retele vpn protocolul ipsec
TRANSCRIPT
REELE VIRTUALE PRIVATE Standardul IPSec
ndrumtor: Prof.Dr.Victor-Valeriu PATRICIU
Autori: Slt. Voicea Sergiu Slt. Constantin Marian
2006
Cuprins:1. Introducere .......................................................................................... - 3 2. Tipuri de VPN. Utilizri ale VPN-urilor ................................................. - 5 3. Cerine de baz pentru VPN-uri .......................................................... - 8 4. Soluii pentru implementarea VPN ...................................................... - 9 5. Metode de transmisie prin VPN .......................................................... - 10 6. Componente VPN ............................................................................... - 10 7. Protocoale de tunelare ........................................................................ - 14 8. Securitatea VPN .................................................................................. - 16 9. Standardizarea reelelor VPN Standardul IPSec .............................. - 18 10. Principalele avantaje ale reelelor virtuale private .............................. - 23 Bibliografie ................................................................................................ - 25 -
-2-
1.
Introducere
O Reea Privat Virtual (VPN - Virtual Private Network) conecteaz componentele i resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea virtual privat este o reea a companiei implementat pe o infrastructur comun, folosind aceleai politici de securitate, management i performan care se aplic de obicei ntr-o reea privat. Practic, tehnologia reelelor private virtuale permite unei firme s-i extind prin Internet, n condiii de maxim securitate, serviciile de reea la distan oferite utilizatorilor, reprezentanelor sau companiilor partenere. Avantajul este evident: crearea unei legturi de comunicaie rapid, ieftin i sigur. Tehnologiile VPN ofer o cale de a folosi infrastructurile reelelor publice cum ar fi Internetul pentru a asigura acces securizat i privat la aplicaii i resurse ale companiei pentru angajaii din birourile aflate la distan sau cei care lucreaz de acas, pentru partenerii de afaceri i chiar pentru clieni.
Figura 1. VPN (Reea Privat Virtual)
O reea VPN poate fi realizat pe diverse reele de transport deja existente: Internetul public, reeaua furnizorului de servicii IP, reele Frame Relay i ATM. Astzi, tot mai multe VPN-uri sunt bazate pe reele IP. Tehnologia VPN folosete o combinaie de tunneling, criptare, autentificare i mecanisme i servicii de control al accesului, folosite pentru a transporta traficul pe Internet, o reea IP administrat, sau reeaua unui furnizor de servicii.
Cum funcioneaz VPN ?
VPN permite utilizatorilor s comunice printr-un tunel prin Internet sau o alt reea public n aa fel nct participanii la tunel s se bucure de aceeai securitate i posibiliti puse la dispoziie numai n reelele private.-3-
Pentru a utiliza Internetul ca o reea privat virtual, de tip WAN (Wide Area Network), trebuie depite dou obstacole principale. Primul apare din cauza diversitii de protocoale prin care comunic reelele, cum ar fi IPX sau NetBEUI, n timp ce Internetul poate nelege numai traficul de tip IP. Astfel, VPN-urile trebuie s gseasc un mijloc prin care s transmit protocoale non-IP de la o reea la alta.Cnd un dispozitiv VPN primete o instruciune de transmitere a unui pachet prin Internet, negociaz o schem de criptare cu un dispozitiv VPN similar din reeaua destinaie Datele n format IPX/PPP sunt trecute n format IP pentru a putea fi transportate prin reeaua mondial. Al doilea obstacol este datorat faptului c pachetele de date prin Internet sunt transportate n format text. n consecin, oricine poate vedea traficul poate s i citeasc datele coninute n pachete. Aceasta este cu adevrat o problem n cazul firmelor care vor s comunice informaii confideniale i, n acelai timp, s foloseasc Internetul. Soluia la aceste probleme a permis apariia VPN i a fost denumit tunneling. n loc de pachete lansate ntr-un mediu care nu ofer protecie, datele sunt mai nti criptate, apoi ncapsulate n pachete de tip IP i trimise printr-un tunel virtual prin Internet. Din perspectiva utilizatorului, VPN este o conexiune punct-la-punct ntre calculatorul propriu i serverul corporaiei (figura 2).
Figura 2. Reea Privat Virtual - Echivalent logic
Confidenialitatea informaiei de firm care circul prin VPN este asigurat prin criptarea datelor. n trecut, reelele private erau create folosind linii de comunicaie nchiriate ntre sedii. Pentru a extinde acest concept la Internet, unde traficul mai multor utilizatori trece prin aceeai conexiune, au fost propuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite expeditorului s ncapsuleze datele n pachete IP care ascund infrastructura de rutare i comutare a Internetului la ambele capete de comunicaie. n acelai timp, aceste pachete ncapsulate pot fi protejate mpotriva citirii sau alterrii prin diverse tehnici de criptare.-4-
Tunelurile poat avea dou feluri de puncte terminale, fie un calculator individual, fie o reea LAN cu un gateway de securitate - poate fi un ruter sau un firewall. Orice combinaie a acestor dou tipuri de puncte terminale poate fi folosit la proiectarea unei reele VPN. n cazul tunelrii LAN-to-LAN, gateway-ul de securitate al fiecrui punct terminal servete drept interfa ntre tunel i reeaua privat LAN. n astfel de cazuri, utilizatorii ficecrui LAN pot folosi tunelul n mod transparent pentru a comunica unii cu alii. Cazul tunelului client-to-LAN, este cel stabilit de regul pentru utilizatorul mobil care dorete s se conecteze la reeaua local a firmei. Pentru a comunica cu reeaua de firm, clientul (utilizatorul mobil), iniiaz crearea tunelului. Pentru aceasta, clientul ruleaz un software client special, care comunic cu gateway-ul de protecie al reelei LAN.
De ce VPN-uri?Mediul de afaceri este n continu schimbare, multe companii ndreptndu-i atenia spre piaa global. Aceste firme devin regionale, multinaionale i toate au nevoie stringent de un lucru: o comunicaie rapid, fiabil i sigur ntre sediul central, filiale, birouri i punctele de lucru, adic de o reea WAN (de arie larg). O reea WAN tradiional presupune nchirierea unor linii de comunicaie, de la cele ISDN (128/256Kbps) la cele de fibr optic OC-3 (155 Mbps) care s acopere aria geografic necesar. O astfel de reea are avantaje clare fa de una public, cum este Internetul, cnd vine vorba de fiabilitate, performan i securitate. Dar deinerea unei reele WAN cu linii nchiriate este de-a dreptul scump, proporional cu aria geografic acoperit. O dat cu creterea popularitii Internetului, companiile au nceput s i extind propriile reele. La nceput au aprut intraneturile, care sunt situri protejate prin parol, destinate angajailor companiei. Acum, multe firme i-au creat propriile VPN-uri pentru a veni n ntmpinarea cerinelor angajailor i oficiilor de la distan. Un VPN poate aduce multe beneficii companiei: extinde aria geografic de conectivitate, sporete securitatea, reduce costurile operaionale, crete productivitatea, simplific topologia reelei, ofer oportuniti de lucru ntr-o reea global, asigur suport pentru tendina afacerilor spre operare de la distan, operaii distribuite global i operaii de parteneriat foarte interdependente, n care lucrtorii trebuie s se poate conecta la resursele centrale, s comunice unul cu altul, iar firmele trebuie s-i administreze eficient stocurile pentru un ciclu de producie scurt.
2.
Tipuri de VPN. Utilizri ale VPN-urilor
La ora actul exist 3 tipuri principale de VPN-uri:-5-
- VPN-urile cu acces de la distan (Remote Access VPN) permit utilizatorilor dial-up s se conecteze securizat la un site central printr-o reea public. Acestea mai sunt numite i "dial" VPN-uri. - VPN-urile intranet (Intranet VPN) permit extinderea reelelor private prin Internet sau alt serviciu de reea public ntr-o manier securizat. Acestea sunt denumite i VPN-uri "site-to-site" sau "LAN-to-LAN". - VPN-urile extranet (Extranet VPN) permit conexiuni securizate ntre partenerii de afaceri, furnizori i clieni, n general n scopul realizrii comerului electronic. VPN-urile extranet sunt o extensie a VPN-urilor intranet la care se adaug firewall-uri pentru protecia reelei interne.
Figura 3. Tipuri de VPN
Toate aceste reele virtuale private au rolul de a oferi fiabilitatea, performana i securitatea mediilor WAN tradiionale, dar cu costuri mai sczute i conexiuni ISP (Internet Service Provider) mult mai flexibile. Tehnologia VPN poate fi folosit i ntr-un intranet pentru a asigura securitatea i controlul accesului la informaii, resurse sau sisteme vitale. De exemplu, se poate limita accesul anumitor utilizatori la sistemele financiare din companie sau se pot trimite informaii confideniale n manier securizat.
Remote Access VPN permite conectarea individual (utilizatori
mobili) sau a unor birouri la sediul central al unei firme, aceasta realizndu-se n cele mai sigure condiii.
-6-
Figura 4. Remote Access VPN
Exist dou tipuri de conexini VPN de acest fel: 1) Conexiune iniiat de client - Clienii care vor s se conecteze la site-ul firmei trebuie s aib instalat un client de VPN, acesta asigurndu-le criptarea datelor ntre computerul lor i sediul ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea n mod criptat, n concluzie ntregul circuit al informaiei se face n mod criptat. Trebuie precizat c n cazul acestui tip de VPN sunt folosii o multitudine de clieni de VPN. Un exemplu este Cisco Secure VPN dar i Windows NT sau 2000 au integrat clieni de VPN. Figura 5 schematizeaz acest tip de Access VPN :
Figura 5. Acces de la distan iniiat de client
Access VPN iniiat de serverul de acces acest tip de coonexiune este ceva mai simpl pentru c nu implic folosirea unui client de VPN. Tunelul criptat se realizeaz ntre server-ul de acces al ISP-ului i sediul firmei la care se vrea logarea. ntre client i server-ul de acces securitatea se bazeaz pe sigurana liniilor telefonice (fapt care uneori poate fi un dezavantaj).2)
-7-
Figura 6. Acces de la distan iniiat de server-ul de acces Intranet VPN permite conectarea diferitelor sedii ale unei firme folosind legturi dedicate (permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot s ating rate de transfer foarte bune). Diferena fat de Remote Access VPN const n faptul c se folosesc legturi dedicate cu rata de transfer garantat, fapt care permite asigurarea unei foarte bune calitai a transmisiei pe lng securitate i band mai larg.
Figura 7. Intranet VPN
Arhitectura aceasta utilizeaz dou routere la cele dou capete ale conexiunii, ntre acestea realizndu-se un tunel criptat. n acest caz nu mai este necesar folosirea unui client de VPN ci folosirea IPSec. IPSec (IP Security Protocol) este un protocol standardizat de strat 3 care asigur autentificarea, confidenialitatea i integritatea transferului de date ntre o pereche de echipamente care comunic. Folosete ceea ce se numete Internet Key Exchange ( IKE ) care necesit introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciproc. Schematic conexiunea este prezentat n figura 8 :
-8-
Figura 8. Arhitectura Intranet VPN Extranet VPN este folosit pentru a lega diferii clieni sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate, conexiuni partajate, securitate maxim.
Figura 9. Extranet VPN
Acest tip de VPN seamn cu precedentul cu deosebirea c extinde limitele intranetului permind legarea la sediul corporaiei a unor parteneri de afaceri , clieni etc.; acest tip permite accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate. Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru.
3.
Cerine de baz pentru VPN-uri
La adoptarea unei reele virtuale private prin Internet exist dou probleme majore: securitatea i performana. Protocolul de control al transmisiei (TCP/IP) i Internetul nu au fost gndite iniial s asigure n principal securitate i performan, deoarece la acea vreme utilizatorii i aplicaiile lor nu necesitau o securitate puternic i o performan garantat. Din fericire, standardele pentru securitatea datelor din reelele IP au evoluat, fiind posibil crearea VPN-urilor folosind reele IP. n mod normal, cnd proiecteaz o souie de acces de la distan la o reea, o companie dorete s permit accesul controlat la resurse i-9-
informaii. Soluia trebuie s permit clienilor autorizai s se conecteze uor la LAN-ul corporaiei, i s permit sucursalelor s se conecteze ntre ele pentru a pune n comun informaii i resurse (conexiuni LAN-LAN). n plus, soluia trebuie s asigure securitatea i integritatea datelor cnd traverseaz Internet-ul. Aceleai preocupri apar i n cazul cnd datele ce trebuie protejate traverseaz inter-reeaua corporaiei. n consecin, o soluie VPN trebuie s realizeze cel puin urmtoarele funcii vitale: Autentificarea utilizatorului. Soluia trebuie s verifice identitatea utilizatorului i s permit accesul prin VPN numai utilizatorilor autorizai. n plus, soluia trebuie s permit monitorizarea si jurnalizarea activitilor pentru a arta cine i cnd a accesat o anume informaie. Gestionarea adreselor. Soluia trebuie s asocieze unui client o adresa din reeaua privat, i s asigure c adresele private rmn secrete. Criptarea datelor. Datele transferate prin reeaua public trebuie fcute ilizibile pentru clienii neautorizai. Gestiunea cheilor. Soluia trebuie s genereze i s mprospteze cheile de criptare pentru client i pentru server. Soport multiprotocol. Soluia trebuie s fie capabil s manevreze protocoalele existente n reelele publice, cum ar fi Internet Protocol (IP), Internet Packet Exchange (IPX), etc.
4.
Soluii pentru implementarea VPN
Dup cum am afirmat n partea introductiv, implementarea unui VPN presupune crearea unui tunel printr-o reea public prin intermediul cruia s fie transferate datele. Ca o definiie, tunelarea (tunneling) este o metod de folosire a infrastructurii unei inter-reele pentru transferul datelor dintr-o reea peste o alt reea. Datele de transferat (ncrctura - payload) pot fi cadrele (sau pachetele) altui protocol. n loc de a transmite cadrul n forma n care a fost produs de nodul surs, protocolul de tunelare ncapsuleaz cadrul ntr-un antet adiional. Acesta conine informaii de rutare astfel nct ncrctura ncapsulat poate traversa inter-reeaua intermediar. Pachetele ncapsulate sunt apoi rutate ntre capetele tunelului prin inter-reea. Calea logic pe care pachetele ncapsulate o urmeaz n inter-reea se numete tunel (figura 33). Odat ce cadrele ncapsulate ajung la destinaie prin inter-reea, cadrul este decapsulat i trimis la destinaia sa final. De notat c tunelarea include ntregul proces: ncapsulare, transmitere i decapsulare a pachetelor.
- 10 -
Figura 10. Tunelarea datelor
Tehnologiile de tunelare exist de ctva timp, printre cele mai cunoscute numrndu-se: Tunelare SNA peste IP. Cnd traficul SNA este trimis peste o inter-reea IP de corporaie, cadrul SNA este ncapsulat n UDP si antet IP. Tunelare IPX pentru Novell NetWare peste IP. Cnd un pachet IPX este trimis unui server NetWare sau unui ruter IPX, serverul sau ruterul anvelopeaz pachetul IPX ntr-un UDP cu antet IP, i l trimite apoi peste interreeaua IP. Ruterul IP-IPX destinaie d la o parte UDP-ul i antetul IP, i trimite pachetul ctre destinaia IPX. n ultimii ani au aprut noi tehnologii de tunelare, tehnologii care stau la baza implementrilor de VPN existente: Protocolul de tunelare punct-la-punct (PPTP). Acesta permite traficului IP, IPX i NetBEUI s fie criptat i ncapsulat ntr-un antet IP pentru a fi transmis peste o inter-reea IP de corporaie sau public (Internet). Protocolul de tunelare pe nivel 2 (L2TP). Acesta permite traficului IP, IPX sau NetBEUI s fie criptat i transmis peste orice mediu care suport transmisia punct-la-punct a datagramelor, cum ar fi: IP, X25, Frame Relay sau ATM. Tunel bazat pe securitatea IP (IPSec). Acesta permite ncrcturii IP s fie criptat i apoi ncapsulat ntr-un antet IP pentru a fi transmis peste o inter-reea IP.
5.
Metode de transmisie prin VPN
Aa cum am vzut, pentru a asigura confidenialitatea datelor ntr-o transmisie pe canale de comunicaii nesigure, cum este Internetul, pot fi- 11 -
folosite diverse tehnici criptografice. Modul de transmisie utilizat n cazul unei soluii VPN va determina care pri ale unui mesaj sunt criptate. Unele soluii cripteaz ntregul mesaj (antetul IP i datele din mesaj), n timp ce altele cripteaz doar datele. Cele patru moduri (metode) de transmisie ntlnite n soluiile VPN sunt: In Place Transmision Mode (modul de transmisie in-place) - este de obicei o soluie specific unui anumit productor, n care doar datele sunt criptate. Dimensiunea pachetelor nu este afectat, prin urmare mecanismele de transport nu sunt afectate. Transport Mode (modul transport) - doar segmentul de date este criptat, deci mrimea pachetului va crete. Acest mod ofer o confidenialitate adecvat a datelor pentru reele VPN de tip nod-la-nod. Encrypted Tunnel Mode (modul tunel criptat) - informaia din antetul IP i datele sunt criptate, anexndu-se o nou adres IP, mapat pe punctele terminale ale VPN. Se asigur o confidenialitate global a datelor. Non - encrypted Tunnel Mode (modul tunel necriptat) - nici o component nu este criptat, toate datele sunt transportate n text clar. Nu se ofer nici un mijloc de asigurare a confidenialitii datelor. Dei poate prea ciudat, exist i soluii VPN care nu realizeaz nici un mod de criptare. n schimb, pentru a oferi un grad de confidenialitate a datelor, ele se bazeaz pe tehnici de ncapsulare a datelor, cum ar fi protocoalele de tunelare sau forwarding. Nu toate protocoalele de tunelare i forwarding folosesc un sistem criptografic pentru cofidenialitatea datelor, ceea ce nseamn c toate datele vor fi transmise n clar, punnd sub semnul ntrebrii cum poate o astfel de soluie s asigure protecia mpotriva interceptrii datelor - cerin critic n cazul reelelor VPN. Din nefericire, terminologia utilizat n industria de profil poate s contribuie la apariia de astfel de confuzii. Pentru clarificarea acestor confuzii, trebuie ca utilizatorul s identifice care mod de transmisie este folosit. Ca i n cazul autentificrii datelor i a utilizatorilor, modurile de transmisie trebuie s fie analizate dac sunt criptate sau necriptate. Dac o soluie VPN nu furnizeaz nici o form de criptare n scopul confidenialitii datelor, atunci aceast soluie poate fi denumit mult mai corect Virtual Network (VN - reea virtual), din moment ce nimic nu este privat n aceast reea Internet, ntre surs i destinaie.
6.
Componente VPN
n funcie de tipul VPN-ului (cu acces de la distan sau site-to-site), pentru a construi un VPN este nevoie de cteva componente: - software client pentru fiecare utilizator de la distan; - hardware dedicat, precum un concentrator VPN sau un firewall PIX de securitate; - un server VPN dedicat serviciilor dial-up;- 12 -
-
un NAS (server de acces la reea) folosit de furnizorul de servicii pentru accesul VPN al utilizatorilor de la distan; un centru de administrare a politicilor din reeaua VPN.
Figura 11. VPN site-to-site vs. WAN tradiional
O soluie VPN bazat pe Internet este alctuit din patru componente principale: Internet-ul, porile de securitate (gateways), politicile de securitate ale server-ului i autoritaile de certificare. Internet-ul furnizeaz mediul de transmitere. Porile de securitate stau ntre reeaua public i reeaua privat, mpiedicnd intruziunile neautorizate n reeaua privat. Ele, deasemenea, dispun de capaciti de tunelare i criptare a datelor nainte de a fi transmise n reeaua public. n general, o poart de securitate se ncadreaz n una din urmatoarele categorii: routere, firewall, dispozitive dedicate VPN harware i software. Router Pentru c router-ele trebuie s examineze i s proceseze fiecare pachet care parasete reeaua, pare normal ca n componena acestora s fie inclus i funcia de criptare a pachetelor. Comercianii de routere dedicate VPN, de obicei ofer dou tipuri de produse: ori cu un suport software pentru criptare, ori cu un circuit adiional echipat cu un co-procesor care se ocup strict de criptarea datelor. Acestea din urm reprezint cea mai bun soluie pentru situatiile n care sunt necesare fluxuri mari de date. Trebuie avut grij la adugarea de noi sarcini pentru router (criptarea), pentru c, dac router-ul nu poate face fa i pic, atunci ntreg VPN-ul devine nefuncionabil. Exemple: Cisco 3660 Series Cisco 1710 Series Cisco 3620 Series- 13 -
Figura 12. Routere folosite la VPN
Din punct de vedere al performanelor, soluia bazat pe routere este cea mai bun dar implic un consum foarte mare de resurse, att din punct de vedere financiar ct i din punct de vedere al resurselor umane, fiind necesari specialiti n securitatea reelelor pentru a configura i ntreine astfel de echipamente. Este o soluie potrivit pentru companiile mari, care au nevoie de un volum foarte mare de trafic i de un grad sporit de securitate.
Filiala
Sediul central
Internet
Biroul de acasa
Figura 13. Soluie VPN bazat pe routere Firewall Muli comerciani de firewall includ n produsele lor capacitatea de tunelare. Asemeni router-elor, firewall-urile trebuie s proceseze tot traficul IP. Din aceast cauz, nu reprezint o soluie potrivit pentru tunelare n cadrul reelor mari cu trafic foarte mare. Combinaia dintre tunelare, criptare i firewall reprezint probabil soluia cea mai bun pentru companiile mici, cu volum mic de trafic. Ca i n cazul router-elor, dac firewall-ul pic, ntreg VPN-ul devine nefuncionabil. - 14 -
Folosirea firewall-urilor pentru creearea de VPN reprezint o soluie viabil, ndeosebi pentru companiile de dimensiuni mici, ce transfer o cantitate relativ mic de date (de ordinul 1-2 MB pe reeaua public). Soluia unui firewall cu VPN integrat prezint avantajul unei securitai sporite (poarta de securitate a VPN-ului fiind protejat de filtrele aplicate de firewall) i, de asemenea, este mult mai uor de ntreinut, fcndu-se practic management pentru amndou componentele simultan.
Figura 14. Firewall cu VPN integrat
Echipamente harware dedicate O alt soluie VPN o reprezint utilizarea de hardware special proiectat s ndeplineasc sarcinile de tunelare, criptare i autentificarea utilizatorilor. Aceste echipamente opereaz de obicei ca nite puni de criptare care sunt amplasate ntre router-ele reelei i legatura WAN( legatura cu reeaua public). Dei aceste echipamente sunt proiectate pentru configuraiile LAN-to-LAN, unele dintre ele suport i tunelare pentru cazul client-to-LAN.Utilizator
3002 Cable ModemFiliala
3002
DSL
Concentrator VPN
Internet
Filiala
3002
- 15 -
Figura 15. Client hardware VPN
Integrnd diverse funcii n cadrul aceluiai produs poate fi destul de atrgtor pentru o firm care nu beneficiaz de resursele necesare pentru a instala i ntreine diverse echipamente de reea diferite. O simpl pornire a unui astfel de echipament este mult mai simpl dect instalarea unui software pe un firewall, configurarea unui router i instalarea unui server RADIUS. Chiar dac multe din aceste echipamente hardware par c ofer cele mai bune performane pentru un VPN, tot trebuie decis cte funcii doreti s integrezi ntr-un singur echipament. Companiile mici, care nu dispun de personal specializat n securitatea reelelor vor beneficia de aceste produse care integreaz toate functiile unui VPN. Unele produse - cele mai scumpe includ surse duble de alimentare i au caracteristici deosebite care asigur fiabilitatea funcionarii. Este greu de depit performana acestor echipamente n capacitatea lor de a susine un volum de trafic mare i un numr impresionant de tuneluri simultane, lucru esenial pentru companiile mari. Exemple:
Figura 16. Cisco VPN 3002 Hardware Client Soluii software dedicate Componente software VPN sunt deasemenea disponibile pentru creearea i ntreinerea de tuneluri, fie ntre dou pori de securitate, fie ntre un client i o poart de securitate. Aceste sisteme sunt agreeate datorit costurilor reduse i sunt folosite pentru companiile mici, care nu au nevoie s procesese o cantitate prea mare de date. Aceste soluii pot rula pe servere existente, mprind astfel resursele cu acestea. Reprezint soluia cea mai potrivit pentru conexiunile de tipul client-to-LAN. Practic, se instaleaz o aplicaie software pe calculatorul clientului care stabilete conexiunea cu serverul VPN. Exist multe firme productoare de astfel de aplicaii, Microsoft integrnd, de altfel n ulimele sisteme de operare lansate soluii software de acest gen. Asfel, sistemul de operare Windows 2003 Server are ncorporat un server VPN iar, din punct de vedere al clienilor, sistemele de operare Windows 2000 Pro, respectiv Windows XP au ncorporat un client VPN. Practic se poate realiza o aplicaie VPN fr a mai instala alte produse software sau hardware, trebuind doar configurate cele existente. Pe lng porile de securitate, o alt component important a unui VPN o reprezint politica de securitate a server-ului. Acest server menine listele de control al accesului i alte informaii legate de utilizatori. Porile de securitate folosesc aceste informaii pentru a determina care este traficul autorizat. n cele din urm, autoritatea de certificare este necesar pentru a verifica cheile partajate ntre locaii i pentru a face verificri individuale pe - 16 -
baza certificatelor digitale. Companiile mari pot opta pentru a-i menine propria baz de date cu certificate digitale pe un server propriu, iar n cazul companiilor mici intervine o ter parte reprezentat de o autoritate de ncredere.
7.
Protocoale de tunelare
Dup cum am afirmat, o reea privat virtual (VPN) este iniiat n jurul unui protocol de securizare, cel care cripteaz sau decripteaz datele la sursa i la destinaie pentru transmisia prin IP. Pentru realizarea unui tunel, clientul i serverul de tunel trebuie s foloseasc acelai protocol de tunelare. Tehnologia de tunelare poate fi bazat pe un protocol de tunelare pe nivel 2 sau 3. Aceste nivele corespund modelului de referin OSI. Protocoalele de nivel 2 corespund nivelului legtur de date, i folosesc cadre ca unitate de schimb. PPTP, L2TP i L2F (expediere pe nivel 2) sunt protocoale de tunelare pe nivel 2; ele ncapsuleaz ncrctura ntr-un cadru PPP pentru a fi transmis peste inter-reea. Protocoalele de nivel 3 corespund nivelului reea, i folosesc pachete. IP peste IP i Tunel IPSec sunt exemple de protocoale care ncapsuleaz pachete IP ntr-un antet IP adiional nainte de a le transmite peste o inter-reea IP. Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemntor cu o sesiune; ambele capete ale tunelului trebuie s cad de acord asupra tunelului i s negocieze variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. n cele mai multe cazuri, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea tunelului se folosete un protocol de meninere a tunelului. Tehnologiile de tunelarea pe nivel 3 pleac de la premiza c toate chestiunile de configurare au fost efectuate, de multe ori manual. Pentru aceste protocoale, poate s nu existe faza de meninere a tunelului. Pentru protocoalele de nivel 2, un tunel trebuie creat, meninut i distrus. n prezent exist o mare varietate de astfel de protocoale - de exemplu L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun n funcionalitate, altele ofer funcii similare dar complementare. n cele ce urmeaz vom identifica pe scurt cele mai importante caracteristici ale acestor protocoale: Point to point tunneling protocol (PPTP), reprezint o extensie a Point-to-Point Protocol (PPP), care ncapsuleaz datele, IPX sau NetBEUT n pachetele IP. Acest protocol este folosit n mod fundamental de echipamentele ISP, deoarece duce la un numitor comun participanii la sesiuni de comunicaii. Este cea mai cunoscut dintre opiunile pentru securitatea transferului de date n reeaua VPN. Dezvoltat de Microsoft i inclus n Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare i acces de la distan (Routing & Remote Access Service). Este plasat la nivelul 2 OSI.- 17 -
2 forwarding (L2F) este un protocol de tip forwarding, folosit pentru tunelarea protocoalelor de nivel nalt ntr-un protocol de nivel 2 (legtur de date - Data Link). De exemplu, se folosesc ca protocoale L2: HDLC, HDLC asincron sau cadre SLIP. Dei aceast soluie faciliteaz conectivitatea pe linii de acces n reele cu comutaie de circuite, informaia din fluxul L2F nu este criptat. Acest protocol a fost creat de Cisco. Combinat cu PPTP, constituie component a L2TP. Layer 2 Tunneling Protocol, sau L2TP, este o combinaie dintre un protocol al firmei Cisco Systems (L2F) i cel al firmei Microsoft denumit Point-toPoint Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt protocol de rutare, incluznd IP, IPX i AppleTalk, acest L2TP poate fi rulat pe orice tip de reea WAN, inclusiv ATM, X.25 sau SONET. Cea mai important trstur a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft ca o component a sistemelor de operare Windows 95, Windows 98 i Windows NT. Astfel c orice client PC care ruleaz Windows este echipat implicit cu o funcie de tunneling, iar Microsoft furnizeaz i o schem de criptare denumit Point-to-Point Encryption. n afara capacitii de creare a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la acelai client, de exemplu spre o baz de date a firmei i spre intranetul aceleiai firme. Internet Protocol Security sau IPSec, este o suit de protocoale care asigur securitatea unei reele virtuale private prin Internet. IPSec este o funcie de layer 3 i de aceea nu poate interaciona cu alte protocoale de layer 3, cum ar fi IPX i SNA. ns IPSec este poate cel mai autorizat protocol pentru pstrarea confidenialitii i autenticitii pachetelor trimise prin IP. Protocolul funcioneaz cu o larg varietate de scheme de criptare standard i negocieri ale proceselor, ca i pentru diverse sisteme de securitate, incluznd semnturi digitale, certificate digitale, chei publice sau autorizaii. ncapsulnd pachetul original de date ntr-un pachet de tip IP, protocolul IPSec scrie n header toat informaia cerut de terminalul de destinaie. Deoarece nu exist modaliti de autentificare sau criptare liceniate, IPSec se detaeaz de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor i standardelor, chiar i n paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea i autentificarea criptrii n timp ce o reea virtual de tip L2TP primete un pachet, iniiaz tunelul i trimite pachetul ncapsulat ctre cellalt terminal VPN. SOCKS 5 constituie o alt abordare a reelelor virtuale private. Iniial produs de Aventail, SOCKS 5 este puin mai diferit de L2TP sau IPSec: el seamn cu un server proxy i lucreaz la nivelul de socket TCP. Pentru a utiliza SOCKS 5, sistemele trebuie ncrcate cu un software client dedicat. n plus, firma trebuie s ruleze un server de tip SOCK.S 5. Partea pozitiv a lui SOCKS 5 este aceea c permite administratorilor de reea s aplice diverse limitri i controale traficului prin proxy. Deoarece lucreaz la nivel TCP, SOCKS 5 v permite s specificai care aplicaii pot traversa prin firewall ctre Internet i care sunt restricionate. Principalele dezavantaje rezid n faptul c Socks 5 adaug un nivel de securitate prin rutarea traficului printr-un sistem proxy, ceea ce duce la performane n general inferioare fa de protocoalele de nivel inferior. n plus- 18 -
Layer
el prezint o dependen fa de modul de implementare a reelelor VPN. Dei gradul de securitate este mai ridicat n comparaie cu soluiile plasate la nivelul OSI reea sau transport, acest supliment de securitate pretinde o administrare mult mai sofisticat a politicilor. Mai mult, pentru construirea de conexiuni printr-un sistem firewall sunt necesare aplicaii client, astfel nct toate datele TCP/IP s fie transmise prin serverul proxy.
8.
Securitate VPN
O reea VPN bine proiectat folosete cteva metode care menin datele i conexiunea securizate: firewall-uri, criptarea, IPSec sau server AAA.. Astzi securitatea reelei este n principal asigurat de firewall-uri, produse care pun o barier software ntre resursele companiei (reeaua privat) i Internet. Firewall-urile pot fi configurate s restricioneze numrul de porturi deschise, pot fi instruite care feluri de pachete s le lase s treac i care nu, dar un firewall poate fi utilizat pentru a ncheia sesiunile VPN.
Figura 17. Firewall
CheckPoint Software Technologies i Raptor Systems sunt dou dintre cele mai cunoscute firme care vnd soft de firewall pentru servere Unix, situate n apropierea router-ului de reea. Alte firme, ca Cisco Systems i Ascend Communications, vnd produse de securitate la nivel de router. Criptarea este procesul prin cate toate datele trimise de un calculator sunt codificate ntr-o form pe care doar calculatorul destinatar o poate decodifica. Majoritatea sistemelor de criptare cu ajutorul calculatorului se mpart n dou categorii: criptarea cu cheie simetric sau criptarea cu cheie public. n criptarea cu cheie simetric, fiecare calculator posed o cheie secret pe care o poate folosi la criptarea unui pachet de informaie nainte de a-l trimite prin reea celuilalt calculator. Cheia simetric presupune cunoaterea
- 19 -
perechilor de calculatoare care vor comunica aa nct este nevoie de cte o cheie pentru fiecare calculator. Criptarea cu cheie public folosete o combinaie de cheie privat i cheie public. Cheia privat o cunoate doar calculatorul dumneavoastr, iar cea public este oferit oricrui alt calculator ce dorete s comunice n manier securizat. Pentru a decodifica un mesaj criptat, un calculator trebuie s foloseasc cheia public oferit de iniiatorul comunicaiei, precum i cheia sa privat. Un utilitar cunoscut este Pretty Good Privacy (PGP), care poate cripta aproape orice. Cel mai ntlnit dintre protocoalele VPN discutate anterior este IPSec - un open-standard de securitate folosit de cele mai mari firme, printre care se numr IBM, Sun sau BayNetworks - pentru stabilirea comunicaiilor directe private prin Internet. Internet Protocol Security (IPSec) ofer caracteristici de securitate extins, precum i algoritmi de criptare mai buni, pe lng mecanisme de autentificare. IPSec are dou moduri de criptare : tunel i transport. Tunelul cripteaz doar antetul, n timp ce transportul cripteaz i datele. IPSec poate cripta date ntre diverse echipamente: ruter-ruter, firewall-ruter, PC-ruter, PCserver. IPSec v protejeaz datele n trei moduri, folosind tehnici criptografice: Autentificare: Procesul prin care este verificat identitatea unui host (staie de lucru). Verificarea integritii: Procesul prin care se semnaleaz orice modificri ale datelor survenite n procesul de transport prin Internet, ntre surs i destinaie. Criptarea: Procesul de codificare a informaiei n tranzit prin reea, pentru a asigura caracterul su privat.
Figura 18. Un Remote Access VPN cu IPsec
- 20 -
Serverele AAA (de autentificare, autorizare i jurnalizare) sunt folosite pentru accesurile mult mai securizate dintr-un mediu VPN de accesul la distan. Cnd vine o cerere de stabilire a unei sesiuni de la un client dial-up, serverul AAA verific urmtoarele: - cine suntei (autentificare); - ce permisiuni avei (autorizare); - ce anume de fapt facei (jurnalizare). Funcia de jurnalizare este util atunci cnd urmrii ce anume face clientul, n scopul facturrii, de exemplu. O soluie complet pentru realizarea unei reele VPN necesit mbinarea a trei componente tehnologice critice: securitatea, controlul traficului i administrarea la nivelul organizaiei. Securitatea Tehnologiile importante care acoper componenta de securitate a unei reele VPN sunt: controlul accesului pentru garantarea securitii conexiunilor din reea, criptarea, pentru protejarea confidenialitii datelor, autentificarea, pentru a verifica identitatea utilizatorului, ca i integritatea datelor. Controlul traficului O a dou component critic n implementarea unei reele VPN este dat de controlul traficului, realizat pentru un scop simplu i clar: garantarea fiabilitii, calitii serviciilor i a unor performane optime n ceea ce privete ratele de transfer. Comunicaiile n Internet pot duce la apariia unor zone de congestie, impropii unor aplicaii critice n domenniul afacerilor. Alternativa este dat de stabilirea unor prioriti de rutare a traficului, astfel nct transferul datelor s fie realizat cu fiabilitate maxim. la nivelul organizaiei Ultima component critic este dedicat garantrii unei intergrri complete a reelei VPN n politica de securitate global, unei administrri centralizate (fie de la o consol local, fie de la una la distan) i unei scalabilti a soluiei alese. Deoarece n cazul reelelor VPN nu exist o reet unic, este necesar o combinaie particular a acestor trei componente, astfel nct rezultatul practic s ntruneasc criteriile de evaluare mai sus menionate. Administrarea
9.
Standardizarea reelelor VPN Standardul IPSec
Este cunoscut faptul c numai standardele susinute de industrie vor asigura interoperabilitatea aplicaiilor. Administratorii care implementeaz o soluie VPN sunt pui n faa unor anumite probleme, din cauza absenei- 21 -
standardelor. Internet Engineering Task Force (IETF) a stabilit un grup de lucru dedicat definirii standardelor i protocoalelor legate de securitatea Internetului. Unul dintre cele mai importante scopuri ale acestui grup de lucru este finalizarea standardului IPSec, care definete structura pachetelor IP i considerentele legate de securitatea n cazul soluiilor VPN. De-a lungul ultimilor ani, grupul de lucru IPSec din cadrul IETF a nregistrat mari progrese n adugarea de tehnici de securitate criptografice la standardele pentru infrastructura Internet. Arhitectura de securitate specificat pentru IP (figura 19) furnizeaz servicii de securitate ce suport combinaii de autentificare, integritate, controlul accesului i confidenialitate.HTTP FTP Telnet SMTP ..
TCP (Transport Control Protocol)
IP security ProtocolInternet Protocol (IP)
Figura 19. Protcolul de securitate Internet (IP)
IPSec a aprut n cadrul efortului de standardizare pentru IPv6 i reprezint singura soluie deschis pentru securizarea conexiunilor pe Internet. IPSec poate fi configurat pentru dou moduri distincte: modul tunel i modul transport. n modul tunel, IPSec ncapsuleaz pachetele IPv4 n cadre IP securizate, pentru transferul informaiei ntre dou sisteme firewall, de exemplu. n modul transport, informaia este ncapsulat ntr-un altfel de mod, nct ea poate fi securizat ntre punctele terminale ale conexiunii, deci ambalajul nu ascunde informaia de rutare cap-la-cap. Modul tunel este cea mai sigur metod de securizare, ns crete gradul de ncrcare a sesiunii de comunicaie, prin mrirea dimensiunilor pachetelor. Standardul pentru Arhitectura de Securitate IP, descris n RFC 2401, prezint mecanismele de securitate pentru IP versiunea 4 (IPv4) i pentru IP versiunea 6 (IPv6). La ora actual exist dou tipuri de antete (headere) ce pot fi ataate la un pachet IP pentru realizarea securitii. Acestea sunt: Authentification Header (AH) - antetul de autentificare care furnizeaz serviciile de integritate i autentificare. Encapsulated Security Payload (ESP) - nveliul de securitate - care furnizeaz confidenialitate i, n funcie de algoritmii i de modurile folosite, poate furniza, de asemenea, integritate i autentificare. Pe lng autentificarea sursei, AH asigur numai integritatea datelor, n timp ce ESP, care asigura pn acum doar criptarea, acum asigur att criptarea, ct i integritatea datelor. Diferena dintre integritatea datelor prin AH i cea dat de ESP st n scopul datelor care sunt autentificate. AH autetific ntregul pachet, n timp ce ESP nu autentific antetul IP exterior. n
- 22 -
autentificarea ESP, sumarul de mesaj se afl n finalul pachetului, n timp ce n AH, sumarul se gsete nuntrul antetului de autentificare. Cele dou antete, respectiv mecanisme de securitate, pot fi folosite independent unul de cellalt, combinate sau ntr-un mod imbricat. Ele sunt definite n mod independent de algoritm astfel nct algoritmii criptografici pot fi nlocuii fr ca alte pri din implementare s fie afectate. n mod implicit sunt specificai algoritmi standard, pentru asigurarea interoperabilitii. Ambele mecanisme de securitate IP pot furniza servicii de securitate ntre: - dou calculatoare gazd ce comunic ntre ele, - dou gateway-uri de securitate comunicante sau, - un calculator gazd i un gateway. Standardul IPSec stabilete c nainte de orice transfer de date trebuie negociat o asociere de securitate (Security Association - SA) ntre cele dou noduri VPN (de tip gateway sau client), s conine toate informaiile necesare pentru execuia diferitelor servicii de securitate pe reea, cum sunt serviciile corespunztoare nivelului IP (autentificarea antetului i ncapsularea datelor), serviciile nivelurilor de transport sau aplicaie, precum i autoprotecia traficului de date din negociere. Aceste formate furnizeaz un cadru consistent pentru transferul cheilor i a datelor de autentificare, care este independent de tehnica de generare a cheilor, de algoritmul de criptare sau mecanismul de autentificare. IPSec poate fi privit ca un nivel intermediar sub stiv TCP/IP. Acest nivel este controlat de o politic de securitate pe fiecare main i de o asociere de securitate negociat ntre emitor i receptor. Politica const ntr-un set de filtre i un set de profile de securitate asociate. Dac un pachet are o adres, protocolul i numrul de port corespunztoare unui filtru, atunci pachetul este tratat conform profilului de securitate asociat. Unul dintre avantajele majore ale elaborrii unui standard IPSec este c structura standardizat a pachetului i asocierea de securitate vor facilita interoperarea diferitelor soluii VPN la nivelul transmisiei de date. Cu toate acestea, standardul nu ofer un mecanism automat de schimb pentru cheile de criptare i autentificare a datelor, necesare pentru stabilirea unei sesiuni criptate, aspect care introduce al doilea avantaj major al standardului: PKI sau infrastructura de administrare a cheilor. Sunt n curs de dezvoltare protocoale i tehnici criptografice care s asigure gestiunea cheilor la nivelul de securitate din IP printr-un mecanism standardizat de administrare a cheilor care s permit o negociere, distribuie i stocare a cheilor de criptare i autentificare n condiii de complet corectitudine i siguran. Un exemplu l constituie Protocolul de Gestiune a Cheilor pentru Internet (ISAKMP Internet Security Association and Key Management Protocol) care este un protocol de nivel aplicaie, independent de protocoalele de securitate de la nivelele inferioare. ISAKMP are la baz tehnici derivate din mecanismul Diffie-Hellman pentru schimbarea cheilor. O standardizare n structura de pachete i n mecanismul de administrare a cheilor va duce la completa interoperabilitate a diferitelor soluii VPN.
- 23 -
IPSec va avea un succes major n mediile LAN-LAN, ns n cazul consideraiilor client/server va fi de o utilitate limitat la civa ani. Cauzele acestei disfuncii stau n penetrarea relativ limitat a PKI i n problemele de scalabilitate. Implementarea sa pretinde cunoaterea domeniului de adrese IP pentru a stabili indentitatea utilizatorilor, cerin care face acest protocol impracticabil n mediile cu alocare dinamic a adreselor, cum este cazul ISP. IPSec nu suport alte protocoale de reea n afar de TCP/IP i nu specific o metodologie de control al accesului n afar de filtrarea pachetelor. Din moment ce folosete adreasarea IP ca parte al algoritmului de autentificare, se pare c este mai puin sigur de ct alte protocoale de nivel nalt la capitolul identificarea utilizatorilor. Poate cel mai important dezavantaj al IPSec l constituie absena unui sprijin ferm din partea Microsoft. Compania din Redmond nu a pomenit nimic despre suportul IPSec n sistemele sale de operare client. Se poate spune c IPSec se afl n competiie cu PPTP i L2TP n ceea ce privete construirea de conexiuni tunel, de aceea nu este clar dac Microsoft va face schimbri radicale n stiva IPv4 pentru a suporta IPSec la niveluri superioare. Antetului de Autentificare IP Antetul de Autentificare a fost proiectat s furnizeze serviciile de integritatea datelor i autentificarea originii datelor att pentru datagramele IPv4 ct i pentru cele IPv6. n plus, el poate furniza serviciul de nerepudiere, n funcie de algoritmii criptografici folosii i de modul n care este realizat gestiunea cheilor. n timp ce folosirea IPSec n IPv4 este opional, n IPv6 este obligatorie, fiind parte a protocolului IPv6. Prin urmare, IPSec trebuie validat n fiecare nod IPv6, fcnd reeaua mult mai sigur. IPv6 ofer anteturi pentru extensia securitii, nlesnind implementarea criptrii, autentificrii i a reelelor virtuale private. Deoarece IPv6 ofer adrese globale unice i funcii de securitate, poate oferi servicii de securitate capt-la-capt - precum controlul accesului sau integritatea i confidenialitatea datelor - fr a utiliza firewall-uri suplimentare care, la rndul lor pot cauza gtuiri de performan. Antetul de Autentificare IP adaug informaie pentru autentificare (de obicei un Cod de Autentificare a Mesajului - Message Authentication Code, MAC) la o datagram IP. Informaia de autentificare este calculat folosindu-se: cheie de autentificare secret i cmpurile dintr-o datagram IP care nu se schimb n timpul transmisiei (incluznd antetul IP, alte antete i datele). Cmpurile sau opinile care trebuie modificate n timpul timpul transmisiei (de exemplu numrul de hop-uri, sau durata de via) sunt nlocuite cu valoarea 0 n momentul calculrii MAC-ului. Lungimea implicit a informaiei de autentificare este de 96 de bii. Dac se folosete un algoritm de autentificare simetric i se dorete autentificare n nodurile intermediare, atunci nodurile ce efectueaz o astfel de autentificare intermediar sunt capabile s falsifice sau s modifice traficul (deoarece cunosc cheia secret). n cazul folosirii tehnologiilor cu chei publice- 24 Mecanismul
(asimetrice), nodurile intermediare vor putea realiza autentificarea intermediar fr a putea falsifica sau modifica mesajele. Toate nodurile ce suport protocolul IPv6 i toate sistemele IPv4 ce suport mecanismul Antetului de Autentificare trebuie s implementeze n mod obligatoriu tehnici de autentificare a mesajelor. Acestea sunt HMAC-MD5 i HMAC-SHA1, dar pot fi suportai i ali algoritmi. O Asociere de Securitate (AS) este folosit att pentru implementarea mecanismului de AH ct i a celui de ESP. O AS const din adresa de destinaie i ali civa parametri, SPI (Security Parameters Index) i este deci orientat pe receptor. SPI conin cel puin algoritmul criptografic, modul n care el este folosit i cheile pentru acel algoritm. O Asocier de Securitate este one-way (funcie neinversabil). O comunicaie autentificat ntre dou calculatoare gazd va avea doi SPI, cte un set pentru fiecare direcie.Antet urm tor Lg Octe i rezervai
Indexul parametrilor de securitate Num rul de secven
(SPI)
Date de autentificare (op
ionale)
Figura 20. Formatul antetului pentru serviciul AH
O datagram IP creia i s-a aplicat Antetul de Autentificare conine urmtoarele cmpuri (figura 20): Antetul urmtor. Cmp de 8 bii care identific tipul de informaie care se gsete dup antetul AA. Valoarea acestuia este aleas dintre numerele de protocol IP. Lungimea ncrcturii. Cmp de 8 bii care specific lungimea antetului AA. Otei rezervai. Cmp de 16 bii rezervat pentru ntrebuinri viitoare. La ora actual trebuie setat la valoarea 0. Indexul parametrilor de securitate (SPI- Secure Parameters Index). Valoare de 32 de bii care identific Asocierea de Securitate pentru aceast datagram, relativ la adresa IP de destinaie coninut n antetul IP. Numrul de secven. Cmp de 32 de bii ce conine o valoare contor. nainte ca acest contor s revin la valoarea iniial transmitorul i receptorul trebuie s reseteze numrul de secven. Receptorul ignor acest cmp dac nu este cerut serviciul anti-replic. Datele de autentificare. Cmp de lungime variabil ce conine o valoare de verificare a integritii pentru acest pachet.
- 25 -
PKI i administrarea cheilor O parte a standardului IETF IPSec const n definirea unei scheme de administrare automat a cheilor, care include conceptul de PKI (Public Key Infrastructure). Aceasta este o comunitate deschis de CA (Certificate Authorities - Autoriti de certificare) care, n cele mai multe cazuri, utilizezaz un model ierarhic pentru a construi asocieri de ncredere acolo unde nu au existat. Existena PKI este important la stabilirea unei reele VPN ntre o reea de corporaie i o reea a unui partener sau furnizor, deoarece necesit un schimb securizat de chei ntre ele, prin intermediul unei a treia pri (CA), n care ambele noduri VPN au ncredere. Schema obligatorie de administare automat a cheilor, definit de IETF IPSec pentru IPv6 este ISAKMP/Oakley (Internet Security Association and Key Management Protocol) cu opiunea SKIP (Simple Key management for IP). Spre deosebire de soluiile VPN care nu ofer nici o form de administrare automat a cheilor, o soluie VPN care suport aceast caracteristic prin utilizarea uneia dintre tehnologiile de instalare VPN permite administratorilor de securitate s creeze, s distribuie i s revoce cheile de criptare VPN n mod simplu i sigur, prin intermediul sistemului PICI. ISAKMP/Oakley este rspunsul grupului IPSec la modul de negociere al algoritmilor criptografici i schimbul de chei prin Internet. El este de fapt un protocol hibrid ce integreaz protocolul de administrare a cheilor i asociaii de securitate pentru Internet (Internet Security Association and Key Management Protocol, sau ISAKMP) mpreun cu un subset al schemei Oakley de schimb de chei. ISAKMP/Oakley furnizeaz urmtoarele: servicii de negociere a protocoalelor, algoritmilor i cheilor criptografice servicii de autentificare primar a entitilor comunicante administrarea cheilor criptografice schimbul protejat de chei. Schimbul de chei este un serviciu strns legat de administrare a asocierilor de securitate, AS. Cnd este necesar crearea unei AS, trebuie s se schimbe chei. Prin urmare ISAKMP/Oakley le mpacheteaz mpreun i le trimite ca pachet integrat. n plus fa de protocolul ISAKMP/Oakley, standardul IPSec specific faptul c sistemele trebuie s suporte i schimbul manual de chei. n majoritatea situaiilor ns, acest lucru este ineficace. Deci ISAKMP/Oakley rmne singurul modul eficient i sigur de negociere a AS-urilor i de schimb al cheilor printr-o reeaua public. ISAKMP/Oakley funcioneaz n dou faze. n prima faz, entitile ISAKMP stabilesc un canal protejat (denumit ISAKMP-SA) pentru desfurarea protocolului ISAKMP. n faza a doua, cele dou entiti negociaz asocieri de securitate (AS-uri) generale. O entitate ISAKMP este un nod compatibil IPSec, capabil s stabileasc canale ISAKMP i s negocieze AS-uri. Poate fi un calculator de birou sau un echipament numit gateway de securitate care negociaz servicii de securitate pentru abonai. Oakley furnizeaz trei moduri de schimb al cheilor i de stabilire a ASurilor dou pentru schimburile din faza nti ISAKMP i unul pentru schimburile din faza a doua.
IPSec
- 26 -
Modul principal este folosit n prima faz a protocolului ISAKMP pentru stabilirea unui canal protejat. Modul agresiv este o alt cale de realizare a schimburilor din prima faz a protocolului ISAKMP/Oakley el este ceva mai simplu i mai rapid dect modul principal i nu asigur protecia identitii pentru nodurile care negociaz, pentru c ele trebuie s-i transmit identitile nainte de a fi negociat un canal protejat. Modul rapid este folosit n faza a doua a protocolului ISAKMP la negocierea unui AS general pentru cumunicaie. De fapt, ISAKMP/Oakley mai are nc un mod de lucru, denumit modul grupului nou (new group mode), care nu se integreaz n nici una din cele dou faze i care este folosit n negocierea parametrilor pentru schema DiffieHellman.
Pe parcursul acestui capitol am discutat despre modul de funcionare i mecanismele de securitate specifice IPSec. Cel mai semnificativ aspect referitor la IPSec nu const n robusteea cu care a fost proiectat, ci n simplul fapt c IPSec este un standard Internet acceptat i c n momentul de fa un numr mare de firme i furnizori de servicii coopereaz pentru a furniza o gam complet de soluii IPSec. Folosind capacitatea de tunelare a IPSec, se pot implementa reele private virtuale (Virtual Private Network - VPN).
10. Principalele avantaje ale reelelor virtuale private Reducerea costurilor Furnizorii de VPN pot nira o mulime de beneficii pe care le aduce tehnologia, multe aprnd odat cu dezvoltarea ei. Poate cel mai puternic argument folosit este reducerea costurilor. Reelele private virtuale sunt mult mai ieftine dect reelele private proprietare ale companiilor; se reduc costurile de operare a reelei (linii nchiriate, echipamente, administratori reea). Dac folosii Internetul pentru a distribui servicii de reea la mare distan, atunci putei evita achiziia de linii nchiriate, extrem de scumpe, ntre reprezentane i firm, dar i costurile convorbirilor interurbane pe modemuri dial-up sau ISDN. Reprezentana va trebui s se conecteze numai local, la un provider Internet, pentru a ajunge n reeaua firmei mam. Economii se fac i relativ la lipsa necesitii investiiilor n echipament WAN adiional, singura achiziie fiind legat de mbuntirea capacitilor de conectare la Internet a serverului. Integrare, simplitate, uor de implementat Reeaua virtual privat poate fi imediat realizat peste conexiunea deja existent la Internet, nefiind necesar o infrastructur separat. Se simplific- 27 -
topologia reelei companiei private. De asemenea, prin aceeai conexiune se pot integra mai multe aplicaii: transfer de date, Voice over IP, Videoconferine. Uurina administrrii n cazul unei interconectri complete a sucursalelor unei firme, liniile private pot deveni un comar. Trebuie instalate i administrate linii ntre fiecare dou sucursale. Folosind Internetul, nu trebuie dect s asiguri fiecarei sucursale acces la Internet. In cazul accesului utilizatorilor de la distan, problemele de administrare sunt transferate complet ISP. Ignorarea nvechirii morale a tehnologiei riscul nvechirii morale a tehnologiei se transfer de la corporaie la ISP. Accesul la distan prin Internet permite utilizatorilor s foloseasc tehnologii de acces variate, inclusiv ISDN i modemuri. Cum apar tehnologii de acces de vitez mare, cum ar fi ASDL, ATM, organizaia va putea profita de ele fr a face investiii n echipamente. ISP suport majoritatea costurilor schimbrii tehnologiilor.
Mobilitate Angajaii mobili precum i partenerii de afaceri (distribuitori sau furnizori) se pot conecta la reeaua companiei ntr-un mod sigur, indiferent de locul n care se afl. Scalabilitate Afacerea companiei crete, deci apare o nevoie permanent de angajai mobili i conexiuni securizate cu partenerii strategici si distribuitorii. Pe msur ce cererea de acces la distan crete, organizaia nu va avea nevoie s cumpere i s instaleze echipamente de comunicaie noi. E nevoie doar de comandarea unui nou cont de acces la un ISP. Securitate Reeaua virtual privat asigur un nivel ridicat de securitate a informaiilor transmise prin utilizarea unor protocoale avansate de autentificare i criptare. Informaiile care circul prin VPN sunt protejate prin diferite tehnologii de securitate (criptare, autentificare, IPSec). Nu trebuie s v temei c datele traficate prin VPN pot fi compromise. Oportuniti, comert electronic Vei putea implementa noi modele de business (business-to-business, businessto-consumer, electronic commerce) care pot aduce venituri suplimentare pentru companie. Conectivitate global pe msur ce economia continu s se globalizeze, reelele de firm trebuie s creasc n afara granielor statale. Infrastructura cu fibr optic pentru linii private de calitate nu este disponibil n multe ri. Internetul, pe de alt parte, este ideal pentru conectivitate internaional. Protocolul Internetului (IP) poate rula pe orice infrastructur de comunicaie.
- 28 -
Bibliografie:1.
Andrew S. Tanenbaum Reele de calculatoare Editura Computers Press Agora, 1997;
- 29 -
2. V. V. Patriciu, M. Pietroanu, I. Bica, C. Vduva, N. Voicu Securitatea Comerului Electronic, Editura ALL, Bucuresti, 2001. 3. http://www.microsoft.com/windowsserver2003/technologies/networking/ vpn/default.mspx4.
http://www.cisco.com/en/US/products/hw/routers/ps341/products_confi guration_guide_book09186a008051522f.html http://www.chip.ro/revista/iunie_2000/46/retele_virtuale_private/8232 www.folio.fr/tech_vpn.htm www.tridentusa.com/.../ p_parts_equip.html www.sonicwall-solutions.com/ what_is_vpn.htm www.networksunlimited.com/ whitepaper4.html
5. 6. 7. 8. 9.
- 30 -