Шифрлеу алгоритмі

Шифрлеу жазылып жатқан мәтін, оны ашық мәтін деп те атайды. Шифрлау (ciphering, encryption) – белгілі-біp адамнан басқалар оқи алмайтындай етіліп ақпаратты математикалық, алгоритмдік (криптографиялық) түрлендіру әдісі.Шифрлау дегеніміз ол ашық тексте шифрланған текстті аудару. Шифрленген мәтінмен алмасуы нәтижесінде болатын түрлену процесі. Дешифрлеу немесе шифрден шығару шифрлеуге қарама-қарсы процесс. Кілт негізінде шифрленген мәтін жазылып жатқан мәтінде түрленеді. Кілт мәтіндерінің кедергісіз шифрленуіне, дешифрленуіне қажетті ақпарат. Криптографиялық жүйеде ашық мәтіні Т түрленулер жиыны. Бұл жиынның мүшелері индекстеледі немесе К символымен белгіленеді. К параметрі кілт болып табылады. К кілттің кеңістігі кілттің мүмкін болатын мәндерінің жиынтығы. Әдетте кілт дегеніміз- алфавиттегі әріптердің тізбек қатары. Криптожүйелер симметриялы және ашық кілті бар болып бөлінеді. Симметриялы криптожүйелерде шифрлеу үшін де, дешифрлеу үшін де бір кілт қолданылады. Ашық кілті бар жүйелерде 2 кілт қолданылады: 1 ашық, 2 жабық. Олар бір-бірімен математикалық түрде байланысқан. Ақпарат барлығы қолднылатын ашық кілттің көмегімен шифрленеді. Ал шифрді алу тек хат алушыға белгілі бір жабық кілттің көмегімен жүзеге асады. Мысалға, кодтық кілтте жалпы алу механизмі барлығына белгілі. Дұрыс кодты алу жеткілікті. Бірақ кодты тек өкілетті тұлғалар береді. Кілттерді реттеу мен кілттермен басқару терминдері пайдаланушылар арасындағы кілттерді құрастыру мен реииеуді ұйымдастыратын ақпараттық өндеу жүйелер процесіне қатысады. Электронды жазба – басқа пайдаланушы мәтін алатын кезде хаттың түп нұсқасын және авторлығын тексеруге мүмкіндік беретін оның мәтінге қосылатын криптографыиялық түрленуі. Криптотұрақтылық – кілтсіз дешифрлеу тұрақтылығын анықтайтын шифрдің мінездемесі. Криптотұрақтылықтың бірнеше көрсеткіштері бар. Соның ішінде мүмкін болатын кілттердің саны криптоталдауға қажет орта уақыт. Т түрленуі сәйкес алгоритм мен және К параметр мәнімен анықталады. Қорғау мақсатында шифрлеудің тиімділігі кілттің құпиялығын сақтау мен шифрдің криптотұрақтылығына байланысты. Деректердің криптографиялық жабылу процесі программалық та, аппараттық та болуы мүмкін. Аппараттық жүзеге асыру жоғарғы бағасымен ерекшеленеді. Бірақ оның артықшылығы де бар. Жоғарғы өнімділігі қарапайымдылығы, қорғау қабілеттігі, т.б. Программалық жүзеге асыру өте қарапайым, танымал, иілгіштік қасиетке ие. Қазіргі криптографиялық жүйеде ақпаратты қорғау келесі талаптарды қажети етеді. Шифрленген хат тек кілті бар кезде ғана оқылуы тиіс.Шифрленген хаттың фрагменті бойынша қолданған шифрленген кілтті және соған сәйкес ашық мәтініді анықтау үшін қажетті операциялар саны мүмкін болатын кілттің жалпы санынан кем болмауы тиіс. Мүмкін болатын кілттерді таңдау арқылы ақпаратты шифрден алу үшін қажетті операциялар саны төмен болуы керек және қазіргі компьютерлер мүмкіндігінен асып түсуі керек.

Шифрлеу алгоритмін білу қорғануға әсері тимеуі керек. Кілттің себепсіз өзгеруі бір кілтті қолданғанда да шифрленген хат түрінің өзгеруіне де әкелуі керек.Шифрлеу кезінде тізбектеліп орындалатын кілттің тәуелділігі қарапайым және женіл құрылмауы тиіс. Мүмкін болатын кілттердің ішіндегі кез-келген ақпаратты сенімді қорғауды қамтамасыз етуі керек т.б.

Криптографиялық түрлену үшін кейбір алгоритм кең ауқымды тұлғаларға айқын берілген алгоримді жүзеге асыратын құрылғы қолданылады. Шифрлеу процесімен басқару бір алгоритмде немесе құрылғыны қолдану кезінде ақпараттың саны көбейген сайые қамтамасыз ететін кілттің кодын периодты өзгеруі көмегімен орындайды. Кілт мәні мәтінді тез қарапайым және сенімді шифрден алуға мүмкіндік береді. Бірақ кілтті білмей бұл процедура компьютерді қолданғанда да орындалмайтын болып шығады. Криптографиялық түрлену әдістеріне келесі талаптар қойылады:

1. шифрланған кезде жазылып жатқан мәтінді ашуға, тәуекел етушілерге тиянақты және шыдамды болуы керек.

2. кілттен алмасу есте сақтауға қиын болмауы керек. Қорғану түрленулер шығындары ақпарат сақтаудың берілген дәрежесінде қолайлы болуы керек.

Шифрдегі қателер ақпараттың жоғалмауына әкелу керек. Шифрленген мәтін ұзындығы жазылып жатқан мәтін ұзындығынан жоғары болуы керек.

Қорғаудың түрлену әдістері 4 негізгі топқа бөлінеді:

1. Алмасу.

2. Адетифті.

3. Аралас.

4. Ауыстыру.

Қайта ауыстыру мен орын ауыстыру әдістеріне кілттің ұзындығы сай. Ал қорғау сенімділігі түрлену алгоритмдерінің күрделігімен сипатталады.

Адетифті әдістемеге алгоритмнің әдістері мен ұзын кілттер сай. Киптографиялық түрленудің аталған 4 әдісі симметриялы шифрлеу әдістеріне қатысты. Ал криптографиялық түрленудің негізгі әдістері деп орын ауыстыру мен қайта ауыстыру әдістері алынады. 1 әдістің мәні жазылып жатқан мәтінді блоктарға бөлу, содан кейін осы блоктарды жазу және шифрленген мәтінде геометриялық фигураның түрлі жолдарымен оқу. Мысалы жазылып жатқан мәтінді жол бойынша жазу, ал оқылу қатар бойынша. Орын ауыстыру әдісімен шифрлеу бір алфавитті жазылған мәтіннің символдары түрленудің берілген кілтіне сәйкес басқа алфавиттің символдарымен алмастырылады. Осы әдістердің қорытындысы күшті криптографиялық мүмкіндіктерге ие болатын туынды шифр пайда болады. Бұл қорғанудың аралас әдісі АҚШ – та деректерді шифрлеуге арналған стандарт ретінде қабылданды. Әдіс алгоритмі ақпараттық та, программалық та жүзеге асады, бірақ қорды алгоритм ақпаратты өндеудің жоғары өнімділігімен қарапайым ұйымдастырылуын қамтамасыз ететін арнайы тағайындалған электронды құрылғылар көмегімен жүзеге асыруға негізделген. Батыс елдері қатарындағы криптографиялық шифрлеуде аппаратураның өндірістік өнімі қаупсіздікті күрт көтереді.

Орын ауыстыру шифрі – шифрленетің мәтіннің символын анықталған ереже бойынша осы мәліметтің ішінде бірнеше блоктың аумағында орын ауыстырады.

Алмасу шифрі – шифрленетің мәтіннің символы сол немесе басқа алфавиттің символдарымен алмастырылады.

Гаммирлік шифрлеу – шифрленетің мәтіннің символы кез келген бірінен кейін бірі қатарласқан кездейсоқ символдарды жинайды. Оны шифрдің гаммасы деп аталады. Шифрдің тұрақтылығы шифрдің гамма бөлігінің қайталанбайтын негізгі ұзындығымен анықталады. ЭЕМ арқылы шифрдің шексіз гаммасын табуға болады. Сондықтан автоматтандырылған жүйеде мәліметтерді шифрлегенде негізгі тәсілдердің бірі болып табылады.

30.Желі аралық экрандар технологиясы.

Желі аралық экран(ЖЭ) - брандмауер немесе firewall жүйесі деп аталатын арнайыланған желі аралық қорғаныс комплексі. ЖЭ ортақ желіні екіге бөлуге және ортақ желінің бір облысынан екінші облысының шекарасынан берілгендер пакетінің өту шаттарын анықтайтын ережелер жиынтығын іске асыруға мүмкіндік береді. Мұндай шекаралар мекеменің локальді желісі және Internet глобальді желісі арасында жүргізіледі.

Әдетте ЖЭ Internet глобальді желісінен мекеменің ішкі желісін бұзып кіруден қорғайды, мекеменің локальді желісіне қосылған корпоративті интражелідегі шабуылдан қорғау үшін де қолданыла береді. ЖЭ технологиясы корпоративті желілерді сыртқы кауіп қатерден қорғайтын ең алғашқы технологиялардың бірі. Көптеген мекемелерде ЖЭ – орнату орнату ішкі желіні қорғаудың ең қажетті шарты болып табылады.Желіаралық экран трафикті өзі арқылы өткізетін, немесе күнбұрын анықталған ережелерге негізделе отырып оны оқшаулайды.

Желі аралық экрандар функциясы

Санкциаланбаған желі аралық бұзуға қарсы тұру үшін ЖЭ ішкі болып табылатын мекеменің қорғалатын желісі және сыртқы қарсылас желінің арасында орналасуы керек. Соған қарамастан осы желілер арасындағы қарымқатынастар ЖЭ арқылы жүзеге асырылуы тиіс. ЖЭ жалпы қорғалатын желі құрамына кіреді.

Бірнеше түйіндерді бірден шешетін ЖЭ, мыналарды шешеді:

· Корпоративті желінің ішкі ресурстарына сыртқы қолданушылардың кіруін шектеу жұмысы (қорғалатын желіге байланысты). Мұндай пайдаланушыларға серіктестер, жойылған қолданушылар, хакерлер және де сол мекеменің ЖЭ қорғайтын берілгендер қорын алысы келетін жұмысшыларын жатқызуға болады.

Желіаралық экрандарды әртүрлі белгілері бойынша топтарға бөлуге болады.Орналасуы бойынша:

1. Дербес брандмауэр (personal firewall) – желідегі әрбір жұмыс станциясына орнатылатын және сол немесе басқа қосымшаны орнатуға тырысатын жалғасуды бақылайтын бағдарлама.

2.Бөлінген желіаралық экран (distributed firewall) әдетте ішкі желі мен Интернеттің арасында «ажырауға» орнатылады және ол арқылы өтетін бүкіл трафикті тексереді. Жеткілікті үлкен желі бар болған кезде бірнеше желіаралық экрандарды орнатумағынасына ие: әрбір бөлім немесе жұмыс топтары үшін – компанияның ішкі желісі шабуылдарынан қорғау құралы есебінде.

Жұмыс қағидасы бойынша:

· Пакеттік сүзгілер (packet filter, screening filter)

Таза түрдегі пакеттік сүзгі – бұл негіз бен алушының порттары және желілік адрестері туралы алдын ала анықталған деректер негізінде желілік пакеттерді сүзгілейтін құрылғы. Алайда тәуелсіз бағдарламалы-аппараттық кешендер түріндегі осы типтік желіаралық экрандар жеткіліксіз функционалдық себебі бойынша бұрыннан-ақ кездеспейді. Пакеттік сүзгіні, мысалға, өз ІР-адресіңді (IP spoofing) ауыстыра отырып оңау айналып өтуге болады, оған қоса пакеттік сүзгілер әдетте маршрутизаторларға жапсыра орнатылады.

· Прокси-серверлер (proxy, application layer gateway)

Прокси-сервер технологиясы ішкі желідегі хостар мен сыртқы желідегі хостардың өз арасында тікелей емес, керісінше ауани «делдал» - жеке сервис арқылы жалғасуды орнатады, ол клиентпен сервердің атынан, ал сервермен - клиенттің атынан қатынас жасайды. Осылай, желіаралық экран жалғасудың бөлігі ретінде шығады, және тиісінше жалғасқан кезде болып жатқан барлық оқиғаларды, оның ішінде мүмкін болатын шабуылдарды таба отырып талдауы мүмкін.

Негізінен қолданбалы деңгейдегі бірнеше өте танымал хаттамалар: HTTP, FTP және басқалары үшін прокси-серверлер бар. Сонымен қатар SOCKS5 (RFC 1928) меншікті хаттамамалар үшін прокси-серверлер құрудың жалпыәлемдік стандарттары бар. Одан басқа, оларда көбінесе пакетік сүзгілеу мүмкіндігі болады.

· Жай-күйді бақылауымен желіаралық экрандар (stateful inspection)

Осы санаттағы желіаралық экрандар өтіп жатқан трафиктің өте жұқа талдауын жүргізеді, атап айтқанда нақты жалғасуға оның тиістілігі контекстінде, оның ішінде жалғасудың кіммен, қашан және қалай орнатылғаны және пакетті алар алдында осы жалғасу шеңберінде қандай белсенділігін әрбір пакет қарайды. Дегенмен, бірқатар хаттамалардың (мысалы UDP) жалғасу орнатылмай-ақ жұмыс жасайтынын ескере отырып, желіаралық экран «ауани» жалғасу деп аталатын – ағын шеңберіндегі пакетермен жұмысты жүргізеді. Бұл жағдайда мұндай пакеттер бірыңғай контексте қаралады. Бұл ретте желіаралық экрандардың осы типі ағымдағы жалғасу туралы ғана емес, сонымен бірге бұрынғы қосылыстар туралы да ақпаратты пайдалана алады.

31. Желіаралық экранның қосымша мүмкіндіктері.

Желіаралық экран ортақ желіні екіге бөлуге және ортақ желінің бір облысынан екінші облысының шекарасынан берілгендер пакетінің өту шаттарын анықтайтын ережелер жиынтығын іске асыруға мүмкіндік береді. Мұндай шекаралар мекеменің жергілікті желісі және Internet ауқымды желісі арасында жүргізіледі. Желіаралық экранның мынандай қосымша мүмкіндіктері бар: ақпараттық толтырылуды бақылау; бағдарламалыққамтамасыз ету функциясының орындалуы.

Қорғалуды талдау жүйесі бүлінген жерді табуға арналған. Ол жүйе білімді іздеу және пайдалану негізінде қалыптасқан. Бұл жағдайда қорғаудағы бос орын туралы білім айтылып отыр. Бұндай жүйенің түп негізі бүлінген жердің қоры болып табылады. Көбінесе мынадай ақаулар табылып жатады: вирустар, қолданушының нашар пароль қоюы, қолайсыз операциялық жүйе орнатылуы, қорғаныстың бекітілмеуі, т.б. Неғұрлым икемдірегі жүйелік мәтіналғы және антивирустық құралдар болып табылады. Антивирустық қорғауды қауіптің жеке сервисі ретінде қарамай, қорғалуды талдау құралына жатқызамыз. Мәтіналғылар белсенді емес талдау жолымен бүлінген жерді анықтай алады. Кейбір табылған бүлінген жерлер автоматты түрде шектеледі, ал басқалары әкімшілікке ескертіледі. Қорғалуды талдау жүйесі талданатын операциялық жүйені және кескіндік интерфейстің бөліктерін автоматты түрде табуда да қолданылады. Қауіптілікті басқару. Қауіп – қатерді басқару ақпараттық жүйесі болатын мекемелерге қатысты қауіпсіздік туралы ойлар деп санауға болады. Қауіп – қатерді басқарудың негізі: оның өлшемін бағалау; қауіп – қатерді төмендетудің эффективтілік, үнемділік деңгейін анықтау; қауіп – қатердің шектелген екеніне көз жеткізу.

Қауіп – қатерді басқару екі түрлі қызмет атқарады: қауіп – қатерді бағалау; тиімді қорғау құралын таңдау; Анықталған қауіп – қатерге байланысты келесі белгілер болуы мүмкін: қауіп – қатердің төмендеуі; қауіп – қатерді қабылдау; қауіп – қатерді тарату. Қауіп – қатерді басқару үрдісін келесі кезеңдерге бөлуге болады: талданатын объектіні таңдау; қауіп – қатерді бағалау методологиясын таңдау; қауіптілікті талдау және қорғаудағы бүлінген орынды анықтау; қауіп – қатерді бағалау; қорғау деңгейін талдау; талданған деңгейді тексеру, қалдық қауіп – қатерді бағалау.Осы кезеңдерден қауіп – қатерді басқару үрдісі циклдік үрдіс екенін көреміз. Ақырғы кезең орындалғаннан кейін бірінші кезеңге қайта ораламыз. Қауіптілікті басқарудың дайындық кезеңі. Кішігірім мекемелерге барлық ақпараттық инфрақұрылымды қарастыру қиын емес, ал мекеме үлкен болса бағалау уақыт шығынын және күшті қажет етеді. Ондай жағдайда неғұрлым маңызды сервиске мән беру керек. Егер маңызды сервистер көп болса, олардың ішінен қауіп–қатері көбірегі таңдалады. Әкімшіліктің білместікпен істеген іс – әрекетінен бұзылған желілік кабельдегі ақпараттық жүйенің әрбір бөлігі бүлінген болыпт абылады. Қауіп – қатерді басқару үрдісі болып тұратын тапсырмалар және шешуге көмектесетін көптеген бағдарламалар бар. Негізгі қиындық таратылатын мәліметтердің нақты еместігінде. Бағалы қорды қорғау үшін мекеме ақпараттық жүйенің бөлімдеріне көңіл аударумен қатар, қолдаушы инфрақұрылымды да есепке алуы керек. Қауіп – қатерді басқару сызықтық емес үрдіс. Тек оның кезеңдері бір – бірімен өзара байланысты жәнек ез – келген кезеңі орындалып болғаннан кейін алдыңғысына қайта оралу мүмкіндігі бар. Қауіптілікті басқарудың негізгі кезеңі. Қауіптілікті талдаудың бірінші қадамы – олардың идентификациясы. Оны идентификациялаудан кейін оның орындалу ықтималдығын тексеру керек. Орындалу ықтималдығынан басқа шығын мөлшері де маңызды болып табылады. Шығын мөлшерін бағалай отырып, ақпаратты қалпына келтіру мәселесін де қарастыру керек. Қауіптілік туралы толық мәлімет алынғаннан кейін ғана мәліметті өңдеуге, яғни қауіптілікті бағалауға көшеміз. Жоғарыда айтылғандарды қорытындылай қандай да қауіптіліктер жоғарғы деңгейлі болса, оларды қорғаудың қосымша әдістерін пайдаланып, қалыпқа келтіру керек. Қауіп – қатерді басқару үрдісі болып тұратын тапсырмалар және шешуге көмектесетін көптеген бағдарламалар бар. Негізгі қиындық таратылатын мәліметтердің нақты еместігінде. Қауіп – қатерді басқару сызықтық емес үрдіс. Тек оның кезеңдері бір – бірімен өзара байланысты және кез – келген кезеңі орындалып болғаннан кейін алдыңғысына қайта оралу мүмкіндігі бар.

32. Қауіпсіздік аудиті және мониторингі.

Желілік ақпараттық-жүйенің күрделілігі, мәліметтер мен қосымшалардың көптүрлілігі ақпараттық қауіпсіздік жүйесінің іске асырылу уақытында көптеген қауіптер қаупісіздік администраторының назарынан тыс қалуы мүмкін. Сондықтан тұрақты түрде АЖ-нің қауіпсіздік аудиті мен мониторингін үнемі жүргізіп тұру қажет.

Қауіпсіздік аудиті түсінігі. Аудит өздігінен мекеменің қызмет жасайтын жеке салалары бойынша тәуелсіз сараптаманы құрайды. Мекеме аудитінің бір бөлігі болып, оның АЖ-нің қауіпсіздік аудиті саналады. Қазіргі таңда АЖ-нің қауіпсіздік аудиті мағыздылығы күрт өсті. Бұл мекемелердің ақпараттар пен АЖ-ге тәуелділігінен туындап отыр. АЖ-нің осалдығы АЖ элементтерінің қиындығының артуынан, мәліметтерді сақтау мен жіберудің жаңа технологияларының пайда болуынан, бағдарламалық қамсыздандыру көлемінің артуынан туындап отыр. АЖ үшін мекемелер тарапынан хабарламалар мен транзакция (интернет арқылы төленетін төлемдер) үшін ашық глобальды желілерді қолданулары қауіп-қатер аумағын кеңейтті. АЖ қауіпсіздік аудиті мекемелердің басшылары мен қызметкерлері үшін келесі сұрақтарына жауап алуға мүмкіндік береді: - бизнесті кеңейту кезінде қолда бар АЖ-ні қалай тиімді пайдалануға болады; - қатынас құрудың қауіпсіздігі мен бақылау мәселелерінің қалай шешілетіндігі; - АЖ-ні басқару мен мониторинг жүргізуінің бірыңғай жүйесін қалай орнатуға болады; - бағдарламалық қамсыздандыру мен құралдардың жаңартылуын қашан және қалай жүргізу керек; - мекеменің АЖ-не құпия ақпараттарды орналастырғанда қауіптілікті қысқарту, сонымен қатар табылған қателіктер бойынша шешім жолдарын қарастыру.

Осы және өзге де сұрақтарға бірден жауап беру өте қиын. Шынайы және негізделген ақпаратты мәселелер арасыдағы барлық байланыстарды қарастыра отырып, жауап беруге болады. Аудит жүргізу АЖ-нің ағымдағы қауіпсіздігін бағалауға, қатерлерді бағалауға, олардың мекеменің бизнес-процессіне әсер етуін жоспарлау мен басқаруға, мекеменің ақпарат ресурстарының қауіпсіздігін қамтамасыз мәселесін дәл әрі шынайы қарастыруға мүмкіндік береді.

АЖ қауіпсіздік аудитін жүргізу мақсаттары: - АЖ-нің ағымдық қорғалу деңгейін бағалау; - АЖ қорғанысы жүйесіндегі тар, жіңішке орындарды орналастыру; - АЖ ресурстарына қатысты қауіпсіздігіне тудыратын шабуылдарға байланысты қауіптердің анализі; - АЖ қауіпсіздігінің жаңа механиздерін ендіру және жұмыс жасаушы механиздерінің эффективтілігін жоғарылату үшін мінездемесін әзірлеу; - ақпараттық қауіпсіздік саласындағы стандарттарға АЖ-нің сәйкес келу бағасы.

АЖ аудитінің қосымша мүмкіндіктер қатарына мекеменің қауіпсіздік саясатын жетілдірудің ұсынысын әзірлеу, ақпараттардың қауіпсіздігін қамтамсыз ету мәселесіне қатысты қызметкерлердің ақпараттық технологиялары үшін тапсырмалар жасақтау.

АЖ-дің қауіпсіздік аудитін жүргізу келесі этаптардан тұрады: - аудит процедурасының өткізілуін ұйымдастыру; - аудит ақпараттарын жинақтау; - аудит мәліметтерінің анализі; - ұсынымдар (рекомендация) әзірлеу; - аудиторлық есеп әзірлеу.

Аудиторлық есеп аудиттің өткізілуінің негізгі нәтижесі болып табылады. Есепте аудиттің өткізілу мақсаттары, зерттеулі АЖ-нің сипаттамасы, аудит мәліметтері анализінің нәтижелері, АЖ қорғалу деңгейінің бағасы көрсетілген немесе оның қорғаныс жүйесін жетілдіру мен орын алған кемшіліктерді жою бойынша ұсынымдар мен стандарттарға сәйкес келуі туралы қорытындылары қамтылады.

Жүйе қауіпсіздігінің мониторингі. АЖ қауіпсіздігінің мониторинг қызметі қорғаныш анализі құралдары мен шабуылдарды іздеп табу құралдары ретінде жұмыс істейді. Қорғаныш анализінің құралдары жұмыс станциясындағы, серверлердегі және МҚ-ғы ОЖ-дің қорғаныс элементтерінің қалып-күйлерін зерттейді. Олар желі топологиясын зерттейді, қорғалмаған немесе дұрыс жалғанбаған желілік біріктірулерді іздейді, желіаралық экран қалып-күйін анализдейді (зерттейді).Қауіпсіздікті басқару жүйесі қызметтеріне мекеменің желісіндегі, қосымшаларындағы немесе басқа да АЖ компоненттеріндегі табылған осалдықтарды жою бойынша администраторға ұсыныстарды әзірлеу кіреді.

33. VPN виртуалды қорғалған желілердің негізгі технологиялары.

Виртуальды жеке желі (VPN ағылш. Virtual Private Network) — жалпы қолданыста бар желі базасыңда құрылатын корпоративті желі (PSIN, ISDN) және негізгі желіге ұқсас қызмет түрлерін (қоңырауды қайта адрестеу, мәтіңдік пошта) көрсетеді. VPN-нің негізгі ерекшеліктері: мөліметтерді жоғары деңгейде қорғау және қысқартылган нөмір терудің көмегі арқылы оперативті қосылуды қамтамасыз ететін өзіндік нөмірлеу жобасы.

Ашық каналдар бойынша ақпараттың берілуі барысында ақпаратты қорғау VPN виртуалды қорғалған желілерді қолдануға негізделген.

VPN (Virtual Private Network) виртуалды қорғалған желі деп ақпарат алмасатын локальды желілердің және жеке компьютерлердің ашық ішкі орта арқылы бірігуі. VPN (Virtual Private Network) жалпыға қол жеткілікті желінің ашық байланыс каналдары базасында құралатын виртуалды қорғалған байланыс каналдарын құру арқылы жүзеге асырылады.

Бұл виртуалды қорғалған байланыс каналдарын VPN (Virtual Private Network) туннельдері деп атайды. VPN желісі М туннелі арқылы орталық офис пен филиалдар офисін, бизнес-партнерлар және алыстатылған пайдаланушыларды байланыстырып, интернет арқылы ақпарат береді.

VPN туннелі ашық желі арқылы өтетін криптографиялық қорғалған виртуалды желі хабарламаларының пакеттерін байланыстырады. VPN туннельдері бойынша ақпаратты беру процесінде қорғау мыналарға негізделген:

· өзара әсерлесуші жақтардың аутентификациясына;

· берілетін мәліметтердің криптографиялық жабылуына (шифрлауға) ;

· жеткізілетін ақпараттың тұтастығын тексеруге.

Бұл функциялар бір-бірімен өзара байланысқан. Олардың жүзеге асырылуы үшін ақпаратты криптографиялық қорғау әдістері қолданылады.

Виртуалды жеке желі (VPN) - бірінші кезекте Интернет секілді желілерді қоғамдық коммуникациялық құрылымдарды алыс қашықтықта (әсіресе жеке географиялық құрылымдарды) байланыстыратын жеке желі. Бұл желілер мәліметті шифрлеу сияқты тунельдік протоколдар және қауіпсіздік шаралары арқылы жеке желілердің қауіпсіздігін қамтамасыз етеді. Мәселен, VPN бас кеңселердің бөлімшелерін желіге қосылу қауіпсіздігін қамтамасыз ету үшін де қолданылуы мүмкін. Сондай-ақ VPN әртекті бірақ бір типті, мысалы IPv6 желісін IPv4 желісі арқылы, байланыстыруы мүмкін.

Жалпы VPN-дердің екі түрі бар: қашықтан басқарылатын VPN және сайт-сайт VPN. Қашықтан басқарылатын VPN жеке қолданушыларға қашықтан басқарылатын желіге қосылуға мүмкіндік береді, мысалы өзінің компаниясының интражелісіне қосылу роумингі. Сайт-сайт VPN бірнеше қолданушының байланысуын қарастырады, мәселен, филиалдардың компания желісіне қосылуы. Виртуалды желілер әрине шығындарды азайтады, себебі қауіпсіздікті күшейте отырып, қолданыстағы құрылымдарды пайдалана отырып, жалға алынатын желілерге деген сұранысты азайтады.

Ереже бойынша, VPN желідегі бөтен тұлғалар арасында жеке мәліметтердің жайылып кетпеуін қадағалау мақсатымен, қашықтан қолданушылардан тіркелу және шифрлеу әдістерін қолдануды талап етіледі. Виртуалды жеке желілердің көмегімен қолданушылар, файлдар, принтерлер, мәліметтер базасы және желі ішіндегі қауіпсіз веб-сайттар сияқты қашықтан басқарылатын ресурстарды пайдалану сияқты желілердің көптеген фунцияларына қол жеткізе алады. VPN қашықтан қолданушылар орталық желіге нүкте-нүкте сілтеме арқылы тікелей байланысқандығын жасырмайды.

