Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги ғаниев С. К
Download 3.91 Mb. Pdf ko'rish
|
axborot-kommunikatsion tizimlar xav- fsizligi
|
8.13-
расм. Масофадан фойдаланувчи компьютерини ISP провайдери орцали телефон линиясидан фойдаланиб Internetга уланишини туннеллаш схемасининг иккита варианти. Схеманинг биринчи вариантининг курилиши протокол РРТРнинг провайдер ISPmnrr масофадан фойдаланиш сервери ва чегара корпоратив маршрутизатор оркали мададланиши тахминига асосланган. Сервер одатда фойдаланувчиларнинг уланишини таъминловчи куп сонли тезкорлиги паст портларга эга. Провайдер КРнинг сервери RAS ва маршрутизатор орасида химояланган канал хрсил булади. Мох,ияти буйича бу - "шлюз-шлюз" хи- лидаги химояланган канал варианти. Бу вариантда масофадан фойдаланувчининг компьютери протокол РРТРни мададламаслиги мумкин. Масофадаги фойдаланувчи стандарт про- токол РРР ёрдамида провайдер К>Рда урнатилган масофадан фойдаланиш сервери RAS билан богланади ва аутентификациялашни провайдерда утайди. Провайдернинг сервери RAS фойдаланувчининг исми буйича фойда- ланувчиларнинг хисоб маълумотлари базасидан маршрутизаторнинг IP- адресини топади. Бу маршрутизатор чегара маршрутизатори ва ушбу фой- даланувчининг локал тармокдан масофадан фойдаланиш сервери хисобланади. Бу маршрутизатор билан провайдер сервери RAS Intrenet оркали РРТР протоколи буйича сессия утказади. Провайдернинг сервери / \ ; RAS локал тармокдан масофадан фойдаланиш серверига фойдаланувчининг идентификаторини ва бошка маълумотларни узатади. Улар асосида бу сер- вер CHAP протоколи буйича фойдаланувчини яна аутентификациялайди. Агар фойдаланувчи иккинчи аутентификациялашдан (бу унинг учун шаф- фоф булади) муваффакиятли утса, провайдернинг RAS H бу тугрида фойда- ланувчини РРР протокол буйича огохдантиради ва сунгра, провайдернинг масофадан фойдаланувчи сервери ва локал тармок, орасида химояланган виртуал канал шаклланади. Масофадан фойдаланувчининг компьютери локал тармок, IP, IPX, ёки NetBIOS билан узаро алока пакетларини РРР кадрларига жойлаб провай- дернинг масофадан фойдаланувчи сервери RASra узатади. Провайдернинг RAS H аталган адрес сифатида чегара маршрутизатори адресини, манба ад- реси сифатида узининг шахсий IP-адресини курсатган хрлда РРР кадрлари- нинг IP пакетларга инкапсуляциясини амалга оширади. Провайдернинг ма- софадан фойдаланувчи сервери ва локал тармок, орасида узатишга аталган РРР пакетлари симметрик шифрда шифрланади. Бунда симметрик махфий калит сифатида CHAP протоколи буйича аутентификациялаш учун провай- дер RASnHHHr хисоб маълумотларни базасида сакланувчи фойдаланувчи па- ролининг дайджести ишлатилади. Симметрик шифрлаш алгоритмлари си- фатида DES ёки RC-4 алгоритм ишлатилади. Тавсиф этилган вариант кенг таркалмади, чунки протокол РРТР, асо- сан, Microsoft компаниясининг махсулотларида - RAS Windows NT 4.0 нинг мижоз ва сервер кисмларида, хамда RAS Windows 98/ХРнинг мижоз кисмида амалга оширилган. Провайдерлар масофадан фойдаланиш сервери сифатида одатда RAS Windows NTra нисбатан кувватлирок, воситалардан фойдаланади. Бунда протокол РРТР Internet провайдерларининг масофадан фойдаланиш серверлари RAS оркали доимо мададланмайди. Ундан ташк,ари бу схемада маълумотлар фойдаланувчи компьютери ва Intrenet провайдери орасида х,имояланмаган х,олда узатилади, натижада унинг хавфсизлиги жид- дий ёмонлашади. Microsoft компанияси томонидан РРТР протоколини куллашнинг яна бир бошк,а схемаси таавсия этилган. Бу схемага биноан РРТР протоколи- нинг провайдернинг масофадан фойдаланиш сервери томонидан мададла- ниши талаб этилмайди. Туннеллашнинг бу варианти (8.13-расм) кенг таркалди. Таъкидлаш лозимки, бу схемада корпоратив тармокнинг чегара мар- шрутизатори, олдинги схемадагидек РРТР протоколни мададлаши шарт. Бундай маршрутизатор сифатида, хусусан, RAS хизмати урнатилган дасту- рий маршрутизатор Windows NT 4.0 ишлатилиши мумкин. Умуман, RAS хизмати ва РРТР протоколи ишлайдиган, масофадаги мижоз компьютер ива корпоратив тармок, ичидаги компьютер орасида химояланган канални яра- тиш мумкин. Ушбу схемага биноан фойдаланувчи икки марта масофадан уланишни урнатиши лозим. Биринчи марта фойдаланувчи провайдернинг масофадан фойдаланиш серверига модем буйича кунгирок, килиб, РРР протоколи буйича у билан алока урнатади ва провайдер ISP томонидан мададланувчи протоколларнинг бирига (РАР ёки CHAP) ёки терминал диалогига мувофик, аутентификациядан утади. ISP провайдерида аутентификациядан муваффак,иятли уттанидан сунг фойдаланувчи локал тармокдан масофадан фойдаланиш сервери билан, унинг IP-адресини курсатиб уланишни урнатади. Натижада масофадаги компьютер ва локал тармок, RAS орасида РРТР протоколи буйича сессия урнатилади. Мижоз яна, энди узининг кор- поратив тармоги серверида аутентификацияланади. Масофадан фойдаланиш сервери фойдаланувчининг хакикийлигини узининг х,исоб маълумотлари ба- заси асосида текширади. Муваффакиятли аутентификациялашдан сунг ах- боротни х,имояланган алмашиш жараёни бошланади. Криптохимояланган туннелнинг чегара курилмаларининг узаро алок,аси учун РРТР протоколида бошк,арувчи хабарлар кузда тутилган булиб, бу бошк,арувчи хабарлар туннелни урнатиш, мададлаш ва узиш учун аталган. Бошк,арувчи хабарларни алмашиш мижоз ва РРТРнинг сервери орасида урнатилувчи ТСР-уланиш буйича амалга оширилади. Бу уланиш буйича узатиладиган пакетларда канал сатхи сарлавх,аси билан бир к,аторда IP протоколининг сарлавхаси, TCP протоколининг сарлавхаси ва пакет маълумотлари сох,асидаги РРТРнинг бошкарувчи хабари булади. |
