Universitatea TRANSILVANIA din Braov

Facultatea de Matematic i Informatic

Specializarea Tehnologii Internet

Metode de securizare a protocolului TCP/IP

Internet Protocol Security (IPSec)

Studenti: Rusu Bogdan

Sabau Catalin

BRASOV
2013
Cuprins

1. Introducere ................................................................................................................................ 3

2. Modelul TCP/IP ........................................................................................................................ 4

1.1. Nivelul Aplicatie (Application) ....................................................................................... 5

1.2. Nivelul Transport (Transport) ....................................................................................... 5

1.3. Nivelul Retea (Internet)................................................................................................... 6

1.4. Nivelul Acces la retea (Network access)......................................................................... 6

3. Internet Protocol Security (IPSec) ............................................................................................ 6

2.1. Modul de transport (transport mode) ........................................................................... 9

2.2. Modul de tunelare (IP tunneling) ................................................................................... 9

4. Concluzii ................................................................................................................................. 14

5. Bibliografie ............................................................................................................................. 16

2
 1. Introducere

Securizarea comunicatiilor reprezinta un aspect esential al calitatii serviciilor oferite,

avand un rol critic in domeniul financiar-bancar, militar sau guvernamental.
In ultimii ani, incidentele de securitate au crescut la o cota alarmanta. Dat fiind faptul ca
aceste atacuri sunt tot mai dese, suntem obligati sa aplicam metode de securitate din ce in ce mai
complexe la nivel de retea.
Astfel , profesionistii din domeniul IT, precum administratorii de retea sau operatorii
centrelor mari de date, trebuie sa cunoasca si sa inteleaga elementele de baza ale securitatii, in
scopul gestionarii unei retele cat mai sigure.
Scopul serviciilor de securitate este pe de o parte acela de a asigura functionalitatea in
paramaterii normali a retelei si a device-urilor care fac parte din aceasta, iar pe de alta parte de a
asigura securitatea si integritatea datelor si a aplicatiilor stocate sau transmise prin retea.
Problemele de asigurare a securitatii unei retele pot fi grupate in urmatoarele domenii
interdependente:
- Confidentialitate doua parti doresc sa comunice confidential astfel incat nici un
adversar sa nu intelega nimic din ceea ce a fost comunicat.
- Autentificare cel ce receptioneaza mesajul sa se poata convinge ca mesajul este
original.
- Integritatea datelor previne alterarea neautorizata a datelor.
- Non-repudiere Se refera la un serviciu care previne negarea unei actiuni sau
comenzi anterioare de catre o entitate.
Pentru a putea comunica prin retea si prin internet, fiecare calculator foloseste stiva de
protocoale TCP/IP.
Mai departe, voi descrie stiva TCP/IP si IPSec, una dintre modalitatile prin care aceasta
poate fi securizata.

3
 2. Modelul TCP/IP

Modelul TCP/IP (Transmission Control Protocol/Internet Protocol) a fost creat de US

DoD (US Department of Defence) din necesitatea unei retele care ar putea supravietui in orice
conditii. Suita de protocolae TCP/IP gestioneaza toate datele care circula prin Internet.
Modelul TCP/IP are patru nivele, fiind diferit de modelul OSI (Open System
Interconnection), insa se pot face asocieri intre nivelele fiecarui model.

Fig 1. TCP/IP OSI Model

Suita de protocoale TCP/IP gestioneaza toate transferurile de date din Internet, care se
realizeaza fie ca flux de octeti (byte stream), fie prin unitati de date independente denumite
datagrame (datagram).
Numele acestei stive este dat de protocolul de retea (IP) si de cel de transport (TCP). Stiva
de protocoale TCP/IP include mai multe protocoale deosebit de utile pentru furnizarea serviciilor
Internet. Protocoalele de aplicatie colaboreaza cu protocoalele de pe nivelele inferioare ale stivei
TCP/IP pentru a transmite date prin Internet, mai precis pentru a oferi servicii utilizatorului (posta
electronica, transfer de fisiere, acces in retea de la distanta, informatii despre utilizatori etc).

4
 1.1. Nivelul Aplicatie (Application)

Include si nivelurile sesiune si prezentare ale modelului OSI: Acesta reprezinta software-
ul utilizat de o statie de lucru. Nivelul de aplicatii se foloseste pentru a transmite datele in retea.
Printre protocoalele nivelului Aplicatie puntem enumera:
Domain Name Service Protocol (DNS) - utilizat pentru a rezolva numele adreselor de
Internet in adrese IP.
Hypertext Transfer Protocol (HTTP) - utilizat pentru a transfera fisiere care alcatuiesc
paginile web ale World Wide Web.
Simple Mail Transfer Protocol (SMTP) - folosit pentru transferul mesajelor si
atasamentelor e-mail-urilor.
Telnet - utilizat pentru a oferi acces de la distanta la servere si echipamente de retea.
File Transfer Protocol (FTP) - folosit pentru transferul de fisiere intre sisteme interactive.

1.2. Nivelul Transport (Transport)

Se ocupa cu probleme legate de siguranta, control al fluxului si corectie de erori. El este

proiectat astfel incat sa permita conversatii intre entitatile pereche din gazdele sursa,
respectiv, destinatie. In acest sens au fost definite doua protocoale end-to-end.
Primul din ele, TCP (Trasmission Control Protocol). El este un protocol sigur orientat
pe conexiune care permite ca un flux de octeti trimisi de pe o masina sa ajunga erori pe orice alta
masina din retea. Acest protocol fragmenteaza fluxul de octeti in mesaje discrete si paseaza
fiecare mesaj nivelului internet. TCP trateaza totodata controlul fluxului pentru a se asigura ca un
emitator rapid nu inunda un receptor lent cu mai multe mesaje decat poate acesta sa prelucreze.
Al doilea protocol din acest nivel, UDP (User Datagram Protocol), este un protocol
nesigur, fara conexiuni, destinat aplicatiilor care doresc sa utilizeze propria lor secventiere si
control al fluxului. Protocolul UDP este de asemenea mult folosit pentru interogari rapide
intrebare-raspuns, client-server si pentru aplicatii in care comunicarea prompta este mai
importanta decat comunicarea cu acuratete, asa cum sunt aplicatiile de transmisie a vorbirii si a
imaginilor video.

5
 1.3. Nivelul Retea (Internet)

Scopul initial al nivelului rerea (Internet Protocol) era sa asigure rutarea pachetelor in
interiorul unei singure retele. Odata cu aparitia interconexiunii intre retele, acestui nivel i-au fost
adaugate functionalitati de comunicare intre o retea sursa si o retea destinatie.
In stiva TCP/IP, protocolul IP asigura rutarea pachetelor de la o adresa sursa la o adresa
destinatie, folosind si unele protocoale aditionale, precum ICMP sau IGMP. Determinarea
drumului optim intre cele doua retele se face la acest nivel.
Comunicarea la nivelul IP este nesigura, sarcina de corectie a erorilor fiind plasata la nivelurile
superioare (de exemplu prin protocolul TCP). In IPv4 (nu si IPv6), integritatea pachetelor este
asigurata de checksum.

1.4. Nivelul Acces la retea (Network access)

Se ocupa cu toate problemele legate de transmiterea efectiva a unui pachet IP pe o

legatura fizica, incluzand si aspectele legate de tehnologii si de medii de transmisie, adica
nivelurile OSI Data link si Physical.
Modelul de referinta TCP/IP nu spune mare lucru despre ce se intampla acolo, insa
mentioneaza ca gazda trebuie sa se lege la retea, pentru a putea trimite pachete IP, folosind un
anumit protocol. Acest protocol nu este definit si variaza de la gazda la gazda si de la retea la
retea.

3. Internet Protocol Security (IPSec)

Internet Protocol Security (IPSec) este o suita de protocoale pentru securizarea

comunicatiilor peste stiva TCP/IP. Aceasta suita se bazeaza pe folosirea functiilor matematice si
a algoritmilor de criptare si autentificare pentru a asigura confidentialitatea, integritatea si non-
repudierea informatiilor din fiecare pachet IP transmis pe retea. IPSec este la ora actuala una
dintre cele mai folosite metode de securizare a transmisiei pe Internet, alaturi de SSL (Secure
Sockets Layer) si TLS (Transport Layer Security). Spre deosebire de acestea, protocoalele IPSec

