Ақпаратты қорғау жүйесін жобалау
7
8
9
10
Аңдaтпa
Бұл диплoомдық жұмыcтa Қорғалған IP желілерді жобалау дeгeн
тaқыpып қаapaлды. Жұмыcтын мaқcaты - қорғалған IP желілерді жобалау
болып табылады. Жұмыcтa мapшpyтизaтopдыңқұpылытcық ұcтaнымы жeтe
қapaлды жәнe бaғдapлaмaлық қaмтaмacыздaндыpyлaррp caлыcтыpылып шoлy
жүpгізілді. Бaғдapлaымaлық қaмтaмacыздaндыpyды әpтүpлі жүйeлepдe қoлдaнy
жаaйындa тaлдayжәнe oның ceнімділігінe eceптeyлep жүpгізілді. Жүpгізілгeн
eceптeyлepнәтижeеcіндe бaғдapлaмaлық қaмтaмacыздaндыpyды өнepкәcіптік
жұмыcтa қoлдaнy мүмкіндігін қоopтындылaдық. Жәәнe экoнoмикaлық
тиімділігінeceптeлінді.
Аннoтaция
B дaннoй диплoмнoй paбoтe paccмoтpeнa тeмa Проектирование
защищенных IP сетей. Цeлью paбoты являeтcя проектирование защищенной
сети. B paбoтe дeтaльнo paccмoтpeн пpинципы и этапы проектирования
защищенных сетей. Пpoвeдeн oбзop виды информационных угроз, и их влияние
на сеть. Детально рассмотрены виды обеспечение безопасности на канальном и
трансмпортном уровне. Пpoизвeдeн pacчeт нaдeжнocти VPN соединение. B
peзyльтaтe пpoизвeдeнных pacчeтoв мoжнo cдeлaть вывoд o вoзмoжнocти
иcпoльзoвaния VPN сервера пpoмышлeннoй экcплyaтaции. А тaкжe были
pacчeты экoнoмичecкoй эффeктивнocти VPN соединение.
11
Мазмұны
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...8
1. Ақпаратты қорғау жүйесін жобалау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 9
1.1 Ақпаратты қорғау жүйесін жобалау кезеңдері ... ... ... ... ... ... ... ... ... . 9
1.2 АҚЖ архитектурасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 11
1.3 Ақпарат қорғау стандарты ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.4 Шабуылдар категориялары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.5 Тапсырма қойылымы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 18
2. Ақпаратты қорғау құралдары мен тәсілдері ... ... ... ... ... ... ... ... ... ... ... ... ... 19
2.1 VPN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 19
2.2 IPSec ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 29
2.3 Желіаралық экран ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 35
2.4 Кіруді анықтайтын жүйе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 40
3. OPNET бағдарламасында қорғалған IP-желіні жобалау ... ... ... ... ... ... ... ... 42
3.1 Жалпы түсінік ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 42
3.2 Қорғалған желіні жобалауға арналған имитациондық модельдер .. 42
3.3 OPNET Modeler 9 бағдарламасы арқылы жоба құру ... ... ... ... ... ... 49
3.4 Жүктемені есептеу ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 56
4 Бизнес-жоспар ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 70
4.1 Резюме ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 70
4.2 Ой-талдау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 71
4.3 Сала сипаттамасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 71
4.4 Өнім ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 72
4.5 Маркетинг ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 73
4.6 Еңбек сыйымдылығы жұмысын есептеу ... ... ... ... ... ... ... ... ... ... ... . 73
4.7 Жасалынған жұмыстың бағасын есептеу ... ... ... ... ... ... ... ... ... ... ... 76
4.8 Интеллектуалды еңбек бағасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 81
5. Өмір тіршілік қауіпсіздігі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 83
5.1 Бақылау бөлмесінің жағдайын талдауы ... ... ... ... ... ... ... ... ... ... ... .. 83
5.2 Жарықтандыруды дайындау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 88
5.3 Өндірісте өрт шыққан кезде қауіпсіз әрекет жасау ережесі ... ... ... . 93
Қорытынды ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 94
Әдебиетер тізімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 95
Қосымша А ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 96
12
Кіріспе
Қазіргі өміріміздің бірде-бір саласы дамығын ақпараттық құрылымсыз
қызмет естей алмайды. Ұлттық ақпараттық ресурс мемлекеттің экономикалық
және әскери күшінің негізгі көзі болып табылады. Ақпарат мемлекеттің әр
саласына ене отырып, саяси, экономикалық және материалдық көрінісіне ие
болады. Осы жағдайда ақпаратты қорғау өзекті мәселесіне айналады. Ол
мемлекеттің ең маңызды мақсатының біріне айланады
Осы күнге компьютерлік жүйелер және олардың бір-бірімен
телекоммуникациялық желілер арқылы байланысуы қарқын дамып келген
кезде, пайдаланушы және қызметтік ақпаратты қорғау бірінші орындарда.
Қорғалған желіні жобалау бірнеше кезеңнен тұрады. Олар - қорғаныс
деген талаптар мен шарттар, қорғау функциялары,
қорғау тәсілдері,
техникалық-экономикалық бағасы, ақпаратты қорғаудың
ұйымдастырушылдық-құқылық негізі.
Менің осы дипломдық жұмысымның мақсаты - қорғалған IP-желілерді
жобалау. Жобалау барысында OPNET Modeler 9 бағдарламасын қолдана
отырып, желіні VPN, желіаралық экран және L2TP хаттамасы көмегімен
қорғаныс қалай жүзеге асатыны қарастырылады. OPNET қазіргі таңда
имитациондық модельдерінің үздіктерінің біріне жатады.
13
1 Ақпаратты қорғау жүйесін жобалау
1 .1 Ақпаратты қорғау жүйесін жобалау кезеңдері
Ақпаратты қорғау жүйелерінің жобалануы берілген нысан үшін
ақпаратты қорғау қамтамасыздандыруының оңтайлы механизмдері мен оларды
басқару механизмдерін құру үшін жасалынады. Сол не өзге тапсырманың
қойылуын таңдау қорғалатын ақпараттың сипатына байланысты болады.
Құпияның негізгі түрлері 4 санатқа жіктеледі:
− мемлекеттік;
− өнеркәсіптікжәне коммерциялық;
− құпиялы ;
− жеке мәліметтер.
Ақпаратты қорғау жүелерін (АҚЖ) жобалау түрлі шарттарда жүзеге
асады, сонымен қатар әсерді анықтайтын бұл шарттарды ажыратуға келесі екі
параметр көрсетеді:
− АҚЖ жасалынатын ақпаратты өңдеу нысанының жай-күйі;
− АҚЖ құруға рұқсат етілуі мүмкін шығындар деңгейі.
АҚЖ - ға шығындар берілген не АҚЖ жобалануы үрдісінде анықталуы
мүмкін, сондықтан жобалау көзқарасынан шектелмеген болады.
Жобалау әдістемесі ұйымдастыру- технологиялық түрінің қиын жүйесінің
жобалаудың жалпы әдістемесіне толықтай кіреді.
Көрініп тұрғандай, жобалау рәсімі мына реттілікпен жүзеге асуы мүмкін:
− жобалаудың шарттары мен мақсаттарының талдауы;
− ақпарат қорғанысына талаптардың негіздемесі;
− жобалау нұсқасын таңдау;
АҚЖ жобасының жасалу реттілігі келесі кезеңдермен ұсынылған:
1) Қорғанысқа деген талаптардың негіздемесі мен оның шарттарының
сараптамасы
2) Ақпаратты қорғау функцияларының анықтамасы
3) Қорғау тапсырмаларының шешілуге тиісті тізімінің негіздемесі
4) Қорғаныс тапсырмаларын шешу үшін қажетті тәсілдерді таңдау
5) Таңдалған механизмдердің күтілетін тиімділігінің бағасы
6) Жобалауға дәйектемелердің негіздемесі
7) АҚЖ құрылымының негіздемесі
8) Жобаның техника - экономикалық бағасы
9) Ақпаратты қорғаудың ұйымдастырушылық - құқылық шешімі
1- ші кезең - талаптар негіздемесі мен ақпаратты қорғау шарттарының
сараптамасы:
− АӨН-на ақпаратты қорғауға ықпал ететін факторлардың қалыптасуы;
− Ақпаратты қорғау бойынша талаптар негіздемесі мен таңдау;
− АӨН-нақ апаратты қорғау шарттарының сараптамасы.
14
2- ші кезең - ақпаратты қорғау функцияларын анықтау - қорғаудың қажет
етілетін деңгейімен қамтамасыз ететін қорғау функцияларының тізімінің
негіздемесі.
3- ші кезең - қорғау тапсырмаларының шешілуге тиісті тізімінің
негіздемесі:
− ақпаратты қорғау тапсырмаларының тізімін анықтау;
− ақпаратты қорғау тапсырмаларының түрлері;
− ақпаратты қорғаудыңшешілуге тиісті тапсырмаларын таңдау.
4- ші кезең - ақпаратты қорғаудың таңдалынған тапсырмалар шешімі
үшін жеткілікті құралдарды таңдау:
− техникалық барлауға қарсы тұратын амалдардың тізімін анықтау;
− техникалық барлауға қарсы тұратын амалдардың жіктелуі;
− берілген амалдардың қолданылуының тиімділігін анықтау;
− қарсы тұру амалдарының оңтайлы жиынын анықтау.
5- ші кезең - ақпаратты қорғаудың таңдалған тапсырмалары шартында
ақпаратты қорғау тиімділігінің бағасы:
− таңдалған тәсілдермен таңдалған тапсырмалардың шешілу шартында
ақпарат қорғанысының бағасы;
− қорғаныстың алынған бағаларын қажетті деңгеймен салыстыру.
6- шы кезең - жобалауға тапсырмаларды анықтау негіздемесі :
− ақпаратты қорғаудың жеткіліксіз қамтамасыздандырылу себептерін
анықтау;
− жобалауға тапсырманы айқындаудың рационалды нұсқасын таңдау.
7-ші
кезең
-
АҚЖ-ның жұмыс істеу технологиялары мен
құрылымдарының негіздемесі:
− АҚЖ-ныңжалпы құрылымын, оның қосалқы жүйелері мен ақпаратты
қорғау ядросын анықтау;
− Қамтамасыздандырудың техникалық, математикалық, бағдарламалық,
ақпараттық, ұйымдастырушылық және лингвистикалық құрамын, ақпаратты
қорғау бойынша ұйымдастырушылық-техникалық шараларды анықтау;
− АҚЖ-ның архитектурасы мен компоненттер құрылымының
негіздемесі;
− АҚЖ-ның қызмет істеу технологиялық сұлбаларының негіздемесі;
− Ақпаратты қорғауды басқару технологияларының негіздемесі.
8- ші кезең - жобаның техника - экономикалық бағалары:
− Ақпаратты қорғау функцияларының сенімділігінің бағалары;
− АҚЖ-ның өміршеңдігінің бағасы;
− АҚЖ-ның экономикалық бағалары;
− АӨН сипаттамаларына АҚЖ-ныңәсер ету деңгейлерінің бағасы.
9-шы кезең - ақпаратты қорғаудың ұйымдастырушылық-құқылық
сұрақтарын шешу:
− АӨН - нің қызмет ету үрдістеріне қатысатын тұлғалар мен барлық
бөлімшелердің ақпаратты қорғау бойынша міндеттері мен құқықтарын
анықтау;
15
− ақпаратты қорғау бойынша барлық шаралар мен процедуралардың
жүзеге асу ережелерін жасау;
− АӨН - нің қызмет ету үрдістеріне қатысатын барлық тұлғаларды
ақпаратты қорғау қамтамасыздандырудың ережелерін орындауға үйрету;
− барлық бөлімшелер және ақпаратты қорғау қамтамасыздандыруы мен
өңдеу үрдістеріне қатысатын тұлғаларды қажетті басқаратын және әдістемелік
материалдармен қамтамасыз ету;
− АҚЖ-ның қызмет ету бақылауының тізімі мен ережелерін жасау;
− ақпаратты қорғау ережелерін бұзғаны үшін жауапқа тарту шараларын
анықтау;
− дау және пікірталас жағдайларында шешу реттерін жасау;
1.2 АҚЖ архитектурасы
1.1-сурет. АҚЖ архитектурасы
Ақпаратты қорғау жүйелері (АҚЖ) жалпы түрде барлық амалдардың,
әдістер мен ондағы қорғаудың таңдалған тапсырмаларын шешу үшін ақпаратты
өңдеу нысандарында (АӨН) белгіленген шаралардың ұйымдастырылған
жиынтығы түрінде болуы мүмкін.
АҚЖ - не маңызды концептуалды талап боп құрылым, технологиялық
сұлба немесе АӨН - ның қызмет ету шарттары өзгерген кездегі көзделген
бейімделуге қабілеттілік пен талаптарға бейімділік саналады.
Қазіргі уақытта қалыптасқан жүйе келесі әдістемелік қағидалар тізімін
қосады:
16
− концептуалды бірлік;
− талаптарға баламалылық;
− икемділік (бейімделу);
− функционалды дербестік;
− қолдану ыңғайлылығы;
− ұсынылатын құқықтардың минимизациясы;
− бақылау толықтығы;
− елеу белсенділігі;
− тиімділік.
Концептуалды бірлік дегеніміз, архитектура, технология, организация
және қызмет етудің қамтамасыздандыруы АҚЖ секілді толықтай, сондай -ақ
құрама компоненттер ақпарат қорғаудың бірегей концепциясының негізгі
күйімен қатаң сәйкестілікпен жүзеге асып қарастырылуы тиістігін көрсетеді.
Талаптарға баламалылық дегеніміз, АҚЖ өз кезегінде сай нысан
санатымен және ақпарат қорғауына әсер ететін параметр мәндерімен
анықталатын қорғаныс талаптарына қатаң сәйкестілікпен құрылуы тиіс.
Қорғау жүйесінің иілгіштігі дегеніміз ақпаратты қорғау нысандарының,
технологиялық сұлбалардың құрылымдарының немесе қызмет ету
шарттарының қандай да бір компоненттерінің кейбір диапазонда өзгеруі
кезінде қорғаныс функциялары барынша тиімді жүзеге асатын құрылуды
айтамыз.
Функционалды дербестік АҚЖ ақпаратты өңдеу жүйесін жүйе бөлігімен
дербес қамтамасыз ету керек екенін және қорғау функциялары іске асқан кезде
басқа жүйе бөлшектеріне тәуелді болмауы тиіс деп пайымдайды.
Қолдану ыңғайлылығы дегеніміз, АҚЖ қолданушылар мен ақпаратты
өңдеу персоналдарына қосымша ыңғайсыздық тудырмауы тиіс екенін білдіреді.
Ұсынылатын құқықтардың минимизациясы дегеніміз, әр қолданушыға
және ақпараттты өңдеу нысандарының персоналдарының құрамынан әр адамға
тек сол ақпаратты өңдеу нысандарының ресурстарына рұқсат беру қажет екенін
білдіреді.
Бақылаудың толықтығы қорғалатын ақпараттың автоматтандырылған
өңделуінің барлық процедуралары қорғаныс жүйесімен толықтай қадағалануы
керек деп болжайды.
Елеу белсенділігі АҚЖ рұқсат етілмеген әрекеттердің кез келген
талпынысына елеу қажет екенінбілдіреді.
АҚЖ - ның тиімділігі алдыңғы барлық принциптердің негізгі талаптарын
ұстанған кезде АҚЖ - ға кететін шығындар минималды болу керек дегенді
білдіреді.
1.3 Ақпарат қорғау стандарты
2000
жылы
стандартизация
халықаралық
ұйымы
(International
17
Standartization Organization)
ақпарат қауіпсіздік әдістемелірі туралы
халықаралық стандарты басып шығарды - ISO 17799 . Сол құжат бастапқы
қадам болып саналады.
Стандарттың негізгі концепциялары:
− Қауіпсіздік политикасы. Осы бөлімінде құжаттың үнемі қайта қарап,
бағалауы, қауіпсіздік политикасы туралы айтылады;
− Ұйымдастырылған қауіпсіздік. Бұл бөлімінде басқа ұйымдармен
қарым-қатынасы туралы айтылады;
− Меншіктің санаты мен оны басқару. Бұл бөлімінде физикалық және
ақпараттық ресурстардың дұрыс қорғалуы туралы айтылады;
− Персоналдың қауіпсіздігі. Бөлімде жұмысшыны өндіріске алу қауіпін,
оларды машықтандлыру туралы айтылады.
− Физикалық және қоршаған орта қауіпсіздігі. Бөлімде барлық
физикалық меншіктер тонаудан, өрттен және тағы басқа жағдайдан жақсы
қорғанылуы керек екендігі туралы айтылады.
− Коммуникация және операцияны басқару. Бөлімде комптютерлерді
және желілерді қорғау туралы айтылады.
− Ұлықсатты басқару. Бөлімде ақпаратқа, жүйеге, желі және
бағдарламаға ұлықсат басқаруы, мониторинг туралы айтылады.
− Жүйені құру және оны қадағалау. Бөлімде жобаны құру мәселелері
қарастырылады,шифрлау мен кілттер басқару туралы айтылады.
− Жұмыс процесстерінің үздіксіздігін қадағалау. Бөлімде жұмыс
процесінің үздіксіздігін қамтамасыз ету туралы айтылады.
1.4 Шабуылдар санаттары
Компьютер жүйелерінің жұмыс кезінде түрлі мәселелер жиі туындап
отырады. Кейбіреулері - біреудің қателігінен, ал кейбіреулері қастық
әрекеттердің нәтижесі боп келеді. Барлық жағдайда зиян келеді. Сондықтан
мұндай жағдайларды олардың пайда болу себептеріне қарамастан шабуылдар
деп атаймыз.
Шабуылдың негізгі төрт санаты бар:
− рұқсат ету шабуылы;
− модификация шабуылы;
− қызмет көрсетуден бас тарту шабуылдары;
− міндеттерден бас тарту шабуылдары.
Рұқсат ету шабуылы - бұл қарауға рұқсаты жоқ ақпаратты зиянкестің алу
талпыныстары. Мұндай шабуылдардың жүзеге асуы кез келген жерде, ақпарат
беру мен оны беру құралдары бар жерлерде болуы мүмкін. Рұқсат ету шабуылы
ақпарат құпиялығының бұзылуына бағытталған.
18
1.2-сурет . Мұндай шабуылдардың жүзеге асуы кез келген жерде, ақпарат беру
мен оны беру құралдары бар жерлерде болуы мүмкін.
Астыртын қарау (snooping) - бұл ақпаратты іздеу үшін зиянкесті
қызықтыратын құжаттар немесе файлдарды қарау.
Біреу қатысушысы болмаған әңгімені тыңдаған кезде, бұл (eaves dropping)
сырттан тыңдау деп аталады. Ақпаратқа рұқсат етілмеген рұқсат етуді алу үшін
зиянкес оған жақын жерде болуы тиіс. Көп жағдайда ол электронды
құрылғыларды қолданады.
1.3-сурет. Сырттан тыңдау
Сырттан тыңдауға қарағанда ұстап қалу (interception) -бұл белсенді
шабуыл. Зиянкес ақпаратты оның тағайындалған жерге берілу үрдісінде алып
алады. Ол ақпаратты талдағаннан кейін оның әрі қарай өтуіне рұқсат беру
19
немесе тыйым салуына шешім қабылдайды.
1.4-сурет. Қағып алу
Рұқсат ету шабуылдары ақпараттың сақталуына қарай түрлі қалыптарға
ие болады: қағаз құжаттар түрінде немесе компьютерде электронды түрде.
Егер зиянкес жүйеге заңды рұқсаты болса, ол файлдарды бірінен соң бірін
ашып талдайды.
Ақпараттың желімен өтуі кезінде оған берілуді тыңдау арқылы қатынауға
болады. Бұзушы мұны компьютерлік жүйеге дестелердің (sniffer ) желілік
талдаушыларды орната отырып жасайды. Әдетте бұл компьютер барлық желі
трафигін ұстап қалуға конфигурацияланған. Ол үшін бұзушы жүйеде өз
уәкілетін орнатуы немесе желіге қосылуы тиіс (1.3- сурет ). Талдаушы желі
арқылы өтетін барлық ақпаратты, әсіресе қолдаңбалы идентификаторлар мен
құпия сөздерді ұстап қалуға орнатылған.
Сырттан тыңдау бөлінген желі және телефон байланыстары типті
ауқымды компьютер желілерінде де орындалуы мүмкін. Дегенмен ұстап
қалудың мұндай түрі сай аппаратуралар мен арнайы ғимараттардың болуын
талап етеді.
Ұстап қалу байланыстың нақты сеансы кезінде болуы мүмкін.
Шабуылдың мұндай түрі telnet типті интерактивті трафикті ұстап қалу үшін
келеді. Бұл жағдайда бұзушы клиент пен сервер орналасқан желі сегментінде
болуы қажет. Бұзушы заңды қолданушы серверде сессияны ашқанын күтеді,
содан соң арнайы бағдарламалық қамтамасыздандыру көмегімен сессияны
жұмыс кезінде алады. Бұзушы серверде қолданушыдағыдай артықшылықтарды
иемденеді.
20
1.5-сурет. Ұстап алу кезінде атқа рұқсат беру туралы қате ақпарат
қолданылады.
Ұстап қалу тыңдауға қарағанда қауіптірек, ол адамға немесе ұйымға
қарсы бағытталған шабуылды білдіреді.
Шабуыл
модификациясы
-
бұл ақпаратты құқықсық
өзгерті
талпыныстары.
Қағып алу жай тыңдауға қарағанда қауіптірек, өйткені ол адамға не
ұйымға қарсы шабулды білдіреді. Бұл ақпаратты заңсыз өзгерту әрекеті
Модификация шабуылы түрлерінің бірі қазіргі бар ақпаратты ауыстыру
мысалы, қызметкерлердің еңбек ақысына өзгерістер енгізу. Ауыстыру шабуылы
құпияға қарсы, сондай-ақ жалпыға бірдей ақпараттарға бағытталған.
Шабуылдың басқа типі - жаңа мәліметтерді қосу, мысалы, тарихи
кезеңдерге өзгерістер енгізу. Қарақшы банк жүйесіне операциялар арқылы
тұтынушы есеп шотындағы қаражат өз шотына ауысады.
Жою шабуылы бар мәліметтердің орын ауыстыруы. Мысалы, банктің
баланс есебінен жазбаны жою, нәтижесінде есепшоттан алынған қаражат сонда
қалады.
Кіруге рұқсат шабуылы сияқты модификация шабуылы қағаз құжаттар
түрінде сақталған немесе компьютердегі электронды түрде ақпаратқа қатысты
орындалады.
Қызмет көрсетуге қарсы болуға шабуыл (Denial-of-service, DoS) - бұл
ашық қолданушыға жүйені, ақпаратты, компьютер мүмкіндіктерін пайдалануға
тыйым салатын шабуыл түрі.
21
1.6-сурет. DoS шабуылы.
DoS-шабуылы кезінде қаскөй әдетте компьютерлік жүйеге ене алмай,
ақпаратпен операциялар жасай алмайды. Бұл шабуылды вандализмнен басқаша
деп атай алмаймыз.
DoS-шабуылы кезінде,ақпаратқа қарсы жүргендердің соңғысы қолдануға
жарамсыз болып қалады.
Ақпарат жойылады,
бұрмаланады,
немесе
қолжетпейтін жерге ауыстырылады.
DoS-шабуылының өзге типі ақпаратты өңдейтін, бейнелейтін қосымшаға
немесе бұл қосымшалар орындалатын компьютерлік жүйеге бағытталған.
Мұндай шабуылмен проблеманы шешу мүмкін емес.
Жүйеге енуге тойтарыс
DoS-шабуылының жалпылама типі компьютер жүйесін істен шығару,
нәтижесінде жүйенің өзі мен ондағы орнатылған қосымшалар, барлық
сақталған мәліметтер ашылмайды.
Байланыс құралдарына енуге тойтарысқа шабуыл көп жылдан бері
орындалып келеді. Мысал ретінде желі сымын үзу, шамадан тыс трафик
тудырған радиохабарларды немесе хабарламалардың нөпірін өшіру.
Шабуылдың мақсаты қатынас ортасы болып табылады.
Компьютерлік жүйенің және ақпараттың бүтіндігі бүлінбейді, бірақ
қатынас құралының жоқтығы бұл ресурстарға енуге мүмкіндік бермейді.
DoS-шабуылы әдетте компьютерлік желі мен жүйеге қарсы бағытталған,
бірақ арасында оладың мақсаты қағаз құжаттар да болады. Бұл шабуыл
ақпаратты теңестіру мүмкіндіктеріне қарсы бағытталған, басқа сөзбен айтқанда,
22
бұл транзакция мен шынайы жағдайлар туралы теріс ақпарат беру әрекеті.
1.5 Тапсырманың қойылымы
Менің бұл дипломдық жұмыстың мақсаты - қорғалған IP-желілерді
желіаралық экран, VPN мен L2TP көмегімен жобалау.
Тапсырмалар:
1) Желі топологиясын құру
2) Жобаланатын желіге имитацияциондық тәжірибе жүргізу
3) Жобаланатын желінің аналитикалық есебін жүргізу
4) Жобаланатын желінің экономикалық есебін жүргізу
5) Өмір тіршілік қауіпсіздігін ұйымдастыру
23
2 Ақпаратты қорғау құралдары мен тәсілдері
2.1 VPN
Жеке желілерді ұйымдар жойылған сайттар мен ұйымдарды
байланыстыру үшін қолданылады.
Жеке желілер түрлі телефон компаниялары мен ғаламтор қызметімен
жабдықтаушылардан жалға алған байланыс каналдарынан тұрады. Бұл
байланыс каналдары тек екі нысанды байланыстырады, басқа трафиктен бөлек
болғандықтан жалға алынған каналдар екі сайт арасындағы екіжақты
байланысты қамтамасыз етеді.
Жеке желілердің көптеген артықшылықтары бар:
− Ақпараттар құпия сақталады.
− Жойылған сайттар тез арада ақпарат алмасуды жүзеге асыра алады.
− Қашықтағы қолданушылар өздерін жүйеден алшақтатылған санамайды.
Виртуальды жеке желілердің анықтамасы
Сонымен, біз бұрынғыша трафиктің құпиялылығын қамтамасыз ету үшін
барлық шараларды жасай отырып, ұйымның құпия мәліметтерін жалға алған
байланыс каналдарын қолданбай ғаламтор арқылы беріп жібергіміз келеді.
Қалайша ғаламтордағы өзінің трафигін басқа трафиктен айырып алу үшін
шифрлеу қолданамыз.
Ғаламторда трафиктің кез келген типін кездестіруге болады. Бұл
трафиктің маңызды бөлігі ашық түрде беріледі, трафикті бақылап отырған кез
келген қолданушыоны тануына болады. Бұл көп бөлігі пошталық және веб -
трафик сондай -ақ telnet және FTP байланыс протоколдарына қатысты.
SecureShell (SSH) және Hypertext Transfer ProtocolSecure (HTTPS) трафиктері
шифрленетін трафиктер болып табылады, мұны пакеттерді бақылап отырған
қолданушы көре алмайды. Сонда да , SSH және HTTPS тиіндегі трафиктер VPN
виртуалды жеке желіні құра алмайды.
Виртуалды жеке желілер түрлі сипаттамалары бар:
− Трафик тыңдалудан қорғануды қамтамасыз ету үшін шифрленеді.
− Қашықтатылған сайттың аутентификациясын жүзеге асырады.
− Виртуалды жеке
желілер көптеген протоколдарды қолдауды
қамтамасыз етеді.
− Қосу нақты екі абоненттті байланыстыра алады.
SSH және HTTPS бірнеше протоколдарды ұстауға қабілетсіз, бұл шынайы
виртуалды жеке желілерге де қатысты.
VPN-пакеттері әдеттегі ғаламтордағы трафик ағынымен араласады да өз
бетінше бөлек әрекет етеді.
Шифрлеу берілетін ақпараттың өзекті болмай тұрғанда сол уақыттағы
құпиялылығына кепілдік беру үшін мейлінше күшті болуы керек.
