Prezentare re elelor VPN O re ea privat virtual (VPN) este o conexiune criptat de re ea

are folosete un tunel sigur ntre capete, prin Internet sau prin alt re ea, cum ar fi
o re ea WAN. ntr-o re ea VPN, conexiunile pe liniile telefonice ctre utilizatorii de l
a distan i liniile nchiriate sau conexiunile Frame Relay ctre loca ii aflate la distan
nt nlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP) sau l
a un punct de prezen a unui furnizor de servicii (POP). Rspndirea din ce n ce mai mar
e a conexiunilor de band larg, face atractiv aceast utilizare a unui acces ieftin la
re eaua Internet. Dup cum am explicat, dup o investi ie ini ial n re ele VPN, costul p
adugarea altor loca ii sau utilizatori este minim. Re elele VPN permit fiecrui utiliz
ator al re elei s comunice ntr-un mod sigur i fiabil folosind internetul ca mediu de
conectare la re eaua privat de tip LAN. O re ea VPN se poata dezvolta astfel nct s se a
apteze la mai mul i utilizarori i loca ii diferite, mai uor dect prin linii nchiriate.
pre deosebire de liniile nchiriate, n care costul crete propor ional cu distan ele impl
icate, localizarea geografic a fiecrui sediu/utilizator are pu ina importan n crearea
nei re ele VPN. O re ea VPN permite unei re ele intranet private s fie extins n siguran
n criptare IPSec n Internet, facilitnd un comer electronic sigur i conexiuni extrane
t cu angaja i mobili, parteneri de afaceri, furnizori i clien i. Exist trei tipuri pri
ncipale de re ele VPN:

Re ele VPN pentru accesul de la distan ( remote access VPN) permit fiecrui utilizator
dialup s se conecteze n mod partajat la un sediu central prin Internet sau alt se
rviciu public de re ea. Acest tip de re ea VPN este o conexiune utilizator LAN care
permite angaja ilor o conectare din afar la re eaua LAN a companiei. Sistemele angaja i
lor folosesc o aplicatie software client VPN special, care permite o legtur sigur ntr
e ei i re eaua LAN a companiei. Re ele VPN loca ie-la-loca ie (site-to-site) sunt folosi
e pentru a extinde re eaua LAN a companiei n alte cldiri i loca ii, prin utilizarea unu
i echipament dedicat, astfel nct angaja ii din aceste loca ii aflate la distan s poat
iza aceleai servicii de re ea. Aceste tipuri de re ele VPN sunt conectate n permanen . R
le VPN extranet permit conexiuni sigure cu partenerii de afaceri, furnizorii i cl
ien ii, n scopul comer ului electronic. Re elele VPN extranet sunt o extindere a re elelo
r VPN intranet prin adugarea unor sisteme firewall de protejare a re elei interne.
Figura 1
1

Avantajele i scopul re elelor VPN O re ea VPN bine proiectat poate aduce multe avantaj
e unei companii. Cteva dintre beneficiile implementrii unei re ele VPN ntr-o alt re ea
unt urmtoarele:

nainte de apari ia tehnologiilor VPN, angaja ii localiza i la distan trebuiau s apeleze

mere de telefon interurbane pentru a ajunge la re eaua companiei. Cheltuielile cu
telecomunica iile se reduc pe msur ce conexiunile dedicate i de tip dialup de la dist
an e mari sunt nlocuite cu conexiuni locale la Internet, prin care utilizatorii fol
osesc un client VPN. n func ie de numrul de angaja i din teritoriu, aceast metod singur
oate aduce economii imense. Pentru multe companii mici, cu resurse financiare li
mitate, solu ia furnizorilor VPN poate fi util. Crete i productivitatea utilizatorilor
permi ndu-le un acces sigur la resursele re elei, indiferent de localizarea lor geog
rafic. Reduce i cheltuielile opera ionale alocate conexiunilor WAN dedicate, nlocuindu
-le cu conexiuni Internet directe, cum sunt cele de band larg pentru afaceri, prin
care loca iile aflate la distan se vor conecta printr-o re ea VPN loca ie-la-loca ie. Si
plifica i topologia re elei adugndu-i strategic re ele VPN peste tot. Cerin ele pentru l
mea de band sunt modeste, n cazul n care loca iile au nevoie de conectivitate la re ea.
Folosind re ele VPN, ve i avea o recuperare mai rapid a investi iilor dect atunci cnd a
lica i solu ia WAN. Dac se dorete o mai mare flexibilitate n instalarea echipamentelor
mobile de calcul, de telecomunica ii i pentru lucrul n re ea cu filialele, un comer ele
ctronic mai uor i conexiuni extranet cu partenerii de afaceri, cu furnizorii i pent
ru accesul la Internet al clien ilor externi, un intranet intern i acces extranettoate acestea pot fi asigurate folosind o singur conexiune sigur. Dori i s reduce i che
ltuielile aferente sediilor, cernd utilizatorilor s lucreze acas trei zile pe sptmn.
crnd acas, utilizatorii casnici au, de obicei, o productivitate mai mare i sunt mai
pu in stresa i.

nainte de a implementa o re ea VPN, treebuie alocat suficient timp pentru a gndi ce

dorim s realizm cu acesta. n acest timp, nainte de a alege un furnizor de solu ii ori
hardware, ar trebui s lum n considerare ce caracteristici sunt mai importante. Secu
ritatea, men ionat mai trziu, este una dintre cele mai importante propriet i ale re elel
r VPN. Strategii de implementare a re elelor VPN Strategiile de implementare a re el
elor VPN sunt extrem de variate deoarece to i furnizorii de azi au ,,o solu ie VPN. U
nele dintre solu ii sunt ceea ce pretind c sunt, iar altele ridic probleme mari n rndu
l comunit ii preocupate de securitate. Deoarece nu exist un standard larg acceptat d
e implementare a unei re ele VPN, multe companii au dezvoltat solu ii proprii, la ch
eie.
2

Aceast sec iune analizeaz cteva dintre diferitele componente posibile, disponibile la
firma Cisco, precum i modul n care fiecare dispozitiv, precum sistemele firewall,
pot fi folosite pentru a juca rolul unei re ele VPN:

Sistemele firewall Sistemele firewall sunt vitale pentru securitatea re elei. n pre
zent, toate sistemele firewall Cisco accept combinarea re elelor VPN cu inspectarea
pachetelor n func ie de stare (SPI). Solu iile variaz ncepnd cu re elele VPN de tip lo
-la-loca ie bazate pe standarde care realizeaz un echilibru ntre standardele Interne
t Key Exchange (IKE) i IPSec pentru VPN. Sistemele firewall Cisco PIX cripteaz dat
ele folosind standardul DES (Data Encryption Standard) pe 56 de biti, Triple DES
(3DES) pe 168 de biti sau chiar criptarea AES (Advanced Encryption Standard) pe
256 de biti. Fiind un exemplu minunat de tehnologie, Cisco PIX Firewall combin t
raducerea NAT (Network Address Translation) dinamic, filtrarea pachetelor de serv
er proxy, un sistem firewall i func ii terminale VPN ntr-un singur echipament hardwa
re. Routere cu capacit i VPN Routerele Cisco pot fi modernizate pentru a avea capac
itatea de a folosi re ele VPN. Aceste modernizri vin sub una din urmtoarele forme, n
func ie de modelul de router n discutie: IOS, memorie sau hardware VPN dedicate. Se
pot ob ine func ii unice care ofer scalabilitate, direc ionare, securitate i calitatea
serviciilor (QoS). Folosind Cisco IOS Software, se ob ine un router potrivit pentr
u orice situa ie. Concentrator VPN ncorpornd cele mai avansate tehnici de criptare i
autentificare disponibile, concentratoarele Cisco VPN sunt construite special pe
ntru a crea re ele VPN cu acces de la distan , care asigur o disponibilatate ridicat, p
erforman ridicat i scalabilitate i include componente numite module de prelucrare sca
labil a criptrii (SEP scalable encryption processing), prin care se permite cretere
a capacit ii i volumul transferului. Concentratoarele VPN sunt construite pentru a s
atisface cerin ele re elelor VPN i sunt disponibile n module adecvate pentru orice, nce
pnd cu firme, de 100 utilizatori i pn la organiza ii de 10.000 utilizatori simultani d
e la distan . Software client Uor de instalat i operat, Cisco VPN Client stabilete tun
luri sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai
jos. Acest software de fine e, compatibil cu IPSec poate fi preconfigurat pentru i
nstalri comasate, iar deschiderile ini iale de sesiuni necesit o interven ie redus a ut
ilizatorului.

n func ie de tipul de re ea VPN (cu acces de la distan sau loca ie-la-loca ie ), trebuie
losite componente hardware specifice pentru a construi re eaua VPN. Totui lua i n cons
iderare i urmtoarele:

Capacitatea de gestionare capacitatea de gestionare a unei re ele VPN se refer la e

fortul necesar pentru a ntre ine cu succes conectivitatea stabilit a re elei. Mai exac
t, PC Magazine definete capacitatea de gestionare prin factorii care faciliteaz uti
lizarea op iunilor de management de la distan i local, inclusiv faptul c dispozitivul
furnizeaz un acces printr-o interfa bazat pe un browser sau prin linie de comand (PC
agazine 2002).
3

Fiabilitatea evident, dac un produs software sau hardware VPN nu este disponibil
atunci cnd ave i nevoie, pierde i din productivitate i, probabil din venituri. Scalabi
litatea pe msur ce afacerea unei companii se dezvolt, adesea se dezvolt i cerin ele
steia pentru tehnica de calcul. Pentru a extinde infrastructura VPN rapid i cu co
sturi reduse, este important s alege i o solu ie care ia n considerare scalabilitatea.
Ceea ce i dorete mai pu in un manager IT este s fie nevoit s o ia de la nceput i s
sc infrastructura VPN din cauza unei limitri n poten ialul de dezvoltare al acesteia.

La selectarea dispozitivului potrivit s ofere servicii VPN pentru re eaua dumneavoa

str, trebuie s ave i n vedere limitrile. De exemplu, sistemul IOS al unui router poate
fi terminalul re elelor VPN, dar aceasta este o procedur manual de configurare i nec
esit o n elegere mai profund dect n cazul unui sistem firewall PIX, care are disponibi
programul VPN Configuration Wizard, cu interfa GUI. Mai exist Cisco VPN concentrat
or, care completeaz sistemul PIX sau IOS cu o interfa GUI puternic, facilitnd managem
entul mai multor politici VPN. Cisco VPN Concentrator ofer instruc iuni intuitive p
entru configurarea acestor politici si grupuri diferite, permi nd astfel existen a ma
i multor utilizatori diferi i ntr-o re ea cu diferite grupuri de executare asociate a
celui grup. De obicei aduc n discu ie un concentrator atunci cnd clientul are un per
sonal limitat i are nevoie de mai multe cerin e diferite pentru politica VPN. Siste
mul IOS cu PIX este mai dificil de configurat i de controlat pentru aceast cerin par
ticular. Trafic divizat prin tunel Mul i utilizatori VPN se afl deja n spatele sistem
elor firewall i trebuie s aib acces la resurse doar printr-o re ea VPN. Re elele tradi i
nale VPN nu permit utilizatorilor s aibe acces i la resursele de re ea din segmentul
lor local, n timp ce sunt conecta i la re eaua VPN a companiei. Acest lucru devine o
problem cnd, de exemplu aceti utilizatori trebuie s acceseze un sistem printr-o re ea
VPN i s efectueze listri la o imprimant de re ea local. Pentru a corecta aceast posi
problem, a fost introdus o func ie numit split tunneling (trafic divizat prin tunel)
Traficul divizat prin tunel are loc atunci cnd unui utilizator VPN, aflat la dist
an sau o alt loca ie ndeprtat are permisiunea de a accesa o re ea public (Internet)
timp acceseaz i re eaua privat VPN fr a plasa mai nti traficul re elei publice n i
tunelului. Totui aceasta nu este ntotdeauna cea mai potrivit func ie care s fie activ
at, deoarece ar putea permite unui atacator s compromit un calculator care este con
ectat la dou re ele. Figura 2 ilustreaz cum func ioneaz traficul divizat prin tunel
4

Func ionarea re elelor VPN de tip IPSec IPSec a devenit standardul de facto pentru c
rearea re elelor VPN n industria re elelor. Mai mul i furnizori au implementat-o i, pent
ru c Internet Engineering Task Force (IETF) a devenit IPSec ntr-un document RFC, i
nteroperabilitatea dintre furnizori face din IPSec cea mai bun opera iune pentru co
nstruirea re elelor VPN. IPSec ofer un mijloc standard de stabilire a autentificrii i
a serviciilor de criptare, ntre participan ii la conexiune (peers). n cadrul aceste
i prezentri folosim pentru a ne referi la termenul peer dispozitivele care formez ca
petele unui tunel VPN. IPSec ac ioneaz n stratul re ea din modelul de referin OSI, prot
jnd i autentificnd pachetele IP dintre dispozitivele IPSec care particip (peers), cu
m sunt routerele Cisco sau sistemele firewall. IPSec ofer urmtoarele servicii de s
ecuritate a re elei:

Confiden ialitatea datelor expeditorul IPSec poate cripta pachetele nainte de a le

trimite printr-o re ea. Dac un hacker ar citi datele, acestea nu i-ar fi de nici un
folos. Integritatea datelor punctul final receptor IPSec autentific toate pachet
ele trimise de expeditorul IPSec, asigurnd c datele nu au fost modificate n timpul
transmisiei. Autentificarea originii datelor receptorul IPSec poate autentifica
sursa pachetelor IPSec transmise. Acest serviciu depinde de serviciul de integri
tate a datelor. Nu permite reluarea transmiterii pachetelor receptorul IPSec poa
te detecta i respinge pachetele retransmise.

IPSec protejeaz datele care trec prin re elele neprotejate, iar serviciile de secur
itate IPSec sunt oferite la nivelul stratului re ea. De aceea, nu trebuie s configu
ra i separat sta iile de lucru, PC-urile sau aplica iile. n loc s oferi i serviciile de s
curitate pe care nu aveti nevoie sa le instala i i s coordonati securitatea fiecrei a
plica ii i a fiecrui calculator n parte, pute i modifica infrastructura re elei pentru a
oferi serviciile necesare de securitate. Acest suport permite solu ii IPSec scalat
e pentru re elele de dimensiuni medii, mari i n dezvoltare, acolo unde este solicita
t o conexiune ntre mai multe dispozitive. IPSec ofer performan e de securitate, cum s
unt algoritmii mai buni de criptare i o autentificare mai cuprinztoare. Re elele de
companii conectate la Internet pot permite un acces VPN flexibil i sigur cu IPSec
. n cazul tehnologiei IPSec, clien ii pot construi re ele VPN prin Internet, avnd o pr
otec ie bazat pe criptare n fa a atacurilor de interceptare, de sustragere sau de alt
tip, care ptrund n comunica iile private. IPSec asigur servicii de autentificare i cri
ptare pentru protec i mpotriva vizualizrii sau modificrii neautorizate a datelor din
re eaua dumneavoastr sau n timpul transferului printr-o re ea neprotejat, cum este Inte
rnetul public. IPSec poate cripta date ntre diferite dispozitive, cum sunt:

router ctre router;

5


sistem firewall ctre router; sistem firewall ctre sistem firewall; utilizator ctre
router; utilizator ctre sistem firewall; utilizator ctre concentrator VPN; utiliza
tor ctre server.
IPSec este o structur de standarde deschise, definite de organiza ia IETF. IPSec of
er securitatea transmisiei informa iilor confiden iale prin re elele neprotejate, cum e
ste Internetul. Figura 3 arat cele mai uzuale trei tipuri de re ele VPN.
Autentificarea i integritatea datelor Pentru a stabili adevrul, autentificarea ver
ific identitatea a dou puncte de capt VPN i a utilizatorilor ce transmit traficul pr
in re eua VPN. Un punct de capt ar putea fi un client VPN, un concentrator VPN, un
sistem firewall sau un router. Autentificarea este un proces ce ine de securitate
a IP i care are loc dup criptarea datelor i nainte de criptarea, la captul receptor
Este o func ie necesar n cadrul securit ii IP, prin care se asigur c ambele pr i,
ul i destinatarul, sunt cine pretind a fi. n cazul IPSec, fiecare participant treb
uie configurat manual cu o cheie partajat anterior *de obicei se convine asupra e
i n afara unei conexiuni i o list static de participan i valabili , crend astfel un
el mare n cadrul routerului, care necesit resurse de memorie. Integritatea datelor
este o alt func ie din IPSec. Integritate nseamn c pachetul primit de destinatar nu
fost modificat n timpul transmisiei. Acet lucru se realizeaz folosind un algoritm
hash ireversibil. Un algoritm hash ireversibil este echivalent cu o suma de con
trol criptat, dupa ce expeditorul cripteaz i autentific un pachet, algoritmul hash i
reversibil este rulat pe valoarea ntregului pachet. O valoare hash este interesan
t pentru c rezultatul acesteaia va avea ntotdeauna o dimensiune fix, indiferent de i
ntrare. Acesta este un alt mecanism de securitate, astfel ncat hackerii s nu poat ti
dimensiunea cmpului de intrare. Algoritmul hash ireversibil creeaz un cmp de cript
at anexat la mesaj. La captul receptor, valoarea hash ireversibil este extras din p
achet, iar
6

.
ex

ta
a

receptorul ruleaz propriul su algoritm hash. Deoarece algoritmul hash este rulat a
supra unor variabile din pachet, cum sunt ora transmiterii, numrul de octeti, etc
., ambele valori hash trebuie s fie aceleai, acest lucru nsemnnd c pachetul nu a fost
viciat. Dac valorile sunt diferite, pachetul este respins, iar IPSec renegociaz p
arametrii securit ii. Transmiterea datelor prin tunel Re elele VPN se bazeaz pe transm
iterea prin tunel pentru a crea o re ea privat n Internet. n esen , acesta este procesu
de preluarea a unui pachet ntreg de date i de ncapsulare a lui n cadrul altui pache
t, nainte de a-l trimite prin re ea, re eaua trebuie s n eleag protocolul pachetului di
xterior, pentru ca acesta s intre i s iasa din re ea. Crearea unui tunel necesit func i
narea a trei protocoale diferite:

Protocolul pasagerului (passenger protocol) Pachetul datelor ini iale, de obicei d

e tip IP, care trebuie criptat n re eaua VPN. Ar putea fi incluse i alte protocoale
precum IPX sau NetBEUI, dac dori i. Protocolul de ncapsulare (encapsulating protocol
) Protocolul (GRE, IPSec, L2F, PPTP, L2TP) care nglobeaz datele ini iale. IPSec este
standardul defacto folosit ca protocol de ncapsulare n aceast etap care permite ntre
gului pachet pasager s fie criptat i protejat. IPSec trebuie s fie acceptat de ambe
le interfe e ale tunelului pentru a func iona corect. Protocolul purttoarei (carrier
protocol) Protocolul folosit de re eaua prin care cltorete informa ia . Pachetul ini i
(Protocolul pasagerului) este ncapsulat n cadrul protocolului de ncapsulare i introd
us apoi n antetul protocolului purttoarei (de obicei IP) pentru o transmisiune pri
n re eua public.

Transmisiunea prin tunel func ioneaza bine cu re elele VPN, deoarece se pot folosi p
rotocoale care nu sunt acceptate n Internet n cadrul unui pachet IP i acesta poate
s fie transmis n siguran n continuare. La nceputul unei transmisiuni VPN prin tunel,
n pachet de date de la o surs LAN este nglobat sau ncapsulat cu informa ii noi de ant
et, care permit re elelor intermediare s-l recunoasc i s-l livreze. Dup acest opera i
p ce transmisiunea este ncheiat, antetul protocolului pentru tunel este ndeprtat, iar
pachetul original este transferat n re eaua LAN de destina ie, pentru a fi livrat. D
ei transmisia prin tunel permite datelor s fie purtate prin re ele ale unor ter e prti,
acesta nu poate asigura singur protec ia datelor. Pentru a proteja o transmisie pr
in tunel n fa a oricrui tip de interceptare i sustragere, ntregul trafic prin re elele
PN este criptat. n plus, re elele VPN con in func ii suplimentare, precum sisteme firew
all de la periferie. n re elele VPN de tip loca ie-la-loca ie, protocolul de ncapsulare
este de obicei IPSEc sau ncapsularea cu direc ionare genetica (GRE). GRE con ine info
rma ii despre tipul de pachet ncapsulat i despre conexiunea dintre client i server. D
iferen a depinde de nivelul de securitate necesar pentru conexiune, securitatea fi
ind mai mare cu IPSec, iar GRE avnd o mai mare func ionalitate. IPSEc poate crea tu
neluri i poate cripta pachete IP, pe cnd GRE poate crea tuneluri pentru pachete IP
i pentru pachete care nu sunt IP.
7

Cnd trebuie s fie transmise prin tunel, pachetele care nu sunt IP (precum IPX), IP
Sec i GRE ar trebui folosite mpreun. Moduri de criptare IPSec are dou moduri de crip
tare, tunel i transport. Fiecare mod difer prin aplica iile sale i prin cantitatea de
informa ii adugate n antetul pachetului pasager. Aceste moduri diferite de operare
sunt rezumate astfel: modul tunel cripteaz antetul pachetului i segmentul de date
utile al fiecrui pachet, pe cnd modul transport cripteaz doar segmentul cu datele u
tile. Modul tunel Aceasta este metoda normal prin IPSec, este implementat ntre dou
sisteme PIX Firewall (sau alte por i de securitate) care sunt conectate printr-o r
e ea lipsit de ncredere, cum este Internetul public. ntreaga prezentare legat de IPSEc
implic modul tunel. Modul tunel ncapsuleaz i protejeaz un pachet IP complet. Deoarec
e ncapsuleaz sau ascunde pachetele pentru a fi transmise n continuare cu succes, ch
iar routerele de criptare posed adresele IP folosite n aceste antete noi. Modul tu
nel poate fi folosit cu oricare dintre portocoalele ESP (Encapsulating Security
Protocol protocol de securitate cu ncapsulare) i AH (Authentication Header antet d
e autentificare) sau cu amndou. Folosirea modului tunel duce la o cretere supliment
ar a pachetului, cu aproximativ 20 de octe i asocia i la antetul IP, cci trebuie s se a
dauge un antet IP nou la pachet. Modul transport Aceast metod de implementare a te
hnologiei IPSec este aplicat mai ales cu protocolul L2TP pentru a permite autenti
ficarea clien ilor VPN Windows 2000 afla i la distan . n modul tunel, IPSec cripteaz nt
ul pachet i scrie un nou antet IP n pachet, ceea ce mascheaz informa iile despre surs
a ini ial i destinatar. Modul tunel este evident mai sigur dect modul transport, deoa
rece ntregul pachet ini ial este criptat, nu numai segmentul de date propriu-zis ca
n modul transport. Protocoalele din standardul IPSec IPSec foloseste trei protoc
oale complementare care, atunci cnd sunt folosite mpreun, formeaz un cadru unit i pro
tejat, bazat pe standarde, ideal pentru re ele VPN. Cele trei protocoale descrise n
standardele IPSEc sunt urmtoarele:

Protocolul Internet Security Association Key Management Protocol (ISAKMP protoco

lul de management al cheilor asocierii pentru securitatea conexiunilor pe Intern
et) Descrie faza de negociere a conexiunii IPSsec pentru stabilirea re elei VPN. P
rotocolul Oakly definete metoda de stabilire a unui schimb de chei autentificate.
Aceast metod poate consta n diferite moduri de operare i poate, de asemenea, s deduc
elementele de alctuire a cheilor prin algoritmi precum
8

Diffie-Hellman. n cadrul protocolului ISAKMP se afl protocolul Internet Key Exchan

ge (IKE schimbul de chei n Internet) care ofer un cadru de negociere a parametrilo
r de securitate (de exemplu, durata de via a unei asocieri pentru securitate, tipu
l de criptare, etc) i de stabilire a veridicit ii cheilor. Protocolul Encapsulating
Security Payload (EPS segmentul de date cu protec ie prin ncapsulare ) Ofer confiden
alitatea i protec ia datelor prin servicii op ionale de autentificare i detectare a re
lurii pachetelor. ESP ncapsuleaz complet datele utilizatorului. ESP poate fi folosi
t ca atare sau mpreun cu protocolul AH. ESP ruleaz protocolul TCP pe porturile 50 i
51 i este descris n documentul RFC 2406. Protocolul Authentication Header (AH ante
tul de autentificare) Ofer servicii (op ionale) de autentificare i mpotriva relurii p
chetelor. AH ofer servicii pentru por iuni limitate de antet IP i antet extins, dar
nu asigur criptarea datelor prin aplicarea unei valori hash ireversibile pentru a
crea un rezumat al mesajului din pachet. AH este nglobat n date pentru a fi prote
jat (de exemplu, o datagram IP complet). AH poate fi folosit ca atare sau mpreun cu
protocolul Encapsulating Security Payload (ESP) (Consulta i documentul RFC 2402 pe
ntru detalii). Acest protocol a fost nlocuit n mare parte de ESP i este considerat
depit.
Asocieri de securitate Asocierile de securitate (SA) stabilesc ncrederea ntre dou d
ispozitive ntr-o rela ie egal-la-egal i activeaz punctele de capt VPN pentru a conveni
asupra unui set de reguli de transmitere, folosind politici de negociere cu un
participant poten ial. O asociere de securitate poate fi vazut ca un contract prin
care se negociaz i apoi se stabilesc diferi i parametri ai conexiunii. O asociere de
securitate este identificat printr-o adres IP, printr-un identificator de protoco
l de securitate i o valoare unic de index al parametrului de securitate (SPISecuri
ty Parameter Index). Valoarea SPI este un numar de 32 de bi i nglobat n antetele pac
hetelor. Cele dou tipuri de asocieri de securitate sunt:

Internet Key Exchange (IKE schimbul de chei n Internet) Con ine negocierea, autenti
ficarea unui participant, managementul cheilor i schimbul de chei. Fiind un proto
col bidirec ional, IKE ofer un canal de comunicare protejat ntre dou dispozitive care
negociaz un algoritm de criptare, un algorim hash, o metod de autentificare i oric
e informa ie relevant de grup. Folosete schimbul de chei bazat pe algoritmi Diffie-H
ellman, iar administratorii de re ea pot lega bine protocolul IKE de sistemele de
gestionare a politicilor. Pentru a mpiedica un atac de tipul intrus (man-in-the-mid
dle) cnd un atacator sustrage pachete din re ea, le modific i le insereaz napoi n r
protocol Diffie-Hellman de fortificare, numit Station-to-Station (STS sta ie-la-s
ta ie), permite ca dou dispozitive aflate ntr-un schimb Diffie-Hellman s se autentifi
ce unul pe cellalt folosind semnturi digitale i certificate cu chei publice.
9

IPSEc Security Association (IPSec SA asociere de securitate IPSec ) IPSec SA este

o asociere unidirec ional i de aceea este necesar s se stabileasc asocieri IPSEc SA p
entru fiecare direc ie. IPSec SA este o procedur n dou faze i trei moduri. n faza 1, p
t fi folosite dou moduri: main mode (modul principal) i aggressive mode (modul rap
id). n faza 2, singurul mod disponibil este numit quick mode (modul rapid). Utili
zatorul final nu are nici un control asupra alegerii modului, selectarea fiind a
utomat i depinznd de parametri de configurare stabili i de ambii participan i.
Att IKE, ct i IPSec folosesc asocieri de securitate, dei asocierile sunt independent
e una de cealalt. IPSec SA sunt unidirec ionale i unice n fiecare protocol de securit
ate. Asocierile de securitate definesc ce protocoale i algoritmi ar trebui aplica i
pachetelor confiden iale i specific elementele cheilor utilizate de cei doi partici
pan i. Asocierile de securitate sunt unidirec ionale i sunt stabilite separat pentru
protocoale diferite de securitate (AH i/sau ESP). Asocierile IPSec SA pot fi stab
ilite n dou moduri:

Asocieri manuale de securitate, cu chei prepartajate Utilizarea asocierii manual

e IPSec SA necesit un acord prealabil ntre administratorii sistemului PIX Firewall
i participantul IPSec. Nu exist o negociere a asocierilor de securitate, dei infor
ma ia de configurare din ambele sisteme trebuie s fie aceeai pentru ca IPSec s derule
ze cu succes traficul. Asocierea manual este uor de configurat, ns este dificil s se
modifice cheile prepartajate, deoarece tunelul ar eua n acest caz, aa c cheile pre-p
artajate nu se schimb de obicei. Asocieri de securitate stabilite prin metoda IKE
- Cnd se folosete IKE pentru stabilirea asocierilor IPSec, participan ii pot negoci
a parametri pe care i vor folosi pentru noile asocieri de securitate. Acest lucru
nseamn c pute i specifica liste (precum listele de transformri acceptabile) n cadrul
lementului crypto map (harta criptrii).

Protocolul Internet Key Exchange (IKE) Aceast sec iune descrie protocolul Interbet
Key Exchange (IKE) i modul de func ionare a acestuia mpreun cu IPSec pentru a realiza
re ele VPN mai scalabile. IKE este un protocol hibrid care folosete o parte din pr
otocolul Oakley i o parte dintr-o alt suit de protocoale numit Secure Key Exchange M
echanism (SKEME) , n cadrul format de Internet SecurityAssociation and Key Manage
ment Protocol (ISAKMP protocolul de asociere pentru securitatea i managementul ch
eilor n Internet). IKE stabilete o politic de securitate partajat i autentific chei p
ntru serviciile care necesit chei (cum este IPSec). nainte ca un trafic IPSec oare
care s fie admis, fiecare router/sistem firewall/gazd trebuie s poata verifica iden
titatea celuilat participant. Acest lucru se poate face manual. Prin introducere
a cheilor pre-partajate n ambele gazde, cu serviciul Certification Autorithy (CA
autoritatea de certificare) sau cu sistemul DNS protejat (DNSSec) . IKE este pro
tocolul cunoscut anterior sub numele ISAKMP/Oakley, definit n RFC 2409.
10

IKE este un protocol folosit de IPSec pentru a realiza faza 1. IKE negociaz i aloc
asocieri de securitate (SA) pentru fiecare participant IPSec, care ofer un canal
sigur pentru negocierea IPSec SA n faza 2. IKE aduce urmtoarele avantaje:

Elimin necesitatea specificrii manuale a tuturor parametrilor de securitate IPSec
la ambii participan i; Permite specificarea unei durate de via a asocierilor de secu
ritate IPSec; Permite modificarea cheilor de criptare n timpul sesiunilor IPSec;
Permite tehnicii IPSec s ofere servicii mpotriva relurii pachetelor; Activeaz servic
iul CA pentru a implementare IPSec controlabil i scalabil; Permite autentificarea d
inamic a participan ilor;

Negocierile IKE trebuie s fie protejate i de aceea fiecare negociere IKE ncepe prin
acordul dintre participan i asupra unei politici IKE comune (partajate). Aceast po
litica stabilete parametri de securitate care vor fi folosi i pentru a proteja nego
cierile IKE urmtoare. Dac exist un acord al celor doi participan i asupra unei politi
ci, o asociere de participare stabilit la fiecare participant identific parametri
de securitate ai politicii i acestei asocieri SA se aplic, pe durata negocierii, nt
regului trafic IKE care urmeaz. Protocolul ISAKMP Protocolul ISAKMP (Internet Sec
urity Association and Key Management Protocol protocolul de asociere pentru secu
ritatea i managementul cheilor n Internet ) este un cadru care definete mecanismele
de implementare a protocolului de schimb al cheilor i negocierea unei politici d
e securitate. ISAKMP este folosit pentru schimburile protejate att de parametri S
A, ct i de chei private, ntre participan ii dintr-un mediu IPSec, precum i la crearea
controlul cheilor. ISAKMP ofer mai multe metode de control al cheilor i un tranzi
t protejat al parametrilor IPSec ntre participan i. Acest lucru este realizat folos
ind algoritmi similari cu cei folosi i de IPSec pentru criptarea propriu-zis a date
lor din segmentul de date. Ca i IPSec, ISAKMP nu este un protocol ci o simpl inter
fa de control a diferitelor metode de schimb dinamic al cheilor. ISAKMP definete di
ferite metode cum ar fi semntura digital, certificatele i algoritmii hash ireversib
ili pentru a se asigura c negocierea asocierilor de securitate ntre participan i se
desfasoar n siguran . n prezent, singurul protocol acceptat din ISAKMP este protocolul
Internet Key Exchange (IKE). Cnd IKE este folosit activ n procesul de criptare, d
evin disponibile multe func ii pentru procesul de comunicare IPSec. Folosind cript
area cu chei publice, IKE negociaz parametri de securitate i schimburile de chei na
inte chiar ca prelucrarea IPSec s nceap. Cum func ioneaz IPSec Sarcina principal pe ca
e o are IPSec este s permit schimbul de informa ii private printr-o conexiune neprot
ejat, negociind conexiunea i oferind cheile ntr-un mod sigur.
11

IPSec folosete criptarea pentru a proteja informa iile mpotriva interceptrilor sau in
discre iilor. Totui, pentru a folosi eficient criptarea, ambele pr i trebuie s partajez
e o cheie secret (parol) utilizat att pentru criptarea, ct i pentru decriptarea infor
a iilor cnd acestea intr i ies din tunelul VPN. IPSec folosete IKE pentru a stabili le
gtura sigur, astfel nct s se formeze re eaua VPN i conexiunile de date. n mare, secv
evenimente pentru o tranzac ie IPSec este urmtoarea: 1. Unul dintre participan ii IP
Sec primete sau genereaz un trafic de interes pe o interfa care a fost configurat s i
i ieze un tunel IPSec pentru acel trafic de interes. 2. Modul principal sau modul
agresiv de negociere care folosete IKE are ca rezultat crearea unei asocieri IKE
de securitate (SA) ntre cei doi participan i IPSec. 3. Negocierea n modul rapid, car
e folosete IKE, are ca rezultat crerea a dou asocieri IPSec, de securitate ntre doi
participan i IPSec. 4. Datele ncep s treac printr-un tunel criptat o examinare supli
mentar. IPSec func ioneaz n dou faze majore pentru a permite schimbul confiden ial al u
ei chei secrete partajate, asa cum este prezentat n sec iunile care urmeaz. IKE Faza
1 Faza 1 din protocolul IKE se ocup de negocierea parametrilor de securitate nec
esari pentru a stabili un canal protejat ntre doi participan i IPSec. Faza 1 este, n
general implementat prin protocolul IKE i se ocup mai ales de stabilirea suitei de
protec ie pentru mesajele IKE. Secven a de evenimente din faza 1 este urmtoarea: 1.
Faza 1 const n crearea asocierii de securitate ISAKMP, n care participan ii negociaz i
convin parametri pentru asocierea IPSec urmtoare. Dup ce se termin faza 1 i este sta
bilit un canal sigur ntre participan i, IKE trece la faza 2. 2. Dac participantul IP
Sec nu poate face schimbul IKE pute i folosi configurarea manual cu chei pre-partaj
ate pentru a ncheia faza 1. Func ionarea fazei 1 din protocolul IKE are dou moduri d
e operare: modul agresiv i modul principal. Modul agresiv elimin mai multe etape d
in autentificarea IKE reducndo la doar trei etape, pe cnd modulul principal foloset
e toate cele patru etape de autentificare. Dei este mai rapid, modul agresiv este
considerat mai pu in sigur dect modul principal, din motive evidente. Dispozitivel
e Cisco folosesc implicit, dar vor rspunde i participan ilor care folosesc modul agr
esiv. IKE Faza 2 Faza 2 din protocolul IKE prelungete securitatea conexiunii folo
sind tunelul sigur stabilit n faza 1 spre a face schimbul de parametri suplimenta
ri necesari pentru a transmite efectiv datele (vezi figura 8).
12

n faza 2, protocolul IKE negociaz asocierile de securitate reprezentnd interfa a IPSe

c, conform parametrilor configura i n IPSec. Asocierea ISAKMP creat n faza 1 protejea
z aceste schimburi. Tunelurile sigure folosite n ambele faze din protocolul IPSec
se bazeaz pe asocieri de securitate (SA) utilizate la fiecare capt IPSec. Asocieri
le SA descriu parametri de securitate, precum tipul de autentificare i de criptar
e, pe care convin s le foloseasc ambele puncte de capt. Algoritmul Diffie-Hellman A
lgoritmul Diffie-Hellman a fost primul algoritm cu chei publice i este n continuar
e considerat unul dintre cele mai bune. IKE folosete criptografia cu chei publice
pentru a negocia parametri de securitate i a proteja schimburile de chei. Mai ex
act, algoritmul Diffie-Hellman este folosit n negocierile IKE pentru a permite ce
lor doi participan i s convin asupra unui secret partajat, genernd cheia pe care o vo
r folosi. De aceea, ve i vedea c algoritmul Diffie-Hellman este folosit de mai mult
e ori pe parcursul procesului. n general, algoritmul func ioneaz astfel: fiecare par
ticipant are o cheie privat algoritmul Diffie-Hellman preia acea cheie privat i gen
ereaz o cheie public. Cheia public este un produs al cheii private dar arat astfel nc
s nu se poat deduce cheia privat cnd se cunoate cheia public. Participan ii fac apoi
himbul de chei publice. Dac participantul A dorete s transmit un trafic criptat ctre
participantul B, participantul A cripteaz traficul spre participantul B cu cheia
public a lui B. Participantul B folosete apoi propria cheie privat ca s decripteze m
esajul, deoarce cheia public este derivat din cheia privat a acestuia. Astfel, este
sigur c participantul B poate decripta mesajul, fiind singurul care cunoate propr
ia cheie privat. Aceasta este cea mai bun metod pentru stabilirea unui canal de com
unica ie sigur (ISAKMP SA) , astfel nct asocierile IPSec viitoare s poat face un schim
b protejat de informa ii despre chei, fr a folosi algoritmul cu chei publice pentru
schimbul de chei de fiecare dat cnd este transmis un trafic criptat. Traficul este
deja criptat nainte de sfritul fazei 1 a negocierii IKE. Astfel se ofer un schimb p
rotejat de propuneri IPSec i de chei, executat pentru IPSec n faza 2 a negocierii
IKE. Pentru asigurarea unui mecanism sigur de schimb al cheilor i control al asoc
ierilor IPSec, ISAKMP mai ofer cteva func ii importante. ISAKMP poate fi configurat
s stabileasc duratele de via pentru asocierile IPSec, care permit un control mai mar
e asupra frecven ei cu care se face schimbul de chei. De asemenea permite s se fac s
chimbul de chei n timpul comunica iei fr a terge i a reconstrui asocieri IPSec. n caz
unei interfe e IPSec de sine stttoare, dac se face schimbul de chei n timpul comunica i
i, asocierile de securitate existente sunt anulate i reconstruite cu noile
13

chei. Deoarece ISAKMP negociaz asocierile SA pentru IPSec i le protejeaz cu propria

asociere SA, se poate face schimbul de chei din mers, fr a reconstrui negocierile p
entru SA. Se ob ine astfel un avantaj fa de IPSec folosit ca atare. ISAKMP permite d
e asemnea, o autentificare dinamic a participan ilor, iar integritatea datelor se v
erific prin folosirea algoritmilor hash ireversibili.
14