Toshkent axborot axborot lashtirish texnologiyalari

-rasm. Masofadan foydalanuvchi kompyuterini ISP provayderi orqali telefon

Download 12,16 Mb.

bet	86/136
Sana	09.06.2022
Hajmi	12,16 Mb.
	#646054

1 ... 82 83 84 85 86 87 88 89 ... 136

Bog'liq
2-9

IPSec ESP Authentication

7.13-rasm. Masofadan foydalanuvchi kompyuterini ISP provayderi orqali telefon liniyasidan foydalanib Internetga ulanishini tunnellash sxemasining ikkita varianti.

Sxemaning birinchi variantining qurilishi protokol PPTPning provayder ISPning masofadan foydalanish serveri va chegara korporativ - marshrutizator orqali madadlanish taxminiga asoslangan. Server, odatda, foydalanuvchilarning ulanishini ta’minlovchi ko‘p sonli tezkorligi past portlarga ega. Provayder ISPning serveri RAS va marshrutizator orasida

himoyalangan kanal hosil boMadi. Mohiyati bo'yicha bu - «shlyuz-shlyuz» xilidagi himoyalangan kanal varianti.

Bu variantda masofadan foydalanuvchining kompyuteri protokol PPTPni madadlamasligi mumkin. Masofadagi foydalanuvchi standart protokol PPP yordamida provayder ISPda o‘matilgan masofadan foy dalanish serveri RAS bilan bogManadi va autentifikatsiyalashni provay-derda o‘taydi.

Provayderning serveri RAS foydalanuvchining ismi bo'yicha foy-dalanuvchilarning hisob maMumotlari bazasidan marshrutizatoming IP-adresini topadi. Bu marshrutizator chegara marshrutizatori va ushbu foydalanuvchining lokal tarmoqdan masofadan foydalanish serveri hisoblanadi. Bu marshrutizator bilan provayder serveri RAS Intrenet orqali PPTP protokoli bo‘yicha sessiya 0 ‘tkazadi. Provayderning serveri RAS lokal tarmoqdan masofadan foydalanish serveriga foydalanuvchin ing identifikatorini va boshqa maMumotlami uzatadi. Ular asosida bu server CHAP protokoli bo'yicha foydalanuvchini yana autentifikatsiya-laydi. Agar foydalanuvchi ikkinchi autentifikatsiyalashdan (bu uning uchun shaffof boMadi) muvaffaqiyatli o‘tsa, provayderning RASi bu to‘g‘rida foydalanuvchini PPP protokol bo‘yicha ogohlantiradi va so‘ngra, provayderning masofadan foydalanuvchi serveri va lokal tar moq orasida himoyalangan virtual kanal shakllanadi.

Masofadan foydalanuvchining kompyuteri lokal tarmoq IP, IPX yoki NetBIOS bilan o‘zaro aloqa paketlarini PPP kadrlariga joylab provayderning masofadan foydalanuvchi serveri RASga uzatadi. Provayderning RASi atalgan adres sifatida chegara marshrutizatori adresini, manba adresi sifatida o‘zining shaxsiy IP-adresini ko‘rsatgan holda PPP kadrlarining IP paketlarga inkapsulatsiyasini amalga oshiradi. Provayderning masofadan foydalanuvchi serveri va lokal tarmoq ora sida uzatishga atalgan PPP paketlari simmetrik shifrda shifrlanadi. Bunda simmetrik maxfiy kalit sifatida CHAP protokoli bo‘yicha autenti fikatsiyalash uchun provayder RASining hisob maMumotlari bazasida saqlanuvchi foydalanuvchi parolining daydjesti ishlatiladi. Simmetrik shifrlash algoritmlari sifatida DES yoki RC-4 algoritm ishlatiladi.

Tavsif etilgan variant keng tarqalmadi, chunki protokol PPTP, asosan, Microsoft kompaniyasining mahsulotlarida - RAS Windows NT 4.0 ning mijoz va server qismlarida hamda RAS Windows 98/XPning mijoz qismida amalga oshirilgan. Provayderlar masofadan foydalanish serveri sifatida odatda RAS Windows NTga nisbatan quwatliroq vosita-lardan foydalanadi. Bunda protokol PPTP Internet provayderlarining masofadan foydalanish serverlari RAS orqali doimo madadlanmaydi. Undan tashqari, bu sxemada ma’lumotlar foydalanuvchi kompyuteri va Intrenet provayderi orasida himoyalanmagan holda uzatiladi, natijada, uning xavfsizligi jiddiy yomonlashadi.

