Documente Academic
Documente Profesional
Documente Cultură
BRASOV
2013
Cuprins
1. Introducere ................................................................................................................................ 3
4. Concluzii ................................................................................................................................. 14
5. Bibliografie ............................................................................................................................. 16
2
1. Introducere
3
2. Modelul TCP/IP
4
1.1. Nivelul Aplicatie (Application)
Include si nivelurile sesiune si prezentare ale modelului OSI: Acesta reprezinta software-
ul utilizat de o statie de lucru. Nivelul de aplicatii se foloseste pentru a transmite datele in retea.
Printre protocoalele nivelului Aplicatie puntem enumera:
Domain Name Service Protocol (DNS) - utilizat pentru a rezolva numele adreselor de
Internet in adrese IP.
Hypertext Transfer Protocol (HTTP) - utilizat pentru a transfera fisiere care alcatuiesc
paginile web ale World Wide Web.
Simple Mail Transfer Protocol (SMTP) - folosit pentru transferul mesajelor si
atasamentelor e-mail-urilor.
Telnet - utilizat pentru a oferi acces de la distanta la servere si echipamente de retea.
File Transfer Protocol (FTP) - folosit pentru transferul de fisiere intre sisteme interactive.
5
1.3. Nivelul Retea (Internet)
Scopul initial al nivelului rerea (Internet Protocol) era sa asigure rutarea pachetelor in
interiorul unei singure retele. Odata cu aparitia interconexiunii intre retele, acestui nivel i-au fost
adaugate functionalitati de comunicare intre o retea sursa si o retea destinatie.
In stiva TCP/IP, protocolul IP asigura rutarea pachetelor de la o adresa sursa la o adresa
destinatie, folosind si unele protocoale aditionale, precum ICMP sau IGMP. Determinarea
drumului optim intre cele doua retele se face la acest nivel.
Comunicarea la nivelul IP este nesigura, sarcina de corectie a erorilor fiind plasata la nivelurile
superioare (de exemplu prin protocolul TCP). In IPv4 (nu si IPv6), integritatea pachetelor este
asigurata de checksum.
6
se regasesc la nivelul 3 al stivei TCP/IP si la nivelul 3 al stivei ISO-OSI, ceea ce face posibila
securizarea tuturor aplicatiilor care folosesc stiva TCP/IP.
IPsec se bazeaza pe algoritmi existenti pentru a implementa criptarea, autentificarea, si
schimbul de chei. IPsec lucreaza la nivelul Retea, protejand si autentificand pachetele IP intre
dispozitivele IPsec participante (peers).
Toate implementarile de IPsec au un antet (header) al Layer 3 sub forma de plaintext ,
astfel incat nu exista probleme cu rutarea. IPsec are functionalitate in toate protocoalele Layer 2,
cum ar fi Ethernet, ATM, Frame Relay, Synchronous Data Link Control (SDLC), and High-Level
Data Link Control (HDLC).
Framework-ul IPsec este format din 5 blocuri:
primul reprezinta protocolul IPsec. Optiunile includ ESP (Encapsulated Security
Payload) sau AH(Authentication Header).
al doilea reprezinta tipul de confidentialitate implementat cu ajutorul unui algoritm de
criptare, cum ar fi DES, 3DES, AES, sau SEAL. Alegerea depinde de nivelul de
securitate necesar.
cel de-al treilea reprezinta integritatea care poate fi implementata folosind fie MD5
sau SHA.
al patrulea reprezinta modul in care cheia secreta partajata este stabilita. Cele doua
metode sunt pre-partajate sau semnate digital folosind RSA.
blocul al cincilea reprezinta grupul algoritmului DH (Diffie-Hellman). Exista patru
algoritmi DH de schimbare de chei: DH Group 1 (DH1), DH Group 2 (DH2), DH
Group 5 (DH5), si DH Group 7 (DH7). Tipul de grup selectat depinde de nevoile
specifice.
IPSec ofera framework-ul, iar administratorul alege algoritmii care sunt utilizati pentru
punerea in aplicare a serviciilor de securitate din acest framework.
IPSec poate asigura o cale intre o perechi de gateway-uri, o pereche de gazde, sau intre
gateway si gazda. Utilizand cadrul IPsec, IPsec ofera urmatoarele functii esentiale de securitate:
Confidentialitatea - IPsec asigura confidentialitate prin utilizarea criptarii
7
Integritate - IPsec asigura ca datele ajung neschimbate la destinatie, folosind un
algoritm hash, cum ar fi MD5 sau SHA.
Autentificarea - IPsec foloseste Internet Key Exchange (IKE) pentru autentificarea
utilizatorilor si dispozitive care comunica in exterior in mod independent. IKE
utilizeaza mai multe tipuri de autentificare, inclusiv nume de utilizator si parola, date
biometrice, chei pre-shared (PSKs), si certificate digitale.
Schimb de chei securizat - IPsec foloseste algoritmul DH pentru a furniza o metoda
publica de schimb de chei pentru doua perechi(peer) pentru a stabili o cheie secreta
partajata.
La ora actuala exista doua tipuri de antete (headere) ce pot fi atasate la un pachet IP
pentru realizarea securitatii. Acestea sunt: AH - Authentication Header si ESP - Encapsulated
Security Payload
8
Cele doua protocoale de securitate (AH sau ESP) pot actiona in doua moduri: modul de
transport (transport mode) si modul de tunelare (IP tunneling)
Datagrama IP initiala
Intregul pachet (date si antete) este securizat. Se introduc doua antete de securitate in
fiecare pachet, inainte (outer header) si dupa (inner header) antetul EP. Antetul extern specifica
perechea de entitati intre care se creeaza tunelul IP si se aplica masurile de securitate pe baza
IPsec. Antetul intern precizeaza destinatia finala a pachetului pentru realizarea rutarii. ESP
9
protejeaza numai pachetul transmis prin tunelul IP, in timp ce AH asigura si securitatea antetului
exterior atasat. De regula acest mod de operare se utilizeaza intre porti de securitate care executa
impachetarea si despachetarea mesajelor (gateway-to-gateway).
MODUL TUNEL
Antete noi Criptarea
Antet IP nou
Antet IPSec Antet IP initial Datele IP
Protocol al
purtatoarei
Protocol de
incapsulare
Antet IP Datele IP (necriptate)
Protocolul pasagerului
Antetul de autentificare (AH), pe langa rolul de a garanta integritatea datelor transmise, poate
optional proteja pachetele impotriva atacurilor de intoarcere folosind tehnica ferestrelor glisante
(sliding window ) si descarcarea pachetelor vechi.
in IPv4, AH protejeaza incarcatura IP si toate antetele campurilor din datagramele IP, cu
exceptia pentru campurile variabile: DSCP/TOS, ECN, Flags, Fragment Offset, TTL
and Header Checksum;
in IPv6, AH isi protejeaza antetul propriu, optiunile destinatiei antetului extins dupa
antetul sau, si apoi incarcatura IP; de asemenea protejeaza si antetul IPv6 fix si toate
antetele extinse inainte de AH, exceptie facand uratoarele campuri: DSCP, ECN, Flow
Label, and Hop Limit.
10
Fig. 5 - Formatul antetului de autentificare (AH)
11
Incarcatura securizata ancapsulata (ESP- Encapsulating Security Payload) este un membru a
protocolului IPSec care suporta numai configuratii de criptare si autentificare dar folosirea criptarii
fara autentificare este puternic descurajata deaorece este nesigura. Spre deosebire de AH, ESP nu
ofera protectie antetului pachetului IP.
12
Pad Length (8 bits)
Marimea padding-ului in octeti .
Next Header (8 bits)
Tipul antetului urmator indica ce protocol de nivel superior a fost protejat;
Valoarea este luata din lista cu numerele de protocole IP.
Integrity Check Value (multiple of 32 bits)
Lungime variabila ICV verifica valoarea. Este posibil sa contina paduri de aliniere de
camp in limita de 8 octeti pentru IPv6 sau in limita a 4 octeti pentru IPv4.
IPSEC defineste un "Security Association" (SA) ca avand rol primar in protejarea
pachetelor IP. Un SA este definit de adresa IP a pachetului destinatie si un parametru
SPI(Security Parameter Index), pe 32 de biti, care functioneaza oarecum ca un port TCP sau
UDP, in masura in care permite sa avem mai multe SA-uri la o singura adresa de
destinatie. SAS poate functiona in modul transport, in cazul in care campul de date IPSEC incepe
cu header-e de layer-e superioare (de obicei TCP, UDP, ICMP sau), sau in modul tunel, in cazul
in care campul de date IPSEC incepe cu un header de pachet IP complet nou. In plus, SA-urile
pot fi incapsulate in cadrul altor SA-uri, formand pachete SA, permitand astfel protectie IPSEC
stratificata (pe nivele). De exemplu, un SA ar putea proteja tot traficul realizat printr-un gateway,
in timp ce un alt SA va proteja tot traficul la o gazda particulara. Pachetele astfel rutate in
intreaga retea vor fi incapsulate intr-un singur pachet SA , care va contine ambele SA-uri.
Configurarea echipamentelor dintr-o retea in vederea aplicarii IPsec se realizeaza de catre
o persoana cu drepturi depline de stabilire a securitatii retelei (security officer), in trei etape:
Crearea grupurilor de securitate (SA) si stabilirea drepturilor si atributiilor
acestora;
Configurarea legaturilor dintre SA-uri si stabilirea ierarhiilor de prioritati, folosind
ISAKMP/IKE;
Stabilirea modalitatilor de clasificare a pachetelor IP si de actiune asupra lor
(permite sau interzice accesul in retea, aplica procedurile de securitate conform
IPsec).
13
Pentru a securiza comunicatia in retea cu IPSec intre calculatoarele Windows folosim o
colectie de reguli, politici si filtre pentru a permite in mod selectiv doar comunicatia pentru
anumite protocoale.
Politicile de IPSec pot fi create si aplicate cu Group Policy pentru calculatoarele din
domeniu. Pentru calculatoare care nu sunt in domeniu, de exemplu serverele bastion, politicile
pot fi aplicate cu script-uri linie de comanda.
4. Concluzii
Internetul ofera oportunitati uimitoare, dar nu fara un anumit risc. Fara controale
corespunzatoare, datele dintr-o retea sunt supuse la mai multe tipuri de atacuri. Pentru a putea iesi
pe internet, fiecare calculator are nevoie de un IP (Internet Protocol).
Unul dintre punctele slabe ale Internet Protocol este ca nu are nici un fel de mecanism
pentru a asigura autenticitatea si confidentialitatea datelor. Deoarece datagramele IP trebuie sa
fie, de obicei, trimise Intre doua dispozitive prin retele necunoscute, orice informatie din ele este
supusa riscului de a fi interceptat si, eventual, chiar schimbata. Datorita utilizarii sporite a
internetului pentru aplicatii critice, Imbunatatiri de securitate au fost necesare. In acest scop, a
fost dezvoltat un set de protocoale numit IPSec.
Aceasta lucrare prezinta pe scurt ce inseamna stiva TCP/IP, impreuna cu modul in care
protocolul IPSesc asigura securitatea si integritatea datelor dintr-o retea, peste aceasta stiva.
TCP / IP este, practic, peste tot. Acesta este astazi de departe , suita de protocoale cel mai
frecvent utilizata. Ea a castigat importanta in mare parte datorita rolului sau in functionarea
internetului la nivel mondial, care in cativa ani a transformat societatea noastra atat de
mult. Milioane de oameni utilizeaza TCP / IP si Internet fara sa stie cu adevarat modul in care
acestea functioneaza. Pentru cei din domeniul tehnologiei, cu toate acestea, intelegerea TCP / IP
este din ce in ce mai importanta, cu fiecare an ce trece.
IPSec este un mecanism de securitate forte important, permitand atat autentificare cat si
integritatea datelor transmise sau chiar criptarea datele confidentiale.
14
IPSec trebuie folosit pentru a securiza traficul care parcurge retele sau segmente cu
potential de interceptare a comunicatiei. Nu este in general util a securiza intreg traficul in
interiorul intregii retele a companiei, decat pentru retele cu grad mare de securitate.
15
5. Bibliografie
1. http://en.wikipedia.org
2. http://ro.wikipedia.org/wiki/IPSec
16