Solutii de Securitate a Retelelor Vpn
CUPRINS
1.MEMORIU JUSTIFICATIV
2. ELEMENTE FUNDAMENTALE DESPRE INTERCONECTAREA CALCULATOARELOR
2.1 Modelul de referință ISO/OSI
2.2 Modelul TCP/IP
2.3 Modelul Client-Server
2.4 Modelul Peer-to-Peer
2.5 Adrese IP
2.5.1 Internet protocol versiunea 4 (Ipv4)
2.5.2 Internet Protocol versiunea 6 (Ipv6)
2.5.3 Interconectarea rețelelor Ipv4 cu rețelele IPv6
2.6 Atacuri asupra rețelelor
2.6.1 Atacuri pasive
2.6.2 Atacuri active
3. REȚELE VIRTUALE PRIVATE
3.1 Introducere în VPN
3.2 Modul de funcționare
3.3 Avantaje VPN
3.4 Modalitati de conectare VPN
3.4.1 VPN-urile cu acces de la distanță (Remote Access VPN)
3.4.2 VPN-urile intranet (Intranet VPN)
3.4.3 VPN-urile extranet (Extranet VPN)
3.5 Tipuri de rețele VPN
3.5.1 VPN cu livrare sigură (Trusted VPN)
3.5.2 VPN securizate (Secure VPN)
3.5.3 VPN hibrid (Hybrid VPN)
3.6 Tunelare
3.6.1 Principiile fundamentale ale tunelării
3.6.1.1 Point to Point Tunneling Protocol (PPTP)
3.6.1.2 Layer 2 Forwarding (L2F)
3.6.1.3 Layer 2 Tunneling Protocol (L2TP)
3.6.1.4 Internet Protocol Security (IPSec)
3.6.1.5 SOCKS 5
3.7 Componente VPN. Metode de realizare a soluțiilor VPN
4. PROTOCOALE DE COMUNICAȚII PENTRU VPN
4.1 Protocolul IPSec
4.2 Protocolul AH
4.3 Protocolul ESP
4.4 Protocolul SSL
4.5 Protocolul MPLS
4.6 Protocolul BGP
5. SIMULATORUL DE REȚEA GNS3
5.1 Prezentarea simulatorului GNS3
5.2 Comenzi uzuale folosite în configurarea router-elor
6.APLICAȚIE
7.CONCLUZII
BIBLIOGRAFIE
ANEXA 1- ABREVIERI –
CUPRINS FIGURI ȘI TABELE
Fig.2. 1 – Modelul ISO/OSI – 7 –
Fig.2. 2 – Modelul TCP/IP – 8 –
Fig.2. 3 – Suita de protocoale TCP/IP – 9 –
Fig.2. 4 – Modelul client-server – 9 –
Fig.2. 5 – Retea de comunicatii P2P – 10 –
Fig.2. 6 – Formatul pachetului Ipv4 – 11 –
Fig.2. 7 – Structura adreselor pentru cele 5 clase – 11 –
Fig.2. 8 – Formatul pachetului Ipv6 – 12 –
Fig.2. 9 – Model de atac pasiv – 15 –
Fig.2. 10 – Model de atac activ – 16 –
Fig.3. 1– VPN (Rețea Privată Virtuală) – 17 –
Fig.3. 2– Conexiune inițiata de client – 21 –
Fig.3. 3– Conexiune inițiata de NAS – 21 –
Fig.3. 4 – VPN Intranet – 22 –
Fig.3. 5 – VPN Extranet – 23 –
Fig.3. 6 – Tunelare – 24 –
Fig.3. 7 – Routere folosite la VPN – 27 –
Fig.3. 8 – Soluție VPN bazată pe routere – 28 –
Fig.3. 9 – Firewall cu VPN integrat – 28 –
Fig.3. 10 – Client hardware VPN – 29 –
Fig.3. 11 – Cisco VPN 3002 Hardware Client – 29 –
Fig.4. 1 – Datagrame modul transport și modul tunel – 32 –
Fig.4. 2 – Diagrama unui pachet AH – 34 –
Fig.4. 3 – Diagrama unui pachet ESP – 35 –
Fig.4. 4 – Nodurile MPLS – 38 –
Fig.4. 5 – Tabele de rutare în MPLS-VPN – 39 –
Fig.5. 1 – Simulatorul GNS3 – 43 –
Fig.5. 2 – Configurarea legăturii spre imaginile IOS – 43 –
Fig.5. 3 – Alegerea fișierului .bin corespunzător sistemului IOS al routerului – 44 –
Fig.6. 1 – Structura administrativă – 47 –
Fig.6. 2 – Microsoft Loopback Adapter – 47 –
Fig.6. 3 – Configurare Microsoft Loopback Adapter – 48 –
Fig.6. 4 – Structura rețelei in GNS3 – 48 –
Fig.6. 5 – Deschiderea consolei unui router – 49 –
Fig.6. 6 – Consolă router – 49 –
Fig.6. 7 – Configurarea router-ului Internet – 50 –
Fig.6. 8 – Confirmare configurare router Internet – 51 –
Fig.6. 9 – Configurare router Terminal_B – 52 –
Fig.6. 10 – Confirmare configurare router Terminal_B – 52 –
Fig.6. 11 – Configurarea router-ului Terminal_A – 53 –
Fig.6. 12 – Confirmare configurare router Terminal_A – 54 –
Fig.6. 13 – Verificare conectare Microsoft Loopback Adapter cu GNS3 – 54 –
Fig.6. 14 – Verificare conectare Microsoft Loopback Adapter cu GNS3 – 55 –
Fig.6. 15 – Lansare Site-to-Site VPN – 55 –
Fig.6. 16 – Configurare Tunel – 56 –
Fig.6. 17 – Alegerea cheii de autentificare – 56 –
Fig.6. 18 – Algortmii predefiniți de criptare și autentificare – 57 –
Fig.6. 19 – Alegerea protocolului de rutare – 58 –
Fig.6. 20 – Alegerea adresei IP de la disțanta – 58 –
Fig.6. 21 – Sumarul Configurației – 59 –
Fig.6. 22 – Generare cod tunel – 59 –
Fig.6. 23 – Testarea Tunelului – 60 –
Fig.6. 24 – Verificare tunel – 61 –
Tabel 3. 1 – Costuri lunare pentru linii dedicate versus VPN – 20 –
Tabel 3. 2 – Costuri lunare topologia plasă – 20 –
1.MEMORIU JUSTIFICATIV
Rețelele de comunicații reprezintă o realitate cotidiană pentru fiecare dintre noi în toate domeniile de activitate.
Ultimele decenii s-au caracterizat printr-o explozie informațională fără precedent fapt ce a condus la creșterea importanței resurselor de comunicație. Schimbul de informații reprezintă motivația existenței rețelelor de calculatoare interconectate.
Proiectul de diplomă trateaza una dintre tehnologiile moderne de transport securizat al datelor în spațiul public în cadrul rețelelor de comunicații și anume rețelele virtuale private (Virtual Private Networks – VPN). Tehnologia rețelelor virtuale a apărut ca o soluție prin care se asigură confidențialitatea datelor transmise printr-un mediu public precum Internet-ul.
Un VPN este o rețea de comunicații privată, folosită de obicei în cadrul uneia sa mai multor organizații, pentru a comunica în mod confidențial, prin intermediul unei rețele publice. Mesajele din traficul unui VPN pot fi transmise prin intermediul infrastructurii unei rețele publice folosind protocoalele standard.
Prin VPN, angajații aflați la distanță au acces direct la resursele companiei. În acest caz se evidențiază simplitatea pentru utilizator (Indiferent de distanță informațiile sunt accesibile ca și cum ai fi în sediul firmei) și administrarea ușoară și centralizată. Pe de altă parte, accesul este permis utilizatorilor diferențiat, în funcție de profilul predefinit.
Motivația de bază pentru construirea unui VPN este legată de costurile ce țin de comunicații. Este mult mai ieftin să se foloseasca o singură legătură fizică comună pentru servirea mai multor clienți din rețea decât să se utilizeze linii dedicate pentru fiecare client cum se face la tradiționalul acces prin dial-up.
Am optat în alegerea temei „Rețele Virtuale Private” cu scopul de a mă perfecționa în domeniul securității rețelelor de comunicații. Cunoștiințele dobândite în cadrul facultății în acest domeniu, m-au determinat să tratez acest concept modern al rețelelor de calculatoare.
2. ELEMENTE FUNDAMENTALE DESPRE INTERCONECTAREA CALCULATOARELOR
2.1 Modelul de referință ISO/OSI
Modelul de referință OSI (Open Systems Interconection – Interconectarea sistemelor deschise) se bazează pe o propunere dezvoltată de către Organizația Internațională de Standardizare (Internațional Standards Organization – ISO) ca un prim pas către standardizarea internațională a protocoalelor folosite pe diferite niveluri (Day și Zimmerman, 1983).
Modelul se numește ISO OSI, pentru că el se ocupă de conectarea sistemelor deschise comunicării cu alte sisteme.
Modelul de referința OSI cuprinde șapte nivele numerotate de jos în sus, după cum sunt prezentate în figura 2.1. Cele mai esentiale concepte pentru modelul de referinta OSI sunt: serviciile, protocoalele si interfetele.Cea mai mare contributie a nivelului OSI in comunicatii este ca a facut explicita diferenta intre cele trei concepte.rolul fiecarui nivel este acela de a ascunde nivelului superior detaliile de transmisie catre nivelul inferior si invers. Nivelele superioare beneficiaza de serviciile oferite de nivelele inferioare in mod transparent.
Comunicatia intre nivelele similare ale terminalelor se realizeaza pe baza unui protocol specific denumit dupa numele nivelului.In afara protocolului de la nivel fizic toate celelalte protocoale sunt asociate unor comunicatii virtuale doarece nu exista o legatura reala intre aceste nivele. Transferul de date se realizeaza doar la nivel fizic acolo unde are loc comunicatia reala dintre calculatoare si anume printr-un circuit fizic
În ceea ce privește fluxul de date deoarece unul dintre principiile de bază al arhitecturii pe niveluri este capacitatea de a diviza procesele de comunicații în entități distincte, este necesar un mecanism care să identifice procesul efecutat la fiecare nivel în timpul transmisiei datelor de la nivelul aplicație în jos, în vederea transferului printr-un mediu fizic. Acest mecanism de identificare consta dintr-o serie de anteturi care sunt atașate la datele transferate sub formă de pachete distincte. La recepție, anteturile sunt eliminate în ordine inversă, iar datele originale, fără antet, sunte recepționate la nivelul aplicație al destinatarului.
Fig.2. 1 – Modelul ISO/OSI
Se observă că pe fiecare nivel unitatea de date este denumită altfel. Denumirea unității de date pe fiecare nivel al modelului OSI depinde de protocolul aplicat.
La nivel fizic pe canalul de comunicație din rețea datele se transmit în format binar (biți 0 și 1);
La nivelul legatură de date circulă cadre de biți, adică pachete încapsulate cu antet și marcaj final, care includ adresele sursei și destinației pentru a putea expedia datele;
Pe nivelul rețea se expediază pachete, acestea realizează controlul traficului informațional din rețea, se rezolvă congestiile, eventual se convertește formatul pachetului dintr-un protocol în altul;
Nivelul de transport deplaseaza datele între aplicații. Acest nivel răspunde de siguranța transferului datelor de la sursă la destinație, controlul traficului, multiplexarea și demultiplexarea fluxurilor, stabilirea și anularea conexiunilor din rețea;
Nivelul de sesiune furnizează diverse servicii între procesele pereche din diferite noduri: transfer de fișiere, legături la distanță în sisteme cu acces multiplu, gestiunea jetonului de acordare a permisiunii de a transmite date, sincronizarea sistemului. Acest nivel este considerat ca fiind interfața dintre utilizator si rețea;
Nivelul de prezentare se ocupă de respectarea sintaxei și semanticei impuse de sistem, de codificarea datelor (compresie, criptare) și reprezentarea lor în formatul standard acceptat;
La nivelul aplicație se implementează algoritmii software care convertesc mesajele în formatul acceptat de un anumit terminal de date real;
2.2 Modelul TCP/IP
TCP/IP (Transmission Control Protocol/Internet Protocol) este o suită de protocoale, dintre care cele mai importante sunt TCP (Transmission Control Protocol) și IP (Internet Protocol), care a fost transformat în standard pentru Internet de către Departamentul pentru Apărare al Statelor Unite, și care permite comunicația între rețele eterogene (interconectarea rețelelor). Modelul de referință ISO/OSI definește șapte nivele pentru proiectarea rețelelor, pe când modelul TCP/IP utilizează numai patru din cele șapte nivele, după cum se vede din figura 2.2.
Fig.2. 2 – Modelul TCP/IP
Familia de protocoale TCP/IP are o parte stabilă, dată de nivelul Internet (rețea) și nivelul transport, și o parte mai puțin stabilă, nivelul aplicație, deoarece aplicațiile standard se diversifică mereu.
Suita de protocoale TCP/IP gestionează toate transferurile de date din Internet, care se realizează fie ca flux de octeți, fie prin unități de date indepedente denumite datagrame.
Numele suitei de protocoale este dat de protocolul de rețea (IP) și de cel de transport (TCP). Stiva de protocoale TCP/IP include mai multe protocoale deosebit de utile pentru furnizarea serviciilor Internet.
Protocoalele în această familie sunt ierarhizate pe cele patru nivele ale modelului TCP/IP ca în figura 2.3.
Fig.2. 3 – Suita de protocoale TCP/IP
2.3 Modelul Client-Server
Modelul Client-Server este un exemplu util pentru înțelegerea proceselor de comunicații și realizarea programelor de aplicații pentru rețea.
Clientul este partea hardware sau software care adresează o cerere.
Serverul este partea hardware sau software care răspunde cererii clientului.
Fig.2. 4 – Modelul client-server
Pe aceste considerente, calculatoarele din rețea pe care sunt instalate programe software de tip server poartă simplu denumirea de servere.
Numeroase procese de comunicație din rețea dintre echipameninterconectarea rețelelor). Modelul de referință ISO/OSI definește șapte nivele pentru proiectarea rețelelor, pe când modelul TCP/IP utilizează numai patru din cele șapte nivele, după cum se vede din figura 2.2.
Fig.2. 2 – Modelul TCP/IP
Familia de protocoale TCP/IP are o parte stabilă, dată de nivelul Internet (rețea) și nivelul transport, și o parte mai puțin stabilă, nivelul aplicație, deoarece aplicațiile standard se diversifică mereu.
Suita de protocoale TCP/IP gestionează toate transferurile de date din Internet, care se realizează fie ca flux de octeți, fie prin unități de date indepedente denumite datagrame.
Numele suitei de protocoale este dat de protocolul de rețea (IP) și de cel de transport (TCP). Stiva de protocoale TCP/IP include mai multe protocoale deosebit de utile pentru furnizarea serviciilor Internet.
Protocoalele în această familie sunt ierarhizate pe cele patru nivele ale modelului TCP/IP ca în figura 2.3.
Fig.2. 3 – Suita de protocoale TCP/IP
2.3 Modelul Client-Server
Modelul Client-Server este un exemplu util pentru înțelegerea proceselor de comunicații și realizarea programelor de aplicații pentru rețea.
Clientul este partea hardware sau software care adresează o cerere.
Serverul este partea hardware sau software care răspunde cererii clientului.
Fig.2. 4 – Modelul client-server
Pe aceste considerente, calculatoarele din rețea pe care sunt instalate programe software de tip server poartă simplu denumirea de servere.
Numeroase procese de comunicație din rețea dintre echipamente sau module software au loc pe baza modelului client-server. De multe ori, rolurile de client și de server se inversează pe durata comunicației.
Aplicația server se autoinițializează după care rămâne într-o stare de așteptare până la primirea unei cereri de serviciu de la un client. Aplicația client este cea care solicită conexiunea iar aplicația server primește cererea și o rezolvă.
2.4 Modelul Peer-to-Peer
Modelul de rețea de comunicații în pereche (P2P – Peer-to-Peer) reunește în fiecare nod rolurile de client și de server, rezultând o pereche de noduri comunicante cu drepturi egale precum în telefonia clasică. Topologia de rețea de tip “plasă’’ (mesh) ilustrează foarte bine acest concept.
Fig.2. 5 – Rețea de comunicații P2P
Primele rețele P2P erau folosite pentru distribuția de fișiere muzicale în format .mp3 iar în prezent aplicațiile sunt mult diversificate (mesagerie scrisă, vocală sau video, schimb de fișiere de orice tip, forumuri de discuții).
Din punctul de vedere al securității, aceste aplicații P2P sunt de multe ori critice, ele permițând accesul neautorizat la resursele rețelei:
Pot fi modificate programele software folosite în comunicațiile P2P;
Pot fi redirecționate pachetele spre destinații inexistente sau incorecte rezultând pierderi de pachete;
2.5 Adrese IP
Fiecare calculator, gazdă sau router, din INTERNET are un nume global, numit adresă IP, care codifică identitatea sa precum și identitatea rețelei căreia îi aparține. Această combinație de adrese trebuie să fie unică. Nu este permisă existența a două calculatoare cu aceeași adresă IP.
2.5.1 Internet protocol versiunea 4 (Ipv4)
În versiunea Ipv4 toate adresele IP au lungimea de 32 de biți și sunt incluse în câmpurile adresă sursă și adresă destinație din antetul datagramelor IP. În fiecare țară care implementează rețele TCP/IP, există un comitet național responsabil de administrarea și distribuirea adreselor IP. Responsabilitatea mondială pentru administrarea adreselor IP o are grupul IANA, Internet Assigned Numbers Authority. În mod uzual adresele IP sunt scrise în zecimal cu punct, DDN, Dotted Decimal Numbers. Iată un exemplu de adresă IP: 192.168.10.90.
Fig.2. 6 – Formatul pachetului Ipv4
Când a fost standardizat IP, s-a demonstrat că o metodă unică de împărțire a adresei pe 32 de biți în adresa rețelei și adresa sistemului gazdă ar reprezenta o risipă în ceea ce privește alocarea adreselor. De exemplu: dacă toate adresele ar fi divizate în mod egal, adică 16 biți pentru numărul rețelei și 16 biți pentru numărul sistemului gazdă, ar rezulta maximum 65.534 (216-2) rețele cu maximum 65.534 calculatoare per rețea. În aceste condiții, atribuirea unui număr de rețea unei organizații cu numai 100 de calculatoare ar avea ca rezultat 65.434 de adrese nefolosite, care nu ar putea fi atribuite altei organizații. Dată fiind această problemă, proiectanții IP au decis să împartă spațiul de adrese pe 32 biți cuprins între 0.0.0.0 și 255.255.255.255 în diferite clase de adrese, rezultând cinci asemenea clase:A, B, C, D și E.
Fig.2. 7 – Structura adreselor pentru cele 5 clase
2.5.2 Internet Protocol versiunea 6 (Ipv6)
Internet Protocol versiunea 6 (Ipv6) sau IP next generation (IPng) este noua versiune a Protocolului Internet (IP). Acesta substituie în mod progresiv versiunea IPv4 a protoculului IP responsabil în momentul de față în interconexiunile dintre routere și a miilor de rețele conectate la componentele de bază a rețelei internet actuale.
IPv6 implică mai întâi de toate o mărire enormă a spațiului de adrese de la 232 la 2128, o autoconfigurare a adresei printr-un mecanism fără stări, o standardizare a dimensiunei unei subrețele, dar și integrarea securității din protocolul IPSec.
IPv6 a fost proiectată pentru a oferi oricărui utilizator de pe glob mai multe adrese la nivel mondial, care pot fi folosite pentru o mare varietate de dispozitive, inclusiv telefoane mobile, vehicule cu suport IP, PDA-uri, electrocasnice, și multe altele.
Antetul de bază Ipv6 are structura de mai jos:
Fig.2. 8 – Formatul pachetului Ipv6
Version: versiunea protocolului IP, în cazul Ipv6 câmpul are mereu valoarea 6;
Class: 8 biți folosiți pentru definirea Tos (Type of Service) în implementarea Qos (Quality of Service). Funcția acestui câmp este comună cu cea din IPv4;
Flow label: este folosit de către sursa unei transmisii pentru a marca identitatea unui flux de date. Alături de adresa sursă și adresa destinație, eticheta (label) poate fi folosită în tehnici de QoS sau Comutare Multistrat (Multilayer Switching) pentru obținerea unui timp mai bun de comutare a pachetelor;
Payload length: este folosit pentru specificarea dimensiunii pachetului. Este echivalentul lui Total length din IPv4;
Hop limit: este folosit pentru specificarea numărului maxim de hopuri peste care un pachet poate fi rutat. Câmpul este decrementat de către fiecare router de pe parcurs, la primirea pachetlui;
Source address: adresa IPv6 sursă exprimată pe 128 biți;
Destination address: adresa IPv6 destinație exprimată pe 128 biți;
Next header: este echivalentul cămpului Protocol din IPv4. Este folosit pentru specificarea protocolului de nivel superior, încapsulat în pachet.
Implementarea IPv4 utilizează una din cele două metode pentru alocarea adreselor IP la o gazdă: alocare statică (aceasta reprezintă o gestionare complexă) sau DHCP care alocă în mod automat adresele IP la o gazdă, odată cu conectarea calculatorului la rețea.
IPv6 oferă ca facilitate autoconfigurarea independentă, care este similară cu DHCP.
Spre deosebire de DHCP, această facilitate de autoconfigurare nu necesită utilizarea unei cereri speciale de DHCP sau server atunci când se alocă adrese IP pentru dispozitivele de rețea generice care nu au suport DHCP.
Principalele inovații de care beneficiază pachetul de protocoale IPv6 sunt:
extinderea spațiului alocat pentru adrese;
posibilitatea de autoconfigurare ușoară a adreselor;
suport pentru multimedia și aplicații în timp real;
creșterea gradului de securizare a datelor (IPsec încorporat);
depistarea adreselor duble;
În cadrul RFC-ului 3513 au fost definite trei tipuri diferite de transmisie în IPv6: unicast, multicast, anycast. Cu observația că în IPv6 nu există tipul de transmisie broadcast. Acesta fiind înlocuit cu multicast-ul IPv6.
2.5.3 Interconectarea rețelelor Ipv4 cu rețelele IPv6
Trecerea de la IPv4 la IPv6 este un proces de durată. Din păcate nu este posibil ca toate companiile si ISP-urile să migreze simultan toate rețelele pe IPv6. Trebuie să existe metode prin care o organizație să își poată trece treptat rețeaua pe IPv6 deoarece până la o migrare completă, se va trece printr-o perioadă în care cele două tipuri de rețele vor trebui să coexiste.
De la primele implementări IPv6 s-a ținut cont de această problemă la care s-au găsit multiple soluții:
rutere dual-stack : acestea pot rula simultan și IPv4 și IPv6;
tehnici de tunelare : dacă între două rețele IPv6 există rutere care rulează numai IPv4 va trebui făcut un tunel cu antet IPv4 în care sa fie ascuns pachetul IPv6;
NAT-PT (Network Address Translation-Protocol Translation): implementează o metodă de comunicare între o stație ce rulează numai IPv6 și o stație ce rulează numai IPv4.
2.6 Atacuri asupra rețelelor
Atacurile asupra rețelelor de comunicatții pot fi clasificate după mai multe criterii.
Ținând cont de locul de unde se execută, atacurile pot fi:
Locale (local);
De la distanță (remote);
O altă clasificare a atacurilor adresate rețelelor de comunicații, în funcție de modul în care acționează acestea, ca sursă și destinație, atacurile pot fi:
Centrate pe o singura entitate;
Distribuție (lansate din mai multe locații sau către mai multe entități);
După modul de interacțiune a atacatorului cu informația obținută în urma unui atac reușit, se disting două categorii de atacuri:
Pasive;
Active;
O categorie de atac asupra informațiilor stocate sau transmise în rețea o reprezintă atacurile criptografice, prin care se încearcă extragerea informației din mesajele criptate.
Un tip aparte de atac îl reprezintă așa-numitul atac etic lansat periodic de personalul de administrare a rețelei, simulare de atac menită a testa securitatea rețelei și a descoperi vulnerabilitățile acesteia.
2.6.1 Atacuri pasive
Atacurile pasive sunt acele atacuri în cadrul cărora intrusul doar observă rețeaua, canalul de comunicație, adică monitorizează transmisia și eventual, preia semnalul sau pachetele de date fiind denumite și atacuri de intercepție.
Atacurile pasive pot fi :
De citire și înregistrare a conținutului mesajelor, de exemplu, în serviciul de email;
De analiză a traficului;
Fig.2. 9 – Model de atac pasiv
Atacul pasiv de simplă observare sau de ascultare a traficului poate fi simplu realizat în rețelele wireless (fără fir) cu echipamente de radiorecepție acordate pe frecvența de lucru a rețelei.
Din acest punct de vedere, rețelele optice sunt cele mai bine protejate fiind practic imposibilă interceptarea traficului fără a se sesiza prezența intrusului. Riscurile cele mai mari de atac pasiv, de intercepție a informațiilor din rețea apar în rețelele wireless. Vulnerabilitatea la rețelele cablate apare în nodurile de comunicație de tip hub sau switch.
2.6.2 Atacurile active
Atacurile active au ca scop furtul sau falsificarea informațiilor transmise ori stocate în rețea, reducerea disponibilității rețelei prin supraîncărcarea acesteia cu pachete, perturbarea sau blocarea comunicațiilor prin atac fizic sau logic asupra echipamentelor din rețea și a căilor de comunicații.
Până în prezent s-au identificat mai multe tipuri de atacuri active:
Mascarada este un atac în care o entitate din rețea pretinde a avea o altă identitate pentru a prelua informații confidențiale.
Un alt tip de atac constă în modificarea mesajelor. Mesajul transmis este interceptat, întârziat, iar conținutul său este schimbat sau reordonat.
Falsificarea datelor și a mesajelor este posibilă și prin atacul de tip „omul din mijloc” când atacatorul se află într-un nod intermediar și poate intercepta mesajele transmise de sursă înlocuindu-le cu mesaje proprii, cu informații false.
Refuzul serviciului constă într-o supraîncărcare a serverelor cu cereri din partea atacatorului și consumarea resurselor, astfel încât acele servicii să nu poată fi oferite și altor utilizatori.
Reluarea unui mesaj sau a unui fragment din acesta este un atac lansat cu scopul de a produce un efect neautorizat în rețea. Acest atac poate avea ca efect erori de management de rețea, interzicerea accesului clientului la anumite resurse.
Din această categorie a atacurilor active, fac parte și programele cu scopuri distructive (virus, worm, spy, spam).
Virușii de rețea sunt programe inserate în aplicații, care prin automultiplicare pot determina saturarea completă a spațiului de memorie și blocarea sistemului. Pătrunderea unui virus într-o rețea de comunicații o face vulnerabilă la orice formă de atac, tentativă de fraudă sau de distrugere.
Viermii de rețea (worms) au de asemenea efecte de blocare sau de distrugere a datelor și a rețelei ca și virușii. Principalele diferențe față de aceștia sunt acelea că iși schimbă permanent locația fiind dificil de detectat și că nu se multiplică singuri.
Troian este o aplicație care pe lângă funcția de utilizare declarată, realizează și o funcție secretă. De exemplu înlocuiește codul unui program normal de autentificare pe bază de nume de utilizator și parolă, printr-un alt cod care, în plus, permite copierea într-un fișier a numelui și a parolei pe care utilizatorul le introduce. Contra măsurile în acest caz constau în rularea unui program antivirus cu semnături cât mai complete.
Fig.2. 10 – Model de atac activ
3.REȚELE VIRTUALE PRIVATE
3.1 Introducere în VPN
O rețea constă din două sau mai multe dispozitive care pot comunica liber, electronic, între ele, prin cabluri sau fire. În primul rând VPN este o rețea. Chiar dacă fizic nu există, un VPN trebuie să fie perceput ca o extensie a infrastructurii unei rețele, care aparține unei companii. Acest lucru înseamnă că trebuie să fie disponibil și rețelei existente, sau la un grup restrâns de utilizatori din aceea rețea.
Virtual înseamnă ireal sau într-o altă stare de existență. În VPN comunicația privată între două sau mai multe dispozitive se realizează printr-o rețea publică, Internetul. Astfel, comunicația este virtuală dar nu și prezentă fizic.
Privat înseamnă a ascunde ceva publicului general. Chiar dacă dispozitivele comunică între ele într-un mediu public, nu există o parte terță care poate întrerupe această comunicație sau poate recepționa datele schimbate între ele.
O Rețea Virtuală Privată (VPN – Virtual Private Network – figura 3.1) conectează componentele și resursele unei rețele private prin intermediul unei rețele publice. Altfel spus, o rețea virtuală privată este o rețea a unei companiei implementată pe o infrastructură comună, folosind aceleași politici de securitate, de management și de performanță care se aplică de obicei într-o rețea publică. Practic, tehnologia rețelelor virtuale private permite unei firme să-și extindă prin Internet serviciile de rețea la distanță oferite utilizatorilor, reprezentanțelor sau companiilor partenere în condiții de maximă securitate. Avantajul acestor rețele este evident și anume crearea unei legături de comunicație rapidă, ieftină și sigură.
Fig.3. 1– VPN (Rețea Privată Virtuală)
3.2 Modul de funcționare
VPN permite utilizatorilor să comunice printr-un tunel prin Internet sau printr-o altă rețea publică în așa fel încât participanții la tunel să se bucure atât de securitate cât și de aceleași posibilități puse la dispoziție doar în rețelele private.
La adoptarea unei rețele virtuale private prin Internet există două probleme majore și anume securitatea și performanța. Protocolul de control al transmisiei (TCP/IP) și Internetul nu au fost gândite inițial pentru a asigura în principal securitate și performanță, deoarece în acea vreme utilizatorii și aplicațiile lor nu necesitau o securitate puternică și o performanță garantată. Din fericire, standardele pentru securitatea datelor din rețelele IP au evoluat facând posibilă crearea VPN-urilor folosind rețele IP.
În mod normal, când o companie proiectează o soluție de acces de la distanță la o rețea, dorește să permită accesul controlat la resurse și informații. Soluția trebuie să permită clienților autorizați să se conecteze cât mai ușor la LAN-ul corporației, și să permită sucursalelor să se conecteze între ele pentru a pune în comun informații și resurse (conexiuni LAN-LAN). În plus, soluția trebuie să asigure securitatea și integritatea datelor când acestea traversează Internet-ul. Aceleași preocupări apar și în cazul în care datele ce trebuie protejate traversează inter-rețeaua corporației.
În consecință, o soluție VPN trebuie să efectueze cel puțin următoarele funcții :
Autentificarea utilizatorului. Soluția trebuie să verifice identitatea utilizatorului și să permită accesul prin VPN doar a utilizatorilor autorizați. În plus, soluția trebuie să mai permită monitorizarea și jurnalizarea activităților pentru a putea arăta cine și când a accesat o anumită informație.
Criptarea datelor. Datele transferate prin rețeaua publică trebuie făcute ilizibile pentru clienții neautorizați.
Gestiunea cheilor. Soluția trebuie să genereze și să împrospăteze cheile de criptare atât pentru client cât și pentru server.
Suport multiprotocol. Soluția trebuie să fie capabilă să manevreze protocoalele deja existente în rețelele publice, cum ar fi Internet Protocol (IP), Internet Packet Exchange (IPX), etc.
Pentru a realiza o rețea privată virtuală folosind o rețea publică de tip WAN (Wide Area Network), trebuie depășite două obstacole principale.
Primul obstacol apare din cauza diversității de protocoale prin care comunică rețelele, Internetul recunoscând doar traficul de tip IP. VPN-urile trebuie să găsească un mijloc prin care să poată transmite informația și prin protocoale non-IP de la o rețea la alta. Când un VPN primește o instrucțiune de transmitere a unui pachet prin mediul Internet, aceasta negociază o cheie de criptare cu un dispozitiv VPN similar din rețeua destinație. Datele în format IPX/PPP sunt trecute în format IP pentru a putea fi transportate prin rețeaua publică.
Al doilea obstacol constă în faptul că pachetele de date sunt transmise prin Internet în format text. În consecință, oricine are acces la trafic poate avea acces și la conținutul pachetelor. Aceasta este o problemă în condițiile în care dorim să comunicăm informații confidențiale și în același timp să folosim și Internetul. Soluția la această problemă a condus la apariția VPN-urilor și a fost denumită tunneling. Acesta este o alternativă la pachetele transmise printr-un mediu ce nu oferă protecție și constă în criptarea datelor încapsulate în pachete de tip IP și transmise printr-un tunel virtual prin Internet.
Tunelurile pot avea două tipuri de puncte terminale, fie un calculator individual, fie o rețea LAN cu un gateway de securitate – poate fi un router sau un firewall. Orice combinație a acestor două tipuri de puncte terminale poate fi folosită la proiectarea unei rețele VPN.
În cazul tunelării LAN-to-LAN, gateway-ul de securitate al fiecărui punct terminal servește drept interfață între tunel și rețeaua privată LAN. În astfel de cazuri, utilizatorii fiecărui LAN pot folosi tunelul în mod transparent pentru a comunica unii cu alții.
Cazul tunelului client-to-LAN, este acel caz stabilit de regulă pentru utilizatorii mobili care doresc să se conecteze la rețeaua locală a firmei. Pentru a comunica cu rețeaua din firmă, clienții (utilizatorii mobili), inițiază crearea tunelului. Pentru aceasta, clienții rulează un software special, care comunică cu gateway-ul de protecție al rețelei LAN.
Din perspectiva utilizatorului, VPN este o conexiune punct-la-punct între calculatorul propriu și serverul corporației.
3.3 Avantaje VPN
O rețea virtuală privată poate aduce multe beneficii unei companiei:
Reducerea costurilor – Rețelele virtuale private sunt mult mai ieftine decât rețelele private proprietare ale companiilor. Se reduc costurile de operare a rețelei (linii închiriate, echipamente, administratori de rețea).
Exemplu: Un scenariu simplu, trei sedii ale aceleiași companii americane aflate în orașele Boston, Washington DC, New York dorind să fie conectate în permanență acestea au ales soluția liniilor dedicate închiriate după care au decis să folosească conexiunea VPN. În tabelul 3.1 se observă diferența de costuri în ceea ce privește cele două soluții.
Tabel 3. 1 – Costuri lunare pentru linii dedicate versus VPN
A doua parte a scenariului, compania respectivă a creat o rețea plasă (mesh) între cele trei orașe. Costurile aferente topologiei plasă sunt prezentate în tabelul 3.2.
Tabel 3. 2 – Costuri lunare topologia plasă
Integrare, simplitate – Se simplifică topologia rețelei companiei private. De asemenea, prin aceeași conexiune se pot integra mai multe aplicații: transfer de date, Voice over IP, Videoconferințe.
Mobilitate – Angajații mobili precum și partenerii de afaceri (distribuitori sau furnizori) se pot conecta la rețeaua companiei într-un mod sigur, indiferent de locul în care se află.
Securitate – Informațiile care circulă printr-o rețea virtuală privată (VPN) sunt protejate prin diferite tehnologii de securitate (autentificare, criptare, IPSec).
Oportunități, comerț electronic – Se pot implementa noi modele de business (cum ar fi: business-to-business, business-to-consumer, electronic commerce) care pot aduce venituri suplimentare companiilor.
Scalabilitate – Afacerea companiei crește, deci apare o nevoie permanentă de angajați mobili și conexiuni securizate cu partenerii strategici și distribuitorii.
3.4 Modalitați de conectare VPN
Termenul de VPN descrie trei modalități de abordare a problemei rețelelor private, care au ca suport o rețea publică, din punctul de vedere al accesibilității:
3.4.1 VPN-urile cu acces de la distanță (Remote Access VPN)
Permit utilizatorilor dial-up să se conecteze securizat la un site central printr-o rețea publică. Acestea mai sunt numite și „dial” VPN-uri. Acestea sunt de două tipuri:
Conexiune inițiată de client: Clienții care vor să se conecteze la site-ul firmei trebuie să aibă un client VPN instalat care să le asigure criptarea datelor dintre computer-ul lor și sediul ISP-ului (Internet Service Provider), deci întregul circuit al informației se face în mod criptat. Se mai folosește un server de acces NAS (Network Access Server) care face logarea și stabilirea tunelului criptat în ambele direcții ale fluxului de date.
În imaginea de mai jos (figura 3.2) se poate observa funcționarea acestui tip de Access VPN:
Fig.3. 2– Conexiune inițiata de client
Conexiunea inițiată de NAS (Network Access Server): Această conexiune este ceva mai simplă deoarece nu implică folosirea unui client VPN. Tunelul criptat se realizează între NAS-ul ISP-ului și sediul firmei la care se vrea logarea. Securitatea dintre client și NAS se bazează pe siguranța liniilor telefonice (acesta poate fi un dezavantaj).
Schema de funcționare este redată în figura 3.3 de mai jos:
Fig.3. 3– Conexiune inițiata de NAS
3.4.2 VPN-urile intranet (Intranet VPN)
Permit extinderea rețelelor private prin Internet sau prin alt serviciu de rețea publică într-o manieră securizată. Acestea sunt denumite și VPN-uri „site-to-site” sau „LAN-to-LAN”. Acest tip de VPN permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care ating rate de transfer foarte bune, limita fiind determinată de suma de bani pe care firma este dispusă să o investească în infrastructura informațională.
Această arhitectură utilizează două routere la cele două capete ale conexiunii, între acestea realizându-se un tunel criptat. Din această cauză nu se mai folosește un client VPN ci se folosește IPSec. IPSec (IP Security Facility) este un protocol standardizat de nivel 3 care asigură autentificarea, confidențialitatea și integritatea transferului de date între o pereche de echipamente care comunică. Se folosește Internet Key Exchange (IKE) care necesită introducerea la ambele capete ale conexiunii chei de autentificare care mai apoi vor permite logarea reciprocă.
Schema conexiunii este redată în figura 3.4:
Fig.3. 4 – VPN Intranet
3.4.3 VPN-urile extranet (Extranet VPN)
Permit conexiuni securizate între partenerii de afaceri, clienți și furnizori, în general în scopul realizării comerțului electronic. VPN-urile extranet sunt o extensie a VPN-urilor intranet la care se mai adaugă firewall-uri pentru protecția rețelei interne. Pentru a permite accesul unor utilizatori care nu fac parte din structura firmei se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate. Aceste certificate sunt furnizate de o autoritate care are ca domeniu de activitate acest lucru.
Schema de principiu este redată în figura 3.5 de mai jos:
Fig.3. 5 – VPN Extranet
3.5 Tipuri de rețele VPN
3.5.1 VPN cu livrare sigură (Trusted VPN)
Înainte ca Internetul să devine aproape universal, o rețea virtuală privată consta în unul sau mai multe circuite închiriate de la un furnizor de comunicații. Fiecare circuit închiriat se comporta ca un singur fir într-o rețea controlată de client. Ideea de bază era ca acesta, clientul, să poată utiliza aceste circuite închiriate la fel ca și cablurile fizice din rețeaua proprie.
Siguranța oferită de aceste VPN-uri se referea doar la faptul că furnizorul de comunicații asigura clientul că nimeni altcineva nu va folosi aceleași circuite. Acest lucru permitea clienților să aibă adresare IP și politici de securitate proprii. Circuitele închiriate treceau printr-unul sau mai multe switch-uri de comunicații, fiecare dintre acestea putând fi compromise de către cineva doritor să intercepteze traficul rețelei. Clientul VPN avea încredere că furnizorul de VPN va menține integritatea circuitelor și va utiliza practicile cele mai bune disponibile pentru a evita interceptarea traficului pe rețea.
3.5.2 VPN securizate (Secure VPN)
Odată cu popularizarea Internetului ca un mediu de comunicații corporativ, securitatea a devenit un aspect important atât pentru clienți cât și pentru furnizori. Văzând că VPN cu livrare sigură nu oferă o reală securitate, furnizorii au început să creeze protocoale care permit criptarea traficului, trecerea prin rețea ca orice alte date și apoi decriptarea în momentul în care datele ajung la calculatorul destinație. Acest trafic criptat se comportă de parcă ar fi un tunel între cele două rețele: chiar dacă un atacator poate observa traficul, nu-l poate citi și nu îi poate schimba conținutul fără ca aceste schimbări să fie observate de partea de recepție și, în concluzie, rejectate. Rețelele construite utilizând criptarea se numesc VPN-uri securizate (Secure VPN).
3.5.3 VPN hibrid (Hybrid VPN)
Un VPN securizat poate rula ca parte a unui VPN cu livrare sigură, creând un al treilea tip de VPN, foarte nou pe piață: VPN hibrid (Hybrid VPN). Părțile sigure a unui VPN hibrid pot fi controlate de client (de exemplu, utilizând echipament VPN securizat de partea lor) sau de același furnizor care asigură partea de încredere a VPN-ului hybrid . Câteodată întregul VPN hibrid este asigurat cu VPN-ul securizat dar, de obicei, doar o parte a VPN hibrid este sigură.
3.6 Tunelare
3.6.1 Principiile fundamentale ale tunelării
Tunelarea este o metodă de a folosi infrastructura inter-rețea pentru a transfera datele unei rețele printr-o altă rețea. În loc să se trimită cadrele cum se produc în nodul de origine, protocolul de tunelare încapsulează cadrul într-un header (antet) adițional. Header-ul adițional oferă informații de dirijare, astfel ca sarcina utilă încapsulată să poată traversa inter-rețeaua intermediară.
Pachetele încapsulate se dirijează apoi între capetele tunelului prin inter-rețea. Calea logică după care se deplasează pachetele încapsulate prin inter-rețea se numește tunel. Odată ce cadrele încapsulate ajung la destinație, cadrul se decapsulează și se transmite la destinația finală. Tunelarea include tot acest proces (încapsularea, transmisia și decapsularea pachetelor).
Fig.3. 6 – Tunelare
Tehnologia de tunelare poate fi bazată pe un protocol de tunelare pe nivelul 2 sau 3 ale modelului de referință OSI. Protocoalele de nivel 2 corespund nivelului legătură de date, și folosesc cadre ca unitate de schimb. PPTP (Point to Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol) și L2F (Layer 2 Forwarding) sunt protocoale de tunelare pe nivel 2; ele încapsulează încărcătura într-un cadru PPP(Point to Point Protocol) pentru a fi transmisă peste inter-rețea. Protocoalele de nivel 3 corespund nivelului rețea, folosesc pachete IP și sunt exemple de protocoale care încapsulează pachete IP într-un antet IP adițional înainte de a le transmite peste o inter-rețea IP.
Tunelul fiind stabilit, datele tunelate pot fi trimise. Clientul sau serverul de tunel folosește un protocol de transfer de date de tunel pentru a pregăti datele pentru transfer. De exemplu, când clientul de tunel dorește să transmită informații către serverul de tunel, clientul de tunel adaugă un antet de protocol de transfer de date de tunel la informația utilă. Apoi clientul trimite informația încapsulată rezultată prin inter-rețea, care o dirijează către serverul de tunel. Serverul de tunel acceptă pachetul, elimină antetul de protocol de transfer de date și transmite informația utilă la rețeaua țintă.
În prezent există o mare varietate de astfel de protocoale – de exemplu: PPTP, L2F, L2TP, IPSec, SOCKS5, FPSecure.
3.6.1.1 Point to Point Tunneling Protocol (PPTP) reprezintă o extensie a Point-to-Point Protocol (PPP), care încapsulează datele, IPX (Internetwork Packet eXchange) sau NetBEUT în pachetele IP. Acest protocol este folosit în mod fundamental de echipamentele ISP (Internet Service Provider), deoarece duce la un numitor comun participanții la sesiuni de comunicații. Este cea mai cunoscută dintre opțiunile pentru securitatea transferului de date în rețeaua VPN. A fost dezvoltat de Microsoft și inclus în Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare și acces de la distanță (Routing & Remote Access Service). Este plasat la nivelul 2 OSI.
3.6.1.2 Layer 2 Forwarding (L2F) este un protocol folosit pentru tunelarea protocoalelor de nivel înalt într-un protocol de nivel 2 (legătură de date – Data Link). De exemplu, se folosesc ca protocoale L2: HDLC (High-level Data Link Control), HDLC asincron sau cadre SLIP (Serial Line Internet Protocol). Deși această soluție facilitează conectivitatea pe linii de acces în rețele cu comutație de circuite, informația din fluxul L2F nu este criptată. Acest protocol a fost creat de Cisco. Combinat cu PPTP, constituie componentă a L2TP.
3.6.1.3 Layer 2 Tunneling Protocol (L2TP) este o combinație dintre un protocol al firmei Cisco Systems (L2F) și cel al firmei Microsoft denumit Point-to-Point Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX și AppleTalk, acest L2TP poate fi rulat pe orice tip de rețea WAN (Wide Area Network), inclusiv ATM (Asynchronous Transfer Mode) sau X.25. Cea mai importantă trăsătură a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft ca o componentă a sistemelor de operare Windows 95, Windows 98 și Windows NT. Astfel că orice client PC care rulează Windows este echipat implicit cu o funcție de tunelare, iar Microsoft furnizează și o schemă de criptare denumită Point-to-Point Encryption. În afara capacității de creare a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la același client, de exemplu spre o bază de date a firmei și spre intranetul aceleiași firme.
3.6.1.4 Internet Protocol Security sau IPSec (Internet Protocol Security Facility ), este o suită de protocoale care asigură securitatea unei rețele virtuale private prin Internet. IPSec este o funcție de nivel 3 și de aceea nu poate interacționa cu alte protocoale de nivel 3, cum ar fi IPX și SNA. Însă IPSec este poate cel mai autorizat protocol pentru păstrarea confidențialității și autenticității pachetelor trimise prin IP. Protocolul funcționează cu o largă varietate de scheme de criptare standard și negocieri ale proceselor, ca și pentru diverse sisteme de securitate, incluzând semnături digitale, certificate digitale, chei publice sau autorizații. Încapsulând pachetul original de date într-un pachet de tip IP, protocolul IPSec scrie în antet toată informația cerută de terminalul de destinație. Deoarece nu există modalități de autentificare sau criptare licențiate, IPSec se detașează de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor și standardelor, chiar și în paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea și autentificarea criptării în timp ce o rețea virtuală de tip L2TP primește un pachet, inițiază tunelul și trimite pachetul încapsulat către celălalt terminal VPN.
3.6.1.5 SOCKS 5 constituie o altă abordare a rețelelor virtuale private. Inițial produs de
Aventail, SOCKS 5 este puțin mai diferit de L2TP sau IPSec: el seamănă cu un server proxy și lucrează la nivelul de socket TCP. Pentru a utiliza SOCKS 5, sistemele trebuie încărcate cu un software client dedicat. În plus, firma trebuie să ruleze un server de tip SOCKS 5.
Partea pozitivă a lui SOCKS 5 este aceea că permite administratorilor de rețea să aplice diverse limitări și controlul traficului prin proxy. Deoarece lucrează la nivel TCP, SOCKS 5 vă permite să specificați care aplicații pot traversa prin firewall către Internet și care sunt restricționate.
Principalele dezavantaje rezidă în faptul că Socks 5 adaugă un nivel de securitate prin rutarea traficului printr-un sistem proxy, ceea ce duce la performanțe în general inferioare față de protocoalele de nivel inferior. În plus el prezintă o dependență față de modul de implementare a rețelelor VPN. Deși gradul de securitate este mai ridicat în comparație cu soluțiile plasate la nivelul OSI rețea sau transport, acest supliment de securitate pretinde o administrare mult mai sofisticată a politicilor. Mai mult, pentru construirea de conexiuni printr-un sistem firewall sunt necesare aplicații client, astfel încât toate datele TCP/IP să fie transmise prin serverul proxy.
3.7 Componente VPN. Metode de realizare a rețelelor VPN
În funcție de tipul VPN-ului (cu acces de la distanță sau site-to-site), pentru a construi o retea virtuală privată este nevoie de câteva componente:
software client pentru fiecare utilizator de la distanță;
hardware dedicat, precum un concentrator VPN sau un firewall PIX (Private Internet eXchange) de securitate;
un server VPN dedicat serviciilor dial-up;
un NAS (server de acces la rețea) folosit de furnizorul de servicii pentru accesul VPN al utilizatorilor de la distanță;
un centru de administrare a politicilor din rețeaua VPN.
O soluție VPN bazată pe Internet este alcătuită din patru componente principale:
Internet-ul;
Porțile de securitate (gateways);
Politicile de securitate ale server-ului;
Autoritățile de certificare.
Internet-ul furnizează mediul de transmitere. Porțile de securitate stau între rețeaua publică și rețeaua privată, împiedicând intruziunile neautorizate în rețeaua privată. Ele, deasemenea, dispun de capacități de tunelare și criptare a datelor înainte de a fi transmise în rețeaua publică. În general, o poartă de securitate se încadrează în una din următoarele categorii: routere, firewall, dispozitive dedicate VPN harware și software.
Sisteme VPN bazate pe routere
Pentru că router-ele trebuie să examineze și să proceseze fiecare pachet care părăsește rețeaua, este normal ca în componența acestora să fie inclusă și funcția de criptare a pachetelor de date. Comercianții de routere dedicate VPN (figura 3.7), oferă de obicei două tipuri de produse: ori cu un suport software pentru criptare, ori cu un circuit adițional echipat cu un co-procesor care se ocupă doar de criptarea datelor. Acestea din urmă reprezintă cea mai bună soluție pentru situațiile în care sunt necesare fluxuri mari de date. Trebuie avut grijă la adăugarea de noi sarcini pentru router (criptarea), pentru că, dacă router-ul nu poate face față și cade, atunci întreg VPN-ul devine nefuncțional.
Cisco 3660 Series Cisco 1710 Series Cisco 3620 Series
Fig.3. 7 – Routere folosite la VPN
Din punct de vedere al performanțelor, soluția bazată pe routere este cea mai bună dar implică un consum foarte mare de resurse, atât din punct de vedere financiar cât și din punct de vedere al resurselor umane, fiind necesari specialiști în securitatea rețelelor pentru a putea configura și întreține astfel de echipamente. Este o soluție foarte bună pentru companiile mari, care au nevoie de un volum foarte mare de trafic și de un grad sporit de securitate.
Fig.3. 8 – Soluție VPN bazată pe routere
Sisteme VPN bazate pe firewall
Cei mai mulți comercianți de firewall includ în produsele lor și capaciatea de tunelare. Asemeni router-elor, firewall-urile trebuie să proceseze tot traficul IP. Din această cauză, nu reprezintă o soluție potrivită pentru tunelare în cadrul rețelor mari cu trafic foarte mare.
Combinația dintre tunelare, criptare și firewall reprezintă probabil cea mai bună soluție pentru companiile mici, cu un volum mic de trafic. Ca și în cazul router-elor, dacă firewall-ul cade, întreaga rețea virtulă privată (VPN) devine nefuncțională.
Folosirea firewall-urilor pentru realizarea de VPN reprezintă o soluție viabilă, îndeosebi pentru companiile de dimensiuni mici, ce au un transfer mic de date (de ordinul 1-2 MB pe rețeaua publică).
Soluția unui firewall cu VPN integrat (figura 3.9) prezintă avantajul unei securități sporite (poarta de securitate a VPN-ului fiind protejată de filtrele aplicate de firewall) și, de asemenea, este mult mai ușor de întreținut, făcându-se practic management pentru ambele componente simultan.
Fig.3. 9 – Firewall cu VPN integrat
Echipamente harware dedicate
O altă soluție VPN o reprezintă utilizarea de hardware special (figura 3.10) proiectat să îndeplinească sarcinile de tunelare, criptare și autentificarea utilizatorilor. Aceste echipamente operează de obicei ca niște punți de criptare care se găsesc între router-ele rețelei și legătura WAN (legătura cu rețeaua publică). Deși aceste echipamente sunt proiectate pentru configurațiile LAN-to-LAN, unele dintre ele suportă și tunelare pentru cazul client-to-LAN.
Fig.3. 10 – Client hardware VPN
Integrând diverse funcții în cadrul aceluiași produs poate fi destul de atrăgător pentru o companie care nu dispune de resursele necesare pentru a instala și întreține echipamente de rețea diferite. O simplă pornire a unui astfel de echipament este mult mai simplă decât instalarea unui software pe un firewall, configurarea unui router și instalarea unui server RADIUS.
Chiar dacă o mare parte din aceste echipamente hardware (figura 3.11) par că oferă cele mai bune performanțe pentru un VPN, tot trebuie să se decidă numărul de funcții dorite pentru integrarea într-un singur echipament. Companiile mici, care nu dispun de personal specializat în securitatea rețelelor vor beneficia de aceste produse care integrează toate funcțiile unui VPN. Unele echipamente si anume cele mai scumpe includ surse duble de alimentare și au caracteristici deosebite care asigură fiabilitatea funcționării.
Este greu de depășit performanța acestor echipamente în capacitatea lor de a susține un volum de trafic foarte mare și un număr impresionant de tuneluri simultane, lucru esențial pentru companiile mari.
Fig.3. 11 – Cisco VPN 3002 Hardware Client
Soluții software dedicate
Componentele software VPN sunt de asemenea disponibile pentru crearea și întreținerea de tuneluri, fie între un client și o poartă de securitate, fie între două porți de securitate. Aceste sisteme sunt agreate datorită costurilor reduse și sunt folosite pentru companiile mici, care nu au nevoie să procesese un volum prea mare de date. Aceste soluții pot rula pe server-ele existente, împărțind astfel resursele cu acestea. Reprezintă soluția cea mai potrivită pentru conexiunile de tipul client-to-LAN.
Practic, se instalează o aplicație software pe calculatorul clientului care stabilește conexiunea cu serverul VPN. Există multe firme producătoare de astfel de aplicații,cum ar fi Microsoft, care a integrat în ultimele sisteme de operare lansate soluții software de acest gen. Asfel, sistemul de operare Windows 2003 Server are încorporat un server VPN iar, din punct de vedere al clienților, sistemele de operare Windows 2000 Pro, respectiv Windows XP au încorporat un client VPN. Practic se poate realiza o aplicație VPN fără a mai instala alte produse software sau hardware, trebuind doar configurate cele existente.
O componentă importantă a unui VPN, pe lângă porțile de securitate, o reprezintă politica de securitate a server-ului. Acest server menține listele de control al accesului și alte informații legate de utilizatori. Porțile de securitate folosesc aceste informații pentru a determina care este trafic autorizat și care nu.
În cele din urmă, autoritatea de certificare este necesară pentru a verifica cheile partajate între locații și pentru a face verificări individuale pe baza certificatelor digitale. Companiile mari pot opta pentru a-și menține propria bază de date cu certificate digitale pe un server propriu, iar în cazul companiilor mici intervine o „terță” parte reprezentată de o autoritate de încredere.
4.PROTOCOALE DE COMUNICAȚII PENTRU VPN
4.1 Protocolul IPSec
Protocoalele IPSec operează la nivelul 3 OSI, nivelul rețea. Alte protocoale de securitate a Internetului de uz larg, cum ar fi SSL, TLS și SSH, operează de la nivelul de transport în sus (nivelurile 4-7 OSI). Asta face ca IPSec să fie mai flexibil și să poată fi utilizat pentru protejarea protocoalelor de nivelul 4, inclusiv TCP și UDP (protocoalele cele mai des utilizate).
IPSec e o extensie a protocolului IP care furnizează securitatea IP-ului și a protocoalelor nivelelor superioare. Prima oară a fost dezvoltat pentru noul standard Ipv6 și apoi adaptat la Ipv4. Arhitectura IPSec-ului e descrisă în RFC (2401, 2402, 2403).au
IPSec folosește 2 protocoale diferite – AH (Authentication Header) și ESP (Encapsulating Security Payload) – pentru a asigura autenticitatea, integritatea conexiunii și confidențialitatea comunicării. Poate proteja fie întreaga datagramă a IP-ului fie numai protocoalele nivelelor superioare.
Cele două protocoale de securitate (AH sau ESP) pot acționa în două moduri:
1.Modul transport (transport mode) – protocolul de securitate intervine în pachetul IP și adăugă un antet de securitate imediat după antetul IP dar antetul IP inițial nu se modifică, doar datele transmise sunt securizate. Prin folosirea protocolului AH, adresele IP ale sursei, respectiv destinației, nu pot fi modificate pe parcurs deoarece acest lucru ar duce la modificarea valorii hash. ESP oferă protecție minimă protocoalelor de nivel superior, în timp ce AH securizează total pachetul, inclusiv antetul IP. Acest mod de operare se utilizează pentru schimbul de pachete între calculatoarele-gazda (host to host).
2.Modul de tunelare (IP tunneling) – întregul pachet (date și antete) este securizat. Se introduc două antete de securitate în fiecare pachet, înainte (outer header) și după (inner header) antetul IP. Antetul extern specifică perechea de entități între care se creează tunelul IP și se aplică măsurile de securitate pe baza IPSec. Antetul intern precizează destinația finală a pachetului pentru realizarea rutării. ESP (Encapsulating Security Payload) protejează numai pachetul transmis prin tunelul IP, în timp ce AH (Authentication Header) asigură și securitatea antetului exterior atașat. De regulă acest mod de operare se utilizează între porți de securitate care execută împachetarea și despachetarea mesajelor (gateway-to-gateway).
Fig.4. 1 – Datagrame modul transport și modul tunel
Pentru a proteja integritatea datagramelor IP, protocoalele IPSec folosesc coduri de autenticitate HMAC (hash message authentication codes). Pentru a căpăta acest HMAC, protocoalele IPSec folosesc algoritmi hash ca MD5 (Message Digest 5) și SHA (Secure Hash Algoritm) pentru a calcula un hash bazat pe o cheie secretă și pe conținuturile datagramei IP. Acest HMAC e apoi inclus în header-ul protocolului IPSec și receptorul pachetului poate controla/accesa HMAC-ul dacă are acces la cheia secretă. (RFC 2104)
Pentru a proteja confidențialitatea datagramelor IP, protocoalele IPSec folosesc algoritmi standard simetrici de criptare. Standardul IPSec necesită implementarea NULL și DES. Acum, de obicei, sunt folosiți algoritmi puternici ca 3DES, AES și Blowfish. Pentru a proteja, impotriva atacurilor, protocoalele folosesc o fereastră glisantă (sliding window). Fiecărui pachet i se stabilește un număr de secvență și e acceptat doar dacă numărul pachetului e în cadrul ferestrei sau în apropiere. Pachetele mai vechi sunt imediat îndepărtate. Aceasta protejează împotriva atacurilor cu răspuns unde atacatorul înregistrează pachetele originale și le răspunde mai târziu.
Pentru ca partenerii să fie capabili să încapsuleze și să decapsuleze pachetele IPSec au nevoie de un mod de a păstra cheile secrete, algoritmii și adresele IP implicate în comunicare. Toți acești parametri necesari pentru protecția datagramelor IP sunt stocate/salvate într-o asociație de securitate SA (Security Association). SA sunt depozitate într-o bază de date SAD (Security Association Database).
Fiecare SA definește următorii parametri:
Sursa și destinația adresei IP a header-ului IPSec rezultat.
Protocolul IPSec (AH sau ESP), câteodată comprimarea (IPCOMP) e suportată de asemenea.
Algoritmul și cheia secretă folosite de protocolul IPSec.
Parametrul identificator de securitate (Security Parameter Index – SPI). Acesta e un număr pe 32 de biți care identifică SA.
Câteva implementări ale bazei de date SA permit parametrilor suplimentari să fie stocați/salvați:
Modul IPSec (tunel sau transport);
Mărimea ferestrei glisante (sliding window) pentru a proteja împotriva atacurilor cu răspuns (replay attacks);
Timpul de viața a SA.
De când SA definește sursa și destinația adreselor IP, poate proteja doar într-o direcție a traficului într-o comunicare IPSec duplex întreagă. Pentru a proteja în ambele direcții IPSec necesită două SA unidirecționale. SA doar specifică cum IPSec trebuie să protejeze traficul. Informația adițională este necesară pentru a defini care trafic trebuie protejat și când. Această informație este stocată/salvată în politica de asigurare SP (Security Policy) care în schimb e salvată într-o bază de date cu politici de asigurare SPD (Security Policy Database).
De obicei, un SP (Security Policy) specifică următorii parametrii:
Sursa și destinația adreselor pachetelor care necesită să fie protejate. În modul transport sunt aceleași adrese ca la SA. În modul tunel ele pot să difere.
Protocolul (și portul) care trebuie protejat. Unele implementări IPSec nu permit definiția protocoalelor precise pentru protecție. În acest caz tot traficul între adresele IP menționate este protejat.
SA este folosit pentru protecția pachetelor.
Modul de acțiune asupra unui pachet IP se stabilește pe baza antetelor conținute de acesta, prin operația de clasificare a pachetelor, în funcție de diverși factori de selecție:
Adresa IP a sursei;
Adresa IP a destinatiei;
Portul – sursă;
Portul – destinație;
Protocolul de transport;
Numele utilizatorului sau al sistemului;
Gradul de prioritate a informațiilor conținute în pachet.
Aplicarea măsurilor de securitate IPSec asupra unui pachet (autentificare, criptare, compresie) se realizează pe baza mecanismului ISAKMP/TKE prin care se generează și se transmit între părți cheile de criptare utilizate de SA în diferite sesiuni, memorate într-o bază de date proprie ISAKMP ca atribute ale SA.
Legătura/conectarea manuală a SA este o eroare complet predispusă și nu prea sigură. Cheia secretă și algoritmii encriptați trebuie să fie împărțiți între toți participanții în rețeaua virtuală privată (virtual private network). În special schimbul cheilor ridică probleme critice pentru administratorul de sistem: Cum să schimbi chei simetrice secrete când nici o modalitate de encriptare nu e incă stabilită?
Pentru a rezolva această problemă s-a dezvoltat protocolulul de schimbat chei IKE (Internet Key Exchange Protocol). Acest protocol autentifică participanții în prima fază. În a doua fază SA negociază, și cheile secrete simetrice sunt alese folosind un schimb de chei Diffie Hellmann. Apoi protocolul IKE chiar are grijă să redefinească cheile secrete pentru a le asigura confidențialitatea.
4.2 Protocolul AH
Protocolul AH (Authentication Header) asigură autenticitatea mesajelor și a tuturor informațiilor adiționale incluse în pachet precum și integritatea pachetului de date, prin aplicarea funcțiilor hash. AH împiedică modificarea ilegală a pachetelor, multiplicarea sau întârzierea datelor (anti-replay security).
Fig.4. 2 – Diagrama unui pachet AH
Semnificațiile câmpurilor sunt următoarele:
Antetul următor (next header) – identifică protocolul de transfer al datelor;
Lungimea pachetului AH (payload length) – exprimată în cuvinte de 32 de biți;
Câmp rezervat cu toti biții “0”, care poate fi utilizat ulterior în alte scopuri;
Identificatorul de securitate (SPI – Security Parameters Index) – identifică asociația de securitate (SA – Security Association) implementată în acest pachet;
Numărul de secvență (Sequence Number) – reprezintă un număr monoton crescător, folosit pentru a evita atacurile de realuare a datelor (replay attacks).
Informația de autentificare – conține valoarea de verificare a integritații (ICV – Integrity Check Value) sau codul de autentificare al mesajului (MAC – Message Authentication Cod ), necesare pentru verificarea autenticității pachetului;
4.3 Protocolul ESP
Protocolul ESP (Encapsulated Security Payload) asigură integritatea, autenticitatea și confidențialitatea pachetelor de date. Spre deosebire de protocolul AH (Authentication Header), antetul pachetului IP nu este protejat de ESP.
Confidențialitatea datelor este asigurată prin criptare.
Fig.4. 3 – Diagrama unui pachet ESP
Pachetul ESP conține următoarele câmpuri:
Identificatorul de securitate (SPI – Security Parameters Index) al asociației de securitate implementate (SA);
Numărul de secvență (SN- Sequence Number) – număr generat dintr-un șir monoton crescător, folosit pentru a preveni atacurile de reluare;
Informația transmisă (payload data) – mesajul de pe nivelul de transport (în mod transport) sau IP (în mod tunel) care este protejat prin criptare;
Expandarea (padding) – câmp folosit împreună cu unele cifruri-bloc pentru a acoperi lungimea totală a blocului;
Dimensiunea câmpului de expandare (pad length) – exprimată în octeți;
Antetul următor (next header) – identifică protocoul de transfer al datelor;
Informația de autentificare (Authentication data) – câmpul conține valoarea de verificare a integrității (ICV – Integrity Check Value)
4.4 Protocolul SSL
SSL (Secure Sockets Layer) este un protocol dezvoltat de Netscape pentru transmiterea documentelor private prin Internet. SSL utilizează un sistem de criptare cu două chei, una publică, cunoscută de toată lumea și una privată, cunoscută doar de beneficiarul mesajului (receptorul). Atât Netscape cât și Internet Explorer suportă protocolul SSL, iar o serie de site-uri îl utilizează pentru obținerea informațiilor sensibile, cum ar fi numărul cărții de credit. Re
Pașii care sunt urmați în procesul criptografic al implementării SSL sunt :
Se criptează codul cu cheia secretă a expeditorului.
Se criptează codul cu cheia publică a destinatarului.
Se generează certificate care transportă cheia publică folosită în criptografia asimetrică.
Esența procesului de comunicare prin SSL constă în stabilirea unor parametri criptografici înainte de transmiterea efectivă a datelor. Modalitatea de stabilire a parametrilor poartă numele de ‘’SSL handshake’’. În primul rând, clientul comunică serverului ce set de cifruri are disponibile . Un set de cifruri reprezintă o combinație de parametri criptografici ce definesc algoritmul și cheile folosite pentru autentificare și criptare. Apoi, serverul se poate autentifica (acest pas este opțional), permițându-i clientului să fie sigur că entitatea server este ceea cu care clientul se așteaptă să comunice. Pentru aceasta, serverul prezintă clientului un certificat ce conține cheia sa publică. Verificând acest certificat clientul poate fi sigur de identitatea serverului. Din acest moment, pot fi schimbate date între client și server.
Pe parcursul primei faze, clientul și serverul negociază care algoritm de criptare va fi folosit. Implementarea curentă urmărește următoarele alternative:
Criptarea cu cheie publică (asimetrică): RSA, Diffie-Hellman, DSA sau Fortezza;
Criptarea cu cheie secretă (simetrică): RC2, RC4 (40 de biți), IDEA (64 de biți), DES (56 de biți), Triple DES (168 de biți) sau AES (128 biți,192 de biți sau 256 de biți);
Funcții de criptare inversabile într-un singur sens (one-way function): MD5 sau SHA. Kkl
4.5 Protocolul MPLS
Comutarea Multiprotocol cu Etichete (Multi Protocol Label Switching) reprezintă o nouă arhitectură în care nodurile terminale adaugă o etichetă unui pachet IP ce identifică drumul spre destinație, iar pachetele sunt direcționate pe baza etichetelor, fără inspectarea header-ului IP inițial.
MPLS reprezintă ultimul pas făcut în evoluția tehnologiilor de comutare/rutare pentru Internet, folosind o soluție ce integrează controlul rutării IP și mai mult oferă bazele unor servicii de rutare avansate, rezolvând o serie de probleme cum ar fi:
se adresează problemelor privind scalabilitatea, reducând complexitatea operațiilor din rețea;
facilitează apariția de noi posibilități de rutare, ce îmbunătățesc tehnicile de rutare IP existente;
oferă o soluție standardizată, ce are avantajul interoperabilității între diverși furnizori de produse și servicii.
În esență MPLS-ul este generarea unei etichete „label” scurte, de dimensiune fixă, care se comportă ca o reprezentare simplificată a header-ului pachetului IP. Este asemenea codului poștal care este o formă simplificată pentru adresa unei case, a unei străzi și a unui oraș în adresa poștală, folosind această etichetă pentru a lua o decizie în procesul de înaintare, deplasare (forwarding). Pachetele IP au un câmp în header-ul lor care conține adresa spre care pachetul este rutat. Informația este procesată la fiecare router din rețea (rutare pas cu pas).
În MPLS, pachetele IP sunt încapsulate cu aceste etichete de către primul dispozitiv MPLS pe care-l întâlnesc de cum intră în rețea. Router-ul MPLS din margine (egde-router) analizează conținutul header-ului IP și selectează o etichetă potrivită cu care să încapsuleze pachetul.
Cel mai mare avantaj al MPLS-ului vine tocmai din faptul că în contrast cu rutarea IP convențională, această analiză poate să nu se bazeze numai pe adresa destinație care este purtată de header-ul IP, ci și pe alte elemente. La fiecare dintre nodurile ulterioare din rețea, eticheta MPLS (și nu header-ul IP) se folosește pentru a lua decizia de înaintare pentru un pachet. În final, pe parcurs ce pachetele MPLS etichetate părăsesc rețeaua, un alt edge-router elimină etichetele.
În terminologia MPLS, nodurile sau router-ele care manipulează pachetele se numesc Label Switched Routers (LSR) – routere cu comutare de etichete. Derivarea acestor termeni este evidentă: router-ele MPLS înaintează pachetele, luând decizii de comutare bazate pe eticheta MPLS. Aceasta ilustrează un alt concept cheie în MPLS. Router-ele IP convenționale conțin „tabele de rutare” care sunt interogate folosind un header IP dintr-un pachet pentru a decide cum să înainteze acest pachet. Aceste tabele sunt construite de către protocoale de rutare IP (cum ar fi RIP, OSPF, BGP), care poartă informația IP la destinație sub formă de adrese IP. În practică observăm că acestă deplasare (inspectarea header-ului IP) și planurile de control (generarea tabelelor de rutare) sunt strâns cuplate. Întrucât deplasarea în MPLS este bazată pe etichete, este posibilă separarea clară a planului de înaintare (bazat pe etichetă) de planul de control pentru protocolul de rutare. Prin separarea acestora două, fiecare poate să fie modificat independent. Cu o astfel de separare, nu mai avem nevoie să schimbăm mașina care face înaintarea, de exemplu, pentru a migra spre o nouă strategie de rutare în rețea.
O tabelă de forwarding (de inaintare) este setul de intrări într-o tabelă care ofera informații pentru a ajuta componenta de forwarding să își efectueze funcția de switching (comutare). Tabela de forwarding trebuie să asocieze fiecare pachet cu o intrare (în mod tradițional adresa destinație), care oferă instrucțiuni înspre ce și unde se îndreaptă în continuare pachetul.
O etichetă este un identificator relativ scurt, de lungime fixă, nestructurat, care poate fi folosit în asistarea procesului de forwarding. Etichetele sunt în mod normal locale unei singure legături de date și nu au semnificație globală (așa cum are adresa).
MPLS permite să avem decizii de înaintare bazate pe: Traffic Engineering, Multicast, VPN, QoS, etc.
Fig.4. 4 – Nodurile MPLS
Rutarea VPN (VPN Routing and Forwarding Instance) VRF
Un VRF se alcătuiește dintr-o tabelă de rutare IP, o tabelă de deplasare, un set de interfețe ce utilizează tabela de deplasare, și un set de reguli și protocoale de rutare care determină ce pachete urmează să intre în tabela de deplasare. În general, un VRF include informația de rutare care definește locația VPN a clientului care este atașată ruter-ului PE (Provider Edge).
Router-ele PE (Provider Edge) mențin două tabele de rutare separate (figura 4.4):
Tabela globală de rutare, care conține rutele P (Provider) și PE (Provider Edge)
Tabelele VRF de rutare și forwarding asociate cu unul sau mai multe locații conectate (rutere CE – Customer Edge).
VRF-ul este asociat cu orice tip de interfață, fie ea fizică sau logică. Interfețele pot să împartă același VRF dacă locațiile conectate folosesc aceeași informație de rutare.
Company. Căutați
Fig.4. 5 – Tabele de rutare în MPLS-VPN
Regist Pentru a obține securitatea necesară pentru administrarea VPN-urilor prin Internet, folosind abordarea de nivel 3, este necesară separarea adreselor și dirijarea traficului între clienți. Acest lucru se subînțelege în cazul unei abordări de nivel 2, dar trebuie proiectată special pentru soluțiile VPN de nivel 3. Pentru rezolvarea acestei probleme, un număr de firme experte în Internet (Cisco, Juniper, AT&T, Alcatel, Worldcom) au definit modul de realizare al separării de adrese și al dirijării folosind BGP (Border Gateway Protocol), precum și modul de transmitere a acestei informații și a traficului VPN în sine, prin backbone-ul MPLS.
Modelul presupune ca furnizorul de servicii (SP – Service Provider) să fie proprietarul backbone-ului și să administreaze serviciile VPN de la echipamentul PE (Provider Edge), care comunică direct cu echipamentul CE (Customer Edge) folosind tehnologii standard, cum ar fi Frame Relay, ATM, DSL și T1. Astfel, clientul achiziționează serviciile VPN direct de la SP (Service Provider). Apoi SP va furniza serviciile VPN clienților multipli folosind un dispozitiv PE partajat.
Cheia spre a oferi securitate în echipamentul PE se realizează prin extensiile BGP-VPN. Fiecare ruter PE trebuie să mențină un număr de tabele de dirijare, fiecare dintre ele fiind asociat cu o clasă de VPN. Când se recepționează un pachet de la echipamentul CE, se folosește tabelul de dirijare asociat locației pentru a determina dirijarea datelor. Fiecare VPN are propriul tabel unic de dirijare, cunoscut sub numele VRF (VPN Routing and Forwarding). Dacă un dispozitiv PE are conexiuni multiple la aceași locație, se poate asocia un singur VRF la toate acele conexiuni. Extensiile BGP-VPN pentru suportul VRF permit apoi BGP-ului să trimită informația specifică de dirijare la ruterul PE conectat la celălalt capăt al VPN-ului. În această abordare se menține separarea rutelor pentru fiecare client unic VPN.
În acest tip de arhitectură, numai router-ele PE trebuie să poarte informația VRF. Nu este necesar ca router-ele care nu sunt „de graniță” de pe backbone-ul SP să știe tot despre informația VRF. Acest design extinde foarte mult scalabilitatea abordării VPN de nivel 3. În fiecare router PE se pot asocia subinterfețe VRF-urilor; în acest caz spunem că asocierea este multi-ton. Două subinterfețe nu se pot asocia cu același VRF dacă nu intenționează să arate informația de rutare și dacă adresa de destinație a pachetului VRF este determinată de subinterfața prin care se recepționează.
Se definește un concept de adrese VPN-Ipv4 folosit pentru a distinge rutele. O adresă VPN-Ipv4 este o adresă de 12 octeți care începe cu un separator de adrese (RD – Route Distinguisher) de 8 octeți și se termină cu o adresă Ipv4 de 4 octeți. Extensiile Multiprotocol BGP (BGP-MP) permit BGP-ului să transporte rute din această nouă familie de adrese. Familia de adrese VPN-Ipv4 și RD asigură că dacă se folosesc adrese similare în două VPN-uri diferite, se pot menține rute diferite către adresa respectivă.
Extensiile BGP-VPN permit configurarea politicilor de distribuție de rute pentru distribuția corespunzătoare a informației de rutare. Ruterele PE pot, de asemenea, să autodescopere celălalt dispozitiv PE atașat la același VPN. Acest lucru elimină nevoia de a reconfigura ambele PE-uri la reconfigurația sau configurația inițială a VPN-ului.
4.6 Protocolul BGP
BGP (Border Gateway Protocol) este un protocol de rutare externă folosit în nucleul Internetului. El menține o tabelă cu prefixe IP care arată calea folosită pentru a ajunge la rețeaua respectivă prin diferite sisteme autonome (AS). BGP este considerat din acest motiv un protocol de rutare vector-cale.
Protocolul BGP a fost creat pentru a înlocui protocolul EGP (Exterior Gateway Protocol) un protocol simplu de accesibilitate care spre deosebire de protocoalele moderne vector-cale se limitează la o topologie arborescentă pentru a permite rutarea descentralizată în Internet.
Versiunea actuală folosită în Internet este versiunea 4, BGPv4, standardizată în anul 2006. Cele mai importante progrese ale versiunii BGPv4 au fost suportul pentru CIDR(Classless Inter-Domain Routing) și folosirea agregării rutelor pentru a reduce dimensiunea tabelelor de rutare.
CIDR (Classless Inter-Domain Routing) se referă la modul de reprezentare a adreselor IP în tabela de rutare și la modul de trimitere a mesajelor de actualizare. În notația CIDR, adresa IP este reținută întotdeauna împreună cu masca de rețea. De exemplu, o adresă IP de tipul 192.0.2.1, cu masca 255.255.255.0, ar fi scrisă în notația CIDR ca 192.0.2.1/24, deoarece primii 24 de biți din adresa IP indică subrețeaua. Faptul că în tabela de rutare este precizată și masca de rețea permite agregarea (unirea) rețelelor vecine, reducând dimensiunea tabelei de rutare. De exemplu, rețelele 192.0.2.0/24 și 192.0.3.0/24 vor fi reținute ca 192.0.2.0/23.
Deoarece majoritatea Internet Service Provider-ilor îl folosesc pentru a stabili rute între rețelele respective, BGP este unul din cele mai importante protocoale de pe Internet. Alt caz de utilizare îl reprezintă conectarea mai multor puncte de prezență ale unui singur furnizor de acces Internet.
Dacă BGP este rulat în interiorul unui sistem autonom, este folosit termenul de iBGP (Internal Border Gateway Protocol). Când este rutat între sistemele autonome (AS) este numit eBGP (External Border Gateway Protocol). În majoritatea ruterelor actuale, distanța administrativă pentru iBGP este mai mare decât cea pentru alte protocoale de rutare în interioriul sistemelor autonome, care la rândul lor au distanța administrativă mai mare decât eBGP.
Vecinii eBGP trebuie să fie direct conectați pentru a fi realizată conexiunea BGP, dar există și excepții. Cei de la Cisco au implementat opțiunea ’’multihop’’, care perminte realizarea de conexiuni eBGP către rutere nelegate direct. Această limitare nu exista pentru iBGP.
Din ce în ce mai mult, BGP este utilizat ca protocol de rutare puntru rute care nu fac parte din Internet, ca de exemplu rețele virtuale private.
Versiunea BGPv4 are marele avantaj că suportă Ipv6 (Internet Protocol versiunea 6).
Dezavantaje ale BGP-ului
Scalabilitatea iBGP
Un sistem autonom cu iBGP (internal BGP) trebuie să aibă toate router-ele iBGP conectate fiecare cu fiecare. Această confirgurație necesită ca fiecare router să mențină conexiuni cu toate celelalte routere, ceea ce poate cauza o degradare a performanțelor în cazul rețelelor mari.
Dimensiunea tabelei de rutare
Una din cele mai mari probleme intâmpinate de BGP, dar și de întreaga infrastructură Internet, provine de la creșterea rapidă a tabelei globale de rutare (care conține toate rutele din Internet). Pe măsură ce cerințele de memorie și de putere de procesare cresc, router-ele mai vechi nu mai fac față, utilitatea lor scăzând considerabil. Mult mai important, căutarea într-o tabelă globală de rutare de mari dimensiuni durează mai mult și provoacă instabilitate în cazul schimbărilor importante de topologie.
5.SIMULATORUL DE REȚEA GNS3
5.1 Prezentarea simulatorului GNS3
GNS3 este un simulator gratuit, folosit pentru a simula funcționarea și configurarea router-elor CISCO. El poate fi rulat pe platforme precum Windows, Mac OS X sau Linux. Ideea de bază a programului este de a încărca IOS-urile corespunzătoare unui număr limitat de serii de routere CISCO (1700, 2600, 3600, 3700 și 7200) în memoria RAM a calculatorului, transformându-l pe acesta într-un router (sau chiar o rețea de routere) veritabil. Acesta poate fi de asemenea folosit pentru a experimenta caracteristici ale Cisco IOS, JunOS Juniper sau pentru a verifica configurații care trebuie să fie schimbate mai târziu router-elor reale. Este posibilă chiar extinderea propriei rețele, conectând-o la topologia virtuală.
Un router este un dispozitiv hardware care conectează două sau mai multe rețele de calculatoare. Router-ul operează la nivelul 3 al modelului OSI (nivelul rețea). El folosește deci adresele IP (de rețea) ale pachetelor care trec prin router, pentru a decide către ce interfață de ieșire trebuie să trimită pachetul respectiv. Decizia este luată comparând adresa calculatorului destinație cu intrările din tabela de rutare. Aceasta poate conține atât intrări statice (introduse de administrator) cât și intrări dinamice, aflate de la router-ele vecine prin intermediul unor protocoale de rutare. Router-ele CISCO, cele utilizate în simulatorul de rețea GNS3, sunt împărțite în mai multe clase, în funcție de anul producției. Prima clasă de echipamente de rutare a aparut în 1992 și erau numite AGS (Advanced Gateway Server). Mai târziu au apărut router-ele propriu-zise împărțite pe mai multe serii, cum ar fi 2000, 3000, 4000 până la cea mai recentă serie 12000. Diferențele dintre serii constau în resursele hardware disponibile (procesor, tipuri de interfețe, memorie RAM – spre exemplu seria 2500 are de obicei 16MB RAM si 16MB Flash), dar și software (posibilitatea de a lucra cu servicii precum VoIP, mobile IP). Începând cu seria 2800, router-ele CISCO au devenit modulare, în sensul că nu mai au interfețe fixe, existând posibilitatea de a schimba numărul și tipul lor, orice combinație fiind posibilă (de exemplu: o interfață WAN și trei Ethernet se pot înlocui cu două interfețe WAN și două Fast Ethernet). Software-ul folosit de router-ele CISCO se numește CISCO IOS (Internetwork Operating System), având, ca și router-ele, numeroase versiuni diferențiate prin unele proprietăți. Aceste IOS-uri se încarcă în memoria volatilă a router-elor de fiecare dată când acestea sunt pornite. Ele se află arhivate pe memoria Flash disponibilă router-ului.
GNS3 este un excelent instrument pentru ingineri de rețea, administratori și persoane care doresc să obțină certificări precum CCNA, CCNP, CCIP, CCIE, JNCIA, JNCIS, JNCIE.
Pentru a permite simulări complete, GNS3 este strâns legată de:
Dynamips – programul care permite emulare Cisco IOS;
Dynagen;
Qemu – un program open-source ce emulează și virtualizează.
Fig.5. 1 – Simulatorul GNS3
Fereastra principală a simulatorului este împărțită în trei părți (Fig.5.1). În partea stângă se afișază seriile de routere disponibile în simulator. La router-ele propriu-zise mai pot fi adăugate manual, pentru acuratețea simulărilor, și alte dispozitive de rețea: switchuri Ethernet și ATM, firewall, calculatoare (stații de lucru) etc. În fereastra din mijloc se afișază topologia rețelei simulate. Elementele de rețea se aduc în această fereastră prin drag and drop cu ajutorul mouse-ului. Simulatorul permite această operație doar pentru acele routere pentru care sistemul IOS se află deja stocat pe PC-ul pe care este instalat simulatorul, iar calea către el pe HDD este configurată. Între elementele de rețea se pot configura, tot cu ajutorul mouse-ului, și legături de diverse tipuri (Ethernet, Fast Ethernet, Serial etc). Fereastra din dreapta a interfeței grafice ne poate oferi, într-un format arbore, o descriere sumară a topologiei rețelei.
Pregătirea programului pentru utilizare constă în parcurgerea următoarelor etape:
• Meniul EDIT -> IOS images and hypervisors
Fig.5. 2 – Configurarea legăturii spre imaginile IOS
• Pe pagina IOS images click pe butonul de browse după care selectați IOS-ul dorit,
precum și modelul router-ului, apoi Save și Close.
Fig.5. 3 – Alegerea fișierului .bin corespunzător sistemului IOS al routerului
• Se selectează modelul de router folosit și, printr-o operație de drag and drop, se plasează în spațiul de lucru. Pentru a vizualiza interfețele router-ului, precum și alte detalii hardware și de configurare ale router-ului simulat se efectuează click dreapta –> Meniul.
Lucrul cu router-ul se începe apasând butonul Start aflat în meniu, după care configurarea în linia de comandă a router-ului se efectuează lansând comanda Console. Această comandă va deschide o fereastră telnet cu router-ul, permițând configurarea acestuia în linia de comandă. În această fereastră se pot introduce toate comenzile ce permit configurarea unui router real Cisco, simulatorul GNS3 oferind un mediu perfect pentru învățarea comenzilor și modalităților de configurare ale router-ului.
Router-ele CISCO pot fi configurate în două feluri: prin linia de comandă (CLI – Command Line Interface), sau în modul grafic (GUI – Graphical User Interface). Deși configurarea prin GUI este mai simplă, majoritatea celor care efectuază aplicații practice pe router-ele Cisco folosesc CLI, deoarece această modalitate oferă o gamă mult mai mare de opțiuni de configurare și permite un mod de lucru mult mai meticulos. Singura opțiune valabilă prin intermediul simulatorului GNS3 este prin linia de comandă (CLI).
5.2 Comenzi uzuale folosite în configurarea router-elor
Pornirea router-ului se face tastând comanda enable după cum se observă mai jos:
Router>enable
Router# – acum se pot scrie comenzile de configurare;
Schimbarea numelui router-ului se face folosind comanda hostname. Această comandă schimbă și prompter-ul, care va conține de acum noul nume al router-ului, după cum rezultă din fragmentul de mai jos:
Router(config)#hostname R1
R1(config)#
R1(config)#interface [tip] [număr] – unde tipul si numărul interfeței depinde de configurația fizică a router-ului.
Luând ca exemplu o interfață Fast Ethernet 0/0, comanda completă care va permite intrarea în modul de configurare al acestei interfețe va fi:
R1(config)#interface FastEthernet 0/0
În continuare, pentru configurarea adresei IP a acestei interfețe:
R1(config-if)#ip address [adresă IP] [masca de subrețea]
R1(config-if)#no shutdown – această comandă asigură pornirea fizică a interfeței, fiind ca un întrerupător.
Pentru configurarea manuală predefinită (default) a rutării între rețele
R1(config)# ip route 0.0.0.0 0.0.0.0 <next hop or exit interface>
Ieșirea dintr-un anumit mod se poate face în 3 feluri:
• Comanda END – duce la modul precedent;
• Comanda EXIT – duce la modul Privileged EXEC (Router#);
• CTRL + Z – același efect ca și cea precedentă.
Pentru a vedea dacă router-ele sunt conectate între ele se foloseste comanda ping dupa cum urmeaza mai jos:
R1#ping [adresa IP] – adresa router-ului la care dorim să trimitem un pachet de biți;
Pentru a configura router-ul ca server HTTP tastăm următoarele comenzi:
R1#config terminal – pentru a putea începe configurarea terminalului unui router
R1(config)#ip http server
R1(config)#ip http server ? – se verifică dacă router-ul a fost configurat ca server HTTP;
Pentru a vizualiza dacă configurarea a fost facută corect folosim comenzile:
R1#show ip interface b – pentru a vizualiza dacă interfețele sunt configurate corect;
R1#show ip route – pentru a vizualiza rutarea dintre rețele;
R1#sh int – pentru a vizualiza toate interfetele unui router și starea acestora;
R1#sh int [tip] [numar] – pentru a vizualiza o anumită interfață;
R1#show crypto ipsec sa – se verifică dacă protocolul IPSec a fost activat;
R1#show crypto isakmp sa – se verifică dacă protocolul ISAKMP a fost activat;
R1#?– pentru a vizualiza toate comenzile de configurare ale unui router.
6.APLICAȚIE
Tunel între două routere folosind GNS3 și CISCO Security Device Manager
Scenariul următor presupune o topologie tipică VPN portal-către-portal, unul din terminale fiind sediul companiei iar cel de-al doilea reprezentând filiala aflată la distanță.
Pentru o comunicare securizată între cele două sedii vom crea un tunel folosind infrastrucura unei rețele publice.Din punct de vedere administrativ situația se prezintă ca în figura 6.1.
Fig.6. 1 – Structura administrativă
În ceea ce priveste partea de rețea situația se prezintă în felul următor:
Pentru ca programul GNS3 sa poată fi conectat cu programul CISCO SDM (Security Device Manager) cu care urmează sa fie configurată rețeaua VPN avem nevoie de o placă de rețea virtuală Microsoft Loopback Adapter pentru a putea simula trimiterea de pachete în rețea. Pe un sistem de operare Windows aceasta se creează usor din meniul Control Panel -> New Hardware -> Network Adapter -> Microsoft -> Microsoft Loopback Adapter. Rezultatul este prezentat în figura 6.2.
Fig.6. 2 – Microsoft Loopback Adapter
Microsoft Loopback Adapter trebuie configurat ca în figura următoare:
Fig.6. 3 – Configurare Microsoft Loopback Adapter
Urmează implementarea topologii in programul GNS3.
Aceasta este alcătuită din 3 routere care vor reprezenta cele două terminale și mediul public, internetul, conexiunea la Microsoft Loopback Adapter și un switch pentru posibilitatea conectării mai multor clienți.
Am ales ca legătura dintre Terminalul_A si Internet să se facă pe adresa de rețea 12.12.12.0/24,legătura dintre Terminalul_B si Internet pe adresa de rețea 11.11.11.0/24.
Fig.6. 4 – Structura rețelei in GNS3
Următorul pas este configurarea router-lor.Configurarea este facută cu ajutorul modulului de programe CISCO după cum urmează:
Click dreapta pe router-ul ce urmează a fi programat și se selectează “Console”.
Fig.6. 5 – Deschiderea consolei unui router
Se deschide consola, în bara de titlu avem numele router-ului ce urmează a fi programat.
Fig.6. 6 – Consolă router
Pentru router-ul Internet configurarea se face in următorul mod:
Internet>enable router-ul este activ pentru configurare
Internet#config terminal intrăm în modul de configurare
Internet(config)#interface fa1/0 am ales configurarea interfeței FastEthernet 0/0
Internet(config-if)#ip address 12.12.12.1 255.255.255.0 am atribuit interfeței fa0/0 adresa ip 12.12.12.1 cu submasca 255.255.255.0
Internet(config-if)#no shutdown pornirea fizică a interfeței
Pentru interfața fa0/1 se procedează simetric:
Internet(config-if)#interface fa1/1
Internet(config-if)#ip address 11.11.11.1 255.255.255.0
Internet(config-if)#no shutdown
Internet(config-if)#ip http server – configurarea router-ului ca serrver HTTP
Internet(config-if)#ip http secure-server – setarea router-ului ca server securizat END
Internet(config-if)#CTR+Z
Fig.6. 7 – Configurarea router-ului Internet
Pentru a vizualiza dacă totul este configurat cum trebuie tastăm comanda:
Internet#show ip interface b
Fig.6. 8 – Confirmare configurare router Internet
Pentru router-ul Terminal_B se procedează astfel:
Terminal_B>enable
Terminal_B#config terminal
Terminal_B(config)#interface fa0/0
Terminal_B(config-if)#ip address 11.11.11.2 255.255.255.0
Terminal_B(config-if)#no shutdown
Terminal_B(config-if)#interface fa0/1
Terminal_B(config-if)#ip address 172.16.0.1 255.255.255.0
Terminal_B(config-if)#no shutdown CTRL+Z
Terminal_B#config terminal
Terminal_B(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1
Terminal_B(config)#ip http server
Terminal_B(config)#ip http secure-server END
Fig.6. 9 – Configurare router Terminal_B
Pentru a verifica dacă am configurat corect router-ul Terminal_B tastăm comanda:
Terminal_B#show ip route
Fig.6. 10 – Confirmare configurare router Terminal_B
Router-ul Terminal_A se configurează după cum urmează:
Terminal_A>enable
Terminal_A#config terminal
Terminal_A(config)#interface fa0/0
Terminal_A(config-if)#ip address 10.10.10.1 255.255.255.0
Terminal_A(config-if)#no shutdown
Terminal_A(config-if)#interface fa0/1
Terminal_A(config-if)#ip address 12.12.12.2 255.255.255.0
Terminal_A(config-if)#no shutdown CTRL+Z
Terminal_A#config terminal
Terminal_A(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.1
Terminal_A(config)#ip http server
Terminal_A(config)#ip http secure-server END
Fig.6. 11 – Configurarea router-ului Terminal_A
Din nou verificăm dacă am configurat corect router-ul Terminal_A prin comanda show ip route,în plus pentru a verifica dacă cele 3 routere sunt conectate între ele,în consola router-ului Terminal_A tastăm comanda ping 11.11.11.2.În imaginea 6.12 observăm că rata de succes a transmiterii informațiilor este de 100%.
Terminal_A#show ip route
Terminal_A#ping 11.11.11.2
Fig.6. 12 – Confirmare configurare router Terminal_A
După configurarea routere-lor pentru a lansa programul SDM(Security Device Manager) verificăm dacă Microsoft Loopback Adapter este conectată la programul GNS3.
Acest lucru se face printr-un simplu ping la adresa 12.12.12.1 din fereastra Command Prompt sau cu ping la adresa 10.10.10.2 din fereastra Console a router-ului Terminal_A.
Fig.6. 13 – Verificare conectare Microsoft Loopback Adapter cu GNS3
Fig.6. 14 – Verificare conectare Microsoft Loopback Adapter cu GNS3
Programarea routere-lor este gata, rulăm SDM pentru configurarea tunelului VPN.
Pentru a porni configurarea tunelului VPN, în programul SDM alegem Configure -> VPN-> Site-to-Site VPN->Create a secure GRE tunnel (GRE over IPSec)->Launch the selected task
Fig.6. 15 – Lansare Site-to-Site VPN
După ce am ales să creem un tunel securizat, în fereastra nou apărută alegem sursa tunelului, aceasta este FastEthernet1/1 cu adresa 12.12.12.2 255.255.255.0 apoi trebuie aleasă destinația tunelului ce se conectează de la distanță, acesta este Terminal_B cu adresa 11.11.11.2. Tot în această fereastră trebuie completată și adresa IP a destinației, aceasta fiind 172.16.0.1 cu masca de rețea 255.255.255.0.
Fig.6. 16 – Configurare Tunel
După ce am configurat tunelul urmează alegerea cheii de autentificare. Am ales următoarea cheie de autentificare: ”cisco123”.
Fig.6. 17 – Alegerea cheii de autentificare
La următorul pas programul SDM prezintă o structură predefinită în ceea ce privește algoritmul de criptare, de autentificare și metoda de schimbare a cheii.
Algoritmul de criptare este 3DES (Triple Data Encryption System), acesta este un algoritm de tip bloc cu cheie simetrică format pe baza DES, prin aplicarea acestuia de trei ori. Când s-a ajuns la concluzia că cheile pe 56 de biți folosite de DES nu erau suficiente, 3DES a fost modalitatea cea mai simplă de a mări spațiul cheilor, ajungând la 168 biți, fără a trece la un nou algoritm.
Pentru a preveni modificarea unui mesaj sau pentru a putea verifica dacă mesajul recepționat este identic cu cel transmis,se utilizează tehnica hash.
Pentru asigurarea integrității datelor am folosit algoritmul SHA-1 (Secure Hash Algoritm1)
În ceea ce privește autentificarea metoda am ales-o la pasul anterior cand am ales cheia ”cisco123”
Fig.6. 18 – Algortmii predefiniți de criptare și autentificare
În următoarea imagine programul SDM ne cere să alegem protocolul de rutare. Pentru crearea tunelului vom alege rutarea statica: „Static Routing”.
Fig.6. 19 – Alegerea protocolului de rutare
După ce am ales protocolul de rutare trebuie să alegem informațiile statice de rutare și anume adresa IP a rețelei de la distanță aceasta fiind 172.16.0.0 cu masca de rețea 255.255.255.0.
Fig.6. 20 – Alegerea adresei IP de la disțanta
După ce am ales protocolul de rutare și informațiile statice de rutare Secure Device Manager ne face un sumar a ceea ce am configurat până în acel moment.
Fig.6. 21 – Sumarul Configurației
Apăsăm ”Finish” și trecem la următorul pas în care ne apare următoarea figură:
Fig.6. 22 – Generare cod tunel
Toți acești pași ce i-am făcut până acum au fost pentru a genera codul de programare a router-ului, care altfel ar fi trebuit scris în modul de programare CISCO. Apăsam butonul ”Generate Mirror” și obținem codul :
crypto isakmp policy 1
authentication pre-share
encr 3des
hash sha
group 2
lifetime 86400
exit
crypto isakmp key cisco123 address 12.12.12.2
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
mode tunnel
exit
ip access-list extended SDM_1
remark SDM_ACL Category=4
permit gre host 11.11.11.2 host 12.12.12.2
exit
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Apply the crypto map on the peer router's interface having IP address 11.11.11.2 that connects to this router.
set transform-set ESP-3DES-SHA
set peer 12.12.12.2
match address SDM_1
exit
Codul generat îl copiem în consola router-ului Terminal_B după care apăsăm butonul ”Test Tunnel” din figura 6.23.
Fig.6. 23 – Testarea Tunelului
Pentru verificarea tunelului vom trimite pachete de pe Terminalul_A prin comanda ping apelată din consola router-ului Terminal_A.
Fig.6. 24 – Verificare tunel
Prin comanda :
Router#show crypto ipsec sa verificăm activarea protocolului Ipsec
Router#show crypto isakmp sa detail
7.CONCLUZII
VPN poate oferi câteva avantaje mari față de liniile dedicate. Cu dinamismul organizațiilor din zilele noastre, utilizatorii de la distanță și birourile pot schimba foarte rapid informații. În loc să investească în linii dedicate scumpe, o companie poate să-și crească lățimea de bandă a conexiunii la Internet și să suporte în mod dinamic servere și clienți VPN în funcție de nevoie. Deși nu este soluția ideală în fiecare caz, VPN permite firmelor să stabilească mai rapid și mai fluid un acces de la distanță când apare o nouă nevoie. Permite, de asemenea, folosirea mai bună a resurselor, din moment ce utilizatori au conexiuni diferite se pot conecta la momente diferite, împărțind aceeași infrastructură, în loc să necesite infrastructuri separate. Și toate astea conduc la economisiri serioase de bani.
Cea mai importantă parte a unei soluții VPN este securitatea. Atributele sunt: autentificare, criptare – confidențialitate, integritatea datelor,tehnica hash.
Beneficiile serviciilor oferite prin VPN sunt:
Accesarea securizată de la distanță a resurselor companiei;
Costuri predictibile și ușor de bugetat, independente de trafic;
Suport fiabil pentru integrarea LAN-urilor;
Securitatea transmisiei datelor;
Rată de transfer constantă, garantată tehnologic;
Cum se întâmplă în cazul fiecărei tehnologii, în ciuda popularității lor, VPN-urile nu sunt perfecte ci există limitări.
VPN necesită înțelegerea detaliată a problemelor de securitate de rețea și instalarea/configurarea atentă, pentru a asigura protecție suficientă într-o rețea publică cum este Internetul.
Fiabilitatea și performanța unui VPN bazat pe Internet nu este sub controlul direct al unei organizații, soluția se bizuie pe un ISP și pe calitatea serviciilor lui.
De-a lungul timpului, produsele și soluțiile VPN ale diferiților furnizori nu au fost întotdeauna compatibile, datorită problemelor legate de standardele tehnologiilor VPN. Încercarea de a amesteca și potrivi echipamentele, ar putea cauza probleme tehnice, iar utilizarea echipamentelor unui singur furnizor ar putea să nu ofere o economisire mare de bani.
Tehnologia VPN încă se dezvoltă și asta este un mare avantaj pentru afaceri care au nevoie de o tehnologie care să evolueze odată cu ele. Cu VPN, firmele pot să ofere angajaților beneficii alternative: angajații pot lucra de acasă și să aibă acces oricând la informațiile companiei.VPN va ajută ca posibilitatea extinderii serviciilor unei afaceri la distanțe lungi și chiar global, să devină o realitate.
BIBLIOGRAFIE
Luminița Scripcariu, Ion Bogdan, ”Securitatea Rețelelor de Comunicații”, Ed. Venus,Iași,2008
Luminița Scripcariu, ”Bazele Rețelelor de Calculatoare”, Ed. Cermi,Iași,2005
Oprea Dumitru, ”Protecția și securitatea informațiilor”, Ed. Polirom,Iași,2003
Huitema C., ”Routing in the Internet”, Ed. Prentice-Hall,1995
Tanenbaum A.S., ”Computer Networks”, Ed. Prentice-Hall,1996
Kaufman C.,Perlman R.,Speciner M., ”Network Security”, Ed. Prentice-Hall,1995
Stuart McClure, ”Securitatea rețelelor”2005
Documente RFC
www.ietf.org
www.en.wikipedia.org
www.ieee.org
www.gns3.net
www.cisco.com
Anexa 1- Abrevieri
BIBLIOGRAFIE
Luminița Scripcariu, Ion Bogdan, ”Securitatea Rețelelor de Comunicații”, Ed. Venus,Iași,2008
Luminița Scripcariu, ”Bazele Rețelelor de Calculatoare”, Ed. Cermi,Iași,2005
Oprea Dumitru, ”Protecția și securitatea informațiilor”, Ed. Polirom,Iași,2003
Huitema C., ”Routing in the Internet”, Ed. Prentice-Hall,1995
Tanenbaum A.S., ”Computer Networks”, Ed. Prentice-Hall,1996
Kaufman C.,Perlman R.,Speciner M., ”Network Security”, Ed. Prentice-Hall,1995
Stuart McClure, ”Securitatea rețelelor”2005
Documente RFC
www.ietf.org
www.en.wikipedia.org
www.ieee.org
www.gns3.net
www.cisco.com
Anexa 1- Abrevieri
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Solutii de Securitate a Retelelor Vpn (ID: 108074)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.