Sunteți pe pagina 1din 9

Structura temei:

I. Prezentarea reţelelor VPN


II. Avantajele şi scopul reţelelor VPN
III. Strategii de implementare a reţelelor VPN
IV. Traficul divizat prin tunel
V. Autentificarea şi integritatea datelor
VI. Transmiterea datelor prin tunel
VII. Moduri de criptare

I. Prezentarea reţelelor VPN


O reţea privată virtuală (VPN) este o conexiune criptată de reţea care foloseşte un tunel sigur
între capete, prin Internet sau prin altă reţea, cum ar fi o reţea WAN. într-o reţea VPN, conexiunile pe
linii telefonice către utilizatorii de la distanţă şi liniile închiriate sau conexiunile Frame Relay către
locaţii aflate la distanţă sunt înlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP)
sau la un punct de prezenţă a unui furnizor de servicii (POP). Răspândirea din ce în ce mai mare a
conexiunilor Internet de bandă largă către sediile mai mici de la distanţă şi către domicilii face atractivă
această utilizare a unui acces ieftin la reţeaua Internet. După cum am explicat, după o investiţie
iniţială în reţele VPN, costul pentru adăugarea mai multor locaţii sau utilizatori este minim.
Reţelele VPN permit fiecărui utilizator al reţelei dumneavoastră să comunice într-un mod sigur
şi fiabil folosind Internetul ca mediu de conectare la reţeaua dumneavoastră privată de tip LAN. O reţea
VPN se poate dezvolta astfel încât să se adapteze la mai mulţi utilizatori şi la locaţii diferite, mai uşor
decât prin linii închiriate. De fapt, scalabilitatea este un avantaj major al reţelelor VPN faţă de liniile
închiriate tipice. Spre deosebire de liniile închiriate, în care costul creşte proporţional cu distanţele
implicate, localizarea geografică a fiecărui sediu are puţină importanţă în crearea unei reţele VPN.
Este posibil să existe reţele VPN necriptate, care se bazează pe un alt tip de criptare sau
direcţionare pentru asigurarea securităţii; de exemplu, reţelele VPN de tip MPLS (Multiprotocol Labei
Switching — comutarea etichetelor între mai multe protocoale). Aceste reţele VPN sunt o soluţie
adecvată numai în condiţii foarte specifice. Experienţa spune că trebuie să criptaţi întotdeauna traficul
printr-o reţea VPN. Dacă nu faceţi acest lucru, ar putea fi un dezastru, iar responsabilitatea va cădea pe
umerii dumneavoastră.
O reţea VPN permite unei reţele intranet private să fie extinsă în siguranţă prin criptare IPSec în
Internet sau în alte servicii de reţea, facilitând un comerţ electronic sigur şi conexiuni extranet cu
angajaţi mobili, parteneri de afaceri, furnizori şi clienţi. Există trei tipuri principale de reţele VPN:
 Reţele VPN pentru accesul de la distanţă (Remote Access VPN) — Permit fiecărui
utilizator dialup să se conecteze în mod protejat la un sediu central prin Internet sau prin alt
serviciu public de reţea. Acest tip de reţea VPN este o conexiune utilizator-LAN care
permite angajaţilor o conectare din afară la reţeaua LAN a companiei. Sistemele
angajaţilor folosesc o aplicaţie software client VPN specială, care permite o legătură
sigură între ei şi reţeaua LAN a companiei. De obicei, o companie care doreşte să

1
configureze o reţea VPN mare de la distanţă, oferă o formă de cont dialup la Internet
pentru utilizatorii săi, folosind pentru acces un furnizor ISP. În acest caz, utilizatorii
situaţi la distanţă pot forma un număr gratuit pentru a ajunge în Internet şi pot folosi acel
software client VPN pentru accesul la reţeaua companiei. Un exemplu bun de companie care
are nevoie de o reţea VPN pentru acces de la distanţă poate fi o firmă cu sute de agenţi care
lucrează în vânzări aflaţi în teritoriu. Reţelele VPN pentru acces de la distanţă sunt
denumite uneori VPN soft (adică bazate pe software), reţele dialup private virtuale
(VPDN) sau reţele dial VPN. Utilizatorii plătesc o taxă fixă mică unui furnizor local
ISP folosind un apel local şi, în consecinţă, nu mai suportă cheltuielile pentru legăturile
interurbane şi nu trebuie să stabilească un apel la distanţă direct cu sediul companiei.
Utilizatorul poate apoi să folosească o conexiune ISP locală pentru a stabili un tunel VPN
prin Internet. Managerii departamentelor financiare preferă cheltuielile mici, fixe,
celor mereu în creştere, pentru distanţe mari.
 Reţele VPN locaţie-la-locaţie — Sunt folosite pentru a extinde reţeaua LAN existentă a
companiei în alte clădiri şi locaţii, prin utilizarea unui echipament dedicat, astfel încât
angajaţii din aceste locaţii aflate la distanţă să poată utiliza aceleaşi servicii de reţea. Aceste
tipuri de reţele VPN sunt considerate conectate activ în permanenţă. Reţelele VPN locaţie-la-
locaţie sunt uneori denumite reţele VPN nard (bazate pe hardware), intranet sau reţele VPN
LAN-to-LAN.
 Reţele VPN extranet — Permit conexiuni sigure cu partenerii de afaceri, furnizorii şi
clienţii, în scopul comerţului electronic. Reţelele VPN extranet sunt o extindere a reţelelor
VPN intranet prin adăugarea unor sisteme firewall de protejare a reţelei interne. Un exemplu
bun sunt companiile care lucrează mult cu furnizori şi parteneri, având scopuri comune, cum
ar fi relaţiile de tip aprovizionare-comenzi; una dintre companii are o comandă de
aprovizionare, iar furnizorul satisface această comandă pe baza nevoilor companiei. Lucrând
prin extranet, aceste două companii pot partaja informaţii mult mai rapid.
Toate aceste reţele VPN au ca scop să ofere fiabilitate, performanţă, calitatea serviciilor şi
securitatea mediilor WAN tradiţionale, folosind furnizori ISP sau alte servicii care asigură conexiuni
mai ieftine şi mai flexibile. Figura 1 ilustrează cele trei tipuri de reţele VPN.
Figura 1. Tipuri de reţele VPN

2
În figura 1, toate reţelele VPN folosesc Internetul. Tehnologia VPN poate, de asemenea, să fie
folosită în cadrul reţelei dumneavoastră pentru a oferi un nivel suplimentar de securitate şi a controla
accesul la informaţii secrete, la sisteme sau la resurse. De exemplu, tehnologia VPN poate fi folosită
pentru a limita accesul la sisteme financiare ale anumitor utilizatori sau pentru a asigura transmiterea
protejată a informaţiilor secrete sau confidenţiale. În acest context, reţelele VPN pot cripta traficul către
sistemele importante, ridicând astfel nivelul de protecţie al acestuia. Secţiunea următoare prezintă
amplasarea reţelelor VPN şi avantajele ce rezultă pentru fiecare.

II. Avantajele şi scopul reţelelor VPN


O reţea VPN bine proiectată poate aduce multe avantaje companiei. Câteva dintre
beneficiile implementării unei reţele VPN în reţeaua dumneavoastră sunt următoarele:
 Înainte de apariţia tehnologiilor VPN, angajaţii localizaţi la distanţă trebuiau să apeleze
numere de telefon interurbane pentru a ajunge la reţeaua companiei. Veţi reduce cheltuielile
cu telecomunicaţiile pe măsură ce conexiunile dedicate şi de tip dialup de la distanţe mari sunt
înlocuite cu conexiuni locale la Internet, prin care utilizatorii folosesc un client VPN. În
funcţie de numărul de angajaţi din teritoriu, această metodă singură poate aduce economii
imense. Pentru multe companii mici, cu resurse financiare limitate, soluţia furnizorilor VPN poate
fi utilă.
 Creşteţi productivitatea utilizatorilor permiţându-le un acces sigur la resursele reţelei,
indiferent de localizarea lor geografică.
 Reduceţi cheltuielile operaţionale alocate conexiunilor WAN dedicate, înlocuindu-le cu
conexiuni Internet directe, cum sunt cele de bandă largă pentru afaceri, prin care locaţiile
aflate la distanţă se vor conecta printr-o reţea VPN locaţie-la-locaţie.
 Simplificaţi topologia reţelei dumneavoastră adăugându-i strategic reţele VPN peste tot.
 Cerinţele dumneavoastră pentru lărgimea de bandă sunt modeste, în cazul în care locaţiile
au nevoie de conectivitate la reţeaua dumneavoastră. Folosind reţele VPN, veţi avea o
recuperare mai rapidă a investiţiilor decât atunci când aplicaţi soluţia WAN.
 Doriţi o mai mare flexibilitate în instalarea echipamentelor mobile de calcul, de
3
telecomunicaţii şi pentru lucrul în reţea cu filialele, un comerţ electronic mai uşor şi
conexiuni extranet cu partenerii de afaceri, cu furnizorii şi pentru accesul la Internet al
clienţilor externi, un intranet intern şi acces extranet — toate acestea pot fi asigurate folosind o
singură conexiune sigură.
 Doriţi să reduceţi cheltuielile aferente sediilor, cerând utilizatorilor să lucreze acasă trei zile
pe săptămână. Lucrând acasă, utilizatorii casnici au, de obicei, o productivitate mai mare şi
sunt mai puţin stresaţi.
Înainte de a implementa o reţea VPN, ar trebui să alocaţi suficient timp pentru a gândi ce doriţi să
realizaţi cu aceasta. în acest timp, înainte de a alege un furnizor de soluţii ori hardware şi software, ar
trebui să luaţi în considerare ce caracteristici sunt mai importante. Securitatea, menţionată mai târziu,
este una dintre cele mai importante proprietăţi ale reţelelor VPN.

III. Strategii de implementare a reţelelor VPN


Strategiile de implementare a reţelelor VPN sunt extrem de variate deoarece toţi furnizorii de azi
au „o soluţie VPN" pentru dumneavoastră! Unele dintre soluţii sunt ceea ce se pretinde că sunt, iar altele
ridică probleme mari în rândul comunităţii preocupate de securitate. Deoarece nu există un standard
larg acceptat de implementare a unei reţele VPN, multe companii au dezvoltat soluţii proprii, la cheie.
Această secţiune analizează câteva dintre diferitele componente posibile, disponible la firma Cisco,
precum şi modul în care fiecare dispozitiv, de exemplu sistemele firewall, pot fi folosite pentru a juca
rolul unei reţele VPN:
 Sistemele firewall — În prezent, toate sistemele firewall Cisco acceptă combinarea
reţelelor VPN cu inspectarea pachetelor în funcţie de stare (SPI). Soluţiile variază
începând cu reţelele VPN de tip locaţie-la-locaţie bazate pe standarde care realizează un
echilibru între standardele Internet Key Exchange (IKE) şi IPSec pentru VPN.
Sistemele firewall Cisco PIX criptează datele folosind standardul DES (Data Encryption
Standard) pe 56 de biţi, Triple DES (3DES) pe 168 de biţi sau chiar criptarea AES
(Advanced Encryption Standard) pe 256 de biţi. Fiind un exemplu minunat de
tehnologie, Cisco PIX Firewall combină traducerea NAT (Network Address Translation)
dinamică, filtrarea pachetelor de server proxy, un sistem firewall şi funcţii terminale
VPN într-un singur echipament hardware. În loc să folosească Cisco IOS Software, acest
dispozitiv are un sistem de operare de mare viteză, care preia rolul de a lucra cu diverse
protocoale, pentru a oferi robusteţe şi performanţă concentrându-se pe servicii IP.
 Routere cu capacităţi VPN — Routerele Cisco pot fi modernizate pentru a avea
capacitatea de a folosi reţele VPN. Aceste modernizări vin sub una dintre următoarele
forme, în funcţie de modelul de router în discuţie: IOS, memorie sau hardware VPN
dedicat. Puteţi obţine câteva funcţii unice care oferă scalabilitate, direcţionare,
securitate şi calitatea serviciilor (QoS). Dacă se foloseşte Cisco IOS Software, se
obţine un router potrivit pentru orice situaţie, de la accesul de la un sediu mic sau de
acasă (SOHO — small office/home office) prin asocierea sediu central-site VPN,
până la cerinţele unei întreprinderi de mari proporţii.
 Concentrator VPN — Incorporând cele mai avansate tehnici de criptare şi
autentificare disponibile, concentratoarele Cisco VPN sunt construite special pentru a

4
crea reţele VPN cu acces de la distanţă, care asigură o disponibilitate ridicată,
performanţă ridicată şi scalabilitate, şi includ componente numite module de
prelucrare scalabilă a criptării (SEP — scalable encryption processing), prin care
se permite inginerilor de reţea să crească, fără probleme, capacitatea şi volumul
transferului. Concentratoarele VPN sunt construite pentru a satisface cerinţele
reţelelor VPN şi sunt disponibile în modele adecvate pentru orice, începând cu micile
firme de până la 100 de utilizatori cu acces de la distanţă, până la organizaţiile mari cu
până la 10 000 de utilizatori simultani de la distanţă.
 Software client — Uşor de instalat şi de operat, Cisco VPN Client stabileşte tuneluri
sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai jos. Acest
software de fineţe, compatibil cu IPSec poate fi preconfigurat pentru instalări
comasate, iar deschiderile iniţiale de sesiuni necesită o intervenţie redusă a
utilizatorului. Aplicaţia software client este disponibilă pentru următoarele sisteme de
operare: Windows 95, 98, Me, NT 4.0, 2000, XP, Linux (Intel), Solaris (UltraSparc-
32bit) şi MAC OS X 10.x.
În funcţie de tipul de reţea VPN (cu acces de la distanţă sau locaţie-la-locaţie), trebuie să folosiţi
componente hardware specifice pentru a construi reţeaua VPN. Totuşi, luaţi în considerare şi
următoarele:
 Capacitatea de gestionare — Capacitatea de gestionare a unei reţele VPN se referă la
efortul necesar pentru a întreţine cu succes conectivitatea stabilită a reţelei. Mai exact,
PC Magazine defineşte capacitatea de gestionare prin „factorii care facilitează
utilizarea opţiunilor de management de la distanţă şi local, inclusiv faptul că
dispozitivul furnizează un acces printr-o interfaţă bazată pe un browser sau prin linie
de comandă" (PC Magazine, 2002).
 Fiabilitatea — Evident, dacă un produs software sau hardware VPN nu este disponibil
atunci când aveţi nevoie, pierdeţi din productivitate şi, probabil, din venituri. La
alegerea unei soluţii, solicitaţi statisticile cu „durata de funcţionare" pentru a face
comparaţie.
 Scalabilitatea — Pe măsură ce afacerea unei companii se dezvoltă, adesea, se dezvoltă şi
cerinţele acesteia pentru tehnica de calcul. Pentru a extinde infrastructura VPN rapid şi
cu costuri reduse, este important să alegeţi o soluţie care ia în considerare scalabilitatea.
Ceea ce-şi doreşte mai puţin un manager IT este să fie nevoit să o ia de la început şi să
înlocuiască infrastructura VPN din cauza unei limitări în potenţialul de dezvoltare al
acesteia.
La selectarea dispozitivului potrivit să ofere servicii VPN pentru reţeaua dumneavoastră,
trebuie să aveţi în vedere limitările. De exemplu, sistemul IOS al unui router poate fi terminalul reţelelor
VPN, dar aceasta este o procedură manuală de configurare şi necesită o înţelegere mai profundă decât în
cazul unui sistem firewall PIX, care are disponibil programul VPN Configuration Wizard cu interfaţă
GUI. Mai există Cisco VPN Concentrator, care completează sistemul PIX sau IOS cu o interfaţă
GUI puternică, facilitând managementul mai multor politici VPN. Cisco VPN Concentrator oferă
instrucţiuni intuitive pentru configurarea acestor politici şi grupuri diferite, permiţând astfel existenţa
mai multor utilizatori diferiţi într-o reţea cu diferite grupuri de executare asociate acelui grup. De

5
obicei, aduc în discuţie un concentrator atunci când clientul are un personal limitat şi are nevoie de mai
multe cerinţe diferite pentru politica VPN. Sistemul IOS cu PIX este mai dificil de configurat şi de
controlat pentru această cerinţă particulară. De asemenea, nu uitaţi de scalabilitate.

IV. Traficul divizat prin tunel


Mulţi utilizatori VPN se află deja în spatele sistemelor firewall şi trebuie să aibă acces la resurse
doar printr-o reţea VPN. Reţelele tradiţionale VPN nu permit utilizatorilor să aibă acces şi la resursele
de reţea din segmentul lor local, în timp ce sunt conectaţi la reţeaua VPN a companiei. Acest lucru
devine o problemă când, autentificând pachete IP dintre dispozitivele IPSec care participă („peers"),
cum sunt routerele Cisco sau sistemele firewall. IPSec oferă următoarele servicii de securitate a reţelei:
 Confidenţialitatea datelor — Expeditorul IPSec poate cripta pachetele înainte de a le
transmite printr-o reţea. Dacă un hacker ar citi datele, acestea nu i-ar fi de nici un folos.
 Integritatea datelor — Punctul final receptor IPSec autentifică toate pachetele trimise de
expeditorul IPSec, asigurându-se că datele nu au fost modificate în timpul transmisiei.
 Autentificarea originii datelor — Receptorul IPSec poate autentifica sursa pachetelor
IPSec transmise. Acest serviciu depinde de serviciul de integritate a datelor.
 Nu permite reluarea transmiterii pachetelor — Receptorul IPSec poate detecta şi
respinge pachetele retransmise.
IPSec protejează datele importante care trec prin reţelele neprotejate, iar serviciile de securitate
IPSec sunt oferite la nivelul stratului reţea. De aceea, nu trebuie să configuraţi separat staţiile de lucru,
PC-urile sau aplicaţiile. Acest avantaj poate aduce mari reduceri de cheltuieli. În loc să oferiţi serviciile
de securitate pe care nu aveţi nevoie să le instalaţi şi să coordonaţi securitatea fiecărei aplicaţii şi a
fiecărui calculator în parte, puteţi modifica pur şi simplu infrastructura reţelei pentru a oferi servi ciile
necesare de securitate. Acest suport permite soluţii IPSec scalate pentru reţele de dimensiuni medii, mari
şi în dezvoltare, acolo unde este solicitată o conexiune între mai multe dispozitive.
IPSec oferă funcţii performante de securitate, cum sunt algoritmii mai buni de criptare şi o
autentificare mai cuprinzătoare. Reţelele de companii conectate la Internet pot permite un acces VPN
flexibil şi sigur cu IPSec. În cazul tehnologiei IPSec, clienţii pot construi reţele VPN prin Internet
având o protecţie bazată pe criptare în faţa atacurilor de interceptare, de sustragere sau de alt tip, care
pătrund în comunicaţiile private.
Doar sistemele compatibile IPSec pot beneficia de avantajul acestui protocol. De asemenea, toate
dispozitivele trebuie să folosească o cheie comună şi fiecare sistem firewall al reţelei trebuie să aibă
configurate politici similare de securitate.
IPSec asigură servicii de autentificare şi criptare pentru protecţia împotriva vizualizării sau
modificării neautorizate a datelor din reţeaua dumneavoastră sau în timpul transferului printr-o reţea
neprotejată, cum este Internetul public. IPSec poate cripta date între diferite dispozitive, cum sunt:
 router către router;
 sistem firewall către router;
 sistem firewall către sistem firewall;
 utilizator către router;
 utilizator către sistem firewall;
 utilizator către concentrator VPN;
6
 utilizator către server.
IPSec este o structură de standarde deschise, definite de organizaţia IETF. IPSec oferă securitatea
transmisiei informaţiilor confidenţiale prin reţelele neprotejate, cum este Internet. Figura 2 arată cele mai
uzuale trei tipuri de reţele VPN.

Figura 2. Schema conectivităţii VPN

V. Autentificarea şi integritatea datelor


Pentru a stabili adevărul, autentificarea verifică identitatea a două puncte de capăt VPN şi a
utilizatorilor ce transmit traficul prin reţeaua VPN. Un punct de capăt ar putea fi un client VPN, un
concentrator VPN, un sistem firewall sau un router. Autentificarea este un proces ce ţine de securitatea IP
şi care are loc după criptarea datelor şi înainte de decriptare, la capătul receptor. Este o funcţie necesară
în cadrul securităţii IP, prin care se asigură că ambele părţi, expeditorul şi destinatarul, sunt cine pretind
a fi. În cazul IPSec, fiecare participant trebuie configurat manual cu o cheie partajată anterior (de obicei
se convine asupra ei în afara unei conexiuni) şi o listă statică de participanţi valabili, creând astfel un
tabel mare în cadrul routerului, care necesită resurse de memorie.
Integritatea datelor este o altă funcţie din IPSec. Integritate înseamnă că pachetul primit de
destinatar nu a fost modificat în timpul transmisiei. Acest lucru se realizează folosind un algoritm hash
ireversibil. Un algoritm hash ireversibil este echivalent cu o sumă de control criptată. După ce
expeditorul criptează şi autentifică un pachet, algoritmul hash ireversibil este rulat pe valoarea întregului
pachet. O valoare hash este interesantă pentru că rezultatul acesteia va avea întotdeauna o dimensiune
fixă, indiferent de intrare. Acesta este un alt mecanism de securitate, astfel încât hackerii să nu poată şti
dimensiunea câmpului de intrare. Algoritmul hash ireversibil creează un câmp criptat anexat la mesaj.
La capătul receptor, valoarea hash ireversibilă este extrasă din pachet, iar receptorul rulează propriul său
algoritm hash. Deoarece algoritmul hash este rulat asupra unor variabile din pachet, cum sunt ora
transmiterii, numărul de octeţi etc, ambele valori hash trebuie să fie aceleaşi, acest lucru însemnând că
7
pachetul nu a fost viciat. Dacă valorile sunt diferite, pachetul este respins, iar IPSec renegociază
parametrii securităţii.

VI. Transmiterea datelor prin tunel


Reţelele VPN se bazează pe transmiterea prin tunel pentru a crea o reţea privată în Internet. În
esenţă, acesta este procesul de preluare a unui pachet întreg de date şi de încapsulare a lui în cadrul altui
pachet, înainte de a-l trimite prin reţea. Reţeaua trebuie să înţeleagă protocolul pachetului din exterior,
pentru ca acesta să intre şi să iasă din reţea. Crearea unui tunel necesită funcţionarea a trei protocoale
diferite:
 Protocolul pasagerului (passenger protocol) — Pachetul datelor iniţiale, de obicei de
tip IP, care trebuie criptat în reţeaua VPN. Ar putea fi incluse şi alte protocoale precum
IPX sau NetBEUI, dacă doriţi.
 Protocolul de încapsulare (encapsulating protocol) — Protocolul (GRE, IPSec,
L2F, PPTP, L2TP) care înglobează datele iniţiale. IPSec este standardul de facto folosit
ca protocol de încapsulare în această etapă care permite întregului pachet pasager să
fie criptat şi protejat. IPSec trebuie să fie acceptat de ambele interfeţe ale tunelului pentru
a funcţiona corect.
 Protocolul purtătoarei (carrier protocol) — Protocolul folosit de reţea prin care
călătoreşte informaţia. Pachetul iniţial (protocolul pasagerului) este încapsulat în cadrul
protocolului de încapsulare şi introdus apoi în antetul protocolului purtătoarei (de obicei
IP) pentru o transmisiune prin reţeaua publică.
Protocolul de încapsulare realizează adeseori criptarea datelor. După cum vedeţi, protocoale ca
IPX şi NetBEUI, care nu sunt transferate de obicei prin Internet, pot fi transmise în siguranţă. Sau, se
poate pune un pachet care foloseşte o adresă IP privată (adresă IP pe baza căreia nu se poate realiza
direcţionarea) în cadrul unui pachet care foloseşte o adresă IP unică globală, pentru a extinde o reţea
privată în Internet. Aceste tehnici pot face aceste protocoale să funcţioneze folosind protocoalele GRE
şi IPSec.
Transmiterea prin tunel funcţionează bine cu reţelele VPN, deoarece se pot folosi protocoale care
nu sunt acceptate în Internet în cadrul unui pachet IP şi acesta poate să fie transmis în siguranţă în
continuare. La începutul unei transmisiuni VPN prin tunel, un pachet de date de la o sursă LAN este
înglobat sau încapsulat cu informaţii noi de antet, care permit reţelelor intermediare să-1 recunoască şi
să-l livreze. După această operaţie şi după ce transmisiunea este încheiată, antetul protocolului pentru
tunel este îndepărtat, iar pachetul original este transferat în reţeaua LAN de destinaţie, pentru a fi
livrat.
Deşi transmisia prin tunel permite datelor să fie purtate prin reţele ale unor terţe părţi, acesta nu
poate asigura singură protecţia datelor. Pentru a proteja o transmisie prin tunel în faţa oricărui tip de
interceptare şi sustragere, întregul trafic prin reţelele VPN este criptat. În plus, reţelele VPN conţin funcţii
suplimentare, precum sistemele firewall de la periferie.
În reţelele VPN de tip locaţie-la-locaţie, protocolul de încapsulare este de obicei IPSec sau
încapsularea cu direcţionare generică (GRE). GRE conţine informaţii despre tipul de pachet
încapsulat şi despre conexiunea dintre client şi server. Diferenţa depinde de nivelul de securitate
necesar pentru conexiune, securitatea fiind mai mare cu IPSec, iar GRE având o mai mare

8
funcţionalitate. IPSec poate crea tuneluri şi poate cripta pachete IP, pe când GRE poate crea tuneluri
pentru pachete IP şi pentru pachete care nu sunt IP. Când trebuie să fie transmise prin tunel,
pachetele care nu sunt IP (precum IPX), IPSec şi GRE ar trebui folosite împreună.

VII. Moduri de criptare


IPSec are două moduri de criptare: tunel şi transport. Fiecare mod diferă prin aplicaţiile sale şi
prin cantitatea de informaţii adăugate în antetul pachetului pasager. Aceste moduri diferite de operare
sunt rezumate astfel: modul tunel criptează antetul pachetului şi segmentul de date utile al fiecărui
pachet, pe când modul transport criptează doar segmentul cu datele utile.
Modul tunel
Aceasta este metoda normală prin care IPSec este implementat între două sisteme PIX Firewall
(sau alte porţi de securitate) care sunt conectate printr-o reţea lipsită de încredere, cum este Internetul
public. Întreaga prezentare legată de IPSec implică modul tunel. Modul tunel încapsulează şi protejează
un pachet IP complet. Deoarece încapsulează sau ascunde pachetele pentru a fi transmise în continuare
cu succes, chiar routerele de criptare posedă adresele IP folosite în aceste antete noi. Modul tunel
poate fi folosit cu oricare dintre protocoalele ESP (Encapsulating Security Protocol — protocol de
securitate cu încapsulare) şi AH (Authentication Header — antet de autentificare) sau cu amândouă.
Folosirea modului tunel duce la o creştere suplimentară a pachetului, cu aproximativ 20 de octeţi
asociaţi la antetul IP, căci trebuie să se adauge un antet IP nou la pachet, ca în figura 3.
Figura 3. Modul tunel

Modul transport
Această metodă de implementare a tehnologiei IPSec este aplicată mai ales cu protocolul L2TP
pentru a permite autentificarea clienţilor VPN Windows 2000 aflaţi la distanţă. În modul tunel, IPSec
criptează întregul pachet şi scrie un nou antet IP în pachet, ceea ce maschează informaţiile despre sursa
iniţială şi destinatar. Modul tunel este evident mai sigur decât modul transport (deoarece întregul pachet
iniţial este criptat, nu numai segmentul de date propriu-zise ca în modul transport), cum este arătat în
figura 4.

Figura 4. Modul transport