104
UNIVERSITATEA “POLITEHNICA” DIN TIMIŞOARA FACULTATEA DE ELECTRONICĂ ŞI TELECOMUNICAŢII DEPARTAMENTUL DE COMUNICAŢII PROIECT DE DIPLOMĂ REŢELE VIRTUALE PRIVATE Conducător ştiinţific: Absolvent:

Retele Virtuale Private

Embed Size (px)

Citation preview

Page 1: Retele Virtuale Private

UNIVERSITATEA “POLITEHNICA” DIN TIMIŞOARAFACULTATEA DE ELECTRONICĂ ŞI TELECOMUNICAŢII

DEPARTAMENTUL DE COMUNICAŢII

PROIECT DE DIPLOMĂ

REŢELE VIRTUALE PRIVATE

Conducător ştiinţific: Absolvent: Prof.Dr.Ing. Miranda Naforniţă

Page 2: Retele Virtuale Private

TIMIŞOARA 2009

CUPRINS

1. Introducere…….……………......…………………………..………………..……..….......6

2. Elemente fundamentale despre interconectarea calculatoarelor……..………8

2.1 Modelul de referinţă OSI………..……………………………………………………....8

2.2 Modelul TCP/IP…...…………………………………………………………………….9

2.3 Adrese IP………………………………….…………………………………………...10

2.4 Tipuri de reţele şi metode de interconectare.…………………………………………..11

3. Reţele Virtuale private…………………………...….…………….…………………..12

       3.1 Introducere in VPN……………………………….…………………………………...12

3.2 Modul de funcţionare…………………………….……………………………………13

3.3 Avantaje VPN…………………………………….…………………………………...14

3.4 Tipuri de reţele VPN……………………………….………………………………….15

3.4.1 Acces VPN la distanţă….…………..………………………....…………....16

3.4.2 Intranet VPN…………….……….….……………………………………...18

3.4.3 Extranet VPN…………….……….…….………………………………......19

3.4.4 VPN cu livrare sigură (Trusted VPN)…..……………………………….....19

3.4.5 VPN securizate (Secure VPN)………….….…………....……………….....20

3.4.6 VPN hibrid…………………………….….………………………………...20

3.5 Tunelare……………………………………………….……………………………......21

3.5.1 Fundamentele tunelării…………………….………………………….…....21

3.5.2 Reţea virtuală privată administrată de furnizor (PPVPN)….……………....23

3.5.3 Protocoale de tunelare……………………...………………..….……….....24

3.5.3.1 Protocolul Ipsec…………………...………………..….……..…..25

3.5.3.2 Protocolul SSL…………………....…………………...….……...29

3.5.3.3 Protocolul L2TP………………………………………...….…….30

3.5.3.4 Protocolul L2TPv3…………………………………...…….…….32

2

Page 3: Retele Virtuale Private

3.5.3.5 Protocolul MPLS……………………………………..…….……33

3.6 Componente VPN. Metode de realizare a soluţiilor VPN………...……….......………36

3.7 Securitate VPN…………………………...…………………....…………………........41

3.7.1 Ameninţări la adresa securităţii reţelelor publice…....………………….…....41

3.7.2 Soluţii VPN……………………………………………………….....…………..42

3.7.3 Criptarea datelor…………………………………………………….…………...44

3.7.3.1 Criptosisteme cu cheie privată (simetrice)………………………………..44

3.7.3.2 Criptosisteme cu cheie publica (asimetrice)……………………………....45

3.7.3.2.1 Diffie-Hellman…………………………………………………….45

3.7.3.2.2 Rivest Shamir Adleman (RSA)…………………………………....46

3.7.4 Semnături digitale şi autentificări de date……………………………………… 47

3.7.5 Autentificarea utilizatorilor şi controlul accesului……………………………….48

3.8 VPN şi NAT……………………….....………………………....

………...............50

4. Software-ul Hamachi pentru VPN………….……………………………...……………51

5 Open VPN……...….…………………………………………………………...……………...54

5.1 Generalităţi…………………………………………….…………………………....54

5.2 Rutare vs Punte de reţea……………………………….…………………………....55

5.3 Modul Rutare in OpenVpn…………………………….……………………………56

5.4 Modul Poartă in OpenVpn………………….………....……………………………57

5.5 Certificate pentru autentificare…………………….....……………………………..58

6. Aplicaţie…………...…………………………………………...

……………………………...59

7. Concluzii

..............................................................................................................................

.....65

Bibliografie .....................................................................................................

...............................68

Anexa1- Abrevieri……………………….……………………….

…………………………......69

3

Page 4: Retele Virtuale Private

1. Introducere

Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită pas cu

pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare:

calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele, după

ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat diverse

proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de avansată.

Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare.

Proiectul de diplomă tratează una dintre tehnologiile moderne utilizate în

cadrul reţelelor de comunicaţii şi anume reţelele virtuale private (Virtual Private Networks-

VPN). Tehnologia reţelelor virtuale a apărut ca o soluţie prin care se asigură confidenţialitatea

datelor vehiculate printr-un mediu public precum Internet-ul. Reţelele virtuale private reprezintă un

mod de a conecta locaţii aflate la distanţă (filiale, utilizatori mobili, clienţi, furnizori etc.) într-o

unică reţea virtuală, asigurându-se mecanisme de securitate. Aceste reţele stau la baza

comunicării eficiente între birourile, locaţiile firmelor de dimensiuni mijlocii şi

mari utilizând reţele publice/Internetul, din România şi din întreaga lume. Prin

VPN, angajaţii aflaţi la distanţă au acces direct la resursele companiei. În acest

caz, esenţiale sunt simplitatea pentru utilizator (pe principiul: “Indiferent de

distanţă, trebuie ca resursele să-ţi fie la fel de accesibile ca şi cum ai fi în sediul

firmei”) şi administrarea uşoară şi centralizată. Pe de altă parte, accesul este

permis utilizatorilor diferenţiat, în funcţie de profilul prestabilit.

4

Page 5: Retele Virtuale Private

Abia în ultima perioadă companiile au început să înţeleagă şi, cele mai avansate dintre ele, să

simtă avantajele pe care le oferă comunicarea la distanţă prin Internet prin canale de bandă largă,

faţă de tradiţionalul acces prin dial-up. Motivaţia de bază pentru construirea unui VPN este

reducerea costurilor legate de comunicaţii. Pentru că este mult mai ieftin să se folosească o singură

legătură fizică comună pentru servirea mai multor clienţi din reţea decât să se utilizeze legături

separate pentru fiecare client din reţeaua privată.

În oricare dintre scenariile de acces la distanţă prin VPN, uşurinţa în utilizare este un criteriu

important. Majoritatea problemelor de securitate sunt atribuite erorilor de configurare, deci cu cât

sistemul este mai uşor de administrat, cu atât şansele de a scăpa ceva din vedere sunt mai mici. Din

punctul de vedere al clientului, simplitatea este critică, pentru că mulţi angajaţi aflaţi în deplasări sau

la distanţă nu au cunoştinţele necesare sau accesul la resursele tehnice pentru a depista şi rectifica

cauzele unor eventuale disfuncţionalităţi.

Scopul acestei lucrări este familiarizarea cu elementele fundamentale ale unei reţele de

calculatoare, prezentare noţiunilor teoretice care stau la baza realizări reţelelor virtuale private,

precum şi a modalităţilor de implementare. Lucrarea prezintă pe lângă soluţii care necesită

cunoştiinţe avansate şi soluţii VPN pentru începători, care sunt la îndemâna oricui.

Obiectivul proiectului de diplomă este realizarea unui tunel între două calculatoare cu

ajutorul programului OpenVPN. Am ales în partea practică folosirea acestui program deoarece este

un concept modern în zilele noastre, care are foarte multe opţiuni ce pot fi exploatate. OpenVpn

permite realizarea unei tunelări robuste şi foarte flexibile care utilizează toate caracteristicile de

autentificare şi certificare a criptării ale bibliotecii OpenSSL pentru a tunela în mod securizat reţele

IP. În plus acest program VPN este gratuit şi open source.

Am optat în alegerea temei “Reţele Virtuale Private” cu scopul de a mă perfecţiona în

domeniul reţelelor de calculatoare. Cunoştiinţele dobândite în cadrul facultăţii în acest domeniu,

precum şi în urma participării la cursurile de Cisco, m-au determinat să tratez acest concept modern

al reţelelor de calculatoare.

5

Page 6: Retele Virtuale Private

2. Elemente fundamentale despre interconectarea calculatoarelor

2.1 Modelul de referinţă OSI

Modelul de referinţă OSI se bazează pe o propunere dezvoltată de către Organizaţia

Internaţională de Standardizare (Internaţional Standards Organization - OSI) ca un prim pas către

standardizarea internaţională a protocoalelor folosite pe diferite niveluri (Day şi Zimmerman, 1983).

Modelul se numeşte ISO OSI (Open Systems Interconection - Interconectarea sistemelor

deschise), pentru că el se ocupă de conectarea sistemelor deschise comunicării cu alte sisteme.

Modelul OSI [Tanenbaum -Reţele de Calculatoare pagina 34] cuprinde şapte niveluri, după

cum se poate observa în figura 2.1a. Trei concepte sunt esenţiale pentru modelul OSI: serviciile,

interfeţele, protocoalele. Probabil că cea mai mare contribuţie a modelului OSI este că a făcut

explicită diferenţa între aceste trei concepte. Fiecare nivel realizează nişte servicii pentru nivelul

situat deasupra sa. Definiţia serviciului spune ce face nivelul, nu cum îl folosesc entităţile de pe

nivelurile superioare sau cum funcţionează nivelul.

Interfaţa unui nivel spune proceselor aflate deasupra sa cum să facă accesul. Interfaţa

precizează ce reprezintă parametrii şi ce rezultat se obţine. Nici interfaţa nu spune nimic despre

funcţionarea internă a nivelului.

Protocoalele pereche folosite într-un nivel reprezintă problema personală a nivelului. Nivelul

poate folosi orice protocol doreşte, cu condiţia ca acesta să funcţioneze (adică să îndeplinească

serviciul oferit).

6

Page 7: Retele Virtuale Private

Figura 2.1a Modelul OSI

2.2 Modelul TCP/IP

TCP/IP(Transmission Control Protocol/Internet Protocol) este o suită de protocoale, dintre

care cele mai importante sunt TCP şi IP, care a fost transformat în standard pentru Internet de către

Secretariatul pentru Apărare al Statelor Unite, şi care permite comunicaţia între reţele eterogene

(interconectarea reţelelor). Modelul de referinţă ISO/OSI defineşte şapte nivele pentru proiectarea

reţelelor, pe când modelul TCP/IP utilizează numai patru din cele şapte nivele[Tanenbaum - Reţele

de Calculatoare pagina 37]., după cum se vede din figura 2.2a.

Figura 2.2a Modelul TCP/IP

7

Page 8: Retele Virtuale Private

Familia de protocoale TCP/IP are o parte stabilă, dată de nivelul Internet (reţea) şi nivelul

transport, şi o parte mai puţin stabilă, nivelul aplicaţie, deoarece aplicaţiile standard se diversifică

mereu.

În ceea ce priveşte nivelul gazdă la reţea (echivalentul nivelul fizic şi legătura de date din

modelul OSI), cel mai de jos nivel din cele patru, acesta este mai puţin dependent de TCP/IP şi mai

mult de driverele de reţea şi al plăcilor de reţea. Acest nivel face ca funcţionarea nivelului imediat

superior, nivelul Internet, să nu depindă de reţeaua fizică utilizată pentru comunicaţii şi de tipul

legăturii de date.

Nivelul Internet are rolul de a transmite pachetele de la sistemul sursă la sistemul destinaţie,

utilizând funcţiile de rutare. La acest nivel se pot utiliza mai multe protocoale, dar cel mai cunoscut

este protocolul Internet ¬IP. Nivelul transport are rolul de a asigura comunicaţia între programele de

aplicaţie. Nivelul aplicaţie asigură utilizatorilor o gamă largă de servicii, prin intermediul

programelor de aplicaţii. La acest nivel sunt utilizate multe protocoale, datorită multitudinii de

aplicaţii existente, şi care sunt în continuă creştere.

2.3 Adrese IP

Fiecare calculator, gazdă sau router, din INTERNET are un nume global, numit adresă IP,

care codifică identitatea sa precum şi identitatea reţelei căreia îi aparţine. Această combinaţie de

adrese trebuie să fie unică. Nu este permisă existenţa a două calculatoare cu aceeaşi adresă IP.

Structura generală a unei adrese IP poate fi observata in figura 2.3a.

Figura 2.3a Structură adresă IP

Toate adresele IP au lungimea de 32 de biţi şi sunt incluse în câmpurile adresă sursă şi adresă

destinaţie din antetul datagramelor IP. În fiecare ţară care implementează reţele TCP/IP, există un

comitet naţional responsabil de administrarea şi distribuirea adreselor IP. Responsabilitatea

mondială pentru administrarea adreselor IP o are grupul IANA, Internet Assigned Numbers

Authority. În mod uzual adresele IP sunt scrise în zecimal cu punct, DDN, Dotted Decimal

Numbers. Iată un exemplu de adresă IP: 193.226.10.90.

8

Page 9: Retele Virtuale Private

Domeniul de adresare cuprins între 0.0.0.0 şi 255.255.255.255 a fost împărţit în 5 clase, A,

B, C, D şi E ale căror elemente diferă în funcţie de modul de specificare a câmpurilor ID reţea şi ID

host. Structura generală a adreselor pentru cele 5 clase se observă în figura 2.3b.

Figura 2.3b Structura adreselor pentru cele 5 clase

2.4 Tipuri de reţele

Dacă toate dispozitivele dintr-o reţea sunt situate în aceeaşi clădire, atunci este vorba despre

o reţea locală, LAN (Local Area Network). În acest caz toate dispozitivele din reţea sunt conectate

cu acelaşi tip de cablu.

Mai multe reţele locale, situate în clădiri diferite, conectate împreună, formează o reţea

metropolitană, MAN (Metropolitan Area Network) dupa cum se poate observa în figura 2.4a. În

acest caz legăturile pot fi pe linie telefonică, sau pe fibră optică.

MANLAN 1

LAN 2

Internet

WANMAN

9

Page 10: Retele Virtuale Private

Figura 2.4a Tipuri de reţele

Mai multe reţele metropolitane, situate în localităţi diferite, conectate împreună, formează o

reţea regională, WAN (Wide Area Network). În acest caz legăturile pot fi radio, terestre sau prin

satelit[Tanenbaum - Reţele de Calculatoare pagina 16]..

Modalitatea de organizare a unei reţele, tipurile de echipamente care o compun precum şi

modul lor de interconecare definesc topologia acelei reţele.

În cazul reţelelor locale există mai multe tipuri de topologii:magistrală, stea, inel

[Tanenbaum - Reţele de Calculatoare pagina 15].

3. Reţele Virtuale Private

3.1 Introducere in VPN

O reţea constă din două sau mai multe dispozitive care pot comunica liber, electronic, între

ele, prin cabluri sau fire. În primul rând VPN este o reţea. Chiar dacă fizic nu există, un VPN trebuie

să fie perceput ca o extensie a infrastructurii unei reţele, care aparţine unei companii. Acest lucru

inseamnă că trebuie să fie disponibil şi reţelei existente, sau la un grup restrâns de utilizatori din

aceea reţea.

Virtual înseamnă ireal sau într-o altă stare de existenţă. În VPN comunicaţia privată între

două sau mai multe dispozitive se realizează printr-o reţea publică, Internetul. Astfel, comunicaţia

este virtuală dar nu şi prezentă fizic. 

Privat înseamnă a ascunde ceva publiculuilui general. Chiar dacă dispozitivele comunică

între ele într-un mediu public, nu există o terţă parte care poate întrerupe această comunicaţie sau

recepţiona datele schimbate între ele.

10

Page 11: Retele Virtuale Private

O Reţea Virtuală Privată (VPN – Virtual Private Network-figura 3.1a) conectează

componentele şi resursele unei reţele private prin intermediul unei reţele publice. Altfel spus, o reţea

virtuală privată este o reţea a companiei implementată pe o infrastructură comună, folosind aceleaşi

politici de securitate, management şi performanţă care se aplică de obicei într-o reţea privată.

Practic, tehnologia reţelelor virtuale private permite unei firme să-şi extindă prin Internet, în condiţii

de maximă securitate, serviciile de reţea la distanţă oferite utilizatorilor, reprezentanţelor sau

companiilor partenere. Avantajul este evident: crearea unei legături de comunicaţie rapidă, ieftină şi

sigură.

