SPECIALIZAREA TEHNOLOGIA INFORMA ȚIEI LUCRARE DE LICEN ȚĂ Coordonator științi fic: Prof. Univ . Dr. Mihăiță Drăgan Absolvent: Vraciu Emil -Andrei… [602880]
UNIVERSITATEA DIN BUCURE ȘTI
FACULTATEA DE MATEMATIC Ă ȘI INFORMATICĂ
DEPARTAMENTUL DE INFORMATICĂ
SPECIALIZAREA TEHNOLOGIA INFORMA ȚIEI
LUCRARE DE LICEN ȚĂ
Coordonator științi fic:
Prof. Univ . Dr. Mihăiță Drăgan
Absolvent: [anonimizat]
2013
UNIVERSITATEA DIN BUCUREȘTI
FACULTATEA DE MATEMATIC Ă SI INFORMATICĂ
DEPARTAMENTUL DE INFORMATICĂ
SPECIALIZAREA TEHNOLOGIA INFORMA ȚIEI
SOLU ȚII ȘI TEHNOLOGII VPN
Coordonator științific:
Prof. Univ. Dr. Mih ăiță Drăgan
Absolvent: [anonimizat]
2013
CURPINS
INTRODUCERE ……………………………………………………………………………………………………. . 5
CAPITOLUL 1. ELEMENTE FUNDAMENTALE DE REȚELISTICĂ
1.1 Modelul de referința OSI. …………………. …………………….. …………………… …… 7
1.2 Modelul de referința TCP/IP …………………………………………………….. ………… 9
1.2.1 Încapsulare și decapsulare …………………………………………….. …………. 10
1.2.2 Internet Protocol………………………………………………………….. …………. 11
1.2.3 UDP…………………………………………………………………………….. ……….. 12
1.2.4 TCP…. …………………………………………………………………………. ………… 13
1.2.5 ICMP………………………………………………………………………. …………….. 13
1.3 Clase de IP -uri……………….. ……………………………………………………….. ……….. 14
1.4 Tipuri și topologii de rețele ………………………………. ………………………. ……….. 14
CAPITOLUL 2. SECURITATE INFORMATICĂ ȘI CRIPTAREA DATELOR
2.1 Cerințe fundamentale privind securitatea informatică …………………………… 17
2.2 Sisteme criptografice cu chei private (simetrice) ………….. ……………………… 18
2.2.1 Algoritmul AES ……………………………………… …….. ……………………… 19
2.3 Sisteme criptografice cu chei publice (asimetrice) ………… ………………… ….. 21
2.3.1 Algoritmul Diffie -Hellman ……………………………… ……………………… 21
2.3.2 Algoritmul R SA…………………………………………….. ……………………… 24
2.4 Funcții HASH criptografice ……………………………………….. …………………….. 26
2.4.1 Algoritmul MD5 ……………………………………………….. ………………….. 27
2.4.2 Algoritmul SHA …………………….. …………………….. ……………………… 28
2.5 Semnături digitale ……………………………………………………. ……………………… 30
2.6 Certificate digitale ………………………………………………….. ……………………….. 32
CAPITOLUL 3. REȚELE VIRTUALE PRIVATE
3.1 Definirea rețelelor VPN ………………………….. ……………………….. ……………….. 34
3.2 Avantaje VPN…………………………… …………….. …………………. ……………. …….. 35
3.3 Tipuri de rețele VPN…………………………………………. ……………………… ……… 36
3.3.1 Acces VPN de la distanță …………………………… ………………………….. . 37
3.3.2 Intranet VPN ………………………………………… ……………………… ………. 37
3.3.3 Extranet VPN………………… ……………………… ……………………………… 38
3.4 Tunelare……………….. ……………………… …………………………………………………. 39
3.4.1 Protocolul PPTP……… ……………………… ………………………………….. … 40
3.4.2 Protocolul L2TP……………. …………………. …………………………………. .. 42
3.4.3 Protocolul MPLS………………. ……………………… …………………….. …… 43
3.4.4 Protocolul SSL…………………… ……………………… ……………………… …. 45
3.5 Arhitectura de securitate IP (IPsec) ………………………… ……………………… …… 47
3.5.1 Mecanismul Antetului de Autentificare IP (AH) ………………. ……….. 48
3.5.2 Mecanismul învelișului de securitate pentru IP (ESP) ……………… … 51
3.5.3 Combinarea mecanismelor AH și ESP …………………… ………………… 53
3.5.4 Protocolul ISAKMP/Oakley …………. …………………………………….. …. 53
3.6 Tehnologia OpenVPN ……….. ……………………… ……………………………………… 55
3.6.1 Canalul de date în OpenVPN ……………. …………………………………….. 56
3.6.2 Canalul de control în OpenVPN …………….. ……………………………….. 57
3.6.3 Interconectarea rețelelor folosind OpenVPN …………………. ………….. 60
CAPITOLUL 4. APLICATIE – Configurare re țea VPN folosind tehnologia OpenVPN
4.1 Configurare server VPN pe Linux …………………………………………………….. .. 62
4.2 Configurare client pe Windows ………………………………………………………….. 70
4.3 Testare conexiune …………………………………………………………………………….. 73
CONCLUZII ……………… ……………………………………………………………… ………………………… 77
BIBLIOGRAFIE ………………. …………………….. ………………………………………………………….. 78
5
Introducere
În ultimii ani num ărul sistemelor de calcul a crescut exponen țial și o dat ă cu el a
crescut și viteza cu care oamenii pot transmite și recep ționa informa ții. Fie c ă sunt fixe ,
portabile sau integrate într-un terminal mobil, folosite pentru munc ă sau pentru d istrac ție,
calculatoarele au influen țat radical via ța oamenilor . Au crescut productivitatea în munc ă, au
schimbat modul în care comunic ăm, în care învatăm, au facilitat cercetarile științifice, practic
au devenit parte integrant ă din via ța noastr ă.
Probab il cea mai important ă funcționalitate a calculatoarelor este posibilitatea acestora
de a comunica între ele prin interconectarea într-o rețea. Aceast ă funcționalitate a dus la
apari ția aplica țiilor care func ționeaz ă pe re țea și implicit a Internetului. Int ernetul a cunoscut
în ultimii ani o cre ștere extraordinar ă la nivel mondial și odat ă cu el s -a dezvoltat și
infrastructura necesar ă transmiterii de date. Însă odată cu aceast ă creștere a crescut și riscul
ca informa țiile transmise pe infrastructura existe ntă să fie corupte sau accesate de persoane
rău voitoare. O solu ție pentru aceast ă problem ă a fost construc ția de re țele fizice private. Însă
acestea implicau costuri mari și erau limitate la distan țe relativ mici ceea ce le f ăcea
ineficiente pentru o comp anie multina țional ă. Toate acestea au dus la definirea conceptului de
Rețea Virtual ă Privat ă, denumit ă pe scurt re țea VPN.
Lucrarea de licen ța trateaz ă pe lângă elementele fundamentale de re țelistic ă și
securitate necesare înțelegerii modului de func ționar e a re țelelor VPN și tehnologiile prin care
se poate crea o re țea virtual ă privat ă, prezint ă o compara ție între solu țiile VPN și propune o
metod ă de securizare a datelor transmise între organiza ții din zone geografice diferite. O reț ea
virtual ă privat ă se folose ște de infrastructura internetului pentru a crea o conexiune securizat ă
între dou ă terminale aflate în rețele fizice diferite, securitatea fiind asigurat ă prin criptarea
mesajelor. Folosirea infrastructurii deja existente aduce numeroase beneficii companiilor
precum reducerea costurilor , nu mai este nevoie s ă investeasc ă în linii dedicate de transfer a
datelor ci sunt folosite cele deja existente prin intermediul unei conexiuni la internet, angaja ții
au acces direct la resursele companiei indiferent d e locul în care lucreaz ă sporind astfel
mobilitatea angaja ților și eficien ța companiei, practic combin ă mai multe sucursale din
diferite regiuni într-o singur ă companie virtual ă, toate aceste avantaje find ob ținute f ără a
face compromisuri pe partea de securitate. O rețea VPN configurat ă corect este aproape la fel
de sigur ă ca o re țea fizic ă privat ă.
Am ales tema “Solu ții și tehnologii VPN” deoarece este o metod ă foarte r ăspândită de
a proteja transferul de date și îmi oferă șansa de a m ă pregăti pentru piața muncii. Dorin ța de a
6
aprofunda cunostin țele obț inute în timpul stagiului de practic ă a contribuit de asemenea la
alegerea temei.
Obiectivul acestei lucr ări este sintetizarea informa țiilor necesare înțelegerii și
configur ării unei re țele VPN , pornind de la elementele fundamentale ale interconect ării
calculatoarelor detaliate în primul capitol precum tipurile și topologiile de re țele, modelele
OSI și TCP/IP, structura și clasa unui IP și protocoalele care controleaz ă transmisia de date.
În urm ătorul capitol sunt prezentate c âteva elemente esen țiale de securitate precum cerințele
fundamentale privind securitatea informatică, câteva sisteme criptografice și tipul lor și
definirea unor concepte precum semn ături digitale și certificate, elemente esen țiale
configur ării unei re țele VPN.
7
CAPITOLUL 1
1. ELEMENTE FUNDAMENTALE DE RE ȚELISTIC Ă
1.1 Modelul de referin ță OSI
Schimbul de date în rețelele de calculatoare este dirijat de protocoale . Protocoalele
sunt seturi de reguli care trebuie respecta te atunci c ând dou ă terminale comunic ă în rețea.
Protocoalele pot fi asem ănate cu limbajul uman. Da că doi oameni vorbesc limbi diferite
mesajul nu poate fi recep ționat sau decodificat corect, la fel cum dac ă protocoalele nu sunt
folosite corect comunicarea în reț ea nu poate avea loc. Exist ă un num ăr mare de protocoale
care fac posibil ă comunicarea în rețea, fie c ă acces ăm Internetul sau un alt calculator din re țea
sau placa de re țea comunică cu un switch sau un router, ne folosim de fiecare dat ă de
procedu ri de comunicare definite de protocoale. Pentru a controla aceste protocoale
Organiza ția Interna țional ă de Standardizare propune modelul ISO OSI (Open Systems
Interconnection) sau Interconectarea sistemelor deschise. Modelul OSI face diferen ța între
două concepte esen țiale pentru comunicarea în rețea: serviciile și protocoalele. Serviciile
reprezint ă seturi de opera ții transmise nivelului superior , adic ă ce face efectiv nivelul în timp
ce protocoalele definesc modul în care func ționeaza nivelul. Putem spune că protocoalele sunt
folosite pentru a implementa defin ițiile serviciilor lor. Protocolul este complet independent de
serviciu. Poate fi folosit orice protocol cu condi ția să ofere serviciul dorit [1].
Modelul OSI este structurat pe șapte niveluri între care se schimb ă date. Porne ște de la
nivelul 1 (nivelul fizic), care se ocup ă de mediul de transmisie a datelor prin semnale
electrice, optice sau radio și merge pana la nivelul 7 (nivel aplica ție) responsabil cu
comunicarea între aplica ții.
Nivelurile modelului OSI sunt urm ătoarele:
Nivelul Fizic – transmiterea și recep ționarea mesajelor prin canalul fizic de comunica ție,
rezolv ă probleme legate de transmiterea și recep ționarea corect ă între capete a bi ților 0 și 1,
stabile ște num ărul de vol ți corespunz ător biților 0 și 1, ștabile ște și întrerupe conexiunea între
părți, cunoa ște tipul de conector de re țea și ce funcție are fiecare pin din acesta [ 1].
Nivelul Leg ătură de date – se asigur ă că nu sunt erori de transmisie nedetectate, descompune
datele de intra re în cadre și le transmite secven țial, prelucreaz ă cadrele de confirmare
transmise înapoi de receptor , delimiteaz ă cadrele prin ad ăugarea de bi ți la începutul și
sfârșitul cadrelor .
8
Nivelul re țea – se ocup ă cu rutarea (dirijarea) pachetelor de la surs ă la destina ție prin
intermediul infrastructurii de comunicații , cunoa ște adresele nodurilor adiacente din re țea,
selecteaz ă rutele, asigur ă calitatea serviciului.
Nivelul transport – are rol de interfa ță între nivelurile de sub el și nivelurile superioare ,
controleaz ă fluxul de informa ții, accept ă date de la nivelul sesiune, le fragmenteaz ă atunci
când sunt prea mari și le transmite într-o ordine coerent ă nivelului re țea pentru transport,
folose ște algoritmi pentru a se asigura c ă datele sunt transmise și rece pționate corect la
celalalt cap ăt.
Nivelul sesiune – abordeaz ă în principal probleme de software, scopul acestui nivel este s ă
permit ă dispozitivelor din re țea să stabileasc ă și să mențină sesiuni extinse cu scopul
transmiterii de date, porne ște, coordonea ză și termin ă comunic ațiile între aplica țiile care
comunică pe re țea.
Nivelul prezentare – funcția sa principal ă este s ă se asigure c ă datele sunt prezentate
receptorului a șa cum emi țatorul a inten ționat s ă le transmit ă. De exemplu dou ă calculatoare
bazate pe sisteme de operare diferite precum cele Microsoft si Macintosh folosesc aplica ții
diferite și reprezint ă datele în mod diferit. Nivelul prezentare se asigur ă că datele sunt afi șate
în mod similar pe ambele calculatoare [4].
Nivelul aplica ție – este ce l mai înalt nivel al modelului OSI, este de obicei un nivel complex
folosit de aplica țiile din re țea, con ține serviciile folosite de aplica ții. De exemplu are rol în
transferul fi șierelor prin protocolul FTP (File Transfer Protocol) sau po ștă electronic ă prin
protocolul SMTP (Simple Mail Transfer Protocol) , gestioneaz ă servicii precum serviciul de
printare, gestioneaz ă autentificarea la distan ță pe un alt calculator. N u are un nivel superior
către care s ă transmit ă date, asigur ă funcții folosite direct de către utilizatorul final.
Primele patru niveluri (Fizic, Leg ătură de date, Re țea și Transport) sunt considerate
niveluri inferioare și sunt implementate în partea hardware a re țelei, cabluri, routere, switch –
uri etc. în timp ce urm ătoarele trei (Sesiune, Pr ezentare, Aplica ție) sunt niveluri superioare și
sunt implementate în aplica țiile software.
În Figura 1 este prezentat Modelul de referin ța OSI , tipurile de unit ăți schimbate între
niveluri și modul în care nivelurile comunic ă între ele.
9
Figura 1 Modelul OSI [1]
1.2 Modelul de referin ță TCP/IP
Fluxul de date si rutarea datelor pe internet sunt controlate de un set de protocoale
numite TCP/IP (Transmission Control Protocol/Internet Protocol). Modelul TCP/IP a luat
naștere din dorin ța Departamentului de Apărare al SUA de a crea un sistem în care c ât timp
mașina surs ă și mașina destina ție func ționeaz ă, conexiunea să se păstreze chiar dac ă pe traseu
apar pierderi de echipamente sau întreruperi de linii de transmisie [ 1]. Comparativ cu Modelul
OSI, Modelul TCP/IP utilizez ă numai patru nive luri față de cele șapte definite anterior,
respectiv Aplica ție, Transport , Internet și Interfa ța de Rețea.
Func țiile celor patru niveluri sunt urmatoarele:
Nivelu l Interfa ța de Rețea – cuprinde driver -ul și interfa ța plăcii de re țea și face
posibil ă transmiterea bi ți-lor primi ți de la nivelul superior (Internet) pe mediul de
transmisie (legatur ă fizic ă). Un exemplu de protocol care func ționează la acest nivel
este PPP (Point -to-Point Protocol).[ 7]
10
Nivelul Internet – define ște un format de pachet și un protocol numit IP (Internet
Protocol), ruteaz ă pachetele de la surs ă către destina ție prin Internet folosind
protocoale adi ționale precum ICMP (Internet Control Messag e Protocol) și IGMP
(Internet Group Management Protocol), determin ă drumul optim între re țele.
Nivelul Transport – este un protocol capăt la capăt, care face posibil ă comunicarea
între capete (entitate surs ă – entitate destina ție). În viziunea sa gazda sur să este direct
conectat ă din punct de vedere logic cu gazda destina ție, comunic ă direct cu destina ția
fără a fi interesat ă de drumul parcurs de date, rutarea fiind facut ă la nivelul Internet . Se
ocup ă cu probleme legate de siguran ță, control al fluxului și corec ție de erori prin
intermediul a dou ă protocoale principale TCP (Transmission Control Protocol) și
UDP (User Datagram Protocol).
Nivelul Aplica ție – se refer ă la protocoalele folosite de aplica ții precum FTP (File
Transfer Protocol) sau , pentru poșta electronic ă, SMTP (Secure Mail Transfer
Protocol). Se comport ă la fel ca Nivelul Transport, comunic ă direct cu destina ția.
Modul în care comunic ă nivelurile între dou ă gazde este ilustrat in figura 2 .
Figura 2 . Comunicarea între nivelurile TCP/IP [7]
1.2.1 Încapsulare și decapsulare
Noțiunea de încapsulare este foarte important ă pentru tunelare și configurarea unei
rețele virtuale private. Încapsularea are loc la trecerea datelor prin nivelurile TCP/IP. Astfel
fiecare nivel adaug ă pachetului c âte un antet , în cazul primelor trei niveluri sau un antet și un
trailer în cazul nivelului Interfa ța de Re țea. Procesul este reversibil și se nume ște
decapsulare . Când ajunge la destina ție pache tul este decapsulat pe m ăsură ce parcurge
11
nivelurile TCP/IP astfel încât fiec are nivel vede exact pachetul în forma în care s -a aflat la
trecerea sa prin nivelurile din host -ul surs ă. Modul de func ționare al încapsul ării poate fi
observat in figura 3.
Figura 3. Încapsularea datagramelor la trecerea prin stiva TCP/IP [7]
1.2.2 Internet Protocol
IP (Internet Protocol) este un protocol ce permite aplica țiilor s ă transmit ă și să
recep ționeze datagrame într-un mod nesigur, f ără a men ține o conexiune permanent ă pe toat ă
durat a transmiterii datelor . Transmiterea fiecarei datagrame este tratat ă ca un eveniment
separat, f ără a fi men ținută o stare de conexiune între terminale. Protocolul nu se intereseaz ă
dacă datagramele ajung în ordine la destina ție sau dac ă nu ajung deloc, nu verific ă conținutul
mesajelor ci se comport ă ca un simplu serviciu de livrare, simplitatea fiind avantajul principal
al protocolului.
IP func ționeaz ă ca un simplu mecanism de livrare pentru protocoalele de pe niveluri le
superioare precum TCP sau UDP , care la r ândul lor asigur ă transmiterea și integritatea
datelor.
