7-ma’ruza. Kanal va seans satxlarida ximoyalangan kanallarni shakllantirish protokollari reja

Download 245 Kb.

bet	1/2
Sana	10.07.2022
Hajmi	245 Kb.
	#769168

1 2

Bog'liq
7-maruza

Kalit so`zlar

7-MA’RUZA. KANAL VA SEANS SATXLARIDA XIMOYALANGAN KANALLARNI SHAKLLANTIRISH PROTOKOLLARI
REJA

1. Kanal satxida ximoyalangan kanallarni shakllantirish protokollari (RRTR, L2F va L2TP).

2. Seans satxida ximoyalangan kanallarni shakllantirish protokollari (SSL/TLS va SOCKS).

Kalit so`zlar: ximoyalangan kanallar, kanal satxi, pptp, inkapsulyatsiyalash, masofadan foydalanuvchi kompyuteri.

Kanal satxida ximoyalangan kanallarni shakllantirish protokollari.
PPTP (Point-to-Point Tunneling Protocol), L2F (Layer 2 Forwarding Protocol) va L2TP (Layer 2 Tunneling Protocol) protokollar OSI modeli kanal satxining tunnellash protokollari xisoblanadi. Ushbu protokollarning umumiy xususiyati shundan iboratki, ular ochiq tarmoq, masalan Internet orkali korporativ tarmoq resurslaridan himoyalangan ko'p protokolli masofadan foydalanishni tashkil etishda ishlatiladi.
Uchchala protokolni, odatda, himoyalangan kanalni shakllantirish protokollariga mansub deb hisoblaydilar. Ammo bu ta'rifga uzatiladigan ma'lumotlarni tunnellashni va shifrlashni ta'minlovchi faqat PPTP protokoli aniq mos keladi, chunki L2F va L2TP protokollar faqat tunnellash funktsiyalarini madadlaydi. Tunnellangan ma'lumotlarni himoyalash (shifrlash, yaxlitlik, autentifkatsiya) uchun bu protokollarda qo'shimcha, protokol, xususan IPSec protokoli ishlatiladi.
PPTP protokoli ma'lumotlarni IP, IPX va NetBEUI protokollari bo'yicha almashish uchun himoyalangan kanallarni yaratishga imkon beradi. Ushbu protokollar ma'lumotlari PPP kadrlariga joylanadi va so'ngra PPTP protokoli vositasida IP protokolining paketlariga inkapsulyatsiyalanadi va shu protokol yordamida shifrlangan ko'rinishda har kanday TCP/IP tarmog'i orkali tashiladi.
PPP sessiyasi doirasida uzatiluvchi paketlar quyidagi tuzilmaga ega (1-rasm):

Internet ichida ishlatiluvchi kanal satxining sarlavxasi, masalan Ethernet kadrining sarlavxasi;
tarkibida paketni jo'natuvchi va qabul qiluvchi manzillari bo'lgan IP sarlavhasi;
marshrutlash uchun inkapsulyatsiyalashning umumiy usulining sarlavhasi GRE (Generic Routing Encapsulation);
tarkibida IP, IPX yoki NetBEUI paketlari bulgan dastlabki paket
PPP (Point-to-Point Protocol – nuqta-nuqta protokoli).

Uzatiladigan kadr sarlavxasi

IP-sarlavxa

GRE-sarlavxa

PPP-sarlavxa

Shifrlangan malumotlar PPP

Uzatiladigan kadr oxiri

7.1-rasm PPTP tuneli bo`yicha jo`natiladigan paket tuzilmasi

Tarmoqning qabul qiluvchi tuguni IP paketlardan PPP kadrlarni chiqarib oladi, so'ngra PPP kadrdan dastlabki paket IP, IPX yoki NetBEUI paketini chiqarib olib uni lokal tarmoq bo'yicha muayyan manzilga jo'natadi. Kanal sathining inkapsulyatsiyalovchi protokollarining ko'p protokolliligi (unga PPTP protokol ham taalluqli), ularning yanada yuqoriroq sathning himoyalangan kanal protokollaridan afzalligidir.
Masalan, agar korporativ tarmokda IPX yoki NetBEUI ishlatilsa, IPSec yoki SSL protokollarini ishlatib bo'lmaydi, chunki ular IP tarmoq satxining faqat bitta protokoliga mo'ljallangan.
Inkapsulyatsiyalashning mazkur usuli OSI modelining tarmoq satxi protokollariga bog'liq bo'lmaslikni ta'minlaydi va ochiq IP-tarmoqlar orqali har qanday lokal tarmoklardan (IP, IPX yoki NetBEUI) himoyalangan masofadan foydalanishni amalga oshirishga imkon beradi. PPTP protoko-liga muvofik, himoyalangan virtual kanal yaratishda masofadagi foydalanuvchini autentifikatsiyalash va uzatiluvchi ma'lumotlarni shifrlash amalga oshiriladi (2-rasm).

