Securizarea Datelor la Nivelul 2 Si 3 Osi a Unei Retele Bazate pe Echipamente Cisco
LUCRARE DE LICENȚĂ
Securizarea datelor la nivelul 2 și 3 OSI a unei rețele bazate pe echipamente CISCO
CUPRINS
Capitolul 1. Introducere
1.1. Prezentarea temei de proiect
1.2. Conturarea domeniului exact al temei
Capitolul 2. Fundamentarea teoretică
2.1 Retele virtuale private
2.1.1 Modul de funcționare
2.1.3 Tunelarea
2.1.4 Metode de transmisie prin VPN
2.2 Protocolul IPSec
2.2.1 Algoritmi criptografici
2.2.2. Protocoale de securitate: AH și ESP
2.2.3. Asocieri de securitate(SA)
2.2.4 Tehnici de management a cheilor și SA
2.3 Tehnologia Frame Relay
2.3.1 Avantajele folosirii Frame Relay
2.3.2 Circuitele virtuale comutate (SVC) Frame Relay
Capitolul 3. Device Hardening
3.1 Definirea vulnerabilitaților unei rețea
3.2 Studiul problemele cu care se confruntă o rețea
3.3 Tipuri de atacuri asupra rețelei
Capitolul 4. Realizarea practică
4.1 Descrierea rețelei și a soluției alese
4.2 Securizarea accesului pe routerele CISCO
4.3 Amplasarea și securizarea componentelor rețelei
4.4 Prezentarea rezultatelor obținute
Capitolul 5. Documetare si soluții aplicate
5.1. Prezentarea și utilizarea resurselor bibliografice
5.2. Prezentarea tehnologiilor utilizate in comparație cu unele realizări similare
Capitolul 6. Concluzii
6.1. Rezultatele proiectului
6.2 Dificultăți întâmpinate
6.3 Direcții de dezvoltare
Capitolul 7. Bibiliografie
1.Introducere
Prezentarea temei de proiect
Tema acestui proiect este securizarea datelor la nivelul 2 O.S.I.(Legături de date), respectiv nivelul 3 O.S.I(Rețea) întro rețea IP cu ajutorul emulatorului GNS3(Graphical Network Simulator) utilizând în interiorul acestuia sisteme de operare pentru echipamente CISCO.
Această aplicație poate fi folosită în practică și poate fi privită ca o lucrare educativă din studiul căreia să poată fi aprofundați pașii necesari unei astfel de abordări. Am optat pentru aceasta tema cu scopul de a mă perfecționa în domeniul rețelelor de calculatoare. Cunoștiințele dobândite în cadrul facultății în acest domeniu m-au determinat să tratez acest concept modern al rețelelor de calculatoare.
Conturarea domeniului exact al temei
Scopul urmărit este de a implementa o rețea configurându-i elementele astfel încât să-i fie înlăturate orice mijloace de risc analizând traficul, o rețea bazată pe tehnologia Frame Relay, securizând datele la nivelul 2 și 3 ale modelului de referință OSI .
GNS3 este un emulator, folosit pentru a simula funcționarea și configurarea routerelor CISCO. El poate fi rulat pe platforme precum Windows, Mac OS X sau Linux. Ideea de bază a programului este de a încărca IOS-urile în memoria RAM a calculatorului, transformându-l pe acesta într-un router (sau chiar o rețea de routere) veritabil.
Figura 1.3 GNS3-Privire generală (print screen)
“Modelul de referință OSI propune niște criterii generale pentru realizarea comunicației sistemelor de calcul pentru ca acestea să poată schimba informații, indiferent de particularitățile constructive ale sistemelor (fabricant, sistem de operare, țară, etc). Modelul de referință OSI are aplicații în toate domeniile comunicațiilor de date, nu doar în cazul rețelelor de calculatoare. Modelul OSI divizează problema complexă a comunicării între două sau mai multe sisteme în 7 straturi (engleză: layers) distincte, într-o arhitectură ierarhică. Fiecare strat are funcții bine determinate și comunică doar cu straturile adiacente. Aceste șapte niveluri formează o ierarhie plecînd de la nivelul superior 7 – aplicație (engleză: application) și până la ultimul din partea de jos a stivei, nivelul 1 – fizic (engleză: physical)” [HTTP01].
Fig 1.1 Modelul de referința OSI [HTTP01]
“Din punct de vedere istoric, modelul de referință TCP/IP a fost creat de Ministerul Apărării din SUA pentru a deveni rețeaua supremă – o rețea capabilă să supraviețuiască în orice condiții, chiar și într-un război nuclear. Era extrem de important să fie creată o rețea capabilă să opereze cu o infrastructură distrusă în proporție de peste 90%, fără să aibă vreo importanță starea fizică a unor anumite segmente ale rețelei. Internetul are această capacitate – două gazde pot comunica chiar dacă aproape toate serverele dintre ele nu au putut să le răspundă cererii; sunt disponibile căi redundante” [HTTP02].
Figura 1.2 Corespondența modelului TCP/IP cu modelul OSI [HTTP02]
Nivelul "Aplicație" – Include primele trei nivele aflate în vârful modelului OSI: Aplicație, Prezentare și Sesiune. Se ocupă cu procesarea logică ca reprezentarea, codarea, dialogul. La fel ca în modelul OSI nivelul pentru aplicații pregătește datele pentru nivelul următor.
Nivelul "Transport" – Este proiectat astfel încât să autorizeze dialogul între entitățile pereche din gazdele sursă și destinație, pentru aceasta fiind definite două protocoale capăt-la-capăt: TCP și UDP. Protocolul de control al transmisiei (TCP) permite ca un flux de octeți emis de o mașină să fie recepționat fără erori pe orice altă mașină din rețea. TCP fragmentează fluxul de octeți în mesaje discrete pe care le transmite nivelului internet. La destinație, procesul TCP receptor reasamblează mesajele pe care le-a primit, reconstituind datele inițiale. TCP realizează controlul fluxului de date pentru a evita situația unui transmițător rapid care inundă un receptor lent cu mai multe mesaje decât poate acesta să prelucreze. TCP este un protocol orientat pe conexiune. UDP ( User Datagram Protocol- protocolul datagramelor utilizator) este un protocol nesigur, fără conexiuni, destinat aplicațiilor care doresc să utilizeze propria secventiere și control al fluxului și nu mecanismele asigurate de TCP. Este un protocol folosit în aplicații pentru care comunicarea rapidă este mai importantă decât acuratețea transmisiei, așa cum sunt aplicațiile de transmitere a sunetului și imaginilor video.
Nivelul "Internet" – Acest nivel este axul pe care se centrează întreaga arhitectură, având rolul de a permite gazdelor să emită pachete în rețea și de a asigura transferul lor între sursă și destinație. Se definește un format de pachet și un protocol (IP), nivelul furnizând pachete IP la destinație, rezolvând problema dirijării pachetelor și evitând congestiile (lucrează asemănător cu nivelui rețea din modelul OSI).
Nivelul "Acces la Rețea" – La fel ca Nivelul de Legătură a Datelor și ca cel Fizic din modelul OSI se ocupă în principal cu toate aspectele legăturilor fizice.
Fiecare calculator, gazdă sau router, din Internet are un nume global, numit adresă IP, care codifică identitatea sa și identitatea rețelei căreia îi aparține. Această combinație de adrese trebuie să fie unică. Nu este permisă existența a două calculatoare cu aceeași adresă IP.
2. Fundamentare teoretică
2.1 Rețele virtuale private.
Trăim într-o lume în care eventualele pericole se raspandesc cu o viteză exponențială și sunt din ce în ce mai greu de stăpânit, iar aceste pericole au devenit o problemă foarte importantă mai ales pentru companiile IT delegate să protejeze datele de așa-numiții hoți cibernetici.
O Rețea Virtuală Privată (VPN – Virtual Private Network) are rolul de a conecta componentele și resursele unei rețele private folosindu-se de o rețea publică. În alte cuvinte, o rețea virtuală privată a unei companii este implementată având o infrastructură comună, utilizând aceleași politici de management, performanță și securitate aplicate în mod obișnuit într-o rețea privată. Tehnologia rețelelor virtuale private da voie unei companii să-și extindă prin Internet, în condiții de securitate maximă, serviciile rețelei la distanță oferite utilizatorilor, reprezentanțelor ori fimelor partenere. Avantajul evident este crearea unei legături de comunicare ieftină, rapidă și sigură.
O rețea VPN se poate realiza pe mai multe rețele de transport deja existente cu sunt: rețeaua furnizorului de servicii IP, Internetul public, rețele Frame Relay și ATM. În ziua de azi, un număr în creștere de VPN-uri care sunt bazate pe rețele IP.
Rețelele VPN sunt sigure deoarece fac o criptare foarte sigură pentru protejarea dateleor în timp ce traversează Internetul. Chiar dacă un hacker ar "trage cu urechea" la comunicație, nu ar putea înțelege datele transmise, fiindcă acestea sunt criptate.
Figura 3.1 Prezentare generală VPN IPSec [HTTP05]
2.1.1 Modul de funcționare.
Cu ajutorul VPN-ului utilizatorii pot comunica prin intermediul unui tunel prin Internet ori o altă rețea publică astfel încât participanții la tunel să se bucure de aceleași posibilități si securitate puse la dispoziție numai în rețelele private.
Pentru utilzarea Internetului la fel ca o rețea privată virtuală, de tip WAN (Wide Area Network), trebuie lăsate în urmă două obstacole însemnate. Primul este cauzat de diversitatea de protocoale prin intermediul cărora comunică rețelele, cum ar fi IPX sau NetBEUI, pe când Internetul înțelege doar traficul de tip IP. Astfel, VPN-urile trebuie să găsească un cale pentru transmiterea protocoalelor non-IP de la o rețea la alta. Atunci când un dispozitiv VPN primește o instrucțiune de a transmite a un pachet prin Internet, acesta negociază o schemă de criptare cu un dispozitiv VPN asemănător din rețeaua destinație.
Confidențialitatea informației firmei care circulă prin VPN este oferită prin intermediul criptării datelor. În trecut, rețelele private erau făcute utilizând linii de comunicație închiriate între sedii. Pentru extinderea acestui concept la Internet, unde prin aceeași conexiune trece traficul mai multor utilizatori, au fost propuse un numar de protocoale pentru crearea unor tuneluri. Tunelarea îi oferă posibilitatea expeditorului să încapsuleze datele în mai multe pachete IP care ascund infrastructura de comutare și rutare a Internetului cele două capete de comunicație. În același timp, pachetele care au fost încapsulate pot să fie protejate împotriva alterării sau citirii prin diverse tehnici de criptare.
Un VPN poate să aduca multe beneficii companiei cum ar fi: extinde aria geografică de conectivitate, crește productivitatea, sporește securitatea, reduce costurile operaționale, simplifică topologia rețelei, oferă avantajele lucrării într-o rețea globală, asigură suport pentru tendința afacerilor de a opera de la distanță, operații împarțite global și operații de parteneriat interdependente, în care lucrătorii au nevoie să se conecteze la resursele centrale, să comunice între ei, iar companiile trebuie să-și administreze în mod eficient stocurile pentru un ciclu de producție scurt.
În momentul de față există 3 tipuri principale de VPN-uri:
VPN-urile cu acces de la distanță (Remote Access VPN) care permit conectarea securizată a utilizatorilor dial-up la un site central printr-o rețea publică. Acestea se mai numesc și „dial” VPN-uri.
VPN-urile intranet (Intranet VPN) care permit extinderea rețelelor private prin Internet sau prin intermediul altui serviciu de rețeaua publică în mod securizat. Acestea mai sunt cunoscute și ca VPN-uri „site-to-site” ori „LAN-to-LAN”.
VPN-urile extranet (Extranet VPN) care oferă conexiuni securizate între diferiții partenerii de afaceri, clienți și furnizori, în general pentru realizarea comerțului electronic. VPN-urile extranet reprezintă o extensie a VPN-urilor intranet la care sunt adaugate firewall-uri pentru protecția rețelei interne.
Figura 3.4a Tipuri de rețele VPN [HTTP06]
Aceste rețele virtuale private au acopul de a oferi securitatea, performața și fiabilitatea mediilor WAN tradiționale, dar având costuri mai mici și conexiuni ISP (Internet Service Provider) mai flexibile. Tehnologia VPN se poate folosi și într-un intranet pentru asigurarea securității și controlului accesului la informații, resurse ori sisteme vitale. De pildă, se poate limita accesul unor utilizatori anume la sistemele financiare din cadrul firmei sau se pot trimite informații confidențiale în mod securizată.
Acces VPN la distanță(Remote Access VPN) – oferă conectarea individuală (utilizatori mobili) sau a anumitor birouri la sediul ea publică. Acestea se mai numesc și „dial” VPN-uri.
VPN-urile intranet (Intranet VPN) care permit extinderea rețelelor private prin Internet sau prin intermediul altui serviciu de rețeaua publică în mod securizat. Acestea mai sunt cunoscute și ca VPN-uri „site-to-site” ori „LAN-to-LAN”.
VPN-urile extranet (Extranet VPN) care oferă conexiuni securizate între diferiții partenerii de afaceri, clienți și furnizori, în general pentru realizarea comerțului electronic. VPN-urile extranet reprezintă o extensie a VPN-urilor intranet la care sunt adaugate firewall-uri pentru protecția rețelei interne.
Figura 3.4a Tipuri de rețele VPN [HTTP06]
Aceste rețele virtuale private au acopul de a oferi securitatea, performața și fiabilitatea mediilor WAN tradiționale, dar având costuri mai mici și conexiuni ISP (Internet Service Provider) mai flexibile. Tehnologia VPN se poate folosi și într-un intranet pentru asigurarea securității și controlului accesului la informații, resurse ori sisteme vitale. De pildă, se poate limita accesul unor utilizatori anume la sistemele financiare din cadrul firmei sau se pot trimite informații confidențiale în mod securizată.
Acces VPN la distanță(Remote Access VPN) – oferă conectarea individuală (utilizatori mobili) sau a anumitor birouri la sediul central al unei companii, aceasta făcându-se în cele mai sigure condiții.
2.1.5 Tunelarea
Implementarea VPN-ului înseamnă crearea unui tunel printr-o rețea publică prin al cărui intermediu să se transfere datele. Datele care trebuie transferate (încărcătura – payload) pot să fie cadrele (sau pachetele) altui protocol. În loc să transmită cadrul în forma în care a fost produs de nodul sursă, protocolul de tunelare încapsulează cadrul într-un antet adițional. Acesta conține informații de rutare astfel încât încărcătura încapsulată poate să traverseze inter-rețeaua intermediară. Pachetele încapsulate sunt rutate apoi între capetele tunelului prin inter-rețea.
Traseul logic pe care pachetele încapsulate îl urmează în inter-rețea se numește tunel. După ce cadrele încapsulate ajung la destinație prin interrețea, cadrul este decapsulat și transmis la destinația sa finală. Tunelarea include întregul proces: încapsulare, transmitere și decapsulare a pachetelor. Pentru a realiza un tunel, clientul și serverul de tunel trebuie să folosească același protocol de tunelare.
În esență, tunelarea reprezintă procesul prin care se introduce întreg pachetul IP în interiorul unui alt pachet, cu antete diferite, acesta fiind trimis ulterior prin rețea. Protocolul pachetului rezultat după tunelare este recunocut de către rețea și de către ambele noduri sursă și destinație, la nivelul interfețelor de tunelare, prin care pachetele intră și ies din rețea.
“Tunelarea necesită trei protocoale diferite:
protocolul de transport (uzual IP), protocolul utilizat de către rețeaua prin care se transferă informația (rețeaua publică de Internet sau orice rețea privată);
protocolul de încapsulare care împachetează și criptează datele originale cu un antet distinct (GRE, IPSec, L2F, PPTP, L2TP);
protocolul pasager din rețeaua sursă care transmite date în pachetul trimis prin tunel (IPX, NetBeui, IP etc.)” [HTTP06].
2.1.6 Metode de transmisie prin VPN
Pentru asigurarea confidențialității datelor într-o transmisie pe canale de comunicații care sunt nesigure, cum este Internetul, se pot folosi diverse tehnici criptografice. Modul de transmitere folosit în cazul unei soluții VPN va determina ce părți ale unui anumit mesaj sunt criptate. Unele soluții criptează tot mesajul (antetul IP și datele din mesaj), iar altele criptează doar datele. Cele patru metode de transmisie din cadrul soluțiilor VPN sunt:
In Place Transmission Mode (modul de transmisie „in-place”) – reprezintă în mod obișnuit o soluție specifică pentru un anumit producător, prin intermediul căruia numai datele sunt criptate. Dimensiunea pachetelor ramâne neschimbată, prin urmare mecanismele de transport rămân neafectate.
Transport Mode (modul transport) – numai segmentul de date este criptat, fapt care determină creșterea mărimii pachetului. Acest tip oferă o confidențialitate corespunzătoare a datelor pentru rețele VPN de tip nod-la-nod.
Encrypted Tunnel Mode (modul tunel criptat) – informația prezentă în antetul IP și datele sunt criptate, anexându-se o adresă IP nouă, care este mapată pe punctele terminale ale VPN. Se garantează o confidențialitate a datelor la nivel global.
Non – encrypted Tunnel Mode (modul tunel necriptat) – niciuna din componente nu sunt criptate, toate datele fiind transportate în text clar. Nu se asigura confidențialitatea datelor.
Deși poate să pară ciudat, există și soluții VPN care nu utilizează nici fel de criptare. În schimb, pentru oferirea unei confidențialitate a datelor, aceste sluții se bazează pe tehnici de încapsulare a datelor, cum sunt protocoalele de tunelare sau forwarding. O parte din protocoalele de tunelare și forwarding nu utilizează un sistem criptografic pentru asigurarea confidențialității datelor. Acest lucru înseamnă că toate datele sunt transmise în clar, astfel punând sub semnul întrebării cum va putea o astfel de soluție să asigure o protecție contra interceptării datelor – cerință crucială în cazul rețelelor VPN.
Din nefericire, terminologia folosită în industria de profil poate contribui la apariția unor astfel de confuzii. Pentru lămurirea acestor confuzii, trebuie ca utilizatorul să identifice modul de transmisie folosit. La fel ca în cazul autentificării utilizatorilor și a datelor, modurile de transmisie trebuie analizate dacă sunt sau nu criptate. Dacă o soluție VPN nu oferă nici o formă de criptare în vederea confidențialității datelor, atunci această soluție poate să fie denumită într-un mod mai corect Virtual Network (VN – rețea virtuală), avînd ăn vedere că nimic nu este privat în această rețea Internet, între sursă și destinație.
2.2 Protocolul IPSec
IPSec (Internet Protocol Security), sau protocolul de securitate IP, este un cadru de standarde deschise pentru garantarea comunicațiilor private securizate pe Internet. IPSec oferă confidențialitatea, integritatea și autenticitatea comunicațiilor de date printr-o rețea publicã, fiind o componentã tehnicã cheie utilizată pentru o soluție de securitate totalã. Acest protocol poate să rezolve amenințãrile de securitate din infrastructura de rețea, fãrã să ceară modificãri costisitoare ale gazdei și aplicațiilor. IPSec oferã criptare și autentificare la nivelul de rețea IP. Pentru că pachetele criptate aratã ca pachete IP obișnuite, ele pot fi redirecționate în mod ușor cãtre o rețea IP, ca Internetul, exact ca pachetele IP obișnuite. Unicele dispozitive care cunosc criptarea sunt punctele finale. IPSec folosește diferite tehnologii existente, cum sunt criptarea DES și certificatele digitale.
IPSec are două feluri de criptare: tunel și transport. Tunelul criptează numai antetul, pe când transportul criptează și datele. IPSec poate să cripteze date între diverse echipamente: PC-ruter, PC-server, ruter-ruter, firewall-ruter.
IPsec cuprinde următoarele elemente:
algoritmi criptografici;
protocoale de securitate;
asocieri de securitate;
tehnici de management a cheilor și SA
2.2.1 Algoritmi criptografici
Algoritmii criptografici folosiți de către IPsec pentru a autentifica și a cripta pachetele utilizator sunt:
a)Algoritmi de autentificare;
b)Algoritmi de criptare;
c)Algoritmi criptografici cu chei publice.
a)Algoritmi de autentificare
Pentru prevenirea modificării unui mesaj, se folosește o tehnică specifică, denumită tehnică hash (sau a rezumatului), aceasta permițând construirea unui cod de identificare a datelor transmise, numit "rezumatul datelor". Într-un IPsec, un număr de algoritmi hash asigură integritatea fără conexiuni și autentificarea originii datelor. Un algoritm hash este un tip de algoritm criptografic care ia un mesaj cu o lungime arbitrară la intrare și produce o lungime fixă la ieșire, valoare care este caracteristică numai mesajului de intrare.
Valoarea de transformare este mod frecvent criptată ulterior prin folosirea aceleiași chei secrete ca si pentru criptarea datelor transmise. Astfel, se crează o "semnătură digitală" a datelor, care nu mai pot fi schimbate fără ca acest lucru să fie depistat.
Exemple de algoritmi hash sunt Digest 5 (MD5) și Secure Hash Algorithm (SHA-1). MD5 produce un hash pe 128-biți, iar SHA-1 produce un hash pe 160-biți.
b)Algoritmi de criptare
Criptarea reprezintă un proces în care datele sunt redate de neînțeles pentru o persoană căreia nu-i este permis să vadă datele. Informațiile cu formă necriptată sunt cunoscute sub denumirea de text simplu(plaintext) sau text curat(cleartext). Informațiile care au formă criptată sunt cunoscute ca și text cifrat(ciphertext). Procesul de criptare schimbă un text simplu într-unul cifrat, iar procesul invers reprezintă procesul de decriptare.
IPsec utilizează algoritmi de criptare simetrici pentru a cripta datele. Algoritmii simetrici sunt caracterizați prin faptul că utilizează aceeași cheie atât în procesul de criptare, cât si în acela de decriptare. Pentru aplicarea lor este obligatoriu ca înaintea codificării/ decodificării, atât emițătorul cât și receptorul să aibă deja cheia respectivă. În mod evident, cheia care caracterizează acești algoritmi este necesar să fie secretă. Algoritmi de criptare simetrici sunt: Data Encryption Standard (DES) și Advanced Encryption Standard (AES).
DES cripteză și decriptează blocuri de text simplu și text cifrat pe 64 de biți în același timp și utilizează o cheie pe 64 biți. 8 biți ai cheii sunt utilizați pentru paritate, deci lungimea efectivă a cheii este de 56 biți.
Triple DES (3DES) reprezinta o derivație a algoritmului DES care folosește diferite chei pentru criptare și apoi pentru decriptare, iar în final criptează fiecare bloc de text simplu. 3DES are o lungime efectivă a cheii de 168 biți (3 * 56 biți).
AES criptează și decriptează blocuri de text simplu și text cifrat pe 128 biți și poate folosi chei de lungime de 128 biți, 192 biți sau 256 biți.
c) Algoritm criptografic cu chei publice
Algoritmii criptografici cu cheie publică au ca și caracteristică faptul că criptarea și decriptarea utilizează chei diferite. Această caracteristică a dus la numirea algoritmilor cu cheie publică și algoritmi asimetrici. În cazul acesta, una dintre chei poate să fie publică (general cunoscută – poate fi distribuită oricui) iar cealaltă trebuie să fie privată / secretă (cunoscută doar de cel care o folosește). Oricare dintre aceste chei poate să cripteze mesajul, dar un mesaj criptat cu o anumită cheie poate fi decriptat doar cu cheia sa pereche.
“Timpul de decriptare depinde în mod natural și de puterea procesoarelor utilizate în acest scop, astfel încât utilizarea distribuită a unui foarte mare număr de procesoare poate duce la o micșorare considerabilă a timpului necesar. Din acest motiv, pentru transmisii de date în care este necesară o confidențialitate strică se utilizează chei de dimensiuni mult mai mari, chiar pentru algoritmul DES (de 256, 512, 1024 si chiar 2048 sau 4096 de biți), știut fiind că timpul necesar decriptării creste exponențial cu dimensiunea cheii de criptare / decriptare ”[PAT01].
2.2.2. Protocoale de securitate: AH și ESP
IPsec utilizează 2 protocoale de securitate, Authentication Header (AH) și Encapsulating Security Payload (ESP).
a)Authentication Header (AH) – este un pachet header care asigură următoarele servicii de securitate:
Integritatea fără conexiuni
Autentificarea originii datelor
Protecție opțională de replay
AH reprezinta protocolul 51 IP. Acesta poate opera în 2 moduri: transport si tunel. În modul transport, un AH header este inserat între headerul original și headerul următorului protocol (ca de exemplu TCP, UDP, sau ICMP) pentru ca pachetul utilizator să fie protejat. Figura următoare prezintă modul transport AH.
Figura 3.1.2.1 AH modul transport [HTTP06]
În modul transport AH, întregul pachet este autentificat excepție facând câmpurile care se pot modifica în timpul tranzitării între host-urile permise sau porțile de securitate. Câmpurile variabile cuprind: Time-To-Live (TTL), Type of Service (ToS) și Header Checksum. În modul transport AH este utilizat pentru a proteja pachetele utilizator care tranzitează o rețea între hosturi sau deviceuri. Acest lucru este posibil pentru că porțile de securitate folosesc modul de transport AH pentru a proteja protocoalele tunel ca și GRE și Layer Two Tunneling Protocol (L2TP).
În modul tunel, AH header împreună cu un nou IP header sunt folosite să protejeze pachetele utilizator.
Figura 3.1.2.2 AH Modul tunel [HTTP06]
În modul tunel întregul pachet este autentificat cu exceptia câmpurilor mutate în noul IP header. Modul tunel se poate folosi pentru a proteja pachetele utilizator care tranzitează rețeaua între hosturi, dar și între porțile de securitate(security gateways).
b) Encapsulating Security Paaylod (ESP)
ESP reprezintă un pachet header ce asigură următoarele:
Integritatea fără conexiune
Autentificarea originii datelor
Protecție opțională replay
Confindențialitatea datelor
Confindențialitatea limitată a traficului(disponibilă doar în modul tunel)
Se poate observa că ESP asigură aceleași servicii de securitate ca AH, dar și confindențialitatea limitată a traficului și datelor. Din această cauză, AH este utilizat mai rar. ESP este protocolul 50 IP. De asemenea, ESP poate să opereze în două moduri: transport si tunel.
Figura 3.1.2.3. ESP modul transport [HTTP06]
Se poate observa că dacă autentificarea ESP este configurată, câmpul ESP header inițial (inclusiv SPI și câmpurile Sequence Number), TCP/UDP/Other Header, Payload, și câmpurile ESP Trailer sunt toate autentificate. Câmpul header original nu este autentificat ca și în cazul folosirii AH. Dacă criptarea ESP este configurată, atunci câmpurile TCP/UDP/Other Header, Payload, și ESP sunt toate criptate. Modul transport este utilizat de obicei ca să protejeze traficul între host-uri și alte devices.
În modul tunel ESP, un nou header IP și header ESP sunt utilizate de pachetele utilizator iar un ESP trailer și (dacă autentificarea ESP este configurată) un ESP ICV sunt atașate la pachetul utilizator. Dacă autentificarea ESP este configurată, câmpul header ESP, intrarea pachetului utilizator și ESP trailer sunt autentificate. Dacă criptarea ESP este configurată, câmpul ESP header, intrarea pachetului utilizator și ESP trailer sunt criptate.
Figura 3.1.2.4 ESP modul tunel [HTTP06]
AH și ESP împreună
Dacă este posibil configurarea ambelor protecții AH și ESP pentru un singur trafic utilizator, atunci AH și ESP headers sunt cuprinse ca în figura de mai jos.
Figura 3.1.2.5 AH/ESP modul transport si modul tunel[HTTP06]
2.2.3. Asocieri de securitate(SA)
Un IPsec SA este unidirecțională în mod natural și definește cum traficul este protejat prin IPsec. Un IPsec SA este definit de un SPI și include informații ca și protocolul de securitate, modul protocolului de securitate, algoritmii criptografici și timpul de funcționare a SA.
Un trafic particular poate să fie protejat de unul sau mai multe SA. De exemplu, daca AH este specificat pentru autentificare iar ESP este specificat pentru criptare, protecția traficului va implica două SA. Deoarece IPsec SA este unidirecțională un minim de două IPsec SA sunt cerute să protejeze traficul utilizator în ambele direcții între perechile de porți IPsec VPN.
2.2.4 Tehnici de management a cheilor și SA
Pentru a implementa o solutie VPN cu criptare, este necesar să se modifice periodic cheile de criptare. Imposibilitatea de a schimbă aceste chei face ca rețeaua sa fie sensibilă la atacuri de tip brute-force. IPsec rezolva problema aceasta cu ajutorul protocolului IKE, care utilizează două alte protocoale pentru a autentifica un nod de retea și pentru generarea de chei. Protocolul IKE foloseste algoritmul Diffie Hellman pentru a genera chei simetrice și pentru a fi utilizate de două noduri VPN IPsec. IKE gestionează, de asemenea, negocierea altor parametrii de securitate, cum ar fi datele care urmează să fie protejate, puterea cheii, metodele utilizate in algoritmul hash, și dacă pachetele sunt protejate la reluarea. IKE utilizează portul UDP 500.
IPsec permite două metode pentru managementul cheilor și al IPsec SA:
Manual SA and key management – o metodă de intreținere a cheilor și a IPsec SA este configurarea manuală. Configurarea manuală a IPsec SA este asemănătoare cu configurarea routerului și de asemenea nu este scalabilă.
Automated SA and key management prin protocolul IKE – protocolul IKE permite IPsec să se autentifice dinamic reciproc.
2.3 Tehnologia Frame Relay
Concomitent cu progresul în domeniul comunicațiilor de date nu mai există cerințe imperioase de robustețe. Din acest motiv a fost nevoie de o tehnologie nouă care să poată beneficia de noutățile care au apărut în comunicații (de exemplu folosirea conexiunilor prin fibre optice) și creșterea vitezei de procesare.
Frame Relay este asemănătoare cu X.25 dar aceasta lucrează doar la primele două niveluri ale stivei de protocoale OSI. În acest mod este eliminată corecția erorilor de la nivelul 3. Frame Relay are ca preocupare secvențialitatea, reprezentând o versiune mai "fluidă", care profită de avantajele progreselor care au avut loc la nivelul infrastructurii. La fel ca și X.25, aceasta utilizează cadre de lungime variabilă, executând foarte puțină procesare. Pachetele de date sunt transmise urmatorului nod cu o foarte mică întârziere, lucru care este în beneficiul aplicațiilor (voce, video etc.) care depind de aceste întârzieri. Viteza cu care sunt transmise datele este mult mai mare (până la 45 Mbps deocamdata).
“Tehnologia Frame Relay folosește avantajele statistice ale comutării pachetelor folosind mai eficient lățimea de bandă prin multiplexarea pachetelor individuale în rețeaua WAN. Cadrele de lungime variabilă sunt ideale pentru transmiterea datelor în rețea si formarea fluxurilor de trafic; ruterele Frame Relay pot prelua un cadru Frame Relay pentru a-l transmite mai departe de-a lungul unui circuit virtual” [ASC99].
2.3.1 Avantajele folosirii Frame Relay
Beneficiile oferite de această tehnologie sunt mai multe, dar trei dintre ele au o importanță mai mare: costuri mai mici de operare și întreținere a rețelei – costurile reduse reprezintă un avantaj pentru beneficiari și pentru furnizorii de servicii; flexibilitatea și eficiența cu care este utilizată lățimea de bandă în tehnologia Frame Relay.
O trăsătură importantă pe care o are tehnologia Frame Relay este că are posibilitatea de multiplexare. Multiplexarea înseamnă doua lucruri: pe de o parte ruterul poate să identifice diferite protocoale care sunt apoi încorporate într-un singur circuit DLCI sau PVC, folosind modalitatea de identificare a protocoalelor NLPI (Network Layer Protocol Identification – Identificarea protocolului nivelului rețea); iar pe alta parte pot să fie mai multe grupuri de utilizatori atașați la nodul rețelei utilizând aceeași rețea fizică, dar cu propriile rețele virtuale separate.
“Frame Relay se bazează pe multiplexarea statistică, oferind posibilitatea traficului în rafale, pentru utilizarea mai bună a lățimii de bandă disponibile. Supra-abonarea presupune posibilitatea ca unui singur port (în acest caz de 256 Kbps) să-i fie atribuite mai multe circuite virtuale permanente (circuite PVC) și, ca urmare, o rata de informație transmisibilă (CIR – Comitted Information Rate) mai mare decât viteza totală stabilită a portului. De asemenea, supra-abonarea permite folosirea în comun a capacității portului de către mai multe conexiuni de rețea individuale. Multiplexarea statistică si alocarea dinamică a lățimii de bandă permit aceste lucruri. Deoarece media de utilizare a conexiunii este de 30%, furnizorii de servicii pot construi rețeaua pe baza acestui traffic mediu si nu luând în considerare momente de vârf ale traficului” [ASC99].
2.3.2 Circuitele virtuale comutate (SVC) Frame Relay
Circuitele virtuale comutate ale tehnologiei Frame Relay sunt echivalentul circuitelor virtuale comutate din tehnologiei X.25 pentru utilizatorii Frame Relay. Apelurile pot să fie stabilite în momentul în care este necesar transferul datelo. Parametri ca CIR pot să fie ceruți în momentul apelului set-up permițând implementarea serviciilor oferire de lățimimea de bandă la cerere. Circuitele SVC reduc greutatea administrării unui număr mare de circuite PVC, având în vedere că aceste circuite pot să fie stabilite direct între rutere fără să fie nevoie de predefinirea acestora în rețeaua Frame Relay.
“O altă aplicație deosebit de folositoare a tehnologiei Frame Relay este difuzarea multiplă . Pe scurt, aceasta oferă posibilitatea trimiterii anumitor informații în rețea mai multor utilizatori. Atunci când datele ce trebuie trimise au un volum mare sau numărul de utilizatori este mare, acest lucru este dificil de realizat. Frame Relay rezolvă această problemă prin facilitatea de multicasting (difuzare multiplă) care presupune că pachetul de date este trimis în rețea o singură dată, ca apoi acesta să fie transmis tuturor utilizatorilor la care trebuie să ajungă. Există multe domenii applicative ce necesită acest lucru, de exemplu trimiterea de către o firma clienților aceleași pachete de date, actualizarea prețurilor la toate punctele de vânzare ale unei companii, actualizarea informațiilor bancare de la sediul central către sucursalele unei bănci, etc.” [ASC99].
Capitolul 3. Device hardening
3.1 Definirea vulnerabilitaților unei rețea
În mai puțin de o generație, introducerea calculatoarelor, virtual, în fiecare dimensiune a societății a schimbat semnificativ felul în care oamenii și organizațiile obțin sau diseminează informații sau desfășoară afaceri, permițând o eficiență mai mare, un control operațional sporit și un acces rapid la informații.
Alături de multele beneficii, însă, calculatoarele și interconectarea acestora aduc și aspecte negative, cum este apariția unor noi tipuri de infracțiuni (distribuirea de viruși informatici, de exemplu), dar și posibilitatea de comitere a unor infracțiuni tradiționale prin intermediul tehnologiilor nou apărute (cum sunt frauda ori falsul, spre exemplu).
Proliferarea calculatoarelor, din ce în ce mai puternice și disponibilitatea acestora la prețuri din ce în ce mai mici, dar și dramatica expansiune a interconectivității, au dat potențialilor atacatori șansa să realizeze atacuri rapide și fără constrângeri geografice, deseori cu consecințe grave pentru victime și cu probabilitate scazută de detectare sau incriminare.
O reprezentare schematică sugestivă a conceptelor privind securitatea sistemelor de informații computerizate și relațiile dintre acestea este propusă în standardul Common Criteria for Information Technology Security Evaluation (adaptată și prezentată în Figura 3.3.1):
Figura 4.3.1 Conceptele privind securitatea sistemelor de informații si relațiile dintre acestea
3.2 Studiul problemelor cu care se confruntă o rețea
Problemele de securitate din orice rețea de calculatoare derivă dintr-o contradicție fundamentală a Internetului și anume caracterul public dorit de utilizatori pentru orice resursă informațională și nevoia de securizare a informațiilor și a rețelei în sine față de atacurile persoanelor rău-intenționate care urmăresc compromiterea, preluarea, modificarea sau distrugerea informațiilor ori întreruperea funcționării rețelei.
În multe feluri, hackeri și dezvoltătorii de software gândesc foarte mult la fel. Amândoi urmează o metodologie specifică și își documentează cu atenție activitatea lor. Cu toate acestea, obiectivele unui hacker sunt destul de diferite de cele ale unui dezvoltător de software. Cunoscând metodologiile pe care hackerii le utilizarea ajută la dezvoltarea unei politică de securitate eficientă.
Indiferent de speciful atacului pe care un hacker îl folosește, atacul poate fi descris de următoare șapte etape:
Construirea unei amprenta digitala a organizației asupra căreia se va lansa atacul;
Colectarea de informații;
Manipularea utilizatorilor pentru a obține acces;
Escaladarea privilegiilor;
Obținerea de parole adiționale;
Instalarea de programe back-door si redirecționarea porturilor;
Folosirea avantajelor obținute prin compromiterea sistemelor.
Pentru a pătrunde într-un sistem cu succes, hackerii doresc să știe cât de mult se poate despre sistem. Aceștia construiesc o amprentă digitală despre o organizația pe care vor să o atace. Amprenta reprezintă un profil complet despre securitate companiei.
Colectarea de informatii.
Analiza amprentei digitale generează o hartă a rețelei țintă. Colectarea de informații este scopul urmărit al realizarii amprentei digitale precum și obținerea de informații specifice despre rețea.
In acest context hackerii sunt interesați in legatura cu urmatoarele informații:
aplicatii ale serverelor și versiunile acestora: Hackerii află versiunile serverelor de web,FTP si mail analizand traficul generat de porturile TCP si UDP și trimițănd date aleatoare spre aceste servere;
Exploatarea porturilor sensibile TCP: Hackerii selectează porturile TCP in funcție de informațiile continute de porturile sensibile atacurilor. De exemplu SMB(Server Message Block) utilizat pentru găzduirea de fișiere folosește portul TCP 445. Dacă un hacker reusește să contacteze un utilizator pe acest port, acesta v-a incerca sa obțina diferite informații despre numele de utilizator, ultima data de logare sau datele cand au fost schimbate ultimele parole.
Manipularea utilizatorilor pentru a obține acces
Există nenumărate cazuri in care angajații fiind nesuspiciosi furnizeazează informații către persoane neautorizate, pur și simplu pentru că solicitanții par inocenți sau par a fi într-o poziție autoritara. Hackerii găsesc nume și numere de telefon pe site-uri sau în înregistrările companiilor. Aceștia apoi contacteaza persoanele in cauză cerandu-le diferite informatii despre parolele personale. Există două metode comune pentru a obține acele parole: prin inginerie socială sau prin atacuri de spargere a parolelor.
Escaladarea privilegiilor
După ce au obținut o parolă pentru un cont de utilizator și privilegiile acestuia, hackerii încearcă să escaladeze privilegiile lor. Primul lucru pe care îl fac este de a revizui toate informațiile despre gazdă pe care le-au colectat, de exemplu, fișierele care conțin numele de utilizator și parolele precum și regiștrii care conțin parolele utilizatorilor. (Orice documentație disponibilă, inclusiv e-mail-uri și alte documente, pot fi, de asemenea, de ajutor.)
Dacă acesta etapă nu reușește, hacker poate lansa un atac de tip cal troian. Acest tip de atac, de obicei, înseamnă copierea de cod malițios în sistemul utilizatorului și dându-i același nume ca și o bucată de software utilizate frecvent.
Obținerea de parole adiționale
După ce hackerul obține privilegii de administrator de rețea, următoarea sarcină este de a aduna mai multe parole și alte date sensibile. Obiectivele includ acum lucruri cum ar fi baza de date cu conturile de management, asupra căreia hackerii folosesc instrumente legitime cum ar fi aplicațiile pwdump și lsadump. Prin obținerea de nume de utilizatori noi și parole hackerul este în măsură să obțină acces administrativ la toate computerele din rețea.
Instalarea de programe back-door și redirecționarea porturilor
Utilizatori legitimi intră în sisteme prin ușa ‘din fața’ respectând normele atribuite nivelul de privilegii ale acestora. Hackerii de obicei pătrund pe ușa ‘din spate’ pentru a evita orice obstacole în încercarea lor de a controla rețea. Hackerii folosesc, de asemenea redirecționarea de porturi pentru a ocoli mecanismele de securitate care sunt instalate.
Programele de tipul back-door. Acestea le oferă hackerilor un mod de a pătrunde în sistem în cazul în care sunt detectați încercând să între printr-un mod legitim. Cea mai utilizată metodă backdoor o reprezintă un port care oferă acces de la distanță la sistem pentru utilizatorii (hackeri) care nu au.
Folosirea avantajelor obținute prin compromiterea sistemelor
După ce hackerul obține acces administrativ, o să încerce să compromită și alte sisteme din rețea. Cu fiecare nou sistem compromis, atacatorul efectuează măsurile descrise anterior să adune parola si informații suplimentare din sistem. Hackerii vor încerca să scaneze și să exploateze un sistem unic sau un întreg set de rețele. Întregul proces poate fi automatizat. Este dificil să se identifice acest tip de activitate, deoarece atacatorul operează de obicei sub masca unui cont de administrator valabil. Dacă nu este prins atacatorul înainte de a obtine privilegii de administratori, acesta poate fi aproape imposibil să fie inlaturat din rețea.
3.3 Tipuri de atacuri asupra rețelei
Informațiile confidențiale pot fi întâlnite în două stări pe o rețea.. Se pot găsi pe dispozitive fizice de stocare, precum hardisk și memorie, sau se pot găsi în trecere de-a-lungul cablului sub formă de pachete. Aceste două informații constituie oportunități multiple pentru atacuri din partea utilizatorilor aflați în rețeaua internă, precum și a utilizatorilor din internet.
Următoarele sunt șase metode comune de atac care oferă posibilități de compromitere a informației din interiorul rețelei:
Network packet sniffers;
IP spoofing;
Password attacks;
Distribuirea de informație internă sensibilă către surse externe;
Man-in-the-middle attacks;
Virusi, viermi și cai troieni.
Protejând informațiile împotriva acestor atacuri, scopul este de a preveni furtul, distrugerea, coruperea, și întroducerea de informație care poate cauză pagube ireparabile datelor confidențiale.
Network Packet Sniffers
Deoarece computerele legate în rețea comunică serial (informațiile sunt transmise una după alta), informațiile care au dimensiuni mari sunt sparte în bucăți mai mici de informație.
Câteva dintre aplicațiile de rețea distribuie pachetele de rețea în mod liber – informațiile trimise pe rețea sunt necriptate. Pentru că pachetele de rețea nu sunt criptate, ele pot fi procesate și înțelese de către orice aplicație care poate să le intercepteze de pe rețea.
IP Spoofing and Denial-of-Service Attacks
Un atac de tip spoofing pe IP apare când un atacator din afară rețelei se dă drept un utilizator de încredere. Acest lucru este realizat folosind o adresă IP din domeniul rețelei respective, sau utilizând o adresă IP externă autorizată, și căreia i se dă acces la resursele de pe rețea. Un astfel de atac de tipul IP spoofing poate să dea acces la conturi de utilizator și parole. În cadrul unei companii un atacator ar putea trimite mail-uri partenerilor de afaceri care ar parea că sunt trimise din cadrul companiei. Normal, un IP spoofing attack e limitat la injectare de date sau comenzi într-un stream exitent de date care se transmit într-o aplicație de tip client-server sau peer to peer.
Password Attacks
Atacurile asupra parolelor se pot implementa utilizând câteva metode diferite, incluzând atacuri cu „Forță brută” , programe de tipul „Troieni”, IP Spoofing și Sniffere de pachete. Altfel decât IP Spoofing și Sniffere de pachete, atacurile care se fac asupra parolelor se referă la încercări repetate de a afla un cont de utilizator ori parola acestuia, aceste atacuri făcute în mod repetitiv poartă numele de atacuri cu „Forță bruta”.
Adesea, un atac Forță Brută este executat utilizând un dicționar ce rulează într-o rețea și încercă conectări la resurse, precum un server. Când un atacator obține accesul la o resursă, acesta dobândește aceleași drepturi ca și utilizatorul al cărui cont a fost compromis. Atacatorul poate să creeze o cale de acces pentru accese ulterioare în cazul în care contul are destule privilegii.
Man-in-the-Middle Attacks
Un atac man-in-the-middle necesită ca atacatorul să aibă acces la pachetele de pe rețea. Un exemplu de genul acesta ar putea fi o persoană care lucrează pentru un provider de internet. Acesta poate avea acces în totalitate la pachetele transferate de pe rețeaua locală spre alte rețele. Astfel de atacuri se implementează utilizând sniffere de pachete și protocoale de transport. Țelul unor atacuri de acest fel este furtul de informație, analizarea traficului pentru a obține informații despre rețea și utilizatorii acesteia, restricționarea serviciilor, coruperea datelor sau ditrugerea acestora.
Viruși, cai troieni și viermi
Virușii sunt programe software rău-intenționat care se atașează de alte programe și să execute o anumită funcție nedorite pe o stație de lucru a utilizatorului. Un virus se propagă prin infectarea altor programe de pe același computer. Virușii pot face leziuni severe, cum ar fi ștergerea fișierelor sau ștergerea unui disc întreg. Aceștia nu se poate răspândi la un calculator nou fără ajutorul uman, cum ar fi deschiderea unui fișier infectat pe un suport mobil, cum ar fi un atașament de e-mail, sau prin partajarea de fișiere.
Calul troian este un termen general care se referă la programele care aparent sunt folositoare, dar conțin de fapt, ceva dăunătoare. De exemplu, un joc descaracat de pe Internet putea șterge fișiere importante aflate în memorie.
Viermele execută cod arbitrar și instalează copii ale sale în memoria calculatorului infectat. Viermele poate infecta apoi alte gazde de la computerul infectat. Ca un virus, un vierme este, de asemenea, un program care se propagă. Spre deosebire de un virus, un vierme se poate răspândi în mod automat în rețea de la un calculator la altul. Viermii nu sunt inteligenți sau malițioși, ei doar profită de avantajul trimitrii și primirii de fișiere.
Capitolul 4. Realizarea practică.
4.1 Descrierea rețelei și a soluției alese
Fiecare utilizator solicită servicii de la o rețea prin cereri (interpelări) concrete, formulate în conformitate cu anumite reguli. Deci, pentru utilizator performanțele rețelei sunt reflectate de caracteristicile deservirii cererilor sale. Dacă ținem cont de mulțimea utilizatorilor în ansamblu, atunci o rețea se caracterizează, din punctul de vedere al utilizatorilor, prin capacitate (productivitate), cost, durată de răspuns la o cerere, fiabilitate și gamă de servicii oferite.
Pentru a descrie conceptele de securitate cu care se confruntă o rețea am creat o arhitectură, o topologie a unei firme care are mai multe sedii în diferite locații. Această topologie include diferite departamente ale firmei, în care sunt birouri cu stații de lucru (calculatore personale, laptop-uri, etc), care sunt conectate între ele prin routere și switchuri. Problemele principale sunt protejarea informațiilor împotriva atacurile provenite din exterior, minimizarea riscurilor cu care se confruntă rețeaua, analizarea în permanență a traficului din rețea și asigurarea functionaliatatii în permanență a rețelei.
Ca orice echipament electronic, rețelele sunt vulnerabile la atacuri din exterior (flood-uri, network spoof-ing, clonarea adreselor MAC sau de IP) sau la accesări neautorizate (spamware, malware, spyware) dacă nu sunt securizate în mod corespunzător. Tocmai de aceea au fost concepute protocoale speciale sau operațiuni de criptare a informației pentru ca aceasta să nu poată fi accesată de oricine, ci numai în anumite condiții și furnizând anumite informații: limitarea accesului în funcție de username și de parolă; implementarea rețelelor virtuale; limitarea accesului în funcție de poziționarea geografică (limitarea accesului doar la zonele predefinite).
Pentru că atacurile electronice asupra sistemelor informaționale pot să producă o număr de consecințe negative – financiare, operaționale, legale sau strategice – la nivel individual, organizațional sau chiar național, riscurile de atac electronic trebuie înțelese în totalitate, pentru a putea fi atenuate sau chiar eliminate.
Informațiile stocate electronic au o valoare anume. Un incident care va afecta negativ informațiile stocate electronic va afecta și individul sau organizația care depinde ori utilizează acele informații. Acestea sunt evaluate luând în calcul posibilul impact al unui incident care poate afecta negativ informațiile. Amenințările, vulnerabilitățile și posibilul impact trebuie combinate pentru a obține gradul anume al riscului la care sunt expuse informațiile.
Ținând cont de faptul împărțirea dorită de către firma care are sediile în mai multe locații pe departamente, trebuie văzut cum se poate face această împărțire.
Voi utiliza switch-uri, fiecare având 8 porturi fast-ethernet corespunzând fiecãrui calculator. De asemenea voi folosi și routere pentru realizarea conexiunile între diferitele departamente departamente.
Figura 5.1.1 Switch Cisco Catalyst 2960-8TC-L [HTTM21]
Figura 5.1.1 Router Cisco 3725 series [HTTP22]
Securizarea accesului pe ruterele CISCO
Parolele puternice, sunt principală defensivă împotriva accesului neautorizat pe un ruter. Fiecare router are nevoie de o parolă pe plan local configurată pentru acces privilegiat pentru că pot exista și alte indicii referitoare la securitate în fișierele de configurare.
Comanda ‘enable secret password’ permite accesarea modului ENABLE(denumit și modul privilegiat) pe un ruter. Această folosește o criptare hash one-way bazată pe MD5 și este considerată de majoritatea criptografilor ireversibilă. Cu toate acestea, chiar și acest tip de criptare este încă vulnerabile la atacuri de tipul brute force sau cu dicționare de cuvinte.
Pentru a securiza routerul, ar trebui protejat accesul prin liniile de consolă, auxiliare, și liniile vty.
În mod implicit,pe un router Cisco porturile de consolă permite un semnal PAUZĂ (în termen de 60 de secunde după un restart) pentru a întrerupe secvența de boot normală pentru a reda acces complet utilizatorului liniei de consolă. Această întrerupere este folosită în scopuri de întreținere, cum ar fi atunci când se rulează pe router procedură de recuperare a parolei. Chiar dacă această secvență de PAUZĂ este, în mod implicit, disponibilă cuiva care are acces fizic la consolă routerului, este important să se stabilească o parolă pentru aceste lini pentru utilizatorii care ar putea încerca să obțină acces la consolă de la distanță. Secvența de pauză poate fi dezactivată folosindcomanda ‘no service password-recovery’.
Ruterele Cisco suportă multiple sesiuni Telnet în același timp (până la cinci sesiuni simultane, în mod implicit, mai pot fi adăugate). În mod implicit, routerele nu au nicio parolă configurată la nivelul liniilor vty. Dacă se activează verificarea cu parolă, trebuie configurată de asemenea, o parolă vty înainte de a încerca a accesa routerul prin telnet.
Liniile auxiliare. În mod implicit, porturile auxiliareale routerelor Cisco nu necesită o parolă pentru acces administrativ la distanță. Administratorii folosesc uneori porturile auxiliare pentru a configura de la distanță și să monitorizeze routerele utilizând o conexiune dial-up prin modem. Accesul la aceste porturi ar trebui securizat cu parole pntru a împiedica folosirea lor de către utilizatorii necunoscuți.
Din motive lesne de înteles, lungimea minima a parolelor ar trebui sa fie de cel putin 10 caractere. Comanda ‘security passwords min-length lungime ‘oferă acces sporit de securitate a router-ului, permițându-vă să specificați o lungime minimă a parolei (0-16).
Amplasarea și securizarea componentelor rețelei
Mai toate dezbaterile despre securitate se rezumă la problemele identificate la diverse sisteme. Ceea ce se uită însă este faptul ca pentru a avea un sistem sigur nu e suficienta tehnologia corespunzătoare. Studiile arată că în medie 90% din breșele de securitate identificate nu sunt datorate problemelor tehnologice, ci instalării și configurării necorespunzătoare sau datorită nerespectării unor proceduri de folosire și administrare a sistemului. În multe cazuri, aceste proceduri nici nu există.
Un LAN tipic este configurat conform infrastructurii fizice la care este conectat. Utilizatorii sunt grupați în funcție de locația fizică, switch-ul și router-ul la care ei sunt conectați.
O rețea WAN tradițională înseamnă închirierea unor linii de comunicație, de la ISDN (128/256Kbps) la fibră optică OC-3 (155 Mbps), care să ofere acoperirea corespunzătore a ariei geografice. O rețea de genul acesta are avantaje bine definite față de una publică, cum este Internetul, intră in discuție securitatea, fiabilitatea și performanța. Însă o rețea WAN cu linii închiriate aduce un cost ridicat, raportat la aria geografică acoperită.
În cazul de față folosirea WAN-urilor este necesară pentru interconectarea sediilor firmei, adică a LAN-urilor, a router-elor care coordonoază activitatea rețelelor din alte locații, astfel încât să se faciliteze comunicarea între persoane și computere situate la mari distanțe unele față de altele. Multe companii și organizații particulare și-au construit cu timpul WAN-uri proprii.
Am ales rețeaua FastEthernet ca soluție pentru interconectarea sistemului specializat cu sistemele de calcul, datorită avantajelor mari ale acestor rețele. În primul rând, rețelele FastEthernet s-au dovedit a fi viabile, asigurând performanțe crescute la un preț relativ scăzut, lucru care a determinat folosirea lor de către foarte multe companii sau organizații. Alt avantaj al acestor rețele este fiabilitatea. Metoda distribuită de acces la mediul de comunicație (protocolul CSMA / CD) permite functionarea rețelei fără a fi nevoie de un control centralizat. De aceea, dacă o stație se defectează, restul stațiilor din cadrul rețelei își pot continua activitatea fără probleme. Mai mult, deoarece rețelele FastEthernet sunt pasive și distribuite, ele pot fi extinse sau modificate fără nici o problemă.
O tehnică eficientă împotriva accesului neautorizat este segmentarea rețelei în multiple grupuri de broadcast care permit administratorului de rețea să:
Restricționeze numărul de utilizatori într-un grup
Prevină un alt utilizator să se alăture grupului fără aprobare
Să configureze porturile nefolosite ca fiind “default”
Să permită anumitor ultilizatori acces la resursele altor utilizatori.
În cazul soluției alese am folosit:
5 routere Cisco 3725 series – pentru restricționare acces, firewall, securitate, tunneling, device hardening;
5 Switch-uri Cisco Catalyst 2960-8TC-L – pentru conectarea utilizatorilor la rețea;
stații de lucru ale personalului firmei.
Am optat pentru folosirea software-ului IOS Cisco deoarece oferă o serie de caracteristici pentru a securiza ruterele împotriva autentificărilor neautorizate prin stabilirea ratelor de eșec și a condițiilor de conectare. Se poate configura numărul de încercări nereușite de conectare admisibile utilizând comanda ‘security authentification failure rate’ impreuna cu parametrii corespunzatori. Când numarul de autentificări nereusite ajunge la limita maximă admisă se intamplă doua lucruri:
se trimite un mesaj la serverul syslog;
se instaurează o perioadă de delay de 15 secunde in care ruterul este blocat.
Dupa expirarea perioadei de delay utilizatorul poate sa continue sa se autentifice.
Scheletul de bază al rețelei din aplicația prezentată este reprezentat de tehnologia Frame-Relay. În ultimii ani, în domeniul rețelelor de arie largă au avut loc transformări tehnologice spectaculoase datorită cerințelor in crestere pentru fiabilitate, viteză de transport și securitate. Frame Relay, este o tehnică eficientă de transmitere a datelor folosită pentru a trimite informație digitală în mod rapid și ieftin de la una sau mai multe destinații la unul sau mai multe puncte finale. Este o tehnică de încapsulare și este folosită între rețele locale (LAN) peste o rețea întinsă (WAN). Fiecărui utilizator îi este atribuită o linie privată (sau linie închiriată) către un nod Frame Relay.
În cazul Departamentului Central din Timișoara rețeaua este amplasată într-o clãdire cu douã etaje, la parter sunt departamentele de Relații Clienți și Marketing și Vânzări, iar la etaj se află departamentul Administrației.
La etajul clãdirii a fost instalat 1 switch care conectează calculatoarele aparținând departamentului Administrației. La parter au fost instalate 2 switch-uri care conectează calculatoarele aparținând departamentului Marketing și Relații Cliențisi și cele aparținând departamentului de Vânzări iar apoi aceste switch-uri sunt conectate la router-ul departamentului Central..
Figura 5.1.1 Departamentul Central din Timisoara
Pentru Sediul din Cluj, calculatoarele sunt amplasate într-o clãdire la parter aflându-se calculatoarele din departamentele de Relații Clienți, Marketing, Vânzări, Contabilitate și Administrație conectate la 1 switch care este conectat la rândul său la router-ul sediului.
Figura 5.1.2 Sediul din Cluj
Același lucru si pentru Sediul din Bucuresti, calculatoarele sunt amplasate într-o clãdire la parter aflându-se calculatoarele din departamentele de Relații Clienți, Marketing, Vânzări, Contabilitate și Administrație care sunt conectate la 1 switch, acesta fiind conectat la rândul sau la router-ul sediului.
Figura 5.1.3 Sediul din Bucuresti
Routere rulează mai multe servicii care creează potențiale vulnerabilități pentru o rețea. Pentru a asigura o rețea, trebuie dezactivate toate serviciile și interfețele de pe un ruter care nu sunt necesare.
Servicii și interfețe de pe un ruter CISCO care nu sunt necesare:
Interfețe de ruter: Accesul la interfețele de ruter neutilizate ar trebui limitat prin închiderea acestora;
serverul BOOTP : Acesta este un serviciu implicit activat. Acest serviciu permite unui router de a acționa ca un server BOOTP pentru alte rutere. Acest serviciu ar trebui dezactivat pentru că este rareori necesar;
Cisco Discovery Protocol (CDP): Acest serviciu este activat în mod implicit. CDP obține adresele de protocol al dispozitivelor învecinate Cisco și descoperă platformele acestora. CDP, de asemenea, oferă informații despre interfețele pe care ruterul le folosește. Dacă nu este necesar, dezactivarea acestui serviciu la nivel global sau pe o interfață este recomandat;
Configuration auto-loading: Acest serviciu este dezactivat în mod implicit. Auto-încărcarea de fișiere de configurare de la un server de rețea ar trebui să rămână dezactivata atunci când nu este utilizata de către router;
serverul FTP: Acest serviciu este dezactivat în mod implicit. Server FTP vă permite să utilizați routerul ca un server FTP pentru clienti FTP. Deoarece acest server permite accesul la anumite fișiere din memoria Flash a router-ului, acest serviciu ar trebui să fie dezactivat atunci când nu este necesar;
serverul TFTP: Acest serviciu este dezactivat în mod implicit. Server TFTP vă permite să utilizați router-ul ca un server TFTP pentru clienții TFTP. Acest serviciu ar trebui să fie dezactivat atunci când nu este folosit, deoarece serverul permite accesul la anumite fișiere în memoria Flash router;
serviciul Network Time Protocol (NTP): Acest serviciu este dezactivat în mod implicit. Când este activat, Router-ul acționează ca un server de timp pentru alte dispozitive de rețea. Dacă nu este bine securizat, NTP pot fi folosit pentru a compromite ceasul de pe alte routere sau dispozitive care invată timpul de la acesta. Ora corectă este esențială pentru serviciile de criptare IPsec, log-uri pentru rutere sau alerte de securitate. Dacă acest serviciu este activ,ar trebui să restrictioneze accesul asupra lui. Atunci când nu este necesar, dezactivarea lui este recomandata;
serviciul de asamblare si deasamblare a pachetelor(Packet Assembler and Disassembler-PAD): Acest serviciu este activat în mod implicit. Serviciu PAD permite accesul la comenzile X.25 PAD cand sunt expediate pachete X.25. Acest serviciu ar trebui să fie dezactivat atunci când nu este utilizat;
serviciile minore TCP si UDP: Serviciile minore sunt furnizate de servere mici (daemon) care rulează pe ruter. Serviciile pot fi utile pentru diagnostic, dar sunt rar folosite. Dezactivarea acestora este recomandata.
Servicii de administrare frecvent configurate care se recomanda a fi dezactivate:
Simple Network Management Protocol (SNMP): Acest serviciu este activat în mod implicit. Serviciu SNMP permite router-ului sa răspunde la cereri-SNMP. Dacă este
necesar implementarea acestuia ar trebui limitat accesul si implementata versiunea 3-SNMPv3, deoarece versiunea 3 ofera o cale de comunicatie sigura, care nu este disponibilă în versiunile anterioare de SNMP.;
configurarea și monitorizarea HTTP: Setarea implicită pentru acest serviciu este dependenta de fiecare dispozitiv Cisco. Acest serviciu permite router-ului să fie monitorizat sau sa ii fie modificate fisierele de configurare direct de pe un browser de web prin intermediul unei aplicatii, cum ar fi SDM(CISCO Security Device Manager). Acest serviciu ar trebui dezactivat daca nu este folosit. Daca acest serviciu este utilizat este recomandata restrictionarea accesului cu ajutorul ACL(Access Control List);
Domain Name System (DNS): Acest serviciu client este activat în mod implicit. În mod implicit, routerele Cisco trimit cereri de nume la adresa 255.255.255.255. Restricționarea acestui serviciu prin dezactivarea este de preferat atunci când serviciul nu este necesar. Dacă serviciul de căutare DNS este necesar, trebuie setata adresa serverului DNS în mod explicit.
Mecanismele de integritate a caii urmate de un pachet care sunt recomandate a fi oprite:
Redirectionarea pachetelor ICMP: Acest serviciu este activat în mod implicit. Redirectionarea ICMP cauzeaza router-ul sa trimita mesaje ICMP de redirecționare ori de câte ori router-ul este obligat să retrimită un pachet prin aceeași interfață pe care pachetul a fost primit. Aceste informații pot fi folosite de atacatori pentru a redirectiona pachetelor către un dispozitiv de străin;
Rutarea pachetelor IP dupa sursa: Acest serviciu este activat în mod implicit. IP suportă opțiuni pentru rutarea pachetelor in functie de sursa acestora opțiuni care permit expeditorului unei datagrame IP sa controleze ruta pe care datagrama va parcurge spre destinatie finala și în general ruta pe care un raspuns il v-a parcurge. Aceste opțiuni pot fi exploatate de un atacator pentru a ocoli calea normala a pachetelor și astfel politica de securitate a rețelei.
Caracteristici despre scanări si sonde recomandate a fi oprite:
serviciul Finger(protocolul 79): Acest serviciu este activat în mod implicit. Protocolul permite utilizatorilor din rețea să obține o listă cu utilizatorii care folosesc în acel moment un anumit dispozitiv. Informațiile de pe listă includ procesele care se execută pe sistem, numele conexiunii, timpul idle, și localizarea terminalului. Persoane neautorizate poate utiliza aceste informații pentru atacurile de recunoaștere;
Notificări ICMP pentru inaccesibilitate: Acest serviciu este activat în mod implicit. Acest serviciu trimite notificări de inaccesibilitate expeditorilor de adrese IP nevalidă sau adrese IP specifice. Aceste informații pot fi folosite pentru a formă topologia rețelei și ar trebui să fie în mod explicit dezactivate pentru interfețele legate de rețele nesigure;
Răspuns la pachetele ICMP în legătură cu mascaadresei: Acest serviciu este dezactivată în mod implicit. Când este activat, acest serviciu obligă routerul să răspunde la cererile ICMP pentru masca adresei IP prin trimiterea de mesaje ICMP masca răspuns care conțin masca adresei IP a interfeței ruterului. Aceste informații pot fi folosite pentru a formă topologia rețelei și ar trebui să fie în mod explicit dezactivate pentru interfețele legate de rețele nesigure.
Securitatea accesului la terminale:
serviciul de identificare IP: Acest serviciu este activat în mod implicit. Protocolul de identificare rapoarteaza identitatea unui inițiator de conexiune TCP la gazdă care primește pachetul. Aceste date pot fi utilizate de către un atacator pentru a aduna informații despre rețea, iar acest serviciu ar trebui să fie dezactivat;
serviciul TCP keepalives: Acest serviciu este dezactivată în mod implicit. TCP keepalives ajută curățarea conexiunilor TCP în cazul în care o gazdă s-a repornit sau s-a oprit din procesarea traficului de pachete TCP.Serviciul TCP Keepalives ar trebui să fie activat la nivel global pentru a gestiona conexiunile TCP și pentru a preveni anumite atacuri DoS.
Serviciul de broadcast direct IP – acest serviciu este folosite în atacurile comune și populare de tip DoS Smurf și a altor atacuri conexe. Dezactivarea acestui serviciu atunci când nu este necesar este recomandată.
Lăsând servicii nefolosite de rețea care rulează crește posibilitatea de exploatare malitioasa a acestor servicii. Dezactivarea sau restricționarea accesului la aceste servicii, îmbunătățește securitatea rețelei.
4.4 Prezentarea rezultatelor obținute
Proiectul își propune prezentarea unei aplicații, a unei arhitecturi de calculatoare, pe care o poate adopta și utiliza aproape orice firmă în vederea schimbului de informații electronice între sediile firmei, aflate la distanța sau în altă locație, cât mai ușor, sigur, eficient și fără erori.
Programul folosit pentru a evidenția acest lucru este GNS3 (Graphical Network Simulator) Simulator Grafic de Rețea. Avantajele acestui program este că oferă simularea de rețele complexe, emularea unor platforme multiple de routere, sau simularea unor switch-uri Ethernet/Frame-Relay. GNS3 este un emulator, o mașina virtuală, care se comportă exact ca și un echipament de rețea real.
În interiorul acestuia sunt încărcate sistemele de operare pentru rutere CISCO reale pentru a îndeplini aceleași funcții ca un echipament real. GNS3 este bazat pe Dynamips (Emulator IOS), Dynagen (interfață text-based pentru Dynamips) dar și o interfață grafică ușor de utilizat.
Cu ajutorul acestui program am simulat (emulat) mai în detaliu ceea ce înseamnă o rețea internă a unei firme (companii), și anume atribuirea fiecărui calculator personal un IP (Internet Protocol ), acest tip de protocol fiind modul de a recunoaște un calculator în vastul „nor” de Internet, este de 32 biți și este folosită în câmpurile „Adresă sursă” și „Adresă destinație” a pachetelor IP, insă de reținut este faptul că IP-ul nu este o adresă unică de identificare, ea poate fi schimbată oricând, adresa fixă și unică pentru fiecare calculator în parte se numește MAC (Media Access Control) care este integrată în placă de rețea a fiecărui calculator.
Datele provenite de la terminale sunt grupate în pachete care sunt transmise pe mediul fizic primă oară la un "Gateway Computer" calculator de margine, care înțelege o mică parte din internet, iar apoi mai departe, pană când ajunge la destinație.
Dispozitivele care fac legătura între 2 sau mai multe terminale se numesc Switch-uri (nivel 2, dar exista si de nivel 3) si Routere (nivel 3). Router-ul trimite mai departe pachetele primite,care ajung la alt router, și in final la destinație.
Topologia rețelei în sine este construită având un schelet care utilizează tehnologia Frame-Relay. Avantajele pe care le prezintă implementarea tehnologiei Frame Relay pentru un anumit furnizor de servicii (Service Provider – SP) sunt la nivelul strategic pentru că genereză repercursiuni în legatura cu dezvoltarea ulterioară a firmei, costurile care sunt implicate în afacere și profiturile realizate. Pentru a conecta cele trei sedii între ele, fiecare in parte se conectează la ruterul de bază Frame-Relay amplasat in mijlocul topologiei.
Figura 5.2.1 Scheletul Frame-Relay
O caracteristică majoră a tehnologiei Frame Relay este repezentată de posibilitatea de multiplexare. Multiplexarea face referire la două lucruri: ruterul poate identifică diferite protocoale pentru ca ulterior să fie încorporate într-un singur circuit DLCI sau PVC și pot exista mai multe grupuri de utilizatori atașați la norul rețelei utilizând aceeași rețea fizică, dar cu proprii rețele virtuale separate. Astfel fiecare sediu este conectat printr-o rețea virtuală cu celalalte două.
Pachetele de date sunt transmise urmatorului nod cu o foarte mică întârziere, lucru care este în beneficiul aplicațiilor (voce, video etc.) care depind de aceste întârzieri. Viteza cu care sunt transmise datele este mult mai mare (până la 45 Mbps deocamdata).
Figura 5.2.2 Circuitele virtuale permanente si DLCI-urile conexiunilor
Atunci când un ruter primește un pachet având adresă IP destinație unei rețele exterioare, acesta își consultă tabelă proprie de rutare pentru a determina unde trebuie să trimită pachetul. Această tabelă de rutare se poate configura manual cu fiecare subretea a întregii rețele. Acest lucru trebuie făcut pe fiecare ruter al rețelei devenind un proces foarte anevoios. O altă posibilitate a ruterului de a-și construi propria tabelă de rutare ar fi prin intermediul unui protocol de rutare dinamică. Peste scheletul de nivel 2 OSI – Frame-Relay, am implementat protocolul dinamic de rutare OSPF.
Acest protocol de rutare este unul dintre cele mai răspândite din ziua de azi deoarece are un timp de convergență a întregii rețele mic, suportă VLSM și autentificare pachetelor bazate pe parole, trimite pachete pentru updatarea topologiei doar în cazul în care s-a produs o modificare în topologie și are o metrică de asemenea scăzută.
Analizăm prima intrare din tabela de rutare pentru a descrie fiecare element in parte:
O 192.168.29.0/24 [110/128] via 192.168.3.2 00:11:59, Serial0/0.302
O – ne arată că este vorba despre o ruta învațată dinamic cu ajutorul OSPF;
192.168.29.0/24 – este rețeaua exterioară descoperită cu ajutorul protocolului de rutare dinamică ;
[110/128] – 110 este distanța administrativă a OSPF iar 128 este metrica OSPF;
192.168.3.2 – este IP interfeței prin care este transmis pachetul pentru a ajunge la destinația dorită;
00:11:59 – timpul de când există informații despre rețeaua exterioară;
Serial0/0.302 – interfața prin care este transmis pachetul spre destinația dorită.
IPSec este un protocol de criptare ce lucrează la nivelul 3 (Network) al modelului OSI și care asigură transmisia criptată a datelor. Stabilirea unui VPN de tipul IPSec are loc în urma negocierii între cele două părți ale unui mod standard de comunicație în sensul de a opera cu o politică de securitate comună, de a utiliza aceiași algoritmi de criptare și aceeași metodă de autentificare. Odată negociată această politică, se creează un tunel de comunicații între două locații și astfel utilizatorul din afara corporației are acces la resursele interne ale acesteia. Însă, pentru a fi create toate condițiile de VPN via IPSec, fiecare computer de la care se dorește acces are nevoie de instalarea unui „client” de VPN.
Pentru a transmite în siguranță datele fără că cineva din exterior să poată descifra informația transmisă între cele 3 sedii am implementat VPN-uri folosind tehnologia IPSec GRE.
Am construit astfel 2 tuneluri IPSec GRE între Departamentul Cntral din Timișoara și cele două sedii ale firmei din Cluj și București, astfel asigurându-se comunicare în cadrul firmei într-un mediu securizat.
Prin intermediu programului CISCO SDM(Security Device Manager) administratorul de rețea se poate conecta de la distanță la rețea într-un mod securizat(ssl) prin intermediul Https, pentru a monitoriza și configura rețeaua corespunzător în permanență. Acesta are o interfață grafică user-friendly.
Figura 5.2.4 Prezentare generală SDM
Din această imagine putem observa cele două VPN-uri în timp real. Sunt descrise numărul de pachete încapsulate, decapsulate și erorile apărute în sistem. Deoarece practic nu este posibil să pornim cele două rutere în același timp, și implicit să configurăm în același timp cele două capete ale unui tunel, avem 1 pachet de eroare care a fost trimis la începutul inițializării conexiunii.
Pentru reducerea riscurilor de securitate cea mai bună strategie este cea per ansamblu (security in depth). Aceasta inseamna evaluarea per ansamblu a infrastructurii IT și clasificarea expunerii la riscuri de securitate. Pentru fiecare dintre riscurile identificate trebuie realizate planuri de măsuri, fie pentru a reduce expunerea la acele riscuri (mitigation), fie pentru a reduce impactul odată ce riscul s-a produs (contingency). La polul opus se află abordarea punctuală, a implementării unui sistem specific de securitate, de exemplu antivirus sau intrusion detection. Deși aceste sisteme sunt foarte utile în cadrul domeniului specific de aplicabilitate, această abordare lasă descoperite alte zone cu posibile breșe de securitate. Foarte multe companii cad în greșeala de a investi mult în astfel de sisteme, fără însă a avea o strategie de securitate cap-coadă.
Privirea securitătii doar prin prisma problemelor tehnologice este un punct de vedere îngust. Nu ne putem aștepta ca un sistem care nu a fost instalat și configurat corespunzător, care nu e menținut la zi cu patch-urile sau pentru care nu se respectă niște proceduri simple de utilizare și administrare, să fie un sistem sigur.
Securitatea trebuie să fie o caracteristică intrinsecă a sistemului. Un sistem sigur este unul bine proiectat, implementat, utilizat și administrat. Modelul de Referință OSI (Open Systems Interconnection – Reference Model), pe scurt: OSI, este o structură de comunicare ierarhică foarte des folosită pentru a reprezenta o rețea. OSI este un standard al Organizației internaționale de standardizare, emis în 1984.
Pentru a înlătura orice tip de atac asupra rețelei am oprit serviciile de rețea vulnerabile de pe fiecare ruter oprind în același timp toate interfețele nefolosite.
Figura 5.2.5 Oprirea serviciilor de retea vulnerabile si a interfetelor
Cu ajutorul programului pachet sniffer Wireshark putem analiza întregul trafic din rețea observând informații despre pachetele care circula in rețea.
Acest instrument sofware are o interfață grafică care îl face ușor de utilizat. La fel ca și alte analizoare de pachete, fereastra principală din Wireshark are trei imagini graduale asupra unui pachet. În primul rând, o descriere sumară a pachetului, în care se dau informații de bază despre pachetul respectiv. Aceasta este completată de o fereastră de detaliu în care se dau detalii asupra protocoalelor care compun pachetul (tipul protocolului, dimensiunea headerului etc). În cele din urmă, avem imaginea exactă a șirului de octeți (codați în hexadecimal) care compun pachetul.
Figura 5.2.6 Prezentare Wireshark
Din această captură se poat observa pachete trimise de protocolul de rutare dinamică OSPF si pachete criptate apartinând tunelului IPSec având protocolul ESP(pachetul fiind criptat,este de neînteles pentru alte destinații în afară de capătul tunelului IPSec).
Pentru apărarea retețelei în potriva atacurilor trebuie aplicați următorii pași:
Menținerea patch-urilor updatate prin instalarea lor saptămanal sau zilnic, dacă este posibil, pentru a preveni atacuri de tipul buffer overflow sau escaladarea privilegiu;
Inchiderea serviciilor si porturilor neutilizate;
Folosirea unor parole puternice si schimbarea cat mai des posibil;
Controlarea accesului fizic în sistem;
Efectuarea de copii de siguranță și testare acestora în mod regulat;
Educarea angajaților asupra riscului ingineriei sociale, și dezvoltarea unei strategii pentru validarea identitații prin telefon sau e-mail;
Criptarea și protejarea cu ajutorul parolelor a datelor importante;
Implementarea unei securității hardware și software cu ajutorul firewal-urior, sistemului de prevenire a intruziunilor, software antivirus precum si diferite feluri de filtrari;
Elaborarea și scrierea unei politici de securitate.
5. Documetare si soluții aplicate
5.1. Prezentarea resurselor bibliografice.
Pentru a realiza tema de proiect am apelat la resursele bibliografice ale unor discipline studiate pe parcursul facultății cât și la informațiile găsite în cărți de specialitate precum și la documentațiile găsite online.
Aplicația este realizată cu ajutorul emulatorului GNS3(Graphical Network Simulator). Alegerea pe care am făcut-o în privința mediului de programare a rezultat din cerințele impuse de tema proiectului precum și pentru ca GNS3 este un emulator(mașină virtuală) care prin intermediul proiectului Dynamips încorporează sowtware real(IOS) pentru ruterele CISCO. GNS3 are încorporat si programul Dynagen, care oferă suport text pentru Dynamips. Astfel emulatorul oferă aceleași funcții ca un ruter real. În vederea studierii acestei aplicații am consultat numeroase articole în legătură cu aceasta de pe siteurile de internet http://www.gns3.net și http://dynagen.org/, dar și diferite tutoriale găsite pe http://www.gns3-labs.com.
Aplicația este construită pe un schelet bazat pe tehnologia Frame-Relay. Pentru studierea acestei tehnologii am consultat numeroase articole în legătură cu aceasta de pe siteul de internet www.cisco.com și din articolul publicat de Ascend Communications – Frame Relay Overview.
Convergența rețelei este asigurată cu ajutorul protocolului de rutare OSPF. Pentru studierea acestuia am apelat la documentul RFC2328 – http://www.ietf.org/rfc/rfc2328.
Pentru descrierea VPN-urilor am consultat documentația găsită la pagina http://alljournal.blogspot.com/2009/09/ipsec-vpn-virtual-private-network.html.
Una dintre principalele realizări ale acestei lucrări este data de securitate. În interiorul aplicației sunt implementate două VPN-uri IPSec GRE. Pentru aceasta am studiat diferite articole referitoare la configurarea de rutere pentru VPN-uri IPSec găsite pe site-ul http://compnetworking. about.com/od/vpn/a/vpn_tutorial.htm, precum si lucrarile publicate de P. Hoffman RFC 4308 Cryptographic Suites for Ipsec; V. V. Patriciu, M. Pietroșanu, I. Bica, C. Văduva, N. Voicu – Securitatea Comerțului Electronic; Eric Greenberg, Network Application Frameworks, Virtual Private Networks.
În ceea ce privește analiza traficului din rețea am folosit programul pachet sniffer Wireshark. Documentația referitoare la acesta am consultat-o de pe paginile de Internet http://www.wireshark.org/ și http://www.wiresharktraining.com/.
Pentru a înțelege diferitele tipuri de atacuri la care sunt supuse rețelele am folosit diferite programe pentru a testa rețeaua, pe care le-am găsit pe pagina web: http://sectools.org/. Pentru a împiedica orice tip de atac asupra rețelei am oprit serviciile de rețea vulnerabile de pe un ruter folosindu-mă de documentația găsită pe siteul http://www.securityfocus.com/.
Deoarece prezintă o interfață grafică user-friendly, pentru a monitoriza activitatea din rețea am configurat și folosit programul SDM(Security Device Manager) utilizând descrierea acestuia găsită pe pagină http://cisco.com/en/US/products/sw/secursw/ps5318/prod_installation _guide09186a00803e4727.html#wp70999.
5.2 Prezentarea tehnologiilor utilizate in comparație cu unele realizări similare.
O rețea de calculatoare reprezintă conectarea unor calculatoare individuale, astfel încât să poată folosi în comun anumite resurse. Aceste resurse cuprind componente ca unitățile de disc, fișiere (baze de date), imprimante și echipamente de comunicație. În plus, rețeaua permite o interacțiune mai mare și o comunicare eficientă între membrii rețelei, prin intermediul poștei electronice, bazelor de date și a altor metode de utilizare în comun a informațiilor de orice fel. Calculatoarele conectate la rețea poartă numele de noduri. Când nodurile aparțin aceleiași clădiri sau aceleiași organizații, rețeaua este locală (Local Area Network – LAN), de exemplu rețeaua unui liceu sau rețeaua unei universitați. Dacă nodurile sunt raspândite pe o zonă mai mare, de exemplu pe suprafața unuia județ sau mai multor județe, la nivelul unei țări sau pe întregul glob, rețeaua este pe plan extins (Wide Area Network – WAN). O rețea de genul acesta ar putea fi constituită, de exemplu, la nivel național, pentru toate instituțiile din Ministerul Educației.
Gigabit Ethernet se bazează pe o tehnologie Ethernet avansată, elaborată incepind din anul 1996 pentru viteze de transfer date de 1 Gbps. Standardele respective sunt finalizate in 1998, deși în 1997-1998 sunt implementate mai multe rețele și diverse echipamente, inclusiv integrând rețele locale de ganerațiile 1 si 2.
După analiza mai multor tehnologi existente pe piață am am ajuns la concluzia că tehnologia Frame Relay este cea mai potrivită pentru securitatea datelor în implementarea soluției alese. Frame Relay folosește liniile dedicate. Leased Line (linie dedicată) reprezintă o soluție bazată pe o conexiune digitală, permanentă, care permite o legătură point-to-point cu o lățime de bandă dedicată. Conexiunile leased line sunt disponibile de obicei la 64kbps, 128kbps, 256kbps, 512kbps sau 2Mbps.
Soluțiile Frame Relay au fost gândite și implementate pentru transferul în mod packet-switching a informațiilor, la nivel global. O conexiunede genul acesta la o rețea de calculatoare este ideală pentru o rată de transfer mai mică de 2Mbps și se poate utiliza în rețelele de date, de voce sau video. Avantajele tehnologiei Frame Relay:
Variable-length packets – Pachete cu dimensiune variabilă (Funcție implementată pentru a permite un transfer al datelor mai flexibil și mai eficient);
Statistical multiplexing – Tehnologie care aduce ca îmbunatățure o utilizare mai eficientă a lațimii de bandă.
În comparație cu Frame Relay, tehnologia DSL (Digital Subscriber Line) este o tehnologie de transmisie prin cabluri de cupru, care aduce informația în bandă largă la stațiile de lucru prin intermediul sistemului telefonic. Clasa de protocoale xDSL se referă generic la mai multe protocoale de tip DSL ca de exemplu ADSL, HDSL, RADSL, SDSL etc. Conexiunea DSL oferă teoretic 8.448 Megabits pe secundă, dar in cele mai multe cazuri conexiunile individuale oferă o viteză începând de la 512 Kbps până la 1544 Mbps download și 128 Kbps upload.
Ca protocol de rutare dinamic am ales OSPF deoarece este printre cele mai utilizate protocoale de rutare având o metrică scăzută, o convergență rapidă și nu este dependent de producătorul echipamentului. Open Shortest Path First (OSPF- RFC2823) este un protocol IP dinamic în scopul rutării în interiorul unui rețele mari (guvernate de un singur gestionar) – sistem autonom (AS). Printre avantajele OSPF se află: mecanismul de evitare a buclelor de trafic, acceptă VLSM dar și CIDR, este potrivit pentru rețele mari, conceptul de arie (ierarhizarea) contribuie la controlul rapid al schimbărilor de topologie și rearanjarea rutelor în funcție de noile condiții.
În comparație cu OSPF, Routing Information Protocol ( RIP ) este protocolul intern care are un diametru al rețelei limitat: ruta RIP cea mai lunga este de 15 hopuri; RIP nu poate menține o tabelă de rutare completă pentru o rețea cu destinații mai departe de 15 hopuri. RIP selectează ruta cu cel mai mic "număr de hopuri" (metrică) ca fiind ruta cea mai bună. Spre deosebire de OSPF, RIP are o convergența lentă: pentru a șterge o rută proastă este nevoie cateodată de schimbul de multiple pachete-de-revizuire (update packets).
Pentru asigurarea unei comunicări sigure între diferitele puncte ale rețelei am hotărât să implementez VPN-uri bazate pe protocoale IPSec. IPSec a ajuns standardul de factor pentru crearea rețelelor VPN în industria rețelelor. Mai mulți furnizori au implementat-o și, pentru că Internet Engineering Task Force (IETF) a ajuns IPSec într-un document RFC, interoperabilitatea dintre furnizori face ca IPSec sa fie cea mai bună operațiune pentru construirea rețelelor VPN. Sarcina principală pe care o are IPSec este permiterea schimbului de informații private printr-o conexiune neprotejată, negociind conexiunea și oferind într-un mod sigur cheile. IPSec se folosește de criptare pentru protejarea informațiilor împotriva interceptărilor sau indiscrețiilor. Totuși, pentru a folosirea eficientă a criptării, ambele părți trebuie să partajeze o cheie secretă (parolă) utilizată atât pentru criptarea, cât și pentru decriptarea informațiilor care intră și ies din tunelul VPN.
Schimbul de chei realizat de IPSec este bazat pe algoritmi Diffie-Hellman. Acest algoritm a fost primul cu chei publice și este în continuare considerat ca unul dintre cele mai bune. Mai exact, protocolul IPSec folosește algoritmul Diffie-Hellman pentru a permite celor doi participanți să convină asupra unui secret partajat, generând cheia folosită de aceștia. Algoritmul Diffie-Hellman este utilizat de mai multe ori pe parcursul procesului.
Programul ales pentru realizarea aplicației practice este GNS3 (Graphical Network Simulator). O alta soluție VPN mai simplă pentru utilizatorii care nu au cunoștiințe avansate ar fi prin intermediul programului Hamachi. Cu ajutorul acestui program, dezvoltat de Applied Networking Inc, oricine își poate seta o rețea “locală” privată pe internet.
Pentru a depăși obstacolele care apar în setarea unei conexiuni VPN perfectă, Hamachi folosește o tehnologie peer-to-peer asemănătoare cu cea utilizată pentru mesagerie instant (IM): un server extern creează un director cu toți clienții Hamachi. Serverul autentifică utilizatorii prin intermediul unor “chei”, chiar dacă clienții se află în spatele routerelor sau firewallurilor și creează o conexiune securizată între aceștia.
Applied Networking precizează după ce serverul a realizat conexiunea între clienții Hamachi, conexiunea securizată este numai între utilizatorii conectați, fără să existe trafic care să treacă prin serverele Hamachi. Totuși, serverele trimit semnale pentru ca să verifice dacă clienții mai sunt sau nu conectați.
Pentru că majoritatea programelor firewall vor recunoaște adaptorul Hamachi ca o rețea separată și vor bloca traficul, este posibil să fie nevoie de configurarea firewallul-ului pentru a permite traficul prin interfață Hamachi.
O altă soluție open source pentru a crea VPN-uri este OpenVPN , un program VPN care crează tunele criptate punct-cu-punct, între calculatoare-gazdă. OpenVPN permite punctelor să se autentifice utilizând chei secrete cunoscute anticipat, sau nume utilizator/parolă. Acesta folosește extensiv librăria de criptare OpenSSL dar și protocolul SSLv3/TLSv1. Este disponibil pentru sitemele Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X și Windows 2000/XP/Vista. Nu este un VPN bazat pe Internet și nu este compatibil cu IPsec sau orice alt pachet VPN.
Tot pachetul este reprezentat de un binar pentru conexiunile client și server, un fișier de conexiune opțional și unul sau mai multe fișiere-cheie corespunzător cu metoda de autentificare folosită.
Utilizarea protocoalelor de rețea comune (TCP și UDP) de către OpenVPN, face ca acesta să fie o alternativă a IPsec-ului, în situațiile în care un ISP blochează anumite protocoale VPN pentru a forța utilizatorii să se aboneze la servicii cu prețuri mai ridicate, de “gradul business”, însă IPSec VPN rămane cea mai adecvată opțiune pentru asigurarea securității din toate punctele de vedere.
Capitolul 6. Concluzii
6.1. Rezultatele proiectului
Pe masură ce firmele si companiile se dezvoltă, apare ncesitatea extinderii rețelei locale de calculatoare prin adoptarea unor noi porturi in arhitectura initială, adăugarea de noi echipamente sau înlocuirea cel existente, sporirea securitații, firewall-uri mai puternice, inevitabil bani mai mulți.
Acestă aplicație a fost construită pentru a fi adoptata si utilizată de aproape orice firmă in vederea schimbului securizat la nivelul 2 si 3 OSI de informații electronice intre sediile firmei, aflate la distanță sau în altă locație, cât mai ușor, sigur, eficient, si fară erori.
Aplicația este o bună metodă de studiu a comportării transmisiei prin rețele virtuale private a datelor, folosind suita de protocoale IPSec. Prin intermediul acestor protocoale folosind funcții matematice și algoritmi de criptare și autentificare se asigură confidențialitatea, integritatea și non-repudierea informațiilor din fiecare pachet IP transmis pe rețea.
Ca orice echipament electronic, rețelele sunt vulnerabile la atacuri din exterior ( flood-uri, network spoof-ing, clonarea adreselor MAC sau de IP) sau la accesări neautorizate (spamware, malware, spyware) daca nu sunt securizate corespunzator. Tocmai de aceea infrastructura rețelei a fost analizată si configurată sa respingă orice atac informațional asupra datelor prin configurarea ruterelor oprind orice serviciu de rețea vulnerabil.
Pachetele circula in rețea cu o rapiditate foarte mare producând schimbari ale structurii logice ale rețelei. Astfel rețeaua trebuie monitorizată si configurată dacă este cazul în permanență. Pachetele din rețea sunt analizate cu ajutorul programului pachet sniffer Wireshark. Aplicația are posibilitatea monitorizării de la distanța cu ajutorul protocolului https prin intermediul programului SDM.
6.2 Dificultăți întâmpinate
Aplicația este concepută în programul GNS3(emulator). Topologia în sine cuprinzând 5 rutere CISCO a trebuit să configurez 5 mașini virtuale pe laptopul personal care să folosească resursele memoriei RAM. La o primă pornire a mașinilor virtuale memoria laptopolui este acaparată în totalitate, astfel apar erori de configurare, de funcționare de amplasare a elementelor rețelei, iar topologia nu mai poate fi salvată deoarece sistemul de operare se blochează.
Pentru a combate acest obstacol m-am documentat în legătură cu GNS3, și am găsit soluția printr-o configurare în detalia a emulatorului. În mod normal fiecare ruter virtual își salvează o copie a sistemului sau de operare(IOS) în memoria RAM. Cum toate ruterele folosesc același sistem de operare, o soluție mai bună o reprezintă partajarea unei zone de memorie pentru sistemul de operare al ruterelor pe care toate cele 5 rutere să le folosească.
O altă dificultate întâmpinată cu mașinile virtuale o reprezintă faptul că la pornirea unui ruter virtual procesorul laptopului personal rulează la capacitate maximă, astfel adăugarea unui ruter în plus devenind imposibil. Acest lucru se întâmplă deoarece programul Dynamips nu știe când ruterul este idle sau rutează pachete. Soluția este descrisă de comandă „idlepc” care trebuie aplicată pe fiecare ruter în parte pentru a reduce capacitatea de rulare a procesorului.
GNS3 este un emulator destinat ruterelor, acesta nu are încorporat și funcții similare pentru calculatoare personale pentru a utiliza în totalitate caracteristicile unei rețele adevărate. Pentru a soluționa această problemă am utilizat un alt program Virtual PC Simulator pe care l-am conectat la GNS3 introducând astfel și calculatoare în topologie.
6.3 Direcții de dezvoltare
Proiectul realizat poate fi dezvoltat în continuare în următoarele direcții:
Schimbarea topologiei existente cu una bazată pe structura CISCO pe 3 nivele(Access Distribution si Core) în cazul creșterii numărului de utilizatori si extinderii firmei.
Adăugare de noi tipuri de VPN cum ar fi MPLS(Multi-Protocol Label Switching)-NGN(Next Generation Networks)
Capitolul 7. Bibiliografie
[Hoff05] Hoffman P. RFC 4308 Cryptographic Suites for Ipsec
[GRE99]Eric Greenberg, Network Application Frameworks, Virtual Private Networks
[PAT01]V. V. Patriciu, M. Pietroșanu, I. Bica, C. Văduva, N. Voicu – Securitatea Comerțului Electronic
[SIL06] Silea Ioan. Retele de calculatoare
[Tan04]Tannenbaum Andrew (2004). Rețele de calculatoare
[ASC99]Ascend Communications – Frame Relay Overview, Ascend, 1999
[HTTP01] http://ro.wikipedia.org/wiki/Modelul_OSI
[HTTP02] http://ro.wikipedia.org/wiki/TCP/IP
[HTTP03] http://compnetworking.about.com/od/vpn/a/vpn_tutorial.htm
[HTTP04] http://www.sonicwall-solutions.com/what_is_VPN.htm
[HTTP05] http://ro.wikipedia.org/wiki/Fi%C8%99ier:Dynamic_VPN.PNG
[HTTP06]http://alljournal.blogspot.com/2009/09/ipsec-vpn-virtual-private- network.html
[HTTP07] http://www.cisco.com
[HTTP08] http://www.gns3.net
[HTTP09] http://dynagen.org/
[HTTP10] http://www.blindhog.net
[HTTP11] http://www.ietf.org/rfc/rfc2328
[HTTP12] http://www.microsoft.com/romania/securitate/recomandari.mspx
[HTTP13]http://www.cisco.com/en/US/tech/tk827/tk369/tk287/tsd_technology_support_sub-protocol_home.html
[HTTP14] http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094865.shtml
[HTTP15] http://www.wireshark.org/
[HTTP16] http://www.wiresharktraining.com/
[HTTP17] http://sectools.org/
[HTTP18] http://www.securityfocus.com/infocus/1749
[HTTP19] http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns413/networking_solutions_white_paper0900aecd8056e783.shtml
[HTTP20] http://cisco.com/en/US/products/sw/secursw/ps5318/prod_installation_guide09186a00803e
4727.html#wp70999
[HTTP21] http://www.jjwei.com/images/
[HTTP22] http://www.itinstock.com/
,
Capitolul 7. Bibiliografie
[Hoff05] Hoffman P. RFC 4308 Cryptographic Suites for Ipsec
[GRE99]Eric Greenberg, Network Application Frameworks, Virtual Private Networks
[PAT01]V. V. Patriciu, M. Pietroșanu, I. Bica, C. Văduva, N. Voicu – Securitatea Comerțului Electronic
[SIL06] Silea Ioan. Retele de calculatoare
[Tan04]Tannenbaum Andrew (2004). Rețele de calculatoare
[ASC99]Ascend Communications – Frame Relay Overview, Ascend, 1999
[HTTP01] http://ro.wikipedia.org/wiki/Modelul_OSI
[HTTP02] http://ro.wikipedia.org/wiki/TCP/IP
[HTTP03] http://compnetworking.about.com/od/vpn/a/vpn_tutorial.htm
[HTTP04] http://www.sonicwall-solutions.com/what_is_VPN.htm
[HTTP05] http://ro.wikipedia.org/wiki/Fi%C8%99ier:Dynamic_VPN.PNG
[HTTP06]http://alljournal.blogspot.com/2009/09/ipsec-vpn-virtual-private- network.html
[HTTP07] http://www.cisco.com
[HTTP08] http://www.gns3.net
[HTTP09] http://dynagen.org/
[HTTP10] http://www.blindhog.net
[HTTP11] http://www.ietf.org/rfc/rfc2328
[HTTP12] http://www.microsoft.com/romania/securitate/recomandari.mspx
[HTTP13]http://www.cisco.com/en/US/tech/tk827/tk369/tk287/tsd_technology_support_sub-protocol_home.html
[HTTP14] http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094865.shtml
[HTTP15] http://www.wireshark.org/
[HTTP16] http://www.wiresharktraining.com/
[HTTP17] http://sectools.org/
[HTTP18] http://www.securityfocus.com/infocus/1749
[HTTP19] http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns413/networking_solutions_white_paper0900aecd8056e783.shtml
[HTTP20] http://cisco.com/en/US/products/sw/secursw/ps5318/prod_installation_guide09186a00803e
4727.html#wp70999
[HTTP21] http://www.jjwei.com/images/
[HTTP22] http://www.itinstock.com/
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securizarea Datelor la Nivelul 2 Si 3 Osi a Unei Retele Bazate pe Echipamente Cisco (ID: 150429)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.