Паролдердің жарамдылық уақыты 30 күн; ал құпия ақпарат өз
24
құндылығын жылдар бойы сақтауы мүмкін. Сондықтан шифрлеу алгоритмі
және VPN қолдану астыртын құпиясыздандыру трафигінің алдын алуы тиіс.
Екінші сипаттамасы - қашықтатылған сайттың аутентификациясын
жүзеге асырады. Бұл сипаттама орталық сервердегі кейбір қолданушылардың
аутентификациясын немесе VPN байланыстыратын екі тораптың екі жақты
аутентификациясын талап етеді.
Қолданылатын аутентификация механизмі саясатпен бақыланады. Саясат
қолданушылардың аутентификациясын екі параметрмен немесе динамикалық
парольдерді қолданмен қарастырады. Екі жақты аутентификация екі сайтта
белгілі бір ортақ
құпияны көрсетуін талап тетеді, немесе
цифрлық
сертификаттарын талап етуі мүмкін.
Желінің вертуалды бөлігі түрлі
протоколдарды қолдауды қамтамасыз етеді. әсіресе қолданбалы деңгейде.
Мысалы, қашықтағы қолданушы SMTP (Simple Mail Transfer Protocol)
протоколын қолдануы мүмкін, қолданушы пошталық сервер арқылы байланыс
үшін бір уақытта файлды сервермен байланыс үшін Net BIOS (Network Basic
InputOutput System) қолдануы мүмкін. Көрсетілген екі протокол да бір
байланыс циклі немесе VPN каналы арқылы жұмыс жасауы мүмкін (2.1- сурет ).
2.1-сурет. Виртуалды жеке желілер көптеген VPNпротоколдарды қолдайды.
Екі нақты нысанды байланыстырып, сол арқылыекі абонент арасында
өзгеше байланыс каналын құрайды. VPN ақырғы нүктелерінің әрқайсысы VPN
бірнеше қосылуларын бір уақытта өзге де нүктелермен ұстай алады, бірақ
нүктелердің әрқайсысы бір бірінен бөлек және шифрлеу арқылы трафик
бөлінеді.
25
Виртуалды жеке желілер дұрысында екі типке бөлінеді: қолданушы VPN
және түйінді VPN. Олардың айырмашылығы желінің екі типінің әрқайсысының
трафигін ажырату әдісінде емес, қолдану әдісінде.
Қолданушы виртуалды жеке желілерді дамыту.
Қолданушы VPN виртуалды жеке желілерді, бөлек қолданушы жүйе мен
түйін арасында немесе ұйым желісінде құрылған
VPN сервері ұйымның желіаралық экраны немесе бөлек VPN-сервер
болуы мүмкін. Қолданушы ғаламторға телефон арқылы қосылып, DSL каналы
не кабельді модем арқылы қосылады.
VPN желісі бөлек қосымша арқылы қолданушы компьютерінде беріледі
(2.2-сурет).
2.2-сурет. Қолданушы VPN конфигурациясы
Көп жағдайда компьютер интернет пен VPN желісінің арасындағы
жолкөрсетуші ролінде болады.
Қолданушы VPN артықшылығы.
Оның негізгі екі артықшылығы бар:
− Іс-сапарда жүрген қызметкерлер ешқандай телефон байланысысыз
электронды поштаға ене алады;
− Үйден жұмыс істейтін қызметкерлер қызмет желісіне ұйымда жұмыс
істейтін қызметкерлер секілді қымбат каналдарды жалға алмай - ақ жұмыс жасай
алады.
VPN қолданушысына байланысты мәселер.
VPN қолданудағы ең маңызды мәселебұл бір мезгілде ғаламтордың басқа
да сайттарымен бірге қосылу. Егер компьютерде троян атын қолданып
26
шабуыл жасалса, бұл қандай да бір сыртқы астыртын қолданушы қызметкердің
компьютерін ұйымның ішкі желісіне қосылу үшін пайдаланып жүргендігі (2.3-
сурет). Мұндай типтегі шабуылдар өте күрделі, және олар өмірде бар.
2.3-сурет. Ұйымның ішкі желісіне ену үшін Троя атын қолдану.
Егер
VPN
қолданушыларды
басқару қолданушыларды орталық
басқарумен байланысты болмаса, бұл фактіні ұйымнан шығып кеткен
қолданушылармен жұмыста ескерілуі тиіс.
VPN торап желістерін дамыту
Виртуалды жеке желілерді ұйымдар қашықтағы тораптар мен қымбат
каналдарды қолданбай - ақ байланыс жүргізу үшін немесе екі ұйымды
байланыстыру үшін пайдаланады. Бұл жағдайда оларды желіаралық экран
немесе шекаралық маршрутизатор байланыстырады (2.4-сурет).
Байланысты жүзеге асыру үшін, бір түйін келесі түйінге трафик жібереді.
Сол себептен, қарама - қарсы түйіндерде VPN байланысы пайда болады. Ақырғы
түйіндерде жазылған политикаға байланысты екі түйін байланыс параметрлерін
анықтайды. Екі сайт ашық кілттер сертификатымен немесе алдын ала алынған
ортақ құпиямен бір -бірін анықтайды. Кейбір ұйымдар түйінді VPN-ді
жалданған каналдарда резервті байланыс ретінде қолданады.
Мұндай конфигурациямен жұмыс жасағанда маршрутизацияны дұрыс
баптау керек. VPN физикалық каналы жалданған каналдан ерекшеленуі тиіс.
Екі жақтан қосылу да бір физикалық канал арқылы жүруі мүмкін, оның соңы
желі бойындағы артық салмаққа әкеледі.
27
2.4-сурет.VPN - нің ғаламтор арқылы желіаралық қосылуы
VPN торабының артықшылығы.
Қолданушы VPN-нін артықшылығы тораптық VPN үнемді. Бұл -негізгі
артықшылық. Бір -бірінен қашықта орналасқан ұйымдар орталық торабы бар, аз
шығын шығатын виртуалды жеке желі құруларына болады.
Желілік
инфраструктурада жылдам құрылады, сондай - ақ қашықтағы офистерде ISDN
немесе DSL каналдары үшін локальді ISP желілерін қолдануға болады.
Түйінді VPN байланысты мәселелер.
Түйінді VPN-дер жаңа алыстағы түйіндер немесе алыстағы ұйымдарды
қосу арқылы қауіпсіздік периметрін үлкейтеді. Алыстағы түйіннің қауіпсіздік
деңгейі үлкен емес, себебі VPN қарақшыларға орталық түйін мен басқа да
ұйымның ішкі бөліктеріне рұқсат алуына мүмкіндік беруі мүмкін. Сәйкесінше,
ұйымның ақпараттарының қауіпсіздігін сақтау үшін қатал саясат жүргізіп және
аудит функциясын жүзеге асыру қажет. Егер екі ұйым өздерінің желілерін
байланыстыру үшін түйіндік VPN қолданған жағдайда екі жақты байланыс
үшін орнатылған қауіпсіздік саясаты үлкен роль атқарады. Осы жағдайда екі
ұйым қандай ақпаратты VPN арқылы жіберуге болатынын, ал қандай ақпаратты
жіберуге болмайтынын анықтап алу қажет, келісілген жағдай бойынша
өздерінің желіаралық экрандарында саясатты икемдеп алу керек.
Түйіндік VPN аутентификациясы қауіпсіздікті қамтамасыз етудің басты
шарты болып табылады. Байланысты орнату кезінде кездейсоқ қ ұпияларды
қолданылуға болады, бірақ бір ортақ құпия тек қана бір VPN байланыста
қолданылуы қажет. Егер ашық кілттері бар сертификаттар қолданысы
ұсынылса, ол кезде сертификаттардың қолдану мерзімін аңду және өзгертуді
қамтамасыз ету рәсімін жасак керек.
Пайдаланушы VPN-ді қолданған жағдайдағыдай VPN сервері VPN-
трафиктің дешифрлеу және шифрлеуді қамтамасыз ету қажет. Егер трафик
деңгейі жоғары болса, VPN серверінің жүктемесі жоғары болуы мүмкін.
Негізінде бұл желіаралық экран VPN- сервер болып табылған кезде, және
ғаламтор-трафик орны үлкен көлемде болған кез жағдайына жатады.
Егер түйіндік VPN бір ұйым ішінде қолданылса, барлық түйіндер үшін
бірдей сұлба болу қажет. Бұл жағдайда адрестеу ешқандай қиындық
туғызбайды. Егер VPN екі түрлі ұйымда қолданылса, адрестеуге байланысты
кезкелген түсініспеушілікті ескерту шараларын алдын - алу қажет. 3.5- суретте
түсініспеушілік жағдай көрсетілген. Бұл жағдайда екі ұйым бір жеке адрестік
кеңістіктің бөлігін қолданады (желі 10.1.1.x).
28
2.5-сурет. Түйіндік VPN адрестеумен байланысты түсініспеушілік шақыру
мүмкін.
Сұлбадан белгілі болып тұрғандай адрестеу бір-бірімен қарама-
қайшылықта болады және трафиктерді бағдарлау жұмыс істемейді. Бұл
жағдайда VPN байланыстың әр жағы желілік адрестерді хабарлау және басқа
ұйым жүйесін өз адрестеу сұлбасына қайта адрестеу қажет (3.6-сурет).
Түйіндік VPN басқару
2.6-сурет.Түйіндік VPN адресацияшиелінісін алдын алу үшін NAT
қолданады.
VPN жүзеге асырудағы стандартты технология түсінігі.
VPN желісі 4 маңызды компоненттен тұрады:
− VPN сервері
− шифрлеу алгоритмы
− аутентификации жүйесі
− VPN протоколы
Бұл компоненттер қауіпсіздік, өнімділік, өзара қарым-қатынасқа
қабілеттілік талаптарына сай.
VPN архитектурасы қаншалықты дұрыс жүзеге асқаны талаптардың
дұрыстығын анықтауға байланысты болады. Талаптарды анықтау келесі
29
аспектілерден тұрады:
− Ақпаратты қорғауды қамтамасыз ететін уақыт;
− Бір мезгілде қосылған қолданушылар;
− Қолданушылардыңтиптері;
− Алшақтатылған сервер мен қосылғандар саны;
− Қойылу қажетті VPN желісі типтері;
− Алшақтатылған тораптардағы кірген, шыққан трафиктерден күтілетін
көлем;
− Қауіпсіздік саясаты.
VPN сервер
VPN байланысының соңғы түйіндері рөлінде жүретін компьютерді VPN
көрсетеді. Берілген сервер күтілетін жүктемені қолдау үшін жеткілікті
сипаттамаларға ие болуы қажет. VPN бағдарламалық қамтамасыздандыруларын
өндірушілердің көп бөлігі бір уақыттық VPN байланыстар санына байланысты
жады конфигурациясы мен процессор өнімділігі жөнінде ұсыныстар беруі
керек. Жүйені сай параметрлермен қамтамасыз етуі, сонымен қатар оның әрі
қарай жетілдірілуі қамын ойлауы керек.
Күтілетін жүктемені қолдауды қамтамасыз етуге бірнеше
VPN
серверлерді құру қажеттіліктері болуы мүмкін. Бұл жағдайда күтілетін VPN-
байланыстар барынша тез жүйелер арасында таратылуы тиіс.
VPN сервер желіде орналасқан болу керек. Сервер желіаралық экран
немесе шекаралық маршрутизатор болуы мүмкін (2.7- сурет), VPN- сервердің
орналастырылуын жеңілдетеді. Альтернатив ретінде сервер дара жүйе ретінде
де болуы мүмкін. Бұл жағдайда сервер белгіленген демилитаризацияланған
(DMZ) (3.8-сурет ) аймақта орналастырылуы қажет. Идеал жағдайда VPN
демилитаризацияланған аймақ тек VPN сервелерді құрау керек және
ұйымдардың веб -серверлар мен почта серверлерін құрайтын DMZ интернеттен
бөлек болуы қажет. Себебі боп VPN-сервержүйенің ішкі авторизацияланған
пайдаланушыларына рұқсат етуді береді, сәйкесінше сенімнің үлкен деңгейі
нысаны ретінде, сенімі жоқ адамдармен болған рұқсат ету, веб серверлар мен
почта серверлеріне қарағанда ретінде қаралуы тиіс. Демилитаризацияланған
аймақ VPN желіаралық экран ережелер жинағымен қорғанады және VPN талап
ететін трафикті беруге рұқсат етеді.
30
2.7-сурет. VPN-сервер желіаралық экран боп саналатын VPN желінің
архитектурасы.
2.8-сурет.VPN дара сервері үшін VPN желінің архитектурасы.
Егер VPN-сервер демилитаризацияланған VPN аймақта орналасса,
желіаралық экран трафиктің жүктелуін қолдау үшін шыңдалуды талап етуі
мүмкін. Желіаралық экран шифрлеу функцияларын орындамауына қарамастан,
әуелгі желіаралық экран VPN трафигы үшін қажетті есептеуіш күштілік
қамтамасыздандырылу үшін жеткілікті сипаттамаларға ие болмауы мүмкін.
Егер VPN трафигі ұйымға маңызды болса, желіаралық экранда қатені айналып
өту жүйелері болу керек. Альтернатива ретінде VPN дара платформасын
қолдануға болады. Мұндай құрылғы VPN өңдеуін өз мойнына ала отырып,
желіаралық экранның жүктемесімен қамтамасыз етеді.
VPN
демилитаризацияланған
аймағы үшін желіаралық экранның
саясатының ережелері
2.1-кестеде
анықталған.
Мұнда интернеттің
31
демилитаризацияланған аймағымен VPN демилитаризацияланған аймағы үшін
қажетті ережелер бар.1,2,3 ережелер VPN демилитаризонды аймағына жатады.
Ереже 1. VPN бағдарламалық қамтамасыздандыру талап ететін кез келген
қызметті қолдану арқылы VPN клиенттерінің VPN серверлеріне қатынауға
мүмкіндік береді.
Ереже 2. VPN-серверге ішкі желі арасында байланысты маршрутизация
жүргізуге рұқсат етеді.