IP lu creaz ă la Nivelul Internet din TCP/IP și prin încapsulare adaug ă la pachetul ini țial
un antet care con ține informa ții despre cum se face rutarea, adresa surs ă și adresa destina ție,
numarul maxim de noduri prin care pachetul poate trece p ână la destina ție (TTL – time to
live), plus alte informa ții precum tipul de protocol transportat .
12
In figura 4 se pot observa în mod detaliat informa țiile con ținute de un antet IP și
structura acestuia .
Figura 4 Structura unui antet IP [7]
1.2.3 UDP
User Datagram Protocol (UD P) este un protocol care func ționeaz ă la Nivelul
Transport, este bazat pe IP, și aduce în plus func ționalit ăți precum direc ționarea datagramelor
pe anumite porturi și o sum ă de control op țional ă care verific ă integritatea header -ului UDP.
Suma de control este op țional ă deoarece poate fi dezactivat ă de c ătre o gazd ă prin
completarea c âmpului cu cifra 0.
Prin porturi , UDP permite o direc ționare mai precis ă a datelor c ătre aplica ția dorit ă.
Când aplica ția răspunde, se folose ște de adresa sursei din antetul IP pentru a identifica gazda
și de portul sursei din antetul UDP pentru a identifica aplica ția, UDP realizeaz ă astfel
demultiplexarea datagramelor c ătre aplica ția dorit ă. Structura pachetului dup ă încapsulare
precum și structura header -ului UDP pot fi observ ate în figura 5.
Figura 5. Structura antetului UDP
13
1.2.4 TCP
Transmission Control Protocol (TCP) spre deosebire de UDP, încearc ă să asigure o
livrare sigur ă și de încredere a pachetelor, bazat ă pe men ținerea unei st ări de conexiune pe
toată durata transferului pachetelor, asigur ându-se astfel c ă pachetele ajung la destina ție în
ordinea în care au fost trimise și fără a fi corupte. Pentru a se asigura c ă pachetele ajung la
destina ție TCP îi cere acesteia ca dup ă ce un pachet ajunge la destina ție aceasta s ă confi rme
recep ționarea. Dac ă gazada destina ție nu confirm ă primirea, TCP retransmite pachetul. Pentru
implementarea strategiei de retransmitere, TCP deschide o conexiune logic ă între gazde ,
transmite toate datele în cascad ă și dup ă aceea închide conexiunea. Ace astă conexiune este
necesar ă pentru a p ăstra leg ătura între blocurile de date, numite segmente, aceasta fiind
principala deosebire fa ță de UDP, care trateaz ă pachetele separat. Pe lângă gestionarea
traficului de date , TCP controleaz ă și dimensiunea segment ului de date, gestioneaz ă rata la
care se face schimbul de date și ajut ă la evitarea congestion ării traficului pe rețea. Modul de
funcționare orientat mai mult spre calitate dec ât spre vitez ă il face însă nepotrivit pentru
aplica ții în timp real precum joc uri on -line sau videoconferin țe, protocolul UDP fiind de
preferat pentru acestea.
1.2.5 ICMP
Internet Control Message Protocol (ICMP) este un protocol folosit în interiorul
protocolului IP pentru transportul mesajelor de eroare și control. Un exemplu de folosi re a
protocolului este cazul în care , la trecerea printr -un r uter, câmpul TTL din antetul
protocolului IP ajunge la 0. Pachetul a trecut prin num ărul maxim de noduri admis dar nu a
ajuns la destina ție. În acest caz este transmis un mesaj de eroare ICMP în care este informat ă
sursa c ă pachetul nu a ajuns la destina ție. ICMP , la fel ca și celelalte protocoale , conține un
câmp propriu de control al sumei. Tipul de mesaj ICMP este identificat prin c âmpurile Tip și
Cod. Spre exemplu un mesaj de tip 3 și cod 1 î nseamn ă că gazda nu poate fi g ăsită. În figura 6
se poate observa structura unui antet ICMP.
Figura 6. Antet ICMP
14
1.3 Clase de IP-uri
Adresele IP sunt folosite de Nivelul Internet pentru a ruta pachetele de la surs ă la
destina ție. Fiecare calculator conecta t într-o rețea are asignat un num ăr unic, numit adres ă IP,
care con ține informa ții privind identitatea sa (ID Host) și rețeaua din care provine (ID Re țea).
Adresa IP nu trebuie confundat ă cu adresa fizic ă numit ă MAC (Media Access Control), care
este folosi tă de Nivelul Interfa ță pentru a comunica cu urmatorul nod din re țea. O adres ă IP
versiunea 4 are lungimea de 32 de bi ți și este scris ă de obicei ca patru numere zecimale
conectate prin c âte un punct. Domeniul de adresare este cuprins între 0.0.0.0 și
255.255.255.255. Adresele au fost împărtite în cinci clase A, B, C, D, E cu scopul de a face
alocarea mai flexibil ă. Clasa D este folosit ă pentru multicast și are ca scop trimiterea
datagramelor (pachetelor) c ătre un grup de host -uri în loc de unul singur, în timp ce clasa E
este experimental ă. Structura domeniului de adresare se poate vedea în figura 7.
Figura 7. Clase de IP -uri
1.4 Tipuri și topologii de rețele
Din punct de vedere al m ărimii re țelele se pot clasifica în trei categorii :
– LAN (Local Area Ne twork)
– MAN (Metropolitan Area Ne twork)
– WAN (Wide Area Network)
Rețelele LAN sunt re țele locale private formate de obicei din dispozitive aflate în
aceea și clădire sau într-o zon ă restrans ă geografic precum un campus de ca țiva kilometri. Ele
sunt folosit e pentru conectarea calculatoarelor personale sau apar ținând unei companii cu
15
scopul de a face schimb de informa ții sau de a cre ște eficien ța utiliz ării echipamentelor prin
partajarea resurselor. Avantajele re țelelor locale sunt viteza mare de transmisie în rețea,
întrazierile mici și administrarea relativ u șoară.
Rețelele MAN sunt re țele metropolitane optimizate pentru o întindere geografic ă mai
mare dec ât cele LAN și se pot întinde pe ora șe întregi, folosind î n general pentru transmiterea
datelor tehnolo gii fără fir sau fibr ă optic ă.
Rețelele WAN sunt re țele care se î ntind pe zone geografice mari și foarte mari, o țară
sau un întreg continent. Re țelele WAN sunt formate din mai multe re țele metropolitane MAN
aflate în regiuni geografice diferite și au ca m edii de transmisie leg ături radio, terestre sau prin
satelit.
Din pun ct de vedere al modului de conectare al calculatoarelor în rețea putem delimita
trei tipuri principale de topologii pe baza c ărora se pot forma combina ții care satisfac cerin țele
rețelelo r mai mari de calculatoare: Magistral ă, Inel, Stea.
În topologia Magistral ă (Bus) toate calculatoarele rețelei sunt conectate la un mediu de
transmisie principal care are la capete terminatoare de semnal pentru a evita fenomenul de
reflexie al semnalelor s au propagare în direc ție opus ă. Avantajele principale ale unei re țele de
tip magistral ă constau în costurile reduse de implementare deoarece utilizeaz ă mai pu țin
cablu, sunt usor de implementat, extins și configurat. Aceast ă topologie era avantajoas ă mai
ales pentru reț elele care foloseau cabluri coaxiale masive. Odat ă cu apari ția cablurilor bifilare
torsadate neecranate, mai ieftine, mai compacte și mai rapide, topologia Magistral ă și-a
pierdut din popularitate. [ 20]
Topologia Inel (Ring) conecteaz ă calcul atoarele ca într-o bucl ă. Fiecare calculator este
conectat la urm ătorul, nu exist ă capete libere. În fond este o tehnologie de tip magistral ă, dar
care are capetele interconectate. Semnalul parcurge bucla într-o singur ă direc ție, trec ând prin
fiecare calcu lator, care actioneaz ă la rândul s ău ca un repetor. Principalul dezavantaj al acestei
topologii este faptul c ă dacă un calculator se defecteaz ă întrerupe lan țul de transmisie și
afecteaz ă întreaga re țea.
Topologia Stea este cel mai popular tip de topologie utilizat în prezent. A re un punct
de co nectare central, de obicei un r uter sau un switch la care se conecteaz ă direct celelalte
calculatoare din re țea. Fiecare calculator este conectat la punctul central cu propriul cablu,
astfel dac ă un cablu este scos d in func țiune restul re țelei nu este afectat ă și celelalte
calculatoare pot continua s ă funcționeze normal, acesta fiind principalul avantaj al topologiei
16
Stea. Schemele de cablare de tip Magistral ă folosesc mai pu țin cablu dec ât topologia Stea, dar
sunt ma i greu de diagnosticat și de întreținut.
Rețelele pot avea at ât o topologie fizic ă cât și una logic ă. Topologia fizic ă se refer ă la
schema fizic ă a dispozitivelor și a mediului. În figura 8 sunt prezentate câteva exemple de
topologii fizice de rețea și derivate ale acestora :
Figura 8. Topologii de re țea [12]
Topologia logic ă se refer ă la căile logice prin care c ălătoresc semnalele dintr -un punct
al rețelei în altul, reprezint ă calea prin care datele acceseaz ă mediul și transmit pachete prin
intermediul ac estuia. [17]
17
CAPITOLUL 2
2. SECURITATE INFORMATIC Ă ȘI CRIPTAREA DATELOR
2.1 Cerin țe fundamentale privind securitatea informatic ă
Dezvoltarea Internetului și creșterea vitezei de propagare a informa ției în mediul
virtual au dus la realizarea a tot mai mu lte afaceri on -line. Acum majoritatea tranzac țiilor se
desfășoară prin Internet, facilit ând accesul afacerilor la o pia ță de desfacere c ât mai larg ă.
Asigurarea securita ții tranzac țiilor prin Internet reprezint ă însă preocuparea principal ă a
părților impli cate.
Pentru a asigura protec ția tranzac țiior desf ășurate prin Internet trebuie avute în vedere
următoarele cerin țe fundamentale de securitate:
Disponibilitatea – asigur ă accesul la date și men ține serviciile opera ționale în caz de
evenimente distructive e vitându-se astfel c ăderi ale re țelelor critice precum re țeaua de
electricitate.
Autentificarea – reprezint ă confirmarea identit ății atribuite unui utilizator sau unei
entități. Autentificarea este necesar ă pentru accesul la multe resurse și servicii oferit e prin
Internet precum serviciile și aplica țiile bancare sau tranzac țiile on -line. Nu toate serviciile au
nevoie s ă cunoasc ă identitatea utilizatorului, de aceea autentificarea trebuie s ă includ ă
posibilitatea confirm ării sigure a identit ății pe baza anumi tor criterii numite credite de
anonimitate. Rezolvarea autentific ării se face prin semn ătură electronic ă.
Integritatea datelor – reprezint ă garan ția că mesajul primit de receptor este identic cu
cel emis de emi țător și că datele nu au fost alterate pe parc urs. Integritatea func ționeaz ă în
tandem cu autentificarea prin intermediul sistemelor de hash (rezumare) și semnatur ă
electronic ă.
Confiden țialitatea – const ă în protec ția datelor transmise pe re țea împotr iva
intercept ării și acces ării de c ătre persoane n eautorizate . O solu ție de impiedicare a acestor
atacuri este criptarea datelor.
Ne-repudierea – împiedic ă nerecunoasterea tranzac ției de c ătre expeditor. Astfel
expeditorul unei tranzac ții electronice nu mai poate s ă nege expedierea ei. Un alt avantaj este
posibilitatea retransmisiei mesajului la a lți destinatari care s ă poată verifica identitatea
18
emițatorului ini țial nu doar a emițatorului intermediar sau dac ă tranzac ția a fost alterat ă la
retransmisie.
“Securitatea informatic ă poate fi înțeleas ă deci ca a bilitatea re țelei și a sistemului
informatic de a rezista, p ână la un anumit nivel, accidentelor sau ac țiunilor mali țioase care
compromit disponibilitatea, autentificarea, integritatea și confiden țialitatea datelor memorate
sau transmise și a serviciilor o ferite prin sau de c ătre aceste re țele sau sisteme.” [3 ]
2.2 Sisteme criptografice cu chei private (simetrice)
Sistemele criptografice se folosesc la asigurarea confidenț ialitătii mesajelor transmise
între entita ți.
Defini ție: Fie M spa țiul mesajelor, C spa țiul criptogramelor și K spa țiul cheilor.
Sistemul criptografic const ă într-o serie de transform ări de criptare [3]:
{ Eₑ : M → C, e ∈ K } și transform ările de criptare corespunzatoare
{ D d : C → M, d ∈ K } cu proprietatea c ă pentru orice cheie de criptare e ∈ K exist ă o
cheie unic ă de decriptare d ∈ K astfel încât Dd = .
Sistemele criptografice cu chei private sau simetrice folosesc aceea și cheie at ât pentru
criptarea datelor c ât și pentru decriptarea lor. Pentru asigurarea confiden țialității mesaj elor
print r-un canal nesigur trebuie mai î ntâi stabilit ă o cheie privat ă k ∈ K folosind un canal sigur .
Figura 9 ilustreaz ă transmiterea unui mesaj criptat printr -un canal nesigur cu ajutorul cheilor
private.
Figura 9 Sistem criptografic cu chei private [3]
Comunicarea între dou ă entități folosind chei private se realizeaz ă în cinci etape .
Prima etap ă const ă în alegerea de comun acord a unui sistem criptografic. A doua etap ă
19
const ă în alegerea unei chei, corespunz ătoare sistemului criptografic ales, pe c are cele dou ă
entități o vor folosi s ă codeze și să decodeze mesajul. În etapa a treia emi țătorul codeaz ă
mesajul cu algoritmul de criptare corespunz ător cheii. În a patra etap ă mesajul cifrat este
trimis c ătre destinatar iar în ultima etap ă destinatarul d ecodeaz ă mesajul folosind acela și
algoritm folosit la codare.
Pentru a avea un sistem criptografic cu chei private eficient acesta trebuie s ă se asigure
că porțiunile de text similare din mesajul ini țial dup ă ce sunt criptate nu produc rezultate
identice în textul criptat. Aceast ă proprietate poart ă numele de entropie și spore ște rezisten ța
algoritmului la atacurile criptanalitice. O alt ă măsură de siguran ță este alegerea unor chei cu
lungime c ât mai mare pentru a face fa ță atacurilor de determinare a cheii de criptare prin for ță
brută. Spre exemplu în cazul unui algoritm pe 40 de bi ți, este necesar un num ăr de
aproximativ 240 încerc ări pentru a afla cheia. Fiecare bit ad ăugat duce la dublarea spațiului de
chei posibile [3].
După modul în care proceseaz ă datele, sistemele criptografice cu chei private pot
folosi cifruri bloc sau cifruri șir. Cifrurile bloc opereaz ă pe blocuri de date și se folosesc în
general pentru criptarea de documente sau baze de date în timp ce cifrurile șir proceseaz ă serii
de bi ți și cripteaz ă de obicei canale de comunica ție.
2.2.1 Algoritmul AES
Algoritmul AES (Advanced Encryption standard) este noul Standard Federal pentru
Procesarea Informa ției și înlocuitorul cifrului DES ( Data Encryption Standard). Acesta este
disponibil f ără drepturi de autor și este utilizat de c ătre organiza țiile guvernamentale din SUA
pentru protejarea informa țiilor importante neclasificate. AES lucreaz ă cu cifruri bloc și chei
de 128, 192 si 256 de biț i. AES are ca unitate de procesare octetul (byte) spre deosebire de
DES care lucreaz ă cu bi ți. AES proceseaz ă datele ca matrici de octe ți obținute prin împărțirea
secven țelor de bi ți în grupuri de c âte 8.
Toate valorile algoritmului sunt reprezentate printr -o nota ție de tip vectorial (b 7, b6, b5,
b4, b3, b2, b1, b0) în care valorile bi ților 0 și 1 sunt interpretate ca elemente în câmpul finit
Galois, GF(28), unde bi ții corespund polinomului:
b7x7 + b 6×6 + b 5×5 + b 4×4 + b 3×3 + b 2×2 + b 1x + b 0 = ∑
Exemplu: (11000101) → x 7 + x 6 + x 2 + 1
20
Opera țiile interne ale algoritmului se execut ă prin intermediul unei matrici
bidimensionale numit ă matrice de stare. Matricea de stare este notat ă cu simbolul S și are un
număr de r ânduri r (0 ≤ r < 4) și un numă r de coloane c, unde 0 ≤ c < Nb, unde Nb este
lungimea blocului împar țită la 32. Datele din matricea de intrare (in 0, in 1, …. , in15) sunt
copiate în matricea de stare dupa modelul urm ător [6]:
S[r,c] = in(r + 4c) pentru 0 ≤ r < 4 si 0 ≤ c < Nb
După cifrare sau descifrare datele din matricea de stare sunt co piate în matricea de
ieșire (output) conform formulei:
out (r + 4c) = S [r,c] pentru 0 ≤ r < 4 si 0 ≤ c < Nb
În figura 10 sunt reprezentate matricile , folosite de algoritm , în ordinea de încărcare a
datelor în ele .
Figura 10 Matricile de intrare, stare și ieșire [6]
Algoritmul AES folose ște at ât pentru criptare c ât și pentru decriptare o func ție
circular ă, compus ă din patru transform ări asupra unui octet, care proceseaz ă starea și este
descris ă în pseudocod în felul urm ător [3]:
Cipher (byte in[4 * Nb], by te out[4 * Nb], word w[Nb * (Nr + 1)])
begin
byte state [4, Nb]
state = in
AddRound Key(state, w)
for round = 1 step 1 to nr -1
SubBytes (state)
ShiftRows (state)
MixColumns (state)
AddRoundKey (state, w + round * Nb)
end for
SubBytes (state)
ShiftRows (sta te)
AddRoundKey (state, w + Nr * Nb)
21
out = state
end
Prima transformare SubBytes(state) înlocuie ște fiecare octet cu inversul lui mai pu țin
elementul [0,0] care este mapat cu el însuși. ShiftRows(state) rote ște ciclic octe ții din ultimele
trei r ânduri cu diferite date de ieșire (offset) . MixColumns(state) multiplic ă fiecare coloan ă a
matricei de star e cu polinomul a(x) = {03}x3 + {01}x2 + {01}x + {02} mod(x4 + 1).
Ultima transformare, AddRoundKey(state, RoundKey), adaug ă o cheie de ciclare
printr -o opera ție de XOR la matricea de stare prin preluarea unei chei de criptare K și
executarea unei rutine n umite KeyExpansion().
