REELE VIRTUALE PRIVATE

Standardul IPSec

ndrumtor: Autori:

Prof.Dr.Victor-Valeriu PATRICIU Slt. Voicea Sergiu

Slt. Constantin Marian

2006
 Cuprins:

1. Introducere .......................................................................................... - 3 -
2. Tipuri de VPN. Utilizri ale VPN-urilor ................................................. - 5 -
3. Cerine de baz pentru VPN-uri .......................................................... - 8 -
4. Soluii pentru implementarea VPN ...................................................... - 9 -
5. Metode de transmisie prin VPN .......................................................... - 10 -
6. Componente VPN ............................................................................... - 10 -
7. Protocoale de tunelare ........................................................................ - 14 -
8. Securitatea VPN .................................................................................. - 16 -
9. Standardizarea reelelor VPN Standardul IPSec .............................. - 18 -
10. Principalele avantaje ale reelelor virtuale private .............................. - 23 -

Bibliografie ................................................................................................ - 25 -

-2-
1. Introducere

O Reea Privat Virtual (VPN - Virtual Private Network) conecteaz

componentele i resursele unei reele private prin intermediul unei reele
publice. Altfel spus, o reea virtual privat este o reea a companiei
implementat pe o infrastructur comun, folosind aceleai politici de
securitate, management i performan care se aplic de obicei ntr-o reea
privat. Practic, tehnologia reelelor private virtuale permite unei firme s-i
extind prin Internet, n condiii de maxim securitate, serviciile de reea la
distan oferite utilizatorilor, reprezentanelor sau companiilor partenere.
Avantajul este evident: crearea unei legturi de comunicaie rapid, ieftin i
sigur.
Tehnologiile VPN ofer o cale de a folosi infrastructurile reelelor publice
cum ar fi Internetul pentru a asigura acces securizat i privat la aplicaii i
resurse ale companiei pentru angajaii din birourile aflate la distan sau cei
care lucreaz de acas, pentru partenerii de afaceri i chiar pentru clieni.

Figura 1. VPN (Reea Privat Virtual)

O reea VPN poate fi realizat pe diverse reele de transport deja

existente: Internetul public, reeaua furnizorului de servicii IP, reele Frame
Relay i ATM. Astzi, tot mai multe VPN-uri sunt bazate pe reele IP.
Tehnologia VPN folosete o combinaie de tunneling, criptare,
autentificare i mecanisme i servicii de control al accesului, folosite pentru a
transporta traficul pe Internet, o reea IP administrat, sau reeaua unui
furnizor de servicii.

Cum funcioneaz VPN ?

VPN permite utilizatorilor s comunice printr-un tunel prin Internet sau
o alt reea public n aa fel nct participanii la tunel s se bucure de
aceeai securitate i posibiliti puse la dispoziie numai n reelele private.

-3-
 Pentru a utiliza Internetul ca o reea privat virtual, de tip WAN (Wide
Area Network), trebuie depite dou obstacole principale. Primul apare din
cauza diversitii de protocoale prin care comunic reelele, cum ar fi IPX sau
NetBEUI, n timp ce Internetul poate nelege numai traficul de tip IP. Astfel,
VPN-urile trebuie s gseasc un mijloc prin care s transmit protocoale non-
IP de la o reea la alta.Cnd un dispozitiv VPN primete o instruciune de
transmitere a unui pachet prin Internet, negociaz o schem de criptare cu
un dispozitiv VPN similar din reeaua destinaie Datele n format IPX/PPP sunt
trecute n format IP pentru a putea fi transportate prin reeaua
mondial. Al doilea obstacol este datorat faptului c pachetele de date prin
Internet sunt transportate n format text. n consecin, oricine poate vedea
traficul poate s i citeasc datele coninute n pachete. Aceasta este cu
adevrat o problem n cazul firmelor care vor s comunice informaii
confideniale i, n acelai timp, s foloseasc Internetul. Soluia la aceste
probleme a permis apariia VPN i a fost denumit tunneling.
n loc de pachete lansate ntr-un mediu care nu ofer protecie, datele sunt
mai nti criptate, apoi ncapsulate n pachete de tip IP i trimise printr-un
tunel virtual prin Internet.
Din perspectiva utilizatorului, VPN este o conexiune punct-la-punct ntre
calculatorul propriu i serverul corporaiei (figura 2).

Figura 2. Reea Privat Virtual - Echivalent logic

Confidenialitatea informaiei de firm care circul prin VPN este

asigurat prin criptarea datelor. n trecut, reelele private erau create folosind
linii de comunicaie nchiriate ntre sedii. Pentru a extinde acest concept la
Internet, unde traficul mai multor utilizatori trece prin aceeai conexiune, au
fost propuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite
expeditorului s ncapsuleze datele n pachete IP care ascund infrastructura
de rutare i comutare a Internetului la ambele capete de comunicaie. n
acelai timp, aceste pachete ncapsulate pot fi protejate mpotriva citirii sau
alterrii prin diverse tehnici de criptare.

-4-
 Tunelurile poat avea dou feluri de puncte terminale, fie un calculator
individual, fie o reea LAN cu un gateway de securitate - poate fi un ruter sau
un firewall. Orice combinaie a acestor dou tipuri de puncte terminale poate
fi folosit la proiectarea unei reele VPN.
n cazul tunelrii LAN-to-LAN, gateway-ul de securitate al fiecrui punct
terminal servete drept interfa ntre tunel i reeaua privat LAN. n astfel
de cazuri, utilizatorii ficecrui LAN pot folosi tunelul n mod transparent
pentru a comunica unii cu alii.
Cazul tunelului client-to-LAN, este cel stabilit de regul pentru
utilizatorul mobil care dorete s se conecteze la reeaua local a firmei.
Pentru a comunica cu reeaua de firm, clientul (utilizatorul mobil), iniiaz
crearea tunelului. Pentru aceasta, clientul ruleaz un software client special,
care comunic cu gateway-ul de protecie al reelei LAN.

De ce VPN-uri?
Mediul de afaceri este n continu schimbare, multe companii
ndreptndu-i atenia spre piaa global. Aceste firme devin regionale,
multinaionale i toate au nevoie stringent de un lucru: o comunicaie rapid,
fiabil i sigur ntre sediul central, filiale, birouri i punctele de lucru, adic
de o reea WAN (de arie larg).
O reea WAN tradiional presupune nchirierea unor linii de
comunicaie, de la cele ISDN (128/256Kbps) la cele de fibr optic OC-3 (155
Mbps) care s acopere aria geografic necesar. O astfel de reea are avantaje
clare fa de una public, cum este Internetul, cnd vine vorba de fiabilitate,
performan i securitate. Dar deinerea unei reele WAN cu linii nchiriate
este de-a dreptul scump, proporional cu aria geografic acoperit.
O dat cu creterea popularitii Internetului, companiile au nceput s
i extind propriile reele. La nceput au aprut intraneturile, care sunt situri
protejate prin parol, destinate angajailor companiei. Acum, multe firme i-au
creat propriile VPN-uri pentru a veni n ntmpinarea cerinelor angajailor i
oficiilor de la distan.
Un VPN poate aduce multe beneficii companiei: extinde aria geografic
de conectivitate, sporete securitatea, reduce costurile operaionale, crete
productivitatea, simplific topologia reelei, ofer oportuniti de lucru ntr-o
reea global, asigur suport pentru tendina afacerilor spre operare de la
distan, operaii distribuite global i operaii de parteneriat foarte
interdependente, n care lucrtorii trebuie s se poate conecta la resursele
centrale, s comunice unul cu altul, iar firmele trebuie s-i administreze
eficient stocurile pentru un ciclu de producie scurt.

2. Tipuri de VPN. Utilizri ale VPN-urilor

La ora actul exist 3 tipuri principale de VPN-uri:

-5-
 - VPN-urile cu acces de la distan (Remote Access VPN) permit
utilizatorilor dial-up s se conecteze securizat la un site central printr-o reea
public. Acestea mai sunt numite i "dial" VPN-uri.
- VPN-urile intranet (Intranet VPN) permit extinderea reelelor private
prin Internet sau alt serviciu de reea public ntr-o manier securizat.
Acestea sunt denumite i VPN-uri "site-to-site" sau "LAN-to-LAN".
- VPN-urile extranet (Extranet VPN) permit conexiuni securizate ntre
partenerii de afaceri, furnizori i clieni, n general n scopul realizrii
comerului electronic. VPN-urile extranet sunt o extensie a VPN-urilor intranet
la care se adaug firewall-uri pentru protecia reelei interne.

Figura 3. Tipuri de VPN

Toate aceste reele virtuale private au rolul de a oferi fiabilitatea, performana i securitatea mediilor
WAN tradiionale, dar cu costuri mai sczute i conexiuni ISP (Internet Service Provider) mult mai
flexibile. Tehnologia VPN poate fi folosit i ntr-un intranet pentru a asigura securitatea i controlul
accesului la informaii, resurse sau sisteme vitale. De exemplu, se poate limita accesul anumitor
utilizatori la sistemele financiare din companie sau se pot trimite informaii confideniale n manier
securizat.

Remote Access VPN permite conectarea individual (utilizatori

mobili) sau a unor birouri la sediul central al unei firme, aceasta realizndu-se
n cele mai sigure condiii.

-6-
 Figura 4. Remote Access VPN

Exist dou tipuri de conexini VPN de acest fel:

1) Conexiune iniiat de client - Clienii care vor s se conecteze la
site-ul firmei trebuie s aib instalat un client de VPN, acesta asigurndu-le
criptarea datelor ntre computerul lor i sediul ISP-ului. Mai departe
conexiunea cu sediul firmei se face de asemenea n mod criptat, n concluzie
ntregul circuit al informaiei se face n mod criptat. Trebuie precizat c n
cazul acestui tip de VPN sunt folosii o multitudine de clieni de VPN. Un
exemplu este Cisco Secure VPN dar i Windows NT sau 2000 au integrat
clieni de VPN. Figura 5 schematizeaz acest tip de Access VPN :

Figura 5. Acces de la distan iniiat de client

2) Access VPN iniiat de serverul de acces acest tip de

coonexiune este ceva mai simpl pentru c nu implic folosirea unui client de
VPN. Tunelul criptat se realizeaz ntre server-ul de acces al ISP-ului i sediul
firmei la care se vrea logarea. ntre client i server-ul de acces securitatea se
bazeaz pe sigurana liniilor telefonice (fapt care uneori poate fi un
dezavantaj).

-7-
 Figura 6. Acces de la distan iniiat de server-ul de acces

Intranet VPN permite conectarea diferitelor sedii ale unei firme

folosind legturi dedicate (permite realizarea unor medii client-server foarte
performante prin utilizarea conexiunilor dedicate care pot s ating rate de
transfer foarte bune). Diferena fat de Remote Access VPN const n faptul c
se folosesc legturi dedicate cu rata de transfer garantat, fapt care permite
asigurarea unei foarte bune calitai a transmisiei pe lng securitate i band
mai larg.

Figura 7. Intranet VPN

Arhitectura aceasta utilizeaz dou routere la cele dou capete ale conexiunii,
ntre acestea realizndu-se un tunel criptat. n acest caz nu mai este necesar
folosirea unui client de VPN ci folosirea IPSec. IPSec (IP Security Protocol)
este un protocol standardizat de strat 3 care asigur autentificarea,
confidenialitatea i integritatea transferului de date ntre o pereche de
echipamente care comunic. Folosete ceea ce se numete Internet Key
Exchange ( IKE ) care necesit introducerea la ambele capete ale conexiunii a
unor chei de autentificare care mai apoi vor permite logarea reciproc.
Schematic conexiunea este prezentat n figura 8 :

-8-
 Figura 8. Arhitectura Intranet VPN
Extranet VPN este folosit pentru a lega diferii clieni sau parteneri
de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni
partajate, securitate maxim.

Figura 9. Extranet VPN

Acest tip de VPN seamn cu precedentul cu deosebirea c extinde
limitele intranetului permind legarea la sediul corporaiei a unor parteneri
de afaceri , clieni etc.; acest tip permite accesul unor utilizatori care nu fac
parte din structura firmei. Pentru a permite acest lucru se folosesc certificate
digitale care permit ulterior realizarea unor tunele criptate. Certificatele
digitale sunt furnizate de o autoritate care are ca activitate acest lucru.

3. Cerine de baz pentru VPN-uri

La adoptarea unei reele virtuale private prin Internet exist dou

probleme majore: securitatea i performana. Protocolul de control al
transmisiei (TCP/IP) i Internetul nu au fost gndite iniial s asigure n
principal securitate i performan, deoarece la acea vreme utilizatorii i
aplicaiile lor nu necesitau o securitate puternic i o performan garantat.
Din fericire, standardele pentru securitatea datelor din reelele IP au evoluat,
fiind posibil crearea VPN-urilor folosind reele IP.
n mod normal, cnd proiecteaz o souie de acces de la distan la o
reea, o companie dorete s permit accesul controlat la resurse i

-9-
informaii. Soluia trebuie s permit clienilor autorizai s se conecteze uor
la LAN-ul corporaiei, i s permit sucursalelor s se conecteze ntre ele
pentru a pune n comun informaii i resurse (conexiuni LAN-LAN). n plus,
soluia trebuie s asigure securitatea i integritatea datelor cnd traverseaz
Internet-ul. Aceleai preocupri apar i n cazul cnd datele ce trebuie
protejate traverseaz inter-reeaua corporaiei.
n consecin, o soluie VPN trebuie s realizeze cel puin urmtoarele funcii
vitale:
Autentificarea utilizatorului. Soluia trebuie s verifice
identitatea utilizatorului i s permit accesul prin VPN numai utilizatorilor
autorizai. n plus, soluia trebuie s permit monitorizarea si jurnalizarea
activitilor pentru a arta cine i cnd a accesat o anume informaie.
Gestionarea adreselor. Soluia trebuie s asocieze unui
client o adresa din reeaua privat, i s asigure c adresele private rmn
secrete.
Criptarea datelor. Datele transferate prin reeaua public
trebuie fcute ilizibile pentru clienii neautorizai.
Gestiunea cheilor. Soluia trebuie s genereze i s
mprospteze cheile de criptare pentru client i pentru server.
Soport multiprotocol. Soluia trebuie s fie capabil s
manevreze protocoalele existente n reelele publice, cum ar fi Internet
Protocol (IP), Internet Packet Exchange (IPX), etc.

4. Soluii pentru implementarea VPN

Dup cum am afirmat n partea introductiv, implementarea unui VPN

presupune crearea unui tunel printr-o reea public prin intermediul cruia s
fie transferate datele. Ca o definiie, tunelarea (tunneling) este o metod de
folosire a infrastructurii unei inter-reele pentru transferul datelor dintr-o
reea peste o alt reea. Datele de transferat (ncrctura - payload) pot fi
cadrele (sau pachetele) altui protocol. n loc de a transmite cadrul n forma n
care a fost produs de nodul surs, protocolul de tunelare ncapsuleaz cadrul
ntr-un antet adiional. Acesta conine informaii de rutare astfel nct
ncrctura ncapsulat poate traversa inter-reeaua intermediar. Pachetele
ncapsulate sunt apoi rutate ntre capetele tunelului prin inter-reea. Calea
logic pe care pachetele ncapsulate o urmeaz n inter-reea se numete
tunel (figura 33). Odat ce cadrele ncapsulate ajung la destinaie prin inter-
reea, cadrul este decapsulat i trimis la destinaia sa final. De notat c
tunelarea include ntregul proces: ncapsulare, transmitere i decapsulare a
pachetelor.

- 10 -
 Figura 10. Tunelarea datelor

Tehnologiile de tunelare exist de ctva timp, printre cele mai cunoscute

numrndu-se:
Tunelare SNA peste IP. Cnd traficul SNA este trimis peste o inter-
reea IP de corporaie, cadrul SNA este ncapsulat n UDP si antet IP.
Tunelare IPX pentru Novell NetWare peste IP. Cnd un pachet IPX
este trimis unui server NetWare sau unui ruter IPX, serverul sau ruterul
anvelopeaz pachetul IPX ntr-un UDP cu antet IP, i l trimite apoi peste inter-
reeaua IP. Ruterul IP-IPX destinaie d la o parte UDP-ul i antetul IP, i
trimite pachetul ctre destinaia IPX.

n ultimii ani au aprut noi tehnologii de tunelare, tehnologii care stau la baza
implementrilor de VPN existente:
Protocolul de tunelare punct-la-punct (PPTP). Acesta permite
traficului IP, IPX i NetBEUI s fie criptat i ncapsulat ntr-un antet IP pentru
a fi transmis peste o inter-reea IP de corporaie sau public (Internet).
Protocolul de tunelare pe nivel 2 (L2TP). Acesta permite traficului IP,
IPX sau NetBEUI s fie criptat i transmis peste orice mediu care suport
transmisia punct-la-punct a datagramelor, cum ar fi: IP, X25, Frame Relay sau
ATM.
Tunel bazat pe securitatea IP (IPSec). Acesta permite ncrcturii IP
s fie criptat i apoi ncapsulat ntr-un antet IP pentru a fi transmis peste o
inter-reea IP.

5. Metode de transmisie prin VPN

Aa cum am vzut, pentru a asigura confidenialitatea datelor ntr-o

transmisie pe canale de comunicaii nesigure, cum este Internetul, pot fi

- 11 -
folosite diverse tehnici criptografice. Modul de transmisie utilizat n cazul unei
soluii VPN va determina care pri ale unui mesaj sunt criptate. Unele soluii
cripteaz ntregul mesaj (antetul IP i datele din mesaj), n timp ce altele
cripteaz doar datele. Cele patru moduri (metode) de transmisie ntlnite n
soluiile VPN sunt:
In Place Transmision Mode (modul de transmisie in-place) - este de
obicei o soluie specific unui anumit productor, n care doar datele sunt
criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele
de transport nu sunt afectate.
Transport Mode (modul transport) - doar segmentul de date este criptat,
deci mrimea pachetului va crete. Acest mod ofer o confidenialitate
adecvat a datelor pentru reele VPN de tip nod-la-nod.
Encrypted Tunnel Mode (modul tunel criptat) - informaia din antetul IP
i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele
terminale ale VPN. Se asigur o confidenialitate global a datelor.
Non - encrypted Tunnel Mode (modul tunel necriptat) - nici o
component nu este criptat, toate datele sunt transportate n text clar. Nu se
ofer nici un mijloc de asigurare a confidenialitii datelor.
Dei poate prea ciudat, exist i soluii VPN care nu realizeaz nici un
mod de criptare. n schimb, pentru a oferi un grad de confidenialitate a
datelor, ele se bazeaz pe tehnici de ncapsulare a datelor, cum ar fi
protocoalele de tunelare sau forwarding. Nu toate protocoalele de tunelare i
forwarding folosesc un sistem criptografic pentru cofidenialitatea datelor,
ceea ce nseamn c toate datele vor fi transmise n clar, punnd sub semnul
ntrebrii cum poate o astfel de soluie s asigure protecia mpotriva
interceptrii datelor - cerin critic n cazul reelelor VPN.
Din nefericire, terminologia utilizat n industria de profil poate s
contribuie la apariia de astfel de confuzii. Pentru clarificarea acestor confuzii,
trebuie ca utilizatorul s identifice care mod de transmisie este folosit. Ca i n
cazul autentificrii datelor i a utilizatorilor, modurile de transmisie trebuie s
fie analizate dac sunt criptate sau necriptate. Dac o soluie VPN nu
furnizeaz nici o form de criptare n scopul confidenialitii datelor, atunci
aceast soluie poate fi denumit mult mai corect Virtual Network (VN - reea
virtual), din moment ce nimic nu este privat n aceast reea Internet, ntre
surs i destinaie.

6. Componente VPN

n funcie de tipul VPN-ului (cu acces de la distan sau site-to-site),

pentru a construi un VPN este nevoie de cteva componente:
- software client pentru fiecare utilizator de la distan;
- hardware dedicat, precum un concentrator VPN sau un firewall
PIX de securitate;
- un server VPN dedicat serviciilor dial-up;

- 12 -
 - un NAS (server de acces la reea) folosit de furnizorul de servicii
pentru accesul VPN al utilizatorilor de la distan;
- un centru de administrare a politicilor din reeaua VPN.

Figura 11. VPN site-to-site vs. WAN tradiional

O soluie VPN bazat pe Internet este alctuit din patru componente

principale: Internet-ul, porile de securitate (gateways), politicile de securitate
ale server-ului i autoritaile de certificare.
Internet-ul furnizeaz mediul de transmitere. Porile de securitate
stau ntre reeaua public i reeaua privat, mpiedicnd intruziunile
neautorizate n reeaua privat. Ele, deasemenea, dispun de capaciti de
tunelare i criptare a datelor nainte de a fi transmise n reeaua public. n
general, o poart de securitate se ncadreaz n una din urmatoarele categorii:
routere, firewall, dispozitive dedicate VPN harware i software.
Router
Pentru c router-ele trebuie s examineze i s proceseze fiecare pachet
care parasete reeaua, pare normal ca n componena acestora s fie inclus
i funcia de criptare a pachetelor. Comercianii de routere dedicate VPN, de
obicei ofer dou tipuri de produse: ori cu un suport software pentru criptare,
ori cu un circuit adiional echipat cu un co-procesor care se ocup strict de
criptarea datelor. Acestea din urm reprezint cea mai bun soluie pentru
situatiile n care sunt necesare fluxuri mari de date.
Trebuie avut grij la adugarea de noi sarcini pentru router (criptarea),
pentru c, dac router-ul nu poate face fa i pic, atunci ntreg VPN-ul
devine nefuncionabil.
Exemple:
Cisco 3660 Series Cisco 1710 Series Cisco 3620 Series

- 13 -
 Figura 12. Routere folosite la VPN
Din punct de vedere al performanelor, soluia bazat pe routere este cea
mai bun dar implic un consum foarte mare de resurse, att din punct de
vedere financiar ct i din punct de vedere al resurselor umane, fiind necesari
specialiti n securitatea reelelor pentru a configura i ntreine astfel de
echipamente.
Este o soluie potrivit pentru companiile mari, care au nevoie de un
volum foarte mare de trafic i de un grad sporit de securitate.
Filiala

Sediul central

Internet

Biroul de acasa

Figura 13. Soluie VPN bazat pe routere

Firewall
Muli comerciani de firewall includ n produsele lor capacitatea de
tunelare. Asemeni router-elor, firewall-urile trebuie s proceseze tot traficul IP.
Din aceast cauz, nu reprezint o soluie potrivit pentru tunelare n cadrul
reelor mari cu trafic foarte mare.
Combinaia dintre tunelare, criptare i firewall reprezint probabil
soluia cea mai bun pentru companiile mici, cu volum mic de trafic. Ca i n
cazul router-elor, dac firewall-ul pic, ntreg VPN-ul devine nefuncionabil.

- 14 -
 Folosirea firewall-urilor pentru creearea de VPN reprezint o soluie
viabil, ndeosebi pentru companiile de dimensiuni mici, ce transfer o
cantitate relativ mic de date (de ordinul 1-2 MB pe reeaua public).
Soluia unui firewall cu VPN integrat prezint avantajul unei securitai
sporite (poarta de securitate a VPN-ului fiind protejat de filtrele aplicate de
firewall) i, de asemenea, este mult mai uor de ntreinut, fcndu-se practic
management pentru amndou componentele simultan.

Figura 14. Firewall cu VPN integrat

Echipamente harware dedicate

O alt soluie VPN o reprezint utilizarea de hardware special proiectat
s ndeplineasc sarcinile de tunelare, criptare i autentificarea utilizatorilor.
Aceste echipamente opereaz de obicei ca nite puni de criptare care sunt
amplasate ntre router-ele reelei i legatura WAN( legatura cu reeaua
public). Dei aceste echipamente sunt proiectate pentru configuraiile LAN-
to-LAN, unele dintre ele suport i tunelare pentru cazul client-to-LAN.

Utilizator
3002

Cable Modem

Filiala

3002 DSL Concentrator VPN

Internet

Filiala

3002

- 15 -
 Figura 15. Client hardware VPN

Integrnd diverse funcii n cadrul aceluiai produs poate fi destul de

atrgtor pentru o firm care nu beneficiaz de resursele necesare pentru a
instala i ntreine diverse echipamente de reea diferite. O simpl pornire a
unui astfel de echipament este mult mai simpl dect instalarea unui software
pe un firewall, configurarea unui router i instalarea unui server RADIUS.
Chiar dac multe din aceste echipamente hardware par c ofer cele mai
bune performane pentru un VPN, tot trebuie decis cte funcii doreti s
integrezi ntr-un singur echipament. Companiile mici, care nu dispun de
personal specializat n securitatea reelelor vor beneficia de aceste produse
care integreaz toate functiile unui VPN. Unele produse - cele mai scumpe -
includ surse duble de alimentare i au caracteristici deosebite care asigur
fiabilitatea funcionarii.
Este greu de depit performana acestor echipamente n capacitatea lor
de a susine un volum de trafic mare i un numr impresionant de tuneluri
simultane, lucru esenial pentru companiile mari.
Exemple:

Figura 16. Cisco VPN 3002 Hardware Client

Soluii software dedicate

Componente software VPN sunt deasemenea disponibile pentru
creearea i ntreinerea de tuneluri, fie ntre dou pori de securitate, fie ntre
un client i o poart de securitate. Aceste sisteme sunt agreeate datorit
costurilor reduse i sunt folosite pentru companiile mici, care nu au nevoie s
procesese o cantitate prea mare de date. Aceste soluii pot rula pe servere
existente, mprind astfel resursele cu acestea. Reprezint soluia cea mai
potrivit pentru conexiunile de tipul client-to-LAN.
Practic, se instaleaz o aplicaie software pe calculatorul clientului care
stabilete conexiunea cu serverul VPN. Exist multe firme productoare de
astfel de aplicaii, Microsoft integrnd, de altfel n ulimele sisteme de operare
lansate soluii software de acest gen. Asfel, sistemul de operare Windows 2003
Server are ncorporat un server VPN iar, din punct de vedere al clienilor,
sistemele de operare Windows 2000 Pro, respectiv Windows XP au ncorporat
un client VPN. Practic se poate realiza o aplicaie VPN fr a mai instala alte
produse software sau hardware, trebuind doar configurate cele existente.
Pe lng porile de securitate, o alt component important a unui VPN
o reprezint politica de securitate a server-ului. Acest server menine
listele de control al accesului i alte informaii legate de utilizatori. Porile de
securitate folosesc aceste informaii pentru a determina care este traficul
autorizat.

- 16 -
 n cele din urm, autoritatea de certificare este necesar pentru a
verifica cheile partajate ntre locaii i pentru a face verificri individuale pe
baza certificatelor digitale. Companiile mari pot opta pentru a-i menine
propria baz de date cu certificate digitale pe un server propriu, iar n cazul
companiilor mici intervine o ter parte reprezentat de o autoritate de
ncredere.

7. Protocoale de tunelare

Dup cum am afirmat, o reea privat virtual (VPN) este iniiat n jurul
unui protocol de securizare, cel care cripteaz sau decripteaz datele la sursa
i la destinaie pentru transmisia prin IP. Pentru realizarea unui tunel, clientul
i serverul de tunel trebuie s foloseasc acelai protocol de tunelare.
Tehnologia de tunelare poate fi bazat pe un protocol de tunelare pe
nivel 2 sau 3. Aceste nivele corespund modelului de referin OSI. Protocoalele
de nivel 2 corespund nivelului legtur de date, i folosesc cadre ca unitate de
schimb. PPTP, L2TP i L2F (expediere pe nivel 2) sunt protocoale de tunelare
pe nivel 2; ele ncapsuleaz ncrctura ntr-un cadru PPP pentru a fi transmis
peste inter-reea. Protocoalele de nivel 3 corespund nivelului reea, i folosesc
pachete. IP peste IP i Tunel IPSec sunt exemple de protocoale care
ncapsuleaz pachete IP ntr-un antet IP adiional nainte de a le transmite
peste o inter-reea IP.
Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este
asemntor cu o sesiune; ambele capete ale tunelului trebuie s cad de acord
asupra tunelului i s negocieze variabilele de configurare, cum ar fi atribuirea
adreselor, criptarea, comprimarea. n cele mai multe cazuri, datele transferate
prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru
gestionarea tunelului se folosete un protocol de meninere a tunelului.
Tehnologiile de tunelarea pe nivel 3 pleac de la premiza c toate
chestiunile de configurare au fost efectuate, de multe ori manual. Pentru
aceste protocoale, poate s nu existe faza de meninere a tunelului. Pentru
protocoalele de nivel 2, un tunel trebuie creat, meninut i distrus.
n prezent exist o mare varietate de astfel de protocoale - de exemplu
L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun n funcionalitate, altele
ofer funcii similare dar complementare.
n cele ce urmeaz vom identifica pe scurt cele mai importante
caracteristici ale acestor protocoale:
Point to point tunneling protocol (PPTP), reprezint o extensie a
Point-to-Point Protocol (PPP), care ncapsuleaz datele, IPX sau NetBEUT n
pachetele IP. Acest protocol este folosit n mod fundamental de echipamentele
ISP, deoarece duce la un numitor comun participanii la sesiuni de
comunicaii. Este cea mai cunoscut dintre opiunile pentru securitatea
transferului de date n reeaua VPN. Dezvoltat de Microsoft i inclus n

- 17 -
Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare i acces de la
distan (Routing & Remote Access Service). Este plasat la nivelul 2 OSI.
Layer 2 forwarding (L2F) este un protocol de tip forwarding, folosit
pentru tunelarea protocoalelor de nivel nalt ntr-un protocol de nivel 2
(legtur de date - Data Link). De exemplu, se folosesc ca protocoale L2:
HDLC, HDLC asincron sau cadre SLIP. Dei aceast soluie faciliteaz
conectivitatea pe linii de acces n reele cu comutaie de circuite, informaia
din fluxul L2F nu este criptat. Acest protocol a fost creat de Cisco. Combinat
cu PPTP, constituie component a L2TP.
Layer 2 Tunneling Protocol, sau L2TP, este o combinaie dintre un
protocol al firmei Cisco Systems (L2F) i cel al firmei Microsoft denumit Point-
to-Point Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt
protocol de rutare, incluznd IP, IPX i AppleTalk, acest L2TP poate fi rulat pe
orice tip de reea WAN, inclusiv ATM, X.25 sau SONET. Cea mai important
trstur a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft
ca o component a sistemelor de operare Windows 95, Windows 98 i Windows
NT. Astfel c orice client PC care ruleaz Windows este echipat implicit cu o
funcie de tunneling, iar Microsoft furnizeaz i o schem de criptare denumit
Point-to-Point Encryption. n afara capacitii de creare a unei VPN, protocolul
L2TP poate realiza mai multe tunele simultan, pornind de la acelai client, de
exemplu spre o baz de date a firmei i spre intranetul aceleiai firme.
Internet Protocol Security sau IPSec, este o suit de protocoale care
asigur securitatea unei reele virtuale private prin Internet. IPSec este o
funcie de layer 3 i de aceea nu poate interaciona cu alte protocoale de layer
3, cum ar fi IPX i SNA. ns IPSec este poate cel mai autorizat protocol pentru
pstrarea confidenialitii i autenticitii pachetelor trimise prin IP.
Protocolul funcioneaz cu o larg varietate de scheme de criptare standard i
negocieri ale proceselor, ca i pentru diverse sisteme de securitate, incluznd
semnturi digitale, certificate digitale, chei publice sau autorizaii.
ncapsulnd pachetul original de date ntr-un pachet de tip IP, protocolul IPSec
scrie n header toat informaia cerut de terminalul de destinaie. Deoarece
nu exist modaliti de autentificare sau criptare liceniate, IPSec se detaeaz
de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea
sistemelor i standardelor, chiar i n paralel cu alte protocoale VPN. De
exemplu, IPSec poate realiza negocierea i autentificarea criptrii n timp ce o
reea virtual de tip L2TP primete un pachet, iniiaz tunelul i trimite
pachetul ncapsulat ctre cellalt terminal VPN.
SOCKS 5 constituie o alt abordare a reelelor virtuale private. Iniial
produs de Aventail, SOCKS 5 este puin mai diferit de L2TP sau IPSec: el
seamn cu un server proxy i lucreaz la nivelul de socket TCP. Pentru a
utiliza SOCKS 5, sistemele trebuie ncrcate cu un software client dedicat. n
plus, firma trebuie s ruleze un server de tip SOCK.S 5.
Partea pozitiv a lui SOCKS 5 este aceea c permite administratorilor de reea
s aplice diverse limitri i controale traficului prin proxy. Deoarece lucreaz
la nivel TCP, SOCKS 5 v permite s specificai care aplicaii pot traversa prin
firewall ctre Internet i care sunt restricionate.

- 18 -
 Principalele dezavantaje rezid n faptul c Socks 5 adaug un nivel de
securitate prin rutarea traficului printr-un sistem proxy, ceea ce duce la
performane n general inferioare fa de protocoalele de nivel inferior. n plus
el prezint o dependen fa de modul de implementare a reelelor VPN. Dei
gradul de securitate este mai ridicat n comparaie cu soluiile plasate la
nivelul OSI reea sau transport, acest supliment de securitate pretinde o
administrare mult mai sofisticat a politicilor. Mai mult, pentru construirea de
conexiuni printr-un sistem firewall sunt necesare aplicaii client, astfel nct
toate datele TCP/IP s fie transmise prin serverul proxy.

8. Securitate VPN

O reea VPN bine proiectat folosete cteva metode care menin datele
i conexiunea securizate: firewall-uri, criptarea, IPSec sau server AAA.. Astzi
securitatea reelei este n principal asigurat de firewall-uri, produse care pun
o barier software ntre resursele companiei (reeaua privat) i Internet.
Firewall-urile pot fi configurate s restricioneze numrul de porturi deschise,
pot fi instruite care feluri de pachete s le lase s treac i care nu, dar un
firewall poate fi utilizat pentru a ncheia sesiunile VPN.

Figura 17. Firewall

CheckPoint Software Technologies i Raptor Systems sunt dou dintre cele

mai cunoscute firme care vnd soft de firewall pentru servere Unix, situate n
apropierea router-ului de reea. Alte firme, ca Cisco Systems i Ascend
Communications, vnd produse de securitate la nivel de router.
Criptarea este procesul prin cate toate datele trimise de un calculator
sunt codificate ntr-o form pe care doar calculatorul destinatar o poate
decodifica. Majoritatea sistemelor de criptare cu ajutorul calculatorului se
mpart n dou categorii: criptarea cu cheie simetric sau criptarea cu cheie
public.

- 19 -
 n criptarea cu cheie simetric, fiecare calculator posed o cheie secret
pe care o poate folosi la criptarea unui pachet de informaie nainte de a-l
trimite prin reea celuilalt calculator. Cheia simetric presupune cunoaterea
perechilor de calculatoare care vor comunica aa nct este nevoie de cte o
cheie pentru fiecare calculator.
Criptarea cu cheie public folosete o combinaie de cheie privat i
cheie public. Cheia privat o cunoate doar calculatorul dumneavoastr, iar
cea public este oferit oricrui alt calculator ce dorete s comunice n
manier securizat. Pentru a decodifica un mesaj criptat, un calculator trebuie
s foloseasc cheia public oferit de iniiatorul comunicaiei, precum i cheia
sa privat. Un utilitar cunoscut este Pretty Good Privacy (PGP), care poate
cripta aproape orice.
Cel mai ntlnit dintre protocoalele VPN discutate anterior este IPSec -
un open-standard de securitate folosit de cele mai mari firme, printre care se
numr IBM, Sun sau BayNetworks - pentru stabilirea comunicaiilor directe
private prin Internet.
Internet Protocol Security (IPSec) ofer caracteristici de securitate
extins, precum i algoritmi de criptare mai buni, pe lng mecanisme de
autentificare. IPSec are dou moduri de criptare : tunel i transport. Tunelul
cripteaz doar antetul, n timp ce transportul cripteaz i datele. IPSec poate
cripta date ntre diverse echipamente: ruter-ruter, firewall-ruter, PC-ruter, PC-
server.
IPSec v protejeaz datele n trei moduri, folosind tehnici criptografice:
Autentificare: Procesul prin care este verificat identitatea unui host
(staie de lucru).
Verificarea integritii: Procesul prin care se semnaleaz orice
modificri ale datelor survenite n procesul de transport prin Internet, ntre
surs i destinaie.
Criptarea: Procesul de codificare a informaiei n tranzit prin reea,
pentru a asigura caracterul su privat.

- 20 -
 Figura 18. Un Remote Access VPN cu IPsec

Serverele AAA (de autentificare, autorizare i jurnalizare) sunt folosite

pentru accesurile mult mai securizate dintr-un mediu VPN de accesul la
distan. Cnd vine o cerere de stabilire a unei sesiuni de la un client dial-up,
serverul AAA verific urmtoarele:
- cine suntei (autentificare);
- ce permisiuni avei (autorizare);
- ce anume de fapt facei (jurnalizare).
Funcia de jurnalizare este util atunci cnd urmrii ce anume face clientul, n
scopul facturrii, de exemplu.

O soluie complet pentru realizarea unei reele VPN necesit mbinarea

a trei componente tehnologice critice: securitatea, controlul traficului i
administrarea la nivelul organizaiei.
Securitatea
Tehnologiile importante care acoper componenta de securitate a unei
reele VPN sunt: controlul accesului pentru garantarea securitii conexiunilor
din reea, criptarea, pentru protejarea confidenialitii datelor, autentificarea,
pentru a verifica identitatea utilizatorului, ca i integritatea datelor.
Controlul traficului
O a dou component critic n implementarea unei reele VPN este dat
de controlul traficului, realizat pentru un scop simplu i clar: garantarea
fiabilitii, calitii serviciilor i a unor performane optime n ceea ce privete
ratele de transfer. Comunicaiile n Internet pot duce la apariia unor zone de
congestie, impropii unor aplicaii critice n domenniul afacerilor. Alternativa
este dat de stabilirea unor prioriti de rutare a traficului, astfel nct
transferul datelor s fie realizat cu fiabilitate maxim.

- 21 -
 Administrarea la nivelul organizaiei
Ultima component critic este dedicat garantrii unei intergrri
complete a reelei VPN n politica de securitate global, unei administrri
centralizate (fie de la o consol local, fie de la una la distan) i unei
scalabilti a soluiei alese.
Deoarece n cazul reelelor VPN nu exist o reet unic, este necesar o
combinaie particular a acestor trei componente, astfel nct rezultatul
practic s ntruneasc criteriile de evaluare mai sus menionate.

9. Standardizarea reelelor VPN Standardul IPSec

Este cunoscut faptul c numai standardele susinute de industrie vor

asigura interoperabilitatea aplicaiilor. Administratorii care implementeaz o
soluie VPN sunt pui n faa unor anumite probleme, din cauza absenei
standardelor. Internet Engineering Task Force (IETF) a stabilit un grup de
lucru dedicat definirii standardelor i protocoalelor legate de securitatea
Internetului. Unul dintre cele mai importante scopuri ale acestui grup de lucru
este finalizarea standardului IPSec, care definete structura pachetelor IP i
considerentele legate de securitatea n cazul soluiilor VPN.
De-a lungul ultimilor ani, grupul de lucru IPSec din cadrul IETF a
nregistrat mari progrese n adugarea de tehnici de securitate criptografice la
standardele pentru infrastructura Internet. Arhitectura de securitate
specificat pentru IP (figura 19) furnizeaz servicii de securitate ce suport
combinaii de autentificare, integritate, controlul accesului i confidenialitate.

HTTP FTP Telnet SMTP ..

TCP (Transport Control Protocol)

IP security Protocol

Internet Protocol (IP)

Figura 19. Protcolul de securitate Internet (IP)

IPSec a aprut n cadrul efortului de standardizare pentru IPv6 i
reprezint singura soluie deschis pentru securizarea conexiunilor pe
Internet. IPSec poate fi configurat pentru dou moduri distincte: modul tunel
i modul transport. n modul tunel, IPSec ncapsuleaz pachetele IPv4 n cadre
IP securizate, pentru transferul informaiei ntre dou sisteme firewall,
de exemplu. n modul transport, informaia este ncapsulat ntr-un altfel
de mod, nct ea poate fi securizat ntre punctele terminale ale conexiunii,
deci ambalajul nu ascunde informaia de rutare cap-la-cap. Modul tunel este

- 22 -
cea mai sigur metod de securizare, ns crete gradul de ncrcare a sesiunii
de comunicaie, prin mrirea dimensiunilor pachetelor.
Standardul pentru Arhitectura de Securitate IP, descris n RFC 2401,
prezint mecanismele de securitate pentru IP versiunea 4 (IPv4) i pentru IP
versiunea 6 (IPv6).
La ora actual exist dou tipuri de antete (headere) ce pot fi ataate la
un pachet IP pentru realizarea securitii. Acestea sunt:
Authentification Header (AH) - antetul de autentificare care
furnizeaz serviciile de integritate i autentificare.
Encapsulated Security Payload (ESP) - nveliul de securitate - care
furnizeaz confidenialitate i, n funcie de algoritmii i de modurile folosite,
poate furniza, de asemenea, integritate i autentificare.
Pe lng autentificarea sursei, AH asigur numai integritatea datelor, n
timp ce ESP, care asigura pn acum doar criptarea, acum asigur att
criptarea, ct i integritatea datelor. Diferena dintre integritatea datelor prin
AH i cea dat de ESP st n scopul datelor care sunt autentificate. AH
autetific ntregul pachet, n timp ce ESP nu autentific antetul IP exterior. n
autentificarea ESP, sumarul de mesaj se afl n finalul pachetului, n timp ce n
AH, sumarul se gsete nuntrul antetului de autentificare.
Cele dou antete, respectiv mecanisme de securitate, pot fi folosite
independent unul de cellalt, combinate sau ntr-un mod imbricat. Ele sunt
definite n mod independent de algoritm astfel nct algoritmii criptografici pot
fi nlocuii fr ca alte pri din implementare s fie afectate. n mod implicit
sunt specificai algoritmi standard, pentru asigurarea interoperabilitii.
Ambele mecanisme de securitate IP pot furniza servicii de securitate
ntre:
- dou calculatoare gazd ce comunic ntre ele,
- dou gateway-uri de securitate comunicante sau,
- un calculator gazd i un gateway.
Standardul IPSec stabilete c nainte de orice transfer de date trebuie
negociat o asociere de securitate (Security Association - SA) ntre cele dou
noduri VPN (de tip gateway sau client), s conine toate informaiile necesare
pentru execuia diferitelor servicii de securitate pe reea, cum sunt serviciile
corespunztoare nivelului IP (autentificarea antetului i ncapsularea datelor),
serviciile nivelurilor de transport sau aplicaie, precum i autoprotecia
traficului de date din negociere.
Aceste formate furnizeaz un cadru consistent pentru transferul cheilor
i a datelor de autentificare, care este independent de tehnica de generare a
cheilor, de algoritmul de criptare sau mecanismul de autentificare.
IPSec poate fi privit ca un nivel intermediar sub stiv TCP/IP. Acest nivel
este controlat de o politic de securitate pe fiecare main i de o asociere de
securitate negociat ntre emitor i receptor. Politica const ntr-un set de
filtre i un set de profile de securitate asociate. Dac un pachet are o adres,
protocolul i numrul de port corespunztoare unui filtru, atunci pachetul este
tratat conform profilului de securitate asociat.
Unul dintre avantajele majore ale elaborrii unui standard IPSec este c
structura standardizat a pachetului i asocierea de securitate vor facilita

- 23 -
interoperarea diferitelor soluii VPN la nivelul transmisiei de date. Cu toate
acestea, standardul nu ofer un mecanism automat de schimb pentru cheile de
criptare i autentificare a datelor, necesare pentru stabilirea unei sesiuni
criptate, aspect care introduce al doilea avantaj major al standardului: PKI sau
infrastructura de administrare a cheilor.
Sunt n curs de dezvoltare protocoale i tehnici criptografice care s
asigure gestiunea cheilor la nivelul de securitate din IP printr-un mecanism
standardizat de administrare a cheilor care s permit o negociere, distribuie
i stocare a cheilor de criptare i autentificare n condiii de complet
corectitudine i siguran. Un exemplu l constituie Protocolul de Gestiune a
Cheilor pentru Internet (ISAKMP Internet Security Association and Key
Management Protocol) care este un protocol de nivel aplicaie, independent de
protocoalele de securitate de la nivelele inferioare. ISAKMP are la baz tehnici
derivate din mecanismul Diffie-Hellman pentru schimbarea cheilor. O
standardizare n structura de pachete i n mecanismul de administrare a
cheilor va duce la completa interoperabilitate a diferitelor soluii VPN.
IPSec va avea un succes major n mediile LAN-LAN, ns n cazul
consideraiilor client/server va fi de o utilitate limitat la civa ani. Cauzele
acestei disfuncii stau n penetrarea relativ limitat a PKI i n problemele de
scalabilitate. Implementarea sa pretinde cunoaterea domeniului de adrese IP
pentru a stabili indentitatea utilizatorilor, cerin care face acest protocol
impracticabil n mediile cu alocare dinamic a adreselor, cum este cazul ISP.
IPSec nu suport alte protocoale de reea n afar de TCP/IP i nu
specific o metodologie de control al accesului n afar de filtrarea pachetelor.
Din moment ce folosete adreasarea IP ca parte al algoritmului de
autentificare, se pare c este mai puin sigur de ct alte protocoale de nivel
nalt la capitolul identificarea utilizatorilor.
Poate cel mai important dezavantaj al IPSec l constituie absena unui
sprijin ferm din partea Microsoft. Compania din Redmond nu a pomenit nimic
despre suportul IPSec n sistemele sale de operare client. Se poate spune c
IPSec se afl n competiie cu PPTP i L2TP n ceea ce privete construirea de
conexiuni tunel, de aceea nu este clar dac Microsoft va face schimbri
radicale n stiva IPv4 pentru a suporta IPSec la niveluri superioare.

Mecanismul Antetului de Autentificare IP

Antetul de Autentificare a fost proiectat s furnizeze serviciile de
integritatea datelor i autentificarea originii datelor att pentru
datagramele IPv4 ct i pentru cele IPv6. n plus, el poate furniza serviciul de
nerepudiere, n funcie de algoritmii criptografici folosii i de modul n care
este realizat gestiunea cheilor.
n timp ce folosirea IPSec n IPv4 este opional, n IPv6 este obligatorie,
fiind parte a protocolului IPv6. Prin urmare, IPSec trebuie validat n fiecare
nod IPv6, fcnd reeaua mult mai sigur. IPv6 ofer anteturi pentru extensia
securitii, nlesnind implementarea criptrii, autentificrii i a reelelor
virtuale private. Deoarece IPv6 ofer adrese globale unice i funcii de
securitate, poate oferi servicii de securitate capt-la-capt - precum controlul

- 24 -
accesului sau integritatea i confidenialitatea datelor - fr a utiliza firewall-
uri suplimentare care, la rndul lor pot cauza gtuiri de performan.
Antetul de Autentificare IP adaug informaie pentru autentificare (de
obicei un Cod de Autentificare a Mesajului - Message Authentication Code,
MAC) la o datagram IP. Informaia de autentificare este calculat folosindu-
se:
cheie de autentificare secret i
cmpurile dintr-o datagram IP care nu se schimb n timpul transmisiei
(incluznd antetul IP, alte antete i datele).
Cmpurile sau opinile care trebuie modificate n timpul timpul transmisiei (de
exemplu numrul de hop-uri, sau durata de via) sunt nlocuite cu valoarea 0
n momentul calculrii MAC-ului. Lungimea implicit a informaiei de
autentificare este de 96 de bii.
Dac se folosete un algoritm de autentificare simetric i se dorete
autentificare n nodurile intermediare, atunci nodurile ce efectueaz o astfel
de autentificare intermediar sunt capabile s falsifice sau s modifice traficul
(deoarece cunosc cheia secret). n cazul folosirii tehnologiilor cu chei publice
(asimetrice), nodurile intermediare vor putea realiza autentificarea
intermediar fr a putea falsifica sau modifica mesajele.
Toate nodurile ce suport protocolul IPv6 i toate sistemele IPv4 ce
suport mecanismul Antetului de Autentificare trebuie s implementeze n
mod obligatoriu tehnici de autentificare a mesajelor. Acestea sunt HMAC-MD5
i HMAC-SHA1, dar pot fi suportai i ali algoritmi.
O Asociere de Securitate (AS) este folosit att pentru implementarea
mecanismului de AH ct i a celui de ESP. O AS const din adresa de destinaie
i ali civa parametri, SPI (Security Parameters Index) i este deci orientat
pe receptor. SPI conin cel puin algoritmul criptografic, modul n care el este
folosit i cheile pentru acel algoritm. O Asocier de Securitate este one-way
(funcie neinversabil). O comunicaie autentificat ntre dou calculatoare
gazd va avea doi SPI, cte un set pentru fiecare direcie.

Antet urmtor Lg Octei rezervai

Indexul parametrilor de securitate (SPI)

Numrul de secven

Date de autentificare (opionale)

Figura 20. Formatul antetului pentru serviciul AH

O datagram IP creia i s-a aplicat Antetul de Autentificare conine

urmtoarele cmpuri (figura 20):

- 25 -
 Antetul urmtor. Cmp de 8 bii care identific tipul de informaie care
se gsete dup antetul AA. Valoarea acestuia este aleas dintre
numerele de protocol IP.
Lungimea ncrcturii. Cmp de 8 bii care specific lungimea antetului
AA.
Otei rezervai. Cmp de 16 bii rezervat pentru ntrebuinri viitoare. La
ora actual trebuie setat la valoarea 0.
Indexul parametrilor de securitate (SPI- Secure Parameters Index).
Valoare de 32 de bii care identific Asocierea de Securitate pentru
aceast datagram, relativ la adresa IP de destinaie coninut n antetul
IP.
Numrul de secven. Cmp de 32 de bii ce conine o valoare contor.
nainte ca acest contor s revin la valoarea iniial transmitorul i
receptorul trebuie s reseteze numrul de secven. Receptorul ignor
acest cmp dac nu este cerut serviciul anti-replic.
Datele de autentificare. Cmp de lungime variabil ce conine o valoare
de verificare a integritii pentru acest pachet.

IPSec PKI i administrarea cheilor

O parte a standardului IETF IPSec const n definirea unei scheme de
administrare automat a cheilor, care include conceptul de PKI (Public Key
Infrastructure). Aceasta este o comunitate deschis de CA (Certificate
Authorities - Autoriti de certificare) care, n cele mai multe cazuri,
utilizezaz un model ierarhic pentru a construi asocieri de ncredere acolo
unde nu au existat. Existena PKI este important la stabilirea unei reele VPN
ntre o reea de corporaie i o reea a unui partener sau furnizor, deoarece
necesit un schimb securizat de chei ntre ele, prin intermediul unei a treia
pri (CA), n care ambele noduri VPN au ncredere. Schema obligatorie de
administare automat a cheilor, definit de IETF IPSec pentru IPv6 este
ISAKMP/Oakley (Internet Security Association and Key Management Protocol)
cu opiunea SKIP (Simple Key management for IP). Spre deosebire de soluiile
VPN care nu ofer nici o form de administrare automat a cheilor, o soluie
VPN care suport aceast caracteristic prin utilizarea uneia dintre
tehnologiile de instalare VPN permite administratorilor de securitate s
creeze, s distribuie i s revoce cheile de criptare VPN n mod simplu i sigur,
prin intermediul sistemului PICI.
ISAKMP/Oakley este rspunsul grupului IPSec la modul de negociere al
algoritmilor criptografici i schimbul de chei prin Internet. El este de fapt un
protocol hibrid ce integreaz protocolul de administrare a cheilor i asociaii
de securitate pentru Internet (Internet Security Association and Key
Management Protocol, sau ISAKMP) mpreun cu un subset al schemei Oakley
de schimb de chei.
ISAKMP/Oakley furnizeaz urmtoarele:
servicii de negociere a protocoalelor, algoritmilor i cheilor
criptografice
servicii de autentificare primar a entitilor comunicante
administrarea cheilor criptografice

- 26 -
 schimbul protejat de chei.
Schimbul de chei este un serviciu strns legat de administrare a asocierilor de
securitate, AS. Cnd este necesar crearea unei AS, trebuie s se schimbe
chei. Prin urmare ISAKMP/Oakley le mpacheteaz mpreun i le trimite ca
pachet integrat. n plus fa de protocolul ISAKMP/Oakley, standardul IPSec
specific faptul c sistemele trebuie s suporte i schimbul manual de chei. n
majoritatea situaiilor ns, acest lucru este ineficace. Deci ISAKMP/Oakley
rmne singurul modul eficient i sigur de negociere a AS-urilor i de schimb
al cheilor printr-o reeaua public.
ISAKMP/Oakley funcioneaz n dou faze. n prima faz, entitile
ISAKMP stabilesc un canal protejat (denumit ISAKMP-SA) pentru desfurarea
protocolului ISAKMP. n faza a doua, cele dou entiti negociaz asocieri de
securitate (AS-uri) generale. O entitate ISAKMP este un nod compatibil IPSec,
capabil s stabileasc canale ISAKMP i s negocieze AS-uri. Poate fi un
calculator de birou sau un echipament numit gateway de securitate care
negociaz servicii de securitate pentru abonai.
Oakley furnizeaz trei moduri de schimb al cheilor i de stabilire a AS-
urilor dou pentru schimburile din faza nti ISAKMP i unul pentru
schimburile din faza a doua.
Modul principal este folosit n prima faz a protocolului ISAKMP
pentru stabilirea unui canal protejat.
Modul agresiv este o alt cale de realizare a schimburilor din prima
faz a protocolului ISAKMP/Oakley el este ceva mai simplu i mai
rapid dect modul principal i nu asigur protecia identitii pentru
nodurile care negociaz, pentru c ele trebuie s-i transmit
identitile nainte de a fi negociat un canal protejat.
Modul rapid este folosit n faza a doua a protocolului ISAKMP la
negocierea unui AS general pentru cumunicaie.
De fapt, ISAKMP/Oakley mai are nc un mod de lucru, denumit modul
grupului nou (new group mode), care nu se integreaz n nici una din cele
dou faze i care este folosit n negocierea parametrilor pentru schema Diffie-
Hellman.

Pe parcursul acestui capitol am discutat despre modul de funcionare i

mecanismele de securitate specifice IPSec. Cel mai semnificativ aspect
referitor la IPSec nu const n robusteea cu care a fost proiectat, ci n simplul
fapt c IPSec este un standard Internet acceptat i c n momentul de fa un
numr mare de firme i furnizori de servicii coopereaz pentru a furniza o
gam complet de soluii IPSec. Folosind capacitatea de tunelare a IPSec, se
pot implementa reele private virtuale (Virtual Private Network - VPN).

- 27 -
10. Principalele avantaje ale reelelor virtuale private

Reducerea costurilor
Furnizorii de VPN pot nira o mulime de beneficii pe care le aduce
tehnologia, multe aprnd odat cu dezvoltarea ei. Poate cel mai puternic
argument folosit este reducerea costurilor. Reelele private virtuale sunt mult
mai ieftine dect reelele private proprietare ale companiilor; se reduc
costurile de operare a reelei (linii nchiriate, echipamente, administratori
reea). Dac folosii Internetul pentru a distribui servicii de reea la mare
distan, atunci putei evita achiziia de linii nchiriate, extrem de scumpe,
ntre reprezentane i firm, dar i costurile convorbirilor interurbane pe
modemuri dial-up sau ISDN. Reprezentana va trebui s se conecteze numai
local, la un provider Internet, pentru a ajunge n reeaua firmei mam.
Economii se fac i relativ la lipsa necesitii investiiilor n echipament WAN
adiional, singura achiziie fiind legat de mbuntirea capacitilor de
conectare la Internet a serverului.

Integrare, simplitate, uor de implementat

Reeaua virtual privat poate fi imediat realizat peste conexiunea deja
existent la Internet, nefiind necesar o infrastructur separat. Se simplific
topologia reelei companiei private. De asemenea, prin aceeai conexiune se
pot integra mai multe aplicaii: transfer de date, Voice over IP, Videoconferine.

Uurina administrrii
n cazul unei interconectri complete a sucursalelor unei firme, liniile private
pot deveni un comar. Trebuie instalate i administrate linii ntre fiecare dou
sucursale. Folosind Internetul, nu trebuie dect s asiguri fiecarei sucursale
acces la Internet. In cazul accesului utilizatorilor de la distan, problemele de
administrare sunt transferate complet ISP.

Ignorarea nvechirii morale a tehnologiei riscul nvechirii morale a

tehnologiei se transfer de la corporaie la ISP. Accesul la distan prin
Internet permite utilizatorilor s foloseasc tehnologii de acces variate,
inclusiv ISDN i modemuri. Cum apar tehnologii de acces de vitez mare, cum
ar fi ASDL, ATM, organizaia va putea profita de ele fr a face investiii n
echipamente. ISP suport majoritatea costurilor schimbrii tehnologiilor.

Mobilitate
Angajaii mobili precum i partenerii de afaceri (distribuitori sau furnizori) se
pot conecta la reeaua companiei ntr-un mod sigur, indiferent de locul n care
se afl.

Scalabilitate
Afacerea companiei crete, deci apare o nevoie permanent de angajai mobili
i conexiuni securizate cu partenerii strategici si distribuitorii. Pe msur ce

- 28 -
cererea de acces la distan crete, organizaia nu va avea nevoie s cumpere
i s instaleze echipamente de comunicaie noi. E nevoie doar de comandarea
unui nou cont de acces la un ISP.

Securitate
Reeaua virtual privat asigur un nivel ridicat de securitate a informaiilor
transmise prin utilizarea unor protocoale avansate de autentificare i criptare.
Informaiile care circul prin VPN sunt protejate prin diferite tehnologii de
securitate (criptare, autentificare, IPSec). Nu trebuie s v temei c datele
traficate prin VPN pot fi compromise.

Oportuniti, comert electronic

Vei putea implementa noi modele de business (business-to-business, business-
to-consumer, electronic commerce) care pot aduce venituri suplimentare
pentru companie.

Conectivitate global pe msur ce economia continu s se

globalizeze, reelele de firm trebuie s creasc n afara granielor statale.
Infrastructura cu fibr optic pentru linii private de calitate nu este disponibil
n multe ri. Internetul, pe de alt parte, este ideal pentru conectivitate
internaional. Protocolul Internetului (IP) poate rula pe orice infrastructur
de comunicaie.

- 29 -
Bibliografie:

1. Andrew S. Tanenbaum Reele de calculatoare Editura Computers

Press Agora, 1997;

2. V. V. Patriciu, M. Pietroanu, I. Bica, C. Vduva, N. Voicu Securitatea

Comerului Electronic, Editura ALL, Bucuresti, 2001.

3. http://www.microsoft.com/windowsserver2003/technologies/networking/
vpn/default.mspx

4. http://www.cisco.com/en/US/products/hw/routers/ps341/products_confi
guration_guide_book09186a008051522f.html

5. http://www.chip.ro/revista/iunie_2000/46/retele_virtuale_private/8232

6. www.folio.fr/tech_vpn.htm

7. www.tridentusa.com/.../ p_parts_equip.html

8. www.sonicwall-solutions.com/ what_is_vpn.htm

9. www.networksunlimited.com/ whitepaper4.html

- 30 -