Сурков Л.В. - Протокол туннелирования PPPoE

Министерство образования и науки Российской ФедерацииМосковский Государственный Технический Университетим. Н.Э. БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические указанияк лабораторной работе по курсуКорпоративные сетиРазделПостроение защищенных сетей с использованием брандмауэровПротокол туннелирования PPPoE2011Сурков Л.В.Корпоративные сетиЛабораторный практикум «Протокол туннелирования РРРоЕ» Rev. 01Протокол туннелирования PPPoEТеоретические основыПротокол РРРоЕ (Point-to-Point Protocol over Ethernet) применяется дляподключения нескольких пользователей в одной Ethernet-подсети к удаленнымпользователям другой Ethernet-подсети через общий последовательный интерфейс путемустановления сеанса связи и инкапсуляции РРР-пакетов поверх Ethernet.

Применяется какпротокол туннелирования. Все пользователи сети делят одно подключение, однакоконтроль доступа может быть выполнен для каждого пользователя. Базовым протоколомРРРоЕ является протокол РРР.Обзор PPP.Протокол РРР был разработан для поддержки последовательных каналов типа«точка-точка». Протокол РРР описывается в стандартах RFC 1332/1661/2153, онинкапсулирует данные протокола сетевого уровня в данные канального уровня «точкаточка».

Протокол РРР обеспечивает установку соединений между маршрутизаторами иподсоединение хоста к сети как по последовательным синхронным, так и по асинхроннымканалам и , кроме того, обеспечивает возможность использования нескольких протоколовсетевого уровня (например, IP и IPX).Протокол РРР использует три основных компонента. • Протокол HDLC (High-Level Data Link Control) используется в качестве основыпри инкапсуляции дейтаграмм при передаче их по последовательным каналамтипа "точка-точка". • Протокол LCP (протокол управления каналом) используется для установки иконфигурирования соединения, а так же для согласования и проверки кадров наканальном уровне. Семейство протоколов NCP (протоколы управления сетью) - для установки иконфигурирования различных протоколов сетевого уровня.

Протоколы NCPобеспечивают возможность инкапсуляции различных протоколов сетевого уровня.Таким образом, протокол РРР поддерживает, кроме протокола IP, другиепротоколы, в частности протокол IPX (Novell).Рис. 1. Три компонента протокола РРР.МГТУ им. БауманаКафедра ИУ-620112Сурков Л.В.Корпоративные сетиЛабораторный практикум «Протокол туннелирования РРРоЕ» Rev. 01Установка сеанса связи в протоколе РРРПротокол РРР предоставляет средства для установки, конфигурирования, поддержки ипрекращения работы соединения "точка-точка", при этом последовательно выполняютсяследующие этапы.1. Создание канала и согласование конфигурации. Первичный узел протокола РРРпосылает LCP-фреймы для установки канала и согласования его параметров, такихкак максимальный размер принимаемого блока, сжатие некоторых полей РРР илипротокол аутентификации канала.2. Проверка качества работы канала (необязательно). На этой стадии каналтестируется с целью выяснения, обеспечивает ли он достаточное качество дляработы протоколов сетевого уровня.Кроме того, после принятия решения о протоколе аутентификации можно проверитьподлинность клиента или рабочей станции.

РРР поддерживает два протоколааутентификации: РАР (вышел из употребления) и CHAP, оба описаны вспецификациях RFC 1334/1994.3. Конфигурирование протокола сетевого уровня. Первичный узел протокола РРРрассылает NCP-фреймы, чтобы выбрать и настроить один или несколько протоколовсетевого уровня, таких как IP, Novell IPX. После настройки каждого из протоколовсетевого уровня датаграммы этого протокола можно передавать через канал.4. Инкапсуляция и передача инкапсулированных дейтаграмм по последовательномуканалу "точка-точка» по протоколу HDLC.5.

Окончание работы канала. Конфигурация канала связи сохраняется до тех пор,пока LCP- или NCP-фреймы не закроют канал, или до какого-либо внешнегособытия (например, истечения времени таймера простоя или вмешательства юзера).Форматы фреймов протокола PPPФрейм протокола РРР состоит из следующих полей.полеРазмер1111переменнойполя вдлиныбайтахполеполеполеполеНазначение полефлага адреса управления протоколаданныхполя2 или4FCSРис.2. Формат PPP-фрейма• Флаг(1 байт). Разделитель пакетов, указывает на начало или конец фрейма ипредставляет собой последовательность 01111110.• Адрес(1 байт).

Широковещательный адрес FF, указывает, что пакет адресован всемстанциям.Протокол РРР не назначает станциям индивидуальные адреса.• Управление(1 байт). Один байт, содержащий последовательность 00000011, котораявызывает передачу данных, находящихся в неупорядоченном фрейме. При этомобеспечивается канальная связь без установки соединения, аналогичная связи протоколауправления логическим каналом (Logical Link Control, LLC) первого типа.• Протокол. Два байта, которые идентифицируют тип протокола, сформировавшегоинформацию в поле данных,например:МГТУ им. БауманаКафедра ИУ-620113Сурков Л.В.Корпоративные сетиЛабораторный практикум «Протокол туннелирования РРРоЕ» Rev. 010021.

