Файловый архив студентов. Файловый архив студентов.
1313 вуза, 5306 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Вологодский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Shpory_mszki.doc
Скачиваний:
47
Добавлен:
17.04.2019
Размер:
2.23 Mб
Скачать
►Содержание►

9 Защита на канальном уровне

Главное преимущество – прозрачность для протоколов сетевого, транспортного и прикладного уровней. Для защиты данных на канальном уровне используются три протокола:

РРТР (Point-to-Point-Tunneling Protocol);

L2F (Layer 2 Forwarding);

L2TP (Layer 2 Tunneling Protocol).

Протоколы L2F и L2TP являются протоколами туннелирования, а протокол РРТР обеспечивает как туннелирование, так и шифрования данных.

9.1. Протокол рртр

Протокол РРТР (Point-to-Point-Tunneling Protocol) позволяет создавать криптозащищенные каналы для обмена данными по протоколам IP, IPX и NetBEUI. Технология создания защищенного виртуального канала по протоколу PPTP предусматривает как аутентификацию удаленного пользователя, так и зашифрованную передачу данных.

Для аутентификации могут использоваться различные протоколы. В реализации PPTP, включенной в Windows, поддерживаются протоколы аутентификации PAP (Password Authentication Protocol — протокол распознавания пароля) и CHAP (Challenge-Handshaking Authentication Protocol— протокол распознавания при рукопожатии). При использовании протокола PAP идентификаторы и пароли передаются по линии связи в незашифрованном виде. При использовании протокола CHAP каждый пароль для передачи по линии связи шифруется на основе случайного числа, полученного от сервера. Такая технология обеспечивает также защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем.

Программное обеспечение удаленного доступа, реализующее PPTP, может использовать любой стандарт криптографического закрытия передаваемых данных.

В протоколе PPTP определено три схемы его применения: одна схема – для прямого соединения компьютера удаленного пользователя с Internet и две – для соединения удаленного компьютера к Internet по телефонной линии через провайдера.

При прямом соединении компьютера удаленного пользователя с сетью Internet, пользователь устанавливает удаленное соединение с помощью клиентской части сервиса удаленного доступа. Он обращается к серверу удаленного доступа локальной сети, указывая его IP-адрес, и устанавливает с ним связь по протоколу PPTP. Функции сервера удаленного доступа может выполнять и пограничный маршрутизатор локальной сети. Протокол PPTP определяет некоторое количество служебных сообщений, которыми обмениваются взаимодействующие стороны. Служебные сообщения передаются по протоколу TCP. После успешной аутентификации начинается процесс защищенного информационного обмена.

В этом варианте на компьютере удаленного пользователя должны быть установлены клиент сервера удаленного доступа RAS и драйвер PPTP, которые входят в состав Windows, а на сервере удаленного доступа локальной сети — сервер RAS и драйвер PPTP, входящие в состав Windows. Внутренние серверы локальной сети не должны поддерживать протокол PPTP, так как пограничный маршрутизатор извлекает кадры PPP из пакетов IP и посылает их по сети в необходимом формате – IP, IPX или NetBEUI.

Для случая подсоединения удаленного компьютера к Internet по телефонной линии через провайдера предусмотрена две схемы.

Вариант 1:

  • протокол РРТР поддерживается сервером удаленного доступа (RAS – Remote Access Service) провайдера Internet;

  • протокол РРТР поддерживается маршрутизатором сети организации;

  • защищённый канал образуется между RAS провайдера и маршрутизатором сети организации.

Схема для варианта 1 приведена на рис. 2.3.

Применение PPTP, вариант 1

Р ис.2.3

В этом варианте компьютер удаленного пользователя не должен поддерживать протокол PPTP.

Процесс установления соединения:

  • клиент связывается с сервером удаленного доступа провайдера по протоколу РРР.

  • клиент проходит первую аутентификацию у провайдера. Провайдер должен поддерживать протокол PPTP.

  • по имени пользователя провайдер устанавливает связь с пограничным маршрутизатором сети организации по протоколу РРТР.

  • маршрутизатор аутентифицирует пользователя по протоколам РАР или CHAP.

  • если аутентификация прошла успешно, связь считается установленной.

Процесс обмена данными:

  • клиент отправляет данные серверу удаленного доступа провайдера по протоколам IP, IPX или NetBEUI (упакованные в РРР).

  • сервер удаленного доступа провайдера упаковывает пакеты РРР в пакеты IP, указывая в качестве адреса получателя адрес маршрутизатора, а в качестве адреса отправителя - свой.

  • пакеты РРР шифруются с помощью симметричного ключа в качестве которого используется хэш-функция пароля пользователя. В качестве алгоритма шифрования используется RC-4 или DES.

Схема не нашла широкого применения так как протокол РРТР не всегда поддерживается маршрутизаторами и серверами удаленного доступа провайдера

Вариант 2:

  • сервер удаленного доступа не поддерживает РРТР;

  • защищенный канал образуется между компьютером удаленного клиента и маршрутизатором сети организации.

Схема для варианта 2 приведена на рис. 2.4.

Р ис. 2.4

Процесс установления соединения:

  • клиент устанавливает связь с сервером удаленного доступа провайдера по протоколу РРТР.

  • клиент проходит аутентификацию по протоколам РАР или CHAP.

  • клиент устанавливает связь с маршрутизатором сети организации, где работает протокол РРTР (звонок отличается от обычного тем, что вместо телефонного номера указывается IP- адрес сервера удаленного доступа организации.

  • клиент проходит аутентификацию на сервере удаленного доступа сети организации.

Обмен данными осуществляется также как в первом варианте.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности