31
31
қорғауды қамтамасыз етеді. Нақты, VPN – бұл желілер жиынтығы, сыртқы
периметрінде VPN –агенттер орнатылған. VPN –агент – бұл программа (немесе
программалық-аппараттық кешен), төменде берілген операцияларды орындау
арқылы берілетін ақпаратты қорғайды.
Желіге кез келген IP-дестені жіберер алдында VPN –агент келесі
әрекеттерді орындайды:
–
IP-десте тақырыбынан оның адресаты туралы ақпарат бөлініп алынады.
Осы ақпаратқа сәйкес сол VPN–агенттің қауіпсіздік саясатының негізінде қорғау
алгоритмдері
(егер
VPN–агент
бірнеше
алгоритмді
қолдаса)
және
криптографиялық кілттер таңдалады, осылар арқылы берілген десте қорғалатын
болады. Егер VPN–агенттің қауіпсіздік саясатында
IP-дестені сол адресатқа
жіберу қарастырылмаса немесе сипаттамалары сәйкес келмесе IP-дестені
жөнелту бөгеттеледі;
–
бүтіндікті қорғаудың таңдалған алгоритмі бойынша IP-дестеде
электрондық цифрлық қолтаңба қалыптасады да, оған қосылады (осы секілді
имитоқондырма немесе осы іспеттес бақылау суммалары қалыптасатын болады,
олар да IP-дестеге үстемеленеді);
–
таңдалған шифрлау алгоритмінің көмегімен IP-десте шифрланады;
–
дестелерді инкапсуляциялауға арналған
орнатылған алгоритмнің
көмегімен шифрланған IP-десте жіберілуге дайын IP-дестеге орналастырылады.
Ол адресаттың VPN–агенті және жіберушінің VPN–агенті туралы ақпаратты
қамтиды;
–
десте адресаттың VPN–агентіне жіберіледі. Қажет жағдайда оны бөліп,
біртіндеп жіберуге болады.
VPN–агенттің IP-дестесін қабылдаған кезде келесі әрекеттер орындалады:
а)
ip-дестенің тақырыпшасынан хабарды жіберуші туралы ақпарат
алынады. Егер жіберуші рұқсат етілгендер (қауіпсіздік саясатына байланысты)
қатарында болмаса немесе белгісіз біреу болса, онда десте өңделмейді және
лақтырылады;
б)
қауіпсіздік саясатына байланысты сол дестені және кілтті (осының
көмегімен
десте кері шифрланып, оның бүтіндігі тексеріледі) қорғау
алгоритмдері таңдалады;
в)
дестенің ақпараттық бөлігі (инкапсуляцияланған) таңдалып, ол кері
шифрланады;
г)
таңдалған алгоритм негізінде дестенің бүтіндігін бақылау жүзеге
асырылады. Егер одан ақау шықса, десте жойылады;
д)
десте ішкі желі бойынша қажетті адресатқа жіберіледі.
VPN–агент
тікелей қорғалатын компьютерде болады (мысалы,
жырақтағы қолданушылар компьютерлері). Бұл жағдайда ол тек өзі орнатылған
компьютердің ақпарат алмасуы қорғалатын болады.
Қорғалған жергілікті
есептеу желісі мен ашық желі арасындағы VPN–байланысты құрудың негізгі
ережесі тек VPN–агенттер арқылы жүзеге асырылады.
32
32
Қауіпсіздік саясаты белгілі бір ережелер жиыны, осыған сәйкес VPN
абоненттері арасында қорғалған байланыс арналары орнатылады. Мұндай
арналар
әдетте туннельдер деп аталады, оның баламалары:
–
бір туннельдің шеңберінде берілетін барлық ақпарат рұқсатсыз қараудан,
модификациялаудан қорғалған;
–
IP-дестелерді инкапсуляциялау ішкі ЖЕЖ-ң топологиясын жабуға
мүмкіндік береді. Интернеттен екі қорғалған ЖЕЖ арасындағы ақпарат алмасу
– тек олардың VPN-агенттерінің арасындағы ақпарат алмасу ретінде ғана
көрінетін болады, себебі Интернет арқылы берілетін IP-дестелердегі барлық ішкі
IP-адрестер бұл жағдайда көрінбейді.
Туннельдер құру ережелері IP-дестелердің түрлі сипаттамаларына
байланысты
қалыптасады, мысалы, көптеген VPN-дерді құру кезінде IPSec
(Security Architecture for IP) хаттамасы мынадай кіріс деректер жиынын
орнатады (осы бойынша туннельдеу параметрлері таңдалып, нақты IP-дестені
сүзгіден өткізу кезінде шешімдер қабылданады):
–
жіберуші жақтың IP-адресі бұл дара IP-адрес емес, сондай-ақ ішкі желі
адресі немесе адрестер диапазондары болуы мүмкін;
–
тағайындау IP-адресі. Ішкі желі маскасы
немесе шаблон арқылы анық
көрсетілетін адрестер диапазоны болуы мүмкін;
–
қолданушы идентификаторы (жөнелтуші немесе қабылдаушы);
–
транспорттық деңгей хаттамасы (TCP/UDP);
–
дестені жіберген немесе алатын жақтың порт нөмірі.
Желіаралық экрандар.
Желіаралық экран дегеніміз - программалық немесе
программалық-аппараттық құрал, ақпарат алмасу кезінде хабар ағынын екі
жақты сүзгіден өткізу арқылы сыртқы желі жағынан рұқсатсыз қатынас құрудан
жергілікті желілерді және жеке компьютерлерді қорғауға арналған. Нақты айтар
болсақ, желіаралық экран «қиып алынған» VPN-агент болып табылады, ол
дестелерді шифрламайды, оның бүтіндігін бақыламайды,
бірақ өзіне тиісті
функциялары бар:
–
вирусқа қарсы сканерлеу;
–
дестелердің дұрыстығын бақылау;
–
қосылыстар дұрыстығын бақылау (мысалы, TCP-сессияларын орнату,
қолдану, үзу);
–
контент-бақылау.
Жоғарыда келтірілген функцияларды қамтымайтын және тек дестелерді
сүзгіден өткізетін желіаралық экрандар дестелік сүзгілер деп аталады. VPN-
агент сияқты, тек өзі орнатылған компьютерді қорғайтын дербес желіаралық
экрандар да бар. Желіаралық экрандар сонымен қатар қорғалатын желілер
периметрінде ғана орналастырылып, орнатылған қауіпсіздік
саясатына сәйкес
желілік трафикті сүзгіден өткізеді.
Достарыңызбен бөлісу: