Universitatea Tehnică a Moldovei

Facultatea Electronică și Telecomunicații

A efecuat: Cravcescu Victor

A verificat: Chihai Andrei

IPSec este o prescurtare a lui IP Security, şi constă dintr‐un
număr de servicii şi protocoale care asigură securitate
rețelelor IP. Este definit de o secvență de câteva
standarde de Internet.
IPSec este o suită de protocoale pentru securizarea
comunicațiilor peste stiva TCP/IP.
Această suită se bazează pe folosirea funcțiilor
matematice și a algoritmilor de criptare și autentificare
pentru a asigura confidențialitatea, integritatea și non-
repudierea informațiilor din fiecare pachet IP transmis pe
rețea.
IPSec este la ora actuală una dintre cele mai folosite
metode de securizare a transmisiei pe Internet, alături de
SSL (Secure Sockets Layer) și TLS (Transport Layer
Security).
IPSec este mai mult decat o unealta pentru securizarea
pachetelor. IPSec este recomandat in urmatoarele cazuri :
• Filtrarea Pachetelor . IPSec asigura servicii firewall de
baza prin determinarea carui trafic este permis sa intre
sau sa iasa dintrun sistem. Aceasta filtrare ar trebui
folosita in cadrul unei strategii de aparare in adancime.
• Securizarea traficului intre doua sisteme pe cai
specifice. IPSec poate fi utilizat la securizarea traficului
intre calculatoare. Aceasta aparare se realizeaza prin
crearea unor politici IPSec ce includ o gama de adrese IP
carora li se va aplica IPSec.
• Securizarea traficului catre servere. Se poate seta
protectie IPSec pentru clientii ce se vor conecta la server.
IPSec permite specificarea clientilor care au acces la
server.
Cele două piese principale sunt o pereche de tehnologii
numite uneori protocoalele de bază ale IPsec. Acestea sunt
cele care de fapt realizează codarea de informații pentru a
asigura securitatea. Acestea sunt:
o IPSec Authentication Header (AH):
Acest protocol asigură serviciile de autentificare pentru
IPSec; ceea ce înseamnă că emitentul mesajului ‐ se
presupune ca a inițiatorul mesajului este şi cel care îl
transmite. De asemenea asigura şi integritatea mesajului
transmis şi protecția împotriva atacurilor „reply”, unde
mesajul este capturat de cineva neautorizat şi retransmis.
o Encapsulating Security Payload (ESP):
Header‐ul de autentificare asigură integritatea datelor nu şi
confidențialitatea lor. Aceasta (confidențialitatea) se asigură
utilizând protocolul ESP care criptează informațiile din pachetul
IP. IPSec constă dintr‐un număr de componente diferite care
conlucrează pentru a asigura servicii de securitate. Principalele
două sunt protocoalele numite Authentication Header (AH) şi
Encapsulating Security Payload (ESP), care asigură autenticitatea
şi confidențialitatea datelor IP sub formă de headere speciale
adăugate la datagramele IP.
* Moduri de implementare

IMPLEMENTAREA PE GAZDA FINALĂ

Implementarea pe toate gazdele din rețea asigură cea mai
mare securiate şi flexibilitate. Asigură comunicația
securizată „end‐to‐end” între doua echipamente din rețea

IMPLEMENTAREA PE ROUTER
Acest tip de implementare este şi mai uşor de realizat
deoarece presupune că se fac modificări la câteva routere în
loc de câteva sute sau mii de clienți. Ea asigură protecție
între perechile de routere care implementează IPSec, dar
acest lucru poate fi suficient pentru anumite aplicații, cum
ar fi in rețelele virtuale private (VPN).
* MODUL TRANSPORT
După cum sugerează şi numele, în modul de transport, protocolul
protejează mesajul transmis la IP din layerul de transport.
Mesajul este prelucrat de către AH / ESP si antetul (antetele)
corespunzător (corespunzătoare) se adaugă, în fața antetului
transportului (UDP sau TCP). Headerul IP este adăugat înainte
prin IP. În mod normal, nivelul de transport asamblează datele
pentru transmitere şi le trimite la destinatie. Din perspectiva IP‐
ului, acest mesaj pe niveluri pentru transport este sarcină utilă
a datagramei IP. Când IPSec este utilizat în modul de transport,
antetul IPSec este aplicat numai la această sarcină a IP‐ului, nu
la header‐ul IP. Antetele AH şi / sau ESP apar între original,
antetul unic IP şi sarcina utilă (datele ce sunt transmise) IP.
Acest lucru este ilustrat în figura de mai jos. Când IPSec
operează în modul transport, este integrat în IP şi folosit pentru
transportul mesajului direct la nivelul superior (TCP/UDP). După
prelucrare, datagrama are numai un header IP care conține
header‐ele AH şi/sau ESP IPSec.
* MODUL TUNELAT
În acest mod, IPSec este folosit pentru a proteja o
datagramă IP complet încapsulată după ce header‐ul IP a
fost deja aplicat la acesta. Anteturile IPSec apar în fața
headerului original IP, şi apoi se adaugă un nou antet IP în
fața headerului IPsec. Adică, întreaga datagramă inițială
IP este protejată şi apoi încapsulată într‐o altă datagramă
IP. Modul tunel al lui IPSec este numit astfel deoarece
reprezintă o încapsulare a unei datagrame complete IP,
formând un tunel virtual între echipamentele adecvate
ale lui IPSec. Datagrama IP este transmisă la IPSec, unde
se creează un nou header IP cu hederele AH şi/sau ESP
IPSec adăugate.
* IPSec este o extensie a protocolului IP, care aduce nivelele de securitate avansate
protocoluluiTCP/IP. Cu IPSec, nimeni cu exceptia celui cu care se realizează conexiunea de
VPN nu poate citi şi interpreta datele care se transmit între cele două puncte ale
conexiunii. Astăzi, fiind cel mai sigur protocol de VPN, IPSec este implementat în routerele
proprii de firme producătoare ca Cisco, Allied Telesyn, Nortel, Nokia, Bay Networks,
Ericsson, etc. IPSec se constituie din două părți majore: partea de management a cheilor
de criptare (IKE/ISAKMP) şi partea de criptare efectivă (ESP). Criptarea este facută de cei
mai puternici algoritmi şi anume Triple DES (3DES) sau AES. 3DES are un număr de chei de
aproximativ 2 la puterea 112 , adică este pe 112 biți. Un nou nivel de securitate introdus
de IPSec, este schimbarea dinamică a cheilor de criptare, astfel încât un set de chei de
criptare este valid doar pentru o perioada scurta de timp. Pentru a securiza comunicația în
rețea cu IPSec între calculatoarele Windows se folosesc o colecție de reguli, politici şi filtre
pentru a permite în mod selectiv doar comunicația pentru anumite protocoale. Politicile de
IPSec pot fi create şi aplicate cu Group Policy pentru calculatoarele din domeniu. Pentru
calculatoare care nu sunt în domeniu, de exemplu serverele bastion, politicile pot fi
aplicate cu script‐uri în linie de comandă. Una dintre regulile de bază pentru securizarea
traficului cu IPSec este crearea unei hărți a traficului în rețea ce include traficul care
trebuie permis sau blocat, punctele sursă destinație şi informațiile despre protocoalele
folosite, creîndu‐se filtre care corespund traficului de rețea identificat anterior. Rețelele
VPN care folosesc IPSec au conexiuni bazate pe chei publice şi private criptate. Avantajele
utilizării IPSec sunt obținerea confidențialității, integrității şi autentificării în transportul
datelor de‐a lungul canalelor de comunicație nesigure. Deşi scopul inițial a fost securizarea
traficului pe rețele publice, este adesea utilizat pentru a mări securitatea rețelelor
private. Dacă este implementat corespunzător, IPSec oferă un canal privat pentru a trimite
si primi date vulnerabile, indiferent dacă aceste informații sunt email‐ uri, se încadrează în
categoria ftp traffic, ştiri sau orice alt tip de date.