Ереже 3. Аз сенімге ие DMZ (Demilitarilazed Zone) ғаламтор жүйесін VPN
демилитарлық аймағынан оқшаулап, ғаламтордың демилитарлық аймағы мен
VPN демилитарлық аймағы арасындағы байланысты қолданбайды.
2.1-к е с т е . VPN демилитиризация аймағы қосылған желіаралық экран
политика ережелері
Шифрлау алгоритмі
VPN-де қолданылатын шифрлау алгоритмі стандартты қуатты шифрлау
алгоритмі болу қажет. Негізінде барлық стандартты және қуатты алгоритмдер
VPN құрылымында тиімді қолданылады. Әр қилы өндірушілер бағдарламалау
талғамына және лицензиялаумен байланысты аспектіге, өнімді енгізу
шектеулеріне байланысты әртүрлі алгоритмді таңдайды. VPN бағдарламалық
пакетін алған кезде, мамандар түсіндірмелерін тындап және өндіруші қуатты
шифрлау алгоритмін қолданғанына көзіңізді жеткізіңіз.
Аутентификация жүйесі
VPN архитектурасының үшінші құраушысы болып аутентификация
жүйесі болып табылады. Пайдаланушылар өздері не біледі сонымен, немесе
өздерінде не бар сонымен, және бар ақпараттармен аутентификация өте алады.
VPN пайдаланушыны қолданған кезде бірінші екі нұсқаға ерекше көңіл бөледі.
Аутентификацияның жақсы қиыстыру амалы жеке идентификациялық
номер мен құпия сөзбен бірге жұпта жүретін смарт -карталар болып табылады.
Бағдарламалық қамтамасыздандыруды өндірушілер әдетте ұйымдарға таңдауға
бірнеше аутентификация жүйесін ұсынады. Берілген тізімде смарт - карталарды
32 №
Бастапқы IP
Соңғы IP
Қызмет
Әрекет
1
Кез-келген
VPN-сервер
VPNқызмет
Қабыл алу
2
VPN-сервер
Внутренняя сеть
Кез-келген
Қабыл алу
3
Кез-келген
VPN-сервер
Кез-келген
Қабыл алмау
4
Кез-келген
Веб-сервер
HTTP
Қабыл алу
5
Кез-келген
Почталық сервер
SMTP
Қабыл алу
6
Почтолық сервер
Кез-келген
SMTP
Қабыл алу
7
Ішкі желі
Кез-келген
HTTP,
HTTPS, FTP,
telnet, SSH
Қабыл алу
8
Ішкі DNS
Кез-келген
DNS
Қабыл алу
9
Кез-келген
Кез-келген
Кез-келген
Тастау
шығарушы ең жақсы өндірушілер бар.
VPN хаттамасы
VPN хаттамасы VPN жүйесі ғаламторда басқа жүйелермен қандай
жолмен әсерлесетінін, және де трафиктің сақталу деңгейін анықтайды.
Егер қарастырылып отырған ұйым VPN-ді тек ішкі ақпараттық алмасуға
қолданатын болса, әрекеттесу сұрағын қарастырмауға болады.
Егерде ұйым VPN-ді басқа ұйымдармен байланыс үшін қолданса, ол
кезде жеке хаттамаларды қолдану жүзеге аспайды.
Шифрлау алгоритмі туралы айтқан кезде, қоршаған орта факторлары
шифрлау алгоритміне қарағанда жүйе қауіпсіздігіне үлкен әсерін тигізеді.
VPN протоколы жүйенің қауіпсіздігінің жалпы дәрежесіне әсер етеді. Бұған
дәлел ретінде, VPN протоколы екі соңғы түйін арасында шифрлеу кілтімен
алмасуғы мүмкіндік береді. Егер бұл алмасу сақталмаған болса, онда
зиянкестер бұл кілтті алып және трафик ашуы мүмкін.
Байланыстыру кезінде стандартты протокол қолдану ұсынылады. Қазіргі
кезде VPNүшін стандартты протокол IPSec болып есептеледі. Бұл протокол өз
бетінше Ip- ға қосымша ретінде жүреді, ол инкапсулыцияны болдырады, TCP
тақырыбын шифрлейді және пакеттегі пайдалы ақпаратты шифрлейді. IPSec
сондай кілттердің алмасуын, өшірілген сайттың аутентификациясын және
алгритмдердің келісімен (шифрлеу алгоритмі және хэш -функция алгоритмін)
қолдайды.
IPSec UDP-порт 500-ді бастапқы келісімге қолданады, содан кейін барлық
трафик үшін IP-протокол қолданылады. VPN - нің дұрыс жұмыс істеуі үшін бұл
протоколдар рұқсат етілген болуы керек.
IPSec жұмысмен желіаралық экрандармен кейбір ерекшіліктер
байланысқан. Екіншіден, желіаралық экранда UDP трафигі 500 порт арқылы
рұқсат етілген болуы керек және келесі 50 протоколмен IP трафик.
Бұлардың орнатылуы желіаралық экранға байланысты. Бұдан басқа,
желіаралық мекен- жайдағы трансляцияны қолдануға байланысты сұрақ
туындайды (NAT).
Егер жіліаралық экран мекен-жайдағы транслцияны пакеттер үшін
интернетте ішкі желіге түсуін қамтамасыз етсе, онда оған сәйкесінше соңғы
мекен- жайда трнасляциялау керек, өйткені трафик ішкі қабылдаушыға жету
керек. Кейбір желіаралық экрандар бұл функцияны трафикпен жұмыс кезінде
қолданады, олар UDPжәне TCP порттарына қолданылмайды.
Кейбір желілік қызметті жеткізушілер бұл протоколдарды өзінің
желісінде қолдануды шектейді. Өйткені, бұларды қолдануға мүмкіндік болуы
үшін қабылдаушыға қарапайым стандартты пакет орнына бизнес -пакет
қолдануы керек болады.
IPSec протоколының басты альтернативті протоколы ретінде
SecureSocketLayer (SSL) протоколы болып есептеледі. Ол HTTP қауіпсізідігі
үшін қолданылады. Бірақ, SSL технологиясы қолданбалы деңгейдегі жұмыс
үшін арналған, ол IPSec-пен салыстырғанда ондай тиімді болмауы мүмкін.
VPN жүйесінің түрлері.
33
VPN жүйесінің фунциясын қарастырғаннан кейін, организация ішінде
VPN-нің тікелей қолдануын қарастырамыз.
Политикамен басқару жөнінде сұрақтардан басқа, организация VPN
жүйесінің түрін таңдау керек. VPN-нің 3 түрі:
− аппараттық жүйелер;
− бағдарламалық жүйелер;
− веб-жүйелер.
2.3 IPSec
IP деңгейінің қауәпсіздігінің архитектурасы
Желілік қауіпсіздіктің барлық механизмі ISOOSI эталондық моделінің
үшінші деңгейінде жүзеге асырылады. Одан басқа, IP - дейгейді қауіпсіздік
құралдарды орналастыру үшін ең тиімді нұсқа деп қарауға болады, өйткені бұл
кезде қауіпсздік пен тиімділіктің функциялануы мен мөлдірлігі арасында
келісіморнайды.
IP қауіпсіздіктің стандартты механизмімен жоғары деңгейдегі протолдар
қолдана алады және де жекелеген басқарушы протоколдар, конфигурациялау
және маршрутизациялау протоколдары.
IP қауіпсіздіктің құралдары Ipsec (Internet Protocol Security) жанұясымен
сипатталады, олар IP Security жұмыс тобына арналып құрылған.
IPsec протоколы рұқсат етуді басқаруды қамтамасыз етеді, байланыс жоқ
кезінде, мәлімет дерекнамасын сәйкестендіру, өңдеуден қорғау, құпиялылық
және трафикті анализдеу кезінде жекелеген қорғау.
IP-деңгейдің қаауіпсіздігінің құралдарының архитектурасы құжатта
сәйкестендірген. Оның басты құрастырушылары 3.9- суретте көрсетілген, бұлар
ең басты сәйкестендіруді қамтамасыз ететін протоколдар (Authentication Header
сәйкестендіретін протокол тақырыбы және құпиялылық Encapsulating Security
payload), және де криптографикалық кілттерді басқару механизмі. Ең төмен
архитектуралық деңгейде шифрлеудің нақты шифрлеу алгоритмі қолданылады,
тұтастық және және аутентификациялық.
Негізділік рөлін домен интерпретациясы (Domain of Interpretation, DOI)
атқарады, ол деректер қоры болып саналады. Ол алгритмдер туралы
мәліметтерді, олардың параметрлерін, протоколды идентификациясын
сақтайды және т.б.
34
2.9-сурет. IP-деңгейдең қауіпсізідік құралының архитектурысының негзге
элементі
Деңгейге бөлу ақпараттық технологиялық аспекттердің барлығы үшін
маңызды. Мұнда, криптографияда бар, маңыздылығы екі есе өседі, сондықтан
тек техникалық факторлармен ғана санасу керегі жоқ, сондай ақ әр елдің
заңдылықтарымен, криптоқұралдырдың экспортыимпортымен шектелуімен
санасу керек.
IPSec-тегі сәйкестендіру мен құпиялылық
протоколдары нақты
криптографиялық алгоритмдерге тәуелсіз. Әр елде өздерінің алгоритмдері
қолданылуы мүмкін, олар ұлттық стандарттарына сай болады, бірақ
интерпретациялық доменге тіркеу кезін бақылауға алу керек.
Хаттамалардың алгоритмдік тәуелсіздігі өкінішке орай сырт жағы бар,
яғни байланысу жақтарымен сүйемелдейтін, қолданылатын алгоритмдердің
және олардың параметрлердің жиынын қажеттілікте алдын - ала келісуден
тұрады. Басқа сөзбен айтқанда, жақтар жалпы қауіпсіздіктің контекстерін
(Security Association, SA) шығаруға және содан кейін алгоритмдер және
олардың кілттері сияқты оның элементтерін қолдануға тиісті . I Рsec- те
қауіпсіздік контекстердің қалыптастыруын хаттамалардың ерекше тұқымдасы
жауап береді және келесі бөлімдерде қаралатын болады.
Түпнұсқалылықты және құпиялылықты қамту хаттамалары екі режимде
қолданылуы мүмкін: көліктік және туннельдік. Бірінші жағдайда тек қана
пакеттердің мазмұны және кейбір тақырыптардың жиегі қорғалады.
Әдеттегідей, көліктік режим хосттармен қолданылады. Туннельді режимде
барлық пакет қорғалады - ол басқа IP-пакетке инкапсульденеді. Туннельді
режим әдетте арнайы бөлінген қорғаныс шлюздерде таратылады.
Қауіпсіздіктің контекстері және кілттермен басқару
IРsec-те қауіпсіздіктің контекстерін қалыптастыру екі фазаға бөлінген.
Біріншіде басқаратын констект құрылады, оның тағайындалуы сенімді каналды
ұсыну, яғни хаттамалық контекстерді шығару үшін және сонымен қатар AH
және
Esp
хатамаларымен қолданылатын криптографиялық кілттерді
қалыптастыру үшін сәйкестендірілген, қорғалған канал.
35
Түптеп келгенде, Iрsec механизмдердің жұмыс істеуі үшін тек қана
хаттамалық контекстер қажетті; басқаратын тек қосымша маңызы бар. Сондай -
ақ, егер соңғысын тек бір іс - әрекет деп қарайтын болса, екі фазаның бөлінуі
кілттердің қалыптастыруын ауырлатады және күрлендіреді. Алайда, сәулет
пікірінше басқаратын контекстерболуға мүмкін және болуға тиісті, себебі бір
орында қажетті функционалдықты шоғырландырып, TC PIP айдағыштарында
барлық хаттамалық деңгейлеріне қызмет көрсетеді. Өзара әрекеттесетін жақтар
жалпы құпиялары жоқ және бір бірінде түпнұсқалылықта сенімсіз болғанда
ғана бірінші фаза басталады. Егер басында сенімді канал құралған болмаса,
онда кілттермен бірге әрбір хаттамада (AH, ESp,TLS т.б) әр басқаратын әрекетті
орындау үшін осы каналды жаңадан қалыптастыруға тура келеді.
Басқаратын контексті қалыптастыруға мүмкіндік беретін және
идентификаторлардың қорғанысын қамтамасыз ететін берілетін хабарламаның
реттілігі келесі түрде бейнеленеді (2.10-сурет).
2.10-сурет. Басқаратын контекстің қалыптасуы
Бірінші хабарламада (1) бастаушы қорғаныс алгоритмдердің және
олардың нақты таратылу механизмдердің жиыны бойынша ұсыныс жолдайды.
Ұсыныстар көрінушілік деңгейі бойынша реттелінеді. Жауапты хабарламада (2)
әріптес жасалынған таңдау - оны қандай алгоритмдер мен механизмдер
жасайлатырндығы жайында хабарлайды. Әрбір қорғаныс құралдары класы
үшін (кілттердің генерациясы, түпнұсқалылық, шифрлеу) тек қана бір элемент
таңдалынады.
(3) және (4) хабарламаларда бастаушы және әріптес жалпы құпия кілтті
36
(біз Диффи - Хелман алгоритм үшін ерекше бөлшектерді жолдаймыз) шығару
үшін қажетті өзінің кілтті материалдар бөлімдерін жолдайды. Бір реттік
нөмірлер
хабарламаны жаңғыртудан қорғау үшін жалған кездейсоқ
өлшемдерден тұрады.
(5) және (6) хабарламалары арқылы қол қойылған (түпнұсқалылық
мақсатында) және алдынғы қадамдарда өндірілген жалпы құпия кілтпен
шифрланған
жіберушінің құпия кілтімен
сәйкестендірілген ақпараттың
алмасуы жүргізіледі. Сәйкестендіру үшін ашық кілттердің сертификаттарын
қолдануға ұсынылады. Ескере болсақ, қол қойылатын мәліметтер санына
біржолғы нөмірлер енгізіледі.
2.11-сурет. ISAKMp-хабарламаның тақырып үлгісі.
