Retele VPN.doc

Memoriu justificativ

Dezvoltarea extraordinară pe care a cunoscut-o industria calculatoarelor a fost însoţită pas cu pas de apariţia şi extinderea reţelelor. În aproximativ 30 de ani realizările sunt uimitoare: calculatoarele au dimensiuni reduse şi performanţe greu de bănuit cu ani în urmă, iar reţelele, după ani de încercări în care s-au elaborat diverse modele, standarde, în care s-au experimentat diverse proiecte care au dispărut sau care s-au unificat se prezintă astăzi într-o formă destul de avansată. Totodată, a crescut numărul aplicaţiilor care necesită o reţea de calculatoare.Tehnologia reţelelor virtuale (Virtual Private Network) a apărut ca o soluţie prin care se asigura confidentialitatea datelor vehiculate printr-un mediu public precum Internet-ul.Motivaţia de bază pentru construirea unui VPN este reducerea costurilor legate de comunicaţii. Pentru că este mult mai ieftin să se folosească o singură legătură fizică comună pentru servirea mai multor clienţi din reţea decât să se utilizeze legături separate pentru fiecare client din reţeaua privată. Reţelele virtuale private reprezintă un mod de a conecta locaţii aflate la distanţă (filiale, utilizatori mobili, clienţi, furnizori etc.) într-o unică reţea virtuală, asigurându-se mecanisme de securitate.Tema acestei lucrări o constituie proiectarea unei aplicaţii VPN care să deservească o firmă de transpot cu un sediu central în Bucureşti şi trei filiale în ţară(Piteşti, Iaşi, Timişoara).Zilnic, filiale din ţara trebuie să trimită date către sediul central.Pentru a putea face acest lucru, există două posibilităţi: fie se creează un Intranet cu toate locaţiile pe baza unei conexiuni permanente (linii inchiriate) între sediul central şi restul locaţiilor, fie se optează pentru o soluţie de tip VPN. Prima variantă implică costuri foarte mari(menţinerea unei conexiuni permanente este foarte scumpă).Astfel se optează pentru o soluţie VPN. Soluţia optimă pentru firma noastra de transport o reprezintă o aplicaţie VPN de tipul “Acces de la distanţă-Remote Access”.Va exista un server VPN la sediul central, iar clienţii se vor conecta prin linie telefonică(dial-up) de câte ori este nevoie la un furnizor local de servicii Internet şi astfel vor accesa reţeaua publică Internet. Pe baza acestei conexiuni, clientul VPN va iniţia un “tunel” între el şi serverul VPN, realizându-se astfel un transfer de date securizat.

1

Capitolul 1 Elemente fundamentale despre interconectarea calculatoarelor

CAPITOLUL 1-ELEMENTE FUNDAMENTALE DESPRE INTERCONECTAREA CALCULATOARELOR

1.1 Modelul de referinţă OSIModelul de referinţa OSI se bazează pe o propunere dezvoltată de către Organizaţia Internaţională de Standardizare (International Standards Organization - OSI) ca un prim pas către standardizarea internaţională a protocoalelor folosite pe diferite niveluri (Day şi Zimmerman, 1983). Modelul se numeşte ISO OSI (Open Systems Interconection - Interconectarea sistemelor deschise), pentru că el se ocupă de conectarea sistemelor deschise - adică de sisteme deschise comunicării cu alte sisteme.Modelul OSI cuprinde şapte niveluri. Principiile aplicate pentru a se ajunge la cele şapte niveluri sunt următoarele:

Un nivel trebuie creat atunci când este nevoie de un nivel de abstractizare diferit.

Fiecare nivel trebuie să îndeplinească un rol bine definit.

Funcţia fiecărui nivel trebuie aleasă acordându-se atenţie definirii, de protocoale standardizate pe plan internaţional.

Delimitarea nivelurilor trebuie făcută astfel încât să se minimizeze fluxul de informaţii prin interfeţe.

Numărul de niveluri trebuie să fie suficient de mare pentru a nu fi nevoie să se introducă în acelaşi nivel funcţii diferite şi suficient de mic pentru ca arhitectura să rămână funcţională.

2


Fig. 1.1 Modelul OSI

Modelul OSI nu reprezintă în şine o arhitectură de reţea, pentru că nu specifică serviciile şi protocoalele utilizate la fiecare nivel. ISO a produs de asemenea, standarde pentru fiecare nivel, însă aceste standarde nu fac parte din modelul de referinţă propriu-zis. Fiecare din standardele respective a fost publicat ca un standard internaţional separat.Trei concepte sunt esenţiale pentru modelul OSI: ServiciiInterfeţe ProtocoaleProbabil că cea mai mare contribuţie a modelului OSI este că a făcut explicită diferenţa între aceste trei concepte. Fiecare nivel realizează nişte servicii pentru nivelul şituat deasupra sa. Definiţia serviciului spune ce face nivelul, nu cum îl folosesc entităţile de deasupra sa sau cum funcţionează nivelul.Interfaţa unui nivel spune proceselor aflate deasupra sa cum să facă accesul. Interfaţa precizează ce reprezintă parametrii şi ce rezultat se obţine. Nici interfaţa nu spune nimic despre funcţionarea internă a nivelului.Protocoalele pereche folosite într-un nivel reprezintă problema personală a nivelului. Nivelul poate folosi orice protocol doreşte, cu condiţia ca acesta să funcţioneze (adică să îndeplinească serviciul oferit). Nivelul poate de asemenea să schimbe protocoalele după cum vrea, fără ca acest lucru să afecteze programele din nivelurile superioare.

3


Modelul de referinţă OSI a fost conceput înainte să fi inventate protocoalele. Ordinea respectivă semnifică faptul că modelul nu a fost orientat către un set specific de protocoale, fiind prin urmare destul de general. Reversul este că proiectanţii nu au avut multă experienţă în ceea ce priveşte acest subiect şi nu au avut o idee coerentă despre împărţirea funcţiilor pe niveluri.De exemplu, nivelul legătură de date se ocupa iniţial numai cu reţelele punct-la-punct. Atunci când au apărut reţelele cu difuzare a trebuit să fie introdus în model un subnivel nou. Când au început să se construiască reţele reale utilizând modelul OSI şi protocoalele existente, s-a descoperit că acestea nu se potriveau cu specificaţiile serviciului cerut astfel că a trebuit introdusă în model convergenţa subnivelurilor, ca să existe un loc pentru a glosa pe marginea diferenţelor. Comitetul se aştepta iniţial ca fiecare ţară să aibă câte o reţea care să fie în custodia guvernului şi să folosească protocoalele OSI, aşa că nu s-a dat nici o atenţie interconectării.

1.2 Prezentarea nivelelor

Nivelul fizic

Nivelul fizic se ocupă de transmiterea biţilor printr-un canal de comunicaţie. Proiectarea trebuie să garanteze că atunci când unul din capete transmite un bit 1, acesta este receptat în cealaltă parte ca un bit l, nu ca un bit 0. Problemele tipice se referă la câţi volţi trebuie utilizaţi pentru a reprezenta un 1 şi câţi pentru un 0, dacă transmisia poate avea loc şimultan în ambele sensuri, cum este stabilită conexiunea iniţială şi cum este întreruptă când au terminat de comunicat ambele părţi, câţi pini are conectorul de reţea şi la ce foloseşte fiecare pin. Aceste aspecte de proiectare au o legătură strânsă cu interfeţele mecanice, electrice, funcţionale şi procedurale, ca şi cu mediul de transmisie şituat sub nivelul fizic.

Nivelul legătură de date

Sarcina principală a nivelului legătură de date este de a transforma un mijloc oarecare de transmisie într-o linie care să fie disponibilă nivelului reţea fără erori de transmisie nedetectate. Nivelul legătură de date realizează această sarcină obligând emiţătorul să descompună datele de intrare în cadre de date (în mod tipic câteva sute sau câteva mii de octeţi), să transmită cadrele secvenţial şi să prelucreze cadrele de confirmare trimise înapoi de receptor.Deoarece nivelul fizic nu face decât să accepte şi să transmită un flux de biţi, fără să se preocupe de semnificaţia; sau de structura lor, responsabilitatea pentru marcarea şi recunoaşterea delimitatorilor între cadre îi revine nivelului legătură de date. Aceasta se poate realiza prin ataşarea unor şabloane speciale de biţi la începutul şi la sfârşitul cadrului. În cazul în care şabloanele speciale de biţi pot apărea accidental în datele propriu-zise, trebuie luate măsuri speciale de precauţie pentru ca aceste şabloane să nu fie incorect interpretate ca delimitatori de cadre.Un zgomot apărut pe linie poate distruge un cadru în întregime. În acest caz, programele nivelului legătură de date de pe maşina sursă pot să retransmită cadrul. Transmiterile multiple ale aceluiaşi cadru introduc posibilitatea cadrelor duplicate. Un cadru duplicat

4


poate apărea la transmisie în şituaţia în care s-au pierdut cadrele de confirmare trimise de către receptor înapoi către emiţător. Rezolvarea problemelor datorate cadrelor deteriorate, pierdute sau duplicate cade în sarcina nivelului legătură de date. Acesta poate oferi nivelului reţea câteva clase de servicii diferite, fiecare de o calitate şi un preţ diferit.O altă problemă care apare la nivelul legătură de date (şi, de asemenea la majoritatea nivelurilor superioare) este evitarea inundării unui receptor lent cu date provenite de la un emiţător rapid. În acest scop sunt necesare mecanisme de reglare a traficului care să permită emiţătorului să afle cât spaţiu tampon deţine receptorul la momentul curent. Controlul traficului şi tratarea erorilor sunt deseori integrate.Dacă linia poate fi folosită pentru a transmite date în ambele sensuri, atunci apare o nouă complicaţie care trebuie rezolvată de către programele de la nivelul legătură de date: Problema se referă la. concurenţa care există pentru utilizarea liniei între cadrele de confirmate pentru traficul de la A la B şi cadrele de date din traficul de la B la A. Pentru rezolvarea ei a fost concepută o soluţie inteligentă - ataşarea.Reţelele cu difuzare determină în nivelul legătură de date o problemă. suplimentară: cum să fie controlat accesul la canalul partajat. De această problemă se ocupă un subnivel special al nivelului legătură de date, şi anume subnivelul de acces la mediu.

Nivelul reţea

Nivelul reţea se ocupă de controlul funcţionării subreţelei. O problemă cheie în proiectare este determinarea modului în care pachetele sunt dirijate de la sursă la destinaţie. Dirijarea se poate baza pe tabele statistice care sunt "cablate" intern în reţea şi care sunt schimbate rar. Traseele pot fi de asemenea stabilite la începutul fiecărei conversaţii, de exemplu la începutul unei seşiuni la terminal. Dirijarea poate fi foarte dinamică, traseele determinându-se pentru fiecare pachet în concordanţă. cu traficul curent din reţea.Dacă în subreţea există prea multe pachete şimultan, ele vor intra unul pe traseul celuilalt şi astfel se vor produce gâtuiri. Controlul unor astfel de congestii îi revine tot nivelului reţea.În nivelul reţea există de obicei înglobată o funcţie de taxare a traficului pentru ca operatorii subreţelei să-şi acopere costurile. Pentru a calcula suma datorată de clienţii reţelei, programul trebuie cel puţin să numere câte pachete, sau câte caractere, sau câţi biţi a trimis fiecare client. Calculul se complică atunci când un pachet traversează frontiera dintre două zone cu sisteme de preţuri diferite.Multe probleme pot apărea când un pachet trebuie să călătorească dîntr-o reţea în alta ca să ajungă la destinaţie. Modul de adresare folosit de a doua reţea poate să difere de cel din prima. A doua reţea poate chiar să nu accepte deloc pachetul pentru că este prea mare. De asemenea, protocoalele pot fi diferite în vederea interconectării reţelelor eterogene este sarcina nivelului de reţea.In reţelele cu difuzare problema dirijării este şimplă, astfel că nivelul reţea este deseori subţire sau chiar nu există de loc.

Nivelul transport

Rolul principal al nivelului transport este să accepte date de la nivelul sesiune, să le descompună, dacă este cazul, în unităţi mai mici, să transfere aceste unităţi nivelului de reţea şi să se asigure că toate fragmentele sosesc corect la celălalt capăt. În plus, toate

5


acestea trebuie făcute eficient şi într-un mod care izolează nivelurile de mai sus de inevitabilele modificări în tehnologia echipamentelor.În condiţii normale, nivelul transport creează o conexiune de reţea distinctă pentru fiecare conexiune de transport cerută de nivelul sesiune. În cazul în care conexiunea de transport neceşită o productivitate mare, nivelul transport poate totuşi să creeze conexiuni de reţea multiple şi să dividă datele prin conexiunile de reţea astfel încât productivitatea să crească. Pe de altă parte, dacă crearea şi întreţinerea unei conexiuni de reţea este costişitoare, nivelul transport ar putea reduce costul prin multiplexarea câtorva conexiuni de transport pe aceeaşi conexiune de reţea. În oricare dintre cazuri, nivelului transport i se cere să facă multiplexarea transparentă pentru nivelul sesiune.Nivelul transport determină, de asemenea, ce tip de serviciu să furnizeze nivelul sesiune şi, în final, utilizatorii reţelei. Cel mai obişnuit tip de conexiune transport este un canal punct-la-punct fără erori care furnizează mesajele sau octeţii în ordinea în care au fost trimişi. Alte tipuri pOSIbile de servicii de transport sunt transportul mesajelor individuale (fără nici o garanţie în privinţa ordinii de livrare) şi difuzarea mesajelor către destinaţii multiple. Tipul serviciului se determină când se stabileşte conexiunea.Nivelul transport este un adevărat capăt-la-capăt, de la sursă destinaţie. Cu alte cuvinte, un program de pe maşina sursă poartă o conversaţie cu un program şimilar de pe maşina destinaţie, folosind în acest scop antenele mesajelor şi mesaje de control. În nivelurile inferioare protocoalele au loc între fiecare maşină şi vecinii săi imediaţi, şi nu direct între maşinile sursă şi destinaţie, care pot fi separate de numeroase rutere. Numeroasele gazde sunt multiprogramate, ceea ce implică existenţa unor conexiuni multiple care intră şi ies din fiecare gazdă. Trebuie să existe o modalitate prin care să se poată spune care mesaje aparţin cărei conexiuni. Unul din locurile unde poate fi pusă această informaţie este antetul de transport.În plus faţă de multiplexarea mai multor fluxuri de mesaje pe un singur canal, nivelul transport mai trebuie să se ocupe de stabilirea şi anularea conexiunilor în reţea. Pentru acest lucru este necesar un mecanism de atribuire a numelor, astfel ca un proces de pe o anumită maşină să poată descrie cu cine vrea să converseze. Trebuie, de asemenea, să existe un mecanism pentru reglarea fluxului de informaţii, astfel încât o gazdă rapidă să nu suprasolicite o gazdă lentă. Un astfel de mecanism se numeşte controlul fluxului şi joacă un rol cheie în nivelul de transport (ca şi în alte niveluri). Controlul fluxului între gazde este diferit faţă de controlul fluxului între rutere.

Nivelul sesiune

Nivelul sesiune permite utilizatorilor de pe maşini diferite să stabilească între ei sesiuni. Ca şi nivelul transport, o sesiune permite transportul obişnuit de date, dar furnizează totodată şi servicii îmbunătăţite; utile în anumite aplicaţii. 0 sesiune poate fi utilizată pentru a permite unui utilizator să se conecteze la distanţă pe un sistem cu divizarea timpului sau să transfere un fişier între două maşini.Unul dintre serviciile nivelului sesiune se referă la controlul dialogului. Seşiunile pot permite să se realizeze trafic în ambele sensuri şimultan; sau numai într-un sens odată. Dacă este permis traficul într-un singur sens odată, nivelul sesiune poate ajuta să se ţină evidenţa emiţătorilor cărora le vine rândul să transmită.

6


Un serviciu înrudit este gestionarea jetonului, în unele protocoale este esenţial ca cele două părţi să nu încerce să realizeze aceeaşi operaţie în acelaşi timp. Pentru a trata aceste şituaţii, nivelul sesiune dispune de jetoane care pot circula între maşini. Numai partea care deţine jetonul are voie să realizeze operaţia critică.Un alt serviciu sesiune este şincronizarea. Când se încearcă transferuri între două maşini în condiţiile în care transferul durează mai mult decât intervalul mediu de cădere al legăturii vor apărea probleme. După fiecare eşec, tot transferul va trebui iniţiat din nou şi probabil că nu va reuşi nici încercarea următoare. Pentru a elimina problema respectivă, nivelul sesiune prevede o modalitate de a introduce în fluxul de date puncte de control, astfel încât după un eşec trebuie să se reia numai transferul datelor de după ultimul punct de control.

Nivelul prezentare

Nivelul prezentare îndeplineşte câteva funcţii care sunt solicitate suficient de des pentru că, în loc să fie lăsat fiecare utilizator să rezolve problemele, să se justifice găşirea unei soluţii generale, în particular, spre deosebire de toate nivelurile inferioare, care se ocupă numai de transferul sigur al biţilor dintr-un loc în altul, nivelul prezentare se ocupă de şintaxa şi semantica informaţiilor transmise.Un exemplu tipic de serviciu prezentare este codificarea datelor într-un mod standard, prestabilit. Majoritatea programelor folosite de utilizatori nu fac schimb de şiruri aleatoare de biţi. Ele fac schimb de nume de persoane, adrese, date, sume de bani, anunţuri. Aceste informaţii sunt reprezentate prin şiruri de caractere, prin întregi, prin numere reale şi prin structuri de date compuse dintr-un număr de date mai şimple.Diferite calculatoare au diferite coduri pentru reprezentarea şirurilor de caractere (de exemplu ASCII şi Unicode), întregilor (de exemplu complementul faţă de 1 şi complementul faţă de 2), şi aşa mai departe. Pentru a face posibilă comunicarea între calculatoare cu reprezentări diferite, structurile de date pot fi definite într-un mod abstract, alături de o codificare standardizată ce va fi utilizată "pe cablu". Nivelul prezentare gestionează aceste structuri de date abstracte şi le converteşte din reprezentarea internă folosită în calculator în reprezentarea standardizată din reţea, şi invers.

Nivelul aplicaţie

Nivelul aplicaţie conţine o varietate de protocoale frecvent utilizate. De exemplu, în lume există sute de tipuri de terminale incompatibile.O modalitate de a rezolva problema este să se definească un terminal virtual de reţea abstract şi să se descrie editoare şi alte programe care ştiu să lucreze cu acesta. Pentru a putea lucra cu orice tip de terminal, este necesar un program care să pună în corespondenţă funcţiile terminalului virtual de reţea şi terminalul real. De exemplu, atunci când editorul mută cursorul din terminalul virtual în colţul stânga sus al ecranului, programul trebuie să aplice secvenţa potrivită de comenzi pentru terminalul real, astfel încât să se mute şi cursorul acestuia. Toate programele terminalului virtual se află pe nivelul aplicaţie.Un alt rol al nivelului aplicaţie este transferul fişierelor. Sistemele de fişiere diferite au convenţii de nume diferite, moduri diferite de a reprezenta liniile de text, şi aşa mai departe. Transferul unui fişier între două sisteme de fişiere diferite presupune rezolvarea acestor incompatibilităţi şi a altora de acelaşi gen. Şi acest lucru cade tot în seama nivelului

7


aplicaţie, la fel ca şi poşta electronică, introducerea lucrărilor de la distanţă; examinarea cataloagelor şi diverse alte facilităţi cu scop general sau particular.

1.3 Transmiterea datelor în modelul OSI

Figura 1.2 prezintă un exemplu de transmiterea datelor folosind modelul OSI. Procesul emiţător vrea să trimită nişte date procesului receptor. Emiţătorul furnizează datele nivelului aplicaţie, acesta le ataşează în faţă antetul aplicaţiei, AH (care poate fi vid) şi le furnizează obiectul rezultat nivelului de prezentare.Nivelul prezentare poate să modifice acest obiect în diferite moduri şi poate eventual să-i adauge în faţă un antet, furnizând rezultatul către nivelul sesiune. Este important de ştiut că nivelul prezentare nu cunoaşte care porţiune din datele primite de la nivelul aplicaţie reprezintă AH, în cazul în care acesta există, şi care porţiune reprezintă datele propriu-zise ale utilizatorului.

Acest proces se repetă până când datele ajung la nivelul fizic, unde ele vor fi trimise efectiv către maşina receptoare. Pe respectiva maşină, diversele anteturi sunt eliminate succeşiv pe măsură ce mesajul se propagă prin niveluri în sus, până când ajunge în final la procesul destinaţie.

Fig. 1.2 Transmiterea datelor în modelul OSI

8


Ideea de bază este că, deşi în figură transmiterea datelor este verticală, fiecare nivel este programat ca şi cum transmiterea ar fi orizontală: De exemplu, atunci când nivelul transport emiţător primeşte un mesaj de la nivelul sesiune, el îi ataşează un antet de transport şi îl expediază nivelului transport destinaţie. Din punctul său de vedere, faptul că în realitate trebuie să paseze mesajul nivelului reţea de pe maşina proprie este un detaliu tehnologic de mică importanţă.

1.4 Modelul TCP/IP

TCP/IP este o suită de protocoale, dintre care cele mai importante sunt TCP şi IP, care a fost transformat în standard pentru Internet de către Secretariatul pentru Apărare al Statelor Unite, şi care permite comunicaţia între reţele eterogene (interconectarea reţelelor). Modelul de referinţă ISO/OSI defineşte şapte nivele pentru proiectarea reţelelor, pe când modelul TCP/IP utilizează numai patru din cele şapte nivele, după cum se vede din figura 1.3.

Fig. 1.3 Comparaţie OSI – TCP/IP

Familia de protocoale TCP/IP are o parte stabilă, dată de nivelul Internet (reţea) şi nivelul transport, şi o parte mai puţin stabilă, nivelul aplicaţie, deoarece aplicaţiile standard se diverşifică mereu.În ceea ce priveşte nivelul gazdă la reţea (echivalentul nivelul fizic şi legătura de date din modelul OSI), cel mai de jos nivel din cele patru, acesta este mai puţin dependent de

9


TCP/IP şi mai mult de driverele de reţea şi al plăcilor de reţea. Acest nivel face ca funcţionarea nivelului imediat superior, nivelul Internet, să nu depindă de reţeaua fizica utilizată pentru comunicaţii şi de tipul legăturii de date.Protocoalele din familia TCP/IP tratează toate reţelele la fel. De aici rezultă un concept fundamental pentru reţelele TCP/IP, şi anume acela că, din punct de vedere al unei reţele globale, orice sistem de comunicaţii capabil să transfere date contează ca o singura reţea, indiferent de caracteristicile sale.Nivelul Internet are rolul de a transmite pachetele de la sistemul sursă la sistemul destinaţie, utilizând funcţiile de rutare. La acest nivel se pot utiliza mai multe protocoale, dar cel mai cunoscut este protocolul Internet IP. Nivelul transport are rolul de a asigura comunicaţia între programele de aplicaţie. Nivelul aplicaţie asigură utilizatorilor o gamă larga de servicii, prin intermediul programelor de aplicaţii. La acest nivel sunt utilizate multe protocoale, datorita multitudinii de aplicaţii existente, şi care sunt în continua creştere.

Prezentarea nivelelor

Nivelul gazda la reţeaLa acest nivel evoluţia protocoalelor este impulşionată de evoluţia extrem de rapidă a tehnologiilor de comunicaţie, care introduc tipuri de legături cu viteze din ce în ce mai mari. Astfel, vom întâlni linii telefonice închiriate, lucrând la viteze de 57,5 Kbs, ca şi fibre optice de 1,544 Mbs. În momentul de faţă majoritatea calculatoarelor care utilizează TCP/IP în reţele locale folosesc conexiuni Ethernet cu viteze de pană la 10 Mbs. Apariţia reţelelor Fast - Ethernet au făcut pOSIbil ca vitezele să. Crească la 100 Mbs.La acest nivel sunt utilizate doua protocoale, utilizate pentru conectarea la Internet şi Web prin intermediul modemului:

SLIP (Serial Line Internet Protocol)Este un protocol Internet pe linie serială, permite legături seriale aşincrone şi este cel mai vechi protocol. Dintre caracteristicile mai importante:- nu face nici un fel de detecţie sau corecţie a erorilor; - suporta doar IP;- fiecare,calculator trebuie să cunoască dînainte adresa IP a celuilalt calculator;- nu este un standard aprobat.Ceea ce trebuie reţinut, din punct de vedere al unui utilizator al Internetului, este faptul că acest tip de legătură neceşită o adresă fixă Internet pentru calculator, care este atribuită de furnizorul de servicii Internet.

PPP (Point to Point Protocol)Protocol punct la punct, este un protocol mai robust decât SLIP, care rezolva toate deficienţele protocolului SLIP şi reprezintă un standard Internet. Este utilizat din ce în ce mai mult, datorită, faptului că permite legarea atât pe legături seriale aşincrone, cat şi pe legături seriale şincrone. PPP face detecţia erorilor, suportă mai multe protocoale, permite ca adresele IP sa fie negociate în momentul conectării, permite autentificarea, etc. În cazul utilizării acestui tip de legătura, acordarea unei adrese se realizează automat, în momentul stabilirii legăturii la Internet.

10


Nivelul InternetAcest nivel, în modelul OSI nivelul reţea, asigură transmiterea pachetelor prin intermediul unor adrese unice, specifice fiecărui nod, numite adrese Internet.Protocolul principal de la acest nivel este IP (Internet Protocol), şi caracteristica esenţiala este că fiecare pachet este tratat ca o entitate independentă (numită pachet sau datagramă), fără legături cu alte pachete. Acest nivel este nivelul responsabil cu rutarea pachetelor în Internet. Protocolul IP rutează pachetele prin reţelele interconectate îndeplinind şi funcţii de segmentare (la emiţător) şi de reasamblare (la destinatar) a pachetelor.Acest protocol nu garantează livrarea pachetelor către destinatar, dar prin intermediul nivelului imediat superior, prin intermediul protocolului TCP, se asigura fiabilitatea corespunzătoare. În operaţia de rutare protocolul IP utilizează adresa IP (numita şi adresă de reţea).Alte protocoale care pot funcţiona la acest nivel, în vederea unei bune funcţionări a transmisiei, sunt:

ICMP (Internet Control Message Protocol)Protocolul IP furnizează un serviciu fără conexiune, care nu garantează livrarea fiecărui pachet la destinaţie. Pentru a înlătura acest dezavantaj se utilizează un mecanism prin care ruterele şi sistemele din reţea comunică informaţii privind şituaţiile de funcţionare anormală destinaţie inacceşibilă, suprasolicitarea unui ruter, etc.). El poate fi utilizat de un sistem pentru a testa daca un alt sistem este acceşibil.

ARP (Address Resolution Protocol)Transmiterea unui pachet se poate efectua şi între două sisteme aflate în aceeaşi reţea fizică. Faptul că sistemul destinatar este: conectat la aceeaşi reţea fizică este constatat de către sistemul sursă, prin intermediul adresei IP de destinaţie, pe care o compara cu propria adresa IP, prin intermediul protocolului ARP. Deci putem spune că acest protocol permite unui calculator să determine adresa fizică unică (MAC) a unui alt calculator din aceeaşi reţea fizica cunoscând adresa IP (de nivel reţea) a acestuia.Aceste tabele de translatare ARP nu sunt direct disponibile utilizatorilor sau aplicaţiilor. ARP afişează lista corespondenţelor între adresele IP şi adresele fizice, determinate corect. De reţinut că acest protocol este utilizat atunci când cele doua calculatoare (sursa şi destinaţie) fac parte din aceeaşi reţea fizică, deci nu este necesară utilizarea ruter-elor.

RARP (Reverse Address Resolution Protocol)Permite unui calculator sa-şi obţină, atunci când nu o cunoaşte, adresa IP proprie, deci face operaţia inversă (cunoscând adresa fizica se determină adresa IP a staţiei) protocolului ARP.

Nivelul transportEste proiectat astfel încât să permită conversaţii între entităţile pereche din gazdele sursă şi, respectiv, destinaţie. Orice program de aplicaţie utilizează. unul din cele doua protocoale de transport, alegerea unuia sau altuia depinzând de neceşităţile impuse de aplicaţia respectivă. Cele doua protocoale sunt:

11


UDP (User Datagram Protocol)Este un protocol nesigur, dar cu viteză mare de transmisie, care utilizează datagrame pentru livrarea datelor. Când se utilizează acest protocol, comunicaţia este efectuată prin serviciu fără conexiune (nu se stabileşte un circuit între cele două calculatoare care vor sa comunice), folosind IP pentru transferul mesajelor. Acest protocol nu garantează livrarea mesajului la recepţie fără erori, fără pierderi, fără duplicate, în ordinea în care au fost emise. Acest protocol permite identificarea sistemelor sursă şi destinaţie, precum şi a programelor de aplicaţie între care are loc transferul de informaţie.

TCP (Transmisşion Control Protocol)Este un protocol sigur, care asigură transferul fiabil al informaţiilor între aplicaţiile de pe cele două calculatoare aflate în comunicaţie. Acest protocol se ocupă cu depistarea şi corectarea erorilor ce apar la transmisie. TCP-ul de pe dispozitivul emiţător va realiza o legătură cu cel de pe dispozitivul receptor, acestea negociind cantitatea de date ce va fi transmisă, ansamblul fiind cunoscut sub denumirea de circuit virtual. Acest tip de comunicaţie se numeşte comunicaţie orientată pe conexiune.TCP este o conexiune full-duplex, foarte stabilă şi precisă, cu numărare de jetoane la recepţie şi corecţie de erori. El preia blocuri de informaţie, pe care le împarte în segmente, aceste segmente fiind ulterior numerotate. La destinaţie, protocolul TCP existent acolo va fi astfel capabil să reasambleze informaţia primită de la emiţător. După trimiterea fiecărei secvenţe (segment numerotat), protocolul TCP emiţător va aştepta confirmarea de primire de la receptor, iar daca nu o primeşte recurge la retrimiterea segmentului.Oricum, este important de cunoscut faptul că folosirea TCP-ului nu este neapărat necesară decât atunci când fiabilitatea este foarte stricta, acest protocol întârziind semnificativ transmisia de date.

Nivelul aplicaţieNivelurile de sub nivelul aplicaţie servesc la asigurarea unui transport sigur, dar nu îndeplinesc nici o funcţie concretă pentru utilizatori. De-abia la nivelul aplicaţie pot fi găşite toate aplicaţiile interesante pentru utilizatori, dar chiar şi la acest nivel apare neceşitatea unor protocoale care să permită funcţionarea aplicaţiilor.

1.5 Adrese IP

Pentru a putea fi identificate în cadrul reţelei, calculatoarele conectate la Internet, numite host-uri, noduri, sisteme sau servere trebuie să poată fi identificate prîntr-o adresă. În scurta istorie a Internet-ului s-au folosit mai multe sisteme de adresare şi mai multe modalităţi de specificare a acestora.Specificarea unei adrese se poate face în doua moduri:- specificare numeric, prin şiruri de numere, utilizate pentru adrese IP;- specificare de domenii, prin nume sau succeşiuni de nume, utilizate pentru adrese Internet.Fiecare gazdă şi ruter din Internet are o adresa IP, care codifică adresa sa de reţea şi de gazdă. Combinaţia este unică: nu există două maşini cu aceeaşi adresa IP. Toate adresele IP sunt de 32 de biţi lungime şi sunt folosite în câmpurile Adresa sursa şi Adresa destinaţie ale pachetelor IP. Formatele folosite pentru adrese IP sunt ilustrate în figura 1.4. Acele maşini care sunt conectate la mai multe reţele au adrese diferite în fiecare reţea.

12


Fig.1.4 Clase de adrese IP

Clasa A: de la 1.0.0.0 până la 127.255.255.255Clasa B: de la 128.0.0.0 până la 191.255.255.255Clasa C: de la 192.0.0.0 până la 223.255.255.255Clasa D: de la 224.0.0.0 până la 239.255.255.255Clasa E: de la 240.0.0.0 până la 247.255.255.255Formatele de clasă A, B, C şi D permit până la 126 de reţele cu 16 milioane de gazde fiecare, 16.382 reţele cu pană la 64K gazde, 2 milioane de reţele (de exemplu, LAN-uri) cu pană la 254 gazde fiecare şi multicast (trimitere multiplă), în care fiecare datagramă este direcţionată mai multor gazde. Adresele care încep cu 11110 sunt rezervate pentru o folosire ulterioară. Zeci de mii de reţele sunt conectate acum la Internet şi numărul se dublează în fiecare an. Numerele de reţea sunt atribuite de NIC (Network Information Center - Centrul de Informaţii de Reţea) pentru a evita conflictele.Adresele de reţea care sunt numere de 32 de biţi, sunt scrise în mod uzual în notaţia zecimala cu punct, în acest format, fiecare dintre cei patru octeţi este scris în zecimal, de la 0 la 255. De exemplu, adresa hexazecimală C0290614 este scrisă ca 192.41.6.20. Cea mai mică adresa IP este 0.0.0.0 şi cea mai mare este 255.255.255.255.

Fig. 1.5 Adrese IP speciale

Adresa IP 0.0.0.0 este folosită de gazde atunci când sunt pornite, dar nu mai este folosită ulterior. Adresele IP cu 0 ca număr de reţea se referă la reţeaua curentă. Aceste adrese permit ca maşinile să refere propria reţea fără a cunoaşte numărul de reţea (dar ele trebuie să cunoască clasa adresei pentru a şti câte zerouri să includă.

13


Adresele care constau numai din 1-uri permit difuzarea în reţeaua curentă, în mod uzual un LAN. Adresele cu un număr exact de reţea şi numai din 1-uri în câmpul gazdă permit maşinilor să trimită pachete de difuzare în LAN-uri la distanţă, aflate oriunde în Internet, în final, toate adresele de forma 127.xx.yy.zz sunt rezervate pentru testări în bucla locală (loopback). Pachetele trimise către aceasta adrese nu sunt trimise prin cablu. Ele sunt prelucrate local şi tratate ca pachete sOSIte. Aceasta permite pachetelor să fie trimise către reţeaua locală fără ca emiţătorul să cunoască numărul său. Aceasta facilitate este folosită de asemenea pentru depânărea programelor de reţea.

1.6 Tipuri de reţele

Reţelele de calculatoare se claşifică, după dimenşiunile ariei geografice pe care sunt răspândiţi utilizatorii , dar şi după soluţiile tehnice de implementare ce rezultă din acest fapt în: reţele de arie largă (WAN1 ) - destinate conectării unor calculatoare aflate la distanţe geografice conşiderabile, deci din cadrul unor oraşe, ţări sau continente. Acestea folosesc pentru interconectare legături ce oferă o viteză de transmisie şi o fiabilitate mare, închiriate de la companiile de telecomunicaţii publice şi având o ierarhizare detaliată a comunicaţiilor din reţea. Reţeaua Internet este cea mai mare reţea WAN şi este compusă din mii de reţele răspândite în întreaga lume; reţele locale ( LAN2 ) - destinate conectării unor calculatoare (precum şi a altor dispozitive programabile) şituate la distanţe relativ mici (de la câţiva metri până la 5 [km], deci amplasate într-o aceeaşi clădire sau într-un grup de clădiri învecinate), folosind legături dedicate (proprietate a utilizatorilor) de viteze mari de transmisie şi cu o fiabilitate adecvată. LAN-urile sunt necomutate (adică nu au rutere); WAN-urile sunt comutate.reţele metropolitane (MAN3) - reprezintă o extenşie a reţelelor LAN şi utilizează în mod normal tehnologii şimilare cu acestea. Aceste reţele pot fi atât private cât şi publice. O reţea MAN conţine numai un cablu sau două, fără să conţină elemente de comutare care dirijează pachetele pe una dintre cele câteva pOSIbile linii de ieşire. Un aspect important al acestui tip de reţea este prezenţa unui mediu de difuzare la care sunt ataşate toate calculatoarele. Aceste reţele funcţionează, în general, la nivel de oraş.

TopologiiPentru aranjarea în reţea a calculatoarelor se folosesc diferite metode numite topologii. Fiecare topologie are avantaje şi dezavantaje dar totuşi fiecare se potriveşte cel mai bine în anumite şituaţii.Reţele de tip magistrală: În cadrul acestui tip de reţele toate calculatoarele sunt interconectate la cablul principal al reţelei. Calculatoarele conectate în acest tip de reţea au acces în mod egal la toate resursele reţelei. Pentru utilizarea cablului nivelul logic trebuie să aştepte până se eliberează cablul pentru a evita coliziunile de date. Acest tip de reţea are însă un defect şi anume: dacă reţeaua este întreruptă într-un loc fie accidental fie prin adăugarea unui alt nod de reţea atunci întreaga reţea este scoasă din funcţiune. Este totuşi unul din cele mai ieftine moduri de a pune la cale o reţea. 1 WAN - Wide Area Network2 LAN - Local Area Network3 MAN - Metropolitan Area Network

14


Reţele de tip stea: Acest tip de reţea face legatura între calculatoare prin intermediul unui concentrator. Avantajul esenţial al acetui tip de reţea este că celelalte cabluri sunt protejate în şituţia în care un calculator este avariat sau un cablu este distrus, deci din puct de vedere al siguranţei transmisiei de date este cea mai sigură soluţie în alegerea configurării unei reţele mari căci pentru o reţea mică există un dezavataj de ordin finaciar constituit de concentrator care are un preţ destul de ridicat.Reţele de tip ring: Tipul de reţea circular face legătura între calculatoare prin intermediul unui port de intrare (In Port) şi a unui port de ieşire (Out Port). În această configuraţie fiecare calculator transmite date către următorul calculator din reţea prin portul de ieşire al calculatorului nostru către portul de intrare al calculatorului adresat. În cadrul acestei topologii instalarea cablurilor este destul de dificila şi atunci se recurge la un compromis între acest tip de reţea şi cel de tip magistrala folosindu-se o unitate centrală care să închidă cercul, numită Media Acces Unit (MAU – unitate de acces a mediilor).Reţele de tip magistrală în stea: La fel ca o reţea hibridă stea-cerc reţeaua de tip magistrală în stea face apel la o unitate centrala (MAU) prin care se realizează legăturile între calculatoare.

1.7 Metode de interconectare

În lume există multe reţele cu echipamente şi programe diverse. Reţelele nu pot fi extinse prin şimpla adăugare a unor calculatoare şi cabluri. Fiecare topologie şi arhitectură de reţea are propriile sale limite. Totodată fiecare reţea folosesşe propriile protocoale, deci existenţa reţelelor de tipuri diferite înseamnă a avea protocoale diferite. Indiferent de evoluţia care va avea loc în lumea IT (tehnologia informaţiei), mereu vor exista o varietate de reţele, care pentru a putea comunica unele cu altele vor trebui să se interconecteze. Tipurile de conexiuni care pot să apară sunt:LAN-LAN: utilizatorul copiază un fişier de pe un alt sistem din alt workgroup; LAN-WAN: utilizatorul trimite un e-mail altui utilizator aflat la distanţă; WAN-WAN: doi utilizatori fac schimb de date; LAN-WAN-LAN: utilizatori din universităţi diferite comunică între ei. Pentru a interconecta între ele aceste reţele sunt necesare atât echipamente speciale pentru a realiza conexiunile fizice, cât şi software de interconectare.Pentru a conecta fizic două reţele este necesară plasarea unei "cutii negre", la joncţiunea dintre cele două reţele care se doresc a fi legate (conectate), pentru a rezolva conversiile necesare atunci când datele se mişcă de la o reţea la alta. Aceste "cutii negre" au nume diferite şi în general depind de nivelul la care lucrează, fiecare din ele fiind adecvate pentru o anumită formă de interconectare.În continuare vor fi descrise principalele categorii de echipamente de interconectare.

RepetorulRepetorul are rolul de a copia biţi individuali între segmente de cablu diferite, deci permite transportarea semnalului pe o distanţă mai mare; el nu interpreţează cadrele pe care le receptionează şi reprezintă cea mai şimplă şi ieftină metodă de extindere a unei reţele locale. Pe măsură ce semnalul traversează cablul, el se degradează şi este distorşionat. Acest proces poartă numele de atenuare.

15


Repetorul permite transportarea semnalului pe o distanţă mai mare, regenerând semnalele din reţea şi retransmiţându-le mai departe pe alte segmente. În corespondenţă cu modelul OSI repetorul funcţionează la nivelul fizic, regenerând semnalul recepţionat de pe un segment de cablu şi transmiţându-l pe alt segment (figura 1.6).Repetoarele sunt utilizate în general pentru a extinde lungimea cablului acolo unde este nevoie. Pentru a putea fi utilizate, pachetele de date şi protocoalele LLC (Logical Link Control – controlul legăturii logice) trebuie să fie identice pe ambele segmente (nu se pot conecta reţele LAN 802.3 - Ethernet - cu reţele LAN 802.5 - Token Ring); de asemenea ele trebuie să folosească aceeaşi metodă de acces (CSMA/CD). Repetorul este folosit pentru a face legătura dintre medii de transmisie diferite (cablu coaxial - fibră optică, cablu coaxial gros - cablu coaxial subţire).

Figura 1.6 Repetorul în raport cu modelul OSI

Un dezavantaj al repetorului este acela că el copiază semnalul electronic, inclusiv zgomotul, de la un segment de reţea la altul.

Puntea Puntea (se mai întâlneşte şi sub denumirea de: pod, bridge), lucrează la subnivelul MAC (Media Access Control) şi funcţionează pe principiul că fiecare nod de reţea are propria adresă fizică. Puntea permite interconectarea reţelelor LAN de acelaşi tip sau de tipuri diferite. Puntea utilizează o tabelă de rutare pentru a memora informaţiile despre adresele calculatoarelor unde se transferă datele. Iniţial, tabela de rutare este goală, şi pe parcurs ea este completată cu adresele sursă ale calculatoarelor. Adresele sursă, care de fapt sunt adresele MAC ale fiecărui nod, sunt adresele dispozitivelor care au iniţiat transmisia.Punţile sunt utile în situaţiile următoare:-extinderea fizică a unei reţele LAN; -interconectarea reţelelor locale ce utilizează tehnici de control al accesului la mediu diferite. Punţile la rândul lor sunt de mai multe tipuri:

16


punţi transparente: în acest caz puntea examinează adresele MAC din pachetele care circulă în reţelele la care este conectată şi pe baza unor tabele de adrese decide pentru fiecare pachet reţeaua pe care trebuie transmis; punţi cu rutare prin adresă, sau punţi Token Ring, în acest caz punţile utilizează informaţia de rutare inclusă de sistemul sursă în câmpul din cadrul MAC. Aceste punţi sunt specifice pentru interconectarea reţelelor Token Ring. Dacă într-o firmă există mai multe reţele cu topologii diferite, atunci administrarea fluxurilor de date poate fi făcută de un calculator echipat cu mai multe interfeţe de reţea, care va juca rolul de punte între aceste reţele, ea asociind reţelele fizice diferite într-o aceeaşi reţea logică. Toate calculatoarele din această reţea logică au aceeaşi adresă logică de subreţea.

Figura 1.7 Puntea în raport cu modelul OSI

În corespondenţă cu modelul OSI puntea lucrează la nivelul legăturii de date (mai precis la subnivelul MAC) şi în consecinţă operează cu adresele fizice ale calculatoarelor. Spre deosebire de repetor, puntea este capabilă să decodeze cadrul pe care-l primeşte pentru a face prelucrările necesare transmiterii pe reţeaua vecină. Puntea mută entităţi de transfer, numite cache şi controlează validitatea conţinutului transferat.

RuterRuter-ul funcţionează la nivelul reţea al modelului ISO / OSI şi este utilizat pentru interconectarea mai multor reţele locale de tipuri diferite, dar care utilizează acelaşi protocol de nivel fizic. Utilizarea lor asigură o mai mare flexibilitate a reţelei în ceea ce priveste topologia acesteia.La fel ca şi la punte, informaţiile sunt memorate în tabele de rutare, care conţin informatii de adresă. Tabela de rutare a unui ruter conţine adrese (numere) de reţea.

17


Figura 1.8 Ruter-ul în raport cu modelul OSI

Diferenţa între o punte şi un ruter este că în timp ce puntea operează cu adresele fizice ale calculatoarelor (luate din cadrul MAC) ruter-ele utilizează adresele logice (de reţea) ale calculatorului. În timp ce o punte asociază reţele fizice diferite într-o singură reţea logică, un ruter interconectează reţele logice diferite. Aceste adrese logice sunt administrate de nivelul reţea şi nu depind de tipul reţelei locale. O caracteristică este aceea că ruter-ele nu pot comunica direct cu calculatoarele aflate la distanţă, din această cauză ele nu cercetează adresa sistemului destinaţie, ci doar adresa reţelei de destinaţie.Ruter-ul permite rutarea mesajelor de la sursă la destinaţie atunci când există mai multe posibilităţi de comunicare între cele două sisteme (ia decizii privitoare la traseul pe care urmează să-l parcurgă pachetul pentru a ajunge la destinaţie).Datorită capacităţii de a determina cel mai bun traseu, prîntr-o serie de legături de date, de la o reţea locală în care se află sistemul sursă la reţeaua locală în care se află sistemul destinaţie, un sistem de ruter-e poate asigura mai multe trasee active între cele două reţele, făcând posibilă transmiterea mesajelor de la sistemul sursă la sistemul destinaţie pe căi diferite.În general un ruter utilizează un singur tip de protocol de nivel reţea, şi din acest motiv el nu va putea interconecta decât reţele la care sistemele folosesc acelaşi tip de protocol. De exemplu dacă există două reţele, una utilizând protocolul TCP / IP şi alta protocolul IPX, nu vom putea utiliza un ruter care utilizează TCP / IP. Acest ruter se mai numeste ruter dependent de protocol. Există însă şi rutere care au implementate mai multe protocoale, făcând astfel posibilă rutarea între două reţele care utilizează protocoale diferite, şi care se numesc rutere multiprotocol.

Porţi de acces Porţile de acces, numite şi gateway fac posibilă comunicaţia între sisteme de diferite arhitecturi şi medii incompatibile. O poartă conectează două sisteme care nu folosesc acelaşi:protocol de comunicaţie; structuri de formate;

18


limbaje; arhitecturi. În general aceste echipamente permit conectarea la un mainframe a reţelelor locale. Termenul de poartă se utilizează pentru a desemna orice dispozitiv care conectează două sau mai multe reţele de tipuri diferite.Porţile reprezintă de obicei servere dedicate într-o reţea, care convertesc mesajele primite într-un limbaj de e-mail care poate fi înţeles de propriul sistem. Ele realizează o conversie de protocol pentru toate cele şapte niveluri OSI , şi operează la nivelul transport al modelului ISO / OSI. Sarcina unei porţi este de a face conversia de la un set de protocoale de comunicaţie la un alt set de protocoale de comunicaţie.Din cele prezentate putem face următoarea legătura între nivelurile modelului OSI la care operează echipamentele şi numele acestora:nivelul fizic -> repetoare, copiază biţi individuali între segmente diferite de cablu; nivelul legătură de date ->punţi, interconectează reţele LAN de acelaşi tip sau de tipuri diferite; nivelul reţea ->rutere, interconectează mai multe reţele locale de tipuri diferite, dar care utilizează acelaşi protocol de nivel fizic nivelul transport -> porţi de acces, fac posibilă comunicaţia între sisteme de diferite arhitecturi şi medii incompatibile. de la nivelul 4 în sus -> porţi de aplicaţii, permit cooperarea de la nivelul 4.

19

Capitolul 2 Reţele Virtuale Private.Concepte generale

Capitolul 2-REŢELE VIRTUALE PRIVATE.CONCEPTE GENERALE

2.1 Generalităţi

Simplu definit, o reţea virtuală privată (VPN) este o reţea a companiei implementată pe o infrastructură comună, folosind aceleaşi politici de securitate, management şi performanţă care se aplică de obicei într-o reţea privată. Tehnologiile VPN oferă o cale de a folosi infrastructurile reţelelor publice cum ar fi Internetul pentru a asigura acces securizat şi privat la aplicaţii şi resurse ale companiei pentru angajaţii din birourile aflate la distanţă sau cei care lucrează de acasă, pentru partenerii de afaceri şi chiar pentru clienţi.Un VPN poate fi realizat pe diverse reţele de transport deja existente: Internetul public, reţeaua furnizorului de servicii IP, reţele Frame Relay şi ATM. Astăzi, tot mai multe VPN-uri sunt bazate pe reţele IP.Tehnologia VPN foloseşte o combinaţie de tunneling, criptare, autentificare şi mecanisme şi servicii de control al accesului, folosite pentru a transporta traficul pe Internet, o reţea IP administrată, sau reţeaua unui furnizor de servicii.

Cum funcţionează VPN ?Pentru a utiliza Internetul ca o reţea privată virtuală, de tip Wide Area Network (WAN), trebuie depăşite două obstacole principale. Primul apare din cauza diversităţii de protocoale prin care comunică reţelele, cum ar fi IPX sau NetBEUI, în timp ce Internetul poate înţelege numai traficul de tip IP. Astfel, VPN-urile trebuie să găsească un mijloc prin care să transmită protocoale non-IP de la o reţea la alta. Când un dispozitiv VPN primeşte o instrucţiune de transmitere a unui pachet prin Internet, negociază o schemă de criptare cu un dispozitiv VPN similar din reţeaua destinaţie Datele în format IPX/PPP sunt trecute în format IP pentru a putea fi transportate prin reţeaua mondială. Al doilea obstacol este datorat faptului că pachetele de date prin Internet sunt transportate în format text. În consecinţă, oricine poate „vedea" traficul poate să şi citească datele conţinute în pachete. Aceasta este cu adevărat o problemă în cazul firmelor care vor să comunice informaţii confidenţiale şi, în acelaşi timp, sa folosească Internetul. Soluţia la aceste probleme a permis apariţia VPN şi a fost denumită „tunneling".În loc de pachete lansate într-un mediu care nu oferă protecţie, datele sunt mai întâi criptate, apoi încapsulate în pachete de tip IP şi trimise printr-un „tunel" virtual prin Internet. Veţi înţelege mai bine acest concept dacă luăm un exemplu. Presupunem că rulaţi NetWare pe o reţea, iar un client al acelei reţele doreşte să se conecteze la un server aflat la distanţă, care rulează tot NetWare. Protocolul principal pe care îl utilizează NetWare este IPX. Astfel că pachetele IPX trimise la distanţă trec mai întâi printr-un dispozitiv de iniţiere a „tunelului" de comunicaţie - fie acesta un router sau chiar un PC desktop, în cazul conexiunilor client-server. Acesta pregăteşte datele pentru transmisie prin Internet. Creatorul de tunel al reţelei sursă comunică cu un terminator VPN aflat în reţeaua destinaţie. Cele două ajung la un „consens" privind schema de codificare a datelor, după care iniţiatorul codifică pachetele pentru securitate. întregul pachetul de date criptat este transformat într-unul de tip IP. Acum, indiferent de protocolul în care au fost transmise, datele pot călători prin Internet. La destinaţie, terminatorul de tunel primeşte pachetul, înlătură informaţia de IP şi decriptează datele în

20


concordanţă cu schema stabilită iniţial. Astfel decriptate, datele sunt transmise la server sau router, cel care le plasează în reţeaua locală.VPN-ul în plus oferă o multitudine de posibilităţi de conectare : -Conectarea utilizatorilor mobili . -Realizarea de intranet între diferite locaţii aflate la distanţă. -Realizarea unor legături extranet cu partenerii de afaceri.

2.2 Soluţii VPN

La ora actulă există trei posibilităţi de realiza un VPN :

Access VPN – permite conectarea individuală ( utilizatori mobili ) sau a unor birouri la sediul central al unei firme , aceasta realizându-se în cele mai sigure condiţii.

Intranet VPN – permite conectarea diferitelor sedii ale unei firme folosind legături dedicate. Diferenţa fată de Access VPN constă în faptul că se folosesc legături dedicate cu rata de transfer garantată, fapt care permite asigurarea unei foarte bune calitaţi a transmisiei pe lângă securitate şi bandă mai largă.

Extranet VPN – este folosit pentru a lega diferiţi clienţi sau parteneri de afaceri la sediul central al unei firme folosind linii dedicate , conexiuni partajate, securitate maximă.

Remote Access VPN(Acces de la distanţă)Există doua tipuri de conexini VPN de acest fel:Conexiune iniţiata de client .

Clienţii care vor să se conecteze la site-ul firmei trebuie să aibă instalat un client de VPN, acesta asigurându-le criptarea datelor între computerul lor şi sediul ISP-ului. Mai departe conexiunea cu sediul firmei se face de asemenea în mod criptat, în concluzie întregul circuit al informaţiei se face în mod criptat. Trebuie precizat că în cazul acestui tip de VPN sunt folosiţi o multitudine de clienţi de VPN. Un exemplu este Cisco Secure VPN dar şi Windows NT sau 2000 au integrat clienţi de VPN. Următoarea imagine schematizează acest tip de Access VPN :

21


Figura 2.1 Acces de la distanţă iniţiat de client

Access VPN iniţiat de serverul de acces Este ceva mai simplă pentru că nu implică folosirea unui client de VPN. Tunelul cripatat se realizează între server-ul de acces al ISP-ului şi sediul firmei la care se vrea logarea. Între client şi server-ul de acces securitatea se bazează pe siguranţa liniilor telefonice ( fapt care uneori poate fi un dezavantaj ).

2.2 Acces de la distanţă iniţiat de server-ul de acces

Intranet VPNPermite realizarea unei reţele interne complet sigură pentru o firmă. Permite realizarea unor medii client-server foarte performante prin utilizarea conexiunilor dedicate care pot să atingă rate de transfer foarte bune ( E1) limita fiind determinată de suma pe care firma respectivă este dispusă să o investească în infrastructura sa informaţională . Arhitectura aceasta utilizează două routere la cele două capete ale conexiunii, între acestea realizându-se un tunel criptat. În acest caz nu mai este necesară folosirea unui client de VPN ci folosirea IPSec. IPSec ( IP Security Protocol ) este un protocol standardizat de strat 3 care asigură autentificarea, confidenţialitatea şi integritatea transferului de date între o pereche de echipamente care comunică. Foloseşte ceea ce se numeşte Internet Key Exchange ( IKE ) care necesită introducerea la ambele capete ale conexiunii a unor chei de autentificare care mai apoi vor permite logarea reciprocă.Schematic conexiunea arată cam aşa :

22


Figura 2.3 Intranet VPNExtranet VPN

Acest tip de VPN seamănă cu precedentul cu deosebirea că extinde limitele intranetului permiţând legarea la sediul corporaţiei a unor parteneri de afaceri , clienţi etc.;acest tip permite accesul unor utilizatori care nu fac parte din structura firmei. Pentru a permite acest lucru se folosesc certificate digitale care permit ulterior realizarea unor tunele criptate .Certificatele digitale sunt furnizate de o autoritate care are ca activitate acest lucru.

Figura 2.4 Extranet VPN

2.3 Metode de transmisie prin VPN

Dacă aţi citit rândurile de mai sus, probabil aţi înţeles că o reţea privată virtuală (VPN) este iniţiată în jurul unui protocol de securizare, cel care criptează sau decriptează datele

23


la sursa şi la destinaţie pentru transmisia prin IP. In prezent există o mare varietate de astfel de protocoale - de exemplu L2TP, IPSec, SOCKS5, FPSecure. Unele se suprapun în funcţionalitate, altele oferă funcţii similare dar complementare. Fiecare dintre protocoalele existente necesită o investigaţie mai atentă, atunci când sunteţi în fază de achiziţie şi implementare a unei reţele virtuale. Să identificăm pe scurt cele mai importante caracteristici ale acestor protocoale.Layer-2 Tunneling Protocol, sau L2TP, este o combinaţie dintre un protocol al firmei Cisco Systems (L2F) şi cel al firmei Microsoft denumit Point-to-Point Tunneling Protocol (PPTP). Fiind conceput pentru a suporta orice alt protocol de rutare, incluzând IP, IPX şi AppleTalk, acest L2TP poate fi rulat pe orice tip de reţea WAN, inclusiv ATM, X.25 sau SONET. Cea mai importantă trăsătură a L2TP este folosirea protocolului Point-to-Point, inclus de Microsoft ca o componentă a sistemelor de operare Windows 95, Windows 98 şi Windows NT. Astfel că orice client PC care rulează Windows este echipat implicit cu o funcţie de tunneling, iar Microsoft furnizează şi o schemă de criptare denumită Point-to-Point Encryption. În afara capacităţii de creare a unei VPN, protocolul L2TP poate realiza mai multe tunele simultan, pornind de la acelaşi client, de exemplu spre o bază de date a firmei şi spre intranetul aceleiaşi firme.Internet Protocol Security sau IPSec, este o suită de protocoale care asigură securitatea unei reţele virtuale private prin Internet. IPSec este o funcţie de layer 3 şi de aceea nu poate interacţiona cu alte protocoale de layer 3, cum ar fi IPX şi SNA. Insă IPSec este poate cel mai autorizat protocol pentru păstrarea confidenţialităţii şi autenticităţii pachetelor trimise prin IP. Protocolul funcţionează cu o largă varietate de scheme de criptare standard şi negocieri ale proceselor, ca şi pentru diverse sisteme de securitate, incluzând semnături digitale, certificate digitale, chei publice („public keys") sau autorizaţii. Încapsulând pachetul original de date într-un pachet de tip IP, protocolul IP-Sec scrie în header toată informaţia cerută de terminalul de destinaţie. Deoarece nu există modalităţi de autentificare sau criptare licenţiate, IPSec se detaşează de celelalte protocoale prin interoperabilitate. El va lucra cu majoritatea sistemelor şi standardelor, chiar şi în paralel cu alte protocoale VPN. De exemplu, IPSec poate realiza negocierea şi autentificarea criptării în timp ce o reţea virtuală de tip L2TP primeşte un pachet, iniţiază tunelul şi trimite pachetul încapsulat către celălalt terminal VPN.SOCKS 5 constituie o alta abordare a reţelelor virtuale private. Iniţial produs de Aventail, SOCKS 5 este puţin mai diferit de L2TP sau IPSec: el seamănă cu un server proxy şi lucrează la nivelul de socket TCP. Pentru a utiliza SOCKS 5, sistemele trebuie încărcate cu un software client dedicat. În plus, firma trebuie să ruleze un server de tip SOCK.S 5. Partea pozitivă a lui SOCKS 5 este aceea că permite administratorilor de reţea să aplice diverse limitări şi controale traficului prin proxy. Deoarece lucrează la nivel TCP, SOCKS 5 vă permite să specificaţi care aplicaţii pot traversa prin firewall către Internet şi care sunt restricţionate.

2.4 Securitate şi VPN

Reţelele private virtuale sunt un produs derivat al clasei de elemente de securitate ale unei reţele.Clientul accesează Internetul prin dial-up către un ISP, după care stabileşte un tunel autentificat şi criptat între el şi firewall-ul din intranetul accesat.

24


Astăzi securitatea reţelei este în principal asigurată de firewall-uri, produse care pun o bariera software între resursele companiei şi Internet.

Figura 2.5 Firewall CheckPoint Software Technologies şi Raptor Systems sunt două dintre cele mai cunoscute firme care vând soft de firewall pentru servere Unix, situate în apropierea router-ului de reţea. Alte firme, ca Cisco Systems şi Ascend Communications, vând produse de securitate la nivel de router. Cel mai întâlnit dintre protocoalele VPN discutate anterior este IPSec - un „open-standard" de securitate folosit de cele mai mari firme, printre care se numără IBM, Sun sau BayNetworks - pentru stabilirea comunicaţiilor directe private prin Internet. IPSec vă protejează datele în trei moduri, folosind tehnici criptografice:- Autentificare: Procesul prin care este verificată identitatea unui host sau staţie de lucru.- Verificarea integrităţii: Procesul prin care se semnalează orice modificări ale datelor survenite în procesul de transport prin Internet, între sursă şi destinaţie- Criptarea: Procesul de codificare a informaţiei în tranzit prin reţea, pentru a asigura caracterul său privatO soluţie completă pentru realizarea unei reţele VPN necesită îmbinarea a trei componente tehnologice critice: securitatea, controlul traficului şi administrarea la nivelul organizaţiei.

SecuritateaTehnologiile importante care acoperă componenta de securitate a unei reţele VPN sunt: controlul accesului pentru garantarea securităţii conexiunilor din reţea, criptarea, pentru protejarea confidenţialităţii datelor, autentificarea, pentru a verifica identitatea utilizatorului, ca şi integritatea datelor.

Controlul traficuluiO a două componentă critică în implementarea unei reţele VPN este dată de controlul traficului, realizat pentru un scop simplu şi clar: garantarea fiabilităţii, calităţii serviciilor şi a unor performanţe optime în ceea ce priveşte ratele de transfer. Comunicaţiile în Internet pot duce la apariţia unor zone de congestie, impropii unor

25


aplicaţii critice în domenniul afacerilor. Alternativa este dată de stabilirea unor priorităţi de rutare a traficului, astfel încât transferul datelor să fie realizat cu fiabilitate maximă.

Administrarea la nivelul organizaţieiUltima componentă critică este dedicată garantării unei intergrări complete a reţelei VPN în politica de securitate globală, unei administrări centralizate (fie de la o consolă locală, fie de la una la distanţă) şi unei scalabiltăţi a soluţiei alese.Deoarece în cazul reţelelor VPN nu există o reţetă unică, este necesară o combinaţie particulară a acestor trei componente, astfel încât rezultatul practic să întrunească criteriile de evaluare mai sus menţionate. In continuare vom prezenta mai pe larg diversele soluţii tehnologice care determină construirea componentei de securitate în reţele VPN.

2.5 Criptarea datelorCum se asigură confidenţialitatea datelor? Fără ca să existe un mecanism de criptare a datelor, acestea ar circula în clar pe canalele de comunicaţie publice ale Internetului. Aceste date ar putea fi citite şi interceptate prin tehnici banale (analizor de protocol, instrumente de diagnoză în reţea, adeseori incluse în sistemele de operare în reţea). Soluţia este dată de cifrarea sau criptarea datelor, astfel încât forma de transmisie a lor devine neinteligibilă. Sistemul care asigură prelucrarea consecventă a datelor în acest scop poartă denumirea de criptosistem, format din procesele de criptare/decriptare şi de participanţii la acesta - emiţătorul şi receptorul. În prezent există două tipuri de criptosisteme: cu cheie privată şi cu cheie publică.

Criptosisteme cu cheie privată (simetrice)Acest tip de sistem utilizează aceeaşi cheie secretă, atât pentru criptare cât şi pentru decriptare. Cheia este de fapt un şir de biţi, având o lungime fixată.Schemele de criptare simerică sunt foarte rapide, algoritmii utilizaţi în prezent de producătorii VPN sunt RC-4 (RSA), DES (Data Encryption Standard), IDEA (Internaţional Data Encryption Algorithm), triple-DES, FWZ-1 sau tehnologia de criptare Skipjack, propusă de guvernul Statelor Unite şi implementată în cipul Clipper. Fiecare dintre aceşti algoritmi diferă prin lungimea cheii, care adesea este asimilată cu "puterea" de criptare a algoritmului. Această putere determină efortul de calcul necesar pentru descoperirea cheii. Cu cât o cheie este mai lungă cu atât algoritmul de criptare este mai "puternic".Cu toate acestea, utilizarea doar a unui sistem cu cheie privată prezintă câteva dezavantaje. Din moment ce "cheia secretă" este folosită atât pentru criptare, cât şi pentru decriptare, oricine deţine această cheie poate intercepta datele care au fost sau nu cripatate, punând sub semnul riscului comunicaţiile desfăşurate sub această cheie. Din această cauză, cheile trebuie livrate într-o manieră intrinsec protejată, cum ar fi transferul direct între persoane. Confidenţialitatea comunicaţiilor se bazează pe integritatea cheii secrete, de aceea cheia trebuie înlocuită periodic. Prîntr-o înlocuire foarte frecventă, un anumit stil de criptare este expus publicului pentru o fereastră de timp cât mai mică.Această metodă de transmisie şi înlocuire a cheilor este acceptabilă în cazul unui număr mic de chei. Odată cu creşterea numărului de chei, procesul devine mult mai complicat. De exemplu, pentru 100 de utilizatori în VPN, într-un criptosistem şimetric, trebuie administrate 4950 de chei. In acest scenariu, componenta de setare şi distribuţie a

26


cheilor pe perechi de parteneri de comunicaţii, luând în conşiderare şi înlocuirea lor periodică, devine extraordinar de dificilă şi consumatoare de timp.

Criptosisteme cu cheie publică (aşimetrice)Un astfel de sistem foloseşte o pereche de chei aflate într-o relaţie matematică: o cheie privată, menţinută în secret în cadrul sistemului şi o cheie publică, ce poate fi cunoscută de oricine. Astfel crearea şi distribuţia cheilor, prin cheia publică, poate fi realizată mult mai simplu faţă de cazul unui criptosistem cu cheie privată. Există două tipuri de criptosisteme utilizate în mod curent în cazul unor reţele VPN; Diffie-Hellman (DH) şi Rivest Shamir Adlemen (RSA).

Diffie-HellmanUnul dintre modurile prin care două sisteme care comunică pot cădea de acord asupra unei valori pentru cheia de criptare este sistemul cu cheie publică Diffie-Hellman. In acest sistem, combinaţia dintre cheia privată a Anei şi cheia publică a lui Bogdan va genera acelaşi rezultat ca şi combinaţia dintre cheia privată a lui Bogdan şi cheia publică a Anei. Această proprietate poate fi extinsă la orice combinaţie de două chei, astfel încât cheia publică a oricărui partener de comunicaţii poate fi distribuită liber, fără a pune în pericol securitatea criptositemului. Cele două părţi, care schimbă propriile chei publice, sunt singurele care pot genera ceea ce se numeşte secretul comun (shared secret). Sistemul devine foarte sigur, fără ca o altă parte să poată crea sau cunoaşte secretul comun.Un criptosistem cu cheie publică poate fi folosit pentru sporirea unui sistem cu cheie privată, prin distribuirea unei chei secret comun celor două părţi care doresc să stabilească o sesiune de comunicaţii privată. Primul pas este obţinerea de către Ana a cheii publice a lui Bogdan şi obţinerea de către Bogdan a cheii publice a Anei. In continuare Ana şi Bogdan calculează cheia secretului comun. In fine, ei pot utiliza secretul comun pentru criptarea şi decriptarea tuturor transmişiilor de date dintre ei. Din acest punct de vedere, criptOSIsternul cu cheie publică Diffîe-Hellman este cunosct şi sub numele de sistem cu distribuţie de chei publice Diffie-Hellman.Există însă o componentă a mecanismului de distribuţie a cheii ce trebuie utilizat pentru a asigura provenienţa cheilor. Dacă cei doi corespondenţi, Ana şi Bogdan, îşi obţin cheile publice reciproce printr-un canal de comunicaţie nesigur, cum ar fi Internetul, ei trebuie să fie siguri de provenienţa cheilor. Ei nu îşi pot cere pur şi simplu cheile publice, din cauza pericolului ca altcineva (Emil) să supravegheze tocmai această sesiune de comunicaţii. Emil poate să intercepteze cererea lui Bogdan de a primii cheia publică a Anei şi să-şi trimită propria cheie publică către ambii corespondenţi. Dacă se întâmplă acest lucru, Ana şi Bogdan vor avea un secret comun cu Emil, care va devenii un virtual corespondent pentru fiecare dintre cei doi. Această situaţie este cunoscută sub numele de ameninţarea "omului din mijloc'1 (Man în the Middle). O metodă de protecţie împotriva acestei ameninţări, ca şi a altora, este utilizarea unei combinaţii între un criptosistem cu cheie publică cu RSA şi un sistem de semnături digitale, astfel încât distribuţia cheilor să fie realizată sigur şi protejat.

Rivest Shamir Adlemcn (RSA)Criptosisternul cu cheie publică RSA poate fi folosit pentru două scopuri: criptare şi semnături digitale. Orice informaţie criptată cu cheia privată RSA poate fi decriptată numai cu cheia publică RSA corespunzătoare. Dacă Ana îşi foloseşte cheia privată RSA

27


pentru criptarea unui mesaj, oricine deţine cheia sa publică poate decripta acel mesaj. În această manieră, schema RSA (cunoscută mai bine sub numele de Semnătură Digitală RSA) poate fi aplicată pentru atigerea unor scopuri diferite, inclusiv transportul cheilor sau a materialului criptat.

2.6 Semnături digitale şi autentificări de date

Aşa cum s-a văzut mai sus, un mesaj este introdus într-un algoritm matematic cunoscut sub numele de funcţie hash (demixare) care mapează valori mai mari pe valori mai mici. Mărimea mesajului este micşorată, astfel încât să se asigure performanţele maxime la transmisia pe reţea - cu cât un mesaj este mai scurt, cu atât mai puţine calcule sunt neceasare, deci şi performanţele sunt mai mari. Rezultatul funcţiei hash, cunuscut sub numele de message digest (sumar de mesaj) este apoi criptat cu cheia privată a emiţătorului. Sumarul de mesaj astfel criptat formează semnătura digitală, care va fi ataşată la mesajul original, ambele componente fiind apoi criptate şi trimise destinatarului. Acesta poate autentifica mesajul după cum urmează. Mai întâi, prin folosirea aceleiaşi funcţii de mixare de mai sus, stabilite de comun acord, se regenerează sumarul de mesaj. Semnătura digitală încorporată în mesaj este apoi decriptată cu cheia publică a expeditorului. În final, se compară cele două rezultate. Dacă şi numai dacă cele două sumare coincid, se poate concluziona cu siguranţă că: - mesajul a fost transmis prin utilizarea cheii private corespondente;- mesajul nu a fost alterat în decursul transferului.Unele dintre funcţiile de mixare criptografice folosite în procesul de semnătură digitală sunt: MD4, MD5, SHA-1 şi CBC- DES-MAC, între ele fiind diferenţe de lungime a cheilor şi de metodă de hash.Am descris cum pot fi folosite funcţiile hash/de mixare pentru transportul cheilor. Ele pot fi utilizate şi pentru a verifica dacă mesajul a fost recepţionat în forma originală (integritatea datelor). Atunci când sunt folosite pentru controlul integrităţii datelor, funcţiile hash (ca şi semnăturile digitale rezultate) sunt mult mai cunoscute sub numele de algoritmi de autentificare a datelor. Utilizarea unui sistem de semnături digitale pentru autentificarea datelor dovedeşte că:- mesajul a fost transmis de o anumită persoană şi nu a fost falsificat (autentificarea datelor);- mesajul nu a fost modificat sau corupt (integritatea datelor).Prin folosirea unei combinaţii între: schema de semnături digitale RSA, sistemul de distribuţie a cheilor Diffie-Hellman şi sistemul simetric de criptare cu cheie, se poate stabilii o sesiune criptată VPN care facilitează confidenţialitatea datelor, autentificarea datelor şi integritatea datelor. Odată cu stabilirea unei sesiuni criptate VPN, ea este protejată în faţa unor forme diferite de atac, inclusiv a "omului din mijloc".Securitatea unei reţele VPN nu se bazează numai pe algoritmi şi chei de sorginte matematică, ci şi pe un mecanism sigur de generare, distribuţie şi administrare a cheilor. Dacă aceste chei sunt compromise, atunci întreaga reţea poate fi compromisă. Entitatea responsabilă de generarea seturilor de chei private şi publice pentru fiecare utilizator, ca şi distribuire acestora, trebuie să aibă cel mai mare nivel de încredere. Asocierea perechilor de chei cu utilizatorii determină securitatea întregului sistem de chei. In acest scenariu, entitatea responsabilă este numită Certificate Authority (CA - Autoritatea de certificare), iar procesul de administrare a cheilor este realizat printr-un set de linii directoare stabilite global de industria de specific, cunoscut sub numele de Public Key

28


Infrastructure (PKI - Infrastructura publică pentru chei). CA este de obicei o terţă parte, a cărei responsabilitate unică sau set de produse se desfăşoară în jurul componentelor PKI, cum ar fi generarea, distribuţia, revocarea şi depozitarea cheilor.

Autentificarea utilizatorilor şi controlul accesuluiPână acum, discuţia s-a derulat în jurul componentelor de securitate legate de confidenţialitatea datelor, autentificarea datelor şi integritatea datelor. O importanţă de nivel asemănător o are autentificarea utilizatorilor (prin care se determină dacă utilizatorul este aceeaşi persoană cu cea care accesează reţeaua) şi controlul accesului (controlul resurselor de reţea pe care le poate accesa acest utilizator). Transmisia de date criptate este numai o parte a fluxului de date dîntr-o sesiune de comunicaţie. Utilizatorul trebuie să fie mai întâi autentificat, asfel încât să fie asociat unui anume profil de acces la domeniul de servicii, aplicaţii şi resurse din reţea.

