19 – Amaliy mashg‘ulot. Demilitarizatsiya zonasi – DMZ haqida o‘rganish
Ishdan maqsad: Demilitarizatsiya zonasi – DMZ haqida o‘rganish
Nazariy qism
DMZ (ing. Demilitarized Zone — demilitarized zone, DMZ) — davlat xizmatlarini oʻz
ichiga olgan va ularni xususiy xizmatlardan ajratuvchi tarmoq segmenti. Masalan, veb-xizmat
davlat xizmati sifatida harakat qilishi mumkin: uni taqdim etuvchi server, jismoniy jihatdan
mahalliy tarmoqda (Intranet) joylashgan bo'lib, tashqi tarmoqdan (Internet) har qanday so'rovlarga
javob berishi kerak, boshqa mahalliy resurslar esa (uchun). masalan, fayl serverlari, ishchi
stantsiyalar) tashqi kirishdan ajratilgan bo'lishi kerak. DMZ ning maqsadi mahalliy tarmoqqa
qo'shimcha xavfsizlik qatlamini qo'shishdan iborat bo'lib, u davlat xizmatlaridan biriga hujum
qilingan taqdirda zararni minimallashtirish imkonini beradi: tashqi tajovuzkor faqat DMZ
uskunasiga to'g'ridan-to'g'ri kirish huquqiga ega. Bu nom "demilitarizatsiya zonasi" harbiy
atamasidan kelib chiqqan - urushayotgan davlatlar o'rtasidagi harbiy harakatlarga yo'l qo'yilmagan
hudud. Boshqacha qilib aytadigan bo'lsak, tashrif buyuruvchining yomon niyati bo'lmasa, DMZga kirish har ikki tomon uchun ham ochiq. O'xshashlik bo'yicha, DMZ tushunchasi (masalan,
umumiy Internetga shlyuzni qurishda) mahalliy tarmoqda tarmoqning qolgan qismi kabi xavfsiz
bo'lmagan (ichki) va jamoat (tashqi) kabi xavfli bo'lmagan hudud ajratilganligidir). Tashqi
tarmoqlardan to'g'ridan-to'g'ri kirish uchun ochiq tizimlar odatda tajovuzkorlar uchun asosiy
nishon bo'lib, tahdidlarga duchor bo'ladi. Natijada, ushbu tizimlarga to'liq ishonish mumkin emas.
Shuning uchun ushbu tizimlarning tarmoq ichida joylashgan kompyuterlarga kirishini cheklash
kerak. Tashqi hujumlardan himoya qilish bilan birga, DMZ odatda trafikni ushlab turish kabi ichki
hujumlarga hech qanday aloqasi yo'q.
Segmentlarni ajratish va ular orasidagi trafikni nazorat qilish, qoida tariqasida, maxsus
qurilmalar - xavfsizlik devorlari tomonidan amalga oshiriladi. Bunday qurilmaning asosiy
vazifalari:
- tashqi tarmoqdan DMZ ga kirishni boshqarish;
- ichki tarmoqdan DMZ ga kirishni boshqarish;
- ichki tarmoqdan tashqi tarmoqqa kirishga ruxsat berish (yoki nazorat qilish);
- tashqi tarmoqdan ichki tarmoqqa kirishni taqiqlash.
Ba'zi hollarda DMZ ni tashkil qilish uchun yo'riqnoma yoki hatto proksi-server yetarli
bo'ladi. DMZ serverlari, agar kerak bo'lsa, ichki tarmoqdagi alohida xostlarga ulanish imkoniyati
cheklangan bo'lishi mumkin [K 1]. DMZ-da serverlar va tashqi tarmoq bilan aloqa, shuningdek,
DMZ-ni Internetga qaraganda ma'lum xizmatlarni joylashtirish uchun xavfsizroq qilish uchun
cheklangan. DMZ serverlarida faqat kerakli dasturlar bajarilishi kerak, keraksiz dasturlar
o'chiriladi yoki butunlay o'chiriladi. DMZ tarmoq arxitekturasining turli xil variantlari mavjud.
Ikki asosiy - bitta xavfsizlik devori va ikkita xavfsizlik devori bilan. Ushbu usullarga asoslanib,
siz ishlatiladigan uskunaning imkoniyatlariga va ma'lum bir tarmoqdagi xavfsizlik talablariga mos
keladigan soddalashtirilgan va juda murakkab konfiguratsiyalarni yaratishingiz mumkin. DMZ
bilan tarmoq yaratish uchun kamida uchta tarmoq interfeysiga ega bo'lgan bitta xavfsizlik
devoridan foydalanish mumkin: biri provayderga (WAN), ikkinchisi - ichki tarmoqqa (LAN),
uchinchisi - DMZ ga. Bunday sxemani amalga oshirish oson, lekin jihozlar va ma'muriyatga
qo'shimcha talablar qo'yadi: xavfsizlik devori DMZ va ichki tarmoqqa boradigan barcha trafikni
qayta ishlashi kerak. Shu bilan birga, u bitta nosozlik nuqtasiga aylanadi va agar u buzilgan bo'lsa
(yoki sozlamalardagi xato), ichki tarmoq tashqi tarmoqdan bevosita himoyasiz bo'ladi.
