Este contestabil ca retelele VPN sunt cel mai fierbinte subiect al securitatii datelor din prezent, insa acestea reprezinta o speranta pentru firmele care cauta costuri reduse, flexibilitate crescuta si scalabilitate si doresc sa asigure securitatea comunicatilor lor.

Dar ce face exact o retea VPN si cum poate sa aiba un impact asupra factorilor de care tin afacerile – scaderea costurilor, atenuarea riscurilor si cresterea veniturilor? Popularitate tehnologiei VPN este legata direct de potentialul acestuia de recuperare semnificativa a investitilor (coeficientul ROI – return of investment). Pentru firmele care platesc costuri adesea ametitoate pentru conexiunile private prine linii inchiriate sau Frame Relay, este semnificativa reducerea cheltuielilor asociata cu intalarea retelelor VPN, care inlocuiesc conexiunile costisitoare. Pentu a intelege valoarea unei retele VPN, trebuie sa luati in considerare tehnologiile pe care, cel mai adesea, aceste retele le inlocuiesc:

• Retelele VPN site-to-site (de la locatie la locatie) pot lua locul circuitelor de telecomunicatii costisitoare ale retelelor de mare intindere de tip WAN, inlocuind servicile de linii private, cu retele VPN care folosesc Internetul.
• Retele VPN cu acces de la distanta pot elimina sau reduce drastic cheltuielile cu legaturiile telefonice pentru conectarea unei filiale aflata la distanta sau a sediilor mici.

Prezentare retelelor VPN

O retea private virtuala (VPN) este o conexiune criptata de retea care foloseste un tunnel sigur intre capete, prin Internet sau prin alta retea, cum ar fi o retea WAN. Intr-o retea VPN, conexiunile pe liniile telefonice catre utilizatorii de la distanta si liniile inchiriate sau conexiunile Frame Relay catre locatii aflate la dintanta sunt inlocuite prin conexiuni locale la un furnizor de servicii Internet (ISP) sau la un punct de prezenta a unui furnizor de servicii (POP). Raspandirea din ce in ce mai mare a conexiunilor de banda larga, face atractiva aceasta utilizare a unui acces ieftin la eeteaua Internet. Dupa cum am explicat, dupa o investitie initiala in retele VPN, costul pentru adaugarea altor locatii sau utilizatori este minm.

Retelele VPN permin fiecarui utilizator al retelei sa comunice intr-un mod sigur si fiabil folosind internetul ca mediu de conectare la reteaua private de tip LAN. O retea VPN se poata dezvolta astfel incat sa se adapteze la mai multi utilizarori si locatii diferite, mai usor decat prin linii inchiriate. Spre deosebire de liniile inchiriate, in care costul creste proportional cu distantele implicate, pocalizarea geagrafica a fiecarui sediu/utilizator are putina importanta in crearea unei retele VPN.

O retea VPN permite unei retele intranet private sa fie extinsa in siguranta prin criptare IPSec in Internet, facilitand un comert electronic sigur si conexiuni extranet cu angajati mobili, parteneri de afaceri, furnizori si clienti. Exista trei tipuri principale de retele VPN:

• Retele VPN pentru accesul de la distanta ( remote access VPN) – permit fiecarui utilizator dialup sa se conecteze in mod partajat la un sediu central prin Internet sau alt serviciu public de retea. Acest tip de retea VPN este o conexiune utilizator LAN care permite angajatilor o conectare din afara la reteaua LAN a companiei. Sistemele angajatilor folosesc o aplicatie software client VPN speciala, care permite o legatura sigura intre ei si reteaua LAN a companiei.
• Retele VPN locatie-la-locatie (site-to-site) – sunt folosite pentru a extinde reteaua LAN a companiei in alte cladiri si locatii, prin utilizarea unui echipament dedicat, astfel incat angajatii din aceste locatii aflate la distanta sa poata utilize aceleasi servicii de retea. Aceste tipuri de retele VPN sunt conectate in permanenta.
• Retele VPN extranet – permit conexiuni sigure cu partenerii de afaceri, furnizorii si clientii, in scopul comertului electronic. Retelele VPN extranet sunt o extindere a retelelor VPN intranet prin adaugare a unor sisteme firewall de protejare a retelei interne.

Figura 1

Avantajele si scopul retelelor VPN

O retea VPN bine proiectata poate adduce multe avantaje unei companii. Cateva dintre beneficiile implementarii unei retele VPN intr-o alta retea sunt urmatoarele:

