Джордж Т. Маршрутизаторы с дополнительными функциями//LAN. – № 8. – 2004. - с. 70-72
11 Евдокименко Е. Магистральная технология XXI века//Электронная версия на сайте http://www.equant.ru/news/press03_3.html
12 Жанг Р. Сетевые услуги нового поколения //LAN. – № 12. – 2001.- с. 41-43
13 Запечинков С.В., Милославская Н.Г., Толстой А.И. Основы построения виртуальных частных сетей: Учеб. Пособие для вузов. М.: Горячая линия – Телеком, 2003. – 249 с
14 Захватов М. CCIE. Построение виртуальных частных сетей (VPN) на базе технологии MPLS // Cisco Systems. – 2004. – с 48
15 Карпинский О. Следующая волна VPN на базе IP // Электронная версия на сайте http://subscribe.ru/archive/inet.safety.vipnet/200105/22113328.html.
16 Кларк Э. Виртуальные частные сети. Версия 2.0 // LAN. – № 12. – 1999.- с. 66-72
17 Кораблин М.А., Мороз А.В. Оценка эффективности использования технологий VoIP и VAD в корпоративных IP сетях // Электросвязь. - № 8. – 2004. – с. 23-24
18 Кучерявый А.Е., Нестеренко В.Д., Парамонов А.И., Ревелова З.Б. Анализ трафика пользователей Интернета в ТфОП // Электросвязь. - № 9. – 2004. – с. 24-26
19 Кучерявый А.Е., Гильченок Л.З., Иванов А.Ю., Ревелова З.Б. Перспективные решения по разделению трафика сети связи общего пользования и Интернет // Электросвязь. - № 5. – 2000. – с. 23-25
20 Кучерявый А.Е., Кучерявый Е.А., Харю Я. Качество обслуживания в сети Интернет // Электросвязь. - № 1. – 2002. – с. 9-14
21 Лагутин В.С., Костров В.О. Оценка характеристик пропускной способности мультисервисных пакетных сетей при реализации технологии разделения типов нагрузки // Электросвязь. - № 3. – 2003. – с. 28-32
22 Марк Лассерре М. Межсоединение локальных сетей посредством MPLS // LAN. – № 8. – 2004.- с. 66-69
23 Мейкшан В.И. Оценка влияния надежности оборудования на качество функционирования систем с потерями и ожиданием // Электросвязь.– № 11. – 1990. – с. 30-32
24 Михалевич И.Ф., Сычев К.И., Лузин В.Ю. Оптимизация пропускной способности корпоративных сетей связи // Электросвязь. - № 10. – 2003. – с. 36-39
25 Юшков Т. Применение MPLS // Электронная версия на сайте http://www.mpls-exp.ru/mplsapplication.html
26 Юшков Т. Архитектура MPLS // Электронная версия на сайте http://www.mpls-exp.ru/mplsarchitecture.html
27 Юшков Т. Организация VPN на базе MPLS // Электронная версия на сайте http://www.mpls-exp.ru/mplsvpn.html
28 Нетес В.А. Мультисервисные сети: сумма технологий // Электросвязь. - № 9. – 2004. – с. 20-23
29 Нолле Т. MPLS: новый порядок в сетях IP? // Электронная версия на сайте http://www.xserver.ru/computer/nets/razn/52/
30 Олвейн В. Структура и реализация современной технологии MPLS.: Пер. с англ. – М.: Издательский дом «Вильямс», 2004. - 480 с
31 Орлов С. Перекресток миров // Электронная версия на сайте http://www.osp.ru/lan/2004/05/062.htm
32 Охрана труда на предприятиях связи: Учебник для вузов / Под.ред. Н.И. Баклашова.-М.:1982
33 Алибаева С.А. Методические указания по дипломному проектированию. – Алматы: АИЭС, 2001. – 17 с
34 Сериков И.В. Мультисервисные сети // Электронная версия на сайте http://seradmiral.narod.ru/cety_5.html
35 Шварцман В.О. Выбор технологии передачи и коммутации в мультисервисных сетях на основе оптических кабелей // Электросвязь. - № 8. – 2003. – с. 33-39
36 Харитонов В.Х. Мультисервисная сеть и методы коммутации // Электросвязь. - № 1. – 2004. – с. 17-25
Пән: Информатика, Программалау, Мәліметтер қоры
Жұмыс түрі: Дипломдық жұмыс
Тегін: Антиплагиат
Көлемі: 66 бет
Таңдаулыға:
Жұмыс түрі: Дипломдық жұмыс
Тегін: Антиплагиат
Көлемі: 66 бет
Таңдаулыға:
КІРІСПЕ
Виртуалды жеке желілір (VPN) технологиясының маңызы - берілген канал бойынша таратылатын ақпараттың шифрлаудың арнайы алгоритмін қолдануынан өте жоғары қауіпсізідігін қамтамасыз ететін, VPN қолданушысының компьютерінің арнайы бағдарламалық қамтама көмегімен орнатылып қойылған жалпы қолжетімді желі үстіне қосылғанда жаңа жабық шифрланған байланыс каналы қалыптасады.
Бүгінгі таңда, глобалды компьютерлік желілер кең қолданыста болғандықтан, өзінің жеке локалды желіңді тұрғызу (мысалы, өз кеңселік желілерді қосу ушін) тиімсіз болып табылады. Оданда бір глобалды желіге қосылып, сол арқылы жұмыс жасаған арзанырақ. Алайда глобалды желі арқылы таратылатын ақпаратты ауыстырып немесе жолдан ұстап қалу оңайға түседі.
Осы жағдайлардан қорғануға мүмкіндік беретін, әмбебап желіні - VPN (виртуалды жеке желіні) қолдану.
VPN желісі арқылы өтетін ақпарат тарату берілген ақпараттарды шифрлау арқылы жүзеге асады. Виртуалды жеке желілерді қолдану бар таратылатын ақпаратқа болжанбаған қолданудан қорғануға рұқсат етеді және де қолданушыларға жалпы желінің документтеріне қолданысты қамтамасыз етеді, себебі олар корпоративті документтер. Сонда да қолданыстағы мекен - жайлар желіде құпия болып қалмақ.
VPN таратылатын ақпараттардың тұтастығын және қауіпсіздігін қамтамасыз ететін жеке машиналар бірлестігін немесе виртуалды желідегі локалды желі болып табылады. Ол ерекшеленген жеке желі қасиетіне ие және екі компьютер арасында ақпаратты аралық желі арқылы (internetwork) таратуға мүмкіндік береді, мысалы Internet. VPN алыстатылған қол жетімділік әдістерімен салыстырғанда экономикалық артықшылықтарымен ерекшеленеді. Біріншіден, қолданушылар корпоративті желіге онымен коммутациялық байланыс орнатпай-ақ қосыла алады, осылайша модемдерді қолдану қажеттілігі болмайды. Екіншіден, ерекшеленген желілерді қолданбауға болады.
VPN техникалық жүзеге асуы үшін, стандартты желілік құрылғылардан басқа, туннельдердің пайда болуының бар функцияларын, ақпарат қауіпсіздігін, трафик бақылауын, және де орталықтандырылған басқару функциясын орындайтын VPN шлюзі қажет болады. Бүгінгі таңда VPN - үнемді, сенімді және жалпыға қол жетімді алыстатылған қол жетімділіктің ұйымдастырылуының шешімі. Ара қашықтық қандай болмасын, VPN жер бетінің кез келген нүктесімен байланысты қамтамасыз етеді және ең маңызды ақпараттардың таратылуының сақтап қалуын қамтамасыз етеді.
1 Виртуалды жеке желілердің сипаттамасы мен өңделуі
1.1 Виртуалды жеке желілердің сипаттамасы
Виртуалды жабық желілер кез келген желі арқылы қауіпсіз туннельдеуді қаматамсыз етеді және Internet арқылы локалды желілер арасында қауіпсіз маршруттауды жүзеге асырады.
VPN ерекшеленген желі қасиеттеріне ие, бірақ жалпы қолданыстағы, мысалы Ғаламтор, желі шегінде ғана қолданыла алады. Туннельдеу әдісі көмегімен ақпараттар пакеті қарапайым екі нүктелік байланыстағы сияқты жалпы қолжетімді желі арқылы трансляцияланады. Әр таратушы - ақпарат қабылдаушы жұптары арасында бір хаттама ақпараттарын басқа хаттама пакеттеріне шығаруға рұқсат ететін, қауіпсіз логикалық байланыс - өзінше бір туннель орнатылады. Туннельдердің ең маңызды қасиеті әр түрлі трафиктердің дифференциясы және оларға қызмет көрсетудің керекті приориттерін бекіту. Туннельдің басты компоненттері:
-инициатор;
-маршруттаушы желі;
-туннельдік коммутатор;
-бір немес бірнеше туннельдік терминаторлар.
Туннельдерді әр түрлі желілік құрылғылар және программалық қамтама үзе және бейнелей (иницировать) ете алады. Мысалы, туннель алыстатылған қол жетімділікке байланыс орнату үшін модеммен және керекті программалық қамтамамен жарақтанған мобильді қолданушының ноутбугымен бейнеленген бола алады. Инициатор орнына керекті функционалды мүмкіншілітерімен дараланған экстра желі маршрутизаторы қолдана алады. Туннель әдетте экстра желі коммутаторымен немесе провайдер қызметі шлюзімен аяқталады.
Өз алдына VPN-нің жұмыс принципі басты желілік технологиялар және хаттамаларына қайшы келмейді. Мысалы, алыстатылған қол жетімділікке байланыс орнатқанда клиент оның үстіне РРР стандартты хаттама пакеттерін жібереді. Локалды желілер арасында виртуалды ерекшеленген желілер пайда болғанда олардың маршрутизаторлары да РР пакеттерімен алмасады. Сонда да жаңа кезең болып пакеттердің жалпыға қол жетімді желі шегінде ұйымдастырылған қауіпсіз туннель арқылы қайтарымды болып табылады.
Туннельдеу логикалық ортада пакеттерді бір хаттамадан басқа хаттама қолданушысына таратуды ұйымдастыруға мүмкіндік береді. Нәтижесінде бірнеше әртипті желілердің өзара әсері мәселесін шешуге мімкіндік туады, таратылатын деректердің тұтастығы мен құпиялылығынан бастап және сыртқы хаттамалардың немесе адресация схемаларының сәйкес келмеуін шешумен аяқталады. Корпорацияның қолданыстағы желілік инфрақұрылымы программалық қамтама арқылы да ақпараттық қамтама арқылы да VPN қолдануға дайын болады. Альтернативті шешім - желілік хаттамалардың туннельдеу хаттамаларына пакеттер инкапсуляциясы үшінші деңгейлі туннельдеу деп аталады. Туннельдерді ұйымдастыру кезінде қандай хаттамалар қолданылса да немесе қандай мақсат қойылса да, басты методика өзгеріссіз қалады. Әдетте бір хаттама алыстатылған түйінмен байланыс орнату үшін, ал екіншісі - деректердің және қызметтегі ақпарат инкапсуляциясы туннель арқылы тарату үшін қолданылады. Хаттамалар арасындағы және адрестер схеманы сәйкес келмеушілікті жою үшін қолданылатын туннель мысалы ретінде IPv6 хаттамасымен бірге шығатын Simple Internet Transitien (SIT) технологиясын келтіруге болады. Бұл инженерлер тобымен мұқият жасалған (IETF) туннельдеу методолиясы, ол желі аралық хаттаманың төртінші түрінен (IPv4) алтыншыға (IPv6) ауысуын оңайлатады. Бұл хаттама түрлері бір бірінен өзгеше, өзара сәйкестік жоқ. IPv6 хаттамасының пакетін IPv4 хаттамасының пакетіне инкапсуляциялау функциялық сәйкестік деңгейіне жетуге мүмкіндік береді.
VPN (Virtual Private Network - виртуалды жеке желі) технологиясы - бұл желі қауіпсіздігін және ол арқылы берілетін деректер қауіпсіздігін жалғыз тәсілі. VPN-нің мақсаты (1.1-сурет) келесілер:
1.1-сурет. VPN ұйымдастыру схемасы
Ғаламторға қосылған барлық компьютерлерге VPN-ді іске қосатын құрылғы орнатылады (VPN - агент). Бір компьютер қорғансыз қалмауы керек.
VPN - агенттерді автоматты түрде шығатын ақпаратты шифрлайды (және сәйкесінше қабылданған ақпаратты кері шифрлайды) және де олар ЭЦП көмегімен немесе имитоқосымшалар (имитоприствок) (шифрлау кілтін қолдану арқылы есептелген криптографиялық бақылау суммасы) көмегімен оның тұтастығын қадағалайды.
Ғаламторда айналыстағы ақпарат IP хаттамалары болып табылатындықтан, VPN - агенті солармен жұмыс істейді.
IP - пакеті жіберместен бұрын VPN - агент келесі жолмен жұмыс жасайды:
ІР - қабылданған адресі бойынша шифрлау алгоритмінен берілген пакетті және кілтті қорғау үшін керектісін таңтайды. Пакетке ЭЦП таратушы немесе имитоқосымшаны анықтайды және қосады. Пакетті шифрлайды (тұтасымен, тақырыбын қоса).
Инкапсуляция жүргізеді, яғна қабылдағыш адресін емес, VPN - агент адресін көрсететін жаңа тақырып қалыптасады. Бұл пайдалы қосымша функция VPN- агент орнатылған екі компьютер арасындағы алмасу сияқты екі желі арасындағы алмасуды қамтамасыз етеді. Кері мақсаттағы кез келген пайдалы ақпарат, мысалы ішкі ІР - мекен-жайлар, енді қол жетімсіз болады.
ІР - пакеті қабылдауда кері іс-әректтер орындалады:
- тақырып VPN - агент туралы мәліметтерді сақтайды. Егер ол рұқсат етілген мәзір арасына кірмесе, ақпаратты лақтырып жібереді. Әдейі және кездейсоқ бұзылған тақырыппен пакет қабылдағанда да осындай жағдай орындалады;
- мәзірлерге сәйкес шифрлау алгоритмін және ЭЦП-ні таңдайды, және де керекті криптографиялық кілттерді;
- пакет кері шифрланады, содан кейін оның тұтастығы тексеріледі. Егер ЭЦП қате болса, оны лақтырып жібереді;
- соңында пакет түп нұсқасында өзінің нақты адресатына ішкі желімен жіберіледі.
Барлық операциялар автоматты түрде орындалады. VPN технологиясындағы қиындығы VPN - агентті мәзірлеу, алайда ол тәжірибелі қолданушының қолынан келетін іс. VPN - агент қауіпсіздігі ПК-да болуы мүмкін, ол Ғаламторға қосылған мобильді қолданушыларға тиімді. Бұл жағдайда ол орнатылған компьютердегі деректер алмасуды қорғайды.
VPN - агенттің ІР - пакетінің маршрутизаторымен бірлесуі мүмкін (бұл жағдайда оны криптографиялық деп атайды). Кейінгі кезде әлемдік өндірістер VPN қолданысы орнатылған маршрутизаторлар шығарып жатыр, мысалы Intel шығаратын Express VPN, ол бар өтетін пакеттерді Triple PES алгоритмімен шифрлайды.
Сипаттамалардан көрініп тұрғандай, VPN - агенттерді туннель деп аталатын қорғаныстағы желілер арасында каналдарды қалыптастырады. Шыныменде, олар Ғаламтор арқылы бір желіден екінші желіге қазылған айналыстағы ішкі ақпарат бөтен көздерден жасырын.
1.2 - сурет. Туннельдену және сүзгілену
Одан басқа, барлық пакеттер мәзірлерге сәйкес сүзгіленеді. Осылайша, VPN - агенттің бар жұмыстарын екі механизмге әкелуге болады: өтетін пакеттердің сүзгіленуі және туннельдердің пайда болуы.
Қауіпсіздік саясаты деп аталатын туннельдердің пайда болуының ережелері VPN - агент мәзірлерінде жазылады.
ІР - пакеттер сол немесе басқа туннельге бағытталады немесе келесілер тексерілгеннен кейін лақтырылып жіберіледі:
-тарату көзінің ІР - мекен-жайы (таратушы пакет үшін - желі қорғанысындағы белгіленген компьютер мекен-жайы):
- белгіленудің ІР - мекен-жайы;
- берілген пакет шешетін (мысалы, ТСР немесе UDP) жоғарырақ деңгейдегі хаттама;
- ақпарат жіберілген немесе ақпарат жіберілетін порт номері (мысалы, 1080).
1.2 Виртуалды жеке желілерді қолданудың қажеттілігі
Internet-ті қолданудан көп мөлшерде пайда табу үшін екі маңызды қадам жасау керек. Бірінші қадам - Internet-ке қол жеткізу. Екіншісі - бірнеше асыстатылған кеңселердің бірлесіп жұмыс істеуі үшін Internet желісінің артықшылықтырын іске асыру. Виртуалды жеке желі (VPN) технологиясы алыстатылған локалды желілердің қауіпсіз бірлесіп жұмыс істеуін қамтамасыз етеді. Байланыс орнату құны глобалды желілермен байланыс орнату құнының аз бөлігін ғана құрайды. Әлі күнге дейін бұл технология тек қана сөз жүзінде қалып келеді, бірнеше компания ғана шешімдерді ұсынды. Қазір масштабты WAN желісін қолданатын компаниялар үшін бұл технология бар үміттерін ақтайды.
Жаңа технологияны қолдану түп тамырымен каналдарды қолдануға кететін шығындарды азайтады. Басқа да көптеген компанияларға VPN технологиясы телекоммуникациялық жағынан максималды пайда әкеледі.
Экономикалық эффектісі анық жағдайларға байланысты. Жалпы, алыстатылған кеңселер арасындағы ерекшеленген желілер Internet қызметі қосылған жергілікті провайдерге ауысқан жерде үнемділік болмақ. Ерекшеленген WAN - Internet қызметі провайдерімен байланысының қызметтері каналдың кеңдігі мен алыстығына байланысты төленетін болғандықтан арзан болып табылады.
WAN - қосылуының төмен бағасы, ол VPN технологиясына өткендегі көзге көрінерлік үнемділік. WAN - байланысының инфрақұрылымының қымбат элементтері мен администрацияның оңайлығы - бұл жаңа технологияны қолданудың тағы бір себебі. Көптеген Internet - провайдерлер қосылатын желілерді қолдауды және администрациялау қызметтерін ұсынады. Әдетте, провайдерлер өзара байланыс орнату үшін сіздің кеңсеңізге қосылған каналдың кеңдігінен әлдеқайда кең каналды жоғары жылдамдықты каналдарды қолданады. Осылайша, VPN өткізу қабілетін жоғарлату қажет болса, Internet қызмет көрсету провайдеріне қол жеткізу каналын үлкейтсе жетіп жатыр. Internet қызмет көрсету провайдері коммуникация саласындағы жаңа жетістіктерді уақытылы енгізіп отыруы қажет, ол қосылған уақытта қондырғының модеринизациялануын қамтамасыз етеді.
1.3 VPN классификациясы
VPN шешімдерін бірнеше маңызды параметрлері бойынша классификациялауға болады:
- қолданыстағы ортаның қауіпсіздік деңгейі бойынша;
Қорғаныштылығы. Виртуалды жеке желілердің кең таралғаны. Оның көмегімен сенімді емес желі (Ғаламтор) негізінде сенімді және қорғаныстағы желі құруға болады. Қорғаныстағы VPN мысалы ретінде: IPSec, OpenVPN және PPTP бола алады.
Сенімді. Тарату ортасын сенімді деп санаған кезде және үлкен желі шегінде виртуалды желіасты желі құру керек болғанда қолданылады. Қауіпсіздік мәселесі көкейкесті емес (неактуальный) болады. Мұндай VPN шешімдерінің мысалы: Multi-protocol label switching (MPLS) және L2TP (Layer 2 Tunnelling Protocol). (дұрысырақ айтсақ, бұл хаттамалар қауіпсіздікті қамтамасыз етуді басқаларға жүктейді, мысалы L2TP, әдетте IPSec-пен жұптаса қолданылады), 1.3-сурет.
1.3-сурет. VPN классификациясы
- орындалу тәртібі бойынша;
Арнайы программа-аппараттық қамтама түрінде VPN желісінің орындалуы арнайы кешенді программа-аппаратты құралдар көмегімен жүзеге асады. Мұндай жүзеге асу жоғары өнімділікті және жоғары қорғаныс деңгейін қамтамасыз етеді.
Программалық шешім түрінде. VPN-нің функционалдылығын қамтамасыз ететін арнайы программалық қамтамасыз бар персоналды компьютерді қолданады.
Интеграцияланған шешім. VPN функционалдылығын желілік трафик сүзгілерін, қызмет көрсету сапасын және желілік экранды ұйымдастыруды қамтамасыз ететін кешен қамтамасыз етеді.
oo тағайындалуы бойынша;
Intranet VPN. Ашық байланыс каналдары арқылы деректер алмасатын бір организацияның бірнеше филиалдарының бір қорғаныстағы желіге бірігуі үшін қолданылады.
Remote Access VPN. Корпоративтік желі және үйде жұмыс істей отырып, үйдегі компьютерден корпоративті ноутбуктан, сматфоннан немесе ғаламтор-дүкеннен корпоративті ресурстарға қосылатын жеке қолданушымен арасында қорғаныстағы канал қалыптастыру үшін қолданылады.
Extranet VPN. Сыртқы қолданушылар (клиенттер және тапсырыс берушілер) қосылатын желілер үшін қолданылады. Сенімділік деңгейі: компания қызметкерлеріне қарағанда аз, сондықтан аса бағалы және құпия ақпаратқа қол жеткізуді шектейтін немесе болдырмайтын арнайы межелік қорғанысын орнату қажет.
Ашық байланыс каналдарымен әрекеттесетін бір ұйымның бірнеше филиалдарының біріккен қорғаныстағы желіге бірігуін қамтамасыз ететін Intrenet VPN. Осы нұсқа бар әлемде кең таралды, осы нұсқаны бірінші болып компаниялар жүзеге асырды.
ClientServer VPN. Ол корпоративтік желідегі екі түйін арасындағы деректер таратуды қорғауды қамтамасыз етеді. Бұл нұсқаның ерекшелігі бір желі сегментіндегі орналасқан, мысалы жұмыс станциясы мен сервер, түйіндер арасында VPN тұрғызылады. Мұндай қажеттілік өте жиі бір физикалық желіде бірнеше логикалық желі құру керектігі пайда болған жағдайда пайда болады. Мысалы, қаржылық депортамент және бір физикалық сегментте орналасқан. Серверлерге жүгінген жекелеген кадрлар арасындағы тарифтерді бөлу үшін. Бұл нұсқа VLAN технологиясына ұқсас, бірақ трафик бөлу орнына оны шифрлау қолданылады.
- хаттама типі бойынша;
TCPIP, IPX және AppleTalk негізінде орындалатын виртуалды жеке желілер бар. Бірақ бүгінгі күнде TCPIP хаттамасына ауысуы байқалады, және VPN шешулер осыны қолдайды. Ондағы адрестеу RFC5735 стандарты бойынша таңдалады, ТСР\ІР жекеше диапазонынан.
- желілік хаттама деңгейі бойынша.
ISOOSI эталонды моделі деңгейімен сәйкестендіру негізінде желілік хаттама деңгейі бойынша.
1.4 Виртуалды жеке желі хаттамалары
Қазіргі уақытта VPN - ның кең таралған хаттамалары болып екінүктелік туннельдік байланыс хаттамасы болып табылады (Point - to - Point Tunnelling Protocol - PPTP).
Ол 3Com және Microsoft компанияларында шығарылған. Ғаламтор арқылы корпоративтік желілерге қауіпсіз алыстатылған қол жетімділік мақсатында PPTP TCPIP қолданыстағы ашық стандартын қолданады және көбіне екінүктелік байланыс РРР ескірген хаттамасына иық атрады. VPN Ethernet үстінен схемалық жүзеге асуы 1.4 - суретте көрсетілген.
Іс жүзінде РРР РРТР байланыс орнату сеансының коммуникационды хаттамасы болып қалмақ. РРТР қабылдаушының NT - сервер желісі арқылы туннель қалыптастырады және сол туннель арқылы алыстатылған қолданушының РРР - пакеттерін таратады. Сервер және жұмыс базасы виртуалды жеке желіні қолданады және олардың арасындағы глобалды желінің қаншалықты қол жетімді және қауіпсіз екендігіне көңіл аудармайды.
1.4 - сурет. Ethernet үсті VPN-нің схематикалық жұмыс істеуі
Сервердің сұрауы бойынша байланыстың тоқтатылуы (алыстатылған қол жетімділікті арнайы серверлерінен артықшылығы) локалды желі администрациясына алыстатылған қолданушыларда Windows NT Server қауіпсіздік жүйесі сыртына жолатпайды. Нәтижесінде қолданушы жалпы қолданыстағы желінің функционалды мүмкіншіліктеріне зиян келтірмей виртуалды жеке желіні қолданады. NT домен қызметтері DHCP, WINS және Network Neighborhood-ке қол жеткізуді қоса еш қиындықсыз алыстатылған қолданушыға ұсынылады. РРТР хаттамасының компетенциясы Windows басқармасымен жұмыс істейтін құрылғыларда ғана таралғанымен, қолданыстағы желілік инфрақұрылымдармен әрекеттесуге мүмкіндік береді және өз қауіпсіздік жүйесіне зиян келтірмейді. Осылайша, алыстатылған қолданушы ISDN каналы немесе аналогты телефондық желі арқылы жергілікті провайдер көмегімен Ғаламторға қосыла алады және NT серверімен байланыста орната алады. Оның үстіне компанияларға алыстатылған қол жетімділік қызметін ұсынатын модемдер пуласына қызмет көрсетуге және ұйымдастыруына көп қаражат шашпайды.
Жақын болашақта жаңа екінші деңгейлі (Layer 2 Tunneling Protocol - L2TP) туннельдеу хаттамасы базасы негізінде виртуалды жеке желі саны өспек. Бұл хаттама екінше деңгейде функциялайтын РРТР және L2F (Layer 2 Forwarding - екінше деңгейдің қайта жіберу хаттамасы) біріктіруге және олардың мүмкіншіліктеріне кеңейтуге мүмкіндік береді. Олардың бірі қолданушыларға бірнеше VPN желілерін құруды бейнелеуге (иницировать) мүмкіндік беретін, мысалы бір уақытта Ғаламтор мен корпоративтік желіге қосылуға болатын, көпнүктелік туннельдеу болып табылады.
L2TP және PPTP хаттамалары үшінші деңгейлі хаттамалардан келесі ерекшеліктермен ерекшеленеді:
- корпарацияларға қолданушылар аутентификация тәсілін өз бетінше таңдауға және олардың өз аумағында немесе Ғаламтор - қызметі провайдеріне ерекшеліктерін тексеруге мүмкіндік жасауы. Туннельденген РРР пакеттерді өңдей отырып, қолданушыны идентификациялау үшін қажет ақпаратты корпоративтік желі серверлері ала алады;
- коммутация туннельдерін қолдау - бір туннельдің аяқталуы және басқа біреуінің мүмкін болатын көпшіліктің бір терминаторына бейнеленуі. Туннельдерді коммутациялау РРР байланысын керек соңғы нүктеге дейін созуға және жағдай жасайды.
-корпоративтік желінің жүйелік администраторларына қолданушыларға ішкі серверлермен және брандмауэреге қол жеткізу құқығының бекіту стратегиясын іске асыруға мүмкіндік туғызады. Туннель терминаторлары РРР пакеттерді қолданушылар туралы ақпаратпен қабылдайтын болғандықтан, жеке қолданушылар трафиктерінің қауіпсіздігіне администраторлармен қалыптасқан қауіпсіздік стратегиясын қолдануына болады. Онымен қоса, туннельдік коммутатор қолданған жағдайда ішкі серверлерге сәйкес келетін жеке қолданушылар трафиктерін көрсету үшін екінші деңгейлі туннельді жалғастыруды ұйымдастыруға болады. Мұндай серверлерге пакеттердің қосымша сүзгіленуі тапсырмасы қосылуы мүмкін.
1.5 VPN қауіпсіздігі
Ешқандай компания қаржылық және құпия ақпаратты Ғаламторға енгізбейді. VPN каналдары IРsec қауіпсіздік хаттамасыстандартына енгізілген өте қуатты шифрлау алгоритмдерімен қорғалады. IPSec Ғаламтор үшін ІР хаттамасы қауіпсіздік алғышарттарын қалыптастырады. IPSec хаттамасы желілік деңгейде қауіпсіздікті қамтамасыз етеді және өзара байланыста отқан екі жақтың ғана құрылғыларының IPSec стандартын орнатылғанын ғана талап етеді.
Екеуінің арасында орналасқан қалған барлық құрылғылар ІР - пакеттерінің трафиктерін қамтамасыз етеді. IPSec технологиясын қолданушылардың әрекеттесуін, қорғаныстағы ассоциация - Security Association (SA) терминімен анықтау қабылданған. Қорғаныстағы ассоцияция бір біріне таратылатын ақпарат қауіпсіздігі үшін IPSec-ті қолданатын жақтармен келісім негізінде функционаланады.
Бұл келісімдер бірнеше параметрлермен басқарылады: таратушы мен қабылдаушының ІР - мекен-жайлары, криптографиялық алгоритмдері, кілттерді ауыстыру кезегі, кілттер өлшемі, кілттердің жұмыс істеу ұзақтығы, аутентификация алгоритмі. Басқа стандарттар Microsoft жетілдіретін РРТР хаттамасы, Cisco жетілдіретін L2F хаттамасын енгізеді. Екі хаттаманы L2P2 хаттамасына біріктіру IPSec туннельдік аутентификация мақсатында, тұтастықты тексеру және жеке меншікті қорғау үшін біріктіру Microsoft және Cisco бірге жұмыс істейді.
Шифрланған ақпараттар алмасудағы желінің жоғары жылдамдылығын қамтамасыз ету мәселесі қиындық туғызады. Кодтау алгоритмі процессордың есептелуші ресурстарын, кейде қарапайым ІР - маршруттауға қарағанда 100 есе көп қажет етеді.
Өндірісті арттыру үшін серверлердің де, ПК қолданушыларының да жылдамдығын арттыру керек. Одан да, шифрлауды тездететін ерекше схеманы арнайы шлюздер бар. ІР - менджер белгіленген қажеттіліктерге байланысты виртуалды жеке желілердің конфигурациясын таңдай алады. Мысалы, үйде жұмыс істейтін жұмысшыға қысқартылған желіге қол жетімділік болса, алыстатылған кеңсе менеджері немесе компания басшысына - проект виртуалды желі арқылы жұмыс жасағанда минималды шифрлаумен (56 - разрядты) шектеуі мүмкін, ал компанияның қаржылық және жоспарлық ақпараттары үлкенірек шифрлауды (168 - разрядты) қажет етеді.
1.6 Сыртқы және ішкі шабуылдардан қорғаныс
Өкінішке орай, VPN құрылымы толығымен шабуылдарды анықтайтын және бөгейтін құрылым болып табылмайтынын айта кету керек. Олар кейбір жекелеген іс-әрекеттерді, бірақ хаккерлер корпоративтік желіге кіру үшін жасайтын барлық іс-әрекеттерді емес, алдын ала алады. Олар қызмет көрсетуден бас тарту (оны антивирусты жүйелер мен шабуылды анықтайтын жүйелер жасайды) типті шабуылдар мен виртуалды анықтай алмайды, олар деректерді әр түрлі белгілері бойынша сүзгілемейді (оны желіаралық экрандар жасайды) және сол сияқты, бірақ бұл қауіптіліктер қорқынышты емес, себебі VPN керішифрланбаған трафикті қабылдамай, кері қайтарады. Бірақ іс жүзінде олай емес. Біріншіден, VPN құрылысы трафиктің тек бөлігінің ғана қорғанысы үшін қолданылады, мысалы, алыстатылған филиалға бағытталған. Екіншіден, статистика алдында тіпті скептиктер бастарын иеді. Ал статистика бойынша, 80 % ақпарат қорғанысына байланысты жағдайлар корпоративтік желіге қол жетімділікті авторизацияланған қолданушылар керісінше болады. Одан кейін қорытынды жасауға болады; шабуыл немесе вирус трафик деңгейінде кері шифрланады.
1.7 Желі өнімділігі
Желі өнімділігі - өте маңызды параметр және оның томендеуіне әсер ететін құралдарға әрбір бірлестік күмәндана қарайды. VPN - құрылғысы арқылы өтетін трафиктердің өңдеуінен болатын кірістер туғызатын VPN құрылысы қысқарту болмайды. Трафиктердің криптографиялық өңделуі нәтижесінде болатын кідірістерді үш түрге бөлуге болады:
oo VPN - құрылғылары арасындағы қозғалысты байланыс орнату кезіндегі кідірістер;
oo қорғанысты деректерді шифрлаудағы және кері шифрлаудағы, сонымен қоса олардың тұтастығы үшін басқарудағы түрлендірулерге байланысты кідірістер;
oo таратылатын пакетке жаңа тақырыып қосудан болатын кідірістер.
Бірінші, екінші және төртінші нұсқалы VPN құрылысының жүзеге асуы желі абоненттері арасындағы қорғанысты байланыс орнатудағы емес VPN - құрылғылар арасындағыны ғана қарастырады. Қолданылатын алгоритмдердің криптографиялық беріктілігін ескере кілт ауыстыру ұзақ уақыттық интервалдан кейін ғана мүмкін болмақ. Сондықтан бірінші типті VPN құрылысын қолдану деректер алмасу жылдамдығына әсер етпейді. Әрине, бұл жағдай 128 бит-тен аз кілттерді қолданатын тұрақты шифрлау алгоритміне қатысты. DES бұрынғы стандартын қолданатын құрылғылар желі жұмысына анықталған кідірістер туғызады.
Екінші типті кідірістер деректерді жоғары жылдамдықты каналдар (10Мбитс бастап) арқылы таратқанда ғана пайда бола бастайды. Қалған барлық жағдайларда программалық және ақпараттық жүзеге асыруының таңдалған шифрлау алгоритмдері мен тұтастықты бақылау жылдамдығы жеткілікті жоғары және пакетті шифрлау - пакеттің желіге жіберілуі және желіден пакетті қабылдау - пакетті кері шифрлау тізбегінде уақыт берілген пакетті желіге жіберуге қажетті уақыттан шифрлау (кері шифрлау) уақыты алдеқайда аз.
Мұндағы ең басты кедергі VPN - құрылғысы арқылы өтетін әр пакетке қосымша тақырып қосылуы болып табылады. Мысал ретінде, алыстатылған станция мен орталық пункт арасындағы шыншыл уақытта деректер алмасатын диспетчерлік басқару жүйесін қарастырайық. Таратылатын деректер өлшемі көп емес - 25 байт көлемінде. Сәйкес келетін өлшемдер банктік сферада (төлем жұмыстары) және ІР - телефонияға беріледі. Таратылатын деректер қарқындылығы - 50-100 ауыспалы секундына. Түйіндер арасындағы әрекеттесу 64 кбитс өткізу қабілетімен жүзегеасырылады. Бір ауыспалы процессы 24 байт ұзындыққа ие (ауыспалы аты - 16 байт, ауыспалы белгісі - 8байт, қызмет көрсетуші тақырыбы - 1 байт). ІР - хаттама пакет ұзындығына 24 байт қосады (ІР - пакет - тақырыбы). Тарату ортасы ретінде Frame Relay LMI-ды қолданғанда FR - тақырыбына 10 байт қосылады. Барлығы - 59 байт (472 бит). Осылайша, 10 секунд (75 пакет секундына) ішінде 750 ауыспалы процесс белгісін тарату үшін 75x472=34,5 Кбитс өткізу жолағы қажет, ол 64 Кбитс өткізу қабілетінің шектеуіне жақсы енгізіледі. Желіге VPN құрылымы құрылғысын енгізгенде желі қалай жұмыс істейтінін көрейік. Алғашқы мысал - SKIP ұмытылған хаттама негізіндегі құрылғы. 59 байт деректерге 112 байт қосымша тақырып қосылады, барлығы 171 байт (1368 бит) болады. 75x1368 = 102,6 Кбитс, бұл осы байланыс каналының өткізу қабілетін 60%-ға көтереді.
IPSec хаттамасы және жоғарыда көрсетілген параметрлер үшін өткізу қабілеті 6%-ға (67,8 Кбитс) өседі. Бұл ГОСТ 28147-89 алгоритмі үшін қосымша тақырып 54 байтты құрау керек шарты кезінде. Атап өтетін жағдай, желіде көрсетілген ауыспалыдан басқа ештеңе таратылмаған жағдайда ғана дұрыс болып табылады.
1.8 VPN желінің артықшылықтыры мен кемшіліктері
1.8.1 VPN технологиясының артықшылықтыры. VPN технологиясының артықшылықтары сенімді, тіптен көптеген компаниялар Ғаламторды ақпаратты тарату үшін глобалды құрылғы ретінде өз стратегяларын құра бастайды. VPN-нің артықшылықтары көптеген кәсіпорындармен бағаланған. VPN-ді дұрыс таңдаған жағдайда:
oo ғаламторға қол жетімді бағасы бойынша қорғаныстағы байланыс каналдарын аламыз, бұл ерекшеленген желіден бірнеше есе арзан;
oo VPN - ді орнату кезінде желі топологиясын өзгерту, қосымшаларды көшіруге, қолданушыларды үйрету қажет емес, бұның барі айтарлықтай үнемдірек;
oo VPN өсу кедергісін туғызбайтындықтан және жасалған инвестицияларды сақтайтындықтан масштабтау орындалады;
oo криптографияға тәуелді болмайсыз және ұлттық стандарттарға сай қай елдің болмасын және қай өндірушінің болмасын криптография модулін қолдана аласыз;
oo ашық интерфейстер сіздің желіңізді басқа программалық өнімдермен және бизнес-қрсымшамен интеграциялауға мүмкіндік береді.
1.8.2 VPN кемшіліктері. Оларға салыстырмалы сенімділіктің төменділігін жатқызуға болады. Frame relay негізіндегі ерекшеленген желілермен салыстырғанда виртуалды жеке желілердің сенімділігі төмен, бірақ 5-10, кейде 20 есе арзан болып табылады. Батыс аналитиктарының есептеуінше, бұл VPN-нің сатылуын тоқтатпайды. Себебі, сатушылардың, мысалы бағалы қағаздармен, қолданушылардың бес пайызына ғана осындай жоғары стандарттар қажет. Ал қалған 95%-ы байланыстағы қиындықтарға соншалықты көңіл бөлмейді, ал ақпаратты қабылдауға кеткен уақыттың көп шығыны үлкен шығындарға алып келмейді. VPN қызмет көрсетуі сыртқы операторымен ұсынылатын және қолдау алатын болғандытан firewall баптамаларында және қол жетімділік базасына өзгерістер енгізу жылдамдығымен және жұмыс істеу қалпынан бұзылып қалған құрылғыларды қалпына келтіруде қиындықтар туындауы мүмкін. Қазіргі уақытта келісімшартта өзгерістер енгізу және бұзылуларды жөндеуге кететін уақыт көрсетіліп, бұл мәселе шешілуде. Әдетте бұл уақыт бірнеше сағатты құрайды, бірақ бұзылуларды бір тәулік ішінде қалпына келтіруге кепілдік беретін провайдерлер кездеседі.
Тағы бір кемшілік ол - қолданушылардың VPN-ді басқаратын ыңғайлы құрылғының болмауы. Бірақ кейінгі кезде VPN басқаруды автоматтандыруға болатын құрылғы жасалуда. Forester Research аналитиктары айтатындай, компания - операторларымен басқарылуы керек, ал программалық қамтаманы ойлап табушылардың міндеті - осы қиындықты шешу.
1.9 VPN технологиясының преспективалары
Өзінің даму деңгейі бойынша VPN ІР - хаттамасында жұмыс істейтін мобильді қолданушыларды, іскер серіктестерді және маңызды корпоративтік қосымшалармен жеткізушілерді байланыстыратын өзара әрекеттесуші желілерге айналады. VPN нарықты жағдай жасау және өндірісті модеринизациялауға көмектесетін жаңа коммерциялық операциялар мен қызмет көрсетудің алғышарты болмақ. Болашақ VPN - нің маңызды компаненті желі конфигурациясы және соңғы қолданушылар деректерін енгізетін катаолгтар сервері болуы мүмкін. Бұл VPN провайдері басқаратын жалпықолданыстағы желі және корпоративтік желідегі компьютерлік жүйе болмақ. Желілік каталог болмаса да, сондай ақ ақпарат қауіпсіздігін және қызмет көрсету сапасы болмаса да ақырғы қолданушылар мезетте VPN арқылы байланыс орната алады. IpV6 хаттамасында қолдануы да мүмкін. Ол хаттамада жұмыстар жүргізілуде. Берілген хаттама өткізу жолағымен қоса желілік жасап шығарушылар қалаған VPN-мен әрекеттесудің барлық мүмкіндіктеріне ие. Және де IpV6 - пакеттерінің қай ағынға жататынын анықтауға болады. Мысалы шыншыл уақытта тарату үшін мультимедиялық деректер пакеті приориттер алады. Cisco Systems, Cabletron Systems, 3Com, Bay Networks, HCL Comnet сияқты желілік нарықтың басты ойыншылары VPN-нің келе жатқан жарылысына дайындалуда. Программалық қамтама мен құрылғылардың қазіргі вендоры VPN-ді құру және эксплуаттау үшін құрылғылар жинағын ұсынады. VPN жетілдіруден желілік құрастырушылардан басқа, одан қызығып отқан операторларда пайда таппақ. VPN қазіргі уақытта Unisource (AT&T, Telia, PTT Suisse и PTT Netherlands), Concert (BTMCI) және Global One (Deutsche Telekom, France Telekom) сияқты глобалды операторлардың құрастыру стратегиясына шешуші ықпал етеді. VPN - қызмет көрсетуін қаншалықты компаниялар ұсынса, соншалықты оның сапасы өспек, ал бағасы төмендейді. Бизнестағы әр революция жеке басшылықты лезде көбейтетін өнертабыстан басталатын.
2 Желіні жобалау және құрылғыларды таңдау
Маршрутизаторлар нарығында Cisco Systems компаниясы ең басты лидер болып табылады (нарықтың 70%-ға жуығын алып тур; екінші орында Juniper, 21%). Cisco кіші кеңселерге арналған қарапайм маршрутизаторлардан бастап (800 сериялы) Ғаламтор ядросында орналасатын мультигигабиттық (12000 сериялы) құрылғыларға дейінгі модельдерді ұсынады.
Cisco маршрутизаторларынан басқа сымсыз желілер ұйымдастыру үшін Catalyst маркалы ЛВС коммутаторларымен, PIX маркалы желіаралық экрандарымен, IP - телефонияға арналған өнімдермен, Aironet маркалы өнімдермен белгілі. Шығарылатын өнімдер намеклатурасы бойынша Cisco Systems байланыс құрылғылары нарығында жетекші орында (14%; екінші орында Siemens 11,7%).
800 сериялы модельдерден басқасы белгілі немесе басқа модульдік деңгейімен жарақталған, яғни ауыспалы интерфейстік модульдерді және арнайы есептеуіш модульдерді (дауысты шифрлауға және өңдеу үшін) орнатуға мүмкіндік береді. Сәйкесінше, құрылғы бағасы комплектацияға байланысты. 2500 және 4000 сериялы құрылғылар да кең таралған, бірақ қазіргі уақытта олар өндірістен алынып тасталынған (2509 және 2511 модельдерінен басқа). 2500 орнына 1700 және 2600 сериялы маршрутизаторлар, ал 4000 орнына 3600 сериялы маршрутизаторлар келді.
2.1 Cisco маршрутизаторларының программалық қамтамалары
Барлық Cisco маршрутизаторлары Cisco IOS операционды жүйе басқаруымен жұмыс жасайды. Әрбір маршрутизатор моделі үшін IOS-тің бірнеше түрін ұсынады.
IOS түрлері версия бойынша ажыратылады. Cisco версия идентификациясының күрделі жүйесін қолданады. Cisco IOS версиясының номері үш бөлімнен тұрады:
oo басты релиз номері (major release; қазіргі таңда әдетте басты релиздер 11.3, 12.0, 12.1, 12.2 кездеседі);
oo 1 ден басталатын жаңару номері (maintenance release). Жаңадан өңделіп отыру әр 8 апта сайын жүргізіліп отырады, оларға қателерді түзеу кіреді. Релиздердің функционалдық мүмкіндіктері өзгермейді;
oo әріппен басталатын қосылу номері (software rebuild), а-дан басталады. Қосылу келесі жаңаруды күте алмайтын қателерді жылдам түрде жөндеуге арналған.
Әр версия ұзақтылық деңгейімен сипатталады, әдетте бұл LD (Limited Deployment) және GD (General Deployment). LD GD салыстырғанда эксплуатация тәжірибесімен және тестілеу көлемінің аз болуымен көрінеді.
2.2 Басты интерфейстер
Әр маршрутизаторда физикалық интерфейстердің бірнеше саны болады. Интерфейстердің көбірек таралған түрі болып EthernetFastEthernet және кезекті (Serial) интерфейі болып табылады. Кезекті интерфейстер аппатарттық қолданылуы бойынша синхронды, синхронды - асинхронды (режим конфигурация командасымен таңдалады) және асинхронды болады. Кезекті интерфейстердің физикалық деңгейінің хаттамалары: V.35 (көбіне синхронды желіде қолданылады), RS - 232 (көбіне асинхронды желіде қолданылады) және басқалар.
Әр интерфейске маршрутизатор корпусындағы ажыратуға сәйкес келеді. Шиырмалы жұптағы Ethernet интерфейсі RJ - 45 ажыратуы сәйкес келеді, бірақ кейбір модельдерде (2500 сериялы) Ethernet-тің физикалық деңгейінің сол немесе басқа интерфейсін жүзеге асыратын ішкі трансиверге қосылуды талап ететін AUI (DB - 15) ажыратуы кездеседі.
2.3 Консольды интерфейстер
CON және AUX арнайы кезекті интерфейстері - администратор терминалынан маршрутизаторды баптау және басқару үшін арналған. CON интерфейсі администратор компьютерінің СОМ - портына қосылады. AUX интерфейсіне модем қосылады, бұл модемге хабарласу арқылы алыстатылған маршрутизаторды басқару мүмкіндігін береді. AUX интерфейсі дейтаграмма маршрутизациясы орындалатын қарапайым кезектегі интерфейс ретінде де қолданылуы мүмкін, бірақ бұл интерфейстегі пакеттерді өңдеу процессорлық уақыттың ұзақ болуын талап етеді (әр қабылданған байт үзілді тудырады), ал жылдамдық 115 кбитс-пен шектелген. CON интерфейсі маршрутизатроға терминалды қол жеткізу үшін ғана қолданылады, COM - портының параметры 9600 - 8 - N - 1 болуы керек.
CON және AUX ажыратулары RJ - 45 форматында орындалған. Оларға қосылу маршрутизатроға қосылулы RJ45 - RJ45 арнайы кабелі арқылы жүзеге асады. Бір үшымен кабель CON-ға немесе AUX-қа қосылады, ал екінші ұшына жалғастырғыш (переходник) кигізіледі. CON портының компьютерге қосылуы үшін кабельге TERMINAL деп белгіленген жалғастырғыш кигізіледі, AUX портының модемге қосылуы үшін модем жақтан MODEM жалғастырғышы қолданылады.
2.4 Желі қауіпсіздігін қамтамасыз ету үшін Cisco Systems шешімі
Cisco Systems компаниясы желілік құрылғылар шығарушылар арасындағы көшбасшы болып табылады, желілік қауіпсіздікті қаматамасыз ету мәселесіне шешімдер ұсынады. Төменде осының айналасындағы жаңа өнімдер мен шешімдердің жаңа қысқаша түсіндірме келтірілген.
Желілік байланыстардың қауіпсіздігін қамтамасыз ету үшін: Network based IPSec VPN solution for Service Providers, VPN AIM Module for Cisco 2600XM, VAM2 Card for 7200s, VPN SM for Cat65007600, VPN 3000 Concentrator v4.0, AES Module for VPN 3000, VPN Client v.4.0. Желілік қауіпсіздікті басқару үшін: Cisco IOS AutoSecure, Cisco Security Device Manager v1.0 , Cisco ISC v3.0, CiscoWorks VMS v2.2, CiscoWorks Security Information Management Solution (SIMS) v3.1. Желілік шабуылдар мен кедергілерді анықтау мен алдын алу үшін: IDS 4215 Sensor, IDS Network Module for Cisco 2600XM, 3660, 3700 series, Cisco Security Agents v4.0, Cisco CSS 11501S and WebNS v7.2 SSL sw ,Cisco ACNS Software version 5.0.3 with Websense Content Filtering On - Box. Қорғаныстағы ақпараттар алмасудағы қатысушыларды идентификациялау үшін: Cisco IOS software Identity Enhancements. Network based IPSec VPN solution for Service Providers MPLS - VPN, IP - VPN и FRATM базасында VPN бір интеграцияланған пакеттік басқару көмегімен қол жетімді қызмет көрсету ұсынушыларына бөлінген желілерді басқаруға мүмкіндік береді.
2.5 Рұқсат етілудің қолданушылық және ерекше құқықты деңгейлері
Маршрутизатор конфигурациясы үшін Cisco IOS командалық жолақ интерфейсін қолданады, онымен консолдық порт немесе алыстатылған қол жетімділіктің модем және желі бойымен байланыстағы - telnet көмегімен маршрутизатроға қосылған терминал арқылы жұмыс істеуге болады. Командалық жолақ сеансы EXEC - сессия деп аталады.
Қауіпсіздік мақсатында Cisco IOS командалық жолақ интерфейсіне екі қол жеткізу деңгейлерін қамтамасыз етеді: қолданушылық және ерекше құқықты. Қолданушылық деңгей user EXEC режим деп аталады, ал ерекше құқықты деңгей privileged EXEC режим. Ерекше құқықтың 16 деңгейі бар: 0 ден 15-ке дейін. 0-ші деңгейде бес командаға ғана қол жетеді: disable, enable, exit, help, logout. 15-ші деңгейде барлық командаларға қол жетеді.
Қолданушылық деңгей. Командалық жолақ түрі Router түрінде. Бұл режим терминал баптамаларын, басты тесттерді орындауға, жүйелік ақпараттарды қарауға және алыстатылған құрылғыға қосылуға уақытша мүмкіндік береді. Қолданушылық режим қолданылуы бойынша бірінші деңгейлі ерекшеліктерге ие. Командалар жиыны қысқартылған. Ерекше құқықтардың келесі деңгейіне өту үшін enable [деңгей номері] командасын енгізу керек, мысалы Routerenable 7. Еnable және enable 15 командалары бір біріне қайтарымды командалар болып табылады және қолданушыны ерекше құқықты деңгейге алып келеді.
Ерекше құқықты режим. Командалық жолақ Router# түрінде болады. Ерекше құқықты командалар жиыны жүйе жұмысының параметрлерін орнатады. Қолданушы глобалды конфигурациялану командаларына және конфигурацияланған режимге қол жеткізеді. Қолданушылық режимнің ерекше құқытардың бірінше деңейімен өте ауқымды. Бұл режимнен telnet, connect, tunnel, login сияқты қауіпті және кейбір қолданушыларға керек емес командаларды: traceroute, enable, mstat, mrinfo, және де басқа команда топтарын: show: show hosts, show versions, show users, show flash және басқа да көптеген командаларды орындауға болады.
2.6 Парольды қорғаныс
Қолданушылық және ерекше құқықты қолжетімділік деңгейлерімен сәйкесінше парольдардың екі түрі болады: username password және enable secret (немесе enable password). Осы екі пароль түрі де 25 символға дейінге ұзындыққа ие және әр түрлі белгілер мен бос орындар болуы мүмкін.
Username password типті пароль оған сәйкес келетін қолданушы атымен орнатылады. Ол конфигурация режимінде келесі командамен бекітіледі (cook қолданушы, queen пароль):
Router(config)#username cook password queen
Конфигурацияны енгізгенде (show running - config команда көмегімен) экранда келесі ақпаратты көреміз:
username cook password 0 queen
Бұл жолақтан көріп тұрғанымыздай пароль ашық түрде болып тұр, 0 типі шифрланбаған пароль дегенді білдіреді. Егер конфигурацияның ең басын қарайтын болсақ, келесі жолақты байқауымызға болады:
no service password - encryption
Бұл парольдың көрінетін бөлігінің шифрлау сервисі. Қолданылуы бойынша ол сөндірулі. Бұл сервисті қосу (ең қарапайым сипаудан - қауіпсіздікті қамтамасыз ету үшін) дұрыс болып саналады.
Router (config) #service password - encryption
Онда қолданушы аты мен паролі туралы конфигурация жолағы басқаша түрге енеді, мұнда біз пароль текстін анық көре алмаймыз (7 типі - шифрланған пароль):
username cook password 7 03154E0E0301
Рrivileg EXEC level-ға (ерекше құқықты деңгей) ені үшін қолданушы пароль енгізу керек. Өшіп тұрған севис кезінде шифрланған парольге сәйкес келетін конфигурациядағы жолақ келесі түрге енеді:
enable password queen
2.7 Маршрутизаторға рұқсатты шектеу
Маршрутизаторды telnet арқылы алыстатып немесе консолды порт арқылы локалды немесе AUX порты арқылы басқаруға болады. Осыдан маршрутизаторға рұқсатты шектеудің екі түрі пайда болады: локалды және алыстатылған.
Маршрутизаторға қол жеткізу оны конфигурациялау және мониторингтеу үшін алты түрлі әдіспен орындалады:
oo терминалдан, администратор компьютерінен(COM - порт), немесе маршрутизатордың консолды порты арқылы терминалды серверден;
oo терминалдан, администратор компьютерінен (COM - порт), немесе AUX портына қосылған модемге қоңырау шалу аррқылы терминалды сервермен;
oo Telnet арқылы;
oo Unix құралдарымен - rsh командасымен;
oo SNMP хаттамасы бойынша (community RW - жазу құқығы бойынша);
oo WWW - интерфейсі арқылы (HTTP - сервер маршрутизаторына орнатылған).
Терминалды сервер деп маршрутизаторлардың консолды кабельдері қосылатын бірнеше RS - 232 (COM - порты) стандартты кезекті асинхронды хост аталады. Қарапайым компьютерде екі СОМ - порт болғандықтан ПК базасындағы көппортты терминалды серверін ұйымдастыру үшін қосымша СОМ - порттармен (мысалы, RocketPort) карта орнату қажет болады. Cisco құрылғылары ішінен терминалды сервер ретінде Cisco 2509 маршрутизаторлары (8 асинхронды интерфейстер) және 2511 (16 асинхронды интерфейстер) ... жалғасы
Виртуалды жеке желілір (VPN) технологиясының маңызы - берілген канал бойынша таратылатын ақпараттың шифрлаудың арнайы алгоритмін қолдануынан өте жоғары қауіпсізідігін қамтамасыз ететін, VPN қолданушысының компьютерінің арнайы бағдарламалық қамтама көмегімен орнатылып қойылған жалпы қолжетімді желі үстіне қосылғанда жаңа жабық шифрланған байланыс каналы қалыптасады.
Бүгінгі таңда, глобалды компьютерлік желілер кең қолданыста болғандықтан, өзінің жеке локалды желіңді тұрғызу (мысалы, өз кеңселік желілерді қосу ушін) тиімсіз болып табылады. Оданда бір глобалды желіге қосылып, сол арқылы жұмыс жасаған арзанырақ. Алайда глобалды желі арқылы таратылатын ақпаратты ауыстырып немесе жолдан ұстап қалу оңайға түседі.
Осы жағдайлардан қорғануға мүмкіндік беретін, әмбебап желіні - VPN (виртуалды жеке желіні) қолдану.
VPN желісі арқылы өтетін ақпарат тарату берілген ақпараттарды шифрлау арқылы жүзеге асады. Виртуалды жеке желілерді қолдану бар таратылатын ақпаратқа болжанбаған қолданудан қорғануға рұқсат етеді және де қолданушыларға жалпы желінің документтеріне қолданысты қамтамасыз етеді, себебі олар корпоративті документтер. Сонда да қолданыстағы мекен - жайлар желіде құпия болып қалмақ.
VPN таратылатын ақпараттардың тұтастығын және қауіпсіздігін қамтамасыз ететін жеке машиналар бірлестігін немесе виртуалды желідегі локалды желі болып табылады. Ол ерекшеленген жеке желі қасиетіне ие және екі компьютер арасында ақпаратты аралық желі арқылы (internetwork) таратуға мүмкіндік береді, мысалы Internet. VPN алыстатылған қол жетімділік әдістерімен салыстырғанда экономикалық артықшылықтарымен ерекшеленеді. Біріншіден, қолданушылар корпоративті желіге онымен коммутациялық байланыс орнатпай-ақ қосыла алады, осылайша модемдерді қолдану қажеттілігі болмайды. Екіншіден, ерекшеленген желілерді қолданбауға болады.
VPN техникалық жүзеге асуы үшін, стандартты желілік құрылғылардан басқа, туннельдердің пайда болуының бар функцияларын, ақпарат қауіпсіздігін, трафик бақылауын, және де орталықтандырылған басқару функциясын орындайтын VPN шлюзі қажет болады. Бүгінгі таңда VPN - үнемді, сенімді және жалпыға қол жетімді алыстатылған қол жетімділіктің ұйымдастырылуының шешімі. Ара қашықтық қандай болмасын, VPN жер бетінің кез келген нүктесімен байланысты қамтамасыз етеді және ең маңызды ақпараттардың таратылуының сақтап қалуын қамтамасыз етеді.
1 Виртуалды жеке желілердің сипаттамасы мен өңделуі
1.1 Виртуалды жеке желілердің сипаттамасы
Виртуалды жабық желілер кез келген желі арқылы қауіпсіз туннельдеуді қаматамсыз етеді және Internet арқылы локалды желілер арасында қауіпсіз маршруттауды жүзеге асырады.
VPN ерекшеленген желі қасиеттеріне ие, бірақ жалпы қолданыстағы, мысалы Ғаламтор, желі шегінде ғана қолданыла алады. Туннельдеу әдісі көмегімен ақпараттар пакеті қарапайым екі нүктелік байланыстағы сияқты жалпы қолжетімді желі арқылы трансляцияланады. Әр таратушы - ақпарат қабылдаушы жұптары арасында бір хаттама ақпараттарын басқа хаттама пакеттеріне шығаруға рұқсат ететін, қауіпсіз логикалық байланыс - өзінше бір туннель орнатылады. Туннельдердің ең маңызды қасиеті әр түрлі трафиктердің дифференциясы және оларға қызмет көрсетудің керекті приориттерін бекіту. Туннельдің басты компоненттері:
-инициатор;
-маршруттаушы желі;
-туннельдік коммутатор;
-бір немес бірнеше туннельдік терминаторлар.
Туннельдерді әр түрлі желілік құрылғылар және программалық қамтама үзе және бейнелей (иницировать) ете алады. Мысалы, туннель алыстатылған қол жетімділікке байланыс орнату үшін модеммен және керекті программалық қамтамамен жарақтанған мобильді қолданушының ноутбугымен бейнеленген бола алады. Инициатор орнына керекті функционалды мүмкіншілітерімен дараланған экстра желі маршрутизаторы қолдана алады. Туннель әдетте экстра желі коммутаторымен немесе провайдер қызметі шлюзімен аяқталады.
Өз алдына VPN-нің жұмыс принципі басты желілік технологиялар және хаттамаларына қайшы келмейді. Мысалы, алыстатылған қол жетімділікке байланыс орнатқанда клиент оның үстіне РРР стандартты хаттама пакеттерін жібереді. Локалды желілер арасында виртуалды ерекшеленген желілер пайда болғанда олардың маршрутизаторлары да РР пакеттерімен алмасады. Сонда да жаңа кезең болып пакеттердің жалпыға қол жетімді желі шегінде ұйымдастырылған қауіпсіз туннель арқылы қайтарымды болып табылады.
Туннельдеу логикалық ортада пакеттерді бір хаттамадан басқа хаттама қолданушысына таратуды ұйымдастыруға мүмкіндік береді. Нәтижесінде бірнеше әртипті желілердің өзара әсері мәселесін шешуге мімкіндік туады, таратылатын деректердің тұтастығы мен құпиялылығынан бастап және сыртқы хаттамалардың немесе адресация схемаларының сәйкес келмеуін шешумен аяқталады. Корпорацияның қолданыстағы желілік инфрақұрылымы программалық қамтама арқылы да ақпараттық қамтама арқылы да VPN қолдануға дайын болады. Альтернативті шешім - желілік хаттамалардың туннельдеу хаттамаларына пакеттер инкапсуляциясы үшінші деңгейлі туннельдеу деп аталады. Туннельдерді ұйымдастыру кезінде қандай хаттамалар қолданылса да немесе қандай мақсат қойылса да, басты методика өзгеріссіз қалады. Әдетте бір хаттама алыстатылған түйінмен байланыс орнату үшін, ал екіншісі - деректердің және қызметтегі ақпарат инкапсуляциясы туннель арқылы тарату үшін қолданылады. Хаттамалар арасындағы және адрестер схеманы сәйкес келмеушілікті жою үшін қолданылатын туннель мысалы ретінде IPv6 хаттамасымен бірге шығатын Simple Internet Transitien (SIT) технологиясын келтіруге болады. Бұл инженерлер тобымен мұқият жасалған (IETF) туннельдеу методолиясы, ол желі аралық хаттаманың төртінші түрінен (IPv4) алтыншыға (IPv6) ауысуын оңайлатады. Бұл хаттама түрлері бір бірінен өзгеше, өзара сәйкестік жоқ. IPv6 хаттамасының пакетін IPv4 хаттамасының пакетіне инкапсуляциялау функциялық сәйкестік деңгейіне жетуге мүмкіндік береді.
VPN (Virtual Private Network - виртуалды жеке желі) технологиясы - бұл желі қауіпсіздігін және ол арқылы берілетін деректер қауіпсіздігін жалғыз тәсілі. VPN-нің мақсаты (1.1-сурет) келесілер:
1.1-сурет. VPN ұйымдастыру схемасы
Ғаламторға қосылған барлық компьютерлерге VPN-ді іске қосатын құрылғы орнатылады (VPN - агент). Бір компьютер қорғансыз қалмауы керек.
VPN - агенттерді автоматты түрде шығатын ақпаратты шифрлайды (және сәйкесінше қабылданған ақпаратты кері шифрлайды) және де олар ЭЦП көмегімен немесе имитоқосымшалар (имитоприствок) (шифрлау кілтін қолдану арқылы есептелген криптографиялық бақылау суммасы) көмегімен оның тұтастығын қадағалайды.
Ғаламторда айналыстағы ақпарат IP хаттамалары болып табылатындықтан, VPN - агенті солармен жұмыс істейді.
IP - пакеті жіберместен бұрын VPN - агент келесі жолмен жұмыс жасайды:
ІР - қабылданған адресі бойынша шифрлау алгоритмінен берілген пакетті және кілтті қорғау үшін керектісін таңтайды. Пакетке ЭЦП таратушы немесе имитоқосымшаны анықтайды және қосады. Пакетті шифрлайды (тұтасымен, тақырыбын қоса).
Инкапсуляция жүргізеді, яғна қабылдағыш адресін емес, VPN - агент адресін көрсететін жаңа тақырып қалыптасады. Бұл пайдалы қосымша функция VPN- агент орнатылған екі компьютер арасындағы алмасу сияқты екі желі арасындағы алмасуды қамтамасыз етеді. Кері мақсаттағы кез келген пайдалы ақпарат, мысалы ішкі ІР - мекен-жайлар, енді қол жетімсіз болады.
ІР - пакеті қабылдауда кері іс-әректтер орындалады:
- тақырып VPN - агент туралы мәліметтерді сақтайды. Егер ол рұқсат етілген мәзір арасына кірмесе, ақпаратты лақтырып жібереді. Әдейі және кездейсоқ бұзылған тақырыппен пакет қабылдағанда да осындай жағдай орындалады;
- мәзірлерге сәйкес шифрлау алгоритмін және ЭЦП-ні таңдайды, және де керекті криптографиялық кілттерді;
- пакет кері шифрланады, содан кейін оның тұтастығы тексеріледі. Егер ЭЦП қате болса, оны лақтырып жібереді;
- соңында пакет түп нұсқасында өзінің нақты адресатына ішкі желімен жіберіледі.
Барлық операциялар автоматты түрде орындалады. VPN технологиясындағы қиындығы VPN - агентті мәзірлеу, алайда ол тәжірибелі қолданушының қолынан келетін іс. VPN - агент қауіпсіздігі ПК-да болуы мүмкін, ол Ғаламторға қосылған мобильді қолданушыларға тиімді. Бұл жағдайда ол орнатылған компьютердегі деректер алмасуды қорғайды.
VPN - агенттің ІР - пакетінің маршрутизаторымен бірлесуі мүмкін (бұл жағдайда оны криптографиялық деп атайды). Кейінгі кезде әлемдік өндірістер VPN қолданысы орнатылған маршрутизаторлар шығарып жатыр, мысалы Intel шығаратын Express VPN, ол бар өтетін пакеттерді Triple PES алгоритмімен шифрлайды.
Сипаттамалардан көрініп тұрғандай, VPN - агенттерді туннель деп аталатын қорғаныстағы желілер арасында каналдарды қалыптастырады. Шыныменде, олар Ғаламтор арқылы бір желіден екінші желіге қазылған айналыстағы ішкі ақпарат бөтен көздерден жасырын.
1.2 - сурет. Туннельдену және сүзгілену
Одан басқа, барлық пакеттер мәзірлерге сәйкес сүзгіленеді. Осылайша, VPN - агенттің бар жұмыстарын екі механизмге әкелуге болады: өтетін пакеттердің сүзгіленуі және туннельдердің пайда болуы.
Қауіпсіздік саясаты деп аталатын туннельдердің пайда болуының ережелері VPN - агент мәзірлерінде жазылады.
ІР - пакеттер сол немесе басқа туннельге бағытталады немесе келесілер тексерілгеннен кейін лақтырылып жіберіледі:
-тарату көзінің ІР - мекен-жайы (таратушы пакет үшін - желі қорғанысындағы белгіленген компьютер мекен-жайы):
- белгіленудің ІР - мекен-жайы;
- берілген пакет шешетін (мысалы, ТСР немесе UDP) жоғарырақ деңгейдегі хаттама;
- ақпарат жіберілген немесе ақпарат жіберілетін порт номері (мысалы, 1080).
1.2 Виртуалды жеке желілерді қолданудың қажеттілігі
Internet-ті қолданудан көп мөлшерде пайда табу үшін екі маңызды қадам жасау керек. Бірінші қадам - Internet-ке қол жеткізу. Екіншісі - бірнеше асыстатылған кеңселердің бірлесіп жұмыс істеуі үшін Internet желісінің артықшылықтырын іске асыру. Виртуалды жеке желі (VPN) технологиясы алыстатылған локалды желілердің қауіпсіз бірлесіп жұмыс істеуін қамтамасыз етеді. Байланыс орнату құны глобалды желілермен байланыс орнату құнының аз бөлігін ғана құрайды. Әлі күнге дейін бұл технология тек қана сөз жүзінде қалып келеді, бірнеше компания ғана шешімдерді ұсынды. Қазір масштабты WAN желісін қолданатын компаниялар үшін бұл технология бар үміттерін ақтайды.
Жаңа технологияны қолдану түп тамырымен каналдарды қолдануға кететін шығындарды азайтады. Басқа да көптеген компанияларға VPN технологиясы телекоммуникациялық жағынан максималды пайда әкеледі.
Экономикалық эффектісі анық жағдайларға байланысты. Жалпы, алыстатылған кеңселер арасындағы ерекшеленген желілер Internet қызметі қосылған жергілікті провайдерге ауысқан жерде үнемділік болмақ. Ерекшеленген WAN - Internet қызметі провайдерімен байланысының қызметтері каналдың кеңдігі мен алыстығына байланысты төленетін болғандықтан арзан болып табылады.
WAN - қосылуының төмен бағасы, ол VPN технологиясына өткендегі көзге көрінерлік үнемділік. WAN - байланысының инфрақұрылымының қымбат элементтері мен администрацияның оңайлығы - бұл жаңа технологияны қолданудың тағы бір себебі. Көптеген Internet - провайдерлер қосылатын желілерді қолдауды және администрациялау қызметтерін ұсынады. Әдетте, провайдерлер өзара байланыс орнату үшін сіздің кеңсеңізге қосылған каналдың кеңдігінен әлдеқайда кең каналды жоғары жылдамдықты каналдарды қолданады. Осылайша, VPN өткізу қабілетін жоғарлату қажет болса, Internet қызмет көрсету провайдеріне қол жеткізу каналын үлкейтсе жетіп жатыр. Internet қызмет көрсету провайдері коммуникация саласындағы жаңа жетістіктерді уақытылы енгізіп отыруы қажет, ол қосылған уақытта қондырғының модеринизациялануын қамтамасыз етеді.
1.3 VPN классификациясы
VPN шешімдерін бірнеше маңызды параметрлері бойынша классификациялауға болады:
- қолданыстағы ортаның қауіпсіздік деңгейі бойынша;
Қорғаныштылығы. Виртуалды жеке желілердің кең таралғаны. Оның көмегімен сенімді емес желі (Ғаламтор) негізінде сенімді және қорғаныстағы желі құруға болады. Қорғаныстағы VPN мысалы ретінде: IPSec, OpenVPN және PPTP бола алады.
Сенімді. Тарату ортасын сенімді деп санаған кезде және үлкен желі шегінде виртуалды желіасты желі құру керек болғанда қолданылады. Қауіпсіздік мәселесі көкейкесті емес (неактуальный) болады. Мұндай VPN шешімдерінің мысалы: Multi-protocol label switching (MPLS) және L2TP (Layer 2 Tunnelling Protocol). (дұрысырақ айтсақ, бұл хаттамалар қауіпсіздікті қамтамасыз етуді басқаларға жүктейді, мысалы L2TP, әдетте IPSec-пен жұптаса қолданылады), 1.3-сурет.
1.3-сурет. VPN классификациясы
- орындалу тәртібі бойынша;
Арнайы программа-аппараттық қамтама түрінде VPN желісінің орындалуы арнайы кешенді программа-аппаратты құралдар көмегімен жүзеге асады. Мұндай жүзеге асу жоғары өнімділікті және жоғары қорғаныс деңгейін қамтамасыз етеді.
Программалық шешім түрінде. VPN-нің функционалдылығын қамтамасыз ететін арнайы программалық қамтамасыз бар персоналды компьютерді қолданады.
Интеграцияланған шешім. VPN функционалдылығын желілік трафик сүзгілерін, қызмет көрсету сапасын және желілік экранды ұйымдастыруды қамтамасыз ететін кешен қамтамасыз етеді.
oo тағайындалуы бойынша;
Intranet VPN. Ашық байланыс каналдары арқылы деректер алмасатын бір организацияның бірнеше филиалдарының бір қорғаныстағы желіге бірігуі үшін қолданылады.
Remote Access VPN. Корпоративтік желі және үйде жұмыс істей отырып, үйдегі компьютерден корпоративті ноутбуктан, сматфоннан немесе ғаламтор-дүкеннен корпоративті ресурстарға қосылатын жеке қолданушымен арасында қорғаныстағы канал қалыптастыру үшін қолданылады.
Extranet VPN. Сыртқы қолданушылар (клиенттер және тапсырыс берушілер) қосылатын желілер үшін қолданылады. Сенімділік деңгейі: компания қызметкерлеріне қарағанда аз, сондықтан аса бағалы және құпия ақпаратқа қол жеткізуді шектейтін немесе болдырмайтын арнайы межелік қорғанысын орнату қажет.
Ашық байланыс каналдарымен әрекеттесетін бір ұйымның бірнеше филиалдарының біріккен қорғаныстағы желіге бірігуін қамтамасыз ететін Intrenet VPN. Осы нұсқа бар әлемде кең таралды, осы нұсқаны бірінші болып компаниялар жүзеге асырды.
ClientServer VPN. Ол корпоративтік желідегі екі түйін арасындағы деректер таратуды қорғауды қамтамасыз етеді. Бұл нұсқаның ерекшелігі бір желі сегментіндегі орналасқан, мысалы жұмыс станциясы мен сервер, түйіндер арасында VPN тұрғызылады. Мұндай қажеттілік өте жиі бір физикалық желіде бірнеше логикалық желі құру керектігі пайда болған жағдайда пайда болады. Мысалы, қаржылық депортамент және бір физикалық сегментте орналасқан. Серверлерге жүгінген жекелеген кадрлар арасындағы тарифтерді бөлу үшін. Бұл нұсқа VLAN технологиясына ұқсас, бірақ трафик бөлу орнына оны шифрлау қолданылады.
- хаттама типі бойынша;
TCPIP, IPX және AppleTalk негізінде орындалатын виртуалды жеке желілер бар. Бірақ бүгінгі күнде TCPIP хаттамасына ауысуы байқалады, және VPN шешулер осыны қолдайды. Ондағы адрестеу RFC5735 стандарты бойынша таңдалады, ТСР\ІР жекеше диапазонынан.
- желілік хаттама деңгейі бойынша.
ISOOSI эталонды моделі деңгейімен сәйкестендіру негізінде желілік хаттама деңгейі бойынша.
1.4 Виртуалды жеке желі хаттамалары
Қазіргі уақытта VPN - ның кең таралған хаттамалары болып екінүктелік туннельдік байланыс хаттамасы болып табылады (Point - to - Point Tunnelling Protocol - PPTP).
Ол 3Com және Microsoft компанияларында шығарылған. Ғаламтор арқылы корпоративтік желілерге қауіпсіз алыстатылған қол жетімділік мақсатында PPTP TCPIP қолданыстағы ашық стандартын қолданады және көбіне екінүктелік байланыс РРР ескірген хаттамасына иық атрады. VPN Ethernet үстінен схемалық жүзеге асуы 1.4 - суретте көрсетілген.
Іс жүзінде РРР РРТР байланыс орнату сеансының коммуникационды хаттамасы болып қалмақ. РРТР қабылдаушының NT - сервер желісі арқылы туннель қалыптастырады және сол туннель арқылы алыстатылған қолданушының РРР - пакеттерін таратады. Сервер және жұмыс базасы виртуалды жеке желіні қолданады және олардың арасындағы глобалды желінің қаншалықты қол жетімді және қауіпсіз екендігіне көңіл аудармайды.
1.4 - сурет. Ethernet үсті VPN-нің схематикалық жұмыс істеуі
Сервердің сұрауы бойынша байланыстың тоқтатылуы (алыстатылған қол жетімділікті арнайы серверлерінен артықшылығы) локалды желі администрациясына алыстатылған қолданушыларда Windows NT Server қауіпсіздік жүйесі сыртына жолатпайды. Нәтижесінде қолданушы жалпы қолданыстағы желінің функционалды мүмкіншіліктеріне зиян келтірмей виртуалды жеке желіні қолданады. NT домен қызметтері DHCP, WINS және Network Neighborhood-ке қол жеткізуді қоса еш қиындықсыз алыстатылған қолданушыға ұсынылады. РРТР хаттамасының компетенциясы Windows басқармасымен жұмыс істейтін құрылғыларда ғана таралғанымен, қолданыстағы желілік инфрақұрылымдармен әрекеттесуге мүмкіндік береді және өз қауіпсіздік жүйесіне зиян келтірмейді. Осылайша, алыстатылған қолданушы ISDN каналы немесе аналогты телефондық желі арқылы жергілікті провайдер көмегімен Ғаламторға қосыла алады және NT серверімен байланыста орната алады. Оның үстіне компанияларға алыстатылған қол жетімділік қызметін ұсынатын модемдер пуласына қызмет көрсетуге және ұйымдастыруына көп қаражат шашпайды.
Жақын болашақта жаңа екінші деңгейлі (Layer 2 Tunneling Protocol - L2TP) туннельдеу хаттамасы базасы негізінде виртуалды жеке желі саны өспек. Бұл хаттама екінше деңгейде функциялайтын РРТР және L2F (Layer 2 Forwarding - екінше деңгейдің қайта жіберу хаттамасы) біріктіруге және олардың мүмкіншіліктеріне кеңейтуге мүмкіндік береді. Олардың бірі қолданушыларға бірнеше VPN желілерін құруды бейнелеуге (иницировать) мүмкіндік беретін, мысалы бір уақытта Ғаламтор мен корпоративтік желіге қосылуға болатын, көпнүктелік туннельдеу болып табылады.
L2TP және PPTP хаттамалары үшінші деңгейлі хаттамалардан келесі ерекшеліктермен ерекшеленеді:
- корпарацияларға қолданушылар аутентификация тәсілін өз бетінше таңдауға және олардың өз аумағында немесе Ғаламтор - қызметі провайдеріне ерекшеліктерін тексеруге мүмкіндік жасауы. Туннельденген РРР пакеттерді өңдей отырып, қолданушыны идентификациялау үшін қажет ақпаратты корпоративтік желі серверлері ала алады;
- коммутация туннельдерін қолдау - бір туннельдің аяқталуы және басқа біреуінің мүмкін болатын көпшіліктің бір терминаторына бейнеленуі. Туннельдерді коммутациялау РРР байланысын керек соңғы нүктеге дейін созуға және жағдай жасайды.
-корпоративтік желінің жүйелік администраторларына қолданушыларға ішкі серверлермен және брандмауэреге қол жеткізу құқығының бекіту стратегиясын іске асыруға мүмкіндік туғызады. Туннель терминаторлары РРР пакеттерді қолданушылар туралы ақпаратпен қабылдайтын болғандықтан, жеке қолданушылар трафиктерінің қауіпсіздігіне администраторлармен қалыптасқан қауіпсіздік стратегиясын қолдануына болады. Онымен қоса, туннельдік коммутатор қолданған жағдайда ішкі серверлерге сәйкес келетін жеке қолданушылар трафиктерін көрсету үшін екінші деңгейлі туннельді жалғастыруды ұйымдастыруға болады. Мұндай серверлерге пакеттердің қосымша сүзгіленуі тапсырмасы қосылуы мүмкін.
1.5 VPN қауіпсіздігі
Ешқандай компания қаржылық және құпия ақпаратты Ғаламторға енгізбейді. VPN каналдары IРsec қауіпсіздік хаттамасыстандартына енгізілген өте қуатты шифрлау алгоритмдерімен қорғалады. IPSec Ғаламтор үшін ІР хаттамасы қауіпсіздік алғышарттарын қалыптастырады. IPSec хаттамасы желілік деңгейде қауіпсіздікті қамтамасыз етеді және өзара байланыста отқан екі жақтың ғана құрылғыларының IPSec стандартын орнатылғанын ғана талап етеді.
Екеуінің арасында орналасқан қалған барлық құрылғылар ІР - пакеттерінің трафиктерін қамтамасыз етеді. IPSec технологиясын қолданушылардың әрекеттесуін, қорғаныстағы ассоциация - Security Association (SA) терминімен анықтау қабылданған. Қорғаныстағы ассоцияция бір біріне таратылатын ақпарат қауіпсіздігі үшін IPSec-ті қолданатын жақтармен келісім негізінде функционаланады.
Бұл келісімдер бірнеше параметрлермен басқарылады: таратушы мен қабылдаушының ІР - мекен-жайлары, криптографиялық алгоритмдері, кілттерді ауыстыру кезегі, кілттер өлшемі, кілттердің жұмыс істеу ұзақтығы, аутентификация алгоритмі. Басқа стандарттар Microsoft жетілдіретін РРТР хаттамасы, Cisco жетілдіретін L2F хаттамасын енгізеді. Екі хаттаманы L2P2 хаттамасына біріктіру IPSec туннельдік аутентификация мақсатында, тұтастықты тексеру және жеке меншікті қорғау үшін біріктіру Microsoft және Cisco бірге жұмыс істейді.
Шифрланған ақпараттар алмасудағы желінің жоғары жылдамдылығын қамтамасыз ету мәселесі қиындық туғызады. Кодтау алгоритмі процессордың есептелуші ресурстарын, кейде қарапайым ІР - маршруттауға қарағанда 100 есе көп қажет етеді.
Өндірісті арттыру үшін серверлердің де, ПК қолданушыларының да жылдамдығын арттыру керек. Одан да, шифрлауды тездететін ерекше схеманы арнайы шлюздер бар. ІР - менджер белгіленген қажеттіліктерге байланысты виртуалды жеке желілердің конфигурациясын таңдай алады. Мысалы, үйде жұмыс істейтін жұмысшыға қысқартылған желіге қол жетімділік болса, алыстатылған кеңсе менеджері немесе компания басшысына - проект виртуалды желі арқылы жұмыс жасағанда минималды шифрлаумен (56 - разрядты) шектеуі мүмкін, ал компанияның қаржылық және жоспарлық ақпараттары үлкенірек шифрлауды (168 - разрядты) қажет етеді.
1.6 Сыртқы және ішкі шабуылдардан қорғаныс
Өкінішке орай, VPN құрылымы толығымен шабуылдарды анықтайтын және бөгейтін құрылым болып табылмайтынын айта кету керек. Олар кейбір жекелеген іс-әрекеттерді, бірақ хаккерлер корпоративтік желіге кіру үшін жасайтын барлық іс-әрекеттерді емес, алдын ала алады. Олар қызмет көрсетуден бас тарту (оны антивирусты жүйелер мен шабуылды анықтайтын жүйелер жасайды) типті шабуылдар мен виртуалды анықтай алмайды, олар деректерді әр түрлі белгілері бойынша сүзгілемейді (оны желіаралық экрандар жасайды) және сол сияқты, бірақ бұл қауіптіліктер қорқынышты емес, себебі VPN керішифрланбаған трафикті қабылдамай, кері қайтарады. Бірақ іс жүзінде олай емес. Біріншіден, VPN құрылысы трафиктің тек бөлігінің ғана қорғанысы үшін қолданылады, мысалы, алыстатылған филиалға бағытталған. Екіншіден, статистика алдында тіпті скептиктер бастарын иеді. Ал статистика бойынша, 80 % ақпарат қорғанысына байланысты жағдайлар корпоративтік желіге қол жетімділікті авторизацияланған қолданушылар керісінше болады. Одан кейін қорытынды жасауға болады; шабуыл немесе вирус трафик деңгейінде кері шифрланады.
1.7 Желі өнімділігі
Желі өнімділігі - өте маңызды параметр және оның томендеуіне әсер ететін құралдарға әрбір бірлестік күмәндана қарайды. VPN - құрылғысы арқылы өтетін трафиктердің өңдеуінен болатын кірістер туғызатын VPN құрылысы қысқарту болмайды. Трафиктердің криптографиялық өңделуі нәтижесінде болатын кідірістерді үш түрге бөлуге болады:
oo VPN - құрылғылары арасындағы қозғалысты байланыс орнату кезіндегі кідірістер;
oo қорғанысты деректерді шифрлаудағы және кері шифрлаудағы, сонымен қоса олардың тұтастығы үшін басқарудағы түрлендірулерге байланысты кідірістер;
oo таратылатын пакетке жаңа тақырыып қосудан болатын кідірістер.
Бірінші, екінші және төртінші нұсқалы VPN құрылысының жүзеге асуы желі абоненттері арасындағы қорғанысты байланыс орнатудағы емес VPN - құрылғылар арасындағыны ғана қарастырады. Қолданылатын алгоритмдердің криптографиялық беріктілігін ескере кілт ауыстыру ұзақ уақыттық интервалдан кейін ғана мүмкін болмақ. Сондықтан бірінші типті VPN құрылысын қолдану деректер алмасу жылдамдығына әсер етпейді. Әрине, бұл жағдай 128 бит-тен аз кілттерді қолданатын тұрақты шифрлау алгоритміне қатысты. DES бұрынғы стандартын қолданатын құрылғылар желі жұмысына анықталған кідірістер туғызады.
Екінші типті кідірістер деректерді жоғары жылдамдықты каналдар (10Мбитс бастап) арқылы таратқанда ғана пайда бола бастайды. Қалған барлық жағдайларда программалық және ақпараттық жүзеге асыруының таңдалған шифрлау алгоритмдері мен тұтастықты бақылау жылдамдығы жеткілікті жоғары және пакетті шифрлау - пакеттің желіге жіберілуі және желіден пакетті қабылдау - пакетті кері шифрлау тізбегінде уақыт берілген пакетті желіге жіберуге қажетті уақыттан шифрлау (кері шифрлау) уақыты алдеқайда аз.
Мұндағы ең басты кедергі VPN - құрылғысы арқылы өтетін әр пакетке қосымша тақырып қосылуы болып табылады. Мысал ретінде, алыстатылған станция мен орталық пункт арасындағы шыншыл уақытта деректер алмасатын диспетчерлік басқару жүйесін қарастырайық. Таратылатын деректер өлшемі көп емес - 25 байт көлемінде. Сәйкес келетін өлшемдер банктік сферада (төлем жұмыстары) және ІР - телефонияға беріледі. Таратылатын деректер қарқындылығы - 50-100 ауыспалы секундына. Түйіндер арасындағы әрекеттесу 64 кбитс өткізу қабілетімен жүзегеасырылады. Бір ауыспалы процессы 24 байт ұзындыққа ие (ауыспалы аты - 16 байт, ауыспалы белгісі - 8байт, қызмет көрсетуші тақырыбы - 1 байт). ІР - хаттама пакет ұзындығына 24 байт қосады (ІР - пакет - тақырыбы). Тарату ортасы ретінде Frame Relay LMI-ды қолданғанда FR - тақырыбына 10 байт қосылады. Барлығы - 59 байт (472 бит). Осылайша, 10 секунд (75 пакет секундына) ішінде 750 ауыспалы процесс белгісін тарату үшін 75x472=34,5 Кбитс өткізу жолағы қажет, ол 64 Кбитс өткізу қабілетінің шектеуіне жақсы енгізіледі. Желіге VPN құрылымы құрылғысын енгізгенде желі қалай жұмыс істейтінін көрейік. Алғашқы мысал - SKIP ұмытылған хаттама негізіндегі құрылғы. 59 байт деректерге 112 байт қосымша тақырып қосылады, барлығы 171 байт (1368 бит) болады. 75x1368 = 102,6 Кбитс, бұл осы байланыс каналының өткізу қабілетін 60%-ға көтереді.
IPSec хаттамасы және жоғарыда көрсетілген параметрлер үшін өткізу қабілеті 6%-ға (67,8 Кбитс) өседі. Бұл ГОСТ 28147-89 алгоритмі үшін қосымша тақырып 54 байтты құрау керек шарты кезінде. Атап өтетін жағдай, желіде көрсетілген ауыспалыдан басқа ештеңе таратылмаған жағдайда ғана дұрыс болып табылады.
1.8 VPN желінің артықшылықтыры мен кемшіліктері
1.8.1 VPN технологиясының артықшылықтыры. VPN технологиясының артықшылықтары сенімді, тіптен көптеген компаниялар Ғаламторды ақпаратты тарату үшін глобалды құрылғы ретінде өз стратегяларын құра бастайды. VPN-нің артықшылықтары көптеген кәсіпорындармен бағаланған. VPN-ді дұрыс таңдаған жағдайда:
oo ғаламторға қол жетімді бағасы бойынша қорғаныстағы байланыс каналдарын аламыз, бұл ерекшеленген желіден бірнеше есе арзан;
oo VPN - ді орнату кезінде желі топологиясын өзгерту, қосымшаларды көшіруге, қолданушыларды үйрету қажет емес, бұның барі айтарлықтай үнемдірек;
oo VPN өсу кедергісін туғызбайтындықтан және жасалған инвестицияларды сақтайтындықтан масштабтау орындалады;
oo криптографияға тәуелді болмайсыз және ұлттық стандарттарға сай қай елдің болмасын және қай өндірушінің болмасын криптография модулін қолдана аласыз;
oo ашық интерфейстер сіздің желіңізді басқа программалық өнімдермен және бизнес-қрсымшамен интеграциялауға мүмкіндік береді.
1.8.2 VPN кемшіліктері. Оларға салыстырмалы сенімділіктің төменділігін жатқызуға болады. Frame relay негізіндегі ерекшеленген желілермен салыстырғанда виртуалды жеке желілердің сенімділігі төмен, бірақ 5-10, кейде 20 есе арзан болып табылады. Батыс аналитиктарының есептеуінше, бұл VPN-нің сатылуын тоқтатпайды. Себебі, сатушылардың, мысалы бағалы қағаздармен, қолданушылардың бес пайызына ғана осындай жоғары стандарттар қажет. Ал қалған 95%-ы байланыстағы қиындықтарға соншалықты көңіл бөлмейді, ал ақпаратты қабылдауға кеткен уақыттың көп шығыны үлкен шығындарға алып келмейді. VPN қызмет көрсетуі сыртқы операторымен ұсынылатын және қолдау алатын болғандытан firewall баптамаларында және қол жетімділік базасына өзгерістер енгізу жылдамдығымен және жұмыс істеу қалпынан бұзылып қалған құрылғыларды қалпына келтіруде қиындықтар туындауы мүмкін. Қазіргі уақытта келісімшартта өзгерістер енгізу және бұзылуларды жөндеуге кететін уақыт көрсетіліп, бұл мәселе шешілуде. Әдетте бұл уақыт бірнеше сағатты құрайды, бірақ бұзылуларды бір тәулік ішінде қалпына келтіруге кепілдік беретін провайдерлер кездеседі.
Тағы бір кемшілік ол - қолданушылардың VPN-ді басқаратын ыңғайлы құрылғының болмауы. Бірақ кейінгі кезде VPN басқаруды автоматтандыруға болатын құрылғы жасалуда. Forester Research аналитиктары айтатындай, компания - операторларымен басқарылуы керек, ал программалық қамтаманы ойлап табушылардың міндеті - осы қиындықты шешу.
1.9 VPN технологиясының преспективалары
Өзінің даму деңгейі бойынша VPN ІР - хаттамасында жұмыс істейтін мобильді қолданушыларды, іскер серіктестерді және маңызды корпоративтік қосымшалармен жеткізушілерді байланыстыратын өзара әрекеттесуші желілерге айналады. VPN нарықты жағдай жасау және өндірісті модеринизациялауға көмектесетін жаңа коммерциялық операциялар мен қызмет көрсетудің алғышарты болмақ. Болашақ VPN - нің маңызды компаненті желі конфигурациясы және соңғы қолданушылар деректерін енгізетін катаолгтар сервері болуы мүмкін. Бұл VPN провайдері басқаратын жалпықолданыстағы желі және корпоративтік желідегі компьютерлік жүйе болмақ. Желілік каталог болмаса да, сондай ақ ақпарат қауіпсіздігін және қызмет көрсету сапасы болмаса да ақырғы қолданушылар мезетте VPN арқылы байланыс орната алады. IpV6 хаттамасында қолдануы да мүмкін. Ол хаттамада жұмыстар жүргізілуде. Берілген хаттама өткізу жолағымен қоса желілік жасап шығарушылар қалаған VPN-мен әрекеттесудің барлық мүмкіндіктеріне ие. Және де IpV6 - пакеттерінің қай ағынға жататынын анықтауға болады. Мысалы шыншыл уақытта тарату үшін мультимедиялық деректер пакеті приориттер алады. Cisco Systems, Cabletron Systems, 3Com, Bay Networks, HCL Comnet сияқты желілік нарықтың басты ойыншылары VPN-нің келе жатқан жарылысына дайындалуда. Программалық қамтама мен құрылғылардың қазіргі вендоры VPN-ді құру және эксплуаттау үшін құрылғылар жинағын ұсынады. VPN жетілдіруден желілік құрастырушылардан басқа, одан қызығып отқан операторларда пайда таппақ. VPN қазіргі уақытта Unisource (AT&T, Telia, PTT Suisse и PTT Netherlands), Concert (BTMCI) және Global One (Deutsche Telekom, France Telekom) сияқты глобалды операторлардың құрастыру стратегиясына шешуші ықпал етеді. VPN - қызмет көрсетуін қаншалықты компаниялар ұсынса, соншалықты оның сапасы өспек, ал бағасы төмендейді. Бизнестағы әр революция жеке басшылықты лезде көбейтетін өнертабыстан басталатын.
2 Желіні жобалау және құрылғыларды таңдау
Маршрутизаторлар нарығында Cisco Systems компаниясы ең басты лидер болып табылады (нарықтың 70%-ға жуығын алып тур; екінші орында Juniper, 21%). Cisco кіші кеңселерге арналған қарапайм маршрутизаторлардан бастап (800 сериялы) Ғаламтор ядросында орналасатын мультигигабиттық (12000 сериялы) құрылғыларға дейінгі модельдерді ұсынады.
Cisco маршрутизаторларынан басқа сымсыз желілер ұйымдастыру үшін Catalyst маркалы ЛВС коммутаторларымен, PIX маркалы желіаралық экрандарымен, IP - телефонияға арналған өнімдермен, Aironet маркалы өнімдермен белгілі. Шығарылатын өнімдер намеклатурасы бойынша Cisco Systems байланыс құрылғылары нарығында жетекші орында (14%; екінші орында Siemens 11,7%).
800 сериялы модельдерден басқасы белгілі немесе басқа модульдік деңгейімен жарақталған, яғни ауыспалы интерфейстік модульдерді және арнайы есептеуіш модульдерді (дауысты шифрлауға және өңдеу үшін) орнатуға мүмкіндік береді. Сәйкесінше, құрылғы бағасы комплектацияға байланысты. 2500 және 4000 сериялы құрылғылар да кең таралған, бірақ қазіргі уақытта олар өндірістен алынып тасталынған (2509 және 2511 модельдерінен басқа). 2500 орнына 1700 және 2600 сериялы маршрутизаторлар, ал 4000 орнына 3600 сериялы маршрутизаторлар келді.
2.1 Cisco маршрутизаторларының программалық қамтамалары
Барлық Cisco маршрутизаторлары Cisco IOS операционды жүйе басқаруымен жұмыс жасайды. Әрбір маршрутизатор моделі үшін IOS-тің бірнеше түрін ұсынады.
IOS түрлері версия бойынша ажыратылады. Cisco версия идентификациясының күрделі жүйесін қолданады. Cisco IOS версиясының номері үш бөлімнен тұрады:
oo басты релиз номері (major release; қазіргі таңда әдетте басты релиздер 11.3, 12.0, 12.1, 12.2 кездеседі);
oo 1 ден басталатын жаңару номері (maintenance release). Жаңадан өңделіп отыру әр 8 апта сайын жүргізіліп отырады, оларға қателерді түзеу кіреді. Релиздердің функционалдық мүмкіндіктері өзгермейді;
oo әріппен басталатын қосылу номері (software rebuild), а-дан басталады. Қосылу келесі жаңаруды күте алмайтын қателерді жылдам түрде жөндеуге арналған.
Әр версия ұзақтылық деңгейімен сипатталады, әдетте бұл LD (Limited Deployment) және GD (General Deployment). LD GD салыстырғанда эксплуатация тәжірибесімен және тестілеу көлемінің аз болуымен көрінеді.
2.2 Басты интерфейстер
Әр маршрутизаторда физикалық интерфейстердің бірнеше саны болады. Интерфейстердің көбірек таралған түрі болып EthernetFastEthernet және кезекті (Serial) интерфейі болып табылады. Кезекті интерфейстер аппатарттық қолданылуы бойынша синхронды, синхронды - асинхронды (режим конфигурация командасымен таңдалады) және асинхронды болады. Кезекті интерфейстердің физикалық деңгейінің хаттамалары: V.35 (көбіне синхронды желіде қолданылады), RS - 232 (көбіне асинхронды желіде қолданылады) және басқалар.
Әр интерфейске маршрутизатор корпусындағы ажыратуға сәйкес келеді. Шиырмалы жұптағы Ethernet интерфейсі RJ - 45 ажыратуы сәйкес келеді, бірақ кейбір модельдерде (2500 сериялы) Ethernet-тің физикалық деңгейінің сол немесе басқа интерфейсін жүзеге асыратын ішкі трансиверге қосылуды талап ететін AUI (DB - 15) ажыратуы кездеседі.
2.3 Консольды интерфейстер
CON және AUX арнайы кезекті интерфейстері - администратор терминалынан маршрутизаторды баптау және басқару үшін арналған. CON интерфейсі администратор компьютерінің СОМ - портына қосылады. AUX интерфейсіне модем қосылады, бұл модемге хабарласу арқылы алыстатылған маршрутизаторды басқару мүмкіндігін береді. AUX интерфейсі дейтаграмма маршрутизациясы орындалатын қарапайым кезектегі интерфейс ретінде де қолданылуы мүмкін, бірақ бұл интерфейстегі пакеттерді өңдеу процессорлық уақыттың ұзақ болуын талап етеді (әр қабылданған байт үзілді тудырады), ал жылдамдық 115 кбитс-пен шектелген. CON интерфейсі маршрутизатроға терминалды қол жеткізу үшін ғана қолданылады, COM - портының параметры 9600 - 8 - N - 1 болуы керек.
CON және AUX ажыратулары RJ - 45 форматында орындалған. Оларға қосылу маршрутизатроға қосылулы RJ45 - RJ45 арнайы кабелі арқылы жүзеге асады. Бір үшымен кабель CON-ға немесе AUX-қа қосылады, ал екінші ұшына жалғастырғыш (переходник) кигізіледі. CON портының компьютерге қосылуы үшін кабельге TERMINAL деп белгіленген жалғастырғыш кигізіледі, AUX портының модемге қосылуы үшін модем жақтан MODEM жалғастырғышы қолданылады.
2.4 Желі қауіпсіздігін қамтамасыз ету үшін Cisco Systems шешімі
Cisco Systems компаниясы желілік құрылғылар шығарушылар арасындағы көшбасшы болып табылады, желілік қауіпсіздікті қаматамасыз ету мәселесіне шешімдер ұсынады. Төменде осының айналасындағы жаңа өнімдер мен шешімдердің жаңа қысқаша түсіндірме келтірілген.
Желілік байланыстардың қауіпсіздігін қамтамасыз ету үшін: Network based IPSec VPN solution for Service Providers, VPN AIM Module for Cisco 2600XM, VAM2 Card for 7200s, VPN SM for Cat65007600, VPN 3000 Concentrator v4.0, AES Module for VPN 3000, VPN Client v.4.0. Желілік қауіпсіздікті басқару үшін: Cisco IOS AutoSecure, Cisco Security Device Manager v1.0 , Cisco ISC v3.0, CiscoWorks VMS v2.2, CiscoWorks Security Information Management Solution (SIMS) v3.1. Желілік шабуылдар мен кедергілерді анықтау мен алдын алу үшін: IDS 4215 Sensor, IDS Network Module for Cisco 2600XM, 3660, 3700 series, Cisco Security Agents v4.0, Cisco CSS 11501S and WebNS v7.2 SSL sw ,Cisco ACNS Software version 5.0.3 with Websense Content Filtering On - Box. Қорғаныстағы ақпараттар алмасудағы қатысушыларды идентификациялау үшін: Cisco IOS software Identity Enhancements. Network based IPSec VPN solution for Service Providers MPLS - VPN, IP - VPN и FRATM базасында VPN бір интеграцияланған пакеттік басқару көмегімен қол жетімді қызмет көрсету ұсынушыларына бөлінген желілерді басқаруға мүмкіндік береді.
2.5 Рұқсат етілудің қолданушылық және ерекше құқықты деңгейлері
Маршрутизатор конфигурациясы үшін Cisco IOS командалық жолақ интерфейсін қолданады, онымен консолдық порт немесе алыстатылған қол жетімділіктің модем және желі бойымен байланыстағы - telnet көмегімен маршрутизатроға қосылған терминал арқылы жұмыс істеуге болады. Командалық жолақ сеансы EXEC - сессия деп аталады.
Қауіпсіздік мақсатында Cisco IOS командалық жолақ интерфейсіне екі қол жеткізу деңгейлерін қамтамасыз етеді: қолданушылық және ерекше құқықты. Қолданушылық деңгей user EXEC режим деп аталады, ал ерекше құқықты деңгей privileged EXEC режим. Ерекше құқықтың 16 деңгейі бар: 0 ден 15-ке дейін. 0-ші деңгейде бес командаға ғана қол жетеді: disable, enable, exit, help, logout. 15-ші деңгейде барлық командаларға қол жетеді.
Қолданушылық деңгей. Командалық жолақ түрі Router түрінде. Бұл режим терминал баптамаларын, басты тесттерді орындауға, жүйелік ақпараттарды қарауға және алыстатылған құрылғыға қосылуға уақытша мүмкіндік береді. Қолданушылық режим қолданылуы бойынша бірінші деңгейлі ерекшеліктерге ие. Командалар жиыны қысқартылған. Ерекше құқықтардың келесі деңгейіне өту үшін enable [деңгей номері] командасын енгізу керек, мысалы Routerenable 7. Еnable және enable 15 командалары бір біріне қайтарымды командалар болып табылады және қолданушыны ерекше құқықты деңгейге алып келеді.
Ерекше құқықты режим. Командалық жолақ Router# түрінде болады. Ерекше құқықты командалар жиыны жүйе жұмысының параметрлерін орнатады. Қолданушы глобалды конфигурациялану командаларына және конфигурацияланған режимге қол жеткізеді. Қолданушылық режимнің ерекше құқытардың бірінше деңейімен өте ауқымды. Бұл режимнен telnet, connect, tunnel, login сияқты қауіпті және кейбір қолданушыларға керек емес командаларды: traceroute, enable, mstat, mrinfo, және де басқа команда топтарын: show: show hosts, show versions, show users, show flash және басқа да көптеген командаларды орындауға болады.
2.6 Парольды қорғаныс
Қолданушылық және ерекше құқықты қолжетімділік деңгейлерімен сәйкесінше парольдардың екі түрі болады: username password және enable secret (немесе enable password). Осы екі пароль түрі де 25 символға дейінге ұзындыққа ие және әр түрлі белгілер мен бос орындар болуы мүмкін.
Username password типті пароль оған сәйкес келетін қолданушы атымен орнатылады. Ол конфигурация режимінде келесі командамен бекітіледі (cook қолданушы, queen пароль):
Router(config)#username cook password queen
Конфигурацияны енгізгенде (show running - config команда көмегімен) экранда келесі ақпаратты көреміз:
username cook password 0 queen
Бұл жолақтан көріп тұрғанымыздай пароль ашық түрде болып тұр, 0 типі шифрланбаған пароль дегенді білдіреді. Егер конфигурацияның ең басын қарайтын болсақ, келесі жолақты байқауымызға болады:
no service password - encryption
Бұл парольдың көрінетін бөлігінің шифрлау сервисі. Қолданылуы бойынша ол сөндірулі. Бұл сервисті қосу (ең қарапайым сипаудан - қауіпсіздікті қамтамасыз ету үшін) дұрыс болып саналады.
Router (config) #service password - encryption
Онда қолданушы аты мен паролі туралы конфигурация жолағы басқаша түрге енеді, мұнда біз пароль текстін анық көре алмаймыз (7 типі - шифрланған пароль):
username cook password 7 03154E0E0301
Рrivileg EXEC level-ға (ерекше құқықты деңгей) ені үшін қолданушы пароль енгізу керек. Өшіп тұрған севис кезінде шифрланған парольге сәйкес келетін конфигурациядағы жолақ келесі түрге енеді:
enable password queen
2.7 Маршрутизаторға рұқсатты шектеу
Маршрутизаторды telnet арқылы алыстатып немесе консолды порт арқылы локалды немесе AUX порты арқылы басқаруға болады. Осыдан маршрутизаторға рұқсатты шектеудің екі түрі пайда болады: локалды және алыстатылған.
Маршрутизаторға қол жеткізу оны конфигурациялау және мониторингтеу үшін алты түрлі әдіспен орындалады:
oo терминалдан, администратор компьютерінен(COM - порт), немесе маршрутизатордың консолды порты арқылы терминалды серверден;
oo терминалдан, администратор компьютерінен (COM - порт), немесе AUX портына қосылған модемге қоңырау шалу аррқылы терминалды сервермен;
oo Telnet арқылы;
oo Unix құралдарымен - rsh командасымен;
oo SNMP хаттамасы бойынша (community RW - жазу құқығы бойынша);
oo WWW - интерфейсі арқылы (HTTP - сервер маршрутизаторына орнатылған).
Терминалды сервер деп маршрутизаторлардың консолды кабельдері қосылатын бірнеше RS - 232 (COM - порты) стандартты кезекті асинхронды хост аталады. Қарапайым компьютерде екі СОМ - порт болғандықтан ПК базасындағы көппортты терминалды серверін ұйымдастыру үшін қосымша СОМ - порттармен (мысалы, RocketPort) карта орнату қажет болады. Cisco құрылғылары ішінен терминалды сервер ретінде Cisco 2509 маршрутизаторлары (8 асинхронды интерфейстер) және 2511 (16 асинхронды интерфейстер) ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz