Протоколы VPN канального уровня

На канальном уровне существует два протокола для реализации VPN: протокол туннелирования типа «точка — точка» (Pointo-point Tunneling Protocol, PPTP) и протокол туннелирвоания второго уровня (Layer Two Tunneling Protocol, L2TP). Оба этих протокола включены в состав операционной системы Microsoft Windows.

Протокол PPTP. Протокол PPTP является дальнейшим развитием протокола PPP, который распространился в связи с появлением модемного доступа к сети Интернет. Протокол PPTP был разработан консорцируемом таких производителей, как Microsoft, US Robotisc, Ascend и 3com. Для шифрования протокола PPP был использован протокол двухточечного шифрования Microsoft (Microsoft Point — to Point Encryption, MPPE), который использует алгоритм RC4. Однако большинство проблем используемого метода аутерификации с предварительным согласованием вызова (Microsoft Challenge/Realy HandShake Protocol, MSCHAP). Для устранения недостатков был выпущен протокол MSCHAP версии 2. Протокол PPTP использует все связанные протоколы, которые подобны протоколу MSCHAP, протоколу аутерификации пароля (Password Authenication Protocol, Chap), расширенному протоколу аутерификации (Extensidle Authenication Protocol, EAP).

Протокол PPTP использует два канала, работающих совместно. Первый канал управления (порт 1723/pcp). Этот канал посылает в обе стороны все команды, которые управляют сеансом подключения. Второй — инкапсулируемый канал передачи данных, являющийся вариантом протокола общей инкапсуляции для маршрутизации (Generis Routing Encapsulation, GRE). Это протокол 47, который использует UDP в качестве транспортного протокола.

Преимуществом туннеля протокола без помех через устройства NAT. Он интегрируется со многими аппаратными устройствами. Протокол PPTP при инициализации связи использует протокол PPP, поэтому может оказаться уязвимым к атакам типа spoofing и «человек посередине».

Протокол L2TP. Протокол L2TP определен в документе RFC 2661 и фактически является гибридом двух предыдущих протоколов туннелирования: протокола пересылки второго уровня (Layer Two Forwarding, L2F) компании Cisco и протокола PPTP. Он заменил протокол PPTP в качестве решения для VPN в операционной системы Windows 2000.

Протокол L2TP подобно протоколу PPTP, использует при аутерификации пользователя возможности протокола PPP (протоколы MSCHAR, CHAP, EAP, PAP и т. д.). аналогично протоколу PPTP протокол L2TP использует два канала связи: сообщения управления и сообщениями туннеля для передачи данных. Первый бит заголовка протокола PPTP служит для опознавания этих типов сообщений (1-для сообщений управления, 0- для сообщенных данных. Сообщение управления дается более высокий приоритет по отношению к сообщениям данных, чтобы гарантировать, что возможная информация администрирования сеанса будет передана настолько быстро, насколько это возможно.

Подключение канала управления устанавливается для туннеля, который затем сопровождается инициированием сеанса протокола L2TP. После завершения инициирования обоих подключений информация в виде кадров протокола PPP начинает передаваться по туннелю.

Формирование защищенного канала происходит в три этапа:

• 1) Установление соединения клиента с севером удаленного доступа;
• 2) Аутерификация пользователя;
• 3) Конфигурирование защищенного туннеля.

Для установления соединения с сервером удаленного доступа (сетевой сервер L2TP) удаленный пользователь связывается по протоколу PPP с концентратором доступа L2TP, обычно функционированием на сервере провайдера. Концентратор доступа может выполнить аутерификацию пользователя от имени провайдера. Концентратор доступа может выполнить аутерификации пользователя от имени провайдера. По заданному имени получателя концентратор доступа с сервером L2TP устанавливается соединение. Далее производится аутерификация пользователя сервером L2TP. В случае успешной аутерификации устанавливает защищенный туннель между концентратором доступа с сервером L2TP. С помощью управляемых сообщений производится настройка параметров туннеля, причем в одном туннеле может быть несколько сеансов пользователя. При использовании IPSes пакеты L2TP инкапсуляции в UDP-пакеты, которые передаются концентратором доступа и сервером L2TP через IPSes — туннель (порт 1701/tcp).