Metodedesecurizareaprotocolului

TCP/IPInternetProtocolSecurity(IPSec)

Student:PlecaCristian

Cuprins
1.

Introducere

2.

ModelulTCP/IP

3.

1.1.

NivelulAplicatie(Application)

1.2.

NivelulTransport(Transport)

1.3.

NivelulRetea(Internet)

1.4.

NivelulAcceslaretea(Networkaccess)

InternetProtocolSecurity(IPSec)

2.1.

Moduldetransport(transportmode)

2.2.

Moduldetunelare(IPtunneling)

4.

Concluzii

1
4

5.

Bibliografie

1
6

1. Introducere

Securizarea comunicatiilor reprezinta un aspect esential al calitatii serviciilor oferite,

avandunrolcriticindomeniulfinanciarbancar,militarsauguvernamental.
In ultimii ani, incidentele de securitate au crescutlaocotaalarmanta.Datfiindfaptul
ca aceste atacuri sunt tot mai dese, suntem obligati sa aplicam metodedesecuritatedincein
cemaicomplexelanivelderetea.
Astfel , profesionistii din domeniul IT, precum administratorii de retea sauoperatorii
centrelormaridedate,trebuiesacunoascasisainteleagaelementeledebazaalesecuritatii,in
scopulgestionariiuneiretelecatmaisigure.
Scopul serviciilor de securitate estepedeoparteaceladeaasigurafunctionalitateain
paramaterii normali a retelei si a deviceurilor care fac parte din aceasta, iar pe de alta parte
deaasigurasecuritateasiintegritateadatelorsiaaplicatiilorstocatesautransmiseprinretea.
Problemele de asigurare a securitatii unei retelepotfigrupatein urmatoareledomenii
interdependente:

Confidentialitate
douapartidorescsacomuniceconfidentialastfelincatniciun
adversarsanuinteleganimicdinceeaceafostcomunicat.

Autentificare
celcereceptioneazamesajulsasepoataconvingecamesajuleste
original.

Integritateadatelor
previnealterareaneautorizataadatelor.

Nonrepudiere
Sereferalaunserviciucareprevinenegareauneiactiuni
saucomenzianterioaredecatreoentitate.

Pentruaputeacomunicaprinreteasiprininternet,fiecarecalculatorfolosestestivade
protocoaleTCP/IP.
Maideparte,voidescriestivaTCP/IPsiIPSec,unadintremodalitatileprincare
aceastapoatefisecurizata.

2. ModelulTCP/IP

Modelul
TCP/IP
(
Transmission Control Protocol/Internet Protocol
) a fost creat de
US DoD (
US Department of
Defence
) din necesitatea unei retele carearputeasupravietuiin
oriceconditii.SuitadeprotocolaeTCP/IPgestioneazatoatedatelecarecirculaprinInternet.
Modelul TCP/IP are patru nivele, fiind diferit de modelul OSI (Open System
Interconnection),insasepotfaceasocieriintrenivelelefiecaruimodel.

Fig1.TCP/IPOSIModel
Suita de protocoale TCP/IPgestioneazatoatetransferurilededatedinInternet,carese
realizeaza fie ca flux de octeti (
byte stream
), fie prin unitati de date independente denumite
datagrame(
datagram
).
Numele acestei stive este dat de protocolul de retea (IP) si de cel detransport(TCP).
Stiva de protocoale TCP/IP include mai multe protocoale deosebit de utile pentru furnizarea
serviciilor Internet. Protocoalele de aplicatie colaboreaza cu protocoalele de pe nivelele
inferioare ale stivei TCP/IP pentru a transmite date prin Internet, mai precis pentru a oferi
servicii utilizatorului (posta electronica, transfer de fisiere, acces in retea de la distanta,

informatiidespreutilizatorietc).

1.1. NivelulAplicatie(Application)

Include si nivelurile sesiune si prezentare ale modelului OSI: Acesta reprezinta

software ul utilizat de o statie de lucru. Nivelul de aplicatii se foloseste pentru a transmite
dateleinretea.
PrintreprotocoaleleniveluluiAplicatiepuntemenumera:
Domain Name Service Protocol (DNS)
utilizat pentruarezolvanumeleadreselorde
InternetinadreseIP.
Hypertext Transfer Protocol(HTTP)
utilizatpentruatransferafisierecarealcatuiesc
paginilewebaleWorldWideWeb.
Simple Mail Transfer Protocol (SMTP)
folosit pentru transferul mesajelor si
atasamenteloremailurilor.
Telnet
utilizatpentruaoferiaccesdeladistantalaserveresiechipamentederetea.
FileTransferProtocol(FTP)
folositpentrutransferuldefisiereintresisteme
interactive.

1.2. NivelulTransport(Transport)

Se ocupa cu probleme legate de siguranta, control al fluxului si corectie de erori. El

este proiectat astfel incat sa permita conversatii intre entitatile pereche din gazdele
surs
a,
respectiv,destinatie.Inacestsensaufostdefinitedouaprotocoaleendtoend.
Primul din ele,
TCP (Trasmission Control Protocol)
. El este un protocol sigur
orientat pe
conexiune care permite ca un flux de octeti trimisidepeomasinasaajungaerori
pe orice alta masina dinretea.Acestprotocolfragmenteaza
fluxuldeoctetiinmesajediscrete
si paseaza fiecare
mesaj nivelului
internet.
TCP trateaza totodata controlul fluxului pentru a
se asigura ca un emitator rapid nu inunda un receptor lent cu mai multe mesaje decat poate
acestasaprelucreze.
Al doilea protocol din acest nivel,
UDP (User DatagramProtocol)
,esteunprotocol
nesigur, fara conexiuni, destinat aplicatiilor care doresc sa utilizeze proprialorsecventieresi

control al fluxului. Protocolul UDP este de asemenea mult folosit pentru interogari rapide
intrebareraspuns, clientserver si pentru aplicatii in care comunicarea prompta este mai
importanta decat comunicarea cu acuratete,asacumsuntaplicatiiledetransmisieavorbiriisi
aimaginilorvideo.

1.3. NivelulRetea(Internet)

Scopul initial al nivelului rerea (Internet Protocol) erasaasigurerutareapachetelorin

interiorul unei singure retele. Odata cu aparitia interconexiunii intre retele, acestui nivel iau
fostadaugatefunctionalitatidecomunicareintreoreteasursasioreteadestinatie.
In stiva TCP/IP, protocolul IP asigura rutarea pachetelor de la o adresa sursa la o
adresa destinatie, folosind si unele protocoale aditionale, precum ICMP sau IGMP.
Determinareadrumuluioptimintreceledouaretelesefacelaacestnivel.
Comunicarea la nivelul IP este nesigura, sarcina de corectie a erorilor fiind plasata la
nivelurile superioare (de exemplu prin protocolul TCP). In IPv4 (nu si IPv6), integritatea
pacheteloresteasiguratadechecksum.

1.4. NivelulAcceslaretea(Networkaccess)

Se ocupa cu toate problemele legate de transmiterea efectiva a unui pachet IP pe o

legatura fizica, incluzand si aspectele legate de tehnologii si de medii de transmisie, adica
nivelurileOSIDatalinksiPhysical.
Modelul de referinta TCP/IP nu spune mare lucru despre ce se intampla acolo, insa
mentioneazacagazdatrebuiesaselegelaretea,pentruaputeatrimitepacheteIP,folosind un
anumit protocol. Acest protocol nu este definitsivariazadelagazdala gazdasidelareteala
retea.

3. InternetProtocolSecurity(IPSec)

Internet Protocol Security (IPSec)

este o suita de protocoale pentru securizarea
comunicatiilorpestestivaTCP/IP.Aceastasuitasebazeazapefolosireafunctiilormatematice
si a algoritmilor de criptare si autentificare pentru a asigura confidentialitatea, integritatea si
non repudierea informatiilor dinfiecarepachetIPtransmisperetea.IPSecestelaoraactuala

una dintre cele mai folosite metode de securizare a transmisiei pe Internet, alaturi de SSL
(Secure Sockets Layer) si TLS (Transport Layer Security). Spre deosebire de acestea,
protocoaleleIPSec

seregasesclanivelul3alstiveiTCP/IPsilanivelul3alstiveiISOOSI,ceeacefaceposibila
securizareatuturoraplicatiilorcarefolosescstivaTCP/IP.
IPsec se bazeaza pe algoritmi existenti pentru a implementa criptarea, autentificarea,
si schimbul de chei. IPsec lucreaza la nivelul Retea, protejand si autentificand pachetele IP
intredispozitiveleIPsecparticipante(peers).
Toate implementarile de IPsecauunantet(header) alLayer3subformadeplaintext,
astfelincatnuexistaprobleme curutarea.IPsecarefunctionalitateintoateprotocoaleleLayer
2, cum ar fi Ethernet, ATM, Frame Relay, Synchronous Data Link Control (SDLC), and
HighLevelDataLinkControl(HDLC).
FrameworkulIPsecesteformatdin5blocuri:
primul reprezinta protocolul IPsec. Optiunile includ ESP (Encapsulated Security
Payload)sauAH(AuthenticationHeader).
al doilea reprezinta tipul de confidentialitate implementat cu ajutorul unui
algoritm de criptare, cum ar fi DES,3DES,AES,sauSEAL.Alegereadepindede
niveluldesecuritatenecesar.
cel deal treilea reprezinta integritatea care poate fi implementata folosind fie
MD5sauSHA.
al patruleareprezintamodulincarecheiasecretapartajataestestabilita.Celedoua
metodesuntprepartajatesausemnatedigitalfolosindRSA.
blocul al cincilea reprezinta grupul algoritmului DH (DiffieHellman). Exista
patru algoritmi DH de schimbare de chei: DH Group 1 (DH1), DH Group 2
(DH2), DH Group 5 (DH5), siDHGroup7(DH7).Tipuldegrupselectatdepinde
denevoilespecifice.
IPSec ofera frameworkul, iar administratorul alege algoritmii care sunt utilizati
pentrupunereainaplicareaserviciilordesecuritatedinacestframework.
IPSec poate asigura o cale intre o perechi de gatewayuri, o pereche de gazde, sau
intre gateway si gazda. Utilizand cadrul IPsec, IPsec ofera urmatoarele functii esentiale de
securitate:

 ConfidentialitateaIPsecasiguraconfidentialitateprinutilizareacriptarii

 Integritate IPsec asigura ca datele ajung neschimbate la destinatie, folosind un

algoritmhash,cumarfiMD5sauSHA.
Autentificarea IPsec folosesteInternetKeyExchange(IKE)pentruautentificarea
utilizatorilor si dispozitive care comunica in exterior in mod independent. IKE
utilizeaza mai multe tipuri de autentificare, inclusiv nume de utilizator si parola,
datebiometrice,cheipreshared(PSKs),sicertificatedigitale.
Schimb de chei securizat IPsec foloseste algoritmul DH pentru a furniza o
metoda publica de schimb de chei pentru doua perechi(peer) pentru a stabili o
cheiesecretapartajata.

Fig.2IPSecframework

La ora actuala exista doua tipuri de antete (headere) ce pot fi atasate la un pachet IP
pentru realizarea securitatii. Acesteasunt:AHAuthenticationHeadersiESPEncapsulated

SecurityPayload

Cele doua protocoale de securitate (AH sau ESP) pot actiona in doua moduri: modul
detransport(
transportmode
)simoduldetunelare
(IPtunneling)

2.1. Moduldetransport(transportmode)

Protocolul de securitate intervine in pachetul IP si adauga un antet de securitate

imediat dupa antetul IP (cu sau fara optiuni exprimate)darantetulIPinitial(headerul)nuse
modifica, doar datele transmise sunt securizate (criptate si/sau autentificate). Prin folosirea
protocolului AH, adresele IP ale sursei, respectiv destinatiei, nu pot fi modificate pe parcurs
deoarece acest lucru ar duce la modificarea valorii hash. ESP ofera protectie minima
protocoalelor de nivel superior, in timp ce AH securizeaza total pachetul,inclusivantetulIP.
Acest mod de operare se utilizeaza pentru schimbul de pachete intre calculatoarelegazda
(
hosttohost
).
MODULTRANSPORT

DatagramaIPinitiala

AntetIP

AntetIPSec

AntetIP
initial

DateleIP

Fig.3Modultransport

2.2. Moduldetunelare(IPtunneling)

Intregul pachet (date si antete) este securizat. Se introduc doua antetedesecuritatein

fiecare pachet, inainte (outer header) si dupa (inner header) antetul EP. Antetul extern
specifica perechea de entitati intre care se creeaza tunelul IP si se aplica masurile de
securitate pe baza IPsec. Antetul intern precizeaza destinatia finala a pachetului pentru
realizarearutarii.ESP

protejeaza numai pachetul transmis prin tunelul IP, in timp ce AH asigura si securitatea
antetului exterior atasat. De regula acest mod deoperareseutilizeazaintreportidesecuritate
careexecutaimpachetareasidespachetareamesajelor(gatewaytogateway).
MODULTUNEL
Criptarea

