Автор:
Н.Т. Шындалиев, Г.Ф. Нурбекова, Н.Ф. Мусина (Астана, Қазахстан)
Әрине ешқандай компания финансттық және басқа конфедициалды ақпаратты интернетке ашық түрде жібергісі келмейді. IPSec қауіпсіздік хаттамалар стандарттарына салынған VPN каналдары қуатты шифрлеу алгоритмдерімен қорғалады. IPSec (Internet Protocol Security – халықаралық қауымдастығы IETF – Internet Enginiring Task Force тобымен таңдалған стандарты) интернет – протоколыхаттамасы (IP) үшін қауіпсіздік негіздерін қамтамасыз етеді. IPSec хаттамасы қорғанысты желілік деңгейде қамтамасыз етеді және байланыстың екі жағындағы құралдарынан ғана IPSec хаттамасының қолдауын талап етеді. Олардың арасында орналасқан, қалған барлық құралдар тек IP пакеттердің трафигін қамтамасыз етеді.
IPSec технологиясын пайдаланатын қолданушылардың әрекеттесу әдісін «қорғалған ассоцияция» – Security Association (SA) терминімен анықтайды. Қорғалған ассоцияция бір біріне жіберетін ақпаратты қорғау үшін IPSec құралдарымен пайдалынылатын қолданушылармен жасалған шарттар негізінде жұмыс істейді. Бұл шарт бірнеше параметрлерді реттейді: жіберуші мен алушының IP – адрестері, криптографиялық алгоритм, кілттердің өлшемі, кілттердің қызмет ету мерзімін, аутентификацияның алгоритмі.
Алшақтатылған қол жетімдік басқа стандарттар Microsoft дамытатын PPTP (Point to Point Tunneling Protocol), Cisco дамытатын L2F (Layer 2 Forwading) үшін хаттамаларын қосады. Microsoft және Cisco IETF бірігіп жұмыс істейді, бұл екі хаттамаларды L2P2 (Layer 2 Protocol) стандартына біріктіру мақсаты: IPSec – ті қолданып туннельдік аутентификация, жеке меншікті қорғау және тұтастықты тексеру.
Желіде шифрленген ақпаратты алмастыру тез әрекет етуді қамтамасыз ету кейбір мәселелерді туғызады. Кодтау алгоритмдері процессордың едәуір есептеуіш ресурстарын, әдеттегі IP – маршрутизация кезінде 100 есе артық көлемді қажет етеді. Қажетті өнімділік болу үшін серверлердің және клиенттік компьютерлердің тез әрекет етуін қамтамасыздантыру керек. Одан басқа, шифрлеуді тездететін ерекше сұлбаларымен арнайы шлюздар бар.
IT – менеджер қажеттіліктерге байланысты виртуалды жеке желінің конфигурациясын таңдауы мүмкін. Мысалы, үйде жұмыс істейтін қызметкерге шектелген қол жетімдік беріледі, ал алшақтатылған офистің менеджеріне немесе компанияның директорына қол жетімдіктің кең құқықтары беріледі. Виртуалды желі арқылы жұмыс істегенде бір жоба минималды (56 – разрядты) шифрлеуімен шектелуі мүмкін, ал компанияның финанстық және жоспарлық ақпараты шифрлеудің қуатты құралдарын (168 – разрядты) талап етеді.
Желінің өнімділігі – бұл маңызды параметр. VPN – құралдары арқылы өтетін трафикті өңдеумен байланысты қосымша бөгелістерді туғызады, сондықтан да VPN құрастыру құралдары өнімділікті төмендетуі мүмкін. Трафикті өңдеу кезінде пайда болатын бөгелістерді үш типке бөлуге болады:
-
VPN – құралдары арасында байланыс орнату кезінде туатын бөгелістер.
-
Қорғалынатын деректерді шифрлеу мен қайта шифрлеу және біртұтастыққа тексеру үшін керекті өзгертулермен байланысты бөгелістер.
-
Жіберілетін пакеттерге жаңа атауды қосумен байланысты бөгелістер.
VPN – құрастырудың бірінші, екінші және төртінші нұсқаларында желі абоненттері арасында емес, тек VPN – құралдары арасында ғана қорғалған байланысты орнату қарастырылады. Криптографиялық кілтттерінің беріктілігін есепке ала отырып кілтті өзгерту ұзақ уақыт интервалынан кейін мүмкін болады. Сондықтан да VPN – құрастырудың бірінші типін пайдаланғанда бөгелістердің бірінші типі деректердің алмасу жылдамдығына әсер етпейді. Бірақ бұл тек 128 биттен кем емес кілттерді пайдаланатын шифрлеудің берік алгоритмдеріне тән. Бұрынғы DES стандартын пайдаланатын құралдар желі жұмысына кейбір бөгелістерді енгізеді.
Бөгелістердің екінші типі деректерді жоғары жылдамтықты каналдар (10 Мбит/с) арқылы жібергенде пайда болады. Басқа барлық жағдайларда таңдалған шифрлеу және біртұтастықты бақылау алгоритмдерінің программалық немесе аппараттық таратылуына тез әрекет етуі жоғары және «пакетті шифрлеу – пакетті желіге жіберу» және «пакеттерді желіден алу – пакетті қайта шифрлеу» операцияларының тізбегінде шифрлеу уақыты берілген пакетті жіберуге керекті уақытынан аз болады. Компаниялар алшақтатылған қол жетімдікті орнататын модемдер қызметін ұйымдастыруына үлкен сомаларды төлеуден босатылады[1].
Сондықтан да VPN – құрастырудың бірінші типін пайдаланғанда бөгелістердің бірінші типі деректердің алмасу жылдамдығына әсер етпейді.
