Academia Tehnică Militar ă [629918]

Academia Tehnică Militar ă

Internet Protocol Security (IPsec)

Tabuncic Simon (E-214B )
2017

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

2 Contents
Prezentarea protocolului IPsec, Istoric si Standarde ………………………….. ………………………….. .. 3
Serviciile si functiile IPsec ………………………….. ………………………….. ………………………….. ….. 3
Date generale IPsec ………………………….. ………………………….. ………………………….. ……………. 3
Standarde IPsec ………………………….. ………………………….. ………………………….. …………………. 3
Operatii IPsec, Componente si protocoale ………………………….. ………………………….. …………….. 4
Protocoale de baza IPsec ………………………….. ………………………….. ………………………….. …….. 4
Componentele de suport IPsec ………………………….. ………………………….. …………………………. 6
Arhitectura IPsec si metode de implementare ………………………….. ………………………….. ………… 6
End-Host Implementation ………………………….. ………………………….. ………………………….. …… 6
Router Implementation ………………………….. ………………………….. ………………………….. ……….. 7
Integrated Architecture ………………………….. ………………………….. ………………………….. ……….. 7
Bump in the Stack (BITS) Architecture ………………………….. ………………………….. …………….. 7
Bump in the Wire (BITW) Architecture ………………………….. ………………………….. ……………. 7
Modurile IPsec: Transport si Tunnel ………………………….. ………………………….. …………………….. 8
Transport Mode ………………………….. ………………………….. ………………………….. …………………. 8
Tunnel Mode ………………………….. ………………………….. ………………………….. …………………….. 9
Moldul Transport v s Modul Tunnel ………………………….. ………………………….. ………………… 10
IPsec Authentication Header (AH) ………………………….. ………………………….. …………………….. 10
Plasarea cadrului AH si Linkarea acestuia ………………………….. ………………………….. ……….. 10
Plasarea cadrului AH IPv6 ………………………….. ………………………….. …………………………. 10
Plasarea cadrului AH IPv4 ………………………….. ………………………….. …………………………. 11
Formatul AH ………………………….. ………………………….. ………………………….. ……………….. 11
Formatul ESP ………………………….. ………………………….. ………………………….. ………………. 12
IPsec Internet Key Exchange (IKE) ………………………….. ………………………….. ……………………. 12
IKEv1 ………………………….. ………………………….. ………………………….. ………………………….. … 12
IKEv2 ………………………….. ………………………….. ………………………….. ………………………….. … 14
Cazuri Speciale ………………………….. ………………………….. ………………………….. ………………… 14
Concluzie ………………………….. ………………………….. ………………………….. ………………………….. .. 15
Bibliografie ………………………….. ………………………….. ………………………….. …………………………. 15