Microsoft kompaniyasi tomonidan PPTP protokolini qo'llashning yana bir boshqa sxemasi tavsiya etilgan. Bu sxemaga binoan PPTP pro-tokolining provayderning masofadan foydalanish serveri tomonidan madadlanishi talab etilmaydi. Tunnellashning bu varianti (7.13-rasm) keng tarqaldi.

Ta’kidlash lozimki, bu sxemada korporativ tarmoqning chegara marshrutizatori. oldingi sxemadagidek PPTP protokolni madadlashi shart. Bunday marshrutizator sifatida, xususan, RAS xizmati o‘matilgan dasturiy marshrutizator Windows NT 4.0 ishlatilishi mumkin. Umuman, RAS xizmati va PPTP protokoli ishlaydigan, masofadagi mijoz kom-pyuteri va korporativ tarmoq ichidagi kompyuter orasida himoyalangan kanalni yaratish mumkin.

Ushbu sxemaga binoan foydalanuvchi ikki marta masofadan ulan-ishni o'matishi lozim. Birinchi marta foydalanuvchi provayderning masofadan foydalanish serveriga modem bo'yicha qo‘ng‘iroq qilib, PPP protokoli bo'yicha u bilan aloqa o'matadi va provayder ISP tomonidan madadlanuvchi protokollaming biriga (PAP yoki CHAP) yoki terminal dialogiga muvofiq autentiflkatsiyadan o'tadi. ISP provayderida autenti-fikatsiyadan muvaffaqiyatli o'tganidan so'ng foydalanuvchi lokal tar-moqdan masofadan foydalanish serveri bilan, uning IP-adresini ko'rsatib ulanishni o'matadi. Natijada, masofadagi kompyuter va lokal tarmoq RAS orasida PPTP protokoli bo'yicha sessiya o'matiladi. Mijoz yana, endi o'zining korporativ tarmog'i serverida autentifikatsiyalanadi. Masofadan foydalanish serveri foydalanuvchining haqiqiyligini o'zining hisob ma’lumotlari bazasi asosida tekshiradi. Muvaffaqiyatli autentifi-katsiyalashdan so'ng axborotni himoyalangan almashish jarayoni bosh-lanadi.

Kriptohimoyalangan tunnelning chegara qurilmalarining o'zaro aloqasi uchun PPTP protokolida boshqaruvchi xabarlar ko'zda tutilgan bo'lib, bu boshqaruvchi xabarlar tunnelni o'rnatish, madadlash va uzish uchun atalgan. Boshqaruvchi xabarlami almashish mijoz va PPTPning serveri orasida o'rnatiluvchi TCP-ulanish bo'yicha amalga oshiriladi. Bu ulanish bo'yicha uzatiladigan paketlarda kanal sathi sarlavhasi bilan bir qatorda IP protokolining sarlavhasi, TCP protokolining sarlavhasi va paket ma’lumotlari sohasidagi PPTPning boshqaruvchi xabari bo'ladi.

L2Fprotokoli Cisco System kompaniyasi tomonidan OSI modelin ing kanal sathida himoyalangan virtual tarmoq qurish uchun, PPTP pro-tokoliga altemativ sifatida ishlab chiqilgan. L2F protokoli turli tarmoq protokollari tomonidan madadlanishi bilan ajralib turadi va Internet provayderlari uchun foydalanishda ancha qulay. L2F protokoli maso fadagi foydalanuvchi kompyuteri bilan provayder serveri aloqasini tash-kil etishda masofadan foydalanishninig turli protokollarini (PPP, SLIP va h.) ishlatishga yo'l quyadi. Tunnel orqali paketlarni tashishda ishlati-
luvchi ochiq tarmoq IP protokoli asosida va boshqa, xususan, X.25 pro-tokoli asosida ishlashi mumkin.
L2F protokoli quyidagi xususiyatlarga ega:

