FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630889]
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
PROIECT DE DIPL OMĂ
COORDONATOR ȘTIINȚIFIC
Prof. dr. ing. Titus Slavici
ABSOLVENT: [anonimizat]
2018
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI T EHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
SECURITATEA REȚELELOR DE CALCULATOARE
COORDONA TOR ȘTIINȚIFIC
Prof. dr. ing. Titus Slavici
ABSOLVENT: [anonimizat]
2018
UNIVERSITATEA DIN ORADEA
FACU LTATEA DE INGINERIE ELECTRICĂ ȘI TEHNOLOGIA INFORMAȚIEI
DEPARTAME NTUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
TEMA: SECURITATEA REȚELELOR DE CALCULATOARE
Proiectul de Finalizare a studiilor a student: [anonimizat]_____________ ___________
1). Tema proiectului de finalizare a studiilor : SECURITATEA REȚELELOR DE
CALCULATOARE
2). Termenul pentru predarea proiectului de diplomă ____ ______________________________
3). Elemente inițiale pentru elaborarea proiectului de finalizare a studiilor ________________
______________________________________________________________________________ __
________________________________________________________________________________
4). Conținutul proiectului de finalizare a studiilor :_________________________ ___________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
5). Material grafic:________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
6). Locul de do cumenta re pentru elaborarea proiectului de diplomă :
________________________________________________________________________________
________________________________________________________________________________
7). Data emiterii temei__________________________ ___________________________________
Coordonator științific
Prof. dr. ing. Titus Slavici
UNIVERSITATEA DIN OR ADEA
FACULTATEA DE INGINERIE ELECTRICĂ
ȘI TEHNOLOGIA INFORMAȚIEI
Adresa Oradea, Cod 410087, Bihor, Romania, Strada Universit ății, nr. 1 ,
Tel/Fax :+40 259/408412, Tel:+40 259/408104; +40 259/408204
REFERAT
PRIVIND PROIECTUL DE DIPLOMĂ
A
ABSOLVENT: [anonimizat] : Vulpe Ovid iu Viorel
DOMENIUL Calculatoare și tehnologia informației
SPECIALIZAREA Tehnologia informației
PROMOȚIA 2018
1. Titlul proiectului SECURITATEA REȚELELOR DE CALCULATOARE
2. Structura proiectului ………………………………………………………. ……….
……………………… …………………………………………………………………………………………………………….. ……..
…………………………………………………………………………………………………………… ……………………………….
…………………………………………………………………………………………………………….. ……………………………..
………………………………………………….. ………………………………………………………………………………………..
…………………………………………………………………………………………………………….. ………………………… …..
…………………………………………………………………………………………………………….. ……………………………..
………………………………………………………………………………. ……………………………………………………………
……………………………………………………………………..
……………………………………………………………………………………………… …………….
…………………………………….. …… …………………… …………………………………
3. Apreci eri asupra conținutului proiectului de DIPLOMĂ (finalizare a studiilor ),
mod de abordare, complexitate, actualitate, deficiențe
…………………………………………………………………………………………………………….. ……………………………..
…………………………………………………………………………………………………………….. ……………………………..
……………………………………………………….. ……………………………….. …………………………….. ………………….
……………………………………………………………………………………………………….. …………………………………..
……………………………………………………………………………………………………………… …………………………….
……………………………………………………………………………………. ………………………………………………………
…………………………………………………………………………………………………………….. ……………………………..
…………………………… …………………………………………………………………………………………………………….. ..
…………………………………………………………….
4. Aprecieri asupra proiectului (se va menționa: numărul titl urilor bibliografice
consultate, frecvența notelor de subsol, calitatea și diversitatea surselor consultate;
modul în care absolventul a prelucrat informațiile din surse teoretice)
………………………………………………………………… ………………………………………………………………………….
…………………………………………………………………………………………………………….. ……………………………..
……….. …………………………………………………………………………………………………………….. ……………………
…………………………………………………………………………………………….. ……………………………………………..
…………………………………………………………………………………………………………….. ……………………………..
……………………………………. ………………………………………………………………………………………………………
…………………………………………………………………………………………………………….. ………….. …………………
……………………………………………………………………..
(se va menționa: opțional locul de documentare și modul în care absolventul a realizat
cercetarea menționându -se contribuția autorului)
………. …….. …………………………………………………………………………………………………………….. ……………..
…………………………………………………………………………………………………… ……………………………………….
…………………………………………………………………………………………………………….. ……………………………..
………………………………………….. …………………………………………………. …………
5. Concluzii (coordonatorul proiectului trebui e să aprecieze valoarea proiectului
întocmit , relevanța studiului întreprins, competențele absolventului, rigurozitatea
pe parcursul elaborări i proiectului , consecvența și seriozitatea de care a dat dovadă
absolventul pe parcurs)
…………………………………………………………………………………………………………….. ……………………………..
…….. …………………………………………………………………………………………………………….. ………………………
………………………………………………………………………………………….. ………………………………………………..
…………………………………………………………………………………………………………
……………………………………………………………………. ………………………………………………………………………
…………………………………………………………………………………………………………….. ……………………………..
…………… …………………………………………………………………………………………………….
6. Redactarea proiectului respectă …………………………………………………. cerințele
academice de redactare (părți, capitole, subcapitole, note de subsol și bibliografie).
7. Consider că proiectul îndeplinește/ nu îndeplinește condițiile pentru susținere în
sesiunea de Examen de LICENȚĂ (finalizare a studiilor ) din IULIE 2018 și propun
acordarea notei ………………
Oradea,
Data Coordonator științific
Prof. dr. ing. Titus Slavici
1
Cuprins
Cuprins …………………………………………………………………………… …………………………. 1
Capitolul I. Introducere ……………… ………. …………………………………………………….. … 2
I.1. De ce securitatea? …………………………. ………….. ……………… ………….. . 3
I.2. Prezentarea temei de proiect ………………………………………………….. .. 3
I.3. Prezentarea resurselor bibliografice…………………………… …………….. 4
Capitolul II. Fundamentare teoretică …………………………………………………………….. . 6
II.1. Modelul de referință OSI: ………………………………………………………. 6
II.2. Modelul de referință TCP/IP ………………………………………………….. 7
….
Capitolul N (Numele capitolului)………………………………………………………………….
N.1. (Numele subcapitolului)………. ………………………………………………….
N.2. (Numele subcapitolului)…………………………………………………………..
….
Concluzii (eventual propuneri)………………………… ……………………………………………
Bibliografie…………………………………………………………………………………………………..
Anexe (figuri, tabele, poze, etc)……………………………………… ………………………………
2
CAPITOLUL I
Introducere
În primele decenii, rețelele de calculatoare au fost folosite pentru trimiterea poștei
electronice și pentru partajarea imprimantelor. În aceste condiții, problema securității nu atrăgea
atenția. Acum, când milioane de cetățeni obișnuiți folosesc rețelele pentru operațiuni bancare,
cumpărături și plat a taxelor, securitatea rețelei apare la orizont ca o mare problemă.
Securitatea este un subiect vast și acoperă o mulțime de imperfecțiuni. În forma sa simplă,
ea asigură că persoane curioase nu pot citi sau modifica mesajele destinate altor destinatari. Se
ocupă de cei care încearcă să apeleze servicii la distanță pe care nu sunt autorizați să le folosească.
Securitatea se ocupă de problemele legate de capturarea și falsificarea mesajelor autorizate și de cei
ce încearcă să nege faptul că au trimis anumite mesaje.
Majoritatea problemelor de securitate sunt cauzate intenționat de persoane răuvoitoare ce
încearcă să obțină anumite beneficii sau să provoace rău cuiva. Realizarea unei rețele sigure implică
ceva m ai mult decât păstrarea ei fără erori de programare. Problemele securității rețelei pot fi
împărțite în patru domenii : confidențialitate, autentificare, nerepudiere și controlul integrității.
Confidențialitatea se referă la păstrarea informației depart e de utilizatorii neautorizați.
Autentificarea reprezintă determinarea identității persoanei cu care vorbești înainte de a dezvălui
informații importante . Nerepudierea implică semnături , cum poți fi sigur că mesajul pe care l -ai
primit a fost cel trimis și nu unul pe care cineva răutăcios l-a modificat în trazit sau l -a măsluit?
Fiecare nivel din stiva de protocoale are o oarecare contribuție la securitatea rețelei. În
nivelul fizic, ascultatrea firelor poate fi zădăricită prin închiderea liniilor de tran smisie în tuburi
sigilate conținând gaz de argon la presiuni înalte. Orice încercare de a sfredeli tubul va duce la
pierderi de gaz, reducând presiune și trăgând alarma. Acastă metodă este folosită de anumite
sisteme militare.
La nivelul legătură de date, pachetele trimise pe o linie punct -la-punct pot fi codificate când
părăsesc un echipament și decodificate cănd intră în celălalt echipament. Toate detaliile pot fi
manipulate la nivelul legătură de date, fără ca nivelurile superioare să aibă cunoștințăde ceea ce se
petrece. Această soluție esuează atunci când pachetele trebuie să traverseze mai multe rutere,
deoarece pachetele trebuie decriptate în fiecare router , făcându -le astfel vulnerabile la atacurile din
interiorul routerelor. Criptatea legăturii( link encryption ), cum este numită această metodă, poate fi
adăugată cu ușurință la orice rețea.
La nivelul rețea, pot fi instalate ziduri de protecție (firewall ) pentru a păstra pachetele în
interior sau pentru a păstra pachetele în afara acestuia . La nivelu l transport, conexiuni întregi pot fi
criptate , de la un capăt la celălalt, adică de la un proces la celălalt. Cu toate că aceste soluții conduc
la realizarea confidențialității și mulți oameni muncesc din greu pentru a le îmbunătăți, nici una
dintre ele n u soluționează problema autentificarii sau nerepudierii într -un mod sufiecient de general.
Rezolvarea acestor probleme se găsește la nivelul aplicație.
3
I.1 Aspecte generale privind securitatea retelelor de calculatoare
Domeniul care se ocupă de studiul mecanismelor de protecție a informației în scopul
asigurării unui nivel de încredere în aceasta se numeste securitatea informatiei. Putem afirma
că nivelul de încredere în informație depinde de nivelul mecanismelor de securitate care îi
garantează protecția și de riscurile care apar asupra securității ei. Securitatea informației este
un concept mai larg care se referă la asigurarea integrității, co nfidențialității și disponibilității
informației.
Securitatea reț elei reprezintă acum o componen tă în networking , implică proto coale,
dispozitive, tehnologii și tehnici pentru a securiza datele și atenuarea amenințărilor. Securitatea
rețelei este în mare măsură determinată de efortul de a rămâne cu un pas înaintea hackerilor.
Securitatea rețelei se referă direct la continuitatea afacerii unei organizații. Breșele de
securitate de rețea: pot perturba e -comm erce, cauzează pierderea de date, amenință intimitatea
oamenilor, compromit integritatea informațiilor . Aceste încălcări pot conduce la venituri pierdute,
furt de propietate intelectuală , amenințări la siguranța publică.
Atacurile cibernetice au crescut considerabil în ultimii ani, conform unor rapoarte Europol
infracțiunile comise în spațiul cibernetic provoacă anual pagube de aproximativ 1 trilion de dolari.
Soluți de securitate de rețea au apărut încă din anul 1960, dar s -au maturizat într -un set
complet de soluții pentru rețele moderne după anul 2000.
În iulie 2001, viermele Code Red a atacat servere web la nivel global , infectând pest e
350.000 de gazde. Viermele a perturbat accesul la serverele infectate și la rețelele locale de
găzduire a serverelor, provocând un atac DoS pentru milioane de utilizatori . Dacă responsabili i cu
securitatea rețelelor a acestor servere (infectate cu Code R ed) ar fi dezvoltat și implementat o
politică de securitate, iar patch -urile de securitate ar fi fost aplicate în timp util, atacul ar fi fost
oprit.
Când au apărut primii viruși și a fost dezlănțuit primul atac DoS , lumea profesionaliștilor în
rețele a î nceput să se schimbe. Principalul lor obiectiv a evoluat de la proiectare, construirea și
creșterea rețelelor, la securizarea acestora.
Tabelul 1.1 Evoluția instrumentelor de securizare
I.2 Amenințări la adresa rețelelor
O rețea de calculatoare re prezintă un mod de conectare a unor calculatoare individuale,
astfel încât să poată folosi în comun a numite resurse de genul unități lor de disc , fișiere, imprimante
sau echipamente de comunicație. Calculatoarele conectate la rețea sunt denumite noduri. Dacă
nodurile aparțin aceleiași compani, rețeaua este locală(LAN – Local Area Network ). Dacă nodurile
sunt mai dispersate pe o zonă mai extinsă, pe suprafața unui județ, la nivelul țării sau pe întregul
glob, rețeaua este pe plan extins (WAN – Wide Area Netwo rk).
4
Amenințările la adresa rețelelor poate fi:
amenințări din afara rețelei (Internet sau alte rețele conectate)
amenințări din interio rul rețelei (intenționate sau accidentale) – pot provoca daune mai
mari decât amenințările externe, datorită accesului direct la rețeau companiei.
A luat mai mult de 20 de ani de la introducerea de instr umente și tehnici de atenuare a
amenințărilor externe, pentru a de zvolta instrumente și tehnici de atenuare a amenințărilor interne.
Un exemplu pentru o amenințare proven ind din interiorul rețelei, este un angajat
nemulțumit, care are unele competențe tehnice și dorința de a face rău. Cele mai multe amenințări
din interior ul rețelei utilizează protocoalele și tehnologiile LAN sau infrastructura de swich -uri.
Aceste ameninț ări interne se împart în două categorii: spoofing și DoS .
Atacurile spoofing sunt atacuri în care un dispozitiv încearcă să pozeze ca un altul prin
falsificarea datelor. Există mai multe tipuri de atacuri spoofing. De exemplu, MAC spoofing are loc
atunci când un calculator din rețea acceptă pach ete de date de la un calculator, care ”fură” adresa
MAC a unui calculator trust.
Atacurile Denial of Service (DoS) fac indisbonibile resursele informatice pentru utilizatori .
Atacatorii folosesc diverse metode pentru a lansa atacuri DoS.
I.3 Tipuri de atacuri asupra rețelei
Informațiile confidențiale p ot fi întâlnite în două stări într -o rețea. Se pot găsi pe dispozitive
fizice de stocare sau se pot găsi în trecere de -a lungul cablului sub formă de pachete. Ac este
informaț ii constituie multiple oportunități pentru atacuri din partea utilizatorilor din rețeaua internă,
precum și a utilizatorilor din exterior (internet).
Următoarele metode comune de atac oferă oportunități de compr omitere a informației din
rețea:
Virus
Cod executabil atașat unui program sau executabil . Codul trebuie să fie rulat de un utilizator
pentr u a avea efect. Se propagă prin: atașamente de e -mail, fișiere descărcate infectate, partajări dc
fișiere în rețeaua locală sau stick -uri USB. Virus reprezintă un software malițios care execută pe un
calculator, o anumită funcție nedorită, de multe ori dăunătoare . Un virus simplu se poate instala la
prima linie de cod pe un fișier executabil . Când este activat, virusul ar putea verifica disc -ul pentru
alte executabile, astfel î ncât să poată infecta toate fișierele care nu au fost încă infectate. Virușii p ot
fi inofensivi (exmplu : afișează o imagine pe ecran) , distructivi (exemplu : șterg fișiere de pe hard
disk) sau pot fi programați să evolueze , pentru a evita detectarea .
Viermi
Cod executabil ce folosește vulnerabilități pentru a se răspândi. Spre deosebire de viruși nu
necesită intervenția directă a unui utilizator, se răspândesc rapid în rețea și sunt greu de îndepărtat.
Viermii (Worms) reprezintă u n tip deosebit de periculos de cod ostil și se reproduc prin exploatarea
vulerabilităților în rețele. Sunt responsabili pentru unele din cele mai devastatoare atacuri de pe
internet.
Exemplu: Viermele SQL Slammer din ianuarie 2003 a încetinit traficul de internet la nivel mondial,
ca urmare a unui atac de tip DoS .
– în primele 30 de minute de la lansare au fost afectate peste 250.000 de gazde
– viermele a exploatat un bug buffer overflow în Microsoft SQL Server
– un patch pentru această vulnerabilitate a f ost lansat la mijlocul anului 2002, astfel încât
au fost afectate serverele care nu au avut actualizate patch -urile .
5
În ciuda tehnicilor de diminuare a vulnerabilităților apărute de -a lungul anilor, viermi au
continuat să evolueze odată cu Internetul și î ncă reprezintă o amenințare prin exploatarea punctelor
slabe din aplicațiile software . Sunt programe autonome care atacă un sistem speculând o
vulnerabilitate cunoscută, dupa specularea cu succes, viermele se copiază de la gazda atacată, la un
sistem nou atacat și ciclul se repetă.
Atacurile software rău intenționate utilizează metode similare și parcurg aceleași etape:
Sondare – sunt indentificate obiectivele vulnerabile . Scopul este de a găsi computere ce pot
fi compromise. Se utilizează scanarea prin ping (Internet Control Message Protocol – ICMP) pentru
a face harta rețelei. Apoi aplicația scanează și identifică sistemele de operare și software vulnerabil.
Hackerii pot obține parole folosind atacuri dicționar, atacuri brute -force sau prin sniffing în re țea.
Pătrundere – codul exploit (speculativ) este transferat la ținta vulner abilă, în scopul de a fi
executat pintr -un vector de atac ( cum ar fi vulnerabilități : buffer overflow, Common Gateway
Interface – CGI, ActiveX sau un virus prin e -mail).
Persistenț ă – după ce atacul este lansat cu succes în memorie, codul încearcă să persiste pe
sistemul țintă, pentru a fi disponibil pentru atacator, chiar dacă sistemul repornește . Acest lucru se
realizează prin modificarea fișierelor de sistem (ex. modificări în re giștri) și instalarea noului cod.
Propagare – atacatorul încearcă să extindă atacul la alte ținte prin căutarea prin sistemele
vulnerabile vecine. Vectorii de propagare includ: încărcarea fișierelor la alte sisteme ce utilizează
servicii FTP, conexiunile w eb active transferul de fișiere prin Internet Relay Chat (IRC).
Paralizare – sistemul este compromis . Fișierele pot fi șterse, sistemul poate să cadă, atacurile
pot fi furate sau distribuite, atacurile DoS pot fi lansate.
Tabelul 1.2 – Metodele și etapele utilizate de software
Troie ni
Cod executabil atașat unei aplicații, spre deosebire de viruși care au efect direct, au efect
subtil – deschidere backdoor. Sunt mult mai greu de detectat ca viruși. Un troian este un malware
care efectuează operațiuni mal ițioase sub masca unei funcți dorite , conține cod ascuns, care
speculează privilegiile utilizatorului care îl rulează. Acesta provoacă daune imediate, oferă acces de
la distanță la sistem sau accesul printr -un backdoor. Troieni pot avea un cod pentru o țin tă
specificată, ceea ce il face mai greu de detectat.
Troieni se clasifică în funcție de daunele pe care le provoacă sau de modul în care deschid
breșa în sistem :
Remote -access Trojan horse – activează accesul neautorizat la distanță .
Data -sending Trojan horse – oferă atacatorului date sensibile, cum ar fi parole .
Destructive Trojan horse – corupe sau șterge fișiere.
6
Proxy Trojan horse – utilizează calculatorul infectat ca proxxy server.
FTP Trojan horse – permite servici FTP neautorizate.
Security softwa re disabler Trojan horse – oprește programele antivirus și firewall .
DoS Trojan horse – oprește sau încetinește activitatea rețelei.
Buffer overflow
Apare într -un program oricând acesta scrie mai multe informați într -o zonă tampon decât
spațiul alocat în memorie pentru ea. Poate fi definit ca o eroare de programare , o anomalie într -un
program care permite scrierea de date într-un tampon și suprascrierea memoriei adiacente . La bază
buffer ove rflow este un bug de programare, la nivelul următor este considera t vulnerabilitate de
securitate , potențial urmată de buffer overflow ca atac iar la nivelul superior, buffer overflow poate
fi reprezenta tă ca un incident de securitate. Rapoartele arată că o treime dintre vulnerabilitățile
software indentificate de CERT se referă la buffer overflow .
Într-un atac buffer overflow, obiectivul atacatorului este de a folosi vulnerabilitatea pentru a
corupe informațiile într -un mod controlat. Dacă atacul se face cu succes, atacat orul obține în mod
eficient controlul asupra sistemului. Odată ce controlul este transferat la codul malițios, se execută
instrucțiunile date care au ca scop , de obicei, acordarea de acces complet neautorizat la sistem.
Un atac de tip buffer overflow poate fi local sau la distanță :
– atac local – atacat orul are deja acces la sistem și poate fi interesat de creșterea privilegiului.
– atac la distanță – este livrat printr -un port de rețea
Un atac de tip buffer overflow este format din 3 părți: plantarea codului de atac în programul
țintă, copierea efectivă în tampon și deturnarea controlului pentru a executa codul de atac.
Vulnerabilitatea poate fi un proces care: ascultă pe un port de comunicații deschis sau
acceptă date de intrare neverificate.
I.3.1 Atenuarea virușilor, viermilor sau a troien ilor
Atenuarea viermilor
Viermii se bazează pe rețea mai mult decât virușii. Atenuarea viermilor necesită sârguință și
coordonare din partea profesionaliștilor în securitatea rețelei. Răspunsul la un atac vierme poate fi
împărțită în patru etape: izolare, inoculare (vaccinare), carantină și tratament.
Faza de izolare – presupune limitarea răspândirii unei infecții cu vierme în zonele de rețea
care sunt deja afectate . Izolarea necesită utilizarea ACL, atât de ieșire cât și de intrare pe routere și
firewall -uri la punctele de control din cadrul rețelei.
Faza de inoculare (vaccinare) – se desfășoară în paralel sau după faza de izolare . Se aplică
patch -uri furnizor pentru vulnearbilitate, la toate sistemele neinfectate. Vaccinarea privează
viermele de a infect a alte obiective disponobile, un scanner de rețea poate ajuta la identificarea
gazdelor potențial vulnerabile .
Faza de carantină – presupune depistarea și identificarea sistemelor infectate și
deconectarea, blocarea sau eliminarea lor. Aceasta izolează ac este sisteme pentru faza de tratament.
Faza de tratament – în timpul acestei faze, sistemele infectate sunt în mod activ dezinfectate
de vierme. Acest lucru implică : încheierea procesului, eliminarea fișierelor modificate , eliminarea
setărilor de sistem i ntroduse de vierme și aplicarea patch -ului pentru vulnerabilitatea aplicată.
I.4 Metodologii de atac
Există mai multe tipuri de atac de rețea, altele decât viruși, viermi sau troieni. Clasificarea
atacurilor de rețea se face în trei mari categorii: a tacuri de recunoaștere, atacuri acces și atacuri
DoS.
I.4.1 Atacuri de recunoaștere
7
Un atac de recunoaștere constă în recoltarea informațiilor despre o anumită rețea , în multe
cazuri, preced un atac de tip acces sau DoS. Intrusul malware începe prin ex ecutarea unui ping
sweep asupra rețelei țintă, pentru a determina ce adrese IP sunt active , apoi determină ce servicii sau
porturi sunt disponibile pe sistemele cu adresele IP active . Intrusul interoghează porturile pentru a
determina tipul și versiunea si stemul de operare și aplicaț iile ce rulează pe hostul țintă, el caută
servicii vulnerabile ce pot fi exploatate mai târziu. Atunci când sunt utilizate în mod lega l,
aplicațiile de ping sweep și port scan , servesc la indentificarea serviciilor vulnerabile . Un atacator
utilizează informațiile prin examinarea adreselor IP , a porturilor Transmission Control Protocol
(TCP) și User Datagram Protocol (UDP) pentru a compromite un sistem.
I.4.2 Atacuri acces
Una din cele mai sigure metode de a obține accesul pr iveligiat este de a sparge parola . Acest
lucru presupune că atacatorul are de ja acces pe un sistem din rețea șsi dorește acces privegiliat.
Parola nu este salvată pe hard disk în clar, se salvează un hash al acesteia. În momentul în care user –
ul introduce parola, se calculează hash -ul acesteia care este apoi comparat cu hash -ul salvat în
momentul setării parolei inițiale, parola este corectă dacă cele două hash -uri sunt egale . Dacă parola
este greșită , hash -ul ei este diferit de cel salvat fiindcă mesaj are propil hash , nu există 2 mesaje (2
parole) cu acealși hash. Dacă un hacker compromite sistemul și are acces la fișierul cu parole,
acesta poate observa hash -ul parolelor, nu și parolele .
Parolele cărora li s -a obținut hash -ul po t fi sparte prin:
Brute f orce – se încearcă toate combinațiile ce folosesc un set simboluri , poate fi aplicat
direct pe serviciul de autentificare , fără a avea hash -ul.
Dictionary attack – se încearcă toate cuvintele din dicționar împreună cu permutări simple ,
poate fi aplicat dir ect pe serviciul de autentificare, fără a avea hash -ul.
Cryptanalysis attack (Rainbow tabels ) – atac de cripanaliză, pentru spargere se pot folosi
tabele de hash -uri precalculate . Pentru a preveni un atac ce folosește rainbow tabels se utilizează
metoda Sa lting. Un segment suplimentar, generat aleatoriu, este concatenat la parola utilizatorului
înainte de hashing.
Man in the Middle (MITM)
Traficul dintre două entități este interceptat și rutat de un atacator.
Port redirec tion (Redirecționarea portului)
Este bazat pe exploatarea încrederii, atacatorul utilizează un host compromis pentru a avea
acces printr -un firewall care altfel l -ar fi blocat. Dacă un intrus este în măsură să compromită un
host din segmentul serviciilor publice, atacatorul ar putea insta la software -ul pentru a redirecționa
traficul de la hostul din exterior, direct la hostul din interior. Deși comunicarea încalcă regulile
implementate în firewall, hostul din exterior are acum conectivitate la hostul din interior, prin
procesul de redirecț ionare port pe hostul din segmentul serviciilor publice. Un instrument care poate
oferi acest tip de acces este Netcat .
Buffer Overflow
Un program scrie date dincolo de memoria tmpon alocată. Buffer overflow apare ca o
consecință a unui bug de program în C sau C++ . Un rezultat al overflow este că datele valide sunt
suprascrise sau exploatate pentru a permite executarea unui cod malițios.
Vlan Hopping
Switch spoofing
Sistemul atacatorului negociază o legătură trunk cu switch -ul (prin DTP) . Atacatorul poa te
ulterior trimite trafic în orice vlan.
Double tagging
8
Nu necesită implementarea DTP pe atacator. Dacă un atacator este conectat la un por t acces,
care este în VLAN nativ 802.1q (vlan 1, în mod implicit), el poate provoca trafic de salt VLAN prin
injec tarea de pachete dublu marcate. Switch -ul desface doar primul tag și nu va dori să ”observe” al
doilea tag. Atunci când este transmis unui alt switch printr -un trunk 802.1q, nu i se aplică nici un
tag de VLAN, deoarece aparține unui VLAN care este VLAN nat iv pentru trunk. Celălalt switch,
vede eticheta VLAN rămasă (al doilea tag aplicat de atacator) și va transmite pachetul pe VLAN -ul
specificat în tag.
Atacuri STP
Protocolul STP nu folosește autentificarea, ceea ce îl face vulnerabil. Un atac STP parcur ge
de obicei următorii pași:
Atacatorul se conectează la rețeaua de switch -uri(prin Shitch2p). Trimite frame BPDU
(Bridge Protocol Data Units) cu BID mic, devine root bridge.
Figura 2.1
Traficul între host A și host B trece prin switch 1 . Switch 2 es te folosit de atacator (Linux
sau Yersinia). Switch 2 e conectat la rețea și anunță BPDU -uri cu BID=1 (prioritate 0), acesta
devine root bridge. Traficul între hosturile A și B trece acum prin switch 2. Atacatorul poate porni o
captură de trafic pe switch 2 pentru a analiza comunicația între A și B.
Soluții pentru protejarea STP: RootGuard, BPDU Guard sau BPDU Filter.
Atenuarea atacurilor acces
Atacurile acces, în general, pot fi detectate prin verificarea: logurilor, utilizării lățimii de
bandă și proces elor încărcate. Prin verificarea logurilor, administratorii de rețea pot determina dacă
au avut loc un număr neobișnuit de încercări de autentificare eșuate. Pachete software, cum ar fi
ManageEngine Analyzer EventLog sau Cisco Secure Acces Control Server ( CSACS ) mențin
informațiile privind încercările nereușite de login la dispozitivele din rețea. Echipamentele de rețea
și dispozitivele firewall pot fi configurate pentru a preveni încercările de conectare pentru un timp
dat, dintr -o anumită sursă și după o serie de eșecuri.
Atacurile man in the middle pot fi indicate de aplicați ile de monitorizare a rețelei prin
activitate neobișnuită în rețea și utilizare mai mare a lățimii de bandă.
Un atac acces într -un sistem compromis este probabil dezvăluit de activita tea lentă din cauza
atacurilor buffer overflow în curs de desfășurare.
I.4.3 Atacurile DoS
9
DoS este un atac de rețea care duce întrerupere a serviciului pentru utlizatori, dispozitive sau
aplicații. Mai multe mecanisme pot genera un atac DoS. Atacul DoS saturează rețeaua, astfel ca
traficul utilizatorului valid nu poate trece. Atacul DoS poate fi: un pachet infestat, care prelucrat de
hostul destinație, provoacă funcționarea defectuoasă a acestuia sau un flux de pachete valide, care
consumă resursele hos tului destinație.
Atacuri DDoS (Distributed Denial of Service)
Constă în trimiterea cererilor de la mai multe sisteme către o singură țintă. Atacurile
DoS/DDoS sunt dificil de identificat, nu se poate determina mereu care sunt cereri valide și care
reprez intă un atac.
I.4.3.1 Tipuri de atac DoS
Ping of Death (PoD)
PoD poate paraliza o rețea, speculând o deficiență din standardul TCP/IP . Dimensiunea
maximă a unui pachet este 65.535 bytes, dacă s -ar trimite un pachet mai mare, hostul care îl
primește se v a prăbuși în cele din urmă datorită confuziei. Trimiterea unui ping de această
dimensiune este împotriva regulilor din standardul TCP/IP, dar hackerii pot ocoli acest lucru prin
trimiterea pachetelor în fragmente. Când fragmentele sunt ansamblate pe hostul destinație,
dimensiunea pachetului este prea mare , acest lucru va provoca buffer overflow și crashul hostului.
Figura 2.3. Atac P ing of Death
Smurf attack
Ping-uri către o adresă de broadcast cu o singură sursă spoofed . Toate hosturile din rețeua
respe ctivă vor răspunde către sursă , dacă rețeaua este mare, hostul țintă poate să primească mai mult
trafic decât poate procesa. Efectul este imposibilitatea folosiri i conexiunii a hostului atacat .
În exemplul din figura de mai jos efectul este imposibilitatea folosiri conexiunii la internet a
calculatorului cu IP -ul 30.30.30.30.
10
Figura exemplu smurf attack
TCP Syn Flood
Atacatorul inițiază un număr mare de conexiuni TCP cu un server, fără a termina
handshacke -ul inițial (conexiuni half -open). Respectivele conexiuni epuizează resursele serverului,
acesta nu mai poate procesa cererile valide.
CAM Overflow
CAM este tabela folosită de switc h-uri pentru a reține prin ce port se ajunge la o anumită
adresă MAC. Memoria unui switch nu este nelimitată, tabela CAM s e poate umple și switch -ul va
funcționa în regim de hub. Un atacator poate trimite un număr mare de cadre cu adrese MAC
spoofed. P entru a opri acest tip de atac este necesar să se limiteze numărul de adrese MAC ce pot fi
învățate pe un port.
Atenuarea a tacurilor de recunoaștere
Tehnici de atenuare a atacurilor de recunoaștere includ: implementarea unei autentificări
puternice, utilizarea criptării pentru a face inutile atacurile pachetelor sniffer, utilizarea de
instrumente anti -sniffer pentru a detecta atacurile pachet sniffer, folosirea firewall și IPS.
Atenuarea atacurilor acces
Software anti -sniffer și instrumente hardware pot detecta schimbări în timpul de răspuns al
hosturilor pentru a determina dacă acestea prelucrează mai mult trafic decât ar in dica în mod
normal. Este imposibil de a atenua Port Scan, dar folosind un sistem de prevenire a intruziunilor
(IPS) și firewall, se pot limita informațiile care pot fi descoperite cu un scanner de port. Ping sweep
poate fi oprit dacă ICMP echo și echo -reply sunt dezactivate pe routerele edge, dar procesul de
diagnosticare este îngreunat.
Atenuarea atacurilor DoS
Aceste tipuri de atacuri pot fi contracarate prin utilizarea tehnologiilor anti spoofing pe
routere și firewall -uri de perimetru. Routerele și swi tch-urile suportă o serie de tehnologii anti
spoofing, cum ar fi port security, Dynamic Host Configuration Protocol (DHCP) snooping, IP
Source Guard, Dynamic Address Resolution Protocol (ARP) Inspection și listele de control acces
(ACL). Deși Quality of Se rvice (QoS) nu este conceput ca o tehnologie de securitate, una din
aplicațiile sale, politica de trafic, poate fi utilizată pentru a utiliza pentru a limita traficul de intrare
de la orice client pe un router edge. Aceasta nu permite ca o singură sursă să poată utiliza întreaga
lățime de bandă.
11
CAPITOLUL I I
II.1 Tehnologii de criptare
În plus față de prevenirea și interzicerea traficului mali țios, securitatea rețelei impune ca
datele să ramână protejate. Criptografia este utilizată în securitatea modernă a rețelei. Criptografia
asigură confidențialitatea datelor, care este una din cele trei componente de securitate a
informațiilor: confidenția litatea, integritatea și disponibilitatea.
Criptarea asigură confidențialitatea prin ascunderea datelor plaintaixt. Integritatea datelor,
ceea ce înseamnă că datele sunt păstrate nealtereate în timpul oricărui operațiuni, se realizează prin
utilizarea me canismelor de hashing. Disponibilitatea reprezintă accesibilitatea datelor, este
garantată prin mecanisme de întărirea a rețelei și sistemelor de backup.
Criptarea este o metodă care poate fi utilizată pentru a ascunde conținutul unui mesaj de
persoanele ce nu trebuie să îl înțeleagă.
II.2 Algoritmi criptografici
Algoritmi criptografici folosiți de către IPSec pentru a autentifica și a cr ipta pachetele
utilizator sunt:
a) Algoritmi de autentificare;
b) Algoritmi de criptare;
c) Algoritmi criptografici cu chei publice.
Algoritmi de autentificare
Pentru a preveni modificarea unui mesaj, se utilizează o tehnică specifică, denumită tehnica
hash, ce p ermite construirea unui cod de identificare a datelor transmise, numit ”rezumatul datelor”.
Într-un IPSec, un număr de algoritmi hash asigură integritatea fără conexiuni și autentificarea
originii datelor. Un algoritm hash este un tip de algoritm criptogra fic ce ia un mesaj de o lungime
arbitrară la intrare și produce o lungime fixă la ieșire, valoare ce este characteristic mesajului de
intrare și nu altui mesaj.
Algoritmii criptografici hash au două caracteristici improtante:
1. Rezumatul unui mesaj se const ruiește prin aplicarea, în sens unic, a unei funcții de
transformare(funcție hash) într -o secvență de biți – de lungime mare, pentru a fi dificil de ”spart”.
Sensul unic de transformare asigură faptul că nu se pot deduce datele de intrare pe baza datelor de
ieșire.
2. Datele ce trebuie transmise sunt utilizate ca și date de intrare, obținându -se astfel o
valoare de transformare(”hash value”). Dacă datele în transit sunt modificate, la destinație se va
obține o altă valoare de transformare, ceea ce va indica falsificarea datelor.
Valoarea de trasformare este în general criptată ulterior prin utilizarea aceași chei secrete ca
și pentru criptarea datelor transmise. Astfel se formează o ”semnătură digitală” a datelor, care nu
mai pot fi modificate fără ca acest lucru să fie depistat.
Algoritmi de hash sunt: Message Diggest 5(MD5) și Secure Hash Algoritm(SHA1).
Message Diggest versiunea 5(MD5)
– generează un hash pe 128 de biți exprimat în 32 de cifre hexazecimale;
– a fost creat de prof. Ronald Rivest de la MI T in 1991;
– a fost standardizat in RFC1321;
– începand cu anul 2004 au inceput sa fie descoperite diferite vulnerabilitati in algoritm
multe ne -fatale. Se considera ca va fi inlocuit in curand de alt algoritm mai sigur;
12
Secure Hash Algoritm versiunea 1
– gener eaza un hash output pe 160 biti exprimat in 40 cifre hexazecimale;
– a fost creat si publicat de guvernul USA (NSA) in 1993;
– poate lucra cu mesaje de maximum 2^64 –1 biti ;
– la fel ca și la MD5, au fost despistate diferite vulnerabilități în algoritm dar nefiin d
majore, acesta continua a fi utilizat.
Algoritmi de criptare
Criptarea este o metodă care poate fi utilizată pentru a ascunde conținutul unui mesaj de
persoanele care nu trebuie să îl înțeleagă. Informațiile cu formă necriptată sunt cunoscute ca și tex t
simplu (plaintest) sau text curat (cleartext). Informațiile cu formă criptată sunt cunoscute ca și text
cifrat (ciphertext). Procesul de criptare schimbă un text simplu într -un text cifrat, iar procesul invers
este cunoscut ca și process de decriptare.
IPSec folosește algoritmi de criptare simetrici pentru criptarea datelor. Algoritmi simetrici
sun caracterizați de faptul că folosesc aceași cheie atât în procesul de criptare, cât și în cel de
decriptare. Pentru aplicarea lor este necesar ca înaintea cod ificării / decodificarii, atât emițătorul cât
și receptorul să posede deja cheia respectivă. În mod evident, cheia care caracterizează acești
algoritmi trebuie să fie secretă. Atunci când poarta IPSec VPN criptează datele cu o cheie, o altă
poartă va cere aceiași cheie pentru a decripta datele.
Caracteristicile principale ale algoritmilor de criptare simetrici sunt următorii:
aceiași cheie este folosită pentru a cripta sau decripta;
textul cifrat este compact;
algoritmii de criptare simetrici sunt rapizi;
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impugn un schimb de chei
private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este necesar
un canal cu transmisie protejată pentru a putea transmi se chei de criptare / decriptare.
Algoritmi de cripare simetrici sunt: Data Encryption Standard (DES) și Advanced
Encryption Standard (AES).
DES – criptează/decriptează blocuri de text simplu / cifrat pe 64 de biți în același timp și
folosește o cheie d e 64 de biți, 8 bițt ai cheii sunt folosiți pentru paritate, lungimea efectivă a cheii
este de 56 biți.
Triple DES (3DES) – este o derivație a algoritmului DES ce folosește diferite chei să
cripteze, apoi să decripteze, iar în final criptează fiecare bloc simplu. 3DES are o lungime efectivă a
cheii de 168 biți (3*56 biți).
AES – criptează / decriptează blocuri text simplu / cifrat pe 128 de biți și pot folosi chei de
lungime de 128 biți, 192 biți sau 256 biți.
Algoritm criptografic cu chei publice
Algoritm ii criptografici cu cheie publică, sunt caracterizați prin faptul că criptarea și
decriptarea folosesc chei diferite. Această caracteristică a dat algoritmilor cu cheie publică și
numele de algoritmi asimetrici. În acest caz, o cheie poate fi publică (în g eneral cunoscută – poate fi
distribuită oricui) iar cealaltă va trebui să fie privată(secretă), cunoscută doar de cel care o folosește.
Fiecare din aceste chei poate cripta mesajul, dar mesajul criptat cu o anumită cheie nu poate fi
decriptat decât cu chei a sa pereche.
Cheile algoritmilor asimetrici sunt obținuți pe baza unei formule matematice din algebra
numerelor mari, pentru numere prime între ele, iar valoarea unei chei nu poate di dedusă valoarea
cheii asociate.
13
Cei mai populari algoritmi cu chei pu blice sunt: Diffie -Hellman; Rivest, Shamir and
Addlemen (RSA); the Digital Signature Algorithm(DSA) și ElGamal.
Utilizarea unor astfel de algoritmi de criptare a datelor asigură transmisii confidențiale de
date în rețele neprotejate, rezolvând problema int erceptării. Riscul de interceptare / modificare nu
dispare cu totul, din cauză că orice mesaj criptat poate fi în general decriptat fără a deține cheia
corespunzătoare, dacă se dispune de suficiente resurse materiale și de timp.
Dimensiuni variate ale chei i asigură diferite grade de confidențialitate iar perioada de timp
necesară pentru decriptare poate fi influențată în funcție de mărimea cheii utilizate. Totuși, dacă
procentul de decriptare este lent, este posibil ca în momentul în care s -ar obține datele dorite,
acestea să nu mai fie utile sau actuale.
Timpul de decriptare depinde în mod natural și de puterea procesoarelor utilizate în acest
scop, astfel încât utilizarea distribuită a unui număr foarte mare de procesoare poate duce la o
micșorare consider abilă a timpului necesar. Din acest motiv, pentru transmisii de date în care este
necesară o confidențialitate strictă se utilizează chei de dimensiuni mult mai mari, chiar pentru
algoritmul DES (de 256, 512, 1024 și 2048 sau 4096 de biți), știind faptul c ă timpul necesar
decriptării crește exponential cu dimensiunea cheii de criptare / decriptare.
Pentru utilizatorii obișnuiți ai Internet -ului, cei mai convenabili algoritmi de criptare sunt cei
cu cheie publică fiindcă folosirea lor nu implică schimbul pre liminar de chei pe canale de transmisie
protejată, ca în cazul algoritmilor cu cheie secretă. Cheia publică poate fi distribuită fără restricții pe
Intranet (rețea locală) sau Internet, iar mesajele criptate cu această cheie de un emițător vor putea fi
decriptate numai utilizând cheia private, care este deținută exclusiv de către destinatar. Astfel, nici
măcar expeditorul nu ar putea realiza decriptarea mesajului trimis.
CAPITOLUL III
Securitatea LAN la nivelu l Rețea (Layer 3 )
Vulnerabilitățile rețelelor se manifestă pe toate nivelele OSI, fiind necesară adoptarea unor
măsuri de securitate adecvate fiecărui nivel și fiecărui model de rețea în parte.
Un router este un dispozitiv hardware care conectează două s au mai multe rețele de
calculatoare. Routerul operează la nivelul 3 al modelului OSI (nivelul rețea). El folosește deci
adresele IP (de rețea) ale pachetelor aflate în tranzit (care trec prin router), pentru a decide către
ce interfață de ieșire trebuie să trimită pachetul respectiv. Decizia este luată comparând adresa
calculatorului destinație cu intrările din tabela de rutare. Aceasta poate conține atât intrări statice
(introduse de administrator) cât și intrări dinamice, aflate de la routerele vecine pri n intermediul
unor protocoale de rutare.
Software -ul folosit de routerele CISCO se numeste CISCO IOS (Internetwork Operating
System), având, ca și routerele, numeroase versiuni diferențiate prin unele proprietăți. Aceste
IOS-uri se se încarcă în memoria v olatilă a routerelor de fiecare dată când acestea sunt pornite.
Ele se află arhivate pe memoria Flash disponibilă routerului.
Configurarea unui router Cisco – comenzi de bază
Routerele CISCO pot fi configurate în două feluri, folosind două interfețe dife rite cu
utilizatorul: prin linia de comandă (CLI – Command Line Interface), sau în modul grafic (GUI –
Graphical User Interface). Deși configurarea prin GUI este mai simplă, majoritatea celor care
efectuază aplicații practice pe routerele Cisco folosește C LI, deoarece această modalitate oferă o
gamă mult mai mare de opțiuni de configurare și permite un mod de lucru mult mai meticulos. În
cazul de față vom folosi CLI, singura opțiune valabilă prin intermediul simulatorului GNS -3.
După pornirea routerului, ac esta efectuează un set de teste numit POST (Power -On Self
Test) prin care verifică din punct de vedere electronic starea fiecărui bloc component. După
POST, se încarcă sistemul de operare (IOS -ul) în memoria RAM, apoi începe un ”dialog” cu
utilizatorul. În simulator, aceste teste sunt inițiate odată cu lansarea comenzii de Console.
14
3.1.3 Închiderea interfețelor și a serviciilor de rețea neutilizate de pe un router
Routere rulează mai multe servicii care creează potențiale vulnerabilități pentru o rețea.
Pentru a asigura o rețea, trebuie să dezactivați toate serviciile și interfețele de pe un ruter care nu
sunt necesare.
Servicii și interfețe de pe un router CISCO care nu sunt necesare:
• Interfețe de ruter: Accesul la interfețele de ruter neutilizat e ar trebui limitat prin închiderea
acestora;
• Serverul BOOTP : Acesta este un serviciu implicit activat. Acest serviciu permite unui
router de a acționa ca un server BOOTP pentru alte rutere. Acest serviciu ar trebui dezactivat pentru
că este rareori ne cesar;
• Cisco Discovery Protocol (CDP): Acest serviciu este activat în mod implicit. CDP obține
adresele de protocol al dispozitivelor învecinate Cisco și descoperă platformele acestora. CDP, de
asemenea, oferă informații despre interfețele pe care ruter ul le folosește. Dacă nu este necesar,
dezactivarea acestui serviciu la nivel global sau pe o interfață este recomandat;
• Configuration auto -loading: Acest serviciu este dezactivat în mod implicit. Autoîncărcarea
de fișiere de configurare de la un server de rețea ar trebui să rămână dezactivata atunci când nu este
utilizata de către router;
• Serverul FTP: Acest serviciu este dezactivat în mod implicit. Server FTP vă permite să
utilizați routerul ca un server FTP pentru clienti FTP. Deoarece acest server permite accesul la
anumite fișiere din memoria Flash a router -ului, acest serviciu ar trebui să fie dezactivat atunci când
nu este necesar;
• Serverul TFTP: Acest serviciu este dezactivat în mod implicit. Server TFTP vă permite să
utilizați router -ul ca un server TFTP pentru clienții TFTP. Acest serviciu ar trebui să fie dezactivat
atunci când nu este folosit, deoarece serverul permite accesul la anumite fișiere în memoria Flash
router;
• Serviciul Network Time Protocol (NTP): Acest serviciu este dezacti vat în mod implicit.
Când este activat, Router -ul acționează ca un server de timp pentru alte dispozitive de rețea. Dacă
nu este bine securizat, NTP pot fi folosit pentru a compromite ceasul de pe alte routere sau
dispozitive care învață timpul de la acest a. Ora corectă este esențială pentru serviciile de criptare
IPsec, log -uri pentru routere sau alerte de securitate. Dacă acest serviciu este activ,ar trebui să
restricționeze accesul asupra lui. Atunci când nu este necesar, dezactivarea lui este recomand ata;
• Serviciul de asamblare si dezasamblare a pachetelor (Packet Assembler and Disassembler –
PAD): Acest serviciu este activat în mod implicit. Serviciu PAD permite accesul la comenzile X.25
PAD cand sunt expediate pachete X.25. Acest serviciu ar trebui să fie dezactivat atunci când nu este
utilizat;
• Serviciile minore TCP si UDP: Serviciile minore sunt furnizate de servere mici
(daemon) care rulează pe ruter. Serviciile pot fi utile pentru diagnostic, dar sunt rar folosite.
Dezactivarea acestora este recomandata.
Servicii de administrare frecvent configurate care se recomanda a fi dezactivate:
• Simple Network Management Protocol (SNMP): Acest serviciu este activat în mod
implicit. Serviciu SNMP permite router -ului sa răspunde la cereri -SNMP. Dac ă este
• Necesar implementarea acestuia ar trebui limitat accesul si implementata versiunea 3 –
SNMPv3, deoarece versiunea 3 oferă o cale de comunicație sigura, care nu este disponibilă în
versiunile anterioare de SNMP.;
• Configurarea și monitorizarea HTT P: Setarea implicită pentru acest serviciu este
dependenta de fiecare dispozitiv Cisco. Acest serviciu permite router -ului să fie monitorizat sau sa ii
fie modificate fisierele de configurare direct de pe un browser de web prin intermediul unei
aplicații, cum ar fi SDM(CISCO Security Device Manager). Acest serviciu ar trebui dezactivat daca
15
nu este folosit. Daca acest serviciu este utilizat este recomandata restricționarea accesului cu
ajutorul ACL(Access Control List);
• Domain Name System (DNS): Acest se rviciu client este activat în mod implicit. În mod
implicit, routerele Cisco trimit cereri de nume la adresa 255.255.255.255. Restricționarea acestui
serviciu prin dezactivarea este de preferat atunci când serviciul nu este necesar. Dacă serviciul de
căuta re DNS este necesar, trebuie setata adresa serverului DNS în mod explicit.
Mecanismele de integritate a caii urmate de un pachet care sunt recomandate a fi oprite:
• Redirecționarea pachetelor ICMP: Acest serviciu este activat în mod implicit.
Redire cționarea ICMP cauzează router -ul sa trimită mesaje ICMP de redirecționare ori de câte ori
router -ul este obligat să retrimită un pachet prin aceeași interfață pe care pachetul a fost primit.
Aceste informații pot fi folosite de atacatori pentru a redirecț iona pachetelor către un dispozitiv de
străin;
• Rutarea pachetelor IP după sursa: Acest serviciu este activat în mod implicit. IP suportă
opțiuni pentru rutarea pachetelor in funcție de sursa acestora opțiuni care permit expeditorului unei
datagrame IP sa controleze ruta pe care datagrama va parcurge spre destinație finala și în general
ruta pe care un răspuns îl v -a parcurge. Aceste opțiuni pot fi exploatate de un atacator pentru a ocoli
calea normala a pachetelor și astfel politica de securitate a reț elei.
Caracteristici despre scanări si sonde recomandate a fi oprite:
• Serviciul Finger(protocolul 79): Acest serviciu este activat în mod implicit. Protocolul
permite utilizatorilor din rețea să obține o listă cu utilizatorii care folosesc în ace l moment un
anumit dispozitiv. Informațiile de pe listă includ procesele care se execută pe sistem, numele
conexiunii, timpul idle, și localizarea terminalului. Persoane neautorizate poate utiliza aceste
informații pentru atacurile de recunoaștere;
• Notificări ICMP pentru inaccesibilitate: Acest serviciu este activat în mod implicit. Acest
serviciu trimite notificări de inaccesibilitate expeditorilor de adrese IP nevalidă sau adrese IP
specifice. Aceste informații pot fi folosite pentru a formă topologi a rețelei și ar trebui să fie în mod
explicit dezactivate pentru interfețele legate de rețele nesigure;
• Răspuns la pachetele ICMP în legătură cu masca adresei: Acest serviciu este dezactivată în
mod implicit. Când este activat, acest serviciu obligă ro uterul să răspunde la cererile ICMP pentru
masca adresei IP prin trimiterea de mesaje ICMP masca răspuns care conțin masca adresei IP a
interfeței ruterului. Aceste informații pot fi folosite pentru a formă topologia rețelei și ar trebui să
fie în mod expl icit dezactivate pentru interfețele legate de rețele nesigure.
Securitatea accesului la terminale:
• Serviciul de identificare IP: Acest serviciu este activat în mod implicit. Protocolul de
identificare rapoartează identitatea unui inițiator de conexiune TCP la gazdă care primește
pachetul. Aceste date pot fi utilizate de către un atacator pentru a aduna informații despre rețea, iar
acest serviciu ar trebui să fie dezactivat;
• Serviciul TCP keepalives: Acest serviciu este dezactivată în mod imp licit. TCP keepalives
ajută curățarea conexiunilor TCP în cazul în care o gazdă s -a repornit sau s -a oprit din procesarea
traficului de pachete TCP.Serviciul TCP Keepalives ar trebui să fie activat la nivel global pentru a
gestiona conexiunile TCP și pent ru a preveni anumite atacuri DoS.
Serviciul de broadcast direct IP:Acest serviciu este folosite în atacurile comune și populare
de tip DoS Smurf și a altor atacuri conexe. Dezactivarea acestui serviciu atunci când nu este necesar
este recomandată.
16
Lăsâ nd servicii nefolosite de rețea care rulează crește posibilitatea de exploatare malițioasa a
acestor servicii. Dezactivarea sau restricționarea accesului la aceste servicii, îmbunătățește
securitatea rețelei.
3.1.4 Securizarea accesului pe routerele CIS CO
Parolele puternice, sunt principală defensivă împotriva accesului neautorizat pe un ruter.
Fiecare router are nevoie de o parolă pe plan local configurată pentru acces privilegiat pentru că pot
exista și alte indicii referitoare la securitate în fiș ierele de configurare.
Comanda „enable secret password‟ permite accesarea modului ENABLE(denumit și modul
privilegiat) pe un ruter. Această folosește o criptare hash one -way bazată pe MD5 și este
considerată de majoritatea criptografilor ireversibilă. Cu toate acestea, chiar și acest tip de criptare
este încă vulnerabile la atacuri de tipul brute force sau cu dicționare de cuvinte.
Pentru a securiza routerul, ar trebui protejat accesul prin liniile de consolă, auxiliare, și
liniile vty.
În mod implicit,p e un router Cisco porturile de consolă permite un semnal PAUZĂ (în
termen de 60 de secunde după un restart) pentru a întrerupe secvența de boot normală pentru a reda
acces complet utilizatorului liniei de consolă. Această întrerupere este folosită în scopu ri de
întreținere, cum ar fi atunci când se rulează pe router procedură de recuperare a parolei. Chiar dacă
această secvență de PAUZĂ este, în mod implicit, disponibilă cuiva care are acces fizic la consolă
routerului, este important să se stabilească o pa rolă pentru aceste lini pentru utilizatorii care ar putea
încerca să obțină acces la consolă de la distanță. Secvența de pauză poate fi dezactivată
folosindcomanda „no service password -recovery‟.
Ruterele Cisco suportă multiple sesiuni Telnet în același t imp(până la cinci sesiuni
simultane, în mod implicit, mai pot fi adăugate) În mod implicit, routerele nu au nicio parolă
configurată la nivelul liniilor vty. Dacă se activează verificarea cu parolă, trebuie configurată de
asemenea, o parolă vty înainte de a încerca a accesa routerul prin telnet.
În mod implicit, porturile auxiliareale routerelor Cisco nu necesită o parolă pentru acces
administrativ la distanță. Administratorii folosesc uneori porturile auxiliare pentru a configura de la
distanță și să mon itoriza routerele utilizând o conexiune dial -up prin modem. Accesul la aceste
porturi ar trebui securizat cu parole pntru a impiedica folosirea lor de catre utilizatorii necunoscuti.
Din motive lesne de inteles, lungimea minima a parolelor ar trebui sa fi e de cel putin 10 caractere.
Comanda „security passwords min -length lungime „ oferă acces sporit de securitate a router -ului,
permițându -vă să specificați o lungime minimă a parolei (0 -16).
Software -ul IOS Cisco oferă o serie de caracteristici pentru a se curiza ruterele împotriva
autentificărilor neautorizate prin stabilirea ratelor de eșec și a condițiilor de conectare. Se poate
configura numărul de încercări nereușite de conectare admisibile utilizând comanda „security
authentification failure rate‟ impr euna cu parametrii corespunzatori. Când numarul de autentificări
nereusite ajunge la limita maximă admisă se intamplă doua lucruri:
• se trimite un mesaj la serverul syslog;
• se instaurează o perioadă de delay de 15 secunde in care ruterul este bl ocat.
Dupa expirarea perioadei de delay utilizatorul poate sa continue sa se autentifice.
3.2 AAA(Authentication, Authorization and Accounting)
Securizarea pe echipamente CISCO este o preocupare critică din punct de vedere al
securității. De multe ori , această problemă este rezolvată folosind parole de enable și vty/console,
configurate local pe echipament. Pentru rețele cu mai multe echipamente, această abordare este greu
de gestionat. Pentru a rezolva această problemă este nevoie de o formă centraliz ată de acces
securizat la echipamente.
Serviciile de securitate de rețea ale protocolului AAA asigură cadrul primar pentru a
configura controlul accesului pe un dispozitiv de rețea. AAA este o modalitate de a controla cine are
permisiunea să acceseze o reț ea(Authentication – permite accesul bazat pe un cont de utilizator și o
17
parolă), ce poate face în timp ce este logat( Authorization – determină nivelul de acces al unui
utilizator logat) și verificarea acțiunilor pe care le efectuează în timp ce accesează r esursele
rețelei( Acconting – contabilizează serviciile pe care le accesează utilizatorii și resursele din rețea pe
care aceștia le consumă(loguri pentru fiecare utilizator))
Figura 3.2.1 Procesul de Autentificare AAA bazată pe Server [HTTP14]
AAA – sistem de securitate bazat pe Authentication, Authorization și Acconting.
Authentication – permite accesul bazat pe un cont de utilizator și o parolă.
Authorization – determină nivelul de acces al unui utilizator logat.
Acconting – contabilizează serviciile pe care le accesează utilizatorii și resursele din rețea pe
care aceștia le consumă(loguri pentru fiecare utilizator).
3.2.1 Authentication
Protocolul AAA poate fi folosit pentru autentificarea utilizatorilor cu acces la funcții
administrative sau poate f i folosit pentru autentificarea utilizatorilor pentru accesul la rețea, de la
distanță. Autentificarea poate fi configurată local folosind username și parolă sau folosind un server
RADIUS sau TACACS+ care deține o bază de date cu utilizatorii pentru toate echipamentele din
rețea. Securitatea este menținută folosind cheie partajată(shared key) care trebuie să fie aceeași pe
client și server.Trebuie specificate metodele de autentificare pe care vrem ca echipamentul să le ia
în considerare când un utilizator s e loghează pe un echipament. Se pot configura până la 4 metode
de autentificare pe echipament.
3.2.2 Authorization
După ce utilizatorii sunt autentificați cu succes pe echipament, conform metodei local sau
server, aceștia sunt apoi autorizați pentru resur sele specifice din rețea. Autorizarea este de fapt ceea
ce un utilizator poate sau nu poate face în rețea, după ce acesta s -a autentificat.
3.2.3 Accounting
Contorizează serviciile pe care le accesează utilizatorii și resursele din rețea pe care aceștia
le consumă astfel încât să poată fi folosite pentru scopuri cum ar fi cele de audit. Datele colectate ar
putea include timpii de start și stop ai conexiunii, comenzi executate, numărul de pachete sau
numărul de octeți. Contorizarea este implementată folosin d o soluție AAA bazată pe server. Acest
serviciu raportează statistici de utilizare, acestea
CBAC (Context Based Access Control)
Control accesului bazat pe context (CBAC) este o soluție disponibilă în cadrul Cisco IOS. CBAC
filtrează inteligent pache tele TCP si UDP pe baza sesiunii de informații de pe Nivelul Aplicație.
Acesta oferă filtrare dinamică la nivel Aplicație, inclusiv protocoalele care sunt specifice pentru
aplicații unice, precum și aplicații multimedia, dar și protocoale care necesită mai multe canale de
comunicare, cum ar fi FTP si H.323. CBAC poate examina, de asemenea, conexiuni acceptate
informații ce integrează NAT și PAT și efectuează schimbările necesare pentru adresă.
18
3.3.1 Filtrarea traficului
CBAC -urile pot fi configurate să p ermită returnarea traficului TCP și UDP specificat, printr –
un paravan de protecție (firewall) în cazul în care conexiunea este inițiată din interiorul rețelei. Ea
realizează acest lucru prin crearea de deschideri temporare într -un ACL care ar nega astfel d e trafic.
CBAC poate inspecta traficul pentru sesiuni care provin din ambele părți ale firewall -ului. Acestea
pot de asemenea fi folosite pentru intranet, extranet, și în cadrul rețelei de Internet. CBAC
examinează nu numai Nivelul Rețea și Nivelul Transpo rt al traficului, dar analizează, de asemenea,
și Nivelul Aplicație (cum ar fi conexiuni FTP) pentru a afla despre starea sesiunii. Acest lucru
permite suportul protocoalelor care implică mai multe canale create ca rezultat al negocierilor din
canalul de control. Cele mai multe dintre protocoalelor multi media, precum și a unor alte protocoale
(cum ar fi FTP, RPC, SQL * Net) implică mai multe canale.
3.3.2 Controlul Traficului
Deoarece CBAC inspectează pachetele la Nivelul Aplicație și menține informația sesiunilor
TCP și UDP, poate detecta și a preve ni anumite tipuri de atacuri de rețea, cum ar fi SYN -flood. Un
atac SYN -flood apare atunci când un atacator de rețea „inundă” un server cu un număr mare de
cereri de conectare dar nu efectuează conexiunea până la capăt. Volumul conexiunilor pe -jumătate
deschise copleșește server -ul, determinând -ul să nege serviciul de cereri valabile. CBAC de
asemenea, ajută la protecția împotriva atacurilor DoS și în alte moduri. Se inspectează numere de
secvență în conexiunile de pachete TCP pentru a vedea dacă acestea se încadrează în intervalele
date și distruge orice pachete suspecte. CBAC poate fi configurat, de asemenea, să renunțe la
conexiuni pe -jumătate deschise, care necesită o prelucrare de către firewall și mențin resursele de
memorie la un nivel înalt.
3.3.3 Detecția Intruziunilor
CBAC oferă un număr limitat de detectare a intruziunii pentru a proteja împotriva atacurilor
specifice SMTP. Cu serviciul de detecție a intruziunilor, mesajele syslog sunt revizuite și
monitorizate pentru semnături de atac specif ice. Anumite tipuri de atacuri de rețea au caracteristici
sau semnături specifice. Atunci când CBAC detectează un atac bazat pe aceste caracteristici
specifice, se resetează conexiunile ofensatoare și se trimit captările către server -ul syslog.
Securiza rea accesului remote pe echipamente
Telnet – este un protocol de rețea care se folosește în Internet precum și în rețele de
calculatoare tip LAN la comunicația textuală, bidirecțională și interactivă, bazată pe realizarea unei
conexiuni virtuale cu stația de lucru destinatară. Telnet este un protocol necriptat, pachetele sunt
trimise în clar inclusiv și parolele de login.
SSH (Secure Shell Protocol) – oferă mai multe servicii de rețea (postă electronică, transfer de
fișiere, conexiuni la distanță s.a.) în mod securizat, folosind algoritmi de criptare. SSH folosește
port-ul TCP 22.
Fig SSH
19
CAPITOLUL IV
Tehnici de securitate
După momentul în care tehnicile de s ecuritate au fost implementate într-o rețea,
informațiile nu vor mai putea fi accesate sau interceptate de persoane neautorizate și se va
împiedica falsificarea informațiilor tran smise sau uti lizarea neautorizată a anumitor servicii
destinate unor categorii aparte de utilizatori ai rețelelor.
Tehnici specifice utilizate pentru implementarea securitatii unei retele:
• protecția fizică a dispozitivelor de rețea și a liniilor de transmisie la nivelul fizic;
• proceduri de blocare a accesului la nivelul rețele;
• transport securizat al datelor in spatiul p ublic prin tunele de securizare sau VPN -uri;
• aplicarea unor tehnici de criptare a datelor.
Lipsa unei politici de securitate riguroasă poate duce ca diversele mecanisme de
securitate sa poata fi aproape ineficiente intrucât nu ar corespunde strategiei si obiectivelor
pentru care a fost proiectată rețeaua.
IV.1 Firewall
Firewall este un dispozitiv configurat să filtreze, să cripteze sau să int ermedieze traficul între
diferite domenii de securitate pe baza unor reguli predefinite. Un firewall poate ține la distanță
traficul din Internet cu intenții rele, de exemplu hackerii, viermii și anumiți tipuri de viruși, înainte
ca aceștia să pună problem e sistemului. Utilizarea unui firewall este importantă în special dacă
rețeaua sau calculatorul este conectat în permanență la Internet.
dfsdfsdfdsfds
Un firewall este o aplicație sau un echipament care monitorizează și filtrează permanent
transmisiile de date realizate între un calculator sau rețea locală și Internet, în scopul implementării
unei politici de filtrare. Această politică poate însemna:
protejarea resurselor rețelei de restul utilizatoriilor din alte rețele similare, toate
interconectate printr -o rețea de arie largă sau/și Internet. Posibilii atacatori sunt indentificați,
atacurile lor asupra PC -ului sau rețelei l ocale putând fi oprite.
controlul resurselor la care au acces utilizatori din rețea.
Firewall – Stateful packet inspection
Furnizează servicii adiționale față de pachet filter, urmărește sesiunile TCP/UDP între
echipamente. Stateful inspection urmărește conexiunea care a pornit din rețeaua sigură și o
memorează în state session table. Această tabelă permite temporar traficul din rețeaua untrusted
pentru canalul de comunicații care a fost inițiat din rețeaua trusted .
Conexiunea dintr -o rețea untrusted intr-o rețea trusted sunt monitorizate, astfel în cazul unui
atac de tip Denial of Service(DoS), dacă se detectează un număr mare de sesiuni deschise pe
20
jumătate, firewall -ul poate fi configurat să închidă sesiunea și să trimită mesaje de alertă indicând
faptul că are loc un atac.
Sesiunile TCP deschise pe jumătate indică faptul că three -way handshake -ul nu a fost
terminat. Sesiunile UDP deschise pe jumătate indică faptul că nu a fost detectat trafic de întoarcere.
Un număr mare de sesiuni deschise pe jumăta te ocupă resursele echipamentelor, împiedicând
utilizatori să comunice.
Firewall – Proxy Services
Funcționează ca un middle -man pentru comunicația între echipamente. Furnizează securitate
în rețea ascuzând sursa reală a cererii, tot traficul va părea ca f iind inițiat din proxy. Serverele proxy
sunt folosite pentru a crea o copie(local cache) pentru toate cererile din exterior. Acest serviciu
îmbunătățește performanța rețelei cu lățime de bandă mică, permitând userilor să facă cereri de la
proxy, în loc să trimită la surse externe.
IV.2 IDS / IPS (Intrusion Detection/ Prevention System)
Detecț ia intruziunilor este procesul de monitoriza re a evenimentelor care au loc într -un
sistem sau o rețea de calculatoare ș i analiza lor pentru a detecta posibile inciden te cum sunt violări
sau ameniță ri iminente de violare a politicilor de securitate, a politicilor de utilizare acceptate sau a
practicilor standard de securitate. Prevenirea intruziunilor este procesul prin care se desfășoară
detecția intruziunilor și încer carea de î nlaturare a posibilelor incident e detectate. Sistemele de
detecție ș i prevenire ale intruziunilor – IDS / IPS (Intrusion Detection / Prevention Systems) au ca
scop principal identi ficarea posibilelor incidente, înregistrarea informațiilor despre ele, încercarea
de înlăturare a incidentelor și raportarea că tre administratorii de securitate. În plus, organizaț iile po t
folosi IDPS -urile ș i pentru alte scopuri: identificarea problemelor legate de politicile de s ecuritate,
documentarea amenințărilor ex istente și descurajarea userilor în a încă lca politicile de securitate.
IV.2.1 Sistem de Detectare a Intruziunilor (IDS)
Un sistem de detectare a intruziunilor ( IDS) este dispozitiv sau o aplicație software care
monitorizează activitățile legate de rețea sau de sistem pentru activități rău intenționate sau încălcări
ale politicilor și produce rapoarte la o stație de management.
Intruziunile și atacurile de rețea costă scump companiile datorită furtului de informații,
pierderi de productivitate în urma serviciilor compromise, precum și a costurile pentru remedierea
calculatoarelor compromise. Pe parcursul ultimil or ani numărul de infiltrări în sistem este în
crește re și sunt din ce în ce mai sofisticate. Doar sistemele automate de decție și pr evenire a
intruziunilor ar putea atenua atacuri complexe cu viteza necesară sau prevenirea pagubelor .
IV.2.1.1 Tipuri de I DS-uri
Sistem de detecție al intruziunilor de tip network -based
Într-un sistem de detecție al intruziunilor de tip network -based – Network -based Intrusion
Detection System(NIDS) – senzorii s unt localizați în puncte critice ale rețelei care este monitorizată,
de ce mai multe ori la marginea rețelei sau în DMZ(demilitarized zone). Senzorii captează tot
traficul din rețea și analizează conținutul fiecărui pachet căutând urme de trafic malițios.
Un NIDS reprezintă o platformă independentă care indentifică intruziunile prin examinarea
traficului din rețea. NIDS -urile pot vizualiza traficul din rețea prin conectarea lor la un hub sau la un
echipament swich configurat cu port mirroring.
Sistem de d etecție al intruziunilor de tip host -based
Într-un sistem de detecție al intruziunilor de tip host -based – Host -based Intrusion Detection
System(HIDS) – senzorul constă, de obicei, într -un agent software care monitorizează toată
21
activitatea ce se desfășoar ă pe stația pe care este instalat, incluzând aici sistemul de fișiere, kernel -ul
și chiar aplicați în unele cazuri.
Un HIDS reprezintă un agent care rulează local pe stație și care indetifică intruziunile
analizând activitățile sistemului, aplicațiile, mo dificările sistemului de fișiere și alte activități ale
stației.
Sisteme pasive și sisteme active
Într-un sistem pasi v, senzorul sistemului de detecț ie al intruziunilor (IDS) detectează o
potențială breșă de securitate, înregistrează informația și a lertează administratorul folosind o metodă
specifică(mesaje în consolă, alerte, etc.). Î ntr-un sistem reactiv, cunoscut sub denumirea de Sistem
de Prevenire al Intruziunilor – Intrusion Pr evention System (IPS), IPS -ul răspunde activităț ii
suspicioase prin terminarea conexiunii sau prin reprogramarea firewall -ului de a bloca traficul de
rețea provenind de la sursă malițioasă suspectată. Aceasta se poate întâ mpla automat sau la
comanda unui operator.
Deși ambele se referă la securitatea unei rețele, și uneor i noțiunile pot fi confundate, un IDS
diferă de un fi rewall deoarece firewall -ul urmăreș te semne ale in truziunilor pentru a le împiedica
să se întâmple. Un IDS evaluează o posibilă intruziune o dată ce a avut loc și semnalează o alertă.
Un sistem care term ină conexiunea ca metodă de raspuns este un IPS ș i poate fi privit uneori ca o
formă de firewall la niv el de aplicaț ie.
Termenul IDPS – Sistem de Detectie ș i Prev enire al intruziunilor se referă la sistem e de
securitate hibride care atât detectează intruz iunile cât și încearcă să le prevină .
IV.2.1.2 IDS-uri bazate pe anomalii și IDS -uri bazate pe semnă turi
Sistemele de detecție ale intruziunilor folosesc cel puțin una dintre cele două tehnici de
detecție: anomalii statice și/sau semnături.
IDS bazat pe anom alii statice – Un astfel de IDS stabilește o valoare inițială de
performanță bazată pe evaluări ale traficului normal din retea. După efectuarea acestui pas inițial,
IDS-ul va raporta traficul curent din rețea la valoarea inițială stabilită pentru a stabil i dacă se
încadrează în limitele normale. Dacă traficul din rețea depășește limitele normale va fi generată o
alarmă.
IDS bazat pe semnături – Un astfel de IDS examinează traficul din rețea cautând modele
de atac preconfigurate și predeterminate cunoscute sub numele de semnături. Multe atacuri astăzi
au semnături diferite. Pentru a putea face față amenințărilor o colecție de astfel de semnături
trebuie actualizată în permanență.
IV.2.1.3 Limitări ș i tehnici de evitare ale IDS -urilor
Capabilitățile unui IDS po t fi limitate de:
Zgomot – Zgomotul poate afecta în mod sever eficacitatea unui IDS. Pachete greșite,
generate de defecțiuni ale software -urilor, date DNS alterate și pachete locale care au scăpat
pot crea o rată foarte crescută de alarme false.
Prea puțin e atacuri – Nu este neobișnuit ca numărul de atacuri reale să fie mult sub rata de
alarme false. Atacurile reale pot fi atât de mult sub rata de alarme false încât sunt de obicei
ignorate de către IDS.
Actualizarea semnăturilor – Multe atacuri sunt îndrept ate către versiuni specifice de
software. Pentru a putea face față amenințărilor este nevoie de o colecție de semnături actualizată în
22
mod constant. O colecție de semnături care nu este actualizată poate lasă IDS -ul vulnerabil la
strategii noi de atac.
IV.2.1.4 Tehnici de evitare a IDS -urilor:
fragmentarea și trimiterea de pachete mici – o tehnică de bază care presupune fragmentarea
informației în mai multe pachete mai mici pentru a face imposibilă reconstruirea sesiunii la IDS
fragmente care se suprapun – tehnică c e presupune crearea de pachete cu numere ale secvenței
TCP care se suprapun încercând astfel să se exploateze faptul că sistemele de operare tratează
diferit această suprapunere: unele vor lua în considerare datele mai noi, altele datele mai vechi
violări de protocol – violări deliberate ale protocoalelor TCP sau IP în așa fel încât stația țintă să
manevreze diferit pachetele decât IDS -ul
inserarea de trafic în IDS – un atacator poate trimite pachete care să ajungă doar la IDS nu și la
stația țintă rezultân d astfel o serie de alarme false
Atacuri de tip DoS – un atacator poate evita un IDS prin efectuarea unui atac de tip DoS asupra
lui care să îi consume resursele sau care să genereze un număr foarte mare de alarme false reușind
astfel să ascundă atacul rea l
IV.2. 2 IPS – Sisteme de prevenire a intruziunilor
Un IPS este, în mod obișnuit, conceput pentru a opera complet invizibil în rețea. Produsele IPS nu
au de obicei o adresă IP din rețeaua protejată dar pot răspunde în mod direct oricărui tip de trafic
prin di verse metode (terminarea conexiunilor, renunțarea la pachete, generarea de alerte, etc.)
Deși unele IPS -uri au abilitatea de a implementa reguli de firewall aceasta este de obicei o
funcție adițională și nu una din funcțiile de bază ale produsului. Mai mu lt, tehnologia IPS oferă o
mai bună monitorizare a operațiilor unei rețele furnizând informații despre stațiile active, încercările
de autentificare eșuate, conținut necorespunzător și alte funcții ale nivelelor rețea și aplicație.
Diferențe față de IDS-uri
IPS-urile au unele avantaje față de IDS -uri. Unul dintre acestea se referă la faptul că IPS –
urile sunt proiectate să fie implementate inline astfel încât tot traficul să treacă prin ele și să poată
preveni atacurile în timp real. În plus, multe din tre soluțiile IPS au capabilitatea să decodifice
protocoalele de nivel aplicație (HTTP, FTP, SMTP) oferind astfel o mai bună monitorizare. Totuși
atunci când se dorește implementarea unui IPS de tip network -based trebuie să se ia în considerare
faptul că d acă prin respectivul segment de rețea circulă trafic criptat majoritatea produselor nu pot
să inspecteze astfel de trafic.
Un alt avantaj major ar fi faptul că unele dintre IPS -uri au posibilitatea de a corecta unele
dintre metodele de evitare ale IDS -urilor(atacuri de tip DoS, inserarea de trafic).
IV.2.2.1 Tipuri de IPS -uri
Host -based
Un Sistem de Prevenire al Intruziunilor este de tip host -based(HIPS) atunci când aplicația de
prevenire a intruziunilor se află pe adresa IP specifică sistemului protej at, de obicei o singură stație.
HIPS complementează metodele antivirus tradiționale bazate pe semnături deoarece nu necesită o
actualizare continuă pentru a putea răspunde atacurilor. Deoarece codul dăunător trebuie să
modifice sistemul sau alte componente software care se află pe mașina în cauză un HIPS va observa
aceste modificări și va încerca să prevină această acțiune sau să anunțe utilizatorul pentru
permisiune.
Dezavantajul major al unui astfel de produs constă în folosirea extensivă a resurselor st ației
pe care se află.
23
Network -based
Un Sistem de Prevenire al Intruziunilor este de tip network -based (NIPS) atunci când
aplicația / echipamentul de prevenire al intruziunilor se află la o altă adresă IP decât stația pe care o
monitorizeaza. NIPS sunt platforme hardware/software care analizează, detectează și raportează
evenimente legate de securitatea unei rețele/segment de rețea de calculatoare.
Diferențe între IPS -uri de tip host -based și network -based
HIPS -urile pot lucra atât cu date c riptate cât și cu date necriptate deoarece analiza se face
după ce datele au fost decriptate de către stație
NIPS -urile nu folosesc din memoria și procesorul stațiilor care le protejează ci dispun de
propria memorie și propriul procesor.
NIPS -urile se află în punctele critice ale rețelei și tot traficul depinde de buna lor
funcționare, fapt ce poate constitui un dezavantaj atunci când echipamentul este nefuncțional
NIPS -urile pot detecta evenimente distribuite în rețea(evenimente de prioritate joasă dar car e
afectează mai multe stații din rețea) și pot reacționa în timp ce HIPS -urile au la dispoziție doar
datele de pe mașina pe care funcționează pentru a putea lua o decizie.
VPN – Virtual Private Network
Trăim într -o lume
O rețea virtuală privată(VPN) extinde o rețea privată peste o rețea publică, de genul rețelei
Internet. Permite unui calculator sau unui dispozitiv ce este conectat la rețea să trimită și să
primească date peste rețele publice sau comune ca și cum ar fi conectat la rețeaua privată,
beneficiind în același timp de funcționalitatea, securitatea și politicile rețelei publice.
Mesajele din traficul de tip VPN pot fi trans mise prin intermediul infrastructurii unei rețele
publice de date(ex: Internet) folosind protocoalele standard, sau prin intermediul unei rețele private
a furnizorului de servicii Internet (ISP), pusă la dispoziție publicului.
Figura 2.3.3.1 Tipuri de rețele VPN [HTTP12]
Aceste tipuri de conexiuni oferă o alternativă cu cost redus, în comparație cu rețelele
dedicate de tip WAN private, oferind posibilitatea de conectare a comutatoarelor de telec omunicații
la rețeaua internă a unei companii prin cablu, xDSL, sau dial -up. Conexiunile VPN sunt ușor de
implementat peste infrastructurile publice existente, și oferă o alternativă în comparație cu rețelele
dedicate private cum ar fi cele de tip Frame Re lay sau ATM, care în general sunt mai scumpe.
Rețelele VPN sunt create de obicei între firewall -uri sau rutere, aceste rețele pot fi utilizate
și pentru a conecta o gazdă situată la distanță la o rețea prin Internet, în condițiile în care gazda
client es te configurată corespunzător.
24
Rețelele VPN oferă mai multe avantaje: prețuri redus pentru implementare / funcționare /
administrare / întreținere, securitate informațională sporită (aproape ca la rețelele private propriu –
zise, tradiționale), scalabilitate , acces simplificat și, în sfârșit, compatibilitate cu rețelele publice de
mare viteză.
Tipuri de VPN
VPN -urile sigure folosesc protocoale de tunelare criptate. Acestea sunt protocoale criptice
(codificate) care asigură confidențialitatea (blocând intruș ii), autenticitatea expeditorului și
integritatea mesajelor. Dacă sunt alese, implementate și utilizate în mod corespunzător, astfel de
tehnici pot asigura comunicații sigure chiar în cadrul unei rețele nefiabile.
Tehnologiile VPN sigure pot fi de asemene a utilizate pentru a crește securitatea în
infrastructura rețelelor.
Protocoale VPN:
IP security (IPsec) – folosit pe IPv4, și parțial obligatoriu pe IPv6.
Secure Sockets Layer / Transport Layer S ecurity (SSL/TLS) – folosit pentru întreaga rețea,
precum î n proiectul OpenVPN, ori pentru securizarea unui proxy web. A fost construită de
companii precum Aventail și Juniper care asigură accesul distant la capabilitățile VPN.
Point -to-Point Tunneling Protocol (PPTP), creat de un grup de companii, printre care și
Microsoft.
Layer 2 Tunneling Protocol (L2TP), creat prin cooperarea între Microsoft și Cisco.
Layer 2 Tunneling Protocol, v ersion 3 (L2TPv3) .
VPN -Q
Multi Path Virtual Private Network (MPVPN). MPVPN este marcă înregistrată a companiei
Ragula Systems Develo pment Company.
VPN -urile nu pot anonimiza complet conexiunile, însa pot creste intimitatea și securitatea.
Pentru a preveni dezvăluirea informatiei private, VPN -urile permit în mod uzual doar accesul
utilizatorilor autentificați și folosesc tehnici de cr iptare.
Tunelarea reprezintă transmiterea datelor în cadrul unei rețele publice astfel încât aceasta să
nu „înțeleagă” faptul că transmiterea (transportul de informații) e parte a unei rețele private. Este
realizată prin încapsularea datelor apartenente rețelei private și crearea unui protocol care să nu
permită accesul nimănui la acestea. Tunelarea permite folosirea rețelelor publice (Internet), văzute
astfel ca „rețele private” sau aproape private.
Encapsularea generică
Generic Router Encapsulation (G RE) reprezintă o metodă de dirijare a pachetelor IP care
sunt nerutabile. De asemenea se poate folosi și pentru rutarea pachetelor multicast peste rețele
incompatibile. GRE poate ruta pachete non -IP (cum ar fi AppleTalk, Internetwork Packet Exchange
sau IPX) peste rețele IP.
Liste de acces pentru ruterele Cisco
ACL – IP Access Control List
25
Securitatea are numeroase fațete și una dintre cele mai importante este capacitatea de a
controla fluxul pachetelor de date dintr -o rețea. Este esențial să controlăm fluxul pachetelor de date
dintr -o rețea. Filtrarea pachetelor reprezintă una dintre cele mai importane utilizări ale listelor de
acces Cisco.
Filtrarea pachetelor ne permite să controlăm fluxul de date din rețea în funcție de adresele IP
sursă și destinație, precum și după tipul aplicației utilizate. Ruterele servesc pentru conectarea între
un LAN al unei compani și Internet, sau între două sau mai multe rețele ale unei compani. În aceste
situații, ruterele servesc la filtrarea pachetelor, deoarce fiecare pachet care circulă între două rețele
trebuie să treacă prin ruter. Sistemul de operare inter -rețele Cisco include toate funcțiile necesare
pentru implementarea unei soluții complexe de g arantare a securități i.
Cisco folosește termenul sistem de operare inter -rețele (IOS – internetwork operating
system) pentru a desemna sistemul utilizat de ru terele Cisco. Sistemul de operare de pe ruterele
Cisco oferă multe caracteristici asemănătoare s istemelor de orerare UNIX sau Windows, dar și
facilități specializate. Controlează echipamentele hardware, memoria și interfețele sau executarea
unor sarcini de sistem cum ar fi transferul pachetelor și construirea unor informații dinamice, cum
sunt tabele le de rutare și ARP.
Una dintre cele mai importante caracteristici ale IOS este capacitatea de a filtra în mod
intelegent pachetele transferate între rețele de date. Această obțiune se bazează pe crearea și
aplicarea listelor de acces.
Listele de acces
O listă de acces este o listă orodnată de enunțuri care permit sau interzic accesul pachetelor
pe baza unui criteriu de corespondență inclus în pachet. Ordinea în care sunt create enunțurile din
lista de acces este foarte imporantă. Una din cele mai dese greșeli în ceea ce privește crearea listelor
de acces este introducerea enunțurilor într -o ordine neadecvată . La sfârșitul unei liste de acces Cisco
există întotdeauna un enunț prestabilit ”Deny All” ( interzice tot ). Un pachet al cărui acces nu este
permis în mod explicit va fi respins datorită enunțului Deny all de la sfârșitul listei. Listele de acces
Cisco sunt folosite în multe alte scopuri decât filtrarea traficului.
Listelele de acces sunt folosite pentru:
filtrarea traficului
indentificarea traficu lui
Listele de acces functionează la nivelele 2, 3 și 4 ale modelului OSI și actionează ca un
firewall de rețea.
ACL este folosit ca scop principal in filtrarea traficului, dar sunt cazuri in care trebuie să
identicam un trafic, de exemplu:
– Identificar ea traficului pentru tunnelare VPN.
– Identificarea rutelor
– Identificarea traficului pentru QoS.
– Identificarea retelei/hosturilor care pot fi translatate (NAT).
Când un packet ajunge la router, lista ACL este parcursa de sus î n jos până la prima
potrivire. Odată facută potrivirea, packet -ul este permis sau dropat. Regulile noi sunt puse la finalul
liste de acces, dar î nainte “deny all” implicit. Când filtram un trafic, lista de acces este aplicată pe o
interfață ( sau virtual terminal).
Pe o interfață listele de acces sunt aplicate:
– inboud – packet -ul este receptionat pe interfata / inainte de a fi rutat
– outboud – packet -ul este transmis pe interfață / după ce a fost rutat.
O singură lista de control este permisă per interfață, protocol sau direcț ie.
26
Este indicat ca cele mai frecvente reguli să fie plasate la inceputul listei pentru a optimiza
utilizarea procesorului.
Există două categori de liste de acces :
– numerotate – Listele numerotate sunt împărțite în intervale, fiecare dedicat pentru un
protocol specific.
– numite – Acest tip de liste permite mai multă flexibilitate. Există două tipuri de liste de
acces numite: standard și extended .
Listele de acces IP folosesc wildcard masks (opusul la subnet mask ) pentru a determina
două lucruri:
1. Partea din adresa ip care trebuie să se potrivească exact – bit 0.
2. Partea din adresa ip care poate să potrivească orice număr – bit 1.
Listele de acces Standard
Acest tip de liste se bazează pe rețeaua sau hostul sursă și trebuie plasate cât mai aproap e de
rețeaua destinație.
dasda
Exemplu: restricționare access din rețea 17 2.18.1.1 /16 la rețea 172.16.1.0:
• Creare lista de access standard
Router(confi g)# access -list 10 deny 172.18.1.1 0.0.255.255
Router(config)# access -list 10 permit any
• Configu rare pe interfață
Router(config)# int s0
Router(config -if)# ip access -group 10 in
• Verificare liste acces
Router# show ip access -list
Router# show ip interface
Router# show running -config
Listele de acces Extinse
Listele de acces extended se bazează pe adresa IP sursă, adresa IP destinație, portul
TCP/UDP sursă și portul TCP/UDP destinație. Acest tip de liste trebuie să fie plasat cât mai aproape
de rețeaua sursă.
ewqweqw
Exemplu : Restricț ionare access din rețea 172.18.1.1 /16 la serverul 172.16.10 .10, exceptând
traficul HTTP:
• Creare lista de access extended
27
Router(config)# acc ess-list 101 permit tcp 172.18.1.1 0.0.255.255 host 172.16.10.10 eq 80
Router(config)# access -list 101 deny ip 172.18.1.1 0.0.255.255 172.16.10.10 0.0.0.0
Router(config)# a ccess -list 101 permit ip any any
• Configurare pe interfață
Router(config)# int e0
Router(config -if)# ip access -group 101 in
NAT – Translatarea adreselor de rețea
Nu exista destule adresa IPv4 publice pentru a asigna o adresa unică pentru fiecare
echip ament conectat la Internet. Retelele de regula sunt implementate folosind adrese IPv4 private (
RFC 1918). Adresele private nu pot fi rutate peste Internet, aceste adrese nu identifică o organizatie
sau o companie.
Pentru a permite echipamentelor cu adres e IPv4 private ca sa acceseze echipamente și
resurse din exteriorul retelei locale, adresele private trebuie să fie translatate în adrese publice.
Spațiul de adrese IPv4
O singura adresa IPv4 publica poate partaja sute, chiar mii de echipamente, fiecare d intre ele
configurate cu adresa IPv4 privata unica.
Translatarea adreselor de rețea
Fără NAT, spatiul de adrese IPv4 ar fi fost epuizat demult (inainte de 2000), cu un numar de
maximum 4.3 miliarde (teoretic).
Soluția care poate fi aplicată la epuizare a spațiului de adrese IPv4 și limitările aduse de
translatarea adreselor este o eventuală tranziție la IPv6.
Terminologie
NAT are mai multe utiliză ri, dar folosirea sa principala este conservarea adreselor IPv4
publice. NAT a adus un mare avantaj adăugând confidențialitate și securitatea rețelei prin
ascunderea retețelei interne de la retele externe. Un router de border care are activat NAT poate fi
configurat cu una/mai multe adresa IPv4 publice. Aceste adrese publice sunt cunoscute ca NAT
pool. Atunci ca nd un echipament intern trimite trafic în exteriorul retelei, router -ul translateaza
adresa interna IPv4 a echipamentului într -o adresă publică din NAT pool. Pentru echipamentele din
extern, tot traficul care intră și iese din rețea apare cu adresele publi ce IPv4 furnizate în pool -ul de
adrese. De regula, routerul pentru NAT operează la granita cu o rețea stub.
Atunci cand un echipament dintr -o rețea stub comunică cu echipamente din extern,
pachetele sunt forwardate la router care efectuază procesul NAT, t ranslatând adresele private
interne la adrese publice, adrese rutabile.
28
Atunci cand folosim NAT, adresele IPv4 au mai multe semnificații, în funcție de rețeaua din
care fac parte (rețea privată / rețea publică [internet]) sau în funcție de trafic (intrare / ieșire ). NAT
introduce 4 tipuri de adrese:
– Inside local address
– Inside global address
– Outside local address
– Outside global address
Terminolagia NAT se aplică din perspectiva echipamentului cu adresele translatate:
Terminolagia NAT se aplică din perspectiva echipamentului cu adresele translatate:
– Inside address – adresa echipametului care este translatată de NAT
– Outside address – adresa echipamentului destinație. Deasemenea, NAT -ul introduce
conceptul de adrese locale și globale:
– Local a ddress – orice adresă ce apare în partea internă a rețelei.
– Global address – orice adresă ce apare în partea externă a rețelei. Routerul care face NAT
se mai numește și punct de delimitare între rețeaua internă și cea externă, precum și între adresele
locale și cele globale.
Tipuri de NAT:
1. Static address translation (static NAT) – mapare adrese unu la unu intre adresele locale și
cele globale. Aceste mapari sunt configurate de administratorul de rețea și rămân constante. Este
util pentru servere sau e chipamente care trebuie să aibă adrese consistente care sunt accesibile din
extern (Internet). Dezavantaj: necesită adrese publice disponibile pentru a satisface sesiuni
simultane .
2. Dynamic address translation (dynamic NAT) – mapare mai multe la mai mu lte adrese
intre adresele locale și cele globale. Utilizează un pool de adrese publice și asignează acestea dupa
regula primul venit -primul servit. Are acelasi dezavantaj ca si static NAT: necesită adrese publice
disponibile pentru a satisface sesiuni simu ltane .
3. Port address translation (PAT) – mapare mai multe adrese locale la o adresă globală.
Această metode mai este cunoscută ca supraîncărcare (NAT – overloading ). PAT încearcă să
rezerve portul sursă original. În cazul în care portul nu mai este di sponibil pe echipamentul care
face PAT, acesta va asigna port disponibil pornind de la inceputul fiecarui grup de porturi
corespunzător portului sursă original (0 -511, 512 -1023, 1024 -65535). Atunci cand sunt utilizate
toate porturile și mai există adrese I P externe în pool -ul de adrese atunci se trece la urmatoarea
adresă IP din pool și se încearcă rezervarea portului sursă original dacă este posibil. Procesul
continuă până când nu mai există porturi/adrese IP -uri externe în pool -ul de adrese.
Avantajele N AT:
– NAT conservă adresele IP publice permițând privatizarea intranetului (NAT overload).
– NAT crește flexibilitatea conexiunii la retea publică (Se pot implementa mai mult pool -uri de
adrese, inclusiv pool de backup sau pool pentru load balancing).
– Consistența schemelor de adresare interne. (Nu trebuie schimbat planul de adresare local daca se
schimbă adresa publică).
– NAT furnizează securitate în rețea. ( Rețelele private nu anunță adresarea sau topologia internă.
Atenție! NAT nu înlocuiește un firew all!)
Dezavantaje NAT :
– Faptul că echipamentul din extern apare că ar comunica cu echipamentul care face NAT.
29
– NAT are un impact negativ asupra performanței rețelei, în special pentru protocoale în timp real
cum ar fi VoIP.
– NAT aduce o întârziere de switching deoarece translatarea fiecarei adrese IPv4 din pachetul IP
necesită timp.
– Primul pachet este procesat, echipamentul trebuie să modifice câmpurile din antet și să recalculeze
sume de control. Pachetele râmase trec prin fast -switching dacă există intrare de cache, altfel sunt
întârziate și acestea.
– Adresarea end -to-end este pierdută (Unele aplicații nu funcționează cu NAT, unele având
posibilitatea de a fi rezolvate prin NAT static sau folosind înaintarea IP [IP Forwarind]).
– Trasabilitatea nu poate fi realizată.
– Complicarea protocoalelor de tunelare (IPsec), NAT modifică valoarea din header => nu se mai
poate asigura integritatea datelor.
Protocoale de nivel 2 OSI
Protocoalele de tunelare de nivel 2 corespund nivelului legătură de date, și folosesc
cadre ca unitate de schimb. Ele încapsulează încărcătura într -un cadru PPP pentru a fi
transmis peste inter – rețea. Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel
este asemănăt or cu o sesiune; ambele capete ale tunelului trebuie să cadă de acord asupra
tunelului și să negocieze variabilele de configurare, cum ar fi atribuirea adreselor, criptarea,
comprimarea. În cele mai multe cazuri, datele transferate prin tunel sunt trimise folosind un
protocol bazat pe datagrame. Pentru gestionarea tunelului se folosește un protocol de
menținere a tunelului. Pentru protocoalele de nivel 2, un tunel trebuie creat, menținut și
distrus.
Layer 2 forwarding este un protocol de tip forwarding, fo losit pentru tunelarea
protocoalelor de nivel înalt într -un protocol de nivel 2. Un exemplu este folosirea ca
protocoale L2: HDLC, HDLC asincron sau cadre SLIP. Deși această soluție facilitează
conectivitatea pe linii de acces în rețele cu comutație de cir cuite, informația din fluxul L2F nu
este criptată. Acest protocol a fost creat de Cisco. Combinat cu PPTP, constituie componentă
a L2TP.
Point to point tunneling protocol, reprezintă o extensie a Point -to-Point Protocol
(PPP), care încapsulează datele, IPX sau NetBEUT în pachetele IP. Acest protocol este folosit
în mod fundamental de echipamentele ISP, deoarece duce la un numitor comun participanții
la sesiuni de comunicații. Este cea mai cunoscută dintre opțiunile pentru securitatea
transferului de date în rețeaua VPN. Dezvoltat de Microsoft și inclus în Windows NT v 4.0
pentru a fi folosit cu serviciul de rutare și acces de la distanță. Acesta permite traficului IP,
IPX și NetBEUI să fie criptat și încapsulat într -un antet IP pentru a fi transmis peste o i nterrețea
IP de corporație sau publică (Internet).
PPTP suportă criptare pe 128 de biți și 40 de biți și poate folosi orice schemă de
autentificare suportată de PPP. Ca și L2F, PPTP permite tunneling -ul unor cadre PPP de la
clientul îndepărtat între un NAS și un VPN gateway/concentrator.
Layer 2 Tunneling Protocol, este o combinație dintre un protocol al firmei Cisco
Systems (L2F) și cel al firmei Microsoft denumit Point -to-Point Tunneling Protocol (PPTP).
Un tunel L2TP este creat incapsuland un cadru L2TP in interiorul unui pachet UDP, cel din
urma fiind incapsulat in interiorul unui pachet IP a carui adrese sursa si destinatie definesc
capetele tunelului.
Fiind conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX și
AppleTalk, acest L2 TP poate fi rulat pe orice tip de rețea WAN, inclusiv ATM, X.25 sau
SONET. Cea mai importantă trăsătură a L2TP este folosirea protocolului Point -to-Point,
inclus de Microsoft ca o componentă a sistemelor de operare Windows 95, Windows 98 și
Windows NT. Ast fel că orice client PC care rulează Windows este echipat implicit cu o
funcție de tunneling, iar Microsoft furnizează și o schemă de criptare denumită Point -to-Point
Encryption. În afara capacității de creare a unei VPN, protocolul L2TP poate realiza mai
30
multe tunele simultan, pornind de la același client.
Următorul tabel (tabel 3.1) ne oferă o comparație intre cele mai predominante
protocoale de tunelare cu acces la distanță (remote acces), L2TP, PPTP și L2F:
Protocoale de nivel 3 OSI
Protocoalele de nive l 3 corespund nivelului rețea, folosesc pachete IP și sunt exemple
de protocoale care încapsulează pachete IP într -un antet IP adițional înainte de a le transmite
peste o inter -rețea IP. Tehnologiile de tunelare pe nivel 3 pleacă de la premiza că toate
chestiunile de configurare au fost efectuate, de multe ori manual. Pentru aceste protocoale,
poate să nu existe faza de menținere a tunelului. Tunelul odată stabilit, datele tunelate pot fi
trimise. Clientul sau serverul de tunel folosește un protocol de tran sfer de date de tunel pentru
a pregăti datele pentru transfer. De exemplu, când clientul de tunel trimite informația utilă
către serverul de tunel, clientul de tunel adaugă un antet de protocol de transfer de date de
tunel la informația utilă. Apoi clientu l trimite informația încapsulată rezultată prin inter -rețea,
care o dirijează către serverul de tunel. Serverul de tunel acceptă pachetul, elimină antetul de
protocol de transfer de date și transmite informația utilă la rețeaua țintă. Informația trimisă
între serverul de tunel și client se comportă similar.
Generic Routing Encapsulation este un protocol de tunelare dezvoltat de Cisco care
poate încapsula o mare varietate de tipuri de pachete ale protocoalelor de rețea în interiorul
tunelelor IP, creând o le gătură virtuală punct la punct, între routere aflate la distanță, peste o
rețea IP.
Pentru rutarea cu adrese private, se încapsulează pachetele IP transmise în Internet cu
antete suplimentare prin așa -numitul mecanism GRE, descris în RFC 1701. Pachetului i nițial
49
(payload packet /original packet) i se adaugă un antet GRE (GRE Header) și un antet de
expediere privind modul de transfer specificat conform protocolului de rețea (delivery
header).
În antetul GRE se specifică ruta pe care se va trimite forțat p achetul la destinație, fără
a se lua alte decizii de rutare în routerele intermediare.
GRE asigură transparența adreselor intermediare și securitatea transmisiei, prin
realizarea unui așanumit "tunel de transmisie" (tunnelling) .
Uzual este cazul încapsulă rii pachetelor IP pentru transmisii cu IP (IP over IP)
conform RFC 1702, standard definit pentru GRE. Adresele IP private pot fi utilizate în
încapsularea GRE astfel încât cadrul să fie interpretat ca fiind încapsulat GRE și routerele 'de
la distanță' să e xtragă adresa de destinație privată din pachetul original.
Tunelarea are implicații importante pentru VPN -uri. Astfel se pot transmite pachete
care utilizează adrese IP private în interiorul unui pachet care utilizează adrese IP reale, în
acest fel se poat e extinde rețeaua privată prin Internet. Dar se poate transmite și un pachet care
nu este suportat de protocolul Internet (precum NetBeui) în interiorul unui pachet IP iar acesta
poate fi apoi transmis cu ușurință prin Internet.
Deși VPN -urile construite p este Internet folosind GRE sunt posibile, sunt foart rar
folosite de companii datorită riscurilor și lipsei de mecanisme de securitate.
Internet Protocol Security sau IPSec, este o suită de protocoale care asigură
securitatea unei rețele virtuale private p rin Internet.
Orice persoana care folosește VPN este preocupata de securizarea datelor când
traversează o rețea publică. Totodată, dezvoltarea VPN -urilor pe baza rețelei publice Internet
poate însemna reducerea costurilor semnificativ de mult comparativ cu liniile închiriate.
Serviciile IPSec permit autentificare, integritate, controlul accesului și confidențialitare. Cu
IPSec, schimbul de informații între locațiile la distanță poate fi criptat și verificat. Cu IPsec
pot fi dezvoltate soluții atât la distan ță, cât și site -to-site.
IPSec este poate cel mai autorizat protocol pentru păstrarea confidențialității și
autenticității pachetelor trimise prin IP. Protocolul funcționează cu o largă varietate de scheme
de criptare standard și negocieri ale proceselor, ca și pentru diverse sisteme de securitate,
incluzând semnături digitale, certificate digitale, chei publice sau autorizații. Încapsulând
31
pachetul original de date într – destinație. Deoarece nu există modalități de autentificare sau
criptare licențiate, IP Sec se detașează de celelalte protocoale prin interoperabilitate. El va
lucra cu majoritatea sistemelor și standardelor, chiar și în paralel cu alte protocoale VPN. De
exemplu, IPSec poate realiza negocierea și autentificarea criptării în timp ce o rețea v irtuală
de tip L2TP primește un pachet, inițiază tunelul și trimite pachetul încapsulat către celălalt
terminal VPN.
IPSec folosește un algoritm pentru schimbarea cheilor între părți, numit Internet Key
Exchange (IKE), care permite calculatoarelor să aleag a o cheie de sesiune în mod securizat,
folosind protocoalele ISAKMP pentru crearea de Security Associations și OAKLEY bazat pe
algoritmul Diffie -Hellman pentru schimbarea cheilor între cele două părți. IKE se poate folosi
în conjuncție cu Kerberos, certifi cate X.509v3 sau chei preshared.
Pentru a securiza comunicația în rețea cu IPSec între calculatoarele Windows se
foloseste o colecție de reguli, politici și filtre pentru a permite în mod selectiv doar
comunicația pentru anumite protocoale.
Politicile de I PSec pot fi create și aplicate cu Group Policy pentru calculatoarele din
domeniu. Pentru calculatoare care nu sunt în domeniu, de exemplu serverele bastion, politicile
pot fi aplicate cu script -uri linie de comandă.
Implementarea unei soluții VPN de comuni cație reliefează unele probleme specifice,
probleme ce apar din cauza absenței standardelor. Internet Engineering Task Force (IETF) a
stabilit un grup de lucru dedicat definirii standardelor și protocoalelor legate de securitatea
Internetului. Unul dintre cele mai importante scopuri ale acestui grup de lucru este finalizarea
standardului IPSec, care definește structura pachetelor IP și considerentele legate de
securitatea în cazul soluțiilor VPN.
In ultimi ani in cadrul IETF, grupul de lucru IPSec a înregis trat mari progrese în
adăugarea de tehnici de securitate criptografice la standardele pentru infrastructura Internet.
Arhitectura de securitate specificată pentru IP ofera servicii de securitate ce suportă
combinații de autentificare, integritate, controlu l accesului și confidențialitate.
Tunele GRE cu protecție IPSec. GRE este un protocol de tunelare dezvoltat de Cisco
care poate înmagazina o multitudine de tipuri de pachete ale protocoalelor de rețea în
interiorul tunelelor IP, creând o legătură virtuală punct la punct, între routere aflate la distanță,
peste o rețea IP.
Tunelele GRE sunt create să fie complete, fără o stare persistentă, astfel fiecare capăt
de tunel nu încapsuleaza nicio informație despre starea și disponibilitatea capătului de tunel de
la distanță. O urmare a faptului acesta este că ruter -ul din capătul de tunel nu are abilitatea de
a marca protocolul liniei interfeței tunelului GRE ca fiind inaccesibil dacă ruter -ul de la
distanță, din celălalt capăt, nu este funcțional. Posibilitatea de a exprima că interfața este
nefuncțională către celălalt capăt este eficientă pentru retragerea rutelor care o folosesc ca și
interfață de ieșire, din tabela de rutare (în special rutele statice).
De cele mai multe ori, o interfață de tunel GRE este funcț ională din momentul în care
este configurată și rămâne așa cât timp este o adresă sursă a tunelului validă. Adresa IP
destinație a tunelului trebuie să fie mereu rutabilă. Acest lucru este adevărat chiar dacă celălalt
capăt al tunelului nu a fost configura t. Astfel, o rută statică a pachetelor via interfața tunelului
GRE rămâne în vigoare chiar dacă pachetele tunelului GRE nu găsesc celălalt capăt de tunel.
Construirea unei rețele virtuale private folosind IPSec pentru conectivitatea dintre
capete are câtev a limitări:
-IPSec poate cripta/decripta doar traficul IP
-traficul IP destinat unei adrese de difuzare nu poate fi procesat de IPSec, ceea ce
înseamnă că nu poate traversa tunelul.
-de asemenea, rutarea dinamică folosind procoale ca EIGRP, OSPF, RIPv2 nu pot fi
configurate între două capete IPSec.
Aceste probleme se pot rezolva prin configurarea unui tunel GRE între cele două
noduri și aplicarea ulterioară a protecției IPSec pe acest tunel. Este în esență că GRE
incadrează orice informație utilă dintr -un pachet unicast destinat unui capăt GRE.
32
In momentul cand se utilizează GRE îmbinat cu IPSec se poate folosi atât modul tunel
cât și cel transport (modul tunel va adăuga un antet IP pachetelor GRE, în timp ce modul
transport va folosi antetul original GRE).
Teoretic, modul transport se recomanda in momentul când se utilizează combinarea
dintre IPSec și GRE pentru că deja protocolul de încapsulare GRE adaugă un antet IP nou
pachetului util. Totuși, această situație presupune existența unor adrese IP sursă și d estinație
care sunt accesibile prin calea IP dintre noduri.
Utilizarea protocolului GRE împreună cu IPSec face configurarea echipamentelor
VPN mai simplă. În situația tradițională IPSec era nevoie de o politică anume care să
specifice subrețelele protejate pentru ca traficul dintre acestea să fie criptat/decriptat și de
fiecare dată când o subrețea era adăugată trebuia să fie reînnoită structura la ambele capete. În
cazul utilizării GRE, regulile trebuie să corespundă doar traficului dintre adresele de capă t
GRE (tot ce trece prin tunelul GRE este criptat).
Unul din multiplele motive pentru care este bine sa folosesti GRE combinat cu IPSec
este faptul ca exista astfel posibilitatea de a rula protocoale dinamice între locații pentru a
anunța subrețelele prote jate. Rutarea dinamică ajută implicit și în situații de eșec a
transferului, in acest fel se pot detecta interfețele care nu mai funcționează și nu mai participă
în VPN.
Protocolul IPSec
Generalități
Securitatea unei rețele de calculatoare poate fi a fectată de mai mulți factori, cum ar fi:
dezastre sau calamități naturale, defectări ale echipamentelor, greșeli umane de operare sau
manipulare, fraude. Pentru asigurarea securității unei rețele s -au creat așa numitele servicii de
securitate care au scopu l de a asigura securitatea aplicațiilor precum și a informațiilor stocate pe
suport sau transmise prin rețea. Când este vorba despre securitatea unei rețele apar mai multe
aspecte, cum ar fi: securizarea accesului fizic și logic, securitatea serviciilor de rețea, secretizarea
informațiilor etc. De‐a lungul anilor au fost realizate mai multe metode de protecție pentru a spori
gradul de securitate. Majoritatea s‐au concentrat pe nivelurile OSI superioare pentru a compensa
lipsa de securitate a IP‐urilor. Ceea ce era cu adevărat necesar era o soluție care să asigure
securitatea la nivel IP astfel încât toate protocoalele la niveluri mai înalte în TCP / IP să poată
profita de ea. Când s‐a luat decizia de a dezvolta o noua versiune a IP (IPv6), aceasta a însemnat un
prilej unic pentru a rezolva nu doar problemele din IPv4 vechi, dar de asemenea și lipsa de
securitate. Noua tehnologie de securitate a fost dezvoltată luând în considerare un IPv6, dar
deoarece au fost necesari ani buni pentru ca IPv6 să fie realizat și introdus, iar nevoia de securitate
era presantă, soluția a fost concepută pentru a fi utilizată atât pentru IPv4 cât și pentru IPv6.
Tehnologia care aduce comunicații securizate la Protocolul de Internet este numită IP Security,
frecvent abreviată IPSe c.
IPSec este o prescurtare a lui IP Security, și constă dintr‐un număr de servicii și protocoale
care asigură securitate rețelelor IP. Este definit de o secvență de câteva standarde de Internet.
33
Figura 2.3.1 Prezentare gene rală VPN IPSec [HTTP11]
IPSec este o suită de protocoale pentru securizarea comunicațiilor peste stiva TCP/IP.
Această suită se bazează pe folosirea funcțiilor matematice și a algoritmilor de criptare și
autentificare pentru a asigura confidențialitatea, integritatea și non -repudierea informațiilor din
fiecare pachet IP transmis pe rețea. IPSec este la ora actuală una dintre cele mai folosite metode de
securizare a transmisiei pe Internet, alături de SSL (Secure Sockets Layer) și TLS (Transport Layer
Secu rity).
IPSec nu este doar un protocol, ci mai degrabă un set de servicii și protocoale care oferă o
soluție completă de securitate pentru o rețea IP. Aceste servicii și protocoale se combină pentru a
oferi diferite tipuri de protecție. Deoarece IPSec luc rează la nivelul IP, ea poate oferi aceste protecții
pentru orice aplicație sau protocol de nivel superior TCP / IP fara a fi nevoie de metode
suplimentare de securitate, ceea ce prezintă un avantaj major. Unele dintre tipurile de servicii de
protecție ofe rite de IPSec includ:
Criptare a datelor pentru confidențialitate.
Autenticitatea integrității mesajelor pentru a se asigura că nu sunt modificate pe traseu.
Protecție la anumite tipuri de atacuri, ca „reply attack1”.
Abilitatea anumitor echipamente de a negocia algoritmi de securitate și chei necesare pentru
a asigura comunicarea securizată.
Două moduri de securizare: tunelat și transport pentru a satisface diferitele necesități ale
rețelei.
Internet Protocol Security (IPsec) reprezinta un protocol d e securitate bazat pe reguli ce
protejeaza datele transmise pe nivelul de retea . IPSec permite autentificarea ș i criptarea la cerere a
comunicațiilor IP î ntre doua sisteme. Pachetele IPSec sunt semnate, verificate, criptate si decriptate
la nivelul de tran sport, fiind transparent pentru aplicaț ii. O colecție de RFC‐uri (Request for
Comments) definesc arhitectura, serviciile și protocoalele specifice utilizate în IPSec.
IPsec este un protocol de criptare ce lucrează la nivelul 3 (Rețea) al modelului OSI și asigură
transmisia criptată a datelor. Stabilirea unui VPN de tip IPSec are loc în urma negocierii între cele
două părți ale unui mod standard de comunicație în sensul de a opera cu o politică de securitate
comună, de a utiliza aceiași algoritmi de cripta re și aceași metodă de autentificare. Odată negociată
acestă politcă, se crează un tunel de comunicații între două locații, ce poate traversa mai multe
rețele intermediare nesigure și astfel utilizatorul are acces la rețea și la resursele acesteia din ceal altă
34
locație. Pentru a avea acces la rețea prin VPN via IPSec, pe fiecare sistem de la care se dorește
accesul, se instalează un ”client” VPN.
IPSec este cunoscut drept un protocol oportunist deoarece poate fi activat la cerere – pentru
unele sau toate co nexiunile – bazat pe criterii puse de administrator precum adresa IP,protocol sau
port. IPSec este mai mult decat o unealta pentru securizarea pachetelor. IPSec este recomandat in
urmatoarele cazuri :
• Filtrarea Pachetelor . IPSec asigura servicii firewa ll de baza prin determinarea carui trafic
este permis sa intre sau sa iasa dintrun sistem. Aceasta filtrare ar trebui folosita in cadrul unei
strategii de aparare in adancime.
• Securizarea traficului intre doua sisteme pe cai specifice. IPSec poate fi ut ilizat la
securizarea traficului intre calculatoare. Aceasta aparare se realizeaza prin crearea unor politici
IPSec ce includ o gama de adrese IP carora li se va aplica IPSec
. • Securizarea traficului catre servere. Se poate seta protectie IPSec pentru cl ientii ce se vor
conecta la server. IPSec permite specificarea clientilor care au acces la server. • L2TP/IPSec pentru
conexiuni VPN . IPSec poate fi folosit in combinatie cu Layer Two Tunneling Protocol (L2TP)
pentru securizarea conexiunilor VPN.
• Tunel intre Site‐uri . Se poate utiliza IPSec in mod tunel pentru a furniza interoperabilitate
cu sisteme ce nu suporta conexiune L2TP/Ipsec sau PPTP.
43243 Modurile IPSec – Modul Tunel si Modul Transport
Implementarea celor trei arhit ecturi diferite poate fi utilizată pentru a oferi facilități IPSec la
rețelele TC /IP. Alegerea pe care o punem în aplicare, precum și dacă implementăm la gazdele
finale sau routere, are impact asupra modului specific în care IPSec funcționează. Două modur i
specifice de funcționare sunt definite pentru IPSec, ce sunt legate de aceste arhitecturi, numite mod
transport și de mod tunelat. Modurile IPSec sunt strâns legate de funcția celor două protocoale de
bază, Authentication Header (AH) și Encapsulating Sec urity Payload (ESP). Ambele protocoale
oferă o protecție prin adăugarea la o datagramă a unui antet (și, eventual, alte câmpuri), care conțin
informații de securitate. Alegerea modului nu afectează metoda prin care fiecare se generează
antetul său, ci mai degrabă, modifică ce părți specifice ale datagramei IP sunt protejate și modul în
care antetele sunt aranjate pentru a realiza acest lucru, descrie modul în care AH sau ESP
funcționează. Este folosit ca bază pentru definirea altor concepte, cum ar fi asoci ațiile de Securitate
security associations (SAs).
MODUL TRANSPORT După cum sugerează și numele, în modul de transport, protocolul
protejează mesajul transmis la IP din layerul de transport. Mesajul este prelucrat de către AH / ESP
si antetul (antetele) co respunzător (corespunzătoare) se adaugă, în fața antetului transportului (UDP
sau TCP). Headerul IP este adăugat înainte prin IP. În mod normal, nivelul de transport asamblează
datele pentru transmitere și le trimite la destinatie. Din perspectiva IP‐ului, acest mesaj pe niveluri
pentru transport este sarcină utilă a datagramei IP. Când IPSec este utilizat în modul de transport,
antetul IPSec este aplicat numai la această sarcină a IP‐ului, nu la header‐ul IP. Antetele AH și / sau
ESP apar între original, a ntetul unic IP și sarcina utilă (datele ce sunt transmise) IP. Acest lucru este
ilustrat în figura de mai jos. Când IPSec operează în modul transport, este integrat în IP și folosit
pentru transportul mesajului direct la nivelul superior (TCP/UDP). După pr elucrare, datagrama are
numai un header IP care conține header‐ele AH și/sau ESP IPSec.
MODUL TUNELAT În acest mod, IPSec este folosit pentru a proteja o datagramă IP
complet încapsulată după ce header‐ul IP a fost deja aplicat la acesta. Anteturile IPSec apar în fața
headerului original IP, și apoi se adaugă un nou antet IP în fața headerului IPsec. Adică, întreaga
datagramă inițială IP este protejată și apoi încapsulată într‐o altă datagramă IP. Modul tunel al lui
IPSec este numit astfel deoarece reprezi ntă o încapsulare a unei datagrame complete IP, formând un
35
tunel virtual între echipamentele adecvate ale lui IPSec. Datagrama IP este transmisă la IPSec, unde
se creează un nou header IP cu hederele AH și/sau ESP IPSec adăugate.
COMPARAREA MODURILOR TRAN SPORT ȘI TUNEL
Modul tunel protejează datagrama originală IP ca un întreg, în timp ce modul transport nu.
Astfel, în termeni generali, ordinea antetelor este după cum urmează: o Modul transport: header IP,
headere IPSec (AH și/sau ESP), sarcina utilă IP ( inclusive headerul de transport). o Modul tunel:
Header nou IP, headere IPSec (AH și/sau ESP), header vechi IP, IP sarcina utilă. Încă odată, aceasta
este o privire de ansamblu simplificată a modului în care datagramele IPSec sunt construite,
realitatea es te cu mult mai complexă. Modul exact în care sunt aranjate header‐ele într‐o datagramă
IPSec în ambele moduri ‐ transport și tunel ‐ depinde de ce versiune de IP este utilizată; IPv6
folosește header‐e extensie care trebuie aranjate într‐un mod special atu nci când IPSec este utilizat.
Plasarea antetului depinde de asemenea de protocolul IPSec utilizat: AH sau ESP. Este, de
asemenea, posibil să se aplice atât AH cât și ESP pentru aceeași datagramă; în acest caz, header‐ul
AH apare întotdeauna înaintea header ‐ului ESP. Există deci trei variabile și opt combinații de bază
ale modului (tunel sau transport), versiunea de IP (IPv4 sau IPv6) și Protocolul (AH sau ESP). ESP
include de asemenea o “remorcă” ESP, care pleacă cu datele protejate. Se poate spune în ce fe l cele
două moduri sunt legate de alegerea arhitecturii IPSec de la subiectul precedent. Modul transport
impune ca IPSec să fie integrat în IP, pentru că AH / ESP trebuie să fie aplicate. Aceasta este adesea
alegerea pentru implementări care necesită secur itate end‐to‐end cu gazde care rulează direct IPSec.
Modul tunel reprezintă o încapsulare IP cu combinația de IP + IPsec. Astfel, aceasta corespunde cu
implementarea BITS și BITW, unde IPSec se aplică după ce IP a procesat mesajele nivelului
superior și a adăugat deja antetul său. Modul tunel este o alegere obișnuită pentru implementarea
VPN, care se bazează pe tunelarea datagramelor IP prin intermediul unei rețele nesecurizate, cum ar
fi Internetul. IPSec are două moduri de bază de operare. În modul transp ort, header‐ele IPSec AHși
/sau ESP sunt adăugate când datagrama originală IP este creată; acest mod este asociat cu
arhitecturile integrate IPSec. În modul tunel, datagrama originală IP este creată normal, apoi
întreaga datagramă is încapsulată într‐o nou ă datagramă IP conținând header‐ele AH/ESP IPSec.
Acest mod este de obicei folosit la implementările “Bump In The Stack” și “Bump In The Wire”.
2.3.vvvcc Prorocoale de securitate: AH și ESP
Cele două piese principale sunt o pereche de tehnologii numite un eori protocoalele de bază
ale IPsec. Acestea sunt cele care de fapt realizează codarea de informații pentru a asigura
securitatea. Acestea sunt:
– IPSec Authentication Header (AH): Acest protocol asigură serviciile de autentificare
pentru IPSec; ceea ce înseamnă că emitentul mesajului ‐ se presupune ca a inițiatorul mesajului este
și cel care îl transmite. De asemenea asigura și integritatea mesajului transmis și protecția împotriva
atacurilor „reply”, unde mesajul este capturat de cineva neautorizat și retransmis.
– Encapsulating Security Payload (ESP): Header‐ul de autentificare asigură integritatea
datelor nu și confidențialitatea lor. Aceasta (confidențialitatea) se asigură utilizând protocolul ESP
care criptează informațiile din pachetul IP.
IPSec constă dintr‐un număr de componente diferite care conlucrează pentru a asigura
servicii de securitate. Principalele două sunt protocoalele numite Authentication Header (AH) și
Encapsulating Security Payload (ESP), care asigură autenticitatea și confiden țialitatea datelor IP sub
formă de headere speciale adăugate la datagramele IP. AH si ESP sunt deseori numite “protocoale”,
deși acest lucru este discutabil. Ele sunt implementate ca headere în informația IP pentru a asigura
autenticitatea și confidențiali tatea. Niciunul din aceste componente nu poate funcționa fără celalalt.
Pentru a funcționa corect au nevoie și de suportul altor protocoale și servicii. Cele mai importante
includ:
– Algoritmi de criptare/hash: AH si ESP au caracter generic și nu specifică mecanismul
utilizat pentru criptare. Acest lucru le dă flexibilitatea de a lucra cu o varietate de algortmi de
criptare și de a negocia care este cel mai bun pentru a fi utilizat. Doi dintre cei mai utilizați în IPSec
36
sunt Message Digest 5 (MD5) și Secure Hash Algorithm 1 (SHA‐1). Se mai numesc și algoritmi
hash deoarece funcționează calculând o funcție hash3 bazată pe datele de intrare și cheie.
– Politici de securitate și asocieri, metode de management: întrucât IPSec asigură
flexibilitatea modului în c are echipamentele pot să se asigure securitatea, trebuie să existe
posibilitatea gestionarii relațiilor de securitate dintre echipamente. Acest lucru se realizează în
IPSec folosind politici de securitate și asocieri de securitate, precum și căi de a putea schimba
informația.
– Cadrul de schimbare a cheilor și mecanisme: pentru ca două echipamente să poată
schimba informație criptată au nevoie să schimbe și cheile pentru decriptare. Mai au nevoie să
schimbe și informație asociată securizată. În IPSec, prot ocolul care asigură acest lucru este IKE
(Internet Key Exchange).
Protocolul Authentication Header
Unul dintre cele două protocoale de securitate de bază în IPSec este Antetul /Header‐ ul de
autentificare (AH). Acesta este un protocol care asigură a utentificarea fie pentru tot sau pentru o
parte din conținutul unei datagrame prin adăugarea unui antet care este calculat pe baza valorilor din
datagramă. Ce părți ale datagramei sunt utilizate pentru calcul, precum și plasarea headerului,
depinde de mod (tunel sau transport), precum și de versiunea de IP (IPv4 sau IPv6). Funcționarea
protocolului AH este simplă. Aceasta poate fi considerată similară cu algoritmii utilizați pentru
calcularea sumelor de control sau pentru efectuarea controalelor CRC pentru detectarea erorilor. În
aceste cazuri, un algoritm standard este folosit de către expeditor pentru a calcula o sumă de control
sau un cod CRC pe baza conținutului unui mesaj. Acest rezultat calculate este transmis împreună cu
datele originale la destinație , care repetă calcularea și elimina mesajul în cazul în care se găsește o
discrepanță între calculul său și cel efectuat de către sursă. Aceasta este aceeași idee din spatele AH,
cu excepția faptului că în loc de a folosi un algoritm simplu cunoscut de toa tă lumea, se foloseste un
algoritm special într‐o nouă formă și o cheie cunoscută doar sursei și destinației. O asociație de
securitate între cele două echipamente este configurată și specifică aceste detalii, astfel încât doar
sursa și destinația știu cum să efectueze calculul. La echipamentul sursă, AH efectuează calculul și
pune rezultatul (numit Valoare de verificare a integritatiiIntegrity Check Value – ICV) într‐un
header special cu alte câmpuri pentru transmisie. Echipamentul de destinație face acele ași calcule ‐
utilizând cheia pe care cele două dispozitive o împart – fapt care îi permite să vadă imediat dacă
oricare dintre câmpurile din datagrama originală au fost modificate (fie din cauza unei erori sau din
rea voință). Este important de subliniat în mod explicit că, la fel cum o sumă de control nu schimbă
datele originale, nici nu calculul ICV nu schimba datele originale. Prezența headerului AH ne
permite să verificăm integritatea mesajului, dar nu‐l criptează. Astfel, AH asigură autentificarea dar
nu confidențialitatea.
Amplasarea și conectarea headerului de autentificare pentru IPv4
Într-o datagramă IPv4, câmpul Protocol indică identitatea Protocolului din nivelul superior
(de obicei TCP sau UDP), transportat în datagramă. Ca at are, acest câmp "i ndică" header -ul
următor, care se află la partea din față a sarcinii utile IP. AH ia această valoare și o pune în câmpul
headerului său următor, apoi amplasează valoarea de protocol pentru AH în sine (51 zecimal) în
câmpul protocol IP. Ac est lucru face ca header -ul IP "să trimită" la AH, care apoi "trimite" la
indiferent ce datagrama header -ul IP trimitea inițial. In modul transport, headerul de autentificare se
adaugă după headerul principal al IP al datagramei originale; în modul tunel se adaugă după noul
header IP care încapsulează datagrama originală ce este tunelată.
37
Figuraaa AH modultransport
În AH transport mode, întregul pachet este autentificat excepție facînd câmpurile ce se pot
schimba în timpul tranzitării între host -urile permise sau porți le de securitate. Câmpurile variabile
cuprind Time -To-Live (TTL), Type of Service (ToS), și Header Checksum. În modul transport AH
este folosit să protejeze pachetele utilizator care tranzitează o rețea între hosturi sau devices..
Aceasta este posibil deo arece porțile de securitate folosesc AH transport mode să protejeze
protocoalele tunel ca și GRE, and Layer Two Tunneling Protocol (L2TP).
În modul tunel , AH header împreună cu un nou IP header este folosit să protejeze pachetele
utilizator.
Figura 23213 AH modul tunel
În modul tunel întregul pachet este autentificat excepție făcând câmpurile mutate în noul IP
header. Modul tunel poate fi folosit să protejeze pachetele utilizator care tranzitează rețeaua între
hosturi, dar și între porțile de sec uritate(security gateways).
7.ENCAPSULATING SECURITY PAYLOAD
Headerul de autentificare Authentication Header (AH) IPSec asigură servicii de autentificare
a integrității echipamentelor IPSec, astfel încât acestea să poată verifica dacă mesajele sunt pri mite
intact de la celelalte echipamente. Se doreste protectie nu numai împotriva echipamentelor
intermediare ce modifică datagramele , ci se doreste si protejarea continutului acestora. Pentru acest
nivel de comunicații confidențiale. AH nu este suficient, ci este nevoie de protocolul Encapsulating
Security Payload (ESP). Sarcina principală a ESP este de a asigura confidențialitatea necesara
pentru datagramele IP. Un algoritm de criptare combină datele în datagramă cu o cheie pentru a o
transforma într‐o fo rmă încriptată. Aceasta este apoi re‐combinată (repackaged) folosind un format
special, și transmisă la destinație, unde se decriptează folosind același algoritm. ESP sprijină de
asemenea propria sa schemă de autentificare ca cea folosită în AH, sau care p oate fi folosită
împreună cu AH.
CÂMPURILE ENCAPSULATING SECURITY PAYLOAD
38
ESP are câteva câmpuri care sunt aceleași cu cele folosite în AH, dar își impacheteaza
câmpurile într‐un mod total diferit. În loc de a avea numai un header, își împarte câmpurile î n trei
componente:
– Header ESP: Acesta conține două câmpuri, SPI și Sequence Number, și este înaintea
datelor încriptate. Amplasarea sa depinde dacă ESP este folosit în modul transport sau în modul
tunel.
– Trailerul ESP: Această secțiune este amplasată după datele criptate. Ea conține umplerea
spațiului neutilizat (padding) ce este folosită pentru alinierea datelor încriptate, printr‐un câmp
Padding și Pad Length. Ea cuprinde de asemenea câmpul Headerul Următor (Next Header) pentru
ESP.
– Datele de aut entificare ESP: Acest câmp conține o valoare de verificare a integrității
(Integrity Check Value – ICV), calculată în mod similar modului în care operează protocolul AH,
pentru cazul în care se folosește caracteristica de autentificare opțională a ESP. Exi stă două motive
pentru care aceste câmpuri sunt împărțite în bucăți. Primul motiv este faptul că unii algoritmi de
criptare necesită ca datele să fie criptate pentru a avea o anumită dimensiune a blocurilor și astfel
umplerea spațiului neutilizat (padding) trebuie să apară după blocul de date utile și nu înaintea lor.
De aceea, umplerea spațiului neutilizat (padding) apare în ESP Trailer. Al doilea motiv este faptul
că datele de autentificare ESP ( ESP Authentication Data) apar separate deoarece sunt folosi te
pentru a autentifica restul datagramei criptate după criptare. Aceasta înseamnă că nu pot apare în
Headerul ESP sau în Trailerul ESP.
OPERAȚII ȘI FOLOSIREA CÂMPURILOR ENCAPSULATING SECURITY PAYLOAD
Primul lucru ce trebuie luat în considerare este modu l în care este amplasat headerul ESP; aceasta
este similar cu modul în care operează AH. • IPv4: Ca și cu AH, Headerul ESP este amplasat după
headerul normal IPv4. În modul transport, el apare după headerul original IP; în modul tunelat, după
headerul IP a l noii datagrame ce încapsulează originalul.
esp mod transport
Când această datagramă este procesată de esp în modul transport, headerul esp este amplasat
între headerul IPv4 și date, cu trailerul esp și datele de autentificare esp (esp authenticat ion data)
urmând. În modul tunel, întreaga datagramă originală IPv4 este înconjurată de aceste componente
esp, față de numai datele IPv4. Gradul de acoperire de criptare și autentificarea, precum și modul în
care câmpul headerului următor (next header) “in dică în spate” specifica identitatea
datagramei/datelor încriptate.
39
ESP modul tunel
AH și ESP împreună
Dacă este posibil să configurăm ambele protecții AH și ESP pentru un singur trafic utilizator, atunci
AH și ESP headers sunt cuprinse ca în figura d e mai jos.
AH/ESP modul transport si modul tunel
Protocolul IPSec Encapsulating Security Payload permite conținutului unei datagrame să fie
încriptat, pentru a se asigura că numai recipientul avut în vedere poate vedea datele. Este
implementat folo sind trei componente: un ESP Header adăugat în fața unei datagrame protejate, un
ESP Trailer care urmează datele protejate, și un câmp opționalal ESP Authentication Data care
asigură servicii de autentificare similare cu cele oferite de headerul de autenti ficare Authentication
Header (AH).
3.3.3 Protocolul IKEv1 si IKEv2
1) IKEv1
Protocolul IKE are trei obiective principale: să negocieze, să creeze și să administreze
Asocierile de Securitate (SA). SA face referire la un termen generic pentru un grup de
valori care definesc caracteristicile IPSec și protecțiile aplicate unei conexiuni; acestea
pot fi create și manual, folosind valori decise în avans de cele două părți, dar nu pot fi
reînnoite. O asociere de securitate, mai comun referită ca SA, este un bloc de bază
pentru IPSec. Aceasta reprezintă o intrare în baza de date SA (SABD), care conține
informații despre securitatea negociată între două părți pentru IKE sau IPSec. Sunt
două tipuri de SA:
40
• IKE sau ISAKMP SA -sunt folosite pentru traficul de control , cum ar fi negocierea
algoritmilor pentru criptarea traficului IKE și autentificarea utilizatorilor. Este o singură IKE
SA între participanți și de obicei are mai puțin trafic și o durată de viață mai mare decât IPSec
SA.
• IPSec SA – sunt folosite pentru a negocia algoritmii de criptare pentru traficul IP,
bazându -se pe definirea regulilor de stabilire a traficului ce va fi protejat. Pentru că sunt
unidirecționale, cel puțin două sunt necesare (traficul de intrare și de ielire)
O problema pe care o ridica IKE este problema cu dispotitivele NAT, care modifică
transparent pachetele de ieșire. Prima problemă se refara la faptul că unele echipamente ar
putea depinde de negocierea IKE făcută de pachetele de intrare trimise de pe portul 500 UDP.
Dacă se introduc e un proces NAT, portul pachetului final nu va fi, cu siguranță, cel așteptat
deci negocierea nu va începe. Alt eveniment neplăcut apare când IKE include adresele IP ca parte a
procesului de autentificare, care depinde de modul IKE folosit. Dacă autentific area se
bazează pe adresa IP, schimbările făcute de NAT vor cauza eșuarea procesului IKE.
Principala funcție a protocolului IKE consta in faptul ca ambele tipuri de SA sunt
stabilite între participanții IPSec folosind protocolul IKE. Acest protovol opereaz ă în două
faze pentru a stabili aceste asociații de securitate:
Prima faza este schimbul în prima etapă, faza in care se stabilesc chei pentru
sesiunea respectivă si asigurarea autentificarii reciproce a celor două capete IKE. Această
fază creează o ISAKMP SA (asociere de securitate pentru IKE) care odată ce a fost stabilită,
toate comunicațiile IKE dintre inițiator și cel care răspunde sunt protejate cu criptare și cu o
verificare a integrității prin autentificare. Există o diferență între ISAKMP și IKE ca re trebuie
prezizata: ISAKMP definește cum capetele IPSec comunică, cum realizează schimbul de
mesaje și starea tranzițiilor prin care trec pentru a stabili conexiunea (mai exact arată scopul
autentificării și schimbului de informații pentru interschimbul de cheie) iar IKE definește cum
se realizează schimbul de cheie.
Etapa unu (cunoscută și ca IKE SA) reprezintă momentul în care cele două capete
IPSec negociază cu succes un canal sigur prin care pot fi stabilite și transmise apoi SA -urile
IPSec. Astfel, s e garantează criptarea bidirecțională și autentificarea pentru alte schimburi
IKE. Această fază poate fi realizată în două moduri: principal și agresiv.
Modul principal trateaza stabilirea unei IKE SA prin trei perechi de mesaje. În prima
pereche de mesaje , fiecare capăt recomanda parametrii folosiți de SA. Patru parametrii dintre
aceștia sunt obligatorii și alcătuiesc așa numita suită de protecție:
• Algoritmul de criptare – specifică algoritmul care criptează datele: DES, 3DES,
AES.
• Algoritmul de protec ție a integrității -indică ce algoritmi de tip hash de pot folosi:
HMAC -MD5 sau HMAC -SHA -1
• Metoda de autentificare – sunt 3 posibilități de autentificare a utilizatorilor (chei
prestabilite, semnături digitale, criptare cu cheie publică)
• DH Group – este folosit pentru generarea unui secret comun într -o manieră sigură,
astfel încât un observator a etapei 1 IKE să nu îl poată determina.
A doua pereche de mesaje execută un schimb de cheie prin DH, folosind parametrii
negociați la primul pas. Conținutul ace stei perechi de mesaje variază în funcție de metoda de
autentificare. În cea de -a treia pereche de mesaje, fiecare capăt este autentificat (și aici
contează metoda de autentificare folosită). În cazul cheilor prestabilite rezumatele de autentificare
se sch imbă acum iar în cazul celorlalte două posibilități acesta
sunt folosite (au fost schimbate în timpul perechii de mesaje anterioare).
Metoda mai rapidă a modului principal este oferită de modul agresiv. Se negociază
stabilirea IKE SA prin trei mesaje în lo cul celor trei perechi din modul principal. Primele
două mesaje negociază parametrii IKE SA și realizează un schimb de cheie; al doilea și al
treilea mesaj autentifică utilizatorii.
În primul mesaj prima stație trimite trei informatii: toți parametrii suit ei de protecție ,
porțiunea sa de schimb de cheie DH care este un număr folosit o singură dată (nonce) și
41
identitatea sa. În al doilea mesaj, cealaltă stație trimite patru informatii: parametrii suitei sale
de protecție, proțiunea sa de DH, care este un nu mărul folosit o singură dată (nonce),
identitatea sa și informația utilă de autentificare. Al treilea mesaj este utilizat pentru ca prima
stație să trimită propria sa informație de autentificare.
A doua faza se refera la schimbul în etapa a doua care furni zează negocierea și
stabilirea asociațiilor de securitate IPSec (IPSec SA) folosing ESP sau AH pentru protejarea
traficului IP. Scopul celei de -a doua etape este stabilirea asocierilor de securitate pentru o
60
conexiune IPsec actuală (IPSec SA). O conexiu ne IPSec între două sisteme necesită două
IPSec SA, pentru că acestea sunt unidirecționale. Aceste perechi sunt create prin intermediul
unui singur mod, modul rapid, care folosește trei mesaje pentru a stabili SA. Comunicațiile
din acest mod sunt criptate prin metoda spacificată în IKE SA -ul stabilit în faza 1.
În primul mesaj, prima stație trimite trei informatii: cheile, numerele unice și
sugestiile de parametri IPSec SA. Numerele unice se folosesc ca si măsură împotriva
atacurilor de replicare.
În al doi lea mesaj, cealaltă stație trimite cheile, numerele și selecțiile parametrilor
IPSec SA și în plus procedurile hash de autentificare.
Al treilea mesaj este folosit doar pentru ca prima stație să trimită procedura hash
pentru autentificare. După ce a doua s tație validează al treilea mesaj, se poate spune că s -a
stabilit o asocieere de securitate IPSec, cele active fiind reținute într -o bază de date (SADB).
IKE SA și IPSec SA au o limită de viață, care nu poate fi mărită după ce SA a fost
creată. Dacă o SA es te aproape de sfârșitul duratei de viață, capetele ar trebui să creeze una
nouă, printr -un proces de restabilire a cheii. Durata de viață a unei SA spune cât de des ar
trebui fiecare SA să fie restabilită, bazându -se fie pe un anumit timp scurs fie pe cant itatea de
trafic din rețea.
In mod asemanator cu modelu TCP/IP, IPSec are o multitudine de componente
implicate și caracterizează un set complet de interacțiuni de -a lungul acestora. Structura
protocolului asigură avantajul modularizării: când are loc o sc himbare a unei componente,
celelalte nu se schimbă implicit. Dezavantajul modularizării este că greu de explicat fără
scheme, pur și simplu pentru că multe componente trebuie să lucreze împreună pentru ca
protocolul să opereze.
Arhitectura IPSec presupune:
Nucleul (IPSec driver or core engine) – această componentă realizează criptarea,
decriptarea, autentificarea și verificarea semnăturii; de asemenea este responsabil pentru
coordonarea efortului altor componente IPSec pentru a asigura că poate îndeplini sa rcinile.
Agentul de politică (IPSec Policy Agent) – este funcșia cognitivă a protocolului și
examinează setările IPSec ale sistemului specificând ce trafic ar trebui protejat; nu protejeajă
datele ci doar avertizeată ca un anumit trafic ar trebui protejat.
ISAKMP – este negociatorul setărilor de securitate ale Internetului; atunci când două
stații vor să comunice, ISAKMP negociază grupul desetări folosite pentru criptare și
autentificare.
IKE (Internet Key Exchange) – pentru că IPSecul folosește chei secret e împărțite,
trebuie să fie un mecanism care să conecteze echipamentele și să se pună de acord asupra unei
chei; acesta depinde de setările furnizate de ISAKMP. In figura 3.4 este prezentata
Interacțiunea componentelor:
Figura 3.4 Interacțiunea IPSec
In mo mentul pornirii unui echipament se aplică politica locală sau de grup, dar se
poate aplica periodic în timp ce activează în rețea. Orice politică IPSec este preluată de
angentul de politică IPSec. Atunci când există mai multe reguli stabilite, agentul
moni torizează comuniația cu protocolul TCP/IP din toate aplicațiile, caută traficul care se
potrivește acestora, adică acela care trebuie protejat.
Agentul de politică îi va comunica dispozitivului IPSec tipul de protecție de care este
nevoie in momentul in ca re traficul de rețea (care necesită protecție) este identificat. Apoi,
42
urmand ca echipamentul IPSec sa determine dacă există o Asociere de Securitate care poate fi
folosită pentru a proteja traficul; dacă nicio SA nu există, funcția IKE va fi contactată; a ceasta
va folosi ISAKMP pentru a negocia autentificarea reciprocă și pentru a stabilit cheia. Apoi,
IKE va furniza o SA activă către IPSec driver, care va proteja traficul. Astfel, traficul protejat
va fi returnat către protocolul TCP/IP pentru procesare.
Cea mai importanta caracteristica referitoare la IPSec este faptul ca acesta este un
standard Internet acceptat și că în momentul actual un număr din ce in ce mai de utilizatori și
furnizori de servicii cooperează pentru a furniza o gamă completă de soluți i IPSec. Folosind
capacitatea de tunelare a IPSec, se pot implementa rețele virtuale private.
62
2) IKEv2
IKEv2 (descris in Anexa A din RFC 4306) vine cu urmatoarele imbunatatiri:
• NAT traversal: încapsulare lui IKE și ESP în portul UDP 4500 permite acest or
protocoale să treacă printr -un dispozitiv sau firewall ce efectueaza NAT.
• Schimbul de mesaj simplu: IKEv2 are un mecanism de schimb inițial de patru mesaj
în timp ce IKE furniza opt mecanisme distincte de schimb initiale, fiecare dintre care avand
avantaje și dezavantaje.
• Mecanisme criptografice mai puține: IKEv2 utilizează mecanisme criptografice
pentru a proteja pachetele sale, care sunt foarte asemănătoare cu ceea folosite de IPsec pentru
încapsularea incarcaturii de securitate (ESP) pentru a prot eja pachetele IPsec. Acest lucru a
dus la implementari simple si certificari de criterii comune, care necesită fiecare implementare
criptografică a fi validate separat.
• Fiabilitate și managementul starii: IKEv2 utilizează numere de secvență și confirmari
pentru a oferi fiabilitate și pentru a mandata unele erori la procesare. IKE ar putea ajunge întro
stare moarta din cauza lipsei de măsuri de fiabilitate, în situatia în care ambele părți se
așteptau ca cealaltă să inițieze o acțiune .
• Rezistența la ata cul de tip DoS (Denial of Service – Refuzul Serviciului) : IKEv2 nu
efectuează procesarea până când nu determină dacă există de fapt un solicitant. Aceasta
tactica a rezolvat problemele cu atacurile DoS suferite de IKE care efectua o mulțime de
prelucrari criptografice din locații fantoma .
2.4.4 Tehnici de management a cheilor și SA
Pentru a implementa o solutie VPN cu criptare, este necesar sa se modifice periodic cheile de
criptare. Imposibilitatea de a schimba aceste chei face ca rețeaua sa fie sensib ila la atacuri de tip
brute -force. IPsec rezolva aceasta problema cu ajutorul protocolului IKE, care folosește două alte
protocoale pentru a autentifica un nod un retea și pentru a genera chei. Protocolul IKE foloseste
algoritmul Diffie Hellman – pentru a g enera chei simetrice si pentru a fi utilizate de două noduri
VPN IPsec. IKE gestionează, de asemenea, negocierea altor parametrii de securitate, cum ar fi
datele care urmează să fie protejate, puterea cheii, metodele utilizate in algoritmul hash, și dacă
pachetele sunt protejate la reluarea. IKE utilizează portul UDP 500. IPsec permite 2 metode pentru
managementul cheilor și al IPsec SA:
1. Manual SA and key management – o cale de intreținere a cheilor și a IPsec SA este
configurarea manuală. Configura rea manuală a IPsec SA este similară cu configurarea routerului și
de asemenea nu este scalabila.
2. Automated SA and key management through the IKE protocol protocolul IKE permite
IPsec să se autentifice dinamic reciproc.
Există două versiuni de: IKE versiunea 1 (IKEv1) și IKE versiunea 2 (IKEv2). IKEv1 este definită
în RFCs 2407, 2408, și 2409, iar IKEv2 este definită în RFC 4306. IKEv2 îmbunătățește eficiența și
securitatea IKE și adaugă o funcționalitate suplimentară la protocolul de bază spec ificat. IKEv1
este făcut din componentele unui număr de protocoale:
1. The Secure Key Exchange Mechanism (SKEME) –descrie o tehnică
43
multilaterală a schimbului de chei;
2. The Oakley Key Determination Protocol –descrie o serie de tehnici(moduri) a schim bului de
chei precum Perfect Forward Secrecy, identitatea protecției, și autentificarea.
3. The Internet Security Association and Key Management Protocol
(ISAKMP) –descrie un framework pentru autentificarea schimbului de chei.
Negocierea IKEv1 este îm părțită în 2 faze și 3 moduri În faza 1 IPsec stabilește un IKE SA. Acest
IKE SA este folosit să protejeze negocierile fazei 2 care apoi sunt folosite să negocieze IPsec SA.
IKEv1 faza 1 poate fi negociat folosind modul principal sau modul agresiv. IKEv1 faza 2 negociază
folosind modul rapid.
IKEv2 include toată funcționalitatea IKEv1 plus NAT (traversal and legacy authentication). IKEv2
cuprinde de asemenea îmbunătățiri suplimentare referitoare la eficiență și securitate. De asemenea,
păstrează trăsătu rile mai importante ale lui IKEv1, inclusiv cele 2 faze de negociere. În IKEv2 faza
1,Ipsec -ul negociază algoritmii, stabilește sesiunea cheii secrete, se autentifică reciproc, și stabilește
un IKE SAjust asemănător IKEv1.
Am ales această temă a domeniului securități rețelelor, datorit ă faptului că, securitatea
informatică și cea a infrastructurii IT la nivelul actual este unul din punctele forte ale funcționării
unei afaceri, respectiv a unei companii de succes, dar nu în ultimul rând pentru a -mi perfecționa
cunoștințele și abilitățile în domeniul rețelelor de calculatoare, multe dintre dobândite în cadrul
cursurilor/certificatelor Cisco și Microsoft inclusiv la locul de muncă.
Securizarea rețelei LAN
3.1 Securitatea endpoint
Pe lângă securizarea rețelei, este important să se securizeze dispozitivele endpoint (finale)
situate în interiorul rețelei. Securizarea endpoint incl ude: securitatea dispozitivelor din infrastructura
de rețea LAN (Swich -uri, dispozitive SAN ) și securitatea sistemelor finale(stații de lucru, servere,
telefoane IP).
În mai puțin de o generație, introducerea calculatoarelor
IV.1
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630889] (ID: 630889)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.