123
PPTP protokoli
Kanal sathidagi VPN. OSI modelining kanal sathida ishlatiluvchi VPN
vositalari uchinchi (va yuqoriroq) sathning turli xil trafigini inkapsulatsiyalashni
ta‘minlashga va «nuqta-nuqta»lidagi virtual tunnellarni (marshrutizatordan
marshrutizatorga yoki shaxsiy kompyuterdan lokal hisoblash tarmog‗ining
shlyuzigacha) qurishga imkon beradi. Bu guruhga L2F (Layer 2 Forwarding) va
PPTP (Point-to-Point Tunneling Protocol) protokollari hamda Cisco Systems va
Microsoft firmalarining birga ishlab chiqqan L2TP (Layer 2 Tunneling Protocol)
standartidan foydalanuvchi VPN-mahsulotlar taalluqli.
Himoyalangan kanalning protokoli PPTP «nuqta-nuqta» ulanishlarida,
masalan, ajratilgan liniyalarda ishlaganda qo‗llaniluvchi PPP protokoliga
asoslangan. PPTP protokoli ilovalari va tadbiqiy sath xizmatlari uchun himoya
vositalarining shaffofligini ta‘minlaydi va tarmoq sathida ishlatiluvchi protokolga
bog‗liq emas. Xususan, PPTP protokoli ham IP
tarmoqlarida, ham IPX, DECnet
yoki NetBEUL protokollari asosida ishlovchi tarmoqlarda paketlarni tashishi
mumkin. Ammo, PPP protokoli hamma tarmoqlarda ham ishlatilmasligi sababli
(aksariyat lokal tarmoqlarida kanal sathida Ethernet protokoli ishlasa, global
tarmoqlarda IP/MPLS protokollari ishlaydi), uni universal vosita deb bo‗lmaydi.
Yirik tarmoqlarning turli qismlarida, umuman aytganda, turli kanal protokollari
ishlatiladi. Shu sababli bu geterogen muhit orqali kanal sathining yagona protokoli
yordamida himoyalangan kanalni o‗tkazishi mumkin emas.
PPTP protokolining ma‘lumotlarni IP, IPX va NetBEUL protokollari
bo‗yicha almashish uchun himoyalangan kanallarni yaratishga imkon beradi.
Ushbu protokollarning ma‘lumotlari PPP kadrlariga joylanadi va PPTP protokoli
vositasida IP protokolining paketlariga inkapsulyatsiyalanadi va shu protokol
yordamida shifrlangan ko‗rinishda har qanday TCP/IP tarmog‗i orqali tashiladi
(5.12 - rasm).
124
IP
5.12 – rasm. PPTP tunneli bo‗yicha jo‗natiluvchi paket tuzilishi
- Internet ichida ishlatiluvchi kanal sathining sarlovhasi, masalan, Ethernet
kadrining sarlovhasi;
- tarkibida paketni jo‗natuvchi va qabul qiluvchi manzillari bo‗lgan IP
sarlovhasi;
- marshrutlash uchun inkapsulyatsiyalashning umumiy usulining sarlovhasi
GRE (Generic Routing Encapsulation);
- tarkibida, IPX yoki NetBEUL paketlari bo‗lgan dastlabki paket PPP.
Tarmoqning qabul qiluvchi tuguni IP paketlardan PPP kadrlarni chiqarib
oladi, so‗ngra PPP kadrdan dastlabki paket IP, IPX yoki NetBEUL paketini
chiqarib olib uni lokal tarmoq bo‗yicha muayyan manzilga jo‗natadi. Kanal
sathining inkapsulyatsiyalovchi protokollarining ko‗p protokolliligi (unga PPTP
protokol ham taalluqli), ularning yanada yuqoriroq sathning himoyalangan kanal
protokollaridan afzalligidir. Masalan, agar korporativ tarmoqda IPX yoki
NetBEUL ishlatilsa, IPSec yoki SSL protokollarini ishlatib bo‗lmaydi, chunki ular
IP tarmoq sathining faqat bitta protokoliga mo‗ljallangan.
Inkapsulyatsiyalashning mazkur usuli OSI modelining tarmoq sathi
protokollariga bog‗liq bo‗lmaslikni ta‘minlaydi va ochiq IP-tarmoqlar orqali har
qanday lokal tarmoqlardan (IP, IPX yoki NetBEUL) himoyalangan masofadan
foydalanishni amalga oshirishga imkon beradi. PPTP protokoliga muvofiq
himoyalangan
virtual
kanal
yaratishda
masofadagi
foydalanuvchini
autentifikatsiyalash va uzatiluvchi ma‘lumotlarni shifrlash amalga oshiriladi (5.13-
rasm).
Uzatilaligan
kadr
sarlavhasi
IP
sarlavhasi
GRE
sarlavha
PPP
sarlavha
Shifrlangan
ma‘lumot
Uzatilaligan
kadr oxiri
125
5.13-rasm. PPTP protokolining arxitekturasi
Masofadagi
foydalanuvchini
autentifikatsiyalashda
PPP
uchun
qo‗llaniladigan turli protokollardan foydalanish mumkin. Microsoft kompaniyasi
tomonidan Windows 98/XP/NT/2000ga kiritilgan PPTPning amalga oshirilishida
autentifikatsiyalashning quyidagi protokollari madadlanadi: parol bo‗yicha
aniqlash protokoli PAP (Pasword Athentication Protocol), qo‗l berishishda
aniqlash protokoli MSCHAP (Microsoft Challenge - Handshaking Authentication
Protocols) va aniqlash protokoli EAP-TLS (Extensible Authentication Protocol-
Transport Layer Security). PAP protokolidan foydalanilganda identifikatorlar va
parollar aloqa liniyalari orqali shifrlanmagan ko‗rinishda uzatiladi, bunda
autentifikatsiyalashni faqat server o‗tkazadi. MSCHAP va EAP-TLS
protokollaridan foydalanilganda niyati buzuq odamning ushlab qolingan
shifrlangan parolli paketdan qayta foydalanishidan himoyalash mijoz va VPN-
serverni augentifikatsiyalash ta‘minlanadi.
PPTP yordamida shifrlash Internet orqali jo‗natishda ma‘lumotlardan hech
kim foydalana olmasligini kafolatlaydi. Shifrlash protokoli MPPE (Microsoft
Point-to-Point Encryption) faqat MSCHAP(1 va 2 versiyalari) va EAP-TLS bilan
birga ishlay oladi. Mijoz va server orasida ko‘rsatkichlarni muvofiqlashtirilishida
shifrlash kalitining uzunligini avtomatik tarzda tanlay oladi. MPPE protokoli
uzunligi 40, 56 yoki 128 bit bo‗lgan kalitlar bilan ishlashni amalga oshiradi.
PPTP protokoli har bir olingan paketdan so‗ng shifrlash kalitining qiymatini
o‗zgartiradi.
PPTP protokolini qo‗llashning quyidagi ikkita asosiy sxemasi aniqlangan:
RRТР protokoli
Протокол GRE
Autentifikatsiyalash
algoritmlari
Шифрлаш
алгоритмлари
GRE protokoli
Shifrlash
algoritmlari
РРР protokoli
126
- masofadan foydalanuvchining Internet bilan to‗g‗ridan-to‗g‗ri ulanishidagi
tunnellash sxemasi;
- masofadan foydalanuvchining Internet bilan provayder orqali telefon
liniyasi bo‗yicha ulanishidagi tunnellash sxemasi.
Tunnellashning birinchi sxemasi amalga oshirilganida (5.14-rasm)
masofadan foydalanuvchi Windows 98/XP/NT tarkibidagi masofadan foydalanish
servisi RAS (Remote Access Service )ning mijoz qismi yordamida lokal tarmoq
bilan masofaviy bog‗lanishni o‗rnatadi. So‗ngra foydalanuvchi lokal tarmoqdan
masofadan foydalanish serveriga, uning IP manzilini ko‗rsatib murojaat etadi va u
bilan PPTP protokoli bo‗yicha aloqa o‗rnatadi.
5.14-rasm. Masofadan foydalanuvchi kompyuterini Internetga to‗g‗ridan
to‗g‗ri ulanishidagi tunnellash sxemasi
Ta‘kidlash lozimki, L2F texnologiyasidan foydalanilganda provayderning
masofadan foydalanish serveri foydalanuvchini autentifikatsiyalashni faqat virtual
kanal yaratilishi zarurligini aniqlash va istalgan lokal tarmoqning masofadan
foydalanish serveri manzilini topishda ishlatadi. Haqiqiylikni yakuniy tekshirish
lokal tarmoqning masofadan foydalanish serveri tomonidan u bilan provayder
serveri ulanganidan so‗ng bajariladi.
L2F protokolining quyidagi kamchiliklarini ko‗rsatish mumkin:
- unda IP protokolining joriy versiyasi uchun axborot almashinuvining ohirgi
nuqtalari orasida kriptohimoyalangan tunnel yaratish ko‗zda tutilmagan;
Internet
Маsofadan foydalanish
serveri vа marshrutizatori
Lokal
tarmoq
Маsofadan
foydalanuvchi
Кriptohimoyalangan
tunnel
127
- virtual himoyalangan kanal faqat provayderning masofadan foydalanish
serveri va lokal tarmoqning chegara marshrutizatori orasida yaratilishi mumkin.
Bunda masofadagi foydalanuvchi kompyuteri bilan provayder serveri orasidagi joy
ochiq qoladi.
|