OʻZBEKISTON RESPUBLIKASI OLIY TA’LIM, FAN VA INNOVATSIYALAR VAZIRLIGI MIRZO ULUG‘BEK NOMIDAGI OʻZBEKISTON MILLIY UNIVERSITETINING JIZZAX FILIALI AMALIY MATEMATIKA FAKULTETI «KOMPYUTER ILMLARI VA DASTURLASHTIRISH» kafedrasi “AXBOROTNI HIMOYALASHNING KRIPTOGRAFIK USULLARI” FANIDAN 7-TOPSHIRIQ Mavzu: Oʻzaro autentifikatsiya protokollari Bajardi: “60610300-Axborot xavfsizligi (sohalar bo‘yicha)” ta’lim yo‘nalishi 3kurs 30-21- guruh talabasi . TALIYEV ABDUHALIL Tekshirdi: BARATOV J Jizzax – 2024 Secure Shell (SSH) protokoli nima? Secure Shell (SSH) protokoli himoyalanmagan tarmoq orqali kompyuterga buyruqlarni xavfsiz yuborish usulidir. SSH qurilmalar orasidagi ulanishlarni autentifikatsiya qilish va shifrlash uchun kriptografiyadan foydalanadi. SSH shuningdek, tunnel o'tkazish yoki portni yo'naltirish imkonini beradi , ya'ni ma'lumotlar paketlari boshqa yo'l bilan kesib o'ta olmaydigan tarmoqlarni kesib o'tishga qodir. SSH ko'pincha serverlarni masofadan boshqarish, infratuzilmani boshqarish va fayllarni uzatish uchun ishlatiladi. Sayohat paytida do'kon egasi o'z xodimlariga uzoqdan ko'rsatmalar berishi mumkin, ular yo'q bo'lganda do'kon muammosiz ishlashini ta'minlaydi. Xuddi shunday, SSH ham ma'murlarga serverlar va qurilmalarni uzoqdan boshqarishga imkon beradi. Telnet kabi eski masofaviy boshqaruv protokollari ma'murlarning buyruqlarini har kim ko'rishi mumkin bo'lgan shaklda uzatdi. (Tasavvur qiling, agar xodimlar qo'ng'iroq paytida do'kon egasini karnayga qo'ygan bo'lsa; do'kondagi barcha mijozlar shaxsiy ko'rsatmalarni eshitishlari mumkin.) Telnetdan farqli o'laroq, SSH xavfsiz - shuning uchun Secure Shell nomi. SSH nima qiladi? Masofaviy shifrlangan ulanishlar: SSH foydalanuvchi qurilmasi va uzoqdagi mashina, ko'pincha server o'rtasida ulanishni o'rnatadi. U ulanishni kesib o'tadigan ma'lumotlarni shifrlash uchun shifrlashdan foydalanadi. To'xtatuvchi tomon faqat statik - tasodifiy ma'lumotlarga o'xshash narsani topadi, agar ular shifrlanmagan bo'lsa, hech narsani anglatmaydi. (SSH shifrlash usullaridan foydalanadi, bu esa begonalar uchun shifrni ochishni juda qiyinlashtiradi.) Tunnel qilish qobiliyati: Tarmoqqa ulanishda tunnellash odatda foydalana olmaydigan protokol yoki yo'l yordamida paketlarni tarmoq bo'ylab ko'chirish usulidir. Tunnellash maʼlumotlar paketlarini* qoʻshimcha maʼlumotlarga (sarlavhalar deb ataladi) oʻrash orqali, ularning manzilini oʻzgartirish orqali ishlaydi. SSH tunnellari paketlarni bir mashinadan boshqasiga yuborish uchun portni yo'naltirish deb ataladigan texnikadan foydalanadi. Portni yo'naltirish quyida batafsilroq tushuntiriladi. *Tarmoqni kesib o'tuvchi barcha ma'lumotlar kichikroq bo'laklarga bo'linadi; bu bo'laklar "paketlar" deb ataladi. SSH qanday ishlaydi? TCP/IP SSH TCP/IP protokollar to'plamining tepasida ishlaydi - bu Internetning ko'p qismiga tayanadi. TCP qisqartmasi Transmission Control Protocol, IP esa Internet Protocol degan ma'noni anglatadi . TCP/IP paketlarni formatlash, yo'naltirish va etkazib berish uchun ushbu ikkita protokolni juftlashtiradi. IP boshqa ma'lumotlar bilan bir qatorda paket qaysi IP-manzilga o'tishi kerakligini ko'rsatadi (pochta manzilini o'ylab ko'ring), TCP esa har bir IP-manzilda paket qaysi portga o'tishi kerakligini ko'rsatadi (bino qavatini yoki kvartira raqamini o'ylab ko'ring). . TCP - bu transport qatlami protokoli: u ma'lumotlar paketlarini tashish va etkazib berish bilan bog'liq. Odatda, uzatiladigan ma'lumotlarni ilovalar foydalanishi mumkin bo'lgan shaklga joylashtirish uchun TCP/IP tepasida qo'shimcha protokollar qo'llaniladi. SSH ana shunday protokollardan biridir. (Boshqa misollar orasida HTTP, FTP va SMTP mavjud.) Ochiq kalit kriptografiyasi SSH "xavfsiz", chunki u ochiq kalit kriptografiyasi deb ataladigan jarayon orqali shifrlash va autentifikatsiyani o'z ichiga oladi. Ochiq kalit kriptografiyasi - bu ikki xil kalit bilan ma'lumotlarni shifrlash yoki ma'lumotlarni imzolash usuli. Kalitlardan biri, ochiq kalit har kim foydalanishi mumkin. Boshqa kalit, shaxsiy kalit, uning egasi tomonidan sir saqlanadi. Ikkala kalit bir-biriga mos kelganligi sababli, kalit egasining