Microsoft Word ax kitob янги doc
-расм. L2TP протоколи асосида туннеллаш схемаси
Download 5.8 Mb.
|
Ахборот хавфсизлиги (word)
|
8.16-расм. L2TP протоколи асосида туннеллаш схемаси.
Биринчи босқичда локал тармоқнинг масофадан фойдаланиш сервери билан уланишни ўрнатиш учун масофадаги фойдаланувчи провайдер ISP билан PPP - улашни бошлаб беради. Провайдер сервери КРда ишловчи фойдаланиш концентратори бу уланишни қабул қилади ва канал PPP™ ўрнатади. Сўнгра фойдаланувчи концентратори LAC охирги узел ва унинг фойдаланувчисини қисман аутентификациялайди. Провайдер ISP фақат фойдаланувчининг исмидан фойдаланган ҳолда унга L2TP туннеллаш сер- висининг кераклигини ҳал қилади. Агар бундай сервис керак бўлса, фойдаланиш концентратори LAC туннели уланиш ўрнатилиши лозим бўлган тармоқ сервери LNS адресини аниқлашга ўтади. Фойдаланувчи ва фойдаланувчи тармоғига хизмат кўрсатувчи сервер LNS орасидаги мувофиқликни аниқлашнинг кулайлигини таъминлаш мақсадида провайдер ISP томонидан ўзининг мижозлари учун мададланувчи маълумотлар базасидан фойдаланиш мумкин. LNS серверининг IP-адреси аниқланганидан сўнг L2TPнинг бу сервер билан туннели бор ёки йўқлиги текширилади. Агар бундай туннел бўлмаса, у ўрнатилади. Провайдернинг фойдаланиш концентратори LAC ва локал тармоқнинг тармоқ сервери LNS орасида L2TP протокол бўйича сессия ўрнатилади. Транспортга ўзаро алоқаннинг "нўқта-нуқта" пакет режимини мадада- лаши талаби қўйилади. LAC ва LNS орасида туннел яратишда бу туннел доирасида янги уланишга чақириш идентификатори Call ID деб аталувчи идентификатор берилади. Концентратор LAC тармоқ серверига ушбу Call ID билан чақириқ хусусидаги билдириш бўлган пакет жўнатади. LNS сервери чақириқни қабул қилиши ёки рад этиши мумкин. Иккинчи босқичда локал тармоқнинг тармоқ сервери LNS фойдала- нувчини аутентификациялаш жараёнини бажаради. Бунинг учун аутентифи- кациялашнинг стандарт алгоритмларидан бири, хусусан CHAP алгоритми ишлатилиши мумкин. Таъкидлаш лозимки, L2TP протоколининг специфи- кациясида аутентификациялаш усулларининг тавсифи келтирилмаган. Чақириқ хусусидаги билдириш таркибида тармоқ сервери LNS томонидан фойдаланувчини аутентификациялаш учун ахборот бўлиши мумкин. Бу ах- боротни концентратор LAC фойдаланувчи билан мулоқот жараёнида йиғади. Аутентификациялашнинг CHAP протоколидан фойдаланилганда билдириш пакетида чақириш-сўзи, фойдаланувчи исми ва унинг жавоби бўлади. PAP протоколи учун бу ахборот фойдаланувчи исми ва шифрлан- маган паролдан иборат бўлади. Тармоқ сервери LNS бу ахборотдан, масо- фадаги фойдаланувчини ўз маълумотларини қайтадан киритишга мажбур қилмаслик ва аутентификациялашнинг қўшимча циклини бажармаслик мақсадида, бирданига фойдаланиш мумкин. Аутентификация натижаси жўнатилишида тармоқ сервери LNS ҳам фойдаланиш концентратори LACга фойдаланувчи узелининг IP-адресини узатиши мумкин. Моҳияти бўйича фойдаланиш концентратори LAC масо- фадаги фойдаланувчи узели ва локал тармоқнинг тармоқ сервери орасида воситачи вазифасини бажаради. Масофадаги узелга корпоратив тармоқнинг адреслар пулидан адреснинг ажратилиши