Μια σήραγγα είναι μια λογική διαδρομή μεταξύ της πηγής και του προορισμού υποκατάστασης μεταξύ δύο δικτύων. Κάθε πακέτο συνοψίζεται στην πηγή θα είναι de-capsulated στον προορισμό. Η διαδικασία αυτή θα συνεχίσει να συμβαίνει στο βαθμό που η λογική της σήραγγας είναι ανθεκτικές μεταξύ των δύο παραμέτρων.

Tunneling πρωτόκολλα

Η οικογένεια προγραμμάτων Windows Server 2003 υποστηρίζει τις ακόλουθες Tunneling πρωτόκολλα ασφαλούς επικοινωνίας:

• Point-to-Point Tunneling Protocol (PPTP)
  • PPTP απασχολεί σε επίπεδο χρήστη ΣΔΙΤ μεθόδους ελέγχου και Microsoft Point-to-Point Encryption (MPPE) για την κρυπτογράφηση δεδομένων.
  • PPTP χρήσεις TCP1723 και του πρωτοκόλλου 47 (GRE).
  • PPTP χρησιμοποιεί μόνο τον έλεγχο ταυτότητας NTLM.
  • PPTP προβλέπει 56 bit ή 128 bit Microsoft Point-to-Point Encryption (MPPE).
• Layer Two Tunneling Protocol (L2TP)
  • L2TP είναι μια βιομηχανία-πρότυπο Internet Tunneling πρωτόκολλο με περίπου την ίδια λειτουργικότητα όπως η Point-to-Point Tunneling Protocol (PPTP). Με βάση τα Layer Δύο Forwarding (L2F) και Point-to-Point Tunneling Protocol (PPTP) προδιαγραφές, μπορείτε να χρησιμοποιήσετε το L2TP να δημιουργήσουν σήραγγες σε όλη την παρεμβαίνουσα δίκτυα. Όπως PPTP, L2TP συμπυκνώνει Point-to-Point Protocol (PPP) πλαίσια, τα οποία στη συνέχεια ενσωματώσουν IP ή πρωτοκόλλων IPX, επιτρέπει στους χρήστες για την απομακρυσμένη εκτέλεση προγραμμάτων που εξαρτώνται από ειδικά πρωτόκολλα δικτύου.
  • L2TP χρησιμοποιεί την UDP 1701.
  • L2TP δεν παρέχει κρυπτογράφηση από μόνη της.
• L2TP με το Internet Protocol security (L2TP/IPSec)
  • L2TP/IPSec απασχολεί σε επίπεδο χρήστη ΣΔΙΤ μεθόδους πάνω από μια σύνδεση που είναι κρυπτογραφημένα με το IPSec. IPSec υποδοχής απαιτεί έλεγχο ταυτότητας χρησιμοποιώντας είτε το πρωτόκολλο Kerberos, κοινά μυστικά ή υπολογιστή επιπέδου πιστοποιητικά.
  • L2TP με το IPSec χρησιμοποιεί UDP ISAKMP = 500, το πρωτόκολλο 50 = Encapsulated Security Payload (ESP) και, ενδεχομένως, το πρωτόκολλο 51 = Authentication Header (AH).
  • L2TP/IPSec χρησιμοποιεί τόσο αμοιβαίος έλεγχος ταυτότητας και τον έλεγχο ταυτότητας NTLM.
  • IPSec παρέχει DES (56 bit) και 3DES (168 bit) κρυπτοθέτηση.

Πώς Tunneling Έργων

Όπως γνωρίζουμε σύνδεση VPN είναι δύο τύπου, PPTP (Point-to-Point Tunneling Protocol) και το L2TP (Layer 2 Tunneling Protocol). Και οι δύο PPTP L2TP σήραγγες και δεν είναι τίποτα, αλλά οι τοπικές συνόδους μεταξύ δύο διαφορετικών παραμέτρων. Εγκλείω σε κιβώτιο που πρέπει να ανακοινώνουν μετά την Tunneling τύπος πρέπει να είναι αντικείμενο διαπραγμάτευσης μεταξύ της τελικό σημείο, είτε PPTP L2TP ή και στη συνέχεια πιο διαμορφώσιμες παραμέτρους όπως η κρυπτογράφηση, τη διεύθυνση αποστολής, συμπίεσης κτλ θα πρέπει να ρυθμιστεί έτσι ώστε να έχετε την καλύτερη δυνατή ασφάλεια στο διαδίκτυο που βασίζεται ιδιωτική λογική σήραγγα επικοινωνίας. Η παρούσα ανακοίνωση έχει δημιουργηθεί, να συντηρηθεί και να λυθεί με τη χρήση πρωτοκόλλου διαχείρισης της σήραγγας.

