Kanal sathidagi VPN. OSI modelining kanal sathida ishlatiluvchi VPN vositalari uchinchi (va yuqoriroq) sathning turli xil trafigini inkapsulatsiyalashni ta‘minlashga va «nuqta-nuqta»lidagi virtual tunnellarni (marshrutizatordan marshrutizatorga yoki shaxsiy kompyuterdan lokal hisoblash tarmog‗ining shlyuzigacha) qurishga imkon beradi. Bu guruhga L2F (Layer 2 Forwarding) va PPTP (Point-to-Point Tunneling Protocol) protokollari hamda Cisco Systems va Microsoft firmalarining birga ishlab chiqqan L2TP (Layer 2 Tunneling Protocol) standartidan foydalanuvchi VPN-mahsulotlar taalluqli.
Himoyalangan kanalning protokoli PPTP «nuqta-nuqta» ulanishlarida, masalan, ajratilgan liniyalarda ishlaganda qo‗llaniluvchi PPP protokoliga asoslangan. PPTP protokoli ilovalari va tadbiqiy sath xizmatlari uchun himoya vositalarining shaffofligini ta‘minlaydi va tarmoq sathida ishlatiluvchi protokolga bog‗liq emas. Xususan, PPTP protokoli ham IP tarmoqlarida, ham IPX, DECnet yoki NetBEUL protokollari asosida ishlovchi tarmoqlarda paketlarni tashishi mumkin. Ammo, PPP protokoli hamma tarmoqlarda ham ishlatilmasligi sababli (aksariyat lokal tarmoqlarida kanal sathida Ethernet protokoli ishlasa, global tarmoqlarda IP/MPLS protokollari ishlaydi), uni universal vosita deb bo‗lmaydi. Yirik tarmoqlarning turli qismlarida, umuman aytganda, turli kanal protokollari ishlatiladi. Shu sababli bu geterogen muhit orqali kanal sathining yagona protokoli yordamida himoyalangan kanalni o‗tkazishi mumkin emas.
PPTP protokolining ma‘lumotlarni IP, IPX va NetBEUL protokollari bo‗yicha almashish uchun himoyalangan kanallarni yaratishga imkon beradi. Ushbu protokollarning ma‘lumotlari PPP kadrlariga joylanadi va PPTP protokoli vositasida IP protokolining paketlariga inkapsulyatsiyalanadi va shu protokol yordamida shifrlangan ko‗rinishda har qanday TCP/IP tarmog‗i orqali tashiladi (5.12 - rasm).
Uzatilaligan kadr sarlavhasi
IP
sarlavhasi
GRE
sarlavha
PPP
sarlavha
Shifrlangan ma‘lumot
Uzatilaligan kadr oxiri
IP
5.12 – rasm. PPTP tunneli bo‗yicha jo‗natiluvchi paket tuzilishi
Internet ichida ishlatiluvchi kanal sathining sarlovhasi, masalan, Ethernet kadrining sarlovhasi;
tarkibida paketni jo‗natuvchi va qabul qiluvchi manzillari bo‗lgan IP sarlovhasi;
marshrutlash uchun inkapsulyatsiyalashning umumiy usulining sarlovhasi GRE (Generic Routing Encapsulation);
tarkibida, IPX yoki NetBEUL paketlari bo‗lgan dastlabki paket PPP.
Tarmoqning qabul qiluvchi tuguni IP paketlardan PPP kadrlarni chiqarib oladi, so‗ngra PPP kadrdan dastlabki paket IP, IPX yoki NetBEUL paketini chiqarib olib uni lokal tarmoq bo‗yicha muayyan manzilga jo‗natadi. Kanal sathining inkapsulyatsiyalovchi protokollarining ko‗p protokolliligi (unga PPTP protokol ham taalluqli), ularning yanada yuqoriroq sathning himoyalangan kanal protokollaridan afzalligidir. Masalan, agar korporativ tarmoqda IPX yoki NetBEUL ishlatilsa, IPSec yoki SSL protokollarini ishlatib bo‗lmaydi, chunki ular IP tarmoq sathining faqat bitta protokoliga mo‗ljallangan.
Inkapsulyatsiyalashning mazkur usuli OSI modelining tarmoq sathi protokollariga bog‗liq bo‗lmaslikni ta‘minlaydi va ochiq IP-tarmoqlar orqali har qanday lokal tarmoqlardan (IP, IPX yoki NetBEUL) himoyalangan masofadan foydalanishni amalga oshirishga imkon beradi. PPTP protokoliga muvofiq himoyalangan virtual kanal yaratishda masofadagi foydalanuvchini autentifikatsiyalash va uzatiluvchi ma‘lumotlarni shifrlash amalga oshiriladi (5.13- rasm).