19.1 – rasm. Bitta xavfsizlik devori yordamida tuzilgan tarmoq
19.2 – rasm. Ikkita xavfsizlik devori yordamida tuzilgan tarmoq
DMZ ni yaratish uchun ikkita xavfsizlik devori qo'llanilganda yanada xavfsizroq
yondashuv hisoblanadi: ulardan biri tashqi tarmoqdan DMZ ga, ikkinchisi - DMZ dan ichki
tarmoqqa ulanishlarni boshqaradi. Bunday holda, ichki resurslarga muvaffaqiyatli hujum qilish
uchun ikkita qurilma buzilgan bo'lishi kerak. Bundan tashqari, tashqi ekranda sekinroq dastur
qatlamini filtrlash qoidalari sozlanishi mumkin, bu esa ichki segmentning ishlashiga salbiy taʼsir
koʻrsatmasdan mahalliy tarmoqning yaxshilangan himoyasini taʼminlaydi. Ikki xil ishlab
chiqaruvchining ikkita xavfsizlik devori va (afzal) turli arxitekturadan foydalanish orqali yanada
yuqori darajadagi himoya ta'minlanishi mumkin - bu ikkala qurilmaning bir xil zaiflikka ega
bo'lish ehtimolini kamaytiradi. Misol uchun, ikki xil ishlab chiqaruvchilarning interfeyslari
konfiguratsiyasida tasodifiy noto'g'ri konfiguratsiya kamroq sodir bo'ladi; bir sotuvchining
tizimida topilgan xavfsizlik teshigi boshqa sotuvchining tizimida tugash ehtimoli kamroq. Ushbu
arxitekturaning kamchiliklari yuqori narx hisoblanadi. Ba'zi SOHO-sinf marshrutizatorlari tashqi
tarmoqdan ichki serverlarga (DMZ xost yoki ochiq xost rejimi) kirishni ta'minlash funktsiyasiga
ega. Ushbu rejimda ular boshqa yo'l bilan tarjima qilinganlardan tashqari, barcha portlari ochiq
(himoyalanmagan) bo'lgan xostni ifodalaydi. Bu haqiqiy DMZ ta'rifiga to'liq mos kelmaydi,
chunki ochiq portlari bo'lgan server ichki tarmoqdan ajratilmagan. Ya'ni, DMZ xosti ichki
tarmoqdagi resurslarga erkin ulanishi mumkin, shu bilan birga, haqiqiy DMZ dan ichki tarmoqqa
ulanishlar, agar maxsus ruxsat berish qoidasi [K 1] bo'lmasa, ularni ajratuvchi xavfsizlik devori
tomonidan bloklanadi. DMZ xosti subnetting taqdim etadigan xavfsizlik afzalliklarining hech
birini ta'minlamaydi va ko'pincha barcha portlarni boshqa xavfsizlik devori yoki qurilmaga
yo'naltirishning oddiy usuli sifatida ishlatiladi.
Amaliyot ishi bo‘yicha topshiriqlar
1. Amaliy mashg‘ulotning nazariy qismida berilgan ma‘lumotlarni o‘rganadi.
2. DMZ (Demilitarized Zone) va uning ish prinsipi haqida o‘rganadi va tahlil qiladi va savollarga
javob beradi.
Amaliyot ishini bajarish
19 - amaliyot ishining bajarilish tartibi hisobot ko‘rinishida tayyorlanadi va talaba tomonidan
amaliy mashg‘ulot nazariy qismida berilgan ma‘lumotlarini o‘rganadi, referat ko‘rinishida hisobot
tayyorlaydi va to‘plangan ma‘lumotlarini tahlil qilib beradi, savollarga javob beradi.
Foydalanilagan adabiyotlar:
1. N. Jo‘rayev B. A. Turg‘unov “ Keng polosali tarmoqlar ”
2. R.N. Radjapova. Keyingi avlodning konvergent tarmoqlari: o‘quv qo‘llanma. - TATU, 2016.
3. A.V. Roslyakov, S.V. Vanyashin, M.YU. Samsonov. I.V. Shibaeva, I.A. Chechnyova S28.
Seti sleduyuщego pokoleniya NGN /pod red. A.V. Roslyakova. - M.: Eko-Trendz, 2008.
20 – Amaliy mashg‘ulot. Demilitarizatsiya zonasi – DMZ sozlamalarini o‘rganish
Ishdan maqsad: Demilitarizatsiya zonasi – DMZ sozlamalarini o‘rganish
Nazariy qism
DMZ (ing. Demilitarized Zone — demilitarized zone, DMZ) — davlat xizmatlarini oʻz
ichiga olgan va ularni xususiy xizmatlardan ajratuvchi tarmoq segmenti. Masalan, veb-xizmat
davlat xizmati sifatida harakat qilishi mumkin: uni taqdim etuvchi server, jismoniy jihatdan
mahalliy tarmoqda (Intranet) joylashgan bo'lib, tashqi tarmoqdan (Internet) har qanday so'rovlarga
javob berishi kerak, boshqa mahalliy resurslar esa (uchun). masalan, fayl serverlari, ishchi
stantsiyalar) tashqi kirishdan ajratilgan bo'lishi kerak. DMZ ning maqsadi mahalliy tarmoqqa
qo'shimcha xavfsizlik qatlamini qo'shishdan iborat bo'lib, u davlat xizmatlaridan biriga hujum
qilingan taqdirda zararni minimallashtirish imkonini beradi: tashqi tajovuzkor faqat DMZ
uskunasiga to'g'ridan-to'g'ri kirish huquqiga ega. Bu nom "demilitarizatsiya zonasi" harbiy
atamasidan kelib chiqqan - urushayotgan davlatlar o'rtasidagi harbiy harakatlarga yo'l qo'yilmagan
hudud. Boshqacha qilib aytadigan bo'lsak, tashrif buyuruvchining yomon niyati bo'lmasa, DMZga kirish har ikki tomon uchun ham ochiq. O'xshashlik bo'yicha, DMZ tushunchasi (masalan,
umumiy Internetga shlyuzni qurishda) mahalliy tarmoqda tarmoqning qolgan qismi kabi xavfsiz
bo'lmagan (ichki) va jamoat (tashqi) kabi xavfli bo'lmagan hudud ajratilganligidir). Tashqi
tarmoqlardan to'g'ridan-to'g'ri kirish uchun ochiq tizimlar odatda tajovuzkorlar uchun asosiy
nishon bo'lib, tahdidlarga duchor bo'ladi. Natijada, ushbu tizimlarga to'liq ishonish mumkin emas.
