|
8.13-
расм. Масофадан фойдаланувчи компьютерини ISP провайдери орцали телефон
линиясидан фойдаланиб Internetга уланишини туннеллаш схемасининг иккита
варианти.
Схеманинг биринчи вариантининг курилиши протокол РРТРнинг
провайдер ISPmnrr масофадан фойдаланиш сервери ва чегара корпоратив
маршрутизатор оркали мададланиши тахминига асосланган. Сервер одатда
фойдаланувчиларнинг уланишини таъминловчи куп сонли тезкорлиги паст
портларга эга. Провайдер КРнинг сервери RAS ва маршрутизатор орасида
химояланган канал хрсил булади. Мох,ияти буйича бу - "шлюз-шлюз" хи-
лидаги химояланган канал варианти.
Бу вариантда масофадан фойдаланувчининг компьютери протокол
РРТРни мададламаслиги мумкин. Масофадаги фойдаланувчи стандарт про-
токол РРР ёрдамида провайдер К>Рда урнатилган масофадан фойдаланиш
сервери RAS билан богланади ва аутентификациялашни провайдерда
утайди.
Провайдернинг сервери RAS фойдаланувчининг исми буйича фойда-
ланувчиларнинг хисоб маълумотлари базасидан маршрутизаторнинг IP-
адресини топади. Бу маршрутизатор чегара маршрутизатори ва ушбу фой-
даланувчининг локал тармокдан масофадан фойдаланиш сервери
хисобланади. Бу маршрутизатор билан провайдер сервери RAS Intrenet
оркали РРТР протоколи буйича сессия утказади. Провайдернинг сервери
/ \ ;
RAS
локал тармокдан масофадан фойдаланиш серверига фойдаланувчининг
идентификаторини ва бошка маълумотларни узатади. Улар асосида бу сер-
вер CHAP протоколи буйича фойдаланувчини яна аутентификациялайди.
Агар фойдаланувчи иккинчи аутентификациялашдан (бу унинг учун шаф-
фоф булади) муваффакиятли утса, провайдернинг RAS
H
бу тугрида фойда-
ланувчини РРР протокол буйича огохдантиради ва сунгра, провайдернинг
масофадан фойдаланувчи сервери ва локал тармок, орасида химояланган
виртуал канал шаклланади.
Масофадан фойдаланувчининг компьютери локал тармок, IP, IPX, ёки
NetBIOS
билан узаро алока пакетларини РРР кадрларига жойлаб провай-
дернинг масофадан фойдаланувчи сервери RASra узатади. Провайдернинг
RAS
H
аталган адрес сифатида чегара маршрутизатори адресини, манба ад-
реси сифатида узининг шахсий IP-адресини курсатган хрлда РРР кадрлари-
нинг IP пакетларга инкапсуляциясини амалга оширади. Провайдернинг ма-
софадан фойдаланувчи сервери ва локал тармок, орасида узатишга аталган
РРР пакетлари симметрик шифрда шифрланади. Бунда симметрик махфий
калит сифатида CHAP протоколи буйича аутентификациялаш учун провай-
дер RASnHHHr хисоб маълумотларни базасида сакланувчи фойдаланувчи па-
ролининг дайджести ишлатилади. Симметрик шифрлаш алгоритмлари си-
фатида DES ёки RC-4 алгоритм ишлатилади.
Тавсиф этилган вариант кенг таркалмади, чунки протокол РРТР, асо-
сан, Microsoft компаниясининг махсулотларида - RAS Windows NT 4.0
нинг мижоз ва сервер кисмларида, хамда RAS Windows 98/ХРнинг мижоз
кисмида амалга оширилган. Провайдерлар масофадан фойдаланиш сервери
сифатида одатда RAS Windows NTra нисбатан кувватлирок, воситалардан
фойдаланади. Бунда протокол РРТР Internet провайдерларининг масофадан
фойдаланиш серверлари RAS оркали доимо мададланмайди. Ундан ташк,ари
бу схемада маълумотлар фойдаланувчи компьютери ва Intrenet провайдери
орасида х,имояланмаган х,олда узатилади, натижада унинг хавфсизлиги жид-
дий ёмонлашади.
Microsoft
компанияси томонидан РРТР протоколини куллашнинг яна
бир бошк,а схемаси таавсия этилган. Бу схемага биноан РРТР протоколи-
нинг провайдернинг масофадан фойдаланиш сервери томонидан мададла-
ниши талаб этилмайди. Туннеллашнинг бу варианти (8.13-расм) кенг
таркалди.
Таъкидлаш лозимки, бу схемада корпоратив тармокнинг чегара мар-
шрутизатори, олдинги схемадагидек РРТР протоколни мададлаши шарт.
Бундай маршрутизатор сифатида, хусусан, RAS хизмати урнатилган дасту-
рий маршрутизатор Windows NT 4.0 ишлатилиши мумкин. Умуман, RAS
хизмати ва РРТР протоколи ишлайдиган, масофадаги мижоз компьютер ива
корпоратив тармок, ичидаги компьютер орасида химояланган канални яра-
тиш мумкин.
Ушбу схемага биноан фойдаланувчи икки марта масофадан уланишни
урнатиши лозим. Биринчи марта фойдаланувчи провайдернинг масофадан
фойдаланиш серверига модем буйича кунгирок, килиб, РРР протоколи
буйича у билан алока урнатади ва провайдер ISP томонидан мададланувчи
протоколларнинг бирига (РАР ёки CHAP) ёки терминал диалогига мувофик,
аутентификациядан утади. ISP провайдерида аутентификациядан
муваффак,иятли уттанидан сунг фойдаланувчи локал тармокдан масофадан
фойдаланиш сервери билан, унинг IP-адресини курсатиб уланишни
урнатади. Натижада масофадаги компьютер ва локал тармок, RAS орасида
РРТР протоколи буйича сессия урнатилади. Мижоз яна, энди узининг кор-
поратив тармоги серверида аутентификацияланади. Масофадан фойдаланиш
сервери фойдаланувчининг хакикийлигини узининг х,исоб маълумотлари ба-
заси асосида текширади. Муваффакиятли аутентификациялашдан сунг ах-
боротни х,имояланган алмашиш жараёни бошланади.
Криптохимояланган туннелнинг чегара курилмаларининг узаро
алок,аси учун РРТР протоколида бошк,арувчи хабарлар кузда тутилган
булиб, бу бошк,арувчи хабарлар туннелни урнатиш, мададлаш ва узиш учун
аталган. Бошк,арувчи хабарларни алмашиш мижоз ва РРТРнинг сервери
орасида урнатилувчи ТСР-уланиш буйича амалга оширилади. Бу уланиш
буйича узатиладиган пакетларда канал сатхи сарлавх,аси билан бир к,аторда
IP
протоколининг сарлавхаси, TCP протоколининг сарлавхаси ва пакет
маълумотлари сох,асидаги РРТРнинг бошкарувчи хабари булади.
Do'stlaringiz bilan baham: |