IP-пакеттердің түпнұсқалылығын қамту
Ipsec-те түпнұсқалындырылған тақырыптың хаттамасы пакеттердің
тұтастығын ... жалғасы
8
9
10
Аңдaтпa
Бұл диплoомдық жұмыcтa Қорғалған IP желілерді жобалау дeгeн
тaқыpып қаapaлды. Жұмыcтын мaқcaты - қорғалған IP желілерді жобалау
болып табылады. Жұмыcтa мapшpyтизaтopдыңқұpылытcық ұcтaнымы жeтe
қapaлды жәнe бaғдapлaмaлық қaмтaмacыздaндыpyлaррp caлыcтыpылып шoлy
жүpгізілді. Бaғдapлaымaлық қaмтaмacыздaндыpyды әpтүpлі жүйeлepдe қoлдaнy
жаaйындa тaлдayжәнe oның ceнімділігінe eceптeyлep жүpгізілді. Жүpгізілгeн
eceптeyлepнәтижeеcіндe бaғдapлaмaлық қaмтaмacыздaндыpyды өнepкәcіптік
жұмыcтa қoлдaнy мүмкіндігін қоopтындылaдық. Жәәнe экoнoмикaлық
тиімділігінeceптeлінді.
Аннoтaция
B дaннoй диплoмнoй paбoтe paccмoтpeнa тeмa Проектирование
защищенных IP сетей. Цeлью paбoты являeтcя проектирование защищенной
сети. B paбoтe дeтaльнo paccмoтpeн пpинципы и этапы проектирования
защищенных сетей. Пpoвeдeн oбзop виды информационных угроз, и их влияние
на сеть. Детально рассмотрены виды обеспечение безопасности на канальном и
трансмпортном уровне. Пpoизвeдeн pacчeт нaдeжнocти VPN соединение. B
peзyльтaтe пpoизвeдeнных pacчeтoв мoжнo cдeлaть вывoд o вoзмoжнocти
иcпoльзoвaния VPN сервера пpoмышлeннoй экcплyaтaции. А тaкжe были
pacчeты экoнoмичecкoй эффeктивнocти VPN соединение.
11
Мазмұны
Кіріспе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...8
1. Ақпаратты қорғау жүйесін жобалау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 9
1.1 Ақпаратты қорғау жүйесін жобалау кезеңдері ... ... ... ... ... ... ... ... ... . 9
1.2 АҚЖ архитектурасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 11
1.3 Ақпарат қорғау стандарты ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.4 Шабуылдар категориялары ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13
1.5 Тапсырма қойылымы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 18
2. Ақпаратты қорғау құралдары мен тәсілдері ... ... ... ... ... ... ... ... ... ... ... ... ... 19
2.1 VPN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 19
2.2 IPSec ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 29
2.3 Желіаралық экран ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 35
2.4 Кіруді анықтайтын жүйе ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 40
3. OPNET бағдарламасында қорғалған IP-желіні жобалау ... ... ... ... ... ... ... ... 42
3.1 Жалпы түсінік ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 42
3.2 Қорғалған желіні жобалауға арналған имитациондық модельдер .. 42
3.3 OPNET Modeler 9 бағдарламасы арқылы жоба құру ... ... ... ... ... ... 49
3.4 Жүктемені есептеу ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 56
4 Бизнес-жоспар ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 70
4.1 Резюме ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 70
4.2 Ой-талдау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 71
4.3 Сала сипаттамасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 71
4.4 Өнім ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 72
4.5 Маркетинг ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 73
4.6 Еңбек сыйымдылығы жұмысын есептеу ... ... ... ... ... ... ... ... ... ... ... . 73
4.7 Жасалынған жұмыстың бағасын есептеу ... ... ... ... ... ... ... ... ... ... ... 76
4.8 Интеллектуалды еңбек бағасы ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 81
5. Өмір тіршілік қауіпсіздігі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 83
5.1 Бақылау бөлмесінің жағдайын талдауы ... ... ... ... ... ... ... ... ... ... ... .. 83
5.2 Жарықтандыруды дайындау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 88
5.3 Өндірісте өрт шыққан кезде қауіпсіз әрекет жасау ережесі ... ... ... . 93
Қорытынды ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 94
Әдебиетер тізімі ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 95
Қосымша А ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 96
12
Кіріспе
Қазіргі өміріміздің бірде-бір саласы дамығын ақпараттық құрылымсыз
қызмет естей алмайды. Ұлттық ақпараттық ресурс мемлекеттің экономикалық
және әскери күшінің негізгі көзі болып табылады. Ақпарат мемлекеттің әр
саласына ене отырып, саяси, экономикалық және материалдық көрінісіне ие
болады. Осы жағдайда ақпаратты қорғау өзекті мәселесіне айналады. Ол
мемлекеттің ең маңызды мақсатының біріне айланады
Осы күнге компьютерлік жүйелер және олардың бір-бірімен
телекоммуникациялық желілер арқылы байланысуы қарқын дамып келген
кезде, пайдаланушы және қызметтік ақпаратты қорғау бірінші орындарда.
Қорғалған желіні жобалау бірнеше кезеңнен тұрады. Олар - қорғаныс
деген талаптар мен шарттар, қорғау функциялары,
қорғау тәсілдері,
техникалық-экономикалық бағасы, ақпаратты қорғаудың
ұйымдастырушылдық-құқылық негізі.
Менің осы дипломдық жұмысымның мақсаты - қорғалған IP-желілерді
жобалау. Жобалау барысында OPNET Modeler 9 бағдарламасын қолдана
отырып, желіні VPN, желіаралық экран және L2TP хаттамасы көмегімен
қорғаныс қалай жүзеге асатыны қарастырылады. OPNET қазіргі таңда
имитациондық модельдерінің үздіктерінің біріне жатады.
13
1 Ақпаратты қорғау жүйесін жобалау
1 .1 Ақпаратты қорғау жүйесін жобалау кезеңдері
Ақпаратты қорғау жүйелерінің жобалануы берілген нысан үшін
ақпаратты қорғау қамтамасыздандыруының оңтайлы механизмдері мен оларды
басқару механизмдерін құру үшін жасалынады. Сол не өзге тапсырманың
қойылуын таңдау қорғалатын ақпараттың сипатына байланысты болады.
Құпияның негізгі түрлері 4 санатқа жіктеледі:
− мемлекеттік;
− өнеркәсіптікжәне коммерциялық;
− құпиялы ;
− жеке мәліметтер.
Ақпаратты қорғау жүелерін (АҚЖ) жобалау түрлі шарттарда жүзеге
асады, сонымен қатар әсерді анықтайтын бұл шарттарды ажыратуға келесі екі
параметр көрсетеді:
− АҚЖ жасалынатын ақпаратты өңдеу нысанының жай-күйі;
− АҚЖ құруға рұқсат етілуі мүмкін шығындар деңгейі.
АҚЖ - ға шығындар берілген не АҚЖ жобалануы үрдісінде анықталуы
мүмкін, сондықтан жобалау көзқарасынан шектелмеген болады.
Жобалау әдістемесі ұйымдастыру- технологиялық түрінің қиын жүйесінің
жобалаудың жалпы әдістемесіне толықтай кіреді.
Көрініп тұрғандай, жобалау рәсімі мына реттілікпен жүзеге асуы мүмкін:
− жобалаудың шарттары мен мақсаттарының талдауы;
− ақпарат қорғанысына талаптардың негіздемесі;
− жобалау нұсқасын таңдау;
АҚЖ жобасының жасалу реттілігі келесі кезеңдермен ұсынылған:
1) Қорғанысқа деген талаптардың негіздемесі мен оның шарттарының
сараптамасы
2) Ақпаратты қорғау функцияларының анықтамасы
3) Қорғау тапсырмаларының шешілуге тиісті тізімінің негіздемесі
4) Қорғаныс тапсырмаларын шешу үшін қажетті тәсілдерді таңдау
5) Таңдалған механизмдердің күтілетін тиімділігінің бағасы
6) Жобалауға дәйектемелердің негіздемесі
7) АҚЖ құрылымының негіздемесі
8) Жобаның техника - экономикалық бағасы
9) Ақпаратты қорғаудың ұйымдастырушылық - құқылық шешімі
1- ші кезең - талаптар негіздемесі мен ақпаратты қорғау шарттарының
сараптамасы:
− АӨН-на ақпаратты қорғауға ықпал ететін факторлардың қалыптасуы;
− Ақпаратты қорғау бойынша талаптар негіздемесі мен таңдау;
− АӨН-нақ апаратты қорғау шарттарының сараптамасы.
14
2- ші кезең - ақпаратты қорғау функцияларын анықтау - қорғаудың қажет
етілетін деңгейімен қамтамасыз ететін қорғау функцияларының тізімінің
негіздемесі.
3- ші кезең - қорғау тапсырмаларының шешілуге тиісті тізімінің
негіздемесі:
− ақпаратты қорғау тапсырмаларының тізімін анықтау;
− ақпаратты қорғау тапсырмаларының түрлері;
− ақпаратты қорғаудыңшешілуге тиісті тапсырмаларын таңдау.
4- ші кезең - ақпаратты қорғаудың таңдалынған тапсырмалар шешімі
үшін жеткілікті құралдарды таңдау:
− техникалық барлауға қарсы тұратын амалдардың тізімін анықтау;
− техникалық барлауға қарсы тұратын амалдардың жіктелуі;
− берілген амалдардың қолданылуының тиімділігін анықтау;
− қарсы тұру амалдарының оңтайлы жиынын анықтау.
5- ші кезең - ақпаратты қорғаудың таңдалған тапсырмалары шартында
ақпаратты қорғау тиімділігінің бағасы:
− таңдалған тәсілдермен таңдалған тапсырмалардың шешілу шартында
ақпарат қорғанысының бағасы;
− қорғаныстың алынған бағаларын қажетті деңгеймен салыстыру.
6- шы кезең - жобалауға тапсырмаларды анықтау негіздемесі :
− ақпаратты қорғаудың жеткіліксіз қамтамасыздандырылу себептерін
анықтау;
− жобалауға тапсырманы айқындаудың рационалды нұсқасын таңдау.
7-ші
кезең
-
АҚЖ-ның жұмыс істеу технологиялары мен
құрылымдарының негіздемесі:
− АҚЖ-ныңжалпы құрылымын, оның қосалқы жүйелері мен ақпаратты
қорғау ядросын анықтау;
− Қамтамасыздандырудың техникалық, математикалық, бағдарламалық,
ақпараттық, ұйымдастырушылық және лингвистикалық құрамын, ақпаратты
қорғау бойынша ұйымдастырушылық-техникалық шараларды анықтау;
− АҚЖ-ның архитектурасы мен компоненттер құрылымының
негіздемесі;
− АҚЖ-ның қызмет істеу технологиялық сұлбаларының негіздемесі;
− Ақпаратты қорғауды басқару технологияларының негіздемесі.
8- ші кезең - жобаның техника - экономикалық бағалары:
− Ақпаратты қорғау функцияларының сенімділігінің бағалары;
− АҚЖ-ның өміршеңдігінің бағасы;
− АҚЖ-ның экономикалық бағалары;
− АӨН сипаттамаларына АҚЖ-ныңәсер ету деңгейлерінің бағасы.
9-шы кезең - ақпаратты қорғаудың ұйымдастырушылық-құқылық
сұрақтарын шешу:
− АӨН - нің қызмет ету үрдістеріне қатысатын тұлғалар мен барлық
бөлімшелердің ақпаратты қорғау бойынша міндеттері мен құқықтарын
анықтау;
15
− ақпаратты қорғау бойынша барлық шаралар мен процедуралардың
жүзеге асу ережелерін жасау;
− АӨН - нің қызмет ету үрдістеріне қатысатын барлық тұлғаларды
ақпаратты қорғау қамтамасыздандырудың ережелерін орындауға үйрету;
− барлық бөлімшелер және ақпаратты қорғау қамтамасыздандыруы мен
өңдеу үрдістеріне қатысатын тұлғаларды қажетті басқаратын және әдістемелік
материалдармен қамтамасыз ету;
− АҚЖ-ның қызмет ету бақылауының тізімі мен ережелерін жасау;
− ақпаратты қорғау ережелерін бұзғаны үшін жауапқа тарту шараларын
анықтау;
− дау және пікірталас жағдайларында шешу реттерін жасау;
1.2 АҚЖ архитектурасы
1.1-сурет. АҚЖ архитектурасы
Ақпаратты қорғау жүйелері (АҚЖ) жалпы түрде барлық амалдардың,
әдістер мен ондағы қорғаудың таңдалған тапсырмаларын шешу үшін ақпаратты
өңдеу нысандарында (АӨН) белгіленген шаралардың ұйымдастырылған
жиынтығы түрінде болуы мүмкін.
АҚЖ - не маңызды концептуалды талап боп құрылым, технологиялық
сұлба немесе АӨН - ның қызмет ету шарттары өзгерген кездегі көзделген
бейімделуге қабілеттілік пен талаптарға бейімділік саналады.
Қазіргі уақытта қалыптасқан жүйе келесі әдістемелік қағидалар тізімін
қосады:
16
− концептуалды бірлік;
− талаптарға баламалылық;
− икемділік (бейімделу);
− функционалды дербестік;
− қолдану ыңғайлылығы;
− ұсынылатын құқықтардың минимизациясы;
− бақылау толықтығы;
− елеу белсенділігі;
− тиімділік.
Концептуалды бірлік дегеніміз, архитектура, технология, организация
және қызмет етудің қамтамасыздандыруы АҚЖ секілді толықтай, сондай -ақ
құрама компоненттер ақпарат қорғаудың бірегей концепциясының негізгі
күйімен қатаң сәйкестілікпен жүзеге асып қарастырылуы тиістігін көрсетеді.
Талаптарға баламалылық дегеніміз, АҚЖ өз кезегінде сай нысан
санатымен және ақпарат қорғауына әсер ететін параметр мәндерімен
анықталатын қорғаныс талаптарына қатаң сәйкестілікпен құрылуы тиіс.
Қорғау жүйесінің иілгіштігі дегеніміз ақпаратты қорғау нысандарының,
технологиялық сұлбалардың құрылымдарының немесе қызмет ету
шарттарының қандай да бір компоненттерінің кейбір диапазонда өзгеруі
кезінде қорғаныс функциялары барынша тиімді жүзеге асатын құрылуды
айтамыз.
