Prezentare reelelor VPN O reea privat virtual (VPN) este o conexiune criptat de reea care folosete un tunel sigur

ntre capete, prin Internet sau prin alt reea, cum ar fi o reea WAN. ntr-o reea VPN, conexiunile pe liniile telefonice ctre utilizatorii de la distan i liniile nchiriate sau conexiunile Frame Relay ctre locaii aflate la distan sunt nlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP) sau la un punct de prezen a unui furnizor de servicii (POP). Rspndirea din ce n ce mai mare a conexiunilor de band larg, face atractiv aceast utilizare a unui acces ieftin la reeaua Internet. Dup cum am explicat, dup o investiie iniial n reele VPN, costul pentru adugarea altor locaii sau utilizatori este minim. Reelele VPN permit fiecrui utilizator al reelei s comunice ntr-un mod sigur i fiabil folosind internetul ca mediu de conectare la reeaua privat de tip LAN. O reea VPN se poata dezvolta astfel nct s se adapteze la mai muli utilizarori i locaii diferite, mai uor dect prin linii nchiriate. Spre deosebire de liniile nchiriate, n care costul crete proporional cu distanele implicate, localizarea geografic a fiecrui sediu/utilizator are puina importan n crearea unei reele VPN. O reea VPN permite unei reele intranet private s fie extins n siguran prin criptare IPSec n Internet, facilitnd un comer electronic sigur i conexiuni extranet cu angajai mobili, parteneri de afaceri, furnizori i clieni. Exist trei tipuri principale de reele VPN:

Reele VPN pentru accesul de la distan ( remote access VPN) permit fiecrui utilizator dialup s se conecteze n mod partajat la un sediu central prin Internet sau alt serviciu public de reea. Acest tip de reea VPN este o conexiune utilizator LAN care permite angajailor o conectare din afar la reeaua LAN a companiei. Sistemele angajailor folosesc o aplicatie software client VPN special, care permite o legtur sigur ntre ei i reeaua LAN a companiei. Reele VPN locaie-la-locaie (site-to-site) sunt folosite pentru a extinde reeaua LAN a companiei n alte cldiri i locaii, prin utilizarea unui echipament dedicat, astfel nct angajaii din aceste locaii aflate la distan s poat utiliza aceleai servicii de reea. Aceste tipuri de reele VPN sunt conectate n permanen. Reele VPN extranet permit conexiuni sigure cu partenerii de afaceri, furnizorii i clienii, n scopul comerului electronic. Reelele VPN extranet sunt o extindere a reelelor VPN intranet prin adugarea unor sisteme firewall de protejare a reelei interne. Figura 1

Avantajele i scopul reelelor VPN O reea VPN bine proiectat poate aduce multe avantaje unei companii. Cteva dintre beneficiile implementrii unei reele VPN ntr-o alt reea sunt urmtoarele:

nainte de apariia tehnologiilor VPN, angajaii localizai la distan trebuiau s apeleze numere de telefon interurbane pentru a ajunge la reeaua companiei. Cheltuielile cu telecomunicaiile se reduc pe msur ce conexiunile dedicate i de tip dialup de la distane mari sunt nlocuite cu conexiuni locale la Internet, prin care utilizatorii folosesc un client VPN. n funcie de numrul de angajai din teritoriu, aceast metod singur poate aduce economii imense. Pentru multe companii mici, cu resurse financiare limitate, soluia furnizorilor VPN poate fi util. Cretei productivitatea utilizatorilor permindu-le un acces sigur la resursele reelei, indiferent de localizarea lor geografic. Reducei cheltuielile operaionale alocate conexiunilor WAN dedicate, nlocuindu-le cu conexiuni Internet directe, cum sunt cele de band larg pentru afaceri, prin care locaiile aflate la distan se vor conecta printr-o reea VPN locaie-la-locaie. Simplificai topologia reelei adugndu-i strategic reele VPN peste tot. Cerinele pentru lrgimea de band sunt modeste, n cazul n care locaiile au nevoie de conectivitate la reea. Folosind reele VPN, vei avea o recuperare mai rapid a investiiilor dect atunci cnd aplicai soluia WAN. Dac se dorete o mai mare flexibilitate n instalarea echipamentelor mobile de calcul, de telecomunicaii i pentru lucrul n reea cu filialele, un comer electronic mai uor i conexiuni extranet cu partenerii de afaceri, cu furnizorii i pentru accesul la Internet al clienilor externi, un intranet intern i acces extranet- toate acestea pot fi asigurate folosind o singur conexiune sigur. Dorii s reducei cheltuielile aferente sediilor, cernd utilizatorilor s lucreze acas trei zile pe sptmn. Lucrnd acas, utilizatorii casnici au, de obicei, o productivitate mai mare i sunt mai puin stresai.

nainte de a implementa o reea VPN, treebuie alocat suficient timp pentru a gndi ce dorim s realizm cu acesta. n acest timp, nainte de a alege un furnizor de soluii ori hardware, ar trebui s lum n considerare ce caracteristici sunt mai importante. Securitatea, menionat mai trziu, este una dintre cele mai importante proprieti ale reelelor VPN. Strategii de implementare a reelelor VPN Strategiile de implementare a reelelor VPN sunt extrem de variate deoarece toi furnizorii de azi au ,,o soluie VPN. Unele dintre soluii sunt ceea ce pretind c sunt, iar altele ridic probleme mari n rndul comunitii preocupate de securitate. Deoarece nu exist un standard larg acceptat de implementare a unei reele VPN, multe companii au dezvoltat soluii proprii, la cheie.

Aceast seciune analizeaz cteva dintre diferitele componente posibile, disponibile la firma Cisco, precum i modul n care fiecare dispozitiv, precum sistemele firewall, pot fi folosite pentru a juca rolul unei reele VPN:

Sistemele firewall Sistemele firewall sunt vitale pentru securitatea reelei. n prezent, toate sistemele firewall Cisco accept combinarea reelelor VPN cu inspectarea pachetelor n funcie de stare (SPI). Soluiile variaz ncepnd cu reelele VPN de tip locaie-la-locaie bazate pe standarde care realizeaz un echilibru ntre standardele Internet Key Exchange (IKE) i IPSec pentru VPN. Sistemele firewall Cisco PIX cripteaz datele folosind standardul DES (Data Encryption Standard) pe 56 de biti, Triple DES (3DES) pe 168 de biti sau chiar criptarea AES (Advanced Encryption Standard) pe 256 de biti. Fiind un exemplu minunat de tehnologie, Cisco PIX Firewall combin traducerea NAT (Network Address Translation) dinamic, filtrarea pachetelor de server proxy, un sistem firewall i funcii terminale VPN ntr-un singur echipament hardware. Routere cu capaciti VPN Routerele Cisco pot fi modernizate pentru a avea capacitatea de a folosi reele VPN. Aceste modernizri vin sub una din urmtoarele forme, n funcie de modelul de router n discutie: IOS, memorie sau hardware VPN dedicate. Se pot obine funcii unice care ofer scalabilitate, direcionare, securitate i calitatea serviciilor (QoS). Folosind Cisco IOS Software, se obine un router potrivit pentru orice situaie. Concentrator VPN ncorpornd cele mai avansate tehnici de criptare i autentificare disponibile, concentratoarele Cisco VPN sunt construite special pentru a crea reele VPN cu acces de la distan, care asigur o disponibilatate ridicat, performan ridicat i scalabilitate i include componente numite module de prelucrare scalabil a criptrii (SEP scalable encryption processing), prin care se permite creterea capacitii i volumul transferului. Concentratoarele VPN sunt construite pentru a satisface cerinele reelelor VPN i sunt disponibile n module adecvate pentru orice, ncepnd cu firme, de 100 utilizatori i pn la organizaii de 10.000 utilizatori simultani de la distan. Software client Uor de instalat i operat, Cisco VPN Client stabilete tuneluri sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai jos. Acest software de finee, compatibil cu IPSec poate fi preconfigurat pentru instalri comasate, iar deschiderile iniiale de sesiuni necesit o intervenie redus a utilizatorului.

n funcie de tipul de reea VPN (cu acces de la distan sau locaie-la-locaie ), trebuie folosite componente hardware specifice pentru a construi reeaua VPN. Totui luai n considerare i urmtoarele:

Capacitatea de gestionare capacitatea de gestionare a unei reele VPN se refer la efortul necesar pentru a ntreine cu succes conectivitatea stabilit a reelei. Mai exact, PC Magazine definete capacitatea de gestionare prin factorii care faciliteaz utilizarea opiunilor de management de la distan i local, inclusiv faptul c dispozitivul furnizeaz un acces printr-o interfa bazat pe un browser sau prin linie de comand (PC Magazine 2002).

Fiabilitatea evident, dac un produs software sau hardware VPN nu este disponibil atunci cnd avei nevoie, pierdei din productivitate i, probabil din venituri. Scalabilitatea pe msur ce afacerea unei companii se dezvolt, adesea se dezvolt i cerinele acesteia pentru tehnica de calcul. Pentru a extinde infrastructura VPN rapid i cu costuri reduse, este important s alegei o soluie care ia n considerare scalabilitatea. Ceea ce i dorete mai puin un manager IT este s fie nevoit s o ia de la nceput i s nlocuiasc infrastructura VPN din cauza unei limitri n potenialul de dezvoltare al acesteia.

La selectarea dispozitivului potrivit s ofere servicii VPN pentru reeaua dumneavoastr, trebuie s avei n vedere limitrile. De exemplu, sistemul IOS al unui router poate fi terminalul reelelor VPN, dar aceasta este o procedur manual de configurare i necesit o nelegere mai profund dect n cazul unui sistem firewall PIX, care are disponibil programul VPN Configuration Wizard, cu interfa GUI. Mai exist Cisco VPN concentrator, care completeaz sistemul PIX sau IOS cu o interfa GUI puternic, facilitnd managementul mai multor politici VPN. Cisco VPN Concentrator ofer instruciuni intuitive pentru configurarea acestor politici si grupuri diferite, permind astfel existena mai multor utilizatori diferii ntr-o reea cu diferite grupuri de executare asociate acelui grup. De obicei aduc n discuie un concentrator atunci cnd clientul are un personal limitat i are nevoie de mai multe cerine diferite pentru politica VPN. Sistemul IOS cu PIX este mai dificil de configurat i de controlat pentru aceast cerin particular. Trafic divizat prin tunel Muli utilizatori VPN se afl deja n spatele sistemelor firewall i trebuie s aib acces la resurse doar printr-o reea VPN. Reelele tradiionale VPN nu permit utilizatorilor s aibe acces i la resursele de reea din segmentul lor local, n timp ce sunt conectai la reeaua VPN a companiei. Acest lucru devine o problem cnd, de exemplu aceti utilizatori trebuie s acceseze un sistem printr-o reea VPN i s efectueze listri la o imprimant de reea local. Pentru a corecta aceast posibil problem, a fost introdus o funcie numit split tunneling (trafic divizat prin tunel) Traficul divizat prin tunel are loc atunci cnd unui utilizator VPN, aflat la distan sau o alt locaie ndeprtat are permisiunea de a accesa o reea public (Internet) i n acelai timp acceseaz i reeaua privat VPN fr a plasa mai nti traficul reelei publice n interiorul tunelului. Totui aceasta nu este ntotdeauna cea mai potrivit funcie care s fie activat, deoarece ar putea permite unui atacator s compromit un calculator care este conectat la dou reele. Figura 2 ilustreaz cum funcioneaz traficul divizat prin tunel

Funcionarea reelelor VPN de tip IPSec IPSec a devenit standardul de facto pentru crearea reelelor VPN n industria reelelor. Mai muli furnizori au implementat-o i, pentru c Internet Engineering Task Force (IETF) a devenit IPSec ntr-un document RFC, interoperabilitatea dintre furnizori face din IPSec cea mai bun operaiune pentru construirea reelelor VPN. IPSec ofer un mijloc standard de stabilire a autentificrii i a serviciilor de criptare, ntre participanii la conexiune (peers). n cadrul acestei prezentri folosim pentru a ne referi la termenul peer dispozitivele care formez capetele unui tunel VPN. IPSec acioneaz n stratul reea din modelul de referin OSI, protejnd i autentificnd pachetele IP dintre dispozitivele IPSec care particip (peers), cum sunt routerele Cisco sau sistemele firewall. IPSec ofer urmtoarele servicii de securitate a reelei:

Confidenialitatea datelor expeditorul IPSec poate cripta pachetele nainte de a le trimite printr-o reea. Dac un hacker ar citi datele, acestea nu i-ar fi de nici un folos. Integritatea datelor punctul final receptor IPSec autentific toate pachetele trimise de expeditorul IPSec, asigurnd c datele nu au fost modificate n timpul transmisiei. Autentificarea originii datelor receptorul IPSec poate autentifica sursa pachetelor IPSec transmise. Acest serviciu depinde de serviciul de integritate a datelor. Nu permite reluarea transmiterii pachetelor receptorul IPSec poate detecta i respinge pachetele retransmise.

IPSec protejeaz datele care trec prin reelele neprotejate, iar serviciile de securitate IPSec sunt oferite la nivelul stratului reea. De aceea, nu trebuie s configurai separat staiile de lucru, PC-urile sau aplicaiile. n loc s oferii serviciile de securitate pe care nu aveti nevoie sa le instalai i s coordonati securitatea fiecrei aplicaii i a fiecrui calculator n parte, putei modifica infrastructura reelei pentru a oferi serviciile necesare de securitate. Acest suport permite soluii IPSec scalate pentru reelele de dimensiuni medii, mari i n dezvoltare, acolo unde este solicitat o conexiune ntre mai multe dispozitive. IPSec ofer performane de securitate, cum sunt algoritmii mai buni de criptare i o autentificare mai cuprinztoare. Reelele de companii conectate la Internet pot permite un acces VPN flexibil i sigur cu IPSec. n cazul tehnologiei IPSec, clienii pot construi reele VPN prin Internet, avnd o protecie bazat pe criptare n faa atacurilor de interceptare, de sustragere sau de alt tip, care ptrund n comunicaiile private. IPSec asigur servicii de autentificare i criptare pentru proteci mpotriva vizualizrii sau modificrii neautorizate a datelor din reeaua dumneavoastr sau n timpul transferului printr-o reea neprotejat, cum este Internetul public. IPSec poate cripta date ntre diferite dispozitive, cum sunt:

router ctre router;

sistem firewall ctre router; sistem firewall ctre sistem firewall; utilizator ctre router; utilizator ctre sistem firewall; utilizator ctre concentrator VPN; utilizator ctre server.

IPSec este o structur de standarde deschise, definite de organizaia IETF. IPSec ofer securitatea transmisiei informaiilor confideniale prin reelele neprotejate, cum este Internetul. Figura 3 arat cele mai uzuale trei tipuri de reele VPN.

Autentificarea i integritatea datelor Pentru a stabili adevrul, autentificarea verific identitatea a dou puncte de capt VPN i a utilizatorilor ce transmit traficul prin reeua VPN. Un punct de capt ar putea fi un client VPN, un concentrator VPN, un sistem firewall sau un router. Autentificarea este un proces ce ine de securitatea IP i care are loc dup criptarea datelor i nainte de criptarea, la captul receptor . Este o funcie necesar n cadrul securitii IP, prin care se asigur c ambele pri, expeditorul i destinatarul, sunt cine pretind a fi. n cazul IPSec, fiecare participant trebuie configurat manual cu o cheie partajat anterior *de obicei se convine asupra ei n afara unei conexiuni i o list static de participani valabili , crend astfel un tabel mare n cadrul routerului, care necesit resurse de memorie. Integritatea datelor este o alt funcie din IPSec. Integritate nseamn c pachetul primit de destinatar nu a fost modificat n timpul transmisiei. Acet lucru se realizeaz folosind un algoritm hash ireversibil. Un algoritm hash ireversibil este echivalent cu o suma de control criptat, dupa ce expeditorul cripteaz i autentific un pachet, algoritmul hash ireversibil este rulat pe valoarea ntregului pachet. O valoare hash este interesant pentru c rezultatul acesteaia va avea ntotdeauna o dimensiune fix, indiferent de intrare. Acesta este un alt mecanism de securitate, astfel ncat hackerii s nu poat ti dimensiunea cmpului de intrare. Algoritmul hash ireversibil creeaz un cmp de criptat anexat la mesaj. La captul receptor, valoarea hash ireversibil este extras din pachet, iar

receptorul ruleaz propriul su algoritm hash. Deoarece algoritmul hash este rulat asupra unor variabile din pachet, cum sunt ora transmiterii, numrul de octeti, etc., ambele valori hash trebuie s fie aceleai, acest lucru nsemnnd c pachetul nu a fost viciat. Dac valorile sunt diferite, pachetul este respins, iar IPSec renegociaz parametrii securitii. Transmiterea datelor prin tunel Reelele VPN se bazeaz pe transmiterea prin tunel pentru a crea o reea privat n Internet. n esen, acesta este procesul de preluarea a unui pachet ntreg de date i de ncapsulare a lui n cadrul altui pachet, nainte de a-l trimite prin reea, reeaua trebuie s neleag protocolul pachetului din exterior, pentru ca acesta s intre i s iasa din reea. Crearea unui tunel necesit funcionarea a trei protocoale diferite:

Protocolul pasagerului (passenger protocol) Pachetul datelor iniiale, de obicei de tip IP, care trebuie criptat n reeaua VPN. Ar putea fi incluse i alte protocoale precum IPX sau NetBEUI, dac dorii. Protocolul de ncapsulare (encapsulating protocol) Protocolul (GRE, IPSec, L2F, PPTP, L2TP) care nglobeaz datele iniiale. IPSec este standardul defacto folosit ca protocol de ncapsulare n aceast etap care permite ntregului pachet pasager s fie criptat i protejat. IPSec trebuie s fie acceptat de ambele interfee ale tunelului pentru a funciona corect. Protocolul purttoarei (carrier protocol) Protocolul folosit de reeaua prin care cltorete informaia . Pachetul iniial (Protocolul pasagerului) este ncapsulat n cadrul protocolului de ncapsulare i introdus apoi n antetul protocolului purttoarei (de obicei IP) pentru o transmisiune prin reeua public.

Transmisiunea prin tunel funcioneaza bine cu reelele VPN, deoarece se pot folosi protocoale care nu sunt acceptate n Internet n cadrul unui pachet IP i acesta poate s fie transmis n siguran n continuare. La nceputul unei transmisiuni VPN prin tunel, un pachet de date de la o surs LAN este nglobat sau ncapsulat cu informaii noi de antet, care permit reelelor intermediare s-l recunoasc i s-l livreze. Dup acest operaie i dup ce transmisiunea este ncheiat, antetul protocolului pentru tunel este ndeprtat, iar pachetul original este transferat n reeaua LAN de destinaie, pentru a fi livrat. Dei transmisia prin tunel permite datelor s fie purtate prin reele ale unor tere prti, acesta nu poate asigura singur protecia datelor. Pentru a proteja o transmisie prin tunel n faa oricrui tip de interceptare i sustragere, ntregul trafic prin reelele VPN este criptat. n plus, reelele VPN conin funcii suplimentare, precum sisteme firewall de la periferie. n reelele VPN de tip locaie-la-locaie, protocolul de ncapsulare este de obicei IPSEc sau ncapsularea cu direcionare genetica (GRE). GRE conine informaii despre tipul de pachet ncapsulat i despre conexiunea dintre client i server. Diferena depinde de nivelul de securitate necesar pentru conexiune, securitatea fiind mai mare cu IPSec, iar GRE avnd o mai mare funcionalitate. IPSEc poate crea tuneluri i poate cripta pachete IP, pe cnd GRE poate crea tuneluri pentru pachete IP i pentru pachete care nu sunt IP.

Cnd trebuie s fie transmise prin tunel, pachetele care nu sunt IP (precum IPX), IPSec i GRE ar trebui folosite mpreun. Moduri de criptare IPSec are dou moduri de criptare, tunel i transport. Fiecare mod difer prin aplicaiile sale i prin cantitatea de informaii adugate n antetul pachetului pasager. Aceste moduri diferite de operare sunt rezumate astfel: modul tunel cripteaz antetul pachetului i segmentul de date utile al fiecrui pachet, pe cnd modul transport cripteaz doar segmentul cu datele utile. Modul tunel Aceasta este metoda normal prin IPSec, este implementat ntre dou sisteme PIX Firewall (sau alte pori de securitate) care sunt conectate printr-o reea lipsit de ncredere, cum este Internetul public. ntreaga prezentare legat de IPSEc implic modul tunel. Modul tunel ncapsuleaz i protejeaz un pachet IP complet. Deoarece ncapsuleaz sau ascunde pachetele pentru a fi transmise n continuare cu succes, chiar routerele de criptare posed adresele IP folosite n aceste antete noi. Modul tunel poate fi folosit cu oricare dintre portocoalele ESP (Encapsulating Security Protocol protocol de securitate cu ncapsulare) i AH (Authentication Header antet de autentificare) sau cu amndou. Folosirea modului tunel duce la o cretere suplimentar a pachetului, cu aproximativ 20 de octei asociai la antetul IP, cci trebuie s se adauge un antet IP nou la pachet. Modul transport Aceast metod de implementare a tehnologiei IPSec este aplicat mai ales cu protocolul L2TP pentru a permite autentificarea clienilor VPN Windows 2000 aflai la distan. n modul tunel, IPSec cripteaz ntregul pachet i scrie un nou antet IP n pachet, ceea ce mascheaz informaiile despre sursa iniial i destinatar. Modul tunel este evident mai sigur dect modul transport, deoarece ntregul pachet iniial este criptat, nu numai segmentul de date propriu-zis ca n modul transport. Protocoalele din standardul IPSec IPSec foloseste trei protocoale complementare care, atunci cnd sunt folosite mpreun, formeaz un cadru unit i protejat, bazat pe standarde, ideal pentru reele VPN. Cele trei protocoale descrise n standardele IPSEc sunt urmtoarele:

Protocolul Internet Security Association Key Management Protocol (ISAKMP protocolul de management al cheilor asocierii pentru securitatea conexiunilor pe Internet) Descrie faza de negociere a conexiunii IPSsec pentru stabilirea reelei VPN. Protocolul Oakly definete metoda de stabilire a unui schimb de chei autentificate. Aceast metod poate consta n diferite moduri de operare i poate, de asemenea, s deduc elementele de alctuire a cheilor prin algoritmi precum

Diffie-Hellman. n cadrul protocolului ISAKMP se afl protocolul Internet Key Exchange (IKE schimbul de chei n Internet) care ofer un cadru de negociere a parametrilor de securitate (de exemplu, durata de via a unei asocieri pentru securitate, tipul de criptare, etc) i de stabilire a veridicitii cheilor. Protocolul Encapsulating Security Payload (EPS segmentul de date cu protecie prin ncapsulare ) Ofer confidenialitatea i protecia datelor prin servicii opionale de autentificare i detectare a relurii pachetelor. ESP ncapsuleaz complet datele utilizatorului. ESP poate fi folosit ca atare sau mpreun cu protocolul AH. ESP ruleaz protocolul TCP pe porturile 50 i 51 i este descris n documentul RFC 2406. Protocolul Authentication Header (AH antetul de autentificare) Ofer servicii (opionale) de autentificare i mpotriva relurii pachetelor. AH ofer servicii pentru poriuni limitate de antet IP i antet extins, dar nu asigur criptarea datelor prin aplicarea unei valori hash ireversibile pentru a crea un rezumat al mesajului din pachet. AH este nglobat n date pentru a fi protejat (de exemplu, o datagram IP complet). AH poate fi folosit ca atare sau mpreun cu protocolul Encapsulating Security Payload (ESP) (Consultai documentul RFC 2402 pentru detalii). Acest protocol a fost nlocuit n mare parte de ESP i este considerat depit.

Asocieri de securitate Asocierile de securitate (SA) stabilesc ncrederea ntre dou dispozitive ntr-o relaie egal-la-egal i activeaz punctele de capt VPN pentru a conveni asupra unui set de reguli de transmitere, folosind politici de negociere cu un participant potenial. O asociere de securitate poate fi vazut ca un contract prin care se negociaz i apoi se stabilesc diferii parametri ai conexiunii. O asociere de securitate este identificat printr-o adres IP, printr-un identificator de protocol de securitate i o valoare unic de index al parametrului de securitate (SPISecurity Parameter Index). Valoarea SPI este un numar de 32 de bii nglobat n antetele pachetelor. Cele dou tipuri de asocieri de securitate sunt:

Internet Key Exchange (IKE schimbul de chei n Internet) Conine negocierea, autentificarea unui participant, managementul cheilor i schimbul de chei. Fiind un protocol bidirecional, IKE ofer un canal de comunicare protejat ntre dou dispozitive care negociaz un algoritm de criptare, un algorim hash, o metod de autentificare i orice informaie relevant de grup. Folosete schimbul de chei bazat pe algoritmi Diffie-Hellman, iar administratorii de reea pot lega bine protocolul IKE de sistemele de gestionare a politicilor. Pentru a mpiedica un atac de tipul intrus (man-in-the-middle) cnd un atacator sustrage pachete din reea, le modific i le insereaz napoi n reea un protocol Diffie-Hellman de fortificare, numit Station-to-Station (STS staie-la-staie), permite ca dou dispozitive aflate ntr-un schimb Diffie-Hellman s se autentifice unul pe cellalt folosind semnturi digitale i certificate cu chei publice.

IPSEc Security Association (IPSec SA asociere de securitate IPSec ) IPSec SA este o asociere unidirecional i de aceea este necesar s se stabileasc asocieri IPSEc SA pentru fiecare direcie. IPSec SA este o procedur n dou faze i trei moduri. n faza 1, pot fi folosite dou moduri: main mode (modul principal) i aggressive mode (modul rapid). n faza 2, singurul mod disponibil este numit quick mode (modul rapid). Utilizatorul final nu are nici un control asupra alegerii modului, selectarea fiind automat i depinznd de parametri de configurare stabilii de ambii participani.

Att IKE, ct i IPSec folosesc asocieri de securitate, dei asocierile sunt independente una de cealalt. IPSec SA sunt unidirecionale i unice n fiecare protocol de securitate. Asocierile de securitate definesc ce protocoale i algoritmi ar trebui aplicai pachetelor confideniale i specific elementele cheilor utilizate de cei doi participani. Asocierile de securitate sunt unidirecionale i sunt stabilite separat pentru protocoale diferite de securitate (AH i/sau ESP). Asocierile IPSec SA pot fi stabilite n dou moduri:

Asocieri manuale de securitate, cu chei prepartajate Utilizarea asocierii manuale IPSec SA necesit un acord prealabil ntre administratorii sistemului PIX Firewall i participantul IPSec. Nu exist o negociere a asocierilor de securitate, dei informaia de configurare din ambele sisteme trebuie s fie aceeai pentru ca IPSec s deruleze cu succes traficul. Asocierea manual este uor de configurat, ns este dificil s se modifice cheile prepartajate, deoarece tunelul ar eua n acest caz, aa c cheile pre-partajate nu se schimb de obicei. Asocieri de securitate stabilite prin metoda IKE - Cnd se folosete IKE pentru stabilirea asocierilor IPSec, participanii pot negocia parametri pe care i vor folosi pentru noile asocieri de securitate. Acest lucru nseamn c putei specifica liste (precum listele de transformri acceptabile) n cadrul elementului crypto map (harta criptrii).

Protocolul Internet Key Exchange (IKE) Aceast seciune descrie protocolul Interbet Key Exchange (IKE) i modul de funcionare a acestuia mpreun cu IPSec pentru a realiza reele VPN mai scalabile. IKE este un protocol hibrid care folosete o parte din protocolul Oakley i o parte dintr-o alt suit de protocoale numit Secure Key Exchange Mechanism (SKEME) , n cadrul format de Internet SecurityAssociation and Key Management Protocol (ISAKMP protocolul de asociere pentru securitatea i managementul cheilor n Internet). IKE stabilete o politic de securitate partajat i autentific chei pentru serviciile care necesit chei (cum este IPSec). nainte ca un trafic IPSec oarecare s fie admis, fiecare router/sistem firewall/gazd trebuie s poata verifica identitatea celuilat participant. Acest lucru se poate face manual. Prin introducerea cheilor pre-partajate n ambele gazde, cu serviciul Certification Autorithy (CA autoritatea de certificare) sau cu sistemul DNS protejat (DNSSec) . IKE este protocolul cunoscut anterior sub numele ISAKMP/Oakley, definit n RFC 2409.

10

IKE este un protocol folosit de IPSec pentru a realiza faza 1. IKE negociaz i aloc asocieri de securitate (SA) pentru fiecare participant IPSec, care ofer un canal sigur pentru negocierea IPSec SA n faza 2. IKE aduce urmtoarele avantaje:

Elimin necesitatea specificrii manuale a tuturor parametrilor de securitate IPSec la ambii participani; Permite specificarea unei durate de via a asocierilor de securitate IPSec; Permite modificarea cheilor de criptare n timpul sesiunilor IPSec; Permite tehnicii IPSec s ofere servicii mpotriva relurii pachetelor; Activeaz serviciul CA pentru a implementare IPSec controlabil i scalabil; Permite autentificarea dinamic a participanilor;

Negocierile IKE trebuie s fie protejate i de aceea fiecare negociere IKE ncepe prin acordul dintre participani asupra unei politici IKE comune (partajate). Aceast politica stabilete parametri de securitate care vor fi folosii pentru a proteja negocierile IKE urmtoare. Dac exist un acord al celor doi participani asupra unei politici, o asociere de participare stabilit la fiecare participant identific parametri de securitate ai politicii i acestei asocieri SA se aplic, pe durata negocierii, ntregului trafic IKE care urmeaz. Protocolul ISAKMP Protocolul ISAKMP (Internet Security Association and Key Management Protocol protocolul de asociere pentru securitatea i managementul cheilor n Internet ) este un cadru care definete mecanismele de implementare a protocolului de schimb al cheilor i negocierea unei politici de securitate. ISAKMP este folosit pentru schimburile protejate att de parametri SA, ct i de chei private, ntre participanii dintr-un mediu IPSec, precum i la crearea i controlul cheilor. ISAKMP ofer mai multe metode de control al cheilor i un tranzit protejat al parametrilor IPSec ntre participani. Acest lucru este realizat folosind algoritmi similari cu cei folosii de IPSec pentru criptarea propriu-zis a datelor din segmentul de date. Ca i IPSec, ISAKMP nu este un protocol ci o simpl interfa de control a diferitelor metode de schimb dinamic al cheilor. ISAKMP definete diferite metode cum ar fi semntura digital, certificatele i algoritmii hash ireversibili pentru a se asigura c negocierea asocierilor de securitate ntre participani se desfasoar n siguran. n prezent, singurul protocol acceptat din ISAKMP este protocolul Internet Key Exchange (IKE). Cnd IKE este folosit activ n procesul de criptare, devin disponibile multe funcii pentru procesul de comunicare IPSec. Folosind criptarea cu chei publice, IKE negociaz parametri de securitate i schimburile de chei nainte chiar ca prelucrarea IPSec s nceap. Cum funcioneaz IPSec Sarcina principal pe care o are IPSec este s permit schimbul de informaii private printr-o conexiune neprotejat, negociind conexiunea i oferind cheile ntr-un mod sigur.

11

IPSec folosete criptarea pentru a proteja informaiile mpotriva interceptrilor sau indiscreiilor. Totui, pentru a folosi eficient criptarea, ambele pri trebuie s partajeze o cheie secret (parol) utilizat att pentru criptarea, ct i pentru decriptarea informaiilor cnd acestea intr i ies din tunelul VPN. IPSec folosete IKE pentru a stabili legtura sigur, astfel nct s se formeze reeaua VPN i conexiunile de date. n mare, secvena de evenimente pentru o tranzacie IPSec este urmtoarea: 1. Unul dintre participanii IPSec primete sau genereaz un trafic de interes pe o interfa care a fost configurat s iniieze un tunel IPSec pentru acel trafic de interes. 2. Modul principal sau modul agresiv de negociere care folosete IKE are ca rezultat crearea unei asocieri IKE de securitate (SA) ntre cei doi participani IPSec. 3. Negocierea n modul rapid, care folosete IKE, are ca rezultat crerea a dou asocieri IPSec, de securitate ntre doi participani IPSec. 4. Datele ncep s treac printr-un tunel criptat o examinare suplimentar. IPSec funcioneaz n dou faze majore pentru a permite schimbul confidenial al unei chei secrete partajate, asa cum este prezentat n seciunile care urmeaz. IKE Faza 1 Faza 1 din protocolul IKE se ocup de negocierea parametrilor de securitate necesari pentru a stabili un canal protejat ntre doi participani IPSec. Faza 1 este, n general implementat prin protocolul IKE i se ocup mai ales de stabilirea suitei de protecie pentru mesajele IKE. Secvena de evenimente din faza 1 este urmtoarea: 1. Faza 1 const n crearea asocierii de securitate ISAKMP, n care participanii negociaz i convin parametri pentru asocierea IPSec urmtoare. Dup ce se termin faza 1 i este stabilit un canal sigur ntre participani, IKE trece la faza 2. 2. Dac participantul IPSec nu poate face schimbul IKE putei folosi configurarea manual cu chei pre-partajate pentru a ncheia faza 1. Funcionarea fazei 1 din protocolul IKE are dou moduri de operare: modul agresiv i modul principal. Modul agresiv elimin mai multe etape din autentificarea IKE reducndo la doar trei etape, pe cnd modulul principal folosete toate cele patru etape de autentificare. Dei este mai rapid, modul agresiv este considerat mai puin sigur dect modul principal, din motive evidente. Dispozitivele Cisco folosesc implicit, dar vor rspunde i participanilor care folosesc modul agresiv. IKE Faza 2 Faza 2 din protocolul IKE prelungete securitatea conexiunii folosind tunelul sigur stabilit n faza 1 spre a face schimbul de parametri suplimentari necesari pentru a transmite efectiv datele (vezi figura 8).

12

n faza 2, protocolul IKE negociaz asocierile de securitate reprezentnd interfaa IPSec, conform parametrilor configurai n IPSec. Asocierea ISAKMP creat n faza 1 protejeaz aceste schimburi. Tunelurile sigure folosite n ambele faze din protocolul IPSec se bazeaz pe asocieri de securitate (SA) utilizate la fiecare capt IPSec. Asocierile SA descriu parametri de securitate, precum tipul de autentificare i de criptare, pe care convin s le foloseasc ambele puncte de capt. Algoritmul Diffie-Hellman Algoritmul Diffie-Hellman a fost primul algoritm cu chei publice i este n continuare considerat unul dintre cele mai bune. IKE folosete criptografia cu chei publice pentru a negocia parametri de securitate i a proteja schimburile de chei. Mai exact, algoritmul Diffie-Hellman este folosit n negocierile IKE pentru a permite celor doi participani s convin asupra unui secret partajat, genernd cheia pe care o vor folosi. De aceea, vei vedea c algoritmul Diffie-Hellman este folosit de mai multe ori pe parcursul procesului. n general, algoritmul funcioneaz astfel: fiecare participant are o cheie privat algoritmul Diffie-Hellman preia acea cheie privat i genereaz o cheie public. Cheia public este un produs al cheii private dar arat astfel nct s nu se poat deduce cheia privat cnd se cunoate cheia public. Participanii fac apoi schimbul de chei publice. Dac participantul A dorete s transmit un trafic criptat ctre participantul B, participantul A cripteaz traficul spre participantul B cu cheia public a lui B. Participantul B folosete apoi propria cheie privat ca s decripteze mesajul, deoarce cheia public este derivat din cheia privat a acestuia. Astfel, este sigur c participantul B poate decripta mesajul, fiind singurul care cunoate propria cheie privat. Aceasta este cea mai bun metod pentru stabilirea unui canal de comunicaie sigur (ISAKMP SA) , astfel nct asocierile IPSec viitoare s poat face un schimb protejat de informaii despre chei, fr a folosi algoritmul cu chei publice pentru schimbul de chei de fiecare dat cnd este transmis un trafic criptat. Traficul este deja criptat nainte de sfritul fazei 1 a negocierii IKE. Astfel se ofer un schimb protejat de propuneri IPSec i de chei, executat pentru IPSec n faza 2 a negocierii IKE. Pentru asigurarea unui mecanism sigur de schimb al cheilor i control al asocierilor IPSec, ISAKMP mai ofer cteva funcii importante. ISAKMP poate fi configurat s stabileasc duratele de via pentru asocierile IPSec, care permit un control mai mare asupra frecvenei cu care se face schimbul de chei. De asemenea permite s se fac schimbul de chei n timpul comunicaiei fr a terge i a reconstrui asocieri IPSec. n cazul unei interfee IPSec de sine stttoare, dac se face schimbul de chei n timpul comunicaiei, asocierile de securitate existente sunt anulate i reconstruite cu noile

13

chei. Deoarece ISAKMP negociaz asocierile SA pentru IPSec i le protejeaz cu propria asociere SA, se poate face schimbul de chei din mers, fr a reconstrui negocierile pentru SA. Se obine astfel un avantaj fa de IPSec folosit ca atare. ISAKMP permite de asemnea, o autentificare dinamic a participanilor, iar integritatea datelor se verific prin folosirea algoritmilor hash ireversibili.

14