2.3 Sisteme criptografice cu chei publice (asimetrice)
Conceptul de criptografie cu chei publice a fost propus în anul 1976 de Whitefield
Diffie și Martin Hellman și se deosebe ște de criptarea cu chei private prin faptul c ă în loc s ă
foloseasc ă o singur ă cheie secret ă, criptografia asimetric ă folose ște dou ă chei diferite pentru
criptare și decriptare, aflate într-o rela ție matematic ă. Cheia de criptare este facut ă public ă în
timp ce cheia de decriptare r ămâne secret ă, fiind cunoscut ă doar de o singur ă entitate.
Condi ția de baz ă a sistemelor criptografice cu chei publice este ca , cheia de decriptare s ă nu
poată fi ob ținută din cheia de criptare. Din moment ce cheia care trebuie transmis ă este
public ă, distribu ția ei poate fi realizat ă mult ma i simplu fa ță de distribu ția unei chei private. În
figura 1 1 este schi țată schema de func ționare a unui sistem criptografic cu chei publice.
Figura 1 1 Sistem criptografic cu chei publice [3]
În cazul re țelelor VPN cele mai folosite criptosisteme sunt criptosistemul Diffie –
Hellman și criptosistemul RSA (Rivest Shamir Adlemen ).
2.3.1 Algoritmul Diffie -Hellman
Algoritmul Diffie -Hellman face posibil ca dou ă entități să comunice î n mod sigur
folosind un mediu de transmisie nesigur f ără ca în prealabil s ă facă schimb de chei. Astfel
22
chiar dac ă un atacator intercepteaz ă toată sesiunea de comunicare acesta nu poate descoperi
cheia secret ă, deoarece ea nu a fost transmis ă. Proprietatea de baz ă a algoritmului este c ă
atunci c ând avem dou ă entități, fiecare cu c âte dou ă chei, una privat ă si una public ă,
combina ția dintre cheia public ă a primei entit ăți și cheia privat ă a celei de -a doua este egal ă
cu combina ția dintre cheia privat ă a primei entit ăți și cheia public ă a celei de -a doua.
Din punct de vedere matematic algorit mul se folose ște de faptul c ă este mai u șor să
calcul ăm numere exponen țiale într-un câmp finit GF( p), unde p este prim, dec ât să calcul ăm
logaritmi într-un câmp finit GF( p) cu un numă r de p elemente cuprinse între 1 si p-1.
Fie a o primitiv ă a numarulu i prim p. Puterile lui a genereaz ă numerele din c âmpul
finit. Pentru orice întreg Y și o primitiv ă a a num ărului prim p este g ăsit un exponent unic X
astfel încât:
Y = aX √ , unde 1 ≤ X ≤ p-1
X este scris ca un logaritm al lui Y în baza a pe câmpul finit GF(p) deci
X = log aY pe câmpul finit GF( p) , unde 1≤ Y ≤ p-1
Se observ ă că prin ridic ări la putere, deducerea lui Y din X este relativ u șoară în
compara ție cu deducerea lui X din Y.
Să presupunem c ă gazda i alege un num ăr aleator X i din c âmpul {1, 2, … ,p-1}.
Calculeaz ă Yi = aXi (mod p) și trimite gazdei j pe canalul nesigur valorile (p, a, Y i)
păstrând secret X i.
În acela și mod gazda j calculeaz ă Yj = aXj (mod p) și trimite gazdei i pe canalul
nesigur valorile (p, a, Y j) păstrând secret X j.
Gazda i calc uleaz ă cheia K ij ridicând Y j primit de la gazda j la puterea X i:
Kij = (mod p) = (aXj)Xi (mod p) = aXjXi (mod p)
Acela și procedeu este urmat de gazda j ridic ând Y i primit de la gazda i la puterea X j:
Kij = (mod p) = (aXi)Xj (mod p) = aXiXj (mod p)
Astfel cele dou ă gazde au ob ținut aceea și cheie de criptare Kij. Deși valorile ( p, a, Y i ,
Yj) au fost transmise pe un canal nesigur, atacatorul nu poate deduce cheia de criptare
23
deoarece X i și X j au fost p ăstrate secrete, deducerea lor f iind aproape imposibil ă deoarece
atacatorul ar trebui s ă calculeze un logaritm discret pentru a le deduce din Y i și Y j ceea ce
reprezint ă o problem ă foarte dificil ă din punct de vedere computa țional. Condi ția ca
algoritmul s ă nu poat ă fi calculat este ca a tunci c ând utiliz ăm un c âmp finit GF( p), unde p este
fie un num ăr prim sau o putere a lui 2 , factorul p-1 trebuie s ă aibă o valoare destul de mare. [6]
În figura 12 este prezentat ă în mod simplificat schema în urma c ăreia cele dou ă gazde
stabilesc cheia de criptare.
Figura 12 Algoritmul Diffie -Hellman [6]
Algoritmul Diffie -Hellman implic ă calcule precum adunare, înmulțire, ridicare la
putere pe un câmp finit. Pentru a elimina necesitatea folosirii unui num ăr p foarte mare se
poate defini o curb ă eliptica pe Z p sau GF(2n) și implementa algoritmul în puncte ale curbei.
Astfel dificultatea rezolv ării unui logaritm discret în puncte ale curbei eliptice cre ște si se pot
folosi valori mai mici ale lui p. Avantajul acestei tehnici este cre șterea vitezei și scăderea
volumului de date care necesit ă schimbate în timpul negocierii cheilor. De exemplu
algoritmul Diffie -Hellman definit pe Z p folosind un num ăr prim de 1,024 de biți este
aproximativ la fel de sigur ca atunci c ând folose ște o curb ă eliptic ă definit ă pe câmpul GF(2n)
cu un numar prim de 185 bi ți. [7]
24
2.3.2 Algoritmul RSA
În anul 1977 R. Rivest, A. Schamir si L.Adelman au inventat algoritmul RSA pentru
criptare și semn ături digitale, acesta devenind primul și cel mai utilizat sistem criptografic cu
chei publice. S istemul RSA se bazeaz ă pe dificultatea de a descompune în factori primi un
număr foarte mare. De exemplu dac ă alegem dou ă numere prime foarte mari este u șor să le
înmultim si să aflăm un num ăr n însă procesul este foarte greu de inversat, aflarea numerelor
prime pornind de la un număr n foarte mare fiind foarte greu de realizat. Cel mai mai mare
număr descompus în factori în cadrul unui experiment din anul 2009 a avut 232 de cifre dar
experimentul a durat câteva luni deoarece nu exist ă încă un algoritm dest ul de eficient pentru
descompunerea în factori primi a numerelor foarte mari, orice num ăr care are peste 110 cifre
fiind foarte greu de descompus în factori cu tehnoogia actual ă [13]. Astfel se consider ă că
pentru a avea un algoritm de criptare RSA sigur e ste necesar un num ăr n de peste 150 de cifre.
Din p ăcate RSA lucrează la o vitez ă foarte mic ă, de aproximativ 100 de ori mai mic ă decât
algoritmul DES.
RSA este un sistem criptografic reversibil, în care spa țiul mesajelor M impreun ă cu
spațiul criptogramel or C reprezint ă mulțimea Z n = {0,1,2,…,n -1}. n reprezint ă produsul a dou ă
numere prime distincte p și q alese aleator, de preferat mai mari de 1024 de biți. Fiind un
sistem reversibil, algoritmul RSA poate fi folosit at ât pentru criptarea mesajelor c ât și pentru
semnarea lor digital ă.
Algoritmul de generare al cheilor RSA este urm ătorul [3]:
1. Se aleg dou ă numere prime distincte p și q și calcul ăm n = pq.
2. Notăm ϕ = (p-1)(q-1) și alegem un num ăr aleator e, 1< e < ϕ astfel încâ t e și ϕ sunt
prime î ntre ele, cmmdc( e, ϕ) = 1.
3. Folosind algoritmul extins al lui Euclid se determin ă cheia de decriptare d, 1< d < ϕ
astfel încâ t d = e-1(mod ϕ(n)) sau ed = 1(mod ϕ (n))
4. Numerele e și n formeaz ă cheia public ă în timp ce num ărul d reprezint ă cheia
privat ă.
Valoarea întreagă n poart ă denumirea de modul , în timp ce e și d se numesc exponen ți
de criptare, respectiv, de decriptare.
Pentru a transmite un mesaj criptat c ătre gazda A, gazda B trebuie s ă obțină cheia
public ă autentic ă a lui A, respectiv m odulul n și cheia de crip tare e, să reprezinte mesajul sub
forma unei valori întregi m pe intervalul [0, n-1] și să îl cripteze folosind formula c = me modn
25
și să îl transmit ă gazdei A. Dup ă ce gazda A recep ționeaz ă mesajul criptat c trebuie s ă îl
descifreze și să obțină mesajul i nițial m. Decriptarea mesajului de c ătre gazda A se realizeaz ă
în felul urm ător [3]:
Se calculeaz ă m = cd mod n, unde d este cheia privată calculat ă anterior. Deoarece
ed = 1(mod ϕ (n)), atunci exist ă un num ăr întreg k astfel încât:
ed = 1+ k ϕ (1)
Deoarece p este num ăr prim atunci cmmdc (m, p) poate fi egal cu 1 sau p.
Dacă cmmdc (m, p) = 1 conform teoremei lui Fermat mp-1=1(mod p). Ridic ăm ambele
parți ale acestei ecua ții la puterea k(q-1) și apoi le multiplic ăm cu m și obținem:
m1+k (p-1)(q-1) =m(mod p) = m1+k ϕ (2)
Aceast ă egalitate este adevarat ă și pentru cmmdc (m,p) = p, caz în care ambele par ți
sunt congruente cu 0 modulo p, astfel din (1) si (2) rezult ă:
med = m (mod p)
Se demonstreaz ă folosind acelasi ra ționament c ă:
med = m (mod q)
Confor m teoremei chineze a resturior rezulta c ă:
med = m(mod pq) = m(mod n) deci cd = (me)d = med = m(mod n)
Prin urmare mesajul m poate fi refacut.
Fiind un sistem criptografic care lucrează la viteze foarte mici, RSA este folosit de
obicei în combinație cu un sistem criptografic cu chei private precum AES. Dacă gazda A
dorește să trimită un mesaj către gazda B, aceasta alege o cheie la întamplare folosită drept
cifru simetric pentru AES și o cripteaz ă folosind cheia publică a gazdei B (metoda RSA).
După aceea gazda A criptează mesajul propriu -zis cu AES folosind cheia aleasă și trimite
mesajul criptat cu AES împreun ă cu cheia criptată cu metoda RSA către gazda B.
Criptosistemul cu chei publice RSA poate fi folosit și pentru semnături digitale în felul
următor: Fiecare gazdă alege trei numere întregi e, d și n=pq (p, q numere prime). Pentru
perechea (e, d) trebuie satisfacută condiția ed = 1 (mod ϕ(n)). Dacă gazda A dorește să
transmită un mesaj semnat c (mesaj criptat) gazdei B, gazda A îl semnează folosind che ia
26
privată, calculând c =mdA(mod nA). Întâi se calculează φ(nA) = cmmmc(pA -1, qA -1) apoi
gazda A alege două chei, una publică și una privată respectiv eA și dA astfel încat
eAdA = 1 (mod φ(nA)), apoi le trimite gazdei B care face calculele și se decide asupra
autenticității mesajului.
În figura 13 este reprezent ă schema dup ă care funcționează un sistem criptografic cu
chei publice folosind algoritmul RSA :
Figura 13 Sistem criptografic cu chei publice – Algoritmul RSA [6]
2.4 Func ții HASH criptograf ice
O problem ă în implementarea re țelelor virtuale private o reprezint ă autentificarea și
integritatea mesajelor. Aceast ă problem ă este rezolvat ă de func țiile hash care ofer ă siguran ța
că mesajul este întradev ăr de la cine pretinde c ă este și nu a fost mod ificat pe traseu. Rolul
funcțiilor hash este de a crea o amprent ă (digest) a unui mesaj electronic. Funcț iile hash nu
asigur ă confiden țialitatea mesajelor decâ t dac ă sunt folosite împreun ă cu o cheie secret ă.
O funcț ie hash (h: M →M h) transform ă un mesaj d e lungime arbitrar ă într-o valoare de
lungime fix ă. Func țiile hash se clasific ă după sarcinile pe care trebuie s ă le îndeplineasc ă în
două categorii principale , func ții hash într-un singur sens și func ții hash rezistente la
coliziuni .
Func țiile hash într-un singur sens (One Way Hash Functions) trebuie s ă satisfac ă
urmatoarele condi ții [3]:
27
pentru orice valoare d ∈ Mh este imposibil din punct de vedere computa țional s ă se
determine un mesaj m ∈ M astfel încât d = h(m).
pentru un mesaj m 1 dat este imposibil d in punct de vedere computa țional s ă se
gaseasc ă un al doilea mesaj m 2 ≠ m 1 astfel încât h(m 1) = h(m 2).
Func țiile hash rezistente la coliziuni (Collision Resistant Hash Functions ) trebuie s ă
satisfac ă condi ția conform c ăreia este imposibil din punct de ved ere computa țional s ă se
găseasc ă două mesaje distincte m 1 și m 2 astfel încât h(m 1) = h(m 2). O func ție hash
rezistent ă la coliziuni este totodat ă și o func ție hash într-un singur sens.
Principalele func ții hash folosite în cadrul schemelor de semn ături digi tale sunt MD5
și SHA -1.
2.4.1 Algoritmul MD5
Algoritmul MD5 de calcul al rezumatului unui mesaj a fost dezvoltat de Ronald Rivest
la MIT în anul 1992. Algoritmul rezum ă un mesaj de lungime arbitrar ă într-o valoare de 128 –
biți a mesajului . Pentru a calcula rezuma tul unui mesaj sunt necesare 5 etape [3]:
1. Indiferent de lungimea mesajului, mesajul M este extins astfel încât lungimea sa în
biți să fie egal ă cu 448 modulo 512. Extensia se face prin ad ăugarea unui bit de 1
urmat de mai mul ți biți de 0.
2. La rezultatul pasu lui precedent se adaug ă o valoare de 64 bi ți ce reprezint ă
lungimea mesajului ini țial. În urma transform ărilor mesajul este împărțit în N
blocuri de 512 bi ți, echivalentul a 16 cuvinte de 32 de biți, notate cu M 1, M 2 … M n.
3. Rezumatul este calculat folosin d patru cuvinte notate A, B, C, D, a c âte 32 de biți
fiecare (128 bi ți buffer), care au valorile urm ătoare:
A = 0x01234567 ; B = 0x89ABCDEF ; C = 0xFEDCBA98 ; D = 0x76543210
4. Mesajul M este prelucrat în blocuri de c âte 16 cuvinte de 32 de bi ți, notate cu M j.
Blocurile sunt supuse la 4 runde de transform ări a c âte 16 pa și fiecare.
5. După ce toate prelucr ările au fost efectuate, registrul MD con ține rezumatul de 128
de biți al mesajului M.
Pentru a prelucra un bloc M j se începe cu o valoare ini țială constant ă MD 0 format ă prin
concatenarea constantelor A, B, C, D definite la pasul 3. Procesul de prelucrare al blocului cu
numărul j (M j) implic ă 4 runde corespunzatoare func țiilor FF, GG, HH, II:
MD j = MD j-1+II(Mj, HH(M j, GG(M j, FF(M j, MD j-1)))
28
Pentru fiecare rund ă se execut ă 16 pa și, la fiecare pas execut ându-se opera ția:
A = B + ((A + F(B, C, D) + M jm + ti)<<<k)
Mjm reprezint ă sub-blocul de 32 bi ți, cu num ărul m , al blocului M j al mesajului M, t i
este o constant ă dependent ă de pas iar <<<k semnific ă deplasarea circu lară la stânga cu k
poziții.
La trecerea prin cele 4 runde (FF, GG, HH, II) func ția neliniar ă F se modific ă astfel :
FF: F(B, C, D) = (B ˄ C) ˅ (B’ ˄ D)
GG: F(B, C, D) = (B ˄ D) ˅ (C ˄ D’)
HH: F(B, C, D) = B ⊕ C ⊕ D
II: F(B, C, D) = C ⊕ (B ˅ D’)
B’ și D’ re prezint ă complementul fa ță de 1 al lui B respectiv D, simbolul ˄ reprezint ă
funcția AND (ȘI), ˅ este func ția OR (SAU inclusiv) iar simbolul ⊕ reprezint ă funcția
XOR(SAU exclusiv).
În figura 14 sunt schematizate opera țiile de baz ă efectuate în cadrul u nei runde din
algoritmul MD5 :
Figura 14 Opera țiile unei runde MD5 [6]
2.4.2 Algoritmul SHA
În momentul de fata MD5 nu mai ofer ă un grad de securitate care s ă corespund ă
cerin țelor actuale de protejare a datelor, fiind preferate func ții hash care produc valori rezumat
mai mari și care sunt mai rezistente la tipurile de atac posibile. Un astfel de algoritm este
algoritmul SHA (Secure Hash A lgorithm ), dezvoltat de c ătre Institutul National de Standarde
și tehnologii al SUA (NIST) pentru a fi folosit împreun ă cu A lgoritmul DSA (Digital
29
Signature Algorithm) și publicat sub forma unui standard federal (FIPS PUB 180) în anul
1993. Algoritmul SHA a fost publicat în forma sa revizuit ă (SHA -1) în anul 1995 și se
bazeaz ă pe faptul c ă este imposibil s ă găsim un mesaj porni nd de la un rezumat de mesaj sau
să găsim două mesaje care produc acela și rezumat de mesaj, orice schimbare în mesaj
produc ând o schimbare în rezumat, rezumatul nemaifiind recunoscut de semn ătura digital ă.
Din punct de vedere al func ționării, SHA prime ște la intrare un mesaj de lungime
arbitrar ă mai mic ă decât 264 și produce la ie șire un rezumat de 160 de bi ți fața de un rezumat
de 128 bi ți cât produce Algoritmul MD5. Mesajul M este completat cu un bit de 1 urmat de
mai mul ți biți de 0 p ână se ajunge la 448 de bi ți. La cei 448 de bi ți se adaug ă încă 64 de bi ți în
care se memoreaz ă lungimea mesajului ini țial. Astfel Algoritmul SHA proceseaz ă blocuri de
512 bi ți. Rezumatul este format din 5 registri, A, B, C, D, E a c âte 32 de bi ți inițializa ți cu
următoarele valori constante:
A = 0x67452301 ; B = 0xEFCDAB89 ; C = 0x98BADCFE ; D = 0x10325476 ;
E = 0xC3D2E1F0.
Fiecare bloc M j al mesajului este prelucrat în 4 runde a c âte 20 de opera ții fiecare prin
intermediul func ției F, care opereaz ă pe trei cuvinte B, C, D, a 32 -biți fiecare și se modific ă la
fiecare rund ă după cum urmeaz ă [3]:
1. Ft(B, C, D) = (B ˄ C) ˅ (B’˄ D), 0 ≤ t ≤ 19
2. Ft(B, C, D) = B ⊕ C ⊕ D, 20 ≤ t ≤ 39
3. Ft(B, C, D) = (B ˄ C) ˅ (B ˄ D) ˅ (C ˄ D), 40 ≤ t ≤59
4. Ft(B, C, D) = B ⊕ C ⊕ D, 60 ≤ t ≤ 79
Fiecare bloc corespunzator M j (0 ≤ j ≤ 15), de 16 cuvinte a 32 de biți este transformat
apoi în 80 de sub -blocuri Wj(0 ≤ j ≤ 79), dup ă următoarea formul ă [3]:
Wt = M t , pentru t = [0, 15]
Wt = (W t-3 ⊕Wt-8 ⊕Wt-14 ⊕Wt-16)<<<1, pentru t=[16, 79]
După parcurgerea celor patru runde de prelucrare , valorile noi ale lui MD j se adun ă la
valorile anterioare, ob ținute prin prelucrarea blocului MD j-1 conform formulei:
MD j = MD j + MD j-1
Opera țiile care au loc asupra unui bloc de date pe parcursul unei runde a Algoritmului
SHA sunt schematizate în figura 15 .
30
Figura 15 Opera țiile unei runde SHA [6]
Algoritmul SHA este un algoritm superior în compara ție cu MD5 fiind mult mai
complex prin num ărul mai mare de pa și și prin dimensiunea m ărită a rezumatului. T ăria
criptografic ă a Algoritmului SHA precum și lipsa vreunui atac cunoscut asupra sa îl
recomand ă a fi folosit cu predilec ție în implement ările practice ale semn ăturilor digitale.
2.5 Semn ături digitale
Scopul semn ăturilor digitale este acela de a certifica autent icitatea unui mesaj transmis
între dou ă calculatoare și reprezint ă echivalentul semn ăturii tradi ționale scrise , din via ța de zi
cu zi. Semn ăturile digitale asigur ă o cale de a verifica identitatea exepeditorului și faptul c ă
mesajul nu a fost alterat pe tr aseu dup ă ce a fost transmis .
Primul scop al semn ăturilor digitale este autentificarea celui care semneaz ă mesajul.
Semn ăturile digitale atașează identitatea expeditorului la mesajele transmise pentru a
împiedica falsificarea de documente de c ătre persoane răuvoitoare. Identificarea se face prin
intermediul unui certificat, echivalentul unei ”c ărti de identitate” digital e. O alt ă proprietate a
semn ăturilor digitale este aceea de protejare a documentelor împotriva falsific ării datelor .
Semn ăturile digitale t rebuie s ă detecteze toate modific ările aduse documentului semnat.
Trebuie de asemenea asigurat ă o metod ă prin care se poate detecta falsificarea unei semn ături
electronice.
Pentru a crea o semn ătură digital ă eficient ă se poate folosi un algoritm asimetric cu
chei publice, definit anterior, care s ă asigure o serie de caracteristici necesare pentru crearea
unor semn ături digitale eficiente. Protocolul de semn ătură digital ă trebuie s ă asigure
autenticitatea semn ăturii prin faptul c ă aceasta se poate verifica n umai cu cheia public ă a
emițătorului. Semn ătura nu poate fi falsificat ă deoarece cheia privat ă cu care se face
31
semn ătura este cunoscută doar de emi țător. Semn ătura este nereutilizabil ă deoarece este
conținută în document care la r ândul s ău este criptat cu cheia privat ă a emi țătorului. Este
nealterabil ă deoarece modificarea documentului duce la imposibilitatea verific ării acestuia cu
cheia public ă a semnatarului.
Una din tre cele mai bune metode de a asigura propri etățile enumerate mai sus este
folosirea Algo ritmului RSA pentru semn ături digitale. RSA este prima și cea mai popular ă
schem ă de semnatur ă digital ă și este folosit ă cu succes și în zilele noastre. Ideea de baz ă este
urmatoarea: gazda A folose ște Algoritmul RSA pentru a cripta mesajul folosind cheia sa
privat ă. Astfel oricine de ține cheia sa public ă îl poate decripta. D ar cheia fiind public ă
confiden țialitatea dispare. Însă scopul nu este confiden țialitatea ci tocmai faptul c ă mesajul
poate fi decriptat cu cheia public ă a gazdei A ceea ce înseamn ă ca mesajul este î ntradevar
trimis de gazda A și nu a fost alterat pe traseu, orice modificare f ăcând imposibil ă decriptarea
cu cheia public ă, astfel prin criptare cu cheia privat ă gazda A semneaz ă de fapt documentul.
Pentru a semna un mesaj, gazda A trebuie m ai întâi să genereze o pereche de chei prin
intermediul algoritmului de generare al cheilor RSA descris in subcapitolul 2.3.2.
După generarea cheilor avem spa țiul de semnare Ms care împreun ă cu spa țiul
semn ăturilor S reprezint ă mulțimea Zn. Se alege o func ție de redundan ță R : M → MR care este
facut ă public ă. Pentru a semna un mesaj m ∈ M se calculeaz ă:
ᵯ = R(m), un întreg în intervalul [0, n-1].
s = ᵯd (mod n), s reprezint ă semn ătura gazdei A asupra mesajului m.
Pentru a verifica semn ătura gazdei A, gazda B reface mesajul din semn ătură precum
urmeaz ă [3]:
Obține cheia public ă autentic ă (n, e) a gazdei A .
Calculeaz ă ᵯ = se (mod n).
Dacă ᵯ ∈ MR înseamn ă că semn ătura este valid ă.
Se calculeaz ă m = R-1(ᵯ) și se ob ține astfel m din ᵯ.
Pentu a evita anumite tipu ri de atacuri se folosesc de obicei chei diferite pentru
criptare și pentru semnarea documentelor, se p ăstreaz ă modulul n = pq însă se schimb ă cheile
e și d. Tăria algoritmului RSA const ă în imposibilitatea factoriz ării numerelor întregi mai
mari de 512 biți într-un timp scurt , resursele actuale de calcul fiind insuficiente. Ținând cont
32
că Algoritmul RSA folose ște chei cu lungimi mai mari de 1024 -biți, acesta este eficient în
criptarea sigur ă a datelor.
2.6 Certificate digitale
Certificatele digitale asigur ă o metod ă de a lega identitatea unei entit ăți de un sistem
public de criptare sau de o cheie public ă care este identificat ă, verificat ă și validat ă de către o
autoritate de încredere numit ă Autoritate de Certificare (CA – Certification Authority). Datele
sunt marcate de emi țătorul certificatului cu o semn ătură electronic ă care nu poate fi creat ă
decât de emitentul certificatului și care este atasat ă la datele certificatului și permite
verificarea autenticit ății sale. Certificatul poate fi folosit pentru autent ificarea unui document
doar dac ă este asociat cu alte elemente care permit verificarea integrit ății și autenticit ății
datelor de identitate, deoarece acesta poate fi copiat si retransmis de oricine altcineva.
Infrastructurile de certificate sunt denumite și infrastructuri de chei publice fiind
referite prin intermediul prescurtarii PKI (Public Key Infrastructure). Un sistem PKI ideal ar
fi dac ă ar exista o singu ră autoritate central ă care s ă emită certificate la nivel global însă acest
lucru nu este posibil din punct de vedere administrativ . Acest lucru a dus la apari ția mai
multor standarde și structuri de certificate. Pentru folosirea împreun ă cu re țelele VPN cel mai
folosit tip de cer tificat este certificatul X.509 elaborat de ITU(International Telecomun ication
Union).
De cele mai multe ori o companie multinațională care are un sistem propriu de
certificate și deține sedii aflate la distanțe foarte mari, nu poate să semneze certificate pentru
toate companiile aflate în subordine. Pentru a rezolva aceas tă problemă sunt desemnate alte
subunități pe care le autorizează să semneze certificate. Aceasta ierarhie poate fi extinsă pe
mai multe niveluri în funcție de necesități. Compania mama semnează certificatele
subunităților ei care la rândul lor semnează ce rtificatele subunităților lor. Dacă de exemplu un
utilizator dorește să se conecteze de la distanță la un alt calculator, utilizatorul la care trebuie
să se conecteze nu trebuie să cunoască toate subunitățile care semneaz ă certificatele ci doar
compania ma mă care garantează pentru restul subunităților.
O problemă în gestionarea infrastructurilor de certificate o reprezintă revocarea
acestora. La emitere certificatele au o perioadă de validitate fixă, însă există anumite situații
în care certificatele trebui e revocate înainte de expirare. Aceste situații sunt situații precum
compromiterea cheii private sau plecarea unui angajat de la companie, caz în care certificatul
trebuie revocat.
33
Structura unui certificat X.509 este repre zentată în figura 16:
Figura 16 Structura unui certificat digital [3]
Câmpul Versiunea indic ă una din cele trei versiuni (1,2 sau 3) ale formatului de
certificat. Num ărul serial al certificatului reprezint ă un identificator numeric unic al
certificatul. Atunci c ând certificatul este rev ocat num ărul său este trecut în lista de certificate
revocate, motiv pentru care num ărul serial trebuie s ă fie unic. Algoritmul folosit pentru
semn ătura digital ă este indicat în certificat în baza unui OID (Object Identifier), care este o
reprezentare unic ă a unui obiect sub forma unei secven țe de numere întregi separate prin
punct. OID -urile sunt organizate ierarhic și trebuie înregistrate la autorit ățile competente.
Perioada de validitate indic ă intervalul de timp în care certificatul este valid. Numele
subiectului reprezint ă numele proprietarului certificatului. Cheia public ă a subiectului con ține
valoare a cheii publice și identificatorul algoritmului cu care aceasta poate fi folosit ă. Câmpul
Extensii a fost introdus în versiunea a 3 -a a certificatelor X. 509 și indic ă tipul extensiei, dac ă
o extensie este sau nu critic ă și valoarea extensiei.
34
CAPITOLUL 3
3. REȚELE VIRTUALE PRIVATE
3.1 Definirea rețelelor virtuale private
O rețea virtuală privată apar ține de obicei unei companii și este echivalentul unei re țele
fizice private clasice dar care se folose ște de infrastructura public ă a internetului pentru
transmiterea în mod securizat de date între re țele fizice aflate la distant ă. Tehnologiile VPN
oferă o solu ție ieftin ă companiilor de a asigura acces securizat la resurse și aplica ții apar ținând
companiei , pentru angaja ții care lucreaz ă în sucursale aflate la distan ță sau angaja ților care
lucreaz ă de acas ă. Deși este implementat ă pe o infrastructur ă public ă, o re țea virtual ă privat ă
folose ște acelea și poli tici d e securitate, management ș i performan ță aplicate într-o rețea fizic ă
privat ă. Prin criptarea datelor, VPN ofer ă utilizatorilor s ăi servicii de comunica ție sigure
folosind ca mediu de transmisie re țele nesigure, precum re țeaua public ă de Internet. O re țea
public ă poate fi definită ca o re țea cu o infrastructur ă folosit ă la comun de mai mul ți
utilizatori ai re țelei, însă acest lucru nu înseamn ă că rețeaua este disponibil ă gratuit tuturor
utilizatorilor .
Figura 17 prezint ă un exemplu de re țea virtual ă privat ă aparținand unei companii care
își desfa șoară activitatea comercial ă prin intermediul mai multor filiale aflate la distan ță și
care ofer ă utilizatorilor posibilitatea de a se conecta la distan ță în rețea pentru a utiliza
resursele private ale companiei.
Figura 17 Re țea Virtual ă Privat ă
35
3.2 Avantaje VPN
Pe lângă economiile ob ținute în mod direct prin folosirea unei infrastructuri deja
existente, implementarea unei re țele virtuale priv ate ofer ă companiilor și o serie de alte
avantaje importante precum [3]:
Flexibilitate . Sucursalele se pot conecta la re țeaua proprie a companiei prin simpla
conectare la internet.
Administrare facil ă. Problemele legate de administrarea liniilor de transmisie sunt
transferate in totalitate ISP -ului (Internet Service Provider), astf el administratorului îi
revine doar sarcina de a asigura accesul sucursalelor la internet.
Costuri reduse pentru implementarea noilor tehnologii. ISP -ului îi este transferat ă
responsabilitatea modernizării tehnologiilor î nvechite sau uzate moral, ISP -ul suportă
majoritatea costurilor schimb ării tehnologiilor. Deoarece accesul la distan ță se
realizeaz ă prin Internet , utilizatorilor le este permis s ă foloseasc ă tehnologii variate
precum ISDN sau modemuri.
Scalabilitate. Odat ă cu cresterea cererilor de acces l a distan ță nu este nevoie ca firmele
să investeasc ă sume mari de bani în echipamente de comunica ție noi ci este nevoie
doar de un nou cont de acces la un ISP.
Conectivitate globala. Odata cu fenomenul de globalizare extinderea companiilor
dincolo de grani țe a devenit necesar ă. Extinderea în țări cu infrastructuri ale
Internetului diferite este facilitat ă de faptul c ă Protocolul IP poate rula pe orice tip de
infrastructur ă de comunicatie.
Din punct de vedere al serviciilor posibile, prin implementarea unui s istem VPN se
obțin urmatoarele avantaje:
Securitatea transmisiei datelor ;
Accesarea resurselor de la distan ță în mod securizat;
Costuri predictibile, independente de trafic și care pot fi controlate;
Realizarea cu costuri relativ mici a convergen ței servic iilor de voce, video sau
transfer de date;
Suport fiabil pentru integrarea re țelelor de tip LAN;
Vitez ă de transfer constant ă, garantat ă tehnologic;
Soluții inteligente de management.
36
3.3 Tipuri de re țele VPN
In func ție de modul în care sunt implementate și scopul pe care îl deservesc re țelele
VPN pot fi imp ărțite în trei categorii principale:
1. Rețele VPN pentru accesul de la distan ță (remote access VPN) – permit utilizatorului
să se conecteze la resursele companiei de la distan ță, din afara re țelei LAN, folosi nd
ca mediu de transmisie Internetul sau un alt serviciu public de re țea. Acest tip de VPN
se mai nume ște și dial VPN sau RoadWarrior.
2. Rețele VPN loca ție-la-locație (site -to-site VPN) – permit extinderea în mod securizat a
rețelelor private ale companiilor folosind ca mediu de transmisie Internetul sau un alt
serviciu public de re țea astfel încât angaja ții care lucreaz ă în sedii aflate la distant ă să
poată accesa resursele companiei. Aceste tipuri de re țele VPN se mai numesc și
Intranet VPN sau LAN -to-LAN.
3. Retele VPN implementate pe extranet (extranet VPN) – permit conexiuni sigure cu
partenerii de afaceri, furnizorii și clien ții, în scopul comer țului electronic. Re țelele
VPN extranet sunt o extindere a re țelelor VPN intranet prin ad ăugare a unor sisteme
firewall de protejare a re țelei interne. [14]
În figura 18 este prezentat un scenariu ce implic ă folosirea celor trei tipuri de re țele
VPN într-o companie extins ă pe mai multe zone geografice :
Figura 18 Tipuri de re țele VPN [15]
Tehnologiile VPN pot fi fol osite și în interiorul propriului Intranet pentru a asigura
securitatea și a limita accesul angajaților la anumite informații confidențiale care nu fac
obiectul muncii lor sau pentru a transmite date confidențiale în mod securizat .
37
3.3.1 Acces VPN de la distant a
Rețelele VPN de tip acces de la distanță permit conectarea unor utilizatori mobili aflați
în diverse locații la resursele rețelei companiei. Aceste rețele mai poartă denumirea de rețele
virtuale private cu dial -up și folosesc un tip de conexiune utilizat or-către -LAN. Utilizatorii
folosesc o aplicație software client VPN specială, prin intermediul căreia se asigură o
conexiune securizată între ei și rețeaua locală a companiei. Acest tip de conexiune se numește
conexiune inițiată de client .
Când numărul uti lizatorilor care trebuie să se conecteze de la distanță la o rețea locală
crește este recomandată folosirea unui server de acces în rețea pentru a gestiona conexiunile și
drepturile utilizatorilor. Acest tip de conexiune este mai simplă deoarece nu mai est e nevoie
de instalarea unui client VPN pe calculatoarele utilizatorilor ci se configurează un singur
server VPN precum în figura 19.
Figura 19 Acces de la distan ță prin server VPN
3.3.2 Intranet VPN
Rețelele VPN construite pe Intranet conectează birourile din sucursale aflate în clădiri
diferite împreună cu sediul central al companiei într -o infrastructură comună utilizând
conexiuni dedicate și permanente ceea ce permite realizarea unor medii client -server
performante. Folosirea unor conexiuni dedicate asigură o transmisie de calitate și o lățime de
bandă mai largă. Rețeaua se bucură de aceleași avantaje ca și o rețea fizică privată oferind
securitate, calitate a serviciului (QoS) și fiabilitate .
Din punct de vedere al implementării , acest tip de rețea VPN cons tă într -un tunel
criptat care are la capetele conexiunii două rutere, securizarea fiind realizată prin intermediul
protocolului IPsec care asigură autentificarea, c onfidențialitatea și integrita tea transmiterii
datelor între echipamente .
38
În figura 20 sun t prezentate elementele fizice care alc ătuiesc acest tip de re țea VPN și
protocoale le folosite la configurarea ei :
Figura 20 Intranet VPN [16]
3.3.3 Extranet VPN
O rețea VPN de tip Extranet extinde rețeaua VPN Intranet și oferă posibilitatea unor
clienți, fur nizori sau parteneri de afaceri care nu fac parte din structura companiei să se
conecteze printr -un tunel IPsec la o anumită parte a rețelei companiei pentru a realiza diverse
activități precum plasarea și managementul unor comenzi de produse. Pentru a rea liza aceste
conexiuni în mod securizat se folosesc certificate digitale furnizate de o autoritate competentă
și recunoscută de ambele părți. Funcționalitățile aduse în plus de o rețea VPN Extranet
precum și elementele fizice din care este compus ă pot fi ob servate în figura 21 :
Figura 21 Extranet VPN [16]
În cadrul unei rețele VPN implementată pe Extranet trebuie să existe o ierarhie a
securității foarte bine pusă la punct și accesarea datelor confidențiale să fie controlată și să se
facă în baza unui set strict de reguli astfel încât datele secrete să fie protejate și să ajungă doar
la cei cărora le sunt adresate diminuând astfel riscul de a expune resursele protejate la
eventuale atacuri. Administratorii rețelei trebuie să folosească o soluție VPN care să asigure
un număr cât mai mare de parametri posibili care să filtreze accesul la resurse și să identifice
39
utilizatorii în mod cât mai precis nu doar prin adresele IP ci și prin parole și alte metode de
autentificare precum token -uri sau smart carduri .
3.4 Tune lare
O rețea virtuală privată folosește Internetul pentru a conecta între ele mai multe rețele
LAN datele fiind transferate între rețelele locale în mod securizat prin tunelare. Protocoalele
de tunelare asigură integritatea mesajelor, autentifică expeditor ul și blochează accesul la date
de către persoane neautorizate .
Ca mod de funcționare, tunelarea este procesul de plasare a unui pachet de date într -un
alt pachet și trimiterea acestuia pe rețea. Datele care trebuie transferate sunt numite payload și
pot fi cadrele sau pachetele altui protocol decât IP. În acest caz în loc să trimită un cadru care
este produs în nodul de origine, protocolul de tunelare încapsulează cadrul într -un antet
suplimentar. Pachetele încapsulate sunt apoi rutate între terminațiile tunelului creat peste
rețeaua de internet. Calea logică prin care pachetele încapsulate traversează rețeaua de internet
se numește tunel. În momentul în care pachetul ajunge la destinație acesta este decapsulat și
transmis către destinația finală. De exemp lu să presupunem că avem două rețele Novell
Netware locale, aflate în locații diferite și dorim să le integrăm într -un VPN folosind
infrastructura Internet -ului. Rețelele Novell folosesc pachete IPX pentru încapsularea la nivel
rețea. IPX este echivalentul IP din modelul TCP/IP însă IPX și IP nu sunt compatibile deci
pachetele nu pot fi rutate pe internet în mod direct. Pentru a putea fi transmise prin Internet
pachete IPX sunt mai întâi încapsulate la trecerea prind poarta de acces către Internet
(Gateway) și sunt transformate în datagrame UDP prin adăugarea unui antet (format din antet
IP și UDP) după care sunt transmise pe Internet către poarta de acces din rețeaua a doua. Când
ajunge la poarta de acces către rețeaua a doua, pachetul este decapsulat, se el imină antetul și
se ajunge la pachetul IPX inițial care este transmis apoi către destinație pe rețeaua Novell.
Procesul de tunelare al pachetelor IPX folosind internetul ca mediu de transmisie poate fi
observat în figura 22 :
Figura 22 Tunelare pachete IPX prin Internet [7]
40
Pachetul IPX nu influențează în niciun fel rutarea și nu interacționează deloc cu
mediul prin care trece, intră printr -un capăt al tunelului și iese prin celălalt, Internetul fiind
interesat doar de header -ul UDP. Se observă că acest ti p de tunelare nu oferă niciun fel de
protecție, de aceea au fost definite protocoale speciale de tunelare care au scopul de a asigura
protecția datelor .
3.4.1 Protocolul PPTP
Protocolul PPTP (Point -to-Point Tunneling Protocol) se adresează companiilor care au
lucrători care fac munca de teren dar care au nevoie să se conecteze la baza de date de la birou
pentru diverse operațiuni. O soluție ar fi folosirea unui server RAS (remo te access server)
pentru gestionarea conexiunilor însă această soluție poate genera costuri ridicate deoarece
implică folosirea de modemuri și linii de telefon care generează costuri suplimentare. PPTP
vine în schimb cu o soluție care oferă functionalitati le unui server RAS dar fără a fi nevoie de
investițiile suplimentare .
Protocolul împarte funcțiile RAS în două, un concentrator de acces (PAC) la care
utilizatorii se conectează de la distanță și un server PPTP de rețea (PNS) care închide sesiunile
active, asigură accesul la rețeaua companiei și poate deservi ca server pentru mai multe PAC.
Practic perechea PAC -PNS asigură un tunel pentru transmiterea pachetelor între utilizatorul
conectat de la distanță și serverul PNS. Ca protocol de control al conexiunii este folosit TCP
în timp ce pentru încapsularea mesajelor se folosește protocolul PPP(Point -to-Point Protocol ).
PAC (PPTP access concentrator) și PNS (PPTP network server) comunică între ele
printr -un canal de control dedicat, prin care se realizează schi mbul mesajelor de control PPTP,
mesaje care se ocupă cu controlulul conexiunilor, managementul apelurilor, raportarea de
erori și controlul anumitor parametri PPP .
Protocolul PPTP folose ște o versiune extins ă a unui antet GRE (Generic Routing
Encapsulation ) pentru a încapsula pachetele PPP precum se poate observa în figura 23 :
Figura 23 Antet GRE extins [7]
41
Ca mod de funcționare un tunel GRE încapsuleaza pachetele în PPP și le transmite la
PAC unde sunt adăugate alte două headere GRE și IP. După adăugarea celor două headere
pachetele PPP sunt transmise prin Internet către serverul PNS unde sunt decapsulate și
transmise către destinația finală .
PPTP poate funcționa în două moduri, obligatoriu și voluntar. În modul obligatoriu
(Mandatory) PAC este furnizat d e ISP -ul prin care se conectează utilizatorul de la distanță și
se numește obligatoriu deoarece utilizatorul nu este conștient de proces în sine ci doar inițiază
o conexiune. În modul voluntar gazda care dorește să se conecteze de la distanță este direct
conectată la PAC și poate decide dacă să folosească sau nu tunelul. Un server PNS poate
gestiona ambele tipuri de conexiuni în același timp. În figura 24 este prezentat un scenariu în
care ambele moduri sunt folosite pentru a crea tunele către serverul PNS :
Figura 24 Moduri de func ționare PPTP [7]
În momentul în care un utilizator la distanță se conectează la PAC, acesta trimite către
serverul PNS o cerere (Incoming -Call-Request) în care specifică detalii despre sursa apelului.
Serverul PNS trimite înapoi un răspuns (Incoming -Call-Reply) prin care acceptă conexiunea
sau un cod de eroare, în caz că nu o acceptă, în care este specificat motivul pentru care apelul
nu este acceptat. În cazul acceptării conexiuni, PNS trimite înapoi date în care specifică
fereas tra de timp în care conexiunea este activă și întârzierea pe care se așteaptă să o provoace
prin procesarea pachetelor. Conexiunea poate fi terminată în orice moment fie la cererea PAC
fie la cererea PNS .
Dacă în timpul sesiunii PAC detectează erori pe con exiunea realizată pe Internet
(WAN), va trimite serverului PNS un mesaj de eroare (WAN -Error -Notify) în care specifică o
serie de parametri precum contorul CRC (Cyclic Redundancy Check), erori de supraîncărcare
a echipamentelor sau timeout .
42
3.4.2 Protocolul L2TP
Protocolul L2TP (Layer Two Tunneling Protocol) a luat naștere prin combinarea
ideilor din două protocoale diferite PPTP și L2F. PPTP deoarece folosește protocolul TCP
poate fi folosit exclusiv pe rețele IP. Pentru a trece peste aceste limitări Cisco a dez voltat
propriul protocol numit L2F, protocol similar PPTP însă cu propietatea că poate fi folosit pe
orice tip de protocol care lucrează pe nivelul legătură de date din modelul OSI. Astfel
protocolul rezultat din combinația celor două îmbină proprietățile protocolului PPTP cu
proprietatea protocolului L2F de a funcționa în afara rețelelor IP .
L2TP funcționează în mod similar cu protocolul PPTP, folosește un concentrator de
access LAC (L2TP access concentrator) care se ocupă cu stabilirea conexiunilor de la
utilizatori și un server LNS (L2TP network server) care asigură accesul la rețeaua companiei .
Ca și în cazul protocolului PPTP, L2TP poate opera în două moduri, obligatoriu și
voluntar. În modul obligatoriu concentratorul de acces LAC este separat și gazde le se
conectează de la distanță la el iar în modul voluntar, LAC se află direct pe calculatorul gazdei.
Spre deosebire de PPTP, cele două componente LAC și LNS nu mai transmit mesajele de
control printr -o conexiune separată ci direct prin tunelul creat pre cum se poate observa în
figura 25 :
Figura 25 Protocolul L2TP [7]
Spre deosebire de PPTP care încapsula pachetele folosind GRE, L2TP încapsulează
cadrele PPP folosind datagrame UDP cu mențiunea că adaugă în plus un antet L2TP care
conține informații folos ite la demultiplexarea cadrelor PPP. Folosirea protocolului UDP în
locul GRE oferă un avantaj suplimentar, posibilitatea ca L2TP să poate comunica cu
echipamente NAT deoarece spre deosebire de GRE, antetul UDP conține informații
43
obligatorii folosite pentru maparea datagramelor în funcție de porturi, componentă specifică
NAT.
In figura 26 este prezentat modul de încapsulare al unui pachet de date folosind L2TP
și UDP :
Figura 26 Structura pachet L2TP [17]
Deși pe tunelul creat L2TP transmite două tipuri de mesaje, de control și de date, doar
integritatea mesajelor de control este asigurată. Pentru integritatea mesajelor de date ale
utilizatorilor trebuie utilizate protocoale suplimentare în sesiunile tunelului L2TP .
Pentru integritatea mesajelor, L2TP se b azează pe protocolul de securitate IPsec folosit
în modul Transport pentru realizarea criptării, combinația celor două fiind cunoscută sub
numele de L2TP/IPsec. IPsec cripteaza datele folosind algoritmul DES (Data Encription
Standard) sau 3DES (Triple DES) , prin cheile de criptare generate în timpul procesului de
negociere al cheilor din cadrul IKE (Internet Key Exchange). Pentru a folosi cele două
protocoale este necesar ca atât serverul cât și clientul să fie compatibile cu ele. Modul în care
traficul L2T P este încapsulat folosind IPsec poate fi observat în figura 27:
Figura 27 Criptarea unui pachet L2TP folosind IPsec [17]
3.4.3 Protocolul MPLS
MPLS (Multi Protocol Label Switching) este un protocol de tunelare nou care poate
gestiona orice tip de pachete, con trolând at ât rutarea IP c ât și comutarea de la nivelul Legatur ă
de Date din modelul OSI.
44
Protocolul MPLS funcționează prin inserarea la trecerea printr -un ruter a unei
etichete(label) între headerele protocoalelor de la nivelurile Legătură de Date și Inter net, care
este folosită mai apoi pe traseu de către celelalte rutere pentru a ruta pachetul fără a mai fi
nevoie de consultarea altor headere. Eticheta generată este scurtă și de dimensiune fixă și se
comportă că o reprezentare simplificată a header -ului I P. Încapsularea realizată de MPLS și
locul unde este inserata eticheta pot fi observate în figura 28:
Figura 28 Încapsulare MPLS [7]
MPLS împarte datagramele IP în clase numite FEC (Forwarding Equivalence Class)
bazate pe diverse criterii simple precum r ețeaua de destinație sau complexe precum tipul de
protocol folosit, porturi TCP sau UDP sau alte politici de împărțire la alegere. După aceea
pentru fiecare clasă FEC se stabilește o rută predeterminată pe care vor fi rutat e pachetele în
funcție de clasă ș i ruta denumită LSP (Label Switched Path). Un ruter care folosește rutarea
bazată pe etichetă poartă denumirea de LSR (Label Switching Router ).
Pachetele MPLS pot sa aib ă mai multe etichete aranjate într-o stiv ă, fiind folosit ă doar
eticheta din capul stiv ei până când aceasta este eliminat ă de un ruter pe traseu și se trece la
folosirea urmatoarei etichete.
Când un pachet ajunge la un LSR, acesta citește eticheta și caută în baza de date
acțiunea corespunzătoare etichetei. Câmpurile din baza de date în baza cărora se iau deciziile
sunt prescurtate NHLFE (next hop label forwarding entry) și conțin acțiuni precum înlocuirea
etichetei din capul stivei cu o etichetă proprie sau cu următoarea etichetă din stivă .
Cât timp pachetele se află într -un tunel MPLS, ele sunt rutate pe rutele LSP doar pe
baza etichetelor, informațiile din datagramele IP fiind ignorate de rutere. Când pachetul
ajunge la ultimul ruter din ruta LSP acesta verifică stiva de etichete și dacă pachetul nu a
ajuns la destinație dar nu mai sunt eti chete în stivă, ruterul va ruta pachetul în mod clasic, pe
baza informației din header -ul IP .
Pentru ca MPLS să poată opera este necesar ca etichetele să fie distribuite în prealabil
ruterelor prin folosirea unui protocol numit LPD (Label Distribution Prot ocol). Distribuția se
face în două moduri, la cerere sau un mod nesolicitat în funcție de circumstanțe. În mod
nesolicitat ruterul trimte vecinilor informațiile privind legăturile din etichete și FEC la pornire
sau când apar modificări. Informațiile de pop ulare a bazei de date a routerului pot fi obținute
45
și la cerere atunci când un ruter are nevoie de informații suplimentare pentru rutarea
pachetelor și solicită unui ruter vecin informații privind legătura dintre o anumită etichetă și
clasa în care trebuie încadrată .
MPLS rezolvă o serie de probleme ale rutării clasice deoarece reduce complexitatea
operațiilor din rețea sporind scalabilitatea. Îmbunătățește tehnicile de rutare existente, lucru
absolut necesar odată cu creșterea vitezei de transmitere a date lor deoarece ruterele sunt
obligate să ia deciziile mult mai repede pentru a menține viteza pe rețea la nivel optim. De
asemenea prin împărțirea pe clase sporește interoperabilita tea între furnizorii de servicii
dându -le acestora posibilitatea să ruteze pac hetele în funcție de tipul de serviciu oferit, lucru
foarte greu de realizat în sistemul clasic, sporind astfel calitatea serviciului .
3.4.4 Protocolul SSL
Protocolul SSL (Secure Sockets Layer) a fost dezvoltat de Netscape și ut ilizează un
sistem de criptare cu două chei, una privată cunoscută doar de cel care recepționează mesajele
și una publică. Acest protocol este folosit printre altele pentru tranzacțiile HTML realizate în
mod securizat pe WEB dar poate fi folosit și pentru crearea de tuneluri la nivelul Tra nsport.
Suportul SSL este implementat în majoritatea browserelor și mare parte din servere suportă de
asemenea comunicare peste SSL .
Protocolul SSL este un protocol independent ce adaugă un nou nivel în stiva de
protocoale TCP/IP. Protocolul SSL este inser at între HTTP și TCP, având aceeași interfață ca
acestea. Din punctul de vedere al protocolului TCP, SSL este o aplicație care îi folosește
serviciile pentru transportul pachetelor de date. În principiu SSL ar putea funcționa și cu UDP
dar asta ar însemna ca traficul să nu fie protejat, de aceea TCP este protocolul de transport
preferat .
Protocolul SSL asigur ă îndeplinirea a trei cerin țe de securitate esen țiale:
Confidențialitate – obținută prin folosirea unui algoritm de criptare
Autentificare – realizată prin folosirea certificatelor digitale
Control al integrității – prin folosirea unor algoritmi pentru integritatea mesajelor
Fiind un protocol independent, SSL are avantajul că poate fi folosit împreună și cu alte
protocoale, nu doar cu HTTP, precum NNTP ( News Transfer Protocol) sau FTP (File
46
Transfer Protocol). Figura 29 prezintă nivelul la care se implementează protocolul SSL pentru
a crea o conexiune sigură.
Figura 29 Protocolul SSL [ 18]
Înaintea transmiterii datelor trebuie stabiliți o serie de parame tri criptografici. Acești
parametri se sta bilesc printr -o procedură care are rolul unui mesaj de negociere (SSL
Handshake ) prin care se negociază un canal sigur de comunicație. În primă fază clientul
comunică serverului ce suită de cifruri (cipher suites) are disponibilă. O suită de cifruri
reprezintă o combinație de parametri criptografici ce definesc algoritmul și cheile folosite
pentru autentificare și criptare. Următorul pas îl reprezintă autentificarea serverului, ceea ce îi
permite clientului să fie s igur că entitatea server este cine pretinde că este. Autentificarea
serverului se realizează prin transmiterea unui certificat către client, certificat ce conține cheia
sa publică. Clientul verifică certificatul și dacă identitatea se confirmă se trece la schimbul de
date între client și server.
Printre cei mai utiliza ți algoritmi de criptare folosiți de SSL se numără următorii:
– Pentru criptarea cu chei private: DES, Triple DES, AES, RC4 sau IDEA;
– Pentru criptarea cu chei publice avem: DSA, RSA sau Diffie -Hellman;
– Pentru functii de sumarizare: MD5 sau SHA.
La stabilirea conexiunii, clientul și serverul schimbă între ele o serie de 9 mesaje.
Clientul trimite primul un mesaj către server numit ClientHello în care specifică suita de
cifruri suportată și algorit mii de compresie pe care este dispus să îi folosească.
Serverul răspunde prin trei mesaje trimise ca un singur segment TCP. Primul mesaj,
numit ServerHello, informează clientul cu privire la cifrul și algoritmul de compresie ales. Al
doilea mesaj conține certificatul serverului. Certificatul are două funcții. Prima funcție constă
în confirmarea identității serverului. A doua funcție constă în faptul că prin certificat serverul
47
trimite clientului și cheia sa publică care poate fi folosită de către client s ă cripteze un mesaj
secret care va fi folosit la generarea cheilor de criptare . Al treilea me saj se numește
ServerHelloDone și marchează sfârșitul primei secvențe de mesaje. Acest mesaj este necesar
deoarece numărul de mesaje handshake diferă în funcție d e modul SSL folosit .
Următorul pas constă într -o serie de trei mesaje trimise de către client serverului. În
primul mesaj denumit ClientKeyExchange sunt specificate date care ajută la generarea
cheilor. Al doilea mesaj denumit ChangeCipherSpec informează s erverul că de acum înainte
va folosi cheile nou generate pentru criptare și autentificare. Prin ultimul mesaj, denumit
Finished, clientul anunță serverul că a terminat cu partea sa de procedură SSL Handshake.
Serverul răspunde prin propriile mesaje ChangeC ipherSpec și Finished .
Acum aplicațiile sunt pregătite să schimbe date. Transferul de date arată că orice alt
transfer TCP cu mențiunea că datele din segmentele TCP sunt criptate și autentificate. În
ultimă fază , pentru întreruperea conexiunii ambele părți trimit notificări de închidere a
conexiunii .
3.5 Arhitectura de securitate IP (IPsec)
Arhitectura de securitate IP (IPsec) furnizează servicii de securitate care suportă
combinații de autentificare, integritate, control al accesului și confidențialitate. Pro tocolul
IPsec operează la nivelul 3 al modelului de referință OSI, respectiv nivelul Rețea. Această
proprietate aduce un plus de flexibilitate și face posibilă utilizarea protocolului pentru
protejarea protocoalelor de nivel 4 precum TCP sau UDP. Standardu l pentru IPsec este
descris în RFC 2401 și prezintă mecanismele de securitate pentru IP versiunea 4 (IPv4) și
versiunea 6 (IPv6).
Există două tipuri de anteturi (headere) care pot fi atașate la un pachet IP pentru
realizarea securității :
Antetul de Autenti ficare – AH (Authentication Header) care furnizează
serviciile de integritate și autentificare.
Învelișul de securitate – ESP (Encapsulating Security Payload) care furnizează
confidențialitate și, în funcție de algoritmi și modurile folosite, poate furniza ,
de asemenea, integritate și autentificare. [3]
48
Cele două mecanisme de securitate pot fi folosite în mod independent unul de altul sau
combinate. Ele sunt definite în mod independent față de algoritmii criptografici, fiind posibilă
folosirea oricărui algo ritm compatibil fără a fi afectate alte părți din impl ementare .
Ambele mecanisme de securitate pot funcționa în mai multe moduri, cele mai indicate
fiind modul tunel și modul transport și pot furniza servicii de securitate între :
Două calculatoare gazdă car e comunică între ele;
Două gateway -uri de securitate comunicante;
Un calculator gazdă și un gateway.
Aceste mecanisme nu asigură un suport pentru metodele de gestiune a cheilor atunci
când sunt transportate în interiorul nivelului IP ci sunt proiectate ast fel încât să folosească
metode de gestiune a cheilor bazate pe transportul cheilor la niveluri superioare de protocol
sau pe distribuție manuală .
3.5.1 Mecanismul Antetului de Autentificare IP (AH)
Antetul de Autentificare (AH) a fost proiectat cu scopul de a fu rniza servicii de
integritate a datelor și autentificare a originii acestora, atât pentru datagramele IPv4 cât și
pentru cele IPv6. În funcție de modul în care este realizată gestiunea cheilor și algoritmii
criptografici utilizați acest mecanism poate furn iza și servicii de nerepudiere .
Antetul de Autentificare IP adaugă informații necesare autentificării la o datagramă IP.
De regulă se folosește un cod de autentificare a mesajului (Message Authentication Code –
MAC). Informația de autentificare este calcul ată folosind cheia de autentificare secretă și
câmpurile dintr -o datagramă IP care nu se schimba în timpul transmisiei precum antetul IP,
alte anteturi și datele .
În cazul în care se folosește un algoritm simetric pentru autentificarea în nodurile
intermed iare există riscul ca nodurile care fac autentificarea să falsifice sau să modifice
traficul deoarece cunosc cheia secretă. De aceea este recomandată folosirea tehnologiilor cu
chei asimetrice, autentificarea intermediară fiind realizată fără riscul de a p utea modifica sau
falsifica mesajele.
În cazul sistemelor IPv4 care suportă mecanismul Antetului de Autentificare precum și
în cazul nodurilor care utilizează IPv6 este obligatoriu să se implementeze tehnici de
autentificare a mesajelor precum MAC -MD5 sau HMAC -SHA1 .
49
Ultima versiune a standardului pentru AH vine în plus cu un câmp de 32 de biți care
conține un contor monoton crescător numit număr de secvență. Numărul de secvență este
folosit pentru a ne asigura că pachetele schimbate între entități sunt dife rite, evitându -se astfel
atacurile prin repetiție (replay attacks). Acest lucru este realizat prin faptul că o cheie de
autentificare nu trebuie să fie activă pentru o perioadă mai mare de timp decât cea în care
contorul (numărul de secvență) se resetează la o valoare veche, adică cel mult 232 pachete . [3]
Atât pentru implementarea mecanismului AH cât și pentru mecanismul ESP este
folosită o Asociere de Securitate (AS). AS conține adresa de destinație și indexul parametrilor
de securitate SPI (Security Para meters Index). Indexul SPI conține informații referitoare la
algoritmul criptografic folosit, modul de utilizare și cheile folosite de către algoritm. AS
folosește o funcție neinversabila (one -way). O comunicație autentificată între două
calculatoare va av ea doi SPI, câte un set pentru fiecare direcție .
Poziția antetului AH într -o datagramă IP depinde de modul folosit, transport sau tunel,
însă structura sa rămâne aceeași indiferent de modul în care este folosit. În figura 30 este
prezentată structura antet ului AH si tipul de informatii furnizate prin intermediul acestuia:
Figura 30 Antetul AH [3]
Antetul AH furnizeaza informatii prin intermediul urmatoarelor campuri:
Antet urm ător – este un câmp de 8 biți care identifică tipul de informație care
se găseșt e după antetul AH .
Lungime payload – este un câmp de 8 biți care specifică lungimea antetului
AH.
Octeți rezervați – câmp de 16 biți rezerva t pentru întrebuințări viitoare.
Momentan trebuie setat la valoarea 0.
50
Indexul parametrilor de securitate (SPI) – reprezintă o valoare de 32 de biți
care identifică Asocierea de Securitate pentru o datagramă în funcție de adresa
IP de destinație conținută în antetul IP.
Numărul de secvență – este un câmp de 32 de biți ce conține o valoare contor.
Înainte ca acest contor să revină la valoarea inițială, transmițătorul și receptorul
trebuie să reseteze numărul de secvență. Receptorul ignoră acest câmp dacă nu
este cerut serviciul anti -replică .[3]
Datele de autentificare – reprezintă un câmp de lungime variabilă ce conține o
valoare de verificare a integrității pachetului .
Mecanismul AH poate fi folosit în modul tunel sau modul transport. În modul
transport este folosit pentru a securiza o conexiune între două gazde. În mod transport antetul
AH este inserat în datagrama IP în tre antetul IP și antetul protocolului superior (TCP) precum
se poate observa în figura 31.
Figura 31 Încapsularea unui segment TCP în modul Transport al mecanismului AH [7]
În modul tunel mecanismul AH poate fi folosit pentru a conecta în mod securizat două
rețele printr -un set de porți de securitate (security gateways) sau o gazdă și o rețea , protejată
de o poartă de securitate . Deoarece porțile de securitate trebuie să protejeze datagramele
transmise între perechi arbitrare de gazde aparținând celor do uă rețele diferite, încapsularea se
face în mod diferit fața de modul transport. În loc s ă se insereze antetul AH între antetul IP și
antetul TCP este încapsulat ă întreaga datagram ă.
Modul în care este încapsulat ă o datagram ă folosind mecanismul AH în modu l tunel
poate fi observat în figura 32.
Figura 32 Încapsularea unei datagrame IP în modul Tunel al mecanismului AH [7]
51
Se poate observa că atât antetul IP folosit în modul transport cât și antetul IP exterior
folosit în modul tunel sunt autentificate doa r pe jumătate, autentificarea fiind realizată doar
pentru datele din an tetul IP care rămân nesch imbate la trecerea prin noduri.
3.5.2 Mecanismul înveli șului de securitate pentru IP (ESP)
Mecanismul învelișului de securitate pentru IP (Encapsulating Security Pay load – ESP)
asigura urmatoarele servicii pentru datagramele IP:
confiden țialitatea datelor ;
autentificarea originii datelor;
integritatea orientată pe conexiune;
serviciu anti -replică;
confidențialitate limitată a traficului.
Mecanismul ESP aduce în plus f ața de mecanismul AH confidențialitatea parțială a
traficului. Această funcție poate fi selectată independent de celelalte servicii, fiind întotdeauna
furnizată dacă învelișul de securitate este prezent. Autentificarea originii datelor și integritatea
neorientată pe conexiune sunt servicii reunite, oferite ca opțiune împreună cu
confidențialitatea. La fel ca în cazul mecanismului AH, aceste servicii sunt furnizate prin
adăugarea informației de autentificare la datagramele IP. Serviciul anti -replică poate fi
selectat doar în conjuncție cu cel de autentificare a originii datelor .[3]
Protocolul ESP poate asigura integritatea pachetului folosind un HMAC dar și
confidențialitatea folosind criptări. După criptarea pachetului și calcularea HMAC -ului, e ste
generat antetul ESP și adăugat la pachet .
Antetul ESP are în componență urmatoarele c âmpuri:
Indexul parametrilor de securitate (SPI) – valoare pe 32 de biți care identifică
o Asociere de Securitate pentru o datagramă în funcție de adresa destinației .
Număr de secv ență – câmp de 32 de biți ce conține numărul de secvență.
Înainte ca acesta să revină la valoare a inițială și să își reia ciclul, contorul este
resetat prin stabilirea unei noi Asocieri de Securitate, deci a unei noi chei .
Datele învelișului de securitate – câmpul conține Vectorul de Inițializare (VI)
cerut de anumiți algoritmi de criptare .
Date de umplere – câmp ce se folosește pentru a completa câmpul de date până
la o anumită lungime în cazul în care se doreșt e realizarea confidențialității
deoarece algo ritmii de criptare preiau la intrare blocuri de lungime fixă .
Lungime umplere – câmp de 8 biți care dă lungimea datelor folosite pentru
umplere .
Antetul următor – câmp de 8 bi ți care identific ă tipul datelor.
Date de autentificare – câmp de lungime variabi lă ce conține valoarea MAC
calculată pentru pachetul ESP .
52
Structura antetului ESP și informa țiile furnizate de acesta precum și modul în care sunt
gestionate confiden țialitatea și autentificarea c âmpurilor sunt prezentate în figura 33 :
Figura 33 Antetul ESP [3]
La fel ca mecanismul AH, ESP poate funcționa atât în mod Transport cât și în mod
Tunel. În modul T ransport, ESP este folosit pentru a securiza comunicați ile între două gazde.
În modul T ransport ESP securizează protocoale de nivel superior precum T CP sau UDP însă
nu asigură și protecția antetului IP care însoțește aceste protocoale. Un exemplu de
încapsulare folosind ESP în modul Transport poate fi observat în figura 34 .
Figura 34 Încapsulare ESP în modul Transport [7]
Se poate observa din figura 34 că antetul ESP nu este criptat. Dacă ar fi criptat,
receptorul nu ar putea să găsească indexul parametrilor de securitate (SPI) și nu ar putea să
decripteze mesajul. În schimb este autentificat deci un atacator nu ar putea să altereze datele
conținute în el precum indexul SPI sau numărul de secvență.
În modul Tunel, ESP este folosit pentru a configura un VPN între două rețele sau între
un calculator gazdă și o rețea. O astfel de configurație permite oricărui calculator din rețeaua
A să acceseze în mod s ecurizat oricare calculator din rețeaua B.
În timpul încapsulării ESP atât datagrama IP cât și segmentul TCP sunt criptate și
autentificate. Astfel este garantată integritatea antetului IP inițial și receptorul este sigur că
datele nu au fost alterate. De asemenea tunelarea ESP oferă protecție împotriva analizei
traficului deoarece dacă o persoană rău intenționată interceptează pachetele aceasta nu poate
determina sursa sau destinația, antetul IP inițial fiind criptat.
53
Încapsularea folosind ESP în modul tu nel poate fi observată în figura 35, figură ce
prezintă un segment TCP înainte și după încapsularea cu ESP .
Figura 35 Încapsularea ESP in modul Tunel [7]
3.5.3 Combinarea mecanismelor AH si ESP
De obicei într -un nod nu se vor aplica ambele mecanisme asupra ac eleiași datagrame
IP. Datagramele transmise pe o Asociere de Securitate sunt protejate fie de AH fie de ESP în
funcție de cerințe, dacă se dorește asigurarea confidențialității se va folosi ESP în caz contrar
se folosește AH .
Există și cazuri în care polit ica de securitate necesită o combinație a celor două servicii
pentru un anumit flux de trafic care nu este realizabil printr -o singură Asociere de Securitate.
În astfel de cazuri sunt folosite Asocieri de Securitate multiple pentru a face posibilă
implemen tarea politicii de securitate dorite. Asocierile de Securitate pot fi combinate în două
moduri :
prin adiacență – în modul transport
prin iterații – in modul tunel
Prin adiacentă în modul transport se aplică mai multe protocoale de securitate asupra
datagra mei IP, fără a fi folosită tunelarea. Combinarea AH și ESP permite un singur nivel de
combinare, deoarece imbricarea suplimentară a câmpurilor nu aduce beneficii suplimentare.
Antetul de Autentificare este plasat înaintea antetului ESP și este calculat pen tru întreaga
datagramă IP, adică AH este aplicat textului cifrat furnizat la ieșire de aplicarea mecanismului
ESP.
Iterațiile în mod ul tunel se referă la aplicarea mai multor niveluri de securitate, fiecare
trecute anterior prin modul tunel IP. Astfel se p ot folosi mai multe niveluri de imbricare
flexibilă, deoarece fiecare tunel poate fi inițiat sau terminat în locuri diferite de -a lungul
căii.[3]
3.5.4 Protocolul ISAKMP/Oakley
Protocolul ISAKMP/Oakley este folosit pentru negocierea algoritmilor criptografici și
schimbul cheilor pe internet. Este un protocol hibirid care integrează protocolul de
administrare a cheilor și asociații de securitate pentru Internet (Internet Security Association
54
and Key Management Protocol – ISAKMP) împreună cu un subset al schemei de schimb de
chei Oakley . [3]
ISAKMP/Oakley furnizeaz ă următoarele servicii:
servicii de negociere a protocoalelor, algoritmilor și cheilor criptografice;
servicii de autentificare primar ă a entit ăților comunicante;
administrarea cheilor criptografice;
schim bul protejat de chei .
Când este necesară crearea unei Asocieri de Securitate este inițializat schimbul de
chei. Protocolul ISAKMP/Oakley împachetează cheile și le trimite împreună ca pachet
integrat. Protocolul IPsec permite și schimbul manual de chei, îns ă este un procedeu
ineficient, astfel ISAKMP/Oakley rămâne modul cel mai eficient de negociere a Asocierilor
de Securitate și de schimb al cheilor .
Protocolul ISAKMP/Oakley funcționează în două faze. În prima fază este stabilit un
canal p rotejat denumit ISA KMP -AS pentru a face posibilă desfășurarea protocolului
ISAKMP. În faza a doua sunt negociate Asocierile de Securitate generale. O entitate ISAKMP
poate fi un calculator sau un echipament numit poartă de securitate (security gateway) care
negociază servicii de securitate pentru utilizatori .
Oakley furnizează trei moduri de schimb al cheilor și de stabilire a Asocierilor de
Securitate, două pentru schimburile din prima fază ISAKMP și unul pentru schimburile din
faza a doua. Modurile sunt următoarele :
Modul pr incipal – folosit în prima faza a protocolului ISAKMP pentru
stabilirea unui canal protejat.
Modul agresiv – mai simplu și mai rapid dec ât modul principal dar nu asigur ă
protec ția identit ății pentru nodurile care negociaz ă, deoarece nodurile trebuie
să-și transmit ă identit ățile înainte de a fi negociat un canal protejat.
Modul rapid – folosit în faza a doua a protocolului ISAKMP la negocierea unui
AS general pentru comunica ție.
Protocolul ISAKMP/Oakley mai are un mod de lucru suplimentar, denumit modul
grupului nou, care nu folosește niciuna dintre cele două faze și care este folosit la negocierea
parametrilor pentru schema Diffie -Hellman .
Pentru stabilirea unui canal protejat, nodul inițiator propune cinci elemente:
un algoritm de criptare;
un algoritm de h ash;
o metodă de autentificare;
parametrii pentru schema de schimb Diffie -Hellman;
o funcție pseudo -aleatoare (pseudo -random function – PRF) folosită pentru a
calcula rezumatul anumitor valori atunci când sunt schimbate chei criptografice
(funcție opțional ă, poate fi înlocuită de un algoritm de hash).
55
Prin protocolul ISAKMP/Oakley sunt specificate două grupuri de numere pentru
schema Diffie -Hellman care sunt mereu disponibile pentru selecție. Pentru a adăuga noi
grupuri de numere este necesară folosirea mod ului grupului nou al ISAKMP/Oakley pentru
realizarea transferului. Funcția pseudo -aleatoare (PRF) reprezintă un alt tip de funcție de hash
și poate fi folosită și în scopul autentificării sau pentru a genera material adițional pentru
chei.[3]
3.6 Tehnologia O penVPN
Tehnologia OpenVPN este o soluție nouă care combină mai multe avantaje ale
tehnologiilor descrise anterior. OpenVPN este un program VPN gratuit și open source, pentru
crearea tunelelor criptate punct -cu-punct, între calculatoare -gazdă. Poate fi impl ementat
pentru conexiuni sigure la nivelul 2 sau 3 al modelului OSI, folosește standardul SSL \TLS
pentru criptare și combină majoritatea funcționalităților celorlalte soluții VPN .
OpenVPN permite autentificarea nodurilor din rețea folosind chei private sau prin
definirea unui utilizator și a unei parole. Pentru criptare folosește librăria OpenSSL împreună
cu protocolul SSLv3/TLSv1. Programul OpenVPN este disponibil pe majoritatea sistemelor
de operare, inclusiv Windows, Linux, MAC OS, și oferă multe soluții de securitate și control .
Fiind un program folosit de utilizator, OpenVPN aduce o serie de avantaje precum
portabilitatea și întreținerea ușoară. OpenVPN folosește două canale, unul de date care
transportă datagramele IP și unul de control care se ocupă de negocierea cheilor și
configurare .
OpenVPN încapsulează datagramele care circulă pe ambele canale în datagrame UDP
sau TCP și folosește aceleași porturi pentru ambele canale. Astfel mai mulți clenti se pot
conecta la un proces al unui server OpenVPN fol osind același port UDP sau TCP. OpenVPN
are capacitatea de a lucra prin majoritatea serverelor proxy (inclusiv HTTP) și este adecvat
lucrului prin NAT .
Folosirea protocoalelor de rețea TCP sau UDP de către OpenVPN, o transformă într -o
alternativă mai avant ajoasă decât IPsec, în situațiile în care un ISP dorește să blocheze
anumite protocoale VPN pentru a forța utilizatorii să se aboneze la servicii premium, cu
prețuri mai ridicate, OpenVPN funcționează în continuare deoarece folosește protocoale de
bază pen tru transportul pachetelor. Pe lângă toate acestea, OpenVPN oferă mai multe funcții
interne de securitate, are abilitatea de a renunța la privilegii de bază și de a preveni copierea
datelor sensibile pe disc .
OpenVPN poate opera folosind dou ă modele de sec uritate, fiecare avand avantajele și
dezavantajele sale însă doar unul ofer ă securitate la nivel inalt.
Primul model folosește metoda cheilor statice. Cele două entități folosesc chei care au
fost stabilite anterior pentru criptare și autentificare. Aceste chei sunt negociate și configurate
pe fiecare gazdă, folosind metode securizate, înainte de stabilirea conexiunii VPN .
56
De obicei se folosesc două chei, una pentru criptare/decriptare și una pentru
autentificare HMAC. În acest caz ambele gazde folosesc ace leași chei. Pentru a spori
securitatea se pot folosi patru chei. Fiecărei gazde i se atribuie o cheie HMAC de primire, o
cheie HMAC de trimitere, o cheie de criptare și una de decriptare. Astfel fiecare gazdă are un
set de chei pentru trimitere și unul pen tru recepționare, limitând astfel pierderile în caz că una
din chei este compromisă. Aceleași chei vor fi folosite pe toată durata conexiunii VPN până
se va restarta rețeaua VPN sau vor fi schimbate manual .
Chiar dacă se folosesc patru chei ele nu fac dec ât să prelungească perioada necesară
aflării lor de către atacator, nu o elimină în totalitate. Cel mai mare avantaj al utilizării cheilor
statice este ușurința cu care se poate configura o rețea VPN, însă dacă se dorește configurarea
mai multor rețele VPN folosirea cheilor statice devine ineficientă. De aceea această metodă se
recomandă a fi folosită doar pentru configurarea rețelelor VPN temporare și evitat ă în rest . [7]
A doua metodă este numită metoda TLS și folosește protocolul SSL pentru a
autentifica rețeaua cu utilizatorul și pentru a schimba chei și informații de control. Se
stabilește o sesiune SSL/TLS cu utilizatorul pentru canalul de control. În faza de autentificare
utilizatorii schimbă între ei certificate, emise de o Autoritate de Control, acc eptate de ambele
părți. Astfel utilizatorii se asigură că nu sunt victimele unui atac de tip man -in-the-middle .
După autentificare se stabilește conexiunea SSL și se trece la negocierea cheilor pentru
canalul de date. Administratorul poate configura progra mul OpenVPN să renegocieze cheile
în funcție de anumiți parametri aleși de el pentru a spori securitatea. Metoda TLS oferă
securitate foarte bună, folosirea ei fiind recomandată în majoritatea cazurilor .
3.5.1 Canalul de date in OpenVPN
Desi OpenVPN poate funcționa ș i pe baza unei conexiuni TCP, este recomandat ă
folosirea protocolului UDP. Încapsularea OpenVPN este similar ă cu încapsularea UDP și
poate fi observat ă în figura 36.
Figura 36 Încapsulare OpenVPN pe canalul de date [7]
Se poate observa ca ant etul de payload este descompus î n dou ă părți, antet pachet și
antet payload date . Câmpul antet pachet conține tipul pachetului transmis și datele folosite
pentru generarea cheilor. C âmpul antet payload date conține datele de autentificare, numerele
de secv ență și valoarea ICV (Integrity Check Value) pentru fiecare pachet.
Structura campului Antet pachet este diferit ă în func ție de protocolul de transport
folosit. Protocolul TCP are în plus un c âmp denumit lungime pachet ce con ține lungimea
57
pachetului urm ător. Protocolul TCP are nevoie de acest c âmp deoarece trateaz ă pachetele ca
un flux de date, în timp ce UDP trateaz ă fiecare pachet separat.
Structura c âmpului antet pachet , generat ă în func ție de tipul de protocol de transport
folosit , poate fi observat ă în figura 37:
Figura 37 Antet pachet OpenVPN [7]
Câmpul ID cheie specific ă ce tip de cheie de criptare este folosit ă pentru fiecare pachet
schimbat între gazde. C âmpul Cod opera ție specific ă un num ăr pe baza c ăruia se execut ă un
tip de comanda.
Figura 38 prezint ă structura c âmpurilor Antet payload de date și date alipite într-un
singur pachet numit generic Pachet de date :
Figura 38 Pachet de date OpenVPN [7]
Câmpul HMAC este un camp HMAC standard, generat de unul din tre algoritmii SHA 1
sau MD5 ș i are ro lul de a autentifica celelalte trei c âmpuri respectiv VI, ID pachet și date.
Câmpul VI reprezint ă un vector de ini țializare generat aleator ,cu o lungime de 64 sau 128 de
biți, folosit la criptarea î n modul CBC (C ipher Block Chaining ). Campul ID pachet este
folosit ca num ăr de secven ță pentru a proteja împotriva atacurilor prin repeti ție.
3.5.2 Canalul de control in OpenVPN
Cea mai mare provocare atunci când se stabiliește un canal securizat între două
calculatoare o reprezintă managementul cheilor și auten tificarea. Orice greșeală care are loc la
nivelul funcționării acestor două servicii poate duce la vulnerabilități de securitate care mai
apoi pot fi exploatate de atacatori. Folosind protocolul SSL/TLS pentru autentificare și
managementul cheilor, OpenVPN reduce riscurile de securitate deoarece protocolul SSL/TLS
58
este un protcol intens studiat și dezvoltat pe parcursul anilor și acceptat de experții în domeniu
că fiind sigur .
Structura pachetelor care circul ă pe canalul de control , în cazul în care optiune a TLS
este activat ă, poate fi observat ă în figura 39:
Figura 39 Pachet de control OpenVPN [7]
Câmpul ID sesiune este un num ăr folosit pentru a identifica sesiuna VPN. At ât
emițătorul c ât și receptorul au c âte un num ăr de sesiune propriu, num ărul care apa re în acest
câmp aparți ne emi țătorului.
Câmpul HMAC este prezent doar în cazul în care se folose ște metoda TLS si are rolul
de a bloca atacurile de tip refuzul serviciului (Denial -of-Service) prin autentificarea întregului
pachet. De asemenea c âmpul HMAC permite refuzarea pachetelor alterate înainte ca acestea
să ajunga în nivelul SSL elimin ând astfel riscul ca acestea s ă testeze vulnerabilit ăți sau s ă
creeze scurgeri de informa ții. Pe l ângă sporirea securit ății, refuzarea pacheteleor corupte
înainte de a fi procesate economise ște resurse.
Câmpul ID pachet are acela și rol ca și în cazul pachetelor trimise pe canalul de date și
anume este folosit pentru a bloca atacurile prin repeti ție, fiecare pachet av ând un id unic.
Câmpul ID pachet poate avea doua lungi mi, 32 de bi ți în cazul în care este folosit ă metoda
TLS sau 64 de bi ți în caz contrar.
Câmpul Buffer ACK este folosit la nivel de fiabilitate pentru a confirma că pachetele
trimise de emi țător au fost luate în calcul. Num ărul de pachete confirmate este sa lvat în
câmpul Lungime buffer ACK . Dac ă numărul de pachete confirmate este 0 c âmpul Buffer ACK
nu apare în pachet. La sf ârșitul datelor din c âmpul Buffer ACK este trecut și id-ul sesiunii
curente de VPN pentru a lega pachetele de sesiunea din care fac par te.
Câmpul Payload TLS conține date folosite de c ătre SSL. C ând re țeaua VPN porne ște,
entitățile care comunic ă execut ă un schimb de mesaje de autentificare SSL (SSL Handshake),
prin care fac schimb de certificate. Astfel cele dou ă entități se autentific ă și se asigur ă că au
stabilit un canal SSL sigur pe care pot face schimb de chei pentru a fi folosite pe canalul de
date.
59
Exist ă două metode prin care poate fi realizat schimbul de chei. Pentru prima metod ă
se transmite un mesaj a carui structur ă poate fi o bservat ă în figura 40:
Figura 40 Mesajul prin care se realizeaz ă schimbul de chei – Metoda 1 [7]
În mesajul prin care se realizează schimbul de chei primele două câmpuri reprezintă
cheia de criptare aleasă și lungimea acesteia. Cheia este transmisă recep torului pentru a fi
folosită la decriptarea mesajelor recepționate. Prin intermediul următoarelor două câmpuri
emițătorul transmite receptorului cheia HMAC și lungimea acesteia. Cheia HMAC este
folosită de receptor pentru a autentifica mesajele primite. Câ mpul Opțiuni verifică dacă cele
două calculatoare care fac schimb de mesaje sunt configurate la fel .
A doua metodă prin care se realizează schimbul de chei are o complexitate sporită
deoarece schimbul de chei nu se realizează direct ci cheile sunt deduse p e baza informațiilor
schimbate prin mesaje. Structura mesajelor transmise atunci când se folosește metoda a doua
este reprezentată în figura 41:
Figura 41 Mesajul prin care se realizeaz ă schimbul de chei – Metoda 2 [7]
După cum se poate observa din figur a 41, mesajul începe cu 4 bi ți de 0 urma ți de
câmpul ID metodă care specific ă metoda de schimb de chei folosit ă. Momentan acest c âmp
are mereu valoarea 2 însă existen ța acestui c âmp permite ca pe viitor sa fie introduse noi
metode prin care sa fie realizat schimbul de chei.
Următoarele trei c âmpuri sunt folosite în procesul de generare al cheilor. C âmpul
Pre-Master Secret are o lungime de 48 de bi ți și con ține date aleatoare generate de client,
folosite la calculul secretului principal (Master Secret). Ac est c âmp este con ținut doar de
mesajul trimis de client si nu apare în mesajele trimise de server.
60
Câmpurile Random 1 și Random 2 conțin fiecare 32 de bi ți de date folosite de
asemenea în procesul de gener are a cheii de criptare. Fiecare parte care negoci ază cheile
genereaz ă un set diferit de c âmpuri aleatoare , care împreun ă fac posibil ă generearea cheii de
criptare.
Câmpul Opțiuni are acela și rol ca în cazul metodei 1 și anume se asigur ă că cele dou ă
părți care negociaz ă cheile au aceea și configura ție.
Ultimele dou ă câmpuri au caracter op țional și specific ă un nume de utilizator și o
parol ă. Aceste c âmpuri sunt folosite doar în cazul în care OpenVPN ruleaz ă pe un proxy
HTTP (Hypertext Transfer Protocol), proxy ce necesit ă autentificare.
Procesul de generar e al cheilor este este derivat din metoda folosit ă de TLS. La
început ambele p ărți genereaz ă secretul principal folosind o func ție pseudo -aleatoare PRF
(Pseudorandom Function ) și câmpurile Pre-Master secret , câmpul Random 1 al clientului și
câmpul Random 1 al serverului. După ce ambele par ți au ob ținut secretul principal, se aplic ă
încă o dat ă funcția PRF folosind ca parametri secretul principal împreun ă cu c âmpurile
Random 2 ale clientului și serverului și id-urile de sesiune corespunz ătoare celor dou ă părți. În
urma acestui proces cheile sunt generate și pot fi folosite.
După ce procesul de schimb al cheilor a avut loc, schimbul de pachete pe canalul de
date poate începe. Din acest moment pachetele care circulă pe canalul de date sunt criptate și
autentifi cate. După un anumit timp cheile expiră și procesul de generare a cheilor este reluat .
3.5.3 Interconectarea re țelelor folosind OpenVPN
OpenVPN suport ă două moduri de interconectare a re țelelor , prin rutare sau prin
bridging :
Prin rutare – sunt interconec tate subre țele separate și independente. La trecerea
pachetului prin ruter, acesta examineaz ă adresa IP de destina ție și livreaz ă
pachetul că tre re țeaua de care apar ține adresa IP.
Prin bridging – este o metod ă mai simpl ă bazat ă pe o conexiune electric ă
numită bridge care face legatura între dou ă rețele fizice separate care au
aceea și clasa de IP -uri. Un bridge poate fi configurat pri n folosirea unui hub
sau switch .
Când adaptorul virtual de rețea al OpenVPN este configurat în modul de rutare al
conexiunil or VPN, acestuia i se atribuie o adresă IP în afară clasei de IP locale și se crează o
subrețea virtuală separată pentru conectarea la calculatoarele legate prin VPN la distanță.
Calculatoarele care se conectează la distanță primesc adrese IP în cadrul sub rețelei virtuale
nou create. Adresele IP din cadrul subrețelei virtuale trebuie să facă parte dintr -o clasă de IP –
uri diferit ă fată de cele din rețeaua locală astfel încât pachetele să poate fi rutate fie spre
rețeaua locală fie spre cea virtuală prin inte rmediul unui gateway .
În acest mod, OpenVPN, creează o rețea virtuală privată, formată din calculatoare care
se conectează la ea prin tunele VPN. Această soluție este folositoare doar în cazul în care
61
utilizatorii care se conectează de la distanță vor să a cceseze doar calculatoarele care rulează
OpenVPN. Dacă utilizatorii vor să acceseze resurse aflate pe rețeaua locală sau să acceseze
Internetul prin LAN, nu vor putea face acest lucru deoarece calculatoarele din rețeaua locală
și gateway -ul local nu știu d e existența subrețelei virtuale create de OpenVPN. Pentru a
rezolva această problemă este nevoie de definirea unor rute statice care să direcționeze
pachetele care vin de la IP -uri din subrețeaua virtuală către gateway -ul OpenVPN pentru a fi
direcționate m ai departe către utilizatorul care se conectează de la distanță . [19]
Al doilea mod de interconectare, bridging, reprezintă o soluție superioară de
configurare a adaptorului virtual OpenVPN. Acest mod de interconectare rezolva problema
accesării resurselor de pe rețeaua locală, atribuind utilizatorilor care se conectează de la
distanță adrese IP din aceeași clasa cu adresele din rețeaua locală. Astfel serverul OpenVPN
comunică cu toate calculatoarele conectate în rețea și da posibilitatea utilizatorilor car e se
conectează de la distanță să acceseze orice resursă de pe rețeaua locală .
Un alt avantaj pe care această metodă îl oferă este faptul că în Ethernet bridging este
direcționat tot traficul (broadcasting), spre deosebire de metoda prin rutare în care sun t
direcționate doar pachetele IP adresate direct. Comunicațiile de tip broadcast au caracter local
și permit calculatoarelor conectate în rețeaua locală să se găsească între ele. Ele funcționează
prin intermediul echipamentelor de tip hub, switch sau bridg e dar nu prin rutere .
62
CAPITOLUL 4
4. Aplicație – Configura re rețea VPN folosind tehnologia OpenVPN
Pentru această aplicație vom folosi ca scenariu o firmă ai cărei angajați fac munca de
teren și care dorește ca angajații săi să se poată conect a, în mod securizat, de la distanță la
rețeaua locală a companiei pentru a transfera date cu caracter confidențial sau pentru a folosi
resurse de pe rețeaua locală. Pentru a realiza aceste cerințe, sediul central al companiei va fi
conectat la utilizatorii de pe teren prin conexiuni securizate, realizate folosind tehnologia
OpenVPN.
La sediul central al companiei va fi configurat un server ce rulează un sistem de
operare Linux, prin intermediul căruia clienții (utilizatorii de la distanță) se vor conecta la
rețeaua locală a companiei prin intermediul tunelelor securizate. Clienții pot folosi atât
sisteme de operare Windows cât și Linux. Ca model de interconectare a calculatoarelor se va
folosi modul rutare al tehnologiei OpenVPN. Se creează o subretea virtua lă ale cărei IP -uri
fac parte dintr -o clasa diferită fața de rețeaua locală a companiei și fiecărui calculator care se
conectează la server, de la distanță, i se atribuie o adresa IP din subreteaua creată. Utilizatorii
care se conectează de la distanță se vor autentifica prin intermediul certificatelor și cheilor,
generate în prealabil de server și transmise clienților. Pentru negocierea și autentificarea
schimbului de chei se va folosi protocolul TLS (Transport Layer Security).
4.1 Configurare server VPN pe Linux
Pentru configurare se folose ște un sistem desktop ce ruleaz ă sistemul de operare
Ubuntu 12.04 și este conectat direct la Internet prin cablu UTP.
Pentru a configura un server pe sistemul de operare Linux este necesar să fim conectați
la internet și să instalăm aplicația OpenVPN împreună cu librăriile de dezvoltare SSL. Acest
lucru se realizează prin apăsarea butoanelor Ctrl -Alt-T, pentru deschiderea terminalului de
comandă, și rularea în terminalul de comandă al sistemului de operare a comenzii :
sudo ap t-get install openvpn libssl -dev openssl
OpenVPN folosește o suită de script -uri, folosite la diferite operațiuni legate de
criptare și generare a cheilor, numită Easy -RSA. Fișierele Easy -RSA sunt copiate la instalare
într-o altă locație decât OpenVPN. Pen tru o funcționare corectă creăm un dosar în interiorul
dosarului OpenVPN, denumit “easy -rsa”, în care copiem fișierele instalate în dosarul Easy –
RSA inițial. Conținutul dosarului Easy -RSA se copiază folosind următoarele comenzi :
63
sudo mkdir /etc/openvpn/eas y-rsa/ # se creeaz ă dosarul
sudo cp –R /usr/share/doc/openvpn/examples/easy -rsa/ /etc/openvpn/ # se copiaz ă fișierele.
sudo chown –R $USER /etc/openvpn/easy -rsa/ # se seteaz ă apartene nța dosarului de la “root”
la utilizator.
Următorul pas consta în config urarea variabilelor folosite de script -urile Easy -RSA la
generarea certificatelor. Se deschide fișierul “vars” și se completeaz ă conform cerin țelor
noastre:
sudo nano /etc/open vpn/easy -rsa/vars # pentru a deschide fi șierul
Figura 42 prezint ă modul de compl etare și parametrii aleși pentru fi șierul “vars” ,
folosit la generarea certificatelor și cheilor de pe server:
Figura 42 Configurarea fi șierului “vars”
Am ales o lungime a cheii de criptare de 1024 bi ți dar se pot genera și chei mai sigure
de 2048 bi ți, însă este afectată viteza negocierii TLS și a generar ii parametrilor Diffie –
Hellman.
64
Comanda export KEY_CN=1 reprezint ă un cod sau un nume unic pe care fiecare
certificat îl are în baza de date. Dac ă valoarea KEY_CN ( Common Name) nu este schimbat ă
după fiecare generare de certificat, acestea nu vor putea fi înscrise în baza de date.
Se folosesc datele din fi șierul “vars” pentru a genera certificatele și cheile necesare:
cd /etc/openvpn/easy -rsa/ # se alege dosarul în care se lucreaz ă
source vars # se aleg e fișierul surs ă din care se vor folosi parametrii
./clean -all # se sterg toate fisierele existente
./build -dh # se genereaz ă parametrii Diffie -Hellman
Figura 43 Generarea parametrilor Diffie -Hellman
./pkitool –initca # este creat ă propria Autoritate de Certificare (CA), ce folose ște ca nume
codul KEY_CN definit în fișierul “vars”, împreun ă cu cheia de criptare aferent ă.
Figura 44 Ini țializarea Autorit ății de Certificare și a cheilor sale
65
./pkitool –server server # se genereaz ă certificatul și cheia pr ivată a server -ului
În figura 45 se pot observa structura și informa țiile con ținute de certificatul server -ului
precum și peri oada de valabilitate a acestuia:
Figura 45 Structura certificatului server -ului
cd keys # se schimb ă dosarul în care se lucreaz ă
openvpn –genkey –secret ta.key # se genereaz ă cheia secret ă folosit ă la negocierea TLS
cp server.crt server.key ca.crt dh1024.pem ta.key /etc/openvpn/ # se copiaz ă toate cheile și
certificatele generate în dosarul /etc/openvpn.
cd /etc/openvpn/easy -rsa/ # se schimb ă dosarul în care se lucreaz ă
source vars # se selecteaz ă fișierul surs ă
În continuare se genereaz ă cheile și certificatele pentru clien ți. Pentru fiecare client se
genereaz ă un certificat și o cheie proprie prin rularea urm ătoarei comenzi ori de cate ori este
nevoie:
66
KEY_CN=2 ./pkitool client1
KEY_CN=3 ./pkitool client2
Se observă că pentru fiecare certificat generat este nevoie să schimbăm codul unic
KEY_CN. Valoarea “1” a fost folosită la generarea certificatului server -ului. Dacă codul
KEY_ CN este deja în baza de date, terminalul va afișa eroarea “TXT_DB error number 2”.
Precum se poate observa în figura 46, certificatului clientului conține aceleași informații de
bază ca și certificatul server -ului:
Figura 46 Structura certificatului clie ntului
După generarea certificatelor se poate trece la configurarea opțiunilor serverului.
Pentru a modifica opțiunile este nevoie să copiem arhiva server.conf.gz din dosarul inițial în
dosarul OpenVPN și să o dezarhivăm. Această operațiune se realizează f olosind comenzile :
cp /usr/share/doc/openvpn/examples/sample -config -files/server.conf.gz /etc/openvpn # se
copiaz ă arhiva
gzip –d /etc/openvpn/server.conf.gz # se dezarhiveaz ă conținutul arhivei
sudo nano /etc/openvpn/server.conf # se deschide fi șierul pen tru editare
67
Fișierul server.conf se completeaz ă cu urm ătoarele linii de comand ă:
mode server # se alege modul de func ționare
port 1194 # se alege portul folosit de c ătre OpenVPN
proto tcp # protocolul de transport folosit pentru transportul datagramelor (TCP sau UDP)
dev tun # configurarea serverului pentru a fun cționa în modul rutare (tunel)
ca /etc/openvpn/ca.crt # adresa certificatului Autorit ății de Certificare
cert /etc/openvpn/server.crt # adresa certificatului server -ului
key /etc/openvpn/server.key # adresa cheii server -ului
dh /etc/openvpn/dh1024.pem # adresa fi șierului ce con ține parametrii Diffie -Hellman
server 10.8.0.0 255.255.255.0 # definirea subre țelei VPN ale c ărei IP -uri vor fi atribuite
clien ților care se conecteaz ă de la distan ță. Server -ul va folosi în cadrul subre țelei prima
adres ă IP disponibil ă respectiv 10.8.0.1
ifconfig -pool-persist ipp.txt # menținerea unei eviden țe a adreselor virtuale atribuite clien ților
conecta ți, astfel încât dac ă server -ul OpenVPN este restartat, clien ților li se va atribui aceea și
adres ă IP folosit ă înainte de restartare
push “redirect -gateway local def1” # redirec ționeaz ă tot traficul clientului prin server -ul VPN
push “route 89.44.180.182 255.255.255.240” # server -ul comand ă clientului s ă adauge IP -ul
server -ului la rutele sale “default”
push “dhcp -option DNS 10.8.0.1 ” # se transmite clien ților ce adres ă DNS (Domain Name
Service) sa foloseasc ă
keep alive 10 120 # comand ă folosit ă pentru a trimite mesaje de tip “ping” între p ărți pentru a
verifica c ând una di n par ți cade. Se poate traduce ca un “ping” la fiecare 10 secunde, dac ă
destina ția nu raspunde în 120 de secunde conexiunea se consider ă cazut ă.
client -to-client # această comand ă dă posibilitatea clien ților s ă comunice între ei pe subre țea.
În caz c ă aceasta comanda lipse ște, clien ții pot vedea doar server -ul
duplicate -cn # în caz c ă nu au fost generate certificate pentru fiecare client și se doreste ca mai
mulți clien ți să se poat ă conecta cu acela și certificat
68
tls-auth ta.key 0 # se activeaz ă opțiunea d e autentificare TLS ce creeaza un “firewall” HMAC
pentru blocarea atacurilor de tip DoS sau “port flooding”. Pe server se folose ște valoarea 0 iar
pe client valoarea 1.
cipher AES -128-CBC # se alege cifrul criptografic folosit (Blowfish, AES sau Triple -DES)
comp -lzo # se activeaz ă folosirea compresiei pe legatura VPN
max-clients 10 # se seteaz ă numărul maxim de clien ți ce se pot conecta în acela și timp la
server
user nobody # se reduc privilegiile “daemon -ului” OpenVPN dupa ini țializare
group nogroup # se reduc privilegiile “daemon -ului” OpenVPN dupa ini țializare
persist -key # în caz de restart al aplica ției cheile nu se recitesc permi țând astfel restartarea
aplica ției dup ă reducere a privilegiilor în urma comenzilor anterioare
persist -tun # se permite res tartarea aplica ției fără a reseta dispozitivul virtual TUN
status openvpn -status.log # se define ște un fi șier ce ține eviden ța conexiunilor curente
verb 3 # stabile ște gradul de detaliu al informa țiilor privitoare la opera țiunile OpenVPN scrise
în fișierul jurnal pentru diagnosticare a problemelor
mute 20 # cel mult 20 de mesaje din aceea și categorie vor fi scrise în fișierul jurnal
După ce introducem toate comenzile și salv ăm fi șierul de configurare server.conf
pornim serverul OpenVPN folosind comanda:
sudo /etc/init.d/openvpn start
Figura 47 Pornirea server -ului VPN
Pentru ca server -ul să funcționeze corect trebuie s ă ne asigur ăm că porturile și
conexiunile cu clien ții nu sunt blocate de firewall. Firewall -ul Linux se modific ă prin
comanda iptables. Pentr u a configura firewall -ul am creat un script executabil, iptables.sh, în
69
care am definit toate regulile necesare pentru buna func ționare a server -ului. Se creeaz ă
script -ul iptables.sh folosind comanda:
sudo nano /etc/openvpn/iptables.sh
În cadrul script -ului se definesc următoarele comenzi:
iptables –F
iptables –t nat –F
iptables –t mangle –F # primele 3 comenzi reseteaz ă toate regulile din firewall
iptables –P INPUT ACCEPT
iptables –P FORWARD ACCEPT
iptables –P OUTPUT ACCEPT # se activeaz ă politicile de intrare, ie șire și redirec ționare
iptables –A INPUT –p tcp –dport 22 –j ACCEPT # se deschide portul 22 pentru SSL
iptables –A INPUT –p tcp –dport 1194 –j ACCEPT # se deschide portul 1094 pentru VPN
iptables –A INPUT –i lo –j ACCEPT # se configureaza int erfața de loopback
iptables –A –m state –state ESTABLISHED, RELATED –j ACCEPT
iptables –A FORWARD –s 10.8.0.0/24 –j ACCEPT # se seteaz ă redirec ționarea pachetelor
iptables –t NAT –A POSTROUTING –s 10.8.0.0/24 –o eth0 –j MASQUERADE
iptables -A FORWARD –j REJECT
iptables –A INPUT –i tun+ -j ACCEPT # se configureaz ă interfa ța TUN
iptables –A FORWARD –i tun+ -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward # se accept ă redirec ționarea pachetelor
iptables –L –v # afișează regulile dup ă executare
După completarea comenzilor se salveaz ă script -ul și se închide. Script -ul se face
executabil doar de c ătre “root” folosind comanda:
chmod 700 /etc/openvpn/iptables.sh
70
În acest moment firewall -ul se poate configura prin simpla rulare a script -ului, folosind
comanda:
sudo /etc/openvpn/iptables.sh
În figura 48 se pot observa regulile configurate în urma execut ării script -ului:
Figura 48 Configurarea Firewall -ului
În acest moment server -ul este configurat și func țional și poate accepta conexiuni de la
clien ți.
4.2 Configurare c lient pe Windows
Pentru configurarea clientului am folosit un laptop cu sistem de operare Windows 7
64biți, conectat la internet prin 3G, folosind ca modem un telefon mobil.
Pe sistemul folosit drept client se instaleaz ă ultima versiune de client OpenVPN. În
folderul C:\Program Files \OpenVPN \config se copiaz ă următoarele fi șiere generate de server:
ca.crt, client1.crt , client1.key , ta.key
71
În directorul C:\Program Files \OpenVPN \config creăm un fi șier text pe care îl
denumim client.ovpn și care va con ține con figura ția pentru client. În fișierul client.ovpn se
încarc ă următoarele opțiuni:
client
dev tun
proto tcp
remote 89.44.180.182 1194
tls-auth ta.key 1
resolv -retry infinite
nobind
persist -key
persist -tun
script -security 3
ca ca.crt
cert client1.crt
key clie nt1.key
cipher AES -128-CBC
comp -lzo
verb 3
Opțiunile precum tipul de protocol de transport folosit sau cifrul de criptare trebuie s ă
corespund ă cu cele alese pentru configurarea server -ului.
Din acest moment clientul poate stabili conexiunea cu serverul ru lând aplica ția
OpenVPN GUI instalat ă și apăsând butonul “Connect”. Aplica ția începe s ă ruleze și să
verifice certificatele și cheile. Dac ă verificarea este reusit ă clientului i se atribuie o adres ă IP
din subre țeaua VPN . În acest caz adresa IP atribuit ă automat de c ătre server este 10.8.0.10 .
Pentru o func ționare corect ă aplica ția OpenVPN trebuie rulat ă cu drepturi de administrator.
În figura 49 se observ ă cum arat ă o conexiune reu șită între client și server -ul VPN:
72
Figura 49 Stabilire conexiune client -server
Pentru o funcționare corectă este nevoie ca pe client să fie configurat firewall -ul astfel
încât să permită primirea de date pe interfața TAP/TUN, interfață prin care se schimbă date cu
subrețeaua. Pentru a face acest lucru este nevoie să dezactivăm f iltrarea pachetelor pe această
interfață pentru profilul de internet folosit. Se verifică mai întâi care este denumirea interfeței
TAP deschizând Start>Run>Cmd și tastând comanda : ipconfig
În figura 50 se observ ă că interfa ța corespunzatoare subre țelei cre ate de c ătre serverul
VPN este “Local Area Connection 4” deoarece folose ște un IP din clasa 10.8.0.0/24.
Figura 50 Ipconfig pe client
73
După ce am identificat interfața TAP/TUN se merge în Start>Control Panel>Windows
Firewall>Advanced Settings>Windows Fire wall Properties>Public Profile>Protected
Network Connections>Customize și debifăm “Local Area Connection 4”. Astfel traficul
dinspre server către client nu mai este controlat de către Windows Firewall ci doar de
firewall -ul de pe server în timp ce conexiun ile la Internet exterioare subretelei rămân protejate
de firewall -ul de pe client .
Figura 51 Dezactivare firewall pe interfa ța TAP /TUN
În acest moment clientul este configurat pentru a stabili o conexiune sigur ă cu server –
ul VPN. Dac ă se dore ște conectar ea mai mu ltor clien ți se genereaz ă chei și certificate pentru
fiecare și se repet ă pașii pentru fiecare client în parte .
4.3 Testare conexiune
După ce pornim serverul și clien ții s-au conectat la server far ă a primi mesaje de
avertisment sau erori putem începe să testam func ționalitatea subre țelei și a tunelului creat.
Mai întâi este necesar s ă aflăm ce adrese IP au server -ul și clien ții pe subre țeaua VPN.
Pentru server, se deschide terminalul de comand ă și se ruleaz ă comanda:
ifconfig
Comanda va returna în terminalul de comand ă o lista cu toate interfe țele active care
funcționeaz ă pe re țea. IP -ul corespunz ător interfe ței TAP/ TUN, denumit ă pe server “tun0”,
74
este IP-ul server -ului pe subre țea. Dup ă cum se poate observa în figura 52, IP -ul server -ului
pe subre țeaua VPN este 10.8.0.1.
Figura 52 Ifconfig server
Pentru a vedea ce clien ți sunt conecta ți la server vom folosi fi șierul openvpn -status.log
pe care l -am creat cand am configurat server -ul pentru a ține eviden ța conexiunilor la server.
Se deschide fisieru l folosind comanda:
sudo nano /etc/openvpn/openvpn -status.log
Figura 53 Jurnalul conexiunilor curente
75
După cum se poate observa în figura 53 la server este conectat un singur client a cărui
adresa IP virtuală (Virtual Address), corespunzătoare adresei IP de pe subrețea, este 10.8.0.10.
Deși este conectat trebuie verificat dacă server -ul poate schimba date cu clientul fără a fi
blocat de firewall -ul acestuia. Acest lucru se realizează prin folosirea utilitarului “ping”
disponibil atât pe Linux cât și pe Wi ndows. Pentru testarea conexiunii dinspre server către
client comanda “ping” se folosește în felul următor :
ping –c 4 10.8.0.10
Dacă se finalizeaz ă cu succes , comanda “ping” la client returneaz ă informa țiile
disponibile în figura 54:
Figura 54 Ping la cl ient
Conexiunea de la client la server se verific ă în mod asem ănator folosind în terminalul
“cmd” de pe sistemul client urm ătoarea comand ă:
ping 10.8.0.1
Dacă se finalizeaz ă cu succes , comanda “ping” la server returneaz ă informa țiile
disponibile în figura 55:
Figura 55 Ping la server
76
Pentru a verifica dac ă tot traficul clien ților este redirec ționat prin server -ul VPN putem
folosi comanda “tracert” pentru a vedea traseul urmat de pachete pan ă la o anumit ă adres ă:
tracert www.google.ro
În figura 56 se poate observa c ă prima adresa IP prin care trece traficul este 10.8.0.1,
adresa server -ului din cadrul subre țelei, dup ă care traficul este rutat prin “gateway -ul” dat de
ISP, cu care a fost configurat ă interfa ța fizică de re țea:
Figura 56 Ruta urmat ă de pache te până la destina ție
77
Concluzii
Implementarea rețelelor fizice private poate aduce numeroase avantaje pentru o
companie, această tehnologie fiind mai ieftină, mai ușor de implementat și configurat și mai
ușor de extins. Oferă o soluție de confid ențialitate a datelor, reduce costurile și permite o
administrare flexibilă a rețelei.
Această tehnologie avantajează foarte mult companiile dinamice, care se extind într -un
ritm accelerat, deoarece rețelele VPN sunt flexibile și scalabile și permit stabi lirea accesului la
informații de la distanță foarte rapid pentru birourile sau angajații care lucrează pe teren și au
nevoie să se conecteze la resursele companiei permițând astfel o folosire mai eficientă a
resurselor companiei.
În cazul implementării un ei soluții VPN se reduc costurile de comunicații și
infrastructură, deoarece VPN folosește infrastructura Internetului pentru a transmite date, în
locul unor linii închiriate sau a unor conexiuni dial -up costisitoare. Astfel se obțin costuri
predictibile ș i relativ mici, independente de traficul de date.
Tehnologia VPN oferă securitate apropiată rețelelor fizice private însă la costuri mult
mai mici, mențin securitatea și fiabilitatea prin protocoale de tunneling și criptare. Deși
operează prin infrastruct ura publică a Internetului, tehnologia VPN, protejează securitatea și
integritatea datelor prin oferirea soluțiilor de autentificare, criptare și non -repudiere.
Tehnologia VPN oferă mecanisme sofisticate de monitorizare și raportare, oferă
posibilitatea d e a crea politici diferite de control al accesului pentru fiecare utilizator, accesul
utilizatorilor se poate face prin multiple metode de autentificare.
Folosirea soluțiilor VPN are însă și câteva dezavantaje deoarece folosind infrastructura
Internetului , fiabilitatea și performanța rețelei este controlată de un ISP nu de companie și în
anumite circumstanțe acest lucru poate constitui un dezavantaj deoarece compania nu are
control direct asupra calității serviciilor lui. Implementarea unei soluții VPN fia bile și sigure
necesită cunoștințe aprofundate de securitate de rețea, deoarece de obicei rețelele VPN
transportă date confidențiale care ar putea fi ținta atacurilor unor persoane rău intenționate.
Un alt dezavantaj al rețelelor VPN constă în faptul că s oluțiile și tehnologiile VPN nu
sunt compatibile în totalitate între ele, fiind indicată folosirea aceleiași tehnologii VPN în
toată rețeaua companiei, fapt ce necesită un efort de organizare suplimentar pentru companiile
foarte mari și răspândite geografi c.
78
BIBLIOGRAFIE
1. Andrew S. Tanenbaum , Rețele de calculatoare , Editia a patra, Ed. Byblos, 2003
2. Markus Feilner , Norbert Graf , Beginning OpenVPN 2.0.9 , Ed. Packt Publishing, 2009
3. Victor Patriciu, Semnaturi electronice si securitate informatica , Ed. BIC ALL, 2006
4. James Edwards, Richard Bramante, Al Martin, Nortel Guide to VPN Routing for
Security and VoIP , Ed. Wiley, 2006
5. Bruce Schneier , Applied Cryptography , Editia a doua, Ed. John Wiley & Sons, 1996
6. Man Young Rhee, Internet Security , Ed. Wiley, 2003
7. Jon C. S nader , VPNs Illustrated: Tunnels, VPNs, and IPsec , Ed. Addison Wesley
Professional , 2005
8. Mark Lewis , Comparing, Designing, and Deploying VPNs , Ed. Cisco Press, 2006
9. Vijay Bollapragada, Mohamed Khalid, Scott Wainner , IPSec VPN Design , Ed. Cisco
Press, 2005
10. Roger J. Sutton , Secure Communications , Ed. John Wiley & Sons , 2002
11. Jan Just Keijser, OpenVPN 2 Cookbook , Ed. Packt Publishing , 2011
12. http://ro.wikipedia.org/wiki/Topologie_de_re%C8%9Bea
13. http://en.wikipedia.org/wiki/Integer_factorization
14. http://www.adm inday.ro/retelistica/25 -retele -private -virtuale -vpn
15. http://www.whitehelm.com/vpn -des-serv.html
16. http://www.cisco.com/en/US/docs/security/vpn_modules/misc/Archive_ –
6342/6342cmbo.html#wp1064626
17. http://technet.microsoft.com/en -us/library/cc771298(v=ws.10).a spx
18. www.cs.ubbcluj.ro/~alina/EC/Curs3.doc
19. https://www.grc.com/vpn/routing.htm
20. http://main.alincristianjoita.com/wp -content/uploads/2011/03/Retele -Seminar -05.pdf
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: SPECIALIZAREA TEHNOLOGIA INFORMA ȚIEI LUCRARE DE LICEN ȚĂ Coordonator științi fic: Prof. Univ . Dr. Mihăiță Drăgan Absolvent: Vraciu Emil -Andrei… [602880] (ID: 602880)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.