• Inainte de aparitia tehnologiilor VPN, angajatii localizati la distanta trebuiau sa apeleze numere de telefon interurbane pentru a ajunge la reteaua companiei. Cheltuielile cu telecomunicatiile se reduc pe masura ce conexiunile dedicate si de tip dialup de la distante mari mari sunt inlocuite cu conexiuni locale la Internet, prin care utilizatorii folosesc un client VPN. In functie de numarul de angajati din teitoriu, aceasta metoda singura poate adduce economii immense. Pentru multe companii mici, cu resurse financiare limitate, solutia furnizorilor VPN poate fi utila.
• Cresteti productivitatea utilizatoriilor permitandu-le un acces sigur la resursele retelei, indifferent de localizarea lor geografica.
• Reduceti cheltuielile operetionale allocate conexiunilor WAN dedicate, inlocuindu-le cu conexiuni Internet directe, cum sunt cele de banda larga pentru afaceri, prin care locatiile aflate la distanta se vor conecta printr-o retea VPN locatie-la locatie.
• Simplificati topologia retelei adaugandu-I strategic retele VPN peste tot.
• Cerintele pentru largimea de banda sunt modeste, in cazul in care locatiile au nevoie de conectivitate la retea. Folosind retele VPN, veti avea o recuperare mai rapida a investitiilor decat atunci cand aplicati solutia WAN.
• Daca se doreste o mai mare flexibilitate in instalarea echipamentelor mobile de calcul, de telecomunicatii si pentru lucrul in retea cu filialele, un comert electronic mai usor si conexiuni extranet cu partenerii de afaceri, cu furnizorii si pentru accesul la Internet al clientilor externi, un intranet intern si acces extranet- toate acestea pot fi asigurate folosind o singura conexiune sigura.
• Doriti sa reduceti cheltuieliile aferente sediilor, cerand utilizatoriilor sa lucreze acasa trei zile pe saptamana. Lucrand acasa, utilizatorii casnici au, de obicei, o productivitate mai mare si sunt mai putin stresati.

Inainte de a implementa o retea VPN, treebuie alocat suficient timp pentru a gandi ce dorim sa realizam cu acesta. In acest timp, inainte de a alege un furnizor de solutii ori hardware, ar trebui sa luam in considerare ce caracteristici sunt mai importante. Securitatea, mentionata mai tarziu, este una dintre cele mai importante proprietati ale retelelor VPN.

Strategii de implementare a retelelor VPN

Strategiile de implementare a retelelor VPN sunt extreme de variate deoarece toti furnizorii de azi au ,,o solutie VPN“. Unele dintre solutii sunt ceea ce pretinde ca sunt, iar altele ridica probleme mari in randul comunitatii preocupate de securitate. Deoarece nu exista un standard larg acceptat de implementare a unei retele VPN, multe companii au dezvoltat solutii proprii, la cheie.

Aceasta sectiune analizeaza cateva dintre diferitele componente posibile, disponibile la firma Cisco, precum si modul in care fiecare dispozitiv, precum sistemele firewall, pot fi folosite pentru a juca rolul unei retele VPN:

• Sistemele firewall – Sistemele firewall sunt vitale pentru securitatea retelei. In present, toate sistemele firewall Cisco accepta combinarea retelelor VPN cu inspectarea pachetelor in functie de stare (SPI). Solutiile variaza incepand cu retelele VPN de tip locatie-la-locatie bazate pe standarde care realizeaza un echilibru intre standardele Internet Key Exchange (IKE) si IPSec pentru VPN. Sistemele firewall Cisco PIX cripteaza datele folosind standardul DES (Data Encryption Standard) pe 56 de biti, Triple DES (3DES) pe 168 de biti sau chiar criptarea AES (Advanced Encryption Standard) pe 256 de biti. Fiind un exemplu minunat de tehnologie, Cisco PIX Firewall combina traducerea NAT (Network Address Translation) dinamica, filtrarea pachetelor de server proxy, un sistem firewall si functii terminale VPN intr-un singur echipament hardware.
• Routere cu capacitati VPN – Routerele Cisco pot fi modernizate pentru a avea capacitatea de a folosii retele VPN. Aceste modernizari vin sub una din urmatoarele forme, in functie de modelul de router in discutie: IOS, memorie sau hardware VPN dedicate. Se poate obtine functii unice care ofere scalabilitate, directionare, securitate si calitatea serviciilor (QoS). Folosiind Cisco IOS Software, se obtine un router potrivit pentru orice situatie.
• Concentrator VPN – incorporand cele mai avansate tehnici de criptare si autentificare disponibile, concentratoarele Cisco VPN sunt construite special pentru acrea retele VPN cu acces de la distanta, care asigura o disponibilatate ridicata, performanta ridicata si scalabilitate, si include componente numite module de prelucrare scalabila acriptarii (SEP — scalable encryption processing), prin care se pernite cresterea capacitatii si volumul transferului. Concentratoarele VPn sunt construite pentru a satisface cerintele retelelot VPN si sunt disponibile in module adecvate pentru orice, incepand cu firme, de 100 utilizatori si pana la organizatii de 10 000 utilizatori simultani de la distanta.
• Software client –Usor de instalat si operat, Cisco VPn Client stabileste tuneluri sigure, de tip end-to-end, criptate, pentru dispozitivele VPN pomenite mai jos. Acest software de finete, conpatibil cu IPSec poate fi preconfigurat pentru instalari conasate, iar deschideriile initiale de sesiuni necesita o interventie redusa a utilizatorului.

In functire de tipul de retea VPN (cu acces de la distanta sau locatie-la-locatie ), trebuie folosite componente hardware specifice pentru a construe reteaua VPN. Totusi luati in considerare si urmatoarele:

• Capacitatea de gestionare – capacitatea de gestionare a unei retele VPN se refera la efortul necesar pentru a intretine cu succes conectivitatea stabilita a retelei. Mai exact, PC Magazine defineste capacitatea de gestionare prin „factorii care faciliteaza utilizarea optiunilor de management de la distanta si local, inclusiv faptul ca dispozitivul furnizeaza un acces printr-o interfata bazata pe un browser sau prin linie de comanda” (PC Magazine 2002).
• Fiabilitatea – evident, daca un produs software sau hardware VPN nu este disponibil atunci cind aveti nevoie, pierdeti din productivitate si, probabil din venituri.
• Scalabilitatea – pe masura ce afacerea unei companii se dezvolta, adesea, se dezvolta si cerintele acesteia pentru tehnica de calcul. Pentru a extinde infrastructura VPN rapid si cu costuri reduse, este important sa alegeti o solutie care ia in considerare scalabilitatea. Ceea ce isi doreste mai putin un manager IT este sa fie nevoit sa o ia de la inceput si sa inlocuiasca infrastructura VPN din cauza unei limitari in potentialul de dezvoltare al acesteia.

La selectarea dispozitivului potrivit sa ofere servicii VPN pentru reteaua dumneavoastra, trebuie sa aveti in vedere limitarile. De exemplu, sistemul IOS al unui router poate fi terminalul retelelor VPN, dar aceasta este o procedura manuala de configurare si necesita o intelegere mai profunda decit in cazul unui sistem firewall PIX, care are disponibil programul VPN Configuration Wizard, cu interfata GUI. Mai exista Cisco VPN concentrator, care complecteaza sistemul PIX sau IOS cu o interfata GUI puternica, ficilitind managementul mai multor politici VPN. Cisco VPN Concentrator ofera instructiuni intuitive pentru configurarea acestor politicisi grupuri diferite, permitind astfel existenta mai multor utilizatori diferiti intr-o retea cu diferite grupuri de executare asociate acelui grup. De obicei aduc in discutie un concentrator atunci cind clientul are un personal limitat si are nevoie de mai multe cerinte diferite pentru politica VPN. Sistemul IOS cu PIX este mai dificil de configurat si de controlat pentru aceasta cerinta particulara.

Trafic divizat prin tunel

Multi utilizatori VPN se afla deja in spatele sistemelor firewall si trebuie sa aiba acces la resurse doar printr-o retea VPN. Retelele traditionale VPN nu permit utilizatorilor sa aibe acces si la resursele de retea din segmentul lor local, in timp ce sunt conectati la reteaua VPN a companiei. Acest lucru devine o problema cind, de exemplu acesti utilizatori trebuie sa acceseze un sistem printr-o retea VPN si sa efectueze listari la o imprimanta de retea locala. Pentru a corecta aceasta posibila problema, a fost introdusa o functie numite split tunneling (trafic divizat prin tunel)

Traficul divizat prin tunel are loc atunci cind unui utilizator VPN, aflat la distanta sau o alta locatie indepartate au permisiunea de a accesa o retea publica (Internet) si in acelasi timp acceseaza si reteaua privata VPN fata a plasa mai intii traficul retelei publice in interiorul tunelului. Totusi aceasta nu este intotdeauna cea mai potrivita functie care sa fie activata, deoarece ar putea permite unui atacator sa compromita un calculator care este conectat la doua retele.

Figura 2 ilustreaza cum functioneaza traficul divizat prin tunel

Figura 2

Functionarea retelelor VPN de tip IPSec

IPSec a devenit standardul de facto pentru crearea retelelor VPN in industria retelelor. Mai multi furnizori au implementat-o si, pentru ca Internet Engineering Task Force (IETF) a devenit IPSec intr-un document RFC, interoperabilitatea dintre furnizori face din IPSec cea mai buna operatiune pentru construirea retelelor VPN. IPSec ofera un misloc standard de stabilire a autentificarii si a serviciilor de criptare, intre participantii la conexiune (peers). In cadrul acestei prezentari folosim pentru a ne referii la termenul „peer” dispozitivele care formeza capetele unui tunel VPN. IPSec acctionea in stratul retea din modelul de referinta OSI, protejind si autentificind pachetele IP dintre dispozitivele IPSec care participa (peers), cum sunt routerele Cisco sau sistemele firewall. IPSec ofera urmatoarele servicii de securitate a retelei:

• Confidentialitatea datelor – expeditorul IPSec poate cripta pachetele inainte de a le trimite printr-o retea. Daca un hacker ar citi datele, acestea nu i-ar fi de nici un folos.
• Integritatea datelor – punctul final receptor IPSec autentifica toate pachetele trimise de expeditorul IPSec, asigurind ca datele nu au fost modificate in timpul transmisiei.
• Autentificarea originii datelor – receptorul IPSec poate autentifica sursa pachetelor IPSec transmise. Acest serviciu depinde de serviciul de integritate a datelor.
• Nu permite reluarea transmiterii pachetelor – receptorul IPSec poate detecta si respinge pachetele retransmise.

IPSec protejeaza datele care trec prin retelele neprotejate, iar serviciile de securitate IPSec sunt oferite la nivelul stratului retea. De aceea, nu trebuie sa configurati separata statiile de lucru, PC-urile sau aplicatiile. In loc sa oferiti serviiile de securitate pe care nu aveti nevoie sa le instalati si sa coordonati securitatea fiecarei aplicatii si a fiecarui calculator in parte, puteti mofica infrastructura retelei pentru a oferi serviciile necesare de securitate. Acest suport permite solutii IPSec scalate pentru retelele de dimensiunei medii, mari si in dezvoltare, acolo unde este soliciatata o conexiune intre mai multe dispozitive.

IPSec ofera performate de securitate, cum sunt algoritmii mai buni de criptare si o autentificare mai cuprinzatoare. Retelele de companii conectate la Internet pot permite un acces VPN flexibil si sigur cu IPSec. In cazul tehnologiei IPSec, clientii pot construi retele VPN prin Internet, avind o protectie bazata pe criptare in fata atacurilor de interceptare, de sustragere sau de alt tip, care patrund in comunicatiile private.

IPSec asigura servicii de autentificare si criptarea pentru ptrotectia impotriva vizualizarii sau modificarii neautorizate a datelor din reteaua dumneavoastra sau in timpul transferului printr-o retea neprotejata, cum este Internetul public. IPSEc poate cripta date intre diferite dispozitive, cum sunt:

• router catre router;
• sistem firewall catre router;
• sistem firewall catre sistem firewall;
• utilizator catre router;
• utilizator catre sistem firewall;
• utilizator catre concentrator VPN;
• utilizator catre server.

IPSec este o structura de standarde deschise, definite de organizatia IETF. IPSec ofera securitatea transmisiei informatiilor confidentiale prin retelele neprotejate, cum este Internetul. Figura 3 arata cele mai uzuale trei tipuri de retele VPN.

Figura 3

Autentificarea si integritatea datelor

Pentru a stabili adevarul, autentificarea verifica identitatea a doua puncte de capat VPN si a utilizatorilor ce transmit traficul prin reteua VPN. Un punct de capat ar putea fi un client VPN, un concentrator VPN, u sistem firewall sau un router.

Autentificarea este un proces ce tine de securitatea IP si care are loc dupa critarea datelor si inainte de criptarea, la capatul receptor . este o functie necesara in cadrul securitati IP, prin care se asigura ca ambele parti, expeditorul si destinatarul, sunt cine pretind a fi. In cazul IPSec, fiecare participant trebuie configurat manual cu o cheie patajata anterior *de obicei se convine asupra ei in afara unei conexiuni( si o lista statica de participanti valabili , creind astfel un tabel mare in cadrul routerului, care necesita resurse de memorie.

Integritatea datelor este o alta functie din IPSec. Integritate inseamna ca parchetul priit de destinatar nu a fost modificat in timpul transmisie. Acet lucru se realizeaza folosind un algoritm hash ireversibil. Un algoritm hash ireversibil este echivalent cu o suma de control criptata.dupa ce expeditorul cripteaza si autentifica un pachet, algoritmul hash ireversibil este rulat pe valoarea intregului pachet. O valoare hash este interesanta pentru ca rezultatul acesteaia va avea intotdeauna o dimensiune fixa, indiferent de intrare. Acesta este un alt mecanism de securitate, astfel incat hackerii sa nu poata sti dimensiunea campului de intrare. Algoritmul hash ireversibil creeaza un camp de criptat anexat la mesaj. La capatul receptor, valoarea hash ireversibila este extrasa din pachet, iar receptorul ruleaza propriul sau algoritm hash. Deoarece algoritmul hash este rulat asupra unor variabile din pachet, cum sunt ora transmiterii, numarul de octeti, etc., ambele valori hash trebuie sa fie aceleasi, acest lucru insemnand ca pachetul nu a fost viciat. Daca valorile sunt diferite, pachetul este respins, iar IPSec renogociaza parametrii securitatii.

Transmiterea datelor prin tunel

Retelele VPN se bazeaza pe transmiterea prin tunel pentru a crea o retea privata in Internet. In esenta, acesta este procesul de preluarea a unui pachet intreg de date si de incapsulare a lui in cadrul altui pachet, inainte de a-l trimite prin retea, reteua trebuie sa inteleaga protocolul pachetului din exterior, pentru ca acesta sa intre si sa iasa din retea. Crearea unui tunel necesita functionarea a trei protocoale diferite:

• Protocolul pasagerului (passenger protocol) – Pachetul datelor initiale, de obicei de tip IP, care trebuie criptat in reteua VPN. Ar putea fi incluse si alte protocoale precum IPX sau NetBEUI, daca doriti.
• Protocolul de incapsulare (encapsulating protocol) – Protocolul (GRE, IPSec, L2F, PPTP, L2TP) care inglobeaza datele initiale. IPSec este standardul defacto folosit ca protocol de incapsulare in aceasta etapa care permite intregului pachet pasager sa fie criptat si protejat. IPSec trebuie sa fie acceptat de ambele interfete ale tunelului pentru a functiona corect.
• Protocolul purtatoarei (carrier protocol) – Protocolul folosit de retea prin care calatoreste informatia . Pachetul initial (Protocolul pasagerului) este incapsulat in cadrul protocolului de incapsulare si introdus apoi in antetul protocolului purtatoarei (de obicei IP) pentru o transmisiune prin reteua publica.

Transmisiunea prin tunel functioneaza bine cu retelele VPN, deoarece se pot folosi protocoale care nu sunt acceptate in Internet in cadrul unui pachet IP si acesta poate sa fie transmis in siguranta in continuare. La inceputul unei transmisiuni VPN prin tunel, un pachet de date de la o sursa LAN este inglobat sau incapsulat cu informatii noi de antet, care permit retelelor intermediare sa-l recunoasca si sa-l livreze. Dupa acesta operatie si dupa ce transmisiunea este incheiata, antetul protocolului pentru tunel este indepartat, iar pachetul original este transferat in reteaua LAN de destinatie, pentru a fi livrat.

Desi transmisia prin tunel permite datelor sa fie purtate prin retele ale unor terte parti, acesta nu poate asigura singura protectia datelor. Pentru a proteja o transisie prin tunel in fata oricarui tip de interceptarea si sustragere, intregul trafic prin retelele VPN este criptat. In plus, retelele VPN contin functii suplimentare, precum sisteme firewall de la periferie.

In retelele VPN de tip locatie-la-locatie, protocolul de incapsulare este de obicei IPSEc sau incapsularea cu directionare genetica (GRE). GRE contine informatii despre tipul de pachet incapsulat si despre conexiunea dintre client si server. Diferenta depinde de nivelul de securitate necesar pentru nexiune, securitatea fiind mai mare cu IPSec, iar GRE avind o mai mare functionalitate. IPSEc poate crea tuneluri si poate cripta pachete IP, pe cind GRE poate crea tuneluri pentru pachete IP si pentru pachete care nu sunt IP. Cind trebuie sa fie transmise prin tunel,pachetele care nu sunt IP (precum IPX), IPSec si GRE ar trebui folosite impreuna.

Moduri de criptare

IPSec are doua moduri de cripatre, tunel si transport. Fiecare mod difera prin aplicatiile sale si prin cantitatea de informatii adaugate in antetul pachetului pasager. Aceste moduri diferite de operare sunt rezumate astfel: modul tunel cripteaza antetul pachetului si segmentul de date utile al fiecarui pachet, pe cind modul transport cripteaza doar segmentul cu datele utile.

Modul tunel

Aceasta este metoda normala prin IPSEc este implementat intre doua sisteme PIX Firewall (sau alte porti de securitate) care sunt conectate printr-o retea lipsita de incredere, cum este Internetul public. Intreaga prezentare legata de IPSEc implica modul tunel. Modul tunel incapsuleaza si protejeaza un pachet IP complet. Deoarece incapsuleaza sau ascunde pachetele pentru a fi transmise in continuare cu succes, chiar routerele de criptare poseda adresele IP folosite in aceste antete noi. Modul tunel poate fi folosit cu oricare dintre portocoalelel ESP (Encapsulating Security Protocol – protocol de securitate cu incapsulare) si AH (Authentication Header – antet de autentificare) sau cu amindoua. Folosirea modului tunel duce la o crestere suplimentara a pachetulu, cu aproximativ 20 de octeti asociati la antetul IP, caci trebuie sa se adauge un antet IP nou la pachet.

Modul transport

Aceasta metoda de implementare a tehnologiei IPSec este aplicata mai ales cu protocolul L2TP pentru a permite autentificarea clientilor VPN Windows 2000 aflati la distanta. In modul tunel, IPSec cripteaza intregul pachet si scrie un nou antet IP in pachet, ceea ce mascheaza informatiile despre sursa initiala si destinatar. Modul tunel este evident mai sigur decit modul transport (deoarece intregul pachet initial este criptat, nu numai segmentul de date propriu-zis ca in modul transport.

Protocoalele din standardul IPSec

IPSec foloseste trei protocoale complementare care, atunci cind sunt folosite impreuna, formeaza un cadru unit si protejat, bazat pe standarde, ideal pentru retele VPN. Cele trei protocoale descrise in standardele IPSEc sunt urmatoarele:

• Protocolul Internet Security Association Key Management Protocol (ISAKMP – protocolul de management al cheilor asocierii pentru securitatea conexiunilor pe Internet) – Descrie faza de negociere a conexiunii IPSsec pentru stabilirea retelei VPN. Protocolul Oakly definste metoda de stabilire a unui schimb de chei autentificate. Aceasta metoda poate consta in diferite moduri de operare si poate, de asemenea , sa deduca elementele de alcatuire a cheilor prin algoritmi precum Diffie-Hellman. In cadrul protocoluluiISAKMP se afla protocolul Internet Key Exchange (IKE –schimbul de chei in Internet) care ofera un cadru de negociere a parametrilor de securitate (de exemplu, durata de viata a unei asocieri pentru securitate, tipul de criptare, etc) si de stabilire a veridicitatii cheilor.
• Protocolul Encapsulating Security Payload (EPS –segmentul de date cu protectie prin incapsulare ) –Ofera confidentialitatea si protectia datelor prin servicii optionale de autentificare si detectare a reluarii pachetelor. ESP incapsuleaza complet datele utilizatorului. ESP poate fi folosit ca atare sau impreun[ cu protocolul AH. ESP ruleraza protocolul TCP pe porturile 50 si 51 si este descris in documentul RFC 2406.
• Protocolul Authentication Header (AH –antetul de autentificare) – Ofera servicii (optionale) de autentificare si impotriva reluarii pachetelor. AH ofera servici pentru portiuni limitate de antet IP si antet extins, adr nu asiguar criptarea datelor prin aplicarea unei valori hash ireversibile pentru a crea un rezumat al mesajului din pachet. AH este inglobat in date pentru a fi protejat (de exemplu, o datagrama IP completa). AH poste fi folosit ca atare sau impreuna cu protocolul Encapsulating Security Payload (ESP). (Consultati documentul RFC 2402 pentru detalii) . Acest protocol a fost inclocuit in mare parte de ESP si este considerat depasit.

Asocieri de securitate

Asocierile de securitate (SA)stabilesc increderea intre doua dispozitive intr-o relatie egal-la egal si activeaza punctele de capat VPN pentru a conveni asupra unui set de reguli de transmitere, folosind politici de negociere cu un participant potential. O asociere de securitate poate fi vazuta ca un contract prin care se negociaza si apoi se stabilesc diferiti parametriai conexiunii.

O asociere de securitate este identificata printr-o adresa IP, printr-un identificator de protovcol de securitate si o valoare unica de index al parametrului de securitate (SPI-Security Parameter Index). Valoarea SPI este un numar de 32 de biti inglobat in antetele pachetelor. Cele doua tipuri de asocieri de securitate sunt:

• Internet Key Exchange (IKE – schimbul de chei in Internet) – Contine negocierea, autentificarea unui participant, managementul cheilor si schimbul de chei. Fiind un protocol bidirectional, IKE ofera canal de comunicarea protejat intre doua dispozitive care negociaza un algoritm de criptare, un algorim hash, o metod[ de autentificare si oprice informatie relevanta de grup. Foloseste schimbul de chei bazat pe algoritmi Diffie-Hellman, iar adminsitratorii de retea pot lega bine protocolul IKE de sistemele de gestionare a politicilor. Pentru a impiedica un atac de tipul „intrus” (man-in-the-middle) – cind un atacator sustrage pachete din retea, le modifica si le insereaza inapoi in retea – un protocol Diffie-Hellman de fortificare, numit Station-to_Station (STS –statie-la-statie), permite ca doua dispozitive aflate intr-un schimb Diffie-Hellman sa se autentifice unul pe celalalt folosind semnaturi digitale si certificate cu chei publice.
• IPSEc Security Association (IPSec SA –asociere de securitate IPSec ) –IPSec SA este o asociere unidirectionala si de aceea este necesar sa se stabileasca asocieri IPSEc SA pentru fiecare directie. IPSec SA este o procedura in doua faze si trei moduri. In faza 1, pot fi folosite doua moduri: main mode (modul principal) si aggressive mode (modul rapid). In faza 2, singurul mod disponibil este numit quick mode (modul rapid). Utilizatorul final nu are nici un control asupra alegerii modului, selectarea fiind automata si depinzind parametrii de configurare stabiliti de ambii participanti.

Atit IKE, cit si IPSec folosesc asocieri de securitate, desi asocierile sunt independente una de cealalta. IPSec SA sunt unidirectionale si unice in fiecare protocol de securitate. Asocierile de securitate definesc ce protocoale si algoritmi ar trebui aplicati pachetelor confidentiale si specifica elementele cheilor utilizate de cei doi participanti. Asocierile de securitate sunt unidirectionale si sunt stabilite separat pentru protocoale diferite de securitate (AH si/sau ESP). Asocierile IPSec SA pot fi stabilite in doua moduri:

• Asocieri manuale de securitate, cu chei prepartajate –Utilizarea asocierii manuale IPSec SA necesita un acord prealabil intre administratorii sistemului PIX Firewall si participantul IPSec. Nu exista o negociere a asocierilor de securitate, desi informatia de configurare din ambele sisteme trebuie sa fie aceeasi pentru ca IPSec sa deruleze cu seucces traficul. Asocierea manuala este usor de configurat, insa este dificit sa se midifice cheile prepartajate, deoarece tunelul ar esua in acest caz, asa ca cheile pre-partajate nu se schimba de obicei.
• Asocieri de securitate stabilite prin metoda IKE - Cind se foloseste IKE pentru stabilirea asocierilor IPSec, participantii pot negocia parametrii pe care ii vor folosi pentru noile asocieri de securitate. Acest lucru inseamna ca puteti specifica liste (precum listele de trasnformari acceptabile) in cadrul elementului crypto map (harta criptarii).

Protocolul Internet Key Exchange (IKE)

Aceasta sectiune descrie protocolul Interbet Key Exchange (IKE) si modul de functionare a acestuia impreuna cu IPSec pentru a realiza retele VPN mai scalabile. IKE este un protocol hibrid care foloseste o parte dinprotocolul Oakley si o parte dintr-o alta suita de protocoale numita Secure Key Exchange Mechanism (SKEME) , in cadrul format de Internet SecurityAssociation and Key Management Protocol (ISAKMP – protocolul de asociere pentru securitatea si managementul cheilor in Internet).

IKE stabileste o politica de securitate partajata si autentifica chei pentru serviciile care necesita chei (cum este IPSec). Inainte ca un trafic IPSec oarecere sa fie admis, fiecare router/sistem firewall/gazda trebuie sa poata ferifica identitatea celuilat participant. Acest lucru se poate face manual. Prin introducerea cheilor pre-partajate in ambele gazde, cu serviciul Certification Autorithy (CA – autoritatea de certificare) sau cu sistemul DNS protejat (DNSSec) . IKE este protocolul cunoscut anterior sub numele ISAKMP/Oakley, definit in RFC 2409.

IKE este un protocol folosit de IPSec pentru a realiza faza 1.IKE negociaza si aloca asocieri de securitate (SA) pentru fiecare participant IPSec, care ofera un canal sigur pentru negocierea IPSec SA in faza 2. Ike aduce urmatoarele avantaje:

• Elimina necesitatea specificarii manuale a tuturor parametrilor de securitate IPSec la ambii participanti;
• Permite specificarea unei durate de viata a asocierilor de securitate IPSec;
• Permite modificarea cheilor de criptare in timpul sesiunilor IPSec;
• Permite tehnicii IPSec sa ofere servicii importiva reluarii pachetelor;
• Activeaza serviciul CA pentru a implementare IPSec controlabila si scalabila;
• Permite autentificarea dinamica a participantilor;

Negocierile IKE trebuie sa fie protejate si de aceea fiecare negociere IKE incepe prin acordul dintre participanti asupra unei politici IKE comune (partajate). Aceasta politica stabileste parametrii de securitate care vor fi folositi pentru a proteja negocierile IKE urmatoare. Daca exista un acord al celor doi participanti asupra unei politici, o asociere de participare stabilita la fiecare participant identifica paramentrii de securitate ai politicii si acestei asocieri SA se aplica, pe durata negocierii, intregului trafic IKE care urmeaza.

Protocolul ISAKMP

Protocolul ISAKMP (Internet Security Association and Key Management Protocol – protocolul de asociere pentru securitatea si managementul cheilor in Internet ) este un cadru care defineste mecanismele de implementare a protocolului de schimb al cheilor si negocierea unei politici de securitate. ISAKMPeste folosit pentru schimburile protejate atit de parametrii SA, cit si de chei private, intre participantii dintr-un mediu IPSec, precum si la crearea si controlul cheilor.

ISAKMP ofera mai multe metode de control, al cheilor si un tranzit protejat al parametrilor IPSec intre participanti. Acest lucru este realizat folosind algoritmi similari cu cei folositi de IPSec pentru criptarea propriu-zisa a datelor din segmentul de date. Ca si IPSec, ISAKMP nu este un protocol ci o simpla interfata de control al diferitelor metode de schimb dinamic al cheilor. ISAKMP defineste diferite metode – cum ar fi semnatura digitala, certificatele si algoritmii hash ireversibili – pentru a se asigura ca negocierea asocierilor de securitate intre participanti se desfasoara in siguranta.

In prezent, singurul protocol acceptat din ISAKMP este protocolul Internet Key Exchange (IKE). Cind IKE este folosit activ in procesul de criptare, devin disponibile multe functii pentru procesul de comunicare IPSec. Folosind criptarea cu chei publice, IKE negociaza parametrii de securitate si schimburile de chei inainte chiar ca prelucrarea IPSec sa inceapa.

Cum functioneaza IPSec

Sarcina principala pe care o are IPSec este sa permita schimpul de informatii private printr-o conexiune neprotejata, negociind conexiunea si oferind cheile intr-un mod sigur. IPSec foloseste criptarea pentru a proteja informatiile impotriva interceptarilor sau indiscretiilor. Totusi, pentru a folosi eficient criptarea, ambele parti trebuie sa partajeze o cheie secreta (parola) utilizata atit pentru criptarea, cit si pentru decriptarea informatiilor cind acestea intra si ies din tunelul VPN. IPSec foloseste IKE pentru a stabili legatura sigura, astfel incit sa se formeze reteaua VPN si conexiunile de date.

In mare, secventa de evenimente pentru o tranzactie IPSec este urmatoarea:

1. Unul dintre participantii IPSec primeste sau genereaza un trafic de interes pe o interfata care a fost configurata sa initieze un tunel IPSec pentru acel trafic de inters.
2. Modul principal sau modul agresiv de negociere care foloseste IKE are ca rezultat crearea unei asocieri IKE de securitate (SA) intre cei doi participanti IPSec.
3. Negocierea in modul rapid, care foloseste IKE, are ca rezultat creerea a doua asocieri IPSec, de securitate intre doi participanti IPSec.
4. Datele incep sa treaca printr-un tunel criptat o examinarea suplimentara. IPSec functioneaza in doua faze majore pentru a permite schimbul confidential al unei chei secrete partajate, asa cum este prezentat in sectiunile care urmeaza.

IKE – Faza 1

Faza 1 din protocolul IKE se ocupa de negocierea parametrilor de securitate necesari pentru a stabili un canal protejat intre doi participanti IPSec. Faza 1 este, in general implementata prin protocolul IKE si se ocupa mai ales de stabilirea suitei de protectie pentru mesajele IKE. Secventa de evenimente din faza 1 este urmatoarea:

1. Faza 1 consta in crearea asocierii de securitate ISAKMP, in care participantii negociaza si convin parametrii pentru asocierea IPSec urmatoare. Dupa ce se termina faza 1 si este stabilit un canal sigur intre participanti, IKE trece la faza 2.
2. Daca participantul IPSec nu poate face schimbul IKE puteti folosi configurarea manuala cu chei pre-partajate pentru a incheia faza 1.

Functionarea fazei 1 din protocolul IKE are doua moduri de operare: modul agresiv si modul principal. Modul agresiv elimina mai multe etape din autentificarea IKE reducind-o la doar trei etape, pe cind modulul principal foloseste toate cele patru etape de autentificare. Desi este mai rapid, modul agresiv este considerat mai putin sigur decit modul principal, din motive evidente. Dispozitivele Cisco folosesc implicit, dar vor raspunde si participantilor care folosesc modul agresiv.

IKE – Faza 2

Faza 2 din protocolul IKE prelungeste securitatea conexiunii folosind tunelul sigur stabilit in faza 1 spre a face schimbul de parametrii suplimentari necesari pentru a transmite efectiv datele (vezi figura 8).

In faza 2, protocolul IKE negociaza asocierile de securitate reprezentind interfata IPSec, conform parametrilor configurati in IPSec. Asocierea ISAKMP creata in faza 1 protejeaza aceste schimburi.

Tunelurile sigure folosite in ambele faze din protocolul IPSec se bazeaza pe asocieri de securitate (SA) utilizate la fiecare capat IPSec. Asocierile SA descriu parametrii de securitate, precum tipul de autentificare si de criptare, pe care convin sa le foloseasca ambele puncte de capat.

Algoritmul Diffie-Hellman

Algoritmul Diffie-Hellman a fost primul algoritm cu chei publice si este in continuare considerat unul dintre cele mai bune. IKE foloseste criptografia cu chei publice pentru a negocia parametrii de securitate si a proteja schimburile de chei. Mai exact, algoritmul Diffie-Hellman este folosit in negocierile IKE pentru a permite celor doi participanti sa convina asupra unui secret partajat, generind cheia pe care o vor folosi. De aceea, veti vedea ca algoritmul Diffie-Hellman este folosit de mai multe ori pe parcursul procesului.

In general, algoritmul functioneaza astfel: fiecare participant are o cheie privata algoritmul Diffie-Hellman preia acea cheie privata si genereaza o cheie publica. Cheia publica este un produs al cheii private dar arata astfel incit sa nu se poata deduce cheia privata cind se cunoaste cheia publica. Participantii fac apoi schimbul de chei publice.

Daca participantul A doreste sa transmita un trafic criptat catre participantul B, participantul A cripteaza traficul spre participantul B cu cheia publica a lui B.

Participantul B foloseste apoi propria cheie privata ca sa decripteze mesajul, deoarce cheia publica este derivata din cheia privata a acestuia. Astfel, este sigur ca participantul B poate decripta mesajul, fiind singurul care cunoaste propria cheie privata.

Aceasta metoda pebrru stabilirea unui canal de comunicatie sigur (ISAKMP SA) , astfel incit asocierile IPSec viitoare sa poata face un schimb protejat de informatii despre chei, fara a folosi algoritmul cu chei publice pentru schimbul de chei de fiecare data cind este transmis un trafic criptat

Traficul este deja criptat inainte de sfirsitul fazei 1 a negocierii IKE. Astfel se ofera un schimb protejat de propuneri IPSec si de chei, executat pentru IPSec in faza 2 a negocierii IKE.

Pentru asigurarea unui mecanism sigur de schimb al cheilor si control al asocierilor IPSec, ISAKMP mai ofera citeva functii importante. ISAKMP poate fi configurat sa stabileasca duratele de viata pentru asocierile IPSec, care permit un control mai mare asupra frecventei cu care se face schimbul de chei. De asemenea permite sa se faca schimbul de chei in timpul comunicatiei fara a sterge si a reconstrui asocieri IPSec. In cazul unei interfete IPSec de sine statatoare, daca se face schimbul de chei in timpul comunicatiei, asocierile de securitate existente sunt „anulate” si reconstruite cu noile chei. Deoarece ISAKMP negociaza asiocierile SA pentru IPSec si le protejeaza cu propria asociere SA, se poate face schombul de chei „din mers”, fara a reconstrui negocierile pentru SA. Se optine astfel un avantaj fata de IPSec folosit ca atare. ISAKMP permite de asemnea, o autentificare dinamica a participantilor, iar integritatea datelor se verifica prin folosirea algoritmilor hash ireversibili.

Articolul de fata este un extras dintr-un referat personal; cu inspiratii principale din “Network Security First-step”  Tom Thomas, ciscopress