Masofadagi foydalanuvchini autentifikatsiyalashda PPP uchun qo‗llaniladigan turli protokollardan foydalanish mumkin. Microsoft kompaniyasi tomonidan Windows 98/XP/NT/2000ga kiritilgan PPTPning amalga oshirilishida autentifikatsiyalashning quyidagi protokollari madadlanadi: parol bo‗yicha aniqlash protokoli PAP (Pasword Athentication Protocol), qo‗l berishishda aniqlash protokoli MSCHAP (Microsoft Challenge - Handshaking Authentication Protocols) va aniqlash protokoli EAP-TLS (Extensible Authentication Protocol- Transport Layer Security). PAP protokolidan foydalanilganda identifikatorlar va parollar aloqa liniyalari orqali shifrlanmagan ko‗rinishda uzatiladi, bunda autentifikatsiyalashni faqat server o‗tkazadi. MSCHAP va EAP-TLS protokollaridan foydalanilganda niyati buzuq odamning ushlab qolingan shifrlangan parolli paketdan qayta foydalanishidan himoyalash mijoz va VPN- serverni augentifikatsiyalash ta‘minlanadi.
PPTP yordamida shifrlash Internet orqali jo‗natishda ma‘lumotlardan hech kim foydalana olmasligini kafolatlaydi. Shifrlash protokoli MPPE (Microsoft Point-to-Point Encryption) faqat MSCHAP(1 va 2 versiyalari) va EAP-TLS bilan birga ishlay oladi. Mijoz va server orasida ko‘rsatkichlarni muvofiqlashtirilishida shifrlash kalitining uzunligini avtomatik tarzda tanlay oladi. MPPE protokoli uzunligi 40, 56 yoki 128 bit bo‗lgan kalitlar bilan ishlashni amalga oshiradi.
PPTP protokoli har bir olingan paketdan so‗ng shifrlash kalitining qiymatini o‗zgartiradi.
PPTP protokolini qo‗llashning quyidagi ikkita asosiy sxemasi aniqlangan:
masofadan foydalanuvchining Internet bilan to‗g‗ridan-to‗g‗ri ulanishidagi tunnellash sxemasi;
masofadan foydalanuvchining Internet bilan provayder orqali telefon liniyasi bo‗yicha ulanishidagi tunnellash sxemasi.
Tunnellashning birinchi sxemasi amalga oshirilganida (5.14-rasm) masofadan foydalanuvchi Windows 98/XP/NT tarkibidagi masofadan foydalanish servisi RAS (Remote Access Service)ning mijoz qismi yordamida lokal tarmoq bilan masofaviy bog‗lanishni o‗rnatadi. So‗ngra foydalanuvchi lokal tarmoqdan masofadan foydalanish serveriga, uning IP manzilini ko‗rsatib murojaat etadi va u bilan PPTP protokoli bo‗yicha aloqa o‗rnatadi.
Internet
5.14-rasm. Masofadan foydalanuvchi kompyuterini Internetga to‗g‗ridan to‗g‗ri ulanishidagi tunnellash sxemasi
Ta‘kidlash lozimki, L2F texnologiyasidan foydalanilganda provayderning masofadan foydalanish serveri foydalanuvchini autentifikatsiyalashni faqat virtual kanal yaratilishi zarurligini aniqlash va istalgan lokal tarmoqning masofadan foydalanish serveri manzilini topishda ishlatadi. Haqiqiylikni yakuniy tekshirish lokal tarmoqning masofadan foydalanish serveri tomonidan u bilan provayder serveri ulanganidan so‗ng bajariladi.
L2F protokolining quyidagi kamchiliklarini ko‗rsatish mumkin:
unda IP protokolining joriy versiyasi uchun axborot almashinuvining ohirgi nuqtalari orasida kriptohimoyalangan tunnel yaratish ko‗zda tutilmagan;
virtual himoyalangan kanal faqat provayderning masofadan foydalanish serveri va lokal tarmoqning chegara marshrutizatori orasida yaratilishi mumkin. Bunda masofadagi foydalanuvchi kompyuteri bilan provayder serveri orasidagi joy ochiq qoladi.