6
se regasesc la nivelul 3 al stivei TCP/IP si la nivelul 3 al stivei ISO-OSI, ceea ce face posibila
securizarea tuturor aplicatiilor care folosesc stiva TCP/IP.
IPsec se bazeaza pe algoritmi existenti pentru a implementa criptarea, autentificarea, si
schimbul de chei. IPsec lucreaza la nivelul Retea, protejand si autentificand pachetele IP intre
dispozitivele IPsec participante (peers).
Toate implementarile de IPsec au un antet (header) al Layer 3 sub forma de plaintext ,
astfel incat nu exista probleme cu rutarea. IPsec are functionalitate in toate protocoalele Layer 2,
cum ar fi Ethernet, ATM, Frame Relay, Synchronous Data Link Control (SDLC), and High-Level
Data Link Control (HDLC).
Framework-ul IPsec este format din 5 blocuri:
primul reprezinta protocolul IPsec. Optiunile includ ESP (Encapsulated Security
Payload) sau AH(Authentication Header).
al doilea reprezinta tipul de confidentialitate implementat cu ajutorul unui algoritm de
criptare, cum ar fi DES, 3DES, AES, sau SEAL. Alegerea depinde de nivelul de
securitate necesar.
cel de-al treilea reprezinta integritatea care poate fi implementata folosind fie MD5
sau SHA.
al patrulea reprezinta modul in care cheia secreta partajata este stabilita. Cele doua
metode sunt pre-partajate sau semnate digital folosind RSA.
blocul al cincilea reprezinta grupul algoritmului DH (Diffie-Hellman). Exista patru
algoritmi DH de schimbare de chei: DH Group 1 (DH1), DH Group 2 (DH2), DH
Group 5 (DH5), si DH Group 7 (DH7). Tipul de grup selectat depinde de nevoile
specifice.
IPSec ofera framework-ul, iar administratorul alege algoritmii care sunt utilizati pentru
punerea in aplicare a serviciilor de securitate din acest framework.
IPSec poate asigura o cale intre o perechi de gateway-uri, o pereche de gazde, sau intre
gateway si gazda. Utilizand cadrul IPsec, IPsec ofera urmatoarele functii esentiale de securitate:
Confidentialitatea - IPsec asigura confidentialitate prin utilizarea criptarii

7
 Integritate - IPsec asigura ca datele ajung neschimbate la destinatie, folosind un
algoritm hash, cum ar fi MD5 sau SHA.
Autentificarea - IPsec foloseste Internet Key Exchange (IKE) pentru autentificarea
utilizatorilor si dispozitive care comunica in exterior in mod independent. IKE
utilizeaza mai multe tipuri de autentificare, inclusiv nume de utilizator si parola, date
biometrice, chei pre-shared (PSKs), si certificate digitale.
Schimb de chei securizat - IPsec foloseste algoritmul DH pentru a furniza o metoda
publica de schimb de chei pentru doua perechi(peer) pentru a stabili o cheie secreta
partajata.

Fig.2 IPSec framework

La ora actuala exista doua tipuri de antete (headere) ce pot fi atasate la un pachet IP
pentru realizarea securitatii. Acestea sunt: AH - Authentication Header si ESP - Encapsulated
Security Payload

8
 Cele doua protocoale de securitate (AH sau ESP) pot actiona in doua moduri: modul de
transport (transport mode) si modul de tunelare (IP tunneling)

2.1. Modul de transport (transport mode)

Protocolul de securitate intervine in pachetul IP si adauga un antet de securitate imediat

dupa antetul IP (cu sau fara optiuni exprimate) dar antetul IP initial (header-ul) nu se modifica,
doar datele transmise sunt securizate (criptate si/sau autentificate). Prin folosirea protocolului
AH, adresele IP ale sursei, respectiv destinatiei, nu pot fi modificate pe parcurs deoarece acest
lucru ar duce la modificarea valorii hash. ESP ofera protectie minima protocoalelor de nivel
superior, in timp ce AH securizeaza total pachetul, inclusiv antetul IP. Acest mod de operare se
utilizeaza pentru schimbul de pachete intre calculatoarele-gazda (host-to-host).
MODUL TRANSPORT

Datagrama IP initiala

Antet IP initial Datele IP

Antet IP Antet IPSec Antet IP initial Datele IP

Fig. 3 Modul transport

2.2. Modul de tunelare (IP tunneling)

Intregul pachet (date si antete) este securizat. Se introduc doua antete de securitate in
fiecare pachet, inainte (outer header) si dupa (inner header) antetul EP. Antetul extern specifica
perechea de entitati intre care se creeaza tunelul IP si se aplica masurile de securitate pe baza
IPsec. Antetul intern precizeaza destinatia finala a pachetului pentru realizarea rutarii. ESP

9
protejeaza numai pachetul transmis prin tunelul IP, in timp ce AH asigura si securitatea antetului
exterior atasat. De regula acest mod de operare se utilizeaza intre porti de securitate care executa
impachetarea si despachetarea mesajelor (gateway-to-gateway).
MODUL TUNEL
Antete noi Criptarea

Antet IP nou
Antet IPSec Antet IP initial Datele IP

Protocol al
purtatoarei

Protocol de
incapsulare
Antet IP Datele IP (necriptate)

Protocolul pasagerului

Fig. 4 Modul de tunelare

Antetul de autentificare (AH), pe langa rolul de a garanta integritatea datelor transmise, poate
optional proteja pachetele impotriva atacurilor de intoarcere folosind tehnica ferestrelor glisante
(sliding window ) si descarcarea pachetelor vechi.
in IPv4, AH protejeaza incarcatura IP si toate antetele campurilor din datagramele IP, cu
exceptia pentru campurile variabile: DSCP/TOS, ECN, Flags, Fragment Offset, TTL
and Header Checksum;
in IPv6, AH isi protejeaza antetul propriu, optiunile destinatiei antetului extins dupa
antetul sau, si apoi incarcatura IP; de asemenea protejeaza si antetul IPv6 fix si toate
antetele extinse inainte de AH, exceptie facand uratoarele campuri: DSCP, ECN, Flow
Label, and Hop Limit.

10
 Fig. 5 - Formatul antetului de autentificare (AH)

Next Header (8 bits)

Tipul antetului urmator indica ce protocol de nivel superior a fost protejat. Valoarea este
luata din lista cu numerele de protocole IP.

Payload Len (8 bits)

Lungimea acestui antet de autentificare in 4 unitati de octeti minus 2. Desi marimea este
masurata in 4 unitati de octeti, lungimea acestui antet are nevoie sa fie multiplicat cu 8 octeti daca
este purtat antr-un pachet IPv6. Aceasta restrictie nu este aplicata unui AH purtat antr-un pachet
IPv4.
Reserved (16 bits)
Rezervati pentru utilizari viitoare (toate zerourile pana atunci).

Security Parameters Index (32 bits)

Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a identifica
asocierei de securitate a unei sesiune de trimitere.

Sequence Number (32 bits)

O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet
trimis) pentru prevenirea atacurilor de antoarcere (reply attacks).
Integrity Check Value (multiplu de 32 bits)
Lungime variabila ICV verifica valoarea. Este posibil sa contina paduri de aliniere de
camp in limita de 8 octeti pentru IPv6 sau in limita a 4 octeti pentru IPv4.

11
 Incarcatura securizata ancapsulata (ESP- Encapsulating Security Payload) este un membru a
protocolului IPSec care suporta numai configuratii de criptare si autentificare dar folosirea criptarii
fara autentificare este puternic descurajata deaorece este nesigura. Spre deosebire de AH, ESP nu
ofera protectie antetului pachetului IP.

Fig. 6 - Formatul ESP

In figura 6 este ilustrat cum este construit si interpretat pachetul datagarama ESP:
Security Parameters Index (32 bits)
Valoarea arbitrara care este folosita (ampreuna cu adresa IP a sursei) pentru a identifica
asocierei de securitate a unei sesiune de trimitere.

Sequence Number (32 bits)

O secveta monotona de crestere a numarului (incrementat cu 1 pentru fiecare pachet
trimis) pentru prevenirea atacurilor de antoarcere (reply attacks). Aici se gaseste un contor
separat tinut pentru fiecare asociere de securitate.

Payload data (variable)

Continutul protejat in pachetul IP original ce include orice date folosite pentru protectie.
Tipul continutului care a fost protejat este indicat in campul antetului vecin.
Padding (0-255 octets)
Incarcarea pentru criptare, pentru extinderea datelor de incarcare la dimensiunea unui
chiper de criptare, si aliierea campului urmator.

12
 Pad Length (8 bits)
Marimea padding-ului in octeti .
Next Header (8 bits)
Tipul antetului urmator indica ce protocol de nivel superior a fost protejat;
Valoarea este luata din lista cu numerele de protocole IP.
Integrity Check Value (multiple of 32 bits)
Lungime variabila ICV verifica valoarea. Este posibil sa contina paduri de aliniere de
camp in limita de 8 octeti pentru IPv6 sau in limita a 4 octeti pentru IPv4.
IPSEC defineste un "Security Association" (SA) ca avand rol primar in protejarea
pachetelor IP. Un SA este definit de adresa IP a pachetului destinatie si un parametru
SPI(Security Parameter Index), pe 32 de biti, care functioneaza oarecum ca un port TCP sau
UDP, in masura in care permite sa avem mai multe SA-uri la o singura adresa de
destinatie. SAS poate functiona in modul transport, in cazul in care campul de date IPSEC incepe
cu header-e de layer-e superioare (de obicei TCP, UDP, ICMP sau), sau in modul tunel, in cazul
in care campul de date IPSEC incepe cu un header de pachet IP complet nou. In plus, SA-urile
pot fi incapsulate in cadrul altor SA-uri, formand pachete SA, permitand astfel protectie IPSEC
stratificata (pe nivele). De exemplu, un SA ar putea proteja tot traficul realizat printr-un gateway,
in timp ce un alt SA va proteja tot traficul la o gazda particulara. Pachetele astfel rutate in
intreaga retea vor fi incapsulate intr-un singur pachet SA , care va contine ambele SA-uri.
Configurarea echipamentelor dintr-o retea in vederea aplicarii IPsec se realizeaza de catre
o persoana cu drepturi depline de stabilire a securitatii retelei (security officer), in trei etape:
Crearea grupurilor de securitate (SA) si stabilirea drepturilor si atributiilor
acestora;
Configurarea legaturilor dintre SA-uri si stabilirea ierarhiilor de prioritati, folosind
ISAKMP/IKE;
Stabilirea modalitatilor de clasificare a pachetelor IP si de actiune asupra lor
(permite sau interzice accesul in retea, aplica procedurile de securitate conform
IPsec).

13
 Pentru a securiza comunicatia in retea cu IPSec intre calculatoarele Windows folosim o
colectie de reguli, politici si filtre pentru a permite in mod selectiv doar comunicatia pentru
anumite protocoale.
Politicile de IPSec pot fi create si aplicate cu Group Policy pentru calculatoarele din
domeniu. Pentru calculatoare care nu sunt in domeniu, de exemplu serverele bastion, politicile
pot fi aplicate cu script-uri linie de comanda.

4. Concluzii

Internetul ofera oportunitati uimitoare, dar nu fara un anumit risc. Fara controale
corespunzatoare, datele dintr-o retea sunt supuse la mai multe tipuri de atacuri. Pentru a putea iesi
pe internet, fiecare calculator are nevoie de un IP (Internet Protocol).
Unul dintre punctele slabe ale Internet Protocol este ca nu are nici un fel de mecanism
pentru a asigura autenticitatea si confidentialitatea datelor. Deoarece datagramele IP trebuie sa
fie, de obicei, trimise Intre doua dispozitive prin retele necunoscute, orice informatie din ele este
supusa riscului de a fi interceptat si, eventual, chiar schimbata. Datorita utilizarii sporite a
internetului pentru aplicatii critice, Imbunatatiri de securitate au fost necesare. In acest scop, a
fost dezvoltat un set de protocoale numit IPSec.
Aceasta lucrare prezinta pe scurt ce inseamna stiva TCP/IP, impreuna cu modul in care
protocolul IPSesc asigura securitatea si integritatea datelor dintr-o retea, peste aceasta stiva.
TCP / IP este, practic, peste tot. Acesta este astazi de departe , suita de protocoale cel mai
frecvent utilizata. Ea a castigat importanta in mare parte datorita rolului sau in functionarea
internetului la nivel mondial, care in cativa ani a transformat societatea noastra atat de
mult. Milioane de oameni utilizeaza TCP / IP si Internet fara sa stie cu adevarat modul in care
acestea functioneaza. Pentru cei din domeniul tehnologiei, cu toate acestea, intelegerea TCP / IP
este din ce in ce mai importanta, cu fiecare an ce trece.
IPSec este un mecanism de securitate forte important, permitand atat autentificare cat si
integritatea datelor transmise sau chiar criptarea datele confidentiale.

14
 IPSec trebuie folosit pentru a securiza traficul care parcurge retele sau segmente cu
potential de interceptare a comunicatiei. Nu este in general util a securiza intreg traficul in
interiorul intregii retele a companiei, decat pentru retele cu grad mare de securitate.

15
5. Bibliografie

1. http://en.wikipedia.org
2. http://ro.wikipedia.org/wiki/IPSec

3. CCNA Security Implementing Security

4. CCNA Exploration Network Fundamentals
5. Securitatea retelelor de comunicatii I. Bogdan, L. Scripcariu - Casa de editura, Iasi,
2008
6. http://www.securitatea-informatica.ro
7. http://technet.microsoft.com/en-us/network/bb531150.aspx
8. http://www.tcpipguide.com/free/t_IPSecurityIPSecProtocols.htm
9. http://www.freesoft.org/CIE/Topics/141.htm

16