15.3. PPTP protokolini taxlili
Kanal sathidagi VPN. OSI modelining kanal sathida ishlatiluvchi VPN vositalari uchinchi (va yuqorirok) sathning turli xil trafigini inkapsulatsiyalashni ta’minlashga va «nuqta-nuqta» lidagi virtual tunnellarni (marshrutizatordan marshrutizatorga yoki shaxsiy kompyuterdan lokal xisoblash tarmog‘ining shlyuzigacha) qurishga imkon beradi. Bu guruhga L2F (Layer 2 Forwarding) va RRTR (Point-to-Point Tunneling Protocol) protokollari hamda Cisco Systems i Microsoft firmalarining birga ishlab chikkan L2TP (Layer 2 Tunneling Protocol) standartidan foydalanuvchi VPN-mahsulotlar taalluqli.
Himoyalangan kanalning protokoli RRTR «nuqta-nuqta» ula-nishlarida, masalan, ajratilgan liniyalarda ishlaganda ksnt qo‘llaniluvchi RRR protokoliga asoslangan. RRTR protokoli ilovalari va tadbiqiy sath xizmatlari uchun himoya vositalarining shaffofligini ta’minlaydi va tarmoq sathida ishlatiluvchi protokolga bog‘liq emas. Xususan, RRTR protokoli ham IP tarmoqlarida, ham IPX, DECnet yoki NetBEUL protokollari asosida ishlovchi tarmoqlarda paketlarni tashishi mumkin. Ammo, RRR protokoli hamma tarmoqlarda ham ishlatilmasligi sababli (aksariyat lokal tarmoqlarida kanal sathida Ethernet protokoli ishlasa, global tarmoqlarda ATM, Frame Relay protokollari ishlaydi), uni universal vosita deb bo‘lmaydi. Yirik birikma tarmoqning gurli kismlarida, umuman aytganda, turli kanal protokollari ishlatiladi. Shu sababli bu geterogen muxit orqali kanal sathining yagona protokoli yordamida himoyalangan kanaliy o‘tkazish mumkin emas.
RRTR protokoli ma’lumotlarni. IP, IPX va NetBEUI protokollari bo‘yicha almashish uchun himoyalangan kanallarni yaratishga imkon beradi. Ushbu protokollar ma’lumotlari RRR kadrlarga joylanadi va so‘ngra RRTR protokoli vositasida IP protokolining paketlariga inkapsulyatsiyalanadi va shu protokol yordamida shifrlangan ko‘rinishda har qanday TCP/IP tarmog‘i orqali tashiladi (6 - rasm).
Internet ichida ishlatiluvchi kanal sathining sarlovhasi, masalan, Ethernet kadrining sarlovhasi;
tarkibida paketni jo‘natuvchi va qabul qiluvchi manzillari bo‘lgan IP sarlovhasi;
marshrutlash uchun inkapsulyatsiyalashning umumiy usulining sarlovhasi GRE(Genenc Routing Encapsulation);
tarkibida, IPX yoki NetBEUI paketlari bo‘lgan dastlabki paket RRR.
6 – rasm. RRTR tunneli bo‘yicha jo‘natiluvchi paket tuzilishi
Tarmoqning qabul qiluvchi uzeli IP paketlardan RRR kadrlarni chiqarib oladi, so‘ngra RRR kadrdan dastlabki paket IP, IPX yoki NetBEUI paketini chiqarib olib uni lokal tarmoq bo‘yicha muayyan manzilga jo‘natadi. Kanal sathining inkapsulyatsiyalovchi protokollarining ko‘p protokolliligi (unga RRTR protokol ham taallukli), ularning yanada yuqoriroq sathning himoyalangan kanal protokollaridan afzalligidir. Masalan, agar korporativ tarmoqda IPX yoki NetBEUI ishlatilsa, IPSec yoki SSL protokollarini ishlatib bo‘lmaydi, chunki ular IP tarmoq sathining faqat bitta protokoliga mo‘ljallangan.
7-rasm. RRTR protokoli arxitekturasi
Inkapsulyatsiyalashning mazkur usuli OSI modelining tarmoq sathi protokollariga bog‘liq bo‘lmaslikni ta’minlaydi va ochiq 1R-tarmoqlar orqali har kanday lokal tarmoqlardan (IP, IPX yoki NetBEUI) himoyalangan masofadan foydalanishni amalga oshirishga imkon beradi. RRTR protokoliga muvofiq himoyalangan virtual kanal yaratishda masofadagi foydalanuvchini autentifikatsiyalash va uzatiluvchi ma’lumotlarni shifrlash amalga oshiriladi (7-rasm).
Masofadagi foydalanuvchini autentifikatsiyalashda RRR uchun qo‘llaniladigan turli protokollardan foydalanish mumkin. Microsoft kompaniyasi tomonidan Windows 98/XP/NT/2000 ga kiri-tilgan RRTRning amalga oshirilishida autsntifikatsiyalashning quyidagi protokollari madadlanadi: parol bo‘yicha aniqlash protokoli PAP(Pasword Athentication Protocol), qo‘l berishishda aniqlash protokoli MSCHAP (Microsoft Challenge - Handshaking Authentication Protocols) va aniqlash protokoli EAP-TLS (Extensible Authentication Protocol-Transport Layer Security). PAP protokolidan foydalanilganda identifikatorlar va parollar aloqa liniyalari orqali shifrlanmagan ko‘rinishda uzatiladi, bunda autentifikatsiyalashni faqat server o‘tkazadi. MSCHAP va EAP-TLS protokollaridan foydalanilganda niyati buzuq odamning ushlab qolingan shifrlangan parolli paketdan qayta foydalanishidan himoyalash va mijoz va VPN-serverni augentifikatsiyalash ta’minlanadi.
RRTR yordamida shifrlash Internet orqali jo‘natishda ma’lu-motlardan hech kim foydalana olmasligini kafolatlaydi. Shifrlash protokoli MRRE (Microsoft Point-to-Point Encryption) faqat MSCHAP(1 va 2 versiyalari) va EAP-TLS bilan birga ishlay oladi va mijoz va server orasida parametrlar muvofiqlashtirilishida shifrlash kalitining uzunligini avtomatik tarzda tanlay oladi. MRRE protokoli uzunligi 40, 56 yoki 128 bit bo‘lgan kalitlar bilan ishlashni amalga oshiradi.
RRTR protokoli har bir olingan paketdan so‘ng shifrlash kaliti qiymatini o‘zgartiradi.
RRTR protokoli uchun qo‘llashning quyidagi ikkita asosiy sxemasi aniqlangan:
- masofadan foydalanuvchining Internet bilan to‘g‘ridan-to‘g‘ri ulanishidagi tunnellash sxemasi;
- masofadan foydalanuvchining Internet bilan provayder orqali telefon liniyasi bo‘yicha ulanishidagi tunnellash sxemasi.
Tunnellashning birinchi sxemasi amalga oshirilganida (8-rasm) masofadan foydalanuvchi Windows 98/XP/NT tarkibidagi masofadan foydalanish servisi RAS (Remote Access Service) ning mijoz qismi yordamida lokal tarmoq bilan masofaviy bog‘lanishni o‘rnatadi. So‘ngra foydalanuvchi lokal tarmoqdan masofadan foydalanish serveriga, uning IP manzilini ko‘rsatib murojaat etadi va u bilan RRTR protokoli bo‘yicha aloqa o‘rnatadi.
15.8-rasm. Masofadan foydalanuvchi kompyuterini Internetga to‘g‘ridan to‘g‘ri ulanishidagi tunnellash sxemasi
Ta’kidlash lozimki, L2F texnologiyasidan foydalanilganda provayderning masofadan foydalanish serveri foydalanuvchini autentifikatsiyalashni faqat virtual kanal yaratilishi zarurligi-ni aniqlash va istalgan lokal tarmoqning masofadan foydalanish serveri manzilini topishda ishlatadi. Haqiqiylikni yakuniy tek-shirish lokal tarmoqning masofadan foydalanish serveri tomoni-dan, u bilan provayder serveri ulanganidan so‘ng, bajariladi.
L2F protokolining quyidagi kamchiliklarini ko‘rsatish mumkin:
unda IP protokolining joriy versiyasi uchun axborot almashinuvining ohirgi nuqtalari orasida kriptohimoyalangan tunnel yaratish ko‘zda tutilmagan;
virtual himoyalangan kanal faqat provayderning masofadan foydalanish serveri va lokal tarmoqning chegara marshrutizatori orasida yaratilishi mumkin, bunda masofadagi foydalanuvchi kompyuteri bilan provayder serveri orasidagi joy ochiq koladi.
Dostları ilə paylaş: |