Documente Academic
Documente Profesional
Documente Cultură
Retele VPN Protocolul Ipsec
Retele VPN Protocolul Ipsec
Standardul IPSec
ndrumtor: Autori:
2006
Cuprins:
1. Introducere .......................................................................................... - 3 -
2. Tipuri de VPN. Utilizri ale VPN-urilor ................................................. - 5 -
3. Cerine de baz pentru VPN-uri .......................................................... - 8 -
4. Soluii pentru implementarea VPN ...................................................... - 9 -
5. Metode de transmisie prin VPN .......................................................... - 10 -
6. Componente VPN ............................................................................... - 10 -
7. Protocoale de tunelare ........................................................................ - 14 -
8. Securitatea VPN .................................................................................. - 16 -
9. Standardizarea reelelor VPN Standardul IPSec .............................. - 18 -
10. Principalele avantaje ale reelelor virtuale private .............................. - 23 -
Bibliografie ................................................................................................ - 25 -
-2-
1. Introducere
-3-
Pentru a utiliza Internetul ca o reea privat virtual, de tip WAN (Wide
Area Network), trebuie depite dou obstacole principale. Primul apare din
cauza diversitii de protocoale prin care comunic reelele, cum ar fi IPX sau
NetBEUI, n timp ce Internetul poate nelege numai traficul de tip IP. Astfel,
VPN-urile trebuie s gseasc un mijloc prin care s transmit protocoale non-
IP de la o reea la alta.Cnd un dispozitiv VPN primete o instruciune de
transmitere a unui pachet prin Internet, negociaz o schem de criptare cu
un dispozitiv VPN similar din reeaua destinaie Datele n format IPX/PPP sunt
trecute n format IP pentru a putea fi transportate prin reeaua
mondial. Al doilea obstacol este datorat faptului c pachetele de date prin
Internet sunt transportate n format text. n consecin, oricine poate vedea
traficul poate s i citeasc datele coninute n pachete. Aceasta este cu
adevrat o problem n cazul firmelor care vor s comunice informaii
confideniale i, n acelai timp, s foloseasc Internetul. Soluia la aceste
probleme a permis apariia VPN i a fost denumit tunneling.
n loc de pachete lansate ntr-un mediu care nu ofer protecie, datele sunt
mai nti criptate, apoi ncapsulate n pachete de tip IP i trimise printr-un
tunel virtual prin Internet.
Din perspectiva utilizatorului, VPN este o conexiune punct-la-punct ntre
calculatorul propriu i serverul corporaiei (figura 2).
-4-
Tunelurile poat avea dou feluri de puncte terminale, fie un calculator
individual, fie o reea LAN cu un gateway de securitate - poate fi un ruter sau
un firewall. Orice combinaie a acestor dou tipuri de puncte terminale poate
fi folosit la proiectarea unei reele VPN.
n cazul tunelrii LAN-to-LAN, gateway-ul de securitate al fiecrui punct
terminal servete drept interfa ntre tunel i reeaua privat LAN. n astfel
de cazuri, utilizatorii ficecrui LAN pot folosi tunelul n mod transparent
pentru a comunica unii cu alii.
Cazul tunelului client-to-LAN, este cel stabilit de regul pentru
utilizatorul mobil care dorete s se conecteze la reeaua local a firmei.
Pentru a comunica cu reeaua de firm, clientul (utilizatorul mobil), iniiaz
crearea tunelului. Pentru aceasta, clientul ruleaz un software client special,
care comunic cu gateway-ul de protecie al reelei LAN.
De ce VPN-uri?
Mediul de afaceri este n continu schimbare, multe companii
ndreptndu-i atenia spre piaa global. Aceste firme devin regionale,
multinaionale i toate au nevoie stringent de un lucru: o comunicaie rapid,
fiabil i sigur ntre sediul central, filiale, birouri i punctele de lucru, adic
de o reea WAN (de arie larg).
O reea WAN tradiional presupune nchirierea unor linii de
comunicaie, de la cele ISDN (128/256Kbps) la cele de fibr optic OC-3 (155
Mbps) care s acopere aria geografic necesar. O astfel de reea are avantaje
clare fa de una public, cum este Internetul, cnd vine vorba de fiabilitate,
performan i securitate. Dar deinerea unei reele WAN cu linii nchiriate
este de-a dreptul scump, proporional cu aria geografic acoperit.
O dat cu creterea popularitii Internetului, companiile au nceput s
i extind propriile reele. La nceput au aprut intraneturile, care sunt situri
protejate prin parol, destinate angajailor companiei. Acum, multe firme i-au
creat propriile VPN-uri pentru a veni n ntmpinarea cerinelor angajailor i
oficiilor de la distan.
Un VPN poate aduce multe beneficii companiei: extinde aria geografic
de conectivitate, sporete securitatea, reduce costurile operaionale, crete
productivitatea, simplific topologia reelei, ofer oportuniti de lucru ntr-o
reea global, asigur suport pentru tendina afacerilor spre operare de la
distan, operaii distribuite global i operaii de parteneriat foarte
interdependente, n care lucrtorii trebuie s se poate conecta la resursele
centrale, s comunice unul cu altul, iar firmele trebuie s-i administreze
eficient stocurile pentru un ciclu de producie scurt.
-5-
- VPN-urile cu acces de la distan (Remote Access VPN) permit
utilizatorilor dial-up s se conecteze securizat la un site central printr-o reea
public. Acestea mai sunt numite i "dial" VPN-uri.
- VPN-urile intranet (Intranet VPN) permit extinderea reelelor private
prin Internet sau alt serviciu de reea public ntr-o manier securizat.
Acestea sunt denumite i VPN-uri "site-to-site" sau "LAN-to-LAN".
- VPN-urile extranet (Extranet VPN) permit conexiuni securizate ntre
partenerii de afaceri, furnizori i clieni, n general n scopul realizrii
comerului electronic. VPN-urile extranet sunt o extensie a VPN-urilor intranet
la care se adaug firewall-uri pentru protecia reelei interne.
Toate aceste reele virtuale private au rolul de a oferi fiabilitatea, performana i securitatea mediilor
WAN tradiionale, dar cu costuri mai sczute i conexiuni ISP (Internet Service Provider) mult mai
flexibile. Tehnologia VPN poate fi folosit i ntr-un intranet pentru a asigura securitatea i controlul
accesului la informaii, resurse sau sisteme vitale. De exemplu, se poate limita accesul anumitor
utilizatori la sistemele financiare din companie sau se pot trimite informaii confideniale n manier
securizat.
-6-
Figura 4. Remote Access VPN
-7-
Figura 6. Acces de la distan iniiat de server-ul de acces
Arhitectura aceasta utilizeaz dou routere la cele dou capete ale conexiunii,
ntre acestea realizndu-se un tunel criptat. n acest caz nu mai este necesar
folosirea unui client de VPN ci folosirea IPSec. IPSec (IP Security Protocol)
este un protocol standardizat de strat 3 care asigur autentificarea,
confidenialitatea i integritatea transferului de date ntre o pereche de
echipamente care comunic. Folosete ceea ce se numete Internet Key
Exchange ( IKE ) care necesit introducerea la ambele capete ale conexiunii a
unor chei de autentificare care mai apoi vor permite logarea reciproc.
Schematic conexiunea este prezentat n figura 8 :
-8-
Figura 8. Arhitectura Intranet VPN
Extranet VPN este folosit pentru a lega diferii clieni sau parteneri
de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni
partajate, securitate maxim.
-9-
informaii. Soluia trebuie s permit clienilor autorizai s se conecteze uor
la LAN-ul corporaiei, i s permit sucursalelor s se conecteze ntre ele
pentru a pune n comun informaii i resurse (conexiuni LAN-LAN). n plus,
soluia trebuie s asigure securitatea i integritatea datelor cnd traverseaz
Internet-ul. Aceleai preocupri apar i n cazul cnd datele ce trebuie
protejate traverseaz inter-reeaua corporaiei.
n consecin, o soluie VPN trebuie s realizeze cel puin urmtoarele funcii
vitale:
Autentificarea utilizatorului. Soluia trebuie s verifice
identitatea utilizatorului i s permit accesul prin VPN numai utilizatorilor
autorizai. n plus, soluia trebuie s permit monitorizarea si jurnalizarea
activitilor pentru a arta cine i cnd a accesat o anume informaie.
Gestionarea adreselor. Soluia trebuie s asocieze unui
client o adresa din reeaua privat, i s asigure c adresele private rmn
secrete.
Criptarea datelor. Datele transferate prin reeaua public
trebuie fcute ilizibile pentru clienii neautorizai.
Gestiunea cheilor. Soluia trebuie s genereze i s
mprospteze cheile de criptare pentru client i pentru server.
Soport multiprotocol. Soluia trebuie s fie capabil s
manevreze protocoalele existente n reelele publice, cum ar fi Internet
Protocol (IP), Internet Packet Exchange (IPX), etc.
- 10 -
Figura 10. Tunelarea datelor
n ultimii ani au aprut noi tehnologii de tunelare, tehnologii care stau la baza
implementrilor de VPN existente:
Protocolul de tunelare punct-la-punct (PPTP). Acesta permite
traficului IP, IPX i NetBEUI s fie criptat i ncapsulat ntr-un antet IP pentru
a fi transmis peste o inter-reea IP de corporaie sau public (Internet).
Protocolul de tunelare pe nivel 2 (L2TP). Acesta permite traficului IP,
IPX sau NetBEUI s fie criptat i transmis peste orice mediu care suport
transmisia punct-la-punct a datagramelor, cum ar fi: IP, X25, Frame Relay sau
ATM.
Tunel bazat pe securitatea IP (IPSec). Acesta permite ncrcturii IP
s fie criptat i apoi ncapsulat ntr-un antet IP pentru a fi transmis peste o
inter-reea IP.
- 11 -
folosite diverse tehnici criptografice. Modul de transmisie utilizat n cazul unei
soluii VPN va determina care pri ale unui mesaj sunt criptate. Unele soluii
cripteaz ntregul mesaj (antetul IP i datele din mesaj), n timp ce altele
cripteaz doar datele. Cele patru moduri (metode) de transmisie ntlnite n
soluiile VPN sunt:
In Place Transmision Mode (modul de transmisie in-place) - este de
obicei o soluie specific unui anumit productor, n care doar datele sunt
criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele
de transport nu sunt afectate.
Transport Mode (modul transport) - doar segmentul de date este criptat,
deci mrimea pachetului va crete. Acest mod ofer o confidenialitate
adecvat a datelor pentru reele VPN de tip nod-la-nod.
Encrypted Tunnel Mode (modul tunel criptat) - informaia din antetul IP
i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele
terminale ale VPN. Se asigur o confidenialitate global a datelor.
Non - encrypted Tunnel Mode (modul tunel necriptat) - nici o
component nu este criptat, toate datele sunt transportate n text clar. Nu se
ofer nici un mijloc de asigurare a confidenialitii datelor.
Dei poate prea ciudat, exist i soluii VPN care nu realizeaz nici un
mod de criptare. n schimb, pentru a oferi un grad de confidenialitate a
datelor, ele se bazeaz pe tehnici de ncapsulare a datelor, cum ar fi
protocoalele de tunelare sau forwarding. Nu toate protocoalele de tunelare i
forwarding folosesc un sistem criptografic pentru cofidenialitatea datelor,
ceea ce nseamn c toate datele vor fi transmise n clar, punnd sub semnul
ntrebrii cum poate o astfel de soluie s asigure protecia mpotriva
interceptrii datelor - cerin critic n cazul reelelor VPN.
Din nefericire, terminologia utilizat n industria de profil poate s
contribuie la apariia de astfel de confuzii. Pentru clarificarea acestor confuzii,
trebuie ca utilizatorul s identifice care mod de transmisie este folosit. Ca i n
cazul autentificrii datelor i a utilizatorilor, modurile de transmisie trebuie s
fie analizate dac sunt criptate sau necriptate. Dac o soluie VPN nu
furnizeaz nici o form de criptare n scopul confidenialitii datelor, atunci
aceast soluie poate fi denumit mult mai corect Virtual Network (VN - reea
virtual), din moment ce nimic nu este privat n aceast reea Internet, ntre
surs i destinaie.
6. Componente VPN
- 12 -
- un NAS (server de acces la reea) folosit de furnizorul de servicii
pentru accesul VPN al utilizatorilor de la distan;
- un centru de administrare a politicilor din reeaua VPN.
- 13 -
Figura 12. Routere folosite la VPN
Din punct de vedere al performanelor, soluia bazat pe routere este cea
mai bun dar implic un consum foarte mare de resurse, att din punct de
vedere financiar ct i din punct de vedere al resurselor umane, fiind necesari
specialiti n securitatea reelelor pentru a configura i ntreine astfel de
echipamente.
Este o soluie potrivit pentru companiile mari, care au nevoie de un
volum foarte mare de trafic i de un grad sporit de securitate.
Filiala
Sediul central
Internet
Biroul de acasa
Firewall
Muli comerciani de firewall includ n produsele lor capacitatea de
tunelare. Asemeni router-elor, firewall-urile trebuie s proceseze tot traficul IP.
Din aceast cauz, nu reprezint o soluie potrivit pentru tunelare n cadrul
reelor mari cu trafic foarte mare.
Combinaia dintre tunelare, criptare i firewall reprezint probabil
soluia cea mai bun pentru companiile mici, cu volum mic de trafic. Ca i n
cazul router-elor, dac firewall-ul pic, ntreg VPN-ul devine nefuncionabil.
- 14 -
Folosirea firewall-urilor pentru creearea de VPN reprezint o soluie
viabil, ndeosebi pentru companiile de dimensiuni mici, ce transfer o
cantitate relativ mic de date (de ordinul 1-2 MB pe reeaua public).
Soluia unui firewall cu VPN integrat prezint avantajul unei securitai
sporite (poarta de securitate a VPN-ului fiind protejat de filtrele aplicate de
firewall) i, de asemenea, este mult mai uor de ntreinut, fcndu-se practic
management pentru amndou componentele simultan.
Utilizator
3002
Cable Modem
Filiala
Filiala
3002
- 15 -
Figura 15. Client hardware VPN
- 16 -
n cele din urm, autoritatea de certificare este necesar pentru a
verifica cheile partajate ntre locaii i pentru a face verificri individuale pe
baza certificatelor digitale. Companiile mari pot opta pentru a-i menine
propria baz de date cu certificate digitale pe un server propriu, iar n cazul
companiilor mici intervine o ter parte reprezentat de o autoritate de
ncredere.
7. Protocoale de tunelare
Dup cum am afirmat, o reea privat virtual (VPN) este iniiat n jurul
unui protocol de securizare, cel care cripteaz sau decripteaz datele la sursa
i la destinaie pentru transmisia prin IP. Pentru realizarea unui tunel, clientul
i serverul de tunel trebuie s foloseasc acelai protocol de tunelare.
Tehnologia de tunelare poate fi bazat pe un protocol de tunelare pe
nivel 2 sau 3. Aceste nivele corespund modelului de referin OSI. Protocoalele
de nivel 2 corespund nivelului legtur de date, i folosesc cadre ca unitate de
schimb. PPTP, L2TP i L2F (expediere pe nivel 2) sunt protocoale de tunelare
pe nivel 2; ele ncapsuleaz ncrctura ntr-un cadru PPP pentru a fi transmis
peste inter-reea. Protocoalele de nivel 3 corespund nivelului reea, i folosesc
pachete. IP peste IP i Tunel IPSec sunt exemple de protocoale care
ncapsuleaz pachete IP ntr-un antet IP adiional nainte de a le transmite
peste o inter-reea IP.
Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este
asemntor cu o sesiune; ambele capete ale tunelului trebuie s cad de acord
asupra tunelului i s negocieze variabilele de configurare, cum ar fi atribuirea
adreselor, criptarea, comprimarea. n cele mai multe cazuri, datele transferate
prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru
gestionarea tunelului se folosete un protocol de meninere a tunelului.
Tehnologiile de tunelarea pe nivel 3 pleac de la premiza c toate
chestiunile de configurare au fost efectuate, de multe ori manual. Pentru
aceste protocoale, poate s nu existe faza de meninere a tunelului. Pentru
protocoalele de nivel 2, un tunel trebuie creat, meninut i distrus.
n prezent exist o mare varietate de astfel de protocoale - de exemplu
L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun n funcionalitate, altele
ofer funcii similare dar complementare.
n cele ce urmeaz vom identifica pe scurt cele mai importante
caracteristici ale acestor protocoale:
Point to point tunneling protocol (PPTP), reprezint o extensie a
Point-to-Point Protocol (PPP), care ncapsuleaz datele, IPX sau NetBEUT n
pachetele IP. Acest protocol este folosit n mod fundamental de echipamentele
ISP, deoarece duce la un numitor comun participanii la sesiuni de
comunicaii. Este cea mai cunoscut dintre opiunile pentru securitatea
transferului de date n reeaua VPN. Dezvoltat de Microsoft i inclus n
- 17 -
Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare i acces de la
distan (Routing & Remote Access Service). Este plasat la nivelul 2 OSI.
Layer 2 forwarding (L2F) este un protocol de tip forwarding, folosit
pentru tunelarea protocoalelor de nivel nalt ntr-un protocol de nivel 2
(legtur de date - Data Link). De exemplu, se folosesc ca protocoale L2:
HDLC, HDLC asincron sau cadre SLIP. Dei aceast soluie faciliteaz
conectivitatea pe linii de acces n reele cu comutaie de circuite, informaia
din fluxul L2F nu este criptat. Acest protocol a fost creat de Cisco. Combinat
cu PPTP, constituie component a L2TP.
Layer 2 Tunneling Protocol, sau L2TP, este o combinaie dintre un
protocol al firmei Cisco Systems (L2F) i cel al firmei Microsoft denumit Point-
to-Point Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt
protocol de rutare, incluznd IP, IPX i AppleTalk, acest L2TP poate fi rulat pe
orice tip de reea WAN, inclusiv ATM, X.25 sau SONET. Cea mai important
trstur a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft
ca o component a sistemelor de operare Windows 95, Windows 98 i Windows
NT. Astfel c orice client PC care ruleaz Windows este echipat implicit cu o
funcie de tunneling, iar Microsoft furnizeaz i o schem de criptare denumit
Point-to-Point Encryption. n afara capacitii de creare a unei VPN, protocolul
L2TP poate realiza mai multe tunele simultan, pornind de la acelai client, de
exemplu spre o baz de date a firmei i spre intranetul aceleiai firme.
Internet Protocol Security sau IPSec, este o suit de protocoale care
asigur securitatea unei reele virtuale private prin Internet. IPSec este o
funcie de layer 3 i de aceea nu poate interaciona cu alte protocoale de layer
3, cum ar fi IPX i SNA. ns IPSec este poate cel mai autorizat protocol pentru
pstrarea confidenialitii i autenticitii pachetelor trimise prin IP.
Protocolul funcioneaz cu o larg varietate de scheme de criptare standard i
negocieri ale proceselor, ca i pentru diverse sisteme de securitate, incluznd
semnturi digitale, certificate digitale, chei publice sau autorizaii.
ncapsulnd pachetul original de date ntr-un pachet de tip IP, protocolul IPSec
scrie n header toat informaia cerut de terminalul de destinaie. Deoarece
nu exist modaliti de autentificare sau criptare liceniate, IPSec se detaeaz
de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea
sistemelor i standardelor, chiar i n paralel cu alte protocoale VPN. De
exemplu, IPSec poate realiza negocierea i autentificarea criptrii n timp ce o
reea virtual de tip L2TP primete un pachet, iniiaz tunelul i trimite
pachetul ncapsulat ctre cellalt terminal VPN.
SOCKS 5 constituie o alt abordare a reelelor virtuale private. Iniial
produs de Aventail, SOCKS 5 este puin mai diferit de L2TP sau IPSec: el
seamn cu un server proxy i lucreaz la nivelul de socket TCP. Pentru a
utiliza SOCKS 5, sistemele trebuie ncrcate cu un software client dedicat. n
plus, firma trebuie s ruleze un server de tip SOCK.S 5.
Partea pozitiv a lui SOCKS 5 este aceea c permite administratorilor de reea
s aplice diverse limitri i controale traficului prin proxy. Deoarece lucreaz
la nivel TCP, SOCKS 5 v permite s specificai care aplicaii pot traversa prin
firewall ctre Internet i care sunt restricionate.
- 18 -
Principalele dezavantaje rezid n faptul c Socks 5 adaug un nivel de
securitate prin rutarea traficului printr-un sistem proxy, ceea ce duce la
performane n general inferioare fa de protocoalele de nivel inferior. n plus
el prezint o dependen fa de modul de implementare a reelelor VPN. Dei
gradul de securitate este mai ridicat n comparaie cu soluiile plasate la
nivelul OSI reea sau transport, acest supliment de securitate pretinde o
administrare mult mai sofisticat a politicilor. Mai mult, pentru construirea de
conexiuni printr-un sistem firewall sunt necesare aplicaii client, astfel nct
toate datele TCP/IP s fie transmise prin serverul proxy.
8. Securitate VPN
O reea VPN bine proiectat folosete cteva metode care menin datele
i conexiunea securizate: firewall-uri, criptarea, IPSec sau server AAA.. Astzi
securitatea reelei este n principal asigurat de firewall-uri, produse care pun
o barier software ntre resursele companiei (reeaua privat) i Internet.
Firewall-urile pot fi configurate s restricioneze numrul de porturi deschise,
pot fi instruite care feluri de pachete s le lase s treac i care nu, dar un
firewall poate fi utilizat pentru a ncheia sesiunile VPN.
- 19 -
n criptarea cu cheie simetric, fiecare calculator posed o cheie secret
pe care o poate folosi la criptarea unui pachet de informaie nainte de a-l
trimite prin reea celuilalt calculator. Cheia simetric presupune cunoaterea
perechilor de calculatoare care vor comunica aa nct este nevoie de cte o
cheie pentru fiecare calculator.
Criptarea cu cheie public folosete o combinaie de cheie privat i
cheie public. Cheia privat o cunoate doar calculatorul dumneavoastr, iar
cea public este oferit oricrui alt calculator ce dorete s comunice n
manier securizat. Pentru a decodifica un mesaj criptat, un calculator trebuie
s foloseasc cheia public oferit de iniiatorul comunicaiei, precum i cheia
sa privat. Un utilitar cunoscut este Pretty Good Privacy (PGP), care poate
cripta aproape orice.
Cel mai ntlnit dintre protocoalele VPN discutate anterior este IPSec -
un open-standard de securitate folosit de cele mai mari firme, printre care se
numr IBM, Sun sau BayNetworks - pentru stabilirea comunicaiilor directe
private prin Internet.
Internet Protocol Security (IPSec) ofer caracteristici de securitate
extins, precum i algoritmi de criptare mai buni, pe lng mecanisme de
autentificare. IPSec are dou moduri de criptare : tunel i transport. Tunelul
cripteaz doar antetul, n timp ce transportul cripteaz i datele. IPSec poate
cripta date ntre diverse echipamente: ruter-ruter, firewall-ruter, PC-ruter, PC-
server.
IPSec v protejeaz datele n trei moduri, folosind tehnici criptografice:
Autentificare: Procesul prin care este verificat identitatea unui host
(staie de lucru).
Verificarea integritii: Procesul prin care se semnaleaz orice
modificri ale datelor survenite n procesul de transport prin Internet, ntre
surs i destinaie.
Criptarea: Procesul de codificare a informaiei n tranzit prin reea,
pentru a asigura caracterul su privat.
- 20 -
Figura 18. Un Remote Access VPN cu IPsec
- 21 -
Administrarea la nivelul organizaiei
Ultima component critic este dedicat garantrii unei intergrri
complete a reelei VPN n politica de securitate global, unei administrri
centralizate (fie de la o consol local, fie de la una la distan) i unei
scalabilti a soluiei alese.
Deoarece n cazul reelelor VPN nu exist o reet unic, este necesar o
combinaie particular a acestor trei componente, astfel nct rezultatul
practic s ntruneasc criteriile de evaluare mai sus menionate.
IP security Protocol
- 22 -
cea mai sigur metod de securizare, ns crete gradul de ncrcare a sesiunii
de comunicaie, prin mrirea dimensiunilor pachetelor.
Standardul pentru Arhitectura de Securitate IP, descris n RFC 2401,
prezint mecanismele de securitate pentru IP versiunea 4 (IPv4) i pentru IP
versiunea 6 (IPv6).
La ora actual exist dou tipuri de antete (headere) ce pot fi ataate la
un pachet IP pentru realizarea securitii. Acestea sunt:
Authentification Header (AH) - antetul de autentificare care
furnizeaz serviciile de integritate i autentificare.
Encapsulated Security Payload (ESP) - nveliul de securitate - care
furnizeaz confidenialitate i, n funcie de algoritmii i de modurile folosite,
poate furniza, de asemenea, integritate i autentificare.
Pe lng autentificarea sursei, AH asigur numai integritatea datelor, n
timp ce ESP, care asigura pn acum doar criptarea, acum asigur att
criptarea, ct i integritatea datelor. Diferena dintre integritatea datelor prin
AH i cea dat de ESP st n scopul datelor care sunt autentificate. AH
autetific ntregul pachet, n timp ce ESP nu autentific antetul IP exterior. n
autentificarea ESP, sumarul de mesaj se afl n finalul pachetului, n timp ce n
AH, sumarul se gsete nuntrul antetului de autentificare.
Cele dou antete, respectiv mecanisme de securitate, pot fi folosite
independent unul de cellalt, combinate sau ntr-un mod imbricat. Ele sunt
definite n mod independent de algoritm astfel nct algoritmii criptografici pot
fi nlocuii fr ca alte pri din implementare s fie afectate. n mod implicit
sunt specificai algoritmi standard, pentru asigurarea interoperabilitii.
Ambele mecanisme de securitate IP pot furniza servicii de securitate
ntre:
- dou calculatoare gazd ce comunic ntre ele,
- dou gateway-uri de securitate comunicante sau,
- un calculator gazd i un gateway.
Standardul IPSec stabilete c nainte de orice transfer de date trebuie
negociat o asociere de securitate (Security Association - SA) ntre cele dou
noduri VPN (de tip gateway sau client), s conine toate informaiile necesare
pentru execuia diferitelor servicii de securitate pe reea, cum sunt serviciile
corespunztoare nivelului IP (autentificarea antetului i ncapsularea datelor),
serviciile nivelurilor de transport sau aplicaie, precum i autoprotecia
traficului de date din negociere.
Aceste formate furnizeaz un cadru consistent pentru transferul cheilor
i a datelor de autentificare, care este independent de tehnica de generare a
cheilor, de algoritmul de criptare sau mecanismul de autentificare.
IPSec poate fi privit ca un nivel intermediar sub stiv TCP/IP. Acest nivel
este controlat de o politic de securitate pe fiecare main i de o asociere de
securitate negociat ntre emitor i receptor. Politica const ntr-un set de
filtre i un set de profile de securitate asociate. Dac un pachet are o adres,
protocolul i numrul de port corespunztoare unui filtru, atunci pachetul este
tratat conform profilului de securitate asociat.
Unul dintre avantajele majore ale elaborrii unui standard IPSec este c
structura standardizat a pachetului i asocierea de securitate vor facilita
- 23 -
interoperarea diferitelor soluii VPN la nivelul transmisiei de date. Cu toate
acestea, standardul nu ofer un mecanism automat de schimb pentru cheile de
criptare i autentificare a datelor, necesare pentru stabilirea unei sesiuni
criptate, aspect care introduce al doilea avantaj major al standardului: PKI sau
infrastructura de administrare a cheilor.
Sunt n curs de dezvoltare protocoale i tehnici criptografice care s
asigure gestiunea cheilor la nivelul de securitate din IP printr-un mecanism
standardizat de administrare a cheilor care s permit o negociere, distribuie
i stocare a cheilor de criptare i autentificare n condiii de complet
corectitudine i siguran. Un exemplu l constituie Protocolul de Gestiune a
Cheilor pentru Internet (ISAKMP Internet Security Association and Key
Management Protocol) care este un protocol de nivel aplicaie, independent de
protocoalele de securitate de la nivelele inferioare. ISAKMP are la baz tehnici
derivate din mecanismul Diffie-Hellman pentru schimbarea cheilor. O
standardizare n structura de pachete i n mecanismul de administrare a
cheilor va duce la completa interoperabilitate a diferitelor soluii VPN.
IPSec va avea un succes major n mediile LAN-LAN, ns n cazul
consideraiilor client/server va fi de o utilitate limitat la civa ani. Cauzele
acestei disfuncii stau n penetrarea relativ limitat a PKI i n problemele de
scalabilitate. Implementarea sa pretinde cunoaterea domeniului de adrese IP
pentru a stabili indentitatea utilizatorilor, cerin care face acest protocol
impracticabil n mediile cu alocare dinamic a adreselor, cum este cazul ISP.
IPSec nu suport alte protocoale de reea n afar de TCP/IP i nu
specific o metodologie de control al accesului n afar de filtrarea pachetelor.
Din moment ce folosete adreasarea IP ca parte al algoritmului de
autentificare, se pare c este mai puin sigur de ct alte protocoale de nivel
nalt la capitolul identificarea utilizatorilor.
Poate cel mai important dezavantaj al IPSec l constituie absena unui
sprijin ferm din partea Microsoft. Compania din Redmond nu a pomenit nimic
despre suportul IPSec n sistemele sale de operare client. Se poate spune c
IPSec se afl n competiie cu PPTP i L2TP n ceea ce privete construirea de
conexiuni tunel, de aceea nu este clar dac Microsoft va face schimbri
radicale n stiva IPv4 pentru a suporta IPSec la niveluri superioare.
- 24 -
accesului sau integritatea i confidenialitatea datelor - fr a utiliza firewall-
uri suplimentare care, la rndul lor pot cauza gtuiri de performan.
Antetul de Autentificare IP adaug informaie pentru autentificare (de
obicei un Cod de Autentificare a Mesajului - Message Authentication Code,
MAC) la o datagram IP. Informaia de autentificare este calculat folosindu-
se:
cheie de autentificare secret i
cmpurile dintr-o datagram IP care nu se schimb n timpul transmisiei
(incluznd antetul IP, alte antete i datele).
Cmpurile sau opinile care trebuie modificate n timpul timpul transmisiei (de
exemplu numrul de hop-uri, sau durata de via) sunt nlocuite cu valoarea 0
n momentul calculrii MAC-ului. Lungimea implicit a informaiei de
autentificare este de 96 de bii.
Dac se folosete un algoritm de autentificare simetric i se dorete
autentificare n nodurile intermediare, atunci nodurile ce efectueaz o astfel
de autentificare intermediar sunt capabile s falsifice sau s modifice traficul
(deoarece cunosc cheia secret). n cazul folosirii tehnologiilor cu chei publice
(asimetrice), nodurile intermediare vor putea realiza autentificarea
intermediar fr a putea falsifica sau modifica mesajele.
Toate nodurile ce suport protocolul IPv6 i toate sistemele IPv4 ce
suport mecanismul Antetului de Autentificare trebuie s implementeze n
mod obligatoriu tehnici de autentificare a mesajelor. Acestea sunt HMAC-MD5
i HMAC-SHA1, dar pot fi suportai i ali algoritmi.
O Asociere de Securitate (AS) este folosit att pentru implementarea
mecanismului de AH ct i a celui de ESP. O AS const din adresa de destinaie
i ali civa parametri, SPI (Security Parameters Index) i este deci orientat
pe receptor. SPI conin cel puin algoritmul criptografic, modul n care el este
folosit i cheile pentru acel algoritm. O Asocier de Securitate este one-way
(funcie neinversabil). O comunicaie autentificat ntre dou calculatoare
gazd va avea doi SPI, cte un set pentru fiecare direcie.
Numrul de secven
- 25 -
Antetul urmtor. Cmp de 8 bii care identific tipul de informaie care
se gsete dup antetul AA. Valoarea acestuia este aleas dintre
numerele de protocol IP.
Lungimea ncrcturii. Cmp de 8 bii care specific lungimea antetului
AA.
Otei rezervai. Cmp de 16 bii rezervat pentru ntrebuinri viitoare. La
ora actual trebuie setat la valoarea 0.
Indexul parametrilor de securitate (SPI- Secure Parameters Index).
Valoare de 32 de bii care identific Asocierea de Securitate pentru
aceast datagram, relativ la adresa IP de destinaie coninut n antetul
IP.
Numrul de secven. Cmp de 32 de bii ce conine o valoare contor.
nainte ca acest contor s revin la valoarea iniial transmitorul i
receptorul trebuie s reseteze numrul de secven. Receptorul ignor
acest cmp dac nu este cerut serviciul anti-replic.
Datele de autentificare. Cmp de lungime variabil ce conine o valoare
de verificare a integritii pentru acest pachet.
- 26 -
schimbul protejat de chei.
Schimbul de chei este un serviciu strns legat de administrare a asocierilor de
securitate, AS. Cnd este necesar crearea unei AS, trebuie s se schimbe
chei. Prin urmare ISAKMP/Oakley le mpacheteaz mpreun i le trimite ca
pachet integrat. n plus fa de protocolul ISAKMP/Oakley, standardul IPSec
specific faptul c sistemele trebuie s suporte i schimbul manual de chei. n
majoritatea situaiilor ns, acest lucru este ineficace. Deci ISAKMP/Oakley
rmne singurul modul eficient i sigur de negociere a AS-urilor i de schimb
al cheilor printr-o reeaua public.