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

3 Prezentarea protocolului IPsec, Istoric si Standarde

Serviciile si functiile IPsec
Marea problema cu adresele IP originale (IPv4) a fost epuizarea acestora datorita expansiunii
rapide a internetului dincolo de toate asteptarile dezvoltatorilor la aparitia acestuia. Si problema
securitatii a aparut ca urmare a neco ncordantei dintre cum a fost intrenetul cand a fost creat protoculul
Ipv4 si cum este acum.
Problema securitatii a apacum pentru ca acum 25 de ani, internetul a avut un numar
nesemnificativ de utilizatori si relativ privat. Proportional cu cresterea masiva a internetului a cresc ut si
nevoia securitatii. Utilizarea protocolului TCP/IP a fost folosit de retele mici in vederea cercetarii
guvernamentale cum ar fi United States Defense Advanced Research Projects Agency (DARPA sau
ARPA). In astfel de retele intalneam o securitate hardw are. Pentru a asigura securitatea administratorii
refuzau accesul oricarui host ce incerca sa se conecteze la retea.
Aceasta metota a fost eficienta cat timp in internet nu se gaseau mai mult de cateva zeci de
hosturi. Chiar si atunci cand internetul a in ceput sa creasca, acesta era folosit pentru a conecta
administratorii de retea. Cu timpul au aparut mici site -uri si putini stiau de identitatea site -urilor noi
aparute. Cu toate acestea, odata cu expansiunea internetului si introducerea acestuia catre uti lizatori,
managerierea securitatii acestei retele a devenit imposibila. Astazi exista un numar neidentificat de
routere ce stau intre cel ce expedieaza un pachet de date si cel ce il primeste. Nu putem presupune ca
datele trimise sunt in siguranta.
Un num ar de metode au fost propuse pentru a acoperi aceasta gaura a securitatii. Majoritatea
se focuseaza asupra layer -urilor inalte din protocolul OSI. Aceste solutii sunt vulnerabile in anumite
situatii dar ele nu pot fi generalizate cu usurinta pentru sunt pa rticulare pentru multe aplicatii. Ca
exemplu putem folosi Secure Sockets Layer (SSL) pentru o aplicatie de tip World Wide Web say File
Transfer Protocol (FTP). Cu toate acestea exista sute de aplicatii pentru care acest tip de securitate nu
este eficient.
A fost nevoie de o solutie ce sa ofere o securitate sporita la nivel IP astfel incat alte protocoale
High -levle din cadrul TCP/IP sa profite. Dupa ce s -a luat decizia de a creea o noua versiune de IP (Ipv6),
aceasta a devenit o oportunitare majora de a re zolva anumite probleme din vechiul Ipv4, una dintre ele
fiind problema securitatii. Noi tehnologii pentru asigurarea securitatii compatibile Ipv6 au fost
dezvoltate, dar intrucat a fost nevoie de ani pentru ca Ipv6 sa intre in functiune iar nevoia securita tii este
acum, aceste solutii au fost proiectate atat pentru Ipv6 cat si pentru Ipv4.
Aceste noi tehnologii presupun comunicarea sigura intre IP -uri si sunt numite „IP security”, abreviat
IPsec sau IPSEC.

Date generale IPsec
Ip sec nu este un singur pr otocol, ci mai degraba un set de servicii si protocoale ce furnizeaza
o securitate sporita asupra retelelor de tip IP. Aceste servicii si protocoale se combina pentru a asigura
diferite tipuri de protectie. Cum Ipsec actioneaza acupra layer -ului IP, el fur nizeaza protectie pentru
toate layer -urile superioare acestuia fara a avea nevoie de o metoda de securitate aditionala.

Standarde IPsec

Pentru ca Ipsec reprezinta o colectie de tehnologii si protocoale, nu este definit un singur
standard. In schimb regasim o colectie de RFC -uri ce definesc arhitectura acesteia, servicii, si protocoale
folosite in Ipsec. Cele mai importante dintre aceste a le-am enumerate in tabelul 1 , ele fiind publibate in
noiemnbrie 1998.

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

4
RFC Number Nume Descriere
2404 Security Architecture for the Internet Protocol Principalul articol despre Ipsec
ce descrie arhitectura, ce
specifica cum se comporta
fiecare componenta
2402 IP Authentication Header Defineste Header -ul Ipsec de
autentificare ( Authentication
Header) , ce asigura integritatea
si originea datelor
2403 The Use of HMAC -MD5 – 96 within ESP
and AH Descrie un anumit algoritm de
criptare folosit de AH si
protocolul ESP
2404 The Use of HMAC -SHA – 1-96 within ESP
and AH Descrie un anumit algoritm
folosit de AH si ESP numit
Secure Hash Algorithm (SHA –
1)
2406 IP Encapsulating Security Payload (ESP) Descrie protocolul ESP, ce
asigura cryptarea datelor
2408 Internet Security Association and Key
Management Protocol (ISAKMP) Defineste metodele de schimb
al cheilor
2409 The Internet Key Exchange (IKE) Descrie protocolul IKE ce este
folosit la negocierea si schimbul
de chei dintre device -uri
2412
The OAKLEY Key Determination
Protoco l Descrie un protocol generic
pentru schimbul de chei IP
Authentication Header
Tabelul 1: O parte din cele mai importante standarte utilizate in cadrul IPsec

Implementarea protocolului Ipsec a inceput sa se dezvolte abia in ultimii ani. O utilizare foarte
importanta a acestei tehnologii o regasim in implementarea retelelor private virtuale (VPN).

Operatii IPsec , Componente si protocoale

In termeni generali Ipsec asigura securitatea la nivelul layer -ului IP, penru alte protocoale
TCP/IP si numeroase aplicatii. IPsec furnizeaza instrumentele de care device -urile au nevoie pentru a
comunica in siguranta. Cand doua device -uri (end -user hosts sau device -uri inter mediare cum ar fi un
router sau un firewall) doresc sa se angajeze intr -o comunicare sigura, ele stabilesc o cale sigura intre
ele ce traverseaza mai multe sisteme “nesigure”. Pentru a reusi acest lucru ele trebuie sa indeplineasca
(cel putin) urmatoarele cerinte:
– Trebuie sa stabileasca un set de protocoale de securitate pentru ca cel ce trimite datele sa
fie inteles de catre cel ce le primeste.
– Trebuie sa se decida asupra unui anumit algoritm de criptare.
– Trebuie sa faca schimbul de chei pentru decriptarea datelor.

Protocoale de baza IPsec

Pentru a indeplini toate taskurile necesare realizarii unei conexiuni sigure, in figura 4 am
ilustrat cele doua tehnologii de baza numite si core protocols of IPsec:
Headerul de autentificare IPsec (Ipsec Authentication Header (AH)) Acest protocol
furnizeaza certificarea serviciilor pentru IPsec. Acesta ii permite destinatarului sa verifice daca
expeditorul initial este cel ce a trimis pachetul. Mai mult, acest header ii permite destinatarului sa verifice

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

5 daca datele nu au fost modificate pe drum de catre alte deviceuri si asigura protectie pentru asa numitele
“replay attacks”, unde mesajul este capturat de catre un user neautorizat si retrimis catre destinatar.
In figura 1 am ilustrat partea securizata a unui AH.

1 7 15 23 31

Header IP
Urmatorul Header Lungimea Payloadului Rezervat
Indicele parametru de securitate (SPI)
Numar de secventa (Sequence Number)
Authentication Data
Payload
Figura 1: Parea securizata a unui AH.

Deoarece AH protejeaza si cadrul IP, unele dintre campurile sale nu trebuie protejate:

1 7 15 23 31

Ver. IHL TOS Lungime totala
Identificare Flags/Fragment Ofset
TTL Protocol Suma de control
Adresa sursa
Adresa destinatie
Figura 2: Campurile neprotejate dintr -un cadru .

In figur ile 1 si 2, campurile colorate cu gri reprezinta partea securizata.

Incapsularea payloadului de securitate (Encapsulating Security Payload (ESP)) AH
asigura integritatea datelor dar nu si securitatea lor. Odata ce este asigurata integritatea mesajului aceasta
este criptata folosind ESP.

1 7 15 23 31

Indicele parametru de securitate (SPI)
Numar de secventa (Sequence Number)
Vectorul de initializare (Initialization Vector)

Protected Data

Pad
Pad Dimensiunea padului Urmatorul header
Informatia certificate (Authentication Data) (optional)
Figura 3 Cadru dupa incapsularea ESP

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

6

Suita de protocoale IPsec Ipsec Core Protocols

Ipsec Authentication Header
(AH)

Encapsulating Security Payload
(ESP)
Ipsec Support Components

Encryption/ Hashing Algorithms

Security Policies

IKE/ Key Management

Figura 4 : Suita de protocoale IPsec

Componentele de suport IPsec

AH si ESP sunt considerate a fi protocoale, chiar daca acesta este un alt caz cand folosirea
acestui termen este discutabil. Nu sunt protocoale diferite dar sunt implemantate ca headere ce sunt
inserate in cadrul IP. Ele nu pot functiona independent. Pentru a funciona ele au nevoie de suportul unor
alte protocoale si se rvicii specificate in figura 4 . Mai jos voi defini cele mai importante protocoale de
suport.
Algoritmi de criptare/ Algoritmi hash. AH si ESP nu specifica exact mecanismul folosit pentru
criptare. Ele ofera flexibilitate in lucru lasand la voi a destinatarului si a expeditorului sa stabileasca
algoritmii folositi. Doua dintre cele mai folosite algoritme in cadrul IPsec sunt “Message Digest 5
(MD5)” si “Secure Hash Algorithm 1 (SHA -1)”.
Politici de securitate, Asociatii de securitate si metode de management. Intrucat Ipsec
asigura flexibilitate deviceurilor in stabilirea algoritmilor folositi, are nevoie de unele mijloace pentru a
tine evidenta relatiei de securitate dintre deviceuri. Acest lucru se realizeaza in IPsec folos ind anumite
politici de securit ate si asociatii de securitate.
Framework -uri si mecanisme pentru schimbul de chei Pentru ca doua deviceuri sa faca
schimb de informatii criptate, ele au nevoie sa fie capabile sa realizeze schimbul de chei pentr u
decriptare. In cadrul IPsec, exista un protocol numit Internet Key Exchange (IKE) ce asigura acest
schimb intre deviceuri.

Arhitectura IPsec si metode de implementare

Exista trei implementari ale arhitecturii IPsec definite in RFC 2401. E le difera prin diferiti factori
cum ar fi tipul de IP folosit (IPv4 sau IPv6), tipul de aplicatie si alti factori. De aici rezulta si doua tipuri
de implementari a arhitecturii IPsec.

End -Host Implementation
Prima metoda este “End -Host Imple mentation”. Implementarea IPsec pe toate hosturile asigura
cea mai mare flexibilitate si securitate. Permite o securitate de tip “end -to-end” intre doua deviceuri
intr-o retea. Cu toate acestea sunt foarte multe hosturi intr -o retea iar de aici rezulta si un eform mult
mai mare in implementare.

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

7 Router Implementation
A doua metoda este implemantarea de tip “Router Implementation”. Aceasta optiune confera
un effort minim deoarece executa modificari doar pentru cateva rutere si nu pentru sute de mii de clienti.
Asigura protectie doar intre routerele pe care este implementat Ipsec, dar aceasta poate fi suficinta pentru
aplicatii de tip VPN.

Sunt definite trei arhitecturi diferite de descriu metodele pentru implementare Ipsec -ului in
cadrul stivei IPsec: “integrated”, “bump in th e stach” si “bump in the wire”.
Integrated Architecture
In circumstante ideale, am integra protocoalele Ips ec direct in IP. Aceasta ar fi cea mai eleganta
solutie pentru ca le permite modulelor de securitate Ipsec sa fie inserate direct in cadrul IP. Nu ar mai fi
nevoie de niciun layer.
IPv6 a fost proiectat ca si suport pentru IPsec. Prin urmare, este o optiu ne viabila pentru hosturi sau
routere. Cu IPv4, integrarea ar necesita schimbari in implementarea fiecarui device (ceea ce nu este
tocmai practic!).

Bump in the Stack (BITS) Architecture
In aceasta tehnica, Ipsec a creat un layer separate in tre IP si “data link layer”. Numele sugereaza
faptul ca IPsec e un element extra in stiva cunoscuta, cu m puteti observa in Figura 5.

Figura 5: Arhitectura BITS

Avantajul unei asemenea tehnologii o reprezinta faptul ca Ipsec poate fi plasat pe orice device
IP, avnad in vedere ca functionalitatile IPsec sunt separate de cele ale IP -ului. Dezavantajul este ca am
depune un effort dublu comparativ cu tehnologia prezen tata anterior .

Bump in the Wire (BITW) Architecture
In aceasta metoda, adaugan un device hardware ce asigura serviciile Ipsec. Presupunem ca avem
o companie cu doua siteuri. Fiecare dintre ele are o retea conectata catre internet folosind un router ce
nu recunoaste nici o functionalitate a IPsecului. Putem interpune un device IPsec intre router si internet,
ca si in figura 6 . Aceste deviceuri vor intercepta cadrele IP si le vor adauga “protectia IPsec”.

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

8
Figura 6: Arhitectura BITW

Dezavantajul acestei metode o reprezinta costul si complexitatea implementarii.
Chiar daca BITS si BITW sunt putin diferite, ambele propun o arhitectura de implementare Ipsec. In
cazul metodei BITS, folosim un “extra” layer ce sporeste securitate a IP, in cazul BITW folosim un
device hardware pentru acelasi rezultat. In ambele cazuri rezultatul este acelasi.

Modurile IPsec : Transport si Tunnel

Alegerea celor trei metode de implementare au in impact in alegerea modurilor IP. Exista d oua
moduri specifice ce pot fi implementate in functie de cele trei arhitecturi prezentate anterior si anume
“transport mode” si “tunnel mode”.
Modurile IPsec au o stransa legatura cu protocoalele de baza AH si ESP. Ambele protocoale
asigura protectia adaugand un nou header (si probabil adaugarea altor campuri) ce contine informatii
legate de securizatea cadrului IP. Alegerea modurilor nu afecteaza metoda pentru care fiecare genereaza
headerul, ci schimba aranjamentul in cadrul IP. In esenta m odurile descriu cum AH sau ESP ar trebui
sa isi faca treaba. Sunt folosite ca basicul in definirea asociatiilor de securitate (SAs).

Transport Mode
Cum sugereaza si numele, in “transport mode”, protocolul protejeaza mesajele transmise in jos
catre IP de la layerul transport. Mesajul este procesat de catre AH sau/si ESP, si anumite headere sunt
adaugate inaintea headerului transport (UDP sau TCP). Headerul IP este adaugat ulterior de catre IP.
O alta metoda de a privi lucrurile es te urmatoarea. De obicei, layerul transport impacheteaza
mesajul pentru transmitere si il trimite IP ului. Din perspectiva IP ului, acest mesaj de la layerul transport
este un payload adaugat cadrului IP. Cand este utilizat IPsec in layerul transport, head erul IPsec este
adaugat doar peste payloadul IP, nu peste headerul IP. Headerele AH si ESP apar intre headerul IP si
payloadul IP. Aceasta metoda este ilustrata in figura 7.

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

9
Figura 7: Modul Transport

Tunnel Mode
In acest mod IPsec este folosit pentru a proteja complet cadrul incapsulat dupa ce a fost adaugat
headerul IP. Headerele IPsec apar inaintea headerului IP original pentru ca apoi un nou header IP sa fie
adaugat inaintea headerului IPsec. Am ilustrat acest mod in figura 8 .

Figura 8: Modul Tunnel

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

10 Moldul Transport vs Modul Tunnel
Principala diferenta dintre cele doua moduri este ca spre deosebire de modul “Transport”, modul
“Tunnel” protejeaza cadrul IP in totalitate. Prin urmare, in termeni generali, ordinea headerelor in
ambele moduri este urmatoarea:
Modul Transport : Header IP, Headere IP (AH sau/si ESP), payload IP (incluzand si headerul
transport) .
Modul Tunnel : Un nou header IP, Headere IPsec (AH sau/si ESP), vechiul header IP,
Payloadul IP.
Aceasta este o abordare simplista asupra cum sunt contruite cadrele IPsec. Modul exact in care
sunt asezate headerele in cadrele IPsec difera la ambele moduri, transport si tunnel, in functie de
versiunea de IP folosita. IPv6 foloseste he adere extinse ce trebuie aranjate intr -un mod specific cand
IPsec este folosit. Aranjamentul headerelor depinde si de ce protocol IPsec este folosit, AH sau ESP. In
cazul in care sunt folosite ambele protocoale, headerul AH este plasat inaintea headerului ESP.

IPsec Authentication Header (AH)

Cum am mentionat si mai sus, AH este una dintre cele doua protocoale de securitate de baza din
IPsec. Are un nume sugestiv deoarece el asigura certificarea partiala sau totala a cadrului dup ace
acestuia i s -a mai a daugat un header.
Expeditorul foloseste un algoritm stardard cu scopul de a calcula o suma de control sau un code
CRC vazat pe continutul mesajului. Acest rezultat este transmis odata cu mesajul original. Aceeasi idee
sta si in spatele AH ului, doar ca i n acest caz in loc sa foloseasca un algoritm simplu cunoscut de toata
lumea, el foloseste un algoritm special, numit algoritm hash, si o cheie specifica cunoscuta doar de
expeditor si destinatar. Un SA dintre cele doua deviceuri specifica aceste particular itati, astfel incat
expeditorul si destinatarul sa ia la cunostinta de metodele stabilite. Pe deviceul sursa, AH realizeaza
calculul si pune rezultatul intr -un header impreuna cu alte campuri. Deviceul destinatie face aceleasi
calcule ca si deviceul sursa folosing cheia stiuta doar de cele doua deviceuri. Acest lucru permite
destinatarului sa verifice integritatea mesajului.
Doar o suma de control nu modifica mesajul initial, si nici ICV -ul. Prezenta unui header AH ne
permite sa verificam integritatea mesa jului, dar nu il si cripteaza (aceasta sarcina ii revine ESP -ului).

Plasarea cadrului AH si Linkarea acestuia
Calculele realizate de AH sunt similare atat pentru IPv4 cat si pentru IPv6. O diferenta sta in
aranjamentul headerelor in cadru si linkarea loar cu alte headere.
Plasarea cadrului AH IPv6
In cazul unui IPv6, AH insereaza in cadrul IP o extensie a header ului urmata de headerul normal
IPv6. Este linkat cu headerul anterior, care pune o valoare stabilita pentru headerul AH (51) in campul
“Next Header”.
In modul transport, Ah este plasat in cadrul principal al IP uluisi apare inainte de orice header
“Dest ination Options” ce contine informatii privind destinatia finala si inainte de headerul ESP (daca
este prezent). In modul tunnel, apare ca un header de extensie ce apartine cadrului IP. Acest lucre este
ilustrat in Figura 9.
Figura 9

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

11 Plasarea cadrului AH IPv4
In cazul unui IPv4, exista o medota similara celei pentru IPv6. Intr -un cadru IPv4, campul
Protocol indica identitatea unui protocol de level mai mare (de obicei TCP sau UDP) ce transporta
cadrul. Ca atare acest camp indica exact catre urmatorul head er ce se regaseste in fata payloadului IP.
AH preaia valoarea acestuia si o pune in campul Next Header. Acest lucru face ca headerul IP sa pointeze
catre AH, care pointeaza la randul ei catre un alt cadru IP.
In modul transport , headerul AH este adaugat d upa headerul IP principal, in modul tunnel este
adaugat dupa noul header IP care este incapsulat odata cu cadrul original ce urmeaza a fi “tunnelat”.

Figura 10.1: Formatul AH al cadrului IPv4 (Modul Transport)

Figura 10.2: Formatul AH al cadrului IP v4 (Modul Tunnel)

Formatul AH
Formatul AH este descries in tabelul 2 si ilustrat in figura 11.
Numele
Campului Dimensiunea
(Bytes) Descriere
Urmatorul Header 1 Folosit pentru linkarea headerelor.
Dimensiunea
Payloadului 1 Contrar numelui sau, acest camp masoara dimensiunea
headerului de certificare, si nu al payloadului.
Rezervat 2 Nu este folosit; setat pe 0.
SPI 4 O valoare de 32 de bit ice indentifica SA -ul ce va fi
folosit in cadru.
“Sequence
Number” 4 Un camp ce este completat cu 0 cand un SA s -a format
intre cele doua deviceuri, si incrementat de fiecare data
cand un cadru foloseste acel SA.
“Authentication
Data” Variabil Contine rezultatul algoritmului hash, numit Integrity
Check Value (ICV)
Tabelul 2: Formatul AH.

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

12

Figura 11: Formatul AH.
Formatul ESP
Formatul ESP este ilustrat in figura 12.

Figura 12: Formatul ESP

IPsec Internet Key Exchange (IKE)
IKEv1
Negocierea IKEv1 este alcătuită din două etape sau faze, numite sugestiv Phase1 și Phase2 .
Prima fază are rolul de a autentifica entitățile de IPSec, de a stabili o asociere de securitate și de a deriva
cheile Diffie -Hellman din care vor fi derivate ulterior cheile efective de criptate și/sau autentificare
pentru traficul de date. Prima fază are la rândul ei două variante sau moduri : modul principal – main
mode și modul agresiv – aggressive mode , fiecare redat mai jos. Faza a doua este numită modul rapid
– quick mode .

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

13
Figura 13: S ase mesaje care se schimbă între inițiatorul și responderul de IPsec.

Figura 14: Aceasta figura rep rezinta Modul agresiv ce cuprinde un număr de trei mesaje schimbate
și este considerat un schimb nesigur, de aceea nu se mai recomandă utilizarea lui.

Figura 15: Aceasta figura surprinde Modul rapid cuprinde un număr de trei mesaje și este
dependent de realizarea unui schimb anterior (de tip principal sau agresiv), care să protejeze
informația conținută în aceste pachete. Modul de bază (fără schimb de chei) împrospătează
informația din materialul criptografic de rivat în schimbul de prima fază. Acest procedeu nu
furnizează însă serviciul de PFS – Perfect Forward Secrecy, serviciu care poate fi obținut prin
utilizarea unui payload special de schimb de chei + KE, care presupune încă o exponențiere.

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

14 IKEv2
Negocierea IKEv2 are un singur mod de stabilire si cuprinde un schimb inițial – Initial
Exchange și un schimb de creare de asocieri de securitate – CREATE_CHILD_SA Exchange .

Cazuri Speciale
Atât IKEv1, cât și IKEv2 au definit un timp de validitate (sau de expirare) al cheilor negociate,
pentru a proteja traficul criptat și/sau autentificat de eventualele atacuri asupra cheii, la o utilizare
îndelungată a acesteia. Acest timp este numit lifetime (durată de viață). După o valoare n egociată a
acestui lifetime (în IKEv1) sau după aceeași valoare, dar stabilită individual (în IKEv2), protocolul de
IKE împrospătează valoarea cheilor prin procedeul numit rekey . Un caz special de rekey este
numit PFS – Perfect Forward Secrecy, în care est e refăcută negocierea Diffie -Hellman și se obține un
nou set de chei, care va fi materialul criptografic de bază pentru noile negocieri. Renegocierea cheilor
se poate face și ca urmare a depășirii unui anumit volum de date transmis prestabilit. Presupunând că un
atacator a capturat tot traficul transmis pe un anumit canal securizat, se dorește ca acesta să nu dispună
de suficient de multă informație criptografică pentru a deduce cheia de criptare și a despacheta
informația încapsulată.
În oricare dintre cla sificările IPsec, setul de adrese IP externe se presupune a fi alcătuit din adrese
publice, pentru a putea obține corecta autentificare a părților. IETF a definit și maniera în care negocierea
IKE poate avea loc fără ca cele două (sau mai multe) adrese IP participante să fie publice, anume cazul
în care acestea se găsesc în spatele unui sistem de NAT – Network Address Translation. În acest caz
special, negocierea IKE nu se mai realizează pe portul 500, ci pe 4500, după ce entitățile au făcut în
prealabil o probă a adresabilității directe și au determinat că cel puțin una dintre ele se află în spatele
unui server de NAT .
Cele mai multe imple mentări de IPsec încearcă să realizeze pe cât posibil optimizarea utilizării
resurselor computaționale disponibile. Un exemplu în acest sens este închiderea tunelului IPsec în cazul
în care nu se mai trimit date pentru o anumită durată de timp, sau dacă lă rgimea de bandă ocupată pentru
o anumită conexiune este nulă. Dacă aceasta este configurația implicită, pentru anumite conexiuni se
poate dori suprascrierea ei și menținerea acelei conexiuni. Una dintre posibilitățile puse la dispoziție de
standard se nume ște DPD – Dead Peer Detection. Acesta este un mecanism de timp keepalive care
presupune trimiterea unui pachet între capetele conexiunii, la un interval stabilit. [1]

Tabuncic Simon (E-214B ), Internet Protocol Security (IPsec)

15 Concluzie

Internet Protocol Security (IPsec) este o suită de protocoale pentru securizarea comunicațiilor
peste stiva TCP/IP . Această suită se bazează pe folosirea funcțiilor matematice și a algoritmilor
de criptare și autentificare pentru a asigura confidențialitatea, integritatea și non -repudierea informațiilor
din fiecare pachet IP transmis pe rețea. IPSec este la ora actuală una dintre cele mai folosite metode de
securizare a transmisiei pe Internet, alături de SSL ( Secure Sockets Layer ) și TLS ( Transport Layer
Security ). Spre deosebire de acestea, protocoalele IPSec se regăsesc la nivelul 3 al stivelor TCP/IP
și ISO-OSI, ceea ce face posibilă securizarea tuturor aplicațiilor care folosesc stiva TCP/IP. Printre
numeroasele avantaje ale acestor suite de protocoale putem enumera confidentialitate pachetelor (prin
criptarea datelor trimise), integri tatea pachetelor (fiecare router prin care trece pachetul calculeaza o
suma de control), folosirea semnaturilor si certificatelor digitale.

Bibliografie

[1] https://ro.wikipedia.org/wiki/IPsec#Modul_de_func.C8.9Bionare
[2] http://www.ccs -labs.org/teaching/netsec/2012s/11_IPSec.pdf
[3] http://www.cs.rpi.edu/academics/courses/spring05/netprog/ipsec.pdf
[4] http://cdn.ttgtmedia.com/searchEnterpriseLinux/downloads/Kozierok_Ch29. pdf