Documente Academic
Documente Profesional
Documente Cultură
TCP/IPInternetProtocolSecurity(IPSec)
Student:PlecaCristian
Cuprins
1.
Introducere
2.
ModelulTCP/IP
3.
1.1.
NivelulAplicatie(Application)
1.2.
NivelulTransport(Transport)
1.3.
NivelulRetea(Internet)
1.4.
NivelulAcceslaretea(Networkaccess)
InternetProtocolSecurity(IPSec)
2.1.
Moduldetransport(transportmode)
2.2.
Moduldetunelare(IPtunneling)
4.
Concluzii
1
4
5.
Bibliografie
1
6
1. Introducere
Confidentialitate
douapartidorescsacomuniceconfidentialastfelincatniciun
adversarsanuinteleganimicdinceeaceafostcomunicat.
Autentificare
celcereceptioneazamesajulsasepoataconvingecamesajuleste
original.
Integritateadatelor
previnealterareaneautorizataadatelor.
Nonrepudiere
Sereferalaunserviciucareprevinenegareauneiactiuni
saucomenzianterioaredecatreoentitate.
Pentruaputeacomunicaprinreteasiprininternet,fiecarecalculatorfolosestestivade
protocoaleTCP/IP.
Maideparte,voidescriestivaTCP/IPsiIPSec,unadintremodalitatileprincare
aceastapoatefisecurizata.
2. ModelulTCP/IP
Modelul
TCP/IP
(
Transmission Control Protocol/Internet Protocol
) a fost creat de
US DoD (
US Department of
Defence
) din necesitatea unei retele carearputeasupravietuiin
oriceconditii.SuitadeprotocolaeTCP/IPgestioneazatoatedatelecarecirculaprinInternet.
Modelul TCP/IP are patru nivele, fiind diferit de modelul OSI (Open System
Interconnection),insasepotfaceasocieriintrenivelelefiecaruimodel.
Fig1.TCP/IPOSIModel
Suita de protocoale TCP/IPgestioneazatoatetransferurilededatedinInternet,carese
realizeaza fie ca flux de octeti (
byte stream
), fie prin unitati de date independente denumite
datagrame(
datagram
).
Numele acestei stive este dat de protocolul de retea (IP) si de cel detransport(TCP).
Stiva de protocoale TCP/IP include mai multe protocoale deosebit de utile pentru furnizarea
serviciilor Internet. Protocoalele de aplicatie colaboreaza cu protocoalele de pe nivelele
inferioare ale stivei TCP/IP pentru a transmite date prin Internet, mai precis pentru a oferi
servicii utilizatorului (posta electronica, transfer de fisiere, acces in retea de la distanta,
informatiidespreutilizatorietc).
1.1. NivelulAplicatie(Application)
1.2. NivelulTransport(Transport)
control al fluxului. Protocolul UDP este de asemenea mult folosit pentru interogari rapide
intrebareraspuns, clientserver si pentru aplicatii in care comunicarea prompta este mai
importanta decat comunicarea cu acuratete,asacumsuntaplicatiiledetransmisieavorbiriisi
aimaginilorvideo.
1.3. NivelulRetea(Internet)
1.4. NivelulAcceslaretea(Networkaccess)
3. InternetProtocolSecurity(IPSec)
una dintre cele mai folosite metode de securizare a transmisiei pe Internet, alaturi de SSL
(Secure Sockets Layer) si TLS (Transport Layer Security). Spre deosebire de acestea,
protocoaleleIPSec
seregasesclanivelul3alstiveiTCP/IPsilanivelul3alstiveiISOOSI,ceeacefaceposibila
securizareatuturoraplicatiilorcarefolosescstivaTCP/IP.
IPsec se bazeaza pe algoritmi existenti pentru a implementa criptarea, autentificarea,
si schimbul de chei. IPsec lucreaza la nivelul Retea, protejand si autentificand pachetele IP
intredispozitiveleIPsecparticipante(peers).
Toate implementarile de IPsecauunantet(header) alLayer3subformadeplaintext,
astfelincatnuexistaprobleme curutarea.IPsecarefunctionalitateintoateprotocoaleleLayer
2, cum ar fi Ethernet, ATM, Frame Relay, Synchronous Data Link Control (SDLC), and
HighLevelDataLinkControl(HDLC).
FrameworkulIPsecesteformatdin5blocuri:
primul reprezinta protocolul IPsec. Optiunile includ ESP (Encapsulated Security
Payload)sauAH(AuthenticationHeader).
al doilea reprezinta tipul de confidentialitate implementat cu ajutorul unui
algoritm de criptare, cum ar fi DES,3DES,AES,sauSEAL.Alegereadepindede
niveluldesecuritatenecesar.
cel deal treilea reprezinta integritatea care poate fi implementata folosind fie
MD5sauSHA.
al patruleareprezintamodulincarecheiasecretapartajataestestabilita.Celedoua
metodesuntprepartajatesausemnatedigitalfolosindRSA.
blocul al cincilea reprezinta grupul algoritmului DH (DiffieHellman). Exista
patru algoritmi DH de schimbare de chei: DH Group 1 (DH1), DH Group 2
(DH2), DH Group 5 (DH5), siDHGroup7(DH7).Tipuldegrupselectatdepinde
denevoilespecifice.
IPSec ofera frameworkul, iar administratorul alege algoritmii care sunt utilizati
pentrupunereainaplicareaserviciilordesecuritatedinacestframework.
IPSec poate asigura o cale intre o perechi de gatewayuri, o pereche de gazde, sau
intre gateway si gazda. Utilizand cadrul IPsec, IPsec ofera urmatoarele functii esentiale de
securitate:
ConfidentialitateaIPsecasiguraconfidentialitateprinutilizareacriptarii
Fig.2IPSecframework
La ora actuala exista doua tipuri de antete (headere) ce pot fi atasate la un pachet IP
pentru realizarea securitatii. Acesteasunt:AHAuthenticationHeadersiESPEncapsulated
SecurityPayload
Cele doua protocoale de securitate (AH sau ESP) pot actiona in doua moduri: modul
detransport(
transportmode
)simoduldetunelare
(IPtunneling)
2.1. Moduldetransport(transportmode)
DatagramaIPinitiala
AntetIP
AntetIPSec
AntetIP
initial
DateleIP
Fig.3Modultransport
2.2. Moduldetunelare(IPtunneling)
fiecare pachet, inainte (outer header) si dupa (inner header) antetul EP. Antetul extern
specifica perechea de entitati intre care se creeaza tunelul IP si se aplica masurile de
securitate pe baza IPsec. Antetul intern precizeaza destinatia finala a pachetului pentru
realizarearutarii.ESP
protejeaza numai pachetul transmis prin tunelul IP, in timp ce AH asigura si securitatea
antetului exterior atasat. De regula acest mod deoperareseutilizeazaintreportidesecuritate
careexecutaimpachetareasidespachetareamesajelor(gatewaytogateway).
MODULTUNEL
Criptarea
Antetenoi
AntetIP
nou
AntetIPSec
AntetIP
initial
DateleIP
Protoc
purtat
o
Protocolulpasagerului
Fig.4Moduldetunelare
Fig.5Formatulantetuluideautentificare(AH)
NextHeader
(8bits)
Tipul antetului urmator indica ce protocol de nivel superior a fost protejat. Valoarea
esteluatadinlistacunumereledeprotocoleIP.
PayloadLen(8bits)
Lungimea acestui antet de autentificare in 4 unitati de octeti minus 2. Desi marimea
este masurata in 4 unitati de octeti, lungimea acestui antet are nevoie sa fie multiplicat cu 8
octeti daca este purtat antrun pachet IPv6. Aceasta restrictie nu esteaplicataunuiAHpurtat
antrunpachetIPv4.
Reserved(16bits)
Rezervatipentruutilizariviitoare(toatezerourilepanaatunci).
SecurityParametersIndex(32bits)
Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a
identificaasociereidesecuritateauneisesiunedetrimitere.
SequenceNumber(32bits)
O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet
trimis)pentruprevenireaatacurilordeantoarcere(replyattacks).
IntegrityCheckValue(multiplude32bits)
Fig.6FormatulESP
Infigura6esteilustratcumesteconstruitsiinterpretatpachetuldatagaramaESP:
SecurityParametersIndex(32bits)
Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a
identificaasociereidesecuritateauneisesiunedetrimitere.
SequenceNumber(32bits)
O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet
trimis) pentru prevenirea atacurilor de antoarcere (reply attacks). Aici se gaseste un contor
separattinutpentrufiecareasocieredesecuritate.
Payloaddata(variable)
ContinutulprotejatinpachetulIPoriginalceincludeoricedatefolositepentru
protectie.
Tipulcontinutuluicareafostprotejatesteindicatincampulantetuluivecin.
Padding(0255octets)
PadLength(8bits)
Marimeapaddinguluiinocteti.
NextHeader(8bits)
Tipulantetuluiurmatorindicaceprotocoldenivelsuperiorafostprotejat
ValoareaesteluatadinlistacunumereledeprotocoleIP.
IntegrityCheckValue(multipleof32bits)
Lungime variabila ICV verifica valoarea. Este posibil sacontinapaduridealinierede
campinlimitade8octetipentruIPv6sauinlimitaa4octetipentruIPv4.
IPSEC defineste un "Security Association" (SA) ca avand rol primar in protejarea
pachetelor IP. Un SA este definit de adresa IP a pachetului destinatie si un parametru
SPI(Security Parameter Index), pe 32 de biti, care functioneaza oarecum ca un portTCPsau
UDP,inmasuraincarepermitesaavemmaimulteSAurila o singura adresa dedestinatie.
SAS poate functiona in modul transport, in cazul in care campul de date IPSEC incepe cu
headere de layere superioare (de obicei TCP,UDP,ICMPsau),sauinmodultunel, incazul
in care campul de date IPSEC incepe cu un header de pachet IP complet nou. In plus,
SAurile pot fi incapsulate in cadrul altor SAuri, formand pachete SA, permitand astfel
protectie IPSEC stratificata (pe nivele). De exemplu, un SA ar putea proteja tot traficul
realizat printrun gateway, in timp ce un alt SA va proteja tot traficul la o gazda particulara.
Pachetele astfel rutate in intreaga retea vor fi incapsulate intrun singur pachet SA , care va
contineambeleSAuri.
Configurarea echipamentelor dintro retea in vederea aplicarii IPsec se realizeaza de
catre o persoana cu drepturi depline de stabilire a securitatii retelei
(security officer),
in trei
etape:
Crearea grupurilor de securitate (SA) si stabilirea drepturilor si atributiilor
acestora
Configurarea legaturilor dintre SAuri si stabilirea ierarhiilor de prioritati,
folosindISAKMP/IKE
Stabilirea modalitatilor de clasificare a pachetelor IP si de actiune asupra lor
PentruasecurizacomunicatiainreteacuIPSecintrecalculatoareleWindowsfolosim
ocolectiedereguli,politicisifiltrepentruapermiteinmodselectivdoarcomunicatiapentru
anumiteprotocoale.
PoliticiledeIPSecpotficreatesiaplicatecuGroupPolicypentrucalculatoarele
dindomeniu.Pentrucalculatoarecarenusuntindomeniu,deexempluserverelebastion,
politicilepotfiaplicatecuscripturiliniedecomanda.
4. Concluzii
Internetuloferaoportunitatiuimitoare,darnufaraunanumitrisc.Fara
controalecorespunzatoare,dateledintroreteasuntsupuselamaimultetipurideatacuri.
Pentruaputeaiesi
IPSec trebuie folosit pentru a securiza traficul care parcurge retele sau segmente cu
potential de interceptare a comunicatiei. Nu este in general util a securiza intreg traficul in
interiorulintregiireteleacompaniei,decatpentruretelecugradmaredesecuritate.
5. Bibliografie
1. http://en.wikipedia.org
2. http://ro.wikipedia.org/wiki/IPSec
3. CCNASecurityImplementingSecurity
4. CCNAExplorationNetworkFundamentals
5. SecuritatearetelelordecomunicatiiI.Bogdan,L.ScripcariuCasadeeditura,Iasi,
2008
6. http://www.securitateainformatica.ro
7. http://technet.microsoft.com/enus/network/bb531150.aspx
8. http://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.htm
9. http://www.freesoft.org/CIE/Topics/141.htm