Протоколи формування захищених каналів на канальному рівні

Протоколи формування захищених каналів на канальному рівні

Протоколи РРТР (Point-to-Point Tunneling Protocol), L2F (Layer-2 Forwarding) і L2TP (Layer-2 Tunneling Protocol) - це протоколи тунелювання канального рівня моделі OSI. Загальною властивістю цих протоколів є те, що вони використовуються для організації захищеного багатопротокольна віддаленого доступу до ресурсів корпоративної мережі через відкриту мережу, наприклад через Інтернет.

Всі три протоколи - РРТР, L2F і L2TP - зазвичай відносять до протоколів формування захищеного каналу, однак цьому визначенню точно відповідає тільки протокол РРТР, який забезпечує туннелирование і шифрування переданих даних. Протоколи L2F і L2TP підтримують тільки функції тунелювання. Для захисту туннеліруемих даних у цих протоколах необхідно використовувати певний додатковий протокол, зокрема IPSec.

Клієнтське ПЗ зазвичай використовує для віддаленого доступу стандартний протокол канального рівня РРР (Point-to-Point Protocol). Протоколи РРТР, L2F іL2TP грунтуються на протоколі РРР і є його розширеннями. Спочатку протокол РРР, розташований на канальному рівні, був розроблений для інкапсуляції даних та їх доставки по з'єднаннях типу «точка-точка». Цей протокол служить також для організації асинхронних (наприклад, комутованих) з'єднань. Зокрема, в настройках комутованого доступу віддалених систем Windows 2000 або Windows 9х зазвичай вказується підключення до сервера по протоколу РРР.

У набір РРР входять протокол управління з'єднанням LCP (Link Control Protocol), відповідальний за конфігурацію, встановлення, роботу і завершення з'єднання «точка-точка», і протокол управління мережею NCP (Network Control Protocol), здатний инкапсулировать в РРР мережевий рівень для транспортування через з'єднання «точка-точка». Це дозволяє одночасно передавати пакети Novell IPX і Microsoft IP по одному з'єднанню РРР.

Для доставки конфіденційних даних з однієї точки в іншу через мережі загального користування спочатку здійснюється інкапсуляція даних за допомогою протоколу РРР, потім протоколи РРТР і L2TP виконують шифрування даних і власну инкапсуляцию. Після того як тунельний протокол доставляє пакети з початкової точки тунелю в кінцеву, виконується деінкапсуляція.

На фізичному і канальному рівнях протоколи РРТР і L2TP ідентичні, але на цьому їх схожість закінчується і починаються відмінності.

Протокол РРТР

Протокол РРТР (Point-to-Point Tunneling Protocol), розроблений компанією Microsoft за підтримки інших компаній, призначений для створення захищених віртуальних каналів при доступі віддалених користувачів до локальних мереж через Інтернет. Він передбачає створення криптозахищені тунелю на канальному рівні моделі OSI як для випадку прямого з'єднання віддаленого комп'ютера з відкритою мережею, так і для випадку приєднання його до відкритої мережі по телефонній лінії через провайдера.

Протокол РРТР отримав практичне розповсюдження завдяки компанії Microsoft, що реалізувала його у своїх ОС Windows NT / 2000. Деякі виробники МЕ і шлюзів VPN також підтримують цей протокол. Протокол РРТР дозволяє створювати захищені канали для обміну даними по протоколах IP, IPX або NetBEUI. Дані цих протоколів упаковуються в кадри РРР і потім инкапсулируются допомогою протоколу РРТР в пакети протоколу IP, за допомогою якого переносяться в зашифрованому вигляді через будь-яку мережу TCP / IP.

Пакети, передані в рамках сесії РРТР, мають наступну структуру: • заголовок канального рівня, використовуваний всередині Інтернету, наприклад заголовок кадру Ethernet; • заголовок IP, що містить адреси відправника і одержувача пакета; • заголовок загального методу інкапсуляції для маршрутизації GRE (Generic Routing Encapsulation); • вихідний пакет РРР, що включає пакет IP, IPX або NetBEUI.

Приймаючий вузол мережі витягує з пакетів IP кадри РРР, а потім витягує з кадру РРР вихідний пакет IP, IPX або NetBEUI і відправляє його по локальній мережі конкретного адресата. Багатопротокольна інкапсулюючих протоколів канального рівня, до яких відноситься протокол РРТР, є їх важливою перевагою перед протоколами захищеного каналу більш високих рівнів. Наприклад, якщо в корпоративній мережі іспользуютсяIPX або NetBEUI, застосування протоколів IPSec або SSL просто неможливо, оскільки вони орієнтовані тільки на один протокол мережевого рівня IP.

Такий спосіб інкапсуляції забезпечує незалежність від протоколів мережевого рівня моделі OS1 і дозволяє здійснювати захищений віддалений доступ через відкриті IP-мережі до будь локальним мережам (IP, IPX або NetBEUI), Згідно з протоколом РРТР при створенні захищеного віртуального каналу проводиться аутентифікація вилученого користувача і шифрування переданих даних.

Для аутентифікації віддаленого користувача можуть використовуватися різні протоколи, що застосовуються для РРР. У реалізації РРТР, включеної компанією Microsoft в Windows 98 / NT / 2000, підтримуються наступні протоколи аутентифікації: протокол розпізнавання за паролем PAP (Password Authentication Protocol), протокол розпізнавання при рукостисканні MSCHAP (Microsoft Challenge-Handshaking Authentication Protocol) і протоколраспознаванія EAP-TLS ( Extensible Authentication Protocol - Transport Layer Security). При використанні протоколу PAP ідентифікатори і паролі передаються по лінії зв'язку в незашифрованому вигляді, при цьому тільки сервер проводить аутентифікацію клієнта. При використанні протоколів MSCHAPі EAP-TLS забезпечуються захист від повторного використання зловмисником перехоплених пакетів із зашифрованим паролем і взаємна аутентифікація клієнта і VPN-сервера.

Шифрування за допомогою РРТР гарантує, що ніхто не зможе отримати доступ до даних при пересиланні через Internet. Протокол шифрування МРРЕ (Microsoft Point-to-Point Encryption) сумісний тільки з MSCHAP (версії 1 і 2) і EAP-TLS і вміє автоматично вибирати довжину ключа шифрування при узгодженні параметрів між клієнтом і сервером. Протокол МРРЕ підтримує роботу з ключами довжиною 40, 56 або 128 біт. Протокол РРТР змінює значення ключа шифрування після кожного прийнятого пакета.

Для протоколу РРТР визначені дві основні схеми застосування: 1) схема тунелювання при прямому сполученні віддаленого комп'ютера з Інтернетом; 2) схема тунелювання при підключенні віддаленого комп'ютера до Інтернету по телефонній лінії через провайдера.

Розглянемо реалізацію 1-й схеми тунелювання . Віддалений користувач встановлює віддалене з'єднання з локальною мережею за допомогою клієнтської частини сервісу віддаленого доступу RAS (Remote Access Service), що входить до складу Windows 98 / NT. Потім користувач звертається до сервера віддаленого доступу локальної мережі, вказуючи його IP-адресу, і встановлює з ним зв'язок по протоколу РРТР.

Функції сервера віддаленого доступу може виконувати прикордонний маршрутизатор локальної мережі. На комп'ютері віддаленого користувача повинні бути встановлені клієнтська частина сервісу RAS і драйвер РРТР, які входять до складу Windows 98 / NT, а на сервері віддаленого доступу локальної мережі - сервер RAS і драйвер РРТР, що входять до складу Windows NT Server. Протокол РРТР визначає кілька службових повідомлень, якими обмінюються взаємодіючі сторони. Службові повідомлення передаються по протоколу TCP. Після успішної аутентифікації починається процес захищеного інформаційного обміну. Внутрішні сервери локальної мережі можуть не підтримувати протокол РРТР, оскільки прикордонний маршрутизатор витягує кадри РРР з пакетів IP і посилає їх по локальній мережі в необхідному форматі - IP, IPX або NetBIOS.

2-а схема тунелювання не отримала широкого розповсюдження.

Протокол L2TP

Протокол L2F (Layer-2 Forwarding) був розроблений компанією Cisco Systems для побудови захищених віртуальних мереж на канальному рівні моделіOSI як альтернатива протоколу РРТР.

Проте в даний час він фактично поглинений протоколом L2TP, тому далі будуть розглядатися основні можливості і властивості протоколаL2TP.

Протокол L2TP (Layer-2 Tunneling Protocol) розроблений в організації IETF (Internet Engineering Task Force) за підтримки компаній Microsoft і CiscoSystems. Протокол L2TP розроблявся як протокол захищеного тунелювання РРР-трафіку через мережі загального призначення з довільною середовищем. Робота над цим протоколом велася на основі протоколів РРТР і L2F, і в результаті він увібрав в себе кращі якості вихідних протоколів.