Функционалды дербестік АҚЖ ақпаратты өңдеу жүйесін жүйе бөлігімен
дербес қамтамасыз ету керек екенін және қорғау функциялары іске асқан кезде
басқа жүйе бөлшектеріне тәуелді болмауы тиіс деп пайымдайды.
Қолдану ыңғайлылығы дегеніміз, АҚЖ қолданушылар мен ақпаратты
өңдеу персоналдарына қосымша ыңғайсыздық тудырмауы тиіс екенін білдіреді.
Ұсынылатын құқықтардың минимизациясы дегеніміз, әр қолданушыға
және ақпараттты өңдеу нысандарының персоналдарының құрамынан әр адамға
тек сол ақпаратты өңдеу нысандарының ресурстарына рұқсат беру қажет екенін
білдіреді.
Бақылаудың толықтығы қорғалатын ақпараттың автоматтандырылған
өңделуінің барлық процедуралары қорғаныс жүйесімен толықтай қадағалануы
керек деп болжайды.
Елеу белсенділігі АҚЖ рұқсат етілмеген әрекеттердің кез келген
талпынысына елеу қажет екенінбілдіреді.
АҚЖ - ның тиімділігі алдыңғы барлық принциптердің негізгі талаптарын
ұстанған кезде АҚЖ - ға кететін шығындар минималды болу керек дегенді
білдіреді.
1.3 Ақпарат қорғау стандарты
2000
жылы
стандартизация
халықаралық
ұйымы
(International
17
Standartization Organization)
ақпарат қауіпсіздік әдістемелірі туралы
халықаралық стандарты басып шығарды - ISO 17799 . Сол құжат бастапқы
қадам болып саналады.
Стандарттың негізгі концепциялары:
− Қауіпсіздік политикасы. Осы бөлімінде құжаттың үнемі қайта қарап,
бағалауы, қауіпсіздік политикасы туралы айтылады;
− Ұйымдастырылған қауіпсіздік. Бұл бөлімінде басқа ұйымдармен
қарым-қатынасы туралы айтылады;
− Меншіктің санаты мен оны басқару. Бұл бөлімінде физикалық және
ақпараттық ресурстардың дұрыс қорғалуы туралы айтылады;
− Персоналдың қауіпсіздігі. Бөлімде жұмысшыны өндіріске алу қауіпін,
оларды машықтандлыру туралы айтылады.
− Физикалық және қоршаған орта қауіпсіздігі. Бөлімде барлық
физикалық меншіктер тонаудан, өрттен және тағы басқа жағдайдан жақсы
қорғанылуы керек екендігі туралы айтылады.
− Коммуникация және операцияны басқару. Бөлімде комптютерлерді
және желілерді қорғау туралы айтылады.
− Ұлықсатты басқару. Бөлімде ақпаратқа, жүйеге, желі және
бағдарламаға ұлықсат басқаруы, мониторинг туралы айтылады.
− Жүйені құру және оны қадағалау. Бөлімде жобаны құру мәселелері
қарастырылады,шифрлау мен кілттер басқару туралы айтылады.
− Жұмыс процесстерінің үздіксіздігін қадағалау. Бөлімде жұмыс
процесінің үздіксіздігін қамтамасыз ету туралы айтылады.
1.4 Шабуылдар санаттары
Компьютер жүйелерінің жұмыс кезінде түрлі мәселелер жиі туындап
отырады. Кейбіреулері - біреудің қателігінен, ал кейбіреулері қастық
әрекеттердің нәтижесі боп келеді. Барлық жағдайда зиян келеді. Сондықтан
мұндай жағдайларды олардың пайда болу себептеріне қарамастан шабуылдар
деп атаймыз.
Шабуылдың негізгі төрт санаты бар:
− рұқсат ету шабуылы;
− модификация шабуылы;
− қызмет көрсетуден бас тарту шабуылдары;
− міндеттерден бас тарту шабуылдары.
Рұқсат ету шабуылы - бұл қарауға рұқсаты жоқ ақпаратты зиянкестің алу
талпыныстары. Мұндай шабуылдардың жүзеге асуы кез келген жерде, ақпарат
беру мен оны беру құралдары бар жерлерде болуы мүмкін. Рұқсат ету шабуылы
ақпарат құпиялығының бұзылуына бағытталған.
18
1.2-сурет . Мұндай шабуылдардың жүзеге асуы кез келген жерде, ақпарат беру
мен оны беру құралдары бар жерлерде болуы мүмкін.
Астыртын қарау (snooping) - бұл ақпаратты іздеу үшін зиянкесті
қызықтыратын құжаттар немесе файлдарды қарау.
Біреу қатысушысы болмаған әңгімені тыңдаған кезде, бұл (eaves dropping)
сырттан тыңдау деп аталады. Ақпаратқа рұқсат етілмеген рұқсат етуді алу үшін
зиянкес оған жақын жерде болуы тиіс. Көп жағдайда ол электронды
құрылғыларды қолданады.
1.3-сурет. Сырттан тыңдау
Сырттан тыңдауға қарағанда ұстап қалу (interception) -бұл белсенді
шабуыл. Зиянкес ақпаратты оның тағайындалған жерге берілу үрдісінде алып
алады. Ол ақпаратты талдағаннан кейін оның әрі қарай өтуіне рұқсат беру
19
немесе тыйым салуына шешім қабылдайды.
1.4-сурет. Қағып алу
Рұқсат ету шабуылдары ақпараттың сақталуына қарай түрлі қалыптарға
ие болады: қағаз құжаттар түрінде немесе компьютерде электронды түрде.
Егер зиянкес жүйеге заңды рұқсаты болса, ол файлдарды бірінен соң бірін
ашып талдайды.
Ақпараттың желімен өтуі кезінде оған берілуді тыңдау арқылы қатынауға
болады. Бұзушы мұны компьютерлік жүйеге дестелердің (sniffer ) желілік
талдаушыларды орната отырып жасайды. Әдетте бұл компьютер барлық желі
трафигін ұстап қалуға конфигурацияланған. Ол үшін бұзушы жүйеде өз
уәкілетін орнатуы немесе желіге қосылуы тиіс (1.3- сурет ). Талдаушы желі
арқылы өтетін барлық ақпаратты, әсіресе қолдаңбалы идентификаторлар мен
құпия сөздерді ұстап қалуға орнатылған.
Сырттан тыңдау бөлінген желі және телефон байланыстары типті
ауқымды компьютер желілерінде де орындалуы мүмкін. Дегенмен ұстап
қалудың мұндай түрі сай аппаратуралар мен арнайы ғимараттардың болуын
талап етеді.
Ұстап қалу байланыстың нақты сеансы кезінде болуы мүмкін.
Шабуылдың мұндай түрі telnet типті интерактивті трафикті ұстап қалу үшін
келеді. Бұл жағдайда бұзушы клиент пен сервер орналасқан желі сегментінде
болуы қажет. Бұзушы заңды қолданушы серверде сессияны ашқанын күтеді,
содан соң арнайы бағдарламалық қамтамасыздандыру көмегімен сессияны
жұмыс кезінде алады. Бұзушы серверде қолданушыдағыдай артықшылықтарды
иемденеді.
20
1.5-сурет. Ұстап алу кезінде атқа рұқсат беру туралы қате ақпарат
қолданылады.
Ұстап қалу тыңдауға қарағанда қауіптірек, ол адамға немесе ұйымға
қарсы бағытталған шабуылды білдіреді.
Шабуыл
модификациясы
-
бұл ақпаратты құқықсық
өзгерті
талпыныстары.
Қағып алу жай тыңдауға қарағанда қауіптірек, өйткені ол адамға не
ұйымға қарсы шабулды білдіреді. Бұл ақпаратты заңсыз өзгерту әрекеті
Модификация шабуылы түрлерінің бірі қазіргі бар ақпаратты ауыстыру
мысалы, қызметкерлердің еңбек ақысына өзгерістер енгізу. Ауыстыру шабуылы
құпияға қарсы, сондай-ақ жалпыға бірдей ақпараттарға бағытталған.
Шабуылдың басқа типі - жаңа мәліметтерді қосу, мысалы, тарихи
кезеңдерге өзгерістер енгізу. Қарақшы банк жүйесіне операциялар арқылы
тұтынушы есеп шотындағы қаражат өз шотына ауысады.
Жою шабуылы бар мәліметтердің орын ауыстыруы. Мысалы, банктің
баланс есебінен жазбаны жою, нәтижесінде есепшоттан алынған қаражат сонда
қалады.
Кіруге рұқсат шабуылы сияқты модификация шабуылы қағаз құжаттар
түрінде сақталған немесе компьютердегі электронды түрде ақпаратқа қатысты
орындалады.
Қызмет көрсетуге қарсы болуға шабуыл (Denial-of-service, DoS) - бұл
ашық қолданушыға жүйені, ақпаратты, компьютер мүмкіндіктерін пайдалануға
тыйым салатын шабуыл түрі.
21
1.6-сурет. DoS шабуылы.
DoS-шабуылы кезінде қаскөй әдетте компьютерлік жүйеге ене алмай,
ақпаратпен операциялар жасай алмайды. Бұл шабуылды вандализмнен басқаша
деп атай алмаймыз.
DoS-шабуылы кезінде,ақпаратқа қарсы жүргендердің соңғысы қолдануға
жарамсыз болып қалады.
Ақпарат жойылады,
бұрмаланады,
немесе
қолжетпейтін жерге ауыстырылады.
DoS-шабуылының өзге типі ақпаратты өңдейтін, бейнелейтін қосымшаға
немесе бұл қосымшалар орындалатын компьютерлік жүйеге бағытталған.
Мұндай шабуылмен проблеманы шешу мүмкін емес.
Жүйеге енуге тойтарыс
DoS-шабуылының жалпылама типі компьютер жүйесін істен шығару,
нәтижесінде жүйенің өзі мен ондағы орнатылған қосымшалар, барлық
сақталған мәліметтер ашылмайды.
Байланыс құралдарына енуге тойтарысқа шабуыл көп жылдан бері
орындалып келеді. Мысал ретінде желі сымын үзу, шамадан тыс трафик
тудырған радиохабарларды немесе хабарламалардың нөпірін өшіру.
Шабуылдың мақсаты қатынас ортасы болып табылады.
Компьютерлік жүйенің және ақпараттың бүтіндігі бүлінбейді, бірақ
қатынас құралының жоқтығы бұл ресурстарға енуге мүмкіндік бермейді.
DoS-шабуылы әдетте компьютерлік желі мен жүйеге қарсы бағытталған,
бірақ арасында оладың мақсаты қағаз құжаттар да болады. Бұл шабуыл
ақпаратты теңестіру мүмкіндіктеріне қарсы бағытталған, басқа сөзбен айтқанда,
22
бұл транзакция мен шынайы жағдайлар туралы теріс ақпарат беру әрекеті.
1.5 Тапсырманың қойылымы
Менің бұл дипломдық жұмыстың мақсаты - қорғалған IP-желілерді
желіаралық экран, VPN мен L2TP көмегімен жобалау.
Тапсырмалар:
1) Желі топологиясын құру
2) Жобаланатын желіге имитацияциондық тәжірибе жүргізу
3) Жобаланатын желінің аналитикалық есебін жүргізу
4) Жобаланатын желінің экономикалық есебін жүргізу
5) Өмір тіршілік қауіпсіздігін ұйымдастыру
23
2 Ақпаратты қорғау құралдары мен тәсілдері
2.1 VPN
Жеке желілерді ұйымдар жойылған сайттар мен ұйымдарды
байланыстыру үшін қолданылады.
Жеке желілер түрлі телефон компаниялары мен ғаламтор қызметімен
жабдықтаушылардан жалға алған байланыс каналдарынан тұрады. Бұл
байланыс каналдары тек екі нысанды байланыстырады, басқа трафиктен бөлек
болғандықтан жалға алынған каналдар екі сайт арасындағы екіжақты
байланысты қамтамасыз етеді.
Жеке желілердің көптеген артықшылықтары бар:
− Ақпараттар құпия сақталады.
− Жойылған сайттар тез арада ақпарат алмасуды жүзеге асыра алады.
− Қашықтағы қолданушылар өздерін жүйеден алшақтатылған санамайды.
Виртуальды жеке желілердің анықтамасы
Сонымен, біз бұрынғыша трафиктің құпиялылығын қамтамасыз ету үшін
барлық шараларды жасай отырып, ұйымның құпия мәліметтерін жалға алған
байланыс каналдарын қолданбай ғаламтор арқылы беріп жібергіміз келеді.
Қалайша ғаламтордағы өзінің трафигін басқа трафиктен айырып алу үшін
шифрлеу қолданамыз.
Ғаламторда трафиктің кез келген типін кездестіруге болады. Бұл
трафиктің маңызды бөлігі ашық түрде беріледі, трафикті бақылап отырған кез
келген қолданушыоны тануына болады. Бұл көп бөлігі пошталық және веб -
трафик сондай -ақ telnet және FTP байланыс протоколдарына қатысты.
SecureShell (SSH) және Hypertext Transfer ProtocolSecure (HTTPS) трафиктері
шифрленетін трафиктер болып табылады, мұны пакеттерді бақылап отырған
қолданушы көре алмайды. Сонда да , SSH және HTTPS тиіндегі трафиктер VPN
виртуалды жеке желіні құра алмайды.
Виртуалды жеке желілер түрлі сипаттамалары бар:
− Трафик тыңдалудан қорғануды қамтамасыз ету үшін шифрленеді.
− Қашықтатылған сайттың аутентификациясын жүзеге асырады.
− Виртуалды жеке
желілер көптеген протоколдарды қолдауды
қамтамасыз етеді.
− Қосу нақты екі абоненттті байланыстыра алады.
SSH және HTTPS бірнеше протоколдарды ұстауға қабілетсіз, бұл шынайы
виртуалды жеке желілерге де қатысты.
VPN-пакеттері әдеттегі ғаламтордағы трафик ағынымен араласады да өз
бетінше бөлек әрекет етеді.
Шифрлеу берілетін ақпараттың өзекті болмай тұрғанда сол уақыттағы
құпиялылығына кепілдік беру үшін мейлінше күшті болуы керек.