Τα δεδομένα μπορούν να αποστέλλονται αφού το τούνελ είναι στη θέση τους και τους πελάτες ή διακομιστή μπορεί να χρησιμοποιήσει την ίδια σήραγγα για την αποστολή και λήψη δεδομένων σε ολόκληρη την Internetwork. Η διαβίβαση δεδομένων εξαρτάται από την Tunneling πρωτόκολλα που χρησιμοποιούνται για τη μεταφορά. Για παράδειγμα, όταν ο πελάτης θέλει να στείλει δεδομένα ή του ωφέλιμου φορτίου (τα πακέτα που περιέχουν στοιχεία) για το διακομιστή διοχέτευσης, η σήραγγα server προσθέτει μια κεφαλίδα για κάθε πακέτο. Αυτό το πακέτο περιέχει την κεφαλίδα πληροφορίες σχετικά με το δρομολόγιο που ενημερώνει σχετικά με το πακέτο τον προορισμό σε όλη την Internetwork επικοινωνίας. Εφόσον το ωφέλιμο φορτίο που λαμβάνεται στον προορισμό, τις πληροφορίες της κεφαλίδας επαληθεύεται. Μετά τη σήραγγα του διακομιστή προορισμού που στέλνει το πακέτο στο προορισμό κόμβο ή πελάτη ή διακομιστή.

Point-to-Point Protocol (PPP)

Είναι πολύ προφανές ότι το PPTP και το L2TP protocoasl πλήρως εξαρτάται από την σύνδεση PPP και είναι πολύ σημαντικό να κατανοήσουμε και να εξετάσει ΣΔΙΤ λίγο πιο προσεκτικά. Αρχικά ΣΔΙΤ ήταν σχεδιασμένο για να λειτουργεί μόνο με dial-up συνδέσεις ή αποκλειστικών συνδέσεων. Εάν η μεταφορά των δεδομένων γίνεται μέσω ΣΔΙΤ σύνδεση, τότε τα πακέτα θα είναι άνω των ΣΔΙΤ εγκλεισμένων ΣΔΙΤ πλαίσια και στη συνέχεια να στείλει ή να μεταδοθεί σε όλη την διάρκεια έως τον προορισμό του dial-up ή PPP διακομιστή.

Υπάρχουν τέσσερις διαφορετικές φάσεις της διαπραγμάτευσης σε μια σύνδεση PPP. Κάθε μία από αυτές τις τέσσερις φάσεις πρέπει να ολοκληρωθεί με επιτυχία πριν από την σύνδεση PPP είναι έτοιμη για τη μεταφορά δεδομένων χρήστη.

• Φάση 1: Δημιουργία PPP Link
  Πρώτο βήμα είναι όταν χρησιμοποιεί το PPP LCP Link Control Protocol ή να συνδεθεί με το δίκτυο προορισμού. Εκτός από τη σύνδεση, LCP είναι επίσης υπεύθυνη για τη διατήρηση και την περάτωση της σύνδεσης πολύ. Πάρτε για παράδειγμα, κατά τη διάρκεια αυτής της φάσης 1, LCP συνδέει με τον προορισμό και προετοιμάζει το πρωτόκολλο που χρησιμοποιείται για τη φάση 2. Επόμενο βήμα θα είναι να διαπραγματεύονται και να μάθω αν αυτά τα δύο κόμβους σε μια σύνδεση PPP θα συμφωνήσουν για κάθε αλγόριθμο συμπίεσης ή κρυπτογράφησης. Εάν η απάντηση είναι ναι, τότε το ίδιο είναι να εφαρμοστούν στη φάση 4.
• Φάση 2: Η ταυτοποίηση του χρήστη
  Δεύτερο βήμα είναι όπου οι πιστοποιήσεις χρήστη αποστέλλονται στο απομακρυσμένο προορισμό για τον έλεγχο ταυτότητας. Υπάρχουν διάφορα ασφαλή έλεγχο ταυτότητας πρόγραμμα. Η ασφαλής μέθοδος απόδειξης της γνησιότητας πρέπει να χρησιμοποιείται για τη διασφάλιση της πιστοποιήσεις χρήστη. Αν χρησιμοποιείτε PAP (Password Authentication Protocol) για την πιστοποίηση, την εξουσιοδότηση του χρήστη, ο χρήστης πληροφορίες διαβιβάζονται στον κάμπο σαφές κείμενο, το οποίο μπορεί να καταλάβει εύκολα. Αυτή είναι η μοναδική φορά που ο χρήστης πρέπει να λάβει την μέγιστη δυνατή προσοχή στο χειρισμό του / της πιστοποίηση από τυχόν κλοπή. Αν για οποιοδήποτε λόγο αυτές οι πιστοποιήσεις είχαν συλληφθεί από την εισβολή και, στη συνέχεια, μόλις ο χρήστης σύνδεση γνησιότητα, η εισβολή θα παγίδες την ανακοίνωση, η αρχική αποσύνδεση του χρήστη και να λαμβάνει τον έλεγχο της σύνδεσης.
• Φάση 3: ΣΔΙΤ Callback Ελέγχου
  Η Microsoft εφαρμογή των ΣΔΙΤ περιλαμβάνει μια προαιρετική callback φάση ελέγχου. Η φάση αυτή χρησιμοποιεί την Callback Control Protocol (CBCP) αμέσως μετά τη φάση της γνησιότητας. Εάν έχει ρυθμιστεί για callback, τόσο του απομακρυσμένου υπολογιστή-πελάτη και μετά την αποσύνδεση NAS γνησιότητας. Το NAS τότε καλεί τον απομακρυσμένο πελάτη πίσω σε συγκεκριμένο αριθμό τηλεφώνου. Αυτό παρέχει ένα επιπλέον επίπεδο ασφάλειας για dial-up συνδέσεις. Το NAS επιτρέπει συνδέσεις από απομακρυσμένους υπολογιστές-πελάτες που διαμένουν σε συγκεκριμένη φυσική τηλεφωνικούς αριθμούς μόνο. Callback χρησιμοποιείται μόνο για dial-up συνδέσεις, για να μην συνδέσεων VPN.
• Φάση 4: Επίκληση Network Layer Protocol (s)
  Μόλις τις προηγούμενες φάσεις έχουν ολοκληρωθεί, ΣΔΙΤ επικαλείται τα διάφορα πρωτόκολλα ελέγχου δικτύου (ΕΣΕ) που είχαν επιλεγεί κατά την ίδρυση συνδέσμου φάση (Φάση 1) για να ρυθμίσετε τα πρωτόκολλα που χρησιμοποιούνται από τον απομακρυσμένο υπολογιστή-πελάτη. Για παράδειγμα, κατά τη διάρκεια αυτής της φάσης, IPCP χρησιμοποιείται για να αντιστοιχίσετε μια δυναμική για την αντιμετώπιση των ΣΔΙΤ πελάτη. Κατά την εφαρμογή των ΣΔΙΤ Microsoft, η Compression Control Protocol (CCP) χρησιμοποιείται για τη διαπραγμάτευση τόσο συμπίεσης δεδομένων (με τη χρήση MPPC) και κρυπτογράφησης δεδομένων (χρησιμοποιώντας MPPE).

Data-Transfer

Μετά τις τέσσερις φάσεις διαπραγμάτευσης των ΣΔΙΤ έχουν ολοκληρωθεί, ΣΔΙΤ αρχίζουν να διαβιβάζουν τα δεδομένα προς και από τις δύο ανταγωνίστριες. Κάθε πακέτο δεδομένων που διαβιβάζονται είναι τυλιγμένο σε μια ΣΔΙΤ κεφαλίδα ότι απομακρύνεται από την παραλαβή του συστήματος. Αν συμπίεσης δεδομένων επιλέχθηκε στη φάση 1 και φάση διαπραγμάτευσης στο 4, τα δεδομένα συμπιέζονται πριν από τη μετάδοση. Αν κρυπτογράφησης δεδομένων είναι επιλεγμένο και κατόπιν διαπραγματεύσεων, τα δεδομένα κρυπτογραφούνται πριν από τη μετάδοση. Αν και οι δύο κρυπτογράφησης και συμπίεσης είναι αντικείμενο διαπραγμάτευσης, τα δεδομένα είναι συμπιεσμένα πρώτη, και στη συνέχεια κρυπτογραφημένα.

Point-to-Point Tunneling Protocol (PPTP)

PPTP ενσωματώνει ΣΔΙΤ πλαίσια σε IP datagram για μετάδοση μέσω ενός Internetwork IP, όπως το Internet. PPTP μπορεί να χρησιμοποιηθεί για την απομακρυσμένη πρόσβαση και δρομολογητή σε δρομολογητή συνδέσεων VPN.

PPTP ή Point-to-Point Tunneling Protocol έργων κατά τη θύρα TCP που χρησιμοποιείται επίσης για τη διαχείριση της σήραγγας και GRE ή Generic Routing Encapsulation να ενσωματώσουν οποιοδήποτε πρωτόκολλο PPP πλαίσια που αργότερα θα πρέπει να χρησιμοποιείται στην αποστολή στοιχείων μέσω της σήραγγας. Συμπίεσης ή κρυπτογράφησης θα εξαρτηθεί από τη διαμόρφωση της σήραγγας.

Layer Two Tunneling Protocol (L2TP)

L2TP προτάθηκε για πρώτη φορά από τη Cisco Systems Inc η οποία χρησιμοποιείται ένας συνδυασμός Layer 2 Forwarding (L2F) με PPTP. Η IP μπορεί να είναι εγκλεισμένο πλαισίων από το L2TP που πρέπει να αποστέλλονται μέσω Χ.25, FR (Frame Relay), ATM (Asynchronous Transfer Mode) δικτύων. Και με βάση το L2TP ΠΕ σήραγγας μέσω του Ίντερνετ είναι ο ασφαλέστερος τρόπος μεταφοράς δεδομένων που χρησιμοποιεί σήμερα η συμπίεση ή / και κρυπτογράφησης, όπως απαιτείται για την προστασία των δεδομένων από εισβολείς.