к.т.н., доцент Пархоменко И.И., Остапчук А.В.,
Национальный авиационный университет,
Украина
Протоколы
туннелирования канального уровня
Туннелирование —
метод построения сетей, при котором один сетевой протокол инкапсулируется в
другой. От обычных многоуровневых сетевых моделей (OSI или TCP/IP)
туннелирование отличается тем, что инкапсулируемый протокол относится к тому же
или более низкому уровню, чем используемый в качестве тоннеля.
Такие протоколы как РРТР и L2TP (Layer-2 Tunneling Protocol) относят
к протоколам туннелирования канального уровня модели OSI. Эти три протокола обьединяет то, что они используются для организации защищенного
многопротокольного удаленного доступа к ресурсам корпоративной сети через
открытую сеть типа Интернет.
РРТР, L2F и L2TP —относят к протоколам формирования
защищенного канала, но на самом то деле к этому можно отнести только протокол
РРТР, который туннелирует и шифрует данные. В свою очередь L2F и L2TP осуществляют только туннелирование, а для защиты данных уже
необходимо задействовать дополнительные протоколы, в частности IPSec.
На
основе протокола канального уровня РРР (Point-to-Point Protocol) ,были созданы РРТР, L2F иL2TP, которые дополнили и расширили эго
возможности.
Первоначально протокол РРР, расположенный на канальном
уровне, был разработан для инкапсуляции данных и их доставки по соединениям
типа «точка—точка». Этот протокол служит также для организации асинхронных
(например, коммутируемых) соединений. Для
доставки конфиденциальных данных из одной точки в другую через сети общего
пользования сначала производится инкапсуляция данных с помощью протокола РРР,
затем протоколы РРТР и L2TP выполняют шифрованние данных и
собственную инкапсуляцию. После того как туннельный протокол доставляет пакеты
из начальной точки туннеля в конечную, выполняется деинкапсуляция. На физическом и канальном уровнях протоколы РРТР и L2TP идентичны, но на этом их сходство заканчивается и начинаются
различия.
Протокол
РРТР (Point-to-Point Tunneling Protocol), был
разработан несколькими компаниями, но главным разработчиком была Microsoft от которой и получил
распространение, так как внедрялся в ОС Windows NT/2000. Протокол РРТР позволяет создавать
защищенные каналы для обмена данными по протоколам IP, IPX или NetBEUI. Данные этих протоколов упаковываются
в кадры РРР и затем инкапсулируются посредством протокола РРТР в пакеты
протокола IP, с помощью которого
переносятся в зашифрованном виде через любую сеть TCP/IP.
Пакеты, передаваемые в рамках сессии РРТР, имеют следующую
структуру (рис. 1):
• заголовок канального уровня, используемый внутри Интернета,
например заголовок кадра Ethernet;
• заголовок IP,
содержащий адреса отправителя и получателя пакета;
• заголовок общего
метода инкапсуляции для маршрутизации GRE (Generic Routing Encapsulation);
• исходный пакет РРР, включающий пакет IP, IPX или NetBEUI.
|
Заголовок кадра передачи |
IP- заголовок |
GRE- заголовок |
РРР- заголовок |
Зашифрованные данные PPP |
Окончание кадра передачи |
Рис. 1 Структура
пакета для пересылки по туннелю РРТР
Для
протокола РРТР определены две основные схемы применения:
1) схема
туннелирования при прямом соединении удаленного компьютера с Интернетом;
2) схема
туннелирования при подключении удаленного компьютера к Интернету по телефонной
линии через провайдера.
Протокол L2F (Layer-2 Forwarding) был разработан компанией Cisco Systems для
построения защищенных виртуальных сетей, как альтернатива выше рассмотренному
протоколу РРТР. Но на сегодняшний день используется в основном L2TP, который
вытеснил L2F .
Протокол L2TP (Layer-2 Tunneling Protocol)
разработан в организации IETF (Internet Engineering Task Force) при
поддержке двух компаний Microsoft и CiscoSystems. Протокол L2TP разрабатывался
как протокол защищенного туннелирования РРР-трафика через сети общего
назначения с произвольной средой. Работа над этим протоколом велась на основе
протоколов РРТР и L2F, и в результате он вобрал в себя лучшие
качества исходных протоколов.
В отличие от РРТР, протокол L2TP не привязан к протоколу IP, поэтому
он может быть использован в сетях с коммутацией пакетов, например в сетях ATM(Asynchronous Transfer Mode) или в сетях с ретрансляцией
кадров (frame relay). Кроме
того, в протокол L2TP добавлена важная функция
управления потоками данных, а также ряд отсутствующих в спецификации протокола
РРТР функций защиты, в частности, включена возможность работы с протоколами АН
и ESP стека
протоколов IPSec.
Хотя
протокол РРТР обеспечивает достаточную степень безопасности, но все же протокол L2TP (поверх IPSec)
надежнее. Протокол L2TP (поверх IPSec) обеспечивает аутентификацию на уровнях «пользователь» и
«компьютер», а также выполняет аутентификацию и шифрование данных.
Формирование
защищенного виртуального канала в протоколе L2TP осуществляется
в три этапа:
•
установление соединения с сервером удаленного доступа локальной сети;
•
аутентификация пользователя;
•
конфигурирование защищенного туннеля.
В заключении можно сказать что,
функциональные возможности протоколов РРТР и L2TP различны.
Протокол РРТР может применяться только в IP-сетях. Протокол L2TP может использоваться не
только в IP-сетях. Протокол L2TP поверх IPSec предлагает
больше уровней безопасности, чем РРТР, и может гарантировать почти 100%-ю
безопасность важных для организации данных.
Литература:
1. ГАЛИЦКИЙ А. В., РЯБКО С.
Д., ШАНЬГИН В. Ф. Защита информации в сети. Анализ технологий и синтез
решений.- ДМК Пресс, 2004.-616с.
2. В. Г. Олифер, Н.А.
Олефер «Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов».
3-е изд-е. – СПб.: Питер, 2006.