I.1 Aspecte generale privind securitatea retelelor de calculatoare …. [630891]
1
Cuprins
Cuprins …………………………………………………………………………………..
Capitolul I. Introducere …………………………………………………………………..
I.1 Aspecte generale privind securitatea retelelor de calculatoare …………….
I.2 Riscuri de securitate ………………………………………… ……………..
I.3 Tipuri de atacuri asupra rețelei ……………………………………..……..
I.3.1 Atacurile de nivel fizic ……………….………………………..
I.3.2 Atacurile de nivel legătură date ……………………………….
I.3.3 Atacurile de nivel rețea …………….……………….…………
I.3.4 Atacurile de nivel aplicație ……………………………………
I.3.5 Atacurile web ………………………………………………….
I.3.6 Viruși , viermi , troieni ………………………………………….
I.4 Metodologii de atac ……………..…………….………………………….
I.4.1 Atacuri de recunoaștere …………………….………………….
I.4.2 Atacuri acces …………………………………….…………….
I.4.3 Atacurile DoS ………………………………………………….
Capitolul II. Securitatea și monitorizarea rețelei ………………………………..……….
II.1 AAA ……………………………………………….……………………
II.2 Securizarea accesului remote pe echipamente ………… ……………….
II.2.1 Protocolul SSH ……………………………………………….
II.3 Securitatea prin criptare …………………………………………………
II.3.1 Criptarea Simetrică ……………………………………………
II.3.1 Criptarea Asimetrică ………………………….……… ………
II.4 Securitatea prin firewall …………………………………………………..
II.5 Sistemul de D etectare și Prevenire a I ntruziunilor ……….………………
II.5.1 Sistem de Detectare a Intruziunilor (IDS) ………………
II.5.2 Sistem de Prevenire a intruziunilor (IPS) …………….…
II.6 ACL (Listele de acces) …………………………………………..….……
II.7 Translatarea adreselor (NAT) ……………………………………….……
Capitolul III VPN – Rețea Virtuală Privată ………………………………………………
III.1 Tipuri de rețele VPN ………………………………………..…
III.1.1 Remote VPN ……………………………………………
III.1.2 Intranet VPN …………………………..…….…………
III.1.3 Extranet VPN …………………………….………….… 1
3
3
4
4
4
5
6
7
7
8
10
10
11
12
14
14
15
16
16
17
18
19
21
21
23
24
25
28
30
30
30
30
2
III.2 Metode de transmisie prin VPN …………………………….…
III.2.1 Tunelarea ……………………………………..……
III.2.1.1 Protocoale de tunelare de nivel 2 OSI …..…
III.2.1.2 Protocoale de tunelare de nivel 3 OSI …..…
III.3 Protocolul IPSec ……………………………………….………
III.3.1 Algoritmi criptografici ……………………….……
III.3. 1.1 Algoritmi de autentificare …………………
III.3.1.2 Algoritmi de criptare ………………………
III.3.1.3 Algoritmi criptografici cu chei publice ……
III.3.2 Protocoale de securitate: AH și ESP ………………
III.3.2.1 Protocolul Authentication Header …………
III.3.2.2 Protocolul Encapsulating Security Paylo ad .
III.4 Protocolul IKEv1 ………………………………………………
Capitolul IV Realizarea practică a proiectului …………………………………………..
IV.1 Prezentarea temei de proiect ………………………..………
IV.2 Arhitectura rețelei …………………………………..………
IV.2.1 Configurarea Switch -urilor ……….…….…………
IV.3.1 Configurarea Router -elor …………………….……
Concluzii (eventual propuneri) …………………………………….…………………….
Bibliografie ………………………………………………………………………………
32
33
33
34
36
39
39
40
41
41
42
43
45
48
48
48
3
CAPITOLUL I
I. Introducere
În primele decenii, rețelele de calculatoare au fost folosite pentru trimiterea poștei
electronice și pentru partajarea imprimantelor. În aceste condiții, problema securității nu atrăgea
atenția. Acum, când milioane de oameni obișnuiți folosesc rețelele pe ntru operațiuni bancare,
cumpărături și plat a taxelor, securitatea rețelei apare la orizont ca o mare problemă.
Securitatea este un subiect vast și acoperă o mulțime de imperfecțiuni. În forma sa simplă,
ea asigură că persoane curioase nu pot citi sau mod ifica mesajele destinate altor destinatari. Se
ocupă de cei care încearcă să apeleze servicii la distanță pe care nu sunt autorizați să le folosească.
Securitatea se ocupă de problemele legate de capturarea și falsificarea mesajelor autorizate și de cei
ce încearcă să nege faptul că au trimis anumite mesaje.
Majoritatea problemelor de securitate sunt cauzate intenționat de persoane răuvoitoare ce
încearcă să obțină anumite beneficii sau să provoace rău cuiva. Realizarea unei rețele sigure implică
ceva mai m ult decât păstrarea ei fără erori de programare. Problemele securității rețelei pot fi
împărțite în patru domenii : confidențialitate, autentificare, nerepudiere și controlul integrității.
Confidențialitatea se referă la păstrarea informației departe de utilizatorii neautorizați.
Autentificarea reprezintă determinarea identității persoanei cu care vorbești înainte de a dezvălui
informații importante . Nerepudierea implică semnături , cum poți fi sigur că mesajul pe care l -ai
primit a fost cel trimis și nu u nul pe care cineva răutăcios l-a modificat în trazit sau l -a măsluit?
I.1 Aspecte generale privind securitatea retelelor de calculatoare
Domeniul care se ocupă de studiul mecanismelor de protecție a informației în scopul
asigurării unui nivel de încreder e în aceasta se numește securitatea informaț iei. Putem afirma
că nivelul de încredere în informație depinde de nivelul mecanismelor de securitate care îi
garantează protecția și de riscurile care apar asupra securității ei. Securitatea informației este
un concept mai larg care se referă la asigurarea integrității, confidențialității și disponibilității
informației.
Securitatea reț elei reprezintă acum o componen tă în networking , implică proto coale,
dispozitive, tehnologii și tehnici pentru a securiza datele și atenuarea amenințărilor. Securitatea
rețelei este în mare măsură determinată de efortul de a rămâne cu un pas înaintea hackerilor.
Securitatea rețelei se referă direct la continuitatea afacerii unei organizații. Breșele de
securitate de rețea: pot pert urba e -commerce , cauzează pierderea de date, amenință intimitatea
oamenilor, compromit integritatea informațiilor . Aceste încălcări pot conduce la venituri pierdute,
furt de propietate intelectuală , amenințări la siguranța publică.
Atacurile cibernetice au crescut considerabil în ultimii ani, conform unor rapoarte Eu ropol
infracțiunile comise în spațiul cibernetic provoacă anual pagube de aproximativ 1 trilion de dolari.
În iulie 2001, viermele Code Red a atacat servere web la nivel global, infectând pest e
350.000 de gazde în câteva ore de la lansarea atacului . Viermele a perturbat accesul la serverele
infectate și la rețelele locale de găzduire a serverelor, provocând un atac DoS pentru milioane de
utilizatori. Dacă responsabilii cu securitatea rețelelor a acestor servere (infectate cu Code Red) ar
fi dezvoltat și implementat o politică de securitate, iar patch -urile de securitate ar fi fost aplicate în
timp util, atacul ar fi fost oprit.
Viermele SQL Slammer din ianuarie 2003 a încetinit traficul de inter net la nivel mondial, ca
urmare a unui atac de tip DoS.
– în primele 30 de minute de la lansare au fost afectate peste 250.000 de gazde
– viermele a exploatat un bug buffer overflow în Microsoft SQL Server
– un patch pentru această vulnerabilitate a fost l ansat la mijlocul anului 2002, astfel încât
au fost afectate serverele care nu au avut actualizate patch -urile.
WannaCry un software rău intenționat, care viza sistemul de operare Microsoft Windows.
Atacul de tip ransomware mai 2017,a infectat peste 230.00 0 de calculatoare din 150 de țări,
4
software -ul cerând cumpărare plătibilă în criptomoneda Bitcoin . Atacul a fost descris de către
Europol ca fiind de o scară fără precedent.
În același timp, au fost atacate ținte din 99 de alte țări. Acest atac de tip rans omware, sa
răspând it prin e -mail de phishing, răspândindu -se printr -o rețea în care nu au fost instalate
actualizări de securitate recente, infectând direct orice sistem expus. Un patch critic fusese publicat
de Microsoft în martie 2017 pentru a înlătura v ulnerabilitatea pe sistemele suportate, cu aproape
două luni înainte de atac, dar multe organizații totuși nu îl instalaseră încă.
I.2 Riscuri de securitate
O primă clasificare a riscurilor de securitate distinge trei tipuri de atacuri: atacuri venite din
rețeaua Internet (au o rată de succes redusă), atacuri inițiate din rețeaua locală și atacuri generate de
pe același sistem – acasta avănd impact mult mai însemnat decât primele.
Deși au gradul de risc cel mai ridicat, atacurile inițiate de utilizatori i serverului țintă sunt
deseori tratate în grabă și unitar.
Principiul fundamental al securității, fie ea IT sau de orice altă natură, este:
”Securitatea unui sistem este egală cu securitatea celei mai slabe verigi.”
Altfel spus, nu are rost să cheltui sum e enorme de bani pe sisteme de securitate dacă
utilizatorii folosesc drept parole propiul nume sau își țin parola lipită pe monitor.
Privită din perspectiva unui sistem IT, o soluție de securitate trebuie să includă atât o
politică de securitate, ce define ște drepturile și responsabilitățile utilizatorilor, cât și specificații
pentru asigurarea securității fizice, a componentelor sistemului de operare, a aplicațiilor locale,
precum și a serviciilor de rețea.
O politică de securitate trebuie să stabilească u n compromis între gradul de flexibilitate al
serviciilor IT și nivelul de securitate dorit. Cerințele de securitate ar presupune izolarea totală a
sistemului (rețelei) de lumea exterioară, dar o astfel de abordare duce la limitarea funcționalității,
cel ma i adesea securitatea unui sistem este definită ca un set de metode de protecție menite să
descurajeze și să întârzie atacatorul.
I.3 Tipuri de atacuri asupra rețelei
Informațiile confidențiale p ot fi întâlnite în două stări într -o rețea. Se pot găsi pe d ispozitive
fizice de stocare sau se pot găsi în trecere de -a lungul cablului sub formă de pachete. Aceste
informaț ii constituie multiple oportunități pentru atacuri din partea utilizatorilor din rețeaua internă,
precum și a utilizatorilor din exterior (int ernet).
Următoarele metode comune de atac oferă oportunități de compr omitere a informației din
rețea:
I.3.1 Atacurile de nivel fizic
Atacurile de nivel 1 (fizic) reprezint ă un num ăr foarte mic din totalul atacurilor pentru c ă
presupun acces la mediul de tr ansmisie. Î n aceast ă categorie sunt incluse atacurile ce presupun
interceptarea traficului din re țea. Metodele de protec ție difer ă în func ție de mediul de transmisie
folosit.
În rețelele f ără fir, mediul fiind atât partajat cât și foarte accesibil, protec ția se bazeaz ă mai
ales pe criptarea traficului. Securizarea unei astfel de retele porne ște de la reglarea puterii de emisie
a echipamentelor f ără fir (echipamentele mai ieftine de obicei nu permit astfel de configur ări), în
scopul limit ării accesului la me diu din afara ariei de lucru. În alegerea cript ării trebuie ținut cont c ă
atât WEP, cât și WPA sunt protocoale relativ u șor de compromis. În măsura în care componentele
rețelei f ără fir o permit, se recomand ă folosirea WPA2, protocol bazat pe AES.
Pentru r elelele de cupru, atacatorul va avea nevoie de acces la miezul de cupru al mediului
de transmisie. la cablurile UTP, atacul se rezumă la a îndep ărta cămașa de plastic, urmând ca prin
intermediul unor cle ști să se intercepteze semnalele electrice transmise pe firele de cupru.
Fibra optic ă, deși este mai greu de atacat, poate c ădea victim ă unor tehnici neintruzive (care
nu se bazeaz ă pe întreruperea mediului de transmisie). Un aparat ce intercepteaz ă semnalul luminos
dintr -o fibr ă îndoit ă poate fi cump ărat de pe eBay la mai pu țin de 500 USD.
5
Trebuie remarcat c ă un astfel de atac necesit ă acces la mediul fizic. În plus, prin î ndoirea
fibrei semnalul luminos se atenueaz ă, atenuare ce poate fi detectat ă de receptor și folosit ă în
declan șarea unei alarme.
I.3.2 Atacuri de nivel legătur ă de date
Atacurile de nivel 2 (le gătură de date) presupun acces î n rețeaua locală. lista acestor atacuri
include: atac MAC, atac STP, schimbarea VLAN (VLAN hopping), dar și ARP poisoning, atac
greu detectabil și ușor de f olosit în r ețelele locale actuale.
Atacul ARP poisoning presupune redirec ționarea traficului dintre orice sta ție din re țeaua
local ă și routerul de ie șire din LAN (gateway) prin sta ția atacatorului. Acest lucru este realizat prin
trimiterea de pachete ARP (atât cereri ARP, cât și răspunsuri) cu informa ții alterate.
Pentru exemplificare, fi e cazul din figura 1.1, în care sta ția C dore ște să intercepteze traficul
dintre sta țiile A și B. Pentru aceasta, sta ția C va trimite dou ă pachete ARP de tip r ăspuns false: o
dată pentru sta ția B, în care se specific ă faptul c ă adresa de nivel 2 a stației A este
AA:BB:CC:00 :00:13 , și o dat ă pentru stația A , în care se specific ă faptul c ă adresa de nivel 2 a
stației B este tot AA:BB:CC:00:00:13 .
Astfel, atunci când stația A doreșt e să t rimită un pachet stației B, î l va trimite stației C. La
fel, atunci când stația B dorește s ă trimită un pachet stației A, îl va trimite tot stației C . Pentru că
procesul să func ționeze, stația C va trebui să trimită pachetele primite stațiilor care sunt adresate. În
plus, stația C trebuie să retrimită pachetele ARP false la intervale regulate.
Aceasta pentru că intrările din tabela ARP s unt evacuate după un timp, caz î n care stația va
trimite un pachet ARP de interogare. Dacă stația interogată răspunde, int rarea din tabela ARP va fi
actualizată și astfel traficul nu va mai ajunge la stația C.
Figura 1.1 Atac ARP poisoning
Acest tip de atac, î n care două stații comunică printr -un intermediar, poartă numele de man
in the middle attack . Există multe at acuri de acest tip și din păc ate singura soluție pentru evitarea
acestor atacuri este autentificarea.
Simpla criptare a traficului nu evită întotdeauna aceste tipuri de atacuri. Dacă se folosește o
criptare cu o cheie partajată, atunci se obtine un grad oa recare de securitate. În schimb, dacă se
folosește o criptare fără o cheie pa rtajată și fără autentificare, î n care cheia de criptare se deri vă prin
schimbul de informații î ntre cele două stații, gradul de securitate este zero: atacatorul va stabili două
canale de comunicație, cu fiecare dinlre cele două statii, și, chiar dacă acele canale de comunicație
sunt criptate, atacatorul are toate informațiile necesare pentru decriptare.
Pentru prevenirea unui atac ARP poisoning trebui e monitorizat tot traficul ARP în rețeaua
locală, atâ t la nivelul dispozitivelor de i nterconectare – folosind switch -uri ce implementează ARP
Inspection (interceptează și validează toate cererile și răspunsurile ARP), cât și la nivelul stațiilor –
6
folosindu -se programe de tip ARPWat ch pentru a detecta eventuale schimbări î n asocierile IP –
MAC. În același timp, pentru destinațiile importante (de exemplu pentru gateway), se recomandă
folosirea de asocieri statice î n tabela ARP.
Apariția switch -urilor î n rețelele locale au transformat mediu l partajat al Ethernet -ului î ntr-
un mediu dedicat. Astfel, un administrator de rețea ce dorește monitorizarea t raficului către o
anumită destinație va trebui ca, î nainte de a lansa programul de interceptare a traficului, să facă un
atac ARP poisoning pentr u respectiva destinație. Pentru aceasta poate folosi orice generator de
pachete, cele mai utilizate fiind: Cain, dsniff, IPSorcery .
I.3.3 Atacurile de nivel rețea
Atacurile de nivel 3 (reț ea) sunt cel mai adesea inițiate din Internet. deși există atacuri de
nivel 3 și î n rețelele locale, precum DHCP starvation și DHCP spoofing .
Din multitudinea atacurilor de nivel 3 cele mai î ntâlnite sunt atacurile bazate pe f1ooding ,
sau cele bazate pe DoS (Denia l of Service) sau mai nou DDoS (Distributed DoS).
Un flood reprezintă un număr foarte mare de pachete venite î ntr-un interval scurt de timp.
Un trafic ce poate fi interpretat drept flood la nivelul routerului de acces î n rețeaua locală poate fi
tratat drept trafic normal î n nucleul Internet -ului. Pentru tehnologi ile actuale, un flood este definit
astfel: la nivelul unui switch de nivel 2 un număr de 100.000 – 150.000 de pachete pe secundă, iar la
nivelul unui router de acces (ce conectează o rețea locală) un flood are 8.000 -12.000 de pachete pe
secundă. În nucleul Internet -ului un trafic de sute de milioane de pachete pe secundă poate fi tratat
drept trafic legitim, de aceea un flood se identifică după tipul traficului și nu după numărul de
pachete.
Atacurile bazate pe flooding pot folosi conexiuni TCP, mai exact pa chete de SYN (atacul
numindu -se SYN flooding ), cât și pachete ICMP sau UDP. î n cazul SYN f1ooding, atacatorul va
trimite un num ăr foarte mare de cereri de deschidere a unei noi conexiuni TCP (pachete ce au
câmpul de control SYN setat). Serverul țintă va răspunde cu pachete ce au câmpurile ACK și SYN
setate. Atacatorul nu va trimite niciodat ă pachetul de stabilire a conexiunii (o sesiune TCP se
bazeaz ă pe three·wa y handshoke). Astfel, sesiunile vor r ămâne în starea half-open, consumând
resurse î n continuare p e server.
Mecanismele de protecție împotriva atacurilor SYN flood se bazează pe stabilirea unui timp
maxim pentru s tabilirea unei conexiuni (timp în care conexiunea poate fi î n starea half-open ), a unui
număr maxim de conexiuni half -open (v aloare de la car e conexiunile ha lf-open vor începe să fie
șterse). O altă abordare se numește SYN cookies. Această metodă permite severului să evite
înlăturarea conexiunilor, când coada în care sunt păstrate SYN -urile devine plină, serverul
comportându -se normal, ca și câ nd aceasta din urmă ar fi fost mărită. Server -ul în acest caz, va
trimite î napoi client -ului un ră spuns de forma SYN+ACK, dar va șterge din coadă intrarea
corespunzătoare pachetului ce conținea bit -ul SYN setat. Dacă serverul va primi un pachet de
răspuns de la client cu bit -ul ACK setat, atunci conexiunea poate fi stabilită, intrarea ce fusese
ștearsă putând fi reconstruită pe baza numărului de secvență din antetul T CP.
ICMP fooding se bazeaz ă pe trimiterea unui num ăr foarte mare de pachete ICMP,
consumând întreaga l ățime de band ă disponibil ă. Cel mai adesea atacul este prevenit prin filtrare a
întreg traficului ICMP, cu costul pierderii func ționalit ăți utilitarelor ping și traceroute .
Atacul UDP flooding este cu adevărat distructiv când folosește drept țin tă porturile 7 și 19,
adică serviciile de echo și chargen . Acest e servicii, fiind rar folosite î n rețele locale, p ot fi oprite de
firew all-ul de intrare î n LAN, fără un impact real asupra funcționării rețelei.
Atacurile bazate pe flooding sunt î n general c ombinate cu un atac de tip spoofing , prin care
se generează adrese sursă fictive și diferite pentru pachetele din flood (altfel o filtrare pe baza
depășirii unui număr limită de pachete per sursă ar elimina atacul). Atacul spoofing asigură î n
același timp ascund erea identității atacatorului. Î n plus, dacă destinația atacului bazat pe fl ooding nu
este o sursă țintă ci adresa de difuzare a unei rețele, toate echipamentele din respectiva rețea vor
încerca să răspundă unei surse ce nu există în realitate. Acest atac este de tip DDoS și se numește
atac smurf .
7
Figura 1.2 Atacul smurf
Există trei forme prin care un atac de tip DoS poate fi inițiat: atacurile din exterior, venite
din Internet, atacuri inițiate din rețeaua locală și atacuri generate de pe aceeași mașină. Atacurile din
exterior pot avea ca țintă: închiderea anumitor servicii, dezactivarea conturilor utilizatorilor,
utilizarea malițioasă a telnet sau finger . Ca metode de atac din interior putem enumera: umplerea
harddisk -ului, crearea de procese la i nfinit, crearea de fișiere greu de șters.
Atacurile DDoS pornesc de la putere a enormă de calcul disponibilă î n rețelele actuale locale.
Unele dintre aceste atacuri pot fi neintenționate, precum î n cazul Slashd ot effect. Numele vine de la
cunoscutul s ite Slashdot , care a postat un link către un site cu capabilități mai mici. Când foarte
mulți utilizatori au incercat să acceseze respectivul site, efectul a fost echivalent cu un atac SYN
flood.
Atacurile DDoS se bazează î n general pe infe ctarea unui număr cât mai mare de stații, și
coordonarea unui atac către aceeași țintă. Un astfel de atac a fost generat de virusul MyDoom .
Tot în categoria DDoS intră și viruși de tip IRCBots , programe care după infectarea unei
stații vor iniția o conexiune către un server de IRC pe un canal privat, atacatorul putând să
controleze toate stațiile infectate. Un IRCBot va deschide și portul 6667 (portul implicit pentru
IRC) pe mașina infectată.
I.3.4 Atacuri de nivel aplicație
Atacurile de nivel 7 (aplicație) exploatează în gene ral vulnerabilități ale aplicațiilor web.
Atacurile de nivel 7 pot avea drept țintă și tehnologiile din spatele aplicațiilor web, un număr
important de atacuri fiind direcționate î mpotriva bazelor de date. Cel mai cunoscut atac de aceast fel
este inserarea de cod SQL (SQ L Injection). Acest atac se bazează pe modul direct de interogare a
bazei de date.
Este necesar să se atragă atenția asupra riscului de securitate adus de utilizatorii neglijenți
din rețea. Chiar și î n cazul unor utilizatori responsabili nu trebuie ignorate riscurile unui atac bazat
pe inginerie socială – adică pe manipularea indivizilor pentru obținerea accesului la informații le
confidenția le sau alte resurse. Nu este o î ntâmplare că cel mai cunoscut hacker al tuturor timpurilor
este Kevin Mitnick, un om cu cunoștințe tehnice limitate, dar cu o bună ințelegere a psihologiei
utilizatorilor și a administratorilor din rețelele actuale.
I.3.5 Atacuri web
O clasă tot mai relevant ă actualmente a atacurilor de nivel aplica ție o reprezint ă atacuril e
web. Datorita maturiz ării Internetului și volumelor ridicate de tranzac ții online, majoritatea
atacurilor din ultima perioad ă se concentreaz ă asupra serviciilor oferite pe net. Pe de o parte ,
porturile asociate acestora trebuie s ă fie tot timpul deschis e, iar pe de alta, protocoalele folosite nu
au fost ini țial concepute pentru magazine virtuale sau pl ăți electronice, cu atât mai puțin fiind lua te
în calcul considerentele de securitate.
Astfel, de -a lungul timpului au fost aduse multe îmbun ătătiri pentru a permite aplica țiilor
web s ă serveasc ă obiectivele actuale, precum criptarea comunica țiilor peste un canal SSL (HTIPS),
8
menținerea unei sesiuni între client și server folosind cooki e-uri, animarea conținutului paginilor
web cu XHTML, CSS, JavaScrÎpt sau Flash, comunicaț ia asincron ă folosind AJAX – conducând
utilizatorul c ătre o experien ță Web 2.0, pu țin peticit ă din punct de vedere al securit ății.
Atacurile pe Web se împart î n dou ă categorii: atacuri asupra platformei : sistem de operare,
servicii, comunic ații și atacuri asupra aplica ției, care vizeaz ă compromiterea sistemului sau a
utilizatorului.
Atacurile asupra platformei se bazeaz ă pe exploatarea unor vulnerabilit ăți în sistemul de
operare, în serviciile expuse sau î n protocoalele utilizate. Acestea u rmăresc ob ținerea accesului la
date neautorizate sau incapacitarea serviciului. Aceste atacuri verific ă porturile deschise î n firewall,
versiunile serviciilor active și apoi caut ă vulnerabilit ăți cunoscute pe care să le utilizeze pentru a
obține acces la s isteme. Atacurile se pot baza, de exemplu, pe bug -uri în versiunile de SSH, î n
serverele de FTP, DNS sau SMTP și cel mai adesea chiar in serverele Web (Apache sau lIS ).
Asemenea atacuri există și pentru Apache. De exemplu, existența unui bug î n biblioteca
openssl permite deschiderea unui shell prin ataca rea unui server web care foloseș te SSL .
Atacurile asupra aplicației Web se bazează pe vulnerabilități î n modul de programare, pe
bug-urile și breșete de securitate inerente limbajului de programare, sau pe greșelile
programatorilor. Atacurile asupra aplicaliilor Web acoperă două ținte: compromiterea sistemului,
prin obținerea accesului neautorizat pe unul dintre serverele de aplicație sau baze de date, sau
compromiterea clientului, prin obținerea informațiil or confidențiale ale acestuia, furtul sesiunii, sau
execuția de cod pe mașina acestuia.
Majoritatea atacurilor asupra aplicațiilor web sunt datorate validării insuficiente a datelor
de intrare ale aplicației: acestea pot fi date introduse de utilizatori, c âmpuri ascunse ale
formularelor, parametri ai pagini lor dinamice, variabile aflate î n cookie -uri, antete HT TP, etc.
Datorita fapturilor că aplicațiile web sunt eterogene prin definiție, atacarea acestora nu se bazează
atât de mult pe vulnerabilități cunosc ute, cât pe o metodologie particulară, specifică fiecă reia.
Bazele de date CVE (Common Vulnera bilities and Exposures) conțin informații despre aplicații
particulare des înt âlnite pe web (WordPress, PHPBB). Î n continuare vor fi analizate vulnerabititățile
generale ale aplica țiilor web, și vor fi detaliate cele de mare notorietate.
Vulnerabilitățile î n procesul de autentificare implică unul dintre următoarele scenarii:
obținerea neautorizată a informațiilor de autentificare, spoof -area identității utilizatoru lui,
interceptarea informațiilor de lo gare, spargerea algoritmilor de criptare sau retransmiterea datelor,
furtul sesiunii sau atașarea la o sesiune validă. Procesul de autorizare implică acțiunile pe care le
poate intreprinde un utilizator autentificat, i ar atacurile includ escaladarea orizontală a privilegiilor,
cum ar fi accesarea datelor din profilul altui utilizator al unui magazin online sau escaladarea
verticală a privilegiilor, precum accesarea unor pagini specifice administratorilor magazinului.
I.3.6 Viruși, viermi, troieni
Când au apărut primii viruși și a fost dezlănțuit primul atac DoS, lumea profesionaliștilor în
rețele a început să se schimbe. Principalul lor obiectiv a evoluat de la proiectare, construirea și
creșterea rețelelor, la securiz area acestora.
Viruși
Cod executabil atașat unui program sau executabil . Codul trebuie să fie rulat de un utilizator
pentr u a avea efect. Se propagă prin: atașamente de e -mail, fișiere descărcate infectate, partajări dc
fișiere în rețeaua locală sau stic k-uri USB. Virus reprezintă un software malițios care execută pe un
calculator, o anumită funcție nedorită, de multe ori dăunătoare . Un virus simplu se poate instala la
prima linie de cod pe un fișier executabil . Când este activat, virusul ar putea verific a disc -ul pentru
alte executabile, astfel î ncât să poată infecta toate fișierele care nu au fost încă infectate. Virușii p ot
fi inofensivi (exmplu : afișează o imagine pe ecran) , distructivi (exemplu : șterg fișiere de pe hard
disk) sau pot fi programați să evolueze , pentru a evita detectarea .
9
Clasificarea virușilor î n funcție de modul de replicare distinge î ntre mai multe tipuri, dintre
care cei mai întâlniți sunt: viruși de e -mail, de macro, bombe logice, viruși de baal, viermi, și
troieni.
Pentru a reduce impactul virușilor sunt importante atât măsurile luate la nivelul rețelei, cât și
exersarea unor deprinderi din partea utilizatorilor.
Astfel, este important ca accesul în rețea să fie protejat de un f irewall (dispozitiv de filtrare
atât a traficului de in trare î n rețea, cât și a celui de ieșire), ca serverul de e -mail să aibă instalat un
antivirus, să existe o politică de monitorizare a serviciilor, etc.
La nivelul utilizatorulu i este important să nu lanseze î n execuție fișiere primite prin e -mail,
să nu d eschidă atașamente primite de la necunoscuți, să mențină un antivirus actualizat pe stația de
lucru, etc. În același timp este important să nu fie instalate programe antivirus redundante, deoarece
prin consumul de resurse acestea pot afecta semnificativ performanțele sistemului.
Viermi
Cod executabil ce folosește vulnerabilități pentru a se răspândi. Spre deosebire de viruși nu
necesită intervenția directă a unui utilizator, se răspândesc rapid în rețea și sunt greu de îndepărtat.
Viermii (Worms) reprezint ă un tip deosebit de periculos de cod ostil și se reproduc prin exploatarea
vulerabilităților în rețele. Sunt responsabili pentru unele din cele mai devastatoare atacuri de pe
internet.
În ciuda tehnicilor de diminuare a vulnerabilităților apărute de -a lun gul anilor, viermi au
continuat să evolueze odată cu Internetul și încă reprezintă o amenințare prin exploatarea punctelor
slabe din aplicațiile software . Sunt programe autonome care atacă un sistem speculând o
vulnerabilitate cunoscută, dupa specularea cu succes, viermele se copiază de la gazda atacată, la un
sistem nou atacat și ciclul se repetă.
Atacurile software rău intenționate utilizează metode similare și parcurg aceleași etape:
Sondare – sunt indentificate obiectivele vulnerabile . Scopul este de a găsi computere ce pot
fi compromise. Se utilizează scanarea prin ping (Internet Control Message Protocol – ICMP) pentru
a face harta rețelei. Apoi aplicația scanează și identifică sistemele de operare și software vulnerabil.
Hackerii pot obține parole folo sind atacuri dicționar, atacuri brute -force sau prin sniffing în rețea.
Pătrundere – codul exploit (speculativ) este transferat la ținta vulner abilă, în scopul de a fi
executat pintr -un vector de atac ( cum ar fi vulnerabilități : buffer overflow, Common Gat eway
Interface – CGI, ActiveX sau un virus prin e -mail).
Persistență – după ce atacul este lansat cu succes în memorie, codul încearcă să persiste pe
sistemul țintă, pentru a fi disponibil pentru atacator, chiar dacă sistemul repornește . Acest lucru se
realizează prin modificarea fișierelor de sistem (ex. modificări în regiștri) și instalarea noului cod.
Propagare – atacatorul încearcă să extindă atacul la alte ținte prin căutarea prin sistemele
vulnerabile vecine. Vectorii de propagare includ: încărcarea f ișierelor la alte sisteme ce utilizează
servicii FTP, conexiunile web active transferul de fișiere prin Internet Relay Chat (IRC).
Paralizare – sistemul este compromis . Fișierele pot fi șterse, sistemul poate să cadă, atacurile
pot fi furate sau distribuit e, atacurile DoS pot fi lansate.
Troie ni
Cod executabil atașat unei aplicații, spre deosebire de viruși care au efect direct, au efect
subtil – deschidere backdoor. Sunt mult mai greu de detectat ca viruși. Un troian este un malware
care efectuează operaț iuni malițioase sub masca unei funcți dorite , conține cod ascuns, care
speculează privilegiile utilizatorului care îl rulează. Acesta provoacă daune imediate, oferă acces de
la distanță la sistem sau accesul printr -un backdoor. Troieni pot avea un cod pent ru o țintă
specificată, ceea ce il face mai greu de detectat.
Troieni se clasifică în funcție de daunele pe care le provoacă sau de modul în care deschid
breșa în sistem :
Remote -access Trojan horse – activează accesul neautorizat la distanță .
Data -sending Trojan horse – oferă atacatorului date sensibile, cum ar fi parole .
Destructive Trojan horse – corupe sau șterge fișiere.
10
Proxy Trojan horse – utilizează calculatorul infectat ca proxxy server.
FTP Trojan horse – permite servici FTP neautorizate.
Security software disabler Trojan horse – oprește programele antivirus și firewall .
DoS Trojan horse – oprește sau încetinește activitatea rețelei.
Buffer overflow
Apare într -un program oricând acesta scrie mai multe informați într -o zonă tampon decât
spațiul alo cat în memorie pentru ea. Poate fi definit ca o eroare de programare , o anomalie într -un
program care permite scrierea de date într-un tampon și suprascrierea memoriei adiacente . La bază
buffer ove rflow este un bug de programare, la nivelul următor este co nsiderat vulnerabilitate de
securitate , potențial urmată de buffer overflow ca atac iar la nivelul superior, buffer overflow poate
fi reprezenta tă ca un incident de securitate. Rapoartele arată că o treime dintre vulnerabilitățile
software indentificate de CERT se referă la buffer overflow .
Într-un atac buffer overflow, obiectivul atacatorului este de a folosi vulnerabilitatea pentru a
corupe informațiile într -un mod controlat. Dacă atacul se face cu succes, atacat orul obține în mod
eficient controlul asu pra sistemului. Odată ce controlul este transferat la codul malițios, se execută
instrucțiunile date care au ca scop , de obicei, acordarea de acces complet neautorizat la sistem.
Un atac de tip buffer overflow poate fi local sau la distanță :
– atac local – atacatorul are deja acces la sistem și poate fi interesat de creșterea privilegiului.
– atac la distanță – este livrat printr -un port de rețea
Un atac de tip buffer overflow este format din 3 părți: plantarea codului de atac în programul
țintă, copierea e fectivă în tampon și deturnarea controlului pentru a executa codul de atac.
Vulnerabilitatea poate fi un proces care: ascultă pe un port de comunicații deschis sau
acceptă date de intrare neverificate.
Atenuarea virușilor, viermilor sau a troienil or
Viermii se bazează pe rețea mai mult decât virușii. Atenuarea viermilor necesită sârguință și
coordonare din partea profesionaliștilor în securitatea rețelei. Răspunsul la un atac vierme poate fi
împărțită în patru etape: izolare, inoculare (vaccinare), carantină și tratament.
Faza de izolare – presupune limitarea răspândirii unei infecții cu vierme în zonele de rețea
care sunt deja afectate . Izolarea necesită utilizarea ACL, atât de ieșire cât și de intrare pe routere și
firewall -uri la punctele de cont rol din cadrul rețelei.
Faza de inoculare (vaccinare) – se desfășoară în paralel sau după faza de izolare . Se aplică
patch -uri furnizor pentru vulnearbilitate, la toate sistemele neinfectate. Vaccinarea privează
viermele de a infecta alte obiective dispono bile, un scanner de rețea poate ajuta la identificarea
gazdelor potențial vulnerabile .
Faza de carantină – presupune depistarea și identificarea sistemelor infectate și
deconectarea, blocarea sau eliminarea lor. Aceasta izolează aceste sisteme pentru faza de tratament.
Faza de tratament – în timpul acestei faze, sistemele infectate sunt în mod activ dezinfectate
de vierme. Acest lucru implică : încheierea procesului, eliminarea fișierelor modificate , eliminarea
setărilor de sistem introduse de vierme și apli carea patch -ului pentru vulnerabilitatea aplicată.
I.4 Metodologii de atac
Există mai multe tipuri de atac de rețea, altele decât viruși, viermi sau troieni. Clasificarea
atacurilor de rețea se face în trei mari categorii: atacuri de recunoaștere, atac uri acces și atacuri
DoS.
I.4.1 Atacuri de recunoaștere
Un atac de recunoaștere constă în recoltarea informațiilor despre o anumită rețea , în multe
cazuri, preced un atac de tip acces sau DoS. Intrusul malware începe prin executarea unui ping
sweep asupr a rețelei țintă, pentru a determina ce adrese IP sunt active , apoi determină ce servicii sau
porturi sunt disponibile pe sistemele cu adresele IP active . Intrusul interoghează porturile pentru a
determina tipul și versiunea sistemul de operare și aplicaț iile ce rulează pe hostul țintă, el caută
11
servicii vulnerabile ce pot fi exploatate mai târziu. Atunci când sunt utilizate în mod lega l,
aplicațiile de ping sweep și port scan , servesc la indentificarea serviciilor vulnerabile . Un atacator
utilizează informa țiile prin examinarea adreselor IP , a porturilor Transmission Control Protocol
(TCP) și User Datagram Protocol (UDP) pentru a compromite un sistem.
I.4.2 Atacuri acces
Una din cele mai sigure metode de a obține accesul priveligiat este de a sparge parol a. Acest
lucru presupune că atacatorul are de ja acces pe un sistem din rețea șsi dorește acces privegiliat.
Parola nu este salvată pe hard disk în clar, se salvează un hash al acesteia. În momentul în
care user -ul introduce parola, se calculează hash -ul acesteia care este apoi comparat cu hash -ul
salvat în momentul setării parolei inițiale, parola este corectă dacă cele două hash -uri sunt egale .
Dacă parola este greșită , hash -ul ei este diferit de cel salvat fiindcă mesaj are propil hash , nu există
2 mesaj e (2 parole) cu acealși hash. Dacă un hacker compromite sistemul și are acces la fișierul cu
parole, aces ta poate observa hash -ul parolelor, nu și parolele .
Parolele cărora li s -a obținut hash -ul po t fi sparte prin:
Brute force – se încearcă toate combin ațiile ce folosesc un set simboluri , poate fi aplicat
direct pe serviciul de autentificare , fără a avea hash -ul.
Dictionary attack – se încearcă toate cuvintele din dicționar împreună cu permutări simple ,
poate fi aplicat direct pe serviciul de autentifica re, fără a avea hash -ul.
Cryptanalysis attack (Rainbow tabels ) – atac de cripanaliză, pentru spargere se pot folosi
tabele de hash -uri precalculate . Pentru a preveni un atac ce folosește rainbow tabels se utilizează
metoda Salting . Un segment suplimentar, generat aleatoriu, este concatenat la parola utilizatorului
înainte de hashing.
Port redirec tion (Redirecționarea portului)
Este bazat pe exploatarea încrederii, atacatorul utilizează un host compromis pentru a avea
acces printr -un firewall care altfel l -ar fi blocat. Dacă un intrus este în măsură să compromită un
host din segmentul serviciilor publice, atacatorul ar putea instala software -ul pentru a redirecționa
traficul de la hostul din exterior, direct la hostul din interior. Deși comunicarea încalcă regulile
implementate în firewall, hostul din exterior are acum conectivitate la hostul din interior, prin
procesul de redirecționare port pe hostul din segmentul serviciilor publice. Un instrument care poate
oferi acest tip de acces este Netcat .
Switch spoofing
Sistemul atacatorului negociază o legătură trunk cu switch -ul (prin DTP) . Atacatorul poate
ulterior trimite trafic în orice vlan.
Figura 1.3 Atacul Switch spoofing
Buffer Overflow
12
Un program scrie date dincolo de memoria tmpon alocată. Buffer ov erflow apare ca o
consecință a unui bug de program în C sau C++. Un rezultat al overflow este că datele valide sunt
suprascrise sau exploatate pentru a permite executarea unui cod malițios.
Double tagging
Nu necesită implementarea DTP pe atacator. Dacă un atacator este conectat la un por t acces,
care este în VLAN nativ 802.1q (vlan 1, în mod implicit), el poate provoca trafic de salt VLAN prin
injectarea de pachete dublu marcate. Switch -ul desface doar primul tag și nu va dori să ”observe” al
doilea tag. Atunci când este transmis unui alt switch printr -un trunk 802.1q, nu i se aplică nici un
tag de VLAN, deoarece aparține unui VLAN care este VLAN nativ pentru trunk. Celălalt switch,
vede eticheta VLAN rămasă (al doilea tag aplicat de atacator) și va trans mite pachetul pe VLAN -ul
specificat în tag.
Figura 1.4 Atacul Double tagging
Atacuri STP
Protocolul STP nu folosește autentificarea, ceea ce îl face vulnerabil. Un atac STP parcurge
de obicei următorii pași:
Atacatorul se conectează la rețeaua de sw itch-uri(prin Shitch2p). Trimite frame BPDU
(Bridge Protocol Data Units) cu BID mic, devine root bridge .
Soluții pentru protejarea STP: RootGuard, BPDU Guard sau BPDU Filter.
Atenuarea atacurilor acces
Atacurile acces, în general, pot fi detectate prin ve rificarea: logurilor, utilizării lățimii de
bandă și proceselor încărcate. Prin verificarea logurilor, administratorii de rețea pot determina dacă
au avut loc un număr neobișnuit de încercări de autentificare eșuate. Pachete software, cum ar fi
ManageEngin e Analyzer EventLog sau Cisco Secure Acces Control Server ( CSACS ) mențin
informațiile privind încercările nereușite de login la dispozitivele din rețea. Echipamentele de rețea
și dispozitivele firewall pot fi configurate pentru a preveni încercările de con ectare pentru un timp
dat, dintr -o anumită sursă și după o serie de eșecuri.
Atacurile man in the middle pot fi indicate de aplicați ile de monitorizare a rețelei prin
activitate neobișnuită în rețea și utilizare mai mare a lățimii de bandă.
Un atac acces î ntr-un sistem compromis este probabil dezvăluit de activitatea lentă din cauza
atacurilor buffer overflow în curs de desfășurare.
I.4.3 Atacurile DoS
DoS este un atac de rețea care duce întrerupere a serviciului pentru utlizatori, dispozitive sau
aplicați i. Mai multe mecanisme pot genera un atac DoS. Atacul DoS saturează rețeaua, astfel ca
traficul utilizatorului valid nu poate trece. Atacul DoS poate fi: un pachet infestat, care prelucrat de
hostul destinație, provoacă funcționarea defectuoasă a acestuia sau un flux de pachete valide, care
consumă resursele hostului destinație.
Atacuri DDoS (Distributed Denial of Service)
13
Constă în trimiterea cererilor de la mai multe sisteme către o singură țintă. Atacurile
DoS/DDoS sunt dificil de identificat, nu se poat e determina mereu care sunt cereri valide și care
reprezintă un atac.
Ping of Death (PoD)
PoD poate paraliza o rețea, speculând o deficiență din standardul TCP/IP . Dimensiunea
maximă a unui pachet este 65.535 bytes, dacă s -ar trimite un pachet mai mare, h ostul care îl
primește se va prăbuși în cele din urmă datorită confuziei. Trimiterea unui ping de această
dimensiune este împotriva regulilor din standardul TCP/IP, dar hackerii pot ocoli acest lucru prin
trimiterea pachetelor în fragmente. Când fragmentel e sunt ansamblate pe hostul destinație,
dimensiunea pachetului este prea mare , acest lucru va provoca buffer overflow și crashul hostului.
Figura 1.5 Atacul Ping of Death
CAM Overflow
CAM este tabela folosită de switc h-uri pentru a reține prin ce port se ajunge la o anumită
adresă MAC. Memoria unui switch nu este nelimitată, tabela CAM se poate umple și switch -ul va
funcționa în regim de hub. Un atacator poate trimite un număr mare de cadre cu adrese MAC
spoofed. P entru a opri acest tip de atac este ne cesar să se limiteze numărul de adrese MAC ce pot fi
învățate pe un port.
Atenuarea atacurilor de recunoaștere
Tehnici de atenuare a atacurilor de recunoaștere includ: implementarea unei autentificări
puternice, utilizarea criptării pentru a face inutil e atacurile pachetelor sniffer, utilizarea de
instrumente anti -sniffer pentru a detecta atacurile pachet sniffer, folosirea firewall și IPS.
Atenuarea atacurilor acces
Software anti -sniffer și instrumente hardware pot detecta schimbări în timpul de răspu ns al
hosturilor pentru a determina dacă acestea prelucrează mai mult trafic decât ar indica în mod
normal. Este imposibil de a atenua Port Scan, dar folosind un sistem de prevenire a intruziunilor
(IPS) și firewall, se pot limita informațiile care pot fi descoperite cu un scanner de port. Ping sweep
poate fi oprit dacă ICMP echo și echo -reply sunt dezactivate pe routerele edge, dar procesul de
diagnosticare este îngreunat.
Atenuarea atacurilor DoS
Aceste tipuri de atacuri pot fi contracarate prin utilizar ea tehnologiilor anti spoofing pe
routere și firewall -uri de perimetru. Routerele și switch -urile suportă o serie de tehnologii anti
spoofing, cum ar fi port security, Dynamic Host Configuration Protocol (DHCP) snooping, IP
Source Guard, Dynamic Address Re solution Protocol (ARP) Inspection și listele de control acces
(ACL). Deși Quality of Service (QoS) nu este conceput ca o tehnologie de securitate, una din
aplicațiile sale, politica de trafic, poate fi utilizată pentru a utiliza pentru a limita traficul d e intrare
de la orice client pe un router edge. Aceasta nu permite ca o singură sursă să poată utiliza întreaga
lățime de bandă.
14
CAPITOLUL II
II Securitatea și monitorizarea rețelei
II.1 AAA(Authentication, Authorization and Accounting)
Securizarea pe echipamente CISCO este o preocupare critică din punct de vedere al
securității. De multe ori, această problemă este rezolvată folosind parole de enable și vty/console,
configurate local pe echipament. Pentru rețele cu mai multe echipamente, această abo rdare este greu
de gestionat. Pentru a rezolva această problemă este nevoie de o formă centralizată de acces
securizat la echipamente.
Serviciile de securitate de rețea ale protocolului AAA asigură cadrul primar pentru a
configura controlul accesului pe u n dispozitiv de rețea. AAA este o modalitate de a controla cine are
permisiunea să acceseze o rețea( Authentication – permite accesul bazat pe un cont de utilizator și o
parolă), ce poate face în timp ce este logat( Authorization – determină nivelul de acces al unui
utilizator logat) și verificarea acțiunilor pe care le efectuează în timp ce accesează resursele
rețelei( Acconting – contabilizează serviciile pe care le accesează utilizatorii și resursele din rețea pe
care aceștia le consumă(loguri pentru fiecar e utilizator))
Figura 2.1 Procesul de Autentificare AAA bazată pe Server [HTTP14]
Authentication
Protocolul AAA poate fi folosit pentru autentificarea utilizatorilor cu acces la funcții
administrative sau poate fi folosit pentru autentificarea utilizato rilor pentru accesul la rețea, de la
distanță. Autentificarea poate fi configurată local folosind username și parolă sau folosind un server
RADIUS sau TACACS+ care deține o bază de date cu utilizatorii pentru toate echipamentele din
rețea. Securitatea este menținută folosind cheie partajată(shared key) care trebuie să fie aceeași pe
client și server.Trebuie specificate metodele de autentificare pe care vrem ca echipamentul să le ia
în considerare când un utilizator se loghează pe un echipament. Se pot confi gura până la 4 metode
de autentificare pe echipament.
Authorization
După ce utilizatorii sunt autentificați cu succes pe echipament, conform metodei local sau
server, aceștia sunt apoi autorizați pentru resursele specifice din rețea. Autorizarea este de f apt ceea
ce un utilizator poate sau nu poate face în rețea, după ce acesta s -a autentificat.
Accounting
Contorizează serviciile pe care le accesează utilizatorii și resursele din rețea pe care aceștia
le consumă astfel încât să poată fi folosite pentru sc opuri cum ar fi cele de audit. Datele colectate ar
15
putea include timpii de start și stop ai conexiunii, comenzi executate, numărul de pachete sau
numărul de octeți. Contorizarea este implementată folosind o soluție AAA bazată pe server. Acest
serviciu rapo rtează statistici de utilizare, acestea
CBAC (Context Based Access Control)
Control accesului bazat pe context (CBAC) este o soluție disponibilă în cadrul Cisco IOS.
CBAC filtrează inteligent pachetele TCP si UDP pe baza sesiunii de informații de pe Nivelul
Aplicație. Acesta oferă filtrare dinamică la nivel Aplicație, inclusiv protocoalele care sunt specifice
pentru aplicații unice, precum și aplicații multimedia, dar și protocoale care necesită mai multe
canale de comunicare, cum ar fi FTP si H.323. CBAC poate examina, de asemenea, conexiuni
acceptate informații ce integrează NAT și PAT și efectuează schimbările necesare pentru adresă.
Filtrarea traficului
CBAC -urile pot fi configurate să permită returnarea traficului TCP și UDP specificat, printr –
un paravan de protecție (firewall) în cazul în care conexiunea este inițiată din interiorul rețelei. Ea
realizează acest lucru prin crearea de deschideri temporare într -un ACL care ar nega astfel de trafic.
CBAC poate inspecta traficul pentru sesiuni care provin din ambele părți ale firewall -ului. Acestea
pot de asemenea fi folosite pentru intranet, extranet, și în cadrul rețelei de Internet. CBAC
examinează nu numai Nivelul Rețea și Nivelul Transport al traficului, dar analizează, de asemenea,
și Nivelul A plicație (cum ar fi conexiuni FTP) pentru a afla despre starea sesiunii. Acest lucru
permite suportul protocoalelor care implică mai multe canale create ca rezultat al negocierilor din
canalul de control. Cele mai multe dintre protocoalelor multimedia, pre cum și a unor alte protocoale
(cum ar fi FTP, RPC, SQL * Net) implică mai multe canale.
Controlul Traficului
Deoarece CBAC inspectează pachetele la Nivelul Aplicație și menține informația sesiunilor
TCP și UDP, poate detecta și a preveni anumite tipur i de atacuri de rețea, cum ar fi SYN -flood. Un
atac SYN -flood apare atunci când un atacator de rețea „inundă” un server cu un număr mare de
cereri de conectare dar nu efectuează conexiunea până la capăt. Volumul conexiunilor pe -jumătate
deschise copleșește server -ul, determinând -ul să nege serviciul de cereri valabile. CBAC de
asemenea, ajută la protecția împotriva atacurilor DoS și în alte moduri. Se inspectează numere de
secvență în conexiunile de pachete TCP pentru a vedea dacă acestea se încadrează în i ntervalele
date și distruge orice pachete suspecte. CBAC poate fi configurat, de asemenea, să renunțe la
conexiuni pe -jumătate deschise, care necesită o prelucrare de către firewall și mențin resursele de
memorie la un nivel înalt.
Detecția Intruziunilo r
CBAC oferă un număr limitat de detectare a intruziunii pentru a proteja împotriva atacurilor
specifice SMTP. Cu serviciul de detecție a intruziunilor, mesajele syslog sunt revizuite și
monitorizate pentru semnături de atac specifice. Anumite tipuri de atacuri de rețea au caracteristici
sau semnături specifice. Atunci când CBAC detectează un atac bazat pe aceste caracteristici
specifice, se resetează conexiunile ofensatoare și se trimit captările către server -ul syslog.
II.2 Securizarea accesului remo te pe echipamente
Telnet – este un protocol de rețea care se folosește în Internet precum și în rețele de
calculatoare tip LAN la comunicația textuală, bidirecțională și interactivă, bazată pe realizarea unei
conexiuni virtuale cu stația de lucru destinat ară. Telnet este un protocol necriptat, pachetele sunt
trimise în clar inclusiv și parolele de login.
II.2.1 Secure Shell (SSH)
SSH (Secure Shell ) – este un protocol utilizat pentru accesul la distanță și pentru executarea
comenzilor pe un echipament de la distanță. A fost conceput pentru a înlocui rlogin , rsh și telnet,
16
pentru a asigura comunicație criptată între două stații ce comunică intr -o rețea nesigură, cum este
rețeaua Internet. Prin canalul oferit pot fi redirectate și conexiuni X11 și porturi arbitrare TCP/IP.
SSH utilizează conexiuni TCP, componenta server ascultănd pe portul 22 .
SSH oferă o comunicație criptată între două echipamente , criptatrea oferind datelor
confidențialitatea și integritatea. SSH utilizează criptografia cu chei publice pentru aute ntificarea
stațiilor ce doresc să se conecteze și să execute comenzi la distanță, conectarea realizâ ndu-se pe
baza unui nume de utilizator și a unei parole. Sunt suportate următoarele metode de criptare: IDEA,
DES, 3DES, ARCFOUR, BLOWFISH și TSS, implicit folosindu -se IDEA.
Fig 2.2 Conexiune SSH criptată
În prezent, există două versiuni ale acestui protocol. Prima versiune, SSH -1, a fost lansată în
1995, câștigând rapid popularitatea utilizatorilor. În 1996, apare SSH -2, o rescriere integ rală a
primei versiuni, incompatibilă cu prima versiune, aducănd îmbunătățiri substanțiale în procesul de
schimbare a cheilor și în asigurarea integrității datelor.
Tabel 2.1 Principalele diferențe între cele două versiune SSH
II.3 Securitatea prin criptare
În plus față de prevenirea și interzicerea traficului malițios, securitatea rețelei impune ca
datele să ramână protejate. Criptografia este utilizată în securitatea modernă a rețelei. Problemele
securității rețelei pot fi împărțite în patru domenii interconectate: confidențialitatea, integritatea
datelor, autentificarea și nerepudierea.
1. Confidențialitate – asigurarea că utilizatori neautorizați nu pot citi mesajul cu excepț ia
destinatarului.
2. Integritatea datelor – realizează protejarea datelor la alterare sau manipularea de către
persoane neautorizate. Prin manipularea datelor înțelegem procese cum ar fi inserții,
întârzieri sau substituiri.
3. Autentificarea – presupune determinarea identității persoanei înainte de a dezvălui
informații import ante.
4. Nerepudierea – implică semnături , previne o entitate în a nega o acțiune întreprinsă .
17
Când vorbim de confidenț ialitatea datelor ne referim la criptarea lor cu scopul de a le
face indescifrabile . Acest proces de criptare necesit ă algoritmi, form ule mat ematice foarte
complexe, care să asigure ca ele nu pot fi citite. Există 2 moduri în care se poate face criptarea:
1. criptare a Simetric ă – folosind o singură cheie
2. criptarea Asimetric ă – folosind o pereche de chei , una public ă și una privat ă
II.3.1 Criptarea Simetric ă
Criptarea simetrică este cea mai folosită form ă de criptare din rețeaua Internet , fiind în
același timp rapidă și sigură .
Pentru asigurarea confidențialității datelor transmise prin rețele se folosesc algoritmi
criptografici cu cheie sec retă (simetrici). Ei se caracterizează prin aceea că ambii utilizatori ai
algoritmului împart aceeași cheie secretă, folosită la cifrare cît și la descifrare. Cheia de criptare
trebuie păstrat ă în secret față de utilizatorii neautorizați, cel ce are acces la acestă cheie poate avea
acces și la informația secretă. Algoritmii criptografici simetrici se caracterizează prin vitez a de
cifrare foarte mare, compara tiv cu algoritmii criptografici asimetrici și sunt ușor de folosit la
cifrarea blocurilor mari de inf ormație. Securitatea acestui tip de algoritm depinde în mare măsură de
lungimea cheii și posibilitatea de a o păstra în secret. Problema principală apare la încercarea de a
crea o comunicație secreteă între mai mulți utilizatori privind manegementul cheilo r; pentru n
utilizatori sunt posibile n(n -1)/2 legături bidirecționale, fiind necesare tot atîtea chei. Aceasta
implică în general dificultăți în generarea, distribuția sau memorarea cheilor. Utilizarea
calculatoarelor electronice a permis folosirea unor c hei de dimensiuni mai mari, crescând astfel
rezistența la atacuri criptoanalitice. Câ nd cheia secretă are o dimeniune convenabilă și este suficient
de frecvent schimbată, devine imposibilă spargerea cifrului, chiar dacă se cunoaște algoritmul de
cifrare.
Securitatea criptării simetrice depinde mult de protecția cheii criptografice. Administrarea
acestora este un factor esențial și se referă la:
– generarea cheilor, adică mijloacele (pseudo) aleatoare de creare a succesiunii de octeți
(biți) ai cheii;
– distribuția cheilor, adică modul în care se transmit și se fac cunoscute cheile tuturor
utilizatorilor cu drept de acces la informațiile criptate;
– memorarea cheilor, adică stocarea lor sigură pe un suport magnetic sau pe un card, de
obicei criptate sub o alt ă cheie de cifrare a cheilor, numită și cheie master.
Problema fundamentală a utilizării criptografiei în rețele este aceea a găsirii unor modalități
de distribuție sigură și periodică a cheilor criptografice, este necesa r ca acestea să fie schimbate câ t
mai des. În Internet, se utilizează tot serviciile rețelei, folosind protocoale speciale sau sisteme cu
chei publice, așa numitele anvelope (plicuri) digitale.
Cei mai cunoscuți algoritmi criptografici simetrici sunt: DES, 3DES , AES, Blowfish și RC4.
Fiecar e dintre aceș ti algoritmi folosesc :
DES si 3DES (Data Encryption Standard) sunt 2 algoritmi de criptare dezvoltați î n Sta tele
Unite la inceputul anilor 1970 ș i au o complexitate a cheii de 56-bits pentru DES , respectiv 168-
bits pentru 3DES .
DES ș i 3DE S sunt algoritmi c are nu se mai folosesc pentru că au fost descoperite
vulnerabilități în aceștia, iar complexitatea criptării este mult mai slabă î n comparație cu ceilalți
algoritmi existenți pe piață .
AES (Advanced Encryption Standard) cunoscut și s ub numele de Rijndael, este un
algoritm standardizat pentru criptarea simetrică, pe blocuri, este cel mai utilizat algoritm de criptare
în aplicații și adoptat ca standard de organizația guvernamentală americană NIST (National Institute
of Standards and Technology – Institutul National pentru Standarde si Tehnologie). Acesta
folosește o singură cheie (PSK – pre-shared key ) pentru criptare datelor și aceeaș i cheie pentru
decriptarea lor. Algoritmului AES (Rijndael) este definit un algoritm de criptare pe bl ocuri în care
lungimea blocului și a cheii puteau fi independente, de 128 de biți, 192 de biți sau 256 de biți , totul
depinzâ nd de nivelul de securitate dorit sau de capacitatea siste mului de a face astfel de criptă ri.
18
Figura 2.3 Proiectarea algoritmul AES
III.3.2 Criptarea Asimetrică
Criptarea asimetrică este un tip de criptografie ce utilizează o pereche de chei: o cheie
publică și o cheie privată. Un utilizator care deține o astfel de pereche își publică cheia publică
astfel încat oricine dorește să o poata folosi pentru a îi transmite un mesaj criptat. Numai deținătorul
cheii secrete (private) este cel care poate decripta mesajul astfel criptat.
Matematic, cele două chei sunt legate, însă cheia privată nu poate fi obținută din cheia
publică. Î n caz contrar, orcine ar putea decripta mesajele destinate unui alt utilizator, fiindcă oricine
are acces la cheia publică a acestuia.
Cripografia asimetrică se mai numește criptografie cu chei publice.
Metodele criptografice în care se folosește aceeași cheie p entru criptare și decriptare sunt
metode de criptografie simetrică sau criptografie cu chei secrete. Si stemele de criptare asimetrice
înlătură problema întâlnită la sistemele de criptare cu chei simetrice ce foloseau o singură cheie,
atât pentru criptare cât și pentru decriptare. Pentru a putea folosi această metodă trebuia ca atât
expeditorul cât și destinatarul trebuia să cunoască cheia secretă. Aceasta trebuia să fie unică pentru
o pereche de utilizatori, fapt ce conduce a la probleme din cauza gestionă rii unui numă r foarte mare
de chei. Se elimină și necesitatea punerii de acord asupra unei chei comune, greu de transmis în
condiții de securitate sporită î ntre cei 2 interlocutori.
Cele două mari ramuri ale criptografiei asimetrice sunt:
1.Criptarea cu c heie publică – un mesaj criptat cu o cheie publică nu poate fi decodificat
decât folosind cheia privată corespunzătoare. Metoda este folosită pentru a asigura
confidențialitatea.
2.Semnături digitale – un mesaj semnat cu cheia privată a emiță torului poate fi verificat de
către oric ine, prin acces la cheia publică corespunzatoare, astfel asigurandu -se autenticitatea
mesajului.
O problemă majoră în folosire a acestui tip de criptare este î ncrederea (dovada) că cheia
publică este corectă, autentică și nu a fost interceptată sau înlocuită de o a treia parte rău voitoare. În
mod normal problema este rezolvată folosind infrastructura cu cheie publică (PKI) în care una sau
mai multe persoane asigură autenticitatea cheilor pereche. O altă abordare folosită de PGP (Pr etty
Good Privacy) este cea a conceptului web of trust .
19
Figura 2.4 Criptarea asimetrică
Iar celalalt mod, care nu oferă confidenț ialitate ci autentifcare:
Orice criptez cu cheia privat ă, pot decripta doar cu cheia public ă (astfel ob ținem
o semnatur ă digital ă care are scopul de a autentifica ).
Algoritmi de criptare asime trici: RSA , DH și DSA
RSA (Rivest Shamir Adleman) este un algoritm de criptare asimetric care folose ște o pereche
de chei : una public ă și una privat ă. Acest algoritm poart ă numele dezvoltatorilor s ăi care a fost
dezvoltat în anii 1970. Algoritmii asimetric i în comparație cu algoritmii simetrici pot folosi chei
mult mai mari, valorile lor fiind de 1024, 2048 sau chiar 4096.
Cu câ t valoare cheii este mai mare , cu atâ t criptarea va fi mai sigur ă sau complex ă dar
aceasta, se va face mai lent pentru că necesit ă mai mult ă putere de procesare.
DH (Diffie-Helman) este un algoritm asimetric care are scopul de a genera o cheie
simetrică folosită pentru criptarea traficului ( aceasta cheie poate fi folosită de 2 Routere care
formează un tunel VPN pentru criptarea trafi cului dintre reț elele lor) dintre 2 entit ăți.
Ce reprezinta semnatura Semnatura Digitala ?
Algoritmul DSA (Digital Signature Algorithm) este similar cu RSA, este folosit pentru
generarea semnăturilor digitale. Semnătura digitală are loc prin criptarea unui mesaj sau fiș ier
cu cheia privat ă și trimiterea lui că tre destinatar. Destinatarul va încerca să decripteze acel mesaj
cu cheia public ă, iar în cazul în care reușeste va fi confirmată (autentificat ă) sursa mesajului
(mesajul vine de la entitatea dorita in comunicare).
II.4 Securitatea prin Firewall
Cel mai cunoscut dispozitiv de securitate este firewall -ul. Prin definiție, firewall -ul este un
sistem sau un grup de sisteme care implementează politica de acces între două sau mai multe rețele.
Firewall -urile pot fi clasificate în patru mari clase: firewall -uri dedicate , firewall -uri integrate în
routere, firewall -uri integrate în servere și firewall -uri personale.
Firewall -urile dedicate sunt echipamente ce rulează un sistem de operare special conceput
pentru filtrarea de pachete și translatarea de adrese(sistemele PIX sau CheckPoint). Aceste
echipamente sunt capabile să susțină un număr mare de conexiuni, dar facilitățile de rutare sunt
extrem de limitate. Pentru o rețea simplă se poate folosi firewall -ul ca router, însă pentru rețele
complexe este necesar un router.
Firewall -urile dedicate în routere sunt folosite pentru a înlătura problema firewall -urilor
dedicate. Ele nu pot susține același număr de conexiuni, dar se descurcă mai bine în topologii mai
complexe unde este nevoie de facilitățile unui router. Multe produse oferă facilități de firewall
integrate în routere, de la module de firewall pentru routere high -end, până la routerele extrem de
compacte , dedicate utilizării în rețele LAN.
20
Firewall -urile d e server sunt implementate ca un software adițional peste un sistem de
operare de rețea. Ele sunt compatibile ca facilități și performanțe cu firewall -urile integrate în
routere de nivelul mediu.
Firewall -urile personale sunt instalate pe calculatoare pers onale. Ele sunt concepute pentru
a preveni atacuri asupra calculatorului pe care rulează. Acest tip de firewall -uri nu sunt optimizate
pentru rețele întregi de calculatoare.
Firewall este un dispozitiv configurat să filtreze, să cripteze sau să intermed ieze traficul între
diferite domenii de securitate pe baza unor reguli predefinite. Un firewall poate ține la distanță
traficul din Internet cu intenții rele, de exemplu hackerii, viermii și anumiți tipuri de viruși, înainte
ca aceștia să pună probleme sis temului. Utilizarea unui firewall este importantă în special dacă
rețeaua sau calculatorul este conectat în permanență la Internet.
Figura 2.5 Rețea lo cală protejată cu Firewall
Un firewall este o aplicație sau un echipament care monitorizează și filtr ează permanent
transmisiile de date realizate între un calculator sau rețea locală și Internet, în scopul implementării
unei politici de filtrare. Această politică poate însemna:
protejarea resurselor rețelei de restul utilizatoriilor din alte rețele simil are, toate
interconectate printr -o rețea de arie largă sau/și Internet. Posibilii atacatori sunt indentificați,
atacurile lor asupra PC -ului sau rețelei locale putând fi oprite.
controlul resurselor la care au acces utilizatori din rețea.
Firewall – Stateful packet inspection
Filtrarea de pachete este un proces prin care doar anumite pachete sunt rutate dintr -o rețea
în alta, pe baza unor reguli. Filtrarea de pachete operează tradițional cu informații de la nivelurile
OSI 3 și 4.
Regulile de filtrare sunt formate dintr -o parte care identică pachetul și o parte care specifică
cum să se trateze pachetul. În partea de identificare se poate specifica adresa sursă, adresa
destinație, adresa de rețea sursă, adresa de rețea destinație, protocolul (TCP, UDP , ICMP ), portul
sursă sau destinație (doar pentru TCP și UDP), tipul mesajului (pentru ICMP), interfața de intrare
sau ieș ire și chiar adresele de nivel doi. În principiu identificarea pachetului se poate face cu orice
informație scrisă în antetul pachetului, la nivelul OSI 3, 4 sau chiar și 2, în funcție de implementare.
Furnizează servicii adiționale față de pachet filter, urmărește sesiunile TCP/UDP între
echipamente. Stateful inspection urmărește conexiunea care a pornit din rețeaua sigură și o
memorează în state session table. Această tabelă permite temporar traficul din rețeaua untrusted
pentru canalul de comunicații care a fost inițiat din rețeaua trusted .
Conexiunea dintr -o rețea untrusted intr-o rețea trusted sunt monitorizate, astfel în cazul unui
atac de tip Denial of Service(DoS), dacă se detectează un număr mare de sesiuni deschise pe
jumătate, firewall -ul poate fi configurat să închidă sesiunea și să trimită mesaje de alertă indicând
faptul că are loc un atac.
21
Sesiunile TCP deschise pe jumătate ind ică faptul că three -way handshake -ul nu a fost
terminat. Sesiunile UDP deschise pe jumătate indică faptul că nu a fost detectat trafic de întoarcere.
Un număr mare de sesiuni deschise pe jumătate ocupă resursele echipamentelor, împiedicând
utilizatori să c omunice.
Firewall – Proxy Services
Funcționează ca un middle -man pentru comunicația între echipamente. Furnizează securitate
în rețea ascuzând sursa reală a cererii, tot traficul va părea ca fiind inițiat din proxy. Serverele proxy
sunt folosite pentru a crea o copie(local cache) pentru toate cererile din exterior. Acest serviciu
îmbunătățește performanța rețelei cu lățime de bandă mică, permitând userilor să facă cereri de la
proxy, în loc să trimită la surse externe.
II.5 IDS / IPS (Intrusion Detecti on/ Prevention System)
Detecț ia intruziunilor este procesul de monitoriza re a evenimentelor care au loc într -un
sistem sau o rețea de calculatoare ș i analiza lor pentru a detecta posibile incidente c um sunt violări
sau ameniță ri iminente de violare a polit icilor de securitate, a politicilor de utilizare acceptate sau a
practicilor standard de securitate. Prevenirea intruziunilor este procesul prin care se desfășoară
detecția intruziunilor și încercarea de î nlaturare a posibilelor incident e detectate. Sistem ele de
detecție ș i prevenire ale intruziunilor – IDS / IPS (Intrusion Detection / Prevention Systems) au ca
scop principal identi ficarea posibilelor incidente, înregistrarea informațiilor despre ele, încercarea
de înlăturare a incidentelor și raportarea că tre administratorii de securitate. În plus, organizaț iile po t
folosi IDPS -urile ș i pentru alte scopuri: identificarea problemelor legate de politicile de s ecuritate,
documentarea amenințărilor existente și descurajarea userilor în a încă lca politicile de s ecuritate.
II.5.1 Sistem de Detectare a Intruziunilor (IDS)
Un sistem de detectare a intruziunilor (IDS) este dispozitiv sau o aplicație software care
monitorizează activitățile legate de rețea sau de sistem pentru activități rău intenționate sau încălcăr i
ale politicilor și produce rapoarte la o stație de management.
Intruziunile și atacurile de rețea costă scump companiile datorită furtului de informații,
pierderi de productivitate în urma serviciilor compromise, precum și a costurile pentru remedierea
calculatoarelor compromise. Pe parcursul ultimil or ani numărul de infiltrări în sistem este în
crește re și sunt din ce în ce mai sofisticate. Doar sistemele automate de decție și prevenire a
intruziunilor ar putea atenua atacuri complexe cu viteza necesară sau prevenirea pagubelor.
Tipuri de IDS -uri
Sistem de detecție al intruziunilor de tip network -based
Într-un sistem de detecție al intruziunilor de tip network -based – Network -based Intrusion
Detection System(NIDS) – senzorii sunt localizați în puncte cri tice ale rețelei care este monitorizată,
de ce mai multe ori la marginea rețelei sau în DMZ(demilitarized zone). Senzorii captează tot
traficul din rețea și analizează conținutul fiecărui pachet căutând urme de trafic malițios.
Un NIDS reprezintă o platfor mă independentă care indentifică intruziunile prin examinarea
traficului din rețea. NIDS -urile pot vizualiza traficul din rețea prin conectarea lor la un hub sau la un
echipament swich configurat cu port mirroring.
Sistem de detecție al intruziunilor de t ip host -based
Într-un sistem de detecție al intruziunilor de tip host -based – Host -based Intrusion Detection
System(HIDS) – senzorul constă, de obicei, într -un agent software care monitorizează toată
activitatea ce se desfășoară pe stația pe care este inst alat, incluzând aici sistemul de fișiere, kernel -ul
și chiar aplicați în unele cazuri.
Un HIDS reprezintă un agent care rulează local pe stație și care indetifică intruziunile
analizând activitățile sistemului, aplicațiile, modificările sistemului de fișie re și alte activități ale
stației.
22
Sisteme pasive și sisteme active
Într-un sistem pasi v, senzorul sistemului de detecț ie al intruziunilor (IDS) detectează o
potențială breșă de securitate, înregistrează informația și alertează administratorul folosind o metodă
specifică(mesaje în consolă, alerte, etc.). Î ntr-un sistem reactiv, cunoscut sub denumirea de Sistem
de Prevenire al Intruziunilor – Intrusion Pr evention System (IPS), IPS -ul răspunde activităț ii
suspicioase prin terminarea conexiunii sau prin repro gramarea firewall -ului de a bloca traficul de
rețea provenind de la sursă malițioasă suspectată. Aceasta se poate întâ mpla automat sau la
comanda unui operator.
Deși ambele se referă la securitatea unei rețele, și uneori noț iunile pot fi confundate, un IDS
diferă de un fi rewall deoarece firewall -ul urmăreș te semne ale in truziunilor pentru a le împiedica să
se întâmple. Un IDS evaluează o posibilă intruziune o dată ce a avut loc și semnalează o alertă. Un
sistem care termină conexiunea ca metodă de raspuns e ste un IPS ș i poate fi privit uneori ca o formă
de firewall la niv el de aplicaț ie.
Termenul IDPS – Sistem de Detectie ș i Prev enire al intruziunilor se referă la sistem e de
securitate hibride care atât detectează intruziunile cât și încearcă să le prevină .
IDS-uri bazate pe anomalii și IDS -uri bazate pe semnă turi
Sistemele de detecție ale intruziunilor folosesc cel puțin una dintre cele două tehnici de
detecție: anomalii statice și/sau semnături.
IDS bazat pe anomalii statice – Un astfel de IDS stabilește o valoare inițială de performanță
bazată pe evaluări ale traficului normal din retea. După efectuarea acestui pas inițial, IDS -ul va
raporta traficul curent din rețea la valoarea inițială stabilită pentru a stabili dacă se încadrează în
limitele normale. Da că traficul din rețea depășește limitele normale va fi generată o alarmă.
IDS bazat pe semnături – Un astfel de IDS examinează traficul din rețea cautând modele de
atac preconfigurate și predeterminate cunoscute sub numele de semnături. Multe atacuri astă zi au
semnături diferite. Pentru a putea face față amenințărilor o colecție de astfel de semnături trebuie
actualizată în permanență.
Limitări ș i tehnici de evitare ale IDS -urilor
Capabilitățile unui IDS pot fi limitate de:
Zgomot – Zgomotul poate afecta în mod sever eficacitatea unui IDS. Pachete greșite, generate de
defecțiuni ale software -urilor, date DNS alterate și pachete locale care au scăpat pot crea o rată
foarte crescută de alarme false.
Prea puține atacuri – Nu este neobișnuit ca numărul de atac uri reale să fie mult sub rata de
alarme false. Atacurile reale pot fi atât de mult sub rata de alarme false încât sunt de obicei ignorate
de către IDS.
Actualizarea semnăturilor – Multe atacuri sunt îndreptate către versiuni specifice de
software. Pentru a putea face față amenințărilor este nevoie de o colecție de semnături actualizată în
mod constant. O colecție de semnături care nu este actualizată poate lasă IDS -ul vulnerabil la
strategii noi de atac.
Tehnici de evitare a IDS -urilor:
– fragmentarea și trimiterea de pachete mici – o tehnică de bază care presupune fragmentarea
informației în mai multe pachete mai mici pentru a face imposibilă reconstruirea sesiunii la IDS
– fragmente care se suprapun – tehnică ce presupune crearea de pachete cu numere ale
secvenței TCP care se suprapun încercând astfel să se exploateze faptul că sistemele de operare
tratează diferit această suprapunere: unele vor lua în considerare datele mai noi, altele datele mai
vechi
– violări de protocol – violări deliberate ale proto coalelor TCP sau IP în așa fel încât stația
țintă să manevreze diferit pachetele decât IDS -ul
– inserarea de trafic în IDS – un atacator poate trimite pachete care să ajungă doar la IDS nu
și la stația țintă rezultând astfel o serie de alarme false
23
Atacuri de tip DoS – un atacator poate evita un IDS prin efectuarea unui atac de tip DoS
asupra lui care să îi consume resursele sau care să genereze un număr foarte mare de alarme false
reușind astfel să ascundă atacul real
II.5.2 IPS – Sisteme de prevenire a i ntruziunilor
Un IPS este, în mod obișnuit, conceput pentru a opera complet invizibil în rețea. Produsele
IPS nu au de obicei o adresă IP din rețeaua protejată dar pot răspunde în mod direct oricărui tip de
trafic prin diverse metode (terminarea conexiunilo r, renunțarea la pachete, generarea de alerte, etc.) .
Deși unele IPS -uri au abilitatea de a implementa reguli de firewall aceasta este de obicei o
funcție adițională și nu una din funcțiile de bază ale produsului. Mai mult, tehnologia IPS ofer ă o
mai bună monitorizare a operațiilor unei rețele furnizând informații despre stațiile active, încercările
de autentificare eșuate, conținut necorespunzător și alte funcții ale nivelelor rețea și aplicație.
Diferențe față de IDS -uri
IPS-urile au unele a vantaje față de IDS -uri. Unul dintre acestea se referă la faptul că IPS –
urile sunt proiectate să fie implementate inline astfel încât tot traficul să treacă prin ele și să poată
preveni atacurile în timp real. În plus, multe dintre soluțiile IPS au capabil itatea să decodifice
protocoalele de nivel aplicație (HTTP, FTP, SMTP) oferind astfel o mai bună monitorizare. Totuși
atunci când se dorește implementarea unui IPS de tip network -based trebuie să se ia în considerare
faptul că dacă prin respectivul segment de rețea circulă trafic criptat majoritatea produselor nu pot
să inspecteze astfel de trafic.
Un alt avantaj major ar fi faptul că unele dintre IPS -uri au posibilitatea de a corecta unele
dintre metodele de evitare ale IDS -urilor(atacuri de tip DoS, inser area de trafic).
Tipuri de IPS -uri
Host -based
Un Sistem de Prevenire al Intruziunilor este de tip host -based(HIPS) atunci când aplicația de
prevenire a intruziunilor se află pe adresa IP specifică sistemului protejat, de obicei o singură stație.
HIPS comp lementează metodele antivirus tradiționale bazate pe semnături deoarece nu necesită o
actualizare continuă pentru a putea răspunde atacurilor. Deoarece codul dăunător trebuie să
modifice sistemul sau alte componente software care se află pe mașina în cauză un HIPS va observa
aceste modificări și va încerca să prevină această acțiune sau să anunțe utilizatorul pentru
permisiune.
Dezavantajul major al unui astfel de produs constă în folosirea extensivă a resurselor stației
pe care se află.
Network -based
Un S istem de Prevenire al Intruziunilor este de tip network -based (NIPS) atunci când
aplicația / echipamentul de prevenire al intruziunilor se află la o altă adresă IP decât stația pe care o
monitorizeaza. NIPS sunt platforme hardware/software care analizează, detectează și raportează
evenimente legate de securitatea unei rețele/segment de rețea de calculatoare.
Diferențe între IPS -uri de tip host -based și network -based
HIPS -urile pot lucra atât cu date criptate cât și cu date necriptate deoarece analiza se fa ce
după ce datele au fost decriptate de către stație
NIPS -urile nu folosesc din memoria și procesorul stațiilor care le protejează ci dispun de
propria memorie și propriul procesor.
NIPS -urile se află în punctele critice ale rețelei și tot traficul depinde de buna lor
funcționare, fapt ce poate constitui un dezavantaj atunci când echipamentul este nefuncțional
NIPS -urile pot detecta evenimente distribuite în rețea(evenimente de prioritate joasă dar care
afectează mai multe stații din rețea) și pot reacționa în timp ce HIPS -urile au la dispoziție doar
datele de pe mașina pe care funcționează pentru a putea lua o decizie.
24
II.6 ACL – IP Access Control List
Securitatea are numeroase fațete și una dintre cele mai importante este capacitatea de a
controla flux ul pachetelor de date dintr -o rețea. Este esențial să controlăm fluxul pachetelor de date
dintr -o rețea. Filtrarea pachetelor reprezintă una dintre cele mai importane utilizări ale listelor de
acces Cisco.
Filtrarea pachetelor ne permite să controlăm flux ul de date din rețea în funcție de adresele IP
sursă și destinație, precum și după tipul aplicației utilizate. Ruterele servesc pentru conectarea între
un LAN al unei compani și Internet, sau între două sau mai multe rețele ale unei compani. În aceste
situații, ruterele servesc la filtrarea pachetelor, deoarce fiecare pachet care circulă între două rețele
trebuie să treacă prin ruter. Sistemul de operare inter -rețele Cisco include toate funcțiile necesare
pentru implementarea unei soluții complexe de garant are a securității.
Cisco folosește termenul sistem de operare inter -rețele (IOS – internetwork operating
system) pentru a desemna sistemul utilizat de ruterele Cisco. Sistemul de operare de pe ruterele
Cisco oferă multe caracteristici asemănătoare sistem elor de orerare UNIX sau Windows, dar și
facilități specializate. Controlează echipamentele hardware, memoria și interfețele sau executarea
unor sarcini de sistem cum ar fi transferul pachetelor și construirea unor informații dinamice, cum
sunt tabelele de rutare și ARP.
Una dintre cele mai importante caracteristici ale IOS este capacitatea de a filtra în mod
intelegent pachetele transferate între rețele de date. Această obțiune se bazează pe crearea și
aplicarea listelor de acces.
Listele de acces
O listă de acces este o listă orodnată de enunțuri care permit sau interzic accesul pachetelor
pe baza unui criteriu de corespondență inclus în pachet. Ordinea în care sunt create enunțurile din
lista de acces este foarte imporantă. Una din cele mai dese greșe li în ceea ce privește crearea listelor
de acces este introducerea enunțurilor într -o ordine neadecvată. La sfârșitul unei liste de acces Cisco
există întotdeauna un enunț prestabilit ”Deny All” (interzice tot). Un pachet al cărui acces nu este
permis în m od explicit va fi respins datorită enunțului Deny all de la sfârșitul listei. Listele de acces
Cisco sunt folosite în multe alte scopuri decât filtrarea traficului.
Listelele de acces sunt folosite pentru:
filtrarea traficului
indentificarea traficului
Listele de acces functionează la nivelele 2, 3 și 4 ale modelului OSI și actionează ca un
firewall de rețea.
ACL este folosit ca scop principal in filtrarea traficului, dar sunt cazuri in care trebuie să
identicam un trafic, de exemplu:
– Identificarea trafic ului pentru tunnelare VPN.
– Identificarea rutelor
– Identificarea traficului pentru QoS.
– Identificarea retelei/hosturilor care pot fi translatate (NAT).
Când un packet ajunge la router, lista ACL este parcursa de sus în jos până la prima
potrivire. O dată facută potrivirea, packet -ul este permis sau dropat. Regulile noi sunt puse la finalul
liste de acces, dar înainte “deny all” implicit. Când filtram un trafic, lista de acces este aplicată pe o
interfață (sau virtual terminal).
Pe o interfață listele de acces sunt aplicate:
– inboud – packet -ul este receptionat pe interfata / inainte de a fi rutat
– outboud – packet -ul este transmis pe interfață / după ce a fost rutat.
Listele de acces – Standard
Acest tip de liste se bazează pe rețeaua sau hostul sur să și trebuie plasate cât mai aproape de
rețeaua destinație.
Listele de acces – Extinse
25
Listele de acces extended se bazează pe adresa IP sursă, adresa IP destinație, portul
TCP/UDP sursă și portul TCP/UDP destinație. Acest tip de liste trebuie să fie plas at cât mai
aproape de rețeaua sursă.
II.7 Translatarea de adrese
Nu există destule adrese IPv4 publice pentru a asign a o adresa unică pentru fiecare
echipament conectat la Internet. Rețelele de regulă sunt implementate folosind adrese IPv4 private
(RFC 1 918). Adresele private nu pot fi rutate peste Internet, aceste adrese nu id entifică o organizaț ie
sau o companie.
Pentru a permite echipamentelor cu adrese IPv4 private să acceseze echipamente și resurse
din exteriorul rețelei locale, adresele private treb uie să fie translatate în adrese publice.O singură
adresă IPv4 publică poate partaja sute, chiar mii de echipamente, fiecare dintre ele configurate cu o
adresă IPv4 privată unică.
Translatarea de adrese sau NAT (Network Address Translation) este procesul p rin care se
modifică adresele sursă (SNAT) sau destinație (DNAT) din anumite pachete care trec prin firewall .
Din punctul de vedere al securității, translatarea de adrese se folosește pentru a ascunde modul de
adresare intern și pentru a evita accesarea st ațiilor interne din exterior, prin folosirea unor adrese
private în rețeaua internă, adrese ce vor fi translatate la drese publice pentru ca stațiile interne să
aibă acces la Internet.
Terminolagia NAT se aplică din perspectiva echipamentului cu adresele t ranslatate:
– Inside address – adresa echipametului care este translatată de NAT
– Outside address – adresa echipamentului destinație. NAT -ul introduce conceptul de adrese
locale și globale:
– Local address – orice adresă ce apare în partea internă a rețel ei.
– Global address – orice adresă ce apare în partea externă a rețelei. Routerul care face NAT
se mai numește și punct de delimitare între rețeaua internă și cea externă, precum și între adresele
locale și cele globale.
Se poate considera că translatare a adreselor este o funcție definită pe o mulțime de adrese
(A) cu rezultate într -o altă mulțime de adrese (B). Fiecare pachet cu o adresă de sursă sau destinație
din mulțimea A va fi înlocuită cu o adresă din mulțimea B. Se consideră că se realizează o
translatare de adrese statică dacă funcția de translatare este injectivă, adică fiecărei adrese din
mulțimea A îi corespunde o singură adresă corespunzătoare în mulțimea B.
Figura 2.6 Translatarea de adrese statică (SNAT)
26
Dacă funcția de translatare nu este injectivă, adică dacă pentru mai multe adrese din
mulțimea A corespunde o singură adresă din mulțimea B, aceasta se numește translatare de adrese
dinamică .
Figura 2.7 Translatarea de adrese dinamică (DNAT)
Avantajul folosirii translatării de adre se dinamice constă în faptul că se pot partaja adrese
rutabile disponibile. Calculatoarelor din rețeaua locală li se alocă adrese private, iar router -ul
(firewall -ul) va face o translatare de adrese dinamice din mulțimea de adrese private în mulțimea de
adrese publice.
Avantajele NAT:
– NAT conservă adresele IP publice permițând privatizarea intranetului (NAT overload).
– NAT crește flexibilitatea conexiunii la retea publică (Se pot implementa mai mult pool -uri de
adrese, inclusiv pool de backup sau pool p entru load balancing).
– Consistența schemelor de adresare interne. (Nu trebuie schimbat planul de adresare local daca se
schimbă adresa publică).
– NAT furnizează securitate în rețea. ( Rețelele private nu anunță adresarea sau topologia internă.
Atenție! NAT nu înlocuiește un firewall!)
Dezavantaje NAT :
– Faptul că echipamentul din extern apare că ar comunica cu echipamentul care face NAT.
– NAT are un impact negativ asupra performanței rețelei, în special pentru protocoale în timp real
cum ar fi VoIP.
– NAT aduce o întârziere de switching deoarece translatarea fiecarei adrese IPv4 din pachetul IP
necesită timp.
– Primul pachet este procesat, echipamentul trebuie să modifice câmpurile din antet și să recalculeze
sume de control. Pachetele râmase trec prin fast-switching dacă există intrare de cache, altfel sunt
întârziate și acestea.
– Adresarea end -to-end este pierdută (Unele aplicații nu funcționează cu NAT, unele având
posibilitatea de a fi rezolvate prin NAT sta tic sau folosind înaintarea IP (IP Forwar ind)).
– Trasabilitatea nu poate fi realizată.
27
– Complicarea protocoalelor de tunelare (IPsec), NAT modifică valoarea din header => nu se mai
poate asigura integritatea datelor.
Port address translation (PAT) – mapare mai multe adrese locale la o adresă globală.
Această metode mai este cunoscută ca supraîncărcare (NAT – overloading ). PAT încearcă să
rezerve portul sursă original. În cazul în care portul nu mai este disponibil pe echipamentul care
face PAT, acesta va asigna port disponibil pornind de la inceputul fiecarui grup de porturi
corespunzător portului sursă original (0 -511, 512 -1023, 1024 -65535). Atunci cand sunt utilizate
toate porturile și mai există adrese IP externe în pool -ul de adrese atunci se trece la urmatoarea
adresă IP din pool și se î ncearcă rezervarea portului sursă original dacă este posibil. Procesul
continuă până când nu mai există porturi/adrese IP -uri externe în pool -ul de adrese.
Figura 2.8 Port adress translation (PAT)
Un caz special al PAT îl reprezintă redirectarea. În ac est caz se va înlocui pachetul primit
din rețeaua locală având adresa sursă S, adresa destinație D, portul P cu un altul având adresa sursă
S, adresa destinație M (adresa router -ului), portul R (portul în care se face redirectarea, de către
utilizator). Re directarea este în general folosită pentru a implementa un proxy transparent, pe router –
ul M portul R ascultă un proxy configurat pentru proxy transparent.
28
CAPITOLUL III
III VPN – Virtual Private Network
Într-o lume î n care pericolul se raspandește cu o viteză ridicată și în care este din ce în ce
mai greu de controlat , iar ac est pericol a devenit o problemă foarte importantă mai ales pentru
companiile IT mandatate să protejeze datele informatice de așa -numiții hoți ciberneti ci.
Cu ani în urmă rețelele reprezentau doar un prag către lumea de afară; erau utilizate în
principal pentru comunicarea între angajați și rareori pentru comunicarea în afara companiei. Acum
companiile nu î și mai pot izola rețeaua internă de mediul exte rn. Comerțul electronic, lanțurile de
furnizori de servicii și produse, telefonia mobilă și o serie de alte cerințe ale mediului de afaceri al
secolului XXI nu mai permit acest lucru .
Rețea Virtuală Privată (VPN – Virtual Private Network) conectează co mponentele și
resursele unei rețele private prin intermediul unei rețele publice. Altfel spus, o rețea virtuală privată
este o rețea internă implementată pe o infrastructură comună, folosind aceleași politici de securitate,
management și performanță care s e aplică de obicei într -o rețea privată. Practic, tehnologia rețelelor
virtuale private permite unei firme să -și extindă prin Internet, în condiții de maximă securitate,
serviciile de rețea la distanță oferite utilizatorilor, reprezentanțelor sau companiil or partenere.
Avantajul este evident: crearea unei legături de comunicație rapidă, ieftină și sigură.
Tehnologii VPN
Tehnologiile VPN oferă o cale de a folosi infrastructurile rețelelor publice cum ar fi
Internetul pentru a asigura acces securizat ș i privat la resursele rețelei interne a companiei pentru
angajații din birourile aflate la distanță sau cei care lucrează de acasă, pentru partenerii de afaceri
sau chiar pentru clienți.
O rețea VPN poate fi realizată pe diverse rețele de transport deja exist ente: Internetul public,
rețeaua furnizorului de servicii IP, rețele Frame Relay și ATM. Astăzi, tot mai multe VPN -uri sunt
bazate pe rețele IP.
Tehnologia VPN folosește o combinație de tunneling , autentificare , criptare și mecanisme și
servicii de contro l al accesului, folosite pentru a transporta traficul pe Internet, o rețea IP
administrată, sau rețeaua unui furnizor de servicii.
Rețelele VPN sunt sigure pentru că realizează o criptare foarte sigură pentru a proteja datele
în timp ce traversează Intern etul. Chiar dacă un hacker ar avea acces la comunicație, nu ar putea
înțelege datele transmise deoarece acestea vor fi criptate.
Un alt aspect important al tehnologiei VPN este că echipamentele VPN monitorizează datele
pe care le transmit, utilizând proce duri sofisticate pentru a se asigura că informația nu este alterată
în timpul transportului printr -o rețea public ă.
Modul de funcționare
VPN permite utilizatorilor să comunice printr -un tunel peste o rețea publică sau Internet în
așa fel încât aceștia să se bucure de aceeași securitate și posibilități puse la dispoziție numai în
rețelele private.
Pentru a utiliza Internetul ca o rețea privată virtuală, de tip WAN (Wide Area Network),
trebuie depășite două obstacole principale. Primul apare din cauza di versității de protocoale prin
29
care comunică rețelele, cum ar fi IPX sau NetBEUI, în timp ce Internetul poate înțelege numai
traficul de tip IP. Astfel, VPN -urile trebuie să găsească un mijloc prin care să transmită protocoale
non-IP de la o rețea la alta. Când un dispozitiv VPN primește o instrucțiune de transmitere a unui
pachet pr in Internet, negociază o schemă de criptare cu un dispozitiv VPN similar din rețeaua
destinație. Datele în format IPX/PPP sunt trecute în format IP pentru a putea fi transportat e prin
rețeaua mondială. Al doilea obstacol este datorat faptului că pachetele de date prin Internet sunt
transportate în format text. În consecință, oricine poate vedea traficul poate să și citească datele
conținute în pachete. Aceasta este cu adevărat o problemă în cazul firmelor care vor să comunice
informații confidențiale și, să folosească rețeaua Internet în același timp . Soluția la aceste probleme
a permis apariția VPN și a fost denumită tunneling. În loc de pachete lansate într -un mediu care nu
oferă protecție, datele sunt mai întâi criptate, apoi încapsulate în pachete de tip IP și trimise printr –
un tunel virtual prin Internet.
Confidențialitatea informației ce circulă prin VPN este asigurată prin criptarea datelor. În
trecut, rețelele private er au create folosind linii de comunicație închiriate între sedii. Pentru a
extinde acest concept la Internet, unde traficul mai multor utilizatori trece prin aceeași conexiune,
au fost propuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite e xpeditorului să
încapsuleze datele în pachete IP care ascund infrastructura de rutare și comutare a Internetului la
ambele capete de comunicație. În același timp, aceste pachete încapsulate pot fi protejate împotriva
citirii sau alterării prin diverse tehn ici de criptare.
Tunelurile pot avea două tipuri de puncte terminale, fie un sistem individual, fie o rețea
LAN cu un gateway de securitate – poate fi un router sau un firewall. Orice combinație a acestor
două tipuri de puncte terminale poate fi folosită la proiectarea unei rețele VPN.
În cazul tunelării LAN -to-LAN, gateway -ul de securitate al fiecărui punct terminal servește
drept interfață între tunel și rețeaua privată LAN. Cazuri în care , utilizatorii ficecărui LAN pot
folosi tunelul în mod transpa rent pentru a comunica unii cu alții.
Cazul tunelului client -to-LAN, este cel stabilit de regulă pentru utilizatorul mobil care
dorește să se conecteze la rețeaua locală a firmei. Pentru a comunica cu rețeaua de firmă,
utilizatorul, inițiază crearea tune lului. Pentru aceasta, utilizatorul rulează un software client, care
comunică cu gateway -ul de protecție al rețelei LAN.
Avantaje ale tehnologiei VPN.
Mediul de afaceri este în continuă schimbare, multe firme îndreptându -și atenția spre piața
global ă. Aceste firme devin regionale, multinaționale și toate au nevoie de: o comunicație rapidă,
fiabilă și sigură între sed iul central, filiale, birouri sau punctele de lucru, adică de o rețea WAN.
O rețea WAN tradițională presupune închirierea unor linii d e comunicație, ISDN
(128/256Kbps) sau fibră optică OC -3 (155 Mbps) care să acopere aria geografică necesară. O astfel
de rețea are avantaje clare față de una publică, cum este Internetul, când vine vorba de fiabilitate,
performanță și sec uritate. Dar crear ea unei rețele WAN cu linii închiriate este suficient de scumpă,
proporțional cu aria geografică acoperită.
O dată cu creșterea popularității Internet -ului, firmele au început să își extindă propriile
rețele. La început au apărut intranet -urile, care sunt site-uri protejate p rin parolă destinate
utilizatorilor companiei. Acum, firme le și-au creat propriile VPN -uri pentru a veni în întâmpinarea
cerințelor userilor pentru a avea acces la rețea, de la distanță.
Un VPN poate aduce multe beneficii unei firme : extinde aria de conectivitate, sporește
securitatea, reduce costurile operaționale, crește productivitatea, simplifică topologia rețelei, oferă
oportunități de lucru într -o rețea externă , asigură suport pentru tendința afacerilor spre operare de la
distanț ă, operații distribuite global și operații de parteneriat foarte interdependente, în care
utilizatorii trebuie să se poate conecta la resursele centrale și să comunice unul cu celălalt , iar
firmele trebuie să -și administreze eficient stocurile pentru un ci clu de producție scurt.
30
III.1 Tipuri de rețele VPN.
Există 3 tipuri principale de VPN -uri:
1. VPN -urile cu acces de la distanță (Remote Access VPN) permit userilor să se conecteze
dial-up securizat la un site central printr -o rețea publică. Aceste a mai sunt numite și „dial” VPN -uri.
2. VPN -urile intranet (Intranet VPN) permit extinderea rețelelor private prin Internet sau alt
serviciu de rețea publică într -o manieră securizată. Acestea sunt denumite și VPN -uri „site -to-site”
sau „LAN -to-LAN”.
3. VPN -urile extranet (Extranet VPN) permit conexiuni securizate între partenerii de afaceri,
furnizori și clienți, în general în scopul realizării comerțului electronic. VPN -urile extranet sunt o
extensie a VPN -urilor intranet la care se adaugă firewall -uri pentru protecția rețelei interne.
Toate aceste rețele virtuale private au rolul de a oferi fiabilitatea, per formanța și securitatea
rețelelor WAN t radiționale, dar cu costuri scăzute și conexiuni ISP (Internet Service Provider)
flexibile. Tehnologia VPN p oate fi folosită și într -un intranet pentru a asigura securitatea și
controlul accesului la informații, resurse sau sisteme vitale. De exemplu, se poate limita accesul
anumitor utilizatori la sistemele financiare din companie sau se pot trimite informații confidențiale
în manieră securizată.
III.1.1 Remote Access VPN
Acces VPN la distanță (Remote Access VPN) – permite conectarea individuală sau a unor
birouri la sediul central al unei firme, aceasta realizându -se în cele mai sigure condiții
Există dou ă tipuri de conexiuni VPN de acest fel:
Conexiune inițiată de client – Clienții care vor să se conecteze la site -ul firmei trebuie să
aibă instalat un client de VPN, acesta asigurându -le criptarea datelor între computerul lor și sediul
ISP-ului. Mai depar te conexiunea cu sediul companiei se face în mod criptat, în concluzie întregul
circuit al informației se face în mod criptat. În cazul acestui tip de VPN sunt folosiți o multitudine
de clienți de VPN.
Access VPN inițiat de serverul de acces – acest tip d e conexiune este ceva mai simplă pentru
că nu implică folosirea unui client de VPN. Tunelul criptat se realizează între server -ul de acces al
ISP-ului și sediul firmei la care se vrea logarea. Între client și server -ul de acces securitatea se
bazează pe s iguranța liniilor telefonice.
III.1.2 Intranet VPN
Intranet VPN – permite conectarea din diferite sedii ale unei firme folosind legături dedicate
(permite realizarea unor medii client -server foarte performante prin utilizarea conexiunilor dedicate
care pot să atingă rate de transfer foarte bune). Diferența față de Remote Access VPN constă în
faptul că se folosesc legături dedicate cu rata de transfer garantată, fapt care permite asigurarea unei
foarte bune calități a transmisiei pe lângă securitate și b andă mai largă. Arhitectura aceasta
utilizează două routere la cele două capete ale conexiunii, între acestea realizându -se un tunel
criptat. În acest caz nu mai este necesară folosirea unui client de VPN ci se folos ește IPSec. IPSec
(IP Security Protoco l) este un protocol standardizat de nivel 3 care asigură autentificarea,
confidențialitatea și integritatea transferului de date între o pereche de echipamente care comunică.
Folosește ceea ce se numește Internet Key Exchange (IKE) care necesită introducer ea la ambele
capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciprocă.
III.1.3 Extranet VPN
Extranet VPN – este folosit pentru a lega diferiți clienți sau parteneri de afaceri la sediul
central al unei firme folos ind linii dedicate, conexiuni partajate, securitate maximă
Acest tip de VPN este asemănător cu Intranet VPN cu diferența că sunt extin se limitele
intranetului permițând logarea la sediul companiei a unor parteneri de afaceri, clienți etc.; acest tip
permi te accesul unor utilizatori care nu fac parte din structura companiei . Pentru a permite acest
lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate. Certificatele
digitale sunt furnizate de o autoritate care are ca act ivitate acest lucru.
Exista două tipuri de VPN in ceea ce priveste securitatea: VPN securizate si VPN fiabile.
31
VPN cu livrare sigură (Trusted VPN)
Înainte ca Internetul să devine aproape universal, o rețea virtuală privată consta în unul sau
mai mul te circuite închiriate de la un furnizor de comunicații. Fiecare circuit închiriat se comporta
ca un singur fir într -o rețea controlată de client. Deasemenea, câteodată furnizorul ajută la
administrarea rețelei clientului, dar ideea de bază era ca acesta, clientul, să poată utiliza aceste
circuite închiriate la fel ca și cablurile fizice din rețeaua proprie.
Siguranța oferită de aceste VPN -uri „moștenite” se referea doar la faptul că furnizorul de
comunicații asigura clientul că nimeni altcineva nu va folo si aceleași circuite. Acest lucru permitea
clienților să aibă adresarea IP și politici de securitate proprii. Circu itele închiriate treceau prin unul
sau mai multe switch -uri de comunicații, fiecare dintre acestea putând fi compromis de către cineva
dorito r să intercepteze traficul rețelei. Clientul VPN avea încredere că furnizorul de VPN va
menține integritatea circuitelor și va utiliza cele mai bune echipamente pentru a e vita interceptarea
traficului din rețea. De aceea, aceste rețele se numesc VPN cu liv rare sigură (Trusted VPN).
VPN securizate (Secure VPN)
Odată cu popularizarea Internetului ca un mediu de comunicații corporativ, securitatea a
devenit un aspect important atât pentru clienți cât și pentru furnizori. Văzând că VPN cu livrare
sigură nu oferă o reală securitate, furnizorii au început să creeze protocoale care permit criptarea
traficului la marginea rețelei sau la calculatorul de origine, trecerea prin rețea ca orice alte date și
apoi decriptarea în momentul în care datele ajung la rețeau a corporativă sau calculatorul de
destinație. Acest trafic criptat se comportă de parcă ar fi un tunel între cele două rețele: chiar dacă
un atacator poate observa traficul, nu -l poate citi și nu îi poate schimba conținutul fără ca aceste
schimbări să fie observate de partea de recepție și, în concluzie, rejectate. Rețelele construite
utilizând criptarea se numesc VPN securizate (Secure VPN).
Furnizorii de servicii au început să ofere un nou tip de VPN cu livrare sigură, de data asta
folosind Internetul în loc de rețeaua telefonică, ca suport pentru comunicații. Noile VPN -uri cu
livrare sigură tot nu oferă securitate perfectă, dar dau posibilitatea clienților să creeze segmente de
rețea pe ntru WAN -uri. În plus, segmentele de VPN cu livrare sigură pot fi con trolate dintr -un singur
loc și deseori furnizorul garantează o anumită calitate a serviciilor (QoS – Quality of Service).
VPN hibrid (Hybrid VPN)
Un VPN securizat poate rula ca parte a unui VPN cu livrare sigură, creând un al treilea tip
de VPN, foarte nou pe piață: VPN hibrid (Hybrid VPN). Părțile sigure a unui VPN hibrid pot fi
controlate de client sau de același furnizor care asigură partea de încredere a VPN -ului hibrid.
Câteodată întregul VPN hibrid este asigurat cu VPN -ul securizat dar, de obicei, doar o parte a VPN
hibrid este sigură .
Cerințe de baza pentru VPN -uri
La adoptarea unei rețele virtuale private prin Internet există două probleme majore:
securitatea și performanța. Protocolul de control al transmisiei (TCP/IP) și Internetul nu au fost
gândite inițial să asigure în principal securitate și performanță, deoarece la acea vreme utilizatorii și
aplicațiile lor nu necesitau o securitate puternică și o performanță garantată. Din fericire,
standardele pentru securitatea datelor din rețelele IP au evoluat, fiind posibilă crearea VPN -urilor
folosind rețele IP.
În mod normal, când proiectează o soluție de acces de la distanță la o rețea, o companie
dorește să permită accesul controlat la resurse și informații. Soluția trebuie să permită clien ților
autorizați să se conecteze ușor la LAN -ul corporației, și să permită sucursalelor să se conecteze între
ele pentru a pune în comun informații și resurse (conexiuni LAN -LAN). În plus, soluția trebuie să
asigure securitatea și integritatea datelor când traversează Internet -ul. Aceleași preocupări apar și în
cazul când datele ce trebuie protejate traversează inter -rețeaua corporației.
32
VPN trebuie să realizeze cel puțin următoarele funcții vitale:
– Autentificarea utilizatorului. Trebuie să verifi ce identitatea utilizatorului și să permită
accesul prin VPN numai utilizatorilor autorizați. În plus, trebuie să permită monitorizarea și
jurnalizarea activităților pentru a arăta cine și când a accesat o anume informație.
– Gestionarea adreselor. T rebuie să asocieze unui client o adresă din rețeaua privată, să se
asigure că adresele private rămân secrete.
– Criptarea datelor. Datele transferate prin rețeaua publică trebuie făcute ilizibile pentru
clienții neautorizați.
– Gestiunea cheilor. Trebuie să genereze și să împrosp ăteze cheile de criptare dintre client și
server.
Suport multiprotocol. Trebuie să fie capabilă să manevreze protocoalele existente în rețelele
publice, cum ar fi Internet Protocol (IP), Internet Packet Exchange (IPX), etc.
III.2 Metode de transmisie prin VPN
Pentru a asigura confidențialitatea datelor într -o transmisie pe canale de comunicații
nesigure, cum este Internet -ul, se pot folosi diverse tehnici criptografice. Modul de transmisie
utilizat în cazul unei soluții VPN va determina care din părți ale unui mesaj trebuiesc criptate. Unele
soluții criptează întregul mesaj (antetul IP și datele din mesaj), în timp ce altele criptează doar
datele. Cele patru moduri de transmisie întâlnite în soluțiile VPN sunt:
1.In Place T ransmission Mode (modul de transmisie „in -place”) – este de obicei o soluție
specifică unui anumit producător, în care doar datele sunt criptate. Dimensiunea pachetelor nu este
afectată, prin urmare mecanismele de transport nu sunt afectate.
2. Transport Mode (modul transport) – doar segmentul de date este criptat, deci mărimea
pachetului va crește. Acest mod oferă o confidențialitate adecvată a datelor pentru rețele VPN de tip
nod-la-nod.
3. Encrypted Tunnel Mode (modul tunel criptat) – informația din an tetul IP și datele sunt
criptate, anexându -se o nouă adresă IP, mapată pe punctele terminale VPN. Se asigură o
confidențialitate globală a datelor.
4. Non – encrypted Tunnel Mode (modul tunel necriptat) – nici o componentă nu este
criptată, toate datele sunt transportate în text clar. Nu se oferă nici un mijloc de asigurare a
confidențialității datelor.
Deși p are ciudat, există și soluții VPN care nu realizează nici un mod de criptare. În schimb,
pentru a oferi un grad de confidențialitate a datelor, el e se bazează pe tehnici de încapsulare a
datelor, cum ar fi protocoalele de tunelare sau forwarding. Nu toate protocoalele de tunelare și
forwarding folosesc un sistem criptografic pentru confidențialitatea datelor, ceea ce înseamnă că
toate datele vor fi transmise în clar, punând sub semnul întrebării cum poate o astfel de soluție să
asigure protecția împotriva interceptării datelor – cerință critică în cazul rețelelor VPN.
Din nefericire, terminologia utilizată în industria de profil poate să contribu ie la apariția de
astfel de confuzii. Pentru clarificarea acestor confuzii, trebuie c a utilizatorul să identifice c e mod de
transmisie este folosit. Ca și în cazul autentificării datelor și a utilizatorilor, modurile de transmisie
trebuie să fie analizate dacă sunt criptate sau necriptate. Dacă o soluție VPN nu furnizează nici o
formă de criptare în scopul confidențialității datelor, atunci această soluție poate fi denumită mult
mai corect Virtual Network (VN – rețea virtuală), din moment ce nimic nu este p rivat în această
rețea Internet, între sursă și destinație.
Encapsularea generică
Generic Router Encapsulation (GRE) reprezintă o metodă de dirijare a pachetelor IP care
sunt nerutabile. De asem enea se poate folosi și pentru rutarea pachetelor multicast peste rețele
incompatibile. GRE poate ruta pachete non -IP (cum ar fi AppleTalk, Internetwork Packet Exchange
sau IPX) peste rețele IP.
33
III.2.1 Tunelarea
Implementarea unui VPN presupune crearea unui tunel printr -o rețea publică prin
intermediul căruia să fie transferate datele. Datele de transferat (încărcătura – payload ) pot fi
pach etele altui protocol. În loc de a transmite cadrul în forma în care a fost produs de nodul sursă,
protocolul de tunelare încapsulează cadrul într -un antet adițional. Acest ă conține informații de
rutare astfel încât încărcătura încapsulată poat e traversa inter -rețeaua intermediară. Pachetele
încapsulate sunt apoi rutate între capetele tunelului prin inter -rețea.
Calea logică pe care pachetele încapsulate o urmează în inter -rețea se numește tunel. Odată
ce cadrele încapsulate ajung la destinație prin inter -rețea, cadrul este decapsulat și trimis la
destinația sa finală. De notat că tunelarea include întregul proces: încapsulare, transmitere și
decapsulare a pachetelor. Pentru realizarea unui tunel, clientul și serverul de tunel trebuie să
foloseas că același protocol de tunelare.
Tehnologia de tunelare poate fi bazată pe un protocol de tunelare pe nivel 2 sau 3 ale
modelului de referință OSI . Protocoalele de nivel 2 ( nivelul legătură de date ), și folosește cadre ca
unitate de schimb. PPTP, L2TP și L2F sunt protocoale de tunelare pe nivel 2 ale modelului de
referință OSI, ele încapsulează încărcătura într -un cadru PPP pentru a fi transmis peste inter -rețea.
Protocoalele de nivel 3 (nivelului rețea ) și folosesc pachete. IP peste IP și Tunel IPSec sunt exemple
de protocoale care încapsulează pachete IP într -un antet IP adițional înainte de a le transmite peste o
inter-rețea IP.
Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemănător cu o
sesiune; ambele capete ale tunelului tre buie să cadă de acord asupra tunelului și să negocieze
variabilele de configurare, cum ar fi atribuirea adreselor, criptarea și comprimarea. Datele
transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea
tunelului se folosește un protocol de menținere a tunelului.
Tehnologiile de tunelarea pe nivel 3 pleacă de la premiza că toate etapele de configurare au
fost efectuate. Pentru aceste protocoale, poate să nu existe faza de menținere a tunelului. Pentru
protocoalele d e nivel 2, un tunel trebuie creat, menținut și distrus. Implementarea unui VPN
presupune crearea unui ”tunel” printr -o rețea publică prin intermediul căruia să fie transferate
datele.
Tunelarea este procesul prin care se introduce întreg pachetul IP în in teriorul unui alt pachet,
cu antete distincte, acest a fiind trimis ulterior prin rețea. Protocolul pachetului rezultat în urma
tunelării este recunocut de către rețea și de către ambele noduri sursă și destinație, la nivelul
interfețelor de tunelare, prin care pachetele intră și ies din rețea. Tunelarea necesită trei protocoale
diferite:
– protocolul de transport ( IP), protocolul utilizat de către rețeaua prin care se transferă
informația (rețeaua publică de Internet sau orice rețea privată);
– protoco lul de încapsulare care împachetează și criptează datele originale cu un antet
distinct (GRE, IPSec, L2F, PPTP, L2TP);
– protocolul pasager din rețeaua sursă care transmite date în pachetul trimis prin tunel (IPX,
NetBeui, IP , etc.).
III.2.1.1 Protocoa le de tunelare de nivel 2 OSI
Protocoalele de tunelare de nivel 2 corespund nivelului legătură de date și folosesc cadre ca
unitate de schimb. Ele încapsulează încărcătura într -un cadru PPP pentru a fi transmis peste inter –
rețea. Pentru tehnologiile de niv el 2, cum ar fi PPTP sau L2TP, un tunel este asemănător cu o
sesiune; ambele capete ale tunelului trebuie să cadă de acord asupra tunelului și să negocieze
variabilele de configurare, cum ar fi atribuirea adreselor, criptarea sau comprimarea. Datele
trans ferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru gestionarea
tunelului se folosește un protocol de menținere a tunelului. Pentru protocoalele de nivel 2, un tunel
trebuie creat, menținut și distrus.
Layer 2 forwarding este un protocol de tip forwarding, folosit pentru tunelarea protocoalelor
de nivel înalt într -un protocol de nivel 2. Un exemplu este folosirea ca protocoale L2: HDLC,
HDLC asincron sau cadre SLIP. Deși această soluție facilitează conectivitatea pe linii de acc es în
34
rețele cu comutație de circuite, informația din fluxul L2F nu este criptată. Acest protocol a fost creat
de Cisco. Combinat cu PPTP, constituie componentă a L2TP.
Point to point tunneling protocol, reprezintă o extensie a Point -to-Point Protocol (PPP ), care
încapsulează datele, IPX sau NetBEUT în pachetele IP. Acest protocol este folosit în mod
fundamental de echipamentele ISP, deoarece duce la un numitor comun participanții la sesiuni de
comunicații. Este cea mai cunoscută dintre opțiunile pentru sec uritatea transferului de date în
rețeaua VPN. Dezvoltat de Microsoft pentru a fi folosit cu serviciul de rutare și acces de la distanță.
Acesta permite traficului IP, IPX și NetBEUI să fie criptat și încapsulat într -un antet IP pentru a fi
transmis peste o inter -rețea IP de corporație sau publică (Internet).
PPTP suportă criptare pe 40 de biți și 128 de biți și poate folosi orice schemă de
autentificare suportată de PPP. Ca și L2F, PPTP permite tunneling -ul unor cadre PPP de la clientul
îndepărtat între un NAS și un VPN gateway / concentrator.
Layer 2 Tunneling Protocol, este o combinație dintre un protocol al firmei Cisco Systems
(L2F) și cel al firmei Microsoft denumit Point -to-Point Tunneling Protocol (PPTP). Tunelul L2TP
este creat încapsulând un cadr u L2TP î n interiorul unui pachet UDP, cel din urmă fiind încapsulat î n
interiorul unu i pachet IP a carui adrese sursă și destinaț ie definesc capetele tunelului.
Conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX și AppleTalk,
L2TP poate fi rulat pe orice tip de rețea WAN, inclusiv ATM, X.25 sau SONET. Cea mai
importantă trăsătură a L2TP este folosirea protocolului Point -to-Point, inclus de Microsoft ca o
componentă a sistemelor de operare Windows 95, Windows 98 și Windows NT. Astfel că orice
client PC care rulează Windows este echipat implicit cu o funcție de tunneling, iar Microsoft
furnizează și o schemă de criptare denumită Point -to-Point Encryption. În afara capacității de creare
a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la același client.
III.2.1.2 Protocoale de tunelare de nivel 3 OSI
Protocoalele de nivel 3 corespund nivelului rețea, folosesc pachete IP și sunt protocoale care
încapsulează pachete IP într -un antet IP adițional înainte de a le transmite peste o inter -rețea IP.
Tehnologiile de tunelare pe nivel 3 pleacă de la premiza că toate setările de configurare au fost
efectuate, de multe ori manual. Pentru aceste protocoale, nu trebuie să existe faza de menținere a
tunelului. Tunelul o dată stabilit, datele tunelate pot fi trimise. Clientul sau serverul de tunel
folosește un protocol de transfer de date de tunel pentru a pregăti datele p entru transfer. De
exemplu, un client -ul de tunel trimite informația utilă către server -ul de tunel, clientul de tunel
adaugă un antet de protocol de transfer de date de tunel la informația utilă. Apoi client -ul trimite
informația încapsulată rezultată prin inter -rețea, care o dirijează către server -ul de tunel. Server -ul
de tunel acceptă pachetul, elimin ă antetul de protocol de transfer de date și transmite informația
utilă la rețeaua țintă. Informația trimisă între server -ul de tunel și client se comportă similar.
Generic Routing Encapsulation este un protocol de tunelare dezvoltat de Cisco care poate
încapsula o mare varietate de tipuri de pachete ale protocoalelor de rețea în interiorul tunelelor IP,
creând o legătură virtuală punct la punct, între routere aflate la distanță, peste o rețea IP.
Pentru rutarea cu adrese private, se încapsulează pachetele IP transmise în Internet cu antete
suplimentare prin așa -numitul mecanism GRE, descris în RFC 1701. Pachetului inițial (payload
packet /original packet) i se adaugă un antet GRE (GRE Header) și un antet de expediere privind
modul de transfer specificat con form protocolului de rețea (delivery header).
În antetul GRE se specifică ruta pe care se va trimite forțat pachetul la destinație, fără
a se lua alte decizii de rutare în routerele intermediare. GRE asigură transparența adreselor
intermediare și securitat ea transmisiei, prin realizarea unui așanumit "tunel de transmisie"
(tunnelling) .
În cazul încapsulării pachetelor IP pentru transmisii cu IP (IP over IP) conform RFC1702,
standard definit pentru GRE. Adresele IP private pot fi utilizate în încapsularea GRE astfel încât
cadrul să fie interpretat ca fii nd încapsulat GRE și routerele ” de la distanță ” să extragă adresa de
destinație privată din pachetul original.
Tunelarea are implicații importante pentru VPN -uri. Astfel se pot transmite pachete care
utilize ază adrese IP private în interiorul unui pachet care utilizează adrese IP reale, în acest fel se
35
poate extinde rețeaua privată prin Internet. Dar se poate transmite și un pachet care nu este suportat
de protocolul Internet (NetBeut ) în interiorul unui pach et IP iar acesta poate fi apoi transmis cu
ușurință prin Internet.
Deși VPN -urile construite peste Internet folosind GRE sunt posibile, sunt foart e rar folosite
de firme datorită riscurilor și lipsei de mecanisme de securitate.
Internet Protocol Security s au IPSec, este o suită de protocoale care asigură securitatea unei rețele
virtuale private prin Internet.
Orice persoană care folosește VPN este preocupată de securizarea datelor când traverse ază o
rețea publică. D ezvoltarea VPN -urilor pe baza rețelei publ ice Internet poate însemna reducerea
costurilor semnificativ de mult comparativ cu liniile închiriate.
Serviciile IPSec permit autentificare, integritate, confidențialitat e și controlul accesului. Cu
IPSec, schimbul de informații între locațiile de la dist anță poate fi criptat și verificat. Cu I PSec pot
fi dezvoltate soluții atât la distanță, cât și site -to-site.
IPSec este poate cel mai autorizat protocol pentru păstrarea confidențialității și autenticității
pachetelor trimise prin IP. Protocolul funcțione ază cu o largă varietate de scheme de criptare
standard și negocieri ale proceselor, ca și pentru diverse sisteme de securitate, incluzând semnături
digitale, certificate digitale, chei publice sau autorizații. Încapsulând pachetul original de date într -o
destinație. Deoarece nu există modalități de autentificare sau criptare licențiate, IPSec se detașează
de celelă lte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor și standardelor,
chiar și în paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea și
autentificarea criptării în timp ce o rețea virtuală de tip L2TP primește un pachet, inițiază tunelul și
trimite pachetul încapsulat către celălalt terminal VPN.
IPSec folosește un algoritm pentru schimbarea cheil or între părți, numit Internet Key
Exchange (IKE), care p ermite calculatoarelor să aleagă o cheie de sesiune în mod securizat,
folosind protocoalele ISAKMP pentru crearea de Security Associations și OAKLEY bazat pe
algoritmul Diffie -Hellman pentru schimbar ea cheilor între cele două părți. IKE se poate folosi
în conjuncție cu Kerberos, certificate X.509v3 sau chei preshared.
Pentru a securiza comunicația în rețea cu IPSec între calculatoarele Windows se foloseste o
colecție de reguli, filtre și politici pent ru a permite în mod selectiv doar comunicația pentru anumite
protocoale.
Politicile de IPSec pot fi create și aplicate cu Group Policy pentru calculatoarele din
domeniu. Pentru calculatoare care nu sunt în domeniu, de exemplu serverele bastion, politicile pot fi
aplicate cu script -uri linie de comandă.
Implementarea unei soluții VPN de comunicație reliefează unele probleme specifice,
problem elor ce apar din cauza absenței standardelor. Internet Engineering Task Force (IETF) a
stabilit un grup de lucru dedi cat definirii standardelor și protocoalelor legate de securitatea
Internetului. Unul dintre cele mai importante scopuri ale acestui grup de lucru este finalizarea
standardului IPSec, care definește structura pachetelor IP și considerentele legate de securi tatea în
cazul soluțiilor VPN.
In ultimi ani î n cadrul IETF, grupul de lucru IPSec a înregistrat mari progrese în adăugarea
de tehnici de securitate criptografice la standardele pentru infrastructura Internet. Arhitectura de
securitate specificată pentru I P ofera servicii de securitate ce suportă combinații de autentificare,
integritate, controlul accesului și confidențialitate.
Tunele GRE cu protecție IPSec. GRE este un protocol de tunelare dezvoltat de Cisco care
poate înmagazina o multitudine de tipuri d e pachete ale protocoalelor de rețea în interiorul tunelelor
IP, creând o legătură virtuală punct la punct, între routere aflate la distanță, peste o rețea IP.
Tunelele GRE sunt create să fie complete, fără o stare persistentă, astfel fiecare capăt de
tunel nu încapsuleaza nici o informație despre starea și disponibilitatea capătului de tunel de la
distanță. O urmare a faptului acesta este că ruter -ul din capătul de tunel nu are abilitatea de a marca
protocolul liniei interfeței tunelului GRE ca fiind inacc esibil dacă ruter -ul de la distanță, din celălalt
capăt, nu este funcțional. Posibilitatea de a exprima că interfața este nefuncțională către celălalt
capăt este eficientă pentru retragerea rutelor care o folosesc ca și interfață de ieșire, din tabela de
rutare (în special rutele statice).
36
O interfață de tunel GRE este funcțională din momentul în care este configurată și rămâne
așa cât timp este o adresă sursă a tunelului validă. Adresa IP destinație a tunelului trebuie să fie
mereu rutabilă. Acest lucru e ste adevărat chiar dacă celălalt capăt al tunelului nu a fost configurat.
Astfel, o rută statică a pachetelor via interfața tunelului GRE rămâne în vigoare chiar dacă pachetele
tunelului GRE nu găsesc celălalt capăt de tunel.
Construirea unei rețele virtu ale private folosind IPSec pentru conectivitatea dintre capete are
câteva limitări:
– IPSec poate cripta / decripta doar traficul IP ;
– traficul IP destinat unei adrese de difuzare nu poate fi procesat de IPSec, ceea ce înseam nă
că nu poate traversa tunelu l;
– de asemenea, rutarea dinamică folosind procoale ca EIGRP, OSPF, RIPv2 nu pot fi
configurate între două capete IPSec.
Aceste probleme se pot rezolva prin configurarea unui tunel GRE între cele două noduri și
aplicarea ulterioară a protecției IPSec p e acest tunel. Tunelul GRE încadrează orice informație utilă
dintr -un pachet unicast destinat unui capăt GRE.
În momentul câ nd se utilizează GRE îmbinat cu IPSec se poate folosi atât modul tunel
cât și cel transport (modul tunel va adăuga un antet IP pachet elor GRE, în timp ce modul transport
va folosi antetul original GRE).
Teoret ic, modul transport se recomandă î n momentul când se utilizează combinarea dintre
IPSec și GRE pentru că deja protocolul de încapsulare GRE adaugă un antet IP nou pachetului util.
Totuși, această situație presupune existența unor adrese IP sursă și destinație care sunt accesibile
prin calea IP dintre noduri.
Utilizarea protocolului GRE împreună cu IPSec face configurarea echipamentelor VPN mai
simplă. În situația tradițională IPSec era nevoie de o politică anume care să specifice subrețelele
protejate pentru ca traficul dintre acestea să fie criptat / decriptat și de fiecare dată când o subrețea
era adăugată trebuia să fie reînnoită structura la ambele capete. În cazul utilizării GRE , regulile
trebuie să corespundă doar traficului dintre adresele de capăt GRE , tot ce trece prin tunelul GRE
este criptat.
Unul din multiplele motive pentru care este bine să foloseș ti GRE combinat cu IPSec
este faptul ca există astfel posibilitatea de a r ula protocoale dinamice între locații pentru a anunța
subrețelele protejate. Rutarea dinamică ajută implicit și în situații de eșec a transferului, in acest fel
se pot detecta interfețele care nu mai funcționează și nu mai participă în VPN.
III.3 Protocol ul IPSec
Securitatea unei rețele de calculatoare poate fi afectată de mai mulți factori, cum ar fi:
dezastre sau calamități naturale, defectări ale echipamentelor, greșeli umane de operare sau
manipulare, fraude. Pentru asigurarea securității unei rețele s-au creat așa numitele servicii de
securitate care au scopul de a asigura securitatea aplicațiilor precum și a informațiilor stocate pe
suport sau transmise prin rețea. Când este vorba despre securitatea unei rețele apar mai multe
aspecte, cum ar fi: secu rizarea accesului fizic și logic, securitatea serviciilor de rețea, secretizarea
informațiilor etc. Au fost implementate mai multe metode pentru a prote ja și spori gradul de
securitate. Majoritatea metodelor s‐au concentrat pe nivelurile superioare ale mod elului OSI pentru
a compensa lipsa de securitate a adreselor IP. Ceea ce era necesar era o soluție care să asigure
securitatea la nivel IP astfel încât toate protocoalele la niveluri mai înalte în TCP / IP să poată
profita de aceasta . Când s‐a luat decizia de a dezvolta o noua versiune a IP (IPv6), aceasta a
însemnat un prilej unic pentru a rezolva nu doar problemele din IPv4, dar de asemenea și lipsa de
securitate. Noua tehnologie de securitate a fost dezvoltată luând în considerare un IPv6, deoarece au
fost necesari ani buni pentru ca IPv6 să fie realizat și introdus, iar nevoia de securitate era urgentă,
soluția a fost concepută pentru a fi utilizată atât pentru IPv4 cât și pentru IPv6.
Tehnologia care aduce comunicații securizate la Protocolul de Intern et este numită IPSec (IP
Security ).
37
Figura 3.1 Prezentare generală VPN IPSec [HTTP11]
IPSec este o suită de protocoale pentru securizarea comunicațiilor peste stiva TCP/IP.
Această suită se bazează pe folosirea funcțiilor ma tematice și a algoritmilor de criptare și
autentificare pentru a asigura confidențialitatea, integritatea și non -repudierea informațiilor din
fiecare pachet IP transmis pe rețea. IPSec este una dintre cele mai folosite metode de securizare a
transmisiei pe rețeaua Internet, alături de SSL (Secure Sockets Layer) și TLS (Transport Layer
Security).
IPSec nu este doar un protocol, ci mai degrabă un set de servicii și protocoale care oferă o
soluție completă de securitate pentru o rețea IP. Aceste servicii și protocoale se combină pentru a
oferi diferite tipuri de protecție. Deoarece IPSec lucrează la nivelul IP, poate oferi aceste protecții
pentru orice aplicație sau protoc ol de nivel superior TCP / IP fără a fi nevoie de metode
suplimentare de securitate, cee a ce prezintă un avantaj major. Unele dintre tipurile de servicii de
protecție oferite de IPSec includ:
Criptare a datelor pentru confidențialitate.
Autenticitatea integrității mesajelor pentru a se asigura că nu sunt modificate pe traseu.
Abilitatea anu mitor echipamente de a negocia algoritmi de securitate și chei necesare pentru
a asigura comunicarea securizată.
Protecție la anumite tipuri de atacuri, ca „reply attack1”.
Două moduri de securizare: tunelat și transport pentru a satisface diferitele nec esități ale
rețelei.
Internet Protocol Security (IP Sec) reprezintă un protocol de securita te bazat pe reguli ce
protejează datele transmise pe nivelul de reț ea. IPSec permite autentificarea și criptarea la cerer e a
comunicațiilor IP între două sisteme. P achetele IPSec sunt semnate, verificate, criptate si decriptate
la nivelul de transport, fiind transparent pentru aplicații. O colecție de RFC -uri (Request for
Comments) definesc arhitectura, serviciile și protocoalele specifice utilizate în IPSec.
IPSec este un protocol de criptare ce lucrează la nivelul 3 (Rețea) al modelului OSI și
asigură transmisia criptată a datelor. Stabilirea unui VPN de tip IPSec are loc în urma negocierii
între cele două părți ale unui mod standard de comunicație în sensul de a opera cu o politică de
securitate comună, aceași metodă de autentificare și de a utiliza aceiași algoritmi de criptare. Odată
negociată acestă politcă, se crează un tunel de comunicații între două locații, ce poate traversa mai
multe rețele intermediare ne sigure și astfel utilizatorul are acces la rețea și la resursele acesteia din
cealaltă locație. Pentru a avea acces la rețea prin VPN via IPSec, pe fiecare calculator de la care se
dorește accesul, se instalează un ”client” VPN.
38
IPSec este cunoscut drept un protocol oportunist deoarece poate fi activat la cerere – pentru
unele sau toate conexiunile – bazat pe criterii puse de administrator precum adresa IP, protocol sau
port. IPS ec este mai mult decat o unealtă pentru securizarea pachetelor. IPSec este rec omandat
pentru urmatoarele :
• Filt rarea Pachetelor – IPSec asigură servici i de bază pentru firewall prin determinarea
trafic ului permis s -ă intre / iasă dintr -un sistem. Această filtrare ar trebui folosită în cadrul unei
strategii de apărare î n adancime.
• Securizarea traficului între două sisteme – IPSec poate fi util izat la securizarea traficului
între calculatoare. Această apărare se realizează prin crearea unor politici IPSec ce includ o gama de
adrese IP că rora li se va aplica IPSec
• Securizarea trafi cului c ătre servere – Se poate seta protecție IPSec pentru clienț ii ce se vor
conecta la server. I PSec permite specificarea clienț ilor care au acces la server.
• L2TP/IPSec pentru conexiuni VPN – IPSec poate fi folosit în combinaț ie cu Layer Two
Tunneling Protocol (L2TP) pentru securizarea conexiunilor VPN.
• Tunel între Site -uri – Se poate utiliza IPSec î n mod tunel pentru a furniza interoperab ilitate
cu sisteme ce nu suportă conexiune L2TP / Ipsec sau PPTP.
Modurile IPSec
Implementarea celor trei arhite cturi diferite poate fi utilizată pentru a oferi facilități IPSec la
rețelele TC /IP. Alegerea pe ntru a pune în aplicare, precum și modul în care implementăm la
gazdele finale sau routere, are impact asupra modului specific în care IPSec funcționează. Două
moduri specifice de funcționar e sunt definite pentru IPSec, cum sunt legate de aceste arhitecturi,
numite mod transport și de mod tunelat. Modurile IPSec sunt strâns legate de funcți a celor două
protocoale de bază: Authentication Header (AH) și Encapsulat ing Security Payload (ESP). Ambele
protocoale oferă o protecție prin adăugarea la o datagramă a unui antet (și, eventual, alte câmpuri),
care conțin informații de securitate. Alegerea modului nu afectează metoda prin care fiecare se
generează antetul său, ci mai degrabă, modifică ce părți specifice ale datagramei IP sunt protejate și
modul în care antetele sunt aranjate pentru a realiza acest lucru, descrie modul în ca re AH sau ESP
funcționează. Sunt folosit e ca bază pentru definirea altor concepte, cum ar fi asociațiile de
Securitate security associations (SAs).
Modul transport
După cum sugerează și numele, în modul de transport, protocolul protejează mesajul
transmis la IP din layer -ul de transport. Mesajul este prelucrat de către AH / ESP ș i la antetul
corespunzător i se adaugă, în fața antetului transportului (UDP sau TCP). Headerul IP este adăugat
înainte prin IP. În mod normal, nivelul de transport asamblează datele pentru transmitere și le
trimite la destinatie. Din perspectiva IP‐ului, acest mesaj pe niveluri pentru transport este sarcină
utilă a datagramei IP. Când IPSec este utilizat în modul de transport, antetul IPSec este aplicat
numai la această sarcină a IP‐ului, nu la header‐ul IP. Antetele AH și / sau ESP apar între original,
antetul unic I P și sarcina utilă IP. Când IPSec operează în modul transport, este integrat în IP și
folosit pentru transportul mesajului direct la nivelul superior (TCP/UDP). După prelucrare,
datagrama are numai un header IP care conține header‐ele AH și / sau ESP IPSec .
Modul tunelat
În acest mod, IPSec este folosit pentru a proteja o datagramă IP complet încapsulată după ce
header‐ul IP a fost deja aplicat la acesta. Anteturile IPSec apar în fața headerului original IP, și apoi
i se adaugă un nou antet IP în fața hea derului IPsec. Adică, întreaga datagramă inițială IP este
protejată și apoi încapsulată într‐o altă datagramă IP. Modul tunel al lui IPSec este numit astfel
deoarece reprezintă o încapsulare a unei datagrame complete IP, formând un tunel virtual între
echipamentele adecvate ale lui IPSec. Datagrama IP este transmisă la IPSec, unde se creează un nou
header IP cu hederele AH și / sau ESP IPSec adăugate.
39
Compararea modurilor transport și tunel
Modul tunel protejează datagrama originală IP ca un întreg, în ti mp ce modul transport nu
protejează datagrama . Astfel, ordinea antetelor este după cum urmează:
– Modul transport: header IP, headere IPSec (AH și/sau E SP), sarcina utilă IP (inclusiv
header -ul de transport).
– Modul tunel: Header nou IP, headere IPSec ( AH și/sau ESP), header vechi IP, IP sarcina
utilă.
Aceasta este o privire de ansamblu simplificată a modului în care datagramele IPSec sunt
construite, realitatea este cu mult mai complexă. Modul exact în care sunt aranjate header‐ele într‐o
datagramă IPS ec în ambele moduri ‐ transport și tunel ‐ depinde de ce versiune de IP este utilizată;
IPv6 folosește header‐e extensie care trebuie aranjate într‐un mod special atunci când IPSec este
utilizat.
Plasarea antetului depinde de asemenea de protocolul IPSec utilizat: AH sau ESP. Este,
posibil să se aplice atât AH cât și ESP pentru aceeași datagramă; în acest caz, header‐ul AH apare
întotdeauna înaintea header‐ului ESP. Există deci trei variabile și opt combinații de bază ale
modului (tunel sau transport), ver siunea de IP (IPv4 sau IPv6) și Protocolul (AH sau ESP). ESP
include de asemenea o “remorcă” ESP, care pleacă cu datele protejate. Se poate spune în ce fel cele
două moduri sunt legate de alegerea arhitecturii IPSec de la subiectul precedent. Modul transpo rt
impune ca IPSec să fie integrat în IP, pentru că AH / ESP trebuie să fie aplicate. Aceasta este adesea
alegerea pentru implementări care necesită securitate end‐to‐end cu gazde care rulează direct IPSec.
Modul tunel reprezintă o înca psulare IP cu combi nația de IP și IPsec. Astfel, aceasta
corespunde cu implementarea BITS și BITW, unde IPSec se aplică după ce IP a procesat mesajele
nivelului superior și a adăugat deja antetul său. Modul tunel este o alegere obișnuită pentru
implementarea VPN, care se baz ează pe tunelarea datagramelor IP prin intermediul unei rețele
nesecurizate, cum ar fi Internetul. IPSec are două moduri de bază de operare. În modul transport,
header‐ele IPSec AH și / sau ESP sunt adăugate când datagrama originală IP este creată; acest m od
este asociat cu arhitecturile integrate IPSec. În modul tunel, datagrama originală IP este creată
normal, apoi în treaga datagramă este încapsulată într‐o nouă datagramă IP conținând header‐ele AH
/ ESP IPSec. Acest mod este de obicei folosit la implemen tările “Bump In The Stack” și “Bump In
The Wire”.
III.3.1 Algoritmi criptografici
Algoritmi criptografici folosiți de către IPSec pentru a autentifica și a cripta pachetele
utilizator sunt:
a) Algoritmi de autentificare;
b) Algoritmi de criptare;
c) Algoritmi crip tografici cu chei publice.
III.3.1.1 Algoritmi de autentificare
Pentru a preveni modificarea unui mesaj, se utilizează o tehnică specifică, denumită tehnica
hash, ce permite construirea unui cod de identificare a datelor transmise, numit ”rezumatul datel or”.
Într-un IPSec, un număr de algoritmi hash asigură integritatea fără conexiuni și autentificarea
originii datelor. Un algoritm hash este un tip de algoritm criptografic ce ia un mesaj de o lungime
arbitrară la intrare și produce o lungime fixă la ieșir e, valoare ce este characteristic mesajului de
intrare și nu altui mesaj.
Algoritmii criptografici hash au două caracteristici improtante:
1. Rezumatul unui mesaj se construiește prin aplicarea, în sens unic, a unei funcții de
transformare(funcție hash) înt r-o secvență de biți – de lungime mare, pentru a fi dificil de ”spart”.
Sensul unic de transformare asigură faptul că nu se pot deduce datele de intrare pe baza datelor de
ieșire.
2. Datele ce trebuie transmise sunt utilizate ca și date de intrare, obț inându -se astfel o
valoare de transformare(”hash value”). Dacă datele în transit sunt modificate, la destinație se va
obține o altă valoare de transformare, ceea ce va indica falsificarea datelor.
40
Valoarea de trasformare este în general criptată ulterior prin utilizarea aceași chei secrete ca
și pentru criptarea datelor transmise. Astfel se formează o ”semnătură digitală” a datelor, care nu
mai pot fi modificate fără ca acest lucru să fie depistat.
Algoritmi de hash sunt: Message Diggest 5(MD5) și Secure Hash Algoritm(SHA1).
Message Diggest versiunea 5(MD5)
– generează un hash pe 128 de biți exprimat în 32 de cifre hexazecimale;
– a fost creat de prof. Ronald Rivest de la MIT in 1991;
– a fost standardizat in RFC1321;
– începand cu anul 2004 au inceput sa fie desc operite diferite vulnerabilitati in algoritm
multe ne -fatale. Se considera ca va fi inlocuit in curand de alt algoritm mai sigur;
Secure Hash Algoritm versiunea 1
– genereaza un hash output pe 160 biti exprimat in 40 cifre hexazecimale;
– a fost creat si publi cat de guvernul USA (NSA) in 1993;
– poate lucra cu mesaje de maximum 2^64 –1 biti ;
– la fel ca și la MD5, au fost despistate diferite vulnerabilități în algoritm dar nefiind
majore, acesta continua a fi utilizat.
III.3.1.2 Algoritmi de criptare
Criptarea est e o metodă care poate fi utilizată pentru a ascunde conținutul unui mesaj de
persoanele care nu trebuie să îl înțeleagă. Informațiile cu formă necriptată sunt cunoscute ca și text
simplu (plaintest) sau text curat (cleartext). Informațiile cu formă criptat ă sunt cunoscute ca și text
cifrat (ciphertext). Procesul de criptare schimbă un text simplu într -un text cifrat, iar procesul invers
este cunoscut ca și process de decriptare.
IPSec folosește algoritmi de criptare simetrici pentru criptarea datelor. Algo ritmi simetrici
sun caracterizați de faptul că folosesc aceași cheie atât în procesul de criptare, cât și în cel de
decriptare. Pentru aplicarea lor este necesar ca înaintea codificării / decodificarii, atât emițătorul cât
și receptorul să posede deja chei a respectivă. În mod evident, cheia care caracterizează acești
algoritmi trebuie să fie secretă. Atunci când poarta IPSec VPN criptează datele cu o cheie, o altă
poartă va cere aceiași cheie pentru a decripta datele.
Caracteristicile principale ale algor itmilor de criptare simetrici sunt următorii:
aceiași cheie este folosită pentru a cripta sau decripta;
textul cifrat este compact;
algoritmii de criptare simetrici sunt rapizi;
Principalul dezavantaj al algoritmilor simetrici constă în faptul că impugn un schimb de chei
private înainte de a se începe transmisia de date. Altfel spus, pentru a putea fi utilizați, este necesar
un canal cu transmisie protejată pentru a putea transmise chei de criptare / decriptare.
Algoritmi de cripare simetrici sunt: Data Enc ryption Standard (DES) și Advanced
Encryption Standard (AES).
DES – criptează/decriptează blocuri de text simplu / cifrat pe 64 de biți în același timp și
folosește o cheie de 64 de biți, 8 bițt ai cheii sunt folosiți pentru paritate, lungimea efectivă a cheii
este de 56 biți.
Triple DES (3DES) – este o derivație a algoritmului DES ce folosește diferite chei să
cripteze, apoi să decripteze, iar în final criptează fiecare bloc simplu. 3DES are o lungime efectivă a
cheii de 168 biți (3*56 biți).
AES – criptează / decriptează blocuri text simplu / cifrat pe 128 de biți și pot folosi chei de
lungime de 128 biți, 192 biți sau 256 biți.
III.3.1.3 Algoritm criptografic cu chei publice
Algoritmii criptografici cu cheie publică, sunt caracterizați prin faptul că c riptarea și
decriptarea folosesc chei diferite. Această caracteristică a dat algoritmilor cu cheie publică și
numele de algoritmi asimetrici. În acest caz, o cheie poate fi publică (în general cunoscută – poate fi
41
distribuită oricui) iar cealaltă va trebui să fie privată(secretă), cunoscută doar de cel care o folosește.
Fiecare din aceste chei poate cripta mesajul, dar mesajul criptat cu o anumită cheie nu poate fi
decriptat decât cu cheia sa pereche.
Cheile algoritmilor asimetrici sunt obținuți pe baza une i formule matematice din algebra
numerelor mari, pentru numere prime între ele, iar valoarea unei chei nu poate di dedusă valoarea
cheii asociate.
Cei mai populari algoritmi cu chei publice sunt: Diffie -Hellman; Rivest, Shamir and
Addlemen (RSA); the Digit al Signature Algorithm(DSA) și ElGamal.
Utilizarea unor astfel de algoritmi de criptare a datelor asigură transmisii confidențiale de
date în rețele neprotejate, rezolvând problema interceptării. Riscul de interceptare / modificare nu
dispare cu totul, din cauză că orice mesaj criptat poate fi în general decriptat fără a deține cheia
corespunzătoare, dacă se dispune de suficiente resurse materiale și de timp.
Dimensiuni variate ale cheii asigură diferite grade de confidențialitate iar perioada de timp
neces ară pentru decriptare poate fi influențată în funcție de mărimea cheii utilizate. Totuși, dacă
procentul de decriptare este lent, este posibil ca în momentul în care s -ar obține datele dorite,
acestea să nu mai fie utile sau actuale.
Timpul de decriptare d epinde în mod natural și de puterea procesoarelor utilizate în acest
scop, astfel încât utilizarea distribuită a unui număr foarte mare de procesoare poate duce la o
micșorare considerabilă a timpului necesar. Din acest motiv, pentru transmisii de date în care este
necesară o confidențialitate strictă se utilizează chei de dimensiuni mult mai mari, chiar pentru
algoritmul DES (de 256, 512, 1024 și 2048 sau 4096 de biți), știind faptul că timpul necesar
decriptării crește exponential cu dimensiunea cheii de criptare / decriptare.
Pentru utilizatorii obișnuiți ai Internet -ului, cei mai convenabili algoritmi de criptare sunt cei
cu cheie publică fiindcă folosirea lor nu implică schimbul preliminar de chei pe canale de transmisie
protejată, ca în cazul algoritmi lor cu cheie secretă. Cheia publică poate fi distribuită fără restricții pe
Intranet (rețea locală) sau Internet, iar mesajele criptate cu această cheie de un emițător vor putea fi
decriptate numai utilizând cheia private, care este deținută exclusiv de că tre destinatar. Astfel, nici
măcar expeditorul nu ar putea realiza decriptarea mesajului trimis.
III.3.2 Protocoale de securitate: AH și ESP
Cele două funcți principale sunt o pereche de tehnologii numite uneori protocoalele de bază
ale IPsec. Acestea sun t cele care de fapt realizează codarea de informații pentru a asigura
securitatea. Acestea sunt:
– IPSec Authentication Header (AH): Acest protocol asigură serviciile de autentificare
pentru IPSec; ceea ce înseamnă că emitentul mesajului ‐ se presupune ca a inițiatorul mesajului este
și cel care î l transmite. De asemenea asigură și integritatea mesajului transmis și protecția împotriva
atacurilor „reply”, unde mesajul este capturat de cineva neautorizat și retransmis.
– Encapsulating Security Payload (ESP): Header‐ul de autentificare asigură integritatea
datelor nu și confidențialitatea lor. Confidențialitatea se asigură utilizând protocolul ESP care
criptează informațiile din pachetul IP.
IPSec constă dintr‐un număr de componente diferite care conluc rează pentru a asigura
servicii de securitate. Principalele două sunt protocoalele numite Authentication Header (AH) și
Encapsu lating Security Payload (ESP), asigură autenticitatea și confidențialitatea datelor IP sub
formă de headere speciale adăugate la datagramele IP. AH ș i ESP sunt deseori numite “protocoale”,
deși acest lucru este discutabil. Ele sunt implementate ca headere în informația IP pentru a asigura
autenticitatea și confidențialitatea. Niciunul din aceste componente nu poate funcționa fără ce lalalt.
Pentru a funcționa corect au nevoie și de suportul altor protocoale și servicii. Cele mai
importante includ:
– Algoritmi de criptare / hash: AH ș i ESP au caracter generic și nu specifică mecanismul
utilizat pentru criptare. Acest lucru le dă flexi bilitatea de a lucra cu o varietate de algortmi de
criptare și de a negocia care este cel mai bun pentru a fi utilizat. Doi dintre cei mai utilizați în IPSec
sunt Message Digest 5 (MD5) și Secure Hash Algorithm 1 (SHA‐1). Se mai numesc și algoritmi
hash de oarece funcționează calculând o funcție hash3 bazată pe datele de intrare și cheie.
42
– Politici de securitate și asocieri, metode de management: întrucât IPSec asigură
flexibilitatea modului în care echipamentele pot să se asigure securitatea, trebuie să e xiste
posibilitatea gestionarii relațiilor de securitate dintre echipamente. Acest lucru se realizează în
IPSec folosind politici de securitate și asocieri de securitate, precum și căi de a putea schimba
informația.
– Cadrul de schimbare a cheilor și meca nisme: pentru ca două echipamente să poată
schimba o informație criptată au nevoie să schimbe și cheile pentru decriptare. Mai au nevoie să
schimbe și informaț ia asociată securizată. În IPSec, protocolul care asigură acest lucru este IKE
(Internet Key Exch ange).
III.3.2.1 Protocolul Authentication Header
Unul dintre cele două protocoale de securitate de baz ă în IPSec este Antetul /Header -ul de
autentificare (AH). Acest ă este un protocol care asigură autentificarea fie pentru tot conținutul unei
datag rame sau doar pentru o parte a acesteia prin adăugarea unui antet care este calculat pe baza
valorilor din datagramă. Părțile utilizate ale datagramei pentru calcul, precum și plasarea headerului,
depinde de mod (tunel sau transport), precum și de versiune a de IP. Funcționarea protocolului AH
este simplă , poate fi considerată similară cu algoritmii utilizați pentru calcularea sumelor de control
sau pentru efectuarea controalelor CRC pentru detectarea erorilor. În aceste cazuri, un algoritm
standard este fol osit de către expeditor pentru a calcula o sumă de control sau un cod CRC pe baza
conținutului unui mesaj. Acest rezultat calculate este transmis împreună cu datele originale la
destinație, care repetă calcularea și elimina mesajul în cazul în care se găse ște o discrepanță între
calculul său și cel efectuat de către sursă. Aceasta este aceeași idee din spatele AH, cu excepția
faptului că în loc de a folosi un algoritm simplu cunoscut de toată lumea, se fol oseste un algoritm
special într -o nouă formă și o ch eie cunoscută doar sursei și destinației. O asociație de securitate
între cele două echipamente este configurată și specifică, astfel încât doar sursa și destinația știu
cum să efectueze calculul. La echipamentul sursă, AH efectuează calculul și pune rezul tatul (numit
Valoare de verificare a integritatii – Integrity Check Value – ICV) într -un header special cu alte
câmpuri pentru transmisie. Echipamentul de de stinație face aceleași calcule utilizând cheia pe care
cele două dispozitive o împart – fapt care î i permite să vadă imediat dacă oricare dintre câmpurile
din datagrama originală au fost modificate , din cauza unei erori sau din rea voință. Este important
de subliniat în mod explicit că, la fel cum o sumă de control nu schimbă datele originale, nici
calculul ICV nu schimba datele originale. Prezența headerului AH ne permite să verificăm
integritatea mesajului, dar nu -l criptează. AH asigură autentificarea dar nu confidențialitatea.
Amplasarea și conectarea headerului de autentificare pentru IPv4
Într-o datagramă IPv4, câmpul Protocol indică identitatea Protocolului din nivelul superior
(de obicei TCP sau UDP), transportat în datagramă. Ca atare, acest câmp "indică" header -ul
următor, care se află la partea din față a sarcinii utile IP. AH ia această val oare și o pune în câmpul
headerului său următor, apoi amplasează valoarea de protocol pentru AH în sine (51 zecimal) în
câmpul protocol IP. Acest lucru face ca header -ul IP "să trimită" la AH, care apoi "trimite" la
indiferent ce datagrama header -ul IP tri mitea inițial. Î n modul transport, headerul de autentificare se
adaugă după headerul principal al IP al datagramei originale; în modul tunel se adaugă după noul
header IP care încapsulează datagrama originală ce este tunelată.
Figura 3.2 Authentication H eader modul transport
43
În modul AH transport, înt regul pachet este autentificat excepție făcâ nd câmpurile ce se pot
schimba în timpul tranzitării în tre host -urile permise sau porțile de securitate. Câmpurile variabile
cuprind : Time -To-Live (TTL), Type of S ervice (ToS), și Header Checksum. În modul transport AH
este folosit să protejeze pachetele utilizator care tranzitează o rețea între hosturi sau echipamente .
Aceasta este posibil deoarece porțile de secur itate folosesc AH modul transport să protejeze
protocoalele tunel ca și GRE, și Layer Two Tunneling Protocol (L2TP).
În modul tunel , AH header împreună cu un nou IP header este folosit să protejeze pachetele
utilizator.
Figura 3.3 Authentication Header modul tunel
În modul tunel întregul pachet este autentificat excepție făcând câmpurile mutate în noul IP
header. Modul tunel poate fi folosit să protejeze pachetele utilizator care tranzitează rețeaua între
hosturi, dar și între porțile de securitate(security gateways).
III.3.2.2 Protocolul Encapsu lating Security Payload
Headerul de autentificare – Authentication Header (AH) – IPSec asigură servicii de
autentificare a integrității echipamentelor IPSec, astfel încât acestea să poată verifica dacă mesajele
sunt primite intact de la celelalte echipamen te. Se dorește protecț ie nu numai împotriv a
echipamentelor intermediare care modifică datagramele , ci se dorește ș i protejarea continutului
acestora. Pentru acest nivel d e comunicații confidențiale, AH nu este suficient, ci este nevoie de
protocolul Encaps ulating Security Payload (ESP). Sarcina principală a ESP este de a asi gura
confidențialitatea necesară pentru datagramele IP. Un algoritm de criptare combină datele în
datagramă cu o c heie pentru a o transforma într -o formă î ncriptată. Aceasta este apoi re împachetată
(repackaged) folosind un format special, și transmisă la destinație, unde se decriptează folosind
același algoritm. ESP sprijină de asemenea propria sa schemă de autentificare ca cea folosită în AH,
sau care poate fi folosită împreună cu AH.
Câmpurile Encapsulating Security Payload
ESP are câteva câmpuri care sunt aceleași cu cele folo site în AH, dar își impachetează
câmpurile într -un mod diferit. În loc de a avea numai un header, își împarte câmpurile în trei
componente:
– Header ESP: Acestă conține două câmpuri, SPI și Sequence Num ber, și este înaintea
datelor criptate. Amplasarea lui depinde dacă ESP folosi ește modul transport sau modul tunel.
– Trailer -ul ESP: Această secțiune este amplasată după datele criptate , conține umplerea
spațiului neuti lizat (padding) ce este folosit pentru alini erea datelor încriptate, printr -un câmp
Padding și Pad Length și cuprinde de asemenea câmpul Headerul Următor (Next Header) pentru
ESP.
– Datele de autentificare ESP: Acest câmp conține o valoare de verifi care a integrității
(Integrity Check Value – ICV), este calculată asemănător modului în care operează protocolul AH,
pentru cazul în care se folosește caracteristica de autentificare opțională a ESP. Există două motive
pentru care aceste câmpuri sunt împăr țite în bucăți. Primul motiv este faptul că unii algoritmi de
criptare necesită ca datele să fie criptate pentru a avea o anumită dimensiune a blocurilor și astfel
umplerea spațiului neutilizat (padding) trebuie să apară după blocul de date utile și nu îna intea lor.
44
De aceea, umplerea spațiului neutilizat (padding) apare în ESP Trailer. Al doilea motiv este faptul
că datele de autentificare ESP (ESP Authentication Data) apar separate deoarece sunt folosite pentru
a autentifica restul datagramei criptate dup ă criptare . Aceasta înseamnă că nu pot apă re în Headerul
ESP sau în Trailerul ESP.
Primul lucru ce trebuie luat în considerare este modul în care este amplasat headerul ESP;
această este similar cu modul în care operează AH. Headerul ESP este amplasat după headerul
normal IPv4. În modul transport, el apare după headerul original IP; în modul tunelat, după headerul
IP al noii datagrame ce încapsulează originalul.
Figura 3.4 Encapsulating Security Payload mod transport
Când această datagramă este procesat ă de ESP în modul transport, headerul ESP este
amplasat între headerul IPv4 și date, cu trailerul ESP și datele de autentificare ESP (ESP
Authentication Data) . În modul tunel, întreaga datagramă originală IPv4 este înco njurată de aceste
componente ESP , față datele IPv4. Gradul de acoperire , de criptare și autentificarea, precum și
modul în care câmpul headerului următor (next header) “indică în spate” spe cifică identitatea
datagramei/datelor încriptate.
Figura 3.5 Encapsulating Security Payload modul tun el
AH și ESP împreună
Dacă este posibil să configurăm ambele protecții AH și ESP pentru un singur trafic
utilizator, atunci AH și ESP header -s sunt cuprinse ca în figura de mai jos.
Figura 3.6 Authentication Header /Encapsulating Security Payload
modu l transport si modul tunel
45
Protocolul IPSec Encapsulating Security Payload permite conținutului unei datagrame să fie
încriptat, pentru a se asigura că numai recipientul avut în vedere poate vedea datele. Este
implementat folosind trei componente: un ESP Header adăugat în fața unei datagrame protejate, un
ESP Trailer care urmează datele protejate, și un câmp opționalal ESP Authentication Data care
asigură servicii de autentificare similare cu cele oferite de headerul de autentificare Authentication
Header (AH).
III.4 Protocolul IKEv1
Protocolul IKE are trei obiective principale: să creeze , să negocieze și să administreze
Asocierile de Securitate (SA). SA face referire la un termen generic pentru un grup de valori care
definesc caracteristicile IPSec și pro tecțiile aplicate unei conexiuni; acestea pot fi create și manual,
folosind valori decise în avans de cele două părți, dar nu pot fi reînnoite. O asociere de securitate,
mai comun referită ca SA, este un bloc de bază pentru IPSec. Aceasta reprezintă o intr are în baza de
date SA (SABD), care conține informații despre securitatea negociată între două părți pentru IKE
sau IPSec. Sunt două tipuri de SA:
– IKE sau ISAKMP SA -sunt folosite pentru traficul de control, cum ar fi negocierea
algoritmilor pentru crip tarea traficului IKE și autentificarea utilizatorilor. Este o singură IKE SA
între participanți și de obicei are mai puțin trafic și o durată de viață mai mare decât IPSec SA.
– IPSec SA – sunt folosite pentru a negocia algoritmii de criptare pentru trafi cul IP,
bazându -se pe definirea regulilor de stabilire a traficului ce va fi protejat. Pentru că sunt
unidirecționale, cel puțin două sunt necesare (traficul de intrare și de ielire) .
O problemă pe care o ridica IKE este cea cu dispotitivele NAT, care modi fică transparent
pachetele d e ieșire. Prima problemă se referă la faptul că unele echipamente ar putea depinde de
negocierea IKE făcută de pachetele de intrare trimise de pe portul 500 UDP. Dacă se introduce un
proces NAT, portul pachetului final nu va fi, cu siguranță, cel așteptat deci negocierea nu va începe.
Alt eveniment neplăcut apare când IKE include adresele IP ca parte a procesului de autentificare,
care depinde de modul IKE folosit. Dacă autentificarea se bazează pe adresa IP, schimbările făcute
de NAT vor cauza eșuarea procesului IKE.
Principala f uncție a protocolului IKE constă în faptul că ambele tipuri de SA sunt stabilite
între participanții IPSec folos ind protocolul IKE. Acest protoc ol operează în două faze pentru a
stabili aceste asociații d e securitate:
Prima faza este schimbul în prima etapă, fază î n care se stabilesc chei le pentru sesiunea
respectivă și asigurarea autentifică rii reciproce a celor două capete IKE. Această fază creează o
ISAKMP SA (asociere de securitate pentru IKE) care oda tă ce a fost stabilită, toate comunicațiile
IKE dintre inițiator și cel care răspunde sunt protejate cu criptare și cu verificare a integrității prin
autentificare. Există o diferență între ISAKMP și IKE care trebuie precizată : ISAKMP definește
cum capetele IPSec comunică, cum realizează schimbul de mesaje și starea tranzițiilor prin care tr ec
pentru a stabili conexiunea, mai exact arată scopul autentificării și schimbului de informații pentru
interschimbul de che ie iar IKE definește cum se realizează schimb ul de chei .
Etapa unu (cunoscută și ca IKE SA) reprezintă momentul în care cele două capete IPSec
negociază cu succes un canal sigur prin care pot fi stabilite și transmise apoi SA -urile IPSec. Astfel,
se garantează criptarea bidirecțională și autentificar ea pentru alte schimburi IKE. Această fază poate
fi realizată în două moduri: principal și agresiv.
Modul principal tratează stabilirea unei IKE SA prin trei perechi de mesaje. În prima
pereche de mesaje, fiec are capăt recomandă parametrii folosiți de SA. Patru parametrii dintre
aceștia sunt obligatorii și alcătuiesc așa numita suită de protecție:
1. Algoritmul de criptare – specifică algoritmul c are criptează datele: DES, 3DES și AES.
2. Algoritmul de protecție a integrității – indică ce algoritmi de tip h ash s e pot folosi:
HMAC -MD5 sau HMAC -SHA -1.
3. Metoda de autentificare – sunt 3 posibilități de autentificare a utilizatorilor (chei
prestabilite, semnături digitale, criptare cu cheie publică)
4. DH Group – este folosit pentru generarea unui secret comun într-o manieră sigură,
46
astfel încât un observator a etapei 1 IKE să nu îl poată determina.
A doua pereche de mesaje execută un schimb de cheie prin DH, folosind parametrii
negociați la primul pas. Conținutul acestei perechi de mesaje variază în funcție de metoda de
autentificare. În cea de -a treia pereche de mesaje, fiecare capăt este autentificat (aici contează
metoda de autentificare folosită). În cazul cheilor prestabilite rezumatele de autentificare se schimbă
acum și în cazul celorlalte două posibilit ăți acest ea sunt folosite dacă au fost schimbate în timpul
perechii de mesaje anterioare.
Metoda cea mai rapidă a modului principal este oferită de modul agresiv. Se negociază
stabilirea IKE SA prin trei mesaje în locul celor trei perechi din modul princip al. Primele două
mesaje negociază parametrii IKE SA și realizează un schimb de cheie; al doilea și al treilea mesaj
autentifică utilizatorii.
În primul mesaj prim ul sistem trimite trei informatii: toți parametrii suitei de protecție,
porțiunea sa de schimb de cheie DH , este un număr folosit o singură dată (nonce) și identitat ea sa.
În al doilea mesaj, ceală lalt sistem trimite patru informaț ii: parametrii suitei sale de protecți e,
proțiunea sa de DH, un numărul folosit o singură dată (nonce), identitatea sa și informația utilă de
autentificare. Al treilea mes aj este utilizat pentru ca primul sistem să trimită propria sa informație de
autentificare.
În etapa a dou ă care furnizează negocierea și stabilirea asociațiilor de secu ritate IPSec
folosind ESP sau AH pe ntru protejarea traficului IP. Scopul celei de -a doua etape este stabilirea
asocierilor de securitate pentru o conexiune IPsec actuală (IPSec SA). O conexiune IPSec între două
sisteme necesită două IPSec SA, pentru că acestea sunt unidirecționale. Aceste p erechi sunt create
prin intermediul unui singur mod, modul rapid, care folosește trei mesaje pentru a stabili SA.
Comunicațiile din acest mod sunt criptate prin metoda spacificată în IKE SA -ul stabilit în faza 1
În primul mesaj, primul sistem trimite trei informatii: cheile, numerele unice și sugestiile de
parametri IPSec SA. Numerele unice se folosesc ca ș i măsură împotriva atacurilor de replicare.
În al doilea mesa j, ceală lalt sistem trimite cheile, numerele și selecțiile parametrilor IPSec
SA și în plus procedurile hash de autentificare. Al treilea mesaj e ste folosit doar pentru ca primul
sistem să trimită procedura hash pentru autentificare. După ce a l doilea sistem validează al treilea
mesaj, se poate spune că s -a stabilit o asociere de securitate IPSec , cele active fiind reținute într -o
bază de date (SADB).
IKE SA și IPSec SA au o limită de viață, care nu poate fi mărită după ce SA a fost creată.
Dacă o SA este aproape de sfârșitul duratei de viață, capetele ar trebui să creeze una nouă, printr -un
proce s de restabilire a cheii. Durata de viață a unei SA spune cât de des ar trebui fiecare SA să fie
restabilită, bazându -se fie pe un anumit timp scurs fie pe cantitatea de trafic din rețea.
In mod asemanator cu modelu TCP/IP, IPSec are o multitudine de compo nente implicate și
caracterizează un set complet de interacțiuni de -a lungul acestora. Structura protocolului asigură
avantajul modularizării: când are loc o schimbare a unei componente, celela lte nu se schimbă
implicit. Dezavantajul modularizării este că este greu de explicat fără scheme, pur și simplu pentru
că multe componente trebuie să lucreze împreună pentru ca protocolul să opereze.
Arhitectura IPSec presupune:
Nucleul (IPSec driver or core engine) – această componentă realizează criptarea, decript area,
verificarea semnăturii și autentificarea , de asemenea este responsabil pentru coordonarea efortului
altor componente IPSec pentru a asigura că poate îndeplini sarcinile.
Agentul de politică ( IPSec Policy Agent) – este funcț ia cognitivă a protocolului și
examinează setările IPSec ale sistemului specificând ce trafic ar trebui protejat; nu protejeajă
datele ci doar avertizeată că un anumit trafic ar trebui protejat.
ISAKMP – este negociatorul setărilor de securitate ale Internetului; atunci când două
sisteme vor să comunice, ISAKMP negociază grupul de setări folosite pentru criptare și
autentificare.
IKE (Internet Key Exchange) – pentru că IPSec -ul folosește chei secrete împărțite, trebuie să
fie un mecanism care să conecteze echipamentele și să se pun ă de acord asupra unei chei, acesta
depinde de setările furnizate de ISAKMP.
47
În momentul pornirii unui echipament se aplică politica de grup sau locală, dar se poate
aplica periodic în timp ce se activează în rețea. Orice politică IPSec este preluată de angentul de
politică IPSec. Atunci când există mai multe reguli stabilite, agentul monitorizează comuni cația cu
protocolul TCP/IP din toate aplicațiile, caută traficul care se potrivește acestora, adică acela care
trebuie protejat.
Agentul de politică îi va c omunica dispozitivului IPSec tipul de protecție de care este nevoie
în momentul î n care traficul de rețea (ce necesită protecție) este identificat. Apoi, urmâ nd ca
echipamentul IPS ec să determine dacă există o Asociere de Securitate (SA) care poate fi folosită
pentru a proteja traficul, dacă nici o Asociere de Securitate nu există, funcția IKE va fi contactată;
aceasta va folosi ISAKMP pentru a negocia autentificare a reciprocă și pentru a stabili cheia. Apoi,
IKE va furniza o Asociere de Securitate activă c ătre IPSec driver, care va proteja traficul. Astfel,
traficul protejat va fi returnat către protocolul TCP/IP pentru procesare.
Cea mai importanta caracteristica ref eritoare la IPSec este faptul că acestă este un standard
Internet acceptat și că în m omentu l actual un număr din ce î n ce mai mare de utilizatori și furnizori
de servicii cooperează pentru a furniza o gamă completă de soluții IPSec. Folosind capacitatea de
tunelare a IPSec, se pot implementa rețele virtuale private.
48
Capitolul IV
REALIZAREA PRACTICĂ A PROIECTULUI
IV.1 Prezentarea temei de proiect
Crearea unei rețele compusă din echipamente reale este foarte scumpă drept urmare pentru
acest proiect voi folosi un simulator al echipamentelor folosite, ce lu crează cu sisteme de operare
reale. Scopul urmărit este de a implementa și configura o rețea unde doresc să implementez
politicile de securitate pe echipamente Cisco și de a analiza performanțele acestei rețele .
Pentru a implementa politicile de securit ate am creat o r ețea pentru o companie privată
fictivă ce are echipamente instalate în diferite locații. Topologia rețelei include trei rețele virtuale
(Admin, Users și Server ), conectarea echipamente lor s-a realizat cu switch -uri și routere Cisco . Prin
implementarea politicilor de securitate doresc protejarea informațiilor împotriva atacurilor provenite
din exterior, minimizarea riscurilor cu care se confruntă rețeaua , asigurarea f uncționalității și
analizarea traficului din rețea în permanență.
Rețelele sunt vulnerabile la atacuri sau accesări neautorizate dacă nu sunt securizate
corespunzător. Implementarea protocoalelor sau operațiunilor de criptare a informației face ca
aceasta să nu poată fi accesată de oricine, accesul fiind permis numai în anumite c ondiții și
furnizând anumite informații : limitarea accesului în funcție de user și parolă, implementarea
rețelelor virtuale , etc.
Pentru crearea rețelei și implementarea politicilor de securitate pe echipamente, switch -uri și
routere, am utilizat programu l GNS3 (Graphical Network Simulator).
Topologia rețelei pentru compania fictivă va fi simulată și dezvoltată utilizând aplicația de
simulare grafică GNS3 (împreună cu aplicația Wireshark). Aplicația de simulare GNS3 oferă
posibilitatea de a modifica conf igurația unui echipament și observarea imediată a efectelor. Aceste
simulări sunt folosite pentru testarea unor echipamente sau modificări lor aduse acestora înainte de
implementarea reală a acestora, analizând fiabilitatea sau efectele defectări unuia.
Scopul proiectului meu este de a aplica politicile de securitate ale re țelelor de c alculatoare
pentru prevenirea atacurilor de recunoaștere , acces sau DoS și al accesărilor neautorizate,
implementarea unor ACL -uri pentru a interzice sau permite traficul . Con figurarea a două tunel e:
Tunel Gre și IPSec.
IV.2 Arhitectura Rețelei
Structura rețelei creată și configurată folosind : 5 routere Cisco, 3 switch -uri Cisco, 4 VSPC
și 2 servere pentru simularea echipamentelor ”End Devices”.
Tabelul 4.1 Distribuirea adr eselor IP în rețea
Echipament Interfață Adresă IP Subnet Mask Default Gateway
Router (R1) Gig 1/0.10 192.168.10.1 255.255.255.240/28 N/A
Gig 1/0.20 192.168.20.1 255.255.255.240/28 N/A
Gig 2/0 10.0.1.1 255.255.255.252/30 N/A
Tunel 172.155.16.1 255.25 5.255.252/30 N/A
Router (R2) Gig 1/0 10.0.1.2 255.255.255.252/30 N/A
Gig 2/0 10.0.2.1 255.255.255.252/30 N/A
Router (R3) Gig 0/2.30 192.168.30.1 255.255.255.240/28 N/A
Gig 0/0 10.0.2.2 255.255.255.252/30 N/A
Gig 0/1 10.0.3.1 255.255.255.252/30 N/A
Tunel 1 10.155.16.2 255.255.255.252/30 N/A
Tunel 2 10.155.20.2 255.255.255.252/30 N/A
Router (Internet) Gig 1/0 10.0.3.2 255.255.255.252/30 N/A
49
Echipament Interfață Adresă IP Subnet Mask Default Gateway
Gig 2/0 10.10.10.1 255.255.255.252/30 N/A
Router (R5) Gig 1/0 10.10.10.2 255.255.255.252/30 N/A
Fa 0/0 172.31.10.1 255.255.255.240/28 N/A
Tunel 2 10.155.20.1 255.255.255.252/30 N/A
PC 1 e0 192.168.10.2 255.255.255.240/28 192.168.10.1
PC 2 e0 192.168.20.2 255.255.255.240/28 192.168.20.1
PC 3 e0 192.168.2 0.3 255.255.255.240/28 192.168.2 0.1
PC 6 e0 172.31. 10.2 255.255.255.240/28 172.31.10.1
Server FTP e0 192.168.30.5 255.255.255.240/28 192.168.30.1
Server HTTP e0 192.168.30.10 255.255.255.240/28 192.168.30.1
Topologia rețelei configurată în GNS3.
Figura 4.1 Arhitectura rețelei
Configurarea Switch urilor
Pe SW1 au fost configurate trei rețele virtuale :VLAN 10 (Admin), VLAN 20 (Users) și
VLAN 99 (pentru interfețele nefolosite), pentru evitarea folosirii VLAN1 – managment. Pe port -urile
de tip acces ale SW1 a fost configurat Port Security (folosirea a maximum 3 adrese MAC pe port)
pentru atenuarea atacului de tip Buffer Over flow, am configurat PortFast (BPDU Guard,BPDU
Filter și Root Guard ), BPDU Guard pe porturile de acces pentru a preveni extinderea rețelei cu un
switch fals(dat orită unui atac al un host), Root Guard pentru a închide interfața dacă cineva forțează
transmitrerea de BPDU pentru a prelua rolul de r oot bridge și BPDU Filter această comandă previne
într-o stare de PortF ast operațional de trimitere sau primire BPDU.
Pe SW2 au fost configurate două rețele virtuale : VLAN 20 (Users) și VLAN 99 (pentru
interfețele nefolosite) și au fost implementate aceleași politici ca și pe SW1.
50
Pe SW3 au fost configurate două rețele virtuale: VLAN 3 0 (Servere ) și VLAN 99 (pentru
interfețele nefolosite) și au fo st implementate aceleași politici ca și pe SW1 și SW2.
Adresele de IP configurate pe echipamentele existente.
Configurarea Routerelor
Pentru a asigura partea de conexiunea între rețelele virtuale sau alte rețele am folosit routere.
Pentru conexiunea între rețelele virtuale ale routerelor R1 și R3 pe interfețele direct conectate cu
switch -urile am creat subinterfețe pentru fiecare VLAN unde am adăugat o adresă IP Gateway, iar
pentru a asigura conexiunea între router -ele R1, R2, R3, am folosit protocolul de routare OSPF.
Între routerele R1 și R3 am configurat tunel GRE , iar între R3 și R5 fiind conectate printr -o
rețea ”nesigură”, Internet, am configurat un tunel Gre over Ipsec.
Figura 4.2 Protocolul Telnet
Figura 4.3 Protocolul SSH
Datorită faptului că Telnet este un protocol necriptat, pachetele sunt trimise în clar inclusiv și
parolele de login (Figura 4.2), am dezactivat Telnet și am configurat SSHv2 pentru a avea o
conexiune criptată
51
Figura 4.4 Rutele configurate pe Router
Figura 4.5 Configu rare OSPF
Figura 4.6 Tunelului GRE
52
Figura 4.7 Configurare Transform -set
Figura 4.8 Configurare Crypto Map
Figura 4.9 Configurare IPSec SA
53
Figura 4.10 Politicile ISAKMP
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: I.1 Aspecte generale privind securitatea retelelor de calculatoare …. [630891] (ID: 630891)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.