УМКД_АЖ

жүйенің көмегімен орындалады. Одан басқа МББЖ-ға сценариялық шабуыл
үшін екі түрлі болады, яғни арнайы әдіс қолдауды талап етеді. Бірінші жағдайда
арифметикалық операцияның нәтижесі МББЖ-ның сандық өрісі аз жаққа
орналасады, ал МББЖ-ның кейбір жазуларының нәтижесі бөлектенеді. Екінші
жағдайда хакер МББЖ-ның жазу өрісін алады, тек статистикалық ақпаратқа ену
үшін арналған МББЖ-ға хакерлік шабуылдың идеясы – сұранысты айла түрде
формалау, яғни статистика үшін жиналатын көптеен жазулар тек бір жазу
ретінде көрсету.

Операциялық жүйе деңгейіндегі шабуыл.
МББЖ-ға қарағанда, операциялық жүйені қорғау қиынырақ. Себебі, қазіргі
замандағы операциялық жүйе ішкі құрылымы қиын, сондықтан соған сәйкес
саясатты сақтау есебі қиынырақ. Көптеген адамдар ойынша операциялық
жүйеге ең тиімді шабуыл жасау үшін техника мен ғылым саласындағы ең соңғы
жетістіктерінің күрделі құралдары көмегі арқылы, ал хакер жоғарғы деңгейлі
программист болуы қажет дейді. Өкінішке орай бұл олай емес.
Компьютерлік техника саласындағы жаңалықтар туралы қолданушы
әрдайым біліп жүру керектігіне ешкім де дауласпайды. Және де жоғарғы
деңгейлі білім артық болмас та. Алайда хакерлік өнер ең «күшті» компьютерлік
қорғанысты бұзу емес. Тек жүйелік қорғаныстың әлсіз жерін табу болып
табылады.
Хакерлік шабуылдың алгоритмді сәтті орындау көбінесе операциялық
жүйенің архитектурасы мен конфигурациясына байланысты. Бірақта кез-келген
операциялық жүйе келесідей шабуылға тап болуы мүмкін:
Парольды ұрлау;

• Қолданушы парольды теріп жатқанда сығалап қарау операциялық
жүйемен қолдануға құқық береді (ол пароль монитор бетінде көрінбесе де,
хакер саусақтың қозғалысын бақылай отырып біле де алады);

• Желіге қосылу үшін қиындық тудырмау үшін қолданушы парольды
файлға сақтауы, шабуылшыға жол ашады (бұл файлдар көбінесе шифрленбеген
түрінде сақталады);

• Парольды іздеу, көбінесе қолданушы ұмытып қалмау үшін күнтізбеге,
қойын дәптерге және компьютер клавиатурасының кері жағына жазады (бұл
көбінесе администратордың қолданушыға қиын пароль берген кезде кездеседі);

• Парольдік ақпаратты таситын сыртқы құрылғыларды ұрлау
(Операциялық жүйеге кіру үшін дискте және электронды кілтте сақталған
парольдер);

• Пароль болу мүмкін деген нұсқалардың бәрін теріп көру;

• Парольды жиі кездесетін сөздер арқылы теру – оның аты, тегі, телефон
номері, туған жылы және т.с.с.

Компьютердің қатты дискін сканерлеу;
«Қоқысты» теру;
Құқығын жоғарлату;

• Қолданушы атынан бағдарламаны іске қосу;

• Динамикалық жүктегіш кітапхананы алмастыру;

• Өзіндік операциялық жүйенің қорғаныс кодын немесе мәліметтер
жүйесін өзгерту;

Жағдай жасаудан бас тарту;
- ресурстарды аулау (хакерлік программа операциялық жүйедегі
ресурстардың барлығына аулау жасайды, содан кейін шексіз циклға өтеді)
- сұраныстарды бомбалау (хакерлік программа операциялық жүйеге
әрдайым сұраныс жіберіп отырады, компьютердегі керекті ресурстардың көңіл
бөлу реакциясын талап етеді )
- программалық қамтамасыздандыру немесе әкімшілікке қателікті қолдану.
Егер компьютерлік жүйедегі программалалық қамтамасыздандыру қате
болмаса және оның әкімшілік қауіпсіздік саясаты қатаң сақталса операциялық
жүйенің өңдеушінің кеңес беретін болса, онда көрсетілген барлық шабуылдар
әсері аз . Қосымша шаралар, жоғарғы сатылы қорғанысты болу керек, бірақтан
нақтылы операциялық жүйе дәрежесіне байланысты берілгендер компьютерлік
жүйесінің басқаруымен жұмыс істеуіміз керек. Бірақтан мойындауымыз керек,
барлық қолданылған шараларды ысырып операциялық жүйе барысында
компьютерлік жүйені бұзуға болмайды.

Өзін-өзі бақылау сұрақтары:
1. Желілік программалық қамтамасыздандыру барысындағы шабуылды
атаңыз?
2. Маршрутталған хаттаманы ұстау дегеніміз не?
3. Хакерлік шабуыл дегеніміз не?
4. Қорғалған операциялық жүйені қолдану дегенді түсіндіріңіз?
5. Хакерге қақпан құру деген не?
6. Компьютерлік жүйеге қатысты қауіптің түрлері?
7. Мәліметтер базасын басқару жүйе деңгейіндегі шабуыл дегеніміз не?
8. Операциялық жүйе деңгейіндегі шабуыл дегеніміз не?
9. Желілік бағдарламалық қамтамасыз ету деңгейіндегі шабуыл дегеніміз
не?
10. Хакерлік шабуылдың алгоритмді түсіндіріңіз?

9 Дәріс. Қосымша деңгейдегі инфрақұрылымды қорғаныс. СНАР
протоколы

Дәріс мақсаты: аутентификациялау, пайдаланушы авторизациясы,
мақсаттылығын қамтамасыз ету, берілгендерді конфиденциалдығын
қамтамасыз етеді, электронды цифрлық жазбаларды жүзеге асыруды,
пайдаланушы логикалық жүйеге ену үшін қажетті серверге сұраныс жібереді,
аутентификациядан өтеді, авторазацияланады және нәтижесінде рұқсат алады
да өзіне қажетті операцияны үйретеді.

Негізгі қарастырылатын сөздер: Web cайт, аутентификациялау, кіру
мүмкіндігін басқару, жойылу мүмкіндігі, протокол, қателерді табу.

Дәріс сұрақтары:
1. Желіні басқару мүмкіндігі

2. Жойылу мүмкіндіктерін құру
3. СНАР және S/ Key протoколдары
4. Жойылу мүмкіндігін орталықтан басқару

Дәрістің негізгі мазмұны
Ақпараттық техниканың дамуы компанияның деңгейін көтереді.
Сонымен қатар потенциялды клиенттермен қарым – қатынас жасауға,
интернет жүйесімен жұмыс жасауға жаңа мүмкіндіктер береді. Web cайт
құру Интернет жүйесімен кәсіпорын байланысының алғашқы қадамы болып
табылады. Коммерциялық операцияларды желіде жиі өткізген және
пайдаланушыларға Web сайтқа кіру мүмкіндігін беру миллиондаған желі
пайдаланушыларын кәсіпорын клиенттері ретінде алуға мүмкіндік береді.
Корпоративті желіде Internet қосымшаларын қосу AT - инфрақұрылымды
зиян келтіріп, желіге қауіп келтіруі мүмкін.
Сондағы ақпаратты қорғаныс мына мәселелерді шешуі қажет, яғни Web-
сервер және Web қосымшаларды қорғау, аутентификациялау,
пайдаланушы авторизациясы, мақсаттылығын қамтамасыз ету, берілгендерді
конфиденциалдығын қамтамасыз етеді, электронды цифрлық жазбаларды
жүзеге асыру және т.с.с.
Сенімді, қауіпті әдістерді және ақпараттарды ашық қолданатын топтарға
– қызметкерлер, әріптестер, клиенттер, жабдықтаушылар жатады. Мұндағы
басты мәселе, яғни қиындықты авторизацияланған пайдаланушылар
тудырады.
Идентификацияны және кіру мүмкіндігін басқару.
Электронды бизнеспен шұғылдану үшін алдымен on line жүйесінде
сенімді орта құру қажет. Электронды бизнесті құруға мүмкіндік беретін
технология мына төрт негіздегі функцияны ұсынады:

• Аутентификация, яғни пайдаланушының берілгендерін тексеру;

• Кіру мүмкіндіктерін басқару, яғни авторизацияланған
пайдаланушылар талаптарын қамтамасыз етеді;

• Шифрлеу, яғни пайдаланушылар арасында келісім орнату және
инфрақұрылым қорын қорғау;

• Бас тартпау, яғни пайдаланушылар транзакциядан бас тарта
алмайды.

Осы төрт функцияны қанағаттандыратын шешім ғана сенімді ортаны
құра алады, яғни бизнес үшін шынында сенімді қорғаныс орнатады.

Кіру мүмкіндігін басқару жалпы жүйе қауіпсіздігінің критикалық
компоненті болып табылады. Жүйені басқару мүмкіндігі авторизацияланған
пайдаланушыларға ғана беріледі.

Кіру мүмкіндігін басқару ерекшеліктері корпаративті желіде әдетте
кіру мүмкіндігін басқару жуйесінің екі әдісі ұсынылады:

• Желіге кіру мүмкіндігін басқару ( ішкі жүйе ұйымдастырып оның
ресурстарына кіру мүмкіндігін баптау );

• Web кіру мүмкіндігін басқару ( серверге және оның ресурстарына

кіру мүмкіндігін баптау );

• Ресурстарға кіру сұраныстарының барлығы бір немесе бірнеше

ASL ( Access control List ) арқылы кіру мүмкіндігін бақылаушы

тізімдерімен жүреді ASL. Ережелер жиынтығына кіру мүмкіндіктерін

береді. Ол қорғалатын ресурстар жиыны болып табылады. ASL

қауіпсіздік саясатыымен анықталады.

Желілік ресурстарға кіруге мүмкіндік алу үшін алдымен Login ASL

бақылаушы тізімін құру қажет. Ол ішкі жүйемен жұмыс жасауға мүмкіндік

береді. Бақылау құралдары және Web кіру мүмкіндігін басқару. Кіру

саясатын құрып, оның орындалуына мүмкіндік береді. Web кіру

бақылаушысының Web ASL тізімін құрып, серверіне кіру мүмкіндігін,

қауіпсіздікті администратор қамтамасыз етеді.

Сонымен қатар делигациялық администрциялау жүйесін ұсынады.

Яғни пайдаланушы ақпаратты жіберу функцияларын басқара алады.

Кәсіпорындардағы жүйе қауіпсіздігін қолдап, жүргізілу әдістерін

жеңілдеу үшін, пайдаладаланушылар мен саясаткерлерді тез табу үшін 2

DAP каталогтары және берілгендер қорының реляциялық моделі

қолданылады.

Кіру мүмкіндіктерінің жүйесін функцияналдау.

Көру мүмкіндігін басқару үшін алдымен жүйе орталығында Secure C,

RSA S,B және т.б компаниялар арқылы жүзеге асырылады.

Premier Access жүйесін мысалға алуымызға болады. Бұл жүйе

пайдаланушыларға Web басқаруға және желіге өту мүмкіндігін береді.

Қауіпсіздік саясатымен бағаланады. Пайдаланушылар берілген жүйенің

ресурстарына енуді, Web ережелерін пайдалануға, RADIUS серверлері

бойынша жұмыс жасауға мүмкіндік береді. RADIUS жүйесінде каталогтар

процестерін аутентификациялауға, авторизациялауға, администрациялауға

мүмкіндік береді. Жүйе аутентификация типтерімен қолданады.

Бұл жүйенің пайдаланушылары көп. Сервердің тіркеу орталығы

пайдаланушыларға желіге тіркелуге, Web - браузерлері арқылы стандартты

функцияларын қолдауға мүмкіндік береді. Тіркеу процесінде

пайдаланушыларға рөлдер беріледі. Рөлдер ярлыктар болып табылады,

яғни топ пайдаланушыларына идентификациялануға мүмкіндік береді.

Рөлдер әдетте пернелер жиынтығынан тұрады.

Желіні басқару мүмкіндігі

Жүйені басқаруға агенттер арнайы қолданылады. Жүйе агенті - бұл

корпоративті желіде серверлерді белгілеп, клиенттермен қызмет атқаратын

программалық модель. Мұндай агенттердің мысалына VPN агенттерін,

RADIUS серверінің агенттерін, RAS, Citrix және т.б алуға болады. Ішкі

желіге кіру үшін жүйе агенттерін жүйеге ену сұранысына берілгенді

енгізеді.

Пайдаланушылардың аутентификациялық нүктесі ретінде UAPS(User

Authentication Points ) алуымызға болады. Агент сұранысын жібереді, сол

сұраныстарға жауап беруші пайдаланушы өз берілгендерін енгізеді. Мұндай

берілгендерді жіберу үшін ААА - серверлері (

Authentication,Authorization,Accounting ) қолданылады.

ААА сервері пайдаланушының ID идентификаторының немесе

берілгендер артификаторын, 2DАР каталогтарын салыстырады. Егер ID

идентификаторының берілгендері сақталған карталармен, рөлдермен,

берілгендер қорымен сәйкес келсе, олар авторизацияланады.

аутентификация үшін паролдер, аппараты қолданылады.

Web – ке көру мүмкіндігін басқару. Premier Access жүйесі арнайы

Web агенттердің VWA (Universal Web agent ) түрін пайдаланады. Әрбір

пайдаланушы мысалы ретінде бизнес - әріптестерді, компания

қызметкерлерін алуымызға болады.

Web –ке кіру мүмкіндігі екі этаппен жүзеге асырылады;

1 ) Пайдаланушы WLS ( Web Login Server) серверін қолдана отырып

жүйеге енеді. WLS сервері аутентификация нәтижесін ААА серверіне

сұраныс жібергеннен кейін ала алады. Аутентификация WLS серверінде

өңделсе, cookie сеанстық пайдаланушылар идентификаторларын

пайдаланады.

2 ) Web - ресурстарға пайдаланушылар ену мүмкіндігін алады. WLS

сервері cookie сеанстық идентификаторларын ААА - серверін

пайдаланушылар туралы сұраныс алу үшін қолданады. VWA агенті

арқылы ID сеанысын қабылдап, содан соң ААА серверлері берілгендері

қабылдайды.

Жойылу мүмкіндіктерін құру

Жойылу мүмкіндігі корпоративті желіде қорғалмаған жүйе арқылы

ашық желі құру негізінде қолданылады. Сондықтан да корпаративті

желідегі қорғаныс компьютердің желіге қосылған уақытынан бастап

орындалуы тиіс.

Жойылу мүмкіндігі корпоративті желіде жобалауды компьютерлік

желілер арқылы немесе телефон желісі арқылы құруға мүмкіндік береді.

Глобалды желісі арқылы немесе телефон желілері арқылы Internet - ке

ену мүмкіндіктері әлдеқайда тиімді болып табылады. Протоколдар

арасында локалді желімен жойылу мүмкіндігін «нүкте –нүкте» РРР ( Point-

to-Point Protocol) протоколы жүзеге асырады. РРР протоколы байланыс

орнатып, ақпарат алмасуға, РРР кадрларын инкапсуляциялауға

қолданылады. РРР әдісі бір уақытта бірнеше кадрлармен қызмет атқаруға

және желілік деңгейде арналар құруға мүмкіндік береді.

- Жойылушы пайдаланушы идентификаторынан және жойылушы

серверінен тұрады;

- Берілгендерді шифрлеуден және кондексациялаудан тұрады;

- Қателерді табу мен жөндеу мүмкіндіктерін береді;

- Арналар байланысын тексеріп, қосымша мүмкіндік береді;

- IP адрестерін динамикалық жүйемен құрылым, оларды басқаруға

мүмкіндік береді. РРР протоколдары негізінде көбнесе PPTP, L2F және

L2TP протоколдары қолданылады.

СНАР протоколында статикалық жасырын паролдері қолданылады. РАР
протоколына СНАР протоколының ерекшелігі әрбір пайдаланушыға өз
паролдері арқылы берілгендерді пайдалануға мүмкіндік береді. РАР
протоколына қарағанда СНАР протоколдары желілерде көп қолданылады.

СНАР протоколындағы паролдерді шифрлеу жүйесі криптографиялық
алгоритмдердің хэштеу жүйесі көмегімен орындалады. СНАР
протоколында RFC 1334 стандартында ХЭШ – функциясы HD 5
алгоритмдерімен анықталады. Яғни бұл алгоритм мәні 16 –байттан тұрады.

СНАР протоколы 4 типтен пакеттермен анықталады:
- Шақыру (Challenge);
- Жауап (Response);
- Нақтылау (Sеicess);
- Жоққа шығару (Tailure);
Аутентификация процесі СНАР протоколында шақыру панелін
пайдалану арқылы басталады.
Жойылғыш кампьютер дайджест нәтижесінде алынған шақыру
функциясын бір нақты функция көмегімен шифрлеп, жасырын сөзді
табады . Дайджест сұранысты қайталаған жаққа жауап пакет түрін
қайтарады.
Бір жақты хэш - функциясы Шақыру және Жауап пакеттеріне
қолданғандықтан, жойылуы пайдаланушының паролін анықтау мүмкін
болмайды.
Сервер жауап пакетін қабылдап, қабылданған жауап парағын нәтижемен
салыстырады. Егер нәтижелер сәйкес келсе, онда аутентификация сәтті өтеді
және жойылған кампьютерге сервер нақтылау пакетін жібереді.
Кері жағдайда сервер жойылушы компьютерге жоққа шығару пакетін
жіберіп, байланысты үзеді.
Егер жауап пакеті қайталанып берілсе, онда Шақыру пакеті серверде
қайталанып жіберіледі.

S/ Key протoколы
Бір ретті паролдермен құрылған аутентификация протоколдарының енң
таралған интернеттегі стандартты протоколға S/Key протоколы жатады. Бұл
протоколдар көптеген жүйелерде қолданылады, сонымен қатар CISCO
компаниясының TACACS жүйесінде де қолданылады. S/Key ашық жүйемен
жұмыс атқарады және әрбір пайдаланушыға жеке пароль береді. Бұл паролдер
генерациялары бір жақты функциялармен жүргізіледі. S/Key протаколы MD4
хэштеу алгоритмімен анықталады. Ал S/Key протаколдарының кейбір түрлері
MD5 хэштеу функциясын қолданады. Аутентификация жиыны 100 бір жақты
паролдерден тұрады. Тізімдегі бір жақты паролдер N-100 болады. Ал W101
кілтін есептеу үшін L функциясының аргументі және берілген функцияны 101
рет орындайтын рекурсив мына түрде есептеледі.
Мұндағы К кілті пайдаланушылардың жасырын кілті болып табылады, ал N
және W101 жасырынды емес сандар берілгендер қорында қайталама ретінде
сақталады.

W101 мәнін қабылдаған қайталанушы бөлімі бір жақты функцияны бір рет
орындайды.

W’101=h(W’100). Егер аутентификация W’100=W100 сәйкес келсе, онда
аутентификация дұрыс, әрі сәтті орындалғанын анықтайды. S/Key протоколы
әрбір пайдаланушы үшін идентификатор және тұрақты жасырын пароль
бекітеді. Берілгендер фазасы әдетте пайдаланушылар сұранысымен
орындалады.

Жойылу мүмкіндігін орталықтан басқару.
Жойылушы байланыстар локалды сервер жүйесімен байланысады. Әдетте
егер локальді желі үлкен сигменттерді байланыстырса, онда жойылу мүмкіндігі
үшін бір сервер аз болады.
Локалды жүйеде бірнеше серверді байланыстыру кампьютерге жүктеледі,
орталықтырылған жүйемен басқару дегенді білдіреді. Пайдаланушылар
жойылушы серверге өту үшін RAS протоколы арқылы немесе СННР
протоколдары арқылы аутентификациялық протоколдар жүреді. Пайдаланушы
логикалық жүйеге ену үшін қажетті серверге сұраныс жібереді,
аутентификациядан өтеді, авторазацияланады және нәтижесінде рұқсат алады
да өзіне қажетті операцияны орындайды. Ал кері жағдайда рұқсат берілмей өз
қажеттілігін ала алмайды. Мұндай жүйе пайдаланушы үшін ыңғайсыз. Себебі,
пайдаланушы бірнеше рет аутентификация процесінен өтеді, жасырын
паролдерді есте сақтау қажет болады. Желі серверіне өту үшін өте ыңғайсыз
жағдай туындайды. Мұндай берілгендер қорын өзгерту жағдайында сақтап қалу
оңайға түспейді. Мысалы егер қызметкерлерді жұмыстан шығарсақ оны
тізімнен жою күрделене түседі. Паролдерді орнатып, өзгерту, аудиттер құру
мәселесі туындайды.
Көрсетілген қиындықтардың барлығына желіге аутентификациялау және
авторизациялау қызметтерін атқаратын орталық жүйесін орнату қажет. Жүйеге
кіруді бақылау орталығы үшін арнайы сервер беріледі, яғни ол серверді
аутентификациялау сервері деп аталады. Бұл сервер жойылушы
пайдаланушылардың нақтылығын тексеру үшін қолданылады.
Сенімділік ақпараттық жүйе аутентификациясының қызметтерін,
квалификациясын күшейтеді, яғни жоғарылатады. Жалпы компьютерлік желіні
қолғау жүйесінің берілгендер қоры сақталады.
Әдетте жойылушы компьютерлерге кіру мүмкіндігі көбінесе берілгендер
қорын қорғау жүйесі орталақтандырылып әрекеттенеді. Операциялы жүйенің
желісі каталогтар қызаметтерін сақтап, пайдаланушылардың эталонды
парольдерін сақтайды, стандартты РАР және СНАР пратаколдарымен қызмет
атқарады.
Жойылушы сервер мен орталықтандырылған берілгендер қорын қорғау үшін
сервер аутентификациясы қолданылады. РАР және СНАР протоколдары
жойылушы сервермен және аутентификация серверлерін біріктіріп шағын
жүйе құрады. Бұл шағын жүйелер барлық функцияларды орындайды.
Орталықтандырылған жүйенің танымал протоколдарына TACACS(Terminal
Access Controller Access Control System) және RADIUS (Remote Authentication
Dial-In User Service). алуымызға болады. Олар ең алдымен ұйымдастыру үшін,

орталық желіні бірнеше желіге бөлу үшін қолданылады. Мұндай жүйеде

администратор берілгендер қорының идентификаторларын және пайдаланушы

парольдерін басқарады. TACACS және RADIUS прoтoколдары бөлек сервер

аутентификацияларын қолдануға болады. яғни мұндай жағдай NDS(Novell

Directory Service) каталогтар қызметтері қолданылады. Ал TACACS және

RADIUS протоколдары сыртқы жүйе аутентификацияларымен

ұйымдастырылады.

TACACS жүйесін қарастырайық. TACACS жүйесі клиент – сервер

архитектурасымен орындалған жүйе. Ол құрамына жойылушы компьюерлердің

бірнеше желісін енгізіп, аутентификация орнатады.

TACACS cерверінде пайдаланушылар есебінен тұратын

орталықтандырылған базадан тұрады. Берілгендер қоры жасырын

парольдерден, атаулардын және қызметтер теориясынан тұрады.

TACACS клиент сервері желіні желі ресурстарының сұраныстарын

қанағаттандырады. Әрбір программалық жүйе үшін осындай сервер құрылап,

стандартты протокол ұйымдастырады. TACACS cервері бір бірімен

әрекеттеседі.

TACACS протокол сонымен қатар сұраныстар типтерімен, есептерімен

және байланыстармен де жұмыс атқарады. Сұраным бар клиент TACACS

сервері мен жұмыс жасап өз сұранысына жауап табады.

Протоколмен байланысудың бірнеше типтері бар. Олар:

• AUTH-аутентификацияны орындау;

• Login- пайдаланушының логикалық байланысы мен

аутентификацияның орындалуы.

• SLIP - Клиенттің IP адресін пайдаланып логикалық байланыстар

арқылы аутентификацияны орындау;

AUTH байланысы TACACS протоколына AUTH пакеттерінің

хабарламаларын жіберу арқылы жүзеге асырылады. AUTH сервері шартты

қанағаттандыруға, хабарлама ретінде REPY хабарламасын жібереді.

Ал басқа аутентификацияның сервер жүйесіне тағы RADIUS жүйесін алуға

болады. Өзінің функционалды мүмкіндіктеріне байланысты TACACS өте ұқсас.

Тек практика жүзінде эквивалентті және ашық жүйе стандартына сай болып

табылады. RADIUS протоколы ұйымдастырылуы бойынша аса күрделі.

Өзін-өзі бақылау сұрақтары:

1. Идентификацияны және кіру мүмкіндігін басқару дегеніміз не?

2. Желіге кіру мүмкіндігін басқару әдісін атаңыз?

3. Жүйе агенті дегеніміз не?

4. Web – ке көру мүмкіндігін басқару дегеніміз не?

5. Берілгендерді шифрлеу дегеніміз не?

6. СНАР протоколының пакеттерін атаңыз?

7. Протоколмен байланысудың типтерін атаңыз?

8. Аутентификациялау сервері дегеніміз не?

9. Администратор қызметін атаңыз?

10. Аутентификация қалай жүреді?

10 Дәріс. Желі аралық экрандар технологиясы. Желіаралық экранның
қосымша мүмкіндіктері

Дәріс мақсаты: ЖЭ жалғауыш-программа көмегінсіз сүзгілеу функциясын
жүзеге асыра алады, бұл жағдайда ол ішкі және сыртқы желі арасында мөлдір
өзара байланысты қамтамасыз ететіндігін түсіндіру. ЖЭ-нің маңызды
функциялары болып оқиғаларды тіркеу, берілген оқиғаға жауап қайтару,
сонымен қатар тіркелген ақпаратты талдау (анализ) және есеп беруді жасау
болып табылады.

Негізгі қарастырылатын сөздер: ауқымды желі, клиент, сервер,
корпоративті интражелі, локальді желі, сеанстық деңгей, сүзгілеу, трафик,
сүзгілеу, оқиғаларды тіркеу, администрациялау және есеп беру генерациясы,
есептеу жүйесі.

Дәріс сұрақтары:
1. Желі аралық экрандар технологиясы және функциялары
2. Трафикті сүзгілеу
3.Пайдаланушылардың аутентификациясы мен идентификациясы
4. Желілік адрестердің трансляциясы

Дәрістің негізгі мазмұны
Желі аралық экран(ЖЭ) - брандмауер немесе firewall жүйесі деп аталатын
арнайыланған желі аралық қорғаныс кешені. ЖЭ ортақ желіні екіге бөлуге және
ортақ желінің бір облысынан екінші облысының шекарасынан берілгендер
пакетінің өту шаттарын анықтайтын ережелер жиынтығын іске асыруға
мүмкіндік береді. Мұндай шекаралар мекеменің локальді желісі және Internet
ауқымды желісі арасында жүргізіледі.
Әдетте ЖЭ Internet ауқымды желісінен мекеменің ішкі желісін бұзып кіруден
қорғайды, мекеменің локальді желісіне қосылған корпоративті интражелідегі
шабуылдан қорғау үшін де қолданыла береді. ЖЭ технологиясы корпоративті
желілерді сыртқы кауіп қатерден қорғайтын ең алғашқы технологиялардың бірі.
Көптеген мекемелерде ЖЭ – орнату орнату ішкі желіні қорғаудың ең қажетті
шарты болып табылады.

