VPN желісін ұйымдастыру сұлбасы
МАЗМҰНЫ
НОРМАТИВТІК СІЛТЕМЕЛЕР 7
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ..
АНЫҚТАМАЛАР, ҚЫСҚАРТУЛАР МЕН БЕЛГІЛЕУЛЕР ... ... ... ... ... .. 7
КІРІСПЕ 8
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ... ... ... ... .. ...
1 Қауіпсіздікке талдау жүргізу 9
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
..
1.1 Желілік қауіпсіздіктің негіздері 9
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... .
1.2 VPN пайда болу тарихы 9
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ...
1.3 Виртуалды жеке желі VPN 10
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
.
1.4 Виртуалды жеке желілерінің қажеттілігі 14
... ... ... ... ... ... ... ... .. ... ... ... ..
1.5 VPN желілерін топтастыру 15
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
..
1.6 PPTP хаттамасы 17
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
1.7 VPN қауіпсіздігі 19
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
1.8 Сыртқы және ішкі шабуылдардан қорғау 20
... ... ... ... ... ... ... ... .. ... ... ... .
1.9 Желінің өнімділігі 20
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ...
1.10 VPN-нің артықшылықтары мен кемшіліктері 22
... ... ... ... ... ... ... ... .. ...
1.11 VPN болашағы 23
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
2 Желіні жобалау және құрылғыны таңдау 25
... ... ... ... ... ... ... ... .. ... ... ... ...
2.1 D-Link DFL-860Е құрылғысы 25
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... .
2.2 Желіаралық экран 26
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... .
2.3 D-Link DFL-860Е құралын баптау 27
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... .
2.4 VPN клиентті баптау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 36
2.5 FTP Server негізіндегі орындалған бағдарлама 39
... ... ... ... ... ... ... ... .. ...
3 Есептеу бөлімі 41
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ... ... ..
3.1 Желі топологиясын таңдау және негіздеу 41
... ... ... ... ... ... ... ... .. ... ... ... .
3.2 Жіберу ортасын таңдау және негіздеу 41
... ... ... ... ... ... ... ... .. ... ... ... ... ..
3.3 Керекті құрылғылардың және кабельдердің саны 43
... ... ... ... ... ... ... ... .
3.4 Желі корректілігін есептеу 43
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
..
3.5 Операциялық жүйені таңдау 43
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ..
4 Өмір тіршілік қауіпсіздігі 45
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... .
4.1 Теориялық бөлім 45
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
4.2 Жұмыс орнының жарықтандырылуы 47
... ... ... ... ... ... ... ... .. ... ... ... ... ...
5 Ғылыми-зерттеу элементтері бар негіз 52
... ... ... ... ... ... ... ... .. ... ... ... ... ...
5.1 Жұмыстың мақсаты 52
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ..
5.2 Қаржылай шығынды есептеу 52
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... .
5.3 Жасалынған жұмыстың бағасын есептеу 54
... ... ... ... ... ... ... ... .. ... ... ... ..
5.4 Интеллектуалды еңбек бағасы ... ... ... ... ... ... ... ... ... ... ... ... . 60
ҚОРЫТЫНДЫ 62
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ... ... ...
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ 63
... ... ... ... ... ... ... ... .. ... ... ... .
АНЫҚТАМАЛАР, ҚЫСҚАРТУЛАР МЕН БЕЛГІЛЕУЛЕР
VPN (Virtual Private Network) — қорғалмаған желілердің (байланыс
операторларының желілері немесе Ғаламтор провайдерінің сервисі) үстінен
құрылатын бұл виртуалды жеке желі немесе логикалық желі.
VPN – ол қорғалмаған желілер арқылы деректердің таратылуы кезінде
олардың қорғанысын қамтамасыз ететін технология.
Құпиялылық - VPN арналар бойынша ақпаратты тарату үрдісінде бұл
деректер басқа бөгде тұлғалармен қаралмайтынының кепілі.
Тұтастылық – таратылатын ақпараттың сақталуының кепілі.
Қолжетімділік – VPN құралдары үнемі заңды пайдаланушыларға қолжетімді
екендігінің кепілі
CUG - Closed Users Group
PBX - Private Branch Exchange
VPN - Virtual Private Network
ИAAЖ - Интeгрaциялaнғaн Aвтoмaттaндырылғaн Aқпaрaттық Жүйecін
КІРІСПЕ
Мәселенің жағдайын бағалау. Бaнк қызмeтіндe тeлeкoммуникaция мeн
кoмпьютeрлeндірудің дaмуы бaнк қызмeткeрлeрінің eңбeк өнімділігін eдәуір
жoғaрылaтуғa, жaңa қaржы өнімдeрін, бизнec прoцecтeр мeн тeхнoлoгиялaрды
eнгізугe мүмкіндік бeрді. Aлaйдa тeхникaдaғы қылмыc прoцecі бaнк
тeхнoлoгияcының дaмуынa қaрaғaндa жылдaм тeмппeн жүрді. Қaзіргі кeздe
көптeгeн қылмыcтaр бaнк aқпaрaтын өңдaудың интeгрaциялaнғaн
aвтoмaттaндырылғaн aқпaрaттық жүйecін (ИAAЖ) пaйдaлaнумeн бaйлaныcты. Coғaн
caй, ИAAЖ құрғaндa жәнe жaңaшaлaндырғaндa, бaнктeргe oның қaуіпcіздігін
қaмтaмacыз eтудe eрeкшe нaзaр aудaру қaжeт. Диплoмдық жұмыc нaқты ocы
мәceлeгe aрнaлғaн.
Тақырыптың өзектілігі. Мәceлe қaзір eң өзeкті жәнe aз зeрттeлгeн бoлып
тaбылaды. Eгeр физикaлық жәнe клaccикaлық aқпaрaттық қaуіпcіздікті
қaмтaмacыз eтудe тұрып қaлғaн aмaлдaр бұрындa жacaлып қoйғaн бoлca (әйтce
дe мұндa дa дaму бaр), кoмпьютeрлік тeхнoлoгиялaрдa жиі рaдикaльді
өзгeртіcтeргe бaйлaныcты, ИAAЖ қaуіпcіздік тәcілдeрі тұрaқты
жaңaшaлaндыруды тaлaп eтeді. Тәжірибe көрceткeндeй, қaтeліктeрі жoқ,
күрдeлі кoмпьютeрлік жүйeлeр жoқ.
Бұл диплoмдық жұмыcтың мaқcaты – бaнктық caлa үшін aқпaрaттық қызмeт
түрлeрін өңдeу. Өңдeу бaрыcындa Borland Turbo Pascal 7.0 бaғдaрлaмacын
қoлдaнып, жeлідe aқпaрaттaрды тaрaту кeзіндeгі қoрғaныcтың тиiмдi
жүйecінiң пaрaмeтрлeрiн қaрacтырылaды.
Жұмыстың практикалық маңыздлығы. Coнымeн қaтaр aқпaрaттың қaуіпін
бaғaлaу үшін aқпaрaттық жүйeгe әрeкeт eтeтін бaрлық қaуіптeрді жәнe
ocaлдылықтaрды қaдaғaлaйтын мoдeль құрылaды. Бұл eceптeулeр aқпaрaттық
қызмeт түрлeрінің ішіндeгі бacымдылығы зoр бoлып кeлeтіні - aқпaрaттық
қaуіпcіздік eкeнін дәлeлeдeйді.
Мәселені шешу әдістемесі. VPN-қызметтерін ұсына отырып, тұтынушылар
кеңседе болған жағдайда да олардың кез келген жерден жұмыс жасай алуын
қамтамасыз ету қажет. VPN ақша үнемдеу мақсатында қолданыстағы желіні
немесе ең арзан желілік байланысты пайдаланады.VPN құрылғыларын
өндірушілердің алдында икемді есептеу мүмкіндіктерін қамтамасыз ету,
сонымен қатар корпаративті желі мен тұтынушыларды қорғау міндеті тұрады.
Көптеген жағдайларда, функционалдық және қорғауды теңгеру нақты
технологияны таңдауды білдіреді. Егер веб қолдануға шектеулі қол жеткізуді
талап ететін тұтынушылар үшін шешім әзірленсе, онда бұл жағдайда толыққанды
VPN байланысы қажет емес. Қашықтан қол жеткізу үшін, ол қызметтердің
ауқымын анықтап және жақсы құжатталған шектеулер мен мүмкіндіктері бар
шешімдерді қамтамасыз ету маңызды болып табылады.
1 Қауіпсіздікке талдау жүргізу
1.1 Желілік қауіпсіздіктің негіздері
Жаһанды ғаламтор желісі ақпаратпен тәуелсіз алмасу үшін тағайындалған
ашық тұжырымдама ретінде қалыптасқан. Ашықтылығына байланысты ғаламтор
зиянкестерге ақпараттық жүйелерге кіруге сәйкес еркін мүмкіндіктер береді.
Ғаламтор арқылы бұзушы:
- кәсіпорынның ішкі желісіне және жасырын ақпаратқа заңсыз кіру;
- компанияға бағалы ақпаратты заңсыз түрде көшіріп алу;
- құпиясөздерді, серверлер адресін, сондай-ақ оның мазмұнын алу
мүмкіндіктеріне ие болады;
- біздің компаниямыздың ақпараттық желісіне тіркелген пайдаланушы атынан
кіру керек және т.б.
Мұндай деректердің жайылуы компанияның бәсекелестік қабілетін және
оның клиенттерінің сенімділігін жоюға мүмкіндік береді.
Әдетте, корпоративтік желілерде зиянкестердің нысанасына айналатын
ресурстар, қосымшалар, ақпарат бар және соның салдарынан жергілікті
желіжәне деректерді сақтайтын желілер сенімді қорғау қажеттілігіне ие.
Желілердің өзара ақпараттық әрекет етуінің және клиенттердің жойылған
құрылымдарының сенімділігі шартты жеке желілерді құрудың бірқатар
қолдауымен кепілдендіріледі.
Виртуалды жеке желі термині арқылы пайдаланушылардың екі немесе одан
да көп топтары арасында қауіпсіз және берік өзара байланысты кепілдік
беруге қабілетті технологиялардың кең ауқымын құруға болады. Компанияның
ресурстарына заңсыз кіру немесе желісіне зиянкестердің енуімен ақпаратты
қорғауға сәйкес мұндай мәселелер арнайы құрылғылардың арқасында шешуге
болады:
- желі аралық экрандар,
- proxy-серверлер,
- тораптарды біріктірілген сүзгілеумен маршрутизаторлар.
Әдетте виртуалды жеке желілер технологиясы - VPN (Virtual Private
Network) - ең алдымен ашық желіге сәйкес тораптар арасында берілетін
трафикті қорғауды кепілдендіретін құралдарды білдіреді. Көп жағдайларда
ашық желі ретінде ғаламтор қызмет етеді [1].
1.2 VPN пайда болу тарихы
VPN пайда болу тарихы телефон желілеріндегі Centrex қызметімен
байланысты. Centrex ұғымы PBX (Private Branch Exchange) бір құрылтайшы
бекеттің бірлесіп пайдаланатын жабдығы негізінде бірнеше компаниялардың
абоненттеріне іскери байланыс қызметін ұсыну тәсілінің жалпы атауы ретінде
АҚШ-та алпысыншы жылдардың шегінде пайда болған.
АҚШ пен Канадада бағдарламалық басқарумен бекеттерді енгізуді
бастаумен термин өзге мағынаға ие болды және іскери абоненттерге РВХ
қызметтеріне эквивалентті телефон байланысының қосымша қызметтердін жалпы
пайдаланыстағы желінің модификацияланған бекеттер базасында ұсыну тәсілін
білдіре бастады.
Centrex негізгі артықшылығы фирмалар мен компаниялар белгіленген
корпоративтік желілерді құру кезінде өз бекеттерін сатып алуға, құрастыруға
және пайдалануға қажетті айтарлықтай қаражатты үнемдеуден тұрды. Алайда,
Centrex абоненттері өздері арасында байланыс жасау үшін жалпы пайдалану
желісінің ресурстары мен жабдығын пайдаланады, олардың өзі бекеттер
желісінде іске асырылатын виртуалды РВХ сырттан шектеулі кіруімен CUG
(Closed Users Group) деп аталатын пайдаланушылардың тұйық топтарды құрады.
Centrex-ке тән шектеулерге төтеп беру үшін тартылыста бір
корпоративтік желіні құратын және бір бірінен алыста орналасқан CUG
бірлесуі сияқты - VPN виртуалды жеке желі идеясы ұсынылған болатын [1].
1.3 Виртуалды жеке желі VPN
VPN (Virtual Private Network) — қорғалмаған желілердің (байланыс
операторларының желілері немесе Ғаламтор провайдерінің сервисі) үстінен
құрылатын бұл виртуалды жеке желі немесе логикалық желі. VPN – ол
қорғалмаған желілер арқылы деректердің таратылуы кезінде олардың қорғанысын
қамтамасыз ететін технология.
Виртуалды жеке желі қорғалмаған желілерде (желінің екі нүктесі
арасында) туннель ұйымдастыруға мүмкіндік береді. VPN құрылуы ешқандай
қосымша салымдарды талап етпейді және белгіленген желілерді пайдаланудан
бас тартуға мүмкіндік береді [6].
Көрнекілік үшін келесі: аумақтық алшақ орналасқан бөлімшелері және
мобильді жұмыскерлері, үйде жұмыс істейтіндер немесе сапардағы
жұмыскерлері бар ұйымды мысал ретінде ұсынамыз. Компанияның барлық
жұмыскерлерін бірыңғай желіге қосу қажет.
Ең оңай әдіс – ол әр филиалдарда модемдерді орнату және қажеттілігіне
қарай байланыс құру. Алайда мұндай шешім көп жағдайларда ыңғайлы және
тиімді емес, кейде тұрақты байланыс және аз емес өткізу қабілеті керек.
Бұл үшін бөлімшелер арасында сым жүргізуге немесе бөлінген желілерді
жалға алуға тура келеді. Мұндай жағдайда бұл айтарлықтай қымбат болады. Сол
себепті бірегей қорғалған желіні құру кезінде альтернативті түрде VPN –
компанияның бүкіл бөлімшелерін біріктіру және VPN желі тораптарында
құралдарын ретке келтіру шешімін пайдалануға рұқсат етіледі.
Сурет 1.1 VPN желісін ұйымдастыру сұлбасы
Бұл жағдайда көптеген мәселелер шешіледі – филиалдар кез келген жерде
бүкіл әлем бойынша орналасуы мүмкін, яғни бөлінген арналарды қажет ететін
кеңселер оларға ие бола алады, қалғандары телефон желісін қолдана отырып,
Ғаламторға шыға алады. Біріншіден қауіптілік сіз, бүкіл әлем бойынша
көптеген бұзушылар тарапынан шабуыл үшін өз желіңізді мүмкін болатындай
етіп құрасыз: себебі ғаламтор – ол бүкіл әлемдік желі. Екіншіден, ғаламтор
арқылы барлық ақпарат ашық түрде беріледі, зиянкестер желіні бұзып, сіздің
барлық ісіңіз туралы біле алады. Үшіншіден, ақпаратты тек алып қала қоймай,
желі арқылы тарату үрдісінде алмасуы мүмкін. Бұзушы, мысалы сіздің
филиардарыңыздың біріндегі желіде жасырынып, деректер базасының
тұтастылығын бұза алады. Сол себепті VPN құралдары минималды түрде келесі
міндеттерді орындауы тиіс [4].
Құпиялылық - VPN арналар бойынша ақпаратты тарату үрдісінде бұл
деректер басқа бөгде тұлғалармен қаралмайтынының кепілі.
Тұтастылық – таратылатын ақпараттың сақталуының кепілі. Ешкімге
ауыстыруға, жақсартуға, бұзуға немесе VPN арналары бойынша тарату кезінде
жаңа деректерді құруға рұқсат етілмейді.
Қолжетімділік – VPN құралдары үнемі заңды пайдаланушыларға қолжетімді
екендігінің кепілі[2].
Осы міндеттерді шешу үшін VPN шешімдерінде тұтастылы пен құпиялылықты
қамтамасыз ету мақсатында ақпаратты шифрлау сияқты, пайдаланушының құқығын
бақылау және VPN желісіне кіруге рұқсат ету мақсатында аутентификация және
авторластыру. VPN белгіленген желінің көптеген қасиеттеріне ие, алайда ол
жалпы қолжетімді желі шегінде, мысалы Ғаламторда ашылады. Туннельдеу
әдісінің көмегімен деректер пакеті қарапайым екі нүктелі қосылыс бойынша
жалпы қолжетімді желі арқылы трансляцияланады. Деректерді жіберуші-алушы
әр жұп арасында өзгеше туннель орнатылады – бір хаттаманың деректерін
басқасының пакеттеріне инкапсулдауға мүмкіндік беретін қауіпсіз логикалық
қосылыс. Туннельдердің өте маңызды қасиеті қызмет көрсетудің қажетті
басымдылықтарының трафигі және тағайындалуының әр түрлі типтерін
дифференциациялау мүмкіндігі болып табылады.
Туннельдің негізгі құрам бөліктері болып табылатындар:
- бастамашы;
- бағдарланатын желі;
- туннельді коммутатор;
- бір немесе бірнеше туннельді терминаторлар.
Туннельді ең алуан түрлі желілік құрылғылар және бағдарламалық
қамтамасыз етулер бастамашылық ете және бөліп тастай алады. Мысалы, туннель
мобильді пайдаланушының қашықтан қосылуын орнатуға арналған модеммен және
тиісті бағдарламалық қамтамасыз етумен жабдықталған ноутбукімен
бастамашылық етілуі мүмкін. Бастамашы ретінде тиісті функционалдық
мүмкіндіктерге ие электр желісінің (локалды желі) маршрутизаторы қызмет ете
алады. Әдетте туннель электр желісінің коммутаторымен немесе қызметтер
провайдерінің шлюзімен аяқталады.
VPN жұмыс істеу қағидаты негізгі желілік технологияларға және
хаттамаларға қарсы келмейді. Мысалы, қашықтан қосылуды орнатқан кезде
клиент серверге стандартты РРР хаттамасының пакеттер ағынын жібереді.
Виртуалды белгіленген желілерді ұйымдастырған жағдайда, локалды желіліер
арасындағы олардың маршритузиторлары да РРР пакеттерімен алмасады.
Дегенмен, қағидатты түрде жаңа момент жалпы қолжетімді желі шегінде
ұйымдастырылған қауіпсіз туннель арқылы басқа біреуге жіберу болфп
табылады.
Туннельдеу басқа хаттаманы пайдаланатын логикалық ортадағы бір хаттама
пакеттерін таратуды ұйымдастыруға мүмкіндік береді. Нәтижесінде таратылатын
деректердің тұтастылығын және құпиялылығын қамтамасыз ету қажеттілігінен
бастап, ішкі хаттамалардың немесе адрестеу сұлбаларының сәйкессіздіктеріне
төтеп берумен аяқтай отырып, бірнеше әр типті желілердің өзара әрекет ету
мәселесін шешу мүмкіндігі пайда болады.
Корпорацияның қолданыстағы желілік инфрақұрылымы бағдарламалықты да
апаратты қамтамасыз етудің көмегімен де VPN пайдалануға дайындалуы мүмкін.
Виртуалды жеке желіні ұйымдастыруды кабельдің жаһанды желі арқылы
жүргізілуімен салыстыруға болады. Әдетте, қашықтағы пайдаланушы мен соңғы
құрылғы арасындағы тікелей қосылуы РРР хаттамасы бойынша орнатылады [1].
VPN технологиясы (Virtual Private Network – виртуалды жеке желі) –
желілерді және олар арқылы таратылатын деректерді қорғаудың жалғыз емес
тәсілі. Бірақ, менің ойымша, ол жеткілікті түрде тиімді және оның жаппай
енгізілуі соңғы бірнеше жылдары VPN-ге ықыласты тек сән үлгіге еліктеу ғана
емес.
VPN мәні келесілерден тұрады:
- ғаламторға шыға алатын барлық компьютерлерге VPN (VPN-агент) іске
асыратын құрал орнатылады. Бір де бір қорғалмағаны қалып қалмауы тиіс;
- VPN-агенттер автоматты барлық шығыс ақпаратты шифрлайды (сәйкесінше
барлық кірістің шифрларын ашады). Сондай-ақ олар оның ЭЦҚ немесе
имитоприставкаларының (шифрлау кілтін пайдалану арқылы есептелген
криптографикалық бақылау сомасы) көмегімен тұтастылығын бақылайды.
Себебі ғаламторда айналатын ақпарат IP хаттамасының көптеген
пакеттерін білдіреді, VPN-агенттер солармен жұмыс істейді.
IP-пакетті жіберер алдында VPN-агенті келесідей әрекеттерді жүзеге
асырады:
- қабылдап алушының IP-адресі бойынша шифрлау және ЭЦҚ жүзеге асырылатын
бірнеше алгоритмдерінің ішінен аталған пакетті, сондай-ақ кілтті қорғау
үшін керектісін таңдайды. Егер оның ретке келтірулерінде ондай қабылдап
алушы жоқ болса, онда ақпарат жіберілмейді;
- ЭЦҚ жіберушісінің немесе имитоприставкасының пакетін анықтайды және
қосады;
- пакетті шифрлайды (тақырыпшаларды қоса, толығымен);
- капсулалауын жүргізеді, яғни қабылдап алушының адресі емес оның VPN-
агентінің адресі көрсетілетін жаңа тақырыпша қалыптастырылады.
Осы қосымша пайдалы қызмет VPN-агенттер орнатылған бар-жоғы екі
компьютер арасындағы алмасу ретінде екі желі арасындағы алмасуды ұсынуға
мүмкіндік береді. Зиянкестің жаман мақсаттағы кез келген пайдалы ақпарат
мысалы, ішкі IP-адрестер оған қолжетімсіз.
IP-пакетті қабылдап алған кезде кері әрекеттер орындалады:
- тақырыпша жіберуішінің VPN-агенті туралы мәліметтен тұрады. Егер ондай
ретке келтірулерде рұқсат етілген тізімдерге кірсе, онда ақпарат тек
кейінге шегеріледі. Сол да әдейі немесе кездейсоқ зақымдалған тақырыпшамен
пакетті қабылдау кезінде де жүргізіледі;
- ретке келтірулерге сәйкес шифрлау алгоритмдері және ЭЦҚ, сондай-ақ
қажетті криптографикалық кілттер таңдалады;
- пакеттің шифры ашылады, содан соң оның тұтастылығы тексеріледі. Егер ЭЦҚ
дұрыс емес болса, онда ол кері шегеріледі;
- сонымен пакет оның соңғы күйінде нағыз адресатқа ішкі желі арқылы
жіберіледі [3].
Барлық операциялар автоматты түрде орындалады. VPN технологиясында
қиындығы тәжірибелі пайдаланушының қолынан келетін VPN-агенттерді ретке
келтіру ғана болып табылады.
VPN-агент тікелей қорғалған ДК-да орналасуы мүмкін, ол ғаламторға
қосылатын мобильді пайдаланушыларға пайдалы. Бұл жағдайда, ол тек
орнатылған компьютерді ғана деректермен алмасуын қауіпсіздендіреді.
VPN-агенттің ІР-пакеттерінің маршрутирзаторымен (бұл жағдайда оны
криптографиялық деп атайды) біріктіруі мүмкін. Сонымен қатар, соңғы уақытта
жетекші әлемдік өндірушілер кіріктірілген VPN қолдауы бар
маршрутизаторларды шығаруда, мысалы, Intel фирмасынан Triple DES алгоритмі
арқылы өтетін барлық пакеттерді шифрлайтын Express VPN.
Сипаттамадан көретініміздей, әдетте VPN-агенттер туннельдер деп
аталатын қорғалатын желілер арасындағы арналарды құрады. Шынымен де, олар
ғаламтор арқылы бір желіден екінші желіге қарай өткізілген, ішінде
айналатын ақпарат бөгде адамдардан қорғалған.
Бұдан басқа, барлық пакеттер ретке келтірулерге сәйкес сүзгілеуден
өтеді. Осылайша, VPN-агенттерінің барлық әрекеттерін екі механизммен беруге
болады: туннельдерді құру және өтетін пакеттерді сүзгілеу.
Қауіпсіздік саясаты деп аталатын туннельдерді құру ережесінің
жиынтығы VPN-агенттерінің ретке келтірулерінде жазылады. IP-пакеттер сол
немесе өзге туннельге жіберіледі немесе тексеруден өткеннен кейін жойылатын
болады:
- дереккөздің IP-адресі (шығыс пакет үшін – қорғалатын желінің нақты
компьютерінің адресі);
- тағайындалуының IP-адресі;
- осы пакет жататын бұдан жоғары деңгейдегі хаттама (мысалы, TCP немесе
UDP);
- ақпарат жіберілген немесе жіберілетін порттың нөмірі (мысалы, 1080).
Сурет 1.2. Клиент-сервер байланысы
1.4 Виртуалды жеке желілерінің қажеттілігі
Виртуалды VPN желілерді құру тұжырымдамасының негізінде қарапайым идея
жатыр: егер жаһанды желіде ақпаратпен алмасуы керек екі торап болса, онда
осы екі торап арасында ашық желілер арқылы жіберілетін ақпараттың
тұтастығын және құпиялылығын қамтамасыз ету үшін виртуалды қорғалған
туннель құру қажет; осы виртуалды туннельге қосылу мүмкін болатын барлық
активті және пассивті сыртқы бақылаушылар үшін өте қиындатылуы тиіс.
Осындай виртуалды туннельдерді құрудан компанияларға келетін
артықшылықтар ең алдымен қаржы қаражаттарының айтарлықтай үнемдеуінен
тұрады, себебі бұл жағдайда компания өз іntranetextranet – желілерін құру
үшін байланыстың бөлінген қымбат арналарын құрудан немесе жалға алудан бас
тарта алады, сонымен қатар осы мақсаттар үшін арзан ғаламтор-арналарын
пайдалана алады, олардың сенімділігі және тарату жылдамдығы белгіленген
желілерден кем емес. VPN-технологияларын енгізудің экономикалық тиімділігі
кәсіпорындарды оларды белсенді түрде енгізуге шақырады [7].
1.5 VPN желілерін топтастыру
VPN шешімдерді бірнеше негізгі параметрлер бойынша топтастыруға
болады:
Пайдаланатын орта типі бойынша:
- қорғалған – виртуалды жеке желілердің ең көп тараған нұсқасы. Оның
көмегімен әдетте ғаламтордың сенімді желісі негізінде сенімді және
қорғалған желіні құруға болады. VPN-нің қорғалған мысалдары болып
табылатындар: IPSec, OpenVPN және PPTP;
- сенімді – тарататын желіні сенімді деп санауға болатын жағдайларда және
үлкен желі аясында виртуалды желіні құру міндетін ғана шешу қажет болғанда
пайдаланылады.
Қауіпсіздікті қамтамасыз ету мәселелері өзекті емес болып бара жатыр.
Мұндай VPN шешімдерінің мысалдары болып табылатындар: Multi-protocol label
switching (MPLS) және L2TP (Layer 2 Tunnelling Protocol). (Дұрысы бұл
хаттамалар қауіпсіздікті қамтамасыз ету міндеттерін басқаларға жүктейді,
мысалы L2TP, әдетте IPSec-мен бірге пайдаланылады).
Іске асыру тәсілі бойынша:
- арнайы бағдарламалық-аппаратты қамтамасыз ету түрінде – VPN желісінің
іске асырылуы арнайы арналған бағдарламалық-аппаратты құралдар кешенінің
көмегімен жүзеге асырылады. Мұндай іске асыру жоғары өнімділікті, әдетте
жоғары қорғалуды да қамтамасыз етеді;
- бағдарламалық шешім түрінде – VPN қызмет етуін қамтамасыз ететін арнайы
арналған бағдарламалық қамтамасыз етуімен дербес компьютерді пайдаланады;
- біріктендірілген шешім – VPN-нің функционалдылығы желілік трафикті
фильтрлеу, желілік экранды ұйымдастыру және қызмет көрсету сапасын
қамтамасыз ету мәндеттерін шешетін кешенді қамтамасыз етеді.
Сурет 1.3. VPN желісін топтастыру Тағайындалуы бойынша
- Intranet VPN – Байланыстың ашық арналары бойынша деректермен алмасатын
бір ұйымның бірнеше таратылған филиалдарының бірыңғай қорғалған желіде
біріктіру үшін пайдаланылады;
- Remote Access VPN – корпативті желі сегменті мен (орталық кеңсе немесе
филиал) және жалғыз пайдаланушы арасындағы қорғалған арнаны құру үшін
пайдаланылады, ол үйде жұмыс істей отырып, үй компьютерінен корпоративті
ресурстарға қосылады немесе іссапарда жүргенде ноутбуктің көмегімен
корпоративті ресурстарға қосылады;
- Extranet VPN – сыртқы пайдаланушылар (мысалы тапсырыс берушілер немесе
клиенттер) қосылатын желілер үшін пайдаланылады. Оларға деген сенімділік
деңгейі компанияның қызметкерлеріне қарағанда төмен, сол себепті
соңғылардың тым бағалы, құпия ақпаратқа қол жетуін алдын алатын немесе
шектейтін қорғаудың арнайы шектерін қамтамасыз етуді талап етеді.