Shuning uchun ushbu tizimlarning tarmoq ichida joylashgan kompyuterlarga kirishini cheklash
kerak. Tashqi hujumlardan himoya qilish bilan birga, DMZ odatda trafikni ushlab turish kabi ichki
hujumlarga hech qanday aloqasi yo'q.
Segmentlarni ajratish va ular orasidagi trafikni nazorat qilish, qoida tariqasida, maxsus
qurilmalar - xavfsizlik devorlari tomonidan amalga oshiriladi. Bunday qurilmaning asosiy
vazifalari:
- tashqi tarmoqdan DMZ ga kirishni boshqarish;
- ichki tarmoqdan DMZ ga kirishni boshqarish;
- ichki tarmoqdan tashqi tarmoqqa kirishga ruxsat berish (yoki nazorat qilish);
- tashqi tarmoqdan ichki tarmoqqa kirishni taqiqlash.
Ba'zi hollarda DMZ ni tashkil qilish uchun yo'riqnoma yoki hatto proksi-server yetarli
bo'ladi. DMZ serverlari, agar kerak bo'lsa, ichki tarmoqdagi alohida xostlarga ulanish imkoniyati
cheklangan bo'lishi mumkin [K 1]. DMZ-da serverlar va tashqi tarmoq bilan aloqa, shuningdek,
DMZ-ni Internetga qaraganda ma'lum xizmatlarni joylashtirish uchun xavfsizroq qilish uchun
cheklangan. DMZ serverlarida faqat kerakli dasturlar bajarilishi kerak, keraksiz dasturlar
o'chiriladi yoki butunlay o'chiriladi. DMZ tarmoq arxitekturasining turli xil variantlari mavjud.
Ikki asosiy - bitta xavfsizlik devori va ikkita xavfsizlik devori bilan. Ushbu usullarga asoslanib,
siz ishlatiladigan uskunaning imkoniyatlariga va ma'lum bir tarmoqdagi xavfsizlik talablariga mos
keladigan soddalashtirilgan va juda murakkab konfiguratsiyalarni yaratishingiz mumkin. DMZ
bilan tarmoq yaratish uchun kamida uchta tarmoq interfeysiga ega bo'lgan bitta xavfsizlik
devoridan foydalanish mumkin: biri provayderga (WAN), ikkinchisi - ichki tarmoqqa (LAN),
uchinchisi - DMZ ga. Bunday sxemani amalga oshirish oson, lekin jihozlar va ma'muriyatga
qo'shimcha talablar qo'yadi: xavfsizlik devori DMZ va ichki tarmoqqa boradigan barcha trafikni
qayta ishlashi kerak. Shu bilan birga, u bitta nosozlik nuqtasiga aylanadi va agar u buzilgan bo'lsa
(yoki sozlamalardagi xato), ichki tarmoq tashqi tarmoqdan bevosita himoyasiz bo'ladi.
19.1 – rasm. Bitta xavfsizlik devori yordamida tuzilgan tarmoq
19.2 – rasm. Ikkita xavfsizlik devori yordamida tuzilgan tarmoq
DMZ ni yaratish uchun ikkita xavfsizlik devori qo'llanilganda yanada xavfsizroq
yondashuv hisoblanadi: ulardan biri tashqi tarmoqdan DMZ ga, ikkinchisi - DMZ dan ichki
tarmoqqa ulanishlarni boshqaradi. Bunday holda, ichki resurslarga muvaffaqiyatli hujum qilish
uchun ikkita qurilma buzilgan bo'lishi kerak. Bundan tashqari, tashqi ekranda sekinroq dastur
qatlamini filtrlash qoidalari sozlanishi mumkin, bu esa ichki segmentning ishlashiga salbiy taʼsir
koʻrsatmasdan mahalliy tarmoqning yaxshilangan himoyasini taʼminlaydi. Ikki xil ishlab
chiqaruvchining ikkita xavfsizlik devori va (afzal) turli arxitekturadan foydalanish orqali yanada
yuqori darajadagi himoya ta'minlanishi mumkin - bu ikkala qurilmaning bir xil zaiflikka ega
bo'lish ehtimolini kamaytiradi. Misol uchun, ikki xil ishlab chiqaruvchilarning interfeyslari
konfiguratsiyasida tasodifiy noto'g'ri konfiguratsiya kamroq sodir bo'ladi; bir sotuvchining
tizimida topilgan xavfsizlik teshigi boshqa sotuvchining tizimida tugash ehtimoli kamroq. Ushbu
arxitekturaning kamchiliklari yuqori narx hisoblanadi. Ba'zi SOHO-sinf marshrutizatorlari tashqi
tarmoqdan ichki serverlarga (DMZ xost yoki ochiq xost rejimi) kirishni ta'minlash funktsiyasiga
ega. Ushbu rejimda ular boshqa yo'l bilan tarjima qilinganlardan tashqari, barcha portlari ochiq
(himoyalanmagan) bo'lgan xostni ifodalaydi. Bu haqiqiy DMZ ta'rifiga to'liq mos kelmaydi,
chunki ochiq portlari bo'lgan server ichki tarmoqdan ajratilmagan. Ya'ni, DMZ xosti ichki
tarmoqdagi resurslarga erkin ulanishi mumkin, shu bilan birga, haqiqiy DMZ dan ichki tarmoqqa
ulanishlar, agar maxsus ruxsat berish qoidasi [K 1] bo'lmasa, ularni ajratuvchi xavfsizlik devori
tomonidan bloklanadi. DMZ xosti subnetting taqdim etadigan xavfsizlik afzalliklarining hech
birini ta'minlamaydi va ko'pincha barcha portlarni boshqa xavfsizlik devori yoki qurilmaga
yo'naltirishning oddiy usuli sifatida ishlatiladi.
Amaliyot ishi bo‘yicha topshiriqlar
1. Amaliy mashg‘ulotning nazariy qismida berilgan ma‘lumotlarni o‘rganadi.
2. DMZ (Demilitarized Zone) va uning ish prinsipi haqida o‘rganadi va tahlil qiladi va savollarga
javob beradi.
3. DMZ (Demilitarized Zone) sozlamalarini Cisco Packet tracer dasturi yordamida amalga
oshiradi.
Amaliyot ishini bajarish
20 - amaliyot ishining bajarilish tartibi hisobot ko‘rinishida tayyorlanadi va talaba tomonidan
amaliy mashg‘ulot nazariy qismida berilgan ma‘lumotlarini o‘rganadi, referat ko‘rinishida hisobot
tayyorlaydi va to‘plangan ma‘lumotlarini tahlil qilib beradi, savollarga javob beradi. DMZ
(Demilitarized Zone) sozlamalarini Cisco Packet tracer dasturi yordamida amalga oshiradi.
Foydalanilagan adabiyotlar:
1. N. Jo‘rayev B. A. Turg‘unov “ Keng polosali tarmoqlar ”
2. R.N. Radjapova. Keyingi avlodning konvergent tarmoqlari: o‘quv qo‘llanma. - TATU, 2016.
3. A.V. Roslyakov, S.V. Vanyashin, M.YU. Samsonov. I.V. Shibaeva, I.A. Chechnyova S28.
Seti sleduyuщego pokoleniya NGN /pod red. A.V. Roslyakova. - M.: Eko-Trendz, 2008.
21 – Amaliy mashg‘ulot. VPN tarmog‘i va uning ahamiyati haqida o‘rganish
Ishdan maqsad: VPN tarmog‘i va uning ahamiyati haqida o‘rganish
Nazariy qism
Virtual xususiy tarmoq (VPN) umumiy tarmoq boʻylab xususiy tarmoqni kengaytiradi va
foydalanuvchilarga oʻzlarining hisoblash qurilmalari bevosita xususiy tarmoqqa ulangandek
umumiy yoki umumiy tarmoqlar orqali maʼlumotlarni yuborish va qabul qilish imkonini beradi.[1]
VPN-ning afzalliklari orasida funksionallikni oshirish, xavfsizlik va xususiy tarmoqni boshqarish
kiradi. U umumiy tarmoqda mavjud bo'lmagan resurslarga kirishni ta'minlaydi va odatda
masofaviy ishchilar uchun ishlatiladi. VPN ulanishining ajralmas qismi bo'lmasa ham, shifrlash
keng tarqalgan. VPN maxsus sxemalar yoki mavjud tarmoqlar orqali tunnel protokollari
yordamida virtual nuqtadan nuqtaga ulanishni o'rnatish orqali yaratiladi. Umumiy Internetdan
foydalanish mumkin bo'lgan VPN keng maydon tarmog'ining (WAN) ba'zi afzalliklarini
ta'minlashi mumkin. Foydalanuvchi nuqtai nazaridan, xususiy tarmoq ichida mavjud resurslarga
masofadan kirish mumkin.
Virtual xususiy tarmoqlarni bir necha toifalarga bo'lish mumkin:
Masofaviy kirish. Xost-tarmoq konfiguratsiyasi kompyuterni mahalliy tarmoqqa ulashga
o'xshaydi. Ushbu tur korporativ tarmoqqa, masalan, intranetga kirishni ta'minlaydi. Bu xususiy
resurslarga kirishga muhtoj bo'lgan masofaviy ishchilar uchun yoki mobil ishchiga muhim
vositalarga umumiy Internetga kirmasdan foydalanish imkonini berish uchun ishlatilishi mumkin.
Saytdan saytga. Mazkur konfiguratsiya ikkita tarmoqni bog'laydi. Bunda tarmoqni
geografik jihatdan bir-biridan farq qiluvchi ofislar yoki bir guruh ofislar bo'ylab ma'lumotlar
markazini o'rnatishgacha kengaytiradi. O'zaro bog'lovchi havola bir xil bo'lmagan oraliq tarmoq
orqali ishlashi mumkin, masalan, IPv4 tarmog'i orqali ulangan ikkita IPv6 tarmog'i.
Ekstranetga asoslangan saytdan saytga. Saytdan saytga konfiguratsiyalar kontekstida
intranet va extranet atamalari ikki xil foydalanish holatlarini tavsiflash uchun ishlatiladi.[5]
Intranet saytdan saytga VPN VPN orqali ulangan saytlar bir tashkilotga tegishli bo'lgan
konfiguratsiyani tavsiflaydi, ekstranet saytdan saytga VPN esa bir nechta tashkilotlarga tegishli
saytlarni birlashtiradi.
21.1 – rasm. VPN ulanishining umumiy ko'rinishi,
Intranet saytdan saytga va birgalikda ishlatiladigan masofaviy ish konfiguratsiyalarini
ko'rsatadi. Odatda, jismoniy shaxslar masofaviy ulanish VPN-lari bilan o'zaro aloqada bo'lishadi,
holbuki korxonalar biznes-biznes, bulutli hisoblash va filiallar stsenariylari uchun saytdan saytga
ulanishdan foydalanadilar. Shunga qaramay, ushbu texnologiyalar bir-birini istisno qilmaydi va
sezilarli darajada murakkab biznes tarmog'ida ma'lumotlar markazida joylashgan buyurtma
tizimi kabi istalgan saytdagi resurslarga masofadan kirishni ta'minlash uchun birlashtirilishi
mumkin.
VPN tizimlarini quyidagilar bo'yicha tasniflash mumkin:
- Tunnellash protokoli transportni tunnel qilish uchun ishlatiladi
- Tunnelning tugatish nuqtasi joylashuvi, masalan, mijoz chekkasida yoki tarmoq
provayderining chekkasida
- Ulanishlar topologiyasining turi, masalan, saytdan saytga yoki tarmoqdan tarmoqqa
- Ta'minlangan xavfsizlik darajalari
- Ular ulanish tarmog'iga taqdim etadigan OSI qatlami, masalan, Layer 2 davrlari yoki
Layer 3 tarmoq ulanishi
- Bir vaqtning o'zida ulanishlar soni
21.2 – rasm. Virtual xususiy tarmoqdagi IPSec tunnelining real aylanish bosqichlari.
VPN-lar onlayn ulanishlarni butunlay anonim qila olmaydi, lekin ular maxfiylik va
xavfsizlikni oshirishi mumkin. Maxfiy ma'lumotlarning oshkor etilishi yoki ma'lumotlarning
o'chirilishining oldini olish uchun VPN'lar odatda tunnel protokollari va xavfsiz shifrlash
usullaridan foydalangan holda faqat autentifikatsiya qilingan masofadan kirishga ruxsat beradi.
Amaliyot ishi bo‘yicha topshiriqlar
1. Amaliy mashg‘ulotning nazariy qismida berilgan ma‘lumotlarni o‘rganadi.
2. Virtual hususiy tarmoq va uning ish prinsipi haqida o‘rganadi va tahlil qiladi va savollarga javob
beradi.
Amaliyot ishini bajarish
21 - amaliyot ishining bajarilish tartibi hisobot ko‘rinishida tayyorlanadi va talaba tomonidan
amaliy mashg‘ulot nazariy qismida berilgan ma‘lumotlarini o‘rganadi, referat ko‘rinishida hisobot
tayyorlaydi va to‘plangan ma‘lumotlarini tahlil qilib beradi, savollarga javob beradi.
Foydalanilagan adabiyotlar:
1. N. Jo‘rayev B. A. Turg‘unov “ Keng polosali tarmoqlar ”
2. R.N. Radjapova. Keyingi avlodning konvergent tarmoqlari: o‘quv qo‘llanma. - TATU, 2016.
3. A.V. Roslyakov, S.V. Vanyashin, M.YU. Samsonov. I.V. Shibaeva, I.A. Chechnyova S28.
Seti sleduyuщego pokoleniya NGN /pod red. A.V. Roslyakova. - M.: Eko-Trendz, 2008.
22 – Amaliy mashg‘ulot. VPN tarmog‘i sozlamalarini o‘rganish
Ishdan maqsad: VPN tarmog‘i sozlamalarini Cisco packet tracer dasturida o‘rganish
Nazariy qism
Virtual xususiy tarmoq (VPN) umumiy tarmoq boʻylab xususiy tarmoqni kengaytiradi va
foydalanuvchilarga oʻzlarining hisoblash qurilmalari bevosita xususiy tarmoqqa ulangandek
umumiy yoki umumiy tarmoqlar orqali maʼlumotlarni yuborish va qabul qilish imkonini beradi.[1]
VPN-ning afzalliklari orasida funksionallikni oshirish, xavfsizlik va xususiy tarmoqni boshqarish
kiradi. U umumiy tarmoqda mavjud bo'lmagan resurslarga kirishni ta'minlaydi va odatda
masofaviy ishchilar uchun ishlatiladi. VPN ulanishining ajralmas qismi bo'lmasa ham, shifrlash
keng tarqalgan. VPN maxsus sxemalar yoki mavjud tarmoqlar orqali tunnel protokollari
yordamida virtual nuqtadan nuqtaga ulanishni o'rnatish orqali yaratiladi. Umumiy Internetdan
foydalanish mumkin bo'lgan VPN keng maydon tarmog'ining (WAN) ba'zi afzalliklarini
ta'minlashi mumkin. Foydalanuvchi nuqtai nazaridan, xususiy tarmoq ichida mavjud resurslarga
masofadan kirish mumkin.
Virtual xususiy tarmoqlarni bir necha toifalarga bo'lish mumkin:
Masofaviy kirish. Xost-tarmoq konfiguratsiyasi kompyuterni mahalliy tarmoqqa ulashga
o'xshaydi. Ushbu tur korporativ tarmoqqa, masalan, intranetga kirishni ta'minlaydi. Bu xususiy
resurslarga kirishga muhtoj bo'lgan masofaviy ishchilar uchun yoki mobil ishchiga muhim
vositalarga umumiy Internetga kirmasdan foydalanish imkonini berish uchun ishlatilishi mumkin.
Saytdan saytga. Mazkur konfiguratsiya ikkita tarmoqni bog'laydi. Bunda tarmoqni
geografik jihatdan bir-biridan farq qiluvchi ofislar yoki bir guruh ofislar bo'ylab ma'lumotlar
markazini o'rnatishgacha kengaytiradi. O'zaro bog'lovchi havola bir xil bo'lmagan oraliq tarmoq
orqali ishlashi mumkin, masalan, IPv4 tarmog'i orqali ulangan ikkita IPv6 tarmog'i.
Ekstranetga asoslangan saytdan saytga. Saytdan saytga konfiguratsiyalar kontekstida
intranet va extranet atamalari ikki xil foydalanish holatlarini tavsiflash uchun ishlatiladi.[5]
Intranet saytdan saytga VPN VPN orqali ulangan saytlar bir tashkilotga tegishli bo'lgan
konfiguratsiyani tavsiflaydi, ekstranet saytdan saytga VPN esa bir nechta tashkilotlarga tegishli
saytlarni birlashtiradi.
21.1 – rasm. VPN ulanishining umumiy ko'rinishi,
Intranet saytdan saytga va birgalikda ishlatiladigan masofaviy ish konfiguratsiyalarini
ko'rsatadi. Odatda, jismoniy shaxslar masofaviy ulanish VPN-lari bilan o'zaro aloqada bo'lishadi,
holbuki korxonalar biznes-biznes, bulutli hisoblash va filiallar stsenariylari uchun saytdan saytga
ulanishdan foydalanadilar. Shunga qaramay, ushbu texnologiyalar bir-birini istisno qilmaydi va
sezilarli darajada murakkab biznes tarmog'ida ma'lumotlar markazida joylashgan buyurtma tizimi
kabi istalgan saytdagi resurslarga masofadan kirishni ta'minlash uchun birlashtirilishi mumkin.