7.2-rasm
PPTP yordamida shifrlash Internet orqali jo'natishda ma'lumotlardan xech kim foydalanaolmasligini kafolatlaydi. Shifrlash protokoli MPPE (Microsoft Point-to-Point Encryption – Microsoftdan nuqtagacha shifrlash) faqat MSCHAP (Microsoft Chal¬lenge - Handshaking Authentication Protocols ) (1 va 2 versiyalari) va EAP-TLS (Extensible Authentication Protocol – kengaytirilgan autentifikatsiya protokoli - Transport Layer Security – transport satxi protokoli) bilan birga ishlay oladi va mijoz va server orasida parametrlar muvofiqlashtirilishida shifrlash kalitining uzunligini avtomatik tarzda tanlay oladi. MPPE protokoli uzunligi 40, 56 yoki 128 bit bo'lgan kalitlar bilan ishlashni madadlaydi.
PPTP protokoli har bir olingan paketdan so'ng shifrlash kaliti kiymatini o'zgartiradi. MMPE protokoli “nukta-nukta” xilidagi aloqa kanallari uchun ishlab chikilgan bo'lib, bu aloqa kanallarida paketlar ketma-ket uzatiladi va ma'lumotlar yo'qotilishi juda kam. Bu vaziyatda navbatdagi paket uchun kalit qiymati oldingi paketning rasshifrovkasi natijasiga bog'liq.
Umumfoydalanuvchi tarmoq orqali virtual tarmoq qurishda bu shartlarga rioya qilish mumkin emas, chunki ma'lumotlar paketi ko'pincha qabul qiluvchiga jo'natilgan ketma-ketlikda kelmaydi. Shuning uchun PPTP shifrlash kalitini o'zgartirishda paketlarning tartib raqamidan foydalanadi. Bu rasshifrovka qilishni oldingi qabul qilingan paketlarga bog'liq bo'lmagan xolda amalga oshirishga imkon beradi.
PPTP protokoli uchun qo'llashning quyidagi ikkita asosiy sxemasi aniklangan:

masofadan foydalanuvchining Internet bilan to'g'ridan-to'g'ri ulanishidagi tunnellash sxemasi;
masofadan foydalanuvchining Internet bilan provayder orqali te-lefon liniyasi bo'yicha ulanishidagi tunnellash sxemasi.

Tunnellashning birinchi sxemasi amalga oshirilganida (3-rasm) masofadan foydalanuvchi Windows 98/XP/NT tarkibidagi masofadan foydalanish servisi RAS (Remote Access Scrvice)ning mijoz qismi yordamida lokal tarmoq bilan masofaviy bog'lanishni o'rnatadi. So'ngra foydalanuv¬chi lokal tarmokdan masofadan foydalanish serveriga, uning IP manzilini ko'rsatib murojaat etadi va u bilan PPTP protokoli bo'yicha aloka o'rnatadi.

7.3-rasm. Masofadan foydalanuvchi komp'yuterini Internetra to'g'ridan-to'g'ri ulanishidagi tunnellash sxemasi
Masofadan foydalanish serveri vazifasini lokal tarmoqning chegara marshrutizatori bajarishi mumkin. Masofadan foydalanuvchining komp'yuterida Windows 98/XP/NT tarkibidagi RAS serverning mijoz qismi va PPTPning drayveri, masofadan foydalanuvchi lokal tarmog'ining serverida esa Windows NT Server tarkibidagi RAS serveri va PPTP drayveri o'rnatilishi shart.
PPTP protokoli o'zaro aloqadagi tomonlar almashadigan bir nechta xizmatchi xabarni aniqlaydi. Xizmatchi xabarlar TCP protokoli bo'yicha uzatiladi. Muvaffaqiyatli autentifikatsiyalashdan so'ng himoyalangan almashish jarayoni boshlanadi. Lokal tarmoqning ichki serverlari PPTP protokolini madadlamasligi mumkin, chunki chegara marshru¬tizator IP paketlardan PPP kadrlarini chiqarib olib ularni lokal tarmok orqali kerakli IP, IPX yoki NetBIOS formatida jo'natadi.
Masofadagi komp'yuterni Internetra telefon liniyasi bo'yicha provay-der ISP (Internet Service Provider) orkali ulashda tunnellash sxemasining ikkita varianti bo'lishi mumkin.

