Laboratoriya ishi №10 Mavzu:PPTP,L2F,L2TP,va IPsec protokollarini tadqiq etish
PPTP protokoli PPTP (Point-to-Point Tunneling Protocol) - bu standart va xavfli bo'lmagan tarmoqlarda maxsus tunnelni yaratish orqali kompyuterga server bilan xavfsiz ulanishni o'rnatishga imkon beradigan bir nuqtadan nolga o'tadigan tunnel protokoli. PPTP Internet kabi global IP tarmog'i orqali uzatish uchun PPP ramkalarini IP paketlariga joylashtiradi. PPTP ikkita LAN orasidagi tunnel uchun ham ishlatilishi mumkin. PPTP tunnelga xizmat ko'rsatish uchun qo'shimcha TCP ulanishidan foydalanadi.
Protokolning spetsifikatsiyasi 1999 yilda RFC 2637 sifatida "ma'lumotli" sifatida nashr etilgan. U IETF tomonidan tasdiqlanmagan. Protokol IPSec1-ga qaraganda kamroq xavfsiz deb hisoblanadi. PPTP umumiy Routing Encapsulation 2 protokoli yordamida qarama-qarshi tomon bilan doimiy PPP seansini o'rnatish orqali ishlaydi. TCP 1723 portidagi ikkinchi ulanish GRE ulanishini boshlash va boshqarish uchun ishlatiladi. PPTP-ni xavfsizlik devoriga qayta yo'naltirish qiyin, chunki bu bir vaqtning o'zida ikkita tarmoq sessiyasini tashkil etishni talab qiladi.
PPTP trafigi MPPE3 yordamida shifrlanishi mumkin. Mijozlarni autentifikatsiya qilish uchun turli xil mexanizmlardan foydalanish mumkin, ulardan eng xavfsizlari MS-CHAPv2 va EAP-TLS.
Cisco birinchi bo'lib PPTP-ni amalga oshirdi va keyinchalik ushbu texnologiyani Microsoft-ga litsenziyalashtirdi.
PPTP bu Microsoft tomonidan qo'llab-quvvatlanadigan birinchi tunnel protokoli bo'lgani sababli mashhurlikka erishdi. Microsoft Windows-ning barcha versiyalari, Windows 95 OSR2-dan boshlab, PPTP mijozi mavjud, ammo ikkita bir vaqtning o'zida chiquvchi ulanishlarda cheklov mavjud.
L2TP protokoli L2TP protokoli IETF tashkilotida Microsoft va Cisco Systems kompaniyalari qo’llab quvvatlashi orqali ishlab chiqilgan. L2TP protokoli ixtiyoriy muhitli umummaqsad tarmoq orqali PPP-trafikni himoyalangan tunnellash protokoli sifatida ishlab chiqilgan.
PPTPdan farqli holda L2TP protokoli IP protokoliga bog‘langan emas, shu sababali undan paketlarni kommutatsiyalovchi tarmoqlarda, masalan ATM (Asynchronous Transfer Mode) yoki kadrlarni retranslyatsiyalovchi (frame relay) tarmoqlarda foydalanish mumkin.
L2TP protokolida PPTP va L2F protokollarining nafaqat yaxshi xususiyatlari birlashtirilgan, balki yangi funktsiyalar, jumladan IPSec protokollari stekining AH va ESP protokollari bilan ishlash imkoniyati qo‘shilgan.
L2TP protokolining arxitekturasi 1–rasmda keltirilgan.
AH va ESP protokollari foydalanuvchilarning, kelishilgan holda, shifrlash va autentifikatsiyalashning turli kriptografik algoritmlarini ishlatishlariga yo‘l qo‘yadi. Interpretatsiya domeni DOT (Domain of Interpretation) ishlatiluvchi va algoritmlarning birga ishlashini ta’minlaydi.
Mohiyati bo‘yicha, gibrid protokol L2TP masofadagi foydalanuvchilarni autentifikatsiyalash, himoyalangan virtual ulanishni yaratish va ma’lumotlar oqimlarini boshqarish funktsiyalari bilan kengaytirilgan PPP protokolidir.
L2TP protokoli transport sifatida UDP protokolini ishlatadi va tunnelni boshqarishda va ma’lumotlarni tashishda xabarlarning bir xil formatidan foydalanadi.
PPTP protokolidagidek, L2TP protokoli tunnelga uzatish uchun paketni yig‘ishda avval PPP axborot ma’lumotlari maydoniga PPP sarlavhasini, so‘ngra L2TP sarlavhasini qo‘shadi. Shu tariqa olingan paket UDP protokol tomonidan inkapsulyatsiyalanadi. L2TP protokol jo‘natuvchi va qabul qiluvchi porti sifatida UDP-portdan foydalanadi. 2–rasmda L2TP tunneli bo‘yicha jo‘natiluvchi paket strukturasi keltirilgan.
IPSec protokollar steki xavfsizligi siyosatining tanlangan xiliga bog‘liq holda L2TP protokoli UDP-xabarni shifrlashi va unga ESP (Encapsulation Security Payload)ning sarlavhasini va oxirini hamda IPSec ESP Authenticationning oxirini qo‘shishi mumkin. So‘ngra IPga inkapsulyatsiyalash bajariladi. Tarkibida jo‘natuvchi va qabul qiluvchi adreslari bo‘lgan IP-sarlavha qo‘shiladi. Oxirida L2TP ma’lumotlarni uzatishga tayyorlash uchun ikkinchi PPP-inkapsulyatsiyalashni bajaradi.
Kompyuter – qabul qiluvchi ma’lumotlarni qabul qiladi. PPPning sarlavhasi va oxirini ishlaydi. IP sarlavhani olib tashlaydi. IPSec ESP Authentication yordamida IP ning axborot maydoni autentifikatsiyalanadi. IPSec ESP protokoli esa paketning rasshifrovkasida yordam beradi. Keyin kompyuter UDP sarlavhasini ishlaydi va tunnelni identifikatsiyalash uchun L2TP sarlavhasidan foydalanadi. Endi PPP paketning tarkibida faqat foydali ma’lumotlar bo‘ladi, ular ishlanadi va ko‘rsatilgan qabul qiluvchiga yuboriladi.
L2TP protokoli "foydalanuvchi" va "kompyuter" sathlarda autentifikatsiyalashni ta’minlaydi, hamda ma’lumotlarni autentifikatsiyalaydi va shifrlaydi. Mijozlarni va VPN serverlarini autentifikatsiyalashning birinchi bosqichida L2TP sertifikatsiya xizmatidan olingan lokal sertifikatlardan foydalanadi. Mijoz va server sertifikatlar bilan almashishadi va himoyalangan ulanish ESP SA (Security Association)ni yaratishadi.
L2TP kompyuterni autentifikatsiyalashni tugatganidan so‘ng, foydalanuvchi sathda autentifikatsiyalashda foydalanuvchi ismini va parolni ochiq ko‘rinishda uzatuvchi har qanday protokol, xatto PAP, ishlatilishi mumkin. Bu tamomila xavfsiz, chunki L2TP butun sessiyani shifrlaydi. Ammo foydalanuvchini autentifikatsiyalashni, kompyuter va foydalanuvchini autentifikatsiyalashda turli kalitlardan foydalanuvchi MSCHAP yordamida o‘tkazish xavfsizlikni oshirish mumkin.
L2TP protokolining taxmini bo‘yicha provayderning masofadan foydalanish serveri va korporativ tarmoq marshrutizatori orasida tunnel xosil qiluvchi sxemalardan foydalaniladi. Bu protokol oldingilaridan (PPTP va L2F protokollaridan) farqli holda oxirgi abonentlar orasida, har biri aloxida ilovaga ajratilishi mumkin bo‘lgan, bir necha tunnelni birdaniga ochish imkoniyatini taqdim etadi. Bu xususiyat tunnellashning moslanuvchanligini va xavfsizligini ta’minlaydi.
L2TP protokolining spetsifikatsiyasiga binoan provayderning masofadan foydalanish serveri rolini, L2TP protokolining mijoz qismini amalga oshiruvchi va masofadagi foydalanuvchiga uning lokal tarmog‘idan Internet orqali tarmoqli foydalanishni ta’minlovchi, foydalanishning kontsentratori LAC (L2TP Access Concentrator) bajarishi lozim. Lokal tarmoqning masofadan foydalanish serveri sifatida PPP protokoli bilan birga ishlay oluvchi platformalarda ishlovchi tarmoq serveri LNS (L2TP Network Server)dan foydalaniladi (3-rasm).
PPTP va L2F protokollaridek L2TP protokolida himoyalangan virtual kanalni shakllantirish uch bosqichda amalga oshiriladi:
- lokal tarmoqning masofadan foydalanish serveri bilan ulanishni o‘rnatish;
- foydalanuvchini autentifikatsiyalash;
- himoyalangan tunnelni konfiguratsiyalash.
Birinchi bosqichda lokal tarmoqning masofadan foydalanish serveri bilan ulanishni o‘rnatish uchun masofadagi foydalanuvchi provayder ISP bilan PPP – ulashni boshlab beradi. Provayder serveri ISPda ishlovchi foydalanish kontsentratori bu ulanishni qabul qiladi va kanal PPPni o‘rnatadi. So‘ngra foydalanuvchi kontsentratori LAC oxirgi uzel va uning foydalanuvchisini qisman autentifikatsiyalaydi. Provayder ISP faqat foydalanuvchining ismidan foydalangan holda unga L2TP tunnellash servisining kerakligini xal qiladi. Agar bunday servis kerak bo‘lsa, foydalanish kontsentratori LAC tunneli ulanish o‘rnatilishi lozim bo‘lgan tarmoq serveri LNS adresini aniqlashga o‘tadi. Foydalanuvchi va foydalanuvchi tarmog‘iga xizmat ko‘rsatuvchi server LNS orasidagi muvofiqlikni aniqlashning kulayligini ta’minlash maqsadida provayder ISP tomonidan o‘zining mijozlari uchun madadlanuvchi ma’lumotlar bazasidan foydalanish mumkin.
LNS serverining IP-adresi aniqlanganidan so‘ng L2TPning bu server bilan tunneli bor yoki yo‘qligi tekshiriladi. Agar bunday tunnel bo‘lmasa, u o‘rnatiladi. Provayderning foydalanish kontsentratori LAC va lokal tarmoqning tarmoq serveri LNS orasida L2TP protokol bo‘yicha sessiya o‘rnatiladi.
Transportga o‘zaro aloqanning "no‘qta-nuqta" paket rejimini madadalashi talabi qo‘yiladi. LAC va LNS orasida tunnel yaratishda bu tunnel doirasida yangi ulanishga chaqirish identifikatori Call ID deb ataluvchi identifikator beriladi. Kontsentrator LAC tarmoq serveriga ushbu Call ID bilan chaqiriq xususidagi bildirish bo‘lgan paket jo‘natadi. LNS serveri chaqiriqni qabul qilishi yoki rad etishi mumkin.
Ikkinchi bosqichda lokal tarmoqning tarmoq serveri LNS foydalanuvchini autentifikatsiyalash jarayonini bajaradi. Buning uchun autentifikatsiyalashning standart algoritmlaridan biri, xususan CHAP algoritmi ishlatilishi mumkin. Ta’kidlash lozimki, L2TP protokolining spetsifikatsiyasida autentifikatsiyalash usullarining tavsifi keltirilmagan. Chaqiriq xususidagi bildirish tarkibida tarmoq serveri LNS tomonidan foydalanuvchini autentifikatsiyalash uchun axborot bo‘lishi mumkin. Bu axborotni kontsentrator LAC foydalanuvchi bilan muloqot jarayonida yig‘adi. Autentifikatsiyalashning CHAP protokolidan foydalanilganda bildirish paketida chaqirish-so‘zi, foydalanuvchi ismi va uning javobi bo‘ladi. PAP protokoli uchun bu axborot foydalanuvchi ismi va shifrlanmagan paroldan iborat bo‘ladi. Tarmoq serveri LNS bu axborotdan, masofadagi foydalanuvchini o‘z ma’lumotlarini qaytadan kiritishga majbur qilmaslik va autentifikatsiyalashning qo‘shimcha tsiklini bajarmaslik maqsadida, birdaniga foydalanish mumkin.
Autentifikatsiya natijasi jo‘natilishida tarmoq serveri LNS xam foydalanish kontsentratori LACga foydalanuvchi uzelining IP-adresini uzatishi mumkin. Moxiyati bo‘yicha foydalanish kontsentratori LAC masofadagi foydalanuvchi uzeli va lokal tarmoqning tarmoq serveri orasida vositachi vazifasini bajaradi. Masofadagi uzelga korporativ tarmoqning adreslar pulidan adresning ajratilishi foydalanuvchiga provayder adreslar pulidan oddiy adres olinishidagi noqulayliklardan kutilishiga imkon beradi.
Uchinchi bosqichda provayderning foydalanish kontsentratori LAC va lokal tarmoqning serveri LNS orasida himoyalangan tunnel yaratiladi. Natijada inkapsulyatsiyalangan kadrlar PPP tunnel orqali kontsentrator LAC va tarmoq serveri LNS orasida ikala yo‘nalishda uzatilishi mumkin. Masofadagi foydalanuvchidan PPP kadri kelganida kontsentrator LAC undan kadrni qoplagan baytlarni, nazorat yig‘indi baytlarini chiqarib tashlaydi, so‘ngra uni L2TP protokol yordamida tarmoq protokoliga inkapsulyatsiyalaydi va tunnel orqali tarmoq serveri LNSga jo‘natadi. LNS server L2TP protokoldan foydalanib, kelgan paketdan PPP kadrni chiqarib olib ishlaydi.
Tunnelning zaruriy qiymatlarini sozlash boshqarish xabarlari yordamida amalga oshiriladi. L2TP protokoli har qanday paketni kommutatsiyalovchi transport ustidan ishlashi mumkin. Umumiy holda, bu transport, masalan UDP protokoli, paketlarni kafolatli etkazish ni ta’minlamaydi. Shu sababli L2TP protokoli bu masalalarni har bir masofadagi foydalanuvchi uchun tunnel ichida ulanishlarni o‘rnatish muolajalaridan foydalanib, mustaqil xal etadi.
Ta’kidlash lozimki, L2TP protokoli kriptohimoyaning muayyan usullarini belgilamaydi va shifrlashni turli standartlaridan foydalanish mumkinligini faraz qiladi. Agar himoyalangan tunnelning IP-tarmoqda shakllantirilishi rejalashtirilgan bo‘lsa, kriptohimoyani amalga oshirishda IPSec protokolidan foydalaniladi. L2TP protokoli PPP algoritmiga nisbatan ma’lumotlarni himoyalashning yuqori saviyasini ta’minlaydi, chunki unda 3DES (Triple Data Encryption Standard) shifrlash algoritmi ishlatiladi. Agar himoyaning bundan yuqori saviyasi kerak bo‘lmasa bitta 56 xonali kalitli DES algoritmidan foydalanish mumkin. Undan tashqari L2TP protokoli HMAC (Hash Massage Authentication Code) algoritmi yordamida ma’lumotlarni autentifikatsiyalashni ta’minlaydi. Autentifikatsiyalash uchun bu algoritm uzunligi 128 xonaga teng bo‘lgan "xesh"ni yaratadi.
Shunday qilib, PPTP va L2TP protokollarining funktsional imkoniyatlari turlicha, PPTP protokoli faqat IP-tarmoqlarda ishlatilishi mumkin va unga tunnelni yaratishi va ishlatishi uchun aloxida TCP ulanish zarur. L2TP protokoli nafaqat IP-tarmoqlarda ishlatilishi mumkin, tunnelni yaratish va u orqali ma’lumotlarni tashishda xizmatchi xabarlar bir xil format va protokollardan foydalanadi. L2TP protokoli tashkilot uchun muxim bo‘lgan ma’lumotlarning qariyb 100%li xavfsizligini kafolatlashi mumkin.
L2TP protokolining kamchiligi sifatida quyidagilarni ko‘rsatish mumkin:
- L2TP protokolini amalga oshirishda ISP provayderlarning madadi zarur;
- L2TP trafikni tanlangan tunnel doirasida chegaralaydi va foydalanuvchilarning Internetning boshqa qismlaridan foydalanishiga imkon bermaydi;
- L2TP protokolida IP protokolining joriy versiyasi uchun axborot almashinuvning oxirgi nuqtalari orasida kriptohimoyalangan tunnel yaratish ko‘zda tutilmagan;
- L2TPning taklif etilgan spetsifikatsiyasi standart shifrlashni faqat IP-tarmoqlarda IPSec protokoli yordamida ta’minlaydi.
Ipsec (Internet protocol security) bu xavfsizlik protokollari hamda shifrlash algoritmlaridan foydalangan holda tarmoq orqali xavfsiz ma’lumot almashish imkonini beradi. Bu maxsus standart orqali tarmoqdagi kompyuterlarning o‘zaro aloqasida dastur va ma’lumotlar hamda qurilmaviy vositalar bir-biriga mos kelishini ta’minlaydi. Ipsec protokoli tarmoq orqali uzatilayotgan axborotning sirliligini, ya’ni faqatgina yuboruvchi va qabul qiluvchiga tushunarli bo‘lishini, axborotning sofligini hamda paketlarni autentifikatsiyalashni amalga oshiradi. Zamonaviy axborot texnologiyalarni qo‘llash har bir tashkilotning rivojlanishi uchun zaruriy vosita bo‘lib qoldi, Ipsec protokoli esa aynan quyidagilar uchun samarali himoyani ta’minlaydi:
• bosh ofis va filiallarni global tarmoq bilan bog‘laganda;
• uzoq masofadan turib, korxonani internet orqali boshqarishda;
• homiylar bilan bog‘langan tarmoqni himoyalashda;
• elektron tijoratning xavfsizlik darajasini yuksaltirishda.