Masterat E- Business

Securitatea sistemelor de
E-Business
- Curs 9 -

Lector. Dr. Ana-Maria Ghiran

anamaria.ghiran@econ.ubbcluj.ro
Cuprins

 Controlul accesului
 Autentificarea

 Accesul la distanță
1. Reţele VPN
Introducere
Clasificare
Implementare

2. IPSEC
Rol
Implementare
 Controlul Accesului
 Identificarea: stabilirea identității fără a fi demonstrată
 Autentificarea: stabilirea identității și demonstrarea acesteia
 Metode de autentificare:
 Ceva ce utilizatorul cunoaște: user id și parolă
 Ceva ce utilizatorul deține: smart card, token
 Ceva ce utilizatorul este: biometrici (amprente, voce, iris)
Controlul Accesului

 Cea mai des folosită metodă este user id +parolă

 După introducerea credențialelor (user id+parolă) sistemul le verifică
în două modalități:
 Fie le compară cu datele dintr-un fișier salvat sau un tabel într-o
bază de date
 Fie face o solicitare către un serviciu de autentificare care se poate
găsi fie pe același sistem, fie oriunde în rețea
Unele sisteme folosesc anumiți web identity providers precum
Facebook, Google, Yahoo
OAuth (open standard for authorization) este o modalitate des întâlnită
pentru a permite unor site-uri web (Facebook etc) să aibă acces la
anumite site-uri web fără a folosi parole (log in using Facebook etc)
Controlul Accesului

Tehnici de gestionare centralizate pentru controlul accesului:

 LDAP (Lightweight Directory Access

Protocol)
 Active Directory
 RADIUS (Remote Authentication Dial-In
User Service)
 Diameter (înlocuitorul lui RADIUS)
 Kerberos
Controlul Accesului

Single Sign on

 Odată autentificat, un utilizator poate să acceseze mai

multe sisteme informaționale fără a fi nevoit să se re-
autentifice
 Gestionarea autentificării este centralizată, greu de realizat
în practică datorită aspectelor de integrare
 Un intrus poate să acceseze și alte sisteme odată ce a
reușit să compromită unul.
 Este indicat să se combine autentificarea multiplă – two
factor authentication
Reţele VPN

VPN – Virtual Private Networks

-permite computerelor care se găsesc în reţele locale diferite

să comunice între ele în mod sigur
-foloseşte infrastructura publică de date, precum Internetul
-menţine confidenţialitatea datelor
-stabileşte o conexiune punct-la-punct virtuală prin folosirea
unor conexiuni dedicate sau a unor metode de criptare sau a
unor combinaţii dintre acestea.
Reţele VPN

 VPN poate fi de mai multe tipuri :

• Site-to-Site (L2L – LAN – TO – LAN ) – conectarea a două
reţele
• Remote access (Cu acces de la distanță) – conectarea unei
staţii individuale la o reţea
• A apărut şi SSL VPN (Secure Sockets Layer) sau WEB
VPN.
 Reţele VPN
 VPN L2L sau site-to-site
• De fiecare dată când un utilizator din LAN1 doreşte să transmită
date unui utilizator din rețeaua LAN 2, în prima fază transmite
datele către ruter.
• Acesta decide dacă pachetele trebuie trimise pe interfaţa către
internet sau vor rămâne în aceeaşi reţea.
• Până la ruter, datele sunt transmise necriptat, urmând ca în
funcţie de destinaţia pachetelor să fie criptate, în cazul în care ele
vor lua calea spre internet, sau necriptate dacă destinatarul se
află în aceeaşi reţea.
Reţele VPN

 VPN tip Remote Access

• Clientul de Remote Access este de obicei instalat pe PC-
uri.
• Datele sunt transmise criptat de-a lungul internetului şi
comunică cu dispozitivele din site-ul 2 ca şi cum ar fi legate
direct la ruter
 Reţele VPN
 SSL VPN (Secure Sockets Layer) sau WEB VPN
•Se generează o pagină web de către ruterul aflat în site
•de fiecare dată când un utilizator doreşte să se autentifice îşi completează
datele personale (username/parola), iar ruterul instalează o versiune
minimală de client VPN folosindu-se de SSL tunneling
•SSL VPN se dovedeşte a fi mai practică în cazul în care creşte numărul
utilizatorilor care doresc accesul la reţea (Pentru a configura un VPN client
pe fiecare calculator este destul de dificil)
Reţele VPN

 Cele două modele de implementare care sunt cel mai des

utilizate sunt:
 - modelul Overlay, unde furnizorul de servicii oferă linii
închiriate emulate către client;
 - modelul Peer-to-Peer, unde furnizorul de servicii şi clientul
schimbă informaţia pe bază de rutare la nivelul IP, furnizorul
transmițând datele între site-urile clientului pe calea cea mai
avantajoasă, fără implicarea acestuia
 Reţele VPN
 Modelul Overlay
 Furnizorul de servicii îi oferă clientului o serie de linii închiriate
emulate: VC-uri (circuite virtuale)
 Pot fi disponibile constant (PVC-uri) sau realizate la comandă
(SVC-uri).
 Sunt implementate cu tehnologii precum Frame Relay sau ATM
care realizează implicit circuite virtuale
 Clientul stabileşte comunicarea ruter-la-ruter între
echipamentele cu care operează, utilizând VC-urile provenite
de la furnizor.
Reţele VPN

 Modelul Overlay
Reţele VPN

 Dezavantajele modelului Overlay sunt:

 • Poate fi utilizat cu succes pentru configuraţii
neredundante şi numai cu câteva site-uri centrale şi
la distanţă, dar devine dificil de administrat când
configuraţia este una mai complexă;
 • Pentru a oferi informaţii corecte cu privire la
capacitatea VC-urilor, este necesară o bună
cunoaştere a traficului site-la-site, ceea ce nu este
întotdeauna la îndemână;
Reţele VPN

 Modelul VPN Peer-to-Peer

 A apărut ca o alternativă la modelul Overlay, încercând să
rezolve problemele acestuia
 În cazul modelului Peer-to-Peer, echipamentul Provider
Edge (PE) este un ruter care face transfer direct de
informaţie de rutare cu ruterul Client.
 Furnizorul se ocupă de transmiterea datelor provenite de la
client şi pentru aceasta poate folosi orice rută este
disponibilă sau o rută optimă
Reţele VPN

 Modelul VPN Peer-to-Peer


Reţele VPN
Avantajele modelului Peer-to-Peer:
• Rutarea se face foarte uşor (din punct de vedere al utilizatorului) deoarece
ruterul clientului schimbă informaţie de rutare numai cu unul (sau un număr
redus) de rutere PE, pe când în cazul modelului Overlay, numărul ruterelor
vecine poate deveni foarte mare;
• Rutarea între locurile clientului este întotdeauna optimă, deoarece ruterele
furnizorului cunosc topologia reţelei clientului şi pot astfel să stabilească
rutarea inter-site-uri cea mai bună;
• Alocarea lărgimii de bandă se face mai simplu, deoarece clientul trebuie să
specifice numai limitele lărgimii de bandă (inbound și outbound bandwidths)
pentru fiecare loc de dispunere, fără să fie necesar profilul exact al traficului
între site-uri;
• Adăugarea unui nou loc de dispunere devine mai simplă, întrucât furnizorul
de servicii trebuie numai să aloce un nou site şi să modifice configuraţia pe
ruterul PE. În cazul modelului Overlay, era necesară atribuirea unui întreg set
de VC-uri de la acel site la celelalte din reţea.
 Implementarea unui VPN
presupune crearea unui tunel printr-o reţea publică prin
intermediul căruia sunt transferate datele
clientul şi serverul de tunel trebuie să folosească acelaşi
protocol de tunelare.
Protocolul de tunelare poate fi:
la nivelul 2 (corespund nivelului legătură de date, şi folosesc
cadre ca unitate de schimb) ex: PPTP Point to Point Tunneling
Protocol, sau L2TP – Layer Two Tunneling Protocol
la nivelul 3 (corespund nivelului reţea şi folosesc pachete) ex:
IPSEC
IPSEC

 IPSec este protocolul de securitate folosit şi de VPN care se ocupă de

toate criptările necesare unei comunicaţii securizate.

 IPSec foloseste metode de criptare pentru a proteja comunicaţiile peste IP

şi cuprinde diferite tehnici pentru autentificare, integritatea şi criptarea
datelor

 În cadrul unei sesiuni de comunicare e important ca fiecare pachet IP să

fie autentificat şi criptat

 Alte mecanisme de securitate precum SSL – Secure Sockets Layer, TLS –

Transport Layer Security, operează la nivele superioare ale stivei de
comunicaţii + trebuie să fie incluse în proiectarea aplicaţiilor spre
deosebire de IPSEC
IPSEC

 Pentru realizarea celor 3 funcţii IPSEC se foloseşte de

următoarele protocoale:

1. Authentication Headers (AH) – garantează în principal

autentificarea originii pachetelor IP + integritate
2. Encapsulating Security Payloads (ESP) – oferă
confidenţialitate, autentificarea originii şi integritatea
pachetului
3. Security Associations – un set de algoritmi ce oferă
parametrii necesari pentru realizarea operaţiilor de AH sau
ESP
IPSEC

 IPSec este văzut de către nivelele superioare ca având

două componente:
1. Prima parte descrie două noi antete - AH (Authentification
Header) şi ESP (Encapsulating Security Payload)
2. A doua componentă se ocupă de suportul pentru
managementul cheilor şi este cuprinsă în protocolul numit
ISAKMP (Internet Security Association and Key
Management Protocol).
 O asociere de securitate – Security Association leagă cele
două componente împreună
IPSEC

 IPSEC poate fi implementat în două modalităţi:

a) modul transport - antetul IPsec este inserat chiar după
antetul IP, securitatea este aplicată la nivel de payload şi
nu antetului IP
b) modul tunel - Antetele IPSec sunt plasate în faţa
pachetului IP criptat şi apoi noile antete IP sunt plasate în
faţa întregii construcţii. Acest model este folosit cu
preponderenţă de rutere care se ocupă în întregime de
pachetele IP şi implementarea de tunele, mai ales când se
lucrează cu VPN.
 IPSEC
 Modul transport

 Modul tunel