Қазіргі уақытта VPN – ның таралған хаттамалары екінүктелік туннельдік байланыстың хаттамалары (Point – to – Point Tunnelling Protocol – PPTP) болып табылады. Ол 3Com және Microsoft компанияларымен интернет арқылы корпоротивтік желілерге қауіпсіз алшақтатылған қол жетімдікті қамтамасыз ету мақсатында өндірілген. PPTP TCP/IP ашық стандарттарын пайдаланады және көбінесе ескірген РРР екінүктелік хаттамасына негізделеді. Практикада РРР РРТР байланыс сеансының коммуникациондық хаттамасы болып қала береді. РРТР желі арқылы алушының серверіне туннельді жасайды және ол арқылы алшақтатылған қолданушының РРР – пакеттерін жібереді. Сервер және қолданушы виртуалды жеке желіні пайдаланады және олар арасындағы ғаламдық желі қаншалықты қауіпсіз және қол жетімді екеніне көңіл аудармайды. Сервер бастамасы бойынша байланыс сеансын аяқтау жергілікті желілердің әкімшелеріне алшақтатылған қолданушыларды жүйенің қауіпсіздік шекараларынан өткізбеуге мүмкіндік береді. Нәтижесінде қолданушы жалпы қол жетімді желіге функционалды мүмкіндіктеріне кедергі келтірмей виртуалды жеке желіні пайдаланады.
РРТР хаттамасының қызметі тек Windows басқармасында жұмыс істейтін құрылғыларға таратылады, бірақ ол компанияларға желілік инфракстураларымен әрекеттесу және өзінің қауіпсіздік жүйесіне кедергі келтірмей жұмыс істеу мүмкіндігін береді. Осылайша, алшақтатылған қолданушы аналогты телефон тізбегі арқылы жергілікті провайдер көмегімен интернетке қосылып, сервермен байланыс орната алады. Компаниялар алшақтатылған қол жетімдікті орнататын модемдер қызметін ұйымдастыруына үлкен сомаларды төлеуден босатылады. Жақындағы болашақта жаңа екінші деңгейлі туннельдеу протоколының (Layer 2 Tunneling Protocol – L2TP) негізінде жұмыс істейтін виртуалды жеке желілердің саны өсуі күтіледі. Бұл хаттама екінші деңгейде жұмыс істейтін PPTP және L2F (Layer 2 Forwarding – екінші деңгейлі жіберу хаттамасы) хаттамаларын біріктіру және олардың мүмкіндіктерін кеңейту мүмкіндігін береді. Осы мүмкіндіктерінің бірі көпнүктелік туннельдеу, ол бірнеше VPN желіні құрастыруға, мысалы интернетке және корпоративтік желіге қосылуға мүмкіндік береді.
L2TP и PPTP хаттамалары туннельдеудің үшінші деңгей хаттамаларынан бірқатар ерекшеліктері бар:
-
Корпорацияларға қолданушылардың аутентификациясын және олардың өкілдігін өзінің желіде немесе интернет – провайдерінде тексеру әдістерін дербес таңдауға мүмкіндігін беру.
-
Туннель коммутацияларын қолдау – бір туннельдің аяқталуы және басқа көптеген потенциалды терминалдардың біреуіне қосылу мүмкіндігі. Туннелдердің коммутациясы РРР – байланыстарын керекті нүктеге дейін жалғастыру мүмкіндігін береді.
-
Корпоративтік желінің жүйелік әкімшісіне тікелей брандемауер және ішкі желілерде қолданушыларға қол жетімдікті тағайындау стратегиясын орындау мүмкіндігін береді. Туннельдер терминаторлары қолданушылар туралы РРР пакеттерін алатындықтан, бөлек қолданушылардың трафиктеріне администратормен жасалған қауіпсіздік стратегиясын қолдануға құқылы болады. (Туннельдеудің үшінші деңгейі провайдерден келетін пакеттерді айыра алмайды, сондықтан қауіпсіздік стратегиясының фильтрларын соңғы жұмыс станцияларында және желі құралдарда қолданылады.) Одан басқа, туннельдік коммутаторды қолданған жағдайда бөлек қолданушылардың трафиктерін сәйкес серверге тікелей трансляциялау үшін екінші деңгейлі туннельдің «жалғасын» жасауға мүмкіндік береді. Осындай серверлерге қосымша пакеттерді фильтрациялау міндеті жүктеледі[2].
VPN таңдап біз:
-
интернетке қолжетімдік бағасымен қорғалатын байланыс каналдарын аламыз, ол бөлінген тізбектерге қарағанда бірнеше есе арзан;
-
VPN орнату кезінде желінің топологиясын өзгерту, қосымшаларды қайта жазу, қолданушыларды оқыту керек емес – бұл маңызды үнемдеу;
-
масштабталу қамтамасыз етіледі, себебі VPN өсу мәселелерін тудырмайды және жасалған инвестицияларды сақтайды;
-
криптографиядан тәуелсізсіз және кез келген мемлекеттің ұлттық стандартына сәйкес криптографияның модульдерін қолдана аламыз.
-
ашық интерфейстер сіздің желіңізді басқа бизнес қосымшалар мен программалық өнімдермен интеграциялау мүмкіндігін береді.
Пайдаланылған әдебиеттер тізімі
-
Андерсон К., Минаси М. Локальные сети. Полное руководство. – К.: ВЕК+, М.: ЭНТРОП, СПб.: КОРОНА принт, 1999.
-
Нестеровский И.П., Герасименко В.Г., Пентюхов В.В. и др. Вычислительные сети и средства их защиты. – Воронеж: ВГТУ, 1998.