Antetenoi

AntetIP
nou

AntetIPSec

AntetIP
initial

DateleIP

Protoc
purtat
o

Protocolulpasagerului

Fig.4Moduldetunelare

Antetul de autentificare (AH), pe langa roluldeagarantaintegritateadatelortransmise,

poate optional proteja pachetele impotrivaatacurilorde intoarcerefolosindtehnicaferestrelor
glisante(slidingwindow)sidescarcareapachetelorvechi.
in IPv4, AH protejeaza incarcaturaIPsitoateantetelecampurilor dindatagramele
IP, cu exceptia pentru campurile variabile: DSCP/TOS, ECN, Flags, Fragment
Offset,TTLandHeaderChecksum
in IPv6, AH isi protejeaza antetul propriu, optiunile destinatiei antetului extins
dupa antetul sau, si apoi incarcaturaIPdeasemeneaprotejeazasiantetulIPv6fix
si toate antetele extinseinaintedeAH,exceptiefacand uratoarelecampuri:DSCP,
ECN,FlowLabel,andHopLimit.

Fig.5Formatulantetuluideautentificare(AH)

NextHeader
(8bits)
Tipul antetului urmator indica ce protocol de nivel superior a fost protejat. Valoarea
esteluatadinlistacunumereledeprotocoleIP.

PayloadLen(8bits)
Lungimea acestui antet de autentificare in 4 unitati de octeti minus 2. Desi marimea
este masurata in 4 unitati de octeti, lungimea acestui antet are nevoie sa fie multiplicat cu 8
octeti daca este purtat antrun pachet IPv6. Aceasta restrictie nu esteaplicataunuiAHpurtat
antrunpachetIPv4.
Reserved(16bits)
Rezervatipentruutilizariviitoare(toatezerourilepanaatunci).

SecurityParametersIndex(32bits)
Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a
identificaasociereidesecuritateauneisesiunedetrimitere.

SequenceNumber(32bits)
O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet
trimis)pentruprevenireaatacurilordeantoarcere(replyattacks).
IntegrityCheckValue(multiplude32bits)

Lungime variabila ICV verifica valoarea. Este posibil sacontinapaduridealinierede

campinlimitade8octetipentruIPv6sauinlimitaa4octetipentruIPv4.

Incarcatura securizata ancapsulata (ESP Encapsulating Security Payload) este un

membru a protocolului IPSec care suporta numai configuratii de criptare si autentificare dar
folosirea criptarii fara autentificare este puternic descurajata deaorece este nesigura. Spre
deosebiredeAH,ESPnuoferaprotectieantetuluipachetuluiIP.

Fig.6FormatulESP
Infigura6esteilustratcumesteconstruitsiinterpretatpachetuldatagaramaESP:
SecurityParametersIndex(32bits)
Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a
identificaasociereidesecuritateauneisesiunedetrimitere.

SequenceNumber(32bits)
O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet
trimis) pentru prevenirea atacurilor de antoarcere (reply attacks). Aici se gaseste un contor
separattinutpentrufiecareasocieredesecuritate.

Payloaddata(variable)
ContinutulprotejatinpachetulIPoriginalceincludeoricedatefolositepentru
protectie.
Tipulcontinutuluicareafostprotejatesteindicatincampulantetuluivecin.
Padding(0255octets)

Incarcarea pentru criptare, pentru extinderea datelor de incarcarela dimensiuneaunui

chiperdecriptare,sialiiereacampuluiurmator.

