Securitatea în rețele TCPIP [308911]
Universitatea “Politehnica” [anonimizat]/IP
(Simularea unei rețele VPN)
Proiect de diplomă
prezentat ca cerință parțială pentru obținerea titlului de
Inginer în domeniul Electronică și Telecomunicații
programul de studii de licență Tehnologii și Sisteme de Telecomunicații
Conducător științific Absolvent: [anonimizat]. [anonimizat] 2017
Anexa 5
Declarație de onestitate academică
Prin prezenta declar că lucrarea cu titlul “Securitatea în rețele TCP/IP (Simularea unei rețele VPN)”, [anonimizat] a Universității “Politehnica” din București ca cerință parțială pentru obținerea titlului de Inginer în domeniul Electronică și Telecomunicații programul de studii Tehnologii și Sisteme de Telecomunicații este scrisă de mine și nu a mai fost prezentată niciodată la o facultate sau instituție de învățămînt superior din țară sau străinătate.
[anonimizat], [anonimizat]. [anonimizat], [anonimizat]. Reformularea în cuvinte proprii a textelor scrise de către alți autori face referință la sursă. Înțeleg că plagiatul constituie infracțiune și se sancționează conform legilor în vigoare.
[anonimizat], [anonimizat], experimente și măsurători. Înțeleg că falsificarea datelor și rezultatelor constituie fraudă și se sancționează conform regulamentelor în vigoare.
CUPRINS
Introducere………………………………………………………………………………………………….pag08
Tipuri de atacuri informatice………………………………………………………………..pag08
Considerații generale privind securitatea în rețelele IP…………………………….pag09
Servicii de securitate…………………………………………………pag10
Mecanisme de securitate……………………………………………pag10
Tehnici de securitate…………………………………………………pag12
Securitate prin firewall…………………………pag12
Criptografia………………………………………..pag13
Rețea Virtuală Privată………………………….pag14
Securitate la nivel aplicație……………………pag14
Algoritmi de criptare……………………………………………………………………………………pag15
2.1 Introducere în criptografie…………………………………………………………………….pag15
2.2 [anonimizat]………………………………………………..pag15
2.2.1 Algortimul DES (Data Encryption Standard)……………………………pag16
2.2.2 Tripul DES……………………………………………………………………………pag18
2.2.3 Algoritmul AES……………………………………………………………………..pag19
2.2.4 Algoritmul IDEA……………………………………………………………………pag19
2.3 Algoritmi criptografici – cheie asimetrică………………………………………………pag20
2.3.1 Algortimul RSA…………………………………………………………………….pag21
2.3.2 Algoritmul Diffie-Hellman………………………………………………………pag21
2.3.3 Semnături digitale…………………………………………………………………..pag22
2.4 Concluzii……………………………………………………………………………………………pag22
3. Securizarea comunicațiilor digitale prin intermediul VPN (VIRTUAL PRIVATE NETWORK)……………………………………………………………………………………………………………….pag23
3.1 Tipuri de rețele VPN……………………………………………………………………………pag24
3.1.1 Remote Access VPN………………………………………………………………pag25
3.1.2 Intranet VPN………………………………………………………………………….pag25
3.1.3 Extranet VPN………………………………………………………………………..pag25
3.2 Protocoale de tunelare………………………………………………………………………….pag26
3.2.1 Protocoale la nivel 2 OSI…………………………………………………………pag26
3.2.2 Protocoale la nivel 3 OSI…………………………………………………………pag28
3.3 Protocoalele ISAKMP și IPSec……………………………………………………………..pag30
3.3.1 Protocolul AH………………………………………………………………………..pag31
3.3.2 Protocolul ESP………………………………………………………………………pag32
3.3.3 Protocolul IKE și IKEv2…………………………………………………………pag32
4. Metode de control al accesului la servicii prin schimbare de chei de acces……….pag36
4.1 Arhitectura SSL…………………………………………………………………………………..pag36
4.1.1 Autentificarea serverului SSL………………………………………………….pag36
4.1.2 Autentificarea clientului SSL…………………………………………………..pag37
4.1.3 Conexiune encriptată SSL……………………………………………………….pag37
4.1.4 Protocolul Handshake SSL………………………………………………………pag38
4.2 Arhitectura TLS………………………………………………………………………………….pag39
4.2.1 Protocolul TLS Record……………………………………………………………pag39
4.2.2 Protocolul Handshake TLS……………………………………………………..pag40
4.3 Protocolul de autentificare la distanță Secure Shell (SSH)………………………..pag40
4.3.1 Arhitectura SSH…………………………………………………………………….pag41
5. Parte aplicativă: Simularea unei rețele VPN………………………………………………….pag42
5.1 Instrumente utilizate pentru realizarea simulării și analiza reazultatelor……..pag42
5.2 Topologia rețelei…………………………………………………………………………………pag46
6. Conluzii finale……………………………………………………………………………………………….pag59
7. Bibliografie……………………………………………………………………………………………………pag60
8. Anexe……………………………………………………………………………………………………………pag61
LISTĂ FIGURI ȘI TABELE
Listă figuri:
Figura 2.1 Sistem Criptografic………………………………………………………………………………………..pag15
Figura 2.2 Algoritm cu cheie simetrică…………………………………………………………………………….pag16
Figura 2.3 Algoritmul DES……………………………………………………………………………………………..pag18
Figura 2.4 Algoritmul Triplu DES……………………………………………………………………………………pag18
Figura 2.5 Schema bloc – algoritm IDEA…………………………………………………………………………pag20
Figura 3.1 Rețea privată virtuală……………………………………………………………………………………..pag23
Figura 3.2 Remote Access VPN………………………………………………………………………………………pag24
Figura 3.3 Intranet VPN…………………………………………………………………………………………………pag24
Figura 3.4 Extranet VPN………………………………………………………………………………………………..pag24
Figura 3.5 Protocoale în cadrul VPN………………………………………………………………………………..pag26
Figura 3.6 Cadru IPSec…………………………………………………………………………………………………..pag29
Figura 3.7 Interacțiunea IPSec…………………………………………………………………………………………pag34
Fig 4.1 Autentificare Server SSL……………………………………………………………………………………..pag36
Fig 4.2 Autentificare Client SSL……………………………………………………………………………………..pag37
Figura 5.1 Interfață program GNS3………………………………………………………………………………….pag43
Figura 5.2 Analizor Wireshark………………………………………………………………………………………..pag45
Figura 5.3 Topologia rețelei……………………………………………………………………………………………pag46
Figura 5.4 Ping Host1-Host2 text clar(netunelat, fără criptare sau încapsulare)……………………..pag50
Figura 5.5 Ping Host2-Host1 text clar(netunelat, fără criptare sau încapsulare)……………………..pag50
Figura 5.6 Ping Host2-Host3 (Tunel GRE, pachet încapsulat)…………………………………………….pag51
Figura 5.7 Ping Host3-Host2 (Tunel GRE, pachet încapsulat)…………………………………………….pag52
Figura 5.8 Verficare implementare tunel IPSec în linia de comandă…………………………………….pag54
Figura 5.9 Verficare implementare tunel IPSec – Wireshark……………………………………………….pag54
Figura 5.10 Ping Host1-Host3 (Tunel IPSec)…………………………………………………………………….pag55
Figura 5.11 Ping Host3-Host1(Tunel IPSec)……………………………………………………………………..pag55
Figura 5.12 Stabilirea asocierii IPSec între echipamente…………………………………………………….pag57
Figura 5.13 Tunelul GRE între cele două echipamente……………………………………………………….pag57
Figura 5.14 Ping Host 1 – Host 2 (GRE over IPSec)………………………………………………………….pag58
Figura 5.15 Ping Host 2 – Host 1 (GRE over IPSec)………………………………………………………….pag58
Listă tabele:
Tabel 5.1 Adresare interfețe și configurație OSPF……………………………………………………………..pag49
Tabel 5.2 Tunel GRE Branch1-Branch2…………………………………………………………………………..pag51
Tabel 5.3 Configurație tunel GRE HQ-Branch1………………………………………………………………..pag56
LISTĂ ACRONIME
AES =Advanced Encryption Standard
AH =Authentification Header
ASDL =Abstract-Type and Scheme-Definition Language
DES =Data Encryption Standard
DSA =Digital Signature Algoritm
DSS =Digital Signature Standard
ESP = Encapsulating Security Payload Protocol
ESP =Encapsulated Security Payload
FTP =File Transfer Protocol
GNS3 =Graphical Network Simulator
GRE =Generic Route Encapsulation
HMAC =Hash-Based Message Authentication Code
IDEA =International Data Encryption Algorithm
IKE =Internet Key Exchange
IP =Internet Protocol
IPsec =Internet Protocol Security
IPX =Internetwork Packet Exchange
ISAKMP =Internet Security Association and Key Management Protocol
ISDN =Integrated Services Digital Network
L2F =Layer 2 Forwarding
L2TP =Layer 2 Tunneling Protocol
MD5 =Message Digest Algorithm 5
NAT =Network Address Translation
NetBEUI =NetBIOS Enhanced User Interface
PGP =Pretty Good Privacy
PKCS = Public-Key Cryptography Standards
PPP =Point-to-Point Protocol
PPTP =Point-to-Point Tunneling Protocol
RSA = Rivest Shamir Adleman
SHA =Secure Hash Algorithm
SHA =Secure Hash Algorithm
SONET =Synchronous Optical Networking
SSL =Secure Sockets Layer
TCP/IP =Transmission Control Protocol/Internet Protocol
UDP =User Datagram Protocol
VLSI = Very Large Scale Integration
VPN =Virtual Private Network
WAN=Wide Area Network
CAPITOLUL 1.Introducere
În momentul apariției, rețelele de calculatoare au fost folosite de către cercetători pentru trimiterea poștei electronice (serviciul de e-mail) sau pentru a realiza multiple conexiuni la un server. De asemenea, rețelele de calculatoare au fost folosite și de către corporații pentru partajarea imprimantelor.
În timp, după dezvoltarea rețelelor de calculatoare, populația a descoperit avantajul major oferit și beneficiile obținute în urma utilizări lor. Prin intermediul rețelelor de calculatoare oamenii pot interacționa în diferite moduri, pot realiza diferite operațiuni, de la cele simple precum distribuirea unei fotografi unei persoane dragi, până la plasarea unor comenzi online. Însă odată cu aceste beneficii, există și o serie de consecințe negative. Potrivit unor studii de securitate numărul atacurilor informatice bazate pe browser a crescut enorm în ultimii ani.
Majoritatea utilizatorilor care beneficiază de acces la Internet pentru a realiza diverse activități folosesc conturi cu parole destul de intuitivie și foarte ușor de ghicit, ceea ce duce la o potențială problema din punct de vedere al securității rețelei.
Securitatea reprezintă un subiect destul de amplu și are o gamă variată de imperfecțiuni. Pentru a defini securitatea în cea mai simplă formă ne putem rezuma la ideea că asigură ca o persoană cu intenții rele sa nu poată citi sau modifica anumite date. Securitatea ne garantează faptul că atunci când primim un mesaj de la o anumită persoană, acel mesaj este într-adevăr de la persoană respectivă și nu de la un răuvoitor. Trebuie asigurat un echilibru între nevoia de comunicații și conectivitate și pe de altă parte, necesitatea asigurării confidențialității, intregrității și autenticității informațiilor.
1.1.Tipuri de atacuri informatice
În momentul în care tot mai multe persoane au început să aibă acces la Internet, numărul atacurilor informaticea crescut considerabil. Primele atacuri au fost neintenționate însă au fost sancționate conform legilor în vigoare.
În momentul actual, un sistem informatic poate fi atacat sau amenințat din interior, respectiv exterior, deoarece complexitatea amenințărilor a ajuns la un nivel sofisticat, iar din punct de vedere tehnic nivelul de implementare a scăzut.
Erorile software-ului de prelucrare sau comunicare, anumite defecte ale echipamentelor de calcul sau de comunicație reprezintă factorii tehnici care permit breșe de securitate.
Conform unui studiu s-a constatat că 70% dintre atacurile asupra unei rețele sunt din interior. Înlătuarea acestor atacuri poate fi realizată prin introducerea unor politici de securitate și prin asigurarea că angajații au luat la cunoștiință și știu să folosească corespunzător resursele companiei. Restul de 30% sunt atacurile care își au originea în exterior și pot fi clasificate astfel:
Viruși: reprezintă anumite secvențe de cod ce pot fi atașate în programe sau în fișiere executabile și când este activat (momentul în care fișierul este executat) verifică hard-disk-ul în căutarea altor fișiere executabile neafectate. Virușii pot avea efecte dăunătoare, cât și nedăunatoare. Din categoria efectelor dăunătoare: ștergerea datelor de pe hard-disk, iar din categoria efectelor nedăunătoare: afișarea unor poze pe ecran. De asemenea pot fi programați să își modifice codul pentru a nu fi detectați.
Viermi: reprezintă un program de calculator care se poate auto-replica. Acesta folosește rețeaua de calculatoare pentru a-și trimite propriile copii ȋn alte noduri (calculatoare din rețea), reușind să facă acest lucru fără intervenția vreunui utilizator. Spre deosebire de viruși, care necesită răspândirea unui fișier gazdă infectat, viermii sunt programe independente și nu necesită un program gazdă sau un ajutor uman pentru propagare. Viermii provoacă daune rețelei, chiar și prin simplul fapt că ocupă bandă, ȋn timp ce virușii corup sau modifică aproape ȋntotdeauna fișiere de pe computerul țintă.
Cai troieni: sunt programe de sine stătătoare care execută în background secvențe de cod ce exploatează privilegiile utilizatorului ce l-a rulat. Deși programul legitim este închis de către utilizator, el poate rămâne deschis și poate oferi creatorului său acces pe calculatorul infestat, poate fura și trimite date sensibile, șterge sau corupe fișiere, opri progarmele antivirus/firewall sau încetini sau chiar opri activitatea rețelei.
Atac de recunoaștere: descoperirea și cartografierea neautorizată a sistemelor, serviciilor și vulnerabilităților unui sistem, ceea ce precede deoseori alte tipuri de atacuri.
Atac de tip acces: exploatează vulnerabilități cunoscute ale serviciilor de autentificare, FTP, servicii web, etc pentru a obține acces la conturi web, baze de date sau alte informații sensibile. De obicei implică un atac de tip dicționar sau de tip forță brută pentru a ghici parola de acces.
Negarea serviciului: cel mai întâlnit tip de atac și cel mai ușor de realizat (prin scripturi sau programe) și constă înr-un număr extrem de mare de cereri trimise către un server/calculator până când acesta nu mai poate răspunde cererilor.
1.2. Considerații generale privind securitatea în rețelele IP
În momentul actual, securitatea rețelelor de calculatoare este parte integrată a domeniului rețelelor de calculatoare și implică protocoale, tehnologii, sisteme, instrumente și tehnici pentru a securiza și opri atacurile rău intenționate. Securitatea informației reprezintă domeniul care se ocupă cu protecția informațiilor, asigurând un nivel ridicat de încredere. O defniție mai largă a noțiunii de securitate pentru o rețea de calculatoare ar fi următoarea: interzicerea accesului unor persoane neautorizate la anumite date.
1.2.1 Servicii de securitate
Serviciile de securitate au menirea de a contabiliza atacurile de securitate și de a utiliza unul din mecanismele de securitate pentru a împiedica aceste atacuri.
Se disting patru obiective majore și sunt considerate servicii de securitate care pot fi furnizate opțional în cadrul modelului de referință OSI. Fiecare serviciu poate fi implementat la diverse nivele arhitecturale ale modelului OSI. Un nivel arhitectural al modelului OSI poate fi asigurat din punct de vedere al securității prin combinarea unuia sau mai multor servicii, servicii care pot fi alcătuite la din anumite mecanisme.
Primul obiectiv se referă la confidențialitatea informației, fiind cel mai vechi obiectiv al criptologiei. Nu trebuie realizată o confuzie între criptografie și confidențialitate, criptografia realizează asigurarea mai multor obiective dar nu păstrează secretă informația. Confidențialitatea se definește ca fiind protecția datelor transmise în fața atacurilor pasive.
Integritatea presupune nealterarea datelor de către o entitate neautorizată. Pentru a asigura integritatea datelor trebuie să fie detectată manipularea de date de către o entitate neautorizată.
Autentificarea conține două tipuri distincte: autentificarea entităților și respectiv autentificarea informației. Autentificarea entităților oferă unui participant la cominicație o garanție asupra identității. Autentificarea informației oferă o garanție asupra sursei de de proveninență, în mod implicit garantând și integritatea informației. Autentificarea este dependentăde un factor temporal, informația stocată fiind supusă unui test de integritate pentru a se decide dacă a fost sau nu compromisă, dar testul de autenticitate nu poate fi realizat.
Cel de al patrulea obiectiv este nerepudierea care previne ca nici o enititate să nu refuze să recunoască un serviciu executat. Cu alte cuvinte, dacă o entitate neagă că ar fi trimis o anume informație, enitatea care recepționeză informația respectivă poate demonstra unei părți neutre că informația provine într-adevăr de la entitatea în cauză.
1.2.2 Mecanisme de securitate
Modelul de referință OSI a introdus o serie de opt mecanisme de securitate, care pot fi utilizate combinat sau fiecare în parte, cu scopul de a realiza servicii de securitate.
Mecanismul de criptare este utilizat cu scopul de a face datele inteligibile doar de către utilizatorii autorizați. Evident o enitate sau un utilizator autorizat va deține o cheie cu care va putea realiza decriptarea. În prinicpiu pentru a realiza confidențialitatea este utilizată criptarea datelor. Totuși criptarea este folosită și pentru a asigura anumite serivicii de securitate. În ceea ce privește criptarea, modelul de referință OSI permite algoritmi simitrici dar și nesimetrici care folosesc chei publice.
Mecanismul de semnătură digitală are scopul de a da siguranța că datele au fost trimise chiar de către semnatar. Pentru acest mecanism sunt definite două proceduri:
Procedura de semnare a unei entități de date;
Procedura pentru verificarea semnăturii;
În ceea ce privește criptografia de tip asmietric, semnătura digitală se realizează prin calculul unei funcții de dispersie pentru datele ce urmează a fi semnate, iar apoi rezultatul calculului este criptat cu ajutorul unei componente private a cheii asimetrice. Momentul în care va fi emisă semnătura digitală va influența valoarea finală, prevenind astfel falsificarea datelor prin procedeul de retransmisie. În ceea ce privește semnătura digitală, ea este realizată numai cu niște informații de tip personal ale semnatarului, totuși procedură de verificare este publică
Mecanismul de control al accesului pleacă de la premisa că este cunoscută identatea solicitantului. Mecanismul în sine presupune verificarea posibilității de acces asupra enităților. Acest mecanism intervine în momentul în care este identificat un acces de tip neautorizat, de obicei prin generarea de alarme sau anumite înregistrări referitoare la incident. În ceea ce privește politica de control al accesului, ne putem baza soluțiile de mai jos:
Lista drepturilor de acces (entitate, resursă)
Parole
Capabilități
Etichete de securitate
Durata accesului
Timpul de încercare a accesului
Ruta (calea de încercare a accesului)
Mecanismul de integritate a datelor asigură integritatea datelor și presupune că datele nu pot fi modificate, șterse sau amestecate în timpul transmisiei. Acest tip de mecanism se bazează pe următoarele două proceduri:
Procedura pentru emisie: ce presupune ca expeditorul să adauge o informație adițională, informție ce depinde numai de datele transmise.
Procedura pentru recepție: ce preusupune ca receptorul să genereaze aceeași informației adițională pentru a putea realiza o comparație cu cea primită.
Mecanismul de autentificare mutuală se utilizează pentru a putea demonstra identitatea fiecărei identități. Pentru realizarea acestui mecanism putem utiliza tehnici de criptare sau parole. Dacă se folosesc tehnicile criptografice, în general ele vor fi îmbinate cu anumite protocoale, cu ar fi protocolul de interblocare: „hand-shaking”, astfel realizându-se o protecție în ceea ce privește înlocuirea datelor. Putem enunța următorul principiu: entitatea X trimite, cifrat sau nu, identitatea sa către enititatea Y, entitate ce va genera o anumită valoare la întâmplare și o va trimite entității inițiale, X. Entitatea X va fi nevoită să descifreze valoarea primită cu o cheie a ei, privată, și apoi să trimită către Y, care va confirma corectitudinea descifrării.
Mecanismul de „umplere” a traficului este utilizat în scopul asigurării unor nivele de protecție împotriva analizei traficului, acest mecanism implică metodele de mai jos:
Generarea unui trafic fals
Umplerea pachetelor de date transmise cu date redundante
Transmiterea de pachete și spre alte destinații în afara celei dorite
Mecanismul de control al rutării funcționează pe premisa că anumite rute dintr-o rețea pot fi mai sigure în comparație cu alte rute. Astfel, acest mecanism oferă posibilitatea alegerii, în mod dinamic sau într-un mod prestabilit, a unei rute convenabile ce respectă criteriile de securitate. De asemenea, acest mecanism poate fi utilizat și în scopul recuperării datelor, ca un suport pentru serviciile ce asigură integritatea.
Mecanismul de notorizare. Pentru utilizarea acestui mecanism se impune stabilirea unei entiăți noi, numită notar, entitate care este văzută cu un nivel ridicat de încredere de către toate celelalte entități. Când se realizează un transfer de date între entități, datele sunt transmise prin intermediul acestei enități, numită notar.
1.2.3 Tehnici de securitate
După implementarea tehnicilor de securitate într-o rețea, persoanele neautorizate nu vor mai putea accesa sau intercepta informațiile și astfel informațiilor transmise nu vor putea fi falsificate sau utilizate de către servicii destinate unor categorii rău intenționate.
Dintre tehnicile de securitate implementate într-o rețea, amintim:
Protecția fizică a dispozitivelor de rețea și a liniilor de transmisie la nivelul fizic
Proceduri de blocare a accesului la nivelul rețelei
Aplicarea unor tehnici de criptare a datelor
Lipsa unor politici de securitate poate duce la o ineficiență a mecanismelor de securitate și astfel nu ar corespunde strategiei și obiectivelor impuse la proiectarea rețelei. O politcă de securitate realizată corect, conține nivele de securitate de mai jos:
Firewall-ul constituie primul nivel de securitate și are scopul asigurării unei conexiuni sigure la Internet.
Prin folosirea de rețelele private virtuale, datele necesare transmisiei vor fi criptate prin realizarea unui tunel de securitate. Cu alte cuvinte, criptarea datelor reprezinta cel de al doilea nivel de securitate. Criptarea datelor conferă un al doilea nivel de securitate.
Securitatea la nivelul aplicație constituie ultimul nivel de securitate
1.2.3.1 Securitate prin firewall
În rețele de calculatoare, un firewall, denumit și paravan de protecție, reprezintă un dispozitiv sau o serie de dispozitive configurate în așa fel încât să filtreze, să cripteze sau să intermedieze traficul între diferite domenii de securitate pe baza unor reguli predefinite. Un firewall este un dispozitiv poziționat la granița dintre două rețele și deține următoarele proprietăți:
Traficul realizat între două rețele va trece obligatoriu prin firewall
Dacă există o politică de securitate locală, atunci este permisă doar trecerea traficului autorizat
Sistemul însuși este imun la încercările de penetrare a securității acestuia
Firewall-ul este dispozitivul care controlează accesul între Internet și o rețea privată. Fără existeța unui firewall în rețea, această ar fi predispusă la atacuri exterioare de penetrare și astfel fiecare stație din rețeaua privată ar putea fi afectată. Utilizarea unui firewall asigură numeroase avantaje, printre acestea se enumeră creșterea nivelului de securitate al calculatoarelor din rețea.
Concentrarea securității: din punct de vedere al administrării, adică modificarea unor programe, inclusiv instalarea unui software adițional, firewall-ul reperzintă o soluție mai puțin costisitoare. Ca o conluzie, un firewall este o soluție relativ simplă în ceea ce privește implementare, respectiv administrarea, iar software-ul adițional se execută în sistemul firewall.
Instituirea unei politici de acces în rețea: pentru accesul într-o rețea privată sunt necesare anumite mijloace e control al accesului, iar aceste mijloace sunt furnizate de către firewall.
Protecția serviciilor vulnerabile: Traficul spre/dinspre Internet poate fi monitorizat și poate furniza anumite statistice în legătură cu rețea, dacă trece printr-un firewall. Pentru a realiza verificarea firewall-ului la încercările de atac asupra rețelei, sunt folosite datele colectate în urma filtrarii traficului prin firewall. În ceea ce privește colectarea de statistici cu privire la folosirea rețelei, ele sunt utile pentru a putea analiza riscurile, dar și pentru o dezvoltare continuă a rețelei private. Firewall-ul conține și o serie de dezavantaje, cum ar fi: blochează sau restricționează accesul la anumite servicii, considerate vulnerabile.
Protecția scăzută față de viruși: Un alt dezavantaj major în utlizarea firewall-uri ar fi că au o protecție scăzută față de viruși. Dacă un utilizator local, aduce din Internet anumite programe infectate de viruși, atunci firewall-urile nu pot oferi o protecție completă. Programele infectate, pot fi criptate sau comprimate în diverse moduri, iar firewall-ul nu le poate detecta sau scana.
Viteza de comunicație cu exteriorul: Firewall-ul limitează traficul dintre rețeaua internă și cea externă. Însă, în rețelele cu linii mari de viteză, acest lucru nu reprezintă o problemă.
Fiabilitatea protecției firewall: O rețea protejată prin firewall își concentrează securitatea într-un singur loc spre deosebire de varianta distribuirii securității între mai multe sisteme. Dacă firewall-ul este compromis, sistemele din rețea vor fi grav afectate. În ciuda tuturor acestor dezavantaje, se recomandă ca protejarea resurselor unei rețele să se realizeze și prin intermediul firewall-urilor.
1.2.3.2 Criptografia
Criptografia, securizarea informației, autentificarea și restricționarea accesului stau la baza multor servicii și mecanisme de securitate utilizate în Internet. Ele folosesc diverse metode matematice pentru a realiza o transformare a datelor în scopul de a ascunde conținutul lor sau pentru a le proteja împotriva modificării.
Criptografia reprezintă o metodă de protejare a informațiilor sensibile stocate în sistemele de calcul, dar si a datelor transmise pe liniile de comunicații. Criptarea a devenit cea mai populară metodă de protecție pentru comunicații. Pentru a protecția datelor care circulă printr-o rețea publică este utilizată criptarea datelor, care pentru a codifica sau cifra anumite documente sau mesaje, utilizează niște algoritmi matematici avansați.
Principiu: datele originale sunt criptate folosind o anumită cheie de criptare, iar utilizatorul destinatar poate descifra mesajul folosind o cheie de decriptare specifică. Criptografia folosită într-un protocol de securitate asigură: confidențialitate, integritatea datelor, autenticitatea și non-repudierea.
1.2.3.3 Rețea virtuală privată
O rețea privată virtuală (VPN) extinde o rețea privată peste o rețea publică, cum ar fi Internetul. O rețea privată virtuală este o tehnologie de comunicații computerizate sigure, folosite în cadrul organizațiilor sau companiilor, dar bazate pe o rețea publică. Tehnologia VPN a fost realizată pentru a crea într-o rețea publică o subrețea de confidențialitate aproape la fel de buna/înaltă ca într-o rețea privată adevarată unde sunt conectați numai utilizatori autorizați. Această subrețea denumită VPN nu poate comunica cu celelalte sisteme sau utilizatori din rețeaua plublică de bază. Utilizatorii rețelei VPN pot să trimită și să primească date peste rețele publice sau comune ca și cum ar fi conectați la o rețea privată, beneficiind în același timp de funcționalitatea, securitatea și politicile rețelei publice.
Tehnologia VPN folosește o combinație de tunelare, criptare, autentificare, mecanisme și servicii de control al accesului, folosite pentru a transporta traficul pe Internet. Această tehnologie a fost realizată din dorința de a avea o ai bunp securitate asupra informațiilor transmise de utilizatori prin rețea.
1.2.3.4 Securitate la nivelul aplicație
Datorită nivelului aplicație se poate asigura implementarea serviciilor de securitate, un exemplu în acest caz ar fi nonrepudierea mesajelor.
Din punct de vedere al asigurării securității la nivelul aplicație, el oferă un mare avantaj și anume independența de sistemul de operare utilizat și toate celelalte protocoale folosite pe nivelele inferioare. Însă la nivel aplicație, asigurarea securității depinde obligatoriu de aplicație, cu alte cuvinte, trebuie implementata pentru fiecare aplicație utilizată.
CAPITOLUL 2. ALGORITMI DE CRIPTARE
Criptologia este considerată ca fiind o știință și cuprinde atât criptografia cât și criptanaliza. În general când vorbim despre criptografie și nu de securitate în ansamblu, putem distinge patru obiective importante: confidențialitatea, integritatea, autentificarea entităților și autentificarea provenienței datelor.
2.1 Introducere în criptografie
„Criptografia reprezintă o ramură a matematicii care se ocupă cu securizarea informației, cu autentificarea și restricționarea accesului într-un sistem informatic.” Prin sistem criptografic putem înțelegem un ansamblu alcătuit din trei algoritmi, figura de mai jos (2.1):
Algortimul de generare a cheilor (de criptare și de decriptare)
Algoritmul de criptare – reprezintă procesul prin care mesajul este transformat în mesaj cifrat, utilizând un algoritm de criptare și o cheie specifică.
Algoritmul de decriptare – reprezintă proces prin care mesajul este transformat în mesaj inițial, utilizând o funcție de decriptare și o cheie de decriptare.
Figura 2.1 Sistem Criptografic
2.2 Algoritmi criptografici cu chei simetrice
Când se utilizează criptografia cu chei simetrice, atât emițătorul cât și receptorul folosesc aceeași cheie.
Datele care sunt salvate în calculatoare, respectiv trimise printr-o rețea, utilizează în special diferiți algoritmi criptografici care conțin chei simetrice, pentru a asigura confidențialitatea. Algoritmii de criptografici cu chei simetrice se evidențiază prin faptul că ei utilizează aceeași cheie simetrică pentru criptare, dar și pentru decriptare. Un alt aspect important al acestor algoritmi este viteza foarte mare în ceea ce privește cifrarea blocurilor. Lungimea cheii simetrice influențează securitatea acestui tip de algoritm.
Mesajul este criptat la nivel de octet de către cifrurile secvențiale, pe rând, unul câte unul.Se va folosi un generator de numere pseudoaleatoare, care va fi inițializat cu ajutorul unei chei, iar în final va rezulta o secvență de biți cunoscută sub numele de cheie secvențială. Cifrarea mesajului se poate face în două moduri: cu sincronizare (cheie secvențială depinde de textul în clar) și fără sincronizare.
