Documente Academic
Documente Profesional
Documente Cultură
VPN, Bluetooth
VPN, Bluetooth
Referat
Disciplina: Reele inteligente cu integrarea serviciilor
Tema: Reele private virtuale (VPN), Bluetooth
Dolinschi Maxim
aitan Ina
Chiinu 2015
Reelele VPN site-to-site (de la locaie la locaie) pot lua locul circuitelor de
telecomunicaii costisitoare ale reelelor de mare ntindere de tip WAN, nlocuind
servicile de linii private, cu reele VPN care folosesc Internetul.
Reele VPN cu acces de la distan pot elimina sau reduce drastic cheltuielile cu
legturile telefonice pentru conectarea unei filiale aflat la distan sau a sediilor
mici.
Prezentare reelelor VPN
O reea privat virtual (VPN) este o conexiune criptat de reea care folosete un tunel
sigur ntre capete, prin Internet sau prin alt reea, cum ar fi o reea WAN. ntr-o reea
VPN, conexiunile pe liniile telefonice ctre utilizatorii de la distan i liniile nchiriate
sau conexiunile Frame Relay ctre locaii aflate la distan sunt nlocuite prin conexiuni
locale la un furnizor de servicii Internet (ISP) sau la un punct de prezen a unui furnizor
de servicii (POP). Rspndirea din ce n ce mai mare a conexiunilor de band larg, face
atractiv aceast utilizare a unui acces ieftin la reeaua Internet. Dup cum am explicat,
dup o investiie iniial n reele VPN, costul pentru adugarea altor locaii sau utilizatori
este minim.
Reelele VPN permit fiecrui utilizator al reelei s comunice ntr-un mod sigur i fiabil
folosind internetul ca mediu de conectare la reeaua privat de tip LAN. O reea VPN se
poata dezvolta astfel nct s se adapteze la mai muli utilizarori i locaii diferite, mai
uor dect prin linii nchiriate. Spre deosebire de liniile nchiriate, n care costul crete
proporional cu distanele implicate, localizarea geografic a fiecrui sediu/utilizator are
puina importan n crearea unei reele VPN.
O reea VPN permite unei reele intranet private s fie extins n siguran prin criptare
IPSec n Internet, facilitnd un comer electronic sigur i conexiuni extranet cu angajai
mobili, parteneri de afaceri, furnizori i clieni. Exist trei tipuri principale de reele VPN:
Reele VPN pentru accesul de la distan ( remote access VPN) permit fiecrui
utilizator dialup s se conecteze n mod partajat la un sediu central prin Internet sau
alt serviciu public de reea. Acest tip de reea VPN este o conexiune utilizator LAN
care permite angajailor o conectare din afar la reeaua LAN a companiei.
Sistemele angajailor folosesc o aplicatie software client VPN special, care permite
o legtur sigur ntre ei i reeaua LAN a companiei.
Reele VPN locaie-la-locaie (site-to-site) sunt folosite pentru a extinde reeaua
LAN a companiei n alte cldiri i locaii, prin utilizarea unui echipament dedicat,
astfel nct angajaii din aceste locaii aflate la distan s poat utiliza aceleai
servicii de reea. Aceste tipuri de reele VPN sunt conectate n permanen.
Reele VPN extranet permit conexiuni sigure cu partenerii de afaceri, furnizorii
i clienii, n scopul comerului electronic. Reelele VPN extranet sunt o extindere
a reelelor VPN intranet prin adugarea unor sisteme firewall de protejare a reelei
interne.
Figura 1
Avantajele i scopul reelelor VPN
O reea VPN bine proiectat poate aduce multe avantaje unei companii. Cteva dintre
beneficiile implementrii unei reele VPN ntr-o alt reea sunt urmtoarele:
nainte de apariia tehnologiilor VPN, angajaii localizai la distan trebuiau s
apeleze numere de telefon interurbane pentru a ajunge la reeaua companiei.
Cheltuielile cu telecomunicaiile se reduc pe msur ce conexiunile dedicate i de
tip dialup de la distane mari sunt nlocuite cu conexiuni locale la Internet, prin care
utilizatorii folosesc un client VPN. n funcie de numrul de angajai din teritoriu,
aceast metod singur poate aduce economii imense. Pentru multe companii mici,
cu resurse financiare limitate, soluia furnizorilor VPN poate fi util.
Cretei productivitatea utilizatorilor permindu-le un acces sigur la resursele
reelei, indiferent de localizarea lor geografic.
Reducei cheltuielile operaionale alocate conexiunilor WAN dedicate, nlocuindule cu conexiuni Internet directe, cum sunt cele de band larg pentru afaceri, prin
care locaiile aflate la distan se vor conecta printr-o reea VPN locaie-la-locaie.
Simplificai topologia reelei adugndu-i strategic reele VPN peste tot.
Cerinele pentru lrgimea de band sunt modeste, n cazul n care locaiile au
nevoie de conectivitate la reea. Folosind reele VPN, vei avea o recuperare mai
rapid a investiiilor dect atunci cnd aplicai soluia WAN.
Dac se dorete o mai mare flexibilitate n instalarea echipamentelor mobile de
calcul, de telecomunicaii i pentru lucrul n reea cu filialele, un comer electronic
mai uor i conexiuni extranet cu partenerii de afaceri, cu furnizorii i pentru
accesul la Internet al clienilor externi, un intranet intern i acces extranet- toate
acestea pot fi asigurate folosind o singur conexiune sigur.
Dorii s reducei cheltuielile aferente sediilor, cernd utilizatorilor s lucreze acas
trei zile pe sptmn. Lucrnd acas, utilizatorii casnici au, de obicei, o
productivitate mai mare i sunt mai puin stresai.
nainte de a implementa o reea VPN, treebuie alocat suficient timp pentru a gndi ce
dorim s realizm cu acesta. n acest timp, nainte de a alege un furnizor de soluii ori
hardware, ar trebui s lum n considerare ce caracteristici sunt mai importante.
Securitatea, menionat mai trziu, este una dintre cele mai importante proprieti ale
reelelor VPN.
Strategii de implementare a reelelor VPN
Strategiile de implementare a reelelor VPN sunt extrem de variate deoarece toi furnizorii
de azi au ,,o soluie VPN. Unele dintre soluii sunt ceea ce pretind c sunt, iar altele
ridic probleme mari n rndul comunitii preocupate de securitate. Deoarece nu exist un
standard larg acceptat de implementare a unei reele VPN, multe companii au dezvoltat
soluii proprii, la cheie.
5
Software client Uor de instalat i operat, Cisco VPN Client stabilete tuneluri
sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai jos. Acest
software de finee, compatibil cu IPSec poate fi preconfigurat pentru instalri
comasate, iar deschiderile iniiale de sesiuni necesit o intervenie redus a
utilizatorului.
n funcie de tipul de reea VPN (cu acces de la distan sau locaie-la-locaie ), trebuie
folosite componente hardware specifice pentru a construi reeaua VPN. Totui luai n
considerare i urmtoarele:
Capacitatea de gestionare capacitatea de gestionare a unei reele VPN se refer
la efortul necesar pentru a ntreine cu succes conectivitatea stabilit a reelei. Mai
exact, PC Magazine definete capacitatea de gestionare prin factorii care
faciliteaz utilizarea opiunilor de management de la distan i local, inclusiv
faptul c dispozitivul furnizeaz un acces printr-o interfa bazat pe un browser sau
prin linie de comand (PC Magazine 2002).
Fiabilitatea evident, dac un produs software sau hardware VPN nu este
disponibil atunci cnd avei nevoie, pierdei din productivitate i, probabil din
venituri.
Scalabilitatea pe msur ce afacerea unei companii se dezvolt, adesea se
dezvolt i cerinele acesteia pentru tehnica de calcul. Pentru a extinde
infrastructura VPN rapid i cu costuri reduse, este important s alegei o soluie
care ia n considerare scalabilitatea. Ceea ce i dorete mai puin un manager IT
este s fie nevoit s o ia de la nceput i s nlocuiasc infrastructura VPN din cauza
unei limitri n potenialul de dezvoltare al acesteia.
La selectarea dispozitivului potrivit s ofere servicii VPN pentru reeaua dumneavoastr,
trebuie s avei n vedere limitrile. De exemplu, sistemul IOS al unui router poate fi
terminalul reelelor VPN, dar aceasta este o procedur manual de configurare i necesit
o nelegere mai profund dect n cazul unui sistem firewall PIX, care are disponibil
programul VPN Configuration Wizard, cu interfa GUI. Mai exist Cisco VPN
concentrator, care completeaz sistemul PIX sau IOS cu o interfa GUI puternic,
facilitnd managementul mai multor politici VPN. Cisco VPN Concentrator ofer
7
Figura 2
Funcionarea reelelor VPN de tip IPSec
8
IPSec a devenit standardul de facto pentru crearea reelelor VPN n industria reelelor.
Mai muli furnizori au implementat-o i, pentru c Internet Engineering Task Force
(IETF) a devenit IPSec ntr-un document RFC, interoperabilitatea dintre furnizori face din
IPSec cea mai bun operaiune pentru construirea reelelor VPN. IPSec ofer un mijloc
standard de stabilire a autentificrii i a serviciilor de criptare, ntre participanii la
conexiune (peers). n cadrul acestei prezentri folosim pentru a ne referi la termenul
peer dispozitivele care formez capetele unui tunel VPN. IPSec acioneaz n stratul
reea din modelul de referin OSI, protejnd i autentificnd pachetele IP dintre
dispozitivele IPSec care particip (peers), cum sunt routerele Cisco sau sistemele firewall.
IPSec ofer urmtoarele servicii de securitate a reelei:
Confidenialitatea datelor expeditorul IPSec poate cripta pachetele nainte de a
le trimite printr-o reea. Dac un hacker ar citi datele, acestea nu i-ar fi de nici un
folos.
Integritatea datelor punctul final receptor IPSec autentific toate pachetele
trimise de expeditorul IPSec, asigurnd c datele nu au fost modificate n timpul
transmisiei.
Autentificarea originii datelor receptorul IPSec poate autentifica sursa
pachetelor IPSec transmise. Acest serviciu depinde de serviciul de integritate a
datelor.
Nu permite reluarea transmiterii pachetelor receptorul IPSec poate detecta i
respinge pachetele retransmise.
IPSec protejeaz datele care trec prin reelele neprotejate, iar serviciile de securitate IPSec
sunt oferite la nivelul stratului reea. De aceea, nu trebuie s configurai separat staiile de
lucru, PC-urile sau aplicaiile. n loc s oferii serviciile de securitate pe care nu aveti
nevoie sa le instalai i s coordonati securitatea fiecrei aplicaii i a fiecrui calculator
n parte, putei modifica infrastructura reelei pentru a oferi serviciile necesare de
securitate. Acest suport permite soluii IPSec scalate pentru reelele de dimensiuni medii,
mari i n dezvoltare, acolo unde este solicitat o conexiune ntre mai multe dispozitive.
IPSec ofer performane de securitate, cum sunt algoritmii mai buni de criptare i o
autentificare mai cuprinztoare. Reelele de companii conectate la Internet pot permite un
9
acces VPN flexibil i sigur cu IPSec. n cazul tehnologiei IPSec, clienii pot construi
reele VPN prin Internet, avnd o protecie bazat pe criptare n faa atacurilor de
interceptare, de sustragere sau de alt tip, care ptrund n comunicaiile private.
IPSec asigur servicii de autentificare i criptare pentru proteci mpotriva vizualizrii sau
modificrii neautorizate a datelor din reeaua dumneavoastr sau n timpul transferului
printr-o reea neprotejat, cum este Internetul public. IPSec poate cripta date ntre diferite
dispozitive, cum sunt:
router ctre router;
sistem firewall ctre router;
sistem firewall ctre sistem firewall;
utilizator ctre router;
utilizator ctre sistem firewall;
utilizator ctre concentrator VPN;
utilizator ctre server.
IPSec este o structur de standarde deschise, definite de organizaia IETF. IPSec ofer
securitatea transmisiei informaiilor confideniale prin reelele neprotejate, cum este
Internetul. Figura 3 arat cele mai uzuale trei tipuri de reele VPN.