 PadLength(8bits)
Marimeapaddinguluiinocteti.
NextHeader(8bits)
Tipulantetuluiurmatorindicaceprotocoldenivelsuperiorafostprotejat
ValoareaesteluatadinlistacunumereledeprotocoleIP.
IntegrityCheckValue(multipleof32bits)
Lungime variabila ICV verifica valoarea. Este posibil sacontinapaduridealinierede
campinlimitade8octetipentruIPv6sauinlimitaa4octetipentruIPv4.
IPSEC defineste un "Security Association" (SA) ca avand rol primar in protejarea
pachetelor IP. Un SA este definit de adresa IP a pachetului destinatie si un parametru
SPI(Security Parameter Index), pe 32 de biti, care functioneaza oarecum ca un portTCPsau
UDP,inmasuraincarepermitesaavemmaimulteSAurila o singura adresa dedestinatie.
SAS poate functiona in modul transport, in cazul in care campul de date IPSEC incepe cu
headere de layere superioare (de obicei TCP,UDP,ICMPsau),sauinmodultunel, incazul
in care campul de date IPSEC incepe cu un header de pachet IP complet nou. In plus,
SAurile pot fi incapsulate in cadrul altor SAuri, formand pachete SA, permitand astfel
protectie IPSEC stratificata (pe nivele). De exemplu, un SA ar putea proteja tot traficul
realizat printrun gateway, in timp ce un alt SA va proteja tot traficul la o gazda particulara.
Pachetele astfel rutate in intreaga retea vor fi incapsulate intrun singur pachet SA , care va
contineambeleSAuri.
Configurarea echipamentelor dintro retea in vederea aplicarii IPsec se realizeaza de
catre o persoana cu drepturi depline de stabilire a securitatii retelei
(security officer),
in trei
etape:
Crearea grupurilor de securitate (SA) si stabilirea drepturilor si atributiilor
acestora
Configurarea legaturilor dintre SAuri si stabilirea ierarhiilor de prioritati,
folosindISAKMP/IKE
Stabilirea modalitatilor de clasificare a pachetelor IP si de actiune asupra lor

(permite sau interzice accesul in retea, aplica procedurile de securitate

conformIPsec).

PentruasecurizacomunicatiainreteacuIPSecintrecalculatoareleWindowsfolosim
ocolectiedereguli,politicisifiltrepentruapermiteinmodselectivdoarcomunicatiapentru
anumiteprotocoale.
PoliticiledeIPSecpotficreatesiaplicatecuGroupPolicypentrucalculatoarele
dindomeniu.Pentrucalculatoarecarenusuntindomeniu,deexempluserverelebastion,
politicilepotfiaplicatecuscripturiliniedecomanda.

4. Concluzii

Internetuloferaoportunitatiuimitoare,darnufaraunanumitrisc.Fara
controalecorespunzatoare,dateledintroreteasuntsupuselamaimultetipurideatacuri.
Pentruaputeaiesi

Unul dintre punctele slabe aleInternetProtocolestecanuareniciunfel demecanism

pentru a asigura autenticitatea si confidentialitatea datelor. Deoarece datagramele IP trebuie
sa fie, de obicei, trimise Intre doua dispozitive prin retele necunoscute, orice informatie din
ele este supusa riscului de a fi interceptat si, eventual, chiar schimbata. Datorita utilizarii
sporite a internetului pentru aplicatii critice, Imbunatatiri de securitate au fost necesare. In
acestscop,afostdezvoltatunsetdeprotocoalenumitIPSec.
Aceasta lucrare prezinta pe scurt ce inseamna stiva TCP/IP, impreuna cu modul in
care protocolul IPSesc asigura securitatea si integritatea datelor dintro retea, peste aceasta
stiva.
TCP / IP este, practic, peste tot. Acesta este astazidedeparte,suitade protocoalecel
mai frecvent utilizata. Ea a castigat importanta in mare parte datorita rolului sau in
functionarea internetului la nivel mondial, care in cativa ani a transformat societatea
noastra atat de mult. Milioane de oameni utilizeaza TCP / IP si Internet fara sa stie cu
adevarat modul in care acestea functioneaza. Pentru cei din domeniul tehnologiei, cu toate
acestea,intelegereaTCP/IPestedinceincemaiimportanta,cufiecareancetrece.

IPSec trebuie folosit pentru a securiza traficul care parcurge retele sau segmente cu
potential de interceptare a comunicatiei. Nu este in general util a securiza intreg traficul in
interiorulintregiireteleacompaniei,decatpentruretelecugradmaredesecuritate.

5. Bibliografie

1. http://en.wikipedia.org
2. http://ro.wikipedia.org/wiki/IPSec

3. CCNASecurityImplementingSecurity
4. CCNAExplorationNetworkFundamentals
5. SecuritatearetelelordecomunicatiiI.Bogdan,L.ScripcariuCasadeeditura,Iasi,
2008
6. http://www.securitateainformatica.ro
7. http://technet.microsoft.com/enus/network/bb531150.aspx
8. http://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.htm
9. http://www.freesoft.org/CIE/Topics/141.htm