- haqiqiylikni tekshiruvchi muayyan protokolga qat’iy bog‘lan-maganlikni taxminlovchi autentifikatsiyalash muolajalarining moslanuv-chanligi;

oxirgi tizimlar uchun shaffofligi, ya’ni lokal tarmoqning ishchi stansiyalari va masofadagi tizimga himoyalash serveridan foydalanish uchun maxsus dasturiy ta’minot talab etilmaydi;

vositalar uchun shaffofligi, ya’ni masofadagi foydalanuvchilarni avtorizatsiyalash lokal tarmoqning masofadan foydalanish serveriga foydalanuvchilarni bevosita ulanishiga o‘xshab amalga oshiriladi;

auditning to'liqligi, ya’ni lokal tarmoq serveridan foydalanish hodisa-sini qaydlash ndfaqat masofadan foydalanish serveri tomonidan, balki provayder serveri tomonidan ham amalga oshiriladi.

L2F protokolining spetsifikatsiyasiga muvofiq himoyalangan tun-nelni hosil qilishda quyidagi protokollar ishlatiladi:

dastlabki inkapsulatsiyalanuvchi protokol - bu protokol (IP, IPX, yoki NetBEUI) asosida lokal tarmoq iihlaydi;

protokol - yo'lovchi - bu protokolga dastlabki protokol inkapsu-latsiyalanadi va bu protokolning o‘zi ham ochiq tarmoq orqali maso fadan foydalanganda inkapsulatsiyalanishi mumkin; PPP protokoli tavsiya etiladi;

boshqaruvchi (inkapsulatsiyalovchi) protokol, tunnelni yara-tishda, madadlashda va uzishda ishlatiladi (bunday protokol sifatida L2F ishlatiladi);

provayder protokoli, inkapsulatsiyalanuvchi protokollarni (dast labki protokol va protokol - yoMovchi) tashishda ishlatiladi; eng ko‘p tarqalgan provayder protokoli IP protokolidir.

Ta’kidlash lozimki, L2F texnologiyasidan foydalanilganda provay-derning masofadan foydalanish serveri foydalanuvchini autentifikatsiya-lashni faqat virtual kanal yaratilishi zarurligini aniqlash va istalgan lokal tarmoqning masofadan foydalanish serveri adresini topishda ishlatadi. Haqiqiylikni yakuniy tekshirish lokal tarmoqning masofadan foydalan ish serveri tomonidan, u bilan provayder serveri ulanganidan so‘ng, ba-jariladi.

L2F protokolining quyidagi kamchiliklarini ko‘rsatish mumkin:

unda IP protokolining joriy versiyasi uchun axborot almashinu-vining oxirgi nuqtalari orasida kriptohimoyalangan tunnel yaratish ko'zda tutilmagan;

virtual himoyalangan kanal faqat provaydeming masofadan foy dalanish serveri va lokal tarmoqning chegara marshrutizatori orasida yaratilishi mumkin, bunda masofadagi foydalanuvchi kompyuteri bilan provayder serveri orasidagi joy ochiq qoladi.

Hozirda L2F protokoli Internet standarti loyihasi maqomiga ega boMgan L2TP protokoliga singdirilgan.
L2TP protokoli IETF tashkilotida Microsoft va Cisco Systems kompaniyalari madadida ishlab chiqilgan. L2TP protokoli ixtiyoriy mu-hitli umummaqsad tarmoq orqali PPP-trafikni himoyalangan tunnellash protokoli sifatida ishlab chiqilgan.

PPTPdan farqli holda L2TP protokoli IP protokoliga bogMangan emas, shu sababali undan paketlami kommutatsiyalovchi tarmoqlarda, masalan, ATM (Asynchronous Transfer Mode) yoki kadrlami retranslat-siyalovchi (frame relay) tarmoqlarda foydalanish mumkin.

L2TP protokol ida PPTP va L2F protokollarining nafaqat yaxshi xususiyatlari birlashtirilgan, balki yangi funksiyalar, jumladan IPSec protokollari stekining AH va ESP protokollari bilan ishlash imkoniyati qo‘shilgan.

L2TP protokolining arxitekturasi 7.14-rasmda keltirilgan.

7.14-rasm. L2TP protokolining arxitekturasi.

IPSec ESP Authentication

Download 12,16 Mb.

Do'stlaringiz bilan baham:

1 ... 82 83 84 85 86 87 88 89 ... 136