”Criptarea simetrică prezintă avantajul rapidității cu care sunt realizate procesele de criptare/decriptare a mesajelor. Succesul sistemului se bazează pe dimensiunea chei. Dacă are mai mult de 128 biți este una destul de sigură. Cele trei caracteristici ale criptării simetrice sunt: siguranța, rapiditatea și volumul mare de date criptate.”
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impun un schimb de chei private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este necesar un canal cu transmisie protejată pentru a ptuea fi transmise cheile de criptare/decriptare.
Figura 2.2 Algoritm cu cheie simetrică
2.2.1 Algortimul DES (Data Encryption Standard)
Algoritmul DES sau Standard de Criptare a Datelor reprezintă o metodă de cifrare a informațiilor, dezvoltat de către IBM și fiind folosit pentru prima dată ca un standard federal pentru procesoarea informațiilor de către Statele Unite.
Folosirea algoritmului DES este considerată un risc asumat în zilele noastre, din cauză lungimii cheiei care are 64 biți, iar din totalul de 64 doar 56 sunt utilizați pentru algoritm, ceilalți fiind folosiți pentru paritate.
Pentru producerea textului cifrat, algoritmul DES conține 16 etape de procesare, aceste pot fi numite „runde”. Aceste runde sunt destul de importante în ceea ce privește securitatea algoritmului , pentru că odată ce crește numărul de runde, securitatea algoritmului va crește exponențial.
Pașii de procesare sunt prezentați in figura 2.3:
Textul în clar este împărțit în blocuri de 64 de biți
Din cheia de 56 de biți se generează 16 subchei de 48 biți. Cheia de 56 biți folosită pentru criptare este folosită, în realitate, doar la generarea primei subchei.
Textul în clar este supus unui proces de permutare bazat pe un tabel care specifică modul în care biții sunt permutați.
Biții sunt trecuți prin cele 16 runde, folosind câte una din cele 16 subchei generate.
Cei 64 biți creați la pasul 3 sunt pasați unei runde, unde sunt împărțiți în 2 blocuri de câte 32 iți și procesați cu cheia corespunzătoare rundei respective.
Pasul 4 este repetat de 16 ori. Rezultatul unei runde este livrat următoarei runde.
După terminarea celei de a 16-a rundă, cele 2 jumătăți de câte 32 de biți sunt lipite rezultând un bloc de 64 biți.
Blocul de 64 biți este din nou permutat folosind funția inversă celei de la pasul 3.
Datorită lungimii cheii de lucru și a operațiilor elementare pe care le folosește, algoritmul nu ridică probleme în implementarea software. Însă algoritmul este lent într-o implementare software din cauza modului de lucru (cu secvențe de date și cu tabele). Modul de realizare este însă perfect pentru o implementare hardware.
Figura 2.3 Algoritmul DES
2.2.2 Tripul DES
Algoritmul Tripul DES sau denumit și 3DES păstrează forma algoritmului DES, cu observația că este aplicat de trei ori. S-a concluzionat că simpla aplicare a algoritmului DES cu cheie de 64 biți dintre care doar 56 biți sunt utilizați pentru algoritm, nu a fost suficientă pentru a asigura o protecție împotriva atacurilor din exterior. Soluția pentru a mări spațiul cheilor a fost algoritmul 3DES.
Figura 2.4 Algoritmul Triplu DES
Triplu DES conține 3 chei diferite de 56 biți și are o lungime a cheii de 168 biți. Din cauza atacurilor „meet-in-the-middle” (un atac generic, aplicabil mai multor sisteme criptografice), securitatea efectivă este de doar 112 biți.
2.2.3 Algoritmul AES
Algoritmul AES (Advanced Encryption Standard), Standard Avansat de Criptare, este folosit pe o scară largă în aplicații, fiind un algoritm standardizat, specific criptării simetrice, pe blocuri. Acest algoritm a fost definit pe blocuri, unde lungimea cheii, respectiv a blocului sunt autonome, având 128 biți, 192 biți sau 256 biți. Trebuie avut în evidență că algoritmul AES standardizează fiecare dimensiune dintre cele trei, pentru lungimea cheii, cu excepția faptului că referitor la lungimea blocului se rezumă la valoarea 128 biți.
De menționat faptul că operațiile algoritmului AES vor fi definite sub formă de operații matriceale, deoarece atat blocul cat si cheia sunt definite sub forma de matrice.
În momentul inițerii rulării cifrului, blocul este copiat într-o matrice de stare, denumită „stare”, octeții fiind repartizați câte patru pe prima coloană, următorii patru pe cea de a doua coloană, până ce matricea de stare este completată. Tabloul este modificat continuu de către algoritm, iar apoi tabelul este livrat ca ieșire. Pașii algoritmului sunt: SubBytes, ShiftRows, MixColumn, AddRoundKey și planificare cheilor.
2.4 IDEA
IDEA (International Data Encryption Algorithm) este un cod bloc simetric dezvoltat în Institutul Federal al Tehnologiei din Elveția.
Acest algoritm reprezintă unul dintre cei mai reușiți algoritmi, comparativ cu cei prezențti mai sus. Scopul algoritmului IDEA a fost de a înlocui algoritmul DES. Acest algoritm folosește pentru criptarea blocurilor o cheie de 128 biți, iar pentru decriptare 64 biți.
În ceea ce privește detaliile de proiectare, putem menționa: lungimea blocului, respectiv a liniei, confuzie și difuzie.
Pentru a împiedica analiza statistică, lungimea blocului trebuie să fie relativ mare, deoarece complexitatea algoritmului va tinde către o creștere exponențială cu lungimea blocului. Pentru a preveni o căutare exhaustivă, lungimea cheii trebuie să fie de asemenea mare.
În ceea ce privește confuzia, trebuie să existe o legătură complexă între mesajul original și cheia folosită în mesajul criptat. Legat de difuzie, putem afirma faptul că este necesar ca biții mesajului criptat să fie influențați de biții din mesajul original și de asemenea orice schimbare sau modificare a cheii să influențeze fiecare bit din mesajul criptat.
Figura 2.5 Schema bloc – algoritm IDEA
2.3 Algoritmi criptografici cu chei asimetrice
Criptografia asimetrică este definită ca fiind un model de criptografie care utilizează două chei: una publică, respectiv una privată. Ea mai poate fi numită și criptografie cu chei publice. Pentru a transmite un mesaj criptat, utilizatorul care va recepționa mesajul va trebui să îți facă publică cheia publică și astfel se va realiza transferul mesajului. Decriptarea mesajul va fi efectuată numai de către deținătorul cheii private.
Cele două chei, privată și publică, sunt legate din punct de vedere matematic, însă cheia privată nu are posibilitatea de a fi obținută cu ajutorul cheii publice. Dacă acest lucru ar avea loc, orice utilizator ar avea posibilitatea de a decriptate conținutul mesajelor destinate unui alt utilizator.
Comparativ cu sistemele criptografie cu chei simetrice, unde se folosește o singură cheie atât pentru emițător, cât și pentru destinatar, pentru criptarea și decriptarea mesajului, sistemele criptografice asimetrice au avantajul eliminării acordului utilizatorilor în legătură cu cheia comună, acordul fiind destul de complicat de transmis daca se utilizează o securitate sporită între cei doi utilizatori.
Criptografia asimetrică conține două ramuri principale:
Criptarea cu cheie publică: acest tip de criptare este utilizat pentru asigurarea confidențialității. Principiu: un mesaj va fi cifrat cu o anumită cheie publică, iar cel care recepționează mesajul nu va putea decodifica mesajul decât dacă se află în posesia cheii publice corespunzătoare.
Semnături digitale: mesajul criptat cu o anumită cheie privată a emițătorului poate fi verificat de către orice utilizator, aceștia având accesul corespunzător la cheia publică. Acest tip este utilizat pentru a se asigura autenticitatea mesajului.
În cadrul acestui tip de criptare, un dezavantaj îl reprezintă gradul de încredere referitor la faptul că aceea cheie publică este cea corectă, este autentică și nu a fost modificată de o alta entitate cu intenții rele. Însă acest dezavantaj poate fi rezolvat prin implementarea infrastructurii cu chei publică, denumită și PKI. În acest mod unul sau mai mulți utilizatori pot garanta autenticitatea cheilor.
2.3.1 Algortimul RSA
Din categoria sistemelor criptografice cu cheie publică face parte algoritmul RSA. În ceea ce privește utilizarea acestui algoritm, el poate fi folosit pentru operatiile de: criptare/decriptare, pentru a asigura o integritate a datelor, pentru obținerea semnăturii sau verificarea ei și de asemenea este utilizat și pentru a realiza schimbul de chei. Utilitatea majoră a acestui algoritm este legată de funcționarea acestuia în sistemul de plăți electronice. De-a lungul timpului s-a dovedit faptul că algoritmul RSA este destul de rezistent, oferind astfel un grad de securitate destul de înalt. Un alt avantaj al acestui algoritm este faptul că în practică poate fi utilizat combinat cu algoritmi cu cheie simetriăa, cum ar fi algoritmul DES.
La momentul actual, algoritmul RSA este întâlnit într-o gama importantă de sisteme de operare, el fiind folosit pentru o gamă variată de platforme, inclusiv standarde.
Pentru realizarea comunicațiilor sigure și pentru un management bun al cheilor, s-a demonstrat de-a lungul timpul că sistemele implementate cu chei publice reprezintă cea mai bună solutțe.
2.3.2 Algoritmul Diffie-Hellman
Algoritmul produs de către Whitfield Diffie și Martin Hellman, este un algoritm utilizat special în operațiile ce privesc schimbarea cheilor. Pentru a se obține o cheie simetrică comună, care nu poate fi calculată de ceilalți utilizatori, fiecare utilizator folosește cheia sa (privată) și cheia publică a corespundentului.
Această metodă este utilizată mai puțin, doar într-o anumită parte de protocoale de securitate, pentru a se realiza criptarea e-mail-urilor și de asemenea a fișierelor.
2.3 Semnături digitale
Standardul pentru semnături digitale, denumit DSS (Digital Signature Standard) utilizează Secure Hash Algoritm. In comparație cu RSA care este utilizat pentru a realiza funcțiile de criptare, respectiv decriptare, acest algoritm este util doar pentru a furniza semnăturile digitale.
Realizând o scurtă comparație între algoritmul RSA și DSS, putem menționa că în RSA, mesajul care va reprezenta în final semnătura digitală va produce un cod amestecat (hash code), de o lungime fixă prin trecerea printr-o funcție de amestecare (hash function). Ulterior, codul amestecat va fi criptat cu cheia privată a emițătorului, astfel având loc formarea semnăturii digitale. Destinatarul va primi mesajul inițial și semnatura digitală. Dacă semnatura digitala va corespunde cu codul amestecat, putem spune că semnatura digitală este corectă sau validă.
În ceea ce privește algoritmul DSS, se folosesc și aici funcțiile de amestecare. După ce este realizat codul amestecat, acesta este utilizat ca intrare pentru o „funcție semnatură”, alături de un număr k, k fiind generat aleator. Cheia privată a sursei , notată KRa, alături de un set de parametrii, vor fi importate pentru funcția semnatură. La final se vor obține două componente s și r, rezultând semnatura. La destinație, semantura și codul amestecat vor servi ca intrare pentru funcția de verificare. Evident dacă la ieșire, rezultatul funcție de verificare va corespunde cu r (una din cele două componente din semnatură), va rezulta o semnatură corectă sau validă.
2.4 Concluzii
În ceea ce privește cele două tipuri de criptografii, cu cheie simetrică, respectiv cu cheie publică, acestea prezintă diverse avantaje și dezavantaje. Dezvantajul major al cripografiei cu cheie simetrică este legat de faptul că se folosește o singură cheie pentru criptare și pentru decriptare, conducând astfel la un grad redus de securitate. Legat de algoritmii simetrici putem afirma că au un grad de securitate mai ridicat, lucru datorat semnăturilor digitale și a utilizării unei chei publice. Un dezavantaj al algoritmilor simetrice se leagă de faptul că aceștia sunt de fapt niște ecuații matematice care lucrează cu numere destul de mari, astfel având loc o încetinire a procesului. Comparativ, algoritmi simetrici sunt destul de rapizi, dar prezintă anumite probleme în ceea ce privește partajarea cheii folosită pentru criptare.
Pentru a se obține o optimizare a performanețelor, în practică cele două tipuri de criptografii vor fi utilizate combinat.
CAPITOLUL 3. Securizarea comunicațiilor digitale prin intermediul
VPN (VIRTUAL PRIVATE NETWORK)
O rețea virtuală privată este definită ca o interconexiune între rețele locale (LAN-uri) prin intermediul uni tunel securizat, care de obicei funcționează prin intermediul Internetului. Concluzionăm că un VPN extinde o rețea privată în cadrul unei rețele publice (cum ar fi Internetul), permițând utilizatorilor să trimită și să recepționeze date confidențiale, chiar dacă calculatoarele lor nu sunt conectate fizic în același LAN. În mod inteționat această subrețea, numită VPN, nu poate comunica cu celelalte sisteme sau utilizatori ai rețelei publice de bază.
Într-o rețea privată virtuală datele private sunt segmentate de restul traficului, astfel încât doar destinatarul real are acces la ele. Figura 3.1 prezintă o rețea VPN în care cele două companii, A și B, nu se „văd” și nu se deranjează reciproc, însă ambele folosesc acceași rețea fizică publică.
Figura 3.1 Rețea privată virtuală
O rețea VPN asigură multe avantaje: tot traficul folosit este criptat, extinde aria geografică de conectivitate, sporește securitate, simplifică topologia de rețea, reduce costurile operaționale. Un avantaj major este faptul că VPN-urile securizate sunt mai ieftine în comparție cu liniile închiriate dedicate.
Un dezavantaj al acestor rețele private virtuale este că le lipsește securitatea datelor, permițând intrarea în rețea și citirea datelor. În schimb, rețelele private virtuale bazate pe IPSec utilizează criptarea pentru a secretiza date, reducând astfel furtul datelor și mărind rezistența rețelei.
3.1 Tipuri de rețele VPN
Rețelele private virtuale sunt de trei tipuri:
VPN-urile cu acces de la distanță (Remote Access VPN) : permit utilizatorilor dial-up să se conecteze securizat la un site central printr-o rețea publică.
Figura 3.2 Remote Access VPN
VPN-urile intrenet (Intranet VPN): permit extinderea rețelei private prin Internet într-o manieră securizată. Ele mai sunt denumite și VPN-uri „site-to-site” sau „LAN-to-LAN”.
Figura 3.3 Intranet VPN
VPN-urile extranet (Extranet VPN): permit conexiuni securizate între partenerii de afaceri, furnizori și clienți, în scopul comerțului electronic. Ele sunt o extensie a VPN-urilor intranet la care se adaugă firewall-uri pentru protecția rețelei interne.
Figura 3.4 Extranet VPN
3.1.1 Remote VPN
VPN-urile de tip acces la distanță mai sunt numite și rețele private virtuale cu dial-up și sunt un tip de conexiune utilizator-către-LAN folosită cel mai frecvent de către companii ce au nevoie ca angajații să se conecteze din diverse locații. De obicei când se dorește accesul unui număr mare de utilizatori din rețeaua locală, se contactează o companie de out-sourcing ce folosește un server de acces în rețea pentru a acorda utilizatorilor drepturile necesare.
Pentru implementarea unei tehnologii VPN între sediile companiei este de preferat să se apeleze același ISP pentru toate locațiile.
3.1.2 Intranet VPN
VPN-urile de tip intranet permit realizarea unei rețele interne complet sigură pentru o companie. Intranet-ul este o legătură semi-permanentă peste o rețea publică între un WAN și o filială a companiei. Aceste tipuri de VPN mai sunt numite si conexiuni LAN-LAN și în ceea ce privește securitatea, prezintă cel mai redus risc. În această situația, compania are control total asupra rețelei/nodurilor destinție/sursă prin intermediul administratorului de sistem.
Într-o rețea privată sunt schimbate frecvent cantități mari de date, de aceea viteza de transmisie și interoperabilitatea reprezintă un factor important. Unul din motivele principale pentru companii, de a folosi tehnica Intranet VPN, este costul redus al acestei implementări.
3.1.3 Extranet VPN
Acest tip de VPN este utilizat pentru a conecta diferiți clienți sau parteneri de afaceri la sediul central al unei companii folosind linii dedicate, conexiuni partajate și o securitate sportiă.
Rețeaua privată virtuala este relativ izolată față de Intranet. Un Extranet VPN oferă o ierarhie a securității și accesarea datelor confidențiale se face sub un control foarte riguros. Principalul obiectiv fiind asigurarea ca datele secrete să ajungă intacte și la destinatarul corect, fără a exista riscul de expune datele protejate unor eventuale amenințări.
Un Extranet VPN sigur distribuie informații cu clienții prin intermediul rețelei public stabilind legături unidirecționale de la un capăt la altul printr-un server VPN. Acest tip de sistem oferă administratorului de rețea posibilitatea de a defini anumite drepturi specifice.
Rețelele private virtuale folosesc Internetul pentru a conecta mai multe rețele LAN între ele, printr-o conexiune sigură. Conexiunile VPN realizează acest lucru cu două procese: crearea de tunele și securizarea. Inițial se realizează un circuit „virtual” între cele două puncte conectate prin intermediul Internetului. Apoi se stabilește un tunel autentificat și criptat. Prin securizare se înțelege criptarea și încapsularea pachetelor transmise în scopul ajungerii la destinatarul corespunzător pentru a le decripta și citi.
3.2 Protocoale de tunelare
Pentru a implementa rețeaua VPN este necesar sa realizăm un tunel printr-o rețea publică pentru transferul datelor. Definim tunelarea ca fiind o metodă de folosire a infrastructurii unei inter-rețele pentru transferul datelor dintr-o rețea peste altă rețea. Datele trasferate pot fi pachetele altui protocol. Protocolul de tunelare încapsulează pachetul produs în nodul sursă într-un antet adițional. Antetul conține informații de modul de rutare astfel încât datele încapsulate pot străbate inter-rețeaua intermediară. Pachetele încapsulate vor fi rutate între capetele tunelului prin inter-rețea. Definim noțiunea de tunel ca fiind calea logică pe care o străbat pachetele încapsulate în inter-rețea. După ajungerea la destinație a cadrelor încapsulate, le sunt decapsulate și trimise la destinația finală. Tunelarea include următoarele procese: încapsulare, transmitere și decapsulare a pachetelor.
Figura 3.5 Protocoale în cadrul VPN
Cu alte cuvinte, tunelarea reprezintă procesul prin care se introduce întreg pachetul IP sursă în interiorul unui pachet adițional, cu antete diferite, care va fi trimis ulterior în rețea. Protocolul pachetului rezultat în urma efectuării tunelării este recunoscut de către rețea de către nodul sursă, respectiv destinație și la nivelul interfețelor de tunelare, prin care pachetele intră și ies din rețea.
Această tehnologie de tunelare poate fi concepută pe un protocol de tunelare la nivel 2 sau la nivel 3. Aceaste corespund modelului de referință OSI. (Figura 3.5)
3.2.1 Protocoale la nivel 2 OSI
Protocoalele de tunelare de nivel 2 corespund nivelui legatură de date și folosesc cadre ca unitate de schimb. Încărcătura este încapsulată de către cadre într-un cadru PPP, pentru a putea fi trimis ulterior peste inter-rețea. În cazul tehnologiilor de nivel 2: PPTP sau L2TP, un tunel este asemănător cu o sesiune, adică cele două capete ale tunelului trebuie să cadă de acord asupra tunelului și să negocieze variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. În principiu, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Protocolul de menținere a tunelului este utilizat pentru a gestiona tunelul. De asemenea, pentru protocoalele de nivel 2 OSI, un tunel trebuie creat, menținut și distrus.
Layer 2 Forwarding
L2F sau Layer 2 Forwarding este un protocol de tunelare dezvoltat de Cisco Systems în scopul de a stabili conexiuni VPN prin Internet. Informația din fluxlui L2F nu este criptată, deși L2F facilitează conectivitatea pe liniile de acces. L2F a fost proiectat special pentru a efectua tunele de tip PPP (Point-to-Point Protocol). În ceea ce privește partea de server, L2F poate fi utilizat cu funcții precum autentificarea utilizatorilor prin serviciul de autentificare de la distanță (RADIUS), alocarea dinamică a adreselor și calitatea serviciului QoS. L2F este implementat in router-erele Cisco prin Sistemul de Operare Internațional (IOS).
Point-to-Point Tunneling Protocol
Protocolul de tunelare punct la punct (PPTP) este un protocol sau un set de reguli care le permite corporațiilor să-și extindă propria rețea locală prin tuneluri private peste rețeaua publică de Internet. Cu alte cuvinte o corporație utilizează o rețea cu o arie largă ca o singură rețea locală mare, evitând astfel cheltuiliile pentru a închiria propriile linii pentru comunicații pe o suprafață mare.
Point to point tunneling protocol este de fapt o extinsie o Point-to-Point Protocol și încapsulează datele în pachete IP. Echipamentele ISP folosesc în mod deosebit acest tip de protocol, deoarece se ajunge rapid la un numitor comun în timpul sesiunii de comunicație. Această extensie este cea mai utilizată pentru a realiza securitatea transferului de date într-o rețea privată virtuală. Traficul IP este criptat și de asemenea încapsulat într-un antet pentru a putea fi transmis peste o inter-rețea IP de corporație sau rețea publică cum ar fi Internetul.
În ceea ce privește criptarea, PPTP suportă o criptare pe 128 biți, dar și de 40 biți, de asemenea se pot utiliza schemele de autentificare suportate de către PPP.
Layer 2 Tunneling Protocol
Layer 2 Tunneling Protocol reprezintă o combinație dintre protocolul realizat de Cisco Systems și anume L2F și PPTP realizat de către Microsoft. Un tunel de tipul L2TP este realizat prin încapsularea unui cadru L2TP în interiorul unui cadru UDP, acest cadru UDP fiind ulterior încapsulat într-un pachet IP având adrese IP sursă, respectiv destinație ce furnizează capetele tunelului.
Acest protocol de tunelare este realizat cu scopul a de fi compatibil cu orice alt protocol de rutare. Avantajul cel mai interesat al acestui tip de tunelare este utilizarea protocolului Point-to-Point realizat de către Microsoft și inclus în componența sistemelor de operare. Asta înseamnă ca orice client care utilizează un sistem de operare Windows beneficiază implicit de funcția de tunelare. Un alt avantaj major ar fi ca protocolul L2TP poate realiza mai multe tunele în același timp, pornind de la același client.
3.2.2 Protocoale la nivel 3 OSI
Protocoalele de nivel 3 sunt corespunzătoare nivelului rețea. Ele folosesc pachete IP ce sunt încapsulate într-un antet IP adițional înainte de a le transmite peste o inter-rețea. Faza de menținere a tunelului poate lipsi în cadrul acestor protocoale de nivel 3. Dupa stabilirea tunelului datele tunelate pot fi trimise. Clientul sau serverul de tunel folosește un protocol de transfer de date de tunel pentru a pregăti datele pentru transfer.
Generic Routing Encapsulation este un protocol de tunelare dezvoltat de Cisco care poate încapsula o mare varietate de tipuri de pachete ale protocoalelor de rețea în interiorul tunelelor IP, creând o legătura virtuală punct la punct între routere-le aflate la distanță peste o rețea IP.
Obiectivul GRE este de a ruta pachetele încapsulate prin tunelul GRE, prin intermediul adreselor IP intermediare, așa numitul mecanism GRE. Când este trimis un pachet în rețea, prin utilizarea mecanismului GRE, acestuia i se adaugă un antet GRE (GRE Header) și un antet de expediere. Antetul GRE conține ruta pe care va fi trimis pachetul într-un mod forțat pentru a ajunge la destinație. Router-erele intermediare nu analizează conținutul pachetului, ele analizează doar adresa IP existentă, pe măsură ce transmit pachetul către punctul final al tunelului GRE. În momentul în care pachetul ajunge la destinație, pachetul este decapsulat, iar tunelarea GRE este înlăturată.
Tunelarea GRE joacă un rol important în ceea ce privește rețelele private virtuale. Prin intermediul mecanismului GRE, se pot trimite adrese IP private în interiorul unui pachet care folosește adrese IP reale, în acest mod rețeaua privată este extinsă prin Internet.
GRE este un protocol de tunelare dezvoltat de Cisco care poate înmagazina o multitudine de tipuri de pachete ale protocoalelor de rețea în interiorul tunelelor IP, creând o legătură virtuală punct la punct, între routere aflate la distanță, peste o rețea IP.
Totuși tunelarea GRE are și un dezavantaj major și anume că nu este considerat un protocol securizat, deoarce nu folosește criptarea. Criptarea este folosită de către Internet Protocol Security, prezentat mai jos.
Internet Protocol Security sau IPSec, este o suită de protocoale care asigură securitatea unei rețele virtuale private prin Internet, prin utilizarea serviciilor de securitate criptografică. Cu IPsec pot fi dezvoltate soluții atât la distanță, cât și site-to-site.
În momentul în care un utilizator folosește o rețea privată virtuală, automat datele care traversează rețeaua publică își pot pierde confidențialitatea. Astfel un utilizator care folosește VPN este interesat de securizarea datelor. Securizarea datelor în cadrul VPN este oferită de Internet Protocol Security. Așa cum a fost concluzionat, realizarea VPN-urilor pe baza unei rețele publice, cum ar fi Internet, reduce enorm costurile.
Serviciile oferite de către IPSe oferă: autentificare, confidențialitate, integritate și controlul accesului. IPSec este probabil cel mai bun protocol în ceea ce privește păstrarea confidențialității și autenticității pachetelor trimise prin adrese IP. Protocolul este unul compatibil cu o gamă variată de standarde de criptare, fiind folosit pentru diferite sisteme de securitate, oferind avantajul semnăturii dgitale, chei publice sau autorizații.
Protocolul utilizează un algoritm pentru a realizare schimbul de chei între părți, numit Internet Key Exchange (IKE), care permit calculatoarelor să aleagă o cheie de sesiune în mod securizat. Pentru a se securiza o cmunicație în rețea utilizând IPSec, se folosește o serie de politici și reguli, pentru a accepta în mod selectiv doar anumite comunicații.
Politicile pentru protocolul IPSec pot fi create și de asemenea aplicate cu ajutorul Group Policy.
Figura 3.6 Cadru IPSec
Tunele GRE cu protecție IPSec
Pentru ca fiecare capăt de tunel să nu încapsuleze nici o informație despre starea și disponibilitatea capătuli de tunel de la distanță, tunele GRE create trebuie să fie complete, fără o stare persistentă. O interfață de tunel GRE este funcțională de când este configurată și până când adresa sursă a tunelului este validă. De menționat este faptul ca adresa IP destinație a tunelului GRE trebuie sa fie în permanență rutabilă.
Construirea unei rețele private virtuale folosind IPSec pentru realizarea conexiunii dintre capete are totuși anumite limitări, cum ar fi: protocolul IPSec criptează și decriptează doar traficul IP; nu este posibilă procesarea de către IPSec a traficului IP destinat unui mesaj de difuzare; pentru a fi configurat protocolul IPSec între două capete, este impusă rutarea statică.
Totuși dezavantajele meționate mai sus pot fi înlăturate prin configurarea unui tunel GRE și aplicarea ulterioară a protocolului IPSec. Când se utilizează o tunelare GRE îmbinată cu o protecție IPSec, se poate utiliza atât modul tunel care va adăuga un antet pachetelor GRE, cât și modul transport, care va folosi antetul inițial GRE.
Este recomandată să se utilizeze combinarea IPSec și GRE, deoarece mecanismul de încapsulare GRE adaugă un antet IP nou pachetului inițial. Acest lucru înseamnă ca trebuie să existe niște adrese IP sursă și destinație care să fie accesibile prin calea IP dintre noduri.
Folosirea celor două protocoale combinate realizează o configurare mai facilă a echipamentelor VPN. În utilizarea protocolului IPSec era necesară o anumită politica pentru a fi menționate subrețelele protejate, pentru a se realiza criptarea/decriptarea traficului, iar în momentul când se adaugă o nouă subrețea trebuia reînnoita structura la ambele capete. Pentru realizarea mecanismului GRE, regulile corespund doar traficului realizat între adresele de capăt ale tunelului.
O combinare a protocolului GRE cu protecție IPSec oferă posibilitatea de a anunța subrețelele protejate prin rularea unor protocoale dinamice. Rutarea dinamică este utilă mai ales în situațiile de eșec a transferului, putând astfel să dectectăm și să gestionăm interfețele picate.
3.3 Protocoalele ISAKMP și IPSec
Protocolul pentru Managementul Cheilor și Asociația Securității Internetului, denumit pe scurt ISAKMP, este un protocol de nivel aplicație, fiind independent de celălalte protocoale de securitate aflate la nivelele inferioare. De asemenea ISAKMP e considerat un protocol important în arhitectura IPSec. Pentru stabilirea unui nivel de securitate ridicat pentru comunicații, acest protocol îmbină conceptele de securitate în ceea ce privește autentificarea și de asemenea getionează cheile și asocierile de securitate.
ISAKMP este utilizat pentru a definii formatele și procedurile necesare pentru stabilirea, negocierea, modificarea sau ștergerea asocierilor de securitate (SAs). Aceste asocieri de securitate dețin o serie de informații importante pentru a oferi posibilitatea de a executa o serie de servicii de securitate. Un exemplu îl reprezintă serviciile de securitate la nivelul IP, nivelul transport sau chiar la nivelul aplicație. Pentru a se realiza schimbul de generare a chei, respectiv a datelor de autentificare, protocolul ISAKMP definește niște încărcături. Acestea realizează un cadru coerent, astfel având loc transferul de chei, inclusiv autentificarea datelor, fiind independente de tehnica de generare a cheilor, mecanismul de autentificare și algoritmul de criptare.
Scopul protocolului ISAKMP este de a separa detaliile referitoare a managementul asocierilor de securitate de informațiile ce conțin schimbul cheilor. Totuși trebuie să existe un cadru comun valabil cu formatul atributelor SAs, iar protocolul ISAKMP oferă acest cadru.
Protocolul ISAKMP folosește o separare a funcționalității în trei părți, adăugând astfel o complexitate în ceea ce privește analiza securității. Separarea este obligatorie pentru a realiza o interoperabilitate între sistemele care au cerințe de securitate diferite și de a asemenea are scopul analizei evoluției pentru serverul ISAKMP.
Rolul principal al acestui protocol este de a sprijini negocierile în ceea ce privește asocierile de securitate, pentru protocoalele de securitate aflate la fiecare nivel rețea. Astfel, în fiecare protocol de securitate, ISAKMP reduce funcționalitatea în duplicat.
În ceea ce privește protocolul IPSec pentru securizarea conexiunilor pe Internet, el reprezintă o soluție. Din punct de vedere al configurării, protocolul poate fi configurat în două moduri: prin mod transport și prin mod tunel.
În modul transport, informația este încapsulată, având posibilitatea de securizare între cele două puncte terminale ale conexiunii.
În modul tunel, informația, pachetele IPv4, este încapsulată în niște cadre IP securizate, pentru a se realiza transferul între două sisteme.
Deși modul tunel reprezintă o metodă sigură de securizare, prin mărirea pachetelor (dimensiune), crește în mod evident și gradul de încărcare a sesiunii.
Controlul securității, pentru acest protocol, se poate realiza la orice nivel din cele patru ale stivei TCP/IP. Însă cel mai utilizat este controlul la nivelul rețea, el oferind o soluție echilibrată. Cel mai important aspect se referă la faptul că nu implică utilizatorul în configurarea echipamentelor.
La un pachet IP pot fi atașate două tipuri de antete: Authentification Header și Encapsulated Security Payload.
3.3.1 Protocolul AH
Unul dintre protocoalele de securitate IPSec este reprezentat de către Authentification Header, care realizează integritatea datelor și autentificarea utilizatorilor, nefiind orientate pe conexiune. Un aspect important este că protocolul AH poate realiza autentificarea unor porțiuni de pachete, comparativ cu ESP.
De asemenea, acest protocol se poate prezenta în două forme: mod tunel, respectiv transport. Dacă în modul transport nu mai are loc crearea unui nou antet IP, în modul tunel întânim crearea unui antet nou. Pentru arhitecturile care folosesc o poartă gateway, adresele sursă, respectiv destinație, vor fi modificate pentru a putea fi utilizate ca adresa IP a porții.
Protocolul AH protejează tot pachetul IP, acesta incluzând și câmpurile invariante ale antetului. Această protecție fiind oferită de un sumar de mesaj pentru a genera un hash cifrat. Destinatorul va utilizat hash-ul pentru a putea autentifica pachetul. Evident dacă este modificat un câmp din pachetul inițial IP, autentificare nu va avea loc.
Pentru asigurarea integrității, este necesară realizarea unui hash în primă fază prin utilizarea unui algoritm MAC, denumit și algoritm cifrat de control. Acești algoritmi de tip hash realizează „urmă” a informației, rezultând de fiecare dată aceeași valoare. Având în vedere acest fapt, dacă un bit este modificat, „urma” nu va mai fii aceeași. Cei mai utilizați și cu o importanță deosibită, sunt MD5 și repectiv SHA-1. Cei doi algoritmi realizează la ieșire o „urmă” de 128 biți în cazul MD5 și 160 în cazul SHA-1, cel din urmă având și măsuri de securitate adiționale.
Introducerea unei chei, cheie cunoscută de capetele tunelului, este utilizată pentru a preveni un atac de interceptare. Cheia generată va furniza autentificarea mesajului, acest mecanism purtând denumirea de MAC (cod de autentificare a mesajului). Dacă mecanismul MAC se utilizează și cu algoritmi de tip hash, această combinație va fi denumită HMAC. Cei mai utilizați algoritmi sunt HMAC-MD5 și HMAC-SHA-1.
3.3.2 Protocolul ESP
Cel de al doilea protocol utilizat de către IPSec este ESP (Encapsulated Security Payload) care realizează autentificarea, respectiv criptarea datagramelor. Acest lucru realizându-se cu ajutorul algoritmului de criptare ales de utilizator. Acest protocol beneficiază și de opțiunea Null ESP, care poate dezactiva criptarea.
În ceea ce privește modurile și aici întâlnim modul transport și tunel. În modul tunel, protocolul ESP va furniza pentru fiecare pachet un nou antet IP, pentru a afișa limitele de tunel. În acest caz, are loc protecția integrității datelor, inclusiv a antetului inițial IP, pentru fiecare pachet. În modul transport se utilizează antetul IP inițial. Astfel protocolul ESP are posibiltatea de criptare și integritate doar pentru anumite componente ESP. Având în vedere că NAT modifică pachetul, modul este incompatibil cu NAT. În ceea ce privește modul tunel, ESP și NAT pot fi combinate, deoarece atât adresa IP inițială cât și informațiile legate de transport se găsesc în informația utiliă. Având în vedere cele menționate, poate avea loc doar o mapare unu-la-unu.
Protocolul ESP folosește criptografia simetrică. Capetele conexiunii IPSec, necesită utilizarea unei chei identice pentru criptare și decriptare. ESP recomandă utilizarea algoritmilor de criptare: AES, DES și 3DES.
3.3.3 Protocolul IKEv1 și IKEv2
Protocolul IKEv (IKE version 1)
Principalele trei obiective majore ale protocolului sunt: negocierea, crearea, administrarea asocierilor de securitate (SA). Aceste asocieri de securitate reprezintă un bloc esențial pentru IPSec. Ansamblul format din seturi de asocieri de securitate, pe un anumit gateway sau calculator, este denumit SAD (Security Association Database), fiind o bază de date ce conține informații de tip criptografic, de pe entitățile IPSec. Această bază de date poate fi configurată manual de administratorul de sistem, sau dinamic prin negocierea de IKE între entități. Definim două tipuri de asocieri de securitate:
IKE sau ISAKMP SA: utilizată pentru traficul de control, autentificare utilizatorilor, negocierea algoritmilor pentru a realiza criptarea traficului IKE. În general are o durată de viață relativ mai mare față de IPSec Sa, având de obicei un trafic mai scăzut și o singură IKE SA între utilizatori.
IPSec SA: utilizată pentru a realiza negocierea algoritmilor de criptare în ceea ce privește traficul IP. Aceste asocieri sunt unidirecționale, ceea ce implică utilizarea a cel puțin două (pentru traficul de intrare, respectiv ieșire)
Una dintre probleme în ceea ce privește IKE, este referitoare la dispozitivele care utilizează NAT, acestea modificând pachetele de la ieșire. Asta înseamnă ca anumite echipamente vor depinde de negociereaa IKE făcută de pachetele trimise de pe portul 500 UDP. Prin introducerea procesului de NAT, procesul de negociere nu va avea loc, deoarece portul pachetului final nu este cel așteptat.
O altă problemă intervine în momentul în care IKE va include adresele IP ca fiind parte din procesul de autentificare, proces care depinde de modul IKE utilizat.
Cele două tipuri de asocieri de securitate sunt stabilite între participanți, utilizând protocolul IKE. Acest lucru se realizează prin intermediul a două faze:
Momentul în care cele două capete negociază cu succes un canal sigur, prin care se pot trimite asocierile de securitate, reprezintă etapa unu. Aici se stabilește asigurarea autentificării reciproce în ceea ce privește cele două capete IKE. Tot în această fază se stabilesc și cheile pentru sesiunea utilizată. Prin această etapă se garantează o criptare bidirecțională. Această etapă se realizează în două moduri: principal și agresiv.
Modul principal conține un număr de sașe mesaje care se schimbă între inițiator și responder. Fiecare capăt poate recomanda anumiți parametri utilizați de asocierile de securitate, acest lucru are loc în prima pereche de mesaje. Patru dintre parametrii sunt obligatorii și formează suita de protecție:
Algoritmul de criptare: este specificat tipul algoritmului de criptare: DES, 3DES, AES.
Algoritmul de protecție a integrității: tipul de algoritm hash: HMAC-MD-5 sau HMAC-SHA-1
Metoda de autentificare: există trei posibilități: chei prestabilite, criptare cu cheie publică și semnătură digitală.
DH Group: utilizat pentru a genera un secret comun, astfel încât un observator a etapei 1 IKE să nu îl poată determina.
Trecând la a doua pereche de mesaje, putem afirma faptul că acestea realizează un schimb de cheie cu ajutorul DH Group, utilizând parametrii de la primul pas. În funcție de metoda autentificării, conținutul perechii de mesaje poate varia.
Cea de a treia pereche de mesaje este de asemenea influențată de metoda de autentificare.
Modul agresiv reprezintă o realizare mai rapidă a modului principal. Aici se negociază stabilirea IKE SA cu ajutorul a trei mesaje față de metoda anterioară în care utilizam trei pereche de mesaje. Primele două mesaje sunt utilizate pentru negocierea parametrilor IKE SA, iar al doilea, respectiv al treilea au rolul autentificării utilizatorilor.
A doua fază numită și schimbul în etapa a doua, utilizând protocolul ESP sau AH care protejează traficul IP, gestionează negocierea și stabilește asocierile de securitate IPSec (IPSec SA). În ceea ce privește scopul acestei etape într-o conexiune IPSec, este de a realiza asocierile de securitate. Având în vedere unidirecționalitatea, pentru a se realiza o conexiune de tip IPSec între două sisteme, vom avea nevoie de două IPSec SA. Realizarea acestor pereche se face cu ajutorul modului rapid, care utilizează trei mesaje.
În primul mesaj, se vor trimite informațiile următoare: cheile utilizate, numerele unice, parametrii IPSec SA. Informațiile sunt trimise de prima stație.
În al doilea mesaj, cealaltă stație va trimite aceleași informații, adăugând procedurile referitoare la hash-ul de autentificare.
În ceea ce privește al treilea mesaj, el este utilizat de către prima stație pentru a putea trimite producera hash. Următorul pas este validarea de către cealaltă stație a celui de al treilea mesaj, astfel realizându-se o asociere de securitate de tip IPSec.
În ceea ce privește arhitectura IPSec, aceasta presupune următoarele:
Nucleul: scopulu acestuia este de a face criptare/decriptare, autentificarea, verificarea semnăturii.
Agentul de politică: denumit și IPSec Policy Agent, realizează o verificare în setările IPSec pentru a specifica de tip de trafic trebuie protejat. Foarte important de reținut este faptul că el avertizează ce trafic trebuie protejat și nu realizează o protejare proprie a datelor.
ISAKMP: el are rolul de negociator, atunci când două stație au nevoie să inițieze o comunicare, ISAKMP negociază setările utilizate pentru autentificare și criptare.
IKE: sau Internet Key Exchange, având în vedere că protocolul IPSec utilizează anumite chei secrete care sunt împărțite, IKE reprezintă mecanismul care realizează o conectare și punerea în acord comun asupra unei singure chei.
Figura 3.7 Interacțiunea IPSec
IKEv2 (IKE version 2)
Este un protocol de tip tunel IPSec, este realizat pentru restabilirea automată în ceea ce privește conexiunile de tip VPN, mai ales când o conexiune este pierdută temporar. Acest protocol suportă implementarea cifrurilor ca de exemplu: 3DES, AES etc. Un dezavantaj ar fi în ceea ce privește portul 500 UDP care este foarte ușor de blocat comparativ cu soluțiile SSL.
Față de versiunea anterioară, IKEv2 are următoarele îmbunătățiri:
În această versiune protocoalele IKE și ESP sunt încapsulate în portul UDP 4500, acest fapt permite trecerea printr-un firewall care utilizează NAT.
IKEv2 realizează un schimb de mesaje simplu, mecanismul utilizând patru mesaje.
În ceea ce privește mecanismele criptorafice, IKEv2 utilizează mai puține mecanisme.
Pentru a oferi fiabilitate și management stării, IKEv2 folosește numere de secvență și confirmări, compartiv cu IKE care din lipsa fiabilității poate duce la o stare „moartă”.
IKEv2 se opune atacurilor de tip DoS (Denial of Service = Refuzul Serviciului)
CAPITOLUL 4.
Metode de control al accesului la servicii prin schimbare de chei de acces
SSL (Secure Sockests Layer) și TLS (Transport Layer Security) sunt niște protocoale criptografice care realizează și oferă siguranță comunicațiilor în Internet, e-mail, etc.
4.1 Arhitectura SSL
SSL (Secure Sockests Layer) reprezintă o tehnologie standard de securitate pentru a realiza o legatură criptată între un server web și un browser. Prin intermediul acestei legături, se va asigura integritatea datelor, inclusiv faptul că datele vor rămâne private. SSL este și un standard industrial deoarece asigură protejarea tranzacțiilor online pentru diferite operațiuni.
Protocolul SSL folosește TCP/IP pentru protocoalele de nivel înalt, iar după ce realizează autentificarea clientului cu serverul, respectiv autentificarea serverului SSL la un client, va stabili o conexiune encriptată.
4.1.1 Autentificarea serverului SSL
Autentificarea serverului SSL este utilizată pentru a oferi utilizatorului posibilitatea de a valida identitatea serverului. Utilizatorul va folosi un program de verificare care utilizează mecanisme de criptare prin intermediul unor chei publice. Cu ajutorul programului se va stabili dacă certificatul și numărul de identificare ale serverului sunt valide.
Programul client SSL are în permanență nevoie de autentificarea serverului sau de o validare criptografică în ceea ce privește certificatul sau identitatea serverului. Pentru a se realiza autentificarea dintre cheia publică și sever, clientul SSL trebuie să primească un răspuns pozitiv la întrebările din figura de mai jos. Aceste întrebări nu fac parte din componența protocolului SSL, dar pot menține o securitate mai bună și pot diminua atacurile dăunatoare.
Fig 4.1 Autentificare Server SSL
4.1.2 Autentificarea clientului SSL
Autentificarea clientului SSL va oferi posibilitatea serverului de a valida identitatea clientului. Metoda de validare este asemănătoare ca în cazul autentificarii serverului, programul de verificare al serverului va face verificări asupra certificatului și numărului de identificare al clientului pentru a stabili dacă sunt valide sau nu.
Programul server SSL poate valida criptografic identitatea clientului sau poate să ceară acestuia autentificare. Dacă un server este configurat și va cere clientului autentificare, clientul va fi nevoit să trimită certificatul și de asemenea o semnătură digitală. Pentru a se realiza validarea cheii publice aflată pe certificat, serverul se va folosi de semnătura digitală.
Pentru a se realiza autentificarea legăturii dintre cheia publică și utilizatorul care se identifică prin certificatul care deține cheia publică, programul SSL va trebui să recepționeze un răspuns pozitiv la cele patru întrebări de mai jos.
Fig 4.2 Autentificare Client SSL
4.1.3 Conexiune encriptată SSL
Pentru a se realiza un grad ridicat de confidențialiate, informațiile schimbate între server și client trebuie să fie criptate și decriptate de către programul transmițător, respectiv receptor. Într-o tranzacție de tip privat, confidențialiatea reprezintă un aspect foarte important. De asemenea putem menționa faptul că în timpul unei conexiuni de tip SSL, toate datele transmise sunt protejate prin intermediul unui mecanism de detectare a coruperilor de date, care poate determina dacă pachetele au fost modificate sau nu.
Protocolul SSL este alcătuit din două subprotocoale:
Protocolul SSL de înregistrare: asigură definirea formatului utilizat în scopul transmiterii datelor.
Protocolul SSL de handshake: acesta se realizează cu ajutorul protocolului de înregistrare pentru a schimba mesaje între clientul SSL și serverul SSL în momentul când conexiunea se stabilește pentru prima dată.
4.1.4 Protocolul SSL de handshake
Protocolul SSL combină cele două tipuri de criptare și anume: criptare cu cheie publică, respectiv criptare cu cheie simetrică. Cele două tipuri de criptări prezintă, în cadrul protocolului SSL, avantaje și dezavantaje. Criptarea cu cheie publică deține metode de autentificare mai performante, în timp ce procesul de autentificare este mai rapid în cazul criptării cu cheie simetrică.
Revenind la protocolul SSL de handshake, acesta permite o autentificare utilizând chei publice, ulterior clientul și serverul voi utiliza chei simetrice pentru a se realiza o criptare rapidă, respectiv decriptare și o detecție de erori.
Pașii în cadrul protocolului SSL de handshake sunt enumarați mai jos:
Clientul va furniza informații precum: tipul versiunii de SSL utilzat, setăriile în ceea ce privește cifrul și de asemenea alte date care sunt generate aleator, date utilizate de server pentru a interacționa cu clientul.
Serverul va furniza de asemenea tipul versiunii de SSL, setările cifrului și date pe care le va utiliza clientul în scopul interacțiunii cu serverul.
Clientul va utiliza o parte din informații primite de la server pentru a realiza autentificarea serverului. Acest pas este detaliat la punctul 4.1.1. Dacă nu poate avea loc autentificare serverului, clientul va fi notificat prin faptul că este o conexiune criptată. Dacă autentificare este validă, se trece la pasul de mai jos.
Clientul va utiliza datele din protocolul de handshake și ca creea un ”Premaster secret”, acesta va fi criptat prin intermediul cheii publice și de asemenea va fi trimis către server.
În cazul în care serverul va dori o autentificare a clientului, clientul va genera o semnături digitală pe o anumită dată, această fiind unică și știută de către serverr.
În momentul în care are loc autentificarea clientului, serverul va depista acest lucru, acest pas fiind detaliat la punctul 4.1.2. Sesiunea se va încheia imediat dacă clientul nu poate fi autentificat. Dacă autentificare clientului este validă, prin intermediul cheii private, serverul va decripta ”premaster secret”, apoi în urma unei serii de pași se va genera ”master secret”.
”Master secret” e utilizat în scopul obținerii ”session keys”, aceste reprezentând cheile simetrice necesare criptării și decriptării și de asemenea pentru a valida integritatea.
Clientul va transmite serverului un mesaj prin care îl va informa că seria următoare de mesaje va conține mesaje criptate. Ulterior va trimite un alt mesaj prin care va anunța serverului că seria de mesaje criptate se va sfârși, inclusiv porțiunea de handshake.
Serverul va transmite un mesaj către clientul pentru a-l anunța că mesajele recepționate sunt criptate prin intermediul ”session keys”. Ulterior și serverul va transmite un mesaj prin care va anunța sfârșitul sesiunii de handshake.
Astfel protocolul de tip handshake este realizat și are loc o sesiune de tip SSL. Atât clientul cât și serverul vor folosi, așa cum este menționat mai sus, o cheie simetrică identică, în scopul criptării și decriptării datelor schimbate între ei.
4.2 Arhitectura TLS
Protocolul TLS oferă posibilitatea de comunicare între diferite aplicații de tip client-server. Acest protocol oferă confidențialitate comunicațiilor prin intermediul Internetului, dar și o autentificare la ambele capete ale liniei de comunicație. În general se va autentifica doar serverul, clientul având posibilitatea de a nu se autentifica. Dacă are loc o autentificare mutală, adică o autentificare la ambele capete, atunci cele două entități vor primi asigurări în ceea ce privește entitatea cu care are loc comunicare. Pentru a se realiza o autentificare mutuală este necesar să se implementeze o infrastructură ce conține chei publice la clienți, denumită PKI.
Protocolul TLS poate fi utilizat împreună cu orice protocol care folosește conexiuni sigure, însă în general este utilizat alături de HTTP sub forma de HTTPS. În ceea ce privește HTTPS, acesta este utilizat cu scopul securizării paginilor www (World Wide Web) din aplicații.
În cazul protocolului TLS întâlnim trei etape: criptarea traficului cu metode simetrice, negoicierea între entități pentru funcționarea algoritmului, schimbul de chei bazat pe criptare cu chei publice și autentificare pe bază de certificat.
De asemenea protocolul TLS este alcătuit din doup subprotocoale: TLS Handshake și TLS Record, ele fiind suprapuse.
4.2.1 Protocolul TLS Record
Acest protocol furnizează o conexiune sigură pentru canalele de comunicație și funcționează la nivelurile superioare TCP/IP. Referitor la principiul de funcționare, acesta selectează mesajele care urmează a fi trimise, împărțind datele în blocuri pentru a realiza o gestionare mai facilă, având și posibilitatea de a comprima datele. Ulterior se va aplica o funcție de tip MAC pentru a se realiza integritatea datelor. Cu ajutorul unui algoritm simetric va cripta datele și va returna rezultatul către destinație. La destinație are loc o decriptare și o verificare a funcției de tip MAC, evident, opțional se va face și o decompresie, datele vor fi reasamblate și transferate către procesele aplicație.
4.2.2 Protocolul Handshake
Protocolul Handshake oferă posibiltiatea autentificării serverului și a clientului, va realiza negocierea în ceea ce privește tipul algoritmilor criptografici ce vor fi utilizați, stabilește cheile criptografice și de asemenea oferă o conexiune sigură pentru TLS Record. Protocolul de autentificare în TLS este denumit Protocol Handshake.
Protocolul Handshake TLS implică urmatoarele:
Stabilește algoritmii în urma unui mesaj ”Hello”, realizează schimbul valorilor aleatoare și verifică dacă se reia sau nu o sesiune anterioară.
Realizează schimbarea parametrilor criptografici în scopul stabilirii, de către client, a unui secret (denumit ”Secret Master”)
Pentru realizarea autentificării clientului, respectiv a serverului, reciproc, protocolul realizează un schimb de informații criptate și de asemenea de certificate.
Prin intermediul valorilor aleatoare, protocolul reușește să gestioneze generarea secretelor din sesiunea curentă.
Realizează o verificare prin care se validează faptul că cealaltă entitate deține aceeși parametrii de securitate și nu este un atacator.
După este asigurat un canal sigur, care ulterior este trimis protocolului TLS Record, pentru a realiza și gestiona comunicațiile din punct de vedere al nivelului aplicație.
4.3 Protocolul de autentificare la distanță Secure Shell (SSH)
Protocolul SSH (Secure Shell) reprezintă un protocol de rețea ce are la bază criptografia cu chei publice, fiind utilizat pentru transferul datelor pe un canal securizat între diferite elemente din rețea. Cu alte cuvinte protocolul permite unui utilizator să realizeze o conexiune la un server distant, conexiune realizată de pe o mașină a clientului, printr-o rețea nesigură, cu scopul de a introduce comenzi pe mașina distantă.
Sistemele UNIX sau Linux utilizează cel mai adesea protocolul SSH, motivul principal fiind că aceste sisteme dețin o arhitectură deschisă, oferind astfel o serie de comenzi interactive de la distanță.
Principiul de funcționare: un utilizator care folosește o mașină de tip client va obține de pe la un server distant o anumită cheie publică, astfel se va stabili un canal de comunicație între client și server. În ceea ce privește parola, ea are posibilitatea de a fi criptată prin intermediul cheii publice a serverului și aceasta va fi trimisă către server doar atunci când informațiile criptate vor reprezenta o parolă.
4.3.1 Arhitectura SSH
Protocolul SSH este utilizat între două componente (calculatoare), componente care nu au niciun fel de relație în ceea ce privește încrederea. Un calculator va reprezenta serverul, denumit host, iar al doilea este clientul care se va conecta la server utilizând protocolul SSH.
Protocolul SSH este alcătuit din trei componente:
Protocolul SSH la nivel transport: acest protocol constă în utilizarea cheilor publice, oferind posibilitatea clientului de a se autentifica la server. La intrare protocolul recepționează, pentru partea de server, anumite perechi de chei, publice sau private. La ieșire se va obține un canal care asigură integritatea, respectiv confidențialitatea datelor, autentificare fiind unilaterală, în direcția server-client. Protocolul SSH la nivel de transport rulează în general peste o conexiune de tip TCP sau IP.
Protocolul SSH de autentificare: operează peste canalul sigur realizat în cadrul protocolului SSH la nivel de transport. Având în vedere faptul că acest canal are direcție unilaterală, este necesar ca serverul să dețină, dinainte, anumite informații criptate despre utilizator. După executarea protocolului la nivel transport, respectiv protocolului de autentificare, la ieșire va rezulta un canal care are o autentificare mutuală, canal realizat între server și client.
Protocolul de conexiune SSH își desfășoară activitatea peste protocolul anterior, realizând o suită de canale de tip logic ce vor fi utilizate în operațiile de comunicație.
CAPITOLUL 5. Simularea unei rețele VPN
Implementarea unor protocoale de securite într-o rețea VPN
Realizarea în practică a unei astfel de rețele alcătuită din echipamente reale presupune anumite costuri destul de ridicate, de aceea în lucrarea de față de va utiliza un simulator cara utiliza sistemele de operare ale unor echipamente reale de rețea. În lucrarea de față, accentul este concentrat asupra configurării echipamentelor, analizei rețelei și de asemenea asupra politicilor de securitate.
Simularile software sunt adesea utilizate majoritatea domeniilor, astfel putându-se realiza o prestestare în aplicațiile de tip software. Simulatoarele oferă o serie de avantaje, meționate mai jos:
Economisirea timpul în ceea ce privește dezvoltarea produselor de tip hardware, respectiv software.
Oferă posibilitatea realizării mai multor scenarii, reducând astfel costurile
Înainte de scoaterea pe piață pot fi prezise diverse probleme
Pentru realizarea proiectul voi dezvolta o topologie de rețea, urmând a fi modificată și simulată cu ajutorul simulatorului Graphical Network Simulator 3 (GNS3), iar pentru analiza performanței traficului rețelei voi utiliza programul Wireshark. Prin intermediul programului GNS3, în urma simulărilor pot fi testate diverse echipamente ce pot fi utilizate ulterior în practcă, de asemenea se poate realiza o analiză în ceea ce privește fiabilitatea componentelor, planificarea scalabilității etc.
Proiectul final presupune, în urma realizării topologiei de rețea și implementării protocoalelor menționate în Anexa 1, realizarea unor tunele de trei tipuri și anume: Generic Route Encapsulated, Internet Protocol Security și Generic Route Encapsulated over Internet Protocol Security. Inițial după implementarea topologiei de rețea, primul scenariu va fi realizat fără vreo tunelare sau criptare. În urma implementării acestor scenarii, vor fi analizate avantajele și dezavantajele fiecărui protocol utilizat.
5.1 Instrumente utilizate pentru realizarea simulării și analiza reazultatelor
Graphical Network Simulator, după cum îi spune și numele reprezintă un simulator grafic de rețea în care avem posibilitatea de a realiza simulări asupra unei rețele complexe. GNS3 este o simulator util inclusiv în laboratoarele de rețelistică, poate utilizat și de către administratori în vederea proietării unei topologii de rețea. Programul oferă permisiunea e a realiza vizual o rețea bazată pe diverse echipamente, cum ar fi routere, firewall, switch etc.
Principalele caracteristici folositoare în simularea unor rețele: se pot realiza topologii complexe de rețea, simularea are loc prin emularea unor platforme de tip IOS CISCO, analiza traficului și a pachetelor prin intermediul programului Wireshark.
GNS3 reprezintă o interfață pentru Dynamips, realizând o comunicare cu ajutorul unui hipervizor. Referitor la aplicația Dynamips, aceasta reprezintă o aplicație gratuită care simulează un sistem de operare de tip Cisco. Platformele care pot fi emulate sunt: 1700, 2600, 3600 și 7200. În lucrarea de față a fost folosită pentru routerele Cisco, platforma 7200. Prin intermediul Dynamips folosind resursele calculatorului, utilzatorii pot crea routere virtuale care folosesc un sistem de operare Cisco, simulând un comportament real.
Chiar dacă prezintă dezavantajul unui throughpout de 1 kbps, acesta permite emularea necesară pentru realizarea unei simulări sau a unei testări pentru o topologie de rețea.
În ceea ce privește realizarea unei topologii de rețea în GNS3, este destul de facilă de realizat în special pentru persoanele care au interacționat ulterior cu programe cum ar fi: Cisco Packet Tracer, Opnet. Pentru a putea adăuga și folosi componentele Cisco utilizatorii trebuie să insereze și să utilizeze imaginile IOS.
În figura 5.1 este prezentat spațiul de luru al programului GNS3, acesta fiind divizat în patru zone principale, cel din stânga reprezentând un tip de meniu care ne prezintă nodurile disponibile utilizării. Referitor la panoul din dreapta, acesta evidențiză un sumar al configurației. Secțiunea de mijloc conține două porțiuni, cea de sus reprezintă spațiul de lucru, iar cea de jos conține consola de gestionare pentru Dynagen.
Înainte de a începe o configurație de rețea utilizatorii sunt nevoiți sa realizeze câțiva pași suplimentari: pentru fiecare router trebuie încarcată imaginea sa IOS specifică, pentru a reduce consumul resurselor al calculatorului trebuie definită valoarea Idle PC. După aceste setări, routerele pot fi adăugate prin tragere în spațiul de lucru, iar apoi sunt configurate sloturile de tip adaptor astfel încât se va stabili tipul de conexiune. Ulterior pentru conectarea routerelor, programul conține un buton denumit „Add a link”, iar utilizatorul are sarcina de a alege corect tipul de conexiune.
Figura 5.1 Interfață program GNS3
Wireshark este un tip de program open source și de asemenea gratuit, care realizează o analiză asupra pachetelor, dar și asupra traficului din rețea. Programul Wireshark este un program realizat în limbajul de programare C.
Printr-o configurare a interfeței în modul promiscuu, un utilizator poate să facă o analiză asupra traficului total dintr-o rețea. Modul permite procesarea întregului trafic din rețea și nu doar traficului care trece prin interfața aleasă.
Aplicația oferă o serie destul de mare de funcționalități, cum ar fi:
Inspectarea unei game variate de protocoale
Oferă o interfață specifică navigării prin conținutul pachetelor, denumit packet broswer
Oferă o analiză și în modul offline și de asemenea captura pachetelor live
Portabilitate, existând versiuni compatibile pentru Linux, Solaris, Windows, etc.
Oferă posibilități variate de filtrare a capturilor
Exportarea datelor poate avea loc în diferite format, inclusiv in simplu text.
Pentru a realiza capturarea pachetelor, Wireshark folosește Application Programming Interface sau pe scurt API pcap, însă doar pentru rețelele care suportă API. Utilizarea programului Wireshark prezintă și probleme de securitate în ceea ce privește sistemul deoarce pentru a putea realiza captura unor pachet pe o interfață din rețea sunt necesare drepturile de administrator. Un alt dezavantaj destul de important este faptul că într-o rețea destul de complexă având dimensiuni considerabile, capturile realizate asupra pachetelor pot ajunge la diminesiuni mari, iar acest lucru ar duce la consmul de resurse, parțiale sau totale, în ceea ce privește sistemul.
În ceea ce privește Dynagen reprezintă o interfață pentru Dynamips, ele comunicând prin intermediul unui hipervizor. Un dezavantaj major când se utilizează Dynagen este faptul că procesorul este dus la funcționare maximă de 100% chiar dacă routerul nu este accesat.
Wireshark reprezintă cea mai eficientă soluție în ceea ce privește monitorizarea și analiza traficului sau a pachetelor din cadrul unei topologii de rețea.
Figura 5.2 Analizor Wireshark
5.2 Topologia rețelei
Figura 5.3 Topologia rețelei
Configurarea echipamentelor de rețea:
In topologie au fost folosite:
Cisco ASA 5500:
RAM: 1024 MiB
Model interfață rețea: e1000
Initrd: asa842-initrd.gz
Kernel: asa842-vmlinuz
Router Cisco c7200:
RAM: 512 MiB
IOS: c7200-a3jk9s-mz.123-22.image
Model interfață rețea: PA-FE-TX
Descrierea conexiunilor în rețea:
– Branch1-ASA: interfața Ethernet0 se conectează la ISP3; interfața Ethernet1 se conectează la Branch1-R;
– Branch1-R: interfața Fastethernet 0/0 se conectează la Branch1-ASA; interfața Fastethernet 1/0 se conectează la Host2;
– Branch2-ASA: interfața Ethernet 0 se conectează la ISP2; interfața Ethernet 1 se conectează la Branch2-R;
– Branch2-R: interfața Fastethernet 0/0 se conectează la Branch2-ASA; interfața Fastethernet 1/0 se conectează la Host3;
– HQ-ASA: interfața Ethernet 0 se conectează la ISP1; interfața Ethernet 1 se conectează la HQ-R;
– HQ-R: interfața Fastethernet 0/0 se conectează la HQ-ASA; interfața Fastethernet 1/0 se conectează la Host1;
– ISP1: interfața Fastethernet 0/0 se conectează la HQ-ASA; interfața Fastethernet 1/0 se conectează la ISP2; interfața Fastethernet 2/0 se conectează la ISP3;
– ISP2: interfața Fastethernet 0/0 se conectează la Branch2-ASA; interfața Fastethernet 1/0 se conectează la ISP3; interfața Fastethernet 2/0 se conectează la ISP1;
– ISP3: interfața Fastethernet 0/0 se conectează la Branch1-ASA; interfața Fastethernet 1/0 se conectează la ISP1; interfața Fastethernet 2/0 se conectează la ISP2.
Tabel 5.1 Adresare interfețe și configurație OSPF
Mai jos este analizată dimensiunea unui pachet de date „eșantion” (ping), pentru diferite situații: text clar (netunelat), dar și prin trei tipuri de tuneluri.
Scenariul 1: Fără tunelare, criptare sau încapsulare
Din analiza pachetului, cu ajutorul programului Wireshark, se pot determina IP-urile sursă și destinație și de asemenea detalii legate de pachetul ICMP. Pentru analiza pachetului din Host1 către Host2, captarea s-a realizat pe interfața f0/0 a router-ului ISP1, iar pentru analiza pachetului din Host2 către Host1, captarea s-a realizat pe interfața f0/0 a router-ului ISP3.
S-a observat că dimensiunea totală a pachetului este de 98 octeți.
Figura 5.4 Ping Host1-Host2 text clar(netunelat, fără criptare sau încapsulare)
Figura 5.5 Ping Host2-Host1 text clar(netunelat, fără criptare sau încapsulare)
Scenariul 2: Tunel GRE între Branch1 și Branch2
Tabelul 5.2 Tunel GRE Branch1-Branch2
Configurarea tunelului GRE este exemplificată mai sus. După această configurare, pachetul „eșantion” (echo-request) circulă în rețea încapsulat însă necriptat. Pentru analiza pachetului din Host2 către Host3, captarea s-a realizat pe interfața f0/0 a router-ului ISP3, iar pentru analiza pachetului din Host3 către Host2, captarea s-a realizat pe interfața f0/0 a router-ului ISP2. S-a observat că dimensiunea totală a pachetului este de 122 octeți.
Din cele două capturi se observă o creștere a dimensiunii totale a pachetului până la 122 octeți, de asemenea putem distinge și încapsularea pachetului de nivel 3 OSI (Layer 3-Nivel rețea) într-un alt pachet care are ca adresă IP sursă, respectiv adresă IP destinație, capetele tunelului GRE. Diferența pe care am sesizat-o dintre mesajul Echo-request și mesajul Echo-reply constă numai în tipul mesajului ICMP (Echo-request conține în câmpul Type al header-ului codul 8, iar Echo-reply conține codul 0).
Figura 5.6 Ping Host2-Host3 (Tunel GRE, pachet încapsulat)
Figura 5.7 Ping Host3-Host2 (Tunel GRE, pachet încapsulat)
Scenariul 3: Tunel IPSec între HQ și Branch2
Pentru realizarea acestui scenariu am configurat politica ISAKMP cu următorii parametri:
Am utilizat o politică ikev1 cu prioritatea cea mai mare, respectiv 1:
HQ-ASA(config)# crypto ikev1 policy 1
Am utilizat autentificarea cu chei simetrice:
HQ-ASA(config-isakmp)#authentication pre-share
Pentru algortimul de criptare am utilizat algoritmul AES cu chei de 256 biți:
HQ-ASA(config-isakmp)#encryption aes-256
Algoritmul pentru hash utilizat este SHA:
HQ-ASA(config-isakmp)#hash sha
Grupul Diffie-Hellman este 2:
HQ-ASA(config-isakmp)#group 2
Durata de viață a unei asocieri este de 3600 secunde:
HQ-ASA(config-isakmp)#lifetime 3600
Am configurat tipul tunelului (Land to Land):
HQ-ASA(config )#tunnel-group 33.33.33.2 type ipsec-l2l
Am intrat în modul de configurare al atributelor tunelului:
HQ-ASA(config)# tunnel-group 33.33.33.2 ipsec-attributes
Am configurat cheia simetrică de autentificare:
HQ-ASA(config-tunnel-ipsec)#ikev1 pre-shared-key licenta
Am configurat transfor-set-ul ce conține algoritmii de criptare și hash pe care îi va utiliza tunelul:
HQ-ASA(config)#crypto ipsec ikev1 transform-set HQ-Br2 esp-aes-256 esp-sha-hmac
Am creat lista de acces „HQ-Br2-Map” ce identifică traficul dintre HQ și Branch2. Branch2-LAN este un obiect ce conține subnet-ul 10.10.3.0 cu masca de rețea 255.255.255.0 (toate adresele din Branch2)
HQ-ASA(config)#access-list HQ-Br2-Map extended permit ip object HQ-LAN object Branch2-LAN
Am construit un crypto map pentru a îngloba toate blocurile construite: se vor selecta adresele IP către Branch2
HQ-ASA(config)#crypto map HQ-Map 2 match address HQ-Br2-Map
Am setat celălat capăt al tunelului:
HQ-ASA(config)#crypto map HQ-Map21 set peer 33.33.33.2
Am configurat algoritmii de criptare și hash folosiți:
HQ-ASA(config)#crypto map HQ-Map 2 set ikev1 transform-set HQ-Br2
La final, se aplică harta nou creată pe interfața externă a firewall-ului:
HQ-ASA(config)#crypto map HQ-Map interface WAN
Configurația de mai sus este utilizata pentru firewall-ul HQ-ASA, pentru firewall-ul Branch2-ASA se realizează analog aceeași pași de mai sus.
După ce este configurat tunelul se poate testa conexiunea. Am trimis un mesaj ICMP Echo-request de la Host1 către Host2.
Stabilirea asocierii IPSec între cele două echipamente se poate verifica utilizând: show crypto ipsec sa. (figura de mai jos)
Figura 5.8 Verficare implementare tunel IPSec în linia de comandă
Stabilirea tunelui IPSec se poate observa și cu ajutorul programului Wireshark.
Figura 5.9 Verficare implementare tunel IPSec – Wireshark
Figura 5.10 Ping Host1-Host3 (Tunel IPSec)
Figura 5.11 Ping Host3-Host1(Tunel IPSec)
Din imaginile de mai sus se poate observa că dimensiunea pachetului „eșantion”(ping) a crescut din nou până la 166 octeți.
Scenariul 4: Tunel GRE over IPSec între HQ și Branch1
Pentru a realiza această configurație, vom configura mai întai protocolul GRE pe cele două routere existente în cadrul acestor rețele și anume HQ-R și Branch1-R.
Tabel 5.3 Configurație tunel GRE HQ-Branch1
Se va configura asemănator scenariului 3, protocolul IPSec pentru cele două firewall-uri.
Vom configura politica ISAKMP cu următorii parametri:
Vom folosi o politică ikev1 cu prioritatea 1 (cea mai mare)
HQ-ASA(config)# crypto ikev1 policy 1
Vom folosi autentificare cu chei simetrice
HQ-ASA(config-isakmp)#authentication pre-share
Ca algoritm de criptare se va folosi algoritmul AES cu chei de 256 biți.
HQ-ASA(config-isakmp)#encryption aes-256
Algoritmul pentru hash folosit va fi SHA
HQ-ASA(config-isakmp)#hash sha
Grupul Diffie-Hellman va fi 2
HQ-ASA(config-isakmp)#group 2
Durata de viață a unei asocieri va fi de 3600 secunde
HQ-ASA(config-isakmp)#lifetime 3600
Se configurează tipul tunelului (Land to land)
HQ-ASA(config )#tunnel-group 22.22.22.2 type ipsec-l2l
Se intră în modul de configurare al atributelor tunelului
HQ-ASA(config)# tunnel-group 22.22.22.2 ipsec-attributes
Se configurează cheia simetrică de autentificare
HQ-ASA(config-tunnel-ipsec)#ikev1 pre-shared-key licenta
Se configurează transform-set-ul ce conține algoritmii de criptare și hash pe care îi va folosi
tunelul.
HQ-ASA(config)#crypto ipsec ikev1 transform-set HQ-Br1 esp-aes-256 esp-sha-hmac
Se creează lista de acces “HQ-Br1-Map” ce identifică traficul dintre HQ si Branch 1. Branch2-LAN-GRE este un obiect ce conține adresa 192.168.2.2 (capatul tunelului GRE din
Branch 1).
HQ-ASA(config)#access-list HQ-Br1-Map extended permit ip object HQ-LAN object Branch1
Construim un crypto map pentru a îngloba toate blocurile construite:
Se vor selecta adresele IP catre Branch1
HQ-ASA(config)#crypto map HQ-Map 1 match address HQ-Br1-Map
Se setează celălalt capăt al tunelului
HQ-ASA(config)#crypto map HQ-Map 1 set peer 22.22.22.2
Se configurează algoritmii de criptare și hash folosiți.
HQ-ASA(config)#crypto map HQ-Map 1 set ikev1 transform-set HQ-Br1
În final se aplică harta nou creată pe interfața externă a firewall-ului:
HQ-ASA(config)#crypto map HQ-Map interface WAN
Analog se va configura și Branch1-ASA. După stabilirea asocierii de securitate tunelul este funcțional. Putem trimite pachetul eșantion de la Host1 către Host2.
Figura 5.12 Stabilirea asocierii IPSec între echipamente
Figura 5.13 Tunelul GRE între cele două echipamente
În ceea ce privește acest scenariu, putem observa din figura de mai jos că protocolul IPSec realizează o criptare a datelor de la nivelul 3 al stivei OSI. În imaginea de mai jos putem vedea adresele de MAC de nivel 2, însă în ceea ce privește adresele de nivel 3, adică adresele IP, acestea sunt capetele tunelului. Conținutul mesajul (în special conținutul GRE) este criptat. În cadrul acestui scenariu putem observa că dimensiunea pachetului a ajuns la 182 octeți.
Figura 5.14 Ping Host 1 – Host 2 (GRE over IPSec)
Figura 5.15 Ping Host 2 – Host 1 (GRE over IPSec)
CONCLUZI FINALE
Tehnologia informației a avut o creștere semnificativă de la generație la generație, introducerea rețelelor securizate a avut o influență pozitivă asupra societății reușind să reducă numărul atacurilor rău intenționate.
Securitatea informației a pătruns adânc mai ales în mediul afacerilor de dimensiuni mari, informația securizată reprezetând o cheie importantă în ceea ce privește Internetul. În lucrarea realizată am încercat prezentarea în ansamblu a diferitelor tipuri de tehnologii de securitate, mecanisme, protocoale etc, prin detalierea în partea a fiecăruia, realizând și mici comparații.
Plecând de la noțiunea generală de securitate, am pătruns către protocoalele de securitate, protocoale implementate în partea aplicativă. Aceste protocoale de securitate au fost implementate prin intermediul unei rețele private virtuale realizate în programul Graphical Network Simulator 3. Din punct de vedere al rețelelor private virtuale, s-a constatat faptul că acestea oferă o securitate sporită în ceea ce privește transmisia datelor, date transmise de utilizatori prin intermediul unei rețele de calculatore.
Din scenariul 1 se poate observa structura unui pachet (ping) transmis într-un mod netunelat, respectiv necriptat. Cu ajutorul unui analizor de trafic, Wireshark am putut observa informații referitoare la pachetul transmis, informații precum: sursa, destinația, respectiv tipul pachetului. O altă informație obținută în urma realizării acestui scenariu este mărimea pachetului, pachetul având o dimensiune de 98 octeți.
În ceea ce privește scenariul 2, unde a fost implementat un tunel GRE, s-a concluzionat faptul că tunelarea de tip GRE este facilă de implementat, îns are un mare dezavantaj în ceea ce privește criptarea datelor. Tunelarea de tip GRE nu criptează datele. Cu ajutorul analizorului de trafic s-a constatat o creștere a dimensiunii pachetului la 122 octeți. Această creștere de 24 de octeți se datorează definirii tunelării, deoarece cei 24 octeți sunt folosiți în header-ul protocolului GRE.
În scenariul 3 și 4 am implementat un tunel de tip IPSec, respectiv un tunel GRE over IPsec. Evident se poate observa un grad de dificultate mai ridicat în ceea ce privește configurația acestor tunele, dar trebuie menționat că rețea privată virtuală care deține o tunelare de tip IPSec folosește criptarea în scopul secretizării datelor transmise, ceea ce duce la o îmbunătățire a securității rețelei împotriva atacurilor rău intenționate. În scenariul 3 dimensiunea pachetului a ajuns la 166 de octeți, iar în scenariul 4 la 198 octeți din cauza informațiilor suplimentare adăugate de către IPSec.
BIBLIOGRAFIE
1) http://www.securitatea-informatica.ro/securitatea-informatica/securitatea-siconfidentialitatea-
datelor-in-retelele-publice/
2) http://ro.wikipedia.org/wiki/Re%C8%9Bea_privat%C4%83_virtual%C4%83
3)
http://www.netaccess.ro/retele_virtuale_private.html
4) http://en.wikipedia.org/wiki/Secure_Sockets_Layer
5) http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/nat_objects.pdf
6) https://ocw.cs.pub.ro/courses/sred/labs/asa/02
7) http://www.math.uaic.ro/~cefair/files/intr_in_securitatea_retelelor.pdf
8) https://users.info.uvt.ro/~cristiana.dragoescu/ANUl%20II/Curs14_RC.pdf
9) http://jontech.ro/2015/01/protocoale-de-securitate-ssl-tls-si-ssh-2/
10) Prof. Univ. Dr. Constantin Popescu „Securitatea informației: Atacuri de securitate, Servicii de securitate, Mecanisme de securitate”, curs
11) Bogdan Groza „Introducere în Sisteme Criptografice cu Cheie Publică”, curs
12) https://ramonnastase.ro/blog/
ANEXE
Anexa 1. Configurația completă a echipamentelor de rețea
HQ Headquarter Network
Host 1:
Host1> show ip
NAME : Host1[1]
IP/MASK : 10.10.1.100/24
GATEWAY : 10.10.1.1
DNS :
MAC : 00:50:79:66:68:00
LPORT : 10009
RHOST:PORT : 127.0.0.1:10008
MTU: : 1500
HQ-R:
Building configuration…
Current configuration : 1348 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname HQ-R
boot-start-marker
boot-end-marker
no aaa new-model
ip subnet-zero
no ip icmp rate-limit unreachable
no ip domain lookup
ip cef
ip tcp synwait-time 5
interface Tunnel1
ip address 172.28.4.2 255.255.255.0
tunnel source 192.168.1.2
tunnel destination 192.168.2.2
interface Tunnel2
ip address 172.28.2.1 255.255.255.252
tunnel source 192.168.1.2
tunnel destination 192.168.3.2
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 10.10.1.1 255.255.255.0
duplex half
router ospf 1
log-adjacency-changes
passive-interface FastEthernet1/0
network 10.10.1.0 0.0.0.255 area 0
network 192.168.1.0 0.0.0.3 area 0
ip classless
ip route 10.10.2.0 255.255.255.0 Tunnel1
ip route 10.10.3.0 255.255.255.0 172.28.2.2
no ip http server
no ip http secure-server
no cdp log mismatch duplex
gatekeeper
shutdown
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
HQ-ASA:
HQ-ASA# sh run
ASA Version 8.4(2)
hostname HQ-ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
interface GigabitEthernet0
nameif WAN
security-level 0
ip address 11.11.11.2 255.255.255.252
interface GigabitEthernet1
nameif LAN
security-level 100
ip address 192.168.1.1 255.255.255.252
ftp mode passive
same-security-traffic permit inter-interface
object network HQ-LAN-GRE
host 192.168.1.2
object network HQ-WAN
host 11.11.11.2
object network Branch1-LAN
subnet 10.10.2.0 255.255.255.0
object network Branch2-LAN-GRE
host 192.168.3.2
object network HQ-LAN
subnet 10.10.1.0 255.255.255.0
object network Branch2-LAN
subnet 10.10.3.0 255.255.255.0
access-list WAN extended permit ip any any
access-list WAN extended permit ip object Branch1-LAN object HQ-LAN
access-list WAN extended permit ip object Branch2-LAN-GRE object HQ-LAN-GRE
access-list WAN extended permit ip object RemoteUsers any
access-list HQ-Br1-Map extended permit ip object HQ-LAN object Branch1-LAN
access-list HQ-Br1-Map extended permit ip 192.168.1.0 255.255.255.252 192.168.2.0 255.255.255.252
access-list WAN-IN extended permit ip object Branch2-LAN object HQ-LAN
access-list HQ-Br2-Map extended permit ip object HQ-LAN object Branch2-LAN
access-list HQ-Br5-Map extended permit ip 10.10.1.0 255.255.255.0 10.10.3.0 255.255.255.0
access-list HQ-Br5-Map extended permit ip 192.168.1.0 255.255.255.252 192.168.3.0 255.255.255.252
pager lines 24
mtu WAN 1500
mtu LAN 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any WAN
icmp permit any LAN
no asdm history enable
arp timeout 14400
nat (WAN,LAN) source static HQ-LAN HQ-LAN destination static Branch1-LAN Branch1-LAN
nat (LAN,WAN) source static Branch1-LAN Branch1-LAN destination static HQ-LAN HQ-LAN
nat (WAN,LAN) source static HQ-LAN-GRE HQ-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
nat (LAN,WAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static HQ-LAN-GRE HQ-LAN-GRE
nat (WAN,LAN) source static RemoteUsers RemoteUsers destination static Host1 Host1
nat (WAN,LAN) source static Branch2-LAN Branch2-LAN destination static HQ-LAN HQ-LAN
nat (LAN,WAN) source static HQ-LAN HQ-LAN destination static Branch2-LAN Branch2-LAN
nat (WAN,LAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static HQ-LAN-GRE HQ-LAN-GRE
nat (LAN,WAN) source static HQ-LAN-GRE HQ-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
access-group WAN in interface WAN
router ospf 1
network 11.11.11.0 255.255.255.252 area 0
network 192.168.1.0 255.255.255.252 area 0
log-adj-changes
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set HQ-Br1 esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set HQ-Br2 esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set HQ-Br5 esp-aes-256 esp-sha-hmac
crypto map HQ-Map 1 match address HQ-Br1-Map
crypto map HQ-Map 1 set peer 22.22.22.2
crypto map HQ-Map 1 set ikev1 transform-set HQ-Br1
crypto map HQ-Map 2 match address HQ-Br5-Map
crypto map HQ-Map 2 set peer 33.33.33.2
crypto map HQ-Map 2 set ikev1 transform-set HQ-Br2 HQ-Br5
crypto map HQ-Map interface WAN
crypto ikev1 enable WAN
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 3600
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 22.22.22.2 type ipsec-l2l
tunnel-group 22.22.22.2 ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group 33.33.33.2 type ipsec-l2l
tunnel-group 33.33.33.2 ipsec-attributes
ikev1 pre-shared-key *****
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:dcd69f40e3ded513473e11d1696be212
end
Branch1-Network
Host2:
NAME : Host2[1]
IP/MASK : 10.10.2.100/24
GATEWAY : 10.10.2.1
DNS :
MAC : 00:50:79:66:68:01
LPORT : 10004
RHOST:PORT : 127.0.0.1:10005
MTU: : 1500
Branch1-R
Current configuration : 1388 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Branch1-R
boot-start-marker
boot-end-marker
no aaa new-model
ip subnet-zero
no ip icmp rate-limit unreachable
no ip domain lookup
ip cef
ip tcp synwait-time 5
interface Tunnel1
ip address 172.28.4.1 255.255.255.0
tunnel source 192.168.2.2
tunnel destination 192.168.1.2
interface Tunnel2
ip address 172.28.3.1 255.255.255.252
tunnel source 192.168.2.2
tunnel destination 192.168.3.2
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 10.10.2.1 255.255.255.0
duplex half
router ospf 1
log-adjacency-changes
passive-interface FastEthernet1/0
network 10.10.2.0 0.0.0.255 area 0
network 172.28.3.0 0.0.0.3 area 0
network 192.168.2.0 0.0.0.3 area 0
ip classless
ip route 10.10.1.0 255.255.255.0 Tunnel1
ip route 10.10.3.0 255.255.255.0 172.28.3.2
no ip http server
no ip http secure-server
no cdp log mismatch duplex
gatekeeper
shutdown
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
Branch2-ASA
ASA Version 8.4(2)
hostname Branch1-ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
interface GigabitEthernet0
nameif WAN
security-level 0
ip address 22.22.22.2 255.255.255.252
interface GigabitEthernet1
nameif LAN
security-level 100
ip address 192.168.2.1 255.255.255.252
ftp mode passive
same-security-traffic permit inter-interface
object network HQ-LAN
subnet 10.10.1.0 255.255.255.0
object network Branch1-LAN-GRE
host 192.168.2.2
object network Branch2-LAN-GRE
host 192.168.3.2
object network Branch1-WAN
host 22.22.22.2
object network Branch1-LAN
subnet 192.168.2.0 255.255.255.252
object network Branch1-LAN-1
subnet 10.10.2.0 255.255.255.0
access-list WAN extended permit ip any any
access-list WAN extended permit ip object HQ-LAN object Branch1-LAN
access-list WAN extended permit ip object Branch2-LAN-GRE object Branch1-LAN-GRE
access-list HQ-Br1-Map extended permit ip object Branch1-LAN object HQ-LAN
access-list HQ-Br1-Map extended permit ip object Branch1-LAN-1 192.168.1.0 255.255.255.252
access-list HQ-Br1-Map extended permit ip 192.168.2.0 255.255.255.252 192.168.1.0 255.255.255.252
access-list HQ-Br1-Map extended permit ip 10.10.2.0 255.255.255.0 10.10.1.0 255.255.255.0
pager lines 24
mtu WAN 1500
mtu LAN 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any WAN
icmp permit any LAN
no asdm history enable
arp timeout 14400
nat (WAN,LAN) source static HQ-LAN HQ-LAN destination static Branch1-LAN Branch1-LAN
nat (WAN,LAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static Branch1-LAN-GRE Branch1-LAN-GRE
nat (LAN,WAN) source static Branch1-LAN Branch1-LAN destination static HQ-LAN HQ-LAN
nat (LAN,WAN) source static Branch1-LAN-GRE Branch1-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
access-group WAN in interface WAN
router ospf 1
network 22.22.22.0 255.255.255.252 area 0
network 192.168.2.0 255.255.255.252 area 0
log-adj-changes
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set HQ-Br1 esp-aes-256 esp-sha-hmac
crypto map HQ-Map 1 match address HQ-Br1-Map
crypto map HQ-Map 1 set peer 11.11.11.2
crypto map HQ-Map 1 set ikev1 transform-set HQ-Br1
crypto map HQ-Map interface WAN
crypto ikev1 enable WAN
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 3600
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 11.11.11.2 type ipsec-l2l
tunnel-group 11.11.11.2 ipsec-attributes
ikev1 pre-shared-key *****
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:c0f2b4199032c291588afd8426508a44
end
Branch2 Network
Host 3:
NAME : Host3[1]
IP/MASK : 10.10.3.100/24
GATEWAY : 10.10.3.1
DNS :
MAC : 00:50:79:66:68:02
LPORT : 10013
RHOST:PORT : 127.0.0.1:10012
MTU: : 1500
Branch2-R
Current configuration : 1393 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname Branch2-R
boot-start-marker
boot-end-marker
no aaa new-model
ip subnet-zero
no ip icmp rate-limit unreachable
no ip domain lookup
ip cef
ip tcp synwait-time 5
interface Tunnel1
ip address 172.28.2.2 255.255.255.252
tunnel source 192.168.3.2
tunnel destination 192.168.1.2
interface Tunnel2
ip address 172.28.3.2 255.255.255.252
tunnel source 192.168.3.2
tunnel destination 192.168.2.2
interface FastEthernet0/0
ip address 192.168.3.2 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 10.10.3.1 255.255.255.0
duplex half
router ospf 1
log-adjacency-changes
passive-interface FastEthernet1/0
network 10.10.3.0 0.0.0.255 area 0
network 172.28.3.0 0.0.0.3 area 0
network 192.168.3.0 0.0.0.3 area 0
ip classless
ip route 10.10.1.0 255.255.255.0 172.28.2.1
ip route 10.10.2.0 255.255.255.0 172.28.3.1
no ip http server
no ip http secure-server
no cdp log mismatch duplex
gatekeeper
shutdown
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
Branch2-ASA
ASA Version 8.4(2)
hostname Branch2-ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
interface GigabitEthernet0
nameif WAN
security-level 0
ip address 33.33.33.2 255.255.255.252
interface GigabitEthernet1
nameif LAN
security-level 100
ip address 192.168.3.1 255.255.255.252
ftp mode passive
same-security-traffic permit inter-interface
object network Branch2-LAN-GRE
host 192.168.3.2
object network HQ-LAN-GRE
host 192.168.1.2
object network Branch2-WAN
host 33.33.33.2
object network Branch2-LAN
subnet 10.10.3.0 255.255.255.0
object network HQ-LAN
subnet 10.10.1.0 255.255.255.0
access-list WAN extended permit ip any any
access-list WAN-IN extended permit ip object HQ-LAN-GRE object Branch2-LAN-GRE
access-list WAN-IN extended permit ip object HQ-LAN object Branch2-LAN
access-list HQ-Br2-Map extended permit ip object Branch2-LAN object HQ-LAN
access-list HQ-Br5-Map extended permit ip 10.10.3.0 255.255.255.0 10.10.1.0 255.255.255.0
access-list HQ-Br5-Map extended permit ip 192.168.3.0 255.255.255.252 192.168.1.0 255.255.255.252
pager lines 24
mtu WAN 1500
mtu LAN 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any WAN
icmp permit any LAN
no asdm history enable
arp timeout 14400
nat (WAN,LAN) source static HQ-LAN HQ-LAN destination static Branch2-LAN Branch2-LAN
nat (LAN,WAN) source static Branch2-LAN Branch2-LAN destination static HQ-LAN HQ-LAN
nat (WAN,LAN) source static HQ-LAN-GRE HQ-LAN-GRE destination static Branch2-LAN-GRE Branch2-LAN-GRE
nat (LAN,WAN) source static Branch2-LAN-GRE Branch2-LAN-GRE destination static HQ-LAN-GRE HQ-LAN-GRE
access-group WAN in interface WAN
router ospf 1
network 33.33.33.0 255.255.255.252 area 0
network 192.168.3.0 255.255.255.252 area 0
log-adj-changes
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set HQ-Br2 esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set HQ-Br5 esp-aes-256 esp-sha-hmac
crypto map HQ-Map 2 match address HQ-Br5-Map
crypto map HQ-Map 2 set peer 11.11.11.2
crypto map HQ-Map 2 set ikev1 transform-set HQ-Br2 HQ-Br5
crypto map HQ-Map 5 match address HQ-Br5-Map
crypto map HQ-Map interface WAN
crypto ikev1 enable WAN
crypto ikev1 policy 1
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 3600
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tunnel-group 11.11.11.2 type ipsec-l2l
tunnel-group 11.11.11.2 ipsec-attributes
ikev1 pre-shared-key *****
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
crashinfo save disable
Cryptochecksum:41bde1bd649a8aeb6486de1b1e7ced7d
: end
ISP Network
ISP1:
Current configuration : 1043 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname ISP1
boot-start-marker
boot-end-marker
no aaa new-model
ip subnet-zero
no ip icmp rate-limit unreachable
no ip domain lookup
ip cef
ip tcp synwait-time 5
interface FastEthernet0/0
ip address 11.11.11.1 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 77.77.77.1 255.255.255.252
duplex half
interface FastEthernet2/0
ip address 88.88.88.2 255.255.255.252
duplex half
router ospf 1
log-adjacency-changes
network 11.11.11.0 0.0.0.3 area 0
network 77.77.77.0 0.0.0.3 area 0
network 88.88.88.0 0.0.0.3 area 0
ip classless
no ip http server
no ip http secure-server
no cdp log mismatch duplex
gatekeeper
shutdown
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
ISP2:
Current configuration : 1043 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname ISP2
boot-start-marker
boot-end-marker
no aaa new-model
ip subnet-zero
no ip icmp rate-limit unreachable
no ip domain lookup
ip cef
ip tcp synwait-time 5
interface FastEthernet0/0
ip address 33.33.33.1 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 99.99.99.1 255.255.255.252
duplex half
interface FastEthernet2/0
ip address 77.77.77.2 255.255.255.252
duplex half
router ospf 1
log-adjacency-changes
network 33.33.33.0 0.0.0.3 area 0
network 77.77.77.0 0.0.0.3 area 0
network 99.99.99.0 0.0.0.3 area 0
ip classless
no ip http server
no ip http secure-server
no cdp log mismatch duplex
gatekeeper
shutdown
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
ISP3:
Current configuration : 1043 bytes
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
hostname ISP3
boot-start-marker
boot-end-marker
no aaa new-model
ip subnet-zero
no ip icmp rate-limit unreachable
no ip domain lookup
ip cef
ip tcp synwait-time 5
interface FastEthernet0/0
ip address 22.22.22.1 255.255.255.252
duplex half
interface FastEthernet1/0
ip address 88.88.88.1 255.255.255.252
duplex half
interface FastEthernet2/0
ip address 99.99.99.2 255.255.255.252
duplex half
router ospf 1
log-adjacency-changes
network 22.22.22.0 0.0.0.3 area 0
network 88.88.88.0 0.0.0.3 area 0
network 99.99.99.0 0.0.0.3 area 0
ip classless
no ip http server
no ip http secure-server
no cdp log mismatch duplex
gatekeeper
shutdown
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
stopbits 1
line vty 0 4
login
end
Anexa 2. Echo-reply Text clar (netunelat, necriptate)
Anexa 3. Echo-reply Tunel GRE
Anexa 3. Echo-reply Tunel IPSec
Anexa 4. Echo-reply Tunel GRE over IPSec
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea în rețele TCPIP [308911] (ID: 308911)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.