21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
DASTURLAR
BRAUZERLAR
IJTIMOIY TARMOQLAR
KOMPYUTER
uy - Windows 8 - IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
IPSEC PROTOKOLLARI. IPSEC QANDAY ISHLAYDI  KATEGORIYALAR
IPSEC TUNNEL VA TRANSPORT REJIMI
IPSec protokollar oilasining arxitekturasini ko'rib chiqing. Ushbu protokollar
oilasining maqsadi IPv4 va IPv6 protokollari uchun turli xil IP-qatlam
xavfsizlik xizmatlarini taqdim etishdir. IPSec protokollari tomonidan taqdim
etilgan xavfsizlik xizmatlarini va TCP / IP tarmoqlarida ushbu protokollardan
foydalanishni ko'rib chiqing.
Ushbu xizmatlar to'g'ri o'rnatilganda, ular trafikni himoya qilish uchun
ushbu xavfsizlik xizmatlaridan foydalanmaydigan foydalanuvchilar, xostlar
va boshqa Internet komponentlarining ishiga xalaqit bermaydi. Ushbu
xizmatlar algoritmdan mustaqildir. Bu protokollarni o'zgartirmasdan yangi
kriptografik algoritmlarni qo'shish qobiliyatini anglatadi. Masalan,
foydalanuvchilarning turli guruhlari foydalanishi mumkin turli to'plamlar
algoritmlar.
Dasturlar
Brauzerlar
Ijtimoiy tarmoqlar
Kompyuter
Windows 8
Video
Internetda o'zaro hamkorlikni ta'minlash uchun standart standart
algoritmlar to'plami aniqlangan. Ushbu algoritmlardan IPSec tomonidan
taqdim etilgan trafikni himoya qilish va kalitlarni boshqarish protokollari
bilan birgalikda foydalanish tizim va dastur dizayneriga yuqori darajadagi
kriptografik xavfsizlikni ta'minlash imkonini beradi.
IPSec operatsion tizimida ham, router yoki xavfsizlik devorida ham amalga
oshirilishi mumkin.
IPSec taqdim etadi maxfiylik, ma'lumotlar yaxlitligi, kirish nazorati va IP
datagramlari uchun ma'lumotlar manbasini autentifikatsiya qilish. Ushbu
xizmatlar IP-datagrammalarining manbasi va manzili o'rtasidagi holatni
saqlash orqali taqdim etiladi. Bu holat datagram darajasida maxsus
xavfsizlik xizmatlarini, taqdim etilgan xizmatlar uchun ishlatiladigan
kriptografik algoritmlarni va ushbu algoritmlar uchun kalitlarni belgilaydi.
IPSec protokollarining asosiy vazifalarini sanab o'tamiz:
1. IPv4 va IPv6 protokollari uchun IP darajasida kriptografik himoyani
ta'minlash, ya'ni ma'lumotlarning maxfiyligi va yaxlitligini va ma'lum
bir ma'lumotlar ketma-ketligining yaxlitligini ta'minlash.
2. IPSec protokollaridan foydalanishni talab qilmaydigan IP-trafik uchun
shaffoflikni ta'minlaydi.
3. Kengaytirishni ta'minlash, ya'ni. protokolning o'zini o'zgartirmasdan
yangi algoritmlar to'plamini qo'shish imkoniyati.
IPSec ham IPv4, ham IPv6 uchun kriptografiyadan foydalangan holda
xavfsiz muloqot qilish uchun mo'ljallangan. Xavfsizlik xizmatlari o'z ichiga
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
1/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
oladi kirish nazorati, yaxlitlik va maxfiylik ma'lumotlar va ma'lum bir ketmaketlikdagi ma'lumotlarning yaxlitligini kafolatlash orqali ta'minlangan
takroriy hujumlardan himoya qilish. Ushbu xizmatlar IP darajasida taqdim
etiladi, IP va undan yuqori darajadagi protokollar uchun xavfsizlikni
ta'minlaydi.
IPSec yaxlitlikning ikkita shaklini qo'llab-quvvatlaydi: ma'lumotlar yaxlitligi
va ma'lum bir datagramma ketma-ketligining yaxlitligi. Ma'lumotlar yaxlitligi
trafik oqimidagi datagrammalar ketma-ketligidan qat'i nazar, ma'lum bir IPdatagrammaga o'zgartirishni aniqlaydi. Datagram Sequence Integrity - IPdatagrammalarining takrorlanishini aniqlaydigan javobga qarshi xizmat. Bu
ulanishning yaxlitligidan farqli o'laroq, buning uchun qat'iyroq trafik
yaxlitligi talablari, ya'ni yo'qolgan yoki qayta tartiblangan xabarlarni
aniqlash qobiliyati mavjud.
IPSec protokollarini, tizimning asosiy komponentlarini va ularning xavfsizlik
xizmatlarini ko'rsatish uchun o'zaro ta'sirini amalga oshirishni ko'rib chiqing.
IP-trafikni himoya qilish uchun IPSec host (H) yoki Security Gateway (SG)
da ishlaydi. "Xavfsizlik shlyuzi" atamasi IPsec protokollarini amalga
oshiradigan marshrutizatorga murojaat qilish uchun ishlatiladi.
Himoya ma'mur tomonidan o'rnatiladigan va qo'llab-quvvatlanadigan
Xavfsizlik siyosati ma'lumotlar bazasida (SPD) belgilangan talablarga
asoslanadi. Umuman olganda, paketlar SPDda qayd etilgan IP sarlavhasi va
transport ma'lumotlari asosida uchta usuldan birida qayta ishlanadi. Har bir
paket tashlanadi, qayta ishlanmasdan uzatiladi yoki ushbu paket uchun
SPD yozuviga muvofiq qayta ishlanadi.
IPSEC-NI AMALGA OSHIRISHNING MUMKIN BO'LGAN USULLARI
IPSec-ni xostda yoki router yoki xavfsizlik devori bilan birgalikda (xavfsizlik
shlyuzini yaratish uchun) amalga oshirishning bir necha yo'li mavjud.
1. IPSec-ni
IP
protokolining
maxsus
amalga
oshirilishiga
integratsiyalash. Bu kirishni talab qiladi manba kodi IP ham
xostlarda, ham xavfsizlik shlyuzlarida amalga oshiriladi.
2. "Bump-in-the-stack" (BITS) ilovalari, bunda IPSec mavjud IP
protokoli stekini amalga oshirishning "pastki qismida" amalga
oshiriladi, uning amalga oshirilishi standart IP protokoli va mahalliy
tarmoq drayverlari o'rtasida joylashtiriladi. IP stekining manba kodiga
kirish Ushbu holatda talab qilinmaydi. Ushbu yondashuv odatda
IPSec ulanadigan kutubxona sifatida amalga oshirilganda xostlarda
qo'llaniladi.
3. Tashqi kriptoprotsessordan foydalanish. Bu odatda "Bump-in-thewire" (BITW) ilovasi deb ataladi. Bunday ilovalar xostlarda ham,
shlyuzlarda ham qo'llanilishi mumkin. Odatda BITW qurilmalari IP
manziliga ega.
YO'L HARAKATI XAVFSIZLIGI PROTOKOLLARI VA XAVFSIZ
ASSOTSIATSIYA TUSHUNCHASI
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
2/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
IPSec tomonidan taqdim etiladigan trafikni himoya qilish xizmatlari ikkita
xavfsiz trafik protokollari yordamida amalga oshiriladi: Autentifikatsiya
sarlavhasi (AH) va Encapsulating Security Payload (ESP).
IPSec-da trafikni himoya qilish uchun quyidagi protokollar aniqlanadi:
1. Encapsulating Security Payload (ESP) protokoli protokollar stekidagi
yuqoriroq protokollarning konfidensialligi va yaxlitligini ta'minlaydi va
ixtiyoriy ravishda takrorlashga qarshi xizmatni taqdim etishi mumkin,
ya'ni. ma'lum bir ketma-ketlikdagi datagrammalarning yaxlitligi.
2. Autentifikatsiya sarlavhasi (AH) protokoli protokollar stekida
yuqoriroqda joylashgan protokollarning yaxlitligini va jo‘natuvchidan
qabul qiluvchiga uzatishda o‘zgarmaydigan alohida IP sarlavhalari
maydonlarining yaxlitligini ta’minlaydi; bundan tashqari, takrorlashga
qarshi xizmat. ta'minlanadi, ya'ni ma'lum bir ketma-ketlikdagi
datagrammalarning yaxlitligi. Ushbu protokolni amalga oshirish IPSec
v2 da ixtiyoriy.
3. Ushbu protokollarning parametrlari tarqatish protokolida aniqlanadi
Internet kalitlari Kalit almashinuvi (IKE).
IPSec tomonidan himoyalangan trafik bilan bog'langan xavfsizlik uyushmasi
(SA) tushunchasi. SA turli xil tarmoq xavfsizligi xizmatlarini amalga oshirish
uchun zarur bo'lgan barcha ma'lumotlarni o'z ichiga oladi.
SA - simpleks (bir yo'nalishli) mantiqiy aloqa IPSec protokollaridan biri
yordamida himoyalangan ikkita so'nggi nuqta o'rtasida yaratilgan. ESP va
AH SA orqali trafikni olib boradi. SA orqali o'tkaziladigan barcha trafik
ulanish oxirida o'rnatilgan xavfsizlik siyosatiga muvofiq qayta ishlanadi.
Keling, SA boshqaruvining turli jihatlarini tavsiflaymiz, aniqlaymiz mumkin
bo'lgan usullar xavfsizlik siyosatini boshqarish, trafikni boshqarish va SA
boshqaruvi.
SA trafik uchun qo'llaniladigan xavfsizlik xizmatlarining parametrlarini
belgilaydi. Odatda, ikkita xost yoki ikkita Xavfsizlik shlyuzlari o'rtasidagi ikki
yo'nalishli ulanish uchun ikkita SA (har bir yo'nalish uchun bittadan) kerak
bo'ladi.