VPN tizimlarini quyidagilar bo'yicha tasniflash mumkin:
- Tunnellash protokoli transportni tunnel qilish uchun ishlatiladi
- Tunnelning tugatish nuqtasi joylashuvi, masalan, mijoz chekkasida yoki tarmoq
provayderining chekkasida
- Ulanishlar topologiyasining turi, masalan, saytdan saytga yoki tarmoqdan tarmoqqa
- Ta'minlangan xavfsizlik darajalari
- Ular ulanish tarmog'iga taqdim etadigan OSI qatlami, masalan, Layer 2 davrlari yoki
Layer 3 tarmoq ulanishi
- Bir vaqtning o'zida ulanishlar soni
21.2 – rasm. Virtual xususiy tarmoqdagi IPSec tunnelining real aylanish bosqichlari.
VPN-lar onlayn ulanishlarni butunlay anonim qila olmaydi, lekin ular maxfiylik va
xavfsizlikni oshirishi mumkin. Maxfiy ma'lumotlarning oshkor etilishi yoki ma'lumotlarning
o'chirilishining oldini olish uchun VPN'lar odatda tunnel protokollari va xavfsiz shifrlash
usullaridan foydalangan holda faqat autentifikatsiya qilingan masofadan kirishga ruxsat beradi.
Amaliyot ishi bo‘yicha topshiriqlar
1. Amaliy mashg‘ulotning nazariy qismida berilgan ma‘lumotlarni o‘rganadi.
2. Virtual hususiy tarmoq va uning ish prinsipi haqida o‘rganadi va tahlil qiladi va savollarga javob
beradi.
3. Virtual hususiy tarmoq qurish va uning sozlamalarini Cisco packet tracer dasturida amalga
oshiradi
Amaliyot ishini bajarish
22 - amaliyot ishining bajarilish tartibi hisobot ko‘rinishida tayyorlanadi va talaba tomonidan
amaliy mashg‘ulot nazariy qismida berilgan ma‘lumotlarini o‘rganadi, referat ko‘rinishida hisobot
tayyorlaydi va to‘plangan ma‘lumotlarini tahlil qilib beradi, savollarga javob beradi. Virtual
hususiy tarmoq qurish va uning sozlamalarini Cisco packet tracer dasturida amalga oshiradi
Foydalanilagan adabiyotlar:
1. N. Jo‘rayev B. A. Turg‘unov “ Keng polosali tarmoqlar ”
2. R.N. Radjapova. Keyingi avlodning konvergent tarmoqlari: o‘quv qo‘llanma. - TATU, 2016.
3. A.V. Roslyakov, S.V. Vanyashin, M.YU. Samsonov. I.V. Shibaeva, I.A. Chechnyova S28.
Seti sleduyuщego pokoleniya NGN /pod red. A.V. Roslyakova. - M.: Eko-Trendz, 2008.
23 – Amaliy mashg‘ulot. Syslog va NTP protokollari ishlash prinsipini o‘rganish
Ishdan maqsad: Syslog va NTP protokollari sozlamalarini Cisco packet tracer dasturi
yordamida o‘rganish
Nazariy qism
Hisoblashda syslog /ˈsɪslɒɡ/ xabarlarni yozish uchun standart hisoblanadi. Bu xabarlarni
yaratuvchi dasturiy ta'minotni, ularni saqlaydigan tizimni va hisobot beruvchi va tahlil qiluvchi
dasturiy ta'minotni ajratish imkonini beradi. Har bir xabar xabarni yaratuvchi tizim turini
ko'rsatuvchi ob'ekt kodi bilan etiketlanadi va jiddiylik darajasi bilan belgilanadi. Kompyuter tizimi
dizaynerlari tizim boshqaruvi va xavfsizlik auditi, shuningdek, umumiy axborot, tahlil va disk
raskadrovka xabarlari uchun syslogdan foydalanishlari mumkin. Ko'pgina platformalarda
printerlar, marshrutizatorlar va xabarlarni qabul qiluvchilar kabi turli xil qurilmalar syslog
standartidan foydalanadi. Bu markaziy omborda har xil turdagi tizimlardan jurnal ma'lumotlarini
birlashtirishga imkon beradi.
Ko'pgina operatsion tizimlar uchun syslogni amalga oshirish mavjud. Tarmoq orqali
ishlaganda, syslog mijoz-server arxitekturasidan foydalanadi, bu erda syslog serveri mijozlardan
kelgan xabarlarni tinglaydi va jurnalga kiritadi. Favqulodda vaziyat va nosozliklarni tuzatishdan
tashqari jiddiylik darajalarining ma'nosi ilovaga nisbatan. Misol uchun, agar tizimning maqsadi
mijozlar hisobi balansi ma'lumotlarini yangilash uchun tranzaktsiyalarni qayta ishlash bo'lsa,
yakuniy bosqichdagi xatoga Ogohlantirish darajasi tayinlanishi kerak. Biroq, mijozning pochta
indeksini ko'rsatishga urinishda yuzaga kelgan xatoga Xato yoki hatto Ogohlantirish darajasi
tayinlanishi mumkin. Yaratilgan jurnal xabarlari konsol, fayllar, masofaviy tizim serverlari yoki
o'rni kabi turli maqsadlarga yo'naltirilishi mumkin. Aksariyat ilovalar jurnalga xabarlarni jo'natish
uchun ko'pincha logger deb ataladigan buyruq qatori yordam dasturini hamda dasturiy ta'minot
kutubxonasini taqdim etadi. Yig'ilgan jurnallarni ko'rsatish va nazorat qilish uchun mijoz
ilovasidan foydalanish yoki to'g'ridan-to'g'ri tizimda jurnal fayliga kirish kerak. Asosiy buyruq
qatori vositalari - tail va grep. Jurnal serverlari jurnallarni tarmoq orqali yuborish uchun sozlanishi
mumkin (mahalliy fayllarga qo'shimcha ravishda). Ba'zi ilovalar syslog xabarlarini filtrlash va
ko'rsatish uchun hisobot dasturlarini o'z ichiga oladi.
Tarmoq orqali ishlaganda, syslog mijoz-server arxitekturasidan foydalanadi, bunda server
mijozlarning protokol so'rovlari uchun taniqli yoki ro'yxatdan o'tgan portni tinglaydi. Tarixan
tarmoq jurnalini yozish uchun eng keng tarqalgan transport sathi protokoli server 514-portni
tinglagan holda User Datagram Protocol (UDP) boʻlgan.[16] UDPda tiqilib qolishni boshqarish
mexanizmlari yo'qligi sababli, Transmission Control Protocol (TCP) porti 6514 ishlatiladi;
Transport qatlami xavfsizligi ham amalga oshirishda talab qilinadi va umumiy foydalanish uchun
tavsiya etiladi. Har bir jarayon, dastur va operatsion tizim mustaqil ravishda yozilganligi sababli,
jurnal xabarining foydali yukida bir xillik kam. Shu sababli, uning formatlanishi yoki mazmuni
haqida hech qanday taxmin qilinmaydi. Syslog xabari formatlangan (RFC 5424 kengaytirilgan
Backus-Naur shakli (ABNF) ta'rifini beradi), lekin uning MSG maydoni emas.
NTP (Network Time Protocol) - bu o'zgaruvchan kechikish tarmoqlari yordamida
kompyuterning ichki soatini sinxronlashtirish uchun tarmoq protokoli. Protokol 1985 yilda
Delaver universiteti professori Devid L. Mills [en] tomonidan ishlab chiqilgan. 2015 versiyasi
NTPv4. NTP tizimi media kechikishidagi o'zgarishlarga juda chidamli. 4-versiyada u Internet
orqali ishlaganda 10 ms (1/100 s), mahalliy tarmoqlarda esa 0,2 ms (1/5000 s) va undan yuqori
aniqlikka erisha oladi.
NTP protokoli eng ko'p aniq vaqt serverlarini sinxronlashtirish uchun ishlatiladi. Maksimal
aniqlik uchun NTP dasturini har doim tizimga xizmat ko'rsatish rejimida ishlatish afzaldir.
Microsoft Windows operatsion tizimlari oilasida bu W32Time[3] xizmati, Linuxda esa Ntpd[4]
demoni yoki chronyd.
Ushbu algoritmning soddaroq bajarilishi SNTP, Simple Network Time Protocol deb
nomlanadi. U yuqori aniqlikni talab qilmaydigan o'rnatilgan tizimlar va qurilmalarda, shuningdek,
maxsus vaqt dasturlarida qo'llaniladi.
Amaliyot ishi bo‘yicha topshiriqlar
1. Amaliy mashg‘ulotning nazariy qismida berilgan ma‘lumotlarni o‘rganadi.
2. Syslog va NTP protokollari ishlash prinsipini haqida o‘rganadi va tahlil qiladi va savollarga
javob beradi.
Amaliyot ishini bajarish
23 - amaliyot ishining bajarilish tartibi hisobot ko‘rinishida tayyorlanadi va talaba tomonidan
amaliy mashg‘ulot nazariy qismida berilgan ma‘lumotlarini o‘rganadi, referat ko‘rinishida hisobot
tayyorlaydi va to‘plangan ma‘lumotlarini tahlil qilib beradi, savollarga javob beradi.
Foydalanilagan adabiyotlar:
1. N. Jo‘rayev B. A. Turg‘unov “ Keng polosali tarmoqlar ”
2. R.N. Radjapova. Keyingi avlodning konvergent tarmoqlari: o‘quv qo‘llanma. - TATU, 2016.
3. A.V. Roslyakov, S.V. Vanyashin, M.YU. Samsonov. I.V. Shibaeva, I.A. Chechnyova S28.
Seti sleduyuщego pokoleniya NGN /pod red. A.V. Roslyakova. - M.: Eko-Trendz, 2008.
24 – Amaliy mashg‘ulot. Syslog va NTP protokollari sozlamalarini o‘rganish
Ishdan maqsad: Syslog va NTP protokollari sozlamalarini Cisco packet tracer dasturi
yordamida o‘rganish
Nazariy qism
Hisoblashda syslog /ˈsɪslɒɡ/ xabarlarni yozish uchun standart hisoblanadi. Bu xabarlarni
yaratuvchi dasturiy ta'minotni, ularni saqlaydigan tizimni va hisobot beruvchi va tahlil qiluvchi
dasturiy ta'minotni ajratish imkonini beradi. Har bir xabar xabarni yaratuvchi tizim turini
ko'rsatuvchi ob'ekt kodi bilan etiketlanadi va jiddiylik darajasi bilan belgilanadi. Kompyuter tizimi
dizaynerlari tizim boshqaruvi va xavfsizlik auditi, shuningdek, umumiy axborot, tahlil va disk
raskadrovka xabarlari uchun syslogdan foydalanishlari mumkin. Ko'pgina platformalarda
printerlar, marshrutizatorlar va xabarlarni qabul qiluvchilar kabi turli xil qurilmalar syslog
standartidan foydalanadi. Bu markaziy omborda har xil turdagi tizimlardan jurnal ma'lumotlarini
birlashtirishga imkon beradi.