Хаттама типі бойынша виртуалды жеке желілерді TCPIP, IPX және
AppleTalk іске асыру бар. Алайда бүгінгі күні TCPIP хаттамасына жалпы
ауысуға қатысты тұжырымдама байқалуда және олардың VPN шешімдерінің
абсолютті көбі нақ соны қолдайды.
Желілік хаттама деңгейі бойынша ISOOSI эталонды желілік модельдердің
деңгейлерімен салыстыру негізіндегі желілік хаттама деңгейі бойынша [8].
1.6 PPTP хаттамасы
Ең алдымен PPTP хаттамасы коммутацияланған қосылыстарда виртуалды жеке
желілер үшін арналған. Хаттама қашықтан қосылуды құруға мүмкіндік береді,
соның салдарынан пайдаланушылар Internet- провайдерлерімен коммутацияланған
қосылыстарды орнатуға және өзінің корпоративтік желілеріне қорғалған
туннель құруға барлық мүмкіндіктерге ие. IPSec-ке қарағанда PPTP хаттама ең
алдымен локалды желілер арасында туннельдерді ұйымдастыруға арналмаған.
РРТР арналы деңгейде орналасқан РРР – хаттамасының мүмкіндіктерін
кеңейтеді, ол алдымен ақпаратты капсулалау және нүкте-нүкте қосылыстары
бойынша жеткізу мақсатында әзірленген.
PPTP хаттамасы әр түрлі IP, IPX, NetBEUI және т.б. хаттамаларға сәйкес
ақпаратпен алмасу мақсатында қорғалған арналарды құруға мүмкіндік береді.
Осы хаттамалардың РРР кадрына қапталған жаһанды желіге түсетін мәліметтері
бұдан кейін РРТР хаттаманың қолдауымен ІР хаттама пакетіне
икапсуляцияланады. Одан кейін олар TCPIP кез келген желісі арқылы
шифрланған түрде қолдауымен ауысады. Қабылдап алатын торап ІР пакеттерінен
РРР кадрларын шығарып алады, яғни РРР кадрынан IP, IPX немесе NetBEUI
пакеттерін шығарады және оны локалды желіге сәйкес жібереді. Мұндай
тәсілмен РРТР хаттамасы желіде нүкте-нүкте қосылысын құрады және әзірленген
қорғалған арнаға сәйкес мәліметтерді таратады. Мұндай капсулаланатын
хаттамалардың негізгі артықшылығы РРТР сияқты – бұл олардың көп
хаттамалылығы. Яғни ақпаратты арналы деңгейде қорғау желілік және
қолданбалы деңгейлердің хаттамалары үшін анық болып көрінеді. Соның
салдарынан көлік түріне байланысты желінің ішінде ІР (IPSec негізінде
жасалған VPN сияқты) хаттама сияқты кез келген басқа хаттаманы қолдануға
рұқсат етілдеі.
Қазіргі уақытта РРТР хаттамасын іске асырудың жеңілдігіне байланысты
корпоративті желіге сенімді қорғалып қосылу үшін де және клиентке
Ғаламторға қосылуды жою мақсатында ғаламтор-провайдерімен РРТР-қосылысын
орнату талап етілген кезде ISP желісіне қосылу үшін де кең пайдаланылады.
РРТР-де пайдаланылатын шифрлау әдісі РРР деңгейінде
спецификацияланады. Әдетте РРР клиентіне қатысты операторлы Microsoft
жүйесімен үстелді компьютер, ал шифрлау хаттамасына қатысты Microsoft Point-
to-Point Encryption (MРPE) құжаты пайдаланылады. Бұл құжат RSA RC4
эталонында негізделген және 40- немесе 128-разрядты шифрлауды қолдайды.
Шифрлаудың мұндай деңгейінің көптеген қосу мақсатында осы әдісті қолдану
абсолютті түрде жеткілікті, дегенмен ол IPSec ұсынылатын шифрлаудың басқа
алгоритмдеріне қарағанда, атап айтқанда 168-разрядты Triple-Data Encryption
Standard (3DES) қауіпсіздігі аз деп саналады.
PPTP қосылыстарын орнату қалай жүзеге асады:
- PPTP IP-желісіне сәйкес тарату мақсатында IP пакеттерін капсулалайды.
PPTP клиенттері туннельді басқаратын бірігуді құрайды, ол арнаның еңбекке
қабілеттілігіне кепілдік береді. Бұл әдіс компьютер-клиент туннелін
құрастыру салдарынан OSI.B моделінің көлікті деңгейінде жүзеге асырылады
және сервер қызметтік пакеттермен алмасуға кіріседі;
- басқарылатын PPTP қосылысына қосымша туннель арқылы ақпаратты тарату үшін
бірігу қалыптасады. Туннельге ақпаратты жіберер алдында капсулалау екі
кезеңнен тұрады. Алдымен РРР-кадрдың ақпаратты бөлігі қалыптастырылады.
Мәліметтер арналыға дейін түгелімен қолданбалы OSI деңгейімен үстіңгі
жағынан төменге қарай жүреді. Бұдан кейін алынған мәліметтер OSI
модификациясына сәйкес жоғарыға жәберіледі және жоғары деңгей
хаттамаларымен капсулаланады.
Осы тәсіл арқылы екінші әдіс кезеңінде мәліметтер көліктіка деңгейге
жетеді. Дегенмен, мәліметтер тағайындалуына байланысты жіберілу
мүмкіндігіне ие бола алмайды, себебі осы үшін арналы OSI деңгейі жауап
береді. Соның салдарынан PPTP пакеттің қажетті жүктемесінің аясын шифрлайды
және өзіне екінші деңгейдің функциясын алады, әдетте олар РРР- дің меншігі
болып табылады, яғни РРТР-пакетке РРР-тақырыпшасын (header) және жалғауды
(trailer) қосады. Арналы деңгейдің кадрды қалыптастыруда аяқталады. Содан
кейін РРТР желілік деңгейге жататын Generic Routing Encapsulation (GRE)
пакетке РРР-кадрын капсулаландырады. GRE желілік деңгейдің хаттамаларын
желілерге сәйкес олардың таратылу ықтималдылығын кепілдендіру үшін
капсулаландырады, мысалға IP,IPX. Дегенмен, GRE-нің сессияларды орнату және
зиянкестерден ақпараттың қорғалуына кепілдік беру қасиеттеріне ие емес.
Осыдан кейін РРР кадр GRE тақырыпшасымен кадрға капсулаланған сияқты
IP-тақырыпшасымен кадрға капсулалануы жүзеге асады. IP- тақырыпша пакетті
жіберушінің және алушының адрестерін қосады.ү Соңында РРТР РРР тақырыпшаны
және жалғауды қосады. 1.4-суретте РРТР туннелі бойынша жіберу үшін
деректердің құрылымы көрсетілген:
Сурет 1.4. PPTP туннелі бойынша жіберуге арналған деректер құрылымы
PPTP базасында VPN ұйымдастыру үшін ірі шығындар және күрделі ретке
келтірулер талап етілмейді: кеңседе негізінен РРТР серверді анықтау (РРТР
шешімдері Windows мақсатындағыдай, Linux платформалар үшін де), ал
клиенттік компьютерлерде талап етілген опцияларды іске асыру жеткілікті.
Егер сізге бірнеше филиалдарды біріктіру қажет болса, онда барлық клиентті
бекеттердегі РРТР ретке келтіргеннің орнына маршрутизаторды немесе РРТР
көмегімен желі аралық экранды пайдаланған жөн: ретке келтірулер тек
ғаламторға жалғанған шекті маршрутизаторда (желі аралық экран) ғана
орындалады, пайдаланушылар үшін ол абсолютті анық. Мұндай құрылғылардың
мысалы ретінде DI және DIR сериясының функционалдық ғаламтор-
маршрутизаторлары және DFL-2xx, DFL-8xx желі аралық экрандар болуы мүмкін
[5].
1.7 VPN қауіпсіздігі
Әрине, ешбір компания ғаламторға қаржылық немесе құпия ақпаратты ашық
жібергісі келмейді. VPN арналары IРsec қауіпсіздік хаттамалар
стандарттарына енгізілген шифрлаудың қуатты алгоритмдерімен қорғалған.
IPSec (Internet Protocol Security – халықаралық қоғамдастықпен, IETF -
Internet Engineering Task Force) тобымен таңдалған стандарт ғаламтор-
хаттама үшін қауіпсіздік негіздерін құрайды, оның қорғалмағандығы көп уақыт
бойы тек жалпы әңгіме болған. Ipsec хаттамасы желілік деңгейде қорғауды
қамтамасыз етеді және қосылыстың екі жағынан бір-бірімен қарым-қатынастағы
құрылғылар ғана Ipsec стандартының қолдауын талап етеді. Олар арасындағы
барлық қалған құрылғылар ІР-пакеттерінің трафигін қамтамасыз етеді. Ipsec
технологиясын пайдаланатын тұлғалардың өзара әрекет ету тәсілін қорғалған
ассоциация - Security Association (SA) терминімен анықтау қабылданып
кеткен. Қорғалған ассоциация бір-біріне жіберілетін ақпаратты қорғау үшін
Ipsec құралдарын қолданатын тараптармен келісілген келісім негізінде жұмыс
істейді. Осы келісім бірнеше параметрлерді: жіберуші мен алушының ІР-
адрестерін, криптографиялық алгоритмді, кілттермен алмасу реттілігін,
кілттер өлшемдерін, кілттердің қызмет ету мерзімін, аутентификация
алгоритмін реттейді. Басқа стандарттар Microsoft, L2F (Layer 2 Forwarding)
дамытылатын, Cisco дамытылатын - екеуі де қашықтан қосылуға арналған PPTP
(Point to Point Tunneling Protocol) хаттаманы қосады. Microsoft және Cisco
туннельді аутентификация, жеке меншікті қорғау, тұтастылығын тексеру үшін
IPSec-ті пайдалану мақсатында осы хаттамаларды L2P2 (Layer 2 Tunneling
Protocol) бірегей стандартқа біріктіру үшін IETF-пен бірге жұмыс істейді.
Мәселе шифрланған ақпаратпен алмасу кезінде желінің қолайлы тез әрекет
етуін қамтамасыз етуден тұрады. Кодтау алгоритмдері процессордың
айтарлықтай есептеулі ресурстарды талап етеді, кейде қарапайым IP-
маршрутизацияға қарағанда 100 есе үлкенді талап етеді. Қажетті өнімділікке
жету үшін серверлер сияқты клиенттік ДК тез әрекет етуін адекватты түрде
артуын жүзеге асыру қажет. Бұдан басқа, шифрлауды айтарлықтай тездететін
ерекше сұлбалары бар арнайы шлюздар бар.
IT-менеджер нақты қажеттіліктерге байланысты виртуалды жеке желінің
конфигурациясын таңдай алады. Мысалы, үйде жұмыс істейтін қызметкерге
желіге шектеулі қосылу ұсынылуы мүмкін, ал қашықтағы кеңсе менеджеріне
немесе компания басшысына қосылудың кең құқығы берілуі мүмкін. Бір жоба
виртуалды желі арқылы жұмыс кезінде тек минималды (56- разрядты) шифрлаумен
шектелуі мүмкін, ал компанияның қаржылық және жобалық ақпараты шифрлаудың
бұдан да қуатты құралдарын талап етеді – 168-разрядты [1].
1.8 Сыртқы және ішкі шабуылдардан қорғау
Өкінішке орай, VPN құру құралдары шабуылдарды анықтаудың және
бұғаттаудың толыққанды құралдары болып табылмайды. Олар бірнеше заңсыз
әрекеттерді алдын-алу мүмкін, бірақ хакерлердің корпоративтік желіге кіру
үшін пайдаланатын барлық мүмкіндіктерді емес. Олар вирустарды және
қызмет көрсетуден бас тарту (оны вирусқа қарсы жүйелер және
шабуылдарды табу құралдары іске асырады) типті шабуылдарды таба алмайды,
олар деректерді әр түрлі белгілері бойынша фильтрлей алмайды. Бұған менің
қарсылығым бар, бұл қауіптер қорқынышты емес, себебі VPN шифры ашылмаған
трафикті қабылдамайды және оны кері қарай жібереді [5]. Алайда тәжірибеде
бұл олай емес. Біріншіден, көптеген жағдайларда VPN құрылуы трафик бөлігін
қорғау үшін пайдаланылады, мысалы қашықтағы филиалға бағытталған. Қалған
трафик (мысалы, ашық Web-серверлер) өңдеусіз VPN-құрылғы арқылы өтеді. Ал
екіншіден, статистика алдында ең күмәншіл адам да басын иеді. Ал статистика
ақпараттық қауіпсіздікке байланысты барлық орын алған жағдайлардың 80%-на
дейінгісі корпоративтік желіге заңды кіре алатын авторластырылған
пайдаланушылардың күнәсінен болады. Осыдан шабуыл немесе вирус қауіпті емес
трафикпен бірдей шифры ашылатын болатыны белгілі болды.
1.9 Желінің өнімділігі
Желінің өнімділігі — бұл айтарлықтай маңызды параметр, және оның
төмендетілуіне қабілетті кез келген құрал ұйымда күдікті болып есептеледі.
VPN-құрылңы арқылы өтетін трафикті өңдеумен байланысты қосымша тоқтап
қалуды туындататын VPN құрылымының құрылғылары да бұдан алыс емес. Трафикті
криптографиялық өңдеу кезінде туындайтын барлық тоқтап қалуларды үш топқа
бөлуге болады:
- VPN-құрылғылар арасындағы қорғалған байланыстарды орнату кезіндегі тоқтап
қалулар;
- қорғалатын мәліметтерді шифрлаумен және шифрдан алуға қатысты, сонымен
қатар олардың толыққандылығын бақылауға қажетті түрлендірулермен байланысты
тоқтап қалулар;
- жіберілетін пакеттерге жаңа тақырыпшаны енгізумен байланысты тоқтап
қалулар.
PN құрылғысын тұрғызудың бірінші, екінші және төртінші нұсқаларын
жүзеге асыру желі абоненттері арасындағы емес, тек VPN- құрылғылары
арасындағы қорғалған байланыстарды орнатуды қарастырылады. Қолданылатын
алгоритмдердің криптографиялық төзімділігін есепке ала отырып, кілттің
ауыстырылуы қосымша ұзақ уақыт интервалы арқылы мүмкін болады. Сондықтан
VPN жасалу құралдарын қолдану кезінде бірінші түрдегі тоқтап қалулар
мәліметтер алмасуға мүлдем әсер етпейді деуге болады. Әрине, бұл жағдай 128
биттен кем емес кілттерді қолданатын шифрлеудің тұрақты алгоритмдеріне
қатысты (Triple DES, МЕМСТ 28147-89 және т.с.с.). Бұрыңғы DES стандартын
қолданатын құрылғылар жұмыс желісіне белгілі бір тоқтап қалулар алып келуге
қабілетті болады.
Екінші типті тоқтап қалулар тек жоғары жылдамдықты арналармен
мәліметтер алмасу кезінде ғана айтылады (10 Мбитс-тан бастап). Басқа
барлық жағдайда шифрлеу мен толыққандылықты бақылаудың таңдалған алгоритмін
бағдарламалық немесе аппараттық ұйымдастырылуының жылдам әрекеттілігі
әдетте айтарлық үлкен және шифрленген пакеттер – пакеттің желіге берілуі
және пакеттердің желіден қабылдануы – пакеттердің шифрден алынуы
операцияларының тізбегінде шифрлеу (шифрден алу) уақыты берілген пакетті
желіге беру уақытынан біршама аз [9].
Негізгі мәселе мұнда VPN-құрылғысы арқылы өткізілетін әрбір пакетке
қосымша тақырыпшаның енгізілуімен байланысты. Мысал ретінде қашықтықтықтағы
бекеттер мен орталық пункттер арасында нақты уақыт мезетінде мәлімет
алмасуды жүзеге асыратын диспетчерлік басқару жүйесін қарастыралық.
Берілетін мәліметтер өлшемі үлкен емес —25 байттан көп емес. Сәйкес
өлшемдегі мәліметтер банк саласында (төлем тапсырыстары) және IP-
телефонияда қолданылады. Берілетін мәліметтер қарқындылығы — секундына 50-
100 ауыспалы. Буындар арасындағы өзара әрекеттесу өткізу қабілеті 64 Кбитс
арналар бойымен жүзеге асырылады.
Мәні үрдістің бір ауыспалысына ие пакет 25 байт ұзындыққа ие (ауыспалы
атауы — 16 байт, ауыспалы мәні — 8 байт, қызметтік тақырыпша — 1 байт). IP-
протокол пакет ұзындығына тағы 24 байт қосады (IP-пакетінің тақырыпшасы).
Беріліс арналары ретінде Frame Relay LMI қолданылған кезде тағы 10 байт FR-
тақырыпша қосылады. Барлығы — 59 байт (472 бит). Осылайша, 10 секундта
үрдіс ауыспалысының 750 мәнін жіберу үшін (секундына 75 пакет) 75×472 =
34,5 Кбитс өткізу жолағы қажет болады, бұл 64 Кбитс өткізу қабілетінің
бұрыннан бар шектеулерінде жақсы байқалады. Енді VPN құрылғысын оған қосқан
кезде желінің сипатын қарастыралық. Бірінші мысал – ұмыт қалған SKIP
протоколының ретілік негізіндегі құрал.
59 байт мәліметтерге қосымша 112 байт тақырыпша қосылады (МЕМСТ 28148-
89 үшін), ол 171 байт (1368 бит). 75×1368 = 102,6 Кбитс, қолданыстағы
байланыс арнасының максималды өткізу қабілеттілігін 60%-ға арттырады.
IPSec протоколы және жоғары аталған параметрлер үшін өткізу қабілеті
6%-ға арттырылады (67,8 Кбитс). Бұл МЕМСТ 28147-89 алгоритмі үшін қосымша
тақырыпша 54 байтты құраған жағдайда ғана мүмкін.
Континент-К ресейлік бағдарламалық-аппараттық кешенде қолданылатын
протокол үшін әрбір пакет үшін қосылатын қосыша тақырыпша бар болғаны 36
байтты құрайды (немесе 26 — жұмыс режиміне байланысты), ол өткізу
қабілеттілігіне ешбір төмендеу әсерін туғызбайды (сәйкесінше 57 және 51
Кбитс). Айта кететін әділдіктер, осы барлық есептеулер ауыспалылардан өзге
желіде басқа ешнәрсе берілмеген жағдайда ғана дұрыс болады.
1.10 VPN-нің артықшылықтары мен кемшіліктері
VPN артықшылықтары. Виртуалды жеке желілер дәстүрлі жеке желілермен
салыстырғанда бірқатар артықшылықтарға ие. Олардың бастысы - үнемділік,
икемділік және қолдану ыңғайлылығы.
Үнемділігі. VPN-желілер есебінен кәсіпорындар өздерінің корпоративті
желілеріне қашықтықтағы қолданушылардың қол жетімділігін қамтамасыз ету
үшін ұйымға енгізілуі керек модемдер, рұқсат серверлері, коммутациялық
желілер және басқа да техникалық құралдардың санының өсуін біртіндеп болса
да шектеуге мүмкіндік алады. Бұған қоса, виртуалды жеке желілер
қашықтықтағы қолданушыларға компанияның желілік ресурстарына қымбат жалға
алынған желілер емес, жергілікті телефон желісі арқылы қатынас орнатуға
мүмкіндік береді.
Әсіресе виртуалды жеке желілер қашықтықтағы қолданушылар тыс алыс
арақашықтықта болып, жалға алынатын қымбат желілер өте қымбатқа шығатын
жағдайда, сонымен қатар мұндай қолданушылар көп болып, осыған орай оларға
жалға алынатын желілер саны көп қажет болатын болғанда тиімді болып
саналады. Алайда бұл артықшылықтар VPN-желісінің трафик көлемі мәліметтер
пакетін шифрлеу мен шифрдан алуға үлгермейтіндей көп болса жоққа
шығарылады. Мұндай тар орындардың туындауының алдын алу үшін кәсіпорын
қосымша жабдық сатып алуға мәжбүр болады.
Мұнымен қоса, VPN технологиясының жаңа болуына және қолданылатын
қауіпсіздік құралдарының күрделі болуына байланысты жүйелік әкімші
виртуалдық желі үшін дәстүрліге қарағанда қымбатқа шығады.
Икемділігі мен ыңғайлылығы. Виртуалды жеке желілердің бұл
артықшылықтары дәстүрлімен салыстырғанда бұл желілердің Internet-пен
байланысы бар кез келген өкілетті қолданушыға компанияның ресурстарына
қашықтықтан қол жетімділікті қамтамасыз ете алуымен түсіндіріледі. Осыған
байланысты VPN-желілер серіктестерге Internet арқылы кәсіпорынның желілік
ресурстарына рұқсатты оңай ала алады, бұл альянстардың нығаюы мен бәсекеге
қабілеттіліктің артуына жол ашады. Бұған дәстүрлі жеке желілер арқылы қол
жеткізу қиын, себебі желілік ресурстарды біріктіре қолданғысы келетін
кәсіпорында жиі сәйкес келмейтін жүйелер болады. Әсіресе бұл мәселе алуан
түрлі саудамен айналысатын ірі кәсіпорындар көп болып және олардың
жеткізушілері олармен желі арқылы жұмыс жасағысы келген жағдайда туындайды.
VPN кемшіліктері. Мәліметтерді қорғау, сенімділік пен өнімділіктің
жеткіліксіздігі, сонымен қатар ашық стандарттардың болмау мәселелері
виртуалды жеке желілердің кеңінен таралуын қиындатады.
Қорғаныс. Internet технологияларының көпшілігі үшін мәліметтерді
жіберу кезіндегі қауіпсіздікті қамтамасыз ету мәселесі маңызды болып
саналады. Виртуалдық жеке желілерге қатысты осы нәрсе. Олар үшін басты
мәселе - қолданушыларды кілтсөздер көмегімен аутентификациялау мен VPN
шифрленген арнасы (тоннель) арқылы қорғау. Бұған қоса, желілік әкімшілер
қолданушыларға виртуалды жеке желілерге рұқсат алуға көмектесетін әдістерді
мұқият таңдаулары керек.
Бұл мәселелер бірқатар әлеуетті қолданушыларды егер виртуалды желіні
Internet қызметінің провайдері басқаратын болса мәліметтер қорғалу дәрежесі
қанағаттанарлық болатынына күмәнмен қарады. Сенімсіз қолданушыларды
тынышталдыру үшін провайдерлерде шифрлеу мен аутентификациялаудың алуан
түрлі сұлбаларының кең жинағына қолдана алу мүмкіндігі берілген. Мысалы,
виртуалды жеке желілерге арналған БҚ-ны шығаратын Aventail фирмасы сеанс
деңгейінде шифрлау мен клиенттерді аутентификациялауға арналған
бағдарламалар жинағын ұсынады. VPNet Technologies компаниясы шифрлауды,
аутентификацияны және мәліметтердің көлемін қысқартуды орындайтын
маршрутизатор мен жаһандық желі арасындағы орнатылатын жабдықты жеткізеді
[3].
Жеткізушілердің көпшілігі DES стандартына сәйкес келетін 58-разрядты
кілтке ие шифрлау әдісін қолданады. Олардың ойынша кілттің мұндай ұзындығы
қауіпсіздіктің жеткілікті жоғары деңгейін қамтамасыз етеді. Алайда көптеген
сарапшылар мен талдаушылар 58-разрядты кілт жеткілікті сенімді емес деп
біледі. Өнімдерді кейбір жеткізушілер виртуалды жеке желілер үшін 112-
разрядты кілтті сенімді деп біледі. Дегенмен де есте ұстайтын жайт, кілт
ұзындығының артуы өнімділікті төмендетеді, себебі шифрлеу алгоритмі
неғұрлым күрделі болса, соғұрлым үлкен қарқындылықтағы есептеуіш өңдеуін
қажет етеді.
1.11 VPN болашағы
Өзінің даму қарқынына қарай VPN мобилді қолданушыларды, сау
серіктестері мен шектен тыс маңызды корпоративті ұсыныстары бар ІР
протоколында жұмыс жасаушы жеткізушілерді байланыстыратын өзара байланысқан
желілер жүйесіне айналады. VPN нарықты ынталандыратын және өндірістің
түрлендірілуіне көмектесетін жаңа коммерциялық операциялар мен қызметтер
үшін түпнегіз болады.
Ертеңгі VPN желісінің негізгі құрамбөліктерінің біріншісі ақырғы
тұтынушылар профилінен және желі конфигурациясы жөніндегі мәліметтерден
тұратын каталогтар сервері болуы ықтимал. Бұл VPN провайдері басқаратын
корпоративті және біршама жалпыға рұқсат етілген желідегі жекелей
компьютерлік жүйе болады. Желілік каталогтар, сонымен қатар ақпарат
қауіпсіздігі мен қызмет көрсету сапасын қамтамасыз ету бар болған жағдайда
ақырғы тұтынушылар VPN бойынша байланысты лезде орната алады [1].
Жұмыс белсенді жалғаса беретін IpV6 протоколы қолданылуы мүмкін. Бұл
протокол өткізу жолағын басқаруды қоса алғанда желіні жасаушылар өзіне
қалаған VPN-мен әрекеттесе алатын барлық мүмкіндіктерге ие. Оған қоса
белгілі бір ағынғы IpV6-пакеттердің тиістілігін анықтауға болады, мысалы,
жоғарғы бедел нақыт уақыттағы беруге арналған мультимедиялық мәліметтер
пакетін алатын болады.
Cisco Systems, Cabletron Systems, 3Com, Bay Networks, HCL Comnet
желілі нарықтың басты қатысушылары қазірден-ақ VPN-ның селт еткізер
жаңалығына белсенді дайындалуда. Бағдарламалық қамтамасыздандыру мен
жабыдықтаудың қазіргі вендорлары VPN желісін жасап, пайдалануға арналған
құрылғылар жинағын жасап шығаруды ұсынады.
VPN желісін келесі буының жарыққа шығарудан тек желіні жасаушылар ғана
пайда көрмейді, операторлар да бұған мүдделі. AT&T Level 3 Communications,
MCI Worldcom және Sprint фирмалары видео, дыбыс және мәліметтер алмасуға
арналған АТМ-желілерде жоғары жылдамдықтағы IP- арналарын құрады. VPN
қазіргі уақытта Unisource (AT&T, Telia, PTT Suisse және PTT Netherlands),
Concert (BTMCI) және Global One (Deutsche Telekom, France Telekom) секілді
операторлардың жобаларын жасауда аз емес шешуші әсер тигізуде. Компаниялар
неғұрлым VPN-қызметтерді көбірек ұсынатын болса, соғұрлым оларды сапасы
артып, бағасы түседі, бұл өз кезегінде клиенттер санына да әсер етеді.
Бизнестегі әрбір құрылым жеке күш салуды күрт арттырған
өнертабыстардан басталды. Мысалы, тасымалдаушылар мен мемлекеттік темір
жолды пайдаланытн компанияларды бөлу коммерциялық тасымалдардың артуына
алып келді. Ұлттықтан жоғары және халықаралық телекоммуникациялық
инфрақұрылымдардың VPN желісін жасау да сол секілді.
2 Желіні жобалау және құрылғыны таңдау
2.1 D-Link DFL-860Е құрылғысы
D-link DFL-860Е – желіні шабуылдардан қорғайтын ірі кәсіпорындар үшін
арналған орнатылуы жеңіл аппараттық желілік экран.
DFL-860Е желілік шабуылдардан қорғау жүйесі корпоративті желінің
қауіпсіздік талаптарын ескере отырып, офистағы локальды желіде ақпараттың
қауіпсіздігін арттыруға қажетті функциялармен қамтылған.
Желілік деңгейде DFL-860E шабуылды анықтап, басқа желілік экранға
қосылу үшін WAN порты, қорғалған LAN порты және жергілікті электрондық
почта мен веб серверлерді қолдау үшін DMZ порты және резервтеу порты бар.
URL бұғаттау – интернеттегі қажетсіз ресурстарға шектеуге мүмкіндік
беретін негізгі функциялардың бірі болып табылады.
Интернет трафик файлдарын хаттамалау, интернеттен болатын шабуылдарды
ескерту, пайдаланылған интернет ресурстары туралы мәліметтер сақталады және
электрондық почта арқылы есеп ретінде жіберілу мүмкіндігі бар [10].
Аппараттың мазмұны бойынша пакеттерді сүзгіден өткізу, IDS (басып
кіруді анықтау жүйесі), өткізу жолағын басқару сияқты ақпарат қауіпсіздігін
қамтамасыз ететін кеңейтілген функциялары бар және өткізу жолағын басқару
әр түрлі қызметтер үшін өткізу жолағына кепілдік береді.
Сурет 2.1. D-Link DFL-860E
Басты сипаттамалары:
- порт 101001000 Ethernet WAN;
- 1 порт 101001000 Ethernet DMZ (бапталатын);
- 8 порт 101001000 Ethernet LAN;
- USB: 2 USB порттары (резервтелген);
- Console: ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
НОРМАТИВТІК СІЛТЕМЕЛЕР 7
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ..
АНЫҚТАМАЛАР, ҚЫСҚАРТУЛАР МЕН БЕЛГІЛЕУЛЕР ... ... ... ... ... .. 7
КІРІСПЕ 8
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ... ... ... ... .. ...
1 Қауіпсіздікке талдау жүргізу 9
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
..
1.1 Желілік қауіпсіздіктің негіздері 9
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... .
1.2 VPN пайда болу тарихы 9
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ...
1.3 Виртуалды жеке желі VPN 10
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
.
1.4 Виртуалды жеке желілерінің қажеттілігі 14
... ... ... ... ... ... ... ... .. ... ... ... ..
1.5 VPN желілерін топтастыру 15
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
..
1.6 PPTP хаттамасы 17
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
1.7 VPN қауіпсіздігі 19
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
1.8 Сыртқы және ішкі шабуылдардан қорғау 20
... ... ... ... ... ... ... ... .. ... ... ... .
1.9 Желінің өнімділігі 20
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ...
1.10 VPN-нің артықшылықтары мен кемшіліктері 22
... ... ... ... ... ... ... ... .. ...
1.11 VPN болашағы 23
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
2 Желіні жобалау және құрылғыны таңдау 25
... ... ... ... ... ... ... ... .. ... ... ... ...
2.1 D-Link DFL-860Е құрылғысы 25
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... .
2.2 Желіаралық экран 26
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... .
2.3 D-Link DFL-860Е құралын баптау 27
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... .
2.4 VPN клиентті баптау ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... . 36
2.5 FTP Server негізіндегі орындалған бағдарлама 39
... ... ... ... ... ... ... ... .. ...
3 Есептеу бөлімі 41
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ... ... ..
3.1 Желі топологиясын таңдау және негіздеу 41
... ... ... ... ... ... ... ... .. ... ... ... .
3.2 Жіберу ортасын таңдау және негіздеу 41
... ... ... ... ... ... ... ... .. ... ... ... ... ..
3.3 Керекті құрылғылардың және кабельдердің саны 43
... ... ... ... ... ... ... ... .
3.4 Желі корректілігін есептеу 43
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
..
3.5 Операциялық жүйені таңдау 43
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ..
4 Өмір тіршілік қауіпсіздігі 45
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... .
4.1 Теориялық бөлім 45
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ...
4.2 Жұмыс орнының жарықтандырылуы 47
... ... ... ... ... ... ... ... .. ... ... ... ... ...
5 Ғылыми-зерттеу элементтері бар негіз 52
... ... ... ... ... ... ... ... .. ... ... ... ... ...
5.1 Жұмыстың мақсаты 52
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ..
5.2 Қаржылай шығынды есептеу 52
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... .
5.3 Жасалынған жұмыстың бағасын есептеу 54
... ... ... ... ... ... ... ... .. ... ... ... ..
5.4 Интеллектуалды еңбек бағасы ... ... ... ... ... ... ... ... ... ... ... ... . 60
ҚОРЫТЫНДЫ 62
... ... ... ... ... ... ... ... .. ... ... ... ... ... ... ... ... ...
... ... ... ... ... ... ...
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ 63
... ... ... ... ... ... ... ... .. ... ... ... .
АНЫҚТАМАЛАР, ҚЫСҚАРТУЛАР МЕН БЕЛГІЛЕУЛЕР
VPN (Virtual Private Network) — қорғалмаған желілердің (байланыс
операторларының желілері немесе Ғаламтор провайдерінің сервисі) үстінен
құрылатын бұл виртуалды жеке желі немесе логикалық желі.
VPN – ол қорғалмаған желілер арқылы деректердің таратылуы кезінде
олардың қорғанысын қамтамасыз ететін технология.
Құпиялылық - VPN арналар бойынша ақпаратты тарату үрдісінде бұл
деректер басқа бөгде тұлғалармен қаралмайтынының кепілі.
Тұтастылық – таратылатын ақпараттың сақталуының кепілі.
Қолжетімділік – VPN құралдары үнемі заңды пайдаланушыларға қолжетімді
екендігінің кепілі
CUG - Closed Users Group
PBX - Private Branch Exchange
VPN - Virtual Private Network
ИAAЖ - Интeгрaциялaнғaн Aвтoмaттaндырылғaн Aқпaрaттық Жүйecін
КІРІСПЕ
Мәселенің жағдайын бағалау. Бaнк қызмeтіндe тeлeкoммуникaция мeн
кoмпьютeрлeндірудің дaмуы бaнк қызмeткeрлeрінің eңбeк өнімділігін eдәуір
жoғaрылaтуғa, жaңa қaржы өнімдeрін, бизнec прoцecтeр мeн тeхнoлoгиялaрды
eнгізугe мүмкіндік бeрді. Aлaйдa тeхникaдaғы қылмыc прoцecі бaнк
тeхнoлoгияcының дaмуынa қaрaғaндa жылдaм тeмппeн жүрді. Қaзіргі кeздe
көптeгeн қылмыcтaр бaнк aқпaрaтын өңдaудың интeгрaциялaнғaн
aвтoмaттaндырылғaн aқпaрaттық жүйecін (ИAAЖ) пaйдaлaнумeн бaйлaныcты. Coғaн
caй, ИAAЖ құрғaндa жәнe жaңaшaлaндырғaндa, бaнктeргe oның қaуіпcіздігін
қaмтaмacыз eтудe eрeкшe нaзaр aудaру қaжeт. Диплoмдық жұмыc нaқты ocы
мәceлeгe aрнaлғaн.
Тақырыптың өзектілігі. Мәceлe қaзір eң өзeкті жәнe aз зeрттeлгeн бoлып
тaбылaды. Eгeр физикaлық жәнe клaccикaлық aқпaрaттық қaуіпcіздікті
қaмтaмacыз eтудe тұрып қaлғaн aмaлдaр бұрындa жacaлып қoйғaн бoлca (әйтce
дe мұндa дa дaму бaр), кoмпьютeрлік тeхнoлoгиялaрдa жиі рaдикaльді
өзгeртіcтeргe бaйлaныcты, ИAAЖ қaуіпcіздік тәcілдeрі тұрaқты
жaңaшaлaндыруды тaлaп eтeді. Тәжірибe көрceткeндeй, қaтeліктeрі жoқ,
күрдeлі кoмпьютeрлік жүйeлeр жoқ.
Бұл диплoмдық жұмыcтың мaқcaты – бaнктық caлa үшін aқпaрaттық қызмeт
түрлeрін өңдeу. Өңдeу бaрыcындa Borland Turbo Pascal 7.0 бaғдaрлaмacын
қoлдaнып, жeлідe aқпaрaттaрды тaрaту кeзіндeгі қoрғaныcтың тиiмдi
жүйecінiң пaрaмeтрлeрiн қaрacтырылaды.
Жұмыстың практикалық маңыздлығы. Coнымeн қaтaр aқпaрaттың қaуіпін
бaғaлaу үшін aқпaрaттық жүйeгe әрeкeт eтeтін бaрлық қaуіптeрді жәнe
ocaлдылықтaрды қaдaғaлaйтын мoдeль құрылaды. Бұл eceптeулeр aқпaрaттық
қызмeт түрлeрінің ішіндeгі бacымдылығы зoр бoлып кeлeтіні - aқпaрaттық
қaуіпcіздік eкeнін дәлeлeдeйді.
Мәселені шешу әдістемесі. VPN-қызметтерін ұсына отырып, тұтынушылар
кеңседе болған жағдайда да олардың кез келген жерден жұмыс жасай алуын
қамтамасыз ету қажет. VPN ақша үнемдеу мақсатында қолданыстағы желіні
немесе ең арзан желілік байланысты пайдаланады.VPN құрылғыларын
өндірушілердің алдында икемді есептеу мүмкіндіктерін қамтамасыз ету,
сонымен қатар корпаративті желі мен тұтынушыларды қорғау міндеті тұрады.
Көптеген жағдайларда, функционалдық және қорғауды теңгеру нақты
технологияны таңдауды білдіреді. Егер веб қолдануға шектеулі қол жеткізуді
талап ететін тұтынушылар үшін шешім әзірленсе, онда бұл жағдайда толыққанды
VPN байланысы қажет емес. Қашықтан қол жеткізу үшін, ол қызметтердің
ауқымын анықтап және жақсы құжатталған шектеулер мен мүмкіндіктері бар
шешімдерді қамтамасыз ету маңызды болып табылады.
1 Қауіпсіздікке талдау жүргізу
1.1 Желілік қауіпсіздіктің негіздері
Жаһанды ғаламтор желісі ақпаратпен тәуелсіз алмасу үшін тағайындалған
ашық тұжырымдама ретінде қалыптасқан. Ашықтылығына байланысты ғаламтор
зиянкестерге ақпараттық жүйелерге кіруге сәйкес еркін мүмкіндіктер береді.
Ғаламтор арқылы бұзушы:
- кәсіпорынның ішкі желісіне және жасырын ақпаратқа заңсыз кіру;
- компанияға бағалы ақпаратты заңсыз түрде көшіріп алу;
- құпиясөздерді, серверлер адресін, сондай-ақ оның мазмұнын алу
мүмкіндіктеріне ие болады;
- біздің компаниямыздың ақпараттық желісіне тіркелген пайдаланушы атынан
кіру керек және т.б.
Мұндай деректердің жайылуы компанияның бәсекелестік қабілетін және
оның клиенттерінің сенімділігін жоюға мүмкіндік береді.
Әдетте, корпоративтік желілерде зиянкестердің нысанасына айналатын
ресурстар, қосымшалар, ақпарат бар және соның салдарынан жергілікті
желіжәне деректерді сақтайтын желілер сенімді қорғау қажеттілігіне ие.
Желілердің өзара ақпараттық әрекет етуінің және клиенттердің жойылған
құрылымдарының сенімділігі шартты жеке желілерді құрудың бірқатар
қолдауымен кепілдендіріледі.
Виртуалды жеке желі термині арқылы пайдаланушылардың екі немесе одан
да көп топтары арасында қауіпсіз және берік өзара байланысты кепілдік
беруге қабілетті технологиялардың кең ауқымын құруға болады. Компанияның
ресурстарына заңсыз кіру немесе желісіне зиянкестердің енуімен ақпаратты
қорғауға сәйкес мұндай мәселелер арнайы құрылғылардың арқасында шешуге
болады:
- желі аралық экрандар,
- proxy-серверлер,
- тораптарды біріктірілген сүзгілеумен маршрутизаторлар.
Әдетте виртуалды жеке желілер технологиясы - VPN (Virtual Private
Network) - ең алдымен ашық желіге сәйкес тораптар арасында берілетін
трафикті қорғауды кепілдендіретін құралдарды білдіреді. Көп жағдайларда
ашық желі ретінде ғаламтор қызмет етеді [1].
1.2 VPN пайда болу тарихы
VPN пайда болу тарихы телефон желілеріндегі Centrex қызметімен
байланысты. Centrex ұғымы PBX (Private Branch Exchange) бір құрылтайшы
бекеттің бірлесіп пайдаланатын жабдығы негізінде бірнеше компаниялардың
абоненттеріне іскери байланыс қызметін ұсыну тәсілінің жалпы атауы ретінде
АҚШ-та алпысыншы жылдардың шегінде пайда болған.
АҚШ пен Канадада бағдарламалық басқарумен бекеттерді енгізуді
бастаумен термин өзге мағынаға ие болды және іскери абоненттерге РВХ
қызметтеріне эквивалентті телефон байланысының қосымша қызметтердін жалпы
пайдаланыстағы желінің модификацияланған бекеттер базасында ұсыну тәсілін
білдіре бастады.
Centrex негізгі артықшылығы фирмалар мен компаниялар белгіленген
корпоративтік желілерді құру кезінде өз бекеттерін сатып алуға, құрастыруға
және пайдалануға қажетті айтарлықтай қаражатты үнемдеуден тұрды. Алайда,
Centrex абоненттері өздері арасында байланыс жасау үшін жалпы пайдалану
желісінің ресурстары мен жабдығын пайдаланады, олардың өзі бекеттер
желісінде іске асырылатын виртуалды РВХ сырттан шектеулі кіруімен CUG
(Closed Users Group) деп аталатын пайдаланушылардың тұйық топтарды құрады.
Centrex-ке тән шектеулерге төтеп беру үшін тартылыста бір
корпоративтік желіні құратын және бір бірінен алыста орналасқан CUG
бірлесуі сияқты - VPN виртуалды жеке желі идеясы ұсынылған болатын [1].
1.3 Виртуалды жеке желі VPN
VPN (Virtual Private Network) — қорғалмаған желілердің (байланыс
операторларының желілері немесе Ғаламтор провайдерінің сервисі) үстінен
құрылатын бұл виртуалды жеке желі немесе логикалық желі. VPN – ол
қорғалмаған желілер арқылы деректердің таратылуы кезінде олардың қорғанысын
қамтамасыз ететін технология.
Виртуалды жеке желі қорғалмаған желілерде (желінің екі нүктесі
арасында) туннель ұйымдастыруға мүмкіндік береді. VPN құрылуы ешқандай
қосымша салымдарды талап етпейді және белгіленген желілерді пайдаланудан
бас тартуға мүмкіндік береді [6].
Көрнекілік үшін келесі: аумақтық алшақ орналасқан бөлімшелері және
мобильді жұмыскерлері, үйде жұмыс істейтіндер немесе сапардағы
жұмыскерлері бар ұйымды мысал ретінде ұсынамыз. Компанияның барлық
жұмыскерлерін бірыңғай желіге қосу қажет.
Ең оңай әдіс – ол әр филиалдарда модемдерді орнату және қажеттілігіне
қарай байланыс құру. Алайда мұндай шешім көп жағдайларда ыңғайлы және
тиімді емес, кейде тұрақты байланыс және аз емес өткізу қабілеті керек.
Бұл үшін бөлімшелер арасында сым жүргізуге немесе бөлінген желілерді
жалға алуға тура келеді. Мұндай жағдайда бұл айтарлықтай қымбат болады. Сол
себепті бірегей қорғалған желіні құру кезінде альтернативті түрде VPN –
компанияның бүкіл бөлімшелерін біріктіру және VPN желі тораптарында
құралдарын ретке келтіру шешімін пайдалануға рұқсат етіледі.
