VPN желісінің хаттамалары
5
6
7
8
Аңдатпа
Бұл дипломдық жобада
Тараз
қаласындағы
Қазфосфат ЖШС
ұйымының VPN технологиясын қолдану арқылы ұжымдық біріккен желісін
ұйымдастыру қарастырылған. VPN технологиясын іске асыру тәсілдері және
хаттамалары талданып, VPN желісін ұйымдастыруға керекті құрылғылар
таңдалды.
Есептеу бөлімінде арнаның өткізу жолағы, арна сенімділігі, дестелердің
кідірісі, дестелерге қызмет көрсету көрсеткіштері есептелінді. VPN желісін
ұйымдастыру жобасының моделі құрылды.
Экономикалық бөлімде жобаны ұйымдастыруға қажетті қаржылық
шығындар мен экономикалық тиімділігі есептелініп, қайтарылу мерзімі
талданды.
Тіршілік қауіпсіздігі бөлімінде операторлық бөлмеде ауа алмасу,
жарықтандыру есептелініп, қауіпсіздік шаралары және экологияға әсері
талқыланды.
Аннотация
В данном дипломном проекте рассматривается
организация
корпоративной объединенной сети ТОО Қазфосфат в городе Тараз.
Рассматриваются методы реализации и протоколы технологии VPN, а также
был сделан выбор оборудования для организации сети.
В расчетной части были рассчитаны пропускная способность сети,
надежность сети, задержка пакетов, параметры обслуживания пакетов. Создана
модель организации VPN сети.
В экономической части произведен расчет капитальных вложений для
реализации проекта, а также окупаемость данной сети.
В части безопасности жизнедеятельности рассмотрен микроклимат,
освешение операторского помещения, методы безопасности и влияние на
экологию.
9
Мазмұны
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 8
1 Қазіргі қатынау желілеріне талдау жасау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 9
1.1 Тараз қаласы туралы жалпы мәлімет ... ... ... ... ... ... ... ... ... ... ... ... ... ... 9
1.2 Тараз қаласының телекоммуникациялық желісі ... ... ... ... ... ... ... ... .. 12
1.3 VPN туралы жалпы түсінік ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.4 VPN жіктелуі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.5 VPN құру түрлері ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 17
1.6 VPN желісінің хаттамалары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 19
1.7 VPN желілерін жүзеге асыру тәсілдері ... ... ... ... ... ... .. ... ... ... ... ... ... . 22
1.8 VPN технологиясының артықшылықтары мен кемшіліктері ... ... ... .. 24
1.9 VPN болашақтағы дамуы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 25
1.10 Дипломдық жобаның қойылымы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 26
2 Құрылғыны таңдау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 27
2.1 VPN құрылғыларын өндірушілер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 27
2.2 Желіаралық экран ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 29
2.3 VPN желісін IPSec хаттамасы негізінде ұйымдастыру ... ... ... ... ... ... . 30
2.4 VPN ұйымдастыру жобасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 35
3 VPN желісі бойынша есептеу бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 41
3.1 IP-VPN желісіндегі арнаның өткізу жолағын есептеу ... ... ... ... ... ... .. 41
3.2 GPSS World ортасында Ethernet желісін имитациялық модельдеу ... . 50
3.3 VPN жобасының моделін Packet Tracer бағдарламасында құрастыру 54
3.4 Дейкстра алгоримі бойынша ең қысқа жолды табу ... ... ... ... ... ... ... .. 56
4 Өмір тіршілік қауіпсіздігі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 62
4.1 Өмір тіршілік қауіпсіздігі бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 62
4.2 Еңбекті қорғау бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 64
4.3 Экология бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 73
4.4 Бөлім бойынша шешімдер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 74
5 Экономикалық бөлім ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 75
5.1 Түйін ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 75
5.2 Компания және сала ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 76
5.3 Даму жоспары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 77
5.4 Қаржы жоспары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 77
5.5 Эксплуатациондық шығынды есептеу ... ... ... ... ... ... ... ... ... ... ... ... ... 78
5.6 Табыс ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 81
5.7 Пайда және қайтарылу мерзімдерін есептеу ... ... ... ... ... ... ... ... ... ... .. 81
5.8 Шешімдер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 83
Қорытынды ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 84
Қысқартылған сөздер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 85
Әдебиеттер тізімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 87
А Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..89
10
Ә Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..90
Б Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . ..91
В Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..95
11
Кіріспе
Қазіргі заманғы кәсіпорындар жұмысының дамуы және өркендеуі бизнес
үрдісін қамтамасыз ететін ақпараттың қол жетімділігі мен жаңартуларға тікелей
байланысты болады. Қызметкерлердің жұмысын тиімді ұйымдастыру үшін
енгізілетін жаңа қызмет түрлері зияткерлік желілер мен ақпарат жіберу жүйесі
болып табылады. Бұл жаңа желілер бейнеконференция, дәстүрлі ақпарат жіберу
жүйесі, телефондық байланыс және бейнетарату секілді байланыс түрлерімен
қамтамасыз ететін орта ретінде танылады.
Ақпараттық технологиялардың дамуы нәтижесінде ғаламтор желісі
арқылы ұжымдық желі шекарасында жіберілген ақпаратты рұқсатсыз
енулерден қорғау және қауіпсіздігін қамтамасыз ету қажеттілігі туындайды.
Ұйымның өзінің физикалық қатынау арналарын қолдану кезінде бұл желіге
тысқарыдан ешкім қатынай алмайды. Алайда мұндай арналардың құны жоғары
болғандықтан, кез келген кәсіпорын оған мүмкіншілігі болмайды. Соған
байланысты ғаламтор желісі арқылы қатынау қол жетімді болады. Ғаламтор
желісі қорғалмаған желі болғандықтан, онымен жіберілетін құпия ақпаратты
қорғау тәсілдерін қолдану қажет болады.
VPN (Virtual Private Network) виртуалды жеке желілер - бұл сенімді
желілерді, тораптарды және пайдаланушыларды біріктіріп, қорғалған ұжымдық
желі құру технологиясы.
Менің ойымша, бұл ақпарат қорғау технологияларының ішінде ең
дамығаны және ақпарат қорғаудың жоғары деңгейін қамтамасыз етеді.
VPN технологиясы арқылы бір ұйымның тармақталған бөлімшелері
біріккен ұжымдық желіге біріктіріледі.
Дипломдық жоба мақсаты ұйымның қызметін сапаландыру және дамыту
мақсатында деректер алмасу қауіпсіздігін, құпиялығын және рұқсатсыз кіруден
сақтандыруды қамтамасыз ететін "Казфосфат" ЖШС ұйымының біріккен
ұжымдық желісін ұйымдастыру болып табылады.
12
1 Қазіргі қатынау желілеріне талдау жасау
1.1 Тараз қаласы туралы жалпы мәлімет
Жамбыл облысы Қазақстан Республикасының оңтүстігінде орналасқан .
Облыстың солтүстігі Қарағанды облысымен, оңтүстігі
-
Қырғызстан
Республикасымен және Оңтүстік Қазақстан облысымен, шығысы - Алматы
облысымен шекаралас жатыр . Облыс аумағы - 144,3 мың шаршы шақырым
құрайды, мұнда 1,044 млн. шамасында халық тұрады. Облыстың әкімшілік-
аумақтық құрылымына 10 аудан, облыстық мәндегі Тараз қаласы және
аудандық мәндегі Қаратау, Жаңатас, Шу сияқты үш қала, 367 елді мекен бар.
Тараз қаласы административті орталық және Жамбыл облысындағы ең ірі қала
болып табылады. Ол Жамбыл облысының оңтүстік-батыс бөлігінде, Талас-
Асаның шұрайлы алқабында, Қырғыз тауларының солтүстігіне қарай тау
жағындағы жазықта, Талас өзенінің сол жақ жағалауында орналасқан. Қаланың
өзінде облыс тұрғындарының 33,7% жуығы шоғырланған [33].
Қала аумағы - 139 шаршы шақырым жерді құрайды.
Халқының саны - 326,9 мың адам.
Ұлттық құрамы: қазақтар 69,23%, орыстыр 13,59%, өзбектер 2,39%,
татарлар 1,02%, немістер 0,64%, басқалары 13,13%.
Облыс өнеркәсібі дамыған аймақтар қатарына жатады. Қалада сары
фосфор, қоңыр көмір, алтын, мыс, табиғи газ, құрылыс материалдары,
минералдық тыңайтқыштар, натрия трифолифосфат, электр қуаттары, жуылған
жүн, қант, құрылыс
металдық материалдар және құрылымдар,
ферроселикомарганец және тағыда басқалары өндіреледі.
Тамақ өнеркәсібі: Қант АҚ және Төлебай май-2007 ЖШС өсімдік
майын сығып ыдысқа құятын май зауыты, Тараз сервистік дайындау
орталығы тағы сол сияқты өндірістік кәсіпорындары кәсіпкерлерінің
іскерлігінің нәтижесінде ет, сүт өңдеу, сұйық май, ұн, нан өнімдерін өндіретін
кәсіпорындар мен көкөніс өсіретін жылы жайлар іске қосылған. Қазіргі кезде
Тараз қаласында ет өңдеу зауыты салынуда.
Сонымен қатар, қала
шаруашылығында өздерінің дамыған бизнесімен және сапалы өнімдерімен
көзге түскен түрлі саладағы кәсіпорындар жұмыс істеп келеді. Коммуналдық
қызмет жүйесі: қалалық және қалааралық көліктер даму үстінде.
Өндірістің негізгі саласы химия өнеркәсібі. Қала аумағында өңдеу
өнеркәсібі, машина жасау және отын-энергетикалық қуатты кешендер
орналасқан. Облыстағы өнеркәсіп өндірісінің Тараз қаласы кәсіпорындарымен
70 % көлемі өндіріледі. Олардың ішіндегі ірі кәсіпорындар болып Казфосфат
ЖШС, ЖГРЭС АҚ, Тараз металлургиялық зауыты ЖШС, ЖЗМК
Имсталькон АҚ саналады.
2011 жылы қалада 353 өндірістік кәсіпорындар тіркелген. Оның ішінде:
-- ірі және орта өнеркәсіп кәсіпорындар саны - 54;
13
-- шағын кәсіпорындар - 212;
-- қосалқы кәсіпорындар - 36.
1.1.1 Қазфосфат ЖШС ұйымына сипаттама. Қазфосфат - Тараз
қаласындағы ірі кәсіпорындардың бірі. Кәсіпорын қызметінің негізгі түрлері:
геологиялық барлау жұмыстарын жүргізу, фосфорит рудасын шығару және
өңдеу, фосфорлы минералды тыңайтқыштар, азықтық фосфаттарды өндіру,
минералды шикізаттар негізінде өнеркәсіп өнімдерін шығару. Қазфосфат
ЖШС өнімдері Шығыс және Батыс Еуропаға, ТМД елдеріне, Қытайға және
ішкі рынокқа жалпы өнімінің 98 пайызы әлемнің 27 еліне экспортқа
шығарылады. Қазфосфат ЖШС-і ТМД елдері арасында фосфорлы өнімдер
өндіретін жетекші компания ретінде Қазақстан Республикасының фосфор
өндіруші өнеркәсібі болып табылады [33].
Кәсіпорындағы қызметкерлер саны 3000 адам құрайды, олардың 200-і
басқару және ұйымдастыру ісімен айналысады және ғаламтор желісіне
қосылған. Ұйым құрылымына екі бөлімше кіреді:
басты кеңсе - сату бөлімі: өнімдерді сатып алу, шикізатты
экспорттауды бақылау, жарнама және маркетинг, клиенттермен жұмыс жасау,
қаржы шаруашылық қызметін саралау, жоспарлау және болжам жасау
жұмыстарын атқарады;
бөлімше - тасымалдау бөлімі: тауарды жинау және буып-түю ісімен
айналысады. Мұнда қойма орналасқан.
Кеңселердің орналасуының территориялық сұлбасы
1.1-суретте
көрсетілген. Екі кеңсе арасы шамамен 60 км.
1 - басты кеңсе; 2 - бөлімше
1.1-сурет. Кеңселердің орналасуының территориялық сұлбасы
14
Екі кеңсе қала аумағында орналасқан, сондықтан біріккен ұжымдық желі
ұйымдастыруды ЖЕЖ элементтерін қаладағы бар байланыс желісіне қосу
арқылы іске асырылады.
Басты кеңседе 15 кабинет бар, онда жалпы 152 компьютер орналасқан.
Ұйымның бөлімшесі қаланың екінші жағында орналасқан және онда 45 жұмыс
орны бар. Бөлімшені басты кеңсенің ұжымдық біріккен желісіне қосу
жоспарланған.
1.1.2 Ұжымдық желіні сипаттау.Ұжымдық желілердің негізгі мәселесі
деректер қауіпсіздігі болып табылады. Қазіргі таңда ақпараттық ресурстардың
жоғалуы банкротқа ұшырауды әкелуі мүмкін. Осыған орай ірі кәсіпорындар
желідегі қауіпсіздікті қамтамасыз ету үшін үлкен көлемде қаржы жұмсайды.
Қорғалған біріккен ұжымдық желі сұлбасы 1.2-суретте келтірілген [11].
1.2-сурет. Қорғалған біріккен ұжымдық желі сұлбасы
Ақпараттық жүйелердің негізгі міндеті жергілікті есептеуіш желі
пайдаланушыларын мынадай қажеттіліктермен қамтамасыз ету:
бір ғамиратта орналасқан файлдарға және принтерлерге ортақ қатынау;
экономикалық бағдарламалық қамсыздандыруды пайдалану;
құжаттар алмасуды автоматтандыру жүйесімен жұмыс жасау;
арнайы деректер қорына қатынау;
электронды пошта;
официалды сайттарды жүргізу;
интернетке қатынау.
15
1.2 Тараз қаласының телекоммуникациялық желісі
Тараз қаласын байланыспен қамтамасыз етіп отырған "Қазақтелеком"
АҚ.
Қаланың байланыс желісінің жалпы сыйымдылығы 93208 нөмір, оның
64208 нөмірі сымды байланыс, ал 29000 нөмір CDMA сымсыз байланыс
технологиясы арқылы орнатылған. Желідегі номірлеу - алты мәнді. Қалада 9
АТС, 7 RSM, 5 SS1, 40 МСАД жұмыс істейді [33].
Қазіргі таңда Тараз қаласының көліктік желісі жоғары жылдамдықтағы
заманауи маршрутизаторлардың жиынтығы ретінде қарастырылады. Олар
бір-бірімен DWDM біріншілік желісі арқылы сыйымдылығы 10 Гбитс болатын
оптикалық байланыс линияларымен байланысқан. Ішкі маршрутизация
хаттамасы ретінде OSPF хаттамасы қолданылады, оның үстінен шекаралық
маршрутизаторлар арасында
IBGP сессиялары орнатылған. Шекаралық
маршрутизаторлар ретінде Juniper фирмасының құрылғылары қолданылады
және олар PE деп аталынады. Ары қарай олар Core деп аталатын Cisco
Systems фирмасының құрылғыларымен байланысады. Деректерді тарату
желісінің қазірғі схемасы 1.3-суретте көрсетілген.
1.3-сурет. Тараз қаласының деректерді тарату желісінің қазіргі сұлбасы
Тиімділігі жоғары конвергенттік желі DWDM спектрлік тығыздау және
IPMPLS дестелер коммутациясын қолданады. Оптикалық магистралды желіде
40 арна бар және платформаны ауыстырмай 80 арнаға дейін кеңейтілуі мүмкін.
Конвернетті көліктік желінің өткізу қабілеті 400 Гбитс құрайды және
құрылғыны ауыстырмай 800 Гбитс-ке дейін жоғарылауы мүмкін [13].
Жаңа құрылған желі фиксациялық телефон желісі, ғаламторға
кеңжолақты қатынаудың жалпы нарығын құрастыру, жергілікті желіні 100%
цифрлау қызметін көрсетуде көшбасшылық позицияны ұстауға мүмкіндік
береді.
Бұл желі мультисервистік қызметтерді
(Megaline
жоғары
16
жылдамдықты ғаламторға қатынау, IDTV интерактивті теледидар, ID Phone
жаңа ұрпақ телефондық байланыс, IP VPN виртуалды жеке желілері) көрсетуге
көліктік желіні қамтамасыз етеді. Бұл қызмет көрсетудің жоғары сапасын
қамтамасыз етеді.
1.3 VPN туралы жалпы түсінік
VPN (Virtual Private Network) виртуалды жеке желілер - басқа желі,
мысалы, ғаламтор желісі үстінен құрылатын логикалық желі. Байланыс
көпшілік желі арқылы қауіпсіз емес хаттамаларды қолданып
орнатылғандықтан, шифрлеу арқасында басқалардан жабық деректер алмасу
арналары құрылады. VPN арқылы бір ұйымның бірнеше бөлімшелерін ашық
желілерді қолданып, қауіпсіз біріккен желіге біріктіруге болады. Талдау
нәтижелері компьютерлік желілердің қауіпсіздік облысындағы ұсынысқа
сұраныстың бар болуы, VPN технологиясы өткір талап етілген және мамандар
жағынан үлкен назарын тартуын куәландырады. Мұндай қызығушылықтың
себебі, технологияның шынымен де кәсіпорынмен бөлінген байланыс
каналдардың алыстатылған бөлімшелердің (филиалдармен) және мобильдік
қызметкерлердің ұстауына шығындардың қысқартуын, сонымен қатар
құпиялық хабардың қауіпсіздігін көтеруге рұқсат етеді [11].
Қолданылатын хаттамаларға және мақсатына байланысты VPN үш түрлі
байланыс орнатуды қамтамасыз ете алады: түйін-түйін, түйін-желі және желі-
желі.
VPN
желісін іске асырылуы және арнайы бағдарламалық
қамсыздандыруы жоғары деңгейде орындалса, ол жіберілетін ақпаратты
шифрлеудің жоғары деңгейін қамтамасыз ете алады. Барлық бөліктерді дұрыс
күйге келтірсе, VPN технологиясы желідегі құпиялылықты қамтамасыз етеді.
VPN екі бөліктен тұрады:
ішкі және сыртқы желі. Ішкі желі
бірнеше болуы мүмкін, ал сыртқы желі арқылы инкапсуляциялық байланыс
орнатылады (әдетте ғаламтор желісі қолданылады). Сонымен қатар виртуалды
желіге бөлек компьютерді қосуға болады. Бұл ішкі әрі сыртқы желіге қосылған
қатынау сервері арқылы жүзеге асады. Алыстатылған пайдаланушыны қосу
үшін қатынау сервері сәйкестендіру (идентификация) және түпнұсқаландыру
(аутентификации) үрдістерін өтуді талап етеді.
1.4 VPN жіктелуі
VPN технологиясын бірнеше параметрлерге байланысты жіктеуге
болады (1.4-сурет). Қолданылатын желінің қорғалу деңгейіне байланысты:
17
қорғалған: виртуалды жеке желілердің ең көп таралған нұсқасы, оның
көмегімен сенімді әрі қорғалған желі құруға болады, мысалы: IPSec, OpenVPN
және PPTP;
сенімді: желіні сенімді деп санап, тек үлкен желі аясында виртуалды
желі құру мәселесін шешу керек болады, бұндай VPN желісінің мысалы: Multi-
protocol label switching (MPLS) және L2TP (Layer 2 Tunnelling Protocol).
1.4-сурет. VPN жіктелуі
Жүзеге асыру тәсілі бойынша[29]:
арнайы бағдарламалық-аппараттық қамсыздандыру түрінде (жоғары
өнімділік пен қорғалудың жоғары деңгейін қамтамасыз етеді);
бағдарламалық шешім ретінде, мұнда арнайы бағдарламалық
қамсыздандыруы бар VPN қызметімен қамтамасыз ететін дербес компьютер
қолданылады;
біріктірілген шешім: VPN қызметін желілік трафикті фильтлеу, желілік
экран ұйымдастыру және қызмет көрсету сапасын қамтамасыз ету жиынтығы
атқарады.
Жүзеге асыру мақсаты байланысты:
ішкікорпоративті VPN (Intranet VPN);
қашықтан қатынас құрылатын VPN (Remote Access VPN);
корпоративтер арсындағы VPN (Extranet VPN);
18
ClientServer VPN.
Intranet VPN - бір мекеменің ашық байланыс арналары арқылы
қатынасып отырған бірнеше таралған бөлімшелерін бір қорғалған желіге
біріктіреді (1.2-сурет).
1.5-сурет. Intranet VPN сұлбасы
Бұл суретте мекеме бөлімшелерінің Intranet VPN желісі арқылы өзара
ақпарат алмасуы бейнеленген. Мұнда филиалдар ашық желі арқылы
орталықтандырылған серверге біріктірілген.
"Remote Access VPN" түрі корпоративті ресурстарға үйінен (үйдегі
қолданушы) немесе notebook арқылы (жылжымалы қолданушы) қосылатын жай
қолданушымен корпоративті желі сегментінің (орталық офис немесе филиалдар
арасында) арасындағы қорғалған тасымалдауды орындайды. Қашықтан қатынас
құрылатын (Remote Access VPN) түрі 1.6-суретте келтірілген.
1.6-сурет. Remote Access VPN
19
Бұл суретте жылжымала қолданушы орталық офиспен қорғалған арна
арқылы құпия деректерді тасымалдауы бйнеленген. Виртуалды жеке желісінің
бұл түрінің біріншісінен айырмашылығы қашықталған қолданушы статикалық
адреске ие болмауы және ол қорғалған ресурстарға арнайы VPN құрылғысы
арқылы емес тікелей VPN функциясын орындайтын бағдарламалық қамтамасы
орнатылған өзінің компьютерінен қосылады.
Extranet VPN - іскерлік қарым-қатынастар кезінде байланыстың
сенімділігінің арттырылуын қолдайтын бір компания желісінен екінші басқа
компания желісіне тікелей қатынауды қамтамасыз ететін тораптық технология.
Бірнеше компаниялар бірге жұмыс істеуді келісіп бір-біріне өздерінің желілерін
ашқанда, олар өздерінің серіктестерінің белгілі ғана мәліметтерге қатынас
құруларын алдын ала қарастырулары қажет. Сонымен қатар құпия деректер
рұқсатсыз кіруден қорғалған болуы тиісті, сондықтан корпоративтер
арасындағы желілерде брандмауэрлер арқылы қатынас құруды бақылау
маңызды. Корпоративтер арсындағы VPN (Extranet VPN) түрі 1.7-суретте
келтірілген.
1.7-сурет. Extranet VPN
Бұл суретте бірнеше мекемелердің бір бірімен қорғалған желі арқылы
байланысы
көрсетілген.
Мекемелер арасындағы желілерге брандмауэр
орнатылған.
ClientServer VPN. "ClientServer VPN" түрі корпоративті желінің екі
түйін арасында тасымалданатын деректерді қорғалуын қамтамасыз етеді. VPN
желісі жұмыс станциясы мен сервер арасында, желінің бір сегментінде
орналасқан түйіндер арасында құрылады.
Мұндай қажеттілік кейде бір физикалық желіде бірнеше логикалық
желіні құру қажет болғанда туады. Мысалы, бір физикалық сегментте
20
орналасқан, серверге қатынасқан, финанстық департаментімен кадрлар бөлімі
арасындағы трафикті бөлу керек болғанда. ClientServer VPN түрі 1.8-суретте
көрсетілген.
1.8-сурет. ClientServer VPN
Мұнда қолданушы мен сервер арасындағы желіге брандмауэр (firewall)
орнатылған. Себебі брандмауэр құпия деректерді бекітілмеген енулерден
қорғайды.
Хаттама түрі бойынша VPN құру TCPIP, IPX және AppleTalk арқылы
жүзеге асады. Қазіргі таңда жалпылай TCPIP хаттамасына өту байқалуда. Онда
адрестелу RFC5735 стандарты бойынша таңдалады.
VPN желісін құруда қолданылатын желілік хаттаманың ISOOSI
моделінің деңгейлерімен салыстыру арқылы жіктеледі.
1.5 VPN құру түрлері
VPN құрудың бірнеше түрлері бар. Шешім қабылдаған кезде VPN
құралдарының өнімділігін ескеру қажет. Тәжірибелер нәтижесі VPN құру
кезінде арнайы құрылғыларды қолдану немесе бағдарламалық шешімдерге
көңіл аудару керек екенін көрсетті. VPN құрудың бірнеше түрлерін
қарастырайық.
1.5.1 Маршрутизаторлар негізіндегі VPN. Жергілікті желіден шығатын
барлық ақпарат маршрутизатор арқылы өтетіндіктен, осы маршрутизаторға
шифрлау амалдарын енгізіледі. Маршрутизаторлар нарығында сөзсіз жетекшісі
Cisco Systems компаниясы болып табылады. Cisco маршрутизаторлары IOS
бағдарламалық қамсыздандыруды және L2TP және IPSec хаттамаларын
қолдайды. Жіберілетін ақпаратты қарапайым шифрлаумен бірге Cisco
маршрутизаторлары VPN функцияларының идентификация және кілттермен
алмасу сияқты басқа түрлерін қолдайды. Маршрутизаторлар негізіндегі VPN
1.9-суретте келтірілген [19].
21
1.9-сурет. Маршрутизаторлар негізіндегі VPN
Берілген суретте екі жергілікті желілерінің маршрутизаторларды қолдана
отырып ортақ желі құруы келтірілген. Маршрутизаторлар жергілікті желі
шекарасында орнатылған.
1.5.2 Бағдарламалық қамсыздандыру негізіндегі VPN. VPN құрудың
келесі түрі бағдарламалар шешімдер болып табылады. Мұндай шешімдерді іске
асыру үшін белгіленген компьютерлерде жұмыс істейтін және көп жағдайда
proxy-сервер қызметін атқаратын арнайы бағдарламалық қамсыздандыру
қолданылады. Мұндай бағдарламалық қамсыздандыруы бар компьютер
брандмауэрдың артында орналасуы мүмкін.
Мысал ретінде Digital компаниясының Alta Vista Tunnel 97
бағдарламалық қамсыздандыруы (БҚ) қарастыралық. Бұл БҚ-ны қолдану үшін
пайдаланушы Tunnel 97 серверіне қосылады, аудентификацияланады да
кілттермен алмасады. Байланыс орнату үрдісінде алынған 56 немесе 128 битті
кілттер негізінде шифрланады. Содан кейін, шифрланған дестелер серверге
жіберілетін басқа ІР-дестелеріне инкапсуляцияланады. Сонымен қатар бұл БҚ
әр 30 минут сайын кілттерді жаңартып отырады, ол байланыстың қорғалуын
жоғарлатады.
Alta Vista Tunnel 97 артықшылығы орнатудағы жеңілдігі және
басқарудағы қолайлығы болып табылады. Кемшіліктері:
стандартсыз
архитектурасы және өнімділігінің төмендігі.
1.5.3 Аппараттық құралдар негізіндегі VPN. VPN-нің мұндай түрі
жоғарғы өнімділікті қажет ететін желілерде қолданылуы мүмкін. Бұл шешімнің
мысалы ретінде Radguard компаниясының IРro-VPN өнімін қарастыруға
болады. Берілген өнім тасымалданатын деректі 100Мбитс өткізу қабілетімен
ағынды өткізе алатын аппараттық шифрлауды қолданады. ІРro-VPN IPSec
хаттамасын және кілттерді басқару механизмі ISAKMPOakley қолдайды. Және
де бұл өнім тораптық адрестер құралдарын аударуды қолдайды және
брандмауэрлер функциясын қосатын арнайы модулмен толықтырыла алады.
Аппараттық құралдар негізіндегі VPN 1.10-суретте көрсетілген [12].
22
1.10-сурет. Аппараттық құралдар негізіндегі VPN
1.10-суретте екі жергілікті желі арасында Radguard компаниясының IРro-
VPN аппараттық құралын қолданып құрылатын VPN желісі көрсетілген.
Аппараттық құрал жергілікті желі мен
орнатылған.
маршрутизаторлар арасында
VPN-нің адрестік кеңістігінің тәуелсіздігі
-
клиент желісінің
конфигурациясының ыңғайлылығы және қауіпсіздік тәсілі болып табылады.
Мұнда клиенттер бір - бірінің адрестік кеңістік жері туралы ештеңе білмеу, ал
провайдердің өзіндік адрестік кеңістігі бар магистралі қолданушыларға белгісіз
болуы керек. Бұл жағдайда провайдер желісі шабуылдан және өз клиенттер
әрекетінен қорғалған, яғни VPN -нің қызметтерінің сапасы жоғары болады.
VPN күрделілігі, құру құны, модификациясы, оның сәттілігін көрсетеді.
Клиенттер мен провайдерлердің бұл сұраққа пікірлері әртүрлі. VPN-нің бір типі
клиенттен бастапқы және қосымша шығындарды көп қажет етеді және желі
жұмысында қолдауда қиын болады, ал провайдер үшін қарапайым болуы
мүмкін. Бұл жағдайда қызмет біршама арзан және керісінше, егер VPN
технологиясы бүкіл ауыршылықты провайдерге жүктесе, клиенттің өзі
маңызсыз болып қалады да, ал провайдер қызметінің
құны өседі.
Тапсырушылар кез келген құру үшін екі негізгі шығындарды ескеруі тиіс:
инсталяция, эксплуатацияға кеткен шығындар және провайдер қызмет көрсету
ақысы.
1.6 VPN желісінің хаттамалары
VPN желілері ортақ қолданыстағы ғаламтор желісі арқылы деректерді
туннелдеу хаттамаларын қолдану арқылы құрылады. Туннелдеу хаттамалары
деректерді шифрлауды және олардың пайдаланушылар арасында жіберілуін
қамтамасыз етеді. Қазіргі кезде VPN желісін құру үшін мына деңгейдердің
хаттамалары қолданылады [10]:
23
-- арналық деңгей;
-- желілік деңгей;
-- транспорттық деңгей.
1.6.1 Арналық деңгей. Арналық деңгейде L2TP және PPTP деректерді
туннелдеу хаттамалары
қолданылуы мүмкін. Олар авторизация және
аутентификацияны қолданады.
PPTP (Point-to-Point Tunnelling Protocol)
хаттамасы 3Com және Microsoft компанияларымен ұжымдық желілерге
ғаламтор арқылы қауіпсіз қатынау үшін шығарылған. PPTP хаттамасы TCPIP
ашық стандартын қолданады. РРТР хаттамасы желі арқылы қабылдаушының
NT-серверіне туннел жасап, ол арқылы алыстатылған пайдаланушының РРР-
дестелерін жібереді.
Байланыс сеансының аяқталуы сервердің ынтасымен
жүзеге асады [13].
Осылайша алыстатылған пайдаланушы ғаламторға жергілікті провайдер
арқылы аналогтық телефон линиясымен немесе ISDN арнасымен қосылып,
NT-серверімен байланыс орната алады. PPTP хаттамасы негізіндегі қорғалған
арнасы сұлбасы 1.11-суретте көрсетілген.
1.11-сурет. PPTP хаттамасы негізіндегі қорғалған арна
PPTP хаттамасының артықшылықтары:
-- PPTP клиенті барлық операциялық жүйелерге енгізілген;
-- күйге келтіруі қарапайым;
-- жылдам жұмыс жасайды.
Кемшіліктері:
-- қауіпсіз емес (осал жері MS-CHAP v.2 аутентификация хаттамасы әлі
де көптеген жерде қолданылады).
L2TP хаттамасы PPTP және L2F (Layer 2 Forwarding) хаттамаларының
бірігуінен пайда болған. L2TP негізгі артықшылығы туннелді тек IP желісінде
24
ғана емес сонымен қатар ATM, X.25 және Frame Relay желілерінде жасауға
мүмкіндік береді.
PPTP және L2TP атқаратын мүмкіншіліктері әр түрлі. PPTP тек IP
желілерінде қолданылуы мүмкін. IPSec үстінен L2TP қауіпсіздіктің жоғары
деңгейін көрсетеді және кәсіпорынға маңызды деректерге 100 пайыздық
қауіпсіздікке кепілдік бере алады. Артықшылықтары: жоғары қауіпсіздік, жеңіл
күйге келтіру; заманауи операциялық жүйелерде қол жетімді. Кемшіліктері:
баяу жұмыс істейді, маршрутизаторды қосымша күйге келтіру қажет болуы
мүмкін.
MPLS (Multiprotocol Label Switching) - бұл Ғаламтор желілерінің екінші
(коммутация) және үшінші (маршрутизация) деңгейлерінің ықпалдастығының
(интеграциясының) нәтижесінде ,инфрақұрылымының жинақталуына және
қысқартылуына әсерін тигізген эволюциялық дамудың бір қадамы болып
табылады [12].
MPLS - әмбебап технология. Оның көмегімен келесі мақсаттарды
орындауға болады:
ATM және Frame Relay мен IP ықпалдастыру (интеграциялау);
оператор желілерінің бойымен дәстүрлі қысқа жолды маршруттармен
дестелерді жылдам жүргізу;
виртуалды дербес желілердің құру (VPN);
трафикті басқару арқылы (Traffic Engineering, TE) жолды таңдау және
белгілеу.
1.6.2 Желілік деңгей. Шифрлеуді және ақпарат құпиялығын қамтамасыз
ететін және абоненттердің аутентификациясын жүзеге асыратын IPSec
хаттамасы қолданылады.
Бүгінгі таңда IPSec хаттамасы қауіпсіздік жағынан ең қарастырылған
және жетілген Интернет хаттамалары болып табылады. Жеке жағдайда, IPSec
әрбір датаграмма деңгейінде аутентификацияны, бүтіндігін және
хабарламалардың шифрлануын қамтамасыз етеді. Бүгін IPSec хаттамасы
қауіпсіздік жағынан ең қарастырылған және жетілген Интернет хаттамалары
болып табылады. Жеке жағдайда, IPSec әрбір датаграмма деңгейінде
аутентификацияны, бүтіндігін және хабарламалардың шифрлануын қамтамасыз
етеді (IPSec криптографиялық кілттермен басқарылуы үшін IKE хаттамасы
қолданылады, өзін ертерек Oakley болжамында жақсы көрсеткен) [18].
Сонымен қатар, протоколдың желілік деңгейде жұмыс істеуі IPSec
хаттамасының стратегиялық артықшылықтардың бірі болып табылады, өйткені
VPN оның негізінде толық мөлдірлі барлық қосымшалар және желілік қызмет
көрсетулері үшін жұмыс істейді, дәл осылай арналық деңгейінің мәліметтер
таратылуы желілер үшін.
Сөйтіп IPSec шифрланған датаграммаларды аралық
маршрутизаторлардың қосымша құрусыз маршруттауға рұқсат етеді, өйткені
стандартты IP-тақырыбын сақтайды, IPv4 қабылданған. Және де, сол факт IPSec
Интернет хаттаманың IPv6 құрамына қосылған, ал ол оны тағы VPN
корпоративті ұйымдастырылуы үшін тартымды етіп жасайды. Өкінішке орай,
25
IPSec хаттамасының кейбір кемшіліктері бар: тек TCPIP стандартын қолдауы
және қызмет хабардың өте үлкен көлемі, ал ол төмен жылдамдықты байланыс
арналарына мәліметтер алмасудың жылдамдығының кемуіне әкеледі, әзірше
өкінішке орай тек Ресейде көбірек таралған. Маршрутизаторлар негізінде
корпоративті VPN салынуына қайта оралып, белгілеп қояйық, құрылғылардың
басты есебі трафиктің маршрутизациясы болып табылады, ал бұл яғни,
дестелердің криптоөңделуі қосымша функциясы болып табылады, қосымша
есептеу ресурстарды талап етеді. Басқа сөзбен, егер сіздің маршрутизаторыңыз
өндіру бойынша үлкен қоры бар болса, онда оған VPN қалыптасуын
тапсыруға болады [13].
1.6.3 Транспорттық деңгей.
Соңғы уақытта WEB-броузерлердегі
байланысты орнату қауіпсіздігі үшін SSL\TLS хаттамасы негізіндегі SSL VPN
технологиясын қолдану кеңінен таралуда. SSL (Secure Sockets Layer) хаттамасы
негізіндегі виртуалды жеке желілер ұжымдық желі қызметтерін Интернет және
стандартты веб-браузері бар әлемнің кез келген нүктесінен ұжымдық
ресурстарға қашықтан қатынауға мүмкіндік алатын кез келген мақұлданған
пайдаланушыға қауіпсіз ұсынуға арналған. Веб-броузерлерді және ішіне
орнатылған SSL шифрлау жүйесін қолдану ұжымдық желіге кез келген
қашықтықтағы құрылғыларға қатынауды қамтамасыз етеді, мысалы, үйдегі
дербес компьютер арқылы, сымсыз Wi-Fi құрылғылары және басқалары.
Әкімшілер веб-сайттарға қатынау параметрлер күйін әрбір пайдаланушығы
жеке өзгерте алады. Бұдан басқа желіаралық экрандар байланыс орнатуды SSL
хаттамасы арқылы қолдайтындықтан желіні қосымша жөнге салу қажет емес.
SSL VPN технологиясы нәтижесінде желіаралық экранды жеңіл өтуге және кез
келген нүктеден қатынау қамтамасыз етуге болады [8].
1.7 VPN желілерін жүзеге асыру тәсілдері
Виртуалды жеке желілерін үш тәсілдің негізінде жүзеге асырады:
туннелдеу;
шифрлеу;
аутентификация.
1.7.1 Туннелдеу. Туннелдеу екі нүкте арасында - туннелдің екі ұшында
деректерді таратуды қамтамасыз етеді. Осылайша деректерді жіберуші және
қабылдаушы арасындағы барлық желілік инфрақұрылым жасырын болады [14].
Туннел арқылы жіберілетін ақпаратты зиянкестер қағып алуы мүмкін,
сонымен қатар зиянкестер туннел арқылы жіберілген ақпаратты өзгертіп,
қабылдаушы деректердің түпнұсқалығын тексере алмайтындай етіп жасай
алады. Осыны ескере таза күйіндегі туннел компьютерлік ойындардың кейбір
түрлері үшін жарамды бола алады. Осы мәселелер ақпаратты криптографиялық
қорғау әдісімен шешіледі. Рұқсатсыз кіруден қорғану үшін электронды
цифрлық қолтаңба әдісі қолданылады. Бұл әдістің мәні - әрбір жіберілген десте
26
қосымша ақпаратпен жабдықталады.
Бұл ақпарат асимметриялық
криптографикалық алгоритм бойынша өңделеді. Осылайша қауіпсіздік қуатты
шифрлеу алгоритмдерін қолдану арқылы жүзеге асады.
1.7.2 Аутентификация. Қауіпсіздікті қамтамасыз ету VPN қызметінің
негізі болып табылады. Клиент компьютерінен барлық деректер интернет
арқылы өтіп, VPN-серверге келеді. Мұндай сервер клиент компьютерінен үлкен
қашықтықта орналасуы мүмкін. Сондықтан ұйымның желісіне дейінгі жолда
көптеген провайдерлердің құрылғыларынан өтеді. Деректер өзгелермен
оқылып, өзгертілмеуі үшін аутентификация және шифрлеудің әр түрлі тәсілдері
қолданылады [16].
PPTP пайдаланушыларын аутентификациялау үшін PPP хаттамасына
қолданылатын кез келген хаттаманы іске қосуға болады.
EAP (Extensible Authentication Protocol);
MSCHAP (Microsoft Challenge Handshake Authentication Protocol (1
және 2 нұсқалары);
CHAP (Challenge Handshake Authentication Protocol);
SPAP (Shiva Password Authentication Protocol);
PAP (Password Authentication Protocol).
Ең үздігі болып MSCHAP 2-нұсқасы және Transport Layer Security (EAP-
TLS) болып табылады, өйткені олар өзара аутентификацияны қамтамасыз етеді.
VPN-сервер және клиент бір-бірін идентификациялайды. Басқа хаттамаларда
аутентификацияны тек сервер жүргізеді.
Аутентификация ашық тест арқылы (clear text password) немесе
сұранысжауап (challengeresponse) сұлбасы бойынша жүргізіледі. Ашық тест
кезінде клиент серверге құпия сөз жібереді. Сервер оны эталонмен
салыстырып, не қатынауға тыйым салады немесе қош келдіңіз деп айтады.
Ашық аутентификация іс жүзінде жолықпайды.
Сұранысжауап сұлбасы көп таралған. Жалпы түрде ол мынадай болады:
клиент серверге аутентификацияға сұраныс (request) жібереді;
сервер кездейсоқ жауап (challenge) жібереді;
клиент өзінің құпия сөзінен хешті алып, онымен келген жауапты
шифрлап, оны серверге қайта жібереді;
сервер дәл осындай үрдіс жасайды, алынған нәтижені клиенттен келген
жауаппен салыстырады;
егер шифрланған жауап сәйкес келсе, аутентификация сәтті деп
саналады.
1.7.3 Шифрлау. PPTP көмегімен шифрлау ғаламтор арқылы жіберілген
деректерге ешкім қатынай алатындығына кепілдік береді. Қазіргі уақытта
шифрлаудың екі әдісін қолдайды:
MPPE (Microsoft Point-to-Point Encryption) шифрлау хаттамасы тек
MSCHAP (1 және 2 нұсқасы) хаттамасымен үйлеседі;
EAP-TLS клиент пен сервер арасында параметрлердің келісуімен
автоматты түрде шифрлеу кілтінің ұзындығын таңдай алады.
27
MPPE ұзындығы 40, 56 немесе 128 бит болатын кілттермен жұмысты
қолдайды.
PPTP шифрлау кілтінің мәнін әрбір қабылданған десте сайын өзгертіп
тұрады.
Осылайша туннелдеу + аутентификация + шифрлеу бірігуі ортақ
қолданыстағы желі арқылы екі нүкте арасында виртуалды желі жұмысын
моделдеп, деректер алмасуға мүмкіндік береді.
Басқаша айтқанда,
қарастырылған әдістер виртуалды жеке желілер құруға арналған.
VPN-байланысының тиімді жағы: жергілікті желіде қабылданған
адрестелу жүйесін қолдануға болатындығы және қажеттілігі [8].
Виртуалды жеке желіні жүзеге асыру мынадай түрде болады. Фирма
кеңсесінің жергілікті есептеуіш желіне VPN серверін орнатады. Қашықтағы
пайдаланушы (немесе екі кеңсені байланыстыратын маршрутизатор) клиенттік
бағдарламалық қамсыздандыруды қолдану арқылы сервермен байланыс
орнатады. VPN-байланыс орнатудың бірінші фазасы - пайдаланушыны
аутентификациялау жүргізіледі. Егер деректер құпталса екінші фазаға өтеді -
клиент пен сервер арасында байланыс қауіпсіздігін қамтамасыз ету тәсілдерін
мақұлдау жүреді. Осыдан кейін клиент пен сервис арасында ақпарат алмасуды
қамтамасыз ететін VPN-байланыс орнатылады. Мұнда әрбір десте шифрлеу,
кері шифрлеу және тұтастығын тексеру және деректерді аутентификация
үрдістері жүреді.
VPN желілерінің негізгі мәселесі аутентификацияның және шифрленген
ақпаратпен алмасудың тұрақты стандартының болмауы болып табылады. Бұл
стандарттар өңделуде және сондықтан әр түрлі өндірушілер өнімдері бір-
бірімен VPN-байланыс орната алмайды және автоматты түрде кілттермен
алмаса алмайды.
1.8 VPN технологиясының артықшылықтары мен кемшіліктері
VPN технологиясының артықшылықтары. Виртуалды жеке желілердің
дәстүрлі жеке желілерден бірнеше артықшылықтары бар. Солардың негізгісі -
үнемдеу, иілгіштік және қолданылуының қолайлығы.
VPN желілері арқылы кәсіпорындар қашықтағы пайдаланушыларға
ұжымдық желіге қатынау қамтамасыз ету үшін енгізу қажет модемдердің,
қатынау серверлерінің, коммутацияланатын желілер және басқа техникалық
жабдықтардың санының ең болмағанда бір бөлігінің өсуін азайтуға мүмкіндік
береді. Бұдан басқа виртуалды жеке желілер қашықтағы пайдаланушыларға
компанияның желілік ресурстарына қатынау үшін қымбат жалға алынған
желілер арқылы емес, жергілікті телефондық байланыс арқылы қатынауға
мүмкіндігі бар.
Егер пайдаланушылар үлкен қашықтықта орналасқан болса, виртуалды
жеке желілер ерекше тиімді болады, өйткені жалға алынған желілер өте
28
қымбатқа соғады. Алайда бұл артықшылықтар жоққа шығуы мүмкін, егер VPN
желісінде трафик көлемі үлкен болса, жүйе дестелерді шифлеу және кері
шифрлеу үрдістерін жасап үлгермейді. Мұндай тығыз жерлерді болдырмас үшін
кәсіпорындарға қосымша құрылғылар сатып алуына тура келеді [24].
VPN технологиясының салыстырмалы жаңалығына және қолданылатын
қауіпсіздік құралдарының күрделілігіне байланысты виртуалды желіге жүйелік
қызметкер дәстүрліге қарағанда қымбатырақ түседі.
Иілгіштігі жәнеқ қолайлылығының артықшылығы дәстүрліге қарағанда
мұндай желілер ғаламтор желісімен байланысқан кез келген уәкілетті тұлғаға
компания ресурстарына қашықтан қатынауды қамтамасыз ете алады. Осының
арқасында VPN желілері ғаламтор арқылы әріптестерге ұйымның желілік
ресурстарына оңай қатынай алуға мүмкіндік береді. ал дәстүрлі жеке желілер
арқылы мұндай мүмкіндік жоқ, өйткені желілік ресурстарды бірге қолданғысы
келген ұйымдардың жүйелері бір-біріне сәйкес келмейді. Мұндай мәселе ірі
сауда кәсіпорындарының үлкен көлемі және олардың жабдықтаушыларын желі
арқылы бірге жұмыс жасауын ұйымдастыру кезінде айқын байқалады.
Деректерді қорғау, сенімділік және өнімділік кемшілігі, сонымен қатар
ашық стандарттардың болмауы виртуалды жеке желілердің кең таралуын
қиындатып отыр [2].
Ғаламтор технологияларының көбісі деректерді жіберуде қауіпсіздік
қамтамасыз ету сұрақтары негізгі болып табылады. Құпия сөздер арқылы
пайдаланушыларды аутентификациялау және шифрленген VPN арналарын
(туннелдер) қорғау мәселелері негізгісі болып табылады. Сондықтан
провайдерлер
шифрлау және аутентификациялаудың әр түрлі сұлбалардың
жиынтығын қолдайды. Мысалы, виртуалды жеке желілерге бағдарламалық
қамсыздандыруды шығаратын
Aventail
фирмасы клиенттерді
аутентификациялау және шифрлау үшін арналған бағдарламалар дестесін
ұсынады. VPNet Technologies компаниясы маршрутизаторлар мен глобалды
желі арасында орнатылатын және шифрлау, аутентификация және деректерді
сығуды орындайтын құрылғылармен қамтамасыз етеді.
Көптеген жабдықтаушылар DES стандартына сәйкес келетін 56 разрядты
кілттермен шифрлау әдістерін қолданады. Олардың ойынша, кілттің осындай
ұзындығы қауіпсіздіктің жоғары деңгейін қамтамасыз етеді. Бірақ көптеген
сарапшылар и талдаушылар 56 разрядты кілт сенімділігі жеткіліксіз. Өнімдерді
жабдықтаушылардың кейбірі виртуалды жеке желілерге 112 разрядты кілтпен
шифрлауды ұсынады. Алайда кілт ұзындығының көбеюі өнімділікті азайтуы
мүмкін. Өйткені шифрлау алгоритмі күрделі болған сайын, ол қарқынды
есептеуіш өңдеуді қажет етеді.
1.9 VPN болашақтағы дамуы
VPN технологиясының дамуының нәтижесінде бір-бірімен байланысқан
29
ұялы пайдаланушыларды, сауда әріптестерін және өте маңызды ұжымдық
үстемелері бар жабдықтаушыларды байланыстыратын IP хаттамасында жұмыс
істейтін жүйелерге айналады. VPN жаңа сауда қызметтеріне тірек болады. Олар
нарықты ынталандырып, өндірісті жаңғыртуға көмектеседі [17].
Келешектегі VPN желісінің негізгі бөлігі соңғы пайдаланушылардың
бейіні және желі конфирурациясы жайлы мәліметтер сақтайтын сервер
тізімдемесі болады. Бұл арқылы соңғы пайдаланушылар іс жүзінде VPN
арқылы байланысты жылдам орната алады.
IpV6 хаттамасы қолданылуы мүмкін, қазіргі уақытта онымен қарқын
жұмыс жасалуда. Бұл хаттама VPN-мен әрекеттесу мүмкіндігіне ие.
AT&T Level 3 Communications, MCI Worldcom және Sprint фирмалары
АТМ желілерінде бейне, дауыс және мәлімет жіберу үшін
жоғары
жылдамдықты IP арналарын жасап жатыр.
Компаниялар VPN қызметін көп ұсынған сайын, олардың сапасы айқын
өседі және бағасы төмендейді. Бұл клиенттер санына әсер етеді.
VPN желісі қазіргі дәстүрлі және халықаралық телекоммуникациялық
инфрақұрылымға енуде және жақын арада үлкен өзгерістерге әкеледі деп
күтілуде.
1.10 Дипломдық жобаның қойылымы
Дипломдық жоба мақсаты ұйымның қызметін сапаландыру және дамыту
мақсатында деректер алмасу қауіпсіздігін, құпиялығын және рұқсатсыз кіруден
сақтандыруды қамтамасыз ететін біріккен ұжымдық VPN желісін ұйымдастыру
болып табылады.
Бұл дипломдық жобада келесі сұрақтар қарастырылуы қажет:
-- VPN құру және жүзеге асыру тәсілдерін таңдау;
-- VPN технологиясын қолдайтын құрылғыны таңдау;
-- VPN желісінің көрсеткіштерін есептеу;
-- Ethernet желісін имитациялық модельдеу;
-- VPN жобасының моделін құрастыру;
-- өмір тіршілік қауіпсіздігін қарастыру;
-- бизнес-жоспар құру.
30
2 Құрылғыны таңдау
2.1 VPN құрылғыларын өндірушілер
VPN-құрылғыларын шығаратын ондаған өңдірушілер бір немесе одан көп
VPN хаттамаларын қолдайтын маршрутизаторлар, шлюздар және тағы басқа
өнімдер ұсынады. Бұл өнімдердің әрқайсысы өзінің қызметтер жиынтығына ие.
Cisco, 3Com, Intel, D-link, TP-link және тағы басқа өңдірушілер VPN
құрылғыларын шығарады. Құрылғыны таңдағанда бірнеше белгілерге мән
берген жөн: Fast Ethernet интерфейсін қолдау, VPN хаттамаларын қолдау, оңай
ауқымдылығы, капиталдық шығынның аздығы, оңай күйге келтіру,
өнімділігі.
Cisco маршрутизаторы осы шарттарға сәйкес келеді. Ол ірі кәсіпорындар
және байланыс операторлар арасында
шекаралық универсалды
маршрутизаторлар саласында кең таралған. Cisco 2600 сериясындағы
маршрутизаторлар бағаөнімділік қатынасында айрықша ерекшеленеді.
Сондықтан басты кеңсеге Cisco 2691 маршрутизаторын, ал бөлімшеге арнайы
ұжымдық желілерге VPN желісін ұйымдастыруға арналған Cisco 1751
маршрутизаторы орнатылады.
2.1.1 Cisco 2691 маршрутизаторына сипаттама.
Cisco 2691
маршрутизаторы - бұл кіші (20 адамға дейін) және орташа (250 адамға дейін)
кеңселерге арналған қымбат емес модульді маршрутизатор. Дауыс және
факстық хабарламаларды жіберу мүмкіншілігі бар. Оның модульдерінің
жиынтығы маршрутизаторды қатынау сервері, желіаралық экран ретінде,
сонымен қатар TCPIP желілері арқылы дауыс және факс жіберу үшін
қолдануға мүмкіндік береді [32].
Құрамында екі Fast Ethernet порты және екі WAN слоты (бір слот желілік
модуль үшін және екіншісі AIM модуліне арналған слот) бар. Бұл
маршрутизатор орташа кеңселерге керемет сәйкес келеді. Cisco 2691
маршрутизаторының түрлендіруі - оны тармақталған ұжымдық желіні құруда
қолдануға мүмкіндік береді. Бұл модельдер даму үстіндегі желінің көбейіп
жатқан сұраныстарға кең мүмкіншілік және қуатты платформаға ие. 70-тен
астам модульдің болуы қосылу аумағын кеңейтеді. Cisco 2691 дауыс, бейне
жіберу үшін құрылған желілерге мінсіз сәйкес келеді. 1.1-кестеде Cisco 2691
маршрутизаторының сипаттамалары көрсетілген [30].
1.1 - к е с т е . Cisco 2691 маршрутизаторының сипаттамалары
Сипаттамалары
ЖЕЖ-нің енгізілген порттары
DRAM есте сақтау
31
Cisco 2691
10100 Ethernet 2 порты
256 Мб-қа дейін (стандарт
бойынша 128 МБ)
1.1-кестенің соңы
Cisco 2691 маршрутизаторының мүмкіншіліктері:
Cisco IOS бағдарламалық қамтамасыз етуде IPMPLS қызметінің кең
спектрін қолдау (қызмет көрсету сапасын басқару, кеңжолақты қосылуларды
біріктіру, қауіпсіздік, мультисервистік қатынау, таңба негізіндегі
мультихаттамалық коммутация және басқа);
иілгіш, модулді интерфейстердің кең ассортименті (DS0-дан OC12
дейін);
Fast Ethernet, Gigabit Ethernet, Packet Over Sonet және басқа
интерфейстерді қолдау;
3RU форматындағы толығымен модулдік құрылым;
IPSec хаттамасын қолдану арқылы желілік деңгейде шифрлау.
2.1.2 Cisco 1751 маршрутизаторына сипаттама. Cisco 1700 сериясының
маршрутизаторлары сенімділікті және қауіпсіздікті қажет ететін
кәсіпорындарға ұжымдық желіні виртуалды жеке желіге және глобалды
желілерге қосу үшін арнайы шығарылған. Cisco 1751 маршрутизаторында бір
FastEthernet порты, WICVIC модульдеріне арналған екі слот, VIC модульдеріне
арналған бір слот, PVDM-ге арналған екі слот бар. 1.2-кестеде Cisco 1751
маршрутизаторының сипаттамалары көрсетілген [30].
1.2 - к е с т е . Cisco 1751 маршрутизаторының сипаттамалары
Осы құрылғының модульдік архитектурасы мынадай мәселелердің иілгіш
32
Сипаттамалары
Cisco 1751
ЖЕЖ-нің енгізілген порттары
10100 Ethernet 1 порты
DRAM есте сақтау
128 Мб-қа дейін (стандарт
бойынша 64 МБ)
FLASH есте сақтау
64 Мб-қа дейін (стандарт
бойынша 16 Мб)
Дестелерді толық тексерумен қоса максималды
өнімділігі, Дестес және Мбитс
1500 Дестес және 0,786
Мбитс
Бақылау сомаларын тексерумен қоса максималды
өнімділігі, Дестес ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
6
7
8
Аңдатпа
Бұл дипломдық жобада
Тараз
қаласындағы
Қазфосфат ЖШС
ұйымының VPN технологиясын қолдану арқылы ұжымдық біріккен желісін
ұйымдастыру қарастырылған. VPN технологиясын іске асыру тәсілдері және
хаттамалары талданып, VPN желісін ұйымдастыруға керекті құрылғылар
таңдалды.
Есептеу бөлімінде арнаның өткізу жолағы, арна сенімділігі, дестелердің
кідірісі, дестелерге қызмет көрсету көрсеткіштері есептелінді. VPN желісін
ұйымдастыру жобасының моделі құрылды.
Экономикалық бөлімде жобаны ұйымдастыруға қажетті қаржылық
шығындар мен экономикалық тиімділігі есептелініп, қайтарылу мерзімі
талданды.
Тіршілік қауіпсіздігі бөлімінде операторлық бөлмеде ауа алмасу,
жарықтандыру есептелініп, қауіпсіздік шаралары және экологияға әсері
талқыланды.
Аннотация
В данном дипломном проекте рассматривается
организация
корпоративной объединенной сети ТОО Қазфосфат в городе Тараз.
Рассматриваются методы реализации и протоколы технологии VPN, а также
был сделан выбор оборудования для организации сети.
В расчетной части были рассчитаны пропускная способность сети,
надежность сети, задержка пакетов, параметры обслуживания пакетов. Создана
модель организации VPN сети.
В экономической части произведен расчет капитальных вложений для
реализации проекта, а также окупаемость данной сети.
В части безопасности жизнедеятельности рассмотрен микроклимат,
освешение операторского помещения, методы безопасности и влияние на
экологию.
9
Мазмұны
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 8
1 Қазіргі қатынау желілеріне талдау жасау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 9
1.1 Тараз қаласы туралы жалпы мәлімет ... ... ... ... ... ... ... ... ... ... ... ... ... ... 9
1.2 Тараз қаласының телекоммуникациялық желісі ... ... ... ... ... ... ... ... .. 12
1.3 VPN туралы жалпы түсінік ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.4 VPN жіктелуі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.5 VPN құру түрлері ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 17
1.6 VPN желісінің хаттамалары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 19
1.7 VPN желілерін жүзеге асыру тәсілдері ... ... ... ... ... ... .. ... ... ... ... ... ... . 22
1.8 VPN технологиясының артықшылықтары мен кемшіліктері ... ... ... .. 24
1.9 VPN болашақтағы дамуы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 25
1.10 Дипломдық жобаның қойылымы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 26
2 Құрылғыны таңдау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 27
2.1 VPN құрылғыларын өндірушілер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 27
2.2 Желіаралық экран ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 29
2.3 VPN желісін IPSec хаттамасы негізінде ұйымдастыру ... ... ... ... ... ... . 30
2.4 VPN ұйымдастыру жобасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 35
3 VPN желісі бойынша есептеу бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 41
3.1 IP-VPN желісіндегі арнаның өткізу жолағын есептеу ... ... ... ... ... ... .. 41
3.2 GPSS World ортасында Ethernet желісін имитациялық модельдеу ... . 50
3.3 VPN жобасының моделін Packet Tracer бағдарламасында құрастыру 54
3.4 Дейкстра алгоримі бойынша ең қысқа жолды табу ... ... ... ... ... ... ... .. 56
4 Өмір тіршілік қауіпсіздігі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 62
4.1 Өмір тіршілік қауіпсіздігі бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 62
4.2 Еңбекті қорғау бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 64
4.3 Экология бөлімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 73
4.4 Бөлім бойынша шешімдер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 74
5 Экономикалық бөлім ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 75
5.1 Түйін ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 75
5.2 Компания және сала ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 76
5.3 Даму жоспары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 77
5.4 Қаржы жоспары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 77
5.5 Эксплуатациондық шығынды есептеу ... ... ... ... ... ... ... ... ... ... ... ... ... 78
5.6 Табыс ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 81
5.7 Пайда және қайтарылу мерзімдерін есептеу ... ... ... ... ... ... ... ... ... ... .. 81
5.8 Шешімдер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 83
Қорытынды ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 84
Қысқартылған сөздер ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 85
Әдебиеттер тізімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 87
А Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..89
10
Ә Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..90
Б Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . ..91
В Қосымшасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ..95
11
Кіріспе
Қазіргі заманғы кәсіпорындар жұмысының дамуы және өркендеуі бизнес
үрдісін қамтамасыз ететін ақпараттың қол жетімділігі мен жаңартуларға тікелей
байланысты болады. Қызметкерлердің жұмысын тиімді ұйымдастыру үшін
енгізілетін жаңа қызмет түрлері зияткерлік желілер мен ақпарат жіберу жүйесі
болып табылады. Бұл жаңа желілер бейнеконференция, дәстүрлі ақпарат жіберу
жүйесі, телефондық байланыс және бейнетарату секілді байланыс түрлерімен
қамтамасыз ететін орта ретінде танылады.
Ақпараттық технологиялардың дамуы нәтижесінде ғаламтор желісі
арқылы ұжымдық желі шекарасында жіберілген ақпаратты рұқсатсыз
енулерден қорғау және қауіпсіздігін қамтамасыз ету қажеттілігі туындайды.
Ұйымның өзінің физикалық қатынау арналарын қолдану кезінде бұл желіге
тысқарыдан ешкім қатынай алмайды. Алайда мұндай арналардың құны жоғары
болғандықтан, кез келген кәсіпорын оған мүмкіншілігі болмайды. Соған
байланысты ғаламтор желісі арқылы қатынау қол жетімді болады. Ғаламтор
желісі қорғалмаған желі болғандықтан, онымен жіберілетін құпия ақпаратты
қорғау тәсілдерін қолдану қажет болады.
VPN (Virtual Private Network) виртуалды жеке желілер - бұл сенімді
желілерді, тораптарды және пайдаланушыларды біріктіріп, қорғалған ұжымдық
желі құру технологиясы.
Менің ойымша, бұл ақпарат қорғау технологияларының ішінде ең
дамығаны және ақпарат қорғаудың жоғары деңгейін қамтамасыз етеді.
VPN технологиясы арқылы бір ұйымның тармақталған бөлімшелері
біріккен ұжымдық желіге біріктіріледі.
Дипломдық жоба мақсаты ұйымның қызметін сапаландыру және дамыту
мақсатында деректер алмасу қауіпсіздігін, құпиялығын және рұқсатсыз кіруден
сақтандыруды қамтамасыз ететін "Казфосфат" ЖШС ұйымының біріккен
ұжымдық желісін ұйымдастыру болып табылады.
12
1 Қазіргі қатынау желілеріне талдау жасау
1.1 Тараз қаласы туралы жалпы мәлімет
Жамбыл облысы Қазақстан Республикасының оңтүстігінде орналасқан .
Облыстың солтүстігі Қарағанды облысымен, оңтүстігі
-
Қырғызстан
Республикасымен және Оңтүстік Қазақстан облысымен, шығысы - Алматы
облысымен шекаралас жатыр . Облыс аумағы - 144,3 мың шаршы шақырым
құрайды, мұнда 1,044 млн. шамасында халық тұрады. Облыстың әкімшілік-
аумақтық құрылымына 10 аудан, облыстық мәндегі Тараз қаласы және
аудандық мәндегі Қаратау, Жаңатас, Шу сияқты үш қала, 367 елді мекен бар.
Тараз қаласы административті орталық және Жамбыл облысындағы ең ірі қала
болып табылады. Ол Жамбыл облысының оңтүстік-батыс бөлігінде, Талас-
Асаның шұрайлы алқабында, Қырғыз тауларының солтүстігіне қарай тау
жағындағы жазықта, Талас өзенінің сол жақ жағалауында орналасқан. Қаланың
өзінде облыс тұрғындарының 33,7% жуығы шоғырланған [33].
Қала аумағы - 139 шаршы шақырым жерді құрайды.
Халқының саны - 326,9 мың адам.
Ұлттық құрамы: қазақтар 69,23%, орыстыр 13,59%, өзбектер 2,39%,
татарлар 1,02%, немістер 0,64%, басқалары 13,13%.
Облыс өнеркәсібі дамыған аймақтар қатарына жатады. Қалада сары
фосфор, қоңыр көмір, алтын, мыс, табиғи газ, құрылыс материалдары,
минералдық тыңайтқыштар, натрия трифолифосфат, электр қуаттары, жуылған
жүн, қант, құрылыс
металдық материалдар және құрылымдар,
ферроселикомарганец және тағыда басқалары өндіреледі.
Тамақ өнеркәсібі: Қант АҚ және Төлебай май-2007 ЖШС өсімдік
майын сығып ыдысқа құятын май зауыты, Тараз сервистік дайындау
орталығы тағы сол сияқты өндірістік кәсіпорындары кәсіпкерлерінің
іскерлігінің нәтижесінде ет, сүт өңдеу, сұйық май, ұн, нан өнімдерін өндіретін
кәсіпорындар мен көкөніс өсіретін жылы жайлар іске қосылған. Қазіргі кезде
Тараз қаласында ет өңдеу зауыты салынуда.
Сонымен қатар, қала
шаруашылығында өздерінің дамыған бизнесімен және сапалы өнімдерімен
көзге түскен түрлі саладағы кәсіпорындар жұмыс істеп келеді. Коммуналдық
қызмет жүйесі: қалалық және қалааралық көліктер даму үстінде.
Өндірістің негізгі саласы химия өнеркәсібі. Қала аумағында өңдеу
өнеркәсібі, машина жасау және отын-энергетикалық қуатты кешендер
орналасқан. Облыстағы өнеркәсіп өндірісінің Тараз қаласы кәсіпорындарымен
70 % көлемі өндіріледі. Олардың ішіндегі ірі кәсіпорындар болып Казфосфат
ЖШС, ЖГРЭС АҚ, Тараз металлургиялық зауыты ЖШС, ЖЗМК
Имсталькон АҚ саналады.
2011 жылы қалада 353 өндірістік кәсіпорындар тіркелген. Оның ішінде:
-- ірі және орта өнеркәсіп кәсіпорындар саны - 54;
13
-- шағын кәсіпорындар - 212;
-- қосалқы кәсіпорындар - 36.
1.1.1 Қазфосфат ЖШС ұйымына сипаттама. Қазфосфат - Тараз
қаласындағы ірі кәсіпорындардың бірі. Кәсіпорын қызметінің негізгі түрлері:
геологиялық барлау жұмыстарын жүргізу, фосфорит рудасын шығару және
өңдеу, фосфорлы минералды тыңайтқыштар, азықтық фосфаттарды өндіру,
минералды шикізаттар негізінде өнеркәсіп өнімдерін шығару. Қазфосфат
ЖШС өнімдері Шығыс және Батыс Еуропаға, ТМД елдеріне, Қытайға және
ішкі рынокқа жалпы өнімінің 98 пайызы әлемнің 27 еліне экспортқа
шығарылады. Қазфосфат ЖШС-і ТМД елдері арасында фосфорлы өнімдер
өндіретін жетекші компания ретінде Қазақстан Республикасының фосфор
өндіруші өнеркәсібі болып табылады [33].
Кәсіпорындағы қызметкерлер саны 3000 адам құрайды, олардың 200-і
басқару және ұйымдастыру ісімен айналысады және ғаламтор желісіне
қосылған. Ұйым құрылымына екі бөлімше кіреді:
басты кеңсе - сату бөлімі: өнімдерді сатып алу, шикізатты
экспорттауды бақылау, жарнама және маркетинг, клиенттермен жұмыс жасау,
қаржы шаруашылық қызметін саралау, жоспарлау және болжам жасау
жұмыстарын атқарады;
бөлімше - тасымалдау бөлімі: тауарды жинау және буып-түю ісімен
айналысады. Мұнда қойма орналасқан.
Кеңселердің орналасуының территориялық сұлбасы
1.1-суретте
көрсетілген. Екі кеңсе арасы шамамен 60 км.
1 - басты кеңсе; 2 - бөлімше
1.1-сурет. Кеңселердің орналасуының территориялық сұлбасы
14
Екі кеңсе қала аумағында орналасқан, сондықтан біріккен ұжымдық желі
ұйымдастыруды ЖЕЖ элементтерін қаладағы бар байланыс желісіне қосу
арқылы іске асырылады.
Басты кеңседе 15 кабинет бар, онда жалпы 152 компьютер орналасқан.
Ұйымның бөлімшесі қаланың екінші жағында орналасқан және онда 45 жұмыс
орны бар. Бөлімшені басты кеңсенің ұжымдық біріккен желісіне қосу
жоспарланған.
1.1.2 Ұжымдық желіні сипаттау.Ұжымдық желілердің негізгі мәселесі
деректер қауіпсіздігі болып табылады. Қазіргі таңда ақпараттық ресурстардың
жоғалуы банкротқа ұшырауды әкелуі мүмкін. Осыған орай ірі кәсіпорындар
желідегі қауіпсіздікті қамтамасыз ету үшін үлкен көлемде қаржы жұмсайды.
Қорғалған біріккен ұжымдық желі сұлбасы 1.2-суретте келтірілген [11].
1.2-сурет. Қорғалған біріккен ұжымдық желі сұлбасы
Ақпараттық жүйелердің негізгі міндеті жергілікті есептеуіш желі
пайдаланушыларын мынадай қажеттіліктермен қамтамасыз ету:
бір ғамиратта орналасқан файлдарға және принтерлерге ортақ қатынау;
экономикалық бағдарламалық қамсыздандыруды пайдалану;
құжаттар алмасуды автоматтандыру жүйесімен жұмыс жасау;
арнайы деректер қорына қатынау;
электронды пошта;
официалды сайттарды жүргізу;
интернетке қатынау.
15
1.2 Тараз қаласының телекоммуникациялық желісі
Тараз қаласын байланыспен қамтамасыз етіп отырған "Қазақтелеком"
АҚ.
Қаланың байланыс желісінің жалпы сыйымдылығы 93208 нөмір, оның
64208 нөмірі сымды байланыс, ал 29000 нөмір CDMA сымсыз байланыс
технологиясы арқылы орнатылған. Желідегі номірлеу - алты мәнді. Қалада 9
АТС, 7 RSM, 5 SS1, 40 МСАД жұмыс істейді [33].
Қазіргі таңда Тараз қаласының көліктік желісі жоғары жылдамдықтағы
заманауи маршрутизаторлардың жиынтығы ретінде қарастырылады. Олар
бір-бірімен DWDM біріншілік желісі арқылы сыйымдылығы 10 Гбитс болатын
оптикалық байланыс линияларымен байланысқан. Ішкі маршрутизация
хаттамасы ретінде OSPF хаттамасы қолданылады, оның үстінен шекаралық
маршрутизаторлар арасында
IBGP сессиялары орнатылған. Шекаралық
маршрутизаторлар ретінде Juniper фирмасының құрылғылары қолданылады
және олар PE деп аталынады. Ары қарай олар Core деп аталатын Cisco
Systems фирмасының құрылғыларымен байланысады. Деректерді тарату
желісінің қазірғі схемасы 1.3-суретте көрсетілген.
1.3-сурет. Тараз қаласының деректерді тарату желісінің қазіргі сұлбасы
Тиімділігі жоғары конвергенттік желі DWDM спектрлік тығыздау және
IPMPLS дестелер коммутациясын қолданады. Оптикалық магистралды желіде
40 арна бар және платформаны ауыстырмай 80 арнаға дейін кеңейтілуі мүмкін.
Конвернетті көліктік желінің өткізу қабілеті 400 Гбитс құрайды және
құрылғыны ауыстырмай 800 Гбитс-ке дейін жоғарылауы мүмкін [13].
Жаңа құрылған желі фиксациялық телефон желісі, ғаламторға
кеңжолақты қатынаудың жалпы нарығын құрастыру, жергілікті желіні 100%
цифрлау қызметін көрсетуде көшбасшылық позицияны ұстауға мүмкіндік
береді.
Бұл желі мультисервистік қызметтерді
(Megaline
жоғары
16
жылдамдықты ғаламторға қатынау, IDTV интерактивті теледидар, ID Phone
жаңа ұрпақ телефондық байланыс, IP VPN виртуалды жеке желілері) көрсетуге
көліктік желіні қамтамасыз етеді. Бұл қызмет көрсетудің жоғары сапасын
қамтамасыз етеді.
1.3 VPN туралы жалпы түсінік
VPN (Virtual Private Network) виртуалды жеке желілер - басқа желі,
мысалы, ғаламтор желісі үстінен құрылатын логикалық желі. Байланыс
көпшілік желі арқылы қауіпсіз емес хаттамаларды қолданып
орнатылғандықтан, шифрлеу арқасында басқалардан жабық деректер алмасу
арналары құрылады. VPN арқылы бір ұйымның бірнеше бөлімшелерін ашық
желілерді қолданып, қауіпсіз біріккен желіге біріктіруге болады. Талдау
нәтижелері компьютерлік желілердің қауіпсіздік облысындағы ұсынысқа
сұраныстың бар болуы, VPN технологиясы өткір талап етілген және мамандар
жағынан үлкен назарын тартуын куәландырады. Мұндай қызығушылықтың
себебі, технологияның шынымен де кәсіпорынмен бөлінген байланыс
каналдардың алыстатылған бөлімшелердің (филиалдармен) және мобильдік
қызметкерлердің ұстауына шығындардың қысқартуын, сонымен қатар
құпиялық хабардың қауіпсіздігін көтеруге рұқсат етеді [11].
Қолданылатын хаттамаларға және мақсатына байланысты VPN үш түрлі
байланыс орнатуды қамтамасыз ете алады: түйін-түйін, түйін-желі және желі-
желі.
VPN
желісін іске асырылуы және арнайы бағдарламалық
қамсыздандыруы жоғары деңгейде орындалса, ол жіберілетін ақпаратты
шифрлеудің жоғары деңгейін қамтамасыз ете алады. Барлық бөліктерді дұрыс
күйге келтірсе, VPN технологиясы желідегі құпиялылықты қамтамасыз етеді.
VPN екі бөліктен тұрады:
ішкі және сыртқы желі. Ішкі желі
бірнеше болуы мүмкін, ал сыртқы желі арқылы инкапсуляциялық байланыс
орнатылады (әдетте ғаламтор желісі қолданылады). Сонымен қатар виртуалды
желіге бөлек компьютерді қосуға болады. Бұл ішкі әрі сыртқы желіге қосылған
қатынау сервері арқылы жүзеге асады. Алыстатылған пайдаланушыны қосу
үшін қатынау сервері сәйкестендіру (идентификация) және түпнұсқаландыру
(аутентификации) үрдістерін өтуді талап етеді.
1.4 VPN жіктелуі
VPN технологиясын бірнеше параметрлерге байланысты жіктеуге
болады (1.4-сурет). Қолданылатын желінің қорғалу деңгейіне байланысты:
17
қорғалған: виртуалды жеке желілердің ең көп таралған нұсқасы, оның
көмегімен сенімді әрі қорғалған желі құруға болады, мысалы: IPSec, OpenVPN
және PPTP;
сенімді: желіні сенімді деп санап, тек үлкен желі аясында виртуалды
желі құру мәселесін шешу керек болады, бұндай VPN желісінің мысалы: Multi-
protocol label switching (MPLS) және L2TP (Layer 2 Tunnelling Protocol).
1.4-сурет. VPN жіктелуі
Жүзеге асыру тәсілі бойынша[29]:
арнайы бағдарламалық-аппараттық қамсыздандыру түрінде (жоғары
өнімділік пен қорғалудың жоғары деңгейін қамтамасыз етеді);
бағдарламалық шешім ретінде, мұнда арнайы бағдарламалық
қамсыздандыруы бар VPN қызметімен қамтамасыз ететін дербес компьютер
қолданылады;
біріктірілген шешім: VPN қызметін желілік трафикті фильтлеу, желілік
экран ұйымдастыру және қызмет көрсету сапасын қамтамасыз ету жиынтығы
атқарады.
Жүзеге асыру мақсаты байланысты:
ішкікорпоративті VPN (Intranet VPN);
қашықтан қатынас құрылатын VPN (Remote Access VPN);
корпоративтер арсындағы VPN (Extranet VPN);
18
ClientServer VPN.
Intranet VPN - бір мекеменің ашық байланыс арналары арқылы
қатынасып отырған бірнеше таралған бөлімшелерін бір қорғалған желіге
біріктіреді (1.2-сурет).
1.5-сурет. Intranet VPN сұлбасы
Бұл суретте мекеме бөлімшелерінің Intranet VPN желісі арқылы өзара
ақпарат алмасуы бейнеленген. Мұнда филиалдар ашық желі арқылы
орталықтандырылған серверге біріктірілген.
"Remote Access VPN" түрі корпоративті ресурстарға үйінен (үйдегі
қолданушы) немесе notebook арқылы (жылжымалы қолданушы) қосылатын жай
қолданушымен корпоративті желі сегментінің (орталық офис немесе филиалдар
арасында) арасындағы қорғалған тасымалдауды орындайды. Қашықтан қатынас
құрылатын (Remote Access VPN) түрі 1.6-суретте келтірілген.
1.6-сурет. Remote Access VPN
19
Бұл суретте жылжымала қолданушы орталық офиспен қорғалған арна
арқылы құпия деректерді тасымалдауы бйнеленген. Виртуалды жеке желісінің
бұл түрінің біріншісінен айырмашылығы қашықталған қолданушы статикалық
адреске ие болмауы және ол қорғалған ресурстарға арнайы VPN құрылғысы
арқылы емес тікелей VPN функциясын орындайтын бағдарламалық қамтамасы
орнатылған өзінің компьютерінен қосылады.
Extranet VPN - іскерлік қарым-қатынастар кезінде байланыстың
сенімділігінің арттырылуын қолдайтын бір компания желісінен екінші басқа
компания желісіне тікелей қатынауды қамтамасыз ететін тораптық технология.
Бірнеше компаниялар бірге жұмыс істеуді келісіп бір-біріне өздерінің желілерін
ашқанда, олар өздерінің серіктестерінің белгілі ғана мәліметтерге қатынас
құруларын алдын ала қарастырулары қажет. Сонымен қатар құпия деректер
рұқсатсыз кіруден қорғалған болуы тиісті, сондықтан корпоративтер
арасындағы желілерде брандмауэрлер арқылы қатынас құруды бақылау
маңызды. Корпоративтер арсындағы VPN (Extranet VPN) түрі 1.7-суретте
келтірілген.
1.7-сурет. Extranet VPN
Бұл суретте бірнеше мекемелердің бір бірімен қорғалған желі арқылы
байланысы
көрсетілген.
Мекемелер арасындағы желілерге брандмауэр
орнатылған.
ClientServer VPN. "ClientServer VPN" түрі корпоративті желінің екі
түйін арасында тасымалданатын деректерді қорғалуын қамтамасыз етеді. VPN
желісі жұмыс станциясы мен сервер арасында, желінің бір сегментінде
орналасқан түйіндер арасында құрылады.
Мұндай қажеттілік кейде бір физикалық желіде бірнеше логикалық
желіні құру қажет болғанда туады. Мысалы, бір физикалық сегментте
20
орналасқан, серверге қатынасқан, финанстық департаментімен кадрлар бөлімі
арасындағы трафикті бөлу керек болғанда. ClientServer VPN түрі 1.8-суретте
көрсетілген.
1.8-сурет. ClientServer VPN
Мұнда қолданушы мен сервер арасындағы желіге брандмауэр (firewall)
орнатылған. Себебі брандмауэр құпия деректерді бекітілмеген енулерден
қорғайды.
Хаттама түрі бойынша VPN құру TCPIP, IPX және AppleTalk арқылы
жүзеге асады. Қазіргі таңда жалпылай TCPIP хаттамасына өту байқалуда. Онда
адрестелу RFC5735 стандарты бойынша таңдалады.
VPN желісін құруда қолданылатын желілік хаттаманың ISOOSI
моделінің деңгейлерімен салыстыру арқылы жіктеледі.
1.5 VPN құру түрлері
VPN құрудың бірнеше түрлері бар. Шешім қабылдаған кезде VPN
құралдарының өнімділігін ескеру қажет. Тәжірибелер нәтижесі VPN құру
кезінде арнайы құрылғыларды қолдану немесе бағдарламалық шешімдерге
көңіл аудару керек екенін көрсетті. VPN құрудың бірнеше түрлерін
қарастырайық.
1.5.1 Маршрутизаторлар негізіндегі VPN. Жергілікті желіден шығатын
барлық ақпарат маршрутизатор арқылы өтетіндіктен, осы маршрутизаторға
шифрлау амалдарын енгізіледі. Маршрутизаторлар нарығында сөзсіз жетекшісі
Cisco Systems компаниясы болып табылады. Cisco маршрутизаторлары IOS
бағдарламалық қамсыздандыруды және L2TP және IPSec хаттамаларын
қолдайды. Жіберілетін ақпаратты қарапайым шифрлаумен бірге Cisco
маршрутизаторлары VPN функцияларының идентификация және кілттермен
алмасу сияқты басқа түрлерін қолдайды. Маршрутизаторлар негізіндегі VPN
1.9-суретте келтірілген [19].
21
1.9-сурет. Маршрутизаторлар негізіндегі VPN
Берілген суретте екі жергілікті желілерінің маршрутизаторларды қолдана
отырып ортақ желі құруы келтірілген. Маршрутизаторлар жергілікті желі
шекарасында орнатылған.
1.5.2 Бағдарламалық қамсыздандыру негізіндегі VPN. VPN құрудың
келесі түрі бағдарламалар шешімдер болып табылады. Мұндай шешімдерді іске
асыру үшін белгіленген компьютерлерде жұмыс істейтін және көп жағдайда
proxy-сервер қызметін атқаратын арнайы бағдарламалық қамсыздандыру
қолданылады. Мұндай бағдарламалық қамсыздандыруы бар компьютер
брандмауэрдың артында орналасуы мүмкін.
Мысал ретінде Digital компаниясының Alta Vista Tunnel 97
бағдарламалық қамсыздандыруы (БҚ) қарастыралық. Бұл БҚ-ны қолдану үшін
пайдаланушы Tunnel 97 серверіне қосылады, аудентификацияланады да
кілттермен алмасады. Байланыс орнату үрдісінде алынған 56 немесе 128 битті
кілттер негізінде шифрланады. Содан кейін, шифрланған дестелер серверге
жіберілетін басқа ІР-дестелеріне инкапсуляцияланады. Сонымен қатар бұл БҚ
әр 30 минут сайын кілттерді жаңартып отырады, ол байланыстың қорғалуын
жоғарлатады.
Alta Vista Tunnel 97 артықшылығы орнатудағы жеңілдігі және
басқарудағы қолайлығы болып табылады. Кемшіліктері:
стандартсыз
архитектурасы және өнімділігінің төмендігі.
1.5.3 Аппараттық құралдар негізіндегі VPN. VPN-нің мұндай түрі
жоғарғы өнімділікті қажет ететін желілерде қолданылуы мүмкін. Бұл шешімнің
мысалы ретінде Radguard компаниясының IРro-VPN өнімін қарастыруға
болады. Берілген өнім тасымалданатын деректі 100Мбитс өткізу қабілетімен
ағынды өткізе алатын аппараттық шифрлауды қолданады. ІРro-VPN IPSec
хаттамасын және кілттерді басқару механизмі ISAKMPOakley қолдайды. Және
де бұл өнім тораптық адрестер құралдарын аударуды қолдайды және
брандмауэрлер функциясын қосатын арнайы модулмен толықтырыла алады.
Аппараттық құралдар негізіндегі VPN 1.10-суретте көрсетілген [12].
22
1.10-сурет. Аппараттық құралдар негізіндегі VPN
1.10-суретте екі жергілікті желі арасында Radguard компаниясының IРro-
VPN аппараттық құралын қолданып құрылатын VPN желісі көрсетілген.
Аппараттық құрал жергілікті желі мен
орнатылған.
маршрутизаторлар арасында
VPN-нің адрестік кеңістігінің тәуелсіздігі
-
клиент желісінің
конфигурациясының ыңғайлылығы және қауіпсіздік тәсілі болып табылады.
Мұнда клиенттер бір - бірінің адрестік кеңістік жері туралы ештеңе білмеу, ал
провайдердің өзіндік адрестік кеңістігі бар магистралі қолданушыларға белгісіз
болуы керек. Бұл жағдайда провайдер желісі шабуылдан және өз клиенттер
әрекетінен қорғалған, яғни VPN -нің қызметтерінің сапасы жоғары болады.
VPN күрделілігі, құру құны, модификациясы, оның сәттілігін көрсетеді.
Клиенттер мен провайдерлердің бұл сұраққа пікірлері әртүрлі. VPN-нің бір типі
клиенттен бастапқы және қосымша шығындарды көп қажет етеді және желі
жұмысында қолдауда қиын болады, ал провайдер үшін қарапайым болуы
мүмкін. Бұл жағдайда қызмет біршама арзан және керісінше, егер VPN
технологиясы бүкіл ауыршылықты провайдерге жүктесе, клиенттің өзі
маңызсыз болып қалады да, ал провайдер қызметінің
құны өседі.
Тапсырушылар кез келген құру үшін екі негізгі шығындарды ескеруі тиіс:
инсталяция, эксплуатацияға кеткен шығындар және провайдер қызмет көрсету
ақысы.
1.6 VPN желісінің хаттамалары
VPN желілері ортақ қолданыстағы ғаламтор желісі арқылы деректерді
туннелдеу хаттамаларын қолдану арқылы құрылады. Туннелдеу хаттамалары
деректерді шифрлауды және олардың пайдаланушылар арасында жіберілуін
қамтамасыз етеді. Қазіргі кезде VPN желісін құру үшін мына деңгейдердің
хаттамалары қолданылады [10]:
23
-- арналық деңгей;
-- желілік деңгей;
-- транспорттық деңгей.
1.6.1 Арналық деңгей. Арналық деңгейде L2TP және PPTP деректерді
туннелдеу хаттамалары
қолданылуы мүмкін. Олар авторизация және
аутентификацияны қолданады.
PPTP (Point-to-Point Tunnelling Protocol)
хаттамасы 3Com және Microsoft компанияларымен ұжымдық желілерге
ғаламтор арқылы қауіпсіз қатынау үшін шығарылған. PPTP хаттамасы TCPIP
ашық стандартын қолданады. РРТР хаттамасы желі арқылы қабылдаушының
NT-серверіне туннел жасап, ол арқылы алыстатылған пайдаланушының РРР-
дестелерін жібереді.
Байланыс сеансының аяқталуы сервердің ынтасымен
жүзеге асады [13].
Осылайша алыстатылған пайдаланушы ғаламторға жергілікті провайдер
арқылы аналогтық телефон линиясымен немесе ISDN арнасымен қосылып,
NT-серверімен байланыс орната алады. PPTP хаттамасы негізіндегі қорғалған
арнасы сұлбасы 1.11-суретте көрсетілген.
1.11-сурет. PPTP хаттамасы негізіндегі қорғалған арна
PPTP хаттамасының артықшылықтары:
-- PPTP клиенті барлық операциялық жүйелерге енгізілген;
-- күйге келтіруі қарапайым;
-- жылдам жұмыс жасайды.
Кемшіліктері:
-- қауіпсіз емес (осал жері MS-CHAP v.2 аутентификация хаттамасы әлі
де көптеген жерде қолданылады).
L2TP хаттамасы PPTP және L2F (Layer 2 Forwarding) хаттамаларының
бірігуінен пайда болған. L2TP негізгі артықшылығы туннелді тек IP желісінде
24
ғана емес сонымен қатар ATM, X.25 және Frame Relay желілерінде жасауға
мүмкіндік береді.
PPTP және L2TP атқаратын мүмкіншіліктері әр түрлі. PPTP тек IP
желілерінде қолданылуы мүмкін. IPSec үстінен L2TP қауіпсіздіктің жоғары
деңгейін көрсетеді және кәсіпорынға маңызды деректерге 100 пайыздық
қауіпсіздікке кепілдік бере алады. Артықшылықтары: жоғары қауіпсіздік, жеңіл
күйге келтіру; заманауи операциялық жүйелерде қол жетімді. Кемшіліктері:
баяу жұмыс істейді, маршрутизаторды қосымша күйге келтіру қажет болуы
мүмкін.
MPLS (Multiprotocol Label Switching) - бұл Ғаламтор желілерінің екінші
(коммутация) және үшінші (маршрутизация) деңгейлерінің ықпалдастығының
(интеграциясының) нәтижесінде ,инфрақұрылымының жинақталуына және
қысқартылуына әсерін тигізген эволюциялық дамудың бір қадамы болып
табылады [12].
MPLS - әмбебап технология. Оның көмегімен келесі мақсаттарды
орындауға болады:
ATM және Frame Relay мен IP ықпалдастыру (интеграциялау);
оператор желілерінің бойымен дәстүрлі қысқа жолды маршруттармен
дестелерді жылдам жүргізу;
виртуалды дербес желілердің құру (VPN);
трафикті басқару арқылы (Traffic Engineering, TE) жолды таңдау және
белгілеу.
1.6.2 Желілік деңгей. Шифрлеуді және ақпарат құпиялығын қамтамасыз
ететін және абоненттердің аутентификациясын жүзеге асыратын IPSec
хаттамасы қолданылады.
Бүгінгі таңда IPSec хаттамасы қауіпсіздік жағынан ең қарастырылған
және жетілген Интернет хаттамалары болып табылады. Жеке жағдайда, IPSec
әрбір датаграмма деңгейінде аутентификацияны, бүтіндігін және
хабарламалардың шифрлануын қамтамасыз етеді. Бүгін IPSec хаттамасы
қауіпсіздік жағынан ең қарастырылған және жетілген Интернет хаттамалары
болып табылады. Жеке жағдайда, IPSec әрбір датаграмма деңгейінде
аутентификацияны, бүтіндігін және хабарламалардың шифрлануын қамтамасыз
етеді (IPSec криптографиялық кілттермен басқарылуы үшін IKE хаттамасы
қолданылады, өзін ертерек Oakley болжамында жақсы көрсеткен) [18].
Сонымен қатар, протоколдың желілік деңгейде жұмыс істеуі IPSec
хаттамасының стратегиялық артықшылықтардың бірі болып табылады, өйткені
VPN оның негізінде толық мөлдірлі барлық қосымшалар және желілік қызмет
көрсетулері үшін жұмыс істейді, дәл осылай арналық деңгейінің мәліметтер
таратылуы желілер үшін.
Сөйтіп IPSec шифрланған датаграммаларды аралық
маршрутизаторлардың қосымша құрусыз маршруттауға рұқсат етеді, өйткені
стандартты IP-тақырыбын сақтайды, IPv4 қабылданған. Және де, сол факт IPSec
Интернет хаттаманың IPv6 құрамына қосылған, ал ол оны тағы VPN
корпоративті ұйымдастырылуы үшін тартымды етіп жасайды. Өкінішке орай,
25
IPSec хаттамасының кейбір кемшіліктері бар: тек TCPIP стандартын қолдауы
және қызмет хабардың өте үлкен көлемі, ал ол төмен жылдамдықты байланыс
арналарына мәліметтер алмасудың жылдамдығының кемуіне әкеледі, әзірше
өкінішке орай тек Ресейде көбірек таралған. Маршрутизаторлар негізінде
корпоративті VPN салынуына қайта оралып, белгілеп қояйық, құрылғылардың
басты есебі трафиктің маршрутизациясы болып табылады, ал бұл яғни,
дестелердің криптоөңделуі қосымша функциясы болып табылады, қосымша
есептеу ресурстарды талап етеді. Басқа сөзбен, егер сіздің маршрутизаторыңыз
өндіру бойынша үлкен қоры бар болса, онда оған VPN қалыптасуын
тапсыруға болады [13].
1.6.3 Транспорттық деңгей.
Соңғы уақытта WEB-броузерлердегі
байланысты орнату қауіпсіздігі үшін SSL\TLS хаттамасы негізіндегі SSL VPN
технологиясын қолдану кеңінен таралуда. SSL (Secure Sockets Layer) хаттамасы
негізіндегі виртуалды жеке желілер ұжымдық желі қызметтерін Интернет және
стандартты веб-браузері бар әлемнің кез келген нүктесінен ұжымдық
ресурстарға қашықтан қатынауға мүмкіндік алатын кез келген мақұлданған
пайдаланушыға қауіпсіз ұсынуға арналған. Веб-броузерлерді және ішіне
орнатылған SSL шифрлау жүйесін қолдану ұжымдық желіге кез келген
қашықтықтағы құрылғыларға қатынауды қамтамасыз етеді, мысалы, үйдегі
дербес компьютер арқылы, сымсыз Wi-Fi құрылғылары және басқалары.
Әкімшілер веб-сайттарға қатынау параметрлер күйін әрбір пайдаланушығы
жеке өзгерте алады. Бұдан басқа желіаралық экрандар байланыс орнатуды SSL
хаттамасы арқылы қолдайтындықтан желіні қосымша жөнге салу қажет емес.
SSL VPN технологиясы нәтижесінде желіаралық экранды жеңіл өтуге және кез
келген нүктеден қатынау қамтамасыз етуге болады [8].
1.7 VPN желілерін жүзеге асыру тәсілдері
Виртуалды жеке желілерін үш тәсілдің негізінде жүзеге асырады:
туннелдеу;
шифрлеу;
аутентификация.
1.7.1 Туннелдеу. Туннелдеу екі нүкте арасында - туннелдің екі ұшында
деректерді таратуды қамтамасыз етеді. Осылайша деректерді жіберуші және
қабылдаушы арасындағы барлық желілік инфрақұрылым жасырын болады [14].
Туннел арқылы жіберілетін ақпаратты зиянкестер қағып алуы мүмкін,
сонымен қатар зиянкестер туннел арқылы жіберілген ақпаратты өзгертіп,
қабылдаушы деректердің түпнұсқалығын тексере алмайтындай етіп жасай
алады. Осыны ескере таза күйіндегі туннел компьютерлік ойындардың кейбір
түрлері үшін жарамды бола алады. Осы мәселелер ақпаратты криптографиялық
қорғау әдісімен шешіледі. Рұқсатсыз кіруден қорғану үшін электронды
цифрлық қолтаңба әдісі қолданылады. Бұл әдістің мәні - әрбір жіберілген десте
26
қосымша ақпаратпен жабдықталады.
Бұл ақпарат асимметриялық
криптографикалық алгоритм бойынша өңделеді. Осылайша қауіпсіздік қуатты
шифрлеу алгоритмдерін қолдану арқылы жүзеге асады.
1.7.2 Аутентификация. Қауіпсіздікті қамтамасыз ету VPN қызметінің
негізі болып табылады. Клиент компьютерінен барлық деректер интернет
арқылы өтіп, VPN-серверге келеді. Мұндай сервер клиент компьютерінен үлкен
қашықтықта орналасуы мүмкін. Сондықтан ұйымның желісіне дейінгі жолда
көптеген провайдерлердің құрылғыларынан өтеді. Деректер өзгелермен
оқылып, өзгертілмеуі үшін аутентификация және шифрлеудің әр түрлі тәсілдері
қолданылады [16].
PPTP пайдаланушыларын аутентификациялау үшін PPP хаттамасына
қолданылатын кез келген хаттаманы іске қосуға болады.
EAP (Extensible Authentication Protocol);
MSCHAP (Microsoft Challenge Handshake Authentication Protocol (1
және 2 нұсқалары);
CHAP (Challenge Handshake Authentication Protocol);
SPAP (Shiva Password Authentication Protocol);
PAP (Password Authentication Protocol).
Ең үздігі болып MSCHAP 2-нұсқасы және Transport Layer Security (EAP-
TLS) болып табылады, өйткені олар өзара аутентификацияны қамтамасыз етеді.
VPN-сервер және клиент бір-бірін идентификациялайды. Басқа хаттамаларда
аутентификацияны тек сервер жүргізеді.
Аутентификация ашық тест арқылы (clear text password) немесе
сұранысжауап (challengeresponse) сұлбасы бойынша жүргізіледі. Ашық тест
кезінде клиент серверге құпия сөз жібереді. Сервер оны эталонмен
салыстырып, не қатынауға тыйым салады немесе қош келдіңіз деп айтады.
Ашық аутентификация іс жүзінде жолықпайды.
Сұранысжауап сұлбасы көп таралған. Жалпы түрде ол мынадай болады:
клиент серверге аутентификацияға сұраныс (request) жібереді;
сервер кездейсоқ жауап (challenge) жібереді;
клиент өзінің құпия сөзінен хешті алып, онымен келген жауапты
шифрлап, оны серверге қайта жібереді;
сервер дәл осындай үрдіс жасайды, алынған нәтижені клиенттен келген
жауаппен салыстырады;
егер шифрланған жауап сәйкес келсе, аутентификация сәтті деп
саналады.
1.7.3 Шифрлау. PPTP көмегімен шифрлау ғаламтор арқылы жіберілген
деректерге ешкім қатынай алатындығына кепілдік береді. Қазіргі уақытта
шифрлаудың екі әдісін қолдайды:
MPPE (Microsoft Point-to-Point Encryption) шифрлау хаттамасы тек
MSCHAP (1 және 2 нұсқасы) хаттамасымен үйлеседі;
EAP-TLS клиент пен сервер арасында параметрлердің келісуімен
автоматты түрде шифрлеу кілтінің ұзындығын таңдай алады.
27
MPPE ұзындығы 40, 56 немесе 128 бит болатын кілттермен жұмысты
қолдайды.
PPTP шифрлау кілтінің мәнін әрбір қабылданған десте сайын өзгертіп
тұрады.
Осылайша туннелдеу + аутентификация + шифрлеу бірігуі ортақ
қолданыстағы желі арқылы екі нүкте арасында виртуалды желі жұмысын
моделдеп, деректер алмасуға мүмкіндік береді.
Басқаша айтқанда,
қарастырылған әдістер виртуалды жеке желілер құруға арналған.