Паролдердің жарамдылық уақыты 30 күн; ал құпия ақпарат өз
24
құндылығын жылдар бойы сақтауы мүмкін. Сондықтан шифрлеу алгоритмі
және VPN қолдану астыртын құпиясыздандыру трафигінің алдын алуы тиіс.
Екінші сипаттамасы - қашықтатылған сайттың аутентификациясын
жүзеге асырады. Бұл сипаттама орталық сервердегі кейбір қолданушылардың
аутентификациясын немесе VPN байланыстыратын екі тораптың екі жақты
аутентификациясын талап етеді.
Қолданылатын аутентификация механизмі саясатпен бақыланады. Саясат
қолданушылардың аутентификациясын екі параметрмен немесе динамикалық
парольдерді қолданмен қарастырады. Екі жақты аутентификация екі сайтта
белгілі бір ортақ
құпияны көрсетуін талап тетеді, немесе
цифрлық
сертификаттарын талап етуі мүмкін.
Желінің вертуалды бөлігі түрлі
протоколдарды қолдауды қамтамасыз етеді. әсіресе қолданбалы деңгейде.
Мысалы, қашықтағы қолданушы SMTP (Simple Mail Transfer Protocol)
протоколын қолдануы мүмкін, қолданушы пошталық сервер арқылы байланыс
үшін бір уақытта файлды сервермен байланыс үшін Net BIOS (Network Basic
InputOutput System) қолдануы мүмкін. Көрсетілген екі протокол да бір
байланыс циклі немесе VPN каналы арқылы жұмыс жасауы мүмкін (2.1- сурет ).
2.1-сурет. Виртуалды жеке желілер көптеген VPNпротоколдарды қолдайды.
Екі нақты нысанды байланыстырып, сол арқылыекі абонент арасында
өзгеше байланыс каналын құрайды. VPN ақырғы нүктелерінің әрқайсысы VPN
бірнеше қосылуларын бір уақытта өзге де нүктелермен ұстай алады, бірақ
нүктелердің әрқайсысы бір бірінен бөлек және шифрлеу арқылы трафик
бөлінеді.
25
Виртуалды жеке желілер дұрысында екі типке бөлінеді: қолданушы VPN
және түйінді VPN. Олардың айырмашылығы желінің екі типінің әрқайсысының
трафигін ажырату әдісінде емес, қолдану әдісінде.
Қолданушы виртуалды жеке желілерді дамыту.
Қолданушы VPN виртуалды жеке желілерді, бөлек қолданушы жүйе мен
түйін арасында немесе ұйым желісінде құрылған
VPN сервері ұйымның желіаралық экраны немесе бөлек VPN-сервер
болуы мүмкін. Қолданушы ғаламторға телефон арқылы қосылып, DSL каналы
не кабельді модем арқылы қосылады.
VPN желісі бөлек қосымша арқылы қолданушы компьютерінде беріледі
(2.2-сурет).
2.2-сурет. Қолданушы VPN конфигурациясы
Көп жағдайда компьютер интернет пен VPN желісінің арасындағы
жолкөрсетуші ролінде болады.
Қолданушы VPN артықшылығы.
Оның негізгі екі артықшылығы бар:
− Іс-сапарда жүрген қызметкерлер ешқандай телефон байланысысыз
электронды поштаға ене алады;
− Үйден жұмыс істейтін қызметкерлер қызмет желісіне ұйымда жұмыс
істейтін қызметкерлер секілді қымбат каналдарды жалға алмай - ақ жұмыс жасай
алады.
VPN қолданушысына байланысты мәселер.
VPN қолданудағы ең маңызды мәселебұл бір мезгілде ғаламтордың басқа
да сайттарымен бірге қосылу. Егер компьютерде троян атын қолданып
26
шабуыл жасалса, бұл қандай да бір сыртқы астыртын қолданушы қызметкердің
компьютерін ұйымның ішкі желісіне қосылу үшін пайдаланып жүргендігі (2.3-
сурет). Мұндай типтегі шабуылдар өте күрделі, және олар өмірде бар.
2.3-сурет. Ұйымның ішкі желісіне ену үшін Троя атын қолдану.
Егер
VPN
қолданушыларды
басқару қолданушыларды орталық
басқарумен байланысты болмаса, бұл фактіні ұйымнан шығып кеткен
қолданушылармен жұмыста ескерілуі тиіс.
VPN торап желістерін дамыту
Виртуалды жеке желілерді ұйымдар қашықтағы тораптар мен қымбат
каналдарды қолданбай - ақ байланыс жүргізу үшін немесе екі ұйымды
байланыстыру үшін пайдаланады. Бұл жағдайда оларды желіаралық экран
немесе шекаралық маршрутизатор байланыстырады (2.4-сурет).
Байланысты жүзеге асыру үшін, бір түйін келесі түйінге трафик жібереді.
Сол себептен, қарама - қарсы түйіндерде VPN байланысы пайда болады. Ақырғы
түйіндерде жазылған политикаға байланысты екі түйін байланыс параметрлерін
анықтайды. Екі сайт ашық кілттер сертификатымен немесе алдын ала алынған
ортақ құпиямен бір -бірін анықтайды. Кейбір ұйымдар түйінді VPN-ді
жалданған каналдарда резервті байланыс ретінде қолданады.
Мұндай конфигурациямен жұмыс жасағанда маршрутизацияны дұрыс
баптау керек. VPN физикалық каналы жалданған каналдан ерекшеленуі тиіс.
Екі жақтан қосылу да бір физикалық канал арқылы жүруі мүмкін, оның соңы
желі бойындағы артық салмаққа әкеледі.
27
2.4-сурет.VPN - нің ғаламтор арқылы желіаралық қосылуы
VPN торабының артықшылығы.
Қолданушы VPN-нін артықшылығы тораптық VPN үнемді. Бұл -негізгі
артықшылық. Бір -бірінен қашықта орналасқан ұйымдар орталық торабы бар, аз
шығын шығатын виртуалды жеке желі құруларына болады.
Желілік
инфраструктурада жылдам құрылады, сондай - ақ қашықтағы офистерде ISDN
немесе DSL каналдары үшін локальді ISP желілерін қолдануға болады.
Түйінді VPN байланысты мәселелер.
Түйінді VPN-дер жаңа алыстағы түйіндер немесе алыстағы ұйымдарды
қосу арқылы қауіпсіздік периметрін үлкейтеді. Алыстағы түйіннің қауіпсіздік
деңгейі үлкен емес, себебі VPN қарақшыларға орталық түйін мен басқа да
ұйымның ішкі бөліктеріне рұқсат алуына мүмкіндік беруі мүмкін. Сәйкесінше,
ұйымның ақпараттарының қауіпсіздігін сақтау үшін қатал саясат жүргізіп және
аудит функциясын жүзеге асыру қажет. Егер екі ұйым өздерінің желілерін
байланыстыру үшін түйіндік VPN қолданған жағдайда екі жақты байланыс
үшін орнатылған қауіпсіздік саясаты үлкен роль атқарады. Осы жағдайда екі
ұйым қандай ақпаратты VPN арқылы жіберуге болатынын, ал қандай ақпаратты
жіберуге болмайтынын анықтап алу қажет, келісілген жағдай бойынша
өздерінің желіаралық экрандарында саясатты икемдеп алу керек.
Түйіндік VPN аутентификациясы қауіпсіздікті қамтамасыз етудің басты
шарты болып табылады. Байланысты орнату кезінде кездейсоқ қ ұпияларды
қолданылуға болады, бірақ бір ортақ құпия тек қана бір VPN байланыста
қолданылуы қажет. Егер ашық кілттері бар сертификаттар қолданысы
ұсынылса, ол кезде сертификаттардың қолдану мерзімін аңду және өзгертуді
қамтамасыз ету рәсімін жасак керек.
Пайдаланушы VPN-ді қолданған жағдайдағыдай VPN сервері VPN-
трафиктің дешифрлеу және шифрлеуді қамтамасыз ету қажет. Егер трафик
деңгейі жоғары болса, VPN серверінің жүктемесі жоғары болуы мүмкін.
Негізінде бұл желіаралық экран VPN- сервер болып табылған кезде, және
ғаламтор-трафик орны үлкен көлемде болған кез жағдайына жатады.
Егер түйіндік VPN бір ұйым ішінде қолданылса, барлық түйіндер үшін
бірдей сұлба болу қажет. Бұл жағдайда адрестеу ешқандай қиындық
туғызбайды. Егер VPN екі түрлі ұйымда қолданылса, адрестеуге байланысты
кезкелген түсініспеушілікті ескерту шараларын алдын - алу қажет. 3.5- суретте
түсініспеушілік жағдай көрсетілген. Бұл жағдайда екі ұйым бір жеке адрестік
кеңістіктің бөлігін қолданады (желі 10.1.1.x).
28
2.5-сурет. Түйіндік VPN адрестеумен байланысты түсініспеушілік шақыру
мүмкін.
Сұлбадан белгілі болып тұрғандай адрестеу бір-бірімен қарама-
қайшылықта болады және трафиктерді бағдарлау жұмыс істемейді. Бұл
жағдайда VPN байланыстың әр жағы желілік адрестерді хабарлау және басқа
ұйым жүйесін өз адрестеу сұлбасына қайта адрестеу қажет (3.6-сурет).
Түйіндік VPN басқару
2.6-сурет.Түйіндік VPN адресацияшиелінісін алдын алу үшін NAT
қолданады.
VPN жүзеге асырудағы стандартты технология түсінігі.
VPN желісі 4 маңызды компоненттен тұрады:
− VPN сервері
− шифрлеу алгоритмы
− аутентификации жүйесі
− VPN протоколы
Бұл компоненттер қауіпсіздік, өнімділік, өзара қарым-қатынасқа
қабілеттілік талаптарына сай.
VPN архитектурасы қаншалықты дұрыс жүзеге асқаны талаптардың
дұрыстығын анықтауға байланысты болады. Талаптарды анықтау келесі
29
аспектілерден тұрады:
− Ақпаратты қорғауды қамтамасыз ететін уақыт;
− Бір мезгілде қосылған қолданушылар;
− Қолданушылардыңтиптері;
− Алшақтатылған сервер мен қосылғандар саны;
− Қойылу қажетті VPN желісі типтері;
− Алшақтатылған тораптардағы кірген, шыққан трафиктерден күтілетін
көлем;
− Қауіпсіздік саясаты.
VPN сервер
VPN байланысының соңғы түйіндері рөлінде жүретін компьютерді VPN
көрсетеді. Берілген сервер күтілетін жүктемені қолдау үшін жеткілікті
сипаттамаларға ие болуы қажет. VPN бағдарламалық қамтамасыздандыруларын
өндірушілердің көп бөлігі бір уақыттық VPN байланыстар санына байланысты
жады конфигурациясы мен процессор өнімділігі жөнінде ұсыныстар беруі
керек. Жүйені сай параметрлермен қамтамасыз етуі, сонымен қатар оның әрі
қарай жетілдірілуі қамын ойлауы керек.
Күтілетін жүктемені қолдауды қамтамасыз етуге бірнеше
VPN
серверлерді құру қажеттіліктері болуы мүмкін. Бұл жағдайда күтілетін VPN-
байланыстар барынша тез жүйелер арасында таратылуы тиіс.
VPN сервер желіде орналасқан болу керек. Сервер желіаралық экран
немесе шекаралық маршрутизатор болуы мүмкін (2.7- сурет), VPN- сервердің
орналастырылуын жеңілдетеді. Альтернатив ретінде сервер дара жүйе ретінде
де болуы мүмкін. Бұл жағдайда сервер белгіленген демилитаризацияланған
(DMZ) (3.8-сурет ) аймақта орналастырылуы қажет. Идеал жағдайда VPN
демилитаризацияланған аймақ тек VPN сервелерді құрау керек және
ұйымдардың веб -серверлар мен почта серверлерін құрайтын DMZ интернеттен
бөлек болуы қажет. Себебі боп VPN-сервержүйенің ішкі авторизацияланған
пайдаланушыларына рұқсат етуді береді, сәйкесінше сенімнің үлкен деңгейі
нысаны ретінде, сенімі жоқ адамдармен болған рұқсат ету, веб серверлар мен
почта серверлеріне қарағанда ретінде қаралуы тиіс. Демилитаризацияланған
аймақ VPN желіаралық экран ережелер жинағымен қорғанады және VPN талап
ететін трафикті беруге рұқсат етеді.
30
2.7-сурет. VPN-сервер желіаралық экран боп саналатын VPN желінің
архитектурасы.
2.8-сурет.VPN дара сервері үшін VPN желінің архитектурасы.
Егер VPN-сервер демилитаризацияланған VPN аймақта орналасса,
желіаралық экран трафиктің жүктелуін қолдау үшін шыңдалуды талап етуі
мүмкін. Желіаралық экран шифрлеу функцияларын орындамауына қарамастан,
әуелгі желіаралық экран VPN трафигы үшін қажетті есептеуіш күштілік
қамтамасыздандырылу үшін жеткілікті сипаттамаларға ие болмауы мүмкін.
Егер VPN трафигі ұйымға маңызды болса, желіаралық экранда қатені айналып
өту жүйелері болу керек. Альтернатива ретінде VPN дара платформасын
қолдануға болады. Мұндай құрылғы VPN өңдеуін өз мойнына ала отырып,
желіаралық экранның жүктемесімен қамтамасыз етеді.
VPN
демилитаризацияланған
аймағы үшін желіаралық экранның
саясатының ережелері
2.1-кестеде
анықталған.
Мұнда интернеттің
31
демилитаризацияланған аймағымен VPN демилитаризацияланған аймағы үшін
қажетті ережелер бар.1,2,3 ережелер VPN демилитаризонды аймағына жатады.
Ереже 1. VPN бағдарламалық қамтамасыздандыру талап ететін кез келген
қызметті қолдану арқылы VPN клиенттерінің VPN серверлеріне қатынауға
мүмкіндік береді.
Ереже 2. VPN-серверге ішкі желі арасында байланысты маршрутизация
жүргізуге рұқсат етеді.
