OʻZBEKISTON RESPUBLIKASI
OLIY TA’LIM, FAN VA INNOVATSIYALAR VAZIRLIGI
MIRZO ULUG‘BEK NOMIDAGI
OʻZBEKISTON MILLIY UNIVERSITETINING JIZZAX FILIALI
AMALIY MATEMATIKA FAKULTETI
«KOMPYUTER ILMLARI VA DASTURLASHTIRISH» kafedrasi
“AXBOROTNI HIMOYALASHNING KRIPTOGRAFIK USULLARI”
FANIDAN
7-TOPSHIRIQ
Mavzu: Oʻzaro autentifikatsiya protokollari
Bajardi: “60610300-Axborot xavfsizligi (sohalar bo‘yicha)” ta’lim yo‘nalishi 3kurs 30-21- guruh talabasi
.
TALIYEV ABDUHALIL
Tekshirdi:
BARATOV J
Jizzax – 2024
Secure Shell (SSH) protokoli nima?
Secure Shell (SSH) protokoli himoyalanmagan tarmoq orqali kompyuterga buyruqlarni
xavfsiz yuborish usulidir. SSH qurilmalar orasidagi ulanishlarni autentifikatsiya qilish va
shifrlash uchun kriptografiyadan foydalanadi. SSH shuningdek, tunnel o'tkazish yoki
portni yo'naltirish imkonini beradi , ya'ni ma'lumotlar paketlari boshqa yo'l bilan kesib
o'ta olmaydigan tarmoqlarni kesib o'tishga qodir. SSH ko'pincha serverlarni masofadan
boshqarish, infratuzilmani boshqarish va fayllarni uzatish uchun ishlatiladi.
Sayohat paytida do'kon egasi o'z xodimlariga uzoqdan ko'rsatmalar berishi mumkin, ular
yo'q bo'lganda do'kon muammosiz ishlashini ta'minlaydi. Xuddi shunday, SSH ham
ma'murlarga serverlar va qurilmalarni uzoqdan boshqarishga imkon beradi. Telnet kabi
eski masofaviy boshqaruv protokollari ma'murlarning buyruqlarini har kim ko'rishi
mumkin bo'lgan shaklda uzatdi. (Tasavvur qiling, agar xodimlar qo'ng'iroq paytida
do'kon egasini karnayga qo'ygan bo'lsa; do'kondagi barcha mijozlar shaxsiy
ko'rsatmalarni eshitishlari mumkin.) Telnetdan farqli o'laroq, SSH xavfsiz - shuning uchun
Secure Shell nomi.
SSH nima qiladi?
Masofaviy shifrlangan ulanishlar: SSH foydalanuvchi qurilmasi va uzoqdagi mashina,
ko'pincha server o'rtasida ulanishni o'rnatadi. U ulanishni kesib o'tadigan ma'lumotlarni
shifrlash uchun shifrlashdan foydalanadi. To'xtatuvchi tomon faqat statik - tasodifiy
ma'lumotlarga o'xshash narsani topadi, agar ular shifrlanmagan bo'lsa, hech narsani
anglatmaydi. (SSH shifrlash usullaridan foydalanadi, bu esa begonalar uchun shifrni
ochishni juda qiyinlashtiradi.)
Tunnel qilish qobiliyati: Tarmoqqa ulanishda tunnellash odatda foydalana olmaydigan
protokol yoki yo'l yordamida paketlarni tarmoq bo'ylab ko'chirish usulidir. Tunnellash
maʼlumotlar paketlarini* qoʻshimcha maʼlumotlarga (sarlavhalar deb ataladi) oʻrash
orqali, ularning manzilini oʻzgartirish orqali ishlaydi. SSH tunnellari paketlarni bir
mashinadan boshqasiga yuborish uchun portni yo'naltirish deb ataladigan texnikadan
foydalanadi. Portni yo'naltirish quyida batafsilroq tushuntiriladi.
*Tarmoqni kesib o'tuvchi barcha ma'lumotlar kichikroq bo'laklarga bo'linadi; bu bo'laklar
"paketlar" deb ataladi.
SSH qanday ishlaydi?
TCP/IP
SSH TCP/IP protokollar to'plamining tepasida ishlaydi - bu Internetning ko'p qismiga
tayanadi. TCP qisqartmasi Transmission Control Protocol, IP esa Internet Protocol degan
ma'noni anglatadi . TCP/IP paketlarni formatlash, yo'naltirish va etkazib berish uchun
ushbu ikkita protokolni juftlashtiradi. IP boshqa ma'lumotlar bilan bir qatorda paket
qaysi IP-manzilga o'tishi kerakligini ko'rsatadi (pochta manzilini o'ylab ko'ring), TCP esa
har bir IP-manzilda paket qaysi portga o'tishi kerakligini ko'rsatadi (bino qavatini yoki
kvartira raqamini o'ylab ko'ring). .
TCP - bu transport qatlami protokoli: u ma'lumotlar paketlarini tashish va etkazib berish
bilan bog'liq. Odatda, uzatiladigan ma'lumotlarni ilovalar foydalanishi mumkin bo'lgan
shaklga joylashtirish uchun TCP/IP tepasida qo'shimcha protokollar qo'llaniladi. SSH ana
shunday protokollardan biridir. (Boshqa misollar orasida HTTP, FTP va SMTP mavjud.)
Ochiq kalit kriptografiyasi
SSH "xavfsiz", chunki u ochiq kalit kriptografiyasi deb ataladigan jarayon orqali shifrlash
va autentifikatsiyani o'z ichiga oladi. Ochiq kalit kriptografiyasi - bu ikki xil kalit bilan
ma'lumotlarni shifrlash yoki ma'lumotlarni imzolash usuli. Kalitlardan biri, ochiq kalit har
kim foydalanishi mumkin. Boshqa kalit, shaxsiy kalit, uning egasi tomonidan sir
saqlanadi. Ikkala kalit bir-biriga mos kelganligi sababli, kalit egasining identifikatorini
aniqlash uchun ochiq kalit bilan birga keladigan shaxsiy kalitga ega bo'lishni talab qiladi.
Ushbu "assimetrik" kalitlar - ular turli qiymatlarga ega bo'lgani uchun shunday deb
nomlanadi - shuningdek, ulanishning ikki tomoniga kanal orqali keyingi shifrlash uchun
bir xil, umumiy simmetrik kalitlarni muhokama qilish imkonini beradi. Ushbu
muzokaralar tugallangandan so'ng, tomonlar almashadigan ma'lumotlarni shifrlash
uchun simmetrik kalitlardan foydalanadilar.
SSH ulanishida ikkala tomon ham umumiy/maxfiy kalit juftligiga ega va har bir tomon bu
kalitlar yordamida boshqasini autentifikatsiya qiladi. Bu SSH ni HTTPS dan farq qiladi , bu
ko'pchilik ilovalarda faqat mijoz-server ulanishidagi veb-serverning identifikatorini
tekshiradi. (Boshqa farqlar orasida HTTPS odatda mijozga serverning buyruq qatoriga
kirishga ruxsat bermaydi va xavfsizlik devorlari ba'zan SSH-ni bloklaydi, lekin HTTPS-ni
deyarli bloklamaydi.)
Autentifikatsiya
Ochiq kalit kriptografiyasi SSH-da ulangan qurilmalarni autentifikatsiya qilsa-da, to'g'ri
himoyalangan kompyuter hali ham SSH-dan foydalanadigan shaxsdan autentifikatsiyani
talab qiladi. Ko'pincha bu foydalanuvchi nomi va parolni kiritish shaklida bo'ladi.
Autentifikatsiya tugallangandan so'ng, odam masofaviy kompyuterda buyruqlarni xuddi
o'zining mahalliy mashinasida bajarayotgandek bajarishi mumkin.
SSH tunnellash yoki "portni yo'naltirish"
Portni yo'naltirish ikki kishi o'rtasida xabarni yo'naltirishga o'xshaydi. Bob Elisga xabar
yuborishi mumkin, u o'z navbatida uni Deyvga uzatadi. Xuddi shunday, portni
yo'naltirish bir mashinadagi IP manzilga va portga yo'naltirilgan ma'lumotlar paketlarini
boshqa mashinadagi IP manzilga va portga yuboradi.
Misol uchun, ma'mur o'zi boshqaradigan shaxsiy tarmoq ichidagi serverga o'zgartirish
kiritishni xohlayotganini tasavvur qiling va ular buni uzoq joydan qilishni xohlaydi. Biroq,
xavfsizlik nuqtai nazaridan, ushbu server faqat shaxsiy tarmoq ichidagi boshqa
kompyuterlardan ma'lumotlar paketlarini oladi. Buning o'rniga administrator tarmoq
ichidagi ikkinchi serverga ulanishi mumkin - u Internet-trafikni qabul qilish uchun ochiq va keyin birinchi serverga ulanish uchun SSH portini yo'naltirishdan foydalanishi
mumkin. Birinchi server nuqtai nazaridan administratorning ma'lumotlar paketlari
xususiy tarmoq ichidan keladi.
SSH dan foydalanish
Linux va Mac operatsion tizimlari o'rnatilgan SSH bilan birga keladi. Windows
mashinalarida SSH mijoz ilovasi o'rnatilgan bo'lishi kerak. Mac va Linux kompyuterlarida
foydalanuvchilar Terminal ilovasini ochib, bevosita SSH buyruqlarini kiritishlari mumkin.
SSH nima uchun ishlatiladi?
Texnik jihatdan, SSH har qanday o'zboshimchalik bilan ma'lumotlarni tarmoq orqali
uzatishi mumkin va SSH tunnelini ko'p sonli maqsadlar uchun sozlash mumkin. Biroq,
eng keng tarqalgan SSH foydalanish holatlari:
•
Serverlar, infratuzilma va xodimlar kompyuterlarini masofadan boshqarish
•
Fayllarni xavfsiz uzatish (SSH FTP kabi shifrlanmagan protokollarga qaraganda
xavfsizroq)
•
Mahalliy mashinaning portlarini Internetga ta'sir qilmasdan bulutdagi
xizmatlarga kirish
•
Shaxsiy tarmoqdagi xizmatlarga masofadan ulanish
•
Xavfsizlik devori cheklovlarini chetlab o'tish
SSH qaysi portdan foydalanadi?
Port 22 SSH uchun standart port hisoblanadi. Ba'zida xavfsizlik devorlari xavfsizlik devori
orqasidagi serverlardagi ma'lum portlarga kirishni bloklashi mumkin, lekin 22-portni
ochiq qoldiradi. Shuning uchun SSH xavfsizlik devorining boshqa tomonidagi serverlarga
kirish uchun foydalidir: 22-portga yo'naltirilgan paketlar bloklanmaydi va keyin istalgan
boshqa portga yo'naltirilishi mumkin.
SSH bilan bog'liq har qanday xavfsizlik xavfi
bormi?
Har qanday protokol zararli tomonlar tomonidan suiiste'mol qilinishi mumkin va SSH
ning shifrlangan tabiati va tunnel qilish qobiliyati uni tajovuzkorlar uchun ayniqsa
jozibador qiladi. SSH bir qator hujjatlashtirilgan hujumlarda shaxsiy ma'lumotlarni olish,
xavfsiz tarmoqqa orqa eshik marshrutlarini ochish va hatto serverlarda ildizga kirish
uchun ishlatilgan.
Ba'zi turdagi hujumlar shaxsiy kompyuterlar va serverlarga kirish uchun SSH kalitlarini
ham o'g'irlashi mumkin. Aslida, SSH kalitlarini boshqarish yirik tashkilotlar uchun asosiy
xavfsizlik muammosidir, chunki ularning ko'p serverlari minglab yoki hatto millionlab
kalitlardan foydalanishi mumkin va bu kalitlarni kuzatish va yangilash deyarli imkonsizdir.
Buzg'unchi kalitni qo'lga kiritgandan so'ng, ular oylar yoki yillar davomida doimiy kirish
huquqiga ega bo'lishi mumkin.
SSH tunnel o'tkazish uchun boshqa
protokollardan qanday farq qiladi?
SSH va boshqa tunnel protokollari o'rtasidagi asosiy farqlardan biri ular ishlaydigan OSI
qatlamidir . GRE , IP-in-IP va IPsec barcha tarmoq sathi protokollaridir. Shunday qilib,
ular IP manzillar o'rtasida ishlash o'rniga portlar (transport qatlami tushunchasi) haqida
bilishmaydi. (SSH ning aniq OSI qatlami aniq belgilanmagan, lekin ko'pchilik manbalar
uni qatlam 7 /ilova qatlami protokoli sifatida tasvirlaydi.)
Yana bir farq - SSH-ning TCP-dan foydalanishi. TCP, yuqorida aytib o'tilganidek,
transport qatlami protokoli bo'lib, Internetda ishlatiladigan asosiylaridan biridir. Yana bir
keng tarqalgan transport qatlami protokoli UDP, User Datagram Protocol . UDP - bu
"eng yaxshi harakat" transport protokoli - paketlarni etkazib berishni ta'minlamasdan
yuborish - bu uni tezroq qiladi, lekin ba'zida paketlarning yo'qolishiga olib keladi. TCP
UDP dan sekinroq bo'lsa-da, u barcha paketlarni tartibda yetkazib berishni kafolatlaydi
va shuning uchun ishonchliroqdir.
IPsec paketlarining xavfsizlik devorlari orqali o'tishini ta'minlash uchun IPsec faqat TCP
o'rniga UDP dan foydalanadi. Shuning uchun, IPsec tunnellari odatda SSH tunnellariga
qaraganda tezroq, lekin tranzitda paketlarni yo'qotishi mumkin. GRE va IP-in-IP TCP yoki
UDP bilan ishlatilishi mumkin.
Nihoyat, SSH bir vaqtning o'zida faqat bitta ilovani shifrlaydi, qurilmaga va qurilmadan
barcha trafik ketmaydi. Bu SSH-ni IPsec-dan ajratib turadi, u qaysi dasturdan kelganidan
qat'i nazar, barcha tarmoq trafigini shifrlaydi. Shu sababli, SSH VPN-larni o'rnatish uchun
ishlatilmaydi .
Cloudflare Zero Trust qanday qilib SSHni
xavfsizroq qiladi?
SSH keng qo'llanilsa-da, server portlarini Internetga chiqarish har doim xavflidir.
Cloudflare Zero Trust tashkilotlarga o'zlarining SSH serverlarini ushbu kirish portlarini
ochish xavfisiz Internet orqali foydalanishga imkon beradi. Serverlar Cloudflare
tarmog'iga xavfsiz ulanishi mumkin. Keyin ma'murlar va boshqa foydalanuvchilar o'z
qurilmalariga Cloudflare WARP mijozini o'rnatish orqali Cloudflare orqali serverga
kirishlari mumkin; bu yerda ko'proq bilib oling.
IPsec nima?
IPsec - bu qurilmalar o'rtasidagi ulanishni ta'minlash uchun protokollar guruhi. IPsec
umumiy tarmoqlar orqali yuborilgan ma'lumotlarni xavfsiz saqlashga yordam beradi. U
ko'pincha VPN-larni o'rnatish uchun ishlatiladi va u IP- paketlarni shifrlash va paketlar
kelgan manbani autentifikatsiya qilish orqali ishlaydi.
"IPsec" atamasi doirasida "IP" "Internet Protocol" va "sec" "xavfsiz" degan ma'noni
anglatadi. Internet Protocol - Internetda qo'llaniladigan asosiy marshrutlash protokoli; u
IP manzillar yordamida ma'lumotlarning qaerga ketishini belgilaydi . IPsec xavfsiz,
chunki u ushbu jarayonga shifrlash* va autentifikatsiyani qo'shadi.
*Shifrlash - ma'lumotlarni tasodifiy ko'rinishi uchun matematik tarzda o'zgartirish orqali
ma'lumotlarni yashirish jarayoni. Oddiyroq qilib aytganda, shifrlash faqat vakolatli
shaxslar izohlashi mumkin bo'lgan "maxfiy kod" dan foydalanishdir.
Nima uchun IPsec muhim?
IPsec kabi xavfsizlik protokollari zarur, chunki tarmoq usullari sukut bo'yicha
shifrlanmagan.
Pochta xizmati orqali xat jo'natayotganda, odam odatda o'z xabarini konvertning tashqi
tomoniga yozmaydi. Buning o'rniga, ular o'z xabarlarini konvertga qo'shadilar, shunda
jo'natuvchi va qabul qiluvchi o'rtasidagi xatni boshqaradigan hech kim ularning xabarini
o'qiy olmaydi. Biroq, TCP/IP kabi tarmoq protokollari to'plamlari faqat ulanish va etkazib
berish bilan bog'liq va yuborilgan xabarlar yashirilmaydi. Ularni o'rtadagi har kim o'qiy
oladi. IPsec va ma'lumotlarni shifrlaydigan boshqa protokollar, asosan, ma'lumotlarning
xavfsizligini ta'minlab, tarmoqlar bo'ylab o'tayotganda uning atrofida konvertni qo'yadi.
VPN nima? IPsec VPN nima?
Virtual xususiy tarmoq (VPN) ikki yoki undan ortiq kompyuterlar o'rtasidagi shifrlangan
ulanishdir. VPN ulanishlari umumiy tarmoqlar orqali amalga oshiriladi, lekin VPN orqali
almashinadigan ma'lumotlar shifrlanganligi sababli hali ham maxfiydir.
VPN’lar umumiy Internet kabi umumiy tarmoq infratuzilmasi orqali maxfiy ma’lumotlarga
xavfsiz kirish va almashish imkonini beradi. Misol uchun, xodimlar ofisda emas, balki
masofadan turib ishlayotganlarida , ular korporativ fayllar va ilovalarga kirish uchun
ko'pincha VPN-lardan foydalanadilar.
Ko'pgina VPN-lar ushbu shifrlangan ulanishlarni o'rnatish va ishga tushirish uchun IPsec
protokol to'plamidan foydalanadilar. Biroq, barcha VPN-lar IPsec-dan foydalanmaydi.
VPN-lar uchun yana bir protokol SSL / TLS bo'lib, u OSI modelida IPsec-dan boshqa
qatlamda ishlaydi . (OSI modeli - bu Internetning ishlashini ta'minlaydigan
jarayonlarning mavhum tasviridir .)
Foydalanuvchilar IPsec VPN-ga qanday
ulanadi?
Foydalanuvchilar VPN ilovasiga yoki “mijoz”ga kirish orqali IPsec VPN-ga kirishlari
mumkin. Bu odatda foydalanuvchidan ilovani o'z qurilmasiga o'rnatgan bo'lishini talab
qiladi.
VPN loginlari odatda parolga asoslangan. VPN orqali yuborilgan ma'lumotlar shifrlangan
bo'lsa-da, agar foydalanuvchi parollari buzilgan bo'lsa, tajovuzkorlar VPN-ga kirib, ushbu
shifrlangan ma'lumotlarni o'g'irlashlari mumkin. Ikki faktorli autentifikatsiyadan (2FA)
foydalanish IPsec VPN xavfsizligini kuchaytirishi mumkin, chunki parolni o'g'irlash endi
buzg'unchiga ruxsat bermaydi.
IPsec qanday ishlaydi?
IPsec ulanishlari quyidagi bosqichlarni o'z ichiga oladi:
Kalit almashinuvi: Kalitlar shifrlash uchun zarur; kalit - xabarlarni "qulflash" (shifrlash) va
"qulfini ochish" (shifrini ochish) uchun ishlatilishi mumkin bo'lgan tasodifiy belgilar
qatori. IPsec ulangan qurilmalar o'rtasida kalit almashinuvi bilan kalitlarni o'rnatadi,
shunda har bir qurilma boshqa qurilmaning xabarlarini parolini hal qila oladi.
Paket sarlavhalari va treylerlar: Tarmoq orqali yuboriladigan barcha ma'lumotlar paketlar
deb ataladigan kichikroq qismlarga bo'linadi. Paketlar foydali yukni yoki yuborilayotgan
haqiqiy ma'lumotlarni, sarlavhalarni yoki ushbu ma'lumotlar haqidagi ma'lumotlarni o'z
ichiga oladi, shuning uchun paketlarni qabul qiluvchi kompyuterlar ular bilan nima qilish
kerakligini bilishadi. IPsec autentifikatsiya va shifrlash ma'lumotlarini o'z ichiga olgan
ma'lumotlar paketlariga bir nechta sarlavhalarni qo'shadi. IPsec shuningdek, oldingi
emas, har bir paketning foydali yukidan keyin ketadigan treylerlarni qo'shadi.
Autentifikatsiya: IPsec har bir paket uchun autentifikatsiyani ta'minlaydi, masalan,
yig'iladigan buyumdagi haqiqiylik muhri. Bu paketlar tajovuzkor emas, ishonchli
manbadan ekanligini ta'minlaydi.
Shifrlash: IPsec har bir paketdagi foydali yuklarni va har bir paketning IP sarlavhasini
shifrlaydi (agar tunnel rejimi o‘rniga transport rejimi ishlatilmasa — pastga qarang). Bu
IPsec orqali yuborilgan ma'lumotlarni xavfsiz va maxfiy saqlaydi.
Transmissiya: Shifrlangan IPsec paketlari transport protokoli yordamida bir yoki bir
nechta tarmoqlar bo'ylab o'z manziliga boradi. Ushbu bosqichda IPsec trafigi oddiy
IPtrafikdan farq qiladi, chunki u ko'pincha TCP emas, balki UDP dan transport protokoli
sifatida foydalanadi . TCP, uzatishni boshqarish protokoli qurilmalar o'rtasida maxsus
ulanishlarni o'rnatadi va barcha paketlar kelishini ta'minlaydi. UDP, User Datagram
Protocol bu ajratilgan ulanishlarni o'rnatmaydi. IPsec UDP dan foydalanadi, chunki bu
IPsec paketlariga xavfsizlik devorlari orqali o'tish imkonini beradi .
Shifrni hal qilish: Aloqaning boshqa uchida paketlar shifrdan chiqariladi va ilovalar
(masalan, brauzer) yetkazib berilgan ma'lumotlardan foydalanishi mumkin.
IPsec-da qanday protokollar qo'llaniladi?
Tarmoqqa ulanishda protokol ma'lumotlarni formatlashning ma'lum bir usuli bo'lib,
tarmoqqa ulangan har qanday kompyuter ma'lumotlarni sharhlashi mumkin. IPsec bitta
protokol emas, balki protokollar to'plamidir. Quyidagi protokollar IPsec to'plamini tashkil
qiladi:
Autentifikatsiya sarlavhasi (AH): AH protokoli ma'lumotlar paketlari ishonchli manbadan
olinganligini va ma'lumotlar iste'molchi mahsulotidagi buzg'unchilikka qarshi muhr kabi
buzilmaganligini ta'minlaydi. Ushbu sarlavhalar hech qanday shifrlashni ta'minlamaydi;
ular tajovuzkorlardan ma'lumotlarni yashirishga yordam bermaydi.
Encapsulating Security Protocol (ESP): ESP har bir paket uchun IP sarlavhasi va foydali
yukni shifrlaydi — transport rejimi ishlatilmasa, u holda u faqat foydali yukni shifrlaydi.
ESP har bir ma'lumot paketiga o'zining sarlavhasi va treylerini qo'shadi.
Xavfsizlik Assotsiatsiyasi (SA): SA shifrlash kalitlari va algoritmlari bo'yicha muzokaralar
olib borish uchun ishlatiladigan bir qator protokollarga ishora qiladi. Eng keng tarqalgan
SA protokollaridan biri bu Internet Key Exchange (IKE) dir.
Va nihoyat, Internet protokoli (IP) IPsec to'plamining bir qismi bo'lmasa-da, IPsec
to'g'ridan-to'g'ri IP ustida ishlaydi.
IPsec tunnel rejimi va IPsec transport rejimi
o'rtasidagi farq nima?
IPsec tunnel rejimi ikkita ajratilgan marshrutizator o'rtasida ishlatiladi, har bir router
umumiy tarmoq orqali virtual "tunnel" ning bir uchi vazifasini bajaradi. IPsec tunnel
rejimida paketning yakuniy manzilini o'z ichiga olgan asl IP sarlavhasi paket yukiga
qo'shimcha ravishda shifrlangan. Vositachi marshrutizatorlarga paketlarni qaerga
yo'naltirish kerakligini aytish uchun IPsec yangi IP sarlavhasini qo'shadi. Tunnelning har
bir uchida marshrutizatorlar paketlarni o'z manzillariga etkazish uchun IP sarlavhalarini
shifrlaydi.
Transport rejimida har bir paketning foydali yuki shifrlangan, lekin asl IP sarlavhasi
shifrlangan emas. Shunday qilib, vositachi marshrutizatorlar har bir paketning yakuniy
manzilini ko'rishlari mumkin - agar alohida tunnel protokoli (masalan, GRE ) ishlatilmasa.
IPsec qaysi portdan foydalanadi?
Tarmoq porti - bu ma'lumotlar kompyuterga kiradigan virtual joy. Portlar - bu
kompyuterlar turli jarayonlar va ulanishlarni kuzatish usuli; agar ma'lumotlar ma'lum bir
portga tushsa, kompyuterning operatsion tizimi uning qaysi jarayonga tegishli ekanligini
biladi. IPsec odatda 500 portdan foydalanadi.
IPsec MSS va MTUga qanday ta'sir qiladi?
MSS va MTU paket hajmining ikkita o'lchovidir. Paketlar faqat ma'lum bir o'lchamga
(baytlarda o'lchanadi) erishishi mumkin, avval kompyuterlar, marshrutizatorlar va
kalitlar ularni boshqara olmaydi. MSS har bir paketning foydali yukining hajmini
o'lchaydi, MTU esa butun paketni, shu jumladan sarlavhalarni o'lchaydi. Tarmoqning
MTU qiymatidan oshib ketgan paketlar qismlarga bo'linishi mumkin, ya'ni kichikroq
paketlarga bo'linadi va keyin qayta yig'iladi. MSS dan oshib ketgan paketlar shunchaki
tashlab yuboriladi.
IPsec protokollari paketlarga bir nechta sarlavhalar va treylerlarni qo'shadi, ularning
barchasi bir necha baytni egallaydi. IPsec-dan foydalanadigan tarmoqlar uchun MSS va
MTU mos ravishda sozlanishi kerak, yoki paketlar qismlarga bo'linadi va biroz
kechiktiriladi. Odatda, tarmoq uchun MTU 1500 baytni tashkil qiladi. Oddiy IP sarlavhasi
uzunligi 20 bayt, TCP sarlavhasi ham 20 bayt, ya'ni har bir paketda 1460 bayt foydali yuk
bo'lishi mumkin. Biroq, IPsec autentifikatsiya sarlavhasini, ESP sarlavhasini va tegishli
treylerlarni qo'shadi. Bular paketga 50-60 bayt yoki undan ko'proq qo'shadi.
MTU va MSS haqida ko'proq ma'lumotni "MTU nima?"
Cloudflare IPsec-ni qo'llab-quvvatlaydimi?
Cloudflare Cloudflare One uchun xavfsiz kirish xizmati chekkasi (SASE) yechimi uchun
IPsec-ni qo'llab-quvvatlaydi .
Trafik xavfsizligini ta'minlash uchun IPsec ikki nuqta o'rtasida SA o'rnatilishini talab qiladi,
bu esa trafik o'tishi uchun tunnel yaratadi. Amalga oshirish modeliga qarab, bu ba'zi
qiyinchiliklarni keltirib chiqarishi mumkin. Masalan, tarmoqli modelda barcha tugunlar
(yoki joylar) bir-biriga maxsus tunnellar orqali ulanadi. Biroq, bu bir nechta IPsec
tunnellarini yaratish va boshqarishni talab qiladi, ularni masshtablash qiyin.
Biroq, Cloudflare Anycast IPsec modelidan foydalanadi. ( Anycast tarmog'i kiruvchi
so'rovlarni turli tugunlarga yo'naltiruvchi tarmoqdir.) Anycast IPsec yordamida global
tarmog'imizdagi 250 dan ortiq joylarga ulanish uchun foydalanuvchilar Cloudflare-ga
faqat bitta IPsec tunnelini o'rnatishlari kerak.
Anycast IPsec-ni mumkin qilish uchun Cloudflare SA-larni Cloudflare chekka
tarmog'idagi serverlar bo'ylab takrorlaydi va tarqatadi. Bu shuni anglatadiki, butun
Cloudflare tarmog'i sizning tarmog'ingizga yagona IPsec tunnel sifatida ishlaydi.
OpenPGP protokolining maxsus variantlari
-t, --textmode
--no-textmode
Kirish fayllarini matn sifatida ko'rib chiqing va ularni standart "CRLF" qator
oxiri bilan OpenPGP kanonik matn shaklida saqlang. Bu, shuningdek, qabul
qiluvchiga shifrlangan yoki imzolangan ma'lumotlar matn ekanligini va uning
satr oxirlarini mahalliy tizim foydalanadigan narsaga aylantirishni talab qilishi
mumkinligi haqida xabardor qilish uchun kerakli bayroqlarni o'rnatadi. Ushbu
parametr turli xil tugatish konventsiyalariga ega bo'lgan ikkita platforma
o'rtasida aloqa o'rnatishda foydalidir (Mac uchun UNIX, Macdan Windows va
boshqalar).--no-matn
rejimiushbu
parametrni
o'chiradi
va
standart
hisoblanadi. --force-v3-sigs
--no-force-v3-sigs
--force-v4-certs
--no-force-v4-certs
Ushbu variantlar eskirgan va GnuPG 2.1 dan beri hech qanday ta'sir
ko'rsatmaydi. --force-ocb
--force-aead
MDC shifrlash orqali AEAD shifrlashdan foydalanishga majburlang. AEAD
eski MDC usuliga qaraganda autentifikatsiya qilingan shifrlashni amalga
oshirishning zamonaviy va tezroq usulidir. --force-aeadtaxallus va eskirgan.
Variantni ham ko'ring--bo'lak o'lchami.
--force-mdc
--disable-mdc
Ushbu variantlar eskirgan va GnuPG 2.2.8 dan beri hech qanday ta'sir
ko'rsatmaydi. MDC har doim ishlatiladi, agar kalitlar AEAD algoritmidan
foydalanish mumkinligini ko'rsatmasa, bu holda AEAD ishlatiladi. Ammo
e'tibor bering: MDC bo'lmagan eski xabarni yaratish juda zarur bo'lsa, variant
--rfc2440bunga imkon beradi.
--disable-signer-uid
Odatiy bo'lib, imzo kalitining foydalanuvchi identifikatori ma'lumotlar
imzosiga kiritilgan. Hozircha bu faqat imzolash kaliti bilan ko'rsatilgan bo'lsa
amalga oshiriladi mahalliy foydalanuvchipochta manzili yordamida yoki
bilanjo'natuvchi. Ushbu ma'lumot kalitni aniqlashda tekshirgich uchun foydali
bo'lishi mumkin; variantga qarang --avto-kalit-qidiruv.
--include-key-block
--no-include-key-block
Ushbu parametr haqiqiy imzo kalitini ma'lumotlar imzosiga kiritish uchun
ishlatiladi. O'rnatilgan kalit bitta foydalanuvchi identifikatoriga tushiriladi va
faqat imzo yaratish uchun foydalaniladigan imzolash pastki kalitini hamda
yaroqli shifrlash pastki kalitlarini o'z ichiga oladi. Boshqa barcha ma'lumotlar
kalitdan olib tashlanadi va shuning uchun imzo kichik bo'ladi. Ushbu parametr
gpgsmopsiyaning
OpenPGP
hamkasbidir--include-sertsva
imzolangan
xabarni oluvchiga kalitni qidirish uchun hech qanday onlayn kataloglardan
foydalanmasdan jo'natuvchiga shifrlangan javob berish imkonini beradi. Asl
qiymati--no-include-key-block. Variantni ham ko'ring-auto-key-import.
--personal-cipher-preferences string
Shaxsiy shifrlash afzalliklari ro'yxatini stringga o'rnating . gpg versionMavjud algoritmlar ro'yxatini olish uchun foydalaning va nonehech
qanday afzal ko'rmaslik uchun foydalaning. Bu foydalanuvchiga oluvchi kaliti
afzalliklari bilan tanlangan algoritmni xavfsiz bekor qilish imkonini beradi,
chunki GPG faqat barcha qabul qiluvchilar foydalanishi mumkin bo'lgan
algoritmni tanlaydi. Ushbu ro'yxatdagi eng yuqori o'ringa ega bo'lgan shifrdan
ham foydalaniladi--simmetrikshifrlash buyrug'i.
--personal-digest-preferences string
Shaxsiy dayjest afzalliklari ro'yxatini stringga o'rnating . gpg -versionMavjud
algoritmlar ro'yxatini olish uchun foydalaning va nonehech qanday afzal
ko'rmaslik uchun foydalaning. Bu foydalanuvchiga oluvchi kaliti afzalliklari
bilan tanlangan algoritmni xavfsiz bekor qilish imkonini beradi, chunki GPG
faqat barcha qabul qiluvchilar foydalanishi mumkin bo'lgan algoritmni
tanlaydi. Ushbu ro'yxatdagi eng yuqori reytingli dayjest algoritmi shifrlashsiz
imzolashda ham qo'llaniladi (masalan,--aniq-belgiyoki- belgisi).
--personal-compress-preferences string
Shaxsiy siqish afzalliklari ro'yxatini stringga o'rnating . gpg --versionMavjud
algoritmlar ro'yxatini olish uchun foydalaning va nonehech qanday afzal
ko'rmaslik uchun foydalaning. Bu foydalanuvchiga oluvchi kaliti afzalliklari
bilan tanlangan algoritmni xavfsiz bekor qilish imkonini beradi, chunki GPG
faqat barcha qabul qiluvchilar foydalanishi mumkin bo'lgan algoritmni
tanlaydi. Ushbu ro'yxatdagi eng yuqori darajali siqish algoritmi qabul qiluvchi
kalitlari bo'lmaganda ham qo'llaniladi (masalan,--simmetrik).
--s2k-cipher-algo name
Parolli ibora bilan simmetrik shifrlash uchun shifrlash algoritmi sifatida
nomdan foydalaning .--shaxsiy-shifr-afzalliklarva --shifralgoberilmaydi.
Standart - AES-128.
--s2k-digest-algo name
Nosimmetrik shifrlash uchun parollarni o'zgartirish uchun ishlatiladigan
dayjest algoritmi sifatida nomdan foydalaning . Standart SHA-1.
--s2k-mode n
Simmetrik shifrlash uchun parol iboralari qanday o'zgartirilishini tanlaydi.
Agar n 0 bo'lsa, oddiy parol iborasi (bu umuman tavsiya etilmaydi) ishlatiladi,
1 parol iboraga tuz qo'shadi (uni ishlatmaslik kerak) va 3 (standart) butun
jarayonni bir necha marta takrorlaydi ( qarang--s2k-hisob).
--s2k-count n
Simmetrik shifrlash uchun o'zgartirilgan parollar necha marta takrorlanishini
belgilang. Bu qiymat 1024 va 65011712 orasida bo'lishi mumkin. Standart
gpg-agentdan so'raladi. Esda tutingki, 1024-65011712 diapazonidagi barcha
qiymatlar qonuniy emas va agar noqonuniy qiymat tanlansa, GnuPG eng yaqin
qonuniy qiymatga yaxlitlanadi. Bu variant faqat agar mazmunli bo'lsa-s2krejimisukut bo'yicha 3 ga o'rnatiladi.
Transport qatlami xavfsizligi (TLS) nima?
Transport Layer Security yoki TLS - bu Internet orqali aloqa uchun maxfiylik va
ma'lumotlar xavfsizligini ta'minlash uchun mo'ljallangan keng tarqalgan qabul qilingan
xavfsizlik protokoli . TLS ning asosiy qo'llanilishi veb-ilovalar va serverlar o'rtasidagi
aloqani shifrlashdir, masalan, veb-saytni yuklayotgan veb-brauzerlar. TLS elektron
pochta, xabar almashish va IP orqali ovoz (VoIP) kabi boshqa aloqalarni shifrlash uchun
ham ishlatilishi mumkin . Ushbu maqolada biz veb-ilovalar xavfsizligidagi TLS roliga
e'tibor qaratamiz .
TLS xalqaro standartlar tashkiloti boʻlgan Internet Engineering Task Force (IETF)
tomonidan taklif qilingan va protokolning birinchi versiyasi 1999-yilda nashr etilgan. Eng
soʻnggi versiyasi 2018-yilda chop etilgan TLS 1.3 .
TLS va SSL o'rtasidagi farq nima?
TLS Netscape tomonidan ishlab chiqilgan Secure Sockets Layer ( SSL ) deb nomlangan
oldingi shifrlash protokolidan kelib chiqqan . TLS 1.0 versiyasi aslida SSL 3.1 versiyasi
sifatida ishlab chiqila boshlandi, biroq nashrdan oldin protokol nomi Netscape bilan
bog'lanmaganligini ko'rsatish uchun o'zgartirildi. Ushbu tarix tufayli TLS va SSL atamalari
ba'zan bir-birining o'rnida ishlatiladi.
TLS va HTTPS o'rtasidagi farq nima?
HTTPS barcha veb-saytlar va boshqa ba'zi veb-xizmatlar tomonidan qo'llaniladigan
HTTP protokoli ustidagi TLS shifrlashning amalga oshirilishidir . HTTPSdan
foydalanadigan har qanday veb-sayt shuning uchun TLS shifrlashdan foydalanadi.
Nima uchun biznes va veb-ilovalar TLS
protokolidan foydalanishi kerak?
TLS shifrlash veb-ilovalarni ma'lumotlar buzilishi va boshqa hujumlardan himoya qilishga
yordam beradi . Bugungi kunda TLS bilan himoyalangan HTTPS veb-saytlar uchun
standart amaliyotdir. Google Chrome brauzeri asta-sekin HTTPS bo'lmagan saytlarni
yo'q qildi va boshqa brauzerlar ham shunga o'xshash. Kundalik Internet
foydalanuvchilari HTTPS qulf belgisi bo'lmagan veb-saytlardan ko'proq ehtiyot
bo'lishadi.
TLS nima qiladi?
TLS protokoli amalga oshiradigan uchta asosiy komponent mavjud: shifrlash ,
autentifikatsiya va yaxlitlik.
•
•
•
Shifrlash: uchinchi shaxslardan uzatilayotgan ma'lumotlarni
yashiradi.
Autentifikatsiya: ma'lumot almashayotgan tomonlar o'zlari da'vo
qilgan shaxs ekanligini ta'minlaydi.
Butunlik: ma'lumotlar soxtalashtirilmagan yoki o'zgartirilmaganligini
tasdiqlaydi.
TLS sertifikati nima?
Veb-sayt yoki ilova TLSdan foydalanishi uchun uning kelib chiqish serverida TLS
sertifikati oʻrnatilgan boʻlishi kerak ( yuqorida tavsiflangan nomlashda chalkashlik tufayli
sertifikat “ SSL sertifikati ” sifatida ham tanilgan). TLS sertifikati sertifikat organi
tomonidan domenga ega bo'lgan shaxs yoki biznesga beriladi. Sertifikatda serverning
ochiq kaliti bilan birga domen kimga tegishli ekanligi haqidagi muhim ma'lumotlar
mavjud bo'lib, ularning ikkalasi ham server identifikatorini tasdiqlash uchun muhimdir.
TLS qanday ishlaydi?
TLS ulanishi TLS qo'l siqish deb nomlanuvchi ketma-ketlik yordamida boshlanadi .
Foydalanuvchi TLS dan foydalanadigan veb-saytga kirganda, foydalanuvchi qurilmasi (
mijoz qurilmasi deb ham ataladi) va veb-server o'rtasida TLS qo'l siqish boshlanadi.
TLS suhbati paytida foydalanuvchi qurilmasi va veb-server:
•
Ular TLS ning qaysi versiyasidan foydalanishini belgilang (TLS 1.0,
1.2, 1.3 va boshqalar).
•
Qaysi shifrlar to'plamini ishlatishini hal qiling (pastga qarang).
•
Serverning TLS sertifikati yordamida server identifikatorini tasdiqlang
•
Qo‘l siqish tugagandan so‘ng ular orasidagi xabarlarni shifrlash uchun
seans kalitlarini yarating
TLS qo'l siqish har bir aloqa seansi uchun shifrlar to'plamini o'rnatadi. Shifrlar to'plami bu muayyan seans uchun qanday umumiy shifrlash kalitlari yoki seans kalitlari
ishlatilishi kabi tafsilotlarni belgilaydigan algoritmlar to'plami . TLS ochiq kalit
kriptografiyasi deb nomlanuvchi texnologiya tufayli shifrlanmagan kanal orqali mos
seans kalitlarini o'rnatishga qodir .
Qo'l siqish, shuningdek, autentifikatsiya bilan shug'ullanadi, bu odatda mijozga o'z
shaxsini tasdiqlovchi serverdan iborat. Bu ochiq kalitlar yordamida amalga oshiriladi.
Ochiq kalitlar - bu bir tomonlama shifrlashdan foydalanadigan shifrlash kalitlari, ya'ni
ochiq kalitga ega bo'lgan har bir kishi serverning shaxsiy kaliti bilan shifrlangan
ma'lumotlarning haqiqiyligini ta'minlash uchun uni ochishi mumkin, lekin faqat asl
jo'natuvchi shaxsiy kalit bilan ma'lumotlarni shifrlashi mumkin. Serverning ochiq kaliti
uning TLS sertifikatining bir qismidir.
Ma'lumotlar shifrlangan va autentifikatsiya qilingandan so'ng, u xabar autentifikatsiya
kodi (MAC) bilan imzolanadi. Qabul qiluvchi keyinchalik ma'lumotlarning yaxlitligini
ta'minlash uchun MAC-ni tekshirishi mumkin. Bu aspirin shishasidagi o'zgarmas folgaga
o'xshaydi; iste'molchi hech kim o'z dori-darmonlarini buzmaganligini biladi, chunki ular
sotib olayotganda folga buzilmagan.
TLS veb-ilovaning ishlashiga qanday ta'sir
qiladi?
TLS ning so'nggi versiyalari veb-ilovalar ishlashiga deyarli ta'sir qilmaydi.
TLS ulanishini o'rnatish bilan bog'liq murakkab jarayon tufayli, biroz yuklash vaqti va
hisoblash quvvati sarflanishi kerak. Mijoz va server har qanday ma'lumotni uzatishdan
oldin bir necha marta oldinga va orqaga bog'lanishi kerak va bu veb-ilovalar uchun
qimmatli millisekundlarni yuklash vaqtini, shuningdek, mijoz va server uchun biroz
xotirani egallaydi.
Biroq, TLS bilan qo'l siqish orqali yuzaga kelishi mumkin bo'lgan kechikishni
yumshatishga yordam beradigan texnologiyalar mavjud . Ulardan biri TLS False Start
boʻlib, u server va mijozga TLS bilan qoʻl siqish tugaguniga qadar maʼlumotlarni
uzatishni boshlash imkonini beradi. TLS tezligini tezlashtirishning yana bir texnologiyasi
bu TLS sessiyasini qayta tiklash boʻlib, u ilgari muloqot qilgan mijozlar va serverlarga
qisqartirilgan qoʻl siqishdan foydalanish imkonini beradi.
Ushbu yaxshilanishlar, TLS'ni yuklash vaqtlariga sezilarli darajada ta'sir qilmasligi kerak
bo'lgan juda tez protokol qilishga yordam berdi . TLS bilan bog'liq hisoblash
xarajatlariga kelsak, ular bugungi standartlarga ko'ra ahamiyatsiz.
2018-yilda chiqarilgan TLS 1.3, TLS-ni yanada tezroq qildi. TLS 1.3 da TLS qoʻl siqishlari
ikkita oʻrniga faqat bitta aylanma sayohatni (yoki oldinga va orqaga) talab qiladi, bu
jarayonni bir necha millisekundga qisqartiradi. Agar foydalanuvchi ilgari veb-saytga
ulangan bo'lsa, TLS qo'l siqishida nol aylanma sayohatlar mavjud bo'lib, uni yanada
tezlashtiradi.
Veb-saytda TLSni qanday amalga oshirishni
boshlash kerak
Cloudflare barcha foydalanuvchilarga bepul TLS/SSL sertifikatlarini taqdim etadi.
Cloudflare-dan foydalanmaydigan har bir kishi sertifikat idorasidan ko'pincha haq
evaziga SSL sertifikatini olishi va sertifikatni o'zining kelib chiqish serverlariga o'rnatishi
kerak bo'ladi .