identifikatorini aniqlash uchun ochiq kalit bilan birga keladigan shaxsiy kalitga ega bo'lishni talab qiladi. Ushbu "assimetrik" kalitlar - ular turli qiymatlarga ega bo'lgani uchun shunday deb nomlanadi - shuningdek, ulanishning ikki tomoniga kanal orqali keyingi shifrlash uchun bir xil, umumiy simmetrik kalitlarni muhokama qilish imkonini beradi. Ushbu muzokaralar tugallangandan so'ng, tomonlar almashadigan ma'lumotlarni shifrlash uchun simmetrik kalitlardan foydalanadilar. SSH ulanishida ikkala tomon ham umumiy/maxfiy kalit juftligiga ega va har bir tomon bu kalitlar yordamida boshqasini autentifikatsiya qiladi. Bu SSH ni HTTPS dan farq qiladi , bu ko'pchilik ilovalarda faqat mijoz-server ulanishidagi veb-serverning identifikatorini tekshiradi. (Boshqa farqlar orasida HTTPS odatda mijozga serverning buyruq qatoriga kirishga ruxsat bermaydi va xavfsizlik devorlari ba'zan SSH-ni bloklaydi, lekin HTTPS-ni deyarli bloklamaydi.) Autentifikatsiya Ochiq kalit kriptografiyasi SSH-da ulangan qurilmalarni autentifikatsiya qilsa-da, to'g'ri himoyalangan kompyuter hali ham SSH-dan foydalanadigan shaxsdan autentifikatsiyani talab qiladi. Ko'pincha bu foydalanuvchi nomi va parolni kiritish shaklida bo'ladi. Autentifikatsiya tugallangandan so'ng, odam masofaviy kompyuterda buyruqlarni xuddi o'zining mahalliy mashinasida bajarayotgandek bajarishi mumkin. SSH tunnellash yoki "portni yo'naltirish" Portni yo'naltirish ikki kishi o'rtasida xabarni yo'naltirishga o'xshaydi. Bob Elisga xabar yuborishi mumkin, u o'z navbatida uni Deyvga uzatadi. Xuddi shunday, portni yo'naltirish bir mashinadagi IP manzilga va portga yo'naltirilgan ma'lumotlar paketlarini boshqa mashinadagi IP manzilga va portga yuboradi. Misol uchun, ma'mur o'zi boshqaradigan shaxsiy tarmoq ichidagi serverga o'zgartirish kiritishni xohlayotganini tasavvur qiling va ular buni uzoq joydan qilishni xohlaydi. Biroq, xavfsizlik nuqtai nazaridan, ushbu server faqat shaxsiy tarmoq ichidagi boshqa kompyuterlardan ma'lumotlar paketlarini oladi. Buning o'rniga administrator tarmoq ichidagi ikkinchi serverga ulanishi mumkin - u Internet-trafikni qabul qilish uchun ochiq va keyin birinchi serverga ulanish uchun SSH portini yo'naltirishdan foydalanishi mumkin. Birinchi server nuqtai nazaridan administratorning ma'lumotlar paketlari xususiy tarmoq ichidan keladi. SSH dan foydalanish Linux va Mac operatsion tizimlari o'rnatilgan SSH bilan birga keladi. Windows mashinalarida SSH mijoz ilovasi o'rnatilgan bo'lishi kerak. Mac va Linux kompyuterlarida foydalanuvchilar Terminal ilovasini ochib, bevosita SSH buyruqlarini kiritishlari mumkin. SSH nima uchun ishlatiladi? Texnik jihatdan, SSH har qanday o'zboshimchalik bilan ma'lumotlarni tarmoq orqali uzatishi mumkin va SSH tunnelini ko'p sonli maqsadlar uchun sozlash mumkin. Biroq, eng keng tarqalgan SSH foydalanish holatlari: • Serverlar, infratuzilma va xodimlar kompyuterlarini masofadan boshqarish • Fayllarni xavfsiz uzatish (SSH FTP kabi shifrlanmagan protokollarga qaraganda xavfsizroq) • Mahalliy mashinaning portlarini Internetga ta'sir qilmasdan bulutdagi xizmatlarga kirish • Shaxsiy tarmoqdagi xizmatlarga masofadan ulanish • Xavfsizlik devori cheklovlarini chetlab o'tish SSH qaysi portdan foydalanadi? Port 22 SSH uchun standart port hisoblanadi. Ba'zida xavfsizlik devorlari xavfsizlik devori orqasidagi serverlardagi ma'lum portlarga kirishni bloklashi mumkin, lekin 22-portni ochiq qoldiradi. Shuning uchun SSH xavfsizlik devorining boshqa tomonidagi serverlarga kirish uchun foydalidir: 22-portga yo'naltirilgan paketlar bloklanmaydi va keyin istalgan boshqa portga yo'naltirilishi mumkin. SSH bilan bog'liq har qanday xavfsizlik xavfi bormi? Har qanday protokol zararli tomonlar tomonidan suiiste'mol qilinishi mumkin va SSH ning shifrlangan tabiati va tunnel qilish qobiliyati uni tajovuzkorlar uchun ayniqsa jozibador qiladi. SSH bir qator hujjatlashtirilgan hujumlarda shaxsiy ma'lumotlarni olish, xavfsiz tarmoqqa orqa eshik marshrutlarini ochish va hatto serverlarda ildizga kirish uchun ishlatilgan. Ba'zi turdagi hujumlar shaxsiy kompyuterlar va serverlarga kirish uchun SSH kalitlarini ham