Протоколи формування захищених каналів на канальному рівні, Your Private Network

Протоколи РРТР (Point-to-Point Tunneling Protocol), L2F (Layer-2 Forwarding) та L2TP (Layer-2 Tunneling Protocol) – це протоколи тунелювання канального рівня моделі OSI. Загальною властивістю цих протоколів є те, що вони використовуються для організації захищеного віддаленого багатопротокольного доступу до ресурсів корпоративної мережі через відкриту мережу, наприклад через Інтернет.

Всі три протоколи - РРТР, L2F і L2TP - зазвичай відносять до протоколів формування захищеного каналу, проте цьому визначенню точно відповідає тільки протокол РРТР, який забезпечує тунелювання і шифрування даних, що передаються. Протоколи L2F та L2TP підтримують лише функції тунелювання. Для захисту даних, що тунелюються, в цих протоколах необхідно використовувати деякий додатковий протокол, зокрема IPSec.

Клієнтське програмне забезпечення зазвичай використовує для віддаленого доступу стандартний протокол канального рівня РРР (Point-to-Point Protocol). Протоколи РРТР, L2F і L2TP ґрунтуються на протоколі РРР та є його розширеннями. Спочатку протокол РРР, розташований на канальному рівні, був розроблений для інкапсуляції даних та їх доставки за з'єднаннями типу «крапка-крапка». Цей протокол також служить для організації асинхронних (наприклад, комутованих) з'єднань. Зокрема, в налаштуваннях комутованого доступу віддалених систем Windows 2000 або Windows 9х зазвичай вказується підключення до сервера протоколу РРР.

До набору РРР входять протокол керування з'єднанням LCP (Link Control Protocol), відповідальний за конфігурацію, встановлення, роботу та завершення з'єднання «точка-точка», та протокол керування мережею NCP (Network Control Protocol), здатний інкапсулювати в РРР протоколи мережевогорівня для транспортування через з'єднання «крапка-крапка». Це дозволяє одночасно передавати пакети Novell IPX та Microsoft IP по одному з'єднанню РРР.

Для доставки конфіденційних даних з однієї точки до іншої через мережі загального користування спочатку проводиться інкапсуляція даних за допомогою протоколу РРР, потім протоколи РРТР і L2TP виконують шифрування даних та власну інкапсуляцію. Після того, як тунельний протокол доставляє пакети з початкової точки тунелю в кінцеву, виконується деінкапсуляція.

На фізичному та канальному рівнях протоколи РРТР та L2TP ідентичні, але на цьому їх схожість закінчується та починаються відмінності.

Протокол РРТР

Протокол РРТР набув практичного поширення завдяки компанії Microsoft, що реалізувала його у Windows NT/2000. Деякі виробники МЕ та шлюзів VPN також підтримують цей протокол. Протокол РРТР дозволяє створювати захищені канали обмінюватись даними за протоколами IP, IPX чи NetBEUI. Дані цих протоколів упаковуються в кадри РРР і потім інкапсулюються за допомогою протоколу РРТР пакети протоколу IP, за допомогою якого переносяться в зашифрованому вигляді через будь-яку мережу TCP/IP.

Заголовок кадра передачіIP- заголовокGRE- заголовокРРР- заголовокЗашифровані дані PPPЗакінчення кадра передачі

Мал. 11.1. Структура пакета для пересилання тунелем РРТР

Такий спосіб інкапсуляції забезпечує незалежність від протоколів мережевого рівня моделі OS1 і дозволяє здійснювати захищений віддалений доступ через відкриті IP-мережі до будь-яких локальних мереж (IP, IPX або NetBEUI).проводиться аутентифікація віддаленого користувача та шифрування переданих даних (рис. 11.2).

формування

Для автентифікації віддаленого користувача можуть використовуватись різні протоколи, які застосовуються для РРР. У реалізації РРТР, включеної компанією Microsoft у Windows 98/NT/2000, підтримуються такі протоколи аутентифікації: протокол розпізнавання паролем PAP (Password Authentication Protocol), протокол розпізнавання при рукостисканні MSCHAP (Microsoft Challenge-Handshaking Authentication Protocol) і протокол розпізнавання Extensible Authentication Protocol - Transport Layer Security). При використанні протоколу PAP ідентифікатори та паролі передаються по лінії зв'язку в незашифрованому вигляді, лише сервер проводить аутентифікацію клієнта. При використанні протоколів MSCHAP та EAP-TLS забезпечуються захист від повторного використання зловмисником перехоплених пакетів із зашифрованим паролем та взаємна автентифікація клієнта та VPN-сервера.

Шифрування за допомогою РРТР гарантує, що ніхто не зможе отримати доступ до даних під час пересилання через Internet. Протокол шифрування МРРЕ (Microsoft Point-to-Point Encryption) сумісний лише з MSCHAP (версії 1 і 2) та EAP-TLS і вміє автоматично вибирати довжину ключа шифрування за умови узгодження параметрів між клієнтом і сервером. Протокол МРРЕ підтримує роботу із ключами довжиною 40, 56 чи 128 біт. Протокол РРТР змінює значення ключа шифрування після кожного пакета.