7.4-rasm
Masofadan foydalanuvchi komp'yuterini ISP provayderi ortsali telefon liniyasidan foydalanib Internet ulanishini tunnellash sxemasining ikkita varianti
L2F protokoli Cisco System kompaniyasi tomonidan OSI modelining kanal satxida himoyalangan virtual tarmoq qurish uchun, PPTP protokoliga al'ternativa sifatida ishlab chiqilgan. L2F protokoli turli tarmoq protokollari tomonidan madadlanishi bilan ajralib turadi va Internet provayderlari uchun foydalanishda ancha qulay.
L2F protokoli masofadagi foydalanuvchi komp'yuteri bilan provayder serveri aloqasini tashkil etishda masofadan foydalanishninig turli protokollarini (PPP, SLIP va b.) ishlatishga yo'l qo'yadi. Tunnel orqali paketlarni tashishda ishlatiluvchi ochiq tarmoq IP protokoli asosida va boshqa, xususan X.25 protokoli asosida ishlashi mumkin.
L2F protokoli quyidagi xususiyatlarga ega:

xaqiqiylikni tekshiruvchi muayyan protokolga kat'iy bog'lanmaganlikni taxminlovchi autentifikatsiyalash muolajalarining moslanuvchanligi;
oxirgi tizimlar uchun shaffofligi, ya'ni lokal' tarmoqning ishchi stantsiyalari va masofadagi tizimga himoyalash serveridan foydalanish uchun maxsus DT talab etilmaydi;
vositalar uchun shaffofligi, ya'ni masofadagi foydalanuvchilarni avtorizatsiyalash lokal tarmoqning masofadan foydalanish serveriga foydalanuvchilarni bevosita ulanishiga o'xshab amalga oshiriladi;
auditning to'liqligi, ya'ni lokal tarmoq serveridan foydalanish xodisasini qaydlash nafaqat masofadan foydalanish serveri tmonidan, balki provayder serveri tomonidan ham amalga oshiriladi.

L2F protokolining spetsifikatsiyasiga muvofiq himoyalangan tunnelni hosil qilishda quyidagi protokollar ishlatiladi:

dastlabki inkapsulyatsiyalanuvchi protokol - bu protokol (IP, IPX, yoki NetBEUI) asosida lokal tarmoq ishlaydi;
protokol – “passajir” - bu protokolga dastlabki protokol inkapsulyatsiyalanadi va bu protokolning o'zi ham ochiq tarmoq orqali masofadan foydalanganda inkapsulyatsiyalanashi mumkin; PPP protokoli tavsiya etila¬di;
boshqaruvchi (inkapsulyatsiyalovchi) protokol, tunnelni yaratishda, madadlashda va uzishda ishlatiladi (bunday protokol sifatida L2F ishlati¬ladi);
provayder protokoli, inkapsulyatsiyalanuvchi protokollarni (dastlabki protokol va protokol – “passajir”) tashishda ishlatiladi; eng ko'p tarqalgan provayder protokoli IP protokolidir.
ETF tashkilotida Microsoft va Cisco Systems kompaniyalari madadida ishlab chikilgan. L2TP protokoli ixtiyoriy muhitli umummaqsad tarmoq orqali PPP-trafikni himoyalangan tunnellash protoko¬li sifatida ishlab chikilgan.
PPTPdan farqli holda L2TP protokoli IP protokoliga bog'langan emas, shu sababali undan paketlarni kommutatsiyalovchi tarmoqlarda, masalan ATM (Asynchronous Transfer Mode) yoki kadrlarni retranslyatsiyalovchi (frame relay) tarmoqlarda foydalanish mumkin.
L2TP protokolida PPTP va L2F protokollarining nafaqat yaxshi xususiyatlari birlashtirilgan, balki yangi funktsiyalar, jumladan IPSec pro¬tokollari stekining AH va ESP protokollari bilan ishlash imkoniyati qo'shilgan.

7.5-rasm

Download 245 Kb.

Do'stlaringiz bilan baham:

1 2