- •Виртуальные частные сети (vpn) на основе протокола туннелирования рртр
- •Оглавление
- •1.2. Протокол ppp канального уровня
- •1.2.1. Формат кадра протокола ppp
- •1.2.2. Особенности передачи ррр-кадров на физическом уровне
- •1.2.3. Принципы организации протокола ррр
- •1.2.4. Протокол управления соединением lcp
- •1.2.5. Аутентификация партнеров
- •1.2.6. Протокол управления шифрованием данных ррр-соединения
- •1.2.7. Ipcp – протокол управления инкапсуляцией ip-пакетов
- •1.3. Конфигурации сетей удаленного доступа
- •1.3.1. Схемы взаимодействия “клиент–сеть”
- •1.3.2. Схемы взаимодействия “сеть–сеть”
- •1.4. Туннелирование и криптография – базовые принципы организации виртуальных частных сетей
- •Ip ip ip ip
- •Ip ip ip ip
- •1.5. Протокол общей инкапсуляции gre
- •1.6. Протокол туннелирования рртр
- •1.7. Средства построения сетей vpn
- •1.8. Схемы сетей vpn с протоколом рртр на основе ос Windows Server 2003/xp
- •2. Задачи конфигурирования и испытания типовых vpn под ос Windows Server 2003/xp
- •Задача 1. Vpn “клиент – сеть” на основе телефонной сети общего пользования и каналов Internet
- •Задача 2. Vpn “клиент – сеть” на основе внутренних каналов корпоративной сети
- •Задача 3. Vpn “сеть – сеть” на основе каналов Internet
- •Библиографический список
- •Виртуальные частные сети (vpn) на основе протокола туннелирования рртр
1.6. Протокол туннелирования рртр
Протоколы туннелирования вместе с протоколами шифрования создают в произвольной сети защищенные виртуальные сетевые ка-налы – соединения VPN. Эти каналы обеспечивают взаимодействую-щим партнерам безопасную аутентификацию, целостность и конфи-денциальность передаваемых данных.
Системные средства поддержки защищенных каналов могут вст-раиваться в разные уровни эталонной модели OSI – от канального до прикладного. Чем ниже по стеку находятся средства защищенного канала, тем легче их сделать прозрачными для вышележащих прото-колов и приложений. С другой стороны, на верхних уровнях проще обеспечить требуемую безопасность передаваемых данных. Наиболее популярны следующие протоколы защищенных каналов.
IPSec (Internet Protocol Security) – протокол безопасной IP-связи (RFC 2401 и др.). Набор открытых стандартов сетевого уровня для безопасной аутентификации пользователей или компьютеров, обеспе-чения целостности и конфиденциальности передаваемых данных, а также для автоматического снабжения конечных точек защищенного канала секретными ключами аутентификации и шифрования данных.
РРТР (Point-to-Point Tunneling Protocol) – протокол организации защищенного соединения канального уровня (RFC 2637). Обеспечи-вает безопасную взаимную аутентификацию партнеров туннеля и конфиденциальность передаваемых по туннелю данных. Базируется на протоколе РРР.
L2TP (Layer Two Tunneling Protocol) – протокол организации туннеля на канальном (втором) уровне (RFC 2661). Базируется на протоколе РРР, но шифрованием данных не занимается. Работает быстрее, чем РРТР, так как для управления туннелем применяется протокол UDP. Обычно используется совместно с протоколом IPSec, который и обеспечивает необходимую безопасность канала. В общем случае для использования L2TP требуется служба цифровых серти-фикатов субъектов взаимодействия.
Протокол РРТР является расширением протокола РРР. В своей работе использует еще протоколы GRE (см. выше) и TCP.
Для управления криптозащищенным туннелем взаимодействую-щие пограничные устройства обмениваются специальными сообще-ниями. Это сообщения-команды, сообщения-ответы установки, под-держки и разрыва туннеля. Обмен управляющими сообщениями вы-полняется по ТСР-соединению, устанавливаемому между клиентом и сервером РРТР-туннеля (см. рис. 8). Сообщения помещаются в поле данных протокольного ТСР-сегмента. При создании этого ТСР-соединения на сервере используется логический порт с номером 1723, а на VPN-клиенте – случайный свободный номер порта. Наличие слу-жебного ТСР-соединения с VPN-сервером создает угрозу попадания на сервер непредусмотренного трафика. Для его подавления на ин-терфейсе А1 устанавливается фильтр, пропускающий только трафик туннеля (код 47 протокола GRE), трафик к VPN-серверу только через порт 1723 и от сервера с порта 1723.
Безопасная аутентификация партнеров РРТР-туннеля осуществ-ляется средствами протокола РРР (MS-CHAP v2).
Шифрование данных, передаваемых по РРТР-туннелю, также под-держивается протоколом РРР (шифрование МРРЕ). МРРЕ обеспечи-вает только конфиденциальность передаваемых по туннелю данных, но явно не проверяет целостность получаемых по туннелю данных. В этом – некоторый недостаток протокола РРТР.