UNIVERSITATEA POLITEHNIC BUCURETI

Facultatea de Electronic Teleco!unica"ii #i

Te$nolo%ia In&or!a"iei
Master Ingineria Sistemelor de Calcul
Student: Opran tefan-Valentin
Reele de Calculatoare i Internet
semestrul II, Anul VI
- !"! -
V P N
Cu'rin(
"# $ipuri de V%&-uri #''''''''''''''''''(
# %rotocoale de tunelare####################################################################)
(# Securitatea V%&-urilor ################################################################"(
*# Conclu+ii ######################################################################################",
-# .i/liografie ##################################################################################"0

)* Ti'uri de VPN+uri
Reelele pri1ate 1irtuale 2V%& 3 Virtual %ri1ate &et4or56 permit
organi+aiilor s7 sta/ileasc7 cone8iuni de reea securi+ate, pri1ate deo/icei prin
Internet sau prin intermediul altor tipuri de reele# V%& poate oferi reduceri de cost
semnificati1e 9n comparaie cu liniile 9nc:iriate pri1ate i poate e8tinde
conecti1itatea c7tre /irourile din teritoriu, lucr7tori de la distan7, clieni, furni+ori
i parteneri#
%e m7sur7 ce indicii de conecti1itatea i mo/ilitatea cresc, crete i
necesitatea ca reelele s7 se adapte+e i s7 ofere noi ser1icii# ;tili+atorii nu 9neleg
pro/lemele de securitate ale ser1iciilor de la distan7, pe care le doresc producti1e,
indiferent de locaie# ;tili+atorii care c7l7toresc 9n alte 7ri, prin aeroporturi, la
sediile clienilor solicit7 s7 ai/7 capacitatea de a se conecta la resursele companiei
pentru a-i reali+a lucr7rile# O dat7 cu ni1elurile cresc<nde de conecti1itate,
9ncep<nd cu liniile $" i cele f7r7 fir din aeroporturi, p<n7 la cone8iunile din locaii
de concentrare =i->i 2=ireless >idelit?6 i clieni cu cone8iuni de mare 1ite+7, cei
care r7spund de 9ntreinerea reelelor se lo1esc de c<te1a deci+ii dificile# Cum s7
ofere utili+atorilor ser1iciile solicitate, indiferent de locali+area lor, 9ntr-o
modalitate prote@at7 i re+ona/il7A
V%&-urile de tip acces de la distan7 2remote access6, numite i reele 1irtuale
pri1ate cu dial-up, este un tip de cone8iune utili+ator-c7tre-BA& 2fig "#"6 folosit7
cel mai adesea de companii ce au anga@ai cu necesit7i de conectare la resursele
reelei companiei din di1erse locaii#
fig#"#" Remote-access V%&
Ce regul7 9n momentul c<nd se dorete accesul mai multor utili+atori la
reeaua local7, se apelea+a la o companie de out-sourcing ce folosete un ser1er de
acces 9n reea pentru a acorda drepturi utili+atorilor i calculatoarelor acestora#
In general, 9n ca+ul implementarii unei te:nologii V%& 9ntre sediile
companiei, este de preferat s7 se apele+e la acelai IS% pentru toate locaiile#
Apropierea geografic7 de regul7 nu are nici o legatura cu Dapropierea pe InternetE#
(
%rin utili+area de ec:ipamente dedicate i criptare pe scar7 larg7, o companie
poate conecta multe locaii 2sucursale6 fi8e pe o reea pu/lic7 cum ar fi Internetul#
V%&-ul tip site-to-site poate fi de dou7 tipuri, i anume:
)* Implemetat pe Intranet - reeaua 1irtual7 pri1at7 9ntre sediile i
departamentele aceleiai firme# Intranet-ul este definit ca o leg7tura semi-
permanent7 peste o reea pu/lic7 9ntre un =A& i o filial7 a companiei# Aceste
tipuri de cone8iuni BA&-BA& se presupune c7 au cel mai mic risc din punct de
1edere al securit7ii pentru ca firmele au 9ncredere 9n filialele lor# Fn astfel de ca+uri
compania are control asupra reeleiGnodurilor destinaie c<t i asupra celei surs7#
Administratorii de sistem tre/uie s7 decid7 dac7 aceasta situaie este 9nt<lnit7 i 9n
propria firm7#
fig# "# Intranet site-to-site V%&
Cantit7i mari de date sunt sc:im/ate frec1ent 9ntre BA&-uri 9ntr-o reea
pri1at7, deci important7 este 1ite+a de transmisie i interopera/ilitatea# BA&-urile
care sunt conectate prin intermediul unor /a+e de date centrali+ate sau prin alte
resurse de calcul r7sp<ndite 9n reeaua firmei ar tre/ui s7 fie considerate ca f7c<nd
parte din aceeai reea# Moti1ul principal pentru care ma@oritatea organi+aiilor se
orientea+7 c7tre te:nologia V%& este costul redus al acestei implementari#
,* Implementat pe extranet 3 reeaua 1irtual7 pri1at7 care este relati1
i+olat7 fa7 de intranet# H8tranetul este destinat comunic7rii cu partenerii, clienii,
furni+orii i cu anga@aii la distan7# Securi+area unei reele de dimensiuni mari
necesit7 9ndrum7ri i instrumente adec1ate# ;n e8tranet V%& tre/uie s7 ofere o
ierar:ie a securit7ii i accesarea datelor confideniale s7 se fac7 su/ cel mai strict
control# %rincipalul o/iecti1 al unui H8tranet sau al V%&-ului 9ntre companii este