ISAKMP/Oakley funcioneaz n dou faze. n prima faz, entitile
ISAKMP stabilesc un canal protejat (denumit ISAKMP-SA) pentru desfurarea
protocolului ISAKMP. n faza a doua, cele dou entiti negociaz asocieri de
securitate (AS-uri) generale. O entitate ISAKMP este un nod compatibil IPSec,
capabil s stabileasc canale ISAKMP i s negocieze AS-uri. Poate fi un
calculator de birou sau un echipament numit gateway de securitate care
negociaz servicii de securitate pentru abonai.
Oakley furnizeaz trei moduri de schimb al cheilor i de stabilire a AS-
urilor dou pentru schimburile din faza nti ISAKMP i unul pentru
schimburile din faza a doua.
Modul principal este folosit n prima faz a protocolului ISAKMP
pentru stabilirea unui canal protejat.
Modul agresiv este o alt cale de realizare a schimburilor din prima
faz a protocolului ISAKMP/Oakley el este ceva mai simplu i mai
rapid dect modul principal i nu asigur protecia identitii pentru
nodurile care negociaz, pentru c ele trebuie s-i transmit
identitile nainte de a fi negociat un canal protejat.
Modul rapid este folosit n faza a doua a protocolului ISAKMP la
negocierea unui AS general pentru cumunicaie.
De fapt, ISAKMP/Oakley mai are nc un mod de lucru, denumit modul
grupului nou (new group mode), care nu se integreaz n nici una din cele
dou faze i care este folosit n negocierea parametrilor pentru schema Diffie-
Hellman.
- 27 -
10. Principalele avantaje ale reelelor virtuale private
Reducerea costurilor
Furnizorii de VPN pot nira o mulime de beneficii pe care le aduce
tehnologia, multe aprnd odat cu dezvoltarea ei. Poate cel mai puternic
argument folosit este reducerea costurilor. Reelele private virtuale sunt mult
mai ieftine dect reelele private proprietare ale companiilor; se reduc
costurile de operare a reelei (linii nchiriate, echipamente, administratori
reea). Dac folosii Internetul pentru a distribui servicii de reea la mare
distan, atunci putei evita achiziia de linii nchiriate, extrem de scumpe,
ntre reprezentane i firm, dar i costurile convorbirilor interurbane pe
modemuri dial-up sau ISDN. Reprezentana va trebui s se conecteze numai
local, la un provider Internet, pentru a ajunge n reeaua firmei mam.
Economii se fac i relativ la lipsa necesitii investiiilor n echipament WAN
adiional, singura achiziie fiind legat de mbuntirea capacitilor de
conectare la Internet a serverului.
Uurina administrrii
n cazul unei interconectri complete a sucursalelor unei firme, liniile private
pot deveni un comar. Trebuie instalate i administrate linii ntre fiecare dou
sucursale. Folosind Internetul, nu trebuie dect s asiguri fiecarei sucursale
acces la Internet. In cazul accesului utilizatorilor de la distan, problemele de
administrare sunt transferate complet ISP.
Mobilitate
Angajaii mobili precum i partenerii de afaceri (distribuitori sau furnizori) se
pot conecta la reeaua companiei ntr-un mod sigur, indiferent de locul n care
se afl.
Scalabilitate
Afacerea companiei crete, deci apare o nevoie permanent de angajai mobili
i conexiuni securizate cu partenerii strategici si distribuitorii. Pe msur ce
- 28 -
cererea de acces la distan crete, organizaia nu va avea nevoie s cumpere
i s instaleze echipamente de comunicaie noi. E nevoie doar de comandarea
unui nou cont de acces la un ISP.
Securitate
Reeaua virtual privat asigur un nivel ridicat de securitate a informaiilor
transmise prin utilizarea unor protocoale avansate de autentificare i criptare.
Informaiile care circul prin VPN sunt protejate prin diferite tehnologii de
securitate (criptare, autentificare, IPSec). Nu trebuie s v temei c datele
traficate prin VPN pot fi compromise.
- 29 -
Bibliografie:
3. http://www.microsoft.com/windowsserver2003/technologies/networking/
vpn/default.mspx
4. http://www.cisco.com/en/US/products/hw/routers/ps341/products_confi
guration_guide_book09186a008051522f.html
5. http://www.chip.ro/revista/iunie_2000/46/retele_virtuale_private/8232
6. www.folio.fr/tech_vpn.htm
7. www.tridentusa.com/.../ p_parts_equip.html
8. www.sonicwall-solutions.com/ what_is_vpn.htm
9. www.networksunlimited.com/ whitepaper4.html
- 30 -