o'g'irlashi mumkin. Aslida, SSH kalitlarini boshqarish yirik tashkilotlar uchun asosiy xavfsizlik muammosidir, chunki ularning ko'p serverlari minglab yoki hatto millionlab kalitlardan foydalanishi mumkin va bu kalitlarni kuzatish va yangilash deyarli imkonsizdir. Buzg'unchi kalitni qo'lga kiritgandan so'ng, ular oylar yoki yillar davomida doimiy kirish huquqiga ega bo'lishi mumkin. SSH tunnel o'tkazish uchun boshqa protokollardan qanday farq qiladi? SSH va boshqa tunnel protokollari o'rtasidagi asosiy farqlardan biri ular ishlaydigan OSI qatlamidir . GRE , IP-in-IP va IPsec barcha tarmoq sathi protokollaridir. Shunday qilib, ular IP manzillar o'rtasida ishlash o'rniga portlar (transport qatlami tushunchasi) haqida bilishmaydi. (SSH ning aniq OSI qatlami aniq belgilanmagan, lekin ko'pchilik manbalar uni qatlam 7 /ilova qatlami protokoli sifatida tasvirlaydi.) Yana bir farq - SSH-ning TCP-dan foydalanishi. TCP, yuqorida aytib o'tilganidek, transport qatlami protokoli bo'lib, Internetda ishlatiladigan asosiylaridan biridir. Yana bir keng tarqalgan transport qatlami protokoli UDP, User Datagram Protocol . UDP - bu "eng yaxshi harakat" transport protokoli - paketlarni etkazib berishni ta'minlamasdan yuborish - bu uni tezroq qiladi, lekin ba'zida paketlarning yo'qolishiga olib keladi. TCP UDP dan sekinroq bo'lsa-da, u barcha paketlarni tartibda yetkazib berishni kafolatlaydi va shuning uchun ishonchliroqdir. IPsec paketlarining xavfsizlik devorlari orqali o'tishini ta'minlash uchun IPsec faqat TCP o'rniga UDP dan foydalanadi. Shuning uchun, IPsec tunnellari odatda SSH tunnellariga qaraganda tezroq, lekin tranzitda paketlarni yo'qotishi mumkin. GRE va IP-in-IP TCP yoki UDP bilan ishlatilishi mumkin. Nihoyat, SSH bir vaqtning o'zida faqat bitta ilovani shifrlaydi, qurilmaga va qurilmadan barcha trafik ketmaydi. Bu SSH-ni IPsec-dan ajratib turadi, u qaysi dasturdan kelganidan qat'i nazar, barcha tarmoq trafigini shifrlaydi. Shu sababli, SSH VPN-larni o'rnatish uchun ishlatilmaydi . Cloudflare Zero Trust qanday qilib SSHni xavfsizroq qiladi? SSH keng qo'llanilsa-da, server portlarini Internetga chiqarish har doim xavflidir. Cloudflare Zero Trust tashkilotlarga o'zlarining SSH serverlarini ushbu kirish portlarini ochish xavfisiz Internet orqali foydalanishga imkon beradi. Serverlar Cloudflare tarmog'iga xavfsiz ulanishi mumkin. Keyin ma'murlar va boshqa foydalanuvchilar o'z qurilmalariga Cloudflare WARP mijozini o'rnatish orqali Cloudflare orqali serverga kirishlari mumkin; bu yerda ko'proq bilib oling. IPsec nima? IPsec - bu qurilmalar o'rtasidagi ulanishni ta'minlash uchun protokollar guruhi. IPsec umumiy tarmoqlar orqali yuborilgan ma'lumotlarni xavfsiz saqlashga yordam beradi. U ko'pincha VPN-larni o'rnatish uchun ishlatiladi va u IP- paketlarni shifrlash va paketlar kelgan manbani autentifikatsiya qilish orqali ishlaydi. "IPsec" atamasi doirasida "IP" "Internet Protocol" va "sec" "xavfsiz" degan ma'noni anglatadi. Internet Protocol - Internetda qo'llaniladigan asosiy marshrutlash protokoli; u IP manzillar yordamida ma'lumotlarning qaerga ketishini belgilaydi . IPsec xavfsiz, chunki u ushbu jarayonga shifrlash* va autentifikatsiyani qo'shadi. *Shifrlash - ma'lumotlarni tasodifiy ko'rinishi uchun matematik tarzda o'zgartirish orqali ma'lumotlarni yashirish jarayoni. Oddiyroq qilib aytganda, shifrlash faqat vakolatli shaxslar izohlashi mumkin bo'lgan "maxfiy kod" dan foydalanishdir. Nima uchun IPsec muhim? IPsec kabi xavfsizlik protokollari zarur, chunki tarmoq usullari sukut bo'yicha shifrlanmagan. Pochta xizmati orqali xat jo'natayotganda, odam odatda o'z xabarini konvertning tashqi tomoniga yozmaydi. Buning o'rniga, ular o'z xabarlarini konvertga qo'shadilar, shunda jo'natuvchi va qabul qiluvchi o'rtasidagi xatni boshqaradigan hech kim ularning xabarini o'qiy olmaydi. Biroq, TCP/IP kabi tarmoq protokollari to'plamlari faqat ulanish va etkazib berish bilan bog'liq va yuborilgan xabarlar yashirilmaydi. Ularni o'rtadagi har kim o'qiy oladi. IPsec va ma'lumotlarni shifrlaydigan boshqa protokollar, asosan, ma'lumotlarning xavfsizligini ta'minlab, tarmoqlar bo'ylab o'tayotganda