Biz SA ni faqat unicast ulanishlar uchun ko'rib chiqamiz.
Ikki SA rejimi belgilangan: transport rejimi va tunnel rejimi. Transport
rejimi uchun ishlatiladi VPN yaratish ikki xost o'rtasida. IPv4 da Transport
Mode Security Protocol sarlavhasi IP sarlavhasidan keyin darhol paydo
bo'ladi. ESPda SA transport rejimi IP sarlavhasi uchun emas, balki faqat
yuqori qatlamli protokollar uchun xavfsizlik xizmatlarini taqdim etadi. AH
holatida himoya IP sarlavhasining alohida qismlariga ham tegishli.
Boshqa SA rejimi tunnel rejimidir. Agar ulanishning uchlaridan biri Xavfsizlik
shlyuzi bo'lsa, u holda IPSec SA standartlariga ko'ra, u tunnel rejimida
bajarilishi kerak, ammo ko'plab ishlab chiqaruvchilar bu holda tunnel va
transport usullariga ruxsat beradi. Shuni esda tutingki, trafik Xavfsizlik
shlyuziga mo'ljallangan bo'lsa, masalan, ping yoki SNMP buyruqlari bo'lsa,
Xavfsizlik shlyuzi xost hisoblanadi va odatda foydalaniladi. transport
rejimi... Ikki xost kerak bo'lganda o'rnatilishi mumkin tunnel rejimi.
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
3/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
Tunnel rejimida tashqi IP sarlavhasi qo'shiladi, bu erda manzillar Xavfsizlik
shlyuzlaridir. Ichki IP sarlavhasi maqsad hostlarni ko'rsatadi. Xavfsizlik
protokoli sarlavhasi tashqi IP sarlavhasidan keyin va ichki IP sarlavhasidan
oldin joylashgan. Agar AH tunnel rejimida ishlatilsa, tashqi IP
sarlavhasining qismlari butun tunnelli IP paketi kabi xavfsizdir, ya'ni. barcha
yuqori qatlam protokollari kabi barcha ichki sarlavhalar himoyalangan. Agar
ESP ishlatilsa, tashqi sarlavha uchun emas, balki faqat tunnelli paket uchun
himoya ta'minlanadi.
Qisqacha xulosa qilish uchun:
1. Xost ikkala rejimni ham, transport va tunnelni ham qo'llabquvvatlashi mumkin.
2. Xavfsizlik shlyuzi odatda faqat tunnel rejimidan foydalanadi. Agar
u transport rejimini qo'llab-quvvatlasa, bu rejim odatda faqat xavfsiz
shlyuz trafikni qabul qiluvchi bo'lsa, masalan, tarmoqni boshqarish
uchun ishlatiladi.
Amalga oshirilganlar to'plami
Biz allaqachon IPSec kontseptsiyasini muhokama qildik, ushbu maqolada
biz IPSec-ni batafsil ko'rib chiqamiz.
Shunday qilib, IPSec nomi IP xavfsizligidan kelib chiqqan.
IPSec - bu Layer3 darajasida IP-paketlarni himoya
ishlatiladigan protokollar va algoritmlar to'plami.
qilish
uchun
IPSec sizga quyidagilarga kafolat beradi:
- Maxfiylik - shifrlashdan foydalanish
- Ma'lumotlar yaxlitligi - Hashing va HMAC orqali \
- Autentifikatsiya - Raqamli imzolar yoki Pre-shared kalit (PSK) yordamida.
Keling, asosiy IPsec protokollarini sanab o'tamiz:
■ ESP va AH: IPsec-da ishlatiladigan ikkita asosiy protokol.
Inkapsulatsiyalangan xavfsizlik yuki (ESP), IPsec uchun zarur bo'lgan
hamma narsani qila oladi va
Autentifikatsiya sarlavhasi (AH), shifrlash, ma'lumotlarni shifrlashdan
tashqari hamma narsani qila oladi - shuning uchun ESP ko'pincha
ishlatiladi.
■ Maxfiylik uchun shifrlash algoritmlari: DES, 3DES, AES.
■Butunlik uchun xesh algoritmlari: MD5, SHA.
■ Autentifikatsiya algoritmlari: Oldindan umumiy kalitlar (PSK), RSA
raqamli imzolari.
■ Kalit boshqaruvi: Misol sifatida foydalanish mumkin bo'lgan DiffieHellman (DH) bo'lishi mumkin
simmetrik algoritmlar tomonidan ishlatiladigan simmetrik kalitlarni dinamik
ravishda yaratish; PKI,
ishonchli CAlar tomonidan chiqarilgan raqamli sertifikatlar funksiyasini
qo'llab-quvvatlaydi; va Internet
Key Exchange (IKE), biz uchun juda ko'p muzokaralar va boshqaruvni
amalga oshiradi
Ishlash uchun IPsec.
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
4/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
NIMA UCHUN IPSEC KERAK
Ikki ofisni ulash uchun quyidagi oddiy topologiyani ko'rib chiqing.
Biz ikkita ofisning ulanishini ta'minlashimiz va quyidagi maqsadlarga
erishishimiz kerak:
Maxfiylik- ma'lumotlarni shifrlash orqali taqdim etiladi.
Ma'lumotlar yaxlitligi- xeshlash orqali yoki orqali taqdim etiladi
Xashlangan xabar autentifikatsiya kodi (HMAC), - ma'lumotlar
o'zgartirilmaganligini ta'minlash usullari.
Autentifikatsiya- foydalanish bilan ta'minlangan oldindan
ulashilgan kalitlar (PSK) yoki raqamli imzolar... Va HMAC-dan
foydalanganda, autentifikatsiya har doim sodir bo'ladi.
Antireplay himoyasi- barcha VPN paketlari raqamlangan, bu ularni
takrorlanishdan himoya qiladi.
IPSEC PROTOKOLLARI VA PORTLARI
IKEv1
1bosqich
UDP
porti
500
IKEv1 1-bosqichi muzokaralar uchun
UDP: 500 dan foydalanadi.
UDP
porti
4500
NAT Traversal qurilmalar tomonidan
NAT orqali o'tish uchun ishlatiladi.
Agar ikkala qurilma bir-biriga NAT
orqali ulansa: ular 4500 soxta UDP
portini qo'ymoqchi
har bir IPsec paketidagi sarlavha (ESP
sarlavhasidan oldin).
aks holda muammo bo'lishi mumkin
bo'lgan NAT qurilmasidan omon qoling
ESP seansini kuzatish (4-layer
protokoli 50)
ESP
4-qavat
protokoli
50
Barcha IPSec paketlari ESP ning 4qavat protokoli (IP Protocol # 50)
bo'lib, u barcha ma'lumotlarni qamrab
oladi. Odatda ESP ishlatiladi (AH
emas). NAT-T dan foydalanilganda,
ESP sarlavhasi ikkinchi UDP sarlavhasi
bilan qoplangan.
AH
4qatlam
protokoli
51
AH paketlari AH ning 4-qatlam
protokoli (IP Protocol # 51). AH
foydali yukni shifrlashni qo'llabquvvatlamaydi va shuning uchun
kamdan-kam qo'llaniladi.
NAT-T
(NAT
O'tish)
IPSEC ISHI
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
5/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
Seyfni ko'tarish uchun VPN ulanishlari.IPSec protokolidan foydalanadi
Internet kalit almashinuvi (IKE).
IKE tomonidan taqdim etilgan ramka Internet xavfsizligi Uyushma, va yana
Kalitlarni boshqarish protokoli (ISAKMP)
Shunday qilib, bizning konfiguratsiyamizda ikkala router ham shunday
ishlaydi VPN shlyuzi yoki IPsec tengdoshlari.
10.0.0.0 tarmog'idagi foydalanuvchi 172.16.0.0 tarmog'iga paket yubordi
deylik.
Tunnel hali yaratilmaganligi sababli, R1 ikkinchi router R2 bilan
muzokaralarni boshlaydi.
1-QADAM: IKEV1 1-BOSQICH TUNNELINI
MUHOKAMA QILING
Routerlar orasidagi birinchi qadam ko'tariladi Internet kalitlari almashinuvi
(IKE) 1-bosqich tunnel.
Bunday
tunnel
foydalanuvchi
ma'lumotlarini
uzatish
uchun
mo'ljallanmagan, lekin xizmat ko'rsatish maqsadlarida, boshqaruv trafigini
himoya qilish uchun ishlatiladi.
IKE 1-bosqich tunnelini ko'tarish ikki rejimda amalga oshirilishi mumkin:
- asosiy rejim
- agressiv rejim
Asosiy rejim ko'p sonli paketlarni almashtirishni talab qiladi, ammo
xavfsizroq hisoblanadi.
IKE 1-bosqich tunnelini ko'tarish uchun quyidagi elementlarni muhokama
qilish kerak:
Xesh algoritmi: Bo'lishi mumkin Xabarlar dayjesti 5 algoritmi (MD5)
yoki Xavfsiz xesh
Algoritm (SHA).
Shifrlash algoritmi: Raqamli shifrlash standarti (DES)(zaif, tavsiya
etilmaydi) Uchlik DES (3DES)(bir oz yaxshiroq) yoki Kengaytirilgan
shifrlash standarti (AES)(tavsiya etiladi) AES turli uzunlikdagi
kalitlardan foydalanishi mumkin: qanchalik uzoq bo'lsa, shuncha
xavfsizroq.
Foydalanish uchun Diffie-Hellman (DH) guruhi: DH "guruhi"
modul o'lchamini bildiradi (uzunligi
kalit) DH kalit almashinuvi uchun foydalanish. 1-guruhda 768 bit, 2guruhda 1024 bit va
5-guruh 1536 dan foydalanadi. Yana xavfsiz DH guruhlari keyingi
avlod shifrlashning bir qismidir
(NGE):
- 14 yoki 24-guruh: 2048-bit DH-ni ta'minlaydi
- 15 va 16-guruhlar: 3072-bit va 4096-bit DH-ni qo'llab-quvvatlash
- 19 yoki 20-guruh: mos ravishda 256-bit va 384-bit ECDH
guruhlarini qo'llab-quvvatlaydi
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
6/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
DH ning vazifasi kalitlash materialini (simmetrik kalitlar) yaratishdir.
Ushbu kalitlar ma'lumotlarni uzatish uchun ishlatiladi.
DH ning o'zi assimetrikdir, lekin u simmetrik kalitlarni hosil qiladi.
Autentifikatsiya usuli: shaklida bo'lishi mumkin oldindan
ulashilgan kalit (PSK) yoki RSA imzolari
Hayot paytida: IKE 1-bosqich tunnelining ishlash muddati. Mos
kelmasligi mumkin bo'lgan yagona parametr. Ishlash muddati
qanchalik qisqa bo'lsa, kalitlar shunchalik tez-tez almashtiriladi va u
xavfsizroq bo'ladi.
2-QADAM: DH KEY EXCHANGE-NI ISHGA
TUSHIRING
Routerlar IKE 1-bosqich siyosatiga rozi bo'lgandan so'ng, ular DH kalitlarini
almashish jarayonini boshlashlari mumkin. DH hali xavfsiz ulanishga ega
bo'lmagan ikkita qurilmaga simmetrik kalitlarni xavfsiz almashish imkonini
beradi, ular AES kabi nosimmetrik algoritmlar tomonidan qo'llaniladi.
3-QADAM: TENGDOSHNI AUTENTIFIKATSIYA
QILING
IKE 1-bosqichida amalga oshiriladigan oxirgi narsa bu ikki usul bilan
amalga oshirilishi mumkin bo'lgan xostlarni o'zaro autentifikatsiya qilishdir
(PSK yoki RSA raqamli imzolari)
Agar autentifikatsiya muvaffaqiyatli o'tgan bo'lsa, IKE 1-bosqich tunneli
tayyor deb hisoblanadi. Tunnel ikki tomonlama.
4-QADAM: IKE 2-BOSQICH
IKE Phase 1 tunnel ko'tarilgandan so'ng, marshrutizatorlar IKE Phase 1
tunnelini ko'tarishni boshlaydilar.
Yuqorida aytib o'tilganidek, IKE Phase 1 tunnel sof xizmat ko'rsatish,
boshqaruv tunnelidir va IKE Phase 2 tunnelini ko'tarish uchun barcha
muzokaralar trafigini u orqali o'tadi.
IKE Phase 2 tunnel ham xeshlash va shifrlash algoritmlaridan foydalanadi.
IKE Phase 2 tunnelini ko'tarish bitta rejimda amalga oshirilishi mumkin:
- tezkor rejim
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
7/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
IKE Phase 2 tunneli aslida ikkita bir tomonlama tunneldir, ya'ni. yaratilgan
deb aytishimiz mumkin:
Bir IKE 1-bosqich tunneli, bu uy xo'jaligi uchun ishlatiladigan ikki
tomonlama.
Va ikkita IKE Phase 2 tunnellari, ular bir yo'nalishli va foydali yuk trafigini
shifrlash uchun ishlatiladi.
Bu tunnellarning barchasi deb ham ataladi ikki VPN tengdoshlari o'rtasidagi
xavfsizlik shartnomalari yoki xavfsizlik uyushmalari (SA).
Har bir SA o'zining noyob raqamiga ega.
Endi, IKE Phase 2 tunneli ko'tarilgandan so'ng, tashqi interfeyslarni tark
etadigan barcha paketlar shifrlanadi.
KONFIGURATSIYAGA MISOL
Keling, misol sifatida ushbu diagramma yordamida IPsec konfiguratsiyasi
misolini ko'rib chiqaylik.
1. Qiziqarli trafikni sozlang
Birinchidan, biz shifrlaydigan trafikni aniqlashimiz kerak.
Router R1
IP kirish roʻyxati kengaytirilgan VPN-ACL
ruxsatnomasi
ip
192.168.1.0
0.0.0.255
192.168.2.0 0.0.0.255
Router R2
IP kirish roʻyxati kengaytirilgan VPN-ACL
ruxsatnomasi
ip
192.168.2.0
0.0.0.255
192.168.1.0 0.0.0.255
2. 1-bosqichni sozlash (ISAKMP)
1-bosqich biznes maqsadlarida foydalaniladigan tunnelni o'rnatadi:
maxfiy kalitlarni almashish, autentifikatsiya qilish, IKE xavfsizlik
siyosatini muhokama qilish va h.k.
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
8/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
Turli xil ustuvorliklarga ega bir nechta isakmp siyosatlari yaratilishi
mumkin.
Router R1
kripto isakmp
200.200.200.1
kaliti
maxfiy
kalit
manzili
Router R2
kripto isakmp siyosati 1 shifrlash 3des hash md5
autentifikatsiyasi oldindan almashish guruhi 2
kripto isakmp
100.100.100.1
kaliti
maxfiy
kalit
manzili
Bu erda kalit IKE 1-bosqich autentifikatsiyasi uchun marshrutizatorlar
tomonidan ishlatiladigan PSK (Preshared Key) hisoblanadi.
3. 2-bosqichni sozlash (IPSEc)
IKE Phase 2 tunnelining maqsadi ikki ofisning xostlari o'rtasida
foydali yuk trafigini o'tkazishdir.
Faza 2 Tunnel parametrlari transform to'plamlari deb ataladigan
to'plamlarga guruhlangan.
Router R1
kripto ipsec transform-set TRSET esp-3des esp-md5hmac! kripto xaritasi VPNMAP 10 ipsec-isakmp set peer
200.200.200.1 majmui transform-set TRSET mos
manzil VPN-ACL! interfeysi FastEthernet0 / 0 kripto
xaritasi VPNMAP
Router R2
kripto ipsec transform-set TRSET esp-3des esp-md5hmac! kripto xaritasi VPNMAP 10 ipsec-isakmp set peer
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
9/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
100.100.100.1 majmui transform-set TRSET mos
manzil VPN-ACL! interfeysi FastEthernet0 / 0 kripto
xaritasi VPNMAP
Ikkala xost ham kripto ipsec transform-set TRSET esp-3des esp-md5hmac-dan foydalangan.
Bu shifrlash uchun 3des va autentifikatsiya uchun md5-hmac
ishlatilishini anglatadi.
Kripto xaritasi interfeysga joylashtirilgan. CryptoMap belgilangan
shartlarga javob beradigan trafikni nazorat qiladi. Bizning kripto
xaritamiz ichki trafik uchun ACL tomonidan o'rnatilgan 100.100.100.1
manziliga ega marshrutizator bilan ishlaydi va ushbu trafikka
transformatsiyalangan TRSETni qo'llaydi.
IPSEC TEKSHIRUVI
Umuman olganda, foydali buyruqlar ro'yxati quyidagicha:
kripto isakmp siyosatini ko'rsatish
kripto xaritasini ko'rsatish
Kripto isakmpni batafsil ko'rsatish
kripto ipsec sa ko'rsatish
faol kriptomotor ulanishlarini ko'rsatish
Amalda quyidagilar eng foydali hisoblanadi:
protokolning paydo bo'lishining qisqacha tarixiy ma'lumotlari
1994 yilda Internet Arxitektura Kengashi (IAB) Internet Arxitektura
xavfsizligi hisobotini e'lon qildi. Ushbu hujjat Internetda qo'shimcha
xavfsizlik vositalarini qo'llashning asosiy yo'nalishlarini, ya'ni ruxsatsiz
monitoringdan himoya qilish, paketlarni buzish va ma'lumotlar oqimini
boshqarishni tavsiflaydi. Aniqlangan birinchi va eng muhim himoya
choralari qatorida ma’lumotlar oqimining yaxlitligi va maxfiyligini ta’minlash
bo‘yicha kontseptsiya va asosiy mexanizmlarni ishlab chiqish zarurligi qayd
etildi. TCP/IP oilasining asosiy protokollarining oʻzgarishi Internet
tarmogʻining toʻliq qayta tuzilishiga olib kelishi sababli, mavjud protokollar
asosida ochiq telekommunikatsiya tarmoqlarida axborot almashinuvi
xavfsizligini taʼminlash vazifasi qoʻyildi. Shunday qilib, IPv4 va IPv6
protokollarini to'ldiruvchi Secure IP spetsifikatsiyasini yaratish boshlandi.
IPSec arxitekturasi
IP xavfsizligi - bu IP-paketlarni tashish paytida shifrlash, autentifikatsiya va
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
10/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
xavfsizlik bilan shug'ullanadigan protokollar to'plami; hozirda 20 ga yaqin
standart takliflari va 18 ta RFC mavjud.
IP xavfsizligi spetsifikatsiyasi (bugungi kunda IPsec nomi bilan tanilgan)
IETF IP xavfsizlik protokoli ishchi guruhi tomonidan ishlab chiqilmoqda.
IPsec dastlab IP xavfsizlik arxitekturasi, autentifikatsiya sarlavhasi (AH),
inkapsullangan ma'lumotlar inkapsulyatsiyasi (ESP) RFC (RFCs 1825, 1826
va 1827) sifatida nashr etilgan 3 ta algoritmga bog'liq bo'lmagan asosiy
spetsifikatsiyalardan iborat edi. Shuni ta'kidlash kerakki, 1998 yil noyabr
oyida IP xavfsizlik protokoli ishchi guruhi ushbu spetsifikatsiyalarning yangi
versiyalarini taklif qildi, ular hozirgi vaqtda RFC2401 - RFC2412 standartlari
loyihasidir. E'tibor bering, RFC1825-27 bir necha yillardan beri eskirgan va
umuman ishlatilmaydi. Bundan tashqari, MD5, SHA, DES protokollaridan
foydalangan holda bir nechta algoritmga bog'liq spetsifikatsiyalar mavjud.
1-rasm. IPSec arxitekturasi
IP xavfsizligi protokoli ishchi guruhi asosiy ma'lumotlarni boshqarish uchun
protokollarni ham ishlab chiqadi. Bu guruhga foydalaniladigan xavfsizlik
protokollaridan mustaqil boʻlgan amaliy qatlam kalitlarini boshqarish
protokoli boʻlgan Internet Key Management Protocol (IKMP) ni ishlab
chiqish vazifasi yuklangan. Hozirda Internet xavfsizligi assotsiatsiyasi va
kalitlarni boshqarish protokoli (ISAKMP) va Oakley kalitini aniqlash
protokolidan foydalangan holda asosiy boshqaruv tushunchalari
o'rganilmoqda. ISAKMP spetsifikatsiyasi foydalanilgan protokollarning
atributlarini muhokama qilish mexanizmlarini tavsiflaydi, Oakley protokoli
esa Internetdagi kompyuterlarda seans kalitlarini o'rnatishga imkon beradi.
Ilgari, SKIP kalitlarini boshqarish mexanizmlaridan foydalanish imkoniyatlari
ham ko'rib chiqilgan, ammo hozir bunday imkoniyatlar deyarli hech qaerda
qo'llanilmaydi. Asosiy ma'lumotlarni boshqarish uchun yangi standartlar
Kerberosga o'xshash kalitlarni tarqatish markazlarini qo'llab-quvvatlashi
mumkin. Kerberosga asoslangan IPSec uchun kalitlarni boshqarish
protokollari endi nisbatan yangi Kerberized Internet Negotiation of Keys
(KINK) ishchi guruhi tomonidan ko'rib chiqilmoqda.
IPsec spetsifikatsiyasida ma'lumotlar yaxlitligi va maxfiylik kafolatlari mos
ravishda autentifikatsiya va shifrlash mexanizmlaridan foydalanish orqali
ta'minlanadi. Ikkinchisi, o'z navbatida, tomonlarning ma'lumot almashinuvi
deb ataladigan dastlabki kelishuviga asoslanadi. "xavfsizlik konteksti" qo'llaniladigan kriptografik algoritmlar, asosiy ma'lumotlarni va ularning
parametrlarini boshqarish algoritmlari. IPsec spetsifikatsiyasi tomonlarning
ma'lumotlar paketlarini autentifikatsiya qilish va shifrlash uchun turli xil
protokollar va parametrlar bo'yicha ma'lumotlar almashinuvini qo'llabquvvatlash qobiliyatini ta'minlaydi. turli sxemalar kalitlarni taqsimlash.
Bunday holda, xavfsizlik konteksti bo'yicha muzokaralar natijasi xavfsizlik
parametrlari indeksini (SPI) yaratish bo'lib, u ma'lumot almashinuvi
tomonining ichki tuzilishining ma'lum bir elementiga ko'rsatgich bo'lib,
uning mumkin bo'lgan to'plamlarini tavsiflaydi. xavfsizlik parametrlari.
Asosan, IPSec, bu aylanadi qismi IPv6 uchinchi qatlamda, ya'ni tarmoq
qatlamida ishlaydi. Natijada, uzatiladigan IP-paketlar tarmoq ilovalari va
infratuzilmasi uchun shaffof tarzda himoyalanadi. To'rtinchi (ya'ni transport)
qatlamda ishlaydigan va OSI modelining yuqori qatlamlari bilan
chambarchas bog'liq bo'lgan SSL (Secure Socket Layer) dan farqli o'laroq,
IPSec past darajadagi xavfsizlikni ta'minlash uchun mo'ljallangan.
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
11/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
2-rasm. OSI / ISO modeli
Virtual orqali uzatishga tayyor bo'lgan IP ma'lumotlariga xususiy tarmoq,
IPSec himoyalangan paketlarni aniqlash uchun sarlavha qo'shadi. Ushbu
paketlar Internet orqali yuborilgunga qadar boshqa IP-paketlarga
qadoqlangan. IPSec shifrlashning bir qancha turlarini, jumladan Data
Encryption Standard (DES) va Message Digest 5 (MD5) ni qo‘llabquvvatlaydi.
Xavfsiz ulanishni o'rnatish uchun ikkala seans ishtirokchisi autentifikatsiya
algoritmlari va kalitlari kabi xavfsizlik parametrlarini tezda muhokama qila
olishi kerak. IPSec ikki turdagi kalitlarni boshqarish sxemalarini qo'llabquvvatlaydi, ular orqali ishtirokchilar seans parametrlarini muhokama
qilishlari mumkin. Ushbu ikki tomonlama qo'llab-quvvatlash o'sha paytda
IETF ishchi guruhida bir oz ishqalanishga olib keldi.
IP ning joriy versiyasi, IPv4 bilan Internet xavfsiz assotsiatsiyasi kalitlarni
boshqarish protokoli (ISAKMP) yoki Internet protokoli uchun oddiy kalitlarni
boshqarishdan foydalanish mumkin. BILAN yangi versiya IP, IPv6 endi IKE
deb nomlanuvchi ISAKMP dan foydalanishi kerak bo'ladi, garchi SKIP
bundan mustasno emas. Ammo shuni yodda tutish kerakki, SKIP uzoq vaqt
davomida asosiy boshqaruv nomzodi hisoblanmagan va 1997 yilda mumkin
bo'lgan nomzodlar ro'yxatidan chiqarilgan.
AH va ESP sarlavhalari
AH sarlavhasini autentifikatsiya qilish
Autentifikatsiya sarlavhasi (AH) oddiy ixtiyoriy sarlavha bo'lib, odatda IPpaketning asosiy sarlavhasi va ma'lumotlar maydoni o'rtasida joylashgan.
AH ning mavjudligi transport va yuqori qatlamlarning ma'lumotlarini uzatish
jarayoniga hech qanday ta'sir ko'rsatmaydi. AH ning asosiy va yagona
maqsadi paket tarkibiga ruxsatsiz o'zgartirishlar kiritish bilan bog'liq
hujumlardan, shu jumladan tarmoq sathining asl manzilini buzishdan
himoya qilishdir. Qabul qilingan ma'lumotlarning haqiqiyligini tekshirish
uchun yuqori darajadagi protokollarni o'zgartirish kerak.
AH formati juda oddiy va 96 bitli sarlavha va 32 bitli so'zlardan iborat
o'zgaruvchan uzunlikdagi ma'lumotlardan iborat. Maydon nomlari ularning
mazmunini juda aniq aks ettiradi: Keyingi sarlavha keyingi sarlavhaga
ishora qiladi, Payload Len paket uzunligini ko'rsatadi, SPI xavfsizlik
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
12/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
kontekstiga ko'rsatgichdir va Tartib raqami maydoni paketning tartib
raqamini o'z ichiga oladi.
3-rasm. AH sarlavha formati
Paket tartib raqami AHga 1997 yilda IPsec spetsifikatsiyasini qayta ko'rib
chiqish jarayonining bir qismi sifatida kiritilgan. Ushbu maydonning qiymati
jo'natuvchi tomonidan ishlab chiqariladi va autentifikatsiya jarayonida
ma'lumotlarni qayta ishlatish bilan bog'liq hujumlardan himoya qilish uchun
xizmat qiladi. Internet paketlarni etkazib berish tartibiga kafolat
bermaganligi sababli, qabul qiluvchi autentifikatsiyadan muvaffaqiyatli
o'tgan paketning maksimal ketma-ket soni va oldingi ketma-ket raqamlarni
o'z ichiga olgan ma'lum miqdordagi paketlarni qabul qilish to'g'risidagi
ma'lumotlarni saqlashi kerak (odatda bu raqam 64).
Kommutatsiyalangan aloqa liniyalari yoki mahalliy tarmoq kanallari orqali
ma'lumotlarni
uzatish
protokollarida
qo'llaniladigan
va
uzatish
tashuvchisidagi tasodifiy xatolarni tuzatishga qaratilgan nazorat summasini
hisoblash algoritmlaridan farqli o'laroq, ochiq telekommunikatsiya
tarmoqlarida ma'lumotlarning yaxlitligini ta'minlash mexanizmlari maqsadli
ma'lumotlardan himoya vositalariga ega bo'lishi kerak. o'zgarishlar. Ushbu
mexanizmlardan biri MD5 algoritmining maxsus qo'llanilishidir: AH ni
yaratish jarayonida paketning o'zi va oldindan kelishilgan ba'zi kalitlarni
birlashtirishdan, so'ngra natija va o'zgartirilgan kalitni birlashtirishdan
ketma-ket xesh funksiyasi hisoblanadi. Ushbu mexanizm sukut bo'yicha
barcha IPv6 ilovalarini eksport cheklovlariga tobe bo'lmagan kamida bitta
umumiy algoritm bilan ta'minlash uchun ishlatiladi.
shifrlangan ESP ma'lumotlarini inkapsulyatsiya qilish
Shifrlangan ma'lumotlarni inkapsulyatsiya qilishda, ESP sarlavhasi
paketdagi "ko'rinadigan" ixtiyoriy sarlavhalar seriyasining oxirgisidir. ESP
ning asosiy maqsadi ma'lumotlarning maxfiyligini ta'minlash bo'lganligi
sababli, har xil turdagi ma'lumotlar sezilarli darajada farq qiladigan
shifrlash algoritmlarini talab qilishi mumkin. Shunday qilib, ESP formati
ishlatiladigan kriptografik algoritmlarga qarab sezilarli o'zgarishlarga duch
kelishi mumkin. Shu bilan birga, quyidagi majburiy maydonlarni ajratib
ko'rsatish mumkin: xavfsizlik kontekstini ko'rsatadigan SPI va paketning
tartib raqamini o'z ichiga olgan Sequence Number Field. ESP sarlavhasida
"ESP autentifikatsiya ma'lumotlari" maydoni (nazorat summasi) ixtiyoriy.
ESP paketini oluvchi ESP sarlavhasini parolini hal qiladi va transport qatlami
ma'lumotlarini dekodlash uchun qo'llaniladigan shifrlash algoritmining
parametrlari va ma'lumotlaridan foydalanadi.
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
13/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
4-rasm. ESP sarlavha formati
ESP va AH ni qo'llashning ikkita usuli (shuningdek ularning kombinatsiyasi)
mavjud - transport va tunnel:
Transport rejimi transport qatlami protokollarini (TCP, UDP, ICMP) o'z ichiga
olgan IP-paketning ma'lumotlar maydonini shifrlash uchun ishlatiladi, bu
esa o'z navbatida ilovalarga xizmat ko'rsatish ma'lumotlarini o'z ichiga
oladi. Transport rejimiga qo'llashga misol sifatida elektron pochta
xabarlarini yuborish mumkin. Paketning manbadan manzilgacha bo'lgan
marshruti bo'ylab barcha oraliq tugunlar faqat umumiy tarmoq sathi
ma'lumotlaridan va, ehtimol, ba'zi ixtiyoriy paket sarlavhalaridan
foydalanadi (IPv6 da). Transport rejimining kamchiliklari - bu paketning
aniq jo'natuvchisi va oluvchisini yashirish mexanizmlarining yo'qligi,
shuningdek, trafikni tahlil qilish qobiliyati. Bunday tahlil natijasi
ma'lumotlarni uzatish hajmlari va yo'nalishlari, abonentlarni qiziqtiradigan
sohalar, menejerlarning joylashuvi haqida ma'lumot bo'lishi mumkin.
Tunnel rejimi butun paketni, shu jumladan tarmoq sathi sarlavhasini
shifrlashni nazarda tutadi. Tunnel rejimi tashkilot va tashqi dunyo
o'rtasidagi axborot almashinuvini yashirish zarur bo'lganda qo'llaniladi.
Bunday holda, tunnel rejimidan foydalangan holda paketning tarmoq
qatlami sarlavhasining manzil maydonlari tashkilotning xavfsizlik devori
tomonidan to'ldiriladi va paketning aniq jo'natuvchisi haqidagi
ma'lumotlarni o'z ichiga olmaydi. Ma'lumotni tashqi dunyodan o'tkazishda
mahalliy tarmoq tashkilot maqsad sifatida xavfsizlik devorining tarmoq
manzilidan foydalanadi. Xavfsizlik devori tarmoq qatlamining dastlabki
sarlavhasini shifrlagandan so'ng, paket qabul qiluvchiga yuboriladi.
Xavfsizlik uyushmalari
Xavfsizlik Assotsiatsiyasi (SA) u orqali o'tadigan trafik uchun xavfsizlik
xizmatlarini taqdim etadigan ulanishdir. SA ning har ikki tomonidagi ikkita
kompyuterda SAda ishlatiladigan rejim, protokol, algoritmlar va kalitlar
saqlanadi. Har bir SA faqat bitta yo'nalishda qo'llaniladi. Ikki tomonlama
aloqa uchun ikkita SA talab qilinadi. Har bir SA bitta rejim va protokolni
amalga oshiradi; Shunday qilib, agar bitta paket uchun ikkita protokol
qo'llanilishi kerak bo'lsa (masalan, AH va ESP), u holda ikkita SA talab
qilinadi.
Xavfsizlik siyosati
Xavfsizlik siyosati SPD (Security Policy Database) da saqlanadi. SPD
ma'lumotlar paketi uchun uchta amaldan birini belgilashi mumkin: paketni
tashlang, paketni IPSec yordamida qayta ishlamang, paketni IPSec
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
14/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
yordamida qayta ishlang. Ikkinchi holda, SPD qaysi SA dan foydalanish
kerakligini ham ko'rsatadi (agar, albatta, tegishli SA allaqachon yaratilgan
bo'lsa) yoki yangi SA qanday parametrlar bilan yaratilishi kerakligini
ko'rsatadi.
SPD juda moslashuvchan boshqaruv mexanizmi bo'lib, juda ko'p
imkoniyatlarni beradi yaxshi boshqaruv har bir partiyani qayta ishlash.
Paketlar bo'yicha tasniflanadi katta raqam maydonlar va SPD tegishli
harakatni aniqlash uchun maydonlarning bir qismini yoki barchasini
tekshirishi mumkin. Bu ikkita mashina o'rtasidagi barcha trafikning bitta SA
yordamida amalga oshirilishiga olib kelishi mumkin yoki har bir dastur
uchun yoki hatto har bir TCP ulanishi uchun alohida SA'lardan foydalaniladi.
ISAKMP / Oakley protokoli
ISAKMP SAni o'rnatish va boshqa asosiy boshqaruv funktsiyalarini bajarish
uchun foydalaniladigan protokollarning umumiy tuzilishini belgilaydi.
ISAKMP bir nechta Interpretatsiya sohalarini (DOI) qo'llab-quvvatlaydi,
ulardan biri IPSec-DOI. ISAKMP to'liq protokolni aniqlamaydi, lekin turli
DOIlar va kalit almashish protokollari uchun "qurilish bloklari" ni taqdim
etadi.
Oakley protokoli Diffie-Hellman kalitlarini almashtirish algoritmidan
foydalanadigan kalitni aniqlash protokoli. Oakley protokoli Perfect Forward
Secrecy (PFS) ni qo'llab-quvvatlaydi. PFS mavjudligi shuni anglatadiki, agar
tizimdagi biron bir kalit buzilgan bo'lsa, barcha trafikning shifrini ochish
mumkin emas.
IKE protokoli
IKE - ISAKMP uchun standart kalit almashish protokoli, yoqilgan bu daqiqa
yagona bo'lish. IKE ISAKMP ning yuqori qismida joylashgan va aslida
ISAKMP SA va IPSec SA ni tashkil qiladi. IKE protokollarda foydalanish
uchun turli xil ibtidoiy funktsiyalar to'plamini qo'llab-quvvatlaydi. Ular
orasida hash funktsiyasi va psevdo-tasodifiy funksiya (PRF) mavjud.
Xesh funktsiyasi to'qnashuvga chidamli funktsiyadir. To'qnashuvga qarshilik
deganda, H (m1) = H (m2) bo'lgan ikki xil m1 va m2 xabarlarni topish
mumkin emasligi tushuniladi, bu erda H - hash funksiyasi.
Pseudo-tasodifiy funktsiyalarga kelsak, endi maxsus PRFlar o'rniga HMAC
konstruktsiyasida xesh funksiyasi qo'llaniladi (HMAC bu hash
funktsiyalaridan foydalangan holda xabarni autentifikatsiya qilish
mexanizmi). HMAC ni aniqlash uchun bizga kriptografik xesh funksiyasi (uni
H sifatida belgilang) va maxfiy kalit K kerak. Faraz qilamizki, H maʼlumotlar
bloklari ketma-ketligiga ketma-ket qoʻllaniladigan siqish protsedurasi
yordamida maʼlumotlar xeshlangan funksiyadir. Biz B bilan bunday
bloklarning uzunligini baytlarda va xeshlash natijasida olingan bloklarning
uzunligini L (L) deb belgilaymiz.
ipad = bayt 0x36, B marta takrorlanadi;
opad = bayt 0x5C B marta takrorlanadi.
"Matn" ma'lumotlaridan HMACni hisoblash uchun siz quyidagi amalni
bajarishingiz kerak:
H (K XOR opad, H (K XOR ipad, matn))
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
15/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
Tavsifdan kelib chiqadiki, IKE tomonlarni autentifikatsiya qilish uchun HASH
qiymatlaridan foydalanadi. E'tibor bering, bu holda HASH faqat ISAKMPdagi foydali yuk nomini anglatadi va bu nom uning mazmuniga hech
qanday aloqasi yo'q.
AH, ESP va IKE ga hujumlar
IPSec komponentlariga hujumlarning barcha turlarini quyidagi guruhlarga
bo‘lish mumkin: tizimning cheklangan resurslaridan foydalanadigan
hujumlar (odatiy misol xizmat ko‘rsatishni rad etish, xizmat ko‘rsatishni rad
etish yoki DOS hujumi), ekspluatatsiya qiluvchi hujumlar. ma'lum bir IPSec
dasturining xususiyatlari va xatolari va nihoyat, AH va ESP protokollarining
zaif tomonlariga asoslangan hujumlar. Sof kriptografik hujumlarni e'tiborsiz
qoldirish mumkin - ikkala protokol ham barcha kriptografiya yashiringan
"transformatsiya" tushunchasini belgilaydi. Agar foydalanilayotgan
kriptoalgoritm barqaror bo'lsa va u bilan aniqlangan transformatsiyalar
qo'shimcha zaif tomonlarni keltirib chiqarmasa (bu har doim ham shunday
emas, shuning uchun butun tizimning barqarorligini ko'rib chiqish
to'g'riroqdir - Protokol-Transform-Algoritm), keyin dan bu tomonda
hammasi yaxshi. Nima qoldi? Takroriy hujum - ketma-ketlik raqamidan
foydalanish bilan tekislanadi (yagona holatda u ishlamaydi autentifikatsiyasiz va AHsiz ESP ishlatganda). Bundan tashqari, harakatlarni
bajarish tartibi (birinchi shifrlash, keyin autentifikatsiya) "yomon" paketlarni
tezda rad etishni kafolatlaydi (bundan tashqari, kriptografiya olamidagi
so'nggi tadqiqotlarga ko'ra, bu harakatlarning eng xavfsiz tartibi, ba'zilarida
teskari tartib). , garchi o'ta maxsus holatlar bo'lsa-da, potentsial xavfsizlik
teshiklariga olib kelishi mumkin; Yaxshiyamki, na SSL, na IKE, na "birinchi
navbatda autentifikatsiya qilish, ikkinchisini shifrlash" harakatlar tartibiga
ega bo'lgan boshqa umumiy protokollar ushbu maxsus holatlarga taalluqli
emas va shuning uchun ham shunday emas. bu teshiklar yo'q). Xizmatni
rad etish hujumi davom etmoqda.
Ma'lumki, bu to'liq himoyaga ega bo'lmagan hujumdir. Shunga qaramay,
yomon paketlarni tezda rad etish va ularga hech qanday tashqi
reaktsiyaning yo'qligi (RFC ma'lumotlariga ko'ra) ushbu hujumni ko'proq
yoki kamroq engish imkonini beradi. Printsipial jihatdan ko'pchilik (agar
hammasi bo'lmasa ham) ma'lum bo'lgan tarmoq hujumlariga (sniffing,
spoofing, hijacking va boshqalar) AH va ESP, agar to'g'ri ishlatilsa,
muvaffaqiyatli qarshilik ko'rsatadi. IKE biroz murakkabroq. Protokol juda
murakkab va tahlil qilish qiyin. Bunga qo'shimcha ravishda, yozish paytida
xatolar (HASH_R ni hisoblash formulasida) va to'liq muvaffaqiyatli echimlar
bo'lmaganligi sababli (xuddi shu HASH_R va HASH_I), u bir nechta
potentsial "teshiklarni" o'z ichiga oladi (xususan, birinchi bosqichda, barcha
foydali yuklar emas. Xabarda autentifikatsiya qilingan), ammo ular unchalik
jiddiy emas va koʻpi bilan ulanishni oʻrnatishdan bosh tortishga olib
keladi.IKE takroriy oʻynash, aldash, hidlash, oʻgʻirlash kabi hujumlardan
ozmi-koʻpmi muvaffaqiyatli himoyalangan. Kriptografiya bilan bu biroz
murakkabroq - u AH va ESPda bo'lgani kabi alohida amalga oshirilmaydi,
lekin protokolning o'zida amalga oshiriladi. Biroq, doimiy algoritmlar va
primitivlardan (PRF) foydalanilganda, hech qanday muammo bo'lmasligi
kerak. Qaysidir ma'noda, IPsec ning zaif tomoni sifatida ko'rib chiqilishi
mumkin, DES joriy spetsifikatsiyalarda yagona majburiy kriptoalgoritm
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
16/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
sifatida ko'rsatilgan (bu ESP va IKE uchun ham to'g'ri keladi), uning
kalitining 56 biti endi etarli deb hisoblanmaydi. Shunga qaramay, bu sof
rasmiy zaiflik - spetsifikatsiyalarning o'zi algoritmga bog'liq emas va deyarli
barcha taniqli sotuvchilar 3DESni allaqachon amalga oshirgan (va ba'zilari
allaqachon AESni amalga oshirgan) Shunday qilib, agar to'g'ri amalga
oshirilsa, eng "xavfli" hujum. Xizmat ko'rsatishdan bosh tortish qoladi ...
IPSec protokolini baholash
IPSec mutaxassislardan turli xil sharhlar oldi. Bir tomondan, IPSec protokoli
ilgari ishlab chiqilgan tarmoq (shu jumladan Microsoft PPTP tomonidan
ishlab chiqilgan) orqali uzatiladigan ma'lumotlarni himoya qilish uchun
boshqa barcha protokollar orasida eng yaxshisi ekanligi ta'kidlangan.
Boshqa tomondan, protokolning haddan tashqari murakkabligi va
ortiqchaligi mavjud. Masalan, Niels Fergyuson va Bryus Shnayer o'zlarining
"IPsecning kriptografik bahosi" asarida ular IPsec ning deyarli barcha
asosiy komponentlarida jiddiy xavfsizlik muammolarini aniqlaganliklarini
ta'kidlaydilar. Ushbu mualliflar, shuningdek, yaxshi darajadagi xavfsizlikni
ta'minlash uchun protokollar to'plami muhim ishlarga muhtojligini
ta'kidlaydilar.
IPsec protokoli va uning konfiguratsiyasi bilan batafsil tanishishdan oldin,
uning imkoniyatlari va boshqa mavjud ma'lumotlarni himoya qilish
protokollariga nisbatan afzalliklarini aniqlashingiz kerak.
IPsec IPv4 kengaytmasi sifatida mavjud va IPv6 ning ajralmas qismi
hisoblanadi. Ko'rib chiqilayotgan protokol tarmoqning IP qatlamining
xavfsizligini ta'minlaydi (ISO / OSI modelidagi 3-qavat, 1-rasm), bu
ko'pchilik ilovalar, xizmatlar va yuqori qatlam protokollari uchun shaffof
bo'lgan yuqori darajadagi himoyani ta'minlaydi. IP protokolini transport
sifatida ishlatadigan. IPSec mavjud ilovalar yoki operatsion tizimlarni
o'zgartirishni talab qilmaydi.
Guruch. 1, ISO / OSI modeli.
Ushbu darajadagi xavfsizlikni amalga oshirish TCP, UDP, ICMP va boshqalar
kabi IP darajasidan boshlab TCP / IP oilasining barcha protokollarini
himoya qilishni ta'minlaydi.
3-qavatdan tashqari boshqa xavfsizlik xizmatlari, masalan, Secure Sockets
Layer (SSL) faqat ma'lum bir dastur soketini himoya qiladi. Barcha
o'rnatilgan ulanishlarni himoya qilish uchun bunday protokollar ularni
qo'llab-quvvatlash uchun barcha xizmatlar va ilovalarni o'zgartirishni talab
qiladi, protokol esa uchinchi darajadan pastda ishlaydigan xizmatlar,
masalan, havola qatlamining apparat shifrlashi faqat ma'lum bir ulanishni
himoya qila oladi, ammo himoya qilmaydi. ma'lumotlar yo'lidagi barcha
aloqalar, bu esa ulardan Internetda foydalanishni imkonsiz qiladi.
IPsec-dan foydalanish xavfsizligini nazorat qilib bo'lmaydigan boshqa yirik
tarmoq orqali kompyuterlar yoki tarmoqlar o'rtasida xavfsiz aloqani
ta'minlash uchun eng mos keladi. IPsec protokolining muhim afzalliklaridan
biri bu amalga oshirishning arzonligidir, chunki ko'p hollarda yangi uskunani
o'rnatish yoki eskisini almashtirishning hojati yo'q, shuningdek, protokol
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
17/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
standart va ochiq bo'lib keladi. deyarli barcha zamonaviy operatsion
tizimlar bilan.
Protokolning muhim afzalliklaridan biri foydalanishning arzonligidir. Bu sizga
ma'lumotlarni himoya qilish va tarmoq uskunalari uchun qo'shimcha
xarajatlarsiz avval himoyalanmagan tarmoqdagi foydalanuvchilar va
ma'lumotlarning autentifikatsiyasini ta'minlash imkonini beradi, chunki u
ilgari chiqarilgan barcha uskunalar bilan mos keladi.
IPsec kriptografik xizmatlar orqali yuqori darajada sozlanishi xavfsizlik
darajasini ta'minlaydi ( xeshlash- takrorlanishdan himoya qilish,
ma'lumotlar yaxlitligini ta'minlash va ularning haqiqiyligini tekshirish va
bevosita shifrlash, ma'lumotlarning maxfiyligini ta'minlash).
AH (Autentifikatsiya sarlavhasi) va ESP (Encapsulating Security Payload)
subprotokollari eng yuqori darajadagi xavfsizlikni ta'minlash uchun yoki birbiridan mustaqil ravishda foydalanish mumkin.
Protokol ikki rejimda ishlashi mumkin - transport va tunnel, turli darajadagi
xavfsizlikni ta'minlaydi va turli sharoitlarda qo'llaniladi.
Transport rejimi Odatda bitta (mahalliy) tarmoq bilan birlashtirilgan aniq
kompyuterlar o'rtasidagi ulanishlarni ta'minlashga qaratilgan. Transport
rejimidan foydalanish IP-ning foydali yukini (masalan, TCP segmentlari)
himoya qiladi, shu bilan birga IP sarlavhasini o'qilishi orqali o'zgartirishdan
himoya qiladi.
Transport rejimida
imkoniyatlarga ega:
AH
va
ESP
protokollari
quyidagi
funksiya
va
AH protokoli Ma'lumotlarning autentifikatsiyasi va yaxlitligini
ta'minlaydi va takrorlanishga qarshi (IP sarlavhasi va foydali yuk),
ya'ni ma'lumotlarni maqsadli o'zgarishlardan himoya qiladi. Bunday
holda, ma'lumotlar shifrlanmaydi va o'qilishi mumkin bo'lib qoladi. AH
kalitli xesh algoritmlari (MD5 va zamonaviyroq SHA1 ilovalarida)
yordamida paketlarni imzolaydi, AH sarlavhasini IP sarlavhasi va
foydali yuk o'rtasida joylashtiradi (2-rasmda ko'rsatilganidek). AH
sarlavhasida tarmoq orqali uzatish vaqtida o'zgarishi mumkin bo'lgan
maydonlar bundan mustasno, butun IP-paket imzolanadi (3-rasm).
AH sarlavhasi har doim Ipsec-da ishlatiladigan boshqa sarlavhalardan
oldin keladi.
Guruch. 2, NA sarlavhasini joylashtirish
Guruch. 3, AH qamrovi (transport rejimi)
ESP protokoli transport rejimida IP sarlavhasini emas, balki IP foydali
yukining maxfiyligini ta'minlaydi. IP foydali yukini shifrlashdan
tashqari, ESP paketning autentifikatsiyasi va yaxlitligini, aniqrog'i ESP
sarlavhasini, IP foydali yukini va ESP treylerini (lekin IP sarlavhasini
emas) ta'minlaydi. Butunlikni tekshirish qiymati ESP Authentication
Trailer maydonida saqlanadi. ESP sarlavhasi IP foydali yukidan oldin,
ESP treyleri va ESP autentifikatsiya treyleri esa IP foydali yukining
orqasida joylashtiriladi (5-rasm).
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
18/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
Guruch. 4, ESP sarlavhasi va treylerlarni joylashtirish
Guruch. 5, ESP qamrovi (transport rejimi)
Tunnel rejimi U birinchi navbatda VPN tunnellari bilan birgalikda
qo'llaniladi, bu sizga Internet orqali ulangan ikkita geografik jihatdan uzoq
tarmoq o'rtasidagi aloqani himoya qilish imkonini beradi. Ushbu rejim
butun IP-paketni AH yoki ESP foydali yuk sifatida ko'rib chiqish orqali
himoya qiladi. Ushbu rejimdan foydalanganda, butun IP-paket AH yoki ESP
sarlavhasi va ixtiyoriy IP sarlavhasi bilan qoplangan. Tashqi IP
sarlavhasining IP manzillari tunnelning so'nggi nuqtalarini ko'rsatadi va
inkapsullangan IP sarlavhasining IP manzillari paketning manbasi va
manzilini ko'rsatadi. Bu butun IP paketini, shu jumladan IP sarlavhasini
himoya qiladi.
Tunnel rejimi AH butunlikni saqlash uchun paketga imzo qo'yadi va
uni IP va AH sarlavhalarida (6-rasm) qamrab oladi va ma'lumotlarni
o'qish mumkin bo'ladi.
Guruch. 6, AH qamrovi (tunnel rejimi)
Tunnel rejimida ESP butun asl paketni ESP sarlavhasi va ESP
autentifikatsiya treyleri, jumladan IP sarlavhasi o'rtasida joylashtiradi
va bu ma'lumotlarni shifrlaydi, xuddi AH kabi tunnel serverlarining IP
manzillarini belgilaydigan yangi IP sarlavhasini yaratadi. manba va
maqsad manzillari (7-rasm). Boshqa tarafdagi tunnel serveri paketni
parolini hal qiladi va IP tunnel sarlavhasi va ESP sarlavhalarini o'chirib
tashlab, paketni o'z intranetidagi qabul qiluvchiga yo'naltiradi. Butun
jarayon oxirgi ish stantsiyalari uchun to'liq shaffofdir.
Guruch. 7, ESP qamrovi (tunnel rejimi)
IPsec tunnel rejimi umumiy tarmoq orqali uzatiladigan ma'lumotlarni (shu
jumladan IP sarlavhalarini) himoya qilish kerak bo'lganda ishlatiladi.
Masalan, kompaniyaning masofaviy bo'linmalari o'rtasidagi aloqalar.
Tashish rejimi ma'lumotlarni asosan bitta tarmoq doirasida himoya qilishga
xizmat qiladi, uning xavfsizligini sezilarli xarajatlarsiz boshqa yo'llar bilan
ishonchli ta'minlash mumkin bo'lmaganda yoki turli xil protokollardan
birgalikda foydalanish orqali erishiladi yuqori darajadagi xavfsizlik talab
qilinganda. Masalan, simsiz tarmoqlar hamda katta maydonlarni qamrab
oluvchi kabel tarmoqlari.
Kerakli xavfsizlik darajasiga qarab, IPsec protokolining turli xil
konfiguratsiyasi mumkin. Misol uchun, agar siz faqat foydalanuvchi
autentifikatsiyasini taqdim etishingiz va ma'lumotlarning yaxlitligi va
haqiqiyligini tekshirishingiz kerak bo'lsa, u holda siz o'zingizni AH-dan
foydalanish bilan cheklashingiz mumkin, bu hatto eng kuchli algoritmlardan
foydalanganda ham tarmoq va alohida ish stantsiyalarining ishlashiga
sezilarli ta'sir qilmaydi. quyida ko'rsatilganidek, xesh funktsiyalari. Agar
uzatiladigan ma'lumotlar shifrlashni talab qilsa, u holda ishlatiladigan
kriptografik algoritmlarga va ma'lumotlarni uzatish tezligiga qarab, tunnel
so'nggi nuqtalari funktsiyalarini bajaradigan yoki transport rejimida
ishlaydigan tarmoqda ishtirok etadigan ish stantsiyalarining ishlashiga
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
19/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
sezilarli ta'sir ko'rsatishi mumkin bo'lgan ESP protokoli qo'llaniladi. IPsec
ishlatiladi.
Moslashtirish
VPN tunnellarini sozlash tavsifi, shuningdek, ularning xususiyatlari va
imkoniyatlarini ko'rib chiqish ushbu maqola doirasidan tashqarida, shuning
uchun biz IPsec transport rejimini sozlash jarayonini tavsiflash bilan
cheklanamiz.
Windows XP da IPsec mahalliy xavfsizlik sozlamalari qo'shimcha elementi
yordamida sozlangan, uni Ma'muriy asboblar menyusidan, Boshqarish
panelidan yoki "secpol.msc" Run buyrug'i orqali ishga tushirish mumkin.
Sukut bo'yicha yaratilgan siyosatlardan foydalanish yoki yangisini yaratish
mumkin.
IP xavfsizlik siyosatini yaratish uchun roʻyxatdan “IP xavfsizlik siyosati”
bandini tanlang va “Harakat” menyusidan “IP xavfsizlik siyosatini yaratish”
bandini tanlang.
Guruch. 8, IP xavfsizlik siyosatini yarating
"IP xavfsizlik siyosati ustasi" ochiladi. Davom etish uchun “Keyingi”
tugmasini bosing. Keyingi oynada siz yangi siyosat nomini kiritishingiz
kerak va "Keyingi" tugmasini bosing.
Guruch. 9, IP siyosatining nomi
Keyingi oynada "Sehrgar" sizdan standart qoidadan foydalanish-qilmaslik
to'g'risida qaror qabul qilishingizni so'raydi. Agar zarurat tug'ilsa, ushbu
qoidadan foydalanish siyosat yaratilgandan keyin bekor qilinishi mumkin.
Guruch. 10, standart qoida
Shundan so'ng, "Sehrgar" foydalanuvchini autentifikatsiya qilish usulini
tanlashni taklif qiladi. IPsec quyidagi usullarni qo'llab-quvvatlaydi: Kerberos
protokoli orqali (Windows 2000 va Windows 2003 domenlari uchun
standart autentifikatsiya protokoli), foydalanuvchi sertifikatidan foydalanish
yoki xavfsizlik qatoriga ("parol") asoslangan. Agar tarmog'ingizda domen
kontrollerlari bo'lmasa va tarmoqdagi foydalanuvchilarning haqiqiy
sertifikatlari bo'lmasa, qilish kerak bo'lgan yagona narsa - yanada
murakkabroq qatorni tanlash va uni mahkam yashirish. Himoya chizig'i
aslida bir nechta satr bo'lishi mumkin.
Guruch. 11, autentifikatsiya usulini tanlash
Siyosat deyarli tugallandi. Sehrgarni tugatgandan so'ng darhol
xususiyatlarni o'zgartirishingiz mumkin (xususiyatlar oynasi avtomatik
ravishda ochiladi) yoki keyinroq kerakli siyosatni ajratib ko'rsatish va
kontekst menyusidan Xususiyatlar bandini tanlash orqali.
Guruch. 12, Siyosat yaratishni yakunlash
Endi siyosat xususiyatlarini ehtiyojlaringizga mos ravishda o'zgartirish vaqti
keldi, ya'ni siz IP xavfsizlik qoidalari, filtr va filtr qoidalarini yaratishingiz
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
20/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
kerak.
Xavfsizlik qoidasini yaratish uchun yaratilgan IP xavfsizlik siyosatining
xususiyatlarini oching va 13-rasmda ko'rsatilganidek, "Ushbuzardan
foydalanish" katagiga belgini olib tashlangandan so'ng Qoidalar
ko'rinishidagi Qo'shish tugmasini bosing.
13-rasm, IP xavfsizlik qoidasini yaratish
IPsec-ni tunnel rejimida sozlamaguningizcha, Tunnel sozlamalari yorlig'ida
hech narsani o'zgartirmang. "Ulanish turi" yorlig'ida siz yaratilgan qoida
qaysi tarmoq ulanishlari uchun qo'llanilishini tanlashingiz mumkin - barcha
ulanishlar uchun, faqat mahalliy ulanishlar uchun yoki faqat masofaviy
ulanishlar uchun. Shunday qilib, turli xil ma'lumotlarni uzatish tezligiga ega
bo'lgan tarmoq ulanishlari uchun turli qoidalarni yaratish mumkin, bu esa
sekinroq va qoida tariqasida, autentifikatsiya va yaxlitlikni tekshirish va
shifrlash uchun turli parametrlarni o'rnatish uchun kamroq xavfsiz
masofaviy ulanishlarga imkon beradi.
Guruch. 14, Ulanish turi
"Autentifikatsiya usullari" yorlig'ida siz bir nechta tekshirish usullarini
qo'shishingiz va ularning afzal ko'rish tartibini o'zgartirishingiz mumkin, bu
sizga turli xil autentifikatsiya usullarini qo'llab-quvvatlaydigan turli tugunlar
bilan aloqa qilish qoidasini yanada moslashuvchan sozlash imkonini beradi.
Guruch. 15, Autentifikatsiya usullari
Ulanish turi va autentifikatsiya usullarini tanlagandan so'ng, siz IP filtri
ro'yxatini va filtr amalini tanlashingiz yoki yangilarini yaratishingiz kerak. IP
filtrlarini tanlash yoki yaratish uchun "IP filtrlar ro'yxati" yorlig'iga o'ting
(16-rasm).
Quyidagi filtrlar sukut bo'yicha yaratilgan:
Yuqori qatlam protokolidan qat'i nazar, barcha IP-trafiklarga taalluqli
to'liq IP-trafik;
Barcha ICMP trafigiga tegishli bo'lgan to'liq ICMP trafik.
Guruch. 16, IP filtrlar roʻyxati.
Yangi filtr yaratish uchun "Qo'shish" tugmasini bosing, shundan so'ng "IP
filtrlar ro'yxati" oynasi ochiladi, bu erda filtrlar ro'yxati nomini kiritib, "Use
Wizard" katagiga belgini olib tashlangandan so'ng, "Qo'shish" tugmasini
bosing. (17-rasm).
Guruch. 17, IP filtrlar ro'yxatini yarating.
"Xususiyatlar: Filtr" oynasi ochiladi (18-rasm), bu erda siz filtr
qo'llaniladigan paketlarning manba va maqsad manzillarini, shuningdek,
agar kerak bo'lsa, manba va maqsadning protokoli va portlarini
ko'rsatishingiz kerak.
Guruch. 18, Yangi IP filtri roʻyxati parametrlari
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
21/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
Filtr ro'yxatlarini tanlagandan yoki yaratgandan so'ng, siz filtrlash harakatini
belgilashingiz kerak. Buni "Filtrlash harakati" yorlig'ida amalga oshirish
mumkin. Standart harakatlar quyidagilardir:
Ruxsat berish, bu xavfli paketlarni o'tkazishga imkon beradi (IPsecdan foydalanmasdan),
Xavfsizlik talab qilinadi, bu IPsec bo'lmagan mijozlar bilan aloqani
uzishni belgilaydi va IPsec-ga qodir mijozlar bilan aloqa ESP
yaxlitligini tekshirish yordamida, lekin AH va ma'lumotlarni
shifrlashsiz amalga oshiriladi.
Oldindan o'rnatilgan oxirgi harakat - Xavfsizlik so'rovi - mijozlardan
aloqa xavfsizligini talab qiladi, ammo bu talablar bajarilmasa, xavfsiz
bo'lmagan aloqa uzilmaydi.
Guruch. 19, Filtrlash amallari
Siz "Qo'shish" tugmasini bosish orqali "Sehrgardan foydalanish" katagiga
belgini olib tashlaganingizdan so'ng yangi harakat yaratishingiz mumkin
(19-rasm). Ochilgan "Xususiyatlar: filtrlash harakatini yaratish" oynasining
"Xavfsizlik usullari" yorlig'ida siz ma'lumotlarning o'tishiga ruxsat berishni,
uni blokirovka qilishni yoki xavfsizlik bo'yicha muzokaralar olib borishni
belgilashingiz kerak (20-rasm).
Guruch. 20, mumkin bo'lgan filtrlash harakatlarining bo'sh ro'yxati
Agar siz Xavfsizlik bo'yicha muzokaralar ni tanlasangiz, xavfsizlik usullarini
qo'shishingiz va ularning afzal ko'rish tartibini o'zgartirishingiz mumkin.
Xavfsizlik usullarini qo'shganda, AH, ESP dan foydalanishni yoki Maxsus
xavfsizlikni tanlash orqali xavfsizlikni qo'lda sozlashni tanlashingiz kerak. Bu
AH va ESPni faollashtirishning yagona yo'li. Kerakli protokollar (AH va ESP)
konfiguratsiya qilinadigan xavfsizlik parametrlarida o'rnatiladi (21-rasm).
Guruch. 21, Filtr amalini yarating
Shuningdek, u butunlik va shifrlashni tekshirish algoritmlarini, shuningdek,
seans kalitlarini o'zgartirish parametrlarini qo'lda tanlash imkoniyatini
beradi. Odatiy bo'lib, kalitlar har soatda yoki har 100 Mb uzatilgan
ma'lumotda o'zgartiriladi (22-rasm).
Guruch. 22, Maxsus xavfsizlik usuli parametrlari
Filtr amallarini tanlagandan so'ng, IP xavfsizlik siyosati konfiguratsiyasi
tugallandi. Agar konfiguratsiya Windows XP da, ushbu misolda bo'lgani
kabi, IPsec transport rejimi uchun qilingan bo'lsa, har bir kompyuterda bir
xil operatsiya bajarilishi kerak. Windows Serverdagi avtomatlashtirish
vositalari
domendagi
barcha
ish
stantsiyalariga
IP
siyosatini
markazlashtirilgan tarzda joylashtirish imkonini beradi. Domendan
tashqarida avtomatlashtirish faqat qisman buyruq qatori skriptlari
(ipseccmd dasturi yordamida) mumkin.
Sinov
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
22/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
IPsec unumdorligini tekshirish turli kriptografik algoritmlardan foydalangan
holda tarmoq orqali ma'lumotlarni uzatishda markaziy protsessorga
yuklanish darajasini aniqlashga qaratilgan.
Sinov quyidagi konfiguratsiyaga ega kompyuterlarda o'tkazildi:
Markaziy
protsessor
Kompyuter 1
Kompyuter 2
AMD Athlon 64 3000+
soket 754
AMD Athlon XP 1700+
soket A
2 * 512 Mb Samsung
PC 3200
256 Mb Samsung PC
2700
Seagate ST3160023A
Seagate ST380011A
Anakart
Qattiq
disk
Tarmoq
adapteri
Ikki kompyuter o'rtasida 701 MB fayl turli xil IPsec sozlamalari bilan,
shuningdek, ushbu protokoldan foydalanmasdan uzatildi.
Afsuski, protsessordan foydalanish va fayllarni uzatish vaqtini o'lchashning
soat va Windows vazifalar menejeridan ko'ra aniqroq usuli topilmadi,
shuning uchun o'lchov noaniqligi bo'lishi mumkin.
IPsec-dan foydalanmasdan fayl 86 soniyada uzatildi. Shu bilan birga, ikkala
kompyuterda protsessor yuklanishi 23 va 24-rasmlarda ko'rsatilgandek
yuqori emas edi va ma'lumotlarni uzatishning o'rtacha tezligi 65,21 Mbit / s
ga etdi.
Shundan so'ng, uzatilgan ma'lumotlarning yaxlitligini ta'minlash uchun
IPsec yuqorida aytib o'tilganidek konfiguratsiya qilindi (SHA-1 yordamida
AH kichik protokoli).
Ma'lumot uzatish vaqti biroz oshdi, 91 s gacha, tezlik esa biroz pasayib,
61,63 Mbit / s gacha. Shu bilan birga, protsessor yuki unchalik oshmadi va
25 va 26-rasmlarda ko'rsatilgan.
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
23/25
21.04.2022, 12:56
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
IPsec-ni o'rnatish uchun keyingi sinov ishi DES shifrlash va MD5 xeshlash
bilan AHsiz ESP edi. Ushbu konfiguratsiyada avvalgilariga nisbatan
unumdorlikda sezilarli o'zgarishlar bo'lmadi.
Fayl 93 soniyada uzatildi, uzatish tezligi 60,3 Mbit / s ni tashkil etdi.
Protsessor yuklanishi mos ravishda 27 va 28-rasmlarda ko'rsatilgan. Shuni
ta'kidlash kerakki, DES eskirgan algoritm bo'lib, himoyalangan ma'lumotlar
haqiqatan ham katta qiymatga ega bo'lgan joylarda foydalanish tavsiya
etilmaydi. Shu bilan birga, ushbu algoritmning kuchi tez-tez uchraydigan
asosiy o'zgarishlar bilan sezilarli darajada yaxshilanishi mumkin.
Xuddi shu konfiguratsiyada (MD5) DES o'rniga xavfsizroq 3DES dan
foydalanilganda, uzatish tezligi ikki baravarga qisqardi va 29,99 Mbit / s ni,
vaqt esa mos ravishda 187 s ni tashkil etdi. Protsessorlardan foydalanish
grafiklari amalda o'zgarmadi (29 va 30-rasmlar).
3DES va SHA1 bilan ESP dan foydalanilganda, uzatish vaqti 1 soniyaga
(188 gacha) oshdi va tezlik 29,83 Mbit / s ga tushdi. Protsessordan
foydalanish grafiklarini taqdim etishning ma'nosi yo'q - ular 29 va 30rasmlardagi kabi.
AH protokolini ESP bilan birgalikda Windows XP-da mavjud bo'lgan eng
xavfsiz va shuning uchun eng ko'p resurs talab qiladigan konfiguratsiyada
qo'llash natijasida quyidagi natijalarga erishildi: uzatish vaqti 212 s gacha
ko'tarildi, tezlik 26,45 Mbit / s gacha tushdi.
1-diagramma, ishlatiladigan kriptografik algoritmlarga qarab fayllarni
uzatish vaqti va tezligi
Sinov natijalaridan ko'rinib turibdiki (1-rasm), faqat AH dan foydalanilganda
va ESP bilan DES bilan foydalanilganda IPsec qo'shimcha xarajatlari past
bo'ladi. 3DES-dan foydalanishda unumdorlik keskin pasayadi, ammo past
ma'lumotlarni uzatish tezligida hatto eskirgan protsessorlarning ishlashi
etarli bo'ladi. Yuqori ma'lumotlarni uzatish tezligi talab qilinadigan hollarda
kalitlarni tez-tez o'zgartiradigan DES etarli bo'lishi mumkin. Har xil sinfdagi
ikkita protsessorning yuklanishi unchalik farq qilmasligi xarakterlidir.
Shunga o'xshash nashrlar:
O'z qo'llaringiz bilan elektron
velosiped uchun batareyani
hujayralar va elementlardan
qanday qilib mustaqil ravishda
yig'ish mumkin, diagrammalar
va ko'rsatmalar Elektron
velosiped diagrammasi uchun
zaryadlovchi
Noma'lum transformatorni
qanday aniqlash mumkin
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
24/25
21.04.2022, 12:56
Past kuchlanish kuchlanishida
chiziqni skanerlash sinovi
IPSec protokollari. ipSec qanday ishlaydi ipsec tunnel va transport rejimi
Uch fazali analog quvvat
regulyatorlari 3 fazali
regulyator
Sayt xaritasi
2021, flypods.ru - Kompyuter yordami
https://flypods.ru/uz/protokoly-ipsec-kak-rabotaet-ipsec-tunnelnyi-i-transportnyi-rezhim/
25/25