Documente Academic
Documente Profesional
Documente Cultură
are folosete un tunel sigur ntre capete, prin Internet sau prin alt re ea, cum ar fi
o re ea WAN. ntr-o re ea VPN, conexiunile pe liniile telefonice ctre utilizatorii de l
a distan i liniile nchiriate sau conexiunile Frame Relay ctre loca ii aflate la distan
nt nlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP) sau l
a un punct de prezen a unui furnizor de servicii (POP). Rspndirea din ce n ce mai mar
e a conexiunilor de band larg, face atractiv aceast utilizare a unui acces ieftin la
re eaua Internet. Dup cum am explicat, dup o investi ie ini ial n re ele VPN, costul p
adugarea altor loca ii sau utilizatori este minim. Re elele VPN permit fiecrui utiliz
ator al re elei s comunice ntr-un mod sigur i fiabil folosind internetul ca mediu de
conectare la re eaua privat de tip LAN. O re ea VPN se poata dezvolta astfel nct s se a
apteze la mai mul i utilizarori i loca ii diferite, mai uor dect prin linii nchiriate.
pre deosebire de liniile nchiriate, n care costul crete propor ional cu distan ele impl
icate, localizarea geografic a fiecrui sediu/utilizator are pu ina importan n crearea
nei re ele VPN. O re ea VPN permite unei re ele intranet private s fie extins n siguran
n criptare IPSec n Internet, facilitnd un comer electronic sigur i conexiuni extrane
t cu angaja i mobili, parteneri de afaceri, furnizori i clien i. Exist trei tipuri pri
ncipale de re ele VPN:
Re ele VPN pentru accesul de la distan ( remote access VPN) permit fiecrui utilizator
dialup s se conecteze n mod partajat la un sediu central prin Internet sau alt se
rviciu public de re ea. Acest tip de re ea VPN este o conexiune utilizator LAN care
permite angaja ilor o conectare din afar la re eaua LAN a companiei. Sistemele angaja i
lor folosesc o aplicatie software client VPN special, care permite o legtur sigur ntr
e ei i re eaua LAN a companiei. Re ele VPN loca ie-la-loca ie (site-to-site) sunt folosi
e pentru a extinde re eaua LAN a companiei n alte cldiri i loca ii, prin utilizarea unu
i echipament dedicat, astfel nct angaja ii din aceste loca ii aflate la distan s poat
iza aceleai servicii de re ea. Aceste tipuri de re ele VPN sunt conectate n permanen . R
le VPN extranet permit conexiuni sigure cu partenerii de afaceri, furnizorii i cl
ien ii, n scopul comer ului electronic. Re elele VPN extranet sunt o extindere a re elelo
r VPN intranet prin adugarea unor sisteme firewall de protejare a re elei interne.
Figura 1
1
Avantajele i scopul re elelor VPN O re ea VPN bine proiectat poate aduce multe avantaj
e unei companii. Cteva dintre beneficiile implementrii unei re ele VPN ntr-o alt re ea
unt urmtoarele:
Aceast sec iune analizeaz cteva dintre diferitele componente posibile, disponibile la
firma Cisco, precum i modul n care fiecare dispozitiv, precum sistemele firewall,
pot fi folosite pentru a juca rolul unei re ele VPN:
Sistemele firewall Sistemele firewall sunt vitale pentru securitatea re elei. n pre
zent, toate sistemele firewall Cisco accept combinarea re elelor VPN cu inspectarea
pachetelor n func ie de stare (SPI). Solu iile variaz ncepnd cu re elele VPN de tip lo
-la-loca ie bazate pe standarde care realizeaz un echilibru ntre standardele Interne
t Key Exchange (IKE) i IPSec pentru VPN. Sistemele firewall Cisco PIX cripteaz dat
ele folosind standardul DES (Data Encryption Standard) pe 56 de biti, Triple DES
(3DES) pe 168 de biti sau chiar criptarea AES (Advanced Encryption Standard) pe
256 de biti. Fiind un exemplu minunat de tehnologie, Cisco PIX Firewall combin t
raducerea NAT (Network Address Translation) dinamic, filtrarea pachetelor de serv
er proxy, un sistem firewall i func ii terminale VPN ntr-un singur echipament hardwa
re. Routere cu capacit i VPN Routerele Cisco pot fi modernizate pentru a avea capac
itatea de a folosi re ele VPN. Aceste modernizri vin sub una din urmtoarele forme, n
func ie de modelul de router n discutie: IOS, memorie sau hardware VPN dedicate. Se
pot ob ine func ii unice care ofer scalabilitate, direc ionare, securitate i calitatea
serviciilor (QoS). Folosind Cisco IOS Software, se ob ine un router potrivit pentr
u orice situa ie. Concentrator VPN ncorpornd cele mai avansate tehnici de criptare i
autentificare disponibile, concentratoarele Cisco VPN sunt construite special pe
ntru a crea re ele VPN cu acces de la distan , care asigur o disponibilatate ridicat, p
erforman ridicat i scalabilitate i include componente numite module de prelucrare sca
labil a criptrii (SEP scalable encryption processing), prin care se permite cretere
a capacit ii i volumul transferului. Concentratoarele VPN sunt construite pentru a s
atisface cerin ele re elelor VPN i sunt disponibile n module adecvate pentru orice, nce
pnd cu firme, de 100 utilizatori i pn la organiza ii de 10.000 utilizatori simultani d
e la distan . Software client Uor de instalat i operat, Cisco VPN Client stabilete tun
luri sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai
jos. Acest software de fine e, compatibil cu IPSec poate fi preconfigurat pentru i
nstalri comasate, iar deschiderile ini iale de sesiuni necesit o interven ie redus a ut
ilizatorului.
n func ie de tipul de re ea VPN (cu acces de la distan sau loca ie-la-loca ie ), trebuie
losite componente hardware specifice pentru a construi re eaua VPN. Totui lua i n cons
iderare i urmtoarele:
Fiabilitatea evident, dac un produs software sau hardware VPN nu este disponibil
atunci cnd ave i nevoie, pierde i din productivitate i, probabil din venituri. Scalabi
litatea pe msur ce afacerea unei companii se dezvolt, adesea se dezvolt i cerin ele
steia pentru tehnica de calcul. Pentru a extinde infrastructura VPN rapid i cu co
sturi reduse, este important s alege i o solu ie care ia n considerare scalabilitatea.
Ceea ce i dorete mai pu in un manager IT este s fie nevoit s o ia de la nceput i s
sc infrastructura VPN din cauza unei limitri n poten ialul de dezvoltare al acesteia.
Func ionarea re elelor VPN de tip IPSec IPSec a devenit standardul de facto pentru c
rearea re elelor VPN n industria re elelor. Mai mul i furnizori au implementat-o i, pent
ru c Internet Engineering Task Force (IETF) a devenit IPSec ntr-un document RFC, i
nteroperabilitatea dintre furnizori face din IPSec cea mai bun opera iune pentru co
nstruirea re elelor VPN. IPSec ofer un mijloc standard de stabilire a autentificrii i
a serviciilor de criptare, ntre participan ii la conexiune (peers). n cadrul aceste
i prezentri folosim pentru a ne referi la termenul peer dispozitivele care formez ca
petele unui tunel VPN. IPSec ac ioneaz n stratul re ea din modelul de referin OSI, prot
jnd i autentificnd pachetele IP dintre dispozitivele IPSec care particip (peers), cu
m sunt routerele Cisco sau sistemele firewall. IPSec ofer urmtoarele servicii de s
ecuritate a re elei:
IPSec protejeaz datele care trec prin re elele neprotejate, iar serviciile de secur
itate IPSec sunt oferite la nivelul stratului re ea. De aceea, nu trebuie s configu
ra i separat sta iile de lucru, PC-urile sau aplica iile. n loc s oferi i serviciile de s
curitate pe care nu aveti nevoie sa le instala i i s coordonati securitatea fiecrei a
plica ii i a fiecrui calculator n parte, pute i modifica infrastructura re elei pentru a
oferi serviciile necesare de securitate. Acest suport permite solu ii IPSec scalat
e pentru re elele de dimensiuni medii, mari i n dezvoltare, acolo unde este solicita
t o conexiune ntre mai multe dispozitive. IPSec ofer performan e de securitate, cum s
unt algoritmii mai buni de criptare i o autentificare mai cuprinztoare. Re elele de
companii conectate la Internet pot permite un acces VPN flexibil i sigur cu IPSec
. n cazul tehnologiei IPSec, clien ii pot construi re ele VPN prin Internet, avnd o pr
otec ie bazat pe criptare n fa a atacurilor de interceptare, de sustragere sau de alt
tip, care ptrund n comunica iile private. IPSec asigur servicii de autentificare i cri
ptare pentru protec i mpotriva vizualizrii sau modificrii neautorizate a datelor din
re eaua dumneavoastr sau n timpul transferului printr-o re ea neprotejat, cum este Inte
rnetul public. IPSec poate cripta date ntre diferite dispozitive, cum sunt:
sistem firewall ctre router; sistem firewall ctre sistem firewall; utilizator ctre
router; utilizator ctre sistem firewall; utilizator ctre concentrator VPN; utiliza
tor ctre server.
IPSec este o structur de standarde deschise, definite de organiza ia IETF. IPSec of
er securitatea transmisiei informa iilor confiden iale prin re elele neprotejate, cum e
ste Internetul. Figura 3 arat cele mai uzuale trei tipuri de re ele VPN.
Autentificarea i integritatea datelor Pentru a stabili adevrul, autentificarea ver
ific identitatea a dou puncte de capt VPN i a utilizatorilor ce transmit traficul pr
in re eua VPN. Un punct de capt ar putea fi un client VPN, un concentrator VPN, un
sistem firewall sau un router. Autentificarea este un proces ce ine de securitate
a IP i care are loc dup criptarea datelor i nainte de criptarea, la captul receptor
Este o func ie necesar n cadrul securit ii IP, prin care se asigur c ambele pr i,
ul i destinatarul, sunt cine pretind a fi. n cazul IPSec, fiecare participant treb
uie configurat manual cu o cheie partajat anterior *de obicei se convine asupra e
i n afara unei conexiuni i o list static de participan i valabili , crend astfel un
el mare n cadrul routerului, care necesit resurse de memorie. Integritatea datelor
este o alt func ie din IPSec. Integritate nseamn c pachetul primit de destinatar nu
fost modificat n timpul transmisiei. Acet lucru se realizeaz folosind un algoritm
hash ireversibil. Un algoritm hash ireversibil este echivalent cu o suma de con
trol criptat, dupa ce expeditorul cripteaz i autentific un pachet, algoritmul hash i
reversibil este rulat pe valoarea ntregului pachet. O valoare hash este interesan
t pentru c rezultatul acesteaia va avea ntotdeauna o dimensiune fix, indiferent de i
ntrare. Acesta este un alt mecanism de securitate, astfel ncat hackerii s nu poat ti
dimensiunea cmpului de intrare. Algoritmul hash ireversibil creeaz un cmp de cript
at anexat la mesaj. La captul receptor, valoarea hash ireversibil este extras din p
achet, iar
6
.
ex
ta
a
receptorul ruleaz propriul su algoritm hash. Deoarece algoritmul hash este rulat a
supra unor variabile din pachet, cum sunt ora transmiterii, numrul de octeti, etc
., ambele valori hash trebuie s fie aceleai, acest lucru nsemnnd c pachetul nu a fost
viciat. Dac valorile sunt diferite, pachetul este respins, iar IPSec renegociaz p
arametrii securit ii. Transmiterea datelor prin tunel Re elele VPN se bazeaz pe transm
iterea prin tunel pentru a crea o re ea privat n Internet. n esen , acesta este procesu
de preluarea a unui pachet ntreg de date i de ncapsulare a lui n cadrul altui pache
t, nainte de a-l trimite prin re ea, re eaua trebuie s n eleag protocolul pachetului di
xterior, pentru ca acesta s intre i s iasa din re ea. Crearea unui tunel necesit func i
narea a trei protocoale diferite:
Transmisiunea prin tunel func ioneaza bine cu re elele VPN, deoarece se pot folosi p
rotocoale care nu sunt acceptate n Internet n cadrul unui pachet IP i acesta poate
s fie transmis n siguran n continuare. La nceputul unei transmisiuni VPN prin tunel,
n pachet de date de la o surs LAN este nglobat sau ncapsulat cu informa ii noi de ant
et, care permit re elelor intermediare s-l recunoasc i s-l livreze. Dup acest opera i
p ce transmisiunea este ncheiat, antetul protocolului pentru tunel este ndeprtat, iar
pachetul original este transferat n re eaua LAN de destina ie, pentru a fi livrat. D
ei transmisia prin tunel permite datelor s fie purtate prin re ele ale unor ter e prti,
acesta nu poate asigura singur protec ia datelor. Pentru a proteja o transmisie pr
in tunel n fa a oricrui tip de interceptare i sustragere, ntregul trafic prin re elele
PN este criptat. n plus, re elele VPN con in func ii suplimentare, precum sisteme firew
all de la periferie. n re elele VPN de tip loca ie-la-loca ie, protocolul de ncapsulare
este de obicei IPSEc sau ncapsularea cu direc ionare genetica (GRE). GRE con ine info
rma ii despre tipul de pachet ncapsulat i despre conexiunea dintre client i server. D
iferen a depinde de nivelul de securitate necesar pentru conexiune, securitatea fi
ind mai mare cu IPSec, iar GRE avnd o mai mare func ionalitate. IPSEc poate crea tu
neluri i poate cripta pachete IP, pe cnd GRE poate crea tuneluri pentru pachete IP
i pentru pachete care nu sunt IP.
7
Cnd trebuie s fie transmise prin tunel, pachetele care nu sunt IP (precum IPX), IP
Sec i GRE ar trebui folosite mpreun. Moduri de criptare IPSec are dou moduri de crip
tare, tunel i transport. Fiecare mod difer prin aplica iile sale i prin cantitatea de
informa ii adugate n antetul pachetului pasager. Aceste moduri diferite de operare
sunt rezumate astfel: modul tunel cripteaz antetul pachetului i segmentul de date
utile al fiecrui pachet, pe cnd modul transport cripteaz doar segmentul cu datele u
tile. Modul tunel Aceasta este metoda normal prin IPSec, este implementat ntre dou
sisteme PIX Firewall (sau alte por i de securitate) care sunt conectate printr-o r
e ea lipsit de ncredere, cum este Internetul public. ntreaga prezentare legat de IPSEc
implic modul tunel. Modul tunel ncapsuleaz i protejeaz un pachet IP complet. Deoarec
e ncapsuleaz sau ascunde pachetele pentru a fi transmise n continuare cu succes, ch
iar routerele de criptare posed adresele IP folosite n aceste antete noi. Modul tu
nel poate fi folosit cu oricare dintre portocoalele ESP (Encapsulating Security
Protocol protocol de securitate cu ncapsulare) i AH (Authentication Header antet d
e autentificare) sau cu amndou. Folosirea modului tunel duce la o cretere supliment
ar a pachetului, cu aproximativ 20 de octe i asocia i la antetul IP, cci trebuie s se a
dauge un antet IP nou la pachet. Modul transport Aceast metod de implementare a te
hnologiei IPSec este aplicat mai ales cu protocolul L2TP pentru a permite autenti
ficarea clien ilor VPN Windows 2000 afla i la distan . n modul tunel, IPSec cripteaz nt
ul pachet i scrie un nou antet IP n pachet, ceea ce mascheaz informa iile despre surs
a ini ial i destinatar. Modul tunel este evident mai sigur dect modul transport, deoa
rece ntregul pachet ini ial este criptat, nu numai segmentul de date propriu-zis ca
n modul transport. Protocoalele din standardul IPSec IPSec foloseste trei protoc
oale complementare care, atunci cnd sunt folosite mpreun, formeaz un cadru unit i pro
tejat, bazat pe standarde, ideal pentru re ele VPN. Cele trei protocoale descrise n
standardele IPSEc sunt urmtoarele:
Internet Key Exchange (IKE schimbul de chei n Internet) Con ine negocierea, autenti
ficarea unui participant, managementul cheilor i schimbul de chei. Fiind un proto
col bidirec ional, IKE ofer un canal de comunicare protejat ntre dou dispozitive care
negociaz un algoritm de criptare, un algorim hash, o metod de autentificare i oric
e informa ie relevant de grup. Folosete schimbul de chei bazat pe algoritmi Diffie-H
ellman, iar administratorii de re ea pot lega bine protocolul IKE de sistemele de
gestionare a politicilor. Pentru a mpiedica un atac de tipul intrus (man-in-the-mid
dle) cnd un atacator sustrage pachete din re ea, le modific i le insereaz napoi n r
protocol Diffie-Hellman de fortificare, numit Station-to-Station (STS sta ie-la-s
ta ie), permite ca dou dispozitive aflate ntr-un schimb Diffie-Hellman s se autentifi
ce unul pe cellalt folosind semnturi digitale i certificate cu chei publice.