Ереже 3. Аз сенімге ие DMZ (Demilitarilazed Zone) ғаламтор жүйесін VPN
демилитарлық аймағынан оқшаулап, ғаламтордың демилитарлық аймағы мен
VPN демилитарлық аймағы арасындағы байланысты қолданбайды.
2.1-к е с т е . VPN демилитиризация аймағы қосылған желіаралық экран
политика ережелері
Шифрлау алгоритмі
VPN-де қолданылатын шифрлау алгоритмі стандартты қуатты шифрлау
алгоритмі болу қажет. Негізінде барлық стандартты және қуатты алгоритмдер
VPN құрылымында тиімді қолданылады. Әр қилы өндірушілер бағдарламалау
талғамына және лицензиялаумен байланысты аспектіге, өнімді енгізу
шектеулеріне байланысты әртүрлі алгоритмді таңдайды. VPN бағдарламалық
пакетін алған кезде, мамандар түсіндірмелерін тындап және өндіруші қуатты
шифрлау алгоритмін қолданғанына көзіңізді жеткізіңіз.
Аутентификация жүйесі
VPN архитектурасының үшінші құраушысы болып аутентификация
жүйесі болып табылады. Пайдаланушылар өздері не біледі сонымен, немесе
өздерінде не бар сонымен, және бар ақпараттармен аутентификация өте алады.
VPN пайдаланушыны қолданған кезде бірінші екі нұсқаға ерекше көңіл бөледі.
Аутентификацияның жақсы қиыстыру амалы жеке идентификациялық
номер мен құпия сөзбен бірге жұпта жүретін смарт -карталар болып табылады.
Бағдарламалық қамтамасыздандыруды өндірушілер әдетте ұйымдарға таңдауға
бірнеше аутентификация жүйесін ұсынады. Берілген тізімде смарт - карталарды
32 №
Бастапқы IP
Соңғы IP
Қызмет
Әрекет
1
Кез-келген
VPN-сервер
VPNқызмет
Қабыл алу
2
VPN-сервер
Внутренняя сеть
Кез-келген
Қабыл алу
3
Кез-келген
VPN-сервер
Кез-келген
Қабыл алмау
4
Кез-келген
Веб-сервер
HTTP
Қабыл алу
5
Кез-келген
Почталық сервер
SMTP
Қабыл алу
6
Почтолық сервер
Кез-келген
SMTP
Қабыл алу
7
Ішкі желі
Кез-келген
HTTP,
HTTPS, FTP,
telnet, SSH
Қабыл алу
8
Ішкі DNS
Кез-келген
DNS
Қабыл алу
9
Кез-келген
Кез-келген
Кез-келген
Тастау
шығарушы ең жақсы өндірушілер бар.
VPN хаттамасы
VPN хаттамасы VPN жүйесі ғаламторда басқа жүйелермен қандай
жолмен әсерлесетінін, және де трафиктің сақталу деңгейін анықтайды.
Егер қарастырылып отырған ұйым VPN-ді тек ішкі ақпараттық алмасуға
қолданатын болса, әрекеттесу сұрағын қарастырмауға болады.
Егерде ұйым VPN-ді басқа ұйымдармен байланыс үшін қолданса, ол
кезде жеке хаттамаларды қолдану жүзеге аспайды.
Шифрлау алгоритмі туралы айтқан кезде, қоршаған орта факторлары
шифрлау алгоритміне қарағанда жүйе қауіпсіздігіне үлкен әсерін тигізеді.
VPN протоколы жүйенің қауіпсіздігінің жалпы дәрежесіне әсер етеді. Бұған
дәлел ретінде, VPN протоколы екі соңғы түйін арасында шифрлеу кілтімен
алмасуғы мүмкіндік береді. Егер бұл алмасу сақталмаған болса, онда
зиянкестер бұл кілтті алып және трафик ашуы мүмкін.
Байланыстыру кезінде стандартты протокол қолдану ұсынылады. Қазіргі
кезде VPNүшін стандартты протокол IPSec болып есептеледі. Бұл протокол өз
бетінше Ip- ға қосымша ретінде жүреді, ол инкапсулыцияны болдырады, TCP
тақырыбын шифрлейді және пакеттегі пайдалы ақпаратты шифрлейді. IPSec
сондай кілттердің алмасуын, өшірілген сайттың аутентификациясын және
алгритмдердің келісімен (шифрлеу алгоритмі және хэш -функция алгоритмін)
қолдайды.
IPSec UDP-порт 500-ді бастапқы келісімге қолданады, содан кейін барлық
трафик үшін IP-протокол қолданылады. VPN - нің дұрыс жұмыс істеуі үшін бұл
протоколдар рұқсат етілген болуы керек.
IPSec жұмысмен желіаралық экрандармен кейбір ерекшіліктер
байланысқан. Екіншіден, желіаралық экранда UDP трафигі 500 порт арқылы
рұқсат етілген болуы керек және келесі 50 протоколмен IP трафик.
Бұлардың орнатылуы желіаралық экранға байланысты. Бұдан басқа,
желіаралық мекен- жайдағы трансляцияны қолдануға байланысты сұрақ
туындайды (NAT).
Егер жіліаралық экран мекен-жайдағы транслцияны пакеттер үшін
интернетте ішкі желіге түсуін қамтамасыз етсе, онда оған сәйкесінше соңғы
мекен- жайда трнасляциялау керек, өйткені трафик ішкі қабылдаушыға жету
керек. Кейбір желіаралық экрандар бұл функцияны трафикпен жұмыс кезінде
қолданады, олар UDPжәне TCP порттарына қолданылмайды.
Кейбір желілік қызметті жеткізушілер бұл протоколдарды өзінің
желісінде қолдануды шектейді. Өйткені, бұларды қолдануға мүмкіндік болуы
үшін қабылдаушыға қарапайым стандартты пакет орнына бизнес -пакет
қолдануы керек болады.
IPSec протоколының басты альтернативті протоколы ретінде
SecureSocketLayer (SSL) протоколы болып есептеледі. Ол HTTP қауіпсізідігі
үшін қолданылады. Бірақ, SSL технологиясы қолданбалы деңгейдегі жұмыс
үшін арналған, ол IPSec-пен салыстырғанда ондай тиімді болмауы мүмкін.
VPN жүйесінің түрлері.
33
VPN жүйесінің фунциясын қарастырғаннан кейін, организация ішінде
VPN-нің тікелей қолдануын қарастырамыз.
Политикамен басқару жөнінде сұрақтардан басқа, организация VPN
жүйесінің түрін таңдау керек. VPN-нің 3 түрі:
− аппараттық жүйелер;
− бағдарламалық жүйелер;
− веб-жүйелер.
2.3 IPSec
IP деңгейінің қауәпсіздігінің архитектурасы
Желілік қауіпсіздіктің барлық механизмі ISOOSI эталондық моделінің
үшінші деңгейінде жүзеге асырылады. Одан басқа, IP - дейгейді қауіпсіздік
құралдарды орналастыру үшін ең тиімді нұсқа деп қарауға болады, өйткені бұл
кезде қауіпсздік пен тиімділіктің функциялануы мен мөлдірлігі арасында
келісіморнайды.
IP қауіпсіздіктің стандартты механизмімен жоғары деңгейдегі протолдар
қолдана алады және де жекелеген басқарушы протоколдар, конфигурациялау
және маршрутизациялау протоколдары.
IP қауіпсіздіктің құралдары Ipsec (Internet Protocol Security) жанұясымен
сипатталады, олар IP Security жұмыс тобына арналып құрылған.
IPsec протоколы рұқсат етуді басқаруды қамтамасыз етеді, байланыс жоқ
кезінде, мәлімет дерекнамасын сәйкестендіру, өңдеуден қорғау, құпиялылық
және трафикті анализдеу кезінде жекелеген қорғау.
IP-деңгейдің қаауіпсіздігінің құралдарының архитектурасы құжатта
сәйкестендірген. Оның басты құрастырушылары 3.9- суретте көрсетілген, бұлар
ең басты сәйкестендіруді қамтамасыз ететін протоколдар (Authentication Header
сәйкестендіретін протокол тақырыбы және құпиялылық Encapsulating Security
payload), және де криптографикалық кілттерді басқару механизмі. Ең төмен
архитектуралық деңгейде шифрлеудің нақты шифрлеу алгоритмі қолданылады,
тұтастық және және аутентификациялық.
Негізділік рөлін домен интерпретациясы (Domain of Interpretation, DOI)
атқарады, ол деректер қоры болып саналады. Ол алгритмдер туралы
мәліметтерді, олардың параметрлерін, протоколды идентификациясын
сақтайды және т.б.
34
2.9-сурет. IP-деңгейдең қауіпсізідік құралының архитектурысының негзге
элементі
Деңгейге бөлу ақпараттық технологиялық аспекттердің барлығы үшін
маңызды. Мұнда, криптографияда бар, маңыздылығы екі есе өседі, сондықтан
тек техникалық факторлармен ғана санасу керегі жоқ, сондай ақ әр елдің
заңдылықтарымен, криптоқұралдырдың экспортыимпортымен шектелуімен
санасу керек.
IPSec-тегі сәйкестендіру мен құпиялылық
протоколдары нақты
криптографиялық алгоритмдерге тәуелсіз. Әр елде өздерінің алгоритмдері
қолданылуы мүмкін, олар ұлттық стандарттарына сай болады, бірақ
интерпретациялық доменге тіркеу кезін бақылауға алу керек.
Хаттамалардың алгоритмдік тәуелсіздігі өкінішке орай сырт жағы бар,
яғни байланысу жақтарымен сүйемелдейтін, қолданылатын алгоритмдердің
және олардың параметрлердің жиынын қажеттілікте алдын - ала келісуден
тұрады. Басқа сөзбен айтқанда, жақтар жалпы қауіпсіздіктің контекстерін
(Security Association, SA) шығаруға және содан кейін алгоритмдер және
олардың кілттері сияқты оның элементтерін қолдануға тиісті . I Рsec- те
қауіпсіздік контекстердің қалыптастыруын хаттамалардың ерекше тұқымдасы
жауап береді және келесі бөлімдерде қаралатын болады.
Түпнұсқалылықты және құпиялылықты қамту хаттамалары екі режимде
қолданылуы мүмкін: көліктік және туннельдік. Бірінші жағдайда тек қана
пакеттердің мазмұны және кейбір тақырыптардың жиегі қорғалады.
Әдеттегідей, көліктік режим хосттармен қолданылады. Туннельді режимде
барлық пакет қорғалады - ол басқа IP-пакетке инкапсульденеді. Туннельді
режим әдетте арнайы бөлінген қорғаныс шлюздерде таратылады.
Қауіпсіздіктің контекстері және кілттермен басқару
IРsec-те қауіпсіздіктің контекстерін қалыптастыру екі фазаға бөлінген.
Біріншіде басқаратын констект құрылады, оның тағайындалуы сенімді каналды
ұсыну, яғни хаттамалық контекстерді шығару үшін және сонымен қатар AH
және
Esp
хатамаларымен қолданылатын криптографиялық кілттерді
қалыптастыру үшін сәйкестендірілген, қорғалған канал.
35
Түптеп келгенде, Iрsec механизмдердің жұмыс істеуі үшін тек қана
хаттамалық контекстер қажетті; басқаратын тек қосымша маңызы бар. Сондай -
ақ, егер соңғысын тек бір іс - әрекет деп қарайтын болса, екі фазаның бөлінуі
кілттердің қалыптастыруын ауырлатады және күрлендіреді. Алайда, сәулет
пікірінше басқаратын контекстерболуға мүмкін және болуға тиісті, себебі бір
орында қажетті функционалдықты шоғырландырып, TC PIP айдағыштарында
барлық хаттамалық деңгейлеріне қызмет көрсетеді. Өзара әрекеттесетін жақтар
жалпы құпиялары жоқ және бір бірінде түпнұсқалылықта сенімсіз болғанда
ғана бірінші фаза басталады. Егер басында сенімді канал құралған болмаса,
онда кілттермен бірге әрбір хаттамада (AH, ESp,TLS т.б) әр басқаратын әрекетті
орындау үшін осы каналды жаңадан қалыптастыруға тура келеді.
Басқаратын контексті қалыптастыруға мүмкіндік беретін және
идентификаторлардың қорғанысын қамтамасыз ететін берілетін хабарламаның
реттілігі келесі түрде бейнеленеді (2.10-сурет).
2.10-сурет. Басқаратын контекстің қалыптасуы
Бірінші хабарламада (1) бастаушы қорғаныс алгоритмдердің және
олардың нақты таратылу механизмдердің жиыны бойынша ұсыныс жолдайды.
Ұсыныстар көрінушілік деңгейі бойынша реттелінеді. Жауапты хабарламада (2)
әріптес жасалынған таңдау - оны қандай алгоритмдер мен механизмдер
жасайлатырндығы жайында хабарлайды. Әрбір қорғаныс құралдары класы
үшін (кілттердің генерациясы, түпнұсқалылық, шифрлеу) тек қана бір элемент
таңдалынады.
(3) және (4) хабарламаларда бастаушы және әріптес жалпы құпия кілтті
36
(біз Диффи - Хелман алгоритм үшін ерекше бөлшектерді жолдаймыз) шығару
үшін қажетті өзінің кілтті материалдар бөлімдерін жолдайды. Бір реттік
нөмірлер
хабарламаны жаңғыртудан қорғау үшін жалған кездейсоқ
өлшемдерден тұрады.
(5) және (6) хабарламалары арқылы қол қойылған (түпнұсқалылық
мақсатында) және алдынғы қадамдарда өндірілген жалпы құпия кілтпен
шифрланған
жіберушінің құпия кілтімен
сәйкестендірілген ақпараттың
алмасуы жүргізіледі. Сәйкестендіру үшін ашық кілттердің сертификаттарын
қолдануға ұсынылады. Ескере болсақ, қол қойылатын мәліметтер санына
біржолғы нөмірлер енгізіледі.
2.11-сурет. ISAKMp-хабарламаның тақырып үлгісі.
IP-пакеттердің түпнұсқалылығын қамту
Ipsec-те түпнұсқалындырылған тақырыптың хаттамасы пакеттердің
тұтастығын ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz