Securitatea informatiei

Autor:
Cristian Andrei
2008
Cuprins:
1. Introducere .......................................................................................... - 3 -
Error: Reference source not found. Modalitati de conectare la retelele
private ........................................... - 5 -
Error: Reference source not found. Utilitatea retelelor
private .................................................................... - 8 -
Error: Reference source not found. Tipuri de transport in retelele
private.................................................... - 9 -
Error: Reference source not found. Realizarea retelelor
private ................................................................. - 9 -
7. Securitatea inor!atiei in retelele private ............................................ - "3 -
8. Securitatea retelelor private................................................................. - "# -
9. $oncluzii .............................................................................................. - %& -
'i(lio)raie ................................................................................................ - %3 -
1. Introducere
O Reea Virtual Privat (VPN - Virtual Private Network) conecteaz
componentele i resursele unei reele private prin intermediul unei reele
publice. Altel spus! o reea virtual privat este o reea a companiei
implementat pe o inrastructur comun! olosind aceleai politici de
securitate! mana"ement i perorman care se aplic de obicei #ntr-o reea
privat. Practic! te$nolo"ia reelelor virtuale private permite unei %rme s-i
e&tind prin 'nternet! #n condiii de ma&im securitate! serviciile de reea la
distan oerite utilizatorilor! reprezentanelor sau companiilor partenere.
Avanta(ul este evident) crearea unei le"turi de comunicaie rapid! ietin i
si"ur.
*e$nolo"iile VPN oer o cale de a olosi inrastructurile reelelor publice
cum ar % 'nternetul pentru a asi"ura acces securizat i privat la aplicaii i
resurse ale companiei pentru an"a(aii din birourile a+ate la distan sau cei
care lucreaz de acas! pentru partenerii de aaceri i c$iar pentru clieni.
Figura 1. VPN (Reea Privat Virtual)
O reea VPN poate % realizat pe diverse reele de transport de(a
e&istente) 'nternetul public! reeaua urnizorului de servicii 'P! reele ,rame
Rela- i A*.. Astzi! tot mai multe VPN-uri sunt bazate pe reele 'P.
*e$nolo"ia VPN olosete o combinaie de tunnelin"! criptare!
autenti%care i mecanisme i servicii de control al accesului! olosite pentru a
transporta tra%cul pe 'nternet! o reea 'P administrat! sau reeaua unui
urnizor de servicii.
Cum funcioneaz VPN ?
VPN permite utilizatorilor s comunice printr-un tunel prin 'nternet sau
o alt reea public #n aa el #nc/t participanii la tunel s se bucure de
aceeai securitate i posibiliti puse la dispoziie numai #n reelele private.
Pentru a utiliza 'nternetul ca o reea privat virtual! de tip 0AN (0ide
Area Net1or2)! trebuie depite dou obstacole principale. Primul apare din
cauza diversitii de protocoale prin care comunic reelele! cum ar % 'P3 sau
Net456'! #n timp ce 'nternetul poate #nele"e numai tra%cul de tip 'P. Astel!
VPN-urile trebuie s "seasc un mi(loc prin care s transmit protocoale non-
'P de la o reea la alta. 7/nd un dispozitiv VPN primete o instruciune de
transmitere a unui pac$et prin 'nternet! ne"ociaz o sc$em de criptare cu un
dispozitiv VPN similar din reeaua destinaie. 8atele #n ormat 'P39PPP sunt
trecute #n ormat 'P pentru a putea % transportate prin reeaua mondial. Al
doilea obstacol este datorat aptului c pac$etele de date prin 'nternet sunt
transportate #n ormat te&t. :n consecin! oricine poate vedea tra%cul poate s
i citeasc datele coninute #n pac$ete. Aceasta este cu adevrat o problem #n
cazul %rmelor care vor s comunice inormaii con%deniale i! #n acelai timp!
s oloseasc 'nternetul. ;oluia la aceste probleme a permis apariia VPN i a
ost denumit tunneling.
:n loc de pac$ete lansate #ntr-un mediu care nu oer protecie! datele sunt
mai #nt/i criptate! apoi #ncapsulate #n pac$ete de tip 'P i trimise printr-un
tunel virtual prin 'nternet.
8in perspectiva utilizatorului! VPN este o cone&iune punct-la-punct #ntre
calculatorul propriu i serverul corporaiei (%"ura <).

Figura 2. Reea Privat Virtual - Echivalent logic
7on%denialitatea inormaiei de %rm care circul prin VPN este
asi"urat prin criptarea datelor. :n trecut! reelele private erau create olosind
linii de comunicaie #nc$iriate #ntre sedii. Pentru a e&tinde acest concept la
'nternet! unde tra%cul mai multor utilizatori trece prin aceeai cone&iune! au
ost propuse o serie de protocoale pentru a crea tuneluri. *unelarea permite
e&peditorului s #ncapsuleze datele #n pac$ete 'P care ascund inrastructura
de rutare i comutare a 'nternetului la ambele capete de comunicaie. :n
acelai timp! aceste pac$ete #ncapsulate pot % prote(ate #mpotriva citirii sau
alterrii prin diverse te$nici de criptare.
*unelurile pot avea dou eluri de puncte terminale! %e un calculator
individual! %e o reea =AN cu un "ate1a- de securitate - poate % un ruter sau
un %re1all. Orice combinaie a acestor dou tipuri de puncte terminale poate
% olosit la proiectarea unei reele VPN.
:n cazul tunelrii =AN-to-=AN! "ate1a--ul de securitate al %ecrui punct
terminal servete drept intera #ntre tunel i reeaua privat =AN. :n astel
de cazuri! utilizatorii %cecrui =AN pot olosi tunelul #n mod transparent
pentru a comunica unii cu alii.
7azul tunelului client-to-=AN! este cel stabilit de re"ul pentru
utilizatorul mobil care dorete s se conecteze la reeaua local a %rmei.
Pentru a comunica cu reeaua de %rm! clientul (utilizatorul mobil)! iniiaz
crearea tunelului. Pentru aceasta! clientul ruleaz un sot1are client special!
care comunic cu "ate1a--ul de protecie al reelei =AN.
De ce VPN-uri?
.ediul de aaceri este #n continu sc$imbare! multe companii
#ndrept/ndu-i atenia spre piaa "lobal. Aceste %rme devin re"ionale!
multinaionale i toate au nevoie strin"ent de un lucru) o comunicaie rapid!
%abil i si"ur #ntre sediul central! %liale! birouri i punctele de lucru! adic
de o reea 0AN (de arie lar").
O reea 0AN tradiional presupune #nc$irierea unor linii de
comunicaie! de la cele ';8N (><?9<@ABbps) la cele de %br optic (>@@ .bps)
care s acopere aria "eo"ra%c necesar. O astel de reea are avanta(e clare
a de una public! cum este 'nternetul! c/nd vine vorba de %abilitate!
perorman i securitate. 8ar deinerea unei reele 0AN cu linii #nc$iriate
este de-a dreptul scump! proporional cu aria "eo"ra%c acoperit.
O dat cu creterea popularitii 'nternetului! companiile au #nceput s
#i e&tind propriile reele. =a #nceput au aprut intraneturile! care sunt site-
uri prote(ate prin parol destinate an"a(ailor companiei. Acum! multe %rme i-
au creat propriile VPN-uri pentru a veni #n #nt/mpinarea cerinelor an"a(ailor
i o%ciilor de la distan.
6n VPN poate aduce multe bene%cii companiei) e&tinde aria "eo"ra%c
de conectivitate! sporete securitatea! reduce costurile operaionale! crete
productivitatea! simpli%c topolo"ia reelei! oer oportuniti de lucru #ntr-o
reea "lobal! asi"ur suport pentru tendina aacerilor spre operare de la
distan! operaii distribuite "lobal i operaii de parteneriat oarte
interdependente! #n care lucrtorii trebuie s se poate conecta la resursele
centrale! s comunice unul cu altul! iar %rmele trebuie s-i administreze
e%cient stocurile pentru un ciclu de producie scurt.
2. Modalitati de conectare la retelele private
=a ora actul e&ist C tipuri principale de VPN-uri)
- VPN-urile cu acces de la distan (Remote Access VPN) permit
utilizatorilor dial-up s se conecteze securizat la un site central printr-o reea
public. Acestea mai sunt numite i DdialD VPN-uri.
- VPN-urile intranet (Intranet VPN) permit e&tinderea reelelor private
prin 'nternet sau alt serviciu de reea public #ntr-o manier securizat.
Acestea sunt denumite i VPN-uri Dsite-to-siteD sau D=AN-to-=AND.
- VPN-urile e&tranet (Extranet VPN) permit cone&iuni securizate #ntre
partenerii de aaceri! urnizori i clieni! #n "eneral #n scopul realizrii
comerului electronic. VPN-urile e&tranet sunt o e&tensie a VPN-urilor intranet
la care se adau" %re1all-uri pentru protecia reelei interne.
Figura 3. Tipuri e VPN
*oate aceste reele virtuale private au rolul de a oeri %abilitatea! perormana
i securitatea mediilor 0AN tradiionale! dar cu costuri mai sczute i
cone&iuni ';P ('nternet ;ervice Provider) mult mai +e&ibile. *e$nolo"ia VPN
poate % olosit i #ntr-un intranet pentru a asi"ura securitatea i controlul
accesului la inormaii! resurse sau sisteme vitale. 8e e&emplu! se poate limita
accesul anumitor utilizatori la sistemele %nanciare din companie sau se pot
trimite inormaii con%deniale #n manier securizat.
Remote Access VPN E permite conectarea individual (utilizatori
mobili) sau a unor birouri la sediul central al unei %rme! aceasta realiz/ndu-se
#n cele mai si"ure condiii.
Figura !. Re"ote #cce$$ VPN
5&ist dou tipuri de cone&ini VPN de acest el)
1) Conexiune iniiat de client - 7lienii care vor s se conecteze la
site-ul %rmei trebuie s aib instalat un client de VPN! acesta asi"ur/ndu-le
criptarea datelor #ntre computerul lor i sediul ';P-ului. .ai departe
cone&iunea cu sediul %rmei se ace de asemenea #n mod criptat! #n concluzie
#ntre"ul circuit al inormaiei se ace #n mod criptat. *rebuie precizat c #n
cazul acestui tip de VPN sunt olosii o multitudine de clieni de VPN. 6n
e&emplu este 7isco ;ecure VPN dar i 0indo1s N* sau <FFF au inte"rat
clieni de VPN. ,i"ura @ sc$ematizeaz acest tip de Access VPN )
Figura %. #cce$ e la i$tan iniiat e client
2) Access VPN iniiat de serverul de acces E acest tip de
cone&iune este ceva mai simpl pentru c nu implic olosirea unui client de
VPN. *unelul criptat se realizeaz #ntre server-ul de acces al ';P-ului i sediul
%rmei la care se vrea lo"area. :ntre client i server-ul de acces securitatea se
bazeaz pe si"urana liniilor teleonice (apt care uneori poate % un
dezavanta().
Figura &. #cce$ e la i$tan iniiat e $erver-ul e acce$
Intranet VPN E permite conectarea dieritelor sedii ale unei %rme
olosind le"turi dedicate (permite realizarea unor medii client-server oarte
perormante prin utilizarea cone&iunilor dedicate care pot s atin" rate de
transer oarte bune). 8ierena a de Remote Access VPN const #n aptul c
se olosesc le"turi dedicate cu rata de transer "arantat! apt care permite
asi"urarea unei oarte bune caliti a transmisiei pe l/n" securitate i band
mai lar".
Figura '. (ntranet VPN
Ar$itectura aceasta utilizeaz dou routere la cele dou capete ale cone&iunii!
#ntre acestea realiz/ndu-se un tunel criptat. :n acest caz nu mai este necesar
olosirea unui client de VPN ci olosirea 'P;ec. 'P;ec ('P ;ecurit- Protocol)
este un protocol standardizat de strat C care asi"ur autenti%carea!
con%denialitatea i inte"ritatea transerului de date #ntre o perec$e de
ec$ipamente care comunic. ,olosete ceea ce se numete 'nternet Be-
5&c$an"e ( 'B5 ) care necesit introducerea la ambele capete ale cone&iunii a
unor c$ei de autenti%care care mai apoi vor permite lo"area reciproc.
;c$ematic cone&iunea este prezentat #n %"ura ? )
Figura ). #rhitectura (ntranet VPN
Extranet VPN E este olosit pentru a le"a dierii clieni sau parteneri
de aaceri la sediul central al unei %rme olosind linii dedicate! cone&iuni
parta(ate! securitate ma&im.
Figura *. E+tranet VPN
Acest tip de VPN seamn cu precedentul cu deosebirea c e&tinde
limitele intranetului permi/nd lo"area la sediul corporaiei a unor parteneri
de aaceri! clieni etc.G acest tip permite accesul unor utilizatori care nu ac
parte din structura %rmei. Pentru a permite acest lucru se olosesc certi%cate
di"itale care permit ulterior realizarea unor tunele criptate. 7erti%catele
di"itale sunt urnizate de o autoritate care are ca activitate acest lucru.
3. Utilitatea retelelor private
=a adoptarea unei reele virtuale private prin 'nternet e&ist dou
probleme ma(ore) securitatea i perormana. Protocolul de control al
transmisiei (*7P9'P) i 'nternetul nu au ost "/ndite iniial s asi"ure #n
principal securitate i perorman! deoarece la acea vreme utilizatorii i
aplicaiile lor nu necesitau o securitate puternic i o perorman "arantat.
8in ericire! standardele pentru securitatea datelor din reelele 'P au evoluat!
%ind posibil crearea VPN-urilor olosind reele 'P.
:n mod normal! c/nd proiecteaz o soluie de acces de la distan la o
reea! o companie dorete s permit accesul controlat la resurse i
inormaii. ;oluia trebuie s permit clienilor autorizai s se conecteze uor
la =AN-ul corporaiei! i s permit sucursalelor s se conecteze #ntre ele
pentru a pune #n comun inormaii i resurse (cone&iuni =AN-=AN). :n plus!
soluia trebuie s asi"ure securitatea i inte"ritatea datelor c/nd traverseaz
'nternet-ul. Aceleai preocupri apar i #n cazul c/nd datele ce trebuie
prote(ate traverseaz inter-reeaua corporaiei.
:n consecin! o soluie VPN trebuie s realizeze cel puin urmtoarele uncii
vitale)
Autenticarea utilizatorului! ;oluia trebuie s veri%ce
identitatea utilizatorului i s permit accesul prin VPN numai utilizatorilor
autorizai. :n plus! soluia trebuie s permit monitorizarea i (urnalizarea
activitilor pentru a arta cine i c/nd a accesat o anume inormaie.
"estionarea adreselor! ;oluia trebuie s asocieze unui
client o adres din reeaua privat! i s asi"ure c adresele private rm/n
secrete.
Cri#tarea datelor! 8atele transerate prin reeaua public
trebuie cute ilizibile pentru clienii neautorizai.
"estiunea c$eilor! ;oluia trebuie s "enereze i s
#mprospteze c$eile de criptare pentru client i pentru server.
%u#ort multi#rotocol! ;oluia trebuie s %e capabil s
manevreze protocoalele e&istente #n reelele publice! cum ar % 'nternet
Protocol ('P)! 'nternet Pac2et 5&c$an"e ('P3)! etc.
4. Tipuri de transport in relele private
Aa cum am vzut! pentru a asi"ura con%denialitatea datelor #ntr-o
transmisie pe canale de comunicaii nesi"ure! cum este 'nternetul! pot %
olosite diverse te$nici cripto"ra%ce. .odul de transmisie utilizat #n cazul unei
soluii VPN va determina care pri ale unui mesa( sunt criptate. 6nele soluii
cripteaz #ntre"ul mesa( (antetul 'P i datele din mesa()! #n timp ce altele
cripteaz doar datele. 7ele patru moduri (metode) de transmisie #nt/lnite #n
soluiile VPN sunt)
In Place &ransmission 'ode (modul de transmisie Hin-placeI) - este de
obicei o soluie speci%c unui anumit productor! #n care doar datele sunt
criptate. 8imensiunea pac$etelor nu este aectat! prin urmare mecanismele
de transport nu sunt aectate.
&rans#ort 'ode (modul transport) - doar se"mentul de date este criptat!
deci mrimea pac$etului va crete. Acest mod oer o con%denialitate
adecvat a datelor pentru reele VPN de tip nod-la-nod.
Encr(#ted &unnel 'ode (modul tunel criptat) - inormaia din antetul 'P
i datele sunt criptate! ane&/ndu-se o nou adres 'P! mapat pe punctele
terminale ale VPN. ;e asi"ur o con%denialitate "lobal a datelor.
Non - encr(#ted &unnel 'ode (modul tunel necriptat) - nici o
component nu este criptat! toate datele sunt transportate #n te&t clar. Nu se
oer nici un mi(loc de asi"urare a con%denialitii datelor.
8ei poate prea ciudat! e&ist i soluii VPN care nu realizeaz nici un
mod de criptare. :n sc$imb! pentru a oeri un "rad de con%denialitate a
datelor! ele se bazeaz pe te$nici de #ncapsulare a datelor! cum ar %
protocoalele de tunelare sau or1ardin". Nu toate protocoalele de tunelare i
or1ardin" olosesc un sistem cripto"ra%c pentru con%denialitatea datelor!
ceea ce #nseamn c toate datele vor % transmise #n clar! pun/nd sub semnul
#ntrebrii cum poate o astel de soluie s asi"ure protecia #mpotriva
interceptrii datelor - cerin critic #n cazul reelelor VPN.
8in neericire! terminolo"ia utilizat #n industria de pro%l poate s
contribuie la apariia de astel de conuzii. Pentru clari%carea acestor conuzii!
trebuie ca utilizatorul s identi%ce care mod de transmisie este olosit. 7a i #n
cazul autenti%crii datelor i a utilizatorilor! modurile de transmisie trebuie s
%e analizate dac sunt criptate sau necriptate. 8ac o soluie VPN nu
urnizeaz nici o orm de criptare #n scopul con%denialitii datelor! atunci
aceast soluie poate % denumit mult mai corect Virtual Net1or2 (VN - reea
virtual)! din moment ce nimic nu este privat #n aceast reea 'nternet! #ntre
surs i destinaie.
5. Realiarea retelelor private
:n uncie de tipul VPN-ului (cu acces de la distan sau site-to-site)!
pentru a construi un VPN este nevoie de c/teva componente)
- sot1are client pentru %ecare utilizator de la distanG
- $ard1are dedicat! precum un concentrator VPN sau un %re1all
P'3 de securitateG
- un server VPN dedicat serviciilor dial-upG
- un NA; (server de acces la reea) olosit de urnizorul de servicii
pentru accesul VPN al utilizatorilor de la distanG
- un centru de administrare a politicilor din reeaua VPN.
Figura 10. VPN $ite-to-$ite v$. ,#N traiional
O soluie VPN bazat pe 'nternet este alctuit din patru componente
principale) 'nternet-ul! porile de securitate ("ate1a-s)! politicile de securitate
ale server-ului i autoritile de certi%care.
Internet-ul urnizeaz mediul de transmitere. Porile de securitate
stau #ntre reeaua public i reeaua privat! #mpiedic/nd intruziunile
neautorizate #n reeaua privat. 5le! deasemenea! dispun de capaciti de
tunelare i criptare a datelor #nainte de a % transmise #n reeaua public. :n
"eneral! o poart de securitate se #ncadreaz #n una din urmtoarele cate"orii)
routere! %re1all! dispozitive dedicate VPN $ar1are i sot1are.
Router
Pentru c router-ele trebuie s e&amineze i s proceseze %ecare pac$et
care prsete reeaua! pare normal ca #n componena acestora s %e inclus
i uncia de criptare a pac$etelor. 7omercianii de routere dedicate VPN! de
obicei oer dou tipuri de produse) ori cu un suport sot1are pentru criptare!
ori cu un circuit adiional ec$ipat cu un co-procesor care se ocup strict de
criptarea datelor. Acestea din urm reprezint cea mai bun soluie pentru
situaiile #n care sunt necesare +u&uri mari de date.
*rebuie avut "ri( la adu"area de noi sarcini pentru router (criptarea)!
pentru c! dac router-ul nu poate ace a i HpicI! atunci #ntre" VPN-ul
devine neuncionabil.
5&emple)
Cisco 3660 Series Cisco 1710 Series Cisco 3620 Series


Figura 11. Routere -olo$ite la VPN
8in punct de vedere al perormanelor! soluia bazat pe routere este cea
mai bun dar implic un consum oarte mare de resurse! at/t din punct de
vedere %nanciar c/t i din punct de vedere al resurselor umane! %ind necesari
specialiti #n securitatea reelelor pentru a con%"ura i #ntreine astel de
ec$ipamente.
5ste o soluie potrivit pentru companiile mari! care au nevoie de un
volum oarte mare de tra%c i de un "rad sporit de securitate.
Figura 12. .oluie VPN /a0at pe routere
,ire1all
.uli comerciani de %re1all includ #n produsele lor capacitatea de
tunelare. Asemeni router-elor! %re1all-urile trebuie s proceseze tot tra%cul 'P.
8in aceast cauz! nu reprezint o soluie potrivit pentru tunelare #n cadrul
reelor mari cu tra%c oarte mare.
Sediul central
!iliala
Internet
"iroul de acasa
7ombinaia dintre tunelare! criptare i %re1all reprezint probabil
soluia cea mai bun pentru companiile mici! cu volum mic de tra%c. 7a i #n
cazul router-elor! dac %re1all-ul HpicI! #ntre" VPN-ul devine neuncionabil.
,olosirea %re1all-urilor pentru creearea de VPN reprezint o soluie
viabil! #ndeosebi pentru companiile de dimensiuni mici! ce transer o
cantitate relativ mic de date (de ordinul >-< .4 pe reeaua public).
;oluia unui %re1all cu VPN inte"rat prezint avanta(ul unei securiti
sporite (poarta de securitate a VPN-ului %ind prote(at de %ltrele aplicate de
%re1all) i! de asemenea! este mult mai uor de #ntreinut! c/ndu-se practic
mana"ement pentru am/ndou componentele simultan.
Figura 13. Fire1all cu VPN integrat
5c$ipamente $ar1are dedicate
O alt soluie VPN o reprezint utilizarea de $ard1are special proiectat
s #ndeplineasc sarcinile de tunelare! criptare i autenti%carea utilizatorilor.
Aceste ec$ipamente opereaz de obicei ca nite puni de criptare care sunt
amplasate #ntre router-ele reelei i le"tura 0AN (le"tura cu reeaua
public). 8ei aceste ec$ipamente sunt proiectate pentru con%"uraiile =AN-
to-=AN! unele dintre ele suport i tunelare pentru cazul client-to-=AN.
Figura 1!. 2lient har1are VPN
'nte"r/nd diverse uncii #n cadrul aceluiai produs poate % destul de
atr"tor pentru o %rm care nu bene%ciaz de resursele necesare pentru a
instala i #ntreine diverse ec$ipamente de reea dierite. O simpl pornire a
unui astel de ec$ipament este mult mai simpl dec/t instalarea unui sot1are
pe un %re1all! con%"urarea unui router i instalarea unui server
RA8'6;(*A7A7;).
7$iar dac multe din aceste ec$ipamente $ard1are par c oer cele mai
bune perormane pentru un VPN! tot trebuie decis c/te uncii doreti s
inte"rezi #ntr-un sin"ur ec$ipament. 7ompaniile mici! care nu dispun de
personal specializat #n securitatea reelelor vor bene%cia de aceste produse
care inte"reaz toate unciile unui VPN. 6nele produse - cele mai scumpe -
includ surse duble de alimentare i au caracteristici deosebite care asi"ur
%abilitatea uncionrii.
5ste "reu de depit perormana acestor ec$ipamente #n capacitatea lor
de a susine un volum de tra%c mare i un numr impresionant de tuneluri
simultane! lucru esenial pentru companiile mari.
5&emple)

Figura 1%. 2i$co VPN 3332 4ar1are 2lient
;oluii sot1are dedicate
7omponente sot1are VPN sunt deasemenea disponibile pentru
creearea i #ntreinerea de tuneluri! %e #ntre dou pori de securitate! %e #ntre
3##2
Ca$le Modem
3##2
%S&
3##2
Utiliator
!iliala
!iliala
Internet
Concentrator '()
un client i o poart de securitate. Aceste sisteme sunt a"reeate datorit
costurilor reduse i sunt olosite pentru companiile mici! care nu au nevoie s
procesese o cantitate prea mare de date. Aceste soluii pot rula pe servere
e&istente! #mprind astel resursele cu acestea. Reprezint soluia cea mai
potrivit pentru cone&iunile de tipul client-to-=AN.
Practic! se instaleaz o aplicaie sot1are pe calculatorul clientului care
stabilete cone&iunea cu serverul VPN. 5&ist multe %rme productoare de
astel de aplicaii! .icrosot inte"r/nd! de altel #n ulimele sisteme de operare
lansate soluii sot1are de acest "en. Asel! sistemul de operare 0indo1s <FFC
;erver are #ncorporat un server VPN iar! din punct de vedere al clienilor!
sistemele de operare 0indo1s <FFF Pro! respectiv 0indo1s 3P au #ncorporat
un client VPN. Practic se poate realiza o aplicaie VPN r a mai instala alte
produse sot1are sau $ard1are! trebuind doar con%"urate cele e&istente.
Pe l/n" porile de securitate! o alt component important a unui VPN
o reprezint #olitica de securitate a server-ului. Acest server menine
listele de control al accesului i alte inormaii le"ate de utilizatori. Porile de
securitate olosesc aceste inormaii pentru a determina care este tra%cul
autorizat.
:n cele din urm! autoritatea de certicare este necesar pentru a
veri%ca c$eile parta(ate #ntre locaii i pentru a ace veri%cri individuale pe
baza certi%catelor di"itale. 7ompaniile mari pot opta pentru a-i menine
propria baz de date cu certi%cate di"itale pe un server propriu! iar #n cazul
companiilor mici intervine o HterI parte reprezentat de o autoritate de
#ncredere.
*. Securitate informatiei in retelele private
O reea VPN bine proiectat olosete c/teva metode care menin datele
i cone&iunea securizate) %re1all-uri! criptarea! 'P;ec sau server AAA.. Astzi
securitatea reelei este #n principal asi"urat de %re1all-uri! produse care pun
o barier sot1are #ntre resursele companiei (reeaua privat) i 'nternet.
,ire1all-urile pot % con%"urate s restricioneze numrul de porturi desc$ise!
pot % instruite care eluri de pac$ete s le lase s treac i care nu! dar un
%re1all poate % utilizat pentru a #nc$eia sesiunile VPN.
Figura 1&. Fire1all
7$ec2Point ;ot1are *ec$nolo"ies i Raptor ;-stems sunt dou dintre cele
mai cunoscute %rme care v/nd sot de %re1all pentru servere 6ni&! situate #n
apropierea router-ului de reea. Alte %rme! ca 7isco ;-stems i Ascend
7ommunications! v/nd produse de securitate la nivel de router.
7riptarea este procesul prin care toate datele trimise de un calculator
sunt codi%cate #ntr-o orm pe care doar calculatorul destinatar o poate
decodi%ca. .a(oritatea sistemelor de criptare cu a(utorul calculatorului se
#mpart #n dou cate"orii) criptarea cu c$eie simetric sau criptarea cu c$eie
public.
