Канальный уровень модели OSI

Для стандартного формирования криптозащищенных туннелей на канальном уровне модели OSI компанией Microsoft при поддержке компаний Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics был разработан протокол туннелирования РРТР (Point-to-Point Tunneling Protocol), представляющий собой расширение протокола РРР (Point-to-Point Protocol). В протоколе РРТР не специфицируются конкретные методы аутентификации и шифрования. Клиенты удаленного доступа в Windows NT 4.0 и Windows 98 с Dial-Up Networking поставляются с версией шифрования DES компании RSA Data Security, получившей название "шифрование двухточечной связи Microsoft" (Microsoft Point-to-Point Encryption — MPPE). Канальному уровню модели OSI соответствует также протокол туннелирования L2F (Layer-2 Forwarding), разработанный компанией Cisco Systems при поддержке компаний Shiva и Northern Telecom. В данном протоколе также не специфицируются конкретные методы аутентификации и шифрования. В отличие от протокола РРТР протокол L2F позволяет использовать для удаленного доступа к провайдеру Internet не только протокол РРР, но и другие протоколы, например, SLIP. При формировании защищенных каналов по глобальной сети провайдерам Internet не нужно осуществлять конфигурацию адресов и выполнять аутентификацию. Кроме того, для переноса данных через защищенный туннель могут использоваться различные протоколы сетевого уровня, а не только IP, как в протоколе РРТР. Протокол L2F стал компонентом операционной системы IOS (Internetwork Operating System) компании Cisco и поддерживается во всех выпускаемых ею устрой­ствах межсетевого взаимодействия и удаленного доступа. Протоколы РРТР и L2F были представлены в организацию Internet Engineering Task Force (IETF) и в 1996 году соответствующие комитеты решили их объединить. Получившийся в результате протокол, включивший все лучшее из РРТР и L2F, был назван протоколом туннелирования второго уровня (Layer-2 Tunneling Protocol — L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и предшествующие протоколы канального уровня, спецификация L2TP не описывает методы аутентификации и шифрования. Протокол L2TP является расширением РРР на канальном уровне и может поддерживать любые высокоуровневые протоколы.

Протоколы формирования защищенного туннеля на канальном уровне независимы от протоколов сетевого уровня модели OSI, по которым функционируют локальные сети, входящие в состав виртуальных сетей. Они позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня — IP, IPX или NetBEUI. Пакеты этих протоколов криптографически защищаются и инкапсулируются в IP-пакеты сети Internet, которые и переносятся к месту назначения, образуя защищенные виртуальные каналы. Многопротокольность — основное преимущество инкапсулирующих протоколов канального уровня.

Вместе с тем формирование криптозащищенных туннелей между объединяемыми локальными сетями на основе протоколов канального уровня приводит к сложности конфигурирования и поддержки виртуальных каналов связи. Туннели на основе РРР требуют, чтобы конечные точки поддерживали информацию о состоянии каждого канала (например, такую, как тайм-ауты), и, следовательно, не обладают хорошей масштабируемостью при необходимости иметь несколько туннелей с общими конечными точками. Кроме того, протоколы формирования защищенных туннелей на канальном уровне не специфицируют конкретные методы шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами.

Исходя из вышесказанного, можно сделать вывод, что протоколы создания защищенных виртуальных каналов на канальном уровне лучше всего подходят для защиты информационного взаимодействия при удаленном доступе к локальной сети. Учитывая, что в состав операционных систем Windows 98/NT включена реализация протокола РРТР, этот протокол для организации защищенного удаленного доступа получил наиболее широкое распространение. В ближайшее время ожидается переориентация средств удаленного доступа на более совершенный протокол L2TP.