FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630890]
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
PROIECT DE DIPL OMĂ
COORDONATOR ȘTIINȚIFIC
Prof. Dr. Ing. Vlăduțiu Mircea
ABSOLVENT: [anonimizat]
2018
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
TRATAREA UNOR ASPECTE PRIVIND
CONFIGURARE A ȘI SECURITATE A UNEI REȚELE
DE CALCULATOARE
COORDONATOR ȘTIINȚIFIC
Prof. Dr. Ing. Vl ăduțiu Mircea
ABSOLVENT: [anonimizat]
2018
UNIVERSITATEA DIN ORADEA
FACU LTATEA DE INGINE RIE ELECTRICĂ ȘI TEHNOLOGIA INFORMAȚIEI
DEPARTAMENTUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
TEMA: SECURITATEA REȚELELOR DE CALCULATOARE
Proiectul de Finalizare a studiilor a student: [anonimizat]
1). Tema proiectului de finalizare a studiilor : TRATAREA UNOR ASPECTE PRIVIND
CONFIGURARE A ȘI SECURITATE A UNEI REȚELE DE CALCULATOARE
2). Termenul pentru predarea proiectului de diplomă ____ ______________________________
3). Elemente inițiale pentru elaborarea proiectului de finalizare a studiilor :
Documentația aferentă ;
Platforma de experimentare ;
4). Conținutul proiectului de finalizare a studiilor :
Succit c apitol ul introductiv cu precizarea domeniului căreia îi aparține lucrarea și a structurii
acesteia;
Partea aplicativă referitoare la configu rarea și securitate unei rețele de calculatoare incluzând
rezultate experimentale pentru investigațiile applicative;
Concluzii rezumative.
5). Material grafic:
Tabele și reprezintări grafice corespunzătoare rezultatelor experimentale .
6). Locul de do cumentare pentru elaborarea proiectului de diplomă :
Interprindere și la Biblioteca Universități i “Politehnica” din Timișoara
7). Data emiterii t emei_______________________________________________________
Coordonator științific
Prof. Dr. Ing. Vl ăduțiu Mircea
UNIVERSITATEA DIN OR ADEA
FACULTATEA DE INGINERIE ELECTRICĂ
ȘI TEHNOLOGIA INFORMAȚIEI
Adresa Oradea, Cod 410087, Bihor, Romania, Strada Universit ății,
nr. 1,
Tel/Fax :+40 259/408412, Tel:+40 259/408104; +40 259/408204
REFERAT
PRIVIND PROIECTUL DE DIPLOMĂ
A
ABSOLVENT: [anonimizat] : Vulpe Ovidiu -Viorel
DOMENIUL Calculatoare și tehnologia informației
SPECIALIZAREA Tehnologia informației
PROMOȚIA 2018
1. Titlu l proiectului TRATAREA UNOR ASPECTE PRIVIND CONFIGURAREA ȘI
SECURITATE A UNEI REȚELE DE CALCULATOARE
2. Structura proiectului
Capitolul I. Introducere
Capitolul II. Riscuri de securitate și metode de securizare a rețelei
Capitolul III VPN – Rețea V irtuală Privată
Capitolul IV Realizarea practică a proiectului
3. Apreci eri asupra conținutului proiectului de DIPLOMĂ (finalizare a studiilor ), mod
de abordare, complexitate, actualitate, deficiențe :
Lucrarea se caracterizează printr -o construcție echilibra tă cu o bună ponderare între
dezvoltarea noțiunilor și descrierea aplicativă.
Lucrarea tratează o problematică de strictă a ctualitate luând în considerație importanța
domeniului.
Studentul reprezintă corect elementele teoretice esențiale folosindu -le în lu crare doar în
măsura în care contribuie la înțelegerea părții aplicative.
Lucrarea conține o parte aplicativă consistentă explicând soluții cu caracter de originalitate.
4. Aprecieri asupra proiectului (se va menționa: numărul titlurilor bibliografice
consultate, frecvența notelor de subsol, calitatea și diversitatea surselor consultate;
modul în care absolventul a prelucrat informațiile din surse teoretice)
Sunt utilizate referințele bibliografice de marcă în domeniu, totuși investigația din literatura
de specialitate este limitată.
Sursele bibliografice sunt alese în mod corespunzător .
(se va menționa: opțional locul de documentare și modul în care absolventul a realizat
cercetarea menționându -se contribuția autorului)
Autorul alege în mod corect sursel e de literatură, lucrarea având la bază un număr de 22
surse bibliografice.
5. Concluzii (coordonatorul proiectului trebui e să aprecieze valoarea proiectului
întocmit , relevanța studiului întreprins, competențele absolventului, rigurozitatea pe
parcursul el aborării proiectului , consecvența și seriozitatea de care a dat dovadă
absolventul pe parcurs)
În baza celor mai sus menționate apreciez că lucrarea elaborată de absolvent este valoroasă,
fiind bazată pe un amplu studiu de literatură de specialitate . Pe pa rcursul elaborării lucrării de
licență, autorul a dovedit seriozitate și consecvență în elaborarea lucrării de licență.
6. Redactarea proiectului respectă …………………………………………………. cerințele
academice de redactare (părți, cap itole, subcapitole, note de subsol și bibliografie).
7. Consider că proiectul îndeplinește/ nu îndeplinește condițiile pentru susținere în
sesiunea de Examen de LICENȚĂ (finalizare a studiilor ) din IULIE 2018 și propun
acordarea notei ………………
Oradea,
Data Coordonator științific
Prof. Dr. Ing. Vl ăduțiu Mircea
1 Cuprins .
CAPITOLUL 1 ………………………….. ………………………….. ………………………….. ………………………….. … 2
1.Introducere. ………………………….. ………………………….. ………………………….. ……………….. 2
1.1 Ideea și scopul proiectului. ………………………….. ………………………….. ……………………. 3
1.2 Structura lucrări. ………………………….. ………………………….. ………………………….. ……… 3
CAPITOLUL 2 ………………………….. ………………………….. ………………………….. ………………………….. … 5
2.Riscuri de securitate și metode de securizare a rețelei. ………………………….. …………….. 5
2.1 Tipuri de atac. ………………………….. ………………………….. ………………………….. …………. 5
2.1.1 Atacuri de recunoaștere. ………………………….. ………………………….. …………………….. 5
2.1.2 Atacuri acces. ………………………….. ………………………….. ………………………….. ………. 6
2.1.3 Atacurile DoS. ………………………….. ………………………….. ………………………….. ……… 8
2.1.4 Viruși, viermi, troieni . ………………………….. ………………………….. …………………….. 10
2.2 Securitatea prin criptare. ………………………….. ………………………….. ……………………… 11
2.2.1 Criptarea Simetrică. ………………………….. ………………………….. …………………………. 12
2.2.2 Criptarea Asimetrică. ………………………….. ………………………….. ……………………….. 13
2.3 Securitatea prin Firewall. ………………………….. ………………………….. ……………………. 15
2.4 AAA(Authentication, Authorization and Accounting). ………………………….. ……….. 16
2.5 Secure Shell (SSH). ………………………….. ………………………….. ………………………….. .. 18
2.6 ACL – IP Access Control List. ………………………….. ………………………….. …………….. 19
2.7 Translatarea de adrese. ………………………….. ………………………….. ……………………….. 20
CAPITOLUL 3 ………………………….. ………………………….. ………………………….. ………………………….. . 22
3.VPN – Virtual Private Network. ………………………….. ………………………….. ……………… 22
3.1 Tipuri de rețele VPN. ………………………….. ………………………….. …………………………. 25
3.2 Protocolul IPSec. ………………………….. ………………………….. ………………………….. …… 27
3.2.1 Protocolul Authentication Header. ………………………….. ………………………….. …….. 30
3.2.2 Protocolul Encapsulating Security Payload. ………………………….. ……………………. 31
CAPITOLUL 4 ………………………….. ………………………….. ………………………….. ………………………….. . 33
REALIZAREA PRACTICĂ A PROIECTULUI ………………………….. ………………………….. ………. 33
4.1 Prezentarea temei de proiect. ………………………….. ………………………….. ……………….. 33
4.2 Utilitare pentru simularea și configurarea rețelei. ………………………….. ……………….. 33
4.3 Arhitectura Rețelei. ………………………….. ………………………….. ………………………….. .. 35
4.4 Configurarea Switchurilor. ………………………….. ………………………….. ………………….. 38
4.5 Configurarea Routerelor. ………………………….. ………………………….. …………………….. 41
CONCLUZII ………………………….. ………………………….. ………………………….. ………………………….. ….. 51
BIBL IOGRAFIE ………………………….. ………………………….. ………………………….. ………………………… 52
2
CAPITOLUL 1
1.Introducere .
La început când au apărut rețelele de calculatoare acestea au fost utilizate pentru trimiterea
poștei electronice sau pentru a partaja imprimantel e, problema securității nu era ceva important .
Acum, când milioane de oameni obișnuiți folosesc rețelele pentru operațiuni bancare, cumpărături și
plata taxelor, securitatea rețelei apare la orizont ca o mare problemă.
Securitatea rețelelor este considerat un subiect complex ce acope ră o mulțime de
imperfecțiuni. În forma sa simplă, ea asigură că persoane curioase nu pot citi sau modifica mesajele
destinate altor destinatari. Se ocupă de cei care încearcă să apeleze servicii la distanță pe care nu
sunt autorizați să le folosească. Securitatea se ocupă de problemele legate de capturarea și
falsificarea mesajelor autorizate și de cei ce încearcă să nege faptul că au trimis anumite mesaje.
Majoritatea problemelor de securitate sunt cauzate intenționat de persoane răuvoitoare ce
încearcă s ă obțină anumite beneficii sau să provoace rău cuiva. Realizarea unei rețele sigure implică
ceva mai mult decât păstrarea ei fără erori de programare. Problemele securității rețelei pot fi
împărțite în patru domenii : confidențialitate, autentificare, nerep udiere și controlul integrității.
Confidențialitatea se referă la păstrarea informației departe de utilizatorii neautorizați.
Autentificarea reprezintă determinarea identității persoanei cu care vorbești înainte de a dezvălui
informații importante . Nere pudierea implică semnături , cum poți fi sigur că mesajul pe care l -ai
primit a fost cel trimis și nu unul pe care cineva răutăcios l-a modificat în trazit sau l -a măsluit?
Securitatea reț elei reprezintă acum o componen tă în networking , implică proto coale,
dispozitive, tehnologii și tehnici pentru a securiza datele și atenuarea amenințărilor. Securitatea
rețelei este în mare măsură determinată de efortul de a rămâne cu un pas înaintea hackerilor.
Securitatea rețelei se referă direct la continuitatea afacer ii unei organizații. Breșele de
securitate de rețea: pot perturba e -commerce , cauzează pierderea de date, amenință intimitatea
oamenilor, compromit integritatea informațiilor . Aceste încălcări pot conduce la venituri pierdute,
furt de propietate intelectua lă, amenințări la siguranța publică.
Atacurile cibernetice au crescut considerabil în ultimii ani, conform unor rapoarte Eu ropol
infracțiunile comise în spațiul cibernetic provoacă anual pagube de aproximativ 1 trilion de dolari.
În iulie 2001, viermele Code Red a atacat servere web la nivel global, infectând peste
350.000 de gazde în câteva ore de la lansarea atacului. Viermele a perturbat accesul la serverele
infectate și la rețelele locale de găzduire a serverelor, provocând un atac DoS pentru milioane de
utilizatori. Dacă responsabilii cu securitatea rețelelor a acestor servere (infectate cu Code Red) ar fi
dezvoltat și implementat o politică de securitate, iar patch -urile de securitate ar fi fost aplicate în
timp util, atacul ar fi fost oprit.
Viermel e SQL Slammer din ianuarie 2003 a încetinit traficul de internet la nivel mondial, ca
urmare a unui atac de tip DoS.
– în primele 30 de minute de la lansare au fost afectate peste 250.000 de gazde
– viermele a exploatat un bug buffer overflow în Microsoft SQL Server
– un patch pentru această vulnerabilitate a fost lansat la mijlocul anului 2002, astfel încât au
fost afectate serverele care nu au avut actualizate patch -urile.
3 WannaCry un software rău intenționat, care viza sistemul de operare Microsoft Windows.
Atacul de tip ransomware mai 2017,a infectat peste 230.000 de calculatoare din 150 de țări,
software -ul cerând cumpărare plătibilă în criptomoneda Bitcoin . Atacul a fost descris de către
Europol ca fiind de o scară fără precedent.
În același timp, au fost atacate ținte din 99 de alte țări. Acest atac de tip ransomware, sa
răspând it prin e -mail de phishing, răspândindu -se printr -o rețea în care nu au fost instalate
actualizări de securitate recente, infectând direct orice sistem expus. Un patch critic fusese public at
de Microsoft în martie 2017 pentru a înlătura vulnerabilitatea pe sistemele suportate, cu aproape
două luni înainte de atac, dar multe organizații totuși nu îl instalaseră încă [1].
1.1 Ideea și scopul proiectului .
Tema aleasă de mine se axează pe se curizarea și monitorizarea rețelelor de calculatoare ce
au la bază echipamente Cisco. Aplicația este configurată și dezvoltată utilizând emulatorul grafic
GNS3 (Graphical Network Simulator), unde sunt folosite echipamente și sisteme de operare Cisco.
Am al es această temă a domeniului rețelelor, datorită faptului că, securitatea acestora și cea
a infrastructurii IT la nivelul actual este unul din punctele forte ale funcționări unei companii sau a
unei afaceri de succes și nu în ultimul rând pentru a îmi perf ecționa cunoștințele și abilitățile în
domeniul rețelelor de calculatoare, dobândite în cadrul cursurilor sau la locul de muncă.
Scopul proiectului este de a simula o rețea de calculatoare pentru a trata unele aspecte
privind configurarea și securitate a unei rețele de calculatoare . Echipamentele folosite în topologia
rețelei au fost implementate și configurate în GNS3, aplicație folosită pentru a simula funcționarea
și configura echipamente Cisco. Ideea de bază a programului GNS3 este de a încărca IOS -urile
(sistemele de operare ale echipamentelor Cisco) în memoria calculatorului, transformându -l pe
acesta într -un router (sau o rețea de routere).
Pentru a reduce riscurile de securitate cea mai bună strategie este acea ca politicile să fie
implementate unita r (security in depth). Aceasta presupune evaluarea per asamblu a infrastructurii și
clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile indentificate trebuie
realizate planuri de măsuri, fie pentru reducerea expunerii la riscur i, fie pentru reducerea impactului
odată ce riscul s -a produs. La polul opus este implementarea punctuală a unui sistem specific de
securitate, de exemplu intrusion detection sau antivirus.
Deși aceste sisteme sunt foarte utile în cadrul ariei specifice de aplicabilitate, acestă
abordare lasă descoperite alte zone cu posibile breșe de securitate.
Mai toate discuțiile despre securitate se rezumă la problemele indentificate la diverse
sisteme. Ceea ce se ignoră însă este faptul că pentru a avea un sistem sig ur nu e suficient să avem
tehnologia corespunzătoare. Majoritatea breșelor de securitate identificate nu sunt datorate
problemelor tehnologice ci instalării și configurării necorespunzătoare sau datorită nerespectării
unor proceduri de utilizare și adminis trare a sistemului. [2]
Nu ne putem aștepta ca un sistem care nu a fost instalat și configurat corespunzător, care nu
e menținut la zi cu update -uri sau pentru care nu se respectă niște proceduri simple de utilizare și
administrare, să fie un sistem sigur. Un sistem sigur este un sistem bine proiectat, implementat,
utilizat și administrat .
1.2 Structura lucrări .
Capitolul 1 – prezintă câteva noțiuni introductive referitoare la securitatea rețelelor de
calculatoare, idea și scopul proiectului precum și aspecte generale privind securitate rețelelor .
Capitolul 2 – prezintă câteva noțiuni despre amenințări la adresa securități rețelelor de
calculatoate și tipuri de atac asupra acestora. Aspecte generale privind utilizarea Firewall pentru a
securiza rețelele. Urmează o prezentare a protocolului SSH ce asigură accesul securizat pe
4 echipamentele Cisco. În continuare am prezentat noțiuni despre criptografie, diferențe dintre
criptografia cu chei simetrice și cea cu chei asimetrice. În încheierea acestui capitolului am făcut o
prezentare generală a listelor de acces (ACL) și o scurtă descriere a trans latări adreselor IP (NAT).
Capitolul 3 – prezintă fundamente teoretice privind rețelele virtuale private (VPN), modul de
funcționare și tipurile de VPN. În continuare am prezentat protocolul IPSec, protocoalele de
securitate Authentication Header (AH) și Encapsulating Security Payload (ESP) . În încheierea
capitolui 3 am făcut o descriere a protocolului IKEv1.
Capitolul 4 – este dedicat realizări unei rețele virtuale und e am urmărit să configurez și să
implementez politicile de securitate despre care am vorbit în capitolele precedente. Pe switch am
configurat : port security, portfast și storm -control. Pe router au fost configurate liste de acces,
protocolul de rutare OSP F și pentru a avea acces securizat la rețeaua internă de la router -ul
HomeOffice (R4) , a fost creat un tunel IPSec over GRE.
5
CAPITOLUL 2
2.Riscuri de securitate și metode de securizare a rețelei .
O prima clasificare a riscurilor de securitate di stinge trei tipuri de atacuri: atacuri venite din
rețeaua Internet (au o rată de succes redusă), atacuri inițiate din rețeaua locală și atacuri generate de
pe același sistem – acasta avănd impact mult mai însemnat decât primele.