uning atrofida konvertni qo'yadi. VPN nima? IPsec VPN nima? Virtual xususiy tarmoq (VPN) ikki yoki undan ortiq kompyuterlar o'rtasidagi shifrlangan ulanishdir. VPN ulanishlari umumiy tarmoqlar orqali amalga oshiriladi, lekin VPN orqali almashinadigan ma'lumotlar shifrlanganligi sababli hali ham maxfiydir. VPN’lar umumiy Internet kabi umumiy tarmoq infratuzilmasi orqali maxfiy ma’lumotlarga xavfsiz kirish va almashish imkonini beradi. Misol uchun, xodimlar ofisda emas, balki masofadan turib ishlayotganlarida , ular korporativ fayllar va ilovalarga kirish uchun ko'pincha VPN-lardan foydalanadilar. Ko'pgina VPN-lar ushbu shifrlangan ulanishlarni o'rnatish va ishga tushirish uchun IPsec protokol to'plamidan foydalanadilar. Biroq, barcha VPN-lar IPsec-dan foydalanmaydi. VPN-lar uchun yana bir protokol SSL / TLS bo'lib, u OSI modelida IPsec-dan boshqa qatlamda ishlaydi . (OSI modeli - bu Internetning ishlashini ta'minlaydigan jarayonlarning mavhum tasviridir .) Foydalanuvchilar IPsec VPN-ga qanday ulanadi? Foydalanuvchilar VPN ilovasiga yoki “mijoz”ga kirish orqali IPsec VPN-ga kirishlari mumkin. Bu odatda foydalanuvchidan ilovani o'z qurilmasiga o'rnatgan bo'lishini talab qiladi. VPN loginlari odatda parolga asoslangan. VPN orqali yuborilgan ma'lumotlar shifrlangan bo'lsa-da, agar foydalanuvchi parollari buzilgan bo'lsa, tajovuzkorlar VPN-ga kirib, ushbu shifrlangan ma'lumotlarni o'g'irlashlari mumkin. Ikki faktorli autentifikatsiyadan (2FA) foydalanish IPsec VPN xavfsizligini kuchaytirishi mumkin, chunki parolni o'g'irlash endi buzg'unchiga ruxsat bermaydi. IPsec qanday ishlaydi? IPsec ulanishlari quyidagi bosqichlarni o'z ichiga oladi: Kalit almashinuvi: Kalitlar shifrlash uchun zarur; kalit - xabarlarni "qulflash" (shifrlash) va "qulfini ochish" (shifrini ochish) uchun ishlatilishi mumkin bo'lgan tasodifiy belgilar qatori. IPsec ulangan qurilmalar o'rtasida kalit almashinuvi bilan kalitlarni o'rnatadi, shunda har bir qurilma boshqa qurilmaning xabarlarini parolini hal qila oladi. Paket sarlavhalari va treylerlar: Tarmoq orqali yuboriladigan barcha ma'lumotlar paketlar deb ataladigan kichikroq qismlarga bo'linadi. Paketlar foydali yukni yoki yuborilayotgan haqiqiy ma'lumotlarni, sarlavhalarni yoki ushbu ma'lumotlar haqidagi ma'lumotlarni o'z ichiga oladi, shuning uchun paketlarni qabul qiluvchi kompyuterlar ular bilan nima qilish kerakligini bilishadi. IPsec autentifikatsiya va shifrlash ma'lumotlarini o'z ichiga olgan ma'lumotlar paketlariga bir nechta sarlavhalarni qo'shadi. IPsec shuningdek, oldingi emas, har bir paketning foydali yukidan keyin ketadigan treylerlarni qo'shadi. Autentifikatsiya: IPsec har bir paket uchun autentifikatsiyani ta'minlaydi, masalan, yig'iladigan buyumdagi haqiqiylik muhri. Bu paketlar tajovuzkor emas, ishonchli manbadan ekanligini ta'minlaydi. Shifrlash: IPsec har bir paketdagi foydali yuklarni va har bir paketning IP sarlavhasini shifrlaydi (agar tunnel rejimi o‘rniga transport rejimi ishlatilmasa — pastga qarang). Bu IPsec orqali yuborilgan ma'lumotlarni xavfsiz va maxfiy saqlaydi. Transmissiya: Shifrlangan IPsec paketlari transport protokoli yordamida bir yoki bir nechta tarmoqlar bo'ylab o'z manziliga boradi. Ushbu bosqichda IPsec trafigi oddiy IPtrafikdan farq qiladi, chunki u ko'pincha TCP emas, balki UDP dan transport protokoli sifatida foydalanadi . TCP, uzatishni boshqarish protokoli qurilmalar o'rtasida maxsus ulanishlarni o'rnatadi va barcha paketlar kelishini ta'minlaydi. UDP, User Datagram Protocol bu ajratilgan ulanishlarni o'rnatmaydi. IPsec UDP dan foydalanadi, chunki bu IPsec paketlariga xavfsizlik devorlari orqali o'tish imkonini beradi . Shifrni hal qilish: Aloqaning boshqa uchida paketlar shifrdan chiqariladi va ilovalar (masalan, brauzer) yetkazib berilgan ma'lumotlardan foydalanishi mumkin. IPsec-da qanday protokollar qo'llaniladi? Tarmoqqa ulanishda protokol ma'lumotlarni formatlashning ma'lum bir usuli bo'lib, tarmoqqa ulangan har qanday kompyuter ma'lumotlarni sharhlashi mumkin. IPsec bitta protokol emas, balki protokollar to'plamidir. Quyidagi protokollar IPsec to'plamini tashkil qiladi: Autentifikatsiya