9
Protocolul Internet Key Exchange (IKE) Aceast sec iune descrie protocolul Interbet
Key Exchange (IKE) i modul de func ionare a acestuia mpreun cu IPSec pentru a realiza
re ele VPN mai scalabile. IKE este un protocol hibrid care folosete o parte din pr
otocolul Oakley i o parte dintr-o alt suit de protocoale numit Secure Key Exchange M
echanism (SKEME) , n cadrul format de Internet SecurityAssociation and Key Manage
ment Protocol (ISAKMP protocolul de asociere pentru securitatea i managementul ch
eilor n Internet). IKE stabilete o politic de securitate partajat i autentific chei p
ntru serviciile care necesit chei (cum este IPSec). nainte ca un trafic IPSec oare
care s fie admis, fiecare router/sistem firewall/gazd trebuie s poata verifica iden
titatea celuilat participant. Acest lucru se poate face manual. Prin introducere
a cheilor pre-partajate n ambele gazde, cu serviciul Certification Autorithy (CA
autoritatea de certificare) sau cu sistemul DNS protejat (DNSSec) . IKE este pro
tocolul cunoscut anterior sub numele ISAKMP/Oakley, definit n RFC 2409.
10
IKE este un protocol folosit de IPSec pentru a realiza faza 1. IKE negociaz i aloc
asocieri de securitate (SA) pentru fiecare participant IPSec, care ofer un canal
sigur pentru negocierea IPSec SA n faza 2. IKE aduce urmtoarele avantaje:
Elimin necesitatea specificrii manuale a tuturor parametrilor de securitate IPSec
la ambii participan i; Permite specificarea unei durate de via a asocierilor de secu
ritate IPSec; Permite modificarea cheilor de criptare n timpul sesiunilor IPSec;
Permite tehnicii IPSec s ofere servicii mpotriva relurii pachetelor; Activeaz servic
iul CA pentru a implementare IPSec controlabil i scalabil; Permite autentificarea d
inamic a participan ilor;
Negocierile IKE trebuie s fie protejate i de aceea fiecare negociere IKE ncepe prin
acordul dintre participan i asupra unei politici IKE comune (partajate). Aceast po
litica stabilete parametri de securitate care vor fi folosi i pentru a proteja nego
cierile IKE urmtoare. Dac exist un acord al celor doi participan i asupra unei politi
ci, o asociere de participare stabilit la fiecare participant identific parametri
de securitate ai politicii i acestei asocieri SA se aplic, pe durata negocierii, nt
regului trafic IKE care urmeaz. Protocolul ISAKMP Protocolul ISAKMP (Internet Sec
urity Association and Key Management Protocol protocolul de asociere pentru secu
ritatea i managementul cheilor n Internet ) este un cadru care definete mecanismele
de implementare a protocolului de schimb al cheilor i negocierea unei politici d
e securitate. ISAKMP este folosit pentru schimburile protejate att de parametri S
A, ct i de chei private, ntre participan ii dintr-un mediu IPSec, precum i la crearea
controlul cheilor. ISAKMP ofer mai multe metode de control al cheilor i un tranzi
t protejat al parametrilor IPSec ntre participan i. Acest lucru este realizat folos
ind algoritmi similari cu cei folosi i de IPSec pentru criptarea propriu-zis a date
lor din segmentul de date. Ca i IPSec, ISAKMP nu este un protocol ci o simpl inter
fa de control a diferitelor metode de schimb dinamic al cheilor. ISAKMP definete di
ferite metode cum ar fi semntura digital, certificatele i algoritmii hash ireversib
ili pentru a se asigura c negocierea asocierilor de securitate ntre participan i se
desfasoar n siguran . n prezent, singurul protocol acceptat din ISAKMP este protocolul
Internet Key Exchange (IKE). Cnd IKE este folosit activ n procesul de criptare, d
evin disponibile multe func ii pentru procesul de comunicare IPSec. Folosind cript
area cu chei publice, IKE negociaz parametri de securitate i schimburile de chei na
inte chiar ca prelucrarea IPSec s nceap. Cum func ioneaz IPSec Sarcina principal pe ca
e o are IPSec este s permit schimbul de informa ii private printr-o conexiune neprot
ejat, negociind conexiunea i oferind cheile ntr-un mod sigur.
11
IPSec folosete criptarea pentru a proteja informa iile mpotriva interceptrilor sau in
discre iilor. Totui, pentru a folosi eficient criptarea, ambele pr i trebuie s partajez
e o cheie secret (parol) utilizat att pentru criptarea, ct i pentru decriptarea infor
a iilor cnd acestea intr i ies din tunelul VPN. IPSec folosete IKE pentru a stabili le
gtura sigur, astfel nct s se formeze re eaua VPN i conexiunile de date. n mare, secv
evenimente pentru o tranzac ie IPSec este urmtoarea: 1. Unul dintre participan ii IP
Sec primete sau genereaz un trafic de interes pe o interfa care a fost configurat s i
i ieze un tunel IPSec pentru acel trafic de interes. 2. Modul principal sau modul
agresiv de negociere care folosete IKE are ca rezultat crearea unei asocieri IKE
de securitate (SA) ntre cei doi participan i IPSec. 3. Negocierea n modul rapid, car
e folosete IKE, are ca rezultat crerea a dou asocieri IPSec, de securitate ntre doi
participan i IPSec. 4. Datele ncep s treac printr-un tunel criptat o examinare supli
mentar. IPSec func ioneaz n dou faze majore pentru a permite schimbul confiden ial al u
ei chei secrete partajate, asa cum este prezentat n sec iunile care urmeaz. IKE Faza
1 Faza 1 din protocolul IKE se ocup de negocierea parametrilor de securitate nec
esari pentru a stabili un canal protejat ntre doi participan i IPSec. Faza 1 este, n
general implementat prin protocolul IKE i se ocup mai ales de stabilirea suitei de
protec ie pentru mesajele IKE. Secven a de evenimente din faza 1 este urmtoarea: 1.
Faza 1 const n crearea asocierii de securitate ISAKMP, n care participan ii negociaz i
convin parametri pentru asocierea IPSec urmtoare. Dup ce se termin faza 1 i este sta
bilit un canal sigur ntre participan i, IKE trece la faza 2. 2. Dac participantul IP
Sec nu poate face schimbul IKE pute i folosi configurarea manual cu chei pre-partaj
ate pentru a ncheia faza 1. Func ionarea fazei 1 din protocolul IKE are dou moduri d
e operare: modul agresiv i modul principal. Modul agresiv elimin mai multe etape d
in autentificarea IKE reducndo la doar trei etape, pe cnd modulul principal foloset
e toate cele patru etape de autentificare. Dei este mai rapid, modul agresiv este
considerat mai pu in sigur dect modul principal, din motive evidente. Dispozitivel
e Cisco folosesc implicit, dar vor rspunde i participan ilor care folosesc modul agr
esiv. IKE Faza 2 Faza 2 din protocolul IKE prelungete securitatea conexiunii folo
sind tunelul sigur stabilit n faza 1 spre a face schimbul de parametri suplimenta
ri necesari pentru a transmite efectiv datele (vezi figura 8).
12