L2TP protokolining arxitekturasi
AH va ESP (Encapsulation Security Payload) protokollari foydalanuvchilarning, kelishilgan xolda, shifrlash va autentifikatsiyalashning turli kriptografik algoritmlarini ishlatishlariga yo'l qo'yadi. Interpretatsiya domeni DOT (Domain of Interpretation) ishlatiluvchi va algoritmlarning birga ishlashini ta'minoti bo'yicha, gibrid protokol L2TP masofadagi foydalanuvchilarni autentifikatsiyalash, ximoyalangan virtual ulanishni yaratish va ma'lumotlar oqimlarini boshqarish funktsiyalari bilan kengaytirilgan PPP protokolidir.
L2TP protokoli transport sifatida UDP protokolini ishlatadi va tunnelni boshqarishda va ma'lumotlarni tashishda xabarlarning bir xil formatidan foydalanadi.
PPTP protokolidagidek, L2TP protokoli tunnelga uzatish uchun paketni yig'ishda avval PPP axborot ma'lumotlari maydoniga PPP sarlavxasini, so'ngra L2TP sarlavxasini qo'shadi. Shu tariqa olingan paket UDP proto¬kol tomonidan inkapsulyatsiyalanadi. L2TP pro¬tokol jo'natuvchi va qabul qiluvchi porti sifatida UDP-portdan foydalanadi.
PPTP va L2TP protokollarining funktsional imkoniyatlari turlicha, PPTP protokoli faqat IP-tarmoqlarda ishlatilishi mumkin va unga tunnelni yaratishi va ishlatishi uchun aloxida TCP ulanish zarur.
L2TP protokoli nafaqat IP-tarmoqlarda ishlatilishi mumkin, tunnelni yaratish va u orqali ma'lumotlarni tashishda xizmatchi xabarlar bir xil format va protokollardan foydalanadi. L2TP protokoli tashkilot uchun muxim bo'lgan ma'lumotlarning qariyb 100%li xavfsizligini kafolatlashi mumkin.
L2TP protokolining kamchiligi sifatida quyidagilarni ko'rsatish mumkin:
L2TP protokolini amalga oshirishda ISP provayderlarning madadi zarur;
L2TP trafikni tanlangan tunnel doirasida chegaralaydi va foydalanuvchilarning Internetning boshqa qismlaridan foydalanishiga imkon bermaydi;
L2TP protokolida IP protokolining joriy versiyasi uchun axborot almashinuvning oxirgi nuqtalari orasida kriptoximoyalangan tunnel yara¬tish ko'zda tutilmagan;
L2TPning taklif etilgan spetsifikatsiya standart shifrlashni faqat IP-tarmoqlarda IPSec protokoli yordamida ta'minlaydi.
SSL protokoli Netscape Communication kompaniyasi tomonidan mijoz-server ilovalarida axborotni ximoyalangan almashishni amalga oshi¬rish uchun ishlab chiqilgan. Xozirda SSL protokoli OSI modelining seans satxida ishlovchi ximoyalangan kanal protokoli sifatida ishlatiladi. Bu protokol axborot almashish xavfsizligini ta'minlashda axborotni ximoyalashning kriptografik usullaridan foydalanadi.
SSL protokoli tarmoqning ikkita abonenti orasida ximoyalangan kanal qurishning barcha funktsiyalarini jumladan, ularni autentifikatsiyalash, uzatiluvchi ma'lumotlarning konfidentsialligini va yaxlitligini ta'minlash funktsiyalari¬ni bajaradi. Asimmetrik va simmetrik kriptotizimlardan kompleks foydalanish texnologiyasi SSL protokolining yadrosi xisoblanadi.
SSLda ikkala tomonning o'zaro autentifikatsiyalash foydalanuvchilarning (mijoz va server) maxsus sertifikatsiya markazlarining raqamli imzosi bilan tasdiqlangan ochiq kalitlarining raqamli sertifikatlari bilan almashish orqali bajariladi.