Figura 3
Autentificarea i integritatea datelor
10
Pentru a stabili adevrul, autentificarea verific identitatea a dou puncte de capt VPN i
a utilizatorilor ce transmit traficul prin reeua VPN. Un punct de capt ar putea fi un client
VPN, un concentrator VPN, un sistem firewall sau un router.
Autentificarea este un proces ce ine de securitatea IP i care are loc dup criptarea datelor
i nainte de criptarea, la captul receptor . Este o funcie necesar n cadrul securitii IP,
prin care se asigur c ambele pri, expeditorul i destinatarul, sunt cine pretind a fi. n
cazul IPSec, fiecare participant trebuie configurat manual cu o cheie partajat anterior *de
obicei se convine asupra ei n afara unei conexiuni i o list static de participani
valabili , crend astfel un tabel mare n cadrul routerului, care necesit resurse de
memorie.
Integritatea datelor este o alt funcie din IPSec. Integritate nseamn c pachetul primit
de destinatar nu a fost modificat n timpul transmisiei. Acet lucru se realizeaz folosind un
algoritm hash ireversibil. Un algoritm hash ireversibil este echivalent cu o suma de control
criptat, dupa ce expeditorul cripteaz i autentific un pachet, algoritmul hash ireversibil
este rulat pe valoarea ntregului pachet. O valoare hash este interesant pentru c rezultatul
acesteaia va avea ntotdeauna o dimensiune fix, indiferent de intrare. Acesta este un alt
mecanism de securitate, astfel ncat hackerii s nu poat ti dimensiunea cmpului de
intrare. Algoritmul hash ireversibil creeaz un cmp de criptat anexat la mesaj. La captul
receptor, valoarea hash ireversibil este extras din pachet, iar receptorul ruleaz propriul
su algoritm hash. Deoarece algoritmul hash este rulat asupra unor variabile din pachet,
cum sunt ora transmiterii, numrul de octeti, etc., ambele valori hash trebuie s fie
aceleai, acest lucru nsemnnd c pachetul nu a fost viciat. Dac valorile sunt diferite,
pachetul este respins, iar IPSec renegociaz parametrii securitii.
Transmiterea datelor prin tunel
Reelele VPN se bazeaz pe transmiterea prin tunel pentru a crea o reea privat n
Internet. n esen, acesta este procesul de preluarea a unui pachet ntreg de date i de
ncapsulare a lui n cadrul altui pachet, nainte de a-l trimite prin reea, reeaua trebuie s
neleag protocolul pachetului din exterior, pentru ca acesta s intre i s iasa din reea.
Crearea unui tunel necesit funcionarea a trei protocoale diferite:
11
12
trebuie s fie transmise prin tunel, pachetele care nu sunt IP (precum IPX), IPSec i GRE
ar trebui folosite mpreun.
Moduri de criptare
IPSec are dou moduri de criptare, tunel i transport. Fiecare mod difer prin aplicaiile
sale i prin cantitatea de informaii adugate n antetul pachetului pasager. Aceste moduri
diferite de operare sunt rezumate astfel: modul tunel cripteaz antetul pachetului i
segmentul de date utile al fiecrui pachet, pe cnd modul transport cripteaz doar
segmentul cu datele utile.
Modul tunel
Aceasta este metoda normal prin IPSec, este implementat ntre dou sisteme PIX Firewall
(sau alte pori de securitate) care sunt conectate printr-o reea lipsit de ncredere, cum
este Internetul public. ntreaga prezentare legat de IPSEc implic modul tunel. Modul
tunel ncapsuleaz i protejeaz un pachet IP complet. Deoarece ncapsuleaz sau ascunde
pachetele pentru a fi transmise n continuare cu succes, chiar routerele de criptare posed
adresele IP folosite n aceste antete noi. Modul tunel poate fi folosit cu oricare dintre
portocoalele ESP (Encapsulating Security Protocol protocol de securitate cu ncapsulare)
i AH (Authentication Header antet de autentificare) sau cu amndou. Folosirea
modului tunel duce la o cretere suplimentar a pachetului, cu aproximativ 20 de octei
asociai la antetul IP, cci trebuie s se adauge un antet IP nou la pachet.
Modul transport
Aceast metod de implementare a tehnologiei IPSec este aplicat mai ales cu protocolul
L2TP pentru a permite autentificarea clienilor VPN Windows 2000 aflai la distan. n
modul tunel, IPSec cripteaz ntregul pachet i scrie un nou antet IP n pachet, ceea ce
mascheaz informaiile despre sursa iniial i destinatar. Modul tunel este evident mai
sigur dect modul transport, deoarece ntregul pachet iniial este criptat, nu numai
segmentul de date propriu-zis ca n modul transport.
Bluetooth
13
Acesta este un standard care: Elimin firele i cablurile ntre dispozitive att staionare
ct i mobile;
Faciliteaz att comunicaiile de date ct i pe cele vocale;
Ofer posibilitatea implementrii unor reele ad-hoc i a sincronizrii ntre diverse
dispozitive.
Tehnologia wireless Bluetooth implic cerine hard, soft i de interoperabilitat.
Aceasta a fost adoptat sau este studiat nu numai de majoritatea actorilor de pe scena
telecomunicaiilor, computerelor i a industriei de entertainment casnic, dar i din diverse
domenii precum cel bancar, cel al industriei auto-moto i de ngrijire a sntii sau cel al
automatizrii i jucriilor, etc. pe plan extern, aproape de toate sectoarele economice.
Harald Bluetooth
Harald Bluetooth a fost regele viking al Danemarcei ntre anii 940 i 981. Unul dintre
scopurile sale era s determine oamenii s comunice ntre ei i n timpul domniei sale
Danemarca i Norvegia au fost unite. Astzi tehnologia wireless Bluetooth ngduie
oamenilor s comunice ntre ei, dar de aceast dat prin intermediul unei legturi radio de
cost redus i pe domenii restrnse. n oraul danez Jelling Harald Bluetooth a ridicat o
piatr pictat, pe care alturi de imaginea lui Cristos, dinuie i astzi urmtoarea
inscripie: Regele Harald a ridicat acest monument n memoria tatlui su Gorm i a
mamei sale Thyre. Acest Harald a cucerit n ntregime Danemarca i Norvegia i i-a
cretinat pe danezi. n septembrie 1999 a nou piatr a fost ridicat n oraul Lund, lng
cldirea Ericsson Mobile Communications, de aceast dat n memoria lui Harald
Bluetooth.
nceputul
Ideea ce a dat natere tehnologiei wireless Bluetooth a aprut n 1994 cnd compania
Ericsson Mobile Communications a decis investigarea fezabilitii unei interfee radio de
mic putere i cost redus ntre telefoanele mobile i accesoriile acestora. Ideea a fost ca un
dispozitiv radio de dimensiuni reduse, introdus att n telefon ct i n laptop s poat
nlocui cablurile stnjenitoare utilizate pentru a conecta cele dou dispozitive. Un an mai
trziu a nceput munca inginereasc i adevratul potenial al acestei tehnologii a nceput
s se cristalizeze. Pe de alt parte, prin ruperea lanului de dispozitive prin nlocuirea
cablurilor, tehnologia radio a scos n eviden posibilitatea de a deveni o punte universal
14
ctre reele de date deja existente, ctre interfee periferice, i un mecanism de formare adhoc a unor mici grupuri private de dispozitive conectate departe de infrastructuri fixe de
reele.
Produse Bluetooth
Multe companii au declarat c tehnologia wireless Bluetooth va fi ncorporat n
produsele lor, mai ales pe msur ce componentele Bluetooth se vor ieftini. Conform
estimrilor fcute n 2000 de Cahners In-stat Group, disponibilitatea produselor n
urmtorii ani a fost definit n trei valuri.
Primul val, localizat n timp pe durata anilor 2000-2001, include produse precum:
Adaptoare pentru telefoane mobile i adaptoare i cartele PC pentru PC-uri i
laptop-uri;
Telefoane mobile i notebook-uri cu tehnologie Bluetooth integrat, pentru
utilizatori gen oameni de afaceri;
Headset-ul Bluetooth;
Tot odat cu primul val ncep s apar i primele PC-uri handheld i PDA-uri.
Al doilea val l depete pe primul n multe aspecte. Acesta cuprinde:
PC-uri cu circuite Bluetooth ncorporate pe plcile de baz;
Imprimante, faxuri, camere foto digitale;
Produse industriale i medicale vor fi de asemenea componente ale acestui val;
Spre finalul acestui val sunt prevzute i implementrile din industria aotomotiv.
Al treilea val include:
Telefoane mobile de pre redus i PC-uri i dispozitive portabile, de asemenea de
pre redus.
Necesitatea Bluetooth wireless
n aceast etap de dezvoltare social mobilitatea oamenilor a crescut constant i
tehnologiile wireless pentru comunicaii de date i vocale au evoluat rapid n ultimii ani.
Nenumrate dispozitive electronice pentru uz casnic, personal sau de afaceri au fost
propuse pieei n ultima perioad, dar nici o tehnologie de larg utilizare nu se adresa
satisfacerii necesitilor de conectare a dispozitivelor n reele personale (Personal Area
Networks - PAN). Cererea pentru un sistem capabil s conecteze dispozitive pentru
comunicaii de date i vocale pe distane reduse a crescut simitor. Tehnologia wireless
15
Bluetooth umple acest gol, oferind soluii pentru comunicaii vocale i de date fr cabluri,
utiliznd alimentri standard low-power, tehnologii de cost redus ce pot fi cu uurin
integrate n orice dispozitiv i deschiznd astfel calea unei mobiliti totale. Preurile vor fi
reduse pentru producia de mas. De asemenea, odat cu creterea numrului de uniti
Bluetooth, vor crete i beneficiile pentru utilizatori. n figura urmtoare este prezentat
evoluia pieei de chipuri Bluetooth.
Specificaii si trsturi
Specificaia Bluetooth a fost formulat pentru prima dat de Sven Mattisson i Jaap
Haartsen,
muncitori
oraul Lund,Suedia,
la
divizia
de telefonie mobil a
companiei Ericsson. La 20 mai 1998 a fost fondat gruparea Bluetooth Special Interest
Group (SIG), care azi are rolul de a vinde firmelor tehnologia Bluetooth i de a urmri
evoluia acestei tehnologii.
Printr-o reea Bluetooth se poate face schimb de informaii ntre diverse aparate
precum telefoane mobile, laptop-uri,calculatoare personale, imprimante, camere foto i
video digitale sau console video printr-o unde radio criptate (sigure) i de raz mic,
desigur numai dac aparatele respective sunt nzestrate i cu Bluetooth.
Aparatele care dispun de Bluetooth comunic ntre ele atunci cnd se afl n aceeai
raz de aciune. Ele folosesc un sistem de comunicaii radio, aa c nu este nevoie s fie
poziionate fa n fa pentru a transmite; dac transmisia este suficient de puternic, ele
pot fi chiar i n camere diferite.
Bluetooth 1.2
Aceasta versiune este compatibil cu 1.1.
Viteza practic a transmisiei de date a fost mrit la 721 kbps, la fel ca la versiunea 1.1
Bluetooth 2.0
Aceast versiune este compatibil napoi cu versiunile 1.x. Principala mbuntire este
introducerea unei viteze de transmisie mai mari numite Enhanced Data Rate, care permite
o vitez de 3,2 mbps. mbuntirea a creat urmtoarele efecte:
viteza de transmisie de 3 ori mai mare,
consum de energie mai mic,
rata erorilor de transmisie (BER - bit error rate) mai sczut.
Bluetooth v3.0
Versiunea 3.0 a fost adoptat de ctre Bluetooth SIG n data de 21 Aprilie 2009. Bluetooth
3.0 mbuntete viteza de transfer teoretic pn la 24 Mb/s. Saltul vitezei a fost posibil
datorit introducerii unei legturi 802.11. Vitezele mbuntite nu pot fi prezente i n
cadrul unei conexiuni cu un standard mai vechi datorit lipsei legturii 802.11 n
dispozitivele de generaie mai veche.
Bluetooth v4.0
Versiunea Bluetooth v4.0 este mai bun dect versiunea Bluetooth v3.0. Aduce multe
nouti care fac viaa oamenilor mai uoar prin simpla apsare a butonului
nchide/Deschide Bluetooth pentru a partaja mpreun cu cei dragi fotografiile i
aplicaiile dorite.
17