:n criptarea cu c$eie simetric! %ecare calculator posed o c$eie secret
pe care o poate olosi la criptarea unui pac$et de inormaie #nainte de a-l
trimite prin reea celuilalt calculator. 7$eia simetric presupune cunoaterea
perec$ilor de calculatoare care vor comunica aa #nc/t este nevoie de c/te o
c$eie pentru %ecare calculator.
7riptarea cu c$eie public olosete o combinaie de c$eie privat i
c$eie public. 7$eia privat o cunoate doar calculatorul dumneavoastr! iar
cea public este oerit oricrui alt calculator ce dorete s comunice #n
manier securizat. Pentru a decodi%ca un mesa( criptat! un calculator trebuie
s oloseasc c$eia public oerit de iniiatorul comunicaiei! precum i c$eia
sa privat. 6n utilitar cunoscut este Prett- Jood Privac- (PJP)! care poate
cripta aproape orice.
7el mai #nt/lnit dintre protocoalele VPN discutate anterior este 'P;ec -
un Hopen-standardI de securitate olosit de cele mai mari %rme! printre care se
numr '4.! ;un sau 4a-Net1or2s - pentru stabilirea comunicaiilor directe
private prin 'nternet.
'nternet Protocol ;ecurit- ('P;ec) oer caracteristici de securitate
e&tins! precum i al"oritmi de criptare mai buni! pe l/n" mecanisme de
autenti%care. 'P;ec are dou moduri de criptare ) tunel i transport. *unelul
cripteaz doar antetul! #n timp ce transportul cripteaz i datele. 'P;ec poate
cripta date #ntre diverse ec$ipamente) ruter-ruter! %re1all-ruter! P7-ruter! P7-
server.
'P;ec v prote(eaz datele #n trei moduri! olosind te$nici cripto"ra%ce)
Autenticare) Procesul prin care este veri%cat identitatea unui $ost
(staie de lucru).
Vericarea inte)ritii) Procesul prin care se semnaleaz orice
modi%cri ale datelor survenite #n procesul de transport prin 'nternet! #ntre
surs i destinaie.
Cri#tarea) Procesul de codi%care a inormaiei #n tranzit prin reea!
pentru a asi"ura caracterul su privat.
Figura 1'. 5n Re"ote #cce$$ VPN cu (P$ec
;erverele AAA (de autenti%care! autorizare i (urnalizare) sunt olosite
pentru accesurile mult mai securizate dintr-un mediu VPN de accesul la
distan. 7/nd vine o cerere de stabilire a unei sesiuni de la un client dial-up!
serverul AAA veri%c urmtoarele)
- cine suntei (autenti%care)G
- ce permisiuni avei (autorizare)G
- ce anume de apt acei ((urnalizare).
,uncia de (urnalizare este util atunci c/nd urmrii ce anume ace clientul! #n
scopul acturrii! de e&emplu.
O soluie complet pentru realizarea unei reele VPN necesit #mbinarea
a trei componente te$nolo"ice critice) securitatea! controlul tra%cului i
administrarea la nivelul or"anizaiei.
%ecuritatea
*e$nolo"iile importante care acoper componenta de securitate a unei
reele VPN sunt) controlul accesului pentru "arantarea securitii cone&iunilor
din reea! criptarea! pentru prote(area con%denialitii datelor! autenti%carea!
pentru a veri%ca identitatea utilizatorului! ca i inte"ritatea datelor.
Controlul tracului
O a dou component critic #n implementarea unei reele VPN este dat
de controlul tra%cului! realizat pentru un scop simplu i clar) "arantarea
%abilitii! calitii serviciilor i a unor perormane optime #n ceea ce privete
ratele de transer. 7omunicaiile #n 'nternet pot duce la apariia unor zone de
con"estie! impropii unor aplicaii critice #n domenniul aacerilor. Alternativa
este dat de stabilirea unor prioriti de rutare a tra%cului! astel #nc/t
transerul datelor s %e realizat cu %abilitate ma&im.
Administrarea la nivelul or)anizaiei
6ltima component critic este dedicat "arantrii unei inte"rri
complete a reelei VPN #n politica de securitate "lobal! unei administrri
centralizate (%e de la o consol local! %e de la una la distan) i unei
scalabilti a soluiei alese.
8eoarece #n cazul reelelor VPN nu e&ist o reet unic! este necesar o
combinaie particular a acestor trei componente! astel #nc/t rezultatul
practic s #ntruneasc criteriile de evaluare mai sus menionate.
+. Securitatea retelelor private
5ste cunoscut aptul c numai standardele susinute de industrie vor
asi"ura interoperabilitatea aplicaiilor. Administratorii care implementeaz o
soluie VPN sunt pui #n aa unor anumite probleme! din cauza absenei
standardelor. 'nternet 5n"ineerin" *as2 ,orce ('5*,) a stabilit un "rup de
lucru dedicat de%nirii standardelor i protocoalelor le"ate de securitatea
'nternetului. 6nul dintre cele mai importante scopuri ale acestui "rup de lucru
este %nalizarea standardului 'P;ec! care de%nete structura pac$etelor 'P i
considerentele le"ate de securitatea #n cazul soluiilor VPN.
8e-a lun"ul ultimilor ani! "rupul de lucru 'P;ec din cadrul '5*, a
#nre"istrat mari pro"rese #n adu"area de te$nici de securitate cripto"ra%ce la
standardele pentru inrastructura 'nternet. Ar$itectura de securitate
speci%cat pentru 'P (%"ura >K) urnizeaz servicii de securitate ce suport
combinaii de autenti%care! inte"ritate! controlul accesului i con%denialitate.
Internet (rotocol ,I(-
I( securit. (rotocol
TC( ,Transport Control (rotocol-
/TT( !T( Telnet SMT( 0..
Figura 1). Protcolul e $ecuritate (nternet ((P)
IP%ec a aprut #n cadrul eortului de standardizare pentru 'PvA i
reprezint sin"ura soluie desc$is pentru securizarea cone&iunilor pe
'nternet. 'P;ec poate % con%"urat pentru dou moduri distincte) modul tunel
i modul transport. :n modul tunel! 'P;ec #ncapsuleaz pac$etele 'PvL #n cadre
'P securizate! pentru transerul inormaiei #ntre dou sisteme %re1all!
de e&emplu. :n modul transport! inormaia este #ncapsulat #ntr-un altel
de mod! #nc#t ea poate % securizat #ntre punctele terminale ale cone&iunii!
deci Hambala(ulI nu ascunde inormaia de rutare cap-la-cap. .odul tunel este
cea mai si"ur metod de securizare! #ns crete "radul de #ncrcare a sesiunii
de comunicaie! prin mrirea dimensiunilor pac$etelor.
;tandardul pentru Ar$itectura de ;ecuritate 'P! descris #n R,7 <LF>!
prezint mecanismele de securitate pentru 'P versiunea L ('PvL) i pentru 'P
versiunea A ('PvA).
=a ora actual e&ist dou tipuri de antete ($eadere) ce pot % ataate la
un pac$et 'P pentru realizarea securitii. Acestea sunt)
Aut$entication *eader (AM) - antetul de autentifcare E care
urnizeaz serviciile de inte"ritate i autenti%care.
Enca#sulated %ecurit( Pa(load (5;P) - nveliul de securitate - care
urnizeaz con%denialitate i! #n uncie de al"oritmii i de modurile olosite!
poate urniza! de asemenea! inte"ritate i autenti%care.
Pe l/n" autenti%carea sursei! AM asi"ur numai inte"ritatea datelor! #n
timp ce 5;P! care asi"ura p/n acum doar criptarea! acum asi"ur at/t
criptarea! c/t i inte"ritatea datelor. 8ierena dintre inte"ritatea datelor prin
AM i cea dat de 5;P st #n scopul datelor care sunt autenti%cate. AM
auteti%c #ntre"ul pac$et! #n timp ce 5;P nu autenti%c antetul 'P e&terior. :n
autenti%carea 5;P! sumarul de mesa( se a+ #n %nalul pac$etului! #n timp ce #n
AM! sumarul se "sete #nuntrul antetului de autenti%care.
7ele dou antete! respectiv mecanisme de securitate! pot % olosite
independent unul de cellalt! combinate sau #ntr-un mod imbricat. 5le sunt
de%nite #n mod independent de al"oritm astel #nc/t al"oritmii cripto"ra%ci pot
% #nlocuii r ca alte pri din implementare s %e aectate. :n mod implicit
sunt speci%cai al"oritmi standard! pentru asi"urarea interoperabilitii.
Ambele mecanisme de securitate 'P pot urniza servicii de securitate
#ntre)
- dou calculatoare "azd ce comunic #ntre ele!
- dou "ate1a--uri de securitate comunicante sau!
- un calculator "azd i un "ate1a-.
;tandardul 'P;ec stabilete c #nainte de orice transer de date trebuie
ne"ociat o asociere de securitate (;ecurit- Association - ;A) #ntre cele dou
noduri VPN (de tip "ate1a- sau client)! s conine toate inormaiile necesare
pentru e&ecuia dieritelor servicii de securitate pe reea! cum sunt serviciile
corespunztoare nivelului 'P (autenti%carea antetului i #ncapsularea datelor)!
serviciile nivelurilor de transport sau aplicaie! precum i autoprotecia
tra%cului de date din ne"ociere.
Aceste ormate urnizeaz un cadru consistent pentru transerul c$eilor
i a datelor de autenti%care! care este independent de te$nica de "enerare a
c$eilor! de al"oritmul de criptare sau mecanismul de autenti%care.
'P;ec poate % privit ca un nivel intermediar sub stiv *7P9'P. Acest nivel
este controlat de o politic de securitate pe %ecare main i de o asociere de
securitate ne"ociat #ntre emitor i receptor. Politica const #ntr-un set de
%ltre i un set de pro%le de securitate asociate. 8ac un pac$et are o adres!
protocolul i numrul de port corespunztoare unui %ltru! atunci pac$etul este
tratat conorm pro%lului de securitate asociat.
6nul dintre avanta(ele ma(ore ale elaborrii unui standard 'P;ec este c
structura standardizat a pac$etului i asocierea de securitate vor acilita
interoperarea dieritelor soluii VPN la nivelul transmisiei de date. 7u toate
acestea! standardul nu oer un mecanism automat de sc$imb pentru c$eile de
criptare i autenti%care a datelor! necesare pentru stabilirea unei sesiuni
criptate! aspect care introduce al doilea avanta( ma(or al standardului) PB' sau
inrastructura de administrare a c$eilor.
;unt #n curs de dezvoltare protocoale i te$nici cripto"ra%ce care s
asi"ure "estiunea c$eilor la nivelul de securitate din 'P printr-un mecanism
standardizat de administrare a c$eilor care s permit o ne"ociere! distribuie
i stocare a c$eilor de criptare i autenti%care #n condiii de complet
corectitudine i si"uran. 6n e&emplu #l constituie Protocolul de Gestiune a
Cheilor pentru Internet (I%A+'PE Internet Security Association and Key
ana!e"ent Protocol) care este un protocol de nivel aplicaie! independent de
protocoalele de securitate de la nivelele inerioare. ';AB.P are la baz te$nici
derivate din mecanismul 8iNie-Mellman pentru sc$imbarea c$eilor. O
standardizare #n structura de pac$ete i #n mecanismul de administrare a
c$eilor va duce la completa interoperabilitate a dieritelor soluii VPN.
'P;ec va avea un succes ma(or #n mediile =AN-=AN! #ns #n cazul
consideraiilor client9server va % de o utilitate limitat la c/iva ani. 7auzele
acestei disuncii stau #n penetrarea relativ limitat a PB' i #n problemele de
scalabilitate. 'mplementarea sa pretinde cunoaterea domeniului de adrese 'P
pentru a stabili indentitatea utilizatorilor! cerin care ace acest protocol
impracticabil #n mediile cu alocare dinamic a adreselor! cum este cazul ';P.
'P;ec nu suport alte protocoale de reea #n aar de *7P9'P i nu
speci%c o metodolo"ie de control al accesului #n aar de %ltrarea pac$etelor.
8in moment ce olosete adresarea 'P ca parte a al"oritmului de autenti%care!
se pare c este mai puin si"ur de c/t alte protocoale de nivel #nalt la capitolul
identi%carea utilizatorilor.
Poate cel mai important dezavanta( al 'P;ec #l constituie absena unui
spri(in erm din partea .icrosot. 7ompania din Redmond nu a pomenit nimic
despre suportul 'P;ec #n sistemele sale de operare client. ;e poate spune c
'P;ec se a+ #n competiie cu PP*P i =<*P #n ceea ce privete construirea de
cone&iuni tunel! de aceea nu este clar dac .icrosot va ace sc$imbri
radicale #n stiva 'PvL pentru a suporta 'P;ec la niveluri superioare.
'ecanismul Antetului de Autenticare IP
Antetul de Autenti%care a ost proiectat s urnizeze serviciile de
inte)ritatea datelor i autenticarea ori)inii datelor at/t pentru
data"ramele 'PvL c/t i pentru cele 'PvA. :n plus! el poate urniza serviciul de
nerepudiere! #n uncie de al"oritmii cripto"ra%ci olosii i de modul #n care
este realizat "estiunea c$eilor.
:n timp ce olosirea 'P;ec #n 'PvL este opional! #n 'PvA este obli"atorie!
%ind parte a protocolului 'PvA. Prin urmare! 'P;ec trebuie validat #n %ecare
nod 'PvA! c/nd reeaua mult mai si"ur. 'PvA oer anteturi pentru e&tensia
securitii! #nlesnind implementarea criptrii! autenti%crii i a reelelor
virtuale private. 8eoarece 'PvA oer adrese "lobale unice i uncii de
securitate! poate oeri servicii de securitate capt-la-capt - precum controlul
accesului sau inte"ritatea i con%denialitatea datelor - r a utiliza %re1all-
uri suplimentare care! la r/ndul lor pot cauza "/tuiri de perorman.
Antetul de Autenti%care 'P adau" inormaie pentru autenti%care (de
obicei un 7od de Autenti%care a .esa(ului - essa!e Authentication Code#
AC) la o data"ram 'P. 'normaia de autenti%care este calculat olosindu-
se)
c$eie de autenti%care secret i
c/mpurile dintr-o data"ram 'P care nu se sc$imb #n timpul transmisiei
(incluz/nd antetul 'P! alte antete i datele).
7/mpurile sau opinile care trebuie modi%cate #n timpul timpul transmisiei (de
e&emplu numrul de $op-uri! sau durata de via) sunt #nlocuite cu valoarea F
#n momentul calculrii .A7-ului. =un"imea implicit a inormaiei de
autenti%care este de KA de bii.
8ac se olosete un al"oritm de autenti%care simetric i se dorete
autenti%care #n nodurile intermediare! atunci nodurile ce eectueaz o astel
de autenti%care intermediar sunt capabile s alsi%ce sau s modi%ce tra%cul
(deoarece cunosc c$eia secret). :n cazul olosirii te$nolo"iilor cu c$ei publice
(asimetrice)! nodurile intermediare vor putea realiza autenti%carea
intermediar r a putea alsi%ca sau modi%ca mesa(ele.
*oate nodurile ce suport protocolul 'PvA i toate sistemele 'PvL ce
suport mecanismul Antetului de Autenti%care trebuie s implementeze #n
mod obli"atoriu te$nici de autenti%care a mesa(elor. Acestea sunt M.A7-.8@
i M.A7-;MA>! dar pot % suportai i ali al"oritmi.
O Asociere de ;ecuritate (A;) este olosit at/t pentru implementarea
mecanismului de AM c/t i a celui de 5;P. O A; const din adresa de destinaie
i ali c/iva parametri! ;P' (;ecurit- Parameters 'nde&) i este deci orientat
pe receptor. ;P' conin cel puin al"oritmul cripto"ra%c! modul #n care el este
olosit i c$eile pentru acel al"oritm. O Asociere de ;ecuritate este Hone-1a-I
(uncie neinversabil). O comunicaie autenti%cat #ntre dou calculatoare
"azd va avea doi ;P'! c/te un set pentru %ecare direcie.
Antet ur!*tor
Inde+ul para!etrilor de securitate ,S-I.
/u!*rul de secven0*
1) 2cte0i rezerva0i
3ate de autentiicare ,op0ionale.
Figura 1*. For"atul antetului pentru $erviciul #4
O data"ram 'P creia i s-a aplicat Antetul de Autenti%care conine
urmtoarele c/mpuri (%"ura <F))
Antetul ur"$tor. 7/mp de ? bii care identi%c tipul de inormaie care
se "sete dup antetul de autenti%care. Valoarea acestuia este aleas
dintre numerele de protocol 'P.
%un!i"ea nc$rc$turii. 7/mp de ? bii care speci%c lun"imea antetului
de autnti%care.
&te'i re(erva'i. 7/mp de >A bii rezervat pentru #ntrebuinri viitoare. =a
ora actual trebuie setat la valoarea F.
Inde)ul para"etrilor de securitate *SPI+ Secure Para"eters Inde),.
Valoare de C< de bii care identi%c Asocierea de ;ecuritate pentru
aceast data"ram! relativ la adresa 'P de destinaie coninut #n antetul
'P.
Nu"$rul de secven'$- 7/mp de C< de bii ce conine o valoare contor.
:nainte ca acest contor s revin la valoarea iniial transmitorul i
receptorul trebuie s reseteze numrul de secven. Receptorul i"nor
acest c/mp dac nu este cerut serviciul anti-replic.
.atele de autentifcare. 7/mp de lun"ime variabil ce conine o valoare
de veri%care a inte"ritii pentru acest pac$et.
IP%ec P+I ,i administrarea c$eilor
O parte a standardului '5*, 'P;ec const #n de%nirea unei sc$eme de
administrare automat a c$eilor! care include conceptul de PB' (Public Be-
'nrastructure). Aceasta este o comunitate desc$is de 7A (7erti%cate
Aut$orities - Autoriti de certi%care) care! #n cele mai multe cazuri!
utilizezaz un model ierar$ic pentru a construi asocieri de #ncredere acolo
unde nu au e&istat. 5&istena PB' este important la stabilirea unei reele VPN
#ntre o reea de corporaie i o reea a unui partener sau urnizor! deoarece
necesit un sc$imb securizat de c$ei #ntre ele! prin intermediul unei a treia
pri (7A)! #n care ambele noduri VPN au #ncredere. ;c$ema obli"atorie de
administare automat a c$eilor! de%nit de '5*, 'P;ec pentru 'PvA este
';AB.P9Oa2le- ('nternet ;ecurit- Association and Be- .ana"ement Protocol)
cu opiunea ;B'P (;imple Be- mana"ement or 'P). ;pre deosebire de soluiile
VPN care nu oer nici o orm de administrare automat a c$eilor! o soluie
VPN care suport aceast caracteristic prin utilizarea uneia dintre
te$nolo"iile de instalare VPN permite administratorilor de securitate s
creeze! s distribuie i s revoce c$eile de criptare VPN #n mod simplu i si"ur!
prin intermediul sistemului PICI!
I%A+'P-.a/le( este rspunsul "rupului 'P;ec la modul de ne"ociere al
al"oritmilor cripto"ra%ci i sc$imbul de c$ei prin 'nternet. 5l este de apt un
protocol $ibrid ce inte"reaz protocolul de administrare a c$eilor i asociaii
de securitate pentru 'nternet (Internet Security Association and Key
ana!e"ent Protocol# sau ';AB.P) #mpreun cu un subset al sc$emei Oa2le-
de sc$imb de c$ei.
';AB.P9Oa2le- urnizeaz urmtoarele)
servicii de ne"ociere a protocoalelor! al"oritmilor i c$eilor
cripto"ra%ce
servicii de autenti%care primar a entitilor comunicante
administrarea c$eilor cripto"ra%ce
sc$imbul prote(at de c$ei.
;c$imbul de c$ei este un serviciu str/ns le"at de administrare a asocierilor de
securitate! A;. 7/nd este necesar crearea unei A;! trebuie s se sc$imbe
c$ei. Prin urmare ';AB.P9Oa2le- le #mpac$eteaz #mpreun i le trimite ca
pac$et inte"rat. :n plus a de protocolul ';AB.P9Oa2le-! standardul 'P;ec
speci%c aptul c sistemele trebuie s suporte i sc$imbul manual de c$ei. :n
ma(oritatea situaiilor #ns! acest lucru este ine%cace. 8eci ';AB.P9Oa2le-
rm/ne sin"urul modul e%cient i si"ur de ne"ociere a A;-urilor i de sc$imb
al c$eilor printr-o reeaua public.
';AB.P9Oa2le- uncioneaz #n dou aze. :n prima az! entitile
';AB.P stabilesc un canal prote(at (denumit ';AB.P-;A) pentru desurarea
protocolului ';AB.P. :n aza a doua! cele dou entiti ne"ociaz asocieri de
securitate (A;-uri) "enerale. O entitate ';AB.P este un nod compatibil 'P;ec!
capabil s stabileasc canale ';AB.P i s ne"ocieze A;-uri. Poate % un
calculator de birou sau un ec$ipament numit !ateway de securitate care
ne"ociaz servicii de securitate pentru abonai.
Oa2le- urnizeaz trei moduri de sc$imb al c$eilor i de stabilire a A;-
urilor E dou pentru sc$imburile din aza #nt/i ';AB.P i unul pentru
sc$imburile din aza a doua.
'odul #rinci#al este olosit #n prima az a protocolului ';AB.P
pentru stabilirea unui canal prote(at.
'odul a)resiv este o alt cale de realizare a sc$imburilor din prima
az a protocolului ';AB.P9Oa2le- E el este ceva mai simplu i mai
rapid dec/t modul principal i nu asi"ur protecia identitii pentru
nodurile care ne"ociaz! pentru c ele trebuie s-i transmit
identitile #nainte de a % ne"ociat un canal prote(at.
'odul ra#id este olosit #n aza a doua a protocolului ';AB.P la
ne"ocierea unui A; "eneral pentru cumunicaie.
8e apt! ';AB.P9Oa2le- mai are #nc un mod de lucru! denumit modul
)ru#ului nou (ne1 "roup mode)! care nu se inte"reaz #n nici una din cele
dou aze i care este olosit #n ne"ocierea parametrilor pentru sc$ema 8iNie-
Mellman.
Pe parcursul acestui capitol am discutat despre modul de uncionare i
mecanismele de securitate speci%ce 'P;ec. 7el mai semni%cativ aspect
reeritor la 'P;ec nu const #n robusteea cu care a ost proiectat! ci #n simplul
apt c 'P;ec este un standard 'nternet acceptat i c #n momentul de a un
numr mare de %rme i urnizori de servicii coopereaz pentru a urniza o
"am complet de soluii 'P;ec. ,olosind capacitatea de tunelare a 'P;ec! se
pot implementa reele virtuale private (Virtual Private Net0or/ - VPN).
1. Concluii
Reducerea costurilor
,urnizorii de VPN pot #nira o mulime de bene%cii pe care le aduce
te$nolo"ia! multe apr/nd odat cu dezvoltarea ei. Poate cel mai puternic
ar"ument olosit este reducerea costurilor. Reelele virtuale private sunt mult
mai ietine dec/t reelele private proprietare ale companiilorG se reduc
costurile de operare a reelei (linii #nc$iriate! ec$ipamente! administratori
reea). 8ac olosii 'nternetul pentru a distribui servicii de reea la mare
distan! atunci putei evita ac$iziia de linii #nc$iriate! e&trem de scumpe!
#ntre reprezentane i %rm! dar i costurile convorbirilor interurbane pe
modemuri dial-up sau ';8N. Reprezentana va trebui s se conecteze numai
local! la un provider 'nternet! pentru a a(un"e #n reeaua %rmei mam.
5conomii se ac i relativ la lipsa necesitii investiiilor #n ec$ipament 0AN
adiional! sin"ura ac$iziie %ind le"at de #mbuntirea capacitilor de
conectare la 'nternet a serverului.
Inte)rare1 sim#litate1 u,or de im#lementat
Reeaua virtual privat poate % imediat realizat peste cone&iunea de(a
e&istent la 'nternet! ne%ind necesar o inrastructur separat. ;e simpli%c
topolo"ia reelei companiei private. 8e asemenea! prin aceeai cone&iune se
pot inte"ra mai multe aplicaii) transer de date! Voice over 'P! Videoconerine.
2,urina administrrii
:n cazul unei interconectri complete a sucursalelor unei %rme! liniile private
pot deveni un comar. *rebuie instalate i administrate linii #ntre %ecare dou
sucursale. ,olosind 'nternetul! nu trebuie dec/t s asi"uri %ecarei sucursale
acces la 'nternet. :n cazul accesului utilizatorilor de la distan! problemele de
administrare sunt transerate complet ';P.
I)norarea 3nvec$irii morale a te$nolo)iei 4 riscul #nvec$irii morale a
te$nolo"iei se transer de la corporaie la ';P. Accesul la distan prin
'nternet permite utilizatorilor s oloseasc te$nolo"ii de acces variate!
inclusiv ';8N i modemuri. 7um apar te$nolo"ii de acces de vitez mare! cum
ar % A;8=! A*.! or"anizaia va putea pro%ta de ele r a ace investiii #n
ec$ipamente. ';P suport ma(oritatea costurilor sc$imbrii te$nolo"iilor.
'o5ilitate
An"a(aii mobili precum i partenerii de aaceri (distribuitori sau urnizori) se
pot conecta la reeaua companiei #ntr-un mod si"ur! indierent de locul #n care
se a+.
%cala5ilitate
Aacerea companiei crete! deci apare o nevoie permanent de an"a(ai mobili
i cone&iuni securizate cu partenerii strate"ici si distribuitorii. Pe msur ce
cererea de acces la distan crete! or"anizaia nu va avea nevoie s cumpere
i s instaleze ec$ipamente de comunicaie noi. 5 nevoie doar de comandarea
unui nou cont de acces la un ';P.
%ecuritate
Reeaua virtual privat asi"ur un nivel ridicat de securitate a inormaiilor
transmise prin utilizarea unor protocoale avansate de autenti%care i criptare.
'normaiile care circul prin VPN sunt prote(ate prin dierite te$nolo"ii de
securitate (criptare! autenti%care! 'P;ec). Nu trebuie s v temei c datele
tra%cate prin VPN pot % compromise.
.#ortuniti1 comert electronic
Vei putea implementa noi modele de business (business-to-business! business-
to-consumer! electronic commerce) care pot aduce venituri suplimentare
pentru companie.
Conectivitate )lo5al 4 pe msur ce economia continu s se
"lobalizeze! reelele de %rm trebuie s creasc #n aara "ranielor statale.
'nrastructura cu %br optic pentru linii private de calitate nu este disponibil
#n multe ri. 'nternetul! pe de alt parte! este ideal pentru conectivitate
internaional. Protocolul 'nternetului ('P) poate rula pe orice inrastructur
de comunicaie.
2rror3 Reference source not found "i$lio4rafie3
". 4ttp:55666.!icrosot.co!56indo6sserver%&&35tec4nolo)ies5net6or7in)5vpn5deault.
!sp+
2. 4ttp:55666.cisco.co!5en5US5products5465routers5ps38"5products9coni)uration9)ui
de9(oo7&9"8#a&&8&5"5%%.4t!l
3. 4ttp:55666.c4ip.ro5revista5iunie9%&&&58#5retele9virtuale9private58%3%
4. 666.olio.r5tec49vpn.4t!
5. 666.tridentusa.co!5...5 p9parts9e:uip.4t!l
6. 666.sonic6all-solutions.co!5 64at9is9vpn.4t!
7. 666.net6or7sunli!ited.co!5 64itepaper8.4t!l