MINISTERUL EDUCATIEI,CULTURII SI CERCETARII

CENTRU DE EXCELENTA IN ENEGRETICA SI ELECTRONICA

CATEDRA “SISTEME INFORMATIONALE”

Studiul Individual NR. 6

la obiectul “Asistenta in securitatea retelelor de calculatoare”

Tema: Componentele și operațiile IPSec

A efectuat st. gr. - RC-0218 Burcovschi Dorin

A verificat profesorul Domenti Tudor

Chisinau 2021
Internet Protocol Security (IPsec) este o suită de protocoale pentru securizarea
comunicațiilor peste stiva TCP/IP. Această suită se bazează pe folosirea funcțiilor
matematice și a algoritmilor de criptare și autentificare pentru a asigura
confidențialitatea, integritatea și non-repudierea informațiilor din fiecare pachet IP
transmis pe rețea. IPSec este la ora actuală una dintre cele mai folosite metode de
securizare a transmisiei pe Internet, alături de SSL (Secure Sockets Layer) și TLS
(Transport Layer Security). Spre deosebire de acestea, protocoalele IPSec se
regăsesc la nivelul 3 al stivelor TCP/IP și ISO-OSI, ceea ce face posibilă
securizarea tuturor aplicațiilor care folosesc stiva TCP/IP.

IPSec are o arhitectură de tip end-to-end, compatibilă atât cu protocolul IPv4, cât și
cu IPv6, unde integrarea funcțiilor de securizare este nativă, încă de la proiectarea
protocolului. Modelul IPsec este descris în mod oficial de către IETF, printr-o serie
de documente RFC.

Prin suita IPsec pot fi securizate comunicațiile între două sau mai multe
calculatoare independente, între două sau mai multe subrețele aflate fiecare în
spatele unui gateway care se ocupă de folosirea funcțiilor criptografice pentru
fiecare subrețea aflată în administrarea sa, precum și între un calculator
independent și o subrețea aflată în spatele unui gateway. IPsec se bazează pe
proprietățile criptografice ale unor modele precum Diffie-Hellman, RSA sau DSA
și a algoritmilor de criptare și autentificare, cum sunt DES, 3 DES, AES, MD5,
SHA1.

Modul de funcționare
În afara cazului de manual keying unde baza de date SAD este completată într-o
manieră statică, negocierea IKE este descrisă mai jos. Există două versiuni ale
acestui protocol:
 IKEv1 - RFC 2409
 IKEv2 - RFC 4306.
Cele două protocoale nu sunt compatibile unul cu celălalt.

IKEv1
Negocierea IKEv1 este alcătuită din două etape sau faze, numite sugestiv Phase1 și
Phase2. Prima fază are rolul de a autentifica entitățile de IPSec, de a stabili o
asociere de securitate și de a deriva cheile Diffie-Hellman din care vor fi derivate
ulterior cheile efective de criptate și/sau autentificare pentru traficul de date. Prima
fază are la rândul ei două variante sau moduri: modul principal - main mode și
modul agresiv - aggressive mode, fiecare redat mai jos. Faza a doua este numită
modul rapid - quick mode.

 Modul principal cuprinde un număr de șase mesaje care se schimbă între

inițiatorul și responderul de IPsec.
  Modul agresiv cuprinde un număr de trei mesaje schimbate și este considerat
un schimb nesigur, de aceea nu se mai recomandă utilizarea lui.

 Modul rapid cuprinde un număr de trei mesaje și este dependent de

realizarea unui schimb anterior (de tip principal sau agresiv), care să
protejeze informația conținută în aceste pachete. Modul de bază (fără schimb
de chei) împrospătează informația din materialul criptografic derivat în
schimbul de prima fază. Acest procedeu nu furnizează însă serviciul de PFS
- Perfect Forward Secrecy, serviciu care poate fi obținut prin utilizarea unui
payload special de schimb de chei + KE, care presupune încă o
exponențiere.

IKEv2
Negocierea IKEv2 are un singur mod de stabilire si cuprinde un schimb inițial -
Initial Exchange și un schimb de creare de asocieri de securitate -
CREATE_CHILD_SA Exchange.

 Initial Exchange este un schimb alcătuit din patru mesaje, el fiind oarecum
echivalentul primei faze în accepțiunea protocolului IKEv1.

 CREATE_CHILD_SA Exchange este un schimb alcătuit din două mesaje,

echivalentul celei de-ale doilea faze din IKEv1.