FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630892]
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
PROIECT DE DIPL OMĂ
COORDONATOR ȘTIINȚIFIC
Prof. dr. ing. Titus Slavici
ABSOLVENT: [anonimizat]
2018
FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT “IOAN SLAVICI”
TIMIȘOARA
UNIVERSITATEA “IOAN SLAVICI” TIMIȘOARA
FACULTATEA DE INGINERIE
DOMENIUL CALCULATOARE ȘI T EHNOLOGIA INFORMAȚIEI
FORMA DE ÎNVĂȚĂMÂNT – ZI
SECURITATEA REȚELELOR DE CALCULATOARE
COORDONA TOR ȘTIINȚIFIC
Prof. dr. ing. Titus Slavici
ABSOLVENT: [anonimizat]
2018
UNIVERSITATEA DIN ORADEA
FACU LTATEA DE INGINERIE ELECTRICĂ ȘI TEHNOLOGIA INFORMAȚIEI
DEPARTAME NTUL CALCULATOARE ȘI TEHNOLOGIA INFORMAȚIEI
TEMA: SECURITATEA REȚELELOR DE CALCULATOARE
Proiectul de Finalizare a studiilor a student: [anonimizat]_____________ ___________
1). Tema proiectului de finalizare a studiilor : SECURITATEA REȚELELOR DE
CALCULATOARE
2). Termenul pentru predarea proiectului de diplomă ____ ______________________________
3). Elemente inițiale pentru elaborarea proiectului de finalizare a studiilor ________________
______________________________________________________________________________ __
________________________________________________________________________________
4). Conținutul proiectului de finalizare a studiilor :_________________________ ___________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
5). Material grafic:________________________________________________________________
________________________________________________________________________________
________________________________________________________________________________
6). Locul de do cumenta re pentru elaborarea proiectului de diplomă :
________________________________________________________________________________
________________________________________________________________________________
7). Data emiterii temei__________________________ ___________________________________
Coordonator științific
Prof. dr. ing. Titus Slavici
UNIVERSITATEA DIN OR ADEA
FACULTATEA DE INGINERIE ELECTRICĂ
ȘI TEHNOLOGIA INFORMAȚIEI
Adresa Oradea, Cod 410087, Bihor, Romania, Strada Universit ății, nr. 1 ,
Tel/Fax :+40 259/408412, Tel:+40 259/408104; +40 259/408204
REFERAT
PRIVIND PROIECTUL DE DIPLOMĂ
A
ABSOLVENT: [anonimizat] : Vulpe Ovid iu Viorel
DOMENIUL Calculatoare și tehnologia informației
SPECIALIZAREA Tehnologia informației
PROMOȚIA 2018
1. Titlul proiectului SECURITATEA REȚELELOR DE CALCULATOARE
2. Structura proiectului ………………………………………………………. ……….
……………………… …………………………………………………………………………………………………………….. ……..
…………………………………………………………………………………………………………… ……………………………….
…………………………………………………………………………………………………………….. ……………………………..
………………………………………………….. ………………………………………………………………………………………..
…………………………………………………………………………………………………………….. ………………………… …..
…………………………………………………………………………………………………………….. ……………………………..
………………………………………………………………………………. ……………………………………………………………
……………………………………………………………………..
……………………………………………………………………………………………… …………….
…………………………………….. …… …………………… …………………………………
3. Apreci eri asupra conținutului proiectului de DIPLOMĂ (finalizare a studiilor ),
mod de abordare, complexitate, actualitate, deficiențe
…………………………………………………………………………………………………………….. ……………………………..
…………………………………………………………………………………………………………….. ……………………………..
……………………………………………………….. ……………………………….. …………………………….. ………………….
……………………………………………………………………………………………………….. …………………………………..
……………………………………………………………………………………………………………… …………………………….
……………………………………………………………………………………. ………………………………………………………
…………………………………………………………………………………………………………….. ……………………………..
…………………………… …………………………………………………………………………………………………………….. ..
…………………………………………………………….
4. Aprecieri asupra proiectului (se va menționa: numărul titl urilor bibliografice
consultate, frecvența notelor de subsol, calitatea și diversitatea surselor consultate;
modul în care absolventul a prelucrat informațiile din surse teoretice)
………………………………………………………………… ………………………………………………………………………….
…………………………………………………………………………………………………………….. ……………………………..
……….. …………………………………………………………………………………………………………….. ……………………
…………………………………………………………………………………………….. ……………………………………………..
…………………………………………………………………………………………………………….. ……………………………..
……………………………………. ………………………………………………………………………………………………………
…………………………………………………………………………………………………………….. ………….. …………………
……………………………………………………………………..
(se va menționa: opțional locul de documentare și modul în care absolventul a realizat
cercetarea menționându -se contribuția autorului)
………. …….. …………………………………………………………………………………………………………….. ……………..
…………………………………………………………………………………………………… ……………………………………….
…………………………………………………………………………………………………………….. ……………………………..
………………………………………….. …………………………………………………. …………
5. Concluzii (coordonatorul proiectului trebui e să aprecieze valoarea proiectului
întocmit , relevanța studiului întreprins, competențele absolventului, rigurozitatea
pe parcursul elaborări i proiectului , consecvența și seriozitatea de care a dat dovadă
absolventul pe parcurs)
…………………………………………………………………………………………………………….. ……………………………..
…….. …………………………………………………………………………………………………………….. ………………………
………………………………………………………………………………………….. ………………………………………………..
…………………………………………………………………………………………………………
……………………………………………………………………. ………………………………………………………………………
…………………………………………………………………………………………………………….. ……………………………..
…………… …………………………………………………………………………………………………….
6. Redactarea proiectului respectă …………………………………………………. cerințele
academice de redactare (părți, capitole, subcapitole, note de subsol și bibliografie).
7. Consider că proiectul îndeplinește/ nu îndeplinește condițiile pentru susținere în
sesiunea de Examen de LICENȚĂ (finalizare a studiilor ) din IULIE 2018 și propun
acordarea notei ………………
Oradea,
Data Coordonator științific
Prof. dr. ing. Titus Slavici
Cuprins
Capitolul I. Introducere ……………… ………. ……………… …………………………………….. … 1
I.1. Aspecte generale privind securitatea retelelor de calculatoare ……… . 2
I.2 Amenințări la adresa rețelelor ………………………………………………….. .. 3
I.3 Tipuri de atacuri asupra rețelei……… ………………………………………….. 4
I.3.1 Atenuarea v irușilor, viermilor sau a troienilor
I.4 Metodologii de atac
I.4.1 Atacuri de recunoaștere
I.4.2 Atacuri acces
I.4.3 Atacurile DoS
I.4.3.1 Tipuri de atac DoS
Capito lul II. Tehnologii de criptare …………………………………………………………….. . 6
II.1 Algoritmi criptografici ………………………………………………………. 6
II.1.1 Algoritmi de autentificare
II.1.2 Algoritmi de criptare
II.1.3 Algoritm criptografic cu chei publice
Capitolul III Vulnerabilitățile rețelelor …………………………………………………………………
III.1 Închiderea interfețelor și a serviciilor de rețea neutilizate de pe un router
III.2 Securitatea accesului la terminale
III.3 Securizarea accesului pe routerele Cisco ………………………………………………….
III.4 AAA
III.4.1Authentication
III.4.1Authentication
III.4.2 Author ization
III.4.3 Accounting
III.5 CBAC
III.6 Securizarea accesului remote pe echipamente
Capitolul IV Tehnici de securitate
IV.1 Firewall
IV.2 IDS / IPS
IV.2.1 Sistem de Detectare a Intruziunilor (IDS)
IV.2.1.1 Tipuri de IDS -uri
IV.2.1.2 IDS -uri bazate pe anomalii și IDS -uri bazate pe semnă turi
IV.2.1.3 Limitări ș i tehnici de evitare ale IDS -urilor
IV.2.1.4 Tehnici de evitare a IDS -urilor
IV.2.2 IPS – Sisteme de prevenire a intruziunilor
IV.2.2.1 Tipuri de IPS -uri
Capitolul V .1 VPN – Rețea Virtuală Privată ……………………………… ………. 1
V.1.1 Tehnologii VPN ………. 2
V.1.2 Modul de funcționare
V.1.3 Avantaje ale tehnologiei VPN
V.1.4 Tipuri de rețele VPN
V.2 Tunelare a
V.2.1 Protocoale de tunelare de nivel 2 OSI
V.2.2 Protocoale de tunelare de nivel 3 OSI
V.3 Protocolul IPSec
V.3.1 Modurile IPSec
V.3.1.1 Modul transport
V.3.1.2 Modul tunelat
V.3.2 Prot ocoale de securitate: AH și ESP
V.3.2.1 Protocolul Authentication Header
V.3.2.2 Protocolul Encapsulating Security Payload
V.4 Protoco alele IKEv1 si IKEv2
V.4.1 Protocolul IKEv1
V.4.2 Protocolul IKEv2
Concluzii (eventual propuneri)………………………………………………………………………
Bibliografie……………………….. …………………………………………………………………………
Anexe (figuri, tabele, poze, etc)………………………………………………………………………
1
CAPITOLUL I
Introducere
În primele decenii, rețelele de calculatoare au fost folosite pentru trimiterea poștei
electronice și pentru partajarea imprimantelor. În aceste condiții, problema securității nu atrăgea
atenția. Acum, când milioane de cetățeni obișnuiți folosesc re țelele pentru operațiuni bancare,
cumpărături și plat a taxelor, securitatea rețelei apare la orizont ca o mare problemă.
Securitatea este un subiect vast și acoperă o mulțime de imperfecțiuni. În forma sa simplă,
ea asigură că persoane curioase nu pot ci ti sau modifica mesajele destinate altor destinatari. Se
ocupă de cei care încearcă să apeleze servicii la distanță pe care nu sunt autorizați să le folosească.
Securitatea se ocupă de problemele legate de capturarea și falsificarea mesajelor autorizate și de cei
ce încearcă să nege faptul că au trimis anumite mesaje.
Majoritatea problemelor de securitate sunt cauzate intenționat de persoane răuvoitoare ce
încearcă să obțină anumite beneficii sau să provoace rău cuiva. Realizarea unei rețele sigure implică
ceva mai mult decât păstrarea ei fără erori de programare. Problemele securității rețelei pot fi
împărțite în patru domenii : confidențialitate, autentificare, nerepudiere și controlul integrității.
Confidențialitatea se referă la păstrarea informației departe de utilizatorii neautorizați.
Autentificarea reprezintă determinarea identității persoanei cu care vorbești înainte de a dezvălui
informații importante . Nerepudierea implică semnături , cum poți fi sigur că mesajul pe care l -ai
primit a fost cel tr imis și nu unul pe care cineva răutăcios l-a modificat în trazit sau l -a măsluit?
Fiecare nivel din stiva de protocoale are o oarecare contribuție la securitatea rețelei. În
nivelul fizic, ascultatrea firelor poate fi zădăricită prin închiderea liniilor de transmisie în tuburi
sigilate conținând gaz de argon la presiuni înalte. Orice încercare de a sfredeli tubul va duce la
pierderi de gaz, reducând presiune și trăgând alarma. Acastă metodă este folosită de anumite
sisteme militare.
La nivelul legătură d e date, pachetele trimise pe o linie punct -la-punct pot fi codificate când
părăsesc un echipament și decodificate cănd intră în celălalt echipament. Toate detaliile pot fi
manipulate la nivelul legătură de date, fără ca nivelurile superioare să aibă cunoșt ințăde ceea ce se
petrece. Această soluție esuează atunci când pachetele trebuie să traverseze mai multe rutere,
deoarece pachetele trebuie decriptate în fiecare router , făcându -le astfel vulnerabile la atacurile din
interiorul routerelor. Criptatea legătu rii(link encryption ), cum este numită această metodă, poate fi
adăugată cu ușurință la orice rețea.
La nivelul rețea, pot fi instalate ziduri de protecție (firewall ) pentru a păstra pachetele în
interior sau pentru a păstra pachetele în afara acestuia . La nivelul transport, conexiuni întregi pot fi
criptate , de la un capăt la celălalt, adică de la un proces la celălalt. Cu toate că aceste soluții conduc
la realizarea confidențialității și mulți oameni muncesc din greu pentru a le îmbunătăți, nici una
dintr e ele nu soluționează problema autentificarii sau nerepudierii într -un mod sufiecient de general.
Rezolvarea acestor probleme se găsește la nivelul aplicație.
2
I.1 Aspecte generale privind securitatea retelelor de calculatoare
Domeniul care se ocupă de studiul mecanismelor de protecție a informației în scopul
asigurării unui nivel de încredere în aceasta se numeste securitatea informatiei. Putem afirma
că nivelul de încredere în informație depinde de nivelul mecanismelor de securitate care îi
garantează protecția și de riscurile care apar asupra securității ei. Securitatea informației este
un concept mai larg care se referă la asigurarea integrității, confidențialității și disponibilității
informației.
Securitatea reț elei reprezintă acum o componen tă în networking , implică proto coale,
dispozitive, tehnologii și tehnici pentru a securiza datele și atenuarea amenințărilor. Securitatea
rețelei este în mare măsură determinată de efortul de a rămâne cu un pas înaintea hackerilor.
Securitatea rețelei se referă direct la continuitatea afacerii unei organizații. Breșele de
securitate de rețea: pot perturba e -commerce , cauzează pierderea de date, amenință intimitatea
oamenilor, compromit integritatea informațiilor . Aceste încălcări pot conduce la venituri pierdute ,
furt de propietate intelectuală , amenințări la siguranța publică.
Atacurile cibernetice au crescut considerabil în ultimii ani, conform unor rapoarte Europol
infracțiunile comise în spațiul cibernetic provoacă anual pagube de aproximativ 1 trilion de dolari.
Soluți de securitate de rețea au apărut încă din anul 1960, dar s -au maturizat într -un set
complet de soluții pentru rețele moderne după anul 2000.
În iulie 2001, viermele Code Red a atacat servere web la nivel global , infectând peste
350.000 de gazde. Viermele a perturbat accesul la serverele infectate și la rețelele locale de
găzduire a serverelor, provocând un atac DoS pentru milioane de utilizatori . Dacă responsabili i cu
securitatea rețelelor a acestor servere (infectate cu Code Red) ar fi de zvoltat și implementat o
politică de securitate, iar patch -urile de securitate ar fi fost aplicate în timp util, atacul ar fi fost
oprit.
Când au apărut primii viruși și a fost dezlănțuit primul atac DoS , lumea profesionaliștilor în
rețele a început să se schimbe. Principalul lor obiectiv a evoluat de la proiectare, construirea și
creșterea rețelelor, la securizarea acestora.
I.2 Amenințări la adresa rețelelor
O rețea de calculatoare reprezintă un mod de conectare a unor calculatoare individuale,
astfel încât să poată folosi în comun a numite resurse de genul unități lor de disc , fișiere, imprimante
sau echipamente de comunicație. Calculatoarele conectate la rețea sunt denumite noduri. Dacă
nodurile aparțin aceleiași compani, rețeaua este locală(LAN – Loca l Area Network ). Dacă nodurile
sunt mai dispersate pe o zonă mai extinsă, pe suprafața unui județ, la nivelul țării sau pe întregul
glob, rețeaua este pe plan extins (WAN – Wide Area Network).
Amenințările la adresa rețelelor poate fi:
amenințări din af ara rețelei (Internet sau alte rețele conectate)
amenințări din interio rul rețelei (intenționate sau accidentale) – pot provoca daune mai
mari decât amenințările externe, datorită accesului direct la rețeau companiei.
A luat mai mult de 20 de ani de la introducerea de instr umente și tehnici de atenuare a
amenințărilor externe, pentru a de zvolta instrumente și tehnici de atenuare a amenințărilor interne.
Un exemplu pentru o amenințare provenind din interiorul rețelei, este un angajat
nemulțumit, care ar e unele competențe tehnice și dorința de a face rău. Cele mai multe amenințări
din interior ul rețelei utilizează protocoalele și tehnologiile LAN sau infrastructura de swich -uri.
Aceste amenințări interne se împart în două categorii: spoofing și DoS .
Atacurile spoofing sunt atacuri în care un dispozitiv încearcă să pozeze ca un altul prin
falsificarea datelor. Există mai multe tipuri de atacuri spoofing. De exemplu, MAC spoofing are loc
3
atunci când un calculator din rețea acceptă pach ete de date de la un calculator, care ”fură” adresa
MAC a unui calculator trust.
Atacurile Denial of Service (DoS) fac indisbonibile resursele informatice pentru utilizatori .
Atacatorii folosesc diverse metode pentru a lansa atacuri DoS.
I.3 Tipuri de atacuri asupra rețele i
Informațiile confidențiale p ot fi întâlnite în două stări într -o rețea. Se pot găsi pe dispozitive
fizice de stocare sau se pot găsi în trecere de -a lungul cablului sub formă de pachete. Aceste
informaț ii constituie multiple oportunități pentru atacuri din partea utilizatorilor din rețeaua internă,
precum și a utilizatorilor din exterior (internet).
Următoarele metode comune de atac oferă oportunități de compr omitere a informației din
rețea:
Viruși
Cod executabil atașat unui program sau executabil . Codu l trebuie să fie rulat de un utilizator
pentr u a avea efect. Se propagă prin: atașamente de e -mail, fișiere descărcate infectate, partajări dc
fișiere în rețeaua locală sau stick -uri USB. Virus reprezintă un software malițios care execută pe un
calculator, o anumită funcție nedorită, de multe ori dăunătoare . Un virus simplu se poate instala la
prima linie de cod pe un fișier executabil . Când este activat, virusul ar putea verifica disc -ul pentru
alte executabile, astfel î ncât să poată infecta toate fișierel e care nu au fost încă infectate. Virușii p ot
fi inofensivi (exmplu : afișează o imagine pe ecran) , distructivi (exemplu : șterg fișiere de pe hard
disk) sau pot fi programați să evolueze , pentru a evita detectarea .
Viermi
Cod executabil ce folosește vulner abilități pentru a se răspândi. Spre deosebire de viruși nu
necesită intervenția directă a unui utilizator, se răspândesc rapid în rețea și sunt greu de îndepărtat.
Viermii (Worms) reprezintă un tip deosebit de periculos de cod ostil și se reproduc prin exploatarea
vulerabilităților în rețele. Sunt responsabili pentru unele din cele mai devastatoare atacuri de pe
internet.
Exemplu: Viermele SQL Slammer din ianuarie 2003 a încetinit traficul de internet la nivel mondial,
ca urmare a unui atac de tip DoS .
– în primele 30 de minute de la lansare au fost afectate peste 250.000 de gazde
– viermele a exploatat un bug buffer overflow în Microsoft SQL Server
– un patch pentru această vulnerabilitate a fost lansat la mijlocul anului 2002, astfel încât
au fost afecta te serverele care nu au avut actualizate patch -urile .
În ciuda tehnicilor de diminuare a vulnerabilităților apărute de -a lungul anilor, viermi au
continuat să evolueze odată cu Internetul și încă reprezintă o amenințare prin exploatarea punctelor
slabe di n aplicațiile software . Sunt programe autonome care atacă un sistem speculând o
vulnerabilitate cunoscută, dupa specularea cu succes, viermele se copiază de la gazda atacată, la un
sistem nou atacat și ciclul se repetă.
Atacurile software rău intenționate utilizează metode similare și parcurg aceleași etape:
Sondare – sunt indentificate obiectivele vulnerabile . Scopul este de a găsi computere ce pot
fi compromise. Se utilizează scanarea prin ping (Internet Control Message Protocol – ICMP) pentru
a face har ta rețelei. Apoi aplicația scanează și identifică sistemele de operare și software vulnerabil.
Hackerii pot obține parole folosind atacuri dicționar, atacuri brute -force sau prin sniffing în rețea.
Pătrundere – codul exploit (speculativ) este transferat la ținta vulner abilă, în scopul de a fi
executat pintr -un vector de atac ( cum ar fi vulnerabilități : buffer overflow, Common Gateway
Interface – CGI, ActiveX sau un virus prin e -mail).
4
Persistență – după ce atacul este lansat cu succes în memorie, codul înce arcă să persiste pe
sistemul țintă, pentru a fi disponibil pentru atacator, chiar dacă sistemul repornește . Acest lucru se
realizează prin modificarea fișierelor de sistem (ex. modificări în regiștri) și instalarea noului cod.
Propagare – atacatorul încear că să extindă atacul la alte ținte prin căutarea prin sistemele
vulnerabile vecine. Vectorii de propagare includ: încărcarea fișierelor la alte sisteme ce utilizează
servicii FTP, conexiunile web active transferul de fișiere prin Internet Relay Chat (IRC).
Paralizare – sistemul este compromis . Fișierele pot fi șterse, sistemul poate să cadă, atacurile
pot fi furate sau distribuite, atacurile DoS pot fi lansate.
Tabelul 1.2 – Metodele și etapele utilizate de software
Troie ni
Cod executabil atașat unei ap licații, spre deosebire de viruși care au efect direct, au efect
subtil – deschidere backdoor. Sunt mult mai greu de detectat ca viruși. Un troian este un malware
care efectuează operațiuni malițioase sub masca unei funcți dorite , conține cod ascuns, care
speculează privilegiile utilizatorului care îl rulează. Acesta provoacă daune imediate, oferă acces de
la distanță la sistem sau accesul printr -un backdoor. Troieni pot avea un cod pentru o țintă
specificată, ceea ce il face mai greu de detectat.
Troieni se clasifică în funcție de daunele pe care le provoacă sau de modul în care deschid
breșa în sistem :
Remote -access Trojan horse – activează accesul neautorizat la distanță .
Data -sending Trojan horse – oferă atacatorului date sensibile, cum ar fi parole .
Destructive Trojan horse – corupe sau șterge fișiere.
Proxy Trojan horse – utilizează calculatorul infectat ca proxxy server.
FTP Trojan horse – permite servici FTP neautorizate.
Security software disabler Trojan horse – oprește programele antivirus și fire wall.
DoS Trojan horse – oprește sau încetinește activitatea rețelei.
Buffer overflow
Apare într -un program oricând acesta scrie mai multe informați într -o zonă tampon decât
spațiul alocat în memorie pentru ea. Poate fi definit ca o eroare de programare , o anomalie într -un
program care permite scrierea de date într-un tampon și suprascrierea memoriei adiacente . La bază
buffer ove rflow este un bug de programare, la nivelul următor este considerat vulnerabilitate de
securitate , potențial urmată de buffer ove rflow ca atac iar la nivelul superior, buffer overflow poate
fi reprezenta tă ca un incident de securitate. Rapoartele arată că o treime dintre vulnerabilitățile
software indentificate de CERT se referă la buffer overflow .
5
Într-un atac buffer overflow, ob iectivul atacatorului este de a folosi vulnerabilitatea pentru a
corupe informațiile într -un mod controlat. Dacă atacul se face cu succes, atacat orul obține în mod
eficient controlul asupra sistemului. Odată ce controlul este transferat la codul malițios, se execută
instrucțiunile date care au ca scop , de obicei, acordarea de acces complet neautorizat la sistem.
Un atac de tip buffer overflow poate fi local sau la distanță :
– atac local – atacatorul are deja acces la sistem și poate fi interesat de creștere a privilegiului.
– atac la distanță – este livrat printr -un port de rețea
Un atac de tip buffer overflow este format din 3 părți: plantarea codului de atac în programul
țintă, copierea efectivă în tampon și deturnarea controlului pentru a executa codul de atac.
Vulnerabilitatea poate fi un proces care: ascultă pe un port de comunicații deschis sau
acceptă date de intrare neverificate.
I.3.1 Atenuarea virușilor, viermilor sau a troienilor
Atenuarea viermilor
Viermii se bazează pe rețea mai mult dec ât virușii. Atenuarea viermilor necesită sârguință și
coordonare din partea profesionaliștilor în securitatea rețelei. Răspunsul la un atac vierme poate fi
împărțită în patru etape: izolare, inoculare (vaccinare), carantină și tratament.
Faza de izolare – presupune limitarea răspândirii unei infecții cu vierme în zonele de rețea
care sunt deja afectate . Izolarea necesită utilizarea ACL, atât de ieșire cât și de intrare pe routere și
firewall -uri la punctele de control din cadrul rețelei.
Faza de inoculare (vaccinare) – se desfășoară în paralel sau după faza de izolare . Se aplică
patch -uri furnizor pentru vulnearbilitate, la toate sistemele neinfectate. Vaccinarea privează
viermele de a infecta alte obiective disponobile, un scanner de rețea poate ajuta la identificarea
gazdelor potențial vulnerabile .
Faza de carantină – presupune depistarea și identificarea sistemelor infectate și
deconectarea, blocarea sau eliminarea lor. Aceasta izolează aceste sisteme pentru faza de tratament.
Faza de tratament – în timpul acestei faze, sistemele infectate sunt în mod activ dezinfectate
de vierme. Acest lucru implică : încheierea procesului, eliminarea fișierelor modificate , eliminarea
setărilor de sistem introduse de vierme și aplicarea patch -ului pentru vulnerabilitate a aplicată.
I.4 Metodologii de atac
Există mai multe tipuri de atac de rețea, altele decât viruși, viermi sau troieni. Clasificarea
atacurilor de rețea se face în trei mari categorii: atacuri de recunoaștere, atacuri acces și atacuri
DoS.
I.4.1 Atacu ri de recunoaștere
Un atac de recunoaștere constă în recoltarea informațiilor despre o anumită rețea , în multe
cazuri, preced un atac de tip acces sau DoS. Intrusul malware începe prin executarea unui ping
sweep asupra rețelei țintă, pentru a determina ce adrese IP sunt active , apoi determină ce servicii sau
porturi sunt disponibile pe sistemele cu adresele IP active . Intrusul interoghează porturile pentru a
determina tipul și versiunea sistemul de operare și aplicaț iile ce rulează pe hostul țintă, el caută
servicii vulnerabile ce pot fi exploatate mai târziu. Atunci când sunt utilizate în mod lega l,
aplicațiile de ping sweep și port scan , servesc la indentificarea serviciilor vulnerabile . Un atacator
utilizează informațiile prin examinarea adreselor IP , a porturilor Transmission Control Protocol
(TCP) și User Datagram Protocol (UDP) pentru a compromite un sistem.
I.4.2 Atacuri acces
Una din cele mai sigure metode de a obține accesul priveligiat este de a sparge parola . Acest
lucru presupune că atacatorul are de ja acces pe un sistem din rețea șsi dorește acces privegiliat.
6
Parola nu este salvată pe hard disk în clar, se salvează un hash al acesteia. În momentul în care user –
ul introduce parola, se calculează hash -ul acesteia care este apoi comparat cu hash -ul salvat în
momentul setării parolei inițiale, parola este corectă dacă cele două hash -uri sunt egale . Dacă parola
este greșită , hash -ul ei este diferit de cel salvat fiindcă mesaj are propil hash , nu există 2 mesaje (2
parole) cu acealși hash. Dacă un ha cker compromite sistemul și are acces la fișierul cu parole,
acesta poate observa hash -ul parolelor, nu și parolele .
Parolele cărora li s -a obținut hash -ul po t fi sparte prin:
Brute force – se încearcă toate combinațiile ce folosesc un set simboluri , poate fi aplicat
direct pe serviciul de autentificare , fără a avea hash -ul.
Dictionary attack – se încearcă toate cuvintele din dicționar împreună cu permutări simple ,
poate fi aplicat direct pe serviciul de autentificare, fără a avea hash -ul.
Cryptanalysis a ttack (Rainbow tabels ) – atac de cripanaliză, pentru spargere se pot folosi
tabele de hash -uri precalculate . Pentru a preveni un atac ce folosește rainbow tabels se utilizează
metoda Salting . Un segment suplimentar, generat aleatoriu, este concatenat la pa rola utilizatorului
înainte de hashing.
Man in the Middle (MITM)
Traficul dintre două entități este interceptat și rutat de un atacator.
Port redirec tion (Redirecționarea portului)
Este bazat pe exploatarea încrederii, atacatorul utilizează un host comp romis pentru a avea
acces printr -un firewall care altfel l -ar fi blocat. Dacă un intrus este în măsură să compromită un
host din segmentul serviciilor publice, atacatorul ar putea instala software -ul pentru a redirecționa
traficul de la hostul din exterior , direct la hostul din interior. Deși comunicarea încalcă regulile
implementate în firewall, hostul din exterior are acum conectivitate la hostul din interior, prin
procesul de redirecționare port pe hostul din segmentul serviciilor publice. Un instrument care poate
oferi acest tip de acces este Netcat .
Buffer Overflow
Un program scrie date dincolo de memoria tmpon alocată. Buffer overflow apare ca o
consecință a unui bug de program în C sau C++ . Un rezultat al overflow este că datele valide sunt
suprascr ise sau exploatate pentru a permite executarea unui cod malițios.
Vlan Hopping
Switch spoofing
Sistemul atacatorului negociază o legătură trunk cu switch -ul (prin DTP) . Atacatorul poate
ulterior trimite trafic în orice vlan.
Double tagging
Nu necesită implementarea DTP pe atacator. Dacă un atacator este conectat la un por t acces,
care este în VLAN nativ 802.1q (vlan 1, în mod implicit), el poate provoca trafic de salt VLAN prin
injectarea de pachete dublu marcate. Switch -ul desface doar primul tag și nu va dori să ”observe” al
doilea tag. Atunci când este transmis unui alt switch printr -un trunk 802.1q, nu i se aplică nici un
tag de VLAN, deoarece aparține unui VLAN care este VLAN nativ pentru trunk. Celălalt switch,
vede eticheta VLAN rămasă (al doilea tag aplicat de atacator) și va transmite pachetul pe VLAN -ul
specificat în tag.
Atacuri STP
Protocolul STP nu folosește autentificarea, ceea ce îl face vulnerabil. Un atac STP parcurge
de obicei următorii pași:
Atacatorul se conectează la rețeaua de sw itch-uri(prin Shitch2p). Trimite frame BPDU
(Bridge Protocol Data Units) cu BID mic, devine root bridge.
Soluții pentru protejarea STP: RootGuard, BPDU Guard sau BPDU Filter.
7
Atenuarea atacurilor acces
Atacurile acces, în general, pot fi detectate prin ve rificarea: logurilor, utilizării lățimii de
bandă și proceselor încărcate. Prin verificarea logurilor, administratorii de rețea pot determina dacă
au avut loc un număr neobișnuit de încercări de autentificare eșuate. Pachete software, cum ar fi
ManageEngin e Analyzer EventLog sau Cisco Secure Acces Control Server ( CSACS ) mențin
informațiile privind încercările nereușite de login la dispozitivele din rețea. Echipamentele de rețea
și dispozitivele firewall pot fi configurate pentru a preveni încercările de con ectare pentru un timp
dat, dintr -o anumită sursă și după o serie de eșecuri.
Atacurile man in the middle pot fi indicate de aplicați ile de monitorizare a rețelei prin
activitate neobișnuită în rețea și utilizare mai mare a lățimii de bandă.
Un atac acces î ntr-un sistem compromis este probabil dezvăluit de activitatea lentă din cauza
atacurilor buffer overflow în curs de desfășurare.
I.4.3 Atacurile DoS
DoS este un atac de rețea care duce întrerupere a serviciului pentru utlizatori, dispozitive sau
aplicați i. Mai multe mecanisme pot genera un atac DoS. Atacul DoS saturează rețeaua, astfel ca
traficul utilizatorului valid nu poate trece. Atacul DoS poate fi: un pachet infestat, care prelucrat de
hostul destinație, provoacă funcționarea defectuoasă a acestuia sau un flux de pachete valide, care
consumă resursele hostului destinație.
Atacuri DDoS (Distributed Denial of Service)
Constă în trimiterea cererilor de la mai multe sisteme către o singură țintă. Atacurile
DoS/DDoS sunt dificil de identificat, nu se poa te determina mereu care sunt cereri valide și care
reprezintă un atac.
I.4.3.1 Tipuri de atac DoS
Ping of Death (PoD)
PoD poate paraliza o rețea, speculând o deficiență din standardul TCP/IP . Dimensiunea
maximă a unui pachet este 65.535 bytes, dacă s -ar trimite un pachet mai mare, hostul care îl
primește se va prăbuși în cele din urmă datorită confuziei. Trimiterea unui ping de această
dimensiune este împotriva regulilor din standardul TCP/IP, dar hackerii pot ocoli acest lucru prin
trimiterea pachetelor î n fragmente. Când fragmentele sunt ansamblate pe hostul destinație,
dimensiunea pachetului este prea mare , acest lucru va provoca buffer overflow și crashul hostului.
Smurf attack
Ping-uri către o adresă de broadcast cu o singură sursă spoofed . Toate hosturile din rețeua
respectivă vor răspunde către sursă , dacă rețeaua este mare, hostul țintă poate să primească mai mult
trafic decât poate procesa. Efectul este imposibilitatea folosiri i conexiunii a hostului atacat .
TCP Syn Flood
Atacatorul inițiază un nu măr mare de conexiuni TCP cu un server, fără a termina
handshacke -ul inițial (conexiuni half -open). Respectivele conexiuni epuizează resursele serverului,
acesta nu mai poate procesa cererile valide.
CAM Overflow
CAM este tabela folosită de switc h-uri pentru a reține prin ce port se ajunge la o anumită
adresă MAC. Memoria unui switch nu este nelimitată, tabela CAM se poate umple și switch -ul va
funcționa în regim de hub. Un atacator poate trimite un număr mare de cadre cu adrese MAC
spoofed. P entru a opri acest tip de atac este necesar să se limiteze numărul de adrese MAC ce pot fi
învățate pe un port.
Atenuarea atacurilor de recunoaștere
8
Tehnici de atenuare a atacurilor de recunoaștere includ: implementarea unei autentificări
puternice, utilizarea cript ării pentru a face inutile atacurile pachetelor sniffer, utilizarea de
instrumente anti -sniffer pentru a detecta atacurile pachet sniffer, folosirea firewall și IPS.
Atenuarea atacurilor acces
Software anti -sniffer și instrumente hardware pot detecta sch imbări în timpul de răspuns al
hosturilor pentru a determina dacă acestea prelucrează mai mult trafic decât ar indica în mod
normal. Este imposibil de a atenua Port Scan, dar folosind un sistem de prevenire a intruziunilor
(IPS) și firewall, se pot limita informațiile care pot fi descoperite cu un scanner de port. Ping sweep
poate fi oprit dacă ICMP echo și echo -reply sunt dezactivate pe routerele edge, dar procesul de
diagnosticare este îngreunat.
Atenuarea atacurilor DoS
Aceste tipuri de atacuri pot fi c ontracarate prin utilizarea tehnologiilor anti spoofing pe
routere și firewall -uri de perimetru. Routerele și switch -urile suportă o serie de tehnologii anti
spoofing, cum ar fi port security, Dynamic Host Configuration Protocol (DHCP) snooping, IP
Source Guard, Dynamic Address Resolution Protocol (ARP) Inspection și listele de control acces
(ACL). Deși Quality of Service (QoS) nu este conceput ca o tehnologie de securitate, una din
aplicațiile sale, politica de trafic, poate fi utilizată pentru a utiliza pentru a limita traficul de intrare
de la orice client pe un router edge. Aceasta nu permite ca o singură sursă să poată utiliza întreaga
lățime de bandă.
9
CAPITOLUL II
II Tehnologii de criptare
În plus față de prevenirea și interzicerea traficului malițios, securitatea rețelei impune ca
datele să ramână protejate. Criptografia este utilizată în securitatea modernă a rețelei. Criptografia
asigură confidențialitatea datelor, care este una din cele trei componente de securit ate a
informațiilor: confidențialitatea, integritatea și disponibilitatea.
Criptarea asigură confidențialitatea prin ascunderea datelor plaintaixt. Integritatea datelor,
ceea ce înseamnă că datele sunt păstrate nealtereate în timpul oricărui operațiuni, se realizează prin
utilizarea mecanismelor de hashing. Disponibilitatea reprezintă accesibilitatea datelor, este
garantată prin mecanisme de întărirea a rețelei și sistemelor de backup.
Criptarea este o metodă care poate fi utilizată pentru a ascunde con ținutul unui mesaj de
persoanele ce nu trebuie să îl înțeleagă.
II.1 Algoritmi criptografici
Algoritmi criptografici folosiți de către IPSec pentru a autentifica și a cripta pachetele
utilizator sunt:
a) Algoritmi de autentificare;
b) Algoritmi de criptare ;
c) Algoritmi criptografici cu chei publice.
II.1.1 Algoritmi de autentificare
Pentru a preveni modificarea unui mesaj, se utilizează o tehnică specifică, denumită tehnica
hash, ce permite construirea unui cod de identificare a datelor transmise, numit ”re zumatul datelor”.
Într-un IPSec, un număr de algoritmi hash asigură integritatea fără conexiuni și autentificarea
originii datelor. Un algoritm hash este un tip de algoritm criptografic ce ia un mesaj de o lungime
arbitrară la intrare și produce o lungime fixă la ieșire, valoare ce este characteristic mesajului de
intrare și nu altui mesaj.
Algoritmii criptografici hash au două caracteristici improtante:
1. Rezumatul unui mesaj se construiește prin aplicarea, în sens unic, a unei funcții de
transformare(func ție hash) într -o secvență de biți – de lungime mare, pentru a fi dificil de ”spart”.
Sensul unic de transformare asigură faptul că nu se pot deduce datele de intrare pe baza datelor de
ieșire.
2. Datele ce trebuie transmise sunt utilizate ca și date de intrare, obținându -se astfel o
valoare de transformare(”hash value”). Dacă datele în transit sunt modificate, la destinație se va
obține o altă valoare de transformare, ceea ce va indica falsificarea datelor.
Valoarea de trasformare este în general crip tată ulterior prin utilizarea aceași chei secrete ca
și pentru criptarea datelor transmise. Astfel se formează o ”semnătură digitală” a datelor, care nu
mai pot fi modificate fără ca acest lucru să fie depistat.
Algoritmi de hash sunt: Message Diggest 5(MD 5) și Secure Hash Algoritm(SHA1).
Message Diggest versiunea 5(MD5)
– generează un hash pe 128 de biți exprimat în 32 de cifre hexazecimale;
– a fost creat de prof. Ronald Rivest de la MIT in 1991;
– a fost standardizat in RFC1321;
– începand cu anul 2004 au incepu t sa fie descoperite diferite vulnerabilitati in algoritm
multe ne -fatale. Se considera ca va fi inlocuit in curand de alt algoritm mai sigur;
10
Secure Hash Algoritm versiunea 1
– genereaza un hash output pe 160 biti exprimat in 40 cifre hexazecimale;
– a fost creat si publicat de guvernul USA (NSA) in 1993;
– poate lucra cu mesaje de maximum 2^64 –1 biti ;
– la fel ca și la MD5, au fost despistate diferite vulnerabilități în algoritm dar nefiind
majore, acesta continua a fi utilizat.
II.1.2 Algoritmi de criptare
Criptarea este o metodă care poate fi utilizată pentru a ascunde conținutul unui mesaj de
persoan ele care nu trebuie să îl înțeleagă. Informațiile cu formă necriptată sunt cunoscute ca și text
simplu (plaintest) sau text curat (cleartext). Informațiile cu formă criptată sunt cunoscute ca și text
cifrat (ciphertext). Procesul de criptare schimbă un tex t simplu într -un text cifrat, iar procesul invers
este cunoscut ca și process de decriptare.
IPSec folosește algoritmi de criptare simetrici pentru criptarea datelor. Algoritmi simetrici
sun caracterizați de faptul că folosesc aceași cheie atât în proces ul de criptare, cât și în cel de
decriptare. Pentru aplicarea lor este necesar ca înaintea codificării / decodificarii, atât emițătorul cât
și receptorul să posede deja cheia respectivă. În mod evident, cheia care caracterizează acești
algoritmi trebuie să fie secretă. Atunci când poarta IPSec VPN criptează datele cu o cheie, o altă
poartă va cere aceiași cheie pentru a decripta datele.
Caracteristicile principale ale algoritmilor de criptare simetrici sunt următorii:
aceiași cheie este folosită pentru a c ripta sau decripta;
textul cifrat este compact;
algoritmii de criptare simetrici sunt rapizi;
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impugn un schimb de chei
private înainte de a se începe transmisia de date. Altfel spus, pen tru a putea fi utilizați, este necesar
un canal cu transmisie protejată pentru a putea transmise chei de criptare / decriptare.
Algoritmi de cripare simetrici sunt: Data Encryption Standard (DES) și Advanced
Encryption Standard (AES).
DES – criptează/de criptează blocuri de text simplu / cifrat pe 64 de biți în același timp și
folosește o cheie de 64 de biți, 8 bițt ai cheii sunt folosiți pentru paritate, lungimea efectivă a cheii
este de 56 biți.
Triple DES (3DES) – este o derivație a algoritmului DES ce folosește diferite chei să
cripteze, apoi să decripteze, iar în final criptează fiecare bloc simplu. 3DES are o lungime efectivă a
cheii de 168 biți (3*56 biți).
AES – criptează / decriptează blocuri text simplu / cifrat pe 128 de biți și pot folosi chei de
lungime de 128 biți, 192 biți sau 256 biți.
II.1.3 Algoritm criptografic cu chei publice
Algoritmii criptografici cu cheie publică, sunt caracterizați prin faptul că criptarea și
decriptarea folosesc chei diferite. Această caracteristică a dat algoritm ilor cu cheie publică și
numele de algoritmi asimetrici. În acest caz, o cheie poate fi publică (în general cunoscută – poate fi
distribuită oricui) iar cealaltă va trebui să fie privată(secretă), cunoscută doar de cel care o folosește.
Fiecare din aceste chei poate cripta mesajul, dar mesajul criptat cu o anumită cheie nu poate fi
decriptat decât cu cheia sa pereche.
Cheile algoritmilor asimetrici sunt obținuți pe baza unei formule matematice din algebra
numerelor mari, pentru numere prime între ele, iar valoarea unei chei nu poate di dedusă valoarea
cheii asociate.
11
Cei mai populari algoritmi cu chei publice sunt: Diffie -Hellman; Rivest, Shamir and
Addlemen (RSA); the Digital Signature Algorithm(DSA) și ElGamal.
Utilizarea unor astfel de algoritmi de crip tare a datelor asigură transmisii confidențiale de
date în rețele neprotejate, rezolvând problema interceptării. Riscul de interceptare / modificare nu
dispare cu totul, din cauză că orice mesaj criptat poate fi în general decriptat fără a deține cheia
corespunzătoare, dacă se dispune de suficiente resurse materiale și de timp.
Dimensiuni variate ale cheii asigură diferite grade de confidențialitate iar perioada de timp
necesară pentru decriptare poate fi influențată în funcție de mărimea cheii utilizate. T otuși, dacă
procentul de decriptare este lent, este posibil ca în momentul în care s -ar obține datele dorite,
acestea să nu mai fie utile sau actuale.
Timpul de decriptare depinde în mod natural și de puterea procesoarelor utilizate în acest
scop, astfel î ncât utilizarea distribuită a unui număr foarte mare de procesoare poate duce la o
micșorare considerabilă a timpului necesar. Din acest motiv, pentru transmisii de date în care este
necesară o confidențialitate strictă se utilizează chei de dimensiuni mul t mai mari, chiar pentru
algoritmul DES (de 256, 512, 1024 și 2048 sau 4096 de biți), știind faptul că timpul necesar
decriptării crește exponential cu dimensiunea cheii de criptare / decriptare.
Pentru utilizatorii obișnuiți ai Internet -ului, cei mai conv enabili algoritmi de criptare sunt cei
cu cheie publică fiindcă folosirea lor nu implică schimbul preliminar de chei pe canale de transmisie
protejată, ca în cazul algoritmilor cu cheie secretă. Cheia publică poate fi distribuită fără restricții pe
Intrane t (rețea locală) sau Internet, iar mesajele criptate cu această cheie de un emițător vor putea fi
decriptate numai utilizând cheia private, care este deținută exclusiv de către destinatar. Astfel, nici
măcar expeditorul nu ar putea realiza decriptarea mesa jului trimis.
12
CAPITOLUL III
Vulnerabilitățile rețelelor
Vulnerabilitățile rețelelor se manifestă pe toate nivelele OSI, fiind necesară adoptarea unor
măsuri de securitate adecvate fiecărui nivel și fiecărui model de rețea în parte.
Un router este un dispozitiv hardware care conectează două sau mai multe rețele de
calculatoare. Routerul operează la nivelul 3 al modelului OSI (nivelul rețea). El folosește deci
adresele IP (de rețea) ale pachetelor aflate în tranzit (ca re trec prin router), pentru a decide către
ce interfață de ieșire trebuie să trimită pachetul respectiv. Decizia este luată comparând adresa
calculatorului destinație cu intrările din tabela de rutare. Aceasta poate conține atât intrări statice
(introduse de administrator) cât și intrări dinamice, aflate de la routerele vecine prin intermediul
unor protocoale de rutare.
Software -ul folosit de routerele CISCO se numeste CISCO IOS (Internetwork Operating
System), având, ca și routerele, numeroase versiuni d iferențiate prin unele proprietăți. Aceste
IOS-uri se se încarcă în memoria volatilă a routerelor de fiecare dată când acestea sunt pornite.
Ele se află arhivate pe memoria Flash disponibilă routerului.
III.1 Închiderea interfețelor și a serviciilor de r ețea neutilizate de pe un router
Routere rulează mai multe servicii care creează potențiale vulnerabilități pentru o rețea.
Pentru a asigura o rețea, trebuie să dezactivați toate serviciile și interfețele de pe un ruter care nu
sunt necesare.
Servicii și interfețe de pe un router CISCO care nu sunt necesare:
• Interfețe de ruter: Accesul la interfețele de ruter neutilizate ar trebui limitat prin închiderea
acestora;
• Serverul BOOTP : Acesta este un serviciu implicit activat. Acest serviciu permite unui
router de a acționa ca un server BOOTP pentru alte rutere. Acest serviciu ar trebui dezactivat pentru
că este rareori necesar;
• Cisco Discovery Protocol (CDP): Acest serviciu este activat în mod implicit. CDP obține
adresele de protocol al dispozit ivelor învecinate Cisco și descoperă platformele acestora. CDP, de
asemenea, oferă informații despre interfețele pe care ruterul le folosește. Dacă nu este necesar,
dezactivarea acestui serviciu la nivel global sau pe o interfață este recomandat;
• Config uration auto -loading: Acest serviciu este dezactivat în mod implicit. Autoîncărcarea
de fișiere de configurare de la un server de rețea ar trebui să rămână dezactivata atunci când nu este
utilizata de către router;
• Serverul FTP: Acest serviciu este deza ctivat în mod implicit. Server FTP vă permite să
utilizați routerul ca un server FTP pentru clienti FTP. Deoarece acest server permite accesul la
anumite fișiere din memoria Flash a router -ului, acest serviciu ar trebui să fie dezactivat atunci când
nu est e necesar;
• Serverul TFTP: Acest serviciu este dezactivat în mod implicit. Server TFTP vă permite să
utilizați router -ul ca un server TFTP pentru clienții TFTP. Acest serviciu ar trebui să fie dezactivat
atunci când nu este folosit, deoarece serverul per mite accesul la anumite fișiere în memoria Flash
router;
• Serviciul Network Time Protocol (NTP): Acest serviciu este dezactivat în mod implicit.
Când este activat, Router -ul acționează ca un server de timp pentru alte dispozitive de rețea. Dacă
nu este b ine securizat, NTP pot fi folosit pentru a compromite ceasul de pe alte routere sau
dispozitive care învață timpul de la acesta. Ora corectă este esențială pentru serviciile de criptare
IPsec, log -uri pentru routere sau alerte de securitate. Dacă acest se rviciu este activ,ar trebui să
restricționeze accesul asupra lui. Atunci când nu este necesar, dezactivarea lui este recomandata;
13
• Serviciul de asamblare si dezasamblare a pachetelor (Packet Assembler and Disassembler –
PAD): Acest serviciu este activat î n mod implicit. Serviciu PAD permite accesul la comenzile X.25
PAD cand sunt expediate pachete X.25. Acest serviciu ar trebui să fie dezactivat atunci când nu este
utilizat;
• Serviciile minore TCP si UDP: Serviciile minore sunt furnizate de servere mici
(daemon) care rulează pe ruter. Serviciile pot fi utile pentru diagnostic, dar sunt rar folosite.
Dezactivarea acestora este recomandata.
Servicii de administrare frecvent configurate care se recomanda a fi dezactivate:
• Simple Network Management P rotocol (SNMP): Acest serviciu este activat în mod
implicit. Serviciu SNMP permite router -ului sa răspunde la cereri -SNMP. Dacă este
• Necesar implementarea acestuia ar trebui limitat accesul si implementata versiunea 3 –
SNMPv3, deoarece versiunea 3 oferă o cale de comunicație sigura, care nu este disponibilă în
versiunile anterioare de SNMP.;
• Configurarea și monitorizarea HTTP: Setarea implicită pentru acest serviciu este
dependenta de fiecare dispozitiv Cisco. Acest serviciu permite router -ului să fie monitorizat sau sa ii
fie modificate fisierele de configurare direct de pe un browser de web prin intermediul unei
aplicații, cum ar fi SDM(CISCO Security Device Manager). Acest serviciu ar trebui dezactivat daca
nu este folosit. Daca acest serviciu este u tilizat este recomandata restricționarea accesului cu
ajutorul ACL(Access Control List);
• Domain Name System (DNS): Acest serviciu client este activat în mod implicit. În mod
implicit, routerele Cisco trimit cereri de nume la adresa 255.255.255.255. Rest ricționarea acestui
serviciu prin dezactivarea este de preferat atunci când serviciul nu este necesar. Dacă serviciul de
căutare DNS este necesar, trebuie setata adresa serverului DNS în mod explicit.
Mecanismele de integritate a caii urmate de un pache t care sunt recomandate a fi oprite:
• Redirecționarea pachetelor ICMP: Acest serviciu este activat în mod implicit.
Redirecționarea ICMP cauzează router -ul sa trimită mesaje ICMP de redirecționare ori de câte ori
router -ul este obligat să retrimită un pachet prin aceeași interfață pe care pachetul a fost primit.
Aceste informații pot fi folosite de atacatori pentru a redirecționa pachetelor către un dispozitiv de
străin;
• Rutarea pachetelor IP după sursa: Acest serviciu este activat în mod implicit. IP suportă
opțiuni pentru rutarea pachetelor in funcție de sursa acestora opțiuni care permit expeditorului unei
datagrame IP sa controleze ruta pe care datagrama va parcurge spre destinație finala și în general
ruta pe care un răspuns îl v -a parcurge. Ac este opțiuni pot fi exploatate de un atacator pentru a ocoli
calea normala a pachetelor și astfel politica de securitate a rețelei.
Caracteristici despre scanări si sonde recomandate a fi oprite:
• Serviciul Finger(protocolul 79): Acest serviciu es te activat în mod implicit. Protocolul
permite utilizatorilor din rețea să obține o listă cu utilizatorii care folosesc în acel moment un
anumit dispozitiv. Informațiile de pe listă includ procesele care se execută pe sistem, numele
conexiunii, timpul idl e, și localizarea terminalului. Persoane neautorizate poate utiliza aceste
informații pentru atacurile de recunoaștere;
• Notificări ICMP pentru inaccesibilitate: Acest serviciu este activat în mod implicit. Acest
serviciu trimite notificări de inaccesib ilitate expeditorilor de adrese IP nevalidă sau adrese IP
specifice. Aceste informații pot fi folosite pentru a formă topologia rețelei și ar trebui să fie în mod
explicit dezactivate pentru interfețele legate de rețele nesigure;
• Răspuns la pachetele I CMP în legătură cu masca adresei: Acest serviciu este dezactivată în
mod implicit. Când este activat, acest serviciu obligă routerul să răspunde la cererile ICMP pentru
masca adresei IP prin trimiterea de mesaje ICMP masca răspuns care conțin masca adresei IP a
14
interfeței ruterului. Aceste informații pot fi folosite pentru a formă topologia rețelei și ar trebui să
fie în mod explicit dezactivate pentru interfețele legate de rețele nesigure.
III.2 Securitatea accesului la terminale:
• Serviciul de identificare IP: Acest serviciu este activat în mod implicit. Protocolul de
identificare rapoartează identitatea unui inițiator de conexiune TCP la gazdă care primește
pachetul. Aceste date pot fi utilizate de către un atacator pentru a aduna informații d espre rețea, iar
acest serviciu ar trebui să fie dezactivat;
• Serviciul TCP keepalives: Acest serviciu este dezactivată în mod implicit. TCP keepalives
ajută curățarea conexiunilor TCP în cazul în care o gazdă s -a repornit sau s -a oprit din procesarea
traficului de pachete TCP.Serviciul TCP Keepalives ar trebui să fie activat la nivel global pentru a
gestiona conexiunile TCP și pentru a preveni anumite atacuri DoS.
Serviciul de broadcast direct IP:Acest serviciu este folosite în atacurile comune și po pulare
de tip DoS Smurf și a altor atacuri conexe. Dezactivarea acestui serviciu atunci când nu este necesar
este recomandată.
Lăsând servicii nefolosite de rețea care rulează crește posibilitatea de exploatare malițioasa a
acestor servicii. Dezactivarea sau restricționarea accesului la aceste servicii, îmbunătățește
securitatea rețelei.
III.3 Securizarea accesului pe routerele C isco
Parolele puternice, sunt principală defensivă împotriva accesului neautorizat pe un ruter.
Fiecare router are nevoie de o parolă pe plan local configurată pentru acces privilegiat pentru că pot
exista și alte indicii referitoare la securitate în fișierele de configurare.
Comanda „enable secret password‟ permite accesarea modului ENABLE(denumit și modul
privilegiat) pe u n ruter. Această folosește o criptare hash one -way bazată pe MD5 și este
considerată de majoritatea criptografilor ireversibilă. Cu toate acestea, chiar și acest tip de criptare
este încă vulnerabile la atacuri de tipul brute force sau cu dicționare de cuv inte.
Pentru a securiza routerul, ar trebui protejat accesul prin liniile de consolă, auxiliare, și
liniile vty.
În mod implicit,pe un router Cisco porturile de consolă permite un semnal PAUZĂ (în
termen de 60 de secunde după un restart) pentru a întreru pe secvența de boot normală pentru a reda
acces complet utilizatorului liniei de consolă. Această întrerupere este folosită în scopuri de
întreținere, cum ar fi atunci când se rulează pe router procedură de recuperare a parolei. Chiar dacă
această secvență de PAUZĂ este, în mod implicit, disponibilă cuiva care are acces fizic la consolă
routerului, este important să se stabilească o parolă pentru aceste lini pentru utilizatorii care ar putea
încerca să obțină acces la consolă de la distanță. Secvența de pau ză poate fi dezactivată
folosindcomanda „no service password -recovery‟.
Ruterele Cisco suportă multiple sesiuni Telnet în același timp(până la cinci sesiuni
simultane, în mod implicit, mai pot fi adăugate) În mod implicit, routerele nu au nicio parolă
configurată la nivelul liniilor vty. Dacă se activează verificarea cu parolă, trebuie configurată de
asemenea, o parolă vty înainte de a încerca a accesa routerul prin telnet.
În mod implicit, porturile auxiliareale routerelor Cisco nu necesită o parolă pen tru acces
administrativ la distanță. Administratorii folosesc uneori porturile auxiliare pentru a configura de la
distanță și să monitoriza routerele utilizând o conexiune dial -up prin modem. Accesul la aceste
porturi ar trebui securizat cu parole pntru a impiedica folosirea lor de catre utilizatorii necunoscuti.
Din motive lesne de inteles, lungimea minima a parolelor ar trebui sa fie de cel putin 10 caractere.
Comanda „security passwords min -length lungime „ oferă acces sporit de securitate a router -ului,
permițându -vă să specificați o lungime minimă a parolei (0 -16).
Software -ul IOS Cisco oferă o serie de caracteristici pentru a securiza ruterele împotriva
autentificărilor neautorizate prin stabilirea ratelor de eșec și a condițiilor de conectare. Se po ate
configura numărul de încercări nereușite de conectare admisibile utilizând comanda „security
15
authentification failure rate‟ impreuna cu parametrii corespunzatori. Când numarul de autentificări
nereusite ajunge la limita maximă admisă se intamplă doua l ucruri:
• se trimite un mesaj la serverul syslog;
• se instaurează o perioadă de delay de 15 secunde in care ruterul este blocat.
Dupa expirarea perioadei de delay utilizatorul poate sa continue sa se autentifice.
III.4 AAA(Authentication, Aut horization and Accounting)
Securizarea pe echipamente CISCO este o preocupare critică din punct de vedere al
securității. De multe ori, această problemă este rezolvată folosind parole de enable și vty/console,
configurate local pe echipament. Pentru rețele cu mai multe echipamente, această abordare este greu
de gestionat. Pentru a rezolva această problemă este nevoie de o formă centralizată de acces
securizat la echipamente.
Serviciile de securitate de rețea ale protocolului AAA asigură cadrul primar pentru a
configura controlul accesului pe un dispozitiv de rețea. AAA este o modalitate de a controla cine are
permisiunea să acceseze o rețea( Authentication – permite accesul bazat pe un cont de utilizator și o
parolă), ce poate face în timp ce este logat( Autho rization – determină nivelul de acces al unui
utilizator logat) și verificarea acțiunilor pe care le efectuează în timp ce accesează resursele
rețelei( Acconting – contabilizează serviciile pe care le accesează utilizatorii și resursele din rețea pe
care ac eștia le consumă(loguri pentru fiecare utilizator))
Figura 3.2.1 Procesul de Autentificare AAA bazată pe Server [HTTP14]
III.4.1 Authentication
Protocolul AAA poate fi folosit pentru autentificarea utilizatorilor cu acces la funcții
administrative sau po ate fi folosit pentru autentificarea utilizatorilor pentru accesul la rețea, de la
distanță. Autentificarea poate fi configurată local folosind username și parolă sau folosind un server
RADIUS sau TACACS+ care deține o bază de date cu utilizatorii pentru t oate echipamentele din
rețea. Securitatea este menținută folosind cheie partajată(shared key) care trebuie să fie aceeași pe
client și server.Trebuie specificate metodele de autentificare pe care vrem ca echipamentul să le ia
în considerare când un utiliza tor se loghează pe un echipament. Se pot configura până la 4 metode
de autentificare pe echipament.
III.4.2 Authorization
După ce utilizatorii sunt autentificați cu succes pe echipament, conform metodei local sau
server, aceștia sunt apoi autorizați pentr u resursele specifice din rețea. Autorizarea este de fapt ceea
ce un utilizator poate sau nu poate face în rețea, după ce acesta s -a autentificat.
III.4.3 Accounting
Contorizează serviciile pe care le accesează utilizatorii și resursele din rețea pe care aceștia
le consumă astfel încât să poată fi folosite pentru scopuri cum ar fi cele de audit. Datele colectate ar
putea include timpii de start și stop ai conexiunii, comenzi executate, numărul de pachete sau
16
numărul de octeți. Contorizarea este implementat ă folosind o soluție AAA bazată pe server. Acest
serviciu raportează statistici de utilizare, acestea
III.5 CBAC (Context Based Access Control)
Control accesului bazat pe context (CBAC) este o soluție disponibilă în cadrul Cisco IOS. CBAC
filtrează i nteligent pachetele TCP si UDP pe baza sesiunii de informații de pe Nivelul Aplicație.
Acesta oferă filtrare dinamică la nivel Aplicație, inclusiv protocoalele care sunt specifice pentru
aplicații unice, precum și aplicații multimedia, dar și protocoale ca re necesită mai multe canale de
comunicare, cum ar fi FTP si H.323. CBAC poate examina, de asemenea, conexiuni acceptate
informații ce integrează NAT și PAT și efectuează schimbările necesare pentru adresă.
Filtrarea traficului
CBAC -urile pot fi configu rate să permită returnarea traficului TCP și UDP specificat, printr –
un paravan de protecție (firewall) în cazul în care conexiunea este inițiată din interiorul rețelei. Ea
realizează acest lucru prin crearea de deschideri temporare într -un ACL care ar nega astfel de trafic.
CBAC poate inspecta traficul pentru sesiuni care provin din ambele părți ale firewall -ului. Acestea
pot de asemenea fi folosite pentru intranet, extranet, și în cadrul rețelei de Internet. CBAC
examinează nu numai Nivelul Rețea și Nivelu l Transport al traficului, dar analizează, de asemenea,
și Nivelul Aplicație (cum ar fi conexiuni FTP) pentru a afla despre starea sesiunii. Acest lucru
permite suportul protocoalelor care implică mai multe canale create ca rezultat al negocierilor din
canalul de control. Cele mai multe dintre protocoalelor multimedia, precum și a unor alte protocoale
(cum ar fi FTP, RPC, SQL * Net) implică mai multe canale.
Controlul Traficului
Deoarece CBAC inspectează pachetele la Nivelul Aplicație și menține inform ația sesiunilor
TCP și UDP, poate detecta și a preveni anumite tipuri de atacuri de rețea, cum ar fi SYN -flood. Un
atac SYN -flood apare atunci când un atacator de rețea „inundă” un server cu un număr mare de
cereri de conectare dar nu efectuează conexiunea până la capăt. Volumul conexiunilor pe -jumătate
deschise copleșește server -ul, determinând -ul să nege serviciul de cereri valabile. CBAC de
asemenea, ajută la protecția împotriva atacurilor DoS și în alte moduri. Se inspectează numere de
secvență în conex iunile de pachete TCP pentru a vedea dacă acestea se încadrează în intervalele
date și distruge orice pachete suspecte. CBAC poate fi configurat, de asemenea, să renunțe la
conexiuni pe -jumătate deschise, care necesită o prelucrare de către firewall și men țin resursele de
memorie la un nivel înalt.
Detecția Intruziunilor
CBAC oferă un număr limitat de detectare a intruziunii pentru a proteja împotriva atacurilor
specifice SMTP. Cu serviciul de detecție a intruziunilor, mesajele syslog sunt revizuite și
monitorizate pentru semnături de atac specifice. Anumite tipuri de atacuri de rețea au caracteristici
sau semnături specifice. Atunci când CBAC detectează un atac bazat pe aceste caracteristici
specifice, se resetează conexiunile ofensatoare și se trimit captările către server -ul syslog.
III.6 Securizarea accesului remote pe echipamente
Telnet – este un protocol de rețea care se folosește în Internet precum și în rețele de
calculatoare tip LAN la comunicația textuală, bidirecțională și interactivă, ba zată pe realizarea unei
conexiuni virtuale cu stația de lucru destinatară. Telnet este un protocol necriptat, pachetele sunt
trimise în clar inclusiv și parolele de login.
SSH (Secure Shell Protocol) – oferă mai multe servicii de rețea (postă electronică, transfer de
fișiere, conexiuni la distanță s.a.) în mod securizat, folosind algoritmi de criptare. SSH folosește
port-ul TCP 22.
17
Fig SSH
CAPITOLUL IV
Tehnici de securitate
După momentul î n care tehnicile de s ecuritate au fost implementate într -o rețea,
informațiile nu vor mai putea fi accesate sau interceptate de persoane neautorizate și se va
împiedica falsificarea informațiilor tran smise sau utilizarea neautorizată a anumitor servicii
destinate unor categorii aparte de utilizatori ai rețelelor.
Tehnici specifice utilizate pentru implementarea securitatii unei retele:
• protecția fizică a dispozitivelor de rețea și a liniilor de transmisie la nivelul fizic;
• proceduri de blocare a accesului la nivelul rețele;
• transport securizat al datelor in spatiul public prin tunele de securizare sau VPN -uri;
• aplicarea unor tehnici de criptare a datelor.
Lipsa unei politici de securitate riguroasă poate duce ca diversele mecanisme de
securitate sa poata fi aproape ineficiente intrucât nu ar corespunde st rategiei si obiectivelor
pentru care a fost proiectată rețeaua.
IV.1 Firewall
Firewall este un dispozitiv configurat să filtreze, să cripteze sau să intermedieze traficul între
diferite domenii de securitate pe baza unor reguli predefinite. Un firewall p oate ține la distanță
traficul din Internet cu intenții rele, de exemplu hackerii, viermii și anumiți tipuri de viruși, înainte
ca aceștia să pună probleme sistemului. Utilizarea unui firewall este importantă în special dacă
rețeaua sau calculatorul este c onectat în permanență la Internet.
dfsdfsdfdsfds
Un firewall este o aplicație sau un echipament care monitorizează și filt rează permanent
transmisiile de date realizate între un calculator sau rețea locală și Internet, în scopul implementării
unei politici de filtrare. Această politică poate însemna:
18
protejarea resurselor rețelei de restul utilizatoriilor din alte rețele simi lare, toate
interconectate printr -o rețea de arie largă sau/și Internet. Posibilii atacatori sunt indentificați,
atacurile lor asupra PC -ului sau rețelei locale putând fi oprite.
controlul resurselor la care au acces utilizatori din rețea.
Firewall – Stateful packet inspection
Furnizează servicii adiționale față de pachet filter, urmărește sesiunile TCP/UDP între
echipamente. Stateful inspection urmărește conexiunea care a pornit din rețeaua sigură și o
memorează în state session table. Această tabelă per mite temporar traficul din rețeaua untrusted
pentru canalul de comunicații care a fost inițiat din rețeaua trusted .
Conexiunea dintr -o rețea untrusted intr-o rețea trusted sunt monitorizate, astfel în cazul unui
atac de tip Denial of Service(DoS), dacă se detectează un număr mare de sesiuni deschise pe
jumătate, firewall -ul poate fi configurat să închidă sesiunea și să trimită mesaje de alertă indicând
faptul că are loc un atac.
Sesiunile TCP deschise pe jumătate indică faptul că three -way handshake -ul nu a fost
terminat. Sesiunile UDP deschise pe jumătate indică faptul că nu a fost detectat trafic de întoarcere.
Un număr mare de sesiuni deschise pe jumătate ocupă resursele echipamentelor, împiedicând
utilizatori să comunice.
Firewall – Proxy Services
Funcționează ca un middle -man pentru comunicația între echipamente. Furnizează securitate
în rețea ascuzând sursa reală a cererii, tot traficul va părea ca fiind inițiat din proxy. Serverele proxy
sunt folosite pentru a crea o copie(local cache) pentru toate cererile din exterior. Acest serviciu
îmbunătățește performanța rețelei cu lățime de bandă mică, permitând userilor să facă cereri de la
proxy, în loc să trimită la surse externe.
IV.2 IDS / IPS (Intrusion Detection/ Prevention System)
Detecț ia intruziun ilor este procesul de monitoriza re a evenimentelor care au loc într -un
sistem sau o rețea de calculatoare ș i analiza lor pentru a detecta posibile incidente c um sunt violări
sau ameniță ri iminente de violare a politicilor de securitate, a politicilor de ut ilizare acceptate sau a
practicilor standard de securitate. Prevenirea intruziunilor este procesul prin care se desfășoară
detecția intruziunilor și încercarea de î nlaturare a posibilelor incident e detectate. Sistemele de
detecție ș i prevenire ale intruziu nilor – IDS / IPS (Intrusion Detection / Prevention Systems) au ca
scop principal identi ficarea posibilelor incidente, înregistrarea informațiilor despre ele, încercarea
de înlăturare a incidentelor și raportarea că tre administratorii de securitate. În plu s, organizaț iile po t
folosi IDPS -urile ș i pentru alte scopuri: identificarea problemelor legate de politicile de s ecuritate,
documentarea amenințărilor existente și descurajarea userilor în a încă lca politicile de securitate.
IV.2.1 Sistem de Detectare a Intruziunilor (IDS)
Un sistem de detectare a intruziunilor (IDS) este dispozitiv sau o aplicație software care
monitorizează activitățile legate de rețea sau de sistem pentru activități rău intenționate sau încălcări
ale politicilor și produce rapoarte la o stație de management.
Intruziunile și atacurile de rețea costă scump companiile datorită furtului de informații,
pierderi de productivitate în urma serviciilor compromise, precum și a costurile pentru remedierea
calculatoarelor compromise. Pe parcursul ultimil or ani numărul de infiltrări în sistem este în
crește re și sunt din ce în ce mai sofisticate. Doar sistemele automate de decție și prevenire a
intruziunilor ar putea atenua atacuri complexe cu viteza necesară sau prevenirea pagubelor.
19
IV.2.1 .1 Tipuri de ID S-uri
Sistem de detecție al intruziunilor de tip network -based
Într-un sistem de detecție al intruziunilor de tip network -based – Network -based Intrusion
Detection System(NIDS) – senzorii sunt localizați în puncte critice ale rețelei care este mo nitorizată,
de ce mai multe ori la marginea rețelei sau în DMZ(demilitarized zone). Senzorii captează tot
traficul din rețea și analizează conținutul fiecărui pachet căutând urme de trafic malițios.
Un NIDS reprezintă o platformă independentă care indenti fică intruziunile prin examinarea
traficului din rețea. NIDS -urile pot vizualiza traficul din rețea prin conectarea lor la un hub sau la un
echipament swich configurat cu port mirroring.
Sistem de detecție al intruziunilor de tip host -based
Într-un sistem de detecție al intruziunilor de tip host -based – Host -based Intrusion Detection
System(HIDS) – senzorul constă, de obicei, într -un agent software care monitorizează toată
activitatea ce se desfășoară pe stația pe care este instalat, incluzând aici sistemu l de fișiere, kernel -ul
și chiar aplicați în unele cazuri.
Un HIDS reprezintă un agent care rulează local pe stație și care indetifică intruziunile
analizând activitățile sistemului, aplicațiile, modificările sistemului de fișiere și alte activități ale
stației.
Sisteme pasive și sisteme active
Într-un sistem pasi v, senzorul sistemului de detecț ie al intruziunilor (IDS) detectează o
potențială breșă de securitate, înregistrează informația și alertează administratorul folosind o metodă
specifică(mesaje în consolă, alerte, etc.). Î ntr-un sistem reactiv, cunoscut sub denumirea de Sistem
de Prevenire al Intruziunilor – Intrusion Pr evention System (IPS), IPS -ul răspunde activităț ii
suspicioase prin terminarea conexiunii sau prin reprogramarea firewall -ului de a bloca traficul de
rețea provenind de la sursă malițioasă suspectată. Aceasta se poate întâ mpla automat sau la
comanda unui operator.
Deși ambele se referă la securitatea unei rețele, și uneori noț iunile pot fi confundate, un IDS
diferă de un fi rewall deo arece firewall -ul urmăreș te semne ale in truziunilor pentru a le împiedica
să se întâmple. Un IDS evaluează o posibilă intruziune o dată ce a avut loc și semnalează o alertă.
Un sistem care termină conexiunea ca metodă de raspuns este un IPS ș i poate fi pri vit uneori ca o
formă de firewall la niv el de aplicaț ie.
Termenul IDPS – Sistem de Detectie ș i Prev enire al intruziunilor se referă la sistem e de
securitate hibride care atât detectează intruziunile cât și încearcă să le prevină .
IV.2.1.2 IDS-uri bazate pe anomalii și IDS -uri bazate pe semnă turi
Sistemele de detecție ale intruziunilor folosesc cel puțin una dintre cele două tehnici de
detecție: anomalii statice și/sau semnături.
IDS bazat pe anomalii statice – Un astfel de IDS stabilește o valoare inițial ă de performanță
bazată pe evaluări ale traficului normal din retea. După efectuarea acestui pas inițial, IDS -ul va
raporta traficul curent din rețea la valoarea inițială stabilită pentru a stabili dacă se încadrează în
limitele normale. Dacă traficul din rețea depășește limitele normale va fi generată o alarmă.
IDS bazat pe semnături – Un astfel de IDS examinează traficul din rețea cautând modele de
atac preconfigurate și predeterminate cunoscute sub numele de semnături. Multe atacuri astăzi au
semnături diferite. Pentru a putea face față amenințărilor o colecție de astfel de semnături trebuie
actualizată în permanență.
20
IV.2.1.3 Limitări ș i tehnici de evitare ale IDS -urilor
Capabilitățile unui IDS pot fi limitate de:
Zgomot – Zgomotul poate afecta în mod sever eficacitatea unui IDS. Pachete greșite,
generate de defecțiuni ale software -urilor, date DNS alterate și pachete locale care au scăpat
pot crea o rată foarte crescută de alarme false.
Prea puține atacuri – Nu este neobișnuit ca numărul de atacuri rea le să fie mult sub rata de
alarme false. Atacurile reale pot fi atât de mult sub rata de alarme false încât sunt de obicei
ignorate de către IDS.
Actualizarea semnăturilor – Multe atacuri sunt îndreptate către versiuni specifice de
software. Pentru a putea face față amenințărilor este nevoie de o colecție de semnături actualizată în
mod constant. O colecție de semnături care nu este actualizată poate lasă IDS -ul vulnerabil la
strategii noi de atac.
IV.2.1.4 Tehnici de evitare a IDS -urilor:
fragmentarea și trimiterea de pachete mici – o tehnică de bază care presupune fragmentarea
informației în mai multe pachete mai mici pentru a face imposibilă reconstruirea sesiunii la IDS
fragmente care se suprapun – tehnică ce presupune crearea de pachete cu numere ale s ecvenței
TCP care se suprapun încercând astfel să se exploateze faptul că sistemele de operare tratează
diferit această suprapunere: unele vor lua în considerare datele mai noi, altele datele mai vechi
violări de protocol – violări deliberate ale protocoal elor TCP sau IP în așa fel încât stația țintă să
manevreze diferit pachetele decât IDS -ul
inserarea de trafic în IDS – un atacator poate trimite pachete care să ajungă doar la IDS nu și la
stația țintă rezultând astfel o serie de alarme false
Atacuri de ti p DoS – un atacator poate evita un IDS prin efectuarea unui atac de tip DoS asupra
lui care să îi consume resursele sau care să genereze un număr foarte mare de alarme false reușind
astfel să ascundă atacul real
IV.2.2 IPS – Sisteme de prevenire a intruzi unilor
Un IPS este, în mod obișnuit, conceput pentru a opera complet invizibil în rețea. Produsele IPS nu
au de obicei o adresă IP din rețeaua protejată dar pot răspunde în mod direct oricărui tip de trafic
prin diverse metode (terminarea conexiunilor, ren unțarea la pachete, generarea de alerte, etc.)
Deși unele IPS -uri au abilitatea de a implementa reguli de firewall aceasta este de obicei o
funcție adițională și nu una din funcțiile de bază ale produsului. Mai mult, tehnologia IPS oferă o
mai bună monito rizare a operațiilor unei rețele furnizând informații despre stațiile active, încercările
de autentificare eșuate, conținut necorespunzător și alte funcții ale nivelelor rețea și aplicație.
Diferențe față de IDS -uri
IPS-urile au unele avantaje față de IDS -uri. Unul dintre acestea se referă la faptul că IPS –
urile sunt proiectate să fie implementate inline astfel încât tot traficul să treacă prin ele și să poată
preveni atacurile în timp real. În plus, multe dintre soluțiile IPS au capabilitatea să decodific e
protocoalele de nivel aplicație (HTTP, FTP, SMTP) oferind astfel o mai bună monitorizare. Totuși
atunci când se dorește implementarea unui IPS de tip network -based trebuie să se ia în considerare
faptul că dacă prin respectivul segment de rețea circulă t rafic criptat majoritatea produselor nu pot
să inspecteze astfel de trafic.
Un alt avantaj major ar fi faptul că unele dintre IPS -uri au posibilitatea de a corecta unele
dintre metodele de evitare ale IDS -urilor(atacuri de tip DoS, inserarea de trafic).
IV.2.2.1 Tipuri de IPS -uri
21
Host -based
Un Sistem de Prevenire al Intruziunilor este de tip host -based(HIPS) atunci când aplicația de
prevenire a intruziunilor se află pe adresa IP specifică sistemului protejat, de obicei o singură stație.
HIPS complementeaz ă metodele antivirus tradiționale bazate pe semnături deoarece nu necesită o
actualizare continuă pentru a putea răspunde atacurilor. Deoarece codul dăunător trebuie să
modifice sistemul sau alte componente software care se află pe mașina în cauză un HIPS va observa
aceste modificări și va încerca să prevină această acțiune sau să anunțe utilizatorul pentru
permisiune.
Dezavantajul major al unui astfel de produs constă în folosirea extensivă a resurselor stației
pe care se află.
Network -based
Un Sistem de Prevenire al Intruziunilor este de tip network -based (NIPS) atunci când
aplicația / echipamentul de prevenire al intruziunilor se află la o altă adresă IP decât stația pe care o
monitorizeaza. NIPS sunt platforme hardware/software care analizează, detecte ază și raportează
evenimente legate de securitatea unei rețele/segment de rețea de calculatoare.
Diferențe între IPS -uri de tip host -based și network -based
HIPS -urile pot lucra atât cu date criptate cât și cu date necriptate deoarece analiza se face
după ce datele au fost decriptate de către stație
NIPS -urile nu folosesc din memoria și procesorul stațiilor care le protejează ci dispun de
propria memorie și propriul procesor.
NIPS -urile se află în punctele critice ale rețelei și tot traficul depinde de buna lor
funcționare, fapt ce poate constitui un dezavantaj atunci când echipamentul este nefuncțional
NIPS -urile pot detecta evenimente distribuite în rețea(evenimente de prioritate joasă dar care
afectează mai multe stații din rețea) și pot reacționa în timp ce HIPS -urile au la dispoziție doar
datele de pe mașina pe care funcționează pentru a putea lua o decizie.
22
CAPITOLUL V
V.1 VPN – Virtual Private Network
Într-o lume î n care pericolul se raspandește cu o viteză ridicată și în care este din ce în ce
mai greu de controlat , iar ac est pericol a devenit o problemă foarte importantă mai ales pentru
companiile IT mandatate să protejeze datele informatice de așa -numiții hoți cibernetici.
Cu ani în urmă rețelele reprezentau doar u n prag către lumea de afară; erau utilizate în
principal pentru comunicarea între angajați și rareori pentru comunicarea în afara companiei. Acum
companiile nu î și mai pot izola rețeaua internă de mediul extern. Comerțul electronic, lanțurile de
furnizori de servicii și produse, telefonia mobilă și o serie de alte cerințe ale mediului de afaceri al
secolului XXI nu mai permit acest lucru .
Rețea Virtuală Privată (VPN – Virtual Private Network) conectează componentele și
resursele unei rețele private prin intermediul unei rețele publice. Altfel spus, o rețea virtuală privată
este o rețea internă implementată pe o infrastructură comună, folosind aceleași politici de securitate,
management și performanță care se aplică de obicei într -o rețea privată. Practic , tehnologia rețelelor
virtuale private permite unei firme să -și extindă prin Internet, în condiții de maximă securitate,
serviciile de rețea la distanță oferite utilizatorilor, reprezentanțelor sau companiilor partenere.
Avantajul este evident: crearea un ei legături de comunicație rapidă, ieftină și sigură.
V.1.1 Tehnologii VPN
Tehnologiile VPN oferă o cale de a folosi infrastructurile rețelelor publice cum ar fi
Internetul pentru a asigura acces securizat ș i privat la resursele rețelei interne a compan iei pentru
angajații din birourile aflate la distanță sau cei care lucrează de acasă, pentru partenerii de afaceri
sau chiar pentru clienți.
O rețea VPN poate fi realizată pe diverse rețele de transport deja existente: Internetul public,
rețeaua furnizor ului de servicii IP, rețele Frame Relay și ATM. Astăzi, tot mai multe VPN -uri sunt
bazate pe rețele IP.
Tehnologia VPN folosește o combinație de tunneling , autentificare , criptare și mecanisme și
servicii de control al accesului, folosite pentru a transp orta traficul pe Internet, o rețea IP
administrată, sau rețeaua unui furnizor de servicii.
Rețelele VPN sunt sigure pentru că realizează o criptare foarte sigură pentru a proteja datele
în timp ce traversează Internetul. Chiar dacă un hacker ar avea acces la comunicație, nu ar putea
înțelege datele transmise deoarece acestea vor fi criptate.
Un alt aspect important al tehnologiei VPN este că echipamentele VPN monitorizează datele
pe care le transmit, utilizând proceduri sofisticate pentru a se asigura că informația nu este alterată
în timpul transportului printr -o rețea public ă.
V.1.2 Modul de funcționare
VPN permite utilizatorilor să comunice printr -un tunel peste o rețea publică sau Internet în
așa fel încât aceștia să se bucure de aceeași securitate și posibilități puse la dispoziție numai în
rețelele private.
Pentru a utiliza Internetul ca o rețea privată virtuală, de tip WAN (Wide Area Network),
trebuie depășite două obstacole principale. Primul apare din cauza diversității de protocoale prin
23
care comunică rețelele, cum ar fi IPX sau NetBEUI, în timp ce Internetul poate înțelege numai
traficul de tip IP. Astfel, VPN -urile trebuie să găsească un mijloc prin care să transmită protocoale
non-IP de la o rețea la alta. Când un dispozitiv VPN primește o instrucțiune de transmitere a unui
pachet pr in Internet, negociază o schemă de criptare cu un dispozitiv VPN similar din rețeaua
destinație. Datele în format IPX/PPP sunt trecute în format IP pentru a putea fi transportate prin
rețeaua mondială. Al doilea obstacol este datorat faptului că pachetele de date prin Internet sunt
transportate în format text. În consecință, oricine poate vedea traficul poate să și citească datele
conținute în pachete. Aceasta este cu adevărat o problemă în cazul firmelor care vo r să comunice
informații confidențiale și, să folosească rețeaua Internet în același timp . Soluția la aceste probleme
a permis apariția VPN și a fost denumită tunneling. În loc de pachete lansate într -un mediu care nu
oferă protecție, datele sunt mai întâi criptate, apoi încapsulate în pachete de tip IP și trimise printr –
un tunel virtual prin Internet.
Confidențialitatea informației ce circulă prin VPN este asigurată prin criptarea datelor. În
trecut, rețelele private erau create folosind linii de comuni cație închiriate între sedii. Pentru a
extinde acest concept la Internet, unde traficul mai multor utilizatori trece prin aceeași conexiune,
au fost propuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite expeditorului să
încapsuleze datele în pachete IP care ascund infrastructura de rutare și comutare a Internetului la
ambele capete de comunicație. În același timp, aceste pachete încapsulate pot fi protejate împotriva
citirii sau alterării prin diverse tehnici de criptare.
Tunelurile pot a vea două tipuri de puncte terminale, fie un sistem individual, fie o rețea
LAN cu un gateway de securitate – poate fi un router sau un firewall. Orice combinație a acestor
două tipuri de puncte terminale poate fi folosită la proiectarea unei rețele VPN.
În cazul tunelării LAN -to-LAN, gateway -ul de securitate al fiecărui punct terminal servește
drept interfață între tunel și rețeaua privată LAN. Cazuri în care , utilizatorii ficecărui LAN pot
folosi tunelul în mod transparent pentru a comunica unii cu alții .
Cazul tunelului client -to-LAN, este cel stabilit de regulă pentru utilizatorul mobil care
dorește să se conecteze la rețeaua locală a firmei. Pentru a comunica cu rețeaua de firmă,
utilizatorul, inițiază crearea tunelului. Pentru aceasta, utilizatorul rulează un software client, care
comunică cu gateway -ul de protecție al rețelei LAN.
V.1.3 Avantaje ale tehnologiei VPN.
Mediul de afaceri este în continuă schimbare, multe firme îndreptându -și atenția spre piața
globală. Aceste firme devin regionale , multinaționale și toate au nevoie de: o comunicație rapidă,
fiabilă și sigură între sed iul central, filiale, birouri sau punctele de lucru, adică de o rețea WAN.
O rețea WAN tradițională presupune închirierea unor linii de comunicație, ISDN
(128/256Kbp s) sau fibră optică OC -3 (155 Mbps) care să acopere aria geografică necesară. O astfel
de rețea are avantaje clare față de una publică, cum este Internetul, când vine vorba de fiabilitate,
performanță și sec uritate. Dar crearea unei rețele WAN cu linii înc hiriate este suficient de scumpă,
proporțional cu aria geografică acoperită.
O dată cu creșterea popularității Internet -ului, firmele au început să își extindă propriile
rețele. La început au apărut intranet -urile, care sunt site -uri protejate p rin parolă destinate
utilizatorilor companiei. Acum, firme le și-au creat propriile VPN -uri pentru a veni în întâmpinarea
cerințelor userilor pentru a avea acces la rețea, de la distanță.
Un VPN poate aduce multe beneficii unei firme : extinde aria de conectivitate, sporește
securitatea, reduce costurile operaționale, crește productivitatea, simplifică topologia rețelei, oferă
oportunități de lucru într -o rețea externă , asigură suport pentru tendința afacerilor spre operare de la
distanță, operații distribuite global și operații de parteneriat foarte interdependente, în care
utilizatorii trebuie să se poate conecta la resursele centrale și să comunice unul cu celălalt , iar
firmele trebuie să -și administreze eficient stocurile pentru un ciclu de producție scurt.
V.1.4 Tipuri de rețele VPN.
Există 3 tipuri principale de VPN -uri:
24
• VPN -urile cu acces de la distanță (Remote Access VPN) permit userilor să se conecteze
dial-up securizat la un site central printr -o rețea publică. Acestea mai sunt numite și „dial” VPN -uri.
• VPN -urile intranet (Intranet VPN) permit extinderea rețelelor private prin Internet sau alt
serviciu de rețea publică într -o manieră securizată. Acestea sunt denumite și VPN -uri „site -to-site”
sau „LAN -to-LAN”.
• VPN -urile extranet (Extranet VPN) p ermit conexiuni securizate între partenerii de afaceri,
furnizori și clienți, în general în scopul realizării comerțului electronic. VPN -urile extranet sunt o
extensie a VPN -urilor intranet la care se adaugă firewall -uri pentru protecția rețelei interne.
Toate aceste rețele virtuale private au rolul de a oferi fiabilitatea, per formanța și securitatea
rețelelor WAN t radiționale, dar cu costuri scăzute și conexiuni ISP (Internet Service Provider)
flexibile. Tehnologia VPN poate fi folosită și într -un intr anet pentru a asigura securitatea și
controlul accesului la informații, resurse sau sisteme vitale. De exemplu, se poate limita accesul
anumitor utilizatori la sistemele financiare din companie sau se pot trimite informații confidențiale
în manieră securiz ată.
Acces VPN la distanță (Remote Access VPN) – permite conectarea individuală sau a unor
birouri la sediul central al unei firme, aceasta realizându -se în cele mai sigure condiții
Există două tipuri de conexiuni VPN de acest fel:
Conexiune iniția tă de client – Clienții care vor să se conecteze la site -ul firmei trebuie să
aibă instalat un client de VPN, acesta asigurându -le criptarea datelor între computerul lor și sediul
ISP-ului. Mai departe conexiunea cu sediul companiei se face în mod criptat, în concluzie întregul
circuit al informației se face în mod criptat. În cazul acestui tip de VPN sunt folosiți o multitudine
de clienți de VPN.
Access VPN inițiat de serverul de acces – acest tip de conexiune este ceva mai simplă pentru
că nu implică fo losirea unui client de VPN. Tunelul criptat se realizează între server -ul de acces al
ISP-ului și sediul firmei la care se vrea logarea. Între client și server -ul de acces securitatea se
bazează pe siguranța liniilor telefonice.
Intranet VPN – permite conectarea din diferite sedii ale unei firme folosind legături dedicate
(permite realizarea unor medii client -server foarte performante prin utilizarea conexiunilor dedicate
care pot să atingă rate de transfer foarte bune). Diferența față de Remote Access VPN constă în
faptul că se folosesc legături dedicate cu rata de transfer garantată, fapt care permite asigurarea unei
foarte bune calități a transmisiei pe lângă securitate și bandă mai largă. Arhitectura aceasta
utilizează două routere la cele două cape te ale conexiunii, între acestea realizându -se un tunel
criptat. În acest caz nu mai este necesară folosirea unui client de VPN ci se folos ește IPSec. IPSec
(IP Security Protocol) este un protocol standardizat de nivel 3 care asigură autentificarea,
confi dențialitatea și integritatea transferului de date între o pereche de echipamente care comunică.
Folosește ceea ce se numește Internet Key Exchange (IKE) care necesită introducerea la ambele
capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciprocă.
Extranet VPN – este folosit pentru a lega diferiți clienți sau parteneri de afaceri la sediul
central al unei firme folosind linii dedicate, conexiuni partajate, securitate maximă
Acest tip de VPN este asemănător cu Intr anet VPN cu diferența că sunt extin se limitele
intranetului permițând logarea la sediul companiei a unor parteneri de afaceri, clienți etc.; acest tip
permite accesul unor utilizatori care nu fac parte din structura companiei . Pentru a permite acest
lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate. Certificatele
digitale sunt furnizate de o autoritate care are ca activitate acest lucru.
Exista doua tipuri de VPN in ceea ce priveste securitatea: VPN securizate si VPN
fiabile.
25
VPN cu livrare sigură (Trusted VPN)
Înainte ca Internetul să devine aproape universal, o rețea virtuală privată consta în unul sau
mai multe circuite închiriate de la un furnizor de comunicații. Fiecare circuit închiriat se comporta
ca un singur fir într -o rețea controlată de client. Deasemenea, câteodată furnizorul ajută la
administrarea rețelei clientului, dar ideea de bază era ca acesta, clientul, să poată utiliza aceste
circuite închiriate la fel ca și cablurile fizice din rețeaua pro prie.
Siguranța oferită de aceste VPN -uri „moștenite” se referea doar la faptul că furnizorul de
comunicații asigura clientul că nimeni altcineva nu va folosi aceleași circuite. Acest lucru permitea
clienților să aibă adresarea IP și politici de securitat e proprii. Circu itele închiriate treceau prin unul
sau mai multe switch -uri de comunicații, fiecare dintre acestea putând fi compromis de către cineva
doritor să intercepteze traficul rețelei. Clientul VPN avea încredere că furnizorul de VPN va
menține int egritatea circuitelor și va utiliza cele mai bune echipamente pentru a e vita interceptarea
traficului din rețea. De aceea, aceste rețele se numesc VPN cu livrare sigură (Trusted VPN).
VPN securizate (Secure VPN)
Odată cu popularizarea Internetului ca un mediu de comunicații corporativ, securitatea a
devenit un aspect important atât pentru clienți cât și pentru furnizori. Văzând că VPN cu livrare
sigură nu oferă o reală securitate, furnizorii au început să creeze protocoale care permit criptarea
traficu lui la marginea rețelei sau la calculatorul de origine, trecerea prin rețea ca orice alte date și
apoi decriptarea în momentul în care datele ajung la rețeaua corporativă sau calculatorul de
destinație. Acest trafic criptat se comportă de parcă ar fi un tu nel între cele două rețele: chiar dacă
un atacator poate observa traficul, nu -l poate citi și nu îi poate schimba conținutul fără ca aceste
schimbări să fie observate de partea de recepție și, în concluzie, rejectate. Rețelele construite
utilizând criptare a se numesc VPN securizate (Secure VPN).
Furnizorii de servicii au început să ofere un nou tip de VPN cu livrare sigură, de data asta
folosind Internetul în loc de rețeaua telefonică, ca suport pentru comunicații. Noile VPN -uri cu
livrare sigură tot nu of eră securitate perfectă, dar dau posibilitatea clienților să creeze segmente de
rețea pe ntru WAN -uri. În plus, segmentele de VPN cu livrare sigură pot fi controlate dintr -un singur
loc și deseori furnizorul garantează o anumită calitate a serviciilor (QoS – Quality of Service).
VPN hibrid (Hybrid VPN)
Un VPN securizat poate rula ca parte a unui VPN cu livrare sigură, creând un al treilea tip
de VPN, foarte nou pe piață: VPN hibrid (Hybrid VPN). Părțile sigure a unui VPN hibrid pot fi
controlate de clien t sau de același furnizor care asigură partea de încredere a VPN -ului hibrid.
Câteodată întregul VPN hibrid este asigurat cu VPN -ul securizat dar, de obicei, doar o parte a VPN
hibrid este sigură .
Cerințe de baza pentru VPN -uri
La adoptarea unei rețel e virtuale private prin Internet există două probleme majore:
securitatea și performanța. Protocolul de control al transmisiei (TCP/IP) și Internetul nu au fost
gândite inițial să asigure în principal securitate și performanță, deoarece la acea vreme util izatorii și
aplicațiile lor nu necesitau o securitate puternică și o performanță garantată. Din fericire,
standardele pentru securitatea datelor din rețelele IP au evoluat, fiind posibilă crearea VPN -urilor
folosind rețele IP.
În mod normal, când proiect ează o soluție de acces de la distanță la o rețea, o companie
dorește să permită accesul controlat la resurse și informații. Soluția trebuie să permită clienților
autorizați să se conecteze ușor la LAN -ul corporației, și să permită sucursalelor să se conec teze între
ele pentru a pune în comun informații și resurse (conexiuni LAN -LAN). În plus, soluția trebuie să
asigure securitatea și integritatea datelor când traversează Internet -ul. Aceleași preocupări apar și în
cazul când datele ce trebuie protejate tra versează inter -rețeaua corporației.
VPN trebuie să realizeze cel puțin următoarele funcții vitale:
26
▪ Autentificarea utilizatorului. Trebuie să verifice identitatea utilizatorului și să permită
accesul prin VPN numai utilizatorilor autorizați. În pl us, trebuie să permită monitorizarea și
jurnalizarea activităților pentru a arăta cine și când a accesat o anume informație.
▪ Gestionarea adreselor. T rebuie să asocieze unui client o adresă din rețeaua privată, să se
asigure că adresele private rămân se crete.
▪ Criptarea datelor. Datele transferate prin rețeaua publică trebuie făcute ilizibile pentru
clienții neautorizați.
▪ Gestiunea cheilor. Trebuie să genereze și să împrosp ăteze cheile de criptare dintre client și
server.
Suport multiprotocol. Trebuie să fie capabilă să manevreze protocoalele existente în rețelele
publice, cum ar fi Internet Protocol (IP), Internet Packet Exchange (IPX), etc.
Metode de transmisie prin VPN
Pentru a asigura confidențialitatea datelor într -o transmisie pe cana le de comunicații
nesigure, cum este Internet -ul, se pot folosi diverse tehnici criptografice. Modul de transmisie
utilizat în cazul unei soluții VPN va determina care din părți ale unui mesaj trebuiesc criptate. Unele
soluții criptează întregul mesaj (an tetul IP și datele din mesaj), în timp ce altele criptează doar
datele. Cele patru moduri de transmisie întâlnite în soluțiile VPN sunt:
1.In Place Transmission Mode (modul de transmisie „in -place”) – este de obicei o soluție
specifică unui anumit produc ător, în care doar datele sunt criptate. Dimensiunea pachetelor nu este
afectată, prin urmare mecanismele de transport nu sunt afectate.
2. Transport Mode (modul transport) – doar segmentul de date este criptat, deci mărimea
pachetului va crește. Acest mo d oferă o confidențialitate adecvată a datelor pentru rețele VPN de tip
nod-la-nod.
3. Encrypted Tunnel Mode (modul tunel criptat) – informația din antetul IP și datele sunt
criptate, anexându -se o nouă adresă IP, mapată pe punctele terminale VPN. Se asig ură o
confidențialitate globală a datelor.
4. Non – encrypted Tunnel Mode (modul tunel necriptat) – nici o componentă nu este
criptată, toate datele sunt transportate în text clar. Nu se oferă nici un mijloc de asigurare a
confidențialității datelor.
Deși pare ciudat, există și soluții VPN care nu realizează nici un mod de criptare. În schimb,
pentru a oferi un grad de confidențialitate a datelor, ele se bazează pe tehnici de încapsulare a
datelor, cum ar fi protocoalele de tunelare sau forwarding. Nu toate protocoalele de tunelare și
forwarding folosesc un sistem criptografic pentru confidențialitatea datelor, ceea ce înseamnă că
toate datele vor fi transmise în clar, punând sub semnul întrebării cum poate o astfel de soluție să
asigure protecția împot riva interceptării datelor – cerință critică în cazul rețelelor VPN.
Din nefericire, terminologia utilizată în industria de profil poate să contribuie la apariția de
astfel de confuzii. Pentru clarificarea acestor confuzii, trebuie c a utilizatorul să ide ntifice c e mod de
transmisie este folosit. Ca și în cazul autentificării datelor și a utilizatorilor, modurile de transmisie
trebuie să fie analizate dacă sunt criptate sau necriptate. Dacă o soluție VPN nu furnizează nici o
formă de criptare în scopul con fidențialității datelor, atunci această soluție poate fi denumită mult
mai corect Virtual Network (VN – rețea virtuală), din moment ce nimic nu este privat în această
rețea Internet, între sursă și destinație.
Encapsularea generică
Generic Router Enca psulation (GRE) reprezintă o metodă de dirijare a pachetelor IP care
sunt nerutabile. De asemenea se poate folosi și pentru rutarea pachetelor multicast peste rețele
incompatibile. GRE poate ruta pachete non -IP (cum ar fi AppleTalk, Internetwork Packet Exchange
sau IPX) peste rețele IP.
V.2 Tunelarea
27
Implementarea unui VPN p resupune crearea unui tunel printr -o rețea publică prin
intermediul căruia să fie transferate datele. Datele de transferat (încărcătura – payload) pot fi
pach etele altui protocol. În loc de a transmite cadrul în forma în care a fost produs de nodul sursă,
protocolul de tunelare încapsulează cadrul într -un antet adițional. Acest ă conține informații de
rutare astfel încât încărcătura încapsulată poate traversa inter -rețeaua intermediară. Pachetele
încapsulate sunt apoi rutate între capetele tunelului prin in ter-rețea.
Calea logică pe care pachetele încapsulate o urmează în inter -rețea se numește tunel. Odată
ce cadrele încapsulate ajung la destinație prin inter -rețea, cadrul este decapsulat și trimis la
destinația sa finală. De notat că tunelarea include într egul proces: încapsulare, transmitere și
decapsulare a pachetelor. Pentru realizarea unui tunel, clientul și serverul de tunel trebuie să
folosească același protocol de tunelare.
Tehnologia de tunelare poate fi bazată pe un protocol de tunelare pe nivel 2 sau 3 ale
modelului de referință OSI . Protocoalele de nivel 2 ( nivelul legătură de date ), și folosește cadre ca
unitate de schimb. PPTP, L2TP și L2F sunt protocoale de tunelare pe nivel 2 ale modelului de
referință OSI, ele încapsulează încărcătura într -un cadru PPP pentru a fi transmis peste inter -rețea.
Protocoalele de nivel 3 (nivelului rețea ) și folosesc pachete. IP peste IP și Tunel IPSec sunt exemple
de protocoale care încapsulează pachete IP într -un antet IP adițional înainte de a le transmite peste o
inter-rețea IP.
Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemănător cu o
sesiune; ambele capete ale tunelului trebuie să cadă de acord asupra tunelului și să negocieze
variabilele de configurare, cum ar fi atribuirea adrese lor, criptarea și comprimarea. Datele
transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea
tunelului se folosește un protocol de menținere a tunelului.
Tehnologiile de tunelarea pe nivel 3 pleacă de la premiza că toate etapele de configurare au
fost efectuate. Pentru aceste protocoale, poate să nu existe faza de menținere a tunelului. Pentru
protocoalele de nivel 2, un tunel trebuie creat, menținut și distrus. Implementarea unui VPN
presupune crearea unui ”tunel” printr -o rețea publică prin intermediul căruia să fie transferate
datele.
Tunelarea este procesul prin care se introduce întreg pachetul IP în interiorul unui alt pachet,
cu antete distincte, acest a fiind trimis ulterior prin rețea. Protocolul pachetului rezultat în urma
tunelării este recunocut de către rețea și de către ambele noduri sursă și destinație, la nivelul
interfețelor de tunelare, prin care pachetele intră și ies din rețea. Tunelarea necesită trei protocoale
diferite:
– protocolul de transpo rt (IP), protocolul utilizat de către rețeaua prin care se transferă
informația (rețeaua publică de Internet sau orice rețea privată);
– protocolul de încapsulare care împachetează și criptează datele originale cu un antet
distinct (GRE, IPSec, L2F, PPTP , L2TP);
– protocolul pasager din rețeaua sursă care transmite date în pachetul trimis prin tunel (IPX,
NetBeui, IP , etc.).
V.2.1 Protocoale de tunelare de nivel 2 OSI
Protocoalele de tunelare de nivel 2 corespund nivelului legătură de date și folosesc cadre ca
unitate de schimb. Ele încapsulează încărcătura într -un cadru PPP pentru a fi transmis peste inter –
rețea. Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemănător cu o
sesiune; ambele capete ale tunelului trebuie să cadă de acord asupra tunelului și să negocieze
variabilele de configurare, cum ar fi atribuirea adreselor, criptarea sau comprimarea. Datele
transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea
tunelului se folosește un protocol de menținere a tunelului. Pentru protocoalele de nivel 2, un tunel
trebuie creat, menținut și distrus.
Layer 2 forwarding este un protocol de tip forwarding, folosit pentru tunelarea protocoalelor
de nivel înalt într -un protocol de nivel 2. Un exemplu este folosirea ca protocoale L2: HDLC,
HDLC asincron sau cadre SLIP. Deși această soluție facilitează conectivitatea pe linii de acces în
28
rețele cu comutație de circuite, informația din fluxul L2F nu este criptată. Acest protocol a fost creat
de Cisco. Combinat cu PPTP, constituie componentă a L2TP.
Point to point tunneling protocol, reprezintă o extensie a Point -to-Point Protocol (PPP), care
încapsulează datele, IPX sau NetBEUT în pachetele IP. Acest protocol este folosit în mod
fundamental de ec hipamentele ISP, deoarece duce la un numitor comun participanții la sesiuni de
comunicații. Este cea mai cunoscută dintre opțiunile pentru securitatea transferului de date în
rețeaua VPN. Dezvoltat de Microsoft pentru a fi folosit cu serviciul de rutare ș i acces de la distanță.
Acesta permite traficului IP, IPX și NetBEUI să fie criptat și încapsulat într -un antet IP pentru a fi
transmis peste o inter -rețea IP de corporație sau publică (Internet).
PPTP suportă criptare pe 40 de biți și 128 de biți și poate folosi orice schemă de
autentificare suportată de PPP. Ca și L2F, PPTP permite tunneling -ul unor cadre PPP de la clientul
îndepărtat între un NAS și un VPN gateway / concentrator.
Layer 2 Tunneling Protocol, este o combinație dintre un protocol al firme i Cisco Systems
(L2F) și cel al firmei Microsoft denumit Point -to-Point Tunneling Protocol (PPTP). Tunelul L2TP
este creat încapsulând un cadru L2TP î n interiorul unui pachet UDP, cel din urmă fiind încapsulat î n
interiorul unu i pachet IP a carui adrese su rsă și destinaț ie definesc capetele tunelului.
Conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX și AppleTalk,
L2TP poate fi rulat pe orice tip de rețea WAN, inclusiv ATM, X.25 sau SONET. Cea mai
importantă trăsătură a L2TP este fo losirea protocolului Point -to-Point, inclus de Microsoft ca o
componentă a sistemelor de operare Windows 95, Windows 98 și Windows NT. Astfel că orice
client PC care rulează Windows este echipat implicit cu o funcție de tunneling, iar Microsoft
furnizează și o schemă de criptare denumită Point -to-Point Encryption. În afara capacității de creare
a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la același client.
V.2.2 Protocoale de nivel 3 OSI
Protocoalele de nivel 3 corespun d nivelului rețea, folosesc pachete IP și sunt protocoale care
încapsulează pachete IP într -un antet IP adițional înainte de a le transmite peste o inter -rețea IP.
Tehnologiile de tunelare pe nivel 3 pleacă de la premiza că toate setările de configurare au fost
efectuate, de multe ori manual. Pentru aceste protocoale, nu trebuie să existe faza de menținere a
tunelului. Tunelul odată stabilit, datele tunelate pot fi trimise. Clientul sau serverul de tunel
folosește un protocol de transfer de date de tunel pentru a pregăti datele p entru transfer. De
exemplu, un client -ul de tunel trimite informația utilă către server -ul de tunel, clientul de tunel
adaugă un antet de protocol de transfer de date de tunel la informația utilă. Apoi client -ul trimite
informația încapsulată rezultată prin inter -rețea, care o dirijează către server -ul de tunel. Server -ul
de tunel acceptă pachetul, elimină antetul de protocol de transfer de date și transmite informația
utilă la rețeaua țintă. Informația trimisă între server -ul de tu nel și client se comportă similar.
Generic Routing Encapsulation este un protocol de tunelare dezvoltat de Cisco care poate
încapsula o mare varietate de tipuri de pachete ale protocoalelor de rețea în interiorul tunelelor IP,
creând o legătură virtuală pu nct la punct, între routere aflate la distanță, peste o rețea IP.
Pentru rutarea cu adrese private, se încapsulează pachetele IP transmise în Internet cu antete
suplimentare prin așa -numitul mecanism GRE, descris în RFC 1701. Pachetului inițial (payload
packet /original packet) i se adaugă un antet GRE (GRE Header) și un antet de expediere privind
modul de transfer specificat conform protocolului de rețea (delivery header).
În antetul GRE se specifică ruta pe care se va trimite forțat pachetul la destinație , fără
a se lua alte decizii de rutare în routerele intermediare. GRE asigură transparența adreselor
intermediare și securitatea transmisiei, prin realizarea unui așanumit "tunel de transmisie"
(tunnelling) .
În cazul încapsulării pachetelor IP pentru tra nsmisii cu IP (IP over IP) conform RFC1702,
standard definit pentru GRE. Adresele IP private pot fi utilizate în încapsularea GRE astfel încât
cadrul să fie interpretat ca fii nd încapsulat GRE și routerele ” de la distanță ” să extragă adresa de
destinație p rivată din pachetul original.
Tunelarea are implicații importante pentru VPN -uri. Astfel se pot transmite pachete care
utilizează adrese IP private în interiorul unui pachet care utilizează adrese IP reale, în acest fel se
29
poate extinde rețeaua privată pri n Internet. Dar se poate transmite și un pachet care nu este suportat
de protocolul Internet (NetBeut ) în interiorul unui pachet IP iar acesta poate fi apoi transmis cu
ușurință prin Internet.
Deși VPN -urile construite peste Internet folosind GRE sunt posi bile, sunt foart e rar folosite
de firme datorită riscurilor și lipsei de mecanisme de securitate.
Internet Protocol Security sau IPSec, este o suită de protocoale care asigură securitatea unei rețele
virtuale private prin Internet.
Orice persoană care folo sește VPN este preocupată de securizarea datelor când traverse ază o
rețea publică. D ezvoltarea VPN -urilor pe baza rețelei publice Internet poate însemna reducerea
costurilor semnificativ de mult comparativ cu liniile închiriate.
Serviciile IPSec permit aut entificare, integritate, confidențialitat e și controlul accesului. Cu
IPSec, schimbul de informații între locațiile de la distanță poate fi criptat și verificat. Cu I PSec pot
fi dezvoltate soluții atât la distanță, cât și site -to-site.
IPSec este poate cel mai autorizat protocol pentru păstrarea confidențialității și autenticității
pachetelor trimise prin IP. Protocolul funcționează cu o largă varietate de scheme de criptare
standard și negocieri ale proceselor, ca și pentru diverse sisteme de securitate, incluzând semnături
digitale, certificate digitale, chei publice sau autorizații. Încapsulând pachetul original de date într -o
destinație. Deoarece nu există modalități de autentificare sau criptare licențiate, IPSec se detașează
de celelă lte protocoale pr in interoperabilitate. El va lucra cu majoritatea sistemelor și standardelor,
chiar și în paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea și
autentificarea criptării în timp ce o rețea virtuală de tip L2TP primește un pachet, in ițiază tunelul și
trimite pachetul încapsulat către celălalt terminal VPN.
IPSec folosește un algoritm pentru schimbarea cheilor între părți, numit Internet Key
Exchange (IKE), care p ermite calculatoarelor să aleagă o cheie de sesiune în mod securizat,
folosind protocoalele ISAKMP pentru crearea de Security Associations și OAKLEY bazat pe
algoritmul Diffie -Hellman pentru schimbarea cheilor între cele două părți. IKE se poate folosi
în conjuncție cu Kerberos, certificate X.509v3 sau chei preshared.
Pentru a securiza comunicația în rețea cu IPSec între calculatoarele Windows se foloseste o
colecție de reguli, filtre și politici pentru a permite în mod selectiv doar comunicația pentru anumite
protocoale.
Politicile de IPSec pot fi create și aplicate cu Group Po licy pentru calculatoarele din
domeniu. Pentru calculatoare care nu sunt în domeniu, de exemplu serverele bastion, politicile pot fi
aplicate cu script -uri linie de comandă.
Implementarea unei soluții VPN de comunicație reliefează unele probleme specifice ,
problem elor ce apar din cauza absenței standardelor. Internet Engineering Task Force (IETF) a
stabilit un grup de lucru dedicat definirii standardelor și protocoalelor legate de securitatea
Internetului. Unul dintre cele mai importante scopuri ale acestu i grup de lucru este finalizarea
standardului IPSec, care definește structura pachetelor IP și considerentele legate de securitatea în
cazul soluțiilor VPN.
In ultimi ani î n cadrul IETF, grupul de lucru IPSec a înregistrat mari progrese în adăugarea
de teh nici de securitate criptografice la standardele pentru infrastructura Internet. Arhitectura de
securitate specificată pentru IP ofera servicii de securitate ce suportă combinații de autentificare,
integritate, controlul accesului și confidențialitate.
Tune le GRE cu protecție IPSec. GRE este un protocol de tunelare dezvoltat de Cisco care
poate înmagazina o multitudine de tipuri de pachete ale protocoalelor de rețea în interiorul tunelelor
IP, creând o legătură virtuală punct la punct, între routere aflate l a distanță, peste o rețea IP.
Tunelele GRE sunt create să fie complete, fără o stare persistentă, astfel fiecare capăt de
tunel nu încapsuleaza nici o informație despre starea și disponibilitatea capătului de tunel de la
distanță. O urmare a faptului acest a este că ruter -ul din capătul de tunel nu are abilitatea de a marca
protocolul liniei interfeței tunelului GRE ca fiind inaccesibil dacă ruter -ul de la distanță, din celălalt
capăt, nu este funcțional. Posibilitatea de a exprima că interfața este nefuncț ională către celălalt
capăt este eficientă pentru retragerea rutelor care o folosesc ca și interfață de ieșire, din tabela de
rutare (în special rutele statice).
30
O interfață de tunel GRE este funcțională din momentul în care este configurată și rămâne
așa cât timp este o adresă sursă a tunelului validă. Adresa IP destinație a tunelului trebuie să fie
mereu rutabilă. Acest lucru este adevărat chiar dacă celălalt capăt al tunelului nu a fost configurat.
Astfel, o rută statică a pachetelor via interfața tunelu lui GRE rămâne în vigoare chiar dacă pachetele
tunelului GRE nu găsesc celălalt capăt de tunel.
Construirea unei rețele virtuale private folosind IPSec pentru conectivitatea dintre capete are
câteva limitări:
– IPSec poate cripta / decripta doar traficul IP;
– traficul IP destinat unei adrese de difuzare nu poate fi procesat de IPSec, ceea ce înseam nă
că nu poate traversa tunelul;
– de asemenea, rutarea dinamică folosind procoale ca EIGRP, OSPF, RIPv2 nu pot fi
configurate între două capete IPSec.
Aceste probleme se pot rezolva prin configurarea unui tunel GRE între cele două noduri și
aplicarea ulterioară a protecției IPSec p e acest tunel. Tunelul GRE încadrează orice informație utilă
dintr -un pachet unicast destinat unui capăt GRE.
În momentul câ nd se u tilizează GRE îmbinat cu IPSec se poate folosi atât modul tunel
cât și cel transport (modul tunel va adăuga un antet IP pachetelor GRE, în timp ce modul transport
va folosi antetul original GRE).
Teoret ic, modul transport se recomandă î n momentul când se u tilizează combinarea dintre
IPSec și GRE pentru că deja protocolul de încapsulare GRE adaugă un antet IP nou pachetului util.
Totuși, această situație presupune existența unor adrese IP sursă și destinație care sunt accesibile
prin calea IP dintre noduri.
Utilizarea protocolului GRE împreună cu IPSec face configurarea echipamentelor VPN mai
simplă. În situația tradițională IPSec era nevoie de o politică anume care să specifice subrețelele
protejate pentru ca traficul dintre acestea să fie criptat / decripta t și de fiecare dată când o subrețea
era adăugată trebuia să fie reînnoită structura la ambele capete. În cazul utilizării GRE, regulile
trebuie să corespundă doar traficului dintre adresele de capăt GRE , tot ce trece prin tunelul GRE
este criptat.
Unul di n multiplele motive pentru care este bine să foloseș ti GRE combinat cu IPSec
este faptul ca există astfel posibilitatea de a rula protocoale dinamice între locații pentru a anunța
subrețelele protejate. Rutarea dinamică ajută implicit și în situații de eșe c a transferului, in acest fel
se pot detecta interfețele care nu mai funcționează și nu mai participă în VPN.
V.3 Protocolul IPSec
Securitatea unei rețele de calculatoare poate fi afectată de mai mulți factori, cum ar fi:
dezastre sau calamități natural e, defectări ale echipamentelor, greșeli umane de operare sau
manipulare, fraude. Pentru asigurarea securității unei rețele s -au creat așa numitele servicii de
securitate care au scopul de a asigura securitatea aplicațiilor precum și a informațiilor stocat e pe
suport sau transmise prin rețea. Când este vorba despre securitatea unei rețele apar mai multe
aspecte, cum ar fi: securizarea accesului fizic și logic, securitatea serviciilor de rețea, secretizarea
informațiilor etc. Au fost implementate mai multe m etode pentru a prote ja și spori gradul de
securitate. Majoritatea metodelor s‐au concentrat pe nivelurile superioare ale modelului OSI pentru
a compensa lipsa de securitate a adreselor IP. Ceea ce era necesar era o soluție care să asigure
securitatea la ni vel IP astfel încât toate protocoalele la niveluri mai înalte în TCP / IP să poată
profita de aceasta . Când s‐a luat decizia de a dezvolta o noua versiune a IP (IPv6), aceasta a
însemnat un prilej unic pentru a rezolva nu doar problemele din IPv4, dar de a semenea și lipsa de
securitate. Noua tehnologie de securitate a fost dezvoltată luând în considerare un IPv6, deoarece au
fost necesari ani buni pentru ca IPv6 să fie realizat și introdus, iar nevoia de securitate era urgentă,
soluția a fost concepută pent ru a fi utilizată atât pentru IPv4 cât și pentru IPv6.
Tehnologia care aduce comunicații securizate la Protocolul de Internet este numită IPSec (IP
Security ).
31
Figura 2.3.1 Prezentare generală VPN IPSec [HTTP11]
IPSec este o suită de protocoale pentru securizarea comunicațiilor peste stiva TCP/IP.
Această suită se bazează pe folosirea funcțiilor matematice și a algoritmilor de criptare și
autentificare pentru a asigura confidențialitatea, integritatea și non -repudierea inform ațiilor din
fiecare pachet IP transmis pe rețea. IPSec este una dintre cele mai folosite metode de securizare a
transmisiei pe rețeaua Internet, alături de SSL (Secure Sockets Layer) și TLS (Transport Layer
Security).
IPSec nu este doar un protocol, ci m ai degrabă un set de servicii și protocoale care oferă o
soluție completă de securitate pentru o rețea IP. Aceste servicii și protocoale se combină pentru a
oferi diferite tipuri de protecție. Deoarece IPSec lucrează la nivelul IP, poate oferi aceste prote cții
pentru orice aplicație sau protoc ol de nivel superior TCP / IP fără a fi nevoie de metode
suplimentare de securitate, ceea ce prezintă un avantaj major. Unele dintre tipurile de servicii de
protecție oferite de IPSec includ:
Criptare a datelor pentru confidențialitate.
Autenticitatea integrității mesajelor pentru a se asigura că nu sunt modificate pe traseu.
Abilitatea anumitor echipamente de a negocia algoritmi de securitate și chei necesare pentru
a asigura comunicarea securizată.
Protecție la anu mite tipuri de atacuri, ca „reply attack1”.
Două moduri de securizare: tunelat și transport pentru a satisface diferitele necesități ale
rețelei.
Internet Protocol Security (IP Sec) reprezintă un protocol de securita te bazat pe reguli ce
protejează datele transmise pe nivelul de reț ea. IPSec permite autentificarea și criptarea la cerer e a
comunicațiilor IP între două sisteme. Pachetele IPSec sunt semnate, verificate, criptate si decriptate
la nivelul de transport, fiind transparent pentru aplicații. O col ecție de RFC -uri (Request for
Comments) definesc arhitectura, serviciile și protocoalele specifice utilizate în IPSec.
IPSec este un protocol de criptare ce lucrează la nivelul 3 (Rețea) al modelului OSI și
asigură transmisia criptată a datelor. Stabilir ea unui VPN de tip IPSec are loc în urma negocierii
între cele două părți ale unui mod standard de comunicație în sensul de a opera cu o politică de
securitate comună, aceași metodă de autentificare și de a utiliza aceiași algoritmi de criptare. Odată
nego ciată acestă politcă, se crează un tunel de comunicații între două locații, ce poate traversa mai
multe rețele intermediare nesigure și astfel utilizatorul are acces la rețea și la resursele acesteia din
cealaltă locație. Pentru a avea acces la rețea prin VPN via IPSec, pe fiecare calculator de la care se
dorește accesul, se instalează un ”client” VPN.
32
IPSec este cunoscut drept un protocol oportunist deoarece poate fi activat la cerere – pentru
unele sau toate conexiunile – bazat pe criterii puse de admini strator precum adresa IP, protocol sau
port. IPS ec este mai mult decat o unealtă pentru securizarea pachetelor. IPSec este recomandat
pentru urmatoarele :
• Filt rarea Pachetelor – IPSec asigură servici i de bază pentru firewall prin determinarea
trafic ului p ermis s -ă intre / iasă dintr -un sistem. Această filtrare ar trebui folosită în cadrul unei
strategii de apărare î n adancime.
• Securizarea traficului între două sisteme – IPSec poate fi util izat la securizarea traficului
între calculatoare. Această apărare se realizează prin crearea unor politici IPSec ce includ o gama de
adrese IP că rora li se va aplica IPSec
• Securizarea traficului c ătre servere – Se poate seta protecție IPSec pentru clienț ii ce se vor
conecta la server. I PSec permite specificarea clienț ilor care au acces la server.
• L2TP/IPSec pentru conexiuni VPN – IPSec poate fi folosit în combinaț ie cu Layer Two
Tunneling Protocol (L2TP) pentru securizarea conexiunilor VPN.
• Tunel între Site -uri – Se poate utiliza IPSec î n mod tunel pentru a furniz a interoperab ilitate
cu sisteme ce nu suportă conexiune L2TP / Ipsec sau PPTP.
V.3.1 Modurile IPSec
Implementarea celor trei arhitecturi diferite poate fi utilizată pentru a oferi facilități IPSec la
rețelele TC /IP. Alegerea pe ntru a pune în aplicare, pr ecum și modul în care implementăm la
gazdele finale sau routere, are impact asupra modului specific în care IPSec funcționează. Două
moduri specifice de funcționar e sunt definite pentru IPSec, cum sunt legate de aceste arhitecturi,
numite mod transport și de mod tunelat. Modurile IPSec sunt strâns legate de funcți a celor două
protocoale de bază: Authentication Header (AH) și Encapsulating Security Payload (ESP). Ambele
protocoale oferă o protecție prin adăugarea la o datagramă a unui antet (și, eventual, al te câmpuri),
care conțin informații de securitate. Alegerea modului nu afectează metoda prin care fiecare se
generează antetul său, ci mai degrabă, modifică ce părți specifice ale datagramei IP sunt protejate și
modul în care antetele sunt aranjate pentru a realiza acest lucru, descrie modul în ca re AH sau ESP
funcționează. Sunt folosit e ca bază pentru definirea altor concepte, cum ar fi asociațiile de
Securitate security associations (SAs).
V.3.1.1 Modul transport
După cum sugerează și numele, în modul de transport, protocolul protejează mesajul
transmis la IP din layer -ul de transport. Mesajul este prelucrat de către AH / ESP ș i la antetul
corespunzător i se adaugă, în fața antetului transportului (UDP sau TCP). Headerul IP este adăugat
înainte prin IP. În mod normal, nivelul de transport asamblează datele pentru transmitere și le
trimite la destinatie. Din perspectiva IP‐ului, acest mesaj pe niveluri pentru transport este sarcină
utilă a datagramei IP. Când IPSec este utilizat în modul de transport, ant etul IPSec este aplicat
numai la această sarcină a IP‐ului, nu la header‐ul IP. Antetele AH și / sau ESP apar între original,
antetul unic IP și sarcina utilă IP. Când IPSec operează în modul transport, este integrat în IP și
folosit pentru transportul mes ajului direct la nivelul superior (TCP/UDP). După prelucrare,
datagrama are numai un header IP care conține header‐ele AH și / sau ESP IPSec.
V.3.1.2 Modul tunelat
În acest mod, IPSec este folosit pentru a proteja o datagramă IP complet încapsulată după ce
header‐ul IP a fost deja aplicat la acesta. Anteturile IPSec apar în fața headerului original IP, și apoi
i se adaugă un nou antet IP în fața headerului IPsec. Adică, întreaga datagramă inițială IP este
protejată și apoi încapsulată într‐o altă datagram ă IP. Modul tunel al lui IPSec este numit astfel
deoarece reprezintă o încapsulare a unei datagrame complete IP, formând un tunel virtual între
echipamentele adecvate ale lui IPSec. Datagrama IP este transmisă la IPSec, unde se creează un nou
header IP cu hederele AH și / sau ESP IPSec adăugate.
33
Compararea modurilor transport și tunel
Modul tunel protejează datagrama originală IP ca un întreg, în timp ce modul transport nu
protejează datagrama . Astfel, ordinea antetelor este după cum urmează:
– Modul tra nsport: header IP, headere IPSec (AH și/sau E SP), sarcina utilă IP (inclusiv
header -ul de transport).
– Modul tunel: Header nou IP, headere IPSec (AH și/sau ESP), header vechi IP, IP sarcina
utilă.
Aceasta este o privire de ansamblu simplificată a modul ui în care datagramele IPSec sunt
construite, realitatea este cu mult mai complexă. Modul exact în care sunt aranjate header‐ele într‐o
datagramă IPSec în ambele moduri ‐ transport și tunel ‐ depinde de ce versiune de IP este utilizată;
IPv6 folosește head er‐e extensie care trebuie aranjate într‐un mod special atunci când IPSec este
utilizat.
Plasarea antetului depinde de asemenea de protocolul IPSec utilizat: AH sau ESP. Este,
posibil să se aplice atât AH cât și ESP pentru aceeași datagramă; în acest caz, header‐ul AH apare
întotdeauna înaintea header‐ului ESP. Există deci trei variabile și opt combinații de bază ale
modului (tunel sau transport), versiunea de IP (IPv4 sau IPv6) și Protocolul (AH sau ESP). ESP
include de asemenea o “remorcă” ESP, care plea că cu datele protejate. Se poate spune în ce fel cele
două moduri sunt legate de alegerea arhitecturii IPSec de la subiectul precedent. Modul transport
impune ca IPSec să fie integrat în IP, pentru că AH / ESP trebuie să fie aplicate. Aceasta este adesea
alegerea pentru implementări care necesită securitate end‐to‐end cu gazde care rulează direct IPSec.
Modul tunel reprezintă o înca psulare IP cu combinația de IP și IPsec. Astfel, aceasta
corespunde cu implementarea BITS și BITW, unde IPSec se aplică după c e IP a procesat mesajele
nivelului superior și a adăugat deja antetul său. Modul tunel este o alegere obișnuită pentru
implementarea VPN, care se bazează pe tunelarea datagramelor IP prin intermediul unei rețele
nesecurizate, cum ar fi Internetul. IPSec ar e două moduri de bază de operare. În modul transport,
header‐ele IPSec AH și / sau ESP sunt adăugate când datagrama originală IP este creată; acest mod
este asociat cu arhitecturile integrate IPSec. În modul tunel, datagrama originală IP este creată
normal , apoi în treaga datagramă este încapsulată într‐o nouă datagramă IP conținând header‐ele AH
/ ESP IPSec. Acest mod este de obicei folosit la implementările “Bump In The Stack” și “Bump In
The Wire”.
V.3.2 Protocoale de securitate: AH și ESP
Cele două funcți principale sunt o pereche de tehnologii numite uneori protocoalele de bază
ale IPsec. Acestea sunt cele care de fapt realizează codarea de informații pentru a asigura
securitatea. Acestea sunt:
– IPSec Authentication Header (AH): Acest protocol asigu ră serviciile de autentificare
pentru IPSec; ceea ce înseamnă că emitentul mesajului ‐ se presupune ca a inițiatorul mesajului este
și cel care î l transmite. De asemenea asigură și integritatea mesajului transmis și protecția împotriva
atacurilor „reply”, unde mesajul este capturat de cineva neautorizat și retransmis.
– Encapsulating Security Payload (ESP): Header‐ul de autentificare asigură integritatea
datelor nu și confidențialitatea lor. Confidențialitatea se asigură utilizând protocolul ESP care
criptează informațiile din pachetul IP.
IPSec constă dintr‐un număr de componente diferite care conlucrează pentru a asigura
servicii de securitate. Principalele două sunt protocoalele numite Authentication Header (AH) și
Encapsu lating Security Payload (ESP ), asigură autenticitatea și confidențialitatea datelor IP sub
formă de headere speciale adăugate la datagramele IP. AH ș i ESP sunt deseori numite “protocoale”,
deși acest lucru este discutabil. Ele sunt implementate ca headere în informația IP pentru a as igura
autenticitatea și confidențialitatea. Niciunul din aceste componente nu poate funcționa fără celalalt.
Pentru a funcționa corect au nevoie și de suportul altor protocoale și servicii. Cele mai importante
includ:
– Algoritmi de criptare / hash: AH ș i ESP au caracter generic și nu specifică mecanismul
utilizat pentru criptare. Acest lucru le dă flexibilitatea de a lucra cu o varietate de algortmi de
34
criptare și de a negocia care este cel mai bun pentru a fi utilizat. Doi dintre cei mai utilizați în IPSe c
sunt Message Digest 5 (MD5) și Secure Hash Algorithm 1 (SHA‐1). Se mai numesc și algoritmi
hash deoarece funcționează calculând o funcție hash3 bazată pe datele de intrare și cheie.
– Politici de securitate și asocieri, metode de management: întrucât IP Sec asigură
flexibilitatea modului în care echipamentele pot să se asigure securitatea, trebuie să existe
posibilitatea gestionarii relațiilor de securitate dintre echipamente. Acest lucru se realizează în
IPSec folosind politici de securitate și asocieri de securitate, precum și căi de a putea schimba
informația.
– Cadrul de schimbare a cheilor și mecanisme: pentru ca două echipamente să poată
schimba o informație criptată au nevoie să schimbe și cheile pentru decriptare. Mai au nevoie să
schimbe și infor mația asociată securizată. În IPSec, protocolul care asigură acest lucru este IKE
(Internet Key Exchange).
V.3.2.1 Protocolul Authentication Header
Unul dintre cele două protocoale de securitate de baz ă în IPSec este Antetul /Header -ul de
autentific are (AH). Acest ă este un protocol care asigură autentificarea fie pentru tot conținutul unei
datagrame sau doar pentru o parte a acesteia prin adăugarea unui antet care este calculat pe baza
valorilor din datagramă. Părțile utilizate ale datagramei pentru calcul, precum și plasarea headerului,
depinde de mod (tunel sau transport), precum și de versiunea de IP. Funcționarea protocolului AH
este simplă , poate fi considerată similară cu algoritmii utilizați pentru calcularea sumelor de control
sau pentru efect uarea controalelor CRC pentru detectarea erorilor. În aceste cazuri, un algoritm
standard este folosit de către expeditor pentru a calcula o sumă de control sau un cod CRC pe baza
conținutului unui mesaj. Acest rezultat calculate este transmis împreună cu datele originale la
destinație, care repetă calcularea și elimina mesajul în cazul în care se găsește o discrepanță între
calculul său și cel efectuat de către sursă. Aceasta este aceeași idee din spatele AH, cu excepția
faptului că în loc de a folosi un a lgoritm simplu cunoscut de toată lumea, se fol oseste un algoritm
special într -o nouă formă și o cheie cunoscută doar sursei și destinației. O asociație de securitate
între cele două echipamente este configurată și specifică, astfel încât doar sursa și dest inația știu
cum să efectueze calculul. La echipamentul sursă, AH efectuează calculul și pune rezultatul (numit
Valoare de verificare a integritatii – Integrity Check Value – ICV) într -un header special cu alte
câmpuri pentru transmisie. Echipamentul de de stinație face aceleași calcule utilizând cheia pe care
cele două dispozitive o împart – fapt care îi permite să vadă imediat dacă oricare dintre câmpurile
din datagrama originală au fost modificate , din cauza unei erori sau din rea voință. Este important
de subliniat în mod explicit că, la fel cum o sumă de control nu schimbă datele originale, nici
calculul ICV nu schimba datele originale. Prezența headerului AH ne permite să verificăm
integritatea mesajului, dar nu -l criptează. AH asigură autentificarea da r nu confidențialitatea.
Amplasarea și conectarea headerului de autentificare pentru IPv4
Într-o datagramă IPv4, câmpul Protocol indică identitatea Protocolului din nivelul superior
(de obicei TCP sau UDP), transportat în datagramă. Ca atare, acest câmp "indică" header -ul
următor, care se află la partea din față a sarcinii utile IP. AH ia această valoare și o pune în câmpul
headerului său următor, apoi amplasează valoarea de protocol pentru AH în sine (51 zecimal) în
câmpul protocol IP. Acest lucru face c a header -ul IP "să trimită" la AH, care apoi "trimite" la
indiferent ce datagrama header -ul IP trimitea inițial. Î n modul transport, headerul de autentificare se
adaugă după headerul principal al IP al datagramei originale; în modul tunel se adaugă după no ul
header IP care încapsulează datagrama originală ce este tunelată.
35
Figuraaa AH modultransport
În modul AH transport, înt regul pachet este autentificat excepție făcâ nd câmpurile ce se pot
schimba în timpul tranzitării în tre host -urile permise sau porți le de securitate. Câmpurile variabile
cuprind : Time -To-Live (TTL), Type of Service (ToS), și Header Checksum. În modul transport AH
este folosit să protejeze pachetele utilizator care tranzitează o rețea între hosturi sau echipamente .
Aceasta este posibil deoarece porțile de secur itate folosesc AH modul transport să protejeze
protocoalele tunel ca și GRE, și Layer Two Tunneling Protocol (L2TP).
În modul tunel , AH header împreună cu un nou IP header este folosit să protejeze pachetele
utilizator.
Figura 23213 AH modul tunel
În modul tunel întregul pachet este autentificat excepție făcând câmpurile mutate în noul IP
header. Modul tunel poate fi folosit să protejeze pachetele utilizator care tranzitează rețeaua între
hosturi, dar și între porțile de secu ritate(security gateways).
V.3.2.2 Protocolul Encapsulating Security Payload
Headerul de autentificare – Authentication Header (AH) – IPSec asigură servicii de
autentificare a integrității echipamentelor IPSec, astfel încât acestea să poată verifica da că mesajele
sunt primite intact de la celelalte echipamente. Se dorește protecț ie nu numai împotriv a
echipamentelor intermediare care modifică datagramele , ci se dorește ș i protejarea continutului
acestora. Pentru acest nivel d e comunicații confidențiale, AH nu este suficient, ci este nevoie de
protocolul Encapsulating Security Payload (ESP). Sarcina principală a ESP este de a asi gura
confidențialitatea necesară pentru datagramele IP. Un algoritm de criptare combină datele în
datagramă cu o c heie pentru a o transforma într -o formă î ncriptată. Aceasta este apoi reîmpachetată
(repackaged) folosind un format special, și transmisă la destinație, unde se decriptează folosind
același algoritm. ESP sprijină de asemenea propria sa schemă de autentificare ca cea folo sită în AH,
sau care poate fi folosită împreună cu AH.
Câmpurile Encapsulating Security Payload
36
ESP are câteva câmpuri care sunt aceleași cu cele folo site în AH, dar își impachetează
câmpurile într -un mod diferit. În loc de a avea numai un header, își împ arte câmpurile în trei
componente:
– Header ESP: Acestă conține două câmpuri, SPI și Sequence Num ber, și este înaintea
datelor criptate. Amplasarea lui depinde dacă ESP folosi ește modul transport sau modul tunel.
– Trailer -ul ESP: Această secțiune este a mplasată după datele criptate , conține umplerea
spațiului neuti lizat (padding) ce este folosit pentru alini erea datelor încriptate, printr -un câmp
Padding și Pad Length și cuprinde de asemenea câmpul Headerul Următor (Next Header) pentru
ESP.
– Datele de autentificare ESP: Acest câmp conține o valoare de verificare a integrității
(Integrity Check Value – ICV), este calculată asemănător modului în care operează protocolul AH,
pentru cazul în care se folosește caracteristica de autentificare opțională a ESP. Există două motive
pentru care aceste câmpuri sunt împărțite în bucăți. Primul motiv este faptul că unii algoritmi de
criptare necesită ca datele să fie criptate pentru a avea o anumită dimensiune a blocurilor și astfel
umplerea spațiului neutilizat (padd ing) trebuie să apară după blocul de date utile și nu înaintea lor.
De aceea, umplerea spațiului neutilizat (padding) apare în ESP Trailer. Al doilea motiv este faptul
că datele de autentificare ESP (ESP Authentication Data) apar separate deoarece sunt fol osite pentru
a autentifica restul datagramei criptate după criptare . Aceasta înseamnă că nu pot apă re în Headerul
ESP sau în Trailerul ESP.
Primul lucru ce trebuie luat în considerare este modul în care este amplasat headerul ESP;
această este similar cu modul în care operează AH. Headerul ESP este amplasat după headerul
normal IPv4. În modul transport, el apare după headerul original IP; în modul tunelat, după headerul
IP al noii datagrame ce încapsulează originalul.
esp mod transport
Când această da tagramă este procesată de ESP în modul transport, headerul ESP este
amplasat între headerul IPv4 și date, cu trailerul ESP și datele de autentificare ESP (ESP
Authentication Data) . În modul tunel, întreaga datagramă originală IPv4 este înco njurată de acest e
componente ESP , față datele IPv4. Gradul de acoperire , de criptare și autentificarea, precum și
modul în care câmpul headerului următor (next header) “indică în spate” spe cifică identitatea
datagramei/datelor încriptate.
37
ESP modul tunel
AH și ESP împ reună
Dacă este posibil să configurăm ambele protecții AH și ESP pentru un singur trafic
utilizator, atunci AH și ESP header -s sunt cuprinse ca în figura de mai jos.
AH/ESP modul transport si modul tunel
Protocolul IPSec Encapsulating Security Paylo ad permite conținutului unei datagrame să fie
încriptat, pentru a se asigura că numai recipientul avut în vedere poate vedea datele. Este
implementat folosind trei componente: un ESP Header adăugat în fața unei datagrame protejate, un
ESP Trailer care urme ază datele protejate, și un câmp opționalal ESP Authentication Data care
asigură servicii de autentificare similare cu cele oferite de headerul de autentificare Authentication
Header (AH).
V.4 Protoco alele IKEv1 si IKEv2
V4.1 Protocolul IKEv1
Protocolul IKE are trei obiective principale: să creeze , să negocieze și să administreze
Asocierile de Securitate (SA). SA face referire la un termen generic pentru un grup de valori care
definesc caracteristicile IPSec și protecțiile aplicate unei conexiuni; acestea pot fi create și manual,
folosind valori decise în avans de cele două părți, dar nu pot fi reînnoite. O asociere de securitate,
mai comun referită ca SA, este un bloc de bază pentru IPSec. Aceasta reprezintă o intrare în baza de
date SA (SABD), care conți ne informații despre securitatea negociată între două părți pentru IKE
sau IPSec. Sunt două tipuri de SA:
• IKE sau ISAKMP SA -sunt folosite pentru traficul de control, cum ar fi negocierea
algoritmilor pentru criptarea traficului IKE și autentificarea uti lizatorilor. Este o singură IKE SA
între participanți și de obicei are mai puțin trafic și o durată de viață mai mare decât IPSec SA.
38
• IPSec SA – sunt folosite pentru a negocia algoritmii de criptare pentru traficul IP,
bazându -se pe definirea regulilor d e stabilire a traficului ce va fi protejat. Pentru că sunt
unidirecționale, cel puțin două sunt necesare (traficul de intrare și de ielire) .
O problemă pe care o ridica IKE este cea cu dispotitivele NAT, care modifică transparent
pachetele d e ieșire. Prim a problemă se referă la faptul că unele echipamente ar putea depinde de
negocierea IKE făcută de pachetele de intrare trimise de pe portul 500 UDP. Dacă se introduce un
proces NAT, portul pachetului final nu va fi, cu siguranță, cel așteptat deci negociere a nu va începe.
Alt eveniment neplăcut apare când IKE include adresele IP ca parte a procesului de autentificare,
care depinde de modul IKE folosit. Dacă autentificarea se bazează pe adresa IP, schimbările făcute
de NAT vor cauza eșuarea procesului IKE.
Principala f uncție a protocolului IKE constă în faptul că ambele tipuri de SA sunt stabilite
între participanții IPSec folos ind protocolul IKE. Acest protoc ol operează în două faze pentru a
stabili aceste asociații de securitate:
Prima faza este schimbul în prima etapă, fază î n care se stabilesc chei le pentru sesiunea
respectivă și asigurarea autentifică rii reciproce a celor două capete IKE. Această fază creează o
ISAKMP SA (asociere de securitate pentru IKE) care odată ce a fost stabilită, toate comunicațiil e
IKE dintre inițiator și cel care răspunde sunt protejate cu criptare și cu verificare a integrității prin
autentificare. Există o diferență între ISAKMP și IKE care trebuie precizată : ISAKMP definește
cum capetele IPSec comunică, cum realizează schimbul d e mesaje și starea tranzițiilor prin care tr ec
pentru a stabili conexiunea, mai exact arată scopul autentificării și schimbului de informații pentru
interschimbul de che ie iar IKE definește cum se realizează schimbul de chei .
Etapa unu (cunoscută și ca IKE SA) reprezintă momentul în care cele două capete IPSec
negociază cu succes un canal sigur prin care pot fi stabilite și transmise apoi SA -urile IPSec. Astfel,
se garantează criptarea bidirecțională și autentificarea pentru alte schimburi IKE. Această fază poate
fi realizată în două moduri: principal și agresiv.
Modul principal tratează stabilirea unei IKE SA prin trei perechi de mesaje. În prima
pereche de mesaje, fiec are capăt recomandă parametrii folosiți de SA. Patru parametrii dintre
aceștia sunt oblig atorii și alcătuiesc așa numita suită de protecție:
1. Algoritmul de criptare – specifică algoritmul c are criptează datele: DES, 3DES și AES.
2. Algoritmul de protecție a integrității – indică ce algoritmi de tip hash s e pot folosi:
HMAC -MD5 sau HMAC -SHA -1.
3. Metoda de autentificare – sunt 3 posibilități de autentificare a utilizatorilor (chei
prestabilite, semnături digitale, criptare cu cheie publică)
4. DH Group – este folosit pentru generarea unui secret comun într -o manieră sigură,
astfel încât un obs ervator a etapei 1 IKE să nu îl poată determina.
A doua pereche de mesaje execută un schimb de cheie prin DH, folosind parametrii
negociați la primul pas. Conținutul acestei perechi de mesaje variază în funcție de metoda de
autentificare. În cea de -a treia pereche de mesaje, fiecare capăt este autentificat (aici contează
metoda de autentificare folosită). În cazul cheilor prestabilite rezumatele de autentificare se schimbă
acum și în cazul celorlalte două posibilități acest ea sunt folosite dacă au fost sc himbate în timpul
perechii de mesaje anterioare.
Metoda cea mai rapidă a modului principal este oferită de modul agresiv. Se negociază
stabilirea IKE SA prin trei mesaje în locul celor trei perechi din modul principal. Primele două
mesaje negociază paramet rii IKE SA și realizează un schimb de cheie; al doilea și al treilea mesaj
autentifică utilizatorii.
În primul mesaj prim ul sistem trimite trei informatii: toți parametrii suitei de protecție,
porțiunea sa de schimb de cheie DH , este un număr folosit o sin gură dată (nonce) și identitat ea sa.
În al doilea mesaj, ceală lalt sistem trimite patru informaț ii: parametrii suitei sale de protecți e,
proțiunea sa de DH, un numărul folosit o singură dată (nonce), identitatea sa și informația utilă de
autentificare. Al treilea mes aj este utilizat pentru ca primul sistem să trimită propria sa informație de
autentificare.
39
În etapa a dou ă care furnizează negocierea și stabilirea asociațiilor de secu ritate IPSec
(IPSec SA) folosind ESP sau AH pentru protejarea traficului IP. Scopul celei de -a doua etape este
stabilirea asocierilor de securitate pentru o conexiune IPsec actuală (IPSec SA). O conexiune IPSec
între două sisteme necesită două IPSec SA, pentru că acestea sunt unidirecționale. Aceste perechi
sunt create prin interm ediul unui singur mod, modul rapid, care folosește trei mesaje pentru a stabili
SA. Comunicațiile din acest mod sunt criptate prin metoda spacificată în IKE SA -ul stabilit în faza
1.
În primul mesaj, primul sistem trimite trei informatii: cheile, numerele unice și sugestiile de
parametri IPSec SA. Numerele unice se folosesc ca ș i măsură împotriva atacurilor de replicare.
În al doilea mesa j, ceală lalt sistem trimite cheile, numerele și selecțiile parametrilor IPSec
SA și în plus procedurile hash de autentifi care. Al treilea mesaj e ste folosit doar pentru ca primul
sistem să trimită procedura hash pentru autentificare. După ce a l doilea sistem validează al treilea
mesaj, se poate spune că s -a stabilit o asociere de securitate IPSec, cele active fiind reținute într-o
bază de date (SADB).
IKE SA și IPSec SA au o limită de viață, care nu poate fi mărită după ce SA a fost creată.
Dacă o SA este aproape de sfârșitul duratei de viață, capetele ar trebui să creeze una nouă, printr -un
proces de restabilire a cheii. Dur ata de viață a unei SA spune cât de des ar trebui fiecare SA să fie
restabilită, bazându -se fie pe un anumit timp scurs fie pe cantitatea de trafic din rețea.
In mod asemanator cu modelu TCP/IP, IPSec are o multitudine de componente implicate și
caracteriz ează un set complet de interacțiuni de -a lungul acestora. Structura protocolului asigură
avantajul modularizării: când are loc o schimbare a unei componente, celela lte nu se schimbă
implicit. Dezavantajul modularizării este că este greu de explicat fără scheme, pur și simplu pentru
că multe componente trebuie să lucreze împreună pentru ca protocolul să opereze.
Arhitectura IPSec presupune:
Nucleul (IPSec driver or core engine) – această componentă realizează criptarea, decriptarea,
verificarea semnăturii și autentificarea , de asemenea este responsabil pentru coordonarea efortului
altor componente IPSec pentru a asigura că poate îndeplini sarcinile.
Agentul de politică ( IPSec Policy Agent) – este funcț ia cognitivă a protocolului și
examinează setările IPSe c ale sistemului specificând ce trafic ar trebui protejat; nu protejeajă
datele ci doar avertizeată că un anumit trafic ar trebui protejat.
ISAKMP – este negociatorul setărilor de securitate ale Internetului; atunci când două
sisteme vor să comunice, ISAKM P negociază grupul de setări folosite pentru criptare și
autentificare.
IKE (Internet Key Exchange) – pentru că IPSec -ul folosește chei secrete împărțite, trebuie să
fie un mecanism care să conecteze echipamentele și să se pună de acord asupra unei chei, acesta
depinde de setările furnizate de ISAKMP.
În momentul pornirii unui echipament se aplică politica de grup sau locală, dar se poate
aplica periodic în timp ce se activează în rețea. Orice politică IPSec este preluată de angentul de
politică IPSec. Atun ci când există mai multe reguli stabilite, agentul monitorizează comuni cația cu
protocolul TCP/IP din toate aplicațiile, caută traficul care se potrivește acestora, adică acela care
trebuie protejat.
Agentul de politică îi va comunica dispozitivului IPSec tipul de protecție de care este nevoie
în momentul î n care traficul de rețea (ce necesită protecție) este identificat. Apoi, urmâ nd ca
echipamentul IPS ec să determine dacă există o Asociere de Securitate (SA) care poate fi folosită
pentru a proteja traficu l, dacă nici o Asociere de Securitate nu există, funcția IKE va fi contactată;
aceasta va folosi ISAKMP pentru a negocia autentificare a reciprocă și pentru a stabili cheia. Apoi,
IKE va furniza o Asociere de Securitate activă către IPSec driver, care va pr oteja traficul. Astfel,
traficul protejat va fi returnat către protocolul TCP/IP pentru procesare.
Cea mai importanta caracteristica ref eritoare la IPSec este faptul că acestă este un standard
Internet acceptat și că în m omentul actual un număr din ce î n ce mai mare de utilizatori și furnizori
de servicii cooperează pentru a furniza o gamă completă de soluții IPSec. Folosind capacitatea de
tunelare a IPSec, se pot implementa rețele virtuale private.
40
V.4.2 Protocolul IKEv2
IKEv2 în comparație cu IKEv1, are u rmătoarele îmbunatăț iri:
• NAT traversal: încapsulare lui IKE și ESP în portul UDP 4500 permite acestor protocoale
să treacă printr -un dispozitiv sau firewall ce efectueaza NAT.
• Schimbul de mesaj simplu: IKEv2 are un mecanism de schimb inițial de patru mecanisme
pentru mesaj în timp ce IKE furniza opt me canisme distincte de schimb inițiale, fiecare dintre ele
având avantaje și dezavantaje.
• Mecanisme criptografice mai puține: IKEv2 utilizează mecanisme criptografice pentru a
proteja pachetele sale, car e sunt foarte asemănătoare cu ceea folosite de IPsec pentru încapsularea
încărcă turii de securitate (ESP) pentru a proteja pachetele IPsec. Acest lucru a dus la implementări
simple si certifică ri de criterii comune, care necesită fiecare implementare criptografică a fi validate
separat.
• Fiabilitate și managementul stă rii: IKEv2 utilizeaz ă numere de secvență și confirmă ri
pentru a oferi fiabilitate și pentru a mandata unele erori la procesare. IKE ar putea ajunge într -o
stare moartă din cauza lipsei de măsuri de fiabilitate, în situaț ia în care ambele părți se așteptau ca
cealaltă să inițieze o acțiune .
• Rezistența la atacul de tip DoS (Denial of Service) : IKEv2 nu efectuează procesarea până
când nu determină dacă există de fapt un solicitant. Această tactică a rezolvat problemele cu
atacurile de tip DoS suferite de IKE care efectua o mulțime de prelucră ri criptografice din locații
fantomă .
41
Liste de acces pentru ruterele Cisco
ACL – IP Access Control List
Securitate a are numeroase fațete și una dintre cele mai importante este capacitatea de a
controla fluxul pachetelor de date dintr -o rețea. Este esențial să controlăm fluxul pachetelor de date
dintr -o rețea. Filtrarea pachetelor reprezintă una dintre cele mai importa ne utilizări ale listelor de
acces Cisco.
Filtrarea pachetelor ne permite să controlăm fluxul de date din rețea în funcție de adresele IP
sursă și destinație, precum și după tipul aplicației utilizate. Ruterele servesc pentru conectarea între
un LAN al un ei compani și Internet, sau între două sau mai multe rețele ale unei compani. În aceste
situații, ruterele servesc la filtrarea pachetelor, deoarce fiecare pachet care circulă între două rețele
trebuie să treacă prin ruter. Sistemul de operare inter -rețele Cisco include toate funcțiile necesare
pentru implementarea unei soluții complexe de garantare a securități i.
Cisco folosește termenul sistem de operare inter -rețele (IOS – internetwork operating
system) pentru a desemna sistemul utilizat de ru terele Ci sco. Sistemul de operare de pe ruterele
Cisco oferă multe caracteristici asemănătoare sistemelor de orerare UNIX sau Windows, dar și
facilități specializate. Controlează echipamentele hardware, memoria și interfețele sau executarea
unor sarcini de sistem c um ar fi transferul pachetelor și construirea unor informații dinamice, cum
sunt tabelele de rutare și ARP.
Una dintre cele mai importante caracteristici ale IOS este capacitatea de a filtra în mod
intelegent pachetele transferate între rețele de date. Ac eastă obțiune se bazează pe crearea și
aplicarea listelor de acces.
Listele de acces
O listă de acces este o listă orodnată de enunțuri care permit sau interzic accesul pachetelor
pe baza unui criteriu de corespondență inclus în pachet. Ordinea în care sunt create enunțurile din
lista de acces este foarte imporantă. Una din cele mai dese greșeli în ceea ce privește crearea listelor
de acces este introducerea enunțurilor într -o ordine neadecvată . La sfârșitul unei liste de acces Cisco
există întotdeauna u n enunț prestabilit ”Deny All” ( interzice tot ). Un pachet al cărui acces nu este
permis în mod explicit va fi respins datorită enunțului Deny all de la sfârșitul listei. Listele de acces
Cisco sunt folosite în multe alte scopuri decât filtrarea traficului.
Listelele de acces sunt folosite pentru:
filtrarea traficului
indentificarea traficului
Listele de acces functionează la nivelele 2, 3 și 4 ale modelului OSI și actionează ca un
firewall de rețea.
ACL este folosit ca scop principal in filtrarea trafic ului, dar sunt cazuri in care trebuie să
identicam un trafic, de exemplu:
– Identificarea traficului pentru tunnelare VPN.
– Identificarea rutelor
– Identificarea traficului pentru QoS.
– Identificarea retelei/hosturilor care pot fi translatate (NAT).
Când un packet ajunge la router, lista ACL este parcursa de sus î n jos până la prima
potrivire. Odată facută potrivirea, packet -ul este permis sau dropat. Regulile noi sunt puse la finalul
liste de acces, dar î nainte “deny all” implicit. Când filtram un tra fic, lista de acces este aplicată pe o
interfață ( sau virtual terminal).
Pe o interfață listele de acces sunt aplicate:
– inboud – packet -ul este receptionat pe interfata / inainte de a fi rutat
42
– outboud – packet -ul este transmis pe interfață / după ce a fost rutat.
O singură lista de control este permisă per interfață, protocol sau direcție.
Este indicat ca cele mai frecvente reguli să fie plasate la inceputul listei pentru a optimiza
utilizarea procesorului.
Există două categori de liste de acces :
– numerotate – Listele numerotate sunt împărțite în intervale, fiecare dedicat pentru un
protocol specific.
– numite – Acest tip de liste permite mai multă flexibilitate. Există două tipuri de liste de
acces numite: standard și extended .
Listele de acces IP folosesc wildcard masks (opusul la subnet mask ) pentru a determina
două lucruri:
1. Partea din adresa ip care trebuie să se potrivească exact – bit 0.
2. Partea din adresa ip care poate să potrivească orice număr – bit 1.
Listele de acces Standard
Aces t tip de liste se bazează pe rețeaua sau hostul sursă și trebuie plasate cât mai aproape de
rețeaua destinație.
dasda
Exemplu: restricționare access din rețea 17 2.18.1.1 /16 la rețea 172.16.1.0:
• Creare lista de access standard
Router(confi g)# access -list 10 deny 172.18.1.1 0.0.255.255
Router(config)# access -list 10 permit any
• Configurare pe interfață
Router(config)# int s0
Router(config -if)# ip access -group 10 in
• Verificare liste acces
Router# show ip access -list
Router# show ip interface
Rout er# show running -config
Listele de acces Extinse
Listele de acces extended se bazează pe adresa IP sursă, adresa IP destinație, portul
TCP/UDP sursă și portul TCP/UDP destinație. Acest tip de liste trebuie să fie plasat cât mai
aproape de rețeaua sursă.
ewqweqw
Exemplu : Restricț ionare access din rețea 172.18.1.1 /16 la serverul 172.16.10.10, exceptând
traficul HTTP:
43
• Creare lista de access extended
Router(config)# acc ess-list 101 permit tcp 172.18.1.1 0.0.255.255 host 172.16.10.10 eq 80
Router(config) # access -list 101 deny ip 172.18.1.1 0.0.255.255 172.16.10.10 0.0.0.0
Router(config)# access -list 101 permit ip any any
• Configurare pe interfață
Router(config)# int e0
Router(config -if)# ip access -group 101 in
NAT – Translatarea adreselor de rețea
Nu exista destule adresa IPv4 publice pentru a asigna o adresa unică pentru fiecare
echipament conectat la Internet. Retelele de regula sunt implementate folosind adrese IPv4 private (
RFC 1918). Adresele private nu pot fi rutate peste Internet, aceste adres e nu identifică o organizatie
sau o companie.
Pentru a permite echipamentelor cu adrese IPv4 private ca sa acceseze echipamente și
resurse din exteriorul retelei locale, adresele private trebuie să fie translatate în adrese publice.
Spațiul de adrese IPv 4
O singura adresa IPv4 publica poate partaja sute, chiar mii de echipamente, fiecare dintre ele
configurate cu adresa IPv4 privata unica.
Translatarea adreselor de rețea
Fără NAT, spatiul de adrese IPv4 ar fi fost epuizat demult (inainte de 2000), cu un numar de
maximum 4.3 miliarde (teoretic).
Soluția care poate fi aplicată la epuizarea spațiului de adrese IPv4 și limitările aduse de
translatarea adreselor este o eventuală tranziție la IPv6.
Terminologie
NAT are mai multe utiliză ri, dar folosirea sa principala este conservarea adreselor IPv4
publice. NAT a adus un mare avantaj adăugând confidențialitate și securitatea rețelei prin
ascunderea retețelei interne de la retele externe. Un router de border care are activat NAT poate fi
configurat cu una/mai multe adresa IPv4 publice. Aceste adrese publice sunt cunoscute ca NAT
pool. Atunci cand un echipament intern trimite trafic în exteriorul retelei, router -ul translateaza
adresa interna IPv4 a echipamentului într -o adresă publică din NAT pool. Pentru echi pamentele din
extern, tot traficul care intră și iese din rețea apare cu adresele publice IPv4 furnizate în pool -ul de
adrese. De regula, routerul pentru NAT operează la granita cu o rețea stub.
44
Atunci cand un echipament dintr -o rețea stub comunică cu ech ipamente din extern,
pachetele sunt forwardate la router care efectuază procesul NAT, translatând adresele private
interne la adrese publice, adrese rutabile.
Atunci cand folosim NAT, adresele IPv4 au mai multe semnificații, în funcție de rețeaua din
care fac parte (rețea privată / rețea publică [internet]) sau în funcție de trafic (intrare / ieșire ). NAT
introduce 4 tipuri de adrese:
– Inside local address
– Inside global address
– Outside local address
– Outside global address
Terminolagia NAT se aplic ă din perspectiva echipamentului cu adresele translatate:
Terminolagia NAT se aplică din perspectiva echipamentului cu adresele translatate:
– Inside address – adresa echipametului care este translatată de NAT
– Outside address – adresa echipamentului de stinație. Deasemenea, NAT -ul introduce
conceptul de adrese locale și globale:
– Local address – orice adresă ce apare în partea internă a rețelei.
– Global address – orice adresă ce apare în partea externă a rețelei. Routerul care face NAT
se mai numește ș i punct de delimitare între rețeaua internă și cea externă, precum și între adresele
locale și cele globale.
Tipuri de NAT:
1. Static address translation (static NAT) – mapare adrese unu la unu intre adresele locale și
cele globale. Aceste mapari sunt con figurate de administratorul de rețea și rămân constante. Este
util pentru servere sau echipamente care trebuie să aibă adrese consistente care sunt accesibile din
extern (Internet). Dezavantaj: necesită adrese publice disponibile pentru a satisface sesiuni
simultane .
2. Dynamic address translation (dynamic NAT) – mapare mai multe la mai multe adrese
intre adresele locale și cele globale. Utilizează un pool de adrese publice și asignează acestea dupa
regula primul venit -primul servit. Are acelasi dezavanta j ca si static NAT: necesită adrese publice
disponibile pentru a satisface sesiuni simultane .
3. Port address translation (PAT) – mapare mai multe adrese locale la o adresă globală.
Această metode mai este cunoscută ca supraîncărcare (NAT – overloading ) . PAT încearcă să
rezerve portul sursă original. În cazul în care portul nu mai este disponibil pe echipamentul care
face PAT, acesta va asigna port disponibil pornind de la inceputul fiecarui grup de porturi
corespunzător portului sursă original (0 -511, 5 12-1023, 1024 -65535). Atunci cand sunt utilizate
toate porturile și mai există adrese IP externe în pool -ul de adrese atunci se trece la urmatoarea
adresă IP din pool și se încearcă rezervarea portului sursă original dacă este posibil. Procesul
continuă pâ nă când nu mai există porturi/adrese IP -uri externe în pool -ul de adrese.
Avantajele NAT :
– NAT conservă adresele IP publice permițând privatizarea intranetului (NAT overload).
– NAT crește flexibilitatea conexiunii la retea publică (Se pot implementa mai mult pool -uri de
adrese, inclusiv pool de backup sau pool pentru load balancing).
– Consistența schemelor de adresare interne. (Nu trebuie schimbat planul de adresare local daca se
schimbă adresa publică).
– NAT furnizează securitate în rețea. ( Rețelele private nu anunță adresarea sau topologia internă.
Atenție! NAT nu înlocuiește un firewall!)
45
Dezavantaje NAT :
– Faptul că echipamentul din extern apare că ar comunica cu echipamentul care face NAT.
– NAT are un impact negativ asupra performanței rețelei, în special pentru protocoale în timp real
cum ar fi VoIP.
– NAT aduce o întârziere de switching deoarece translatarea fiecarei adrese IPv4 din pachetul IP
necesită timp.
– Primul pachet este procesat, echipamentul trebuie să modifice câmpurile din antet ș i să recalculeze
sume de control. Pachetele râmase trec prin fast -switching dacă există intrare de cache, altfel sunt
întârziate și acestea.
– Adresarea end -to-end este pierdută (Unele aplicații nu funcționează cu NAT, unele având
posibilitatea de a fi rez olvate prin NAT static sau folosind înaintarea IP [IP Forwarind]).
– Trasabilitatea nu poate fi realizată.
– Complicarea protocoalelor de tunelare (IPsec), NAT modifică valoarea din header => nu se mai
poate asigura integritatea datelor.
Securizar ea rețelei LAN
3.1 Securitatea endpoint
Pe lângă securizarea rețelei, este important să se securizeze dispozitivele endpoint (finale)
situate în interiorul rețelei. Securizarea endpoint include: securitatea dispozitivelor din infrastructura
de rețea LAN(S wich -uri, dispozitive SAN) și securitatea sistemelor finale(stații de lucru, servere,
telefoane IP).
În mai puțin de o generație, introducerea calculatoarelor
IV.1
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: FUNDAȚIA PENTRU CULTURĂ ȘI ÎNVĂȚĂMÂNT IOAN SLAVICI [630892] (ID: 630892)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.