формування

Функції сервера віддаленого доступу може виконувати прикордонний маршрутизатор локальної мережі. На комп'ютері віддаленого користувача мають бути встановлені клієнтська частина сервісу RAS та драйвер РРТР, які входять до складу Windows 98/NT, а на сервері віддаленого доступу локальної мережісервер RAS та драйвер РРТР, що входять до складу Windows NT Server. Протокол РРТР визначає кілька службових повідомлень, якими обмінюються сторони, що взаємодіють. Службові повідомлення надсилаються за протоколом TCP. Після успішної аутентифікації розпочинається процес захищеного інформаційного обміну. Внутрішні сервери локальної мережі можуть не підтримувати протокол РРТР, оскільки прикордонний маршрутизатор витягує кадри РРР з пакетів IP і надсилає їх локальною мережею в необхідному форматі — IP, IPX або NetBIOS.

2-а схема тунелювання не набула широкого поширення.

Протокол L2TP

Протокол L2F (Layer-2 Forwarding) розроблено компанією Cisco Systems для побудови захищених віртуальних мереж на канальному рівні моделі OSI як альтернатива протоколу РРТР.

Проте в даний час він фактично поглинений протоколом L2TP, тому будуть розглядатися основні можливості та властивості протоколу L2TP.

Протокол L2TP (Layer-2 Tunneling Protocol) розроблений в організації Internet Engineering Task Force (IETF) за підтримки компаній Microsoft і CiscoSystems. Протокол L2TP розроблявся як протокол захищеного тунелювання РРР-трафіку через мережі загального призначення з довільним середовищем. Робота над цим протоколом велася на основі протоколів РРТР та L2F, і в результаті він увібрав у себе найкращі якості вихідних протоколів.

На відміну від РРТР, протокол L2TP не прив'язаний до протоколу IP, тому він може бути використаний у мережах з комутацією пакетів, наприклад, у мережах ATM (Asynchronous Transfer Mode) або в мережах з ретрансляцією кадрів (frame relay). Крім того, до протоколу L2TP додано важливу функцію управління потоками даних, а також ряд відсутніх у специфікації протоколу РРТР функцій захисту, зокрема,включено можливість роботи з протоколами АН та ESP стека протоколів IPSec (рис. 11.4).

захищених

По суті, гібридний протокол L2TP є розширенням протоколу РРР функціями автентифікації віддалених користувачів, створення захищеного віртуального з'єднання та управління потоками даних.

Протокол L2TP застосовує як транспорт протокол UDP і використовує однаковий формат повідомлень як для управління тунелем, так і для пересилання даних.

Хоча протокол РРТР забезпечує достатній ступінь безпеки, проте протокол L2TP (поверх IPSec) надійніше. Протокол L2TP (поверх IPSec) забезпечує аутентифікацію на рівнях «користувач» та «комп'ютер», а також виконує аутентифікацію та шифрування даних.

Після того як L2TP (поверх IPSec) завершує процес аутентифікації комп'ютера, аутентифікація виконується на рівні користувача.

На відміну від своїх попередників - протоколів РРТР і L2F, протокол L2TP надає можливість відкривати між кінцевими абонентами відразу кілька тунелів, кожен з яких може бути виділений для окремої програми. Ці особливості забезпечують гнучкість та безпеку тунелювання.

Відповідно до специфікації протоколу L2TP, роль сервера віддаленого доступу провайдера повинен виконувати концентратор доступу LAC (L2TP AccessConcentrator), який забезпечує віддаленому користувачеві мережевий доступ до його локальної мережі через Інтернет. Як сервер віддаленого доступу локальної мережі повинен виступати мережевий сервер LNS (L2TP Network Server), що функціонує на сумісних з протоколом РРР платформах (рис. 11.5).

формування

Формування захищеного віртуального каналу в протоколі L2TP здійснюється в три етапи: • встановлення з'єднання з сервером віддаленогодоступу до локальної мережі; • автентифікація користувача; • конфігурування захищеного тунелю.

Слід зазначити, що протокол L2TP не визначає конкретних методів криптозахисту та передбачає можливість застосування різних стандартів шифрування. Якщо захищений тунель планується сформувати в IP-мережах, тоді для реалізації криптозахисту використовується протокол IPSec. Протокол L2TP поверх IPSec забезпечує більш високий рівень захисту даних, ніж РРТР, оскільки використовує алгоритм шифрування 3DES чи AES. Якщо такий високий рівень захисту не потрібний, можна використовувати алгоритм DES з одним 56-розрядним ключем. Крім того, за допомогою алгоритму НМАС (Hash Message Authentication Code) протокол L2TP забезпечує аутентифікацію даних, навіщо цей алгоритм створює хеш довжиною 128 розрядів.

Таким чином, функціональні можливості протоколів РРТР та L2TP різні. Протокол РРТР може застосовуватись лише в IP-мережах. Протокол L2TP може використовуватись не тільки в IP-мережах. Протокол L2TP поверх IPSec пропонує більше рівнів безпеки, ніж РРТР, і може гарантувати майже 100% безпеку важливих для організації даних.

Однак за всіх своїх переваг протокол L2TP не зміг подолати ряд недоліків тунельної передачі даних на канальному рівні: • для реалізації протоколу L2TP необхідна підтримка провайдерів ISP; • протокол L2TP обмежує трафік рамками обраного тунелю та позбавляє користувачів доступу до інших частин Інтернету; • специфікація L2TP забезпечує стандартне шифрування лише в IP-мережах за допомогою протоколу IPSec.