CUPRINS

INTRODUCERE.......................................................................................................................................3
1. TIPURI DE VPN-URI...........................................................................................................................5
1.1.ACCESS VPNUL..................................................................................................................................5
1.2.INTRANET VPN.....................................................................................................................................6
1.3.EXTRANET VPN....................................................................................................................................7
2. PROTOCOALE DE TUNELARE.......................................................................................................9
3. SECURITATEA VPN-URILOR.........................................................................................................16
4.SETAREA UNEI REELI VPN..........................................................................................................24
5.STRATEGII DE IMPLEMENTARE A TUNELELOR VPN IPSEC N TEHNOLOGIA CISCO.29
5.1. CISCO EASY VPN REMOTE...............................................................................................................29
FIGURA 5.1.1. TOPOLOGIA I SCHEMA DE ADRESARE A REELEI SIMULATE N GNS3. 29
5.2.SIMULAREA SOFTWARE REMOTE VPN CLIENT.................................................................................30
FIGURA 5.2.2. STABILIREA TUNELULUI DE CONEXIUNE........................................................31
CONCLUZII............................................................................................................................................33
BIBLIOGRAFIE.....................................................................................................................................34

INTRODUCERE
Problemele securitii reelei pot fi mprite, n mare, n patru domenii strns
interconectate: confidenialitate, autentitficare, nerepudiere i controlul integritii. Pstrarea
secretului, denumit de asemenea i confidenialitate, se refer la pstrarea informaiei departe de
utilizatorii neautorizai. Autentificarea reprezint determinarea identitii persoanei cu care
vorbeti nainte de a dezvlui informaii importante sau de a intra ntr-o afacere. Nerepudierea
implic semnturi: cum poi fi sigur c un mesaj pe care l-ai primit a fost cel trimis cu adevrat i
nu unul pe care o persoan ru intenionat l-a recodificat.
nainte de a intra n prezentarea acestor soluii, stabilim unde anume n stiva de
protocoale se situeaz securitatea reelei. Fiecare nivel poate contribui cu ceva.
La nivelul fizic, ascultarea firelor poate fi zdrnicit prin ncapsularea liniilor de
transmisie n tuburi sigilate coninnd gaz de argon la presiuni nalte. Orice incercare de a
perfora tubul va duce la pierderi de gaz, reducnd presiunea i tragnd alarma. Cteva sisteme
militare folosesc aceast tehnic.
La nivelul legatur de date, pachetele transmise pe o linie punct-la-punct pot fi codificate
cnd prsesc una dintre maini i decodificate cnd intr n cealalt. Toate detaliile pot fi
manipulate la nivelul legatur de date, fr ca nivelurile mai inalte s aib cunotin de ceea ce
se petrece. Aceast solutie eueaz, totui, atunci cnd pachetele trebuie s traverseze mai multe
rutere, deoarece pachetele trebuie decriptate n fiecare ruter, fcndu-le astfel vulnerabile la
atacurile din interiorul echipamentelor.
La nivelul reea, pot fi instalate ziduri de protecie pentru a pstra pachetele n interior
sau pentru a pstra pachetele n afara acestuia. Securitatea IP funcioneaz de asemenea la acest
nivel.
La nivelul transport, pot fi criptate conexiuni ntregi, de la un capat la cellalt, adic de la
un proces la cellalt. Pentru o securitate maxim, este necesar securitatea capt-la-capt (eng.:
end-to-end security).
n sfrit, problemele cum sunt autentificarea utilizatorilor i nerepudierea nu pot fi
tratate dect la nivelul aplicaie.
O Reea Virtual Privat (VPN - Virtual Private Network) conecteaz componentele i
resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea virtual
privat este o reea a companiei implementat pe o infrastructur comun, folosind aceleai
politici de securitate, management i performan care se aplic de obicei ntr-o reea privat.
Practic, tehnologia reelelor virtuale private permite unei firme s-i extind prin Internet, n
condiii de maxim securitate, serviciile de reea la distan oferite utilizatorilor, reprezentanelor
2

sau companiilor partenere. Avantajul este evident: crearea unei legturi de comunicaie rapid,
ieftin i sigur.
Tehnologiile VPN ofer o cale de a folosi infrastructurile reelelor publice cum ar fi
Internetul pentru a asigura acces securizat i privat la aplicaii i resurse ale companiei pentru
angajaii din birourile aflate la distan sau cei care lucreaz de acas, pentru partenerii de afaceri
i chiar pentru clieni.
O reea VPN poate fi realizat pe diverse reele de transport deja existente: Internetul
public, reeaua furnizorului de servicii IP, reele Frame Relay i ATM. Astzi, tot mai multe
VPN-uri sunt bazate pe reele IP.
Tehnologia VPN folosete o combinaie de tunneling, criptare, autentificare i mecanisme
i servicii de control al accesului, folosite pentru a transporta traficul pe Internet, o reea IP
administrat, sau reeaua unui furnizor de servicii.

1. TIPURI DE VPN-URI
Reelele private virtuale (VPN Virtual Private Network) permit organizaiilor s
stabileasc conexiuni de reea securizate, private deobicei prin Internet sau prin intermediul altor
tipuri de reele. VPN poate oferi reduceri de cost semnificative n comparaie cu liniile nchiriate
private i poate extinde conectivitatea ctre birourile din teritoriu, lucrtori de la distan, clieni,
furnizori i parteneri.
Pe msur ce indicii de conectivitatea i mobilitatea cresc, crete i necesitatea ca reelele
s se adapteze i s ofere noi servicii. Utilizatorii nu neleg problemele de securitate ale
serviciilor de la distan, pe care le doresc productive, indiferent de locaie. Utilizatorii care
cltoresc n alte ri, prin aeroporturi, la sediile clienilor solicit s aib capacitatea de a se
conecta la resursele companiei pentru a-i realiza lucrrile. O dat cu nivelurile crescnde de
conectivitate, ncepnd cu liniile T1 i cele fr fir din aeroporturi, pn la conexiunile din locaii
de concentrare Wi-Fi (Wireless Fidelity) i clieni cu conexiuni de mare vitez, cei care rspund
de ntreinerea reelelor se lovesc de cteva decizii dificile. Cum s ofere utilizatorilor serviciile
solicitate, indiferent de localizarea lor, ntr-o modalitate protejat i rezonabil?
La ora actula exista trei posibilitati de realiza un VPN :

Access VPN permite conectarea individuala ( utilizatori mobili ) sa a

unor birouri la sediul central al unei firme , aceasta realizandu-se in
cele mai sigure conditii.

Intranet VPN permite conectarea diferitelor sedii ale unei firme

folosind legaturi dedicate .Diferenta fata de Access VPN consta in
faptul ca se folosesc legaturi dedicate cu rata de transfer garantata
fapt care permite asigurarea unei foarte bune calitati a transmisiei pe
langa securitate si banda mai larga.

Extranet VPN este folosit pentru a lega diferiti clienti sau parteneri
de afaceri la sediul central al unei firme folosind linii dedicate ,
conexiuni partajate , securitate maxima.

1.1.Access VPNul
Sunt doua tipuri pentr acest tip de VPN dupa cum urmeaza :
Conexiune initiata de client .Clientii care vor sa se conecteze la siteul
firmei trebuie sa aiba instalat un client de VPN acesta asigurandu-le
incripatare datelor intre computerul lor si sediul ISPului .Mai departe
4

conexiunea cu sediul firmei se face de asemenea in mod criptat , in

concluzie intregul circuit al informatiei se face in mod criptat. Trebuie
precizat ca in cazul acestui tip de VPN sunt folositi o multitudine de clienti
de VPN .Un exemplu este Cisco Secure VPN dar spre exemplu si Windows
NT sau 2000 au integrat clienti de VPN. Un alt fapt este folosirea unui NAS
( Network Access Server ) acesta find un server de access care face logarea
si stabilirea tunelului cripatat in ambele directii pentru fluxul de date
.Urmatoarea imagine schematizeaza acest tip de Access VPN :

Figura 1.1.1. VPN intentia de client

Access VPN initiat de NAS 1 este ceva mai simpla pentru ca nu implica
folosirea unui client de VPN .Tunelul cripatat se realizeaza intre NAS-ul
ISPului si sediul firmei la care se vrea logarea .Intre client si NAS
securitatea se bazeaza pe siguranta liniilor telefonice (fapt care uneori
poate fi un dezavanta ).

Figura 1.2 conexiunea iniat de NAS

1.2.Intranet VPN
Permite realizarea unei retele interne complet sigura pentru o firma. Permite realizarea
unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot sa
atinga rate de transfer foarte bune (E1) limita fiind determinata de suma pe care firma respectiva
este dispusa sa o investeasca in infrastructura sa informationala .
Arhitectura aceasta utilizeaza doua routere la cele doua capete ale conexiunii , intre
acestea se realizeaza un tunel criptat. In acest caz nu mai este necesara folosirea unui client de
VPN ci folosirea IPSec.IPSec ( IP Security Protocol ) este un protocol standardizat de strat 3 care
asigura autentificarea, confidentialitatea si integritatea transferului de date intre o pereche de
echipamente care comunica .Foloseste ceea ce se numeste Internet Key Exchange ( IKE ) care
necesita introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi
vor permite logarea reciproca .
Schematic conexiunea arata cam asa :

Figura 1.2.3. Inranet VPN

1.3.Extranet VPN
Acest tip de VPN seamana cu precedentul cu deosebirea ca extinde limitele intranetului
permitand legarea la sediul corporatiei a unor parteneri de afaceri , clienti etc.acest tip permite
accesul unor utilizatori care nu fac parte din structura firmei .Pentru a permite acest lucru se
folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele
digitale sunt furnizate de o autoritate care are ca activitate acest lucru .

Figura 1.3.4. Extranet VPNs

2. Protocoale de tunelare
VPN-urile sigure folosesc protocoale de tunelare, sunt acele protocoale care asigur
confidenialitatea, blocnd intruii i accesul la date, autentificarea expeditorului i integritatea
mesajelor. Dac sunt alese, implementate i utilizate n mod corespunztor, astfel de tehnici pot
asigura comunicaii sigure n cadrul unei reele nefiabile.
n principiu, tunelarea este procesul de plasare a unui pachet ntreg ntr-un alt pachet
trimis apoi n reea. Protocolul pachetului exterior este neles de reea la ambele capete, numite
interfee tunel. La aceste capete pachetele intr i ies din reea.
Datele care trebuiesc transferate (sau payload-ul) pot fi cadrele (sau pachetele) ale altui
protocol. n loc s trimit un cadru care este produs n nodul de origine, protocolul de tunelare
ncapsuleaz cadrul ntr-un antet suplimentar. Pachetele ncapsulate sunt apoi rutate ntre
terminaiile tunelului creat peste reeaua de internet. Calea logic prin care pachetele ncapsulate
traverseaz reeaua de internet se numete tunel.

fig. 2.1 Principiul tunelrii

Tunelarea implic trei feluri de protocoale diferite:
protocolul de transport: utilizat de reeaua pe unde circul informaia;
protocolul de ncapsulare: (GRE, PPTP, L2TP, L2F, IPSec) care nfoar datele
originale;
protocolul de cltorie: protocolul original cu care sunt transportate datele (IPX,
NetBeui, IP).
Tunelarea are implicaii uimitoare n VPN-uri . De exemplu, se poate pune un pachet care
folosete un protocol nesuportat de Internet (NetBeui) ntr-un pachet IP i s fie trimis n mod
sigur prin Internet. Sau s se pun un pachet cu o adres IP nerutabil ntr-un pachet IP pentru a
extinde reeaua privat prin Internet.
9

ntr-un VPN locaie la locaie, GRE (Generic Routing Encapsulation) este protocolul de
ncapsulare care asigur cadrul de lucru pentru protocolul de cltorie i de transport, bazate pe
IP, fiind definit n RFC 1701 i RFC 2784 cu completrile n RFC 1702. Dezvoltat iniial de
firma CISCO, GRE include informaii despre ce tip de pachet se ncapsulezi, despre conexiunea
dintre client i server, reprezentnd o metod de dirijare a pachetelor IP care sunt nerutabile.

IP protocol de transport
GRE protocol de ncapsulare
IP protocol de cltorie

fig. 2.2 Pachet tunelat

De asemenea se poate folosi i pentru rutarea pachetelor multicast peste reele
incompatibile. GRE poate ruta pachete non-IP (cum ar fi AppleTalk, Internetwork Packet
Exchange sau IPX) peste reele IP.

Fig. 2.3. ncapsulare generic

Cu toate acestea trebuie reinut faptul c, GRE nu furnizeaz criptare de la sine. Pentru a
cripta traficul care trece printr-un tunel GRE va trebui s implementm protocolul special IPSec.
Exist dou metode diferite prin care un protocol IPSec poate cripta pachetele GRE. Prima este
cu utilizarea hrii de criptare prin aplicarea acesteia pe interfaa fizic a unui router, ca n
10

imaginea de mai jos (fig.2.4a):

a.

b.
fig. 2.4 Hart-criptare i protecia tunelului

Odat ce pachetele de date sunt de-criptate i de-capsulate i vor continua traseu ctre
destinaia IP, ca i text clar.
Cea de-a doua metod utilizat este cea de protecie a tunelului aplicat pe interfaa
tunelului, ca n imaginea de mai sus (fig 2.4b). Pachetele de date care intr ntr-un router prin
interfaa tunelului sunt criptate iar apoi sunt de-criptate i de-capsulate nainte ca acestea s-i
continue drumul lor ctre destinaie, ca i text clar.
Protecia tunelar ine de funcionalitatea criptrii din tunelul GRE i face verificri dup
ce pachetul este ncapsulat dar nainte ca informaia s fie predat ctre interfaa fizic.
ntr-un VPN cu acces la distan, tunelarea se face folosind protocolul PPP(Protocolul
Punct-la-Punct). Parte a stivei TCP/IP, PPP este transportatorul pentru alte protocoale IP la
comunicarea prin reea ntre un calculator gazd i un sistem la distan. Point to Point Protocol
este un protocol care permite unui calculator s se conecteze la reea via modem, calculatorul
opernd ca i cum ar fi direct conectat la reea. Acest lucru permite exploatarea interfeelor
grafice cu utilizatorul, la accesul serviciilor de genul Web, ftp, e-mail sau telnet.
n general sunt implicate trei componente n fiecare desfurare de protocol PPP, i anume:
clientul PPTP, server-ul PPTP i o reea de acces la server. Pentru a putea vedea cum
funcioneaz acest protocol putem admite un scenariu n care un client se conecteaz la reeaua
de acces la server (NAS network acces server) prin facilitatea creat de ISP (Internet Service
Provider) su. Odat conectat clientul poate trimite i primi pachete de date prin internet cu
ajutorul protocolului TCP/IP .

11

Dup ce a realizat conexiunea iniial

PPP cu furnizorul su de internet (fig. 2.5a),
al doilea apel dial-up de reea se face pe
legtura existenta deja PPP. Datele trimise
folosec aceast a doua conexiune sub form
de datagrame IP care conin pachete PPP, cu
referire la pachetele ncapsulate PPP (fig.
2.5b).

Fig. 2.5a Conectarea cu ISP

Fig. 2.5b Tunelarea cu PPTP
Deoarece server-ul PPTP este conceput s realizeze conexiuni peste reelele private folosid
protocoale de reea privat are capacitatea de a citi i pachete multi-protocol.

Fig. 2.6 Pachete multi-protocol

PPTP ncasuleaz pachetele de date PPP comprimate i criptate n datagrame IP pentru a le
transporta pe reeaua internet. Aceste datagrame IP sunt rutate pe internet nainte s ajung la
server-ul PPTP care este conectat la reeaua privat i internet.

12

Fig.2.7 Plasarea de pachete PPTP pe suportul de reea

Pachetele clientului PPTP cu acces la distan sunt procesate diferit fa de cele ale unui
client PPTP de reea local. Pachetul de date la accesul la distan este plasat pe suportul fizic al
dispozitivului de telecomunicaii, n timp ce datele dintr-o reea LAN sunt plasate pe suportul
fizic al adaptorului de reea, aa cum este ilustrat n fig. 2.7.
Protocolul Layer 2 Tunneling (L2TP) este o extensie a protocolului PPTP, prezentat n
documentul RFC 2661 i folosit pentru a permite funcionarea unei reele private n Internet.
Firmele Cisco i Microsoft au convenit s-i unifice protocoalele L2TP, adoptnd astfel cele mai
bune caracteristici ale celor dou protocoale pentru tunele prin Internet: PPTP de la Microsoft i
Layer 2 Forwarding (L2F) de la Cisco System, din aceast colaborare avnd de ctigat mai ales
domenii ca cel al protejrii datelor confideniale.
Cele dou componente principale care alctuiesc protocolul L2TP sunt L2TP Access
Concentrator (LAC-concentrator de acces), dispozitiv care ncheie fizic un apel i L2TP Network
Server (LNS- server de reea), dispozitiv care ncheie i poate autentifica fluxul PPP. Din acest
punct de vedere, L2TP este similar cu PPTP cnd este vorba de utilizarea protocolului PPP, att
ca funcie ct i ca structur (fig. 2.8).

13

Fig. 2.8 Structura reelei L2TP

L2TP peste IP internet folosete UDP (User Datagram Protocol) i o serie de mesage
specifice protocolului pentru ntreinerea tunelului creat. L2TP utilizeaz UDP i pentru a trimite
cadre PPP ncapsulate ca i date de tunel. ncrctura cadrelor PPP ncapsulate poate fi criptat
i/ori comprimat, aa cum apare n figura de mai jos:

Fig. 2.9 Structura unui pachet L2TP care conine date utilizator

Iar un pachet L2TP conine :

0 - 15 bit

16 - 31 bit

Indicatori i info versiune

Lungime(opt)

Tunel ID

Sesiune ID

Numr secvenial a datelor (opt)

Numr secvenial primit (Opt)

Dimensiune offset (opt)

Pad offset (Opt)......

ncrctura de date
Fig. 2.10

14

Cnd se seteaz o conexiune cu L2TP mai

multe pachete de control se schimb ntre server
i client pentru realizarea tunelului i a sesiunii n
fiecare direcie. Un capt i cere permisiunea
celuilalt capt pentru asignarea un indicator de
tunel i sesiune printre aceste pachete de control.
Apoi folosid id-ul tunelului i sesiunii, pachetele
de

date

sunt

schimbate

cu

cadrele

PPP

comprimate ca i ncrctur de date. Astfel, n

schema de mai jos se poate urmrii stabilirea unei
legturi de tip handshaking ntre concentratorul
de acces i server-ul de reea, cu ajutorul
mesajelor de control. (fig. 2.11)

Dei protocoalele L2TP i PPTP au asemnri, difer prin urmtoarele:

n cazul L2TP, criptarea datelor ncepe dup ce se ncheie procesul de conectare
PPP (i deci dup autentificarea PPP). n cazul L2TP/IPSec, criptarea datelor
ncepe nainte de procesul de conectare PPP;
Protocolul PPTP necesit doar o autentificare la nivelul utilizatorului, iar L2TP
necesit aceai autentificare la nivelul utilizatorului dar i o autentificare la nivelul
calculatorului, printr-o certificare a calculatorului.
Unele din avantajele specifice protocolului L2TP sunt urmtoarele:
accept medii cu mai multe protocoale deoarece, prin proiectare, L2TP poate
transporta orice protocoale rutabile, inclusiv IP, IPX i AppleTalk.
L2TP accept, de asemenea, orice tehnologie WAN de transmitere, inclusiv Frame
Relay, ATM, X25 sau SONET.
de asemenea accept medii LAN, precum Ethernet, Fast ethernet, Token Ring i
FDDI.
L2F (Layer 2 Forwarding), proiectat de firma Cisco Systems Inc., poate fi de asemenea
folosit. Protocolul L2F nu furnizeaz criptarea sau confidenialitatea datelor de unul singur. El se
bazeaz pe realizarea protocolului de tunelare pentru a oferi un plus de intimitate a datelor.
Protocolul folosit la nivelul data-link al modelului OSI a fost n special conceput pentru
realizarea tunelelor PPP mbuntite.
15

3. Securitatea VPN-urilor
Popularitatea tehnologiei VPN este legat direct de potenialul acesteia de recuperare
semnificativ a investiiilor (return of investment). Pentru firmele care pltesc costuri adesea
ameitoare pentru conexiunile private prin linii nchiriate sau prin Frame Relay (releu de cadre),
este semnificativ reducerea cheltuielilor asociat cu instalarea reelelor VPN, care nlocuiesc
conexiunile costisitoare.
Cu ajutorul unor echipamente speciale de concentrare a accesurilor VPN remoteconnection, se pot examina pachetele fiecrei aplicaii identificnd orice pachete considerate a fi
periculoase. Aplicaii de inspecie pot investiga pachetele pentru a fi corelate cu conexiuni
permise de management. In cazul unei nepotriviri pachetele sunt descrcate. Aceste capabiliti
creaza un sistem pe mai multe nivele de aprare n mediile reelelor curente n care schimbarea
este un factor important.

Politici de securitate detaliate sunt aplicate traficului VPN, astfel

nct ultilizatorii i grupurile de utilizatori au acces la resursele reelei la care au dreptul.

Echipamentele de securizare a VPN-urilor permite unui administrator s defineasc politici
ce monitorizeaz att accesul ntre locaiile conectate ct i ntre utilizatorii conectai de la
distana. Tehnologia a evoluat, iar soluia de frunte pentru aceste necesiti este cea a reelelor
private virtuale (VPN) criptate bazate pe protocolul IPSec.
IP Security (IPSec) a fost proiectat de ctre organizaia IETF (Internet Enginnering Task Force)
ca i un mecanism de asigurare a securitii datelor la nivelul comunicaiilor bazate pe Internet
Protocol. Au fost definite de o serie de documente RFC 2401, 2402 i 2406, care au stabilit n
arhitectura global, un antet de autentificare (AH - Authentication Header) pentru a verifica
integritatea datelor i o ncrctur securizat ncapsulat (ESP- Encapsulating Security Payload)
pentru asigurarea celei de-a doua funcii de asigurare a confidenialitii: criptarea datelor.
Antetul de autentificare pe lng rolul de a garanta integritatea datelor transmise poate optional
proteja pachetele mpotriva atacurilor de ntoarcere folosind tehnica ferestrelor glisante (sliding
window ) i descrcarea pachetelor vechi.
n IPv4, AH protejeaz ncrctura IP i toate antetele cmpurilor din datagramele IP,
cu excepia pentru cmpurile variabile: DSCP/TOS, ECN, Flags, Fragment Offset,
TTL and Header Checksum;
n IPv6, AH i protejeaz antetul propriu, opiunile destinaiei antetului extins dup
antetul su, i apoi ncrctura IP; de asemenea protejeaz i antetul IPv6 fix i toate
antetele extinse nainte de AH, excepie fcnd urtoarele cmpuri: DSCP, ECN, Flow
Label, and Hop Limit.
Pachet datagram cu antet de autentificare, din figura 3.1 mai jos, arat cum este acest
16

pachet construit i interpretat:

Fig. 3.1 Formatul antetului de autentificare (AH)

Next Header (8 bits)
Tipul antetului urmtor indic ce protocol de nivel superior a fost protejat;
Valoarea este luat din lista cu numerele de protocole IP.
Payload Len (8 bits)
Lungimea acestui antet de autentificare n 4 uniti de octei minus 2. Dei mrimea este
msurat n 4 uniti de octei, lungimea acestui antet are

nevoie sa fie multiplicat cu 8 octei

dac este purtat ntr-un pachet IPv6.

Aceast restricie nu este aplicat unui AH purtat ntr-un pachet IPv4.
Reserved (16 bits)
Rezervai pentru utilizri viitoare (toate zerourile pna atunci).
Security Parameters Index (32 bits)
Valoarea arbitrar care este folosit (mpreun cu adresa IP a sursei) pentru a
identifica asocierei de securitate a unei sesiune de trimitere.
Sequence Number (32 bits)
O secve monoton de cretere a numrului (incrementat cu 1 pentru fiecare pachet
trimis) pentru prevenirea atacurilor de ntoarcere (reply attacks).
Integrity Check Value (multiplu de 32 bits)
Lungime variabil ICV verific valoarea. Este posibil s conin paduri de aliniere

de

cmp n limita de 8 octei pentru IPv6 sau n limita a 4 octei pentru IPv4.
ncrctura securizat ncapsulat (ESP- Encapsulating Security Payload) este un membru a
protocolului IPSec care suport numai configuraii de criptare i autentificare dar folosirea criptrii
fr autentificare este puternic descurajat deaorece este nesigur. Spre deosebire de AH, ESP nu
ofer protecie antetului pachetului IP.
n figura 3.2 este ilustrat cum este construit i interpretat pachetul datagaram ESP:
Security Parameters Index (32 bits)
Valoarea arbitrar care este folosit (mpreun cu adresa IP a sursei) pentru a
identifica asocierei de securitate a unei sesiune de trimitere.
17

Sequence Number (32 bits)

O secve monoton de cretere a numrului (incrementat cu 1 pentru fiecare pachet
trimis) pentru prevenirea atacurilor de ntoarcere (reply attacks).
Aici se gsete un contor separat inut pentru fiecare asociere de securitate.

Fig. 3.2 Formatul ESP

Payload data (variable)
Coninutul protejat n pachetul IP original ce include orice date folosite
protecie. Tipul coninutului care a fost protejat este indicat n

pentru

cmpul antetului vecin.

Padding (0-255 octets)

ncrcarea pentru criptare, pentru extinderea datelor de ncrcare la dimensiunea unui
chiper de criptare, i aliierea cmpului urmtor.
Pad Length (8 bits)
Mrimea padding-ului n octei .
Next Header (8 bits)
Tipul antetului urmtor indic ce protocol de nivel superior a fost protejat;
Valoarea este luat din lista cu numerele de protocole IP.
Integrity Check Value (multiple of 32 bits)
Lungime variabil ICV verific valoarea. Este posibil s conin paduri de aliniere de cmp n
limita de 8 octei pentru IPv6 sau n limita a 4 octei pentru IPv4.
Pentru a stabili adevrul, autentificarea verific identitatea a dou puncte de capt VPN i
a utilizatorilor ce transmit traficul prin reeaua VPN. Un punct de capt ar putea fi un client
VPN, un concentrator VPN, un sistem firewall sau un router. Autentificarea este un proces ce
ine de securitatea IP i care are loc dup criptarea datelor i nainte de decriptare, la captul
receptor. Este o funcie necesar n cadrul securitii IP, prin care se asigur c ambele pri,
18

expeditorul i destinatarul, sunt cine pretind a fi. In cazul IPSec, fiecare participant trebuie
configurat manual cu o cheie partajat anterior (de obicei se convine asupra ei n afara unei
conexiuni) i o list static de participani valabili, crend astfel un tabel mare n cadrul
routerului, care necesit resurse de memorie.
Integritatea datelor este o alt funcie din IPSec. Integritate nseamn c pachetul primit de
destinatar nu a fost modificat n timpul transmisiei. Acest lucru se realizeaz folosind un algoritm
hash ireversibil. Un algoritm hash ireversibil este echivalent cu o sum de control criptat. Dup
ce expeditorul cripteaz i autentific un pachet, algoritmul hash ireversibil este rulat pe valoarea
ntregului pachet. O valoare hash este interesant pentru c rezultatul acesteia va avea
ntotdeauna o dimensiune fix, indiferent de intrare.
IPSec are dou moduri de criptare: tunel i transport. Fiecare mod difer prin aplicaiile
sale i prin cantitatea de informaii adugate n antetul pachetului pasager. Aceste moduri diferite
de operare sunt rezumate astfel: modul tunel cripteaz antetul pachetului i segmentul de date
utile al fiecrui pachet, pe cnd modul transport cripteaz doar segmentul cu datele utile.
Modul tunel este metoda normal prin care IPSec este implementat ntre dou sisteme IPX
Firewall (sau alte pori de securitate) care sunt conectate printr-o reea lipsit de ncredere, cum
este Internetul public. ntreaga prezentare legat de IPSec implic modul tunel. Modul tunel
ncapsuleaz i protejeaz un pachet IP complet. Deoarece ncapsuleaz sau ascunde pachetele
pentru a fi transmise n continuare cu succes, chiar routerele de criptare posed adresele IP
folosite n aceste antete noi. Folosirea modului tunel duce la o cretere suplimentar a pachetului,
cu aproximativ 20 de octei asociai la antetul IP, cci trebuie s se adauge un antet IP nou la
pachet, ca n figura 3.3.

Fig. 3.3
Modul transport este o metod de implementare a tehnologiei IPSec este aplicat mai ales
cu protocolul L2TP pentru a permite autentificarea clienilor VPN- Windows 2000 aflai la
19

distan. n modul tunel, IPSec cripteaz ntregul pachet i scrie un nou antet IP n pachet, ceea
ce mascheaz informaiile despre sursa iniial i destinatar. Modul tunel este evident mai sigur
dect modul transport (deoarece ntregul pachet iniial este criptat, nu numai segmentul de date
propriu-zise ca n modul transport), cum este artat n figura 3.4.

Fig. 3.4
Asocierile de securitate (SA) stabilesc ncrederea ntre dou dispozitive ntr-o relaie egalla-egal i activeaz punctele de capt VPN pentru a conveni asupra unui set de reguli de
transmitere, folosind politici de negociere cu un participant potenial. O asociere de securitate
poate fi vzut ca un contract prin care se negociaz i apoi se stabilesc diferii parametri ai
conexiunii. O asociere de securitate este identificat printr-o adres IP, printr-un identificator de
protocol de securitate i o valoare unic de index al parametrului de securitate SPI ( Security
Parameter Index). Valoarea SPI este un numr de 32 de bii nglobat n antetele pachetelor. Cele
dou tipuri de asocieri de securitate sunt:
1. Internet Key Exchange (IKE schimbul de chei n Internet). Conine negocierea,
autentificarea unui participant, managementul cheilor i schimbul de chei. Fiind un
protocol bidirecional, IKE ofer un canal de comunicare protejat ntre doua dispozitive
care negociaz un algoritm de criptare, un algoritm hash, o metod de autentificare i
orice informaie relevant de grup. Folosete schimbul de chei bazat pe algoritmi
Diffie-Hellman, iar administratorii de reea pot lega bine protocolul IKE de sistemele
de gestionare a politicilor.
2. IPSec Security Association (IPSec SA asociere de securitate IPSec) IPSec SA
este o asociere unidirecional i de aceea este necesar s se stabileasc asocieri IPSec
SA pentru fiecare direcie. IPSec SA este o procedur n dou faze i trei moduri. n
faza 1, pot fi folosite dou moduri: main mode (modul principal) i aggressive mode
(modul agresiv). In faza 2, singurul mod disponibil este numit quick mode (modul
20

rapid). Utilizatorul final nu are nici un control asupra alegerii modului, selectarea fiind
automat i depinznd parametrii de configurare stabilii de ambii participani.
Modul principal cuprinde un numr de ase mesaje care se schimb ntre iniiatorul i
responderul de IPSec.

Fig. 4.4 Modul principal de autentificare IKEv1

Modul agresiv cuprinde un numr de trei mesaje schimbate i este considerat un schimb
nesigur, de aceea nu se mai recomand utilizarea lui.

Fig. 4.5 Modul agresiv de autentificare IKEv1

Negocierea IKEv2 are un singur mod de stabilire si cuprinde un schimb iniial - Initial
Exchange i un schimb de creare de asocieri de securitate - CREATE_CHILD_SA Exchange.

Initial Exchange este un schimb alctuit din patru mesaje, el fiind oarecum echivalentul
primei faze n accepiunea protocolului IKEv1.

CREATE_CHILD_SA Exchange este un schimb alctuit din dou mesaje, echivalentul

celei de-ale doilea faze din IKEv1.
21

Fig. 4.6 Modul de autentificare IKEv2

Protocolul Internet Key Exchange (IKE) este un protocol hibrid care folosete o parte din
protocolul Oakley i o parte dintr-o alt suit de protocoale numit Secure Key Exchange
Mechanism (SKEME) n cadrul format de Internet Security Association and Key Management
Protocol (ISAKMP protocolul de asociere pentru securitatea i managementul cheilor n
Internet). In figura de mai jos se poate vedea c IKE este cu adevrat un protocol hibrid.

SKEME
Un mecanism pentru
utilizarea criptrii cu
chei publice la
autentificare.

Oakley
Un mecanism bazat pe
moduri pentru gsirea
unei chei de criptare
ntre doi participani.
autentificar

ISAKMP
Arhitectur pentru schimbul de
mesaje ntre doi participani,
ce include formate de pachete
i tranziii de stare.

IKE (Internet Key Exchange) RFC 2409 - este un protocol hibrid.

Fig. 4.3
Protocolul ISAKMP (Internet Security Association and Key Management Protocol
protocolul de asociere pentru securitatea i managementul cheilor n Internet) este un cadru care
definete mecanismele de implementare a protocolului: de schimb al cheilor i negocierea unei
politici de securitate. ISAKMP este folosi pentru schimburile protejate att de parametri SA, ct
i de chei private, ntre participanii dintr-un mediu IPSec, precum i la crearea i controlul
cheilor.
ISAKMP ofer mai multe metode de control al cheilor i un tranzit protejat al parametrilor
IPSec ntre participani. Acest lucru este realizat folosind algoritmi similari cu cei folosii de
22

IPSec pentru criptarea propriu-zis a datelor din segmentul de date. Ca i IPSec, ISAKMP nu
este un protocol, ci o simpl interfa de control al diferitelor metode de schimb dinamic al
cheilor. ISAKMP definete diferite metode cum ar fi semntura digital, certificatele i
algoritmii hash ireversibili pentru a se asigura c negocierea asocierilor de securitate ntre
participani se desfoar n siguran.
n prezent, singurul protocol acceptat din ISAKMP este protocolul Internet Key Exchange
(IKE). Cnd IKE este folosit activ n procesul de criptare, devin disponibile multe funcii pentru
procesul de comunicare IPSec. Folosind criptarea cu chei publice, IKE negociaz parametrii de
securitate i schimburile de chei nainte chiar ca prelucrarea IPSec s nceap.

23

4.SETAREA UNEI REELI VPN

1. Apsai butonul Start > Settings > Control Panel.
2. Dac meniul Control Panel se deschide n modul Classic View accesai opiunea Network
Connections.

3. Dac

meniul Control

Panel se

deschide

modul Category

View accesai

opiunea Network and Internet Connections, apsai click pe Create a connection to the
network at your workplace i urmai Pasul 6.

24

4. Pentru crearea conexiunii, n fereastra urmtoare apsai click pe Create a new

connection care se afl n stnga ferestrei n meniul Network Tasks.

5. Apsai NEXT.

6. Bifai opiunea Connect to the network at my workplace i apsai NEXT.

25

7. Bifai opiunea Virtual Private Network connection i apsai NEXT.

8. Introducei numele ASE VPN n cmpul liber i apsai NEXT.

26

9. Introduceti numele serverului i apsai NEXT.

10. Bifai opiunea My use only i apsai NEXT.

27

11. Apsai FINISH.

n fereastra urmtoare intoducei userul i parola dumneavoastr care sunt aceleai cu userul
i parola din domeniul INTRANET-ASE , bifai opiunea Save this user name and
password for the following users i apsai CONNECT.

28

5.STRATEGII DE IMPLEMENTARE A TUNELELOR VPN IPSEC N

TEHNOLOGIA CISCO
5.1. Cisco Easy VPN Remote

Figura 5.1.1. Topologia i schema de adresare a reelei simulate n GNS3

n figura 5.1.1 este reprezentat topologia i schema de adresare a reelei simulate n GNS3.

Figura 5.1.2. Negocierea ISAKMP

Dup prezentarea topologiei i schemei de reea urmeaz

cu succes ntre serverul i clientul VPN figura 5.1.2.

29

negocierea ISAKMP ce sa finalizat

Figura 5.1.3. Setarea parametrilor tunelului VNP IPec

n fine dup stabilirea conixiunii cu serverul clientului SNP se seteaz parametrile tunelului VPN
IPsec.

5.2.Simularea Software Remote VPN Client

30

Figura 5.2.1 Topologia i schema de adresare a reelei simulate n GNS3

Figura 5.2.2. Stabilirea tunelului de conexiune

Pentru nceput se realizeaz stabilirea tunelului de conexiune a clientului la reea Figura 5.2.2.

Figura 5.2.3. Modificarea tabelului de rutare.

Dup stabilirea tunelului tabela de rutare de pe clientul VPN se modific comform figurei
31

5.2.3.

Figura 5.2.4 Conexiunea stabilit

Sa stabilit conexiunea mtre cele 2 intiti.

Figura 5.2.5. Generarea traficului

i ca rezultat este realizat generarea traficului ctrre internet cu success.

32

CONCLUZII
n aceast lucrare este prezint utilizarea reelelor VPN pentru asigurarea securitii
conexiunii n cadru unor companii mici, principa avantaje ale tipului dat de reele este modul de
funcionare, criptarea oferit de IPSec i modul n care aceste tehnologii pot asigura pstrarea
securiti unei reele. Toate firmele au clieni crora le ofer servicii ntr-o oarecare msur
indiferent de domeniu. Dar, n cazul reelelor VPN, clienii pot fi definii ca persoane a cror
afacere necesit conectarea protejat la reeaua companiei partenere pentru a avea acces la
resurse. Astfel o reea de tipul VPN poate aduce multe beneficii firmei: extinde aria geografic
de conectivitate, sporete securitatea, reduce costurile operaionale, crete productivitatea,
simplific topologia reelei, ofer oportuniti de lucru ntr-o reea global, asigur suport pentru
telenavetiti i altele.
Pentru a asigurarea unei reele YPN o cconexiune foarte sigure din toate tehnologiele
enumerate mai sus protocolul IPSec ( IP Security Protocol ) este un protocol standardizat de strat
3 care asigura autentificarea, confidentialitatea si integritatea transferului de date intre o pereche
de echipamente care comunica .Foloseste ceea ce se numeste Internet Key Exchange ( IKE ) care
necesita introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi
vor permite logarea reciproca .
n concluzie, pentru cerinele de comunicare ale multor reele aparinnd diferitelor
companii, VPN-urile bazate pe tehnologia MPLS reprezint cea mai bun alegere. Totui pentru
reelele unde se dorete o securitate crescut a traficului (trafic criptat ntre dou puncte
terminale) varianta optim rmne VPN cu IPSec.

33

BIBLIOGRAFIE
Cri
Primii pai n securitatea reelelor - Thom Thomas, Editura Corint, Bucureti, 2005.
QoS n reelele IP multimedia - Tatiana Rdulescu, H.G. Coand, Editura Albastr,
Cluj-Napoca , 2007.
Sisteme de comunicaii Reele ATM i reele locale - H.G. Coand, Editura
Bibliotech, Trgovite, 2004
Reele de calculatoare - Andrew Tanenbaum, Ediia a IV-a, Byblos, 2003
Reele digitale n telecomuncaii - Virgil Dobrot, vol.III OSI i TCP/IP, Editura
Mediamira, Cluj-Napova, 2002.
Reele de calculatoare - Peter Norton
World Wide Web
Site CISCO
http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configuration_guide_
chapter09186a00800c75d1.html#1000872
Multiprotocol Label Switching (MPLS) Traffic Engineering,
http://www.cisco.com/univered/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s
5/mpls_te.htm
http://ro.wikipedia.org/wiki/Re%C5%A3ea_privat%C4%83_virtual
%C4%83#Generic_Router_Encapsulation
http://technet.microsoft.com/en-u s/library/cc768084.aspx
http://ro.wikipedia.org/wiki/IPSec

34