UNIVERSITATEA POLITEHNICA DIN TIMIOARA FACULTATEA DE ELECTRONIC I TELECOMUNICAII DEPARTAMENTUL DE COMUNICAII

PROIECT DE DIPLOM

REELE VIRTUALE PRIVATE

Conductor Absolvent: Prof.Dr.Ing. Miranda Naforni

tiinific:

TIMIOARA 2009
CUPRINS
1. Introducere....................6 2. Elemente fundamentale despre interconectarea calculatoarelor..8
2.1 Modelul de referin OSI......8 2.2 Modelul TCP/IP....9 2.3 Adrese IP....10 2.4 Tipuri de reele i metode de interconectare...11

3. Reele Virtuale private.......12

3.1 Introducere in VPN....12 3.2 Modul de funcionare.13 3.3 Avantaje VPN....14 3.4 Tipuri de reele VPN..15 3.4.1 Acces VPN la distan...........16 3.4.2 Intranet VPN......18 3.4.3 Extranet VPN.........19 3.4.4 VPN cu livrare sigur (Trusted VPN).......19 3.4.5 VPN securizate (Secure VPN)...........20 3.4.6 VPN hibrid.....20 3.5 Tunelare.......21 3.5.1 Fundamentele tunelrii......21 3.5.2 Reea virtual privat administrat de furnizor (PPVPN).....23 3.5.3 Protocoale de tunelare...........24 3.5.3.1 Protocolul Ipsec..........25 3.5.3.2 Protocolul SSL...........29 3.5.3.3 Protocolul L2TP.....30 3.5.3.4 Protocolul L2TPv3.....32 2

3.5.3.5 Protocolul MPLS...33 3.6 Componente VPN. Metode de realizare a soluiilor VPN..........36 3.7 Securitate VPN...............41 3.7.1 Ameninri la adresa securitii reelelor publice.........41 3.7.2 Soluii VPN.......42 3.7.3 Criptarea datelor....44 3.7.3.1 Criptosisteme cu cheie privat (simetrice)..44 3.7.3.2 Criptosisteme cu cheie publica (asimetrice)....45 3.7.3.2.1 Diffie-Hellman.45 3.7.3.2.2 Rivest Shamir Adleman (RSA)....46 3.7.4 Semnturi digitale i autentificri de date 47 3.7.5 Autentificarea utilizatorilor i controlul accesului.48 3.8 VPN i NAT......... ...............50

4. Software-ul Hamachi pentru VPN....51 5 Open VPN..........54

5.1 Generaliti.....54 5.2 Rutare vs Punte de reea.....55 5.3 Modul Rutare in OpenVpn.56 5.4 Modul Poart in OpenVpn.....57 5.5 Certificate pentru autentificare.......58

6. Aplicaie......
...59

7. Concluzii
.............................................................................................................................. .....65

Bibliografie .....................................................................................................
...............................68

Anexa1- Abrevieri..
......69

1. Introducere
Dezvoltarea extraordinar pe care a cunoscut-o industria calculatoarelor a fost nsoit pas cu pas de apariia i extinderea reelelor. n aproximativ 30 de ani realizrile sunt uimitoare: calculatoarele au dimensiuni reduse i performane greu de bnuit cu ani n urm, iar reelele, dup ani de ncercri n care s-au elaborat diverse modele, standarde, n care s-au experimentat diverse proiecte care au disprut sau care s-au unificat se prezint astzi ntr-o form destul de avansat. Totodat, a crescut numrul aplicaiilor care necesit o reea de calculatoare. Proiectul de diplom trateaz una dintre tehnologiile moderne utilizate n cadrul reelelor de comunicaii i anume reelele virtuale private (Virtual Private NetworksVPN). Tehnologia reelelor virtuale a aprut ca o soluie prin care se asigur confidenialitatea datelor vehiculate printr-un mediu public precum Internet-ul. Reelele virtuale private reprezint un mod de a conecta locaii aflate la distan (filiale, utilizatori mobili, clieni, furnizori etc.) ntr-o unic reea virtual, asigurndu-se mecanisme de securitate. Aceste reele stau la baza comunicrii eficiente ntre birourile, locaiile firmelor de dimensiuni mijlocii i mari utiliznd reele publice/Internetul, din Romnia i din ntreaga lume. Prin VPN, angajaii aflai la distan au acces direct la resursele companiei. n acest caz, eseniale sunt simplitatea pentru utilizator (pe principiul: Indiferent de distan, trebuie ca resursele s-i fie la fel de accesibile ca i cum ai fi n sediul firmei) i administrarea uoar i centralizat. Pe de alt parte, accesul este permis utilizatorilor difereniat, n funcie de profilul prestabilit. 4

Abia n ultima perioad companiile au nceput s neleag i, cele mai avansate dintre ele, s simt avantajele pe care le ofer comunicarea la distan prin Internet prin canale de band larg, fa de tradiionalul acces prin dial-up. Motivaia de baz pentru construirea unui VPN este reducerea costurilor legate de comunicaii. Pentru c este mult mai ieftin s se foloseasc o singur legtur fizic comun pentru servirea mai multor clieni din reea dect s se utilizeze legturi separate pentru fiecare client din reeaua privat. n oricare dintre scenariile de acces la distan prin VPN, uurina n utilizare este un criteriu important. Majoritatea problemelor de securitate sunt atribuite erorilor de configurare, deci cu ct sistemul este mai uor de administrat, cu att ansele de a scpa ceva din vedere sunt mai mici. Din punctul de vedere al clientului, simplitatea este critic, pentru c muli angajai aflai n deplasri sau la distan nu au cunotinele necesare sau accesul la resursele tehnice pentru a depista i rectifica cauzele unor eventuale disfuncionaliti. Scopul acestei lucrri este familiarizarea cu elementele fundamentale ale unei reele de calculatoare, prezentare noiunilor teoretice care stau la baza realizri reelelor virtuale private, precum i a modalitilor de implementare. Lucrarea prezint pe lng soluii care necesit cunotiine avansate i soluii VPN pentru nceptori, care sunt la ndemna oricui. Obiectivul proiectului de diplom este realizarea unui tunel ntre dou calculatoare cu ajutorul programului OpenVPN. Am ales n partea practic folosirea acestui program deoarece este un concept modern n zilele noastre, care are foarte multe opiuni ce pot fi exploatate. OpenVpn permite realizarea unei tunelri robuste i foarte flexibile care utilizeaz toate caracteristicile de autentificare i certificare a criptrii ale bibliotecii OpenSSL pentru a tunela n mod securizat reele IP. n plus acest program VPN este gratuit i open source. Am optat n alegerea temei Reele Virtuale Private cu scopul de a m perfeciona n domeniul reelelor de calculatoare. Cunotiinele dobndite n cadrul facultii n acest domeniu, precum i n urma participrii la cursurile de Cisco, m-au determinat s tratez acest concept modern al reelelor de calculatoare.

2. Elemente fundamentale despre interconectarea calculatoarelor

2.1 Modelul de referin OSI
Modelul de referin OSI se bazeaz pe o propunere dezvoltat de ctre Organizaia Internaional de Standardizare (Internaional Standards Organization - OSI) ca un prim pas ctre standardizarea internaional a protocoalelor folosite pe diferite niveluri (Day i Zimmerman, 1983). Modelul se numete ISO OSI (Open Systems Interconection - Interconectarea sistemelor deschise), pentru c el se ocup de conectarea sistemelor deschise comunicrii cu alte sisteme. Modelul OSI [Tanenbaum -Reele de Calculatoare pagina 34] cuprinde apte niveluri, dup cum se poate observa n figura 2.1a. Trei concepte sunt eseniale pentru modelul OSI: serviciile, interfeele, protocoalele. Probabil c cea mai mare contribuie a modelului OSI este c a fcut explicit diferena ntre aceste trei concepte. Fiecare nivel realizeaz nite servicii pentru nivelul situat deasupra sa. Definiia serviciului spune ce face nivelul, nu cum l folosesc entitile de pe nivelurile superioare sau cum funcioneaz nivelul. Interfaa unui nivel spune proceselor aflate deasupra sa cum s fac accesul. Interfaa precizeaz ce reprezint parametrii i ce rezultat se obine. Nici interfaa nu spune nimic despre funcionarea intern a nivelului. Protocoalele pereche folosite ntr-un nivel reprezint problema personal a nivelului. Nivelul poate folosi orice protocol dorete, cu condiia ca acesta s funcioneze (adic s ndeplineasc serviciul oferit). 6

Figura 2.1a Modelul OSI

2.2 Modelul TCP/IP

TCP/IP(Transmission Control Protocol/Internet Protocol) este o suit de protocoale, dintre care cele mai importante sunt TCP i IP, care a fost transformat n standard pentru Internet de ctre Secretariatul pentru Aprare al Statelor Unite, i care permite comunicaia ntre reele eterogene (interconectarea reelelor). Modelul de referin ISO/OSI definete apte nivele pentru proiectarea reelelor, pe cnd modelul TCP/IP utilizeaz numai patru din cele apte nivele[Tanenbaum - Reele de Calculatoare pagina 37]., dup cum se vede din figura 2.2a.

Figura 2.2a Modelul TCP/IP

Familia de protocoale TCP/IP are o parte stabil, dat de nivelul Internet (reea) i nivelul transport, i o parte mai puin stabil, nivelul aplicaie, deoarece aplicaiile standard se diversific mereu. n ceea ce privete nivelul gazd la reea (echivalentul nivelul fizic i legtura de date din modelul OSI), cel mai de jos nivel din cele patru, acesta este mai puin dependent de TCP/IP i mai mult de driverele de reea i al plcilor de reea. Acest nivel face ca funcionarea nivelului imediat superior, nivelul Internet, s nu depind de reeaua fizic utilizat pentru comunicaii i de tipul legturii de date. Nivelul Internet are rolul de a transmite pachetele de la sistemul surs la sistemul destinaie, utiliznd funciile de rutare. La acest nivel se pot utiliza mai multe protocoale, dar cel mai cunoscut este protocolul Internet IP. Nivelul transport are rolul de a asigura comunicaia ntre programele de aplicaie. Nivelul aplicaie asigur utilizatorilor o gam larg de servicii, prin intermediul programelor de aplicaii. La acest nivel sunt utilizate multe protocoale, datorit multitudinii de aplicaii existente, i care sunt n continu cretere.

2.3 Adrese IP
Fiecare calculator, gazd sau router, din INTERNET are un nume global, numit adres IP, care codific identitatea sa precum i identitatea reelei creia i aparine. Aceast combinaie de adrese trebuie s fie unic. Nu este permis existena a dou calculatoare cu aceeai adres IP. Structura general a unei adrese IP poate fi observata in figura 2.3a.

Figura 2.3a Structur adres IP Toate adresele IP au lungimea de 32 de bii i sunt incluse n cmpurile adres surs i adres destinaie din antetul datagramelor IP. n fiecare ar care implementeaz reele TCP/IP, exist un comitet naional responsabil de administrarea i distribuirea adreselor IP. Responsabilitatea mondial pentru administrarea adreselor IP o are grupul IANA, Internet Assigned Numbers Authority. n mod uzual adresele IP sunt scrise n zecimal cu punct, DDN, Dotted Decimal Numbers. Iat un exemplu de adres IP: 193.226.10.90. 8

Domeniul de adresare cuprins ntre 0.0.0.0 i 255.255.255.255 a fost mprit n 5 clase, A, B, C, D i E ale cror elemente difer n funcie de modul de specificare a cmpurilor ID reea i ID host. Structura general a adreselor pentru cele 5 clase se observ n figura 2.3b.

Figura 2.3b Structura adreselor pentru cele 5 clase

2.4 Tipuri de reele

Dac toate dispozitivele dintr-o reea sunt situate n aceeai cldire, atunci este vorba despre o reea local, LAN (Local Area Network). n acest caz toate dispozitivele din reea sunt conectate cu acelai tip de cablu. Mai multe reele locale, situate n cldiri diferite, conectate mpreun, formeaz o reea metropolitan, MAN (Metropolitan Area Network) dupa cum se poate observa n figura 2.4a. n acest caz legturile pot fi pe linie telefonic, sau pe fibr optic.

LAN 2

LAN 1

MAN

WAN Internet

MAN
Figura 2.4a Tipuri de reele 9

Mai multe reele metropolitane, situate n localiti diferite, conectate mpreun, formeaz o reea regional, WAN (Wide Area Network). n acest caz legturile pot fi radio, terestre sau prin satelit[Tanenbaum - Reele de Calculatoare pagina 16].. Modalitatea de organizare a unei reele, tipurile de echipamente care o compun precum i modul lor de interconecare definesc topologia acelei reele. n cazul reelelor locale exist mai multe tipuri de topologii:magistral, stea, [Tanenbaum - Reele de Calculatoare pagina 15]. inel

3. Reele Virtuale Private

3.1 Introducere in VPN
O reea const din dou sau mai multe dispozitive care pot comunica liber, electronic, ntre ele, prin cabluri sau fire. n primul rnd VPN este o reea. Chiar dac fizic nu exist, un VPN trebuie s fie perceput ca o extensie a infrastructurii unei reele, care aparine unei companii. Acest lucru inseamn c trebuie s fie disponibil i reelei existente, sau la un grup restrns de utilizatori din aceea reea. Virtual nseamn ireal sau ntr-o alt stare de existen. n VPN comunicaia privat ntre dou sau mai multe dispozitive se realizeaz printr-o reea public, Internetul. Astfel, comunicaia este virtual dar nu i prezent fizic. Privat nseamn a ascunde ceva publiculuilui general. Chiar dac dispozitivele comunic ntre ele ntr-un mediu public, nu exist o ter parte care poate ntrerupe aceast comunicaie sau recepiona datele schimbate ntre ele. O Reea Virtual Privat (VPN Virtual Private Network-figura 3.1a) conecteaz componentele i resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea virtual privat este o reea a companiei implementat pe o infrastructur comun, folosind aceleai 10

politici de securitate, management i performan care se aplic de obicei ntr-o reea privat. Practic, tehnologia reelelor virtuale private permite unei firme s-i extind prin Internet, n condiii de maxim securitate, serviciile de reea la distan oferite utilizatorilor, reprezentanelor sau companiilor partenere. Avantajul este evident: crearea unei legturi de comunicaie rapid, ieftin i sigur.

Figura 3.1a VPN (Reea Privat Virtual

3.2 Modul de funcionare

VPN permite utilizatorilor s comunice printr-un tunel prin Internet sau o alt reea public n aa fel nct participanii la tunel s se bucure de aceeai securitate i posibiliti puse la dispoziie numai n reelele private. Pentru a utiliza Internetul ca o reea privat virtual, de tip WAN (Wide Area Network), trebuie depite dou obstacole principale. Primul apare din cauza diversitii de protocoale prin care comunic reelele, cum ar fi IPX sau NetBEUI, n timp ce Internetul poate nelege numai traficul de tip IP. Astfel, VPN-urile trebuie s gseasc un mijloc prin care s transmit protocoale non-IP de la o reea la alta. Cnd un dispozitiv VPN primete o instruciune de transmitere a unui pachet prin Internet, negociaz o schem de criptare cu un dispozitiv VPN similar din reeaua destinaie. Datele n format IPX/PPP sunt trecute n format IP pentru a putea fi transportate prin reeaua mondial. Al doilea obstacol este datorat faptului c pachetele de date prin Internet sunt transportate n format text. n consecin, oricine poate vedea traficul poate s i citeasc datele coninute n pachete. Aceasta este cu adevrat o problem n cazul firmelor care vor s comunice informaii confideniale i, n acelai timp, s foloseasc Internetul. Soluia la aceste probleme a permis apariia VPN i a fost denumit tunneling. n loc de pachete lansate ntr-un mediu care nu

11

ofer protecie, datele sunt mai nti criptate, apoi ncapsulate n pachete de tip IP i trimise printr-un tunel virtual prin Internet. Din perspectiva utilizatorului, VPN este o conexiune punct-la-punct ntre calculatorul propriu i serverul corporaiei (figura 3.2a)

Figura 3.2a Reea Privat Virtual Echivalent logic Confidenialitatea informaiei de firm care circul prin VPN este asigurat prin criptarea datelor. n trecut, reelele private erau create folosind linii de comunicaie nchiriate ntre sedii. Pentru a extinde acest concept la Internet, unde traficul mai multor utilizatori trece prin aceeai conexiune, au fost propuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite expeditorului s ncapsuleze datele n pachete IP care ascund infrastructura de rutare i comutare a Internetului la ambele capete de comunicaie. n acelai timp, aceste pachete ncapsulate pot fi protejate mpotriva citirii sau alterrii prin diverse tehnici de criptare. Tunelurile pot avea dou feluri de puncte terminale, fie un calculator individual, fie o reea LAN cu un gateway de securitate poate fi un ruter sau un firewall. Orice combinaie a acestor dou tipuri de puncte terminale poate fi folosit la proiectarea unei reele VPN. n cazul tunelrii LAN-to-LAN, gateway-ul de securitate al fiecrui punct terminal servete drept interfa ntre tunel i reeaua privat LAN. n astfel de cazuri, utilizatorii fiecrui LAN pot folosi tunelul n mod transparent pentru a comunica unii cu alii. Cazul tunelului client-to-LAN, este cel stabilit de regul pentru utilizatorul mobil care dorete s se conecteze la reeaua local a firmei. Pentru a comunica cu reeaua de firm, clientul

12

(utilizatorul mobil), iniiaz crearea tunelului. Pentru aceasta, clientul ruleaz un software client special, care comunic cu gateway-ul de protecie al reelei LAN.

3.3 Avantaje VPN

Mediul de afaceri este n continu schimbare, multe companii ndreptndu-i atenia spre piaa global. Aceste firme devin regionale, multinaionale i toate au nevoie stringent de un lucru: o comunicaie rapid, fiabil i sigur ntre sediul central, filiale, birouri i punctele de lucru, adic de o reea WAN (de arie larg). O reea WAN tradiional presupune nchirierea unor linii de comunicaie, de la cele ISDN (128/256Kbps) la cele de fibr optic OC-3 (155 Mbps) care s acopere aria geografic necesar. O astfel de reea are avantaje clare fa de una public, cum este Internetul, cnd vine vorba de fiabilitate, performan i securitate. Dar deinerea unei reele WAN cu linii nchiriate este scump, proporional cu aria geografic acoperit. O dat cu creterea popularitii Internetului, companiile au nceput s i extind propriile reele. La nceput au aprut intraneturile, care sunt site-uri protejate prin parol destinate angajailor companiei. Acum, multe firme i-au creat propriile VPN-uri pentru a veni n ntmpinarea cerinelor angajailor i oficiilor de la distan. Un VPN poate aduce multe beneficii companiei: Reducerea costurilor-Reelele private virtuale sunt mult mai ieftine dect reelele private proprietare ale companiilor. Se reduc costurile de operare a reelei (linii nchiriate, echipamente, administratori reea). Integrare, simplitate-Se simplific topologia reelei companiei private. De asemenea, prin aceeai conexiune se pot integra mai multe aplicaii: transfer de date, Voice over IP, Videoconferine. Mobilitate -Angajaii mobili precum i partenerii de afaceri (distribuitori sau furnizori) se pot conecta la reeaua companiei ntr-un mod sigur, indiferent de locul n care se afl. Securitate -Informaiile care circul prin VPN sunt protejate prin diferite tehnologii de securitate (criptare, autentificare, IPSec). Oportuniti, comert electronic-Se pot implementa noi modele de business (business-to-business, business-to-consumer, electronic commerce) care pot aduce venituri suplimentare pentru companie. Scalabilitate-Afacerea companiei crete, deci apare o nevoie permanent de angajai mobili i conexiuni securizate cu partenerii strategici i distribuitorii. 13

3.4 Tipuri de reele VPN

La ora actul exist 3 tipuri principale de VPN-uri(figura 3.4a): - VPN-urile cu acces de la distan ( Remote Access VPN) permit utilizatorilor dial-up s se conecteze securizat la un site central printr-o reea public. Acestea mai sunt numite i dial VPNuri. - VPN-urile intranet (Intranet VPN) permit extinderea reelelor private prin Internet sau alt serviciu de reea public ntr-o manier securizat. Acestea sunt denumite i VPN-uri site-to-site sau LAN-to-LAN. - VPN-urile extranet (Extranet VPN) permit conexiuni securizate ntre partenerii de afaceri, furnizori i clieni, n general n scopul realizrii comerului electronic. VPN-urile extranet sunt o extensie a VPN-urilor intranet la care se adaug firewall-uri pentru protecia reelei interne.

Figura 3.4a Tipuri de reele VPN Toate aceste reele virtuale private au rolul de a oferi fiabilitatea, performana i securitatea mediilor WAN tradiionale, dar cu costuri mai sczute i conexiuni ISP (Internet Service Provider) mult mai flexibile. Tehnologia VPN poate fi folosit i ntr-un intranet pentru a asigura securitatea i controlul accesului la informaii, resurse sau sisteme vitale. De exemplu, se poate limita accesul anumitor utilizatori la sistemele financiare din companie sau se pot trimite informaii confideniale n manier securizat. 3.4.1 Acces VPN la distan 14

Acces VPN la distan(Remote Access VPN) permite conectarea individual (utilizatori mobili) sau a unor birouri la sediul central al unei firme, aceasta realizndu-se n cele mai sigure condiii (figura 3.4.1a).

Figura 3.4.1a. Remote Access VPN Exist dou tipuri de conexini VPN de acest fel: Conexiune iniiat de client Clienii care vor s se conecteze la site-ul firmei trebuie s aib instalat un client de VPN, acesta asigurndu-le criptarea datelor ntre computerul lor i sediul ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea n mod criptat, n concluzie ntregul circuit al informaiei se face n mod criptat. Trebuie precizat c n cazul acestui tip de VPN sunt folosii o multitudine de clieni de VPN. Un exemplu este Cisco Secure VPN dar i Windows NT sau 2000 au integrat clieni de VPN. Figura 3.4.1b schematizeaz acest tip de Access VPN :

Figura 3.4.1b. Acces de la distan iniiat de client Access VPN iniiat de serverul de acces acest tip de conexiune este ceva mai simpl pentru c nu implic folosirea unui client de VPN(figura 2.4.1c). Tunelul criptat se realizeaz ntre

15

server-ul de acces al ISP-ului i sediul firmei la care se vrea logarea. ntre client i server-ul de acces securitatea se bazeaz pe sigurana liniilor telefonice (fapt care uneori poate fi un dezavantaj).

Figura 3.4.1c Acces de la distan iniiat de server-ul de acces

3.4.2 Intranet VPN Intranet VPN permite conectarea diferitelor sedii ale unei firme folosind legturi dedicate (permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot s ating rate de transfer foarte bune) (figura 3.4.2a). Diferena fa de Remote Access VPN const n faptul c se folosesc legturi dedicate cu rata de transfer garantat, fapt care permite asigurarea unei foarte bune caliti a transmisiei pe lng securitate i band mai larg.

Figura 3.4.2a. Intranet VPN

16

Arhitectura aceasta utilizeaz dou routere la cele dou capete ale conexiunii, ntre acestea realizndu-se un tunel criptat. n acest caz nu mai este necesar folosirea unui client de VPN ci folosirea IPSec. IPSec (IP Security Protocol) este un protocol standardizat de strat 3 care asigur autentificarea, confidenialitatea i integritatea transferului de date ntre o pereche de echipamente care comunic. Folosete ceea ce se numete Internet Key Exchange ( IKE ) care necesit introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciproc. Schematic conexiunea este prezentat n figura 3.4.2b:

Figura 3.4.2b. Arhitectura Intranet VPN 3.4.3 Extranet VPN Extranet VPN este folosit pentru a lega diferii clieni sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni partajate, securitate maxim(figura 3.4.3a).

Figura 3.4.3a. Extranet VPN Acest tip de VPN seamn cu precedentul cu deosebirea c extinde limitele intranetului permind logarea la sediul corporaiei a unor parteneri de afaceri, clieni etc.; acest tip permite 17

accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate. Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru. Exista doua tipuri de VPN in ceea ce priveste securitatea: Vpn securizate si Vpn fiabile. 3.4.4 VPN cu livrare sigur (Trusted VPN) nainte ca Internetul s devine aproape universal, o reea virtual privat consta n unul sau mai multe circuite nchiriate de la un furnizor de comunicaii. Fiecare circuit nchiriat se comporta ca un singur fir ntr-o reea controlat de client. Deasemenea, cteodat furnizorul ajut la administrarea reelei clientului, dar ideea de baz era ca acesta, clientul, s poat utiliza aceste circuite nchiriate la fel ca i cablurile fizice din reeaua proprie. Sigurana oferit de aceste VPN-uri motenite se referea doar la faptul c furnizorul de comunicaii asigura clientul c nimeni altcineva nu va folosi aceleai circuite. Acest lucru permitea clienilor s aib adresarea IP i politici de securitate proprii. Circuitele nchiriate treceau printr-unul sau mai multe switch-uri de comunicaii, fiecare dintre acestea putnd fi compromis de ctre cineva doritor s intercepteze traficul reelei. Clientul VPN avea ncredere c furnizorul de VPN va menine integritatea circuitelor i va utiliza practicile cele mai bune disponibile pentru a evita interceptarea traficului pe reea. De aceea, aceste reele se numesc VPN cu livrare sigur (Trusted VPN). 3.4.5 VPN securizate (Secure VPN)

Odat cu popularizarea Internetului ca un mediu de comunicaii corporativ, securitatea a devenit un aspect important att pentru clieni ct i pentru furnizori. Vznd c VPN cu livrare sigur nu ofer o real securitate, furnizorii au nceput s creeze protocoale care permit criptarea traficului la marginea reelei sau la calculatorul de origine, trecerea prin reea ca orice alte date i apoi decriptarea n momentul n care datele ajung la reeaua corporativ sau calculatorul de destinaie. Acest trafic criptat se comport de parc ar fi un tunel ntre cele dou reele: chiar dac un atacator poate observa traficul, nu-l poate citi i nu i poate schimba coninutul fr ca aceste schimbri s fie observate de partea de recepie i, n concluzie, rejectate. Reelele construite utiliznd criptarea se numesc VPN securizate (Secure VPN). Recent, furnizorii de servicii au nceput s ofere un nou tip de VPN cu livrare sigur, de data asta folosind Internetul n loc de reeaua telefonic, ca suport pentru comunicaii. Noile VPN-uri cu 18

livrare sigur tot nu ofer securitate perfect, dar dau posibilitatea clienilor s creeze segmente de reea pentru WAN-uri (Wide Area Network). n plus, segmentele de VPN cu livrare sigur pot fi controlate dintr-un singur loc i deseori furnizorul garanteaz o anumit calitate a serviciilor (QoS Quality of Service). 3.4.6 VPN hibrid (Hybrid VPN) Un VPN securizat poate rula ca parte a unui VPN cu livrare sigur, crend un al treilea tip de VPN, foarte nou pe pia: VPN hibrid (Hybrid VPN). Prile sigure a unui VPN hibrid pot fi controlate de client (de exemplu, utiliznd echipament VPN securizat de partea lor) sau de acelai furnizor care asigur partea de ncredere a VPN-ului hibrid. Cteodat ntregul VPN hibrid este asigurat cu VPN-ul securizat dar, de obicei, doar o parte a VPN hibrid este sigur.

3.5 Tunelare
3.5.1 Fundamentele tunelrii
Tunelarea este o metod de a folosi infrastructura interreea pentru a transfera datele unei reele printr-o alt reea (figura 3.5.1a). Datele de transmis (sau sarcina util) pot fi cadre (sau pachete) sau un alt protocol. n loc s se trimit cadrele cum se produc n nodul de origine, protocolul de tunelare ncapsuleaz cadrul ntr-un header adiional. Headerul adiional ofer informaii de dirijare, astfel c sarcina util ncapsulat s poat traversa interreeaua intermediar. Pachetele ncapsulate se dirijeaz apoi ntre capetele tunelului prin interreea. Calea logic dup care se deplaseaz pachetele ncapsulate prin interreea se numete tunel. Odat ce cadrele ncapsulate ajung la destinaie n interreea, cadrul se decapsuleaz i se transmite la destinaia final.

19

Tunelarea include tot acest proces (ncapsularea, transmisia i decapsularea pachetelor).

Figura 3.5.1a. Tunelare Interreeaua de tranzit poate s fie orice interreea, cea mai cunoscut fiind Internetul. Sunt multe exemple de tuneluri care se transmit prin interreele corporative. i cum Internetul ofer interreeaua cea mai atotptrunztoare i eficient, referinele la Internet pot fi nlocuite de orice alt interreea public sau privat care se comport ca o interreea de tranzit. Tehnologia de tunelare poate fi bazat pe un protocol de tunelare pe nivel 2 sau 3. Aceste nivele corespund modelului de referin OSI. Protocoalele de nivel 2 corespund nivelului legtur de date, i folosesc cadre ca unitate de schimb. PPTP, L2TP i L2F (expediere pe nivel 2) sunt protocoale de tunelare pe nivel 2; ele ncapsuleaz ncrctura ntr-un cadru PPP pentru a fi transmis peste inter-reea. Protocoalele de nivel 3 corespund nivelului reea, folosesc pachete IP i sunt exemple de protocoale care ncapsuleaz pachete IP ntr-un antet IP adiional nainte de a le transmite peste o inter-reea IP. Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemntor cu o sesiune; ambele capete ale tunelului trebuie s cad de acord asupra tunelului i s negocieze variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. n cele mai multe cazuri, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea tunelului se folosete un protocol de meninere a tunelului. Tehnologiile de tunelarea pe nivel 3 pleac de la premiza c toate chestiunile de configurare au fost efectuate, de multe ori manual. Pentru aceste protocoale, poate s nu existe faza de meninere a tunelului. Pentru protocoalele de nivel 2, un tunel trebuie creat, meninut i distrus. Tunelul odat stabilit, datele tunelate pot fi trimise. Clientul sau serverul de tunel folosete un protocol de transfer de date de tunel pentru a pregti 20

datele pentru transfer. De exemplu, cnd clientul de tunel trimite sarcin util ctre serverul de tunel, clientul de tunel adaug un antet de protocol de transfer de date de tunel la informaia util. Apoi clientul trimite informaia ncapsulat rezultat prin interreea, care o dirijeaz ctre serverul de tunel. Serverul de tunel accept pachetul, elimin antetul de protocol de transfer de date i transmite informaia util la reeaua int. Informaia trimis ntre serverul de tunel i client se comport similar. n prezent exist o mare varietate de astfel de protocoale de exemplu PPTP, L2F, L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun n funcionalitate, altele ofer funcii similare dar complementare. Traficul VPN poate fi transmis pe infrastructura public (ex: pe Intenet), folosind protocoale standard (i deseori nesigure), sau peste reeaua unui provider de servicii de telecomunicaii care furnizeaz servicii VPN bine definite de SLA (Service Level Agreement) ntre consumatorul VPN i furnizorul de servicii VPN.

3.5.2 Reea virtual privat administrat de furnizor (PPVPN)

Blocurile componente Blocurile componente ale reelei( figura 3.5.2a) depind de nivelul PPVPN-urilor ; acestea pot fi numai de nivel 2, numai de nivel 3, sau o combinaie de nivel 2 i 3. Funcionalitatea MPLS estompeaz identitatea L2-L3. Dispozitivele de la grania clientului, CE (Customer Edge Device) sunt dispozitive prezente fizic la locul unde si desfsoar activitatea clientul i care permit accesul la serviciile PPVPN. n unele implementri, sunt considerate 21

puncte de demarcaie ntre responsabilitile clientului i cele ale furnizorului de servicii, alteori pot fi configurate de ctre clieni. Dispozitivul de la grania furnizorului , PE (Provider Edge Device) este un dispozitiv sau un set de dispozitive, la grania reelei furnizorului, care ofer furnizorului o viziune asupra clientului. PE tie care sunt VPN-urile conectate, pentru care menine i informaiile de stare. Dispozitivul furnizorului, P (Provider Device) se afl n interiorul reelei furnizorului (core network) i nu interfaeaz direct cu nici un client. Poate fi folosit, de exemplu, pentru a furniza dirijarea prin tuneluri operate de furnizorul de servicii, aparinnd diverilor clieni PPVPN. Acest dispozitiv este un element cheie la implementarea PPVPN, dar el nu cunoate starea reelei i nu menine informaiile de stare despre VPN. Sarcina sa principal este s permit furnizorului s se adapteze la oferta PPVPN, acionnd ca un punct de agregare pentru mai multe PE-uri. Astfel, conexiunile P-la-P asigur o capacitate mare de transport, deseori prin legturi optice ntre locaiile importante ale furnizorilor.

Figura 3.5.2a Modelul de referin PPVPN

3.5.3 Protocoale de tunelare

Pentru stabilirea unui tunel att clientul ct i serverul de tunel trebuie s foloseasc acelai protocol de tunelare Protocoalele de tunelare VPN includ: 22

Multi-Protocol Label Switching (MPLS) reprezint ultimul pas fcut n evoluia tehnologiilor de comutare/rutare pentru Internet, folosind o soluie ce integreaz att controlul rutrii IP, ct si comutarea de la nivelul legturii de date (nivelul 2 din modelul OSI).

Layer 2 Tunneling Protocol (L2TP) este o nlocuire bazat pe standarde, i totodat un compromis, prelund avantajele fiecruia dintre cele dou protocoale VPN proprii: Layer 2 Forwarding a lui Cisco i Point-to-Point Tunneling Protocol (PPTP) a lui Microsoft.

IPsec (IP security) folosit cu IPv4, fiind o parte obligatorie a IPv6. SSL/TLS folosite pentru tunelare i pentru securizarea proxy-urilor web. SSL este cadrul principal, cel mai des asociat cu comerul electronic, e-commerce, dar i pentru accesul la resursele de la distan. VPN-urile care lucreaz cu SSL sunt vulnerabile la atacul de tip refuzarea serviciului (Denial of Service) asupra conexiunilor lor TCP, deoarece acestea sunt ulterior neautentificate.

OpenVPN, este un standard VPN deschis. Este o variant de VPN bazat pe SSL capabil s ruleze pe UDP. L2TPv3 (Layer 2 Tunneling Protocol version 3), o nou variant pentru L2TP. VPN Quarantine calculatoarele clientului de la capetele VPN pot fi tratate ca surse de atac. Problema trebuie rezolvat de administratorii reelei VPN. Microsoft ISA Server 2004/2006 mpreun cu VPN-Q 2006 de la Winfrasoft, respectiv aplicaia QSS (Quarantine Security Suite) ofer aceast facilitate.

MPVPN (Multi Path Virtual Private Network), marc nregistrat a Ragula Systems Development Company.

3.5.3.1 Protocolul IPSec

Protocoalele IPsec opereaz la nivelul 3 OSI, nivelul reea. Alte protocoale pentru de securitate a Internetului de uz larg, cum ar fi SSL, TLS i SSH, opereaz de la nivelul de transport n sus (nivelurile 4-7 OSI). Asta face ca IPsec

23

s fie mai flexibil i s poat fi utilizat pentru protejarea protocoalelor de nivelul 4, inclusiv TCP i UDP (protocoalele cele mai des utilizate). Ipsec e o extensie a protocolului IP care furnizeaz securitatea IP-ului i a protocoalelor nivelelor superioare. Prima oar a fost dezvoltat pentru noul standard Ipv6 i apoi adaptat la Ipv4. Arhitectura Ipsec-ului e descris n RFC2401.au Ipsec folosete 2 protocoale diferite AH i ESP pentru a asigura autenticitatea, integritatea i confidenialitatea comunicrii. Poate proteja fie intreaga datagram a IP-ului sau numai protocoalele nivelelor superioare. Modurile cele mai convenabile/potrivite sunt: modul tunel (tunnel mode) i modul transport (transport mode). n modul tunel, datagrama IP e toat ncapsulata de o nou datagram IP folosind protocolul Ipsec. n modul transport doar incrctura util(payloadul) datagramei IP e condus de protocolul Ipsec insernd header-ul Ipsec ntre header-ul IP i headerul protocolului superior (vezi figura 3.5.3.1a)

Figura 3.5.3.1a Datagrame modul tunel i modul transport Pentru a proteja integritatea datagramelor IP, protocoalele Ipsec folosesc coduri de autenticitate HMAC (hash message authentication codes). Pentru a cpta acest HMAC, protocoalele Ipsec folosesc algoritmi hash ca MD5 i SHA pentru a calcula un hash bazat pe o cheie secret i pe coninuturile datagramei IP. Acest HMAC e apoi inclus n headerul protocolului Ipsec i receptorul pachetului poate controla/accesa HMAC-ul dac are acces la cheia secret. Pentru a proteja confidenialitatea datagramelor IP, protocoalele Ipsec folosesc algoritmi standard simetrici de encriptare. Standardul Ipsec necesit implementarea NULL i DES. Acum, de

24

obicei, algoritmii puternici sunt folosii ca 3DES, AES i Blowfish. Pentru a proteja, impotriva respingerii atacurilor, protocoalele folosesc o fereastr alunectoare (sliding window). Fiecrui pachet i se stabilete un numr de secven i e acceptat doar dac numrul pachetului e n cadrul ferestrei sau n apropiere. Pachetele mai vechi sunt imediat ndeprtate. Aceasta protejeaz mpotriva atacurilor cu rspuns unde atacatorul nregistreaz pachetele originale i le rspunde mai trziu. Pentru ca partenerii s fie capabili s ncapsuleze i decapsuleze pachetele Ipsec au nevoie de un mod de a pstra cheile secrete, algoritmii i adresele IP implicate n comunicare. Toi aceti parametri necesari pentru protecia datagramelor IP sunt stocate/salvate ntr-o asociaie de securitate SA (security association). SA sunt depozitate ntr-o baz de date SA (SAD). Fiecare SA definete urmtorii parametrii: Sursa i destinaia adresei IP a header-ului Ipsec rezultat. Protocolul Ipsec (AH sau ESP), cteodat comprimarea (IPCOMP) e suportat de asemenea. Algoritmul i cheia secret folosite de protocolul Ipsec. Parametrul index de securitate (Security Parameter Index SPI). Acesta e un numr pe 32 de bii care identific SA. Cteva implementri ale bazei de date SA permit parametrilor suplimentari s fie stocai/salvai: Modul Ipsec (tunel sau transport) Mrimea ferestrei alunectoare(sliding window) pentru a proteja mpotriva atacurilor cu rspuns (replay attacks) Timpul de viaa a SA De cnd SA definete sursa i destinaia adreselor IP, poate proteja doar ntr-o direcie a traficului ntr-o comunicare Ipsec duplex ntreag. Pentru a proteja n ambele direcii Ipsec necesit 2 SA unidirecionale. SA doar specific cum Ipsec trebuie s protejeze traficul. Informaia adiional e necesar s defineasc care trafic s protejeze i cnd. Aceast informaie e stocat/salvat n politica de asigurare SP (security policy) care n schimb e salvat ntr-o baz de date cu politici de asigurare SPD (security policy database). De obicei, un SP specific urmtorii parametrii: Sursa i destinaia adreselor pachetelor care necesit s fie protejate. n modul transport acestea sunt aceleai adrese ca la SA. n modul tunel ele pot s difere.

25

 Protocolul (i portul) care trebuie protejat. Unele implementri Ipsec nu permit definiia protocoalelor precise pentru protecie. n acest caz tot traficul ntre adresele IP menionate e protejat. SA este folosit pentru protecia pachetelor. Legtura/conectarea manual a SA e o eroare complet predispus i nu prea sigur. Cheia secret i algoritmii encriptati trebuie s fie mprii ntre toi participanii n reeaua virtual privat (virtual private network). n special schimbul cheilor ridic probleme critice pentru administratorul sistemului: Cum s schimbi chei simetrice secrete cnd nici o modalitate de encriptare nu e inca stabilita? Pentru a rezolva aceast problem s-a dezvoltat protocolulul de schimbat chei IKE (Internet Key Exchange Protocol). Acest protocol autentific participanii n prim faz. n a doua faz SA negociaz i cheile secrete simetrice sunt alese folosind un schimb de chei Diffie Hellmann. Apoi protocolul IKE chiar are grij s redefineasc cheile secrete pentru a le asigur confidenialitatea. Header-ul AH are o lungime de 24 bytes(figura 3.5.3.1b).

Figura 3.5.3.1b Header-ul AH protejeaz integritatea pachetului Primul byte e cmpul Headerului urmtor. Acest cmp specific protocolul urmtorului header. n modul tunel o datagram IP e ncapsulat; de aceea valoarea acestui cmp e 4. Cnd se ncapsuleaz o datagram TCP, n modul transport, valoarea corespunztoare e 6. Urmtorul byte specific lungimea ncrcturii utile. Acest cmp e urmat de 2 bytes necomunicativi (rezervai). Urmtorul cuvnt double menioneaz lungimea 32 bit indexul parametrului de securitate SPI (Security Parameter Index). SPI specific pentru decapsularea pachetului s se foloseasc SA. Secvena de 32 bii protejeaz mpotriva atacurilor cu rspuns. n cele din urm bitul 96 reine HMAC. Acest HMAC protejeaz integritatea pachetelor din moment ce doar partenerii care tiu cheia secret pot crea i verifica HMAC-ul. De cnd protocolul AH protejeaz datagrama IP incluznd pri permanente a header-ului IP, cum IP-ul se adreseaz, protocolul AH nu permite 26

translatarea adreselor de reea NAT (Network address translation). NAT nlocuiete o adres IP n header-ul IP (de obicei surs IP) de o adres IP diferit. Dup schimb HMAC nu mai e valid. ESP Encapsulated Security Payload Protocolul ESP poate asigura integritatea pachetului folosind un HMAC dar i confidenialitatea folosind encriptri. Dup encriptarea pachetului i calcularea HMAC-ului, e generat header-ul ESP i adugat la pachet (figura 3.5.3.1c ).

Figura 3.5.3.1c. Header ESP Primul cuvnt double din header-ul ESP specific indexul parametrului de securitate SPI (Security Parameter Index). SPI specific s foloseasc SA pentru decapsularea pachetului ESP. Al 2-lea cuvnt double specific numrul de secven. Numrul de secven e folosit pentru a proteja mpotriva atacurilor cu rspuns. Al 3-lea cuvnt double specific iniializarea vectorului IV (Initialization Vector) care e folosit pentru procesul de encriptare. Algoritmii simetrici de encriptare sunt sensibili la un atac frecvent dac nu e folosit nici un IV. IV-ul asigur c dou ncrcturi utile identice duc la ncrcturi utile encriptate diferit. Ipsec folosete cifru de blocare pentru procesul de encriptare. De aceea ncrcturile utile pot avea nevoie s fie cptuite dac lungimea ncrcturii utile nu e un multiplu/variant a lungimii obstacolului. Lungimea cptuelii e apoi adugat. Urmrind lungimea cptuelii cmpul header-ului urmtor lung de 2 bytes specific header-ul urmtor. n cele din urm HMAC, lung de 96 bii, e adugat la header-ul ESP asigurnd integritatea pachetului. HMAC-ul ia n considerare doar ncrctura util a pachetului.

27

Folosirea lui NAT nu stric protocolul ESP. Totui, n cele mai multe cazuri, NAT nu e posibil n combinaie cu Ipsec. NAT-Traversal ofer o soluie n acest caz prin ncapsularea pachetelor ESP nuntrul pachetelor UDP. 3.5.3.2 Protocolul SSL

Aut SSL (Secure Sockets Layer) este un protocol dezvoltat de Netscape pentru transmiterea documentelor private prin Internet. SSL utilizeaz un sistem de criptare cu dou chei, una public, cunoscut de toat lumea i una privat, cunoscut doar de beneficiarul mesajului (receptorul). Att Netscape ct i Internet Explorer suport protocolul SSL, iar o serie de site-uri l utilizeaz pentru obinerea informaiilor sensibile, cum ar fi numrul crii de credit. Re Paii care sunt urmai n procesul criptografic al implementrii SSL sunt : 1) Se cripteaz codul cu cheia secret a expeditorului 2) Se cripteaz codul cu cheia public a destinatarului 3) Se genereaz certificate care transport cheia public folosit n criptografia asimetric Esen procesului de comunicare prin SSL const n stabilirea unor parametri criptografici nainte de transmiterea efectiv a datelor. Stabilirea parametrilor poart numele de SSL handshake. n primul rnd, clientul comunic serverului ce cipher suites are disponibile . Un cipher suite reprezint o combinaie de parametri criptografici ce definesc algoritmul i cheile folosite pentru autentificare i criptare. Apoi, serverul se poate autentific (acest pas este opional), permindu-i clientului s fie sigur c entitatea server este ceea cu care clientul se ateapt s comunice. Pentru aceasta, serverul prezint clientului un certificat ce conine cheia sa public. Verificnd acest certificat clientul poate fi sigur de identitatea serverului. Din acest moment, pot fi schimbate date ntre client i server. Pe parcursul primei faze, clientul i serverul negociaz care algoritm de criptare va fi folosit. Implementarea curent urmrete urmtoare alternativele: Pentru criptarea cu cheie public: RSA, Diffie-Hellman, DSA sau Fortezza; Pentru cifru simetric: RC2, RC4, IDEA, DES, Triple DES sau AES; Pentru funcii de criptare pe un singur drum: MD5 sau SHA. Protocolul SSL schimb nregistrrile; fiecare nregistrare poate fi compresat opional, criptat i mpachetat cu un MAC (message authentication code). Fiecare nregistrare are un

28

cmp(field) content_type care specific nivelul superior al protocolului ce a fost nceput s fie folosit. Cnd conexiunea ncepe, nivelul nregistrrii ncapsuleaz un alt protocol, protocolul handshake, care are content_type 22. Clientul trimite i primete mai multe structuri handshake: El trimite mesajul ClientHello specificnd lista de cipher suites (suit de cifruri), metoda de compresie i cea mai superioar versiune de protocul pe care l suport. El deasemenea trimite bytes la ntmplare, care vor fi folosii mai trziu. Mai apoi el primete mesajul ServerHello, n care serverul alege parametrii de conexiune, din alegerile oferite de ctre client. Cnd parametrii de conexiune sunt cunoscui, clientul i serverul schimb certificatele(care depinde de cheia public selectat). Aceste certificate sunt n curent de tipul X.509, dar deasemenea recruteza specificrile folosite de bazele certificatelor OpenPGP. Serverul poate solicita un certificat de la client, astfel acesta conexiune poate fi n mod reciproc autentificat. Clientul i serverul negociaz convorbirea secret comun master secret, e posibil folosirea ca rezultat un schimb de tipul Diffie- Hellman, sau mai simplu criptnd un secret cu o cheie public acesta fiind decriptat cu o cheie privat peer. Toate celelalte chei sunt derivate din din acest master secret (i clientul i serverul genereaz valori la ntmpare), care sunt rmase n urm print-o atenie deosebit prin proiectarea funciei Pseudo Random Function. Dwwdwd 3.5.3.3 Protocolul L2TP L2TP se comport ca un protocol de nivel de legtur de date (nivelul 2 al modelului OSI) pentru traficul de reea, tunelat ntre dou capete peste o reea existent (de obicei Internetul). L2TP este de fapt un nivel de sesiune de protocol de nivelul 5 i folosete portul UDP nregistrat 1701. Tot pachetul L2TP, inclusiv informaia util i headerul L2TP, se trimite printr-o datagram UDP. Se obinuiete transportul unor sesiuni PPP (Point-to-Point Protocol) n interiorul tunelului L2TP. L2TP nu asigur de unul singur confidenialitate sau autenticitate puternic. Deseori se utilizeaz Ipsec pentru securizarea pachetelor L2TP, prin asigurarea confidenialitii, autenticitii i integritii. Combinaia acestor protocoale se mai numete L2TP/Ipsec.

29

Figura 3.5.3.3a Scenariu L2TP Cele dou capete a unui tunel L2TP sunt: concentratorul de acces L2TP (LAC L2TP Access Concentrator) i serverul de reea L2TP (LNS L2TP Network Server). LAC este iniiatorul tunelului, n timp ce LNS este serverul care ateapt tunelurile noi. Odat ce s-a stabilit tunelul, traficul ntre puncte este bidirecional. Pentru utilizarea n reelistic, prin tunelul L2TP se trimit protocoale de niveluri superioare. Prin aceast facilitate, pentru fiecare protocol de nivel superior, cum ar fi PPP, se stabilete o sesiune L2TP (sau apel). O sesiune poate fi iniiat de LAC sau LNS. L2TP izoleaz traficul pentru fiecare sesiune, deci este posibil stabilirea mai multor reele virtuale prin acelai tunel. Pachetele utilizate ntr-un tunel L2TP se mpart n pachete de control i pachete de date(figura 3.5.3.3b). L2TP asigur integritatea pachetelor de control dar nu i a celor de date. Dac se dorete, integritatea poate fi asigurat prin protocoalele utilizate n sesiunile tunelului L2TP.

Figura 3.5.3.3b Structura unui pachet L2TP coninnd date de utilizator 30

Fig 3.5.3.3c Criptarea unui pachet L2TP cu IPSec ESP (Encapsulating Security Payload)er 2 Tcreat irma echipei Microsoftth Virtual Private Network). MPestnregistrat a 3.5.3.4 L2TPv3 L2TPv3 este o versiune-proiect a L2TP propus ca alternativ la protocolul MPLS, pentru ncapsularea traficului de comunicaii multiprotocol de nivelul 2 (figura 3.5.3.4a). La fel ca L2TP, L2TPv3 asigur un serviciu de pseudo-fir, dar adaptat la cerinele purttorului. Se poate spune c L2TPv3 este pentru MPLS ce este IP pentru ATM: o versiune simplificat a aceluiai concept, avnd majoritatea avantajelor la o fraciune din efort (costul pierderii anumitor caracteristici tehnice, considerate mai puin importante pe pia). n cazul L2TPv3, caracteristicile pierdute sunt cele de inginerie a traficului, considerate a fi importante n MPLS. Protocolul suport pentru L2TPv3 este deasemenea cu mult mai mare dect MPLS. Totui nu exist motive pentru care aceste caracteristici nu pot fi reintegrate n, sau peste L2TPv3, n produsele viitoare.

31

Figura 3.5.3.4a Tunel L2TPv3

3.5.3.5 MPLS
Comutarea Multiprotocol cu Etichete (Multi Protocol Label Switching) reprezint o nou arhitectur n care nodurile terminale adaug o etichet unui pachet IP ce identific drumul spre destinaie, iar pachetele sunt direcionate pe baza etichetei, fr inspectarea header-ului iniial. MPLS reprezint ultimul pas fcut n evoluia tehnologiilor de comutare/rutare pentru Internet, folosind o soluie ce integreaz att controlul rutrii IP, ct i comutarea de la nivelul legturii de date (nivelul 2 din modelul OSI). Mai mult, MPLS ofer bazele unor servicii de rutare avansate, rezolvnd o serie de probleme: -se adreseaz problemelor privind scalabilitatea, legate de modelul IP-over-ATM, reducnd complexitatea operaiilor din reea; -faciliteaz apariia de noi posibiliti de rutare, ce mbuntesc tehnicile de rutare IP existente; -ofer o soluie standardizat, ce are avantajul interoperabilitii ntre diveri furnizori de produse i servicii. Esen MPLS-ului este generarea unei etichete label scurte, de dimensiune fix, care se comport ca o reprezentare simplificat a header-ului pachetului IP. Este la fel cum codul potal este o form simplificat pentru adresa unei case, a unei strzi i a unui ora n adresa potal, folosind aceast etichet pentru a lua o decizie n procesul de forward. Pachetele IP au un cmp n header-ul lor care conine adres spre care pachetul este rutat. Procesul tradiional de rutare ntr-o reea proceseaz aceast informaie la fiecare router, ntr-o cale a pachetului prin reea (rutare pas cu pas).

32

n MPLS, pachetele IP sunt ncapsulate cu aceste etichete de ctre primul dispozitiv MPLS pe care-l ntlnesc de cum intr n reea. Router-ul MPLS din margine (egde-router) analizeaz coninutul header-ului IP i selecteaz o etichet potrivit cu care s ncapsuleze pachetul. Cel mai mare avantaj al MPLS-ului vine tocmai din faptul c n contrast cu rutarea IP convenional, aceast analiz poate s nu se bazeze numai pe adresa destinaie care este purtat de header-ul IP, ci i pe alte elemente. La fiecare dintre nodurile ulterioare din reea, eticheta MPLS (i nu header-ul IP) se folosete pentru a lua decizia de forwarding pentru un pachet. n final, pe parcurs ce pachetele MPLS etichetate prsesc reeaua, un alt edge router elimin etichetele. n terminologia MPLS, nodurile sau router-ele care manipuleaz pachetele se numesc Label Switched Routers (LSR) routere cu comutare de etichete. Derivarea acestor termeni este evident: router-ele MPLS forward-eaza pachetele, lund decizii de comutare bazate pe eticheta MPLS. Aceasta ilustreaz un alt concept cheie n MPLS. Router-ele IP convenionale conin tabele de rutare care sunt interogate folosind un header IP dintr-un pachet pentru a decide cun s forward-eze acest pachet. Aceste tabele sunt construite de ctre protocoale de rutare IP (cum ar fi RIP, OSPF), care poart informaia IP destinaie sub form de adrese IP. n practic observm c acest forwarding (inspectarea header-ului IP) i planurile de control (generarea tabelelor de rutare) sunt strns cuplate. ntruct forwarding-ul MPLS este bazat pe etichete, este posibil separarea clar a planului de forward-are (bazat pe etichet) de planul de control pentru protocolul de rutare. Prin separarea acestora dou, fiecare poate s fie modificat independent. Cu o astfel de separare, nu mai avem nevoie s schimbm maina care face forwarding-ul, de exemplu, pentru a migra spre o nou strategie de rutare n reea. Suita de protocoale TCP/IP (i n special protocolul IP) este acum fundamentul pentru multe reele publice (Internet-ul) i private (Intranet-uri) de date. Viitoarea convergen a vocii, datelor i reelelor multimedia se ateapt s fie n mare bazat pe protocoale IP, ducnd la necesitatea de mbuntiri din punct de vedere tehnic i operaional. MPLS permite s avem decizii de forwarding bazate pe: Traffic Engineering, multicast, VPN, QoS, etc.

33

VPN_A

VPN_A

CE
VPN_B

CE PE P P PE P P PE CE
VPN_A

CE
VPN_A

PE

CE

CE
VPN_B

VPN_B

CE

Figura 3.5.3.5a Nodurile MPLS Rutarea VPN/Instan de Forward(VPN Routing and Forwarding Instance) VRF Un VRF se alctuiete dintr-o tabel de rutare IP, o tabel derivat de forward , un set de interfee ce utilizeaz tabela de forward, i un set de reguli i protocoale de rutare care determin ce pachete urmeaz s intre n tabela de forward. n general, un VRF include informaia de rutare care definete locaia VPN a clientului care este ataat ruterului PE. Routerele PE menin dou tabele de rutare separate(figura 3.5.3.5b): -Tabela global de rutare, care conine rutele P i PE -VRF tabelele de rutare i forwardare asociate cu unul sau mai multe locaii conectate (rutere CE). VRF-ul este asociat cu orice tip de interfa, fie ea fizic sau logic. Interfeele pot s mpart acelai VRF dac locaiile conectate folosesc aceeai informaie de rutare.

Company. Cutai Trad Figura 3.5.3.5be Tabele de rutare in MPLS-VPNmar k Applications Regist Pentru a obine securitatea necesar pentru administrarea VPN-urilor prin Internet, folosind abordarea de nivel 3, e necesar separarea adreselor i dirijare traficului ntre clieni. Acest lucru se subnelege n cazul unei abordri de nivel 2, dar trebuie proiectat special pentru soluiile VPN de Nivel 3. Pentru 34

rezolvarea acestei probleme, un numr de experi n Internet (Cisco, Juniper, AT&T, Alcatel, Worldcom) au definit modul de realizare al separrii de adrese i al dirijrii folosind BGP (Border Gateway Protocol), precum i modul de transmitere a acestei informaii i a traficului VPN n sine, prin backbone-ul MPLS. Modelul presupune ca furnizorul de servicii (SP Service Provider) s fie proprietarul backbone-ului i s administreaze serviciile VPN de la echipamentul PE (Provider Edge), care comunic direct cu echipamentul CE (Customer Edge) folosind tehnologii standard, cum ar fi Frame Relay, ATM, DSL i T1. Astfel, clientul achiziioneaz serviciile VPN direct de la SP. Apoi SP va furniza serviciile VPN clienilor multipli folosind un dispozitiv PE partajat. Cheia spre a oferi securitate n echipamentul PE se realizeaz prin extensiile BGP-VPN. Fiecare ruter PE trebuie s menin un numr de tabele de dirijare, fiecare dintre ele fiind asociat cu o clas de VPN. Cnd se recepioneaz un pachet de la echipamentul CE, se folosete tabelul de dirijare asociat locaiei pentru a determina dirijarea datelor. Fiecare VPN are propriul tabel unic de dirijare, cunoscut sub numele VRF VPN Routing and Forwarding. Dac un dispozitiv PE are conexiuni multiple la aceai locaie, se poate asocia un singur VRF la toate acele conexiuni. Extensiile BGP-VPN pentru suportul VRF permit apoi BGP-ului s trimite informaia specific de dirijare la ruterul PE conectat la cellalt capt al VPN-ului. n aceast abordare se menine separarea rutelor pentru fiecare client unic VPN. n acest tip de arhitectur, numai ruterele PE trebuie s poarte informaia VRF. Nu este necesar ca ruterele care nu sunt de grani de pe backboneul SP s tie tot despre informaia VRF. Acest design extinde foarte mult scalabilitatea abordrii VPN de nivel 3. n fiecare ruter PE se pot asocia subinterfee VRF-urilor; n acest caz spunem c asocierea este multi-ton. Dou subinterfee nu se pot asocia cu acelai VRF dac nu intenioneaz s arate informaia de rutare i dac adresa de destinaie a pachetului VRF este determinat de subinterfaa prin care se recepioneaz. Se definete un concept de adrese VPN-Ipv4 folosit pentru a distinge rutele. O adres VPN-Ipv4 este o adres de 12 octei care ncepe cu un 35

separator de adrese (RD Route Distinguisher) de 8 octei i se termin cu o adres Ipv4 de 4 octei. Extensiile Multiprotocol BGP (BGP-MP) permit BGP s transporte rute din aceast nou familie de adrese. Familia de adrese VPN-Ipv4 i RD asigur c dac se folosesc adrese similare n dou VPN diferite, se pot menine rute diferite ctre adresa respectiv. Extensiile BGP-VPN permit configurarea politicilor de distribuie de rute pentru distribuia corespunztoare a informaiei de rutare. Ruterele PE pot, de asemenea, s autodescopere cellalt dispozitiv PE ataat la acelai VPN. Acest lucru elimin nevoia de a reconfigura ambele PE-uri la reconfiguraia sau configuraia iniial a VPNului

3.6 Componente VPN. Metode de realizare a soluiilor VPN

n funcie de tipul VPN-ului (cu acces de la distan sau site-to-site), pentru a construi un VPN este nevoie de cteva componente: software client pentru fiecare utilizator de la distan; hardware dedicat, precum un concentrator VPN sau un firewall PIX de securitate; un server VPN dedicat serviciilor dial-up; un NAS (server de acces la reea) folosit de furnizorul de servicii pentru accesul VPN al utilizatorilor de la distan; un centru de administrare a politicilor din reeaua VPN. O soluie VPN bazat pe Internet este alctuit din patru componente principale: Internet-ul, porile de securitate (gateways), politicile de securitate ale server-ului i autoritile de certificare. Internet-ul furnizeaz mediul de transmitere. Porile de securitate stau ntre reeaua public i reeaua privat, mpiedicnd intruziunile neautorizate n reeaua privat. Ele, deasemenea, dispun de capaciti de tunelare i criptare a datelor nainte de a fi transmise n reeaua public. n general, o poart de securitate se ncadreaz n una din urmtoarele categorii: routere, firewall, dispozitive dedicate VPN harware i software.

Sisteme VPN bazate pe routere

36

Pentru c router-ele trebuie s examineze i s proceseze fiecare pachet care prsete reeaua, pare normal ca n componena acestora s fie inclus i funcia de criptare a pachetelor. Comercianii de routere dedicate VPN( figura 3.6a ), de obicei ofer dou tipuri de produse: ori cu un suport software pentru criptare, ori cu un circuit adiional echipat cu un co-procesor care se ocup strict de criptarea datelor. Acestea din urm reprezint cea mai bun soluie pentru situaiile n care sunt necesare fluxuri mari de date. Trebuie avut grij la adugarea de noi sarcini pentru router (criptarea), pentru c, dac router-ul nu poate face fa i pic, atunci ntreg VPN-ul devine nefuncionabil. Cisco 3660 Series Cisco 1710 Series Cisco 3620 Series

Figura 3.6a. Routere folosite la VPN Din punct de vedere al performanelor, soluia bazat pe routere este cea mai bun dar implic un consum foarte mare de resurse, att din punct de vedere financiar ct i din punct de vedere al resurselor umane, fiind necesari specialiti n securitatea reelelor pentru a configura i ntreine astfel de echipamente. Este o soluie potrivit pentru companiile mari, care au nevoie de un volum foarte mare de trafic i de un grad sporit de securitate.
Filiala

Sediul central

Internet

Biroul de acasa

Figura 3.6b Soluie VPN bazat pe routere

Sisteme VPN bazate pe firewall

37

Muli comerciani de firewall includ n produsele lor capacitatea de tunelare. Asemeni router-elor, firewall-urile trebuie s proceseze tot traficul IP. Din aceast cauz, nu reprezint o soluie potrivit pentru tunelare n cadrul reelor mari cu trafic foarte mare. Combinaia dintre tunelare, criptare i firewall reprezint probabil soluia cea mai bun pentru companiile mici, cu volum mic de trafic. Ca i n cazul router-elor, dac firewall-ul pic, ntreg VPN-ul devine nefuncionabil. Folosirea firewall-urilor pentru creearea de VPN reprezint o soluie viabil, ndeosebi pentru companiile de dimensiuni mici, ce transfer o cantitate relativ mic de date (de ordinul 1-2 MB pe reeaua public). Soluia unui firewall cu VPN integrat(figura 3.6c) prezint avantajul unei securiti sporite (poarta de securitate a VPN-ului fiind protejat de filtrele aplicate de firewall) i, de asemenea, este mult mai uor de ntreinut, fcndu-se practic management pentru amndou componentele simultan.

Figura 3.6c. Firewall cu VPN integrat Echipamente harware dedicate O alt soluie VPN o reprezint utilizarea de hardware special (figura 3.6d) proiectat s

ndeplineasc sarcinile de tunelare, criptare i autentificarea utilizatorilor. Aceste echipamente opereaz de obicei ca nite puni de criptare care sunt amplasate ntre router-ele reelei i legtura WAN (legtura cu reeaua public). Dei aceste echipamente sunt proiectate pentru configuraiile LAN-to-LAN, unele dintre ele suport i tunelare pentru cazul client-to-LAN.

38

Utilizator 3002 Cable Modem Filiala 3002 DSL Concentrator VPN

Internet

Filiala 3002

Figura 3.6d Client hardware VPN Integrnd diverse funcii n cadrul aceluiai produs poate fi destul de atrgtor pentru o firm care nu beneficiaz de resursele necesare pentru a instala i ntreine echipamente de reea diferite. O simpl pornire a unui astfel de echipament este mult mai simpl dect instalarea unui software pe un firewall, configurarea unui router i instalarea unui server RADIUS. Chiar dac multe din aceste echipamente hardware(figura 3.6e) par c ofer cele mai bune performane pentru un VPN, tot trebuie decis cte funcii doreti s integrezi ntr-un singur echipament. Companiile mici, care nu dispun de personal specializat n securitatea reelelor vor beneficia de aceste produse care integreaz toate funciile unui VPN. Unele produse cele mai scumpe includ surse duble de alimentare i au caracteristici deosebite care asigur fiabilitatea funcionrii. Este greu de depit performana acestor echipamente n capacitatea lor de a susine un volum de trafic mare i un numr impresionant de tuneluri simultane, lucru esenial pentru companiile mari.

Figura 3.6e. Cisco VPN 3002 Hardware Client Soluii software dedicate

39

Componente software VPN sunt deasemenea disponibile pentru creearea i ntreinerea de tuneluri, fie ntre dou pori de securitate, fie ntre un client i o poart de securitate. Aceste sisteme sunt agreeate datorit costurilor reduse i sunt folosite pentru companiile mici, care nu au nevoie s procesese o cantitate prea mare de date. Aceste soluii pot rula pe servere existente, mprind astfel resursele cu acestea. Reprezint soluia cea mai potrivit pentru conexiunile de tipul client-to-LAN. Practic, se instaleaz o aplicaie software pe calculatorul clientului care stabilete conexiunea cu serverul VPN. Exist multe firme productoare de astfel de aplicaii, Microsoft, integrnd de altfel n ultimele sisteme de operare lansate soluii software de acest gen. Asfel, sistemul de operare Windows 2003 Server are ncorporat un server VPN iar, din punct de vedere al clienilor, sistemele de operare Windows 2000 Pro, respectiv Windows XP au ncorporat un client VPN. Practic se poate realiza o aplicaie VPN fr a mai instala alte produse software sau hardware, trebuind doar configurate cele existente. Pe lng porile de securitate, o alt component important a unui VPN o reprezint politica de securitate a server-ului. Acest server menine listele de control al accesului i alte informaii legate de utilizatori. Porile de securitate folosesc aceste informaii pentru a determina care este traficul autorizat. n cele din urm, autoritatea de certificare este necesar pentru a verifica cheile partajate ntre locaii i pentru a face verificri individuale pe baza certificatelor digitale. Companiile mari pot opta pentru a-i menine propria baz de date cu certificate digitale pe un server propriu, iar n cazul companiilor mici intervine o ter parte reprezentat de o autoritate de ncredere.

3.7 Securitate VPN

3.7.1 Ameninri la adresa reelelor publice
Cele mai vulnerabile situaii ale pachetelor securizate i stabile identificate n reele sunt: pierderea caracterului privat al reelei ,impostura, pierderea integritii datelor , refuzul serviciului. 40

VPN ofer soluii pentru nlturarea ameninrilor de tipul celor menionate mai sus asigurnd: 1. Pentru a pstra confidenialitate - Criptarea sau criptografierea datelor 2. Pentru a nltura impostura - Autentificarea 3. Integritatea pachetelor 4. Satisfacia unui serviciu la un pre accesibil n general orice intrus n reea urmeaz procesul descris mai jos: 1. Supravegherea (din exterior) - Persoana ru intenionat acceseaz informaii publice sau apare ca utilizator obinuit. n acest stadiu este aproape imposibil s i fie identificate inteniile. ntre timp el poate accesa tabela DNS (Domain Name System) i identific numele staiilor de lucru, aflndu-se aparent ntr-o cutare a unor date publice (ex. tiri, comentarii despre companie etc). 2. Recunoaterea sau scanarea - Intrusul caut informaii, dar nc nu produce nimic ru. De cele mai multe ori acceseaz site-urile companiei n cutarea scripturilor CGI (Common Gateway Interface), acestea fiind cel mai uor de atacat. 3. Exploatarea sistemului-Intrusul ncearc s utilizeze posibilele deficiente n securitatea sistemelor utilizate. Astfel, el are cteva alternative: s transmit un volum mare de date i s se foloseasc de blocajul sistemului sau s speculeze conturile de autentificare neprotejate de parole sau cu parole uor de identificat. 4. La atac - n acest stadiu, intrusul este deja n reea fiind deghizat ntr-una dintre staiile de lucru utilizate n reea. Obiectivul principal al intrusului este de a terge urmele, astfel ca la auditarea tranzaciilor n reea s nu fie identificat traseul de ptrundere. El trebuie s se asigure totui c va putea reveni oricnd va dori. Aa c intrusul poate instala utilitare proprii care s i dea acces, nlocuind serviciile existente dup sistemul calului Troian sau genernd un cont de utilizator. 5. Btlia final - Intrusul sustrage date, utilizeaz resursele sistemului pentru alte atacuri viitoare sau mutileaz datele paginii Web. Toate acestea afecteaz att utilizatorii interni, ct i imaginea extern a companiei. Pentru a nltura aceste iminente atacuri, datele tranzitate prin reelele VPN trebuie s fie criptate. Astfel nu vor putea fi accesate dect de cei autorizai, pstrndu-se astfel confidenialitatea datelor. 41

3.7.2 Solutii VPN

O reea VPN bine proiectat folosete cteva metode care menin datele i conexiunea securizate: firewall-uri, criptarea, IPSec sau server AAA. Astzi securitatea reelei este n principal asigurat de firewall-uri, produse care pun o barier software ntre resursele companiei (reeaua privat) i Internet. Firewall-urile pot fi configurate s restricioneze numrul de porturi deschise, pot fi instruite care feluri de pachete s le lase s treac i care nu, dar un firewall poate fi utilizat pentru a ncheia sesiunile VPN(figura 3.7.2a).

Figura 3.7.2a. Firewall CheckPoint Software Technologies i Raptor Systems sunt dou dintre cele mai cunoscute firme care vnd soft de firewall pentru servere Unix, situate n apropierea router-ului de reea. Alte firme, ca Cisco Systems i Ascend Communications, vnd produse de securitate la nivel de router. Cel mai ntlnit dintre protocoalele VPN discutate anterior este IPSec un open-standard de securitate folosit de cele mai mari firme, printre care se numr IBM, Sun sau BayNetworks pentru stabilirea comunicaiilor directe private prin Internet. Internet Protocol Security (IPSec)( Figura 3.7.2b) ofer caracteristici de securitate extins, precum i algoritmi de criptare mai buni, pe lng mecanisme de autentificare. IPSec poate cripta date ntre diverse echipamente: router-router, firewall-router, PC-router, PC-server.

IPSec protejeaz datele n trei moduri, folosind tehnici criptografice: Autentificare: Procesul prin care este verificat identitatea unui host (staie de lucru). Verificarea integritii: Procesul prin care se semnaleaz orice modificri ale datelor survenite n procesul de transport prin Internet, ntre surs i destinaie. Criptarea: Procesul de codificare a informaiei n tranzit prin reea, pentru a asigura caracterul su privat.

42

Figura 3.7.2b Un Remote Access VPN cu Ipsec Serverele AAA (de autentificare, autorizare i jurnalizare) sunt folosite pentru accesurile mult mai securizate dintr-un mediu VPN de accesul la distan. Cnd vine o cerere de stabilire a unei sesiuni de la un client dial-up, serverul AAA verific urmtoarele: -cine suntei (autentificare); -ce permisiuni avei (autorizare); -ce anume de fapt facei (jurnalizare). Funcia de jurnalizare este util atunci cnd se urmrete ce anume face clientul, n scopul facturrii. O soluie complet pentru realizarea unei reele VPN necesit mbinarea a trei componente tehnologice critice: securitatea, controlul traficului i administrarea la nivelul organizaiei. Securitatea Tehnologiile importante care acoper componena de securitate a unei reele VPN sunt: controlul accesului pentru garantarea securitii conexiunilor din reea, criptarea, pentru protejarea confidenialitii datelor, autentificarea, pentru a verifica identitatea utilizatorului, ct i integritatea datelor.
Controlul

traficului

O a dou component critic n implementarea unei reele VPN este dat de controlul traficului, realizat pentru un scop simplu i clar: garantarea fiabilitii, calitii serviciilor i a unor performane optime n ceea ce privete ratele de transfer. Comunicaiile n Internet pot duce la apariia unor zone de congestie, impropii unor aplicaii critice n domeniul afacerilor. Alternativa este dat de stabilirea

43

unor prioriti de rutare a traficului, astfel nct transferul datelor s fie realizat cu fiabilitate maxim.
Administrarea

la nivelul organizaiei

Ultima component critic este dedicat garantrii unei integrri complete a reelei VPN n politica de securitate global, unei administrri centralizate (fie de la o consol local, fie de la una la distan) i unei scalabilti a soluiei alese. Deoarece n cazul reelelor VPN nu exist o reet unic, este necesar o combinaie particular a acestor trei componente, astfel nct rezultatul practic s ntruneasc criteriile de evaluare mai sus cros

3.7.3 Criptarea datelor

i Criptarea este o metod de codare a datelor prin intermediul unei forme algoritmice ntr-o

form indescifrabil nainte de transmiterea acestora de ctre staia de lucru surs i decodate ulterior la destinaie prin aplicarea algoritmului de criptare n sens invers. Fr ca s existe un mecanism de criptare a datelor, acestea ar circula n clar pe canalele de comunicaie publice ale Internetului. Aceste date ar putea fi citite i interceptate prin tehnici banale (analizor de protocol, instrumente de diagnoz n reea, adeseori incluse n sistemele de operare n reea). Sistemul care asigur prelucrarea consecvent a datelor n acest scop poart denumirea de criptosistem, format din procesele de criptare/decriptare i de participanii la acesta - emitorul i receptorul. n prezent exist dou tipuri de criptosisteme: cu cheie privat i cu cheie public. 3.7.3.1 Criptosisteme cu cheie privat (simetrice)

Acest tip de sistem utilizeaz aceeai cheie secret, att pentru criptare ct i pentru decriptare. Cheia este de fapt un ir de bii, avnd o lungime fix. Schemele de criptare simeric sunt foarte rapide, algoritmii utilizai n prezent de productorii VPN sunt RC-4 (RSA), DES (Data Encryption Standard), IDEA (Internaional Data Encryption Algorithm), triple-DES, FWZ-1 sau tehnologia de criptare Skipjack, propus de guvernul Statelor Unite i implementat n cipul Clipper. Fiecare dintre aceti algoritmi difer prin lungimea cheii, care adesea este asimilat cu "puterea" de criptare a algoritmului. Aceast putere determin efortul de calcul necesar pentru descoperirea cheii. Cu ct o cheie este mai lung cu att algoritmul de criptare este mai "puternic". 44

Cu toate acestea, utilizarea doar a unui sistem cu cheie privat prezint cteva dezavantaje. Din moment ce "cheia secret" este folosit att pentru criptare, ct i pentru decriptare, oricine deine aceast cheie poate intercepta datele care au fost sau nu criptate, punnd sub semnul riscului comunicaiile desfurate sub aceast cheie. Din aceast cauz, cheile trebuie livrate ntr-o manier intrinsec protejat, cum ar fi transferul direct ntre persoane. Confidenialitatea comunicaiilor se bazeaz pe integritatea cheii secrete, de aceea cheia trebuie nlocuit periodic. Printr-o nlocuire foarte frecvent, un anumit stil de criptare este expus publicului pentru o fereastr de timp ct mai mic. Aceast metod de transmisie i nlocuire a cheilor este acceptabil n cazul unui numr mic de chei. Odat cu creterea numrului de chei, procesul devine mult mai complicat. De exemplu, pentru 100 de utilizatori n VPN, ntr-un criptosistem simetric, trebuie administrate 4950 de chei. n acest scenariu, componenta de setare i distribuie a cheilor pe perechi de parteneri de comunicaii, lund n considerare i nlocuirea lor periodic, devine extraordinar de dificil i consumatoare de timp. 3.7.3.2 Criptosisteme cu cheie public (asimetrice) Un astfel de sistem folosete o pereche de chei aflate ntr-o relaie matematic: o cheie privat, meninut n secret n cadrul sistemului i o cheie public, ce poate fi cunoscut de oricine. Astfel crearea i distribuia cheilor, prin cheia public, poate fi realizat mult mai simplu fa de cazul unui criptosistem cu cheie privat. Exist dou tipuri de criptosisteme utilizate n mod curent n cazul unor reele VPN: Diffie-Hellman (DH) i Rivest Shamir Adlemen (RSA). 3.7.3.3 Diffie-Hellman Unul dintre modurile prin care dou sisteme care comunic pot cdea de acord asupra unei valori pentru cheia de criptare este sistemul cu cheie public Diffie-Hellman. n acest sistem, combinaia dintre cheia privat a utilizatorului1 i cheia public a utilizatorului2 va genera acelai rezultat ca i combinaia dintre cheia privat a utilizatorului2 i cheia public a utilizatorului1. Aceast proprietate poate fi extins la orice combinaie de dou chei, astfel nct cheia public a oricrui partener de comunicaii poate fi distribuit liber, fr a pune n pericol securitatea criptositemului. Cele dou pri, care schimb propriile chei publice, sunt singurele care pot genera ceea ce se numete secretul comun (shared secret). Sistemul devine foarte sigur, fr ca o alt parte s poat crea sau cunoate secretul comun. 45

Un criptosistem cu cheie public poate fi folosit pentru sporirea unui sistem cu cheie privat, prin distribuirea unei chei secret comun celor dou pri care doresc s stabileasc o sesiune de comunicaii privat. Primul pas este obinerea de ctre utilizatorul1 a cheii publice a utilizatorului2 i obinerea de ctre utilizatorul2 a cheii publice a utilizatorului1. n continuare utlilizatorul1 i utilizatorul2 calculeaz cheia secretului comun. n fine, ei pot utiliza secretul comun pentru criptarea i decriptarea tuturor transmisiilor de date dintre ei. Din acest punct de vedere, criptosisternul cu cheie public Diffe-Hellman este cunosct i sub numele de sistem cu distribuie de chei publice Diffie-Hellman. Exist ns o component a mecanismului de distribuie a cheii ce trebuie utilizat pentru a asigura proveniena cheilor. Dac cei doi corespondeni, i obin cheile publice reciproce printr-un canal de comunicaie nesigur, cum ar fi Internetul, ei trebuie s fie siguri de proveniena cheilor. Ei nu i pot cere pur i simplu cheile publice, din cauza pericolului ca altcineva s supravegheze tocmai aceast sesiune de comunicaii. O alt persoan poate s intercepteze cererea utilizatorului1 de a primii cheia public a utilizatorului2 i s-i trimit propria cheie public ctre ambii corespondeni. Dac se ntmpl acest lucru, corespondenii vor avea un secret comun cu aceea persoan, care va devenii un virtual corespondent pentru fiecare dintre cei doi. Aceast situaie este cunoscut sub numele de ameninarea "omului din mijloc'1 (Man n the Middle). O metod de protecie mpotriva acestei ameninri, ca i a altora, este utilizarea unei combinaii ntre un criptosistem cu cheie public cu RSA i un sistem de semnturi digitale, astfel nct distribuia cheilor s fie realizat sigur i protejat.

3.7.3.4 Rivest Shamir Adleman (RSA)

Metoda RSA este aproape singura metod "adevrat" de criptare cu cheie public. Ea a fost publicat n anul 1977. S-a demonstrat ns recent c de fapt aceast metod a fost inventat n anul 1973 de ctre Clifford Cocks. Algoritmul RSA se bazeaz pe urmtoarele fapte matematice: Dac se ridic un numr la o putere (d), modulo un numr N, numrul original poate fi recuperat prin ridicarea rezultatului la o alt putere (e) modulo acelai numr. Cunoscnd numrul N utilizat ca i modul precum i prima putere folosit se poate determina cu uurin care a fost cea de a doua putere folosit. Criptosisternul cu cheie public RSA poate fi folosit pentru dou scopuri: criptare i semnturi digitale. Orice informaie criptat cu cheia privat RSA poate fi decriptat numai cu cheia 46

public RSA corespunztoare. Dac utilizatorul1 i folosete cheia privat RSA pentru criptarea unui mesaj, oricine deine cheia sa public poate decripta acel mesaj. n aceast manier, schema RSA (cunoscut mai bine sub numele de Semntur Digital RSA) poate fi aplicat pentru atingerea unor scopuri diferite, inclusiv transportul cheilor sau a materialului criptat. Un atac mpotriva metodei de criptare cu cheie public RSA este aa numitul atac cu text n clar limitat. Dac exist un numr mic de mesaje care trebuiesc transmise, un atacator ar putea s le cripteze pe toate, cu diferite chei publice, folosind algoritmul RSA i s-l identifice pe cel transmis la un moment dat comparndu-l cu toate textele cifrate pe care le-a obinut.

3.7.4 Semnturi digitale i autentificri de date

Aa cum s-a vzut mai sus, un mesaj este introdus ntr-un algoritm matematic cunoscut sub numele de funcie hash (demixare) care mapeaz valori mai mari pe valori mai mici. Mrimea mesajului este micorat, astfel nct s se asigure performanele maxime la transmisia pe reea - cu ct un mesaj este mai scurt, cu att mai puine calcule sunt neceasare, deci i performanele sunt mai mari. Rezultatul funciei hash, cunoscut sub numele de message digest (sumar de mesaj) este apoi criptat cu cheia privat a emitorului. Sumarul de mesaj astfel criptat formeaz semntura digital, care va fi ataat la mesajul original, ambele componente fiind apoi criptate i trimise destinatarului. Acesta poate autentifica mesajul dup cum urmeaz. Mai nti, prin folosirea aceleiai funcii de mixare de mai sus, stabilite de comun acord, se regenereaz sumarul de mesaj. Semntura digital ncorporat n mesaj este apoi decriptat cu cheia public a expeditorului. n final, se compar cele dou rezultate. Dac i numai dac cele dou sumare coincid, se poate concluziona cu siguran c: mesajul a fost transmis prin utilizarea cheii private corespondente; mesajul nu a fost alterat n decursul transferului. Unele dintre funciile de mixare criptografice folosite n procesul de semntur digital sunt: MD4, MD5, SHA-1 i CBC- DES-MAC, ntre ele fiind diferene de lungime a cheilor i de metod de hash. Am descris cum pot fi folosite funciile hash/de mixare pentru transportul cheilor. Ele pot fi utilizate i pentru a verifica dac mesajul a fost recepionat n forma original (integritatea datelor). Atunci cnd sunt folosite pentru controlul integritii datelor, funciile hash (ca i semnturile digitale rezultate) sunt mult mai cunoscute sub numele de algoritmi de autentificare a datelor. Utilizarea unui sistem de semnturi digitale pentru autentificarea datelor dovedete c: 47

mesajul a fost transmis de o anumit persoan i nu a fost falsificat (autentificarea datelor); mesajul nu a fost modificat sau corupt (integritatea datelor). Prin folosirea unei combinaii ntre: schema de semnturi digitale RSA, sistemul de

distribuie a cheilor Diffie-Hellman i sistemul simetric de criptare cu cheie, se poate stabilii o sesiune criptat VPN care faciliteaz confidenialitatea datelor, autentificarea datelor i integritatea datelor. Odat cu stabilirea unei sesiuni criptate VPN, ea este protejat n faa unor forme diferite de atac, inclusiv a "omului din mijloc". Securitatea unei reele VPN nu se bazeaz numai pe algoritmi i chei de natur matematic, ci i pe un mecanism sigur de generare, distribuie i administrare a cheilor. Dac aceste chei sunt compromise, atunci ntreaga reea poate fi compromis. Entitatea responsabil de generarea seturilor de chei private i publice pentru fiecare utilizator, ca i distribuire acestora, trebuie s aib cel mai mare nivel de ncredere. Asocierea perechilor de chei cu utilizatorii determin securitatea ntregului sistem de chei. n acest scenariu, entitatea responsabil este numit Certificate Authority (CA Autoritatea de certificare), iar procesul de administrare a cheilor este realizat printr-un set de linii directoare stabilite global de industria de specific, cunoscut sub numele de Public Key Infrastructure (PKI - Infrastructura public pentru chei). CA este de obicei o ter parte, a crei responsabilitate unic sau set de produse se desfoar n jurul componentelor PKI, cum ar fi generarea, distribuia, revocarea i depozitarea cheilor.

3.7.5 Autentificarea utilizatorilor i controlul accesului

Procedurile de autentificare sunt implementate la nivelul punctului de acces la reeaua VPN. Prin acestea se stabilete identitatea persoanei care folosete "nodul VPN" i se elimin posibilitatea unui acces neautorizat n reeaua unei organizaii. Cele mai cunoscute scheme de autentificare a utilizatorilor sunt: username/password (prin sistemul de operare), S/Key password (de unica folosin), schema de autentificare RADIUS i schema bazat pe token. Cea mai puternic i viabil schem de autentificare a utilizatorilor disponibil n prezent pe piat este schema de autentificare cu doi factori (two-factor), care necesit dou elemente pentru verificarea identitii unui utilizator: un element fizic aflat in posesia acestuia (un token/jeton electronic) i un cod care este memorat (un PIN - Personal Identification Number). Unele soluii avansate au nceput s utilizeze mecanisme de identificare biometrice, cum ar fi amprentele digitale, vocale sau ale retinei. Cu toate acestea ele se afl nc n partea de testare.

48

Pentru evaluarea unei soluii VPN, este important considerarea unei soluii care prezint att mecanisme de autentificare a datelor, ct i de autentificare a utilizatorilor. Furnizorii de soluii VPN care suport doar unul din cele doua tipuri de mecanisme de autentificare se refer la autentificare n mod generic, fr a detalia tipul. O soluie VPN complet trebuie s suporte att autentificarea datelor (procesul de semntur digital sau de integritate a datelor), ct i autentificarea utilizatorilor (procesul de verificare a identitii ulilizatorilor VPN). Controlul accesului Odat ce a fost verificat identitatea persoanei, profilul de utilizator va determina exact care resurse i servicii pot sau nu s fie accesate in retea, fr a compromite securitatea reelei. Arhitectura pentru controlul accesului Aceast arhitectur va afecta suportul existent i viitor al serviciilor, aplicaiilor i protocoalelor disponibile ntr-o soluie VPN. Unele soluii de arhitectur, cum sunt cele bazate pe sistemele proxy, nu ofer o larg disponibilitate pentru aplicaii i servicii, deoarece fiecare aplicaie pretinde existena unui proxy dedicat. O soluie VPN complet va avea o arhitectur care suport toate serviciile principale de pe Internet, ncluznd browsere securizate i setul tradiional de aplicaii Internet (e-mail, FTP, Telnet, etc.), ntreaga familie TCP, protocoale neorientate pe conexiune (RPC), aplicaiile bazate pe UDP, ca i protocoalele definite de utilizator. n plus, arhitectura VPN ar trebui s suporte att sisteme API (Application Program Interfaces) cunoscute, ct i standarde deschise, astfel terii productori de aplicaii s poat s-i integreze produsele ntr-o soluie VPN.

3.8 VPN i NAT

49

Un translator de adres de reea (NAT Network Address Translator) este un dispozitiv care se folosete de obicei pentru a furniza acces simultan reelelor private la reeaua public, cum ar fi Internetul. Pentru c NAT nu lucreaz cu protocoale care folosesc criptare, o soluie VPN care include un NAT poate s adauge un nivel suplimentar de complexitate unei desfurri VPN. NAT cu conexiune PPTP Dac un client VPN care folosete PPTP este n spatele unui NAT, NAT trebuie s includ un editor NAT care s poat s traduc traficul PPTP. De editorul NAT este nevoie pentru c datele tunelate PPTP au mai degrab un header GRE dect unul TCP sau UDP. Editorul NAT folosete cmpul Call ID din antetul GRE pentru a identifica fluxul de date PPTP i a traduce adresele IP si Call ID-urile pentru pachetele PPTP transmise ntre o reea privat i Internet. Editorul NAT PPTP Componenta de protocol de rutare NAT/Basic Firewall a serviciului de Rutare i Acces de la Distan i funcia de divizare a conexiunii Internet din conexiunile de reea, includ un editor NAT pentru traficul PPTP. NAT cu conexiuni L2TP Pentru a folosi conexiuni VPN bazate pe L2TP n spatele unui NAT, trebuie implementat IPSec NAT Traversal (NAT-T) la ambele capete a conexiunii VPN. IPSec NAT-T IPSec NAT-T abordeaz dificultatea utilizrii VPN bazate pe IPSec printr-un NAT. Windows Server 2003 permite trecerea unei conexiuni L2TP/IPSec printr-un NAT. Aceast capacitate se bazeaz pe ultimele standarde IETF. IPSec NAT-T permite punctelor IPSec s negocieze i s comunice cnd sunt n spatele unui NAT. Pentru a folosi IPSec NAT-T, att clientul VPN cu acces de la distan, ct i serverul VPN cu acces de la distan, trebuie s suporte IPSec NAT-T. IPSec NAT-T este suportat de clientul VPN Windows Server 2003 Microsoft L2TP/IPSec i de actualizarea L2TP/IPSec NAT-T pentru Windows XP i 2000. n timpul procesului de negociere, punctele capabile L2TP/IPSec NAT-T determin automat dac att punctul iniiator IPSec (tipic un calculator-client) ct i punctul IPSec care rspunde, pot efectua L2TP/IPSec NAT-T. Suplimentar, punctele capabile L2TP/IPSec NAT-T determin dac n calea lor sunt NAT-uri. Dac sunt satisfcute ambele condiii, punctele folosesc automat L2TP/IPSec NAT-T pentru a trimite trafic protejat IPSec.

4. Software-ul Hamachi pentru VPN

50

Hamachi este o soluie VPN (Virtual Private Network) la ndemna oricui. De obicei, setarea unei reele VPN este destul de complicat, trebuie setat routerul, firewallul i softwareul ce beneficiaz de reea. Dar cu ajutorul lui Hamachi, dezvoltat de Applied Networking Inc, oricine i poate seta o reea local privat pe internet. Pentru a depi obstacolele ce apar n setarea unei conexiune VPN perfect, Hamachi folosete tehnologie peer-to-peer asemntoare cu cea folosit pentru mesagerie instant (IM): exist un server extern care creeaz un director cu toi clienii Hamachi. Acest server autentific utilizatorii prin intermediul unor chei, chiar dac clienii sunt localizai n spatele routerelor sau firewallurilor i creeaz o conexiune securizat ntre clieni. Applied Networking precizeaz c odat ce serverul a stabilit conexiunea ntre clienii Hamachi, conexiunea securizat este numai ntre utilizatorii conectai, fr a exista trafic care s treac prin serverele Hamachi. Totui, serverele trimit semnale pentru a verifica dac clienii mai sunt conectai sau nu. Interfaa lui Hamachi (figura 4.a)este foarte simpl, totodat uor de folosit. Prim oar cnd se ruleaz programul se prezint un scurt tutorial, dar care este cam inutil pentru c exist doar trei butoane: butonul Power, cel care activeaz interfaa Hamachi, butonul Network, folosit pentru crearea sau conectarea la reele i butonul pentru setri, acestea din urm fiind doar cteva.eg

Figura 4.a Interfaa Hamachi Atunci cnd instalm Hamachi, acesta adaug o interfa de reea virtual ce permite setarea parametrilor conexiunii separat de obinuitele interfee de reea cu fir sau fr fir. Aceast interfa instalat devine activ doar atunci cnd porneti Hamachi. 51

Cnd se dorete crearea unei reele(figura 4.b), sau conectarea la o reea deja existent, se d click pe butonul de reea i se va cere numele reelei i parola pentru aceasta. n momentul cnd conexiunea este stabilit, interfeei Hamachi i este alocat un IP separat fa de cele pe care deja le folosete clientul. De exemplu, reeaua local poate folosi IP-uri de genul 192.168.1.X, dar n reeaua Hamachi se aloc un IP de forma 5.38.140.Y. Acest IP este accesibil doar n reeaua Hamachi.3),

nouFig lansat.MPV Figura 4.b Creare reea Conectarea altor computere la reea este foarte uoar. Tot ce trebuie fcut este s comunici utilizatorilor numele reelei i parola pe care ai asociat-o. Datorit faptului c majoritatea programelor firewall vor recunoate adaptorul Hamachi ca i o reea separat i vor bloca traficul, s-ar putea s fie nevoie s configurezi firewallul s permit traficul prin interfa Hamachi.PN wwwdffeWEW eregdftwew n fereastra Hamachi ne vor aprea toi utilizatorii ce sunt membrii ai reelei. Cei care sunt offline vor avea numele gri. Dac dm click dreapta pe membrii ai reelei vom putea da ping, trimite mesaje, s vedem shareurile sau, dac suntem iniiatorul reelei, s deconectm utilizatori i s le blocm accesul. (Opew vedem shareurile sau, daca suntem initiatorul reelei, sa deconectam utilizatori si sa le blocam accesul. (Opewetelei si parola pe care ai as

52

Figura 4.c Opiuni Hamachi M

Figura 4.d Chat Hamachi staie care iniiaz

Figura 4.e Chat Hamachi staie apelat

Rag ula Systems D Figura 4.f Browse staie 5.46.33.127 evelopment Company. Cutai Trademark Applications and 53

5 Open VPN
5.1 Generalitati

OpenVPN este un program VPN gratuit i open source, pentru crearea tunelelor criptate punct-cu-punct, ntre calculatoare-gazd. A fost scris de James Zonan i publicat sub licena public general GNU (GPL General Public License). OpenVPN permite punctelor s se autentifice folosind chei secrete cunoscute anticipat, sau nume utilizator/parol. Folosete extensiv librria de criptare OpenSSL ct i protocolul SSLv3/TLSv1. Este disponibil pe Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X i Windows 2000/XP/Vista. Conine multe soluii de securitate i control. Nu este un VPN bazat pe Internet i nu este compatibil cu IPsec sau orice alt pachet VPN. Tot pachetul const ntr-un binar pentru conexiunile client i server, un fiier de conexiune opional i unul sau mai multe fiiere-cheie n funcie de metoda de autentificare folosit. OpenVPN folosete biblioteca OpenSSL pentru a furniza criptarea canalelor de date i control. Las OpenSSL-ului criptarea i autentificarea, permind OpenVPN-ului s foloseasc toate cifrele disponibile n pachetul OpenSSL. De asemenea, poate folosi funcia de autentificare a pachetului HMAC, pentru a aduga un nivel suplimentar de securitate conexiunii. Poate folosi i accelerarea hardware pentru mbuntirea performanelor criptrii. OpenVPN are mai multe ci pentru autentificarea punctelor. Ofer autentificare cu chei secrete cunoscute apriori, bazat pe certificate i nume utilizator/parol. Prima variant este cea mai uoar, cea bazat pe certificate fiind cea mai robust i bogat n funcii. Nume utilizator/parol este o funcie nou (versiune 2.0) care poate fi folosit cu sau fr certificare de client (serverul are nevoie de certificat). OpenVPN poate rula peste UDP (preferat i prestabilit) sau TCP. Multiplexeaz toate comunicaiile printr-un singur port TCP/UDP. Are capacitatea de a lucra prin majoritatea serverelor proxy (inclusiv HTTP) i este adecvat lucrului prin NAT i ieirea prin firewall. Configuraia de server are abilitatea de a pasa clientului anumite opiuni de configurare de reea. Acestea includ adrese IP, comenzi de rutare i cteva opiuni de conectare. OpenVPN ofer prin driverul Universal TUN/TAP dou tipuri de interfee pentru reelistic. Poate crea un tunel IP bazat pe nivelul 3 (TUN) sau un Ethernet TAP bazat pe nivelul 2 care poate purta orice tip de trafic Ethernet. Opional, OpenVPN poate folosi biblioteca de compresie LZO pentru a comprima fluxul de trafic. Portul 1194 este portul oficial IANA pentru OpenVPN. Noile versiuni a programului au acest port prestabilit. O 54

funcie n versiunea 2.0 permite unui proces s administreze mai multe tuneluri simultan, fa de restricia original a versiunii 1.x de un tunel per proces. Folosirea protocoalelor de reea comune (TCP i UDP) de ctre OpenVPN, o transform ntro alternativ dorit IPsec-ului, n situaiile n care un ISP poate bloca anumite protocoale VPN pentru a fora utilizatorii s se aboneze la servicii cu preuri mai ridicate, de gradul business. OpenVPN ofer mai multe funcii interne de securitate. Are abilitatea de a renuna la privilegii de baz i de a preveni copierea datelor sensibile pe disc. OpenVPN ofer support pentru smart card-uri prin tokenul criptografic bazat pe PKCS#11.

5.2

Rutare vs Punte de reea

OpenVPN suport 2 moduri diferite de interconectare a reelelor: rutare i poart Rutare se refer la interconectarea de subreele separate i independente. La recepia unui pachet un router din reea examineaz adresa ip destinaie pentru a determina care din reele interconectate ar trebui s primeasc pachetul, dup care pachetul este livrat spre reeaua destinaie. Poarta, n comparaie cu rutare este mult mai simplu. Un bridge este o conexiune electric ntre reele separate fizic, care au aceeai clas de IP-uri Exemple de echipamente care joac rolul de bridge sunt hub-urile i switch-urile. ntr-un hub pachetele care sosesc pe un port sunt comutate i trimise pe toate celelalte porturile. Un switch este mai inteligent, deoarece el poate s nvee adresele MAC ataate la porturile sale. Alegerea modului de interconectare pentru OpenVpn Cu toate c modul rutare este cel mai cunoscut i cel mai simplu de configurat, sufer de anumite limitri operaionale. Conexiunile bazate pe poart sunt mai greu de configurat i nu sunt disponibile pe toate sistemele de operare, prin urmare nu sunt tipuri de conexiuni default. ns cnd modul poart este setat corect poate face orice,nu are limitri.

55

5.1

Modul Rutare n OpenVpn

Cnd placa de reea este configurat pentru Rutare, acesteia i se atribuie o adres IP n

afar clasei de IP locale i se creaz o subreea virtual separat pentru conectarea la calculatoarele legate prin VPN la distan. Aceste calculatoare aflate la distan primesc adrese Ip din aceeai clas cu subreteaua nou creat, Aceast subreea virtual trebuie s primeasc clasa diferit de IP-uri, fa de cele din reeaua local, astfel nct computerele care ruleaz OpenVpn s tie cnd s direcioneze pachetele n reeaua local su spre subreteaua virtual, prin gateway.

Fig 5.3a OpenVpn Rutare OpenVPN n modul rutare creaz o reea privat, n care calculatoarele care fac parte din ea comunic prin tuneluri VPN. Aceasta este o soluie excelent dac utilizatorii la distan doresc s comunice doar cu calculatoarele pe care ruleaz OpenVpn. , problema apare dac doresc s acceseze computere din reeaua local pe care nu ruleaz OpenVpn. Problema apare deoarece nici un computer din reeaua local nu tie despre aceast subreea virtual care a fost creat de OpenVpn. Practic OpenVpn este gateway pentru reeaua virtual, dar toate calculatoarele din reeaua local au definit deja un gateway pentru pachete cu destinaie n alt reea. Astfel dac un utilizator trimite un pachet la un utilizator OpenVpn la distan, maina la distan va observa c pachetul vine dintr-o reea extern i va direciona pachetele ctre gateway LAN dect la main OpenVpn [http://www.grc.com/vpn/routing.htm]. Tehnologia reelelor a evoluat , astfel nct reeaua local s fie informat de subreeaua virtual creat de OpenVpn, astfele nct pachetele s se direcioneze la maina OpenVpn i nu la gateway-ul reelei locale. Acest proces este cunoscut ca rute statice care se vor implementa pe

56

fiecare maina local, n mod manual. ns majoritatea dispozitivelor nu au aceast tehinc de rutare avansat. Configuraiile OpenVpn sunt folositoare dac main care ruleaz server-ul OpenVpn este aceeai cu gateway-ul reelei locale. Atunci toate calculatoarele din LAN vor trimit pachetele la gateway, iar Open Vpn le va trimite la utilizatorii la distan

5.4 Modul Poart n OpenVPN

O soluie superioar la routing este s setezi plac de reea n configuraie bridging. Cum se observ n figura de mai jos aceast configuraie are ca efect plasarea utilizatorilor la distan direct n reeaua fizic local.

Fig 5.4a OpenVpn Poart Utilizatorii la distan primesc o adres de IP care este n aceeai clas cu adresele din reeaua local. Computerul care ruleaz serverul OpenVpn rspunde nu doar la adresa sa de IP dar i la celelalte calculatoare conectate la utilizatorii VPN. Utilizatorii la distan practic pot s acceseze orice resurs din LAN-ul respectiv[http://www.grc.com/vpn/routing.htm]. Un alt beneficiu important este ca n Ethernet bridging se face broadcasting ,lsnd s treac tot traficul, n schimb n routing se direcioneaz doar traficul adresat direct, nu se face broadcast. Routerul mparte o reea n domenii de broadcast. n Windows "Network Neighborhood" depinde de broadcast pentru a permite calculatoarelor locale s se gseasc n reeaua local. Acest lucru este important i funcioneaz perfect cu bridging, ns nu e disponibil pentru conexiuni routing. Problema n bridging este c nu e suportat de toate sistemele de operare. Windows XP este primul sistem de operare care suport bridging . ) 57

1.5 Certificate de autentificare

Primul pas n stabilirea modalitii de autentificare intru-un VPN este stabilirea infrastructurii de chei publice i private PKI(Public Key Infrastructure). PKI conine: 1. Perechea (cheie public, cheie privat) pentru server 2. Perechea (cheie public, cheie privat) pentru fiecare client 3. Un certificat master (CA Certificate Authority) folosit pentru a semna fiecare certificat al clientiilor Se folosete certificare bidirecional nainte stabilirii conexiunii i anume Clientul/Serverul verific dac certificatul celeilalte entiti a fost semnat de certificatul master (CA). Folosire certificatelor este o soluie simpl i eficient din urmtoarele motive: 1. Serverul menine doar propriul certificat 2. Sunt acceptate conexiuni care furnizeaz certificate semnate cu un certificat master 3. Verificarea semnturii se face numai cu cheia public a CA deci cheia privat poate s fie pstrat pe alt host 4. Serverul poate restriciona accesul pe baza unor cmpuri din certificat. Generarea certificatului master (CA) se face prin folosirea unor utilitare distribuite mpreun cu OpenVPN easy_rsa directory [Packt. Publishing. OpenVPN. Building.And. Integrating. Virtual. Private. Networks pagina 109] Se introduc datele de identificare (fiierul vars): locaia (ar, localitate), organizaia i departamentul, adres de mail i se apeleaz utilitarului build_ca. Pentru generarea certificatului pentru server se folosete utilitarul: build-key-server build-key-server <name_server> Pentru generarea certificatului pentru client folosete utilitarul: build-key / build-key-pass build-key / build-key-pass <name_client> Este necesar introducerea unui cmp Common Name care este folosit pentru eventualele restricionri i trebuie s identifice n mod unic utilizatorul certificatului Dup generarea certificatelor se genereaz parametrii Diffie-Hellman pentru schimbarea cheilor ntre cele dou pri.

58

6. Aplicatie Tunel ntre dou calculatoare cu Win XP (OpenVPN client-server)

Dac dorim s realizm un tunel ntre dou calculatoare pe care este instalat Microsot Windows XP situate n locaii diferite i ambele au acces la internet putem s folosim OpenVPN ( http://www.openvpn.net ). Unul dintre sisteme va fi configurat cu rol de server, cellalt cu rol de client. Primul lucru pe care trebuie s l facem este s descrcm OpenVPN-Windows Installer de la adresa http://openvpn.net/release/openvpn-2.0.9-install.exe i s l instalm pe cele dou sisteme n directorul C:\Program Files\OpenVPN. Pentru server am folosit un calculator cu ip public 81.181.101.55, iar tunelul vpn are drept capt de conexiune pe server ip-ul 10.8.0.1. Clientul este configurat pe un laptop i are drept capt de conexiune pentru tunel vpn cu ip-ul 10.8.0.2.

Configurare server
Pe sistemul server mergem n Start -> Run , scriem CMD i dm enter. n fereastra care se deschide tastm: cd C:\Program Files\OpenVPN\easy-rsa copy vars.bat.sample vars.bat Editm apoi vars.bat cu comanda edit vars.bat i modificm parametrii dup nevoile noastre. S presupunem c avem n vars.bat urmtoarele: @echo off set HOME=%ProgramFiles%\OpenVPN\easy-rsa set KEY_CONFIG=openssl.cnf set KEY_DIR=keys set KEY_SIZE=1024 set KEY_COUNTRY=RO set KEY_PROVINCE=RO set KEY_CITY=Timioara 59

set KEY_ORG=Jurca Mihaela set KEY_EMAIL=jurcamhl@yahoo.com Copiem fiierul openssl.cnf.sample n openssl.cnf cu comanda: copy openssl.cnf.sample openssl.cnf Rulm urmtoarele comenzi: vars clean-all build-ca Urmeaz generarea certificatului i a unei chei private pentru server: build-key-server server Generm cartificatele i cheia pentru client: build-key client Este important ca Common Name pentru client s fie diferit de Common Name pentru server. Generm parametrii Diffie Hellman : build-dh n directorul C:\Program Files\OpenVPN\config facem un fiier server.ovpn n care scriem: mode server port 1194 proto udp dev tun ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt" cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt" key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key" dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem" tls-server ifconfig 10.8.0.1 10.8.0.2 60

ifconfig-pool 10.8.0.3 10.8.0.5 # IP range clients ifconfig-pool-persist ipp.txt keepalive 10 120 comp-lzo persist-key persist-tun status openvpn-status.log verb 3 mute 20 Putem s pornim OpenVPN cu aceast configuraie dac dm click dreapt din explorer pe fiierul server.ovpn i alegem opiunea Start OpenVPN on this config file sau l putem porni ca i serviciu din Start -> Control Panel -> Administrativ Tools -> Serices -> OpenVPN Service unde dm start sau putem seta pe Automatic la Startup Type pentru a fi pornit o dat cu sistemul de operare.

Configurare client
Pe sistemul client trebuie s mergem n directorul C:\Program Files\OpenVPN\easy-rsa i s crem directorul keys n care copiem de pe server fiierele: ca.crt client.crt client.key n directorul C:\Program Files\OpenVPN\config facem un fiier client.ovpn n care scriem: client dev tun proto udp remote 81.181.101.55 1194 # ip server resolv-retry infinite nobind 61

persist-key persist-tun ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt" cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt" key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key" comp-lzo . verb 3 Putem s pornim OpenVPN cu aceast configuraie dac dm click dreapt din explorer pe fiierul client.ovpn i alegem opiunea Start OpenVPN on this config file sau l putem porni ca i serviciu din Start -> Control Panel -> Administrativ Tools -> Serices -> OpenVPN Service unde dm start sau putem seta pe Automatic la Startup Type pentru a fi pornit o dat cu sistemul de operare

Testare conexiune
Dup ce am pornit att serverul ct i clientul ( fr a avea un mesaj de eroare ) putem s verificm funcionalitatea tunelului creat. Astfel, pe server mergem n Start - Run i tastm CMD. n fereastr deschis introducem comanda: Ipconfig Vom obine mai multe informaii printre care vom regsi i cele din figura 6a

Figura 6a Ipconfig pe server 62

Pe sistemul configurat ca i client la comanda ipconfig obinem informaiile din figura 6b

Figura 6b Ipconfig client Conexiunea ntre cele dou sisteme o putem verifica cu utilitarul ping. De pe sistemul configurat ca i server, care are ip-ul 10.8.0.1 vom da ping in 10.8.0.2 (client) ( figura 6c)

Figura 6c Ping la client De pe sistemul configurat ca i client, care are ip-ul 10.8.0.2 vom da ping in 10.8.0.1 (server) (figura 6d)

63

Figura 6d Ping la server Pentru testarea conexiunii am partajat pe server cteva documente pe care o s le accesm din client, cu ajutorul programului total commander(figura 6e si figura 6f).

Figura 6e Browse la server

64

Figura 6f Browse la server

7. Concluzii
VPN poate oferi cteva avantaje mari fa de accesul de la distan tradiional i liniile dedicate. Cu dinamismul organizaiilor din zilele noastre, utilizatorii de la distan i birourile se pot schimba foarte rapid informaii. n loc s investeasc n porturi RAS (Remote Access Services) i linii dedicate (de ex. ISDN sau circuite frame relay) scumpe, o companie poate s-i creasc limea de band a conexiunii corporative la Internet i s suporte n mod dinamic servere i clieni VPN n funcie de nevoie. Dei nu este soluia ideal n fiecare caz, VPN permite firmelor s stabileasc mai rapid i mai fluid un acces de la distan cnd apare o nou nevoie. Permite, de asemenea, folosirea mai bun a resurselor, din moment ce utilizatori au conexiuni diferite se pot conecta la momente diferite, mprind mai degrab aceai infrastructur, n loc s necesite infrastructuri separate. i toate astea conduc la economisiri serioase de bani. Cea mai important parte a unei soluii VPN este securitatea. Faptul c prin natura lor, prin VPN-uri se transmit date private prin reele publice, ridic dubii cu privire la securitatea acestor date si impactul pierderii datelor. Atributele sunt: autentificare, criptare confidenialitate, integritatea datelor), non-repudiere - acest serviciu ar oferi dovezi de nefalsificare, justific faptul c o anumit

65

aciune a avut loc. Non repudierea originii nseamn c datele au fost trimise si non repudierea primirii dovedeste c datele au fost recepionate. Beneficiile serviciilor oferite prin VPN sunt: -Convergena serviciilor voce, video, date se realizeaz cu costuri mici; -Accesarea securizat de la distan a resurselor companiei; -Costuri predictibile i uor de bugetat, independente de trafic; -Posibilitatea de transfer any-to-any pentru aplicaii de date-voce-video; -Suport fiabil pentru integrarea LAN-urilor; -Securitatea transmisiei datelor; -Rat de transfer constant, garantat tehnologic; Pe lng aceste beneficii, mai pot aduga cteva din experien proprie i anume de obicei furnizorii de internet filtreaz porturile dedicate pentru file-sharing pe Windows ( 135, 139, 445) pentru a preveni propagarea de viermi. Deci nu se vor putea accesa fiierele de pe un anumit server din afara reelei providerului, sau dintr-un alt ora. Ca soluie se realizeaz vpn i astfel se asigur conexiunea direct cu serverul i controlul traficului permis.

Limitarile unui VPN

n ciuda popularitii, VPN-urile nu sunt perfecte i exist limitri, cum se ntmpl n cazul fiecrei tehnologii. Organizaiile trebuie s ia n considerare urmtoarele, la desfurarea i folosirea unei reele virtuale private, n operauinile lor: 1. VPN necesit nelegerea detaliat a problemelor de securitate de reea i instalarea/configurarea atent, pentru a asigura protecie suficient ntr-o reea public cum este Internetul. 2. Fiabilitatea i performana unui VPN bazat pe Internet nu este sub controlul direct al unei organizaii. n schimb, soluia se bizuie pe un ISP i pe calitatea serviciilor lui. 3. De-a lungul timpului, produsele i soluiile VPN ale diferiilor furnizori nu au fost ntotdeauna compatibile, datorit problemelor legate de standardele tehnologiilor VPN. ncercarea de a amesteca i potrivi echipamentele, ar putea cauza probleme tehnice, iar utilizarea echipamentelor unui singur furnizor ar putea s nu ofere o economisire mare de bani.

66

Specificaiile pentru reeaua VPN au la baz principiul flexibilitii maxime si realizarea ct mai rapid. n acest scop se au n vedere implementarea a dou soluii: soluie bazat pe circuite virtuale PPTP, uor de pus n funciune i de utilizat, dar limitat la SO Windows si cu securitate mai redus, dar acceptabil, evoluia, n msura posibilitilor, ctre o soluie mult mai performant bazat pe o reea virtual OpenVPN. OpenVPN este o reea privat virtual (VPN) conform protocolului de criptografie Secure Sockets Layer (SSL) care asigur comunicaii sigure pe Internet, permite metode de autentificare flexibile ale clienilor bazate pe certificate i permite politici de control a accesului utilizatorilor folosind reguli de firewall aplicate interfeei VPN virtuale. OpenVPN 2.0 extinde posibilitile OpenVPN 1.0 oferind un mod scalabil client/server care permite mai multor clieni s se conecteze la un singur proces server OpenVPN printr-un singur port TCP sau UDP. Consider c folosirea programului OpenVpn este foarte util i avantajoas pentru construirea unei reele virtuale private deoarece n primul rnd este free i open source, nu e necesar folosirea unui dispozitiv Cisco care realizeaz aceeai funcie sau cumprarea unui soft foarte scump. n plus se bazeaz pe protocolul de criptografie Secure Sockets Layer (SSL) care asigur securitate ridicat. Din punctul meu de vedere open source are un singur dezavantaj, ntr-un mediu bussiness trebuie s existe un administrator competent care s aib cunotiine de configurare solide. n schimb la vpn-ul nativ din windows(server) sau alte dispozitive de bussines ( cisco) exist suport tehnic, dar n schimb cost mult. Consider c o companie large bussiness nu va merge pe open source pentru c vrea suport asigurat. Softul Hamachi, pe care l-am studiat n proiectul meu de diplom este dup prerea mea, un program util doar pentru nceptorii care nu tiu s i configureze i s i administreze singuri un VPN. Interfa lui Hamachi este foarte simpl, totodat uor de folosit. Prim oar cnd se ruleaz programul se prezint un scurt tutorial, dar care este cam inutil pentru c exist doar trei butoane: butonul Power, cel care activeaz interfa Hamachi, butonul Network, folosit pentru crearea sau conectarea la reele i butonul pentru setri, acestea din urm fiind doar cteva. O reea virtual creat cu "Hamachi" este de dorit pentru fanii unor jocuri online, care sunt desprii de distane mari. Acest program i ajut s creeze reele LAN virtuale prin internet. Acetia se pot bucura de multe faciliti incluse n aceast nou versiune oferit complet gratuit de autorul cu acelai nume. Acest soft prezint i unele dezavantaje cum ar fi limitarea numrului de utilizatori ntr-o reea la 16 si de asemena limitri legate de viteza server-ului.

67

VPN este o tehnologie emergent care a strbtut un drum lung. De la nceputul nesigur al reelelor de telefonie public, la un ajutor puternic de afaceri, care folosete Internetul ca poart de ieire. Tehnologia VPN nc se dezvolt i asta este un mare avantaj pentru afaceri care au nevoie de tehnologie care s evolueze odat cu ele. Cu VPN, firmele pot s ofere angajailor beneficii alternative: angajaii pot lucra de acas, pot avea grij de copii n timp ce sunt n continuare productivi i au acces oricnd la informaii legate de afacere. VPN va ajut ca posibilitatea extinderii serviciilor unei afaceri la distane lungi i chiar global, s devin o realitate.

Bibliografie
Charlie Scott, Paul Wolfe, Mike Erwin, Virtual Private Networks, Second Edition, January 1999 Eric Greenberg, Network Application Frameworks, Virtual Private Networks (VPNs), 1999 NETGEAR - VPN Concepts, Tips, and Techniques TechNote, 2003 Andrew S. Tanenbaum ,Tanenbaum - Reele de Calculatoare, 4th Ed. , Romanian, 2004 Markus Feilner, OpenVpn, April 2006 Juniper Networks, Inc. - VPN Decision Guide - White Paper, 2007 VPN Tutorial http://compnetworking.about.com/od/vpn/a/vpn_tutorial.htm Hamachi http://en.wikipedia.org/wiki/Hamachi 68

Windows XP VPN Server Setup http://www.aeonity.com/frost/howto-windows-xp-vpn-server-setup OpenVpn download http://openvpn.se/download.html OpenVpn configurare http://www.informit.com/articles/article.aspx?p=605499&seqNum=2 OpenVpn configurare http://techgurulive.com/2008/08/19/how-to-install-openvpn/ "Routing" versus "Bridging" http://www.grc.com/vpn/routing.htm Reele virtuale private http://www.chip.ro/revista/iulie_2000/47/reele_virtuale_private_-_ii/8247 VPN http://www.networkworld.ro/?page=node&id=15227 VPN pe Wikipedia http://en.wikipedia.org/wiki/Virtual_private_network VPN la Universitatea Emory, Atlanta, GA - http://www.emory.edu/BUSINESS/et/P98/vpn/ Implement a free VPN with OpenVPN http://articles.techrepublic.com.com/5100-22_11 5687400.html

Anexa1-Abrevieri
AH API APN ATM BGP BGP-MP BSD CE CPE CRM DES DS EAP ERP ESP FEP FTP GPL Authentication Header Application Programming Interface Actual Private Network Asynchronous Transfer Mode Border Gateway Protocol BGP Multiprotocol Extensions Berkeley Software Distribution Customer Edge Device Customer Premise Equipment Customer Relationship Management Data Encryption Standard Differentiated Services Extensible Authentication Protocol Enterprise Resource Planning Encapsulating Security Payload Front End Processor File Transfer Protocol General Public License

69

GRE HMAC HTTP HTTPS IETF IKE IP IPLS IPsec IPX ISL ISP L2F L2TP L2TPv3 LAC LAN LANE LNS LSR MPLS MPPC MPPE MPVPN NAS NAT NAT-T NCP OSI OSPF P PE PPP PPTP PPVPN PW QoS RAS RD RFC RIP RSVP SADB SLA SNA SPI SSH SSL TAP TCP TLS TOS UDP

Generic Routing Encapsulation Hash Message Authentication Code Hypertext Transfer Protocol HTTP over SSL Internet Engineering Task Force Internet Key Exchange Internet Protocol IP-Only LAN-Like Service IP Security Internetwork Packet Exchange Inter-Switch Link Internet Service Provider Layer 2 Forwarding Layer 2 Tunneling Protocol Layer 2 Tunneling Protocol version 3 L2TP Access Concentrator Local Area Network ATM LAN Emulation L2TP Network Server Label Switched Routers Multiprotocol Label Switching Protocol Microsoft Point-to-Point Compression Microsoft Point-to-Point Encryption Multi Path Virtual Private Network Network Access Server Network Address Translator NAT Traversal Network Control Protocol Open Systems Interconnection Open Shortest Path First Provider Core Device Provider Edge Device Point-to-Point Protocol Point-to-Point Tunneling Protocol Provider-Provisioned VPN Pseudo Wire Quality of Service Remote Access Services Route Distinguisher Request for Comments Routing Information Protocol ReSerVation Protocol Security Association Database Service Level Agreement System Network Architecture Security Parameter Index Secure Shell Secure Sockets Layer Test Access Port Transmission Control Protocol Transport Layer Security Type Of Service User Datagram Protocol

70

VPLS VPLS VPN VPNC VPN-Q VPWS VRF WAN WDM

Virtual Private Line Services Virtual Private LAN Service Virtual Private Network Virtual Private Network Consortium VPN Quarantine Virtual Private Wire Services VPN Routing and Forwarding Wide Area Network Wavelength-Division Multiplexing

71