Сурет 1.1 VPN желісін ұйымдастыру сұлбасы
Бұл жағдайда көптеген мәселелер шешіледі – филиалдар кез келген жерде
бүкіл әлем бойынша орналасуы мүмкін, яғни бөлінген арналарды қажет ететін
кеңселер оларға ие бола алады, қалғандары телефон желісін қолдана отырып,
Ғаламторға шыға алады. Біріншіден қауіптілік сіз, бүкіл әлем бойынша
көптеген бұзушылар тарапынан шабуыл үшін өз желіңізді мүмкін болатындай
етіп құрасыз: себебі ғаламтор – ол бүкіл әлемдік желі. Екіншіден, ғаламтор
арқылы барлық ақпарат ашық түрде беріледі, зиянкестер желіні бұзып, сіздің
барлық ісіңіз туралы біле алады. Үшіншіден, ақпаратты тек алып қала қоймай,
желі арқылы тарату үрдісінде алмасуы мүмкін. Бұзушы, мысалы сіздің
филиардарыңыздың біріндегі желіде жасырынып, деректер базасының
тұтастылығын бұза алады. Сол себепті VPN құралдары минималды түрде келесі
міндеттерді орындауы тиіс [4].
Құпиялылық - VPN арналар бойынша ақпаратты тарату үрдісінде бұл
деректер басқа бөгде тұлғалармен қаралмайтынының кепілі.
Тұтастылық – таратылатын ақпараттың сақталуының кепілі. Ешкімге
ауыстыруға, жақсартуға, бұзуға немесе VPN арналары бойынша тарату кезінде
жаңа деректерді құруға рұқсат етілмейді.
Қолжетімділік – VPN құралдары үнемі заңды пайдаланушыларға қолжетімді
екендігінің кепілі[2].
Осы міндеттерді шешу үшін VPN шешімдерінде тұтастылы пен құпиялылықты
қамтамасыз ету мақсатында ақпаратты шифрлау сияқты, пайдаланушының құқығын
бақылау және VPN желісіне кіруге рұқсат ету мақсатында аутентификация және
авторластыру. VPN белгіленген желінің көптеген қасиеттеріне ие, алайда ол
жалпы қолжетімді желі шегінде, мысалы Ғаламторда ашылады. Туннельдеу
әдісінің көмегімен деректер пакеті қарапайым екі нүктелі қосылыс бойынша
жалпы қолжетімді желі арқылы трансляцияланады. Деректерді жіберуші-алушы
әр жұп арасында өзгеше туннель орнатылады – бір хаттаманың деректерін
басқасының пакеттеріне инкапсулдауға мүмкіндік беретін қауіпсіз логикалық
қосылыс. Туннельдердің өте маңызды қасиеті қызмет көрсетудің қажетті
басымдылықтарының трафигі және тағайындалуының әр түрлі типтерін
дифференциациялау мүмкіндігі болып табылады.
Туннельдің негізгі құрам бөліктері болып табылатындар:
- бастамашы;
- бағдарланатын желі;
- туннельді коммутатор;
- бір немесе бірнеше туннельді терминаторлар.
Туннельді ең алуан түрлі желілік құрылғылар және бағдарламалық
қамтамасыз етулер бастамашылық ете және бөліп тастай алады. Мысалы, туннель
мобильді пайдаланушының қашықтан қосылуын орнатуға арналған модеммен және
тиісті бағдарламалық қамтамасыз етумен жабдықталған ноутбукімен
бастамашылық етілуі мүмкін. Бастамашы ретінде тиісті функционалдық
мүмкіндіктерге ие электр желісінің (локалды желі) маршрутизаторы қызмет ете
алады. Әдетте туннель электр желісінің коммутаторымен немесе қызметтер
провайдерінің шлюзімен аяқталады.
VPN жұмыс істеу қағидаты негізгі желілік технологияларға және
хаттамаларға қарсы келмейді. Мысалы, қашықтан қосылуды орнатқан кезде
клиент серверге стандартты РРР хаттамасының пакеттер ағынын жібереді.
Виртуалды белгіленген желілерді ұйымдастырған жағдайда, локалды желіліер
арасындағы олардың маршритузиторлары да РРР пакеттерімен алмасады.
Дегенмен, қағидатты түрде жаңа момент жалпы қолжетімді желі шегінде
ұйымдастырылған қауіпсіз туннель арқылы басқа біреуге жіберу болфп
табылады.
Туннельдеу басқа хаттаманы пайдаланатын логикалық ортадағы бір хаттама
пакеттерін таратуды ұйымдастыруға мүмкіндік береді. Нәтижесінде таратылатын
деректердің тұтастылығын және құпиялылығын қамтамасыз ету қажеттілігінен
бастап, ішкі хаттамалардың немесе адрестеу сұлбаларының сәйкессіздіктеріне
төтеп берумен аяқтай отырып, бірнеше әр типті желілердің өзара әрекет ету
мәселесін шешу мүмкіндігі пайда болады.
Корпорацияның қолданыстағы желілік инфрақұрылымы бағдарламалықты да
апаратты қамтамасыз етудің көмегімен де VPN пайдалануға дайындалуы мүмкін.
Виртуалды жеке желіні ұйымдастыруды кабельдің жаһанды желі арқылы
жүргізілуімен салыстыруға болады. Әдетте, қашықтағы пайдаланушы мен соңғы
құрылғы арасындағы тікелей қосылуы РРР хаттамасы бойынша орнатылады [1].
VPN технологиясы (Virtual Private Network – виртуалды жеке желі) –
желілерді және олар арқылы таратылатын деректерді қорғаудың жалғыз емес
тәсілі. Бірақ, менің ойымша, ол жеткілікті түрде тиімді және оның жаппай
енгізілуі соңғы бірнеше жылдары VPN-ге ықыласты тек сән үлгіге еліктеу ғана
емес.
VPN мәні келесілерден тұрады:
- ғаламторға шыға алатын барлық компьютерлерге VPN (VPN-агент) іске
асыратын құрал орнатылады. Бір де бір қорғалмағаны қалып қалмауы тиіс;
- VPN-агенттер автоматты барлық шығыс ақпаратты шифрлайды (сәйкесінше
барлық кірістің шифрларын ашады). Сондай-ақ олар оның ЭЦҚ немесе
имитоприставкаларының (шифрлау кілтін пайдалану арқылы есептелген
криптографикалық бақылау сомасы) көмегімен тұтастылығын бақылайды.
Себебі ғаламторда айналатын ақпарат IP хаттамасының көптеген
пакеттерін білдіреді, VPN-агенттер солармен жұмыс істейді.
IP-пакетті жіберер алдында VPN-агенті келесідей әрекеттерді жүзеге
асырады:
- қабылдап алушының IP-адресі бойынша шифрлау және ЭЦҚ жүзеге асырылатын
бірнеше алгоритмдерінің ішінен аталған пакетті, сондай-ақ кілтті қорғау
үшін керектісін таңдайды. Егер оның ретке келтірулерінде ондай қабылдап
алушы жоқ болса, онда ақпарат жіберілмейді;
- ЭЦҚ жіберушісінің немесе имитоприставкасының пакетін анықтайды және
қосады;
- пакетті шифрлайды (тақырыпшаларды қоса, толығымен);
- капсулалауын жүргізеді, яғни қабылдап алушының адресі емес оның VPN-
агентінің адресі көрсетілетін жаңа тақырыпша қалыптастырылады.
Осы қосымша пайдалы қызмет VPN-агенттер орнатылған бар-жоғы екі
компьютер арасындағы алмасу ретінде екі желі арасындағы алмасуды ұсынуға
мүмкіндік береді. Зиянкестің жаман мақсаттағы кез келген пайдалы ақпарат
мысалы, ішкі IP-адрестер оған қолжетімсіз.
IP-пакетті қабылдап алған кезде кері әрекеттер орындалады:
- тақырыпша жіберуішінің VPN-агенті туралы мәліметтен тұрады. Егер ондай
ретке келтірулерде рұқсат етілген тізімдерге кірсе, онда ақпарат тек
кейінге шегеріледі. Сол да әдейі немесе кездейсоқ зақымдалған тақырыпшамен
пакетті қабылдау кезінде де жүргізіледі;
- ретке келтірулерге сәйкес шифрлау алгоритмдері және ЭЦҚ, сондай-ақ
қажетті криптографикалық кілттер таңдалады;
- пакеттің шифры ашылады, содан соң оның тұтастылығы тексеріледі. Егер ЭЦҚ
дұрыс емес болса, онда ол кері шегеріледі;
- сонымен пакет оның соңғы күйінде нағыз адресатқа ішкі желі арқылы
жіберіледі [3].
Барлық операциялар автоматты түрде орындалады. VPN технологиясында
қиындығы тәжірибелі пайдаланушының қолынан келетін VPN-агенттерді ретке
келтіру ғана болып табылады.
VPN-агент тікелей қорғалған ДК-да орналасуы мүмкін, ол ғаламторға
қосылатын мобильді пайдаланушыларға пайдалы. Бұл жағдайда, ол тек
орнатылған компьютерді ғана деректермен алмасуын қауіпсіздендіреді.
VPN-агенттің ІР-пакеттерінің маршрутирзаторымен (бұл жағдайда оны
криптографиялық деп атайды) біріктіруі мүмкін. Сонымен қатар, соңғы уақытта
жетекші әлемдік өндірушілер кіріктірілген VPN қолдауы бар
маршрутизаторларды шығаруда, мысалы, Intel фирмасынан Triple DES алгоритмі
арқылы өтетін барлық пакеттерді шифрлайтын Express VPN.
Сипаттамадан көретініміздей, әдетте VPN-агенттер туннельдер деп
аталатын қорғалатын желілер арасындағы арналарды құрады. Шынымен де, олар
ғаламтор арқылы бір желіден екінші желіге қарай өткізілген, ішінде
айналатын ақпарат бөгде адамдардан қорғалған.
Бұдан басқа, барлық пакеттер ретке келтірулерге сәйкес сүзгілеуден
өтеді. Осылайша, VPN-агенттерінің барлық әрекеттерін екі механизммен беруге
болады: туннельдерді құру және өтетін пакеттерді сүзгілеу.
Қауіпсіздік саясаты деп аталатын туннельдерді құру ережесінің
жиынтығы VPN-агенттерінің ретке келтірулерінде жазылады. IP-пакеттер сол
немесе өзге туннельге жіберіледі немесе тексеруден өткеннен кейін жойылатын
болады:
- дереккөздің IP-адресі (шығыс пакет үшін – қорғалатын желінің нақты
компьютерінің адресі);
- тағайындалуының IP-адресі;
- осы пакет жататын бұдан жоғары деңгейдегі хаттама (мысалы, TCP немесе
UDP);
- ақпарат жіберілген немесе жіберілетін порттың нөмірі (мысалы, 1080).
Сурет 1.2. Клиент-сервер байланысы
1.4 Виртуалды жеке желілерінің қажеттілігі
Виртуалды VPN желілерді құру тұжырымдамасының негізінде қарапайым идея
жатыр: егер жаһанды желіде ақпаратпен алмасуы керек екі торап болса, онда
осы екі торап арасында ашық желілер арқылы жіберілетін ақпараттың
тұтастығын және құпиялылығын қамтамасыз ету үшін виртуалды қорғалған
туннель құру қажет; осы виртуалды туннельге қосылу мүмкін болатын барлық
активті және пассивті сыртқы бақылаушылар үшін өте қиындатылуы тиіс.
Осындай виртуалды туннельдерді құрудан компанияларға келетін
артықшылықтар ең алдымен қаржы қаражаттарының айтарлықтай үнемдеуінен
тұрады, себебі бұл жағдайда компания өз іntranetextranet – желілерін құру
үшін байланыстың бөлінген қымбат арналарын құрудан немесе жалға алудан бас
тарта алады, сонымен қатар осы мақсаттар үшін арзан ғаламтор-арналарын
пайдалана алады, олардың сенімділігі және тарату жылдамдығы белгіленген
желілерден кем емес. VPN-технологияларын енгізудің экономикалық тиімділігі
кәсіпорындарды оларды белсенді түрде енгізуге шақырады [7].
1.5 VPN желілерін топтастыру
VPN шешімдерді бірнеше негізгі параметрлер бойынша топтастыруға
болады:
Пайдаланатын орта типі бойынша:
- қорғалған – виртуалды жеке желілердің ең көп тараған нұсқасы. Оның
көмегімен әдетте ғаламтордың сенімді желісі негізінде сенімді және
қорғалған желіні құруға болады. VPN-нің қорғалған мысалдары болып
табылатындар: IPSec, OpenVPN және PPTP;
- сенімді – тарататын желіні сенімді деп санауға болатын жағдайларда және
үлкен желі аясында виртуалды желіні құру міндетін ғана шешу қажет болғанда
пайдаланылады.
Қауіпсіздікті қамтамасыз ету мәселелері өзекті емес болып бара жатыр.
Мұндай VPN шешімдерінің мысалдары болып табылатындар: Multi-protocol label
switching (MPLS) және L2TP (Layer 2 Tunnelling Protocol). (Дұрысы бұл
хаттамалар қауіпсіздікті қамтамасыз ету міндеттерін басқаларға жүктейді,
мысалы L2TP, әдетте IPSec-мен бірге пайдаланылады).
Іске асыру тәсілі бойынша:
- арнайы бағдарламалық-аппаратты қамтамасыз ету түрінде – VPN желісінің
іске асырылуы арнайы арналған бағдарламалық-аппаратты құралдар кешенінің
көмегімен жүзеге асырылады. Мұндай іске асыру жоғары өнімділікті, әдетте
жоғары қорғалуды да қамтамасыз етеді;
- бағдарламалық шешім түрінде – VPN қызмет етуін қамтамасыз ететін арнайы
арналған бағдарламалық қамтамасыз етуімен дербес компьютерді пайдаланады;
- біріктендірілген шешім – VPN-нің функционалдылығы желілік трафикті
фильтрлеу, желілік экранды ұйымдастыру және қызмет көрсету сапасын
қамтамасыз ету мәндеттерін шешетін кешенді қамтамасыз етеді.
Сурет 1.3. VPN желісін топтастыру Тағайындалуы бойынша
- Intranet VPN – Байланыстың ашық арналары бойынша деректермен алмасатын
бір ұйымның бірнеше таратылған филиалдарының бірыңғай қорғалған желіде
біріктіру үшін пайдаланылады;
- Remote Access VPN – корпативті желі сегменті мен (орталық кеңсе немесе
филиал) және жалғыз пайдаланушы арасындағы қорғалған арнаны құру үшін
пайдаланылады, ол үйде жұмыс істей отырып, үй компьютерінен корпоративті
ресурстарға қосылады немесе іссапарда жүргенде ноутбуктің көмегімен
корпоративті ресурстарға қосылады;
- Extranet VPN – сыртқы пайдаланушылар (мысалы тапсырыс берушілер немесе
клиенттер) қосылатын желілер үшін пайдаланылады. Оларға деген сенімділік
деңгейі компанияның қызметкерлеріне қарағанда төмен, сол себепті
соңғылардың тым бағалы, құпия ақпаратқа қол жетуін алдын алатын немесе
шектейтін қорғаудың арнайы шектерін қамтамасыз етуді талап етеді.