Deși au gradul de risc cel mai ridicat, atacurile inițiate de utilizatorii serverului țintă sunt
deseori tratate în grabă și unitar.
Principiul fundamental al securității, fie ea IT sau de orice altă natură, este:
”Securitatea unui sistem este egală cu securitatea celei mai slabe ve rigi.”
Altfel spus, nu are rost să cheltui sume enorme de bani pe sisteme de securitate dacă
utilizatorii folosesc drept parole propiul nume sau își țin parola lipită pe monitor.
Privită din perspectiva unui sistem IT, o soluție de securitate trebuie să in cludă atât o
politică de securitate, ce definește drepturile și responsabilitățile utilizatorilor, cât și specificații
pentru asigurarea securității fizice, a componentelor sistemului de operare, a aplicațiilor locale,
precum și a serviciilor de rețea.
O politică de securitate trebuie să stabilească un compromis între gradul de flexibilitate al
serviciilor IT și nivelul de securitate dorit. Cerințele de securitate ar presupune izolarea totală a
sistemului (rețelei) de lumea exterioară, dar o astfel de abord are duce la limitarea funcționalității,
cel mai adesea securitatea unui sistem este definită ca un set de metode de protecție menite să
descurajeze și să întârzie atacatorul.
Informațiile confidențiale p ot fi întâlnite în două stări într -o rețea. Se pot g ăsi pe dispozitive
fizice de stocare sau se pot găsi în trecere de -a lungul cablului sub formă de pachete. Aceste
informaț ii constituie multiple oportunități pentru atacuri din partea utilizatorilor din rețeaua internă,
precum și a utilizatorilor din exter ior (internet). [3]
2.1 Tipuri de atac .
Există mai multe tipuri de atac de rețea, altele decât viruși, viermi sau troieni. Clasificarea
atacurilor de rețea se face în trei mari categorii: atacuri de recunoaștere, atacuri acces și atacuri
DoS.
2.1.1 Atacuri de recunoaștere .
Un atac de recunoaștere constă în recoltarea informațiilor despre o anumită rețea, în multe
cazuri, preced un atac de tip acces sau DoS. Intrusul malware începe prin executarea unui ping
sweep asupra rețelei țintă, pentru a determina ce a drese IP sunt active, apoi determină ce servicii sau
porturi sunt disponibile pe sistemele cu adresele IP active. Intrusul interoghează porturile pentru a
determina tipul și versiunea sistemul de operare și aplicațiile ce rulează pe hostul țintă, el caută
servicii vulnerabile ce pot fi exploatate mai târziu. Atunci când sunt utilizate în mod legal,
aplicațiile de ping sweep și port scan, servesc la indentificarea serviciilor vulnerabile. Un atacator
utilizează informațiile prin examinarea adreselor IP, a po rturilor TCP și UDP pentru a reuși să
compromită un sistem .
6 2.1.2 Atacuri acces .
Una din cele mai sigure metode de a obține accesul priveligiat este de a sparge parola. Acest
lucru presupune că atacatorul are deja acces pe un sistem din rețea șsi dorește acces privegiliat.
Parola nu este salvată pe hard disk în clar, se salvează un hash al acesteia. În momentul în
care user -ul introduce parola, se calculează hash -ul acesteia care este apoi comparat cu hash -ul
salvat în momentul setării parolei inițiale, parola este corectă dacă cele două hash -uri sunt egale.
Dacă parola este greșită, hash -ul ei este diferit de cel salvat fiindcă mesaj are propil hash, nu există
2 mesaje (2 parole) cu acealși hash. Dacă un hacker compromite sistemul și are acces la fișieru l cu
parole, acesta poate observa hash -ul parolelor, nu și parolele. [4]
Parolele cărora li s -a obținut hash -ul pot fi sparte prin:
Brute force – se încearcă toate combinațiile ce folosesc un set simboluri, poate fi aplicat
direct pe serviciul de autentif icare, fără a avea hash -ul.
Dictionary attack – se încearcă toate cuvintele din dicționar împreună cu permutări simple,
poate fi aplicat direct pe serviciul de autentificare, fără a avea hash -ul.
Cryptanalysis attack (Rainbow tabels) – atac de cripanaliză, pentru spargere se pot folosi
tabele de hash -uri precalculate. Pentru a preveni un atac ce folosește rainbow tabels se utilizează
metoda Salting. Un segment suplimentar, generat aleatoriu, este concatenat la parola utilizatorului
înainte de hashing.
Port redirection (Redirecționarea portului) :
Este bazat pe exploatarea încrederii, atacatorul utilizează un host compromis pentru a avea
acces printr -un firewall care altfel l -ar fi blocat. Dacă un intrus este în măsură să compromită un
host din segmentul ser viciilor publice, atacatorul ar putea instala software -ul pentru a redirecționa
traficul de la hostul din exterior, direct la hostul din interior. Deși comunicarea încalcă regulile
implementate în firewall, hostul din exterior are acum conectivitate la hos tul din interior, prin
procesul de redirecționare port pe hostul din segmentul serviciilor publice. Un instrument care poate
oferi acest tip de acces este Netcat .
Switch spoofing :
Sistemul atacatorului (figura 2.1) negociază o legătură trunkcu switch -ul (prin DTP).
Atacatorul poate ulterior trimite trafic în orice vlan.
Figura 2.1 Atacul Switch spoofing (http://www.securitatea -informatiilor.ro/solutii -de-
securitate -it/securitatea -retelelor -de-calculatoare/, n.d.)
7 Buffer overflow :
Apare într -un program oricând acesta scrie mai multe informați într -o zonă tampon decât
spațiul alocat în memorie pentru ea. Poate fi definit ca o eroare de programare, o anomalie într -un
program care permite scrierea de date într -un tampon și s uprascrierea memoriei adiacente. La bază
buffer overflow este un bug de programare, la nivelul următor este considerat vulnerabilitate de
securitate, potențial urmată de buffer overflow ca atac iar la nivelul superior, buffer overflow poate
fi reprezentată ca un incident de securitate. Rapoartele arată că o treime dintre vulnerabilitățile
software indentificate de CERT se referă la buffer overflow .
Într-un atac buffer overflow, obiectivul atacatorului este de a folosi vulnerabilitatea pentru a
corupe info rmațiile într -un mod controlat. Dacă atacul se face cu succes, atacatorul obține în mod
eficient controlul asupra sistemului. Odată ce controlul este transferat la codul malițios, se execută
instrucțiunile date care au ca scop, de obicei, acordarea de acce s complet neautorizat la sistem.
Un atac de tip buffer overflow poate fi local sau la distanță:
– atac local – atacatorul are deja acces la sistem și poate fi interesat de creșterea privilegiului.
– atac la distanță – este livrat printr -un port de rețea
Un atac de tip buffer overflow este format din 3 părți: plantarea codului de atac în programul
țintă, copierea efectivă în tampon și deturnarea controlului pentru a executa codul de atac.
Vulnerabilitatea poate fi un proces care: ascultă pe un port de comun icații deschis sau
acceptă date de intrare neverificate.
Double tagging :
Nu necesită implementarea DTP pe atacator. Dacă un atacator este conectat la un port acces
(figura 2.2), care este în VLAN nativ 802.1q (vlan 1, în mod implicit), el poate p rovoca trafic de salt
VLAN prin injectarea de pachete dublu marcate. Switch -ul desface doar primul tag și nu va dori să
”observe” al doilea tag. Atunci când este transmis unui alt switch printr -un trunk 802.1q, nu i se
aplică nici un tag de VLAN, deoarece aparține unui VLAN care este VLAN nativ pentru trunk.
Celălalt switch, vede eticheta VLAN rămasă (al doilea tag aplicat de atacator) și va transmite
pachetul pe VLAN -ul specificat în tag.
Figura 2.2 Atacul Double tagging (http://www.securitatea -informatiilor.ro/solutii -de-
securitate -it/securitatea -retelelor -de-calculatoare/, n.d.)
Atacuri STP :
Protocolul STP nu folosește autentificarea, ceea ce îl face vulnerabil. Un atac STP parcurge
de obicei următorii pași:
Atacatorul se conectează la rețeaua de switch -uri(prin Shitch2p). Trimite frame BPDU
(Bridge Protocol Data Units) cu BID mic, devine root bridge.
Soluții pentru protejarea STP: RootGuard, BPDU Guard sau BPDU Filter.
Atenuarea atacurilor acces :
8 Atacurile acces, în g eneral, pot fi detectate prin verificarea: logurilor, utilizării lățimii de
bandă și proceselor încărcate. Prin verificarea logurilor, administratorii de rețea pot determina dacă
au avut loc un număr neobișnuit de încercări de autentificare eșuate. Pachete software, cum ar fi
ManageEngine Analyzer EventLog sau Cisco Secure Acces Control Server (CSACS) mențin
informațiile privind încercările nereușite de login la dispozitivele din rețea. Echipamentele de rețea
și dispozitivele firewall pot fi configurate pen tru a preveni încercările de conectare pentru un timp
dat, dintr -o anumită sursă și după o serie de eșecuri.
Atacurile man in the middle pot fi indicate de aplicațiile de monitorizare a rețelei prin
activitate neobișnuită în rețea și utilizare mai mare a l ățimii de bandă.
Un atac acces într -un sistem compromis este probabil dezvăluit de activitatea lentă din cauza
atacurilor buffer overflow în curs de desfășurare. [5]
2.1.3 Atacurile DoS .
DoS este un atac de rețea care duce întreruperea serviciului pentru utlizatori, dispozitive sau
aplicații. Mai multe mecanisme pot genera un atac DoS. Atacul DoS saturează rețeaua, astfel ca
traficul utilizatorului valid nu poate trece. Atacul DoS poate fi: un pachet infestat, care prelucrat de
hostul destinație, provoacă funcționarea defectuoasă a acestuia sau un flux de pachete valide, care
consumă resursele hostului des tinație.
Atacuri DDoS (Distributed Denial of Service)
Constă în trimiterea cererilor de la mai multe sisteme către o singură țintă. Atacurile
DoS/DDoS su nt dificil de identificat, nu se poate determina mereu care sunt cereri valide și care
reprezintă un atac.
Ping of Death (PoD)
PoD (Figura 2.3) poate paraliza o rețea, speculând o deficiență din standardul TCP/IP.
Dimensiunea maximă a unui pachet este 65. 535 bytes, dacă s -ar trimite un pachet mai mare, hostul
care îl primește se va prăbuși în cele din urmă datorită confuziei. Trimiterea unui ping de această
dimensiune este împotriva regulilor din standardul TCP/IP, dar hackerii pot ocoli acest lucru prin
trimiterea pachetelor în fragmente. Când fragmentele sunt ansamblate pe hostul destinație,
dimensiunea pachetului este prea mare, acest lucru va provoca buffer overflow și crashul hostului.
Figura 2.3 Atacul Ping of Death (http://www.securitatea -informatiilor.ro/solutii -de-
securitate -it/securitatea -retelelor -de-calculatoare/, n.d.)
CAM Overflow :
CAM este tabela folosită de switch -uri pentru a reține prin ce port se ajunge la o anumită
adresă MAC. Memoria unui switch nu este nelimitată, tabela CAM se poate umple și switch -ul va
funcționa în regim de hub. Un atacator poate trimite un număr mare de cadre cu adrese MAC
spoofed. Pentru a opri acest tip de atac este necesar să se limiteze numărul de adrese MAC ce pot fi
învățate pe un port. [6]
9 Atenuarea atacurilor de recunoaștere :
Tehnici de atenuare a atacurilor de recunoaștere includ: implementarea unei autentificări
puternice, utilizarea criptării pentru a face inutile atacurile pachetelor sniffer, utilizarea de
instrumente an ti-sniffer pentru a detecta atacurile pachet sniffer, folosirea firewall și IPS.
Atenuarea atacurilor acces
Software anti -sniffer și instrumente hardware pot detecta schimbări în timpul de răspuns al
hosturilor pentru a determina dacă acestea prelucrează mai mult trafic decât ar indica în mod
normal. Este imposibil de a atenua Port Scan, dar folosind un sistem de prevenire a intruziunilor
(IPS) și firewall, se pot limita informațiile care pot fi descoperite cu un scanner de port. Ping sweep
poate fi oprit dacă ICMP echo și echo -reply sunt dezactivate pe routerele edge, dar procesul de
diagnosticare este îngreunat.
Atenuarea atacurilor DoS :
Aceste tipuri de atacuri pot fi contracarate prin utilizarea tehnologiilor anti spoofing pe
routere și firewall -uri de perimetru. Routerele și switch -urile suportă o serie de tehnologii anti
spoofing, cum ar fi port security, Dynamic Host Configuration Protocol (DHCP) snooping, IP
Source Guard, Dynamic Address Resolution Protocol (ARP) Inspection și listele de control ac ces
(ACL). Deși Quality of Service (QoS) nu este conceput ca o tehnologie de securitate, una din
aplicațiile sale, politica de trafic, poate fi utilizată pentru a utiliza pentru a limita traficul de intrare
de la orice client pe un router edge. Aceasta nu permite ca o singură sursă să poată utiliza întreaga
lățime de bandă.
Atacuri web :
O clas ă tot mai relevant ă actualmente a atacurilor de nivel aplica ție o reprezint ă atacurile
web. Datorita maturiz ării Internetului și volumelor ridicate de tranzac ții onli ne, majoritatea
atacurilor din ultima perioad ă se concentreaz ă asupra serviciilor oferite pe net. Pe de o parte ,
porturile asociate acestora trebuie s ă fie tot timpul deschise, iar pe de alta, protocoalele folosite nu
au fost ini țial concepute pentru maga zine virtuale sau pl ăți electronice, cu atât mai puțin fiind lua te
în calcul considerentele de securitate.
Astfel, de -a lungul timpului au fost aduse multe îmbun ătătiri pentru a permite aplica țiilor
web s ă serveasc ă obiectivele actuale, precum criptarea co munica țiilor peste un canal SSL (HTIPS),
menținerea unei sesiuni între client și server folosind cooki e-uri, animarea conținutului paginilor
web cu XHTML, CSS, JavaScrÎpt sau Flash, comunicaț ia asincron ă folosind AJAX – conducând
utilizatorul c ătre o exper iență Web 2.0, pu țin peticit ă din punct de vedere al securit ății.
Atacurile pe Web se împart în dou ă categorii: atacuri asupra platformei : sistem de operare,
servicii, comunica ții și atacuri asupra aplica ției, care vizeaz ă compromiterea sistemului sau a
utilizatorului.
Atacurile asupra platformei se bazeaz ă pe exploatarea unor vulnerabilit ăți în sistemul de
operare, în serviciile expuse sau î n protocoalele utilizate. Acestea urm ăresc ob ținerea accesului la
date neautorizate sau incapacitarea serviciului. Ac este atacuri verific ă porturile deschise î n firewall,
versiunile serviciilor active și apoi caut ă vulnerabilit ăți cunoscute pe care să le utilizeze pentru a
obține acces la sisteme. Atacurile se pot baza, de exemplu, pe bug -uri în versiunile de SSH, î n
serverele de FTP, DNS sau SMTP și cel mai adesea chiar in serverele Web (Apache sau lIS ).
Asemenea atacuri există și pentru Apache. De exemplu, existența unui bug în biblioteca
openssl permite deschiderea unui shell prin atacarea unui server web care foloseșt e SSL.
Atacurile asupra aplicației Web se bazează pe vulnerabilități î n modul de programare, pe
bug-urile și breșete de securitate inerente limbajului de programare, sau pe greșelile
programatorilor. Atacurile asupra aplicaliilor Web acoperă două ținte: compromiterea sistemului,
prin obținerea accesului neautorizat pe unul dintre serverele de aplicație sau baze de date, sau
10 compromiterea clientului, prin obținerea informațiilor confidențiale ale acestuia, furtul sesiunii, sau
execuția de cod pe mașina ace stuia. [7]
Majoritatea atacurilor asupra aplicațiilor web sunt datorate validării insuficiente a datelor
de intrare ale aplicației: acestea pot fi date introduse de utilizatori, câmpuri ascunse ale
formularelor, parametri ai pagini lor dinamice, variabile af late î n cookie -uri, antete HT TP, etc.
Datorita fapturilor că aplicațiile web sunt eterogene prin definiție, atacarea acestora nu se bazează
atât de mult pe vulnerabilități cunoscute, cât pe o metodologie particulară, specifică fiecă reia.
Bazele de date CVE (Common Vulnera bilities and Exposures) conțin informații despre aplicații
particulare des înt âlnite pe web (WordPress, PHPBB). Î n continuare vor fi analizate vulnerabititățile
generale ale aplica țiilor web, și vor fi detaliate cele de mare notorietate .
Vulnerabilitățile î n procesul de autentificare implică unul dintre următoarele scenarii:
obținerea neautorizată a informațiilor de autentificare, spoof -area identității utilizatorului,
interceptarea informațiilor de lo gare, spargerea algoritmilor de criptar e sau retransmiterea datelor,
furtul sesiunii sau atașarea la o sesiune validă. Procesul de autorizare implică acțiunile pe care le
poate intreprinde un utilizator autentificat, iar atacurile includ escaladarea orizontală a privilegiilor,
cum ar fi accesar ea datelor din profilul altui utilizator al unui magazin online sau escaladarea
verticală a privilegiilor, precum accesarea unor pagini specifice administratorilor magazinului.
2.1.4 Viruși, viermi, troieni .
Când au apărut primii viruși și a fost dezlăn țuit primul atac DoS, lumea profesionaliștilor în
rețele a început să se schimbe. Principalul lor obiectiv a evoluat de la proiectare, construirea și
creșterea rețelelor, la securizarea acestora.