34. VPN виртуалды қорғалған желілерді құру концепциясы.

VPN виртуалды қорғалған желілерді құру концепциясының идеясы қарапайым: егер глобальды желіде ақпарат алмасуы қажет екі орталық (түйін) болса, онда осы екі түйін арасында ашық желілер арқылы жіберілетін ақпараттардың құпиялылығы мен тұтастығын қамтамасыз ету үшін виртуальды қорғалған туннель құрастыру керек; осы виртуальды туннелге ену рұқсаты активті және пассивті сыртқы қадағалаушы үшін барынша қиындатылуы керек. Корпоративті локальдық желіні ашық желіге қосу кезінде қауіпсіздікке әсер ететін екі типті қатер туындайды: - корпоративті локальді желінің ішкі ресурстарына рұқсат етілмеген ену, бұл зиянкестің осы желіге рұқсат етілмеген енуінен туындайды; - корпоративтік мәліметтерге олардың ашық желі арқылы жіберілу кезінде рұқсат етілмеген ену. Ашық желі арқылы локальдық желі мен жеке компьютерлердің ақпараттық арақатынасындағы қауіпсіздікті қамтамасыз ету үшін келесі тапсырмалардың шешімі табылса жеткілікті: - сыртқы орта тарапынан туындайтын рұқсат етілмеген енуден ашық байланыс каналына қосылған локальды желілер мен жеке компьютерлерді қорғау; - ақпараттардың ашық байланыс каналы арқылы жіберілуі кезінде қорғалуы. Ашық каналдар арқылы жіберілетін ақпараттың қорғанысыVPN виртуалды қорғалған желілерді қолдануға негізделген. VPN виртуалды қорғалған желі (Virtual Private Network) деп – айналым мәліметтерінің қауіпсіздігін қамтамасыз ететін сыртқы ашық ақпарат жіберіліс ортасы арқылы локальдық желілер мен жеке компьютерлердің ортақ виртуальды корпоративті желіге бірігуін айтады.VPN виртуалды қорғалған желі ортаққолжетімді желідегі ашық байланыс каналдары қорының негізінде құрылатын виртуальды қорғалған байланыс каналдарының құрылуы жолымен қалыптасады. Бұл виртуальды қорғалған байланыс каналдары VPN туннелдері деп аталады.VPN желісі VPN туннелдері арқылы орталық офисті, филиалдар офистерін, бизнес-серіктестер офистерін және өшірілген қолданушыларды қосуға және Интернет арқылы ақпараттың қауіпсіз жіберілісіне мүмкіндік береді. VPN туннелі виртуальды желінің криптографиялық қорғалған хабарламалар пакеті жіберілетін ашық желі бойымен жүргізілген қосылу (соединение) болып табылады. VPN туннелі арқылы ақпараттың берілісі кезіндегі оның қорғанысы, мынаған негізделген: - өзара жұмыс істеуші жақтардың аутентификациясы (түпнұсқалыққа тексеру); - берілетін мәліметтердің криптографиялық қорғалуы (шифрленуі); - жеткізілетін ақпараттардың түпнұсқа мен бүтіндігіне текскерілуінде. Осы функциялар үшін – бір-бірімен байланысу тән. Оларды жүзеге асыру барысында ақпаратты қорғаудың криптографиялық әдіәстері қолданылады. Осы қорғаныстың нәтижелігі асимметриялық және симметриялық криптографиялық жүйелерді қолданумен қамтамасыз етіледі. VPN құралдары арқылы құрастырылатын VPN туннелі ортаққолжетімді желі шеңберінде, Интернетте орын алатын қорғалған ерекшеленген сызықтық қасиеттеріне ие. VPN құралдары виртуальды жеке желілерде VPN-клиент, VPN-сервер немесе VPN қауіпсіз шлюзі ретінде бола алады. VPN-клиент дербес компьютер қорында орындалатын бағдарламалық немесе аппаратты-бағдарламалық кешен жиынтығы. VPN-сервер сервер қызметін атқаратын компьютерде орнатылған бағдарламалық немесе аппаратты-бағдарламалық кешен жиынтығы. VPN-сервер серверлерді сыртқы желілерден келетін рұқсат етілмеген енуден қорғайды. VPN қауіпсіз шлюзі – көптеген хосттар үшін шифрлеу және аутентификациялау қызметін атқаратын және екі желіге қосылатын желілік құрылғы. Туннелдеудің мәні – берілетін мәлімет бөлігін қызметтік бағандармен қоса жаңа конвертке қаптау. Бұған қоса деңгейі төмен хаттама пакеті деңгейі жоғары немесе сол деңгейдегі мәліметтер бағанына орналасады. Осы жерде, туннелдеудің өзі мәліметерді рұқсат етілмеген енуден не бұрмалаудан қорғамайтындығын айта кету керек, бірақ туннелдеудің арқасында шығыс пакеттерін қаптау кезінде толық криптографиялық қорғау мүмкіндігі туады. Берілетін мәліметтердің құпиялылығын қамтамасыз ету үшін, жіберуші шығыс пакеттерін шифрлейді, жаңа IP-тақырыпшасымен сыртқы пакетке қаптап, өтпелі желі бойымен жібереді. Туннелдеу технологиясының ерекшелігі – шығыс пакетінің мәліметтер бағанын ғана емес, тақырыбымен қоса, барлық шығыс пакетін шифрлеуінде.

35. Виртуалды қорғалған каналдарды құру нұсқалары.