Figura 3.1a VPN (Reţea Privată Virtuală

3.2 Modul de funcţionare

VPN permite utilizatorilor să comunice printr-un tunel prin Internet sau o altă reţea publică

în aşa fel încât participanţii la tunel să se bucure de aceeaşi securitate şi posibilităţi puse la dispoziţie

numai în reţelele private.

Pentru a utiliza Internetul ca o reţea privată virtuală, de tip WAN (Wide Area Network),

trebuie depăşite două obstacole principale. Primul apare din cauza diversităţii de protocoale prin

care comunică reţelele, cum ar fi IPX sau NetBEUI, în timp ce Internetul poate înţelege numai

traficul de tip IP. Astfel, VPN-urile trebuie să găsească un mijloc prin care să transmită protocoale

non-IP de la o reţea la alta. Când un dispozitiv VPN primeşte o instrucţiune de transmitere a unui

pachet prin Internet, negociază o schemă de criptare cu un dispozitiv VPN similar din reţeaua

destinaţie. Datele în format IPX/PPP sunt trecute în format IP pentru a putea fi transportate prin

reţeaua mondială. Al doilea obstacol este datorat faptului că pachetele de date prin Internet sunt

transportate în format text. În consecinţă, oricine poate vedea traficul poate să şi citească datele

conţinute în pachete. Aceasta este cu adevărat o problemă în cazul firmelor care vor să comunice

11

Page 12: Retele Virtuale Private

informaţii confidenţiale şi, în acelaşi timp, să folosească Internetul. Soluţia la aceste probleme a

permis apariţia VPN şi a fost denumită tunneling. În loc de pachete lansate într-un mediu care nu

oferă protecţie, datele sunt mai întâi criptate, apoi încapsulate în pachete de tip IP şi trimise printr-un

tunel virtual prin Internet.

Din perspectiva utilizatorului, VPN este o conexiune punct-la-punct între calculatorul

propriu şi serverul corporaţiei (figura 3.2a)

Figura 3.2a Reţea Privată Virtuală – Echivalent logic

Confidenţialitatea informaţiei de firmă care circulă prin VPN este asigurată prin criptarea

datelor. În trecut, reţelele private erau create folosind linii de comunicaţie închiriate între sedii.

Pentru a extinde acest concept la Internet, unde traficul mai multor utilizatori trece prin aceeaşi

conexiune, au fost propuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite

expeditorului să încapsuleze datele în pachete IP care ascund infrastructura de rutare şi comutare a

Internetului la ambele capete de comunicaţie. În acelaşi timp, aceste pachete încapsulate pot fi

protejate împotriva citirii sau alterării prin diverse tehnici de criptare.

Tunelurile pot avea două feluri de puncte terminale, fie un calculator individual, fie o reţea

LAN cu un gateway de securitate – poate fi un ruter sau un firewall. Orice combinaţie a acestor două

tipuri de puncte terminale poate fi folosită la proiectarea unei reţele VPN.

În cazul tunelării LAN-to-LAN, gateway-ul de securitate al fiecărui punct terminal serveşte

drept interfaţă între tunel şi reţeaua privată LAN. În astfel de cazuri, utilizatorii fiecărui LAN pot

folosi tunelul în mod transparent pentru a comunica unii cu alţii.

12

Page 13: Retele Virtuale Private

Cazul tunelului client-to-LAN, este cel stabilit de regulă pentru utilizatorul mobil care

doreşte să se conecteze la reţeaua locală a firmei. Pentru a comunica cu reţeaua de firmă, clientul

(utilizatorul mobil), iniţiază crearea tunelului. Pentru aceasta, clientul rulează un software client

special, care comunică cu gateway-ul de protecţie al reţelei LAN.

3.3 Avantaje VPN

Mediul de afaceri este în continuă schimbare, multe companii îndreptându-şi atenţia spre

piaţa globală. Aceste firme devin regionale, multinaţionale şi toate au nevoie stringentă de un lucru:

o comunicaţie rapidă, fiabilă şi sigură între sediul central, filiale, birouri şi punctele de lucru, adică

de o reţea WAN (de arie largă).

O reţea WAN tradiţională presupune închirierea unor linii de comunicaţie, de la cele ISDN

(128/256Kbps) la cele de fibră optică OC-3 (155 Mbps) care să acopere aria geografică necesară. O

astfel de reţea are avantaje clare faţă de una publică, cum este Internetul, când vine vorba de

fiabilitate, performanţă şi securitate. Dar deţinerea unei reţele WAN cu linii închiriate este scumpă,

proporţional cu aria geografică acoperită.

O dată cu creşterea popularităţii Internetului, companiile au început să îşi extindă propriile

reţele. La început au apărut intraneturile, care sunt site-uri protejate prin parolă destinate angajaţilor

companiei. Acum, multe firme şi-au creat propriile VPN-uri pentru a veni în întâmpinarea cerinţelor

angajaţilor şi oficiilor de la distanţă.

Un VPN poate aduce multe beneficii companiei:

Reducerea costurilor-Reţelele private virtuale sunt mult mai ieftine decât reţelele private

proprietare ale companiilor. Se reduc costurile de operare a reţelei (linii închiriate, echipamente,

administratori reţea).

Integrare, simplitate-Se simplifică topologia reţelei companiei private. De asemenea, prin aceeaşi

conexiune se pot integra mai multe aplicaţii: transfer de date, Voice over IP, Videoconferinţe.

Mobilitate -Angajaţii mobili precum şi partenerii de afaceri (distribuitori sau furnizori) se pot

conecta la reţeaua companiei într-un mod sigur, indiferent de locul în care se află.

Securitate -Informaţiile care circulă prin VPN sunt protejate prin diferite tehnologii de securitate

(criptare, autentificare, IPSec).

Oportunităţi, comert electronic-Se pot implementa noi modele de business (business-to-business,

business-to-consumer, electronic commerce) care pot aduce venituri suplimentare pentru companie.

13

Page 14: Retele Virtuale Private

Scalabilitate-Afacerea companiei creşte, deci apare o nevoie permanentă de angajaţi mobili şi

conexiuni securizate cu partenerii strategici şi distribuitorii.

3.4 Tipuri de reţele VPN

La ora actulă există 3 tipuri principale de VPN-uri(figura 3.4a):

- VPN-urile cu acces de la distanţă (Remote Access VPN) permit utilizatorilor dial-up să se

conecteze securizat la un site central printr-o reţea publică. Acestea mai sunt numite şi „dial” VPN-

uri.

- VPN-urile intranet (Intranet VPN) permit extinderea reţelelor private prin Internet sau alt serviciu

de reţea publică într-o manieră securizată. Acestea sunt denumite şi VPN-uri „site-to-site” sau

„LAN-to-LAN”.

- VPN-urile extranet (Extranet VPN) permit conexiuni securizate între partenerii de afaceri,

furnizori şi clienţi, în general în scopul realizării comerţului electronic. VPN-urile extranet sunt o

extensie a VPN-urilor intranet la care se adaugă firewall-uri pentru protecţia reţelei interne.

Figura 3.4a Tipuri de reţele VPN

Toate aceste reţele virtuale private au rolul de a oferi fiabilitatea, performanţa şi securitatea

mediilor WAN tradiţionale, dar cu costuri mai scăzute şi conexiuni ISP (Internet Service Provider)

mult mai flexibile. Tehnologia VPN poate fi folosită şi într-un intranet pentru a asigura securitatea şi

controlul accesului la informaţii, resurse sau sisteme vitale. De exemplu, se poate limita accesul

anumitor utilizatori la sistemele financiare din companie sau se pot trimite informaţii confidenţiale

în manieră securizată.

14

Page 15: Retele Virtuale Private

3.4.1 Acces VPN la distanţă

Acces VPN la distanţă(Remote Access VPN)– permite conectarea individuală (utilizatori

mobili) sau a unor birouri la sediul central al unei firme, aceasta realizându-se în cele mai sigure

condiţii (figura 3.4.1a).

Figura 3.4.1a. Remote Access VPN

Există două tipuri de conexini VPN de acest fel:

Conexiune iniţiată de client – Clienţii care vor să se conecteze la site-ul firmei trebuie să

aibă instalat un client de VPN, acesta asigurându-le criptarea datelor între computerul lor şi sediul

ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea în mod criptat, în concluzie

întregul circuit al informaţiei se face în mod criptat. Trebuie precizat că în cazul acestui tip de VPN

sunt folosiţi o multitudine de clienţi de VPN. Un exemplu este Cisco Secure VPN dar şi Windows

NT sau 2000 au integrat clienţi de VPN. Figura 3.4.1b schematizează acest tip de Access VPN :

Figura 3.4.1b. Acces de la distanţă iniţiat de client

15

Page 16: Retele Virtuale Private

Access VPN iniţiat de serverul de acces – acest tip de conexiune este ceva mai simplă

pentru că nu implică folosirea unui client de VPN(figura 2.4.1c). Tunelul criptat se realizează între

server-ul de acces al ISP-ului şi sediul firmei la care se vrea logarea. Între client şi server-ul de

acces securitatea se bazează pe siguranţa liniilor telefonice (fapt care uneori poate fi un dezavantaj).

Figura 3.4.1c Acces de la distanţă iniţiat de server-ul de acces

3.4.2 Intranet VPN

Intranet VPN – permite conectarea diferitelor sedii ale unei firme folosind legături dedicate

(permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate

care pot să atingă rate de transfer foarte bune) (figura 3.4.2a). Diferenţa faţă de Remote Access VPN

constă în faptul că se folosesc legături dedicate cu rata de transfer garantată, fapt care permite

asigurarea unei foarte bune calităţi a transmisiei pe lângă securitate şi bandă mai largă.

Figura 3.4.2a. Intranet VPN

16

Page 17: Retele Virtuale Private

Arhitectura aceasta utilizează două routere la cele două capete ale conexiunii, între acestea

realizându-se un tunel criptat. În acest caz nu mai este necesară folosirea unui client de VPN ci

folosirea IPSec. IPSec (IP Security Protocol) este un protocol standardizat de strat 3 care asigură

autentificarea, confidenţialitatea şi integritatea transferului de date între o pereche de echipamente

care comunică. Foloseşte ceea ce se numeşte Internet Key Exchange ( IKE ) care necesită

introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite

logarea reciprocă. Schematic conexiunea este prezentată în figura 3.4.2b: 

Figura 3.4.2b. Arhitectura Intranet VPN

3.4.3 Extranet VPN

Extranet VPN – este folosit pentru a lega diferiţi clienţi sau parteneri de afaceri la sediul

central al unei firme folosind linii dedicate, conexiuni partajate, securitate maximă(figura 3.4.3a).

Figura 3.4.3a. Extranet VPN

17

Page 18: Retele Virtuale Private

Acest tip de VPN seamănă cu precedentul cu deosebirea că extinde limitele intranetului

permiţând logarea la sediul corporaţiei a unor parteneri de afaceri, clienţi etc.; acest tip permite

accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se folosesc

certificate digitale care permit ulterior realizarea unor tunele criptate. Certificatele digitale sunt

furnizate de o autoritate care are ca activitate acest lucru.

Exista doua tipuri de VPN in ceea ce priveste securitatea: Vpn securizate si Vpn fiabile.

3.4.4 VPN cu livrare sigură (Trusted VPN)

Înainte ca Internetul să devine aproape universal, o reţea virtuală privată consta în unul sau

mai multe circuite închiriate de la un furnizor de comunicaţii. Fiecare circuit închiriat se comporta

ca un singur fir într-o reţea controlată de client. Deasemenea, câteodată furnizorul ajută la

administrarea reţelei clientului, dar ideea de bază era ca acesta, clientul, să poată utiliza aceste

circuite închiriate la fel ca şi cablurile fizice din reţeaua proprie.

Siguranţa oferită de aceste VPN-uri „moştenite” se referea doar la faptul că furnizorul de

comunicaţii asigura clientul că nimeni altcineva nu va folosi aceleaşi circuite. Acest lucru permitea

clienţilor să aibă adresarea IP şi politici de securitate proprii. Circuitele închiriate treceau printr-unul

sau mai multe switch-uri de comunicaţii, fiecare dintre acestea putând fi compromis de către cineva

doritor să intercepteze traficul reţelei. Clientul VPN avea încredere că furnizorul de VPN va menţine

integritatea circuitelor şi va utiliza practicile cele mai bune disponibile pentru a evita interceptarea

traficului pe reţea. De aceea, aceste reţele se numesc VPN cu livrare sigură (Trusted VPN).

3.4.5 VPN securizate (Secure VPN)

Odată cu popularizarea Internetului ca un mediu de comunicaţii corporativ, securitatea a

devenit un aspect important atât pentru clienţi cât şi pentru furnizori. Văzând că VPN cu livrare

sigură nu oferă o reală securitate, furnizorii au început să creeze protocoale care permit criptarea

traficului la marginea reţelei sau la calculatorul de origine, trecerea prin reţea ca orice alte date şi

apoi decriptarea în momentul în care datele ajung la reţeaua corporativă sau calculatorul de

destinaţie. Acest trafic criptat se comportă de parcă ar fi un tunel între cele două reţele: chiar dacă un

atacator poate observa traficul, nu-l poate citi şi nu îi poate schimba conţinutul fără ca aceste

schimbări să fie observate de partea de recepţie şi, în concluzie, rejectate. Reţelele construite

utilizând criptarea se numesc VPN securizate (Secure VPN).

18

Page 19: Retele Virtuale Private

Recent, furnizorii de servicii au început să ofere un nou tip de VPN cu livrare sigură, de data

asta folosind Internetul în loc de reţeaua telefonică, ca suport pentru comunicaţii. Noile VPN-uri cu

livrare sigură tot nu oferă securitate perfectă, dar dau posibilitatea clienţilor să creeze segmente de

reţea pentru WAN-uri (Wide Area Network). În plus, segmentele de VPN cu livrare sigură pot fi

controlate dintr-un singur loc şi deseori furnizorul garantează o anumită calitate a serviciilor (QoS –

Quality of Service).

3.4.6 VPN hibrid (Hybrid VPN)

Un VPN securizat poate rula ca parte a unui VPN cu livrare sigură, creând un al treilea tip de

VPN, foarte nou pe piaţă: VPN hibrid (Hybrid VPN). Părţile sigure a unui VPN hibrid pot fi

controlate de client (de exemplu, utilizând echipament VPN securizat de partea lor) sau de acelaşi

furnizor care asigură partea de încredere a VPN-ului hibrid. Câteodată întregul VPN hibrid este

asigurat cu VPN-ul securizat dar, de obicei, doar o parte a VPN hibrid este sigură.

3.5 Tunelare

3.5.1 Fundamentele tunelării

Tunelarea este o metodă de a folosi infrastructura interreţea pentru a

transfera datele unei reţele printr-o altă reţea (figura 3.5.1a). Datele de

transmis (sau sarcina utilă) pot fi cadre (sau pachete) sau un alt protocol. În loc

să se trimită cadrele cum se produc în nodul de origine, protocolul de tunelare

încapsulează cadrul într-un header adiţional. Headerul adiţional oferă informaţii

de dirijare, astfel că sarcina utilă încapsulată să poată traversa interreţeaua

intermediară.

Pachetele încapsulate se dirijează apoi între capetele tunelului prin

interreţea. Calea logică după care se deplasează pachetele încapsulate prin

interreţea se numeşte tunel. Odată ce cadrele încapsulate ajung la destinaţie

19

Page 20: Retele Virtuale Private

în interreţea, cadrul se decapsulează şi se transmite la destinaţia finală.

Tunelarea include tot acest proces (încapsularea, transmisia şi decapsularea

pachetelor).

Figura 3.5.1a. Tunelare

Interreţeaua de tranzit poate să fie orice interreţea, cea mai cunoscută

fiind Internetul. Sunt multe exemple de tuneluri care se transmit prin interreţele

corporative. Şi cum Internetul oferă interreţeaua cea mai atotpătrunzătoare şi

eficientă, referinţele la Internet pot fi înlocuite de orice altă interreţea publică

sau privată care se comportă ca o interreţea de tranzit.

Tehnologia de tunelare poate fi bazată pe un protocol de tunelare pe nivel 2 sau 3. Aceste

nivele corespund modelului de referinţă OSI. Protocoalele de nivel 2 corespund nivelului legătură de

date, şi folosesc cadre ca unitate de schimb. PPTP, L2TP şi L2F (expediere pe nivel 2) sunt

protocoale de tunelare pe nivel 2; ele încapsulează încărcătura într-un cadru PPP pentru a fi transmis

peste inter-reţea. Protocoalele de nivel 3 corespund nivelului reţea, folosesc pachete IP şi sunt

exemple de protocoale care încapsulează pachete IP într-un antet IP adiţional înainte de a le

transmite peste o inter-reţea IP.

Pentru tehnologiile de nivel 2, cum ar fi PPTP sau L2TP, un tunel este asemănător cu o

sesiune; ambele capete ale tunelului trebuie să cadă de acord asupra tunelului şi să negocieze

variabilele de configurare, cum ar fi atribuirea adreselor, criptarea, comprimarea. În cele mai multe

cazuri, datele transferate prin tunel sunt trimise folosind un protocol bazat pe datagrame. Pentru

gestionarea tunelului se foloseşte un protocol de menţinere a tunelului.

Tehnologiile de tunelarea pe nivel 3 pleacă de la premiza că toate chestiunile de configurare

au fost efectuate, de multe ori manual. Pentru aceste protocoale, poate să nu existe faza de menţinere

a tunelului. Pentru protocoalele de nivel 2, un tunel trebuie creat, menţinut şi distrus.

20

Page 21: Retele Virtuale Private

Tunelul odată stabilit, datele tunelate pot fi trimise. Clientul sau serverul

de tunel foloseşte un protocol de transfer de date de tunel pentru a pregăti

datele pentru transfer. De exemplu, când clientul de tunel trimite sarcină utilă

către serverul de tunel, clientul de tunel adaugă un antet de protocol de

transfer de date de tunel la informaţia utilă. Apoi clientul trimite informaţia

încapsulată rezultată prin interreţea, care o dirijează către serverul de tunel.

Serverul de tunel acceptă pachetul, elimină antetul de protocol de transfer de

date şi transmite informaţia utilă la reţeaua ţintă. Informaţia trimisă între

serverul de tunel şi client se comportă similar.

În prezent există o mare varietate de astfel de protocoale – de exemplu PPTP, L2F, L2TP,

IPSec, SOCKS5, FPSecure. Unele se suprapun în funcţionalitate, altele oferă funcţii similare dar

complementare.

Traficul VPN poate fi transmis pe infrastructura publică (ex: pe Intenet), folosind protocoale

standard (şi deseori nesigure), sau peste reţeaua unui provider de servicii de telecomunicaţii care

furnizează servicii VPN bine definite de SLA (Service Level Agreement) între consumatorul VPN şi

furnizorul de servicii VPN.

3.5.2 Reţea virtuală privată administrată de furnizor

(PPVPN)

Blocurile componente

Blocurile componente ale reţelei( figura 3.5.2a) depind de nivelul PPVPN-urilor ; acestea pot

fi numai de nivel 2, numai de nivel 3, sau o combinaţie de nivel 2 şi 3. Funcţionalitatea MPLS

estompează identitatea L2-L3.

21

Page 22: Retele Virtuale Private

Dispozitivele de la graniţa clientului, CE (Customer Edge Device) sunt

dispozitive prezente fizic la locul unde îsi desfăsoară activitatea clientul şi care

permit accesul la serviciile PPVPN. În unele implementări, sunt considerate

puncte de demarcaţie între responsabilităţile clientului şi cele ale furnizorului

de servicii, alteori pot fi configurate de către clienţi.

Dispozitivul de la graniţa furnizorului, PE (Provider Edge Device) este

un dispozitiv sau un set de dispozitive, la graniţa reţelei furnizorului, care oferă

furnizorului o viziune asupra clientului. PE ştie care sunt VPN-urile conectate,

pentru care menţine şi informaţiile de stare.

Dispozitivul furnizorului, P (Provider Device) se află în interiorul reţelei

furnizorului (core network) şi nu interfaţează direct cu nici un client. Poate fi

folosit, de exemplu, pentru a furniza dirijarea prin tuneluri operate de furnizorul

de servicii, aparţinând diverşilor clienţi PPVPN. Acest dispozitiv este un element

cheie la implementarea PPVPN, dar el nu cunoaşte starea reţelei şi nu menţine

informaţiile de stare despre VPN. Sarcina sa principală este să permită

furnizorului să se adapteze la oferta PPVPN, acţionând ca un punct de agregare

pentru mai multe PE-uri. Astfel, conexiunile P-la-P asigură o capacitate mare de

transport, deseori prin legături optice între locaţiile importante ale furnizorilor.

Figura 3.5.2a Modelul de referinţă PPVPN

3.5.3 Protocoale de tunelare

22

Page 23: Retele Virtuale Private

Pentru stabilirea unui tunel atât clientul cât şi serverul de tunel trebuie să folosească acelaşi

protocol de tunelare

Protocoalele de tunelare VPN includ:

Multi-Protocol Label Switching (MPLS) reprezintã ultimul pas fãcut în evoluţia

tehnologiilor de comutare/rutare pentru Internet, folosind o soluţie ce integreazã atât

controlul rutãrii IP, cât si comutarea de la nivelul legãturii de date (nivelul 2 din modelul

OSI).

Layer 2 Tunneling Protocol (L2TP) este o înlocuire bazată pe standarde, şi totodată un

compromis, preluând avantajele fiecăruia dintre cele două protocoale VPN proprii: Layer 2

Forwarding a lui Cisco şi Point-to-Point Tunneling Protocol (PPTP) a lui Microsoft.

IPsec (IP security) – folosit cu IPv4, fiind o parte obligatorie a IPv6.

SSL/TLS folosite pentru tunelare şi pentru securizarea proxy-urilor web. SSL este cadrul

principal, cel mai des asociat cu comerţul electronic, e-commerce, dar şi pentru accesul la

resursele de la distanţă. VPN-urile care lucrează cu SSL sunt vulnerabile la atacul de tip

refuzarea serviciului (Denial of Service) asupra conexiunilor lor TCP, deoarece acestea sunt

ulterior neautentificate.

OpenVPN, este un standard VPN deschis. Este o variantă de VPN bazată pe SSL capabilă să

ruleze pe UDP.

L2TPv3 (Layer 2 Tunneling Protocol version 3), o nouă variantă pentru L2TP.

VPN Quarantine – calculatoarele clientului de la capetele VPN pot fi tratate ca surse de

atac. Problema trebuie rezolvată de administratorii reţelei VPN. Microsoft ISA Server

2004/2006 împreună cu VPN-Q 2006 de la Winfrasoft, respectiv aplicaţia QSS (Quarantine

Security Suite) oferă această facilitate.

MPVPN (Multi Path Virtual Private Network), marcă înregistrată a Ragula Systems

Development Company.

3.5.3.1 Protocolul IPSec

23

Page 24: Retele Virtuale Private

Protocoalele IPsec operează la nivelul 3 OSI, nivelul reţea. Alte protocoale

pentru de securitate a Internetului de uz larg, cum ar fi SSL, TLS şi SSH,

operează de la nivelul de transport în sus (nivelurile 4-7 OSI). Asta face ca IPsec

să fie mai flexibil şi să poată fi utilizat pentru protejarea protocoalelor de nivelul

4, inclusiv TCP şi UDP (protocoalele cele mai des utilizate).

Ipsec e o extensie a protocolului IP care furnizează securitatea IP-ului şi a protocoalelor

nivelelor superioare. Prima oară a fost dezvoltat pentru noul standard Ipv6 şi apoi adaptat la Ipv4.

Arhitectura Ipsec-ului e descrisă în RFC2401.au

Ipsec foloseşte 2 protocoale diferite – AH şi ESP – pentru a asigura autenticitatea,

integritatea şi confidenţialitatea comunicării. Poate proteja fie intreaga datagramă a IP-ului sau

numai protocoalele nivelelor superioare. Modurile cele mai convenabile/potrivite sunt: modul tunel

(tunnel mode) şi modul transport (transport mode). În modul tunel, datagrama IP e toată încapsulata

de o nouă datagramă IP folosind protocolul Ipsec. În modul transport doar incărcătura utilă(payload-

ul) datagramei IP e condus de protocolul Ipsec inserând header-ul Ipsec între header-ul IP şi header-

ul protocolului superior (vezi figura 3.5.3.1a)

Figura 3.5.3.1a Datagrame modul tunel şi modul transport

Pentru a proteja integritatea datagramelor IP, protocoalele Ipsec folosesc coduri de

autenticitate HMAC (hash message authentication codes). Pentru a căpăta acest HMAC,

protocoalele Ipsec folosesc algoritmi hash ca MD5 şi SHA pentru a calcula un hash bazat pe o cheie

secretă şi pe conţinuturile datagramei IP. Acest HMAC e apoi inclus în headerul protocolului Ipsec

şi receptorul pachetului poate controla/accesa HMAC-ul dacă are acces la cheia secretă.

24

Page 25: Retele Virtuale Private

Pentru a proteja confidenţialitatea datagramelor IP, protocoalele Ipsec folosesc algoritmi

standard simetrici de encriptare. Standardul Ipsec necesită implementarea NULL şi DES. Acum, de

obicei, algoritmii puternici sunt folosiţi ca 3DES, AES şi Blowfish. Pentru a proteja, impotriva

respingerii atacurilor, protocoalele folosesc o fereastră alunecătoare (sliding window). Fiecărui

pachet i se stabileşte un număr de secvenţă şi e acceptat doar dacă numărul pachetului e în cadrul

ferestrei sau în apropiere. Pachetele mai vechi sunt imediat îndepărtate. Aceasta protejează

împotriva atacurilor cu răspuns unde atacatorul înregistrează pachetele originale şi le răspunde mai

târziu.

Pentru ca partenerii să fie capabili să încapsuleze şi decapsuleze pachetele Ipsec au nevoie de

un mod de a păstra cheile secrete, algoritmii şi adresele IP implicate în comunicare. Toţi aceşti

parametri necesari pentru protecţia datagramelor IP sunt stocate/salvate într-o asociaţie de securitate

SA (security association). SA sunt depozitate într-o bază de date SA (SAD).

Fiecare SA defineşte următorii parametrii:

Sursa şi destinaţia adresei IP a header-ului Ipsec rezultat.

Protocolul Ipsec (AH sau ESP), câteodată comprimarea (IPCOMP) e suportată de asemenea.

Algoritmul şi cheia secretă folosite de protocolul Ipsec.

Parametrul index de securitate (Security Parameter Index – SPI). Acesta e un număr pe 32 de biţi

care identifică SA.

Câteva implementări ale bazei de date SA permit parametrilor suplimentari să

fie stocaţi/salvaţi:

Modul Ipsec (tunel sau transport)

Mărimea ferestrei alunecătoare(sliding window) pentru a proteja împotriva atacurilor cu răspuns

(replay attacks)

Timpul de viaţa a SA

De când SA defineşte sursa şi destinaţia adreselor IP, poate proteja doar într-o direcţie a

traficului într-o comunicare Ipsec duplex întreagă. Pentru a proteja în ambele direcţii Ipsec necesită

2 SA unidirecţionale. SA doar specifică cum Ipsec trebuie să protejeze traficul. Informaţia adiţională

e necesară să definească care trafic să protejeze şi când. Această informaţie e stocată/salvată în

politica de asigurare SP (security policy) care în schimb e salvată într-o bază de date cu politici de

asigurare SPD (security policy database).

De obicei, un SP specifică următorii parametrii:

Sursa şi destinaţia adreselor pachetelor care necesită să fie protejate. În modul transport acestea

sunt aceleaşi adrese ca la SA. În modul tunel ele pot să difere.

25

Page 26: Retele Virtuale Private

Protocolul (şi portul) care trebuie protejat. Unele implementări Ipsec nu permit definiţia

protocoalelor precise pentru protecţie. În acest caz tot traficul între adresele IP menţionate e protejat.

SA este folosit pentru protecţia pachetelor.

Legătura/conectarea manuală a SA e o eroare complet predispusă şi nu prea sigură. Cheia

secretă şi algoritmii encriptati trebuie să fie împărţiţi între toţi participanţii în reţeaua virtuală privată

(virtual private network). În special schimbul cheilor ridică probleme critice pentru administratorul

sistemului: Cum să schimbi chei simetrice secrete când nici o modalitate de encriptare nu e inca

stabilita?

Pentru a rezolva această problemă s-a dezvoltat protocolulul de schimbat chei IKE (Internet

Key Exchange Protocol). Acest protocol autentifică participanţii în primă fază. În a doua fază SA

negociază şi cheile secrete simetrice sunt alese folosind un schimb de chei Diffie Hellmann. Apoi

protocolul IKE chiar are grijă să redefinească cheile secrete pentru a le asigură confidenţialitatea.

Header-ul AH are o lungime de 24 bytes(figura 3.5.3.1b).

Figura 3.5.3.1b Header-ul AH protejează integritatea pachetului

Primul byte e câmpul Headerului următor. Acest câmp specifică protocolul următorului

header. În modul tunel o datagramă IP e încapsulată; de aceea valoarea acestui câmp e 4. Când se

încapsulează o datagramă TCP, în modul transport, valoarea corespunzătoare e 6. Următorul byte

specifică lungimea încărcăturii utile. Acest câmp e urmat de 2 bytes necomunicativi (rezervaţi).

Următorul cuvânt double menţionează lungimea 32 bit indexul parametrului de securitate SPI

(Security Parameter Index). SPI specifică pentru decapsularea pachetului să se folosească SA.

Secvenţa de 32 biţi protejează împotriva atacurilor cu răspuns. În cele din urmă bitul 96 reţine

HMAC. Acest HMAC protejează integritatea pachetelor din moment ce doar partenerii care ştiu

cheia secretă pot crea şi verifica HMAC-ul. De când protocolul AH protejează datagrama IP

incluzând părţi permanente a header-ului IP, cum IP-ul se adresează, protocolul AH nu permite

26

Page 27: Retele Virtuale Private

translatarea adreselor de reţea NAT (Network address translation). NAT înlocuieşte o adresă IP în

header-ul IP (de obicei sursă IP) de o adresă IP diferită. După schimb HMAC nu mai e valid.

ESP – Encapsulated Security Payload

Protocolul ESP poate asigura integritatea pachetului folosind un HMAC dar şi

confidenţialitatea folosind encriptări. După encriptarea pachetului şi calcularea HMAC-ului, e

generat header-ul ESP şi adăugat la pachet (figura 3.5.3.1c ).

Figura 3.5.3.1c. Header ESP

Primul cuvânt double din header-ul ESP specifică indexul parametrului de securitate SPI

(Security Parameter Index). SPI specifică să folosească SA pentru decapsularea pachetului ESP. Al

2-lea cuvânt double specifică numărul de secvenţă. Numărul de secvenţă e folosit pentru a proteja

împotriva atacurilor cu răspuns. Al 3-lea cuvânt double specifică iniţializarea vectorului IV

(Initialization Vector) care e folosit pentru procesul de encriptare. Algoritmii simetrici de encriptare

sunt sensibili la un atac frecvent dacă nu e folosit nici un IV. IV-ul asigură că două încărcături utile

identice duc la încărcături utile encriptate diferit. Ipsec foloseşte cifru de blocare pentru procesul de

encriptare. De aceea încărcăturile utile pot avea nevoie să fie căptuşite dacă lungimea încărcăturii

utile nu e un multiplu/variantă a lungimii obstacolului. Lungimea “căptuşelii” e apoi adăugată.

Urmărind lungimea căptuşelii câmpul header-ului următor lung de 2 bytes specifică header-ul

următor. În cele din urmă HMAC, lung de 96 biţi, e adăugat la header-ul ESP asigurând integritatea

pachetului. HMAC-ul ia în considerare doar încărcătura utilă a pachetului.

27

Page 28: Retele Virtuale Private

Folosirea lui NAT nu strică protocolul ESP. Totuşi, în cele mai multe cazuri, NAT nu e

posibil în combinaţie cu Ipsec. NAT-Traversal oferă o soluţie în acest caz prin încapsularea

pachetelor ESP înăuntrul pachetelor UDP.

3.5.3.2 Protocolul SSL

Aut SSL (Secure Sockets Layer) este un protocol dezvoltat de Netscape pentru transmiterea

documentelor private prin Internet. SSL utilizează un sistem de criptare cu două chei, una publică,

cunoscută de toată lumea şi una privată, cunoscută doar de beneficiarul mesajului (receptorul). Atât

Netscape cât şi Internet Explorer suportă protocolul SSL, iar o serie de site-uri îl utilizează pentru

obţinerea informaţiilor sensibile, cum ar fi numărul cărţii de credit. Re

Paşii care sunt urmaţi în procesul criptografic al implementării SSL sunt :

1) Se criptează codul cu cheia secretă a expeditorului

2) Se criptează codul cu cheia publică a destinatarului

3) Se generează certificate care transportă cheia publică folosită în criptografia asimetrică

Esenţă procesului de comunicare prin SSL constă în stabilirea unor parametri criptografici

înainte de transmiterea efectivă a datelor. Stabilirea parametrilor poartă numele de ‘’SSL

handshake’’. În primul rând, clientul comunică serverului ce ‘’cipher suites’’ are disponibile . Un

‘’cipher suite’’ reprezintă o combinaţie de parametri criptografici ce definesc algoritmul şi cheile

folosite pentru autentificare şi criptare. Apoi, serverul se poate autentifică (acest pas este opţional),

permiţându-i clientului să fie sigur că entitatea server este ceea cu care clientul se aşteaptă să

comunice. Pentru aceasta, serverul prezintă clientului un certificat ce conţine cheia sa publică.

Verificând acest certificat clientul poate fi sigur de identitatea serverului. Din acest moment, pot fi

schimbate date între client şi server.

Pe parcursul primei faze, clientul şi serverul negociază care algoritm de criptare va fi folosit.

Implementarea curentă urmăreşte următoare alternativele:

Pentru criptarea cu cheie publică: RSA, Diffie-Hellman, DSA sau Fortezza;

Pentru cifru simetric: RC2, RC4, IDEA, DES, Triple DES sau AES;

Pentru funcţii de criptare pe un singur drum: MD5 sau SHA. Protocolul SSL schimbă înregistrările; fiecare înregistrare poate fi compresată opţional,

criptată şi împachetată cu un MAC (message authentication code). Fiecare înregistrare are un

câmp(field) content_type care specifică nivelul superior al protocolului ce a fost început să fie

folosit.

28

Page 29: Retele Virtuale Private

Când conexiunea începe, nivelul înregistrării încapsulează un alt protocol, protocolul

handshake, care are content_type 22. Clientul trimite şi primeşte mai multe structuri handshake:

El trimite mesajul ClientHello specificând lista de cipher suites (suită de cifruri), metoda de

compresie şi cea mai superioară versiune de protocul pe care îl suportă. El deasemenea trimite bytes

la întâmplare, care vor fi folosiţi mai târziu.

Mai apoi el primeşte mesajul ServerHello, în care serverul alege parametrii de conexiune, din

alegerile oferite de către client.

Când parametrii de conexiune sunt cunoscuţi, clientul şi serverul schimbă certificatele(care depinde

de cheia publică selectată). Aceste certificate sunt în curent de tipul X.509, dar deasemenea

recruteza specificările folosite de bazele certificatelor OpenPGP.

Serverul poate solicita un certificat de la client, astfel acesta conexiune poate fi în mod reciproc

autentificată.

Clientul şi serverul negociază convorbirea secretă comună “master secret”, e posibil folosirea ca

rezultat un schimb de tipul Diffie- Hellman, sau mai simplu criptând un secret cu o cheie publică

acesta fiind decriptat cu o cheie privată peer. Toate celelalte chei sunt derivate din din acest “master

secret” (şi clientul şi serverul generează valori la întâmpare), care sunt rămase în urmă print-o

atenţie deosebită prin proiectarea funcţiei “Pseudo Random Function”. Dwwdwd

3.5.3.3 Protocolul L2TP

L2TP se comportă ca un protocol de nivel de legătură de date (nivelul 2 al modelului OSI)

pentru traficul de reţea, tunelat între două capete peste o reţea existentă (de obicei Internetul). L2TP

este de fapt un nivel de sesiune de protocol de nivelul 5 şi foloseşte portul UDP înregistrat 1701. Tot

pachetul L2TP, inclusiv informaţia utilă şi headerul L2TP, se trimite printr-o datagramă UDP. Se

obişnuieşte transportul unor sesiuni PPP (Point-to-Point Protocol) în interiorul tunelului L2TP.

L2TP nu asigură de unul singur confidenţialitate sau autenticitate

puternică. Deseori se utilizează Ipsec pentru securizarea pachetelor L2TP, prin

asigurarea confidenţialităţii, autenticităţii şi integrităţii. Combinaţia acestor

protocoale se mai numeşte L2TP/Ipsec.

29

Page 30: Retele Virtuale Private

Figura 3.5.3.3a Scenariu L2TP

Cele două capete a unui tunel L2TP sunt: concentratorul de acces L2TP

(LAC – L2TP Access Concentrator) şi serverul de reţea L2TP (LNS – L2TP

Network Server). LAC este iniţiatorul tunelului, în timp ce LNS este serverul care

aşteaptă tunelurile noi. Odată ce s-a stabilit tunelul, traficul între puncte este

bidirecţional. Pentru utilizarea în reţelistică, prin tunelul L2TP se trimit

protocoale de niveluri superioare. Prin această facilitate, pentru fiecare protocol

de nivel superior, cum ar fi PPP, se stabileşte o sesiune L2TP (sau apel). O

sesiune poate fi iniţiată de LAC sau LNS. L2TP izolează traficul pentru fiecare

sesiune, deci este posibilă stabilirea mai multor reţele virtuale prin acelaşi

tunel.

Pachetele utilizate într-un tunel L2TP se împart în pachete de control şi

pachete de date(figura 3.5.3.3b). L2TP asigură integritatea pachetelor de control

dar nu şi a celor de date. Dacă se doreşte, integritatea poate fi asigurată prin

protocoalele utilizate în sesiunile tunelului L2TP.

Figura 3.5.3.3b Structura unui pachet L2TP conţinând date de utilizator

30

Page 31: Retele Virtuale Private

Fig 3.5.3.3c Criptarea unui pachet L2TP cu IPSec ESP

(Encapsulating Security Payload)er 2 Tcreat irma echipei

Microsoftth Virtual Private Network). MPestînregistrată a

3.5.3.4 L2TPv3

L2TPv3 este o versiune-proiect a L2TP propus ca alternativă la protocolul

MPLS, pentru încapsularea traficului de comunicaţii multiprotocol de nivelul 2

(figura 3.5.3.4a). La fel ca L2TP, L2TPv3 asigură un serviciu de „pseudo-fir”, dar

adaptat la cerinţele purtătorului.

Se poate spune că L2TPv3 este pentru MPLS ce este IP pentru ATM: o

versiune simplificată a aceluiaşi concept, având majoritatea avantajelor la o

fracţiune din efort (costul pierderii anumitor caracteristici tehnice, considerate

mai puţin importante pe piaţă). În cazul L2TPv3, caracteristicile pierdute sunt

cele de inginerie a traficului, considerate a fi importante în MPLS. Protocolul

suport pentru L2TPv3 este deasemenea cu mult mai mare decât MPLS. Totuşi

nu există motive pentru care aceste caracteristici nu pot fi reintegrate în, sau

peste L2TPv3, în produsele viitoare.

31

Page 32: Retele Virtuale Private

Figura 3.5.3.4a Tunel L2TPv3

3.5.3.5 MPLS

Comutarea Multiprotocol cu Etichete (Multi Protocol Label Switching) reprezintã o nouã

arhitecturã în care nodurile terminale adaugã o etichetã unui pachet IP ce identificã drumul spre

destinaţie, iar pachetele sunt direcţionate pe baza etichetei, fãrã inspectarea header-ului iniţial.

MPLS reprezintã ultimul pas fãcut în evoluţia tehnologiilor de comutare/rutare pentru

Internet, folosind o soluţie ce integreazã atât controlul rutãrii IP, cât şi comutarea de la nivelul

legãturii de date (nivelul 2 din modelul OSI). Mai mult, MPLS oferã bazele unor servicii de rutare

avansate, rezolvând o serie de probleme:

-se adreseazã problemelor privind scalabilitatea, legate de modelul IP-over-ATM, reducând

complexitatea operaţiilor din reţea;

-faciliteazã apariţia de noi posibilităţi de rutare, ce îmbunătăţesc tehnicile de rutare IP

existente;

-oferã o soluţie standardizatã, ce are avantajul interoperabilităţii între diverşi furnizori de

produse şi servicii.

Esenţă MPLS-ului este generarea unei etichete „label” scurte, de dimensiune fixă, care se

comportă ca o reprezentare simplificată a header-ului pachetului IP. Este la fel cum codul poştal este

o formă simplificată pentru adresa unei case, a unei străzi şi a unui oraş în adresa poştală, folosind

această etichetă pentru a lua o decizie în procesul de forward. Pachetele IP au un câmp în header-ul

lor care conţine adresă spre care pachetul este rutat. Procesul tradiţional de rutare într-o reţea

procesează această informaţie la fiecare router, într-o cale a pachetului prin reţea (rutare pas cu pas).

32

Page 33: Retele Virtuale Private

În MPLS, pachetele IP sunt încapsulate cu aceste etichete de către primul dispozitiv MPLS

pe care-l întâlnesc de cum intră în reţea. Router-ul MPLS din margine (egde-router) analizează

conţinutul header-ului IP şi selectează o etichetă potrivită cu care să încapsuleze pachetul.

Cel mai mare avantaj al MPLS-ului vine tocmai din faptul că în contrast cu rutarea IP

convenţională, această analiză poate să nu se bazeze numai pe adresa destinaţie care este purtată de

header-ul IP, ci şi pe alte elemente. La fiecare dintre nodurile ulterioare din reţea, eticheta MPLS (şi

nu header-ul IP) se foloseşte pentru a lua decizia de forwarding pentru un pachet. În final, pe parcurs

ce pachetele MPLS etichetate părăsesc reţeaua, un alt edge router elimină etichetele.

În terminologia MPLS, nodurile sau router-ele care manipulează pachetele se numesc Label

Switched Routers (LSR) – routere cu comutare de etichete. Derivarea acestor termeni este evidentă:

router-ele MPLS forward-eaza pachetele, luând decizii de comutare bazate pe eticheta MPLS.

Aceasta ilustrează un alt concept cheie în MPLS. Router-ele IP convenţionale conţin „tabele de

rutare” care sunt interogate folosind un header IP dintr-un pachet pentru a decide cun să forward-eze

acest pachet. Aceste tabele sunt construite de către protocoale de rutare IP (cum ar fi RIP, OSPF),

care poartă informaţia IP destinaţie sub formă de adrese IP. În practică observăm că acest

forwarding (inspectarea header-ului IP) şi planurile de control (generarea tabelelor de rutare) sunt

strâns cuplate. Întrucât forwarding-ul MPLS este bazat pe etichete, este posibilă separarea clară a

planului de forward-are (bazat pe etichetă) de planul de control pentru protocolul de rutare. Prin

separarea acestora două, fiecare poate să fie modificat independent. Cu o astfel de separare, nu mai

avem nevoie să schimbăm maşina care face forwarding-ul, de exemplu, pentru a migra spre o nouă

strategie de rutare în reţea.

Suita de protocoale TCP/IP (şi în special protocolul IP) este acum fundamentul pentru multe

reţele publice (Internet-ul) şi private (Intranet-uri) de date. Viitoarea convergenţă a vocii, datelor şi

reţelelor multimedia se aşteaptă să fie în mare bazată pe protocoale IP, ducând la necesitatea de

îmbunătăţiri din punct de vedere tehnic şi operaţional.

MPLS permite să avem decizii de forwarding bazate pe: Traffic Engineering, multicast,

VPN, QoS, etc.

33

Page 34: Retele Virtuale Private

VPN_A

VPN_A

VPN_BP P

PP PE

PE CE

CE

CE

VPN_A

VPN_B

VPN_B

CEPE

PECE

CE

VPN_A

CE

Figura 3.5.3.5a Nodurile MPLS

Rutarea VPN/Instanţă de Forward(VPN Routing and Forwarding Instance) VRF

Un VRF se alcătuieşte dintr-o tabelă de rutare IP, o tabelă derivată de forward , un set de

interfeţe ce utilizează tabela de forward, şi un set de reguli şi protocoale de rutare care determină ce

pachete urmează să intre în tabela de forward. În general, un VRF include informaţia de rutare care

defineşte locaţia VPN a clientului care este ataşată ruterului PE.

Routerele PE menţin două tabele de rutare separate(figura 3.5.3.5b):

-Tabela globală de rutare, care conţine rutele P şi PE

-VRF tabelele de rutare şi forwardare asociate cu unul sau mai multe locaţii conectate (rutere CE).

VRF-ul este asociat cu orice tip de interfaţă, fie ea fizică sau logică. Interfeţele pot să

împartă acelaşi VRF dacă locaţiile conectate folosesc aceeaşi informaţie de rutare.

Company. Căutaţi Trad

Figura 3.5.3.5be Tabele de rutare in MPLS-VPNmar

k Applications

Regist Pentru a obţine securitatea necesară pentru administrarea VPN-urilor

prin Internet, folosind abordarea de nivel 3, e necesară separarea adreselor şi

dirijare traficului între clienţi. Acest lucru se subînţelege în cazul unei abordări

de nivel 2, dar trebuie proiectată special pentru soluţiile VPN de Nivel 3. Pentru

34

Page 35: Retele Virtuale Private

rezolvarea acestei probleme, un număr de experţi în Internet (Cisco, Juniper,

AT&T, Alcatel, Worldcom) au definit modul de realizare al separării de adrese şi

al dirijării folosind BGP (Border Gateway Protocol), precum şi modul de

transmitere a acestei informaţii şi a traficului VPN în sine, prin backbone-ul

MPLS.

Modelul presupune ca furnizorul de servicii (SP – Service Provider) să fie

proprietarul backbone-ului şi să administreaze serviciile VPN de la echipamentul

PE (Provider Edge), care comunică direct cu echipamentul CE (Customer Edge)

folosind tehnologii standard, cum ar fi Frame Relay, ATM, DSL şi T1. Astfel,

clientul achiziţionează serviciile VPN direct de la SP. Apoi SP va furniza serviciile

VPN clienţilor multipli folosind un dispozitiv PE partajat.

Cheia spre a oferi securitate în echipamentul PE se realizează prin

extensiile BGP-VPN. Fiecare ruter PE trebuie să menţină un număr de tabele de

dirijare, fiecare dintre ele fiind asociat cu o clasă de VPN. Când se

recepţionează un pachet de la echipamentul CE, se foloseşte tabelul de dirijare

asociat locaţiei pentru a determina dirijarea datelor. Fiecare VPN are propriul

tabel unic de dirijare, cunoscut sub numele VRF – VPN Routing and Forwarding.

Dacă un dispozitiv PE are conexiuni multiple la aceaşi locaţie, se poate asocia

un singur VRF la toate acele conexiuni. Extensiile BGP-VPN pentru suportul VRF

permit apoi BGP-ului să trimite informaţia specifică de dirijare la ruterul PE

conectat la celălalt capăt al VPN-ului. În această abordare se menţine separarea

rutelor pentru fiecare client unic VPN.

În acest tip de arhitectură, numai ruterele PE trebuie să poarte informaţia

VRF. Nu este necesar ca ruterele care nu sunt „de graniţă” de pe backboneul SP

să ştie tot despre informaţia VRF. Acest design extinde foarte mult

scalabilitatea abordării VPN de nivel 3. În fiecare ruter PE se pot asocia

subinterfeţe VRF-urilor; în acest caz spunem că asocierea este multi-ton. Două

subinterfeţe nu se pot asocia cu acelaşi VRF dacă nu intenţionează să arate

informaţia de rutare şi dacă adresa de destinaţie a pachetului VRF este

determinată de subinterfaţa prin care se recepţionează.

Se defineşte un concept de adrese VPN-Ipv4 folosit pentru a distinge

rutele. O adresă VPN-Ipv4 este o adresă de 12 octeţi care începe cu un

35

Page 36: Retele Virtuale Private

separator de adrese (RD – Route Distinguisher) de 8 octeţi şi se termină cu o

adresă Ipv4 de 4 octeţi. Extensiile Multiprotocol BGP (BGP-MP) permit BGP să

transporte rute din această nouă familie de adrese. Familia de adrese VPN-Ipv4

şi RD asigură că dacă se folosesc adrese similare în două VPN diferite, se pot

menţine rute diferite către adresa respectivă.

Extensiile BGP-VPN permit configurarea politicilor de distribuţie de rute

pentru distribuţia corespunzătoare a informaţiei de rutare. Ruterele PE pot, de

asemenea, să autodescopere celălalt dispozitiv PE ataşat la acelaşi VPN. Acest

lucru elimină nevoia de a reconfigura ambele PE-uri la reconfiguraţia sau

configuraţia iniţială a VPNului

3.6 Componente VPN. Metode de realizare a soluţiilor VPN

În funcţie de tipul VPN-ului (cu acces de la distanţă sau site-to-site), pentru a construi un

VPN este nevoie de câteva componente:

- software client pentru fiecare utilizator de la distanţă;

- hardware dedicat, precum un concentrator VPN sau un firewall PIX de securitate;

- un server VPN dedicat serviciilor dial-up;

- un NAS (server de acces la reţea) folosit de furnizorul de servicii pentru accesul VPN

al utilizatorilor de la distanţă;

- un centru de administrare a politicilor din reţeaua VPN.

O soluţie VPN bazată pe Internet este alcătuită din patru componente principale: Internet-ul,

porţile de securitate (gateways), politicile de securitate ale server-ului şi autorităţile de certificare.

Internet-ul furnizează mediul de transmitere. Porţile de securitate stau între reţeaua publică şi

reţeaua privată, împiedicând intruziunile neautorizate în reţeaua privată. Ele, deasemenea, dispun de

capacităţi de tunelare şi criptare a datelor înainte de a fi transmise în reţeaua publică. În general, o

poartă de securitate se încadrează în una din următoarele categorii: routere, firewall, dispozitive

dedicate VPN harware şi software.

Sisteme VPN bazate pe routere

36

Page 37: Retele Virtuale Private

Pentru că router-ele trebuie să examineze şi să proceseze fiecare pachet care părăseşte

reţeaua, pare normal ca în componenţa acestora să fie inclusă şi funcţia de criptare a pachetelor.

Comercianţii de routere dedicate VPN( figura 3.6a ), de obicei oferă două tipuri de produse: ori cu

un suport software pentru criptare, ori cu un circuit adiţional echipat cu un co-procesor care se ocupă

strict de criptarea datelor. Acestea din urmă reprezintă cea mai bună soluţie pentru situaţiile în care

sunt necesare fluxuri mari de date. Trebuie avut grijă la adăugarea de noi sarcini pentru router

(criptarea), pentru că, dacă router-ul nu poate face faţă şi „pică”, atunci întreg VPN-ul devine

nefuncţionabil.

Cisco 3660 Series Cisco 1710 Series Cisco 3620 Series

Figura 3.6a. Routere folosite la VPN

Din punct de vedere al performanţelor, soluţia bazată pe routere este cea mai bună dar

implică un consum foarte mare de resurse, atât din punct de vedere financiar cât şi din punct de

vedere al resurselor umane, fiind necesari specialişti în securitatea reţelelor pentru a configura şi

întreţine astfel de echipamente. Este o soluţie potrivită pentru companiile mari, care au nevoie de un

volum foarte mare de trafic şi de un grad sporit de securitate.

Figura 3.6b Soluţie VPN bazată pe routere

Sisteme VPN bazate pe firewall

Sediul central

Filiala

Internet

Biroul de acasa

37

Page 38: Retele Virtuale Private

Mulţi comercianţi de firewall includ în produsele lor capacitatea de tunelare. Asemeni

router-elor, firewall-urile trebuie să proceseze tot traficul IP. Din această cauză, nu reprezintă o

soluţie potrivită pentru tunelare în cadrul reţelor mari cu trafic foarte mare.

Combinaţia dintre tunelare, criptare şi firewall reprezintă probabil soluţia cea mai bună

pentru companiile mici, cu volum mic de trafic. Ca şi în cazul router-elor, dacă firewall-ul „pică”,

întreg VPN-ul devine nefuncţionabil.

Folosirea firewall-urilor pentru creearea de VPN reprezintă o soluţie viabilă, îndeosebi

pentru companiile de dimensiuni mici, ce transferă o cantitate relativ mică de date (de ordinul 1-2

MB pe reţeaua publică).

Soluţia unui firewall cu VPN integrat(figura 3.6c) prezintă avantajul unei securităţi sporite

(poarta de securitate a VPN-ului fiind protejată de filtrele aplicate de firewall) şi, de asemenea, este

mult mai uşor de întreţinut, făcându-se practic management pentru amândouă componentele

simultan.

Figura 3.6c. Firewall cu VPN integrat Echipamente harware dedicate

O altă soluţie VPN o reprezintă utilizarea de hardware special (figura 3.6d) proiectat să

îndeplinească sarcinile de tunelare, criptare şi autentificarea utilizatorilor. Aceste echipamente

operează de obicei ca nişte punţi de criptare care sunt amplasate între router-ele reţelei şi legătura

WAN (legătura cu reţeaua publică). Deşi aceste echipamente sunt proiectate pentru configuraţiile

LAN-to-LAN, unele dintre ele suportă şi tunelare pentru cazul client-to-LAN.

38

Page 39: Retele Virtuale Private

Figura 3.6d Client hardware VPN

Integrând diverse funcţii în cadrul aceluiaşi produs poate fi destul de atrăgător pentru o firmă

care nu beneficiază de resursele necesare pentru a instala şi întreţine echipamente de reţea diferite. O

simplă pornire a unui astfel de echipament este mult mai simplă decât instalarea unui software pe un

firewall, configurarea unui router şi instalarea unui server RADIUS.

Chiar dacă multe din aceste echipamente hardware(figura 3.6e) par că oferă cele mai bune

performanţe pentru un VPN, tot trebuie decis câte funcţii doreşti să integrezi într-un singur

echipament. Companiile mici, care nu dispun de personal specializat în securitatea reţelelor vor

beneficia de aceste produse care integrează toate funcţiile unui VPN. Unele produse – cele mai

scumpe – includ surse duble de alimentare şi au caracteristici deosebite care asigură fiabilitatea

funcţionării.

Este greu de depăşit performanţa acestor echipamente în capacitatea lor de a susţine un

volum de trafic mare şi un număr impresionant de tuneluri simultane, lucru esenţial pentru

companiile mari.

Figura 3.6e. Cisco VPN 3002 Hardware Client

Soluţii software dedicate

3002

Cable Modem

3002 DSL

3002

Utilizator

Filiala

Filiala

Internet

Concentrator VPN

39

Page 40: Retele Virtuale Private

Componente software VPN sunt deasemenea disponibile pentru creearea şi întreţinerea de

tuneluri, fie între două porţi de securitate, fie între un client şi o poartă de securitate. Aceste sisteme

sunt agreeate datorită costurilor reduse şi sunt folosite pentru companiile mici, care nu au nevoie să

procesese o cantitate prea mare de date. Aceste soluţii pot rula pe servere existente, împărţind astfel

resursele cu acestea. Reprezintă soluţia cea mai potrivită pentru conexiunile de tipul client-to-LAN.

Practic, se instalează o aplicaţie software pe calculatorul clientului care stabileşte conexiunea

cu serverul VPN. Există multe firme producătoare de astfel de aplicaţii, Microsoft, integrând de

altfel în ultimele sisteme de operare lansate soluţii software de acest gen. Asfel, sistemul de operare

Windows 2003 Server are încorporat un server VPN iar, din punct de vedere al clienţilor, sistemele

de operare Windows 2000 Pro, respectiv Windows XP au încorporat un client VPN. Practic se poate

realiza o aplicaţie VPN fără a mai instala alte produse software sau hardware, trebuind doar

configurate cele existente.

Pe lângă porţile de securitate, o altă componentă importantă a unui VPN o reprezintă politica

de securitate a server-ului. Acest server menţine listele de control al accesului şi alte informaţii

legate de utilizatori. Porţile de securitate folosesc aceste informaţii pentru a determina care este

traficul autorizat.

În cele din urmă, autoritatea de certificare este necesară pentru a verifica cheile partajate

între locaţii şi pentru a face verificări individuale pe baza certificatelor digitale. Companiile mari pot

opta pentru a-şi menţine propria bază de date cu certificate digitale pe un server propriu, iar în cazul

companiilor mici intervine o „terţă” parte reprezentată de o autoritate de încredere.

3.7 Securitate VPN

3.7.1 Ameninţări la adresa reţelelor publice

Cele mai vulnerabile situaţii ale pachetelor securizate şi stabile identificate în reţele sunt:

pierderea caracterului privat al reţelei ,impostura, pierderea integrităţii datelor , refuzul serviciului.

40

Page 41: Retele Virtuale Private

VPN oferă soluţii pentru înlăturarea ameninţărilor de tipul celor menţionate mai sus

asigurând:

1. Pentru a păstra confidenţialitate - Criptarea sau criptografierea datelor

2. Pentru a înlătura impostura - Autentificarea

3. Integritatea pachetelor

4. Satisfacţia unui serviciu la un preţ accesibil

În general orice intrus în reţea urmează procesul descris mai jos:

1. Supravegherea (din exterior) - Persoana rău intenţionată accesează informaţii publice sau

apare ca utilizator obişnuit. În acest stadiu este aproape imposibil să îi fie identificate

intenţiile. Între timp el poate accesa tabela DNS (Domain Name System) şi identifică numele

staţiilor de lucru, aflându-se aparent într-o căutare a unor date publice (ex. ştiri, comentarii

despre companie etc).

2. Recunoaşterea sau scanarea - Intrusul caută informaţii, dar încă nu produce nimic rău. De

cele mai multe ori accesează site-urile companiei în căutarea scripturilor CGI (Common

Gateway Interface), acestea fiind cel mai uşor de atacat.

3. Exploatarea sistemului-Intrusul încearcă să utilizeze posibilele deficiente în securitatea

sistemelor utilizate. Astfel, el are câteva alternative: să transmită un volum mare de date şi să

se folosească de blocajul sistemului sau să speculeze conturile de autentificare neprotejate de

parole sau cu parole uşor de identificat.

4. La atac - În acest stadiu, intrusul este deja în reţea fiind deghizat într-una dintre staţiile de

lucru utilizate în reţea. Obiectivul principal al intrusului este de a şterge urmele, astfel ca la

auditarea tranzacţiilor în reţea să nu fie identificat traseul de pătrundere. El trebuie să se

asigure totuşi că va putea reveni oricând va dori. Aşa că intrusul poate instala utilitare proprii

care să îi dea acces, înlocuind serviciile existente după sistemul calului Troian sau generând

un cont de utilizator.

5. Bătălia finală - Intrusul sustrage date, utilizează resursele sistemului pentru alte atacuri

viitoare sau mutilează datele paginii Web. Toate acestea afectează atât utilizatorii interni, cât

şi imaginea externă a companiei.

Pentru a înlătura aceste iminente atacuri, datele tranzitate prin reţelele VPN trebuie să fie

criptate. Astfel nu vor putea fi accesate decât de cei autorizaţi, păstrându-se astfel confidenţialitatea

datelor.

41

Page 42: Retele Virtuale Private

3.7.2 Solutii VPN

O reţea VPN bine proiectată foloseşte câteva metode care menţin datele şi conexiunea

securizate: firewall-uri, criptarea, IPSec sau server AAA. Astăzi securitatea reţelei este în principal

asigurată de firewall-uri, produse care pun o barieră software între resursele companiei (reţeaua

privată) şi Internet. Firewall-urile pot fi configurate să restricţioneze numărul de porturi deschise,

pot fi instruite care feluri de pachete să le lase să treacă şi care nu, dar un firewall poate fi utilizat

pentru a încheia sesiunile VPN(figura 3.7.2a).

Figura 3.7.2a. Firewall

CheckPoint Software Technologies şi Raptor Systems sunt două dintre cele mai cunoscute

firme care vând soft de firewall pentru servere Unix, situate în apropierea router-ului de reţea. Alte

firme, ca Cisco Systems şi Ascend Communications, vând produse de securitate la nivel de router.

Cel mai întâlnit dintre protocoalele VPN discutate anterior este IPSec – un „open-standard”

de securitate folosit de cele mai mari firme, printre care se numără IBM, Sun sau BayNetworks –

pentru stabilirea comunicaţiilor directe private prin Internet.

Internet Protocol Security (IPSec)( Figura 3.7.2b) oferă caracteristici de securitate extinsă,

precum şi algoritmi de criptare mai buni, pe lângă mecanisme de autentificare. IPSec poate cripta

date între diverse echipamente: router-router, firewall-router, PC-router, PC-server.

IPSec protejează datele în trei moduri, folosind tehnici criptografice:

Autentificare: Procesul prin care este verificată identitatea unui host (staţie de lucru).

Verificarea integrităţii: Procesul prin care se semnalează orice modificări ale datelor survenite în

procesul de transport prin Internet, între sursă şi destinaţie.

Criptarea: Procesul de codificare a informaţiei în tranzit prin reţea, pentru a asigura caracterul său

privat.

42

Page 43: Retele Virtuale Private

Figura 3.7.2b Un Remote Access VPN cu Ipsec

Serverele AAA (de autentificare, autorizare şi jurnalizare) sunt folosite pentru accesurile

mult mai securizate dintr-un mediu VPN de accesul la distanţă. Când vine o cerere de stabilire a

unei sesiuni de la un client dial-up, serverul AAA verifică următoarele:

-cine sunteţi (autentificare);

-ce permisiuni aveţi (autorizare);

-ce anume de fapt faceţi (jurnalizare).

Funcţia de jurnalizare este utilă atunci când se urmăreşte ce anume face clientul, în scopul

facturării.

O soluţie completă pentru realizarea unei reţele VPN necesită îmbinarea a trei componente

tehnologice critice: securitatea, controlul traficului şi administrarea la nivelul organizaţiei.

Securitatea

Tehnologiile importante care acoperă componenţa de securitate a unei reţele VPN sunt: controlul

accesului pentru garantarea securităţii conexiunilor din reţea, criptarea, pentru protejarea

confidenţialităţii datelor, autentificarea, pentru a verifica identitatea utilizatorului, cât şi integritatea

datelor.

Controlul traficului

O a două componentă critică în implementarea unei reţele VPN este dată de controlul traficului,

realizat pentru un scop simplu şi clar: garantarea fiabilităţii, calităţii serviciilor şi a unor performanţe

optime în ceea ce priveşte ratele de transfer. Comunicaţiile în Internet pot duce la apariţia unor zone

de congestie, impropii unor aplicaţii critice în domeniul afacerilor. Alternativa este dată de stabilirea

unor priorităţi de rutare a traficului, astfel încât transferul datelor să fie realizat cu fiabilitate

maximă.

43

Page 44: Retele Virtuale Private

Administrarea la nivelul organizaţiei

Ultima componentă critică este dedicată garantării unei integrări complete a reţelei VPN în

politica de securitate globală, unei administrări centralizate (fie de la o consolă locală, fie de la una

la distanţă) şi unei scalabiltăţi a soluţiei alese.

Deoarece în cazul reţelelor VPN nu există o reţetă unică, este necesară o combinaţie particulară a

acestor trei componente, astfel încât rezultatul practic să întrunească criteriile de evaluare mai sus

cros

3.7.3 Criptarea datelor

i Criptarea este o metodă de codare a datelor prin intermediul unei forme algoritmice într-o

formă indescifrabilă înainte de transmiterea acestora de către staţia de lucru sursă şi decodate

ulterior la destinaţie prin aplicarea algoritmului de criptare în sens invers.

Fără ca să existe un mecanism de criptare a datelor, acestea ar circula în clar pe canalele de

comunicaţie publice ale Internetului. Aceste date ar putea fi citite şi interceptate prin tehnici banale

(analizor de protocol, instrumente de diagnoză în reţea, adeseori incluse în sistemele de operare în

reţea). Sistemul care asigură prelucrarea consecventă a datelor în acest scop poartă denumirea de

criptosistem, format din procesele de criptare/decriptare şi de participanţii la acesta - emiţătorul şi

receptorul. În prezent există două tipuri de criptosisteme: cu cheie privată şi cu cheie publică.

3.7.3.1 Criptosisteme cu cheie privată (simetrice)

Acest tip de sistem utilizează aceeaşi cheie secretă, atât pentru criptare cât şi pentru

decriptare. Cheia este de fapt un şir de biţi, având o lungime fixă.

Schemele de criptare simerică sunt foarte rapide, algoritmii utilizaţi în prezent de

producătorii VPN sunt RC-4 (RSA), DES (Data Encryption Standard), IDEA (Internaţional Data

Encryption Algorithm), triple-DES, FWZ-1 sau tehnologia de criptare Skipjack, propusă de

guvernul Statelor Unite şi implementată în cipul Clipper. Fiecare dintre aceşti algoritmi diferă prin

lungimea cheii, care adesea este asimilată cu "puterea" de criptare a algoritmului. Această putere

determină efortul de calcul necesar pentru descoperirea cheii. Cu cât o cheie este mai lungă cu atât

algoritmul de criptare este mai "puternic".

Cu toate acestea, utilizarea doar a unui sistem cu cheie privată prezintă câteva dezavantaje.

Din moment ce "cheia secretă" este folosită atât pentru criptare, cât şi pentru decriptare, oricine

44

Page 45: Retele Virtuale Private

deţine această cheie poate intercepta datele care au fost sau nu criptate, punând sub semnul riscului

comunicaţiile desfăşurate sub această cheie. Din această cauză, cheile trebuie livrate într-o manieră

intrinsec protejată, cum ar fi transferul direct între persoane.

Confidenţialitatea comunicaţiilor se bazează pe integritatea cheii secrete, de aceea cheia

trebuie înlocuită periodic. Printr-o înlocuire foarte frecventă, un anumit stil de criptare este expus

publicului pentru o fereastră de timp cât mai mică. Această metodă de transmisie şi înlocuire a

cheilor este acceptabilă în cazul unui număr mic de chei. Odată cu creşterea numărului de chei,

procesul devine mult mai complicat. De exemplu, pentru 100 de utilizatori în VPN, într-un

criptosistem simetric, trebuie administrate 4950 de chei. În acest scenariu, componenta de setare şi

distribuţie a cheilor pe perechi de parteneri de comunicaţii, luând în considerare şi înlocuirea lor

periodică, devine extraordinar de dificilă şi consumatoare de timp.

3.7.3.2 Criptosisteme cu cheie publică (asimetrice)

Un astfel de sistem foloseşte o pereche de chei aflate într-o relaţie matematică: o cheie

privată, menţinută în secret în cadrul sistemului şi o cheie publică, ce poate fi cunoscută de oricine.

Astfel crearea şi distribuţia cheilor, prin cheia publică, poate fi realizată mult mai simplu faţă de

cazul unui criptosistem cu cheie privată. Există două tipuri de criptosisteme utilizate în mod curent

în cazul unor reţele VPN: Diffie-Hellman (DH) şi Rivest Shamir Adlemen (RSA).

3.7.3.3 Diffie-Hellman

Unul dintre modurile prin care două sisteme care comunică pot cădea de acord asupra unei

valori pentru cheia de criptare este sistemul cu cheie publică Diffie-Hellman. În acest sistem,

combinaţia dintre cheia privată a utilizatorului1 şi cheia publică a utilizatorului2 va genera acelaşi

rezultat ca şi combinaţia dintre cheia privată a utilizatorului2 şi cheia publică a utilizatorului1.

Această proprietate poate fi extinsă la orice combinaţie de două chei, astfel încât cheia publică a

oricărui partener de comunicaţii poate fi distribuită liber, fără a pune în pericol securitatea

criptositemului. Cele două părţi, care schimbă propriile chei publice, sunt singurele care pot genera

ceea ce se numeşte secretul comun (shared secret). Sistemul devine foarte sigur, fără ca o altă parte

să poată crea sau cunoaşte secretul comun.

Un criptosistem cu cheie publică poate fi folosit pentru sporirea unui sistem cu cheie privată,

prin distribuirea unei chei secret comun celor două părţi care doresc să stabilească o sesiune de

comunicaţii privată. Primul pas este obţinerea de către utilizatorul1 a cheii publice a utilizatorului2

45

Page 46: Retele Virtuale Private

şi obţinerea de către utilizatorul2 a cheii publice a utilizatorului1. În continuare utlilizatorul1 şi

utilizatorul2 calculează cheia secretului comun. În fine, ei pot utiliza secretul comun pentru criptarea

şi decriptarea tuturor transmisiilor de date dintre ei. Din acest punct de vedere, criptosisternul cu

cheie publică Diffîe-Hellman este cunosct şi sub numele de sistem cu distribuţie de chei publice

Diffie-Hellman.

Există însă o componentă a mecanismului de distribuţie a cheii ce trebuie utilizat pentru a

asigura provenienţa cheilor. Dacă cei doi corespondenţi, îşi obţin cheile publice reciproce printr-un

canal de comunicaţie nesigur, cum ar fi Internetul, ei trebuie să fie siguri de provenienţa cheilor. Ei

nu îşi pot cere pur şi simplu cheile publice, din cauza pericolului ca altcineva să supravegheze

tocmai această sesiune de comunicaţii. O altă persoană poate să intercepteze cererea utilizatorului1

de a primii cheia publică a utilizatorului2 şi să-şi trimită propria cheie publică către ambii

corespondenţi. Dacă se întâmplă acest lucru, corespondenţii vor avea un secret comun cu aceea

persoană, care va devenii un virtual corespondent pentru fiecare dintre cei doi. Această situaţie este

cunoscută sub numele de ameninţarea "omului din mijloc'1 (Man în the Middle). O metodă de

protecţie împotriva acestei ameninţări, ca şi a altora, este utilizarea unei combinaţii între un

criptosistem cu cheie publică cu RSA şi un sistem de semnături digitale, astfel încât distribuţia

cheilor să fie realizată sigur şi protejat.

3.7.3.4 Rivest Shamir Adleman (RSA)

Metoda RSA este aproape singura metodă "adevărată" de criptare cu cheie publică. Ea a fost

publicată în anul 1977. S-a demonstrat însă recent că de fapt această metodă a fost inventată în anul

1973 de către Clifford Cocks. Algoritmul RSA se bazează pe următoarele fapte matematice:

Dacă se ridică un număr la o putere (d), modulo un număr N, numărul original poate fi

recuperat prin ridicarea rezultatului la o altă putere (e) modulo acelaşi număr. Cunoscând numărul N

utilizat ca şi modul precum şi prima putere folosită se poate determina cu uşurinţă care a fost cea de

a doua putere folosită.

Criptosisternul cu cheie publică RSA poate fi folosit pentru două scopuri: criptare şi

semnături digitale. Orice informaţie criptată cu cheia privată RSA poate fi decriptată numai cu cheia

publică RSA corespunzătoare. Dacă utilizatorul1 îşi foloseşte cheia privată RSA pentru criptarea

unui mesaj, oricine deţine cheia sa publică poate decripta acel mesaj. În această manieră, schema

46

Page 47: Retele Virtuale Private

RSA (cunoscută mai bine sub numele de Semnătură Digitală RSA) poate fi aplicată pentru atingerea

unor scopuri diferite, inclusiv transportul cheilor sau a materialului criptat.

Un atac împotriva metodei de criptare cu cheie publică RSA este aşa numitul atac cu text în

clar limitat. Dacă există un număr mic de mesaje care trebuiesc transmise, un atacator ar putea să le

cripteze pe toate, cu diferite chei publice, folosind algoritmul RSA şi să-l identifice pe cel transmis

la un moment dat comparându-l cu toate textele cifrate pe care le-a obţinut.

3.7.4 Semnături digitale şi autentificări de date

Aşa cum s-a văzut mai sus, un mesaj este introdus într-un algoritm matematic cunoscut sub

numele de funcţie hash (demixare) care mapează valori mai mari pe valori mai mici. Mărimea

mesajului este micşorată, astfel încât să se asigure performanţele maxime la transmisia pe reţea - cu

cât un mesaj este mai scurt, cu atât mai puţine calcule sunt neceasare, deci şi performanţele sunt mai

mari.

Rezultatul funcţiei hash, cunoscut sub numele de message digest (sumar de mesaj) este apoi

criptat cu cheia privată a emiţătorului. Sumarul de mesaj astfel criptat formează semnătura digitală,

care va fi ataşată la mesajul original, ambele componente fiind apoi criptate şi trimise destinatarului.

Acesta poate autentifica mesajul după cum urmează. Mai întâi, prin folosirea aceleiaşi funcţii de

mixare de mai sus, stabilite de comun acord, se regenerează sumarul de mesaj. Semnătura digitală

încorporată în mesaj este apoi decriptată cu cheia publică a expeditorului. În final, se compară cele

două rezultate. Dacă şi numai dacă cele două sumare coincid, se poate concluziona cu siguranţă că:

- mesajul a fost transmis prin utilizarea cheii private corespondente;

- mesajul nu a fost alterat în decursul transferului.

Unele dintre funcţiile de mixare criptografice folosite în procesul de semnătură digitală sunt:

MD4, MD5, SHA-1 şi CBC- DES-MAC, între ele fiind diferenţe de lungime a cheilor şi de metodă

de hash.

Am descris cum pot fi folosite funcţiile hash/de mixare pentru transportul cheilor. Ele pot fi

utilizate şi pentru a verifica dacă mesajul a fost recepţionat în forma originală (integritatea datelor).

Atunci când sunt folosite pentru controlul integrităţii datelor, funcţiile hash (ca şi semnăturile

digitale rezultate) sunt mult mai cunoscute sub numele de algoritmi de autentificare a datelor.

Utilizarea unui sistem de semnături digitale pentru autentificarea datelor dovedeşte că:

- mesajul a fost transmis de o anumită persoană şi nu a fost falsificat (autentificarea datelor);

- mesajul nu a fost modificat sau corupt (integritatea datelor).

47

Page 48: Retele Virtuale Private

Prin folosirea unei combinaţii între: schema de semnături digitale RSA, sistemul de

distribuţie a cheilor Diffie-Hellman şi sistemul simetric de criptare cu cheie, se poate stabilii o

sesiune criptată VPN care facilitează confidenţialitatea datelor, autentificarea datelor şi integritatea

datelor. Odată cu stabilirea unei sesiuni criptate VPN, ea este protejată în faţa unor forme diferite de

atac, inclusiv a "omului din mijloc".

Securitatea unei reţele VPN nu se bazează numai pe algoritmi şi chei de natură matematică,

ci şi pe un mecanism sigur de generare, distribuţie şi administrare a cheilor. Dacă aceste chei sunt

compromise, atunci întreaga reţea poate fi compromisă. Entitatea responsabilă de generarea seturilor

de chei private şi publice pentru fiecare utilizator, ca şi distribuire acestora, trebuie să aibă cel mai

mare nivel de încredere. Asocierea perechilor de chei cu utilizatorii determină securitatea întregului

sistem de chei. În acest scenariu, entitatea responsabilă este numită Certificate Authority (CA -

Autoritatea de certificare), iar procesul de administrare a cheilor este realizat printr-un set de linii

directoare stabilite global de industria de specific, cunoscut sub numele de Public Key Infrastructure

(PKI - Infrastructura publică pentru chei). CA este de obicei o terţă parte, a cărei responsabilitate

unică sau set de produse se desfăşoară în jurul componentelor PKI, cum ar fi generarea, distribuţia,

revocarea şi depozitarea cheilor.

3.7.5 Autentificarea utilizatorilor şi controlul accesului

Procedurile de autentificare sunt implementate la nivelul punctului de acces la reţeaua VPN.

Prin acestea se stabileşte identitatea persoanei care foloseşte "nodul VPN" şi se elimină posibilitatea

unui acces neautorizat în reţeaua unei organizaţii.

Cele mai cunoscute scheme de autentificare a utilizatorilor sunt: username/password (prin

sistemul de operare), S/Key password (de unica folosinţă), schema de autentificare RADIUS şi

schema bazată pe token. Cea mai puternică şi viabilă schemă de autentificare a utilizatorilor

disponibilă în prezent pe piată este schema de autentificare cu doi factori (two-factor), care necesită

două elemente pentru verificarea identităţii unui utilizator: un element fizic aflat in posesia acestuia

(un token/jeton electronic) şi un cod care este memorat (un PIN - Personal Identification Number).

Unele soluţii avansate au început să utilizeze mecanisme de identificare biometrice, cum ar fi

amprentele digitale, vocale sau ale retinei. Cu toate acestea ele se află încă în partea de testare.

Pentru evaluarea unei soluţii VPN, este importantă considerarea unei soluţii care prezintă

atât mecanisme de autentificare a datelor, cât şi de autentificare a utilizatorilor. Furnizorii de soluţii

VPN care suportă doar unul din cele doua tipuri de mecanisme de autentificare se referă la

48

Page 49: Retele Virtuale Private

autentificare în mod generic, fără a detalia tipul. O soluţie VPN completă trebuie să suporte atât

autentificarea datelor (procesul de semnătură digitală sau de integritate a datelor), cât şi

autentificarea utilizatorilor (procesul de verificare a identităţii ulilizatorilor VPN).

Controlul accesului

Odată ce a fost verificată identitatea persoanei, profilul de utilizator va determina exact care

resurse şi servicii pot sau nu să fie accesate in retea, fără a compromite securitatea reţelei.

Arhitectura pentru controlul accesului

Această arhitectură va afecta suportul existent şi viitor al serviciilor, aplicaţiilor şi

protocoalelor disponibile într-o soluţie VPN.

Unele soluţii de arhitectură, cum sunt cele bazate pe sistemele proxy, nu oferă o largă

disponibilitate pentru aplicaţii şi servicii, deoarece fiecare aplicaţie pretinde existenţa unui proxy

dedicat. O soluţie VPN completă va avea o arhitectură care suportă toate serviciile principale de pe

Internet, încluzând browsere securizate şi setul tradiţional de aplicaţii Internet (e-mail, FTP, Telnet,

etc.), întreaga familie TCP, protocoale neorientate pe conexiune (RPC), aplicaţiile bazate pe UDP,

ca şi protocoalele definite de utilizator. În plus, arhitectura VPN ar trebui să suporte atât sisteme API

(Application Program Interfaces) cunoscute, cât şi standarde deschise, astfel terţii producători de

aplicaţii să poată să-şi integreze produsele într-o soluţie VPN.

3.8 VPN şi NAT

Un translator de adresă de reţea (NAT – Network Address Translator) este un dispozitiv care

se foloseşte de obicei pentru a furniza acces simultan reţelelor private la reţeaua publică, cum ar fi

Internetul. Pentru că NAT nu lucrează cu protocoale care folosesc criptare, o soluţie VPN care

include un NAT poate să adauge un nivel suplimentar de complexitate unei desfăşurări VPN.

49

Page 50: Retele Virtuale Private

NAT cu conexiune PPTP

Dacă un client VPN care foloseşte PPTP este în spatele unui NAT, NAT trebuie să includă

un editor NAT care să poată să traducă traficul PPTP. De editorul NAT este nevoie pentru că datele

tunelate PPTP au mai degrabă un header GRE decât unul TCP sau UDP. Editorul NAT foloseşte

câmpul Call ID din antetul GRE pentru a identifica fluxul de date PPTP şi a traduce adresele IP si

Call ID-urile pentru pachetele PPTP transmise între o reţea privată şi Internet.

Editorul NAT PPTP

Componenta de protocol de rutare NAT/Basic Firewall a serviciului de Rutare şi Acces de la

Distanţă şi funcţia de divizare a conexiunii Internet din conexiunile de reţea, includ un editor NAT

pentru traficul PPTP.

NAT cu conexiuni L2TP

Pentru a folosi conexiuni VPN bazate pe L2TP în spatele unui NAT, trebuie implementat

IPSec NAT Traversal (NAT-T) la ambele capete a conexiunii VPN.

IPSec NAT-T

IPSec NAT-T abordează dificultatea utilizării VPN bazate pe IPSec printr-un NAT.

Windows Server 2003 permite trecerea unei conexiuni L2TP/IPSec printr-un NAT. Această

capacitate se bazează pe ultimele standarde IETF.

IPSec NAT-T permite punctelor IPSec să negocieze şi să comunice când sunt în spatele unui

NAT. Pentru a folosi IPSec NAT-T, atât clientul VPN cu acces de la distanţă, cât şi serverul VPN cu

acces de la distanţă, trebuie să suporte IPSec NAT-T. IPSec NAT-T este suportat de clientul VPN

Windows Server 2003 Microsoft L2TP/IPSec şi de actualizarea L2TP/IPSec NAT-T pentru

Windows XP şi 2000. În timpul procesului de negociere, punctele capabile L2TP/IPSec NAT-T

determină automat dacă atât punctul iniţiator IPSec (tipic un calculator-client) cât şi punctul IPSec

care răspunde, pot efectua L2TP/IPSec NAT-T. Suplimentar, punctele capabile L2TP/IPSec NAT-T

determină dacă în calea lor sunt NAT-uri. Dacă sunt satisfăcute ambele condiţii, punctele folosesc

automat L2TP/IPSec NAT-T pentru a trimite trafic protejat IPSec.

4. Software-ul Hamachi pentru VPN

Hamachi este o soluţie VPN (Virtual Private Network) la îndemâna oricui. De obicei, setarea

unei reţele VPN este destul de complicată, trebuie setat routerul, firewallul şi softwareul ce

beneficiază de reţea. Dar cu ajutorul lui Hamachi, dezvoltat de Applied Networking Inc, oricine îşi

poate seta o reţea “locală” privată pe internet.

50

Page 51: Retele Virtuale Private

Pentru a depăşi obstacolele ce apar în setarea unei conexiune VPN perfectă, Hamachi

foloseşte tehnologie peer-to-peer asemănătoare cu cea folosită pentru mesagerie instant (IM): există

un server extern care creează un director cu toţi clienţii Hamachi. Acest server autentifică utilizatorii

prin intermediul unor “chei”, chiar dacă clienţii sunt localizaţi în spatele routerelor sau firewallurilor

şi creează o conexiune securizată între clienţi.

Applied Networking precizează că odată ce serverul a stabilit conexiunea între clienţii

Hamachi, conexiunea securizată este numai între utilizatorii conectaţi, fără a exista trafic care să

treacă prin serverele Hamachi. Totuşi, serverele trimit semnale pentru a verifica dacă clienţii mai

sunt conectaţi sau nu.

Interfaţa lui Hamachi (figura 4.a)este foarte simplă, totodată uşor de folosit. Primă oară când

se rulează programul se prezintă un scurt tutorial, dar care este cam inutil pentru că există doar trei

butoane: butonul Power, cel care activează interfaţa Hamachi, butonul Network, folosit pentru

crearea sau conectarea la reţele şi butonul pentru setări, acestea din urmă fiind doar câteva.eg

Figura 4.a Interfaţa Hamachi Atunci când instalăm Hamachi, acesta adaugă o interfaţă de reţea virtuală ce permite

setarea parametrilor conexiunii separat de obişnuitele interfeţe de reţea – cu fir sau fără fir. Această

interfaţă instalată devine activă doar atunci când porneşti Hamachi.

Când se doreşte crearea unei reţele(figura 4.b), sau conectarea la o reţea deja existentă, se

dă click pe butonul de reţea şi se va cere numele reţelei şi parola pentru aceasta. În momentul când

conexiunea este stabilită, interfeţei Hamachi îi este alocat un IP separat faţă de cele pe care deja le

51

Page 52: Retele Virtuale Private

foloseşte clientul. De exemplu, reţeaua locală poate folosi IP-uri de genul 192.168.1.X, dar în

reţeaua Hamachi se alocă un IP de forma 5.38.140.Y. Acest IP este accesibil doar în reţeaua

Hamachi.3),

nouFig lansată.MPV

Figura 4.b Creare reţea

Conectarea altor computere la reţea este foarte uşoară. Tot ce trebuie făcut este să comunici

utilizatorilor numele reţelei şi parola pe care ai asociat-o.

Datorită faptului că majoritatea programelor firewall vor recunoaşte adaptorul Hamachi ca şi

o reţea separată şi vor bloca traficul, s-ar putea să fie nevoie să configurezi firewallul să permită

traficul prin interfaţă Hamachi.PN wwwdffeWEW eregdftwew

În fereastra Hamachi ne vor apărea toţi utilizatorii ce sunt membrii ai reţelei. Cei care sunt

offline vor avea numele gri. Dacă dăm click dreapta pe membrii ai reţelei vom putea da ping, trimite

mesaje, să vedem shareurile sau, dacă suntem “iniţiatorul” reţelei, să deconectăm utilizatori şi să le

blocăm accesul. (Opew vedem shareurile sau, daca suntem “initiatorul” reţelei, sa

deconectam utilizatori si sa le blocam accesul. (Opewetelei si parola pe care ai

as

52

Page 53: Retele Virtuale Private

Figura 4.c Opţiuni Hamachi M

Figura 4.d Chat Hamachi staţie care iniţiază Figura 4.e Chat Hamachi staţie apelată

Rag

ula Systems D Figura 4.f Browse staţie 5.46.33.127 evelopment

Company. Căutaţi Trademark Applications and

53

Page 54: Retele Virtuale Private

5 Open VPN

5.1 Generalitati

OpenVPN este un program VPN gratuit şi open source, pentru crearea tunelelor criptate

punct-cu-punct, între calculatoare-gazdă. A fost scris de James Zonan şi publicat sub licenţa publică

generală GNU (GPL – General Public License).

OpenVPN permite punctelor să se autentifice folosind chei secrete cunoscute anticipat, sau

nume utilizator/parolă. Foloseşte extensiv librăria de criptare OpenSSL cât şi protocolul

SSLv3/TLSv1. Este disponibil pe Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X şi

Windows 2000/XP/Vista. Conţine multe soluţii de securitate şi control. Nu este un VPN bazat pe

Internet şi nu este compatibil cu IPsec sau orice alt pachet VPN.

Tot pachetul constă într-un binar pentru conexiunile client şi server, un fişier de conexiune

opţional şi unul sau mai multe fişiere-cheie în funcţie de metoda de autentificare folosită.

OpenVPN foloseşte biblioteca OpenSSL pentru a furniza criptarea canalelor de date şi

control. Lasă OpenSSL-ului criptarea şi autentificarea, permiţând OpenVPN-ului să folosească toate

cifrele disponibile în pachetul OpenSSL. De asemenea, poate folosi funcţia de autentificare a

pachetului HMAC, pentru a adăuga un nivel suplimentar de securitate conexiunii. Poate folosi şi

accelerarea hardware pentru îmbunătăţirea performanţelor criptării.

OpenVPN are mai multe căi pentru autentificarea punctelor. Oferă autentificare cu chei

secrete cunoscute apriori, bazată pe certificate şi nume utilizator/parolă. Prima variantă este cea mai

uşoară, cea bazată pe certificate fiind cea mai robustă şi bogată în funcţii. Nume utilizator/parolă

este o funcţie nouă (versiune 2.0) care poate fi folosit cu sau fără certificare de client (serverul are

nevoie de certificat).

OpenVPN poate rula peste UDP (preferat şi prestabilit) sau TCP. Multiplexează toate

comunicaţiile printr-un singur port TCP/UDP. Are capacitatea de a lucra prin majoritatea serverelor

proxy (inclusiv HTTP) şi este adecvat lucrului prin NAT şi ieşirea prin firewall. Configuraţia de

server are abilitatea de a “pasa” clientului anumite opţiuni de configurare de reţea. Acestea includ

adrese IP, comenzi de rutare şi câteva opţiuni de conectare. OpenVPN oferă prin driverul Universal

TUN/TAP două tipuri de interfeţe pentru reţelistică. Poate crea un tunel IP bazat pe nivelul 3 (TUN)

sau un Ethernet TAP bazat pe nivelul 2 care poate purta orice tip de trafic Ethernet. Opţional,

OpenVPN poate folosi biblioteca de compresie LZO pentru a comprima fluxul de trafic. Portul 1194

este portul oficial IANA pentru OpenVPN. Noile versiuni a programului au acest port prestabilit. O

54

Page 55: Retele Virtuale Private

funcţie în versiunea 2.0 permite unui proces să administreze mai multe tuneluri simultan, faţă de

restricţia originală a versiunii 1.x de “un tunel per proces”.

Folosirea protocoalelor de reţea comune (TCP şi UDP) de către OpenVPN, o transformă într-

o alternativă dorită IPsec-ului, în situaţiile în care un ISP poate bloca anumite protocoale VPN

pentru a forţa utilizatorii să se aboneze la servicii cu preţuri mai ridicate, de “gradul business”.

OpenVPN oferă mai multe funcţii interne de securitate. Are abilitatea de a renunţa la

privilegii de bază şi de a preveni copierea datelor sensibile pe disc.

OpenVPN oferă support pentru smart card-uri prin tokenul criptografic bazat pe PKCS#11.

5.2 Rutare vs Punte de reţea

OpenVPN suportă 2 moduri diferite de interconectare a reţelelor: rutare şi poartă

Rutare se referă la interconectarea de subreţele separate şi independente. La recepţia unui

pachet un router din reţea examinează adresa ip destinaţie pentru a determina care din reţele

interconectate ar trebui să primească pachetul, după care pachetul este livrat spre reţeaua

destinaţie.

Poarta, în comparaţie cu rutare este mult mai simplu. Un bridge este o conexiune electrică

între reţele separate fizic, care au aceeaşi clasă de IP-uri Exemple de echipamente care joacă

rolul de bridge sunt hub-urile şi switch-urile. Într-un hub pachetele care sosesc pe un port

sunt comutate şi trimise pe toate celelalte porturile. Un switch este mai inteligent, deoarece

el poate să înveţe adresele MAC ataşate la porturile sale.

Alegerea modului de interconectare pentru OpenVpn

Cu toate că modul rutare este cel mai cunoscut şi cel mai simplu de configurat, suferă de

anumite limitări operaţionale. Conexiunile bazate pe poartă sunt mai greu de configurat şi nu sunt

disponibile pe toate sistemele de operare, prin urmare nu sunt tipuri de conexiuni default. Însă când

modul poartă este setat corect poate face orice,nu are limitări.

55

Page 56: Retele Virtuale Private

5.1 Modul Rutare în OpenVpn

Când placa de reţea este configurată pentru “Rutare”, acesteia i se atribuie o adresă IP în

afară clasei de IP locale şi se crează o subreţea virtuală separată pentru conectarea la calculatoarele

legate prin VPN la distanţă. Aceste calculatoare aflate la distanţă primesc adrese Ip din aceeaşi clasă

cu subreteaua nou creată,

Această subreţea virtuală trebuie să primească clasa diferită de IP-uri, faţă de cele din reţeaua

locală, astfel încât computerele care rulează OpenVpn să ştie când să direcţioneze pachetele în

reţeaua locală său spre subreteaua virtuală, prin gateway.

Fig 5.3a OpenVpn Rutare

OpenVPN în modul rutare crează o reţea privată, în care calculatoarele care fac parte din ea

comunică prin tuneluri VPN. Aceasta este o soluţie excelentă dacă utilizatorii la distanţă doresc să

comunice doar cu calculatoarele pe care rulează OpenVpn. , problema apare dacă doresc să acceseze

computere din reţeaua locală pe care nu rulează OpenVpn.

Problema apare deoarece nici un computer din reţeaua locală nu ştie despre această subreţea

virtuală care a fost creată de OpenVpn. Practic OpenVpn este “gateway” pentru reţeaua virtuală, dar

toate calculatoarele din reţeaua locală au definit deja un gateway pentru pachete cu destinaţie în altă

reţea. Astfel dacă un utilizator trimite un pachet la un utilizator OpenVpn la distanţă, maşina la

distanţă va observa că pachetul vine dintr-o reţea externă şi va direcţiona pachetele către gateway

LAN decât la maşină OpenVpn [http://www.grc.com/vpn/routing.htm].

Tehnologia reţelelor a evoluat , astfel încât reţeaua locală să fie informată de subreţeaua

virtuală creată de OpenVpn, astfele încât pachetele să se direcţioneze la maşina OpenVpn şi nu la

gateway-ul reţelei locale. Acest proces este cunoscut ca “rute statice” care se vor implementa pe

56

Page 57: Retele Virtuale Private

fiecare maşina locală, în mod manual. Însă majoritatea dispozitivelor nu au această tehincă de rutare

avansată.

Configuraţiile OpenVpn sunt folositoare dacă maşină care rulează server-ul OpenVpn este

aceeaşi cu gateway-ul reţelei locale. Atunci toate calculatoarele din LAN vor trimit pachetele la

gateway, iar Open Vpn le va trimite la utilizatorii la distanţă

5.4 Modul Poartă în OpenVPN

O soluţie superioară la “routing” este să setezi placă de reţea în configuraţie “bridging”. Cum

se observă în figura de mai jos această configuraţie are ca efect plasarea utilizatorilor la distanţă

direct în reţeaua fizică locală.

Fig 5.4a OpenVpn Poartă

Utilizatorii la distanţă primesc o adresă de IP care este în aceeaşi clasă cu adresele din

reţeaua locală. Computerul care rulează serverul OpenVpn răspunde nu doar la adresa sa de IP dar şi

la celelalte calculatoare conectate la utilizatorii VPN. Utilizatorii la distanţă practic pot să acceseze

orice resursă din LAN-ul respectiv[http://www.grc.com/vpn/routing.htm].

Un alt beneficiu important este ca în Ethernet bridging se face broadcasting ,lăsând să treacă

tot traficul, în schimb în routing se direcţionează doar traficul adresat direct, nu se face broadcast.

Routerul împarte o reţea în domenii de broadcast. În Windows "Network Neighborhood" depinde

de broadcast pentru a permite calculatoarelor locale să se găsească în reţeaua locală. Acest lucru este

important şi funcţionează perfect cu bridging, însă nu e disponibil pentru conexiuni routing.

Problema în bridging este că nu e suportat de toate sistemele de operare. Windows XP este primul

sistem de operare care suportă bridging .

)

57

Page 58: Retele Virtuale Private

1.5 Certificate de autentificare

Primul pas în stabilirea modalităţii de autentificare intru-un VPN este stabilirea infrastructurii

de chei publice şi private PKI(Public Key Infrastructure).

PKI conţine:

1. Perechea (cheie publică, cheie privată) pentru server

2. Perechea (cheie publică, cheie privată) pentru fiecare client

3. Un certificat master (CA – Certificate Authority) folosit pentru a semna fiecare certificat al

clientiilor

Se foloseşte certificare bidirecţională înainte stabilirii conexiunii şi anume Clientul/Serverul

verifică dacă certificatul celeilalte entităţi a fost semnat de certificatul master (CA).

Folosire certificatelor este o soluţie simplă şi eficientă din următoarele motive:

1. Serverul menţine doar propriul certificat

2. Sunt acceptate conexiuni care furnizează certificate semnate cu un certificat master

3. Verificarea semnăturii se face numai cu cheia publică a CA deci cheia privată poate să fie

păstrată pe alt host

4. Serverul poate restricţiona accesul pe baza unor câmpuri din certificat.

Generarea certificatului master (CA) se face prin folosirea unor utilitare distribuite împreună

cu OpenVPN – easy_rsa directory [Packt. Publishing. OpenVPN. Building.And. Integrating.

Virtual. Private. Networks pagina 109]

Se introduc datele de identificare (fişierul vars): locaţia (ţară, localitate), organizaţia şi

departamentul, adresă de mail şi se apelează utilitarului build_ca.

Pentru generarea certificatului pentru server se foloseşte utilitarul: build-key-server

build-key-server <name_server>

Pentru generarea certificatului pentru client foloseşte utilitarul: build-key / build-key-pass

build-key / build-key-pass <name_client>

Este necesară introducerea unui câmp “Common Name” care este folosit pentru eventualele

restricţionări şi trebuie să identifice în mod unic utilizatorul certificatului

După generarea certificatelor se generează parametrii Diffie-Hellman pentru schimbarea

cheilor între cele două părţi.

58

Page 59: Retele Virtuale Private

6. Aplicatie

Tunel între două calculatoare cu Win XP (OpenVPN client-server)

Dacă dorim să realizăm un tunel între două calculatoare pe care este instalat Microsot

Windows XP situate în locaţii diferite şi ambele au acces la internet putem să folosim OpenVPN

( http://www.openvpn.net ).

Unul dintre sisteme va fi configurat cu rol de server, celălalt cu rol de client. Primul lucru pe

care trebuie să îl facem este să descărcăm OpenVPN-Windows Installer de la adresa

http://openvpn.net/release/openvpn-2.0.9-install.exe şi să îl instalăm pe cele două sisteme în

directorul C:\Program Files\OpenVPN. Pentru server am folosit un calculator cu ip public

81.181.101.55, iar tunelul vpn are drept capăt de conexiune pe server ip-ul 10.8.0.1. Clientul este

configurat pe un laptop şi are drept capăt de conexiune pentru tunel vpn cu ip-ul 10.8.0.2.

Configurare server

Pe sistemul server mergem în Start -> Run , scriem CMD şi dăm enter. În fereastra care se

deschide tastăm:

cd C:\Program Files\OpenVPN\easy-rsa

copy vars.bat.sample vars.bat

Edităm apoi vars.bat cu comanda edit vars.bat şi modificăm parametrii după nevoile noastre.

Să presupunem că avem în vars.bat următoarele:

@echo off

set HOME=%ProgramFiles%\OpenVPN\easy-rsa

set KEY_CONFIG=openssl.cnf

set KEY_DIR=keys

set KEY_SIZE=1024

set KEY_COUNTRY=RO

set KEY_PROVINCE=RO

set KEY_CITY=Timişoara

59

Page 60: Retele Virtuale Private

set KEY_ORG=Jurca Mihaela

set [email protected]

Copiem fişierul openssl.cnf.sample în openssl.cnf cu comanda:

copy openssl.cnf.sample openssl.cnf

Rulăm următoarele comenzi:

vars

clean-all

build-ca

Urmează generarea certificatului şi a unei chei private pentru server:

build-key-server server

Generăm cartificatele şi cheia pentru client:

build-key client

Este important ca Common Name pentru client să fie diferit de Common Name pentru

server.

Generăm parametrii Diffie Hellman :

build-dh

În directorul C:\Program Files\OpenVPN\config facem un fişier server.ovpn în care scriem:

mode server

port 1194

proto udp

dev tun

ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"

cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"

key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key"

dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"

tls-server

ifconfig 10.8.0.1 10.8.0.2

60

Page 61: Retele Virtuale Private

ifconfig-pool 10.8.0.3 10.8.0.5 # IP range clients

ifconfig-pool-persist ipp.txt

keepalive 10 120

comp-lzo

persist-key

persist-tun

status openvpn-status.log

verb 3

mute 20

Putem să pornim OpenVPN cu această configuraţie dacă dăm click dreaptă din explorer pe

fişierul server.ovpn şi alegem opţiunea Start OpenVPN on this config file sau îl putem porni ca şi

serviciu din Start -> Control Panel -> Administrativ Tools -> Serices -> OpenVPN Service unde

dăm start sau putem seta pe Automatic la Startup Type pentru a fi pornit o dată cu sistemul de

operare.

Configurare client

Pe sistemul client trebuie să mergem în directorul C:\Program Files\OpenVPN\easy-rsa şi să

creăm directorul keys în care copiem de pe server fişierele:

ca.crt

client.crt

client.key

În directorul C:\Program Files\OpenVPN\config facem un fişier client.ovpn în care scriem:

client

dev tun

proto udp

remote 81.181.101.55 1194 # ip server

resolv-retry infinite

nobind

61

Page 62: Retele Virtuale Private

persist-key

persist-tun

ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"

cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.crt"

key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\client.key"

comp-lzo .

verb 3

Putem să pornim OpenVPN cu această configuraţie dacă dăm click dreaptă din explorer pe

fişierul client.ovpn şi alegem opţiunea Start OpenVPN on this config file sau îl putem porni ca şi

serviciu din Start -> Control Panel -> Administrativ Tools -> Serices -> OpenVPN Service unde

dăm start sau putem seta pe Automatic la Startup Type pentru a fi pornit o dată cu sistemul de

operare

Testare conexiune

După ce am pornit atât serverul cât şi clientul ( fără a avea un mesaj de eroare ) putem să

verificăm funcţionalitatea tunelului creat. Astfel, pe server mergem în Start - Run şi tastăm CMD. În

fereastră deschisă introducem comanda:

Ipconfig

Vom obţine mai multe informaţii printre care vom regăsi şi cele din figura 6a

Figura 6a Ipconfig pe server

62

Page 63: Retele Virtuale Private

Pe sistemul configurat ca şi client la comanda ipconfig obţinem informaţiile din figura 6b

Figura 6b Ipconfig client

Conexiunea între cele două sisteme o putem verifica cu utilitarul ping.

De pe sistemul configurat ca şi server, care are ip-ul 10.8.0.1 vom da ping in 10.8.0.2 (client)

( figura 6c)

Figura 6c Ping la client

De pe sistemul configurat ca şi client, care are ip-ul 10.8.0.2 vom da ping in 10.8.0.1 (server)

(figura 6d)

Figura 6d Ping la server

63

Page 64: Retele Virtuale Private

Pentru testarea conexiunii am partajat pe server câteva documente pe care o să le accesăm

din client, cu ajutorul programului total commander(figura 6e si figura 6f).

Figura 6e Browse la server

Figura 6f Browse la server

64

Page 65: Retele Virtuale Private

7. Concluzii

VPN poate oferi câteva avantaje mari faţă de accesul de la distanţă tradiţional şi liniile

dedicate. Cu dinamismul organizaţiilor din zilele noastre, utilizatorii de la distanţă şi birourile se pot

schimba foarte rapid informaţii. În loc să investească în porturi RAS (Remote Access Services) şi

linii dedicate (de ex. ISDN sau circuite frame relay) scumpe, o companie poate să-şi crească lăţimea

de bandă a conexiunii corporative la Internet şi să suporte în mod dinamic servere şi clienţi VPN în

funcţie de nevoie. Deşi nu este soluţia ideală în fiecare caz, VPN permite firmelor să stabilească mai

rapid şi mai fluid un acces de la distanţă când apare o nouă nevoie. Permite, de asemenea, folosirea

mai bună a resurselor, din moment ce utilizatori au conexiuni diferite se pot conecta la momente

diferite, împărţind mai degrabă aceaşi infrastructură, în loc să necesite infrastructuri separate. Şi

toate astea conduc la economisiri serioase de bani.

Cea mai importantă parte a unei soluţii VPN este securitatea. Faptul că prin natura lor, prin

VPN-uri se transmit date private prin reţele publice, ridică dubii cu privire la securitatea acestor date

si impactul pierderii datelor. Atributele sunt: autentificare, criptare – confidenţialitate, integritatea

datelor), non-repudiere - acest serviciu ar oferi dovezi de nefalsificare, justifică faptul că o anumită

acţiune a avut loc. Non repudierea originii înseamnă că datele au fost trimise si non repudierea

primirii dovedeste că datele au fost recepţionate.

Beneficiile serviciilor oferite prin VPN sunt:

-Convergenţa serviciilor voce, video, date se realizează cu costuri mici;

-Accesarea securizată de la distanţă a resurselor companiei;

-Costuri predictibile şi uşor de bugetat, independente de trafic;

-Posibilitatea de transfer any-to-any pentru aplicaţii de date-voce-video;

-Suport fiabil pentru integrarea LAN-urilor;

-Securitatea transmisiei datelor;

-Rată de transfer constantă, garantată tehnologic;

Pe lângă aceste beneficii, mai pot adăuga câteva din experienţă proprie şi anume de obicei

furnizorii de internet filtrează porturile dedicate pentru file-sharing pe Windows ( 135, 139, 445)

pentru a preveni propagarea de viermi. Deci nu se vor putea accesa fişierele de pe un anumit server

din afara reţelei providerului, sau dintr-un alt oraş. Ca soluţie se realizează vpn şi astfel se asigură

conexiunea directă cu serverul şi controlul traficului permis.

65

Page 66: Retele Virtuale Private

Limitarile unui VPN

În ciuda popularităţii, VPN-urile nu sunt perfecte şi există limitări, cum se întâmplă în cazul

fiecărei tehnologii. Organizaţiile trebuie să ia în considerare următoarele, la desfăşurarea şi folosirea

unei reţele virtuale private, în operaţuinile lor:

1. VPN necesită înţelegerea detaliată a problemelor de securitate de reţea şi

instalarea/configurarea atentă, pentru a asigura protecţie suficientă într-o reţea publică cum este

Internetul.

2. Fiabilitatea şi performanţa unui VPN bazat pe Internet nu este sub controlul direct al unei

organizaţii. În schimb, soluţia se bizuie pe un ISP şi pe calitatea serviciilor lui.

3. De-a lungul timpului, produsele şi soluţiile VPN ale diferiţilor furnizori nu au fost

întotdeauna compatibile, datorită problemelor legate de standardele tehnologiilor VPN. Încercarea

de a amesteca şi potrivi echipamentele, ar putea cauza probleme tehnice, iar utilizarea

echipamentelor unui singur furnizor ar putea să nu ofere o economisire mare de bani.

Specificaţiile pentru reţeaua VPN au la bază principiul flexibilităţii maxime si realizarea cât

mai rapidă. În acest scop se au în vedere implementarea a două soluţii:

• soluţie bazată pe circuite virtuale PPTP, uşor de pus în funcţiune şi de utilizat, dar limitată

la SO Windows si cu securitate mai redusă, dar acceptabilă,

• evoluţia, în măsura posibilităţilor, către o soluţie mult mai performantă bazată pe o „reţea

virtuală OpenVPN”.

OpenVPN este o reţea privată virtuală (VPN) conformă protocolului de criptografie Secure

Sockets Layer (SSL) care asigură comunicaţii sigure pe Internet, permite metode de autentificare

flexibile ale clienţilor bazate pe certificate şi permite politici de control a accesului utilizatorilor

folosind reguli de firewall aplicate interfeţei VPN virtuale. OpenVPN 2.0 extinde posibilităţile

OpenVPN 1.0 oferind un mod scalabil client/server care permite mai multor clienţi să se conecteze

la un singur proces server OpenVPN printr-un singur port TCP sau UDP.

Consider că folosirea programului OpenVpn este foarte utilă şi avantajoasă pentru

construirea unei reţele virtuale private deoarece în primul rând este free şi open source, nu e

necesară folosirea unui dispozitiv Cisco care realizează aceeaşi funcţie sau cumpărarea unui soft

foarte scump. În plus se bazează pe protocolul de criptografie Secure Sockets Layer (SSL) care

asigură securitate ridicată. Din punctul meu de vedere open source are un singur dezavantaj, într-un

66

Page 67: Retele Virtuale Private

mediu bussiness trebuie să existe un administrator competent care să aibă cunoştiinţe de configurare

solide. În schimb la vpn-ul nativ din windows(server) sau alte dispozitive de bussines ( cisco) există

suport tehnic, dar în schimb costă mult. Consider că o companie large bussiness nu va merge pe

open source pentru că vrea suport asigurat.

Softul Hamachi, pe care l-am studiat în proiectul meu de diplomă este după părerea mea, un

program util doar pentru începătorii care nu ştiu să îşi configureze şi să îşi administreze singuri un

VPN. Interfaţă lui Hamachi este foarte simplă, totodată uşor de folosit. Primă oară când se rulează

programul se prezintă un scurt tutorial, dar care este cam inutil pentru că există doar trei butoane:

butonul Power, cel care activează interfaţă Hamachi, butonul Network, folosit pentru crearea sau

conectarea la reţele şi butonul pentru setări, acestea din urmă fiind doar câteva. O reţea virtuală

creată cu "Hamachi" este de dorit pentru fanii unor jocuri online, care sunt despărţiţi de distanţe

mari. Acest program îi ajută să creeze reţele LAN virtuale prin internet. Aceştia se pot bucura de

multe facilităţi incluse în această nouă versiune oferită complet gratuit de autorul cu acelaşi nume.

Acest soft prezintă şi unele dezavantaje cum ar fi limitarea numărului de utilizatori într-o reţea la 16

si de asemena limitări legate de viteza server-ului.

VPN este o tehnologie emergentă care a străbătut un drum lung. De la începutul nesigur al

reţelelor de telefonie publică, la un ajutor puternic de afaceri, care foloseşte Internetul ca poartă de

ieşire. Tehnologia VPN încă se dezvoltă şi asta este un mare avantaj pentru afaceri care au nevoie de

tehnologie care să evolueze odată cu ele. Cu VPN, firmele pot să ofere angajaţilor beneficii

alternative: angajaţii pot lucra de acasă, pot avea grijă de copii în timp ce sunt în continuare

productivi şi au acces oricând la informaţii legate de afacere. VPN va ajută ca posibilitatea extinderii

serviciilor unei afaceri la distanţe lungi şi chiar global, să devină o realitate.

67

Page 68: Retele Virtuale Private

Bibliografie

Charlie Scott, Paul Wolfe, Mike Erwin, Virtual Private Networks, Second Edition, January 1999

Eric Greenberg, Network Application Frameworks, Virtual Private Networks (VPNs), 1999

NETGEAR - VPN Concepts, Tips, and Techniques – TechNote, 2003

Andrew S. Tanenbaum ,Tanenbaum - Reţele de Calculatoare, 4th Ed. , Romanian, 2004

Markus Feilner, OpenVpn, April 2006

Juniper Networks, Inc. - VPN Decision Guide - White Paper, 2007

VPN Tutorial http://compnetworking.about.com/od/vpn/a/vpn_tutorial.htm

Hamachi http://en.wikipedia.org/wiki/Hamachi

Windows XP VPN Server Setup http://www.aeonity.com/frost/howto-windows-xp-vpn-server-setup

OpenVpn download http://openvpn.se/download.html

OpenVpn configurare http://www.informit.com/articles/article.aspx?p=605499&seqNum=2

OpenVpn configurare http://techgurulive.com/2008/08/19/how-to-install-openvpn/

"Routing" –versus– "Bridging" http://www.grc.com/vpn/routing.htm

Reţele virtuale private http://www.chip.ro/revista/iulie_2000/47/reţele_virtuale_private_-_ii/8247

VPN http://www.networkworld.ro/?page=node&id=15227

VPN pe Wikipedia http://en.wikipedia.org/wiki/Virtual_private_network

VPN la Universitatea Emory, Atlanta, GA - http://www.emory.edu/BUSINESS/et/P98/vpn/

Implement a free VPN with OpenVPN http://articles.techrepublic.com.com/5100-22_11

5687400.html

68

Page 69: Retele Virtuale Private

Anexa1-Abrevieri

AH Authentication HeaderAPI Application Programming InterfaceAPN Actual Private NetworkATM Asynchronous Transfer ModeBGP Border Gateway ProtocolBGP-MP BGP Multiprotocol Extensions BSD Berkeley Software DistributionCE Customer Edge DeviceCPE Customer Premise Equipment CRM Customer Relationship ManagementDES Data Encryption StandardDS Differentiated ServicesEAP Extensible Authentication Protocol ERP Enterprise Resource PlanningESP Encapsulating Security PayloadFEP Front End Processor FTP File Transfer Protocol GPL General Public LicenseGRE Generic Routing EncapsulationHMAC Hash Message Authentication CodeHTTP Hypertext Transfer ProtocolHTTPS HTTP over SSLIETF Internet Engineering Task ForceIKE Internet Key ExchangeIP Internet ProtocolIPLS IP-Only LAN-Like ServiceIPsec IP SecurityIPX Internetwork Packet ExchangeISL Inter-Switch Link ISP Internet Service ProviderL2F Layer 2 ForwardingL2TP Layer 2 Tunneling ProtocolL2TPv3 Layer 2 Tunneling Protocol version 3LAC L2TP Access ConcentratorLAN Local Area NetworkLANE ATM LAN EmulationLNS L2TP Network ServerLSR Label Switched Routers MPLS Multiprotocol Label Switching ProtocolMPPC Microsoft Point-to-Point Compression MPPE Microsoft Point-to-Point Encryption MPVPN Multi Path Virtual Private NetworkNAS Network Access Server

69

Page 70: Retele Virtuale Private

NAT Network Address TranslatorNAT-T NAT Traversal NCP Network Control Protocol OSI Open Systems InterconnectionOSPF Open Shortest Path FirstP Provider Core DevicePE Provider Edge DevicePPP Point-to-Point ProtocolPPTP Point-to-Point Tunneling ProtocolPPVPN Provider-Provisioned VPNPW Pseudo WireQoS Quality of ServiceRAS Remote Access ServicesRD Route DistinguisherRFC Request for CommentsRIP Routing Information ProtocolRSVP ReSerVation ProtocolSADB Security Association DatabaseSLA Service Level AgreementSNA System Network ArchitectureSPI Security Parameter IndexSSH Secure ShellSSL Secure Sockets LayerTAP Test Access PortTCP Transmission Control ProtocolTLS Transport Layer SecurityTOS Type Of ServiceUDP User Datagram ProtocolVPLS Virtual Private Line ServicesVPLS Virtual Private LAN ServiceVPN Virtual Private NetworkVPNC Virtual Private Network ConsortiumVPN-Q VPN QuarantineVPWS Virtual Private Wire ServicesVRF VPN Routing and ForwardingWAN Wide Area NetworkWDM Wavelength-Division Multiplexing

70