1980-аад оны дундуур болон 1990 ээд оны эхэнд dial-up алсын хандалтын технологийг ашиглах замаар харилцаа холбоог идэвхжүүлэх аргыг гаргаж ирсэн. Гар утас хэрэглэгчид нь зөөврийн компьютерт олгосон модем , state -of-the шахалтын програм, суулгасан нэмэлт протокол, multi-platform серверүүдийг гэрийн байранд орж залгана. 1990 -ээд оны сүүлээр компаниуд алсын хандалтыг таньж эхэлсэн ба энэ нь дэлхийн зах зээлд маш их өрсөлдөөнтэй стратеги болсон. Компаниуд аж ахуйн нэгжийн сүлжээний хандалт болон олон үндэстэн дамнасан корпорациуд улсын хэмжээнд үнэ төлбөргүй суулгасан нь дэлхий даяар өөрсдийн алсын хандалтын шийдлийг сунгах гэж оролдсон оролдлого юм. Хэдий тийм боловч олон улсын хэмжээнд алсын хандалтыг өргөжүүлсний үр дүнд харилцаа холбооны өртөг маш өндөр байх юм: Олон улсын утасны дуудлага болон аж ахуйн нэгжийн сүлжээ рүү залгах нь ихэвчлэн маш их төлбөр шаарддаг. Өндөр өртөгтэй асуудлын шийдэл нь түрээсийн шугам болон internet рүү алсын хандалт хийх юм. Орон нутгийн dial-up хандалтын цэг нь (оршихуй болон POP-ийн цэг) дэлхий даяар болон хуваалцсан өгөгдлийн сүлжээ рүү хандах боломжийг олгодог.
"Өндөр өртөгтэй асуудалд тавьсан шийдэл нь интернетрүү түрээсийн шугам болон dial-up -аар хандах байсан юм."
Алсын хандалтаар орон нутгийн Pop's дамжуулал хийх нь интернет технологи дахь дундаж бизнесийн эцсийн хэрэглэгчийн хувьд анх удаагийн дэлхийн өргөтгөл юм. Газар сайгүй тархсан интернет хандалт болон дэлхийн алслагдсан LANd хандах нь аж ахуйн нэгжийн харилцаа холбоо сайжирч дараагийн дэвшилд жолоодогдож байгааг хураангуйлав. Энэхүү нийтлэл нь хувийн виртуал сүлжээний хувьд аюулгүй байдлын механизм болон архитектурыг тайлбарласан байна. Эхлээд VPN г тодорхойлж эхлэх ба дараагаар нь VPN аюулгүй байдлын механизмын 4 төрлийг( түннэл, нууцлал, пакетын нэвтрэлт,танилт, хэрэглэгчийн нэвтрэлт,танилт) хэлэлцэнэ. Виртуал хувийн сүлжээний давуу талыг нэгтгэн нийтлэлээ дүгнэнэ.
Виртуал хувийн сүлжээг тодорхойлох
Виртуал хувийн сүлжээний тусгай зориулалтын шугам нь гаднаас харагдах холболт юм гэвч энэ нь олон нийтийн сүлжээгээр дамжин явагддаг. Энэ нь хуваалцсан сүлжээг ашигладаг төдийгүй интернет нь 2 аж ахуйн сайтын хооронд эсвэл хувь хүн болон сайтын хооронд аюулгүй байдлын сүлжээний холболт үүсгэдэг. Шифрлэлт болон нэвтрэлт танилт технологийг ашиглан олон нийтийн сүлжээгээр дамжуулан хэрэглэгчийг хооронд нь холбож өгдөг. VPN технологи нь фреймын дамжуулал болон түрээсийн шугамыг нэмэх болон солиход ашиглагддаг. VPN -г тохиргоогоор нь 3 хуваасан байна: intranet, extranet , алсаас хандалт. Интранэт VPN нь тогтмол байршилд холбогддог (аж ахуйн нэгжийн WAN дотор гэр оффис , салбар зэрэг) . Өргөтгөсөн VPN -ы хязгаарлагдмал хандалтыг нь аж ахуйн нэгжийн тооцоолох нөөцийг бизнесийн түншүүддээ өргөсөн төдийгүй хэрэглэгч болон нийлүүлэгчиддээ хуваалцсан мэдээллийг авах боломжийг олгоно.
VPN аюулгүй байдлын бүрэлдэхүүн хэсэг
Олон нийтийн сүлжээний аюулгүй байдлын асуудал дээр VPN хэрэгжүүлэхдээ: Нууцлал, бүрэн бүтэн байдал, танилт, зөвшөөрөл , non-repudiation paramount. гэх мэт
Туннель хийх
VPN нь туннель хэмээх техникийг ашигладаг ба энэ нь өгөгдөл пакетуудыг нийтийн сүлжээгээр дамжуулан дамжуулдаг ингэхдээ цэгээс- цэгэн холболт үүсгэн хувийн туннель хийдэг. Туннель нь тус тусын суваг, адил дэд бүтцээр явж буй сүлжээний урсгалыг зөвшөөрдөг мөн нийцгүй дэд бүтцэд сүлжээний протоколуудыг идэвхжүүлдэг. Туннель нь олон ялгаатай их үүсвэрээс ирж буй урсгалыг зөвшөөрдөг боловч энэ нь тодорхой чиглэлд, үйлчилгээний тодорхой түвшинд хүлээн авах боломжтой байна. VPN нь нийтлэг сүлжээний технологид суурилсан.
Алсын хандалтын серверлүү хэрэглэгчид ppp протокол ашиглан хандалт хийж болно.Үүнтэй адил vpn тохируулсан үед ppp протокол дээгүүр дамжин аюулгүй холболт үүсгэж болдог.Үүнийг олон нийтийн сүлжээгээр давхар ашиглах боломжтой байдаг.Tunnel холболт нь ихэвчлэн ip сүлжээний холболт амжилттай холбогдсон үед хэрэгжих боломжтой байдаг.Тухайн хувийн сүлжээ нь 2 3-р түвшин дэмжих төхөөрөмжүүдийн хооронд үүсдэг байна.Үүнээс гадна dial-up холболтын үед ч бас үүсэх боломжтой байдаг.Дотоод сүлжээний хэрэглэгчид интернет дээгүүр дамжуулан хувийн мэдээллээ түннэл ашиглан дамжуулах боломжтой юм.Ингэхийн тулд тухайн 2 төхөөрөмж түннэл протоколыг ашиглан түннэл холболт үүсгэнэ.VPN нь дараах 3-н төрөлтэй байна.Үүнд:
Point-to-Point Tunnelling Protocol (PPTP), Layer 2 Tunnelling Protocol (L2TP) ба internet Protocol Security (IPSec) зэрэг хамаарна.Windows server дээр l2tp –г өргөн ашиглах авч хамгийн өргөн тархсан хувилбар нь ipsec юм.Энэ нь 3-р түвшиний мэдээллийг нууцлан дамжуулах үүрэгтэй протокол юм.
IPsec:
IETF 1995 онд энэ төслийг үүсгэсэн байдаг.Түүнийг сүлжээгээр хэрэглэгчид хоорондоо аюулгүй мэдээлэл дамжуулах зорилгоор гаргасан.Харин ipv6 хаягийн хувьд мөн дэмждэг байхаар загварчилсан юм.Энэ нь gre түннэл юм.IPsec нь мэдээлэл хамгаалах олон алгоритм ашигладаг.Үүнд:
· Diffie-Hellman алгоритм ашиглаж хөрш хооронд түлхүүрээ солилцдог байна.
· Түүнийг үүсгэхдээ public key үүсгэж өгнө.
· Мөн des алгоритм ашиглаж болно.
· Пакетыг ah болон hmac алгоритм ашиглаж нууцална.
· Мөн тоон гарын үсэг ашиглан баталгаажуулалт хийдэг.
IPsec нь 3-н гол архитектуртай байна.Үүнд:
Authentication Header protocol, Encapsulating Security Payload protocol, key management зэрэг хамаарна. Authentication Header protocol нь өгөгдлийг хэрхэн хүлээн авагчаа зөв эсэхийг баталж өгдөг байна. Encapsulating Security Payload protocol нь өгөгдлийг нууцлан дамжуулах үүрэг хүлээнэ.Түлхүүрээ солилцохдоо түүнийг нууцалдаг байна.
Шифрлэх:
Талууд түлхүүрээ шифрлэх алгоритм,түлхүүрээ хоорондоо тохирдог байна.Түүнийг тохируулахдаа ipsec нь sa ашиглана.Үүнийг илгээгч болон хүлээн авагч талууд нууцаар солилцдог байна.Ipsec нь дараах sa –г тодорхойлно.
· Пакетын толгой хэсгийг нууцална.
· Өгөгдлийг нууцалдаг.
· Түлхүүр солилцохдоо хүлээн авагчаа мөн эсэхийг шалгана.
· Түлхүүрүүд давтагдаж байвал өөрчилнө.
· Түлхүүр нь тодорхой хугацааны дотор солилцоно.
· Эх үүсвэрийн хаяг байхыг шаарддаг.
Олон янзын сүлжээний урсгалтай орчинд vpn ашиглаж болно.
Үүний тулд өгөгдлийг сүлжээгээр нууцлан дамжуулах шаардлагатай байна.Ингэхдээ esp протоколыг ашиглана.Энэ нь пакетыг толгойн хамт нууцалдаг.SA ашиглан түлхүүрээ солилцоно.Дарааллын дугаар ашигласнаар тухайн мөрний командыг өөрчлөхөд хялбар болно.Мөн халдагч түүнийг ашиглан давтан илгээх халдлага хийж болдог байна.
Packet Authentication
IPsec-ийн архитектур дээрх Authentication Header (AH) нь IP пакетуудын өгөгдлийн бүрэн бүтэн байдал, authentication үйлчилгээг үзүүлдэг. Пакет дамжин өнгөрч байх болон authentication боломж хуурмаг хаяг, халдлагаас урьдчилан сэргийлэх, түүний дагуу хэрэглээний болон шүүлтүүр урсгалыг таниулахын тулд хүлээн авагч боломжийг олгодог ба мэдээллийн бүрэн бүтэн онцлог нь пакетын агуулгад нууц нэмэлт өөрчлөлт оруулахаас сэргийлдэг. ESP header-тэй адил AH бол IP header болон пакетын агуулгууд хооронд пакет оруулдаг. Мөн SPI хүлээн авагч нь илгээгч хоорондын харилцааг ашиглаж байгаа аюулгүй байдлын протоколуудыг тодорхойлдог байна. АН-ын хангадаг authentication, ESP хангадаг authentication ялгаатай. AH үйлчилгээ нь ESP header хүрээд ESP пакетын бүх агуулгын хамт гадаад IP header хамгаалдаг. AH authentication мэдээлэл, пакетын агуулгын SPI тодорхойлсон hash алгоритм ашиглан гаргаж авсан байна.
Хоёр алгоритмууд дэмжигдсэн байдаг: HMAC-MD5 болон HMAC-SHA-1
АН, ESP аль алин дээр нь ашиглаж болно. Transport горимд пакетын өгөгдөл болон анхны IP header нэвтрүүлдэг байна. Tunnel горимд өгөгдөл болон анхдагч IP header, гадаад IP header гээд бүх IP пакетын хувьд нэвтрүүлдэг. Transport болон tunnel горимд IP пакет нь AH, ESP аль алийг хэрэглэхээс гадна, IPsec эдгээр горимуудын хослол дэмжидэг. Хэд хэдэн хослолын боломж байдаг:
Ø ESP (пакетын өгөгдлийг хувиргах) authentication сонголтыг ямар ч transport горимд ашиглах боломжтой, дараа нь AH transport горимд хэрэглэж болно (ESP hrader пакетын өгөгдлийг эх IP header таниулна).
Ø AH transport горимд ашиглаж болно (пакетын өгөгдлийг таниулахын тулд мөн анхны IP header), дараа нь ESP туннель горимд хэрэглэж болно (бүхэлд нь шифрлэх, дотоод пакет нэвтрэлт танилт болон хүлээн авагч нь илгээгчээс пакет чиглүүлэлтийн hхувьд шинэ IP header нэмэх).
Ø ESP туннель горимд ашиглаж болно (нэмэлт, шифрлэх болон пакет, түүний анхны header таниулна), дараа нь AH тээврийн горимд хэрэглэж болно (пакетын өгөгдлийг анхны IP толгой, болон гадаад IP толгой таниулна).
User Authentication
VPN найдвартай хувийн нөөцийг хандах хандалтыг хянах болон зөвшөөрөлгүй хэрэглэгчид байгууллагын сүлжээ гадуур байлгах зорилгоор хэрэглэгчдэд таниулах чадвартай байх ёстой. Үүнд 3 протокол байна: PAP, CHA болон RADIUS
PAP
Password Authentication Protocol (PAP) анх PPP үйлчилгээний протокол болгон ашиглаж, нэг компьютер өөр компьютер руу өөрийгөө таниулах нь энгийн арга болгож хийгдсэн дизайн юм. PAP бол two-way handshaking протокол юм. PPP-ийн холбоос тогтсон үед клиент системээс destination системрүү plaintext хэрэглэгчийн ID болон нууц үгийн хослол илгээдэг. PAP хэрэглэгчийн authentication нь найдвартай арга биш юм. Аuthentication мэдээлэл нь тодорхой дамжуулагдсан болон хүчин төгөлдөр хэрэглэгчийн ID / нууц хослол таах халдлага, хэт их оролдлогоос хамгаалах зүйл байдаггүй.
CHAP
Challenge Handshake Authentication Protocol (CHAP) бол authentication хэрэглэгчийн хувьд илүү найдвартай арга юм. CHAP нь three-way handshaking протокол юм. Энгийн, 2- алхам хэрэглэгчийн ID / нууц үгээ PAP ашиглаж үйл явцыг батлах, CHAP нь шалгаж, РРР-ийн холбоос үүсгэх нь гурван үе шаттай үйл явцыг ашигладаг:
· Аuthenticator клиент систем руу бэрхшээлтэй мессеж илгээдэг.
· Клиент систем нь нэг арга зам бол хэш функц ашиглан үнэ цэнийг тооцож, баталгаажуулалтанд буцаан үнэ цэнийг илгээдэг.
· Аuthenticator хариу хүлээгдэж буй утгын заалт бол authentication хүлээн зөвшөөрч байдаг.
CHAP халдагч холболтонд удаа дараа нэвтрэх оролдлогын боломжийг устгана. Гэсэн хэдий ч, PAP болон CHAP хувьд аль аль нь сул талтай. Аль аль нь нууцлаг нууц үг дээр хэрэглэгчийн компьютер болон орон нутгийн компьютер дээр хадгалагдаж байдаг протокол юм. Хэрвээ компьютерийн сүлжээний халдагчид хяналтан дор ирдэг бол, нууц үг эвдэгдэж болно. Түүнчлэн, PAP болон CHAP-ын давуу тал нь зөвхөн нэг багц тухайн компьютерт оноож өгөх боломжийг олгодог. Энэ нь ижил remote хост ашигладаг янз бүрийн remote хэрэглэгчийн өгсөн өөр сүлжээний хандалтын эрхүүдийг сэргийлдэг.
RADIUS
Remote Authentication Dial-In User Service (RADIUS) протокол нь remote сүлжээний холболтын хэрэглэгчийн бүртгэл болон session-үүд удирдахад илүү уян хатан байдаг. RADIUS шаардлагатай бүх аудитын болон нягтлан бодох бүртгэлийн өгөгдөл, хэрэглэгчдэд таниулан нэвтрэх түвшинг тодорхойлж, хадгалахын тулд клиент / сервер загварыг ашигладаг. RADIUS протокол нь сүлжээний хандалтын сервер (NAS), хэрэглэгчийн холболтын хүсэлтийг хүлээн авах хэрэглэгчийн ID болон нууц үг мэдээлэл олж авах, RADIUS сервер найдвартай шифрлэгдсэн мэдээллийг дамжуулахад ашигладаг. RADIUS сервер хэрэглэгчрүү үйлчилгээ үзүүлэх NAS шаардлагатай ямар нэгэн тохиргооны өгөгдлийн хамт authentication байдал (баталсан буюу үгүйсгэсэн) буцаана. Хэрэглэгчийн authentication, үйлчилгээний хүртээмж RADIUS сервертэй холбогдож чадах ямар ч харилцаа холбоо серверээс ижил үйлчилгээ авах боломжийг олж авах нь remote хэрэглэгч бий болгох, RADIUS сервер удирдаж байна.
Дүгнэлт
Байгууллагын remote холболт нь улам бүр ихэсч эрэлт хэрэгцээг хангахын тулд тэмцэж байгаа, тэд сүлжээний төвөгтэй болон эцсийн хэрэглэгчийн дэмжлэг зардлын үр дүнд нэмэгдэж ажиллахад хүндрэлтэй байна. VPN-үүд нь remote хэрэглэгчдийн өсөн нэмэгдэж буй нийгмийн шаардлагыг хангах, салбарын холболтыг удирдах илүү хямд, өргөтгөх арга замыг санал болгож байна. Тэд түр үндсэн дээр гадаад вэбсайт руу худалдан авагчид, бизнесийн түншүүд холбох замаар бизнесийн санамсаргүй хурдыг хангахад туслах болно. Мөн VPN-үүд аюулгүй байдлыг бууруулахгүйгээр сүлжээний нөөц боломж олгох болно. Виртуал хувийн сүлжээ нь ирээдүйн зардлын хэмнэлт, амлалт сайжруулсан, аюулгүй байгууллагын харилцааны чадавхийг санал болгож байна.
No comments:
Post a Comment