Tunneling est un mode dans lequel les données sont transférées entre deux réseaux de sécurité. Toutes les données qui sont transférées sont fragmentés en petits paquets ou les cadres et les passe ensuite à travers le tunnel. Ce processus est différent d'une normale de transfert de données entre les noeuds. Chaque cadre en passant par le tunnel sont cryptées avec une couche supplémentaire de chiffrement et l'encapsulation de tunneling, qui est également utilisé pour le routage des paquets à la bonne direction. Cette encapsulation serait alors revenu à la destination avec le décryptage de données qui est ensuite envoyé à la destination souhaitée noeud.

Un tunnel est une logique entre la source et la destination entre les deux extrémités des réseaux. Chaque paquet est encapsulé à la source sera de-capsulated à destination. Ce processus se passe-t-il tenir aussi longtemps que la logique tunnel est persistant entre les deux extrémités.

Tunneling Protocols

La famille Windows Server 2003 prend en charge les protocoles de tunneling de communication sécurisés:

• Point-to-Point Tunneling Protocol (PPTP)
  • PPTP emploie au niveau de l'utilisateur PPP et les méthodes d'authentification de Microsoft Point-to-Point Encryption (MPPE) pour le cryptage des données.
  • PPTP utilise TCP1723 et le protocole 47 (GRE).
  • PPTP utilise uniquement l'authentification NTLM.
  • PPTP fournit 56 bits ou 128 bits Microsoft Point-to-Point Encryption (MPPE).
• Layer Two Tunneling Protocol (L2TP)
  • L2TP est un standard de l'industrie Internet protocole de tunneling à peu près les mêmes fonctionnalités que le Point-to-Point Tunneling Protocol (PPTP). Basé sur le Layer Two Forwarding (L2F) et Point-to-Point Tunneling Protocol (PPTP) des spécifications, vous pouvez utiliser L2TP pour mettre en place des réseaux intervenant dans les tunnels. Comme PPTP, L2TP encapsule Point-to-Point Protocol (PPP) des cadres, qui encapsulent les protocoles IP ou IPX, qui permet aux utilisateurs d'exécuter des programmes à distance qui sont tributaires de certains protocoles réseau.
  • L2TP utilise l'UDP 1701.
  • L2TP ne fournit pas de cryptage par lui-même.
• L2TP avec sécurité du protocole Internet (L2TP/IPSec)
  • L2TP/IPSec emploie au niveau de l'utilisateur des méthodes d'authentification PPP sur une connexion qui est crypté avec IPSec. IPSec nécessite l'authentification d'accueil en utilisant soit le protocole Kerberos, secret partagé au niveau de l'ordinateur ou de certificats.
  • L2TP avec IPSec utilise UDP 500 = ISAKMP, le Protocole 50 = Encapsulated Security Payload (ESP) et, éventuellement, Protocole 51 = Authentication Header (AH).
  • L2TP/IPSec utilise à la fois l'authentification mutuelle et l'authentification NTLM.
  • IPSec fournit DES (56 bits) et 3DES (168 bit).

Comment Tunneling Works

Comme nous le savons connexion VPN sont de deux types, PPTP (Point-to-Point Tunneling Protocol) et L2TP (Layer 2 Tunneling Protocol). Les deux tunnels PPTP et L2TP ne sont rien mais les sessions entre deux points de terminaison. En cas qu'ils ont à communiquer, le tunneling type doit être négocié entre le point de terminaison, soit PPTP ou L2TP et plus configurable paramètres comme le cryptage, l'affectation d'adresses, etc compression doit être configuré de manière à obtenir la meilleure sécurité possible au cours de la logique privée sur Internet tunnel de communication. Cette communication est créée, maintenue et a mis fin à l'aide d'un protocole de gestion du tunnel.

Les données peuvent être envoyées dès que le tunnel est en place et les clients ou le serveur peut utiliser le même tunnel, d'envoyer et de recevoir des données à travers l'inter. Le transfert de données dépend des protocoles de tunneling sont utilisés pour le transfert. Par exemple, chaque fois que le client veut envoyer des données ou de la charge utile (les paquets contenant des données) à la tunneling serveur, le serveur tunnel ajoute un en-tête de chaque paquet. Cet en-tête de paquet contient les informations de routage qui informe le paquet sur la destination à travers l'inter-communication. Une fois la charge utile est parvenue à la destination, la tête de l'information est vérifiée. Après le tunnel, le serveur de destination qui envoie le paquet vers le noeud de destination ou le client ou serveur.

Point-to-Point Protocol (PPP)

Il est très évident que le PPTP et L2TP protocoasl sont entièrement dépendant de connexion PPP et il est très important de comprendre et d'examiner les PPP d'un peu plus près. Initialement PPP a été conçu pour fonctionner uniquement avec les connexions à distance ou les connexions dédiées. Si le transfert de données se passe connexion PPP, puis allez sur les paquets PPP sont encapsulés dans les trames PPP, puis l'envoyer à travers ou transmis sur la destination dial-up PPP ou serveur.

Il ya quatre phases distinctes de la négociation d'une connexion PPP. Chacun de ces quatre phases doivent compléter avec succès avant la connexion PPP est prêt à transférer les données de l'utilisateur.

• Phase 1: Mise en place de PPP Link
  La première étape est le cas de PPP LCP ou utilise le protocole de contrôle de liaison de se connecter au réseau de destination. En dehors de l'établissement de la connexion, LCP est également responsable de maintenir et de mettre fin à la connexion aussi. Prenez par exemple, au cours de cette phase 1, LCP se connecte à la destination et prépare le protocole d'authentification qui seront utilisées pour la phase 2. L'étape suivante serait de négocier et de savoir si ces deux noeuds dans le cadre d'un PPP d'accord sur un algorithme de compression ou de cryptage. Si la réponse est oui, alors la même chose est mis en œuvre au cours de la phase 4.
• Phase 2: A User Authentication
  La seconde étape est l'endroit où l'utilisateur sont envoyées à la destination pour l'authentification à distance. Il existe différents programmes d'authentification sécurisée. La méthode sécurisée d'authentification doit être utilisé pour sauvegarder l'identification de l'utilisateur. Si vous utilisez PAP (Password Authentication Protocol) pour l'autorisation de l'utilisateur des titres, l'utilisateur l'information est transmise en clair en texte clair qui peut être saisi facilement. C'est le seul moment où l'utilisateur doit prendre le plus grand soin dans le traitement de ses titres à partir de n'importe quel vol. Si pour une raison quelconque, ces pouvoirs ont été capturés par l'intrus, puis une fois que la connexion est d'authentifier l'utilisateur, l'intrus se pièges de la communication, de déconnecter l'utilisateur d'origine et prend le contrôle de la connexion.
• Phase 3: PPP Callback Control
  La mise en œuvre de Microsoft PPP comprend une option de rappel de contrôle de phase. Cette phase utilise le protocole de contrôle de (CBCP) immédiatement après la phase d'authentification. Si la configuration pour rappel, à la fois le client distant et NAS déconnecter après l'authentification. Le NAS appelle alors le client distant de retour à un numéro de téléphone. Cela fournit un niveau supplémentaire de sécurité pour les connexions à distance. Le NAS permet aux connexions des clients distants physiquement à des numéros de téléphone uniquement. Callback est uniquement utilisé pour les connexions, et non pas pour les connexions VPN.
• Phase 4: Lancer Network Layer Protocol (s)
  Une fois les étapes précédentes ont été accomplies, le PPP appelle les différents protocoles de contrôle de réseau (NCP), qui ont été sélectionnés au cours de la phase de création de lien (Phase 1) pour configurer les protocoles utilisés par le client distant. Par exemple, au cours de cette phase, IPCP est utilisé pour attribuer une adresse dynamique au PPP client. Dans l'implémentation Microsoft de PPP, le protocole de contrôle de compression (CCP) est utilisé pour négocier la fois la compression de données (en utilisant MPPC) et le cryptage de données (en utilisant MPPE).

Transfert de données

Une fois les quatre phases de la négociation PPP ont été achevés, PPP commence à transmettre des données vers et depuis les deux pairs. Chaque paquet de données transmis est enveloppé dans un PPP que la tête est enlevée par le système de réception. Si la compression de données a été sélectionné en phase 1 et négocié dans la phase 4, les données sont compressées avant transmission. Si le cryptage des données est sélectionné et négocié, les données sont cryptées avant la transmission. Si le chiffrement et la compression sont négociés, les données sont compressées en premier, puis cryptées.

Point-to-Point Tunneling Protocol (PPTP)

PPTP encapsule les trames PPP dans le datagramme IP pour la transmission sur IP inter-, tels que l'Internet. PPTP peut être utilisé pour l'accès distant et de routeur à routeur des connexions VPN.

PPTP ou Point-to-Point Tunneling Protocol travaille sur le port TCP qui est également utilisé pour la gestion du tunnel et GRE ou Generic Routing Encapsulation protocole PPP pour encapsuler n'importe quel châssis qui sera utilisé dans l'envoi des données à travers le tunnel. De compression ou de cryptage dépend de la configuration du tunnel.

Layer Two Tunneling Protocol (L2TP)

L2TP a été proposée par Cisco Systems Inc, qui a utilisé une combinaison de Layer 2 Forwarding (L2F) avec PPTP. Les cadres de la propriété intellectuelle peut être encapsulé par L2TP pour être envoyés sur X.25, FR (Frame Relay), ATM (Asynchronous Transfer Mode) réseaux. Et L2TP tunnel IP sur Internet est le moyen le plus sûr aujourd'hui de transfert de données qui utilise la compression et / ou de cryptage nécessaire pour protéger les données contre les intrus.