INTRODUCERE.......................................................................................................................................3
1. TIPURI DE VPN-URI...........................................................................................................................5
1.1.ACCESS VPNUL..................................................................................................................................5
1.2.INTRANET VPN.....................................................................................................................................6
1.3.EXTRANET VPN....................................................................................................................................7
2. PROTOCOALE DE TUNELARE.......................................................................................................9
3. SECURITATEA VPN-URILOR.........................................................................................................16
4.SETAREA UNEI REELI VPN..........................................................................................................24
5.STRATEGII DE IMPLEMENTARE A TUNELELOR VPN IPSEC N TEHNOLOGIA CISCO.29
5.1. CISCO EASY VPN REMOTE...............................................................................................................29
FIGURA 5.1.1. TOPOLOGIA I SCHEMA DE ADRESARE A REELEI SIMULATE N GNS3. 29
5.2.SIMULAREA SOFTWARE REMOTE VPN CLIENT.................................................................................30
FIGURA 5.2.2. STABILIREA TUNELULUI DE CONEXIUNE........................................................31
CONCLUZII............................................................................................................................................33
BIBLIOGRAFIE.....................................................................................................................................34
INTRODUCERE
Problemele securitii reelei pot fi mprite, n mare, n patru domenii strns
interconectate: confidenialitate, autentitficare, nerepudiere i controlul integritii. Pstrarea
secretului, denumit de asemenea i confidenialitate, se refer la pstrarea informaiei departe de
utilizatorii neautorizai. Autentificarea reprezint determinarea identitii persoanei cu care
vorbeti nainte de a dezvlui informaii importante sau de a intra ntr-o afacere. Nerepudierea
implic semnturi: cum poi fi sigur c un mesaj pe care l-ai primit a fost cel trimis cu adevrat i
nu unul pe care o persoan ru intenionat l-a recodificat.
nainte de a intra n prezentarea acestor soluii, stabilim unde anume n stiva de
protocoale se situeaz securitatea reelei. Fiecare nivel poate contribui cu ceva.
La nivelul fizic, ascultarea firelor poate fi zdrnicit prin ncapsularea liniilor de
transmisie n tuburi sigilate coninnd gaz de argon la presiuni nalte. Orice incercare de a
perfora tubul va duce la pierderi de gaz, reducnd presiunea i tragnd alarma. Cteva sisteme
militare folosesc aceast tehnic.
La nivelul legatur de date, pachetele transmise pe o linie punct-la-punct pot fi codificate
cnd prsesc una dintre maini i decodificate cnd intr n cealalt. Toate detaliile pot fi
manipulate la nivelul legatur de date, fr ca nivelurile mai inalte s aib cunotin de ceea ce
se petrece. Aceast solutie eueaz, totui, atunci cnd pachetele trebuie s traverseze mai multe
rutere, deoarece pachetele trebuie decriptate n fiecare ruter, fcndu-le astfel vulnerabile la
atacurile din interiorul echipamentelor.
La nivelul reea, pot fi instalate ziduri de protecie pentru a pstra pachetele n interior
sau pentru a pstra pachetele n afara acestuia. Securitatea IP funcioneaz de asemenea la acest
nivel.
La nivelul transport, pot fi criptate conexiuni ntregi, de la un capat la cellalt, adic de la
un proces la cellalt. Pentru o securitate maxim, este necesar securitatea capt-la-capt (eng.:
end-to-end security).
n sfrit, problemele cum sunt autentificarea utilizatorilor i nerepudierea nu pot fi
tratate dect la nivelul aplicaie.
O Reea Virtual Privat (VPN - Virtual Private Network) conecteaz componentele i
resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea virtual
privat este o reea a companiei implementat pe o infrastructur comun, folosind aceleai
politici de securitate, management i performan care se aplic de obicei ntr-o reea privat.
Practic, tehnologia reelelor virtuale private permite unei firme s-i extind prin Internet, n
condiii de maxim securitate, serviciile de reea la distan oferite utilizatorilor, reprezentanelor
2
sau companiilor partenere. Avantajul este evident: crearea unei legturi de comunicaie rapid,
ieftin i sigur.
Tehnologiile VPN ofer o cale de a folosi infrastructurile reelelor publice cum ar fi
Internetul pentru a asigura acces securizat i privat la aplicaii i resurse ale companiei pentru
angajaii din birourile aflate la distan sau cei care lucreaz de acas, pentru partenerii de afaceri
i chiar pentru clieni.
O reea VPN poate fi realizat pe diverse reele de transport deja existente: Internetul
public, reeaua furnizorului de servicii IP, reele Frame Relay i ATM. Astzi, tot mai multe
VPN-uri sunt bazate pe reele IP.
Tehnologia VPN folosete o combinaie de tunneling, criptare, autentificare i mecanisme
i servicii de control al accesului, folosite pentru a transporta traficul pe Internet, o reea IP
administrat, sau reeaua unui furnizor de servicii.
1. TIPURI DE VPN-URI
Reelele private virtuale (VPN Virtual Private Network) permit organizaiilor s
stabileasc conexiuni de reea securizate, private deobicei prin Internet sau prin intermediul altor
tipuri de reele. VPN poate oferi reduceri de cost semnificative n comparaie cu liniile nchiriate
private i poate extinde conectivitatea ctre birourile din teritoriu, lucrtori de la distan, clieni,
furnizori i parteneri.
Pe msur ce indicii de conectivitatea i mobilitatea cresc, crete i necesitatea ca reelele
s se adapteze i s ofere noi servicii. Utilizatorii nu neleg problemele de securitate ale
serviciilor de la distan, pe care le doresc productive, indiferent de locaie. Utilizatorii care
cltoresc n alte ri, prin aeroporturi, la sediile clienilor solicit s aib capacitatea de a se
conecta la resursele companiei pentru a-i realiza lucrrile. O dat cu nivelurile crescnde de
conectivitate, ncepnd cu liniile T1 i cele fr fir din aeroporturi, pn la conexiunile din locaii
de concentrare Wi-Fi (Wireless Fidelity) i clieni cu conexiuni de mare vitez, cei care rspund
de ntreinerea reelelor se lovesc de cteva decizii dificile. Cum s ofere utilizatorilor serviciile
solicitate, indiferent de localizarea lor, ntr-o modalitate protejat i rezonabil?
La ora actula exista trei posibilitati de realiza un VPN :
Extranet VPN este folosit pentru a lega diferiti clienti sau parteneri
de afaceri la sediul central al unei firme folosind linii dedicate ,
conexiuni partajate , securitate maxima.
1.1.Access VPNul
Sunt doua tipuri pentr acest tip de VPN dupa cum urmeaza :
Conexiune initiata de client .Clientii care vor sa se conecteze la siteul
firmei trebuie sa aiba instalat un client de VPN acesta asigurandu-le
incripatare datelor intre computerul lor si sediul ISPului .Mai departe
4
1.2.Intranet VPN
Permite realizarea unei retele interne complet sigura pentru o firma. Permite realizarea
unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot sa
atinga rate de transfer foarte bune (E1) limita fiind determinata de suma pe care firma respectiva
este dispusa sa o investeasca in infrastructura sa informationala .
Arhitectura aceasta utilizeaza doua routere la cele doua capete ale conexiunii , intre
acestea se realizeaza un tunel criptat. In acest caz nu mai este necesara folosirea unui client de
VPN ci folosirea IPSec.IPSec ( IP Security Protocol ) este un protocol standardizat de strat 3 care
asigura autentificarea, confidentialitatea si integritatea transferului de date intre o pereche de
echipamente care comunica .Foloseste ceea ce se numeste Internet Key Exchange ( IKE ) care
necesita introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi
vor permite logarea reciproca .
Schematic conexiunea arata cam asa :
1.3.Extranet VPN
Acest tip de VPN seamana cu precedentul cu deosebirea ca extinde limitele intranetului
permitand legarea la sediul corporatiei a unor parteneri de afaceri , clienti etc.acest tip permite
accesul unor utilizatori care nu fac parte din structura firmei .Pentru a permite acest lucru se
folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele
digitale sunt furnizate de o autoritate care are ca activitate acest lucru .
2. Protocoale de tunelare
VPN-urile sigure folosesc protocoale de tunelare, sunt acele protocoale care asigur
confidenialitatea, blocnd intruii i accesul la date, autentificarea expeditorului i integritatea
mesajelor. Dac sunt alese, implementate i utilizate n mod corespunztor, astfel de tehnici pot
asigura comunicaii sigure n cadrul unei reele nefiabile.
n principiu, tunelarea este procesul de plasare a unui pachet ntreg ntr-un alt pachet
trimis apoi n reea. Protocolul pachetului exterior este neles de reea la ambele capete, numite
interfee tunel. La aceste capete pachetele intr i ies din reea.
Datele care trebuiesc transferate (sau payload-ul) pot fi cadrele (sau pachetele) ale altui
protocol. n loc s trimit un cadru care este produs n nodul de origine, protocolul de tunelare
ncapsuleaz cadrul ntr-un antet suplimentar. Pachetele ncapsulate sunt apoi rutate ntre
terminaiile tunelului creat peste reeaua de internet. Calea logic prin care pachetele ncapsulate
traverseaz reeaua de internet se numete tunel.
ntr-un VPN locaie la locaie, GRE (Generic Routing Encapsulation) este protocolul de
ncapsulare care asigur cadrul de lucru pentru protocolul de cltorie i de transport, bazate pe
IP, fiind definit n RFC 1701 i RFC 2784 cu completrile n RFC 1702. Dezvoltat iniial de
firma CISCO, GRE include informaii despre ce tip de pachet se ncapsulezi, despre conexiunea
dintre client i server, reprezentnd o metod de dirijare a pachetelor IP care sunt nerutabile.
IP protocol de transport
GRE protocol de ncapsulare
IP protocol de cltorie
a.
b.
fig. 2.4 Hart-criptare i protecia tunelului
Odat ce pachetele de date sunt de-criptate i de-capsulate i vor continua traseu ctre
destinaia IP, ca i text clar.
Cea de-a doua metod utilizat este cea de protecie a tunelului aplicat pe interfaa
tunelului, ca n imaginea de mai sus (fig 2.4b). Pachetele de date care intr ntr-un router prin
interfaa tunelului sunt criptate iar apoi sunt de-criptate i de-capsulate nainte ca acestea s-i
continue drumul lor ctre destinaie, ca i text clar.
Protecia tunelar ine de funcionalitatea criptrii din tunelul GRE i face verificri dup
ce pachetul este ncapsulat dar nainte ca informaia s fie predat ctre interfaa fizic.
ntr-un VPN cu acces la distan, tunelarea se face folosind protocolul PPP(Protocolul
Punct-la-Punct). Parte a stivei TCP/IP, PPP este transportatorul pentru alte protocoale IP la
comunicarea prin reea ntre un calculator gazd i un sistem la distan. Point to Point Protocol
este un protocol care permite unui calculator s se conecteze la reea via modem, calculatorul
opernd ca i cum ar fi direct conectat la reea. Acest lucru permite exploatarea interfeelor
grafice cu utilizatorul, la accesul serviciilor de genul Web, ftp, e-mail sau telnet.
n general sunt implicate trei componente n fiecare desfurare de protocol PPP, i anume:
clientul PPTP, server-ul PPTP i o reea de acces la server. Pentru a putea vedea cum
funcioneaz acest protocol putem admite un scenariu n care un client se conecteaz la reeaua
de acces la server (NAS network acces server) prin facilitatea creat de ISP (Internet Service
Provider) su. Odat conectat clientul poate trimite i primi pachete de date prin internet cu
ajutorul protocolului TCP/IP .
11
12
13
Fig. 2.9 Structura unui pachet L2TP care conine date utilizator
16 - 31 bit
Lungime(opt)
Tunel ID
Sesiune ID
14
date
sunt
schimbate
cu
cadrele
PPP
3. Securitatea VPN-urilor
Popularitatea tehnologiei VPN este legat direct de potenialul acesteia de recuperare
semnificativ a investiiilor (return of investment). Pentru firmele care pltesc costuri adesea
ameitoare pentru conexiunile private prin linii nchiriate sau prin Frame Relay (releu de cadre),
este semnificativ reducerea cheltuielilor asociat cu instalarea reelelor VPN, care nlocuiesc
conexiunile costisitoare.
Cu ajutorul unor echipamente speciale de concentrare a accesurilor VPN remoteconnection, se pot examina pachetele fiecrei aplicaii identificnd orice pachete considerate a fi
periculoase. Aplicaii de inspecie pot investiga pachetele pentru a fi corelate cu conexiuni
permise de management. In cazul unei nepotriviri pachetele sunt descrcate. Aceste capabiliti
creaza un sistem pe mai multe nivele de aprare n mediile reelelor curente n care schimbarea
este un factor important.
de
cmp n limita de 8 octei pentru IPv6 sau n limita a 4 octei pentru IPv4.
ncrctura securizat ncapsulat (ESP- Encapsulating Security Payload) este un membru a
protocolului IPSec care suport numai configuraii de criptare i autentificare dar folosirea criptrii
fr autentificare este puternic descurajat deaorece este nesigur. Spre deosebire de AH, ESP nu
ofer protecie antetului pachetului IP.
n figura 3.2 este ilustrat cum este construit i interpretat pachetul datagaram ESP:
Security Parameters Index (32 bits)
Valoarea arbitrar care este folosit (mpreun cu adresa IP a sursei) pentru a
identifica asocierei de securitate a unei sesiune de trimitere.
17
pentru
expeditorul i destinatarul, sunt cine pretind a fi. In cazul IPSec, fiecare participant trebuie
configurat manual cu o cheie partajat anterior (de obicei se convine asupra ei n afara unei
conexiuni) i o list static de participani valabili, crend astfel un tabel mare n cadrul
routerului, care necesit resurse de memorie.
Integritatea datelor este o alt funcie din IPSec. Integritate nseamn c pachetul primit de
destinatar nu a fost modificat n timpul transmisiei. Acest lucru se realizeaz folosind un algoritm
hash ireversibil. Un algoritm hash ireversibil este echivalent cu o sum de control criptat. Dup
ce expeditorul cripteaz i autentific un pachet, algoritmul hash ireversibil este rulat pe valoarea
ntregului pachet. O valoare hash este interesant pentru c rezultatul acesteia va avea
ntotdeauna o dimensiune fix, indiferent de intrare.
IPSec are dou moduri de criptare: tunel i transport. Fiecare mod difer prin aplicaiile
sale i prin cantitatea de informaii adugate n antetul pachetului pasager. Aceste moduri diferite
de operare sunt rezumate astfel: modul tunel cripteaz antetul pachetului i segmentul de date
utile al fiecrui pachet, pe cnd modul transport cripteaz doar segmentul cu datele utile.
Modul tunel este metoda normal prin care IPSec este implementat ntre dou sisteme IPX
Firewall (sau alte pori de securitate) care sunt conectate printr-o reea lipsit de ncredere, cum
este Internetul public. ntreaga prezentare legat de IPSec implic modul tunel. Modul tunel
ncapsuleaz i protejeaz un pachet IP complet. Deoarece ncapsuleaz sau ascunde pachetele
pentru a fi transmise n continuare cu succes, chiar routerele de criptare posed adresele IP
folosite n aceste antete noi. Folosirea modului tunel duce la o cretere suplimentar a pachetului,
cu aproximativ 20 de octei asociai la antetul IP, cci trebuie s se adauge un antet IP nou la
pachet, ca n figura 3.3.
Fig. 3.3
Modul transport este o metod de implementare a tehnologiei IPSec este aplicat mai ales
cu protocolul L2TP pentru a permite autentificarea clienilor VPN- Windows 2000 aflai la
19
distan. n modul tunel, IPSec cripteaz ntregul pachet i scrie un nou antet IP n pachet, ceea
ce mascheaz informaiile despre sursa iniial i destinatar. Modul tunel este evident mai sigur
dect modul transport (deoarece ntregul pachet iniial este criptat, nu numai segmentul de date
propriu-zise ca n modul transport), cum este artat n figura 3.4.
Fig. 3.4
Asocierile de securitate (SA) stabilesc ncrederea ntre dou dispozitive ntr-o relaie egalla-egal i activeaz punctele de capt VPN pentru a conveni asupra unui set de reguli de
transmitere, folosind politici de negociere cu un participant potenial. O asociere de securitate
poate fi vzut ca un contract prin care se negociaz i apoi se stabilesc diferii parametri ai
conexiunii. O asociere de securitate este identificat printr-o adres IP, printr-un identificator de
protocol de securitate i o valoare unic de index al parametrului de securitate SPI ( Security
Parameter Index). Valoarea SPI este un numr de 32 de bii nglobat n antetele pachetelor. Cele
dou tipuri de asocieri de securitate sunt:
1. Internet Key Exchange (IKE schimbul de chei n Internet). Conine negocierea,
autentificarea unui participant, managementul cheilor i schimbul de chei. Fiind un
protocol bidirecional, IKE ofer un canal de comunicare protejat ntre doua dispozitive
care negociaz un algoritm de criptare, un algoritm hash, o metod de autentificare i
orice informaie relevant de grup. Folosete schimbul de chei bazat pe algoritmi
Diffie-Hellman, iar administratorii de reea pot lega bine protocolul IKE de sistemele
de gestionare a politicilor.
2. IPSec Security Association (IPSec SA asociere de securitate IPSec) IPSec SA
este o asociere unidirecional i de aceea este necesar s se stabileasc asocieri IPSec
SA pentru fiecare direcie. IPSec SA este o procedur n dou faze i trei moduri. n
faza 1, pot fi folosite dou moduri: main mode (modul principal) i aggressive mode
(modul agresiv). In faza 2, singurul mod disponibil este numit quick mode (modul
20
rapid). Utilizatorul final nu are nici un control asupra alegerii modului, selectarea fiind
automat i depinznd parametrii de configurare stabilii de ambii participani.
Modul principal cuprinde un numr de ase mesaje care se schimb ntre iniiatorul i
responderul de IPSec.
Modul agresiv cuprinde un numr de trei mesaje schimbate i este considerat un schimb
nesigur, de aceea nu se mai recomand utilizarea lui.
Initial Exchange este un schimb alctuit din patru mesaje, el fiind oarecum echivalentul
primei faze n accepiunea protocolului IKEv1.
SKEME
Un mecanism pentru
utilizarea criptrii cu
chei publice la
autentificare.
Oakley
Un mecanism bazat pe
moduri pentru gsirea
unei chei de criptare
ntre doi participani.
autentificar
ISAKMP
Arhitectur pentru schimbul de
mesaje ntre doi participani,
ce include formate de pachete
i tranziii de stare.
Fig. 4.3
Protocolul ISAKMP (Internet Security Association and Key Management Protocol
protocolul de asociere pentru securitatea i managementul cheilor n Internet) este un cadru care
definete mecanismele de implementare a protocolului: de schimb al cheilor i negocierea unei
politici de securitate. ISAKMP este folosi pentru schimburile protejate att de parametri SA, ct
i de chei private, ntre participanii dintr-un mediu IPSec, precum i la crearea i controlul
cheilor.
ISAKMP ofer mai multe metode de control al cheilor i un tranzit protejat al parametrilor
IPSec ntre participani. Acest lucru este realizat folosind algoritmi similari cu cei folosii de
22
IPSec pentru criptarea propriu-zis a datelor din segmentul de date. Ca i IPSec, ISAKMP nu
este un protocol, ci o simpl interfa de control al diferitelor metode de schimb dinamic al
cheilor. ISAKMP definete diferite metode cum ar fi semntura digital, certificatele i
algoritmii hash ireversibili pentru a se asigura c negocierea asocierilor de securitate ntre
participani se desfoar n siguran.
n prezent, singurul protocol acceptat din ISAKMP este protocolul Internet Key Exchange
(IKE). Cnd IKE este folosit activ n procesul de criptare, devin disponibile multe funcii pentru
procesul de comunicare IPSec. Folosind criptarea cu chei publice, IKE negociaz parametrii de
securitate i schimburile de chei nainte chiar ca prelucrarea IPSec s nceap.
23
3. Dac
meniul Control
Panel se
deschide
modul Category
View accesai
opiunea Network and Internet Connections, apsai click pe Create a connection to the
network at your workplace i urmai Pasul 6.
24
5. Apsai NEXT.
25
26
27
n fereastra urmtoare intoducei userul i parola dumneavoastr care sunt aceleai cu userul
i parola din domeniul INTRANET-ASE , bifai opiunea Save this user name and
password for the following users i apsai CONNECT.
28
29
30
Pentru nceput se realizeaz stabilirea tunelului de conexiune a clientului la reea Figura 5.2.2.
Dup stabilirea tunelului tabela de rutare de pe clientul VPN se modific comform figurei
31
5.2.3.
32
CONCLUZII
n aceast lucrare este prezint utilizarea reelelor VPN pentru asigurarea securitii
conexiunii n cadru unor companii mici, principa avantaje ale tipului dat de reele este modul de
funcionare, criptarea oferit de IPSec i modul n care aceste tehnologii pot asigura pstrarea
securiti unei reele. Toate firmele au clieni crora le ofer servicii ntr-o oarecare msur
indiferent de domeniu. Dar, n cazul reelelor VPN, clienii pot fi definii ca persoane a cror
afacere necesit conectarea protejat la reeaua companiei partenere pentru a avea acces la
resurse. Astfel o reea de tipul VPN poate aduce multe beneficii firmei: extinde aria geografic
de conectivitate, sporete securitatea, reduce costurile operaionale, crete productivitatea,
simplific topologia reelei, ofer oportuniti de lucru ntr-o reea global, asigur suport pentru
telenavetiti i altele.
Pentru a asigurarea unei reele YPN o cconexiune foarte sigure din toate tehnologiele
enumerate mai sus protocolul IPSec ( IP Security Protocol ) este un protocol standardizat de strat
3 care asigura autentificarea, confidentialitatea si integritatea transferului de date intre o pereche
de echipamente care comunica .Foloseste ceea ce se numeste Internet Key Exchange ( IKE ) care
necesita introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi
vor permite logarea reciproca .
n concluzie, pentru cerinele de comunicare ale multor reele aparinnd diferitelor
companii, VPN-urile bazate pe tehnologia MPLS reprezint cea mai bun alegere. Totui pentru
reelele unde se dorete o securitate crescut a traficului (trafic criptat ntre dou puncte
terminale) varianta optim rmne VPN cu IPSec.
33
BIBLIOGRAFIE
Cri
Primii pai n securitatea reelelor - Thom Thomas, Editura Corint, Bucureti, 2005.
QoS n reelele IP multimedia - Tatiana Rdulescu, H.G. Coand, Editura Albastr,
Cluj-Napoca , 2007.
Sisteme de comunicaii Reele ATM i reele locale - H.G. Coand, Editura
Bibliotech, Trgovite, 2004
Reele de calculatoare - Andrew Tanenbaum, Ediia a IV-a, Byblos, 2003
Reele digitale n telecomuncaii - Virgil Dobrot, vol.III OSI i TCP/IP, Editura
Mediamira, Cluj-Napova, 2002.
Reele de calculatoare - Peter Norton
World Wide Web
Site CISCO
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_
chapter09186a00800c75d1.html#1000872
Multiprotocol Label Switching (MPLS) Traffic Engineering,
http://www.cisco.com/univered/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s
5/mpls_te.htm
http://ro.wikipedia.org/wiki/Re%C5%A3ea_privat%C4%83_virtual
%C4%83#Generic_Router_Encapsulation
http://technet.microsoft.com/en-u s/library/cc768084.aspx
http://ro.wikipedia.org/wiki/IPSec
34