Хаттама типі бойынша виртуалды жеке желілерді TCPIP, IPX және
AppleTalk іске асыру бар. Алайда бүгінгі күні TCPIP хаттамасына жалпы
ауысуға қатысты тұжырымдама байқалуда және олардың VPN шешімдерінің
абсолютті көбі нақ соны қолдайды.
Желілік хаттама деңгейі бойынша ISOOSI эталонды желілік модельдердің
деңгейлерімен салыстыру негізіндегі желілік хаттама деңгейі бойынша [8].
1.6 PPTP хаттамасы
Ең алдымен PPTP хаттамасы коммутацияланған қосылыстарда виртуалды жеке
желілер үшін арналған. Хаттама қашықтан қосылуды құруға мүмкіндік береді,
соның салдарынан пайдаланушылар Internet- провайдерлерімен коммутацияланған
қосылыстарды орнатуға және өзінің корпоративтік желілеріне қорғалған
туннель құруға барлық мүмкіндіктерге ие. IPSec-ке қарағанда PPTP хаттама ең
алдымен локалды желілер арасында туннельдерді ұйымдастыруға арналмаған.
РРТР арналы деңгейде орналасқан РРР – хаттамасының мүмкіндіктерін
кеңейтеді, ол алдымен ақпаратты капсулалау және нүкте-нүкте қосылыстары
бойынша жеткізу мақсатында әзірленген.
PPTP хаттамасы әр түрлі IP, IPX, NetBEUI және т.б. хаттамаларға сәйкес
ақпаратпен алмасу мақсатында қорғалған арналарды құруға мүмкіндік береді.
Осы хаттамалардың РРР кадрына қапталған жаһанды желіге түсетін мәліметтері
бұдан кейін РРТР хаттаманың қолдауымен ІР хаттама пакетіне
икапсуляцияланады. Одан кейін олар TCPIP кез келген желісі арқылы
шифрланған түрде қолдауымен ауысады. Қабылдап алатын торап ІР пакеттерінен
РРР кадрларын шығарып алады, яғни РРР кадрынан IP, IPX немесе NetBEUI
пакеттерін шығарады және оны локалды желіге сәйкес жібереді. Мұндай
тәсілмен РРТР хаттамасы желіде нүкте-нүкте қосылысын құрады және әзірленген
қорғалған арнаға сәйкес мәліметтерді таратады. Мұндай капсулаланатын
хаттамалардың негізгі артықшылығы РРТР сияқты – бұл олардың көп
хаттамалылығы. Яғни ақпаратты арналы деңгейде қорғау желілік және
қолданбалы деңгейлердің хаттамалары үшін анық болып көрінеді. Соның
салдарынан көлік түріне байланысты желінің ішінде ІР (IPSec негізінде
жасалған VPN сияқты) хаттама сияқты кез келген басқа хаттаманы қолдануға
рұқсат етілдеі.
Қазіргі уақытта РРТР хаттамасын іске асырудың жеңілдігіне байланысты
корпоративті желіге сенімді қорғалып қосылу үшін де және клиентке
Ғаламторға қосылуды жою мақсатында ғаламтор-провайдерімен РРТР-қосылысын
орнату талап етілген кезде ISP желісіне қосылу үшін де кең пайдаланылады.
РРТР-де пайдаланылатын шифрлау әдісі РРР деңгейінде
спецификацияланады. Әдетте РРР клиентіне қатысты операторлы Microsoft
жүйесімен үстелді компьютер, ал шифрлау хаттамасына қатысты Microsoft Point-
to-Point Encryption (MРPE) құжаты пайдаланылады. Бұл құжат RSA RC4
эталонында негізделген және 40- немесе 128-разрядты шифрлауды қолдайды.
Шифрлаудың мұндай деңгейінің көптеген қосу мақсатында осы әдісті қолдану
абсолютті түрде жеткілікті, дегенмен ол IPSec ұсынылатын шифрлаудың басқа
алгоритмдеріне қарағанда, атап айтқанда 168-разрядты Triple-Data Encryption
Standard (3DES) қауіпсіздігі аз деп саналады.
PPTP қосылыстарын орнату қалай жүзеге асады:
- PPTP IP-желісіне сәйкес тарату мақсатында IP пакеттерін капсулалайды.
PPTP клиенттері туннельді басқаратын бірігуді құрайды, ол арнаның еңбекке
қабілеттілігіне кепілдік береді. Бұл әдіс компьютер-клиент туннелін
құрастыру салдарынан OSI.B моделінің көлікті деңгейінде жүзеге асырылады
және сервер қызметтік пакеттермен алмасуға кіріседі;
- басқарылатын PPTP қосылысына қосымша туннель арқылы ақпаратты тарату үшін
бірігу қалыптасады. Туннельге ақпаратты жіберер алдында капсулалау екі
кезеңнен тұрады. Алдымен РРР-кадрдың ақпаратты бөлігі қалыптастырылады.
Мәліметтер арналыға дейін түгелімен қолданбалы OSI деңгейімен үстіңгі
жағынан төменге қарай жүреді. Бұдан кейін алынған мәліметтер OSI
модификациясына сәйкес жоғарыға жәберіледі және жоғары деңгей
хаттамаларымен капсулаланады.
Осы тәсіл арқылы екінші әдіс кезеңінде мәліметтер көліктіка деңгейге
жетеді. Дегенмен, мәліметтер тағайындалуына байланысты жіберілу
мүмкіндігіне ие бола алмайды, себебі осы үшін арналы OSI деңгейі жауап
береді. Соның салдарынан PPTP пакеттің қажетті жүктемесінің аясын шифрлайды
және өзіне екінші деңгейдің функциясын алады, әдетте олар РРР- дің меншігі
болып табылады, яғни РРТР-пакетке РРР-тақырыпшасын (header) және жалғауды
(trailer) қосады. Арналы деңгейдің кадрды қалыптастыруда аяқталады. Содан
кейін РРТР желілік деңгейге жататын Generic Routing Encapsulation (GRE)
пакетке РРР-кадрын капсулаландырады. GRE желілік деңгейдің хаттамаларын
желілерге сәйкес олардың таратылу ықтималдылығын кепілдендіру үшін
капсулаландырады, мысалға IP,IPX. Дегенмен, GRE-нің сессияларды орнату және
зиянкестерден ақпараттың қорғалуына кепілдік беру қасиеттеріне ие емес.
Осыдан кейін РРР кадр GRE тақырыпшасымен кадрға капсулаланған сияқты
IP-тақырыпшасымен кадрға капсулалануы жүзеге асады. IP- тақырыпша пакетті
жіберушінің және алушының адрестерін қосады.ү Соңында РРТР РРР тақырыпшаны
және жалғауды қосады. 1.4-суретте РРТР туннелі бойынша жіберу үшін
деректердің құрылымы көрсетілген:
Сурет 1.4. PPTP туннелі бойынша жіберуге арналған деректер құрылымы
PPTP базасында VPN ұйымдастыру үшін ірі шығындар және күрделі ретке
келтірулер талап етілмейді: кеңседе негізінен РРТР серверді анықтау (РРТР
шешімдері Windows мақсатындағыдай, Linux платформалар үшін де), ал
клиенттік компьютерлерде талап етілген опцияларды іске асыру жеткілікті.
Егер сізге бірнеше филиалдарды біріктіру қажет болса, онда барлық клиентті
бекеттердегі РРТР ретке келтіргеннің орнына маршрутизаторды немесе РРТР
көмегімен желі аралық экранды пайдаланған жөн: ретке келтірулер тек
ғаламторға жалғанған шекті маршрутизаторда (желі аралық экран) ғана
орындалады, пайдаланушылар үшін ол абсолютті анық. Мұндай құрылғылардың
мысалы ретінде DI және DIR сериясының функционалдық ғаламтор-
маршрутизаторлары және DFL-2xx, DFL-8xx желі аралық экрандар болуы мүмкін
[5].
1.7 VPN қауіпсіздігі
Әрине, ешбір компания ғаламторға қаржылық немесе құпия ақпаратты ашық
жібергісі келмейді. VPN арналары IРsec қауіпсіздік хаттамалар
стандарттарына енгізілген шифрлаудың қуатты алгоритмдерімен қорғалған.
IPSec (Internet Protocol Security – халықаралық қоғамдастықпен, IETF -
Internet Engineering Task Force) тобымен таңдалған стандарт ғаламтор-
хаттама үшін қауіпсіздік негіздерін құрайды, оның қорғалмағандығы көп уақыт
бойы тек жалпы әңгіме болған. Ipsec хаттамасы желілік деңгейде қорғауды
қамтамасыз етеді және қосылыстың екі жағынан бір-бірімен қарым-қатынастағы
құрылғылар ғана Ipsec стандартының қолдауын талап етеді. Олар арасындағы
барлық қалған құрылғылар ІР-пакеттерінің трафигін қамтамасыз етеді. Ipsec
технологиясын пайдаланатын тұлғалардың өзара әрекет ету тәсілін қорғалған
ассоциация - Security Association (SA) терминімен анықтау қабылданып
кеткен. Қорғалған ассоциация бір-біріне жіберілетін ақпаратты қорғау үшін
Ipsec құралдарын қолданатын тараптармен келісілген келісім негізінде жұмыс
істейді. Осы келісім бірнеше параметрлерді: жіберуші мен алушының ІР-
адрестерін, криптографиялық алгоритмді, кілттермен алмасу реттілігін,
кілттер өлшемдерін, кілттердің қызмет ету мерзімін, аутентификация
алгоритмін реттейді. Басқа стандарттар Microsoft, L2F (Layer 2 Forwarding)
дамытылатын, Cisco дамытылатын - екеуі де қашықтан қосылуға арналған PPTP
(Point to Point Tunneling Protocol) хаттаманы қосады. Microsoft және Cisco
туннельді аутентификация, жеке меншікті қорғау, тұтастылығын тексеру үшін
IPSec-ті пайдалану мақсатында осы хаттамаларды L2P2 (Layer 2 Tunneling
Protocol) бірегей стандартқа біріктіру үшін IETF-пен бірге жұмыс істейді.
Мәселе шифрланған ақпаратпен алмасу кезінде желінің қолайлы тез әрекет
етуін қамтамасыз етуден тұрады. Кодтау алгоритмдері процессордың
айтарлықтай есептеулі ресурстарды талап етеді, кейде қарапайым IP-
маршрутизацияға қарағанда 100 есе үлкенді талап етеді. Қажетті өнімділікке
жету үшін серверлер сияқты клиенттік ДК тез әрекет етуін адекватты түрде
артуын жүзеге асыру қажет. Бұдан басқа, шифрлауды айтарлықтай тездететін
ерекше сұлбалары бар арнайы шлюздар бар.
IT-менеджер нақты қажеттіліктерге байланысты виртуалды жеке желінің
конфигурациясын таңдай алады. Мысалы, үйде жұмыс істейтін қызметкерге
желіге шектеулі қосылу ұсынылуы мүмкін, ал қашықтағы кеңсе менеджеріне
немесе компания басшысына қосылудың кең құқығы берілуі мүмкін. Бір жоба
виртуалды желі арқылы жұмыс кезінде тек минималды (56- разрядты) шифрлаумен
шектелуі мүмкін, ал компанияның қаржылық және жобалық ақпараты шифрлаудың
бұдан да қуатты құралдарын талап етеді – 168-разрядты [1].
1.8 Сыртқы және ішкі шабуылдардан қорғау
Өкінішке орай, VPN құру құралдары шабуылдарды анықтаудың және
бұғаттаудың толыққанды құралдары болып табылмайды. Олар бірнеше заңсыз
әрекеттерді алдын-алу мүмкін, бірақ хакерлердің корпоративтік желіге кіру
үшін пайдаланатын барлық мүмкіндіктерді емес. Олар вирустарды және
қызмет көрсетуден бас тарту (оны вирусқа қарсы жүйелер және
шабуылдарды табу құралдары іске асырады) типті шабуылдарды таба алмайды,
олар деректерді әр түрлі белгілері бойынша фильтрлей алмайды. Бұған менің
қарсылығым бар, бұл қауіптер қорқынышты емес, себебі VPN шифры ашылмаған
трафикті қабылдамайды және оны кері қарай жібереді [5]. Алайда тәжірибеде
бұл олай емес. Біріншіден, көптеген жағдайларда VPN құрылуы трафик бөлігін
қорғау үшін пайдаланылады, мысалы қашықтағы филиалға бағытталған. Қалған
трафик (мысалы, ашық Web-серверлер) өңдеусіз VPN-құрылғы арқылы өтеді. Ал
екіншіден, статистика алдында ең күмәншіл адам да басын иеді. Ал статистика
ақпараттық қауіпсіздікке байланысты барлық орын алған жағдайлардың 80%-на
дейінгісі корпоративтік желіге заңды кіре алатын авторластырылған
пайдаланушылардың күнәсінен болады. Осыдан шабуыл немесе вирус қауіпті емес
трафикпен бірдей шифры ашылатын болатыны белгілі болды.
1.9 Желінің өнімділігі
Желінің өнімділігі — бұл айтарлықтай маңызды параметр, және оның
төмендетілуіне қабілетті кез келген құрал ұйымда күдікті болып есептеледі.
VPN-құрылңы арқылы өтетін трафикті өңдеумен байланысты қосымша тоқтап
қалуды туындататын VPN құрылымының құрылғылары да бұдан алыс емес. Трафикті
криптографиялық өңдеу кезінде туындайтын барлық тоқтап қалуларды үш топқа
бөлуге болады:
- VPN-құрылғылар арасындағы қорғалған байланыстарды орнату кезіндегі тоқтап
қалулар;
- қорғалатын мәліметтерді шифрлаумен және шифрдан алуға қатысты, сонымен
қатар олардың толыққандылығын бақылауға қажетті түрлендірулермен байланысты
тоқтап қалулар;
- жіберілетін пакеттерге жаңа тақырыпшаны енгізумен байланысты тоқтап
қалулар.
PN құрылғысын тұрғызудың бірінші, екінші және төртінші нұсқаларын
жүзеге асыру желі абоненттері арасындағы емес, тек VPN- құрылғылары
арасындағы қорғалған байланыстарды орнатуды қарастырылады. Қолданылатын
алгоритмдердің криптографиялық төзімділігін есепке ала отырып, кілттің
ауыстырылуы қосымша ұзақ уақыт интервалы арқылы мүмкін болады. Сондықтан
VPN жасалу құралдарын қолдану кезінде бірінші түрдегі тоқтап қалулар
мәліметтер алмасуға мүлдем әсер етпейді деуге болады. Әрине, бұл жағдай 128
биттен кем емес кілттерді қолданатын шифрлеудің тұрақты алгоритмдеріне
қатысты (Triple DES, МЕМСТ 28147-89 және т.с.с.). Бұрыңғы DES стандартын
қолданатын құрылғылар жұмыс желісіне белгілі бір тоқтап қалулар алып келуге
қабілетті болады.