s7 se asigure ca datele secrete a@ung intacte i e8act cui 9i sunt adresate f7r7 a e8ista
riscul de a e8pune resursele prote@ate unor e1entuale amenin7ri, aa ca firmele ar
tre/ui s7 ia 9n considerare cele mai a1ansate soluii de V%&#
*
fig# "#( H8tranet site-to-site V%&
;n H8tranet V%& sigur, 9n care o companie 9mparte informaii cu clienii,
partenerii, furni+orii i anga@aii aflai la distan7 prin intermediul reelei pu/lice
sta/ilind leg7turi unidirecionale de la un cap7t la altul printr-un ser1er V%&# Acest
tip de sistem permite unui administrator de reea s7 defineasc7 drepturi specifice,
cum ar fi cele ce ar permite unui mem/ru din conducerea unei firme partenere s7
accese+e diferiteGanumite rapoarte de 1<n+7ri de pe un ser1er prote@at# Acest tip de
acces nu este posi/il cu orice tip de soluie V%&#
Fntr-o situaie real7 de interconectare 9ntre parteneri de afaceri, administratorii
tre/uie s7 caute o soluie de V%& care s7 filtre+e accesul la resurse 9n funcie de c<t
mai multe parametrii posi/ili, inclusi1 sursa, destinaia, utili+area aplicaiei, tipul
de criptare i autentificare folosit, i identit7ile indi1iduale i de grup# Managerii
de sistem tre/uie s7 identifice utili+atorii indi1idual, nu numai adresele I%, fie prin
parole, to5en card, smart card, sau orice alta metode de autentificare# %arolele sunt
de o/icei suficiente pentru o aplicaie o/inuit7 de /irou, dar nu sunt la fel de
sigure precum to5en-urile sau smart card-urile#
Reelele pri1ate 1irtuale folosesc Internetul pentru a conecta mai multe reele
BA& 9ntre ele, printr-o cone8iune sigur7# Cone8iunile V%& reali+ea+7 acest lucru
cu dou7 procese importante: crearea de tunele i securizarea# Mai 9nt<i, o reea
V%& creea+7 un circuit ,,1irtualI 9ntre cele dou7 puncte conectate, prin intermediul
Internetului# Apoi, folosete metoda cre7rii de tunele pentru a 9nf7ura datele 9n
protocolul 2lim/a@ul6 Internetului - $C%GI% - astfel 9nc<t s7 poat7 fi transportate cu
uurin7# %rin securi+are se 9nele criptarea i 9ncapsularea pac:etelor trimise, astfel
9nc<t numai destinatarul c7reia i se adresea+7 s7 le poat7 decodifica i citi#
-
,* Protocoale de tunelare
V%&-urile sigure folosesc protocoale de tunelare, sunt acele protocoale care
asigur7 confidenialitatea, /loc<nd intruii i accesul la date, autentificarea
e8peditorului i integritatea mesa@elor# Cac7 sunt alese, implementate i utili+ate 9n
mod corespun+7tor, astfel de te:nici pot asigura comunicaii sigure 9n cadrul unei
reele nefia/ile#
Fn principiu, tunelarea este procesul de plasare a unui pachet ntreg ntr-un
alt pachet trimis apoi n reea# %rotocolul pac:etului e8terior este 9neles de reea
la am/ele capete, numite interfee tunel# Ba aceste capete pac:etele intr7 i ies din
reea#
Catele care tre/uiesc transferate 2sau pa?load-ul6 pot fi cadrele 2sau
pac:etele6 ale altui protocol# Fn loc s7 trimit7 un cadru care este produs 9n nodul de
origine, protocolul de tunelare 9ncapsulea+7 cadrul 9ntr-un antet suplimentar#
%ac:etele 9ncapsulate sunt apoi rutate 9ntre terminaiile tunelului creat peste reeaua
de internet# Calea logic7 prin care pac:etele 9ncapsulate tra1ersea+7 reeaua de
internet se numete tunel#
fig# #" %rincipiul tunel7rii
$unelarea implic7 trei feluri de protocoale diferite:
'rotocolul de tran('ort: utili+at de reeaua pe unde circul7 informaiaJ
'rotocolul de -nca'(ulare: 2KRH, %%$%, B$%, B>, I%Sec6 care
9nf7oar7 datele originaleJ
'rotocolul de cltorie: protocolul original cu care sunt transportate
datele 2I%L, &et.eui, I%6#
$unelarea are implicaii uimitoare 9n V%&-uri # Ce e8emplu, se poate pune un
pac:et care folosete un protocol nesuportat de Internet 2&et.eui6 9ntr-un pac:et I%
i s7 fie trimis 9n mod sigur prin Internet# Sau s7 se pun7 un pac:et cu o adres7 I%
neruta/il7 9ntr-un pac:et I% pentru a e8tinde reeaua pri1at7 prin Internet#
Fntr-un V%& locaie la locaie, KRH 2Keneric Routing Hncapsulation6 este
)
protocolul de 9ncapsulare care asigur7 cadrul de lucru pentru protocolul de
c7l7torie i de transport, /a+ate pe I%, fiind definit 9n R>C "M!" i R>C M,* cu
complet7rile 9n R>C "M!# Ce+1oltat iniial de firma CISCO, KRH include
informaii despre ce tip de pac:et se 9ncapsule+i, despre cone8iunea dintre client i
ser1er, repre+ent<nd o metod7 de diri@are a pac:etelor I% care sunt neruta/ile#

fig# # %ac:et tunelat
I% protocol de transport
KRH protocol de 9ncapsulare
I% protocol de c7l7torie
Ce asemenea se poate folosi i pentru rutarea pac:etelor multicast peste reele
incompati/ile# KRH poate ruta pac:ete non-I% 2cum ar fi Apple$al5, Internet4or5
%ac5et H8c:ange sau I%L6 peste reele I%#
>ig# #(# Fncapsulare generic7
Cu toate acestea tre/uie reinut faptul c7, KRH nu furni+ea+7 criptare de la
sine# %entru a cripta traficul care trece printr-un tunel KRH 1a tre/ui s7
implement7m protocolul special I%Sec# H8ist7 dou7 metode diferite prin care un
protocol I%Sec poate cripta pac:etele KRH# %rima este cu utili+area hrii de
criptare prin aplicarea acesteia pe interfaa fi+ic7 a unui router, ca 9n imaginea de
mai @os 2fig##*a6:
M
a# /#
fig# #* Nart7-criptare i protecia tunelului
Odat7 ce pac:etele de date sunt de-criptate i de-capsulate 9i 1or continua
traseu c7tre destinaia I%, ca i te8t clar#
Cea de-a doua metod7 utili+at7 este cea de protecie a tunelului aplicat7 pe
interfaa tunelului, ca 9n imaginea de mai sus 2fig #*/6# %ac:etele de date care
intr7 9ntr-un router prin interfaa tunelului sunt criptate iar apoi sunt de-criptate i
de-capsulate 9nainte ca acestea s7-i continue drumul lor c7tre destinaie, ca i te8t
clar#
%rotecia tunelar7 ine de funcionalitatea cript7rii din tunelul KRH i face
1erific7ri dup7 ce pac:etul este 9ncapsulat dar 9nainte ca informaia s7 fie predat7
c7tre interfaa fi+ic7#
Fntr-un V%& cu acces la distan, tunelarea se face folosind protocolul
%%%2%rotocolul %unct-la-%unct6# %arte a sti1ei $C%GI%, %%% este transportatorul
pentru alte protocoale I% la comunicarea prin reea 9ntre un calculator ga+d7 i un
sistem la distan7# %oint to %oint %rotocol este un protocol care permite unui
calculator s7 se conecte+e la reea 1ia modem, calculatorul oper<nd ca i cum ar fi
direct conectat la reea# Acest lucru permite e8ploatarea interfeelor grafice cu
utili+atorul, la accesul ser1iciilor de genul =e/, ftp, e-mail sau telnet#
Fn general sunt implicate trei componente 9n fiecare desf7urare de protocol
%%%, i anume: clientul PPTP, server-ul PPTP i o reea de acces la server# %entru
a putea 1edea cum funcionea+7 acest protocol putem admite un scenariu 9n care un
client se conectea+7 la reeaua de acces la ser1er 2&AS 3 net4or5 acces ser1er6
prin facilitatea creat7 de IS% 2Internet Ser1ice %ro1ider6 s7u# Odat7 conectat
clientul poate trimite i primi pac:ete de date prin internet cu a@utorul protocolului
$C%GI%#
Cup7 ce a reali+at cone8iunea
iniial7 %%% cu furni+orul s7u de
,
internet 2fig# #-a6, al doilea apel dial-
up de reea se face pe leg7tura
e8istenta de@a %%%# Catele trimise
folosec aceast7 a doua cone8iune su/
form7 de datagrame I% care conin
pac:ete %%%, cu referire la pac:etele
9ncapsulate %%% 2fig# #-/6#
>ig# #-a Conectarea cu IS%
fig# #-/ $unelarea cu %%$%
Ceoarece ser1er-ul %%$% este conceput s7 reali+e+e cone8iuni peste reelele
pri1ate folosid protocoale de reea pri1at7 are capacitatea de a citi i pac:ete multi-
protocol#
>ig# #) %ac:ete multi-protocol
%%$% 9ncasulea+7 pac:etele de date %%% comprimate i criptate 9n datagrame
I% pentru a le transporta pe reeaua internet# Aceste datagrame I% sunt rutate pe
internet 9nainte s7 a@ung7 la ser1er-ul %%$% care este conectat la reeaua pri1at7 i
internet#
0
%ac:etele clientului %%$% cu
acces la distan7 sunt procesate diferit
fa7 de cele ale unui client %%$% de
reea local7# %ac:etul de date la
accesul la distan7 este plasat pe
suportul fi+ic al dispo+iti1ului de
telecomunicaii, 9n timp ce datele
dintr-o reea BA& sunt plasate pe
suportul fi+ic al adaptorului de reea,
aa cum este ilustrat 9n fig# #M#
fig##M %lasarea de pac:ete %%$% pe
suportul de reea
%rotocolul Ba?er $unneling 2B$%6 este o e8tensie a protocolului %%$%,
pre+entat7 9n documentul R>C ))" i folosit7 pentru a permite funcionarea unei
reele pri1ate 9n Internet# >irmele Cisco i Microsoft au con1enit s7-i unifice
protocoalele B$%, adopt<nd astfel cele mai /une caracteristici ale celor dou7
protocoale pentru tunele prin Internet: %%$% de la Microsoft i Ba?er >or4arding
2B>6 de la Cisco S?stem, din aceast7 cola/orare a1<nd de c<tigat mai ales
domenii ca cel al prote@7rii datelor confideniale#
Cele dou7 componente principale care alc7tuiesc protocolul B$% sunt B$%
Access Concentrator 2BAC-concentrator de acces6, dispo+iti1 care 9nc:eie fi+ic un
apel i B$% &et4or5 Ser1er 2B&S- ser1er de reea6, dispo+iti1 care 9nc:eie i
poate autentifica flu8ul %%%# Cin acest punct de 1edere, B$% este similar cu %%$%
c<nd este 1or/a de utili+area protocolului %%%, at<t ca funcie c<t i ca structur7
2fig# #,6#
>ig# #, Structura reelei B$%
B$% peste I% internet folosete ;C% 2;ser Catagram %rotocol6 i o serie de
"!
mesage specifice protocolului pentru 9ntreinerea tunelului creat# B$% utili+ea+7
;C% i pentru a trimite cadre %%% 9ncapsulate ca i date de tunel# Fnc7rc7tura
cadrelor %%% 9ncapsulate poate fi criptat7 iGori comprimat7, aa cum apare 9n
figura de mai @os:
>ig# #0 Structura unui pac:et B$% care conine date utili+ator
Iar un pac:et B$% conine :
. + )/ 0it )1 + 2) 0it
Indicatori i info 1ersiune Bungime2opt6
$unel IC Sesiune IC
&um7r sec1enial a datelor 2opt6 &um7r sec1enial primit 2Opt6
Cimensiune offset 2opt6 %ad offset 2Opt6######
Fnc7rc7tura de date
>ig# #"!
C<nd se setea+7 o cone8iune cu
B$% mai multe pac:ete de control se
sc:im/7 9ntre ser1er i client pentru
reali+area tunelului i a sesiunii 9n
fiecare direcie# ;n cap7t 9i cere
permisiunea celuilalt cap7t pentru
asignarea un indicator de tunel i
sesiune printre aceste pac:ete de
control# Apoi folosid id-ul tunelului i
sesiunii, pac:etele de date sunt
sc:im/ate cu cadrele %%% comprimate
ca i 9nc7rc7tur7 de date# Astfel, 9n
sc:ema de mai @os se poate urm7rii
sta/ilirea unei leg7turi de tip
O:ands:a5ingE 9ntre concentratorul de
acces i ser1er-ul de reea, cu a@utorul
mesa@elor de control# 2fig# #""6
""
Cei protocoalele B$% i %%$% au asem7n7ri, difer7 prin urm7toarele:
9n ca+ul B$%, criptarea datelor 9ncepe dup7 ce se 9nc:eie procesul de
conectare %%% 2i deci dup7 autentificarea %%%6# Fn ca+ul B$%GI%Sec,
criptarea datelor 9ncepe 9nainte de procesul de conectare %%%J
%rotocolul %%$% necesit7 doar o autentificare la ni1elul utili+atorului,
iar B$% necesit7 aceai autentificare la ni1elul utili+atorului dar i o
autentificare la ni1elul calculatorului, printr-o certificare a
calculatorului#
;nele din a1anta@ele specifice protocolului B$% sunt urm7toarele:
accept7 medii cu mai multe protocoale deoarece, prin proiectare, B$%
poate transporta orice protocoale ruta/ile, inclusi1 I%, I%L i
Apple$al5#
B$% accept7, de asemenea, orice te:nologie =A& de transmitere,
inclusi1 >rame Rela?, A$M, L- sau SO&H$#
de asemenea accept7 medii BA&, precum Ht:ernet, >ast et:ernet,
$o5en Ring i >CCI#
B> 2Ba?er >or4arding6, proiectat de firma Cisco S?stems Inc#, poate fi de
asemenea folosit# %rotocolul B> nu furni+ea+7 criptarea sau confidenialitatea
datelor de unul singur# Hl se /a+ea+7 pe reali+area protocolului de tunelare pentru a
oferi un plus de intimitate a datelor# %rotocolul folosit la ni1elul data-lin5 al
modelului OSI a fost 9n special conceput pentru reali+area tunelelor %%%
9m/un7t7ite#
"
2* Securitatea VPN+urilor
%opularitatea te:nologiei V%& este legat7 direct de potenialul acesteia de
recuperare semnificati17 a in1estiiilor 2return of in1estment6# %entru firmele care
pl7tesc costuri adesea ameitoare pentru cone8iunile pri1ate prin linii 9nc:iriate sau
prin >rame Rela? 2releu de cadre6, este semnificati17 reducerea c:eltuielilor
asociat7 cu instalarea reelelor V%&, care 9nlocuiesc cone8iunile costisitoare#
Cu a@utorul unor ec:ipamente speciale de concentrare a accesurilor V%&
remote-connection, se pot e8amina pac:etele fiec7rei aplicaii identific<nd orice
pac:ete considerate a fi periculoase# Aplicaii de inspecie pot in1estiga pac:etele
pentru a fi corelate cu cone8iuni permise de management# In ca+ul unei nepotri1iri
pac:etele sunt desc7rcate# Aceste capa/ilit7i crea+a un sistem pe mai multe ni1ele
de ap7rare 9n mediile reelelor curente 9n care sc:im/area este un factor important#
%olitici de securitate detaliate sunt aplicate traficului V%&, astfel 9nc<t
ultili+atorii i grupurile de utili+atori au acces la resursele reelei la care au dreptul#
Hc:ipamentele de securi+are a V%&-urilor permite unui administrator s7
defineasc7 politici ce monitori+ea+7 at<t accesul 9ntre locaiile conectate c<t i 9ntre
utili+atorii conectai de la distana# $e:nologia a e1oluat, iar soluia de frunte
pentru aceste necesit7i este cea a reelelor pri1ate 1irtuale 2V%&6 criptate /a+ate
pe protocolul I%Sec#
I% Securit? 2I%Sec6 a fost proiectat de c7tre organi+aia IH$> 2Internet
