|
“tarmoq xavfsizligi”
|
| bet | 38/144 | | Sana | 20.05.2024 | | Hajmi | 10,58 Mb. | | #245858 |
Bog'liq “tarmoq xavfsizligi” L2TP protokoli
OSI modelining kanal darajasidagi himoyalangan virtual tarmoqlarni qurish uchun Cisco Systems kompaniyasi tomonidan PPP protokoliga alternativ
L2F (Layer-2 Forwarding) protokoli ishlab chiqilgan. L2F protokoli PPTP protokolidan turli xil tarmoq protokollarini qo’llashi va Internet provayderlar uchun qulayligi bilan farq qiladi. Masofadan turib ulanuvchi foydalanuvchi kompyuteri va server aloqasini ta’minlash uchun L2F protokoli turli xil masofadan turib ulanish protokollarini qo’llay oladi, masalan, PPP, SLIP. Ammo, L2F protokoli quyidagi kamchiliklarga ega:
L2F protokolida IP protokolining joriy versiyasi uchun information almashinuvning yakuniy nuqtalari orasida kripto – himoyalangan tunnel qurish ko’zda tutilmagan;
himoyalangan virtual kanal faqatgina provayder serveri va mahalliy tarmoqning chetki marshrutizatori orasida qurilishi mumkin, bunda masofadagi foydalanuvchi kompyuteri va provayder server o’rtasidagi soha ochiq qoladi.
Shuning uchun L2F protokoli o’rnini Internet proyekti standarti hisoblanadigan L2TP protokoli butunlay egalladi.
L2TP (Layer-2 Tunneling Protocol) protokoli Microsoft va Cisco Systems kompaniyalari hamkorligida IETF organizatsiyasida ishlab chiqilgan. L2TP protokoli PPP – trafikni istalgan muhitli ommabop tarmoqlar orqali himoyalangan tunnellashtiruvchi protokoli sifatida ishlab chiqilgan. Bu protokol ustidagi ishlar PPTP va L2F protokollari asosida olib borilgan, va natijada u har ikkala protokolning afzal tomonlarini o’zida aks ettirdi.
PPTP protokolidan farqli, L2TP protokoli IP protokoliga bog’lanmagan, shuning uchun u paketlar kommutatsiyalanadigan tarmoqlarda ishlatilishi mumkin, masalan, ATM (Asynchronus Transfer Mode) yoki kadrlar retranslyatsiyalanadigan tarqmoqlarda (Frame Relay).Bundan tashqari, L2TP protokoliga muhim funksiyalardan hisoblangan ma’lumotlar oqimini boshqarish kiritilgan. L2TP protokoliga PPTP protokoli spetsifikatsiyasida bo’lmagan bir qator himoya funksiyalari ham kiritilgan, xususan IPSec protokollar steki AH va ESP protokollari bilan ishlash yo’lga qo’yilgan. Quyida L2TP protokoli arxitekturasi keltirilgan.
AH va ESP protokollari IPSec protokollar stekining asosiy komponentlari hisoblanadilar.
PPTPprotokoliyetarlihimoyadarajasinita’minlasada, baribirL2TPprotokoli
(IPsecustidaqurilgan) ishonchliroq.IPSecustidaqurilganL2TPprotokoli
“foydalanuvchi” va “kompyuter”
darajalaridaautentifikatsiyanita’minlaydimshuningdekma’lumotlarautentifikatsiy asivashifrlashinibajaradi. Mijoz va VPN serverlar autentifikatsiyasining birinchi bosqichida L2TP protokoli sertifikatlash xizmatidan olingan lokal sertifikatlarni ishlatadi. Mijoz va server sertifikatlar bilan almashinishadi va himoyalangan ESP PA (Securoty Assocation) aloqa qurishadi.
L2TP (IPSec ustida qurilgan) kompyuter autentifikatsiyani yakunlagandan so’ng mijoz darajasidagi autentifikatsiya amalga oshiriladi. Bu autentifikatsiya uchun istalgan protokol, hattoki foydalanuvchi nomi va parolini ochiq tarzda uzatuvchi PAP, to’g’ri keladi. Bu hech qanday xafv – xatar tug’dirmaydi, chunki L2TP (IPSec ustida qurilgan) butun sessiyani shifrlaydi. Kompyuter va foydalanuvchi autentifikatsiyasi uchun turli xil shifrlash kalitlarni qo’llaydigan MSCHAP yordamida foydalanuvchini autentifikatsiyalsh xafvsizlikni yanada mustahkamlashi mumkin.
L2TP protokoli masofadagi provayder serveri va korporativ tarmoq marshrutizatori orasida vujudga keladigan sxemadan foydalanishni mo’ljallaydi. O’zidan oldingi protokollar – PPTP va L2F dan farqli, - L2TP protokoli yakuniy abonentlar o’rtasida bir vaqtning o’zida har biri alhida dastur uchun ajratilishi mumkin bo’lgan bir nechta tunnellar ochish imkonini beradi. Bu xususiyatlar tunnellashtirish imkoniyatlarini kengaytiradi va xafvsizligini ta’minotini kuchaytiradi.
L2TP spetsifikatsiyasiga asosan masofadagi provayderning server vazifasini LAC (L2TP Access Concentrator) konsentratori bajarishi kerak. U L2TP protokolining mijoz qismini tashkillashtiradi va masofadagi foydalanuvchiga uning lokal tarmog’iga Internet orqali tarmoq darajasidagi ulanishni ta’minlaydi. Xuddi PPTP va L2F protokollaridegidek L2TP protokolida ham himoyalangan virtual kanal uch bosqichda tashkil etiladi:
lokal tarmoqning masofadagi serveri bilan ulanishni o’rnatish;
foydalanuvchi autentifikatsiyasi; himoyalangan tunnel konfiguryatsiyasi.
Birinchi bosqichda foydalanuvchi masofadagi lokal tarmoq serveri bilan ulanishni o’rnatish uchun ISP provayderi bilan PPP – ulanishni o’rnatadi. ISP provayderi serverida ishlaydigan LAC konsentratori bu ulanishni qabul qiladi va
PPP lanalni o’rnatadi. So’ngra LAC konsentratori yakuniy uzel va foydalanuvchi qisman autentifikatsiyasini amalga oshiradi. Faqat foydalanuvchi nomini ishlatgan holda ISP provayderi foydalanuvchiga L2TP tunnellashtirish xizmati kerakliligini aniqlaydi.Agar bunday xizmat kerak bo’lsa, LAC konsentratorining keyingi qadami tarmoq LNS serveri manzilini aniqlash bo’ladi, keyinchalik shu manzil bilan tunnelli ulanish amalga oshiriladi. Foydalanuvchi tarmog’iga xizmat ko’rsatuvchi foydalanivchi va LNS server o’rtasidagi moslikni aniqlashni qulaylashtirish uchun ISP provayder qo’llab – quvvatlaydigan ma’lumotlar bazasi ishlatilishi mumkin[3].
LNS serverning IP – adresi aniqlangandan so’ng shu server bilan oldinroq yaratilgan tunnel bor yoki yo’qligi tekshiriladi.Agar bunday tunnel mavjud bo’lmasa, u o’rnatiladi. Provayder LAC konsentratori va lokal tarmoq LNS serveri o’rtasida L2TP protokoli bo’yicha sessiya o’rnatiladi.
LAC va LNS o’rtasida tunnel yaratishda yangi ulanishga shu tunnel sohasida identifikator beriladi, va u Call ID chaqirish identifikatori deb nomlanadi. LAC konsentratori tarmoq LNS serveriga Call ID ma’lumotlari bilan chaqirish xabarini uzatadi.LNS serveri bu chaqiruvni qabul qilishi yoki rad etishi mumkin.
Ikkinchi bosqichda L2TP sessitasi o’rnatilgandan so’ng tarmoq LNS serveri foydalanuvchi autentifikatsiyasini amalga oshiradi.Buning uchun autentifikatsiyalashning standart algoritmlaridan biri, xususan CHAP, ishlatilishi mumkin. Autentifikatsiya protokoli CHAP ishlatilgan holda xabar paketi chaqiruvchi – so’z, foydalanuvchi nomi va shifrlanmagan paroldan tashkil topgan bo’ladi. PAP protokoli uchun bu ma’lumot foydalanuvchi nomi va shifrlanmagan paroldan tashkil topgan bo’ladi. Tarmoq LNS serveri bu ma’limotni autentifikatsiyani amalga oshirish uchun avtomatik tarzda ishlatishi mumkin, bunda masofadagi foydalanuvchi bu ma’lumotlarni qayta kiritib o’tirmaydi va qo’shimcha autentufukatsiya sikli hosil qilinmaydi.
Uchinchi bosqichda foydalanuvchining muvaffaqiyatli autentifikatsiyasida provayder LAC konsentratori va tarmoq LNS serveri orasida har ikki tomonlama himoyalangan tunnel yaratiladi. Masofadagi foydalanuvchidan PPP kadr kelgan vaqtda LAC konsentratori undan kadrni o’rovchi baytlarni, kontrol summa baytlarini olib tashlaydi, so’ngra L2TP protkoli yordamida uni tarmoq protokoliga inkapsulyatsiyalaydi va tunnel orqali LNS serveriga uzatadi. LNS serveri L2TP protokolini ishlatgan holda yetib kelgan paketdan PPP kadrni ajratib oladi va uni standart ko’rinishda qayta ishlaydi.
|
| |
