-
е
PPP
маълумотлар
ей
Оч
в
PPP
сарлавха
L2TP
сарлавха
UDP
сарлавха
W
IPSec
ESP
сарлавха
IP
сарлавха
Узатиладиган
кадр сарлавхаси
8.15-
расм. L2TP туннели
бўйлаб жўнатиладиган пакет
тузилмаси
шифрлайди. Мижозларни ва VPN серверларини аутентификациялашнинг
биринчи боскичида L2TP сертификация хизматидан олинган локал серти-
фикатлардан фойдаланади. Мижоз ва сервер сертификатлар билан алма-
шишади ва химояланган уланиш ESP SA (Security Association)HH яратиша-
ди.
L2TP
компьютерни аутентификациялашни тугатганидан сунг, фойда-
ланувчи сатхда аутентификациялашда фойдаланувчи исмини ва паролни
очик, куринишда узатувчи хар кандай протокол, хатто РАР, ишлатилиши
мумкин. Бу тамомила хавфсиз, чунки L2TP бутун сессияни шифрлайди.
Аммо фойдаланувчини аутентификациялашни, компьютер ва фойдаланув-
чини аутентификациялашда турли калитлардан фойдаланувчи MS CHAP ёр-
дамида утказиш хавфсизликни ошириш мумкин.
L2TP
протоколининг тахмини буйича провайдернинг масофадан фой-
даланиш сервери ва корпоратив тармок, маршрутизатори орасида туннел
хрсил килувчи схемалардан фойдаланилади. Бу протокол олдингиларидан
(РРТР ва L2F протоколларидан) фаркди хрлда охирги абонентлар орасида,
хар бири алохида иловага ажратилиши мумкин булган, бир неча туннелни
бирданига очиш имкониятини такдим этади. Бу хусусият туннеллашнинг
мосланувчанлигини ва хавфсизлигини таъминлайди.
L2TP
протоколининг спецификациясига биноан провайдернинг масо-
фадан фойдаланиш сервери ролини, L2TP протоколининг мижоз кисмини
амалга оширувчи ва масофадаги фойдаланувчига унинг локал тармогидан
Internet
оркали тармокди фойдаланишни таъминловчи, фойдаланишнинг
концентратори LAC (L2TP Access Concentrator) бажариши лозим. Локал
тармокнинг масофадан фойдаланиш сервери сифатида РРР протоколи би-
лан бирга ишлай олувчи платформаларда ишловчи тармок, сервери LNS
(L2TP Network Server)flaH
фойдаланилади (8.16-расм).
РРТР ва L2F протоколларидек L2TP протоколида химояланган вирту-
ал канални шакллантириш уч боск,ичда амалга оширилади:
-
локал тармок,нинг масофадан фойдаланиш сервери билан уланишни
урнатиш;
-
фойдаланувчини аутентификациялаш;
-
хдмояланган туннелни конфигурациялаш.
Локал тармок;
LAC
фойдаланиш
концентратори
Локал тармок;
Масофадаги
фойдаланувчи
8.16-
расм. L2TP протоколи асосида туннеллаш схемаси.
Биринчи боскичда локал тармокнинг масофадан фойдаланиш сервери
билан уланишни урнатиш учун масофадаги фойдаланувчи провайдер ISP
билан РРР - улашни бошлаб беради. Провайдер сервери КРда ишловчи
фойдаланиш концентратори бу уланишни кабул килади ва канал РРРни
урнатади. Сунгра фойдаланувчи концентратори LAC охирги узел ва унинг
фойдаланувчисини кисман аутентификациялайди. Провайдер ISP факат
фойдаланувчининг исмидан фойдаланган хрлда унга L2TP туннеллаш сер-
висининг кераклигини х,ал килади. Агар бундай сервис керак булса, фойда-
ланиш концентратори LAC туннели уланиш урнатилиши лозим булган
тармок, сервери LNS адресини аниклашга утади. Фойдаланувчи ва фойда-
ланувчи тармогига хизмат курсатувчи сервер LNS орасидаги мувофикликни
аниклашнинг кулайлигини таъминлаш мак,садида провайдер ISP томонидан
узининг мижозлари учун мададланувчи маълумотлар базасидан фойдаланиш
мумкин.
LNS
серверининг IP-адреси аникланганидан сунг Ь2ТРнинг бу сервер
билан туннели бор ёки йуклиги текширилади. Агар бундай туннел булмаса,
у урнатилади. Провайдернинг фойдаланиш концентратори LAC ва локал
тармокнинг тармок, сервери LNS орасида L2TP протокол буйича сессия
урнатилади.
Транспортга узаро алоканнинг "нукта-нукта" пакет режимини мадада-
лаши талаби куйилади. LAC ва LNS орасида туннел яратишда бу туннел
доирасида янги уланишга чакириш идентификатори Call ID деб аталувчи
идентификатор берилади. Концентратор LAC тармок, серверига ушбу Call
ID
билан чакирик, хусусидаги билдириш булган пакет жунатади. LNS сер-
вери чакирикни кабул килиши ёки рад этиши мумкин.
Иккинчи боскичда локал тармокнинг тармок, сервери LNS фойдала-
нувчини аутентификациялаш жараёнини бажаради. Бунинг учун аутентифи-
кациялашнинг стандарт алгоритмларидан бири, хусусан CHAP алгоритми
ишлатилиши мумкин. Таъкидлаш лозимки, L2TP протоколининг специфи-
кациясида аутентификациялаш усулларининг тавсифи келтирилмаган.
Чакирик, хусусидаги билдириш таркибида тармок, сервери LNS томонидан
фойдаланувчини аутентификациялаш учун ахборот булиши мумкин. Бу ах-
боротни концентратор LAC фойдаланувчи билан мулок,от жараёнида
йигади. Аутентификациялашнинг CHAP протоколидан фойдаланилганда
билдириш пакетида чак,ириш-сузи, фойдаланувчи исми ва унинг жавоби
булади. РАР протоколи учун бу ахборот фойдаланувчи исми ва шифрлан-
маган паролдан иборат булади. Тармок, сервери LNS бу ахборотдан, масо-
фадаги фойдаланувчини уз маълумотларини кайтадан киритишга мажбур
килмаслик ва аутентификациялашнинг к,ушимча циклини бажармаслик
максадида, бирданига фойдаланиш мумкин.
Аутентификация натижаси жунатилишида тармок, сервери LNS хам
фойдаланиш концентратори LACra фойдаланувчи узелининг 1Р-адресини
узатиши мумкин. Мохияти буйича фойдаланиш концентратори LAC масо-
фадаги фойдаланувчи узели ва локал тармокнинг тармок, сервери орасида
воситачи вазифасини бажаради. Масофадаги узелга корпоратив тармокнинг
адреслар пулидан адреснинг ажратилиши фойдаланувчига провайдер адрес-
лар пулидан оддий адрес олинишидаги нок,улайликлардан кутилишига им-
кон беради.
Учинчи боскичда провайдернинг фойдаланиш концентратори LAC ва
локал тармокнинг сервери LNS орасида химояланган туннел яратилади. На-
тижада инкапсуляцияланган кадрлар РРР туннел орк,али концентратор LAC
ва тармок, сервери LNS орасида икала йуналишда узатилиши мумкин. Ма-
софадаги фойдаланувчидан РРР кадри келганида концентратор LAC ундан
кадрни крплаган байтларни, назорат йигинди байтларини чикариб ташлай-
ди, сунгра уни L2TP протокол ёрдамида тармок, протоколига инкапсуля-
циялайди ва туннел оркали тармок, сервери LNSra жунатади. LNS сервер
L2TP
протоколдан фойдаланиб, келган пакетдан РРР кадрни чикариб олиб
ипшайди.
Туннелнинг зарурий кийматларини созлаш бошкариш хабарлари ёр-
дамида амалга оширилади. L2TP протоколи хар кандай пакетни коммута-
цияловчи транспорт устидан ишлаши мумкин. Умумий хрлда, бу транспорт,
масалан UDP протоколи, пакетларни кафолатли етказиш ни таъминламай-
ди. Шу сабабли L2TP протоколи бу масалаларни хар бир масофадаги фой-
даланувчи учун туннел ичида уланишларни урнатиш муолажаларидан фой-
даланиб, мустакил х,ал этади.
Таъкидлаш лозимки, L2TP протоколи криптох,имоянинг муайян усул-
ларини белгиламайди ва шифрлашни турли стандартларидан фойдаланиш
мумкинлигини фараз килади. Агар х,имояланган туннелнинг 1Р-тармокда
шакллантирилиши режалаштирилган булса, криптох,имояни амалга оши-
ришда IPSec протоколидан фойдаланилади. L2TP протоколи РРР алгорит-
мига нисбатан маълумотларни химоялашнинг юк,ори савиясини таъминлай-
ди, чунки унда 3DES (Triple Data Encryption Standard) шифрлаш алгоритми
ишлатилади. Агар х,имоянинг бундан юк,ори савияси керак булмаса битта
56 хонали калитли DES алгоритмидан фойдаланиш мумкин. Ундан ташк,ари
L2TP
протоколи НМАС (Hash Massage Authentication Code) алгоритми ёр-
дамида маълумотларни аутентификациялашни таъминлайди. Аутентифика-
циялаш учун бу алгоритм узунлиги 128 хонага тенг булган "хэш"ни ярата-
ди.
Шундай к,илиб, РРТР ва L2TP протоколларининг функционал имко-
ниятлари турлича, РРТР протоколи факат IP-тармокдарда ишлатилиши
мумкин ва унга туннелни яратиши ва ишлатиши учун алохида TCP уланиш
зарур. L2TP протоколи нафакат IP-тармокларда ишлатилиши мумкин, тун-
нелни яратиш ва у оркали маълумотларни ташишда хизматчи хабарлар бир
хил формат ва протоколлардан фойдаланади. L2TP протоколи ташкилот
учун мухим булган маълумотларнинг карийб 100%ли хавфсизлигини кафо-
латлаши мумкин.
L2TP
протоколининг камчилиги сифатида куйидагиларни курсатиш
мумкин:
-
L2TP
протоколини амалга оширишда ISP провайдерларнинг мадади
зарур;
-
L2TP
трафикни танланган туннел доирасида чегаралайди ва фойда-
ланувчиларнинг InternetHHHr бошка кисмларидан фойдаланишига имкон
бермайди;
-
L2TP
протоколида IP протоколининг жорий версияси учун ахборот
алмашинувнинг охирги нукталари орасида криптохимояланган туннел яра
тиш кузда тутилмаган;
-
Ь2ТРнинг таклиф этилган спецификацияси стандарт шифрлашни
факат IP-тармокдарда IPSec протоколи ёрдамида таъминлайди.
Do'stlaringiz bilan baham: |