Hnginnering $as5 >orce6 ca i un mecanism de asigurare a securit7ii datelor la ni1elul
comunicaiilor /a+ate pe Internet %rotocol# Au fost definite de a serie de documente
R>C *!", *! i *!), care au sta/ilit 9n ar:itectura glo/al7, un antet de
autentificare 2AN - Aut:entication Neader6 pentru a 1erifica integritatea datelor i o
9nc7rc7tur7 securi+at7 9ncapsulat7 2HS%- Hncapsulating Securit? %a?load6 pentru
asigurarea celei de-a doua funcii de asigurare a confidenialit7ii: criptarea datelor#
Antetul de autentificare pe l<ng7 rolul de a garanta integritatea datelor transmise
poate optional prote@a pac:etele 9mpotri1a atacurilor de 9ntoarcere folosind te:nica
ferestrelor glisante 2sliding 4indo4 6 i desc7rcarea pac:etelor 1ec:i#
Fn I%1*, AN prote@ea+7 9nc7rc7tura I% i toate antetele c<mpurilor din
datagramele I%, cu e8cepia pentru c<mpurile 1aria/ile: CSC%G$OS,
HC&, >lags, >ragment Offset, $$B and Neader C:ec5sumJ
Fn I%1), AN 9i prote@ea+7 antetul propriu, opiunile destinaiei antetului
e8tins dup7 antetul s7u, i apoi 9nc7rc7tura I%J de asemenea prote@ea+7 i
antetul I%1) fi8 i toate antetele e8tinse 9nainte de AN, e8cepie f7c<nd
ur7toarele c<mpuri: CSC%, HC&, >lo4 Ba/el, and Nop Bimit#
%ac:et datagram7 cu antet de autentificare, din figura (#" mai @os, arat7 cum
este acest pac:et construit i interpretat:
"(
>ig# (#" >ormatul antetului de autentificare 2AN6
Next Header 2, /its6
$ipul antetului urm7tor indic7 ce protocol de ni1el superior a fost prote@atJ
Valoarea este luat7 din lista cu numerele de protocole I%#
Payload Len 2, /its6
Bungimea acestui antet de autentificare 9n * unit7i de octei minus # Cei
m7rimea este m7surat7 9n * unit7i de octei, lungimea acestui antet are
ne1oie sa fie multiplicat cu , octei dac7 este purtat 9ntr-un pac:et I%1)#
Aceast7 restricie nu este aplicat7 unui AN purtat 9ntr-un pac:et I%1*#
Reserved 2") /its6
Re+er1ai pentru utili+7ri 1iitoare 2toate +erourile p<na atunci6#
Security Parameters Index 2( /its6
Valoarea ar/itrar7 care este folosit7 29mpreun7 cu adresa I% a sursei6 pentru a
identifica asocierei de securitate a unei sesiune de trimitere#
Sequence Numer 2( /its6
O sec1e7 monoton7 de cretere a num7rului 2incrementat cu " pentru fiecare
pac:et trimis6 pentru pre1enirea atacurilor de 9ntoarcere 2repl? attac5s6#
Inte!rity "hec# $alue 2multiplu de ( /its6
Bungime 1aria/il7 ICV 1erific7 1aloarea# Hste posi/il s7 conin7 paduri de
aliniere de c<mp 9n limita de , octei pentru I%1) sau 9n limita a * octei
pentru I%1*#
Fnc7rc7tura securi+at7 9ncapsulat7 2HS%- Hncapsulating Securit? %a?load6 este
un mem/ru a protocolului I%Sec care suport7 numai configuraii de criptare i
autentificare dar folosirea cript7rii f7r7 autentificare este puternic descura@at7 deaorece
este nesigur7# Spre deose/ire de AN, HS% nu ofer7 protecie antetului pac:etului I%#
Fn figura (# este ilustrat cum este construit i interpretat pac:etul datagaram7
HS%:
Security Parameters Index 2( /its6
Valoarea ar/itrar7 care este folosit7 29mpreun7 cu adresa I% a sursei6 pentru a
identifica asocierei de securitate a unei sesiune de trimitere#
Sequence Numer 2( /its6
O sec1e7 monoton7 de cretere a num7rului 2incrementat cu " pentru fiecare
pac:et trimis6 pentru pre1enirea atacurilor de 9ntoarcere 2repl? attac5s6#
Aici se g7sete un contor separat inut pentru fiecare asociere de securitate#
"*
>ig# (# >ormatul HS%
Payload data 21aria/le6
Coninutul prote@at 9n pac:etul I% original ce include orice date folosite
pentru protecie# $ipul coninutului care a fost prote@at este indicat 7n
c<mpul antetului 1ecin#
Paddin! 2!--- octets6
Fnc7rcarea pentru criptare, pentru e8tinderea datelor de 9nc7rcare la
dimensiunea unui c:iper de criptare, i aliierea c9mpului urm7tor#
Pad Len!th 2, /its6
M7rimea padding-ului 9n octei #
Next Header 2, /its6
$ipul antetului urm7tor indic7 ce protocol de ni1el superior a fost prote@atJ
Valoarea este luat7 din lista cu numerele de protocole I%#
Inte!rity "hec# $alue 2multiple of ( /its6
Bungime 1aria/il7 ICV 1erific7 1aloarea# Hste posi/il s7 conin7 paduri de
aliniere de c<mp 9n limita de , octei pentru I%1) sau 9n limita a * octei
pentru I%1*#
%entru a sta/ili ade17rul, autentificarea 1erific7 identitatea a dou7 puncte de
cap7t V%& i a utili+atorilor ce transmit traficul prin reeaua V%&# ;n punct de
cap7t ar putea fi un client V%&, un concentrator V%&, un sistem fire4all sau un
router# Autentificarea este un proces ce ine de securitatea I% i care are loc dup7
criptarea datelor i 9nainte de decriptare, la cap7tul receptor# Hste o funcie necesar7
9n cadrul securit7ii I%, prin care se asigur7 c7 am/ele p7ri, e8peditorul i
destinatarul, sunt cine pretind a fi# In ca+ul I%Sec, fiecare participant tre/uie
configurat manual cu o c:eie parta@at7 anterior 2de o/icei se con1ine asupra ei 9n
afara unei cone8iuni6 i o list7 static7 de participani 1ala/ili, cre<nd astfel un ta/el
mare 9n cadrul routerului, care necesit7 resurse de memorie#
Integritatea datelor este o alt7 funcie din I%Sec# Integritate 9nseamn7 c7
pac:etul primit de destinatar nu a fost modificat 9n timpul transmisiei# Acest lucru
se reali+ea+7 folosind un algoritm :as: ire1ersi/il# ;n algoritm :as: ire1ersi/il
este ec:i1alent cu o sum7 de control criptat7# Cup7 ce e8peditorul criptea+7 i
"-
autentific7 un pac:et, algoritmul :as: ire1ersi/il este rulat pe 1aloarea 9ntregului
pac:et# O 1aloare :as: este interesant7 pentru c7 re+ultatul acesteia 1a a1ea
9ntotdeauna o dimensiune fi87, indiferent de intrare#
I%Sec are dou7 moduri de criptare: tunel i transport# >iecare mod difer7 prin
aplicaiile sale i prin cantitatea de informaii ad7ugate 9n antetul pac:etului
pasager# Aceste moduri diferite de operare sunt re+umate astfel: modul tunel
criptea+7 antetul pac:etului i segmentul de date utile al fiec7rui pac:et, pe c<nd
modul transport criptea+7 doar segmentul cu datele utile#
odul tunel este metoda normal7 prin care I%Sec este implementat 9ntre dou7
sisteme I%L >ire4all 2sau alte pori de securitate6 care sunt conectate printr-o reea
lipsit7 de 9ncredere, cum este Internetul pu/lic# Fntreaga pre+entare legat7 de I%Sec
implic7 modul tunel# Modul tunel 9ncapsulea+7 i prote@ea+7 un pac:et I% complet#
Ceoarece 9ncapsulea+7 sau ascunde pac:etele pentru a fi transmise 9n continuare cu
succes, c:iar routerele de criptare posed7 adresele I% folosite 9n aceste antete noi#
>olosirea modului tunel duce la o cretere suplimentar7 a pac:etului, cu
apro8imati1 ! de octei asociai la antetul I%, c7ci tre/uie s7 se adauge un antet I%
nou la pac:et, ca 9n figura (#(#

>ig# (#(
odul transport este o metod7 de implementare a te:nologiei I%Sec este
aplicat7 mai ales cu protocolul B$% pentru a permite autentificarea clienilor
V%&- =indo4s !!! aflai la distan7# Fn modul tunel, I%Sec criptea+7 9ntregul
pac:et i scrie un nou antet I% 9n pac:et, ceea ce masc:ea+7 informaiile despre
sursa iniial7 i destinatar# Modul tunel este e1ident mai sigur dec<t modul
transport 2deoarece 9ntregul pac:et iniial este criptat, nu numai segmentul de date
propriu-+ise ca 9n modul transport6, cum este ar7tat 9n figura (#*#
")

>ig# (#*
Asocierile de securitate 2SA6 sta/ilesc 9ncrederea 9ntre dou7 dispo+iti1e 9ntr-o
relaie egal-la-egal i acti1ea+7 punctele de cap7t V%& pentru a con1eni asupra
unui set de reguli de transmitere, folosind politici de negociere cu un participant
potenial# O asociere de securitate poate fi 17+ut7 ca un contract prin care se
negocia+7 i apoi se sta/ilesc diferii parametri ai cone8iunii# O asociere de
securitate este identificat7 printr-o adres7 I%, printr-un identificator de protocol de
securitate i o 1aloare unic7 de inde8 al parametrului de securitate S%I P
2 Securit? %arameter Inde86# Valoarea S%I este un num7r de ( de /ii 9nglo/at 9n
antetele pac:etelor# Cele dou7 tipuri de asocieri de securitate sunt:
"# Internet !e" #xchange 2IQH P sc:im/ul de c:ei 9n Internet6# Conine
negocierea, autentificarea unui participant, managementul c:eilor i
sc:im/ul de c:ei# >iind un protocol /idirecional, IQH ofer7 un canal de
comunicare prote@at 9ntre doua dispo+iti1e care negocia+7 un algoritm de
criptare, un algoritm :as:, o metod7 de autentificare i orice informaie
rele1ant7 de grup# >olosete sc:im/ul de c:ei /a+at pe algoritmi Ciffie-
Nellman, iar administratorii de reea pot lega /ine protocolul IQH de
sistemele de gestionare a politicilor#
# IP$ec $ecurit" %ssociation 2I%Sec SA P asociere de securitate I%Sec6 P
I%Sec SA este o asociere unidirecional7 i de aceea este necesar s7 se
sta/ileasc7 asocieri I%Sec SA pentru fiecare direcie# I%Sec SA este o
procedur7 9n dou7 fa+e i trei moduri# 9n fa+a ", pot fi folosite dou7
moduri: main mode 2modul principal6 i aggressi1e mode 2modul agresi16#
In fa+a , singurul mod disponi/il este numit Ruic5 mode 2modul rapid6#
;tili+atorul final nu are nici un control asupra alegerii modului, selectarea
fiind automat7 i depin+<nd parametrii de configurare sta/ilii de am/ii
participani#
3odul 'rinci'al cuprinde un num7r de ase mesa@e care se sc:im/7 9ntre
iniiatorul i responderul de I%Sec#
"M
>ig# *#* Modul principal de autentificare IQH1"
3odul a%re(i4 cuprinde un num7r de trei mesa@e sc:im/ate i este
considerat un sc:im/ nesigur, de aceea nu se mai recomand7 utili+area lui#
>ig# *#- Modul agresi1 de autentificare IQH1"
&egocierea I5E4, are un singur mod de sta/ilire si cuprinde un sc:im/
iniial - Initial E6c$an%e i un sc:im/ de creare de asocieri de securitate -
CREATE7CHIL87SA E6c$an%e#
Initial E6c$an%e este un sc:im/ alc7tuit din patru mesa@e, el fiind oarecum
ec:i1alentul primei fa+e 9n accepiunea protocolului IQH1"#
CREATE7CHIL87SA E6c$an%e este un sc:im/ alc7tuit din dou7 mesa@e,
ec:i1alentul celei de-ale doilea fa+e din IQH1"#

>ig# *#) Modul de autentificare IQH1

",
Protocolul Internet !e" #xchange 2IQH6 este un protocol :i/rid care
folosete o parte din protocolul Oa5le? i o parte dintr-o alt7 suit7 de protocoale
numit7 Secure Qe? H8c:ange Mec:anism 2SQHMH6 9n cadrul format de Internet
Securit? Association and Qe? Management %rotocol 2ISAQM% P protocolul de
asociere pentru securitatea i managementul c:eilor 9n Internet6# In figura de mai
@os se poate 1edea c7 IQH este cu ade17rat un protocol :i/rid#
>ig# *#(
Protocolul I$%!P 2Internet Securit? Association and Qe? Management
%rotocol P protocolul de asociere pentru securitatea i managementul c:eilor 9n
Internet6 este un cadru care definete mecanismele de implementare a protocolului:
de sc:im/ al c:eilor i negocierea unei politici de securitate# ISAQM% este folosi
pentru sc:im/urile prote@ate at<t de parametri SA, c<t i de c:ei pri1ate, 9ntre
participanii dintr-un mediu I%Sec, precum i la crearea i controlul c:eilor#
ISAQM% ofer7 mai multe metode de control al c:eilor i un tran+it prote@at al
parametrilor I%Sec 9ntre participani# Acest lucru este reali+at folosind algoritmi
similari cu cei folosii de I%Sec pentru criptarea propriu-+is7 a datelor din
segmentul de date# Ca i I%Sec, ISAQM% nu este un protocol, ci o simpl7 interfa7
de control al diferitelor metode de sc:im/ dinamic al c:eilor# ISAQM% definete
diferite metode P cum ar fi semn7tura digital7, certificatele i algoritmii :as:
ire1ersi/ili P pentru a se asigura c7 negocierea asocierilor de securitate 9ntre
participani se desf7oar7 9n siguran7#
Fn pre+ent, singurul protocol acceptat din ISAQM% este protocolul Internet
Qe? H8c:ange 2IQH6# C<nd IQH este folosit acti1 9n procesul de criptare, de1in
disponi/ile multe funcii pentru procesul de comunicare I%Sec# >olosind criptarea
cu c:ei pu/lice, IQH negocia+7 parametrii de securitate i sc:im/urile de c:ei
9nainte c:iar ca prelucrarea I%Sec s7 9nceap7#
S5E3E
;n mecanism pentru
utili+area cript7rii cu
c:ei pu/lice la
autentificare#
Oa9le:
;n mecanism /a+at pe
moduri pentru g7sirea
unei c:ei de criptare
9ntre doi participani#
autentificar
ISA53P
Ar:itectur7 pentru sc:im/ul de