Autentificarea utilizatorilorProcedurile de autentificare sunt implementate la nivelul punctului de acces la reţeaua VPN. Prin acestea se stabileşte identitatea persoanei care foloseşte "nodul VPN" şi se elimină posibilitatea unui acces neautorizat în reţeaua unei organizaţii.Cele mai cunoscute scheme de autentificare a utilizatorilor sunt: username/password (prin sistemul de operare), S/Key password (de unica folosinţă), schema de autentificare RADIUS şi schema bazată pe token. Cea mai puternică şi viabilă schemă de autentificare a utilizatorilor disponibilă în prezent pe piată este schema de autentificare cu doi factori (two-factor), care necesită două elemente pentru verificarea identităţii unui utilizator: un element fizic aflat in posesia acestuia (un token/jeton electronic) şi un cod care este memorat (un PIN - Personal Identification Number). Unele soluţii avansate au început să utilizeze mecanisme de identificare biometrice, cum ar fi amprentele digitale, vocale sau ale retinei. Cu toate acestea ele se află încă în partea de testare.Pentru evaluarea unei soluţii VPN, este importantă considerarea unei soluţii care prezintă atât mecanisme de autentificare a datelor, cât şi de autentificare a utilizatorilor. Furnizorii de soluţii VPN care suporla doar unui din cele doua tipuri de mecanisme de autentificare se refera la autentificare in mod generic, fara a detalia tipul. O soluţie VPN completa trebuie sa suporte atat autentificarea dalelor (procesul de semnatura digitala sau de integritate a datelor), cat şi autentificarea utilizatorilor (procesul de verificare a identitatii ulilizatorilor VPN).

Controlul accesuluiOdata ce a fost verificata identitatea persoanci, prolilul de utilizator va determina exact care resurse şi servicii pot sau nu sa fie accesate in rctea, fara a compromite securitatea reţelei.Arhitectura pentru controlul accesuluiAceasta arhitectura va afecta suportul existent şi viitor al serviciilor, aplicaţiilor şi protocoalelor disponibile într-o soluţie VPN. Unele soluţii de arhitectură, cum sunt cele bazate pe sistemele proxy, nu oferă o largă disponibilitate pentru aplicaţii şi servicii, deoarece fiecare aplicaţie pretinde existenţa unui proxy dedicat. O soluţie VPN completă va avea o arhitectură care suportă toate serviciile principale de pe Internet, încluzând browsere securizate şi setul tradiţional de aplicaţii Internet (e-mail, FTP, Telnet, etc.), întreaga familie TCP, protocoale neorientate pe conexiune (RPC), aplicaţiile bazate pe UDP, ca şi protocoalele definite de

29


utilizator. În plus, arhitectura VPN ar trebui să suporte atât sisteme API (Application Program Interfaces) cunoscute, cât şi standarde deschise, astfel terţii producători de aplicaţii să poată să-şi integreze produsele într-o soluţie VPN.

2.7 Tehnici de realizare a reţelelor VPNAşa cum am văzut, pentru a asigura confidenţialitatea datelor într-o transmisie pe canale de comunicaţii nesigure, cum este Internetul, pot fi folosite diverse tehnici criptografice. Modul de transmisie utilizat în cazul unei soluţii VPN va determina care părţi ale unui mesaj sunt criptate. Unele soluţii criptează întregul mesaj (antetul IP şi datele din mesaj), în timp ce altele criptează doar datele. Cele patru moduri de transmisie întâlnite în soluţiile VPN sunt:• In Place Transmisşion Mode (Modul de Transmisie In-place) - este de obicei o soluţie specifică unui anumit producător, în care doar datele sunt criptate. Dimensiunea pachetelor nu este afectată, prin urmare mecanismele de transport nu sunt afectate.• Transport Mode (modul transport) - doar segmentul de date este criptat, deci mărimea pachetului va creşte. Acest mod oferă o confidenţialitate adecvată a datelor pentru reţele VPN de tip nod-la-nod.• Encrypted Tunnel Mode (modul tunel criptal) - informaţia din antetul IP şi datele sunt criptate, anexându-se o nouă adresă IP, mapată pe punctele terminale ale VPN. Se asigură o confidenţialitate globală a datelor.• Non-encrypted Tunnel Mode (modul tunel necriptat) - nici o componentă nu este criptată, toate datele sunt transportate în text clar. Nu se oferă nici un mijloc de asigurare a confidenţialităţii datelor.Structura fiecăruia dintre aceste moduri de transmisie este arătată mai jos. Deşi poate părea ciudat, există şi soluţii VPN care nu realizează nici un mod de criptare. în schimb, pentru a oferi un grad de confidenţialitate a datelor, ele se bazează pe tehnici de încapsulare a datelor, cum ar fi protocoalele de tunelare sau forwarding.Nu toate protocoalele de tunelare şi forwarding folosesc un sistem criptografic pentru cofidenţialitatea datelor, ceea ce înseamnă că toate datele vor fi transmise în clar, punând sub semnul întrebării cum poate o astfel de soluţie să asigure protecţia împotriva interceptării datelor - cerinţă critică în cazul reţelelor VPN. Din nefericire, terminologia utilizată în industria de profil poate să contribuie la apariţia de astfel de confuzii. Pentru clarificarea acestor confuzii, trebuie ca utilizatorul să identifice care mod de transmisie este folosit. Ca şi în cazul autentificării datelor şi a utilizatorilor, modurile de transmisie trebuie să fie analizate dacă sunt criptate sau necriptate. Dacă o soluţie VPN nu furnizează nici o formă de criptare în scopul confidenţialităţii datelor, atunci această soluţie poate fi denumită mult mai corect Virtual Network (VN - reţea virtuală), din moment ce nimic nu este privat în această reţea Internet, între sursă şi destinaţie.

2.8 Standardizarea reţelelor VPN- Standardul IPSec

Este cunoscut faptul că numai standardele susţinute de industrie vor asigura interoperabilitatea aplicaţiilor. Administratorii care implementează o soluţie VPN sunt puşi în faţa unor anumite probleme, din cauza absenţei standardelor. Internet Engineering Task Force (IETF) a stabilit un grup de lucru numit IP Security (IPSec), dedicat definirii standardelor şi protocoalelor legate de securitatea Internetului. Unul dintre cele mai importante scopuri ale acestui grup de lucru este finalizarea standardului

30


IPSec, care defineşte structura pachetelor IP şi considerentele legate de securitatea în cazul soluţiilor VPN.IPSec a apărut în cadrul efortului de standardizare pentru IPv6 şi reprezintă singura soluţie deschisă pentru securizarea conexiunilor pe Internet. IPSec poate fi configurat pentru două moduri distincte: modul tunel şi modul transport. În modul tunel, IPSec încapsulează pachetele [Pv4 în cadre IP securizate, pentru transferul informaţiei între două sisteme firewall, de exemplu. In modul transport, informaţia este încapsulată într-un altfel de mod, încît ea poate fi securizată între punctele terminale ale conexiunii, deci "ambalajul" nu ascunde informaţia de rutare cap-la-cap. Modul tunel este cea mai sigură metodă de securizare, însă creşte gradul de încărcare a sesiunii de comunicaţie, prin mărirea dimensiunilor pachetelor.Există deja două idei majore în IPSec: Authentification Header (AH) şi Encapsulated Security Payload (ESP), definite după cum urmează:- Authentification Header (AH) este folosit pentru a furniza integritatea şi autentificarea originii pentru orice datagramă IP, fără ca aceste atribute să fie orientate pe conexiune. Această proprietate este denumită generic "autentificare".- Encapsulated Security Payload (ESP) furnizează autentificarea şi criptarea datagramelor IP folosind algoritmul de criptare stabilit de către utilizator. În autentificarea ESP, sumarul de mesaj este inserat la sfîrşitul pachetului (în timp ce în AH, sumarul se află în interiorul cîmpului de autentificare).Pe lângă autentificarea sursei, AH asigură numai integritatea datelor, în timp ce ESP, care asigura până acum doar criptarea, acum asigură atât criptarea, cât şi integritatea datelor. Diferenţa dintre integritatea datelor prin AH şi cea dată de ESP stă în scopul datelor care sunt autentificate. AH autetifică întregul pachet, în timp ce ESP nu autentifică antetul IP exterior. în autentificarea ESP, sumarul de mesaj se află în finalul pachetului, în timp ce în AH, sumarul se găseşte înăuntrul antetului de autentificare.Standardul IPSec stabileşte că înainte de orice transfer de date trebuie negociată o asociere de securitate (Security Association - SA) între cele două noduri VPN (de tip gateway sau client), să conţine toate informaţiile necesare pentru execuţia diferitelor servicii de securitate pe reţea, cum sunt serviciile corespunzătoare nivelului IP (autentificarea antetului şi încapsularea datelor), serviciile nivelurilor de transport sau aplicaţie, precum şi autoprotecţia traficului de date din negociere. Aceste formate furnizează un cadru consistent pentru transferul cheilor şi a datelor de autentificare, care este independent de tehnica de generare a cheilor, de algoritmul de criptare sau mecanismul de autentificare.IPSec poate fi privit ca un nivel intermediar sub stivă TCP/IP. Acest nivel este controlat de o politică de securitate pe fiecare maşină şi de o asociere de securitate negociată între emiţător şi receptor. Politica constă într-un set de filtre şi un set de profile de securitate asociate. Dacă un pachet are o adresă, protocolul şi numărul de port corespunzătoare unui filtru, atunci pachetul este tratat conform profilului de securitate asociat.Unul dintre avantajele majore ale elaborării unui standard IPSec este că structura standardizată a pachetului şi asocierea de securitate vor facilita interoperarea diferitelor soluţii VPN la nivelul transmisiei de date. Cu toate acestea, standardul nu oferă un mecanism automat de schimb pentru cheile de cripatare şi autentificare a datelor, necesare pentru stabilirea unei sesiuni criptate, aspect care introduce al doilea avantaj major al standardului: PKI sau infrastructura de administrare a cheilor. Acelaşi grup de lucru IPSec se ocupă şi cu stabilirea unui meanism standardizat de administrare a cheilor care să permită o negociere, distribuţie şi stocare a cheilor de criptare şi autentificare în

31


condiţii de completă corectitudine şi siguranţă. O standardizare în structura de pachete şi în mecanismul de administrare a cheilor va duce la completa interoperabilitate a diferitelor soluţii VPN.IPSec va avea un succes major în mediile LAN-LAN, însă în cazul consideraţiilor client/server va fi de o utilitate limitată la câţiva ani. Cauzele acestei disfuncţii stau în penetrarea relativ limitată a PKI şi în problemele de scalabilitate. Implementarea sa pretinde cunoaşterea domeniului de adrese IP pentru a stabili indentitatea utilizatorilor, cerinţă care face acest protocol impracticabil în mediile cu alocare dinamică a adreselor, cum este cazul ISP.IPSec nu suportă alte protocoale de reţea în afară de TCP/IP şi nu specifică o metodologie de control al accesului în afară de filtrarea pachetelor. Din moment ce foloseşte adreasarea TP ca parte al algoritmului de autentificare, se pare că este mai puţin sigur de cât alte protocoale de nivel înalt la capitolul identificarea utilizatorilor.Poate cel mai important dezavantaj al IPSec îl constituie absenţa unui sprijin ferm din partea Microsoft. Compania din Redmond nu a pomenit nimic despre suportul IPSec în sistemele sale de operare client. Se poate spune că IPSec se află în competiţie cu PPTP şi L2TP în ceea ce priveşte construirea de conexiuni tunel, de aceea nu este clar dacă Microsoft va face schimbări radicale în stiva IPv4 pentru a suporta IPSec la niveluri superioare. Inlocuirea stivelor IP existente şi distribuţia unor noi drivere de echipament se dovedesc a necesita atât un plus de effort, cât şi ceva mai mulţi bani.IPSec PKI şi administrarea cheilorO parte a standardului IETF IPSec constă în definirea unei scheme de administrare automată a cheilor, care include conceptul de PKI (Public Key Infrastructure). Aceasta este o comunitate deschisă de CA (Certificate Authoriţies - Autorităţi de certificare) care, în cele mai multe cazuri, utilizezază un model ierarhic pentru a construi asocieri de încredere acolo unde nu au existat. Existenţa PKI este importantă la stabilirea unei reţele VPN între o reţea de corporaţie şi o reţea a unui partener sau furnizor, deoarece necesită un schimb securizat de chei între ele, prin intermediul unei a treia părţi (CA), în care ambele noduri VPN au încredere. Schema obligatorie de administare automată a cheilor, definită de IETF IPSec pentru IPv6 este ISAKMP/Oakley (Internet Security Association and Key Management Protocol) cu opţiunea SKIP (Simple Key management for IP). Spre deosebire de soluţiile VPN care nu oferă nici o formă de administrare automată a cheilor, o soluţie VPN care suportă această caracteristică prin utilizarea uneia dintre tehnologiile de instalare VPN permite administratorilor de securitate să creeze, să distribuie şi să revoce cheile de criptare VPN în mod simplu şi sigur, prin intermediul sistemului PICI.

2.9 Alternative la IPSec

Alte soluţii VPN care sunt deja propuse sau imlementate ca alternative la standardul IPSec nu au nici o legătură cu aceasta. În schimb, ele furnizează protocoale de încapsulare a datelor, care "tunelează" protocoalele de nivel înalt în protococale de nivel legătură de date (L2). Iată câteva exemple în continuare:

Point to point tunneling protocol (PPTP)Reprezintă o extensie a Point-to-Point Protocol (PPP), care încapsulează datele, IPX sau NetBEUT în pachetele IP. Acest protocol este folosit în mod fundamental de

32


echipamentele ISP, deoarece duce la un numitor comun participanţii la sesiuni de comunicaţii.Este cea mai cunoscută dintre opţiunile pentru securitatea transferului de date în reţeaua VPN. Dezvoltat de Microsoft şi inclus în Windows NT v 4.0 pentru a fi folosit cu serviciul de rutare şi acces de la distanţă (Routing & Remote Access Service). Este plasat la nivelul 2 OSI.

Layer 2 forwarding (L2F)Un protocol de tip forwarding, folosit pentru tunelarea protocoalelor de nivel înalt într-un protocol de nivel 2 (legătură de date - Data Link). De exemplu, se folosesc ca protocoale L2: HDLC, HDLC asincron sau cadre SLIP. Deşi această soluţie facilitează conectivitatea pe linii de acces în reţele cu comutaţie de circuite, informaţia din fluxul L2F NU ESTE CRTPTATĂ. Acest protocol a fost creat de Cisco. Combinat cu PPTP, constituie componentă a L2TP.

Layer 2 Tunneling Protocol (L2TP)Un protocol care tunelează traficul PPP printr-o diversitate de reţele (IP, SONET, ATM), fiind folosit pentru furnizarea unor servicii de acces dial-up multiprolocol de către ISP, în anumite puncte de prezenţă (POP - Point of Presence). Este definit IETF şi suportă şi protocoale non-lP, cum ar fi Apple Talk şi IPX.Acest protocol suportă mai multe conexiuni simultane de tip tunel pentru acelaşi client şi este dedicat operatorilor de telecomunicaţii şi ISP. Utilizatorul accesează punctul de prezenţă al unui ISP, fără criptare, iar ISP-ul acţionează ca agent pentru utilizator, iniţiind un tunel criptat către destinaţia cerută. Reprezintă cea mai ieftină soluţie de asigurare a securităţii în reţelele VPN pentru mediile Microsoft.

Socks v5Un protocol IETF care defineşte cum sunt tratate aplicaţiile client/server TCP şi UDP printr-un server proxy. Soluţiile VPN bazate pe o asftel de tehnologie sunt de fapt implementări VPN bazate pe proxy, care nu sunt cu mult diferite faţă de orice altă soluţie VPN-proxy. Realitatea este că Socks v5 este un protocol IETF care nu oferă nici un avantaj de interoperabilitate pe care l-am aştepta de la o implementare VPN bazată pe standarde, cum se întâmplă în cazul IPSec.Socks v5 a fost dezvoltat de David Koblas şi promovat în IETF de către NEC Systems Laboratory. In prezent este singurul standard aprobat de IETF pentru utilizare în reţele VPN. Deşi nu este cunoscut ca alte protocoale, a câştigat un suport pe seră largă din partea unor producători de marcă, cum sunt Microsoft, Netscape şi IBM.Socks v5 controlează fluxul de date la nivelul 5 OSI. Datorită acestui nivel, protocolul oferă un control al accesului mult mai detaliat decât alte protocoale care operează la niveluri inferioare, aspect care determină permiterea sau rejectarea pachetelor doar în funcţie de adresele IP sursă sau destinaţie. Socks v5 stabileşte un circuit virtual între un client şi o gazdă la nivelul fiecărei sesiuni de comunicaţie, monitorizând şi controlând accesul la baza autentificării utilizatorilor, fără a fi necesară reconfigurarea fiecărei aplicaţii. Datorită faptului că Socks v5 şi SSL operează la nivelul de sesiune, ele prezintă abilitatea unică de a interopera peste Ipv4, IPSec, PPTP, L2TP sau orice alt protocol de nivel inferior. In plus aceste două protocoale posedă mai multă informaţie referitoare la aplicaţiile care rulează deasupra acestora, faţă de protocoalele de nivel

33


inferior, astfel încât pot oferi metode mult mai sofisticate de asigurare a securităţii traficului.Principalele dezavantaje rezidă în faptul că Socks v5 adaugă un nivel de securitate prin rutarea traficului printr-un sistem proxy, ceea ce duce la performanţe în general inferioare faţă de protocoalele de nivel inferior. In plus el prezintă o dependenţă faţă de modul de implementare a reţelelor VPN. Deşi gradul de securitate este mai ridicat în comparaţie cu soluţiile plasate la nivelul OSI reţea sau transport, acest supliment de securitate pretinde o administrare mult mai sofisticată a politicilor. Mai mult, pentru construirea de conexiuni printr-un sistem firewall sunt necesare aplicaţii client, astfel încât toate datele TCP/IP să fie transmise prin serverul proxy.

2.10 Metode de realizare a soluţiilor VPN

O soluţie VPN bazată pe Internet este alcătuită din patru componente principale:Internet-ul, porţile de securitate(gateways), politicile de securitate ale server-ului, şi autoritaţile de certificareInternet-ul furnizează mediul de transmitere. Porţile de securitate stau între reţeaua publică şi reţeaua privată, împiedicând intruziunile neautorizate în reţeaua privata. Ele, deasemenea, dispun de capacităţi de tunelare şi criptare a datelor înainte de a fi transmise în reţeaua publică. In general, o poartă de securitate se încadrează în una din urmatoarele categorii: routere, firewall, dispozitive dedicate VPN harware şi software.

RouterPentru că router-ele trebuie să examineze şi să proceseze fiecare pachet care paraseşte reţeaua, pare normal ca în componenţa acestora să fie inclusă şi funcţia de criptare a pachetelor. Comerciantii de routere dedicate VPN, de obicei oferă două tipuri de produse: ori cu un suport software pentru criptare, ori cu un circuit adiţional echipat cu un co-procesor care se ocupă strict de criptarea datelor. Acestea din urmă reprezintă cea mai bună soluţie pentru situatiile în care sunt necesare fluxuri mari de date. Trebuie avut grijă la adăugarea de noi sarcini pentru router(criptarea), pentru că, dacă router-ul nu poate face faţă şi “pică”, atunci întreg VPN-ul devine nefuncţionabil.Exemple:

Cisco 3660 Series Cisco 1710 Series Cisco 3620 Series

Figura 2.6 Routere folosite la VPN

34


Figura 2.7 Soluţie VPN bazată pe routere

Din punct de vedere al performanţelor, soluţia bazată pe routere este cea mai bună dar implică un consum foarte mare de resurse, atât din punct de vedere financiar cât şi din punct de vedere al resurselor umane, fiind necesari specialişti în securitatea reţelelor pentru a configura şi întreţine astfel de echipamente.Este o soluţie potrivită pentru companiile mari, care au nevoie de un volum foarte mare de trafic şi de un grad sporit de securitate

FirewallMulţi comercianţi de firewall includ în produsele lor capacitatea de tunelare.Asemeni router-elor, firewall-urile trebuie să proceseze tot traficul IP.Din această cauză, nu reprezintă o soluţie potrivită pentru tunelare in cadrul reţelor mari cu trafic foarte mare. Combinaţia dintre tunelare, criptare şi firewall reprezintă probabil soluţia cea mai bună pentru companiile mici, cu volum mic de trafic. Ca şi în cazul router-elor, dacă firewall-ul “pică”, întreg VPN-ul devine nefuncţionabil.Folosirea firewall-urilor pentru creearea de VPN reprezintă o soluţie viabilă, îndeosebi pentru companiile de dimensiuni mici, ce transferă o cantitate relativ mică de date(de

Biroul de acasaSediul central

Filiala

Internet

35


ordinul 1-2 MB pe reţeaua publică).

Figura 2.8 Firewall cu VPN integrat

Această soluţie, firewall cu VPN integrat prezintă avantajul unei securitaţi sporite (poarta de securitate a VPN-ului fiind protejata de filtrele aplicate de firewall) şi, de asemenea este mult mai uşor de întreţinut, facându-se practic management pentru amândouă componentele simultan

Echipamente harware dedicateO altă soluţie VPN o reprezintă utilizarea de hardware special proiectat să îndeplinească sarcinile de tunelare, criptare şi autentificarea utilizatorilor. Aceste echipamente opereză de obicei ca nişte punţi de criptare care sunt amplasate între router-ele reţelei şi legatura WAN( legatura cu reţeaua publică). Deşi aceste echipamente sunt proiectate pentru configuraţiile LAN-to-LAN, unele dintre ele suportă şi tunelare pentru cazul client-to-LAN.Integrând diverse funcţii în cadrul aceluiaşi produs poate fi destul de atrăgător pentru o firmă care nu beneficiază de resursele necesare pentru a instala şi întreţine diverse echipamente de reţea diferite. O simpla pornire a a unui astfel de echipament este mult mai simpla decât instalarea unui software pe un firewall, configurarea unui router şi instalarea unui server RADIUS. Chiar dacă multe din aceste echipamente hardware par ca oferă cele mai bune performanţe pentru un VPN, tot trebuie decis câte funcţii doreşti să integrezi într-un singur echipament. Companiile mici, care nu dispun de personal specializat în securitatea reţelelor vor beneficia de aceste produse care integrează toate functiile unui VPN. Unele produse- cele mai scumpe- includ surse duble de alimentare şi au caracteristici deosebite care asigură fiabilitatea funcţionarii.Este greu de depăşit performanta acestor echipamente în capacitatea lor de a susţine un volum de trafic mare şi un număr impresionant de tuneluri simultane, lucru esenţial pentru companiile mari.Exemple:

Cisco VPN 3002 Hardware Client

36


Figura 2.9 Client harware VPN

Soluţii software dedicateComponente software VPN sunt deasemenea disponibile pentru creearea şi întreţinerea de tuneluri, fie între două porţi de securitate, fie între un client şi o poarta de securitate. Aceste sisteme sunt agreeate datorită costurilor reduse şi sunt folosite pentru companiile mici, care nu au nevoie să procesese o cantitate prea mare de date. Aceste soluţii pot rula pe servere existente, împărţind astfel resursele cu acestea.Reprezintă soluţia cea mai potrivită pentru conexiunile de tipul client-to-LAN.Practic, se instalează o aplicaţie software pe calculatorul clientului care stabileşte conexiunea cu serverul VPN. Există multe firme producătoare de astfel de aplicaţii, Microsoft integrând, de altfel în ulimele sisteme de operare lansate soluţii software de acest gen. Asfel, sistemul de operare Windows 2003 Server are incorporat un server VPN iar, din punct de vedere al clienţilor, sistemele de operare Windows 2000 Pro, respectiv Windows XP au incorporat un client VPN. Practic se poate realiza o aplicaţie VPN fără a mai instala alte produse software sau hardware, trebuind doar configurate cele existente.Pe lângă porţile de securitate, o altă componentă importantă a unui VPN o reprezintă politica de securitate a server-ului. Acest server menţine listele de control al accesului şi alte informaţii legate de utilizatori. Porţile de securitate folosesc aceste informaţii pentru a determina care este traficul autorizat.În cele din urmă, autoritatea de certificare este necesara pentru a verifica cheile partajate între locaţii şi pentru a face verificări individuale pe baza certificatelor digitale. Companiile mari pot opta pentru a-şi menţine propria baza de date cu certificate digitale pe un server propriu, iar in cazul companiilor mici intervine o “terţă“ parte reprezentată de o autoritate de încredere.

2.11 Principalele avantaje ale reţelelor virtuale private

3002

Cable Modem

3002 DSL

3002

Utilizator

Filiala

Filiala

Internet

Concentrator VPN

37


Reducerea costurilor Reţelele private virtuale sunt mult mai ieftine decât reţelele private proprietare ale companiilor. Se reduc costurile de operare a reţelei (linii închiriate, echipamente, administratori reţea).Integrare, simplitate Se simplifică topologia reţelei companiei private. De asemenea, prin aceeaşi conexiune se pot integra mai multe aplicaţii: transfer de date, Voice over IP, Videoconferinţe.Mobilitate Angajaţii mobili precum şi partenerii de afaceri (distribuitori sau furnizori) se pot conecta la reţeaua companiei într-un mod sigur, indiferent de locul în care se află.Securitate Informaţiile care circulă prin VPN sunt protejate prin diferite tehnologii de securitate (criptare, autentificare, IPSec). Nu trebuie să vă temeţi că datele traficate prin VPN pot fi compromise.Oportunităţi, comert electronic Veţi putea implementa noi modele de business (business-to-business, business-to-consumer, electronic commerce) care pot aduce venituri suplimentare pentru companie.ScalabilitateAfacerea companiei creşte, deci apare o nevoie permanentă de angajaţi mobili şi conexiuni securizate cu partenerii strategici si distribuitorii.

38

Capitolul 3 Reţele Virtuale Private în Windows Server 2003

Capitolul 3-REŢELE VIRTUALE PRIVATE IN WINDOWS SERVER 2003

3.1 Windows Server 2003- prezentare generală

Familia serverelor Windows Server 2003, reprezintă fundaţia construită pentru firmele aflate pe o piaţă mereu în schimbare. Windows Server 2003 promite să ofere o fundaţie fără precedent pentru utilizarea calculatoarelor, pentru firmele de toate mărimile.Construit pe Windows 2000, Serverul Windows Server 2003 include toate funcţionalităţile pe care un client le-ar aştepta de la un sistem de operare Windows Server şi anume siguranţă, securitate şi scalabilitate. În plus, Microsoft a îmbunătăţit şi extins familia produselor Windows Server pentru a da posibilitatea firmelor să experimenteze total funcţionalitatea .NET.Familia de servere Windows include patru produse:

• Windows Web Server 2003Un produs nou din familia de servere Windows, serverul Windows Web Server 2003 este optimizat atât pentru găzduirea pe Web cât şi pentru deservirea sa. -usor de administrat -furnizează o platformă pentru dezvoltarea rapidă şi desfăşurareaserviciilor pe Web precum şi a aplicaţiilor care utilizează tehnologiaMicrosoft ASP.NET, o parte cheie a cadrului de lucru .NET.-se poate gestiona cu o interfaţă bazată pe browser de la o staţie delucru la distanţă.

• Windows Standard Server 2003 Windows Standard Server 2003 este un sistem de operare în reţeasigur care oferă rapid şi uşor soluţii pentru firme. Acest server flexibileste alegerea ideală pentru nevoile zilnice ale firmelor de toatemărimile.-acceptă partajarea fişierelor şi imprimantelor.-oferă conectivitate sigură la Internet.-permite desfăşurarea centralizată a aplicaţiilor din spaţiul de lucru.-oferă posibilitatea unei bogate colaborări între angajaţi, parteneri şiclienţi.-acceptă multiprocesarea şimetrică cu două căi şi până la 4 gigaocteţi(GO) de memorie.

• Windows Enterprise Server 2003 Construit atât pentru firmele medii cât şi pentru cele mari, Windows Enterprise Server 2003 oferă funcţionalitatea necesară pentru infrastructura firmei, aplicaţiile de tip linie de afaceri şi tranzacţiile comerciale electronice.-este un sistem de operare cu funcţionare completă care acceptă până la opt procesoare.-oferă caracteristici din clasa pentru firme cum ar fi clustering cu patrunoduri şi până la 32 GB de memorie.-este disponibil pentru computere bazate pe Intel® Itanium™.

39


• Windows Datacenter Server 2003 Server 2003 Construit pentru a oferi soluţii critice pentru firmele care neceşită cele mai scalabile baze de date şi o prelucrare a tranzacţiilor în volum mare, Windows Datacenter Server 2003 este o platformă ideală pentru consolidarea serverului.-este cel mai puternic şi cel mai funcţional sistem de operare pentru servere pe care l-a oferit vreodată Microsoft.-acceptă o multiprocesare şimetrică cu până la 64 de căi.

Avantajele familiei Windows Server 2003

Windows Server 2003 oferă patru avantaje primare care vă dau posibilitatea să:

Vă derulaţi afacerea pe cel mai sigur server WindowsServer 2003 este construit pe Windows 2000 cu îmbunătăţiri suplimentare şi caracteristici care vă pregătesc firma pentru .NET. Este arhitectura de calcul cea mai cuprinzătoare, puternică şi flexibilă oferită de Microsoft.Serverul Windows Server 2003 asigură fundaţia solidă necesară pentru construirea unui mediu de calcul cuprinzător, integrat şi flexibil care dă clienţilor cel mai mare răspuns la investiţiile lor IT de astăzi şi de mâine.

Construiţi aplicaţii inovatoare pe o platformă revoluţionară de dezvoltareWindows Server 2003 este construit pe standardele industriale care permit clienţilor să-şi extindă aplicaţiile existente şi să-şi dezvolte rapid unele noi.Dezvoltatorii pot să construiască direct pe serverul de aplicaţie utilizând serviciile Web precum şi codul administrat şi apoi vor rula aceste aplicaţii pe orice platformă de aplicaţii Web.Acest nivel de dezvoltare facilă a aplicaţiei încurajează înnoirea procesului afacerii şi sporeşte posibilităţile afacerii atât intern cât şi extern.

Îmbunătăţiţi comunicarea şi colaborarea angajaţilor din firmăFamilia de servere Windows Server 2003 ajută angajaţii să comunice mai bine şi să lucreze mult mai uşor împreună utilizând instrumentele promovate de colaborare în echipă şi comunicaţiile sigure în timp real. De asemenea, permite datelor mobile sigure precum şi fluxurilor de media să fie livrate unui mare număr de echipamente conectate.Deoarece serverul este disponibil în mod continuu, angajaţii pot să acceseze informaţiile din orice loc, în orice moment şi pe orice echipament existent în firmă care îmbunătăţeşte productivitatea.

Vă conectaţi sigur cu clienţiiServerul Windows Server 2003 ajută firmele să ajungă în mod sigur la clienţii lor şi să îmbunătăţească calitatea fiecărei legături. Prin utilizarea instrumentelor ce se pot particulariza şi a metodelor flexibile de comunicare cum ar fi fluxurile de media, firmele au posibilitatea să-şi adapteze serviciile şi comunicaţiile în vederea îndeplinirii dorinţelor clienţilor.Windows Server 2003 interacţioneză complet cu serverele bazate pe Windows 2000. Dacă utilizaţi deja un server Windows 2000, aveţi posibilitatea să faceţi uşor un upgrade şi să beneficiaţi de multiplele extenşii din serverul Windows Server 2003

40


Serviciile oferite de oricare din aceste produse sunt:

Servicii Web şi de aplicaţii:• Internet Information Services 5.0 (IIS)• Mediul de programare Active Server Pages (ASP)• Interpretor XML• Windows DNA 2000• Platformă multimedia• Aplicaţii cu suport Active Directory• Web Folders• Motor de telefonie Web• Tipărirea pe Internet• Suport pentru sisteme cu 8 GB de memorie• Performanţă ASP îmbunătăţită• Protecţia fişierelor Windows• Certificare de driver• Protecţia aplicaţiilor IIS• Certificarea aplicaţiei şi protecţia DLL-urilor

Servicii de securitate:• Suport pentru cele mai recente standarde de securitate• Autentificare Kerberos• Infrastructură cu cheie publică - Public Key Infrastructure (PKI)• Suport pentru carduri inteligente• Criptarea sistemului de fişiere• Set de instrumente pentru configurarea securităţii - Security ConfigurationToolset (SCTS)• Gestionarea politicii de grup PKI

Comunicaţii şi reţele:• Comunicaţii securizate în reţea• Serviciu de rutare şi acces de la distanţă• Virtual private networking (VPN)• DNS dinamic• Partajarea conexiunii Internet• Reţele

Integrare multi-platforme:• Interoperabilitate ridicată cu calculatoarele client• Interoperabilitatea aplicaţiilor şi directoarelor• Interoperabilitatea cu servere şi mainframe-uri

Servicii de terminal:• Servicii de terminal

Servicii de fişiere şi de tipărire:• Distributed File System (DFS)• Cote de disc

41


• Gestionarea ierarhică a stocării• Gestionare dinamică a volumelor• Backup şi recuperare

3.2 VPN-Tehnologii.Protocoale.Metode de autentificare

În cadrul sistemului de operare Windows Server 2003 există 2 tipuri de tehnologii VPN pentru acces la distanţă:1. Point-to-Point Tunneling Protocol (PPTP)-foloseşte ca metodă de autentificare protocolul Point-to-Point(PPP) iar pentru criptarea datelor foloseşte metoda Microsoft Point-to-Point Encryption (MPPE)2. Layer Two Tunneling Protocol cu IPSec(L2TP/IPSec)- foloseşte ca metodă de autentificare protocolul Point-to-Point(PPP) la nivel de utilizator, iar la nivel de calculator foloseşte metode de autentificare bazate pe certificate digitale, autenticitatea datelor, intergritatea datelor.Pentru că, atât PPTP cât şi L2TP depind foarte mult de caracteristicile specificate original pentru PPP(Point-to-Point Protocol), trebuie examinat cu atenţie acest protocol.PPP a fost proiectat pentru transferul de date prin intermediul conexiunilor dial-up şi conexiunile dedicate punct-la-punct. PPP încapsuleaza pachetele IP în interiorul cadrelor PPP, şi apoi le transmite pe o legătură punct-la-punct. Iniţial a fost definit ca un protocol care se foloseşte între un client dial-up şi un server de acces. Există patru faze distincte în negocierea unei conexiuni PPP. Fiecare dintre aceste patru faze trebuie să se incheie cu succes înainte ca datele să fie transferate.

Faza 1 – stabilirea legăturii

PPP foloseşte protocolul Link Control Protocol (LCP) pentru a stabili, întreţine şi încheia o conexiune logică punct-la-punct. În timpul fazei 1, sunt selectate opţiuni pentru comunicaţia de bază. De exemplu sunt selectate protocoalele de autentificare, dar ele nu sunt implementate până la faza 2, faza de autentificare a conexiunii. De asemenea, în timpul fazei 1 se ia decizia în legătură cu folosirea sau nu a compresiei şi/sau criptării datelor . Alegerea efectivă a algoritmilor de compresie şi criptare precum şi a altor detalii are loc în timpul fazei 4.

Faza 2 –autentificarea utilizatorilor

În faza 2 , clientul trimite datele de autentificare către serverul de acces de la distanţă. O schemă securizată de autentificare asigură protectia impotriva atacurilor de tip”răspuns înapoi” sau “impersonalizarea clientului”. Un atac de tip “răspuns înapoi” are loc atunci când o terţă parte monitorizează conexiunea realizată cu succes şi foloseşte pachetele capturate pentru a simula răspunsul clientului, obtinând astfel o conexiune autentificată .

42


Un atac de tipul“impersonalizarea clientului” are loc atunci când o terţă parte preia controlul unei conexiuni autentificate. Intrusul asteaptă până ce conexiunea a fost autentificată, păcăleşte parametrii de comunicaţie, deconectează utilizatorul autentificat şi preia controlul asupra conexiunii autentificate.Windows Server 2003 şi Windows XP suportă următoarele protocoale PPP de autentificare:

Password Authentication Protocol (PAP)Challenge-Handshake Authentication Protocol (CHAP)Microsoft Challenge Handshake Authentication Protocol (MS-CHAP)MS-CHAP verşion 2 (MS-CHAP v2)Extenşible Authentication Protocol-Message Digest 5 (EAP-MD5)Extensible Authentication Protocol-Transport Level Protocol (EAP-TLS)

Pentru conexiuni PPTP, se pot folosi doar MS-CHAP, MS-CHAP v2, or EAP-TLS.Doar aceste trei protocoale beneficiază de un mecanism pentru a genera aceeaşi cheie criptografică atât pentru clientul VPN cât şi pentru server. MS-CHAP şi MS-CHAP v2 sunt protocoale de autentificare bazate pe parole. În cazul în care nu se folosesc certificate individuale sau smart-card-uri, protocolul MS-CHAP v2 este recomandat, fiind un protocol de autentificare mai puternic decât MS-CHAP, el furnizând autentificare reciprocă( client catre server şi server catre client) Protocolul EAP-TLS este folosit în relaţie cu infrastructura de certificare şi foloseşte fie certificate, fie smart-card-uri. Cu acest protocol, clientul VPN işi trimite certificatul individual pentru autentificare, şi serverul trimite certificatul pentru calculator pentru autentificare. Aceasta este cea mai puternică metodă de autentificare, fiindcă nu se bazează pe parole.Se poate folosi şi o “terţă” parte, ca autoritate de certificare.Totul depinde de puterea financiară a companiei.Pentru conexiunile L2TP/IPSec se poate folosi orice protocol de autentificare, deoarece autentificarea se produce după ce clientul şi serverul au stabilit un canal de comunicaţie cunoscut ca “o asociere de securitate IPSec”.Pe parcusul fazei 2 a configurării legăturii PPP, serverul de acces la reţea colectează datele de autentificare pe care la validează în baza proprie de date sau la baza de date a unui server central de autentificare, cum ar fi un controler de domeniu sau un server RADIUS

Faza 3 : PPP Callback Control

Implementarea Microsoft a PPP include şi o faza optională de control prin “sunat inapoi”Această fază foloseşte protocolul Callback Control (CBCP), imediat după faza de autentificare. Dacă este configurat pentru “sunat inapoi”, atât clientul cât şi serverul de acces la reţea se deconectează după autentificare. Apoi serverul de acces sună clientul înapoi la numărul specificat. Acest lucru asigură un nivel suplimentar de securitate pentru conexiunile dial-up. Serverul de acces, practic permite conexiuni doar de la clienţii care fizic, folosesc un numar de telefon specific. Această metodă este folosită doar pentru conexiunile dial-up, nu şi pentru conexiunile VPN.

43


Faza 4 –invocarea protocoalelor nivelului de reţea

Odata ce faza 3 s-a terminat, PPP invocă diverse protocoale de reţea de control, care au fost selectate în timpul fazei 1 ( stabilirea legăturii ) pentru a configura protocolaele folosite de clientul de la distanţă. În momentul în care cele patru faze ale negocierii au fost îndeplinite, PPP începe să transfere date între cele două capete. Fiecare pachet de date transmis este împachetat într-un PPP header, care este îndepărtat de sistemul care receptionează. Dacă comprimarea datelor a fost selectată în faza 1 şi negociată in faza 4, datele sunt comprimate înaintea transmisiei. Daca criptarea datelor a fost selectată şi negociată, datele sunt criptate înaintea transmisiei. Daca atât criptarea, cât şi comprimarea sunt negociate, datele sunt înainte comprimate şi apoi criptate.

3.3 Protocolul de tunelare Punct-la-Punct (PPTP)

Introdus in Windows NT 4.0, PPTP foloseşte protocolul Point-to-Point(PPP) pentru autentificare la nivel de utilizator şi metoda de criptare Microsoft Point-to-Point Encryption (MPPE) pentru criptarea traficului IP. Odata cu utilizarea verşiunii 2 protocolului de autentificare bazat pe parolă Microsoft Challenge Handshake Authentication Protocol (MS-CHAP v2), PPTP a devenit o tehnologie VPN extrem de sigură.Pentru o autentificare care nu se bazează pe parolă se poate folosi Extensible Authentication Protocol-Transport Level Security (EAP-TLS), care asigură suport pentru smart-card-uri.Acest protocol are avantajul că nu are nevoie de o infrastructura de certificare, dar prezintă dezavantaje legate de faptul că nu asigură decât confidenţialitatea datelor, nu şi integritatea lor sau autenticitatea originii sursei. Este folosit pe scara larga, având şi avantajul unei configurări usoare.PPTP încapsulează cadrele PPP într-un format IP pentru transmisia printr-o reţea IP, cum ar fi Internetul. PPTP poate fi folosit pentru conexiuni VPN de tipul acces de la distanţă sau router-to-router. Acest protocol de tunelare foloseşte o conexiune TCP pentru întreţinerea unui tunel şi o versiune modificată a metodei de iîcapsulare Generic Routing Encapsulation (GRE), pentru încapsularea cadrelor ce urmează a fi transmise prin tunel.

Figura 3.1 Structura unui pachet PPTP

3.4 Protocolul de tunelare Layer Two Tunneling Protocol (L2TP)

44


Protocolul L2TP foloseşte protocolul Point-to-Point(PPP) pentru autentificarea la nivel de utilizator, iar ca metodă de criptare foloseşte IPSec pentru criptarea traficului IP. Acest protocol asigură integritatea datelor şi autenticitatea originii datelor pentru fiecare pachet. L2TP/IPSec are nevoie de o infrastructură de certificare pentru a aloca certificate calculatoarelor.L2TP reprezintă o combinatie a protocoalelor PPTP şi L2F, o tehnologie propusă de Cisco Systems, Inc. Acest protocol preia cele mai bune caracteristici de la PPTP şi L2F.Pentru transmiterea informatiei prin intermediul reţelelor IP, foloseşte protocolul UDP şi o serie de mesaje pentru întreţinerea tunelului.Foloseşte, de asemenea protocolul UDP şi pentru încapsularea cadrelor PPP.

Figura 3.1 Structura unui pachet L2TP

Pentru criptarea traficului, în cadrul implementării L2TP, Microsoft foloseşte metoda IPSec. Combinaţia dintre L2TP(protocol de tunelare) şi IPSec( metoda de criptare) este cunoscută sub numele de L2TP/IPSec

Figura 3.3 Criptarea cu IPSec

3.5 Comparatie PPTP cu L2TP

Atât PPTP, cât şi L2TP folosesc PPP pentru forma pachetelor de date, adaugând apoi headere pentru transportul prin Internet. Oricum, există urmatoarele diferenţe: cu PPTP, criptarea datelor începe după ce conectarea PPP a fost făcută; cu L2TP criptarea datelor

45


începe înainte de stabilirea conexiunii PPP prin negocierea unei asocieri de securitate IPSec. Conexiunile PPTP folosesc pentru criptare metoda MPPE, metodă care se bazează pe algoritmul de criptare Rivest-Shamir-Aldeman. Acest algoritm foloseşte chei de criptare de 40, 50, sau 128 de biti. Conexiunile L2TP folosesc o metodă de criptarre bazată pe algoritmul Data Encryption Standard (DES). Acest algortim foloseşte fie o cheie de 56 biti(DES) fie trei chei de 56 biti(3-DES).Conexiunile PPTP au nevoie doar de autentificare la nivel de utilizator. Coenxiunile L2TP/IPSec au nevoie de aceeaşi autentificare la nivel de utilizator, şi în plus de o autentificare la nivel de calculator folosind certificate de calculator.

Avantaje L2TP/IPSec fata de PPTP:-IPSec asigură autenticitatea originii datelor pentru fiecare pachet( dovada ca datele au fost trimise de utilizatorul autentificat).-integritatea datelor (dovada ca datele nu au fost modificate în tranzit). -confidenţialitatea datelor ( altfel spus, criptarea datelor, prevenind interceptarea pachetelor).-conexiunile L2TP/IPSec asigură o autentificare puternică având nevoie atât de autentificare la nivel de utilizator, cât şi de autentificare la nivel de calculator.-schimbul de pachete PPP în timpul fazei de autentificare nu are loc niciodată sub o formă necriptată, pentru că conexiunea PPP se realizează dupa ce se stabileşte asocierea de securitate. Daca nu ar fi criptate, aceste pachete ar putea fi interceptate, şi astfel s-ar putea determina parola utilizatorului.

Avantaje PPTP fata de L2TP/IPSec-PPTP nu are nevoie de o infrastructură de certificare, pe cand L2TP/IPSec are nevoie de acest lucru pentru a elibera certificate pentru serverul VPN şi clienţii VPN-Clienţii PPTP pot fi aşezaţi în spatele unui translator de adrese de reţea(NAT- network address translator). Cu ajutorul sistemului de operare Windows Server 2003 şi serviciului de rutare şi acces de la distanţă se poate realiza orice aplicatie VPN, indiferent de soluţia pe care o alegem: acces de la distanţă, intranet VPN sau extranet VPN

3.6 VPN- acces de la distanţă in Windows Server 2003

Un client(un calculator) stabileşte o conexiune VPN la distanţă cu o reţea privată. Serverul VPN asigură accesul către întreaga reţea la care este conectat. Clientul VPN se autentifică la serverul VPN, şi reciproc, serverul se autentifică la client. Calculatoarele pe care rulează următoarele sisteme de operare, Windows Server 2003, Windows XP, Windows 2000, Windows NT verşion 4.0, Windows Millennium Edition, şi Windows 98 pot iniţia conexiuni VPN de la distanţă catre un server VPN care ruleaza pe un sistem de operare Window Server 2003.

46


Figura 3.4 VPN – acces de la distanţă

Componentele principale ale unei structuri VPN-acces de la distanţă sunt:-Clienţii VPN-Infrastructura Internet-Serverul VPN-Infrastructura Intranet-Infrastrucura pentru autentificare şi autorizare-Infrastructura pentru certificare

Figura 3.5 Infrastructura unei soluţii VPN-acces de la distanţă

3.6.1 Clienţii VPN

47


Un client VPN poate fi orice calculator capabil sa creeze o conexiune PPTP folosind MPPE sau o conexiune L2TP folosind criptarea IPSec .

VPN Tunneling Protocol Microsoft Operating System

PPTP Windows Server 2003, Windows XP, Windows 2000, Windows NT verşion 4.0, Windows Millennium Edition, or Windows 98

L2TP/IPSec Windows Server 2003, Windows XP, Windows 2000, and Windows NT 4.0 Workstation, Windows Millennium Edition, and Windows 98 with Microsoft L2TP/IPSec VPN Client

Clienţii VPN sunt , de obicei, utilizatori care operează pe laptopuri şi doresc să se conecteze la intranetul local, pentru a-şi accesa mail-ul sau alte resurse din reţea.Tot prin VPN, se poate conecta şi un administrator de la distanţă pentru a face anumite configuraţii.Un client VPN se poate configura manual sau folosind aplicaţia Connection Manager, disponibilă in Windows Server 2003. Pentru a configura manual, se foloseşte New Connection Wizard din folder-ul Network Connections pentru a crea o conexiune VPN către adresa IP sau numele DNS al server-ului VPN.Daca clienţii VPN vor sa iniţieze conexiuni de tip L2TP sau sa folosească certificate pentru autentificare la nivel de utilizator, aceste certificate trebuiesc instalate pe calculatoarele respective . Aceste certificate se cer de la o autoritate de certificare din intranetul respectiv.

3.6.2 Infrastructura Internet

Pentru a creea o conexiune VPN prin intermediul Internetului, trebuiesc îndeplinite anumite condiţii, şi anume:-numele serverului VPN trebuie să fie solvabil(să se poată accesa serverul şi după numele său, nu doar după adresa IP)-serverul trebuie să fie accesibil (conexiune la Internet)-traficul VPN trebuie să fie permis către şi dinspre serverPentru a ne asigura că putem accesa serverul dupa numele său(VPN1.firma.ro), trebuie să ne asigurăm caă acestui nume îi corespunde adresa IP exactă a serverului VPN. Altfel spus, serviciul DNS trebuie configurat corect.Pentru a fi accesibil, serverului VPN îi trebuie alocată o adresă IP publică, către care pachetele vor fi înaintate de infrastructura de rutare a Internetului.În cazul în care se foloseşte un firewall pentru protecţie, există două situaţii:1.Serverul VPN este conectat direct la Internet şi firewall-ul este între serverul VPN şi intranet.

48


În acest caz, serverul VPN trebuie configurat să facă filtrarea pachetelor pentru traficul permis de VPN să treacă, iar firewall-ul poate fi configurat să permită anumite tipuri de trafic(acces de la distanţă).2.Firewall-ul este conectat direct la Internet, iar serverul VPN este între firewall şi intranet.În acest caz, atât firewall-ul cât şi serverul VPN sunt conectate la un segment de reţea cunoscut ca”perimetru de reţea” sau “zona demilitarizata”.Atât firewall-ul cât şi serverul VPN trebuiesc configurate să facă filtrarea pachetelor pentru traficul permis de VPN.

3.6.3 Serverul VPN

Un server VPN reprezintă un calculator pe care rulează sistemul de operare Windows Server 2003 şi este activat serviciul de rutare şi acces de la distanţă (“Routing and Remote Access service.”) Pentru a putea vorbi despre VPN în Windows Server 2003, trebuie să spunem câteva cuvinte despre rutare şi despre serverul de rutare furnizat de acest sistem de operare. Întreg conceptul de VPN se bazează pe rutare şi acces de la distanţă. Aceste funcţii sunt oferite în Windows Server 2003 de serviciul Routing And Remote Access. Acest serviciu este instalat implicit, dar în mod dezactivat. El reprezintă practic un software de rutare care poate fi configurat să conecteze 2 segmente de reţea separate.Rutarea reprezintă procesul de transfer al datelor între reţele , practic transferul datelor de la o reţea locală la alta reţea locală. Precum o punte (bridge) conectează segmente de reţea şi partajează traficul în funcţie de adresele hardware ( adresele MAC) aşa şi un ruter primeşte şi înaintează traficul spre căile potrivite, în funcţie de adresarea software (adresele IP).Punţile operează la nivelul 2 OSI(nivelul legătură de date).Ruterele operează la nivelul trei, nivelul de reţea, ele fiind denumite echipamente de nivelul trei. În reţelele IP, rutarea este făcută conform tabelelor de rutare. Toate gazdele folosesc tabele de rutare pentru a înainta traficul IP. Ruterele IP se deosebesc de gazde prin faptul că ele folosesc aceste tabele de rutare pentru a înainta traficul care provine de la alt ruter sau altă gazdă

3.6.4 Serviciul Rutare şi acces de la distanţă( Routing And Remote Access)Serviciul “Rutare şi acces de la distanţă” în Windows Server 2003 reprezintă practic un software de rutare multiprotocol care poate fi integrat cu usurinta cu caracteristicile Windows, precum conturile de securitate şi politicile de grup. Acest serviciu poate fi configurat pentru rutare între:-doua reţele locale (LAN-to-LAN)-o reţea locală şi o reţea globală (LAN-to-WAN)De asemenea poate face rutare pentru reţele virtuale private sau servere de traducere a adreselor (Network Address Translation (NAT)).Suplimentar, acest serviciu prezintă multe caracteristici pentru utilizarea serviciilor DHCP sau filtrarea pachetelor. Are suport incorporat pentru protocolae dinamice de rutare precum Routing Information Protocol (RIP) şi Open Shortest Path First (OSPF).Ruterele hardware includ multe porturi incorporate, fiecare dintre ele fiind conectat la un segment de reţea distinct. Astfel se poate face rutare de la un port către alt port.

49


Pentru serviciul de rutare şi acces de la distanţă, numărul segmentelor de reţea între care se poate face rutare este limitat de numărul interfetelor de reţea instalate în calculatorul pe care rulează Windows Server 2003Configurarea serviciului de rutare şi acces la distanţă se face foarte usor folosindu-ne de interfaţa grafică pusă la dispoziţie de sistemul de operare.Funcţiile unui server VPN sunt următoarele:- verifică dacă sunt încercări de conectare pentru conexiuni PPTP sau dacă sunt încercări pentru relizarea unor “asocieri de securitate” pentru conexiuni L2TP.-se comportă ca un ruter pentru clienţii VPN şi resursele din intranet, permiţând traficul n ambele direcţii.-se comportă ca un capăt de tunel VPN faţă de clientul care foloseşte tunelul( de obicei clientul VPN)- se comportă ca un capăt de conexiune VPN fată de clientul VPNServerul VPN are de obicei două sau mai multe interfeţe de reţea( una conectată la Internet şi una sau mai multe conectata la intranet (sau diferite segmente de reţea). Cu Windows Server 2003 se pot creea până la 1000 de conexiuni VPN folosind protocolul PPTP şi tot atâtea conexiuni folosind protocolul L2TP. Daca se ajunge la numărul maxim de clienţi VPN admişi simultan, următoarele conexiuni VPN sunt refuzate, până cand numărul de clienţi scade sub limita maximă.La configurarea serviciului de rutare şi acces de la distanţă, suntem întrebaţi ce rol dorim sp îdeplinească calculatorul respectiv. Pentru un server VPN trebuie aleasă opţiunea de configurare “Remote access (dial-up or VPN)”Când configurăm un server VPN, trebuie să avem în vedere următoarele:-care interfaţă de reţea se va conecta la Internet şi care la reţeaua locală-modul de configurare a adreselor IP pentru interfeţele serverului ( este indicat ca adresa interfeţei conectată la Internet să fie introdusă manul şi nu alocată automat de un server DHCP) precum şi modul în care vor fi alocate adresele IP pentru clienţii VPN( se pot aloca adrese automat de către un server DHCP sau alocarea adreselor o va face chiar serverul VPN împărţind adrese dintr-o “plaja” pre-definita ) -modalitatea de autentificare( autentificarea se poate face, fie folosind politicile Windows, fie folosind un server RADIUS, dedicat)

3.6.5 Infrastructura Intranet

Reprezintă, practic reţeaua locală unde se află resursele pe care un client VPN doreşte să le acceseze de la distanţă. Trebuie ţinut cont de felul în care se face alocarea adreselor, astfel ca un client VPN să poată accesa aceste resurse din exterior.Infrastructura pentru autentificareRolul unei infrastructuri pentru autentificare este:-autentifică clienţii prin diferite metode-autorizează conexiunile VPN-înregistrează când şi cine a stabilit o conexiune sau a încheiat o conexiune (pentru ţinerea unor evidenţe)O astfel de infrastructură este alcătuită din:-server VPN-server RADIUS de autentificare-controler de domeniu

50


În Windows Server 2003, un server VPN poate fi configurat fie pentru autentificare folosind politicile Windows, fie folosind un server RADIUSDacă se configurează o autentificare Windows, serverul VPN relizează autentificarea conexiunii comunicând cu un controler de domeniu printr-un canal securizat. Controlerul de domeniu verifică în politicile sale de securitate şi autorizează sau nu conexinea.Daca se configurează autentificare pe baza unui server RADIUS, serverul VPN se bazează în totalitate pe serverul RADIUS, acesta făcând atât autentificarea, cât şi autorizarea conexiunii.Un aspect important al metodelor de autentificare cât şi al securitaţii îl reprezintă ”politicile de acces de la distanţă”( Remote Access Policies )Acestea reprezintă un set de reguli care definesc modul în care conexiunile sunt fie acceptate, fie refuzate. Pentru conexiunile acceptate se pot defini anumite restricţii. Pentru fiecare regulă există una, sau mai multe condiţii, un pachet cu setări ale profilului, şi o setare pentru permiterea accesului de la distanţă. Incercările de conectare sunt evaluate în funcţie de aceste politici, încercând să se determine dacă sunt îndeplinite toate condiţiile ale fiecărei reguli. Dacă nu sunt îndeplinite, conexiunea este respinsă. Daca conexiunea îndeplineşte toate condiţiile şi îi este permis accesul, acesteia i se aplică un set de restricţii.Politicile de acces de la distanţă sunt alcătuite din:-condiţii-permisiunea de acces-setări ale profilului

Condiţii: Reprezintă unul sau mai multe atribute care sunt comparate cu atributele conexiunii. Dacă sunt mai multe condiţii, atunci toate aceste condiţii trebuiesc îndeplinite.Pentru conexiunile VPN, cele mai folosite condiţii sunt:NAS-Port-Type (felul portului)-punând condiţia ca felul portului să fie VPN, se specifică astfel toate conexiunile VPNTunnel-Type (felul tunelului)-se pot specifica politici diferite pentru conexiunile PPTP sau L2TPWindows-Groups (grupuri de Windows)-se poate permite sau nu accesul pe baza apartenenţei la anumite grupuri

Permisiunea de acces:Aceasta setare se foloseşte pentru a permite sau a nu permite accesul unei conexiuni, dacă permisiunea accesului de la distanţă pentru contul utilizatorului repspectiv este potrivită pe opţiunea “Control access through Remote Access Policy”.

Setări ale profilului: Reprezintă un set de proprietăţi care sunt aplicate unei conexiuni când este autorizată.

3.6.6 Infrastructura pentru certificare

51


La conexiunile L2TP, pentru a putea utiliza o metodă de autentificare bazată pe certificate sau smart-carduri, trebuie să existe o infrastructură de certificare, numită “infrastructura de chei publice”(PKI). Practic, trebuie să existe o autoritate de cetificare (certification authority –CA) care să emită certificate atât pentru server cât şi pentru client. Aceste certificate se instaleaza pe calculatorul client şi pe server, urmând ca la conexiunile ulterioare să fie validate de autoritatea de certificare.La conexiunile PPTP nu este necesară o asemenea infrastructură pentru certificare.

52

Capitolul 4 Implementarea unei soluţii VPN pentru o firmă de transport

Capitolul 4-Implementarea unei soluţii VPN pentru o firmă de transport

4.1 Factori si cerinţe de proiectare

Tema acestei lucrări o constituie proiectarea unei aplicaţii VPN care să deservească o firmă de transporturi cu un sediu central în Bucureşti şi trei filiale în ţară(Piteşti, Iaşi, Timişoara).Zilnic, filiale din ţara trebuie să trimită date către sediul central.Pentru a putea face acest lucru, există două posibilităţi: fie se creează un Intranet cu toate locaţiile pe baza unei conexiuni permanente (linii inchiriate) între sediul central şi restul locaţiilor, fie se optează pentru o soluţie de tip VPN. Prima variantă implică costuri foarte mari(menţinerea unei conexiuni permanente este foarte scumpă).Astfel s-a optat pentru o soluţie VPN.În proiectarea unei aplicaţii VPN trebuie ţinut cont de urmatorii factori:-caţi utilizatori sunt în fiecare locaţie?-ce fel de legătură la Internet este necesară? Va fi o legătură permanentă sau o legătură la cerere? -traficul generat de fiecare locaţie-dacă va fi o conexiune la cerere,cât de des se va stabili conexiunea la Internet?Gradul de fiabilitate dorit al conexiunii?-dacă va fi o conexiune permanentă, care este timpul minim de funcţionare tolerat(uptime)?este necesară o a doua conexiune pe post de back-up?

De asemenea, o soluţie VPN trebuie să furnizeze obligatoriu următoarele servicii:Autentificarea utilizatorilor- trebuie să verifice identitatea utilizatorului şi să permită accesul VPN numai utilizatorilor autorizaţi. Trebuie, de asemenea să furnizeze înregistrari despre cine şi când a accesat informaţia.Management-ul adreselor IP- trebuie să aloce adrese IP clienţilor din reţeaua privată şi să se asigure că aceste adrese rămân private.Criptarea datelor- informaţia transportată prin reţeaua publică trebuie să nu poată fi citită de clienţii neautorizaţi din reţea.Management-ul cheilor de criptare- trebuie să genereze şi să reînoiască cheile de criptare pentru clienţi şi pentru serverSuport pentru diverse protocoale- trebuie să poată lucra cu protocoalele obişnuite folosite in reţeaua publică(IP, IPX, etc) O soluţie VPN bazată pe protocolul “ Point-to-Point Tunneling”(PPTP) sau “Layer 2 Tunneling”(L2TP) îndeplineşte toate aceste cerinţe.Pe baza celor spuse mai sus, soluţia optimă pentru firma noastra de transport o reprezintă o aplicaţie VPN de tipul “Acces de la distanţă-Remote Access”.Va exista un server VPN la sediul central, iar clienţii se vor conecta prin linie telefonică(dial-up) de câte ori este nevoie la un furnizor local de servicii Internet şi astfel vor accesa reţeaua publică Internet. Pe baza acestei conexiuni, clientul VPN va iniţia un “tunel” între el şi serverul VPN, realizându-se astfel un transfer de date securizat. Aceasta reprezintă soluţia optimă în cazul nostru, ţinând cont că există un singur client în fiecare locaţie, volumul de date transferat este mic(5-10 MB) şi nu este necesară o conexiune permanentă, fiind suficientă o conexiune de maxim 3 ore.Implementarea se va realiza în două etape:

53


-implementarea la sediul central-implementarea la filiale(clienţi)

4.2 Implementarea la sediul central-Bucureşti(Server VPN)

La sediul central avem:-un calculator server(Windows Server 2003)-5 calculatoare staţii de lucru(Windows XP)-o imprimantă de reţeaDe asemenea avem şi o legătură permanentă la Internet.Calculatorul server va avea funcţia de server pentru reţeaua locală formată din cele cinci calculatoare şi funcţia de server VPN pentru clienţii din ţară.

Configurare server:Server-ul va avea două interfeţe de reţea:-o interfaţă care va fi conectată la Internet;aceasta va fi configurată manual cu adresa IP furnizată de ISP(193.200.150.17)-o interfaţă care va fi conectată la reţeaua locală;aceasta va fi configurată manual cu adresa privată 192.168.0.1Pentru ca, un utilizator să se poată conecta de la distanţă, este obligatoriu ca el să aibă un cont de utilizator în cadrul domeniului sau grupului de lucru gestionat de server.În cazul nostru există un grup de lucru(NumeFirma), în cadrul caruia creem un grup de utilizatori ”FILIALE”. Mai departe, în cadrul grupului de utilizatori creem utilizatorii care se vor conecta de la distanţă, practic clienţii VPN.Astfel vom avea urmatorii utilizatori, cu nume generice: “Piteşti”, “ Timişoara ” , “Iaşi”. La creearea utilizatorilor, se vor crea practic conturi de acces în reţea. Aceste conturi se vor conforma politicilor de securitate stabilite în Windows Server 2003. Este o autentificare bazată pe nume de utilizator şi parolă.Pentru fiecare utilizator trebuiesc setate anumite proprietaţi, pentru a putea avea acces de la distanţă. Asfel, la fiecare cont de utilizator se va merge la “Proprietaţi” şi apoi la butonul “Dial-in”.

54


Figura 4.1 Setarea proprietăţilor de “dial-in”

Aici putem stabili dacă utilizatorul respectiv are sau nu drept să se conecteze la distanţă. Ca o măsură suplimentară de securitate, se poate seta opţiunea “Verify Caller ID”, adică să se permită accesul, numai daca se conectează de la un număr de telefon predefinit.În cazul nostru, vom seta ca la toţi utilizatorii să fie permis accesul pe baza politicii de securitate a serverului de acces la distanţă(“Control access through Remote Access Policy”).Aceasta va fi configurată ulterior.Acum urmează să configurăm serverul de rutare şi acces în reţea (“Routing and Remote Access”).În stare initială, serverul de rutare şi acces în reţea este instalat, dar nu este activat.Pentru configurare există un “vrajitor”(wizard) care ne îndrumă pas cu pas şi ne arată diverse opţiuni, din care noi le vom alege pe cele care se potrivesc cu implementarea noastră. Prima dată suntem întrebaţi care sunt funcţiile pe care serverul nostru le va îndeplini:

55


Figura 4.2 Alegerea funcţiilor care vor fi îndeplinite

Alegem a treia opţiune, adică serverul să accepte conexiuni securizate VPN de la clienţii de la distanţă iar clienţii locali să se poată conecta la Internet prin intermediul acestui server.Ei vor folosi pentru a accesa Internet-ul o singură adresă publică(adresa furnizată de ISP).

Următorul pas este alegerea interfeţei care se conectează la Internet:

Figura 4.3 Alegerea interefeţei conectate la Internet

56


Selectăm interfaţa care se conectează la Internet( aceasta este interfaţa configurată cu adresa IP de la ISP). Tot aici avem ocazia de a activa şi un firewall (în cazul în care nu avem o soluţie special pentru acest lucru).Ca în orice proiect de implementare a unei soluţii bazate pe reţelistică, şi în cadrul soluţiei VPN se pune problema alocării adreselor IP.

Figura 4.4 Modalitatea de alocare a adreselor

Avem două opţiuni: - alocarea să se facă automat, iar atunci adresele vor fi alocate de un server DHCP, în cazul în care există un astfel de server în reţea. Daca nu există, chiar acest server va genera aleator şi va aloca aceste adrese.-alocarea adreselor să se facă dintr-o plajă de adrese specificată de utilizator.Vom alege ultima variantă, în primul rand pentru că nu avem un server DHCP în reţeaua noastră, iar in al doilea rând, cred că este mai bine ca cel care configurează serverul VPN sa ştie ce fel de adrese au clienţii VPN.Vom seta ca adresele alocate pentru clienţii VPN să fie de la 192.168.0.10 pană la 192.168.0.20.

57


Figura 4.5 Plaja de adrese

Aici există 2 aspecte importante:-adresele specificate trebuie să fie din aceeaşi clasă de IP-uri cu adresele clienţilor locali, pentru că, altfel, clienţii de la distanţă nu vor putea accesa resursele clienţilor locali şi invers;practic, ei nu se vor “vedea” între ei-am definit plaja de adrese să poată cuprinde 11 adrese, chiar dacă există doar 3 clienţi ; am făcut acest lucru pentru că, în eventualitatea extinderii firmei, se pot deschide mai multe filiale, moment în care server-ul va putea să aloce adrese pentru noii clienţi; de asemenea, oamenii din conducere poate doresc să acceseze resursele companiei de acasă, de pe calculatoarele personale, sau de pe laptopuri, în momentul cand sunt plecaţi în ţară la anumite negocieri.Acest lucru se poate face prin VPN, iar serverul trebuie sa fie pregătit să aloce adresele necesare.Odată problema adreselor IP rezolvată, suntem întrebaţi cine dorim să facă autentificarea utilizatorilor:

58


Figura 4.6 Autentificarea

Dupa cum am mai spus, autentificarea poate fi făcută chiar de server-ul de acces, sau de către un server RADIUS dedicat, proiectat special să facă acest lucru.La companiile mari, cu mai multe servere de acces este recomandată soluţia cu server RADIUS.În cazul nostru, vom opta pentru prima variantă, şi anume că autentificarea va fi făcută de către server-ul de acces. Ulterior vom stabili şi nişte politici de securitate, pentru a fi siguri că nu se vor conecta utilizatori neautorizaţi.

La sfârşit, ne este prezentat un rezumat al tuturor opţiunilor alese:

Figura 4.7 Rezumatul opţiunilor alese

59


În momentul acesta serverul nostru este configurat pentru a accepta conexiuni securizate VPN din Internet de la clienţii din ţară şi permite accesul la Internet pentru utilizatorii locali.Ca implicit, serverul de rutare şi acces de la distanţă permite 128 conexiuni PPTP şi 128 conexiunii L2TP. În funcţie de nevoi, se mai pot adăuga sau se mai pot scoate porturi.Toate configuraţiile care au fost făcute, se pot modifica oricând, Windows Server 2003 oferind o interfaţă grafică foarte uşor de utilizat:

Figura 4.8 Interfaţa server de rutare şi acces la distanţă

Acum, avem conturi de utilizatori, avem şi serverul de rutare şi acces de la distanţă configurat. Mai trebuie să stabilim nişte politici de securitate pentru accesul de la distanţă, pentru că, de fapt, asta este scopul unei soluţii VPN:securitatea.Pentru creearea politicilor de securitate, avem câmpul “Remote access polices”. Aici, putem defini noi politici de securitate. Şi pentru acest lucru există un “vrajitor”, care ne îndrumă printre opţiunile posibile.Politicile se pot aplica pe grupuri de utilizatori sau pe utilizatori individuali. Există o mulţime de variante pentru a restricţiona sau a permite accesul de la distanţă.Se pot face astfel de politici, ţinând cont de tipul conexiunii(VPN, Dial-up, Wireless), metoda de autentificare (MS-CHAPv2, EAP), puterea de criptare(IPSec 56-bit DES, MPPE 56-bit,etc), tipul tunelui(PPTP,L2tP), număr de telefon de la care a sunat şi multe altele. Combinând opţiunile de la fiecare variantă(tip conexiune, putere criptare, autentificare) se pot face restricţii destul de riguroase. Dar partea de securitate nu se opreşte aici. După ce îndeplineşte toate condiţiile puse de politicile de securitate(absolut toate, fiindcă dacă una nu este îndeplinită, conexiunea este respinsă), conexiunii autentificate i se aplică un profil pentru alte restricţii. La definirea profilului, se poate stabili cât timp poate conexiunea să rămână deschisă, perioada din zi şi din saptămână când (ora şi ziua) are acces, se pot defini filtre pentru traficul din cadrul conexiunii, şi încă multe alte opţiuni.Pe baza acestor politici de securitate şi a profilelor se poate realiza o securitate foarte puternicăVom creea şi noi o politică de securitate folosind câteva din opţiunile puse la dispoziţie de sistem. Astfel vom creea o nouă politică de securitate care va permite întreg accesul

60


de tip VPN pentru toţi utilizatorii din grupul “FILIALE”, care iniţiază conexiuni PPTP, de luni până vineri.

Figura 4.9 Politici de securitate

Cele cinci calculatoare şi imprimanta de reţea vor forma o reţea locală şi vor fi interconectate printr-un switch cu 16 porturi.Adresele calculatoarelor vor fi:Calculator 1: 192.168.0.2Calculator 2: 192.168.0.3Calculator 3: 192.168.0.4Calculator 4: 192.168.0.5Calculator 5: 192.168.0.6Adresa imprimantei de reţea va fi: 192.168.0.7În momentul acesta, serverul este configurat integral şi este gata să primească conexiuni VPN de la utilizatorii autorizaţi.

4.3 Implementare filiale(clienţi VPN)

Piteşti

La filiale, avem:-un calculator staţie de lucru(Windows XP)Acest calculator va fi clientul VPN. El se va conecta iniţial printr-o conexiune dial-up la un ISP local pentru a accesa Internetul.Apoi, va iniţia un “tunel” securizat între el şi serverul VPN de la Bucureşti.Deci, în primul rând trebuie realizată conexiunea dial-up.Aceasta se realizează foarte usor, folosind “vrăjitorul” din Windows, “New Connection Wizard. În cazul nostru, vom creea o conexiune numită “Piteşti” către un furnizor local numit “ISP”.Pe baza

61


acestei conexiuni se poate naviga pe Internet.Odată ajunşi în Internet, avem practic o legătură cu serverul VPN de la Bucureşti.Această legătură o reprezintă efectiv, reţeaua publică. Totuşi, nu putem trimite datele prin reţeaua publică fără să ne asigurăm că ele nu pot fi accesate de persoane neautorizate. Astfel, cu ajutorul clientului VPN incorporat în sistemul de operare Windows XP, vom iniţia o legătură securizată între calculatorul de la Piteşti şi serverul VPN de la Bucureşti.Configurarea unei astfel de legături se face de asemenea ajutaţi de “vrajitorul” din Windows.Prima dată suntem întrebaţi, ce fel de conexiune dorim să realizăm:

Figura 4.10 Alegerea tipului de conexiune

Vom alege a doua opţiune, adică spunem că dorim să realizăm o conexiune care să ne permită să ne conectăm la o reţea privată de la distanţă.Este exact cazul nostru.Apoi suntem întrebaţi despre modul în care dorim să ne conectăm de la distanţă: prin conexiune dial-up sau prin VPN.Bineînţeles, vom alege VPN.

62


Figura 4.11 Modul în care se va realiza conexiunea

Ulterior, suntem întrebaţi ce conexiune se va stabili iniţial, înainte de stabilirea conexiunii virtuale.

Aici selectăm conexiunea dial-up creată mai devreme. Dacă nu dorim să folosim aceea conexiune, putem folosi o alta(temporara).La un moment dat vom fi întebaţi ce conexiune vrem sa folosim şi acolo vom introduce datele necesare stabilirii unei noi conexiuni(nume de utilizator, parola, număr de telefon al furnizorului de servicii)La pasul următor ni se va cere adresa IP sau numele serverului VPN.

Figura 4.13 Adresa serverului VPN

63


Daca se introduce adresa IP, trebuie să se introducă adresa IP a interfeţei care este conectată la Internet(adresa publică), şi nu a interfeţei conectată la reţeaua localţ(adresa privată).În momentul acesta avem şi clientul de VPN configurat. La proprietaţile conexiunii, putem seta ce tip de conexiune se va iniţia(PPTP sau L2TP), nivelul de criptare pe care îl dorim, metoda de autentificare folosită(MS-CHAP.v2, EAP), modul de autentificare(smart-card, certificate digitale).În funcţie de politica de securitate pe care am stabilit-o pe server, vom seta conexiunea în felul următor:-tip tunel:PPTP-metoda de autentificare: MS-CHAP.v2-puterea de criptare:Strong encryption 128-bit

Timişoara-un calculator staţie de lucru(Wndows XP)Se va realiza conexiunea dial-up la ISP şi apoi conexiunea VPN la serverul de la Bucureşti

Iaşi-un calculator staţie de lucru(Wndows XP)Se va realiza conexiunea dial-up la ISP şi apoi conexiunea VPN la serverul de la Bucureşti

În momentul în care se vor conecta la server, clienţii vor primi adrese IP virtuale de forma 192.168.0.11, 192.168.0.12 …….192.168.0.20.Autentificarea se va face pe baza conturilor stabilite în Windows Server 2003.În momentul de faţă, filialele din ţară pot să trimită date către sediul central şi să acceseze resursele de pe calculatoarele din sediu. Cât timp sunt în reţeaua publică, datele sunt protejate de utilizatorii neautorizaţi atât prin criptare cât şi prin “tunelare”.

64


65

Documents

Retele VPN.doc