Loading presentation...
Prezi is an interactive zooming presentation

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

VPN технологиясы

No description
by

Arman Baigaziev

on 27 April 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of VPN технологиясы

VPN (Virtual Private Network) виртуалды жеке желілер – басқа желі, мысалы, ғаламтор желісі үстінен құрылатын логикалық желі. Байланыс көпшілік желі арқылы қауіпсіз емес хаттамаларды қолданып орнатылғандықтан, шифрлеу арқасында басқалардан жабық деректер алмасу арналары құрылады. VPN арқылы бір ұйымның бірнеше бөлімшелерін ашық желілерді қолданып, қауіпсіз біріккен желіге біріктіруге болады


VPN дегеніміз не?

Виртуалды жеке желілерді құрудың негізгі ерекшелігі – бірыңғай мәліметтер тарату желісіне тапсырушының кеңселері мен техникалық орталықтарын біріктіру үшін белгіленген арналарды пайдалану қажет емес. Осылайша тапсырушы келесі ықпалдың арқасында өз қаражатын үнемдеуге мүмкіндік алады.
Виртуалды жеке желілердің дәстүрлі жеке желілерден бірнеше артықшылықтары бар. Солардың негізгісі – үнемдеу, иілгіштік және қолданылуының қолайлығы.

VPN артықшылықтары
Хаттама түрі бойынша VPN құру TCP/IP, IPX және AppleTalk арқылы
жүзеге асады. Қазіргі таңда жалпылай TCP/IP хаттамасына өту байқалуда. Онда адрестелу RFC5735 стандарты бойынша таңдалады. VPN желісін құруда қолданылатын желілік хаттаманың ISO/OSI моделінің деңгейлерімен салыстыру арқылы жіктеледі.

VPN құру түрлері

Виртуалды жеке желі (VPN) - бірінші кезекте Интернет секілді желілерді қоғамдық коммуникациялық құрылымдарды алыс қашықтықта (әсіресе жеке географиялық құрылымдарды) байланыстыратын жеке желі. Бұл желілер мәліметті шифрлеу сияқты тунельдік протоколдар және қауіпсіздік шаралары арқылы жеке желілердің қауіпсіздігін қамтамасыз етеді. Мәселен, VPN бас кеңселердің бөлімшелерін желіге қосылу қауіпсіздігін қамтамасыз ету үшін де қолданылуы мүмкін. Сондай-ақ VPN әртекті бірақ бір типті, мысалы IPv6 желісін IPv4 желісі арқылы, байланыстыруы мүмкін.
VPN технологиясы
IP Security протоколы
VPN жіктелуі

VPN технологиясын бірнеше параметрлерге байланысты жіктеуге болады . Қолданылатын желінің қорғалу деңгейіне байланысты:

қорғалған
:

виртуалды жеке желілердің ең көп таралған нұсқасы, оның көмегімен сенімді әрі қорғалған желі құруға болады, мысалы: IPSec, OpenVPN және PPTP;

сенімді
:

желіні сенімді деп санап, тек үлкен желі аясында виртуалдыжелі құру мәселесін шешу керек болады, бұндай VPN желісінің мысалы: Multiprotocol label switching (MPLS) және L2TP (Layer 2 Tunnelling Protocol).


Жүзеге асыру мақсаты байланысты:

ішкі коорпоративті VPN (Intranet VPN);
қашықтан қатынас құрылатын VPN (Remote Access VPN);
коорпоративтер арсындағы VPN (Extranet VPN);
Client/Server VPN.
VPN желілері ортақ қолданыстағы ғаламтор желісі арқылы деректерді туннелдеу хаттамаларын қолдану арқылы құрылады. Туннелдеу хаттамалары деректерді шифрлауды және олардың пайдаланушылар арасында жіберілуін
қамтамасыз етеді.
Қазіргі кезде VPN желісін құру үшін мына деңгейлердің хаттамалары қолданылады:
VPN желісінің хаттамалары
Виртуалды жеке желі (VPN) - бірінші кезекте Интернет секілді желілерді қоғамдық коммуникациялық құрылымдарды алыс қашықтықта (әсіресе жеке географиялық құрылымдарды) байланыстыратын жеке желі. Бұл желілер мәліметті шифрлеу сияқты тунельдік протоколдар және қауіпсіздік шаралары арқылы жеке желілердің қауіпсіздігін қамтамасыз етеді. Мәселен, VPN бас кеңселердің бөлімшелерін желіге қосылу қауіпсіздігін қамтамасыз ету үшін де қолданылуы мүмкін. Сондай-ақ VPN әртекті бірақ бір типті, мысалы IPv6 желісін IPv4 желісі арқылы, байланыстыруы мүмкін.
VPN технологиясы
Intranet VPN сұлбасы


Intranet VPN
– бір мекеменің ашық байланыс арналары арқылы қатынасып отырған бірнеше таралған бөлімшелерін бір қорғалған желіге
біріктіреді.


“Remote Access VPN”
түрі корпоративті ресурстарға үйінен (үйдегі қолданушы) немесе notebook арқылы (жылжымалы қолданушы) қосылатын жай қолданушымен корпоративті желі сегментінің (орталық офис немесе филиалдар арасында) арасындағы қорғалған тасымалдауды орындайды. Қашықтан қатынас құрылатын (Remote Access VPN) түрі суретте келтірілген.
Бұл суретте жылжымалы қолданушы орталық офиспен қорғалған арна
арқылы құпия деректерді тасымалдауы бейнеленген. Виртуалды жеке желісінің
бұл түрінің біріншісінен айырмашылығы қашықталған қолданушы статикалық
адреске ие болмауы және ол қорғалған ресурстарға арнайы VPN құрылғысы
арқылы емес тікелей VPN функциясын орындайтын бағдарламалық қамтамасы
орнатылған өзінің компьютерінен қосылады.

Remote Access VPN
Суретте мекеме бөлімшелерінің Intranet VPN желісі арқылы өзара ақпарат алмасуы бейнеленген. Мұнда филиалдар ашық желі арқылы орталықтандырылған серверге біріктірілген.

“Client/Server VPN”
түрі корпоративті желінің екі түйін арасында тасымалданатын деректерді қорғалуын қамтамасыз етеді. VPN желісі жұмыс станциясы мен сервер арасында, желінің бір сегментінде орналасқан түйіндер арасында құрылады. Мұндай қажеттілік кейде бір физикалық желіде бірнеше логикалықжеліні құру қажет болғанда туады.
Мұнда қолданушы мен сервер арасындағы желіге брандмауэр (firewall) орнатылған. Себебі брандмауэр құпия деректерді бекітілмеген енулерден
қорғайды.
Client/Server VPN
Бұл суретте бірнеше мекемелердің бір бірімен қорғалған желі арқылы байланысы көрсетілген. Мекемелер арасындағы желілерге брандмауэр орнатылған.


Extranet VPN


Extranet VPN
– іскерлік қарым-қатынастар кезінде байланыстың
сенімділігінің арттырылуын қолдайтын бір компания желісінен екінші басқа
компания желісіне тікелей қатынауды қамтамасыз ететін тораптық технология.
Бірнеше компаниялар бірге жұмыс істеуді келісіп бір-біріне өздерінің желілерін
ашқанда, олар өздерінің серіктестерінің белгілі ғана мәліметтерге қатынас
құруларын алдын ала қарастырулары қажет. Сонымен қатар құпия деректер
рұқсатсыз кіруден қорғалған болуы тиісті, сондықтан корпоративтер
арасындағы желілерде брандмауэрлер арқылы қатынас құруды бақылау
маңызды.

VPN құрудың бірнеше түрлері:
Маршрутизаторлар негізіндегі VPN;
Бағдарламалық қамсыздандыру негізіндегі VPN;
Аппараттық құралдар негізіндегі VPN;
Маршрутизаторлар негізіндегі VPN
Аппараттық құралдар негізіндегі VPN

— арналық деңгей;
— желілік деңгей;
— транспорттық деңгей.
Шифрлеуді және ақпарат құпиялығын қамтамасыз ететін және абоненттердің аутентификациясын жүзеге асыратын IPSec хаттамасы қолданылады.
Бүгінгі таңда IPSec хаттамасы қауіпсіздік жағынан ең қарастырылған
және жетілген Интернет хаттамалары болып табылады. Жеке жағдайда, IPSec
әрбір датаграмма деңгейінде аутентификацияны, бүтіндігін және хабарламалардың шифрлануын қамтамасыз етеді. Бүгін IPSec хаттамасы қауіпсіздік жағынан ең қарастырылған және жетілген Интернет хаттамалары болып табылады. Жеке жағдайда, IPSec әрбір датаграмма деңгейінде аутентификацияны, бүтіндігін және хабарламалардың шифрлануын қамтамасыз
етеді
Желілік деңгей

IPSec хаттамасының кейбір кемшіліктері бар
: тек TCP/IP стандартын қолдауы
және қызмет хабардың өте үлкен көлемі, ал ол төмен жылдамдықты байланыс
арналарына мәліметтер алмасудың жылдамдығының кемуіне әкеледі, әзірше
өкінішке орай тек Ресейде көбірек таралған.
VPN желісін IPSec хаттамасы негізінде ұйымдастыру

IP Security
– бұл шифрлау, сәйкестендіру және IP-дестелерді тасымалдау кезінде қауіпсіздікті қамтамасыз ету үшін қолданатын хаттамалар жиынтығы. Оның құрамына стандарт бойынша 20 шақты ұсыныстар және 18 RFC кіреді .

IPSec хаттамасы келесі мүмкіншіліктерді қамтамасыз етеді:
құпиялылық: жіберер алдында деректер шифрланады;
деректер тұтастығы: деректер жолда өзгермегеніне сенімді болуы үшін IPSec қатынасатың екі жақтың және осы екі жақтың жіберетін IPSec дестелерінің сәйкестендірілуін қамтамасыз етеді;
деректер көзінің түпнұсқалығы: IPSec деректерін қабылдаушы IPSec
деректер көзін сәйкестендіруге мүмкіндігі болады
IPSec хаттамасы негізіндегі VPN
Жергілікті желінің кірісінде және шығысындағы дестелер маршрутизаторлар
және желіаралық экрандар арқылы өңделеді. Байланысты қорғауды қамтамасыз ету үшін IPSec тәсілдері стандартты шифрлеу және түпнұсқаландыру алгоритмдерін (математикалық формулалар) қолданады. Келісілген параметрлерді көрсету үшін қорғау ассоциациясы қолданылады.
Қорғау ассоциациясы (Security Association - SA) қатынасатын екіжақтың құрылғылары арасындағы жоспарланатын деректер алмасу кезіндегі деректерді өңдеу әдісі немесе келісілген саясат түрін қарастырады. Екі жақ та шифрлау және кері шифрлаудың бірдей алгоримін қолдана алады. SA іс жүзіндегі параметрлері қорғау ассосиациясының деректер қорында сақталады. Екі жақты
байланыс үшін екі SA қажет.
Қорғау ассоциациясы
IKE хаттамасы (Internet Key Exchange) – гибридті хаттама болып
табылады, ол IPSec үшін арнайы сервисті қамтамасыз етеді. Оның ішіне IPSec жақтарының түпнұсқаландыруы, IKE қорғау ассоциациясы мен IPSec
параметрлерін келістіру, шифрлау алгоритмі үшін кілттерді таңдау кіреді. IKE хаттамасы ISAKMP (Internet Security Association and Key Management Protocol) ассоциация және кілттерді басқару хаттамасымен және шифрлеу кілттерін жасау және өңдеу үрдістерін басқару үшін қолданатын Oakley хаттамасымен бірге жұмыс жасайды
Internet Key Exchange
АН (Authentication Header) – аутентификацияны және деректің өзгертілгенін тексеруді қамтамасыз ететін қорғау хаттамасы. АН хаттамасы цифрлы қолтаңба секілді жұмыс жасайды және IP дестесіндегі ақпараттар рұқсатсыз өзгертілмейтіндігіне кепілдік береді. АН хаттамасы ақпаратты
шифрлеу және кері шифрлеу қызметін атқармайды.
Authentication Header
ESP (Encapsulating Security Payload) – құпиялылықты және деректер қауіпсіздігін қамтамасыз ететін қорғау хаттамасы.
Encapsulating Security Payload
IPSec жұмыс істеу принципі
IPSec техникалық шешімдер тізіміне және шифрлеу әдістеріне бағынады. Жалпы IPSec әрекетін келесі негізгі қадамдар түрінде көрсетуге болады:

IPSec хаттамаларының жұмысында 5 кезеңді атап өтсе болады:

Бірінші кезеңде
IPSec стандартын қолдайтын әрбір түйінде қауіпсіздік
саясатын жасайды. Мұнда қай трафик шифрланатыны, қандай функциялар мен алгоритмдер қолданылатыны анықталады.

Екінші кезең
негізінен IKE-нің бірінші фазасы болып табылады. Оның
мақсаты – IKE-нің екінші фазасына екі жақ арасында қауіпсіз арна
ұйымдастыру. Бұл кезеңде мына функциялар орындалады:
аутентификация және түйіндердің идентификацияланған ақпаратын
қорғау;
кілттермен қауіпсіз алмасу үшін IKE SA саясатының сәйкестігін
тексеру;
Диффи-Хеллман алмасуы нәтижесінде әрбір түйінде ортақ құпия
кілт пайда болады;
IKE-нің екінші фазасына қауіпсіз арна жасау.

Үшінші кезең
– IKE екінші фазасы. Оның мақсаты – Ipsec туннелін құру.
Үшінші кезеңде мынадай функциялар орындалады:
IKE-нің бірінші фазасында құрылған қорғалған IKE SA арнасы
бойымен IPsec SA параметрлері үйлестіріледі;
IPsec SA орнатылады;
IPsec SA-ның қауіпсіздігіне сенімді болу үшін оны периодты түрде
қарап отырады;
Диффи-Хеллман алмасуы қосымша жүргізіледі.

Төртінші кезеңде
IPsec SA құрылғаннан кейін SA-да орнатылған
хаттамалар мен параметрлер қолданып, IPsec-туннелімен ақпарат алмасу
жүргізіледі.

Бесінші кезең
– ағымдағы IPsec SA жұмысын тоқтатады. Бұл оларды
өшіруден немесе мәні әрбір түйіндегі SAD-та енгізілген өмір сүру уақытынын (арна арқылы жіберілетін SA-да анықталған ақпараттық байтпен немесе секунд бойынша) бітуіне байланысты болады. Егер жіберуді жалғастыру қажет болса, IKE-нің екінші фазасы іске қосылады (қажет болғанда бірінші де), одан ары жаңа IPsec SA құрылады. Егер үзіліссіз ақпарат жіберу қажет болса, жаңа IPsec SA құрылу үрдісі ағымдағылардың жұмысы аяқталмай жүруі мүмкін.
Назарларыңызға рахмет!
VPN жіктелуі
Мизамиден Н.
РЭТ-23
Full transcript