mesa@e 9ntre doi participani,
ce include formate de pac:ete
i tran+iii de stare#
IQH 2Internet Qe? H8c:ange6 3 R>C *!0 - este un protocol :i/rid#
"0
Conclu;ii
Aceast7 lucrare pre+int7 utili+area reelelor V%&, modul de funcionare,
criptarea oferit7 de I%Sec i modul 9n care aceste te:nologii pot asigura p7strarea
securit7i unei reele# $oate firmele au clieni c7rora le ofer7 ser1icii 9ntr-o oarecare
m7sur7 indiferent de domeniu# Car, 9n ca+ul reelelor V%&, clienii pot fi definii ca
persoane a c7ror afacere necesit7 conectarea prote@at7 la reeaua companiei
partenere pentru a a1ea acces la resurse# Clienii pot fi utili+atori mo/ili 2ageni de
1<n+are, inginer de sistem6, utili+atori importani care sunt conectai online 9n
permanen7, colecti1ul de conducere 2staff-ul6 sau parteneri de afaceri care culeg
sau furni+ea+7 informaii importante# Resursele sunt definite 9n acest ca+ ca fiind
orice dispo+iti1 care nu este direct accesi/il din Internet# Aceste resurse pot include
ser1ere de pota electronic7, ser1ere de fiiere, sau dispo+iti1e de reea#
;n V%& poate aduce multe /eneficii firmei: e8tinde aria geografic7 de
conecti1itate, sporete securitatea, reduce costurile operaionale, crete
producti1itatea, simplific7 topologia reelei, ofer7 oportunit7i de lucru 9ntr-o reea
glo/al7, asigur7 suport pentru telena1etiti i altele#
Acti1itatile din ce 9n ce mai cresc<nde ale furni+orilor de Ser1icii Internet
2IS% 3 Internet Ser1ice %ro1ider6 impulsionea+7 a1ans7rile rapide ale te:nologiei 9n
domeniul telecomunicaiilor# Ba mi@locul anilor 0! modelul I%-o1er-A$M a creat
multor furni+ori de ser1icii Internet posi/ilitatea de a oferi o te:nologie
performant7 pentru traficul de reea#
Creterea reelei Internet i e1oluia te:nologiei =CM 2=a1elengt: Ci1ision
Multiple8ing 3 Multiple8area lungimilor de und76 la ni1el de fi/r7 optic7 au
condus la apariia unei alternati1e 1ia/ile pentru A$M prin multiple8area multipl7
a ser1iciilor 2fa7 de circuite indi1iduale6# Ce asemenea, ruterele coloanelor
1erte/rale Internet dep7esc ca 1ite+7 comutatoarele A$M, odinioara considerate
foarte rapide i cu o l7ime de /and7 foarte mare# M%BS repre+int7 ultimul pas
f7cut 9n e1oluia te:nologiilor de comutareGrutare pentru Internet, oferind
mecanisme mai simple pentru controlul traficului orientat pe pac:ete,
multifuncionalitate 9mpreun7 cu a1anta@ul important al scala/ilit7ii i nu 9n
ultimul r9nd al costurilor mult mai sc7+ute fa7 de alte te:nologii#
Conform specialitilor, 9n anul !"", 1or fi mai mult de " milion de cone8iuni
tip M%BS Multi-%rotocol Ba/el S4itc:ing V%& #
Fn conclu+ie, pentru cerinele de comunicare ale multor reele aparin<nd
diferitelor companii, V%&-urile /a+ate pe te:nologia M%BS repre+int7 cea mai
/un7 alegere# $otui pentru reelele unde se dorete o securitate crescut7 a
traficului 2trafic criptat 9ntre dou7 puncte terminale6 1arianta optim7 r7m<ne V%&
cu I%Sec#
!
Bi0lio%ra&ie
Cr"i
O%rimii pai 9n securitatea reelelorE - $:om $:omas, Hditura Corint,
.ucureti, !!-#
<SoS 9n reelele I% multimediaE - $atiana R7dulescu, N#K# Coand7, Hditura
Al/astr7, Clu@-&apoca , !!M#
OSisteme de comunicaii 3 Reele A$M i reele localeE - N#K# Coand7,
Hditura .i/liotec:, $<rgo1ite, !!*
OReele de calculatoareE - Andre4 $anen/aum, Hdiia a IV-a, .?/los, !!(
OReele digitale 9n telecomuncaiiE - Virgil Co/rot7, 1ol#III OSI i $C%GI%,
Hditura Mediamira, Clu@-&apo1a, !!#
DReele de calculatoareE - %eter &orton
=orld =ide =e0
TTTTT Site CISCO
:ttp:GG444#cisco#comGenG;SGproductsGs4Gioss4relGps",(-GproductsUconfigur
ationUguideUc:apter!0",)a!!,!!cM-d"#:tmlV"!!!,M
TTTTT Multiprotocol Ba/el S4itc:ing 2M%BS6 $raffic Hngineering,
:ttp:GG444#cisco#comGuni1eredGccGtdGdocGproductGsoft4areGios"!G"!ne4ftG"!li
mitG"!sG"!s-GmplsUte#:tm
TTTTT:ttp:GGro#4i5ipedia#orgG4i5iGReWC-WA(eaUpri1atWC*W,(U1irtual
WC*W,(VKenericURouterUHncapsulation
TTTTT:ttp:GGtec:net#microsoft#comGen-u sGli/rar?GccM),!,*#asp8
TTTTT :ttp:GGro#4i5ipedia#orgG4i5iGI%Sec
"