Dorim să facem primul installfest din istoria Arlug.

Ce e un installfest ?

Installfest-ul e o întrunire la care se va demonstra (practic) cum se instalează o distribuție Linux. Demonstrația se va face cel mai probabil cu Ubuntu 10.04 și/sau Fedora 13, dar cine va dori să-și instaleze o altă distribuție va primi ajutor.

Cui i se adresează ?

Oricui. Cine are probleme cu instalarea unui sistem Linux, sau nu vrea să riște să-și piardă datele, sau are nelămuriri poate veni la installfest. De asemenea, pot participa persoane care vor să-și configureze sistemul gata instalat într-un anume fel sau au întrebări legate de acest sistem de operare.

Oamenii familiarizați cu sistemul Linux sunt rugați să participe la installfest pentru a oferi ajutor celor care au nevoie.

Când ?

De îndată ce se strâng destule persoane interesate. Din cauza asta, dacă ești interesat, te rog votează în poll-ul din stânga de pe pagina grupului, arlug.ro.

Incepind cu 25.06.2010 Fedora 11 a ajuns la sfirsitul perioadei de suport (end of life).
De asemenea, incepind cu aceasta data fedoraproject.org nu mai pune la dispozitia utilizatorilor update-uri, inclusiv cele de securitate.

Utilizatorii de Fedora care doresc sa aiba in continuare update-uri pot sa migreze la una din versiunile de Fedora care beneficiaza in continuare de support (Fedora 12 sau Fedora 13).

Tot incepind cu aceasta data intreg continutul Fedora 11 (atit releases cit si updates) a fost sters de pe mirror.arlug.ro

Probabil că aţi avut nevoie la un moment dat să copiaţi fişiere de pe un calculator pe altulş server pe altul, sau de pe staţia de lucru pe server – indiferet care dintre variante în mod nomral ar trebuii sa parcurgeţti urmatorii unul din paşi:

1. să deschideţi o conexiune FTP; asta implică instalat server de ftp =>complicat
2. să mergeţi cu stiku, discheta, cd+rw sau alt media – daca serarul e in alta locatie decat cladirea?

Există o posibiliate mai simplă si e “build in” în prodoculul de ssh si se numeşte scp (secure file copy).

Şi să trecem la treaba cum putem să o folosim. Foarte simplu ţinând cont că există pe ambele maşini la care avem acces.

• Copiaţi fişierul “foo.txt”, de la o distanţă pe local:

$ scp utilizator@masinaladistanta.ro:foo.txt /ceva/director/local

• Copiaţi fişierul “foo.txt”, de pe local la distanţă

$ scp foo.txt utilizator@masinaladistanta.ro:/ceva/director/la-distanta

• Copiaţi directorul “foo” de pe local în directorul de la distanţă numit “bar”

$ scp -r foo utilizator@masinaladistanta.ro:/ceva/director/la-distanta/bar

• Copiaţi fişierul “foo.txt” de pe maşina de la distanţă “masina1.ro” pentru maşina de la distanţă “masina2.ro”

$ scp utilizator@masina1.ro:/ceva/director/la-distanta/foo.txt \

utilizator@masina2.ro:/ceva/director/la-distanta

• Copierea fişierelor “foo.txt” şi “bar.txt” de pe local în directorul personal de pe maşina de la distanţă

$ scp foo.txt bar.txt utilizator@masinaladistanta.ro:~

• Copiază fişiere multiple de maşina de la distanţă în directorul curent de pe local

$ scp utilizator@masinaladistanta.ro:/ceva/director/la-distanta\{a,b,c\} .

$ scp utilizator@masinaladistanta.ro:~/\{foo.txt,bar.txt\} .

Un articol de hacking, din care se poate învăţa câte ceva despre funcţionalitatea şi/sau securitatea reţelelor informatice. Informaţiile conţinute în acest articol sunt de natura strict informaţională şi recomand reproducerea lor doar in laborator sau alte medi de test sigure.

Articolul este luat şi tradus de pe situl http://openmaniak.com/ un site bunicel în materie de securitate.

Articolul tradus este acesta:http://openmaniak.com/ettercap_arp.php.

În acest tutorial, maşina noastră ettercap va juca rolul de “omul din mijloc” (man in the middle), după un atac de spoofing ARP.

Diagrama(http://openmaniak.com/ettercap.php#diagram) scenariului este disponibilă în pagina de introducere ettercap.
Primul lucru de facut este de a stabili o adresă IP pe maşina dvs. ettercap în aceeaşi subreţea cu masina pe care doriţi să faceţi poison. Pentru tutorialul noastu adresa IP 192.168.1.100 este utilizată.
A se vedea de tutorialul de netwoking(http://openmaniak.com/networking.php) pentru explicaţii detaliate despre cum să setaţi o adresă de IP pe Linux.

Ca un memento, ettercap va avea nevoie de acces root pentru a fi lansat, apoi va putea fi “suportat” de utilizatorul nobody.

#ettercap -G

- Selectează “sniff mode”
Sniff -> Unified sniffing

Scanează gazda din subnetul tau
Hosts -> Scan for hosts
Scanearea campului de adrese depinde de setările făcute anterior pe placa de reţea

Vezi adresele IP şi MAC a calculatoareleor din subreţea.

Selectaţi maşinile pentru poison
Am ales sa facem ARP poison doar pentru un sistem Windows şi routerul 192.168.1.2 192.168.1.1.
Selectaţi linia ce conţine 192.168.1.1 şi faceţi clic pe butonul “Target 1″.
Selectaţi linia ce conţine 192.168.1.2 şi faceţi clic pe butonul “Target 2″.
Dacă nu selectaţi nici o maşină ca ţintă, toate maşinile din subreţea vor fi ARP atacate.

Verifică ţintele

Începe ARP Poisoning
Start -> Start sniffing

– ARP TRAFFIC:

Pe un sistem Windows, cu ajutorul Wireshark, putem compara traficul ARP înainte şi după atac:

Înainte de atac
Înainte de a începe să comunice, router-ul şi Windows-ul trimit un broadcast ARP(http://en.wikipedia.org/wiki/Broadcasting_%28networks%29) pentru aşi găsi adresa fiecăruia de MAC.

După otrăvire
Cererea routerului de ARP brodcast este similară ca pentru un Windows.
Diferenţa dintre cele două etape vine de la faptul că nu există nici o cerere provenind de la Windows (192.168.1.2) pentru a găsi adresa MAC asociată la router (192.168.1.1), deoarece atacatorul trimite continuu pachete ARP spunândui maşinii Windows ca 192.168 .1.1 este asociat cu propria adresa MAC (11:22:33:44:99:99) în loc de adresa de router-MAC (11:22:33:44:11:11).

- TABELE ARP:
Dacă ne uităm la tabela ARP a routerului şi a Windowsului, vedem că maşina Linux cu ettercup a “otravit” tabela lor de ARP şi a înlocuit adresa MAC a routerului si a Windowsului cu propria lui adresă MAC.
Acest lucru înseamnă că pachetele trimise între maşina Windows şi router vor tranzita reţeaua prin maşina cu ettercap.
Să vedem dacă am “otrăvit” cu succes tabela de ARP din router şi Windows:

——————–

Windows machine 192.168.1.2

——————–

Din Windows:
Start -> Run -> cmd
C:\Documents and Settings\administrator>arp -a
Interface <numele interfeţei>: 192.168.1.2 — 0×2

Interface <numele interfeţei>: 192.168.1.2 — 0×2

——————–

Linux machine 192.168.1.100

——————–

#arp -a

——————–

Router 192.168.1.1

——————–

>show arp

Dacă ai Netscreen (Juniper), foloseşte comnda:
>get arp
Pe un router Vyatta(http://openmaniak.com/vyatta.php)
>show arp

- OPRIREA ARP spoofing:

Ettercap este destul de eficient. După atac, acesta va reasigna ARP-ul victimelor. Cu alte cuvinte, victimele vor primi din nou setările corecte.
Daca nu îşi revine singur în câteva minute, curăţaţi cache-ul ARP

Pe Windows:

Pe un Linux:

Pe un router Cisco:

#clear arp-cache

Tradus de la http://openmaniak.com/ettercap_arp.php

Câteva opţiuni importante:

• -x (pe BSD) -xdev (pe Linux)       Ramâne pe acelaşi sistem de fişiere (dev în fstab).
• -exec cmd {} \; Execută comanda şi înlocuieşte {} cu calea completă
• -iname Ca şi  -name dar e case insensitive (nu ţine cont de majuscule şi minuscule)
• -ls arată informaţii despre fşier (similar ls -la)
• -size n n este +-n (k M G T P)
• -cmin n Statusul fişierului a fost schimbat acum n minute

# find . -type f ! -perm -444 # Găseşte fişierele fara drept de citire de all
# find . -type d ! -perm -111 # Găsesşte directoare ne accesibile de all
# find /home/user/ -cmin 10 -print # Fişierele create sau modificate în ultimele 10 minute
# find . -name ‘*.[ch]‘ | xargs grep -E ‘expr’ # Caută ‘expr’ în director şi mai jos
# find / -name “*.core” | xargs rm # Găsesşte core dumps şi ştergele
# find / -name “*.core” -print -exec rm {} \; # idem mai sus
# find . \( -iname “*.png” -o -iname “*.jpg” \) -print -exec tar -rf images.tar {} \; # Găseşte imagini şi crează arhive, iname nu e case sensitive.
# find . -type f -name “*.txt” ! -name README.txt -print # Exclude README.txt
# find /var/ -size +10M -exec ls -lh {} \; # Găsesşte fişiere mai mari de 10MB
# find /var/ -size +10M -ls # mai simplu
# find . -size +10M -size -50M -print
# find / -type f -user root -perm -4000 -exec ls -l {} \; # Găsesşte fişierele SUID, fişiere vulnerabile care trebuie securizate

Grijă maxima cu xarg sau exec deoarece pot să returneze rezultate aiurea dacă fişierele sau directoarele conţin spaţii. Dacă ai îndoieli, foloseşte “-print0 | xargs -0” în loc de “| xargs“.
Opţiunea -print0 trebuie să fie ultima din comandă. Studiază şi mini tutorialul pentru find de aici http://www.hccfl.edu/pollock/Unix/FindCmd.htm.

# find . -type f | xargs ls -l # NU VA FUNCŢIONA CU SPAŢII ÎN NUME
# find . -type f -print0 | xargs -0 ls -l # NU VA FUNCŢIONA CU SPAŢII ÎN NUME
# find . -type f -exec ls -l ‘{}’ \; # Foloseşte ‘{}’ cu -exec

surse de inspiraţie: www.google.com şi man find

Lightweight Directory Access Protocol, sau LDAP, este un protocol aplicatie folosit pentru interogarea si modificarea serviciilor de directoare prin intermediul TCP/IP.
Un director este un set de obiecte cu attribute organizate intr-o structura ierarhica. Un exemplu simplu este cartea de telefoane, care contine o lista cu nume (de persoane sau de organizatii) organizata alfabetic, unde fiecare nume are asociata o adresa si un numar de telefon.
Un arbore director LDAP de cele mai multe ori reflecta limite politice, geografice sau alte organizatii, depinzand de modelul ales. Utilizatorii de LDAP din momentul de fata prefera folosirea DNS pentru structurarea nivelelor unei ierarhi. Inauntrul directorului pot aparea mai multe intrari reprezentand persoane, organizatii, imprimante, documente, grupuri sau orice altceva care reprezinta o intrare arborescenta.
Versiunea curenta pentru LDAP este v3, specificatiile pentru aceasta se pot gasi in RFC 4510.

Consideratii generale
Un client initiaza o sesiune LDAP prin conectarea la un server LDAP, numit DSA (Directory System Agent), standard pe portul TCP 389. Dupa aceea clientul trimite o cerere de operare catre server, iar serverul trimite inapoi un raspuns. In afara catorva exceptii, clientul nu trebuie sa astepte un raspuns inainte de a trimite urmatoarea cerere, iar serverul poate trimite raspunsurile in orice ordine.

Clientul poate solicita urmatoarele operatii:
Start TLS – foloseste extensia securitatii la nivel transport (TLS) a LDAPv3 pentru o conexiune sigura
Bind – autentificarea si specificarea versiunii protocolului LDAP
Search – cauta si/sau returneaza intrarile din directoare
Compare – testeaza daca o anumita intrare contine o valoare atribuita
Adauga a noua intrare
Sterge o intrare
Modifica o intrare
Modify Distinguished Name (DN) – muta sau redenumeste o intrare
Abandon – abandoneaza o cerere anterioara
Extended Operation – operatie generica folosita la definirea altor operatii
Unbind – inchiderea conexiunii (nu este inversul lui Bind)

In plus serverul poate trimite “notificari nesolicitate” care nu sunt raspunsuri la cereri. O metoda alternativa des folosita pentru securizarea comunicatiilor LDAP este folosirea unui tunnel SSL. Portul standard folosit pentru SSL este 636. Folosirea SSL-ului pentru LDAP a fost o practica des intalnita pentru versiunea 2, darn u a fost niciodata standardizata intr-o specificatie. Aceasta practica s-a depreciat impreuna cu LDAPv2, care a fost oficial retras in 2003.
LDAP este definit cu ajutorul ASN.1, iar mesajele protocol sunt codate in formatul binary BER. Totusi, foloseste reprezentarea textuala pentru un numar ASN.1 campuri/tipuri.

Structura directorului
Protocolul aceseaza directoarele LDAP, care urmaresc editia din 1993 a modelului X.500:
- un director este un arbore de intrari
- o intrare contine un set de attribute
- un atribut are un nume (un tip de atribut sau o descriere a atributului) si una sau mai multe valori. Atributele sunt definite intr-o “schema”.
- fiecare intrare are un identificator unic: DN-ul sau. Acesta este compus din Relative Distinguished Name (RDN) format din anumite atribute din intrare, urmat de DN-ul intrarii parinte. Imaginati-va DN un intreg nume de fisier, iar RDN un nume relative de fisier dintr-un director.

Atentie la faptul ca un DN se poate schimba pe parcursul existentei unei intrari, de exemplu, atunci cand intrarile sunt mutate intr-o structura arborescenta. Pentru o identificare sigura a unei intrari , se poate aloca un UUID atributelor operationale.

O intrare poate arata in felul urmator atunci cand e reprezentata in LDAP Data Interchange Format (LDIF) (LDAP insusi este un protocol binary):

dn: cn=John Doe,dc=example,dc=com
cn: John Doe
givenName: John
sn: Doe
telephoneNumber: +1 888 555 6789
telephoneNumber: +1 888 555 1232
mail: john@example.com
manager: cn=Barbara Doe,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: organizational Person
objectClass: person
objectClass: top

dn este numele intrarii; nu este un atribut si nici parte a intrarii. “cn=John Doe” este RDN-ul intrarii, iar “dc=example,dc=com” este DN-ul intrarii parinte, unde dc inseamna Domain Component. Celelalte linii sunt attribute ale intrarii. Numele atributelor sunt siruri mnemonice tipice, cum ar fi “cn” pentru nume comun (common name), “dc” pentru component de domeniu, “mail” pentru adresa de e-mail si “sn” pentru prenume (surname).

Un server contine un subarbore incepand cu o anumita intrare, de exemplu “dc=example,dc=com” si fii acestuia. Serverele pot, de asemenea, sa contina referinte catre alte servere, astfel o incercare de a accesa “ou=department,dc=example,dc=com” ar putea returna o “referinta” sau “referinta de continuare” catre un server care contine acea parte a arborelui director. In acel moment clientul poate contacta celalalt server. Unele servere suporta inlantuirea (“chaining”), ceea ce inseamna ca serverul contacteaza alt server si returneaza rezultatul catre client.
LDAP de putine ori defineste o anumita ordine: serverul poate returna valoarea unui atribut, atributele dintr-o intrare si intrarile gasite de operatiile de cautare in orice ordine. Acest mod de operare deriva din definitiile – o intrare este definite ca un set de atribute iar un atribut este un set de valori, iar seturile nu necesita ordonare.

Operatii
Clientul acorda fiecarei cereri un ID de mesaj pozitiv si raspunsul serverului are acelasi ID de mesaj. Raspunsul include un cod numeric care indica succesul, eroarea sau alt fel de caz. Inaintea raspunsului, serverul poate trimite alte mesaje cu alte date – de exemplu fiecare intrare gasita de operatiunea de Cautare este returnata intr-un astfel de mesaj.

StartTLS
Operatiunea StartTLS stabileste securitatea la nivelul transport la conectare. Acest lucru poate oferi confidentialitatea datelor (pentru a preveni observarea datelor de catre o terta persoana) si/sau protectia integritatii datelor (care protejeaza continutul). In timpul negocierii TLS serverul trimite certificatul X.509 pentru a se legitima. Clientul poate de asemenea trimite un astfel de certificat. Dupa aceea, clientul poate folosi SASL/EXTERNAL. Folosind SASL/EXTERNAL clientul cere serverului sa isi declare identitatea la un nivel inferior. Cu toate ca, din punct de vedere tehnic, serverul poate folosi o informatie de identitate stabilita la un nivel inferior, de obicei serverul va folosi informatia de identitate stabilita de TLS.
Serverele suporta de cele mai multe ori non-standardul “LDAPS” (“Secure LDAP”, cunoscut si sub numele de “LDAP over SSL”) protocolul pe un port separat, prestabilit 636. LDAPS difera de LDAP in doua moduri:
1) la conectare clientul si serverul stabilesc TLS inainte ca transferul de mesaje LDAP sa aiba loc (fara o operatia Start TLS)
2) conexiunea LDAPS trebuie inchisa la inchiderea TLS.
LDAPS a fost folosit cu LDAPv2, pentru ca operatiunea de StartTLS nu era definita inca. Utilizarea LDAPS-ului este din ce in ce mai rara si software-urile moderne ar trebui sa foloseasca doar StartTLS.

Bind (autentificare)
Operatia Bind autentifica clientul catre server. Bind simplu poate trimite DN-ul si parola user-ului necriptata, din acest motiv conexiunea ar trebui protejata folosind Transport Layer Security (TLS). Serverul verifica parola cu atributul userPassword in intrarea numita. Bind anonim (fara DN si parola) reseteaza conexiunea in starea de anonim. Bind SASL (Simple Authentication and Security Layer) asigura servicii de autentificare printr-o gama larga de moduri cum ar fi Berberos sau certificarea trimisa de client cu TLS.
Bind seteaza versiunea protocolului LDAP. De obicei clientii ar trebui sa foloseasca LDAPv3, care este presetat pentru acest protocol dar nu intotdeauna in biblioteca LDAP.
Bind trebuie sa fie prima operatie intr-o sesiune in LDAPv2, dar nu este obligatoriu in LDAPv3 (versiunea curenta de LDAP).

Cauta si compara
Operatiunea de cautare este folosita atat pentru cautare cat si pentru citirea intrarilor. Parametrii sai sunt:
baseObject – DN-ul inrarii de unde sa inceapa cautarea
scope – elementele care trebuie cautate. Acestea pot fi BaseObject (sa caute doar intrarea indicata, optiune folosita pentru citirea unei singure intrari), singleLevel (inrari sub DN de baza) sau wholeSubtree (intregul subarbore incepand de la DN-ul de baza).
Filter – criteriul folosit in selectareaelementelor din “scope”. De exemplu, filtrul
(&(objectClass=person) (| (givenName=John) (mail=john*))) va selecta persoanele (elementele clasei person) care au numele “John” sau au o adresa de e-mail care incepe cu sirul “john”.
DerefAliases – daca si cum sa urmareasca intrarile alias (intrarile care au referinta catre alte intrari)
attributes – ce atribute sa returneze in intrarile rezultat
sizeLimit, timeLimit – numarul maxim de intrari de returnat si timpul maxim alocat cautarii
typesOnly – returneaza doar tipuri atribute, nu returneaza valori ale atributelor

Serverul returneaza intrarile care se potrivesc cautarii si potentialele referinte. Acestea pot fi returnate in orice ordine, rezultatul final va include codul rezultatului.
Operatia de comparare ia un DN, un nume al atributului, o valoare a atributului si verifica daca acea intrare contine acel atribut cu acea valoare.

Updatarea datelor
Adaugare, Stergere si Modificare de DN – toate necesita DN-ul intrarii care va fi modificate.
Modificarea ia o lista de atribute de modificat si modificarile care trebuie facute pentru fiecare dintre ele: stergerea atributelor sau unor valori, adaugarea de valori noi, inlocuirea valorilor curente cu unele noi.
Operatiile de adaugare pot avea atribute aditionale si valori pentru acele atribute.
Modificare DN (mutare/redenumire intrare) ia noul RDN (Relative Distinguished Name), optional noul DN al parintelui si un flag care va determina daca se va sterge valoarea pentru vechiul RDN. Serverul poate suporta redenumirea unui intreg director de subarbore.
O operatie de updatare este atomica: alte operatii vor vedea noua intrare sau cea veche. Pe de alta parte, LDAP nu defineste tranzactia operatiilor multiple: daca se citeste o intrare si pe urma se modifica, alt client ar fi putut sa updateze intrarea in acest timp. Serverele pot implementa extensii care suporta acest lucru.

Operatii extinse
Operatia de extindere este o operatie generica LDAP care poate fi folosita la definirea unor noi operatii. Exemple: Cancel, Password Modify si Start TLS operations.

Abandon
Operatia de abandonare trimite o cerere serverului de terminare a unei operatii identificata de ID-ul de mesaj. Serverul poate sa nu indeplineasca cererea. Din pacate, nici cererea de terminare, nici terminarea cu succes a unei operatii nu trimit un raspuns. Din acest motiv a fost definita operatia extinsa Cancel care trimite raspunsuri, dar nu toate implementarile o suporta.

Unbind
Operatia Unbind sfarseste orice operatii in desfasurare si inchide conexiunea. Nu trimite raspuns. Numele acestei operatii are origini istorice si nu este opusul operatiei Bind.
Clientii pot termina o sesiune prin inchiderea conexiunii, dar ar trebui sa foloseasca Unbind. Unbind permite serverului sa inchida conexiunea intr-un mod mai gratios si sa elibereze resursele care altfel ar fi inca folosite o perioada de timp pana cand s-ar descoperi ca clientul a abandonat conexiunea. De asemenea instruieste serverul sa inchida operatiile care pot fi inchise si sa nu trimita raspunsuri pentru operatiile care nu pot fi inchise.

URL-uri LDAP
Exista un format de URL LDAP pe care clientii il suporta intr-un mod variabil si care este returnat de catre server si referinte (vezi RFC 4516):

ldap://host:port/DN?attributes?scope?filter?extensions

Majoritatea componetelor care sunt descrise mai jos sunt optionale.

De exemplu, “ldap://ldap.example.com/cn=John%20Doe,dc=example,dc=com”
se refera la toare atributele de utilizator in intrarea John Doe in ldap.example.com, in timp ce “ldap:///dc=example,dc=com??sub?(givenName=John)” cauta intrarea in serverul default (a se observa triplu slash, omiterea host-ului, dublu semn de intrebare si omiterea atributelor). In alte URL-uri caracterele speciale trebuie sa fie codate in procente.
Mai exista un LDAP non-standard: schema URL pentru LDAP peste SSL. Aceasta nu ar trebui condundata cu TLS, care este obtinuta prin folosirea operatiei StartTLS folosind schema standard de LDAP.

Schema
Continutul intrarilor dintr-un subarbore sunt determinate de o schema cunoscuta sub numele de DIT (Directory Information Tree).
Schema unui server director defineste un set de reguli care guverneaza genul informatiilor ce pot fi stocate de server. Schema directorului este comprimata intr-un numar de elemente diferite cum ar fi:
- Attribute Syntaxes – ofera informatii despre tipul informatiilor care pot fi stocate intr-un atribut.

Atributele sunt elementele responsabile pentru stocarea informatiilor intr-un director si schema defineste regulile pentru care atributele pot fi folosite intr-o intrare, tipul valorilor pe care le pot lua acele atribute si felul in care clientii pot interactiona cu acele valori.
Clientii pot invata despre elementele schemei suportate de server prin returnarea subintrarii subschemei adecvate.
Schema defineste clasele de obiecte. Fiecare intrare trebuie sa contina un atribut objectClass, care sa contina clasele numite definite in schema. Definitia schemei a unei clase a unei intrari defineste ce tip de obiect poate reprezenta acea intrare- ex: o persoana, organizatie sau domeniu.
De exemplu, o intrare care reprezinta o persoana poate sa apartina claselor “top” si “person”. Apartenenta la clasa “person” necesita ca intrarea sa contina atributele “sn” si “cn” si permite intrarii sa contina “userPassword”, “telephoneNumber” si alte atribute. Din moment ce intrarile pot avea valori multiple de ObjectClasses, fiecare intrare contine un complex de atribute optionale si obligatorii, format din uniunea claselor de obiecte pe care le reprezinta. ObjectClasses poate fi mostenit si o singura intrare poate avea valori multiple ObjectClasses care definesc atributele obligatorii si posibile ale intrarii. Paralel cu schema unui objectClass este definitia clasei si o instanta in programarea orientata pe obiecte, reprezentand objectClass LDAP si intrarea LDAP respectiva.
Serverele de directoare pot publica schema directorului controland o intrare la o baza DN data de atributul operational al subintrarii subschemei.
Administratorii de servere pot adauga alte scheme de intrari, in completare la elementele schemei oferite. O schema care reprezinta indivizi intr-o organizatie se numeste o schema cu pagini albe.

Variatii
Multe dintre operatiile serverului sunt lasate la latitudinea administratorului. Din acest motiv, serverele pot fi programate sa suporte o varietate larga de scenarii.
De exemplu, stocarea datelor pe un server nu este specificata – serverul poate folosi fisiere, baze de date sau poate fi doar un gateway catre alte servere. Controlul accesului nu este standardizat, cu toate ca s-a lucrat la el si exista modele mai raspandite. Parolele utilizatorilor pot fi stocate in intrarile lor sau in alt loc. Serverul poate refuza sa execute anumite operatii si sa stabileasca anumite limite.
Majoritatea partilor din LDAP sunt extensibile. Exemple: Se pot defini operatii noi. Controalele pot modifica cererile si raspunsurile, cum ar fi sa se solicite ca rezultatele cautarii sa fie sortate. Se pot defini noi metode de Bind. Atributele pot avea optiuni care sa le modifice semantica.

Alte modele de date
Din moment ce LDAP a castigat teren, producatorii l-au folosit pe post de protocol de acces pentru alte servicii. Pe urma s-a incercat imitarea modelului LDAP/X.500, dar asemanarile cu acesta difera. De exemplu se foloseste software pentru accesarea bazelor de date SQL prin LDAP chiar daca LDAP nu este conceput pentru asa ceva. Serverele X.500 pot suporta LDAP.
Similar, datele care erau inainte stocate altundeva sunt uneori mutate in directoare LDAP. De exemplu informatii despre utilizatori Unix si informatii despre grupuri pot fi stocate in LDAP si accesate via modulele PAM si NSS. LDAP este des utilizat de catre alte servicii pentru autentificare.

Folosire
Structura de denumire
Din moment ce un server LDAP poate returna referinte catre alte servere la cereri, serverul nu va putea, este necesara o structura de denumire pentru intrarile LDAP pentru a putea fi gasit serverul care contine un anumit DN. Pentru ca o astfel de structura deja exista in DNS, numele de nivel ridicat ale serverelor de multe ori imita numele DNS, cum se intampla si in cazul X.500.
Daca o organizatie are numele de domeniu example.org, intrarea LDAP de nivel inalt va avea DN-ul dc=example,dc=org. Daca serverul LDAP este de asemenea numit ldap.example.org, URL-ul LDAP-ului de nivel inalt al organizatiei devine
ldap://ldap.example.org/dc=example,dc=org
Sub nivelul de top, numele intrarii va reflecta structura interna a organizatiei mai degraba decat numele DNS.

Terminologie
Terminologia LDAP pe care o putem intalni este relativ coplesitoare. Acest lucru se datoreaza neintelegerilor, originii istorice sau cand se foloseste impreuna cu servicii non-X.500 care folosesc o terminologie diferita. De exemplu “LDAP” este folosit atat pentru referinta la protocol cat si la protocol si date. “Directorul LDAP” poate insemna atat date cat si punct de acces. Un “atribut” poate fi tipul atributului sau continutul unui atribut intr-un director sau descrierea unui atribut. Bind “anonim” sau “neautentificat” sunt diferite metode de Bind care amandoua produc starea de autentificare anonima, deci ambii termeni sunt folositi pentru ambele variante. Atributul “uid” ar trebui sa contina nume de utilizatori in loc de ID-uri numerice de utilizatori.

Tradus de Sandra Popity. Sursa: http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol

Este contestabil ca retelele VPN sunt cel mai fierbinte subiect al securitatii datelor din prezent, insa acestea reprezinta o speranta pentru firmele care cauta costuri reduse, flexibilitate crescuta si scalabilitate si doresc sa asigure securitatea comunicatilor lor.

Dar ce face exact o retea VPN si cum poate sa aiba un impact asupra factorilor de care tin afacerile – scaderea costurilor, atenuarea riscurilor si cresterea veniturilor? Popularitate tehnologiei VPN este legata direct de potentialul acestuia de recuperare semnificativa a investitilor (coeficientul ROI – return of investment). Pentru firmele care platesc costuri adesea ametitoate pentru conexiunile private prine linii inchiriate sau Frame Relay, este semnificativa reducerea cheltuielilor asociata cu intalarea retelelor VPN, care inlocuiesc conexiunile costisitoare. Pentu a intelege valoarea unei retele VPN, trebuie sa luati in considerare tehnologiile pe care, cel mai adesea, aceste retele le inlocuiesc:

• Retelele VPN site-to-site (de la locatie la locatie) pot lua locul circuitelor de telecomunicatii costisitoare ale retelelor de mare intindere de tip WAN, inlocuind servicile de linii private, cu retele VPN care folosesc Internetul.
• Retele VPN cu acces de la distanta pot elimina sau reduce drastic cheltuielile cu legaturiile telefonice pentru conectarea unei filiale aflata la distanta sau a sediilor mici.

Prezentare retelelor VPN

O retea private virtuala (VPN) este o conexiune criptata de retea care foloseste un tunnel sigur intre capete, prin Internet sau prin alta retea, cum ar fi o retea WAN. Intr-o retea VPN, conexiunile pe liniile telefonice catre utilizatorii de la distanta si liniile inchiriate sau conexiunile Frame Relay catre locatii aflate la dintanta sunt inlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP) sau la un punct de prezenta a unui furnizor de servicii (POP). Raspandirea din ce in ce mai mare a conexiunilor de banda larga, face atractiva aceasta utilizare a unui acces ieftin la eeteaua Internet. Dupa cum am explicat, dupa o investitie initiala in retele VPN, costul pentru adaugarea altor locatii sau utilizatori este minm.

Retelele VPN permin fiecarui utilizator al retelei sa comunice intr-un mod sigur si fiabil folosind internetul ca mediu de conectare la reteaua private de tip LAN. O retea VPN se poata dezvolta astfel incat sa se adapteze la mai multi utilizarori si locatii diferite, mai usor decat prin linii inchiriate. Spre deosebire de liniile inchiriate, in care costul creste proportional cu distantele implicate, pocalizarea geagrafica a fiecarui sediu/utilizator are putina importanta in crearea unei retele VPN.

O retea VPN permite unei retele intranet private sa fie extinsa in siguranta prin criptare IPSec in Internet, facilitand un comert electronic sigur si conexiuni extranet cu angajati mobili, parteneri de afaceri, furnizori si clienti. Exista trei tipuri principale de retele VPN:

• Retele VPN pentru accesul de la distanta ( remote access VPN) – permit fiecarui utilizator dialup sa se conecteze in mod partajat la un sediu central prin Internet sau alt serviciu public de retea. Acest tip de retea VPN este o conexiune utilizator LAN care permite angajatilor o conectare din afara la reteaua LAN a companiei. Sistemele angajatilor folosesc o aplicatie software client VPN speciala, care permite o legatura sigura intre ei si reteaua LAN a companiei.
• Retele VPN locatie-la-locatie (site-to-site) – sunt folosite pentru a extinde reteaua LAN a companiei in alte cladiri si locatii, prin utilizarea unui echipament dedicat, astfel incat angajatii din aceste locatii aflate la distanta sa poata utilize aceleasi servicii de retea. Aceste tipuri de retele VPN sunt conectate in permanenta.
• Retele VPN extranet – permit conexiuni sigure cu partenerii de afaceri, furnizorii si clientii, in scopul comertului electronic. Retelele VPN extranet sunt o extindere a retelelor VPN intranet prin adaugare a unor sisteme firewall de protejare a retelei interne.

Figura 1

Avantajele si scopul retelelor VPN

O retea VPN bine proiectata poate adduce multe avantaje unei companii. Cateva dintre beneficiile implementarii unei retele VPN intr-o alta retea sunt urmatoarele:

• Inainte de aparitia tehnologiilor VPN, angajatii localizati la distanta trebuiau sa apeleze numere de telefon interurbane pentru a ajunge la reteaua companiei. Cheltuielile cu telecomunicatiile se reduc pe masura ce conexiunile dedicate si de tip dialup de la distante mari mari sunt inlocuite cu conexiuni locale la Internet, prin care utilizatorii folosesc un client VPN. In functie de numarul de angajati din teitoriu, aceasta metoda singura poate adduce economii immense. Pentru multe companii mici, cu resurse financiare limitate, solutia furnizorilor VPN poate fi utila.
• Cresteti productivitatea utilizatoriilor permitandu-le un acces sigur la resursele retelei, indifferent de localizarea lor geografica.
• Reduceti cheltuielile operetionale allocate conexiunilor WAN dedicate, inlocuindu-le cu conexiuni Internet directe, cum sunt cele de banda larga pentru afaceri, prin care locatiile aflate la distanta se vor conecta printr-o retea VPN locatie-la locatie.
• Simplificati topologia retelei adaugandu-I strategic retele VPN peste tot.
• Cerintele pentru largimea de banda sunt modeste, in cazul in care locatiile au nevoie de conectivitate la retea. Folosind retele VPN, veti avea o recuperare mai rapida a investitiilor decat atunci cand aplicati solutia WAN.
• Daca se doreste o mai mare flexibilitate in instalarea echipamentelor mobile de calcul, de telecomunicatii si pentru lucrul in retea cu filialele, un comert electronic mai usor si conexiuni extranet cu partenerii de afaceri, cu furnizorii si pentru accesul la Internet al clientilor externi, un intranet intern si acces extranet- toate acestea pot fi asigurate folosind o singura conexiune sigura.
• Doriti sa reduceti cheltuieliile aferente sediilor, cerand utilizatoriilor sa lucreze acasa trei zile pe saptamana. Lucrand acasa, utilizatorii casnici au, de obicei, o productivitate mai mare si sunt mai putin stresati.

Inainte de a implementa o retea VPN, treebuie alocat suficient timp pentru a gandi ce dorim sa realizam cu acesta. In acest timp, inainte de a alege un furnizor de solutii ori hardware, ar trebui sa luam in considerare ce caracteristici sunt mai importante. Securitatea, mentionata mai tarziu, este una dintre cele mai importante proprietati ale retelelor VPN.

Strategii de implementare a retelelor VPN

Strategiile de implementare a retelelor VPN sunt extreme de variate deoarece toti furnizorii de azi au ,,o solutie VPN“. Unele dintre solutii sunt ceea ce pretinde ca sunt, iar altele ridica probleme mari in randul comunitatii preocupate de securitate. Deoarece nu exista un standard larg acceptat de implementare a unei retele VPN, multe companii au dezvoltat solutii proprii, la cheie.

Aceasta sectiune analizeaza cateva dintre diferitele componente posibile, disponibile la firma Cisco, precum si modul in care fiecare dispozitiv, precum sistemele firewall, pot fi folosite pentru a juca rolul unei retele VPN:

• Sistemele firewall – Sistemele firewall sunt vitale pentru securitatea retelei. In present, toate sistemele firewall Cisco accepta combinarea retelelor VPN cu inspectarea pachetelor in functie de stare (SPI). Solutiile variaza incepand cu retelele VPN de tip locatie-la-locatie bazate pe standarde care realizeaza un echilibru intre standardele Internet Key Exchange (IKE) si IPSec pentru VPN. Sistemele firewall Cisco PIX cripteaza datele folosind standardul DES (Data Encryption Standard) pe 56 de biti, Triple DES (3DES) pe 168 de biti sau chiar criptarea AES (Advanced Encryption Standard) pe 256 de biti. Fiind un exemplu minunat de tehnologie, Cisco PIX Firewall combina traducerea NAT (Network Address Translation) dinamica, filtrarea pachetelor de server proxy, un sistem firewall si functii terminale VPN intr-un singur echipament hardware.
• Routere cu capacitati VPN – Routerele Cisco pot fi modernizate pentru a avea capacitatea de a folosii retele VPN. Aceste modernizari vin sub una din urmatoarele forme, in functie de modelul de router in discutie: IOS, memorie sau hardware VPN dedicate. Se poate obtine functii unice care ofere scalabilitate, directionare, securitate si calitatea serviciilor (QoS). Folosiind Cisco IOS Software, se obtine un router potrivit pentru orice situatie.
• Concentrator VPN – incorporand cele mai avansate tehnici de criptare si autentificare disponibile, concentratoarele Cisco VPN sunt construite special pentru acrea retele VPN cu acces de la distanta, care asigura o disponibilatate ridicata, performanta ridicata si scalabilitate, si include componente numite module de prelucrare scalabila acriptarii (SEP — scalable encryption processing), prin care se pernite cresterea capacitatii si volumul transferului. Concentratoarele VPn sunt construite pentru a satisface cerintele retelelot VPN si sunt disponibile in module adecvate pentru orice, incepand cu firme, de 100 utilizatori si pana la organizatii de 10 000 utilizatori simultani de la distanta.
• Software client –Usor de instalat si operat, Cisco VPn Client stabileste tuneluri sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai jos. Acest software de finete, conpatibil cu IPSec poate fi preconfigurat pentru instalari conasate, iar deschideriile initiale de sesiuni necesita o interventie redusa a utilizatorului.

In functire de tipul de retea VPN (cu acces de la distanta sau locatie-la-locatie ), trebuie folosite componente hardware specifice pentru a construe reteaua VPN. Totusi luati in considerare si urmatoarele:

• Capacitatea de gestionare – capacitatea de gestionare a unei retele VPN se refera la efortul necesar pentru a intretine cu succes conectivitatea stabilita a retelei. Mai exact, PC Magazine defineste capacitatea de gestionare prin „factorii care faciliteaza utilizarea optiunilor de management de la distanta si local, inclusiv faptul ca dispozitivul furnizeaza un acces printr-o interfata bazata pe un browser sau prin linie de comanda” (PC Magazine 2002).
• Fiabilitatea – evident, daca un produs software sau hardware VPN nu este disponibil atunci cind aveti nevoie, pierdeti din productivitate si, probabil din venituri.
• Scalabilitatea – pe masura ce afacerea unei companii se dezvolta, adesea, se dezvolta si cerintele acesteia pentru tehnica de calcul. Pentru a extinde infrastructura VPN rapid si cu costuri reduse, este important sa alegeti o solutie care ia in considerare scalabilitatea. Ceea ce isi doreste mai putin un manager IT este sa fie nevoit sa o ia de la inceput si sa inlocuiasca infrastructura VPN din cauza unei limitari in potentialul de dezvoltare al acesteia.

La selectarea dispozitivului potrivit sa ofere servicii VPN pentru reteaua dumneavoastra, trebuie sa aveti in vedere limitarile. De exemplu, sistemul IOS al unui router poate fi terminalul retelelor VPN, dar aceasta este o procedura manuala de configurare si necesita o intelegere mai profunda decit in cazul unui sistem firewall PIX, care are disponibil programul VPN Configuration Wizard, cu interfata GUI. Mai exista Cisco VPN concentrator, care complecteaza sistemul PIX sau IOS cu o interfata GUI puternica, ficilitind managementul mai multor politici VPN. Cisco VPN Concentrator ofera instructiuni intuitive pentru configurarea acestor politicisi grupuri diferite, permitind astfel existenta mai multor utilizatori diferiti intr-o retea cu diferite grupuri de executare asociate acelui grup. De obicei aduc in discutie un concentrator atunci cind clientul are un personal limitat si are nevoie de mai multe cerinte diferite pentru politica VPN. Sistemul IOS cu PIX este mai dificil de configurat si de controlat pentru aceasta cerinta particulara.

Trafic divizat prin tunel

Multi utilizatori VPN se afla deja in spatele sistemelor firewall si trebuie sa aiba acces la resurse doar printr-o retea VPN. Retelele traditionale VPN nu permit utilizatorilor sa aibe acces si la resursele de retea din segmentul lor local, in timp ce sunt conectati la reteaua VPN a companiei. Acest lucru devine o problema cind, de exemplu acesti utilizatori trebuie sa acceseze un sistem printr-o retea VPN si sa efectueze listari la o imprimanta de retea locala. Pentru a corecta aceasta posibila problema, a fost introdusa o functie numite split tunneling (trafic divizat prin tunel)

Traficul divizat prin tunel are loc atunci cind unui utilizator VPN, aflat la distanta sau o alta locatie indepartate au permisiunea de a accesa o retea publica (Internet) si in acelasi timp acceseaza si reteaua privata VPN fata a plasa mai intii traficul retelei publice in interiorul tunelului. Totusi aceasta nu este intotdeauna cea mai potrivita functie care sa fie activata, deoarece ar putea permite unui atacator sa compromita un calculator care este conectat la doua retele.

Figura 2 ilustreaza cum functioneaza traficul divizat prin tunel

Figura 2

Functionarea retelelor VPN de tip IPSec

IPSec a devenit standardul de facto pentru crearea retelelor VPN in industria retelelor. Mai multi furnizori au implementat-o si, pentru ca Internet Engineering Task Force (IETF) a devenit IPSec intr-un document RFC, interoperabilitatea dintre furnizori face din IPSec cea mai buna operatiune pentru construirea retelelor VPN. IPSec ofera un misloc standard de stabilire a autentificarii si a serviciilor de criptare, intre participantii la conexiune (peers). In cadrul acestei prezentari folosim pentru a ne referii la termenul „peer” dispozitivele care formeza capetele unui tunel VPN. IPSec acctionea in stratul retea din modelul de referinta OSI, protejind si autentificind pachetele IP dintre dispozitivele IPSec care participa (peers), cum sunt routerele Cisco sau sistemele firewall. IPSec ofera urmatoarele servicii de securitate a retelei:

• Confidentialitatea datelor – expeditorul IPSec poate cripta pachetele inainte de a le trimite printr-o retea. Daca un hacker ar citi datele, acestea nu i-ar fi de nici un folos.
• Integritatea datelor – punctul final receptor IPSec autentifica toate pachetele trimise de expeditorul IPSec, asigurind ca datele nu au fost modificate in timpul transmisiei.
• Autentificarea originii datelor – receptorul IPSec poate autentifica sursa pachetelor IPSec transmise. Acest serviciu depinde de serviciul de integritate a datelor.
• Nu permite reluarea transmiterii pachetelor – receptorul IPSec poate detecta si respinge pachetele retransmise.

IPSec protejeaza datele care trec prin retelele neprotejate, iar serviciile de securitate IPSec sunt oferite la nivelul stratului retea. De aceea, nu trebuie sa configurati separata statiile de lucru, PC-urile sau aplicatiile. In loc sa oferiti serviiile de securitate pe care nu aveti nevoie sa le instalati si sa coordonati securitatea fiecarei aplicatii si a fiecarui calculator in parte, puteti mofica infrastructura retelei pentru a oferi serviciile necesare de securitate. Acest suport permite solutii IPSec scalate pentru retelele de dimensiunei medii, mari si in dezvoltare, acolo unde este soliciatata o conexiune intre mai multe dispozitive.

IPSec ofera performate de securitate, cum sunt algoritmii mai buni de criptare si o autentificare mai cuprinzatoare. Retelele de companii conectate la Internet pot permite un acces VPN flexibil si sigur cu IPSec. In cazul tehnologiei IPSec, clientii pot construi retele VPN prin Internet, avind o protectie bazata pe criptare in fata atacurilor de interceptare, de sustragere sau de alt tip, care patrund in comunicatiile private.

IPSec asigura servicii de autentificare si criptarea pentru ptrotectia impotriva vizualizarii sau modificarii neautorizate a datelor din reteaua dumneavoastra sau in timpul transferului printr-o retea neprotejata, cum este Internetul public. IPSEc poate cripta date intre diferite dispozitive, cum sunt:

• router catre router;
• sistem firewall catre router;
• sistem firewall catre sistem firewall;
• utilizator catre router;
• utilizator catre sistem firewall;
• utilizator catre concentrator VPN;
• utilizator catre server.

IPSec este o structura de standarde deschise, definite de organizatia IETF. IPSec ofera securitatea transmisiei informatiilor confidentiale prin retelele neprotejate, cum este Internetul. Figura 3 arata cele mai uzuale trei tipuri de retele VPN.

Figura 3

Autentificarea si integritatea datelor

Pentru a stabili adevarul, autentificarea verifica identitatea a doua puncte de capat VPN si a utilizatorilor ce transmit traficul prin reteua VPN. Un punct de capat ar putea fi un client VPN, un concentrator VPN, u sistem firewall sau un router.

Autentificarea este un proces ce tine de securitatea IP si care are loc dupa critarea datelor si inainte de criptarea, la capatul receptor . este o functie necesara in cadrul securitati IP, prin care se asigura ca ambele parti, expeditorul si destinatarul, sunt cine pretind a fi. In cazul IPSec, fiecare participant trebuie configurat manual cu o cheie patajata anterior *de obicei se convine asupra ei in afara unei conexiuni( si o lista statica de participanti valabili , creind astfel un tabel mare in cadrul routerului, care necesita resurse de memorie.

Integritatea datelor este o alta functie din IPSec. Integritate inseamna ca parchetul priit de destinatar nu a fost modificat in timpul transmisie. Acet lucru se realizeaza folosind un algoritm hash ireversibil. Un algoritm hash ireversibil este echivalent cu o suma de control criptata.dupa ce expeditorul cripteaza si autentifica un pachet, algoritmul hash ireversibil este rulat pe valoarea intregului pachet. O valoare hash este interesanta pentru ca rezultatul acesteaia va avea intotdeauna o dimensiune fixa, indiferent de intrare. Acesta este un alt mecanism de securitate, astfel incat hackerii sa nu poata sti dimensiunea campului de intrare. Algoritmul hash ireversibil creeaza un camp de criptat anexat la mesaj. La capatul receptor, valoarea hash ireversibila este extrasa din pachet, iar receptorul ruleaza propriul sau algoritm hash. Deoarece algoritmul hash este rulat asupra unor variabile din pachet, cum sunt ora transmiterii, numarul de octeti, etc., ambele valori hash trebuie sa fie aceleasi, acest lucru insemnand ca pachetul nu a fost viciat. Daca valorile sunt diferite, pachetul este respins, iar IPSec renogociaza parametrii securitatii.

Transmiterea datelor prin tunel

Retelele VPN se bazeaza pe transmiterea prin tunel pentru a crea o retea privata in Internet. In esenta, acesta este procesul de preluarea a unui pachet intreg de date si de incapsulare a lui in cadrul altui pachet, inainte de a-l trimite prin retea, reteua trebuie sa inteleaga protocolul pachetului din exterior, pentru ca acesta sa intre si sa iasa din retea. Crearea unui tunel necesita functionarea a trei protocoale diferite:

• Protocolul pasagerului (passenger protocol) – Pachetul datelor initiale, de obicei de tip IP, care trebuie criptat in reteua VPN. Ar putea fi incluse si alte protocoale precum IPX sau NetBEUI, daca doriti.
• Protocolul de incapsulare (encapsulating protocol) – Protocolul (GRE, IPSec, L2F, PPTP, L2TP) care inglobeaza datele initiale. IPSec este standardul defacto folosit ca protocol de incapsulare in aceasta etapa care permite intregului pachet pasager sa fie criptat si protejat. IPSec trebuie sa fie acceptat de ambele interfete ale tunelului pentru a functiona corect.
• Protocolul purtatoarei (carrier protocol) – Protocolul folosit de retea prin care calatoreste informatia . Pachetul initial (Protocolul pasagerului) este incapsulat in cadrul protocolului de incapsulare si introdus apoi in antetul protocolului purtatoarei (de obicei IP) pentru o transmisiune prin reteua publica.

Transmisiunea prin tunel functioneaza bine cu retelele VPN, deoarece se pot folosi protocoale care nu sunt acceptate in Internet in cadrul unui pachet IP si acesta poate sa fie transmis in siguranta in continuare. La inceputul unei transmisiuni VPN prin tunel, un pachet de date de la o sursa LAN este inglobat sau incapsulat cu informatii noi de antet, care permit retelelor intermediare sa-l recunoasca si sa-l livreze. Dupa acesta operatie si dupa ce transmisiunea este incheiata, antetul protocolului pentru tunel este indepartat, iar pachetul original este transferat in reteaua LAN de destinatie, pentru a fi livrat.

Desi transmisia prin tunel permite datelor sa fie purtate prin retele ale unor terte parti, acesta nu poate asigura singura protectia datelor. Pentru a proteja o transisie prin tunel in fata oricarui tip de interceptarea si sustragere, intregul trafic prin retelele VPN este criptat. In plus, retelele VPN contin functii suplimentare, precum sisteme firewall de la periferie.

In retelele VPN de tip locatie-la-locatie, protocolul de incapsulare este de obicei IPSEc sau incapsularea cu directionare genetica (GRE). GRE contine informatii despre tipul de pachet incapsulat si despre conexiunea dintre client si server. Diferenta depinde de nivelul de securitate necesar pentru nexiune, securitatea fiind mai mare cu IPSec, iar GRE avind o mai mare functionalitate. IPSEc poate crea tuneluri si poate cripta pachete IP, pe cind GRE poate crea tuneluri pentru pachete IP si pentru pachete care nu sunt IP. Cind trebuie sa fie transmise prin tunel,pachetele care nu sunt IP (precum IPX), IPSec si GRE ar trebui folosite impreuna.

Moduri de criptare

IPSec are doua moduri de cripatre, tunel si transport. Fiecare mod difera prin aplicatiile sale si prin cantitatea de informatii adaugate in antetul pachetului pasager. Aceste moduri diferite de operare sunt rezumate astfel: modul tunel cripteaza antetul pachetului si segmentul de date utile al fiecarui pachet, pe cind modul transport cripteaza doar segmentul cu datele utile.

Modul tunel

Aceasta este metoda normala prin IPSEc este implementat intre doua sisteme PIX Firewall (sau alte porti de securitate) care sunt conectate printr-o retea lipsita de incredere, cum este Internetul public. Intreaga prezentare legata de IPSEc implica modul tunel. Modul tunel incapsuleaza si protejeaza un pachet IP complet. Deoarece incapsuleaza sau ascunde pachetele pentru a fi transmise in continuare cu succes, chiar routerele de criptare poseda adresele IP folosite in aceste antete noi. Modul tunel poate fi folosit cu oricare dintre portocoalelel ESP (Encapsulating Security Protocol – protocol de securitate cu incapsulare) si AH (Authentication Header – antet de autentificare) sau cu amindoua. Folosirea modului tunel duce la o crestere suplimentara a pachetulu, cu aproximativ 20 de octeti asociati la antetul IP, caci trebuie sa se adauge un antet IP nou la pachet.

Modul transport

Aceasta metoda de implementare a tehnologiei IPSec este aplicata mai ales cu protocolul L2TP pentru a permite autentificarea clientilor VPN Windows 2000 aflati la distanta. In modul tunel, IPSec cripteaza intregul pachet si scrie un nou antet IP in pachet, ceea ce mascheaza informatiile despre sursa initiala si destinatar. Modul tunel este evident mai sigur decit modul transport (deoarece intregul pachet initial este criptat, nu numai segmentul de date propriu-zis ca in modul transport.

Protocoalele din standardul IPSec

IPSec foloseste trei protocoale complementare care, atunci cind sunt folosite impreuna, formeaza un cadru unit si protejat, bazat pe standarde, ideal pentru retele VPN. Cele trei protocoale descrise in standardele IPSEc sunt urmatoarele:

• Protocolul Internet Security Association Key Management Protocol (ISAKMP – protocolul de management al cheilor asocierii pentru securitatea conexiunilor pe Internet) – Descrie faza de negociere a conexiunii IPSsec pentru stabilirea retelei VPN. Protocolul Oakly definste metoda de stabilire a unui schimb de chei autentificate. Aceasta metoda poate consta in diferite moduri de operare si poate, de asemenea , sa deduca elementele de alcatuire a cheilor prin algoritmi precum Diffie-Hellman. In cadrul protocoluluiISAKMP se afla protocolul Internet Key Exchange (IKE –schimbul de chei in Internet) care ofera un cadru de negociere a parametrilor de securitate (de exemplu, durata de viata a unei asocieri pentru securitate, tipul de criptare, etc) si de stabilire a veridicitatii cheilor.
• Protocolul Encapsulating Security Payload (EPS –segmentul de date cu protectie prin incapsulare ) –Ofera confidentialitatea si protectia datelor prin servicii optionale de autentificare si detectare a reluarii pachetelor. ESP incapsuleaza complet datele utilizatorului. ESP poate fi folosit ca atare sau impreun[ cu protocolul AH. ESP ruleraza protocolul TCP pe porturile 50 si 51 si este descris in documentul RFC 2406.
• Protocolul Authentication Header (AH –antetul de autentificare) – Ofera servicii (optionale) de autentificare si impotriva reluarii pachetelor. AH ofera servici pentru portiuni limitate de antet IP si antet extins, adr nu asiguar criptarea datelor prin aplicarea unei valori hash ireversibile pentru a crea un rezumat al mesajului din pachet. AH este inglobat in date pentru a fi protejat (de exemplu, o datagrama IP completa). AH poste fi folosit ca atare sau impreuna cu protocolul Encapsulating Security Payload (ESP). (Consultati documentul RFC 2402 pentru detalii) . Acest protocol a fost inclocuit in mare parte de ESP si este considerat depasit.

Asocieri de securitate

Asocierile de securitate (SA)stabilesc increderea intre doua dispozitive intr-o relatie egal-la egal si activeaza punctele de capat VPN pentru a conveni asupra unui set de reguli de transmitere, folosind politici de negociere cu un participant potential. O asociere de securitate poate fi vazuta ca un contract prin care se negociaza si apoi se stabilesc diferiti parametriai conexiunii.

O asociere de securitate este identificata printr-o adresa IP, printr-un identificator de protovcol de securitate si o valoare unica de index al parametrului de securitate (SPI-Security Parameter Index). Valoarea SPI este un numar de 32 de biti inglobat in antetele pachetelor. Cele doua tipuri de asocieri de securitate sunt:

• Internet Key Exchange (IKE – schimbul de chei in Internet) – Contine negocierea, autentificarea unui participant, managementul cheilor si schimbul de chei. Fiind un protocol bidirectional, IKE ofera canal de comunicarea protejat intre doua dispozitive care negociaza un algoritm de criptare, un algorim hash, o metod[ de autentificare si oprice informatie relevanta de grup. Foloseste schimbul de chei bazat pe algoritmi Diffie-Hellman, iar adminsitratorii de retea pot lega bine protocolul IKE de sistemele de gestionare a politicilor. Pentru a impiedica un atac de tipul „intrus” (man-in-the-middle) – cind un atacator sustrage pachete din retea, le modifica si le insereaza inapoi in retea – un protocol Diffie-Hellman de fortificare, numit Station-to_Station (STS –statie-la-statie), permite ca doua dispozitive aflate intr-un schimb Diffie-Hellman sa se autentifice unul pe celalalt folosind semnaturi digitale si certificate cu chei publice.
• IPSEc Security Association (IPSec SA –asociere de securitate IPSec ) –IPSec SA este o asociere unidirectionala si de aceea este necesar sa se stabileasca asocieri IPSEc SA pentru fiecare directie. IPSec SA este o procedura in doua faze si trei moduri. In faza 1, pot fi folosite doua moduri: main mode (modul principal) si aggressive mode (modul rapid). In faza 2, singurul mod disponibil este numit quick mode (modul rapid). Utilizatorul final nu are nici un control asupra alegerii modului, selectarea fiind automata si depinzind parametrii de configurare stabiliti de ambii participanti.

Atit IKE, cit si IPSec folosesc asocieri de securitate, desi asocierile sunt independente una de cealalta. IPSec SA sunt unidirectionale si unice in fiecare protocol de securitate. Asocierile de securitate definesc ce protocoale si algoritmi ar trebui aplicati pachetelor confidentiale si specifica elementele cheilor utilizate de cei doi participanti. Asocierile de securitate sunt unidirectionale si sunt stabilite separat pentru protocoale diferite de securitate (AH si/sau ESP). Asocierile IPSec SA pot fi stabilite in doua moduri:

• Asocieri manuale de securitate, cu chei prepartajate –Utilizarea asocierii manuale IPSec SA necesita un acord prealabil intre administratorii sistemului PIX Firewall si participantul IPSec. Nu exista o negociere a asocierilor de securitate, desi informatia de configurare din ambele sisteme trebuie sa fie aceeasi pentru ca IPSec sa deruleze cu seucces traficul. Asocierea manuala este usor de configurat, insa este dificit sa se midifice cheile prepartajate, deoarece tunelul ar esua in acest caz, asa ca cheile pre-partajate nu se schimba de obicei.
• Asocieri de securitate stabilite prin metoda IKE - Cind se foloseste IKE pentru stabilirea asocierilor IPSec, participantii pot negocia parametrii pe care ii vor folosi pentru noile asocieri de securitate. Acest lucru inseamna ca puteti specifica liste (precum listele de trasnformari acceptabile) in cadrul elementului crypto map (harta criptarii).

Protocolul Internet Key Exchange (IKE)

Aceasta sectiune descrie protocolul Interbet Key Exchange (IKE) si modul de functionare a acestuia impreuna cu IPSec pentru a realiza retele VPN mai scalabile. IKE este un protocol hibrid care foloseste o parte dinprotocolul Oakley si o parte dintr-o alta suita de protocoale numita Secure Key Exchange Mechanism (SKEME) , in cadrul format de Internet SecurityAssociation and Key Management Protocol (ISAKMP – protocolul de asociere pentru securitatea si managementul cheilor in Internet).

IKE stabileste o politica de securitate partajata si autentifica chei pentru serviciile care necesita chei (cum este IPSec). Inainte ca un trafic IPSec oarecere sa fie admis, fiecare router/sistem firewall/gazda trebuie sa poata ferifica identitatea celuilat participant. Acest lucru se poate face manual. Prin introducerea cheilor pre-partajate in ambele gazde, cu serviciul Certification Autorithy (CA – autoritatea de certificare) sau cu sistemul DNS protejat (DNSSec) . IKE este protocolul cunoscut anterior sub numele ISAKMP/Oakley, definit in RFC 2409.

IKE este un protocol folosit de IPSec pentru a realiza faza 1.IKE negociaza si aloca asocieri de securitate (SA) pentru fiecare participant IPSec, care ofera un canal sigur pentru negocierea IPSec SA in faza 2. Ike aduce urmatoarele avantaje:

• Elimina necesitatea specificarii manuale a tuturor parametrilor de securitate IPSec la ambii participanti;
• Permite specificarea unei durate de viata a asocierilor de securitate IPSec;
• Permite modificarea cheilor de criptare in timpul sesiunilor IPSec;
• Permite tehnicii IPSec sa ofere servicii importiva reluarii pachetelor;
• Activeaza serviciul CA pentru a implementare IPSec controlabila si scalabila;
• Permite autentificarea dinamica a participantilor;

Negocierile IKE trebuie sa fie protejate si de aceea fiecare negociere IKE incepe prin acordul dintre participanti asupra unei politici IKE comune (partajate). Aceasta politica stabileste parametrii de securitate care vor fi folositi pentru a proteja negocierile IKE urmatoare. Daca exista un acord al celor doi participanti asupra unei politici, o asociere de participare stabilita la fiecare participant identifica paramentrii de securitate ai politicii si acestei asocieri SA se aplica, pe durata negocierii, intregului trafic IKE care urmeaza.

Protocolul ISAKMP

Protocolul ISAKMP (Internet Security Association and Key Management Protocol – protocolul de asociere pentru securitatea si managementul cheilor in Internet ) este un cadru care defineste mecanismele de implementare a protocolului de schimb al cheilor si negocierea unei politici de securitate. ISAKMPeste folosit pentru schimburile protejate atit de parametrii SA, cit si de chei private, intre participantii dintr-un mediu IPSec, precum si la crearea si controlul cheilor.

ISAKMP ofera mai multe metode de control, al cheilor si un tranzit protejat al parametrilor IPSec intre participanti. Acest lucru este realizat folosind algoritmi similari cu cei folositi de IPSec pentru criptarea propriu-zisa a datelor din segmentul de date. Ca si IPSec, ISAKMP nu este un protocol ci o simpla interfata de control al diferitelor metode de schimb dinamic al cheilor. ISAKMP defineste diferite metode – cum ar fi semnatura digitala, certificatele si algoritmii hash ireversibili – pentru a se asigura ca negocierea asocierilor de securitate intre participanti se desfasoara in siguranta.

In prezent, singurul protocol acceptat din ISAKMP este protocolul Internet Key Exchange (IKE). Cind IKE este folosit activ in procesul de criptare, devin disponibile multe functii pentru procesul de comunicare IPSec. Folosind criptarea cu chei publice, IKE negociaza parametrii de securitate si schimburile de chei inainte chiar ca prelucrarea IPSec sa inceapa.

Cum functioneaza IPSec

Sarcina principala pe care o are IPSec este sa permita schimpul de informatii private printr-o conexiune neprotejata, negociind conexiunea si oferind cheile intr-un mod sigur. IPSec foloseste criptarea pentru a proteja informatiile impotriva interceptarilor sau indiscretiilor. Totusi, pentru a folosi eficient criptarea, ambele parti trebuie sa partajeze o cheie secreta (parola) utilizata atit pentru criptarea, cit si pentru decriptarea informatiilor cind acestea intra si ies din tunelul VPN. IPSec foloseste IKE pentru a stabili legatura sigura, astfel incit sa se formeze reteaua VPN si conexiunile de date.

In mare, secventa de evenimente pentru o tranzactie IPSec este urmatoarea:

1. Unul dintre participantii IPSec primeste sau genereaza un trafic de interes pe o interfata care a fost configurata sa initieze un tunel IPSec pentru acel trafic de inters.
2. Modul principal sau modul agresiv de negociere care foloseste IKE are ca rezultat crearea unei asocieri IKE de securitate (SA) intre cei doi participanti IPSec.
3. Negocierea in modul rapid, care foloseste IKE, are ca rezultat creerea a doua asocieri IPSec, de securitate intre doi participanti IPSec.
4. Datele incep sa treaca printr-un tunel criptat o examinarea suplimentara. IPSec functioneaza in doua faze majore pentru a permite schimbul confidential al unei chei secrete partajate, asa cum este prezentat in sectiunile care urmeaza.

IKE – Faza 1

Faza 1 din protocolul IKE se ocupa de negocierea parametrilor de securitate necesari pentru a stabili un canal protejat intre doi participanti IPSec. Faza 1 este, in general implementata prin protocolul IKE si se ocupa mai ales de stabilirea suitei de protectie pentru mesajele IKE. Secventa de evenimente din faza 1 este urmatoarea:

1. Faza 1 consta in crearea asocierii de securitate ISAKMP, in care participantii negociaza si convin parametrii pentru asocierea IPSec urmatoare. Dupa ce se termina faza 1 si este stabilit un canal sigur intre participanti, IKE trece la faza 2.
2. Daca participantul IPSec nu poate face schimbul IKE puteti folosi configurarea manuala cu chei pre-partajate pentru a incheia faza 1.

Functionarea fazei 1 din protocolul IKE are doua moduri de operare: modul agresiv si modul principal. Modul agresiv elimina mai multe etape din autentificarea IKE reducind-o la doar trei etape, pe cind modulul principal foloseste toate cele patru etape de autentificare. Desi este mai rapid, modul agresiv este considerat mai putin sigur decit modul principal, din motive evidente. Dispozitivele Cisco folosesc implicit, dar vor raspunde si participantilor care folosesc modul agresiv.

IKE – Faza 2

Faza 2 din protocolul IKE prelungeste securitatea conexiunii folosind tunelul sigur stabilit in faza 1 spre a face schimbul de parametrii suplimentari necesari pentru a transmite efectiv datele (vezi figura 8).

In faza 2, protocolul IKE negociaza asocierile de securitate reprezentind interfata IPSec, conform parametrilor configurati in IPSec. Asocierea ISAKMP creata in faza 1 protejeaza aceste schimburi.

Tunelurile sigure folosite in ambele faze din protocolul IPSec se bazeaza pe asocieri de securitate (SA) utilizate la fiecare capat IPSec. Asocierile SA descriu parametrii de securitate, precum tipul de autentificare si de criptare, pe care convin sa le foloseasca ambele puncte de capat.

Algoritmul Diffie-Hellman

Algoritmul Diffie-Hellman a fost primul algoritm cu chei publice si este in continuare considerat unul dintre cele mai bune. IKE foloseste criptografia cu chei publice pentru a negocia parametrii de securitate si a proteja schimburile de chei. Mai exact, algoritmul Diffie-Hellman este folosit in negocierile IKE pentru a permite celor doi participanti sa convina asupra unui secret partajat, generind cheia pe care o vor folosi. De aceea, veti vedea ca algoritmul Diffie-Hellman este folosit de mai multe ori pe parcursul procesului.

In general, algoritmul functioneaza astfel: fiecare participant are o cheie privata algoritmul Diffie-Hellman preia acea cheie privata si genereaza o cheie publica. Cheia publica este un produs al cheii private dar arata astfel incit sa nu se poata deduce cheia privata cind se cunoaste cheia publica. Participantii fac apoi schimbul de chei publice.

Daca participantul A doreste sa transmita un trafic criptat catre participantul B, participantul A cripteaza traficul spre participantul B cu cheia publica a lui B.

Participantul B foloseste apoi propria cheie privata ca sa decripteze mesajul, deoarce cheia publica este derivata din cheia privata a acestuia. Astfel, este sigur ca participantul B poate decripta mesajul, fiind singurul care cunoaste propria cheie privata.

Aceasta metoda pebrru stabilirea unui canal de comunicatie sigur (ISAKMP SA) , astfel incit asocierile IPSec viitoare sa poata face un schimb protejat de informatii despre chei, fara a folosi algoritmul cu chei publice pentru schimbul de chei de fiecare data cind este transmis un trafic criptat

Traficul este deja criptat inainte de sfirsitul fazei 1 a negocierii IKE. Astfel se ofera un schimb protejat de propuneri IPSec si de chei, executat pentru IPSec in faza 2 a negocierii IKE.

Pentru asigurarea unui mecanism sigur de schimb al cheilor si control al asocierilor IPSec, ISAKMP mai ofera citeva functii importante. ISAKMP poate fi configurat sa stabileasca duratele de viata pentru asocierile IPSec, care permit un control mai mare asupra frecventei cu care se face schimbul de chei. De asemenea permite sa se faca schimbul de chei in timpul comunicatiei fara a sterge si a reconstrui asocieri IPSec. In cazul unei interfete IPSec de sine statatoare, daca se face schimbul de chei in timpul comunicatiei, asocierile de securitate existente sunt „anulate” si reconstruite cu noile chei. Deoarece ISAKMP negociaza asiocierile SA pentru IPSec si le protejeaza cu propria asociere SA, se poate face schombul de chei „din mers”, fara a reconstrui negocierile pentru SA. Se optine astfel un avantaj fata de IPSec folosit ca atare. ISAKMP permite de asemnea, o autentificare dinamica a participantilor, iar integritatea datelor se verifica prin folosirea algoritmilor hash ireversibili.

Articolul de fata este un extras dintr-un referat personal; cu inspiratii principale din “Network Security First-step”  Tom Thomas, ciscopress

Avand nevoie zilele astea de un generator de parole pentru niste mysql-uri mi-am pus problema daca nu pot sa fac asta din ceea ce-mi ofera linuxul (nu vroeam sa folosesc perl sau alte limbaje). Asa ca am recurs la un goole search pentru a vedea cum pot crea un generator din bash. Astfel dupa ceva documentatie, unde am gasit diferite forme de “programare” m-am folosit de /dev/urandom si de tr (translate), parsand informatia de /dev/urandom catre tr care face selectia dupa formula: a-zA-Z0-9.

Fara prea multe comentarii iata sciptul rezultat:

#!/bin/bash

#Super simple password generator

#silviu.silaghi@gmail.com

if [ "$#" != 1 ]; then

echo ""

echo "Usage:"

echo "$0 [number of characters]"

echo ""

echo "Example:"

echo "$0 12"

#

else

tr -dc A-Za-z0-9 < /dev/urandom | head -c $1 | xargs

fi

Odata cu lansarea browserului web Chrome pentru platforma Linux, Google pune la dispozitie si un repository care poate fi folosit pentru a instala si/sau actualiza diferitele aplicatii Google cu ajutorul utilitarului yum.

Pentru a include acest repository pe un calculator cu Fedora, trebuie definit un fisier .repo astfel:

#cat /etc/yum.repos.d/google.repo
[google]
name=Google repo
baseurl=http://dl.google.com/linux/rpm/stable/$basearch
enabled=1
gpgcheck=1
gpgkey=https://dl-ssl.google.com/linux/linux_signing_key.pub
Odata definit fisierul .repo instalarea browserului web Chrome se face foarte simplu prin intermediul yum astfel:

[root@Fedora-Machine1 ~]# yum install google-chrome-beta

Loaded plugins: refresh-packagekit

Setting up Install Process

Resolving Dependencies

--> Running transaction check

---> Package google-chrome-beta.i386 0:4.0.249.43-34537 set to be updated

--> Finished Dependency Resolution
Dependencies Resolved
==========================================================
Package                  Arch       Version                 Repository    Size
==========================================================
Installing:
google-chrome-beta       i386       4.0.249.43-34537        google        17 M
Transaction Summary
==========================================================
Install       1 Package(s)
Upgrade       0 Package(s)
Total download size: 17 M
Is this ok [y/N]: y
Downloading Packages:
google-chrome-beta-4.0.249.43-34537.i386.rpm             |  17 MB     00:01 …
warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID 7fac5991
google/gpgkey                                            | 3.4 kB     00:00 …
Importing GPG key 0x7FAC5991 “Google, Inc. Linux Package Signing Key <linux-packages-keymaster@google.com>” from https://dl-ssl.google.com/linux/linux_signing_key.pub
Is this ok [y/N]: y
Running rpm_check_debug
Running Transaction Test
Finished Transaction Test
Transaction Test Succeeded
Running Transaction
Installing     : google-chrome-beta-4.0.249.43-34537.i386                 1/1
Installed:
google-chrome-beta.i386 0:4.0.249.43-34537
Complete!
[root@Fedora-Machine1 ~]#

Probabil este de la vreun beerfest …