Ko'pgina operatsion tizimlar uchun syslogni amalga oshirish mavjud. Tarmoq orqali
ishlaganda, syslog mijoz-server arxitekturasidan foydalanadi, bu erda syslog serveri mijozlardan
kelgan xabarlarni tinglaydi va jurnalga kiritadi. Favqulodda vaziyat va nosozliklarni tuzatishdan
tashqari jiddiylik darajalarining ma'nosi ilovaga nisbatan. Misol uchun, agar tizimning maqsadi
mijozlar hisobi balansi ma'lumotlarini yangilash uchun tranzaktsiyalarni qayta ishlash bo'lsa,
yakuniy bosqichdagi xatoga Ogohlantirish darajasi tayinlanishi kerak. Biroq, mijozning pochta
indeksini ko'rsatishga urinishda yuzaga kelgan xatoga Xato yoki hatto Ogohlantirish darajasi
tayinlanishi mumkin. Yaratilgan jurnal xabarlari konsol, fayllar, masofaviy tizim serverlari yoki
o'rni kabi turli maqsadlarga yo'naltirilishi mumkin. Aksariyat ilovalar jurnalga xabarlarni jo'natish
uchun ko'pincha logger deb ataladigan buyruq qatori yordam dasturini hamda dasturiy ta'minot
kutubxonasini taqdim etadi. Yig'ilgan jurnallarni ko'rsatish va nazorat qilish uchun mijoz
ilovasidan foydalanish yoki to'g'ridan-to'g'ri tizimda jurnal fayliga kirish kerak. Asosiy buyruq
qatori vositalari - tail va grep. Jurnal serverlari jurnallarni tarmoq orqali yuborish uchun sozlanishi
mumkin (mahalliy fayllarga qo'shimcha ravishda). Ba'zi ilovalar syslog xabarlarini filtrlash va
ko'rsatish uchun hisobot dasturlarini o'z ichiga oladi.
Tarmoq orqali ishlaganda, syslog mijoz-server arxitekturasidan foydalanadi, bunda server
mijozlarning protokol so'rovlari uchun taniqli yoki ro'yxatdan o'tgan portni tinglaydi. Tarixan
tarmoq jurnalini yozish uchun eng keng tarqalgan transport sathi protokoli server 514-portni
tinglagan holda User Datagram Protocol (UDP) boʻlgan.[16] UDPda tiqilib qolishni boshqarish
mexanizmlari yo'qligi sababli, Transmission Control Protocol (TCP) porti 6514 ishlatiladi;
Transport qatlami xavfsizligi ham amalga oshirishda talab qilinadi va umumiy foydalanish uchun
tavsiya etiladi. Har bir jarayon, dastur va operatsion tizim mustaqil ravishda yozilganligi sababli,
jurnal xabarining foydali yukida bir xillik kam. Shu sababli, uning formatlanishi yoki mazmuni
haqida hech qanday taxmin qilinmaydi. Syslog xabari formatlangan (RFC 5424 kengaytirilgan
Backus-Naur shakli (ABNF) ta'rifini beradi), lekin uning MSG maydoni emas.
NTP (Network Time Protocol) - bu o'zgaruvchan kechikish tarmoqlari yordamida
kompyuterning ichki soatini sinxronlashtirish uchun tarmoq protokoli. Protokol 1985 yilda
Delaver universiteti professori Devid L. Mills [en] tomonidan ishlab chiqilgan. 2015 versiyasi
NTPv4. NTP tizimi media kechikishidagi o'zgarishlarga juda chidamli. 4-versiyada u Internet
orqali ishlaganda 10 ms (1/100 s), mahalliy tarmoqlarda esa 0,2 ms (1/5000 s) va undan yuqori
aniqlikka erisha oladi.
NTP protokoli eng ko'p aniq vaqt serverlarini sinxronlashtirish uchun ishlatiladi. Maksimal
aniqlik uchun NTP dasturini har doim tizimga xizmat ko'rsatish rejimida ishlatish afzaldir.
Microsoft Windows operatsion tizimlari oilasida bu W32Time[3] xizmati, Linuxda esa Ntpd[4]
demoni yoki chronyd.
Ushbu algoritmning soddaroq bajarilishi SNTP, Simple Network Time Protocol deb
nomlanadi. U yuqori aniqlikni talab qilmaydigan o'rnatilgan tizimlar va qurilmalarda, shuningdek,
maxsus vaqt dasturlarida qo'llaniladi.
Amaliyot ishi bo‘yicha topshiriqlar
1. Amaliy mashg‘ulotning nazariy qismida berilgan ma‘lumotlarni o‘rganadi.
2. Syslog va NTP protokollari ishlash prinsipini haqida o‘rganadi va tahlil qiladi va savollarga
javob beradi.
3. Syslog va NTP protokollari sozlamalarini Cisco Packet tracer dasturida sozlamalarini amalga
oshiradi
Amaliyot ishini bajarish
24 - amaliyot ishining bajarilish tartibi hisobot ko‘rinishida tayyorlanadi va talaba
tomonidan amaliy mashg‘ulot nazariy qismida berilgan ma‘lumotlarini o‘rganadi, referat
ko‘rinishida hisobot tayyorlaydi va to‘plangan ma‘lumotlarini tahlil qilib beradi, savollarga javob
beradi. Syslog va NTP protokollari sozlamalarini Cisco Packet tracer dasturida sozlamalarini
amalga oshiradi
Foydalanilagan adabiyotlar:
1. N. Jo‘rayev B. A. Turg‘unov “ Keng polosali tarmoqlar ”
2. R.N. Radjapova. Keyingi avlodning konvergent tarmoqlari: o‘quv qo‘llanma. - TATU, 2016.
3. A.V. Roslyakov, S.V. Vanyashin, M.YU. Samsonov. I.V. Shibaeva, I.A. Chechnyova S28.
Seti sleduyuщego pokoleniya NGN /pod red. A.V. Roslyakova. - M.: Eko-Trendz, 2008.