VPN-байланысының тиімді жағы: жергілікті желіде қабылданған
адрестелу жүйесін қолдануға болатындығы және қажеттілігі [8].
Виртуалды жеке желіні жүзеге асыру мынадай түрде болады. Фирма
кеңсесінің жергілікті есептеуіш желіне VPN серверін орнатады. Қашықтағы
пайдаланушы (немесе екі кеңсені байланыстыратын маршрутизатор) клиенттік
бағдарламалық қамсыздандыруды қолдану арқылы сервермен байланыс
орнатады. VPN-байланыс орнатудың бірінші фазасы - пайдаланушыны
аутентификациялау жүргізіледі. Егер деректер құпталса екінші фазаға өтеді -
клиент пен сервер арасында байланыс қауіпсіздігін қамтамасыз ету тәсілдерін
мақұлдау жүреді. Осыдан кейін клиент пен сервис арасында ақпарат алмасуды
қамтамасыз ететін VPN-байланыс орнатылады. Мұнда әрбір десте шифрлеу,
кері шифрлеу және тұтастығын тексеру және деректерді аутентификация
үрдістері жүреді.
VPN желілерінің негізгі мәселесі аутентификацияның және шифрленген
ақпаратпен алмасудың тұрақты стандартының болмауы болып табылады. Бұл
стандарттар өңделуде және сондықтан әр түрлі өндірушілер өнімдері бір-
бірімен VPN-байланыс орната алмайды және автоматты түрде кілттермен
алмаса алмайды.
1.8 VPN технологиясының артықшылықтары мен кемшіліктері
VPN технологиясының артықшылықтары. Виртуалды жеке желілердің
дәстүрлі жеке желілерден бірнеше артықшылықтары бар. Солардың негізгісі -
үнемдеу, иілгіштік және қолданылуының қолайлығы.
VPN желілері арқылы кәсіпорындар қашықтағы пайдаланушыларға
ұжымдық желіге қатынау қамтамасыз ету үшін енгізу қажет модемдердің,
қатынау серверлерінің, коммутацияланатын желілер және басқа техникалық
жабдықтардың санының ең болмағанда бір бөлігінің өсуін азайтуға мүмкіндік
береді. Бұдан басқа виртуалды жеке желілер қашықтағы пайдаланушыларға
компанияның желілік ресурстарына қатынау үшін қымбат жалға алынған
желілер арқылы емес, жергілікті телефондық байланыс арқылы қатынауға
мүмкіндігі бар.
Егер пайдаланушылар үлкен қашықтықта орналасқан болса, виртуалды
жеке желілер ерекше тиімді болады, өйткені жалға алынған желілер өте
28
қымбатқа соғады. Алайда бұл артықшылықтар жоққа шығуы мүмкін, егер VPN
желісінде трафик көлемі үлкен болса, жүйе дестелерді шифлеу және кері
шифрлеу үрдістерін жасап үлгермейді. Мұндай тығыз жерлерді болдырмас үшін
кәсіпорындарға қосымша құрылғылар сатып алуына тура келеді [24].
VPN технологиясының салыстырмалы жаңалығына және қолданылатын
қауіпсіздік құралдарының күрделілігіне байланысты виртуалды желіге жүйелік
қызметкер дәстүрліге қарағанда қымбатырақ түседі.
Иілгіштігі жәнеқ қолайлылығының артықшылығы дәстүрліге қарағанда
мұндай желілер ғаламтор желісімен байланысқан кез келген уәкілетті тұлғаға
компания ресурстарына қашықтан қатынауды қамтамасыз ете алады. Осының
арқасында VPN желілері ғаламтор арқылы әріптестерге ұйымның желілік
ресурстарына оңай қатынай алуға мүмкіндік береді. ал дәстүрлі жеке желілер
арқылы мұндай мүмкіндік жоқ, өйткені желілік ресурстарды бірге қолданғысы
келген ұйымдардың жүйелері бір-біріне сәйкес келмейді. Мұндай мәселе ірі
сауда кәсіпорындарының үлкен көлемі және олардың жабдықтаушыларын желі
арқылы бірге жұмыс жасауын ұйымдастыру кезінде айқын байқалады.
Деректерді қорғау, сенімділік және өнімділік кемшілігі, сонымен қатар
ашық стандарттардың болмауы виртуалды жеке желілердің кең таралуын
қиындатып отыр [2].
Ғаламтор технологияларының көбісі деректерді жіберуде қауіпсіздік
қамтамасыз ету сұрақтары негізгі болып табылады. Құпия сөздер арқылы
пайдаланушыларды аутентификациялау және шифрленген VPN арналарын
(туннелдер) қорғау мәселелері негізгісі болып табылады. Сондықтан
провайдерлер
шифрлау және аутентификациялаудың әр түрлі сұлбалардың
жиынтығын қолдайды. Мысалы, виртуалды жеке желілерге бағдарламалық
қамсыздандыруды шығаратын
Aventail
фирмасы клиенттерді
аутентификациялау және шифрлау үшін арналған бағдарламалар дестесін
ұсынады. VPNet Technologies компаниясы маршрутизаторлар мен глобалды
желі арасында орнатылатын және шифрлау, аутентификация және деректерді
сығуды орындайтын құрылғылармен қамтамасыз етеді.
Көптеген жабдықтаушылар DES стандартына сәйкес келетін 56 разрядты
кілттермен шифрлау әдістерін қолданады. Олардың ойынша, кілттің осындай
ұзындығы қауіпсіздіктің жоғары деңгейін қамтамасыз етеді. Бірақ көптеген
сарапшылар и талдаушылар 56 разрядты кілт сенімділігі жеткіліксіз. Өнімдерді
жабдықтаушылардың кейбірі виртуалды жеке желілерге 112 разрядты кілтпен
шифрлауды ұсынады. Алайда кілт ұзындығының көбеюі өнімділікті азайтуы
мүмкін. Өйткені шифрлау алгоритмі күрделі болған сайын, ол қарқынды
есептеуіш өңдеуді қажет етеді.
1.9 VPN болашақтағы дамуы
VPN технологиясының дамуының нәтижесінде бір-бірімен байланысқан
29
ұялы пайдаланушыларды, сауда әріптестерін және өте маңызды ұжымдық
үстемелері бар жабдықтаушыларды байланыстыратын IP хаттамасында жұмыс
істейтін жүйелерге айналады. VPN жаңа сауда қызметтеріне тірек болады. Олар
нарықты ынталандырып, өндірісті жаңғыртуға көмектеседі [17].
Келешектегі VPN желісінің негізгі бөлігі соңғы пайдаланушылардың
бейіні және желі конфирурациясы жайлы мәліметтер сақтайтын сервер
тізімдемесі болады. Бұл арқылы соңғы пайдаланушылар іс жүзінде VPN
арқылы байланысты жылдам орната алады.
IpV6 хаттамасы қолданылуы мүмкін, қазіргі уақытта онымен қарқын
жұмыс жасалуда. Бұл хаттама VPN-мен әрекеттесу мүмкіндігіне ие.
AT&T Level 3 Communications, MCI Worldcom және Sprint фирмалары
АТМ желілерінде бейне, дауыс және мәлімет жіберу үшін
жоғары
жылдамдықты IP арналарын жасап жатыр.
Компаниялар VPN қызметін көп ұсынған сайын, олардың сапасы айқын
өседі және бағасы төмендейді. Бұл клиенттер санына әсер етеді.
VPN желісі қазіргі дәстүрлі және халықаралық телекоммуникациялық
инфрақұрылымға енуде және жақын арада үлкен өзгерістерге әкеледі деп
күтілуде.
1.10 Дипломдық жобаның қойылымы
Дипломдық жоба мақсаты ұйымның қызметін сапаландыру және дамыту
мақсатында деректер алмасу қауіпсіздігін, құпиялығын және рұқсатсыз кіруден
сақтандыруды қамтамасыз ететін біріккен ұжымдық VPN желісін ұйымдастыру
болып табылады.
Бұл дипломдық жобада келесі сұрақтар қарастырылуы қажет:
-- VPN құру және жүзеге асыру тәсілдерін таңдау;
-- VPN технологиясын қолдайтын құрылғыны таңдау;
-- VPN желісінің көрсеткіштерін есептеу;
-- Ethernet желісін имитациялық модельдеу;
-- VPN жобасының моделін құрастыру;
-- өмір тіршілік қауіпсіздігін қарастыру;
-- бизнес-жоспар құру.
30
2 Құрылғыны таңдау
2.1 VPN құрылғыларын өндірушілер
VPN-құрылғыларын шығаратын ондаған өңдірушілер бір немесе одан көп
VPN хаттамаларын қолдайтын маршрутизаторлар, шлюздар және тағы басқа
өнімдер ұсынады. Бұл өнімдердің әрқайсысы өзінің қызметтер жиынтығына ие.
Cisco, 3Com, Intel, D-link, TP-link және тағы басқа өңдірушілер VPN
құрылғыларын шығарады. Құрылғыны таңдағанда бірнеше белгілерге мән
берген жөн: Fast Ethernet интерфейсін қолдау, VPN хаттамаларын қолдау, оңай
ауқымдылығы, капиталдық шығынның аздығы, оңай күйге келтіру,
өнімділігі.
Cisco маршрутизаторы осы шарттарға сәйкес келеді. Ол ірі кәсіпорындар
және байланыс операторлар арасында
шекаралық универсалды
маршрутизаторлар саласында кең таралған. Cisco 2600 сериясындағы
маршрутизаторлар бағаөнімділік қатынасында айрықша ерекшеленеді.
Сондықтан басты кеңсеге Cisco 2691 маршрутизаторын, ал бөлімшеге арнайы
ұжымдық желілерге VPN желісін ұйымдастыруға арналған Cisco 1751
маршрутизаторы орнатылады.
2.1.1 Cisco 2691 маршрутизаторына сипаттама.
Cisco 2691
маршрутизаторы - бұл кіші (20 адамға дейін) және орташа (250 адамға дейін)
кеңселерге арналған қымбат емес модульді маршрутизатор. Дауыс және
факстық хабарламаларды жіберу мүмкіншілігі бар. Оның модульдерінің
жиынтығы маршрутизаторды қатынау сервері, желіаралық экран ретінде,
сонымен қатар TCPIP желілері арқылы дауыс және факс жіберу үшін
қолдануға мүмкіндік береді [32].
Құрамында екі Fast Ethernet порты және екі WAN слоты (бір слот желілік
модуль үшін және екіншісі AIM модуліне арналған слот) бар. Бұл
маршрутизатор орташа кеңселерге керемет сәйкес келеді. Cisco 2691
маршрутизаторының түрлендіруі - оны тармақталған ұжымдық желіні құруда
қолдануға мүмкіндік береді. Бұл модельдер даму үстіндегі желінің көбейіп
жатқан сұраныстарға кең мүмкіншілік және қуатты платформаға ие. 70-тен
астам модульдің болуы қосылу аумағын кеңейтеді. Cisco 2691 дауыс, бейне
жіберу үшін құрылған желілерге мінсіз сәйкес келеді. 1.1-кестеде Cisco 2691
маршрутизаторының сипаттамалары көрсетілген [30].
1.1 - к е с т е . Cisco 2691 маршрутизаторының сипаттамалары
Сипаттамалары
ЖЕЖ-нің енгізілген порттары
DRAM есте сақтау
31
Cisco 2691
10100 Ethernet 2 порты
256 Мб-қа дейін (стандарт
бойынша 128 МБ)
1.1-кестенің соңы
Cisco 2691 маршрутизаторының мүмкіншіліктері:
Cisco IOS бағдарламалық қамтамасыз етуде IPMPLS қызметінің кең
спектрін қолдау (қызмет көрсету сапасын басқару, кеңжолақты қосылуларды
біріктіру, қауіпсіздік, мультисервистік қатынау, таңба негізіндегі
мультихаттамалық коммутация және басқа);
иілгіш, модулді интерфейстердің кең ассортименті (DS0-дан OC12
дейін);
Fast Ethernet, Gigabit Ethernet, Packet Over Sonet және басқа
интерфейстерді қолдау;
3RU форматындағы толығымен модулдік құрылым;
IPSec хаттамасын қолдану арқылы желілік деңгейде шифрлау.
2.1.2 Cisco 1751 маршрутизаторына сипаттама. Cisco 1700 сериясының
маршрутизаторлары сенімділікті және қауіпсіздікті қажет ететін
кәсіпорындарға ұжымдық желіні виртуалды жеке желіге және глобалды
желілерге қосу үшін арнайы шығарылған. Cisco 1751 маршрутизаторында бір
FastEthernet порты, WICVIC модульдеріне арналған екі слот, VIC модульдеріне
арналған бір слот, PVDM-ге арналған екі слот бар. 1.2-кестеде Cisco 1751
маршрутизаторының сипаттамалары көрсетілген [30].
1.2 - к е с т е . Cisco 1751 маршрутизаторының сипаттамалары
Осы құрылғының модульдік архитектурасы мынадай мәселелердің иілгіш
32
Сипаттамалары
Cisco 1751
ЖЕЖ-нің енгізілген порттары
10100 Ethernet 1 порты
DRAM есте сақтау
128 Мб-қа дейін (стандарт
бойынша 64 МБ)
FLASH есте сақтау
64 Мб-қа дейін (стандарт
бойынша 16 Мб)
Дестелерді толық тексерумен қоса максималды
өнімділігі, Дестес және Мбитс
1500 Дестес және 0,786
Мбитс
Бақылау сомаларын тексерумен қоса максималды
өнімділігі, Дестес ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz
Реферат
Курстық жұмыс
Диплом
Материал
Диссертация
Практика
Презентация
Сабақ жоспары
Мақал-мәтелдер
1‑10 бет
11‑20 бет
21‑30 бет
31‑60 бет
61+ бет
Негізгі
Бет саны
Қосымша
Іздеу
Ештеңе табылмады :(
Соңғы қаралған жұмыстар
Қаралған жұмыстар табылмады
Тапсырыс
Антиплагиат
Қаралған жұмыстар
kz