Documente Academic
Documente Profesional
Documente Cultură
Linux
Figura 1
Autentificarea i integritatea datelor
Pentru a stabili adevrul, autentificarea verific identitatea a dou
puncte de capt VPN i a utilizatorilor ce transmit traficul prin reeua VPN.
Un punct de capt ar putea fi un client VPN, un concentrator VPN, un
sistem firewall sau un router.
Autentificarea este un proces ce ine de securitatea IP i care are loc
dup criptarea datelor i nainte de criptarea, la captul receptor . Este o
funcie necesar n cadrul securitii IP, prin care se asigur c ambele
pri, expeditorul i destinatarul, sunt cine pretind a fi. n cazul IPSec,
fiecare participant trebuie configurat manual cu o cheie partajat anterior
*de obicei se convine asupra ei n afara unei conexiuni i o list static de
participani valabili , crend astfel un tabel mare n cadrul routerului, care
necesit resurse de memorie.
Integritatea datelor este o alt funcie din IPSec. Integritate nseamn
c pachetul primit de destinatar nu a fost modificat n timpul transmisiei.
Acet lucru se realizeaz folosind un algoritm hash ireversibil. Un algoritm
hash ireversibil este echivalent cu o suma de control criptat, dupa ce
expeditorul cripteaz i autentific un pachet, algoritmul hash ireversibil
este rulat pe valoarea ntregului pachet. O valoare hash este interesant
pentru c rezultatul acesteaia va avea ntotdeauna o dimensiune fix,
indiferent de intrare. Acesta este un alt mecanism de securitate, astfel
3
nu sunt IP. Cnd trebuie s fie transmise prin tunel, pachetele care nu sunt
IP (precum IPX), IPSec i GRE ar trebui folosite mpreun.
Moduri de criptare
IPSec are dou moduri de criptare, tunel i transport. Fiecare mod
difer prin aplicaiile sale i prin cantitatea de informaii adugate n
antetul pachetului pasager. Aceste moduri diferite de operare sunt
rezumate astfel: modul tunel cripteaz antetul pachetului i segmentul de
date utile al fiecrui pachet, pe cnd modul transport cripteaz doar
segmentul cu datele utile.
Modul tunel
Aceasta este metoda normal prin IPSec, este implementat ntre
dou sisteme PIX Firewall (sau alte pori de securitate) care sunt conectate
printr-o reea lipsit de ncredere, cum este Internetul public. ntreaga
prezentare legat de IPSEc implic modul tunel. Modul tunel ncapsuleaz i
protejeaz un pachet IP complet. Deoarece ncapsuleaz sau ascunde
pachetele pentru a fi transmise n continuare cu succes, chiar routerele de
criptare posed adresele IP folosite n aceste antete noi. Modul tunel poate
fi folosit cu oricare dintre portocoalele ESP (Encapsulating Security Protocol
protocol de securitate cu ncapsulare) i AH (Authentication Header
antet de autentificare) sau cu amndou. Folosirea modului tunel duce la o
cretere suplimentar a pachetului, cu aproximativ 20 de octei asociai la
antetul IP, cci trebuie s se adauge un antet IP nou la pachet.
Modul transport
Aceast metod de implementare a tehnologiei IPSec este aplicat
mai ales cu protocolul L2TP pentru a permite autentificarea clienilor VPN
Windows 2000 aflai la distan. n modul tunel, IPSec cripteaz ntregul
pachet i scrie un nou antet IP n pachet, ceea ce mascheaz informaiile
despre sursa iniial i destinatar. Modul tunel este evident mai sigur dect
modul transport, deoarece ntregul pachet iniial este criptat, nu numai
segmentul de date propriu-zis ca n modul transport.
Protocoalele din standardul IPSec
IPSec foloseste trei protocoale complementare care, atunci cnd sunt
folosite mpreun, formeaz un cadru unit i protejat, bazat pe standarde,
ideal pentru reele VPN. Cele trei protocoale descrise n standardele IPSEc
sunt urmtoarele:
Protocolul Internet Security Association Key Management Protocol
(ISAKMP protocolul de management al cheilor asocierii pentru securitatea
conexiunilor pe Internet) Descrie faza de negociere a conexiunii IPSsec
pentru stabilirea reelei VPN. Protocolul Oakly definete metoda de stabilire
a unui schimb de chei autentificate. Aceast metod poate consta n
diferite moduri de operare i poate, de asemenea, s deduc elementele de
alctuire a cheilor prin algoritmi precum Diffie-Hellman. n cadrul
protocolului ISAKMP se afl protocolul Internet Key Exchange (IKE
schimbul de chei n Internet) care ofer un cadru de negociere a
parametrilor de securitate (de exemplu, durata de via a unei asocieri
pentru securitate, tipul de criptare, etc) i de stabilire a veridicitii cheilor.
5
IKE Faza 1
Faza 1 din protocolul IKE se ocup de negocierea parametrilor de
securitate necesari pentru a stabili un canal protejat ntre doi participani
IPSec. Faza 1 este, n general implementat prin protocolul IKE i se ocup
mai ales de stabilirea suitei de protecie pentru mesajele IKE. Secvena de
evenimente din faza 1 este urmtoarea:
Faza 1 const n crearea asocierii de securitate ISAKMP, n care
participanii negociaz i convin parametri pentru asocierea IPSec
urmtoare. Dup ce se termin faza 1 i este stabilit un canal sigur ntre
participani, IKE trece la faza 2.
Dac participantul IPSec nu poate face schimbul IKE putei folosi
configurarea manual cu chei pre-partajate pentru a ncheia faza 1.
Funcionarea fazei 1 din protocolul IKE are dou moduri de operare:
modul agresiv i modul principal. Modul agresiv elimin mai multe etape
din autentificarea IKE reducnd-o la doar trei etape, pe cnd modulul
principal folosete toate cele patru etape de autentificare. Dei este mai
rapid, modul agresiv este considerat mai puin sigur dect modul principal,
din motive evidente. Dispozitivele Cisco folosesc implicit, dar vor rspunde
i participanilor care folosesc modul agresiv.
IKE Faza 2
Faza 2 din protocolul IKE prelungete securitatea conexiunii folosind
tunelul sigur stabilit n faza 1 spre a face schimbul de parametri
suplimentari necesari pentru a transmite efectiv datele.
n faza 2, protocolul IKE negociaz asocierile de securitate
reprezentnd interfaa IPSec, conform parametrilor configurai n IPSec.
Asocierea ISAKMP creat n faza 1 protejeaz aceste schimburi.
Tunelurile sigure folosite n ambele faze din protocolul IPSec se
bazeaz pe asocieri de securitate (SA) utilizate la fiecare capt IPSec.
Asocierile SA descriu parametri de securitate, precum tipul de autentificare
i de criptare, pe care convin s le foloseasc ambele puncte de capt.
Algoritmul Diffie-Hellman
Algoritmul Diffie-Hellman a fost primul algoritm cu chei publice i
este n continuare considerat unul dintre cele mai bune. IKE folosete
criptografia cu chei publice pentru a negocia parametri de securitate i a
proteja schimburile de chei. Mai exact, algoritmul Diffie-Hellman este folosit
n negocierile IKE pentru a permite celor doi participani s convin asupra
unui secret partajat, genernd cheia pe care o vor folosi. De aceea, vei
vedea c algoritmul Diffie-Hellman este folosit de mai multe ori pe
parcursul procesului.
n general, algoritmul funcioneaz astfel: fiecare participant are o
cheie privat algoritmul Diffie-Hellman preia acea cheie privat i
genereaz o cheie public. Cheia public este un produs al heii private dar
arat astfel nct s nu se poat deduce cheia privat cnd se cunoate
cheia public. Participanii fac apoi schimbul de chei publice.
Dac participantul A dorete s transmit un trafic criptat ctre
participantul B, participantul A cripteaz traficul spre participantul B cu
cheia public a lui B.
Participantul B folosete apoi propria cheie privat ca s decripteze
mesajul, deoarce cheia public este derivat din cheia privat a acestuia.
9
PSK Pre-shared:
- User 1:
Fiierul ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn site-to-site
leftfirewall=yes
authby=secret
auto=route
keyexchange=ikev2
left=192.168.1.10
right=192.168.1.11
type=transport
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
11
Fiierul ipsec.secrets:
192.168.1.10 192.168.1.11 : PSK 'parola'
- User 2:
Fiierul ipsec.conf:
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
conn site-to-site
leftfirewall=yes
authby=secret
auto=route
keyexchange=ikev2
left=192.168.1.11
right=192.168.1.10
type=transport
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
Fiierul ipsec.secrets:
192.168.1.11 192.168.1.10 : PSK 'parola'
Stabilirea unei conexiunii IPSec VPN cu Pre-shared Key
Iniializarea conexiunii IPSec VPN se face prin comanda ipsec up siteto-site, etapele stabilirii conexiunii putand fi observate n imaginea de mai
jos:
12
VM 192.168.1.10
VM 192.168.1.11
13
14