Не сжатые IP-дейтаграммы.002d. IP-дейтаграммы со сжатыми TCP- и IP-заголовками.с021. Link Control Protocol (LCP).с223. Challenge Handshake Authentification Protocol (CHAP).• Данные. Содержат дейтаграмму протокола, указанного в поле протокола.данных определяется байтом разделителя пакетов и выделения двухконтрольной последовательности фрейма. По умолчанию максимальнаяданных равна 1500 байтов.• FCS (контрольная сумма). Обычно состоит из 2 байтов, добавляемым кобнаружения ошибок.Конец полябайтов длядлина поляфрейму дляПротокол LCP (Link Control Protocol).Используются три типа LCP-фреймов.• Фреймы установки канала связи.

Используются для создания и конфигурированияканала.• Фреймы поддержки работы канала. Используются для отладки канала и для управленияим.• Фреймы закрытия канала. Используются для прекращения работы канала.Протокол LCP применяется в PPP-соединениях для ведения переговоров о своихвозможностях во время процесса установления соединения с целью достижения наиболееэффективного соединения. Сообщения протокола LCP переносятся фреймами протоколаPPP и содержат информацию о возможной конфигурации соединения. Как только двестороны останавливаются на конфигурации, которую они обе могут поддерживать,процесс установления соединения продолжается.Рисунок 3. Формат LCP-фреймаФункции полей LCP- фрейма следующие: Код (1 байт) - определяет тип LCP-сообщения. 1 – Configure-Request. 2 – Configure-Ack. 3 – Configure-Nak. 4 – Configure-Reject. 5 – Terminate-Request. 6 – Terminate-Ack. 7 – Code Reject. 8 – Protocol Reject. 9 – Echo-Request. 10 – Echo-Reply. 11 – Discard-Request.МГТУ им.

БауманаКафедра ИУ-620114Сурков Л.В.Корпоративные сетиЛабораторный практикум «Протокол туннелирования РРРоЕ» Rev. 01 Идентификатор (1 байт). Содержит код, используемый при ассоциации запросов иответов на них для индивидуальной LCP-транзакции. Длина (2 байта). Определяет длину LCP-сообщения, включая все поля. Данные (переменный размер). Содержит элементы, состоящие из трех полей:тип (1 байт).

Определяет конфигурируемую опцию, например:1 – максимально принимаемый блок.3 – протокол аутентификации.14 – время соединения.длина (1 байт). Определяет длину элемента, включая все поля.данные (переменный размер).Протоколы аутентификации РАР/CHAPЭтап аутентификации сеанса РРР не является обязательным.Протокол РАР является слабым протоколом аутентификации, используетдвухстороннее квитирование установление связи и передает логины и пароли открытымтекстом..

Кроме того, отсутствует защита от повторного воспроизведения или повторныхатак. Однако попытки подключения, их частота и время регистрируются удаленнымхостом.Предпочтительный протокол CHAP используется для зашифрованнойпериодической проверки подлинности удаленного узла с использованием методатрехэтапного квитирования (вызов – ответ - принять/отвергнуть). Такая проверка можетбыть повторена в любой момент времени, что делает его менее уязвимым перед попыткойхакеров проникнуть в сеть.

Протокол CHAP обеспечивает защиту от атак повторноговоспроизведения путем использования уникального и непредсказуемого значениясообщения вызова, которое, как правило, рассчитывается с помощью одностороннейфункции кэширования (обычно Message Digest 5, MD5). Частота и время отправкисообщений вызова определяется маршрутизатором или сервером аутентификации.Рассмотрим подробнее процесс аутентификации соединения с помощью протоколаCHAP.Этап 1. При попытке подключения удаленного пользователя (766-1), сначалаосуществляется предварительная настройка соединения с помощью протокола LCP.

Приэтом на входящем порте маршрутизатора, к которому осуществляется подключение (36401), должна быть включена аутентификация по протоколу CHAP.Этап 2. После предварительной настройки соединения вызываемая сторона (3640-1)посылает кадр-запрос для проверки подлинности абонента. В кадре содержатсяследующие поля:01 = тип кадра – кадр-запрос;ID = порядковый номер, идентифицирующий запрос;Random = произвольные числа, генерируемые маршрутизатором;3640-1 = идентификационное имя источника запроса.Значения полей ID и Random запоминаются в маршрутизаторе (3640-1).МГТУ им.

БауманаКафедра ИУ-620115Сурков Л.В.Корпоративные сетиЛабораторный практикум «Протокол туннелирования РРРоЕ» Rev. 01Этап 3. Вызывающий абонент принимает кадр-запрос и обрабатывает его следующимобразом: вычисляет хэш-функцию (алгоритм MD5) по содержимому полей кадра-запросаID и Random, а также по паролю, соответствующему записи 3640-1 в локальноммаршрутизаторе 766-1.Этап 4. Абонент посылает сформированный кадр-ответ,идентификационное имя и вычисленную хэш-функцию.содержащийегоЭтап 5. Маршрутизатор 3640-1 принимает кадр от абонента, вычисляет хэш-функцию,использую ту же самую информацию, и сравнивает с содержимым поля hash кадра-ответаот абонента.