Безпека на віддаленій стороні тунелю

Сторони тунелю можуть опціонально виконувати процедуру автентифікації один одного при встановленні тунелю. Ця автентифікація має ті ж атрибути безпеки, що і CHAP, і має розумний захист проти атак відтворення і спотворення в процесі встановлення тунелю. Цей механізм не реалізує автентифікації при формуванні тунелю; оскільки досить просто для зловмисного користувача, який спостерігає обмін в тунелі, ввести свої пакети, коли автентифікація повністю завершена.

Для реалізації автентифікації LAC (L2TP Access Concentrator) і LNS (L2TP Network Server) повинні використовувати загальний секретний ключ. Кожна із сторін використовує один і той же ключ, коли виконує роль автентифікатора і автентифікованного. Оскільки використовується тільки один ключ, AVP (Attribute Value Pair) автентифікації тунелю несуть в собі різні значення полів в CHAP ID для обчислення дайджеста кожного повідомлення, щоб протистояти атакам відтворення.

Assigned Tunnel ID і Assigned Session ID мають бути вибрані непередбачуваним чином. Така методика перешкоджає діяльності хакерів, які не мають доступу до пакетів, якими обмінюються LAC і LNS.

Безпека пакетного рівня.

Забезпечення безпеки L2TP вимагає, щоб транспортне середовище могло забезпечити шифрування даних, цілісність повідомлень і автентифікацію послуг для усього L2TP - трафіка. Цей безпечний транспорт працює з пакетом L2TP в цілому і функціонально незалежний від PPP і протоколу, вкладеного в PPP. Як такий, L2TP відповідальний за конфіденційність, цілісність і автентифікацію L2TP - пакетів усередині тунелю (LAC і LNS).

Захищаючи потік L2TP - пакетів, оскільки це робить безпечний транспорт, ми захищаємо дані, що передаються PPP - тунелем від LAC до LNS. Такий захист не повинен розглядатися як заміна для безпеки точка-точка при передачі даних між ЕОМ або додатками.

L2TP і IPSec

При роботі поверх IP, IPSec (безпечний IP) надає безпеку на пакетному рівні за рахунок інкапсуляції зашифрованих даних ESP (Encapsulating Security Payload) або автентифікації заголовка AH (authentication header). Усі керівники і інформаційні пакети L2TP в конкретному тунелі виглядають для системи Ipsec, як звичайні інформаційні UDP/IP - пакети.

Окрім транспортної безпеки IP, IPSec визначає режим роботи, який дозволяє тунелювати IP - пакети. Шифрування і автентифікація на пакетному рівні, виконувані режимом тунелю IPSec і засоби L2TP, підтримані IPSec надають еквівалентні рівні безпеки.

IPSec визначає також засоби контролю доступу, які потрібні для додатків, підтримувальних IPSec. Ці засоби дозволяють фільтрувати пакети, на основі характеристик мережного та транспортного рівнів, таких як IP -адреса, порт, і так далі. У моделі L2TP - тунелю, аналогічна фільтрація виконується на PPP - уровні або мережевому рівні поверх L2TP. Ці засоби управління доступом на мережевому рівні можуть бути реалізовані в LNS за рахунок механізму авторизації, специфікованого виробником, або на мережевому рівні, використовуючи транспортний режим IPSec точка-точка між взаємодіючими ЕОМ.

Хід роботи