SECURITATEA N REELELE VPN WIRELESS PRIN

SSL VPN
SECURE WIRELESS VPN NETWORKS THROUGH
SSL VPN
Ing. Simona CONSTANTIN
*Institutul Naional de Studii i Cercetare n Comunicaii

Rezumat:
Lucrarea trateaz problema securitii atunci cnd sunt implementate i folosite reele VPN wireless, i
confidenialitatea datelor, criptarea traficului, fiabilitate, autentificare, certificate de ncredere, etc.. Securitatea
VPN este atins prin protejarea traficului cu metode de criptare moderne i puternice, cu tehnici de autentificare
sigure i cu firewall-uri care s controleze traficul ce intr i ce iese prin tunele.
Cuvinte cheie: securitate, VPN, SSL / TSL, reele wireless
Abstract:
The paper addresses the issue of security when implemented and used wireless VPNs, and data
confidentiality, traffic encryption, reliability, authentication, trusted certificates, etc.. VPN security is achieved by
protecting the trafficking of modern encryption methods and strong, reliable authentication techniques and firewalls
to control traffic that enters and exits through the tunnels.
Key words: security, VPN, SSL / TSL, wireless networks

Una dintre cele mai mari probleme atunci cnd sunt implementate i folosite reele
wireless, este securizarea acestora.
Cu att mai mult se pune problema securitii atunci cnd este vorba despre o reea
VPN wireless deoarece fr securitate o reea VPN nu mai este privat.
Aadar, la nceput, se vor considera caracteristicile de baz ale securitii i msurile ce
trebuie luate ntr-o companie.
Pentru a securiza o reea trebuie atinse trei eluri:
- confidenialitate prin care se nelege c datele transferate trebuie s fie accesate
doar de persoanele autorizate;
- fiabilitate (integritate) datele transferate nu trebuie s fie modificate ntre
transmitor i receptor;
- disponibilitate datele transferate trebuie s fie disponibile la cerere.
Toate acestea pot fi realizate prin folosirea unui software, hardware i a unui ISP de
ncredere ct i a politicilor de securitate. O politic de securitate definete responsabiliti,
proceduri standard i scenarii de recuperare i management al dezastrelor pentru a aciona
pregtit n cazul celei mai rele situaii.
Prin contientizarea pagubelor maxime i a costurilor celei mai mari catastrofe posibile
poate oferi o idee asupra efortului necesar ce trebuie depus n ceea ce privete securitatea.
Securitatea VPN este atins prin protejarea traficului cu metode de criptare moderne i
puternice, cu tehnici de autentificare sigure i cu firewall-uri care s controleze traficul ce intra i
ce iese prin tunele. Dar, doar criptarea traficului nu este ndeajuns.
 Confidenialitatea Criptarea Traficului
De cele mai multe ori, parolele i cheile de criptare sunt folosite pentru a cripta datele.
Atunci cnd ambele terminale folosesc aceeai cheie pentru a cripta i decripta datele, criptarea
se numete simetric. n acest caz cheia de criptare trebuie s se gseasc pe toate terminalele ce
vor lua parte la conexiunea VPN[1].

Criptarea simetric i cheile prestabilite

Oricine deine aceast cheie poate decripta traficul. Dac aceasta ajunge pe minile unui
atacator, acesta poate decripta tot traficul i astfel compromite ntregul sistem implicat n VPN,
pn cnd acesta primete o nou cheie. Mai mult, o astfel de cheie static i prestabilit poate fi
ghicit, descifrat sau spart prin atacuri brutale. Este o chestiune de timp pn cnd un atacator
va descoperi cheia i va accesa datele, sau n cel mai ru caz le va modifica (fig. 1)[1].

Fig. 1 Criptarea i decriptarea cu cheie prestabilit

Aadar, software VPN cum este IPSec-ul schimb aceste chei la intervale definite.
Cheile sunt valide doar pe o anumit perioad de timp, acest interval de timp poart numele de
timp de via al cheii.
O combinaie bun ntre timpul de via i lungimea cheii asigur imposibilitatea
atacatorului s decripteze cheia atta timp ct ea este valid.
De asemenea, dac software-ul VPN schimba n permanen cheile, trebuie s se
foloseasc o metod de a interschimba cheile ntre utilizatorii reelei private de comunicaii,
astfel nct toi utilizatorii s foloseasc aceeai cheie de criptare n acelai timp. n acest punct,
se folosesc aceleai principii, deoarece i acest schimb de chei trebuie s fie securizat. De-a
lungul timpului s-au dezvoltat multe soluii n ceea ce privete acest schimb de chei, dar
majoritatea s-au dovedit insuficient de sigure. Acest proces de interschimbare sporete
complexitatea software-ului VPN.
IPsec, tehnologia VPN cea mai frecvent utilizat, folosete protocolul propriu pentru
schimbul cheilor de criptare. Acest protocol se numeste interschimbarea cheilor de Internet (IKE
- Internet Key Exchange), este n dezvoltare nc de la mijlocul anilor nouzeci i nu este nc
terminat. Chiar dac IKE pare a avea unele probleme de securitate, este folosit (cu IPsec) n
multe companii.
Fiabilitate i autentificare
Un alt pericol sunt atacurile provocate de oameni, de asemenea, cunoscute sub
denumirea de eavesdropping[1]. n acest scenariu, un hacker intercepteaza tot traficul de date
ntre expeditor i receptor, l copiaz i l transmite ctre destinaia sa adevrat. Att
expeditorul ct i receptorul nu ar observa c datele sunt interceptate. Interceptorul poate stoca,
copia, analiza, i poate chiar modifica traficul de date capturat. Acest lucru este posibil n cazul
n care atacatorul poate intercepta i decripta cheile n timp ce acestea sunt utilizate pentru
criptare.
Problema complexitii n VPN-urile clasice
Cu VPN-urile clasice care utilizeaz cheile simetrice, exist mai multe straturi de
autentificare, de schimb de chei de criptare, i de criptare / decriptare. Urmtoarele sunt primele
trei etape ale VPN-ului cu criptare simetric (fig. 2):

Fig. 2 Primele trei etape ale unui VPN cu criptare simetric

1. Utilizatorii trebuie s se autentifice reciproc.

2. Ei trebuie s fie de acord cu privire la metodele de criptare.
3. Apoi, ei trebuie s cad de acord asupra metodelor de interschimbare a cheii folosite.
Acesta este motivul pentru care tehnologia VPN este adesea cunoscut drept complex
i dificil. Mai sus a fost descris mai mult sau mai puin modul de baz prin care mai multe
soluii VPN moderne funcioneaz.

Criptare Asimetric cu SSL / TLS

SSL / TLS utilizeaz una dintre cele mai bune tehnologii de criptare numit criptare
asimetric pentru a asigura identitatea utilizatorului VPN. Ambii utilizatori de criptare dein cte
dou chei fiecare: una public i alta privat. Cheia public este predat participanilor la
comunicare, care cripteaz datele cu ea[2]. Din cauza algoritmului matematic selectat pentru a
creea perechea de chei publice/private, doar cheia privat a destinatarului poate decripta datele
codificate de cheia sa public.
Cheile private trebuie s fie inute secrete i cheile publice trebuie s fie interschimbate.
Procedura poate fi folosit n scopuri de autentificare: un utilizator trimite un numr
mare aleatoriu ctre alt utilizator, unde acest numr este codificat cu cheia privat i trimis
inapoi. Primul utilizator poate folosi cheia public a celui de al doilea utilizator pentru a decoda
numrul. n cazul n care numrul trimis i cel decriptat se potrivesc, atunci expeditorul trebuie
s fie titularul cheii private i astfel autentificarea este realizat. Aceasta se numete semntur
digital.

Securitate SSL / TLS

Biblioteca SSL / TLS poate fi utilizat n scopuri de autentificare i criptare. Aceast
bibliotec face parte din Software-ul OpenSSL care este instalat pe orice sistem de operare
modern. Dac sunt disponibile, autentificarea i criptarea pe baz de certificat SSL / TLS ar
trebui s fie ntotdeauna prima alegere pentru orice tunel VPN.
SSL, de asemenea, cunoscut sub numele de TLS, este un protocol iniial conceput de
Netscape Communications Corporation pentru a se asigura autenticitatea i integritatea datelor
pentru Internetul n cretere rapid din anii 1990[2]. Oricine folosete un browser modern poate
participa la comunicaii criptate. SSL / TLS este o tehnologie remarcabil care este utilizat
peste tot Web-ul pentru servicii bancare, e-commerce, sau orice alt aplicaie n care
confidenialitatea i securitatea sunt necesare. Acesta este n mod constant controlat, depanat,
testat i mbuntit att de dezvoltatorii open-source ct i de multe companii.
Adresele URL care ncep cu https:// n loc de http://, semnific o conexiune criptat.
Dac se acceseaz un site web criptat cu https:// pentru prima dat, trebuie validat un certificat
SSL. De obicei, browser-ul face acest lucru atunci cnd certificatul este de ncredere.

Certificate SSL / TLS

Prin acceptarea unui certificat, browser-ul este instrucionat s aib ncredere n site-ul
care a furnizat certificatul i c utilizatorul este de acord s foloseasc acest certificat pentru
criptarea comunicaiei cu acest server.

Certificate de ncredere
Certificatul SSL conine mai multe informaii. Informaiile despre destinatar i emitent
sunt probabil cele mai importante. Dac n certificat se gsesc informaii ce prezint o
organizatie de ncredere, atunci accesarea ar trebui s se poat face n condiii de siguran i
astfel s se aib ncredere n acest certificat.
Fiecare browser care are activat TLS-ul conine o list a organizaiilor de ncredere care
au dreptul s semneze certificatele i cheile necesare pentru a confirma acest lucru.
Aceast aa-numit schem de autentificare de ter parte este destul de comun astzi.
Crile de identitate i paapoartele pe care le folosim astzi acioneaz n acelai fel, autoritile
garantnd c titularul este cine pretinde a fi. Aceast informaie este valabil numai pentru o
anumit perioad de timp. Aproape fiecare persoan, societate, sau organizaie se bazeaz pe
aceste informaii. Aceste principii sunt, de asemenea, puse n aplicare n mai multe mecanisme
de autentificare moderne, cum ar fi Kerberos sau SSL/TLS.
 Certificate Auto-semnate
De asemenea, este posibil s se utilizeze certificate care nu sunt semnate de ctre
autoritile menionate mai sus, ci de ctre o autoritate de certificat local (Certificat Authority -
CA).
n viaa real, n cazul n care dou persoane se cunosc fiind prezentai unul altuia de
ctre un prieten comun, atunci tendina este de a avea ncredere ntre ei pur i simplu datorit
recomandrii unul altuia de ctre o persoan de ncredere. Dar cineva nu ar avea ncredere n
cineva necunoscut. Dac se intr pe un site cu un certificat care este semnat numai de ctre un
CA local, se va afia urmtorul avertisment ca n figura 3[1]:
Acest avertisment avertizeaz c nu este cunoscut emitentul acestui certificat i nici nu
este cunoscut cineva care garanteaz identitatea emitentului.

Fig. 3 Avertisment

Fiecare client SSL/TLS ofer o avertizare atunci cnd un client dorete s stabileasc o
conexiune criptat cu un certificat privat nesemnat.
Certificatele auto-semnate sunt adesea folosite n scopuri de testare sau n reele locale,
deoarece nregistrarea (semnarea) certificatelor de ctre autoritile de certificare este
costisitoare i nu este necesar n multe scenarii. Cu toate acestea, politica de securitate a unei
companii ar trebui s conin definiii cu privire la utilizarea certificatelor semnate i nesemnate
pe servere.

Certificate SSL / TLS i VPN-uri

Certificatele SSL/TLS se folosesc exact n acelai mod ca i VPN-urile este definit
sau creat o autoritate de certificare i toate certificatele valabile eliberate de ctre aceast
autoritate sunt acceptate pentru VPN. Fiecare client trebuie s aib un certificat valabil, eliberat
de acest CA i astfel i este permis s stabileasc o conexiune la VPN.
O list de revocare a certificatelor (CRL) poate fi folosit pentru a revoca certificatele
care aparin clienilor crora nu le mai este permis s se conecteze la VPN. Acest lucru poate fi
realizat fr configurarea pe nici un client, pur i simplu, prin crearea pe server a unei liste
corespunztoare de revocare. Acest lucru este foarte util atunci cnd un laptop este furat sau
accesat neautorizat.
O organizaie ce folosete o cheie prestabilit trebuie s introduc aceast cheie pe
fiecare sistem cu care se conecteaza la serverul VPN. Cheia trebuie s fie schimbat pe toate
sistemele n cazul n care un sistem sau o cheie sunt pierdute. Dar, dac se folosesc certificate cu
liste de revocare, tot ce trebuie fcut este s se treac certificatul de pe sistemul furat sau
compromis pe CRL-ul serverului. Atunci cnd acest client ncearc s se conecteze la server,
accesul va fi interzis.
Conexiunile sunt refuzate n cazul n care[1]:
Nu este prezentat nici un certificat,
Este prezentat un certificat de la un CA greit,
Este prezentat un certificat revocat.
Aceste certificate pot fi utilizate n scopuri multiple. HTTPS i OpenVPN sunt doar
dou aplicaii cu o varietate bogat de posibiliti. Alte sisteme VPN (cum ar fi IPsec), servere
de web, servere de mail, i aproape fiecare alt aplicaie server poate utiliza aceste certificate
pentru a autentifica clientii. Dac aceast tehnologie este neleas i aplicat n mod corect,
atunci s-a atins un grad foarte ridicat de securitate.

Bibliografie

[1] Markus Feilner Open VPN Building and Integrating Virtual Private Networks, Packt
Publishing, BIRMINGHAM MUMBAI 2006
[2] ***http://sslvpnbook.packtpub.com/

Acronime folosite n lucrare

Acronime Semnificaia n limba englez Echivalentul propus n limba romn

CA Certificate Authorities Autoriti de certificare

CRL Certificate Revocation List List de revocare a certificatelor
HTTP Hypertext Transfer Protocol Protocol de transfer hipertext
HTTPS Hypertext Transfer Protocol Protocol de transfer hipertext securizat
Secure
IKE Internet Key Exchange Interschimbarea cheilor de internet
IPSEC Internet Protocol SECurity Securitate IP
SSL Secure Sockets Layer Sevuritate la nivel de socket
TSL Transport Layer Security Securitate la nivelul transport
VPN Virtual Private Network Reea Vitrual Privat