Екінші типті тоқтап қалулар тек жоғары жылдамдықты арналармен
мәліметтер алмасу кезінде ғана айтылады (10 Мбитс-тан бастап). Басқа
барлық жағдайда шифрлеу мен толыққандылықты бақылаудың таңдалған алгоритмін
бағдарламалық немесе аппараттық ұйымдастырылуының жылдам әрекеттілігі
әдетте айтарлық үлкен және шифрленген пакеттер – пакеттің желіге берілуі
және пакеттердің желіден қабылдануы – пакеттердің шифрден алынуы
операцияларының тізбегінде шифрлеу (шифрден алу) уақыты берілген пакетті
желіге беру уақытынан біршама аз [9].
Негізгі мәселе мұнда VPN-құрылғысы арқылы өткізілетін әрбір пакетке
қосымша тақырыпшаның енгізілуімен байланысты. Мысал ретінде қашықтықтықтағы
бекеттер мен орталық пункттер арасында нақты уақыт мезетінде мәлімет
алмасуды жүзеге асыратын диспетчерлік басқару жүйесін қарастыралық.
Берілетін мәліметтер өлшемі үлкен емес —25 байттан көп емес. Сәйкес
өлшемдегі мәліметтер банк саласында (төлем тапсырыстары) және IP-
телефонияда қолданылады. Берілетін мәліметтер қарқындылығы — секундына 50-
100 ауыспалы. Буындар арасындағы өзара әрекеттесу өткізу қабілеті 64 Кбитс
арналар бойымен жүзеге асырылады.
Мәні үрдістің бір ауыспалысына ие пакет 25 байт ұзындыққа ие (ауыспалы
атауы — 16 байт, ауыспалы мәні — 8 байт, қызметтік тақырыпша — 1 байт). IP-
протокол пакет ұзындығына тағы 24 байт қосады (IP-пакетінің тақырыпшасы).
Беріліс арналары ретінде Frame Relay LMI қолданылған кезде тағы 10 байт FR-
тақырыпша қосылады. Барлығы — 59 байт (472 бит). Осылайша, 10 секундта
үрдіс ауыспалысының 750 мәнін жіберу үшін (секундына 75 пакет) 75×472 =
34,5 Кбитс өткізу жолағы қажет болады, бұл 64 Кбитс өткізу қабілетінің
бұрыннан бар шектеулерінде жақсы байқалады. Енді VPN құрылғысын оған қосқан
кезде желінің сипатын қарастыралық. Бірінші мысал – ұмыт қалған SKIP
протоколының ретілік негізіндегі құрал.
59 байт мәліметтерге қосымша 112 байт тақырыпша қосылады (МЕМСТ 28148-
89 үшін), ол 171 байт (1368 бит). 75×1368 = 102,6 Кбитс, қолданыстағы
байланыс арнасының максималды өткізу қабілеттілігін 60%-ға арттырады.
IPSec протоколы және жоғары аталған параметрлер үшін өткізу қабілеті
6%-ға арттырылады (67,8 Кбитс). Бұл МЕМСТ 28147-89 алгоритмі үшін қосымша
тақырыпша 54 байтты құраған жағдайда ғана мүмкін.
Континент-К ресейлік бағдарламалық-аппараттық кешенде қолданылатын
протокол үшін әрбір пакет үшін қосылатын қосыша тақырыпша бар болғаны 36
байтты құрайды (немесе 26 — жұмыс режиміне байланысты), ол өткізу
қабілеттілігіне ешбір төмендеу әсерін туғызбайды (сәйкесінше 57 және 51
Кбитс). Айта кететін әділдіктер, осы барлық есептеулер ауыспалылардан өзге
желіде басқа ешнәрсе берілмеген жағдайда ғана дұрыс болады.
1.10 VPN-нің артықшылықтары мен кемшіліктері
VPN артықшылықтары. Виртуалды жеке желілер дәстүрлі жеке желілермен
салыстырғанда бірқатар артықшылықтарға ие. Олардың бастысы - үнемділік,
икемділік және қолдану ыңғайлылығы.
Үнемділігі. VPN-желілер есебінен кәсіпорындар өздерінің корпоративті
желілеріне қашықтықтағы қолданушылардың қол жетімділігін қамтамасыз ету
үшін ұйымға енгізілуі керек модемдер, рұқсат серверлері, коммутациялық
желілер және басқа да техникалық құралдардың санының өсуін біртіндеп болса
да шектеуге мүмкіндік алады. Бұған қоса, виртуалды жеке желілер
қашықтықтағы қолданушыларға компанияның желілік ресурстарына қымбат жалға
алынған желілер емес, жергілікті телефон желісі арқылы қатынас орнатуға
мүмкіндік береді.
Әсіресе виртуалды жеке желілер қашықтықтағы қолданушылар тыс алыс
арақашықтықта болып, жалға алынатын қымбат желілер өте қымбатқа шығатын
жағдайда, сонымен қатар мұндай қолданушылар көп болып, осыған орай оларға
жалға алынатын желілер саны көп қажет болатын болғанда тиімді болып
саналады. Алайда бұл артықшылықтар VPN-желісінің трафик көлемі мәліметтер
пакетін шифрлеу мен шифрдан алуға үлгермейтіндей көп болса жоққа
шығарылады. Мұндай тар орындардың туындауының алдын алу үшін кәсіпорын
қосымша жабдық сатып алуға мәжбүр болады.
Мұнымен қоса, VPN технологиясының жаңа болуына және қолданылатын
қауіпсіздік құралдарының күрделі болуына байланысты жүйелік әкімші
виртуалдық желі үшін дәстүрліге қарағанда қымбатқа шығады.
Икемділігі мен ыңғайлылығы. Виртуалды жеке желілердің бұл
артықшылықтары дәстүрлімен салыстырғанда бұл желілердің Internet-пен
байланысы бар кез келген өкілетті қолданушыға компанияның ресурстарына
қашықтықтан қол жетімділікті қамтамасыз ете алуымен түсіндіріледі. Осыған
байланысты VPN-желілер серіктестерге Internet арқылы кәсіпорынның желілік
ресурстарына рұқсатты оңай ала алады, бұл альянстардың нығаюы мен бәсекеге
қабілеттіліктің артуына жол ашады. Бұған дәстүрлі жеке желілер арқылы қол
жеткізу қиын, себебі желілік ресурстарды біріктіре қолданғысы келетін
кәсіпорында жиі сәйкес келмейтін жүйелер болады. Әсіресе бұл мәселе алуан
түрлі саудамен айналысатын ірі кәсіпорындар көп болып және олардың
жеткізушілері олармен желі арқылы жұмыс жасағысы келген жағдайда туындайды.
VPN кемшіліктері. Мәліметтерді қорғау, сенімділік пен өнімділіктің
жеткіліксіздігі, сонымен қатар ашық стандарттардың болмау мәселелері
виртуалды жеке желілердің кеңінен таралуын қиындатады.
Қорғаныс. Internet технологияларының көпшілігі үшін мәліметтерді
жіберу кезіндегі қауіпсіздікті қамтамасыз ету мәселесі маңызды болып
саналады. Виртуалдық жеке желілерге қатысты осы нәрсе. Олар үшін басты
мәселе - қолданушыларды кілтсөздер көмегімен аутентификациялау мен VPN
шифрленген арнасы (тоннель) арқылы қорғау. Бұған қоса, желілік әкімшілер
қолданушыларға виртуалды жеке желілерге рұқсат алуға көмектесетін әдістерді
мұқият таңдаулары керек.
Бұл мәселелер бірқатар әлеуетті қолданушыларды егер виртуалды желіні
Internet қызметінің провайдері басқаратын болса мәліметтер қорғалу дәрежесі
қанағаттанарлық болатынына күмәнмен қарады. Сенімсіз қолданушыларды
тынышталдыру үшін провайдерлерде шифрлеу мен аутентификациялаудың алуан
түрлі сұлбаларының кең жинағына қолдана алу мүмкіндігі берілген. Мысалы,
виртуалды жеке желілерге арналған БҚ-ны шығаратын Aventail фирмасы сеанс
деңгейінде шифрлау мен клиенттерді аутентификациялауға арналған
бағдарламалар жинағын ұсынады. VPNet Technologies компаниясы шифрлауды,
аутентификацияны және мәліметтердің көлемін қысқартуды орындайтын
маршрутизатор мен жаһандық желі арасындағы орнатылатын жабдықты жеткізеді
[3].
Жеткізушілердің көпшілігі DES стандартына сәйкес келетін 58-разрядты
кілтке ие шифрлау әдісін қолданады. Олардың ойынша кілттің мұндай ұзындығы
қауіпсіздіктің жеткілікті жоғары деңгейін қамтамасыз етеді. Алайда көптеген
сарапшылар мен талдаушылар 58-разрядты кілт жеткілікті сенімді емес деп
біледі. Өнімдерді кейбір жеткізушілер виртуалды жеке желілер үшін 112-
разрядты кілтті сенімді деп біледі. Дегенмен де есте ұстайтын жайт, кілт
ұзындығының артуы өнімділікті төмендетеді, себебі шифрлеу алгоритмі
неғұрлым күрделі болса, соғұрлым үлкен қарқындылықтағы есептеуіш өңдеуін
қажет етеді.
1.11 VPN болашағы
Өзінің даму қарқынына қарай VPN мобилді қолданушыларды, сау
серіктестері мен шектен тыс маңызды корпоративті ұсыныстары бар ІР
протоколында жұмыс жасаушы жеткізушілерді байланыстыратын өзара байланысқан
желілер жүйесіне айналады. VPN нарықты ынталандыратын және өндірістің
түрлендірілуіне көмектесетін жаңа коммерциялық операциялар мен қызметтер
үшін түпнегіз болады.
Ертеңгі VPN желісінің негізгі құрамбөліктерінің біріншісі ақырғы
тұтынушылар профилінен және желі конфигурациясы жөніндегі мәліметтерден
тұратын каталогтар сервері болуы ықтимал. Бұл VPN провайдері басқаратын
корпоративті және біршама жалпыға рұқсат етілген желідегі жекелей
компьютерлік жүйе болады. Желілік каталогтар, сонымен қатар ақпарат
қауіпсіздігі мен қызмет көрсету сапасын қамтамасыз ету бар болған жағдайда
ақырғы тұтынушылар VPN бойынша байланысты лезде орната алады [1].
Жұмыс белсенді жалғаса беретін IpV6 протоколы қолданылуы мүмкін. Бұл
протокол өткізу жолағын басқаруды қоса алғанда желіні жасаушылар өзіне
қалаған VPN-мен әрекеттесе алатын барлық мүмкіндіктерге ие. Оған қоса
белгілі бір ағынғы IpV6-пакеттердің тиістілігін анықтауға болады, мысалы,
жоғарғы бедел нақыт уақыттағы беруге арналған мультимедиялық мәліметтер
пакетін алатын болады.
Cisco Systems, Cabletron Systems, 3Com, Bay Networks, HCL Comnet
желілі нарықтың басты қатысушылары қазірден-ақ VPN-ның селт еткізер
жаңалығына белсенді дайындалуда. Бағдарламалық қамтамасыздандыру мен
жабыдықтаудың қазіргі вендорлары VPN желісін жасап, пайдалануға арналған
құрылғылар жинағын жасап шығаруды ұсынады.
VPN желісін келесі буының жарыққа шығарудан тек желіні жасаушылар ғана
пайда көрмейді, операторлар да бұған мүдделі. AT&T Level 3 Communications,
MCI Worldcom және Sprint фирмалары видео, дыбыс және мәліметтер алмасуға
арналған АТМ-желілерде жоғары жылдамдықтағы IP- арналарын құрады. VPN
қазіргі уақытта Unisource (AT&T, Telia, PTT Suisse және PTT Netherlands),
Concert (BTMCI) және Global One (Deutsche Telekom, France Telekom) секілді
операторлардың жобаларын жасауда аз емес шешуші әсер тигізуде. Компаниялар
неғұрлым VPN-қызметтерді көбірек ұсынатын болса, соғұрлым оларды сапасы
артып, бағасы түседі, бұл өз кезегінде клиенттер санына да әсер етеді.
Бизнестегі әрбір құрылым жеке күш салуды күрт арттырған
өнертабыстардан басталды. Мысалы, тасымалдаушылар мен мемлекеттік темір
жолды пайдаланытн компанияларды бөлу коммерциялық тасымалдардың артуына
алып келді. Ұлттықтан жоғары және халықаралық телекоммуникациялық
инфрақұрылымдардың VPN желісін жасау да сол секілді.
2 Желіні жобалау және құрылғыны таңдау
2.1 D-Link DFL-860Е құрылғысы
D-link DFL-860Е – желіні шабуылдардан қорғайтын ірі кәсіпорындар үшін
арналған орнатылуы жеңіл аппараттық желілік экран.
DFL-860Е желілік шабуылдардан қорғау жүйесі корпоративті желінің
қауіпсіздік талаптарын ескере отырып, офистағы локальды желіде ақпараттың
қауіпсіздігін арттыруға қажетті функциялармен қамтылған.
Желілік деңгейде DFL-860E шабуылды анықтап, басқа желілік экранға
қосылу үшін WAN порты, қорғалған LAN порты және жергілікті электрондық
почта мен веб серверлерді қолдау үшін DMZ порты және резервтеу порты бар.
URL бұғаттау – интернеттегі қажетсіз ресурстарға шектеуге мүмкіндік
беретін негізгі функциялардың бірі болып табылады.
Интернет трафик файлдарын хаттамалау, интернеттен болатын шабуылдарды
ескерту, пайдаланылған интернет ресурстары туралы мәліметтер сақталады және
электрондық почта арқылы есеп ретінде жіберілу мүмкіндігі бар [10].
Аппараттың мазмұны бойынша пакеттерді сүзгіден өткізу, IDS (басып
кіруді анықтау жүйесі), өткізу жолағын басқару сияқты ақпарат қауіпсіздігін
қамтамасыз ететін кеңейтілген функциялары бар және өткізу жолағын басқару
әр түрлі қызметтер үшін өткізу жолағына кепілдік береді.
Сурет 2.1. D-Link DFL-860E
Басты сипаттамалары:
- порт 101001000 Ethernet WAN;
- 1 порт 101001000 Ethernet DMZ (бапталатын);
- 8 порт 101001000 Ethernet LAN;
- USB: 2 USB порттары (резервтелген);
- Console: ... жалғасы
Сіз бұл жұмысты біздің қосымшамыз арқылы толығымен тегін көре аласыз.
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz