Retele VPN Protocolul IPSec

  • View
    648

  • Download
    6

Embed Size (px)

Text of Retele VPN Protocolul IPSec

REELE VIRTUALE PRIVATE Standardul IPSec

ndrumtor: Prof.Dr.Victor-Valeriu PATRICIU

Autori: Slt. Voicea Sergiu Slt. Constantin Marian

2006

Cuprins:1. Introducere .......................................................................................... - 3 2. Tipuri de VPN. Utilizri ale VPN-urilor ................................................. - 5 3. Cerine de baz pentru VPN-uri .......................................................... - 8 4. Soluii pentru implementarea VPN ...................................................... - 9 5. Metode de transmisie prin VPN .......................................................... - 10 6. Componente VPN ............................................................................... - 10 7. Protocoale de tunelare ........................................................................ - 14 8. Securitatea VPN .................................................................................. - 16 9. Standardizarea reelelor VPN Standardul IPSec .............................. - 18 10. Principalele avantaje ale reelelor virtuale private .............................. - 23 Bibliografie ................................................................................................ - 25 -

-2-

1.

Introducere

O Reea Privat Virtual (VPN - Virtual Private Network) conecteaz componentele i resursele unei reele private prin intermediul unei reele publice. Altfel spus, o reea virtual privat este o reea a companiei implementat pe o infrastructur comun, folosind aceleai politici de securitate, management i performan care se aplic de obicei ntr-o reea privat. Practic, tehnologia reelelor private virtuale permite unei firme s-i extind prin Internet, n condiii de maxim securitate, serviciile de reea la distan oferite utilizatorilor, reprezentanelor sau companiilor partenere. Avantajul este evident: crearea unei legturi de comunicaie rapid, ieftin i sigur. Tehnologiile VPN ofer o cale de a folosi infrastructurile reelelor publice cum ar fi Internetul pentru a asigura acces securizat i privat la aplicaii i resurse ale companiei pentru angajaii din birourile aflate la distan sau cei care lucreaz de acas, pentru partenerii de afaceri i chiar pentru clieni.

Figura 1. VPN (Reea Privat Virtual)

O reea VPN poate fi realizat pe diverse reele de transport deja existente: Internetul public, reeaua furnizorului de servicii IP, reele Frame Relay i ATM. Astzi, tot mai multe VPN-uri sunt bazate pe reele IP. Tehnologia VPN folosete o combinaie de tunneling, criptare, autentificare i mecanisme i servicii de control al accesului, folosite pentru a transporta traficul pe Internet, o reea IP administrat, sau reeaua unui furnizor de servicii.

Cum funcioneaz VPN ?

VPN permite utilizatorilor s comunice printr-un tunel prin Internet sau o alt reea public n aa fel nct participanii la tunel s se bucure de aceeai securitate i posibiliti puse la dispoziie numai n reelele private.-3-

Pentru a utiliza Internetul ca o reea privat virtual, de tip WAN (Wide Area Network), trebuie depite dou obstacole principale. Primul apare din cauza diversitii de protocoale prin care comunic reelele, cum ar fi IPX sau NetBEUI, n timp ce Internetul poate nelege numai traficul de tip IP. Astfel, VPN-urile trebuie s gseasc un mijloc prin care s transmit protocoale non-IP de la o reea la alta.Cnd un dispozitiv VPN primete o instruciune de transmitere a unui pachet prin Internet, negociaz o schem de criptare cu un dispozitiv VPN similar din reeaua destinaie Datele n format IPX/PPP sunt trecute n format IP pentru a putea fi transportate prin reeaua mondial. Al doilea obstacol este datorat faptului c pachetele de date prin Internet sunt transportate n format text. n consecin, oricine poate vedea traficul poate s i citeasc datele coninute n pachete. Aceasta este cu adevrat o problem n cazul firmelor care vor s comunice informaii confideniale i, n acelai timp, s foloseasc Internetul. Soluia la aceste probleme a permis apariia VPN i a fost denumit tunneling. n loc de pachete lansate ntr-un mediu care nu ofer protecie, datele sunt mai nti criptate, apoi ncapsulate n pachete de tip IP i trimise printr-un tunel virtual prin Internet. Din perspectiva utilizatorului, VPN este o conexiune punct-la-punct ntre calculatorul propriu i serverul corporaiei (figura 2).

Figura 2. Reea Privat Virtual - Echivalent logic

Confidenialitatea informaiei de firm care circul prin VPN este asigurat prin criptarea datelor. n trecut, reelele private erau create folosind linii de comunicaie nchiriate ntre sedii. Pentru a extinde acest concept la Internet, unde traficul mai multor utilizatori trece prin aceeai conexiune, au fost propuse o serie de protocoale pentru a crea tuneluri. Tunelarea permite expeditorului s ncapsuleze datele n pachete IP care ascund infrastructura de rutare i comutare a Internetului la ambele capete de comunicaie. n acelai timp, aceste pachete ncapsulate pot fi protejate mpotriva citirii sau alterrii prin diverse tehnici de criptare.-4-

Tunelurile poat avea dou feluri de puncte terminale, fie un calculator individual, fie o reea LAN cu un gateway de securitate - poate fi un ruter sau un firewall. Orice combinaie a acestor dou tipuri de puncte terminale poate fi folosit la proiectarea unei reele VPN. n cazul tunelrii LAN-to-LAN, gateway-ul de securitate al fiecrui punct terminal servete drept interfa ntre tunel i reeaua privat LAN. n astfel de cazuri, utilizatorii ficecrui LAN pot folosi tunelul n mod transparent pentru a comunica unii cu alii. Cazul tunelului client-to-LAN, este cel stabilit de regul pentru utilizatorul mobil care dorete s se conecteze la reeaua local a firmei. Pentru a comunica cu reeaua de firm, clientul (utilizatorul mobil), iniiaz crearea tunelului. Pentru aceasta, clientul ruleaz un software client special, care comunic cu gateway-ul de protecie al reelei LAN.

De ce VPN-uri?Mediul de afaceri este n continu schimbare, multe companii ndreptndu-i atenia spre piaa global. Aceste firme devin regionale, multinaionale i toate au nevoie stringent de un lucru: o comunicaie rapid, fiabil i sigur ntre sediul central, filiale, birouri i punctele de lucru, adic de o reea WAN (de arie larg). O reea WAN tradiional presupune nchirierea unor linii de comunicaie, de la cele ISDN (128/256Kbps) la cele de fibr optic OC-3 (155 Mbps) care s acopere aria geografic necesar. O astfel de reea are avantaje clare fa de una public, cum este Internetul, cnd vine vorba de fiabilitate, performan i securitate. Dar deinerea unei reele WAN cu linii nchiriate este de-a dreptul scump, proporional cu aria geografic acoperit. O dat cu creterea popularitii Internetului, companiile au nceput s i extind propriile reele. La nceput au aprut intraneturile, care sunt situri protejate prin parol, destinate angajailor companiei. Acum, multe firme i-au creat propriile VPN-uri pentru a veni n ntmpinarea cerinelor angajailor i oficiilor de la distan. Un VPN poate aduce multe beneficii companiei: extinde aria geografic de conectivitate, sporete securitatea, reduce costurile operaionale, crete productivitatea, simplific topologia reelei, ofer oportuniti de lucru ntr-o reea global, asigur suport pentru tendina afacerilor spre operare de la distan, operaii distribuite global i operaii de parteneriat foarte interdependente, n care lucrtorii trebuie s se poate conecta la resursele centrale, s comunice unul cu altul, iar firmele trebuie s-i administreze eficient stocurile pentru un ciclu de producie scurt.

2.

Tipuri de VPN. Utilizri ale VPN-urilor

La ora actul exist 3 tipuri principale de VPN-uri:-5-

- VPN-urile cu acces de la distan (Remote Access VPN) permit utilizatorilor dial-up s se conecteze securizat la un site central printr-o reea public. Acestea mai sunt numite i "dial" VPN-uri. - VPN-urile intranet (Intranet VPN) permit extinderea reelelor private prin Internet sau alt serviciu de reea public ntr-o manier securizat. Acestea sunt denumite i VPN-uri "site-to-site" sau "LAN-to-LAN". - VPN-urile extranet (Extranet VPN) permit conexiuni securizate ntre partenerii de afaceri, furnizori i clieni, n general n scopul realizrii comerului electronic. VPN-urile extranet sunt o extensie a VPN-urilor intranet la care se adaug firewall-uri pentru protecia reelei interne.

Figura 3. Tipuri de VPN

Toate aceste reele virtuale private au rolul de a oferi fiabilitatea, performana i securitatea mediilor WAN tradiionale, dar cu costuri mai sczute i conexiuni ISP (Internet Service Provider) mult mai flexibile. Tehnologia VPN poate fi folosit i ntr-un intranet pentru a asigura securitatea i controlul accesului la informaii, resurse sau sisteme vitale. De exemplu, se poate limita accesul anumitor utilizatori la sistemele financiare din companie sau se pot trimite informaii confideniale n manier securizat.

Remote Access VPN permite conectarea individual (utilizatori

mobili) sau a unor birouri la sediul central al unei firme, aceasta realizndu-se n cele mai sigure condiii.

-6-

Figura 4. Remote Access VPN

Exist dou tipuri de conexini VPN de acest fel: 1) Conexiune iniiat de client - Clienii care vor s se conecteze la site-ul firmei trebuie s aib instalat un client de VPN, acesta asigurndu-le criptarea datelor ntre computerul lor i sediul ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea n mod criptat, n concluzie ntregul circuit al informaiei se face n mod criptat. Trebuie precizat c n cazul acestui tip de VPN sunt folosii o multitudine de clieni de VPN. Un exemplu este Cisco Secure VPN dar i Windows NT sau 2000 au integrat clieni de VPN. Figura 5 schematizeaz acest tip de Access VPN :

Figura 5. Acces de la distan iniiat de client

Access VPN iniiat de serverul de acces acest tip de coonexiune este ceva mai simpl pentru c nu implic folosi

Search related