фойдаланувчига провайдер адрес- лар пулидан оддий адрес олинишидаги ноқулайликлардан кутилишига им- кон беради. Учинчи босқичда провайдернинг фойдаланиш концентратори LAC ва локал тармоқнинг сервери LNS орасида ҳимояланган туннел яратилади. На- тижада инкапсуляцияланган кадрлар PPP туннел орқали концентратор LAC ва тармоқ сервери LNS орасида икала йўналишда узатилиши мумкин. Ма- софадаги фойдаланувчидан PPP кадри келганида концентратор LAC ундан кадрни қоплаган байтларни, назорат йиғинди байтларини чиқариб ташлай- ди, сўнгра уни L2TP протокол ёрдамида тармоқ протоколига инкапсуля- циялайди ва туннел орқали тармоқ сервери LNSra жўнатади. LNS сервер L2TP протоколдан фойдаланиб, келган пакетдан PPP кадрни чиқариб олиб ишлайди. Туннелнинг зарурий қийматларини созлаш бошқариш хабарлари ёрдамида амалга оширилади. L2TP протоколи ҳар қандай пакетни коммута- цияловчи транспорт устидан ишлаши мумкин. Умумий ҳолда, бу транспорт, масалан UDP протоколи, пакетларни кафолатли етказиш ни таъминламай- ди. Шу сабабли L2TP протоколи бу масалаларни ҳар бир масофадаги фой- даланувчи учун туннел ичида уланишларни ўрнатиш муолажаларидан фойдаланиб, мустақил ҳал этади. Таъкидлаш лозимки, L2TP протоколи криптоҳимоянинг муайян усул- ларини белгиламайди ва шифрлашни турли стандартларидан фойдаланиш мумкинлигини фараз қилади. Агар ҳимояланган туннелнинг IP-тармоқда шакллантирилиши режалаштирилган бўлса, криптоҳимояни амалга оши- ришда IPSec протоколидан фойдаланилади. L2TP протоколи PPP алгорит- мига нисбатан маълумотларни ҳимоялашнинг юқори савиясини таъминлай- ди, чунки унда 3DES (Triple Data Encryption Standard) шифрлаш алгоритми ишлатилади. Агар ҳимоянинг бундан юқори савияси керак бўлмаса битта 56 хонали калитли DES алгоритмидан фойдаланиш мумкин. Ундан ташқари L2TP протоколи HMAC (Hash Massage Authentication Code) алгоритми ёрдамида маълумотларни аутентификациялашни таъминлайди. Аутентифика- циялаш учун бу алгоритм узунлиги 128 хонага тенг бўлган "хэш" ни ярата- ди. Шундай қилиб, PPTP ва L2TP протоколларининг функционал имко- ниятлари турлича, PPTP протоколи фақат IP-тармоқларда ишлатилиши мумкин ва унга туннелни яратиши ва ишлатиши учун алоҳида TCP уланиш зарур. L2TP протоколи нафақат IP-тармоқларда ишлатилиши мумкин, туннелни яратиш ва у орқали маьлумотларни ташишда хизматчи хабарлар бир хил формат ва протоколлардан фойдаланади. L2TP протоколи ташкилот учун муҳим бўлган маьлумотларнинг қарийб 100%ли хавфсизлигини кафо- латлаши мумкин. L2TP протоколининг камчилиги сифатида қуйидагиларни кўрсатиш мумкин: L2TP протоколини амалга оширишда ISP провайдерларнинг мадади зарур; L2TP трафикни танланган туннел доирасида чегаралайди ва фойда- ланувчиларнинг Шете^инг бошқа қисмларидан фойдаланишига имкон бермайди; L2TP протоколида IP протоколининг жорий версияси учун ахборот алмашинувнинг охирги нуқталари орасида криптоҳимояланган туннел яратиш кўзда тутилмаган; L2TPнинг таклиф этилган спецификацияси стандарт шифрлашни фақат IP-тармоқларда IPSec протоколи ёрдамида таъминлайди. Download 5.8 Mb. Do'stlaringiz bilan baham: 
|