SSL protokoli xamma kabul kilgan X.509 standartlarga mos keluvchi sertifikatlarni, xamda sertifkatlarni berishda va xaqiqiyligini tekshirishda ishlatiluvchi PKI ochik kalitlari infratuzilmalarining standartini madadlaydi.
Asimmetrik shifrlash algoritmlari sifatida RSA, hamda Diffi-Xellman algoritmlari ishlatiladi. Simmetrik shifrlash algoritmlari sifatida esa RS2, RS4, DES hamda Triple DES algoritmlari ishlatiladi. Xesh funktsiyalarini hisoblashda MD5 va SHA-1 standartlari ishlatilishi mumkin. SSL protokolining 3.0 versiyasida kriptografik algoritmlari to'plami kengaytiriluvchi hisoblanadi.
SSL protokoliga muvofik kriptohimoyalangan tunnellar virtual tarmoqning oxirgi nuqtalari orasida yaratiladi. Xar bir himoyalangan tunnelni boshlab beruvchilari-tunnel oxirgi nuqtalaridagi komp'yuterlarda ishlovchi mijoz va server.
7.6-rasm
SSL protokoli asosida shakllangan kriptohimoyalangan tunnellar
Ximoyalangan ulanishni shakllantirishda va madadlashda SSL proto-koli mijoz va server o'zaro aloqasining quyidagi bosqichlarini ko'zda tutadi:
SSL sessiyasini o'rnatish;
ximoyalangan o'zaro aloqa.
SSL sessiyani o'rnatish jarayonida quyidagi masalalar yechiladi:
tomonlarni autentifikatsiyalash;
ximoyalangan axborot almashinuvida ishlatiluvchi kriptografik algoritmlar va zichlashtirish algoritmlarini muvofiqlashtirish;
umumiy maxfiy master-kalitni shakllantirish;
axborot almashishni kriptografik ximoyalash uchun shakllantirilgan master-kalit asosida umumiy maxfiy seans kalitlarini generatsiyalash.
Mijoz va server orasida kayta ulanish o'rnatilishida tomonlar, o'zaro kelishuv bo'yicha, oldingi umumiy sir asosida yangi seans kalitlari-ni shakllantirishlari mumkin (ushbu muolaja SSL-sessiyaning davomi deb ataladi).
SSL 3.0 protokoli autentifikatsiyalashning quyidagi uchta rejimini madadlaydi:
Oxirgi variantdan foydalanilganda tomonlarning xakikiyligini kafolatlamasdan axborot almashish xavfsizligi ta'minlanadi. Bu xolda o'zaro aloqadagi tomonlar, aloqa qatnashchilarini almashtirib qo'yish bi-lan bog'lik xujumlardan ximoyalanmaydilar.
SSL protokoliga muvofiq o'zaro aloqadagi tomonlarni autentifikatsiyalashda va umumiy maxfiy kalitni shakllantirishda ko'pincha RSA algoritmidan foydalaniladi.
Ochiq kalitlar va ularning egalari orasidagi muvofiqlik maxsus sertifikatsiya markazlari tomonidan beriluvchi raqamli sertifikatlar yordamida o'rnatiladi. Sertifikat tarkibida quyidagi axborot bo'lgan ma'lumotlar blokidir:
sertifikatsiya markazining nomi;
sertifikat egasining ismi;
sertifikat egasining ochiq kaliti;
sertifikatning ta'sir muddati;
identifikator va sertifikatni ishlashda foydalaniladigan kriptoalgoritmning parametrlari;
sertifikat tarkibidagi barcha ma'lumotlarni tasdiqlovchi serti-fikatsiya markazining raqamli imzosi.
1999 yili SSL 3.0 versiyasi o'rniga, SSL protokoliga asoslangan va xozirda Internet standarti xisoblangan TLS protokoli keldi. SSL 3.0 va TLS protokollari orasidagi fark juda kam.
Nazorat savollari:
Kanal satxida ximoyalangan kanallarni shakllantirish protokollari qanday?
Seans satxida ximoyalangan kanallarni shakllantirish protokollari qanday?
OSI modeli nima?
Xavfsizlik nima?
Do'stlaringiz bilan baham: |