На відміну від РРТР, протокол L2TP не прив'язаний до протоколу IP, тому він може бути використаний в мережах з комутацією пакетів, наприклад в мережах ATM (Asynchronous Transfer Mode) або в мережах з ретрансляцією кадрів (frame relay). Крім того, в протокол L2TP додана важлива функція управління потоками даних, а також ряд відсутніх у специфікації протоколу РРТР функцій захисту, зокрема, включена можливість роботи з протоколами АН і ESP стека протоколів IPSec .

По суті, гібридний протокол L2TP являє собою розширення протоколу РРР функціями аутентифікації віддалених користувачів, створення захищеного віртуального з'єднання і управління потоками даних.

Протокол L2TP застосовує в якості транспорту протокол UDP і використовує однаковий формат повідомлень як для управління тунелем, так і для пересилання даних.

Хоча протокол РРТР забезпечує достатній ступінь безпеки, але все ж протокол L2TP (поверх IPSec) надійніше. Протокол L2TP (поверх IPSec) забезпечує аутентифікацію на рівнях «користувач» і «комп'ютер», а також виконує аутентифікацію і шифрування даних.

Після того як L2TP (поверх IPSec) завершує процес аутентифікації комп'ютера, виконується аутентифікація на рівні користувача.

На відміну від своїх попередників - протоколів РРТР і L2F, протокол L2TP надає можливість відкривати між кінцевими абонентами відразу декілька тунелів, кожен з яких може бути виділений для окремого додатка. Ці особливості забезпечують гнучкість і безпеку тунелювання.

Згідно специфікації протоколу L2TP роль серверу віддаленого доступу провайдера повинен виконувати концентратор доступу LAC (L2TP AccessConcentrator), який забезпечує віддаленому користувачеві мережевий доступ до його локальної мережі через Інтернет. Як сервер віддаленого доступу локальної мережі повинен виступати мережевий сервер LNS (L2TP Network Server), що функціонує на сумісних з протоколом РРР платформах .

Формування захищеного віртуального каналу в протоколі L2TP здійснюється в три етапи: • встановлення з'єднання з сервером віддаленого доступу локальної мережі; • аутентифікація користувача; • конфігурування захищеного тунелю.

Слід зазначити, що протокол L2TP не визначає конкретних методів криптозахисту і передбачає можливість застосування різних стандартів шифрування. Якщо захищений тунель планується сформувати в IP-мережах, тоді для реалізація криптозахисту використовується протокол IPSec. Протокол L2TP поверх IPSec забезпечує більш високий ступінь захисту даних, ніж РРТР, оскільки використовує алгоритм шифрування 3DES або AES. Якщо такий високий рівень захисту не потрібен, можна використовувати алгоритм DES з одним 56-розрядним ключем. Крім того, за допомогою алгоритму НМАС (Hash Message Authentication Code) протокол L2TP забезпечує аутентифікацію даних, для чого цей алгоритм створює хеш довжиною 128 розрядів.

Таким чином, функціональні можливості протоколів РРТР і L2TP різні. Протокол РРТР може застосовуватися тільки в IP-мережах. Протокол L2TPможет використовуватися не тільки в IP-мережах. Протокол L2TP поверх IPSec пропонує більше рівнів безпеки, ніж РРТР, і може гарантувати майже 100% -ю безпеку важливих для організації даних.

Однак при всіх своїх перевагах протокол L2TP не зміг подолати ряд недоліків тунельної передачі даних на канальному рівні: • для реалізації протоколу L2TP необхідна підтримка провайдерів ISP; • протокол L2TP обмежує трафік рамками обраного тунелю і позбавляє користувачів доступу до інших частин Інтернету; • специфікація L2TP забезпечує стандартне шифрування тільки в IP-мережах за допомогою протоколу IPSec.

Компанія «Сучасні системи безпеки бізнесу» активно впроваджує передові технології в сфери безпеки бізнесу та технічного захисту інформації. Основними напрямками нашої діяльності є: пошук закладних пристроїв (захист від прослуховування, прихованих камер і т.д.); проектування, монтаж і обслуговування систем безпеки бізнесу: відеоспостереження; контроль доступу; облік робочого часу; охоронна і пожежна сигналізаціявимірювання тепловтрат приміщень та рекомендації щодо теплоізоляції; вимірювання радіоактивного фону в приміщеннях і на територіях. Дзвоніть нам за вказаним номером телефону і ми відповімо на всі Ваші запитання:

(044) 227-90-21

(096) 875-77-51

(099) 448-83-83



Каталог товарів
Цiкавi записи Останні новини