Ақпараттық айырбастың қауіпсіздігін тек қана жергілікті желілерді біріктіргенде ған емес, алшақ (удаленный) не мобильді қолданушының жергілікті желіге енуі кезінде де қамтамасыз ету қажет. Әдетте VPN-ді жобалау кезінде негізгі екі сұлба қарастырылады: - жергілікті желілер арасындағы виртуальды қорғалған арна (канал) (Жергілікті есептеу желі- Жергілікті есептеу желі (ЛВС) каналы); - түйін мен жергілікті желі арасындағы виртуальды қорғалған арна (канал) (клиент-ЛВС канал). Байланысудың 1-сұлбасы жеке кеңселердің арасындағы қымбат ерекшеленген сызықтарды алмастыруға және олардың арасындағы үнемі қолжетімді қорғалған каналдар құруға мүмкіндік береді. Бұл жағдайда қауіпсіздік шлюзі туннель мен жергілікті желі арасындағы интерфейс қызметін атқарады, және де жергілікті желіні қолданушылар туннелді бір-бірімен хабарласу үшін қолданады. Көптеген мекемелер осы VPN түрін глобальды желінің бар қосындыларына қосымша ретінде не алмастырғыш ретінде қолданады. VPN қорғалған каналының 2-сұлбасы алшақ не мобильді қолданушылармен байланыс орнату үшін арналған. Туннелдің құрылуы клиент (алшақ қолданушы) тарапынан болады. Алшақ желіні қорғаушы шлюзбен байланысу үшін ол өз компьютерінен арнайы кленттік бағдарламалық қамсыздандыруды іске қосады. VPN-нің бұл түрі коммутация жасалатын байланыстарды алмастырады және алшақ қолжетімділіктің дәстүрлі әдістерімен қатар қолданылады. Виртуальды қорғалған каналдардың сұлбалық нұсқалары бар. Виртуальды қорғалған канал қалыптасатын виртуальды корпоративті желінің екі түйінінің кез-келгеніне қорғалған хабарламалар ағынының аралық не соңғы нүктесі берілуі мүмкін. Ақпараттық қауіпсіздікті қамтамасыз ету тұрғысынан қарағанда, қорғалған туннелдің соңғы нүктелері қорғалған хабарламалар ағынының соңғы нүктелерімен сәйкес келсе, бұл оңтайлы нұсқа. Бұл жағдайда хабарламалар пакетінің өткен барлық жолы бойында канал қорғанысы қамтамасыз етіледі. Алайда, бұл нұсқа басқарудың орталықтанбауына және артық ресурстық шығындарға алып келеді. Осы кезде жергілікті желінің әрбір клиенттік компьютеріне VPN құру құралдары орнатылуы керек. Виртуальды желіге кіретін жергілікті желі ішіне трафик қорғанысы қажет етілмесе, онда қорғалған туннелдің ақырғы нүктесі ретінде желіараық экранды не осы жергілікті желінің шекаралық маршрутизаторын таңдауға болады. Егер де жергілікті желі ішіндегі хабарламалар ағыны қорғалу керек болса, осы желідегі туннелдің ақырғы нүктесі ретінде қорғалған өзара іс-әрекетке қатысатын компьютер шығып тұруы қажет. Алшақ қолданушының жергілікті желіге енуі кезінде осы қолданушының компьютері виртуальды қорғалған каналдың ақырғы нүктесі болуы қажет. Кең тараған нұсқалардың бірі ретінде, қорғал туннель коммутация пакетімен қоса тек қана ашық желі ішінде салынса, мысалы Интернет ішінде. Бұл нұсқа қолдану ыңғайлылығымен ерекшеленеді, бірақ салыстырмалы түрде қорғанысы әлсіздеу. Мұндай туннелдердің ақырғы нүктесі ретінде көбіне Интернет провайдерлері не жергілікті желінің желіаралық экрандары көрініс табады. Жергілікті желілерді біріктіргенде туннель интернеттің шекаралық провайдерлері арасында не жергілікті желінің желіаралық экранында құрылады. Жергілікті желіге алшақ қолжетімділік, кіру кезінде туннель интернет провайдерінің алшақ қолжетімділік сервері мен интернеттің шекаралық провайдері арасында не жергілікті желінің желіаралық экранында құрылады. Егер осындай VPN-нің құрылуы мен ендірілуін ISP провайдеріне жүктелсе, сол кезде мекеменің жергілікті желісі мен алшақ қолданушылары үшін барлық виртуальды жеке желі оның шлюздарында айқын құрыла алады. Мекеменің желілік инфрақұрылымы VPN-ді қолдануы үшін бағдарламалық та, аппараттық та қамсыздандырудің көмегімен жүргізіле алады.

36. VPN қауіпсіздігін қамтамасыз ету әдістері.

VPN виртуалды қорғалған желілерді құру барысында бастапқы мақсат – ақпарат қауіпсіздігін қамтамасыз ету. Анықтамаға сәйкес, мәліметтер қауіпсіздігі түсінігі олардың құпиялылығын, бүтіндігін және қолжетімділігін білдіреді. Мәліметтер қауіпсіздігін VPN белгісінің міндеттеріне қарай келесідей жіктеуге болады: - құпиялылық – VPN қорғалған каналдары арқылы мәліметтер жіберілісі кезінде бұл мәліметтердің тек қана ресми жіберушісі мен алушысына мәлім болатындығының кепілдігі; - бүтіндік – VPN қорғалған каналдары бойымен өту кезіндегі жіберіліс мәліметтерінің сақталу кепілдігі. Кез-келген өзгерту, бұрмалау, бұзу не жаңа мәліметтердің құрылуы анықталып, ресми қолданушыларға жария болады; - қолжетімділік – VPN қызметі орындайтын құралдар үнемі ресми қолданушылар үшін қолжетімді болатындығының кепілі. Құпиялылық симметриялық және асимметриялық шифрлеудің әртүрлі алгоритмдері мен әдістері арқылы қамтамасыз етіледі. Берілетін мәліметтердің бүтіндігі әдетте шифрлеудің асимметриялық әдістері мен біржақты қызметтерге негізделген электронды қолтаңба технологиясының әртүрлі нұсқалары көмегімен қол жеткізіледі. Аутентификация бірретті және көпретті парольдердің, цифрлық сертификаттардың, смарт-карталардың, қатаң аутентификациялардың хаттамалары негізінде жүзеге асады, VPN-қосылуды тек қана ресми қолданушыларға орнатылуын қамтамасыз етеді және VPN құралдарына рұқсат етілмеген кісілердің қолжетімділігінің алдын алады. Авторизация жұмысы өзінің ресмилігін растаған абоненттерге әртүрлі қызмет көрсетулердің ұсынылуына, негізінен олардың трафиктерін әртүрлі шифрлеу әдістері, негізделеді.

Аутентификация рәсімі (түпнұсқалығын растау) ресми пайдаланушыларға кіруге рұқсат береді және желіге рұқсат етілмеген кісілердің енуінің алдын алады. VPN қауіпсіздігінің негізгі компоненті болып – компьютерлік ресурстарға ену мүмкіндігін тек қана тіркелген қолданушылар ала алатындығы, ал тіркелмеген қолданушылар үшін желі толығымен жабық болады.

Авторизацияның бағдарламалық құралдарын құру кезінде қолданылатыны: - орталықтандырылған тіркеу сұлбасы; - тіркеудің орталықсыздандырылған сұлбасы. Орталықтандырылған тіркеу сұлбасының негізгі міндеті – ортақ кіру принципін жүзеге асыру. Қолданушыға ресурстарды беру процесінің басқарылуы сервермен жүзеге асады. Тіркелу процесіне орталықтандырылған тәсіл Kerberos, RADIUS және TACACS жүйелерінде орындалған. Желі аумағының қауіпсіздігі және рұқсатсыз енулерді анықтау. Желімен қорғалатын Қосымшаларға, сервистерге, ресурстарға енудің қатаң бақылануы – дұрыс құрылған желінің негізгі қызметі болып табылады. Желіаралық экран, рұқсатсыз енуді анықтайтын жүйелер, қауіпсіздік аудиті жүйесі, антивирустық жинақтар секілді қауіпсіздік құралдары желі арқылы қозғалатын мәліметтердің жүйелік қорғалуын қамтамасыз етеді. Желі қауіпсіздігін шешудің негізгі бөлігі – Желіаралық экран болып табылады, ол қолғалатын желі бөлігін қиып өтетін трафикті бақылайды және мекеменің қауіпсіздік саясатына сәйкес трафиктің өткізілуіне шектеу қояды. Желі аумағының қауіпсіздігінің сенімді қосымша элементі ретінде рұқсатсыз енулерді анықтайтын IDS (Intrusion Detection System) жүйесі қолданылады, ол тіркелмеген сыртқы және ішкі дереккөздердің енуін анықтап, белгілеп, болдырмайды. Желі қауіпсіздігін басқару жүйесі VPN қауіпсіздігін қамтамасыз ететін өнімдердің жинақтаушысы есебінде. Жүзеге асыру үшін – орталықтандырылған басқару жүйесін қамтамасыз ету қажет.

37. IPSEC қауіпсіздік жабдықтарының архитектурасы.

IPSEC хаттамаларының негізгі міндеті – IP желі арқылы мәліметтердің қауіпсіз бірілуін қамтамасыз ету. IPSEC қолдану мыналарға кепілдік береді: - берілетін мәліметтердің бүтіндігі (яғни мәліметтер жіберілу кезінде өзгертілмеген, жоғалтылмаған және көшірмесі жасалмаған); - жіберушінің заңды болуы (аутентичность); - берілетін мәліметтердің құпиялылығы. IP желідегі іргелі байланыс бірлігі – IP-пакет. IP-пакет құрамында хабарламаны жіберушінің S-мекен-жайы және алушының D-мекен-жайы, транспортты тақырыпша, осы пакетте жүрілетін мәліметтер типі туралы ақпарат және де мәліметтердің өздері болады. Жіберілетін мәліметтердің заңдылығын, құпиялылығын, бүтіндігін қамтамасыз ету үшін IPSec хаттамасы қалыпты криптографиялық технологиялар негізінде құрылған: - ашық желідегі қолданушылар арасындағы құпия кілттерді үлестіру үшін Диффи –Хеллман алгоритміне сәйкес кілттерді айырбастау; екі жақтаң заңдылығының кепілдігі және шабуылдардың алдын алу үшін Диффи — Хеллман айырбасына қол қою үшін ашық кілттер криптографиясы; - ашық кілттердің түпнұсқа екендігін растау үшін цифрлық сертификаттар.

IPSEC қауіпсіздік жабдықтарының архитектурасының жоғарғы деңгейінде IPSec өзегінің негізін құраушы 3 хаттама орналасқан: - виртуалды канал параметрлерінің келісім және IKE (Internet Key Exchange) кілттерімен басқару хаттамасы, бұл қолданылатын криптоз-қалқандарының алгоритмдерінің, қорғалған байланысу аясындағы құпия кілттерді басқару және айырбастау процедураларының келісімін қамтитын қорғаныс каналының иницилизазия тәсілін анықтайды; - АН (Authentication header) аутентификациялық тақырып хаттамасы, мәліметтер дереккөзінің аутентификациясын, қабылдаудан кейінгі олардың бүтіндігі мен түпнұсқалығын тексеруді, қайта хабарламалардың қосы тіркелуінен қорғанысты қамтиды; - ESP (Encapsulating Security Payload) құрамынының қорғанысын әзірлеу хаттамасы, жіберілет мәліметтердің аутентификациясын, бүтіндігін, криптографиялық жабылуын, қайталама хабарламалардың тіркелуінен қорғанысты қамтамасыз етеді. IPSec архитектурасының орташа деңгейі IKE хаттамасында қолданылатын кілттерді басқару мен келісім параметрлерінің алгоитмін, АН (Authentication header) аутентификациялық тақырып хаттамасында қолданылатын аутентификация мен шифрлеудің алгоритмін, ESP (Encapsulating Security Payload) құрамынының қорғанысын әзірлеу хаттамасы алгоритмін құрады. IPSec архитектурасының жоғарғы деңгейдегі виртуалды каналының қорғаныс хаттамалары (АН и ESP) арнайы криптографиялық алгоритмдерге тәуелді емес. IPSec аутентификация мен шифрлеудің әртүрлі алгоритмдерін қолдану мүмкіндігі арқасында желі қорғанысы мекемесінің жоғары дәрежелі иілгіштігін қамтамасыз етеді. IPSec иілгіштігі – әрбір тапсырма үшін бірнеше шешім жолдары қарастырылған. IPSec архитектурасының төменгі деңгейі DOI (Domain of Interpretation) түсіндіру доменін құрады. DOI (Domain of Interpretation) түсіндіру доменін қолдану қажеттіліг келесі себептерге байланысты: АН және ESP хаттамалары қолданушылардың тікелей рұқсаты арқылы аутентификация мен шифрлеудің әртүрлі криптографиялық алгоритмдерді қолдану мүмкіндігі бар модулді құрылымды құрайды. Сондықтан барлық қолданылатын және қайта қосылатын хаттамалар мен алгоритмдер үшін ортақ жұмысты қамтамасыз ететін модуль қажет. DOI түсіндіру (интерпретация) доменіне осындай қызметтер жүктелген. DOI түсіндіру (интерпретация) домені мәліметтер қоры ретінде IPSec қолданылған хаттамалар мен алгоритмдер, олардың параметрлері, хаттамалық идентификаторлар туралы деректерді сақтайды.

 

38. ІРSЕС - те алгоритмдердің аутентификациясы мен шифрленуі.

ІРSЕС екі негізгі қызметтен тұрады: шифрлеу қызметі, мәліметтердің қорғанысын қамтамасыз етеді, аутентификация қызметі, жіберуші мен мәліметтердің бүтіндігін бақылайды. Осы аппараттың ІРSЕС қызметі екі қорғаныс хаттамасына сүйенеді: біруақытта Ipsec екі қызметін қатарын қосатын ESP хатамасы және аутентификация қызметін ғана қамтитын АН хаттамасы. ESP хатамасы шифрлеу мен аутентификация арқылы мәліметтің қауіпсіз жіберілісін қамтамасыз етеді. Берілген хаттама тақырып аутентификациясының орындалуын қамтамасыз етпейді. – сәтті шифрлеу үшін жіберуші де, қабылдаушы да бірдей алгоритм және шифрлеу кілтін беруі қажет. Шифрлеу алгоритмі мен шифрлеу кілті автоматты түрде беріледі. – сәтті аутентфикация үшін жіберуші де қабылдаушы да бірдей алгоритм мен аутентификация кілтін беруі қажет. Аутентификация алгоритмі мен аутентификация кілті автоматты түрде беріледі.

АН хаттамасы тақырыпты қоса отыра, тек қана аутентификация пакеті арқылы жіберілу қауіпсіздігін қамтамасыз етеді. – сәтті аутентфикация үшін жіберуші де қабылдаушы да бірдей алгоритм мен аутентификация кілтін беруі қажет. Аутентификация алгоритмі мен аутентификация кілті автоматты түрде беріледі.

ESP хаттамасы және АН хаттамасы. Екі хаттаманы қатар қолдану кезінде шифрлеу мен аутентификация арқылы мәліметтің қауіпсіз жіберілісін қамтамасыз етеді. Бұл хаттамалар тақырып аутентификациясын қамтамасыз етеді. – сәтті шифрлеу үшін жіберуші де, қабылдаушы да бірдей алгоритм және шифрлеу кілтін беруі қажет. Шифрлеу алгоритмі мен шифрлеу кілті автоматты түрде беріледі. – сәтті аутентфикация үшін жіберуші де қабылдаушы да бірдей алгоритм мен аутентификация кілтін беруі қажет. Аутентификация алгоритмі мен аутентификация кілті автоматты түрде беріледі.

39. IKE криптокілттерімен басқару хаттамалары.

ESP және АН хаттамалары жіберілу қорғанысының маңызды атрибуттарын жүзеге асыруға мүмкіндік береді – байланыс құпиялылығы, екі жақтың аутентификациясы, мәліметтердің тұтастығы. Айырбастау қатысушылары арасындағы кілттердің және келісім хаттамаларының үлестірілуін қамтамасыз ететін мықты инфрақұрылымсыз оның қызметтері құндылығын жоғалтады. Осындай инфрақұрылымның тобы ретінде - IKE (Internet Key Exchange) хаттамалары қолданылады. Бұл атау алдыңғы м құрамындағы кілттерді басқару құралына енетіндігін көрсететін ISAKMP/Oakley атауы орнына 1998 жылы орнады. RFC 2408 құжатында сипатталған ISAKMP {Internet Security Association and Key Management Protocol) хаттамасы Диффи — Хеллманның кілттерді айырбастау процедуралары мен аутентификация процесстері үшін алгоитімдік және математикалық құрылымдардың мақұлдануына мүмкіндік береді. RFC 2412 құжатында сипатталған Oakley хаттамасы Диффи-Хеллманның алгоритміне негізделген және тікелей кілттерді айырбастауды ұйымдастыру үшін қызмет жасайды.

IKE хаттамасы 3 мәселені шешеді: - өзара жұмыс істеуші жақтардың аутентификациясын жүзеге асырады, ақпарат айырбастаудың қорғалған сеансында қолданылатын шифрлек алгоритмдері мен кілттердің сипаттамасын келеседі; - байланыстық кілттік ақпаратының құрылуы мен басқарылуын, тікелей кілттер айырбасын қамтамасыз етеді; - кейбір шабылдар типінен қорғауды және байланыс параметрлерін басқарады, барлық қолжеткізілген келісімдердің орындалуын бақылайды.

 

40. WEB технологиялары туралы жалпы мағлұмат. WEB технологиялардың даму тарихы. WEB қосымшалары типтері, оларды жетілдіру мәселелері.

Қазіргі заманның ғылыми-техникалық жетістіктерінің бірі – дүниежүзі елдерінің жергілікті және ғаламдық желілері арнайы қызмет көрсету программалары арқылы байланыстырылуы. Ғаламдық желілерді Интернет желісі деп атайды. (inter – интернационал, халықаралық; network – желі). Яғни Интернет – түрлі елдердің миллиондаған компьютерлерін біріктіретін компьютерлік желі. Мұнда Интернетке қосылған компьютерлік сервер арқылы желіге қосылған кез келген компьютерге түрлі мәлімет жібере және өзіне жіберілген мәліметті қабылдай алады. Интернет қызметін пайдалану өз ақпараттарын кірістіру, орналастыру, дайындау, қолдау жасау профессионалды қызметтің сұранысы болып табылады. Сондықтан да ауқымды телекоммуникациялар желі көмегімен біріктірілген, пайдаланушылардың назарына ұсынылып қолданылуына мүмкіндік беретін Интернет сайттар кең сапалы әртүрлі ақпараттар ортасына айналды. Интернет-парақтарын әзірлеу әдістері мен технологиялары үнемі даму үстінде. Қазіргі таңда динамикалық HTML тілі, интерактивті интернет технологиялар кең қолданылуда. Атап айтсақ, ASP, PHP, SSC технологиялары және Java Script, VisualBasicScript скриптілік программалау тілдері. Олардың көмегімен қарапайым HTML құжаттарды жетілдіріп, қазіргі таңдағы Интернет желісі талаптарын толық қанағаттандыратын және пайдаланушыларды қызықтыра білетін тартымды, көркем де тиімді Web-сайттарды әзірлеуге қол жеткізуге болады. Қазіргі таңда Web-сайттарды әзірлеуде классикалық HTML тілі жеке дара пайдаланылмайды, оның себебі оның мүмкіндігінің шектеулілігі. Осыған орай сайтты көркемдеуде, оның мүмкіндіктерін арттыруда көптеген технологиялар қолданылады. мысалы, CCS, Perl, PHP, ASP, JavaScriprt, VBScript және т.б. HTML құжаттарды жандандырудың тағы бір тәсілі Java аплеттерін қолдану. Оларға барлық браузерлерде қолдау жасалады және олар Java-ның арнайы қосымшалары болып саналады. Аплет–бұл Java тілінде жазылған, қандай да бір әрекетті орындайтын көлемі үлкен емес қосымшалар. Аплеттер браузер терезесінде белгілі бір аймақта орналасады, оларда ақпараттың, бейнелердің өзгеріп отыруын браузер басқарады, пайдаланушылармен интерактивті режимде жұмыс ұйымдастыра алады. Web қосымшаларына арналған парақты ашу санын анықтауды, қонақ кітабы, интернет-дүкен құруды ұйымдастыру сияқты типтік есептерді шешу сервердің есептеу ресурстарын қолданатын технологиялар көмегімен жүзеге асырылады. Мұндай мәселелердің барлығына бірдей орындалатын ортақ әрекеттер тұтынушы браузері мен сервер арасындағы мәлімет алмасу, сервердің тұрақты жадысында белгілі бір ақпараттың сақталуы және серверден қайсыбір программалардың жүктелуі болып саналады. Барлық іс-әрекеттер серверде орындалады да пайдаланушыларға қауіпсіз әрекеттерді орындауға мүмкіндік береді. Бұл әрекеттер қауіпті сценарийден тұрған жағдайда да браузер пайдаланушыны бұл жайында хабардар етеді. Файлдардан мәліметтерді оқу, жазу, өңдеу және ақпарат беру сервердегі сценраийлер көмегімен жүзеге асырылады.

Web бағдарламалау тілдерде жазылған сценарийлер пайдаланушы браузерінде де серверде де орындала алады. Қалыпты жағдайда қайсыбір HTML құжатты пайдаланушының сұранысына орай сервер сұранысқа сәйкес келетін HTML файлға ешқандай талдау жасамай, мазмұнын өзгеріссіз, өңдеусіз браузерге жібереді. Серверлік сценарийлерде пайдаланушы сұраған файлын талдап, оған қандай да бір операциялар орындап, содан соң ғана құжатты пайдаланушыға өңдеу нәтижесімен бірге жібереді. Серверлік Web технологиялардың ішінде ең бірінші пайда болғаны CGI (Common Gateway Interface- жалпы шлюздік интерфейс) технологиясы. CGI – бұл сыртқы программалардың Web серверімен немесе басқа ақпараттық серверлермен байланысу тәсілін анықтайтын протокол. Осы протоколға сәйкес келетін программалар CGI –программалар деп аталады. Ақпарат формалардан алынып CGI программаларда өңделеді. Скриптілік программалау тілі көмегімен жазылған CGI-программалар CGI-скриптілер деп те аталады.

Пайдаланушы мен сервер арасындағы ақпарат алмасуды, серверлік өңдеуді ұйымдастырудың тағы бір кең тараған платформа аралық технологиясы РНР технологиясы. Бұл аббревиатура алғашында Personal Home Page – жеке үй парағы деп түсінілетін, қазіргі кезде ол Hypertext Preprocessor деп түсіндіріледі. PHP серверде орындалатын және браузерге HTML кодты қайтаратын скриптілерді әзірлеу мен оларға қолдау жасау жүйесі болып табылады. Оның пайда болу тарихы да басқа серверлік скриптілердің пайда болу идеологиясымен ұқсас. Алғашында HTML-дің «ағымдағы листингінде» іздеуді ұйымдастыратын және белгілі арнайы бұйрықтарды бірлестіре орындайтын қарапайым CGI-қоршауы құрылған болатын. Web парағын әзірлеушілер арасын