FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630887]
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
PROIECT DE DIPLOMĂ
CONDUCĂTOR ȘTIINȚIFIC
Prof. dr. ing. Ioan Slavici
ABSOLVENT: [anonimizat] 2017 –
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOG IA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
SECURITATEA RE ȚELELOR DE CALCULATOARE
CONDUCĂTOR ȘTIINȚIFIC
Prof. dr. ing. Ioan Slavici
ABSOLVENT: [anonimizat]2017 –
UNIVERSITATEA DI N ORADEA
FACU LTATEA de Inginerie Electrică și Tehnologia Informației
DEPARTAMENTUL Calculatoare și tehnologia informației
TEMA Securitatea re țelelor de calculatoare
Lucrare de Finalizare a studiilor student: [anonimizat] : Izvoran Andrei
1). Tema lucrării de finalizare a studiilor : SECURITATEA REȚELELOR DE
CALCULATOARE ____________________________________ ______________________________
2). Termenul pentru predarea lucrării : 15.06.2017 _________________ __________________
3). Elemente inițiale pentru elaborarea lucrării d e finalizare a studiilor :
Noțiuni teoretice despre re țelele de calculatoare și securitatea acestora ______________ ____
________________________________________________________________________________
4). Conținutul lucrării de finalizare a studiilor : Cap I – Introducere
Cap II – Fundamentare Teoretică
Cap III – Securizarea Rețelei
Cap IV – Realiz area Practică
Cap V – Concluzii
Cap VI – Bibliografie
_________________________ _____________ _
5). Material grafic: Imagini preluate din aplica țiile de monitorizare a re țelei și screen -shot-uri cu
configura ția echipamentelor
_________ _______________________________________________________
6). Locul de documentare pentru elaborarea lucrării: Biblioteca facult ății și surse on -line
________________________________________________________________________________
7). Data emiterii temei : 20.11.2016 ______________________
Coordonatori științifici
Prof. dr. ing. Ioan Slavici
UNIVERSITATEA DIN OR ADEA
FACULTATEA DE INGINERIE ELECTRICĂ
ȘI TEHNOLOGIA INFORMAȚIEI
Adresa Oradea, Cod 410087, Bihor, Romania, Strada Universit ății, nr. 1 ,
Tel/Fax:+40 259/408412, Tel:+40 259/408104; +40 259/408204
REFERAT
PRIVIND LUCRAREA DE LICENȚĂ
A
ABSOLVENT: [anonimizat] / ABSOLVENT: [anonimizat] : Izvoran Andrei
DOMENIUL Calculatoare și tehnologia informației
SPECIALIZAREA Tehnologia info rmației
PROMOȚIA 2017
1. Titlul lucrării : SECURITATEA REȚELELOR DE CALCULATOARE …………………. .
2. Structura lucrării ………………………………………………………. ……………
Cap I – Introducere
Cap II – Fundamentare Teoretică
Cap III – Securizarea Rețelei
Cap IV – Realizarea Practică
Cap V – Concluzii
Cap VI – Bibliografie
…………………………………………………………………………………………………………….. …………………………………..
……………………………………………………………………. ……………………………………………….
3. Aprecieri asupra conținutului lucrării de LICENȚĂ (finalizare a studiilor ), mod de
abordare, complexitate, actualitate, deficiențe
…………………………………………………………… ………………………………………………………………………
Lucrarea de fa ță reprezintă o temă de actualitate în ziua de astăzi, ea trat ând problema
securită ții rețelelor informatice în fa ța atacurilor cibernetice devenite tot mai frecvente în ultimii
ani.
…………………………………………………………………………………………………………….. …………………….
4.Aprecieri asupra lucrării (se va menționa: numărul titlurilor bibliografi ce consultate,
frecvența notelor de subsol, calitatea și diversitatea surselor consultate; modul în care
absolventul a prelucrat informațiile din surse teoretice)
………………………………………………………………………………… ………………………………………………..
Bibliografia lucrării cuprinde peste 20 de titluri de căr ți și site-uri web de specialitate .
……………………………………………………………………………………………. ……………………………………………………
…………………………………………………………………………………………………………….. ………
(se va menționa: opțional locul de documentare și modul în ca re absolventul a realizat cercetarea
menționându -se contribuția autorului)
………. …………………………………………………………………………………………………………….. ……………
Documentarea s -a facut predomi nant în cadrul bibliotecii, cerceta rea fiind completat ă de sursele
on-line.
…………………………………………………………………………………………………………….. …………………….
4. Concluzii (coordonatoru l lucrării trebuie să aprecieze valoarea lucrării întocmite,
relevanța studiului întreprins, competențele absolventului, rigurozitatea pe parcursul
elaborării lucrării, consecvența și seriozitatea de care a dat dovadă absolventul pe
parcurs)
………….. …………………………………………………………………………………………………………….. ………..
În baza celor mentionate, apreciez că lucrarea elaborată de către absolvent este una valoaroasă
întrucat se ba zează pe un amplu studiu al literaturii de specialitate, aplicat mai apoi în
dezvoltarea unei soluții de securitate hibride .
……………………………………………… ……………………….. ………………… ………….. ……….. ……………… .
5. Redactarea lucrării respectă ……………. in totalitate ………….. cerințele academice de
redactare (părți, capitole, subcapitole, note de subsol și bibliografie).
6. Consider că lucrarea îndeplinește/ nu îndeplinește condițiile pent ru susținere în
sesiunea de Examen de LICENȚĂ (finalizare a studiilor ) din IULIE 2017 și propun
acordarea notei ………………
Oradea,
Data 15.06.2016 Conducător științific
Prof. dr. ing. Ioan Slavici
1
CUPRINS
Cuprins ………………………………………………………………………………………… 1
Capitolul 1. Introducer e………………………………………………………………………………… ……….. .3
1.1 De ce Securitate? ………………………………………………. ………………………………….. ……….. 3
1.2 Prezentarea temei de proiect………………………………………………………………….. ………. .3
1.2.1 Sistemul OSI………………………………………………………. ………. .4
1.3 Prezentarea resurselor bibliografice… ………………………………………… …….. .7
Capitolul 2. Fundamentare teoretic ă…………………………………………….. ……….. 9
2.1 Tehnologii utilizate vs. tehnologii existente…………………………………… ………. 9
2.2 Routarea datelor – Protocolul EIGRP………………………………………… ………. 14
2.3 Tehnologii VPN…… …………………………………………………………. ……… 18
2.3.1 Modul de funcționare……………………………………………….. ……… 19
2.3.2 Avantaje ale tehnologiei VPN……………………………………….. …….. 20
2.3.3 Tipuri de rețele VPN………………………………………………… ……… 21
2.3.4 Cerințe de bază pentru VPN…… ……………………………………. …….. 23
2.3.5 Tunelarea……………………………………………………………… …….. 24
2.3.6 Metode de transmitere prin VPN……………………………………. …….. .25
2.4 Protocolul IPSec……………………………………………………………….. …….. .26
2.4.1 Algoritmi criptografici………………………………………………… …….27
2.4.2 Protocoale de securitate: AH și ESP………………………………….. …….29
2.4.3 Asocieri de securitate (SA)……………………………………………. ……32
2.4.4 Tehnici de management a cheilor și SA ………………………………. ……33
Capitolul 3. Securizarea rețelei ……………………………………………………… …..34
3.1 Definirea vulnerabilităților unei rețele…………………………………………… ….35
2
3.1.1 Studiind problemele cu care se confruntă o rețea……………………… ….35
3.1.2 Tipuri de atacuri asupra rețelei………………………………………… ….39
3.1.3 Închiderea interfețelor și a serviciilor de rețea neutilizate de pe un
Router…………………………………………………………………… …..41
3.1.4 Securizarea accesului pe routerele CISCO…………………………… ……43
3.2 AAA (Authentication, Authorization and Accounting)……………… ………… ……45
3.3 CBAC (Context Based Access Control)………………………………………… …..48
Capitolul 4. Realizarea practică a proiectului …………………………………… …..50
4.1 Descrierea rețelei și a soluției alese……………………………………………… ….50
4.2 Arhitectura rețelei………………………………………………………………… …51
4.2.1 Configurarea Windows Server 2008R2 …………………………………… 52
4.2.2 Configurarea routerelor………………………………………………… ….54
Capitolul 5. Concluzii …………………………………………………………………………………………. ….60
5.1 Re zultatele proiectului…………………………………………………………… ….60
5.2 Dificultăți întâmpinate…………………………………………………………… ….61
5.3 Direcții de dezvoltare……………………………………………………………… …61
Capitolul 6. Bibliografie ………………………………………………………………… …62
3
CAPITOLUL 1
INTRODUCERE
1.1 De ce Securitate?
Tema aleasă de mine se axează pe securizarea și monitorizarea rețelelor de
calculatoare ce au ca bază echipamente Cisco și sisteme de operare Microsoft Wind ows, atât
client, cât și server . Aplicația în sine este dezvoltată cu ajutorul emulatorului
GNS3(Graphical Network Simulator), unde sunt expuse sisteme de operare și echipamente
Cisco.
Am ales această nișă a domeniului rețelelor, datorita faptului că, securitatea
informatică și cea a infrastructurii IT la nivelul actual este unul din punc tele forte ale
funționării unei afaceri, respectiv a unei c ompanii de succes, dar nu în ultimul rând pentru a –
mi perfecționa cunoștințele și abilitățile in domeniul rețelelor de calcu latoare, multe dintre ele
dobândite în cadrul cursurilor/certificarilor Cisco și Mi crosoft si la locul de munc ă.
Aplicația poate fi folo sită și într -un mediu real, putând fi privită ca o lucrare educativă
din studiul căreia să poată fi aprofundați pașii necesari unei astfel de abordări.
1.2 Prezentarea temei de proiect
Scopul urmărit este de a implementa o rețea configurându -i elementele , astfel încât
să-i fie înlăturate orice mijloace de risc analizând traficul . Rețeaua este bazată pe
implementarea unui server cu sistem de operare Window s Server 2008 R2 cu Active
Directory, care oferă servicii de autentificare, autorizare, reprezintă legătura la Internet, și cea
mai importanta funcție este că deține baza de date a utilizatorilor din domeniu.
Restul rețelei și anume routerele și configur ările lor, au fost implementate cu GNS3.
GNS3 este un emulator, folosit pentru a simula funcționarea și configurarea routerelor
CISCO. El poate fi rulat pe platforme precum Windows, Mac OS X sau Linux. Ideea de bază
a programului este de a încărca IOS -urile în memoria RAM a calculatorului, transformându -l
pe acesta într -un router (sau chiar o rețea de routere) veritabil.
Pentru a reduce riscurile de securitate cea mai bună strategie este cea per ansamblu
(security in depth ). Aceasta presupune evaluarea per ansamblu a infrastructurii IT și
clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile identificate trebuie
realizate planuri de măsuri, fie pentru reduce rea expunerii la acele riscuri , fie pentru
reducerea impactu lui odată ce ri scul s -a produs . La polul opus se află abordarea punctuală, a
implementării unui sistem specific de securitate, de exemplu antivirus sau intrusion detection .
Deși aceste sisteme sunt foarte utile în cadrul ariei specifice de aplicabilitate, această
aborda re lasă descoperite alte zone cu posibile breșe de securitate. Foarte multe companii cad
4
în greșeala de a investi mult în astfel de sisteme, fără însă a avea o strategie de securitate cap –
coadă.
Mai toate discuțiile despre securitate se rezumă la problemel e identificate la diverse
sisteme. Ceea ce se uită însă este faptul ca pentru a avea un sistem sigur nu e suficient să
avem tehnologia corespunzătoare. Studiile arată că în medie 90% din breșele de securitate
identificate nu sunt datorate problemelor tehno logice ci instalării și configurării
necorespunzătoare sau datorită nerespectării unor proceduri de utilizare și administrare a
sistemului. În multe cazuri, aceste proceduri nici nu există.
A privi deci securitatea doar prin prisma problemelor tehnologice este un punct de
vedere îngust. Nu ne putem aștepta ca un sistem care nu a fost instalat și configurat
corespunzător, care nu e menținut la zi cu patch -update sau pentru care nu se respectă niște
proceduri simple de utilizare și administrare, să fie un si stem sigur.
Securitatea trebuie să fie o caracteristică intrinsecă a sistemului. Un sistem sigur este
unul bine proiectat, implementat , utilizat și administrat .1
1.2.1 Sistemul OSI
Modelul de Referință OSI (Open Systems Interconnection – Reference Model), pe
scurt: OSI, este o structură de comunicare ierarhică foarte des folosită pentru a reprezenta o
rețea. OSI este un standard al Organizației internaționale de standardizare, emis în 1984.
Modelul de referință OSI propune niște criterii generale pentru re alizarea
comunicației sistemelor de calcul pentru ca acestea să poată schimba informații, indiferent de
particularitățile constructive ale sistemelor (fabricant, sistem de operare, țară, etc). Modelul
de referință OSI are aplicații în toate domeniile comun icațiilor de date, nu doar în cazul
rețelelor de calculatoare. Modelul OSI divizează problema complexă a comunicării între două
sau mai multe sisteme în 7 straturi (engleză: layers) distincte, într -o arhitectură ierarhică.
Fiecare strat are funcții bine de terminate și comunică doar cu straturile adiacente. Aceste
șapte niveluri formează o ierarhie plec ând de la nivelul superior 7 – aplicație (engleză:
application) și până la ultimul din partea de jos a stivei, nivelul 1 – fizic (engleză: physical).2
5
Fig 1. 2.1 Modelul de referință OSI [HTTP02]
Din punct de vedere istoric, modelul de referință TCP/IP a fost creat de Ministerul
Apărării din SUA pentru a deveni rețeaua supremă – o rețea capabilă să supraviețuiască în
orice condiții, chiar și într -un război nuclear.
Era extrem de important să fie creată o rețea capabilă să opereze cu o infrastructură
distrusă în proporție de peste 90%, fără să aibă vreo importanță starea fizică a unor anumite
segmente ale rețelei. Internetul are această ca pacitate – două gazde pot comunica chiar dacă
aproape toate serverele dintre ele nu au putut să le răspundă cererii; sunt disponibile căi
redundante.
Figura 1.2 .2 Corespondența modelului TCP/IP cu modelul OSI [HTTP03]
6
Nivelul "Aplicație" – Include primele trei nivele aflate în vârful modelului OSI:
Aplicație, Prezentare și Sesiune. Se ocupă cu procesarea logică ca reprezentarea, codarea,
dialogul. La fel ca în modelul OSI nivelul pentru aplicații pregătește datele pentru nivelul
următor.
Nivelul "Transport" – Este proiectat astfel încât să permită dialogul între entitățile
pereche din gazdele sursă și destinație, pentru această fiind definite două protocoale cap ăt-la-
capăt: TCP și UDP. Protocolul de control al transmisiei (TCP) permite ca u n flux de octeți
emis de o mașină să fie recepționat fără erori pe orice altă mașină din rețea. TCP
fragmentează fluxul de octeți în mesaje discrete pe care le pasează nivelului internet. La
destinație, procesul TCP receptor reasamblează mesajele primite, reconstituind datele inițiale.
TCP realizează controlul fluxului de date pentru a evita situația în care un transmițător rapid
inundă un receptor lent cu mai multe mesaje decât poate acesta să prelucreze. TCP este un
protocol orientat pe conexiune. UDP ( U ser Datagram Protocol – protocolul datagramelor
utilizator) este un protocol nesigur, fără conexiuni, destinat aplicațiilor care dor esc să
utilizeze propria secvenț iere și control al fluxului și nu mecanismele asigurate de TCP. Este
un protocol folosit în a plicații pentru care comunicarea rapidă este mai importantă decât
acuratețea transmisiei, așa cum sunt aplicațiile de transmitere a sunetului și imaginilor video.
Nivelul "Internet" – Acest nivel este axul pe care se centrează întreaga arhitectură,
rolul s au fiind acela de a permite gazdelor să emită pachete în rețea și de a asigura transferul
lor între sursă și destinație. Se definește un format de pachet și un protocol (IP), nivelul
trebuind să furnizeze pachete IP la destinație, să rezolve pr oblema dirijării pachetelor ș i să
evite congestiile (lucrează asemănător cu nivelu lui rețea din modelul OSI).
Nivelul "Acces la Rețea" – La fel ca Nivelul de Legătură a Datelor și ca cel Fizic din
modelul OSI se ocupă în principal cu toate aspectele legătu rilor fizice.
Fiecare calculator, gazdă sau router , din Internet are un nume global, numit adresă IP,
care codifică identitatea sa precum și identitatea rețelei căreia îi aparține. Această combinație
de adrese trebuie să fie unică. Nu este permisă existenț a a două calculatoare cu aceeași adresă
IP.
Unul din punctele forte ale aplicației realizate, o reprezintă sistemul de operare
Windows Server cu Active Directory (AD) , acea bază de date a user -ilor din domeniu.
Active Directory3 este o implementare a servi ciilor de directoare LDAP (Lightweight
Directory Access Protocol), folosită de Microsoft în cadrul sistemelor de operare Windows și
pune la dispoziția administratorilor un mediu flexibil cu efect global pentru: asignarea
permisiunilor, instalarea programel or, înnoirea securității. Toate aceste operațiuni pot fi
aplicate atât la rețele mici, cât și la rețele complexe. Se poate spune că AD este o ierarhie de
câteva obiecte, unde obiectele se împart în trei categorii: resurse (ex: imprimantă), servicii
(ex: po șta electronică), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei
"Active Directory" este de a pune la dispoziție informații despre aceste obiecte, organizarea
obiectelor, controlul accesului, setarea securității.
Fiecare obiect i ndiferent de categorie reprezintă o entitate și atributele ei, unde
'entitate' poate fi – "Utilizator", "Calculator", "Imprimantă", "Aplicație" sau "Resursă
Partajată". Mai mult decât atât, un obiect poate să conțină și alte obiecte. Atributele obiectului
(structura de bază a obiectului în sine) sunt de finite de o "schemă", care la râ ndul ei definește
și tipul obiectelor care pot fi stocate ca sub -obiecte în obiectul dat.
Pentru a asigura securizarea conexiunilor din rețeaua aplicației am folosit VPN -uri.
Rețele virtuale private (VPN) utilizează tehnici avansate de criptare și tunelare pentru a
permite organizațiilor să stabilească conexiuni securizate în rețea privată peste rețelele de
internet sau extranet. Rețelele VPN utilizează protocoale de tunelare c riptografice pentru a
7
oferi autentificarea expeditorului, integritatea mesajelor si confidențialitate prin protejarea
împotriva programelor de sniffing.
1.3 Prezentarea resurselor bibliografice
Pentru realizarea temei de proiect am apelat la resursele b ibliografice ale unor
discipline studiate pe parcursul facultății cât și la informațiile găsite în cărți de specialitate
precum și la documentația găsită online.
Bazele lucării de față cât și bazele teoretice au o stransa legatura cu documentația
realizat a de catre Tannenbaum Andrew în lucrarea "Rețele de calculatoare ".
Aplicația este realizată cu ajutorul emulatorului GN S3(Graphical Network Simulator).
Alegerea făcută în privința mediului de programare a rezultat din cerințele impuse de tema
proiectului p recum și deoarece GNS3 este un emulator(mașină virtuală) care prin intermediul
proie ctului Dynamips încorporează sof tware real(IOS) pentru ruterele CISCO. GNS3 mai are
încorporat programul Dynagen, care oferă suport text pentru Dynamips. Astfel emulatorul
oferă aceleași funcții ca și un ruter real. În vederea studierii acestei aplicații am consultat
numeroase articole în legătură cu această de pe siteurile de internet http://www.gns3.net5 și
http://dynagen.org6, precum și diferite tutoriale găsite pe http://www.gns3 -labs.com7.
Aplicația este construită având un schelet bazat pe tehnologia Frame -Relay. În
vederea studierii acestei tehnologii am consultat numeroase articole în legă tură cu această de
pe siteul de internet www.cisco.com8 precum și din articolu l publicat de Ascend
Communications – Frame Relay Overview.
Convergența rețelei este asigurată cu ajutorul protocolului de rutare OSPF. Pentru
studierea acestuia am consultat documentul RFC2328 – http://www.ietf.org/rfc/rfc23289.
Pentru descriere a VPN -urilor am studiat documentația găsită la pagina
https://www.freebsd.org/doc/handbook/ipsec.html10.
Una dintre principalele realizări ale acestei lucrări o constituie securitatea. În
interiorul aplicației sunt implementate două VPN -uri IPSec GRE. Pentru aceast a am studiat
documentația existenta pe siteul oficial al companiei CISCO la
http://www.cisco.com/en/US/tech/tk827/tk369/tk287 /tsd_technology_s upport_sub –
protocol_home.html11 și diferite articole referitoare la configurarea de rutere pentru VPN -uri
IPSec găsite pe site -ul http://compnetworking.about.com/od/vpn/a/vpn_tutori al.htm12,
precum si lucrarile publicate de P. Hoffman RFC 4308 Cryptographic Suites for Ipsec; V. V.
Patriciu, M. Pietroșanu, I. Bica, C. Văduva, N. Voicu – Securitatea Comerțului Electronic;
Eric Greenberg, Network Application Frameworks, Virtual Privat e Networks. De folos mi -au
fost și cunoștiințele dobândite pe parcursul cursului CISCO CCNA (Modul 1 – Introduction
to Networks și Modul 2 – Routing & Switching Essentials).
În ceea ce privește analiza traficului din rețea am folosit programul pachet sniff er
Wireshark. Documentația referitoare la acesta am găsit -o pe paginile de Internet
https://www.wireshark.org/ 13, și http://www.wiresharktraining.com/ 14.
8
Pentru a înțelege diferitele tipuri de atacuri la care sunt supuse rețelele am folosit
diferite programe pentru a testa rețeaua, pe care le -am găsit pe următoarea oagina web:
http://sectools.org/15. Pentru a împiedic a orice tip de atac asupra rețelei am oprit serviciile de
rețea vulnerabile de pe un ruter folosindu -mă de documentația găsită pe siteul
http://computernetworkingnotes.com/ccna -study -guide/configure -cisco -router -step-by-step-
guide.html 16. Am consultat și recomandările Microsoft în legatura cu securizarea sistemului
de operare Windows Server 2008R2 gasite la https://technet.microsoft.com/en –
us/magazine/hh987048.aspx17.
Pentru a monitoriza activitatea din rețea am configurat și folosit progra mul Kiwi
Syslog Server gasit pe site -ul http://www.kiwisyslog.com/free -edition.aspx18 sau alta varianta
de Syslog Server si anume Syslog Watcher https://www.snmpsoft.com/syslog -watcher/19.
Acestea sunt doar cateva exem ple. Alte probleme intâmpinate precum și rezolvarile
acestora vor fi menționate pe parcursul lucrării.
9
CAPITOLUL 2
FUNDAMENTARE TEORETICĂ
2.1 Tehnologii utilizate vs. tehnologii existente
O rețea de calculatoare reprezintă un mod de conectare a unor calculatoare individuale,
astfel încât să poată folosi în comun anumite resurse. Aceste resurse inclu d componente de genul
unităților de disc, fișiere (baze de date), imprimante și echipamente de comunicație. În plus,
rețeaua permite o interacțiune mai mare și o comunicare mai bună între membrii rețelei, prin
intermediul poștei electronice, bazelor de dat e și a altor metode de utilizare în comun a
informațiilor de orice fel. Calculatoarele conectate la rețea sunt denumite noduri. Când nodurile
aparțin aceleiași clădiri sau aceleiași organizații, rețeaua este locală (Local Area Network –
LAN), de exemplu r ețeaua unui liceu sau rețeaua unei universit ăți. Dacă nodurile sunt dispersate
pe o zonă mai extinsă, de exemplu pe suprafața unui județ sau a câtorva județe, la nivelul țării
sau pe întregul glob, rețeaua este pe plan extins (Wide Area Network – WAN). O a stfel de rețea
ar putea fi constituită, de exemplu, la nivel național, pentru toate inst ituțiile Ministerului
Educației.
Pentru reprezentarea și configurarea rețelei, am folosit GNS3 – un software open source,
care permite emularea făr ă probleme a sistem elor de operare ( IOS -uri ) Cisco. De fapt GNS3
este un add -on, ca interfață grafică, la Dynamips – codul sursă pentru emularea propriu -zisă a
IOS-urilor. El poate rula pe mai multe sisteme de operare existente, precum Windows, Linux,
Mac OS X și butează d irect, un IOS Cisco, in platforma sa și suportă aproape toate tipurile de
legături existente: Ethernet, Serial, ATM, interfețe POS pentru diferite modele de routere.
10
Fig. 2.1.1 Exemplu de interfață pentru GNS3 [HTTP05]
Ca alternativă pentr u GNS3, este PacketTracer – un program software, de asemenea
opensource, implementat de cei de la Cisco, care are deja inglobat un IOS. Însă, spre deosebire
de GNS3, acesta nu oferă posibilitatea de încărcare a unui IOS real, ci vine cu unul preintegrat,
cu multe facilități și funcții neincluse, care nu permit toate manevrele posibile cu un echipament
real.
Fig. 2.1.2 Exemplu de interfață pentru PacketTracer [HTTP06]
11
Am ales reț eaua FastEthernet ca soluție pentru interconectarea sistemului speci alizat cu
sistemele de calcul, datorită avantajelor majore ale acestor rețele. În primul rând, rețelele
FastEthernet s -au dovedit a fi viabile, asigurând performanțe ridicate la un preț relativ scăzut,
fapt ce a determinat folosirea lor de către foarte mul te companii sau organizații. Cel de -al doilea
avantaj al acestor rețele este fiabilitatea. Metoda distribuită de acces la mediul de comunicație
(protocolul CSMA / CD) permite rețelei să funcționeze fără să fie nevoie de un control
centralizat. De aceea, da că o stație se defectează, restul stațiilor din rețea își pot continua
activitatea fără nici o problemă. Mai mult decât atât, deoarece rețelele FastEthernet, prin natura
lor sunt pasive și distribuite, ele pot fi extinse sau modificate fără nici o problemă .
Gigabit Ethernet se bazează pe o tehnologi e Ethernet avansată, elaborată începâ nd cu
anul 1996 pentru viteze de transfer date de 1 Gbps. Standardele respective sunt finisate in 1998 ,
deși in 1997 -1998 sunt implementate mai multe rețele si diver se echipam ente, inclusiv integrâ nd
rețele locale de g enerația 1 si 2.
Ca și protocol de routare în rețea, am folosit EIGRP (Enhanced Interior Gateway
Routing Protocol), deoarece este unul din cele mai sigure, rapide și fiabile protocoale de routare,
iar mai ales pen tru faptul că este implementat chiar de compania Cisco pentru echipamentele
sale. Atributele cheie care disting EIGRP de alte protocoale de routare sunt convergența rapidă,
suportul pentru măști de rețea de lungime variabilă, suport pentru mesaje update pa rțiale și
suport pentru protocoale de rețea de pe diferite nivele.
Un router EIGRP păstrează în tabela de routare toți vecinii săi pentru a se putea adapta
rapid la rute alternative. Dacă nu există nici o rută convenabilă, EIGRP le cere vecinilor săi să
descopere o rută alternativă. Aceste cereri (queries) se propagă până când se găsește o rută
alternativă.Suportul pentru măști de rețea de lungime variabilă permite rutelor să poată fi
rezumate automat printr -un network number boundary.
EIGRP nu trimite mesa je regulate update, dar trimite mesaje update parțiale doar când
metrica pentru o rută se schimbă. Propagarea mesajelor update parțiale este trimisă doar la
routerele care au nevoie de ele. Rezultatul acestor două funcționalități este micșorarea
semnificat ivă a consumului lățimii de bandă. Enhanced IGRP include suport pentru AppleTalk,
IP și Novel NetWare5.
În comparație cu EIGRP , Routing Information Protocol ( RIP ) este protocolul intern
care are diametrul rețelei limitat: cea mai lungă rută RIP este de 1 5 hopuri; RIP nu poate
menține o tabelă de rutare completă pentru o rețea care are destinații mai departe de 15 hopuri.
RIP selectează ruta cu cel mai mic "număr de hopuri" (metrică) ca fiind ruta cea mai bună. Spre
deosebire de EIGRP , RIP are o convergen ța lentă: pentru a șterge o rută proastă este uneori
nevoie de schimbul de multiple pachete -de-revizuire (update packets).
Pentru implementarea securității mai aprofundate , am folosit un protocol de autentificare
RADIUS, disponibil pe sistemul de operare Windows Server 2008R2 . Remote Dial-In User
Service (RADIUS) este un protocol client / server și în același timp un software care permite
accesul la echipamente de la distanță pentru a comunica cu un server central și pentru a
autentifica utilizatorii , dar și pentru a autoriza accesul lor la sistemele sau servicii le solicitate.
RADIUS permite unei companii să mențină profilurile de utilizator într -o bază de date pe care
toate serverele o pot partaja de la distanță . Ace asta oferă o securitate mai bună, care să permită
unei companii să configur eze o politică ce poate fi aplicat ă și administrată dintr -un singur punct.
5 [HTTP06]
12
Având u n serviciu central, însea mnă că este mai ușor să urmăresc utilizare a și urmărirea
statistici lor în rețea , dar și soluționarea problemelor dintr -o singură locație .
Ca alternativă există mai multe programe cu același rol. Un exemplu ar fi OpenRadius – un
software creat pentru sistemele Linux, cu capacitatea de a reț ine parole secrete, informații de
autentificare, politici și profiluri de util izator de la orice su rsă externă de date disponibilă.
Dezavantajul acestui soft, este faptul ca rulează doar pe platforme Linux, iar folosirea lui este
greoaie deoarece nu are interfață grafică.
Pentru a asigura o comunicare sigură între diferite puncte ale rețelei am hotărât să
implementez VPN -uri bazate pe suită de protocoale IPSec. IPSec a devenit standardul de facto
pentru crearea rețelelor VPN în industria rețelelor. Mai mulți furnizori au implementat -o și,
pentru că Internet Engineering Task Force ( IETF) a de finit IPSec într -un document RFC,
interoperabilitatea dintre furnizori face din IPSec cea mai bună operațiune pentru construirea
rețelelor VPN. Sarcin a principală pe care o are IPSec este să permită schimbul de informații
private printr -o conexiu ne neprotejată, negociind conexiunea și oferind cheile într -un mod sigur.
IPSec folosește criptarea pentru a proteja informațiile împotriva interceptărilor sau indiscrețiilor.
Totuși, pentru a folosi eficient criptarea, ambele părți trebuie să partajeze o cheie secretă (parolă)
utilizată atât pentru criptarea, cât și pentru decriptarea informațiilor când acestea intră și ies din
tunelul VPN. IPSec realizează schimbul de chei bazat pe algoritmi Diffie -Hellman. Acesta a fost
primul algoritm cu chei publice și este în continuare considerat unul dintre cele mai bune. Mai
exact, algoritmul Diffie -Hellman este folosit de către protocolul IPSec pentru a permite celor doi
participanți să convină asupra unui secret partajat, generând cheia pe care o vor folosi.
Algor itmul Diffie -Hellman este folosit de mai multe ori pe parcursul procesului6.
Figura 2.1.3 Exemplu ilustrat de rețea VPN [HTTP07]
6 [HTTP07]
13
O alta soluție VPN mai simpla pentru utilizatorii care nu poseda cunoștinț e complexe ar
fi prin intermediul programu lui Hamachi. Cu ajutorul lui Hamachi, dezvoltat de Applied
Networking Inc, oricine își poate seta o rețea “locală” privată pe internet.
Pentru a depăși obstacolele ce apar în setarea unei conexiune VPN perfectă, Hamachi
folosește tehnologie peer -to-peer as emănătoare cu cea folosită pentru mesagerie instant (IM):
există un server extern care creează un director cu toți clienții Hamachi. Acest server autentifică
utilizatorii prin intermediul unor “chei”, chiar dacă clienții sunt localizați în spatele routerel or
sau firewall -urilor și creează o conexiune securizată între clienți.
Applied Networking precizează că odată ce serverul a stabilit conexiunea între clienții
Hamachi, conexiunea securizată este numai între utilizatorii conectați, fără a exista trafic car e să
treacă prin serverele Hamachi. Totuși, serverele trimit semnale pentru a verifica dacă clienții mai
sunt conectați sau nu.
Datorită faptului că majoritatea programelor firewall vor recunoaște adaptorul Hamachi
ca și o rețea separată și vor bloca trafi cul, s -ar putea să fie nevoie configurarea firewallul -ului să
permită traficul prin interfață Hamachi7.
O altă soluție open source pentru crearea de VPN -uri este OpenVPN , un program VPN
pentru crearea tunelelor criptate punct -cu-punct, între calculatoare -gazdă. A fost scris de James
Zonan și publicat sub licența publică generală GNU (GPL – General Public License).
OpenVPN permite punctelor să se autentifice folosind chei secrete cunoscute anticipat,
sau nume utilizator/parolă. Folosește extensiv librăria de criptare OpenSSL cât și protocolul
SSLv3/TLSv1. Este disponibil pe Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X și
Windows 2000/XP/Vista. Conține multe soluții de securitate și control. Nu este un VPN bazat pe
Internet și nu este compatibil cu IPs ec sau orice alt pachet VPN.
Tot pachetul constă într -un binar pentru conexiunile client și server, un fișier de
conexiune opțional și unul sau mai multe fișiere -cheie în funcție de metoda de autentificare
folosită.
Folosirea protocoalelor de rețea comune (TCP și UDP) de către OpenVPN, o transformă
într-o alternativă IPsec -ului, în situațiile în care un ISP poate bloca anumite protocoale VPN
pentru a forța utilizatorii să se aboneze la servicii cu prețuri mai ridicate, de “gradul business”,
insa IPSec VPN rămâne cea mai potrivită opțiune pentru a asigura securitatea din toate punctele
de vedere.
7 [HTTP08]
14
2.2 Routarea datelor – Protocolul EIGRP
„Într-o rețea, r outarea este operația de transportare a informațiilor , de la o sursă la o
destinație . În acest transport se întâlnește, de obicei, cel puțin un nod intermediar.
În procesul routării intervin două activități de bază: determinarea căilor optime de routare
și transportarea grupurilor de informații (numite pachete) prin rețea. În contextul procesului de
routare, acest transport de pachete este referit ca switching . Deși activitatea de switching de
pachete este mai directă, determinarea drumului poate fi foarte complexă.
Protocoalele de routare folosesc diferite metrici pentru a evalua ce drum este optim
pentru tr ansportul unui pachet. O metrică este o măsură standard, ca de exemplu lățimea de
bandă. Pentru determinarea drumului, algoritmii de routare, inițializează și administrează tabele
de routare, în care se află informații despre rute. Informațiile din aceste tabele de routare conțin
asocieri de destinații și următorul "hop" ce trebuie parcurs pentru a ajunge la acea destinație.
Când un router primește un pachet va încerca să asocieze adresa destinație a pachetului cu o
adresă a unui hop imediat următor în cale a acelei destinații, dacă nu reușește probabil va distruge
pachetul. În figura de mai jos se observă un scenariu de aflare a următorului hop.
Figura 2.2.1 Aflarea următorului hop [HTTP09]
Tot tabelele de routare conțin date despre starea legături lor din rețea. Routerele comunică
între ele și își administrează tabelele de routare prin transmiterea unor varietăți de mesaje. Un
astfel de mesaj este mesajul update care conține o parte sau toată tabela de routare a unui router.
Prin analizarea acestor informații un router poate să -și construiască o imagine a topologiei unei
părți din rețea (sau chiar a întregii rețele).
Organizația Internațională pentru Standardizare (ISO), a dezvoltat o terminologie pentru
descrierea sistemelor conectate la o rețea. În această terminologie, sistemele care nu pot routa
pachete în subrețele se numesc end systems (ESs), celelalte fiind numite intermediate systems
(ISs). ISs mai sunt împărțite în cele care comunică în domenii de routare ( intradomain ISs) și
cele care comuni că atât în domenii de routare cât și între domenii ( interdomain ISs). Un domeniu
15
de routare este o parte dintr -o rețea unde se aplică același set de reguli impuse de o autoritate
administrativă. Domeniile de routare mai sunt numite și sisteme autonome (autonomous
systems ).
Metrici:
Algoritmii de routare utilizează diverse metrici pentru determinarea rutei optime.
Algoritmi sofisticați de rutare pot să facă selecția rutelor pe baza mai multor metrici,
combinându -le într -o singură metrică hibridă.
Tipuri de m etrici :
• Lungimea drumului (length path) – Este cea mai folosită metrică. De obicei este suma
costurilor legăturilor drumului.
• Siguranță (reliability) – Rata de erori, cât de repede se restabilește o legătură căzută.
• Întârziere (delay) Cât durează să ajun gă un pachet de la o sursă la o destinație. Depinde
de lățimea de bandă, congestie, distanța fizică parcursă.
• Lățimea de bandă (bandwidth) – Cât trafic poate să suporte o legătură.
• Încărcare (load) -Se referă la gradul în care o resursă a rețelei este folo sită, de exemplu
un router.
• Costul comunicației (communication cost) – Este important mai ales în companii care pot
folosi liniile proprii (cost scăzut) față de folosirea altor linii (probabil un cost mai mare).
Enhanced Interior Gateway Routing Protocol ( EIGRP)
Protocolul Enhanced IGRP reprezintă o evoluție față de alte protocoale. Apariția lui a fost
necesară datorită evoluției și eterogenității rețelelor. EIGRP integrează atributele protocoalelor
link-state în protocoalele distance -vector. În plus EIGRP înglobează încă câteva protocoale
importante, care măresc considerabil eficiența sa operațională. Unul dintre aceste protocoale este
Diffusing update algorithm (DUAL), dezvoltat de către Dr. J.J. Garcia -Luna -Aceves. DUAL
oferă posibilitatea ca un router E IGRP să poată să determine dacă o rută primită de la un vecin
este în circuit (looped) sau nu (loop -free) și permite routerului să găsească rute alternative fără a
aștepta mesaje „update” de la alte routere.
Funcționalitatea și atributele EIGRP
Atributele cheie care disting EIGRP de alte protocoale de routare sunt convergența
rapidă, suportul pentru măști de rețea de lungime variabilă, suport pentru mesaje update parțiale
și suport pentru protocoale de rețea de pe diferite nivele. Un router EIGRP păstrează în tabela de
routare toți vecinii săi pentru a se putea adapta rapid la rute alternative. Dacă nu există nici o rută
convenabilă, EIGRP le cere vecinilor săi să descopere o rută alternativă. Aceste cereri (queries)
se propagă până când se găsește o rută a lternativă. Suportul pentru măști de rețea de lungime
variabilă permite rutelor să poată fi rezumate automat printr -un network number boundary.
16
EIGRP nu trimite mesaje regulate update, dar trimite mesaje update parțiale doar când
metrica pentru o rută se s chimbă. Propagarea mesajelor update parțiale este trimisă doar la
routerele care au nevoie de ele. Rezultatul acestor două funcționalități este micșorarea
semnificativă a consumului lățimii de bandă. Enhanced IGRP include suport pentru AppleTalk,
IP și Nov el NetWare.
Tehnologii încorporate în EIGRP
Tehnologiile cheie care se combină în EIGRP sunt neighbor discovery/recovery, reliable
transport protocol (RTP), DUAL finite -state machine și module dependente de protocol.
Mecanismul neighbor discovery/recovery le conferă posibilitatea routerelor să învețe
dinamic despre alte routere din rețelele atașate direct. Routerele pot să descopere când vecinii lor
devin unreachable sau inoperativi. Acest proces are un overhead scăzut deoarece mici pachete
hello sunt trim ise periodic către routerele vecine. Atât timp cât un router primește aceste pachete
de la un vecin, presupune că vecinul funcționează și că, dacă este nevoie, pot schimba informații
despre rute.
Reliable transport protocol (RTP) este responsabil cu sigur anța și expedierea ordonată a
pachetelor EIGRP la toți vecinii. Din motive de eficiență, numai anumite pachete sunt transmise
astfel. Pachetele hello nu sunt trimise cu această siguranță prin acest protocol la toți vecinii
individual ci prin multicast fără confirmare (unacknowledged). Alte pachete, ca de exemplu
pachetele update, indică faptul că este necesară confirmarea (acknowledged).
DUAL finite -state machine se referă la monitorizarea tuturor rutelor publicate (prin
mesaje update) de toți vecinii când se se calculează rutele proprii. DUAL folosește informații
legate de distanță pentru a selecta eficient rute fără circuite. Inserția rutelor în tabela de rutare se
bazează pe feasible successors. Un feasible successor este un router vecin care face parte d in
drumul de cost minim spre o destinație, și în plus ruta, trebuie garantat, să nu aibă circuite. Când
un vecin schimbă o metrică sau când se schimbă topologia, DUAL testează din nou posibilii
feasible successors. Dacă se găsește măcar unul, DUAL îl folos ește pentru a nu recalcula ruta
inutil. Când nu se găsește nici un feasible successor, dar vecinii încă publică destinația, are loc o
recalculare a noului succesor. Deși recalcularea nu solicită intensiv procesorul, ea afectează
timpul de convergență, deci este avantajos să se evite recalculările care nu sunt necesare.
Modulele dependente de protocol sunt responsabile de cerințele specifice nivelului de protocol.
Concepte de routare
EIGRP se bazează pe patru concepte fundamentale: tabele de vecini (neighbor tables),
tabele de topologie (topology tables), statutul rutelor (route states) și etichetarea rutelor (route
tagging).
17
1. Tabele de vecini (neighbor tables)
Când un router descoperă un nou vecin, înregistrează adresa și interfața vecinului în
neighbor tab le. Câte o tabelă neighbor există pentru fiecare modul dependent de protocol. Tabela
neighbor mai conține și informații necesare protocolului RTP.
2. Tabele de topologie (topology tables)
Această tabelă conține toate destinațiile publicate de routerele vecine . Modulele
dependente de protocol populează tabela și ea este folosită de DUAL finite -state machine.
Fiecare înregistrare din tabelă include adresa destinației și o listă de vecini care au publicat
destinația. Pentru fiecare vecin este înregistrată și metr ica publicată de acesta. O regulă
importantă pentru protocoalele distance -vector este că dacă vecinul publică această destinație,
atunci înseamnă că el folosește ruta publicată pentru trimiterea pachetelor la acea destinație.
Metrica pe care routerele o fo losesc ca să ajungă la o destinație este asociată cu acea
destinație. Metrica pe care routerul o folosește în tabela de routare (și pe care o publică altor
routere) este suma dintre cea mai bună metrică dintre metricile publicate de vecini și costul
legătu rii la acel cel mai bun vecin.
3. Statutul Rutelor (route states)
O înregistrare în topology -table pentru o destinație poate fi în una din stările: activă
(active) sau pasivă (passive). O destinație este în starea pasivă (passive state), când routerul nu
efectuează recalculări (recomputations) și este în starea activă (active state), când routerul face o
recalculare. Dacă feasible successors sunt mereu disponibili, o destinație nu este nevoită să intre
în starea activă, deci evită o recalculare.
O recalculare se declanșează când o destinație nu are feasible successors. Routerul
inițiază recalcularea prin trimiterea unor cereri (queries) la toți vecinii săi. Routerele vecine pot
trimite pachete răspuns (reply pachets), indicând un feasible successor pentru desti nație sau pot
trimite la rândul lor pachete queries, indicând participarea în recalculare. În timp ce o destinație
este în starea activă, un router nu poate schimba informațiile din tabela de routare ale acelei
destinații. După ce un router a primit un rep ly de la fiecare vecin, înregistrarea din topology -table
pentru destinație revine la starea pasivă și routerul poate alege un succesor.
4. Etichetarea rutelor (route tagging )
EIGRP suportă rute interne și externe. Rutele interne sunt conținute într -un sistem
autonom EIGRP. Deci, o rețea atașată direct, configurată să folosească EIGRP este considerată o
rută internă și se propagă această informație în tot sistemul autonom EIGRP. Rutele externe sunt
învățate prin intermediul unui protocol extern sau există în ta belele de routare ca rute statice.
Aceste rute sunt etichetate individual cu identitatea originii lor.
18
Pachete EIGRP
EIGRP folosește pachete hello, acknowledgment, update, query și reply. Pachetele hello
sunt pachete multicast pentru neighbor discovery/ recovery și nu necesită aknowledgment. Un
pachet acknowledgment este un pachet hello care nu conține date. Pachetele acknowledgment
conțin un număr nenul și sunt trimise folosind o adresă unicast.
Pachetele update sunt folosite pentru a publica accesibilit atea destinațiilor. Când un nou
vecin este descoperit, se trimit pachete unicast către acel vecin pentru a putea să -și construiască o
tabelă topologică. În alte cazuri (de exemplu schimbarea costului unei legături), mesajele update
sunt transmise multicast . Pachetele update sunt trimise totdeauna sigur (cu confirmare).
Pachetele query și reply sunt trimise când o destinație nu are feasible successors.
Pachetele query sunt totdeauna multicast. Pachetele reply sunt trimise ca răspuns la pachetele
query pentru a-l înștiința pe cel care a expediat pachetul query să nu recalculeze ruta pentru că
există feasible successors. Pachetele reply sunt unicast. Atât pachetele query, cât și reply sunt
transmise sigur8.”
2.3 Tehnologii VPN
Trăim intr -o lum e in care pericol ul se raspandește cu o viteză exponențiala și este din ce
în ce mai greu de stă panit, iar acest pericol a deve nit o problema foarte importantă mai ales
pentru compan iile IT mandatate să protejeze datele informatice de așa -numiții hoț i cibernetici.
Cu ani în urmă reț elele reprezentau doar un prag către lumea de afară; erau utilizate în
principal pentru comunicarea între angajați și arareori pentru comunicarea î n afara companiei.
Acum companiile nu își mai pot izola reț eaua interna de mediul extern. Comerțul electronic,
lanțurile de furnizori de servicii și produse, telefonia mobilă și o serie de alte cerinț e ale mediului
de afaceri al secolului XXI nu mai permit acest lucru9.
O Rețea Virtuală Privată (VPN – Virtual Private Network ) conectează componentele ș i
resursele unei rețele private prin intermediul unei rețele publice. Altfel spus, o rețea virtuală
privată este o rețea a companiei implementată pe o infrastructură comună, folosind aceleași
politici de securitate, management și performanță care se aplică de obicei într -o rețea privată.
Practic, tehnologia rețelelor virtuale private permite unei firme să -și extindă prin Internet, în
condiții de maximă securitate, serviciile de rețea la distanță oferite utilizatorilor, reprezentanțelor
sau companiilor parte nere. Avantajul este evident: crearea unei legături de comunicație rapidă,
ieftină și sigură.
Tehnologiile VPN oferă o cale de a folosi infrastructurile rețelelor publice cum ar fi
Internetul pentru a asigura acces securizat și privat la aplicații și resu rse ale companiei pentru
angajații din birourile aflate la distanță sau cei care lucrează de acasă, pentru partenerii de afaceri
și chiar pentru clienți.
O rețea VPN poate fi realizată pe diverse rețele de transport deja existente: Internetul
public, rețea ua furnizorului de servicii IP, rețele Frame Relay și ATM. Astăzi, tot mai multe
VPN -uri sunt bazate pe rețele IP.
8 [HTTP09]
9 [HTTP10]
19
Tehnologia VPN folosește o combinație de tunneling, criptare, autentificare și mecanisme
și servicii de control al accesului, folosite pentru a transporta traficul pe Internet, o rețea IP
administrată, sau rețeaua unui furnizor de servicii.
Rețelele VPN sunt sigure pentru că realizează o criptare foarte sigură pentru a proteja
datele în timp ce traversează Internetul. Chiar dacă un hacker ar "t rage cu urechea" la
comunicație, nu ar putea înțelege datele transmise, pentru că datele sunt criptate.
Un alt aspect important al tehnologiei VPN este că echipamentele VPN monitorizează
continuu datele pe care le transmit, utilizând proceduri sofisticate pentru a se asigura că
informația nu este alterată în timpul traversării rețelei publice.
Figura 2.3.1 Prezentare generală VPN IPSec [HTTP11 ]
2.3.1. Modul de funcționare
VPN permite utilizatorilor să comunice printr -un tunel prin Inter net sau o altă rețea
publică în așa fel încât participanții la tunel să se bucure de aceeași securitate și posibilități puse
la dispoziție numai în rețelele private.
Pentru a utiliza Internetul ca o rețea privată virtuală, de tip WAN (Wide Area Network),
trebuie depășite două obstacole principale. Primul apare din cauza diversității de protocoale prin
care comunică rețelele, cum ar fi IPX sau NetBEUI, în timp ce Internetul poate înțelege numai
traficul de tip IP. Astfel, VPN -urile trebuie să găsească un mij loc prin care să transmită
protocoale non -IP de la o rețea la alta. Când un dispozitiv VPN primește o instrucțiune de
transmitere a unui pachet prin Internet, negociază o schemă de criptare cu un dispozitiv VPN
similar din rețeaua destinație. Datele în fo rmat IPX/PPP sunt trecute în format IP pentru a putea
fi transportate prin rețeaua mondială. Al doilea obstacol este datorat faptului că pachetele de date
prin Internet sunt transportate în format text. În consecință, oricine poate vedea traficul poate să
și citească datele conținute în pachete. Aceasta este cu adevărat o problemă în cazul firmelor care
vor să comunice informații confidențiale și, în același timp, să folosească Internetul. Soluția la
aceste probleme a permis apariția VPN și a fost denumită tunneling. În loc de pachete lansate
20
într-un mediu care nu oferă protecție, datele sunt mai întâi criptate, apoi încapsulate în pachete
de tip IP și trimise printr -un tunel virtual prin Internet.
Confidențialitatea informației de firmă care circulă prin V PN este asigurată prin criptarea
datelor. În trecut, rețelele private erau create folosind linii de comunicație închiriate între sedii.
Pentru a extinde acest concept la Internet, unde traficul mai multor utilizatori trece prin aceeași
conexiune, au fost p ropuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite
expeditorului să încapsuleze datele în pachete IP care ascund infrastructura de rutare și comutare
a Internetului la ambele capete de comunicație. În același timp, aceste pachete încaps ulate pot fi
protejate împotriva citirii sau alterării prin diverse tehnici de criptare.
Tunelurile pot avea două feluri de puncte terminale, fie un calculator individual, fie o
rețea LAN cu un gateway de securitate – poate fi un router sau un firewall. Or ice combinație a
acestor două tipuri de puncte terminale poate fi folosită la proiectarea unei rețele VPN.
În cazul tunelării LAN -to-LAN, gateway -ul de securitate al fiecărui punct terminal
servește drept interfață între tunel și rețeaua privată LAN. În a stfel de cazuri, utilizatorii ficecărui
LAN pot folosi tunelul în mod transparent pentru a comunica unii cu alții.
Cazul tunelului client -to-LAN, este cel stabilit de regulă pentru utilizatorul mobil care
dorește să se conecteze la rețeaua locală a firmei. Pentru a comunica cu rețeaua de firmă, clientul
(utilizatorul mobil), inițiază crearea tunelului. Pentru aceasta, clientul rulează un software client
special, care comunică cu gateway -ul de protecție al rețelei LAN. [GRE99]
2.3.2 Avantaje ale tehnologi ei VPN.
Mediul de afaceri este în continuă schimbare, multe companii îndreptându -și atenția spre
piața globală. Aceste firme devin regionale, multinaționale și toate au nevoie stringentă de un
lucru: o comunicație rapidă, fiabilă și sigură între sediul ce ntral, filiale, birouri și punctele de
lucru, adică de o rețea WAN (de arie largă).
O rețea WAN tradițională presupune închirierea unor linii de comunicație, de la cele
ISDN (128/256Kbps) la cele de fibră optică OC -3 (155 Mbps) care să acopere aria geogra fică
necesară. O astfel de rețea are avantaje clare față de una publică, cum este Internetul, când vine
vorba de fiabilitate, performanță și securitate. Dar deținerea unei rețele WAN cu linii închiriate
este de -a dreptul scumpă, proporțional cu aria geogra fică acoperită.
O dată cu creșterea popularității Internetului, companiile au început să își extindă
propriile rețele. La început au apărut intraneturile, care sunt site -uri protejate prin parolă
destinate angajaților companiei. Acum, multe firme și -au cre at propriile VPN -uri pentru a veni în
întâmpinarea cerințelor angajaților și oficiilor de la distanță.
Un VPN poate aduce multe beneficii companiei: extinde aria geografică de conectivitate,
sporește securitatea, reduce costurile operaționale, crește produ ctivitatea, simplifică topologia
rețelei, oferă oportunități de lucru într -o rețea globală, asigură suport pentru tendința afacerilor
spre operare de la distanță, operații distribuite global și operații de parteneriat foarte
interdependente, în care lucrăt orii trebuie să se poate conecta la resursele centrale, să comunice
unul cu altul, iar firmele trebuie să -și administreze eficient stocurile pentru un ciclu de producție
scurt.
21
2.3.3 Tipuri de rețele VPN.
La ora actulă există 3 tipuri principale de VPN -uri:
• VPN -urile cu acces de la distanță (Remote Access VPN) permit utilizatorilor dial -up să
se conecteze securizat la un site central printr -o rețea publică. Acestea mai sunt numite și
„dial” VPN -uri.
• VPN -urile intranet (Intranet VPN) permit extinderea re țelelor private prin Internet sau alt
serviciu de rețea publică într -o manieră securizată. Acestea sunt denumite și VPN -uri
„site-to-site” sau „LAN -to-LAN”.
• VPN -urile extranet (Extranet VPN) permit conexiuni securizate între partenerii de
afaceri, furnizor i și clienți, în general în scopul realizării comerțului electronic. VPN -urile
extranet sunt o extensie a VPN -urilor intranet la care se adaugă firewall -uri pentru
protecția rețelei interne.
Figura 2.3.3.1 Tipuri de rețele VPN [HTTP12 ]
Toate aceste rețele virtuale private au rolul de a oferi fiabilitatea, performanța și
securitatea mediilor WAN tradiționale, dar cu costuri mai scăzute și conexiuni ISP (Internet
Service Provider) mult mai flexibile. Tehnologia VPN poate fi folosită și într -un intranet pentru a
asigura securitatea și controlul accesului la informații, resurse sau sisteme vitale. De exemplu, se
poate limita accesul anumitor utilizatori la sistemele financiare din companie sau se pot trimite
informații confidențiale în manieră se curizată.
Acces VPN la distanță (Remote Access VPN) – permite conectarea individuală
(utilizatori mobili) sau a unor birouri la sediul central al unei firme, aceasta realizându -se în cele
mai sigure condiții
Există două tipuri de conexi uni VPN de acest fel:
Conexiune inițiată de client – Clienții care vor să se conecteze la site -ul firmei trebuie
să aibă instalat un client de VPN, acesta asigurându -le criptarea datelor între computerul lor și
sediul ISP -ului. Mai departe conexiunea cu sediul firmei se face de asemenea în mod criptat, în
concluzie întregul circuit al informației se face în mod criptat. Trebuie precizat că în cazul
22
acestui tip de VPN sunt folosiți o multitudine de clienți de VPN. Un exemplu es te Cisco Secure
VPN dar și Windows NT sau 2000 au integrat clienți de VPN.
Access VPN inițiat de serverul de acces – acest tip de conexiune este ceva mai simplă
pentru că nu impli că folosirea unui client de VPN . Tunelul criptat se realizează între server -ul de
acces al ISP -ului și sediul firmei la care se vrea logarea. Între client și server -ul de acces
securitatea se bazează pe siguranța liniilor telefonice (fapt care uneori poate fi un dezavantaj).
Intranet VPN – permite conectarea diferitelor sedii a le unei firme folosind legături
dedicate (p ermite realizarea unor medii client -server foarte performante prin utilizarea
conexiunilor dedicate care pot să atingă rate de transfer foarte bune ). Diferența față de Remote
Access VPN constă în faptul că se folo sesc legături dedicate cu rata de transfer garantată, fapt
care permite asigurarea unei foarte bune calități a transmisiei pe lângă securitate și bandă mai
largă.
Arhitectura aceasta utilizează două routere la cele două capete ale conexiunii, între
aceste a realizându -se un tunel criptat. În acest caz nu mai este necesară folosirea unui client de
VPN ci folosirea IPSec. IPSec (IP Security Protocol) este un protocol standardizat de strat 3 care
asigură autentificarea, confidențialitatea și integritatea tran sferului de date între o pereche de
echipamente care comunică. Folosește ceea ce se numește Internet Key Exchange ( IKE ) care
necesită introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi
vor permite logarea reciprocă.
Extranet VPN – este folosit pentru a lega diferiți clienți sau parteneri de afaceri la sediul
central al unei firme folosind linii dedicate, conexiuni partajate, securitate maximă
Acest tip de VPN seamănă cu precedentul cu deosebirea că extinde limitele i ntranetului
permițând logarea la sediul corporației a unor parteneri de afaceri, clienți etc.; acest tip permite
accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se
folosesc certificate digitale care permit ulte rior realizarea unor tunele criptate. Certificatele
digitale sunt furnizate de o autoritate care are ca activitate acest lucru.
Exista doua tipuri de VPN in ceea ce priveste securitatea: VPN securizate si VPN
fiabile.
VPN cu livrare sigură (Trusted VPN)
Înainte ca Internetul să devine aproape universal, o rețea virtuală privată consta în unul
sau mai multe circuite închiriate de la un furnizor de comunicații. Fiecare circuit închiriat se
comporta ca un singur fir într -o rețea controlată de client. Deaseme nea, câteodată furnizorul ajut ă
la administrarea rețelei clientului, dar ideea de bază era ca acesta, clientul, să poată utiliza aceste
circuite închiriate la fel ca și cablurile fizice din rețeaua proprie.
Siguranța oferită de aceste VPN -uri „moștenite” s e referea doar la faptul că furnizorul de
comunicații asigura clientul că nimeni altcineva nu va folosi aceleași circuite. Acest lucru
permitea clienților să aibă adresarea IP și politici de securitate proprii. Circuitele închiriate
treceau printr -unul sa u mai multe switch -uri de comunicații, fiecare dintre acestea putând fi
compromis de către cineva doritor să intercepteze traficul rețelei. Clientul VPN avea încredere că
furnizorul de VPN va menține integritatea circuitelor și va utiliza practicile cele m ai bune
disponibile pentru a evita interceptarea traficului pe rețea. De aceea, aceste rețele se numesc
VPN cu livrare sigură (Trusted VPN).
23
VPN securizate (Secure VPN)
Odată cu popularizarea Internetului ca un mediu de comunicații corporativ, securitatea a
devenit un aspect important atât pentru clienți cât și pentru furnizori. Văzând că VPN cu livrare
sigură nu oferă o reală securitate, furnizorii au început să creeze protocoale care permit criptarea
traficului la marginea rețelei sau la calculatorul de origine, trecerea prin rețea ca orice alte date și
apoi decriptarea în momentul în care datele ajung la rețeaua corporativă sau calculatorul de
destinație. Acest trafic criptat se comportă de parcă ar fi un tunel între cele două rețele: chiar
dacă un ataca tor poate observa traficul, nu -l poate citi și nu îi poate schimba conținutul fără ca
aceste schimbări să fie observate de partea de recepție și, în concluzie, rejectate. Rețelele
construite utilizând criptarea se numesc VPN securizate (Secure VPN).
Recent , furnizorii de servicii au început să ofere un nou tip de VPN cu livrare sigură, de
data asta folosind Internetul în loc de rețeaua telefonică, ca suport pentru comunicații. Noile
VPN -uri cu livrare sigură tot nu oferă securitate perfectă, dar dau posibil itatea clienților să creeze
segmente de rețea pentru WAN -uri (Wide Area Network). În plus, segmentele de VPN cu livrare
sigură pot fi controlate dintr -un singur loc și deseori furnizorul garantează o anumită calitate a
serviciilor (QoS – Quality of Service ).
VPN hibrid (Hybrid VPN)
Un VPN securizat poate rula ca parte a unui VPN cu livrare sigură, creând un al treilea
tip de VPN, foarte nou pe piață: VPN hibrid (Hybrid VPN). Părțile sigure a unui VPN hibrid pot
fi controlate de client (de exemplu, utilizân d echipament VPN securizat de partea lor) sau de
același furnizor care asigură partea de încredere a VPN -ului hibrid. Câteodată întregul VPN
hibrid este asigurat cu VPN -ul securizat dar, de obicei, doar o parte a VPN hibrid este sigură10.
2.3.4 Cerinț e de baza pentru VPN -uri
La adoptarea unei rețele virtuale private prin Internet există două probleme majore:
securitatea și performanța. Protocolul de control al transmisiei (TCP/IP) și Internetul nu au fost
gândite inițial să asigure în principal securitat e și performanță, deoarece la acea vreme utilizatorii
și aplicațiile lor nu necesitau o securitate puternică și o performanță garantată. Din fericire,
standardele pentru securitatea datelor din rețelele IP au evoluat, fiind posibilă crearea VPN -urilor
folosind rețele IP.
În mod normal, când proiectează o soluție de acces de la distanță la o rețea, o companie
dorește să permită accesul controlat la resurse și informații. Soluția trebuie să permită clienților
autorizați să se conecteze ușor la LAN -ul corpora ției, și să permită sucursalelor să se conecteze
între ele pentru a pune în comun informații și resurse (conexiuni LAN -LAN). În plus, soluția
trebuie să asigure securitatea și integritatea datelor când traversează Internet -ul. Aceleași
preocupări apar și î n cazul când datele ce trebuie protejate traversează inter -rețeaua corporației.
În consecință, o soluție VPN trebuie să realizeze cel puțin următoarele funcții vitale:
10 [HTTP12 ]
24
▪ Autentificarea utilizatorului. Soluția trebuie să verifice identitatea utilizatorului și să
permită accesul prin VPN numai utilizatorilor autorizați. În plus, soluția trebuie să
permită monitorizarea și jurnalizarea activităților pentru a arăta cine și când a accesat o
anume informație.
▪ Gestionarea adreselor. Soluția trebuie să asocieze un ui client o adresă din rețeaua privată,
și să asigure că adresele private rămân secrete.
▪ Criptarea datelor. Datele transferate prin rețeaua publică trebuie făcute ilizibile pentru
clienții neautorizați.
▪ Gestiunea cheilor. Soluția trebuie să genereze și să împrospăteze cheile de criptare pentru
client și pentru server.
Suport multiprotocol. Soluția trebuie să fie capabilă să manevreze protocoalele existente
în rețelele publice, cum ar fi Internet Protocol (IP), Internet Packet Exchange (IPX), etc. 11
2.3.5 Tunelarea
Implementarea unui VPN presupune crearea unui tu nel printr -o rețea publică prin
intermediul căruia să fie transferate datele. Datele de transferat (încărcătura – payload) pot fi
cadrele (sau pachetele) altui protocol. În loc de a transmite cad rul în forma în care a fost produs
de no dul sursă, protocolul de tunelare încapsulează cadrul într -un antet adițional. Acesta conține
informații de rutare astfel încât încărcătura încapsulată poate traversa inter -rețeaua intermediară.
Pachetele încapsulat e sunt apoi rutate între capetele tunelului prin inter -rețea.
Calea logică pe care pachetele încapsulate o urmează în inter -rețea se numește tunel .
Odată ce cadrele încapsulate ajung la destinație prin interrețea, cadrul este decapsulat și trimis la
destin ația sa finală. De notat că tunelarea include întregul proces: încapsulare, transmitere și
decapsulare a pachetelor. Pentru realizarea unui tunel, clientul și serverul de tunel trebuie să
folosească același protocol de tunelare .
Tehnologia de tunelare poat e fi bazată pe un protocol de tunelare pe nivel 2 sau 3. Aceste
nivele corespund modelului de referință OSI. Protocoalele de nivel 2 corespund nivelului
legătură de date , și folosesc cadre ca unitate de schimb. PPTP, L2TP și L2F (expediere pe nivel
2) sunt protocoale de tunelare pe nivel 2; ele încapsulează încărcătura într -un cadru PPP pentru a
fi transmis peste inter -rețea. Protocoalele de nivel 3 corespund nivelului rețea , și folosesc
pachete . IP peste IP și Tunel IPSec sunt exemple de protocoale care în capsulează pachete IP într –
un antet IP adițional înainte de a le tra nsmite peste o inter -rețea IP .
Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemănător cu o
sesiune; ambele capete ale tunelului trebuie să cadă de acord asupra t unelului și să negocieze
variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. În cele mai
multe cazuri, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame.
Pentru gestionarea tunelului se folos ește un protocol de menținere a tunelului.
Tehnologiile de tunelarea pe nivel 3 pleacă de la premiza că toate chestiunile de
configurare au fost efectuate, de multe ori manual. Pentru aceste protocoale, poate să nu existe
faza de menținere a tunelului. Pen tru protocoalele de nivel 2, un tunel trebuie creat, menținut și
distrus. Implementarea unui VPN presupune crearea unui ”tunel” printr -o rețea publică prin
intermediul căruia să fie transferate datele.
11 [HTTP12 ]
25
În esență, tunelarea este procesul prin care se introd uce întreg pachetul IP în interiorul
unui alt pachet, cu antete distincte, acesta fiind trimis ulterior prin rețea. Protocolul pachetului
rezultat în urma tunelării este recunocut de către rețea și de către ambele noduri sursă și
destinație, la nivelul int erfețelor de tunelare, prin care pachetele intră și ies din rețea.
Tunelarea necesită trei protocoale diferite:
• protocolul de transport (uzual IP), protocolul utilizat de către rețeaua prin care se
transferă informația (rețeaua publică de Internet sau ori ce rețea privată);
• protocolul de încapsulare care împachetează și criptează datele originale cu un antet
distinct (GRE, IPSec, L2F, PPTP, L2TP );
• protocolul pasager din rețeaua sursă care transmite date în pachetul trimis prin tunel (IPX,
NetBeui, IP etc.)12.
2.3.6 Metode de transmisie prin VPN
Așa cum am văzut, pentru a asigura confidențialitatea datelor într -o transmisie pe canale
de comunicații nesigure, cum este Internetul, pot fi folosite diverse tehnici criptografice. Modul
de transmisie utilizat în cazul unei soluții VPN va determina care părți ale unui mesaj sunt
criptate. Unele soluții criptează întregul mesaj (antetul IP și datele din mesaj), în timp ce altele
criptează doar datele. Cele patru moduri (metode) de transmisie întâlnite în soluțiil e VPN sunt:
❖ In Place Transmission Mode (modul de transmisie „in -place”) – este de obicei o soluție
specifică unui anumit producător, în care doar datele sunt criptate. Dimensiunea
pachetelor nu este afectată, prin urmare mecanismele de transport nu sunt af ectate.
❖ Transport Mode (modul transport) – doar segmentul de date este criptat, deci mărimea
pachetului va crește. Acest mod oferă o confidențialitate adecvată a datelor pentru rețele
VPN de tip nod -la-nod.
❖ Encrypted Tunnel Mode (modul tunel criptat) – informația din antetul IP și datele sunt
criptate, anexându -se o nouă adresă IP, mapată pe punctele terminale ale VPN. Se asigură
o confidențialitate globală a datelor.
❖ Non – encrypted Tunnel Mode (modul tunel necriptat) – nici o componentă nu este
criptată, toate datele sunt transportate în text clar. Nu se oferă nici un mijloc de asigurare
a confidențialității datelor.
Deși poate părea ciudat, există și soluții VPN care nu realizează nici un mod de criptare.
În schimb, pentru a oferi un grad de confidențiali tate a datelor, ele se bazează pe tehnici de
încapsulare a datelor, cum ar fi protocoalele de tunelare sau forwarding. Nu toate protocoalele de
tunelare și forwarding folosesc un sistem criptografic pentru confidențialitatea datelor, ceea ce
înseamnă că to ate datele vor fi transmise în clar, punând sub semnul întrebării cum poate o astfel
de soluție să asigure protecția împotriva interceptării datelor – cerință critică în cazul rețelelor
VPN.
Din nefericire, terminologia utilizată în industria de profil po ate să contribuie la apariția
de astfel de confuzii. Pentru clarificarea acestor confuzii, trebuie ca utilizatorul să identifice care
mod de transmisie este folosit. Ca și în cazul autentificării datelor și a utilizatorilor, modurile de
12 [HTTP12 ]
26
transmisie trebuie să fie analizate dacă sunt criptate sau necriptate. Dacă o soluție VPN nu
furnizează nici o formă de criptare în scopul confidențialității datelor, atunci această soluție poate
fi denumită mult mai corect Virtual Network (VN – rețea virtuală), din moment c e nimic nu este
privat în această rețea Internet, între sursă și destinație.
2.4 Protocolul IPSec
IPSec (Internet Protocol Security), sau protocolul de securitate IP, este un cadru de
standarde deschise pentru asigurarea comunicațiilor private securiza te pe Internet. IPSec asigur ă
confidențialitatea, integritatea și autenticitatea comunicațiilor de date printr -o rețea public ă, fiind
o component ă tehnic ă cheie pentru o soluție de securitate total ă. Acest protocol poate rezolva
ameninț ările de securitate din infrastructura de rețea, f ără a cere modific ări costisitoare ale gazdei
și aplicațiilor. IPSec ofer ă criptare și autentificare la nivelul de rețea IP. Deoarece pachetele
criptate arat ă ca pachete IP obișnuite, ele pot fi redirecționate ușor c ătre o re țea IP, ca Internetul,
exact ca pachetele IP obișnuite. Singurele dispozitive care cunosc criptarea sunt punctele finale.
IPSec utilizeaz ă diferite tehnologii existente, cum sunt criptarea DES și certificatele digitale.
IPSec are două moduri de criptare : tunel și transport. Tunelul criptează doar antetul, în
timp ce transportul criptează și datele. IPSec poate cripta date între diverse echipamente: router –
router , firewall -router , PC-router , PC-server.
IPSec este un protocol de criptare ce lucrează la nivel ul 3 (Network) al modelului OSI și
care asigură transmisia criptată a datelor. Stabilirea unui VPN de tipul IPSec are loc în urma
negocierii între cele două părți ale unui mod standard de comunicație în sensul de a opera cu o
politică de securitate comună, de a utiliza aceiași algoritmi de criptare și aceeași metodă de
autentificare. Odată negociată această politică, se creează un tunel de comunicații între două
locații și astfel utilizatorul din afara corporației are acces la resursele interne ale acesteia . Însă,
pentru a fi create toate condițiile de VPN via IPSec, fiecare computer de la care se dorește acces
are nevoie de instalarea unui „client” de VPN.
IPsec cuprinde următoarele elemente:
1. algoritmi criptografici;
2. protocoale de securitate;
3. asocieri de securitate;
4. tehnici de management a cheilor și SA
Toate aceste elemente împreună furnizează următorul serviciu de securitate la IP:
•Access control – IPsec poate controla accesul la resurse cum ar fi un capăt al rețelei sau
gazdei(host) din spa tele unei porți de securitate;
•Integritatea fără conexiuni -IPsec poate detecta modificările la pachetele IP indiferent de
ordinea în care ele sunt trimise sau recepționate. Dacă un atacator modifică pachetele în tranzit
între gazde sau porți de securitat e, aceste pachete sunt oprite de poarta de securitate sau gazdă la
recepționare.
•Autentificarea originii datelor – IPsec verifică ca mesajele ce sunt recepționate dacă au
fost transmise de un anumit expeditor și nu de o altă sursă nascată. Pachetele trimis e de un
atacator sunt oprite de porțile de securitate sau gazdă la primire;
•Replay protection –asigură că gazdele și porțile de securitate opresc orice pachete IPSec
duokicate ce sunt recepționate;
27
•Confindețialitatea datelor –ascunde datele și împiedică acestea de a fi descoperite de un
atacator. Ipsec folosește algoritmi de criptare pentru a asigura confindențialitatea datelor;
•Limited traffic flow confidentialit – în aceste cazuri, chiar dacă un atacator nu este
capabil să determine exact natura datelor protejate, ei ar putea încă găsi informații cum ar fi
identitatea mecanismelor de comunicare, frecvența de transmisie și chiar mărimea pachetelor.
IPsec asigură o protecție limitată împotriva unui atacator capabil să obțină aceste informații.
2.4.1 Algo ritmi criptografici
Algoritmii criptografici folosiți de către IPsec pentru a autentifica și a cripta pachetele
utilizator sunt:
a)Algoritmi de autentificare;
b)Algoritmi de criptare;
c)Algoritmi criptografici cu chei publice.
a)Algoritmi de autentificar e
Pentru a preveni modificarea unui mesaj, se utilizează o tehnică specifică, denumită
tehnică hash (sau a rezumatului), care permite construirea unui cod de identificare a datelor
transmise, numit "rezumatul datelor". Într -un IPsec, un număr de algoritm i hash asigură
integritatea fără conexiuni și autentificarea originii datelor. Un algoritm hash este un tip de
algoritm criptografic ce ia un mesaj de o lungime arbitrară la intrare și produce o lungime fixă la
ieșire, valoare ce este caracteristic mesaju lui de intrare și nu altui mesaj. Algoritmii criptografici
hash au două caracteristici importante:
•Rezumatul unui mesaj se construiește prin aplicarea, în sens unic ("unisens"), a unei
funcții de transformare (funcție "hash") într -o secvență de biți – de lungime mare, pentru a fi
dificil de "spart". Sensul unic de transformare asigură faptul că nu se pot deduce datele de intrare
pe baza datelor de iesire.
•Datele ce trebuie transmise sunt utilizate ca si date de intrare, obținându -se astfel o
valoarea de transformare ("hash value"). Dacă datele în tranzit sunt modificate, la destinație se va
obține o altă valoarea de transformare, ceea ce va indica falsificarea datelor.
Valoarea de transformare este în general criptată ulterior prin utilizarea aceleiași ch ei
secrete ca si pentru criptarea datelor transmise. Astfel, se formează o "semnătură digitală" a
datelor, care nu mai pot fi modificate fără ca acest lucru să fie depistat.
Exemple de algoritmi hash sunt Digest 5 (MD5) și Secure Hash Algorithm (SHA -1).
MD5 produce un hash pe 128 -biți, iar SHA -1 produce un hash pe 160 -biți.
b) Algoritmi de criptare
Criptarea este un proces în care datele sunt redate de neînțeles pentru cineva nu -i este
permis să vadă datele. Informațiile cu formă necriptată sunt cunoscut e ca și text simplu
(plaintext) sau text curat (cleartext). Informațiile cu formă criptată sunt cunoscute ca și text cifrat
(ciphertext). Procesul de criptare schimbă un text simplu într -un text cifrat, iar procesul invers
este cunoscut ca și proces de dec riptare.
IPsec folosește algoritmi de criptare simetrici pentru criptarea datelor. Algoritmii
simetrici sunt caracterizați de faptul că folosesc aceeași cheie atât în procesul de criptare, cât si în
cel de decriptare . Pentru aplicarea lor este necesar ca înaintea codificării/ decodificării, atât
28
emițătorul cât și receptorul să posede deja cheia respectivă. În mod evident, cheia care
caracterizează acești algoritmi trebuie să fie secretă. Atunci când poarta IPsec VPN criptează
datele cu o cheie, o altă poa rtă va cere aceiași cheie pentru a decripta datele.
Caracteristicile principale ale algoritmilor de criptare simetrici sunt următorii:
• Aceiași cheie este folosită pentru criptare dar și decriptare;
• Textul cifrat este compact;
• Algoritmii de criptare s imetrici sunt rapizi;
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impun un schimb de
chei private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este
necesar un canal cu transmisie protejată pe ntru a putea fi transmise cheile de criptare / decriptare.
Algoritmi de criptare simetrici sunt: Data Encryption Standard (DES) și Advanced
Encryption Standard (AES).
DES cripteză/decriptează blocuri de text simplu/text cifrat pe 64 de biți în același ti mp și
folosește o cheie pe 64 biți. 8 biți ai cheii sunt folosiți pentru paritate, așa că lungimea efectivă a
cheii este de 56 biți.
Triple DES (3DES) este o derivație a algoritmului DES ce folosește diferite chei să
cripteze, apoi sî decripteze, iar în f inal criptează fiecare bloc de text simplu. 3DES are o lungime
efectivă a cheii de 168 biți (3 * 56 biți).
AES criptează/decripteazp blocuri de text simplu/text cifrat pe 128 biți și pot folosi chei
de lungime de 128 biți, 192 biți sau 256 biți.
c) Algoritm criptografic cu chei publice
Algoritmii criptografici cu cheie publică, sunt caracterizați prin faptul că criptarea și
decriptarea folosește chei diferite . Această caracteristică a dat algoritmilor cu cheie publică și
numele de algoritmi asimetric i. În acest caz, una dintre chei poate fi publică (general cunoscută –
poate fi distribuită oricui) iar cealaltă va trebui să fie privată / secretă (cunoscută doar de cel care
o folosește). Fiecare dintre aceste chei poate cripta mesajul, dar un mesaj crip tat cu o anumită
cheie nu poate fi decriptat decât cu cheia sa pereche.
Astfel, în cazul utilizării unui algoritm asimetric în comunicarea dintre un emițător și un
receptor, fiecare dintre aceștia va deține câte o pereche de chei – publică și privată. Emiț ătorul
poate cripta mesajul cu cheia publică a receptorului, astfel încât doar acesta să poată decripta
mesajul cu cheia sa privată. În cazul unui răspuns, receptorul va utiliza cheia publică a
emițătorului astfel încât decriptarea să se poată face exclusi v de către emițător (cu cheia sa
pereche, privată).
Cheile algoritmilor asimetrici sunt obținuți pe baza unei formule matematice din algebra
numerelor mari, pentru numere prime între ele, iar din valoarea unei chei nu poate fi dedusă
valoarea cheii asociat e.
Cei mai populari algoritmi cu chei publice sunt: Diffie -Hellman; Rivest, Shamir, and
Addlemen (RSA); the Digital Signature Algorithm (DSA); and ElGamal.
Utilizarea unor astfel de algoritmi de criptare a datelor asigură transmisii confidențiale de
date în rețele neprotejate, rezolvând problema interceptării. De fapt, riscul de interceptare /
modificare nu dispare cu totul, din cauză că orice mesaj criptat poate fi în general decriptat fără a
deține cheia corespunzătoare, dacă se dispune de suficiente r esurse materiale si de timp.
Evident, dimensiuni variate ale cheii asigură diferite grade de confidențialitate iar
perioada de timp necesară pentru decriptare poate fi prevăzută în funcție de mărimea cheii
29
utilizate. Totuși, dacă procesul de decriptare est e lent, este posibil ca în momentul în care s -ar
obține datele dorite, acestea să nu mai fie actuale sau utile.
Timpul de decriptare depinde în mod natural și de puterea procesoarelor utilizate în acest
scop, astfel încât utilizarea distribuită a unui foar te mare număr de procesoare poate duce la o
micșorare considerabilă a timpului necesar. Din acest motiv, pentru transmisii de date în care
este necesară o confidențialitate strică se utilizează chei de dimensiuni mult mai mari, chiar
pentru algoritmul DES (de 256, 512, 1024 si chiar 2048 sau 4096 de biți), știut fiind că timpul
necesar decriptării creste exponențial cu dimensiunea cheii de criptare / decriptare.
Pentru utilizatorii obișnuiți ai Internet -ului, cei mai convenabili algoritmi de criptare sunt
cei cu cheie publică fiindcă folosirea lor nu implică schimbul preliminar de chei pe canale de
transmisie protejate, ca în cazul algoritmilor cu cheie secretă. Cheia publică poate fi distribuită
fără restricții pe intranet (rețeaua locală) sau Internet, iar mesajele criptate cu această cheie de un
emițător vor putea fi decriptate numai utilizând cheia privată, care este deținută exclusiv de către
destinatar. Astfel, nici măcar expeditorul nu ar putea realiza decriptarea mesajului trimis .13
2.4.2. Protocoale de securitate: AH și ESP
IPsec folosește 2 protocoale de securitate, Authentication Header (AH) și Encapsulating
Security Payload (ESP).
a) Authentication Header (AH) –este un pachet header ce asigură următoarele servicii
de securitate:
• Integritatea f ără conexiuni
• Autentificarea originii datelor
• Protecție opțională de replay
AH reprezinta protocolul 51 IP si poate opera în 2 moduri -modul transport si modul
tunel.
În modul transport, un AH header este inserat între headerul original și headeru l
următorului protocol (ca de exemplu TCP, UDP, sau ICMP) pentru ca pachetul utilizator să fie
protejat. Figura următoare prezintă modul transport AH.
Figura 2.4.2.1 AH modul transport [HTTP12 ]
În AH transport mode, întregul pachet este autentific at excepție facînd câmpurile ce se
pot schimba în timpul tranzitării între host -urile permise sau porțile de securitate. Câmpurile
variabile cuprind Time -To-Live (TTL), Type of Service (ToS), și Header Checksum. În modul
13 [PAT01]
30
transport AH este folosit să pro tejeze pachetele utilizator care tranzitează o rețea între hosturi sau
devices.. Aceasta este posibil deoarece porțile de securitate folosesc AH transport mode să
protejeze protocoalele tunel ca și GRE, and Layer Two Tunneling Protocol (L2TP).
În modul tunel , AH header împreună cu un nou IP header este folosit să protejeze
pachetele utilizator .
Figura 2.4.2.2 AH Modul tunel [HTTP12]
În modul tunel întregul pachet este autentificat excepție făcând câmpurile mutate în noul
IP header. Modul tunel poate fi folosit să protejeze pachetele utilizator care tranzitează rețeaua
între hosturi, dar și între porțile de securitate(security gateways).
a) Encapsulating Secur ity P ayload (ESP)
ESP este un pachet header ce asigură următoarele:
• Integrit atea fără conexiune
• Autentificarea originii datelor
• Protecție opțională replay
• Confindențialitatea datelor
• Confindențialitatea limitată a traficului(disponibilă numai în modul tunel)
Observăm că ESP asigură aceleași servicii de securitate ca și AH, precu m și
confindențialitatea limitată a traficului și datelor. Din această cauză, AH este mai rar folosit. ESP
este protocolul 50 IP.
De asemen ea, ESP poate opera în 2 moduri -modul transport si modul tunel .
31
Figura 2.4.2.3. ESP modul transport [HTT P12]
Observăm că dacă autentificarea ESP este configurată, câmpul ESP header inițial
(inclusiv SPI și câmpurile Sequence Number), TCP/UDP/Other Header, Payload, și câmpurile
ESP Trailer sunt toate autentificate. Precizăm că, câmpul header original nu est e autentificat ca și
când foloseam AH . Dacă criptare ESP este configurată, atunci câmpurile TCP/UDP/Other
Header, Payload, și ESP sunt toate criptate. Modul transport este de obicei folosit să protejeze
traficul între host -uri și alte devices
În modul tu nel ESP , un nou header IP și header ESP sunt folosite de pachetele utilizator
iar un ESP trailer și (dacă autentificarea ESP este configurată) un ESP ICV sunt atașate la
pachetul utilizator. Dacă autentificarea ESP este configurată, câmpul header ESP, int rarea
pachetului utilizator și ESP trailer sunt autentificate.
Figura 2.4.2.4 ESP modul tunel [HTTP12]
Dacă criptarea ESP este configurată, câmpul ESP header, intrarea pachetului utilizator și
ESP trailer sunt criptate.
AH și ESP împreună
Dacă este posibil să configurăm ambele protecții AH și ESP pentru un singur trafic
utilizator, atunci AH și ESP headers sunt cuprinse ca în figura de mai jos.
32
Figura 2.4.2.5 AH/ESP modul transport si modul tunel [HTTP12]
2.4.3. Asocieri de se curitate(SA)
Un IPsec SA este unidirecțională în natură, și definește cum traficul este protejat prin
IPsec. Un IPsec SA este definit de un SPI și include informații ca și protocolul de securitate,
modul protocolului de securitate, algoritmii criptograf ici și timpul de funcționare a SA
Un trafic particular poate fi p rotejat de unul sau mai multe SA . De exemplu, daca AH
este specificat pentru autentificare iar ESP este specificat pentru criptare, prote cția traficului va
implica 2 SA . Deo arece IPsec SA este unidirec țională. Un minim de 2 IPsec SA sunt cerute să
protejeze traficul utilizator în ambele direcții între perechile de porți IPsec VPN.
2.4.4 Tehnici de management a cheilor și SA
Pentru a implementa o solutie VPN cu criptare, este necesar sa s e modifice periodic
cheile de criptare. Imposibilitatea de a schimba aceste chei face ca rețeaua sa fie sensibila la
atacuri de tip brute -force. IPsec rezolva aceasta problema cu ajutorul protocolului I KE, care
folosește două alte protocoale pentru a aute ntifica un nod un retea și pentru a genera chei.
Protocolul IKE foloseste algoritmul Diffie Hellman – pentru a genera chei simetrice si pentru a fi
utilizate de două noduri VPN IPsec. IKE gestionează, de asemenea, negocierea altor parametrii
de securitate, cum ar fi datele care urmează să fie protejate, puterea cheii, metodele utilizate in
algoritmul hash, și dacă pachetele sunt protejate la reluarea. IKE utilizează portul UDP 500.
IPsec permite 2 metode pentru managementul cheilor și a l IPsec SA :
1. Manua l SA and key management – o cale de intreținere a
cheilor și a IPsec SA este configurarea manuală. Configurarea manuală a IPsec SA este similară
cu configurarea routerului și de asemenea nu este scalabil a.
2. Automated SA and key management through the I KE protocol
protocolul IKE permite IPsec să se autentifice dinamic reciproc.
33
Există două versiuni de: IKE versiunea 1 (IKEv1) și IKE versiunea 2 (IKEv2). IKEv1
este definită în RFCs 2407, 2408, și 2409, iar IKEv2 este definită în RFC 4306. IKEv2
îmbun ătățește eficiența și securitatea IKE și adaugă o funcționalitate suplimentară la protocolul
de bază specificat. IKEv1 este făcut din componentele unui număr de protocoale:
1. The Secure Key Exchange Mechanism (SKEME) –descrie o tehnică
multilaterală a s chimbului de chei;
2. The Oakley Key Determination Protocol –descrie o serie de tehnici(moduri) a
schimbului de chei precum Perfect Forward Secrecy , identitatea protecției, și autentificarea.
3. The Internet Security Association and Key Management Protoco l
(ISAKMP) –descrie un framework pentru autentificarea schimbului de chei.
Negocierea IKEv1 este împărțită în 2 faze și 3 moduri În faza 1 IPsec stabilește un IKE
SA. Acest IKE SA este folosit să protejeze negocierile fazei 2 care apoi sunt folosite să
negocieze IPsec SA . IKEv1 faza 1 poate fi negociat folosind modul principal sau modul
agresiv. IKEv1 faza 2 negociază folosind modul rapid.
IKEv2 include toată funcționalitatea IKEv1 plus NAT (traversal and legacy
authentication). IKEv2 cuprinde de asemen ea îmbunătățiri suplimentare referitoare la eficiență și
securitate. De asemenea, păstrează trăsăturile mai importante ale lui IKEv1, inclusiv cele 2 faze
de negociere. În IKEv2 faza 1,Ipsec -ul negociază algoritmii, stabilește sesiunea cheii secrete, se
autentifică reciproc, și stabilește un IKE SAjust asemănător IKEv1.
34
CAPITOLUL 3
SECURIZAREA REȚELEI
3.1 Definirea vulnerabilităților unei rețele
În mai puțin de o generație, introducerea calculatoarelor, virtual, în fiecare dimensiune a
societății a schimbat semnificativ modul în care oamenii și organizațiile obți n sau diseminează
informații ori desfășoară afaceri, permițând o mai mare eficiență, un control operațional sporit și
un acces rapid la informații. Alături de multe beneficii, însă, calculatoarele și interconectarea
acestora prezintă și aspecte negative, c um ar fi apariția unor noi tipuri de infracțiuni (distribuirea
de viruși informatici, de pildă), precum și posibilitatea de comitere a unor infracțiuni tradiționale
prin intermediul noilor tehnologii (cum ar fi frauda ori falsul, spre exemplu).
Proliferar ea calculatoarelor, din ce în ce mai puternice și disponibile la prețuri din ce în
ce mai mici, precum și dramatica expansiune a interconectivității, au dat potențialilor atacatori
posibilitatea să realizeze atacuri rapide și fără constrângeri geografice, adesea cu consecințe
grave pentru victime și cu probabilitate mică de detectare sau incriminare. Deoarece atacurile
electronice asupra sistemelor informaționale pot produce o serie de consecințe negative –
financiare, operaționale, legale sau strategice – la nivel individual, organizațional ori chiar
național, riscurile de atac electronic trebuie bine înțelese, pentru a fi atenuate sau chiar eliminate.
Informațiile stocate electronic au o anumită valoare. Un incident care va afecta negativ
informațiile sto cate electronic va afecta și individul sau organizația care depinde ori folosește
respectivele informații.
Informațiile sunt evaluate în raport cu posibilul impact al unui incident care va afecta
negativ informațiile. Amenințările, vulnerabilitățile și po sibilul impact trebuie combinate pentru
a obține o măsură a riscului la care sunt expuse informațiile.
O reprezentare schematică sugestivă a conceptelor privind securitatea sistemelor de
informații computerizate și relațiile dintre acestea este propusă în standardul Common Criteria
for Information Technology Security Evaluation :
35
Figura 3.1 Conceptele privind securitatea sistemelor de informații si relațiile dintre acestea
3.1.1 Studiind problemele cu care se confruntă o rețea
Problemele de securitat e din orice rețea de calculatoare derivă dintr -o contradicție
fundamentală a Internetului și anume caracterul public dorit de utilizatori pentru orice resursă
informațională și nevoia de securizare a informațiilor și a rețelei în sine față de atacurile
persoanelor rău -intenționate care urmăresc compromiterea, preluarea, modificarea sau
distrugerea informațiilor ori întreruperea funcționării rețelei.
În multe feluri, hackeri și dezvoltatorii de software gândesc foarte mult la fel. Amândoi
urmeze o metodolog ie specifică și își documentează cu atenție activitatea lor. Cu toate acestea,
obiectivele unui hacker sunt destul de diferite de cele ale unui dezvoltator de software.
Cunoscând metodologiile pe care hackerii le utilizarea ajută la dezvoltarea unei politi că de
securitate eficientă.
Indiferent de specif icul atacului pe care un hacker îl foloseș te, atacul poate fi descris de
următoare șapte etape:
• Construirea unei amprente digitale a organizației asupra căreia se va lansa atacul;
• Colectarea de informații ;
• Manipularea utilizatorilor pentru a obține acces;
• Escaladarea privilegiilor;
• Obținerea de parole adiționale;
• Instalarea de programe back -door si redirecționarea porturilor;
• Folosirea avantajelor obținute prin compromiterea sistemelor.
Scopul unui hacker este de a compromite ținta dorită sau aplicația dorită. Aceștia încep
cu puține informații sau deloc despre ținta dorită, dar până la sfârșitul analizei lor, ei vor putea să
36
acceseze rețeaua începând să compromită țintele dorite. Abordarea lor este mereu a tentă și
meticuloasă – niciodată nu se grăbesc și nu neglije ază nimic. Procesul de șapte etape este o bună
reprezentare a metodei pe care hackerii o utilizează .
Amprenta digitală a rețelei
Pentru a pătrunde într -un sistem cu succes, hackerii doresc să șt ie cât de mult se poate
despre sistem. Aceștia construiesc o amprentă digitală despre o organizația pe care vor să o
atace. Amprenta reprezintă un profil complet despre securitate companiei. Folosind o serie de
instrumente și tehnici, un atacator poate des coperi nume de domenii ale companiei; blocuri de
adrese IP ale rețelei, adrese IP ale sistemelor, porturi, și servicii utilizate, precum și multe alte
detalii pertinente referitoare la politica de securitate a organizației.
Pentru a îmbunătăți securitatea unei rețele î mpotriva analizei am prentei digitale trebuie
parcurșii pașii urmă tori:
• Păstrarea tuturor informațiilor cu potenț ial pentru identif icare si compromitere a
securităț ii organ izației offline;
• În determinarea cantității de informație oferită reț elei publice trebuie realizat un echilibru
intre nevoile afacerilo r și securitatea companiei. În general, o cantitate minimă de
informații este tot ceea ce este necesar;
• Observarea site -ului organizației din punctul de vedere al unui hacker pentru a găsi o rice
potențiala breșa in securitate;
• Realizarea unui ping sweep in rețea și examinarea rezultatelor cu atenție din punctul de
vedere al unui hacker;
Colectarea de informaț ii.
Analiza amprentei digitale generează o hartă a rețel ei țintă. Colectarea de inf ormații este
scopul urmă rit al realiz ării amprentei digitale precum și obținerea de informaț ii specifice despre
rețea.
In acest context hackerii sunt interesați in leg ătura cu urm ătoarele informații:
• aplicaț ii ale serverelor și ve rsiunile acestora: Hacker ii află versiunile serverelor de web,
FTP si mail analiz ând traficul generat de porturile TCP si UDP și trimiț ând date aleatoare
spre aceste servere;
• Exploatarea porturilor sensibile TCP: Hackerii selectează porturile TCP in funcție de
informaț iile conț inute de porturile sensibile atacurilo r. De exemplu SMB(Server M essage
Block) utilizat pentru găzduirea de fișiere folosește por tul TCP 445. Dacă un hacker
reușește să contacteze un utilizator pe acest port, acesta v -a încerca sa obți nă diferite
informaț ii de spre numele de utilizator, ult ima data de logare sau datele câ nd au fost
schimbate ultimele parole.
Manipul area utilizatorilor pentru a obț ine acces
Există nenumărate cazuri in care angajaț ii fiind nesuspicioș i furnizează informații către
persoane neautor izate, pur și simplu pen tru că solicitanții par inocenți sau par a fi într -o poziție
autoritara . Hackerii găsesc nume și numere de telefon pe site -uri sau în înregistrări le
companiilor . Aceștia apoi contacteaz ă persoanele in cauză cerându -le diferite info rmații despre
37
parolele personale. Există două metode comune pentru a obține acel e parole : prin ingineri e
socială sau prin atacuri de spargere a parolelor.
Ingineria sociala – Dorința noastră naturală de a crede diferite persoane pe cuvântul lor ne
fac pe m ulți dintre noi vulnerabili la atacuri . Ca o declarație generală, această trăsătură este
veriga cea mai slabă în lanțul de securitate. Ingineria socială este o modalitate de a manipula
oamenii din interiorul rețelei de a furniza informațiile necesare pentr u a accesa rețeaua.
Hackerii utilizează diferite metode si tehnici pentru a sparge parolele precum:
• liste de cuvinte: Aceste programe utilizează liste de cuvinte, fraze, sau alte combinații de
litere, numere și simboluri pe care utilizatorii de computere le folosesc adesea ca parole.
Hackerii introduc cuvânt după cuvânt, cu o viteză mare, până când găsesc o potrivire ;
• atacul bazat pe forța bruta : Această abordare se bazează pe putere și repetarea . Se
compară fiecare combinație posibilă și permutare de carac tere până când se găsește o
potrivire. Folosind forța brută se va sparge în cele din urmă orice parolă, dar poate dura
mult timp. Folosirea forței brute este un proces extrem de lent, deoarece foloseș te fiecare
combinație de caractere posibile.
• atacuri hib ride: Unele programe de spart parole combină cele două metode amintite
anterior fiind foarte eficient e împotriva parolele prost construite.
Escaladarea privilegiilor
După ce au obținut o parolă pentru un cont de utilizator și privilegiile acestuia, hacke rii
încearcă să escaladeze privilegiile lor. Primul lucru pe care îl fac este de a revizui toate
informațiile despre gazdă pe care le -au colectat, de exemplu, fișierele care conțin numele de
utilizator și parolele precum și regiștr ii care conțin parolele utilizatorilor. (Orice documentație
disponibilă, inclusiv e -mail-uri și alte documente, pot fi, de asemenea, de ajutor.)
Dacă acesta etapă nu reușește, hacker poate lansa un atac de tip cal troian . Acest tip de
atac, de obicei, înseamnă copierea de cod ma lițios în sistemul utilizatorului și dându -i același
nume ca și o bucată de software utilizate frecvent.
Obținerea de parole adiționale
După ce hackerul obține privilegii de administrator de rețea, următoarea sarcină este de a
aduna mai multe parole și al te date sensibile. Obiectivele includ acum lucruri cum ar fi baza de
date cu conturile de management,asupra căreia hackerii folosesc instrumente legitime cum ar fi
aplicațiile pwdump și lsadump. Prin obținerea de nume de utilizatori noi și parole,hackerul este
în măsură să obțină acces administrativ la toate computerele din rețea.
Instalarea de programe back -door și redirecționarea porturilor
Utilizatori legitimi intră în sisteme prin ușa ‘din fața’ respectând normele atribuite nivelul
de privilegii ale ac estora. Hackerii de obicei pătrund pe ușa ‘din spate’ pentru a evita orice
obstacole în încercarea lor de a controla rețea. Hackerii folosesc, de asemenea redirecționarea de
porturi pentru a ocoli mecanismele de securitate care sunt instalate.
Programele de tipul back -door. Acestea le oferă hackerilor un mod de a pătrunde în
sistem în cazul în care sunt detectați încercând să între printr -un mod legitim. Cea mai utilizată
metodă backdoor o reprezintă un port care oferă acces de la distanță la sistem pentru utilizatorii
(hackeri) care nu au.
Redirecționare porturilor este folosită pentru a trece peste filtrarea de porturi, filtrări
realizate de rutere, firewall -uri și detectarea intruziunilor. De exemplu, să presupunem că un
38
firewall are porturile 80 (HTTP) și 443 (HTTPS) deschise în mod implicit, dar portul 443 nu este
utilizat. Să presupunem că există un server de baze de date pe portul 3389 (MS -WBT -server). Un
hacker poate selecta portul 443 ca port de ascultare și să rămân nedetectate. Hackerul poate
realiza apoi o redirecționare de port fără a întrerupe operațiunile legitime. Un program de
redirecționare de porturi ia traficul care vine pe un port și îl redirecționează spre un alt utilizator
folosind alt port. În acest exemplu, programul de redirecționare ia traficul care intră în serverul
web pe portul 443 și îl trimite pe portul 3389 la serverul de baze de date.
Folosirea avantajelor obținute prin compromiterea sistemelor
După ce hackerul obține acces administrativ, o să încerce să compromită și alte si steme
din rețea. Cu fiecare nou sistem compromis, atacatorul efectuează măsurile descrise anterior să
adune parola si informații suplimentare din sistem . Hackerii vor încerca să scaneze și să
exploateze un sistem unic sau un întreg set de rețele. Întregul proces poate fi automatizat. Este
dificil să se identifice acest tip de activitate, deo arece atacatorul operează de obicei sub masca
unui cont de administrator valabil. Dacă nu este prins atacatorul înainte de a obtine privilegii de
administrator i, acesta poate fi aproape imposibil să fie inlaturat din rețea.
Apărarea rețelelor împotriva acestor tipuri de atacuri necesită vigilența constantă și o
pregătire profesionala realizată prin urmatori pași:
• Menținerea patch -urilor up datate prin instalarea lor să ptămânal sau zilnic , dacă e ste
posibil, pentru a preveni atacuri de tipul buffer overflow sau escaladarea privilegiu;
• Închiderea serviciilor si porturilor neutilizate;
• Folosirea unor parole puternice si schimbarea cat mai des posibil;
• Controlarea accesului fiz ic în sistem;
• Efectuarea de copii de siguranță și testare acestora în mod regulat ;
• Educarea angajaților asupra riscului ingineriei sociale, și dezvoltarea unei strategii pentru
validarea identit ății prin telefon sau e -mail;
• Criptarea și protejarea cu ajuto rul parolelor a datelor importante;
• Implementarea unei securității hardware și software cu ajutorul firewal -urior, sistemului
de prevenire a intruziunilor, software antivirus precum si diferite feluri de filtr ări;
• Elaborarea și scrierea unei politici de se curitate.
3.1.2 Tipuri de atacuri asupra rețelei
Informațiile confidențiale pot fi întâlnite în două stări pe o rețea.. Se pot găsi pe
dispozitive fizice de stocare, precum hardisk și memorie, sau se pot găsi în trecere de -a lungul
cablului sub formă de pachete. Aceste două informații constituie multiple oportunități pentru
atacuri din partea utilizatorilor din rețeaua internă, precum și a utilizatorilor din internet.
Următoarele sunt șase metode comune de atac care oferă oportunități de compromitere a
informației pe rețea:
• Network packet sniffers ;
• IP spoofing ;
• Password attacks ;
• Distribution of sensitive internal information to external sources ;
• Man-in-the-middle attacks ;
• Viruș i, cai troieni si viermi.
39
Protejând informațiile împotriva acestor atacuri, s copul este de a preveni furtul,
distrugerea , coruperea, și i ntroducerea de informație care poate cauză pagube
ireparabile datelor confidențiale.
Network Packet Sniffers
Deoarece computerele legate în rețea comunică serial ( informațiile sunt trimise una după
alta), informațiile de dimensiuni mari sunt sparte în bucăți mai mici de informație.
Câteva dintre aplicațiile de rețea distribuie pachetele de rețea în mod liber – informațiile
trimise pe rețea nu sunt criptate. Deoarece pachetele de rețea nu sunt cr iptate pot fi procesate și
înțelese de către orice aplicație care le poate intercepta de pe rețea.
Un protocol de rețea specifică cum sunt identificate și marcate pachetele, ce permite unui
computer să determine dacă pachetul îi este adresat. Deoarece spec ificațiile pentru protocoalele
de rețea, precum tcp/i p, sunt larg răspândite, un terț poate interpreta ușor
pachetele de rețea și poate dezvoltă un Sniffer.
Un sniffer de pachete este o aplicație ce folosește placa de rețea în mod întâmplător
pentru a rece pționa pachetele de rețea ce sunt transmise dea lungul unei rețele locale. Snifferele
de pachete furnizează informații despre topologia rețelei pe care mulți atacatori le consideră
esențiale. Astfel de informații, cum ar fi -ce serviciu se execută,câte comp utere sunt pe rețea, ce
computere au acces la alte computere, și așa mai departe pot fi deduse din informațiile conținute
în pachetele distribuite pe rețea. Un sniffer de pachete poate furniza utilizatorului informații
precum nume de conturi și parole. Dac ă se folosesc baze de date pe rețea, un sniffer de pachete
poate furniza unui „atacator” informații selectate din baza de date, de asemenea numele
utilizatorului și parolă de acces la baza de date.
O problemă serioasă în achiziționarea conturilor și parole lor este a ceea că mulți utilizatori
folosesc acela și nume de înregistrare și aceaș i parolă pentru multiple aplicații. În plus, un sniffer
poate fi modificat pentru a plasa informații sau a modifica informații dintr -un pachet. Astfel
atacatorul poate cauză închiderea conexiunilor, sau poate schimbă informații din interiorul unui
pachet. În plus , mulți administratori de rețea folosesc sniffere de pachete pentru a diagnostica și
repară probleme de rețea.
IP Spoofing and Denial -of-Service Attacks
Un IP spoofi ng attack (atac de tip spoofing pe IP) apare când un atacator din afară rețelei
pretinde a fi un utilizator de încredere. Acest lucru folosind o adresă IP din domeniul rețelei
respective, sau utilizând o adresă IP externă autorizată, și căreia i se oferă a cces la resursele de
pe rețea. Un atac de tipul IP spoofing poate da acces la conturi de utilizator și parole. În cadrul
unei companii un atacator ar putea trimite mail -uri partenerilor de afaceri care ar p ărea că sunt
trimise din cadrul companiei. Normal , un IP spoofing attack e limitat la injectare de date sau
comenzi într -un stream exitent de date care se transmit într -o aplicație de tip client -server sau
peer to peer.
Un alt fel de atac este cel de genul Denial -of-Service (Dos). Refuzul unui serviciu a pare
deoarece sistemul devine ocupat să stabilească o legătură cu cel care a inițiat cererea (care ar
putea să nu folosească o adresă IP validă). În termeni tehnici, gazdă țintă primește TCP SYN și
returnează SYN -ACK, apoi rămâne în stare de așteptare, fie care stare de așteptare folosește
resurse până când gazdă nu va mai putea răspunde altor cereri.Ca și Snifferele de pachete, IP
spoofing și atacurile DOS nu sunt restricționate utilizatorilor din afară rețelei.
40
Atacurile de tipul „Denial -of-service” sunt d iferite de celelalte atacuri deoarece nu
urmăresc accesul la rețea sau la informația dintr -o rețea, aceste atacuri sunt concentrate pe
incapacitatea serviciilor.
Password Attacks
Atacuri asupra parolelor pot fi implementate folosind câteva metode diferite , incluzând
atacuri cu „Forță brută” , programe de tipul „Troieni”, IP Spoofing și Sniffere de pachete.Spre
deosebire de IP Spoofing și Sniffere de pachete, atacurile asupra parolelor se referă la încercări
repetate de a determina un cont de utilizator sau parolă acestuia, aceste atacuri repetitive sunt
numite atacuri cu „Forță bruta”.
Adesea, un atac Forță Brută este executat utilizând un dicționar ce rulează într -o rețea și
încercă conectări la resurse, precum un server. Când un atacator obține accesul la o resursă,
acesta dobândește aceleași drepturi ca și utilizatorul al cărui cont a fost compromis. În cazul în
care contul are suficiente privilegii, atacatorul poate crea o cale de acces pentru accese ulterioare.
Man -in-the-Middle Attacks
Un atac man -in-the-middle necesită ca atacatorul să poată avea acces la pachetele de pe
rețea. Un astfel de exemplu ar putea fi o persoană care lucrează pentru un provider de internet,
care poate avea acces la toate pachetele transferate de pe rețeaua locală către alte r ețele. Astfel de
atacuri sunt implementate folosind sniffere de pachete și protocoale de transport. Scopul la astfel
de atacuri este furtul de informație, analiza traficului pentru a obține informații despre rețea și
utilizatorii acesteia, restricționarea serviciilor, coruperea datelor sau di strugerea acestora.
Viruși, cai troieni și viermi
Virușii sunt programe software rău -intenționat care se atașează de alte programe și să execute o
anumită funcție nedorite pe o stație de lucru a utilizatorului. Un viru s se propagă prin infectarea
altor programe de pe același computer. Virușii pot face leziuni severe, cum ar fi ștergerea
fișierelor sau ștergerea unui disc întreg. Aceștia nu se poate răspândi la un calculator nou fără
ajutorul uman, cum ar fi deschiderea unui fișier infectat pe un suport mobil, cum ar fi un
atașament de e -mail, sau prin partajarea de fișiere.
Calul troian este un termen general care se referă la programele care aparent sunt
folositoare, dar conțin de fapt, ceva dăunătoare. De exemplu, un j oc descă rcat de pe Internet
putea șterge fișiere importante aflate în memorie.
Viermele execută cod arbitrar și instalează copii ale sale în memoria calculatorului
infectat. Viermele poate infecta apoi alte gazde de la computerul infectat. Ca un virus, un vierme
este, de asemenea, un program care se propagă. Spre deosebire de un virus, un vierme se poate
răspândi în mod automat în rețea de la un calculator la altul. Viermii nu sunt inteligenți sau
malițioși, ei doar profită de avantajul trimit erii și primirii de fișiere.
3.1.3 Închiderea interfețelor și a servici ilor de rețea neutilizate de pe un r outer
Routere rulează mai multe servicii care creează potențiale vulnerabilități pentru o rețea. Pentru a
asigura o rețea, trebuie să dezactivați toa te serviciile și interfețele de pe un ruter care nu sunt
necesare.
41
Servicii și interfețe de pe un r outer CISCO care nu sunt necesare:
• Interfețe de ruter: Accesul la interfețele de ruter neutilizate ar trebui limitat prin
închiderea acestora;
• Serverul B OOTP : Acesta este un serviciu implicit activat. Acest serviciu permite
unui router de a acționa ca un server BOOTP pentru alte rutere. Acest serviciu ar trebui
dezactivat pentru că este rareori necesar;
• Cisco Discovery Protocol (CDP): Acest serviciu este activat în mod implicit. CDP
obține adresele de protocol al dispozitivelor învecinate Cisco și descoperă platformele
acestora. CDP, de asemenea, oferă informații despre interfețele pe care ruterul le folosește.
Dacă nu este necesar, dezactivarea acestui se rviciu la nivel global sau pe o interfață este
recomandat;
• Configuration auto -loading : Acest serviciu este dezactivat în mod implicit. Auto –
încărcarea de fișiere de configurare de la un server de rețea ar trebui să rămână dezactivata
atunci când nu este ut ilizata de către router;
• Server ul FTP: Acest serviciu este dezactivat în mod implicit. Server FTP vă
permite să utilizați router ul ca un server FTP pentru client i FTP. Deoarece acest server
permi te accesul la anumite fișiere din memoria Flash a router -ului, acest serviciu ar trebui
să fie dezactivat atunci câ nd nu este necesar;
• Serverul TFTP: Acest serviciu este dezactivat în mod implicit. Server TFTP vă
permite să utilizați router -ul ca un server TFTP pentru clienț ii TFTP. Acest serviciu ar
trebui să fie d ezactivat atunci când nu este folosit, deoarece serverul permite accesul la
anumite fișiere în memoria Flash router ;
• Serviciul Network Time Protocol (NTP) : Acest serviciu este dezactivat în mod
implicit. Când este activat, Router -ul acționează ca un server de timp pentru alte
dispozitive de rețea. Dacă nu este bine securizat, NTP pot fi folosit pentru a compromite
ceasul de pe alte router e sau dispozitive care învaț ă timpul de la acesta. O ra corectă este
esențială pe ntru servicii le de criptare IPsec, log -uri pentru r outere sau alerte de securitate.
Dacă acest serviciu este activ ,ar trebui să restric ționeze accesul asupra lui. A tunci când nu
este necesar , dezactivarea lui este recomandata;
• Serviciul de asamblare si de zasamblare a pachetelor (Packet Assemble r and
Disassembler -PAD) : Acest serviciu este activat în mod implicit. Serviciu PAD permite
accesul la comenzile X.25 PAD cand sunt expediate pachete X.25. Acest serviciu ar trebui
să fie dezactivat atunci când nu este utilizat ;
• Servicii le minore TCP si UDP : Serviciile minore sunt furnizate de servere mici
(daemon) care rulează pe r uter. Serviciile pot fi utile pentru diagnostic, dar sunt rar
folosite. Dezactiva rea acestora este recomandata.
Servicii de administrare frecvent configurate care se recomanda a fi dezactivate:
• Simple Network Management Protocol (SNMP): Acest serviciu este activat în
mod implicit. Serviciu SNMP permite router -ului sa răspunde la cereri -SNMP. Dacă este
• Necesar implementarea acestuia ar trebui limitat accesul si implementata
versiu nea 3 -SNMPv3, deoarece versi unea 3 oferă o cale de comunicaț ie sigura, care nu
este disponibilă în versiunile anterioare de SNMP. ;
42
• Configurarea și monitorizarea HTTP: Setarea implicită pentru acest serviciu este
dependenta de fiecare dispozitiv Cisco. Aces t serviciu permite router -ului să fie
monitorizat sau sa ii fie modificate fisierele de configurare direct de pe un browser de web
prin intermediul unei aplica ții, cum ar fi SDM(CISCO Security Device Manager). Acest
serviciu ar trebui dezactivat daca nu es te folosit. Daca acest serviciu este ut ilizat este
recomandata restricț ionarea accesului cu ajutorul ACL(Access Control List) ;
• Domain Name System (DNS): Acest serviciu client este activat în mod implicit .
În mod implicit, routere le Cisco trimit cereri de n ume la adresa 255.255.255.255.
Restricționarea acest ui serviciu prin dezactivarea este de preferat atunci când serviciul nu
este necesar . Dacă serviciul de căutare DNS e ste necesar, trebuie setata adresa serverului
DNS în mod explicit.
Mecanismele de inte gritate a caii urmate de un pachet care sunt recomandate a fi oprite:
• Redirecț ionarea pachetelor ICMP: Acest serviciu este a ctivat în mod implicit.
Redirecț ionarea ICMP cauzeaz ă router -ul sa trimit ă mesaje ICMP de redirecționare ori de
câte ori router -ul este obligat să retrimită un pachet prin aceeași interfață pe care pachetul a
fost primit. Aceste informații pot fi folosi te de atacatori pentru a redirecț iona pachetelor
către un dispozitiv de str ăin;
• Rutarea pachetelor IP după sursa: Acest serviciu este activat în mod implicit. IP
suportă opțiuni pe ntru rutarea pachetelor in funcț ie de sursa acestora opțiuni care permit
expeditorului unei datagrame IP sa controleze ruta pe care dat agrama va parcurge spre
destinaț ie finala și în general ruta pe care un r ăspuns î l v-a parcurge. Aceste opțiuni pot fi
exploatate de un atacator pentru a ocoli calea normala a pachetelor și astfel politica de
securitate a rețelei.
Caracteristici despre scană ri si sonde recomandate a fi oprite:
• Serviciul Finger(protocolul 79) : Acest serviciu este activat în mod implicit.
Protocolul permite utilizatorilor din rețea să obține o listă cu utilizatorii care folosesc în
acel moment un anumit dispozitiv. Informațiile de pe listă includ procesele care se execută
pe sistem, numele con exiunii, timpul idle, și localizarea terminalului. Persoane
neautorizate poate utiliza aceste informații pentru atacurile de recunoaștere;
• Notificări ICMP pentru inaccesibilitate: Acest serviciu este activat în mod
implicit. Acest serviciu trimite notifică ri de inaccesibilitate expeditorilor de adrese IP
nevalidă sau adrese IP specifice. Aceste informații pot fi folosite pentru a formă topologia
rețelei și ar trebui să fie în mod explicit dezactivate pentru interfețele legate de rețele
nesigure;
• Răspuns la pachetele ICMP în legătură cu masca adresei: Acest serviciu este
dezactivată în mod implicit. Când este activat, acest serviciu obligă routerul să răspunde la
cererile ICMP pentru masca adresei IP prin trimiterea de mesaje ICMP masca răspuns care
conțin ma sca adresei IP a interfeței ruterului. Aceste informații pot fi folosite pentru a
formă topologia rețelei și ar trebui să fie în mod explicit dezactivate pentru interfețele
legate de rețele nesigure.
43
Securitatea accesului la terminale:
• Serviciul de id entificare IP: Acest serviciu este activat în mod implicit. Protocolul
de identificare rapoarteaz ă identitatea unui inițiator de conexiune TCP la gazdă care
primește pachetul. Aceste date pot fi utilizate de către un atacator pentru a aduna informații
despre rețea, iar acest serviciu ar trebui să fie dezactivat;
• Serviciul TCP keepalives: Acest serviciu este dezactivată în mod implicit. TCP
keepalives ajută curățarea conexiunilor TCP în cazul în care o gazdă s -a repornit sau s -a
oprit din procesarea trafic ului de pachete TCP.Serviciul TCP Keepalives ar trebui să fie
activat la nivel global pentru a gestiona conexiunile TCP și pentru a preveni anumite
atacuri DoS.
Serviciul de broadcast direct IP:Acest serviciu este folosite în atacurile comune și
populare de tip DoS Smurf și a altor atacuri conexe. Dezactivarea acestui serviciu atunci când nu
este necesar este recomandată.
Lăsând servicii nefolosite de rețea care rulează crește posibilitatea de exploatare
malițioasa a acestor servicii. Dezactivarea sau rest ricționarea accesului la aceste servicii,
îmbunătățește securitatea rețelei.
3.1.4 Securizarea accesului pe r outerele CISCO
Parolele puternice, sunt principală defensivă împotriva accesului neautorizat pe un ruter.
Fiecare router are nevoie de o parolă pe plan local configurată pentru acces privilegiat pentru că
pot exista și alte indicii referitoare la securitate în fișierele de configurare.
Comanda ‘enable secret password’ permite accesarea modului ENABLE(denumit și
modul privilegiat) pe un ruter. Acea stă folosește o criptare hash one -way bazată pe MD5 și este
considerată de majoritatea criptografilor ireversibilă. Cu toate acestea, chiar și acest tip de
criptare este încă vulnerabile la atacuri de tipul brute force sau cu dicționare de cuvinte.
Pentru a securiza routerul, ar trebui protejat accesul prin liniile de consolă, auxiliare, și
liniile vty.
În mod implicit,pe un router Cisco porturile de consolă permite un semnal PAUZĂ (în
termen de 60 de secunde după un restart) pentru a întrerupe secvența de boot normală pentru a
reda acces complet utilizatorului liniei de consolă. Această întrerupere este folosită în scopuri de
întreținere, cum ar fi atunci când se rulează pe router procedură de recuperare a parolei. Chiar
dacă această secvență de PAUZĂ este, în mod implicit, disponibilă cuiva care are acces fizic la
consolă routerului, este important să se stabilească o parolă pentru aceste lini pentru utilizatorii
care ar putea încerca să obțină acces la consolă de la distanță. Secvența de pauză poate fi
dezactivată folosindcomanda ‘no service password -recovery’.
Ruterele Cisco suportă multiple sesiuni Telnet în același timp(până la cinci sesiuni
simultane, în mod implicit, mai pot fi adăugate) În mod implicit, routerele nu au nicio parolă
configurată la nive lul liniilor vty. Dacă se activează verificarea cu parolă, trebuie configurată de
asemenea, o parolă vty înainte de a încerca a accesa routerul prin telnet.
În mod implicit, porturile auxiliareale routerelor Cisco nu necesită o parolă pentru acces
admini strativ la distanță. Administratorii folosesc uneori porturile auxiliare pentru a configura d e
la distanță și să monitoriza router ele utilizând o conexiune dial -up prin modem. Accesul la aceste
44
porturi ar trebui securizat cu parole pntru a impiedica folosi rea lor de catre utilizatorii
necunoscuti.
Din motive lesne de inteles, lungimea minima a parolelor ar trebui sa fie de cel putin 10
caractere. Comanda ‘security passwords min -length lungime ‘ oferă acces sporit de securitate a
router -ului, permițându -vă să specificați o lungime minimă a parolei (0-16).
Software -ul IOS Cisco oferă o serie de caracteristici pentru a securiza ruterele împotriva
autentificărilor neautorizate prin stabilirea ratelor de eșec și a condițiilor de conectare. Se poate
configura numă rul de încercări nereușite de conectare admisibile utilizând comanda ‘security
authentification failure rate’ impreuna cu parametrii corespunzatori. Când numarul de
autentifică ri nereusite ajunge la limita maximă admisă se intamplă doua lucruri:
• se trimit e un mesaj la serverul syslog;
• se instaurează o perioadă de delay de 15 secunde in care ruterul este blocat.
Dupa expirarea perioadei de delay utilizatorul poate sa continue sa se autentifice.
3.2 AAA (Authentication, Authori zation and Accounting)
O rețe a VPN bine proiectată folosește câteva metode care mențin datele și conexiunea
securizate: firewall -uri, criptarea, IPSec sau server AAA. Astăzi securitatea rețelei este în
principal asigurată de firewall -uri, produse care pun o barieră software între resu rsele companiei
(rețeaua privată ) și Internet. Firewall -urile pot fi configurate să restricționeze numărul de porturi
deschise, pot fi instruite care feluri de pachete să le lase să treacă și care nu, dar un firewall poate
fi utilizat pentru a încheia sesi unile VPN.
Figura 3.1 Exemplu de Firewall [HTTP13 ]
O rețea trebuie să fie proiectat ă pentru a controla cine este permis să se conecteze la
aceasta și ce îi este pe rmis să facă atunci când cineva este conectat. Aceste specificații de
proiectare sun t identificate în cadrul politicii de securitate a rețelei. Politica specifică modul în
care administratorii de rețea, utilizatorii „corporate ”, utilizatorii la distanță, pot acces a resurse le
45
rețelei. Politica de securitate de rețea poate mandat a, de asem enea, punerea în aplicare a unui
sistem contabil care urmărește cine și când s -a autentificat și ceea ce a făcut în timp ce era logat .
Gestionarea accesului la rețea folosind doar modul de utilizator sau parola privilegi ată
este limitată și nu este scalată bine. În schimb , folosirea protocolului Authentication,
Authorization , Accounting (AAA) , oferă cadrul necesar pentru a permite accesuri scalabile de
securitate .
Serviciile de securitate de rețea ale protocolului AAA asigură cadrul primar pentru a
configur a controlul accesului pe un dispozitiv de rețea . AAA este o modalitate de a controla cine
are permisiunea să acceseze o rețea (autentificare), ce poate face în timp ce este acolo
(autorizare), și verificarea acțiunilor pe care le efectuează în timp ce accesează resursele rețelei
(accounting – de contabilitate) .
3.2.1 Autentificare AAA
Protocolul AAA po ate fi folosit pentru autentificarea utilizatorilor cu acces la funcții
administrative sau poate fi folosit pentru autentificarea utilizatorilor pentru acces ul la rețea , de la
distanță. Aceste două metode de acces utiliz eză moduri diferite de a solicita servicii AAA:
• Character Mode – Un utilizator trimite o cerere pentru a stabili un proces de tipul
EXEC cu router -ul pentru scopuri administrative.
• Packet Mode – Un utilizator trimite o cerere pentru a stabili o conexiune prin
intermediul router -ului cu un dispozitiv din rețea.
Echipamentele Cisco oferă două tipuri de implementare a serviciilor AAA:
1. Autentificare AAA locala – se folosește o bază de date locale pe ntru autentificare.
Această metodă înmagazine ază numele de utilizatori si parole le la nivel local pe router,
și autentific ă utilizatorii conform bazei de date locale .
2. Autentificare AAA pe Server – Metoda bazată pe server folosește un server de baze de
date extern ca o resursă care valorifică protocoalele RADIUS sau + TACACS.
În lucrarea mea, am adoptat tehnologia bazată pe autentificare pe Server si am folosit Radius,
care este inclus in sistemu l de operare Windows Server 2008R2 .
Figura 3.2 .1 Procesul de Autentificare AAA bazată pe Server [HTTP14]
46
3.2.2 Autorizare AAA
După ce utilizatorii sunt autentificați cu succes conform metodei local ă sau server -based ,
acești a sunt apoi auto rizați pentru resurse specifice din rețea. Autorizare a este de fapt ceea ce un
utilizator poate și nu poate face în rețea, după c e utilizatorul s-a autentificat.
Autorizarea este de obicei implementată folosind o soluție AAA bazateă pe server.
Autorizarea utilizează un set de atribute care descriu accesul utilizatorului la rețea. Aceste
atribute sunt comparate cu informațiile conținute în baza de date AAA, și se face o determinare
de restricții pentru acel utilizator care se livrează la router -ul local în cazul în care utilizatorul
este conectat. Autorizare este automată și nu nece sită utilizatorilor să efectueze măsuri
suplimentare după autentificare și este pusă în aplicare imediat după ce utilizatorul este
autentificat.
Figura 3.2.2 Procesul de Autorizare AAA [HTTP14]
3.2.3 AAA Accounting (contorizarea AAA)
Contorizarea c olectează și rapo rtează utilizare a datelor astfel încât să poată fi folosite
pentru scopuri cum ar fi cele de audit sau de facturare. Datele colectate ar putea include timpii de
start și stop ai conexiunii , comenzi executate, numărul de pachete, și numărul de octeți.
Contorizarea este implementat ă folosind o soluție AAA bazată pe server. Acest serviciu
raportează statistici de utilizare înapoi la server , iar statistici le pot fi extrase pentru a crea
rapoarte detaliate despre configurația rețelei. Una din ut ilizările serviciului de cont orizare este
combinarea cu autentificare a AAA pentru ges tionarea accesului la Internet ș i a dispozitive lor de
rețea de către persona lul administrativ. Contorizarea AAA oferă roluri suplimentare pentru
autentificare. Serverele A AA țin un jurnal detaliat și exact la ceea ce utilizatorul autentificat le
execută pe echipament . Aceasta include toate comenzile de tip EXEC și de configur are emise de
către utilizator. J urnal ul conține numeroase domenii de date, inclusiv numele de utiliz ator, data și
ora, și comanda real ă care a fost introd usă de către utilizator. Informația este util ă atunci când
merge vorba de o depanare la dispozitive, dar și pârghii de contracarare împotriva persoan elor
care efectuează acțiuni rău intenționate.
47
Figur a 3.2.3 Procesul AAA Accounting
3.3 CBAC (Context Based Access Control)
Control acces ului bazat pe context (CBAC) este o soluție disponib ilă în cadrul Cisco IOS .
CBAC filtre ază inteligent pachete le TCP si UDP pe baza sesiunii de informații de pe Nivelul
Aplicație . Acesta oferă filtrare dinamică la nivel Aplicație , inclusiv protocoale le care sunt
specifice pentru aplicații unice, precum și aplicații multimedia , dar și protocoale care necesită
mai multe canale de comunicare, cum ar fi FTP si H.323. CBAC poa te examina, de asemenea,
conexiuni acceptate informații ce integrează NAT și PAT și efectuează schimb ările necesare
pentru adresă .
3.3.1 Filtrarea traficului
CBAC -urile po t fi configurat e să permit ă returnarea traficului TCP și UDP specificat,
printr -un pa ravan de protecție (firewall) în cazul în care conexiunea este inițiată din interiorul
rețelei. Ea re alizează acest lucru prin crearea de deschideri tempo rare într -un ACL care ar nega
astfel de trafic. CBAC poate inspecta trafic ul pentru sesiuni care provi n din ambele părți ale
firewall -ului. Acest ea po t de asemenea fi folosite pentru intranet, extranet, și în cadrul rețelei de
Internet. CBAC examinează nu numai N ivelul Rețea și Nivelul Transport al traficului , dar
analizează, de asemenea, și Nivelul Aplica ție (cum ar fi conexiuni FTP) pentru a afla despre
starea sesiunii. Acest lucru permite suportul protocoalelor care implică mai multe canale create
ca rezultat al negocierilor din canalul de control. Cele mai multe dintre protocoalelor multimedia,
precum ș i a unor alte protocoale (cum ar fi FTP, RPC, SQL * Net) implică mai multe canale.
48
3.3.2 Controlul Traficului
Deoarece CBAC inspectează pachetele la N ivelul Aplicație și menține informația
sesiunilor TCP și UDP , poate detecta și a preveni anumite tip uri de atacuri de rețea, cum ar fi
SYN -flood. Un atac SYN -flood apare atunci când un atacator de rețea „inundă” un server cu un
număr mare de cereri de conectare dar nu efectuează conexiunea până la capăt. V olumul
conexiuni lor pe-jumătate deschise copleșeș te server -ul, determinând -ul să nege serviciu l de
cereri valabile. CBAC de asemenea, ajută la protecția împotriva atacurilor DoS și în alte moduri.
Se inspectează numere de secvență în conexiunile de pachete TCP pentru a vedea dacă acestea se
încad rează în intervalele date și distruge orice pachete suspecte. CBAC poate fi configurat, de
asemenea, s ă renunțe la conexiuni pe -jumătate des chise, care necesită o prelucrare de către
firewall și mențin resursele de memorie la un nivel înalt .
3.3.3 Detecția Intruz iunilor
CBAC oferă un număr limitat de detectare a intruziunii pentru a proteja împotriva
atacurilor specifice SMTP. Cu serviciul de detec ție a intruziunilor, mesaje le syslog sunt revizuite
și monitorizate pentru semnături de atac specifice. Anumite tipu ri de atacuri de rețea au
caracteristici sau semnături specifice . Atunci când CBAC detectează un atac bazat pe aceste
caracteristici specifice, se resetează conexiunile ofensatoare și se trimit captările către s erver -ul
syslog.
50
CAPITOLUL 4
REALIZAREA PRACTICĂ A PROIECTULUI
4.1 Descrierea rețelei și a soluției alese
Fiecare utilizator solicită servicii de la o rețea prin cereri (interpelări) concrete,
formulate în conformitate cu anumite reguli. Deci, pentru utilizator performa nțele rețelei sunt
reflectate de caracteristicile deservirii cererilor sale. Dacă ținem cont de mulțimea utilizatorilor
în ansamblu, atunci o rețea se caracterizează, din punctul de vedere al utilizatorilor, prin
capacitate (productivitate), cost, durată de răspuns la o cerere, fiabilitate și gamă de servicii
oferite.
Pentru a descrie conceptele de securitate cu care se confruntă o rețea am creat o
arhitectură, o topologie a unei firme care are mai multe sedii în diferite locații. Această topologie
include diferite departamente ale firmei, în care sunt birouri cu stații de lucru (calculatore
personale, laptop -uri, etc), care sunt c onectate între ele prin routere. Problemele principale sunt
protejarea i nformațiilor împotriva atacurilor provenite din exterior , minimizarea riscurilor cu
care se confruntă rețeaua, analizarea în permanență a traficulu i din rețea, și asigurarea
funcționali tății în permanență a rețelei.
Ca orice echipament electronic, rețelele sunt vulnerabile la atacuri din exterior ( flood –
uri, network spoof -ing, clonarea adreselor MAC sau de IP) sau la accesări neautorizate
(spamware, malware, spyware) dacă nu sunt securizate corespunzător. Tocmai de aceea au fost
concepute protocoale speciale sau operațiuni de encriptare a informației pentru ca aceasta să nu
poată fi accesată de oricine, ci numai în anumite condiții și furnizând anumite informații:
limitarea accesului în funcție de utilizator și de parolă; implementarea rețelelor virtuale; limitarea
accesului în funcție de poziționarea geografic ă (limitarea accesului doar la zonele predefinite).
Pentru demonstrarea anumitor tehnici si principii folosite in proiectarea, realizarea și
administrarea unei rețele de calculatoare am utilizat programul numit GNS3.
În GNS3 (Graphical Netw ork Simulator) Simulator Grafic de Rețea, am realizat
topologia (arhitectura) rețelei companiei fictive. Avantajul acestui program este ca oferă
simularea de rețele complexe si implementarea de protocoale gen OSPF / EIGRP / RIP, emularea
unor platforme mul tiple de routere, ori simularea unor switch -uri Ethernet/Frame -Relay.
GNS3 are la bază Dynamips (Emulator IOS ), Dynagen (interfață text -based pentru
Dynamips) precum și o interfață grafică ușor de utilizat. Cu ajutorul acestui program am simula t
(emulat) mai in detaliu ceea ce înseamnă o rețea internă a unei firme (companii) în cazul de față
a unei companii fictive și anume atribuirea fiecărui calculator personal un IP (Internet Protocol ),
acest tip de protocol este modul de a recunoaște un cal culator in vastul „nor” de Internet, este o
adresa pe 32 biți și este folosită în câmpurile „Adresă sursă” și „Adresă destinație” a pachetelor
IP, însă de reținut este faptul ca IP -ul nu este o adresa unică de identificare, ea poate fi schimbată
oricând, a dresa fixă si unică pentru fiecare calculator în parte se numește MAC (Media Access
Control) care este integrata în placa de rețea a fiecărui calculator. Datele provenite de la
terminale sunt grupate in pachete care sunt transmise pe mediul fizic prima oar ă la un "Gateway
51
Computer" calculator de margine, care înțelege o mică parte din internet, iar apoi mai departe,
pană când ajunge la destinație.
4.2 Arhitectura Rețelei
Structura rețelei este ca în figura de mai jos, unde sunt prezente 4 routere CISCO 7200,
o mașină virtuală cu siste m de operare Windows Server 2008 R2 și 2 cloud -uri cu mașina gazdă,
pentru simularea clienților.
Fig.4.2 Structura retelei GNS3
Un LAN tipic este configurat conform infrastructurii fizice la care este conectat.
Utilizato rii sunt grupați în funcție de locația fizică și de router -ul la care ei sunt conectați.
În cazul de față folosirea WAN -urilor este necesară pentru interconectarea sediilor
firmei, adică a LAN -urilor, a router -elor care coordonoază activit atea rețelelor di n alte locații ,
astfel încât să se faciliteze comunicarea între persoane și computere situate la mari depărtări
unele față de altele. Multe companii și organizații particulare și -au construit cu timpul WAN -uri
proprii.
O tehnică eficientă împotriva accesul ui neautorizat este segmentarea rețelei în multiple
grupuri de broadcast care permit administratorului de rețea să:
• Restricționeze numărul de utilizatori într -un grup
• Prevină un alt utilizator să se alăture grupului fără aprobare
• Să configureze porturile nefolosite ca fiind “default”
• Să permită anumitor u tilizatori acces la resursele altor utilizatori.
Nivelul 3 OSI, al rețelei, poate fi văzut din punct de vedere al adreselor IP, configurate
pe echipamentele existente.
52
Tabel 4.2.1 Asignarea adreselor IP în rețea
4.2.1 Configurare Windows Server 2008
Am început configurarea rețelei, i nstalând serverul, cu rol de Active Directory (AD),
unde se păstrează toată baza de date a user -ilor din domeniu.
Device Interfață IP Subnet Mask Default Gateway
R1 Fa0/0 192.168.229.5 255.255.255.0 N/A
Serial 1/ 1 10.5.0.1 255.255.255.0 N/A
Serial 1/ 0 10.0.0.1 255.255.255.0 N/A
Tunnel 0 10.4.0.1 255.255.255.0 N/A
R2 Fa0/0 172.16.0.1 255.255.255.0 N/A
Serial 1/0 10.0.0.2 255.255.255.0 N/A
Serial 1/2 10.6.0.2 255.255.255.0 N/A
Tunnel 0 10.4.0.2 255.255.255.0 N/A
R3 Fa0/0 193.226.12.1 255.255.255.0 193.226.12.2
Serial 1/0 172.16.2.1 255.255.255.0 N/A
Serial 1/1 10.5.0.2 255.255.255.0 N/A
Serial 1/2 10.6.0.1 255.255.255.0 N/A
HoneyP ot Fa0/0 193.226.13.1 255.255.255.0 193.226.13.2
Serial 1/0 172.16.2.2 255.255.255.0 N/A
Server Fast Ethernet 192.168.229.192 255.255.255.0 192.168.229.5
Hosts Fast Ethernet 172.16.0.2 255.255.255.0 172.16.0.1
ISP Fast Ethernet 193.226.12.2 255.255.25 5.0 N/A
ISP Fast Ethernet 193.226.13.2 255.255.255.0 N/A
53
Fig.4.2.1 Structura Windows Server 2008R2
În AD, am creat u n nou domeniu, numit licenta2016 .com și un Organisational Unit,
numit Laboratoare, asignând la rândul său un user alin.ionescu , cu drepturi administrative in
sistem.
Cu ajutorul acestu i user, va fi posibilă logarea pe orice router pentru configurare și
administrare, dar inclusiv și pe Server.
Pentru sporirea securității, am implementat un s erviciu de autentificare centralizat și
securizat, utilizând un Radius Server, configurat, într -un mod virtualizat tot pe Windows Server.
Fig.4.2.1.1 Autentificare centralizata Radius Server
Cu ajutorul acestui serviciu, logarea pe un router din rețea se realizează doar de către
utilizatorii autentificați în domeniu și de asemenea printr -un schimb de chei criptate, care se
interschimbă între router și serverul Radius, atunci când administratorul vrea să se autentifice.
54
4.2.2 Configurarea Routerelor
Am început prin a configura R1, el fiind și un firewall pentru Server.
Toate configurările se încep a face, numai după ce au fost asignate IP -uri pe interfețe și au
fost activate:
Fig.4.2.2 Configurația router -ului R1
Pasul următor este configurarea protocolului de routare EIGRP și introducerea rețelelor
adecvate:
55
Fig.4.2.2.1 Configuraț ia protocol ului EIGRP
Fig.4.2.2.2 Configuraț ia routelor IP
Fiind vorba de securitate, și având locațiile ipotetice , reprezentate în cazul nostru de una
pentru administrare cu server și fi rewall și alta aflată într -o altă zonă geografică, reprezentată de R2 și
cloud -ul HOST, cloud care înglobează LAN -urile aferente din respectiva locație, am recurs la
configurarea unui tunel VPN Site -to-Site, folosind încapsularea GRE, pentru a putea ruta diferite
protocoale prin interiorul tunelului.
56
Fig.4.2.2.3 Sc hema tunelului VPN
VPN – IPsec protocolul de securitate:
• In primul rând trebuie configurată o cheie unică care trebuie criptată la ieșirea din router și
decriptată de celălalt router, pentru comunicarea sigură si fără probleme între sedii. În acest
caz c heia este : secretkey atât pentru RouterCluj cu interfață IP 10.10.12.1/30, cât si pentru
RouterDeva cu interfață IP 10.10.13.1/30;
• Configurarea unei politici numită ISAKMP necesară pentru a stabili o legătură tip tunel
pentru negocierea cheii unice;
• Defin irea unui transform set care definește parametrii pentru tunelul IPsec de exemplu
algoritmii de encriptare și integritate;
• Aplicarea unor liste de acces control (ACL) tip crypto care identifică traficul care va fi
transmis prin tunelul IPsec;
• Realizarea un ei harți crypto (crypto map) care combină împreună parametrii anterior
configurați si definește stația ținta pentru IPsec;
• Aplicarea harții crypto la interfața de ieșire a stației VPN ;
• Configurarea unui ACL si aplicarea listei la interfață. De obicei rout er-ele de margine cum
este si acest RouterCentralTimișoara este configurat cu ACL pentru restricție care ar putea
bloca cheia unică si protocoalele IPsec.
57
Fig.4.2.2.4 Configuraț ia tunelului VPN
Vorbind anterior de autentificare, este necesară conf igurarea protocolului AAA pe router,
trimiterea tuturor logurilor pe serverul de syslog și specificarea serverului Radius.
Aceste configurații sunt valabile și pentru R2, cu ip -urile aferente.
Cu ajutorul programului pachet sniffer Wireshark putem analiz a într egul trafic din rețea
observând informații despre pachetele care circula î n rețea .
Fig.4.2.2.5 PrintScreen program pachet -sniffer Wireshark
Din această captură se po t observa pachete trimise de protocolul de rutare dinamică
EIGRP si pachete cripta te apartinând tunelului IPSec având protocolul ESP (pachetul fiind
criptat,este de neîn țeles pentru alte destinații în afară de capătul tunelului IPSec).
În ce privește routerul R3, fiind un router edge, adică router -ul care face legătura cu
mediul exterio r și cu Distribuitorul de Internet, sau ISP, sunt necesare măsuri suplimentare de
securizare.
58
Fig.4.2.2.6 Schema router -ului edge R3
Am implementat un sistem de control al accesului bazat pe CBAC -uri (Context Based
Access Control), despr e care am vorbit în capitolul precedent. Această implementare a constat în
oprirea oricărui trafic ce vine din afara rețelei noastre fictive. Dar apare întrebarea, ce fel de
comunicație mai persistă, dacă din exterior, adică din Internet nu mai vine nimic ?
Tocmai acesta a și fost motivul, pentru care am ales utilizarea de CBAC -uri. Se închide
orice acces din afară dar atunci când există o cerere din interior, se auto -creează un ACL în
firewall care să permită răspunsul din exterior, dar numai pentru acea ap licație.
Fig.4.2.2.7 Configuraț ia CBAC -urilor pentru R3
59
Prin intermediu programelor Kiwi Syslog Server sau Syslog Watcher se poate realiza
monitorizarea retelei in permanenta.
Fig.4.2.2.8 PrintScreen Kiwi Syslog Server
60
CAPITOLUL 5
CONCLUZII
5.1. Rezultatele proiectului
Pe măsură ce firmele si companiile se dezvoltă, apare necesitatea extinderii rețelei locale
de calculatoare prin adoptarea unor noi porturi in arhitectura inițială, adăugarea de noi
echipamente sau înlo cuirea cel existente, sporirea securității, firewall -uri mai puternice,
inevitabil bani mai mulți.
Această aplicație a fost construită pentru a fi adoptata si utilizată de aproape orice firmă
in vederea schimbului securizat la nivelurile OSI de informații electronice intre sediile firmei,
aflate la distanță sau în altă locație, cât mai ușor, sigur, eficient, si fără erori.
Aplicația este o bună metodă de studiu a comportării transmisiei prin rețele virtuale
private a datelor, folosind suita de protocoale IPSec. Prin intermediul acestor protocoale folosind
funcții matematice și algoritmi de criptare și autentificare se asigură confidențialitatea,
integritatea și non -repudierea informațiilor din fiecare pachet IP transmis pe rețea.
Ca orice echipament electr onic, rețelele sunt vulnerabile la atacuri din exterior ( flood -uri,
network spoof -ing, clonarea adreselor MAC sau de IP) sau la accesări neautorizate (spamware,
malware, spyware) daca nu sunt securizate corespunzator. Tocmai de aceea infrastructura rețele i
a fost analizată si configurată sa respingă orice atac informațional asupra datelor prin
configurarea ruterelor oprind orice serviciu de rețea vulnerabil.
Pachetele circula in rețea cu o rapiditate foarte mare producând schimbări ale structurii
logice ale rețelei. Astfel rețeaua trebuie monitorizată si configurată dacă este cazul în
permanență. Pachetele din rețea sunt analizate cu ajutorul programului pachet sniffer Wireshark.
Aplicația are posibilitatea monitorizării de la distanța cu ajutorul protoco lului https prin
intermediul programului SDM.
5.2 Dificultăți întâmpinate
Aplicația este concepută în programul GNS3(emulator) . Topologia în sine cuprinzând 4
rutere CISCO, un sistem Windows Server 2008 și 2 cloud -uri cu mașina gazdă , a trebuit să
config urez 3 mașini virtuale pe laptopul personal care să folosească resursele memoriei RAM. La
o primă pornire a mașinilor virtuale memoria laptop -ului este acaparată în totalitate, astfel apar
erori de configurare, de funcționare de amplasare a elementelor reț elei, iar topologia nu mai
poate fi salvată deoarece sistemul de operare se blochează.
61
Pentru a combate acest obstacol m -am documentat în legătură cu GNS3, și am găsit
soluția printr -o configurare în detaliu a emulatorului. În mod normal fiecare ruter vir tual își
salvează o copie a sistemului sau de operare(IOS) în memoria RAM. Cum toate ruterele folosesc
același sistem de operare, o soluție mai bună o reprezintă partajarea unei zone de memorie pentru
sistemul de operare al routerelor pe care toate cele 4 routere să le folosească.
O altă dificultate întâmpinată cu mașinile virtuale o reprezintă faptul că la pornirea unui
router virtual procesorul laptopului personal rulează la capacitate maximă, astfel adăugarea unui
router în plus devenind imposibil ă. Ace st lucru se întâmplă deoarece programul Dynamips nu
știe când routerul este idle sau rutează pachete. Soluția este descrisă de comandă „idlepc” care
trebuie aplicată pe fiecare router în parte pentru a reduce capacitatea de rulare a procesorului.
GNS3 este un emulator destinat routerelor, acesta nu are încorporat și funcții similare
pentru calculatoare personale pentru a utiliza în totalitate caracteristicile unei rețele adevărate.
5.3 Direcții de dezvoltare
Proiectul realizat poate fi dezvoltat în conti nuare în următoarele direcții:
•Schimbarea topologiei existente cu una bazată pe structura CISCO pe 3 nivele(Access
Distribution si Core) în cazul creșterii numărului de utilizatori si extinderii firmei.
•Adăugare a de noi tipuri de VPN cum ar fi MPLS(Multi -Protocol Label Switching) –
NGN(Next Generation Networks)
62
CAPITOLUL 6
BIBLIOGRAFIE
[GRE99] Eric Greenberg : „ Network Application Frameworks, Virtual Private Networks ”,
Editura Addison Wesley Longman, 1999
[PAT01] V. V. Patriciu, M. Pietroșanu , I. Bica, C. Văduva, N. Voicu : „Securitatea Comerțului
Electronic ”, Editura All, 2005
[Tan04] Tannenbaum Andrew : „ Rețele de calculatoare ”, Editura Byblos, 2003
[ASC99] Ascend Communications : „ Frame Relay Overview ”, Ascend, 1999
[HTTP01] http://www.datasecurity.ro/?p=24
[HTT P02] http://ro.wikipedia.org/wiki/Modelul_OSI
[HTTP03] http://www.stud.usv.ro/~mihael_p/licenta/articole/retele.htm
[HTTP0 4] http://ro.wikipedia.org/wiki/Active_Directory
[HTTP05] http://www.gns3.net
[HTTP06] http://dynagen.org
[HTTP07] http://www.gns3 -labs.com
[HTTP08] www.cisco.com
[HTTP09] http://www.ietf.org/ rfc/rfc2328
[HTTP10] https://www.freebsd.org/doc/handbook/ipsec.html
[HTTP11] http://www.cisco.com/en/US/tech/tk827/tk369/tk287 /tsd_technology_ support_sub –
protocol_home.html
[HTTP12] http://compnetworking.about.com/od/vpn/a/vpn_tutorial.htm
[HTTP13 ] http://www.wireshark.org/
[HTT P14] http://www.wiresharktraining.com/
[HTTP15 ] http://sectools.org/
[HTTP16 ]http://computernetworkingnotes.com/ccna -study -guide/configure -cisco -router -step-by-
step-guide.html
[HTTP17 ] https://technet.microsoft.com/en -us/magazine/hh987048.aspx
63
[HTTP18] http://www.kiwisyslog.com/free -edition.aspx
[HTTP19] https://www.snmp soft.com/syslog -watcher/
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630887] (ID: 630887)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.