Viruși :
Cod executabil atașat unui program sau executabil . Codul trebuie să fie rulat de un utilizator
pentr u a avea efect. Se propagă prin: atașamente de e -mail, fișiere descărcate infectate, partajări dc
fișiere în rețeaua locală sau stick -uri USB. Virus reprezintă un software malițios care execută pe un
calcula tor, o anumită funcție nedorită, de multe ori dăunătoare . Un virus simplu se poate instala la
prima linie de cod pe un fișier executabil . Când este activat, virusul ar putea verifica disc -ul pentru
alte executabile, astfel î ncât să poată infecta toate fișierele care nu au fost încă infectate. Virușii p ot
fi inofensivi (exmplu : afișează o imagine pe ecran) , distructivi (exemplu : șterg fișiere de pe hard
disk) sau pot fi programați să evolueze , pentru a evita detectarea .
Clasificarea virușilor în funcție de m odul de replicare distinge între mai multe tipuri, dintre
care cei mai întâlniți sunt: viruși de e -mail, de macro, bombe logice, viruși de baal, viermi, și
troieni.
Pentru a reduce impactul virușilor sunt importante atât măsurile luate la nivelul rețelei, cât și
exersarea unor deprinderi din partea utilizatorilor.
Astfel, este important ca accesul în rețea să fie protejat de un firewall (dispozitiv de filtrare
atât a traficului de intrare în rețea, cât și a celui de ieșire), ca serverul de e -mail să aibă in stalat un
antivirus, să existe o politică de monitorizare a serviciilor, etc.
La nivelul utilizatorului este important să nu lanseze în execuție fișiere primite prin e -mail,
să nu deschidă atașamente primite de la necunoscuți, să mențină un antivirus actua lizat pe stația de
lucru, etc. În același timp este important să nu fie instalate programe antivirus redundante, deoarece
prin consumul de resurse acestea pot afecta semnificativ performanțele sistemului.
Viermi :
Cod executabil ce folosește vulnerabilităț i pentru a se răspândi. Spre deosebire de viruși nu
necesită intervenția directă a unui utilizator, se răspândesc rapid în rețea și sunt greu de îndepărtat.
Viermii (Worms) reprezintă un tip deosebit de periculos de cod ostil și se reproduc prin exploatare a
11 vulerabilităților în rețele. Sunt responsabili pentru unele din cele mai devastatoare atacuri de pe
internet. [8]
În ciuda tehnicilor de diminuare a vulnerabilităților apărute de -a lungul anilor, viermi au
continuat să evolueze odată cu Internetul și încă reprezintă o amenințare prin exploatarea punctelor
slabe din aplicațiile software . Sunt programe autonome care atacă un sistem speculând o
vulnerabilitate cunoscută, dupa specularea cu succes, viermele se copiază de la gazda atacată, la un
sistem nou atacat și ciclul se repetă.
Atacurile software rău intenționate utilizează metode similare și parcurg aceleași etape:
Sondare – sunt indentificate obiectivele vulnerabile . Scopul este de a găsi computere ce pot
fi compromise. Se utilizează scanarea prin ping (Internet Control Message Protocol – ICMP) pentru
a face harta rețelei. Apoi aplicația scanează și identifică sistemele de operare și software vulnerabil.
Hackerii pot obține parole folosind atacuri dicționar, atacuri brute -force sau prin sniffing în rețea.
Pătrundere – codul exploit (speculativ) este transferat la ținta vulner abilă, în scopul de a fi
executat pintr -un vector de atac ( cum ar fi vulnerabilități : buffer overflow, Common Gateway
Interface – CGI, ActiveX sau un virus prin e -mail).
Persistență – după ce atacul este lansat cu succes în memorie, codul încearcă să persiste pe
sistemul țintă, pentru a fi disponibil pentru atacator, chiar dacă sistemul repornește . Acest lucru se
realizează prin modificarea fișierelor de sistem (ex. modificări în regișt ri) și instalarea noului cod.
Propagare – atacatorul încearcă să extindă atacul la alte ținte prin căutarea prin sistemele
vulnerabile vecine. Vectorii de propagare includ: încărcarea fișierelor la alte sisteme ce utilizează
servicii FTP, conexiunile web a ctive transferul de fișiere prin Internet Relay Chat (IRC).
Paralizare – sistemul este compromis . Fișierele pot fi șterse, sistemul poate să cadă, atacurile
pot fi furate sau distribuite, atacurile DoS pot fi lansate.
Troie ni:
Cod executabil atașat unei a plicații, spre deosebire de viruși care au efect direct, au efect
subtil – deschidere backdoor. Sunt mult mai greu de detectat ca viruși. Un troian este un malware
care efectuează operațiuni malițioase sub masca unei funcți dorite , conține cod ascuns, care
speculează privilegiile utilizatorului care îl rulează. Acesta provoacă daune imediate, oferă acces de
la distanță la sistem sau accesul printr -un backdoor. Troieni pot avea un cod pentru o țintă
specificată, ceea ce il face mai greu de detectat.
2.2 Securitatea prin criptare .
În plus față de prevenirea și interzicerea traficului malițios, securitatea rețelei impune ca
datele să ramână protejate. Criptografia este utilizată în securitatea modernă a rețelei. Problemele
securității rețelei pot fi împărțite în patru domenii interconectate: confidențialitatea, integritatea
datelor, autentificarea și nerepudierea.
1. Confidențialitate – asigurarea că utilizatori neautorizați nu pot citi mesajul cu excepț ia
destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către
persoane neautorizate. Prin manipularea datelor înțelegem procese cum ar fi inserții,
întârzieri sau substituiri.
3. Autentificarea – presupune determinarea identității persoanei înainte de a dezvălui
informații importante.
4. Nerepudierea – implică semnături , asigură că o entitate nu poate neg a o acțiune
întreprinsă (Andrew, 2003) .
12 Când vorbim de confidenț ialitatea datelor ne referim la criptarea lor cu scopul de a le
face indescifrabile . Acest proces de criptare necesit ă algoritmi, formule mat ematice foarte
complexe, care să asigure ca ele nu pot fi citite. Există 2 moduri în care se poate face criptarea:
1. criptare a Simetric ă – folosind o singură cheie
2. criptarea Asimetri că – folosind o pereche de chei , una public ă și una privat ă
2.2.1 Criptarea Simetric ă.
Criptarea simetrică este cea mai folosită form ă de criptare din rețeaua Internet , fiind în
același timp rapidă și sigură .
Pentru asigu rarea confidențialității a informa ției transmisă prin rețele se utilizează algoritmi
criptografici cu cheie secretă . Ei se caracterizează prin aceea că ambii utilizatori ai algoritmului
împart aceeași cheie secretă, folosită la cifrare cît și la descifrare. „Cheia de criptare trebuie să fie
secretă , dacă cineva are acces la acestă cheie acesta va avea acces și la informația secretă.
Algoritmii criptografici simetrici sunt cunoscuți pentru că au o vitez ă de cifrare foarte mare, în
comparație cu algoritmii criptografici asimetrici și sunt ușor de utilizat la cifrarea blocurilor mari de
informație. Securitatea acestui tip de algoritm depinde de lungimea cheii și de păstra rea în secret a
acesteia . Problema principală apare la încercarea de a cr ea o comunicație secreteă între mai mulți
utilizato ri privind manegementul cheilor; pentru n utilizatori sunt posibile n(n -1)/2 legături
bidirecționale, fiind necesare tot atîtea chei ”. Aceasta implică în general dificultăți în generarea,
distribuția sau memorarea cheilor. Utilizarea calculatoarelor electr onice a permis utilizarea unor
chei de dimensiuni mai mari, crescând astfel rezistența la atacuri criptoanalitice. Câ nd cheia secretă
are o dimeniune convenabilă și este suficient de frecvent schimbată, devine imposibilă spargerea
cifrului, chiar dacă se c unoaște algoritmul de cifrare (http://www.datasecurity.ro/?p=24, n.d.) .
Securitatea criptării simetrice depinde mult de protecția cheii criptografice. Administrarea
acestora este un factor esențial și se referă la:
generarea cheilor, adică mijloacele (pseudo) aleatoare de creare a succesiunii de octeți (biți)
ai cheii;
distribuția cheilor, adică modul în care se transmit și se fac cunoscute cheile tuturor
utilizatorilor cu drept de acces la informațiile criptate;
memorarea che ilor, adică stocarea lor sigură pe un suport magnetic sau pe un card, de obicei
criptate sub o altă cheie de cifrare a cheilor, numită și cheie master.
Problema fundamentală a utilizării criptografiei în rețele este aceea a găsirii unor modalități
de dist ribuție sigură și periodică a cheilor criptografice, este necesa r ca acestea să fie schimbate câ t
mai des. În Internet, se utilizează tot serviciile rețelei, folosind protocoale speciale sau sisteme cu
chei publice, așa numitele anvelope (plicuri) digitale .
Cei mai cunoscuți algoritmi criptografici simetrici sunt: DES, 3DES , AES, Blowfish și RC4.
Fiecare dintre aceș ti algoritmi folosesc :
DES si 3DES (Data Encryption Standard) sunt 2 algoritmi de criptare dezvoltați î n Sta tele
Unite la inceputul anilor 1970 ș i au o complexitate a cheii de 56-bits pentru DES , respectiv 168-
bits pentru 3DES .
DES ș i 3DES sunt algoritmi c are nu se mai folosesc pentru că au fost descoperite
vulnerabilități în aceștia, iar complexitatea criptării este mult mai slabă î n compara ție cu ceilalți
algoritmi existenți pe piață .
AES (Advanced Encryption Standard) cunoscut și sub numele de Rijndael, este un
algoritm standardizat pentru criptarea simetrică, pe blocuri, este cel mai utilizat algoritm de criptare
în aplicații și adop tat ca standard de organizația guvernamentală americană NIST (National Institute
of Standards and Technology – Institutul National pentru Standarde si Tehnologie)
13 (http://www.securitatea -informatica.ro/securitatea -informatica/se curitatea -siconfidentialitatea –
datelor -in-retelele -publice/, n.d.) . Acesta folosește o singură cheie (PSK – pre-shared key ) pentru
criptare datelor și aceeaș i cheie pentru decriptarea lor. „Algoritmului AES (Rijndael) (figura 2.3)
este definit un algorit m de criptare pe blocuri în care lungimea blocului și a cheii puteau fi
independente, de 128 de biți, 192 de biți sau 256 de biți , totul depinzâ nd de nivelul de securitate
dorit sau de capacitatea siste mului de a face astfel de criptă ri.”[9]
Figura 2.4 Proiectarea algoritmul AES (http://www.securitatea -informatica.ro/securitatea –
informatica/securitatea -siconfidentialitatea -datelor -in-retelele -publice/, n.d.)
2.2.2 Criptarea Asimetrică .
Criptarea asimetrică este un tip de cr iptografie ce utilizează o pereche de chei: o cheie
publică și o cheie privată. Un utilizator care deține o astfel de pereche își publică cheia publică
astfel încat oricine dorește să o poata folosi pentru a îi transmite un mesaj criptat. Numai deținătorul
cheii secrete (private) este cel care poate decripta mesajul astfel criptat.
Matematic, cele două chei sunt legate, însă cheia privată nu poate fi obținută din cheia
publică. Î n caz contrar, orcine ar putea decripta mesajele destinate unui alt utilizator, fiindcă oricine
are acces la cheia publică a acestuia.
Cripografia asimetrică se mai numește criptografie cu chei publice :
Metodele criptografice în care se folosește aceeași cheie pentru criptare și decriptare sunt
metode de criptografie simetrică sau c riptografie cu chei secrete. Si stemele de criptare asimetrice
înlătură problema întâlnită la sistemele de criptare cu chei simetrice ce foloseau o singură cheie,
atât pentru criptare cât și pentru decriptare. Pentru a putea folosi această metodă trebuia c a atât
expeditorul cât și destinatarul trebuia să cunoască cheia secretă. Aceasta trebuia să fie unică pentru
o pereche de utilizatori, fapt ce conduce a la probleme din cauza gestionă rii unui numă r foarte mare
de chei. Se elimină și necesitatea punerii de acord asupra unei chei comune, greu de transmis în
condiții de securitate sporită î ntre cei 2 interlocutori .
Cele două mari ramuri ale criptografiei asimetrice sunt:
1.Criptarea cu cheie publică (figura 2. 5) – un mesaj criptat cu o cheie publică nu po ate fi
decodificat dec ât folosind cheia privată corespunzătoare. Metoda este folosită pentru a asigura
confidențialitatea.
14 2.Semnături digitale – un mesaj semnat cu cheia privată a emiță torului poate fi verificat de
către oric ine, prin acces la cheia publi că corespunzatoare, astfel asigurandu -se autenticitatea
mesajului.
O problemă majoră în folosire a acestui tip de criptare este î ncrederea (dovada) că cheia
publică este corectă, autentică și nu a fost interceptată sau înlocuită de o a treia parte rău voito are. În
mod normal problema este rezolvată folosind infrastructura cu cheie publică (PKI) în care una sau
mai multe persoane asigură autenticitatea cheilor pereche. O altă abordare folosită de PGP (Pretty
Good Privacy) este cea a conceptului web of trust . [10]
Figura 2.5 Criptarea asimetrică . (http://www.securitatea -informatiilor.ro/solutii -de-
securitate -it/securitatea -retelelor -de-calculatoare/, n.d.)
Iar celalalt mod, care nu oferă confidenț ialitate ci autentifcare:
Orice criptez cu cheia privat ă, pot decripta doar cu cheia public ă (astfel ob ținem o semnatur ă
digital ă care are scopul de a autentifica ).
Algorit mi de criptare asimetrici : RSA , DH și DSA :
”RSA (Rivest Shamir Adleman) este un algoritm de criptare asimetric care folose ște o
pereche de chei : una public ă și una privat ă. Acest algoritm poart ă numele dezvoltatorilor s ăi care a
fost dezvoltat în anii 1970. Algoritmii asimetrici în comparație cu algoritmii simetrici pot folosi
chei mult mai mari, valorile lor fiind de 1024, 2048 sau chiar 4096 ”.
Cu câ t valoare cheii este mai mare , cu atâ t criptarea va fi mai sigur ă sau complex ă dar
aceasta, se va face mai lent pentru că necesit ă mai mult ă putere de procesare.
DH (Diffie-Helman) este un algoritm asimetric care are scopul de a genera o cheie
simetrică folosită pentru criptarea traficului ( aceasta cheie poate fi folosită de 2 Routere care
formează un tunel VPN pentru criptarea traficului dintre reț elele lor) dintre 2 entit ăți.
Semnatura Digitala :
Algoritmul DSA (Digital Signature Algorithm) este similar cu RSA, este folosit pentru
generarea semnăturilor digitale. Semnătura digitală are loc prin criptarea unui mesaj sau fiș ier
cu cheia privat ă și trimiterea lui că tre destinatar. Destinatarul va încerca să decripteze acel mesaj
cu cheia public ă, iar în cazul în care reușeste va fi confirmată (autentificat ă) sursa mesajului
(mesajul vine de la entitatea dorita i n comunicare).
15 2.3 Securitatea prin Firewall .
Cel mai cunoscut dispozitiv de securitate este firewall -ul. Firewall -ul este un echipament sau
un grup de echipamente care implementează politica de acces între două sau mai multe rețele.
Firewall -urile pot fi clasificate în patru mari clase: firewall -uri dedicate , firewall -uri integrate în
routere, firewall -uri integrate în servere și firewall -uri personale.
Firewall (figura 2. 6) este un dispozitiv configurat să filtreze, să cripteze sau să intermedieze
trafic ul între diferite domenii de securitate pe baza unor reguli predefinite. Un firewall poate ține la
distanță traficul din Internet cu intenții rele, de exemplu hackerii, viermii și anumiți tipuri de viruși,
înainte ca aceștia să pună probleme sistemului. Ut ilizarea unui firewall este importantă în special
dacă rețeaua sau calculatorul este conectat în permanență la Internet.
Figura 2. 6 Rețea locală protejată cu Firewall .
(https://ro.wikipedia.org/wiki/Paravan_(software, n.d.)
Firewall -urile dedicate sunt echipamente ce rulează un sistem de operare special con ceput
pentru filtrarea de pachete și translatarea de adrese(sistemele PIX sau CheckPoint). Aceste
echipamente sunt capabile să susțină un număr mare de conexiuni, dar facilitățile de rutare sunt
extrem de limitate. Pentru o rețea simplă se poate folosi fir ewall -ul ca router, însă pentru rețele
complexe este necesar un router.
Firewall -urile dedicate în routere sunt folosite pentru a înlătura problema firewall -urilor
dedicate. Ele nu pot susține același număr de conexiuni, dar se descurcă mai bine în topolog ii mai
complexe unde este nevoie de facilitățile unui router. Multe produse oferă facilități de firewall
integrate în routere, de la module de firewall pentru routere high -end, până la routerele extrem de
compacte , dedicate utilizării în rețele LAN.
Firewa ll-urile de server sunt implementate ca un software adițional peste un sistem de
operare de rețea. Ele sunt compatibile ca facilități și performanțe cu firewall -urile integrate în
routere de nivelul mediu.
Firewall -urile personale sunt instalate pe calcula toare personale. Ele sunt concepute pentru
a preveni atacuri asupra calculatorului pe care rulează. Acest tip de firewall -uri nu sunt optimizate
pentru rețele întregi de calculatoare.
Firewall – Stateful packet inspection :
Filtrarea de pachete este un p roces prin care doar anumite pachete sunt rutate dintr -o rețea
în alta, pe baza unor reguli. Filtrarea de pachete operează tradițional cu informații de la nivelurile
OSI 3 și 4.
Regulile de filtrare sunt formate dintr -o parte care identică pachetul și o pa rte care specifică
cum să se trateze pachetul. În partea de identificare se poate specifica adresa sursă, adresa
destinație, adresa de rețea sursă, adresa de rețea destinație, protocolul (TCP, UDP , ICMP ), portul
16 sursă sau destinație (doar pentru TCP și UDP ), tipul mesajului (pentru ICMP), interfața de intrare
sau ieș ire și chiar adresele de nivel doi. În principiu identificarea pachetului se poate face cu orice
informație scrisă în antetul pachetului, la nivelul OSI 3, 4 sau chiar și 2, în funcție de implem entare.
Furnizează servicii adiționale față de pachet filter, urmărește sesiunile TCP/UDP între
echipamente. Stateful inspection urmărește conexiunea care a pornit din rețeaua sigură și o
memorează în state session table. Această tabelă permite temporar traficul din rețeaua untrusted
pentru canalul de comunicații care a fost inițiat din rețeaua trusted .
Conexiunea dintr -o rețea untrusted intr-o rețea trusted sunt monitorizate, astfel în cazul unui
atac de tip Denial of Service(DoS), dacă se detectează un număr mare de sesiuni deschise pe
jumătate, firewall -ul poate fi configurat să închidă sesiunea și să trimită mesaje de alertă indicând
faptul că are loc un atac.
Sesiunile TCP deschise pe jumătate indică faptul că three -way handshake -ul nu a fost
termin at. Sesiunile UDP deschise pe jumătate indică faptul că nu a fost detectat trafic de întoarcere.
Un număr mare de sesiuni deschise pe jumătate ocupă resursele echipamentelor, împiedicând
utilizatori să comunice. [11]
Firewall – Proxy Services :
Funcționează ca un middle -man pentru comunicația între echipamente. Furnizează securitate
în rețea ascuzând sursa reală a cererii, tot traficul va părea ca fiind inițiat din proxy. Serverele proxy
sunt folosite pentru a crea o copie(local cache) pentru toate cererile din exterior. Acest serviciu
îmbunătățește performanța rețelei cu lățime de bandă mică, permitând userilor să facă cereri de la
proxy, în loc să trimită la surse externe.
2.4 AAA(Authentication, Authorization and Accounting) .
Securizarea pe echipamente CI SCO este o preocupare critică din punct de vedere al
securității. De multe ori, această problemă este rezolvată folosind parole de enable și vty/console,
configurate local pe echipament. Pentru rețele cu mai multe echipamente, această abordare este greu
de gestionat. Pentru a rezolva această problemă este nevoie de o formă centralizată de acces
securizat la echipamente.
Serviciile de securitate de rețea ale ”protocolului AAA ” asigură cadrul primar pentru a
configura controlul accesului pe un dispozitiv de rețea. AAA (figura 2.7) este o modalitate de a
controla cine are permisiunea să acceseze o rețea( Authentication – permite accesul bazat pe un cont
de utilizator și o parolă), ce poate face în timp ce este logat( Authorization – determină nivelul de
acces al unui utilizator logat) și verificarea acțiunilor pe care le efectuează în timp ce accesează
resursele rețelei( Acconting – contabilizează serviciile pe care le accesează utilizatorii și resursele din
rețea pe care aceștia le consumă(loguri pentru fiecare u tilizator)) .
Figura 2. 7 Procesul de Autentifica re AAA bazată pe Server . (http://www.securitatea –
informatiilor.ro/solutii -de-securitate -it/securitatea -retelelor -de-calculatoare/, n.d.)
17
Authentication :
Protocolul AAA poate fi folosit pentru autentificarea utilizatorilor cu acces la funcții
administrative sau poate fi folosit pentru autentificarea utilizatorilor p entru accesul la rețea, de la
distanță. Autentificarea poate fi configurată local folosind username și parolă sau folosind un server
RADIUS sau TACACS+ care deține o bază de date cu utilizatorii pentru toate echipamentele din
rețea. Securitatea este mențin ută folosind cheie partajată(shared key) care trebuie să fie aceeași pe
client și server.Trebuie specificate metodele de autentificare pe care vrem ca echipamentul să le ia
în considerare când un utilizator se loghează pe un echipament. Se pot configura pâ nă la 4 metode
de autentificare pe echipament.
Authorization :
După ce utilizatorii sunt autentificați cu succes pe echipament, conform metodei local sau
server, aceștia sunt apoi autorizați pentru resursele specifice din rețea. Autorizarea este de fapt ce ea
ce un utilizator poate sau nu poate face în rețea, după ce acesta s -a autentificat.
Accounting :
Contorizează serviciile pe care le accesează utilizatorii și resursele din rețea pe care aceștia
le consumă astfel încât să poată fi folosite pentru scopuri cum ar fi cele de audit. Datele colectate ar
putea include timpii de start și stop ai conexiunii, comenzi executate, numărul de pachete sau
numărul de octeți. Contorizarea este implementată folosind o soluție AAA bazată pe server. Acest
serviciu raporteaz ă statistici de utilizare, acestea
CBAC (Context Based Access Control) :
Control accesului bazat pe context (CBAC) este o soluție disponibilă în cadrul Cisco IOS.
CBAC filtrează inteligent pachetele TCP si UDP pe baza sesiunii de informații de pe Nivel ul
Aplicație. Acesta oferă filtrare dinamică la nivel Aplicație, inclusiv protocoalele care sunt specifice
pentru aplicații unice, precum și aplicații multimedia, dar și protocoale care necesită mai multe
canale de comunicare, cum ar fi FTP si H.323. CBAC poate examina, de asemenea, conexiuni
acceptate informații ce integrează NAT și PAT și efectuează schimbările necesare pentru adresă.
Filtrarea traficului :
CBAC -urile pot fi configurate să permită returnarea traficului TCP și UDP specificat, printr –
un paravan de protecție (firewall) în cazul în care conexiunea este inițiată din interiorul rețelei. Ea
realizează acest lucru prin crearea de deschideri temporare într -un ACL care ar nega astfel de trafic.
CBAC poate inspecta traficul pentru sesiuni care prov in din ambele părți ale firewall -ului. Acestea
pot de asemenea fi folosite pentru intranet, extranet, și în cadrul rețelei de Internet. CBAC
examinează nu numai Nivelul Rețea și Nivelul Transport al traficului, dar analizează, de asemenea,
și Nivelul Aplic ație (cum ar fi conexiuni FTP) pentru a afla despre starea sesiunii. Acest lucru
permite suportul protocoalelor care implică mai multe canale create ca rezultat al negocierilor din
canalul de control. Cele mai multe dintre protocoalelor multimedia, precum și a unor alte protocoale
(cum ar fi FTP, RPC, SQL * Net) implică mai multe canale.
Controlul Traficului :
Deoarece CBAC inspectează pachetele la Nivelul Aplicație și menține informația sesiunilor
TCP și UDP, poate detecta și a preveni anumite tipuri de atacuri de rețea, cum ar fi SYN -flood. Un
atac SYN -flood apare atunci când un atacator de rețea „inundă” un server cu un număr mare de
cereri de conectare dar nu efectuează conexiunea până la capăt. Volumul conexiunilor pe -jumătate
deschise copleșește ser ver-ul, determinând -ul să nege serviciul de cereri valabile. CBAC de
asemenea, ajută la protecția împotriva atacurilor DoS și în alte moduri. Se inspectează numere de
secvență în conexiunile de pachete TCP pentru a vedea dacă acestea se încadrează în inter valele
date și distruge orice pachete suspecte. CBAC poate fi configurat, de asemenea, să renunțe la
conexiuni pe -jumătate deschise, care necesită o prelucrare de către firewall și mențin resursele de
memorie la un nivel înalt.
18 Detecția Intruziunilor :
CBAC oferă un număr limitat de detectare a intruziunii pentru a proteja împotriva atacurilor
specifice SMTP. Cu serviciul de detecție a intruziunilor, mesajele syslog sunt revizuite și
monitorizate pentru semnături de atac specifice. Anumite tipuri de atacu ri de rețea au caracteristici
sau semnături specifice. Atunci când CBAC detectează un atac bazat pe aceste caracteristici
specifice, se resetează conexiunile ofensatoare și se trimit captările către server -ul syslog.
2.5 Secure Shell (SSH) .
SSH (Secur e Shell ) – este un protocol utilizat pentru accesul la distanță și pentru executarea
comenzilor pe un echipament de la distanță. A fost conceput pentru a înlocui rlogin , rsh și telnet,
pentru a asigura comunicație criptată între două stații ce comunică in tr-o rețea nesigură, cum este
rețeaua Internet. Prin canalul oferit pot fi redirectate și conexiuni X11 și porturi arbitrare TCP/IP.
SSH utilizează conexiuni TCP, componenta server ascultănd pe portul 22.
SSH (Figura 2. 8) oferă o comunicație criptată în tre două echipamente, criptarea oferind
datelor confidențialitatea și integritatea. SSH utilizează criptografia cu chei publice pentru
autentificarea stațiilor ce doresc să se conecteze și să execute comenzi la distanță, conectarea
realizându -se pe baza un ui nume de utilizator și a unei parole. Sunt suportate următoarele metode de
criptare: IDEA, DES, 3DES, ARCFOUR, BLOWFISH și TSS, implicit folosindu -se IDEA (Răzvan
Rughiniș, 2002) . [12]
Figura 2. 8 Conexiune SSH criptată . (http://www.securitatea -informatica.ro/securitatea –
informatica/securitatea -siconfidentialitatea -datelor -in-retelele -publice/, n.d.)
În prezent, există două versiuni ale acestui protocol. Prima versiune, SSH -1, a fost lansată în
1995, câștigând rapid popularitatea utilizatorilor. În 1996, apare SSH -2, o rescriere integrală a
primei versiuni, incompatibilă cu prima versiune, aducând îmbu nătățiri substanțiale în procesul de
schimbare a cheilor și în asigurarea integrității datelor.
Tabel 2.1 Principalele diferențe între cele două versiune SSH
19 2.6 ACL – IP Access Control List .
Securitatea are numeroase fațete și una dintre cele mai importante este capacitatea de a
controla fluxul pachetelor de date dintr -o rețea. Este esențial să controlăm fluxul pachetelor de date
dintr -o rețea. Filtrarea pachetelor reprezintă una dintre cele mai importane utilizări ale listelor de
acces Cisco.
Filtrarea pachetelor ne permite să controlăm fluxul de date din rețea în funcție de adresele IP
sursă și destinație, precum și după tipul aplicației utilizate. Ruterele servesc pentru conectarea între
un LAN al unei compani și Internet, sau între două sau mai multe rețele ale unei compani. În aceste
situații, ruterele servesc la filtrarea pachetelor, deoarce fiecare pachet care circulă între două rețele
trebuie să treacă prin ruter. Sistemul de operare inter -rețele Cisco include toate funcțiile necesare
pentru implementarea unei soluții complexe de garantare a securității.
Cisco folosește termenul sistem de operare inter -rețele (IOS – internetwork operating
system) pentru a desemna sistemul utilizat de ruterele Cisco. Sistemul de operare de pe ruterele
Cisco oferă multe caracteristici asemănătoare sistemelor de orerare UNIX sau Windows, dar și
facilități specializate. Controlează echipamentele hardware, memoria și interfețele sau executarea
unor sarcini de sistem cum ar fi transferul pachetelor și construirea unor informații dinamice, cum
sunt tabelele de rutare și ARP.
Una dintre cele mai importante caracteristici ale IOS este capacitatea de a filtra în mod
intelegent pachetele transferate între rețele de date. Această obțiune se bazează pe crearea și
aplicar ea listelor de acces. [13]
Listele de acces :
O listă de acces este o listă orodnată de enunțuri care permit sau interzic accesul pachetelor
pe baza unui criteriu de corespondență inclus în pachet. Ordinea în care sunt create enunțurile din
lista de acces este foarte imporantă. Una din cele mai dese greșeli în ceea ce privește crearea listelor
de acces este introducerea enunțurilor într -o ordine neadecvată. La sfârșitul unei liste de acces Cisco
există întotdeauna un enunț prestabilit ”Deny All” (interzice tot). Un pachet al cărui acces nu este
permis în mod explicit va fi respins datorită enunțului Deny all de la sfârșitul listei. Listele de acces
Cisco sunt folosite în multe alte scopuri decât filtrarea traficului.
Listelele de acces sunt folosite pentru:
filtrarea traficului
indentificarea traficului
Listele de acces functionează la nivelele 2, 3 și 4 ale modelului OSI și actionează ca un
firewall de rețea.
ACL este folosit ca scop principal in filtrarea traficului, dar sunt cazuri in care trebuie să
identicam un trafic, de exemplu:
Identificarea traficului pentru tunnelare VPN.
Identificarea rutelor
Identificarea traficului pentru QoS.
Identificarea retelei/hosturilor care pot fi translatate (NAT).
Când un packet ajunge la router, lista ACL este parcu rsa de sus în jos până la prima
potrivire. Odată facută potrivirea, packet -ul este permis sau dropat. Regulile noi sunt puse la finalul
liste de acces, dar înainte “deny all” implicit. Când filtram un trafic, lista de acces este aplicată pe o
interfață (sa u virtual terminal).
Pe o interfață listele de acces sunt aplicate:
inboud – packet -ul este receptionat pe interfata / inainte de a fi rutat
outboud – packet -ul este transmis pe interfață / după ce a fost rutat.
20 Listele de acces – Standard :
Acest tip de l iste se bazează pe rețeaua sau hostul sursă și trebuie plasate cât mai aproape de
rețeaua destinație.
Listele de acces – Extinse :
Listele de acces extended se bazează pe adresa IP sursă, adresa IP destinație, portul
TCP/UDP sursă și portul TCP/UDP destinaț ie. Acest tip de liste trebuie să fie plasat cât mai
aproape de rețeaua sursă.
2.7 Translatarea de adrese .
Translatarea de adrese sau NAT (Network Address Translation) este procesul prin care se
modifică adresele sursă (SNAT) sau destinație (DNAT) din anu mite pachete care trec prin firewall .
Din punctul de vedere al securității, translatarea de adrese se folosește pentru a ascunde modul de
adresare intern și pentru a evita accesarea stațiilor interne din exterior, prin folosirea unor adrese
private în rețe aua internă, adrese ce vor fi translatate la drese publice pentru ca stațiile interne să
aibă acces la Internet.
Terminolagia NAT se aplică din perspectiva echipamentului cu adresele translatate:
Inside address – adresa echipametului care este translatată de NAT
Outside address – adresa echipamentului destinație. NAT -ul introduce conceptul de
adrese locale și globale:
Local address – orice adresă ce apare în partea internă a rețelei.
Global address – orice adresă ce apare în partea externă a rețelei. Router ul care face NAT
se mai numește și punct de delimitare între rețeaua internă și cea externă, precum și între adresele
locale și cele globale.
Se poate considera că translatarea adreselor este o funcție definită pe o mulțime de adrese
(A) cu rezultate înt r-o altă mulțime de adrese (B). Fiecare pachet cu o adresă de sursă sau destinație
din mulțimea A va fi înlocuită cu o adresă din mulțimea B. Se consideră că se realizează o
translatare de adrese statică (figura 2. 9) dacă funcția de translatare este inject ivă, adică fiecărei
adrese din mulțimea A îi corespunde o singură adresă corespunzătoare în mulțimea B. [14]
Figura 2.9 Translatarea de adrese statică (SNAT) . (http://computernetworkingnotes.com/ccna –
study -guide/configure -cisco -router -step-bystep -guide.html, n.d.)
Dacă funcția de translatare nu este injectivă, adică dacă pentru mai multe adrese din
mulțim ea A corespunde o singură adresă din mulțimea B, aceasta se numește translatare de adrese
dinamică (figura 2. 10).
21
Figura 2.10 Translatarea de adrese dinamică (DNAT) . (http://computernetworkingnotes.com/ccna –
study -guide/configure -cisco -router -step-bystep -guide.html, n.d.)
Avantajul folosirii translatării de adrese dinamice constă în faptul că se pot parta ja adrese
rutabile disponibile. Calculatoarelor din rețeaua locală li se alocă adrese private, iar router -ul
(firewall -ul) va face o translatare de adrese dinamice din mulțimea de adrese private în mulțimea de
adrese publice.
Port address translation (PAT) (figura 2. 11) – mapare mai multe adrese locale la o adresă
globală. Această metode mai este cunoscută ca supraîncărcare (NAT – overloading ). PAT încearcă
să rezerve portul sursă original. În cazul în care portul nu mai este disponibil pe echipamentul ca re
face PAT, ac esta va asigna port disponibil pornind de la inceputul fiecarui grup de porturi
corespunzător portului sursă original (0 -511, 512 -1023, 1024 -65535). Atunci cand sunt utilizate
toate porturile și mai există adrese IP externe în pool -ul de adrese atunci se t rece la urmatoarea
adresă IP din pool și se încearcă rezervarea portului sursă original dacă este posibil. Procesul
continuă până când nu mai există porturi/adrese IP -uri externe în pool -ul de adrese (Răzvan
Rughiniș, 2002) .
Figura 2. 11 Port adress translation (PAT) . (http://computernetworkingnotes.com/ccna -study –
guide/configure -cisco -router -step-bystep -guide.html, n.d.)
Un caz special al PAT îl reprezintă redirectarea. În acest caz se va înlocui pachetul primit
din rețeaua locală având adresa sursă S, adresa destinație D, portul P cu un altul având adresa sursă
S, adresa desti nație M (adresa router -ului), portul R (portul în care se face redirectarea, de către
utilizator). Redirectarea este în general folosită pentru a implementa un proxy transparent, pe router –
ul M portul R ascultă un proxy configurat pentru proxy transparent. [15]
22
CAPITOLUL 3
3.VPN – Virtual Private Network .
Rețeaua Privată Virtuală (VPN ) – reprezintă o tehnologie compiuterizată de comunicații
sigure, de obicei folosită în cadrul unei întreprindere, organizații, sau al mai multor companii, ce se
bazează pe o rețea publică (Internet) și de aceea nu foarte sigură. „Tehnologia VPN este construită
tocmai pentru a crea printr -o rețea publică o subrețea de confidențialitate la fel de înaltă ca și într -o
rețea privată independentă. În mod intenționat această subrețea, denumită “VPN”, nu poate
comunica cu celelalte sisteme sau utilizatori ai rețelei publice de bază. Utilizatorii unei rețele VPN
vor avea astfel impresia că sunt conectați la o rețea privată independentă, dedicată, cu toate
avantajele pent ru securitate, rețea care defapt este însă doar virtuală, ea fiind o subrețea înglobată
fizic în rețeaua de bază ”. (http://docshare.tips/atestate -vpn-functionare -si-securitate_
5751a62db6d87f5e5a8b4f71 .html, n.d.)
Informația din traficul de tip VPN poate fi transmisă prin intermediul unei rețele private a
furnizorului de servicii Internet (ISP), pusă la dispoziție publicului sau prin intermediul
infrastructurii unei rețele publice de date (Internet) folosind protocoalele stand ard.
Aceste tipuri de conexiuni sunt o alternativă cu cost redus, în comparație cu rețelele dedicate
de tip WAN private, oferind posibilitatea de conectare a comutatoarelor de telecomunicații la
rețeaua internă a unei companii prin dial -up, xDSL, sau cablu . Conexiunile VPN sunt ușor de
implementat peste rețelele publice existente, și oferă o alternativă în comparație cu rețelele dedicate
private, care în general sunt mai scumpe, cum ar fi cele de tip Frame Relay sau ATM
(https:// dokumen.tips/documents/125912779 -retele -vpn.html, n.d.) .
Rețelele VPN oferă mai multe avantaje: prețuri redus pentru implementare, administrare,
întreținere, funcționare, securitate informațională sporită (asemănătoare cu securitatea rețelele
private pr opriu -zise, tradiționale), acces simplificat, scalabilitate și, în sfârșit, compatibilitate cu
rețelele publice de mare viteză. [16]
Figura 3.1 Arhitectura rețelei VPN .
(http://ro.wikipedia.org/wiki/Re%C8%9Bea_privat%C4%83_virtual%C4%83, n.d.)
23 Pentru stabilirea unei conexiuni VPN există mai multe metode (bazate pe nivelele 2 și 3 din
Modelul OSI), împreună cu tehnologiile respective. Rețeaua VPN poate fi administrată și stabilită la
sediul clientului, sau și de către furnizorul de servicii de Internet. De asemenea, există și
posibilitatea de a combina mai multe din aceste metode între ele pentru a satisface cerințe speciale.
VPN -urile sigure folosesc cryptografic tunneling protocols. Acestea sunt protocoale de
codificare (criptare) care asigură confidențialitatea (blocând persoanele), autenticitatea
expeditorului și integritatea mesajelor. Astfel de tehnici, dacă sunt implementate, alese și utilizate în
mod corespunzător, pot asigura comunicații sigure chiar dacă este folosită o rețea nefiabilă.
Deoarece o astfel de alegere, folosire și implementare nu sunt sarcini simple, se pot găsi pe piață
multe scheme, echipamente VPN nesigure (nesatisfăcătoare)
(https://dokumen.tips/documents/442a -manea -constantin.html, n.d.) .
Tehnologiile VPN sigure pot fi de asemenea utilizate pentru a crește securitatea în
infrastructura rețelelor.
Următoarele protocoale VPN sunt considerate sigure:
IP security (IPsec) – folosit pe IPv4.
Secure Sockets Layer / Transport Layer Security (SSL/TLS) – folosit pentru întreaga
rețea, precum în proiectul OpenVPN sau pentru securizarea unui proxy web.
Point -to-Point Tunneling Protocol (PPTP), creat de Microsoft.
Layer 2 Tunneling Protocol (L2TP), creat de Microsoft și Cisco.
Layer 2 Tunneling Protocol, version 3 (L2TPv3), recent lansat.
VPN -Q
Multi Path Virtual Private Network (MPVP N). MPVPN este marcă înregistrată a
companiei Ragula Systems Development Company ”. (https://dokumen.tips/documents/442a –
manea -constantin.html, fără an)
Tunelarea :
Tunelarea reprezintă transmiterea datelor în cadrul unei rețel e publice(Internet) astfel încât
rețeaua să nu “înțeleagă” faptul că transmiterea (transportul de informații) e parte a unei rețele
private.
Este realizată prin încapsularea datelor aparținând rețelei private și crearea unui protocol
care să nu permită ac cesul nimănui la acestea. Tunelarea permite folosirea rețelelor publice, privite
astfel ca niște “rețele private” sau aproape private.
Cel mai important aspect oferit de VPN este securitatea informațiilor ce sunt transmise prin
rețea. O rețea VPN, prin na tura sa, trebuie să se ocupe și să rezolve toate tipurile de amenințări ale
siguranței acesteia, oferind și servicii de securitate în domeniul autentificării (controlului accesului).
Encapsularea generică :
Generic Router Encapsulation(GRE) reprezintă o m etodă de dirijare a pachetelor IP care
sunt nerutabile. De asemenea se poate folosi și pentru rutarea pachetlor multicast peste rețele
incompatibile. GRE poate ruta pachete non -IP peste rețele IP.
Mecanismul de autentificare :
Acesta este procesul prin care se verifică identitatea utilizatorului (sau a sistemului
utilizator). Există multe tipuri de mecanisme de autentificare, dar cele mai multe folosesc unul din
următoarele moduri de abordare: nume utilizator, parolă,PIN, Smartcard, un card key, amprentă, un
pattern al retinei, un pattern al iris -ului, configurație manuală, etc.
24 Autentificarea “slabă” folosește doar una din categoriile de mai sus, iar pentru o
autentificare “puternică” este recomandat combinarea a cel puțin două din categoriile prezentate
mai sus. Cu toate acestea nu există o metodă absolut sigură de protecție.
VPN din punct de vedere al costurilor este o modalitate eficientă pentru ca diferite firme să
poată asigura accesul la rețeaua firmei pentru angajații sau colaboratorii aflați la distan ță față de
sediul acesteia, și pentru a securiza confidențialitatea datelor schimbate între punctele de lucru
aflate la distanță.
Între calculatorul utilizatorului sau al angajatului, aflat la depărtare, și rețeaua la care acesta
este conectat pentru a acc esa resursele sau a datelor companiei, există un firewall. Programul client
(sau sistemul client) al angajatului poate stabili o comunicare cu firewall -ul, prin care va putea
trasmite datele de autentificare către un serviciu specializat. Astfel, utilizato rul, utilizând uneori
numai dispozitive cunoscute, poate obține privilegiile de securitate care îi permit accesul la
resursele companiei, blocate pentru ceilalți utilizatori neautorizați din Internet.
Multe programe client ale unei rețele VPN pot fi config urate în așa fel încât, pe toată durata
unei conexiuni VPN active, ele să ceară trecerea întregului trafic IP printr -un așa numit tunel,
sporind astfel siguranța conexiunii. Din perspectiva angajatului, lucrul acesta înseamnă că atâta
timp cât conexiunea V PN e activă, accesul la rețeaua sigură, din afară v -a trebui să treacă prin
același echipament firewall, ca și cum angajatul s -ar fi conectat din interiorul rețelei sigure. Datorită
acestui fapt se reduce riscul unei accesări din partea unei personae neaut orizate (atacator). O astfel
de securizare e critică deoarece alte calculatoare conectate local la rețeaua clientului pot fi nesigure
sau sigure doar parțial. Chiar și o rețea restrânsă protejată cu un echipament sau software firewall,
având mai mulți clie nți conectați simultan fiecare la câte un VPN, va putea astfel securiză și proteja
datele, chiar dacă este infectată de viruși rețeaua locală
(http://www.netaccess.ro/retele_virtuale_private.html, n.d.) .
Având în vedere faptul că VPN -urile sunt extinderi ale rețelei private, există unele implicații
de securitate care trebuiesc luate în considerare cu multă atenție:
Securitatea pe partea clientului trebuie să fie întărită. Acest procedeu poartă numele de
”Central Client Administ ration” sau ”Security Policy Enforcement”. Adeseori organizațiile cer
angajaților care doresc să utilizeze VPN -ul în afara serviciului să își instaleze în prealabil un
software firewall oficial. Unele compani care gestionează date importante, precum sunt c ele din
domeniul sănătății, au grijă ca utilizatorii trebuie să utilizeze două conexiuni WAN separate: una
pentru gestionarea datelor sensibile, și a doua pentru alte interese.
Politicile de jurnalizare trebuie evaluate din nou și în cele mai multe cazuri revizuite.
O singură scurgere de informații nedorită poate duce la compromiterea securității unei
rețele. În cazul în care un angajat sau o organizație are obligații legale privind protejarea datelor
confidențiale, pot apărea probleme legale chiar cu răspu ndere penală. [17]
Avantaje ale tehnologiei VPN.
Mediul de afaceri este în continuă schimbare, multe firme îndreptându -și atenția spre piața
globală. Aceste firme devin regionale, multinaționale și toate au nevoie de: o comunicație rapidă,
fiabilă și sigură între sed iul central, filiale, birouri sau punctele de lucru, adică de o rețea WAN.
O rețea WAN tradițională presupune închirierea unor linii de comunicație, fibră optică OC -3
(155 Mbps ) sau ISDN (128/256Kbps) care să acopere aria geografică neces ară. O asemenea rețea
are avantaje clare față de una publică, cum este Internetul, când vine vorba de fiabilitate,
performanță și sec uritate. Dar configurarea unei rețele WAN cu linii închiriate este extrem de
scumpă, direct proporțional cu aria geografică acoperită
(https://dokumen.tips/documents/125912779 -retele -vpn.html, n.d.) .
O dată cu creșterea popularității Internet -ului, interprinderile au început să își extindă
propriile rețele. La început au apărut intranet -urile, ca re sunt site -uri protejate p rin parolă destinate
25 utilizatorilor companiei. Acum, organizațiile și-au creat propriile VPN -uri pentru a veni în
întâmpinarea cerințelor angajațiilor pentru a avea acces la rețea, de la distanță.
Un VPN poate aduce multe benef icii unei organizați : extinde aria de conectivitate, crește
productivitatea, sporește securitatea, simplifică topologia rețelei, reduce costurile operaționale, oferă
oportunități de lucru într -o rețea externă , asigură suport pentru tendința afacerilor spre operare de la
distanță, operații distribuite global și operații de parteneriat foarte interdependente, în care angajați
trebuie să se poate conecta la resursele centrale ale rețelei și să comunice unul cu celălalt , iar
companiile trebuie să -și administrez e eficient stocurile pentru un ciclu de producție scurt.
3.1 Tipuri de rețele VPN.
O rețea privată virtuală (VPN) este o rețea care extinde accesul de la distanță către utilizatori
pe o rețea partajată infrastructură. VPN -urile mențin aceleași polit ici de securitate și gestionare ca și
o rețea privată.
Figura 3.2 Tipuri de re țele VPN . (http://docshare.tips/atestate -vpn-functionare -si-securitate_
5751a62db6d87f5e5a8b4f71 .html, n.d.)
Acces VPN de la distanță (Remote Access VPN) (figura 3.3) – Furnizați acces la distanță la
intranetul sau extranetul unui client al unei întreprinderi pe o rețea infra structură partajată. Accesul
VPN -urilor utilizează funcțiile analogice, dial, ISDN, DSL, IP mobile și cablu tehnologii pentru a
conecta în siguranță utilizatorii de telefonie mobilă, telecomunicații și sucursale.
Figura 3.3 Remote access VPN . (http://docshare.tips/atestate -vpn-functionare -si-securitate_
5751a62db6d87f5e5a8b4f71 .html, n.d.)
Acces la s ediul clientului de afaceri, birouri de la distanță, și filiale la o rețea internă pe o
infrastructură partajată utilizând conexiuni dedicate. Intranet VPN -urile (figura 3.4) diferă de VPN –
uri extranet, prin faptul că permit doar accesul la angajații clien tului întreprinderii. Acestea sunt
denumite și VPN -uri „site -to-site” sau „LAN -to-LAN”.
26
Figura 3.4 Intranet VPN . (http://docshare.tips/atestate -vpn-functionare -si-securitate_
5751a62db6d87f5e5a8b4f71 .html, n.d.)
VPN -urile extranet (Extranet VPN) (figura 3.5) permit conexiuni securizate între partenerii
de afaceri, furnizori și clienți, în general în scopul realizării comerțului electronic. VPN -urile
extranet sunt o extensie a VPN -urilor intranet la care se adaugă firewall -uri pentru protecția rețelei
interne.
Figura 3.5 Extranet VPN . (http://docshare.tips/atestate -vpn-functionare -si-securitate_
5751a62db6d87f5e5a8b4f71 .html, n.d.)
Toate aceste rețele virtuale private au scopul de a oferi fiabi litatea, per formanța și
securitatea rețelelor WAN t radiționale, dar cu costuri scăzute și conexiuni ISP (Internet Service
Provider) flexibile. Tehnologia VPN poate fi folosită și într -un intranet pentru a asigura resurse sau
sisteme vitale , securitatea și controlul accesului la informații . Se poate limita accesul anumitor
angajați la sistemele financiare din companie sau se pot trimite informații confidențiale în manieră
securizată. [18]
VPN cu livrare sigură (Trusted VPN) :
Înainte ca Internetul să devine o rețea aproape universal ă, o rețea virtuală privată consta în
unul sau mai multe circuite închiriate de la un furnizor de comunicații. Fiecare circuit închiriat se
comporta ca un singur fir într -o rețea controlată de client. Deasemenea, câteodată furnizo rul ajută la
administrarea rețelei clientului, dar ideea de bază era ca acesta, clientul, să poată utiliza aceste
circuite închiriate la fel ca și cablurile fizice din rețeaua proprie.
Siguranța oferită de aceste VPN -uri „moștenite” se referea doar la fap tul că furnizorul de
comunicații asigura clientul că nimeni altcineva nu va folosi aceleași circuite. Acest lucru permitea
clienților să aibă adresarea IP și politici de securitate proprii. Circu itele închiriate treceau prin unul
sau mai multe switch -uri de comunicații, fiecare dintre acestea putând fi compromis de către cineva
doritor să intercepteze traficul rețelei. Clientul VPN avea încredere că furnizorul de VPN va
menține integritatea circuitelor și va utiliza cele mai bune echipamente pentru a e vita interceptarea
traficului din rețea. De aceea, aceste rețele se numesc VPN cu livrare sigură (Trusted VPN).
27 VPN securizate (Secure VPN) :
Odată cu popularizarea Internetului ca un mediu de comunicații corporativ, securitatea a
devenit un aspect importan t atât pentru clienți cât și pentru furnizori. Văzând că VPN cu livrare
sigură nu oferă o reală securitate, furnizorii au început să creeze protocoale care permit criptarea
traficului la marginea rețelei sau la calculatorul de origine, trecerea prin rețea ca orice alte date și
apoi decriptarea în momentul în care datele ajung la rețeaua corporativă sau calculatorul de
destinație. Acest trafic criptat se comportă de parcă ar fi un tunel între cele două rețele: chiar dacă
un atacator poate observa traficul, n u-l poate citi și nu îi poate schimba conținutul fără ca aceste
schimbări să fie observate de partea de recepție și, în concluzie, rejectate. Rețelele construite
utilizând criptarea se numesc VPN securizate (Secure VPN)
(http:// ro.wikipedia.org/wiki/Re%C8%9Bea_privat%C4%83_virtual%C4%83, n.d.) .
VPN hibrid (Hybrid VPN) :
Un VPN securizat poate rula ca parte a unui VPN cu livrare sigură, creând un al treilea tip
de VPN, foarte nou pe piață: VPN hibrid (Hybrid VPN). Părțile sigu re a unui VPN hibrid pot fi
controlate de client sau de același furnizor care asigură partea de încredere a VPN -ului hibrid.
Câteodată întregul VPN hibrid este asigurat cu VPN -ul securizat dar, de obicei, doar o parte a VPN
hibrid este sigură .
Cerințe de baza pentru VPN -uri:
La adoptarea unei rețele virtuale private prin Internet există două probleme majore:
securitatea și performanța. Protocolul de control al transmisiei (TCP/IP) și Internetul nu au fost
gândite inițial să asigure securitate și perfor manță, deoarece la acea vreme utilizatorii și aplicațiile
lor nu necesitau o securitate puternică și o performanță garantată. Din fericire, standardele pentru
securitatea datelor din rețelele IP a evoluat, fiind posibilă crearea VPN -urilor folosind rețele IP.
În mod normal, când proiectează o soluție de acces de la distanță la o rețea, o companie
dorește să permită accesul controlat la resurse și informații. Soluția trebuie să permită clienților
autorizați să se conecteze ușor la rețeaua internă a compani ei, și să permită sucursalelor să se
conecteze între ele pentru a utiliza aceleași informații și resurse (conexiuni LAN -LAN). În plus,
soluția trebuie să asigure securitatea și integritatea datelor când traversează Internet -ul. Aceleași
preocupări apar și în cazul când datele ce trebuie protejate traversează inter -rețeaua corporației.
3.2 Protocolul IPSec .
Securitatea unei rețele de calculatoare poate fi afectată de mai mulți factori, cum ar fi:
dezastre sau calamități naturale, defectări ale echipamen telor, greșeli umane de operare sau
manipulare, fraude. Pentru asigurarea securității unei rețele s -au creat așa numitele servicii de
securitate care au scopul de a asigura securitatea aplicațiilor precum și a informațiilor stocate pe
suport sau transmise prin rețea. Când este vorba despre securitatea unei rețele apar mai multe
aspecte, cum ar fi: securizarea accesului fizic și logic, securitatea serviciilor de rețea, secretizarea
informațiilor etc. Au fost implementate mai multe metode pentru a prote ja și spori gradul de
securitate. Majoritatea metodelor s-au concentrat pe nivelurile superioare ale modelului OSI pentru
a compensa lipsa de securitate a adreselor IP.
IPSec (Internet Protocol Security), sau protocolul de securitate IP, este un cadru de
stand arde deschise pentru a asigura securizarea comunicațiilor private pe Internet. IPSec (figura 3.6)
asigură integritatea, confidențialitatea și autenticitatea comunicațiilor de date printr -o rețea publică,
fiind o componentă tehnică cheie pentru o soluție de securitate totală. Un astfel de protocol poate
rezolva amenințările de securitate din infrastructura rețelei, fără a solicita modificări costisitoare ale
gazdei și aplicațiilor utilizate. IPSec oferă autentificarea și criptare la nivelul de rețea IP. Deoa rece
pachetele criptate arată ca pachete IP obișnuite, ele pot fi redirecționate ușor către o rețea IP
nesigură, ca Internetul, exact ca pachetele IP obișnuite. Singurele echipamente care cunosc criptarea
28 sunt punctele finale. IPSec folosește diferite tehn ologii existente, cum sunt certificatele digitale sau
criptarea DES .
Figura 3.6 Prezentare generală VPN IPSec .
(http://stst.elia.pub.ro/news/RCI_2009_10/Teme_RCI_2015_16/2016_Florea%
20Carmen_IPSEC.pdf, n.d.)
IPSec are două moduri de criptare : transport și tunel. Transportul criptează și datele în timp
ce tunelul criptează doar antetul. IPSec poate cripta informațiile între diverse echipamente: PC –
router, PC -server, router -router, firewall -router.
IPSec este un protocol de criptare ce lucrează la nivelul 3 (rețea) din modelului de referință
OSI și care asigură transmisia criptată a informației. Sta bilirea VPN -ului de tip -ul IPSec are loc în
urma negocierii între cele două părți ale unui mod standard de comunicație în sensul de a utiliza o
politică de securitate comună, de a folosi aceiași algoritmi de criptare și aceeași metodă de
autentificare. Oda tă negociată politica acesta, se creează un tunel de comunicații între cele două
locații și astfel angajatul din afara interprinderii are acces la resursele interne ale rețelei private.
Însă, pentru a fi îndeplinite toate condițiile de VPN via IPSec, fieca re echipament de la care se
dorește acces are nevoie de instalarea unui „client” software de VPN
(http://stst.elia.pub.ro/news/RCI_2009_10/Teme_RCI_2015_16/2016_Florea%
20Carmen_IPSEC.pdf, n.d.) . [19]
IPsec cuprinde următoarel e elemente: algoritmi criptografici, tehnici de management a
cheilor și SA , asocieri de securitate și protocoale de securitate .
Toate aceste elemente împreună furnizează următorul serviciu de securitate la IP:
Access control – IPsec controlează accesul l a resurse cum ar fi un capăt al rețelei sau
gazdei (host) din spatele unei porți de securitate;
Integritatea fără conexiuni – IPsec poate descoperi modificările la pachetele IP indiferent
de ordinea în care ele sunt recepționate sau trimise. Dacă un hacke r modifică pachetele în tranzit
între gazde sau porți de securitate, aceste pachete sunt oprite de poarta de securitate sau de gazdă la
recepționare.
Autentificarea originii datelor – IPSec verifică dacă mesajele ce sunt recepționate au fost
transmise de un anumit expeditor și nu de o altă sursă mascată. Pachetele trimise de un
atacator sunt oprite de porțile de securitate sau gazdă la primire;
Replay protection – se asigură că gazdele și porțile de securitate opresc orice pachete IPSec
duokicate ce sun t recepționate;
Confindețialitatea datelor – ascunde datele și împiedică ca acestea să fie descoperite de un
atacator. IP Sec utilizează algoritmi de criptare pentru a se asigura confindențialitatea
datelor;
29 Limited traffic flow confidentiality – chiar d acă un atacator nu este capabil să determine
exact natura datelor protejate, ei ar putea însă descoperi informații cum ar fi identitatea
mecanismelor de comunicare, mărimea pachetelor și chiar frecvența de transmisie. IPSec asigură o
protecție limitată împ otriva unui atacator capabil să obțină aceste informații
(https://www.freebsd.org/doc/handbook/ipsec.html, n.d.) .
Asocierea de securitate :
Asocierea de securitate este un ansamblu de date de tip nume de cheie – algoritm, care
reprezintă capabilitățile criptografice comune entităților participante la asocierea IPsec.
SAD – Security Association Database reprezintă ansamblul unor seturi de asocieri de
securitate pe un anumit calculator sau gateway, baza de date cu informații cr iptografice, de pe
fiecare entitate IPSec, în legătură cu celelalte entități conexe.
Pe fiecare entitate IPSec se mai găsește o a doua bază de date, numită SPD – Security Policy
Database, cu date despre traficul care trebuie securizat, numit trafic interes ant. Conținutul bazei de
date SAD este populat manual, de către administratorul acelui system sau dinamic prin negocierea
de IKE între entități, însă folosind tot un set predefinit de capabilități ale fiecărui sistem.
În momentul securizării traficului fie care pentru ca entitate să cunoască parametrii de
securizare, fiecare tip de trafic este folosit de identificatorul SPI – Security Parameter Index, un
index pe baza de date SAD. Folosind acest index și valoarea adresei IP din destinația pachetului ce
urmea ză a fi supus procesului de criptare sau autentificare, fiecare entitate IPsec știe exact ce
transformare trebuie realizată pe fiecare pachet IP pentru ca acesta să poată fi decriptat la destinație
și să fie corect interpretat. Procesul de decriptare este asemănător în momentul recepției unui pachet
astfel securizat.
În cazul în care sunt mai mult de doi participanți la asocierea de securitate, cum ar fi
traficului de tip multicast, asocierea de securitate este furnizată pentru întregul grup și este prezent ă
pe fiecare sistem participant. Pot exista, de asemenea, mai multe asocieri de securitate pentru un
același grup de entități, fiecare cu diverse nivele de securitate în interiorul grupului.
În funcție de modalitatea de stabilire a parametrilor asocierii d e securitate, suita IPSec poate
fi stabilită prin ISAKMP – negociere prin mesaje IKE sau manual – static, preconfigurate de
administrator pe fiecare sistem.
În funcție de tipul de încapsulare al traficului supus IPSec, suita poate realizare securizarea
prin încapsulare de tip transport sau de tip tunel.
Încapsularea de tip tunel apare în momentul în care entitățile participante la IPsec sunt de tip
gateway; ele au în administrare una sau mai multe subrețele pentru traficul cărora realizează operații
criptog rafice. Pachetul încapsulat IPsec va avea un set de adrese IP exterioare – adresele IP ale
entităților gateway și un set de adrese IP interioare sau protejate – adresele IP, publice sau private,
ale subrețelelor din spatele acestor gateway -uri
(http://stst.elia.pub.ro/RIC/Teme_RIC_2008_9/CristianAndrei/Securitatea%20informatiei
%20Cristian%20Andreiv1.doc, n.d.) .
Încapsularea de tip transport apare în momentul în care entitățile participante la IPSec sunt
calculatoare independen te, care au instalat un soft specializat IPsec, realizînd operații criptografice
pentru propriul trafic. Pachetul încapsulat va avea un singur set de adrese IP, publice, ale acestor
calculatoare.
Site-to-Site sau Remote -Access :
Această manieră de clasifi care se pretează în exclusivitate tipului de încapsulare tunel,
neavând sens pentru tipul transport. Criteriul de clasificare este acela al tipului entității participante
la IPsec.
30 În cazul în care entitățile sunt două gateway -uri de securitate care realiz ează operații
criptografice pentru subrețele protejate aflate în administrarea lor, modelul de trafic se numește
Site-to-Site sau LAN -to-LAN, în accepțiunea mai multor producători de echipamente de securitate
IPSec. Denumirea sugerează scenariul de comunic are descris în figura de mai jos.
În cazul în care entitățile sunt un gateway de securitate care are în administrare o subrețea și
un calculator independent care dorește să comunice cu acea subrețea, scenariul se numește Remote –
Access sau Dial -Up VPN, în a ccepțiunea mai multor producători de echipamente.
Cazul de remote -access este un tip de scenariu de tunel, deoarece, în momentul în care este
trimis pe rețea, pachetul încapsulat are două seturi de adrese IP: un set "extern", reprezentat de
adresele IP al e calculatorului și al gateway -ului căruia se adresează, și un set de adrese IP "intern",
reprezentat de adresa IP a unei mașini din interiorul rețelei și a unei adrese IP noi a calculatorului,
obținută de la acel gateway pentru a avea adresabilitate de ni vel IP în interiorul rețelei la care acest
calculator se conectează.
Procedeul prin care un calculator obține, în momentul negocierii IPsec, o adresă de la
gateway pentru a avea acces într -o rețea internă este numit mode -config în scenariile de tip IKEv1
sau configurare remote în cele de IKEv2
(http://stst.elia.pub.ro/news/rci_2009_10/teme%20prezentate/alina%20burlacu/ipsec.docx, n.d.) .
IPsec folosește două protocoale de securitate, Authentication Header (AH) și Encapsulating
Security Payload (ESP).
3.2.1 Protocolul Authentication Header .
Este un pachet header ce asigură următoarele servicii de securitate: Integritatea fără
conexiuni , Autentificarea originii datelor și Protecție opțională de replay .
Authentication Header (figu ra 3.7) reprezinta protocolul 51 IP si poate opera în 2 moduri –
modul transport si modul tunel.
Figura 3.7 F ormatul datagramei IPv4 cu headerul de autentificare (AH) IPS ec.
(https://www.freebsd.org/doc/handbook/ipsec.html, n.d.)
În modul transport, un AH header este inserat între headerul original și headerul următorului
protocol (ca de exemplu TCP, UDP, sau ICMP) pentru ca pachetul utilizator să fie protejat. Figura
următoare prezintă modul transport AH.
În AH transport mode, întregul pachet este autentificat excepție facînd câmpurile ce se pot
schimba în ti mpul tranzitării între host -urile permise sau porțile de securitate. Câmpurile variabile
cuprind Time -To-Live (TTL), Type of Service (ToS), și Header Checksum. În modul transport AH
31 este folosit să protejeze pachetele utilizator care tranzitează o rețea în tre hosturi sau devices..
Aceasta este posibil deoarece porțile de securitate folosesc AH transport mode să protejeze
protocoalele tunel ca și GRE, and Layer Two Tunneling Protocol (L2TP).
În modul tunel , AH header împreună cu un nou IP header este folosi t să protejeze pachetele
utilizator.
În modul tunel întregul pachet este autentificat excepție făcând câmpurile mutate în noul IP
header. Modul tunel poate fi folosit să protejeze pachetele utilizator care tranzitează rețeaua între
hosturi, dar și între po rțile de securitate (security gateways). [20]
3.2.2 Protocolul Encapsulating Security Payload .
Encapsulating Security Payload ( ESP) este un pachet header ce asigură următoarele:
Integritatea fără conexiune , Autentificarea originii datelor , Protecție opțio nală replay ,
Confindențialitatea datelor și Confindențialitatea limitată a traficului(disponibilă numai în modul
tunel) .
Observăm că ESP asigură aceleași servicii de securitate ca și AH, precum și
confindențialitatea limitată a traficului și datelor. Din a ceastă cauză, AH este mai rar folosit. ESP
este protocolul 50 IP.
De asemenea, ESP poate opera în 2 moduri -modul transport si modul tunel.
Observăm că dacă autentificarea ESP (figura 3.8) este configurată, câmpul ESP header
inițial (inclusiv SPI și câmpuri le Sequence Number), TCP/UDP/Other Header, Payload, și
câmpurile ESP Trailer sunt toate autentificate. Precizăm că, câmpul header original nu este
autentificat ca și când foloseam AH . Dacă criptare ESP este configurată, atunci câmpurile
TCP/UDP/Other Head er, Payload, și ESP sunt toate criptate. Modul transport este de obicei folosit
să protejeze traficul între host -uri și alte devices
În modul tunel ESP, un nou header IP și header ESP sunt folosite de pachetele utilizator iar
un ESP trailer și (dacă autent ificarea ESP este configurată) un ESP ICV sunt atașate la pachetul
utilizator. Dacă autentificarea ESP este configurată, câmpul header ESP, intrarea pachetului
utilizator și ESP trailer sunt autentificate.
Dacă criptarea ESP este configurată, câmpul ESP he ader, intrarea pachetului utilizator și
ESP trailer sunt criptate.
Figura 3.8 Formatul datagramei IPv4 cu IPSec Encapsulating Security Payload (ESP) .
(https://www.freebsd.org/doc/handbook/ipsec.html, n.d.)
32
Negocierea IKEv1 este alcătuită din două etape sau faze, numite sugestiv Faza 1 și Faza 2 .
Prima fază are rolul de a autentifica entitățile de IPSec, de a stabili o asociere de securitate și de a
deriva cheile Diffie -Hellman din care vor fi derivate ulterior cheile efective de criptate și/sau
autentificare pentru traficul de date. Prima fază are la rândul ei două variante sau moduri: modul
principal – main mode și modul agresiv – aggressive mode , fiecare redat mai jos. Faza a doua este
numită modul rapid – quick mode .
Modul principal cuprinde un număr de șase mesaje care se schimbă între inițiatorul și
responderul de IPsec.
Modul agresiv cuprinde un număr de trei mesaje schimbate și este considerat un schimb
nesigur, de aceea nu se mai recomandă utilizarea lui.
Modul rapid cuprinde un număr de trei mesaje și este dependent de realizarea unui schimb anterior
(de tip principal sau agresiv), care să protejeze informația conținută în aceste pachete. Modul de
bază (fără schimb de chei) împrospătează informația din materialul criptografic derivat în schimbul
de prima fază. Acest procedeu nu furnizează însă servici ul de PFS – Perfect Forward Secrecy,
serviciu care poate fi obținut prin utilizarea unui payload special de schimb de chei + KE, care
presupune încă o exponențiere .[21]
33
CAPITOLUL 4
REALIZAREA PRACTICĂ A PROIECTULUI
4.1 Prezentarea temei de proiect .
Crearea unei rețele compusă din echipamente reale este foarte scumpă drept urmare pentru
acest proiect voi folosi un simulator al echipamentelor folosite, ce lucrează cu sisteme de operare
reale. Scopul urmărit este de a implementa și configur a o rețea unde doresc să implementez
politicile de securitate pe echipamente Cisco și de a analiza performanțele acestei rețele .[22]
Pentru a implementa politicile de securitate am creat o r ețea pentru o companie privată
fictivă ce are echipamente instal ate în diferite locații. La această rețea doresc ca administrat ori
rețelei să se poată conecta remote prin rețeaua Internet pentru a verifica sau monitoriza rețeaua prin
configurarea a protocolului de routare OSPF (area 0 – pentru rețeaua internă și area 34 – pentru a
configura o rută între rețeaua locală și router -ul remote) și configurarea unui tunel între rețele pentru
o conexiune sigură între cele două rețele. Topologia rețelei include trei rețele virtuale (Admin,
Utilizatori și Server ), conectarea echi pamente lor s-a realizat cu switch -uri și routere Cisco . Prin
implementarea politicilor de securitate doresc protejarea informațiilor împotriva atacurilor provenite
din exterior, minimizarea riscurilor cu care se confruntă rețeaua , asigurarea f uncționalităț ii și
analizarea traficului din rețea în permanență.
Rețelele sunt vulnerabile la atacuri sau accesări neautorizate dacă nu sunt securizate
corespunzător. Implementarea protocoalelor sau operațiunilor de criptare a informației face ca
aceasta să nu poată fi accesată de oricine, accesul fiind permis numai în anumite condiții și
furnizând anumite informații : limitarea accesului în funcție de user și parolă, implementarea
rețelelor virtuale , etc.
Pentru crearea rețelei și implementarea politicilor de securit ate pe echipamente, switch -uri și
routere, am utilizat programul GNS3 (Graphical Network Simulator).
Topologia rețelei pentru compania fictivă va fi simulată și dezvoltată utilizând aplicația de simulare
grafică GNS3 (împreună cu aplicația Wireshark). Apl icația de simulare GNS3 oferă posibilitatea de
a modifica configurația unui echipament și observarea imediată a efectelor. Aceste simulări sunt
folosite pentru testarea unor echipamente sau modificărilor aduse acestora înainte de implementarea
reală a aces tora, analizând fiabilitatea sau efectele defectări unuia.
Scopul proiectului meu este de a aplica politicile de securitate ale rețelelor de calculatoare
pentru prevenirea atacurilor de recunoaștere, acces sau DoS și al accesărilor neautorizate,
implement area unor ACL -uri pentru a interzice sau permite traficul. Configurarea a două tunele:
Tunel Gre și IPSec.
4.2 Utilitare pentru simularea și configurarea rețelei .
Aplicația GNS3 permite simularea unei rețele de calculatoare complexă fiind o unealtă
compl ementară folosită în laboratoarele reale de rețelistică pentru administratori de rețea, ingineri,
etc. GNS3 permite utilizatorilor să configureze virtual o topologie a unei rețele bazată pe
echipamente CISCO.
34 Caracteristicile aplicației GNS3 folosite în s imularea rețelei, sunt:
– configurarea unor topologi de rețele complexe;
– emularea sistemului de operare IOS Cisco ;
– cu ajutorul utilitarului Wireshark se pot captura pachetelor;
– conectarea rețelei simulate la o rețea reală.
GNS3 are o interfață pentru Dynamips, ce comunică cu acesta prin intermediul unui
hipervizor. Aplicația Dynamips este open -source ce emulează un sistem de operare IOS Cisco ,
aceasta poate rula pe platforme Windows, Linux sau MacOS. Utilizatorii aplicați ei Dynamips pot
configur a routere sau switch -uri ce rulează sisteme de operare Cisco, folosind resursele
calculatorului gazdă. Avantajul folosiri acestei aplicații este acela că Dynamips nu e simulator, ci un
emulator care rulează codul sistemului de operare Cisco. Pe lângă compo rtamentul real al unui
echipament Cisco ne permite să configurăm o diversitate de topologi i. Un alt aspect important
pentru utilizatorii acestei aplicații este că permite captura traficului din rețea cu ajutorul
analizatorului de pachete Wireshark.
Creare a unei rețele în GNS3 este simplă, în special pentru utilizatorii ce au mai folosit
simulatoare de rețea cum sunt Cisco Packet Tracer sau Opnet. Pentru a folosi programul, utilizatorii
au nevoie de imaginile IOS ale echipamentelor Cisco pentru a le putea u tiliza.
Pentru folosirea echipamentelor în aplicația GNS3, este necesară alegerea acestuia din
meniul aplicației și tragerea acestuia în spațiul de lucru. La început se configurează tipul de
conexiune, folosind ethernet, serial sau alte tipuri. Fiecare ec hipament are propiul tip de conexiune,
pentru a conecta echipamentele folosim butonul ”Add a link”
Dynamips este util în testarea configurațiilor și oferă posibilitatea de a capta pachetele din
conexiunea dintre routerele virtuale. Acesta permite conexi unea routerelor virtuale și permite
interacțiunea cu cele reale ceea ce permite testarea unor topologii de dimensiuni mai mari.
Înainte de a începe simularea și configurarea rețelei este necesară realizarea unor setări în
GNS3. Fiecare echipament are imaginea sa, depinde de utilizator ce echipamente dorește să
folosească în simularea rețelei pentru a încărca imaginea acestuia. Pentru a reduce consumul de
resurse a calculatorului atunci când rulează simularea rețelei, este necesar să fie definită valoar ea
”Idle PC”.
Wireshark este o aplicație de tip open source, ce permite analizarea pachetelor sau a
traficului dintr -o rețea, identificarea și depanarea eventualelor probleme. Permite unui utilizator să
analizee tot traficul dintr -o rețea prin configurar ea interfeței în modul promiscuu. În modul
promiscuu, interfața primește și procesează tot traficul din rețea, nu doar pe cel ce îi este destinat.
Aplicația Wireshark oferă un număr mare de opțiuni :
– analiz ează pachetele ;
– inspect ează mai multe tipuri de protocoale;
– citire și scriere în formate open source: tcpdump(libpcap), Cisco Secure IDS iplog;
– posibilit atea de filtrare a informațiilor capturate;
– se poate personaliza interfața aplicației , aplicând reguli de colorare pentru lista de pachete
pentru a permite o analiză intuitivă și rapidă;
– permite exportul datelor în format CSV, XML, CSV sau text simplu.
Aplicația Wireshark utilizează API (Applicat ion Programming Interface) pentru a captura
pachetele, aplicația funcționează doar pentru re țelele suportate de API. Un alt dezavantaj este că,
pentru a putea captura pachetele în format neprelucrat de la o interfață de rețea, Wireshark trebuie
să ruleze cu drepturi de administrator. Soluția acestei probleme este aceea de a rula doar utilitarul
35 tcpdump sau componenta dumpcap a aplicației la un nivel privilegiat pentru a putea captura traficul
iar analiza acestuia urmând a se efectua ulterior cu Wireshark rulând la un nivel restricționat.
Folosirea aplicației Wireshark într -o rețea de d imensiuni mari unde activitate este încărcată
poate produce fișiere de captură de dimensiuni foarte mari ș i poate consuma pa rțial sau total
resursele sistemul ui, ceea ce ar putea duce la o î ncetinire a sistemului sau blocarea acestuia.
Dynagen este o interfață a a plicației Dynamips, ce comunică cu acesta printr -un hipervizor.
O problemă majoră ce apare î n folosirea Dynagen este aceea că procesorul este utilizat 100%
indiferent dacă router -ul este în uz sau î n stare de repaus.
În scopul de a creea topologii multipl e care să premit ă utilizatorilor să configureze diverse
scenarii ș i să verifice politicile noi înainte de a fi implementate într -o rețea reală sau să învețe
echipamentele folosite î n rețelistică un emulator este soluț ia potrivită.
4.3 Arhitectura Rețel ei.
Arhitectura rețelei configurată în aplicația GNS3 (Figura 4.1) a fost creată, folosind
următoarele echipamente : 5 routere Cisco, 3 switch -uri Cisco, 4 VSPC și 2 servere pentru simularea
echipamentelor ”End Devices”.
Figura 4.1 Arhitectura rețelei
36 Descrierea conexiunilor în rețeaua simulată:
– SW1: interfața e0/0 se conectează cu SW2 prin e0/0; interfața e0/1se conectează cu R1 prin
Gi1/0; interfața e0/2 se conectează cu PC -1prin e0 și interfața e0/3 se conectează cu PC-2 prin e0.
– SW2: interfața e0/0 se conectează cu SW1 prin e0/0 și interfața e0/1 se conectează cu PC-3
prin e0.
– SW3: interfața e0/0 se conectează cu R3 prin interfața Fa0/0 ; interfața e0/1 se conectează
cu ServerHTTP prin e0; interfața e0/2 se conectează cu ServerFTP prin e0 .
– R1: interfața Gi 1/0 se conectează cu SW1 prin e0/1 , interfața Gi2/0 se conectează cu R2
prin Gi1/0 .
– R2: interfața Gi1 /0 se conectează cu R1 prin Gi2/0, interfața Gi2/0 se conectează cu R3
prin Gi1/0 .
– R3: interfața Gi2 /0 se conecte ază la rețeaua Internet prin Gi1 /0, interfața Gi1/0 se
conectează cu R2 prin Gi2/0 , Fa0/0 se conectează cu SW3 prin e0/0.
– R4: interfața Gi1 /0 se conectează la rețeaua Internet prin Gi2/0 , interfața Fa0/0 se
conectează cu PC -6 prin e0.
Conexiunea calculatorului PC -1 la SW1 se face prin interfața e0/2.
Conexiunea calculatorului PC -2 la SW1 se face prin interfața e0/3.
Conexiunea calculatorului PC -3 la SW2 se face prin interfața e0/1.
Conexiunea server -ului HTTP la SW3 se face prin interfața e0/1.
Conexiunea server -ului F TP la SW3 se face prin interfața e0/2.
Conexiunea calculatorului PC -6 la R4 se face prin interfața Fa0/0 .
Configurarea adreselor de IP
Companiile ce furnizează serviciile rețelei Internet au propus, prin convenț ie, adresele IP
Private să nu poată să fi e rutate î n Internet , orice pachet cu IP -ul sursă Privat va fi dropat .
Astfel , toate companiile furnizoare de servicii de Internet au implementat politici de filtrare
a traficului (ACL) pe ba za IP -ului sursă care verifică dacă un pachet are un IP privat sa u nu. În
cazul în care, IP -ul sursă este privat atunci acesta va fi oprit ș i dropat, transportarea lui către
destinație nefiind permisă .
Pe SW1 și SW2 au fost configurate VLAN (rețele virtuale locale) , pentru a aloca adresele IP
am subnetat adresa IP 172. 31.10.0 /24 în /28, astfel:
VLAN 10 (Admin) are atribuite următoarele adrese de IP private :
Adresa de rețea: 172.31.10.0 /28;
Adresele de IP ce pot fi alocate în această rețea : 172.31.10.1 – 172.31.10.14;
Adresa de broadcast: 172.31. 10.15;
Subnet Mask : 255. 255.255.240
Gateway : 172.31.10.1
VLAN 20 (Utilizatori) are atribuite următoarele adrese de IP private:
Adresa de rețea: 172.31.10.16 /28;
Adresele de IP ce pot fi alocate în această rețea: 172.31.10.17 – 172.31.10.30 ;
37 Adresa de broadcast: 172.31. 10.31 ;
Subnet Mask: 255.255.255.240
Gateway : 172.31.10.30
Pe SW3 a fost configurat VLAN 30 , pentru a aloca adresele IP am subnetat adresa IP
172.16 .10.0 /24 în /28, astfel:
VLAN 30 (Servere ) are atribuite următoarele adrese de IP private:
Adresa de rețea: 172.16. 10.0/29 ;
Adresele de IP ce pot fi alocate în această rețea: 172.16.10.1 – 172.16.10.6 ;
Adresa de broadcast: 172.16.10.7 ;
Subnet Mask: 255.255.255.248
Gateway: 172.16.10.6
Pentru a realiza conexiunea între rețeaua locală (R3) și rețeaua “ Home Ofiice ” (R4), peste
rețeaua de Internet am atri buit adrese de IP publice, astfel:
R3: adresa de rețea 77.110.10.0 /30
R4: adresa de rețea 88.88.10.0/30
Tabelul 4.1 Distribuirea adreselor IP în rețea
Echipament Interfață Adresă IP Subnet Mask Default Gateway
Router (R 1) Gig 1 /0.10 172.31 .10.1 255.255.255.240/28 N/A
Gig 1 /0.20 172.31 .10.30 255.255.255.240/28 N/A
Gig 2 /0 10.0.1.1 255.255.255.252/30 N/A
Tunel 0 10.155.20.1 255.255.255.252/30 N/A
Router (R2) Gig 1 /0 10.0.1.2 255.255.255.252/30 N/A
Gig 2 /0 10.0.1.5 255.255.255.252/30 N/A
Router (R3) fa 0/0 .30 172.16.10.6 255.255.255.248/29 N/A
Gig 2 /0 77.110.10.1 255.255.255.252/30 N/A
Gig 1/0 10.0.1.6 255.255.255.252/30 N/A
Tunel 0 10.155.20.2 255.255.255.252/30 N/A
Tunel 1 22.22.22.1 255.255.255.252/30 N/A
Router (Internet) Gig 1/0 77.110.10.2 255.255.255.252/30 N/A
Gig 2/0 88.88.10. 1 255.255.255.252/30 N/A
38 Echipament Interfață Adresă IP Subnet Mask Default Gateway
Router (R4 ) Gig 1 /0 88.88.10.2 255.255.255.252/30 N/A
Fa 0/0 192.168.0.1 255.255.255.248/29 N/A
Tunel 2 22.22.22.2 255.255.255.252/30 N/A
PC 1 e0 172.31.10. 2 255.255.255.240/28 172.31.10.1
PC 2 e0 172.31.10.17 255.255.255.240/28 172.31.10.30
PC 3 e0 172.31.10.19 255.255.255.240 /28 172.31.10.30
PC 6 e0 192.168.0.2 255.255.255.248 /29 192.168.0.1
Server FTP e0 172.16.10.1 255.255.255.248 /29 172.16 .10.6
Server HTTP e0 172.16.10.5 255.255.255.248 /29 172.16.10.6
4.4 Configurarea Switchurilor .
Din puncte de vedere al securități pe switch -uri voi configura următoarele politici de
securitate: Port-Security – limitarea numărului de adrese MAC ac ceptate , dacă IOS -ul
echipamentului virtual Cisco permite oprirea protocolului DTP (D ynamic Trunking Protocol ),
folosirea proto colului spanning -tree pentru a proteja root bridge și pentru a permite filtrarea
pachetelor BPDU , toate interfețele nefolosite le voi trece intr -un (VLAN99), diferit de VLAN -ul de
mana gement VLAN1 și trecute în modul shutdown.
Pe SW1 au fost configurate trei rețele virtuale :VLAN 10 (Admin), VLAN 20 (U tilizatori ) și
VLAN 99 (pentru interfețele nefolosite), pentru evitarea folosirii V LAN1 – managment. Pe port -urile
de tip acces ale SW1 a fost configurat Port Security (folosirea a maximum 3 adrese MAC pe port)
pentru atenuarea atacului de tip Buffer Over flow, am configurat PortFast (BPDU Guard,BPDU
Filter și Root Guard ), BPDU Guard pe por turile de acces pentru a preveni extinderea rețelei cu un
switch fals(dat orită unui atac al un host) , Root Guard pentru a închide interfața dacă cineva forțează
transmitrerea de BPDU pentru a prelua rolul de r oot bridge și BPDU Filter această comandă previ ne
într-o stare de PortF ast operațional de trimitere sau primire BPDU.
Pe SW2 au fost configurate două rețele virtuale : VLAN 20 ( Utilizatori ) și VLAN 99 (pentru
interfețele nefolosite) și au fost implementate aceleași politici ca și pe SW1.
Pe SW3 au fost configurate două rețele virtuale: VLAN 3 0 (Servere ) și VLAN 99 (pentru
interfețele nefolosite) și au fost implementate aceleași politici ca și pe SW1 și SW2.
Configurarea Port Security pe SW:
SW1(config -if)#switchport port -security
Activarea Port Security pe interfață
SW1(config -if)#switchport port -security mac -address sticky
Învață dinamic adresele MAC pe interfață până la numărul maxim setat pe interfață
SW1(config -if)#switchport port -security maximum 3
Numărul maxim de adrese acceptate pe intefață: 3
SW1(config -if)#switchport port -security violation shutdown
La depășirea numărului maxim de adrese MAC interfața intră în starea err -disable
39 SW1(config -if)#switchport port -security aging time 5
Timpul în care adresele MAC rămân memorate pe interfață : 5 minute
SW1(config -if)#no switchport port -security
Dezactivarea Port Security pe interfață
Figura 4.2 Configurarea Port -Security pe interfață
Configurarea BPDU Guard pe SW:
SW1(config)# spanning -tree portfast default
Activare Portfast pe toate porturile non -trunk
SW1(config)# spanning -tree portfast bpduguard default
Activarea BPDU Guard la nivel global pe toate porturile cu portfast activat
SW1(config)# spanning -tree portfast bpdufilter default
Activarea filtrării BPDU la nivel global pe toate interfețele cu portf ast activat
SW1(config -if)#spanning -tree bpdufilter enable
Activarea filtrării BPDU pe interfețele
SW1(config -if)#spanning -tree guard root
Activarea Root Guard pe interfață
SW1(config -if)#storm -control broadcast level50
Activare storm control pentru broadc ast pe portul trunk cu setarea pragului de threshold 50
SW1(config -if)#storm -control action shutdown
Se închide port -ul la atingerea pragului de threshold
SW1(config -if)#swichport mode trunk
Configurarea interfeței în modul Trunk
SW1(config -if)#swichpo rt nonegotiate
Dezactivarea pe interfețele Trunk generarea de pachete DTP pentru a împiedica atacurile VLAN
hopping cu dublă etichetare .
Pentru a atenua atacurile Vlan Hopping sau prin Dublă etichetare, pe switch toate porturile
nefolosite le -am configur at în modul acces, am mutat porturile într -un VLAN nefolosit, altul decât
VLAN 1 și închise(shutdown).
40 Configurare interfață ethernet1/0 în modul acces și închiderea acesteia(acceiași comandă pentru
toate interfețele).
SW1#conf t
SW1(config)# interface eth ernet1/0
SW1(config -if)#switchport mode acces
SW1(config -if)#switchport acces vlan 99
SW1(config -if)#shutdown
Figura 4.3 Configurarea interfețelor pe switch .
Pentru verificarea politicilor de securitate pe switch:
SW1# show port -security
Afișarea setăr ilor de securitate de port pentru switch
SW1# show port -security ethernet0/2
Vericarea setărilor port security pe interfața specificată (ethernet0/2)
SW1# show storm -control
Verificarea setărilor storm control
SW1# show interface ethernet0/2 trunk
SW1# show interface ethernet0/2 switchport
Verificarea configurației pe port ( ethernet0 /2)
SW1# show running -config
Afișarea configurației ce rulează pe switch
SW1# show running -config interface ethernet0/2
Afișarea configurației ce rulează pe interfața ethernet0 /2 a switch-ului
41
Figura 4.4 Politicile de securitate activate pe un port al SW2
4.5 Configurarea Routerelor .
Pentru a asigura partea de conexiunea între rețelele virtuale VLAN -uri sau alte rețele am
folosit routere. Pentru conexiunea între rețelele vir tuale ale routerelor R1 și R3 pe interfețele direct
conectate cu switch -urile am creat subinterfețe pentru fiecare VLAN unde am adăugat o adresă IP
Gateway, iar pentru a asigura conexiunea între router -ele R1, R2, R3, am folosit protocolul de
routare OSPF.
Pentru a asigura partea de securitate pe router e am configurat SSHv2 pentru a avea acces
remote la echipamente din rețea . Tot din punct de vedere al securități am configurat liste de acces
pentru a permite sau bloca traficul în rețea. Pentru o comunicație sigură între rețeaua locală și R4
(HomeOffice) am configurat un tunel IPSec over GRE, iar între routere R1 și R3 am configurat un
tunel GRE.
Între routerele R1 și R3 am configurat tunel GRE , iar între R3 și R5 fiind conectate printr -o
rețea ”nesigură”, Internet, am configurat un tunel Gre over Ipsec.
Configurarea protocolului de rutare OPSF (area 0) pe router R1 .
R1(config)# router ospf 1
Roiter -ul va porni ospf având numărul de referință 1
R1(router -config)#network 172.31 .10.0 0.0.0.15 area 0
R1(route r-config)#network 172 .31.10.16 0.0.0.15 area 0
R1(router -config)#network 10.0.1.0 0.0.0.3 area 0
Au fost incluse în procesul OSPF adresele de rețea, wildcard -ul acestora , ce sunt conectate la router
în aria specificată (aria 0) .
42
Figura 4.5 Configurare OSPF pe R1 .
Configurarea protocolului de rutare OPSF (area 0 și 34) pe router R3.
R3(config)#router ospf 1
Roiter -ul va porni ospf având numărul de referință 1
R3(router -config)#network 172.16.10.0 0.0.0.7 area 0
R3(router -config)#network 10.0.1.4 0.0.0.3 area 0
R3(router -config)#network 77.110.10.0 0.0.0.3 area 34
Au fost incluse în procesul OSPF adresele de rețea, wildcard -ul acestora, ce sunt conectate
la router în aria specificată (aria 0). Pe router -ul R3 pe protocolul de rutare au fost setate două a rii:
area 0 pentru rețeaua locală și area 34 ce asigură rutarea cu ajutorul OSPF peste rețeaua Internet.
Figura 4.6 Configurare OSPF pe R3 .
Pentru verificarea rutelor configurate pe router:
R3# sh ip route
Figura 4. 7 Rutele configurate pe Router .
43 Configurare Tunnel GRE pe router -ul R1 :
R1(config)# interface tunnel0
Numele interfeței tunel (virtuale)
R1(config -if)# ip address 10.155.20.1 255.255.255.252
Adresa IP a tunelului
R1(config -if)# tunnel source GigabitEthernet 2/0
Sursa tunelului
R1(config -if)# tunnel destination 10.0.1.6
Adresa IP destinație
R1(config -if)# tunnel mode gre ip
Modul tunel
Configurare Tunnel GRE pe router -ul R3:
R3(config)# interface tunnel0
R3(config -if)# ip address 10.155.20.2 255.255.255.252
R3(config -if)# tunnel source Giga bitEthernet 1/0
R3(config -if)# tunnel destination 10.0.1.1
R3(config -if)# tunnel mode gre ip
Configurare SSH pe server
R1(config)# ip domain -name licenta
Configurarea domeniului “licenta”
R1(config)# username ovidiu password parola
Configurarea user -ului de acces ovidiu și a parolei aferente contului cisco
R1(config)# line vty 0 15
Configurarea liniilor vty
R1(config -line)# login local
R1(config -line)# transport input ssh
R1(config -line)# crypto key generate rsa 1024
Se setează o pereche de chei
R1(config )# ip ssh version 2
Setare versiune ssh
R1(config)# crypto key zeroraise rsa
Pentru ștergerea key rsa
R1#show ssh
Pentru a verifica conexiunea SSH
44
Figura 4.8 Protocolul Telnet .
Figura 4.9 Protocolul SSH.
Datorită faptului că Telnet este un protocol necriptat, pachetele sunt trimise în clar inclusiv
și parolele de login (Figura 4.7 ), am dezactivat Telnet și am configurat SSHv2 pentru a avea o
conexiune criptată .
Configurarea listei de acces extinse pentru a permite acces la HTTP doar utilizatorilor din
rețeaua VLAN 10 .
R3(config)# access -list 105 permit tcp 172.31 .10.0 0.0.0.15 any eq 80
Crearea liste de access extinsă cu numărul 105
R3(config)# interface gig0/1
R3(config -if)# ip access group 105 out
Aplicarea listei 105 pe interfața gig0/1 ieșire
45 Configurarea unei liste de acces ce permite traficul în rețeaua internă a host -ului
172.31.1 0.17 mai puțin la server -ul FTP.
R3(config)# access -list 106 deny tcp host 172.31.10.17 host 172.16.10.5 eq 20
R3(config)# access -list 106 deny tcp host 172.31.10.1 7 host 172.16.10.5 eq 21
R3(config)# access -list 106 permit ip any any
R3(config)# interface gig 0/1
R3(config -if)# ip access group 106 in
Configurarea unei liste de control acces ce permite filtrarea traficului pe o perioadă de timp
Definirea intervalulu i de timp
R3(config)# time range BLOCK_HTTP
R3(config -time-range )# periodic weekdays 08:00 to 17:00
R3(config -time-range )# exit
Crearea listei de acces
R3(config)# ip access -list extend ed DENY_WEB
R3(config -ext-nacl)# deny tcp any host 172.16.10.1 eq www time-range BLOCK_HTTP
R3(config -ext-nacl)# permit IP any any
Aplicarea listei pe interfața router -ului
R3(config)# interface gig 0/1
R3(config -if)# ip access group DENY_WEB in
Configurarea VPN IPsec over GRE între R3 și R4, pentru a avea trafic securizat între
rețeaua locală și router -ul R4 peste rețeaua Internet.
Configurare Tunnel GRE între R3 și R4
Configurare Tunnel GRE pe router -ul R3:
R3(config) # interface tunnel1
R3(config -if)# ip address 22.22.22.1 255.255.255.252
R3(config -if)# tunnel source Giga bitEthernet 0/0
R3(config -if)# tunnel destination 88.88.10.2
R3(config -if)# tunnel mode gre ip
Configurare Tunnel GRE pe router -ul R4:
R4(config) # interface tunnel1
R4(config -if)# ip address 22.22.22.2 255.255.255.252
R4(config -if)# tunnel source Gigabit Ethernet 0/0
R4(config -if)# tunnel destination 77.110.10.1
R4(config -if)# tunnel mode gre ip
46 Primul pas este să ne asigurăm că nu este interzis traficul IPSec de vreo listă de acces și
configurăm o listă de acces extinsă compatibilă cu IPsec
R3(config) # access -list 102 permit ahp host 88.88.10.2 host 77.110.10.1
R3(config)# access -list 102 permit esp host 88.88.10.2 host 77.110.10.1
R3(config)# access -list 102 permit udp host 88.88.10.2 host 77.110.10.1 eq isakmp
A fost creată lista de acces 102 ce perm ite traficul protocoalele 50 (ESP), 51 (AHP) și port -ul UDP
500 (ISAKMP)
După configurarea listei de acces acesta se aplică pe router -ului R3 pe interfața de
GigabitEthernet 0/ 0 pe in
R3(config)#interface GigabitEthernet 0/0
R3(config -if) ip access -group 102 in
Configurarea politicilor ISAKMP cu următorii parametri:
R3(config)# crypto isakmp policy 1
Am folosit politica IKE cu prioritatea 1
R3(config -isakmp)# authentication pre -share
Am folosit autentificarea cu chei simetrice
R3(config -isakmp)# encry ption aes 128
Ca algoritm de criptare am folosit aldoritmul AES
R3(config -isakmp)# group 1
Grupul Diffie -Hellman va fi 1
R3(confi g-isakmp)# hash sha
Algoritmul pentru hash este sha
R3(config -isakmp)# lifetime 86400
Durata de viață a unei asocieri va fi de 86400 secunde
Figura 4.10 Politicile ISAKMP .
Configurare Pre -shared key (PSK)
R3(config)#crypto isakmp key licenta2018 address 88.88.10.2
R4(config)#crypto isakmp key licenta2018 address 77.110.10.1
47
Se configurează transfor m-set-ul ce conține algoritm ii de criptare ș i hash pe care î i va folosi
tunelul.
R3(config)#crypto ipsec transform -set licenta esp -aes 128 esp-sha-hmac
R3(cfg -crypto -trans )# mod tunel
Figura 4. 11 Configurare Transform -set.
Se creeaza lista extinsă de acces “110” ce identifică traficul.
R3(config)# access -list 110 permit tcp 192.168.0.0 0.0.0.7172.31.10.0 0.0.0.15
Configurarea Crypto Map pe router R3
R3(config)# crypto map Map -licenta 10 ipsec -isakmp
Am creat crypto Map cu numele Map -licenta cu prioritatea 10
R3(confi g-crypto -map)# match address 110
S-a adăugat lista de acces extinsă 110
R3(config -crypto -map)# set peer 88.88.10.2
Specifică IP -ul pereche pentru traficul IPsec
R3(config -crypto -map)# set pfs group1
Specifică grupul1 DH (Diffie -Hellman)
R3(config -crypto -map)#set trans form -set licenta
Specifică transform -set-ul folosit – licenta
R3(config -crypto -map)#set security -association lifetime seconds 86400
Setează timpul pentru SA în secunde respectiv 86400
După ce am configurat crypto map, aplicăm crypto map pe interfața GigabitEthernet 2 /0 a
router -ului R3.
R3(config)# interface GigabitEthernet 2 /0
R3(config -if)# crypto map Map -licenta
48
Figura 4. 12 Configurare Crypto Map .
Aceleași parametri îi folosim și pentru a configura crypto map -ul pe R4 cu excepția peer -ului care
va fi 77.110.10.1.
Configurarea Crypto Map pe router R4
R4(config)# crypto map Map -licenta 10 ipsec -isakmp
R4(config -crypto -map)# match address 110
R4(config -crypto -map)# set peer 77.110.10.1
R4(config -crypto -map)# set pfs group1
R4(config -crypto -map)#set tra nsform -set licenta
R4(config -crypto -map)#set security -association lifetime seconds 86400
Aplicarea crypto map se face pe interfața GigabitEthernet 1 /0 a router -ului R4:
R4(conf ig)# interface GigabitEthernet 1 /0
R4(config -if)# crypto map Map -licenta
Pentru a verifica stabilirea tunelului IPSec folosim comanda:
R3#show crypto ipsec sa
Figura 4.13 Verificarea IPsec SA .
49 Verificare traceroute de pe PC-ul 6 cu PC1 și PC2, după aplicarea politicilor de securitate
Figura 4.14 Trace route PC 6 cu PC 1 și PC 2.
Din figura 4.14 putem observa că deși PC 1 și PC 2 sunt conectate la același switch (SW1),
doar că în VLAN -uri diferite. Ruta între PC 6 și PC 2 se face prin protocolul de rutare OSPF iar ruta
între PC 6 și PC 1 este următoarea: între routerele R4 (H omeOffice) și R3 este prin tunelul Gre over
IPSec peste rețeaua publică Internet iar între routerele R3 și R1 este prin tunelul GRE .
Cu ajutorul utilitarului WireShark am capturat traficul pachet -ului pe interfețele Router -elor,
astfel: ping în clar, pin g prin tunelul Gre și ping prin tunelul Gre over IPSec.
Figura 4.15 Ping în clar .
50
Figura 4.16 Ping prin tunel Gre .
Figura 4.17 Ping prin Tunel Gre over IPSec .
Din captura traficului în clar (Figura 4.15) se observă că dimensiunea frame -ului este 9 8
bytes iar la ping -ul prin tunel Gre (Figura 4.16) dimensiunea acestuia crește la 122 bytes prin
încapsularea la nivel de layer 3 a pachetului într -un altul ce are ca adrese IP sursă și destinație
capetele tunelului Gre. Dimensiunea frame -ului prin tunelu l Gre over IPSec (Figura 4.17) este de
166 bytes, IPSec criptează traficul de la nivelul 3 al sistemului OSI în sus.
51 CONCLUZII
Securitatea rețelelor de calculatoare este în acest moment parte integrată a domeniului
rețelelor de calculatoare ce implică tehnologii, instrumente și tehnici pentru a securiza informația și
oprirea atacurilor rău intenționate.
Informația reprezintă moneda economiei pe Internet, modul de securizare a acesteia are un
imens impact asupra modului în care companiile sau firmele îș i conduc afacerile în comerțul online.
Vulerabilitățile rețelelor de calculatoare se manifestă pe toate nivelurile OSI, fiind necesară
adoptarea unor măsuri de securitate adecvate pentru fiecare nivel și fiecărui model în parte.
Rețele private virtuale ( VPN) a fost concepută din dorința de a avea o mai bună securitate a
informației transmise de către utilizatori prin intermediul unei rețele de calculatoare.
Scopul propus în această lucrare a fost implementarea cu ajutorul simulatorului GNS3 a unei
rețele unde au fost implementate diferite politicile de securitate pentru securizarea acesteia,
minimizarea riscurilor și oprirea atacurilor .
Acestă aplicație este o bună metodă de studiu a comportării prin rețeaua virtuală a datelor
înainte și după aplicarea u nor politici de securitate observând efectele acestora înainte ca acestea să
fie aplicate într -o rețea reală.
Cu ajut orul aplicațiilor GNS3 și WireShark am observat că protocolu l Telnet oferă o
conexiune necriptată, datele transmise prin acesta sunt vizi bile inclusiv contul de user și parola în
comparație cu acestă protocolul SSH oferă o conexiune criptată.
Cu ajutorul listelor de acces am permis sau întrerupt traficul de date (doar anumiți utilizatori
să poată accesa rețeaua Internet). Am implementat un tunel IPSec pentru criptarea și securizarea
datelor ce se transmit prin rețelele virtuale crescând rezistența reței din punct de vedere al furtului
de date.
Dificultăți întâmpinate
Rețeaua a fost creată și configurată în emulatorul GNS3. Topologia rețelei cuprizând 5
routere Cisco, 3 switch -uri Cisco și 6 mașini virtuale, pentru rularea acestora se folosesc resursele
memoriei RAM. La pornirea și configurarea acestora memoria laptop -ului este folosită în totalitate
iar procesorul rulează la capacitate maxim ă astfel pot apărea erori de funcționare.
GNS3 fiind un emulator pentru echipamente CISCO, acestă nu are încorporate funcții
similare pentru servere sau calculatoare personale datorită acestui fapt nu am putut utiliza în
totalitate caracteristicile unei re țele adevărate.
52 BIBLIOGRAFIE
[1] V. V. Patriciu, M. Pietroșanu, I. Bica, C. Văduva, N. Voicu : „Securitatea Comerțului
Electronic”, Editura All, 2005
[2]Răzvan Rughiniș, Răzvan Deaconescu, Andrei Ciorba, Bogdan Doinea : „Rețele locale ”,
Editura Printech, Computer Sciene , 2002
[3] Tannenbaum Andrew : „Rețele de calculatoare”, Editura Byblos, 2003
[4] http://www.datasecurity.ro/?p=24
[5] http://ro.wikipedia.org/wiki/Re%C8%9Bea_privat%C4%83_virtual%C4%83
[6] http://www.stud.usv.ro/~mihael_p/licenta/ar ticole/retele.htm
[7] http://www.securitatea -informatiilor.ro/solutii -de-securitate -it/securitatea -retelelor -de-
calculatoare/
[8] http://securitateinf.freewb.ro/sisteme -ids-si-ips
[9] http://www.securitatea -informatica.ro/securitatea -informatica/securitate a-siconfidentialitatea –
datelor -in-retelele -publice/
[10] http://stst.elia.pub.ro/news/RCI_2009_10/Teme_RCI_2015_16/2016_Florea%
20Carmen_IPSEC.pdf
[11] http://docshare.tips/atestate -vpn-functionare -si-securitate_ 5751a62db6d87f5e5a8b4f71 .html
[12] https://dokumen.tips/documents/125912779 -retele -vpn.html
[13] https://www.freebsd.org/doc/handbook/ipsec.html
[14] https://ro.wikipedia.org/wiki/Paravan_(software)
[15] http://compnetworking.about.com/od/vpn/a/vpn_tutorial.htm
[16] https://dokumen.tips/documents/442a -manea -constantin.html
[17] https://ro .wikipedia.org/wiki/Securitatea_rețelelor_de_calculatoare
[18] http://computernetworkingnotes.com/ccna -study -guide/configure -cisco -router -step-bystep –
guide.html
[19] http://stst.elia.pub.ro/news/rci_2009_10/teme%20prezentate/alina%20burlacu/ipsec.docx
[20] http://stst.elia.pub.ro/RIC/Teme_RIC_2008_9/Cri stianAndrei/Securitatea%20informatiei
%20Cristian%20Andreiv1.doc
[21] http://www.netaccess.ro/retele_virtuale_private.html
[22] http://my.safaribooksonline.com/book/networking/network -management/1587052113 /access –
control/ch03lev1sec1
53 DECLARAȚIE DE AUTENTICITATE
A
PROIECTULUI DE FINALIZARE A STUDIILOR
Titlul proiectului ___________________ ____________________________ ______
__________________________________________________________ _________
__________________________________________________________ _________
Autorul proiectului _____________________________________________
Proiectul de fin alizare a studiilor este elaborat în vederea susținerii examenului
de finalizare a studiilor organizat de către Facultatea
_______________ I.E.T.I. _______________ ________ __ din cadrul Universității di n
Oradea, sesiunea________iulie _________ a anului univers itar __2018___________ .
Prin prezenta, subsemnatul (nume, prenume, CNP)_____________ ________
__________________________________________________________ _________
_________________________________________________________ __________ ,
declar pe proprie răspunde re că aceast proiect a fost scris de către mine, fără nici un
ajutor neautoriz at și că nici o parte a proiectului nu conține aplicații sau studii de caz
publicate de alți autori.
Declar, de asemenea, că în proiect nu există idei, tabele, grafice, hărți sa u alte
surse folosite fără respectarea legii române și a convențiilor internaționale privind
drepturile de autor.
Oradea,
Data Semnătura
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630890] (ID: 630890)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.