Желі аралық экрандар функциясы
Рұхсат етілмеген желі аралық бұзуға қарсы тұру үшін ЖЭ ішкі болып
табылатын мекеменің қорғалатын желісі және сыртқы қарсылас желінің
арасында орналасуы керек (1 - сурет). Соған қарамастан осы желілер
арасындағы қарым қатынастар ЖЭ арқылы жүзеге асырылуы тиіс. ЖЭ жалпы
қорғалатын желі құрамына кіреді.
Бірнеше түйіндерді бірден тарқататын ЖЭ, мынадай мәселерді шешеді:
• Корпоративті желінің ішкі ресурстарына сыртқы қолданушылардың
кіруін шектеу жұмысы (қорғалатын желіге байланысты). Мұндай
пайдаланушыларға серіктестер, жойылған қолданушылар, хакерлер және де
сол мекеменің ЖЭ қорғайтын берілгендер қорын алғысы келетін
жұмысшыларын жатқызуға болады.



































VPN қауіпсіздік шлюзі (security gateway) – бұл екі желіге қосылатын және
шифрлау, аутентификация функцияларын орындайтын желілік құрылғы. Ішкі
корпоративті желіге арналған барлық трафик осы VPN қауіпсіздік шлюзі
арқылы өтетіндей болып орналасқан.

Филиал офисі

Internet бизнес-серіктес

Алыстатылған қолданушы

6-сурет. VPN виртуалды қорғалған желі.

Ақпаратты берудің ашық ішкі ортасы Интернет желісін қолданатын
жылдам мәлімет беру каналдары, сонымен қатар әдетте телефон желісі
каналдары болатын жай байланыс каналдары болып табылады. Ақпараттың
қауіпсіздігін асқтау үшін инкапсуляция немесе туннельдеу қолданылады.
Туннельдеу әдісі арқылы берілгендер пакеті жалпы желі арқылы беріледі.
Әрбір «жіберуші-ақпаратты қабылдаушы» жұптарының арасында логикалық

байланыс – өзіндік туннель орнайды. Ол бір протокол мәліметтерін
басқалардың пакетіне инкапсуляциялау үшін қажет.

Туннельдеу ұғымы инкапсуляциялау, яғни ақпаратты жаңа канвертте
орау дегенді білдіреді. Мұнда протокол пакеті өте аз деңгейде болса да, өте
жоғары немесе өзінікіндей деңгейдегі мәліметтер өрісіне орналасады.
Туннельдеу ақпаратты санкцияланбаған қол жеткізуден қорғамайды, бірақ ол
арқылы ақпаратты толық криптографиялық қорғау мүмкіндігі туады.
Ақпаратты беруші берілетін ақпаратты қорғау үшін шығыс пакеттерін
шифрлайды, оны ішкі пакетке жаңа IP-тақырыппен жазып қояды және
транзиттік желі бойынша жібереді. Қорғалған каналдың соңғы нүктесіне
келгенде ішкі пакеттен бастапқы пакетті шығарады, шифрын ашады және әрі
қарай қолдана береді.Туннельдеу пакет мазмұнының тұтастығын сақтау үшін
ғана емес, сонымен қатар аутенттілігін сақтау үшін қолданылады. Мұнда
электронды цифрлы жазбаны пакеттің барлық өрістеріне орналастыруға
болады. Туннельдеу механизмі қорғалған каналдар жасаудың әртүрлі
протоколдарында кеңінен қолданылады. Әдетте туннель ақпараттың тұтастығы
мен мазмұндылығы бұзылуға қауіп бар жерде, ашық желі бөліктерінде
құрылады. Мұнда ішкі пакеттер үшін шекаралық маршрутизаторлар адресі
қолданылады. Туннельдеу логикалық ортада басқа протокол қолданатын бір
протокол пакеттерін беруді ұйымдастырады. Нәтижесінде бірнеше әр түрлі
желілердің өзара әсерінің мәселелері шешіледі.

Жаңа пакет

Жаңа IP AH-тақырып ESP- Бастапқы IP Мәліметтер
тақырып тақырып тақырып

Бастапқы пакет
7-сурет. Туннельдеу үшін дайындалған пакет мысалы

Негізінен, бастапқы пакет тақырыбынан желінің ішкі құрылым туралы
мәлімет алуға болады – ішкі желілердің саны туралы мәліметтер және тораптар
және олардың IP тақырыптары. Бұзушы мұндай мәліметтерді корпоративті
желіге шабуыл кезінде қолдануы мүмкін. Шифрленген тақырыппен жазылған
бастапқы пакет желі бойынша тасымалдау мекемелері үшін қолданылмайды.
Сондықтан да бастапқы пакетті қорғау үшін инкапсуляция немесе туннельдеу
қолданылады. Бастапқы пакетті тақырыбымен қоса толығымен шифрлайды,

содан соң оны басқа ішкі пакетке орналастырып қояды. Мәліметтерді ашық
желіде тасымалдау үшін ішкі пакет тақырыбының ашық өрістері қолданылады.

Қорғалған каналдың соңғы нүктесіне келгенде ішкі пакеттен ішкі
алғашқы пакетті шығарады, шифрын ашады және алдағы уақытта ішкі желіде
ақпарат беру үшін қолданады.

Туннельдеу ақпараттың құпиялығын сақтау үшін ғана емес, сонымен
қатар оның тұтастығын және аутенттілігін сақтау үшін қолданылады.

Екі нүкте арасындағы желілік құрылымды толықтыруда туннельдеу екі
локальды желі арасындағы адрестер конфликтін алдын алуға мүмкіндік
туғызады.

Туннельдеу механизмі қорғалған каналдар жасаудың әр түрлі
протоколдарында кеңінен қолданылады. Әдетте туннель ақпараттың
құпиялығы мен тұтастығының бұзылу қаупі бар ашық желі аймағында
құрылады. Оған қоса ішкі пакеттер үшін осы екі нүктеде құрылған шекаралық
маршрутизаторлар адрестері қолданылады. Туннельдеу бір протокол
қолданатын логикалық ортада басқа протокол пакеттерін беруді
ұйымдастырады. Нәтижесінде бірнеше әр типті желілердің өзара әсерлесу
мәселелерін шешуге мүмкіндік туады.

Туннельдеу механизмін жүзеге асыруды 3 типті протоколдармен жұмыс
нәтижесі ретінде түсінуге болады. Бұл 3 типті протоколдарға мыналар жатады:
«пассажир» протоколы, жеткізуші протоколы және туннельдеу протоколы.
Мысалы, «пассажир» протоколы ретінде IPX протоколы қолданылады, ол бір
мекеме филиалдарының локальды желілерінде мәліметтерді жеткізеді.
Жеткізуші протоколдың кең таралған нұсқасына Интернет желісінің IP
протоколы жатады. Туннельдеу протоколы ретінде каналдық деңгейдегі PPTP
және L2TP, сонымен қатар желілік деңгейдегі IPSec қосымшаларынан
Интернет инфрақұрылымдарын ашу мүмкіндігі туады.

VPN туннельдері соңғы қолданушылардың әр түрлі типтері үшін құрыла
алады. Ол не LAN (Local Area Network) локальды желісі, не алыстатылған
немесе мобильді қолданушылардың жеке компьютерлері болуы мүмкін.
Ауқымды мекеменің виртуалды жеке желілерін құру үшін VPN-клиент, VPN-
сервер және VPN қауіпсіздік шлюзі керек. VPN қауіпсіздік шлюзі мекеменің
локальды желілерін қорғау үшін, VPN-сервер және VPN-клиент Интернет
арқылы корпоративті желіде алыстатылған және мобильді қолданушылардың
қорғалған байланыстарын ұйымдастыру үшін пайдаланылады.

VPN желісін жобалау дың негізгі екі сызбасы бар:
1. Локальды желілер арасындағы виртуалды қорғалған канал (ЛВС-ЛВС);
2. Торап пен локальды желі арасындағы виртуалды қорғалған канал (канал

клиент-ЛВС).
Бұл байланыс жекелеген офистар арасындағы қымбатқа түсетін

ерекшеленген сызықтарды алмастыруға мүмкіндік береді және олардың
арасындағы әрқашан қол жеткілікті қорғалған каналдар құруға мүмкіндік
береді. Бұл жағдайда қауіпсіздік шлюзі туннель мен локальды желі арасында
интерфейс болып табылады.

VPN қорғалған каналының сызбасы алыстатылған немесе мобильді
қолданушылармен байланыс орнату үшін арналған. Туннель құруды клиент
қарастырады. Шлюзбен байланыстыру үшін ол өзінің компьютерінде арнайы
клиенттік программалық қамсыздандыруды жүктемелейді.

VPN-ның бұл түрі коммутацияланатын байланыстарды ауыстыра алады
және алыстатылған қол жеткізулердің дәстүрлі әдістерімен бірге қолданылады.

Виртуалды қорғалған каналдардың сызбаларының бірнеше варианттары
бар. Виртуалды қорғалған канал орнатылатын екі тораптың кез келгені
қорғалатын хабарлама ағынының соңғы немесе аралық нүктесіне тиісті болады.

Ақпараттың қауіпсіздігін қамтамасыз ету мақсатында ең тиімді нұсқа
мынадай: қорғалған туннельдің соңғы нүктелері, қорғалатын хабарлама
ағынының соңғы нүктелеріне сәйкес келуі керек. Дегенмен бұл нұсқа
ресурстық шығындардың көбеюіне әкеледі. Бұл жағдайда VPN құрудың түрлері
әрбір клиенттің компьютерлерінде орнатылуы тиіс.

Егер де виртуалды желіге кіретін локальды желі ішінде трафик қауіпсіздігі
қажет болмаса, онда қорғалған туннельдің соңғы нүктесі ретінде экранаралық
желілерді немесе шекаралық маршрутизаторды қолдануға болады. Егер де
локальды желі ішінде хабарламалар ағыны қорғалған болу керек болса, онда
туннельдің соңғы нүктесі ретінде компьютер қолданылу керек. Алыстатылған
қолданушының локальды желісіне қол жеткізуде осы қолданушының
компьютері виртуалды қорғалған каналдың соңғы нүктесі болуы керек.

Сонымен қатар кең тараған нұсқа – қорғалған туннель пакеттер
коммутациясымен ашық желі ішінде, мысалы Интернетте қойылады. Бұл нұсқа
қолдану ыңғайлылығымен ерекшеленеді, бірақ қауіпсіздік деңгейі
салыстырмалы түрде төмен. Мұндай туннельдің соңғы нүктесі ретінде әдетте
Интернет провайдерлері немесе локальды желінің шекаралық
маршрутизаторлары қолданылады.

Туннель локальды желілерді біріктіруде тек Интернет шекаралық
провайдерлері арасында немесе локальды желі маршрутизаторлары арасында
жасалады. Осы нұсқа бойынша құрылған виртуалды жеке желілер
масштабталуы мен басқару мүмкіндігінің жоғарылығымен ерекшеленеді.
Құрылған қорғалған туннельдер локальды желілердің клиенттер компьютерлері
мен серверлері үшін мөлдір болып табылады.Мұндай тораптардың
программалық қамсыздандырылуы өзгеріссіз қалады. Дегенмен бұл нұсқа да
ақпараттық өзара әсерлесу барысында салыстырмалы түрде қауіпсіздіктің
төмендігімен сипатталады, өйткені жеке трафик байланыстың ашық каналдары
бойынша қорғалмаған күйде өтеді. Егер де мұндай желіні құру немесе
пайдалану мүмкіндіктерін ISP провайдерлері қолға алса, онда барлық
виртуалды жеке желі оның шлюзінде құрыла алады. Бірақ бұл жағдайда
провайдерлерге сену проблемалары мен оған қызмет көрсеткені үшін ақы төлеу
мәселелері пайда болады.

Қорғалған туннель араларында туннель құрылатын тораптардың
виртуалды желі компоненттерімен құрылады. Бұл компоненттерді туннель
инициаторы немесе туннель терминаторы деп атауға болады.

Туннель ұқсастығы бастапқы пакетті жаңа пакетке инкапсуляциялайды.

Инкапсуляцияланатын пакеттер кез келген тип протоколдарына тәуелді бола

алады. Туннель бойынша берілетін барлық пакеттер IP пакеттері болып

табылады. Инициатор мен терминатор арасындағы маршрутты әдеттегі

маршрутизацияланатын IP желісі анықтайды.

Туннельді бөлуді әр түрлі желілік құрылғылар және программалық

қамсыздандырулар жасай алады. Мысалы, туннель мобильді қолданушының

ноутбугымен инициалданады. Инициатор ретінде сәйкесінше функционалды

мүмкіндіктерімен бөлінген локальды желі маршрутизаторы шыға алады.

Туннель әдетте желі коммутаторымен және қызмет көрсетуші провайдер

шлюзімен аяқталады.

Туннель терминаторы инкапсуляцияға қарама-қарсы процесс. Терминатор

жаңа тақырыптарды өшіреді және әрбір бастапқы пакетті локальды желі

адресатына бағыттайды.

Инкапсуляцияланатын пакеттердің құпиялығы шифрлау жолымен

қамсыздандырылады, ал тұтастығы – электронды-цифрлық жазба жасау

әдісімен қамсыздандырылады. Мәліметтерді криптографиялық қорғаудың

бірнеше әдістері мен алгоритмдері бар, сондықтан да инициатор және

терминатор уақытында бір-бірімен байланысып, қауіпсіздіктің бірдей тәсілі мен

алгоритмдерін қолдануы керек. Мәліметтерді дешифрлау мүмкіндіктерін

қамтамасыз ету үшін және қабылдау кезінде сандық жазбаны тексеру үшін

туннель инициаторы мен терминаторы кілттермен алмасуды қауіпсіз ету

функцияларын қолдау керек. Сонымен қатар, ақпараттық әсерлесудің соңғы

нүктелері VPN тунелін құруға кепіл болу үшін аутентификациядан өтуі керек.

Корпорацияның желілік инфрақұрылымы VPN-ды қолдану үшін

программалық, сонымен қатар аппараттық қамсыздандыруға дайын болуы

керек.

Өзін-өзі бақылау сұрақтары:

1. Өзара әсерлесуші жақтардың аутентификациясы дегеніміз не?

2. Берілетін мәліметтердің криптографиялық жабылуына (шифрлауға) дегеніміз

не?

3. Жеткізілетін ақпараттың тұтастығын қалай тексеруге болады?

4. Туннельдеу ұғымын түсіндіріңіз?

5. VPN желісін жобалау әдістерін атаңыз?

6. Ақпараттың қауіпсіздігін қамтамасыз ету мақсатында ең тиімді нұсқаны

айтыңыз?

7. Қауіпсіздік деңгейі салыстырмалы түрде төмен нұсқаны атаңыз?

8. Туннель инициаторы дегеніміз не?

9. Инкапсуляцияланатын пакеттердің құпиялығы немен

қамтамассыздандырылады?

14 Дәріс. VPN қауіпсіздігін қамтамасыз ету әдістері. IPSEC қауіпсіздік
жабдықтарының архитектурасы.

екендігін үйрету. ІРSec хаттамасы ІР желілері үшін желілік OSI моделімен
ақпараттарды ашық желі түрінде алмастыруға және оны қорғауға мүмкіндік
беруін үйрету.
Негізгі қарастырылатын сөздер: құпиялығы, тұтастығы, қол жетімділігі,
цифрлық сертификаттар, авторизация, экранаралық желі, хаттама, қауіпсіздік
саясаты, виртуалды арна, АН аутентификаторлық хаттамасы, ТСР/ІР
хаттамалар стегі.

Дәріс сұрақтары:
1. Ақпараттың құпиялығын, тұтастығын және аутенттілігін қамтамасыз ету.
2. Желі периметрінің қауіпсіздігі және басып кіруді табу.
3.ІРSec хаттамаларының стегінің архитектурасы.
4.SA ассоциациясын және басқару саясаттарын қорғау.

Дәрістің негізгі мазмұны
VPN виртуалды қорғалған желі құру барысында ақпараттың қауіпсіздігін
сақтау бірінші деңгейдегі мәселе болып табылады. Жалпыға ортақ анықтама
бойынша, мәліметтердің қауіпсіздігі деп оның құпиялығын, тұтастығын және
қол жетімділігін айтады.
Құпиялық – VPN қорғалған каналдары бойынша мәліметтерді беру
процесінде осы мәліметтер тек қана заңды жіберуші мен алушыға мәлім болу
кепілдігі.
Тұтастық – VPN қорғалған каналдары бойынша мәліметтерді беру
процесінде жіберілетін мәліметтердің сақталу кепілі. Кез келген өзгерту лер,
жаңартулар, бұзу немесе жаңа мәлімет құру жағдайлары көрініп қалады және
заңды қолданушыға мәлім болады.
Қол жетімділік – VPN функциясын орындайтын, легальды
қолданушыларға әр уақытта қол жетімді болып тұру мүмкіндігінің кепілі. VPN
мүмкіндіктерінің қол жетімділігі кешенді көрсеткіш болып табылады.
Аутентификация бірқолданушылық немесе көпқолданушылық
парольдер, цифрлық сертификаттар, смарт-карталар, қатаң аутентификация
протоколдары негізінде құрылады және VPN-байланысын тек заңды
қолданушылар арасында ғана құруды қамсыздандырады және VPN
мүмкіндіктеріне қажетсіз адамдардың қол жеткізулерін болдырмайды.
Авторизация өзінің аутенттілігін (заңдылығын) дәлелдеген барлық
абоненттерге әр түрлі қызмет түрлерін көрсетеді. Авторизация және қол
жеткізуді басқару бірдей әдістермен іске асырылады.
Виртуалды қорғалған желілерде берілетін мәліметтердің қауіпсіздігін
қамтамасыз ету үшін мына мәселелер шешілуі тиіс:

• Байланыс орнату барысында абоненттердің өзара
аутентификациясы;

• Берілетін мәліметтің құпиялығын, тұтастығын және аутенттілігін
қамтамасыз ету;

• Авторизация және қол жеткізуді басқару;

• Желі периметрінің қауіпсізідігі және заңсыз пайдалануды табу;

• Желі қауіпсіздігін басқару.

Абоненттердің аутентификациясы. Аутентификация процедурасы
заңды қолданушылар үшін кіруге рұқсат береді және қажетсіз адамдардың
желіге кіруінің алдын алады.

Ақпараттың құпиялығын, тұтастығын және аутенттілігін
қамтамасыз ету. Ақпараттың құпиялығын сақтау мәселесі берілетін
ақпараттың санкцияланбаған оқылуы мен көшірмелеуінен қорғау дегенді
білдіреді. Ақпараттың құпиялығын сақтау үшін шифрлеу әдісі қолданылады.

Авторизация және қол жеткізуді басқару. VPN желісінің кілттік
қауіпсіздік компоненті компьютерлік ресурстарға қол жеткізуді тек
авторизациядан өткен қолданушылар ғана ала алады дегенді білдіреді. Ал
авторизациядан өтпеген қолданушыларға бұл ресурстар қол жеткіліксіз болып
табылады.

Авторизацияның программалық құралдарын құру кезінде мыналар
қолданылады:

• Авторизацияның орталықтандырылған сызбасы;

• Авторизацияның деорталықтандырылған сызбасы.
Авторизацияның орталықтандырылған жүйесінің негізгі мәселесі – бірлік

кіріс принципін іске асыру. Қолданушыға ресурстарды беру процесін басқару
сервер арқылы жүзеге асырылады. Ол мына жүйелерде орындалады: Kerberos,

RADIUS, TACACS.
Соңғы уақыттарда белсенді түрде қол жеткізуді рольдік басқару деп

аталатын басқару түрі пайда бола бастады. Ол қауіпсіздік мәселелерін
шешпейді, жүйенің басқарылу мүмкіндігінің қалай артатындығын шешеді.
Әрбір қолданушы үшін бір уақытта бірнеше роль белсенді болуы мүмкін,
олардың әрқайсысы оған толығымен белгілі бір құқықтар береді.

Қолданушылар мен олардың мүмкіншілігіне қарағанда рольдері көп
болғандықтан, рольдерді қолдану қиындықтың төмендеуіне және жүйе
басқарылуының жақсаруына әкеледі.

Желі периметрінің қауіпсіздігі және басып кіруді табу. Қорғалатын
желі қосымшаларына, сервистерге және ресурстарға кіруге қатаң бақылау
желіні дұрыс құрудың маңызды функциясы болып табылады. Экранаралық
желі секілді қауіпсіздіктің мұндай әдістерін қолдану басып кіру табу жүйесі,
қауіпсіздік аудиті жүйесі, антивирустық кешендер желіге орналасатын
мәліметтердің жүйелік қорғанысын қамтамасыз етеді.

Желі қауіпсіздігінің жалпы шешіміның маңызды бөлігі экранаралық
желілер болып табылады. Олар қорғалатын желідегі қиылысатын
периметрлердің трафигін бақылайды.

Желі периметрінің қауіпсіздік кепілінің қосымша элементі IDS басып
кіруді табу жүйесі болып табылады. Ол нақты уақытта жұмыс істейді және ішкі
немесе сыртқы көздерден авторизацияланбаған желілік белсенділіктерді
табады, белгілейді және жұмысын тоқтатады.

Желінің қауіпсіздігін қорғау. VPN желілері желілік құрылғылар сияқты
интеграцияланады. Мекемелерге бұл құрылғыларды және сервистерді VPN
инфрақұрылымы арқылы тұтас басқару қажеттігі туындайды. Осыған
байланысты VPN мүмкіндіктерін басқару VPN желісінің жақсы жұмыс жасауы

үшін қажетті маңызды мәселе болып табылады. Корпоративті желіні басқару
жүйесі қауіпсіздік саясатын , VPN құрылғылары мен кез келген масштабтағы
VPN сервистерін басқару үшін қажетті әдістер жиынтығы керек.

ІРSec хаттамасының негізі – бұл ІР желілері бойынша берілгендерді жіберу
кезінде қауіпсіздікпен қамтамасыз ету. ІРSec қолданылуы кезеңі мыналарға
кепілдік береді:

• Жіберілген берілгендердің мақсаттылығына (берілгендер жоғалмайды,
бұзылмайды және дублирленбейді);

• Жіберушінің аутентификациясы (берілгендер тек жіберушінің жіберілуімен
жіберіледі, өзге адам жіберуге құқығы бомайды);

• Берілгендерді жіберу конфеденциалдығы (яғни берілгендер белгілі бір
қалыппен жіберіледі, оны өзге адам пайдалануға құқығы болмайды).

Берілгендердің қауіпсіздігі дегеніміз - әдетте берілгендердің қауіпсіздігін
қадағалап, интерпретациялау дегенді білдіреді. ІРSec хаттамалары
ақпараттарды желілік деңгейде қорғауға мүмкіндік береді. Алайда
қосымшалармен жұмыс кезінде бұл қорғаныс көрінбейді. ІР желісіндегі негізі
ретінде қабылданған коммуникация бірлігіне ІР пакеттері жатады. ІР пакеті S -
адрестер ағынынан және Д – қабылданған хабарламалар адрестерінен тұрады,
яғни транспортты атауы, берілгендер типтері жайлы ақпараттардан, пакеттегі
ақпараттардан және берілгендерден тұрады.

IP тақырыпшасы Транспорттық ТСР

немесе UPD Берілгендер
тақырыпшасы

S-адресі D-

адресі

9. – сурет. ІР пакетінің құрылымы

Егер пайдаланушы пакетті қабылдаушының пакетті қорғалған күйде
қабылдағанына сенімді болса, онда пайдаланушы желінің қорғағыш ортасына
сенімді болады. Яғни аутентификациямен, конфеденциалдығымен қамтамасыз
ету үшін ІРSec хаттамалар стегі стандартты криптографиялық технология
базасы бойынша құрылған:
• Кілттерді алмастыру Деффи – Хеллман алгоритміне сай; яғни ашық желіде
пайдаланушыға жасырын кілттермен жұмыс жасауға мүмкіндік береді.
• “man – in – the - middle”типтерінің шабуылдарынан екі жақты қорғануға
мүмкіндік береді.
• Ашық кілттердің сенімділігін нығайта түседі
• Берілгендерді блоктық симметриялы алгоритмдермен шифрлейді.
• Хэштеу функциясының базасында аутентификациялы хабарламаларды
алгоритмдейді.

ІРSec хаттамасы ІР желілері үшін желілік OSI моделімен ақпараттарды ашық
желі түрінде алмастыруға және оны қорғауға мүмкіндік беруін анықтайды.
ІРSec хаттамасы ашық жүйе стандартын бейнелейді. Оның ядросы жаңа
хаттамалармен, алгоритмдермен және функциялармен жабдықтауға мүмкіндік
береді. ІРSec стандартты функцияларын жоғарғы деңгейлі хаттамалар қолдана
алады.
ІРSec хаттамалары келесі компоненттерден тұрады.
ІРSec хаттамасының негізгісі. Бұл компонент ESP және АН хаттамаларының
негізін құрады. Ол пакеттерде қолданылатын SPD және SAD берілгендер
қорымен жұмыс жасайды.
IKE кілттік ақпарат хаттамаларын басқару (Internet Key Exchange). IKE
әдетте операциялық жүйедегі пайдаланушы деңгейінің процесін көрсетеді.
SPD қорғау саясатының берілгендер қоры (Security Policy Database). Бұл ең
маңызды крмпоненттерінің бірі. Яғни пакетке қолданылушы қауіпсіздік
саясатын таңдауға мүмкіндік береді.
SAD ассоциациясының қауіпсіздігінің берілгендер қоры (Security Association
Database). SAD берілгендер қоры SA (Security Association) қауіпсіздігінің
тізімін сақтауға мүмкіндік береді. Ол кіріс және шығыс ақпараттарын өңдеуге
қолданылады. SA шығыс хабарламалары шығыс пакеттерін қорғауға, ал SA
кіріс хабарламасы кіріс пакеттерін өңдейді. SAD берілгендер қорындағы SA
қолмен немесе IKE кілттерін басқару протоколымен толықтырылады.
SA ассоциациясын және басқару саясаттарын қорғау. Бұл SA және басқару
саясаттарының қауіпсіздігін қорғау қосымшалары болып табылады. ІРSec
хаттамасы транспортты және желілік деңгейлерімен ТСР/ІР хаттамалар
стегінде тығыз байланысты.
SPD және SAD берілгендер қоры ІРSec жұмыстарының сапалылығына әсерін
тигізеді.
ІРSec тиісті барлық хаттамаларды екі топқа бөлуге болады.

1. берілгендерді өңдеуге арналған хаттамалар;
2. бірінші топқа қажетті хаттамалар және қорғау үшін байланыс
параметрлері автоматты түрде орнату.

ІРSec ядросының жоғарғы деңгейі 3 хаттамалардан тұрады.

• Хаттама виртуалды арналар параметрлеріне сәйкес келеді және IKE
кілттерімен басқарылады, алгоримдері криптографиялық жолмен қорғалады;

• АН аутентификаторлық хаттамасы берілгендер ағымын
аутентификациялайды, хабарламаларды қайталанудан қорғайды.

• ESP хаттамалары қайталама хабарламалары арқылы жүреді.
ІРSec орташа деңгей архитектурасы параметрлері бойынша және

кілттерді басқару бойынша IKE хаттамалары көмегімен алгоритмдер құрады.
ІРSec жоғарғы деңгей архитектурасы виртуалды арналарды қорғау жүйесі
нақты криптографиялық алгоритмдерге тәуелсіз болады.

IPSec архитектурасының төменгі деңгейі DOI (Domain of Interpretation)
интерпритациясы домен құрады. АН және ESP хаттамалары модульдік
құрылымнан тұрады. DOI интерпритациялық домені ІРSec берілгендер қорында