Kanal va seans sathlarida himoyalanganlik kanallarni shakllantirish protokollari
Kanal va seans sathlarida himoyalanganlik kanallarni
shakllantirish protokollari.
Reja
Reja




1. Kanal sathida himoyalangan kanallarni shakllantish protokollari.
2. PPTP, L2F va L2TP protokollari.
3. Seans sathida himoyalangan kanallarni shakllantish protokollari.
4. SSL/TLS va SOCKS protokollari
Kanal sathi (Data Link layer) – bu sathda uzatish muhitiga
ulanish mumkin yoki mumkin emas¬ligini tekshirish,
hamda uzatilayotgan ma’lumotlardagi xatoliklarni aniqlash
va ularni to‘g‘irlash mexanizmini amalga oshirish kabi
vazifalar bajariladi.


Kanal sathi (Data Link layer) – bu sathda uzatish muhitiga ulanish mumkin yoki mumkin
emas¬ligini tekshirish, hamda uzatilayotgan ma’lumotlardagi xatoliklarni aniqlash va
ularni to‘g‘irlash mexanizmini amalga oshirish kabi vazifalar bajariladi.
Buning uchun kanal sathida bitlar ketma-ketligi kadrlar (frames) (7.1-rasm) deb
ataladigan to‘plamlarga guruhlanadi. Kanal sathi har bir kadrni to‘g‘ri uzatilishini
ta’minlab beradi. Buning uchun hamda kadrni kadrdan ajratib turish uchun kanal sathi
har bir kadrni boshlanishidan avval va ohirida maxsus bitlar ketma-ketligini joylashtiradi.
Har bir kadrning baytlari ma’lum bir yo‘l bilan ishlanib nazorat qilish summasi hisoblanadi va u
ham kadr tarkibiga qo‘shilgan bo‘ladi. Kadr tarmoq orqali o‘z manziliga etib kelganida, uni
qabul qilib olgan stantsiya ham na¬zorat qilish summasini qayta hisoblaydi va kadrda birga
yuborilgan nazorat qilish summasi bi¬lan solishtiriladi. Agar ular bir xil bo‘lsa kadr to‘g‘ri etib
kelgan hisoblanadi va qabul qilinadi.
Lokal kompyuter tarmoqlarida kanal sathi protokollaridan
kompyuterlar, ko‘priklar kommutatorlar va
marshrutizatorlar foydalanadilar. Kanal sathi
protokollariga misol qilib - Ethernet, Token Ring, FDDI,
l00VG-AnyLAN protokollarini keltirish mumkin.
Ma’lumotlarni sifatli uzatishni ta’minlash vazifalari kanal
sathi bilan birga, undan yuqoriroqda turgan tarmoq va
transport sathlari vazifalariga ham kiradi.




Lokal kompyuter tarmoqlarida kanal sathi protokollaridan kompyuterlar, ko‘priklar
kommutatorlar va marshrutizatorlar foydalanadilar. Kanal sathi protokollariga misol qilib
- Ethernet, Token Ring, FDDI, l00VG-AnyLAN protokollarini keltirish mumkin.
Ma’lumotlarni sifatli uzatishni ta’minlash vazifalari kanal sathi bilan birga, undan
yuqoriroqda turgan tarmoq va transport sathlari vazifalariga ham kiradi.
Bu standartlarga asosan lokal kompyuter tarmoqlarining kanal sathi ikkita sath osti
sathlariga bo‘linadi:
1. LLC (Logical Link Control) – mantiqiy kanalni boshqarish sath osti sathi.
2. MAC (Media Access Control) - muxitiga ulanishni boshqarish sath osti sathi.
LLC sathi – kompyuterlar o‘rtasida ma’lumotlarni har-xil
darajadagi ishonchlilik bilan uzatishni amalga oshirish
uchun javob beradi, hamda tarmoq sathi bilan ulanuvchi
interfeys vazifasini bajaradi. Tarmoq sathi, LLC sathi
orqali, kanal sathidan o‘ziga kerak bo‘lgan ma’lumotlarni
uzatish amaliyotini, ya’ni transport hizmatini unga kerak
bo‘lgan sifatda bajarib berishni so‘raydi. MAC sathi esa –
kompyuterlar birgalikda foydalanadigan umumiy shina yoki
halqa topologiyali muxit vaqtini ma’lum bir algoritm
asosida taqsimlab, tarmoqni to‘g‘ri ishlashini ta’minlab
beradi. MAC sathi yordamida uzatish muhitiga murojaat
qilishga ruxsat olingandan so‘ng, LLC sathi tomonidan
ma’lumotlarni mantiqiy birliklarini, axborot kadrlarini,
har-xil darajadagi sifat bilan uzatish, ya’ni transport
hizmati amalga oshiriladi.

LLC sathi – kompyuterlar o‘rtasida ma’lumotlarni har-xil darajadagi ishonchlilik bilan
uzatishni amalga oshirish uchun javob beradi, hamda tarmoq sathi bilan ulanuvchi
interfeys vazifasini bajaradi. Tarmoq sathi, LLC sathi orqali, kanal sathidan o‘ziga kerak
bo‘lgan ma’lumotlarni uzatish amaliyotini, ya’ni transport hizmatini unga kerak bo‘lgan
sifatda bajarib berishni so‘raydi. MAC sathi esa – kompyuterlar birgalikda
foydalanadigan umumiy shina yoki halqa topologiyali muxit vaqtini ma’lum bir algoritm
asosida taqsimlab, tarmoqni to‘g‘ri ishlashini ta’minlab beradi. MAC sathi yordamida
uzatish muhitiga murojaat qilishga ruxsat olingandan so‘ng, LLC sathi tomonidan
ma’lumotlarni mantiqiy birliklarini, axborot kadrlarini, har-xil darajadagi sifat bilan
uzatish, ya’ni transport hizmati amalga oshiriladi.
PPTP (Point-to-Point Tunneling Protocol) protokoli PPTP
protokoli masofadagi foydalanuvchi va tashkilot serveri
orasida TCP/IP asoslangan holda VPN ni yaratish orqali
xavfsiz ma’lumot almashinishni ta’minlaydi. PPTP protokoli
PPP protokolining kengaytirilgan varianti hisoblanadi.
PPTP protokoli Windows NT® Server version 4.0 va
Windows NT Workstation version 4.0 lar bilan birgalikda
ishlab chiqilgan. PPTP ni muhim xususiyatlaridan biri bu –
ommaviy uzib ulanuvchi telefon tarmog‘i orqali VPN ni
amalga oshira olishidir. PPTP ni amalga oshirishda uchta
qism: PPTP mijoz, network access server (NAS) va PPTP
server, foydalanadi.



PPTP (Point-to-Point Tunneling Protocol) protokoli PPTP protokoli masofadagi
foydalanuvchi va tashkilot serveri orasida TCP/IP asoslangan holda VPN ni yaratish
orqali xavfsiz ma’lumot almashinishni ta’minlaydi. PPTP protokoli PPP protokolining
kengaytirilgan varianti hisoblanadi. PPTP protokoli Windows NT® Server version 4.0 va
Windows NT Workstation version 4.0 lar bilan birgalikda ishlab chiqilgan. PPTP ni
muhim xususiyatlaridan biri bu – ommaviy uzib ulanuvchi telefon tarmog‘i orqali VPN
ni amalga oshira olishidir. PPTP ni amalga oshirishda uchta qism: PPTP mijoz, network
access server (NAS) va PPTP server, foydalanadi.
▪ Dastlab mijoz va NAS orasida PPTP aloqasi o‘rnatiladi.
▪ Ikkinchi ulanish PPP asosida Dial-up aloqaga murojaat qilinadi. Bu IP paketi
ko‘rinishida bo‘lib, PPP protokolidan iborat bo‘ladi, PPP inkapsulyatsiyasi.
▪ Ikkinchi ulanish PPTP serverga ulanish imkonini beruvchi
VPN kanalni - tunel qurish imkonini beradi.




▪ Ikkinchi ulanish PPTP serverga ulanish imkonini beruvchi VPN kanalni - tunel qurish
imkonini beradi.
▪ Tunellash – bu shaxsiy tarmoqdagi biror kompyuterga paketlarni marshrutlash orqali
yuborish jarayoni bo‘lib, boshqa tarmoq marshrutizatorlari ushbu paketlarni boshqara
olmaydi.
▪ PPTP paketini qabul qilgan PPTP serveri paketni qayta ishlash orqali ichida shaxsiy
tarmoq kompyuteri nomi yoki manzilini aniqlaydi. Bu holda PPP paketi ko‘plab
protokollar, TCP/IP, IPX, yoki NetBEUI paketidan iborat bo‘lishi mumkin.
▪ Quyida o‘zida ko‘plab protokollarni mujassam qilgan PPTP protokoli shakli keltirilgan.
PPTP mijoz va PPTP server orasidagi ma’lumotlar PPTP tunili orqali uzatiladi.
PPTP shifrlangan va siqilgan PPP paketlarini IP datagrammasida enkapsulyatsiyalaydi va
Internet orqali uzatadi. Ushbu datagrammalar PPTP serveriga yetgunga qadar marshrutlanib
yuboriladi. PPTP serveri IP paketi ichidan PPP ni ajratib uni deshifrlaydi va shaxsiy tarmoqdagi
manzilga uzatiladi. Bunda Generic Routing Encapsulation (GRE) dan foydalaniladi.
▪ PPTP protokolni madadlovchi kompyuterlar, PPTP serverga ikkita usulda ulanishi mumkin:
▪ Kirish PPP ulanishlarini qo‘llab-quvvatlovchi ISP ning tarmoqqa kirish serveri yordamida;
▪ PPTP serveriga ulanish uchun jismoniy TCP/IP yoqtirilgan LAN ulanish orqali.
▪ Birinchi ulanishga ko‘ra modem va ISP orqali PPP protokoldan foydanuvchi dial-up ulanishga
asoslanadi.
▪ Ikkinchi ulanishga ko‘ra fizik ulangan LAN tarmoqdagi ikki tugun orasida amalga oshiriladi.
▪ Birinchi ulanishga ko‘ra ShK va PPTP Remote Access Server (RAS) orasida:
▪ Bu turdagi tunellash “Voluntary (ixtiyoriy) tunneling” deb
ataladi.



▪ Bu turdagi tunellash “Voluntary (ixtiyoriy) tunneling” deb ataladi.
▪ Ikkinchi ulanishga ko‘ra internet proveyderi (ISP’s Point of Presence (POP)) va RAS
orasida:
▪ Bu turdagi tunellash “Compulsory (majburiy) tunneling” deb ataladi.
PPTP: autentifikatsiyalash










PPTP: autentifikatsiyalash
▪ PPP autentifikatsiya usulari; 65
▪ PAP;
▪ CHAP;
▪ Microsoft Challenge Handshake Authentication Protocol (MS-CHAP). PPTP:
ma’lumotni shifrlash
▪ PPTP protokolida RAS "shared-secret“ shifrlash jarayonidan foydalaniladi; ▪ Barcha
tomonlarda shifrlash kaliti mavjud bo‘ladi;
▪ Microsoft tomonidan amalga oshirilgan RASda foydalanuvchi paroli taqsimlangan
maxfiy ma’lumot sifatida qaralgan.
▪ Xeshlangan parol asosida tomonlar uchun shifrlash kaliti generatsiya qilinadi.
▪ RC4 shifrlash algoritmi xeshlangan paroldan olingan 40-bitli sessiya kaliti asosida
ma’lumotlarni shifrlaydi.
▪ PPTP tuneli TCPni 1723 porti orqali amalga oshiriladi.
SSL tarmoq protokoli Transport Layer Security (TLS)
dastlab yaratilgan Secure Sockets Layer (SSL) protokolining
davomchisi sanalib, kompyuter tarmog‘ida aloqa
xavfsizligini ta’minlash uchun yaratilgan va bir nechta
kriptografik protokollar va algoritmlardan tashkil topgan.
Ushbu protokolda X.509 sertifikatidan foydalanilgan bo‘lib,
tomonlarni autentifikatsiyalashda assimetrik shifrlash
algoritmlaridan foydalaniladi. X.509 sertifikati.
Kriptografiyada X.509 standarti ochiq kalitli
infratuzilmalar (public key infrastructure (PKI)) va
imtiyozga asoslangan boshqarish infratuzilmalari (Privilege
Management Infrastructure (PMI)) uchun mo‘ljallangan.
Sertifikatning eng so‘ngi bandida (Signature Algorithm)
sertifikatning undan yuqorigi bandida joylashgan
ma’lumotga qo‘yilgan imzo va imzo qo‘yish uchun
foydalanilgan algoritm nomi keltirilgan. Ushbu imzoni
sertifikat beruvchi tashkilot o‘zining maxfiy kaliti asosida
amalga oshiradi.

SSL tarmoq protokoli Transport Layer Security (TLS) dastlab yaratilgan Secure Sockets
Layer (SSL) protokolining davomchisi sanalib, kompyuter tarmog‘ida aloqa xavfsizligini
ta’minlash uchun yaratilgan va bir nechta kriptografik protokollar va algoritmlardan
tashkil topgan. Ushbu protokolda X.509 sertifikatidan foydalanilgan bo‘lib, tomonlarni
autentifikatsiyalashda assimetrik shifrlash algoritmlaridan foydalaniladi. X.509
sertifikati. Kriptografiyada X.509 standarti ochiq kalitli infratuzilmalar (public key
infrastructure (PKI)) va imtiyozga asoslangan boshqarish infratuzilmalari (Privilege
Management Infrastructure (PMI)) uchun mo‘ljallangan. Sertifikatning eng so‘ngi
bandida (Signature Algorithm) sertifikatning undan yuqorigi bandida joylashgan
ma’lumotga qo‘yilgan imzo va imzo qo‘yish uchun foydalanilgan algoritm nomi
keltirilgan. Ushbu imzoni sertifikat beruvchi tashkilot o‘zining maxfiy kaliti asosida
amalga oshiradi.
TLS (yoki SSL) protokoli kliyent-server arxitekturasida
ishlaydi va kliyent serverga ulunish uchun TLS aloqani
o‘rnatilganligini ko‘rsatishi shart. Buning uchun odatda ikki
usuldan foydalaniladi: - TLS bog‘lanishlar uchun alohida
port berish (masalan, HTTPS uchun 443 port orqali); Protokolga asoslangan usul.


TLS (yoki SSL) protokoli kliyent-server arxitekturasida ishlaydi va kliyent serverga
ulunish uchun TLS aloqani o‘rnatilganligini ko‘rsatishi shart. Buning uchun odatda ikki
usuldan foydalaniladi: - TLS bog‘lanishlar uchun alohida port berish (masalan, HTTPS
uchun 443 port orqali); - Protokolga asoslangan usul.
Kliyent va server TLS bog‘lanishidan foydalanishga roziligini “qo‘l siqish” (handshake)
amaliyoti orqali bildiradi. Ushbu jarayon davomida kliyent va server xavfsiz aloqani
tashkil etish uchun kerakli bo‘lgan ko‘plab parametrlarni kelishib oladilar: - Ushbu
jarayon dastlab kliyent serverga TLS bog‘lanishni amalga oshirgandan so‘ng boshlanib,
unda serverga foydalinilishi mumkin bo‘lgan kriptografik algoritmlarning ro‘yxatini
yuboradi. - Server qabul qilingan ro‘yxatdan kerakli algoritmlarni tanlaydi. - Shundan
so‘ng server o‘zining ochiq kalitidan tashkil topgan va ishonarli tashkilot tomonidan
berilgan raqamli sertifikatini yuboradi. - Kliyent bog‘lanishni boshlashdan oldin kelgan
sertifikatni haqiqiyligini tekshiradi. - Shundan so‘ng, kliyent maxfiy aloqani hosil qilish
uchun kerakli bo‘ladigan sessiya kalitini hosil qilish uchun foydalaniladigan tasodifiy
sonni serverning ochiq kaliti bilan shifrlab yuboradi. - Qabul qilingan tasodifiy son orqali
har ikkala tomon shifrlash va deshifrlash uchun kerakli bo‘lgan kalitni hosil qiladi.
Natijada himoyalangan aloqa hosil qilinadi va aloqa tugagunga qadar ikki tomon
orasidagi ma’lumot shifrlangan holda uzatiladi.
http://azkurs.org