sarlavhasi (AH): AH protokoli ma'lumotlar paketlari ishonchli manbadan olinganligini va ma'lumotlar iste'molchi mahsulotidagi buzg'unchilikka qarshi muhr kabi buzilmaganligini ta'minlaydi. Ushbu sarlavhalar hech qanday shifrlashni ta'minlamaydi; ular tajovuzkorlardan ma'lumotlarni yashirishga yordam bermaydi. Encapsulating Security Protocol (ESP): ESP har bir paket uchun IP sarlavhasi va foydali yukni shifrlaydi — transport rejimi ishlatilmasa, u holda u faqat foydali yukni shifrlaydi. ESP har bir ma'lumot paketiga o'zining sarlavhasi va treylerini qo'shadi. Xavfsizlik Assotsiatsiyasi (SA): SA shifrlash kalitlari va algoritmlari bo'yicha muzokaralar olib borish uchun ishlatiladigan bir qator protokollarga ishora qiladi. Eng keng tarqalgan SA protokollaridan biri bu Internet Key Exchange (IKE) dir. Va nihoyat, Internet protokoli (IP) IPsec to'plamining bir qismi bo'lmasa-da, IPsec to'g'ridan-to'g'ri IP ustida ishlaydi. IPsec tunnel rejimi va IPsec transport rejimi o'rtasidagi farq nima? IPsec tunnel rejimi ikkita ajratilgan marshrutizator o'rtasida ishlatiladi, har bir router umumiy tarmoq orqali virtual "tunnel" ning bir uchi vazifasini bajaradi. IPsec tunnel rejimida paketning yakuniy manzilini o'z ichiga olgan asl IP sarlavhasi paket yukiga qo'shimcha ravishda shifrlangan. Vositachi marshrutizatorlarga paketlarni qaerga yo'naltirish kerakligini aytish uchun IPsec yangi IP sarlavhasini qo'shadi. Tunnelning har bir uchida marshrutizatorlar paketlarni o'z manzillariga etkazish uchun IP sarlavhalarini shifrlaydi. Transport rejimida har bir paketning foydali yuki shifrlangan, lekin asl IP sarlavhasi shifrlangan emas. Shunday qilib, vositachi marshrutizatorlar har bir paketning yakuniy manzilini ko'rishlari mumkin - agar alohida tunnel protokoli (masalan, GRE ) ishlatilmasa. IPsec qaysi portdan foydalanadi? Tarmoq porti - bu ma'lumotlar kompyuterga kiradigan virtual joy. Portlar - bu kompyuterlar turli jarayonlar va ulanishlarni kuzatish usuli; agar ma'lumotlar ma'lum bir portga tushsa, kompyuterning operatsion tizimi uning qaysi jarayonga tegishli ekanligini biladi. IPsec odatda 500 portdan foydalanadi. IPsec MSS va MTUga qanday ta'sir qiladi? MSS va MTU paket hajmining ikkita o'lchovidir. Paketlar faqat ma'lum bir o'lchamga (baytlarda o'lchanadi) erishishi mumkin, avval kompyuterlar, marshrutizatorlar va kalitlar ularni boshqara olmaydi. MSS har bir paketning foydali yukining hajmini o'lchaydi, MTU esa butun paketni, shu jumladan sarlavhalarni o'lchaydi. Tarmoqning MTU qiymatidan oshib ketgan paketlar qismlarga bo'linishi mumkin, ya'ni kichikroq paketlarga bo'linadi va keyin qayta yig'iladi. MSS dan oshib ketgan paketlar shunchaki tashlab yuboriladi. IPsec protokollari paketlarga bir nechta sarlavhalar va treylerlarni qo'shadi, ularning barchasi bir necha baytni egallaydi. IPsec-dan foydalanadigan tarmoqlar uchun MSS va MTU mos ravishda sozlanishi kerak, yoki paketlar qismlarga bo'linadi va biroz kechiktiriladi. Odatda, tarmoq uchun MTU 1500 baytni tashkil qiladi. Oddiy IP sarlavhasi uzunligi 20 bayt, TCP sarlavhasi ham 20 bayt, ya'ni har bir paketda 1460 bayt foydali yuk bo'lishi mumkin. Biroq, IPsec autentifikatsiya sarlavhasini, ESP sarlavhasini va tegishli treylerlarni qo'shadi. Bular paketga 50-60 bayt yoki undan ko'proq qo'shadi. MTU va MSS haqida ko'proq ma'lumotni "MTU nima?" Cloudflare IPsec-ni qo'llab-quvvatlaydimi? Cloudflare Cloudflare One uchun xavfsiz kirish xizmati chekkasi (SASE) yechimi uchun IPsec-ni qo'llab-quvvatlaydi . Trafik xavfsizligini ta'minlash uchun IPsec ikki nuqta o'rtasida SA o'rnatilishini talab qiladi, bu esa trafik o'tishi uchun tunnel yaratadi. Amalga oshirish modeliga qarab, bu ba'zi qiyinchiliklarni keltirib chiqarishi mumkin. Masalan, tarmoqli modelda barcha tugunlar (yoki joylar) bir-biriga maxsus tunnellar orqali ulanadi. Biroq, bu bir nechta IPsec tunnellarini yaratish va boshqarishni talab qiladi, ularni masshtablash qiyin. Biroq, Cloudflare Anycast IPsec modelidan foydalanadi. ( Anycast tarmog'i kiruvchi so'rovlarni turli tugunlarga yo'naltiruvchi tarmoqdir.) Anycast IPsec yordamida global tarmog'imizdagi 250 dan ortiq joylarga ulanish uchun foydalanuvchilar Cloudflare-ga faqat bitta IPsec tunnelini o'rnatishlari kerak. Anycast IPsec-ni mumkin qilish uchun Cloudflare SA-larni Cloudflare chekka tarmog'idagi serverlar bo'ylab takrorlaydi va tarqatadi. Bu shuni anglatadiki, butun Cloudflare tarmog'i sizning tarmog'ingizga yagona IPsec tunnel sifatida ishlaydi. OpenPGP protokolining maxsus variantlari -t, --textmode --no-textmode Kirish fayllarini matn sifatida ko'rib chiqing va ularni standart "CRLF" qator oxiri bilan OpenPGP kanonik matn shaklida saqlang. Bu, shuningdek, qabul qiluvchiga shifrlangan yoki imzolangan ma'lumotlar matn ekanligini va uning satr oxirlarini mahalliy tizim foydalanadigan narsaga aylantirishni talab qilishi mumkinligi haqida xabardor qilish uchun kerakli bayroqlarni o'rnatadi. Ushbu parametr turli xil tugatish konventsiyalariga ega bo'lgan ikkita platforma o'rtasida aloqa o'rnatishda foydalidir (Mac uchun UNIX, Macdan Windows va boshqalar).--no-matn rejimiushbu parametrni o'chiradi va standart hisoblanadi. --force-v3-sigs --no-force-v3-sigs --force-v4-certs --no-force-v4-certs Ushbu variantlar eskirgan va GnuPG 2.1 dan beri hech qanday ta'sir ko'rsatmaydi. --force-ocb --force-aead MDC shifrlash orqali AEAD shifrlashdan foydalanishga majburlang. AEAD eski MDC usuliga qaraganda autentifikatsiya qilingan shifrlashni amalga oshirishning zamonaviy va tezroq usulidir. --force-aeadtaxallus va eskirgan. Variantni ham ko'ring--bo'lak o'lchami. --force-mdc --disable-mdc Ushbu variantlar eskirgan va GnuPG 2.2.8 dan beri hech qanday ta'sir ko'rsatmaydi. MDC har doim ishlatiladi, agar kalitlar AEAD algoritmidan foydalanish mumkinligini ko'rsatmasa, bu holda AEAD ishlatiladi. Ammo e'tibor bering: MDC bo'lmagan eski xabarni yaratish juda zarur bo'lsa, variant --rfc2440bunga imkon beradi. --disable-signer-uid Odatiy bo'lib, imzo kalitining foydalanuvchi identifikatori ma'lumotlar imzosiga kiritilgan. Hozircha bu faqat imzolash kaliti bilan ko'rsatilgan bo'lsa amalga oshiriladi mahalliy foydalanuvchipochta manzili yordamida yoki bilanjo'natuvchi. Ushbu ma'lumot kalitni aniqlashda tekshirgich uchun foydali bo'lishi mumkin; variantga qarang --avto-kalit-qidiruv. --include-key-block --no-include-key-block Ushbu parametr haqiqiy imzo kalitini ma'lumotlar imzosiga kiritish uchun ishlatiladi. O'rnatilgan kalit bitta foydalanuvchi identifikatoriga tushiriladi va faqat imzo yaratish uchun foydalaniladigan imzolash pastki kalitini hamda yaroqli shifrlash pastki kalitlarini o'z ichiga oladi. Boshqa barcha ma'lumotlar kalitdan olib tashlanadi va shuning uchun imzo kichik bo'ladi. Ushbu parametr gpgsmopsiyaning OpenPGP hamkasbidir--include-sertsva imzolangan xabarni oluvchiga kalitni qidirish uchun hech qanday onlayn kataloglardan foydalanmasdan jo'natuvchiga shifrlangan javob berish imkonini beradi. Asl qiymati--no-include-key-block. Variantni ham ko'ring-auto-key-import. --personal-cipher-preferences string Shaxsiy shifrlash afzalliklari ro'yxatini stringga o'rnating . gpg versionMavjud algoritmlar ro'yxatini olish uchun foydalaning va nonehech qanday afzal ko'rmaslik uchun foydalaning. Bu foydalanuvchiga oluvchi kaliti afzalliklari bilan tanlangan algoritmni xavfsiz bekor qilish imkonini beradi, chunki GPG faqat barcha qabul qiluvchilar foydalanishi mumkin bo'lgan algoritmni tanlaydi. Ushbu ro'yxatdagi eng yuqori o'ringa ega bo'lgan shifrdan ham foydalaniladi--simmetrikshifrlash buyrug'i. --personal-digest-preferences string Shaxsiy dayjest afzalliklari ro'yxatini stringga o'rnating . gpg -versionMavjud algoritmlar ro'yxatini olish uchun foydalaning va nonehech qanday afzal ko'rmaslik uchun foydalaning. Bu foydalanuvchiga oluvchi kaliti afzalliklari bilan tanlangan algoritmni xavfsiz bekor qilish imkonini beradi, chunki GPG faqat barcha qabul qiluvchilar foydalanishi mumkin bo'lgan algoritmni tanlaydi. Ushbu ro'yxatdagi eng yuqori reytingli dayjest algoritmi shifrlashsiz imzolashda ham qo'llaniladi (masalan,--aniq-belgiyoki- belgisi). --personal-compress-preferences string Shaxsiy siqish afzalliklari ro'yxatini stringga o'rnating . gpg --versionMavjud algoritmlar ro'yxatini olish uchun foydalaning va nonehech qanday afzal ko'rmaslik uchun foydalaning. Bu foydalanuvchiga oluvchi kaliti afzalliklari bilan tanlangan algoritmni xavfsiz bekor qilish imkonini beradi, chunki GPG faqat barcha qabul qiluvchilar foydalanishi mumkin bo'lgan algoritmni tanlaydi. Ushbu ro'yxatdagi eng yuqori darajali siqish algoritmi qabul qiluvchi kalitlari bo'lmaganda ham qo'llaniladi (masalan,--simmetrik). --s2k-cipher-algo name Parolli ibora bilan simmetrik shifrlash uchun shifrlash algoritmi sifatida nomdan foydalaning .--shaxsiy-shifr-afzalliklarva --shifralgoberilmaydi. Standart - AES-128. --s2k-digest-algo name Nosimmetrik shifrlash uchun parollarni o'zgartirish uchun ishlatiladigan dayjest algoritmi sifatida nomdan foydalaning . Standart SHA-1. --s2k-mode n Simmetrik shifrlash uchun parol iboralari qanday o'zgartirilishini tanlaydi. Agar n 0 bo'lsa, oddiy parol iborasi (bu umuman tavsiya etilmaydi) ishlatiladi, 1 parol iboraga tuz qo'shadi (uni ishlatmaslik kerak) va 3 (standart) butun jarayonni bir necha marta takrorlaydi ( qarang--s2k-hisob). --s2k-count n Simmetrik shifrlash uchun o'zgartirilgan parollar necha marta takrorlanishini belgilang. Bu qiymat 1024 va 65011712 orasida bo'lishi mumkin. Standart gpg-agentdan so'raladi. Esda tutingki, 1024-65011712 diapazonidagi barcha qiymatlar qonuniy emas va agar noqonuniy qiymat tanlansa, GnuPG eng yaqin qonuniy qiymatga yaxlitlanadi. Bu variant faqat agar mazmunli bo'lsa-s2krejimisukut bo'yicha 3 ga o'rnatiladi. Transport qatlami xavfsizligi (TLS) nima? Transport Layer Security yoki TLS - bu Internet orqali aloqa uchun maxfiylik va ma'lumotlar xavfsizligini ta'minlash uchun mo'ljallangan keng tarqalgan qabul qilingan xavfsizlik protokoli . TLS ning asosiy qo'llanilishi veb-ilovalar va serverlar o'rtasidagi aloqani shifrlashdir, masalan, veb-saytni yuklayotgan veb-brauzerlar. TLS elektron pochta, xabar almashish va IP orqali ovoz (VoIP) kabi boshqa aloqalarni shifrlash uchun ham ishlatilishi mumkin . Ushbu maqolada biz veb-ilovalar xavfsizligidagi TLS roliga e'tibor qaratamiz . TLS xalqaro standartlar tashkiloti boʻlgan Internet Engineering Task Force (IETF) tomonidan taklif qilingan va protokolning birinchi versiyasi 1999-yilda nashr etilgan. Eng soʻnggi versiyasi 2018-yilda chop etilgan TLS 1.3 . TLS va SSL o'rtasidagi farq nima? TLS Netscape tomonidan ishlab chiqilgan Secure Sockets Layer ( SSL ) deb nomlangan oldingi shifrlash protokolidan kelib chiqqan . TLS 1.0 versiyasi aslida SSL 3.1 versiyasi sifatida ishlab chiqila boshlandi, biroq nashrdan oldin protokol nomi Netscape bilan bog'lanmaganligini ko'rsatish uchun o'zgartirildi. Ushbu tarix tufayli TLS va SSL atamalari ba'zan bir-birining o'rnida ishlatiladi. TLS va HTTPS o'rtasidagi farq nima? HTTPS barcha veb-saytlar va boshqa ba'zi veb-xizmatlar tomonidan qo'llaniladigan HTTP protokoli ustidagi TLS shifrlashning amalga oshirilishidir . HTTPSdan foydalanadigan har qanday veb-sayt shuning uchun TLS shifrlashdan foydalanadi. Nima uchun biznes va veb-ilovalar TLS protokolidan foydalanishi kerak? TLS shifrlash veb-ilovalarni ma'lumotlar buzilishi va boshqa hujumlardan himoya qilishga yordam beradi . Bugungi kunda TLS bilan himoyalangan HTTPS veb-saytlar uchun standart amaliyotdir. Google Chrome brauzeri asta-sekin HTTPS bo'lmagan saytlarni yo'q qildi va boshqa brauzerlar ham shunga o'xshash. Kundalik Internet foydalanuvchilari HTTPS qulf belgisi bo'lmagan veb-saytlardan ko'proq ehtiyot bo'lishadi. TLS nima qiladi? TLS protokoli amalga oshiradigan uchta asosiy komponent mavjud: shifrlash , autentifikatsiya va yaxlitlik. • • • Shifrlash: uchinchi shaxslardan uzatilayotgan ma'lumotlarni yashiradi. Autentifikatsiya: ma'lumot almashayotgan tomonlar o'zlari da'vo qilgan shaxs ekanligini ta'minlaydi. Butunlik: ma'lumotlar soxtalashtirilmagan yoki o'zgartirilmaganligini tasdiqlaydi. TLS sertifikati nima? Veb-sayt yoki ilova TLSdan foydalanishi uchun uning kelib chiqish serverida TLS sertifikati oʻrnatilgan boʻlishi kerak ( yuqorida tavsiflangan nomlashda chalkashlik tufayli sertifikat “ SSL sertifikati ” sifatida ham tanilgan). TLS sertifikati sertifikat organi tomonidan domenga ega bo'lgan shaxs yoki biznesga beriladi. Sertifikatda serverning ochiq kaliti bilan birga domen kimga tegishli ekanligi haqidagi muhim ma'lumotlar mavjud bo'lib, ularning ikkalasi ham server identifikatorini tasdiqlash uchun muhimdir. TLS qanday ishlaydi? TLS ulanishi TLS qo'l siqish deb nomlanuvchi ketma-ketlik yordamida boshlanadi . Foydalanuvchi TLS dan foydalanadigan veb-saytga kirganda, foydalanuvchi qurilmasi ( mijoz qurilmasi deb ham ataladi) va veb-server o'rtasida TLS qo'l siqish boshlanadi. TLS suhbati paytida foydalanuvchi qurilmasi va veb-server: • Ular TLS ning qaysi versiyasidan foydalanishini belgilang (TLS 1.0, 1.2, 1.3 va boshqalar). • Qaysi shifrlar to'plamini ishlatishini hal qiling (pastga qarang). • Serverning TLS sertifikati yordamida server identifikatorini tasdiqlang • Qo‘l siqish tugagandan so‘ng ular orasidagi xabarlarni shifrlash uchun seans kalitlarini yarating TLS qo'l siqish har bir aloqa seansi uchun shifrlar to'plamini o'rnatadi. Shifrlar to'plami bu muayyan seans uchun qanday umumiy shifrlash kalitlari yoki seans kalitlari ishlatilishi kabi tafsilotlarni belgilaydigan algoritmlar to'plami . TLS ochiq kalit kriptografiyasi deb nomlanuvchi texnologiya tufayli shifrlanmagan kanal orqali mos seans kalitlarini o'rnatishga qodir . Qo'l siqish, shuningdek, autentifikatsiya bilan shug'ullanadi, bu odatda mijozga o'z shaxsini tasdiqlovchi serverdan iborat. Bu ochiq kalitlar yordamida amalga oshiriladi. Ochiq kalitlar - bu bir tomonlama shifrlashdan foydalanadigan shifrlash kalitlari, ya'ni ochiq kalitga ega bo'lgan har bir kishi serverning shaxsiy kaliti bilan shifrlangan ma'lumotlarning haqiqiyligini ta'minlash uchun uni ochishi mumkin, lekin faqat asl jo'natuvchi shaxsiy kalit bilan ma'lumotlarni shifrlashi mumkin. Serverning ochiq kaliti uning TLS sertifikatining bir qismidir. Ma'lumotlar shifrlangan va autentifikatsiya qilingandan so'ng, u xabar autentifikatsiya kodi (MAC) bilan imzolanadi. Qabul qiluvchi keyinchalik ma'lumotlarning yaxlitligini ta'minlash uchun MAC-ni tekshirishi mumkin. Bu aspirin shishasidagi o'zgarmas folgaga o'xshaydi; iste'molchi hech kim o'z dori-darmonlarini buzmaganligini biladi, chunki ular sotib olayotganda folga buzilmagan. TLS veb-ilovaning ishlashiga qanday ta'sir qiladi? TLS ning so'nggi versiyalari veb-ilovalar ishlashiga deyarli ta'sir qilmaydi. TLS ulanishini o'rnatish bilan bog'liq murakkab jarayon tufayli, biroz yuklash vaqti va hisoblash quvvati sarflanishi kerak. Mijoz va server har qanday ma'lumotni uzatishdan oldin bir necha marta oldinga va orqaga bog'lanishi kerak va bu veb-ilovalar uchun qimmatli millisekundlarni yuklash vaqtini, shuningdek, mijoz va server uchun biroz xotirani egallaydi. Biroq, TLS bilan qo'l siqish orqali yuzaga kelishi mumkin bo'lgan kechikishni yumshatishga yordam beradigan texnologiyalar mavjud . Ulardan biri TLS False Start boʻlib, u server va mijozga TLS bilan qoʻl siqish tugaguniga qadar maʼlumotlarni uzatishni boshlash imkonini beradi. TLS tezligini tezlashtirishning yana bir texnologiyasi bu TLS sessiyasini qayta tiklash boʻlib, u ilgari muloqot qilgan mijozlar va serverlarga qisqartirilgan qoʻl siqishdan foydalanish imkonini beradi. Ushbu yaxshilanishlar, TLS'ni yuklash vaqtlariga sezilarli darajada ta'sir qilmasligi kerak bo'lgan juda tez protokol qilishga yordam berdi . TLS bilan bog'liq hisoblash xarajatlariga kelsak, ular bugungi standartlarga ko'ra ahamiyatsiz. 2018-yilda chiqarilgan TLS 1.3, TLS-ni yanada tezroq qildi. TLS 1.3 da TLS qoʻl siqishlari ikkita oʻrniga faqat bitta aylanma sayohatni (yoki oldinga va orqaga) talab qiladi, bu jarayonni bir necha millisekundga qisqartiradi. Agar foydalanuvchi ilgari veb-saytga ulangan bo'lsa, TLS qo'l siqishida nol aylanma sayohatlar mavjud bo'lib, uni yanada tezlashtiradi. Veb-saytda TLSni qanday amalga oshirishni boshlash kerak Cloudflare barcha foydalanuvchilarga bepul TLS/SSL sertifikatlarini taqdim etadi. Cloudflare-dan foydalanmaydigan har bir kishi sertifikat idorasidan ko'pincha haq evaziga SSL sertifikatini olishi va sertifikatni o'zining kelib chiqish serverlariga o'rnatishi kerak bo'ladi .