Documente Academic
Documente Profesional
Documente Cultură
Cuprins
• Introducere
• Tipuri de VPN-uri
• Componentele VPN
• Caracteristicile Secure VPN-urilor
• VPN Tunneling
• Integritatea datelor in VPN
• IPsec
• Studiu de caz
Introducere
• VPN
• Permite organizatiilor sa creeze retele private
peste Internet
• Asigura confidentialitatea si securitatea
• Traficul este criptat
• Foloseste conexiuni virtuale care sunt rutate prin
Internet
• Scalabilitate
• Cost redus
Tipuri de VPN-uri
• Site-to-site VPN
– Conecteaza locatii dispersate
– Hosturile transmit si receptioneaza trafic TCP/IP
printr-un VPN gateway
Internet
`
• Site-to-site VPN
– VPN gateway
• Incapsuleaza si cripteaza traficul de iesire si il trimite
printr-un VPN tunnel prin Internet la un peer VPN
gateway aflat la locatia destinatie
• La receptie elimina headerele, decripteaza continutul si
transmite pachetul hostului destinatie din reteaua sa
privata
Internet
`
• Remote access VPN
– Fiecare host are un VPN client software
– Cand un host incearca sa transmita trafic, VPN client
software incapsuleaza si cripteaza respectivul trafic
inainte de a-l transmite prin Internet la VPN
gateway-ul de la granita retelei destinatie
– La receptie, VPN gateway-ul prelucreaza datele in
acelasi mod ca in cazul site-to-site VPN
Internet
`
Componentele VPN
• Retea cu servere si statii
• Conexiune la Internet
• VPN gateway-uri (rutere, firewall-uri,
concentratoareVPN, ASA-uri) care actioneaza
ca puncte de capat pentru stabilirea,
managementul si controlul conexiunilor VPN
• Software pentru crearea si managementul
VPN tunnel-urilor
• VPN-urile securizeaza datele prin
incapsularea si/sau criptarea datelor
– Incapsularea (tunneling) transmite datele
transparent din retea in retea printr-o
infrastructura de retea partajata
– Criptarea codifica datele intr-un format diferit
folosind o cheie secreta
– Decriptarea decodifica datele criptate in formatul
necriptat original
Caracteristicile Secure VPN-urilor
Date
Date
Header IP Date
originale
originale
Criptat
Mod
Mod
Header IP Header ESP Date Trailer ESP Autentificare ESP
transport
transport
Autentificat
Criptat
Mod
Mod Header IP nou Header ESP Header IP Date Trailer ESP Autentificare ESP
tunnel
tunnel
Autentificat
Internet Key Exchange
• IPsec VPN negociaza parametri schimbului
cheilor, stabileste o cheie shared, autentifica
perechea si negociaza parametri criptarii
• Parametri negociati intre doua dispozitive sunt
cunoscuti ca security association (SA)
• IPsec foloseste protocolul Internet Key Exchange
(IKE) pentru a stabili procesul de schimb al
cheilor
• IKE foloseste protocolul UDP, portul 500
• IKE combina Internet Security Association and
Key Management Protocol (ISAKMP) si metodele
de schimb al cheilor Oakley si Skeme
• ISAKMP defineste formatul mesajului, mecanica
protocolului de schimb al cheilor si procesul de
negociere pentru a construi un SA pentru IPsec
• ISAKMP nu defineste modul in care cheile sunt
administrate sau partajate
• Oakley si Skeme au definite cinci grupuri de chei
• Pentru a stabili un canal de comunicatie securizat
IKE executa doua faze
– Faza 1 – Negocierea initiala a SA-urilor. Negocierea
seturilor de politici IKE, autentificarea perechilor si
setarea unui canal securizat intre perechi
– Faza 2 – SA-urile sunt negociate de ISAKMP